电子商务第章

1 第十一章电子商务安全及风险防范 2 第一节电子商务的安全问题与需求一 电子商务面临的安全问题众所周知 Internet是一个完全开放的网络 任何一台计算机 任何一个网络都可以与之连接 并借助Internet发布信息 获取与共享各种网站的信息资源 发送E mail与开展网上办公 进行各种网上商务活动 即电子商务 方便了政府 企业与个人的现代事务处理 直接带动一个网络经济时代的到来 发展到现在 通过总结归类 电子商务面临的主要安全隐患有如下5个方面 1 系统的中断与瘫痪 网络故障 操作错误 应用程序错误 硬件故障 系统软件错误以及计算机病毒都能导致系统不能正常工作 因而要对此所产生的潜在威胁加以控制和预防 以保证贸易数据在确定的时刻 确定的地点是有效的 3 2 信息被窃取 电子商务作为贸易的一种手段 其信息直接代表着个人 企业或国家部门的商业机密 电子商务是建立在一个较为开放的网络环境上的 维护商业机密是电子商务全面推广应用的重要保障 因此 要预防通过搭线和电磁泄漏等手段造成的信息泄露 或对业务流量进行分析从而获取有价值的商业情报等一切损害系统机密性的行为 3 信息被篡改 电子商务简化了贸易过程 大多是自动化与网络化的 减少了人为的干预 同时也带来了维护贸易各方商业信息 如电子支票 的完整和统一问题 由于数据输入时的意外差错或欺诈行为 可能导致贸易各方信息的差异 此外 数据传输过程中信息的丢失 信息重复或信息传送的次序差异也会影响贸易各方的交易和经营策略 因此 保持贸易各方信息的完整性是电子商务应用的基础 4 信息被伪造 电子商务可能直接关系到贸易双方的商业交易 如何确定网上远程交易方真正是所期望的贸易方 即有效身份认证是保证电子商务顺利进行的关键 5 对交易行为抵赖 当贸易一方发现交易行为对自己不利时 当利益刺激到一定程度时 就有可能否认电子交易行为 4 二 电子商务的安全需求针对以上所述的在电子商务开展过程中可能出现的安全问题 为保证电子商务流程的安全 可靠 考虑到电子商务过程中涉及的客户 商家 银行 CA认证中心等商务各方各自的安全需要 电子商务的安全需求可总结分类如下 1 保证网络上相关数据流的保密性 2 保证网络上相关商务数据不被随意篡改 即保证相关电子商务信息的完整性 3 保证电子商务各方身份的认定 4 保证电子商务行为发生的事实及发生内容的不可抵赖性 5 保证电子商务系统运行的稳定 可靠 快捷 做好数据备份与灾难恢复等工作 并保证一定的商务处理速度 在电子商务中 网上订单处理 网络支付结算等都需要快捷 安全的处理速度 否则客户就可能没有耐心等待而选择直接去传统商城购物 一些特殊的电子商务领域 如网络证券 没有良好的数据备份或快捷的网上交割速度 就可能给股民带来很大的损失 5 第二节电子商务安全的技术措施一 电子商务交易方自身网络安全保障技术为了维护电子商务交易者内部网络的安全 可以采取以下四种技术 1 用户账号管理和网络杀毒技术获取合法的账号即密码是黑客攻击网络系统最常见的手法 因此 用户账号的安全管理措施不仅包括技术层面上的安全支持 即针对用户账号完整性的技术 包括用户分组管理 对不同的成员赋予不同的权限 单一登录密码制度 用户在企业计算机网络中任何地方都使用同一个用户名和密码 用户认证 结合多种手段 如电话号码 IP地址 用户使用时间等精确确认用户 还需要在企业信息管理的政策方面有相应的措施 即划分不同的用户级别 制定密码政策 如密码的长度 难度 定期更换 组成规则 对职员的流动进行管理以及对职员进行计算机及网络安全教育 只有综合运用多种措施 才能最大限度地保护用户账号与密码 在网络环境下 计算机病毒更危险 破坏力也更大 它破坏的往往不是单独的计算机和系统 而是整个网络范围 有效地防止网络病毒的破坏对网络系统安全及电子商务发展均有非常重要的意义 6 2 防火墙技术防火墙是由软件和硬件设备 一般是计算机或路由器 组成的 处于企业内部网和外部网之间 用于加强内外之间安全的一个或一组系统 在互联网上通过防火墙来完成进出企业内部网和外部网检查的功能 防火墙迫使所有的连接都必须通过它来完成 通过对往来数据来源或目的 数据格式或内容进行审查来决定是否允许数据进出 也可以避免内外网之间的直接联系 即限制非法用户进入企业内部往来 过滤不符合规定的数据或限制提供 接受的服务类型 可以对网络威胁状况进行分析判断 达到保护内部网络安全的目的 见图11 1 图11 1一般数据加密模型图 7 3 虚拟专网技术与专用线路相比 普通线路接入互联网是非常危险的 这是因为进行路由时不知道数据包会通往何处 而且若在该路由器上复制了数据包 就会看到数据包的内容 尽管可以采用加密技术作为有效的防御手段 但也只能针对数据部分进行加密 而保存在IP地址数据报头的信息还是可以被看到的 这样 通过IP地址数据报头就可以知道IP地址以及地址之间执行了哪些命令等信息 所谓虚拟专网技术 就是利用技术在两个防火墙之间的直接隧道中 采用从外面看不到的方式进行数据传送 也称IP隧道 具体地说 就是将IP数据包连同数据报头一起加密 在外侧附加上含有发送方防火墙和接受方防火墙信息的数据报头 再发送到互联网 通过防火墙之间的相互验证 将相互间加密使用的密钥在有效期内进行周期性地交换 就可以完全隔离来自外部的窃听 4 入侵监测技术目前网络入侵的特点是没有地域和时间限制的 攻击者往往混杂在正常的网络访问者中 隐蔽性强 入侵手段也更复杂 入侵是指任何试图破坏资源完整性 机密性和可用性的行为 也包括合法用户对系统资源的误操作 入侵监测是指对于面向计算机资源和网络资源的恶意行为的识别和响应 包括安全审计 监视 识别 相应 8 它是防火墙之后的第二道安全闸门 能够在不影响网络性能的前提下对网络进行监测 从而提供对内部攻击 外部攻击以及误操作的实时保护 具体来说 是通过执行监视 分析用户及系统活动 检查系统构造和弱点 识别反映已知进攻模式并报警 异常行为模式统计分析 评估系统和数据完整性 操作系统审计跟踪管理 识别用户违反安全纪律的行为来实现的 二 电子商务信息传输安全保障技术1 加密技术加密技术是最基本的安全技术 是实现信息保密的一种重要手段 目的是为了防止合法接受者之外的信息泄露 数据加密技术是对信息进行重新编码 从而达到隐藏信息内容的目的 是非法用户无法获得真实信息内容的技术手段 网络中的数据加密是通过对网络中传输的信息进行加密 从而满足网络安全中信息的保密性 防止信息泄露 一般的数据加密模型如图11 2所示 图11 2一般的数据加密模型 9 2 数字摘要技术数字摘要技术又称为Hash算法 是由RonRivest发明的一种单向加密算法 其加密结果是不能解密的 所谓数字摘要是从原文中通过Hash算法得到一个固有长度 通常为128 的散列值 即信息鉴别码 MessageAuthenticationCode MAC 不同的原文所产生的数字摘要一定不相同 相同的原文产生的数字摘要一定相同 这样 信息在传输前对原文通过Hash算法得到的数字摘要 将与原文一起发送 接受者对比收到的原文应用Hash算法得到的摘要 该摘要与发送来的摘要一致 这样才能证明原文没有被改动 加密技术给每份函电赋予了独有的类似人类指纹的鉴别码 所以也称为 数字指纹 技术 数字摘要工作原理如图11 3所示 图11 3数字摘要原理示意图 10 三 身份和交易信息认证技术安全认证技术是保护电子商务交易安全的一项重要技术 安全认证主要包括身份认证和交易信息认证 1 身份认证身份认证就是在交易过程中判明和确认贸易双方的真实身份 这是目前网上交易过程中的关键环节 一旦身份认证发生差错 将会引起巨大的混乱和损失 一般采用如下几种方式或其组合来实现身份认证 1 CA认证 CA认证机构是所有合法注册用户最值得信赖的 最具权威性的第三方认证机构 负责为电子商务环境中的各个实体颁发数字证书 以证明各实体的真实性 并负责在交易中检验和管理已签发的证书 进行网上交易时 一方应向另一方提交一个由CA认证中心签发的数字证书 以证明自己的身份 2 用户所知道的某个秘密 3 用户所具有的某些生物特征 4 用户所持有的某些硬件或物理介质 11 2 交易信息认证随着网络技术的发展 通过网络购物的商业活动日趋增多 这些商业活动往往通过公开网络进行数据传输 这就对网络传输过程中的信息保密性提出了较高的要求 通常采用对称密钥加密技术 公开密钥加密技术 或两者结合使用的方法 以保证信息的安全认证 对于加密后的文件 即使他人截取 由于得到的是加密后的密文 因而无法知道原始含义 同时加密后 他人也无法改动或增减内容 因为加密后的信息被改变后就无法正常解密 为保证信息来源的确定性 可以采用加密的数字签名的方式来实现 因为数字签名是唯一的 因而是十分安全的 四 电子商务安全支付技术在电子商务中如何才能进行安全的网上支付 是用户 商家和金融机构最为关注的问题 为了解决这一难题 众多的IT公司和金融机构联合开发了安全在线支付协议 目前的电子商务交易中有两种支付协议被广泛使用 一种是由NetscapeCommunication公司设计开发的安全技术规范 安全套接层协议 SecuritySocketLayer SSL 另一种是VISA和MasterCard两大信用卡组织联合开发的电子商务安全协议 安全电子交易协议 SecurityElectroricTransaction SET SET协议涉及多个角色对象协作参与 其参与对象的关系如图11 4所示 12 图11 4SET协议的参与对象之间的关系第三节电子商务安全的管理制度措施无论是对参与网络交易的个人还是企业 都存在一个维护网络交易系统安全的问题 只不过对于在网上从事大量贸易活动的企业来说 这个问题更为重要 对于企业而言 网上交易有效管理是保证企业安全的重要方面 本节主要讨论企业的网络交易系统管理 其中的许多方法对于个人网络消费者也具有较高的实用价值 13 一 电子商务安全管理制度的含义电子商务交易安全管理制度是用文字形式对各项安全要求所做的规定 它是保证企业网络营销取得成功的重要基础 是企业网络营销人员安全工作的规范和准则 企业在参与网络营销伊始 就应当形成一套完整的 适应于网络环境的安全管理制度 这些制度应当包括人员管理制度 保密制度 跟踪 审计 稽查制度 网络系统的日常维护制度 数据备份制度 病毒定期清理制度等 二 人员管理制度参与网上交易的经营管理人员在很大程度上决定着企业的命运 他们面临着网络犯罪的挑战 网络犯罪具有智能性 隐蔽性 联系性 快递性等区别于普通犯罪的特性 所以加强对有关人员的管理和培训十分重要 1 对相关人员进行上岗培训 2 落实工作责任制度 3 贯彻网上交易安全基本原则 14 三 保密制度由于网上交易涉及企业多方面的机密 例如市场 生产 财务和货源等 因此必须实行严格的保密制度 保密制度需要很好地划分信息的安全级别 确定安全防范重点 并出台相应的保密措施 信息的安全一般分三级 1 绝密级 2 秘密级 3 普通级 四 跟踪 审计 稽查制度跟踪制度要求企业建立网络交易系统日志制度 用来记录系统运行的过程 审计制度包括经常对系统日志的检查 审核 及时发现对系统故意入侵行为的记录和对系统安全功能违反的记录 监控和捕捉各种安全事件 保存 维护和管理系统日志 稽查制度是指工商管理 银行 税务人员利用计算机和网络系统 借助于稽查业务应用软件调阅 查询 审查 判断辖区内各电子商务参与单位的合理性 合法性和安全性 堵塞漏洞 保证网上交易的安全 有问题时发出相应的警报 或作出处理或处罚决定 15 五 网络系统的日常维护制度对网络系统的日常维护可以从以下几方面进行 1 可管网络设备 对可管设备通过安装网管软件进行设备故障诊断 对网络流量和状态进行监控 统计和分析 关注网络性能的调整 负载平衡 2 不可管设备 对不可管设备通过手工操作来检查状态 定期检查和随机抽样相结合 以便掌握网络状况 一有故障及时发现 清理 3 备份 定期做数据备份以及系统设备的备份 六 病毒防范措施病毒防范是保证网上交易的重要条件 如果网上信息及交易活动记录遭到病毒袭击 将造成极大混乱 并影响公众对电子商务安全的信心 目前 主要通过采用防病毒软件进行防毒 应用于网络的防毒软件有两种 一是单机版的防毒产品 另外一种是联机版的防毒产品 前者是以事后杀毒为原则 当系统被病毒感染之后才能发挥防毒软件的作用 进行查毒和杀毒 适用于个人用户 后者属于事前防范 其原理是在网络端口设置一个病毒过滤器 事先在系统上安装防毒的网络软件 在病毒入侵之前就御敌于 国门 之外 16 第四节电子商务安全的法律法规措施一 国内外的电子商务立法现状1 国际电子商务法律环境电子商务涉及日常生活的方方面面 除了传统贸易中的法律问题以外 在网络环境下又出现了一些新问题 这使得电子商务法律法规的建立非常复杂 主要体现在以下几个方面 1 国际电子商务的国际立法先于各国国内立法 2 电子商务国际立法具有边制定边完善的特点 3 电子商务的贸易自由化程度较高 4 电子商务国际立法重点在于使过去制定的法律具有适用性 5 发达国家在电子商务国际立法中居主导地位 6 工商垄断企业在电子商务技术标准和制定上起了主要作用 17 2 国际电子商务法律的主要内容目前 各国电子商务法律建设主要包括以下几个方面 1 市场准入 2 税收 3 电子商务合同的成立 4 安全保密 5 隐私权保护 6 电子支付 7 知识产权 3 我国电子商务法律环境及内容我国政府高度重视电子商务的立法工作 在发展电子商务方面 人们不仅要重视私营 工商部门的推动作用 同时也应加强政府部门对发展电子商务的宏观规划和指导 并为电子商务的发展提供良好的法律法规环境 但是总体上 我国的电子商务立法相对滞后于世界上的发达国家 18 二 电子商务的相关法律问题1 电子商务交易主体的法律问题 1 电子商务主体的定义 2 自然人主体的网络形象与人身权 3 法人主体的形象设置及人格权益 法人作为一种社会团体 不具有与生命密切相关的人格权 其人格权一般来说与利益密切联系 且有些人格权可以转让 如商业秘密 因此 法人的人格权包括精神性人格权 名称权 名誉权 和经济性人格权 信用权和商业秘密权 2 电子商务交易行为的法律问题1 在线不正当竞争行为电子商务只是交易方式或手段的改变 并没有改变商业行为的本质 在传统商业行为中的不正当竞争行为也会延伸到电子商务领域 网络环境下的不正当竞争行为包括两类 一类是传统企业利用互联网进行的不正当竞争行为 另一类是网站之间在开展信息服务 技术服务 在线交易过程中发生的不正当竞争行为 19 1 域名抢注引起的不正当竞争行为 2 利用网络进行虚假宣传构成不正当竞争 3 关于网页的不正当竞争 4 利用网络技术进行的不正当竞争 2 消费者权利 1 消费者的知情权 2 消费者的公平交易权 3 消费者的自由选择权 4 消费者的安全权 5 消费者的损害赔偿权 3 网络服务经营者的义务和责任为确保消费类电子商务的健康发展 在规定网络服务经营者的义务和责任时 不能太过严格 我们要遵从一个基本原则 就是要以宽松的法律制度来约束网络服务经营者 以便更好地促进电子商务的发展 1 网络服务经营者的基本义务 2 提供商品信息的义务 20 3 商品质量保障及售后服务义务 4 不得不当免责的义务 5 保护消费者个人数据的责任 此外 电子商务相关法律相关问题还涉及知识产权保护 电子商务税收 电子支付法律手段 电子商务法律救济 电子政务法律等 这些问题还有待深入解决 限于篇幅 本章不做详细介绍 第五节电子商务风险防范措施一 电子商务风险的特点 1 全球性 2 传染性 3 成长性 4 隐蔽性 5 复杂性 21 二 电子商务诚信体系建设电子商务环境下 机遇与风险并存 解决电子商务安全问题 防范电子商务安全风险 需要用心营建电子商务的诚信体系 1 身份识别现在就为大家介绍其中的两种 实名认证和CA认证 1 实名认证 实名认证是一种被广泛采用的对注册用户身份进行确认核实的体系 它通过国家安全机构和银行等机构 验证用户提交的注册信息的真实性和唯一性来确保电子商务的安全 2 CA认证 CA认证 CertificateAuthority 已经广泛为世界各国所采用 用来向电子商务有关交易人提供双方当事人的资信情况 以提高交易的互信和透明度 目前CA认证在我国电子商务中主要起到的作用是 证明电子商务交易当事人的合法身份和保障网络安全 显然 严密的CA认证对诚信体系的支持极大 有效地杜绝了电子商务中关于往来信息的