电子商务安全问题及对策分析的论文摘要

1、摘要:随着计算机信息安全的发展、法律的逐渐完善,我国电子商务中的安全问题得到了有效解决,但是随着技术的发展我国电子商务中又产生了一些新的问题,这里主要征对所出现的新问题进行了深入的研究,并提出了自己的建议、对策。 关键词:电子商务;隐私权;定型化契约;加密技术;入侵检测技术 正文：电子商务具有跨越地域范围,不受时间因素制约等优势,随着全球经济一体化进程的不断发展,它将渗透到人们的日常生活中。随着技术水平的提高和发展,电子商务中的基本安全问题得到了解决,但同时也涌现出一些新的安全问题。我们可以通过制定、修善相关法律法规、采用新技术、强化安全管理、加强宣传教育等对策加以有效解决。 一、电子商务安全

2、中的法律问题及对策 在电子商务中,传统交易下所产生的纠纷及风险并没有随着高科技的发展而消失,相反网络的虚拟性、流动性、隐匿性对交易安全及消费者权益保护提出了更多的挑战,因此制定相应的法律法规来约束互联网用户的行为是电子商务的基础。我国政府十分重视电子商务的法律法规的制定,目前制定的有关法律法规有中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际互联网管理暂行规定、中华人民共和国计算机信息网络国际互联网络安全保护管理办法、电子签名法等,它们直接约束了计算机安全和电子商务的安全。这些法律法规在电子商务中发挥着重大的作用,但是这些已经制订的法律法规在实际操作过程中还有很多不够

3、完善的地方,主要存在以下问题: 子商务中信息不对称问题及对策 在电子商务环境中,经营者不仅不愿意充分展露自己商品和服务的真实内容,有些反而常常减少信息的披露,甚至散布虚假伪装的信息欺骗消费者,以实现自身利益的最大化,另一方面消费者不能直接接触到所要购买的商品,其消费依赖于经营者提供的信息。这一种消费者和经营者信息的不对称性造成电子商务环境中经营者侵害消费者权益的现象比传统的商业模式更为严重。其对策是通过修改现有法律法规,强制提高电子商务交易的信息透明度,严格电子商务企业的市场准入制度,加强对电子商务经营者的监管,加大对侵权行为的惩罚力度,设立专门机构对经营者进行身份认证和资产信誉评级。 消费者

4、个人信息和隐私权的法律保护问题及对策 在电子商务中消费者个人信息甚至隐私权易受侵害。在现实的电子商务活动中,经营者为了降低生产成本,往往未经消费者授权而非法获取和使用消费者的个人信息甚至隐私,极大程度地侵害了消费者的合法权益特别是隐私权。建议在有关法律法规中规定如下基本原则:（1）依法收集和使用个人信息。（2）最低限度原则:经营者为某种合法的目的收集使用消费者个人信息,应在实现其目的的前提下,最低限度地收集和使用消费者个人信息。（3）向消费者说明及告知原则:经营者在收集和使用消费者个人信息前,应就其收集和使用的目的向消费者进行说明,在收集和使用之后,应告知消费者有关情况。（4）保证消费者个人信

5、息安全的原则。 电子商务中定型化契约的问题及对策 目前在面向消费者的电子商务中大量应用定型化契约,即企业经营者为与不特定多数人订立契约之用而单方预先拟定之契约条款,其特点是经营者拟订好所有条款,消费者只需按下接受或者拒绝键,就决定了该购买合同是否成立。例如:一些经营者在网站上设置如下条款, “按下接受键”表示你已同意以下条件,另外值得注意的是,一些电子商务站点在具体交易流程虽然没有很多格式条款,但是服务条款通常出现在消费者注册为站点用户的程序中,并且消费者要成功注册,就只能按下“接受键”,这些服务条款中一般包含有免除经营者责任或加重消费者责任的条款,且多声明有权随时修改服务条款。为了保护消费者

6、的权益可以在消费者权益保护法中对此作一些补充,规定在电子商务中定型化契约条款如有疑义时,应作有利于消费者的解释;定型化契约中的条款如违反诚信原则或者对消费者显失公平者,无效。 电子商务中纠纷的诉讼管辖问题及对策 依照传统民事诉讼管辖理论,合同纠纷由合同履行地或者被告住所地法院管辖。在电子商务活动中,大部分合同履行是在线完成,从而让合同履行地管辖变得难以确定,只能依据被告住所地法院。电子商务的跨地域性会让被告住所地法院来选择管辖法院,对原告极为不利。因此有必要根据电子商务的特点,公平地确定管辖法院。这一点可以通过对民事诉讼法或者相关司法解释来解决。总的原则应该是充分发挥交易双方的自治原则,使协议

7、管辖成为电子合同纠纷管辖确定的最主要原则。 二、电子商务安全中的技术问题及对策 电子商务是建立在互联网的平台上的,要确保电子商务安全,安全技术是一个非常重要的层面。目前我国电子商务中的安全技术问题主要是数据加密和非法入侵,对此我们可以采取如下措施: 推广新的加密技术,加强密码技术的研究与开发加密技术是信息交换安全的基础,通过数据加密、消息摘要、数字签名及密钥交换等技术实现了数据机密性、一、安全问题是实施电子商务的关键 传统的交易是面对面的，比较容易保证建立交易双方的信任关系和交易过程的安全性。而电子商务活动中的交易行为是通过网络进行的，买卖双方互不见面，因而缺乏传统交易中的信任感和安全感。美国

8、密执安大学一个调查机构通过对23000名因特网用户的调查显示，超过60的人由于电子商务的安全问题而不愿进行网上购物。任何个人、企业或商业机构以及银行都不会通过一个不安全的网络进行商务交易，这样会导致商业机密信息或个人隐私的泄露，从而导致巨大的利益损失。根据中国互联网络信息中心(CNNIC)发布的“中国互联网络发展状况统计报告”，在电子商务方面，5226的用户最关心的是交易的安全可靠性。由此可见，电子商务中的网络安全和交易安全问题是实现电子商务的关键之所在。 二、电子商务中的安全隐患和安全需求 1、电子商务中的安全隐患有：(1)篡改。电子的交易信息在网络上传输的过程中，可能被他人非法的修改，删除

9、或重放(指只能使用一次的信息被多次使用)，从而使信息失去了真实性和完整性。(2)信息破坏。包括网络硬件和软件的问题而导致信息传递的丢失与谬误；以及一些恶意程序的破坏而导致电子商务信息遭到破坏。(3)身份识别。如果不进行身份识别第三方就有可能假冒交易一方的身份，以破坏交易败坏被假冒一方的声誉或盗窃被假冒一方的交易成果等。而不进行身份识别，交易的一方可不为自己的行为负责任，进行否认，相互欺诈。(4)信息泄密。主要包括两个方面，即交易双方进行交易的内容被第三方窃取或交易一方提供给另一方使用的文件被第三方非法使用。 2、电子商务的安全性需求：电子商务的安全性需求可以分为两个方面，一方面是对计算机及网络

10、系统安全性的要求，表现为对系统硬件和软件运行安全性和可靠性的要求、系统抵御非法用户入侵的要求等；另一方面是对电子商务信息安全的要求。(1)信息的保密性：指信息在存储、传输及处理过程中不被他人窃取。(2)信息的完整性：包括信息在存储中不被篡改和破坏，以及在传输过程中收到的信息和原发送信息的一致性。(3)信息的不可否认性：指信息的发送方不可否认已经发送的信息接收方也不可否认已经收到的信息。(4)交易者身份的真实性：指交易双方是确实存在的，不是假冒的。(5)系统的可靠性：指计算机及网络系统的硬件和软件工作的可靠性，是否会因为计算机故障或意外原因造成信息错误、失效或丢失。 三、电子商务的安全技术 根据

11、电子商务的这些安全性需求通常采用的安全技术主要有：密钥加密技术、信息摘要技术、数字签名、数字证书及CA认证。 1、密钥加密技术：密码加密技术有对称密钥加密技术和非对称密钥加密技术。 (1)对称密钥加密技术：对称密钥加密技术使用DES(Data En-cryption Standard)算法，要求加密解密双方拥有相同的密钥，密钥的长度一般为64位或56位。这种加密方法可以解决信息的保密问题，但又带来了一些新的问题：一是在首次通信前，双方必须通过网络以外的途径传递统一的密钥：二是当通信对象增多时，需要相应数量的密钥，这就使密钥管理和使用的难度增大；三是对称加密是建立在共同保守秘密的基础之上的，在管

12、理和分发密钥过程中，任何一方的泄露都会造成密钥的失效，存在着潜在的危险和复杂的管理难度。 (2)非对称密钥加密技术：为了克服对称密钥加密技术存在的密钥管理和分发上的问题，1976年Diffie和Hellman以及Merkle分别提出了公开密钥密码体制的思想：要求密钥成对出现，一个为加密密钥，另一个为解密密钥，且不可能从其中一个推导出另一个。根据这种思想自1976年以来已经提出了多种公钥加密算法。公钥加密算法也称为非对称密钥算法，加密和解密的时候使用两把密钥，一把为公钥，另一把为私钥。私钥只有自己知道，严密保管，公钥和加密算法则可以通过网络等渠道发布出去。公钥加密算法主要有：RSA、Fertez

13、za、ElGama等。非对称加密技术采用的是RSA算法，是由Rivest、Shanir和Adle-man三人发明的。算法如下：公钥n=pq(p，q分别为两个互异的大素数，必须要保密，n的长度大于512bit)，选一个数e与(p1)(q1)互质，私钥d=e1(mod(p1)(q1)，加密：c=me(mod n)(其中m为明文，c为密文)，解密：m=cd(mod n)。通信时，发送方用接收者的公钥对明文加密后发送，接收方用自己的私钥进行解密，这样既解决了信息保密问题，又克服了对称加密中密钥管理与分发传递的问题。 2、信息摘要技术：密钥加密技术只能解决信息的保密性问题，对于信息的完整性则可以用信息摘

14、要技术来保证。信息摘要(Messagedigest)又称Hash算法，是Ron Rivest发明的一种单向加密算法，指从原文中通过Hash算法而得到一个有固定长度(128位)的散列值，不同的原文所产生的信息摘要必不相同，相同原文产生的信息摘要必定相同，因此信息摘要类似于人类的“指纹”，可以通过“指纹”去鉴别原文的真伪。信息摘要的使用过程如下：1、对原文使用Hash算法得到信息摘要；2、将信息摘要与原文一起发送；3、接收方对接收到的原文应用Hash算法产生一个摘要；4、用接收方产生的摘要与发送方发来的摘要进行对比，若两者相同则表明原文在传输过程中没有被修改，否则就说明原文被修改过 3、数字签名：

15、数字签名(Digital Signature)是密钥加密和信息摘要相结合的技术，可以保证信息的完整性和不可否认性。数字签名的过程如下：1、发送方用自己的私钥对信息摘要加密；2、发送方将加密后的信息摘要与原文一起发送；3、接收方用发送方的公钥对收到的加密摘要进行解密；4、接收方对收到的原文用Hash算法得到接收方的信息摘要；5、将解密后的摘要与接收方的信息摘要对比，相同说明信息完整且发送方身份是真实的，否则说明信息被修改或不是该发送者发送 由于私钥是自己保管的他人无法仿冒，同时发送方也不能否认用自己的私钥加密发送的信息，所以数字签名解决了信息的完整性和不可否认性问题。数字签名加密和密钥加密技术不

16、同，密钥加密是发送方用接收方的公钥加密，接收方在用自己的私钥解密，是多对一的关系；而数字签名中的加密是发送方用自己的私钥对摘要进行加密，接收方用发送方的公钥对数字签名解密，是一对多的关系，表明公司的任何一个贸易伙伴都可以验证数字签名的真伪性。 4、数字证书与CA认证：非对称加密技术和数字签名技术都用到了公钥，当交易的一方通过公开渠道得到了另一方的公钥后，存在着这样的问题：这个公钥到底是不是真正属于对方的，是否会有其他人假冒对方发布的公钥。那么如何确定网上交易双方真实身份的确认，要用到由认证中心CA颁发的数字证书。 (1)数字证书：数字证书类似于现实生活中的身份证，它是标志网络用户身份信息的一系

17、列数据，用来在网络应用中识别通讯各方的身份。数字证书采用公钥体制即用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私钥，用它进行解密和数字签名；同时拥有一把公钥并可以对外公开，用于信息加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据进行加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误的到达目的地了。用户可以采用自己的私钥对信息加以处理，由于私钥仅为本人所有，所以能生成别人无法伪造的文件，也就形成了数字签名。同时，由于数字签名与信息的内容相关，因此经过签名的文件如有改动，就会导致数字签名的验证过程失败，这样就可以保证文件的完整性。 (2)数字证书的内容：主要包括以下内容：1、证书拥有者的姓名；2、证书拥有者的公钥；3、公钥的有限期；4、颁发数字证书的单位；5、颁发数字证书单位的数字签名；6、数字证书的序列号等。 (3)认证中心CA