《电子商务基础与实务》课件第8章

【第八章】

电子商务安全管理

8.1网络交易风险和安全管理的基本思路

8.2客户认证技术

8.3防止黑客入侵

8.4电子商务系统的安全管理制度

8.5电子商务交易安全的法律保障

8.1网络交易风险和安全管理的基本思路

伴随着电子商务交易量和交易额的不断增加，电子商务安全问题出现的几率也越来越高。

通过窃取个人信息进行的盗窃近年来增长很快，并导致2003年世界范围2210亿美元的损失，几乎是2000年的3倍。2005年6月17日，美国曝出有史以来规模最大的信用卡个人数据外泄事件。美国万事达卡国际组织宣布，本次的事件，是在美国专为银行、会员机构、特约商店处理卡片交易资料的外包厂商CardSystemsSolutions,Inc公司资料库遭到入侵，包括万事达、威士、运通、Discover在内高达4000多万信用卡用户的银行资料面临泄密风险，其中万事达信用卡用户达1390万，威士信用卡用户高达2200万。利用电子商务进行欺诈活动已经成为一种新型的犯罪活动。目前，网上欺诈已经成为国际性的难题。2004年仅美国，网络欺诈涉及金额就高达24亿美元。而近年来，这种高科技的犯罪有大举进入中国的势头。

1998年6月，湖南省石门县刘政、覃业名等6人以石门县兴源公司的名义，利用Internet发布虚假商情，骗得深圳市威远工贸公司编制袋15万个，价值20万元。在抗洪抢险期间，又采取订立虚假合同的方式，将所骗物资变卖到湖南津市、澧县、益阳等县市，获赃款9万余元，均被挥霍一空。

1999年4月19日至21日，由于温保成、王飞等人在互联网BBS站点上非法张贴帖子，带头散布谣言，严重损害了交通银行商业声誉，导致了交通银行郑州分行的重大挤兑事件。4月21日晚，郑州市公安局依照《刑法》第221条，刑事拘留了7名散布谣言、制造混乱、损害交通银行商业声誉的违法人员。

2004年4月13日，我国某计算机用户在维护电脑时，发现其系统注册表被改动了，表里增加了一个新的启动程序。当用户登录工商银行的网上银行页面时，该程序就会自动监测到这个浏览动作，然后修改用户登录的合法页面。如果不仔细观察，用户很难发现此时的合法页面地址“/icbc/perbank/index.jsp”已经被修改为非法的地址“/icbc/perbank/normal_index2.jsp”。始作俑者就通过这个地址来搜集用户的网上银行账户信息。虽然有证可查的失窃资金仅有4.8万元人民币，但这一名为“网银大盗”病毒的矛头直指我国方兴未艾的网上银行。

2004年12月8日，中国银行发布《中国银行关于网站和网上银行服务情况的声明》，声明12月7日下午有不法分子制作该行的假网站，外观与真正的门户网站非常相似，当晚假网站被公安机关关闭，距发现这一情况7个小时。而在此半月前，已有一个与中国工商银行网站十分相似的网站开始运行。真的工行网址是，而假的工行网址则是，区别仅是字母“i”被换成了“1”。12月11日网上又发现了只有一个页面的假银联网站。假银联网站的域名为。“cn”意为中国，“bank”为银行，“yl”则是“银联”二字的声母组合，颇具欺骗性。而真的中国银联网站的域名为。假银联网站的主页上有中国银联的标志和一段有关银联的动画，要求用户填写姓名、账号、密码、持卡银行等信息，网页的底栏还有各商业银行信用卡的标志(参见图8-1)。

图8-1假银联网站主页

8.1.1网络交易风险源分析

1.在线交易主体的市场准入问题

在现行法律体制下，任何长期固定从事营利性事业的主体都必须进行工商登记。在电子商务环境下，任何人不经登记就可以借助计算机网络发出或接收网络信息，并通过一定程序与其他人达成交易。虚拟主体的存在使电子商务交易安全性受到严重威胁。电子商务交易安全首先要解决的问题就是确保网上交易主体的真实存在，且确定哪些主体可以进入虚拟市场从事在线业务。这方面的工作需要依赖工商管理部门的网上商事主体公示制度和认证中心的认证制度加以解决。

2.信息风险

从买卖双方自身的角度观察，网络交易中的信息风险来源于用户以合法身份进入系统后，在网络上发布虚假的供求信息，或以过期的信息冒充现在的信息，进行欺诈活动，骗取对方的钱款或货物。虚假信息包含有与事实不符和夸大事实两个方面。虚假事实可能是所宣传的商品或服务本身的性能、质量、技术标准等，也可能是政府批文、权威机构的检验证明、荣誉证书、统计资料等，还可能是不能兑现的允诺。例如，有些网络公司急于扩大自身影响，引起公众注意，网络广告使用“中国第一”、“全国访问率最高”“固定用户数量最多”等词语。有的甚至在网络广告发布过程中，违反有关法律和规章中的强制性规定，将含有淫秽、迷信、恐怖、暴力等不健康的内容直接在网上发布。

从技术上看，网络交易的信息风险主要来自冒名偷窃、篡改数据、信息丢失等方面。

3.信用风险

信用风险主要来自三个方面：

(1)来自买方的信用风险。对于个人消费者来说，可能存在在网络上使用信用卡进行支付时恶意透支，或使用伪造的信用卡骗取卖方货物的行为；对于集团购买者来说，存在拖延货款的可能。卖方需要为此承担风险。

(2)来自卖方的信用风险。卖方不能按质、按量、按时寄送消费者购买的货物，或者不能完全履行与集团购买者签订的合同，造成买方的风险。

(3)买卖双方都存在抵赖的情况。

4．电子合同问题

在传统商业模式下，除即时结清或数额小的交易毋须记录外，一般都要签订书面合同，以免在对方失信不履约时以作为证据，追究对方的责任。而在在线交易情形下，所有当事人的意思表示均以电子化的形式存储于计算机硬盘或其他电子介质中。这些记录方式不仅容易被涂擦、删改、复制、遗失，而且不能脱离其记录工具(计算机)而作为证据独立存在。电子商务法需要解决由于电子合同与传统合同的差别而引起的诸多问题，突出表现在书面形式、签字有效性、合同收讫、合同成立地点、合同证据等方面。

5．电子支付问题

在电子商务简易形式下，支付往往采用汇款或交货付款方式，而典型的电子商务则是在网上完成支付的。网上支付通过信用卡支付和虚拟银行的电子资金划拨来完成。而实现这一过程涉及网络银行与网络交易客户之间的协议、网络银行与网站之间的合作协议以及安全保障问题。因此，需要制定相应的法律，明确电子支付的当事人(包括付款人、收款人和银行)之间的法律关系，制定相关的电子支付制度，认可电子签字的合法性。同时还应出台针对电子支付数据的伪造、变造、更改、涂销问题的处理办法。

6．在线消费者保护问题

在线市场的虚拟性和开放性、网上购物的便捷性，使消费者保护成为突出的问题。在我国商业信用不高的状况下，网上出售的商品可能良莠不齐，质量难以让消费者信赖，而一旦出现质量问题，退赔、修理或其他方式的法律救济又很困难，方便的网络购物很可能变得不方便甚至使人敬而远之。法律需要寻求在电子商务环境下执行《消费者权益保护法》的方法和途径，制定网上消费者保护的特殊法，保障网上商品的质量，保证网上广告信息的真实性和有效性，解决由于交易双方信息不实或无效信息而发生的交易纠纷，切实维护消费者权益。

7．电子商务中产品交付问题

在线交易的产品分两种，一种是有形货物，另一种是无形的信息产品。应当说，有形货物的交付仍然可以沿用传统合同法的基本原理，当然，对于物流配送中引起的一些特殊问题，也要作一些探讨。而信息产品的交付则具有不同于有形货物交付的特征，对于其权利的移转、退货、交付的完成等需要有相应的安全保障措施。

8.1.2网络交易安全管理的基本思路

电子商务系统是活动在Internet平台上的一个涉及信息、资金和物资交易的综合交易系统，其安全对象不是一般的系统，而是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂巨系统(complexgiantsystem)。它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。

一个完整的网络交易安全体系，至少应包括三类措施，并且三者缺一不可。一是技术方面的措施，如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等，但只有技术措施并不能保证百分之百的安全。二是管理方面的措施，包括交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查，以及安全教育等。在这方面，政府有关部门、企业的主要领导、信息服务商应当扮演重要的角色。三是社会的法律政策与法律保障。只有从上述三方面入手，才可能真正实现电子商务的安全运作。

8.2客户认证技术

8.2.1身份认证

1.身份认证的目标

身份认证是判明和确认贸易双方真实身份的重要环节，也是电子商务交易过程中最薄弱的环节。身份认证包含识别和鉴别两个过程。身份标识(Identification)是指定用户向系统出示自己的身份证明过程。身份鉴别(Authentication)是指系统查核用户的身份证明的过程。身份认证的主要目标包括：

(1)确保交易者是交易者本人，而不是其他人。通过身份认证解决交易者是否存在的问题，避免与虚假的交易者进行交易。

(2)避免与超过权限的交易者进行交易。有的交易者真实存在，但违反商业道德，恶意透支，或提供假冒伪劣商品。利用身份认证，结合银行、工商管理部门和税务部门有关查处的信息，可以有效保证交易的安全性。

(3)访问控制。拒绝非法用户访问系统资源，限定合法用户只能访问系统授权和指定的资源。

2.用户身份认证的基本方式

一般来说，用户身份认证可通过三种基本方式或其组合来实现：

(1)用户通过某个秘密信息，例如用户通过自己的口令访问系统资源。

(2)用户知道某个秘密信息，并且利用包含这一秘密信息的载体访问系统资源。包含这一秘密信息的载体应当是合法持有并能够随身携带的物理介质。例如智能卡中存储用户的个人化参数，访问系统资源时必须持有智能卡，并知道个人化参数。

(3)用户利用自身所具有的某些生物学特征，如指纹、声音、DNA图案、视网膜扫描，等等，但这种方案一般造价较高，适用于保密程度很高的场合。

3.单因素认证

用户身份认证的最简单方法就是口令。系统事先保存每个用户的二元组信息，进入系统时用户输入二元组信息，系统将保存的用户信息和用户输入的信息相比较，从而判断用户身份的合法性。很明显，这种身份认证方法操作十分简单，但同时又最不安全，因为其安全性仅仅基于用户口令的保密性，而用户口令一般较短且容易猜测，因此这种方案不能抵御口令猜测攻击。另外，口令的明文传输使得系统攻击者很容易通过接线窃听方法获取用户口令。由于系统保存的是口令的明文形式，一方面需要系统管理员是可信赖的；另一方面，一旦攻击者能够访问口令表，整个系统的安全性就受到了威胁。

4.基于智能卡的用户身份认证

基于智能卡的用户身份认证机制属于双因素认证，它结合了基本认证方式中的第一种和第二种方法。用户的二元组信息预先存于智能卡中，然后在认证服务器中存入某个事先由用户选择的某个随机数。用户访问系统资源时，用户输入二元组信息。系统首先判断智能卡的合法性，然后由智能卡鉴别用户身份。若用户身份合法，再将智能卡中的随机数送给认证服务器作进一步认证。这种方案基于智能卡的物理安全性，即不易伪造和不能直接读取其中数据。没有管理中心发放的智能卡，就不能访问系统资源，即使入侵者拥有了用户的智能卡，仍然需要猜测用户口令。

5.一次口令机制

最安全的身份认证机制是采用一次口令机制，即每次用户登录系统时口令互不相同。一次口令机制主要有两种实现方式。第一种采用“请求响应”方式。用户登录时系统随机提示一条信息，用户根据这一信息连同其个人化数据共同产生一个口令字，用户输入这个口令字，完成一次登录过程，或者用户对这一条信息实施电子签字并发送给认证服务器进行鉴别；第二种方法采用“时钟同步”机制，即根据这个同步时钟信息连同其个人化数据共同产生一个口令字。这两种方案均需要认证服务器端也产生与用户端相同的口令字(或检验签字)来验证用户身份。

8.2.2信息认证技术

1.信息认证的目标

在某些情况下，信息认证比身份认证更为重要。例如，在买卖双方发生一般商品交易业务时，可能交易的具体内容并不需要保密，但是交易双方应当能够确认是对方发送或接收了这些信息，同时接收方还能确认接收的信息是完整的，即在通信过程中没有被修改或替换。另一个例子是网络中的广告信息，此时接收方主要关心的是信息真实性和信息来源的可靠性。因此，在这些情况下，信息认证将处于首要的地位。

信息认证的主要目标包括：

(1)可信性。信息的来源是可信的，即信息接收者能够确认所获得的信息不是由冒充者所发出的。

(2)完整性。要求信息在传输过程中保证其完整性，也即信息接收者能够确认所获得的信息在传输过程中没有被修改、遗失和替换。

(3)不可抵赖性。要求信息的发送方不能否认自己所发出的信息。同样，信息的接收方不能否认已收到了信息。

(4)保密性。对敏感的文件进行加密，即使别人截获文件也无法得到其内容。

2.基于私有密钥体制的信息认证

基于私有密钥(privatekey)体制的信息认证是一种传统的信息认证方法。这种方法采用对称加密算法，也就是说，信息交换的双方共同约定一个口令或一组密码，建立一个通讯双方共享的密钥。通信的甲方将要发送的信息用私钥加密后传给乙方，乙方用相同的私钥解密后获得甲方传递的信息。

由于通信双方共享同一密钥，通信的乙方可以确定信息是由甲方发出的。这是一种最简单的信息来源的认证方法。图8-2所示是对称加密示意图。

图8-2对称加密示意图

对称加密算法有多种，最常用的是DES算法。该算法于1975年由IBM公司研制成功，采用多次换位与替代相组合的处理方法。这种算法被美国国家标准局于1977年1月正式确定为美国的统一数据加密标准，近30年来得到了广泛的应用。

对称加密算法在电子商务交易过程中存在三个问题：

(1)要求提供一条安全的渠道使通信双方在首次通信时协商一个共同的密钥。直接的面对面协商可能是不现实而且难于实施的，所以双方可能需要借助于邮件和电话等其它相对不够安全的手段来进行协商。

(2)密钥的数目将快速增长而变得难于管理，因为每一对可能的通信实体需要使用不同的密钥，很难适应开放社会中大量的信息交流。

(3)对称加密算法一般不能提供信息完整性的鉴别。

3.基于公开密钥体制的信息认证

1976年，美国学者Diffie和Hellman为解决信息公开传送和密钥管理问题，提出一种密钥交换协议，允许在不安全的媒体上通信双方交换信息，安全地达成一致的密钥，这就是“公开密钥体系”。

与对称加密算法不同，公开密钥加密体系采用的是非对称加密算法。使用公开密钥算法需要两个密钥——公开密钥(publickey)和私有密钥。如果用公开密钥对数据进行加密，则只有用对应的私有密钥才能进行解密；如果用私有密钥对数据进行加密，则只有用对应的公开密钥才能解密。图8-3所示是使用公钥加密和使用对应的私钥解密的示意图。

图8-3使用公钥加密和使用对应的私钥解密的示意图

公开密钥体制常用的加密算法是RSA算法。该算法是由Rivest、Shamir、Adleman于1978年研制的。RSA算法是建立在“大数分解和素数检测”的理论基础上的。两个大素数相乘在计算上是容易实现的，但将该乘积分解为两个大素数因子的计算量却相当巨大。素数检测是判定一个给定的正整数是否为素数。由于大整数分解的困难性，RSA算法目前被公认为最好的公钥加密算法。

4.数字签字和验证

对文件进行加密只解决了第一个问题，而防止他人对传输的文件进行破坏，以及如何确定发信人的身份还需要采取其它的手段。数字签字(DigitalSignature)及验证(Verification)，就是实现信息在公开网络上安全传输的重要方法。

文件的数字签字过程实际上是通过一个哈希函数(HashingFunction)来实现的。哈希函数将需要传送的文件转化为一组具有固定长度(128位或160位)的单向Hash值，形成报文摘要(MessageDigest)。发送方用自己的私有密钥对报文摘要进行加密，然后将其与原始的报文附加在一起，即合成为数字签字。数字签字机制提供一种鉴别方法，通过它能够实现对原始报文的鉴别和验证，保证报文完整性、权威性和发送者对所发报文的不可抵赖性，以解决伪造、抵赖、冒充、篡改等问题。

数字签字代表了文件的特征，文件如果发生改变，数字签字的值也将发生变化。不同的文件将得到不同的数字签字。一个最简单的哈希函数是把文件的二进制码相累加，取最后的若干位。哈希函数对发送数据的双方都是公开的。

图8-4显示了数字签字和验证的传输过程。

(1)发送方首先用哈希函数将需要传送的消息转换成报文摘要。

(2)发送方采用自己的私有密钥对报文摘要进行加密，形成数字签字。

(3)发送方把加密后的数字签字附加在要发送的报文后面，传递给接收方。

图8-4数字签字和验证过程示意图

(4)接收方使用发送方的公有密钥对数字签字进行解密，得到发送方形成的报文摘要。

(5)接收方用哈希函数将接收到的报文转换成报文摘要，与发送方形成的报文摘要相比较，若相同，则说明文件在传输过程中没有被破坏。

5.时间戳

在电子商务交易文件中，时间是十分重要的信息。同书面文件类似，文件签署的日期也是防止电子文件被伪造和篡改的关键性内容。数字时间戳服务(DigitalTimeStampsever，DTS)是电子商务认证服务项目之一，它能提供电子文件的日期和时间信息的安全保护。

时间戳(TimeStamp)是一个经加密后形成的凭证文档，它包括需加时间戳的文件的摘要(digest)、DTS收到文件的日期和时间、DTS的数字签字三个部分。

一般来说，时间戳产生的过程为：用户首先将需要加时间戳的文件用Hash函数转化为报文摘要，然后将该摘要加密后发送到提供时间戳服务的机构，DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签字)，然后送回用户。

8.2.3通过认证机构认证

网上交易的买卖双方在进行每一笔交易时，都要鉴别对方是否是可信的。例如，甲方收到了带有乙方数字签字的一封信，用属于乙方的公钥解密，他要确定公钥属于乙方，而不是在网上冒充乙方的其他人。一种确定公钥属于乙方的办法就是通过秘密途径接收由乙方亲自送来的公钥(PublicKey)，这种办法在实际的交易中显然是不现实的。如果交易的甲乙双方通过因特网获取各自的公共密钥(这种办法是可行的)，则他们需要对这些密钥进行验证。甲方不能简单地向乙方询问其公共密钥，因为在网络上可能存在第三者截获甲方的请求，并发送它自己的公共密钥，借以阅读甲方传送给乙方的所有消息。因此，需要一个第三方来验证公钥确实是属于乙方的，这样的第三方被称为“认证机构”(CertificateAuthority，CA)。通过认证机构来认证买卖双方的身份，是保证网络交易安全的重要措施。

1.数字证书

根据联合国《电子签字示范法》第一条，“证书”系指可证实签字人与签字生成数据有联系的某一数据电文或其他记录。最常用的CA证书是数字证书。数字证书作为网上交易双方真实身份证明的依据，是一个经证书授权中心(CA)数字签字的、包含证书申请者(公开密钥拥有者)个人信息及其公开密钥的文件。基于公开密钥体制(PKI)的数字证书是电子商务安全体系的核心，用途是利用公共密钥加密系统来保护与验证公众的密钥，由可信任的、公正的权威机构CA颁发。CA对申请者所提供的信息进行验证，然后通过向电子商务各参与方签发数字证书来确认各方的身份，保证网上支付的安全性。

数字证书按照不同的分类有多种形式，如个人数字证书和单位数字证书，SSL数字证书和SET数字证书等。

数字证书由两部分组成：申请证书主体的信息和发行证书的CA签字(参见图8-5)。证书数据包含版本信息、证书序列号、CA所使用的签字算法、发行证书CA的名称、证书的有效期限、证书主体名称、被证明的公钥信息。发行证书的CA签字包括CA签字和用来生成数字签字的签字算法。

图8-5数字证书的组成

2.认证机构

认证机构(CertificateAuthority，CA)在电子商务中具有特殊的地位。它是为了从根本上保障电子商务交易活动顺利进行而设立的，主要是解决电子商务活动中交易参与各方身份、资信的认定，维护交易活动的安全。CA是提供身份验证的第三方机构，由一个或多个用户信任的组织实体构成。例如，持卡人要与商家通信，持卡人从公开媒体上获得了商家的公开密钥，但无法确定商家不是冒充的(是有信誉的)，于是持卡人请求CA对商家认证，CA对商家进行调查、验证和鉴别后，将包含商家PublicKey(公钥)的证书传给持卡人。同样，商家也可对持卡人进行验证，如图8-6所示。

图8-6CA认证

CA的功能主要有：接收注册请求，处理、批准/拒绝请求，颁发证书。

在实际运作中，CA也可由大家都信任的一方担当，例如在客户、商家、银行三角关系中，客户使用的是由某个银行发的卡，而商家又与此银行有业务关系(有账号)。在此情况下，客户和商家都信任该银行，可由该银行担当CA角色。又例如，对商家自己发行的购物卡，则可由商家自己担当CA角色。

3.电子商务的CA认证体系

电子商务CA体系包括两大部分，即符合SET标准的SETCA认证体系(又叫“金融CA”体系)和基于X.509的

PKICA体系(又叫“非金融CA”体系)。

1)SETCA

1997年2月19日，由MasterCard和Visa发起成立SETCo公司，被授权作为SET根认证中心(RootCA)。从SET协议中可以看出，由于采用公开密钥加密算法，认证中心(CA)就成为整个系统的安全核心。SET中CA的层次结构如图8-7所示。

图8-7SET中CA的层次结构

2)PKICA

PKI(PublicKeyInfrastructure，公钥基础设施)是提供公钥加密和数字签字服务的安全基础平台，目的是管理密钥和证书。PKI

是创建、颁发、管理、撤消公钥证书所涉及到的所有软件、硬件的集合体，它将公开密钥技术、数字证书、证书发放机构(CA)和安全策略等安全措施整合起来，成为了目前公认的在大型开放网络环境下解决信息安全问题最可行、最有效的方法。

PKI是电子商务安全保障的重要基础设施之一。它具有多种功能，能够提供全方位的电子商务安全服务。图8-8所示是PKI的主要功能和服务的汇总。

图8-8PKI的主要功能和服务

一个典型的PKI应用系统包括五个部分：密钥管理子系统(密钥管理中心)、证书受理子系统(注册系统)、证书签发子系统(签发系统)、证书发布子系统(证书发布系统)、目录服务子系统(证书查询验证系统)。图8-9显示了PKI体系的构成。

图8-9PKI体系的构成

4.证书的树形验证结构

在两方通信时，通过出示由某个CA签发的证书来证明自己的身份，如果对签发证书的CA本身不信任，则可验证CA的身份，依次类推，一直到公认的权威CA处，就可确信证书的有效性。SET证书正是通过信任层次来逐级验证的。每一个证书与数字化签发证书的实体的签字证书关联。沿着信任树一直到一个公认的信任组织，就可确认该证书是否有效。例如，C的证书是由名称为B的CA签发的，而B的证书又是由名称为A的CA签发的，A是权威的机构，通常称为根认证中心(RootCA)。验证到了RootCA处，就可确认C的证书是否合法(参见图8-10)。

图8-10证书的树

5.带有数字签字和数字证书的加密系统

安全电子商务使用的文件传输系统大都带有数字签字和数字证书，其基本流程如图8-11所示。

图8-11带有数字签字和数字证书的加密系统

(1)在发送方的网站上，将要传送的信息通过哈希函数变换为预先设定长度的报文摘要；

(2)利用发送方的私钥给报文摘要加密，结果是数字签字；

(3)将数字签字和发送方的认证证书附在原始信息上打包，使用DES算法生成的对称密钥在发送方的计算机上为信息包加密，得到加密信息包。

(4)用预先收到的接收方的公钥为对称密钥加密，得到数字信封；

(5)加密信息和数字信封合成一个新的信息包，通过因特网将加密信息和数字信封传到接收方的计算机上；

(6)用接收方的私钥解密数字信封，得到对称密钥；

(7)用还原的对称密钥解密加密信息，得到原始信息、数字签字和发送方的认证证书；

(8)用发送方公钥(置于发送方的认证证书中)解密数字签字，得到报文摘要；

(9)将收到的原始信息通过哈希函数变换为报文摘要；

(10)将第(8)步和第(9)步得到的信息摘要加以比较，以确认信息的完整性。

8.3防止黑客入侵

8.3.1黑客的基本概念

黑客(hacker)，源于英语动词hack，意为“劈、砍”，引申为“辟出、开辟”，进一步的意思是“干了一件非常漂亮的工作”。在20世纪麻省理工学院校园俚语中,“黑客”则有“恶作剧”之意。到了20世纪60～70年代，它又专用来形容独立思考却奉公守法的计算机迷。今天的黑客可分为两类：一类是骇客，他们只想引人注目，证明自己的能力，在进入网络系统后，不会去破坏系统，或者仅仅做一些无伤大雅的恶作剧，他们追求的是从侵入行为本身获得巨大的成功的满足；另一类是窃客，他们的行为带有强烈的目的性，早期的这些黑客主要是窃取国家情报、科研情报，而现在这些黑客的目标大部分瞄准了银行的资金和电子商务的整个交易过程。

8.3.2网络黑客常用的攻击手段

1.口令攻击

口令攻击是网上攻击最常用的方法，也是大多数黑客开始网络攻击的第一步。黑客首先通过进入系统的常用服务，或对网络通信进行监视，使用扫描工具获取目标主机的有用信息。这些信息包括目标主机操作系统的类型和版本、主机域名、邮件地址、开放的端口、启动的保护手段等。然后，反复试验和推测用户及其亲属的名字、生日、电话号码或其他易记的线索等，获取进入计算机网络系统的口令，以求侵入系统，从事袭击活动。也有的黑客利用一些驻留内存的程序暗中捕获用户的口令。这类程序类似于“特洛伊木马”(TrojanHorse)的病毒程序，它通常让用户填写调查表格，并答应给予奖励，而实际目的是暗中捕获用户的口令。当这些方法不能奏效时，黑客们便借助各种软件工具，利用破解程序分析这些信息，进行口令破解，进而实施攻击。

2.服务攻击

黑客所采用的服务攻击手段主要有4种：

(1)和目标主机建立大量的连接。因为目标主机要为每次网络连接提供网络资源，所以当连接速率足够高、连接数量足够多时就会使目标主机的网络资源耗尽，从而导致主机瘫痪、重新启动、死机或黑(蓝)屏。

(2)向远程主机发送大量的数据包。因为目标主机要为每次到来的数据分配缓冲区，所以当数据量足够大时会使目标主机的网络资源耗尽，导致主机死机或黑(蓝)屏。

(3)利用即时消息功能，以极快的速度用无数的消息“轰炸”某个特定用户，使目标主机缓冲区溢出，黑客伺机提升权限，获取信息或执行任意程序。

(4)利用网络软件在实现协议时的漏洞，向目标主机发送特定格式的数据包，从而导致主机瘫痪。

3.电子邮件轰炸

用数百条消息填塞某人的E-mail信箱也是一种在线袭扰的方法。当用户受到这种叫做“电子邮件炸弹(E-mailBomb)”的攻击后，用户就会在很短的时间内收到大量的电子邮件，这样使得用户系统的正常业务不能开展，系统功能丧失，严重时会使系统关机，甚至使整个网络瘫痪。

还有一种方法是邮件直接夹带或在附件中夹带破坏性执行程序。用户不小心点击了这类邮件或附件，就会自动启动有害程序，带来不可预测的严重后果。

4.利用文件系统入侵

FTP(文件传输协议)是因特网上最早应用的不同系统之间交换数据的协议之一。FTP的实现依靠TCP在主机之间进行的数据传输。只要安装了FTP客户和服务程序，就可以在不同的主机(硬件和操作系统都可以不同)之间进行数据交换。若FTP服务器上的用户权限设置不当或保密程度不好，则极易造成泄密事件。

NFS(网络文件系统)服务器能够对外输出(export)目录，提供资源共享。其主机就可以通过NFS协议对服务器输出的目录进行访问。由于NFS鉴别一个请求文件时是鉴别发出这个请求的机器而不是用户，因而在基于NFS的文件系统中运行请求命令而成为某个文件的拥有者并不是一件困难的事情。

5.计算机病毒

计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

计算机病毒是通过连接来扩散的，计算机病毒程序把自己附着在其他程序上，等这些程序运行时，病毒进入到系统中，进而大面积扩散。一台计算机感染上病毒后，轻则系统运行效率下降，部分文件丢失，重则造成系统死机、计算机硬件烧毁。传统的计算机病毒依靠软盘传播，而网络条件下，计算机病毒大部分通过网络或电子邮件传播。黑客常常利用计算机病毒对目标主机进行攻击。

6.IP欺骗

IP欺骗是适用于TCP/IP环境的一种复杂的技术攻击，它伪造他人的源地址，让一台计算机来扮演另一台计算机，借以达到蒙混过关的目的。IP欺骗主要包括简单的地址伪造和序列号预测两种。

简单的地址伪造是指黑客将自己的数据包的源地址改为其他主机的地址，然后发向目标主机，使目标主机无法正确找到数据包的来源。序列号预测的攻击方法是黑客首先在网上监测目标主机与其他主机的通信，分析目标主机发出的TCP数据包，对目标主机发出的TCP数据包的序列号进行预测。如果序列号是按照一定的规律产生的，那么，黑客就可以通过伪造TCP序列号、修改数据包的源地址等方法，使数据包伪装成来自被信任或正在通信的计算机而被目标主机接收。

8.3.3防范黑客攻击的主要技术手段

1.入侵检测技术

入侵检测系统主要完成以下几种功能：监视、分析用户及系统活动；对系统配置和弱点进行监测；识别与已知的攻击模式匹配的活动；对异常活动模式进行统计分析；评估重要系统和数据文件的完整性；对操作系统进行跟踪管理，识别用户违反安全策略的行为并自动记录有关入侵者的信息。

清华紫光比威入侵检测系统(UnisIDS200)、联想网御入侵检测系统(V3.2.5)、天阗网络入侵检测系统(NS2800)等都是广泛应用的网络安全监控系统。

2.防火墙技术

1)传统防火墙

传统防火墙的类型主要有三种：包过滤、代理防火墙和电路层网关。

(1)包过滤(PacketFiltering)。包过滤是第一代防火墙技术，其原理是按照安全规则，检查所有进来的数据包，而这些安全规则大都是基于低层协议的，如IP、TCP。如果一个数据包满足以上所有规则，则过滤路由器把数据向上层提交，或转发此数据包，否则就丢弃此包。其优点是能协助保护整个网络，速度快、效率高；缺点是不能彻底防止地址欺骗、不适合某些应用协议(如FTP)、配置规则专业性太强等。

(2)代理防火墙(Proxy)。代理是一种较新型的防火墙技术，它工作于应用层，且针对特定的应用层协议，也被称为应用层网关。代理通过编程来计算用户应用层的流量，并能在用户层和应用协议层提供访问控制，而且还可用来保持一个所有应用程序使用的记录。代理服务器作为内部网络客户端的服务器，拦截所有要求，也向客户端转发响应。

(3)电路层网关(CircuitGateway)。电路层网关是建立应用层网关的一个更加灵活和更一般的方法，也是一种代理技术。在电路层网关中，数据包被提交用户应用层处理。电路层网关用来在两个通信的终点之间转换数据包。虽然电路层网关可能包含支持某些特定TCP/IP应用程序的代码，但通常要受到限制。如果支持应用程序，则很可能是TCP/IP应用程序。

2)新型防火墙

新型防火墙的设计目标是既有包过滤的功能，又能在应用层进行代理，能从数据链路层到应用层，进行全方位的安全处理。由于TCP/IP协议和代理的直接相互配合，因而使系统的防欺骗能力和运行的安全性都大大提高。

新型防火墙的设计综合了包过滤技术和代理技术，克服了二者在安全方面的缺陷，能够从TCP/IP协议的数据链路层一直到应用层施加全方位的控制。

新型防火墙的系统构成如图8-12所示。

图8-12新型防火墙的系统构成

从图8-12可知，该防火墙既不是单纯的代理防火墙，又不是纯粹的包过滤。从数据链路层、IP层、TCP层到应用层，都能施加安全控制，且能直接对网卡操作，对出入的数据进行加密或解密。

目前，市场上可选用的防火墙种类很多，Cisco(思科)、JuniperNetScreen公司都有多种防火墙产品。国内获得公安部许可证的防火墙产品已有几十种，如安氏、清华得实、龙马卫士、亿阳等百兆防火墙产品。这些防火墙具有简单易用的Web界面，没有用户限制，支持多用户身份认证，可以有效地防止黑客攻击。方正、华为、海信等公司的千兆防火墙产品，在2004年开始大规模推广应用。联想网御基于多NP(NetworkProcessor，网络处理器)技术的万兆级防火墙也于2005年4月研制成功。

3.物理隔离技术

物理隔离技术是近年来发展起来的防止外部黑客攻击的有效手段。物理隔离产品主要有物理隔离卡和隔离网闸。

物理隔离卡主要分为单硬盘物理隔离卡和双硬盘物理隔离卡。单硬盘物理隔离卡的主要工作原理是通过把用户的一个硬盘分成两个区，一个为公共硬盘/区(外网)，另一个为安全硬盘/区(内网)，将一台普通计算机变成两台虚拟计算机，每次启动进入其中的一个硬盘/区。它们分别拥有独立的操作系统，并能通过各自的专用接口与网络连接。在外网时，操作系统对于数据交换区可以任意读写，我们可以把外网的数据(如从Internet上下载的有用资料或应用程序)复制到数据交换区中。当切换到内网时，操作系统对于数据交换区是只读的，无法写入任何数据，但这时我们可以把从外网复制到数据交换区中的数据复制到内网中使用。由于在内网中数据交换区是只读的，因此数据只能够从外网导入到内网中，而内网中的保密数据绝对不可能通过这个通道传到外网中去。也就是说，即使黑客写了一段很高明的程序进入了内网，他也无法窃取到任何保密数据(参见图8-13)。

图8-13物理隔离卡工作示意图

8.4电子商务系统的安全管理制度

8.4.1电子商务系统的安全管理制度的涵义

电子商务系统安全管理制度是用文字形式对各项安全要求所做的规定，它是保证企业电子商务取得成功的重要基础工作，是企业网络营销人员安全工作的规范和准则。企业在参与网络营销伊始，就应当形成一套完整的、适应于网络环境的安全管理制度。这些制度应当包括人员管理制度、保密制度、跟踪审计制度、系统维护制度、用户管理制度、病毒定期清理制度等。

8.4.2人员管理制度

电子商务是一种高智力的劳动。从事电子商务的人员，一方面必须具有传统市场营销的知识和经验；另一方面，又必须具有相应的计算机网络知识和操作技能。由于营销人员在很大程度上支配着市场经济下的企业的命运，而计算机网络犯罪又具有智能性、隐蔽性、连续性、高黑数性1

的特点，因而，加强对从事电子商务人员的管理十分重要。

(1)严格网络营销人员的选拔。将经过一定时间的考察、责任心强、讲原则、守纪律、了解市场、懂得营销、具有基本网络知识的人员委派到这种岗位上。

1

犯罪黑数是指虽已发生但由于种种原因未予记载的犯罪数量，又称犯罪暗数或刑事隐案。

(2)落实工作责任制。不仅要求网络营销人员完成规定的营销任务，而且要求他们严格遵守企业的网络营销安全制度。特别是在当前企业人员流动频率较高的情况下，更要明确网络营销人员的责任，对违反网络交易安全规定的行为应坚决进行打击，对有关人员要进行及时的处理。

(3)贯彻电子商务安全运作基本原则。包括双人负责原则，重要业务不要安排一个人单独管理，实行两人或多人相互制约的机制；任期有限原则，任何人不得长期担任与交易安全有关的职务；最小权限原则，明确规定只有网络管理员才可进行物理访问，只有网络人员才可进行软件安装工作。

8.4.3保密制度

电子商务涉及企业的市场、生产、财务、供应等多方面的机密，需要很好地划分信息的安全级别，确定安全防范重点，提出相应的保密措施。信息的安全级别一般可分为三级。

(1)绝密级。如公司经营状况报告、订/出货价格、公司的发展规划等，此部分网址、密码不在互联网络上公开，只限于公司高层人员掌握。

(2)机密级。如公司的日常管理情况、会议通知等，此部分网址、密码不在互联网络上公开，只限于公司中层以上人员使用。

(3)秘密级。如公司简介、新产品介绍及订货方式等，此部分网址、密码在互联网络上公开，供消费者浏览，但必须有保护程序，防止黑客入侵。

8.4.4跟踪、审计、稽核制度

跟踪制度要求企业建立网络交易系统日志机制，用来记录系统运行的全过程。系统日志文件是自动生成的，内容包括操作日期、操作方式、登录次数、运行时间、交易内容等。它对于系统的运行监督、维护分析、故障恢复，对于防止案件的发生或在发生案件后为侦破提供监督数据，都可以起到非常重要的作用。

审计制度包括经常对系统日志的检查、审核，及时发现对系统故意入侵行为的记录和对系统安全功能违反的记录，监控和捕捉各种安全事件，保存、维护和管理系统日志。

稽核制度是指工商管理、银行、税务人员利用计算机及网络系统，借助于稽核业务应用软件调阅、查询、审核、判断辖区内各电子商务参与单位业务经营活动的合理性、安全性，堵塞漏洞，保证电子商务交易安全，发出相应的警示或做出处理处罚的有关决定的一系列步骤及措施。

8.4.5网络系统的日常维护制度

1.硬件的日常管理和维护

企业通过自己的网络、服务器和终端机参与电子商务活动，这些设备的日常管理和维护至关重要，特别是对那些运行关键任务的企业内部网络，如银行、邮电、税务等更是如此。

1)网络设备

(1)可管设备。对于网络设备，一般都有相应的网管软件，如IBM的Tivoli、HP的

OpenView、游龙的SiteView等。这些软件可以做到对网络拓扑结构的自动识别、显示和管理，网络系统节点的配置与管理，系统故障的诊断、显示及通告，网络流量与状态的监控、统计与分析，还可以进行网络性能调优、负载平衡等。

(2)不可管设备。对于不可管设备，应通过手工操作来检查状态，做到定期检查与随机抽查相结合，以便即时准确地掌握网络的运行状况，一旦有故障发生能够及时报告或处理。

2)服务器和客户机

这部分设备一般通过手工操作检查状态。在Unix环境下，可以用Shell命令写一个巡查程序(Ping和PS命令)，检查各服务器或客户机是否处于活动状态及各机的用户注册情况。如果服务器是冷备份，则应定时启动备份机检查。

3)通信线路

对于内部线路，应尽可能采用结构化布线，虽然采用布线系统在建网初期会增加投资，但这样可以大大降低网络故障率，即使有故障发生也较容易排除。对于租用电信部门的通信线路，网络管理员应对通信线路的连通情况做好记录，当有故障发生时，应及时与电信部门联系，以便迅速恢复通信。

2.软件的日常管理和维护

1)支撑软件

支撑软件包括操作系统(Unix或WindowsNT)、数据库(Oracle或Sybase)、开发工具(PowerBuilder、Delphi或C语言)等。对于操作系统，一般需要进行以下的维护工作：

(1)定期清理日志文件、临时文件；

(2)定期整理文件系统；

(3)监测服务器上的活动状态和用户注册数；

(4)处理运行中的死机情况等。

2)应用软件

应用软件的管理和维护主要是版本控制。为了保持各客户机上的版本一致，应设置一台安装服务器，当远程客户机应用软件需要更新时，就可以从网络上进行远程安装。

3.数据备份制度

备份与恢复主要是利用多种介质，如磁介质、纸介质、光碟、微缩载体等，对信息系统数据进行存储、备份和恢复。这种保护措施还包括对系统设备的备份。

8.4.6用户管理制度

广域网上一般都有几个至十几个应用系统，每个应用系统都设置了若干角色，用户管理的任务就是增加/删除用户、增加/修改用户组号。例如，要增加一个用户，须进行如下工作(以Unix为例)：

(1)在用户使用的客户机上增加用户并分配组号；

(2)在用户使用的服务器数据库上增加用户并分配组号；

(3)分配该用户的广域网访问权限。

8.4.7病毒防范制度

1.安装防病毒软件

应用于网络的防病毒软件有两种：一种是单机版防病毒产品，另一种是联机版防病毒产品。前者是以事后消毒为原理的，当系统被病毒感染之后才能发挥这种软件的作用，它适合于个人用户。这类产品有KV江民杀毒王、瑞星杀毒软件、NortonAntivirus等。后者属于事前的防范，其原理是在网络端口设置一个病毒过滤器，即事前在系统上安装一个防病毒的网络软件，它能够在病毒入侵到系统之前，将其阻挡在系统外边。这类软件有瑞星入侵检测系统RIDS-100等。

鉴于网络带宽的快速发展，基于网络的具有强大即时线上扫毒功能的在线杀毒技术得到快速推广。用户无须下载或安装任何软件，便可以迅速、简便地进行病毒防护和管理。

2.认真执行病毒定期清理制度

许多病毒都有一个潜伏期。有时候，虽然计算机还可以运行，但实际上已经染上了病毒。病毒定期清理制度可以清除处于潜伏期的病毒，防止病毒的突然爆发，使计算机始终处于良好的工作状态。

3.控制权限

可以将网络系统中易感染病毒的文件的属性、权限加以限制，对各终端用户，只许他们具有只读权限，断绝病毒入侵的渠道，达到预防的目的。

4.高度警惕网络陷阱

网络上常常会出现非常诱人的广告、免费使用的承诺，在从事网络营销时对此应保持高度的警惕。例如，有某些电子邮件声称为“为确定用户需求”而进行调查。作为对填写表格的回报，允许用户免费使用某种服务5小时。但是，该程序实际上是搜集用户的口令，并把它们发送给某个黑客。

网络病毒主要的传播渠道是电子邮件。由于文字处理软件Word具有夹带宏病毒的可能，所以，当收到陌生地址的电子邮件时，无论是Word文件还是执行文件，最好不要在进行网络交易的时候打开。

8.4.8应急措施

1.瞬时复制技术

瞬时复制技术就是计算机在某一灾难时刻自动复制数据的技术。它是通过使用磁盘镜像技术来复制数据。利用空白磁盘和每一数据磁盘相连，把数据拷贝到空白磁盘，在拷贝进行过程中，为保证数据的一致性，使用数据的应用程序被暂时挂起。当复制完成时，瞬时复制磁盘与数据磁盘脱离连接，应用程序继续运行。瞬时复制的备份数据可以典型地用来产生磁带备份或用作远程恢复节点的基本数据。

目前，大部分的系统厂商、存储设备供应商和软件开发商已利用这一技术开发了多种瞬时复制产品。IBM公司的RAMAC虚拟阵列和Veritas软件公司的软件都能提供瞬时复制功能。

2．远程磁盘镜像技术

远程磁盘镜像技术是在远程备份中心提供主数据中心的磁盘影像。这种技术的最主要的优点是可以把数据中心磁盘中的数据复制到远程备份中心，而无需考虑数据在磁盘上是如何组织的。系统管理员仅仅需要确定哪些磁盘需要备份到远程备份中心，存储在这些磁盘上的数据会被全自动地备份到远程备份中心，这对应用系统的安全是非常有利的。

目前计算机系统厂商提供的集成方案主要有：Compaq公司的OpenVMS平台上的Volume-Shadowing和IBM公司的DFSMS/MVS平台上的RemoteCopy。这两种产品在操作系统级提供物理磁盘的镜像复制。

3．数据库恢复技术

数据库恢复技术是产生和维护一份或多份数据库数据的复制。数据库复制技术为用户提供了更大的灵活性。数据库管理员可以准确地选择哪些数据可以被复制到哪些地方。对于那些在日常应用中使用大量联机数据的用户，可以选择少量最为关键的数据复制到远程，以减少对远程接待内存储系统的占用和对网络带宽的影响。大多数的复制服务器比磁盘镜像更加灵活，支持对数据的多个复制并传送到不同的地点，同时可选择哪些数据可以被复制到哪些地方。

数据库复制技术提供了非常灵活的手段，可在灾难发生后恢复应用数据，但还不是完整的解决方案，必须考虑其他方法作为补充。因为数据库复制技术不能复制非数据库格式的数据。所以，将数据库复制技术与远程磁盘镜像技术配合使用，常常可以获得更为良好的效果。

8.5电子商务交易安全的法律保障

8.5.1电子签名法律制度

2004年8月28日第十届全国人大常委会第十一次会议通过了《中华人民共和国电子签名法》(以下简称《电子签名法》)。《电子签名法》首次赋予可靠电子签名与手写签名或盖章具有同等的法律效力，并明确了电子认证服务的市场准入制度。《电子签名法》的出台是我国电子商务发展的里程碑，它的颁布和实施必将扫除电子签名在电子商务、电子政务和其他领域中应用的法律障碍，极大地改善我国电子签名应用的法制环境，从而大力推动我国信息化的发展。

1.电子签名的概念

《电子签名法》第二条规定：电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。

《电子签名法》在起草“电子签名”的定义时，主要考虑了两个问题：

(1)不偏重任何技术的原则。综合考虑数字加密技术的安全性问题1，考虑其他电子签名方式的发展问题，例如使用生物测定法或其他一些类似技术，因此，没有片面地强调某一技术。

(2)电子签名的实质。区别“签名”的法律概念和“电子签名”的技术概念，应将电子签名看作是一种与数据电文相关联的电子数据，而这一数据是在制作电子签名的过程形成的，并产生了对签名人和相关信息的核证作用，而没有简单地将其看作是一种方法和一种结果。

2.电子签名的功能

以纸张为基础的传统签名主要是为了履行下述功能：

(1)确定一个人的身份；

(2)肯定是该人自己的签名；

(3)使该人与文件内容发生关系。

3.可靠的电子签名的要求

《电子签名法》第十三条规定，电子签名同时符合下列条件的，视为可靠的电子签名：

(1)电子签名制作数据用于电子签名时，属于电子签名人专有；

(2)签署时电子签名制作数据仅由电子签名人控制；

(3)签署后对电子签名的任何改动能够被发现；

(4)签署后对数据电文内容和形式的任何改动能够被发现。

第十三条提出了认定可靠电子签名的四个基本条件，且四个条件需要同时满足。

第一款和第二款是归属推定。如果可以证明在电子签名过程中使用的、将电子签名与电子签名人可靠地联系起来的字符、编码等数据是由使用它的人或代表使用它的人专有或控制，即可满足可靠的电子签名的归属条件。

第三款和第四款是完整性推定。如果能证明在电子签名签署后可以发现电子签名的任何改动或发现数据电文内容和形式的任何改动，即可满足可靠的电子签名的完整性条件。

4.电子签名的法律效力

《电子签名法》第十三条规定，可靠的电子签名与手写签名或者盖章具有同等的法律效力。

这一条是《电子签名法》的核心，它确立了可靠的电子签名的法律效力。当一个电子签名被认定是可靠的电子签名时，该电子签名就与手写签名或者盖章具有了同等的法律效力。电子签名获得法律效力，意味着互联网上用户的身份确定成为可能。使用电子签名业务的用户将不再对与其交流信息的对方一无所知，在这个基础上，网络才有可能真正跃出媒体之外，充分运用到商务、政务、科学研究、日常生活等诸多方面，从而使“虚拟空间”真正全面地与现实世界接轨。

鉴于电子签名的推广需要有一个过程，《电子签名法》没有规定在民事活动中的合同或者其他文件、单证等文书中必须使用电子签名，而是规定当事人可以约定使用或者不使用电子签名、数据电文，但明确规定当约定使用电子签名、数据电文的文书后，当事人不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。

《电子签名法》中设定的适用范围有一定的前瞻性和包容性，即主要适用于商务活动，但又不限于商务活动，原则上涵盖使用电子签字的所有实际场合。

5.电子签名中当事各方的基本行为规范

《电子签名法》第十五条规定，电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时，应当及时告知有关各方，并终止使用该电子签名制作数据。

当电子签名的法律效力确定之后，电子签名就和个人的图章、单位的公章有了同样的地位和作用。因此，对于电子签名制作数据的保护必须与图章或公章的保护放在同等重要的地位。这不仅涉及到个人或单位自身利益的保护问题，而且对于维护电子商务交易秩序也具有非常重要的意义。

从电子签名人的角度看，妥善保管电子签名制作数据应注意以下几个方面的问题：

(1)建立完善的电子签名制作数据管理制度，妥善放置电子签名制作数据，严格控制网络内部用户的越权访问；

(2)设置防火墙、防病毒软件、物理隔离器之类的安全装置，并经常更新；

(3)定期评估网络、操作系统等自身的安全性，若发现系统漏洞，要及时更改；

(4)加强备份和灾难备份工作，定期更换电子签名制作数据；

(5)发现电子签名制作数据已经失密或者可能已经失密时，应当及时告知有关各方，并终止使用该电子签名制作数据。

8.5.2电子合同法律制度

1.电子合同及其书面形式

合同，亦称契约。根据我国《民法通则》第85条的规定，“合同是当事人之间设立、变更、终止民事关系的协议。依法成立的合同，受法律保护”。合同是当事人在地位平等基础上自愿协商产生的，它反映了双方或多方意思表示一致的法律行为。现阶段，合同已经成为保障市场经济正常运行的重要手段。

“电子合同”系指经由电子、光学或类似手段生成、储存或传递的合同。电子合同通过数据电文(包括电报、传真、电子数据交换和电子邮件)传递信息，其所包含的信息应能够有形地表现所载内容，并能够完整调取以备日后查用。

在使用纸张文件的环境下，传统的书面材料的功能很多，如提供的文件大家均可识读；提供的文件在长时间内可保持不变；可复制一文件以便每一当事方均掌握一份同一数据副本；可通过签字核证数据；提供的文件采用公共当局和法院可接受的形式等。

在电子技术引进之前，法律很少碰到文本在什么中介载体上呈现的问题。在电报、电传和传真产生之后，也没有出现不可克服的困难。尽管电报、电传和传真都包含电子脉冲的应用，但接收方从接收机中得到的一张通讯记录纸就足以形成书面的证据了。电子商务所利用的电子邮件和电子数据交换与电报、电传、传真非常相似，都是通过一系列电子脉冲来传递信息的。但电子商务通常不是以原始纸张作为记录的凭证，而是将信息或数据记录在计算机中，或记录在磁盘和软盘等中介载体中，因此，这种方法具有以下特点：

(1)电子数据的易消失性。电子数据以计算机储存为条件，是无形物。一旦操作不当可能抹掉所有数据。

(2)电子数据作为证据的局限性。传统的书面合同只是受到当事人保护程度和自然侵蚀的限制，而电子数据不仅可能受到物理灾难的威胁，还有可能受到计算机病毒等计算机特有的无形灾难的攻击。

(3)电子数据的易改动性。传统的书面合同是纸质的，如有改动，容易留下痕迹。而电子数据是以键盘输入的，用磁性介质保存的，改动、伪造后可以不留痕迹。

2.电子合同的订立

1)当事人所在地

对于电子合同来说，当事人所在地是一个极其复杂的问题。仅凭某人使用与某一特定国家相关联的域名或电子信箱地址，不能推定其营业地位于该国。因为现行域名指定系统最初不是按地名构思的。因此，一个域名与一个国家表面上的联系本身并不足以确定该域名使用者和该国之间有真正的、永久的联系。为了提高法律的确定性和可预见性，以电子方式缔结合同的当事方必须明确指明其相关的营业地所在地点。所以，提供货物或服务的当事人，应当向查阅这种信息系统的各方提供当事人营业地所在的地理位置和地址。

对于电子商务来说，可能存在下述情况：某个法律实体的活动可能完全或主要通过利用信息系统进行，除公司的组织章程在某个登记处注册登记外，没有一个固定的“场所”，或与任何实际地点没有任何联系。对于这样的“虚拟公司”来说，如果使用传统上用于确定某人营业地的同样标准，可能不合情理。所以，对无营业地的法律实体，可考虑信息系统的支持设备和技术的所在地，或可能与某种系统联通进行查询的访问地，以确定这类法律实体的营业所在地。

2)要约与邀请要约

根据《联合国销售公约》，非向一个人或一个以上特定的人提出的建议，仅应视为邀请要约，除非提出建议的人明确表示相反的意向。在有纸化环境下，报纸、杂志和电视中的广告、商品介绍、小册子或价目表等一般也被看作是邀请要约。因为在这些情况下承受约束的意图被认为是不明确的。如果当事方通过网址提供货物或服务，则情况会更复杂。因特网使得人们有可能把特定的信息发送给几乎无数的人，而当前的技术又可以使人们立即签定合同。所以，凡不是向一个人或几个特定的人提出，而是可供使用信息系统的人一般查询的，例如通过因特网网址发出的货物和服务要约，应当仅视为邀请要约，但其中指明在要约获接受时要约人打算受其约束的除外。

3)接受要约

在电子合同中，除非各当事人另有约定，要约和接受要约可以通过数据电文表示。对于电子数据交换、电子邮件，人们似乎已经习惯将它们列入数据电文了。但是，在电子商务交易中，还常常使用点击“同意”的按钮表示接受要约。然而，也正是这种行为引起了较多的法律纠纷。加拿大《统一电子商务法》第20节第(1)(b)款明确了这一问题：“触摸或点击计算机屏幕上适当指定的图标或位置”为表示同意的一种方式。

从联合国《电子商业示范法》第2条关于“数据电文”的定义看，“数据电文”系指“经由电子手段、光学手段或类似手段生成、储存或传递的信息，这些手段包括但不限于电子数据交换、电子邮件、电报、电传或传真”。如果某人点击一计算机屏幕上显示的“同意”按钮，有关“同意的意思表示”信息即通过网络线路传送到对方的计算机上，对方计算机的相关按钮在通信链的另一端接到“同意”的指令则被启动。此种信息虽然很短，但仍是通过电子手段传递的信息，所以仍应被视为符合“数据电文”的定义。

4)发出和收到

参照《电子签名法》第九条，电子合同有下列情形之一的，视为发件人发送：

(1)经发件人授权发送的；

(2)发件人的信息系统自动发送的；

(3)收件人按照发件人认可的方法进行验证后结果相符的。

当事人对前款规定的事项另有约定的，从其约定。

参照《电子签名法》第十一条和第十二条，收件人指定特定系统接收电子合同系统的，电子合同进入该特定系统的时间，视为该电子合同的接收时间；未指定特定系统的，电子合同进入收件人的任何系统的首次时间，视为该电子合同的接收时间。

当事人对电子合同的发送时间、接收时间另有约定的，从其约定。

发件人的主营业地为电子合同的发送地点，收件人的主营业地为电子合同的接收地点。没有主营业地的，其经常居住地为发送或者接收地点。

当事人对数据电文的发送地点、接收地点另有约定的，从其约定。

8.5.3我国电子商务交易安全的法律保护

1.我国涉及交易安全的法律法规

在现代社会的各种环节中，商品的交换扮演了非常重要的角色。相对于生产、分配及消费而言，交换体现了动态的效益价值，而交换秩序则是实现交换价值的基本前提。这种基本前提在法律上就表现为对交易安全的保护。交易安全较之静态的财产安全，在法律上亦体现了更丰富的自由、争议、效益与秩序的价值元素。

我国现行的涉及交易安全的法律法规主要有四类：

(1)综合性法律。主要是民法通则和刑法中有关保护交易安全的条文。

(2)规范交易主体的有关法律。如公司法、国有企业法、集体企业法、合伙企业法、私营企业法、外资企业法等。

(3)规范交易行为的有关法律。包括经济合同法、产品质量法、财产保险法、价格法、消费者权益保护法、广告法、反不正当竞争法等。

(4)监督交易行为的有关法律。如会计法、审计法、票据法、银行法等。

我国法律对交易安全的研究起步较晚，且长期以来注重对财产静态权属关系的确认和静的安全保护，未能反映现代市场经济交易频繁、活泼、迅速的特点。虽然上述法律制度体现了部分交易安全的思想，但大都没有明确的交易安全的规定，在司法实践中也没有按照这些制度执行。如《民法通则》第六十六条规定的“本人知道他人以本人的名义实施民事行为而不做否认表示则视为同意”，体现了交易安全中表见代理1的思想，但却没有形成一套清晰的表见代理制度。在