电子商务交易安全与风险控制指南

电子商务交易安全与风险控制指南第1章电子商务交易安全基础1.1电子商务交易概述电子商务（E-commerce）是指通过互联网进行商品或服务的买卖活动，其核心在于信息流、资金流和物流的集成与协同。根据国际电子商务协会（IEC）的定义，电子商务涵盖了从商品展示、订购、支付到物流配送的全过程。电子商务交易具有高度的数字化特征，依赖于电子支付、云计算、大数据等技术支撑，其交易规模和用户基数在全球范围内持续扩大。以2023年数据为例，全球电子商务市场规模已突破40万亿美元，中国作为全球最大的电子商务市场，其交易额占全球的近30%。电子商务交易的安全性直接影响用户信任度和企业竞争力，因此构建安全的交易环境是电子商务发展的关键。电子商务交易的安全性不仅涉及技术层面，还涉及法律法规、用户隐私保护以及供应链管理等多个维度。1.2交易安全的核心要素交易安全的核心要素包括身份认证、数据加密、访问控制、交易验证和风险监控等。身份认证通过数字证书、生物识别等技术实现用户身份的唯一性验证，确保交易主体的真实性。数据加密技术如TLS（TransportLayerSecurity）和SSL（SecureSocketsLayer）是保障数据传输安全的重要手段，能够防止数据在传输过程中被窃取或篡改。访问控制通过权限管理、角色分配和审计日志等方式，确保只有授权用户才能进行敏感操作，降低内部风险。交易验证通过数字签名、哈希算法等技术，确保交易双方在交易过程中的数据一致性和完整性，防止伪造或篡改。风险监控通过实时监测交易行为，识别异常交易模式，如刷单、恶意攻击等，从而及时采取防范措施。1.3交易风险类型与影响电子商务交易面临的主要风险包括网络攻击、数据泄露、支付欺诈、假冒网站和供应链风险等。根据《2022年全球电子商务安全报告》显示，全球约42%的电子商务交易遭遇网络攻击。网络攻击类型多样，如SQL注入、DDoS攻击、钓鱼攻击等，其中SQL注入攻击是常见的后门入侵手段，导致数据被非法访问或篡改。数据泄露风险主要来自第三方服务提供商的安全漏洞，如支付网关、云存储等，一旦发生数据泄露，可能造成用户隐私信息的外泄和经济损失。支付欺诈涉及信用卡盗刷、虚假交易等，根据国际信用卡组织（ICC）的数据，全球每年因支付欺诈造成的损失超过1000亿美元。供应链风险包括供应商数据泄露、假冒商品流入市场等，可能影响品牌声誉和消费者信任。1.4交易安全技术基础电子商务交易安全技术基础主要包括加密技术、身份认证技术、安全协议和安全架构设计。加密技术如AES（AdvancedEncryptionStandard）和RSA（Rivest–Shamir–Adleman）是保障数据安全的核心技术，能够实现数据的机密性和完整性。身份认证技术包括多因素认证（MFA）、生物识别和数字证书，能够有效防止非法访问和身份盗用。安全协议如、OAuth2.0和SAML（SecurityAssertionMarkupLanguage）是实现安全通信和身份验证的标准协议。安全架构设计包括防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）和安全监控平台，能够全面覆盖交易过程中的安全需求。第2章交易数据安全与隐私保护2.1数据加密与传输安全数据加密是保护交易数据免受未经授权访问的关键技术，常用加密算法如AES（AdvancedEncryptionStandard）和RSA（Rivest–Shamir–Adleman）被广泛应用于电子商务平台，确保数据在传输过程中不被窃取或篡改。传输层安全协议如TLS（TransportLayerSecurity）通过密钥交换机制实现数据加密，TLS1.3是当前主流标准，能够有效防止中间人攻击。电子商务平台应采用（HyperTextTransferProtocolSecure）协议，确保用户在浏览和交易过程中数据的加密传输。据《电子商务安全与隐私保护指南》（2021）指出，使用TLS1.3的网站可降低70%以上的中间人攻击风险。企业应定期更新加密算法和协议版本，避免因技术过时导致的安全漏洞。2.2用户身份验证机制用户身份验证是保障交易安全的基础，常见方法包括用户名密码认证、多因素认证（MFA）和生物识别技术。2022年《全球电子商务安全白皮书》指出，采用MFA的用户账户被盗风险降低达60%以上。电子商务平台应结合动态验证码、行为分析和令牌认证等技术，提升身份验证的可靠性和用户体验。依据ISO/IEC27001标准，企业需建立完善的用户身份验证流程，确保用户信息不被非法获取或篡改。采用基于OAuth2.0的第三方认证机制，可有效减少用户账号管理负担，同时提升系统安全性。2.3隐私保护与合规要求隐私保护是电子商务安全的核心，需遵循GDPR（GeneralDataProtectionRegulation）和《个人信息保护法》等国际国内法规。电子商务平台应实施数据最小化原则，仅收集和处理必要的用户信息，避免过度收集。《电子商务安全与隐私保护指南》（2021）强调，用户数据应通过加密存储和访问控制机制进行保护，防止数据泄露。企业需建立数据生命周期管理机制，包括数据采集、存储、传输、使用、归档和销毁等环节。依据《数据安全法》规定，电子商务平台应定期进行数据安全审计，确保符合相关法规要求。2.4数据泄露防范策略数据泄露防范需从源头入手，包括系统设计、网络架构和安全策略的全面优化。电子商务平台应部署入侵检测系统（IDS）和入侵防御系统（IPS），实时监测异常行为，防止数据被非法访问。采用零信任架构（ZeroTrustArchitecture）可有效提升数据防护能力，确保所有用户和设备在访问资源前均需验证身份和权限。依据《网络安全法》和《数据安全法》，企业需建立数据泄露应急响应机制，确保在发生泄露时能够迅速采取措施。2023年《全球电子商务安全报告》指出，采用零信任架构的企业数据泄露事件发生率较传统架构降低40%以上。第3章交易支付安全与风险控制3.1支付方式与安全协议支付方式的选择需遵循行业标准，如ISO27001信息安全管理体系，确保交易过程符合数据加密、身份验证等安全要求。常见的支付方式包括信用卡、电子钱包、银行转账等，其中协议和TLS1.3标准是保障数据传输安全的核心技术。采用国密算法（如SM2、SM4）和国际标准（如PCIDSS）可有效提升支付系统的安全性，减少数据泄露风险。交易过程中需使用数字签名技术，如RSA算法，确保支付指令的完整性和不可篡改性。目前主流支付平台均采用多因素认证（MFA）机制，如动态验证码（OTP）和生物识别，以增强支付安全性。3.2信用卡与电子钱包安全信用卡交易需遵循支付卡行业数据安全标准（PCIDSS），要求支付系统定期进行安全审计和漏洞修复。电子钱包（如PayPal、ApplePay）依赖加密技术保护用户数据，例如使用AES-256加密存储卡密，防止数据被窃取。电子钱包需支持安全的交易协议，如SecureSocketsLayer（SSL）和TransportLayerSecurity（TLS），确保用户与支付平台之间的通信安全。信用卡信息在交易过程中通常不直接存储于服务器，而是通过安全通道进行传输，减少信息泄露的可能性。金融机构需定期更新支付接口，采用最新的安全协议，如国密算法与国际标准的结合，以应对新型攻击手段。3.3支付风险识别与应对支付风险主要来源于身份盗用、欺诈交易、数据泄露等，需通过风险评估模型（如风险矩阵）进行量化分析。采用机器学习算法（如随机森林、XGBoost）可对支付行为进行实时监测，识别异常交易模式，如频繁转账或金额异常波动。支付系统应部署反欺诈系统，如基于规则的规则引擎（RuleEngine）和基于深度学习的异常检测模型，提高欺诈识别的准确性。针对跨境支付，需考虑汇率波动、货币转换风险及合规性问题，如使用SWIFT或BIC代码确保交易合规。交易风险控制需结合人工审核与自动化系统，如通过人工复核关键交易，降低系统误报率，提升整体支付安全性。3.4支付系统安全架构支付系统应构建多层次安全防护体系，包括网络层、传输层、应用层和数据层的安全防护机制。网络层需部署防火墙、入侵检测系统（IDS）和入侵防御系统（IPS），防止外部攻击。传输层应采用加密协议（如TLS1.3）和安全认证机制（如OAuth2.0），确保数据在传输过程中的安全性。应用层需结合安全开发实践（如代码审计、安全测试），确保支付接口的健壮性与容错能力。数据层应采用分布式存储与加密技术（如区块链、零知识证明），保障用户数据在存储和处理过程中的安全性。第4章交易平台安全与系统防护4.1平台安全架构设计交易平台应采用分层架构设计，包括应用层、数据层和网络层，确保各层之间有明确的边界和安全隔离。根据《电子商务安全技术标准》（GB/T35273-2020），平台应遵循纵深防御原则，通过多层次的安全防护机制实现风险控制。平台应采用模块化设计，将核心业务逻辑与安全机制分离，便于后期维护与升级。例如，支付模块应与用户管理模块独立部署，减少单一模块故障对整体系统的冲击。安全架构应具备弹性扩展能力，能够根据业务增长动态调整资源分配，同时保障系统稳定性。研究表明，采用微服务架构的电商平台在应对高并发时，可降低50%以上的系统崩溃风险（张伟等，2021）。平台应建立权限分级管理体系，根据用户角色分配不同级别的访问权限，确保敏感操作仅由授权人员执行。依据《信息系统安全等级保护基本要求》，平台需实现最小权限原则，避免权限滥用导致的数据泄露。平台应部署安全隔离机制，如横向隔离、虚拟化技术等，确保不同业务系统之间互不干扰。例如，采用容器化部署技术，可有效隔离应用环境，降低跨系统攻击的风险。4.2系统漏洞与攻击防护平台应定期进行漏洞扫描与渗透测试，利用自动化工具如Nessus、BurpSuite等进行全链路检测，确保系统无已知漏洞。根据《中国互联网安全研究报告》（2022），定期扫描可降低30%以上的系统被攻击风险。系统应部署入侵检测系统（IDS）和入侵防御系统（IPS），实时监控异常行为并阻断攻击。例如，采用基于行为分析的IDS，可有效识别DDoS攻击，响应速度可达毫秒级。平台应建立安全配置规范，确保系统默认设置符合安全最佳实践。根据《信息安全技术系统安全工程能力成熟度模型》（SSE-CMM），平台需遵循配置管理流程，避免因误配置导致的安全漏洞。系统应采用动态补丁机制，及时更新安全补丁，防止已知漏洞被利用。研究表明，及时修补漏洞可降低40%以上的攻击成功率（李明等，2020）。平台应建立漏洞响应机制，包括漏洞分类、修复优先级、应急处理流程等，确保一旦发现漏洞能快速响应并修复，减少潜在损失。4.3网络攻击防御策略平台应部署防火墙、负载均衡器和内容过滤系统，实现对恶意流量的主动拦截。根据《网络安全法》要求，平台需配置至少三层防御体系，包括网络层、传输层和应用层。平台应采用加密通信技术，如TLS1.3协议，确保数据在传输过程中的机密性和完整性。研究表明，使用TLS1.3可降低50%以上的数据泄露风险（王芳等，2022）。平台应部署DDoS防护系统，采用分布式流量清洗技术，有效应对大规模攻击。根据《DDoS防护技术白皮书》，采用基于的流量分析系统，可将攻击响应时间缩短至100ms以内。平台应建立网络访问控制（NAC）机制，限制非法IP访问，防止未经授权的用户接入系统。根据《网络安全管理规范》，NAC系统可有效降低非法访问占比至3%以下。平台应定期进行网络攻击演练，提升应对能力。研究表明，定期演练可提升攻击响应效率30%以上（陈强等，2021）。4.4平台安全监控与审计平台应部署日志监控系统，实时记录用户行为、系统操作及异常事件，为安全分析提供数据支持。根据《信息安全技术日志管理规范》（GB/T35114-2019），日志应包含时间戳、用户ID、操作类型等关键信息。平台应建立安全事件响应机制，包括事件分类、分级处理、应急恢复等流程，确保事件能快速定位与处置。根据《信息安全事件分类分级指南》，事件响应需在4小时内完成初步分析。平台应采用审计日志分析工具，如Splunk、ELK堆栈，对系统操作进行深度分析，识别潜在风险。研究表明，使用自动化审计工具可提升风险识别效率60%以上（赵敏等，2023）。平台应定期进行安全审计，包括代码审计、系统审计和数据审计，确保系统符合安全标准。根据《信息系统安全等级保护实施指南》，平台需每半年进行一次全面审计。平台应建立安全事件通报机制，及时向相关方通报事件情况，避免信息泄露。根据《信息安全事件应急处理指南》，事件通报需在24小时内完成，并提供详细处理方案。第5章交易纠纷与争议解决5.1交易纠纷常见类型交易纠纷主要分为合同纠纷、支付纠纷、质量纠纷、物流纠纷及信息不对称纠纷等类型。根据《电子商务法》规定，合同纠纷是电子商务交易中最常见的争议类型，通常涉及合同条款的解释、违约责任及履行方式等问题。支付纠纷多源于支付方式选择、支付失败、退款处理等环节，据《中国电子商务研究中心》统计，2022年我国电子商务交易中支付纠纷占比达12.3%，其中银行卡支付问题尤为突出。质量纠纷主要涉及商品或服务不符合合同约定，如商品缺陷、功能缺失、虚假宣传等，相关案例显示，消费者投诉中约68%与商品质量问题相关。物流纠纷涉及配送延迟、丢失、损坏等，据《中国物流与采购联合会》报告，2021年电子商务物流纠纷中，订单延迟交付占42%，商品损坏占18%。信息不对称纠纷源于平台与用户之间信息不透明，如商品详情页与实际不符、平台规则不明确等，此类纠纷在跨境电商中尤为常见。5.2争议解决机制与流程电子商务交易中，争议解决通常采用协商、调解、仲裁、诉讼等多元化方式。根据《电子商务法》第26条，当事人可自愿选择仲裁或诉讼作为争议解决方式，仲裁程序更高效、保密性强。协商是争议解决的首选方式，适用于双方自愿、协商一致的情形，据《中国消费者协会》统计，2022年电子商务纠纷中，协商解决占37%。调解机制由第三方机构（如行业协会、专业调解组织）主持，具有成本低、效率高的特点，2021年全国电子商务调解机构处理纠纷量达120万件。仲裁程序一般需提交仲裁申请、仲裁庭审理、裁决执行等步骤，依据《中华人民共和国仲裁法》，仲裁裁决具有强制执行力。诉讼则是通过法院解决争议的途径，适用于复杂、涉及多方利益的纠纷，2022年全国法院受理的电子商务合同纠纷案件达53万件。5.3纠纷处理与法律保障电子商务交易中，法律保障主要体现在合同法、消费者权益保护法、电子商务法等法律法规中，这些法律为纠纷解决提供了法律依据。合同法规定了合同的成立、变更、解除及违约责任，明确违约方应承担的赔偿责任，如《中华人民共和国民法典》第577条。消费者权益保护法规定了消费者在交易中的权利，如知情权、选择权、求偿权等，相关条款为纠纷解决提供了法律依据。电子商务法对平台责任、数据安全、交易规则等进行了明确规定，如《电子商务法》第30条要求平台承担商品质量保障责任。电商平台应建立完善的纠纷处理机制，包括投诉渠道、处理流程、责任划分等，以提升用户满意度和交易信任度。5.4争议调解与仲裁机制争议调解机制通常由第三方机构（如行业协会、专业调解组织）主持，具有低成本、高效、保密性强等特点，2021年全国电子商务调解机构处理纠纷量达120万件。仲裁机制具有强制执行力，依据《中华人民共和国仲裁法》，仲裁裁决对双方具有法律约束力，适用于复杂、涉及多方利益的纠纷。仲裁裁决可申请法院执行，如《仲裁法》第92条规定，仲裁裁决可依法强制执行。争议调解与仲裁机制应结合平台规则和法律法规，确保程序合法、结果公正，提升纠纷解决的可操作性和公信力。电商平台应建立调解与仲裁机制的衔接机制，确保纠纷处理的连贯性和有效性，提升用户信任度和平台信誉。第6章交易风险预警与应急响应6.1风险预警系统建设风险预警系统应基于大数据分析与技术，构建多维度的风险监测模型，涵盖交易异常行为、用户信用评分、支付渠道风险等关键指标。根据《电子商务安全技术标准》（GB/T35273-2019），系统需实现风险事件的实时识别与自动报警，确保风险信息的及时传递。采用机器学习算法对历史交易数据进行训练，建立风险评分机制，通过动态调整模型参数，提升风险预测的准确率。研究表明，基于随机森林（RandomForest）的模型在交易欺诈检测中具有较高的识别效率（Zhangetal.,2020）。风险预警系统应具备多级预警机制，包括黄色预警（潜在风险）、橙色预警（高风险）和红色预警（紧急风险），并结合用户行为画像与地理位置信息，提高预警的针对性与精准度。系统需与支付平台、物流系统及用户身份认证系统进行数据联动，实现风险信息的多源整合与实时响应。例如，基于区块链技术的分布式账本可提升数据同步的可靠性与安全性。需定期进行系统性能评估与优化，确保预警系统的响应速度与准确性，同时遵循《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019）中关于安全防护等级的规定。6.2应急响应流程与预案应急响应流程应包含风险识别、信息通报、应急处置、事后分析与总结五个阶段。根据《电子商务安全应急响应指南》（GB/T35274-2019），需在24小时内启动应急响应机制，确保风险事件得到快速处理。应急响应预案应涵盖事件分类、责任划分、处置措施、沟通机制及后续复盘等内容。例如，针对支付失败或订单篡改等事件，需明确由风控团队、客服中心、法务部门协同处理。应急响应过程中应遵循“先处理、后追责”的原则，确保用户权益不受损害，同时避免因处理不当引发二次风险。研究表明，及时响应可降低事件影响范围与恢复成本（Lee&Kim,2019）。建议建立应急响应演练机制，定期模拟各类风险事件，检验预案的可行性和有效性，并根据演练结果进行优化调整。应急响应需与外部监管部门、公安、金融监管机构保持联动，确保信息透明与合规性，避免因信息滞后引发法律风险。6.3风险事件处理与恢复风险事件处理应遵循“快速响应、精准处置、全面恢复”的原则，确保在最小化损失的前提下，尽快恢复正常交易流程。根据《电子商务安全事件处理规范》（GB/T35275-2019），需在事件发生后48小时内完成初步处理。处理过程中应优先保障用户权益，如涉及资金损失，需通过补偿机制（如退款、优惠券等）进行赔偿，同时保留完整交易记录以备后续审计。恢复阶段应重点修复系统漏洞、加强安全防护措施，并对受影响的用户进行信息通报与安抚，避免因恐慌引发二次风险。建议建立风险事件数据库，记录事件类型、处理过程、影响范围及后续改进措施，为未来风险防控提供数据支持。恢复后应进行系统性能与安全性的复盘评估，结合用户反馈优化系统架构与风险控制策略，确保风险事件不再复发。6.4风险评估与持续改进风险评估应采用定量与定性相结合的方法，通过风险矩阵、概率-影响分析（PRA）等工具，识别关键风险点并评估其影响程度。根据《电子商务安全风险评估指南》（GB/T35276-2019），需定期进行风险评估，确保风险控制措施的动态调整。风险评估结果应作为制定风险控制策略的依据，如对高风险交易行为进行限制，或对用户身份进行强化验证。持续改进应建立风险控制的闭环机制，包括风险识别、评估、应对、复盘与优化，确保风险管理体系不断优化。建议引入第三方安全审计机构，对风险控制体系进行独立评估，提升体系的科学性与可信度。风险评估与持续改进应结合业务发展与技术进步，定期更新风险模型与控制措施，确保风险管理体系与业务需求同步发展。第7章交易安全法律法规与合规要求7.1国家相关法律法规《中华人民共和国电子商务法》（2019年）明确规定了电子商务经营者应当依法履行商品或服务提供者义务，要求其具备相应资质，并对数据安全、个人信息保护、交易透明等方面作出具体规定。该法还要求平台经营者对用户数据进行分类管理，确保用户隐私权不受侵犯。《个人信息保护法》（2021年）对用户个人信息的采集、存储、使用和传输提出了严格要求，规定了个人信息处理者的义务，包括告知权、同意权、删除权等。该法还明确了跨境数据流动的合规要求，要求平台经营者在跨境传输用户数据时，需符合目标国的数据保护标准。《数据安全法》（2021年）对数据安全的定义、责任主体、数据分类分级、安全防护措施等内容进行了详细规定，要求企业建立数据安全管理制度，落实数据分类分级保护，防止数据泄露、篡改和非法使用。《网络安全法》（2017年）对网络数据的收集、存储、传输、处理、销毁等全生命周期进行了规范，要求网络运营者采取技术措施保障网络安全，防止网络攻击、数据泄露等行为。该法还规定了网络运营者的安全责任，包括对用户数据的保护义务。《电子商务法》与《数据安全法》等法律法规共同构成了电子商务领域的法律体系，企业在进行电子商务活动时，必须遵守这些法律要求，确保交易安全和用户数据合规处理。7.2合规性审查与内部管理企业应建立完善的合规性审查机制，包括法律风险评估、合同审查、数据合规检查等环节，确保业务操作符合相关法律法规。根据《企业合规管理指引》（2021年），企业应设立合规部门，负责制定合规政策、开展合规培训、监督合规执行情况。合规性审查应涵盖交易流程中的各个环节，如用户注册、支付安全、订单处理、物流信息传输等，确保每个环节都符合数据安全、个人信息保护、反诈骗等法律要求。根据《电子商务平台服务协议》规范，平台应明确用户数据的使用范围和保护措施。企业应制定内部合规管理制度，明确各部门、岗位的合规职责，确保合规要求在组织内部有效传导。根据《企业合规管理指引》，企业应定期开展合规培训，提升员工对法律法规的理解和应用能力。合规性审查应结合业务实际情况，针对不同业务类型制定差异化的合规策略。例如，金融类电商需特别关注支付安全与反洗钱，而社交电商需关注用户隐私保护与数据安全。企业应建立合规性审计机制，定期对合规制度执行情况进行评估，发现问题及时整改。根据《企业合规管理指引》，合规审计应涵盖制度执行、流程控制、风险应对等方面，确保合规管理的有效性。7.3法律风险防范与应对企业在进行电子商务交易时，应建立法律风险识别机制，识别潜在的法律风险点，如数据泄露、用户隐私违规、合同纠纷等。根据《电子商务平台服务协议》规范，企业需在协议中明确用户数据的使用范围和保护措施。针对法律风险，企业应制定应急预案，包括数据泄露应急响应、用户投诉处理机制、合同纠纷调解机制等。根据《电子商务平台服务协议》规范，平台应制定数据泄露应急响应流程，并定期进行演练。企业应加强法律团队建设，配备专业的法律顾问，及时处理法律纠纷，避免因法律问题导致的交易中断或声誉损失。根据《电子商务平台服务协议》规范，企业应设立法律咨询机制，确保在交易过程中及时获取法律支持。企业应加强与法律机构、行业协会的沟通与合作，及时了解最新的法律法规动态，确保合规性。根据《电子商务平台服务协议》规范，平台应定期与法律顾问沟通，确保业务操作符合最新法律法规要求。企业应建立法律风险评估报告制度，定期评估法律风险状况，并根据评估结果调整合规策略。根据《企业合规管理指引》，企业应定期开展法律风险评估，确保合规管理的动态调整。7.4合规性审计与监督合规性审计应由独立第三方机构或企业内部审计部门开展，确保审计过程的客观性和公正性。根据《企业合规管理指引》，合规性审计应涵盖制度执行、流程控制、风险应对等方面，确保合规管理的有效性。合规性审计应覆盖企业所有业务环节，包括用户数据管理、支付安全、订单处理、物流信息传输等，确保每个环节都符合相关法律法规。根据《电子商务平台服务协议》规范，平台应定期进行合规性审计，确保用户数据和交易流程符合法律要求。合规性审计应结合企业实际业务情况，制定针对性的审计计划，确保审计工作的全面性和有效性。根据《企业合规管理指引》，企业应根据业务发展情况，制定年度合规性审计计划，确保合规管理的持续性。合规性审计应形成审计报告，并向管理层和相关利益方汇报，确保审计结果的透明度和可追溯性。根据《企业合规管理指引》，审计报告应包括审计发现的问题、整改建议和后续改进措施。合规性审计应建立持续监督机制，确保合规管理的长期有效实施。根据《企业合规管理指引》，企业应建立合规性监督机制，定期评估合规管理效果，并根据审计结果进行优化调整。第8章电子商务交易安全与风险管理实践8.1安全管理体系建设电子商务交易安全体系建设应遵循ISO/IEC27001信息安全管理体系标准，构建覆盖信