論電子商務的安全問題

 電子商務（electronic commerce），是指實現整個貿易活動的電子化。從涵蓋范圍方面可以定義為：交易各方以電子交易方式而不是通過當面交換或直接面談方式進行的任何形式的商業交易。從技術方面可以定義為：電子商務是一種多技術的集合體，包括交換數據（如電子數據交換、電子郵件）、獲得數據（如共享數據庫、電子公告牌）以及自動捕獲數據（如條形碼）等。
 20世紀90年代以來，隨著Internet的迅速發展，計算機網絡得到了飛的發展，遍及生活的每個角落。尤其是越來越多的商家開始利用Internet進行商務交往使貿易活動實現了電子化。從最初的單純的的網上發布和傳遞信息到在網上建立商務信息中心，從在傳統的貿易方式到電子化交易再到網上建立虛擬市場等。可以看出電子商務代表著21世紀的網絡應用的發展方向。
 電子商務是利用計算機通過網絡來實現的，有關計算機的安全問題早已引起人們的擔憂。要保證電子商務的正常運作，就必須高度重視安全問題。電子商務安全不是一堵防火墻或是一個電子簽名就能簡單解決的問題。處理不好將是致命的，因為它不單單關系到個人財產還關系到國家的經濟安全、國家經濟秩序穩定等。
 一、電子商務的安全問題涉及哪幾個方面
 分析電子商務安全問題，主要依據對它整個運作過程的分析，確定流程中可能出現的種種問題。對于現階段來說，電子商務安全問題主要涉及到信息的安區問題、信用的安區問題、安區的管理問題和電子商務的法律問題。
 一、信息安全
 只要有網絡的地方，就會有病毒。它可讓你電腦里面的一些資料不翼而飛或是跟原來保存的內容不一致或是多出一些不知名程序來。而對于電子商務來說，信息安全問題主要來自以下幾個方面：
 1．冒名偷竊
 很多“黑客”為了獲取重要的商業秘密、資源和信息，常常采用源IP地址欺騙攻擊。入侵者偽裝成源自一臺內部主機的一個外部地點傳送信息包（信息包包含內部系統的IP地址段），在E-mail服務器使用報文傳輸代理中冒名他人，竊取所需信息。這種手段對一些小型企業造成的危害特別大。因為小型企業本來就存在資金的不足，管理層對通信的安全關注不大，沒有充裕的專項資金和專業的安全管理團隊，一臺服務器、幾套通信設備就構成了企業的信息部門。在這個計算機病毒滿天飛的年代里，沒有好的硬件和軟件作為基礎，將很難會有安全的通信渠道。
 2．篡改數據
 “黑客”在未經授權進入電子商務系統，使用非法手段刪除、修改、重發某些重要信息，破壞數據的完整性，損害他人的經濟利益，或是干擾對方的正確決策。“冰河”這種病毒就可以輕易的實現以上這些問題了，它主要是以遠程監控、登陸為主要手段，實行全權控制。
 3．信息丟失
 交易信息的丟失，通常有三種情況：通信線路問題造成的信息丟失；在不同的操作平臺上轉換操作從而丟失信息還有安全措施不全面，受到病毒入侵而造成的信息丟失。前兩種原因出現的幾率不高，處于能忍受的地步，但后面的就是人為因素了，這是不可原諒的行為。
 4．信息傳遞出問題
 信息在網絡上傳遞時，要經過多個環節和渠道。由于計算機技術的發展迅速，原有的病毒防范技術、加密技術、防火墻技術等始終存在著被新技術攻擊的可能性。計算機病毒的侵襲，“黑客”的非法侵入，線路竊聽等很容易使重要數據在傳遞過程中泄密，從而使電子商務交易中出現不良后果。
 二、信用的安全問題
 1．來自買方的信用安全問題
 對于個人消費者來說，可能存在的在網絡上使用信用卡進行支付時惡意透支或使用偽造的信用卡騙取賣方的貨物行為；對于集團購買者來說，存在拖延貸款的可能，賣方需要為此承擔安全風險。
 2、來自賣方的信用安全問題
 賣方不能按時、按質、按量送寄消費者購買的貨物，或者不能完全覆行與集團購買者簽訂的合同，造成買方的安全風險。
 3、買賣雙方都存在抵賴的情況
 不管出于什么原因，買賣雙方都有出現過抵賴曾經發生過的交易。
 三、安全的管理問題
 嚴格管理是降低電子商務風險的重要保證，特別是在網絡商品中介交易的過程中，客戶進入交易中心，買賣雙方簽訂合同，交易中心不僅要監督買方按時付款，還要監督賣方按時提供符合合同要求的貨物。在這個環節上，都存在著大量的管理問題。
 目前，人員管理常常是電子商務安全管理上最薄弱的環節。近年來我國計算機犯罪大都呈現內部犯罪的趨勢，內部問題是所有問題中危害最大的也是最難解決。提高人員素質是必不可少的，另外，電子商務管理上的漏洞也帶來較大的交易安全問題。
 此外，目前現有的信息系統絕大多數都缺少安全管理員，缺少信息系統安全管理的技術規范，缺少定期的安全測試與檢查，更缺少安全監控。
 四、安全的法律保障問題
 電子商務的技術設計是先進、超前的、具有強大的生命力。但同時也是必須清楚地認識到，在目前的法律上是找不到或很少有現有的條文來保護電子商務交易中的交易方式的，畢竟它在中國還是新事物，只有少數高學歷、高收入的人群才會去接觸，吸引不了眾多人群的注意，造成了在網上交易可能會承擔由于法律滯后而造成的安全風險。
    二、安全問題出現的原因
 從上面的幾個問題我們看出，它是隨著時代、科技的發展而衍生的。首先，電子商務是在計算機網絡出現后才出現的，是Internet未來應用的方向，作為新生事物，在現在的生活中，還沒能完全與之相適應。
 我國由于發展比較晚，經濟較為落后，造成了網絡通信的不先進，電子商務是以網絡通信作為基礎的，在基礎不好的情況下，電子商務的發展就跟為艱難了，不少相應的配套設施、技術都沒有在我們身邊出現過。
 能用上電子商務交易的，眾多的人群中，只占了極少數，甚至部分人連銀行卡都還不會用。由于推廣力度不夠，感覺不到它的真正的作用，讓人產生一種錯覺“不實用，存在不久”從而投入不大，相關技術和制度遲遲跟不上現狀，令不少不法分子有空可鉆，導致出現更大的損失。
 在錯覺的前提下，帶動了與之相關的法律制度、管理制度和人力資源都得不到質的發展。任何一種新生事物，都要有相配的制度才能使其原著正確的路線走下去，不然必定給時代所淘汰。運用于商業用圖的事物，肯定也少不了獨特的管理方法了，商家的目的在于利潤，管理是獲取利潤的手段，沒了利潤作為行動的基礎，再好再先進的事物都能將其拋棄。再有一種原因是人的因素，作為提供技術支持的媒介，相關人員必須對電子商務原理、運作和處理有深刻的了解和熟識。但，實際社會上這類人員相當缺乏。
 另外，目前還缺乏對網絡犯罪有效的反擊和跟蹤手段，“黑客”攻擊完后耍手就走，就像去游樂園哪樣想怎樣就怎樣。
 最后是，商家很多已經開發出來的軟件會存在這樣或者那樣的漏洞，特別是某些商家為了搶占市場，把還沒完全實現原設計的功能，就投入市場，這給不法分子有機可乘，讓人難以防范。
 三、安全問題的防治
 談到防治，人們首先想到的是技術保障措施，但僅從技術出發還會存在很多問題的。電子商務安全保障要采用綜合防范的思路，從技術、管理、法律等方面去認識去思考來尋求解決的方法。
 總的來說，電子商務安區的防治要從三個方面下手：1.信息技術方面的措施；2.信息安全管理制度的保障；3.社會的法律政策與法律保障
信息技術方面的措施。
 技術措施涉及到防火墻、信息加密、數字簽名、驗證技術、數字證書
 防火墻是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。它作為最早化、最成熟的網絡產品，其功能主要就是防范外部攻擊，改進的防火墻技術更可有效地控制內部和病毒的破壞。所有的防火墻設計都要遵照兩條基本原則，即未被允許的即禁止，未被禁止的即允許。同時在選用防火墻的時候要考慮到網絡結構、業務應用系統需求、用戶及通信流量規模方面的需求以及可靠性、可用性和易用性等方面的需求。
 1〉加密技術是信息安全技術中一個重要的組成部分。
 所謂“加密”就是用基于數學方法的程序和保密的密鑰對信息進行編碼，把計算機數據變成一堆雜亂無章難以理解的字符串，也就是明文變密文，這樣，即使被竊取也無法辨認原文。加密是由加密和解密過程組成的，一般，發送方在發送信息前先用加密程序將明文加密成密文，接受方在接收到信息后，用解密程序將密文解釋成明文。所以加密可以有效地對抗信息的被攔截及竊取。
 數據傳輸加密技術主要是對傳輸中的數據流進行加密，常用的有鏈路—鏈路加密、節點加密、端—端加密、ATM網絡加密和衛星通信加密五種方式。應根據信息系統安全策略來制定保密策略，選擇合理、合適的加密方式。
 2〉數字簽名其實就是伴隨著數字化編碼的消息一起發送并與發送的信息有一定邏輯關聯的數據項。借助數字簽名可以確定消息的發送方，同時還可以確定消息自發出后未被修改過。
 在電子商務中，利用這樣的數字簽名機制，交易中接收訂單的一方可以對發送方發出的訂單要求進行驗證，確認該訂單不是由不懷好意的黑客偽造的。
 3〉驗證是在遠程通信中獲得的信任的手段，使安全服務中最為基本的內容，因為必須通過可靠的驗證來進行訪問控制，決定誰有權接收或修改信息。
 驗證方法通常有：1.基于口令的驗證；2驗證協議；3.基于個人令牌的驗證；4.基于生物統計特征的驗證；5.基于地址的驗證；6.數字時間戳驗證
 由于在電子商務交易中，買賣雙方在交易過程中是互不照面的，因此需要一種事物來表明自己的身份，以示自己是一個合法的用戶，電子商務中的數字證書就是這樣一種由權威機構發放的證明身份的事物。
 4〉數字證書的類型有：1.個人數字證；2.服務器證書；3.開發者證書
信息安全管理制度的保障
 安全管理措施通常是以制度的形式出現的，即用條文對各項安全要求做出規定。這些制度包括人員管理制度，保密制度，系統維護制度，數據備份（容災）制度，病毒防范制度。
人員管理制度
人作為電子商務活動的媒介，媒介的好壞也可以說是決定了事物的未來。作為網絡管理員這樣的人員，需要具備相當的職業道德和技術基礎。因為網絡管理員好比關口的檢查人員，他關系到內部和外部的安全。
保密制度
 從事電子商務工作的企業，內部會涉及很多保密信息，如客戶隱私、公司財務狀況、密鑰等，而每類信息又有不同的安全級別，哪些是可以讓客戶隨意訪問的，哪些是公司普通員工可以訪問的，哪些又是高級員工才能訪問的，這些都應該通過保密制度明確下來。
系統維護制度
 系統維護制度主要包括硬件和軟件的日常管理與維護。我們通常所說的系統硬件是指通信雙方、通信通道以及網絡設備。
數據備份（容災）制度
 容災按照其容災能力的高低可分為多個層次：從最簡單的僅在本地進行磁帶備份，到將備份的磁帶存儲在異地，再建立應用系統實時切換的異地備份系統。企業應根據自身情況，對不同安全級別的數據制定不同的數據容災制度。
病毒防范制度
 病毒對網絡交易的順利進行和交易數據的妥善保存造成極大的威脅。從事網上交易的企業和個人都應當建立病毒防范制度，排除病毒的、騷擾。通常的解決方案有：
·以網為本，防重于治。
 防治病毒應該從網絡整體考慮，從方便減少管理人員的工作入手，透過網絡管理PC機。
·與網絡管理集成
 網絡防病毒最大的優勢在于網絡的管理功能，如果沒有把網絡管理加上，很難完成網絡防毒的任務，管理與防治相結合，才能保證系統的良好運行。
·安全體系的一部分
防毒軟件、防火墻產品、可調整參數能夠相互通信，形成一整套解決方案。
·多層防御
 多層防御體系將病毒檢測、多層數據保護和集中式管理功能集成起來，提供了全面的病毒防護功能，從而保證了“治療”病毒的效果同時減輕了反病毒管理的負擔。
社會的法律政策與法律保障
 隨著電子商務的應用范圍逐步擴大，現有的法律法規已適應不了社會的發展需求了，電子商務的安全和健康發展離不開完善的法律制度的保障，建立良好的電子商務法律環境是推動電子商務發展的前提和條件。
 對于電子商務的立法，現在階段我們應當遵循三大指導原則：
鼓勵和發展電子商務是中國電子商務立法的首要前提；
電子商務立法要與憲法和其他已存法律法規及我國認同的國際法保持一致；
電子商務立法要適合中國國情。
 電子商務作為一種新的商業活動，在為全球用戶提供了豐富的商務信息、簡捷的交易過程和低廉的交易成本，同時也帶來了沖擊。要保證電子商務的正常運作，就必須高度重視安全問題，就必須關注電子商務的安全和防治。因為電子商務的安全問題不僅關系到個人的資金安全、商家的貨物安全，還涉及到國家的經濟安全、國家經濟秩序的穩定問題。
  
 
 
參考文獻：
勞幗齡：《電子商務的安全與管理》，高等教育出版社。
袁家政：《計算機網絡安全與應用技術》，清華大學出版社
李廣建：《北京師范大學網絡教育學院用書》
梅紹祖、呂殿平：《電子商務基礎》，清華大學出版社
齊愛民、徐亮：《電子商務法原理與實務》，武漢大學出版社
蔡皖東：《計算機網絡》，西安電子科技大學出版社