电子商务安全控制问题分析

［摘要］电子商务是在Internet网络环境下，实现消费者网上交易和在线支付的一种新型商业模式，但电子商务的不安全性使许多用户对其有所顾虑。本文就电子商务中的安全问题进行了初步的探讨，并提出有效防止上述安全问题的对策。 由于Internet本身的开放性，使网上交易面临种种危险。对于消费者来说，担心在网络上传输信用卡及个人资料被截取，或是不幸遇到“黑店”，信用卡资料被不当运用；对于经营者来说，也担心收到的是被盗用的信用卡号码，或是交易不认账等等。此外，还有可能因网络不稳定(例如网路断线)，或是应用软件设计不良导致被“黑客”侵入所引发的损失。在消费者、网络商店和金融单位之间，如何划清责任、权利和义务，这些问题令不少有兴趣在Internet上的购物者犹豫不决。可见，发展电子商务的核心和关键问题是交易的安全性。　　一、电子商务交易的安全隐患及网络交易中的主要风险分析　　(一)电子商务交易的安全隐患。由于电子商务的形式多种多样，涉及的安全问题各不相同，但在Internet上的电子商务交易过程中，最普遍存在的安全隐患主要有以下几种：一是未经授权的网络交易存取。二是未经授权的外部人员对服务器数据的存取。三是未经授权的内部人员对服务器数据的存取。四是保护客户服务器应用系统的完整性。　　(二)网络交易中的主要风险。电子商务风险存在于网络交易整个运作过程，确定交易流程中可能出现的各种风险，分析其危害性，查找交易过程潜在的安全隐患和安全漏洞，是建立安全的电子商务交易系统不可或缺的基本条件。在电子商务交易中主要的风险包括：　　1.信息存储风险。从技术上看，网络交易的信息存储风险主要来自三方面：一是冒名偷窃。“黑客”为了获取重要的商业秘密、资源和信息，常常采用源IP地址欺骗攻击。入侵者伪装成源自一台内部主机的一个外部地点传送信息包(这些信息包中包含有内部系统的IP地址)，在E-mail服务器使用报文传输代理(MIA)中冒充他人，窃取信息。二是篡改数据。攻击者未经授权进入网络交易系统，使用非法手段，删除、修改某些重要信息，破坏数据的完整性，损害他人的经济利益，或干扰对方的正确决策，造成网络营销中的信息风险。三是信息丢失。交易信息的丢失，可能有三种情况：一种情况是因为线路问题造成信息丢失；第二种情况是因为安全措施不当而丢失信息；第三种情况是在不同的操作平台上转换操作而丢失信息。从买卖双方自身的角度观察，网络交易中的信息风险来源于用户以合法身份进入系统后，买卖双方都可能在网络上发布虚假的供求信息，或以过期的信息冒充现在的信息，以骗取对方的钱款或货物。　　2.信息传递风险。信息在网络上传递时，要经过很多环节和渠道。由于计算机技术发展迅速，原有的病毒防范技术、加密技术、防火墙技术等始终存在着被新技术攻击的可能性。计算机病毒的侵袭、“黑客’非法侵入、线路窃听等很容易使重要数据在传递过程中泄露，威胁着电子商务交易的安全。各种外界的物理性干扰，如通信线路质量较差、地理位置复杂、自然灾害等，都可能影响到数据的真实性和完整性。　　3.交易双方的信用风险。信用风险主要来自三个方面：一是来自买方的信用风险。对于个人消费者来说，可能发生在网络上使用信用卡进行支付时的恶意透支，或使用伪造的信用卡骗取卖方货物的行为；对于集团购买者来说，存在拖延贷款的可能，卖方需要为此承担风险。二是来自卖方的信用风险。卖方不能按质、按量、按时送寄消费者购买的货物，或者不能完全履行与集团购买者签订的合同，造成买方的风险。三是买卖双方都存在抵赖的情况。　　4.管理方面的风险。严格管理是降低网络交易风险的重要保证，特别是在网络商品中介交易的过程中，客户进入交易中心，买卖双方签订合同，交易中心不仅要监督买方按时付款，还要监督卖方按时提供符合合同要求的货物。在这些环节上，都存在着大量的管理问题。防止此类问题的风险需要有完善的制度保证。人员管理常常是在线商店安全管理上的最薄弱的环节。近年来我国计算机犯罪大都呈现内部犯罪的趋势，其原因主要是因工作人员职业道德修养不高，安全教育和管理松懈所致。一些竞争对手还利用企业招募新人的方式潜入该企业，或利用不正当的方式收买企业网络交易管理人员，窃取企业的用户识别码、密码、传递方式以及相关的机密文件资料。网络交易技术管理的漏洞也带来较大的交易风险，有些操作系统中的某些用户是无口令的，如匿名FTP、利用远程登录命令登录这些无口令用户。这些管理上的漏洞往往为别有用心的人攻击系统提供了条件。　　5.法律方面的风险。电子商务的技术设计是先进的、超前的，具有强大的生命力。但必须清楚地认识到，在目前的法律上还是找不到现成的条文来保护网络交易的安全，在网上交易可能会承担由于法律滞后而造成的风险。　　二、电子商务系统需要解决的安全性问题　　具体来说，电子商务的安全性主要应解决以下几个方面的问题：　　(一)防泄密。网络上传输的数据为防止被第三者截获并知晓信息的真实内容，目前一般采用数据加密技术解决。　　(二)防修改。网络上传输的数据必须完整、正确地传给对方，防止第三者对传输数据进行修改，目前一般采用数字签名技术进行解决。　　(三)防复制。防止网络上信息重复发送，交易双方的应用系统均必须能够识别所收到的数据是否已经处理过(包括查询结果、交易指令、应答信息等)。　　(四)身份认证。由于网上交易双方互不见面，无法通过常规方法识别对方的身份，目前多采用第三方CA认证中心发放电子证书进行数据加密和数字签名方式进行身份确认。　　(五)防抵赖。双方所传输的数据一经发生，发出方有能力证明对方已经收到并知晓所接收的数据，而接收方也能证明发出方已经发出该信息。　　(六)防破坏。防止传输数据被截获并作破坏性修改后重新发送，导致交易损失或无法进行。　　(七)防阻断。防止黑客通过发送大量请求从而造成网络阻塞进而阻断交易。　　(八)安全隔离。通常情况下Internet只作为信息传输通道，真正的业务处理还在后台，因此，应采取相应措施实行前后台的隔离(内网与外网的隔离)，以免黑客破坏后台业务数据或系统。　　(九)防故障。网络系统不出现故障是不可能的，但可以通过各种备份手段防止突发事件引起的系统故障而中断交易。　　(十)防病毒。由Internet网络的开放性，不可避免地受到病毒的攻击。因此，电子商务系统应具备较完备的防病毒能力。　　与电子商务相关的管理、技术、业务和其他相关内部操作人员的误操作或蓄意破坏，也同样是电子商务安全性的一个重大问题。　　三、电子商务的安全交易保证和控制　　(一)信息保密性。交易中的商务信息均有保密的要求，如信用卡的账号和用户名等不能被他人知悉，因此在信息传播中一般均有加密的要求。　　(二)交易者身份的确定性。网上交易的双方很可能素昧平生，相隔千里。要使交易成功，首先能确认对方的身份，对商家要考虑客户端不能是骗子，而客户也会担心网上商店是不是一个欺诈的黑店。因此能方便而可靠地确认交易双方的身份是交易的前提。　　(三)不可否认性。由于商情的千变万化，交易一旦达成是不能被否认的，否则必然会损害一方的利益。因此电子交易通信过程的各个环节都必须是不可否认的。　　(四)不可修改性。交易的文件是不可被修改的，否则也必然会损害一方的商业利益。因此电子交易文件也要做到不可修改，以保障商务交易的严肃和公正。　　四、结论　　电子商务对计算机网络安全与商务安全有着双重要求，电子商务安全的复杂程度比大多数计算机网络更高，因此，电子商务安全应作为安全工程而不是解决方案来实施。（编选：中国电子商务研究中心）　　【参考文献】　　[1]姚国章.电子商务与企业管理.北京:北京大学出版社,2002.　　[2]张铎等.电子商务与现代物流.北京:北京大学出版社,2002.　　[3]吕何新.电子商务概论.重庆:重庆大学出版社,2002.　　[4]姚国章.电子商务与企业管理.北京:北京大学出版社,2002.　　[5]彭欣.电子商务实务教程.北京:中国宇航出版社,2003.　　[6]李琪.电子商务概论.北京:人民邮电出版社,2002.

分享到