电子商务安全概述概述

第五章电子商务安全本章学习与教学目标：掌握电子商务安全的基本知识；理解主要安全技术措施的原；了解有关各种安全隐患等存在的问题和应采取的对策。

重点：电子商务安防范措施难点：电子商务安防范措施计划课时：10课时（理论8课时＋实验2课时）教学方式：讲授、提问、讨论、演示等教学环境：多媒体教学5.1电子商务安全概述5.1.1电子商务安全的重要性

通过窃取个人信息进行的盗窃近年来增长很快，并导致2003年全球范围内2210亿美元的损失，几乎是2000年的3倍。2005年6月17日，美国曝出有史以来规模最大的信用卡个人数据外泄事件。美国万事达卡国际组织宣布，美国专为银行、会员机构、特约商店处理卡片交易资料的外包厂商CardSystemsSolutions公司资料库遭到入侵，包括万事达、VISA、运通、Discover在内高达4000多万信用卡用户的银行资料面临泄密风险，其中万事达信用卡用户达1390万，VISA信用卡用户高达2200万。5.1.2电子商务活动中风险源分析

(1)在线交易主体的市场准入问题

在现行法律体制下，任何长期固定从事营利性事业的主体都必须进行工商登记。在电子商务环境下，任何人不经登记就可以借助计算机网络发出或接受网络信息，并通过一定程序与其他人达成交易。虚拟主体的存在使电子商务交易安全受到严重威胁。电子商务交易安全首先要解决的问题就是确保网上交易主体的真实存在，且确定哪些主体可以进入虚拟市场从事在线业务。这方面的工作需要依赖工商管理部门的网上商务主体公示制度和认证中心的认证制度加以解决。

(2)信息风险

从买卖双方自身的角度观察，网络交易中的信息风险来源于用户以合法身份进入系统后，买卖双方都可能在网络上发布虚假的供求信息，或以过期的信息冒充现在的信息，以骗取对方的钱款或货物。虚假信息包含与事实不符和夸大事实两个方面。虚假事实可能是所宣传的商品或服务本身的性能、质量、技术标准等，也可能是政府批文、权威机构的检验证明、荣誉证书、统计资料等，还可能是不能兑现的允诺。例如，有些网络公司急于扩大自身影响，引起公众注意，网络广告使用“中国第一”、“全国访问率最高”、“固定用户数量最多”等词语；有的甚至在网络广告发布过程中，违反有关法律和规章中的强制性规定，将淫秽、迷信、恐怖、暴力等不健康的内容直接在网上发布。

从技术上看，网络交易的信息风险主要来自冒名偷窃、篡改数据、信息丢失等方面。

(3)信用风险

信用风险主要来自三个方面：

(1)来自买方的信用风险。对于个人消费者来说，可能存在在网络上使用信用卡进行支付时恶意透支，或使用伪造的信用卡骗取卖方货物的行为；对于集团购买者来说，存在拖延货款的可能。卖方需要为此承担风险。

(2)来自卖方的信用风险。卖方不能按质、按量、按时寄送消费者购买的货物，或者不能完全履行与集团购买者签订的合同，造成买方的风险。

(3)买卖双方都存在抵赖的情况。

(4)网上欺诈犯罪

运用现代的网络技术手段，大致上有两大类型：一种是在网上发送虚假信息，骗取受害人同意将若干财物交付给行为者的行为；一类是以其他有权人的身份，进入特定网络信息系统，在网络信息系统中增加、输入一定信息，将有权人所有或占有的电子货币划拨到自己的帐户上，进而兑现的行为。

(5)电子合同问题

在传统商业模式下，除即时结清或数额小的交易无需记录外，一般都要签订书面合同，以便在对方失信不履约时作为证据，追究对方的责任。而在在线交易情形下，所有当事人的意思表示均以电子化的形式存储于计算机硬盘或其他电子介质中。这些记录不仅容易被涂擦、删改、复制、遗失，而且不能脱离其记录工具(计算机)而作为证据独立存在。电子商务法需要解决由于电子合同与传统合同的差别而引起的诸多问题，突出表现在书面形式、签字有效性、合同收讫、合同成立地点、合同证据等方面。

(6)电子支付问题

在简易电子商务形式下，支付往往采用汇款或交货付款方式，而典型的电子商务则是在网上完成支付的。网上支付通过信用卡支付和虚拟银行的电子资金划拨来完成。而实现这一过程涉及网络银行与网络交易客户之间的协议、网络银行与网站之间的合作协议以及安全保障问题。因此，需要制定相应的法律，明确电子支付的当事人(包括付款人、收款人和银行)之间的法律关系，制定相关的电子支付制度，认可电子签字的合法性。同时还应出台针对电子支付数据的伪造、变造、更改、涂销等问题的处理办法。

(7)在线消费者保护问题

在线市场的虚拟性和开放性以及网上购物的便捷性都使消费者保护成为突出的问题。在我国商业信用不高的状况下，网上出售的商品可能良莠不齐，质量难以让消费者信赖，而一旦出现质量问题，退赔、修理等又很困难，方便的网络购物很可能变得不方便甚至使人敬而远之。法律需要寻求在电子商务环境下执行《消费者权益保护法》的方法和途径，制定保护网上消费者的特殊法律，保障网上商品的质量，保证网上广告信息的真实性和有效性，解决由于交易双方信息不实或无效信息而发生的交易纠纷，切实维护消费者权益。

(8)产品交付问题

在线交易的标的物分两种，一种为有形货物，另一种是无形的信息产品。应当说，有形货物的交付仍然可以沿用传统合同法的基本原理，当然，对于物流配送中引起的一些特殊问题也要作一些探讨。而信息产品的交付则具有不同于有形货物交付的特征，对于其权利的移转、退货、交付的完成等需要有相应的安全保障措施。5.1.3安全性定义

(1)密码安全通信安全的最核心部分，由技术上提供强韧密码系统及正确应用来实现。

(2)计算机安全

一种确定状态，使计算机化数据和文件不致被非授权人员、计算机或其他程序访问、获取或修改。

(3)网络安全

包括所有保护网络的措施：物理设施的保护、软件及职员的安全及防止非授权的访问、偶发或蓄意的常规手段干扰或破坏。。

(4)信息安全保护信息财富，使之免遭偶发的或有意的非授权泄露、修改、破坏或处理能力的丧失5.1.4电子商务对安全问题提出的要求

电子商务对安全性提出了新的要求，其中保密性、完整性和不可否认性最为关键。(1)交易信息的保密性

信息的保密性——信息在交易前、交易中、交易后都不被他人窃取、偷听、偷看等。

(2)交易各方的身份认证(Authentication)

确认交易各方的身份。用户名/口令可以进行初级身份验证，数字证书、生物测定学技术是高层次认证技术。

(3)信息的完整性(Integrity)

交易过程中信息不能被更改、替换。技术是数字摘要。(4)交易内容的不可否认性(Non-repudiation)防止通信或交易双方对已经进行的业务的否认。技术数字签名(电子签名)。(5)交易系统的可用性(Accessibility)电子商务系统的灾难性防护。技术有杀毒软件、防火墙、入侵检测，还有双机冗余、数据备份、双路供电。(6)信息访问控制(AcessControl)信息存储时防止被非法访问、非法复制、非法修改、非法创建等现象的发生。技术是访问权限设置。什么是意大利香肠术。意大利香肠术