旅游电子商务的信息安全与相关问题

第三章旅游电子商务的信息安全与

相关问题第一节旅游电子商务的信息安全问题第二节旅游电子交易产生的法律问题第三节旅游电子商务社会环境建设

在电子商务的发展过程中，企业与社会对网络已经出现了一定程度的依赖性。随着信息化进程的加快，病毒泛滥、黑客破坏、交易欺诈等电子商务安全问题也日益严重起来。

1997年以前，我国已发现的计算机犯罪案件主要集中在金融领域，1997年以后，网络犯罪活动逐步转向电子商务领域，国内各大网络几乎都不同程度地遭到过黑客的攻击。我国曾发生过影响较大的“熊猫烧香”病毒事件，制作木马病毒、贩卖病毒、散布木马病毒、利用病毒木马技术进行网络盗窃、诈骗等系列网络犯罪活动已经形成一条产业链，制作、散布病毒的趋利性进一步增强。电子商务安全问题现状？？？？？？旅游电子商务安全面临哪些威胁？你知道什么是“黑客”吗？第一节旅游电子商务的信息安全问题

一、旅游电子商务安全威胁（一）目前旅游电子商务安全所面临的威胁P48-491、黑客攻击

也称系统闯入。一般有两类：（1）“骇客”：能删除、修改网页及程序，甚至摧毁整个网站；（2）“窃客”：利用银行漏洞和电子交易账号，盗窃他人的资金和虚拟财产。还可能在系统中埋下木马、陷井门等病毒。2、拒绝服务攻击

拒绝服务攻击（DenialofService，DoS）将提供服务的网络的资源耗尽，导致不能提供正常服务3、身份仿冒即仿冒者借仿冒用户身份破坏交易，损害被仿冒方信誉或盗取交易成果等。如网络钓鱼、网址嫁接。4、计算机病毒即寄生于计算机程序或操作系统中的经特定事件触发后可执行且自我繁殖并感染计算机软件的一段恶性程序5、内部网的严密性企业内部网有大量保密信息，还传递内部大量指令，控制着企业的业务流程，企业内部网一旦被恶意侵入，可能给企业带来极大的混乱与损失。？？？？？？旅游电子商务活动中存在哪些安全问题？

（二）旅游电子商务中安全隐患分类

电子商务系统将内部网（Intranet）和互联（Internet）连接，使企业的商业机密、商务活动，将面临计算机网络黑客与病毒的严峻考验。电子商务安全问题主要有如下几类：

1、信息安全问题

P49

（1）篡改信息

攻击者对网络传输中某些信息进行删改重发。

A、篡改。改变信息流的次序，更改信息的内容，如购买商品的出货地址B、删除。删除某个信息或信息的某些部分。

C、插入。在信息中插入一些信息，让收方读不懂或接受错误的信息。（2）信息假冒

攻击者假冒合法用户或发送假冒信息进行欺骗（3）信息的截获和窃取

入侵者可通过互联网等截获数据等方式，获取传输的机密信息如银行账号、密码等。

（4）虚假信息

买卖双方都可能在网上发布虚假的供求信息，或以过期的信息冒充现在的信息，以骗取对方的钱款或货物。

（5）信息丢失

因线路问题、安全措施不当或在不同的操作平台上转换操作不当等，可能会使信息在传输中出现丢失情况。

（6）信息传递过程中的破坏

信息在网络传递，病毒、黑客、窃听等很容易使重要数据在传递过程中泄漏；各种外界物理性干扰，都可能影响到数据的真实性和完整性。2、信用风险问题（1）买方风险

因卖方不能按质按量按时交货或按要求完全履行合同所致的购货方风险（2）卖方风险

购货方在网上信用卡恶意透支或伪造信用卡骗取货物、集体购买者拖延货款等所致。

（3）交易抵赖。买卖双方都有可能存在着抵赖的情况3、管理方面问题（1）人员管理问题

工作人员的职业道德修养和违法乱纪等影响。（2）交易流程管理问题

网络商品交易中心要监督买方按时付款与卖方按时提供符合要求货物.

（3）交易技术管理问题

技术管理方面的漏洞以及安全制度上的缺陷等4、法律方面问题（1）合法交易的保证问题

（2）法律的事后完善问题

二、旅游电子商务安全控制系统

旅游电子商务安全问题已严重困扰着我国旅游电子商务和网络营销的发展，按照安全策略的要求及风险分析的结果，应从物理安全、网络安全、信息安全和制度安全等四个方面建立安全控制系统。（一）物理安全物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等以及防范人为操作失误或错误及各种计算机犯罪行为。

（二）网络安全1.软件系统安全指主机和服务器的安全，主要包括反病毒、系统安全检测、入侵检测（监控）和审计分析。其中包括对系统的登录数据和网络信息流向的实时监控，对各种黑客攻击的防范。2.网络运行安全指要具备必须的针对突发事件的应急措施，如数据的备份和恢复等。

3.局域网或子网的安全主要是访问控制和网络安全检测的问题。网络安全人员一方面要用防火墙防范外部入侵，另一方面，也要对企业内部人员管理控制，防止内部员工对企业网络安全造成的危害。（三）信息安全信息安全涉及信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面，也包括对用户的鉴别和授权。

1.密码技术当今计算机业界的公司及各种机构所提供的技术服务。2.数字证书与CA中心在数字化社会中，要实现上面所述的身份认证的安全需求，必须建立一种信任及信任验证机制，即每个网络上的实体（例如个人、企业等）必须有一个可以被验证的数字标志，这就是“数字证书”.CA机构(证书授权中心)作为网络营销交易中受信任的第三方，提供了网上交易认证、签发数字证书和确认用户身份等解决方案。3.安全协议目前应用最广泛的安全协议标准有：SSL、SET和NetBill协议。SSL*（SecureSocketLayer，安全套接层)协议是TCP/IP协议族中目前最新的安全协议，可以实现通信过程的安全保密，目前被众多厂家和用户广泛采用，已经成为通信底层协议的实际标准。SET只适用信用卡的应用。（四）制度安全

电子商务安全制度管理是电子商务专业人员工作的规范和准则。其包括：1、人事管理制度

从事电子商务的企业应对两类人员进行重点安全管理。一是从事网络营销的人员，二是企业内部的网络维护人员。其基本管理措施有1）严格选拔电子商务专业人员。2）落实工作责任制。不仅要求网络营销人员和网络管理人员完成各自规定的任务，而且要求他们严格遵守企业的各项安全制度和操作规程。

3）贯彻电子商务安全运作基本原则：①相互制约原则—重要业务不要安排一人单独管理，实行两人或多人相互制约机制。

②任期有限原则—电子商务人员不得长期担任与交易安全有关的职务。③最小权限原则—必须明确规定，只有网络管理员才可进行物理访问和软件安装工作。2、保密制度保密制度是为了信息的安全，对信息的保存和操作作出的相应规定。电子商务信息的安全级别一般可分为机密级、秘密级、普通级三个级别。由于电子商务活动中信息安全主要是靠加密技术实现的，大量的密钥的保密管理将直接影响交易安全。3、跟踪、审计制度及早发现“黑客”攻击和防止可能发生的意外事件，应当在企业内部建立跟踪制度。审计制度是对包括检查、审核系统日志，以及时发现对系统故意入侵行为和违反系统安全功能的行为及保存、维护和管理系统日志的一系列规定。4、网络系统的日常维护制度

（1）硬件的日常管理和维护（2）软件的日常管理和维护（3）数据备份制度5、用户管理制度P142目的是对网络中各用户实现统一的按级别赋给权限，内容主要有：1）增加／删除用户；2）因业务的扩大、变化重组用户或修改用户。6、病毒防范病毒在网络环境下具有更强的传染性，对网络交易的顺利进行和交易数据的妥善保存造成极大的威胁。从事电子商务的企业和个人都应当建立病毒防范制度，排除病毒的骚扰。7、应急制度指当计算机网络、商务应用系统发生灾难性事件时利用备份的资料和其他技术手段迅速恢复系统，使损失减到最小。第二节旅游电子交易产生的法律问题

一、在线交易主体及市场准入问题二、网上无线财产保护问题三、在线消费者权益和个人隐私保护问题一、在线交易主体及市场准入问题

1.有些网站非法经营,顾客的权益难以得到维护。2.一些网站即使合法经营，是否具有相应的业务经营资格，也是值得探讨的问题。例如：2003-2005年的黄金假日旅行社起诉携程“超范围经营”、“虚假宣传不正当竞争”一案。P53二、网上无线财产保护问题

网上无形财产保括域名、网页、数据库等。保护无形财产是维持一个有序的在线商务运营环境的重要措施。案例：2008年携程上诉“去哪儿”网站的侵权行为。P54三、在线消费者权益和个人隐私保护问题

旅游电子商务市场的虚拟性和开放性、在线交易的便捷性使消费者权益保护成为突出的问题，尤其是如何保障网上产品或广告信息的真实性、有效性的问题，以及如何处理不实或无效信息引发的交易纠纷问题。措施一：寻求在电子商务环境下执行《消费者权益保护法》的方法和途径，制定网上消费者权益保护的特殊法律条文，既维护了消费者权益，也是保障电子商务健康发展的法律制定的组成部分。措施二：旅游网站对于客户的个人信息进行收集，可以用其进行信息数据的统计，但未经旅游者允许绝不可泄露。第三节旅游电子商务社