第二章 电子商务安全面临的主要问题及解决办法

第二章电子商务安全面临的

主要问题及解决方法中国电子商务研究中心发布的《2013年度中国电子商务用户体验与投诉监测报告》中显示，2013年度通过在线递交、电话、邮件、即时通讯等多种形式，中国电子商务投诉与维权公共服务平台共接到全国各地用户的电子商务投诉97350起，其中移动电商是用户投诉的新兴热点领域，较2012年有明显上升。在2013年度电子商务领域的各类投诉中，网络购物占52.38%，网络团购占27.53%，移动电子商务占10.09%，物流快递占2.24%，B2B网络贸易占1.39%，第三方支付占1.07%，其他（如网络传销、网络集资洗钱等）占5.3%。其中，在去年电商价格战、“双11”、电商周年庆，均是用户投诉高峰期。据中国电子商务研究中心调查显示，退款问题、售后服务、网络售假、退换货物、发货迟缓、网络诈骗、质量问题、订单取消、虚假促销、节能补贴成为网购诟病，是2013年网购用户投诉最多的十大问题症结。其中，投诉量最大的是“退款问题”，占总投诉量的21.21%。其次对售后服务的投诉，占比达13.48%，涉及网络售假、退换货物的投诉也分别达10.61%、10.15%。不到1/3的购物网站对用户投诉反馈率在50%左右，而多数购物网站对用户投诉反馈不积极。“购物网站诚信缺失，不重视用户投诉，是导致用户重复投诉率高的主因。”在网络购物市场，信息泄露成为电商和消费者遇到的最大危机。在2013年里，电商信息泄露内容主要有支付宝信息泄露、快递单贩卖、购物网站账户被盗等。每年因账户被盗造成损失超10亿。第一节电子商务的安全威胁1.信息传输风险信息传输风险是指进行网上交易时，因传输的信息失真或者信息被非法窃取、篡改和丢失，而导致网上交易的不必要损失。（1）冒名偷窃（2）篡改数据（3）信息丢失（4）信息传递过程中的破坏（5）虚假信息2．信用风险

信用风险主要来自三个方面：第一，来自买方的信用风险。对于个人消费者来说，可能在网络上使用信用卡进行支付时恶意透支，或使用伪造的信用卡骗取卖方的货物；对于集团来说，存在拖延货款的可能，卖方需要为此承担风险。第二，来自卖方的信用风险。卖方不能按质、按量、按时寄送消费者购买的货物，或者不能完全履行与集团签订的购买合同，造成买方的风险。第三，买卖双方都存在抵赖的情况。第一节电子商务的安全威胁3．管理方面的风险

首先，在网络商品中介交易的过程中，客户进入交易中心，买卖双方签订合同，交易中心不仅要监督买方按时付款，还要监督卖方按时提供符合合同要求的货物。在这些环节上都存在大量的管理风险。其次，人员管理常常是网上交易安全管理上的最薄弱的环节，计算机犯罪大都呈现内部犯罪。第三，网络交易技术管理的漏洞也带来较大的交易风险。第一节电子商务的安全威胁4.法律方面的风险在目前的法律条文上找不到现成的条文保护网络交易中的交易方式，因此还存在房率方面的风险。一方面，在网上交易可能会承担由于法律滞后而无法保证合法交易的权益造成的风险。另一方面，在网上交易可能承担由于法律的事后完善所带来的风险。第一节电子商务的安全威胁第二节电子商务安全需求电子商务威胁的出现，导致了对电子商务安全的需求，为真正实现一个安全电子商务系统，保证交易的安全可靠，要求电子商务能做到机密性，完整性，认证性和不可抵赖性。(1)机密性。电子商务是建立在一个较为开放的网络环境上的，维护商业机密是电子商务全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。机密性一般通过密码技术对传输的信息进行加密处理来实现。第二节电子商务安全需求(2)完整性。电子商务过程中，由于数据输入时的差错或欺诈行为，以及数据传输过程中信息的丢失，信息重复或信息传送的次序差异将导致贸易各方信息的差异，从而影响到贸易各方的交易和经营策略，保证贸易各方信息的完整性是电子商务应用的基础。因此，要预防对信息的随意生成，修改和删除，同时要防止数据传输过程中的丢失和重复，保证信息传送次序的统一。完整性一般可通过提取信息的数据摘要方式来获得。3.1电子商务的安全需求(3)认证性。电子商务交易系统中，企业或个人的交易通常都是在虚拟的网络环境中进行，双方可能从未谋面，所以对个人或企业实体进行身份认证成了电子商务中十分重要的一环。这就要做到，当某人或实体声称具有某个特定身份时，鉴别服务将提供一种方法来验明其声明的正确性，一般都通过证书机构CA和数字证书来实现。第二节电子商务安全需求3.1电子商务的安全需求（4）不可抵赖性。电子商务关系到贸易双方的商业交易，关乎双方的商业利益，但由于它不同于传统的贸易方式，如何确定要进行交易的贸易方就是合作伙伴，并且确定合同，契约，单据的可靠性，预防抵赖行为的发生，这就要求在交易信息的过程中，为参与的个人，企业或国家提供可靠的标识。不可抵赖性可通过对发送的信息进行数字签名来获取。第二节电子商务安全需求3.1电子商务的安全需求（5）有效性。电子商务以电子的形式取代了纸张，那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。电子商务作为一种贸易形式，其信息的有效性将直接关系到个人，企业或国家的利益和声誉。因此，要对网络故障，操作错误，应用程序错误，硬件故障，系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻，确定的地点是有效的。第二节电子商务安全需求第三节电子商务安全的保障体系1．电子商务安全保障的正确理念首先，电子商务安全是系统性问题，要综合考虑人、技术、管理、法规、制度等多项要素。其次，电子商务安全是整体性问题，指望几项离散的安全产品或技术手段解决所有安全问题是不现实的。第三，安全保障是动态发展的过程，安全保障建设不会是一劳永逸的。第四，安全是相对性的，安全保障建设投资是可度量的。2．管理上的安全措施首先，在高层管理要引起对电子商务安全的足够重视，促成管理人员同相关的技术人员一起制定企业内部、外部网络安全规划和标准。在规划中应该指出企业信息安全在近期和未来一段时间内要达到什么级别和标准，预备投入的资源等。其次，在规划和标准的指导下要制定详细的安全行为规范。最后，要特别注意安全条例的执行保障，即有了规定就一定要按照规定去执行。第三节电子商务安全的保障体系3．法律上的安全保障在法律上，电子商务不同于传统商务在纸面上完成交易、有据可查的特点，电子交易如何认证、电子欺诈如何避免和惩治不仅是技术问题，同时也要涉及法律领域。在电子商务这个虚拟世界里，更需要完善的法律体系来维持秩序。安全的电子商务仅靠单一的技术手段来保证是不会奏效的，必须依靠法律手段、行政手段和技术手段的完美结合来最终保护参与电子商务各方的利益。这就需要在企业和企业之间、政府和企业之间、企业和消费者之间、政府和政府之间明确各自需要遵守的法律义务和责任。第三节电子商务安全的保障体系4．技术上的安全保障在技术上，电子商务中涉及的安全技术很多，其中有一些已经获得了广泛的应用和认可。对于维护企业内部网安全的技术包括用户密码和权限管理技术、防火墙技术、虚拟专用网技术和网络杀毒技术等；维护交易数据在互联网上安全传输的技术包括数据加密和数字签名等，其中为了识别用户在现实世界中的真实身份还要涉及认证中心；另外，为了维护电子交易中最为关键的资金流动，特别是信用卡支付的安全，还要涉及两个应用广泛的协议：SSL和SET协议。第三节电子商务安全的保障体系计算机网络安全技术防火墙技术虚拟专用网技术入侵检测技术病毒防范技术第四节电子商务安全技术电子商务交易技术数据加密技术数字签名技术认证技术防火墙技术防火墙是一种将内部网和公众访问网分开的方法，实际上是一种隔离技术，是安全网络和非安全网络的之间的一道屏障，以防不可预测的、潜在的网络入侵。虚拟专用网技术（VPN）VPN（VirtualPrivateNetwork），译为虚拟私有网络，指的是建构在Internet上，使用隧道及加密建立一个虚拟的、安全的、方便的及拥有自主权的私人数据网络。VPN技术解决了内部网的信息如何在Internet上安全传送的问题。网络入侵检测技术

对计算机网络或计算机系统中的若干关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。网络入侵检测技术

对计算机网络或计算机系统中的若干关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。防病毒技术计算机病毒是一种人为编制的程序或指令集合，这种程序能潜伏在计算机系统中，并通过自我复制传播和扩散，在一定条件下被激活，给计算机带来故障和破坏。加解密技术

数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据，数据加密被公认为是保护数据传输安全惟一实用的方法和保护存储数据安全的有效方法，它是数据保护在技术上的最后防线。数字签名技术数字签名（DigitalSignature）技术是将摘要用发送者的私钥加密，与原文一起传送给接收者，接收者只有用发送者的公钥才能解密被加密的摘要。。数字签名与书面文件签名有相同之处，采用数字签名，能确认以下两点．（1）信息是由签名者发送的；（不可否认性）（2）信息自签发后到收到为止未曾作过任何修改。（信息完整性）身份认证技术