论文部分内容阅读
[摘要]电子商务是在Internet网络环境下,实现消费者网上交易和在线支付的一种新型商业模式,但电子商务的不安全性使许多用户对其有所顾虑。本文就电子商务中的安全问题进行了初步的探讨,并提出有效防止上述安全问题的对策。
[关键词]电子商务 安全 控制
[中图分类号]F208[文献标识码]A[文章编号]1009-5349(2010)11-0136-02
由于Internet本身的开放性,使网上交易面临种种危险。对于消费者来说,担心在网络上传输信用卡及个人资料被截取,或是不幸遇到“黑店”,信用卡资料被不当运用;对于经营者来说,也担心收到的是被盗用的信用卡号码,或是交易不认账等等。此外,还有可能因网络不稳定(例如网路断线),或是应用软件设计不良导致被“黑客”侵入所引发的损失。在消费者、网络商店和金融单位之间,如何划清责任、权利和义务,这些问题令不少有兴趣在Internet上的购物者犹豫不决。可见,发展电子商务的核心和关键问题是交易的安全性。
一、电子商务交易的安全隐患及网络交易中的主要风险分析
(一)电子商务交易的安全隐患。由于电子商务的形式多种多样,涉及的安全问题各不相同,但在Internet 上的电子商务交易过程中,最普遍存在的安全隐患主要有以下几种:一是未经授权的网络交易存取。二是未经授权的外部人员对服务器数据的存取。三是未经授权的内部人员对服务器数据的存取。四是保护客户服务器应用系统的完整性。
(二)网络交易中的主要风险。电子商务风险存在于网络交易整个运作过程,确定交易流程中可能出现的各种风险,分析其危害性,查找交易过程潜在的安全隐患和安全漏洞,是建立安全的电子商务交易系统不可或缺的基本条件。在电子商务交易中主要的风险包括:
1.信息存储风险。从技术上看,网络交易的信息存储风险主要来自三方面:一是冒名偷窃。“黑客”为了获取重要的商业秘密、资源和信息,常常采用源IP地址欺骗攻击。入侵者伪装成源自一台内部主机的一个外部地点传送信息包(这些信息包中包含有内部系统的IP地址),在E-mail服务器使用报文传输代理(MIA)中冒充他人,窃取信息。二是篡改数据。攻击者未经授权进入网络交易系统,使用非法手段,删除、修改某些重要信息,破坏数据的完整性,损害他人的经济利益,或干扰对方的正确决策,造成网络营销中的信息风险。三是信息丢失。交易信息的丢失,可能有三种情况:一种情况是因为线路问题造成信息丢失;第二种情况是因为安全措施不当而丢失信息;第三种情况是在不同的操作平台上转换操作而丢失信息。从买卖双方自身的角度观察,网络交易中的信息风险来源于用户以合法身份进入系统后,买卖双方都可能在网络上发布虚假的供求信息,或以过期的信息冒充现在的信息,以骗取对方的钱款或货物。
2.信息传递风险。信息在网络上传递时,要经过很多环节和渠道。由于计算机技术发展迅速,原有的病毒防范技术、加密技术、防火墙技术等始终存在着被新技术攻击的可能性。计算机病毒的侵袭、“黑客’非法侵入、线路窃听等很容易使重要数据在传递过程中泄露,威胁着电子商务交易的安全。各种外界的物理性干扰,如通信线路质量较差、地理位置复杂、自然灾害等,都可能影响到数据的真实性和完整性。
3.交易双方的信用风险。信用风险主要来自三个方面:一是来自买方的信用风险。对于个人消费者来说,可能发生在网络上使用信用卡进行支付时的恶意透支,或使用伪造的信用卡骗取卖方货物的行为;对于集团购买者来说,存在拖延贷款的可能,卖方需要为此承担风险。二是来自卖方的信用风险。卖方不能按质、按量、按时送寄消费者购买的货物,或者不能完全履行与集团购买者签订的合同,造成买方的风险。三是买卖双方都存在抵赖的情况。
4.管理方面的风险。严格管理是降低网络交易风险的重要保证,特别是在网络商品中介交易的过程中,客户进入交易中心,买卖双方签订合同,交易中心不仅要监督买方按时付款,还要监督卖方按时提供符合合同要求的货物。在这些环节上,都存在着大量的管理问题。防止此类问题的风险需要有完善的制度保证。人员管理常常是在线商店安全管理上的最薄弱的环节。近年来我国计算机犯罪大都呈现内部犯罪的趋势,其原因主要是因工作人员职业道德修养不高,安全教育和管理松懈所致。一些竞争对手还利用企业招募新人的方式潜入该企业,或利用不正当的方式收买企业网络交易管理人员,窃取企业的用户识别码、密码、传递方式以及相关的机密文件资料。网络交易技术管理的漏洞也带来较大的交易风险,有些操作系统中的某些用户是无口令的,如匿名FTP、利用远程登录命令登录这些无口令用户。这些管理上的漏洞往往为别有用心的人攻击系统提供了条件。
5.法律方面的风险。电子商务的技术设计是先进的、超前的,具有强大的生命力。但必须清楚地认识到,在目前的法律上还是找不到现成的条文来保护网络交易的安全,在网上交易可能会承担由于法律滞后而造成的风险。
二、电子商务系统需要解决的安全性问题
具体来说,电子商务的安全性主要应解决以下几个方面的问题:
(一)防泄密。网络上传输的数据为防止被第三者截获并知晓信息的真实内容,目前一般采用数据加密技术解决。
(二)防修改。网络上传输的数据必须完整、正确地传给对方,防止第三者对传输数据进行修改,目前一般采用数字签名技术进行解决。
(三)防复制。防止网络上信息重复发送,交易双方的应用系统均必须能够识别所收到的数据是否已经处理过(包括查询结果、交易指令、应答信息等)。
(四)身份认证。由于网上交易双方互不见面,无法通过常规方法识别对方的身份,目前多采用第三方CA认证中心发放电子证书进行数据加密和数字签名方式进行身份确认。
(五)防抵赖。双方所传输的数据一经发生,发出方有能力证明对方已经收到并知晓所接收的数据,而接收方也能证明发出方已经发出该信息。
(六)防破坏。防止传输数据被截获并作破坏性修改后重新发送,导致交易损失或无法进行。
(七)防阻断。防止黑客通过发送大量请求从而造成网络阻塞进而阻断交易。
(八)安全隔离。通常情况下 Internet只作为信息传输通道,真正的业务处理还在后台,因此,应采取相应措施实行前后台的隔离(内网与外网的隔离),以免黑客破坏后台业务数据或系统。
(九)防故障。网络系统不出现故障是不可能的,但可以通过各种备份手段防止突发事件引起的系统故障而中断交易。
(十)防病毒。由Internet网络的开放性,不可避免地受到病毒的攻击。因此,电子商务系统应具备较完备的防病毒能力。
与电子商务相关的管理、技术、业务和其他相关内部操作人员的误操作或蓄意破坏,也同样是电子商务安全性的一个重大问题。
三、电子商务的安全交易保证和控制
(一)信息保密性。交易中的商务信息均有保密的要求,如信用卡的账号和用户名等不能被他人知悉,因此在信息传播中一般均有加密的要求。
(二)交易者身份的确定性。网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上商店是不是一个欺诈的黑店。因此能方便而可靠地确认交易双方的身份是交易的前提。
(三)不可否认性。由于商情的千变万化,交易一旦达成是不能被否认的,否则必然会损害一方的利益。因此电子交易通信过程的各个环节都必须是不可否认的。
(四)不可修改性。交易的文件是不可被修改的,否则也必然会损害一方的商业利益。因此电子交易文件也要做到不可修改,以保障商务交易的严肃和公正。
四、结论
电子商务对计算机网络安全与商务安全有着双重要求,电子商务安全的复杂程度比大多数计算机网络更高,因此,电子商务安全应作为安全工程而不是解决方案来实施。
【参考文献】
[1]姚国章.电子商务与企业管理.北京:北京大学出版社,2002.
[2]张铎等.电子商务与现代物流.北京:北京大学出版社,2002.
[3]吕何新.电子商务概论.重庆:重庆大学出版社,2002.
[4]姚国章.电子商务与企业管理.北京:北京大学出版社,2002.
[5]彭欣.电子商务实务教程.北京:中国宇航出版社,2003.
[6]李琪.电子商务概论.北京:人民邮电出版社,2002.
[关键词]电子商务 安全 控制
[中图分类号]F208[文献标识码]A[文章编号]1009-5349(2010)11-0136-02
由于Internet本身的开放性,使网上交易面临种种危险。对于消费者来说,担心在网络上传输信用卡及个人资料被截取,或是不幸遇到“黑店”,信用卡资料被不当运用;对于经营者来说,也担心收到的是被盗用的信用卡号码,或是交易不认账等等。此外,还有可能因网络不稳定(例如网路断线),或是应用软件设计不良导致被“黑客”侵入所引发的损失。在消费者、网络商店和金融单位之间,如何划清责任、权利和义务,这些问题令不少有兴趣在Internet上的购物者犹豫不决。可见,发展电子商务的核心和关键问题是交易的安全性。
一、电子商务交易的安全隐患及网络交易中的主要风险分析
(一)电子商务交易的安全隐患。由于电子商务的形式多种多样,涉及的安全问题各不相同,但在Internet 上的电子商务交易过程中,最普遍存在的安全隐患主要有以下几种:一是未经授权的网络交易存取。二是未经授权的外部人员对服务器数据的存取。三是未经授权的内部人员对服务器数据的存取。四是保护客户服务器应用系统的完整性。
(二)网络交易中的主要风险。电子商务风险存在于网络交易整个运作过程,确定交易流程中可能出现的各种风险,分析其危害性,查找交易过程潜在的安全隐患和安全漏洞,是建立安全的电子商务交易系统不可或缺的基本条件。在电子商务交易中主要的风险包括:
1.信息存储风险。从技术上看,网络交易的信息存储风险主要来自三方面:一是冒名偷窃。“黑客”为了获取重要的商业秘密、资源和信息,常常采用源IP地址欺骗攻击。入侵者伪装成源自一台内部主机的一个外部地点传送信息包(这些信息包中包含有内部系统的IP地址),在E-mail服务器使用报文传输代理(MIA)中冒充他人,窃取信息。二是篡改数据。攻击者未经授权进入网络交易系统,使用非法手段,删除、修改某些重要信息,破坏数据的完整性,损害他人的经济利益,或干扰对方的正确决策,造成网络营销中的信息风险。三是信息丢失。交易信息的丢失,可能有三种情况:一种情况是因为线路问题造成信息丢失;第二种情况是因为安全措施不当而丢失信息;第三种情况是在不同的操作平台上转换操作而丢失信息。从买卖双方自身的角度观察,网络交易中的信息风险来源于用户以合法身份进入系统后,买卖双方都可能在网络上发布虚假的供求信息,或以过期的信息冒充现在的信息,以骗取对方的钱款或货物。
2.信息传递风险。信息在网络上传递时,要经过很多环节和渠道。由于计算机技术发展迅速,原有的病毒防范技术、加密技术、防火墙技术等始终存在着被新技术攻击的可能性。计算机病毒的侵袭、“黑客’非法侵入、线路窃听等很容易使重要数据在传递过程中泄露,威胁着电子商务交易的安全。各种外界的物理性干扰,如通信线路质量较差、地理位置复杂、自然灾害等,都可能影响到数据的真实性和完整性。
3.交易双方的信用风险。信用风险主要来自三个方面:一是来自买方的信用风险。对于个人消费者来说,可能发生在网络上使用信用卡进行支付时的恶意透支,或使用伪造的信用卡骗取卖方货物的行为;对于集团购买者来说,存在拖延贷款的可能,卖方需要为此承担风险。二是来自卖方的信用风险。卖方不能按质、按量、按时送寄消费者购买的货物,或者不能完全履行与集团购买者签订的合同,造成买方的风险。三是买卖双方都存在抵赖的情况。
4.管理方面的风险。严格管理是降低网络交易风险的重要保证,特别是在网络商品中介交易的过程中,客户进入交易中心,买卖双方签订合同,交易中心不仅要监督买方按时付款,还要监督卖方按时提供符合合同要求的货物。在这些环节上,都存在着大量的管理问题。防止此类问题的风险需要有完善的制度保证。人员管理常常是在线商店安全管理上的最薄弱的环节。近年来我国计算机犯罪大都呈现内部犯罪的趋势,其原因主要是因工作人员职业道德修养不高,安全教育和管理松懈所致。一些竞争对手还利用企业招募新人的方式潜入该企业,或利用不正当的方式收买企业网络交易管理人员,窃取企业的用户识别码、密码、传递方式以及相关的机密文件资料。网络交易技术管理的漏洞也带来较大的交易风险,有些操作系统中的某些用户是无口令的,如匿名FTP、利用远程登录命令登录这些无口令用户。这些管理上的漏洞往往为别有用心的人攻击系统提供了条件。
5.法律方面的风险。电子商务的技术设计是先进的、超前的,具有强大的生命力。但必须清楚地认识到,在目前的法律上还是找不到现成的条文来保护网络交易的安全,在网上交易可能会承担由于法律滞后而造成的风险。
二、电子商务系统需要解决的安全性问题
具体来说,电子商务的安全性主要应解决以下几个方面的问题:
(一)防泄密。网络上传输的数据为防止被第三者截获并知晓信息的真实内容,目前一般采用数据加密技术解决。
(二)防修改。网络上传输的数据必须完整、正确地传给对方,防止第三者对传输数据进行修改,目前一般采用数字签名技术进行解决。
(三)防复制。防止网络上信息重复发送,交易双方的应用系统均必须能够识别所收到的数据是否已经处理过(包括查询结果、交易指令、应答信息等)。
(四)身份认证。由于网上交易双方互不见面,无法通过常规方法识别对方的身份,目前多采用第三方CA认证中心发放电子证书进行数据加密和数字签名方式进行身份确认。
(五)防抵赖。双方所传输的数据一经发生,发出方有能力证明对方已经收到并知晓所接收的数据,而接收方也能证明发出方已经发出该信息。
(六)防破坏。防止传输数据被截获并作破坏性修改后重新发送,导致交易损失或无法进行。
(七)防阻断。防止黑客通过发送大量请求从而造成网络阻塞进而阻断交易。
(八)安全隔离。通常情况下 Internet只作为信息传输通道,真正的业务处理还在后台,因此,应采取相应措施实行前后台的隔离(内网与外网的隔离),以免黑客破坏后台业务数据或系统。
(九)防故障。网络系统不出现故障是不可能的,但可以通过各种备份手段防止突发事件引起的系统故障而中断交易。
(十)防病毒。由Internet网络的开放性,不可避免地受到病毒的攻击。因此,电子商务系统应具备较完备的防病毒能力。
与电子商务相关的管理、技术、业务和其他相关内部操作人员的误操作或蓄意破坏,也同样是电子商务安全性的一个重大问题。
三、电子商务的安全交易保证和控制
(一)信息保密性。交易中的商务信息均有保密的要求,如信用卡的账号和用户名等不能被他人知悉,因此在信息传播中一般均有加密的要求。
(二)交易者身份的确定性。网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上商店是不是一个欺诈的黑店。因此能方便而可靠地确认交易双方的身份是交易的前提。
(三)不可否认性。由于商情的千变万化,交易一旦达成是不能被否认的,否则必然会损害一方的利益。因此电子交易通信过程的各个环节都必须是不可否认的。
(四)不可修改性。交易的文件是不可被修改的,否则也必然会损害一方的商业利益。因此电子交易文件也要做到不可修改,以保障商务交易的严肃和公正。
四、结论
电子商务对计算机网络安全与商务安全有着双重要求,电子商务安全的复杂程度比大多数计算机网络更高,因此,电子商务安全应作为安全工程而不是解决方案来实施。
【参考文献】
[1]姚国章.电子商务与企业管理.北京:北京大学出版社,2002.
[2]张铎等.电子商务与现代物流.北京:北京大学出版社,2002.
[3]吕何新.电子商务概论.重庆:重庆大学出版社,2002.
[4]姚国章.电子商务与企业管理.北京:北京大学出版社,2002.
[5]彭欣.电子商务实务教程.北京:中国宇航出版社,2003.
[6]李琪.电子商务概论.北京:人民邮电出版社,2002.