第四章 电子商务交易安全
第1节 电子商务交易安全问题
电子商务大量的商务活动运作于公开的网络上,支付信息、订货信息、谈判信息、机密的商务往来文件等商务信息在计算机系统中存放、传输和处理,计算机诈骗、计算机病毒等造成的商务信息被窃、纂改和破坏,以及机器失效、程序错误、误操作、传输错误等造成的信息失误或失效,都严重危害着电子商务系统的安全。
安全性是影响电子商务健康发展的关键。如何采取高效的安全措施保证电子商务的顺利展开,解决电子商务中存在的一系列安全问题,已成为电子商务良好运作的基础。
一、电子商务安全概述
电子商务是一个社会与技术相结合的综合性系统,其安全性是一个多层次、多方位的系统的概念。
广义上讲,电子商务安全不仅与计算机系统结构有关,还与电子商务应用的环境、人员素质和社会因素有关,它包括电子商务系统的硬件安全、软件安全、运行安全及电子商务立法。电子商务安全也可以分为两部分:一是计算机网络安全,二是商务交易安全。计算机网络安全的内容包括计算机网络设备安全、计算机网络系统安全、数据库安全等,其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全为目标。商务交易安全紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,保障电子交易和电子支付等电子商务的顺利进行,即实现电子商务的保密性、完整性、可鉴別性、不可伪造性和不可抵赖性等。从狭义上讲,电子商务安全是指电子商务信息的安全,主要包括信息的存储安全和信息的传输安全两个方面。
计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络安全作为基础,商务交易安全就像空中楼阁,无从谈起;没有商务交易安全保障,即使计算机网络本身再安全,也达不到电子商务所特有的安全要求。
电子商务安全以网络安全为基础,但两者又是有区别的。首先,网络不可能绝对安全,在这种情况下,还需要运行安全的电子商务;其次,即使网络绝对安全,也不能保障电子商务的安全。电子商务除了基础要求之外,还有特殊要求。
电子商务安全是一个复杂的系统问题。电子商务安全立法与电子商务应用的环境员素质、社会因素有关,基本上不属于技术上的系统设计问题,而硬件安全是目前硬件技术水平能够解决的问题。鉴于现代计算机系统软件的庞大和复杂性,软件安全成为电子商务系统安全的关键问题。
二、电子商务安全问题产生的原因
电子商务安全问题不仅仅是网络安全问题,还包括信息安全问题、交易过程安全题。
1、管理问题
大多数电子商务网站缺乏统一的管理,没有一个合理的评价标准。同时,安全管理也存在很大隐患,大多数网站易受黑客攻击,造成服务器痪,使网站的信誉受到损害
2.技术问题
网络安全体系尚未形成。网络安全在全球还没有形成一个完整的体系,虽然电子商务安全的产品数量不少,但真正通过认证的却非常少。安全技术的强度普遍不够,国外有关电子商务的安全技术,虽然整体来看其结构或加密技术都不错,但这种加密算法受到外国密码政策的限制,对其他国出口的安全技术往往强度不够。
3.环境问题
社会环境对于电子商务发展带来的影响也不小,如社会法制建设不够,相关法律建设跟不上电子商务的发展
三、有关电子商务的安全性要求
1.对电子商务活动安全性的要求
(1)服务的有效性要求
电子商务系统应能防止服务失败情况的发生,预防由于网络故障和病毒发作等因素产生的系统停止服务等情况,保证交易数据能准确快速地传送。
(2)交易信息的保密性要求
电子商务系统应对用户所传送的信息进行有效的加密,防止信息被截取破译,同时要防止信息被越权访问。
(3)数据的完整性要求
数据完整性是指在数据处理过程中,原来数据和现行数据之间应保持完全一致。为了保障电子商务交易的严肃和公正,交易的文件是不能被修改的,否则必然会损害一方的商业利益。
(4)身份认证的要求
电子商务系统应提供安全有效的身份认证机制,确保交易双方的信息都是合法有效的,以备发生交易纠纷时提供法律依据。
2.电子商务的主要安全要素
(1)信息真实性、有效性
电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息真实有效是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的真实性和有效性将直接关系到个人、企业或国家的经济利益和声誉。
(2)信息机密性
电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传纸面贸易都是通过邮寄封装的信件或可靠的通信渠道发送商业报文来达到保守机密的日的电子商务是建立在一个较为开的的之上的,商业防密是电子商务全面广应用的重要保障
(3)信息完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来了维护商业信息完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
(4)信息可靠性、不可否认性和可控性
可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认性要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性,并预防抵赖行为的发生。
(5)交易审查能力
依据在交易过程中信息传输机密性和完整性的要求,电子商务系统应对数据审查的结果进行记录。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在网络上每个人都是匿名的,电子商务系统应充分保证原发方在发送数据后不能抵模,接收方在接收数据后也不能抵赖。
四、常见的电子商务安全问题
1、网络安全隐患
2、交易隐患
五、保护措施
1、安全治理
2、保护
3、监控和审计
4、响应
5、恢复