第二章 電子商務(wù)安全面臨的主要問(wèn)題及解決辦法

第二章電子商務(wù)安全面臨的

主要問(wèn)題及解決方法中國(guó)電子商務(wù)研究中心發(fā)布的《2013年度中國(guó)電子商務(wù)用戶體驗(yàn)與投訴監(jiān)測(cè)報(bào)告》中顯示，2013年度通過(guò)在線遞交、電話、郵件、即時(shí)通訊等多種形式，中國(guó)電子商務(wù)投訴與維權(quán)公共服務(wù)平臺(tái)共接到全國(guó)各地用戶的電子商務(wù)投訴97350起，其中移動(dòng)電商是用戶投訴的新興熱點(diǎn)領(lǐng)域，較2012年有明顯上升。在2013年度電子商務(wù)領(lǐng)域的各類(lèi)投訴中，網(wǎng)絡(luò)購(gòu)物占52.38%，網(wǎng)絡(luò)團(tuán)購(gòu)占27.53%，移動(dòng)電子商務(wù)占10.09%，物流快遞占2.24%，B2B網(wǎng)絡(luò)貿(mào)易占1.39%，第三方支付占1.07%，其他（如網(wǎng)絡(luò)傳銷(xiāo)、網(wǎng)絡(luò)集資洗錢(qián)等）占5.3%。其中，在去年電商價(jià)格戰(zhàn)、“雙11”、電商周年慶，均是用戶投訴高峰期。據(jù)中國(guó)電子商務(wù)研究中心調(diào)查顯示，退款問(wèn)題、售后服務(wù)、網(wǎng)絡(luò)售假、退換貨物、發(fā)貨遲緩、網(wǎng)絡(luò)詐騙、質(zhì)量問(wèn)題、訂單取消、虛假促銷(xiāo)、節(jié)能補(bǔ)貼成為網(wǎng)購(gòu)詬病，是2013年網(wǎng)購(gòu)用戶投訴最多的十大問(wèn)題癥結(jié)。其中，投訴量最大的是“退款問(wèn)題”，占總投訴量的21.21%。其次對(duì)售后服務(wù)的投訴，占比達(dá)13.48%，涉及網(wǎng)絡(luò)售假、退換貨物的投訴也分別達(dá)10.61%、10.15%。不到1/3的購(gòu)物網(wǎng)站對(duì)用戶投訴反饋率在50%左右，而多數(shù)購(gòu)物網(wǎng)站對(duì)用戶投訴反饋不積極?！百?gòu)物網(wǎng)站誠(chéng)信缺失，不重視用戶投訴，是導(dǎo)致用戶重復(fù)投訴率高的主因?！痹诰W(wǎng)絡(luò)購(gòu)物市場(chǎng)，信息泄露成為電商和消費(fèi)者遇到的最大危機(jī)。在2013年里，電商信息泄露內(nèi)容主要有支付寶信息泄露、快遞單販賣(mài)、購(gòu)物網(wǎng)站賬戶被盜等。每年因賬戶被盜造成損失超10億。第一節(jié)電子商務(wù)的安全威脅1.信息傳輸風(fēng)險(xiǎn)信息傳輸風(fēng)險(xiǎn)是指進(jìn)行網(wǎng)上交易時(shí)，因傳輸?shù)男畔⑹д婊蛘咝畔⒈环欠ǜ`取、篡改和丟失，而導(dǎo)致網(wǎng)上交易的不必要損失。（1）冒名偷竊（2）篡改數(shù)據(jù)（3）信息丟失（4）信息傳遞過(guò)程中的破壞（5）虛假信息2．信用風(fēng)險(xiǎn)

信用風(fēng)險(xiǎn)主要來(lái)自三個(gè)方面：第一，來(lái)自買(mǎi)方的信用風(fēng)險(xiǎn)。對(duì)于個(gè)人消費(fèi)者來(lái)說(shuō)，可能在網(wǎng)絡(luò)上使用信用卡進(jìn)行支付時(shí)惡意透支，或使用偽造的信用卡騙取賣(mài)方的貨物；對(duì)于集團(tuán)來(lái)說(shuō)，存在拖延貨款的可能，賣(mài)方需要為此承擔(dān)風(fēng)險(xiǎn)。第二，來(lái)自賣(mài)方的信用風(fēng)險(xiǎn)。賣(mài)方不能按質(zhì)、按量、按時(shí)寄送消費(fèi)者購(gòu)買(mǎi)的貨物，或者不能完全履行與集團(tuán)簽訂的購(gòu)買(mǎi)合同，造成買(mǎi)方的風(fēng)險(xiǎn)。第三，買(mǎi)賣(mài)雙方都存在抵賴(lài)的情況。第一節(jié)電子商務(wù)的安全威脅3．管理方面的風(fēng)險(xiǎn)

首先，在網(wǎng)絡(luò)商品中介交易的過(guò)程中，客戶進(jìn)入交易中心，買(mǎi)賣(mài)雙方簽訂合同，交易中心不僅要監(jiān)督買(mǎi)方按時(shí)付款，還要監(jiān)督賣(mài)方按時(shí)提供符合合同要求的貨物。在這些環(huán)節(jié)上都存在大量的管理風(fēng)險(xiǎn)。其次，人員管理常常是網(wǎng)上交易安全管理上的最薄弱的環(huán)節(jié)，計(jì)算機(jī)犯罪大都呈現(xiàn)內(nèi)部犯罪。第三，網(wǎng)絡(luò)交易技術(shù)管理的漏洞也帶來(lái)較大的交易風(fēng)險(xiǎn)。第一節(jié)電子商務(wù)的安全威脅4.法律方面的風(fēng)險(xiǎn)在目前的法律條文上找不到現(xiàn)成的條文保護(hù)網(wǎng)絡(luò)交易中的交易方式，因此還存在房率方面的風(fēng)險(xiǎn)。一方面，在網(wǎng)上交易可能會(huì)承擔(dān)由于法律滯后而無(wú)法保證合法交易的權(quán)益造成的風(fēng)險(xiǎn)。另一方面，在網(wǎng)上交易可能承擔(dān)由于法律的事后完善所帶來(lái)的風(fēng)險(xiǎn)。第一節(jié)電子商務(wù)的安全威脅第二節(jié)電子商務(wù)安全需求電子商務(wù)威脅的出現(xiàn)，導(dǎo)致了對(duì)電子商務(wù)安全的需求，為真正實(shí)現(xiàn)一個(gè)安全電子商務(wù)系統(tǒng)，保證交易的安全可靠，要求電子商務(wù)能做到機(jī)密性，完整性，認(rèn)證性和不可抵賴(lài)性。(1)機(jī)密性。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的，維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此，要預(yù)防非法的信息存取和信息在傳輸過(guò)程中被非法竊取。機(jī)密性一般通過(guò)密碼技術(shù)對(duì)傳輸?shù)男畔⑦M(jìn)行加密處理來(lái)實(shí)現(xiàn)。第二節(jié)電子商務(wù)安全需求(2)完整性。電子商務(wù)過(guò)程中，由于數(shù)據(jù)輸入時(shí)的差錯(cuò)或欺詐行為，以及數(shù)據(jù)傳輸過(guò)程中信息的丟失，信息重復(fù)或信息傳送的次序差異將導(dǎo)致貿(mào)易各方信息的差異，從而影響到貿(mào)易各方的交易和經(jīng)營(yíng)策略，保證貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。因此，要預(yù)防對(duì)信息的隨意生成，修改和刪除，同時(shí)要防止數(shù)據(jù)傳輸過(guò)程中的丟失和重復(fù)，保證信息傳送次序的統(tǒng)一。完整性一般可通過(guò)提取信息的數(shù)據(jù)摘要方式來(lái)獲得。3.1電子商務(wù)的安全需求(3)認(rèn)證性。電子商務(wù)交易系統(tǒng)中，企業(yè)或個(gè)人的交易通常都是在虛擬的網(wǎng)絡(luò)環(huán)境中進(jìn)行，雙方可能從未謀面，所以對(duì)個(gè)人或企業(yè)實(shí)體進(jìn)行身份認(rèn)證成了電子商務(wù)中十分重要的一環(huán)。這就要做到，當(dāng)某人或?qū)嶓w聲稱(chēng)具有某個(gè)特定身份時(shí)，鑒別服務(wù)將提供一種方法來(lái)驗(yàn)明其聲明的正確性，一般都通過(guò)證書(shū)機(jī)構(gòu)CA和數(shù)字證書(shū)來(lái)實(shí)現(xiàn)。第二節(jié)電子商務(wù)安全需求3.1電子商務(wù)的安全需求（4）不可抵賴(lài)性。電子商務(wù)關(guān)系到貿(mào)易雙方的商業(yè)交易，關(guān)乎雙方的商業(yè)利益，但由于它不同于傳統(tǒng)的貿(mào)易方式，如何確定要進(jìn)行交易的貿(mào)易方就是合作伙伴，并且確定合同，契約，單據(jù)的可靠性，預(yù)防抵賴(lài)行為的發(fā)生，這就要求在交易信息的過(guò)程中，為參與的個(gè)人，企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。不可抵賴(lài)性可通過(guò)對(duì)發(fā)送的信息進(jìn)行數(shù)字簽名來(lái)獲取。第二節(jié)電子商務(wù)安全需求3.1電子商務(wù)的安全需求（5）有效性。電子商務(wù)以電子的形式取代了紙張，那么如何保證這種電子形式的貿(mào)易信息的有效性則是開(kāi)展電子商務(wù)的前提。電子商務(wù)作為一種貿(mào)易形式，其信息的有效性將直接關(guān)系到個(gè)人，企業(yè)或國(guó)家的利益和聲譽(yù)。因此，要對(duì)網(wǎng)絡(luò)故障，操作錯(cuò)誤，應(yīng)用程序錯(cuò)誤，硬件故障，系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻，確定的地點(diǎn)是有效的。第二節(jié)電子商務(wù)安全需求第三節(jié)電子商務(wù)安全的保障體系1．電子商務(wù)安全保障的正確理念首先，電子商務(wù)安全是系統(tǒng)性問(wèn)題，要綜合考慮人、技術(shù)、管理、法規(guī)、制度等多項(xiàng)要素。其次，電子商務(wù)安全是整體性問(wèn)題，指望幾項(xiàng)離散的安全產(chǎn)品或技術(shù)手段解決所有安全問(wèn)題是不現(xiàn)實(shí)的。第三，安全保障是動(dòng)態(tài)發(fā)展的過(guò)程，安全保障建設(shè)不會(huì)是一勞永逸的。第四，安全是相對(duì)性的，安全保障建設(shè)投資是可度量的。2．管理上的安全措施首先，在高層管理要引起對(duì)電子商務(wù)安全的足夠重視，促成管理人員同相關(guān)的技術(shù)人員一起制定企業(yè)內(nèi)部、外部網(wǎng)絡(luò)安全規(guī)劃和標(biāo)準(zhǔn)。在規(guī)劃中應(yīng)該指出企業(yè)信息安全在近期和未來(lái)一段時(shí)間內(nèi)要達(dá)到什么級(jí)別和標(biāo)準(zhǔn)，預(yù)備投入的資源等。其次，在規(guī)劃和標(biāo)準(zhǔn)的指導(dǎo)下要制定詳細(xì)的安全行為規(guī)范。最后，要特別注意安全條例的執(zhí)行保障，即有了規(guī)定就一定要按照規(guī)定去執(zhí)行。第三節(jié)電子商務(wù)安全的保障體系3．法律上的安全保障在法律上，電子商務(wù)不同于傳統(tǒng)商務(wù)在紙面上完成交易、有據(jù)可查的特點(diǎn)，電子交易如何認(rèn)證、電子欺詐如何避免和懲治不僅是技術(shù)問(wèn)題，同時(shí)也要涉及法律領(lǐng)域。在電子商務(wù)這個(gè)虛擬世界里，更需要完善的法律體系來(lái)維持秩序。安全的電子商務(wù)僅靠單一的技術(shù)手段來(lái)保證是不會(huì)奏效的，必須依靠法律手段、行政手段和技術(shù)手段的完美結(jié)合來(lái)最終保護(hù)參與電子商務(wù)各方的利益。這就需要在企業(yè)和企業(yè)之間、政府和企業(yè)之間、企業(yè)和消費(fèi)者之間、政府和政府之間明確各自需要遵守的法律義務(wù)和責(zé)任。第三節(jié)電子商務(wù)安全的保障體系4．技術(shù)上的安全保障在技術(shù)上，電子商務(wù)中涉及的安全技術(shù)很多，其中有一些已經(jīng)獲得了廣泛的應(yīng)用和認(rèn)可。對(duì)于維護(hù)企業(yè)內(nèi)部網(wǎng)安全的技術(shù)包括用戶密碼和權(quán)限管理技術(shù)、防火墻技術(shù)、虛擬專(zhuān)用網(wǎng)技術(shù)和網(wǎng)絡(luò)殺毒技術(shù)等；維護(hù)交易數(shù)據(jù)在互聯(lián)網(wǎng)上安全傳輸?shù)募夹g(shù)包括數(shù)據(jù)加密和數(shù)字簽名等，其中為了識(shí)別用戶在現(xiàn)實(shí)世界中的真實(shí)身份還要涉及認(rèn)證中心；另外，為了維護(hù)電子交易中最為關(guān)鍵的資金流動(dòng)，特別是信用卡支付的安全，還要涉及兩個(gè)應(yīng)用廣泛的協(xié)議：SSL和SET協(xié)議。第三節(jié)電子商務(wù)安全的保障體系計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)防火墻技術(shù)虛擬專(zhuān)用網(wǎng)技術(shù)入侵檢測(cè)技術(shù)病毒防范技術(shù)第四節(jié)電子商務(wù)安全技術(shù)電子商務(wù)交易技術(shù)數(shù)據(jù)加密技術(shù)數(shù)字簽名技術(shù)認(rèn)證技術(shù)防火墻技術(shù)防火墻是一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)分開(kāi)的方法，實(shí)際上是一種隔離技術(shù)，是安全網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)的之間的一道屏障，以防不可預(yù)測(cè)的、潛在的網(wǎng)絡(luò)入侵。虛擬專(zhuān)用網(wǎng)技術(shù)（VPN）VPN（VirtualPrivateNetwork），譯為虛擬私有網(wǎng)絡(luò)，指的是建構(gòu)在Internet上，使用隧道及加密建立一個(gè)虛擬的、安全的、方便的及擁有自主權(quán)的私人數(shù)據(jù)網(wǎng)絡(luò)。VPN技術(shù)解決了內(nèi)部網(wǎng)的信息如何在Internet上安全傳送的問(wèn)題。網(wǎng)絡(luò)入侵檢測(cè)技術(shù)

對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。網(wǎng)絡(luò)入侵檢測(cè)技術(shù)

對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。防病毒技術(shù)計(jì)算機(jī)病毒是一種人為編制的程序或指令集合，這種程序能潛伏在計(jì)算機(jī)系統(tǒng)中，并通過(guò)自我復(fù)制傳播和擴(kuò)散，在一定條件下被激活，給計(jì)算機(jī)帶來(lái)故障和破壞。加解密技術(shù)

數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識(shí)別的密文數(shù)據(jù)，數(shù)據(jù)加密被公認(rèn)為是保護(hù)數(shù)據(jù)傳輸安全惟一實(shí)用的方法和保護(hù)存儲(chǔ)數(shù)據(jù)安全的有效方法，它是數(shù)據(jù)保護(hù)在技術(shù)上的最后防線。數(shù)字簽名技術(shù)數(shù)字簽名（DigitalSignature）技術(shù)是將摘要用發(fā)送者的私鑰加密，與原文一起傳送給接收者，接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。。數(shù)字簽名與書(shū)面文件簽名有相同之處，采用數(shù)字簽名，能確認(rèn)以下兩點(diǎn)．（1）信息是由簽名者發(fā)送的；（不可否認(rèn)性）（2）信息自簽發(fā)后到收到為止未曾作過(guò)任何修改。（信息完整性）身份認(rèn)證技術(shù)