电子商务的安全问题及相关对策研究

全文字数:5546

 电子商务的安全问题及相关对策研究

[摘 要] 电子商务的安全是一个复杂系统工程，需要从技术角度和立法等方面加以保障，以规范电子商务存在的各类问题。文章讨论了电子商务应用中所存在的安全问题，对电子商务过程中存在的网络协议安全性、用户信息安全性和电子商务网站安全性三方面问题进行分析和研究，针对这三方面问题分析和总结出电子商务交易过程中危害其安全性常用手段。最后指出电子商务的安全性问题不仅仅只是技术问题,它还涉及到法律等多方面的因素。要保证电子商务的安全性不仅要依靠技术手段，还需要通过立法等多方面的共同努力。
[关键词] 电子商务；安全问题；网络协议安全性；信息安全；法律

一、概述
 伴随着互联网的飞速发展，电子商务也随之逐渐兴起，在电子商务日趋成熟的今天，电子商务的安全性一直都是困扰其发展的主要因素。例如黑客的攻击、交易信息的窃取、篡改与破坏、病毒感染等等这些所带来的安全性问题都会影响电子商务的发展，如果不解决这些安全问题，就无法给人们的生活带来高效、方便和快捷。
 因此，在保证电子商务的高效率的同时，如何保障它的安全性，已经引起了人们的广泛关注。本文将就电子商务的安全问题，从技术和法律角度进行一些初步的探索。
二、电子商务安全的主要问题
 电子商务的安全主要包括网络协议安全性、用户信息安全性和电子商务网站安全性三个方面。
 1、网络协议安全性。由于TCP/IP本身的开放性，企业和用户在电子交易过程中的数据是以数据包的形式来传送的，恶意攻击者很容易对某个电子商务网站展开数据包拦截，甚至对数据包进行修改和假冒。
 2、用户信息安全性。目前最主要的电子商务形式是基于B/S（Browser/Server）结构的电子商务网站，用户使用浏览器登录网络进行交易，由于用户在登录时使用的可能是公共计算机，那么如果这些计算机中有恶意木马程序或病毒，这些用户的登录信息如用户名、口令可能会有丢失的危险。
 3、电子商务网站安全性。有些企业建立的电子商务网站本身在设计制作时就会有一些安全隐患，服务器操作系统本身也会有漏洞，不法攻击者如果进入电子商务网站，大量用户信息及交易信息将被窃取。
三、电子商务安全问题分析
 目前，电子商务安全中存在的网络协议安全性、用户信息安全性和电子商务网站安全性是电子商务安全的主要问题，这些问题具体表现在以下几个方面。
 1、信息窃取、篡改与破坏。电子的交易信息在网络上传输的过程中，可能会被他人非法修改、删除或重放，从而使信息失去了真实性和完整性。包括网络硬件和软件的问题而导致信息传递的丢失与谬误；以及一些恶意程序的破坏而导致电子商务信息遭到破坏。 
 2、身份假冒诚信安全问题。如果不进行身份识别，第三方就有可能假冒交易一方的身份，以破坏交易，败坏被假冒一方的声誉或盗窃被假冒一方的交易成果等。电子商务的在线支付形式有电子支票、电子钱包、电子现金、信用卡支付等。但是采用这几种支付方式，都要求消费者先付款，然后商家再发货。因此，诚信安全也是影响电子商务快速发展的一个重要问题。
 3、交易抵赖。电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认，以推卸自己应承担的责任。交易抵赖包括多个方面，如发信者事后否认曾经发送过某条信息或内容，收信者事后否认曾经收到过某条消息或内容，购买者做了定货单不承认，商家卖出的商品因价格差而不承认原有的交易等。
 4、病毒感染。各种新型病毒及其变种迅速增加，不少新病毒直接利用网络作为自己的传播途径。我国计算机病毒主要就是蠕虫等病毒在网上的猖獗传播。蠕虫主要是利用系统的漏洞进行自动传播复制，由于传播过程中产生巨大的扫描或其他攻击流量，从而使网络流量急剧上升，造成网络访问速度变慢甚至瘫痪。 
 5、黑客。黑客指的是一些以获得对其他人的计算机或者网络的访问权为乐的计算机爱好者。而其他一些被称为“破坏者（cracker）”的黑客则怀有恶意，他们会摧毁整个计算机系统，窃取或者损害保密数据，修改网页，甚至最终导致业务的中断。一些业余水平的黑客只会在网上寻找黑客工具，在不了解这些工具的工作方式和它们的后果的情况下使用这些工具。 
 6、特洛伊木马程序。特洛伊木马程序简称特洛伊，是破坏性代码的传输工具。特洛伊表面上看起来是无害的或者有用的软件程序，例如计算机游戏，但是它们实际上是“伪装的敌人”。特洛伊可以删除数据，将自身的复本发送给电子邮件地址簿中的收件人，以及开启计算机进行其他攻击。只有通过磁盘，从互联网上下载文件，或者打开某个电子邮件附件，将特洛伊木马程序复制到一个系统，才可能感染特洛伊。无论是特洛伊还是病毒并不能通过电子邮件本身传播——它们只可能通过电子邮件附件传播。 
 7、恶意破坏程序。网站提供一些软件应用（例如ActiveX和Java Applet），由于这些应用非常便于下载和运行，从而提供了一种造成损害的新工具。恶意破坏程序是指会导致不同程度的破坏的软件应用或者Java小程序。一个恶意破坏程序可能只会损坏一个文件，也可能损坏大部分计算机系统。
 8、网络攻击。目前已经出现的各种类型的网络攻击通常被分为三类：探测式攻击，访问攻击和拒绝服务（DoS）攻击。探测式攻击实际上是信息采集活动，黑客们通过这种攻击搜集网络数据，用于以后进一步攻击网络。通常，软件工具（例如探测器和扫描器）被用于了解网络资源情况，寻找目标网络、主机和应用中的潜在漏洞。例如一种专门用于破解密码的软件，这种软件是为网络管理员而设计的，管理员可以利用它们来帮助那些忘记密码的员工，或者发现那些没有告诉任何人自己的密码就离开了公司的员工的密码。但这种软件如果被错误的人使用，就将成为一种非常危险的武器。访问攻击用于发现身份认证服务、文件传输协议（FTP）功能等网络领域的漏洞，以访问电子邮件帐号、数据库和其他保密信息。DoS攻击可以防止用户对于部分或者全部计算机系统的访问。它们的实现方法通常是：向某个连接到企业网络或者互联网的设备发送大量的杂乱的或者无法控制的数据，从而让正常的访问无法到达该主机。更恶毒的是分布式拒绝服务攻击（DDoS），在这种攻击中攻击者将会危及多个设备或者主机的安全。 
四、解决电子商务安全对策 
 对于电子商务安全中存在的诸多问题，要想解决这些不能完全依赖于技术手段，还必须结合必要的法律来保障电子商务的安全性。
 1、电子商务安全性技术防范