论电子商务的网络安全隐患 随着Internet的发展,电子商务已经逐渐成为人们进行商务活动的新模式。越来越多的人通过Internet进行商务活动,电子商务的发展前景十分诱人,而其安全问题也变得越来越突出,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户们都十分关心的话题。 网络化一方面使工作的效率提高,但另一方面,也使生活方式和工作方式发生相应的改变,因此使得一些原来没有的问题现实出来,一些原有的问题也有了新的涵义。在竞争日益激烈的今天,人们普遍关系的问题主要有七种,在国外普遍称为7P问题,所以7P就是这七个方面的问题都是以英文字母P开头,即Privacy(隐私)、Piracy(盗版)、Pornography(色情)、Pricing(价格)、Policing(政府制订)、Psychology(心理学)和Protection of the Net-work(网络保护)。所有这七种问题,可以说是从不同角度提出的安全问题。而安全问题的重中之重,则在于如何开发出一种安全的环境。电子商务应用最大的障碍之一就是安全问题,因为互联网从问世之日便是一个以“无政府”“无国境”为口号的公用网络,而电子商务又是面对可以上网的每一个人。但只是我们对网络进行科学规划、完善安全策略,即使有少数人采用各种先进的技术去入侵计算机网络,电子商务的安全交易也是可以保障的。 一、计算机网络方面的安全问题 计算机网络所面临的威胁是指对网络中的信息和设备的威胁。在网络安全问题中,最重要的是内部网与外部网之间的访问控制问题。在这个环节上经常发生问题。这也是黑客最容易攻击的地方。另外一个问题是内部网不用网络安全域的访问控制问题。不同的内部网络具有重要性的信息资料,因而,内部犯罪往往利用内部管理上的漏洞,寻找盗窃和破坏的机会。 1、网络病毒 在网络环境下,计算机病毒有不可估计的威胁性和破坏性。1998年11月2日,年仅23岁的美国康奈尔大学的学生罗泊特·莫瑞斯,他在自己的计算机上,用远程命令将自己编写的蠕虫程序送进Internet,一夜之间攻击了Internet上约6200台VAX系列小型机和Sun工作站,造成包括美国300多所大学、议院,研究中心、国家航空航天和几个军事基地的计算机停止运行,事故经济损失达9600万美元。这是世界上收例公开批露的网络病毒攻击案。 2003年8月11日,一种名为冲击波的电脑蠕虫病毒从国外传入国内,短短几天内影响到全国绝大部分地区的用户。该病毒刷新了病毒历史的记录,成为我过病毒历史上影响最广泛的病毒之一。 近几年出现的大量病毒,都0是借助网络环境对大量的计算机造成毁灭性的破坏,而防病毒软件又往往落后一步,使人们在遭受病毒袭击时,没有能力抵抗病毒的入侵。此外人们思想的麻痹,对防病毒措施使用不当,也是造成计算机病毒面积扩大的原因之一。 2、操作系统的安全问题 不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。有人人为操作系统缺省安装后,在配置上很强的密码系统就安全了,这样的想法也是错误的,网络软件的漏洞和“后门”是进行网络攻击的首选目标。 虽然不少网站采用了一些安全设备,但由于安全产品本身的问题或使用问题,这些产品 并没有起到应用的作用。很多安全厂商的产品对配置人员的技术背景要求很高,超过了普通网管的技术要求。就算是厂家在最初给用户做了正确的安装和配置,一旦系统改动,或者对安全权限需要重新设置的时候,很容易产生许多安全问题。 3、黑客攻击 电子商务Web站点是黑客瞄准的目标,他们经过多次努力可以“破门而入”,进入这类 Web站点。美国NetSolve公司专门提供ProWatch Secure远程网络安全性监视服务,它既监测Web站点,也监测连接到Internet的用户网络。根据该公司1997年5月到1997年9月监测到的约5000次有关安全报警,在这五个月期间,几乎每个电子商务站点都受到了攻击,而非某些统计数字所表述的电子商务站点受攻击的比例约为60%。总的来看,80%的公司在每个月里面最少会受到一次主要的网络攻击,黑客为了寻找系统的脆弱性要对每个用户进行大量的探查。从平均水平看,多数站点每个月都要受到1至5次严格攻击,那些具有高可视性的站点和电子商务站点是最易受攻击的。电子商务的客户包括为客户销售和物品配送的Web站点和提供金融服务的公司和制造商。 4、电子商务网站的安全问题 电子商务网站是电子商务运营的基础,在电子商务的环境下,交易双方的身份信息、商 品信息、意图表示、资金信息等需要通过交易当事人自己设立的网站或通过中介服务商设立的网站发布、传递和保存。保证电子商务网站正常运转是电子商务交易安全保障的首要任务。 目前,我国的电子商务网站安全存在很大的隐患。2001年5月,在中美黑客大战,黑客攻击的技术、手段还很一般,现有的成熟技术完全可以阻止,但中国还是有不少的网站受到攻击。问题出在两个方面。一方面,中国计算机的一些核心技术都依赖进口,因此很多方面受制于人。美国作为一个信息超级大国,在全球推行垄断战略。而信息领域的游戏规则是先入为主。另一方面,我国的电子商务网站管理上的漏洞太多,没有严格的规章制度保障,人为地造成网站的许多薄弱环节。另外,还需明确因为电子商务网站与进入网站购物的消费者之间的法律关系。电子商务法还需要明确因为电子商务网站运作不当,如传输信息不真实、无效,或其他情况下引起交易损失时网站应当承担的责任,以及受损失的交易方的救济方法。现在国内大部分网站把主要精力放在网站的结构和内容建议上,忽略了网站安全防护措施,因而存在严重的安全问题。据报道,国内的门户网站、电子商务网站90%存在安全问题,其中有40%问题严重,有些网站还在未做好安全保护的时候就草率的开通,更有甚者,有些企业将自己属于机密类的商务资料放置到与网络相联的终端上,甚至没有采用防火墙技术;有的个人将企业的的机密资料随便的拷贝到自己上网的计算机上,在家办公等等。出现这些问题的原因往往是安全制度不完备,或者安全制度不落实。 二、电子商务交易方面的安全问题 1、在线交易主体市场准入问题 在现行法律体制下,任何长期从事赢利性事业的主体都必须进行工商登记。在电子商务环境下,任何人不经过登记就可以借助计算机网络发出或接受网络信息,并通过一定程序与其他人达成交易。虚拟主体的存在使电子商务交易性受到威胁。电子商务交易安全首先要解决的问题就是确保网上交易主体的真实存在,并且确定哪些主体可以进入虚拟市场从事在线业务。这方面的工作需要依赖工商管理部门的网上商事主题公示制度和认证中心的认证制度加以解决。 2、信息风险 从买卖双方自身的角度观察,网络交易中的信息风险来源于用户以合法身份进入系统后,买卖双方都可能在网络上发布虚假的供求信息,或以过期的信息冒充现在的信息,以骗取对方的钱款或货物。虚假信息包含与事实不符合和夸大事实两个方面。 从技术上看,网络交易的信息风险主要来自于三个方面: (一)冒名偷窃。黑客为了获取重要的商业秘密、资源和信息,常常采用源IP地址欺骗攻击。入侵者伪装成源自一台内部主机的一个外部地点传送信息包,这些信息包中包含有内部系统的IP地址。在Email服务器使用报文传输代理中,冒名他人,窃取信息。通过信息网络泄漏或窃取他人的重要经济信息,这是电子商务交易中非常普遍的现象。在网络证卷交易中,这一个问题更加的明显。 (二)篡改数据。攻击者未经授权进入网络交易系统,使用非法手段,删除、修改、重新发出某些重要信息,破坏数据的完整性,损害他人的经济利益,或干扰对方的正确决定,造成网络影销中的信息风险。 (三)信息丢失。信息在网络上传递时,要经过多个环节和渠道。由于计算机技术发展迅速,原来的病毒防范技术、加密技术、防火墙技术等始终存在着被新技术攻击的可能性。信息的丢失,可以归纳为三种情况,一是因为线路问题造成信息丢失;二是因为安全措施不当而丢失信息;三是在不同的操作平台上转换操作导致丢失信息。 3、信用风险 来自买方的信用风险。对于个人消费者来说,可能存在网络上使用信用卡进行支付时恶意透支,或使用伪造的信用卡骗取卖方的货物行为;对于集团购买者来说,存在拖延货款的可能。卖方需要为此承担风险。 来自卖方的信用风险。卖方不能按质、按量、按时送出消费者购买的货物,或者不能完全履行与集团购买者签订的合同,造成买方的风险。 双方都存在抵赖的情况。 股票的交易信息或在Internet上发布的证卷交易行情可能与真实情况不完全一致。 4、网络上的欺骗犯罪 随着网络和电子商务技术的发展,假冒伪劣商品更加泛滥,利用电子商务欺诈已经成为最危险的一种犯罪活动。必须承认,全球网上交易中欺诈行为已经愈演愈烈.调查表明,在经营网上销售业务的商家中,83%认为欺诈是一个不容忽视的问题。对此,全球的电子商务专家们表示了忧虑:“Internet业务确实呈爆炸性增长,但同时与Internet有关的犯罪率也呈直线上升。” 5、电子支付问题 在电子商务简易形式下,支付往往采用汇款或者交货付款方式,而典型的电子商务则是在网上完全支付的。网上支付通过信用卡支付和虚拟银行的电子资金划拨来完成。而实现这一过程涉及网络银行与网络交易客户之间的协议、网络银行与网站之间的合作协议及安全保障问题。因此,需要制定相应的法律,明确电子支付的当事人之间的法律关系,制定相关的电子支付制度,认可电子签名的合法性。同时还应出台对于电子支付数据的伪造、变造、更改等问题的处理办法。 6、电子商务中产品的交付问题 在线的交易物一般分为两种,一种是有形货物,另一种是无形的信息产品。应当说,有形货物的交付仍然可以沿用传统合同法的基本原理,当然,对于物流配送中引起的一些特殊问题,也需要作一些探讨。而信息产品的交付则具有不同于有形货物交付的特征,对于其权利的转移、退货、交付的完成等需要有相应的安全保障措施。 7、在线消费者保护问题 在线市场的虚拟性和开发性,网上购物的便捷性使消费者保护成为突出的问题。在我国商业信用不高的状态下,网上出售的商品可能优良不齐,质量难以让消费者信赖,而一旦出现质量问题,退赔、修理或其他的方式的补偿又很困难,方便的网络购物很可能变得不方便甚至使人敬而远之。因此需要寻求在电子商务环境下执行《消费者权益保护法》的方法和途径,制定网上消费者的保护的特殊法,保障网上商品的质量,保证网上广告的真实性和有效性,解决由于交易双方信誉不实或无效信息的交易纠纷,切实维护消费者权益。 8、管理方面的风险 严格管理是降低网络交易风险的重要保证,特别是网络商品中介交易的过程中,客户进入交易中心,买卖双方签定合同,交易中心不仅要监督买方按时付款,还要监督卖方按时提供符合合同要求的货物,在这些环节上,都存在大量的管理问题。防止此类问题的风险需要有完善的制度设计,形成一套相互关联、相互制约的制度群。 人员管理常常是在线商店安全管理上最薄弱的环节。今年来我国计算机犯罪呈现内部犯罪的趋势。主要是因为人员职业道德修养不高,安全教育和管理松懈所致。一切竞争对手还利用企业招聘新人的方式潜入该企业,或利用不正当的方式收买网络交易管理人员,窃取企业用户识别码、密码、传递方式以及相关的机密文件资料。 网络交易技术管理的漏洞也带来较大的交易风险。有些系统中某些用户是无口令的,如匿名FTP,利用远程登陆命令可登陆这些无口令用户;或利用r系列的服务存在信任概念,允许被信任用户不需要口令就可以进入系统,然后把自己升级为超级管理员。 世界上现有的信息系统决大数都缺少安全管理员,缺少信息系统安全管理的技术规范,缺少定期的安全测试与检查,更缺少安全监控。我国许多企业的信息系统已经使用了很多年,但计算机的系统管理员与用户的注册还大多数处于缺省的状态。 三、政策法律方面的网络安全问题 电子商务技术设计是先进性、时代性,具有强大的生命力。但必须清楚的认识到,在目前的法律法规仍然找不到现成的条文保护网络交易中的交易方式,在网上交易可能会承担由于法律滞后而造成的风险。垮地域的问题会在网络法律安全出现漏洞。 政策的统一性和组织协调的问题 参与电子商务的除了交易双方外,还涉及海关、商检、银行、保险、外汇管理、货物运输、信息产业等部门和不同地区、不同国家,这不仅要要求国际上要有强有力的综合协调部门,国内也要有强有力的综合协调部门来制定统一的政策框架。 市场监管水平低 由于Internet上进行电子商务是一个没有时空和地域限制的大市场,而各国控制电子商务的内容标准不一、政策也不同。虽然,国际法反对将自己的控制目的和控制手段强加于他国,限制各国将本国法律用于处理超出国土范围的争端,但我们同时也应该看到,一国的经营或客户在国外设置一个服务器或者在国外服务器中设置自己的主页,这已经成为可能,因此,那些防止公民逃避本国司法控制的法律机制在Internet上的作用将大打折扣。 电子商务法律问题 电子商务的支付和结算的资金交付都是采用电子货币通过电子资金划拨(EFT)的方式,我国尚未制定这一法律,应尽快参照联合国国际贸易法委员会制定的《电子资金划拨示范法》制定我国与之接轨的电子资金划拨法,确保交易资金划拨顺利进行。 四、结论 电子商务时代正在一步一步离我们越来越近,虽然现在电子商务安全水平发展还有种种缺点、但是没有人可以否认电子商务发展的巨大潜力,电子商务还要有很长的路要走,可能还要经历坎坷和失败,但是如果我们提高全社会对电子商务的认识,加强宣传,解决面临的各种问题,改变消费观念;政府有计划地推动电子商务;建立因特网全球性的框架和协议;政府各部门协调、出台相应的法律;政府从示范工程入手,对网上交易在税收上采取优惠政策;加强国际间的电子商务交流。电子商务事业将取得健康的发展。我们还需要加强电子商务网络安全相关技术的研究工作,加强电子商务相关网络安全技术标准的制定工作,充分发挥政府的引导作用,积极探索电子商务网络安全运行模式,大力推进企业信息化建设,建设完善的社会信用体系,并加大力度尽快培养出大量既熟悉传统产业又深入理解电子商务的国际化、高素质、复合型、行业化的各个层次的网络安全人才。只有这样,保证电子商务踏上可持续发展的道路。
参考文献 1、赵泉:《网络安全与电子商务》,2005年,第一版 2、(美)Mark M.Davydov:《企业门户与电子商务》,2005年7月,第一版 3、王锋、杨坚争、罗晓静、王莲峰:《交易风险与安全保障》2005年,第一版 4、张润彤:《电子商务》2005年,第一版 5、卢国志等:《新编电子商务概论》,2005年、第1版