我國電子商務(wù)安全性分析與研究

王鐵柱 趙向林

（河北醫(yī)科大學，河北 石家莊 050091）

我國電子商務(wù)安全性分析與研究

王鐵柱 趙向林

（河北醫(yī)科大學，河北 石家莊 050091）

電子商務(wù)作為一種全新的商務(wù)模式得到了很大的發(fā)展，但隨之而來的安全問題也越來越突出，安全問題己成為電子商務(wù)的核心問題。本文分析了電子商務(wù)中存在的安全問題，并闡述解決電子商務(wù)安全隱患的主要安全技術(shù)及相關(guān)法律法規(guī)。

電子商務(wù)；安全問題；法律法規(guī)

電子商務(wù)作為一種全新的商業(yè)應(yīng)用形式，改變了傳統(tǒng)商務(wù)的運作模式，極大地提高了商務(wù)效率，降低了交易的成本，隨著信息技術(shù)和計算機網(wǎng)絡(luò)的迅猛發(fā)展，基于Internet 的電子商務(wù)也隨之而生，并在近年來獲得了巨大的發(fā)展。根據(jù)艾瑞咨詢發(fā)布的2010年第一季度中國電子商務(wù)市場數(shù)據(jù)顯示，2010年第一季度中國電子商務(wù)市場整體交易額規(guī)模達到了10152.7億元，單季交易額突破萬億規(guī)模。由于Internet的迅速流行，電子商務(wù)引起了廣泛的注意，被公認為是未來IT業(yè)最有潛力的新的增長點。然而，在開放的網(wǎng)絡(luò)上處理交易，如何保證傳輸數(shù)據(jù)的安全成為電子商務(wù)能否普及的最重要的因素之一。調(diào)查公司曾對電子商務(wù)的應(yīng)用前景進行過在線調(diào)查，當問到為什么不愿意在線購物時，絕大多數(shù)的問題是擔心遭到黑客的侵襲而導致信用卡信息丟失。因此，有一部分人或企業(yè)因擔心安全問題而不愿使用電子商務(wù)，安全成為電子商務(wù)發(fā)展中最大的障礙。

一、我國電子商務(wù)面臨的主要安全問題

（一）信息的截獲和竊取

這是指電子商務(wù)相關(guān)用戶或外來者未經(jīng)授權(quán)通過各種技術(shù)手段截獲和竊取他人的文電內(nèi)容以獲取商業(yè)機密。

（二）信息破壞

一是指網(wǎng)絡(luò)傳輸?shù)目煽啃裕W(wǎng)絡(luò)的硬件或軟件可能會出現(xiàn)問題而導致交易信息丟失與謬誤；二是指惡意破壞，計算機網(wǎng)絡(luò)本身遭到一些惡意程序的破壞，例如病毒破壞、黑客入侵等。

（三）拒絕服務(wù)

拒絕服務(wù)是指在一定時間內(nèi)，網(wǎng)絡(luò)系統(tǒng)或服務(wù)器服務(wù)系統(tǒng)的作用完全失效。其主要原因來自黑客和病毒的攻擊以及計算機硬件的人為破壞。

（四）系統(tǒng)資源失竊問題

在網(wǎng)絡(luò)系統(tǒng)環(huán)境中，系統(tǒng)資源失竊是常見的安全威脅。

（五）信息的假冒

信息的假冒是指當攻擊者掌握了網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密了商務(wù)信息后，可以假冒合法用戶或假冒信息來欺騙其他用戶。主要表現(xiàn)形式有假冒客戶進行非法交易，偽造電子郵件等。

（六）交易的抵賴

交易抵賴包括發(fā)信者事后否認曾經(jīng)發(fā)送過某條信息；買家做了定單后不承認；賣家賣出的商品因價格差而不承認原先的交易等。

以上是我國電子商務(wù)在發(fā)展過程中經(jīng)常遇到的安全問題，為了使我國的電子商務(wù)能夠得到持續(xù)健康的發(fā)展，需要對以上安全問題從技術(shù)和法律上加以控制。

二、電子商務(wù)的安全技術(shù)

（一）加密技術(shù)

加密技術(shù)是保證電子商務(wù)安全的重要手段，為保證電子商務(wù)安全使用加密技術(shù)對敏感的信息進行加密，保證電子商務(wù)的保密性，完整性，真實性和非否認服務(wù).

電子商務(wù)領(lǐng)域常用的加密技術(shù)有如下幾種：

數(shù)字摘要：又稱安全Hash編碼法.該編碼法采用單向Hash 函數(shù)將需加密的明文“摘要”成一串128bit的密文，這一串密文亦稱為數(shù)字指紋，具有固定的長度，并且不同的明文摘要其密文結(jié)果是不一樣的，而同樣的明文其摘要保持一致。

數(shù)字簽名：數(shù)字簽名是將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合使用。它的主要方式是報文的發(fā)送方從報文文本中生成一個128位的散列值 (或報文摘要)。發(fā)送方用自己的專用密鑰對這個散列值進行加密來形成發(fā)送方的數(shù)字簽名，然后這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128位的散列值 (或報文摘要)，接著再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進行解密。如果兩個散列值相同，那么接收方就能確認該數(shù)字簽名是發(fā)送方的。通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別和不可抵賴性，有效地防止了簽名的否認和非正當簽名者的假冒。

數(shù)字時間戳：是對交易文件的時間信息所采取的安全措施.該網(wǎng)上安全服務(wù)項目，由專門的機構(gòu)提供。時間戳是一個經(jīng)加密后形成的憑證文檔，它包括：需加時間戳的文件的摘要，數(shù)字時間戳服務(wù)收到文件的日期和時間，數(shù)字時間戳服務(wù)的數(shù)字簽名。

數(shù)字證書：數(shù)字證書又稱為數(shù)字憑證，是用電子手段來證實一個用戶的身份和對網(wǎng)絡(luò)資源的訪問權(quán)限，主要有個人憑證，企業(yè) (服務(wù)器)憑證，軟件 (開發(fā)者)憑證三種。

（二）身份認證技術(shù)

在網(wǎng)絡(luò)上通過一個具有權(quán)威性和公正性的第三方機構(gòu)——認證中心，將申請用戶的標識信息(如姓名，身份證號等)與他的公鑰捆綁在一起，用于在網(wǎng)絡(luò)上驗證確定其用戶身份。前面所提到的數(shù)字時間戳服務(wù)和數(shù)字證書的發(fā)放，也都是由這個認證中心來完成的。

（三）支付網(wǎng)關(guān)技術(shù)

支付網(wǎng)關(guān)，通常位于公網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡(luò)之間 (或者終端和收費系統(tǒng)之間)，其主要功能為：將公網(wǎng)傳來的數(shù)據(jù)包解密，并按照銀行系統(tǒng)內(nèi)部的通信協(xié)議將數(shù)據(jù)重新打包；接收銀行系統(tǒng)內(nèi)部傳回來的響應(yīng)消息，將數(shù)據(jù)轉(zhuǎn)換為公網(wǎng)傳送的數(shù)據(jù)格式，并對其進行加密。支付網(wǎng)關(guān)技術(shù)主要完成通信，協(xié)議轉(zhuǎn)換和數(shù)據(jù)加解密功能，并且可以保護銀行內(nèi)部網(wǎng)絡(luò)。此外，支付網(wǎng)關(guān)還具有密鑰保護和證書管理等其他功能 (有些內(nèi)部使用網(wǎng)關(guān)還支持存儲和打印數(shù)據(jù)等擴展功能)。

三、電子商務(wù)的法律規(guī)范

電子商務(wù)交易安全的法律保障問題，涉及到兩個基本方面。第一，電子商務(wù)交易首先是一種商品交易，其安全問題應(yīng)當通過民商法加以保護；第二，電子商務(wù)交易是通過計算機及其網(wǎng)絡(luò)而實現(xiàn)的，其安全與否來于計算機及其網(wǎng)絡(luò)自身的安全程度。我國目前還沒有出臺專門針對電子商務(wù)交易的法律法規(guī)，我們應(yīng)當充分利用已經(jīng)公布的有關(guān)交易安全和計算機安全的法律法規(guī)，保護電子商務(wù)交易的正常進行，并在不斷的探索中，逐步建立適合中國國情的電子商務(wù)的法律制度。

電子商務(wù)方面法律法規(guī)在制定過程中需要著重解決好以下幾方面的問題：

（一）電子支付的定義和特征

電子支付是通過網(wǎng)絡(luò)而實施的一種支付行為，與傳統(tǒng)的支付方式類似，它也要引起涉及資金轉(zhuǎn)移方面的法律關(guān)系的發(fā)生、變更和消滅。美國提出的電子支付的法律定義是否適合我國的情況，需要做那些修改，其行為特征也應(yīng)加以研究。

（二）電子支付權(quán)利

電子支付的當事人包括付款人、收款人和銀行，有時還存在中介機構(gòu)。各當事人在支付活動中的地位問題必須明確，進而確定各當事人的權(quán)利的取得和消滅。涉及這方面的問題相當復(fù)雜。

（三）涉及電子支付的偽造、變造、更改與涂銷問題

在電子支付活動中，由于網(wǎng)絡(luò)黑客的猖獗破壞，支付數(shù)據(jù)的偽造、變造、更改與涂銷問題越來越突出，對社會的影響越來越大。我國1997年10月1日實施了新的《中華人民共和國刑法》，其中的第一百九十六條是專門針對信用卡犯罪的，包括使用偽造的信用卡，使用作廢的信用卡，冒用他人的信用卡，惡意透支等。智能卡與信用卡類似，犯罪的界定尚可參照信用卡的有關(guān)條款，但電子現(xiàn)金、電子錢包、電子支票的問題卻完全是一類新問題，法律責任的認定和追究需要全新的法律條文。

（四）刑事偵察技術(shù)的發(fā)展問題

由于計算機技術(shù)的飛速發(fā)展，新的電子支付方式層出不窮。每一種方式都有自己的技術(shù)特點，都會產(chǎn)生新的法律糾紛，這些糾紛出現(xiàn)以后，調(diào)查、認定是一個非常復(fù)雜的刑事偵察技術(shù)問題。在信息化時代，傳統(tǒng)的實物證據(jù)逐漸被虛擬證據(jù)所代替，目前法學教育中的物證技術(shù)課程仍然停留在刑事照相、文書檢驗、痕跡取證等傳統(tǒng)的偵察技術(shù)上，已經(jīng)遠遠不能適應(yīng)新的技術(shù)發(fā)展的要求。

四、結(jié)語

安全是電子商務(wù)的核心和靈魂，只有從技術(shù)和法律上雙管齊下，對影響電子商務(wù)安全的各種安全問題妥善解決，才能使我國的電子商務(wù)健康持續(xù)的發(fā)展，為國民經(jīng)濟的發(fā)展貢獻力量。

[1]（美） Steve Burnett，Stephen Paine．密碼工程[M].清華大學出版社，2010.

[2]Christopher Steel，Ramesh Nagappan，Ray Lai著.安全模式 (CoreSecurity Patterns)[M].北京：機械工業(yè)出版社，2006.

[3]戴小波.基于SET協(xié)議的安全電子商務(wù)研究 [J]．微計算機信息，2009，(21).

D631.4

A

1672-6405（2010）03-0026-02

王鐵柱，趙向林，男，河北醫(yī)科大學西校區(qū)計算機教研室教師。

2010-08-15

張欽]