目前,获得广泛应用的两种加密技术是对称密钥加密体制和非对称密钥加密体制。它们的主要区别在于所使用的加密和解密的密码是否相同。
1.对称密钥加密体制
对称密钥加密,又称私钥加密,即信息的发送方和接收方用一个密钥去加密和解密数据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。
使用对称加密技术将简化加密的处理,每个参与方都不必彼此研究和交换专用设备的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过使用对称加密方法对机密信息进行加密以及通过随报文一起发送报文摘要或报文散列值来实现。
2.非对称密钥加密体制
非对称密钥加密系统,又称公钥密钥加密。它需要使用一对密钥来分别完成加密和解密操作,一个公开,即公开密钥,另一个由用户自己秘密保存,即私用密钥。信息发送者用公开密钥去加密,而信息接收者则用私用密钥去解密。公钥机制灵活,但加密和解密速度却比对称密钥加密慢得多。
在非对称加密体系中,密钥被分解为一对。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为私用密钥(解密密钥)加以保存。私用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛。
该方案实现信息交换的过程是:贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易方乙使用该密钥对信息进行加密后再发送给贸易方甲;贸易方甲再用自己保存的另一把专用密钥对加密信息进行解密。
认证技术
安全认证的主要作用是进行信息认证。信息认证的目的为:(1)确认信息发送者的身份;2)验证信息的完整性,即确认信息在传送或存储过程中未被篡改过。下面从安全认证技术和安全认证机构两个方面来做介绍。
1.常用的安全认证技
安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等。
(1)数字摘要
数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码,并在传输信息时将之加入文件一同送给接收方,接收方收到文件后,用相同的方法进行变换运算,若得到的结果与发送来的摘要码相同,则可断定文件未被篡改,反之亦然。
(2)数字信封
数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。在数字信封中,信息发送方采用对称密钥来加密信息,然后将此对称密钥用接收方的公开密钥来加密(这部分称为数字信封)之后,将它和信息一起发送给接收方,接收方先用相应的私有密钥打开数字信封,得到对称密钥,然后使用对称密钥解开信息。这种技术的安全性相当高。
(3)数字签名
日常生活中,通常用对某一文档进行签名来保证文档的真实有效性,防止其抵赖。在网络环境中,可以用电子数字签名作为模拟。
把Hash函数和公钥算法结合起来,可以在提供数据完整性的同时保证数据的真实性。完整性保证传输的数据没有被修改,而真实性则保证是由确定的合法者产生的Hash,而不是由其他人假冒。而把这两种机制结合起来就可以产生数字签名。
(4)数字时间戳
在书面合同中,文件签署的日期和签名一样均是防止文件被伪造和篡改的关键性内容。而在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务(DTS)是网络安全服务项目,由专门的机构提供。时间戳是一个经加密后形成的凭证文档,它包括三个部分:需加时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签名。
(5)数字证书
在交易支付过程中,参与各方必须利用认证中心签发的数字证书来证明各自的身份。所谓数字证书,就是用电子手段来证实一个用户的身份及用户对网络资源的访问权限。
数字证书是用来惟一确认安全电子商务交易双方身份的工具。由于它由证书管理中心做了数字签名,因此任何第三方都无法修改证书的内容。任何信用卡持有人只有申请到相应的数字证书,才能参加安全电子商务的网上交易。数字证书一般有四种类型:客户证书、商家证书、网关证书及CA系统证书。
2.安全认证机构
电子商务授权机构(CA)也称为电子商务认证中心(CertificateAuthority)。在电子交易中,无论是数字时间戳服务还是数字证书的发放,都不是靠交易双方自己能完成的,而需要有一个具有权威性和公正性的第三方来完成。
认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。
安全认证协议
目前电子商务中有两种安全认证协议被广泛使用,即安全套接层SSL(SecureSocketsLayer)协议和安全电子交易SET(SecureElectronicTransaction)协议。
1.安全套接层(SSL)协议
安全套接层协议是由Netscape公司1994年设计开发的安全协议,主要用于提高应用程序之间的数据的安全系数。SSL协议的概念可以被概括为:它是一个保证任何安装了安全套接层的客户和服务器间事务安全的协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。目的是为用户提供Internet和企业内联网的安全通信服务。
SSL采用了公开密钥和专有密钥两种加密:在建立连接过程中采用公开密钥;在会话过程中使用专有密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。它保证了客户和服务器间事务的安全性。
2.安全电子交易(SET)协议
信息安全和计算机网络安全的安全需求主要包括完整性、保密性、一致性、真实性和不可否认性。在电子商务实际应用中主要包括如何防范商业企业机密泄露及个人信息的泄露等问题。电子商务系统必须基于信息安全基础上并达到电子商务安全的要求的网络商务系统。必须有计算机网络安全,才能保证电子商务最低层的信息服务,计算机网络层是用户将信息传输到上层的基础及用户与计算机网络接入的基本交互式服务手段。网络服务层必须有相关安全机制,如:入侵检测、安全扫描、防火墙等来保证计算机网络的安全。另外,为了在应用层电子商务系统使用安全,必须利用网络加密技术和数字认证技术和电子商务安全协议,即构建安全的电子交易数据体系结构。其中,电子商务安全协议是加密技术和安全认证的综合运用和完善。电子商务应用系统应具有较高的安全性能指标,用户对所信赖的电子商务安全肯定具有很高的可靠性和可用性。在人才培养是就需考虑建立一个完善的基于信息安全核心能力提升的人才培养模式,形成一个电子商务安全知识体系,在考虑如何达到课程目标的同时也要考虑如何满足电子商务应用人才的实际需求。在信息安全基础上电子商务的安全内容主要包括计算机网络服务层、技术加密层、身份认证技术层、电子商务安全层、安全应用层。其中,上层主要以下层为基础的服务,同时下层为上层提供技术支持,整个内容之间相互关联的整体,并且在不同的信息安全技术控制下实现电子商务的安全模式。
2电子商务安全教学方法改革
目前电子商务安全课程在教学过程中,学生对教材的知识缺乏主动理解和接受,学习的兴趣和主动性不高。因此要对现有以教学大纲为主要目标的方法进行改革,能让学生融会贯通理论知识,主动思考问题,具有理解分析解决实际问题能力。本文提出电子商务安全课程在课堂讲授的进行:教师准备阶段,学生准备阶段,小组讨论阶段、集中讨论阶段和总结阶段。主要目的是使老师和学生在课堂上有较大的自我发挥空间。在教学法的五个阶段中,教师准备阶段和学生预备阶段是教学法中最为关键的环节。教师准备阶段:教师准备是教学的第一环节,也是为明确教学目而准备,是有序进行教学组织与设计的基础。明确教学目标后,就应选择合适教学背景,教学背景应且具有高启发性素材,并且满足教学目标切合实际的教学案例。对选择的教学案例或素材还需要对及进行典型化处理,最后准备在课堂上提出让学生思考的问题,引导介绍学生学习相关资料。学生预备阶段:课前让学生阅读典型化处理相关学习资料,老师指导学生查阅相关学习资料,让学生课前主动准备课堂讲授知识的信息,对老师提出的思考问题要求学生独立思考并形成初步的解决方法。小组讨论阶段:首先根据学生人数将学生分为3到5人小组,然后在小组范围内自行组织讨论,再确定小组成员的任务分工,最后形成小组在课堂上展示方案。课堂展示阶段:在时间控制在半个课时以内前提条件下各小组派代表对问题解决方案进行展示,其他小组对解决方法进行互动式提问和回答,这个过程需要教师加以正确引导。老师总结阶段:老师总结出意见比较集中的问题,针对重点问题组织大家集中讨论,并提出引导性建议扩展深化学生对有疑虑问题的理解。
3电子商务安全课程实践
传统的电子商务安全课程教学是以理论知识为中心的教育体系,对实践操作课程和技能的要求不高,很可能会导致学生在毕业后难以适应工作的要求,在现行教育模式中,用人单位也很难选择到合格的专业技术人才。为此,本课题对信息安全专业开设的电子商务安全课程特点及开发合适的教学模式,尤其是如何建立创新性实践教学体系进行了研究,以教学目标为指导、以社会需求为导向,开发以学生就业为宗旨的高技能型人才培养模式,根据电子商务安全课程特点,将信息安全未来发展的创新技术运用到电子商务安全教学方法中,建立较为全面的以人才培养目标为基础的创新环境和教学模式。另外,本课程实践教学内容的要求是让学生对电子商务安全和信息安全的理论和实践联系建立一个全面的知识结构。通过实践环节设置,让学生了解电子商务安全加密技术及使用技能;了解电子商务邮件和数字签名的联系及作用;熟练掌握电子商务安全协议的设置;掌握PKI的应用及数字证书的申请、安装和使用流程;熟悉基本的电子支付工具的使用。本课程的为实现实践培养目标对实验教学进行合理的安排。
4结论
1.1对供应商的影响
降低成本,提高效率一直是航空公司经理们所要考虑的问题。在传统情况下,当公司需要进行采购的时候组织采购部门会填写请购单,这个请购单会交付给供应商。表格交付后,确认产品信息确认后付款。采购过程非常耗时。在网络没有出现的年代,寻找要购买的商品通常需要一个半天的时间,而电子采购只需要20分钟。(Chaffey,2002)可以说企业机构从电子采购中获益很多。
1.2对分销商的影响
对航空业来讲,分销是指航空公司如何把机票分配给消费者。在网络没有盛行的年代,旅行社是重要的购买机票的渠道。而现在购买机票方式的变化是显而易见的。许多航空公司设立了官方网站来吸引消费者购票。Law和Leung(2000)认为网络能够在不通过旅行社和电脑预订系统(ComputerReservationSystems,CRS)直接与消费者沟通,从而降低了机票的分销费用。EasyJet航空公司就是通过各种方式来降低不必要成本的典型,比如通过网络售票。2001年9月75%的人上网买票,这可以看作是一种脱媒方式。随着网络的普及,几乎所有的航空公司都建立自己的网站,同时网络订机票的中介也应运而生,这就意味着航空公司之间的竞争越发激烈,尤其对那些以价格为导向的消费者来说,他们更倾向于价格更便宜的机票。以2012年4月22日从伦敦到巴塞罗那的机票为例,大英航空的最低票价为196英镑,而Easyjet的票价只有62.99英镑,可见Easyjet在降低成本上所做的努力。可以看出,网络在降低了航空业分销渠道成本的同时,也加大了行业内部之间的竞争。
1.3对客户关系的影响
如上所述,航空业属于服务业范畴,因而公司与消费者的关系是至关重要的。Chaffey(2002)认为客户关系主要有两个部分,即客户获取(customeracquisition)和客户维系(customerretention),其中获取一个客户要比维系一个客户成本更高。因而公司希望与已获得的客户保持长期而良好的关系,而网络让维持这种关系变得更加容易。荷兰皇家航空公司(KLM)的网络客户关系管理团队(CRMteam)会根据客户在网上订票后所留下的cookies(小型文本本件)来判定客户的消费习惯,从而为客户提供更加个性化的信息,比如给他们发送专门为他们定制的邮件。他们也为常旅客(frequentflyers)提供专属的服务,并称之为常旅客计划会员(frequentflyerprogrammem-bership)。其次,对消费者来说,网络的产生让消费者能够随时随地查询相关信息,比如网上值机系统(onlinecheck-insystem)能够节省消费者的时间同时也能降低公司人力成本。航空公司通过电子商务(网络,手机等)可以更好与消费者维持良好的关系。廉价航空公司EasyJet通过使用RightNow公司的客户关系管理软件使该公司运行成本降低了75万英镑。
2电子商务在未来发展中的隐患
2.1网络安全问题
对消费者来说网络安全是他们进行网上购物的顾虑之一,这种顾虑不仅仅存在于航空业之中,其中就包括网上转账安全。2011年美国社交网络脸书(Facebook)的大规模用户信息泄露事件让网络安全问题处在了风口浪尖上。网络诈骗及其他网络问题的出现让消费者们对网上转账产生了疑虑。据统计,仅2008年美国航空业损失费用达到14亿美元,占了当年世界航空业总产值的百分之1.3。Cunningham等(2004)认为“对于基于网络和传统的航空预订服务来说,对风险的感知是系统的模式”这就意味着尽管航空公司不断强调他们采用多么现实的网络安全技术,消费者始终会对网上支付有一定的顾虑。其次,消费者也担心在网上注册账号会导致更多的个人信息被泄露。美国廉价航空公司捷蓝(JetBlue)航空在顾客信息保护上面下了很大功夫,公司信息技术副总裁ToddThompson认为“网络能够提升他们为顾客提供优质服务的能力,但不幸的是,电子通信总是会被转发、打印或复制,因此完全的保密是几乎不可能完成的”。捷蓝航空计划为WindowsServerTM2003和微软办公系统使用微软公司的权限管理服务MicrosoftRWindowsRRightsManagementSer-vices(RMS),这种信息保护技术是建立在文件级别上了,内部信息的交流会降低信息被他人误读,从而提高了消费者信息的安全性。但根据Krishnamurthy(P.5)的研究,通过旅行网站所泄露的个人信息占据所有网站之首,旅行网站的直接泄露指数(directleakageindex)为9,而像购物网站和新闻网站分别只有3和5。由此可以看出,航空业在未来发展电子商务方面还存在着潜在的风险。而且提高升级网络系统容易,但是改变人们对网络隐患的担忧却不是那么容易。
2.2硬件问题
Phaladsingh(2006)认为“个人电脑的普及率”是影响电子商务发展的阻碍之一,这就意味着不管网络技术有多发达,如果人们买不起电脑和其他数码设备,电子商务就很难发挥其作用。对于航空业来说同样是如此,网上值机、网上购票等服务只有在有电脑设备的时候才会体现出其优越性。显而易见,发达国家更容易接触到电子产品也更容易享受到电子产品带来的便捷体验。2004年在美国每1000人中有763个人拥有电脑,而在一些欠发达国家每1000人中平均只有1到2个人拥有电脑,非洲国家尼日尔每1000人中只有0.1716人使用电脑,这个数量在增加,但不可否认的是在发展中国家尤其是一些欠发达国家电子商务并不能产生很好的效果。
3结论
前言: 近年来,随着电子技术的发展,“电子商务”、“电子合同”等这类的词随处可见。的确,电子技术给我们的生活带来了很大的变化。我们现在可以实现网上购物;公司企业越来越重视网上销售和网上订货。这种新的交易方式的快速、便捷、高效率,满足了现代商业对交易效率的要求,使我们有理由相信,它还将继续深入我们的生活。 但是,这种新的交易方式同时带给我们的,还有它与传统法律之间的种种不协调。在保证电子商务的高效率的同时,如何保障它的安全性,已经引起了人们的广泛关注。本文仅就电子商务的安全运营问题,从法律的角度进行一些初步的探索。 一、电子商务概说 (一)电子商务的概念 电子商务出现于20世纪90年代,发展的时间并不长,但与传统商务相比,电子商务具有惊人的发展速度。据CNN公布的资料表明:1999年度全球电子商务销售额突破1400亿美元。 但是,究竟什么是电子商务呢? 实际上,迄今为止,电子商务还没有一个被广泛接受的概念。 世界贸易组织(WTO)给电子商务下的定义为:电子商务是指以电子方式进行的商品和服务之生产、分配、市场营销、销售或交付。 经济合作发展组织(OECD)认为:电子商务是指商业交易,它包括组织与个人在基于文本、声音、可视化图象等在内的数字化数据传输与处理方面的商业活动。 世界各国对电子商务的理解也不尽相同。 尽管电子商务的定义在内容上各有侧重,但是笔者认为对于电子商务的内涵,一般应至少包括下列三方面的内容:(1)使用电子工具,借助互联网传输信息;在公开环境下交易;(3)依靠一定的技术规范和技术标准,利用数据化的信息来进行交易。 电子商务使用的网络类型主要有三种形式:EDI网络,INTRANET网络和INTERNET网络。由于EDI是专线网络,而INTRANET是企业内部网,其安全性较好,对传统法律规范体系的冲击相对于INTERNET要小得多,因而本文讨论的电子商务主要是指借助于INTERNET网络的电子商务。 (二)电子商务的特点 与传统商务相比,电子商务具有许多特点: 其一,电子商务是在公开环境下进行的交易,其可以在全球范围内进行交易。 由于借助互联网,这就使得经济交易突破了空间的限制;公开环境下的信息公开,使所有的企业可以平等地参与市场竞争。 其二,在电子商务中,电子数据的传递、编制、发送、接收都由精密的电脑程序完成,更加精确、可靠。 其三,电子商务是一种快速、便捷、高效的交易方式。在电子商务中,信息的传递通过网络完成,速度很快,可以节省宝贵的交易时间。 上述特点,是电子商务独有的,传统商务无法实现。 (三)电子商务的安全性要求 电子商务,作为一种新的经济交易方式,它只是在表现形式上与传统商业不同,但是这并没有改变其商业属性,这就要求电子商务的运作必须遵循商业活动的一般规律 ,否则,电子商务是无法发展的。 安全与效率,是一切经济交易必须考虑的两个问题。电子商务的存在与发展也必须满足这两个要求。对于电子商务而言,其高效性已经得到了人们充分的认可。但是,安全性呢?电子商务作为一种新生事物,世界各国都尚未形成成熟的安全运营模式。如何在网络环境下,构建与传统法律价值接近的规则体系,已经越来越为人们所关注。 从传统商业与电子商务的不同特点来看,要满足电子商务 的安全性要求,至少要有下面几个问题需要解决: 1、交易前交易双方身份的认证问题。电子商务是建立在互联网络平台上的虚拟空间中的商务活动,交易的当事人可能处在不同的国家,他们并不直接见面,双方只能通过数据、符号、信号等进行判断、选择,具体的商业行为也依靠电子信号和数据的交流,交易的当事人再也无法用传统商务中的方法来保障交易的安全。 2、交易中电子合同的法律效力问题以及完整性保密性问题。在传统国际贸易法中,合同形式要求为书面,而电子商务中的合同是电子合同,与传统的书面形式存在很大的不同,其法律效力如何取决于法律的有关规定。而且,由于电子商务所依赖的互联网平台本身具有开放性的特点,交易双方的数据如何避免被他人截取和篡改,以保证其完整性和保密性,这都是电子商务发展必须面对和解决的问题。 3、交易后电子记录的证据力问题。在英美法系,传闻证据规则限制了电子记录的证据力。在我国,诉讼法中并未对电子记录的证据力作出明确规定,甚至也没有将其单列出来作为证据的一种。 上述这些问题,已经对传统法律制度造成了冲击,也是实现电子商务安全所必须解决的问题。笔者将针对这些问题,从技术安全、组织安全、法律安全三个角度,对电子商务的安全运营问题进行解析。 二、电子商务的技术安全-信息加密及电子签名问题 电子商务的发展是计算机技术发展的结果,其安全保障归根到底要依赖于技术的进步。特别是信息的完整性保密性方面,更需要技术层面的支持,即信息加密技术和电子签名问题。 (一)信息加密技术 由于电子商务是借助INTERNET平台运作的,而INTERNET网络本身具有开放性的特点,因而安全性方面存在先天不足 .而交易双方在交易过程中,都希望信息不会被他人篡改和截取。信息加密技术正是针对这个问题的技术解决方案。 简单的说,信息加密技术,就是把要传递的信息在传递时按照一定的规则将其转变为错乱的内容(即加密),在对方接收时,再通过解密程序将乱码清除,即可得到原来的完整的信息,这一过程就是解密。这样,第三方即使截取了信息,也无法获悉其中的内容。 (二)电子签名问题 1、传统签名及其作用 在传统商务中,大多数国家都要求合同的当事人在书面上签名或者盖章。这种签名或盖章主要有以下三个作用:一为表明文件的来源;二为表明签字者已确认文件所载之内容;三为构成证明签字者对文件内容之正确性和完整性而负责任的证据。 在传统商务中,由于这种手写签名的独特性,所以我国和大多数国家都把它作为使书面合同有效的一个必要条件 . 2、电子签名及其方法 在电子商务中,交易的平台是互联网,传统的签名已经无法实现其作用。尽管我国《合同法》第三十三条规定了一个补救的方法-“当事人采用信件、数据电文等形式订立合同的,可以在合同成立之前要求签定确认书”,但实际上,这一做法将大大降低电子商务的效率,因而不足取。真正把传统签名的作用与电子商务的互联网运作平台结合起来的,是电子签名。 电子签名,是指在一个数据信息中或附在其后或逻辑上与其有联系的电子形式的签名 . 其在形式上,与传统签名差别很大,但在功能上,两者却很接近,都是用来鉴别合同的当事人并表明其同意该数据信息的内容。 与传统签名相比,电子签名是一个更复杂的问题,它涉及大量的技术问题。到目前为止,电子 签名已经有对称密码、不对称密码、笔迹、生物特征密码等方式。目前,采用较多的是不对称密码。在不对称密码的方式下,加密和解密的钥匙不同,一旦信息被加密,加密钥匙不能解密该信息,只能用解密钥匙才能解密。这样人们就可以广泛分发公开钥匙,而只需保留那么秘密钥匙即可。 但是,这种做法并不是绝对安全的,因为秘密钥匙是可能被人破译的,而且我们相信,随着技术的进步,这种方法将会越来越不安全。 生物特征密码、笔迹密码是相对安全的方法,但是这种辨别技术的成本很高,目前还无法推广普及。 三、电子商务的组织安全-电子认证问题 在电子商务中,交易平台是互联网,交易的双方只能通过数据信息来了解对方,而不能像传统商务中交易的当事人可以通过面对面的接触来了解对方。这样,交易双方的信任很难建立起来。这就需要有专门的组织机构来为交易的当事人进行信任保证,以帮助双方建立信任,促成交易。电子认证机构就是这样的机构,它为电子商务的发展提供了组织安全。 (一)电子认证及其功能 认证,按美国国际贸易文件国家委员会所下的定义,即为“在某法令、记录或其他书面文件的经核准的文本上赋以法律证明,以便将其作为法律可采纳的证据来提供的某种行为或方式”。[11] 电子认证,是以特定的机构,对电子签名及其签署者的真实性,进行验证的具有法律意义的服务。[12] 与电子签名一样,电子认证也是电子商务中的安全保障机制。但两者的具体功能是不同的。电子签名侧重于解决身份辨别与文件归属问题,使数据信息不被否认或者篡改,主要是技术手段上的保证;而电子认证,则侧重解决的是交易人的交易人的可信度问题,主要应用于交易关系的信用安全方面,是一种组织制度上的保证。 电子认证,从根本上说,是一种服务,其通过对交易各方的身份、资信进行认定,对外,防范交易当事人以外的人故意入侵而造成风险,从而防止欺诈的发生;对内防止当事人的否认,以避免当事人之间的误解或抵赖,从而减少交易风险,维护电子交易的安全,保障电子商务活动顺利进行。 (二)电子认证机构及其职责 电子认证是通过特定机构来完成的,这个特定机构就是认证机构。它是电子商务中对用户的电子签名颁发数字证书的机构,它已经成为开放性电子商务活动中不可缺少的信用服务机构。[13] 作为在电子交易中提供信用服务的机构,认证机构必须具有独立性,应是一个独立的法律实体,并具有中立性、可靠性,因此其人员组成、资金设备等都应符合一定的要求,以便能够为商业交易提供一个公正的交易环境。 在电子商务中,电子认证机构要承担下列职责:“(1)监督登记者按照规定办理登记、变更、注销手续;监督登记者按照电子商务的有关法律、法规合法从事经营活动;(3)制止和查处登记者的违法交易活动,保护交易人的合法权益。”[14] 鉴于其在电子商务中的作用,电子认证机构必须忠实地履行其职责,中立地进行工作,对电子交易秩序和交易安全负责。 (三)电子商务认证系统的几种模式 目前,在认证机构的管理与选任上,大致有几种作法: 1、政府主导的电子商务认证体系 该体系是由政府出面对认证机构进行管理,规定认证机构必须具备的条件和应承担的责任,并且在法律上推定经认证机构核实的电子签名具有证据力。 2、行业协会主导的电子商务认证体系 该体系是由认证机构协会负责制订认证机构必须遵守的行业规范,并由其负责对各认证机构进行监督。这种作法强调的是行业自律,但是在具体实施过程中,行业协会如何产生,以及经认证机构协会批准的认证机构核实的电子签名证据力如何,还有待于相关法律的规定。 3、当事人自由约定的电子商务认证体系 > 该体系没有规定认证机构的行业规则,在实践中,当事人可以自由约定采用何种方式的电子签名,也可约定选用哪个认证机构,具体的权利义务完全由当事人双方自由商定。这种作法给了当事人最大的自主性,适应了技术发展的灵活性,但是势力弱小的消费者,很难在风险责任分担中起作用,而且各认证机构规则不统一,认证结果通用性差。 在我国目前国情下,商家的商业信誉不够,完全采用当事人自由约定的电子商务认证体系是不合适的。[15] 四、电子商务的法律安全-电子合同的法律效力 要保证电子商务的安全运营,法律的保障是不容忽略的。而且,技术支持和组织保障最后都需要由法律来规定其效力。 合同是商业交易的内容,随着电子商务的发展,许多国家都运用法律手段来确定电子合同的效力。美国、欧盟等有关电子商务的法律文件都对电子合同进行了规范,我国《合同法》[16]也顺应时展的潮流,对电子合同这种新型合同形式也作了一些简单的规定。笔者将围绕电子合同问题,对电子商务的法律安全进行阐述。 (一)电子合同的形式及法律效力 我国《合同法》第十条规定:当事人订立合同,有书面形式、口头形式和其他形式。第十一条规定:书面形式是指合同书、信件和数据电文(包括电报、电传、传真、电子数据交换和电子邮件)等可以有形地表现所载内容的形式。这说明我国已经承认了电子合同的法律效力,并规定电子合同形式为书面形式。这种规定虽很简单,但对于我国电子商务的发展却是意义深远。 联合国国际贸易法委员会在96年12月通过的《电子商业示范法》第6条中写明:“如果法律要求信息须采用书面形式,则假若一项数据电文所包含信息可以调取以备日后查用,即满足了该项要求。”并且在第11条中规定:“就合同的订立而言,除非当事各方另有协议,一项要约以及对要约的承诺均可通过数据电文的手段表示。如使用了一项数据电文来订立合同,则不得仅仅以使用了数据电文为理由而否定该合同的有效性或可执行性。” [17] 美国的《统一电子交易法》中也有类似的规定。[18] 以上这些法律文件实际上已经承认了电子合同,并且赋予其与传统合同形式相同的法律效力。 (二)电子合同的生效问题-生效时间及地点 在电子商务中,经营者可以通过网页向公众提供有关商品或服务的信息,这种行为属于要约邀请,用户通过电子邮件等方式向经营者发出要约[19] ,经营者可以回复作出承诺 [20].这样一个电子合同就形成了。 1、 要约与承诺生效时间 我国《合同法》第十六条规定:要约到达受要约人时生效。采用数据电文形式订立合同,收件人指定特定系统接收数据电文的,该数据电文进入该特定系统的时间,视为到达时间;未指定特定系 统的,该数据电文进入收件人的任何系统的首次时间,视为到达时间。“第六条第二款规定:”采用数据电文形式订立合同的,承诺到达的时间适用本法第十六条第二款的规定。“这一规定有利于明确要约与承诺的生效时间,便于交易双方明确权责。 2、 合同生效地点 我国《合同法》第三十四条第二款规定:“采用数据电文形式订立合同的,收件人的主营业地为合同成立的地点;没有主营业地的,其经常居住地为合同成立的地点。当事人另有约定的,按照其约定。” 这一规定明确了合同成立地,在发生合同纠纷时,利于确定 法院的管辖。 《电子商业示范法》中也有类似的规定。 法律文件的这些规定,实际上便是对电子通讯记录的法律效力的确认。 但是,在电子商务环境下,许多传统商务中的问题更加突出。例如,在合同生效时间问题上,英美法系采用发送主义,而大陆法系采用到达主义。在电子商务环境下,交易全球化趋势更加明显,这类问题也就越发突出了。如何解决此类问题,还需要国际社会的共同努力。 (三)电子签名的法律效力 在电子合同中,合同的完整性和保密性主要是通过电子签名来实现的。很多国家在法律上都承认了电子签名的效力。美国的《统一电子交易法》中规定:(a)一个记录或签名的效力或可执行性不得仅因其为电子形式而被否认;(b)一个合同的效力或可执行性不得仅因合同的成立中用了电子记录而被否认;(c)如果某一法律要求记录为书面形式,则电子记录即满足了该法的要求;(d)如果某一法律要求有签名,则电子签名即满足了该法律的要求。[21] 上述规定从法律上承认了电子签名的效力,有利于加强电子商务的安全和促进电子商务的发展。 (四)电子记录的证据力问题 与传统合同不同,电子合同的证据是电子化的,容易被伪造和篡改,而且很难发现改动的痕迹。因此,电子合同的证据力在传统证据规则中,是受到限制的。 针对这个情况,联合国国际贸易法委员会在《电子商业示范法》第9条中规定:对于以数据电文为形式的信息,应给予应有的证据力。在评估一项数据电文的证据力时,应考虑到生成、储存或传递该数据电文的办法的可靠性,保持信息完整性的办法的可靠性,用以鉴别发端人的办法,以及任何其他相关因素。[22] 这一规定既考虑到了电子记录自身的特点,又赋予了其应有的证据力,是对传统证据规则的突破,有利于电子商务的安全运营。 五、加强我国电子商务安全的思考 资源共享、快速、便捷是电子商务迅速发展的原因;而这种开放性也带来了电子商务最大的问题,资源共享的开放性使电子商务在安全方面先天不足。 而安全和保密恰恰是电子商务发展的一项基本要求。目前,一些国际组织已先后制订了一些规定,来保障电子商务的安全性,美国等发达国家也制订了一些这方面的规则。[23] 但是,我国目前还没有这方面的专门规定。 另外,我国商家的商业信誉远远不够,在电子商务的环境中,人们对安全性更是普遍存有疑虑。这已经成为阻碍我国电子商务发展的一个重要因素。 如何保障我国的电子商务安全运营,已经成为关系到我国未来经济发展的一个重要问题。对此,笔者认为应努力做到以下几点: 1,对电子商务进行专门立法。 电子商务是一个新生事物,很多方面不同于传统商务,与传统的法律规范体系也存在着诸多的不相容之处,而且,传统的法律规范体系中还有许多电子商务方面的空白。这一情况已经在实践中引起了不少的问题。台湾就有这方面的案例[24]. 我国的电子商务是近年才发展起来的,目前规范电子商务的相关的法律法规极为有限。在法律的层次上,只有1997年《中华人民共和国刑法》和1999年《中华人民共和国合同法》对相关问题作了简单规定。例如,我国1997年修订的《刑法》中增加了关于计算机犯罪的条文,1999年通过的《合同法》对电子合同的书面形式、生效时间地点等作了规定。但是,这种规定太过简单,远远不能满足电子商务发展的需要。例如,对于电子认证的效力、虚假电子认证等重要的问题,我国法律还没有规定,这已经成为阻碍我国电子商务发展的重要问题。 因此,我国应大力加强电子商务法制化建设,制订专门的《电子商务法》,对电子商务当事人的权利义务、电子合同法律关系、电子签名、电子认证、网上知识产权的保护、电子支付等问题进行专 门规定,使之适应电子商务发展的需要。在刑法中,对电子商务领域的犯罪进行规定。从而在法律上,为电子商务提供一个良好的发展环境。 2,建设我国的电子商务认证机构体系。 电子商务认证机构是电子商务中的重要部门,其担负着维护电子交易安全的责任。因此,要完善我国的电子商务安全运营,必须建立我国的电子商务认证体系。 在目前存在的三种电子商务认证机构模式中,当事人自由约定的电子商务认证体系不适合我国的实际情况。我国,电子商务刚刚发展起来,不完善的地方很多,很多普通的消费者对电子商务还不很了解,根本无法在自由约定时,提出对自己有利的条件。而且,在交易双方的力量对比悬殊的情况下,弱势一方很难通过谈判来取得公平的结果。再进一步说,这种模式的认证结果通用性很差,不适合我国刚起步的电子商务的发展。 政府主导的电子商务认证体系,政府可以对认证中的许多问题作出详细规定,并且认证结果通用性强。但是,这种方式行政色彩过浓,不利于电子商务按照商业规律自主发展。 因此,目前来看,行业协会主导的电子商务认证体系是更适合我国国情的一种选择。行业协会更了解认证机构的运作,更能有效的对其进行监管。这种认证体系,把电子商务的商业发展的自主性、安全性要求与认证机构的行业特点有效地结合起来。 作为认证机构的指导机构,认证机构行业协会有权对认证的效力进行规定,并且有权规定认证机构的行业准则,对各个认证机构的业务活动进行监管,对违反行业规则的行为进行制裁和处罚。 近年来,我国的电子商务认证机构的发展很快。1999年3月19日,中国人民银行组织12家商业银行共建金融认证中心系统;1999年8月,我国首套拥有自主知识产权的电子商务安全认证系统通过了国家密码管理委员会和信息产业部组织的技术鉴定。[25] 但另一方面,我国的电子商务认证系统还远不成熟,仍有许多需要完善的地方。我们必须对此给予充分的重视,以便为电子商务的安全发展提供组织保障。 3,大力推进电子签名等技术的发展,从技术上为电子商务提供安全保障。 电子商务的产生、发展是科技发展的结果,其安全运营也要依靠技术给予的保障。因此,为加强电子商务的安全性,我们必须大力推进科技的发展,使技术满足电子商务的安全运营要求。在电子商务中广泛使用的电子签名,就涉及许多复杂的技术问题。为使电子签名具有与传统签名相同的法律效力,我们必须使电子签名 具有像手写签名那样的独特性。这一问题的解决,需要技术发展才能实现。 目前,解决电子签名效力的途径主要有:(1)修改法律或者进行法律解释,使签名涵盖电子签名。但对于何种电子签名才具有法律效力,立法要兼顾技术中立、开放与安全,使之适应技术发展的需要;电子商务的当事人在合同中约定电子签名方法及效力;(3)依靠技术进步,这是最根本的方法。技术安全、成本低廉的电子签名方式是电子商务安全的有力保障。 4,加强国际合作,与国际接轨。 电子商务的一个特点就是无国界,可以全球交易。适应这一特点,我们必须加强国际合作。在立法上,我们必须考虑到国内法律、国际条约与行业惯例,使我们将来的《电子商务法》适应国际贸易发展的需要。 在技术上,我们也要加强国际合作,共同推进电子商务的发展。 另外,我们还要积极地参加有关的国际会议,了解电子商务发展的最新国际动态,努 力与国际接轨。同时,我们也要通过国际合作,来积极维护我们的国家利益。 结语: 我国的电子商务近年来发展很快,但是有关的安全保障还未建立起来。这已经成为影响我国电子商务发展的一个障碍。 为此,我们必须加快建设有关的电子商务安全系统。这将是一个综合性的、涉及全社会的系统工程。具体而言,我们要从法律上承认电子通讯记录的效力,给电子商务以法律保障;我们要加强对电子签名等的研究,给电子商务以技术保障;我们还要尽快建立电子商务认证体系,给电子商务以组织保障。而且,针对电子商务无国界的特点,我们还应该加强国际合作,使电子商务真正发挥其应有的作用。惟有如此,我们才能顺应时代潮流,推动我国经济的发展;也惟有如此,我们才能在经济全球化的今天,参与到国际竞争中去,并进而赢得竞争的优势。 18 Stefania R.Geraci ,U.S.-EU ‘Safe Harbor ’Goes Into Effect,E-Commerce,November 2000。 19 homas C.Vinje and Dieter Paemen , THE EUROPEAN UNION‘S ELECTRONIC COMMERCE DIRECTIVE:NEW RULES ON ON-LINE ADVERTISING,E-CONTRACTING,ISP LIABILITY,AND DISPUTE RESOLUTION. World Intellectual Property Report 248(vol.14)。 20 Gov‘t To Speed Up Development Of E-Commerce,Economic Report,January2000。 注释: 引自:周忠海主编《电子商务法导论》,北京邮电大学出版社,P3。 由于电子商务是一个新生事物,所以目前国际社会对什么是电子商务以及相关的概念(例如电子签名、电子合同、电子认证等)并未达成共识,甚至存在相当大的分歧。 See. WORK PROGRAMME ON ELECTRONIC COMMERCE ,WTO,WT/L274,30 SEPTEMBER 1998。 参考http://www.oecd.org/publications/pol-brief/9701-pol.htm 转引自:周忠海主编《电子商务法导论》,北京邮电大学出版社,P5。 参考:蒋坡,《电子商务法律制度的内核》,《法学》2000年第12期,P31。 目前,电子商务广泛借助Internet平台以实现资源共享和高效率。而 Internet安 全性的先天不足必然会殃及电子商务中的数据电文。计算机信息安全专家认为Internet存在的不安全因素主要有: 1、Internet的无主控、开放性使得“黑客”时时潜入联网电脑,窃取机密数据;破坏数据致系统瘫痪;使机器功能不能正常发挥。 2、Internet的数据传送所基于的TCP/IP通信协议缺乏数据防窃取的安全措施。 3、Internet通信业务常使用的UNIX操作系统安全性脆弱,加之在应用层开发的多数信息访问协议使用的访问控制鉴别机制薄弱,反复使用的用户标识符(ID口令)方便了攻击者的破坏活动。 4、在计算机网络上传输、存储、处理的电子信息,还没有像传统的邮件通信那样进行信封保护,签字盖章。信息的来源,去向是否真实,内容是否被人改动,不该泄漏的信息是否被泄漏了,这一切在应用层支持服务的协议中还是凭着君子协定来维持。 See. ECE Trade/Wp4/GE2/R102.转引自单文华:《电子贸易的法律问题》, 《民商法论丛》第10卷P34。 《中华人民共和国合同法》第三十二条规定:自双方当事人签字或者盖章时,合同成立。 引自:薛虹《电子商务的法律问题》,《法律适用》2000年第7期。 参考:David Johnston,Sunny Handa,Charles Morgan《在线游戏规则》,新华出版社,P107。 [11]cf.Hans B.Thomsen&Bernard S.Wheble,Trading with EDI-The Legal Issues,IBC Financial Books Ltd,1989,P19,转引自《电子贸易的法律问题》,《民商法论丛》第10卷。 [12]引自:周忠海主编《电子商务法导论》,北京邮电大学出版社,P57。 [13]这里的认证机构,英文为“Certification authority”,其法律定义,联合国贸法会在《统一电子签名法规则(草案1999年2月稿) 》第一条定义中规定:“认证机构,是指任何人或实体,在其营业中从事以数字签名为目的,而颁发与加密密钥相关的身份证书。该定义受任何要求认证机构须取得许可,或认可,或以一定的方式进行营业的有效法的限制”。新加坡在其《电子交易法》第二条中规定:“认证机构是指颁发数字证书的人或组织”。-引自:周忠海主编《电子商务法导论》,北京邮电大学出版社,P71。 [14]引自:赵廷光、皮勇,《电子商务安全的几点刑法对策》,《法商研究》2000年第6期。 [15]参考:张楚,《美国电子商务法评析》,《法律科学》2000年第2期。 [16]指1999年《中华人民共和国合同法》。 [17]引自:阚凯力、张楚主编,《外国电子商务法》,北京邮电大学出版社P266—268。 [18]“A number of state legislatures have recently introduced versions of the uniform Electronic Transactions Act (UETA)。Another NCCUSL(the National Conference of Commissions on Uniform State Laws)—drafted uniform law that would govern the use of electronic signatures,UETA asserts that”an electronic record or signature may not be denied legal effect or enforceability solely because it is in electronic form “, furthermore ” if a law requires a record to be in writing , an electronic record satisfies the law .“—see. ” States Move Closer On Uniform Software,Signature Laws“,E-COMMERCE,March 2000,P9。 [19]要约,是希望和他人订立合同的意思表示。见:《中华人民共和国合同法》第14条。 [20]承诺,是受要约人同意要约的意思表示。见:《中华人民共和国合同法》第21条。 [21]引自:阚凯力、张楚主编,《外国电子商务法》,北京邮电大学出版社P19。 [22]引自:阚凯力、张楚主编,《外国电子商务法》,北京邮电大学出版社P267。 [23]国际商会于1997年制订了《电传交换贸易数据统一行为的守则》,联合国贸法会1996年制订 了《电子商务示范法》,OECD等也制订了相应的一些规则。-参考:沈根荣《国际电子商务立法的发展进程及特点》,《国际商务研究》2000年第2期。 [24]“台湾家乐福公司的名称(carrefour)被弈昕电脑公司登记作为其使用网域名称。公平会后来判定该公司违反公交法第24条,因使‘家乐福公司不能使用原拥有(carrefour)为网域名称,进而丧失以消费者原来熟悉之名称进入网路争取交易之机会’。” “一般域名的争议,多是在商标法的部分,但现在的商标法并未提及网际网路,目前只有公平会可以填补法律上的漏洞。”-引自:孙晨整理《软体产业在INTERNET上的管理》,《智慧财产权管理》,台湾,2000年第12期 这就是典型的传统法律体系存在空白的情形。 [25]引自:赵廷光、皮勇“电子商务安全的几点刑法对策”,《法商研究》2000年第6期。
论文摘要:随着互联网技术的蓬勃发展,基于网络和多媒体技术的电子商务应运而生并迅速发展。所谓电子商务通常是指是在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网土购物、商户之间的网交易和在线电子支付以及各种商务活动和相关的综合服务活动的一种新型的商业运营模式。信息技术和计算机网络的迅猛发展使电子商务得到了极大的推厂,然而由于互联网的开放性,网络安全问题日益成为制约电子商务发展的一个关键性问题。
一、电子商务网络信息安全存在的问题
电子商务的前提是信息的安全性保障,信息安全,胜的含义主要是信息的完整性、可用性、保密险和可靠性。因此电子商务活动中的信安全问题主要体现在以两个方面:
1、网络信息安全方面
(l)安全协议问题。目前安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
(3)防病毒问题。互联网的出现为电脑病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,在电子商务领域如何有效防范病毒也是一个十分紧迫的问题。
(4)服务器的安全问题。装有大量与电子商务有关的软件和商户信息的系统服务器是电子商务的核心,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果会非常严重。
2、电子商务交易方面
(1)身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的身份与他人进行交易。
(2)交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
(3)交易的修改问题。交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公正。
二、电子商务中的网络信息安全对策
1、电子商务网络安全的技术对策
(1)应用数字签名。数字签名是用来保证信息传输过程中信息的完整和提供信息发送者身份的认证,应用数字签名可在电子商务中安全,方便地实现在线支付,而数据传输的安全性、完整性,身份验证机制以及交易的不可抵赖性等均可通过电子签名的安全认证手段加以解决。(2)配置防火墙。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。它能控制网络内外的信息交流,提供接人控制和审查跟踪,是一种访问控制机制。在逻辑,防火墙是一个分离器、限制器,能有效监控内部网和工nternet之间的任何活动,保证内部网络的安全。
(3)应用加密技术。密钥加密技术的密码体制分为对称密钥体制和公用密钥体制两。相应地,对数据加密的技术分为对称加密和非讨称力日密两类。根据电子商务系统的特点,全面加密保护应包括对远程通信过程中和网内通信过程中传输的数据实施加密保护。一般来说,应根据管理级别所对应的数据保密要求进行部分加密而非全程加密。
2、电子商务网络安全的管理策略
(1)建立保密制度。涉及信息保密、口令或密码保密、通信地址保密、日常管理和系统运行状况保密、工作日记保密等各个方面。对各类保密都需要慎重考虑,根据轻重程度划分好不同的保密级别,并制定出相应的保密措施。
(2)建立系统维护制度。该制度是电子商务网络系统能否保持长期安全、稳定运行的基本保证,应由专职网络管理技术人员承担,为安全起见,其他任何人不得介人,主要做好硬件系统日常借理维护和软件系统日常管理维护两方面的工作。
(3)建立病毒防范制度。病毒在网络环境下具有极大的传染性和危害性,除了安装防病毒软件之外,还要及时升级防病毒软件版本、及时通报病毒人侵信息等工作。此外,还可将网络系统中易感染病毒的文件属性、权限加以限制,断绝病毒人侵的渠道,从而达预防的目的。
(4)建立数据备份和恢复的保障制度。作为一个成功的电子商务系统,应针对信息安全至少提供三个层面的安全保护措施:一是数据在操作系统内部或者盘阵中实现快照、镜像;二是对数据库及邮件服务器等重要数据做到在电子交易中心内的自动备份;三是对重要的数据做到通过广域网专线等途径做好数据的克隆备份,通过以土保护措施可为系统数据安全提供双保险。
三、电子商务的网络安全体系结构
电子商务的网络信息安全不仅与技术有关,更与社会因素、法制环境等多方面因素有关。故应对电子商务的网络安全体系结构划分如下:
1.电子商务系统硬件安全。主要是指保护电子商务系统所涉及计算机硬件的安全性,保证其可靠哇和为系统提供基础性作用的安全机制。
2.电子商务系统软件安全。主要是指保证交易记录及相关数据不被篡改、破坏与非法复制,系统软件安全的目标是使系统中信息的处理和传输满足整个系统安全策略需求。
3.电子商务系统运行安全。主要指满足系统能够可靠、稳定、持续和正常的运行。
4.电子商务网络安全的立法保障。结合我国实际,借鉴国外先进网络信息安全立法、执法经验,完善现行的网络安全法律体系。
[关键词]电子商务;安全要素;技术对策
电子商务从产生至今虽然时间不长,但发展十分迅速,已经引起各国政府和企业的广泛关注和参与。但是,由于电子商务交易平台的虚拟性和匿名性,其安全问题也变得越来越突出,电子签名技术的应用及其立法为电子商务安全运行提供了重要保障。
一、电子商务的安全威胁美国密执安大学的一个调查机构曾对23000名因特网用户做了一个调查。调查显示超过60%的人由于担心电子商务的安全问题而不愿意在网上购物。同样的调查显示,任何个人、企业或商业机构以及银行都不会通过一个不安全的网络进行商务交易,一旦遭到攻击,就会导致商业机密信息或个人隐私的泄漏,从而造成巨大的损失,对电子商务的安全威胁主要包括:信息的截获和窃取、信息的篡改、信息假冒、交易抵赖等。
二、电子商务的安全要素
1。有效性。EC作为贸易的一种形式,其信息的有效性直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
2。机密性。EC是建立在开放的网络环境上的,维护商业机密是EC全面推广应用的重要保障。因此,要预防非法信息存取和信息在传输过程中被非法窃取。
3。完整性。EC简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是EC应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。
4。可靠性。如何确定要进行交易的贸易方正是进行交易所期望的贸易方,这一问题则是保证EC顺利进行的关键。在传统纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。这就是人们常说的“白纸黑字”。在无纸化的EC方式下,通过手写签名和印章进行贸易方的鉴别已不可能,因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
三、电子商务安全的主要技术对策电子商务安全是信息安全的应用,它的技术范围主要分为网络安全技术、防火墙技术、加密技术和认证技术等。
1。网络安全技术。网络安全是电子商务安全的基础,一个完整的电子商务系统应建立在安全的网络基础设施之上。网络安全所涉及到的地方比较广,如操作系统安全,防火墙技术,虚拟专用网技术和各种反黑客技术及漏洞检测技术等。其中最重要的就是防火墙技术,防火墙是在连接Internet和Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而做出允许/拒绝等正确的判断。
2。加密技术。加密技术是保证电子商务安全的重要手段。许多密码算法现己成为网络安全和商务信息安全的基础。密码算法利用密钥(secretkeys)来对敏感信息进行加密,然后把加密好的数据和密钥发送给接收者,接收者可利用同样的算法和传递来的密钥对数据进行解密,从而获取敏感信息并保证网络数据的机密性。
3。加密技术包括私钥加密和公钥加密。私钥加密,又称对称密钥加密。即信息的发送方和接收方用一个密钥去加密和解密数据。目前常用的私钥加密算法包括DES和IDEA等。公钥密钥加密,又称不对称密钥加密系统,它需要使用一对密钥来分别完成加密和解密操作。一个公开,称为公开密钥(PublicKey);另一个由用户自己秘密保存,称为私有密钥(Private-Key)。为了充分利用公钥密码和对称密码算法的优点,克服其缺点,解决每次传送更换密钥的问题,可采取混合密码系统,即所谓的电子信封(envelope)技术。
4。认证与识别。全面的保护还要求认证和识别,确保参与加密对话的人确实是其本人。认证和识别是指用户必须提供他是谁的证明。
这个“他”可能是某个雇员,某个组织的、某个软件过程等等认证的标准方法就是弄清楚他是谁,他具有什么特征,他知道什么可用于识别他的东西。比如说,系统中存储了他的指纹,他接入网络时,就必须在连接到网络的电子指纹机上提供他的指纹,只有指纹相符才允许他访问系统。更普通的是通过视网膜血管分布图来识别,原理与指纹识别相同,另外声波纹识别也是商业系统采用的一种识别方式。
网络通过用户拥有什么东西来识别的方法,一般是用智能卡或其它特殊形式的标志,这类标志可以从连接到计算机的读出器上读出来。至于说到“他知道什么”,最普通的就是口令,口令具有共享秘密的属性。更保密的认证可以是几种方法组合而成。智能卡技术将成为用户接入和用户身份认证等安全要求的首选技术。用户将从持有认证执照的可信发行者手里取得智能卡安全设备,也可从其他公共密钥密码安全方案发行者那里获得。这样智能卡的读取器将成为用户接入和认证安全解决方案的一个关键部分。
四、结束语电子商务交易安全的一些典型技术和协议都是对有关电子商务交易安全的外部防范,但是要想使一个商用网络真正做到安全,不仅要看它所采用的防范措施,而且还要看它的管理措施。只有将这两者综合起来考察,才能最终得出该网络是否安全的结论。因此,只有每个电子商务系统的领导、网络管理员和用户都能提高安全意识,健全并严格有关网络安全措施,才能在现有的技术条件下,将电子商务安全风险降至最低。
参考文献:
关键词:网络背景;电子商务;信息安全
电子商务是以信息网络技术为手段的商务活动,是传统商品、服务交易等环节的电子化、信息化、网络化,如相关的广告宣传、网上银行服务等,这些涉及到大量而复杂的信息,如交易双方的产品信息、商业机密、个人账户及财产信息等等。随着计算机网络技术的发展,网络成为人们信息交互的重要方式,然而网络的开放性和共享性为人们提供便利的同时,也带来了许多安全隐患,尤其是电子商务信息安全,在交易的过程中极易出现交易双方信息被泄漏或利用。
1电子商务信息安全的重要性
信息安全是指防止信息数据被故意或偶然的非授权泄漏、更改及破坏,以保障信息的可用性、可靠性、完整性、保密性。而电子商务所依赖的信息流是否安全也直接关系到各个相关主体的利益,从而影响到整个企业经济收益水平和竞争力,因此信息安全是实现电子商务正常运作的重要保障,是实现信息流、商流和资金流的根本保证。在当前完全开放的网络环境下,保障电子商务活动中信息安全显得尤为重要。(1)信息的可用性,是保障电子商务正常开展的重要前提,即电子商务在交易活动中,交易双方之间提供的信息必须是可用的,只有这样才能保证交易结果的有效性。因而网络环境下的非人为故障成为信息可用性的阻碍,即相关的网络故障、计算机中病毒等等。(2)信息的可靠性,是保障电子商务正常运行的关键,即防止计算机失效、系统软件错误、程序错误等危险,以保证信息和信息系统安全可靠。(3)信息的完整性,是电子商务应用的重要基础,即要保证信息在网络上存储或传输过程中不被篡改、修改或丢失,并保证信息传送次序的统一。(4)信息的保密性,是电子商务推广应用的重要保障,即要严格控制信息存取和信息传输的过程中不泄漏给非授权的个人和实体。
2电子商务过程中存在的信息安全问题
网络环境下,电子商务不断发展,同时也面临着诸多信息安全隐患,主要表现在以下几个方面。2.1网络环境本身存在的安全问题。(1)系统自身存在的漏洞问题。电子商务系统是指各个相关主体等在Internet和其他网络的基础上,以实现企业电子商务活动的目标。因此系统自身存在的漏洞问题不可避免,这是相关技术研发人员在网络系统研发过程中没能建立完善的应对措施,导致电子商务的不安全隐患发生,如保存在系统中的个人隐私信息被不法分子获取、企业信息遭到泄漏等。(2)网络自身存在的缺陷。电子商务是以计算机网络为基础的,而网络本身也存在着缺陷,如:TCP/IP的脆弱性,使其容易受到网络攻击;网络结构的不安全性,导致信息数据在传输过程中易被窃听等。2.2信息存储过程中的安全问题。电子商务在静态存放时的安全,被称为信息存储安全。在网络开放的大环境下,电子商务的信息存储安全存在着两种不安全要素,即内部不安全要素,是指企业内部之间、企业的顾客在没有得到授权的情况下调用或随意修改、删减电子商务信息;外部不安全因素,是指企业外部人员非法入侵计算机网络,在未授权的情况下随意调用、修改、删减电子商务信息等,导致企业主体商业机密泄漏或遭他人盗用,造成同行业之间恶性竞争。2.3信息传输中的安全问题。信息传输安全是指商务信息在交易过程中的传输安全。其存在的不安全性主要包括:商务信息在网络传输过程中被非法窃取、篡改或伪造等,导致交易信息丢失或被否认等,严重影响了电子商务的正常运作。2.4交易过程中的信息安全问题。(1)买方信息安全威胁。买方信息在未授权的情况下非法拦截、窃取,导致交易信息泄漏或者假冒买方被要求付账或返还商品;交易信息的不完整或被篡改,导致买方没有收到商品;计算机被病毒感染或遭黑客攻击,导致个人信息丢失或被窃取等。(2)卖方信息安全威胁。卖方信息,如营销信息和客户信息等被非法侵入、窃取;假冒合法用户改变交易内容,导致电子商务交易中断,不仅使买方权益受损,还会造成卖方信誉受损;黑客入侵卖方商务系统,泄漏商业机密或制造虚假信息影响卖方的正常销售等等。
3电子商务信息安全防范措施
3.1采用各种先进的信息安全技术。在网络背景下,如何利用现代计算机信息安全技术减少系统漏洞、防止黑客入侵和病毒感染,以保障电子商务信息安全至关重要。(1)数据加密技术。由于网络协议的限制,使得数据流在传输过程中处于未加密状态,包括用户名、密码等认证信息,容易导致数据在传输过程中被非法窃听和盗取,因此使用数据加密技术能够在一定程度上保证信息的完整性和安全性。信息加密技术是最基本的安全技术,是主动安全防范的有效策略,其目的是为了防止合法接收者之外的人获取机密信息,保护网络会话的完整性。加密是利用加密函数转换和保密的密钥对信息进行编码,变成无意义的密文,以便只有合法的接收者通过解密得到原始数据。加密技术根据密匙类型分为对称加密技术和非对称加密技术,其中对称密匙加密算法主要包括数据加密标准DES算法和国际数据加密算法IDEA算法;非对称密匙加密也称公开密匙加密,其主要是RSA加密算法。(2)认证技术。认证技术是指采用密码技术设计出安全性高的识别协议,确认信息发送者的身份,验证信息完整性,即保证信息在传送或存储过程中未被修改、重复、删除等,如数字证书、电子商务认证授权机构等。(3)防病毒技术。电子商务的信息安全,防范木马攻击和病毒更是重中之重。对于病毒,要以预防为主,查杀为辅,当前保护信息安全的技术主要包括:预防病毒技术,监视和判断系统中是否存在病毒,并预防病毒进入系统和对系统软件资源即文件造成干扰和破坏;检测病毒技术,即在计算机病毒的关键字、特征程序段内容等特征分类的基础上进行识别和侦测;消除病毒技术,对病毒进行分析研究后,开发出具有杀除病毒程序并恢复原文件的软件。3.2加强网络安全基础设施建设。在网络背景下,通过设置多道防火墙、多层密保等,在一定程度上减少了黑客入侵、信息泄露等一系列电子商务信息安全问题。但由于我国计算机信息技术起步较晚,大部分计算机软硬件核心部件都源自国外进口,如一些关键部件、安全软件及操作系统都不是自主研发的,这就必然导致我国计算机网络信息安全方面的漏洞。因此,我国要进一步加强网络安全基础设施建设,建立我国自己的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。
综上所述,网络背景下的电子商务发展带给人们日常生活便利的同时,也给相关主体的信息安全带来隐患,如果能解决好电子商务信息安全的问题,电子商务的发展前景是相当可观的。因此,建立安全、快捷、高效的电子商务环境至关重要,需进一步加大投入、开发新的、有效的信息安全技术,以确保电子商务的健康、可持续发展。
作者:唐利娜 单位:郑州工业技师学院
参考文献
[1]王惊雷.网络背景下计算机电子商务的信息安全分析[J].中国商论,2014(10):190.
[论文摘要]在如何对待信用卡套现的问题上,国内领先的第三方支付平台如PAYPAL(贝宝)、支付宝、快钱等目前都采用了多种安全措施。
在电子商务中,网上交易的支付问题的安全性问题越来越突出,为确保顾客在购买东西的时候不会钱财两空,一种新的支付方式——第三方支付出现了,第三方支付平台的出现解决了电子商务的瓶颈——网上支付信用与安全问题,充当商家与消费者之间的信用纽带,作为交易各方与银行的接口,消除消费者对商家的疑虑,提供方便快捷简易的支付方式,在很大程度上推动了电子商务的发展。
那么,第三方支付具体指的是什么呢?所谓第三方支付,是指为了保障电子商务的支付安全,支付通过买卖双方之间完全中立的一家企业来完成。用E-mail来进行网上支付;打个电话报上信用卡号就能预订机票;用手机上网交水费电费游戏费……在中国人还没有完全适应从纸制货币进化到“塑胶货币”(信用卡)的今天,网络银行、手机钱包等第三方支付工具已经迫不及待地登场了。
近日,有媒体报道,有网民利用三方支付工具从信用卡套现。就此,该文进而对第三方支付的安全性问题提出质疑,认为电子支付有可能被金融犯罪分子所利用,充当其洗钱的工具。且不管该文提到的套现现象是否属于依然在可控范围内的小概率事件,也不提所谓的套现行为是否缘于第三方支付的安全漏洞,单就所谓洗钱的担心而论,可以说,该文是严重低估了央行以及各商业银行的风险控制能力,也大大低估了各大第三方支付公司的风险把控能力。
实际情况是,早在1996年4月1日,中国人民银行就颁布并实施了《信用卡业务管理办法》,其中明确规定,持卡人不允许利用信用卡套取现金以及恶意透支。对于信用卡套现这个问题,不光招商银行等商业银行关注有加,第三方支付公司支付宝、贝宝等亦是小心翼翼,如履薄冰,先后出台了多项严格的风险控制系统,协助银行解决问题。
在如何对待信用卡套现的问题上,国内领先的第三方支付平台如PAYPAL(贝宝)、支付宝、快钱等目前都采用了多种安全措施。
例如,PAYPAL(贝宝)在防止盗号、提供密码加密以及减少信用卡套现等方面,已经配合银行做了大量工作;快钱除了从技术手段上防范盗卡之外,还在安全方面加设了用户的认证系统等六道功能,试图将安全隐患压低到最小程度。
作为国内最大的第三方支付平台,支付宝的做法就更为完备。早在2006年7月,支付宝就推出“支付宝认证”服务,对所有使用支付宝的卖家进行双重身份认证,即身份证认证和银行卡认证。除了与公安部全国公民身份证号码查询服务中心合作校验身份证的真伪,支付宝还与各大商业银行进行合作,利用银行账户实名制信息来校验用户填写的姓名和银行账户号码是否准确,摒弃了某些购物网站仅凭一个手机号码或者身份证号码进行简单认证的模式。支付宝公司还在国内率先推出了“全额赔付”制度和交易安全基金,网络欺诈发生率仅为万分之二。
为了保证支付宝的安全性,支付宝技术团队还自发研制了数字证书,其安全性能得到各银行认同。相对于目前国内所有第三方认证公司采用的认证形式,支付宝的数字证书从技术上摆脱了普通6位密码验证,改以1024位加密的数字签名技术,因而更为安全。而数字密码的惟一性,也更有助于客户身份的识别。
央行的《电子支付指引》规定,银行通过互联网为个人客户办理电子支付业务,除采用数字证书、电子签名等安全认证方式外,单笔金额不应超过1000元人民币,每日累计金额不应超过5000元人民币,并规定信用卡的网上支付不得超过提现额度。国内目前没有一家银行和任何一家网上支付公司允许网上“单日支付额度由信用卡额度决定”。在这方面,支付宝也早已主动和和很多发卡银行联手,针对套现现象做了信用卡网上支付单笔限额的规定,例如,招商银行的信用卡支付限制的是单笔最高限额499元。为了保证支付宝的安全性,支付宝还有CTU风险控制系统来随时扫描和监控交易的进行,防范可能存在的盗卡及套现行为。
实际上,从2006年5月开始,支付宝就已委托中国工商银行对支付宝公司开立在各家银行的客户交易保证金账户的余额进行核查,工行并定期出具《支付宝客户交易保证金托管报告》。这是中国银行界第一次为第三方支付平台做资金托管的审核报告,也是当前唯一银行愿意托管的第三方支付平台。2006年12月8日,从工行对11月1日~11月30日期间所有发生的支付宝公司的客户提现及余额支付进行的抽查情况看,支付宝存放在各家银行的客户交易保证金余额总和等于支付宝客户存放在贵公司的资金余额与待处理款、未达款余额之和,报告期间内未发现支付宝客户交易保证金被挪用情况。
值得一提的是,截至目前工行、农行都已经开始把以支付宝为主的阿里巴巴中小企业信用体系作为他们给中小企业贷款的一个衡量指标;而浦东发展银行等也看到了里面的巨大商机纷纷加入。
购物车(0)
