电子商务交易中的安全问题研究 谢发江 摘要：随着互联网迅猛发展，计算机技术日益成熟。网上交易渐渐成为新的商务模式，电子商务应运而生。基于网络资源的电子商务交易已被大众所接受。人们在享受电子商务交易带来的便捷的同时，也意识到安全问题的存在。下面首先对电子商务交易中的安全需求进行阐述，然后着重提出电子商务交易中存在的几个安全问题及这些安全问题产生的原因，最后针对安全问题提出解决方案。 关键词：电子商务交易；安全问题；安全需求；交易标准；安全技术 Abstract:with the rapid development of Internet,computer technique becomes more mature,online transaction gradually turns to be the new business model, emerging in reponse to the time.the e-business ,which is based on internet resource,is accepted by most people.while enjoying the convenience bring by it ,people should come to be aware of the safety issue.Then i want to make a statement about the exist safety problems when doing the e -business,after that i would like to stress the safety problems of existing in the e-trade as well as the reasons,and the last would like to come up with a solution to deal with the problem. Key words:Electronic Commerce; Security; Security Demand;Trading Standards;Security technology 0. 引言 所谓电子商务，广义上的概念是指利用信息技术把商务活动的各方（如企业、合作者、消费者、政府）连接起来，进行各种商务活动。狭义的概念单指电子交易，即在网上实现商品的订货、展示、促销、查询、销售到最后的转账、清算、服务的全过程。在宏观上，电子商务不仅涉及电子技术本身，更涉及到贸易、金融、安全等其他方面。在微观上，是指各种有商业活动能力的实体，通过网络和先进数字传媒技术进行商业交易。 电子商务交易中的安全问题就是指在进行电子商务交易活动过程中涉及到的一系列和安全有关的问题。在这方面已经有很多的研究了，但是在一些关键的安全问题方面仍然没有得到解决。 由于电子商务具有低成本、高效益、全球性等特点使其很快遍及全世界。电子商务已成为世界经济最具活力的增长点,它的应用将给社会和经济发展带来巨大的变革。然而,目前世界通过电子商务方式完成的贸易额只占同期全球贸易额中的小部分。究其原因,电子商务是一个复杂的系统工程,它的应用还依靠相应的社会问题和技术问题的逐步解决与完善。其中,电子商务的安全问题是制约电子商务发展的最为关键问题。 在电子商务交易中，消费者和销售者都面临着安全问题，安全问题制约着电子商务交易的发展，阻碍人们安全交易的进行。只有不断的探索研究，减少安全问题，杜绝安全隐患，电子商务才能更快更好地发展。析问题、解决问题着手。对电子商务交易中的问题进行探讨。 1. 电子商务交易的安全需求 安全问题是制约电子商务发展的重要因素之一，安全是电子商务交易的基础保证。在电子商务交易中，安全需求主要有以下几个方面： 1.1. 交易的认证性 交易的认证性是指在交易开始之前，买卖双方能够认证对方的身份。即可以识别对方的身份是否是真实的。 1.2. 交易的保密性 所谓交易的保密性是指信息不泄露给非授权用户、实体或过程，或供其利用的特性。在交易的保密性中，还包括了一点就是交易的不可跟踪性。 1.3. 交易的完整性 交易的完整性指数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改，不被破坏的和丢失的特性。 1.4. 交易的不可否认性 交易的不可否认性也称交易的不可抵赖性，主要是指交易双方不能否认彼此之间所进行的交易。 1.5. 其他安全需求 其他安全需求还有可访问性（即保证系统、数据和服务能由合法人员访问）；防御性（即能够阻挡不希望的信息或黑客的入侵）；合法性（即保证各方的业务符合可使用的法律和法规）。 2. 电子商务交易中存在的安全问题及原因 2.1. 电子商务交易中存在的问题 在电子商务交易中的安全问题主要包括了传输问题、信用问题和管理问题。 2.1.1. 传输问题 所谓信息传输问题就是指在进行网上交易的时候，因传输的信息失真或者信息被非法的进行窃取、篡改和丢失，从而导致网上交易的一些不必要的损失。从技术上看，网上交易的信息传输问题主要包括以下几个方面： 冒名偷窃：为了获取重要的商业秘密、资源和信息，竞争对手或者“黑客”常常采用源IP地址来进行欺骗攻击； 篡改数据：攻击者利用非法手段掌握了信息的格式和规律后，通过各种手段方法，将网络上传输的信息数据进行删除、修改、重发等，破坏数据的完整性和真实性，损害他人的经济利益，或者干扰对方的正确决策； 分信息丢失：在交易中存在的信息丢失，是因为线路问题、安全措施不当或因为在不同的操作平台上转换操作不当导致的； 信息传递过程中的破坏：由于计算机技术发展迅速，原有的病毒防范技术、加密技术、防火墙技术等始终存在被新技术攻击的可能性。计算机病毒的侵袭、“黑客”的非法入侵、线路窃听等很容易使重要的数据在传输过程中泄露，威胁电子商务交易中的安全。另外，外界的干扰也会影响到数据的真实性和完整性； 虚假信息：在网上交易过程中，信息传输问题可能来源于用户以合法身份进入系统后，买卖双方都可能在网上发布虚假的供求信息，或者以过期的信息冒充现在的信息，从而骗取对方的欠款或货物。 2.1.2. 信用问题 在电子商务交易中存在的信用问题主要表现在以下几个方面: 来自买方的信用问题，对于消费者来说，可能在网络上利用信用卡进行支付时的恶意透支，或者使用伪造的信用卡来骗取买方的货物； 来自卖方的信用问题，卖方不能按质、按量、按时寄送消费者购买的货物，或者不能完全根据合同来履行合同内容，造成对买方权益的损害； 买卖双方都存在的抵赖问题，电子商务交易是直接通过网络进行的，导致信用得不到保证，买方存在不付款，卖方存在不发货的抵赖行为。从而致使信用问题难以控制，网上交易很难进行。 2.1.3. 管理问题 网上交易管理上也存在诸多问题，主要表现在以下几个方面： 交易流程管理问题：在网络交易中介介入交易的过程中,客户进入交易中心。交易中心不但要监督买方按时付款，也要监督卖方按时提供合同所要求的货物。在这里面，管理问题大量存在，假如管理不善，将会导致巨大的潜在风险； 人员管理问题：在网上交易中，最薄弱的环节是人员管理。由于工作人员的职业道德不高，安全教育和管理松懈，使得通过网络犯罪的现象越来越严重，并且多数反映在内部管理人员。由于对于人员的管理不善，导致很多机密文件被竞争对手获得； 交易技术管理问题：网上交易只经历了很短的时间，没有比较完善的控制机制，使得网上交易技术管理的漏洞众多，也因此带来很大的交易问题。所以，在交易技术方面，仍然需要加强对其管理和规范。 2.2. 电子商务交易中出现安全问题的原因 日益严重的网络信息安全问题，不仅会使网上企业、机构及用户蒙受巨大的经济损失，而且也会使国家的安全与主权面临严重的威胁。引发电子商务交易中的安全问题的原因有很多，主要表现在以下几个方面： 2.2.1. 黑客的攻击 由于网络技术发展迅速，对于网络犯罪的追踪和反击手段还不成熟，并且黑客的攻击具有杀伤力强，隐蔽性高的特点。所以对于网上交易的威胁巨大，严重制约电子商务安全交易的发展。 黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行，并不盗窃系统资料，通常采用拒绝服务攻击或信息炸弹；破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。黑客常用的攻击手段主要有以下几个方面： 后门程序：由于程序员设计一些功能复杂的程序时，一般采用模块化的程序设计思想，将整个项目分割为多个功能模块，分别进行设计、调试，这时的后门就是一个模块的秘密入口。在程序开发阶段，后门便于测试、更改和增强模块功能。正常情况下，完成设计之后需要去掉各个模块的后门，不过有时由于疏忽或者其他原因(如将其留在程序中，便于日后访问、测试等)后门没有去掉，一些别有用心的人会利用穷举搜索法发现并利用这些后门，然后进入系统并发动攻击。 信息炸弹：黑客使用一些特殊工具软件，短时间内向目标服务器发送大量超出系统负荷的信息，造成目标服务器超负荷、网络堵塞、系统崩溃的攻击手段。比如向未打补丁的 Windows 95系统发送特定组合的 UDP 数据包，会导致目标系统死机或重启；向某型号的路由器发送特定数据包致使路由器死机；向某人的电子邮件发送大量的垃圾邮件将此邮箱“撑爆”等。目前常见的信息炸弹有邮件炸弹、逻辑炸弹等。 拒绝服务：拒绝服务又叫分布式DOS攻击，它是使用超出被攻击目标处理能力的大量数据包消耗系统可用系统、带宽资源，最后致使网络服务瘫痪的一种攻击手段。作为攻击者，首先需要通过常规的黑客手段侵入并控制某个网站，然后在服务器上安装并启动一个可由攻击者发出的特殊指令来控制进程，攻击者把攻击对象的IP地址作为指令下达给进程的时候，这些进程就开始对目标主机发起攻击。这种方式可以集中大量的网络服务器带宽，对某个特定目标实施攻击，因而威力巨大，顷刻之间就可以使被攻击目标带宽资源耗尽，导致服务器瘫痪。比如1999年美国明尼苏达大学遭到的黑客攻击就属于这种方式。 网络监听：网络监听是一种监视网络状态、数据流以及网络上传输信息的管理工具，它可以将网络接口设置在监听模式，并且可以截获网上传输的信息，也就是说，当黑客登录网络主机并取得超级用户权限后，若要登录其他主机，使用网络监听可以有效地截获网上的数据，这是黑客使用最多的方法，但是，网络监听只能应用于物理上连接于同一网段的主机，通常被用做获取用户口令。