王鐵柱 趙向林

（河北醫(yī)科大學(xué)，河北 石家莊 050091）

我國(guó)電子商務(wù)安全性分析與研究

王鐵柱 趙向林

（河北醫(yī)科大學(xué)，河北 石家莊 050091）

電子商務(wù)作為一種全新的商務(wù)模式得到了很大的發(fā)展，但隨之而來(lái)的安全問(wèn)題也越來(lái)越突出，安全問(wèn)題己成為電子商務(wù)的核心問(wèn)題。本文分析了電子商務(wù)中存在的安全問(wèn)題，并闡述解決電子商務(wù)安全隱患的主要安全技術(shù)及相關(guān)法律法規(guī)。

電子商務(wù)；安全問(wèn)題；法律法規(guī)

電子商務(wù)作為一種全新的商業(yè)應(yīng)用形式，改變了傳統(tǒng)商務(wù)的運(yùn)作模式，極大地提高了商務(wù)效率，降低了交易的成本，隨著信息技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展，基于Internet 的電子商務(wù)也隨之而生，并在近年來(lái)獲得了巨大的發(fā)展。根據(jù)艾瑞咨詢發(fā)布的2010年第一季度中國(guó)電子商務(wù)市場(chǎng)數(shù)據(jù)顯示，2010年第一季度中國(guó)電子商務(wù)市場(chǎng)整體交易額規(guī)模達(dá)到了10152.7億元，單季交易額突破萬(wàn)億規(guī)模。由于Internet的迅速流行，電子商務(wù)引起了廣泛的注意，被公認(rèn)為是未來(lái)IT業(yè)最有潛力的新的增長(zhǎng)點(diǎn)。然而，在開(kāi)放的網(wǎng)絡(luò)上處理交易，如何保證傳輸數(shù)據(jù)的安全成為電子商務(wù)能否普及的最重要的因素之一。調(diào)查公司曾對(duì)電子商務(wù)的應(yīng)用前景進(jìn)行過(guò)在線調(diào)查，當(dāng)問(wèn)到為什么不愿意在線購(gòu)物時(shí)，絕大多數(shù)的問(wèn)題是擔(dān)心遭到黑客的侵襲而導(dǎo)致信用卡信息丟失。因此，有一部分人或企業(yè)因擔(dān)心安全問(wèn)題而不愿使用電子商務(wù)，安全成為電子商務(wù)發(fā)展中最大的障礙。

一、我國(guó)電子商務(wù)面臨的主要安全問(wèn)題

（一）信息的截獲和竊取

這是指電子商務(wù)相關(guān)用戶或外來(lái)者未經(jīng)授權(quán)通過(guò)各種技術(shù)手段截獲和竊取他人的文電內(nèi)容以獲取商業(yè)機(jī)密。

（二）信息破壞

一是指網(wǎng)絡(luò)傳輸?shù)目煽啃?，網(wǎng)絡(luò)的硬件或軟件可能會(huì)出現(xiàn)問(wèn)題而導(dǎo)致交易信息丟失與謬誤；二是指惡意破壞，計(jì)算機(jī)網(wǎng)絡(luò)本身遭到一些惡意程序的破壞，例如病毒破壞、黑客入侵等。

（三）拒絕服務(wù)

拒絕服務(wù)是指在一定時(shí)間內(nèi)，網(wǎng)絡(luò)系統(tǒng)或服務(wù)器服務(wù)系統(tǒng)的作用完全失效。其主要原因來(lái)自黑客和病毒的攻擊以及計(jì)算機(jī)硬件的人為破壞。

（四）系統(tǒng)資源失竊問(wèn)題

在網(wǎng)絡(luò)系統(tǒng)環(huán)境中，系統(tǒng)資源失竊是常見(jiàn)的安全威脅。

（五）信息的假冒

信息的假冒是指當(dāng)攻擊者掌握了網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密了商務(wù)信息后，可以假冒合法用戶或假冒信息來(lái)欺騙其他用戶。主要表現(xiàn)形式有假冒客戶進(jìn)行非法交易，偽造電子郵件等。

（六）交易的抵賴

交易抵賴包括發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過(guò)某條信息；買家做了定單后不承認(rèn)；賣家賣出的商品因價(jià)格差而不承認(rèn)原先的交易等。

以上是我國(guó)電子商務(wù)在發(fā)展過(guò)程中經(jīng)常遇到的安全問(wèn)題，為了使我國(guó)的電子商務(wù)能夠得到持續(xù)健康的發(fā)展，需要對(duì)以上安全問(wèn)題從技術(shù)和法律上加以控制。

二、電子商務(wù)的安全技術(shù)

（一）加密技術(shù)

加密技術(shù)是保證電子商務(wù)安全的重要手段，為保證電子商務(wù)安全使用加密技術(shù)對(duì)敏感的信息進(jìn)行加密，保證電子商務(wù)的保密性，完整性，真實(shí)性和非否認(rèn)服務(wù).

電子商務(wù)領(lǐng)域常用的加密技術(shù)有如下幾種：

數(shù)字摘要：又稱安全Hash編碼法.該編碼法采用單向Hash 函數(shù)將需加密的明文“摘要”成一串128bit的密文，這一串密文亦稱為數(shù)字指紋，具有固定的長(zhǎng)度，并且不同的明文摘要其密文結(jié)果是不一樣的，而同樣的明文其摘要保持一致。

數(shù)字簽名：數(shù)字簽名是將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合使用。它的主要方式是報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)128位的散列值 (或報(bào)文摘要)。發(fā)送方用自己的專用密鑰對(duì)這個(gè)散列值進(jìn)行加密來(lái)形成發(fā)送方的數(shù)字簽名，然后這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方。報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出128位的散列值 (或報(bào)文摘要)，接著再用發(fā)送方的公開(kāi)密鑰來(lái)對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密。如果兩個(gè)散列值相同，那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。通過(guò)數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別和不可抵賴性，有效地防止了簽名的否認(rèn)和非正當(dāng)簽名者的假冒。

數(shù)字時(shí)間戳：是對(duì)交易文件的時(shí)間信息所采取的安全措施.該網(wǎng)上安全服務(wù)項(xiàng)目，由專門的機(jī)構(gòu)提供。時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔，它包括：需加時(shí)間戳的文件的摘要，數(shù)字時(shí)間戳服務(wù)收到文件的日期和時(shí)間，數(shù)字時(shí)間戳服務(wù)的數(shù)字簽名。

數(shù)字證書：數(shù)字證書又稱為數(shù)字憑證，是用電子手段來(lái)證實(shí)一個(gè)用戶的身份和對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限，主要有個(gè)人憑證，企業(yè) (服務(wù)器)憑證，軟件 (開(kāi)發(fā)者)憑證三種。

（二）身份認(rèn)證技術(shù)

在網(wǎng)絡(luò)上通過(guò)一個(gè)具有權(quán)威性和公正性的第三方機(jī)構(gòu)——認(rèn)證中心，將申請(qǐng)用戶的標(biāo)識(shí)信息(如姓名，身份證號(hào)等)與他的公鑰捆綁在一起，用于在網(wǎng)絡(luò)上驗(yàn)證確定其用戶身份。前面所提到的數(shù)字時(shí)間戳服務(wù)和數(shù)字證書的發(fā)放，也都是由這個(gè)認(rèn)證中心來(lái)完成的。

（三）支付網(wǎng)關(guān)技術(shù)

支付網(wǎng)關(guān)，通常位于公網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡(luò)之間 (或者終端和收費(fèi)系統(tǒng)之間)，其主要功能為：將公網(wǎng)傳來(lái)的數(shù)據(jù)包解密，并按照銀行系統(tǒng)內(nèi)部的通信協(xié)議將數(shù)據(jù)重新打包；接收銀行系統(tǒng)內(nèi)部傳回來(lái)的響應(yīng)消息，將數(shù)據(jù)轉(zhuǎn)換為公網(wǎng)傳送的數(shù)據(jù)格式，并對(duì)其進(jìn)行加密。支付網(wǎng)關(guān)技術(shù)主要完成通信，協(xié)議轉(zhuǎn)換和數(shù)據(jù)加解密功能，并且可以保護(hù)銀行內(nèi)部網(wǎng)絡(luò)。此外，支付網(wǎng)關(guān)還具有密鑰保護(hù)和證書管理等其他功能 (有些內(nèi)部使用網(wǎng)關(guān)還支持存儲(chǔ)和打印數(shù)據(jù)等擴(kuò)展功能)。

三、電子商務(wù)的法律規(guī)范

電子商務(wù)交易安全的法律保障問(wèn)題，涉及到兩個(gè)基本方面。第一，電子商務(wù)交易首先是一種商品交易，其安全問(wèn)題應(yīng)當(dāng)通過(guò)民商法加以保護(hù)；第二，電子商務(wù)交易是通過(guò)計(jì)算機(jī)及其網(wǎng)絡(luò)而實(shí)現(xiàn)的，其安全與否來(lái)于計(jì)算機(jī)及其網(wǎng)絡(luò)自身的安全程度。我國(guó)目前還沒(méi)有出臺(tái)專門針對(duì)電子商務(wù)交易的法律法規(guī)，我們應(yīng)當(dāng)充分利用已經(jīng)公布的有關(guān)交易安全和計(jì)算機(jī)安全的法律法規(guī)，保護(hù)電子商務(wù)交易的正常進(jìn)行，并在不斷的探索中，逐步建立適合中國(guó)國(guó)情的電子商務(wù)的法律制度。

電子商務(wù)方面法律法規(guī)在制定過(guò)程中需要著重解決好以下幾方面的問(wèn)題：

（一）電子支付的定義和特征

電子支付是通過(guò)網(wǎng)絡(luò)而實(shí)施的一種支付行為，與傳統(tǒng)的支付方式類似，它也要引起涉及資金轉(zhuǎn)移方面的法律關(guān)系的發(fā)生、變更和消滅。美國(guó)提出的電子支付的法律定義是否適合我國(guó)的情況，需要做那些修改，其行為特征也應(yīng)加以研究。

（二）電子支付權(quán)利

電子支付的當(dāng)事人包括付款人、收款人和銀行，有時(shí)還存在中介機(jī)構(gòu)。各當(dāng)事人在支付活動(dòng)中的地位問(wèn)題必須明確，進(jìn)而確定各當(dāng)事人的權(quán)利的取得和消滅。涉及這方面的問(wèn)題相當(dāng)復(fù)雜。

（三）涉及電子支付的偽造、變?cè)?、更改與涂銷問(wèn)題

在電子支付活動(dòng)中，由于網(wǎng)絡(luò)黑客的猖獗破壞，支付數(shù)據(jù)的偽造、變?cè)臁⒏呐c涂銷問(wèn)題越來(lái)越突出，對(duì)社會(huì)的影響越來(lái)越大。我國(guó)1997年10月1日實(shí)施了新的《中華人民共和國(guó)刑法》，其中的第一百九十六條是專門針對(duì)信用卡犯罪的，包括使用偽造的信用卡，使用作廢的信用卡，冒用他人的信用卡，惡意透支等。智能卡與信用卡類似，犯罪的界定尚可參照信用卡的有關(guān)條款，但電子現(xiàn)金、電子錢包、電子支票的問(wèn)題卻完全是一類新問(wèn)題，法律責(zé)任的認(rèn)定和追究需要全新的法律條文。

（四）刑事偵察技術(shù)的發(fā)展問(wèn)題

由于計(jì)算機(jī)技術(shù)的飛速發(fā)展，新的電子支付方式層出不窮。每一種方式都有自己的技術(shù)特點(diǎn)，都會(huì)產(chǎn)生新的法律糾紛，這些糾紛出現(xiàn)以后，調(diào)查、認(rèn)定是一個(gè)非常復(fù)雜的刑事偵察技術(shù)問(wèn)題。在信息化時(shí)代，傳統(tǒng)的實(shí)物證據(jù)逐漸被虛擬證據(jù)所代替，目前法學(xué)教育中的物證技術(shù)課程仍然停留在刑事照相、文書檢驗(yàn)、痕跡取證等傳統(tǒng)的偵察技術(shù)上，已經(jīng)遠(yuǎn)遠(yuǎn)不能適應(yīng)新的技術(shù)發(fā)展的要求。

四、結(jié)語(yǔ)

安全是電子商務(wù)的核心和靈魂，只有從技術(shù)和法律上雙管齊下，對(duì)影響電子商務(wù)安全的各種安全問(wèn)題妥善解決，才能使我國(guó)的電子商務(wù)健康持續(xù)的發(fā)展，為國(guó)民經(jīng)濟(jì)的發(fā)展貢獻(xiàn)力量。

[1]（美） Steve Burnett，Stephen Paine．密碼工程[M].清華大學(xué)出版社，2010.

[2]Christopher Steel，Ramesh Nagappan，Ray Lai著.安全模式 (CoreSecurity Patterns)[M].北京：機(jī)械工業(yè)出版社，2006.

[3]戴小波.基于SET協(xié)議的安全電子商務(wù)研究 [J]．微計(jì)算機(jī)信息，2009，(21).

D631.4

A

1672-6405（2010）03-0026-02

王鐵柱，趙向林，男，河北醫(yī)科大學(xué)西校區(qū)計(jì)算機(jī)教研室教師。

2010-08-15

張欽]