電子商務(wù)安全問題及對(duì)策分析的論文摘要

電子商務(wù)安全問題及對(duì)策分析的論文摘要摘要:隨著計(jì)算機(jī)信息安全的發(fā)展、法律的逐步完善,我國(guó)電子商務(wù)中的安全問題得到了有效解決,但是隨著技術(shù)的發(fā)展我國(guó)電子商務(wù)中又產(chǎn)生了一些新的問題,這里主要征對(duì)所出現(xiàn)的新問題進(jìn)行了深化的研究,并提出了本人的建議、對(duì)策。關(guān)鍵詞:電子商務(wù);隱私權(quán);定型化契約;加密技術(shù);入侵檢測(cè)技術(shù)正文：電子商務(wù)具有跨越地域范圍,不受時(shí)間因素制約等優(yōu)勢(shì),隨著全球經(jīng)濟(jì)一體化進(jìn)程的不斷發(fā)展,它將浸透到人們的日常生活中。隨著技術(shù)水平的提高和發(fā)展,電子商務(wù)中的基本安全問題得到了解決,但同時(shí)也涌現(xiàn)出一些新的安全問題。我們能夠通過(guò)制定、修善相關(guān)法律法規(guī)、采用新技術(shù)、強(qiáng)化安全管理、加強(qiáng)宣傳教育等對(duì)策加以有效解決。一、電子商務(wù)安全中的法律問題及對(duì)策在電子商務(wù)中,傳統(tǒng)交易下所產(chǎn)生的糾紛及風(fēng)險(xiǎn)并沒有隨著高科技的發(fā)展而消失,相反網(wǎng)絡(luò)的虛擬性、流動(dòng)性、隱匿性對(duì)交易安全及消費(fèi)者權(quán)益保護(hù)提出了更多的挑戰(zhàn),因而制定相應(yīng)的法律法規(guī)來(lái)約束互聯(lián)網(wǎng)用戶的行為是電子商務(wù)的基礎(chǔ)。我國(guó)政府特別重視電子商務(wù)的法律法規(guī)的制定,目前制定的有關(guān)法律法規(guī)有（中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例）、（中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)管理暫行規(guī)定）、（中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)絡(luò)安全保護(hù)管理辦法）、（電子簽名法）等,它們直接約束了計(jì)算機(jī)安全和電子商務(wù)的安全。這些法律法規(guī)在電子商務(wù)中發(fā)揮著重大的作用,但是這些已經(jīng)制訂的法律法規(guī)在實(shí)際操作經(jīng)過(guò)中還有很多不夠完善的地方,主要存在下面問題:㈠子商務(wù)中信息不對(duì)稱問題及對(duì)策在電子商務(wù)環(huán)境中,經(jīng)營(yíng)者不僅不愿意充分展露本人商品和服務(wù)的真實(shí)內(nèi)容,有些反而經(jīng)常減少信息的披露,甚至分布虛假偽裝的信息欺騙消費(fèi)者,以實(shí)現(xiàn)本身利益的最大化,另一方面消費(fèi)者不能直接接觸到所要購(gòu)買的商品,其消費(fèi)依靠于經(jīng)營(yíng)者提供的信息。這一種消費(fèi)者和經(jīng)營(yíng)者信息的不對(duì)稱性造成電子商務(wù)環(huán)境中經(jīng)營(yíng)者損害消費(fèi)者權(quán)益的現(xiàn)象比傳統(tǒng)的商業(yè)形式更為嚴(yán)重。其對(duì)策是通過(guò)修改現(xiàn)有法律法規(guī),強(qiáng)迫提高電子商務(wù)交易的信息透明度,嚴(yán)格電子商務(wù)企業(yè)的市場(chǎng)準(zhǔn)入制度,加強(qiáng)對(duì)電子商務(wù)經(jīng)營(yíng)者的監(jiān)管,加大對(duì)侵權(quán)行為的懲罰力度,設(shè)立專門機(jī)構(gòu)對(duì)經(jīng)營(yíng)者進(jìn)行身份認(rèn)證和資產(chǎn)信譽(yù)評(píng)級(jí)。㈡消費(fèi)者個(gè)人信息和隱私權(quán)的法律保護(hù)問題及對(duì)策在電子商務(wù)中消費(fèi)者個(gè)人信息甚至隱私權(quán)易受損害。在現(xiàn)實(shí)的電子商務(wù)活動(dòng)中,經(jīng)營(yíng)者為了降低生產(chǎn)成本,往往未經(jīng)消費(fèi)者受權(quán)而非法獲取和使用消費(fèi)者的個(gè)人信息甚至隱私,極大程度地?fù)p害了消費(fèi)者的合法權(quán)益十分是隱私權(quán)。建議在有關(guān)法律法規(guī)中規(guī)定如下基本原則:〔1〕依法采集和使用個(gè)人信息?！?〕最低限度原則:經(jīng)營(yíng)者為某種合法的目的采集使用消費(fèi)者個(gè)人信息,應(yīng)在實(shí)現(xiàn)其目的的前提下,最低限度地采集和使用消費(fèi)者個(gè)人信息?！?〕向消費(fèi)者講明及告知原則:經(jīng)營(yíng)者在采集和使用消費(fèi)者個(gè)人信息前,應(yīng)就其采集和使用的目的向消費(fèi)者進(jìn)行講明,在采集和使用之后,應(yīng)告知消費(fèi)者有關(guān)情況?！?〕保證消費(fèi)者個(gè)人信息安全的原則。㈢電子商務(wù)中定型化契約的問題及對(duì)策目前在面向消費(fèi)者的電子商務(wù)中大量應(yīng)用定型化契約,即企業(yè)經(jīng)營(yíng)者為與不特定多數(shù)人訂立契約之用而單方預(yù)先擬定之契約條款,其特點(diǎn)是經(jīng)營(yíng)者擬訂好所有條款,消費(fèi)者只需按下接受或者拒絕鍵,就決定了該購(gòu)買合同能否成立。例如:一些經(jīng)營(yíng)者在網(wǎng)站上設(shè)置如下條款,“按下接受鍵〞表示你已同意下面條件,另外值得注意的是,一些電子商務(wù)站點(diǎn)在詳細(xì)交易流程固然沒有很多格式條款,但是服務(wù)條款通常出如今消費(fèi)者注冊(cè)為站點(diǎn)用戶的程序中,并且消費(fèi)者要成功注冊(cè),就只能按下“接受鍵〞,這些服務(wù)條款中一般包含有免除經(jīng)營(yíng)者責(zé)任或加重消費(fèi)者責(zé)任的條款,且多聲明有權(quán)隨時(shí)修改服務(wù)條款。為了保護(hù)消費(fèi)者的權(quán)益能夠在消費(fèi)者權(quán)益保護(hù)法中對(duì)此作一些補(bǔ)充,規(guī)定在電子商務(wù)中定型化契約條款如有疑義時(shí),應(yīng)作有利于消費(fèi)者的解釋;定型化契約中的條款如違背誠(chéng)信原則或者對(duì)消費(fèi)者顯失公平者,無(wú)效。㈣電子商務(wù)中糾紛的訴訟管轄問題及對(duì)策按照傳統(tǒng)民事訴訟管轄理論,合同糾紛由合同履行地或者被告住所地法院管轄。在電子商務(wù)活動(dòng)中,大部分合同履行是在線完成,進(jìn)而讓合同履行地管轄變得難以確定,只能根據(jù)被告住所地法院。電子商務(wù)的跨地域性會(huì)讓被告住所地法院來(lái)選擇管轄法院,對(duì)原告極為不利。因而有必要根據(jù)電子商務(wù)的特點(diǎn),公平地確定管轄法院。這一點(diǎn)能夠通過(guò)對(duì)民事訴訟法或者相關(guān)司法解釋來(lái)解決。總的原則應(yīng)該是充分發(fā)揮交易雙方的自治原則,使協(xié)議管轄成為電子合同糾紛管轄確定的最主要原則。二、電子商務(wù)安全中的技術(shù)問題及對(duì)策電子商務(wù)是建立在互聯(lián)網(wǎng)的平臺(tái)上的,要確保電子商務(wù)安全,安全技術(shù)是一個(gè)非常重要的層面。目前我國(guó)電子商務(wù)中的安全技術(shù)問題主要是數(shù)據(jù)加密和非法入侵,對(duì)此我們能夠采取如下措施:㈠推廣新的加密技術(shù),加強(qiáng)密碼技術(shù)的研究與開發(fā)加密技術(shù)是信息交換安全的基礎(chǔ),通過(guò)數(shù)據(jù)加密、消息摘要、數(shù)字簽名及密鑰交換等技術(shù)實(shí)現(xiàn)了數(shù)據(jù)機(jī)密性、一、安全問題是施行電子商務(wù)的關(guān)鍵傳統(tǒng)的交易是面對(duì)面的，比擬容易保證建立交易雙方的信任關(guān)系和交易經(jīng)過(guò)的安全性。而電子商務(wù)活動(dòng)中的交易行為是通過(guò)網(wǎng)絡(luò)進(jìn)行的，買賣雙方互不見面，因此缺乏傳統(tǒng)交易中的信任感和安全感。美國(guó)密執(zhí)安大學(xué)一個(gè)調(diào)查機(jī)構(gòu)通過(guò)對(duì)23000名因特網(wǎng)用戶的調(diào)查顯示，超過(guò)60％的人由于電子商務(wù)的安全問題而不愿進(jìn)行網(wǎng)上購(gòu)物。任何個(gè)人、企業(yè)或商業(yè)機(jī)構(gòu)以及銀行都不會(huì)通過(guò)一個(gè)不安全的網(wǎng)絡(luò)進(jìn)行商務(wù)交易，這樣會(huì)導(dǎo)致商業(yè)機(jī)密信息或個(gè)人隱私的泄露，進(jìn)而導(dǎo)致宏大的利益損失。根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)發(fā)布的“中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告〞，在電子商務(wù)方面，52．26％的用戶最關(guān)心的是交易的安全可靠性。由此可見，電子商務(wù)中的網(wǎng)絡(luò)安全和交易安全問題是實(shí)現(xiàn)電子商務(wù)的關(guān)鍵之所在。二、電子商務(wù)中的安全隱患和安全需求1、電子商務(wù)中的安全隱患有：(1)篡改。電子的交易信息在網(wǎng)絡(luò)上傳輸?shù)慕?jīng)過(guò)中，可能被別人非法的修改，刪除或重放(指只能使用一次的信息被屢次使用)，進(jìn)而使信息失去了真實(shí)性和完好性。(2)信息毀壞。包括網(wǎng)絡(luò)硬件和軟件的問題而導(dǎo)致信息傳遞的丟失與錯(cuò)誤；以及一些惡意程序的毀壞而導(dǎo)致電子商務(wù)信息遭到毀壞。(3)身份識(shí)別。假如不進(jìn)行身份識(shí)別．第三方就有可能假冒交易一方的身份，以毀壞交易．?dāng)谋患倜耙环降穆曌u(yù)或盜竊被假冒一方的交易成果等。而不進(jìn)行身份識(shí)別，交易的一方可不為本人的行為負(fù)責(zé)任，進(jìn)行否認(rèn)，互相欺詐。(4)信息泄密。主要包括兩個(gè)方面，即交易雙方進(jìn)行交易的內(nèi)容被第三方竊取或交易一方提供應(yīng)另一方使用的文件被第三方非法使用。2、電子商務(wù)的安全性需求：電子商務(wù)的安全性需求能夠分為兩個(gè)方面，一方面是對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全性的要求，表現(xiàn)為對(duì)系統(tǒng)硬件和軟件運(yùn)行安全性和可靠性的要求、系統(tǒng)抵御非法用戶入侵的要求等；另一方面是對(duì)電子商務(wù)信息安全的要求。(1)信息的保密性：指信息在存儲(chǔ)、傳輸及處理經(jīng)過(guò)中不被別人竊取。(2)信息的完好性：包括信息在存儲(chǔ)中不被篡改和毀壞，以及在傳輸經(jīng)過(guò)中收到的信息和原發(fā)送信息的一致性。(3)信息的不可否認(rèn)性：指信息的發(fā)送方不可否認(rèn)已經(jīng)發(fā)送的信息．接收方也不可否認(rèn)已經(jīng)收到的信息。(4)交易者身份的真實(shí)性：指交易雙方是確實(shí)存在的，不是假冒的。(5)系統(tǒng)的可靠性：指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的硬件和軟件工作的可靠性，能否會(huì)由于計(jì)算機(jī)故障或意外原因造成信息錯(cuò)誤、失效或丟失。三、電子商務(wù)的安全技術(shù)根據(jù)電子商務(wù)的這些安全性需求通常采用的安全技術(shù)主要有：密鑰加密技術(shù)、信息摘要技術(shù)、數(shù)字簽名、數(shù)字證書及CA認(rèn)證。1、密鑰加密技術(shù)：密碼加密技術(shù)有對(duì)稱密鑰加密技術(shù)和非對(duì)稱密鑰加密技術(shù)。(1)對(duì)稱密鑰加密技術(shù)：對(duì)稱密鑰加密技術(shù)使用DES(DataEn-cryptionStandard)算法，要求加密解密雙方擁有一樣的密鑰，密鑰的長(zhǎng)度一般為64位或56位。這種加密方法能夠解決信息的保密問題，但又帶來(lái)了一些新的問題：一是在初次通信前，雙方必須通過(guò)網(wǎng)絡(luò)以外的途徑傳遞統(tǒng)一的密鑰：二是當(dāng)通信對(duì)象增加時(shí)，需要相應(yīng)數(shù)量的密鑰，這就使密鑰管理和使用的難度增大；三是對(duì)稱加密是建立在共同保守機(jī)密的基礎(chǔ)之上的，在管理和分發(fā)密鑰經(jīng)過(guò)中，任何一方的泄露都會(huì)造成密鑰的失效，存在著潛在的危險(xiǎn)和復(fù)雜的管理難度。(2)非對(duì)稱密鑰加密技術(shù)：為了克制對(duì)稱密鑰加密技術(shù)存在的密鑰管理和分發(fā)上的問題，1976年Diffie和Hellman以及Merkle分別提出了公開密鑰密碼體制的思想：要求密鑰成對(duì)出現(xiàn)，一個(gè)為加密密鑰，另一個(gè)為解密密鑰，且不可能從其中一個(gè)推導(dǎo)出另一個(gè)。根據(jù)這種思想自1976年以來(lái)已經(jīng)提出了多種公鑰加密算法。公鑰加密算法也稱為非對(duì)稱密鑰算法，加密和解密的時(shí)候使用兩把密鑰，一把為公鑰，另一把為私鑰。私鑰只要本人知道，嚴(yán)密保管，公鑰和加密算法則能夠通過(guò)網(wǎng)絡(luò)等渠道發(fā)布出去。公鑰加密算法主要有：RSA、Fertezza、ElGama等。非對(duì)稱加密技術(shù)采用的是RSA算法，是由Rivest、Shanir和Adle-man三人發(fā)明的。算法如下：公鑰n=pq(p，q分別為兩個(gè)互異的大素?cái)?shù)，必需要保密，n的長(zhǎng)度大于512bit)，選一個(gè)數(shù)e與(p－1)(q－1)互質(zhì)，私鑰d=e－1(mod(p－1)(q－1))，加密：c=me(modn)(其中m為明文，c為密文)，解密：m=cd(modn)。通信時(shí)，發(fā)送方用接收者的公鑰對(duì)明文加密后發(fā)送，接收方用本人的私鑰進(jìn)行解密，這樣既解決了信息保密問題，又克制了對(duì)稱加密中密鑰管理與分發(fā)傳遞的問題。2、信息摘要技術(shù)：密鑰加密技術(shù)只能解決信息的保密性問題，對(duì)于信息的完好性則能夠用信息摘要技術(shù)來(lái)保證。信息摘要(Messagedigest)又稱Hash算法，是RonRivest發(fā)明的一種單向加密算法，指從原文中通過(guò)Hash算法而得到一個(gè)有固定長(zhǎng)度(128位)的散列值，不同的原文所產(chǎn)生的信息摘要必不一樣，一樣原文產(chǎn)生的信息摘要必定一樣，因而信息摘要類似于人類的“指紋〞，能夠通過(guò)“指紋〞去鑒別原文的真?zhèn)?。信息摘要的使用?jīng)過(guò)如下：1、對(duì)原文使用Hash算法得到信息摘要；2、將信息摘要與原文一起發(fā)送；3、接收方對(duì)接收到的原文應(yīng)用Hash算法產(chǎn)生一個(gè)摘要；4、用接收方產(chǎn)生的摘要與發(fā)送方發(fā)來(lái)的摘要進(jìn)行比照，若兩者一樣則表明原文在傳輸經(jīng)過(guò)中沒有被修改，否則就講明原文被修改正3、數(shù)字簽名：數(shù)字簽名(DigitalSignature)是密鑰加密和信息摘要相結(jié)合的技術(shù)，能夠保證信息的完好性和不可否認(rèn)性。數(shù)字簽名的經(jīng)過(guò)如下：1、發(fā)送方用本人的私鑰對(duì)信息摘要加密；2、發(fā)送方將加密后的信息摘要與原文一起發(fā)送；3、接收方用發(fā)送方的公鑰對(duì)收到的加密摘要進(jìn)行解密；4、接收方對(duì)收到的原文用Hash算法得到接收方的信息摘要；5、將解密后的摘要與接收方的信息摘要比照，一樣講明信息完好且發(fā)送方身份是真實(shí)的，否則講明信息被修改或不是該發(fā)送者發(fā)送由于私鑰是本人保管的別人無(wú)法仿冒，同時(shí)發(fā)送方也不能否認(rèn)用本人的私鑰加密發(fā)送的信息，所以數(shù)字簽名解決了信息的完好性和不可否認(rèn)性問題。數(shù)字簽名加密和密鑰加密技術(shù)不同，密鑰加密是發(fā)送方用接收方的公鑰加密，接收方在用本人的私鑰解密，是多對(duì)一的關(guān)系；而數(shù)字簽名中的加密是發(fā)送方用本人的私鑰對(duì)摘要進(jìn)行加密，接收方用發(fā)送方的公鑰對(duì)數(shù)字簽名解密，是一對(duì)多的關(guān)系，表明公司的任何一個(gè)貿(mào)易伙伴都能夠驗(yàn)證數(shù)字簽名的真?zhèn)涡浴?、數(shù)字證書與CA認(rèn)證：非對(duì)稱加密技術(shù)和數(shù)字簽名技術(shù)都用到了公鑰，當(dāng)交易的一方通過(guò)公開渠道得到了另一方的公鑰后，存在著這樣的問題：這個(gè)公鑰到底是不是真正屬于對(duì)方的，能否會(huì)有其別人假冒對(duì)方發(fā)布的公鑰。那么怎樣確定網(wǎng)上交易雙方真實(shí)身份確實(shí)認(rèn)，要用到由認(rèn)證中心CA頒發(fā)的數(shù)字證書。(1)數(shù)字證書：數(shù)字證書類似于現(xiàn)實(shí)生活中的身份證，它是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，用來(lái)在網(wǎng)絡(luò)應(yīng)用中識(shí)別通訊各方的身份。數(shù)字證書采用公鑰體制．即用一對(duì)相互匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶擁有一把僅為本人所把握的私鑰，用它進(jìn)行解密和數(shù)字簽名；同時(shí)擁有一把公鑰并能夠?qū)ν夤_，用于信息加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)進(jìn)行加密，而接收方則使用本人的私鑰解密，這樣信息就能夠安全無(wú)誤的到達(dá)目的地了。用戶能夠采用本人的私鑰對(duì)信息加以處理，由于私鑰僅為本人所有，所以能生成別人無(wú)法偽造的文件，也就構(gòu)成了數(shù)字簽名。同時(shí)，由于數(shù)字簽名與信息的內(nèi)容相關(guān)，因而經(jīng)過(guò)簽名的文件如有改動(dòng)，就會(huì)導(dǎo)致數(shù)字簽名的驗(yàn)證經(jīng)過(guò)失敗，這樣就能夠保證文件的完好性。(2)數(shù)字證書的內(nèi)容：主要包括下面內(nèi)容：1、證書擁有者的姓名；2、證書擁有者的公鑰；3、公鑰的有限期；4、頒發(fā)數(shù)字證書的單位；5、頒發(fā)數(shù)字證書單位的數(shù)字簽名；6、數(shù)字證書的序列號(hào)等。(3)認(rèn)證中心