王铁柱 赵向林

（河北医科大学，河北 石家庄 050091）

我国电子商务安全性分析与研究

王铁柱 赵向林

（河北医科大学，河北 石家庄 050091）

电子商务作为一种全新的商务模式得到了很大的发展，但随之而来的安全问题也越来越突出，安全问题己成为电子商务的核心问题。本文分析了电子商务中存在的安全问题，并阐述解决电子商务安全隐患的主要安全技术及相关法律法规。

电子商务；安全问题；法律法规

电子商务作为一种全新的商业应用形式，改变了传统商务的运作模式，极大地提高了商务效率，降低了交易的成本，随着信息技术和计算机网络的迅猛发展，基于Internet 的电子商务也随之而生，并在近年来获得了巨大的发展。根据艾瑞咨询发布的2010年第一季度中国电子商务市场数据显示，2010年第一季度中国电子商务市场整体交易额规模达到了10152.7亿元，单季交易额突破万亿规模。由于Internet的迅速流行，电子商务引起了广泛的注意，被公认为是未来IT业最有潜力的新的增长点。然而，在开放的网络上处理交易，如何保证传输数据的安全成为电子商务能否普及的最重要的因素之一。调查公司曾对电子商务的应用前景进行过在线调查，当问到为什么不愿意在线购物时，绝大多数的问题是担心遭到黑客的侵袭而导致信用卡信息丢失。因此，有一部分人或企业因担心安全问题而不愿使用电子商务，安全成为电子商务发展中最大的障碍。

一、我国电子商务面临的主要安全问题

（一）信息的截获和窃取

这是指电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获取商业机密。

（二）信息破坏

一是指网络传输的可靠性，网络的硬件或软件可能会出现问题而导致交易信息丢失与谬误；二是指恶意破坏，计算机网络本身遭到一些恶意程序的破坏，例如病毒破坏、黑客入侵等。

（三）拒绝服务

拒绝服务是指在一定时间内，网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的人为破坏。

（四）系统资源失窃问题

在网络系统环境中，系统资源失窃是常见的安全威胁。

（五）信息的假冒

信息的假冒是指当攻击者掌握了网络信息数据规律或解密了商务信息后，可以假冒合法用户或假冒信息来欺骗其他用户。主要表现形式有假冒客户进行非法交易，伪造电子邮件等。

（六）交易的抵赖

交易抵赖包括发信者事后否认曾经发送过某条信息；买家做了定单后不承认；卖家卖出的商品因价格差而不承认原先的交易等。

以上是我国电子商务在发展过程中经常遇到的安全问题，为了使我国的电子商务能够得到持续健康的发展，需要对以上安全问题从技术和法律上加以控制。

二、电子商务的安全技术

（一）加密技术

加密技术是保证电子商务安全的重要手段，为保证电子商务安全使用加密技术对敏感的信息进行加密，保证电子商务的保密性，完整性，真实性和非否认服务.

电子商务领域常用的加密技术有如下几种：

数字摘要：又称安全Hash编码法.该编码法采用单向Hash 函数将需加密的明文“摘要”成一串128bit的密文，这一串密文亦称为数字指纹，具有固定的长度，并且不同的明文摘要其密文结果是不一样的，而同样的明文其摘要保持一致。

数字签名：数字签名是将数字摘要、公用密钥算法两种加密方法结合使用。它的主要方式是报文的发送方从报文文本中生成一个128位的散列值 (或报文摘要)。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名，然后这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值 (或报文摘要)，接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同，那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性，有效地防止了签名的否认和非正当签名者的假冒。

数字时间戳：是对交易文件的时间信息所采取的安全措施.该网上安全服务项目，由专门的机构提供。时间戳是一个经加密后形成的凭证文档，它包括：需加时间戳的文件的摘要，数字时间戳服务收到文件的日期和时间，数字时间戳服务的数字签名。

数字证书：数字证书又称为数字凭证，是用电子手段来证实一个用户的身份和对网络资源的访问权限，主要有个人凭证，企业 (服务器)凭证，软件 (开发者)凭证三种。

（二）身份认证技术

在网络上通过一个具有权威性和公正性的第三方机构——认证中心，将申请用户的标识信息(如姓名，身份证号等)与他的公钥捆绑在一起，用于在网络上验证确定其用户身份。前面所提到的数字时间戳服务和数字证书的发放，也都是由这个认证中心来完成的。

（三）支付网关技术

支付网关，通常位于公网和传统的银行网络之间 (或者终端和收费系统之间)，其主要功能为：将公网传来的数据包解密，并按照银行系统内部的通信协议将数据重新打包；接收银行系统内部传回来的响应消息，将数据转换为公网传送的数据格式，并对其进行加密。支付网关技术主要完成通信，协议转换和数据加解密功能，并且可以保护银行内部网络。此外，支付网关还具有密钥保护和证书管理等其他功能 (有些内部使用网关还支持存储和打印数据等扩展功能)。

三、电子商务的法律规范

电子商务交易安全的法律保障问题，涉及到两个基本方面。第一，电子商务交易首先是一种商品交易，其安全问题应当通过民商法加以保护；第二，电子商务交易是通过计算机及其网络而实现的，其安全与否来于计算机及其网络自身的安全程度。我国目前还没有出台专门针对电子商务交易的法律法规，我们应当充分利用已经公布的有关交易安全和计算机安全的法律法规，保护电子商务交易的正常进行，并在不断的探索中，逐步建立适合中国国情的电子商务的法律制度。

电子商务方面法律法规在制定过程中需要着重解决好以下几方面的问题：

（一）电子支付的定义和特征

电子支付是通过网络而实施的一种支付行为，与传统的支付方式类似，它也要引起涉及资金转移方面的法律关系的发生、变更和消灭。美国提出的电子支付的法律定义是否适合我国的情况，需要做那些修改，其行为特征也应加以研究。

（二）电子支付权利

电子支付的当事人包括付款人、收款人和银行，有时还存在中介机构。各当事人在支付活动中的地位问题必须明确，进而确定各当事人的权利的取得和消灭。涉及这方面的问题相当复杂。

（三）涉及电子支付的伪造、变造、更改与涂销问题

在电子支付活动中，由于网络黑客的猖獗破坏，支付数据的伪造、变造、更改与涂销问题越来越突出，对社会的影响越来越大。我国1997年10月1日实施了新的《中华人民共和国刑法》，其中的第一百九十六条是专门针对信用卡犯罪的，包括使用伪造的信用卡，使用作废的信用卡，冒用他人的信用卡，恶意透支等。智能卡与信用卡类似，犯罪的界定尚可参照信用卡的有关条款，但电子现金、电子钱包、电子支票的问题却完全是一类新问题，法律责任的认定和追究需要全新的法律条文。

（四）刑事侦察技术的发展问题

由于计算机技术的飞速发展，新的电子支付方式层出不穷。每一种方式都有自己的技术特点，都会产生新的法律纠纷，这些纠纷出现以后，调查、认定是一个非常复杂的刑事侦察技术问题。在信息化时代，传统的实物证据逐渐被虚拟证据所代替，目前法学教育中的物证技术课程仍然停留在刑事照相、文书检验、痕迹取证等传统的侦察技术上，已经远远不能适应新的技术发展的要求。

四、结语

安全是电子商务的核心和灵魂，只有从技术和法律上双管齐下，对影响电子商务安全的各种安全问题妥善解决，才能使我国的电子商务健康持续的发展，为国民经济的发展贡献力量。

[1]（美） Steve Burnett，Stephen Paine．密码工程[M].清华大学出版社，2010.

[2]Christopher Steel，Ramesh Nagappan，Ray Lai著.安全模式 (CoreSecurity Patterns)[M].北京：机械工业出版社，2006.

[3]戴小波.基于SET协议的安全电子商务研究 [J]．微计算机信息，2009，(21).

D631.4

A

1672-6405（2010）03-0026-02

王铁柱，赵向林，男，河北医科大学西校区计算机教研室教师。

2010-08-15

张钦]