随着电子商务在全球范围内的迅猛发展,电子商务中的网络安全问题日渐突出。根据中国互联网络信息中心发布的《第31次中国互联网络发展状况统计报告》,截至2012年12月,我国网络购物用户规模达到2.42亿人,网络购物使用率提升至42.9%。与2011年相比,网购用户增长4807万人,增长率为24.8%。在电子商务方面,52.26%的用户最关心的是交易的安全可靠性。由此可见,电子商务中的网络安全和交易安全问题是实现电子商务持续发展的关键之所在。
网络安全的要点是保证网络上存储和传输的信息的安全性,但由于互联网在设计之初,只考虑方便性、开放性,使得互联网在安全性方面显得非常脆弱。不单是黑客的攻击或有组织的群体的入侵会带来威胁,系统内部人员的不规范使用和恶意破坏,也会使得网络信息系统遭到破坏,导致信息泄露。
总体来说,电子商务中的安全隐患可分为如下几类:
(1)信息的截获和窃取
如果没有采用加密措施或加密强度不够,攻击者可能通过互联网、公共电话网、搭线、电磁波辐射范围内安装截收装置或在数据包通过的网关和路由器上截获数据等方式,获取机密信息,或通过对信息流量和流向、通信频度和长度等参数的分析,推出有用信息,如消费者的银行账号、密码以及企业的商业机密等。
(2)信息的篡改
当攻击者熟悉了网络信息格式以后,通过各种技术方法和手段对网络传输的信息进行中途修改,并发往目的地,从而破坏信息的完整性。这种破坏手段主要有三个方面:篡改、删除和插入。通过篡改信息流的次序能够更改信息的内容,通过删除某个消息或消息的某些部分或者在消息中插入一些信息,能够让信息接收方无法解读或接收错误的信息。
(3)信息假冒
当攻击者掌握了网络信息数据规律或解密了商务信息以后,可以假冒合法用户或发送假冒信息来欺骗其他用户,主要有两种方式。一是伪造电子邮件,虚开网站和商店,给用户发电子邮件,收订货单;伪造大量用户,发电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应;伪造用户,发大量的电子邮件,窃取商家的商品信息和用户信用等信息。另外一种为假冒他人身份,如冒充领导发布命令、调阅密件;冒充他人消费、栽赃;冒充主机欺骗合法主机及合法用户;冒充网络控制程序,套取或修改使用权限、通行字、密钥等信息;接管合法用户,欺骗系统,占用合法用户的资源等。
(4)交易抵赖
交易抵赖包括多个方面,如发信者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条信息或内容;购买者做了订货单不承认;商家卖出的商品因价格差而不承认原有的交易等。
针对电子商务面临的安全威胁,在用户使用层面,业界普遍认为增强电子商务的安全性主要体现在以下几个方面:
(1)信息的保密性
由于电子商务是建立在一个较为开放的网络环境上的(尤其Internet是更为开放的网络),维护商业机密是电子商务全面推广应用的重要保障。通过保密机制,能够保证信息不会泄露给非授权的主体,只有授权用户才能访问系统中的信息,并限制其他人对计算机信息的访问。保密性一般通过密码技术来对传输的信息进行加密处理来实现,包括网络传输中的保密和信息存储保密等方面,预防信息在传输和存取过程中被非法窃取。
(2)数据完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。要保证交易信息与交易系统真实、准确、数据的一致性,预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一,包括身份真实、数据完整和系统完整等方面。完整性一般可通过提取信息摘要的方式来获得。
(3)身份可识别性
又称为认证性。由于网络电子商务交易系统的特殊性,企业或个人的交易通常都是在虚拟的网络环境中进行,所以对个人或企业实体进行身份确认成了电子商务中很重要的一环。对人或实体的身份进行鉴别,为身份的真实性提供保证,即交易双方能够在相互不见面的情况下确认对方的身份。通过鉴别通信主体身份的真实性,保证交易双方的身份可以识别和确认,使未授权的用户不能进行交易,并且不会拒绝合法主体对系统资源的正当使用。认证性一般都是通过证书机构CA和电子签名证书来实现。
(4)不可抵赖性
电子商务可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证电子商务顺利进行的关键。在无纸化的电子商务模式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。不可抵赖性一般通过对发送的信息进行数字签名来获取。
(5)有效性
电子商务以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
以当前电子商务安全的发展现状来看,由技术系统导致的风险相对较少,更多的问题主要集中在相对缺乏防御技术保障的用户端层面。如被钓鱼网站欺骗,受木马程序窃取密码、虚假银行网站套取用户的信息等,破坏了信息的保密性、数据的完整性和身份的可识别性,从而产生相应的安全问题。
调查显示,与日本等某些国家网民对网购安全性的担忧较为强烈不同,中国网民对网购安全性的担忧相对较少,只有2%和7.7%的中国网民表示在自己网购时对信用卡或银行卡的安全性很担心和极其担心;有46.5%的用户表示有一点担心,有43.4%的中国网民表示一点也不担心,这一水平与美国、波兰、瑞典等互联网发达国家较为相似。针对网上交易的不安全因素,用户认为首先要提升的是技术防护手段(45.3%的选择比例),此外,相关政策法规(40%)、安全保障机制(38.3%)和用户安全意识(36.3%)都是较多用户认为最需要提升的方面。用户对企业安全产品相对较为满意,只有18.6%的用户认为企业安全产品是最需要改善的因素。
在不提示的情况下,一般用户表示了解最多的保障电子商务安全的方式是电脑杀毒和防火墙(30.8%);知道使用动态密码、动态口令卡的有30.6%;知道设置强安全密码的有29.9%。
有60.9%的电子商务用户认为电脑网购比手机网购更安全,8.7%的用户认为手机网购更安全。15.7%的用户认为电脑和手机网购都很安全。一半以上的网上用户(58.6%)觉得电脑网购之所以更安全是由于自己更熟悉电脑网购流程,熟悉度是增进安全感的重要因素。还有40.5%的用户是因为电脑的杀毒、防护技术更完备;34.4%的用户认为手机容易丢失、安全隐患多。还有17.6%的用户是觉得电脑网购有较多安全产品保障。
整体来看,不同网龄的用户对网上交易的安全性评价都较高,占到90%以上。深入分析发现,使用互联网的年限越长,对网上交易给予安全性评价的用户就越多。网龄1年及以下的网民中有6.8%的用户认为网购不安全,网龄在1~2年的网民中这一比例降为5.4%,在网龄5年以上的用户中对网上交易评价为不安全的只有3.6%。
2011年,在我国监管部门的指导下,由支付宝发起,联合第三方支付公司、银行、安全厂商、浏览器厂商及商户伙伴成立电子商务“安全支付联盟”,联盟包括了电子商务产业链上的所有环节,涵盖传统及无线应用场景。2012年5月,支付宝与国内领先的9家第三方支付公司联合发起组建了第三方支付安全合作联盟。通过共享行业信息,共同抵御行业风险,合作探索更多层面、更丰富手段的联防机制,建立更加健康有序的行业安全经营环境。
