电子商务的交易安全隐患有哪些

[安全生产隐患有哪些]针对不同行业，存在的安全隐患也是不同的。以下是一些生产企业需要排查隐患的内容。排查内容安全生产责任制安全操作规程目标管理施工组织设计安全技术交底安全检查安...+阅读

电子商务的交易安全隐患有哪些

电子商务的交易安全隐患主要两方面：

一、交易信息的窃取与篡改，即网络交易中用明文传输的数据被非法入侵者截获并破译之后，进行非法篡改、删除或插入，使信息的完整性遭受破坏。

二、信息的假冒，即网络非法攻击者通过假冒合法用户或者模拟虚假信息来实施诈骗行为。防范及改进措施：加强数据的保密性、完整性、不可否认性的措施建设。电子商务信息的保密性，指的是信息不泄露给非授权用户、实体或过程，或供其利用的特性。电子商务信息的完整性，指的是数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。电子商务信息的不可否认性，指的是避免发生交易中的某一方在进行某种交易行为之后，否认自己曾经进行过该商务行为；或者某一方否认自己曾经接收到对方发出的交易信息。主要安全技术：1.加密技术是电子商务的最基本的安全技术。在目前技术条件下，加密技术通常分为对称加密和非对称加密两类。

（1）对称密钥加密：采用相同的加密算法，并且加密和解密都使用相同的密钥。如果进行通信的交易各方能够确保专用密钥在密钥交换阶段未曾发生泄露，则可以通过对称加密方法加密机密信息，并随报文发送报文摘要和报文散列值，来保证报文的机密性和完整性。密钥安全交换是关系到对称加密有效性的最核心环节。目前常用的对称加密算法有DES、PCR、IDEA、3DES等。其中DES使用最常用，被国际标准化组织采用作为数据加密的标准。

（2）非对称密钥加密：非对称加密不同于对称加密，其密钥对被分为公开密钥和私有密钥。密钥对生成后，公开密钥对外公开，而私有密钥则保存在密钥发布方手里。任何得到公开密钥的用户都可以使用该密钥加密信息发送给该公开密钥的发布者，而发布者在得到加密信息后，使用与公开密钥相应对的私有密钥进行解密。目前，常用的非对称加密算法有RSA算法。该算法已被国际标准化组织的数据加密技术分委员会推荐为非对称密钥数据加密标准。在对称和非对称两类加密方法中，对称加密的优点是加密速度快（通常比非对称加密快10倍以上）、效率高，被广泛用于大量数据的加密。但该方法的致命缺点是密钥的传输与交换也面临着安全问题，密钥易被截取，而且，若和大量用户进行通信，难以安全管理大量的密钥对，因此对称加密大范围应用存在一定问题。而非对称密钥则相反，其优点是解决了对称加密中密钥数量过多难管理和费用高的不足，也不必担心传输中私有密钥的泄露，保密性能优于对称加密技术。但非对称的缺点是加密算法复杂，加密速度不很理想。目前.电子商务实际运用中常常是两者结合使用。2.身份认证技术。目前电子商务交易中仅有加密技术不足以保证交易安全，身份认证技术是保证电子商务安全的另一重要技术手段。身份认证的实现包括数字签名技术、数字证书技术等。

（1）数字签名技术对信息加密只解决了信息传输过程中的保密问题，而防止他人对传输的信息进行篡改或破坏，保证信息的完整性，以及保证信息发送者对发送信息的不可抵赖性，需要采用其它的手段，这一手段就是数字签名。数字签名技术即进行身份认证的技术。在数字化文档上的数字签名类似于纸张上的手写签名，是不可伪造的。接收者能够验证文档确实来自签名者，并且签名后文档没有被修改过，从而保证信息的真实性和完整性。目前的数字签名是建立在公共密钥体制基础上，它是公用密钥加密技术的另一类应用。数字签名与书面文件签名有相同之处，采用数字签名，也能确认以下两点：信息是由签名者发送的；信息自签发后到收到为止未作过任何修改。目前数字签名方法主要有三种，即：RSA签名、DSS签名和Hash签名。这三种算法可单独使用，也可综合在一起使用。

（2）数字证书技术在公共密钥体制中，私钥只有信息发送者知道，而与之匹配的公钥是公开的，它能保证传输信息的保密性，但没有解决公钥的分发方式。数字签名保证了信息是由签名者发送的以及信息自签发后到收到为止未曾作过任何修改，但不能保证签名者身份的真实性。因此需要有一种措施来管理公钥分发，保证公钥以及与公钥有关的实体身份信息的真实性。这一措施就是数字证书。数字证书是一般由具有权威性、可信任性的第三方机构即认证机构CA所颁发。数字证书是公共密钥体制中的密钥管理媒介，并将公钥和实体身份信息绑定在一起，并包含认证机构的数字签名。数字证书在电子商务中用于公钥的分发、传递，证明电子商务实体身份与公钥相匹配。

电子商务中的法律风险与防范

电子商务企业内生风险防范体系所谓电子商务企业内生风险防范体系，是指电子商务企业内部建立的风险防范机构、机制、对策、方法、措施等的综合。提高风险防范意识对IT从业人员进行电子商务运作和安全管理的系统而全面的教育，并培养其相关的风险防范意识，给予其更多的培训及资格认证，从而使其对企业应用电子商务有一个全面和客观的认识。加强内部管理机制 “三分技术、七分管理”的理念不能只停留在理论阶段，更重要的是企业应该将其转化为具体的操作。内部管理机制设计的基本原则是：要求发生在系统内的所有行为都是有定义的行为，并且符合程序控制的要求，所有行为的发生都有审计记录，管理的有效性，可以解决许多技术层次解决不了的风险问题。

实施风险防范等级管理此点可借鉴我国实施的“信息安全等级保护政策”，对企业来讲，风险可以分为重要风险和一般风险，企业应该坚持安全成本与风险相平衡的原则，根据企业的实际需要，抓住重点，力求具体、明确、到位，讲究实效。建立主动性安全基础构架赛门铁克公司亚太地区副总裁Vince Steckler在2004年3月5日的亚太安全论坛上作了“在企业范围内建立主动性安全基础构架”的演讲，主要针对企业提供各种前瞻性措施，通过在企业范围内实施完善的安全措施，有效识别和管理漏洞，将安全策略与商业战略结合起来，筑起一道抵御不断升级的风险威胁的重要防线。外生风险防范体系是指对电子商务企业风险起防范作用的相关法律法规、信用、物流和电子支付等社会体系的总和。

电子商务安全的法制建设在参考国际《电子商务示范法》的前提下，根据我国的国情，制定一部用以规范电子商务活动的法律或法规，以解决电子商务发展所面临的法律法规问题。我国电子商务立法的运用范围，应包括电子合同的效力问题、电子支付及金融管理、税收与保险、网络管理与信息安全保护、电子证据与电子签名的法律认定、政府的强制性措施及审查机制、市场准入规则、知识产权保护、消费者合法权益的保护、司法的国际管辖和国际协助等等。建立电子商务的信用体系环境电子商务交易涉及厂家、商家、网站、银行、消费者等多方面利益的信用问题，难以孤立地解决，必须建立一个社会信用体系环境。全社会首先要建立一种自己守信用、人人守信用、也相信别人守信用的心态。

其次要健全完善信用制度，通过设置合理的运行机制和运行标准，并通过监督机构，保证参与交易各方按期、按质、按量支付货款和交送货物。加快物流配送体系的建设一是要逐步开放市场，欢迎国内外的物流公司参与竞争，通过竞争，使我国的物流配送体系日趋完善。二是要重视物流人才培养，除了学校的人才培养外，还要加快物流师职业资格认证的步伐。三是要在物流管理技术化、信息化、柔性化和一体化等方面加强物流管理的创新。完善电子商务的支付手段电子商务交易需要信息流、物流和资金流的同时畅通，因此必须完善电子支付系统，提高银行电子支付水平，建立一个安全、严密、可靠的社会范围的电子货币支付系统，并成立电子商务认证机构，尽快成立统一网上结算中心，并逐步开展与国外客户的网上结算服务。

电子商务企业内外协同防范体系电子商务企业协同防范体系是指需要电子商务企业和外部共同来完成的技术研究、人才培养、协调机制建设和联盟建立等方面的总和。加强电子商务安全技术的研究有关部门（可以是政府、科研单位、院校和企业联合）应组织一支精干的安全技术研究队伍，集中力量尽快解决电子商务的安全技术问题，包括加密技术、防火墙技术、数字签名技术、报文摘要技术、认证技术、留痕技术等，并能够随着计算机和电子商务技术的发展而不断改进这些技术。应该建立电子商务安全体系结构和具有权威性和公正性的CA认证机构。此外，还应着手建立相应的国家级的安全控制中心系统，这一系统应包括国际出入口（信息海关）监控、电子交易证书授权、密钥管理、安全产品评测认证、病毒检测和防治、系统攻击与反攻击等分中心。

大力培养电子商务人才，推广与普及电子商务知识必须加强对电子商务人才的培养、大力推广与普及有关电子商务的知识，一方面要进一步加强各高校电子商务专业建设，另一方面要进一步推进电子商务师职业资格认证培训，实施持证上岗制度。建立协调机制这要求企业和各级信息安全保障中心和信息安全行业协会密切配合，互通风险预警信息，从而共同维护电子商务交易的安全性。同时要加强科研单位、院校对风险管理理论的研究和安全企业实践应用的协调，要把理论和实践真正的联系起来，达到理论与实践的真正结合。风险战略联盟建设战略联盟不单是在获取利益、实现市场机会方面发挥着重要作用，在分担风险、防范风险方面同样也起着重要作用。2004年2月25日在旧金山举行的RSA峰会发布的公告，美国数家从事电脑安全的公司倡仪组成一个联盟组织用以保护企业及基础网络设施，共同防范信息风险。

该组织被称为信息安全行业联盟（CSIA—Cyber Security Industry Alliance），将...

急求。。电子商务的管理风险有哪些

对于电子商务活动的参与人，经常会遇到以下种种风险问题：

（1）因电子商务交易的不确定性而引起的损失。黑客入侵，商业毁誉，通讯线路瘫痪，电子系统失灵，电子商务中的交易惯例的不合理，以及工作人员的失误，都可能引起电子商务的中断，并给交易人带来不必要的损失。

（2）因欺诈而产生的直接经济损失。外部入侵及内部管理不严，都有可能引起资金的错误划拨，以及金融交易记录的丢失；

（3）因网络服务中断而导致的商业机会的丧失。对于某些必须以电子数据通讯或交换为基础的交易，如果系统被遭受攻击或堵塞，而使交易停顿，则给交易人带来的损失可能是灾难性的；

（4）保密信息的外泻。许多信息，对于某些机关或企业而言，是至关重要的，一旦泄露出去，对该机关或企业可能会造成致命的打击。

（5）因非法使用而遭受的损失。攻击者可能非法使用交易人的网上资源，而使之遭受损失。在实践中常见的是，黑客通过某一交易人的计算机系统作为工作平台，转而攻击第三人的系统或网络，而让该交易人代为承担责任。

（6）因系统被攻击而产生的损失。尽管各国都加强对消费者的保护，但是，电子储蓄或理财系统更易成为被攻击的对象，银行系统的紊乱，对于用户来说，无疑是使其最感不安的事情。...