第3章电子交易安全
在介绍了信息安全的基础知识和技术后,本章重点介绍与电子交易相关的安全技术。本章将从电子交易过程的安全性、交易信息安全以及电子交易的信任机制三个方面进行阐述,见图31。
图31本章主要内容结构
3.1交易过程的安全性
电子商务的核心是网上交易,尤其是通过公共的因特网将众多的社会经济成员联系起来的网上交易更是成为发展的热点。根据中国互联网络信息中心(CNNIC)发布的《2013年中国网络购物市场研究报告》显示,2013年网络购物市场继续快速向前发展,交易金额达到1.85万亿元,较2012年增长40.9%。截至2013年12月,我国网络购物用户规模达到3.02亿人,较上年增加5987万人,增长率为24.7%,使用率从42.9%提升至48.9%。在当前电子商务快速发展的过程中,电子交易的安全问题还没有得到很好的解决,电子商务交易面临一系列安全隐患。
3.1.1交易过程分析
与传统交易活动一样,电子商务交易也可分为三个阶段:交易前、交易中、交易后,只不过电子商务交易主要借助于互联网这个媒介,而不再是传统交易的面对面的方式。
1.交易前:买方与卖方的准备
这一阶段主要是指买卖双方和参加交易各方在签约前的准备活动。
买方根据自己要买的商品,准备购货款,制订购货计划,进行货源市场调查和市场分析,反复进行市场查询,了解各个卖方所属地的贸易政策,修改和完善购货计划和进货计划。非个人的买方,可能还需要确定和审批购货计划,再按计划确定购买商品的种类、数量、规格、价格、购货地点和交易方式等,尤其要利用Internet和各种电子商务网络寻找自己满意的商品和商家。
卖方根据自己所销售的商品,召开商品新闻发布会,制作广告进行宣传,全面进行市场调查和市场分析,制订各种销售策略和销售方式,了解潜在买方所属国的贸易政策,利用Internet和各种电子商务网络发布商品广告,寻找贸易伙伴和交易机会,扩大贸易范围和商品所占市场的份额。其他参加交易各方包括中介方、银行金融机构、信用卡公司、海关系统、商检系统、保险公司、税务系统、运输公司也都为进行电子商务交易做好准备。
2.交易中:交易谈判、签订合同与办理手续
这一阶段分为两个部分。交易谈判、签订合同主要是指买卖双方对所有交易细节进行谈判,将双方磋商的结果以文件的形式确定下来,即以书面文件形式和电子文件形式签订贸易合同。电子商务的特点是可以签订电子商务贸易合同,交易双方可以利用现代电子通信设备和通信方法,经过认真谈判和磋商后,将双方在交易中的权利,所承担的义务,对所购买商品的种类、数量、价格、交货地点、交货期、交易方式和运输方式、违约和索赔等合同条款,全部以电子交易合同做出全面详细的规定,合同双方可以利用电子数据交换(EDI)进行签约,可以通过数字签名等方式签名。
办理手续主要是指买卖双方签订合同后到合同开始履行之前办理各种手续的过程,也是双方贸易前的交易准备过程。交易中要涉及有关各方,即可能要涉及中介方、银行金融机构、信用卡公司、海关系统、商检系统、保险公司、税务系统、运输公司等,买卖双方要利用EDI与有关各方进行各种电子票据和电子单证的交换,直到办理完可以将所购商品从卖方按合同规定开始向买方发货的一切手续为止。
3.交易后:交易合同的履行和索赔
这一阶段是从买卖双方办完所有手续之后开始,卖方要备货、组货,同时进行报关、保险、取证、信用等,卖方将所购商品交付给运输公司包装、起运、发货,买卖双方可以通过电子商务服务器跟踪发出的货物,银行和金融机构也按照合同处理双方收付款、进行结算、出具相应的银行单据等,直到买方收到自己所购商品,完成了整个交易过程。索赔是在买卖双方交易过程中出现违约时,需要进行违约处理的工作,受损方要向违约方索赔。
图32所示为电子商务交易过程。
图32电子商务交易过程
3.1.2电子交易安全问题
电子交易的安全现状不容乐观。首先是依靠网络的电子交易必须面临着现在各种各样的网络安全问题,而且直接涉及经济信息的电子交易是不法分子攻击的重灾区,所以一旦电子交易的安全出现问题,便会导致直接的经济利益损失。从官方发布文件《2012年中国互联网违法犯罪问题年度报告》来看,形势是触目惊心的。2011年7月至2012年7月,中国估计有超过2.57亿人成为网络犯罪受害者,直接经济损失达人民币2890亿元。同一时期,被网络犯罪侵害的在线成人达72%(即每天有超过70万名中国网民遭受网络犯罪的侵害,每分钟有489名受害者),平均每位网络犯罪受害者蒙受的直接经济损失达到人民币1126元。其中电子交易占很大一部分,而且这种情况并未得到改善。由360互联网安全中心基于大数据统计分析而发布的《2014年上半年中国网购安全报告》显示,2014年上半年360网购先赔服务共接到网络欺诈报案约1.3万例,占开启网购先赔服务用户的比例接近万分之一。这意味着,每一万名网购消费者中,就有一个人实际遭遇网购损失。网络欺诈手法花样百出,层出不穷,让人防不胜防。案例一:资深股民高先生在浏览股市信息时,无意中发现了一个名为“国金证券”的网站,该网站每天推荐三只包涨停的股票。为了提前看到推荐的股票,高先生按网站的要求,汇去了9888元“入会费”,正式成为该网站的会员。后来该网站又以要求“验证”客户资金为由,要求高先生汇入更多的资金到对方指定的账户。可是接下来几天过去,网站并没有归还其资金,高先生想再联系该网站的时候,却发现电话打不通,网站也已经注销。案例二:最近有一个网友上淘宝购物,于是卖家通过即时通信软件,给网友发了一个RAR的压缩包。解压后是个类似“图片”的文件,可是当网友运行以后提示错误,于是卖家声称“发成店铺装修工具了”。首先网友下了一笔39000元的订单,接着又下了第二个7800元的订单,可是网银支付成功后返回淘宝确认的页面居然出现错误。后来网友发现自己的钱已经被银行扣除,才知道自己已经被骗了四万多块钱。这些案例可以说是电子交易中的典型案例。而2012年还发生了一件举世瞩目的“浮云”木马网银盗窃案,江苏省徐州警方破获将木马程序植入受害人计算机、窃取网银资金案,警方抓获一犯罪团伙嫌疑人50余名,涉案金额1000余万元,木马可以轻易攻破20多家银行的网银系统,让人不寒而栗。
1.交易信息安全
电子交易安全指电子商务交易在网络媒介中体现出来的安全问题,也就是要实现电子商务交易信息的保密性、完整性、真实性和不可抵赖性。
信息安全是指由于各种原因引起的信息泄露、信息丢失、信息篡改、信息虚假、信息滞后、信息不完善等,以及由此带来的风险。具体的表现有:个人私密信息被盗取;窃取商业机密;泄漏商业机密;篡改交易信息,破坏信息的真实性和完整性;接收或发送虚假信息,破坏交易、盗取交易成果;伪造交易信息;非法删除交易信息;交易信息丢失;病毒破坏;黑客入侵等。如果信息被非法窃取或泄露,可能给有关企业和个人带来严重的后果和巨大的经济损失。如果不能及时得到准确、完备的信息,企业和个人就无法对交易进行正确的分析和判断,无法做出符合理性的决策。非法删除交易信息和交易信息丢失可能导致经济纠纷,给交易的一方或多方造成经济损失。最常见的信息风险是信息的非法窃取和泄露,它往往引起连锁反应,形成后续风险,这也是目前企业和个人最担心的问题。信息风险的典型表现是网络欺诈,它不仅使厂商和消费者在经济上蒙受重大损失,更重要的是可能会打击人们对电子商务这种新的经济形式的信心。
在早期的电子交易中,曾采用过一些简单的安全措施。例如将网上交易中最关键的数据如信用卡号码及成交数额等用电话告知,以防泄密,网上交易后再用其他方式对交易做确认,以保证其真实性和不可抵赖性。这些方法不仅操作不便,而且有一定的局限性,也不能实现其真正的安全性。电子商务安全中普遍存在以下几种信息安全隐患。
1)窃取信息
由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,导致消费者消费信息、账号密码和企业商业机密等信息的外泄。
2)篡改信息
当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地,从而破坏信息的真实性,入侵者通过改变信息流的次序,更改信息的内容,删除信息的某些部分,甚至在信息中插入一些附加内容,使接收方做出错误的判断与决策。这种方法并不新鲜,在路由器或网关上都可以做此类工作。
3)信息假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。常见的方式有伪造用户和商户的收订货单据,套取或修改相关程序的使用权限等。
4)恶意破坏
由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
2.交易财产安全
财产安全是指在进行电子商务交易时由于各种原因造成电子商务参与者面临的财产或利益安全。财产安全一直都是广大网民最关心的也是最担心的问题,因为财产安全直接涉及网民最根本的利益。财产安全往往是电子商务安全问题的最终表现形式,也是信息安全问题和交易安全问题结果的表现。财产安全问题主要表现为财产损失和其他经济损失。前者如:客户的银行资金被盗取;交易者被冒名,其财产被窃取。后者如:信息的泄露、丢失,使企业的信誉受损,经济遭受损失;遭受网络攻击或故障,企业电子商务系统效率下降甚至瘫痪等。如果财产安全得不到保证的话,相信电子商务也很难取得进一步的发展。
3.信任问题
1)主要表现
(1)网络欺诈时有发生
网络欺诈是网民在网络购物时最常见的问题。电子商务经营者实施的网络欺诈行为主要是利用网络交易的虚拟性、间接性特征,发布虚假的或者不完整的商品信息诱导网上购物者,诈骗网上购物者的购物款。
(2)虚假信息充斥网络
在网络这一新兴媒体中,发布信息不再像传统媒体那样会受到那么多的制约,而且由于网络的虚拟特点,一般消费者即使觉察到信息的错误,也很难向发布信息者进行追究,甚至根本就不知道网络企业的地址。在网络上,由于双方没有发生直接面对面的接触,仅仅通过网络上的简单的字符认识对方,对于对方所提供信息的真实性难以判断。一些不诚信的商家利用这一点发布虚假的商品信息,夸大其词,吸引消费者;注册虚假的个人信息,使消费者在仅仅通过网络平台的情况下,即使察觉也难以找到其本人。虚假信息一方面误导消费者,另一方面也给网络监管和消费者维权增加难度。因此,一些网络企业便表现得肆无忌惮,在网上发表各种各样的虚假信息,或者制造出各种各样的虚假新闻,以此来吸引消费者或创造所谓的点击率,从而扩大自己的商业影响,谋求经济效益。这种高度自由化的垃圾信息的出现,阻碍了正常的电子商务信息的传播,扰乱了健康的电子商务网络信息环境,进而在一定程度上影响了消费者对电子商务的信任感。
(3)假冒伪劣商品泛滥
电子商务虽然在诸多方面对传统商业交易有所改进,但电子商务交易双方无法面对面完成交易,消费者不能亲自对商品试用鉴别,这就使得消费者很难及时分辨商品的真假、质量的好坏等,也为假冒伪劣商品的泛滥提供了机会。
(4)消费维权困难重重
近年来,在每年的“3·15”消费者权益保护活动上,与电子商务相关的消费者投诉呈直线上升态势。从已公布的这些消费者投诉案例来看,这些案件普遍具有虚拟性、技术含量高、跨区域的特点,消费者一旦发生消费纠纷,因为电子商务交易的虚拟性、匿名性、时空分离(支付与配送的时间分离、顾客与商家之间的空间分离)等特征,使得侵权方难找到、侵权证据难掌握、侵权责任难认定、侵权赔偿难落实,维权困难重重。
正是这些问题导致我国的电子商务信任正在一步步流失,这也最终影响着消费者的购买动机、满意度、忠诚度及推荐给他人。由此可见,我国要发展电子商务必须高度重视电子商务信任问题。
(5)信用评价问题
信用评价的出现是电子商务的进步,消费者通过评价了解卖家的信用及商品。信用评价是判断卖家诚信与否的重要标准,信用越高,消费者越容易信赖,说明了货物更可信,附加的商业价值就越高。正是网络诚信的高价值,有些商家为了提高信用度,进行信用炒作,网络上也出现了专门的信用炒作机构,也有些卖家为了攻击竞争对手,购买对方商品并恶意评价,网络上也出现了专门恶意差评的人,我们称之为“职业差评师”。淘宝上信用炒作十分严重,虽然淘宝也严厉打击,但是屡禁不止。目前,我国一些主要的电子商务网站,如淘宝网、拍拍网、eBay等都有各自的评价管理系统。以市场份额最大的淘宝为例,在淘宝上,几乎绝大多数的卖家都有刷信用的意识,比如一笔交易分成多次完成,以累积交易量或朋友之间相互买东西,创造虚假的交易。不仅信用低的卖家会通过这种手段提高信用,即使是信用高的“皇冠”卖家也会通过信用炒作来增加产品的人气和销量。
炒作信用对于消费者来说是一种欺诈行为,它蒙蔽了消费者,侵犯了消费者的知情权;对于卖家,则构成了不正当竞争。同时如果“虚假信用”不能得到及时打击,消费者一旦被“虚假信用”所蒙蔽,就可能蒙受一些损失,打击网络消费信心,深深地伤害了这一行业。
2)应对策略
(1)健全法律法规体系
近年来我国已经出台了一些有关法规,如《中华人民共和国电子签名法》、《国务院办公厅关于加快电子商务发展的若干意见》、《电子商务模式规范》、《非金融机构支付服务管理办法》和《网络购物服务规范》等相关法律法规,并在2014年3月正式实施修订后的新版《中华人民共和国消费者权益保护法》,但这与网络经济发展的要求相比还有不小的差距。如电子商务网站质量和服务方面的问题、电子商务操作的基本规则方面的法律问题、电子商务安全性方面的法律问题、信息基础设施和市场准入方面的法律问题、电子商务中的知识产权保护、司法管辖及法律冲突、电子商务中的税赋和关税问题等,都没有相应的法律法规进行规范。
要改善这些问题,一方面要在传统法律环境建设的基础上,通过对传统法律条文的修改或增加,实现对电子商务相关行为的规定;但另一方面,由于在实际生活中,消费者处于弱势地位,且他们在网上商店所购商品价值较小,依靠司法体系的解决方式也比较烦琐,对欺诈方的惩罚也更多地局限在对用户进行警告,对账户进行冻结、取消等方面,存在威慑力不强等情况。因此,也要加强对法律的监督执行。
(2)推行隐私保护机制
由于在购物过程中需要向网站提供个人信息(姓名、住址、电话、Email等)以便于配送,消费者非常担心其个人隐私信息能否得到安全的保护和合理的使用。但目前国内的网站基本上意识不到保护用户隐私的重要性,这导致很多用户信息被盗用或买卖,严重损害了消费者的利益。目前国际上常用的两种有效降低用户隐私关注的策略是隐私声明和隐私保护。隐私声明是在商户的信息中告知用户将收集哪些信息,如何存储、使用与保护信息。而隐私标识则是由独立的第三方隐私认证机构所颁发给那些通过其审查的网站的符号,表明网站的隐私保护操作能够有效地保护用户的信息隐私。
(3)建立安全认证机制
身份欺诈是网上欺诈的主要形式,为后期交易的其他欺诈埋下了祸根。因为在交易伊始对交易方身份识别错误的前提下,后期再好的信任机制也徒劳无益。因此,要给交易者创造一个安全环境,首先需建立一个能对网络交易双方身份进行验证,对网上传递的信息给予证实的机构——网上认证机构(CA)与体系。
(4)发展第三方支付安全机制
第三方网上支付体系是目前电子商务发展的一个焦点,它通过与银行紧密合作,作为第三方监管和技术保障的中介,安全实现客户间不同种类银行卡的在线货币支付、现金流转、资金清算、查询统计等,促进资金流动,同时将收款方与付款方隔离,有效地防止了资金欺诈和隐私泄漏,打开了制约电子商务发展的瓶颈,满足了电子商务中商家和消费者对信誉和安全的要求。它的出现和发展给电子商务发展带来了全新的生机和活力。
3)主要影响因素
(1)交易方的信誉
在电子商务条件下,交易双方是彼此看不见的,关于交易伙伴和产品的信息不可能完全掌握,参与交易将面临较大的风险。因此,与传统商务相比,电子商务条件下的信誉显得更加重要。
(2)交易历史
在电子商务中,交易历史包括顾客与多个商家的交易情况,以及商家与多个顾客的交易情况。如果顾客对商家提供的产品或服务不满意,他们可以将这种经历反映给负责管理商家信誉的可信任权威,从而对该商家的信誉产生影响。
(3)信任方的个性
信任方的信任水平与他的主观因素有关,如对潜在盈利的估计、风险偏好等。在同等条件下,不同实体的信任水平也不相同。
(4)文化背景
从社会学的角度讲,信任是社会关系的一个重要维度,是与社会结构和文化规范密切相关的社会现象。也就是说,信任与人文背景有关,由于社会文化的差异,不同社会中的信任度差别很大,这一现象已得到理论和实践两方面的证实。
3.1.3交易对象的选取
在市场经济中,为了防范风险和提高交易的成功率,对于交易对象的选取是非常重要的。而交易对象的选取,又受到成本、场所和服务质量等因素的制约。
1.交易成本因素
交易成本经济学认为,交易活动是稀缺的,交易成本不为零。企业存在就是为了节约交易成本。电子商务是与传统交易完全不同的一种交易形式,它能通过降低企业交易前、交易中和交易后的交易成本,降低企业的边际交易成本水平。由于边际交易成本水平的降低,企业边际组织成本必然相应降低,从而导致企业规模变小。企业在电子商务条件下进行投资决策时必须考虑到这种变化。
……
新书资讯