电子商务安全的内涵 

电子商务安全是指计算机系统结构、网络通信、应用环境等保证电子商务实现的要素不受威胁，没有危险、危害和损失。 

电子商务面临的问题 

       ① 黑客攻击 
       ② 计算机病毒 
       ③ 系统本身存在安全漏洞 

电子商务面临的安全威胁 

       (1)信息的截获和窃取 
       攻击者通过互联网、公共电话网、搭线或在电磁波辐射范围内安装接收装置等方式，截获传输的机密信息，或通过对信息流量、流向、通信颇率和长度等参数的分析，推断出有用信息，如消费者的银行账号、密码等。 
       (2)信息篡改 
       攻击者可能从三方面破坏信息的完整性 
       ① 篡改——改变信息流的次序，更改信息的内容，如购买商品的出货地址。 
       ② 删除——删除某个消息或消息的某些部分。 
       ③ 插入——在消息中插入些信息，让收方读不懂或接收错误的信息。 
       (3)假冒他人身份 
       ① 冒充他人身份，如冒充领导发布命令、调阅文件。 
       ② 冒充他人消费 
       ③ 冒充主机欺骗合法主机及合法用户。 
       ④ 冒充网络控制程序，套取或修改使用权限、密钥等信息 
       ⑤ 接管合法用户，欺骗系统，占用合法用户的资源。 
       (4)不承认或抵赖已经做过的交易 
       ① 发信者事后否认曾经发送过某条内容。 
       ② 收情者事后雨认曾经收到过某些消息或内容。 

电子商务的安全需求 

   (1)有效性。电子商务系统应有效防止系统延迟和拒绝服务情况的发生，要对网络故障、硬件故障、操作错误、应用程序错误、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，保让交易数据在确定的时刻、确定的地点是有效的。 
       (2)保密性。系统应能对公众网络上传输的信息进行加密处理，防止交易中信息被非法截获或窃取，防止通过非法拦截会话数据获得账户有效信息。 
       (3)完整性。电子商务系统应防止对交易信息的随意生成、修改和删除，同时防止数据传输过程中交易信息的丢失和重复，并保证信息传递次序的统一。 
       (4)可靠性。由于网上的通信双方互不见面，所以在交易前必须首先确认对方的真实身份；在进行支付时，还需要确认对方的账号等信息是否真实有效。电子商务系统应该提供通信双方进行身份鉴别的机制，确保交易双方身份信息的可靠和合法。应实现系统对用户身份的有效确认，对私有密钥和口令的有效保护，对非法攻击能够防范，防止假冒身份在网上进行交易。 
       (5)匿名性。电子商务系统应确保交易的匿名性，防止交易过程被跟踪。保证交易过程中的用户个人信息不会泄露，确保合法用户的隐私不被侵犯。 
       (6)防抵赖性。电子商务系统应有效防止商业欺诈行为的发生，网上进行交易的各方在进行数据传输时，都必须携有自身特有的、无法被别人复制的信息，以保证交易发生纠纷时有所对证，以保证商业信用和行为的不可否认性，保证交易各方对已做交易无法抵赖。 

电子商务安全的体系结构 

电子商务系统是依赖网络实现的商务系统，需要利用Internet基础设施和标准，所以构成电子商务安全框架的底层是网络服务层，它提供信息传送的载体和用户接入的手段，是各种电子商务应用系统的基础，为电子商务系统提供了基本、灵活的网络服务。通过Internet网络服务层的安全机制（如入侵检测、物理隔离、防火墙等）保证网络层的安全。为确保电子商务系统全面安全，必须建立完善的加密技术和认证机制，加密控制层、安全认证层和安全协议层．即为电子交易数据的安全而构筑。其中，安全协议层是加密控制层和安全认证层的安全控制技术的综合运用与完善。 

                                                                        蠕虫程序

罗伯特·莫瑞斯是美国康奈尔大学的学生。1988年11月2日，他在自己的计算机上，用远程命令将自己编写的蠕虫(Worm)程序送进互联网。他原本希望这个“无害”的蠕虫程序可以慢慢地渗透到政府与研究机构的网络中，并且悄悄地呆在那里，不为人知。然而，莫瑞斯在他的程序编制中犯了一个小错误，结果，这个蠕虫程序疯狂地不断复制自己，并向整个互联网迅速蔓延。待到莫瑞斯发现情况不妙时，他已经无能为力了，他无法终止这个进程。

于是，小小的蠕虫程序，在1988年11月2日至11月3日的一夜之间，攻击了互联网上约6 200台VAX系列小型机和Sun工作站。蠕虫不仅攻击了ARPAnet系统。而且攻击了军用的MILnet网中的几台主机，整个经济损失估计达9 600万美元。

而在20世纪70年代，美国太平洋安全银行雇用的计算机技术顾问，通过银行计算机，将1 000多万美元转到瑞士苏黎士银行，构成美国当时最大的盗窃案。

资料来源：宋文官：《电子商务概论(银领工程)》，165页，北京，高等教育出版社，2004

思考问题：

       1．案例表现了电子商务安全的哪些问题？

       2．试分析案例的问题如何解决？

【资源列表】

       1．刘建国：《电子商务安全管理与支付》，立信会计出版社

       2．张波：《电子商务安全（第二版）》，华东理工大学出版社

       3．管有庆：《电子商务安全技术（第二版）》，北京邮电大学出版社

                                                   当前电子商务犯罪分析与思考

根据杭州市的统计，2006--2008年，网监部门共打击网络犯罪案件近千起，挽回财产损失总计4123万元。 

       1．网络盗窃与诈骗犯罪的特点 

       (1) 网民的网上资金成为被侵害的主要目标。 

       3年来，杭州市公安局共接到网上账户资金被盗报警1535起，其中网上银行账户被盗936起，其他各种支付平台用户账户被盗案件共599起。 

       (2) 钓鱼网站千方百计假冒淘宝网、拍拍网等，欺诈网上用户进行交易。

       其中，假冒淘宝网诈骗用户的案件907起，假冒拍拍网诈骗用户案件538起，假冒其他网站进行诈骗的案件有879起。 

       (3) 个案损失小，案发频繁。

       个案损失不大，但是平均每天发案2-3起，3年来共发案2000余起，涉案单位和个人4000余人次，经济损失4000多万元，侵害到人民群众的利益，影响力不断扩大。 

       (4) 学生、职员成为主要被侵害对象。其中以学生人数居多，占总人数的97％。 

       (5) 区域跨度大，隐秘性强。

       犯罪嫌疑人开设的网站、登录的网站、网站所属的服务商、服务器接入的运营商等要素均在本市的有140起，其中之一在杭州本市、其他要素在市外省内的392起。 

       2．网上盗窃的手段 

      (1) 利用合法购物的网站，欺骗客户点击链接登录的钓鱼网站，骗取账号、密码、盗取资金。 

      (2) 利用网络植入木马，盗取账号、密码，盗窃账户资金。

      2007年5月15日，犯罪嫌疑人在电子商务网站向销售SIM卡、手机的商户谢某购买SIM卡，并向谢某发送购买邮件，谢某点击邮件后电脑系统被植入木马，犯罪嫌疑人利用木马从谢某的电脑系统盗取5340多元的资金。 

       (3) 利用网银系统的防范缺陷骗取初始密码，闯入账户，盗取资金。

       2007年，犯罪嫌疑人向商户杨某购买基金，要求他提供信用卡号、身份证号、手机号码等个人信息，犯罪分子利用杨某某提供的信息，通过银行客服中心办理挂失信用卡，然后再利用获取的身份信息重新补办新卡，用初始密码盗窃杨某某账户资金10795元，类似此类案件共发生56起。 

       (4) 利用职务之便，内外勾结，网上结伙进行盗窃。

       2006年12月，南方某银行信用卡中心工作人员白某在网上结识北方某网民刘某后，商定由白某提供银行客户信用卡卡号、身份证号、有效期等信息，由刘某根据信息资料拆配密码盗窃资金，两人分成。两人于两个月内作案46起，涉案金额共计42万元。这类案件性质恶劣，危害严重 

       3．网上诈骗的主要手段 

       (1) 在购物网站上利用信息的不可控制性，发布各类虚假信息，实施诈骗。这类诈骗活动又表现为两个方面： 

       ① 商户骗客户。如犯罪嫌疑人在购物网站上开设商铺，发布超低价商品信息，在游戏网站上发布意外中奖信息，然后通过场外交易(在支付平台以外的交易)实施诈骗。 

       ② 客户骗商户。比如向商户购买商品，通过聊天工具给商户发送伪造的支付凭证，诱使商户发货。 

       (2) 在互联网上开设虚假网站，发布虚假供货信息、股票、彩票预测信息和高额回报的集资信息，得手后，往往“网间蒸发”。这类诈骗案件的犯罪嫌疑人利用在互联网上开设、关闭网站手续简便、快捷和隐蔽的特点，有恃无恐。如2006年12月，出现了一个“美国科技基金网”，专门从事高收益投资项目，投资者投入8800元人民币或者等值美元，即可在网上获取编码，第二天开始返利，日返利人民币440元或美元55元，返利期限为50天，如发展“下线”还可获得投资额的10％作为奖励。三个月后，网站失踪，受害人遍及杭州、宁浊、绍兴、嘉兴、金华等地1400余人．被骗金额达880多万元。 

       (3) 利用电子商务交易规则和程序上的漏洞，骗取货款。这类案件较上述犯罪案件智能化程度更高。如毛某在网上看中一款笔记本电脑，商家提出这款笔记本电脑可享受l千元的优惠，要求客户点击确认即可退回1000元。毛某按照网站交易留存上面显示的提示进行了操作，其实是点击了付款指令。商户最终没有发货而又收到了货款。 

       (4) 通过QQ、Msn和电子邮件等方式与被害人沟通、交往从而实施犯罪，这类案件年发生100余起。 

       4．网络犯罪猖獗的主要原因 

       (1) 犯罪成本低、获利高，作案方便隐秘。从犯罪的投入看，只需一台电脑、一根网线或者是注册一个网站，成本几千元，而盗窃诈骗作案每次获利至少几千元甚至是几万元。2008年12月18日侦破的提供枪手代考的“1218”特大网络诈骗案，据查明，该团伙在短短4个月中共诈骗300余起，诈骗150余万元。 

       (2) 犯罪隐闭性强、风险低，破案投入大、成本高。网站运营商在甲地、网站在乙地、交易平台在丙地、资金流向在丁地的网络交易特殊架构，加上使用虚拟身份在网上实施犯罪行为，容易隐蔽、逃匿，存在发现难、控人难、控赃难等问题。如2008年7月16日杭州市打掉侯某某等一批隐秘性极强的网上盗窃团伙，在该案中，6名犯罪嫌疑人分别在南京制作木马、销售木马，在西安及哈尔滨购买木马，在黑龙江鸡西、广西省玉林盗窃资金，最后在互联网上销赃兑现。整个犯罪过程环环相扣，分工明确，而且成员之间均未谋面，仅以网名相称，从其单独的行为来看，很难发现其犯罪行为，只有将其全部抓获方可完满破案。在哈尔滨、鸡西、广西玉林、南京、西安等兄弟网监部门的大力协助下，六名犯罪嫌疑人被缉拿归案，缴获各类银行卡211张，个人身份信息112份，赃款35万元。但是，破案前报案的被盗案款只有1．5万元，办案成本大大高于报案的被告资金。 

       (3) 社会管理体系和技术管理手段的缺位，导致网络防范体系薄弱。面对种种犯罪手段上的“创新”，管理者无法积极应对，难以主动发现，更没有能力深入到电子商务活动中掌握深层次的犯罪手段和动向。例如，犯罪嫌疑人实施犯罪活动，在网上发布售枪信息，把枪叫做“狗”，子弹叫“狗粮”等，用各式各样的日常语言在网上沟通，然后在网上通过合法交易流程完成交易。对此，现有的体系均难以发现。 

       (4) 网民的安全防范意识、观念、思想严重滞后，导致网上犯罪轻而易举。在现实中的部分骗子慢慢地移到网上时候，网民的防范意识和思想被网络的低成本、快捷性、无形性及其自由性所解除了。    (5)现行法律的证据方式和取证方式在网络案件中操作困难。在网络盗窃诈骗中，受害人遍布全国各地，一个犯罪分别涉及多个网络服务商的所在地，审查管辖和审判管辖界限难以分清。 

       资料来源：摘自杭州市公安局副巡视员、网监分局局长邱平先生在2009年中国杭州电子商务安全策略论坛开幕式上所做的《当前电子商务犯罪分析与思考》的主题演讲。