电子商务法律法规:电子商务安全与网络犯罪的防范
发布时间:2010/8/11 11:23:14 来源:城市学习网 编辑:ziteng
随着互联网的应用和电子商务的发展,其安全问题也变得越来越突出。电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此,电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。
计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。
计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。没有商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。
电子商务安全需求
为了保障交易各方的合法权益,保证能够在安全的前提下开展电子商务,安全性通常要考察以下几个方面。
1.信息的保密性 信息的保密性是指信息在传输过程或存储中不被他人窃取。因此,信息需要加密以及在必要的节点上设置防火墙。例如,信用卡号在网上传输时,如果非持卡人从网上拦截并知道了这个号码,就可以用这个号码在网上购物。因此,必须对需要保密的信息进行加密,然后再放到网上传输。
2.信息的完整性 信息的完整性包括信息传输和存储两个方面。在存储时,要防止非法篡改和破坏网站上的信息。在传输过程中,接收端收到的信息与发送的信息完全一样,说明在传输过程中信息没有遭到破坏。尽管信息在传输过程中被加了密,能保证第三方看不到真正的信息,但并不能保证信息不被修改。例如,如果发送的信用卡号码是“9521”,接收端收到的却是“9524”,这样信息的完整性就遭到了破坏。
3.不可否认性 信息的不可否认性是指信息的发送方不能否认已发送的信息,接收方不能否认已收到的信息。由于商情的千变万化,交易达成后是不能否认的,否则,必然会损坏一方的利益。例如,买方向卖方订购钢铁,订货时市场的价格较低,收到订单时价格上涨了,如果卖方否认收到订单的时间,甚至否认收到订单,那么买方就会受到损失。再例如,买方在网上订购了某物,后来不想买了,谎称寄出的订单不是自己的,而是信用卡被盗用,这样卖方就可能会受到损失。这些都是不允许的。
4.身份的真实性 身份的真实性是指网上交易双方身份信息的真实性。双方交换信息之前通过各种方法保证身份的精确性,分辨参与者身份的真伪,防止伪装攻击。
5.系统的可靠性 是指防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失效或失误。保证存储在介质上的信息的正确性。
电子商务安全措施
适当设置防护措施可以降低或防止来自现实的威胁。在通信安全、计算机安全、物理安全、人事安全、管理安全和媒体安全方面均可采取一定的措施,整个系统的安全取决于系统中最薄弱环节的安全水平,这就需要从系统设计上进行全面的考虑,折中选取。电子商务中的安全措施包括有下述几类:
(1)保证交易双方身份的真实性:常用的处理技术是身份认证,依赖某个可信赖的机构(CA认证中心)发放证书,并以此识别对方。目的是保证身份的精确性,分辨参与者身份的真伪,防止伪装攻击。
(2)保证信息的保密性:保护信息不被泄露或被披露给未经授权的人或组织,常用的处理技术是数据加密和解密,其安全性依赖于使用的算法和密钥长度。常见的加密方法有对称式密钥加密技术(如DES算法)和公开密钥加密技术(如RSA算法)。
(3)保证信息的完整性:常用数据杂凑等技术来实现。通过散列算法来保护数据不被未授权者(非法用户)建立、嵌入、删除、篡改、重放。典型的散列算法为美国国家安全局开发的单向散列算法之一。
(4)保证信息的真实性:常用的处理手段是数字签名技术。目的是为了解决通信双方相互之间可能的欺诈,如发送用户对他所发送信息的否认、接收用户对他已收到信息的否认等,而不是对付未知的攻击者,其基础是公开密钥加密技术。目前,可用的数字签名算法较多,如RSA数字签名、ELGamal数字签名等。
(5)保证信息的不可否认性:通常要求引入认证中心(CA)进行管理,由CA发放密钥,传输的单证及其签名的备份发至CA保存,作为可能争议的仲裁依据。
(6)保证存储信息的安全性:规范内部管理,使用访问控制权限和日志,以及敏感信息的加密存储等。当使用WWW服务器支持电子商务活动时,应注意数据的备份和恢复,并采用防火墙技术保护内部网络的安全性。 [NextPage] 网络犯罪的防范
网络犯罪是不同于任何一种普通刑事犯罪的高科技犯罪,随着计算机运用的广泛和深入,其危害也日益加重。一方面,政府部门应当尽快针对存在的主要问题采取切实有效的
对策。
任何一个健康有序的环境都离不开法制规范,在网络世界里也是一样。但现实社会中的法律不能简单移植到网络虚拟社会中。到现在为止,我国已经制定的相关的法律法规和规章,建立了完善的计算机保护体系,对于保护和规范网络秩序,发挥了十分重要的作用。例如,先后出台了《计算机信息系统安全保护条例》《计算机信息网络国际联网管理暂行规定》《计算机信息网络国际联网出入信道管理办法》《中国公用计算机互联网国际联网管理办法》《专用网与公用网联网的暂行规定》《计算机软件保护条例》《计算机信息系统国际联网保密管理规定》等等。并且和其他的法律法规构成有机的执法体系,例如,《刑法》及《知识产权法》中也有相关的法律规定。
虽然立法部门和政府主管部门有了一些规定,但基本上是简单、片面和应急性质的,而且执行起来有难度。如现在网络著作权纠纷层出不穷,但在《著作权法》诞生的1990年,还没有"网络"这个概念,因此现行《著作权法》难以有效的处理好现在的网络著作权纠纷案件。又如现行《刑法》基本没有涉及到网络犯罪问题,只规定了两个网络犯罪罪名,远不能涵盖现有的各种计算机网络犯罪。由于对许多违法犯罪行为的惩治无法可依,致使不少违法分子长期逍遥法外。全世界的媒体每天都在传达大量计算机违法犯罪的消息,但最后真正受到法律制裁的人则是屈指可数。在国外有的违法分子在其网上作案被发现后反倒受到重用。网络社会中的法治建设与网络基础设施建设、信息建设一样重要,不可忽视。但网络立法的滞后是一个全球性的问题,即使是发达国家的网络立法也很不完善。因为网络一方面在普及之中,另一方面又仍在发展之中,难以制定出针对网络成熟状态的稳定法律。因此网络立法在相当长的时期内总是滞后的,操之过急也不行。
笔者认为,就计算机的防范与立法的完善而言,应该作到以下几个方面:
(一)加强反网络犯罪机构(侦查、司法、预防、研究等)的工作力度。由于网络犯罪的高科技化、复杂化,目前侦查队伍在警力、技术方面已远远跟不上形势的需要,司法人员的素质,也离专业化的要求相去甚远,预防、研究方面还存在许多空白。
(二)制定专门的反网络犯罪法。这部反网络犯罪法,应直接针对网络犯罪的特点,包括民事、行政、刑事三方面内容,形成完整的法律体系。首先,完善现行刑法典中的网络犯罪条款,增加非法使用计算机存贮容量罪,把社会保障领域的计算机信息系统纳入"非法计算机信息系统罪"的规定。其次,完善现行行政法规,在《治安管理条例》中增设对计算机非法行为惩治,使具有一定的社会危害性,但尚未构成犯罪的行为,也能受到惩戒,通过否定的社会评价,来警示想要实施这些行为的人。第三,完善现行民事法规,对计算机非法行为对他人造成经济损害的,应承担一定的民事赔偿责任。
(三)建立健全国际合作体系。通过互联网,实施网络犯罪行为、结果,都可能发生在不同的几个国家,网络犯罪在很大程度上都是国际性的犯罪。因此,建立健全国际合作体系,加强国与国之间的配合与协作尤为重要。同时,通过合作,也可互通有无,学习国外先进经验,以提高本国反网络犯罪的水平和能力。
(四)计算机用户要增加安全防范意识和计算机职业道德教育。各计算机信息系统使用单位应加强对计算机工作人员的思想教育,树立良好
的职业道德,并采取措施堵住管理中的漏洞,防止计算机违法犯罪案件的发生,制止有害数据的使用和传播。
从立法方面完善对网络犯罪的预防及责任追究的同时,也应运用社会多方面的手段对网络犯罪进行必要的预防:第一、严格规章制度、减少作案可能。因此人事管理是防范这类犯罪的重要环节,应该对他们进行必要的审查、考核、教育和培训。在管理中要分工明确,严格规章制度,形成必要的监督制约机制。第二、改进技术、堵塞漏洞、控制诱发犯罪。与计算机网络有关的安全防护措施需要不断完善。它们包括对有关系统的物理和技术安全防范,例如,加设电磁屏蔽、加强机房管理等;在信息的输入、处理、存贮、输出过程中完善加密技术,开发各种加密软件和更可靠的密钥;在通讯过程中加设口令、用户鉴别和终端鉴别等。另外像在各种磁卡的制作中注意保证图案的唯一性和密码的不可更改性等等。第三、加强法制宣传与道德品质教育,消除不良文化刺激,树立正确的世界观人生观,学校、家庭和社会在重视科学技术知识的同时要重视政治思想、道德和法制方面的教育,社会的防范。
