电子商务安全与电子支付PPT.ppt
1,电子商务安全与电子支付,2,内容简介,电子商务安全与电子支付是电子商务运作中密切联系的两个关键环节。本书以电子商务运作流程为主线,从技术、管理和法律三个方面对电子商务交易安全的理论问题和实践问题进行了全面论述,主要涉及交易安全保障的基本思路和框架体系,密码、认证和防火墙技术,标准、系统、用户、广告管理,电子签名、电子合同、法律保护等内容。在此基础上,本书系统介绍了电子支付系统和模式,介绍了第三方平台结算支付和移动支付,探讨了电子支付安全的技术、管理和法律保障方法。,3,前 言,电子商务作为一种全新的商务形式,为全球客户提供了更简捷的交易方法和更低廉的交易成本。然而,安全问题仍然是阻碍其发展的最大障碍。1999年7月,当中国互联网络中心第一次对热点问题“用户认为目前网上购物最大的问题”进行问卷调查时,30%的网民认为安全性是网上购物的最大问题,七年后,即2006年7月的调查显示,网民不进行网上交易的原因中,担心交易安全性得不到保障的仍然高达61.5%。很明显,网上交易的安全问题是电子商务发展中不容忽视的问题。,4,交易安全保障是保证现代经济正常运作的重要基础和支点。现阶段电子商务之所以推广有困难,关键问题是电子支付安全问题没有得到很好地解决。电子支付风险的有效控制,将会从根本上扭转这种状况。本书在认真总结国外电子商务安全管理经验的基础上,全面阐述了电子商务交易安全综合防范的思路,从技术、管理和法律三方面着手,介绍了符合我国实际情况的安全电子商务的发展思路和途径;并对电子支付问题进行了深入的研究,提出了安全电子支付的具体措施。,5,第一章 电子商务安全与电子支付概论,6,2005年我国电子商务交易金额达到6600亿元就是这种状况的真实反映。但另一方面,电子商务安全问题依然突出。据中国消费者协会提供的数据,涉及互联网的投诉2004年为3663起,到了2005年就激增至7189起,增长幅度达到96.3%,增幅居各类投诉首位,困扰电子商务的在线支付和诚信等问题仍然没有得到彻底解决。本章以某网络欺诈案例导入,研究了电子商务的发展情况、面临的各类安全问题及其产生原因,以及与安全问题有关的电子商务基本流程和电子支付问题。,7,导入案例,“包年卡”欺诈案,8,学习目标,了解学习本课程的目的,对电子商务建立起一定的认识。了解电子商务的基本流程,以及电子商务的风险来源。掌握电子商务安全问题分类和电子商务中的各类交易风险。了解电子商务安全保障体系基本思想和框架。,9,基本概念,电子商务 电子商务安全 电子支付 电子商务安全要素,10,1.1电子商务发展概况1.1.1世界各国电子商务发展概况,根据联合国贸易和发展会议2005 年信息经济报告,2000年到2004年,全球互联网和电子商务保持了较快地发展速度。截止到2004年底,世界的上网用户总人数达到87563万人,和2003年年同期相比增长22.7%。表1-1显示了世界不同地区互联网用户数量和发展水平。如此庞大的使用群体奠定了电子商务发展的基础。,11,表1-1 世界不同地区互联网用户数量和发展水平(20002004)单位:人,12,电子商务应用的快速普及突出表现在以下三个方面:,主机名数量的迅猛增长。电子商务实际应用方式的改变。企业网站的安全性提高。,13,美国电子商务情况,2000年,美国网上销售(B2C,Business to Consumer)在零售贸易或服务业销售额所占总销售额的比例还只有0.9%和0.8%。然而,其增长率大大高出总的零售贸易增长率。根据美国人口调查局(United States Census Bureau)2005年的统计,美国B2C电子商务的零售额达到863亿美元,已占到社会全部零售额的2.4%。这一数字是比2004年增长24.6%,而同期零售额仅增长7.2%。图1-1显示了1999年以来美国零售贸易(B2C)电子商务高速增长的情况。,14,图1-1 1999年以来美国零售贸易(B2C)电子商务高速增长的情况,15,加拿大电子商务情况,加拿大互联网的销售额继续大幅度增长。2004年达到229.4亿美元(参见图1-1)。其中B2B互联网销售额占75%,主要是在大公司企业之间。就行业而言,批发贸易部门占全部互联网销售额的四分之一,随后为运输和仓储(17%)。在2003年,大约有320万户加拿大家庭积极参与到电子商务中,比上一年的280万户有所提高。这些家庭在不同的地点上网,而不只是在家中。总的来说,这些家庭一共下了2110万个订单,比前一年的1660万个有所增长。,16,欧盟电子商务情况,信息通讯技术基础加强。约1/3的企业采用宽带上网,17%的企业在市场支持和销售过程中使用信息通信技术。企业上网销售的比例随公司的规模而增长。2004年,下订单的大企业占29%,相比之下中型企业占19%,小企业占12%。在世界企业电子商务应用中,欧盟国家,如芬兰、瑞典、丹麦、德国、爱尔兰、挪威、比利时、奥地利等国,基本上都排在最前列。,17,亚洲电子商务情况,亚洲和太平洋地区人口众多,经济发展速度较快,是世界电子商务发展最有潜力的地区。2004年,这两个地区的Internet用户人数达到2.55亿人。在2004年3月底结束的2003财政年度,日本企业之间的电子商务成交额达77.422万亿日元(1美元约合104日元),比上年度增长67.2,其中90%以上为企业间大宗交易。,18,韩国电子商务的基础设施在国际社会公认为世界级水平,宽带普及率也是世界上最高的。韩国的电子商务一直在高速增长:从2000年的58兆韩元(440亿美元)增加到2001年的118.9兆韩元;从2003年的235.02兆韩元,增加到2004年的314.07兆韩元(表1-3)。2005年第三季度实现电子商务交易额87.39兆韩元,同比增长9.9%。,19,非洲电子商务情况,在非洲,随着因特网的逐步普及,电子商务的发展也有了明显的起色。但总的发展程度仍然比较低。2004年,非洲使用因特网的人数达到2181万人,虽然这一数字比2003年增长了66.6%,但因特网使用人数在总人口中的比重还仅仅为3.1%。估计整个非洲2002年电子商务的交易额为5亿美元。,20,拉丁美洲电子商务情况,拉丁美洲电子商务发展的情况呈现出两极分化的现象。阿根廷、巴西、智利和墨西哥Internet普及速度较快,四国的Internet用户几乎占到拉丁美洲Internet用户的2/3。2000年,拉丁美洲的B2B电子商务交易额已经达到28.5亿美元,B2C电子商务的交易额也达到7.24亿美元。2001年以后,这一地区电子商务强劲增长,2002年电子商务总交易额达到76亿美元。,21,中国电子商务发展情况,中国政府高度重视电子商务这一新生事物的发展。1998年11月18日,中国国家领导人在吉隆坡举行的亚太经合组织领导人非正式会议上正式表明了中国政府对发展电子商务的态度:“电子商务代表着未来贸易方式的发展方向,其应用推广将给各成员带来更多的贸易机会。在发展电子商务方面,我们不仅要重视私营、工商部门的推动作用,同时也应加强政府部门对发展电子商务的宏观规划和指导,并为电子商务的发展提供良好的法律法规环境”。,22,自20世纪80年代开始,中国的电子商务开始萌芽。在短短20余年中,中国的电子商务环境得到了长足的发展。巨大的网络规模和用户群体为电子商务发展创造了极好的基础条件;不断增长的网络数据库资源为企业发展电子商务提供了强大的商务信息支持;网络支付及认证服务的发展,大大提高了电子商务普及率;软件技术的提高,为电子商务的技术及应用创新创造了契机。,23,种种迹象表明,中国的电子商务正处于蓬勃发展期,电子商务应用已经进入企业生产与流通的各个领域。企业仍然是电子商务的主要推动者。企业的电子商务应用主要集中在信息发布及获得等方面,极少涉及到采购与结算等关键的商务环节,而且应用范围也是内贸多于外贸。相对而言,大城市及东部沿海地区企业电子商务应用及电子商务环境明显高于内陆地区。,24,中国是世界上Internet用户增长最快的国家,从1997年10月到2006年6月,短短9年时间网民人数已从62万人达到1.23亿人,同1997年10月第一次调查的62万网民人数相比,现在的网民人数已是当初的198.4倍;国际出口带宽总量为214 175M;网站总数约为788,400个。根据赛迪顾问公司的统计,我国电子商务交易继2004年73.7%的高速增长之后,2005年电子商务逐渐步入稳定增长期,市场规模达到6800亿元人民币,同比2004年增长了41.7%(参见图1-2)。,25,图1-2 2001-2005年中国电子商务市场规模,26,电子商务将IT技术同商务运行结合起来,形成了一种全新的经济模式,它是高技术背景下必然产生的一种新经济模式。通俗的说,电子商务系指交易当事人或参与人利用现代信息技术和计算机网络(主要是因特网)所进行的各类商业活动,包括货物贸易、服务贸易和知识产权贸易。电子商务利用现代信息技术能够有效地减少交易的中间环节,缩短交易时间,降低交易成本。,1.1.2电子商务发展过程中的问题,27,然而,电子商务也对人们惯持的商务观念以及既有的商务模式提出了挑战。电子商务的基本架构是网络,全部的商务活动都通过网络进行,活动全过程涉及顾客、销售商、供应商、银行金融系统、政府机构、配送中心、各种中介服务机构和相关部门的人员。与传统商务活动相比较,电子商务要求商务活动中的各个部门能够科学有序的整合,从而保证电子商务活动的畅通。忽略电子商务普及程度这一因素,单就电子商务的活动本身来说,现阶段有以下几个因素阻碍了我国电子商务的进一步发展。,28,1)整体的社会商业信誉,国内的整体的社会商业信誉体系并未完全的建立起来。社会整体的诚信、道德、法律以及人们的素质在相对宽松的网络环境下难以做到自律、自觉,网络交易中的欺诈时有发生,打击了一部分想要尝试的消费者。在缺乏社会整体商业信誉的情况下,通过技术手段加强对交易行为的控制,同时通过司法行政机关的进行监督以及其他必要的支持,才能实现网络环境下的交易诚信。,29,2)对电子支付安全隐患的担忧,近几年来,中国的电子支付发展之快令人惊叹,虽然各银行之间彻底实现互联互通仍然有待时日,但就网络支付业务来说,目前的系统已经基本满足要求。然而,巨大经济效益的诱惑使得犯罪分子将网络环境视为新的作案领域。尽管网络系统本身比以往更加安全,但是支付风险并没有降低。,30,根据联合国2003年电子商务和发展报告披露的数据,2003年,约有50%通过网络传播的电子邮件是未经允许的。2003年3月的调查数据表明,58.4%的垃圾邮件来自美国,其次是中国(5.6%)、英国(5.2%)、巴西(5.2%)和加拿大(5.2%)。图1-3 显示了2003到2005年垃圾邮件在不同地区之间可能增长的百分比。,31,图 13 2003到2005年垃圾邮件在不同地区之间可能增长的百分比,32,据欧洲委员会估计,仅连接收费一项,2001年,世界垃圾邮件耗费就超过96亿美元。更悲观的估计,2003年世界企业由于垃圾邮件而发生的额外耗费达205亿美元。,33,在2003年前6个月,全世界数据攻击达91088次。这一数值多于2002年全年的攻击总和。据Symantec的统计,2002年,80%的数据攻击集中发生在部分国家。美国位于受攻击的首位,其次是韩国、中国、德国和法国等国家(图1-4)。从每万人受到的数据攻击情况看,韩国位于首位,其次是波兰、捷克、法国等国家(图1-5)。,34,图 1-4 遭受数据攻击最多的国家和地区,35,图 1-5各国或地区每万人受到数据攻击的情况,36,我国电子商务安全问题始于证券和金融领域。第一起涉及到金融网络安全的案例发生于1997年,宁波证券公司深圳业务部的技术骨干曾定文,利用职务之便,通过证券交易网络私自透支本单位资金进行个人股票交易,涉案金额高达900余万元,造成极坏的社会影响。在相当长的一段时间内,由于内部人员监管不力而造成的资金挪用及盗用是中国电子商务发展中遇到的最大问题之一,金融机构失信于公众,极大的阻碍了电子商务的进一步推广。,37,3)物流配送的低效,消费者对电子商务的质疑更多的是指向物流配送环节。在电子商务运营过程中,物流成本是相对较大的一块,为降低物流成本,电子商务公司倾向于使用规模更小,费用更低的物流公司,而这类公司提供的服务往往极为简单,难以做到精确投递。此外,我们发现即使不通过第三方物流,而是在由电子商务公司利用自己的网点进行配送的情况下,电子商务公司也极少能做到将物流系统与已有资源较好的整合。,38,1.1.3解决电子商务安全问题的重要意义,从应用的范围及深度来看,我国电子商务仍然处于初级阶段,消费者更多的是处于教育及引导期,这一时期的消费者容易受到负面消息的影响而拒绝使用这种交易手段,巨大的国内市场和庞大的网络用户群无法使用经济、快捷、便利的网络手段联系到一起,我国在市场与用户方面既有的优势无法发挥,电子商务的后发优势难以利用。,39,保证电子商务的正常运作,必须高度重视安全问题安全问题是网络交易成功与否的关键所在,也是致命所在。因为网络交易的安全问题不仅关系到的个人的资金安全、商家的货物安全,还关系到国家的经济安全,国家经济秩序的稳定问题。我们无法想像一个安全得不到保障的网络交易世界会是一个什么样的情形。所以,对于网络交易的安全问题绝不可以等闲视之,必须把它提到重要的议事日程。只有这样,才能促进电子商务的更快发展。,40,1.2电子商务安全概述1.2.1电子商务面临的安全威胁1.2.2.1计算机网络风险,1)物理安全问题 物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:环境安全、设备安全和媒体安全。,41,为保证信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失秘的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。,42,2)网络安全问题 表 1-2网络安全所涉及的各个方面,43,在网络安全问题中,最重要的是内部网与外部网之间的访问控制问题。在这个环节上经常发生问题。这也是黑客最容易攻击的地方。另外一个问题是内部网不同网络安全域的访问控制问题。不同内部网具有重要性不同的信息资料,因而,内部犯罪人员往往利用内部网管理上的漏洞,寻找盗窃或破坏的机会。与犯罪行为。,44,3)网络病毒的威胁,1988年11月2日,年仅23岁的美国康奈尔大学(Cornell University)学生罗伯特莫瑞斯(Robert TMorris,Jr.),用远程命令将自己编写的蠕虫(Worm)程序送进Internet网络,一夜之间攻击了Internet网上约6200台VAX系列小型机和Sun工作站,造成包括美国300多所大学、议院、研究中心、国家航空航天局和几个军事基地的计算机停止运行,事故经济损失达9600万美元。这是世界上首例公开披露的网络病毒攻击案。,45,随着互联网的迅速发展,病毒的数量和破坏力得到前所未有的提高,而且攻击目的正逐渐转为具有经济目的的系统侵入和信息盗取。近年来在互联网上肆虐的“网银大盗”便是极具代表性的病毒之一。,46,4)黑客攻击,美国NetSolve公司专门提供ProWatch Secure远程网安全性监视服务,它既监测Web站点也监测连接到Internet的用户网络。根据该公司1997年5月到1997年9月 监测到的约5000次有关安全报警,在这5个月期间,几乎每个电子商务站点都受到了攻击,而非某些统计数字所表述的电子商务站点受攻击的比例约为60%。总的来看,80%的公司在每个月里至少会受到一次主要的网络攻击,坏黑客为了寻找系统的脆弱性要对每个用户进行大量的探查。,47,5)操作系统的缺陷,不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度,即使如此,系统仍然不能被认为是绝对安全的,漏洞和缺陷会不断的被攻击者发现,用户本身只有养成良好的安全用机习惯才能最大限度的避免安全问题。,48,6)电子商务网站自身的安全问题,我国的电子商务网站安全问题存在很大隐患。国内大部分网站把主要精力放在网站的结构和内容建设上,忽略了网站安全防护措施。我国网站所用的投资一般不足企业信息系统建设总成本的2%,而国外企业用于安全系统的投资占整个网站建设投资的1520%。投资过少,技术不成熟,缺乏安全防护意识是导致国内网站安全问题层出不穷的主要原因。,49,1.2.2.2电子商务交易风险1)在线交易主体的市场准入,在现行法律体制下,任何长期固定从事营利性事业的主体都必须进行工商登记。在电子商务环境下,任何人不经登记就可以借助计算机网络发出或接受网络信息,并通过一定程序与其他人达成交易。虚拟主体的存在使电子商务交易安全性受到严重威胁。,50,2)信息风险,从买卖双方自身的角度观察,网络交易中的信息风险来源于用户以合法身份进入系统后,买卖双方都可能在网络上发布虚假的供求信息,或以过期的信息冒充现在的信息。以骗取对方的钱款或货物。虚假信息包含有与事实不符和夸大事实两个方面。虚假事实可能是所宣传的商品或服务本身的性能、质量、技术标准等,也可能是政府批文、权威机构的检验证明、荣誉证书、统计资料等,还可能是不能兑现的允诺。夸大事实则对原有的事实加以粉饰,掩盖其缺点。,51,3)信用风险,来自买方的信用风险。对于个人消费者来说,可能存在在网络上使用信用卡进行支付时恶意透支,或使用伪造的信用卡骗取卖方的货物行为;对于集团购买者来说,存在拖延货款的可能。卖方需要为此承担风险。来自卖方的信用风险。卖方不能按质、按量、按时送寄消费者购买的货物,或者不能完全履行与集团购买者签定的合同,造成买方的风险。买卖双方都存在抵赖的情况。,52,4)网上欺诈犯罪,随着网络和电子商务技术的发展,假冒伪劣产品更加猖獗,利用电子商务欺诈已经成为最危险的一种犯罪活动。必须承认,全球网上交易中的欺诈行为已愈演愈烈。调查表明,在经营网上销售业务的商家中,83认为欺诈是一个不容忽视的问题。对此,全球的电子商务专家们表示了忧虑:“Internet业务确实呈爆炸性增长,但同时与Internet有关的犯罪率也呈直线上升。”打击Internet欺诈行为对保证电子商务正常发展具有重要意义。,53,5)电子合同问题,在传统商业模式下,除即时清结的或数额小的交易毋须记录外,一般都要签订书面合同,以免在对方失信不履约时以作为证据,追究对方的责任。而在在线交易情形下,所有当事人的意思表示均以电子化的形式存储于计算机硬盘或其他电子介质中。这些记录方式不仅容易被涂擦、删改、复制、遗失,而且不能脱离其记录工具(计算机)而作为证据独立存在。电子商务法需要解决由于电子合同与传统合同的差别而引起的诸多问题,突出表现在书面形式,签名有效性、合同收讫、合同成立地点、合同证据等方面。,54,6)电子支付问题,在电子商务简易形式下,支付往往采用汇款或交货付款方式,而典型的电子商务则是在网上完成支付的。网上支付通过信用卡制服和虚拟银行的电子资金划拨来完成。而实现这一过程涉及网络银行与网络交易客户之间的协议、网络银行与网站之间的合作协议以及安全保障问题。因此,需要制定相应的法律,明确电子支付的当事人(包括付款人、收款人和银行)之间的法律关系,制定相关的电子支付制度,认可电子签名的合法性。同时还应出台对于电子支付数据的伪造、变造、更改、涂改问题的处理办法。,55,7)在线消费者保护问题,在线消费者保护问题体现在两个方面,一方面是涉及到网络购物索赔、退货没有完善的法律约束,另一方面,消费者提供给购物网站的信息很难保证不被商家有意出售或无意泄漏。,56,8)电子商务中产品交付问题,在线交易的标的物分两种,一种有形货物,另一种是无形的信息产品。应当说,有形货物的交付仍然可以沿用传统合同法的基本原理,当然,对于物流配送中引起的一些特殊问题,也要作一些探讨。而信息产品的交付则具有不同于有形货物交付的特征,对于其权利的移转、退货、交付的完成等需要有相应的安全保障措施。,57,9)电子商务中虚拟财产的保护问题,2003年8月,网络游戏玩家李宏晨在北京市朝阳区人民法院对网络游戏红月的运营商北京北极冰科技发展有限公司提起诉讼。这是中国首例游戏玩家因虚拟装备丢失向游戏公司提起诉讼请求的案件,此案从法律上引出了网络中虚拟财产的界定问题。,58,1.2.2.3管理风险,严格管理是降低网络交易风险的重要保证,特别是在网络商品中介交易的过程中,客户进入交易中心,买卖双方签订合同,交易中心不仅要监督买方按时付款,还要监督卖方按时提供符合合同要求的货物。在这些环节上,都存在大量的管理问题。防止此类问题的风险需要有完善的制度设计,形成一套相互关联、相互制约的制度群。,59,1.2.2.4政策法律风险,电子商务的技术设计是先进的、超前的,具有强大的生命力。但必须清楚地认识到,在目前的法律中是找不到现成的条文保护网络交易方式的,在网上交易可能会承担由于法律滞后而造成的风险。在过去的几年里,联合国公布了三个重要的电子商务文件:电子商务示范法、电子签字示范法、联合国国际合同使用电子通信公约。许多国家参照联合国文件,颁布了一些电子商务相关法律法规,我国于2004年8月颁布了中华人民共和国电子签名法。,60,1.2.2电子商务的安全要素,电子商务随时面临的威胁导致了电子商务的安全需求。一个安全的电子商务系统要求做到真实性、机密性、完整性和不可抵赖性等。,61,1)真实性(身份可认证性),在进行电子商务交易时首先要保证身份的可认证性。这就意味着,在双方进行交易前,首先必须明确对方的身份,交易双方的身份不能被假冒或伪装。,62,2)保密性,电子商务另一个重要的安全需求就是信息的保密性。这需要对敏感信息进行加密,使得别人即使截获或窃取了数据,也无法识别信息的真实内容。,63,3)有效性,有效性是指贸易数据在确定的时刻、确定的地点是有效的。上面所讨论的信息保密性,是针对网络面临的被动攻击一类威胁而提出的安全需求,但它不能避免针对网络所采用的主动攻击一类的威胁。,64,4)完整性,保证信息的完整性也是电子商务活动中的一个重要的安全需求。完整性意味着交易各方收到的信息没有出现部分丢失或乱码,即信息在数据发送、传输和接收过程中始终保持原有的状态。,65,5)不可抵赖性,在电子交易过程的各个环节中都必须保存完整的记录并且不可更改。交易一旦达成,合同一旦签署,发送方不能否认他发送的信息,接收方也不能否认他所收到的信息。,66,1.2.3电子商务的安全体系结构,一谈到网络交易安全,人们首先想到的是技术保障措施,但从近年的网络犯罪案例来看,单纯通过技术来保障网络交易的安全事实上是不可靠的,操作系统本身往往就是威胁交易安全的最大隐患。我们的安全技术在网络攻击面前显得非常脆弱。有识之士指出,在保证网络安全方面,最大的问题不是技术而是我们的“安全思维”。著名的信息安全专家 Bruce Schneier 认为:“传统安全范式对系统的复杂性认识不足,而安全最麻烦的敌人是复杂性,安全问题实际上是人的问题。”,67,1.2.3.1电子商务交易安全保障体系是一个复合型系统,电子商务是活动在Internet 平台上的一个涉及信息、资金和物资交易的综合交易系统,其安全对象不是一般的系统,而是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂巨系统(complex giant system)。它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。,68,笔者认为,网络交易安全需要一个完整的综合保障体系,采用综合防范的思路,从技术、管理、法律等方面去认识,去思考,根据我国的实际和国外的经验,提出行之有效的综合解决的办法和措施。,69,1.2.3.2人网结合是电子商务安全保障的本质特征,人是网络的建设者和使用者、网上内容的提供者和消费者。Internet作为网络是在自组织机制上发展起来的,极大数量的用户互联、互动使之产生了全新的网络动力学特征。目前的网络存在的主要问题是结点和连接很不均匀,在用户点击行为偏好、通讯价格规模效应的交互作用下,Internet形成了少数结点(路由器或Web界面)集中了大量的连接(线路或URL)的状况,这就是非指数型的拓扑结构。,70,1.2.3.3电子商务交易安全是一个动态过程,与静态的安全概念不同,电子商务交易安全是一个需要不断分析、不断改进、不断完善的动态的过程,是一个不断实施“保护反馈修正再保护”的过程。,71,1.3电子商务基本流程1.3.1参加电子商务活动的主要角色和主要工具,参加电子商务活动的主要角色包括了该活动过程中涉及到的各个方面的人和机构。主要有:顾客(购物者、消费者)、销售商店(或电子商业销售商)、商业银行(参与电子商务的银行,顾客和销售商都在银行中有账号或开设账户)、信用卡公司(顾客使用卡的服务公司)、认证中心等。,72,电子商务活动中的主要工具有:终端(包括顾客使用的计算机、数据交换设备和数据通信设备)、电子钱包(用保密口令保密)、信用卡(采用保密算法加密)、货物、电子订货账单(上面有销售商店对顾客的编号)、电子收据(销售商店利用计算机和网络为已经购完货物的顾客发送的电子收据)。,73,1.3.2网络商品直销的流转程式,网络商品直销,是指消费者和生产者或者需求方和供应方,直接利用网络形式所开展的买卖活动,B2C电子商务基本属于网络商品直销的范畴。这种交易的最大特点是供需直接见面,环节少,速度快,费用低。其流转程式可以用图 1-6加以说明。,74,图 1-6网络商品直销的流转程式,75,由图1-6可以看出,网络商品直销过程可以分为以下6个步骤:,消费者进入Internet,查看在线商店或企业的主页。消费者通过购物对话框填写姓名、地址,购买商品的品种、规格、数量和价格。消费者选择支付方式,如信用卡,也可选用借记卡、电子货币或电子支票等。在线商店或企业的客户服务器检查支付方服务器,确认汇款额是否认可。在线商店或企业的客户服务器确认消费者付款后,通知销售部门送货上门。消费者的开户银行将支付款项传递到消费者的信用卡公司,信用卡公司负责发给消费者收费清单。,76,为保证交易过程中的安全,需要有一个认证机构对参与网络交易的各方进行认证,以确认他们的真实身份。,77,图 1-7认证中心存在下的网络商品直销流转程式,78,上述过程应当在电子商务安全协议下进行。在安全电子交易的四个环节中,即从消费者、商家、支付网关到认证中心,IBM、Microsoft、Netscape、SUN、Oracle等公司均有相应的解决方案。,79,1.3.3企业间网络交易的流转程式,企业间网络交易是B2B电子商务的一种基本形式。交易从寻找和发现客户出发,企业利用自己的网站或网络服务商的信息发布平台发布买卖、合作、招投标等商业信息。借助Internet超越时空的特性,企业可以方便地了解到世界各地其他企业的购买信息,同时也有随时被其他企业发现的可能。,80,通过商业信用调查平台,买卖双方可以进入信用调查机构申请对方的信用调查;通过产品质量认证平台,可以对卖方的产品质量进行认证。然后在信息交流平台上签订合同,进而实现电子支付和物流配送。最后是销售信息的反馈,完成整个B2B的电子商务交易流程。图1-8反映了这种交易形式的流转过程。,81,图 1-8企业间网络交易的流转程式,82,1.3.4网络商品中介交易的流转程式,网络商品中介交易是通过网络商品交易中心,即通过虚拟网络市场进行的商品交易。这是B2B电子商务的另一种形式。在这种交易过程中,网络商品交易中心以Internet为基础,利用先进的通讯技术和计算机软件技术,将商品供应商、采购商和银行紧密地联系起来,为客户提供市场信息、商品交易、仓储配送、货款结算等全方位的服务。其流转程式如图1-9所示。,83,图 1-9网络商品中介交易的流转程式,84,网络商品中介交易的流转程式可分为以下几个步骤:,买卖双方将各自的供应和需求信息通过网络告诉给网络商品交易中心,网络商品交易中心通过信息发布服务向参与者提供大量的、详细准确的交易数据和市场信息。买卖双方根据网络商品交易中心提供的信息,选择自己的贸易伙伴。网络商品交易中心从中撮合,促使买卖双方签订合同。,85,买方在网络商品交易中心指定的银行办理转账付款手续。指定银行通知网络交易中心买方货款到账。网络商品交易中心通知卖方将货物发送到设在离买方最近的交易中心配送部门。配送部门送货给买方。买方验证货物后通知网络商品交易中心货物收到。,86,网络商品交易中心通知银行买方收到货物。银行将买方货款转交卖方。卖方将回执送交银行。银行将回执转交买方。,87,通过网络商品中介进行交易具有许多突出的优点:网络商品中介为企业提供了无形的巨大市场;网络交易中心提供的认证服务和交易流程可以买卖双方的交易风险;网络交易中心的统一结算模式,可以提高资金的风险防范能力,避免资金的截留、占用及挪用。,88,1.4电子商务中的电子支付1.4.1电子支付的应用现状,在电子商务中,银行作为连接生产企业、商业企业和消费者的纽带,起着至关重要的作用,银行是否能有效地实现电子支付已成为电子商务成败的关键。在internet电子商务条件下,支付过程对原有的支付系统提出了更高的要求,要求从发起到最后完成资金转账的全过程都是电子形式。电子货币的种类和形式也相应地有了进一步地发展。internet上的电子货币系统主要包括电子信用卡系统、电子支票系统和数字现金系统等。,89,Visa集团早在1996年亚特兰大奥运会期间,就发行了30万张智能卡。智能卡可记载转入的金额,并在每次刷卡时扣除消费金额,是一种储值卡式的电子货币。芬兰银行也于1997年5月在欧洲率先进行网络购物付款的试验。2005年1季度欧洲Visa零售支付超过10%通过互联网进行,比去年同期增长50%。Visa欧洲称,互联网已经成为增长最快的支付渠道。,90,至2010年,欧洲Visa网络的互联网支付率将达到30%。欧洲电子商务正在逐渐追赶美国,2004年,Visa电子商务交易额美国占72%,欧洲为20%,亚太区占5%。目前在全球使用的电子货币系统大约有数百种,模式多种多样,包括电子现金方案、预支付工具、基于借记账户的在线支付网关、在线账单呈递、邮件账户支付等等。,91,在国内,受到电子商务发展的有力拉动,中国电子网上支付的市场规模发展迅速。2001 年中国网上支付的市场规模为9亿元,2004年该规模增长为75亿元,年均复合增长率(CAGR)为102.7%。根据市场研究公司iResearch的预测,未来几年我国网上支付的市场规模继续扩大,2007年我国网上支付市场规模将达到605亿元。,92,1.4.2电子支付的基本概念,所谓电子支付,是指进行电子商务交易的当事人,包括消费者、厂商和金融机构,使用安全电子支付手段通过网络进行的货币支付或资金流转。1989年美国法律学会批准的统一商业法规对电子支付作了如下定义:电子支付是支付命令发送方把存放于商业银行的资金,通过一条线路划入收益方开户银行,以支付给收益方的一系列转移过程。,93,与传统的支付方式相比较,电子支付具有如下特征:,电子支付是在开放的网络系统中以先进的数字流转技术来完成信息传输,采用数字化的方式进行款项支付的,而传统的交易支付方式则以传统的通信媒介通过现金流转、票据转让和银行的汇兑等物理实体来完成款项的支付。电子支付的工作环境是基于一个开放的系统平台(即因特网中),而传统的交易支付方式在较为封闭的系统中运作。,94,电子支付对软、硬件设施有很高的要求,一般要求有联网的微机、相关的软件及其他一些配套设施,而传统的交易支付方式对实施没有什么特殊的要求。电子支付具有方便、快捷、高效、经济的优势,交易方只要拥有一台上网的PC机使可足不出户,在很短的时间内完成整个支付过程。支付费用仅相当于传统支付方法的几十分之一,甚至几百分之一。,95,由于电子支付工具、支付过程具有无形化的特征,它将传统支付方式中面对面的信用关系虚拟化。如对支付工具的安全管理不是依靠普通的防伪技术,而是通过用户密码,软硬件加、解密系统以及路由器等网络设备的安全保护功能来实现的;为保证支付工具的通用性,需制定一系列标准;其风险管理的复杂性进一步增大等。,96,1.4.3电子支付存在的问题,中国的电子支付系统还处于发展的初期,存在较多的问题,这些问题集中体现在以下几个方面:,97,银行支付系统互联互通有待时日:大部分银行还无法提供完全的跨地区和跨行的支付服务,在实现传统支付系统到网络支付系统的改造过程中,各银行合作不协力,导致网络支付结算体系覆盖面比较小,网络支付业务缺乏统一标准,数据传输和处理的标准也不统一,网络银行的技术、应用和法律框架亟待完善。没有网络使用者数量上的累积,网络支付系统不可能得到发展。,98,更有效安全机制的探讨:安全是网络支付的核心问题。网络支付系统首要解决的问题就是系统安全性。我们发现,很多使用最先进技术的银行系统,同样会发生资金被盗取的案例,而且从目前的网络盗窃案件中,我们注意到只有极少数情况是由于银行系统漏洞导致的,更多的案件是由于管理漏洞或是用户自身的麻痹大意。由此,为了最大限度的保护网络支付安全,除了使用最先进的技术外,还需要规范管理流程,并不断对用户进行安全教育,建立由业务到技术到用户的多重安全机制。,99,支付机制的标准化有待提高:中国网络支付结算体系的技术标准、认证中心和支付网关的发展滞后,制约着网络支付系统的建设。行业需要龙头企业制定行业标准,实现标准的权威性和通用性。社会诚信体系尚未建立:由于社会整体信用制度不够健全,在交易过程中不讲诚信的情况是很多见的。消费者缺乏足够的辨别力,容易受消极信息的影响。此外,如何突破传统观念也是一个问题。利用技术手段可以在一定程度上弥补诚信的缺乏,从而促进社会信用体系的良性循环。,100,导入案例解析 通过第一章的学习,我们再次分析导入案例可以得出以下几点结论,电子商务安全是一个系统工程,一个安全的网络购物环境必须由政府、交易平台提供商以及网络交易者几方面共同努力建设才有可能实现。本案中,消费者一方的盲信和疏忽是造成损失的重要原因之一。网络购物者必须熟悉网络购物以及支付的流程,在目前国内信用体系还未建立的情况下,消费者首先要学会保护自己。本案中如果消费者能够在现有交易流程下,对所购商品进行分析,并追求相关部门的确认,损失原本是可以避免的。,101,网络交易风险存在于各个方面,网络交易者应该注意到所有的风险来源,并尽量规避。对商品信息进行隐瞒只是购物安全的一个方面,网络交易者在一次交易过程中,进行的所有活动都可能是风险的来源之一,包括所使用的计算机软件和硬件,交易对象的诚信度和可靠性等等。网络交易风险具有一定的时进性,只有善于分析潜在风险,才能彻底避免损失,网络安全保证并非一劳永逸,网络交易者需要始终保持警觉。,102,在网络交易过程中,注意交易凭证的保存,且交易凭证需符合现行法律的规定。C2C交易过程中的信息传递,一般是通过即时消息工具进行的,这种形式的信息是不受法律保护的,虽然,一部分交易平台将这些信息作为解决纠纷的凭证,然而事实上,这些凭证并不具有法律效力。因此在大额交易中,获取合法的凭证是必要的。,103,本章小结,讲述了电子商务在世界各国发展的概况以及发展过程中存在的主要问题。从网络、交易、管理以及政策几个方面对电子商务安全问题的风险来源进行了分析。对电子商务安全体系结构进行了分析,并阐明电子商务安全的实质。系统分析电子商务基本流程,并对常见的几种电子商务模式进行了简单的介绍。分析电子商务中的支付行为,并对目前电子支付应用中的主要问题进行了分类。,104,思考题,我国的电子商务发展