电子商务安全问题的探讨.docx
- 文档编号:16411907
- 上传时间:2023-07-13
- 格式:DOCX
- 页数:19
- 大小:33.08KB
电子商务安全问题的探讨.docx
《电子商务安全问题的探讨.docx》由会员分享,可在线阅读,更多相关《电子商务安全问题的探讨.docx(19页珍藏版)》请在冰点文库上搜索。
电子商务安全问题的探讨
安全问题成电子支付最大风险
曾几何时,电子支付还是一个新鲜玩意,因其方便快捷受人追捧,当然对其安全的顾虑也一直存在。
如今,越来越多的市民生活离不开这个部分——网上购物需要电子支付、水电费可电子支付、信用卡还款可电子支付,跨行转账,通过网上银行更可免交手续费。
日前,央行主导的第二代支付系统已进入试点银行接入阶段,有报道指出,这一被称“超级网银”的系统或将于2010年8月上线运行。
同时,中国移动入股浦发银行、阿里巴巴宣布向支付宝投资50亿元人民币、阿里巴巴引入paypal合作……这一切都将电子支付推向一个前所未有的高度。
这边厢,电子支付行业酝酿着一场革命风暴,电子支付扑面而来,除了担忧其安全问题,更有不少市民对“繁琐”的电子支付“摆手兼拧头”。
问题一:
办理手续麻烦
每年国内网购交易额呈数十倍增长,随之而生的电子支付用户量亦同样不断翻倍。
据了解,2009年,国内最大的c2c电子商务平台淘宝超过2000亿元,而旗下的在线支付工具支付宝的用户量目前更突破3亿元。
然而,对于开通电子支付,绝大部分用户的体会是,一项复杂繁琐的“工程”。
首先,要到银行开一个账号,当然,你可在已有的账户上开通电子支付功能。
其后,银行工作人员会告诉你,为了安全必须设一个网上银行密码,最好与银行卡密码不同。
第三步,须要购买一个usb安全盾,每次进行电子支付时,都必须将这个key插入到电脑中。
当然,不同的银行会有不同的电子支付安全保障方式,例如密码卡、支付额度设置等,采用“密码key”是大部分银行建议消费者使用的方式。
第四步,打开电脑,登录开户银行的网上银行,安装key的驱动程序,同时,网上银行会提醒你下载一份支付证书,支付证书与key的驱动程序下载并安装完成后,你再次登录网上银行,插入key输入密码,正确无误就能进行支付业务。
第五步,尽管银行卡开通了支付业务,但由于不同的网络商店拥有不同的第三方支付体系,例如淘宝是支付宝、qq商城是财付通,因此必须在支付宝或财付通上进行用户注册。
记者粗略地统计了一下,从开通账号,到真正网上支付,用户至少需要记住三个密码:
本身账号密码、网银密码、第三方在线支付密码。
假如是使用key,每次网上支付只能在安装了该key驱动程序与支付证书的电脑上进行。
市民王小姐表示,此前到银行开通了电子支付,后来发现家里电脑的操作系统不能兼容key的驱动程序,后来换了口令卡。
之后又要在支付宝上注册,两个密码要不同,登录网银又要密码,最后都搞糊涂了,索性到银行关闭了这项功能,在网上买东西就让朋友帮付款。
问题二:
安全,还是安全
电子支付自诞生之初到逐步普及,其最大问题依然是面临安全风险。
银联数据服务有限公司总裁王炎方表示,央行之所以目前推出第二代支付系统,主要还是从安全和控制风险的角度考虑。
银行工作人员表示,如今电子支付的使用较为复杂,设多个密码,又要key又要证书,都是为了保障使用时的安全。
支付宝等第三方支付在线工具,还提供第三方托管服务,让用户在收货验货后才正式转账给卖家,这都是为了保证用户资金安全。
道高一尺,魔高一丈。
尽管具有这些防范手段,但现在用户使用网银时仍存在安全隐患。
据国内安全软件中心的数据显示,现在网络犯罪分子大多数利用两种手段诱骗与窃取网上银行账户信息——钓鱼网站与木马病毒、后门恶意程序植入。
记者随机采访了十多个经常使用电子支付的白领,其中七成表示对电子账号的安全担忧。
链接阅读:
国内电子支付“扫盲”
目前国内的电子支付市场,主要分为四大阵营。
第一是独立的第三方支付企业,比如快钱、易宝支付等;二是国内电子商务交易平台延伸的在线支付工具,例如支付宝、财付通、百付宝等;三是国家银行阵营,比如中国银联的chinapay,各个银行的网上银行等;四是运营商为代表的移动支付企业。
国内众多b2c、c2c等网络商店都捆绑至少一个或多个第三方支付工具,通常注册一个第三方支付的账号就能在多个网络商品购物。
另外,大部分第三方支付、中国银联目前都提供水电煤气费缴纳、信用卡还款、跨行转账、手机充值等服务。
电子商务安全问题浅析-论文学习
时间:
2010-3-34:
20:
54点击:
659
核心提示:
电子商务安全问题浅析 摘要:
随着电子信息技术的迅速普及和广泛应用,电子商务以其快捷、便利等优点越来越受到社会的认可。
电子商务的发展前景十分诱人,但商业信息的安全依然是电子商务的首要问题。
本文从实现电子商务安全性的基本框架出发,对电子商务中的各种安全技术进行了分析,以探讨一种有效、安全的实现电子商...
电子商务安全问题浅析
摘要:
随着电子信息技术的迅速普及和广泛应用,电子商务以其快捷、便利等优点越来越受到社会的认可。
电子商务的发展前景十分诱人,但商业信息的安全依然是电子商务的首要问题。
本文从实现电子商务安全性的基本框架出发,对电子商务中的各种安全技术进行了分析,以探讨一种有效、安全的实现电子商务的途径。
关键词:
电子商务;身份认证;防火墙
一、有关电子商务的安全性要求
1.对电子商务活动安全性的要求:
(1)服务的有效性要求。
电子商务系统应能防止服务失败情况的发生,预防由于网络故障和病毒发作等因素产生的系统停止服务等情况,保证交易数据能准确快速的传送。
(2)交易信息的保密性要求。
电子商务系统应对用户所传送的信息进行有效的加密,防止因信息被截取破译,同时要防止信息被越权访问。
(3)数据完整性要求。
数字完整性是指在数据处理过程中,原来数据和现行数据之间保持完全一致。
为了保障商务交易的严肃和公正,交易的文件是不可被修改的,否则必然会损害一方的商业利益。
(4)身份认证的要求。
电子商务系统应提供安全有效的身份认证机制,确保交易双方的信息都是合法有效的,以免发生交易纠纷时提供法律依据。
2.电子商务的主要安全要素
(1)信息真实性、有效性。
电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。
电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。
(2)信息机密性。
电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。
传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。
电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。
(3)信息完整性。
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。
由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。
此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。
因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
(4)信息可靠性、可鉴别性和不可抵赖性。
可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。
在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。
在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。
因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
在internet上每个人都是匿名的,电子商务系统应充分保证原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。
二、电子商务采用的主要安全技术
1.网络节点的安全
防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。
防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供一个相对更安全的平台。
防火墙是在连接internet和intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。
通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的intranet系统。
应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。
安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:
规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。
所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。
仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
2.通讯的安全
在客户端浏览器和电子商务web服务器之间采用ssl协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。
目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。
为在浏览器和服务器之间建立安全机制,ssl首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(ca中心)签发。
浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(pki)。
验证个人证书是为了验证来访者的合法身份,而单纯的想建立ssl链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。
验证此证书是合法的服务器证书通过后利用该证书对称加密算法(rsa)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。
此时浏览器也会出进入安全状态的提示。
3.应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。
程序错误有以下几种形式:
程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。
整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。
不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。
不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。
缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。
程序不检查输入字符串长度。
假的输入字符串常常是可执行的命令,特权程序可以执行指令。
程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。
例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。
访问控制系统中没有什么可以检测到这些问题。
只有通过监视系统并寻找违反安全策略的行为,才能发现像这些问题一样的错误。
4.用户的认证管理
(1)身份认证。
电子商务企业用户身份认证可以通过服务器ca证书与ic卡相结合实现。
ca证书用来认证服务器的身份,ic卡用来认证企业用户的身份。
个人用户由于没有提供交易功能,所以只采用id号和密码口令的身份确认机制。
(2)ca证书。
要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是ca证书,它由认证授权中心(ca中心)发行。
认证中心(ca)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。
认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。
ca中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。
建立ssl安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。
验证个人证书是为了验证来访者的合法身份。
而单纯的想建立ssl链接时客户只需用户下载该站点的服务器证书。
(3)安全套接层ssl协议。
安全套接层ssl协议是netscape公司在网络传输层与应用层之间提供的一种基于rsa和保密密钥的用于浏览器与web服务器之间的安全连接技术。
ssl通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(ca,certificateauthority)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。
在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。
ssl协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如ht2tp、ftp、telnet等)以保证应用层数据传输的安全性。
ssl协议握手流程由两个阶段组成:
服务器认证和用户认证。
三、电子商务安全需要进一步完善的配套措施
电子商务要真正成为一种主导的商务模式,尤其对发展中的中国来说,发展电子商务,就必须从以下几个方面来完善配套措施:
(1)突破关键技术受制于人的瓶颈。
(2)我国应尽快对电子商务的有关细则进行立法。
(3)大力开发大型商务网站,发展与之相配套的物流公司。
(4)为了确保系统的安全性,除了采用技术手段外,还必须建立严格的内部安全机制。
(5)建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。
(6)对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。
安全实际上就是一种风险管理。
任何技术手段都不能保证100%的安全。
但是,安全技术可以降低系统遭到破坏、攻击的风险。
决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。
电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。
安全只是相对的,而不是绝对的。
因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。
参考文献:
[1]吴洋.电子商务安全方法研究[d].天津:
天津大学,2006.
[2]李艳.电子商务信息安全策略研究[j].甘肃科技,2005(6).
[3]成卫青,龚俭.网络安全评估[j].计算机工程,2003
(2).
[4]甘悦.浅议电子商务信息安全体系的构建[j].西北成人教育学报,2007
(2).
关于电子商务安全解决方案的探讨-数据加密解密
时间:
2010-3-121:
25:
45点击:
162
核心提示:
关于电子商务安全解决方案的探讨 内容摘要:
本文通过对私有密钥加密法和公开密钥加密法的算法原理进行分析,阐述了两种加密法在网络支付中的具体应用过程,并对两种加密法的优缺点进行了比较。
关键词:
电子商务;网络银行;私有密钥加密法;公开密钥加密法 对数据进行有效加密与解密,称为密码技术,即数据...
关于电子商务安全解决方案的探讨
内容摘要:
本文通过对私有密钥加密法和公开密钥加密法的算法原理进行分析,阐述了两种加密法在网络支付中的具体应用过程,并对两种加密法的优缺点进行了比较。
关键词:
电子商务;网络银行;私有密钥加密法;公开密钥加密法
对数据进行有效加密与解密,称为密码技术,即数据机密性技术。
其目的是为了隐蔽数据信息,将明文伪装成密文,使机密性数据在网络上安全地传递而不被非法用户截取和破译。
伪装明文的操作称为加密,合法接收者将密文恢复出原明文的过程称为解密,非法接收者将密文恢复出原明文的过程称为破译。
密码是明文和加密密钥相结合,然后经过加密算法运算的结果。
加密包括两个元素,加密算法和密钥。
加密时所使用的信息变换规则称为加密算法,是用来加密的数学函数,一个加密算法是将普通的文本(或者可以理解的信息)与一串字符串即密钥结合运算,产生不可理解的密文的步骤。
密钥是借助一种数学算法生成的,它通常是由数字、字母或特殊符号组成的一组随机字符串,是控制明文和密文变换的唯一关键参数。
对于相同的加密算法,密钥的位数越多,破译的难度就越大,安全性就越好。
目前,电子商务通信中常用的有私有(对称)密钥加密法和公开(非对称)密钥加密法。
一、私有密钥加密法
(一)定义
私有密钥加密,指在计算机网络上甲、乙两用户之间进行通信时,发送方甲为了保护要传输的明文信息不被第三方窃取,采用密钥a对信息进行加密而形成密文m并发送给接收方乙,接收方乙用同样的一把密钥a对收到的密文m进行解密,得到明文信息,从而完成密文通信目的的方法。
这种信息加密传输方式,就称为私有密钥加密法。
上述加密法的一个最大特点是,信息发送方与信息接收方均需采用同样的密钥,具有对称性,所以私有密钥加密又称为对称密钥加密。
(二)使用过程
具体到电子商务,很多环节要用到私有密钥加密法。
例如,在两个商务实体或两个银行之间进行资金的支付结算时,涉及大量的资金流信息的传输与交换。
这里以发送方甲银行与接收方乙银行的一次资金信息传输为例,来描述应用私有密钥加密法的过程:
银行甲借助专业私有密钥加密算法生成私有密钥a,并且复制一份密钥a借助一个安全可靠通道(如采用数字信封)秘密传递给银行乙;银行甲在本地利用密钥a把信息明文加密成信息密文;银行甲把信息密文借助网络通道传输给银行乙;银行乙接受信息密文;银行乙在本地利用一样的密钥a把信息密文解密成信息明文。
这样银行乙就知道银行甲的资金转账通知单的内容,结束通信。
(三)常用算法
世界上一些专业组织机构研发了许多种私有密钥加密算法,比较著名的有des算法及其各种变形、国际数据加密算法idea等。
des算法由美国国家标准局提出,1977年公布实施,是目前广泛采用的私有密钥加密算法之一,主要应用于银行业中的电子资金转账、军事定点通信等领域,比如电子支票的加密传送。
经过20多年的使用,已经发现des很多不足之处,随着计算机技术进步,对des的破解方法也日趋有效,所以更安全的高级加密标准aes将会替代des成为新一代加密标准。
(四)优缺点
私有密钥加密法的主要优点是运算量小,加解密速度快,由于加解密应用同一把密钥而应用简单。
在专用网络中由于通信各方相对固定、所以应用效果较好。
但是,私有密钥加密技术也存在着以下一些问题:
一是分发不易。
由于算法公开,其安全性完全依赖于对私有密钥的保护。
因此,密钥使用一段时间后就要更换,而且必须使用与传递加密文件不同的途径来传递密钥,即需要一个传递私有密钥的安全秘密渠道,这样秘密渠道的安全性是相对的,通过电话通知、邮寄软盘、专门派人传送等方式均存在一些问题。
二是管理复杂,代价高昂。
私有密钥密码体制用于公众通信网时,每对通信对象的密钥不同,必须由不被第三者知道的方式,事先通知对方。
随着通信对象的增加,公众通信网上的密码使用者必须保存所有通信对象的大量的密钥。
这种大量密钥的分配和保存,是私有密钥密码体制存在的最大问题。
三是难以进行用户身份的认定。
采用私有密钥加密法实现信息传输,只是解决了数据的机密性问题,并不能认证信息发送者的身份。
若密钥被泄露,如被非法获取者猜出,则加密信息就可能被破译,攻击者还可用非法截取到的密钥,以合法身份发送伪造信息。
在电子商务中,有可能存在欺骗,别有用心者可能冒用别人的名义发送资金转账指令。
因此,必须经常更换密钥,以确保系统安全。
四是采用私有密钥加密法的系统比较脆弱,较易遭到不同密码分析的攻击。
五是它仅能用于对数据进行加解密处理,提供数据的机密性,不能用于数字签名。
二、公开密钥加密法
(一)定义与应用原理
公开密钥加密法是针对私有密钥加密法的缺陷而提出来的。
是电子商务应用的核心密码技术。
所谓公开密钥加密,就是指在计算机网络上甲、乙两用户之间进行通信时,发送方甲为了保护要传输的明文信息不被第三方窃取,采用密钥a对信息进行加密而形成密文m并发送给接收方乙,接收方乙用另一把密钥b对收到的密文m进行解密,得到明文信息完密文通信目的的方法。
由于密钥a、密钥b这两把密钥中其中一把为用户私有,另一把对网络上的大众用户是公开的,所以这种信息加密传输方式,就称为公开密钥加密法。
与私有(对称)密钥加密法的加密和解密用同一把密钥的原理不同,公开密钥加密法的加密与解密所用密钥是不同的,不对称,所以公开私有密钥加密法又称为非对称密钥加密法。
公开密钥加密法的应用原理是:
借助密钥生成程序生产密钥a与密钥b,这两把密钥在数学上相关,对称作密钥对。
用密钥对其中任何一个密钥加密时,可以用另一个密钥解密,而且只能用此密钥对其中的另一个密钥解密。
在实际应用中,某商家可以把生成的密钥a与密钥b做一个约定,将其中一把密钥如密钥a保存好,只有商家自己知道并使用,不与别人共享,叫作私人密钥;将另一把密钥即密钥b则通过网络公开散发出去,谁都可以获取一把并能应用,属于公开的共享密钥,叫做公开密钥。
如果一个人选择并公布了他的公钥,其他任何人都可以用这一公钥来加密传送给那个人的消息。
私钥是秘密保存的,只有私钥的所有者才能利用私钥对密文进行解密,而且非法用户几乎不可能从公钥推导出私钥。
存在下面两种应用情况:
一是任何一个收到商家密钥b的客户,都可以用此密钥b加密信息,发送给这个商家,那么这些加密信息就只能被这个商家的私人密钥a解密。
实现保密性。
二是商家利用自己的私人密钥a对要发送的信息进行加密进成密文信息,发送给商业合作伙伴,那么这个加密信息就只能被公开密钥b解密。
这样,由于只能应用公开密钥b解密,根据数学相关关系可以断定密文的形成一定是运用了私人密钥a进行加密的结果,而私人密钥a只有商家拥有,由此可以断定网上收到的密文一定是拥有私人密钥a的商家发送的。
(二)使用过程
具体到电子商务,很多环节要用到公开密钥加密法,例如在网络银行客户与银行进行资金的支付结算操作时,就涉及大量的资金流信息的安全传输与交换。
以客户甲与乙网络银行的资金信息传输为例,来描述应用公开密钥加密法在两种情况下的使用过程。
首先,网络银行乙通过公开密钥加密法的密钥生成程序,生成自己的私人密钥a与公开密钥b并数学相关,私人密钥a由网络银行乙自己独自保存,而公开密钥b已经通过网络某种应用形式(如数字证书)分发给网络银行的众多客户,当然客户甲也拥有一把网络银行乙的公开密钥b。
1、客户甲传送一“支付通知”给网络银行乙,要求“支付通知”在传送中是密文,并且只能由网络银行乙解密知晓,从而实现了定点保密通信。
客户甲利用获得的公开密钥b在本地对“支付通知”明文进行加密,形成“支付通知”密文,通过网络将密文传输给网络银行乙。
网络银行乙收到“支付通知”密文后,发现只能用自己的私人密钥a进行解密形成“支付通知”明文,断定只有自己知晓“支付通知”的内容,的确是发给自己的。
2、网络银行乙在按照收到的“支付通知”指令完成支付转账服务后,必须回送客户甲“支付确认”,客户甲在收到“支付确认”后,断定只能是网络银行乙发来的,而不是别人假冒的,将来可作支付
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子商务 安全问题 探讨