时间:2023-06-11 09:33:35
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇数字贸易存在的问题,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
1商务主要的信息安全要素
1.1有效性
有效性是指信息发送方发送给信息接收方的信息是未经外人加工、改变的信息。贸易数据都具有特定型性,是指贸易信息只有在特定的时刻和确定的地点才是有效的。电子商务改变了过去纸质的方式,以电子的形式传递信息,如何确保电子信息在传送过程中的未经加工是确保信息有效的前提。电子商务中信息的有效性对企业、个人、甚至国家的经济利益有着重大的影响,所以,要及时对网络故障、应用程序错误、系统软件错误或者计算机病毒引起的信息安全隐患进行防范,以确保数据的有效性。
1.2保密性
保密性是指贸易信息在存储或传递过程中未经他人窃取或泄露。传统的纸质贸易信息一般是通过邮寄的信件及其他可靠的传递渠道来互送商业贸易文件以确保信息的安全。现代电子网络是一个开放的传递平台,维护商业贸易信息显得更加重要,确保商业机密的保密性是电子商务全面推广应用的基本保障。所以,必须确保贸易信息在传递过程中的保密性,防止非法窃取及泄露。
1.3完整性
完整性是指电子贸易信息在传递的过程中没有没被修改、歪曲和重复,信息的接受者接收到的信息与信息发送方发送的信息完全相同。贸易信息的完整性会对贸易各方经济利润、营销策略和贸易合同产生巨大影响。确保贸易信息的完整性是电子商务实际应用的重要基础。所以,在信息传递过程中要防范信息被随意生成、修改和删除,防止信息的丢失与重复,同时信息的传递次序要保证统一。
1.4可靠性
电子商务信息直接关系到贸易双方的商业交易,在交易过程中如何确保进行交易的对方与交易所期望的贸易方是同一者,这就需要电子商务信息必须确保本身的可靠性。在传统的商业交易中,双放当事人可以通过手写签名或印章等形式确保双方的身份,但是电子商业贸易利用网络这一形式,无法采取传统的身份认定形式,就必须确保贸易信息的可靠性,从而为贸易双方进行商业交易奠定重要基础。
2电子商务安全的技术要求
2.1物理安全
要根据国家标准、信息安全等级、信息技术情况,制定切实可行、符合实际情况的的物理安全标准体系。本体系可以防范设备功能失常、电源事故、电磁泄漏等引起的信息失密等。
2.2网络安全
为了保证电子商务交易的安全可靠,电子商务平台须稳定可靠,能够全天候正常运行。系统在运行的任何中断,如病毒入侵、网络故障或硬件软件错误等都会对正在进行电子商务交易的双方造成重大损失,尤其是丢失或失密的贸易信息,将是不可恢复性的。
2.3商务安全
商务安全是指商务交易中的安全问题,商务安全的不同方面需要通过不同的网络安全技术和安全交易标准来确保实现。确保电子商务安全的技术主要有安全电子交易SET协议、在线支付协议、文件加密技术、数字签名技术等。
2.4系统安全
系统安全主要是指主机的操作系统和数据库系统的安全情况。对系统安全的防范和保护,要通过安全技术升级,加强安全保护设施的投资建设,提高系统的安全防护能力。
3目前我国电子商务存在的问题
就我国电子商务而言,我国的科学技术水平目前还处于较低层次,技术含量不高,资金投入又不足,在安全保密方面存在较大的隐患,网络安全性较低,主要表现在我国的网络信息易扰、欺骗等,再加上我国人民对于网络安全这方面的安全意识不高,网络安全处于十分薄弱的环境中。
3.1电子商务安全存在的隐患
(1)网络协议方面的安全问题。在电子商务中,交易双方在交易中是通过传送数据包的形式来交换数据,传送过程中,不法恶意攻击者会拦截数据包,甚至在一定程度上破坏,这使得接收方接收的信息是不正确的。
(2)用户信息的安全问题。用户和商家是在B/S结构的电子商务网站使用浏览器登录进行交易,在登陆浏览器时势必会使用电脑,有的用户在使用电脑时,如果计算机中存在木马,那么登陆者的信息存在泄露的危险,有的用户在不方便使用自己电脑的情况下使用公共计算机,有些不法分子会通过电脑技术窃取交易信息。
(3)商家商务网的安全问题。有些企业在制作自己的商务网站时由于技术不过硬,本身的商务网站就存在隐患,服务器安全性低,不法分子利用电脑技术攻击商务网站,窃取用户信息和交易信息。
3.2电子商务安全问题的具体表现
(1)交易信息被窃取、毁坏。电子商务交易在数据包的传送过程中,可能会被一些不法分子运用电脑技术非法篡改交易信息,使得交易信息失去真实性和可靠性。无论是在网络硬件还是软件方面,都存在导致传送过程中信息的误传的可能性。
(2)假冒身份问题。电子商务交易是通过浏览器登录进行交易,交易双方没有机会面对面洽谈,这就给了第三人一个假冒交易某一方破坏交易、骗取交易成果,甚至败坏交易某一方的声誉等的机会。
(3)交易抵赖问题。例如,在电子商务交易中,买家收到货之后,不确认收货。
(4)计算机病毒感染问题。电子商务交易势必会使用计算机,交易者在使用计算机时,存在选中有病毒的计算机的可能性,这样给商务交易带来了问题。另外,我国网上的蠕虫病毒等在网络流域的传播极易发生,传播过程中会产生巨大的攻击流量,会导致访问速度滞停的问题。
4电子商务安全防范技术
为确保电子商务贸易的有效进行,一方面要保证电子商务平台的运行可靠稳定,能够全天候持续不断地提供网络服务;另一方面,电子商务系统还必须不断更新和采用最新安全技术来保证电子商务的整个交易过程的安全,防止交易抵赖行为。在现实生活中,电子商务安全防范技术主要有以下几种:
4.1数据加密技术
数据加密技术分为常规密钥密码体系和公开密钥密码体系两大类。在交易双方可以保证密钥在交换阶段未曾发生丢失或泄露的情况下,通常采用常规密钥密码技术为机密信息加密。在公开密钥密码体系中,加密密钥是公开的信息,加密算法和解密算法也是公开的信息,而解密密钥是机密的。重要的公开密钥密码体系有:基于NP完全理论的Merkel-Hellman背包体系、基于数论中大数分解的RSA体系、基于编码理论的McEliece体系。以上两种加密体系各有优缺点:常规密钥密码体系的优点是加密速度快、效率高,主要用于大量数据的加密,但是常规密钥密码体系中密钥在传递过程中容易被窃取,对于大量密钥的管理存在缺陷;公开密钥体系在大范围密钥的安全方面很好的解决了常规密钥密码体系存在的问题,保密性能比常规密钥密码体系高,但是公开密钥密码体系项目复杂,加密速度较慢。实践中通常将常规密钥密码体系和公开密钥密码体系结合起来使用。
4.2防火墙技术
防火墙技术分为两类:服务技术和数据包过滤技术。其中,数据包过滤技术较为简单,也最常用,它通过检查接收到的每个数据包的头,来分析该数据包是否已经发送到目的地。防火墙技术通过对数据进行分析并有选择的过滤,从而有效地避免外来因素对数据包进行的破坏,保证网络的安全。实践中,也常常将数据包过滤防火墙与服务器结合使用,可以更加有效地保护网络安全。
4.3虚拟专网技术VPN
VPN具有适应性强、投资小、易管理等优点,通过使用信息加密技术、安全隧道技术、用户认证技术、访问控制技术等实现对网络信息的保护。VPN可以使商业伙伴、公司、供应商、远程用户的内部网之间建立可靠稳定的安全连接,确保贸易信息的安全传输,从而保证在公共的Internet或企业局域网之间安全进行电子交易。
4.4安全认证技术
安全认证技术包括以下几种:
(1)数字签名技术。数字签名技术可以确保原始报文的不可否认性以及鉴别,并且可以防止虚假签名。
(2)数字摘要技术。数字摘要技术通过验证网络传输的明文,鉴别其是否经过篡改,进而确保数据的有效性和完整性。
(3)数字凭证技术。数字凭证技术通过运用电子手段来鉴别用户身份以及管理用户对网络资源访问的权限。
(4)认证中心。认证中心专门负责审核网络用户的真实身份并提供相应的证明,且只管理每个用户的一个公开密钥,在一定程度上大大降低了密钥管理的复杂性。
(5)智能卡技术。智能卡具有存储数据和读写数据的能力,可以对数据进行简单地处理,能够对数据进行加密和解密,其特点是存储器部分具有外部不可读性,可以使用户身份鉴别更加安全。
5电子商务中的信息安全对策
5.1不断完善网络安全管理体系
我国应在现有网络安全管理部门之外建立一个具有权威的信息安全领导机构。该部门应宏观地、有效统一地协调各部门的职能,对市场网络信息安全现状进行及时的分析,制定科学的政策。对于使用计算机网络的单位及个人,必须严格遵守《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络安全保护管理办法》,建立完善的责任问责制度。
5.2大力培养网络安全专业人才
面对现代网络应用高速普及的情况,网络安全专业人才显得捉襟见肘,我国需要大量的网络安全人才维护网络的安全。我国应加大对培养网络安全人才的科研教育机构的投入力度,同时积极组织人才及组织与国外的相关部门进行技术经验交流,不断引进国外先进网络安全保护技术,并及时对我国专业人员进行技术培训。
5.3建立网络风险防范机制
现阶段我国的网络安全技术较滞后、相关法律法规不是很健全,网络安全面临很多威胁因素,这就要求电子贸易用户建立网络风险防范机制,为存在的安全因素建立补救措施。电子商务交易用户可以根据交易具体情况为标的物进行投保,通过这些措施,可在很大程度上减少网络安全事故造成的经济损失。
关键词:电子商务在线支付安全性安全套接层协议安全电子交易协议
中图分类号:TP393
1引言
Internet给整个社会带来了巨大的变革,成为驱动所有产业发展的动力。电子商务是在Internet开放环境下的一种新型的商业运营模式,是网络技术应用的全新发展方向。在此首先对电子商务中存在的问题及其安全性技术加以分析,然后对中国电子商务未来的发展提出了一些建议,以使更多的人士关注电子商务技术,尽快解决现存的问题,推动电子商务的发展。
2电子商务及其存在的问题
电子商务是指利用简单快捷低成本的电子通讯方式,使买卖双方进行各种商贸活动的新型贸易形式。它改变了传统贸易形式,不仅改变了企业本身的生产、经营、管理活动,而且将导致人类经济、社会和文化的一次新的革命。但目前电子商务的发展中还存在许多问题:
1)安全协议问题:对安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。
2)安全管理问题:在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
3)电子商务没有真正深入商务领域而仅仅局限于信息领域。
4)技术人才短缺问题:电子商务是在近几年才得到了迅猛发展,许多地方都缺乏足够的技术人才来处理所遇到的各种问题。不少电子商务的开发商对网络技术很熟悉,但是对安全技术了解得偏少,因而难以开发出真正实用的、安全性的产品。
5)法律问题:电子交易衍生了一系列法律问题,例如网络交易纠纷的仲裁、网络交易契约等问题,急需为电子商务提供法律保障。
6)税收问题:电子商务的发展在促进贸易增加税收的同时又对税收制度及其管理手段提出了新要求。
3电子商务中的安全性技术
安全性技术是保证电子商务健康有序发展的关键因素,也是目前大家十分关注的问题。虽然Internet的开放式的信息交换使之在安全方面存在脆弱性,但现在几乎网络的各个层次都制订了安全协议和具备了相应的安全技术,以保证电子商务的安全性。
3.1安全的网络平台
安全可靠的网络是实现电子商务的基础,常用的方法是在网络中采用防火墙技术,虚拟专用网(VPN)技术,防病毒保护等。防火墙技术是通过IP过滤和服务器软件方法保护企业内部网(Intranet)中数据,只有授权用户才能获准进入企业内部网的系统。虚拟专用网(VPN)技术通过IP隧道等方法来保证企业协作网(Extranet)中企业间数据和企业内部网的远程分支机构和外出职工对中央系统的远程访问数据的安全传递。单纯依靠这些方法保护网络的安全性是不够的,还必须与其它安全措施综合使用才能为为用户提供更为可靠的电子商务基石,例如现在的加密技术、数字签名技术、电子认证技术等。
3.2在线支付的安全技术
电子商务的另一个关键问题是要保证在线支付的安全,它是网上购物的重要保证。目前采用的在线支付协议有两种:安全套接层SSL(SecureSocketsLayer)协议和安全电子交易SET(SecureElectronicTransaction)协议。
3.2.1SSL协议
SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(CertificateAuthority,CA)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。
SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如
一、电子商务存在的安全问题
由于电子商务是以信息技术和计算机网络为基础的,与传统商务比较,它不可避免的面临着一系列的安全问题。
1.信息泄漏
在电子商务中表现为商业机密的泄漏,主要包括两个方面:交易双方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。攻击者主要通过截获和窃取的方式造成信息泄漏。
2.篡改
在电子商务中表现为商业信息的真实性和完整性的问题。当攻击者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传输的信息数据在中途篡改,然后再发向目的地,破坏数据的真实性和完整性。
3.伪造
由于掌握了数据的格式,并可以篡改通过的信息,如果不进行身份识别,攻击者就有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等。
4.信用威胁
交易者否认参加过交易,如买方提交订单后不付款,或者输入虚假银行资料使卖方不能提款;用户付款后,卖方没有把商品发送到客户手中,使客户蒙受损失。
5.电脑病毒
电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。
二、电子商务安全要素
安全问题是企业应用电子商务最担心的问题,而如何保障电子商务活动的安全,将一直是电子商务的核心研究领域。作为一个安全的电子商务系统,首先必须具有一个安全、可靠的通信网络,以保证交易信息安全、迅速地传递;其次必须保证数据库服务器绝对安全,防止黑客闯入网络盗取信息。下面介绍电子商务涉及的安全要素.
1.有效性
电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
2.机密性
电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。电子商务是建立在一个较为开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。
3.完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。
4.可靠性
电子商务直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方是保证电子商务顺利进行的关键。要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
5.即需性
即需性是防止延迟或拒绝服务,即需安全威胁的目的就在于破坏正常的计算机处理或完全拒绝服务。在电子商务中,延迟一个消息或消除它会带来灾难性的后果。
6.身份认证
指交易双方可以相互确认彼此的真实身份,确认对方就是本次交易中所称的真正交易方。这一过程为授权和审计所必需,也是实现授权、审计的访问控制过程运行的前提,是计算机网络安全系统不可缺少的组成部分。
7.审查能力
根据机密性和完整性的要求,应对数据审查的结果进行记录。审查能力是指每个经授权的用户的活动的唯一标识和监控,以便对其所使用的操作内容进行审计和跟踪。
三、电子商务交易安全技术
由于电子商务活动所涉及的大量机密信息都必须通过网络传播,并且以电子数据的形式存储,要求有完善的安全技术来保证电子商务交易的安全。目前,电子商务过程中主要采用的安全技术有加密技术、认证技术和安全认证协议。
1.加密技术
加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。在加密和解密的过程中,由加密者和解密者使用的加解密可变参数叫做密钥。 目前,获得广泛应用的两种加密技术是对称密钥加密体制和非对称密钥加密体制。
2.认证技术
安全认证的主要作用是进行信息认证。主要包括安全认证技术和安全认证机构两个方面。安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等; 电子商务认证中心就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。
3.安全认证协议
目前电子商务中有两种安全认证协议被广泛使用,即安全套接层SSL协议和安全电子交易SET协议。SSL协议一般服务于银行对企业或企业对企业的电子商务。SET协议位于应用层,用来保证互联网上银行卡支付交易安全性。所以SET一般服务于持卡消费、网上购物的电子商务。
[关键词] 网络安全交易安全安全技术安全措施
一、引言
电子商务的发展前景十分诱人,而其安全问题也变得越来越突出,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。
二、电子商务存在的安全问题
1.计算机网络安全
(1)潜在的安全隐患。未进行操作系统相关安全配置。不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。
(2)未进行CGI程序代码审计。网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。
(3)安全产品使用不当。由于一些网络安全设备本身的问题或使用问题,这些产品并没有起到应有的作用。很多厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但系统改动,在改动相关安全产品的设置时,很容易产生许多安全问题。
(4)缺少严格的网络安全管理制度
网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。
2.商务交易安全
(1)窃取信息。由于未采用加密措施,信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
(2)篡改信息。当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。
(3)假冒。由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
(4)恶意破坏。由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
三、电子商务安全技术
1.加密技术
(1)对称加密/对称密钥加密/专用密钥加密
该方法对信息的加密和解密都使用相同的密钥。使用对称加密方法将简化加密的处理,每个贸易方都不必彼此研究和交换专用的加密算法而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。
(2)非对称加密/公开密钥加密
这种加密体系中,密钥被分解为一对。这对密钥中的任何一把都可作为公开密钥通过非保密方式向他人公开,而另一把则作为专用密钥加以保存。公开密钥用于对机密性的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛,但它只对应于生成该密钥的贸易方。
(3)数字摘要
该方法亦称安全Hash编码法或MD5。采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文,即数字指纹,它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这摘要便可成为验证明文是否是“真身”的“指纹”了。
(4)数字签名
信息是由签名者发送的;信息在传输过程中未曾作过任何修改。这样数字签名就可用来防止电子信息因易被修改而有人作伪;或冒用别人名义发送信息;或发出(收到)信件后又加以否认等情况发生。
(5)数字时间戳
它是一个经加密后形成的凭证文档,包括三个部分:需加时间戳的文件的摘要;DTS收到文件的日期和时间;DTS的数字签名。
(6)数字凭证
数字凭证又称为数字证书,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。在网上的电子交易中,如双方出示了各自的数字凭证,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。它包含:凭证拥有者的姓名; 凭证拥有者的公共密钥;公共密钥的有效期;颁发数字凭证的单位;数字凭证的序列号;颁发数字凭证单位的数字签名。
数字凭证有三种类型:个人凭证,企业(服务器)凭证, 软件(开发者)凭证。
2.Internet电子邮件的安全协议
(1)PEM:是增强Internet电子邮件隐秘性的标准草案,它在Internet电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能,允许使用公开密钥和专用密钥的加密方式,并能够支持多种加密工具。对于每个电子邮件报文可以在报文头中规定特定的加密算法、数字鉴别算法、散列功能等安全措施。
(2)S/MIME:是在RFC1521所描述的多功能Internet电子邮件扩充报文基础上添加数字签名和加密技术的一种协议,目的是在MIME上定义安全服务措施的实施方式。
(3)PEM-MIME:是将PEM和MIME两者的特性进行了结合。
3.Internet主要的安全协议
(1)SSL:是向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性,并采用X.509的数字证书实现鉴别。
(2)S-HTTP:是对HTTP扩充安全特性、增加了报文的安全性,它是基于SSL技术的。该协议向WWW的应用提供完整性、鉴别、不可抵赖性及机密性等安全措施。
(3)STT: STT将认证和解密在浏览器中分离开,用以提高安全控制能力。
(4)SET:主要文件是SET业务描述、SET程序员指南和SET协议描述。SET 1.0版己经公布并可应用于任何银行支付服务。它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等。
SET规范明确的主要目标是保障付款安全,确定应用之互通性,并使全球市场接受。
4.UN/EDIFACT的安全
UN/EDIFACT报文是唯一的国际通用的EDI标准。利用Internet进行EDI己成为人们日益关注的领域,保证EDI的安全成为主要解决的问题。
5.虚拟专用网(VPN)
它可以在两个系统之间建立安全的信道(或隧道),用于电子数据交换。它与信用卡交易和客户发送订单交易不同,因为在VPN中,双方的数据通信量要大得多,而且通信的双方彼此都很熟悉。这意味着可以使用复杂的专用加密和认证技术,只要通信的双方默认即可,没有必要为所有的VPN进行统一的加密和认证。
6.数字认证
用电子方式证明信息发送者和接收者的身份、文件的完整性(如一张发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。目前,数字认证一般都通过单向Hash函数来实现,它可以验证交易双方数据的完整性,
7.认证中心(CA)
CA的基本功能是:
生成和保管符合安全认证协议要求的公共和私有密钥、数字证书及其数字签名。
对数字证书和数字签名进行验证。
对数字证书进行管理,重点是证书的撤消管理,同时追求实施自动管理。
建立应用接口,特别是支付接口。CA是否具有支付接口是能否支持电子商务的关键。
8.防火墙技术
防火墙具有以下五大基本功能:(1)过滤进、出网络的数据;(2)管理进、出网络的访问行为;(3)封堵某些禁止行为;(4)记录通过防火墙的信息内容和活动;(5)对网络攻击进行检测和告警。
目前的防火墙主要有两种类型。其一是包过滤型防火墙,其二是应用级防火墙。
9.入侵检测
入侵检测技术是防火墙技术的合理补充,其主要内容有:入侵手段与技术、分布式入侵检测技术、智能入侵检测技术以及集成安全防御方案等。
四、电子商务网站安全体系与安全措施
一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,极大地增加了恶意攻击的难度,并增加了审核信息的数量,利用这些审核信息可以跟踪入侵者。
1.采取特殊措施以保证电子商务之可靠性、可用性及安全性
使用容错计算机系统或创造高可用性的计算机环境,以确保信息系统保持可用及不间断动作。灾害复原计划提供一套程序与设备来重建被中断的计算与通信服务。当组织利用企业内部网或因特网时,防火墙和入侵侦测系统协助防卫专用网络避免未授权者的存取。加密是一种广泛使用的技术来确保因特网上传输的安全。数字证书可确认使用者的身份,提供了电子交易更进一步的保护。
2.实施网络安全防范措施
首先要加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞;
其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;利用RAID5等数据存储技术加强数据备份和恢复措施;对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行强度的数据加密;安装防病毒软件,加强内部网的整体防病毒措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
3.电子商务交易中的安全措施
在早期的电子交易中,曾采用过安全措施有:部分告知;另行确认;在线服务等。这些方法均有一定的局限性,且操作麻烦,不能实现真正的安全可靠性。近年来,针对电子交易安全的要求,IT业界与金融行业一起,推出不少有效的安全交易标准和技术,正如上述所列的九种技术。
另外,还可以选择一些加密产品和系统。如:PGP for Group Wise、File Lock Series、Point`n Crypt World、PrivaSuite、Crypt。可以实现加密、签名和认证。访问控制类产品。如:SunScreen、WebST安全平台、HP Preaesidium 授权服务器、NetKey网络安全认证系统、Cisco NetRanger等。这些产品的功能可以提供对口令字的管理和控制功能;防止入侵者对口令字的探测;监测用户对某一分区或域的存取;提供系统主体对客体访问权限的控制。
五、小结
【关键词】计算机网络;电子商务安全技术
中图分类号:TP39文献标识码:A文章编号:1006-0278(2012)01-029-02
一、引言
近几年来,电子商务的发展十分迅速 电子商务可以降低成本,增加贸易机会,简化贸易流通过程,提高生产力,改善物流和金流、商品流,信息流的环境与系统 虽然电子商务发展势头很强,但其贸易额所占整个贸易额的比例仍然很低。影响其发展的首要因素是安全问题,网上的交易是一种非面对面交易,因此“交易安全“在电子商务的发展中十分重要。可以说,没有安全就没有电子商务。电子商务的安全从整体上可分为两大部分。计算机网络安全和商务交易安全。计算机网络安全包括计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕传统商务在Interne'(上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性,完整性,可鉴别性,不可伪造性和不可依赖性。
二、电子商务网络的安全隐患
1、窃取信息:由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密
2、篡改信息:当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改 然后再发向目的地。这种方法并不新鲜,在路由器或者网关上都可以做此类工作。
3、假冒由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
4、恶意破坏:由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
三、电子商务交易中应用的网络安全技术
为了提高电子商务的安全性,可以采用多种网络安全技术和协议,这些技术和协议各自有一定的使用范围,可以给电子商务交易活动提供不同程度的安全保障。
1、防火墙技术。防火墙是目前主要的网络安全设备。防火墙通常使用的安全控制手段主要有包过滤、状态检测、服务 由于它假设了网络的边界和服务,对内部的非法访问难以有效地控制。因此,最适合于相对独立的与外部网络互连途径有限、网络服务种类相对集中的单一网络(如常见的企业专用网) 防火墙的隔离技术决定了它在电子商务安全交易中的重要作用。目前,防火墙产品主要分为两大类基于服务方式的和基于状态检测方式的。例如Check Poim Fi rewalI-1 4 0是基于Unix、WinNT平台上的软件防火墙,属状态检测型 Cisco PIX是硬件防火墙,也属状态检测型。由于它采用了专用的操作系统,因此减少了黑客利用操作系统G)H攻击的可能性:Raptor完全是基于技术的软件防火墙 由于互联网的开放性和复杂性,防火墙也有其固有的缺点:(1)防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受限制地向外拨号,一些用户可以形成与Interne'直接连接,从而绕过防火墙:造成一个潜在的后门攻击渠道,所以应该保证内部网与外部网之间通道的唯一性。(2)防火墙不能防止感染了病毒的软件或文件的传输,这只能在每台主机上装反病毒的实时监控软件。(3)防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Interne'(主机上并被执行而发起攻击时,就会发生数据驱动攻击,所以对于来历不明的数据要先进行杀毒或者程序编码辨证,以防止带有后门程序。
2、数据加密技术。防火墙技术是一种被动的防卫技术,它难以对电子商务活动中不安全的因素进行有效的防卫。因此,要保障电子商务的交易安全,就应当用当代密码技术来助阵。加密技术是电子商务中采取的主要安全措施, 贸易方可根据需要在信息交换的阶段使用。目前,加密技术分为两类,即对称加密/对称密钥加密/专用密钥加密和非对称加密/公开密钥加密。现在许多机构运用PKI(punickey nfrastructur)的缩写,即 公开密钥体系”)技术实施构建完整的加密/签名体系,更有效地解决上述难题,在充分利用互联网实现资源共享的前提下从真正意义上确保了网上交易与信息传递的安全。在PKI中,密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对机密生息的加密,专用密钥则用于对加信息的解密。专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛,但它只对应用于生成该密钥的贸易方。贸易方利用该方案实现机密信息交换的基本过程是 贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开:得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲 贸易方甲再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易方甲只能用其专用密钥解密由其公开密钥加密后的任何信息。
3、身份认证技术。身份认证又称为鉴别或确认,它通过验证被认证对象的一个或多个参数的真实性与有效性 来证实被认证对象是否符合或是否有效的一种过程,用来确保数据的真实性。防止攻击者假冒 篡改等。一般来说。用人的生理特征参数f如指纹识别、虹膜识别)进行认证的安全性很高。但目前这种技术存在实现困难、成本很高的缺点。目前,计算机通信中采用的参数有口令、标识符 密钥、随机数等。而且一般使用基于证书的公钥密码体制(PK I)身份认证技术。要实现基于公钥密码算法的身份认证需求。就必须建立一种信任及信任验证机制。即每个网络上的实体必须有一个可以被验证的数字标识 这就是 数字证书(Certifi2cate)”。数字证书是各实体在网上信息交流及商务交易活动中的身份证明。具有唯一性。证书基于公钥密码体制,它将用户的公开密钥同用户本身的属性(例如姓名,单位等)联系在一起。这就意味着应有一个网上各方都信任的机构 专门负责对各个实体的身份进行审核,并签发和管理数字证书,这个机构就是证书中心(certificate authorities,简称CA)。CA用自己的私钥对所有的用户属性、证书属性和用户的公钥进行数字签名,产生用户的数字证书。在基于证书的安全通信中,证书是证明用户合法身份和提供用户合法公钥的凭证,是建立保密通信的基础。因此,作为网络可信机构的证书管理设施 CA主要职能就是管理和维护它所签发的证书 提供各种证书服务,包括:证书的签发、更新 回收、归档等。
4、数字签名技术。数字签名也称电子签名 在信息安全包括身份认证,数据完整性、不可否认性以及匿名性等方面有重要应用。数字签名是非对称加密和数字摘要技术的联合应用。其主要方式为:报文发送方从报文文本中生成一个128b it的散列值(或报文摘要),并用自己的专用密钥对这个散列值进行加密 形成发送方的数字签名:然后 这个数字签名将作为报文的附件和报文一起发送给报文的接收方 报文接收方首先从接收到的原始报文中计算出128bit位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密 如果两个散列值相同 那么接收方就能确认该数字签名是发送方的,通过数字签名能够实现对原始报文的鉴别和不可抵赖性。
四、结束语
电子商务安全对计算机网络安全与商务安全提出了双重要求,其复杂程度比大多数计算机网络都高。在电子商务的建设过程中涉及到许多安全技术问题 制定安全技术规则和实施安全技术手段不仅可以推动安全技术的发展,同时也促进安全的电子商务体系的形成。当然,任何一个安全技术都不会提供永远和绝对的安全,因为网络在变化,应用在变化,入侵和破坏的手段也在变化,只有技术的不断进步才是真正的安全保障。
参考文献:
[1]肖满梅,罗兰娥.电子商务及其安全技术问题[J].湖南科技学院学报,2006:27.
关键词:网上银行 网络支付 安全性问题
随着电子商务技术的发展,网上银行的使用也越来越广泛,但是网上银行还存在很大的安全问题,必须引起广大网民群众的重视。
一、我国网上银行存在的安全性问题
1.网上银行网站存在的安全性问题
在网络银行中,企图非法窃取密码的作案者如果采用可以改变登录ID的方法,即便登录失败,网站也不会将密码视为无效。除了用软件窃取密码这样的隐忧以外,“冒充站点”也是网上银行使用中一个非常重要的安全隐患。客户在不了解情况时就会向虚假站点发送ID和密码。客户发送完毕后,如果显示出一个“服务马上就要停止”的画面,或者把客户访问重新引导到正规站点上,客户当时是很难察觉的。这样一来,就存在有人进行非法资金转移的可能性。
2.交易信息在商家与银行之间传递的安全性问题
因为互联网的虚拟性,交易双方无法确保对方身份的真实性,尤其在当事人仅仅通过互联网交流时,在这种情况下,要建立交易双方的信用机制和安全感是非常困难的。资金在网上划拨,安全性是最大问题,发展网上银行业务,大量经济信息在网上传递。而在以网上支付为核心的网上银行,电子商务最核心的部分包括CA认证在内的电子支付流程。就是说国内目前的网上银行还不能算真正的网上银行,只有真正建立起国家金融权威认证中心(CA)系统,才能为网上支付提供法律保障。
3.交易信息在消费者与银行之间传递的安全性问题
目前,我国银行卡持有人安全意识普遍较弱,不注意密码保密,或将密码设为生日等易被猜测的数字。一旦卡号和密码被他人窃取或猜出,用户账号就可能在网上被盗用,例如进行购物消费等,从而造成损失,而银行技术手段对此却无能为力。因此一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用。用户和银行之间通过互联网传递的信息是实现交易的基础条件,如何确保不被第三方知道,是网上业务安全进行的一个重要前提。
综上所述,其根本原因都是由于登录密码或支付密码泄露造成的。①密码管理问题。②网络病毒、木马问题。③钓鱼平台。另外还有网上支付的信用问题、网上支付的法律问题和网上安全认证机构(CA)建设混乱等问题。
二、网上银行安全性问题解决的对策
1.做好自身电脑的日常安全维护
一是经常给电脑系统升级。二是安装杀毒软件、防火墙,经常升级和杀毒。三在平时上网是尽量不上一些小型网站,选大型网站,知名度比较高的网站,避免网站挂有病毒、木马造成中毒。四尽量不要在公共电脑上使用自己的有关资金的账户和密码。五有条件的情况下,在初装系统后确认电脑安全的后,给自己的电脑做上备份,在使用资金账户前做一次系统恢复。
2.设立防火墙,隔离相关网络
所谓防火墙指的是位与不同网络安全域之间的软件和硬件设备的一系列部件的组合,作为不同网络安全域之间通信流的唯一通道,并根据用户的有关策略控制进出不同网络安全域的访问。现实生活中一般采用多重防火墙方案,分隔互联网与交易服务器,防止互联网用户的非法入侵;还用于交易服务器与银行内部网的分隔,有效保护银行内部网,同时防止内部网对交易服务器的入侵。
3.设置高安全级的web应用服务器
高安全级的web服务器使用可信的专用操作系统,凭借其独特的体系结构和安全检查,保证只有合法用户的交易请求能通过特定的程序送至应用服务器进行后续处理。
4.建立完善的身份认证和CA认证系统
在网上银行系统中,用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验,全部通过后才能确认该用户的身份。用户的惟一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输,确保了身份认证的安全可靠性。数字证书的引入,同时实现了用户对银行交易网站的身份认证,以保证访问的是真实的银行网站,另外还确保了客户提交的交易指令的不可否认性。由于数字证书的惟一性和重要性,各家银行为开展网上业务都成立了CA认证机构,专门负责签发和管理数字证书,并进行网上身份审核。2000年6月,由中国人民银行牵头,12家商业银行联合共建的中国金融认证中心(CFCA)正式挂牌运营。这标志着中国电子商务进入了银行安全支付的新阶段。中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构,为今后实现跨行交易提供了身份认证基础。
5.加强客户的安全意识和网络通讯的安全性
银行卡持有人的安全意识是影响网上银行安全性的不可忽视的重要因素。一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用。
安全性作为网络银行赖以生存和得以发展的核心及基础,从一开始就受到各家银行的极大重视,都采取了有效的技术和业务手段来确保网上银行安全。但安全性和方便性又是互相矛盾的,越安全就意味着申请手续越烦琐,使用操作越复杂,影响了方便性,使客户使用起来感到困难。因此,必须在安全性和方便性上进行权衡。
互联网是一个开放的网络,客户在网上传输的敏感信息在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生,网上银行系统一般都采用加密传输交易信息的措施,使用最广泛的是SSL数据加密协议。
参考文献:
[1]孙强.互联网商务应用[M].北京:对外经济贸易大学出版社,2000.
[2]关翔.中国电子商务与实践[M].北京:清华大学出版社,2000.
1 互联网与电子商务
1.1 互联网
互联网(Internet),又称网际网路,或因特网、英特网,是网络与网络之间所串连成的庞大网络,这些网络以一组通用的协议相连,形成逻辑上的单一巨大国际网络。这种将计算机网络互相联接在一起的方法可称作“网络互联”,在这基础上发展出覆盖全世界的全球性互联网络称互联网,即是互相连接一起的网络结构。
1.2 电子商务
电子商务是指在互联网、企业内部网(Intranet)和增值网(Value Added Network,简称VAN)上以电子交易方式进行交易活动和相关服务的活动,是传统商业活动各环节的电子化、网络化。
电子商务通常是指在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。电子商务是利用微电脑技术和网络通讯技术进行的商务活动。
1.3 互联网与电子商务的相互联系和制约
近几年来,电子商务的发展十分迅速,电子商务可以降低成本,增加贸易机会,简化贸易流通过程,提高生产力,改善物流、资金流、商品流、信息流的环境与系统。虽然电子商务发展势头很强,但其贸易额所占整个贸易额的比例仍然很低。影响其发展的首要因素是安全问题。也就是说,网上的交易是一种非面对面交易,因此“交易安全”在电子商务的发展中十分重要。可以说.没有安全就没有电子商务。电子商务的安全从整体上可分为计算机网络安全和商务交易安全两大部分。计算机网络安全包括计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕传统商务在Internet上应用时产生的各种安全问题。在计算机网络安全的基础上,如何保障电子商务过程的顺利进行,即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可依赖性已经成为制约电子商务发展的至关重要的一环。
2 电子商务网络的安全隐患
2.1 窃取信息
由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
2.2 篡改信息
当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法.将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜.在路由器或者网关上都可以做此类工作。
2.3 假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
2.4 恶意破坏
由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
3 电子商务交易中应用的网络安全技术
3.1 防火墙技术
防火墙是目前主要的网络安全技术。防火墙通常使用的安全控制手段主要有过滤、状态检测、服务。由于它假设了网络的边界和服务,对内部的非法访问难以有效地控制,因此,最适合于相对独立的与外部网络互连途径有限、网络服务种类相对集中的单一网络(如常见的企业专用网),防火墙的隔离技术决定了它在电子商务安全交易中的重要作用。目前,防火墙产品主要分为两大类,基于服务方式的和基于状态检测方式的。例如Check Point FirewalI-1 4 0是基于Unix、WinNT平台上的软件防火墙,属状态检测型Cisco PIX是硬件防火墙,也属状态检测型。由于它采用了专用的操作系统,因此减少了黑客利用操作系统攻击的可能性;Raptor完全是基于技术的软件防火墙。
由于互联网的开放性和复杂性,防火墙也有其固有的缺点,即:(1)防火墙不能防范不经由防火墙的攻击。例如.如果允许从受保护网内部不受限制地向外拨号,一些用户可以形成与Interne的直接连接.从而绕过防火墙,造成一个潜在的后门攻击渠道,所以应该保证内部网与外部网之间通道的唯一性;(2)防火墙不能防止感染了病毒的软件或文件的传输,这只能在每台主机上装反病毒的实时监控软件;(3)防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Interne主机上并被执行而发起攻击时,就会发生数据驱动攻击,所以对于来历不明的数据要先进行杀毒或者程序编码辨证,以防止带有后门程序。
3.2 数据加密技术
防火墙技术是一种被动的防卫技术,它难以对电子商务活动中不安全的因素进行有效的防卫,因此,要保障电子商务的交易安全,就应当用当代密码技术来助阵。加密技术是电子商务中采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。目前,加密技术分为两类,即:对称加密/对称密钥加密/专用密钥加密和非对称加密/公开密钥加密。现在许多机构运用PKI(Public Key Infrastructure的缩写),即公钥基础设施/技术实施构建完整的加密/签名体系,更有效地解决上述难题。在充分利用互联网实现资源共享的前提下从真正意义上确保了网上交易与信息传递的安全。在PKI中,密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对机密信息的加密,专用密钥则用于对加信息的解密。专用密钥只能由生成密钥对的贸易方掌握。公开密钥可广泛,但它只对应用于生成该密钥的贸易方。贸易方利用该方案实现机密信息交换的基本过程是贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开,得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲,贸易方甲再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易方甲只能用其专用密钥解密由其公开密钥加密后的任何信息。
3.3 身份认证技术
身份认证又称为鉴别或确认,它通过验证被认证对象的一个或多个参数的真实性与有效性来证实被认证对象是否符合或是否有效的一种过程,用来确保数据的真实性。防止攻击者假冒、篡改等。一般来说。用人的生理特征参数如指纹识别、虹膜识别进行认证的安全性很高。但目前这种技术存在实现困难、成本很高的缺点。目前,计算机通信中采用的参数有口令、标识符、密钥、随机数等。而且一般使用基于证书的公钥密码体制(PKI)身份认证技术。要实现基于公钥密码算法的身份认证需求,就必须建立一种信任及信任验证机制。即每个网络上的实体必须有一个可以被验证的数字标识,这就是数字证书(Certificate)。数字证书是各实体在网上信息交流及商务交易活动中的身份证明,具有唯一性。证书基于公钥密码体制,它将用户的公开密钥同用户本身的属性(例如姓名,单位等)联系在一起,这就意味着应有一个网上各方都信任的机构专门负责对各个实体的身份进行审核,并签发和管理数字证书,这个机构就是证书中心(certificate authorities。简称CA)。CA用自己的私钥对所有的用户属性、证书属性和用户的公钥进行数字签名,产生用户的数字证书。在基于证书的安全通信中,证书是证明用户合法身份和提供用户合法公钥的凭证,是建立保密通信的基础。因此,作为网络可信机构的证书管理设施 CA主要职能就是管理和维护它所签发的证书,提供各种证书服务,包括:证书的签发、更新、回收、归档等。
3.4 数字签名技术
数字签名也称电子签名,其在信息安全包括身份认证,数据完整性、不可否认性以及匿名性等方面有重要应用。数字签名是非对称加密和数字摘要技术的联合应用。其主要方式为:报文发送方从报文文本中生成一个128bit的散列值(或报文摘要),并用自己的专用密钥对这个散列值进行加密,形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方,报文接收方首先从接收到的原始报文中计算出128bit位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。
4 结语
电子商务安全对计算机网络安全与商务安全提出了双重要求,其复杂程度比大多数计算机网络都高。在电子商务的建设过程中涉及到许多安全技术问题,制定安全技术规则和实施安全技术手段不仅可以推动安全技术的发展,同时也促进安全的电子商务体系的形成。当然,任何一个安全技术都不会提供永远和绝对的安全,因为网络在变化,应用在变化,入侵和破坏的手段也在变化,只有技术的不断进步才是真正的安全保障。
【关键词】电子商务;问题;对策
一、我国电子商务发展现状
电子商务的概念早在1994年就被提出来了,1996年2月,我国成立了中国国际电子商务中心,负责研究、建设和运营中国国际电子商务工程。目前,中国国际电子商务网已经建成由通信平台、数据交换平台、信息平台构架电子商务网络环境。同时借助中国电信公用网实现了与联合国全球贸易网等国际商务网络的连接,并在主要城市开通了节点,初步形成了覆盖全国、连通世界的国家外经贸专业网。
1998年7月,由扫外经贸部主办的、基于Intenet的“中国商品交易市场”正式开通,成为国内外客商查询中国商品的热门站点,到2000年已有近2000家企业入网。随后,外经贸部主办的“中国技术出易会”也在网上开通,首次利用信息网络全面展示可供出口和转让的技术产品,标志着我国外经贸工作的电子商务水平上了一个新台阶。
与通信网络技术现代化一样,商业的自动化、信息化对电子商务的健康发展也有重要的作用。为此,我国制定了《全国商业电子信息技术开发应用“九32”规划要求与中长期发展纲要》,到2010年,全国商业企业基本实现信息管理电子化、自动化、网络化:基本建成覆盖全国大中城市的商业增值网络,主要行业和沿海大城市商业自动化、信息化水平接近或达到国际同行业信息技术水平。
由上可见,我国电子商务起步虽晚,但发展十分迅速,已经呈现出一派繁荣景象,大发展时期即将到来。但是,仔细回顾和分析发现。在繁荣的背后还存在着不少问题,需要研究和解决。
二、企业发展电子商务存在的问题
(一)计算机网络知识普及问题
在我国,不论是企业还是国民,对利用计算机网络提高信息获取能力认识不足,有的只限于从网上获取消遣性信息,没有充分利用网络资源。尽管国内对电子商务“炒”得沸沸扬扬,根据中国互联网络信息中心2005年1月的《第十五次中国互联网络发展状况报告》,截至2004年12月31日,我国上网用户介于9138万和9662万之间,在用户上网最主要的目的中,网上金融占0.2,网上购物占0.1,商务活动占0.3,这与美国、日本等电子商务较发达的国家相比有着较大的差距。
(二)电子商务的安全问题
电子商务的安全性需求:电子商务的安全性需求可以分为两个方面,一方面是对计算机及网络系统安全性的要求,表现为对系统硬件和软件运行安全性和可靠性的要求、系统抵御非法用户入侵的要求等:另一方面是对电子商务信息安全的要求。(1)信息的保密性;(2)信息的完整性;(3)信息的不可否认性;(4)交易者身份的真实性:(5)系统的可靠性。
(三)物流问题
物流管理是保证企业生产经营持续进行的必要条件。企业的生产经营活动,表现为物质资料的流入转化、流出过程。一旦某一环节不能及时获取所需物资,企业正常的经营活动秩序将被扰乱。我国电子商务发展的另一大障碍是没有一个适应电子商务需求的全国性货物配送体系。
(四)法律问题
电子商务的出现加快了经济全球化的进程,促进了产品、劳务和信息在全球范围的流动。然而通过互联网开展电子商务,将面临一系列的法律问题,这些问题一方面是由于电子商务相对于传统交易方式有许多不同之处,原有法律在处理这些新问题时显示出了气局限性和不足。
三、我国发展电子商务的对策建议
(一)加强信息基础设施建设,有计划、有步骤地推进电子商务发展
我国在未来的几年里,首先,应该采取多种融资渠道和多种优惠政策,进一步加快信息基础设施建设的步伐:其次,更要有效地利用现有的网络资源,打破行业分割管理体制,提高资源效益,有计划、有步骤地推进电子商务发展。再次,要改革现行收费制度,把过高的收费降下来,提高我国社会公众对电子商务的接受水平,这是促进我国电子商务发展的重要条件。
(二)提升安全技术水平,为电子商务保驾护航
根据电子商务的这些安全性需求通常采用的安全技术主要有:密钥加密技术、信息摘要技术、数字签名、数字证书及CA认证。密码加密技术有对称密钥加密技术和非对称密钥加密技术:密钥加密技术只能解决信息的保密性问题,对于信息的完整性则可以用信息摘要技术来保证;数字签名(Digital Signature)是密钥加密和信息摘要相结合的技术,可以保证信息的完整性和不可否认性:数字证书与CA认证:非对称加密技术和数字签名技术都用到了公钥,当交易的一方通过公开渠道得到了另一方的公钥后,存在着这样的问题:这个公钥到底是不是真正属于对方的,是否会有其他人假冒对方的公钥。那么如何确定网上交易双方真实身份的确认,要用到由认证中心CA颁发的数字证书。
(三)完善物流配送系统
目前,物流配送体系的不健全已成为我国经济发展的瓶颈之一。我国物流业现状的改变不可能一蹴而就,它需要单个运输行业不断自我完善,需要建立物流系统的标准化体系,更需要国家有关部门全面地规划我国运输大通道。最关键的就是要抓住我国物流业中的盲点,大力兴办综合物流中心,以起到事半功倍的效果,在建立综合物流中心的同时,注意与若干配送中心的衔接。比较现实的是改善现有配送渠道,实现科学化和信息化管理,使它可以为电子商务所用,促进我国对外贸易发展。
[关键词]电子商务;国际贸易;应用;原因;对策
Internet的爆炸性发展,电子商务的日渐普及,不仅使信息的交流和传播突破了时空限制,还在全球范围内改变了人们的工作、学习和生活方式。目前电子商务已经延伸到社会的各个领域,而国际贸易领域是最早感受到电子商务影响和冲击的重要领域之一。随着Internet的广泛使用,国际贸易逐渐开始通过互联网进行跨国境、跨区域的咨询交换、采购、付费、通关等。这不仅推动了国际贸易的信息化发展趋势,也为国际贸易的可持续发展开通了一条新的道路……。在国际贸易中开展电子商务是指采用数字化电子方式进行国际贸易数据交换和开展国际贸易业务活动。毋庸置疑,互联网的出现打破了旧的传统国际贸易形式,所有的交易方包括出口方、进口方、海关、商检、保险、运输方、银行或金融机构等均通过网络进行操作。这种操作为国际贸易带来机遇的同时也带来了巨大的挑战,本文通过分析电子商务在国际贸易中应用的现状,阐述电子商务在国际贸易中应用时存在的问题,并分析问题存在的原因,最后提出相应的对策。
一、电子商务在国际贸易领域应用的现状
(一)基础设施建设日益完善
信息化时代的到来使得网络市场快速启动并迅速成长,企业上网和利用网络的频率也日益升温,国际上尤其是发达国家在基础设施投资和建设方面日趋完善。为了与世界接轨,我国在信息高速公路上进行大的投资并组建,另外,我国网络传输能力的实际利用率已经与世界基本持平。最后,尽管仍有一些边远地区至今没有建立网站,仍然是信息高速公路建设的“盲点”,但我国在光缆铺设、电脑普及以及网络建设方面都有明显进步。
(二)技术发展相对成熟
自2000年以来,随着电子信息技术的发展和社会需求的不断变化,电子商务开始扩展到E概念电子商务(Electronic Information电子信息技术)有关的事务处理活动中,即人们逐渐认识到电子商务是一种以商务为核心,以电子信息技术为基础的技术含量较高的活动Ⅲ。目前国际贸易普遍采用了EDI技术并实现了在线支付,许多国家相继实施了一系列的金子工程如“金桥”、“金卡”、“金关”等,这些技术均为国际电子商务的发展奠定了良好的基础。
(三)市场形式逐步多元化
电子商务在国际贸易中的运用使得国际贸易的形式日益多元化,逐步形成了新的国际贸易机制。消费者可以不受地域、货币等形式的限制,在全球范围内任意选择自己喜欢的商品,而虚拟的模拟市场会使人们在网购时有一种身临其境的感觉,例如有些汽车公司在网络中建立“虚拟汽车展销大厅”,这样顾客不仅可以详细的了解汽车的内部构造,而且可以直接进入汽车公司产品开发基地和生产车间,直接同设计师乃至总经理交谈,并将自己的要求直接提出。这种贸易方式以消费者的个性化需求作为提供商品和服务的出发点,从而促使了生产者转变经营管理的理念和方式。
二、电子商务在国际贸易领域应用中存在的问题
(一)电子商务在国际贸易中应用的政策及法律规则匮乏
作为一种新兴的交易方式,与电子商务相关的法律文献少之又少。电子商务中所涉及的法律问题,如电子合同、电子签名、电子商务认证,电子数据证据,网上交易与支付,网上知识产权,电子商务管辖权及在线争议解决等,在立法上仍然还是空白。立法的严重滞后,给运用电子商务进行国际贸易的主题带来的高风险性,成为阻碍电子商务应用的屏障。
(二)电子商务在国际贸易中的应用人才匮乏
丰富的人力资源是一个行业得以前进的保护神,电子商务是现代信息技术与商务的有机结合,一个在国际贸易中应用电子商务的人才,需要通晓所有与计算机、经济、金融、法律等学科相关的理论与实务,即这一行业中需要的人才是一种复合型人才。在国际社会上,尤其是在我国,人才匮乏已经成为国际贸易中应用电子商务的一块障碍石。据估计,未来4年我国电子商务人才缺口达300万。
(三)电子商务在国际贸易中的应用安全无法保障
由于电子商务是通过网络进行的,因此网络安全与否便成为电子商务在国际贸易中应用时所关注的问题之一。开展电子商务活动时,传统的购货单、合同,提货单等书面文件都被存储在只有计算机才能识别的存储介质中,最终形成所谓的电子文件。但是对这些电子文件进行改动,却不会像改动纸质的文件一样留下任何的蛛丝马迹,这就使得电子文件的真实性和安全性受到严重威胁。而国际贸易活动中本身便包含很多企业内部机密资料和大额的资金周转,因此,对于网络的安全系数要求之高是可想而知的。为了解决这一问题,目前已经出现了防火墙、数字加密、数字身份认证、证书认证等技术措施,但所有这些只能解决基本安全问题,况且成本昂贵,并未得到普遍应用。尽管联合国通过的《电子商务示范法》中规定了不得仅仅以某项信息采用数据电文形式为理由而否定其法律效力、有效性和可执行性。但网上交易无安全感仍然是一个现实存在的问题,困扰了电子商务的发展。
(四)电子商务在国际贸易领域的应用受商业信用度的阻碍
与传统的贸易不同,采用电子商务屏蔽了直接的、面对面的接触与沟通,使得双方之间的信用程度难以保证。在商业信用度普遍低下的我国,采用电子商务进行国际贸易更是难上加难。因此,要想打通电子商务在国际贸易领域中盛行的渠道,就必须注重提高我国的商业信用度。保证双方在交易中相互信任,有一定的了解,是畅通电子商务在国际贸易领域应用的重要路径。
(五)网络技术的发展影响到电子商务在国际贸易领域的应用
电子商务隶属于一个整体系统,它的使用与网络安全,上网用户、上网速度、上网用户的数量紧密相连。而目前我国的现状是网络技术水平偏低、基础设施薄弱、上网用户过多。由于网络的覆盖率低,一些偏远地区并没有实现通网的现状。加上我国企业用户上网成本过高,大大限制了企业运用电子商务进行国际贸易的时机。
三 电子商务在国际贸易领域应用的发展对策
(一)创建法律安全环境,提供良好法律支持
电子商务是一种新兴事物,与之有关的法律法规均没有形成,致使其在运用的过程中缺乏相对的行为约束和保障。俗话说,没有规矩,不成方圆。对于电子商务在国际贸易中的运用与发展,必须制订一套完整的、普遍适用的商务准则。这些法律法规包括电子商务合同、公证签名的认证以及争端解决规则等一系列制度的制订和改革。对电子商务在国际贸易领域应用中的相关问题,包括网络管理、信息安全、知识产权等,应尽快制定现行法律法规或者对现有的法律进行修改,及时制定出台新的贸易法规。
(二)加大投资。扩充人力资源
我们知道,人才的匮乏也是阻碍电子商务在国际贸易领域发展的重要原因之一。同时我们也了解到电子商务需要是信息现代化和现代商贸理论与实务的复合型人才。面对这样一种现状,建议企业注重人才的吸引与培养,引进一批既懂电子商务技术又懂得运营管理的人才,同时可以在企业内部选取部分人才进行着重培养,加强对现有员工业务技能和计算机技能的培训,并在如何留住人才上下功夫,保证现有人才的稳定,以便为企业发展电子商务提供坚实的基础。
(三)建立安全控制中心,保证交易安全性
无论从经济角度还是从政治角度,均建议建立国家级安全控制中心系统,以保证网络交易的安全。从经济角度上看,并通过安全控制中心的协调,使得电子商务在国际贸易领域中应用的交易风险降低到最小的限度。这一安全控制中心的系统可以包括安全铲平的评测与认证、病毒检测和防治、系统攻击,密钥管理,海关检测等等。从政治角度上看,首先应该加强网络工作者的职业道德教育和网络安全意识,保证在安全管理的情况下实施操作。
(四)提高商业信用度,保证交易安全
商业信用度严重影响到电子商务在国际贸易中的应用,我国商业信用度偏低,这种情况下,对于企业而言,必须保证诚信,把产品质量做好,产品质量是最好的见证者。此外。对于企业而言,要增强使用电子商务进行国际交易的意识,从心底接纳这一新生事物,尝试着运用,只要从中获益,便能体会到它给我们带来的利益。
(五)加大网络技术的发展力度
关键词:油田生产 安全环保 管理措施
近年来,我国的经济水平和社会水平不断提高,带动了油田事业的快速发展。但是,油田生产中安全环保事故频发,引起我们对安全环保管理的重视,对于我国各大油田来说,首要问题就是如何解决安全环保管理问题,进一步实现经济效益和环境效益的双丰收,保证油田事业的可持续发展。
一、油田安全环保管理存在的问题
近年来,我国加大了油田安全环保管理强度,安全环保工作有很大改善,有效促进了油田事业的顺利发展,促进社会和谐和国家经济提升。但是,我国的油田安全环保管理仍然存在一定缺陷,下面将从两个方面,分析油田安全环保管理中存在的问题。
首先是油田仍然存在较多的需要治理、排查的隐患,包括安全隐患、投资隐患等。其中安全隐患主要是指超过使用年限的或者存在隐患的设备仍在继续使用,油田企业为了降低成本,尽可能增加经济效益,不愿意更换设备,部分企业为了提升生产效率,让设备处于长时间的超负荷运转中,造成使用寿命大大减少,这些都是安全隐患的组成因素;再者,油田开采中会产生较多的报废井,并且会随年限逐渐增多,对于长停井、位于环境敏感区的报废井等,显然油田企业缺乏足够的重视,没有投入足够的资金进行治理或者没有封井,造成安全隐患的产生。另一个是投资隐患,主要是资金方面的问题,很多油田企业喜欢“化繁为简”,期望用较少的资金治理较大的隐患,在较小的隐患上不愿投入资金治理,从根本上来说,这些隐患仍然没有很好的解决,也就是隐患仍然存在。上述这种思维方式会造成很大的风险。
其次是油田安全环保管理制度问题,大多数油田企业管理人员对安全环保不甚了解,造成安全环保管理不受重视,没有施行责任制以保证工作的正常进行。针对油田施工中存在的问题,虽然油田企业管理人员能够向施工单位提出,但是却“虎头蛇尾”,不关心问题解决的后来走向,如果施工单位实际上没有解决问题,就会造成很大的隐患;再者,企业缺乏对员工培训的重视,可能仅仅是通过宣传教育向员工输送安全环保管理知识,员工对于安全环保工作仍然一知半解,何谈将安全环保管理意识应用于实际工作中。
二、数字化建设在安全环保管理中的应用
2.1数字化建设的必要性
首先,运用数字化技术,能够建立实时安全环保监控平台,监控油田各种实时数据,例如温湿度、压力、有害气体含量数据等,将不可见的隐患转变为可见的数据,能够让油田工作人员及时发现隐患的产生;运用数字化技术,能够实现油田设备的自动化控制,减少了资金和人力消耗,加强了设备的安全性和经济性。监控平台显示的数据还能够反映出设备的运行状况,便于工作人员及时发现设备存在的问题,较少了安全隐患。
第二,运用数字化技术,能够实现远程控制,大大减少了安全环保人员的工作量,安全环保人员通过远程操作设备,减小了现场操作,也降低了工作人员的人身安全隐患。部分油田设备均实现了自动化控制,工作人员只需要操作计算机,就能够实现对设备的控制,减小了安全隐患发生的概率。
第三,数字化建设能够提高安全环保工作效率,举例来说,可以在运输管道中使用泄漏警报功能,一旦发生原油泄漏,报警系统能够及时通知工作人员,并标示出发生泄漏的具置,工作人员不必逐个检查,大大减小了工作量,提高了安全环保工作效率。
2.2数字化建设的实际应用
传统的油田安全环保管理,基本都是依靠经验、个人判断和人工管理等方式,随着我国科学技术水平的发展,将数字化建设运用于油田安全环保管理中,让工作方式发生了重大改变,不仅能够节省资金和人力,还能够提高安全环保管理水平。
运用数字化建设,实现岗位作业的标准化,我国的油气站库建设受到数字化技术影响,逐渐趋向模块化、标准化,虽然站点不同,但是发生隐患的种类基本相同,运用数字化建设,创建一套标准管理流程,工作人员需按照标准进行安全环保工作,有效降低了员工水平不高造成的操作风险。
运用数字化建设,实现全方位监控,传统的监控是单点的,并且需要工作人员现场操控,运用数字化建设构建监控平台,实现多级、全方位、远程监控,三位一体,保证安全环保工作的顺利进行。
运用数字化建设,构建“三防四责”体系,实现长输管线的泄漏报警以及外输流量、可燃气的在线监控功能,一旦发生安全环保问题,工作人员能够及时发现问题成因,并采取针对性措施以减少损失,减少了工作人员现场操作的风险,保证其人身安全,减少安全环保事故的发生。
三、提升油田安全环保管理意识以及相关策略
3.1落实机制
我国针对油田生产,颁布了安全生产法律法规,油田企业各个部门都应以安全环保管理为中心,深入学习相关法律法规。加强日常生产中的监控力度,日常生产的各个操作都必须按照规定和标准进行。未雨绸缪,及时预见可能发生的安全环保隐患,提升隐患治理力度,保障工作人员的人身财产安全。传统分散式的管理方式
已经无法满足需求,油田企业应转变管理理念,实现安全环保管理的科学化、标准化。对于油田生产中的隐患,一定要加大力度,力求从根本上解决。问题无论大小,都不可轻视。
3.2加强宣传,重视培训
对于油田企业的工作人员,囿于传统理念影响,转变工作理念存在一定困难,需要一定时间。油田企业应加强员工培训,避免员工忽视安全环保管理,培养员工安全环保管理意识,引导他们将安全环保管理意识应用在实际工作中。不仅是工作人员,油田企业的管理层同样要加强安全环保理念培养,实现全方位的安全环保管理,通过培训提升员工综合素质,深化安全环保理念。
3.3其他策略
油田企业各个部门,尤其是基层部门,要将安全环保管理的相关规定落到实处,做好审批手续的监管工作,谁签字谁负责。建立完善的奖罚措施,安全环保理念贯彻较好的部门、员工应给予一定奖励,并和年终绩效考核挂钩。
四、结束语
综上,首先分析了我国油田安全环保管理中存在的问题,然后详细介绍了数字化建设在油田安全环保管理中的应用,最后针对安全环保管理提出了其他具体优化措施。
参考文献:
论文关键词:CA认证体系;信息安全;数字证书;公钥
一、CA概述
CA是CeritficateAuthoirty的缩写,通常翻译成认证权威或者认证中心,是负责发放和管理数字证书的权威机构,并承担电子商务公钥体系中公钥的合法性检验的责任。
CA认证系统是一个大的网络环境,从功能上基本可以划分为CA、RA和WP。核心系统和CA放在一个单独的封闭空间中,为了保证运行的绝对安全,其人员及制度都应有严格的规定,并且系统设计为离线网络。CA的功能是在收到来自RA的证书请求时颁发证书。一般的个人证书发放过程都是自动进行,无须人工干预。
二、对外经济贸易大学CA认证体系的规划和建设
(一)背景
对外经济贸易大学是教育部直属的全国重点大学,国家“211工程”首批重点建设高校,大学校园网始建于1997年,经历了建设、调整和完善的阶段。截止目前为止校内所有建筑物全部光纤接入到网络与教育技术中心,网络设备400余台,信息点数近17000个,实现了所有办公楼及宿舍楼的上网需求。各部门相关业务系统也在逐渐完善,信息系统在日常工作中的使用频率在迅速提升,与此同时,学校全面实施信息化校园(一期)建设,搭建了统一数据库平台、建立统一身份认证系统并建立了统一信息平台门户,基本实现各系统的信息共享。对外经济贸易大学的校园网建设成已基本形成了运行比较稳定、速度比较快捷、应用比较广泛、相对安全可靠的网络,为全校的教学和科研活动提供了坚实的保障。
然而,单纯的用户名/口令身份认证方式已经不足以保证用户登陆系统的身份安全性,在学校信息化建设相对稳定成熟的基础上,我们考虑在校园网中建立一套完整的CA数字证书认证系统,通CA认证,把用户的公钥和用户的其他标识信息捆绑在一起,其中包括用户名个人信息以及电子邮件地址等,以实现在网络上验证用户的真实身份。在开放网络上实现密钥的自动管理,保证网上数据的安全传输。并制定有针对性的相关运维策略,按照学校实际情况,颁发给校园内用户标识个人身份的数字证书,使用户利用数字证书登录业务系统,替代原有的用户名/口令登录方式。真正做到既简便了用户的登陆操作,又进一步提升了业务系统的安全性。
(二)建设原则
结合学校各业务系统自身应用的现实情况,在相关国际标准的指导下,对外经贸大学CA认证系统建设项目的总体设计和实施都将依据国家有关信息安全政策法规,根据项目的实际需要和高校信息化建设的实际情况,依靠科学技术,依靠科学管理的思想进行设计;将长远规划和当前建设相结合,安全可行和方便适用相结合。因此,项目的研究和实施遵循以下原则:符合国家有关规定的原则、坚持继承、发展、创新的原则、坚持以人为本、方便适用的原则、需求、风险、成本折衷原则、坚持统一标准、规范建设的原则、技术与管理相结合原则和保护已有投资、易于扩展的原则。
(三)建设内容
考虑CA身份认证系统在国内建设的相关情况以及结合对外经贸大学各业务系统的应用现实情况,对外经贸大学CA认证系统建设项目的建设内容如下:
1.制订标准规范
制定符合对外经贸大学自身特色的标准规范,指导对外经贸CA安全认证体系的建设、推广、使用,保证系统的高效管理和使用,保证系统之问的互联互通。
2.建设对外经贸大学的CA安全认证体系
所建立的CA认证系统面向全校8000余名在校学生及1500名教职员工提供全面证书安全认证服务,认证系统将具备万张级别的数字证书签发管理能力,使整个校园信息化体系得到进一步完善,从安全性方面保证数字化校园网络的高效、可靠运行,为对外经贸大学涉及的多套教学及办公业务系统提供完善的数字证书服务。
3.数字证书与业务系统的结合
①与公文系统的结合
建设一套电子签章平台,来管理发放相关人员的电子印章,可以实现在OA审批流转系统中对审批电子文档的盖章确认,包括对签章人的身份确认,对审批文档的防篡改,以及盖章行为的不可抵赖。由于具备了真实性、完整性及可追溯性的安全机制,极大的推动了信息化系统中无纸化办公的可靠性。
②与其他业务系统的结合
另外一种情况是业务系统不是流转公文,而是流转各种业务数据,比如合同、申报数据、审批表格等应用系统。由于业务系统情况千差万别,不能用一个盖章、签字软件与其结合,因此需要具体业务具体分析,学校将对于签章、签名系统提供二次开发接口,系统调用这些接口,实现电子签章、电子签名的应用。
4.其他拓展功能建设
作为安全基础设施的CA认证系统,在建成后其颁发的数字证书不仅使用于对系统的安全登录,同时还包括一系列拓展功能。包括身份认证、数字签名/验签、数据加/解密、安全传输、应用支撑、安全审计等等。随着校园网整个信息化系统的功能完善,信息安全体系建设的跟进就显得尤为必要。
三、结论
一、电子商务带来的税收问题
电子商务在改变传统贸易方式的同时,必然在某种程度上给现行税收制度及管理手段提出新的要求和挑战。与世界发达国家相比,我国的电子商务还处于萌芽或起步阶段。随着网络的发展网民不段的增加电子商务将进入一个飞速发展的时期。电子商务不仅仅是一种新的销售渠道或新的商业运行模式,而且它是知识经济运行和发展的最佳模式,代表着未来贸易的发展方向,它将影响一个国家在未来全球化经济技术竞争中的地位和作用,会对社会经济的发展产生极为深远的影响。它将成为一种势不可挡的历史趋势和时代潮流。在此历史大背景下,规范、引导和保护、鼓励电子商务的发展,就成为我国政府的一项重要任务。电子商务的迅猛发展,致使税务管理部门来不及研究相应的征管对策,更没有系统的法律、法规来规范和约束企业的电子商务行为,出现了税收管理真空和缺位,导致应征的税款白白流失。由于电子商务可以规避税收义务,大大降低企业税收负担,因此,一些企业纷纷通过上网规避税收,牟取暴利,在逃避大量税收的同时,扰乱了正常的市场秩序。电子商务给现行税收带来的主要问题涉及多个方面。
1、常设机构的判断问题
(1)纳税人身份及企业性质的判定问题
纳税人身份判定的问题,就是税务机关应能正确判定其管辖范围内的纳税人及交易活动,这种判定是以实际的物理存在为基础,因此,在传统交易活动中,纳税人身份的判定上并不存在问题。但在互联网的环境下,互联网上的商店不是一个实体的市场,而是一个虚拟的市场,网上的任何一种产品都是触摸不到的。在这样的市场中,看不到传统概念中的商场、店面、销售人员,就连涉及商品的手续,包括合同、单证,甚至资金等,都以虚拟方式出现;而且,互联网的使用者具有隐匿性、流动性,通过互联网进行交易的双方,可以隐匿姓名、居住地等,企业可以轻而易举地改变经营地点,从一个高税率国家移至低税率国家。所有这些,都造成了在对纳税人身份判定上的难度。
大多数从事电子商务的企业注册地位于各地的高新技术园区,拥有高新技术企业证书,且其营业执照上限定的营业范围并没有明确提及电子商务业务。有些企业营业执照上注明从事系统集成和软件开发销售、出口,但实际上主要从事电子商务业务。这类企业是属于所得税意义上的先进技术企业和出口型企业,还是属于生产制造企业、商业企业还是服务企业,因判定性质不同将导致企业享受的税收待遇有所不同。从事电子商务服务的电讯企业按3%税率缴纳营业税,而从事电子商务的普通企业则需缴纳5%的营业税。那么,被定性为什么样的企业就成为关键问题。
(2)客户身份难以确定
按照现行税制,判断一种商业行为是否应课税及课税数量与客户身份密切相关。比如我国目前实行的出口退税和对进口商品征收关税的政策,这些活动都必须查明客户的身份。如果将现有的税收原则不加修改地应用于电子商务税收,本来有纳税义务的企业很可能冒充自己向国外供货并以此骗取出口退税,或是通过隐瞒商品的真实消费从而逃避进口关税。虽然科技在发展,但是从技术角度看,无论是追踪付款过程还是供货过程,都难以查清供货目的国或是买方身份,从而无法确认应征税的贸易究竟是国内还是国际贸易,使传统的税制在应用过程中遇到了极大困难。
2、税收征管体制问题
(1)电子商务交易过程的可追溯性问题
电子商务交易过程的可追溯性,简单地说就是在确定了纳税主体后,是否有足够的依据收到应收的税,证据是否足够、是否可查。
目前,我国电子商务还处于初级阶段,网上ca和网上支付体系正在建设中,在线的电子商务交易数额还是较少。商家之间的电子商务主要是商谈、合同和订单处理,还基本上没有进入电子支付阶段。所以,在间接的电子商务阶段,商务交易过程电子化,而送货或电子成份更高的间接电子商务扩大或普及时,考虑到电子商务交易过程中的虚拟性,相关交易环节的具体情况有赖于交易的如实申报,所以电子商务交易过程的可追溯性问题会更加突出,尤其是在数字产品的电子商务过程中。
(2)电子商务过程的税务稽查问题
在具备税收管辖权,交易过程可追溯的前提下,电子商务稽查就成为保障电子商务税收的重要一环,即是否能定额征收的问题。在互联网这个独特的环境中,由于订购、支付,甚至数字化产品的交付都可通过网上进行,使得无纸化的程度越来越高,订单、买卖双方的合同,作为销售凭证的各种票据都以电子形式存在,且电子凭证又可被轻易地修改而不留任何线索、痕迹,导致传统的凭证追踪审计失去了基础;并且,互联网贸易的发展刺激了支付系统的完善,联机银行与数字现金的出现,加大了税务机关通过银行的支付交易进行监管的难度;还有,随着计算机加密技术的成熟,纳税人可以使用加密、授权等多种保护方式掩藏交易信息。如何对网上交易进行监管以确保税收收入及时、足额地入库是网上征税的又一大难题。
3、课税对象认定问题
(1)数字产品性质的认定
电子商务将原先以有形财产提供的商品转变为以数字形式提供,使得网上商品购销和服务的界限变得模糊。对这种以数字形式提供的数据和信息应视为提供服务所得还是销售商品所得,目前税法
还没有明确的规定。
纵观各种形式与产品的电子商务,数字产品的电子商务不仅具有一般形态的电子商务所具有的商流与信息流的虚拟性,更因其产品形态的特殊性,数字产品电子商务又具备物流的虚拟性的特点,这一特点使其在纳税人身份的判定中、交易过程的可追溯性上与税务稽查上有效实现的难度都大大增加。甚至可以说,如果一个数字产品电子商务的经营者不如实地履行各项纳税申报,那么对于税务机关,可以说基本上没有什么有效的方法与途径去追查其交易商品、资金的各项细节。这一问题已引起世界各国普遍关注,欧洲有些国家曾提出按劳务征收数字产品电子商务税的设想,但总体来看,至今还没有太好的办法来解决这一难题。
(2)印花税的缴纳问题
在电子商务交易中,实现了无纸化操作,且交易双方常常“隐蔽”进行。使得印花税的计税依据难以确定。网上订单是否具有纸基合同的性质和作用,是否需要缴纳印花税,目前也不明确。
4、税收管辖权问题
(1)双重征税问题
一个极端的例子是:如果你是一个中国公民,在马来西亚的电子商务网站上订购货物,并且要求将货物发往泰国,这样做的结果可能是,你将同时得到三个国家的税单。首先,按照居民税收管辖权征税办法,中国政府将有权向你征收所得税;按照收入来源地管辖权征税的话,泰国政府也有权向你征收流转税;而马来西亚政府有可能以交易操作发生地为依据,也可根据来源地,有权向你征税。对同一笔税源,由于税收管辖权的重叠,而导致重复征税。
(2)纳税人避税问题
电子商务的便捷性与高流动性为跨国公司操纵利润、规避税收提供了便利。跨国公司通过互联网,只要按几下鼠标就可以轻松地将其在高税区的利润转到低税区或避税港。
二.国外有关电子商务的税收政策和主张
面对电子商务给税收工作带来的挑战,各国的税收管理部门一方面要充分利用因特网带来的效率提高这种潜在的利益,另一方面要在保护税收的同时,避免阻碍新兴技术的发展.
各国政府对电子商务的税收问题的反应,基本上采取的了谨慎的态度.这种谨慎的态度虽然使网上征税增加的许多不确定因素,而且还招致许多企业的不满,但鉴于因特网的全球性及其发展变化的速度,这仍不失一个正确的选择.理论上,各国政府对一般的商业贸易、服务贸易征税,包括网上的进行的电子交易征税应当无可非议的,但由于因特网的电子商务是一种数字化的商品与服务,故又有别于一般贸易活动。针对新兴技术引起的新问题,各国政府暂时还拿不出一套切实可行的解决方案。
是否对电子商务实行税收优惠。这一问题首先是由美国提出的。美国是电子商务应用最早、普及率最高的国家。到目前为止,美国已颁布了一系列有关电子商务的税收法规,其要点是:免征通过因特网交易的无形产品(如电子出版物、软件等)的关税;暂不征收(或称为延期征收)国内“网络进入税”(internetaccesstaxes)。美国国内在对电子商务免征关税问题上达成一致后,于1998年,美国依仗其电子商务主导国的地位,与132个世界贸易组织成员国签订了维持因特网关税状态至少一年的协议;1999年,美国又促使世界贸易组成员国通过了再延长维护因特网零关税状态一年的协议,在电子商务发展规模上稍逊于美国的欧盟成员国,于1998年6月发表了《关于保护增值税收入和促进电子商务发展的报告》,并与美国就免征电子商务(在因特网上销售电子数字化产品)关税问题达成一致。但欧盟也迫使美国同意把通过因特网销售的数字化产品视为劳务销售征收间接税(增值税),并坚持在欧盟成员国内对电子商务交易征收增值税(现存的税种),以保护其成员国的利益。
在发展中国家,电子商务刚刚开展尚未起步。发展中国家,对国际上电子商务税收政策的研究、制定的反应多为密切的关注。发展中国家大多希望、主张对电子商务(电子数字化产品)征收关税,从而设置保护民族产业和维护国家权益的屏障。
三、适应电子商务发展的税收对策
1、在指导思想上应引起重视
我国目前的电子商务尚处于萌芽阶段,但网络经济和电子商务已成为一种势不可挡的历史趋势和时代潮流,在认识和对待我国电子商务和税收的关系上,应本着“积极面对、加强研究、互促互动”的指导思想来加以处理。所谓“积极面对”就是面对全球网络经济和电子商务的迅猛发展,我们应采取一种积极面对的态度,树立超前意识,更新传统观念,以顺应和迎接新的时代。所谓“加强研究”就是面对电子商务对传统税收制度、税收政策和现行国际税收安排所提出的挑战,我们首先必须通过加强研究来弄清情况,掌握国际电子商务的最新动态和发展趋势,明白其对我国现行税制、税收、涉外税收等的影响之所在,从而紧密结合中国具体国情并参照世界税制、税则变动最新情况提出我们的应对举措和方略。所谓“互促互动”,就是说,一方面我们的税制、税则和税收政策,要立足于有利于促进电子商务的发展;另一方面,现行税收的安排,又要在电子商务发展的实践中去不断进行改革和完善,以适应电子商务的发展。
2、我国电子商务的征税原则
(1)税收中性原则
它是指征税不应影响企业在电子商务交易方式之间的经济选择,不应该对高新技术的发展构成阻力。以我国目前的国情而论,在我国信息产业还处于稚嫩时期,网址资源已相当紧张,加上我国企业经营方式落后、机制僵化、信息不灵,因而急需上网经营。如果我国税收政策阻碍电子商务的发展,不仅会妨碍了企业的经营发展,而且使税收也变成无源之水、无本之木。
(2)公平税负原则
从长远来看,应保持传统贸易与电子商务的税负一致。希望各国政府要彼此合作,而且还希望同纳税人合作,以求做到对电子商务的征税会公平台理。
(3)适当优惠原则
即对目前我国的电子商务暂时采取适当轻税的税收政策,以促进电子商务在我国的迅猛发展,开辟新的税收来源。对于这一崭新、具有重大意义及强渗透性的产业,在其发展初期,国家从政策优惠的角度对电子商务给予一定程度的支持还是非常必要的。
3、制定符合我国国情的电子商务税收政策和法律
我国应改革和完善现行税法政策和法规,重新修订和解释一些传统的税收概念,补充有关电子商务所适用的税收条款,对电子商务的纳税义务人、课税对象、纳税环节、纳税地点、纳税期限等税制的备要素给予明确界定,以使对电子商务的税收征管有法可依。
(1)扩大增值税征税范围
电子商务交易的产品(数字化产品)是种无形商品,现行税制对其纳税存在一定困难。为了减少税收对电子商务的负面影响,可适当扩大增值税的课税范围,对通过网络进行交易的数字产品征收增值税,使其与传统有形产品的税收待遇相同,从而保持税收中性的原则,这是法律应尽快予以明确的。在税法上将电子商务纳入增值税的征税范围,可以明确纳税义务,划清征管权限。为了平衡地域间的税源分布,将消费者居住地确定为电子商务的征税地,即通过互联网进行商品销售和提供劳务,无论商品和劳务是在线交易还是离线交易都由消费者居住地的税务机关征一道增值税,而消费地已缴纳税款可作为公司已纳税金予以抵扣。这样:
当期应纳税额=当期销项税额-当期进项税额-消费地已纳税额
这样不仅有助于消除重复课税的弊端,而且有助于加强服务贸易的流动性,并可防止出于财政利益考虑对网上贸易的干扰。
(2)使用电子商务交易专用发票
每次通过电子商务达成交易后,必须开具专用发票,并将开具的专用发票以电子邮件的形式发往银行,才能进行电子账号的款项结算。同时,纳税人在银行设立的电子账户必须在税务机关登记,并使用真实的居民身份证以便税收征管。
(3)采用独立固定的税率和统一税票
考虑电子商务在线交易商品和提供劳务特殊性,及目前传统交易此类商品的税负情况,利润按独立公平的原则在消费者居住地进行分配,消费者居住地采用独立固定的税率征收,消费地当期应纳税额:销售额x固定税率,固定税率不宜过高,一般以1%一2%为宜。这样既可以平衡地区利益;另一方面抵扣时又不会出现退税。由于电子商务跨地域性,销售地税务机关与消费者居住地税务机关都有征税,而且消费地税务机关征的税可以用作抵扣,从征管角度出发要求使用统一的税票,并逐步使用无纸票据,以及采取电子化的增值税纳税申报。这样也便于税务机关通过本身局域网展开交叉稽查,防止逃骗税发生。
4、深化征管改革,实现税收电子化
(1)制定电子商务税务登记制度,实现电子申报
纳税人在办理上网交易手续后,必须到主管税务机关办理电子商务的税务登记,首先由纳税人申请办理电子商务的税务登记,填报《申请电子商务登记的报告书》,并提供网络的有关资料,特别是计一淮南工业学院学报社科版算机超级密码的钥匙的备份。其次,税务机关要对纳税人填报的有关事项严格审核,逐一登记,并要注意为纳税人做好保密工作,最好是建立一个钥匙管理系统。同时,税务系统也应做好电子商务用户专门税务登记,并与银行、网络技术服务部门密切交易,以便深入了解纳税人信息,使税收监管更加有力。该制度要求采用国家标准对电子商务纳税人设立唯一的纳税识别码。
电子申报是指纳税人利用各自的报税工具,通过电话网、分组交换网、internet等通讯网络系统,直接将申报资料发给税务局,完成纳税申报。电子缴税是指税务局、银行、国库建立通过计算机网络进行税款结算,划解的过程。该环节完成了纳税人、税务局、银行和国库间电子资金的交换,实现了税款收付的无纸化。
(2)开发电子征税软件
税务机关应与银行、网络技术部门合作,共同研制开发适用于网络贸易的具有自动追踪统计功能的征税软件。该软件可存储在税务网络服务器上,以备纳税人下载自行计税,并可通过国际互联网自动向发生网络贸易纳税义务的网址发出纳税通知。当技术成熟后,还可以在企业的智能服务器上设置有追踪统计功能的征税软件,在每笔交易进行时自动按交易类别和金额计税、入库,从而完成针对电子商务的无纸税收工作。
(3)建立电子稽查制度
该制度要求税务机关将自身网络与国际互联网及财政、银行、海关、国库、网上商业用户的全面联接,实现各项业务的网上操作,达到网上监控与稽查的目的,堵塞网上交易的税收漏洞。
此外,还需要建立完善的税务稽查电子系统,基于税务系统的广域网,实施办公自动化与征管、税务稽查、大面专用发票防伪系统、出口退税专用票证系统、丢失被盗增值税专用发票报警系统、电子邮件等系统的系统集成,实现跨部门、跨地区之间的涉税信息的快速传递,发票函件调查和相互协凋。
5、加强国际间的税收协调
要防止网上贸易所造成的税收流失,应加强我国与世界各国税务机关的密切合作,运用国际互联网等先进技术,加强国际情报交流,深入了解纳税人的信息,使税务征管、稽查有更充分的依据。在国际情报交流中,尤其应注意有关企业在避税地开设网址及通过该网址进行交易的情报交流,防止企业利用国际互联网贸易进行避税。对于发展中国家,可采取居民管辖权与收入来源地管辖权并存的方案,并逐步向居民管辖权倾斜。随着电子贸易快速发展,收入来源地管辖权越来越难以适应国际税收的要求,但从保护本国利益出发,发展中国家一时很难接受居民管辖权原则。为了与本国税收的接轨,防止国际互联网贸易中的双重征税问题,发展中国家应逐步接受居民管辖权原则,积极与发达国家进行磋商、协调、争取更多的利益。
6、加快网络系统建设和人才培养
