时间:2023-07-11 17:37:33
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇电子商务安全管理策略,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:商业银行;电子商务;风险管理
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的历史演进与现阶段的特点
信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法依赖外部的信息安全管理行业
在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴
【论文摘要】计算机网络的技术发展相当迅速。随着互联网上黑客病毒泛溢,网络犯罪等威胁日益严重,网络安全管理的任务将会越来越艰巨和复杂,抓好网络安全问题对保障网络信息安全至关重要。因此文章对电子商务网络支付安全问题进行探讨分析。
0引言
美国等发达国家,通过Internet进行电子商务的交易已成为潮流。随着internet的发展和网络基础设施的不断完善,我国的电子商务虽已初具规模,但是安全问题却成为发展电子商务亟待解决的问题。电子商务过程中,买卖双方是通过网络联系的,由于internet是开放性网络,建立交易双方的安全和信任关系较为困难,因此本文对电子商务网络支付上的安全问题进行探讨分析。
1电子商务的概念和特点
1)电子商务的概念:电子商务(ElectronicCommerce)是通过电信网络进行的生产、营销、销售、流通等活动,不仅是指基于因特网上的交易,而且还指利用电子信息技术实现解决问题、降低成本、增加价值、创造商机的商务活动[1]。
2)电子商务的特点:(1)电子商务将传统的商务流程电子化、数字化。不仅以电子流代替了实物流,大量减少了人力物力,降低了成本;而且突破了时间空间的限制,使得交易活动可在任何时间、任何地点进行,大大提高了效率。(2)电子商务使企业能以较低成本进入全球电子化市场,也使中小企业可能拥有与大企业一样的信息资源,提高了中小企业的竞争能力。(3)电子商务重新定义了传统的流通模式,减少了中间环节,使得生产者和消费者的直接交易成为可能,从而一定程度上改变了社会经济的运行方式。(4)电子商务提供了丰富的信息资源,为社会经济要素的重新组合提供了更多的可能,这将影响到社会的经济布局和结构。
2电子商务安全的技术体系
1)物理安全。首先根据国家标准、信息安全等级和资金状况,制定适合的物理安全要求,并经建设和管理达到相关标准[2]。再者,关键的系统资源(包括主机、应用服务器、安全隔离网闸GAP等设备),通信电路以及物理介质(软/硬磁盘、光盘、IC卡、PC卡等)、应有加密、电磁屏蔽等保护措施,均应放在物理上安全的地方。
2)网络安全。网络安全是电子商务的基础。为了保证电子商务交易顺利进行,要求电子商务平台要稳定可靠,能够不中断地提供服务。系统的任何中断(如硬件、软件错误,网络故障、病毒等)都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
3)商务安全。主要是指商务交易在网络媒介中出现的安全问题,包括防止商务信息被窃取、篡改、伪造、交易行为被抵赖,即要实现电子商务的保密性、完整性、真实性、不可抵赖性。商务安全的各方面也要通过不同的网络安全技术和安全交易标准实现,加解密技术保证了交易信息的保密性,也解决了用户密码被盗取的问题;数字签名是实现对原始报文完整性的鉴别,它与身份认证和审查系统一起可杜绝交易的伪造和抵赖行为。保证电子商务安全的主要技术有:在线支付协议(安全套接层SSL协议和安全电子交易SET协议)、文件加密技术、数字签名技术、电子商务认证中心(CA)。
4)系统安全。主要是保护主机上的操作系统与数据库系统的安全。对于保护系统安全,总体思路是:通过安全加固,解决管理方面安全漏洞;然后采用安全技术设备,增强其安全防护能力。
3安全管理过程监督
3.1加强全过程的安全管理
1)网络规划阶段,就要加强对信息安全建设和管理的规划。信息安全建设需要投入一定的人力、物力、财力。要根据状况实事求是地确定网络的安全总体目标和阶段目标、分段实施、降低投资风险。2)工程建设阶段,建设管理单位要将安全需求的汇总和安全性能功能的测试,列入工程建设各个阶段工作的重要内容,要加强对开发(实施)人员、版本控制的管理,要加强对开发环境、用户路由设置、关键代码的检查[3]。3)在运行维护阶段,要注意以下事项:(1)建立有效的安全管理组织架构,明确职责,理顺流程,实施高效管理。(2)按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。(3)制定完善的安全管理制度,加强信息网的操作系统、数据库、网络设备、应用系统运行维护过程的安全管理。(4)要建立应急预察体系,建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询,还要定期检查日志,以便及时发现潜在的安全威胁。
3.2建立动态的闭环管理流程
网络处于不断地建设和调整中,可能发现新的安全漏洞,因此需要建立动态的、闭环的管理流程。要在整体安全策略的控制和指导下,通过安全评估和检测工具(如漏洞扫描,入侵检测等)及时了解网络存在的安全问题和安全隐患,据此制定安全建设规划和加固方案,综合应用各种安全防护产品(如防火墙、身份认证等手段),将系统调整到相对安全的状态。并要注意以下两点:1)对于一个企业而言,安全策略是支付信息安全的核心,因此制定明确的有效的安全策略是非常重要的。安全组织要根据这个策略制定详细的流程、规章制度、标准和安全建设规划、方案,保证这些系列策略规范在整个企业范围内贯彻实施,从而保护企业的投资和信息资源安全。2)要制定完善的、符合企业实际的信息安全策略,就须先对企业信息网的安全状况进行评估,即对信息资产的安全技术和管理现状进行评估,让企业对自身面临的安全威胁和问题有全面的了解,从而制定针对性的安全策略,指导信息安全的建设和管理工作。
4结束语
本文分析了目前电子商务网络支付安全方面的主要技术状况,安全技术可以说是网络技术中较为尖端的技术,都是非常先进的技术手段;只要运用得当,配合相应的安全管理措施,基本能够保证电子商务中网络支付的安全;但不是100%的绝对安全,而是相对安全。随着网络安全技术的进步与信用机制的完善,网络支付定会越来越安全。
参考文献
[1]柯新生.网络支付与结算[M].北京:电子工业出版社,2004.
关键词 电子商务;网络技术;网络安全
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)16-0163-01
近年来随着电子商务的迅猛发展,每天进行着数以百万次计的各类交易中,电子商务中的网络安全问题日渐突出,又由于电子商务应用环境比较复杂,计算机网络本身又存在着不可靠性和脆弱性,所以电子商务交易中存在一些安全隐患。中国互联网信息中心的调查结果中指出,一半以上的用户最关心的是交易是否安全可靠。那么,电子商务面临哪些安全问题?又有哪些解决方法呢?
1 电子商务面临的安全问题
1.1 商务软件本身存在的安全问题
任何一种商务软件的程序都具有复杂性和编程多样性,而对于程序而言,越复杂意味着漏洞出现的可能性越大。
1)操作系统问题。操作系统是计算机网络系统中最重要的系统软件之一,由于操作系统在安装时存在端口开放、无认证服务和初始化配置问题,存在一些安全缺陷,这样会使系统处于不安全的状态,任一操作系统都会存在一些安全漏洞,这些安全漏洞都会影响到很大范围内的网络安全,由此,给不法分子趁机实施犯罪带来可乘之机。
2)网络协议问题。由于计算机网络最初网络协议的设计,重在实现数据的交换,并没有把网络安全作为重点来考虑,所以不利于商家之间、商家与消费者之间交易时的相互通信。如典型的TCP/IP协议就没有安全方面的设计,这就给交易双方带来好处的同时,也埋下了安全隐患。
1.2 信息安全问题
1)信息的泄露。信息在网络上传递时,要经过多个环节和渠道。不管是物理的原因还是人为的因素,都会造成信息的泄露,如一些硬件设备受自然灾害的影响造成电磁的泄露,再有信息在传输的过程中没有采用加密措施或加密强度不够,网络犯罪分子就可能在网络上安装截收装置获取用户的重要的信息,如用户的口令、银行的帐号等,严重威胁消费者电子商务交易的安全。
2)信息的篡改。未经授权的攻击者直接进入网络交易系统,获取了信息的内容及格式后,通过采取不同的技术手段和方式将信息进行删除、修改、重发,使得数据改变原有的内容,破坏数据的完整性和一致性,损害他人的经济利益,或干扰对方的正确决策。
3)信息的伪造。网络黑客通过某种技术手段冒充合法用户的身份来破坏交易,如发送伪造的信息来欺骗网络中其它的用户,或是冒充网络控制程序来套取和修改使用权限、密钥等。
1.3 信用安全问题
电子商务这种新型的商务活动自从20世纪90年代开始发展以来,由于网络环境下交易活动的虚拟性,致使交易双方的信用问题一直是世界各国关注的焦点。例如:买方进行虚假订单或提交订单后不付款,集团的购买者可能存在拖延货款的行为;卖方收到货款却给予否认或卖出的商品不能保证质量或数量,不能完全履行与买方签定的合同;交易双方都存在抵赖的现象等。
1.4 安全管理问题
网上交易安全管理问题主要表现在人员管理上存在的问题。
人员管理常常在网上交易安全管理上最薄弱的环节。近年来,由于企业工作人员职业道德修养不高,安全教育和管理松懈的主要原因,在我国计算机犯罪中大都呈现内部犯罪的趋势。再有一些竞争对手还利用不正当的方式潜入企业,窃取企业用户的重要信息,如用户的账号、密码以及相关的重要文件资料等。
1.5 安全的法律保障问题
电子商务是一种新的商务方式,由于电子商务相关法律还不完善,除在买卖双方的电子交易中经常会出现不同的网购纠份外,还会存在域名的纠纷、网络著作权的侵犯、网络诈骗以及电子交易中各方的法律责任不明确等诸多的问题,又由于电子商务活动与传统商务活动存在着很多的不同点,传统商务制定的相关法律又出现不适应电子商务的状况,同时电子商务发展速度非常快,而法律的修改制定又需要较长的时间,因此目前电子商务的相关法律还不能回避由于法律滞后而无法保证合法交易的权益所带来的风险,有待进一步修正完善。
2 电子商务安全的对策
2.1 采取不同措施加强电子商务安全教育和宣传,提高电子商务安全意识
具体可采取以下措施:一是采取不同的宣传方式,普及电子商务安全知识,提高公众的安全意识;二是通过开设电子商务安全培训课程,加强培养电子商务安全管理人才。
2.2 采用网络技术,确保网络信息安全
为了确保网络的信息安全,可以采用防火墙技术,防火墙往往设在企业内部网和外部网之间,是一种隔离设备,只允许授权信息通过,能够防止外部网上的各种危害侵入内部网络,是实现网络信息安全策略中最有效的工具之一。实现防火墙的网络信息安全策略时,有两条可以遵循的规则,即未被明确允许的都将被禁止;未被明确禁止的都将允许。前一种规则建立了一个非常安全的网络环境,而后一种规则建立了一个非常灵活的环境,给用户提供了更多的服务。
2.3 运用密码技术,强化通信安全
为了保证交易双方身份的正确性,保证交易双方的通信安全,运用各种加密技术,数字信封技术是使用两个层次的加密,解决了网上信息传输的保密性问题,数字指纹的应用验证了交易文件在传输过程中是否遭到破坏,解决了防止网上信息假冒的问题,而数字签名技术解决了交易双方的身份认证问题。
2.4 加强人员管理,确保安全管理
电子商务是一项高智商的劳动。需要从业人员一方面具备传统营销的知识和经验,另一方面又必须具有相应的计算机网络知识和操作技能。而当今计算机网络犯罪又具有高技术性、智能性、隐蔽性、连续性的特点,因而,对从事网络营销和企业内部网络维护人员进行重点安全管理,落实每个工作人员的工作责任制,完善企业内部日常安全制度。
2.5 健全法律,严格执法
电子商务应用环境是区别于传统商业环境下的新环境,在传统交易方式下适用的法律法规难以适用于新的环境,又由于关于电子商务的立法还不完善,需要在充分考虑到国内环境的前提下,尽快出台专门针对电子商务交易的法律法规,适应电子商务运作的法制环境,解决存在各种问题,如电子合同问题、网上虚拟财产保护问题等,强化法律法规的可操作性,加强与国际电子商务立法相接轨,通过建立电子商务安全法规体系,规范和维持网络的正常运行。
项目基金
本文系河北省社会科学发展研究课题,编号:201303063。
参考文献
[1]焦媛.电子商务安全技术与PKI研究浅谈[J].科技信息,2009(24).
目前电子商务的安全问题如下:数据的安全管理包括:输入输出数据的过滤、数据的加密解密、数据的访问控制管理、系统的安全管理包括:交易完整管理、日志的管理、系统的安全策略管理和系统安全响应等。现今电子商务安全开发还集中在对加密、数字身份认证、电子商务认证等个别的”点”上,没有综合的安全管理软件产品,而电子商务的健康发展迫切需要能够解决多种安全问题的产品。根据以上分析我们提出电子商务安全管理软件的功能性框架示意图如图1所示。综合考虑系统的安全性及目前较流行的B/S模式设计出其技术架构,电子商务安全管理软件可以分为以下几个部分:数据过滤模块,授权认证模块,协议过滤模块,加密解密模块,日志管理模块,安全监控模块,应用监控模块,DAO数据源。
2软件项目业务规划
2.1项目规划
项目目标:完成电子商务安全管理软件系统的研制和开发,并进行市场化运作;对电子商务安全标准进行研究。主要功能:电子商务安全管理软件系统实现的主要功能有:
(1)提供访问电子商务网站用户的身份认证、授权;授权用户在线删除,添加,更新本人信息;实现了允许一种用户可以以多种身分访问电子商务程序的身份验证和授权的功能。
(2)过滤当前用户请求中是否含有违反HTTP协议的数据存在,包括参数缺失、参数异常、参数过多;过滤当前用户请求中是否含有违反当前请求页面的数据存在。
(3)对称式和非对称式的加密解密技术:包括数字签名算法、消息摘要技术、密钥交换方法、提供基于数据库的密钥管理服务的内容。
(4)收集功能模块的日志信息,然后生成统一的日志信息,并进行分类存储(本课题提供数据库存储形式),然后提供查询、删除等功能(用户可以对日志信息按日期、模块名进行查询、删除等操作)。
(5)随时对受保护的电子商务应用程序进行安全监控,若发现恶意代码的攻击,即刻发出报警信息。
(6)监控系统和电子商务应用程序的运行情况,若系统或应用程序出现异常,即刻发出报警信息。约束条件:本系统运行时需要JAVA运行环境人员所需工具所需资源:开发本项目需要参加人员熟练掌握JAVA、XML、TOMCAT、MYSQL、JSP、STRUTS等,开发工具使用eclipse、editplus、mysql等。
2.2项目组织与进度
本项目的开发共分四个时间段进行,具体安排如下所示:系统调研和总体方案设计3个月系统体系结构设计8个月系统程序实现8个月α测试β测试3个月
2.3开发软件所需要的工具
软件运行环境A.操作系统:Linux系统,Window2000Serve系统B.数据库:Oracle8i/9i,SQLServer2000,MysqlC.WEB服务器:Tomcat/Weblogic/Jboss编程语言:JAVA开发平台:eclipse测试与分析工具:paros
3软件开发设计与程序编码
3.1软件开发设计
电子商务安全管理软件系统采用了模块化的设计理念,遵循J2EE的开发标准,充分利用了J2EE程序开发过程中所涉及到的开放源代码的应用软件。整个软件系统是在Tomcat5.5.9条件下进行的研发,开发工具选用的是Eclipse3.1,MySQL4.1提供了数据库支持。此外,还使用了诸如Spring,Hibernate,Struts,Dom4j,Log4j等免费软件和技术。从软件设计与软件开发的角度看,电子商务安全管理软件系统的设计规划遵循了如下设计原则:
(1)电子商务安全管理软件封装了许多功能强大、易于使用的软件功能模块,对于统一安全接口标准研究十分必要。
(2)软件的开发大量采用组件化、J2EE技术,独立于操作系统与数据库系统。软件内部的模块大量采用Bean,进行业务逻辑的封装,可以方便利于网络层的请求响应调用。
(3)系统采用XML文件格式来响应业务请求,这样可以实现系统逻辑各层之间良好的通讯和接口。
(4)全面考虑电子商务安全的各种需求,设计统一的标准化的软件结构,使各种网络安全技术运行在软件框架之下,共同保护电子交易安全。
(5)提供开放的API接口,这样使其他公司的软件产品可以轻易的集成到这个软件系统平台上。
3.2程序编码
安全:安全模块就像一个数据采集器;在电子商务安全控制中心中分析的所有HTTP信息都是通过安全模块采集的。此外,安全模块还负责在分析后将反应结果返回给用户。开发安全模块所使用技术:ServletFilter。
(1)认证授权模块。身份验证和授权认证模块提供一种基于JAAS体系结构的认证解决方案。身份认证是用户或计算设备用来验证身份的过程,即确定一个实体或个人是否就是它所宣称的实体或个人。授权确定了已认证的用户是否能够访问他们所请求的资源或者执行他们所请求执行的操作。
(2)数据过滤模块。数据过滤模块实现两种分析算法:模式匹配算法和行为建模算法。一种是基于误用检测算法的模式匹配,另一种是基于异常检测算法的行为建模。
(3)协议过滤模块。根据电子商务网站管理员的人工配置和HTTP协议细节执行协议过滤算法,针对于安全数据中出现的冗余信息、检测出的缺失信息,以及异常信息分别进行安全分析,并且触发相应的安全动作。
(4)安全监控模块根据安全分析的结果与事先定义的安全动作,模块采用相应的指定动作。此外,这个模块将向安全模块发送动作指令。如果发现黑客入侵,就随时触发“拒绝”动作,然后发送警告给应用程序的管理员。同时,将恶意的入侵请求存入到数据库作为入侵分析的日志文件。因此,攻击者将会收到一个出错页面或者请求被禁止的页面。
(5)应用监控。应用监控模块主要实现了对于访问电子商务应用程序、安全模块的应用配置和应用监控功能。实现了应用程序和电子商务安全管理软件系统的动态配置、实时监控电子商务安全管理软件系统的响应速度。
(6)加密解密模块。加密解密技术对于用户要传输的信息进行加密操作,可以有效地保护信息的安全。加密解密模块的实现方案使用平台通用开发包JCE(JavaTMCryptographyExtension),它的加密解密算法的强度较高,算法灵活,适应于多种平台,从而使得用户的敏感信息可以得到更好的保护。提供完善的加密解密服务接口,提供密钥管理功能,包括密钥存储、检索和密钥自动更新的功能,提高密钥的安全性和保密措施。
内容摘要:3G时代的到来为移动电子商务提供了更加广阔的发展前景和技术基础,但是我国的移动电子商务仍处于起步阶段,安全是制约这一新兴商务模式发展的主要瓶颈。本文从移动电子商务的特点和优势出发,分析了移动电子商务的安全威胁,并从技术上和管理上提出了相应的防范措施。
关键词:移动电子商务 电子商务 信息安全
近年来,我国移动互联网络环境日渐成熟,配合智能手机和移动终端的快速发展,电子商务应用也有从互联网向无线互联网领域延伸之势。据中国互联网络信息中心的调查显示,截止2010年12月我国的手机网民达到3.03亿人,巨大的用户群体促使移动电子商务的普及。据百度统计数据显示,2010年移动互联网日浏览量已达10亿,其中移动电子商务实物交易规模达到26亿元,同比增幅高达370%。我国移动互联网研究中心联合百度无线、易查搜索、Opera、UC浏览器、企业移动应用商店等移动互联网优势产品及服务,成立了中国首个移动互联网联盟(简称移联)。“‘移联’作为一种不断创新和完善的移动商务模式,有利地推动了中国移动电子商务发展”,商务部中国国际电子商务中心总经理丁强对"移联"的成立给予了充分肯定。
移动电子商务(Mobile-Commerce)是通过手机、PDA(个人数字助理)等移动通信设备与互联网有机结合进行的商务活动,它是无线通信技术和电子商务技术的有机统一体。移动电子商务因其灵活、简单和方便等优势,已经成为电子商务发展的新方向。
移动电子商务的优势和特点
移动电子商务是对传统电子商务活动的促进和补充,是电子商务引入移动性后的扩展。移动电子商务作为一种新兴的电子商务模式,利用了移动无线网络的诸多优点,极大的拓展了电子商务应用的范围。
(一)移动性
传统电子商务由于受到有线网络和终端设备的限制,不具有移动服务的功能。而移动电子商务具有广阔覆盖的无线网络和便携的手持设备,消除了距离和地域的限制,移动供应商几乎可以随时随地为移动用户提供移动服务。对于旅行者和移动工作者而言,移动电子商务比局限于办公室和其他固定位置的电子商务具有更多的商业机会,能够实现随时随地为用户提供个性化服务。
(二)位置感知
在传统电子商务中,人们在互联网创造的虚拟世界中进行商务活动,用户可以忘记物理世界的距离,没有位置的概念约束。而在移动电子商务中,位置是被着重强调的因素,位置感知被认为是一个产生价值的新维度。移动电子商务具有地理定位功能,可以确定用户当前所在的位置,建立和加强客户关系,为其提供位置相关的信息和服务。
(三)信息和交易的简易性
传统电子商务应用发达的互联网和成熟的Web技术,使得大量信息的分发和搜索不受地理位置的限制,信息过载和不必要的通信在传统电子商务环境下是可以忍受的。而在移动电子商务中,用户需要高度个性化的信息,对信息和交易的相关性和简易性要求较高。有数据表明,当手持设备每增加一次点击时,交易的可能性将下降50%。
移动电子商务面临的安全威胁
随着移动网络从2.5G到3G的演进和移动数据传输速率的提高,面向移动电子商务的业务领域得到了快速发展。无线信道是一个开放性的信道,它给移动电子商务带来通信自由和灵活性的同时,也带来了诸多不安全因素。
(一)技术方面的安全威胁
1.无线网络本身的安全威胁。传统的有线网络是利用通信电缆作为传播介质,这些介质大部分处于地下等比较安全的场所,因此中间的传输区域相对是受控制的。而在无线通信网络中,所有的通信内容(如移动用户的通话信息、身份信息、位置信息等)都是通过无线信道传送的,无线信道是一个开放性信道,是利用无线电波进行传播的,任何个人和组织不需要申请就可以进行通信。在无线网络中的信号很容易受到拦截并被解码,只要具有适当的无线接收设备就可以很容易实现无线窃听,而且很难被发现。无线窃听可以导致信息泄露,移动用户的身份信息和位置信息的泄露可以导致移动用户被无线跟踪。这对于移动电子商务的信息安全构成了潜在威胁。
在无线通信网络中,移动站与网络控制中心以及其它移动站之间不存在固定的物理连接,移动站必须通过无线信道传送用户的身份信息。由于无线信道信息传送过程可能被窃听,当攻击者截获到一个合法用户的身份信息时,他就可以利用这个信息来冒充该合法用户的身份入网,访问网络资源或者使用一些收费通信服务等,这就是所谓的身份冒充攻击。另外,攻击者还可以假冒网络控制中心,冒充网络端基站来欺骗移动用户,以此手段获得移动用户的身份信息,从而冒充合法的移动用户身份。
2.无线网络标准的安全漏洞。移动电子商务涉及到很多无线网络标准,其中使用最广泛的是实现手机无线访问因Internet的WAP标准和构建WLAN(无线局域网 )的802.11标准。WAP中WTLS(无线传输层安全)协议仅仅加密由WAP设备到WAP 网关的数据,数据通过SSL传送至网关上有短暂的时间处于明文状态;802.11标准使用的WEP(无线等效协议)安全机制存在密钥容易泄露且难以管理等缺陷;许多WLAN在跨越不同子网时往往不需要第二次的登陆验证。这些缺陷容易造成数据拦截和窃取,给移动电子商务的应用带来了很大的安全隐患 。
3.移动终端的安全。移动终端因为体积小、重量轻便于随身携带和使用,但是也容易丢失和被窃。对个人而言,移动终端的丢失意味着别人将会看到移动设备上的数字证书,以及其他一些重要数据。利用存储的数据,拿到移动终端的人可以访问企业内部网络,包括E-mail服务器和文件系统等。目前手持移动终端的最大问题就是缺乏对特定用户的实体认证机制。
(二)管理方面的安全威胁
1.手机短信的安全管理。在移动通信给人们带来便利和效率的同时,也带来了很多烦恼,其中垃圾短信成为困扰用户的主要因素。他们一般通过非正常渠道获得一些发送手机短信价格十分低廉的短信卡,利用“短信猫”在短时间内向移动用户密集发送垃圾短信,这类短信显示的发送号码都是正常的11位手机号码,短信中诱惑性的文字可能会间接骗取用户的金融资料。垃圾短信使得人们对移动电子商务充满恐惧,不敢在网络上使用自己的移动设备从事商务活动。目前还没有相关的法律法规来规范垃圾短信,运营商也只是在技术层面上来垃圾短信的群发。
2.信息安全管理的标准化问题。目前移动电子商务产业刚刚起步,这个领域还没有国际标准,我国也没有自己的国家标准和统一管理机构。设备厂商在无线局域网设备安全性能的实现方式上各行其道,使得移动用户既不能获得真正等效于有线互联网的安全保证,也难以在保证通讯安全的基础上实现互通互联和信息共享。由于没有安全标准的评测依据,又缺乏有关信息安全的管理法规,主管部门很难对信息安全标准做出规范要求,这也为移动电子商务信息安全的审查和管理工作带来了很大困难。
移动电子商务的安全防范
(一) 安全技术防范策略
1.蓝牙技术的安全使用。蓝牙技术是一种短距离无线通信技术,它能够有效地简化掌上电脑、笔记本电脑、移动电话等移动终端之间的通信,也能够成功地简化以上这些设备与Internet之间的通信,从而使这些现代化通信设备与Internet之间的数据传输变得更加迅速高效。
蓝牙技术的3种不同的安全模式分别是无安全模式、服务层加强安全模式和链路层加强安全模式,每一个蓝牙设备在特定的时候只能工作在一种安全模式下。蓝牙特殊利益组织(SIG)花了相当多的时间,开发出安全模式作为链路层的保护机制,例如128位元加密、装置认证以及授权等。若要达到最高的信任要求,应用开发商或者IT组织必须在链接层安全上增加应用安全,以便实现端到端的保护。蓝牙装置可以与经过认证的一方进行双边连接,或者永久性链接,这样一来,受信赖的一方就不需要每次都要经过认证流程。
2.WVPN技术。WVPN(Wireless Virtual Private Network)即“无线虚拟专用网”,它可以在移动环境下接入企业的内联网提供安全保证。WVPN能够实现端到端的连接,从用户的角度来看,端到端的WVPN 连接提供了最佳的安全性能。数据在WVPN 客户端进行加密,在WVPN 服务器进行解密,数据在整个传递过程中都进行了加密处理。WVPN是VPN中的高效简便和安全性与无线通信技术结合的产物,在移动电子商务上具有广泛的应用前景。它提供鉴权、保密性、完整性等方面的服务,提供了端到端的最好安全性的连接。
3.WPKI技术。WPKI即“无线公开密钥体系”,它是将互联网电子商务中PKI(Public Key Infrastructure)安全机制引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系,用它来管理在移动网络环境中使用的公开密钥和数字证书,有效建立安全和值得信赖的无线网络环境。WPKI并不是一个全新的PKI标准,它是传统的PKI技术应用于无线环境的优化扩展。它采用了优化的ECC椭圆曲线加密和压缩的X.509数字证书。它同样采用证书管理公钥,通过第三方的可信任机构―认证中心(CA)验证用户的身份,从而实现信息的安全传输。
一个完整的WPKI系统必须具有以下部分:PKI客户端、注册机构(RA)、认证机构(CA)和证书库以及应用接口等,其构建也将围绕着这五大系统进行。CA作为数字证书的签发机构,是WPKI系统的核心。RA提供用户和CA之间的一个接口,作为认证机构的一个校验者,在数字证书分发给请求者之前对证书进行验证,它捕获并认证用户的身份,向CA提供证书请求,认证处理的质量决定了证书中被设定的信任级别。一个完整的WPKI必须提供良好的应用接口系统,使各种各样的应用能够以安全、一致、可信的方式与WPKI交互,确保安全网络环境的完整性和易用性。
(二) 安全管理防范策略
1.加强短信息服务的管理。治理不良手机短信是一个系统的工作,只有运营商、短信服务商、手机用户和政府共同参与,才能取得根本性的治理效果。首先要从准入环节加强管理。经营短信息服务业务,应当按照有关规定取得业务经营许可证。这也是加强短信息服务市场的重要举措之一。各政府部门应当密切配合,在各自职责权限范围内,对短信息服务加强监管。特别是通信行业主管部门,应当通过制定必要的规则来明确相关各方的权利和义务,加强日常的监督管理,真正保护广大移动用户的合法权益,进而保证移动电子商务活动安全顺利进行。
2.加快安全管理标准化进程。要尽快制定符合我国国情的安全标准,为移动电子商务的安全管理提供依据。我国的移动电子商务起步较晚,安全技术力量薄弱,因此可以参考借鉴国际信息安全标准化的先进经验,根据我国移动电子商务安全保障体系建设和信息安全标准化的需求,制定出适合我国国情的移动电子商务安全标准,为安全管理提供依据。移动电子商务安全主管部门要以安全标准化应用为主,加强对移动电子商务安全的组织领导,加大无线网络及信息安全标准的宣传贯彻实施力度,切实做好安全标准的推广应用和监督检查工作。同时由于信息安全的特殊性,国家必须强化信息安全标准的实施,保证我国信息安全标准的全面和有效落实。
综上所述,要实现移动电子商务的安全,单靠纯粹的技术防范是单薄无力的,安全管理策略的有效实施将使整个安全体系达到事半功倍的效果。只有技术和管理“双管齐下”,才能为移动电子商务系统构筑坚不可破的安全防线。
参考文献:
1.秦成德,王汝林.移动电子商务[M].人民邮电出版社,2010
2.梁少娥,蔡振治.3G时代我国移动电子商务的安全问题与应对措施[J].肇庆学院学报,2010(7)
论文摘要:电子商务是基于网络盼新兴商务模式,有效的网络信息安全保障是电子商务健康发展的前提。本文着重分析了电子商务活动申存在的网络信息安全问题,提出保障电子商务信息安全的技术对策、管理策略和构建网络安全体系结构等措施,促进我国电子商务可持续发展。
随着互联网技术的蓬勃发展,基于网络和多媒体技术的电子商务应运而生并迅速发展。所谓电子商务通常是指是在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网购物、商户之间的网上交易和在线电子支付以及各种商务活动和相关的综合眼务活动的一种新型的商业运营模式。信息技术和计算机网络的迅猛发展使电子商务得到了极大的推广,然而由于互联网的开放性,网络安全问题日益成为制约电予商务发展的一个关键性问题。
一、电子商务网络信息安全存在的问题
电子商务的前提是信息的安全性保障,信息安全性的含义主要是信息的完整性、可用性、保密和可靠。因此电商务活动中的信息安全问题丰要体现在以下两个方面:
1 网络信息安全方面
(1)安全协议问题。目前安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
(3)防病毒问题。互联网的出现为电脑病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,在电子商务领域如何有效防范病毒也是一个十分紧迫的问题。
(4)服务器的安全问题。装有大量与电子商务有关的软件和商户信息的系统服务器是电予商务的核心,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果会非常严重。
2.电子商务交易方面
(1)身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的身份与他人进行交易。
(2)交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
(3)交易的修改问题。交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公正。
二 电子商务中的网络信息安全对策
1 电子商务网络安全的技术对策
(1)应用数字签名。数字签名是用来保证信息传输过程中信皂的完整和提供信包发送者身份的认证,应用数字签名可在电子商务中安全、方便地实现在线支付,而数据传输的安全性、完整,身份验证机制以及交易的不可抵赖性等均可通过电子签名的安全认证手段加以解决。
(2)配置防火墙。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。它能控制网络内外的信息交流,提供接入控制和审查跟踪,是一一种访问控制机制。在逻辑,防火墙是一个分离器、限制器,能有效监控内部网和Intemet之间的任何活动,保证内部网络的安全。
(3)应用加密技术。密钥加密技术的密码体制分为对称密钥体制和公用密钥体制两种。相应地,对数据加密的技术分为对称加密和非对称加密两类。根据电子商务系统的特点,全面加密保护应包括对远程通信过程中和网内通信过程中传输的数据实施加密保护。一般来说,应根据管理级别所对应的数据保密要求进行部分加密而非全程加密。
2、电子商务网络安全的管理策略
(1)建立保密制度。涉及信息保密、口令或密码保密、通信地址保密、日常管理和系统运行状况保密、工作日记保密等各个方面。对各类保密都需要慎重考虑,根据轻重程度划分好不同的保密级别,并制定出相应的保密措施。
(2)建立系统维护制度。该制度是电子商务网络系统能否保持长期安全、稳定运行的基本保证,应由专职网络管理技术人员承担,为安全起见,其他任何人不得介入,主要做好硬件系统日常管理维护和软件系统日常管理维护两方面的工作。
(3)建立病毒防范制度。病毒在网络环境下具有极大的传染性和危害性,除了安装防病毒软件之外,还要及时升级防病毒软件版本、及时通报病毒入侵信息等工作。此外,还可将刚络系统中易感染病毒的文什属性、权限加以限制,断绝病毒入侵的渠道,从而达到预防的目的。
(4)建立数据备份和恢复的保障制度。作为一个成功的电子商务系统,应引对信息安全至少提供三个层而的安全保护措施:一是数据存操作系统内部或者盘阵中实现快照、镜像;二是对数据库及邮件服务器等重要数据做到在电子交易中心内的自动备份;三是对重要的数据做到通过广域网专线等途径做好数据的克隆备份,通过以上保护措施可为系统数据安全提供双保险。
三 电子商务的网络安全体系结构
电子商务的网络信息安全不仅与技术有关,更与社会因素、法制环境等多方面因素有关。故应对电子商务的网络安全体系结构划分如下:1.电子商务系统硬件安全。主要是指保护电子商务系统所涉及计算机硬件的安全性,保证其可靠眭和为系统提供基础性作用的安全机制。2.电子商务系统软件安全。主要是指保证交易记录及相关数据不被篡改、破坏与非法复制,系统软件安全的目标是使系统中信息的处理和传输满足整个系统安全策略需求。3.电子商务系统运行安全。主要指满足系统能够可靠、稳定、持续和正常的运行。4.电商务网络安全的立法保障。结合我阁实际,借鉴国外先进网络信息安全立法、执法经验,完善现行的网络安全法律体系。
关键词:电子商务平台;信息安全;检查
中图分类号:TP393 文献标识码:A 文章编号:1674-7712 (2013) 04-0036-02
一、引言
随着我国网络技术普及率的日益提高,通过网络进行购物、交易、支付等的电子商务新模式发展迅速。电子商务凭借其低成本、高效率的优势,不但受到普通消费者的青睐,还有效促进中小企业寻找商机、赢得市场,已成为我国转变发展方式、优化产业结构的重要动力。
CNMC的最新报告显示,截至2012年6月底,中国网民数量达到5.38亿,互联网普及率为39.9 % ,2012年上半年网民增量为2450万,普及率提升1.6个百分点;其中网络购物用户规模达到2.1亿,较2011年底增长8.2%[1] 。
电子商务平台是电子商务的最重要的环节,因为不论是商家还是个人,只要是使用电子商务,就必须经由这个平台进行交易,所以它的安全性就起了决定性的作用。目前国内的企业电子商务平台的安全状况良莠不齐,发展的优秀的企业如阿里巴巴等,不论是网络环境、硬件设备还是管理制度,均考虑的很全面,排除了安全隐患;但许多中小电子商务企业由于刚刚起步,缺乏对安全技术的了解,安全产品的部署不到位,操作系统和应用系统软件也存在漏洞,对企业内部员工的管理也不完善,保证不了电子商务平台的安全。
二、电子商务平台的信息安全检查
电子商务平台的信息安全问题,大致可分为技术和管理方面。所谓技术方面,是指通过各种黑客手段窃取企业的用户ID、密码以及相关的机密文件,甚至网络银行帐号、密码等,给企业造成经济损失。而管理方面则是指缺乏对参与电子商务过程中各个环节的人员的管理预防手段,最终导致的电子商务安全事件。针对这些安全问题,检查工作也应从技术和管理分别开展。
(一)技术层面
1.网络环境
电子商务平台所依赖的网络环境既是防御入侵的第一道屏障也是基础的安全层面,如果设置不当不仅无法防范外部入侵甚至无法抵御来自内部的非授权访问。检查网络环境的安全问题,主要检查硬件防火墙、路由器、交换机、入侵检测系统(IDS)等设备的安全配置等等。
(1)防火墙:访问控制功能、安全审计、自身防护等等;
(2)路由器:身份鉴别、访问控制、安全审计、是否支持VPN等等;
(3)交换机:身份鉴别、安全审计等等;
(4)入侵检测系统:安全审计、监视攻击、攻击识别、响应等等。
2.服务器
服务器是实现电子商务的主机平台。它决定了电子商务开展的效率、稳定性和安全。服务器由硬件环境、系统环境、数据库组成。其各组成部分均和网络安全息息相关。
(1)服务器硬件环境。服务器须具备抵御突发事故的能力,包括突然断电、电磁干扰等,其保存的数据是否完整、正确等等。
(2)系统环境。检查服务器上应用、服务、端口、链接以及系统补丁等情况,是否关闭了不必要的应用、服务、端口、链接;账号口令强度和更新情况;病毒木马防护措施,是否定期进行漏洞扫描、病毒木马检测等。
(3)数据库。数据库是电子商务的重要组成部分,其保存了客户信息、产品信息、交易信息等,因而成为攻击者窃取的目标。对数据库进行加密是保障数据安全的重要手段。不仅对数据库进行加密,还应对数据库与服务器需要网络通讯时的传输数据进行加密,避免信息监听。
3.应用系统安全检查
电子商务平台的开发一般通过组建自己的团队或外包进行开发,在开发过程中比较重视平台的功能性,但安全性和可靠性却常常被忽视,导致在平台开发阶段就存在安全漏洞或者后门,给平台运营带来隐患,因而需重点检查应用平台的安全问题。
4.交易过程的安全检查
电子商务平台最核心的部分就是交易,而企业电子商务安全最关键就是采取一定的措施保证交易过程的安全和可靠。
(1)第三方支付平台。检查网上支付采用安全的第三方支付平台的情况。第三方支付平台有两类,一类是以支付宝、财付通为首的互联网型支付企业,它们以在线支付为主,捆绑大型电子商务网站;一类是以银联电子支付、快钱、汇付天下为首的金融型支付企业,侧重行业需求和开拓行业应用[2]。
(2)加密技术。利用加密技术可以保证电子商务交易的机密性、完整性、真实性和不可否认性。检查采用加密技术对系统等进行保护的情况,使用的密码技术产品及含有密码技术的信息技术产品是否符合国家密码管理规定。
(3)安全认证。检查采用数字证书方式实现身份认证和授权管理的情况,使用的数字证书是否符合国家电子认证服务管理规定。
(4)安全协议。电子商务的运行还需要一套完善的安全交易协议,检查采用主流的安全协议的情况,如:安全套接层协议(SSL)、安全电子交易协议(SET)、安全超文本传输协议(HTTPS)、安全交易技术协议(STT)等等。
(二)管理层面
1.信息安全管理组织
检查企业是否建立电子商务信息安全管理组织。组织应包括安全决策机构、安全执行机构、安全顾问机构。
(1)检查安全决策机构是否履行了建立管理框架,组织审批安全策略、安全管理制度,指派安全角色,分配安全职责,并检查安全职责是否已被正确履行,核准新信息处理设施的启用、组织安全管理专题会等职责。
(2)检查安全执行机构是否履行了起草网络系统的安全策略、执行批准后的安全策略、日常的安全运行和维护、定期的培训和安全检查等职责。
(3)检查安全顾问机构是否履行了提供安全建议的职责,特别是在安全事故或违反安全策略事件发生后,是否被安全决策机构指定负责事故( 事件) 调查,并为安全策略评审和评估提供意见。
2.信息安全管理制度
检查企业是否制定了科学合理的电子商务信息安全管理制度。企业电子商务信息安全管理制度应包括人员安全管理制度、设备安全管理制度、运行安全管理制度、安全操作管理制度、应急维护制度、计算机病毒防范管理制度、敏感数据保护制度、安全技术保障制度、安全计划管理制度等内容。
3.人员安全的管理和培训
检查企业的人员安全的管理和培训制度,检查内容应该包括:
(1)人员录用时是否进行人员鉴别,人员录用或人员职位调整时,是否签署保密协议。人员到期离开或协议到期、工作终止时,是否审查保密协议。
(2)人员上岗前是否进行上岗培训,建立人员培训计划,是否定期组织安全策略和规程方面的培训。
(3)在岗位职责中是否明确本岗位执行安全政策的常规职责,对违反网上交易安全规定的人员是否进行及时的处理。
(4)是否明确了网上交易安全运作基本原则,包括职责分离、有效期限、最小权限、个人可信赖性等。
4.信息安全服务
检查信息安全服务的合同、安全保密协议等文件,检查信息安全服务机构的服务内容,是否有相应的服务记录,是否有远程在线服务等等。
三、结论
综上所述,由于电子商务平台自身的特殊性,政府应从技术和管理两方面着手,参照信息安全等级保护和信息安全风险评估标准,制订适合电子商务平台的检查规范和标准,依据这些规范、标准对互联网上的电子商务平台进行检查,尽可能保证电子商务全过程的安全。
参考文献:
[1]康宏燕,史露露.中国B2C电子商务发展现状研究[J].现代经济信息,2012(24):2.
电子商务的基础平台是互联网,电子商务发展的核心和关键问题就是交易的安全,由于Internet本身的开放性,使网上交易面临着种种危险,也由此提出了相应的安全控制要求。
信息网络面临的安全威胁可以分为以下三种基本类型:黑客入侵、病毒破坏和预置陷阱。
黑客即Hacker音译,专指对别人的计算机系统非法入侵者。而当今世界,随着信息技术的广泛普及,越来越多的人掌握了黑客技术,使黑客现象发生了质的改变。不少黑客专门搜集他人隐私,恶意篡改他人重要数据,进行网上诈骗、对他人网上资金帐户盗窃,给社会及人们的生活带来极大的破坏性。因此人们普遍认为黑客就是信息安全的最大威胁。
电子商务离不开计算机网络,而病毒制造者通过传播计算机病毒来蓄意破坏联网计算机的程序、数据和信息,以达到某种非法目的。据不完全统计,目前全世界已发现的计算机病毒近6万多种,且每月都会发现数百种新病毒和病毒变体。然而全球与互联网联网的主机节点正在越来越多,这样一个强大的网络群体造成了病毒极易滋生和传播的环境,而病毒破坏成为企业开展电子商务的面临的信息安全重大威胁。
预置陷阱是指在信息系统中人为地预设一些陷阱,以干扰和破坏计算机系统的正常运行。在对信息安全的各种威胁中,预置陷阱是危害最大、最难预防的一种威胁。一般分为硬件陷阱和软件陷阱两种。
电子商务的信息安全在很大程度上依赖于技术的完善,这些技术包括:防火墙技术、数据加密技术、数字签名技术、数字时间戳技术等。
防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,并监视网络运行状态。
数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥,可用同一加密算法,将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据,称为解密。
数字签名(Digital Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整、不可否认服务中都要用到数字签名技术。
在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳(Digita Timestamp)的数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名。
在传统的商务环境下进行面对面的交易也存在着这样那样的安全风险,因此在电子商务活动中偶尔的信用卡密码被盗、交易抵赖等情况也不足为奇。电子商务的安全性是相对的,但随着电子商务的发展、计算机与网络技术的不断提高,以及各项网络安全管理制度与立法的不断完善,电子商务的安全性将会越来越高。
[关键词]Agent 电子商务实验室 安全设计
电子商务实验室旨在建立一个Internet环境下的电子商务模拟环境,实现情景教学。若想成功地部署电子商务实验室,必须解决三个关键问题:高可用性、伸缩性和安全性。而安全性是其中最重要的环节,因此本文主要对电子商务实验室的安全性进行阐述。
一、电子商务实验室的安全需求
本课题所设计的系统有七个实验平台组成,它们分别是:一般教学、B2C、C2C、B2B、物流实验平台,以及电子银行和CA认证平台。每个平台相对独立又有一定关联,如B2C业务流程的完成需要结合CA认证、电子银行和物流管理等,因此不同平台安全需求也是多方面的。如何保证实验室系统交易的安全性、对个人信息提供机密性保障、认证交易双方的合法身份、如何保证数据的完整性和交易的不可否认性等,是实验室所需解决的核心问题。
二、电子商务实验室安全解决方案
当前,电子商务系统设计的架构大多采用B/S结构。B/S环境中各种安全功能都由服务器集中实现,因此服务器容易成为系统的安全瓶颈。服务器一旦被人入侵或出现问题,将对整个系统的安全造成严重的威胁。且不同子系统具有不同的安全需求,由服务器统一协调和处理它们之间的安全策略将大大加重服务器的负担。
当前的大多数电子商务系统都采用了结合硬件防火墙、软件防火墙和防病毒软件等。这些措施只提供了被动的、有限的安全防范能力,并不能满足多模块、多子系统的电子商务实验室的要求。并且这种解决方案缺少主动性和自我维护能力。
利用软件Agent的智能处理能力来解决各模块间的安全通信是一个很好的选择,软件Agent是一种计算机程序,具有反应性、自治性和目标性等特点,能够独立地跟环境进行交互或代表用户完成给定的目标。它不仅能对各模块的通信状况进行高度监控,而且各Agent能多层面的独立实现,各Agent之间也能相互协调、统一调度。
三、基于软件Agent的电子商务实验室安全设计
本人主持研究河北大学教改青年基金项目――基于LINUX的电子商务实验室(项目编号为:0575),此实验室服务器连接校园网,校园网又和互联网相连,因此服务器较容易成为被攻击或入侵的对象,所以本系统利用Agent技术来提高实验室的安全性。Agent可对用户的请示进行过滤,减少用户直接访问实验室服务器所带来的安全风险,同时可更方便地实现一些动态的安全策略。
1.基于软件Agent的安全设计模型
本实验室的Agent体系设计是分层次、分等级的结构,层次或等级根据系统的功能来划分,如图1所示。
图1 Agent的安全等级结构
每个平台由一个安全监控Agent负责管理本平台的安全,如有问题通知报警Agent,报警Agent会及时反馈给Agent安全管理中心的Agent进行相应处理,比如:退出登陆重新验证身份等。身份认证Agent负责对访问用户进行身份验证;授权Agent根据对已经通过身份认证Agent的用户进行授权,不同类型的登陆用户授权策略不同,实验的角色不同,授权的策略也不同,比如,B2C实验中,一位刚刚初始化的Customer(学生登录身份),授权内容中将包括B2C的买方界面,并且授权Agent指示电子银行模块自动给实验者初始资产一万元作为实验的资本,当然还有其他一些授权;跟踪Agent将全程跟踪用户的操作并详细记录到日志文件。
2.软件Agent的安全解决方案
移动Agent需要在不同的主机上迁移,实验室服务器是LINUX环境,而客户端往往是学生比较熟悉的windows操作环境,所以这里选择跨平台的J2EE开发本系统。J2EE不仅提供了一套安全机制,而且移动Agent中的许多功能在Java中有直接的对应实现。移动Agent状态的移动可以用Java对象的串行化表示;Agent代码的移动用字节码传递和加载;Agent运行上下文可用方法的控制流表示等等,具体的方案有以下几点:
(1)利用Java的字节码验证器保证Agent的正确性。字节码验证器可以检测Agent的程序代码是否被破坏,然后采取相应的措施。
(2)利用Java的类装载器、命名空间和线程组来实现动态Agent的隔离。可以把从不同来源载入的类隔离到不同的命名空间中,一个Agent不可能用它自己的类冒名顶替另一Agent的类,这样可以防止破坏性代码访问正常的代码,从而保证了Agent之间的安全。另外,每当一个新Agent到达后,就为其建立一个线程组。任何执行该Agent的线程其组号是相同的。那么,只要为这个线程组分配权限,即为该Agent分配了权限,就实现了Agent与主机的隔离。
(3)采用数字签名和加密算法实现Agent的传输与验证。系统对外来的Agent的身份进行数字签名验证,确定其是否为可信Agent。同时还可以利用Java加密扩展机制和Java安全套接字扩展机制结合来实现将Agent代码数据进行压缩后加密处理,经过压缩不仅降低了网络流量,而且也大大增加了破译该数据的难度。
3.软件Agent的实现
本系统的软件Agent的实现平台采用Aglet。Aglet为开放源码项目,用户不用考虑侵权问题。Aglet完全由Java编写,具有很高的移植性。Aglet包含了一个运行移动Agent的服务器和一套类库,基于它开发者可以进一步开发各种Agent的应用。Aglet的系统架构主要分为四个阶段,如图2所示。
图2 Aglet系统架构
当一个正在执行的Aglet将自己送到远程端口时,会对Aglet Runtime层发出请求,然后把Aglet的状态与程序代码序列化(serialized )成字节数组(byte array),若是请求成功,系统会将Aglet的执行动作结束,然后将序列化数组传送至ATCI(Agent Transport and Communication Interface)层处理。
Agent安全管理中心统一管理各个安全Agent的基本行为:如产生(Create)、复制(Clone)Agents ,或分派(Dispatch)Agents 到远端工作站、召回(Retract)远端的Agents,或暂停(Deactive)、唤醒(Active)Agents,以及移除(Dispose)Agents等,如图3所示,不管是何种Agent均继承Aglet类,可以通过覆盖父类的方法来实现自己的“特殊要求”。
图3 Agent的对象模型
各监控Agent由管理中心分派到各个实验平台进行监控,等客户端做完实验后正常退出,然后移除Agent监控对象,如果出现安全问题,传递消息给报警Agent对象,再交由Agent管理中心负责进一步处理。
参考文献:
[1]Jian Li,Guo-yin Zhang Gu, A Workflow System Based Architecture for Network Attack Resistant System,GCC2003, LNCS3032, pp.980~983,2004
[关键词] 电子商务 安全 对策
随着Internet和IT技术的迅猛发展,电子商务因其自身独有的特点与优势,逐渐成为进行商务活动的新模式,在人们的生活中也占据着日益重要的地位,但其安全问题也变得越来越突出。如何建立一个安全、快捷、便利的电子商务应用环境,对信息在网络上的传输提供足够的保护,已成为商家和用户都非常关心的话题。
一、电子商务的定义
电子商务(E-business)是利用当前先进的电子技术从事各种商业活动的方式,其实质是一套完整的网络商务经营及管理信息系统。更具体地说,它是利用计算机硬/软件设备和网络基础设施,通过一定协议连接起来的电子网络环境进行各种商务活动的方式。比如:网上银行、网上营销、网上客户服务、网上调查等。
二、电子商务的基本特征
1.电子商务将传统的商务流程电子化、数字化,减少了人力、物力,降低了成本,具有开放性和全球性的特点,为企业创造了更多的贸易机会。
2.电子商务重新定义了传统的流通模式,减少了中间环节,使生产者和消费者不用谋面的网上交易成为可能,从而在一定程度上改变了社会经济运行的方式、经济布局和结构。
3.电子商务一方面突破了时间和空间的限制,另一方面又提供了丰富的信息资源,为各种社会经济要素的重新组合提供了更多的可能,使得交易活动可以在任何时间、任何地点进行,从而大幅度提高了效率。
可见,电子商务的一个重要技术特征是利用网络技术和IT技术来传输和处理商业信息的。就整个系统而言,其安全性可以分为四个层次。(1)网络节点的安全性。(2)通讯的安全性。(3)应用程序的安全性。(4)用户的认证管理。
三、网络节点的安全性
1.防火墙的概念。在构建安全网络环境的过程中,防火墙作为第一道安全防线,受到越来越多用户的关注与青睐。防火墙是一个系统,主要用来执行Internet(外部网)和Intranet(内联网)之间的访问控制策略。它可为各类企业网络提供必要的访问控制,又不造成网络的瓶颈,并通过安全策略控制进出系统的数据,保护企业资源。
2.防火墙安全策略。防火墙保护内部网络的敏感数据不被窃取和破坏,并记录内外通信的有关状态信息日志,如通信发生的时间和进行的操作等。新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输。设置了防火墙后,可以对网络数据的流动实现有效的管理:如允许公司员工使用电子邮件、Web浏览以及文件传输等服务,但不允许外界随意访问公司内部的计算机,同样还可以限制公司中不同部门之间的互相访问。
可见,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备组合,它还是安全策略的一个重要组成部分,其安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施及管理制度等。所有可能受到网络攻击的地方都必须以同样的安全级别加以保护。仅设置防火墙系统,而没有全面、细致的安全策略,那么防火墙就形同虚设。
3.安全操作系统。安全的操作系统至少要有以下特征:(1)最小特权原则,即每个特权用户只拥有能进行其工作的权力。(2)强制访问控制,包括保密性访问控制和完整性访问控制。(3)安全审计和审计管理。(4)安全域隔离。
其次,防火墙是基于操作系统的,如果信息通过操作系统的后门绕过防火墙进入内部网,则防火墙就不起作用了。可见,安全是一个系统工程,操作系统安全只是其中的一个层次,还需要各个环节的配合,安全操作系统应该与各种安全软、硬件结合起来(如防火墙、杀毒软件、加密产品等),才能让电子商务得到更广泛的应用,确保系统信息的安全达到最佳状态。
四、网络通信的安全性
1.数据通信的安全。电子商务系统的数据通信主要存在于:(1)客户浏览器端与电子商务WEB服务器端的通讯。(2)电子商务WEB服务器与电子商务数据库服务器的通讯。
2.通信链路的安全。在客户端浏览器和电子商务WEB服务器之间采用SSL(Secure Electronic Transaction,安全电子交易)协议建立安全链接,所需传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。单纯的建立SSL链接时,客户只需用户下载该站点的服务器证书。若验证此证书是合法的服务器证书,再利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密将要传输的明文,此时浏览器也会出现进入安全状态的提示。
五、应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性,这些工作还是不充分的,因为编程错误也可能导致对系统的破坏与攻击。
程序错误的常见形式:程序员忘记检查传送到程序的入口参数;程序员在处理字符串的内存缓冲时,忘记检查边界条件。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可。程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录,但不是显式的设置访问控制(最少许可)。若程序员认为这个缺省的许可是正确的,则这些缺点就可能被用到攻击系统的行为中,不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。
缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的,程序不检查输入字符串长度。输入假字符串常常是可执行的命令,特权程序可以执行指令。
六、用户的认证管理
1.身份认证。开展电子商务的关键核心技术是保密存储与取出。电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合来实现。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。由于指纹具有惟一性,目前,指纹认证与网络传输便广泛的应用于银行专用网、企业营销网等各种商贸网络,使电子商务具有更现实的可操作性。
2.CA证书。CA(Certificate Authority,即“认证机构”),是证书的签发机构,它是PKI(Public Key Infrastructure,即“公开密钥体系”)的核心。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。要在网上确认交易各方的身份及保证交易的不可否认性,便需要CA证书进行验证。证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,验证个人证书是为了验证来访者的合法身份。
CA也拥有一个证书(内含公钥)和私钥。网上的公众用户通过验证CA的签字从而信任CA,任何人都可以得到CA的证书(含公钥),用以验证它所签发的证书。如果用户想得到一份属于自己的证书,应先向CA提出申请。在CA判明申请者的身份后,便为其分配一个公钥,并且CA将该公钥与申请者的身份信息绑在一起,为之签字后,便形成证书发给申请者。如果一个用户想鉴别另一个证书的真伪,可用CA的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。
七、建立安全管理机制
为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。对于所有接触系统的人员,应按其职责设定其访问系统的最小权限。
按照分级管理原则,严格管理内部用户账号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户账号和密码。建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。定期检查日志,以便及时发现潜在的安全威胁。对重要数据要及时进行备份。对数据库中存放的数据,数据库系统应根据其重要性提供不同级别的数据加密。安全管理实际上是一种风险管理,任何措施都不能保证百分之百的安全。但安全技术的采用可降低系统遭到破坏、攻击的风险,决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。随着全球经济一体化进程的加快,尤其是Internet技术、IT技术的迅猛发展及广泛应用,我们的社会也已融入到电子商务时代的气息当中,这是一个“以客户为中心”的时代,企业的市场营销及贸易往来都必须围绕这个中心来进行。只有保证电子商务各个环节、各个方面的安全性与稳定性,才能为其正常运作提供有力的保证,才能为其自身迎来更广阔的前景。
参考文献:
关键词:电子商务 风险管理 解决方法
随着开放的互联网络系统Internet的飞速发展,电子商务的应用和推广极大地改变了人们工作和生活方式,带来了无限的商机。然而,电子商务发展所依托的平台——互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展;此外,电子商务的发展还面临着严峻的内部风险,电子商务企业内部对安全问题的盲目和安全意识的淡薄,高层领导对电子商务的运作和安全管理重视程度不足,使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此,在考察电子商务运行环境、提供电子商务安全解决方案的同时,有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。
电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析,并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。
1.电子商务的内涵
1.1内涵
电子商务一词源于英文 Electronic Commerce或 Electronic Business,现已经成为当代社会的潮流,其含义有两个内容,其一,电子方式,其二,商贸活动,即整个商务过程的电子化、网络化和数字化,交易双方可以便捷却并不面对面地进行各种商贸活动,利用这种快速、低成本的电子通讯方式,它将覆盖与商务活动有关的方方面面。
针对人们对这个热词理解的不同,电子商务有广义和狭义之分。广义上说,电子商务是指利用一切电子方式所从事的贸易活动。电子方式指的是电子技术设备、电子技术工具及系统,包括早期的电报、电视、电话、传真、Email、广播、电子计算机、电信网络和当今的电子货币、信用卡、网银盾、信息基础设施及互联网等现代通信网络系统。贸易活动则指的是一系列市场经济活动,包括信息、询价报价、洽谈、签约、结算支付、商业交易、国内外贸易等等。由于信息技术快速发展和计算机网络的普及使电子商务得到广泛地运用,从狭义上讲,电子商务则是利用计算机网络进行的商务活动。
1.2分类
目前,电子商务按交易内容基本分为直接电子商务和间接电子商务两大类型。直接电子商务是指商家将服务产品和无形商品内容数字化,不需要某种特定物质形式的包装,直接在网上以电子形式传送给消费者,通过互联网或专用网直接实现交易。间接电子商务又称不完全的电子商务,指在网上进行的交易环节只能是订货、支付和部分的售后服务,而商品的配送还需依靠送货的运输系统等外部要素,即由专业的服务机构或现代物流配送公司去完成。
2.电子商务面临的安全风险
2.1互联网络的开放化带来的数据破坏风险
电子商务是以互联网络为平台的贸易新模式,它的一个最大特点是强调参加交易的各方和所合作的伙伴都要通过Internet密切结合起来,共同从事在阿络环境下的商业电子化应用。在电子商务环境下商务交易必须通过互联网络来进行,而互联网体系使用的是开放式的TCP/IP协议,它以广播的形式进行传播。容易受到计算机病毒、黑客的攻击,商业信息和数据易于搭截侦听、口令试探和窃取,给企业的数据信息安全带来极大威胁,如遭破坏或泄密,将会给电子企业、商户造成巨大的损失。
2.2系统软件安全漏洞带来的风险
由于现阶段广泛应用的主流操作系统和数据库管理系统是从国外引进直接使用的产品。核心技术还是使用引进的版本。这些系统安全性存在系统漏洞等不少危及信息安全的问题。系统软件安全漏洞带来的风险主要来自操作系统软件和数据库管理系统软件的安全漏洞。没有作系统的保护,就不可能有网络系统的安全,也不可能有应用软件信息处理的安全性。
2.3来自社会的外来入侵风险
电子商务容易被来自社会上的不法分子通过互联网络非法入侵,主要表现形式是黑客和病毒等对电子商务系统的文件和数据的篡改和破坏,是一种社会道德风险。黑客通过闯入他人计算机系统进行破坏,这些人利用电子商务系统和管理上的一些漏洞,进入计算机系统后,破坏或篡改重要数据,盗取机密与资源,控制他人的机器,清除记录。设置后门,给电子商务系统带来灾难性的后果。而计算机病毒是人为编写的一组程序,可以攻击电子商务系统的数据区、文件和内存,以致使计算机的硬件失灵,软件瘫痪。数据破坏,系统崩溃,给企业和商户造成无法挽回的巨大损失。
2.4电子商务本身内部监管漏洞带来的风险
电子商务本身如果缺乏约束机制,责权不明,管理混乱、安全管理制度不健全等是引起电子商务系统安全风险的头号风险根源。如果没有严格的可操作性的内部管理制度,容易造成当系统出现攻击行为或受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警,而且,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对系统的可控性与可审查性。
3.电子商务交易运行的风险
3.1信用风险
传统商务交易一般使用以纸为介质形式的手写签名或证明文件等方式来证明或确认商务的交易,应该说比较容易辨认真伪,操作显得比较容易。而在基于互联网络为交易平台的电子商务形式下,参与商业交易均在互联网上进行,双方并不存在与传
统商业模式的见面、磋商、谈判、监证、签署文件等问题,这就需要通过一定的技术手段相互认证,如数据加密技术、数字签名、数字证书等技术来保证电子商务交易的安全。在电子商务环境下,由于电子报表、电子文件、电子合同等无纸介质的使用,无法使用传统的签字方式,从而在辨别真伪上存在新的风险,电子商务的成功与否取决于消费者对网上交易的信任程度,电子商务的信任风险实质是由网络交易的虚拟化造成的,首先是买方信用风险。在网络中个人可以任意伪造信息,可以伪造假信用卡骗取卖方商品。从而给卖方带来风险。然后是卖方信用风险,由于信息不对称的原因消费者不可能全部掌握商家商品信息。卖方商品信息不完全、不准确或商家过分诱导消费者从而误导消费者购买行为;另外,卖家单方面毁约。不履行交易,也会对买方造成损失。所以电子商务应用过程中遇到的信用风险问题,是值得关注的问题。
3.2法律风险
电子商务在交易过程中存在法律风险,由于电子商务是在网络间进行的,电子商务交易可以看作是无纸贸易,是一个虚拟环境的交易,当前对这些虚拟交易的法律监管却并不完善,这些问题使得电子商务认证、交易会有不受法律保护的风险。另外,电子商务贸易还存在知识产权的风险,网络是个开放的平台,资源在网络中的传播是畅通的。在网络中资源的共享性使得有知识产权的资源受保护的力度被降低,因此可能带来电子商务交易的知识产权纠纷等法律的风险问题。
3.3电子商务风险管理
电子商务安全的风险管理(Risk Management)是对电子商务系统的安全风险进行识别、衡量、分析,并在此基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。其本质就是防患于未然:事前加以消减和控制,事后积极响应和处理,为响应和处理所做的准备就是制订应急计划。
4.风险管理步骤
了解了电子商务存在的风险之后,需要对这些风险进行管理和控制。具体包括风险识别、风险分析、风险应对和风险监控4个过程。选择有效的手段,以尽可能降低成本,有计划地处理风险,以获得企业安全运作的经济保障。这就要求企业在日常经营过程中,应对可能发生的风险进行识别,预测各种风险发生后对资源及日常经营造成的消极影响,使企业能够顺利经营。
4.1 风险识别
对电子商务系统的安全而言,风险识别的目标主要是对电子商务系统的网络环境风险、数据存取风险和网上支付风险进行识别。识别风险的方法有很多,主要有:试验数据和结果、专家调查法、事件树分析法。电子商务风险识别最常用的一种方法就是收集各种曾经发生过的电子商务攻击事件(不仅局限于本企业),经过分析提取出若干特征,将其存储到“风险”库,作为识别潜在风险的参考。
4.2风险分析
风险分析的目的是确定每种风险对企业影响的大小,一般是对已经识别出来的电子商务风险进行量化估计。这里量化的概念主要指风险影响指标,风险概率以及风险值。技术安全是电子商务实现的基础,其重要性不言而喻,因此在该项目规划、计划阶段就应充分考虑。
4.3 风险应对(风险控制)
根据风险性质和企业对风险的承受能力制订相应的防范计划,即风险应对。确定风险的应对策略后,就可编制风险应对计划。电子商务的技术风险控制主要是针对网络环境风险、数据存取风险和网上支付风险制订风险应对策略,从硬件、软件两方面加强IT基础设施建设。
4.险监控
制定规划,实施保护措施,在保护措施实施的每一个阶段都要进行监控和跟踪。风险贯穿于电子商务项目的整个生命周期中,因而风险管理是个动态的、连续的过程。因此制订了风险防范计划后,还需要时刻监督风险的发展与变化情况。
5.风险管理规则的制定
5.1评估阶段
该阶段的主耍任务是对电子商务的安全现状、要保护的信息、各种资产等进行充分的评估以及一些基本的安全风险识别和分析。
对电子商务安全现状的评估是制定风险管理规则的基础。
对信息和资产的评估是指对可能遭受损失的相关信息和资产进行价值的评估,以便确定相适应的风险管理规则,从而避免投入成本和要保护的信息和资产的严重不匹配。
安全风险识别要求尽可能地发现潜在的安全风险,应收集有关各种威胁、漏洞、开发和对策的信息。
安全风险分析是确定风险,收集信息,对可能造成的损失进行评价以估计风险的级别,以便做出明智的决策,从而采取措施来规避安全风险。
5.2开发和实施阶段
该阶段的任务包括风险补救措施开发、风险补救措施测试和风险知识学习。 风险补救措施开发利用评估阶段的成果来建立一个新的安全管理策略,其中涉 及配置管理、修补程序管理、系统监视与审核等等。
在完成对风险补救措施的开发后,即进行安全风险补救措施的测试,在测试过程中,将按照安全风险的控制效果来评估对策的有效性。
5.3运行阶段
运行阶段的主耍任务包括在新的安全风险管理规则下评估新的安全风险。这个过程实际上是变更管理的过程,也是执行安全配置管理的过程。运行阶段的第二个任务是对新的或已更改的对策进行稳定性测试和部署。这个 过程由系统管理、安全管理和网络管理小组来共同实施。
6.风险管理对策
由于电子商务安全的重要性,所以部署一个完整有效的电子商务安全风险管理对策显得十分迫切。制定电子商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞,从而降低电子商务系统环境所面临的风险。
6.1缩短电子商务项目周期,增加更多的项目选择
减轻电子商务风险的一个最简单的方法就是缩短电子商务项目周期,因为电子商务所面临的外界环境,如技术环境,竞争环境等变化太快,如果电子商务项目过大,即使你的项目本身成功了,但由于环境的改变,这个成功的电子商务项目未必能给企业带来原先设想的利益。
6.2自上而下的风险意识
很多的企业认为,电子商务项目是个技术项目,只需要相关的技术部门参与就可以了。有调查显示,大多数企业在进行电子商务化的过程中,缺乏高级管理层的重视,这也是电子商务项目成功率不高的原因。而对于成功的电子商务企业,往往在进行电子商务项目时,不仅受到企业决策层的高度关注,而且普通的员工也都非常清楚电子商务化的目标,这样自上而下的对于电子商务知识的了解,也是这些公司成功运作电子商务的原因之一。所以对于将要从事电子商务的企业,不仅要让全体员工了解电子商务的知识,而且要了解电子商务的风险,要形成一个自上而下的全员参与、全员重视的风险意识。
6.3改变企业内部运作流程
现在仍有很多企业认为电子商务无非就是建一个网站,所以这些企业在从事电子商务时,往往会遭遇失败。电子商务给企业提供很好的机会改变其内部和外部商业运作流程,如果企业不改变其商业运作流程,而直接进入电子商务,不仅企业对电子商务的投资会失败而且会影响到整个企业的声誉。所以在企业加入电子商务行业前,一定要改造自己内部的运作流程,使之适应电子商务的要求。实行电子商务的商户,在内部管理制度上应健全相应的规章制度,例如:制定制度来规范和约束员工的行为,根据其工作的重要程度,确定该系统的安全等级。制订相应的机房出入管理制度对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。对操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己
的管辖范围;制订完备的系统维护制度,对系统进行维护时。应采取数据保护措施。如数据备份等。另外制定人员激励机制也很重要,应建立人员雇用和解聘制度。及时对工作人员进行评价,制定奖惩制度,调动工作人员的工作责任感和积极性。
6.4滚动的战略计划
电子商务时代的不确定性和快速变化,使得详细的战略经营计划的作用越来越小。我们现在经常看到的是,电子商务企业有一个明确的五年计划,其中第一年计划较详细,而其他年份则是较粗略的,因为在这些计划实施的时间到来之前,环境可能已经发生变化了。这说明了确保五年目标具有相关性的滚动计划的十分必要的,应当定期修改计划来适应变化了的环境。当然,这种方法的实施也应具体问题具体分析,应当考虑各个企业所面临的具体环境而有所不同。
6.5降低成本与实现可持续发展
电子商务的发展是大势所趋,但电子商务在给企业带来机遇的同时也产生了新的风险。正如在所有的风险管理当中一样,我们考虑的是未来事件出现的不确定性和可能性;在电子商务中,这种不确定性甚至更大,这使得电子商务风险管理成为一项相当繁重的工作。因此要解决好电子商务的安全风险问题,应该针对问题的根源,采用一种综合防范的思路,从多方面去认识,寻找解决方法,这对加快我国电子商务的发展有着重要的意义。
6.6加强技术保证,确保电子商务信息的安全
针对电子商务依靠互联网络平台来开展的网络开放性的特点,特别是要针对互联网体系使用的是开放式的TCP/IP协议,给企业信息和数据安全带来的极大威胁的安全隐患。对如何保障企业的信息数据和重大商业机密,是确保开展电子商务的企业的重要技术保障和前提条件,只有高度重视电子商务的信息安全,才能保证其运行安全,这就需要有强大的技术安全保障措施,不但要制定完善的技术保障措施,更要严格执行制度,才能确保电子商务信息的安全。例如:我们在企业内部网和互联网之间要加一道防火墙,防止黑客或计算机病毒的袭击。保护企业内部网中的机密商业信息数据。另外,利用现有的信息新技术将数字签名技术应用于电子商务的身份认证,可以防止非法用户假冒身份,从而保证电子支付的安全,增强电子商务信息的安全保障措施是电子商务顺利开展的重要技术保障。
6.6.1加强电子商务网络安全的开发及运用
目前电子商务的运作涉及信息、资金、商业秘密等安全问题,由于其电子数据具有无形化的特征,而有关认证机制或者网上安全技术均不够完善,因此有必要对互联网进行本质上的重新设计,使其保证电子商务活动的正常进行,这涉及到多方面的技术应用,如防木马、防火墙、加密、认证等。面对电子商务网络安全威胁,必须采取各种各样的管理措施,满足商务交易运行的安全性。
6.6.2建立电子商务的信用保障体系
电子商务交易模式与其他交易模式相比具有更多的风险,然而引起这些风险的原因还在于带来这些风险的人的失信行为。消除这些风险的,需要一个第三方信用服务认证机构通过技术手段来帮助参与电子商务交易的各方提出解决方案,使风险降至最低。
6.6.3完善电子商务税收征管机制
首先,出台相应法律法规,扶持电子商务。我国应出台相关的法律法规,鼓励与扶持国内企业利用电子商务,并应坚持税收中性原则,使企业对市场行为和贸易方式的选择不受征税影响。其次,借助计算机网络,加快税收征管改革。现在,电子商务发展迅速,交易的无纸化使得税务机关必须改革以传统的以纸质凭据作为纳税依据的征管制度,以便税务机关稽查,做到税收无纸化,提高效率,从而适应电子商务发展的要求。最后,加强与银行等中介机构的信息确认,获取真实可靠的征管信息。税务机关应同银行等中介机构合作,通过联网获取企业在电子商务平台中交易的相关信息,对企业的资金流向实施有效监控,防止企业偷逃税。
6.7加强复合型人才的培养
实现电子商务环境是当今全球经济一体化、信息化时代的一种发展趋势,重视复合型人才的培养是电子商务成功与否的决定因素。所谓电子商务的复合型人才是指要求电子商务管理人员既要有计算机知识,还要有管理理论和商务、金融、法律等知识。对电子商务管理人员进行培训,通过学习现代电子网络技术,将经济、金融、法律、网络有机地结合。对商务交易、金融活动的网络化、数字化有比较深刻的认识,加深对电子商务环境下的风险认识和防范。从而提高员工适应电子商务的工作能力和创新能力,更好地开展电子商务这一新兴的贸易模式。
结论
电子商务的开展以信息技术为基础,如何解决电子商务中存在的安全问题已成为一个迫在眉睫的课题。电子商务风险是不可能完全消除的,因为它是与电子商务共生的,是电子商务的必然产物,但是,可以将风险限制在影响最小的范围之内。只有了解风险,才能规避风险。本文从安全风险管理的角度出发,分析了电子商务中可能存在的技术风险,论述了这些风险的控制策略,希望对企业开展电子商务活动起到一定的积极作用电子商务作为一种新的交易方式,已成为我国经贸发展领域的主流力量,并将成为国际经贸合作的主要平台。然而电子商务所存在的或将出现的风险问题是不可能完全消除的,它是伴随电子商务的产生而出现的必然产物。由于电子商务风险在不同的应用领域所产生的危害程度各不相同,所以电子商务风险管理的目标是将其存在的风险所造成的影响尽可能控制最小的范围之内。此外,无论是再好的安全措施也要有应对突发的安全问题的应急方案。最重要的是政府必须尽快制定并完善相关政策,适应高速发展的电子商务进程,确保电子商务交易的安全、透明、高效。
参考文献
[1]调查报告编委会.1997-2009:中国电子商务十二年调查报告[EB/OL].http://,2009-10-12.
[2]贾建华,阚宏.国际贸易理论与实务[M].修订第四版.北京:首都经济贸易大学出版社,2004:143-147.
[3]邱新泉.电子商务风险与对策研究.信息技术,155-156
[3] 刘伟江,王勇。电子商务风险及控制策略[J].东北师范大学学报:
哲学社会科学版,2005,(11)。
[5] 高新亚,邹静.电子商务安全的风险分析和风险管理.武汉理工大学学报. 信息与管理工程版.2005.8
[6] 郭学勤,陈怡.电子商务安全对策.计算机与数字工程.2001.7 [7] 李晶.电子商务安全防范措施.安徽科技.2003.4
[7]彭连刚. 电子商务及其安全问题探析. 长沙航空职业技术学院学报 , 2005, (02)
[8]专业文献资料
[关键词] 电子商务系统评估
一、电子商务和电子商务系统
1.电子商务。电子商务(EC)是英文“Electronic Commerce”的中译文。电子商务指的是通过简单、快捷、低成本的电子通信方式,买卖双方不谋面地进行的各种商务活动。由于电子商务拥有巨大的商机,从传统产业到专业网站都对开展电子商务有着十分浓厚的兴趣,电子商务热潮已经在全世界范围内兴起。电子商务内容包括两个方面:一是电子方式;二是商务活动。
2.电子商务系统。电子商务系统涉及企业的各个方面,是一个综合的系统,电子商务系统主要有以下几个部分组成:(1)电子商务基础平台。包括负荷均衡、连接/传输管理、网站管理、数据管理、事务管理和安全管理等部分。(2)企业内部信息系统。包括企业内部MIS、EDP和DDS等子系统。(3)电子商务服务平台。包括支付网关接口、客户关系管理、内容管理、认证中心接口、搜索引擎和商务智能工具等。(4)电子商务应用系统。电子商务应用系统以实现企业的商务目的为目标,使用各种与Internet有关的技术手段,在Web上建立起自己的电子商务应用系统,是电子商务系统的核心。电子商务应用系统是应用开发人员根据企业的特定应用背景和需要而开发出来的,对企业的电子商务活动提供具体的支持。(5)电子商务应用平台。电子商务应用平台直接面对电子商务系统的最终用户,建立在电子商务系统的顶层。电子商务系统平台以Web服务器为核心。作用一是作为与用户的接口,接受用户的各种请求,并将用户的请求传递给应用系统;二是将应用系统的结果以不同的形式表达,将其提供给不同的用户形象终端(个人电脑、个人数字助理、掌上电脑、无线移动通讯设备等)。(6)安全保障环境。主要包括安全体系、安全策略和安全措施等。安全策略负责电子商务系统的安全提高,是企业保障电子商务系统安全的指导原则;安全体系利用各种安全手段设置安全防线、防范各种非法访问和攻击,安全体系需要各种必需的设备和关键技术。
二、电子商务系统评估关注的主要因素
1.市场关注程度:是分析企业目前乃至将来经营情况的基础性数据。
2.经营情况分析:分析成本、盈利水平和投资回报是否达到规划的目标。
3.市场份额和推广能力:市场份额的大小和推广能力的强弱是企业经营发展的重要数据。
4.系统的安全性评估:系统的安全性是电子商务企业生存和发展的基础,系统安全的高低是客户选择企业的重要依据之一。
三、电子商务系统评估的原则
1.科学性:根据系统评估的目标,科学地制定系统评估方案和适用方式,以使系统评估结果科学合理。
2.客观性:要以详实的数据为依据进行系统评估,预测、推理和逻辑判断应当建立在现实的基础上。
3.独立性:系统评估机构和评估人员必须始终坚持独立的第三方原则,不能与被评估的电子商务系统有任何利益关系,要不受外界任何影响和干扰。
四、电子商务系统的评估指标
1.技术性评估指标。电子商务系统评估的技术性指标主要有以下几项:(1)电子商务系统的设计评估:对其内容的丰富性和创意进行评估。(2)电子商务系统的技术应用评估:主要评估其新技术应用的多少,以及技术应用是否合理。(3)电子商务系统的安全性评估:主要评估其能否保证电子商务的安全。(4)电子商务系统的可操作性评估:主要评估其操作是否简单、方便和快速。
2.经济性评估指标。 电子商务系统评估的经济性指标主要包括流动比率、速动比率、营业周期、存货周转天数、应收账款周转天数、总资产周转率、流动资产周转率、资产负债率、销售净利率和资产净利率等指标。经济评估最能直接反映电子商务系统给企业带来的经济效益。
3.社会性评估指标。电子商务社会性评估指标主要包括注册量、点击率、访问量、客户的忠诚度、实际访问量、日均访问客流量、服务质量统计分析、日人均浏览时间等。
五、电子商务系统评估的主要方式
电子商务系统的评估是一项系统工程,需要专业知识和技术作为支持,目前电子商务系统评估的主要方式有以下几种:
1.委托国内外权威专业评估机构进行评估。国内外的一些权威专业评估机构不但具有比较先进的评估方法和设备、而且拥有一支具有丰富评估经验的专业评估人员队伍,他们能够站在比较公正的立场来进行电子商务系统的评估,得出比较客观、公正的评估结果,但是评估费用往往比较高。
2.权威机构网站评比活动。国内外诸如中国互联网络信息中心(CNNIC)的一些权威网站管理机构,会定期不定期地进行网站经营状况的统计和评比。
3.客户评估。客户评估是针对客户对企业电子商务系统的满意情况的定性评估,客户评估采取向客户发送包括所需评价项目的网上调查表,以有奖的形式收集客户的意见。然后由管理人员自己对获得的反馈信息进行统计分析。客户的评价一般是比较真实可信并且也是很全面的。
4.自我评估。自我评估是指企业自己组织进行自我评估或者利用专业评估机构提供的评估系统进行的自我评估。自我评估与委托权威专业机构进行评估相比,自我评估有保密性好、成本较低和使用方便等优点;但是使用评估系统进行评估也存在适应性差的不足。
参考文献:
[1]赵乃真:电子商务万事通.北京:人民邮电出版社,2001.4
[2]钟强章建新:电子商务概论.北京:清华大学出版社,2003.7
[3]陈国龙等:电子商务学概论.厦门:厦门大学出版社,2002.10
