时间:2023-09-18 17:35:12
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇电子商务安全的重要性,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】电子商务;信息安全;信息安全技术
1.电子商务及信息安全概述
1.1 电子商务中的信息
既然电子商务涵盖了商品和服务相关人员活动和行为的各个方面,那么必然电子商务的活动中会涉及许多方面的信息。因为电子商务涉及的领域非常广泛,包括了商品和服务的交易的所有环节,如商品购买、广告、推销、信息咨询、银行服务、网络支付等等,它把商家、顾客、银行、中介、信用卡公司,甚至包括政府都通过网络的方式连接起来。如此,在整个的过程中,她涵盖了广泛、复杂的信息量,既包括商家的商品信息、竞争信息、商业秘密等,也包括个人的隐私信息、财产信息等等。这些信息数量广泛、内容繁杂、真实性很强,一旦被蓄意泄露或利用,将会产生非常不利的影响。
电子商务的受体是公众,那么电子商务能够正常运行的前提就是保障公众的信息安全。信息安全是指信息的完整性、可用性、可靠性和保密性。目前电子商务是在完全开放的网络环境中进行的,能否保障各个相关主体的信息安全,是非常重要的事情,现在不断增加的网络入侵、黑客攻击和网络的脆弱的防御能力不得不引起人们的担忧
2.电子商务中存在的信息安全问题
从上面的信息安全的基本需求中,我们可以看出,电子商务交易对信息的安全保护至关重要,也是一件棘手的事情。目前,电子商务中的信息安全主要存在以下几个方面的问题:
2.1 信息存储中的安全问题
信息存储安全是指电子商务信息在静态存放时的安全。企业在网络开放的运行环境中,电子商务的信息安全就存在以下问题:
内部不安全要素。主要是企业内部之间、企业的顾客随意非授权的调用或随意增改删电子商务信息。
外部不安全要素。主要是外部人员私自侵入计算机网络,故意或过失的非授权调用或随意增改删电子商务信息。这个隐患的主要来源有:黑客入侵,竞争对手的恶意破坏,还有信息间谍的非法闯入。
2.2 信息传输中的安全问题
信息传输安全是指点在商务信息在动态的传输过程中的安全。表现形式有:信息在网络的传输过程中被篡改;伪造电子邮件;传输的信息被截获;否认已经做过的交易;网络硬件和软件的问题而导致信息传递的丢失与谬误。
2.3 交易双方存在的信息安全问题
电子商务交易改变了传统的交易方式,打破了双方面对面的交流。这样,买卖双方只能通过网络交流各自的信息来完成交易,这样双方会对电子商务的交易安全和信息安全存在疑虑。
2.3.1 买方存在的信息安全威胁。
电子商务交易中的买方,既可以是个人,也可以是公司、银行等。买方存在的信息安全威胁主要有:(1)身份被假冒。用户身份信息被拦截、假冒以致被要求付账或返还商品;(2)发送的交易信息不完整或被截获篡改,用户无法正常收到商品;(3)域名被扩散和监听,无奈接收许多垃圾信息甚至个人隐私被窃用;(4)遭黑客攻击,计算机设备发生故障导致信息丢失等;(5)受虚假广告信息误导购买假冒伪劣商品或被诈骗钱财等。
2.3.2 卖方存在的信息安全威胁。
卖方存在的信息安全威胁主要有:(1)恶意竞争者假冒用户名恶意侵入网络内部以获取营销信息和客户信息;(2)冒名改变交易内容,致使电子商务活动中断,造成商家名誉和用户利益等方面的受损;(3)信息间谍通过高技术手段窃取并泄露商业秘密;(4)一些恶意程序的破坏而导致电子商务信息遭到破坏,比如特洛伊木马程序;(5)黑客攻击服务器,产生大量虚假订单挤占系统资源,令其无法正常操作。
3.保障电子商务中信息安全的措施
现在,电子商务作为一种新兴且快速发展的商务交易模式,已经被广泛使用,例如网上银行支付,淘宝购物等等,发展前景也十分光明。但是,如何保护电子商务中的信息安全,建立一个安全、便捷、高效的电子商务环境,也是一个越来越值得探讨的问题。这就需要发展有效的信息安全技术,同时辅助于必要的措施。本人认为,保护电子商务中的信息安全应该做到以下几点:
3.1 研究保障信息安全的各种信息安全技术
为保证电子商务的正常发展,对电子商务中的网络安全技术进行研究,发展自主的网络安全技术是至关重要的。现在应该重点研究的信息安全技术有:
3.1.1 数据加密技术
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网络会话的完整性。加密是利用基于数学算法的程序和保密的密钥对信息主要是普通的文本(明文)进行编码,生成难以理解的字符串(密文),以便只有接收者和发送者才能理解。加密技术一般采用对称加密技术、非对称加密技术以及二者的结合等方法。目前常用的常规密钥密码体系的算法有:数据加密标准DES、三重DES、国际数据加密算法IDEA等
3.1.2 身份识别技术
身份识别技术是确认信息发送者的身份,验证信息完整性,确认信息在传送或存储过程中未被篡改。(1)数字标识,用电子手段验证用户身份及对网络资源的访问权限,参与各方必须利用认证中心签发的数字证书证明身份。(2)电子商务认证中心,CA是承担网上安全交易认证服务、签发数字证书并确认用户身份的企业机构,受理数字证书的申请、签发及对数字证书管理。
3.1.3 防病毒技术
(1)预防病毒技术,通过自身常驻系统内存,优先获取系统控制权,监视系统中是否有病毒,阻止计算机病毒进入计算机系统和对系统破坏。(2)检测病毒技术,通过对计算机病毒特征进行判断的侦测技术。(3)消除病毒技术,通过对计算机病毒分析,开发出具有杀除病毒程序并恢复原文件的软件。
3.2 加强网络安全基础设施建设
一个网络信息系统,不管其设置有多少道防火墙,加了多少级保护或密码,只要其芯片、中央处理器等计算机的核心部件以及所使用的软件是别人设计生产的,就没有安全可言,这正是我国网络信息安全的致命弱点。国民经济要害部门的基础设施要通过建设一系列的信息安全基础设施来实现。为此,需要建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。
4.结束语
电子商务领域的安全问题一直备受关注,是制约其发展的瓶颈,如果解决的好,便能推动商务更好更快发展的动力。目前对电子商务信息进行保护的主要措施就是信息安全技术,因此必须加大投入,研究新的、有效的信息安全技术,进一步改进已有的信息技术。同时,国家必须加强对电子商务的管理和投入,将电子商务做大做强。
参考文献
[1]李玉海,桂学勤.电子商务安全问题及其解决方案[J].电子商务,2006(12).
关键词:电子商务;安全;技术;策略
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 20-0000-03
1 引言
随着计算机网络技术的快速发展,电子商务已经在各行业应用开来,其表现形式也非常丰富。比如:可以通过电脑、Internet、交易平台,预订机票、火车票,随时随地足不出户地进行个人财务管理、股票交易,网上购物、转帐及接收付款等等。在日常生活中,电子商务给我们带来了无尽的便利。
但是,在我们享受电子商务给我们带来的便捷的同时,我们也必须认识到电子商务安全的重要性。由于在电子商务交易中,交易双方是不见面的,交易双方缺乏面对面的沟通,我们也无法审核交易双方的真实身份,这些就会增加电子商务交易的风险,因此,本文针对电子商务安全现状进行简要分析。
本文将从电子商务的概念开始,并对电子商务安全发展现状和技术策略进行介绍。
2 电子商务的概念
电子商务是指在因特网开放的网络环境下,在全球各地广泛的商业活动中,基于浏览器/服务器的模式,在买卖双方不见面的情况下,进行商务活动,从而能够满足消费者进行网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动,它是一种新型的商业运营模式.
电子商务主要是通过电子数据传输技术,进而开展商务活动,如企业间交易活动、在网络上做营销、客户服务等,它统一了资金、信息、商流和物流四个方面。随着网络和Internet技术的日益成熟,真正意义上的电子商务是建立在Internet技术上的,所以也简称为IC。
2 电子商务安全概述及其发展现状
2.1 电子商务安全的主要内容
电子商务安全由IT安全和商务交易安全两部分组成。
IT安全主要由以下几个部分组成:网络运行环境安全、用户信息与网上交易服务器传递之间的安全、网络硬件设备安全、网络软件安全、数据资料安全、客户端计算机及其他连接互联网设备的安全等等。基于这些IT本身可能存在的安全问题,旨在保证IT安全,实施IT安全增强方案。
另一方面,商务交易安全是针对传统商务在互联网络上应用时产生的各种安全问题,基于计算机网络安全,从而保障电子商务过程的顺利进行。目的在于实现电子商务的完整性、可鉴别性、保密性、不可伪造性和不可抵赖性。计算机网络安全与电子商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。计算机网络安全是商务交易安全的基石,如果缺少计算机网络安全,商务交易安全就无从谈起。同样,缺少了商务交易安全的保证,即使计算机网络本身再安全,仍然无法保证电子商务的安全进行。
2.2 电子商务安全的原则
(1)真实性、可靠性
电子商务以电子形式取代了以前纸质的形式,因此,开展电子商务的前提就是保证电子形式的贸易信息的真实性和有效性。电子商务作为贸易的一种形式,其信息的真实性和有效性将直接关系到个人、企业或国家的经济利益和声誉。
(2)身份的唯一
电子商务系统要建立身份唯一性认证制度,在身份合法认证时做到有法可依,双方在网上进行交易或者数据传送时,必须首先认证双方身份的合法性和真实性,只有这样,才能保证在交易发生纠纷时,双方身份都有所证明,从而有效防止商业欺诈行为的发生。
(3)保密性
电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。由于电子商务是在开放的网络环境上进行的,所有商业防泄密工作在电子商务过程中显得尤为重要。
(4)完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来如何维护商业信息完整的问题。如果交易双方数据输入时,意外出现差错或者有一方有欺诈行为,都有可能导致贸易各方信息不同。因此,电子商务系统必须可靠和正确地保证数据传输、存储及电子商务的完整性。
(5)实名制
电子商务活动的每一方都必须实名参加,相关部门应当对各方身份、企业资质、信誉等进行严格的审查登记,做到有据可查。
2.3 电子商务安全发展现状
上世纪七十年代,电子商务开始出现萌芽,当时,有一些大公司利用计算机网络,将各个机构之间和各个商业伙伴之间的信息共享起来,这个过程就是EDI(电子数据交换),电子数据交换就成了后来电子商务的雏形,同时也是电子商务的基础。近些年来,由于计算机网络技术飞速发展,电子商务也迅速发展起来。
但是,目前,电子商务面临着比较严峻的信息安全现状。据权威杂志披露,从事电子商务的企业相比于普通企业,承受着更大的商业风险。其中,从事电子商务的企业更容易被黑客攻击,感染病毒、恶意代码的概率高出9%,被非法入侵的频率高出10%,而且更容易被商业欺诈。
在我国,电子商务安全的现状同样并不乐观。调查显示,近年来,我国发生了200起网络进行的电子商务经济犯罪,带来了上亿元的经济损失。我国网民对于网上交易,最担心的就是网上支付交易的安全问题,超过百分之八十的网民对网上交易的安全性表示担忧。信息安全问题已然成为阻碍网上交易的一大难题。
1995年起,我国开始发展电子商务安全产业,与此同时,电子商务安全科研、生产与应用也开始起步,迄今为止,已经实现了科研与生产从无到有,市场从小到大逐步发展起来。电子商务信息安全研究已经走过了通信保密、计算机数据保护两个发展阶段,目前正处于网络信息安全研究阶段。在现阶段中,我们已逐步掌握了部分网络安全和电子商务安全技术,研制和探索了安全操作系统、多级安全数据库方面的技术,但掌握系统核心技术还有很大困难,所以目前还不能开发出有自主知识产权的信息产品。
截止到目前,我国电子商务安全的发展还存在以下几点问题:
(1)安全防范意识薄弱
国内不少电子商务企业对网络信息安全意识不强。这些企业在进行电子商务交易的时候,考虑的更多的还是自己的效益、方便、快捷,却把交易的安全性、保密性、抗攻击性放在了较低的位置。
(2)体系结构不健全
我国的电子商务安全一直都缺乏一个健全的体系结构,总是等到出现问题才去解决问题,从而导致问题不断变化、层出不穷,却缺乏有效的解决办法。
(3)软硬件缺乏强有力的支持
目前我国IT设施的软件、硬件等的核心产品主要还是依靠从国外发达国家进口,市场上不少的安全措施也是照搬过来的,很多电子商务安全方面的产品都没有通过安全认证。
(4)频繁遭受威胁
目前我国的电子商务产业主要遭受三方面的安全威胁:
1)非人为因素造成的数据丢失;
2)人为因素造成的数据丢失;
3)黑客、病毒等的恶意攻击和入侵。
3 电子商务安全技术及策略
3.1 电子商务安全技术架构
电子商务安全技术体系包括网络服务层、加密技术层、安全认证层、安全协议层四个部分,它是确保电子商务交易中数据的安全性和完整性的逻辑结构。在这个四层结构中,下一层作为上一层的基石,为上一层提供技术支持;由安全控制技术实现安全策略,从而形成一个统一的整体,相互关联、相互依存,从而实现电子商务的安全进行。
如图1所示,即为电子商务安全技术体系架构
图1 电子商务安全技术体系架构
(1)网络服务层
网络安全作为电子商务安全的基础,涉及面很广,如防火墙技术、网络隐患扫描、网络监控、及各种反黑客技术等,其中防火墙技术最为关键。防火墙的主要是通过加强网络之间的访问控制,从而使得外部网络用户,不能利用非法手段侵入我们需要保护的网络。防火墙按照一定的安全策略,检查两个或多个网络之间传输的数据包和链接方式,继而决定是否允许网络之间进行通信,而且还能监视网络运行状态。路由器可以实现简单防火墙技术,而更加可靠的网络安全控制需要专用防火墙来提供。
为了保证连接Internet和Intranet的安全,防火墙是最为有效的方法,防火墙通过有效监视网络的通信信息,记忆通信状态,从而作出正确的判断,来决定是否允许访问。如果能灵活有效地运用这些功能,制定正确的安全策略,就能就能保证Intranet系统的完整性、安全性。
(2)加密技术层
电子商务信息加密技术作为最基本的安全措施,它是一种主动的信息安全防范措施。实质就是一种交换算法,它通过置换和移位的方法,对以符号为基础的数据进行加密,加密受密钥的关键符号串控制。加密技术分为对称加密和非对称加密两类。
1)对称加密。对称加密包括两种情况:1.加密系统的加密密钥和解密密钥相同。2.如果不相同,但是由其中任意一个可以很容易的推导出另一个。现在常用的对称加密算法有DES、RC2、RC4等,DES算法被广泛采用,它由美国国家标准局提出的,被ISO作为数据加密的标准。
2)非对称加密。非对称加密只包括一种情况:加密系统的加密密钥和解密密钥不相同,并且不管是由加密密钥推导出解密密钥或者由解密密钥推导出加密密钥,都是计算不出来的。RSA算法是非对称加密领域最著名的算法,该算法是非对称数据加密的标准算法。
(3)安全认证层
为了确保电子商务交易安全,光有加密技术是不够的,还必须依靠安全认证层中的身份认证技术。
认证技术通过用户的客户主机IP地址进行认证,在认证技术中,系统管理员授予不同IP地址的授权用户不同的访问权限。认证技术主要有身份认证和通过电子认证中心的认证。身份认证是主要用于判断交易双方的真实身份,而目前这也是电子商务安全中急需加强的重要技术。身份认证主要有三种方式:用户口令、智能卡、生物学特征认证。
(4)安全协议层
由于电子商务需要通过Internet完成在线支付,所有我们必须安全传输支付信息、确认交易方的真实身份、完整进行支付过程,这就需要我们使用安全协议来保证。不同交易协议的复杂性、开销、安全性各不相同。
目前国际上比较有代表性的协议是SSL协议和SET协议。
1)SSL协议。SSL(安全槽层)向客户/服务器应用程序提供客户端和服务器的认证服务、加密、数据完整等安全措施,它在应用程序进行数据交换前,通过交换SSL初始握手信息来实现有关安全特性的审查。
2)SET协议。SET(安全电子交易规范)向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。SET增加了对商家身份的认证,同时还保留对客户信用卡认证。
3.2 电子商务安全策略
(1)建立健全的电子商务的法律制度,并强化执法力度
随着电子商务的发展,建立了很多电子商务网站,进而许多网络交易中的法律问题就凸显出来,这样一来,解决网络交易的安全问题就需要遵循一个共同的法律法规,而目前我们的电子商务法律制度还不健全,还需要建立必要的健全的法律框架。另一方面,对那些网络交易中的违法犯罪行为,我们一定要加强执法力度,从而达到规范电子商务交易的目的
(2)建立完善的信用体系,提高电子商务的安全意识
由于电子商务的虚拟性、非接触性,信用在电子商务中显得尤为重要。电子商务对信用体系的需求最强,电子商务如果缺少了信用体系的支撑,就毫无安全可言,风险度极高。因此,信用体系是电子商务的规范与发展的基础。然而,我国的电子商务的信用管理体系还比较落后,社会整体信用制度还有待健全,在交易过程中经常会发生不讲信用甚至欺诈行为,因此,为了促进电子商务的良性发展,有必要建立完善的信用体系。另一方面,我们也需要加强电子商务安全意识,不能总把利益放在第一位,要引起对安全性的足够重视。
(3)用加密技术、安全认证、交易协议等保护交易信息的安全
积极借鉴国外先进经验和技术,尽可能建立一套完整的电子商务安全体系;采用不同的加解密算法完善和提高电子商务交易安全,定期检查更换交易密钥。
(4)加强互联网络的安全性,防止信息泄漏
最常用的网络安全保护手段是防火墙技术。电子商务内外网和互联网之间最好设置专用防火墙,这样不仅可以提升内部局域网络的速度,同时还能阻止恶意病毒和木马攻击内部网络。
(5)加强电子商务的安全管理,构建良好的电子商务环境
目前,我国电子商务发展的环境还存在不少虚拟环境的特有问题,如领头企业的资源整合能力有待提升,电子商务企业散、小,电子商务支付、物流等支撑服务能力有待于加强。电子商务交易的管理也需要进一步加强。此外,为了构建良好的电子商务环境,还需要增加第三方支付平台和物流的支持。
4 结束语
基于目前我国的电子商务安全发展还处于初步阶段,还有许多问题需要解决,所以,我们要对电子商务安全给予足够的重视,积极借鉴国外的先进技术和经验,在享受电子商务给我们带来的便利的同时,也做到可以放心交易。
参考文献:
[1]加里P·施奈德.电子商务[M].北京:机械工业出版社,2008.
[2]张爱菊.电子商务安全技术[M].北京:清华大学出版社,2006.
[3]李振汕.电子商务安全管理体系的构建[J].计算机安全,2010,17(10):65-70.
[4]王建宏,李广振,闵旭光.电子商务安全技术研究[J].中国商贸,2009,16(12):16-19.
[5]贾树良,樊鑫国.电子商务安全问题分析[J].辽宁工程技术大学学报,2009,25(3):83-85.
[6]柳艳茹.浅谈电子商务的安全问题[J].赤峰学院学报,2012,28(8):51-53.
[7]王改香.浅谈电子商务安全策略[J].电脑知识与技术,2008,4(3):559-560.
[8]李岩,宋朝.电子商务安全现状及对策研究[J].经济研究,2011,9(6):59-62.
[9]许宁宁.电子商务安全的现状与趋势[J].中国电子商务,2010,13(8):91-93.
[10]张建兵.电子商务安全问题解析[J].现代商贸工业,2009,8(21):123-126.
[11]赵全.网络安全与电子商务[M].北京:清华大学出版社,2005.
[12]谭逊,王学芳,谭翊.浅谈我国电子商务安全现状[J].科技资讯,2007,10(11):140-143.
[13]http://.cn/cj/cj-xfsh/news/2009/12-03/1997652.shtml.中国经济时报,2009,12,3.
[14]唐作莉.电子商务安全技术研究[D].贵州大学硕士研究生学位论文,2008.
[15]张庆丽.电子商务安全策略研究[D].河南大学硕士研究生学位论文,2012.
[16]关铁军.电子商务安全策略研究[D].北京邮电大学硕士研究生学位论文,2008.
论文摘要:随着网络技术的广泛应用,网上购物的日益普及我国电子商务安全的问题日益严重。首先,分析了电子商务安全的现状,其次,着重对电子商务存在的问题及其原因进行深入地探索并指出了电子商务安全的需求,最后给出相应的解决方案。
随着网络技术的广泛应用,我国电子商务的安全问题也日益突出。根据“2010年上半年,计算机病毒和互联网安全报告疫情”的数据表明,2010年上半年,计算机病毒,木马的数量依然保持快速增长,新病毒不断出现,一些“老”的病毒推出了众多变种。2010年上半年计算机病毒,木马数量迅速增加,超出了近五年病毒数量的总和。在日益增多的电子商务安全问题面前,需要我们采取新措施来进行防范。
一、电子商务的安全现状
目前电子商务的安全问题比较严重,最突出的表现在计算机网络安全和商业诚信问题上。因为篇幅问题,本文只侧重于计算机网络安全问题的描述和解决对于其他方面的问题不作详细的分析。与以往相比电子商务安全呈现出以下特点:
(一)木马病毒爆炸性增长,变种数量的快速增加
据统计,仅2009年上半年挂载木马网页数量累计达2.9亿个,共有11.2亿人次网民访问挂载木马,2010年元旦三天就新增电脑病毒50万。病毒的数量不仅增速变快,智能型,病毒变种更新速度快是本年度病毒的又一个特征。总体而言,目前的新木马不多,更多的是它的变种,因为目前反病毒软件的升级速度越来越快,病毒存活时间越来越短,因此,今天的病毒投放者不再投放单一的病毒,而是通过病毒下载器来进行病毒投放,可以自动从指定的网址上下载新病毒,并进行自动更新,永远也无法斩尽杀绝所有的病毒。同时病毒制造、传播者利用病毒木马技术进行网络盗窃、诈骗活动,通过网络贩卖病毒、木马,教授病毒编制技术和网络攻击技术等形式的网络犯罪活动明显增多,电子商务网络犯罪也逐渐开始呈公开化、大众化的趋势。
(二)网络病毒传播方式的变化
过去,传播病毒通过网络进行。目前,通过移动存储介质传播的案例显著增加,存储介质已经成为电子商务网络病毒感染率上升的主要原因。由于U盘和移动存储介质广泛使用,病毒、木马通过autorun.inf文件自动调用执行U盘中的病毒、木马等程序,然后感染用户的计算机系统,进而感染其他U盘。与往年相比,今年通过网络浏览或下载该病毒的比例在下降。不过,从网络监测和用户寻求帮助的情况来看,大量的网络犯罪通过“挂马”方式来实现。“挂马”是指在网页中嵌入恶意代码,当存在安全漏洞的用户访问这些网页时,木马会侵入用户系统,然后盗取用户敏感信息或者进行攻击、破坏。通过浏览网页方式进行攻击的方法具有较强的隐蔽性,用户更难于发现,潜在的危害性也更大。
(三)网络病毒给电子商务造成的损失继续增加
调查显示,浏览器配置被修改,损坏或丢失数据,系统的使用受限,网络无法使用,密码被盗造成都给电子商务造成严重的破坏后果。2006年“熊猫烧香”病毒利用蠕虫病毒的传播能力和多种传播渠道帮助木马传播,攫取非法经济利益,给被感染的用户带来重大损失。继“熊猫烧香”之后,复合型病毒大量出现,如:仇英、艾妮等病毒。同时,网上贩卖病毒、木马和僵尸网络的活动不断增多,利用病毒、木马技术传播垃圾邮件和进行网络攻击、破坏的事件呈上升趋势。
二、电子商务的安全问题及存在原因
1.对合法用户的身份冒充。以不法手段盗用合法用户的身份资料,仿冒合法用户的身份与他人进行交易,从而获得非法利益。
2.对信息的窃取。攻击者在网络的传输信道上。通过物理或逻辑的手段,对数据进行非法的截获与监听,从而得到通信中敏感的信息。如典型的“虚拟盗窃”能从因特网上窃取那些粗心用户的信用卡账号,还能以欺骗的手法进行产品交易,甚至能洗黑钱。
3.对信息的篡改。攻击者有可能对网络上的信息进行截获后篡改其内容,如修改消息次序、时间,注人伪造消息等,从而使信息失去真实性和完整性。
4.拒绝服务。攻击者使合法接入的信息、业务或其他资源受阻。
5.对发出的信息予以否认.某些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
6.信用威胁。交易者否认参加过交易,如买方提交订单后不付款,或者输人虚假银行资料使卖方不能提款I用户付款后,卖方没有把商品发送到客户手中,使客户蒙受损失。
7.电脑病毒。电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。如,CIH病毒的爆发几乎在瞬间给网络上数以万计的计算机以沉重打击。
三、电子商务的安全需求
电子商务威胁的出现导致了对电子商务安全的需求,主要包括有效性、完整性、不可抵赖性、匿名性。
1.有效性。保证信息的有效性是开展电子商务的前提,一旦签订交易,这项交易就应得到保护以防止被篡改或伪造。
2.完整性。贸易双方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易双方信息的完整性是电子商务的基础。
3.不可抵赖性。交易一旦达成,原发送方在发送数据后就不能抵赖,接收方接到数据后也不能抵赖。
4.匿名性。电子商务系统应确保交易的匿名性,防止交易过程被跟踪,保证交易过程中不把用户的个人信息泄露给未知的或不可信的个体。
四、电子商务安全防治措施及安全举措
防范电子商务网络犯罪是一个系统工程,不仅需要人们提高防范电子商务网络犯罪的意识,加强防范电子商务网络犯罪的制度建设,而且.还需要技术上不断更新和完善,为此,需要做好以下几方面的工作。
1.加强教育和宣传,提高公众电子商务的安全意识。信息安全意识是指人们在上网的过程中,对信息安全重要性的认识水平,发现影响网络安全行为的敏锐性,维护网络安全的主动性。强化上网人员的信息安全意识,就是要让上网人员认识到,网络信息安全是电子商务正常而高效运转的基础,是保障企业、公民和国家利益的重要前提,从而牢同树立网上交易,安全第一的思想。主要采取以下措施:一是通过大众媒体,普及电子商务的安全知识,提高用户的认识。二是积极组织研讨会和培训课程,培养电子商务网络营销安全管理人才。
2.采用多重网络技术,保证网络信息安全。目前,常用的电子商务安全技术,主要包括:防火墙,物理隔离,VPN(虚拟专用网)。防火墙是实现内部网与外部网安全和入侵隔离的常规技术。使用防火墙,一方面是抵御来自外界的攻击。另一方面是为了防止在服务器内部部分未经授权的用户攻击。因此,电子商务内外网与互联网之间要设置防火墙。网管人员要经常到有关网站上下载最新的补丁程序,以便进行网络维护,同时经常扫描整个内部网络,发现任何安全隐患及时更改,做到有备无患。企业上网必须实行内外网划分和内外网的物理隔离。要运用VPN新技术,为使用者提了一种通过公用网络,安全地对食业网络进行远程访问,同时又能保证企业的系统安全。包括操作系统、数据库和服务器(如Web服务器、E-MAII。服务器)的安全。
3.运用密码技术,强化通信安全。应围绕数字证书应用,为电子政府信息网络中各种业务应用提供信息的真实性、完整性、机密性和不可否认性保证。在业务系统中建立有效的信任管理机制、授权控制机制和严密的责任机制。目前要加强身份认证、数据完整性、数据加密、数字签名等工作。对于电子商务中的各种敏感数据进行数据加密处理,并且在数据传输中采用加密传输,以防止攻击者窃密。电子商务信息交换中的各种信息,必须通过身份认证来确认其合法性,然后确定这个用户的个人数据和特定权限。“在涉及多个对等实体间的交互认征时,应采用基于PKI技术,借助第三方(CA)颁发的数字证书数字签名来确认彼此身份。”为了从根本上保证我国网络的安全,我同安全产品的应用应建立在国内自主研发的产品基础上,国外的先进技术可以参考,但不能完全照搬。政府应该鼓励和扶植一批企业加快数字安全技术的研究,以提高我国信息企业的技术和管理水平,促进我同电子商务安全建设。
4.加强技术管理,努力做到使用安全。首先是在内部严格控制企业内部人员对网络共享资源的随意使用。在内网中,除有特殊需要不要轻易开放共享目录,对有经常交换信息要求的用户,在共享时应该加密,即只有通过密码的认证才允许访问数据。二是对涉及秘密信息的用户主机,使用者在应用过程中应该做到尽可能少开放一些不常用的网络服务,同时封闭一些不用的端口。并对服务器中的数据库进行安全备份。三是切实保证媒体安全。包括媒体数据的安全及媒体本身的安全。要防止系统信息在物理空间上的扩散。为了防止系统中的信息在物理空间上的扩散,应在物理上采取一定的防护措施,如进行一定的电磁屏蔽,减少或干扰扩散出去的空间信号。这样做,对确保企业电子商务安全将发挥重要作用。
5.健全法律,严格执法。目前我国在电子商务法律法规方面还有很多缺失,不能有效地保护公众的合法权益,给一些犯罪分子带来了可乘之机。我国立法部门应加快立法进程,吸取和借鉴国外网络信息安全立法的先进经验,尽快制定和颁布《个人隐私保护法》、《商业秘密保护法》、《数据库振兴法》、《信息网络安全法》、《电子凭证(票据)法》、《网上知识产权法》等一系列法律,使电子商务安全管理走上法制化轨道。使网络控制、信息控制、信息资源管理和防止泄密有法可依,并得到技术上的支撑。健全电子商务安全标准认证和质量检测机制,由国家主管部门组织制定有关电子商务安全条例规定,并发挥职能部门的监管作用。通过建立电子商务安全法规体系,规范和维持网络的正常运行。
参考文献:
[1]许宁宁.电子商务安全的现状与趋势[J].中国电子商务,2010,(1).
[2]濮小金.电子商务安全的政策选择[J].全国商情经济理论研究,2009,(3).
[摘要]随着互联网的全面普及,基于互联网的电子商务应运而生,近年来获得了巨大的发展。作为一种全新的商务模式,它对企业管理水平、信息传递技术都提出了更高要求,其中电子商务网站的安全控制显得尤为重要。本文从电子商务网站的建立开始,对安全问题作一个基本的探讨,重点阐述了电子商务系统中的系统安全、数据安全、网络交易平台的安全。只有安全、可靠的交易网络,才能保证交易信息安全、迅速地传递,才能保证数据库服务器的正常运行。
[关键词]互联网;电子商务;系统安全;数据安全;网络系统
一、前言
近年来,随着因特网的普及日渐迅速,电子交易开始融入人们的日常生活中,网上订货、网上缴费等众多电子交易方式为人们创造了便利高效的生活方式,越来越多的人开始使用电子商务网站来传递各种信息,并进行各种交易。电子商务网站传递各种商务信息依靠的是互联网,而互联网是一个完全开放的网络,任何一台计算机、任何一个网络都可以与之相连。它又是无国界的,没有管理权威,“是世界唯一的无政府领地”,因此,网上的安全风险就构成了对电子商务的安全威胁。
从发展趋势来看,电子商务正在形成全球性的发展潮流。电子商务的存在和发展,是以网络技术的革新为前提。电子商务系统的构建、运行及维护,都离不开技术的支持。同时,因为电子商务适合于各种大、小型企业,所以应充分考虑如何保证电子商务网站的安全。
二、电子商务网站的安全控制
电子商务的基础平台是互联网,电子商务发展的核心和关键问题就是交易的安全性。由于Internet本身的开放性,使网上交易面临了种种危险,也由此提出了相应的安全控制要求。
下面从技术手段的角度,从系统安全与数据安全的不同层面来探讨电子商务中出现的网络安全问题。
(一)系统安全
在电子商务中,网络安全一般包括以下两个方面:
1.信息保密的安全
交易中的商务信息均有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。
2.交易者身份的安全
网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会考虑网上的商店是否是黑店。因此能方便而可靠地确认对方身份是交易的前提。
对于一个企业来说,信息的安全尤为重要,这种安全首先取决于系统的安全。系统安全主要包括网络系统、操作系统和应用系统三个层次。系统安全采用的技术和手段有冗余技术、网络隔离技术、访问控制技术、身份鉴别技术、加密技术、监控审计技术、安全评估技术等。
(1)网络系统
网络系统安全是网络的开放性、无边界性、自由性造成,安全解决的关键是把被保护的网络从开放、无边界、自由的环境中独立出来,使网络成为可控制、管理的内部系统,由于网络系统是应用系统的基础,网络安全便成为首要问题。解决网络安全主要方式有:
网络冗余——它是解决网络系统单点故障的重要措施。对关键性的网络线路、设备,通常采用双备份或多备份的方式。网络运行时双方对运营状态相互实时监控并自动调整,当网络的一段或一点发生故障或网络信息流量突变时能在有效时间内进行切换分配,保证网络正常的运行。
系统隔离——分为物理隔离和逻辑隔离,主要从网络安全等级考虑划分合理的网络安全边界,使不同安全级别的网络或信息媒介不能相互访问,从而达到安全目的。对业务网络或办公网络采用VLAN技术和通信协议实行逻辑隔离划分不同的应用子网。
访问控制——对于网络不同信任域实现双向控制或有限访问原则,使受控的子网或主机访问权限和信息流向能得到有效控制。具体相对网络对象而言需要解决网络的边界的控制和网络内部的控制,对于网络资源来说保持有限访问的原则,信息流向则可根据安全需求实现单向或双向控制。访问控制最重要的设备就是防火墙,它一般安置在不同安全域出入口处,对进出网络的IP信息包进行过滤并按企业安全政策进行信息流控制,同时实现网络地址转换、实时信息审计警告等功能,高级防火墙还可实现基于用户的细粒度的访问控制。
身份鉴别——是对网络访问者权限的识别,一般通过三种方式验证主体身份,一是主体了解的秘密,如用户名、口令、密钥;二是主体携带的物品,如磁卡、IC卡、动态口令卡和令牌卡等;三是主体特征或能力,如指纹、声音、视网膜、签名等。加密是为了防止网络上的窃听、泄漏、篡改和破坏,保证信息传输安全,对网上数据使用加密手段是最为有效的方式。目前加密可以在三个层次来实现,即链路层加密、网络层加密和应用层加密。链路加密侧重通信链路而不考虑信源和信宿,它对网络高层主体是透明的。网络层加密采用IPSEC核心协议,具有加密、认证双重功能,是在IP层实现的安全标准。通过网络加密可以构造企业内部的虚拟专网(VPN),使企业在较少投资下得到安全较大的回报,并保证用户的应用安全。
安全监测——采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络扫描监测系统作为对付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征,广泛用于各行各业。网络扫描是针对网络设备的安全漏洞进行检测和分析,包括网络通信服务、路由器、防火墙、邮件、WEB服务器等,从而识别能被入侵者利用非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告,包括位置、详细描述和建议的改进方案,使网管能检测和管理安全风险信息。
(2)操作系统
操作系统是管理计算机资源的核心系统,负责信息发送、管理设备存储空间和各种系统资源的调度,它作为应用系统的软件平台具有通用性和易用性,操作系统安全性直接关系到应用系统的安全,操作系统安全分为应用安全和安全漏洞扫描。
应用安全——面向应用选择可靠的操作系统,可以杜绝使用来历不明的软件。用户可安装操作系统保护与恢复软件,并作相应的备份。
系统扫描——基于主机的安全评估系统是对系统的安全风险级别进行划分,并提供完整的安全漏洞检查列表,通过不同版本的操作系统进行扫描分析,对扫描漏洞自动修补形成报告,保护应用程序、数据免受盗用、破坏。
(3)应用系统
办公系统文件(邮件)的安全存储:利用加密手段,配合相应的身份鉴别和密钥保护机制(IC卡、PCMCIA安全PC卡等),使得存储于本机和网络服务器上的个人和单位重要文件处于安全存储的状态,使得他人即使通过各种手段非法获取相关文件或存储介质(硬盘等),也无法获得相关文件的内容。
文件(邮件)的安全传送:对通过网络(远程或近程)传送给他人的文件进行安全处理(加密、签名、完整性鉴别等),使得被传送的文件只有指定的收件者通过相应的安全鉴别机制(IC卡、PCMCIAPC卡)才能解密并阅读,杜绝了文件在传送或到达对方的存储过程中被截获、篡改等,主要用于信息网中的报表传送、公文下发等。
业务系统的安全:主要面向业务管理和信息服务的安全需求。对通用信息服务系统(电子邮件系统、WEB信息服务系统、FTP服务系统等)采用基于应用开发安全软件,如安全邮件系统、WEB页面保护等;对业务信息可以配合管理系统采取对信息内容的审计稽查,防止外部非法信息侵入和内部敏感信息泄漏。
(二)数据安全
数据安全牵涉到数据库的安全和数据本身安全,针对两者应有相应的安全措施。
数据库安全——大中型企业一般采用具有一定安全级别的SYBASE或ORACLE大型分布式数据库,基于数据库的重要性,应在此基础上开发一些安全措施,增加相应控件,对数据库分级管理并提供可靠的故障恢复机制,实现数据库的访问、存取、加密控制。具体实现方法有安全数据库系统、数据库保密系统、数据库扫描系统等。
数据安全——指存储在数据库数据本身的安全,相应的保护措施有安装反病毒软件,建立可靠的数据备份与恢复系统,某些重要数据甚至可以采取加密保护。
(三)网络交易平台的安全
网上交易安全位于系统安全风险之上,在数据安全风险之下。只有提供一定的安全保证,在线交易的网民才会具有安全感,电子商务网站才会具有发展的空间。
交易安全标准——目前在电子商务中主要的安全标准有两种:应用层的SET(安全电子交易)和会话层SSL(安全套层)协议。前者由信用卡机构VISA及MasterCard提出的针对电子钱包/商场/认证中心的安全标准,主要用于银行等金融机构;后者由NETSCAPE公司提出针对数据的机密性/完整性/身份确认/开放性的安全协议,事实上已成为WWW应用安全标准。
交易安全基础体系——交易安全基础是现代密码技术,依赖于加密方法和强度。加密分为单密钥的对称加密体系和双密钥的非对称加密体系。两者各有所长,对称密钥具有加密效率高,但存在密钥分发困难、管理不便的弱点;非对称密钥加密速度慢,但便于密钥分发管理。通常把两者结合使用,以达到高效安全的目的。
交易安全的实现——交易安全的实现主要有交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的抵赖等等。具体实现的途径是交易各方具有相关身份证明,同时在SSL协议体系下完成交易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等。
随着电子商务的发展,网上交易越来越频繁,调用每项服务时需要用户证明身份,也需要这些服务器向客户证明他们自己的身份。而保障身份安全的最有效的技术就是PKI技术。
PKI的应用在我国还处于起步阶段,目前我国大多数企业只是在应用它的CA认证技术。CA(CertificationAuthorty)是一个确保信任度的权威实体,主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,并能很好地和其他厂家的CA产品兼容。在不久的将来,PKI技术会在电子商务和网络安全中得到更广泛的应用,从而真正保障用户和商家的身份安全。
三、目前信息安全的研究方向
从历史角度看,我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域,它综合利用了数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。
安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。作为信息安全关键技术密码学,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制,克服了网络信息系统密钥管理的困难,同时解决了数字签名问题,它是当前研究的热点。
目前电子商务的安全性已是当前人们普遍关注的焦点,它正处于研究和发展阶段,并带动了论证理论、密钥管理等研究。由于计算机运算速度的不断提高,各种密码算法面临着新的密码体制,如量子密码、DNA密码、混沌理论等密码新技术出处于探索之中。在我国,信息网络安全技术的研究和产品开发虽处于起步阶段,有大量的工作需要我们去研究、开发和探索,但我们相信在不久的将来,会走出一条有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。
四、结束语
电子商务是以互联网为活动平台的电子交易,它是继电子贸易(EDI)之后的新一代电子数据交换形式。计算机网络的发展与普及,直接带动电子商务的发展。因此计算机网络安全的要求更高,涉及面更广,不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取,以保证系统本身安全性,如服务器自身稳定性,增强自身抵抗能力,杜绝一切可能让黑客入侵的渠道等等。对重要商业应用,还必须加上防火墙和数据加密技术加以保护。在数据加密方面,更重要的是不断提高和改进数据加密技术,使不法分子难有可乘之机。
参考文献:
[1]佚名.解析电子商务安全[EB/OL].
[2]佚名.网络构建与维护[EB/OL].,2006-07-16.
[3]洪国彬.电子商务安全与管理[M].北京:电子工业出版社,2006.
[关键词]互联网;电子商务;系统安全;数据安全;网络系统
一、前言
近年来,随着因特网的普及日渐迅速,电子交易开始融入人们的日常生活中,网上订货、网上缴费等众多电子交易方式为人们创造了便利高效的生活方式,越来越多的人开始使用电子商务网站来传递各种信息,并进行各种交易。电子商务网站传递各种商务信息依靠的是互联网,而互联网是一个完全开放的网络,任何一台计算机、任何一个网络都可以与之相连。它又是无国界的,没有管理权威,“是世界唯一的无政府领地”,因此,网上的安全风险就构成了对电子商务的安全威胁。
从发展趋势来看,电子商务正在形成全球性的发展潮流。电子商务的存在和发展,是以网络技术的革新为前提。电子商务系统的构建、运行及维护,都离不开技术的支持。同时,因为电子商务适合于各种大、小型企业,所以应充分考虑如何保证电子商务网站的安全。
二、电子商务网站的安全控制
电子商务的基础平台是互联网,电子商务发展的核心和关键问题就是交易的安全性。由于Internet本身的开放性,使网上交易面临了种种危险,也由此提出了相应的安全控制要求。
下面从技术手段的角度,从系统安全与数据安全的不同层面来探讨电子商务中出现的网络安全问题。
(一)系统安全
在电子商务中,网络安全一般包括以下两个方面:
1.信息保密的安全
交易中的商务信息均有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。
2.交易者身份的安全
网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会考虑网上的商店是否是黑店。因此能方便而可靠地确认对方身份是交易的前提。
对于一个企业来说,信息的安全尤为重要,这种安全首先取决于系统的安全。系统安全主要包括网络系统、操作系统和应用系统三个层次。系统安全采用的技术和手段有冗余技术、网络隔离技术、访问控制技术、身份鉴别技术、加密技术、监控审计技术、安全评估技术等。
(1)网络系统
网络系统安全是网络的开放性、无边界性、自由性造成,安全解决的关键是把被保护的网络从开放、无边界、自由的环境中独立出来,使网络成为可控制、管理的内部系统,由于网络系统是应用系统的基础,网络安全便成为首要问题。解决网络安全主要方式有:
网络冗余——它是解决网络系统单点故障的重要措施。对关键性的网络线路、设备,通常采用双备份或多备份的方式。网络运行时双方对运营状态相互实时监控并自动调整,当网络的一段或一点发生故障或网络信息流量突变时能在有效时间内进行切换分配,保证网络正常的运行。
系统隔离——分为物理隔离和逻辑隔离,主要从网络安全等级考虑划分合理的网络安全边界,使不同安全级别的网络或信息媒介不能相互访问,从而达到安全目的。对业务网络或办公网络采用VLAN技术和通信协议实行逻辑隔离划分不同的应用子网。
访问控制——对于网络不同信任域实现双向控制或有限访问原则,使受控的子网或主机访问权限和信息流向能得到有效控制。具体相对网络对象而言需要解决网络的边界的控制和网络内部的控制,对于网络资源来说保持有限访问的原则,信息流向则可根据安全需求实现单向或双向控制。访问控制最重要的设备就是防火墙,它一般安置在不同安全域出入口处,对进出网络的IP信息包进行过滤并按企业安全政策进行信息流控制,同时实现网络地址转换、实时信息审计警告等功能,高级防火墙还可实现基于用户的细粒度的访问控制。
身份鉴别——是对网络访问者权限的识别,一般通过三种方式验证主体身份,一是主体了解的秘密,如用户名、口令、密钥;二是主体携带的物品,如磁卡、IC卡、动态口令卡和令牌卡等;三是主体特征或能力,如指纹、声音、视网膜、签名等。加密是为了防止网络上的窃听、泄漏、篡改和破坏,保证信息传输安全,对网上数据使用加密手段是最为有效的方式。目前加密可以在三个层次来实现,即链路层加密、网络层加密和应用层加密。链路加密侧重通信链路而不考虑信源和信宿,它对网络高层主体是透明的。网络层加密采用IPSEC核心协议,具有加密、认证双重功能,是在IP层实现的安全标准。通过网络加密可以构造企业内部的虚拟专网(VPN),使企业在较少投资下得到安全较大的回报,并保证用户的应用安全。
安全监测——采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络扫描监测系统作为对付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征,广泛用于各行各业。网络扫描是针对网络设备的安全漏洞进行检测和分析,包括网络通信服务、路由器、防火墙、邮件、WEB服务器等,从而识别能被入侵者利用非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告,包括位置、详细描述和建议的改进方案,使网管能检测和管理安全风险信息。
(2)操作系统
操作系统是管理计算机资源的核心系统,负责信息发送、管理设备存储空间和各种系统资源的调度,它作为应用系统的软件平台具有通用性和易用性,操作系统安全性直接关系到应用系统的安全,操作系统安全分为应用安全和安全漏洞扫描。
应用安全——面向应用选择可靠的操作系统,可以杜绝使用来历不明的软件。用户可安装操作系统保护与恢复软件,并作相应的备份。
系统扫描——基于主机的安全评估系统是对系统的安全风险级别进行划分,并提供完整的安全漏洞检查列表,通过不同版本的操作系统进行扫描分析,对扫描漏洞自动修补形成报告,保护应用程序、数据免受盗用、破坏。
(3)应用系统
办公系统文件(邮件)的安全存储:利用加密手段,配合相应的身份鉴别和密钥保护机制(IC卡、PCMCIA安全PC卡等),使得存储于本机和网络服务器上的个人和单位重要文件处于安全存储的状态,使得他人即使通过各种手段非法获取相关文件或存储介质(硬盘等),也无法获得相关文件的内容。
文件(邮件)的安全传送:对通过网络(远程或近程)传送给他人的文件进行安全处理(加密、签名、完整性鉴别等),使得被传送的文件只有指定的收件者通过相应的安全鉴别机制(IC卡、PCMCIAPC卡)才能解密并阅读,杜绝了文件在传送或到达对方的存储过程中被截获、篡改等,主要用于信息网中的报表传送、公文下发等。
业务系统的安全:主要面向业务管理和信息服务的安全需求。对通用信息服务系统(电子邮件系统、WEB信息服务系统、FTP服务系统等)采用基于应用开发安全软件,如安全邮件系统、WEB页面保护等;对业务信息可以配合管理系统采取对信息内容的审计稽查,防止外部非法信息侵入和内部敏感信息泄漏。
(二)数据安全
数据安全牵涉到数据库的安全和数据本身安全,针对两者应有相应的安全措施。
数据库安全——大中型企业一般采用具有一定安全级别的SYBASE或ORACLE大型分布式数据库,基于数据库的重要性,应在此基础上开发一些安全措施,增加相应控件,对数据库分级管理并提供可靠的故障恢复机制,实现数据库的访问、存取、加密控制。具体实现方法有安全数据库系统、数据库保密系统、数据库扫描系统等。
数据安全——指存储在数据库数据本身的安全,相应的保护措施有安装反病毒软件,建立可靠的数据备份与恢复系统,某些重要数据甚至可以采取加密保护。
(三)网络交易平台的安全
网上交易安全位于系统安全风险之上,在数据安全风险之下。只有提供一定的安全保证,在线交易的网民才会具有安全感,电子商务网站才会具有发展的空间。
交易安全标准——目前在电子商务中主要的安全标准有两种:应用层的SET(安全电子交易)和会话层SSL(安全套层)协议。前者由信用卡机构VISA及MasterCard提出的针对电子钱包/商场/认证中心的安全标准,主要用于银行等金融机构;后者由NETSCAPE公司提出针对数据的机密性/完整性/身份确认/开放性的安全协议,事实上已成为WWW应用安全标准。
交易安全基础体系——交易安全基础是现代密码技术,依赖于加密方法和强度。加密分为单密钥的对称加密体系和双密钥的非对称加密体系。两者各有所长,对称密钥具有加密效率高,但存在密钥分发困难、管理不便的弱点;非对称密钥加密速度慢,但便于密钥分发管理。通常把两者结合使用,以达到高效安全的目的。
交易安全的实现——交易安全的实现主要有交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的抵赖等等。具体实现的途径是交易各方具有相关身份证明,同时在SSL协议体系下完成交易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等。
随着电子商务的发展,网上交易越来越频繁,调用每项服务时需要用户证明身份,也需要这些服务器向客户证明他们自己的身份。而保障身份安全的最有效的技术就是PKI技术。
PKI的应用在我国还处于起步阶段,目前我国大多数企业只是在应用它的CA认证技术。CA(CertificationAuthorty)是一个确保信任度的权威实体,主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,并能很好地和其他厂家的CA产品兼容。在不久的将来,PKI技术会在电子商务和网络安全中得到更广泛的应用,从而真正保障用户和商家的身份安全。
三、目前信息安全的研究方向
从历史角度看,我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域,它综合利用了数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。
安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。作为信息安全关键技术密码学,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制,克服了网络信息系统密钥管理的困难,同时解决了数字签名问题,它是当前研究的热点。
目前电子商务的安全性已是当前人们普遍关注的焦点,它正处于研究和发展阶段,并带动了论证理论、密钥管理等研究。由于计算机运算速度的不断提高,各种密码算法面临着新的密码体制,如量子密码、DNA密码、混沌理论等密码新技术出处于探索之中。在我国,信息网络安全技术的研究和产品开发虽处于起步阶段,有大量的工作需要我们去研究、开发和探索,但我们相信在不久的将来,会走出一条有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。
四、结束语
电子商务是以互联网为活动平台的电子交易,它是继电子贸易(EDI)之后的新一代电子数据交换形式。计算机网络的发展与普及,直接带动电子商务的发展。因此计算机网络安全的要求更高,涉及面更广,不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取,以保证系统本身安全性,如服务器自身稳定性,增强自身抵抗能力,杜绝一切可能让黑客入侵的渠道等等。对重要商业应用,还必须加上防火墙和数据加密技术加以保护。在数据加密方面,更重要的是不断提高和改进数据加密技术,使不法分子难有可乘之机。
参考文献:
[1]佚名.解析电子商务安全
[2]佚名.网络构建与维护
[3]洪国彬.电子商务安全与管理[M].北京:电子工业出版社,2006.
关键词:电子商务 安全
随着我国综合实力的不断增强,国际地位的不断提高,各项事业都在与国际接轨,电子商务应运而生,近些年在我国迅速发展,网上购物已经成为时下较为流行的购物方式,深受广大消费者的欢迎。然而,随着我网络技术的进一步发展和广泛应用,电子商务的安全问题逐渐凸显出来,逐渐成为困扰我国电子商务工作人员的重要难题,如何应对电子商务安全问题值得我们进行深入思考。根据调查可知,我国计算机受到木马攻击、病毒侵染的数量和频率正在逐年增加,新病毒的种类层出不用,防不胜防,这些都为我们的电子商务安全问题敲响了警钟,解决电子商务的安全问题迫在眉睫。
一、电子商务的安全现状
电子商务通常是指是在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。在当今经济开放的社会形势下,电子商务具有广阔的市场和较好的商机,然而,目前的电子商务面临的安全问题却不容乐观,根据调查显示,现阶段的电子商务安全问题较为严重,甚至阻碍了我国电子商务行业的发展,其主要表现在以下几个方面:
1.木马、病毒种类更新速度快切数量暴涨
根据调查可知,仅2011年上半年挂在木马的网页数量已经超过3.5亿,有近13亿的网名层访问到过挂载木马,仅春节的一段时间内,木马的数量就增加了近60万,以上数据可以充分的体现出我国的电子商务安全问题形势严峻,解决刻不容缓。不仅如此,现阶段的网络病毒数量增加快,种类繁多、变化速度快,并且很多所谓的新木马都是旧病毒的变种,尽管针对这些问题,杀毒软件也是快速更新、升级,但是仍然不能有效阻止病毒投放者多方位的投毒行为,并且一些病毒是通过下载器进行投放的,该病毒可以自动的在网址上被下载下来并且进行自主更新,这样就为杀毒工作带了很多困难,想要赶尽杀绝病毒则更是难上加难。此外,现阶段有很多病毒的制造者利用病毒、木马技术从事违法犯罪活动,如网络窃取、诈骗等,这些都给社会的安定造成影响,利用病毒软件和网络攻击技术进行犯罪活动的现象也层出不穷,电子商务犯罪逐渐呈现出公开化、大众化等特点。
2.网络病毒的传播方式发生了变化
传统的网络病毒都是通过网络媒介进行传播的,而现阶段的网络病毒传播方式也发生了变化,通过移动设备进行病毒侵染的情况逐渐增多,储存媒介已经成为病毒传播的主要方式,U盘及移动硬盘等移动储存设备的广泛应用使木马病毒等有可趁之机,它们利用一种特殊文件的自动调用功能将移动储存设备中的木马病毒激活,进而使之侵染用户的计算机系统。近些年,通过网络下载病毒的比例逐渐下降,而“挂马”方式取而代之,“挂马”主要指的是在一些网页中恶意的嵌入代码,当一些有安全漏洞的计算机访问该网页时就会被病毒侵染,最计算机造成破坏。这种病毒侵染方式更加隐蔽、攻击性更强,用户很难发现,因此,存在的潜在危险性更强了。
3.网络病毒对电子商务造成的影响越来越大
近些年,用户的浏览器被肆意修改,一些重要数据无故丢失,系统的使用受到限制,密码被盗等情况发生的次数越来越多,对电子商务的造成了巨大的伤害,严重影响了电子商务业正常运行,很多病毒具有较强的攻击性和破坏性,切生存能力较强,难以杀死,它们攫取非法经济利益,给被感染的用户带来巨大的经济损失,不仅如此,一些病毒软件传统速度较快,贩卖现象猖獗,利用邮件等冲击、破坏用户计算机的情况也呈上升趋势。
二、电子商务安全问题及其存在原因
现阶段,电子商务的安全问题受到了木马病毒等的严重影响,对其存在原因进行探究是非常有必要的,原因主要有几下几点:
1.冒充合法用户
一些不法之徒利用各种手段盗取合法用户的身份资料,然后冒充合法用户与他人进行交易活动,攫取非法经济利益。
2.窃取信息
一些网络攻击者利用一些非法手段在网络传输道路上进行截取信息,对重要数据等进行监听或者窃取,对其中的敏感信息进行截获,最终以欺骗的手段进行产品交易。
3.篡改信息
一些从事网络犯罪的人经常会在截取网络信息后将其中的内容进行篡改,如消息次序、时间等,使信息失去准确性和及时性。
4.电脑病毒
自电脑病毒问世,其种类更新速度惊人,而互联网的出现又切好为其提供了一个传播媒介,很多病毒将英特网作为其传播的重要途径,给计算机用户以沉重打击。
5.其他原因
除了上述原因外,信息威胁、否认发出信息等都是电子商务存在安全问题的主要原因。
病毒、木马等的猖獗发展对电子商务的安全问题提出了更高的标准和要求,并且导致了对电子商务安全的需求。主要表现在以下几个方面:有效性、完整性、不可抵赖性、匿名性。电子商务安全的有效性指的是要在电子商务协议签订之前确保信息的有效性,一旦确定交易,就要对其进行保护,防止被篡改或者伪造;完整性指的是贸易双方信息的完整性,这是进行电子商务的基础需求;不可抵赖性主要是指贸易双方一旦达成协议就不能随意放弃、抵赖;匿名性是安全需求中的关键因素,指的是要保证交易的匿名性,有效的防止交易被跟踪,要保证在交易的过程中不轻易的把信息透露给不可信体。
三、电子商务安全防范措施
通过上文论述可知,我国当前的电子商务面临严峻的安全问题,对电子商务安全防范措施进行探究具有重要意义。我们可以从以下几个方面进行:
1.广泛开展宣传工作,在最大程度上提高公众的安全意识
目前,公众的电子商务安全意识较为淡薄,没有很好的自我保护意识,这就给网络犯罪提供了机会,因此,一定要强化安全宣传工作,提高其对安全意识的认知水平,能够敏锐的发现影响网络安全的行为,要让网络用户认识到网络犯罪的破坏性及危害性,树立网络交易安全意识,认识到电子商务安全防范措施的重要性。主要可以通过大众媒体等进行电子商务安全知识普及,提高用户的安全防范意识。
2.采用多重网络保护技术
网络技术是电子商务的核心,要想从根本上保证电子商务的安全性就要致力于网络技术的提高和软件的更新。目前经常采用的电子商务安全技术有防火墙、物理隔离及虚拟专用网络等,其中防火墙技术应用的最为广泛,可以实现在内部网络和外部网络之间建立保护屏障,在抵御外界攻击的同时防止内部的服务器一些未授权的用户也受到攻击,网络管理人员需要定期到制定的网络下载程度补丁以保证防火墙能够高效的运行,与此同时,要对整个网络系统进行时时监控,一旦发现问题及时解决,尽量将安全隐患降到最低。相关企业一定要施行内部网络与外部网络的物理隔离技术,大力应用虚拟专用网络技术,实现多重网络保护,以确保网络环境的安全性。
3.加强网络技术管理水平,确保网络环境的安全
加强网络技术管理水平是解决电子商务安全问题的根本,相关企业要在企业内部制定严格的工作标准和要求,严格把关企业内部人员对网络共享资源的使用情况,要坚持不轻易开放共享目录的习惯,对经常有更换信息要求的用户进行共享加密,坚持密码与信息的一一对应,即只有通过密码验证才能访问数据。其次,就是要尽可能的保证用户的秘密信息,少开放一些不常用的网络服务端口,并且对服务器中的重要数据进行备份;最后就是要切实的保证媒体安全,要尽可能的防止系统中信息的扩散,针对这种情况,要采取一定的防范措施,确保企业的电子商务安全发挥重要作用。
4.合理运用法律的武器保护自己
针对电子商务安全问题,国家也相应的颁布了一些法律、规章制度等以保护电子商务运行者及使用者的合法权益,相关企业一定要合理运用法律的武器保护自己,打击犯罪分子的嚣张气焰,争取直接的合法权益;国家相关部门也要尽快完善法律,填补漏洞,不给犯罪分子留有可趁之机,一定要加快立法进行,向西方先进国家学习经验,尽快颁布保护电子商务业的相关法律,促进电子商务业的快速发展。
四、结论
通过上文论述可知,对电子商务的安全问题进行探究具有重要的意义,对我国整体经济的发展是大有裨益的。我们既要认可近些年来电子商务取得的辉煌成绩和喜人进步,也要清晰的认识到其中存在的问题不容乐观,我们广大网络技术工作者任重而道远。我坚信,天道酬勤,只要我们广大奋斗在电子商务安全维护第一线的工作者齐心协力,恪尽职守,无私奉献,一定能够在最大程度上缓解我国当前的电子商务安全问题,促进我国电子商务事业的高速发展,为用户营造安全、舒适、放心的网络环境。尽管在当前的网络维护工作中仍然存在很多问题,在未来探索的道路上更是阻碍重重,但是只有我们对电子商务事业充满信心,斗志昂扬,一定会提高电子商务业的服务质量,有效降低电子商务的安全隐患,在最大程度上保证消费者的合法权利不被侵犯,向国家和人民交上满意的答卷。
参考文献:
[1]李艳.电子商务信息安全策略研究[J].甘肃科技.2005(06)
[2]苗海珍,时青.电子商务中的安全与控制技术[J].内蒙古科技与经济. 2005(09)
[3]傅少川,张文杰,马军.电子商务风险分析及定性评估方法研究[J].情报杂志. 2005(05)
[4]刘静.浅谈电子商务安全策略[J].长沙大学学报.2005(02)
[5]张明光,魏琦.电子商务安全体系的探讨[J].计算机工程与设计.2005(02)
关键词:电子商务;信息安全;加密技术
一.前言
1.1电子商务安全概况
电子商务的定义是政府或者企业个人依托计算机网络以及相关通信技术,分辨扮演交易主体的角色,通过电子银行网络系统进行结算手段,以电子信号作为载体的全新商务模式。由于计算机网络技术其自身的特性:开放性,多面性和不稳定性。依托于计算机网络技术的电子商务平台需要面多多种多样的信息安全技术的选择。电子商务的安全性一直受到人们质疑的关键就在于此,为了避免电子商务遇到信息安全技术瓶颈而导致其自身发展的流产或破坏,电子商务平台的开发人员和企业电子商务的负责人们都在寻找一种有效的解决途径。
1.2电子商务安全现状
越来越多的企业和个人最终选择了电子商务模式,厂商、经销商和消费者最终将目光投向了数字信息媒介注定了电子商务系统拥有其无与伦比的特性和魅力。先阶段的电子商务顺应了网络技术发展的潮流,通过网络连将企业和消费核心紧密的连接在了一起,但是无论是消费者或者企业信息安全责任者往往忽略了种种的信息安全隐患。信息安全作为电子商务的核心技术,只有能够充分保障商务信息的安全性才能最大化电子商务的优势,为消费者更是为企业带来更多的效益。
二.电子商务安全妨害
2.1电子商务安全层面
电子商务的信息安全性可以细化成一下几个层面:一个是电子信息的真实性和有效性,数字媒介不同于传统的纸质文件,数字信息易于保存于传递,只要数字媒介不被破坏,数字信息可以永久保存。但是数字信息也有一定的弊端,它容易受到非法手段的篡改和破坏,不真实的信息是不能在电子商务系统中传播的,信息的有效性会给整个交易环节带来毁灭性的打击。另外一层是信息的机密性,数字信息需要通过封装或者加密等手段伪装自身,避免被非法盗取。三是信息的可靠性,可靠性包括数字信息的可鉴别性和约束性。也就是说在电子商务系统中传递的交易信息必须拥有其足够的约束效应。这样才能规范电子商务用户自身的权益,包括信息权益、自主判断的权益以及获取真实信息的权益等等。防止交易主体否认其电子交易信息的真实性,即是说电子商务平台本身具有同等于传统交易模式的法律效应,不能抵赖或者否认其交易信息等等。
2.2电子商务安全性要求
上文中剖析了电子商务安全的不同层面,这里就要对其进行一个关系到电子商务安全性要求的总结。电子商务对于信息安全技术的要求:首先是网络服务的有效性要求,其中既包括网络信息流通的实效性同样也包括数字信息的准确性。计算机网络建立在无数的计算机和服务器终端之上,没有人能够保障其不间断的网络通畅,务必确保电子商务网络在遇到网络拥塞或者中断等问题时,数字交易信息能够得到最好的保护和传递。其次是信息的保密性,交易信息必须不能够被非法第三方获取或者保证不能够被第三方破译。这就要充分发挥加密技术的特长。第三点是信息的完整性要求,交易数据在发送端和接收端要达到完全一致的目的,否则交易就会存在安全隐患。最后一点需要补充的是电子商务平台必须拥有完善的身份验证系统,以保障交易双方能够代表自身做出合法有效的交易决策,不会给非法入侵带来可乘之机。
三.电子商务安全技术探究
3.1防火墙技术
自从黑客技术开始流传以来,防火墙技术作为其针对的信息安全手段受到了人们应有的重视。伴随着防火墙技术的不断发展,现如今的防火墙技术不仅仅能够为企业数据库提供安全的防护屏障,还可以监视以及控制企业内外网络的信息交互。目前主流的防火墙应用分为以下三种:信息过滤防火墙、防火墙以及双穴主机防火墙。
3.2加密技术
在上文中我们已经提到过数字加密技术,这是一个已经相对于其他信息安全技术更加成熟的安全策略,并且它在电子商务的信息安全系统中占有很大的比重。数字加密系统从其诞生至今已经涌现出了很多被人广泛认可并且为人熟知的加密算法。这些算法自身也在不断的完善和更新,时至今日仍然为很多商务信息平台所采用。加密技术的优势在于即便是被告知其采用的加密算法,没有安全密钥,也不能破译其中的正确信息。加密技术如今已经在电子商务系统中得到普及,加密算法和密钥不仅仅能够为信息安全保驾护航,而且还能够被推广到更广泛的领域,包括其在身份验证技术中的兼容应用以及安全证书技术中的广泛应用等等。
3.3安全证书技术
安全证书技术要求电子商务系统中应用的安全证书应由具有公信力的权威机构颁发并且承担相应的法律责任。这个类似于交易监督部门的第三方不但能够为交易双方提供信息安全的保障并且能够提供增值服务,包括交易双方的身份信息确认以及安全密钥的颁发等等。认证中心CA便是这种交易监督第三方的典型代表。通过以上的描述我们可以发现,认证中心在认证技术中的重要性,认证中心拥有数字证书的权利,它的信誉度和公正性不容怀疑。认证中心往往是采用分级的管理方式,高级认证中心负责数字证书的并且通过逐级传递的方式授予用户,同时高级的认证中心管理着低级认证中心的数字证书。这一最高级别的认证中心便是金融认证中心。
3.4身份识别技术
身份识别系统是通过核实认证主体的属性(可以是密钥、声纹、指纹等等主体信息)来进行身份识别和认证身份识别技术,不能单纯的依赖认证中心提供的身份识别认证,优秀的电子商务企业必定拥有其自身的身份识别系统。该系统能够认证交易主体的身份信息,是计算机网络安全的重要组成部分。
3.5病毒防护技术
计算机病毒的危害不仅仅是体现在电子商务领域,早在信息安全技术得到广泛关注之前,计算机病毒就已经给计算机网络用户包括企业或者个人的利益带来过巨大的损害。针对于计算机病毒,电子商务系统需要拥有的不仅仅是常见的防毒软件和病毒库的实时更新。扩展开来,现阶段已经得到人们认可的常规病毒检测技术、安全诊断技术以及电子商务系统信息安全事件的准备预案都是必不可少的。
四..总结
综上所述,电子商务系统中的网络安全问题是一个综合性的课题,其中涉及到了企业管理理念、管理制度、技术力量等多方面的问题。不同的信息安全技术会针对不同的网络安全问题,多方引入、善加利用才是安全技术引用的关键。(作者单位:成都师范学院)
参考文献:
[1]黄刘生.电子商务安全问题.北京:北京理工大学出版社.2009.
[2]何宏贵.电子商务应用开发技术研究.合肥工业大学.2007.
[3]郑英铎.电子商务安全综述.网络时代.2008.
关键词:电子商务;网络安全;信息管理
中图分类号:TP393.08 文献标识码:A 文章编号:1001-828X(2013)01-00-02
电子商务为新经济发展带来了契机,但是如果使电子商务要真正成为一种主导的商务模式,就必须在网络安全技术上有更大的突破。全新的交易和支付模式,使得网络安全问题最备受关注,因此如何更好的解决这个问题是推进电子商务更好更快发展的动力。但是因为安全问题是不断发展变化的,所以解决安全问题的手段也会不断变化,但变化中有不变,这就是所要解决的根本问题是不变的。因此研究电子商务网络安全对于当今社会具有现实意义。
一、电子商务发展对国内外经济的影响情况
1.什么是电子商务
1997年11月在法国巴黎,国际电子商务协会于举行的世界电子商务会议对电子商务的概念进行的阐述:实现整个贸易过程中各阶段的贸易活动电子化。
具体可以分为以下几个方面:
1.涵盖范围:电子商务要求交易各方所有的商务活动等均以电子化方式进行的。
2.技术:一种多技术的集合体包括交换数据、获得数据、自动捕捉数据等。
3.涵盖的业务:谈判、信息交换、销售、售前售后服务、网上支付和结算、物流运输、组建虚拟企业、公司和贸易伙伴可以共同拥有和运营共享的ERP商业方法等。
概括起来,所谓电子商务就是交易各方利用电子计算机技术、网络技术和远程通信技术,实现整个商务活动过程中的电子化、无纸化、数字化、网络化。
2.电子商务对世界经济发展的影响
由于电子商务交易和支付的跨时空特性,大大缩短了商务活动时间和距离,促进国际服务贸易和技术贸易的发展。更是利用信息技术化的手段便利了以图像、文字、声音为媒体的非物质性商品的传输,并加速了技术商品化的进程,从而使服务贸易和技术贸易将在国际贸易中占据越来越重要的地位。
3.电子商务对中国经济和社会发展的影响
中国在全球经济一体化中起到举足轻重的作用,而电子商务加速了这一过程的发展,它为我国国民经济的持续、健康、快速发展增加新的动力和增长点,同时也带来了更多的贸易机会和就业创业机会。
信息技术将是我国引进技术发展自己的重点领域,我国重视科技的发展,这也是外商青睐中国这个蓬勃发展的最大潜在市场的投资方向。阿里巴巴、淘宝和京东等国内电子商务网站的崛起使我国和国际电子商务先进水平的差距越来越小,可以说电子商务的兴起为我国的企业,尤其是灵活、适应性强为突出特点的中小企业提供了赶超世界先进水平的机会。
二、电子商务发展面临的网络安全问题分析
商品经济学认为安全与效率,是一切商品交易必须考虑的两个问题。作为新兴贸易方式的存在与发展,那么电子商务也必须满足这两个要求。电子商务的高效和跨时空性已经得到了人们充分的认可,但国内外各大电子商务网站都尚未形成成熟的网络安全商务运营模式。如今,随着在线贸易规模和交易金额的增加,如何构建与传统法律价值接近的网络安全规则体系也越来越被人们关注。
1.信息泄漏和窃取。在电子商务中表现为商业和支付账户信息等机密资料的泄漏和窃取。这里主要包括两个方面:交易双方进行交易的商业信息内容和银行卡账号密码等被第三方通过技术和黑客手段窃取;交易一方提供给另一方使用的文件被第三方非法使用或者传播。
2.传输过程被窜改。在电子商务中表现为商业信息的真实性和完整性的问题。电子的交易信息在网络上传输的过程中,可能被他人通过技术方式非法修改、删除或重改,这样就使信息失去了真实性和完整性。那么交易过程会中断或导致一方受到损失。
3.身份识别问题。电子商务是非面对面的交易模式,如果在网上进行贸易的过程中不进行身份识别,第三方就有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等。因此在进行身份识别后,电子商务交易双方就可防止“相互猜疑”的情况。尤其是在网上支付和结算方面问题尤为突出。
4.电脑病毒问题。从计算机网络在国内普及以后,各种新型蠕虫特洛伊等病毒及其变种迅速增加,互联网的快速发展又为病毒的传播提供了最好的媒介。中国目前有世界上最多的网络使用群体,因此这也为不少新病毒利用网络创造了传播途径,还有众多病毒借助于网络变异传播得更快,对计算机硬件、数据和交易信息造成了极大破坏,动辄可能造成数百亿美元的经济损失。
5.黑客问题。随着各种网络应用工具和编程代码的公开和传播,黑客己经不像过去那样非电脑高手不能成为黑客。曾经大闹雅虎网站的“黑手党男孩”就没有受过什么专门训练,只是向网友下载了几个攻击软件并学会了如何使用,就在互联网上大干了一场。在问题争端发生后,中国黑客和日本黑客在2012年底也进行了一场网络技术攻防战。
2012年4月,中国电子商务协会公布的《电子商务与网络安全分析报告》,该报告显示,目前对电子商务网络安全问题,除了电脑病毒和黑客造成的破坏之外,危害最大的是网络钓鱼式攻击,尤其是在电子商务BTC和CTC交易网站和网上银行等平台,网络钓鱼攻击主要以骗取用户各种在线交易的各类登陆账号和银行卡账户、密码从而造成严重经济损失。该报告指出了目前威胁最大的三种网络钓鱼攻击方式:假冒网站、邮件欺骗、木马病毒等总共监测到上百起钓鱼式攻击方式。随着宽带网络和3 G无线网络等技术的进一步普及,商家和消费者将面临更多的线上交易安全风险。
三、电子商务网络安全的解决对策
1.提高对网络信息安全重要性的认识。计算机信息技术和网络技术的发展,使网络信息化逐渐渗透到商务活动和社会经济的各个领域,在将来电子商务贸易的高速发展中,如果因网络安全问题的发生,而很可能促成全部或局部经济损失和贸易活动的失败。在思想上要把信息资源共享与网络安全防护有机统一起来。作为个人电子商务用户要定期修改密码备份资料,养成安全的上网支付习惯。作为企业电子商务网络安全必须建立企业网络信息系统的安全服务体系,防止非法用户利用网络系统的安全缺陷进行数据的窃取、伪造和破坏。
2.加快网络安全专业人才的培养。我国需要大批信息安全人才来适应新的网络安全保护形势。VISA就曾经为中国培训信用卡高技术人才,这才有后来的中国银联。毕竟高素质的人才只有在高水平的研究教育环境中才能迅速成长。我国电子商务业和银行业应该共同合作加大对有良好基础的科研教育基地的支持和投入,开创行业内培训和资格认证机构,并加强和国外的先进电子商务网络安全经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保内外网络安全处在高水平,来应对一切可能发生的威胁。
3.加强网络安全管理。我国网络安全管理除现有的部门分工外,需要建立一个具有高度权威的信息安全领导机构。不仅仅只是银行业和电子商务行业建立,而是在中央建立起这样一个组织,才能在国内电子商务高速发展中有效地统一、协调各部门的职能,防范在线交易过程的威胁。同时加快立法进程,健全法律体系,对个人和企业使用网络从事电子商务贸易从法律上进行约束。
4.建立网络风险防范机制,注重网络建设的规范化。在电子商务网络安全建设过程中,因为国内技术人才和设备的滞后、道德规范苍白、法律疲软等原因,往往会使电子商务陷于困境以及不法分子钻空,这就必须建立网络风险防范机制。为网络安全而产生的防止和规避风险的方法有多种,但总的来讲不外乎危险产生前的预防、危险发生中的抑制和危险发生后的补救。目前,国外银行业和电子商务行业已经颁布和开发出许多关于网络安全的技术规范、技术标准,目的就是要在统一的网络环境中保证电子商务贸易的绝对安全。我国应从这种趋势中得到启示,在发展新兴贸易方式的同时,拿出既符合国情又顺应国际潮流的技术规范。
5.强化网络技术创新。在计算机软硬件技术上,我国出来落后,因此很多核心技术方面不能自主,这将影响我国在国际上电子商务的公平性,同时也会对我国信息安全带来极大的安全隐患。因此我国应及时建立自主的网络信息安全技术体系,利用好国内外两个资源,统一组织进行信息安全关键技术攻关,以创新的思想,超越固有的约束,构筑具有中国特色的网络信息安全体系。
综上实现电子商务的关键是要保证商务活动过程中系统网络的安全性,而网络安全是发展的、动态的。今天安全明天就不一定很安全,因为网络的攻防是此消彼长、道高一尺、魔高一丈的事情,尤其是安全技术,它的敏感性、竞争性以及对抗性都是很强的,这就需要不断地检查、评估和调整相应的安全策略。没有一劳永逸的安全,也没有一蹴而就的安全。
参考文献:
[1]马尚才.电子商务安全技术.国防工业出版社,2003.
[2]戴宗坤.VPN与网络安全.金城出版社,2000.
[3]黄敏学.电子商务.高等教育出版社,2004.
[4]李学忠网络钓鱼式攻击泛滥.电子商务安全面临威胁.新浪科技讯,2005.
[5]赵战生.我国信息安全及其技术研究.中国信息导报,2005.
关键词:电子商务客户信息安全与防范
随着市场竞争的日益激烈,企业间的竞争转向了客户信息资源。客户信息资源对电子商务企业尤其重要,可谓“三分技术、七分管理、十二分数据”。然而,黑客程序智能化的提高使越来越多的非专业人员可轻而易举地对企业关键信息造成破坏。电子商务企业的客户信息面临着巨大的安全威胁。制定安全策略,防止客户信息遭到泄密或破坏,成为电子商务企业的关键工作之一。
一、电子商务企业客户信息的重要性
客户信息是电子商务企业进行客户关系管理的重要资源。企业通过客户关系管理系统对客户信息进行统计、分析识别客户资源的占有量、流失、消亡和再生。对企业的产品开发、营销策略、客户服务等起着指导作用,并为决策者进行总体决策提供数据依据。
(一)客户信息是企业产品开发的指导
电子商务企业通过分析客户信息,判断客户的购买力、购买习惯、偏好,以及对产品特性的要求等,总结市场的需求和产品特性,直接指导产品的设计和生产过程,并针对不同客户提供个性化产品。
(二)客户信息是企业营销策略制定的指导
电子商务企业通过分析客户信息,对客户进行分类,制定差异化营销策略。通过对客户信息的挖掘,可以从大量的网站访问者中发现潜在客户,使其成为在册客户;从客户的购买记录中发现忠诚客户,进行个性化营销和服务,留住老顾客。
(三)客户信息是企业客户服务的基础
电子商务企业通过分析客户信息,其成果直接指导客户服务,为客户提供更为切合自己、高满意度的服务行为。而高满意度无疑将会带动新一轮销售行为,使企业的客户资源进入良性的企业价值实现过程中,不断为企业创造利润。
二、电子商务企业面临的客户信息安全问题
客户信息安全是指企业的客户信息不受未经授权的访问、使用、篡改或破坏,主要有三类:保密、完整和即需。保密是人们最常见的问题。中国电子商务研究中心报道,2011年末,中国互联网爆发了有史以来最大的一起网络用户信息泄密事件。2012年1月,有不少被泄露信息的用户发现自己的账户名和密码已被修改,而其中的余额遭到恶意刷干。由此看出客户信息的保密问题涉及到客户的切身利益,已经引起了人们的广泛关注,同时也是电子商务企业最亟待解决的关键问题。客户信息面临的安全问题主要有:
(一)技术方面
服务器及其软件的安全威胁。服务器是整个电子商务活动中最关键的一个环节。
通讯信道的安全威胁。互联网是将电子商务资源和客户连接起来的重要环节。
数据信息存储的安全威胁。电子商务系统使用数据库存储用户数据和商务资料,而现在大多数大型数据库都使用基于用户名和口令的安全措施,这些安全措施是通过权限实施的。
(二)内部管理方面
缺乏网络安全管理制度。一些电子商务企业内部缺乏严密的计算机网络安全制度与策略,没有一套完备的安全管理制度。
缺乏对内部人员的监管。客户信息经过收集、整理、存储、整合,用于企业的各个部门进行管理和决策,涉及信息的人员非常广泛。在企业安全破坏因素中,内部员工泄密占到60%,如图1客户信息泄密渠道所示。
企业员工的流动频繁。人才流动频繁是电子商务企业面临的一大难题。
三、防范措施
面对客户信息安全问题,电子商务企业需要采取安全防护措施,制定并完善安全策略。安全策略的制定既要包括技术方面的网络安全防护体系又要包括企业内部管理制度。计算机网络安全防护体系用于防止电子商务企业网络遭到破坏和保证企业数据存储和传输安全;内部管理制度用于管理企业内部员工,增强他们的职责意识、法律意识,防止企业客户信息从内部泄露。安全策略通常包含以下内容:
(一)技术防护手段
充分利用各种先进的安全技术,如保护主机安全的防火墙技术、系统漏洞检测技术、黑客跟踪技术等,保护数据存储和传输安全的身份认证技术、访问控制技术、密码技术、安全审计技术等,在恶意攻击者和受保护的企业信息资源间建立多道严密的安全防线,增加恶意攻击的难度,并通过增加审核信息的数量跟踪入侵者。
在实施网络安全防范措施时:首先要加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞,选择高效的系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补。
对于数据库的防护,利用数据存储技术加强数据备份和恢复措施,对敏感的设备和数据要建立必要的物理或逻辑隔离措施。对于数据传输过程中信息的安全防护,从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证,对在公共网络上传输的敏感信息采用非对称密钥加密技术进行高强度加密,保障Web站点间信息传输的安全性。对于整个电子商务系统的防护,安装防病毒软件,加强内部网的整体防病毒措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
(二)加强企业内部管理
有了技术保障,可以大大降低电子商务中客户信息的安全威胁。但是如果企业内部管理跟不上,安全设施便形同虚设。为了保障电子商务正常运行,企业要加强内部安全管理,建立系统维护制度,包括审批制度,维护方法、维护内容测试、维护文档编制的规范化制度,维护用机、测试数据域营运机器、实际数据的分割制度,源程序保管控制制度等。
建立信息系统的访问管理制度和操作流程,对员工进行有效地监管。在电子商务信息系统内部建立操作流程规则和职责体系,对信息的访问进行授权和数据接触监管。对于那些对企业的程序和数据具有访问特权的员工,运用信息技术,通过设置操作日志功能和控制程序等来完成监督,从而达到对系统和数据库操作的实时监控和记录,并对日志文件定期进行安全检查和评估,以此避免信息系统故障和客户信息泄漏。
建立和完善人力资源管理制度,保证和提高员工的素质和品行。加强人员素质培训,明确聘用政策和对内对外交流规定等,在一定程度上规避道德风险。建立激励约束机制,提升员工的心理契约,把核心人员及其下属的短期行为长期化,使他们更关注公司长远的发展,以此减少员工的流动性。加强企业员工之间的交流与沟通,创造积极且寻求进步的、支持性的企业文化,提高员工的自我效能和企业凝聚力。
(三)依靠网络安全法律法规
我国在网络安全方面制定了一系列的法律法规,这些法律法规为维护网络安全起到了一定的作用。电子商务企业可以通过法律法规获得政府和行业的保护,同时借鉴电子商务发展水平较高的国家和国际组织的先进经验。重视它们在电子商务发展方面的示范性作用,他们的技术性规范可以直接为我们所用。
由于电子商务企业的安全是多方面的,安全策略需要综合各方面因素,将多种安全措施协同起来,全方位地对企业的资产和客户信息进行保护,以免遭到泄露、破坏或修改。保护好客户利益,也就是保护好企业的利益。
参考文献:
①韩冀东,成栋.电子商务概论[M].中国人民大学出版社,2002
②中国电子商务研究中心.,2012年01月18日17:17
[关键词]云计算 电子商务 中小企业
中图分类号:G250.72 文献标识码:A 文章编号:1009-914X(2014)30-0076-01
随着电子商务的发展,越来越多的中小企业认识到发展电子商务的重要性。电子商务的建设逐步成为中小企业发展不可缺少的一部分,中小企业大力推进电子商务的建设,增加企业营销渠道,已经成为当今中小企业的重要工作。在现代化企业中,电子商务在实际生产应用和管理中占据着重要的战略地位。云计算的飞速发展,为广大的中小企业发展电子商务提供了契机。
1 云计算技术简介
1.1 云计算定义
云计算的概念由Google公司提出,云计算(Cloud Computing)是网格计算、分布式计算、并行计算、网络存储、虚拟化、负载均衡等传统计算机技术和网络技术发展融合的产物。
云计算是一种新型的计算模式,它把IT资源、数据、应用作为服务通过互联网提供给用户。云计算也是一种基础架构管理的方法论,大量的计算资源组成IT资源池,用于动态创建高度虚拟化的资源提供用户使用。这种资源池称为“云”,“计算”指计算应用,在产业和市场中,可以指一切IT应用。
云计算把网络中的各种资源,虚拟成计算机,向用户提供所需的计算资源,即网络成了计算机。用户在使用网络资源时,不需要了解“云”内部的结构和技术,直接使用相关资源。
云计算有三个层次,首先要提供物理的资源,计算、存储、数据,当然还有网络;其次要提供可以开发新的应用,提供新的服务,有新的解决方案的平台。第三是一种服务,服务可以是软件、数据、安全。
1.2 云计算特性
云计算技术具有以下特性:
1)超大规模计算。云具有非常大的规模,Google云计算已经拥有100多万台服务器,Amazon、IBM、微软、Yahoo等的“云”均拥有几十万台服务器,企业“云”一般拥有数百上千台服务器。“云”能赋予用户前所未有的计算能力。
2)虚拟化。云计算支持用户在任意位置、使用各种终端获取应用服务。所请求的资源来自“云”,而不是固定的有形的实体。应用在“云”中某处运行,但实际上用户无需了解、也不用担心应用运行的具置。只需要一台笔记本或者一个手机,就可以通过网络服务来实现我们需要的一切,甚至包括超级计算这样的任务。
3)高可靠性和安全性。云计算提供了最可靠、最安全的数据存储中心,用户不用再担心数据丢失、病毒入侵等麻烦。在“云”的另一端,有全世界最专业的团队来帮你管理信息,有全世界最先进的数据中心来帮你保存数据。同时,严格的权限管理策略可以帮助你放心地与你指定的人共享数据。这样,你不用花钱就可以享受到最好、最安全的服务。
4)通用性。云计算不针对特定的应用,在云的支撑下可以构造出千变万化的应用,同一个“云”可以同时支撑不同的应用运行。
2 中小企业发展电子商务存在的问题
近些年来,我国多数中小企业认识今后发展电子商务的重要意义,并建设了电子商务网站,取得了一定的成效。但中小企业的电子商务无论是从资源利用水平,还是电子商务的基础设施建设程度还处于一个较低的阶段,因而,我国中小企业电子商务的发展仍存在不少问题。
1)对电子商务理解不足。不少中小企业决策人对电子商务的相关知识不太了解,认为发展电子商务是追潮流,实际意义并不大。有的领导甚至对发展电子商务持反对态度,仍然把竞争焦点定位于实体市场,没有充分认识到知识经济时代抢占网络信息虚拟市场的必要。有的了解一些电子商务的企业领导对电子商务的认识也存在片面性问题,认为电子商务就是建立一个企业门户网站,借以宣传企业形象,并未认识到电子商务给企业发展带来的广阔机遇。由于此种现象大量存在,导致中小企业中发展电子商务的企业数量少,而且主要分布在大城市。中小企业没有自己的商务门户网站,了解中小企业产品信息的途径就少,使中小企业在信息化时代将被淘汰。
2)资金投入缺乏。企业发展电子商务需要投入大量的资金用于软、硬件设施的建设,而且其过程是漫长的。对于资金储备不足的广大中小企业而言,在前期投入的资金不能立竿见影的取得成效时,会导致后期资金的投入不足。
3)发展电子商务缺少规划。电子商务平台的建设需要整体的布局和规划,立足于长远发展和协同发展是电子商务建设的重要基础。而我国目前多数中小企业电子商务建设,其规划过程普遍存在电子商务安全考虑不周、电子商务管理是否规范化和电子商务的标准等问题。
4)缺乏专业技术人才。发展电子商务是信息工程和管理工程的有机融合,要将企业电子商务的作用发挥到最大,需要有一批专业信息技术人员的支持。专业的信息人员除掌握信息系统本身的特性外,还必须了解企业本身运作的特点,能够将信息系统与企业的运行很好的结合起来。由于中小企业受企业实力,如资金、奖罚制度、管理水平等制约,很难吸引和培养既懂管理,又懂技术的复合型人才。
3 云计算在中小企业的电子商务中的应用
云计算应用在中小企业的电子商务中,可以有效解决中小企业发展电子商务所面临的资金短缺、缺乏专业技术人才、安全等一系列问题。1)云计算降低了中小企业建设电子商务成本。中小企业可以根据自己实际需要向云计算提供商定制或租用适合自己的应用软件,通过租用方式使用基于Web的软件来管理企业经营活动。而云计算提供商则将应用软件统一部署在服务器或服务器集群上,通过互联网提供软件给中小企业,并负责管理和维护软件。在这种模式下,中小企业不再像传统模式那样花费大量投资用于建设电子商务所需要的硬件、软件、技术人员,而只需要支出一定的租赁服务费用,只要拥有可以上网的终端设备、一个浏览器,将终端设备接入Internet即通过互联网便可以享受相应的硬件、软件和维护服务,并且,在“云”的另一端,有专业的信息技术人员帮忙维护硬件,安装和升级软件,所以不用担心使用的应用软件是否是最新版本,享有软件使用权和不断升级。
2)云计算降低了中小企业对专业信息技术人才的要求。云计算提供开发环境、服务器平台、硬件资源等服务给中小企业,中小企业可以在云计算提供商的基础架构基础上开发程序。云计算能给中小企业带来更高性能、更个性化的服务,能够提供中小企业定制研发的中间件平台,提供应用软件开发、数据库、应用服务器、应用服务。
3)云计算保证电子商务网站的数据安全。随着计算机网络的高速发展,网络上的病毒越来越多和黑客的恶意入侵,使企业数据存储的安全和可靠受到威胁。企业受信息安全问题的困扰越来越多,在信息安全上的投入也越来越大。中小企业使用云计算,将数据存储在“云”端,云计算可以为中小企业电子商务网站提供可靠、安全的数据存储,中小企业不用再担心由于黑客入侵和病毒或者由于硬件的故障而导致数据丢失问题。
4 结束语
云计算技术的快速发展,一方面是虚拟性、数据密集型计算等技术发展的结果;另一方面也是Internet发展不断丰富其应用的必然趋势。当今,虽然云计算在行业标准、数据安全、服务质量和应用软件等方面面临着各种问题,缺乏统一的研究框架体系,但它已经对电子商务的发展产生了深远的影响。
参考文献
关键词:电子商务;网络安全;网络交易;事件类型;安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)02-314-02
On the Security of Electric Buisiness on the Internet
ZHAO Ming, SUN Rong-rong
(School of Software,Central South University, Changsha 410002, China)
Abstract: On the basis of connresponding analysis of security accidents on Internet,writer would give a list of factors which impose great influence on security of electric business development.What's more,writer puts forward application of security technologies,associted with law,pracitce of emergency reaction,construction of security management.
Key words: electric business; security on Internet; trade on internet; affair patterns; security
随着Internet的快速发展,电子商务已经逐渐成为人们进行商务活动的新模式。越来越多的人通过Internet进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出。近年来,网络安全事件不断攀升,电子商务金融成了攻击目标,如网页篡改、网络蠕虫、拒绝服务攻击、特罗伊木马、计算机病毒、网络仿冒等网络安全事件正在大幅攀升,已经成为桎梏电子商务等互联网应用的重要因素。如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为影响到电子商务健康发展的关键性课题。
1 电子商务及交易安全
电子商务,Electronic Commerce,简称EC。电子商务通常是指是在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。电子商务的交易安全就是对交易中涉及的各种数据的可靠性、完整性和可用性进行保护。当许多传统的商务方式应用在 Internet上时,便会带来许多源于安全方面的问题,如传统的贷款和借款卡支付的保证方案及数据保护方法、电子数据交换系统、对日常信息安全的管理等。具体来说包括以下几个方面:
1)数据保密:防止非授权用户获得并使用该数据。
2)数据完整性:确保网络上的数据在传输过程中没有被篡改。
3)身份验证:对网络上的另一个用户进行验证,证实他就是他所声称的那个人。
4)授权:控制谁能够访问网络上的信息并且能够进行何种操作。
5)不可抵赖和不可否认:用户不能抵赖自己曾做出的行为,也不能否认曾经接到对方的信息。
6)软件资源或网址免受病毒的侵害与黑客的攻击。
为了满足这些需求,提高电子商务的安全性,网络和管理技术人员研究和开发了多种网络安全技术和协议,这些技术和协议各自有一定的使用范围,可以提供电子商务交易活动不同程度的安全保障。
2 影响电子商务发展的主要网络安全事件类型
2.1 网络篡改
网络篡改是指将正常的网站主页更换为黑客所提供的网页。这是黑客攻击的典型形式。一般来说,主页的篡改对计算机系统本身不会产生直接的损失,但对电子商务等需要与用户通过网站进行沟通的应用来说,就意味着电子商务将被迫终止对外的服务。对 企业 网站而言,网页的篡改,尤其是含有攻击、丑化色彩的篡改,会对企业形象与信誉造成严重损害。
2.2 网络蠕虫
网络蠕虫是指一种可以不断复制自己并在网络中传播的程序。这种程序利用互联网上计算机系统的漏洞进入系统,自我复制,并继续向互联网上的其它系统进行传播。网络蠕虫的危害通常有两个方面:1)蠕虫在进入被攻击的系统后,一旦具有控制系统的能力,就可以使得该系统被他人远程操纵。其危害一方面是重要系统会出现失密现象,另一方面会被利用来对其他系统进行攻击。2)蠕虫的不断蜕变并在网络上的传播,可能导致网络被阻塞的现象发生,从而致使网络瘫痪,使得各种基于网络的电子商务等应用系统失效。
2.3 拒绝服务攻击
拒绝服务攻击是指在互联网上控制多台或大量的计算机针对某一个特定的计算机进行大规模的访问,使得被访问的计算机穷于应付来势凶猛的访问而无法提供正常的服务,使得电子商务这类应用无法正常工作。
一般来说,这是黑客常用的一种行之有效的方法。如果所调动的攻击计算机足够多,则更难进行处置。尤其是被蠕虫侵袭过的计算机,很容易被利用而成为攻击源,并且这类攻击通常是跨网进行的,加大了打击犯罪的难度。
2.4 特罗伊木马
特罗伊木马(简称木马)是一种隐藏在计算机系统中不为用户所知的恶意程序,通常用于潜伏在计算机系统中来与外界连接,并接受外界的指令。被植入木马的计算机系统内的所有文件都会被外界所获得,并且该系统也会被外界所控制,也可能会被利用作为攻击其它系统的攻击源。很多黑客在入侵系统时都会同时把木马植入到被侵入的系统中。
2.5 网络仿冒(Phishing)
Phishing又称网络仿冒、网络欺诈、仿冒邮件或者钓鱼攻击等,是黑客使用欺诈邮件和虚假网页设计来诱骗收件人提供信用卡帐号、用户名、密码、社会福利号码等,随后利用骗得的帐号和密码窃取受骗者金钱。近年来,随着电子商务、网上结算、网上银行等业务在日常生活中的普及,网络仿冒事件在我国层出不穷,诸如银行网站等多起金融网站被仿冒。网络仿冒已经成为影响互联网应用,特别是电子商务应用的主要威胁之一。
3 安全技术在电子商务中的具体应用
电子商务在功能上要求实现实时帐户信息查询。这就使电子商务系统必须在物理上与生产系统要有连接,这对于电子商务信息系统的安全性提出了更高的要求,必须保证外部网络(Internet)用户不能对生产系统构成威胁。为此,需要全方位地制定系统的安全策略。
3.1 数据通讯的安全性
数据通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全,一定程度上取决于加密的算法和加密的强度。电子商务系统的数据通信主要存在于:①客户浏览器与电子商务Web服务器端的通讯;②电子商务Web服务器与电子商务数据库服务器的通讯;③银行内部网与业务之间的数据通讯。
安全链路在客户端浏览器和电子商务Web服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验证服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。建立SSL链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务顺证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出现进入安全状态的提示。
3.2 应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运动,而不是只有有限的指令子集在特权模式下运动,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。
3.3 用户的认证管理
电子商务中企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。
要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。
3.4 安全管理
为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。对于所有接触系统的人员,按其职责设定其访问系统的最小权限。按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。定期检查日志,以便及时发现潜在的安全威胁。对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。安全实际上就是一种风险管理。任何技术手段都不能保证100%安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。
4 结论
电子商务的安全问题是电子商务的核心问题,而电子商务作为全球商务发展的趋势,将给全球的经济、政治和法律带来深刻的影响,所以研究电子商务的安全问题显得尤为重要。而且为了国家的安全,电子商务系统所涉及到的一些关键技术只能靠自主开发,而不能盲目全盘引进。由此可见,如何构造一个安全的电子商务安全体系,永远是个值得研究的课题。
参考文献:
[1] CNCERT/CC.2005年上半年网络安全工作报告[R].2005.
[2] CNCERT/CC上海分中心.网络欺诈的分析和研究[R].2005.
[关键词]电子商务 会计电算化 “十二五”规划
电子商务是我国快速发展的新兴产业,对国民经济的贡献越来越大。会计电算化是未来电子商务发展的核心基础。因此努力完善电子商务环境中的会计电算化,对我国未来经济的发展有着极为重要的意义。
一、我国电子商务的发展状况及对会计制度的影响
我国的电子商务自1997年起步相对较晚,但发展十分迅速。1997年“首都电子商务工程”的启动和1998年“8848网上超市”的出现,标志着中国的电子商务产业正式诞生。而到2010年上半年,网络购物的交易额已达1112.3亿元,b2b电子商务市场的交易额更是达到了5900亿元,规模达到1.1万亿元。据预测,2011年电子商务的市场规模将达到6.83万亿元,
电子商务的快速发展,对传统会计制度产生了重大冲击,主要表现为:
1.对会计主体假设的影响。传统的企业有较为固定的经济资源和经营场所,企业的结构也相对稳定。而在电子商务时代,会计主体概念的外延不断变化。网络公司没有固定的形态和确定的空间范围。所以必须要用相对的会计主体假设替代现行的会计主体假设,才能准确的确认和计量各会计要素。
2.对持续经营假设的影响。传统的会计形式下,持续经营假设符合企业情况。而在电子商务时代,虚拟公司是临时性组织,其存续期很短。没有在传统企业中费用跨期分摊的问题,所以持续经营假设将不再适用。
3.对会计分期假设的影响。在传统会计报告模式下,信息加工时间较长,所以企业必须分期报告会计信息。而在电子商务时代,财务报告采用实时报告系统,会计信息使用者可以及时从网络上获得最新的财务报告,所以会计分期假设的重要性也大大降低。
4.对货币计量假设的影响。电子商务时代的信息使用者一般希望会计信息系统在提供货币化信息的同时,还能提供企业生产经营活动中的非货币信息,如创新能力、市场占有率等。所以未来会计计量手段将不仅仅局限于货币指标,而会向多元化发展。
此外,电子商务对传统会计的历史成本、谨慎性、权责发生制、相关性、及时性和可比性等原则都产生了冲击,提出了更高的要求。
二、我国会计电算化的发展和存在的主要问题
会计电算化是目前国际范围内会计业务发展的趋势,我国的会计电算化自上世纪八十年代诞生以来,经历了会计核算电算化、会计管理电算化、会计决策支持系统电算化、财务管理网络化四个发展阶段。
在现阶段电子商务领域中的会计电算化遇到了一些问题,主要表现在:
1.电算化会计信息系统仍然是一个封闭式的系统,没有发挥计算机网络和现代通讯技术的作用。当前电算化会计信息系统不能自动通过互联网向股东和管理部门提供综合和明细信息,无法达到电子商务的要求。
2.电算化会计软件仿真手工会计信息系统,削弱了计算机在信息处理方面的优势。“仿真”会计信息系统没有消除会计手工信息系统存在的主观判断因素等固有缺陷,无法实现预测和辅助决策等电子商务迫切需要的功能。
3.会计软件通用性差、集成化程度低。我国会计电算化软件系统初始化工作量大,系统体积大,企业难以增加自己所需要的功能。各核算子系统之间又彼此分隔,缺乏会计数据传输的实用性、一致性和系统性。此外公司内部各系统之间无法进行数据交换、信息共享和控制管理,很难形成整个企业管理信息系统。
4.会计软件开发未能站在企业管理信息化的高度。实行会计电算化的单位大都仅仅把计算机当作高速运算的工具,模拟手工会计模式去完成事后记账、算账、报账以及提供初级管理功能,很少具有事前预测、事中控制、事后分析决策等管理会计功能。
三、“十二五”规划给电子商务背景下的会计电算化带来的机遇
国家“十二五”规划纲要将产业创新定为我国未来经济发展的核心环节,其中提高信息化水平是工作的重点。这就为电子商务的发展提供了有力的政策支持,同时也必将带动会计电算化的发展。未来我国会计电算化进一步发展的推动因素主要包括:
1.软件产业的提升。“十二五”规划纲要提出要发展和提升软件产业,而软件产业是会计电算化的基础。“十二五”期间,我国自主设计研发的会计软件在性能,兼容性方面都有希望得到进一步的提升,从而逐渐满足电子商务的需求。这样不仅可以提高电子商务的经营效率,还能反过来促使更多的电子商务企业运用会计电算化,加快我国网络财务的发展。
2.宽带网络的建设。“十二五”规划指出未来我国信息产业发展的一个重点就是构建宽带、融合、安全的下一代国家信息基础设施。新一代的宽带网络,不仅仅是电子商务进一步发展的基础,也为会计电算化的发展提供了广阔的空间。会计数据、财务报表等信息可以更加快捷、安全的进行传输。企业之间的联系更加紧密,有利于提高会计电算化的集成性和实用性。
3.会计电算化人才的培养。为保障创新能力的提高,国家高度重视对各种创新人才的培养,“十二五”规划纲要中,对这一工作进行了强调。会计电算化在操作中需要精通会计、计算机的复合型人才,在信息化管理过程中也需要具有较强分析能力的人才。目前我国会计电算化不能充分发挥作用的一个关键因素就是人才的匮乏,在“十二五”规划的政策支持下,这一困难在未来有望得到解决。
4.对国际先进经验的吸收。长期以来我国改革开放的重点是对国外资金的吸收,“十二五”规划纲要指出,未来我国开放的重点是吸收国际先进的管理理念、制度、经验,促进体制创新和科技创新。会计电算化在国外的应用,特别是在电子商务领域,已经相当成熟,未来一段时间,我国可以更好的吸收这方面的先进经验,提升国内会计电算化的水平。当然,这可能对我国电算化软件产业带来一定冲击,但从长期来看,更多的竞争有利于推动这一产业走向成熟。
