时间:2023-08-15 17:20:48
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇电子商务安全管理策略范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
1.引言
随着信息技术和Internet的飞速发展,电子商务,特别是通过Internet进行的电子商务成了电子商务应用和发展的主要推动力。然而,由于Internet的高度开放性而随之带来的安全问题,严重影响了电子商务的广泛应用和发展。而目前的各种电子商务安全技术和安全协议的局限性,使得加强对基于Internet的电子商务安全管理策略的研究,有效地对各种电子商务安全技术和安全协议进行有效协调和应用,对于抵挡各种电子商务安全问题的冲击,无疑为人们在电子商务安全技术研究领域之外,提供了一个新的途径和方法。
2.电子商务安全管理策略的制定
2.1制定电子商务安全管理策略的目的
制定电子商务安全管理策略的目的是为了能够有效地保障电子商务系统安全、完整、正常地运行而不受破坏和于扰;能够有序地、客观地鉴别和测试电子商务系统的安全状态;能够对可能存在的风险有一个基本的评估;而当电子商务系统遭受破坏后能够采取及时有效的恢复措施和手段,并且对其所需代价有一定的估计。
对基于Internet的电子商务活动来说,构建一个安全的电子商务网络系统应首先确定其安全管理策略。解决电子商务安全问题,制定电子商务安全管理策略应从物理安全、网络安全、信息安全访问授权、病毒防范、灾难恢复等多角度、多方面考虑。
2.2 电子商务安全管理策略制定原则
电子商务安全管理策略的制定就是针对电子商务系统中所要保护信息的、被攻击的可能性、投入的资金状况等,在电子商务系统管理的整个过程中,根据实际情况具体地对各种电子商务安全措施进行选择。有效的电子商务管理策略可以说是在一定条件下的成本和效率的平衡。虽然电子商务的具体应用环境不同,但我们在制定电子商务安全管理策略时一般都应遵守下面一些原则。
(1)综合性、系统性原则
该原则要求用系统的观点和方法来分析整个电子商务系统的安全问题,要求在综合各方面情况后制定相应的具体可行的安全措施。
(2)平衡分析原则
由于目前技术条件的限制,绝对安全的电子商务系统是做不到的。因此,要在对电子商务系统面临的威胁和可能承担的风险进行充分研究后,再结合目前的技术和资金条件制定相应的安全措旆以达到安全与价值的平衡。
(3)易操作性原则
再好的安全措施,都要由人来完成.因此,如果措施过于复杂,不便操作,那么电子商务系统的安全性也就无从谈起。
(4)适应性和灵活性原则
安全防范措施必须要能够随着电子商务系统性能、技术环境以及安全需求的变化而作出相应的调整以适应安全要求。
(5)多级保护原则
受目前技术条件限制,任何安全措施都有可能被攻破。因此,建立一个多级保护的系统,当其中某一层被破坏时,另外的层次也能起到防护作用。
2.3 电子商务安全管理策略制定步骤
制定电子商务安全管理策略通常都包括以下几个步骤:
(1)确定目标
安全管理策略目标包括电子商务系统中被保护的对象,实现的方法和途径。
(2)明确范围
确定电子商务安全管理策略所要保护的资源范围以及相关保护环境的界定。
(3)争取来自高层管理的支持
来自电子商务系统所属单位的高层支持,对于保障电子商务安全管理措施的顺利运行,以及技术资金上的保证,都有重要的意义。
(4)评估危险
尽可能地对影响电子商务安全的各方面因素考虑周全,对可能存在的危险作出较为准确的评估,以便为制定安全管理策略提供依据。
(5)制定策略
完成前面几个步骤后,接着就根据经济和技术实力确定一个相对满意的安全策略。
(6)策略评估调整
在策略制定后,应评估其是否达到目标,以及当安全需求变化时作出适时的调整。
3.电子商务安全管理策略的基本内容
基于Internet的电子商务安全管理策略涵盖范围很广,一个完整的电子商务安全管理策略一般都可以分为物理安全策略、网络安全策略以及灾难恢复策略等。
3.1物理安全策略
物理安全策略是整个电子商务安全管理策略的不可忽视的重要基础。在基于Internet的电子商务整个交易过程中,对电子商务系统包含的相关物理设备有相当高的安全要求。影响电子商务系统安全的物理安全风险主要有自然灾害风险、人为风险和硬件防护风险。相应的物理安全策略也围绕上述三个物理安全风险展开。
(1)自然灾害安全防范策略
主要包括防火、防水和防雷措施。设备所在场所应避免火灾、水灾的发生并采取相应的隔离措施以保证在意外火灾、水灾下的设备防护。另外,电子商务系统的设备主要由电路组成,因此制定全方位、安全灵活的防雷措6S显得非常有必要。
(2)人为风险防范策略
人为风险包括人为的操作错误引起的安全问题、设备防盗以及计算机犯罪问题等。
人为操作方面引起的风险可以通过建立和健全安全制度来加以防止,同时加强和培育安全意识。对于设备防盗问题,如果资金允许,可以建立较为完善的防盗系统,如果资金不足,可以通过加强内部管理的方法加以解决。对于内外部人员的计算机犯罪问题,一是通过法律途径解决;二是加强自身安全防范。
(3)硬件防护策略
硬件防护包括电磁防护和硬件设备维护。
硬件维护包括服务器及其他相关设备的电源保护、有效的防静电措施以及要抑制和防范电磁泄露与电磁干扰。关于硬件设备维护,如果条件允许,可以增加设备信息保护装置。另外除了日常维护以外,还需要定期对设备进行检修。
3.2网络安全策略
网络安全是电子商务系统安全的核心,需要从技术和管理两方面入手,因此,网络安全策略分为技术策略和管理策略。
(1)技术策略
安装使用网络安全检测设备和相关软件
借助一些专用的网络安全监控设备和软件,加强对各种不法行为的监控和防范。
加强网络访问控制
访问控制是网络安全防范和保护的主要策略。它包括入网访问控制、网络权限控制、网络监测和锁定控制等。
采用防火墙技术
防火墙用来检查通过内部网和外部网间的信息往来,它可以鉴别网络服务请求是否合法,以便采取响应或拒绝的措施。
数据加密
数据加密是采用一定的加密技术,以防在传输过程中数据一旦被截获不致造成信息的泄露,其核心是加密的方式以及密钥的分配和管理。
引入鉴别机制
鉴别是查明另外一个实体身份和特权的过程,以确定其合法性,并作出响应。
(2)管理策略
加强电子商务网络系统的日常管理和维护
建立严格的保密制度
加强对管理人员监督和培训,落实工作责任制
建立跟踪、审计和稽核制度
完善病毒防范制度
建立健全相关法律法规制度
3.3灾难恢复策略
对于电子商务系统来说,灾难主要指意外的自然灾害以及黑客攻击等原因造成数据库受到的破坏。灾难恢复策略是为了在数据资源遭受破坏后迅速恢复系统功能,最大程度地保持数据资源的完整性,将损失降至最低。因此,灾难恢复主要包括备份和恢复两个环节。
(1)灾难备份
确定备份方案
建立数据恢复中心
建立完善的备份制度
(2)数据恢复
评估数据损失情况
确定数据恢复方案
恢复数据
4.结论
对基于Internet的电子商务系统来说,一个完善的安全管理策略,能够保障系统的正常运行;能够有序地、经常地测试安全状态;能够对可能的安全风险有一个基本的评估;能够在系统遭破坏后及时采取补救措施。
基于Internet的电子商务安全所面临的威胁是多种多样的,各种问题还会不断出现,同样,电子商务安全技术和安全协议也是不断发展的,因此,电子商务安全管理策略需要电子商务理论界和实业界进一步研究和完善。
主要参考文献
[1]甘早斌.电子商务概论(第二版)[M].华中科技大学出版社,2003.
[2]钟诚.电子商务安全[M].重庆;重庆大学出版社,2004.6.
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的历史演进与现阶段的特点
信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(Is Audit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法依赖外部的信息安全管理行业
在发达国家,信息系统审计(Is Audit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
1、问题的提出
作为一种新的经济模式,电子商务以高效、便捷、方便的优势和全新的企业经营理念、经营手段、经营环境吸引着广大用户,为世界经济赋予了无限的发展空间。随着电子商务应用范围的日益扩大,针对电子商务的各种犯罪活动也19益猖獗。国内外调查显示…,52.26%的用户最关心的是网上交易的安全可靠性,超过6O%的人由于担心电子商务的安全问题而不愿进行网上购物。加强电子商务实施过程中的安全管理已经成为促进电子商务高速发展的重要因素。
电子商务的安全,可分为技术安全和管理安全两种类型。所谓技术安全,是指通过各种黑客手段窃取企业的用户lD、密码以及相关的机密文件,甚至网络银行帐号、密码等,给企业造成经济损失。而管理安全则是指缺乏对参与电子商务过程中各个环节的人员的管理预防手段,最终导致的电子商务安全事件。从美国的花旗银行和中央情报局到中国的某家国有商业银行,都有过由于内部人员的违规和违法操作,导致数据被篡改和泄密的事件发生。
近几年的电子商务安全案件表明:人员是网上交易安全管理中的最薄弱的环节,近年来我国计算机犯罪大都呈现内部犯罪的趋势,有的竞争对手利用企业招募新人的方式潜入对方企业,或利用不正当的方式收买企业网络交易管理人员。有的电子商务从业人员从本企业辞职后,迅速把客户资料、产品研发成果等机密出售给竞争对手,给企业带来了不必要的经济损失。
2、原因分析
电子商务信息安全已经引起很多企业的重视,但大多数企业往往侧重于加强技术措施,如购买先进的防火墙软件,采用更高级的加密方法等,很多企业认为:员工泄密的安全事故只是偶然现象,很少从人员管理的角度来探讨出现这些事故的根本原因。“重技术、轻管理”是当前很多电子商务企业的通病。由于管理手段不到位,很多先进的安全技术无法发挥应有的效能。之所以出现上述问题,主要有以下原因:
首先,很多企业管理高层对人员管理在信息安全中的地位认识不足。大多数企业将电子商务网络作为一项纯粹的技术工程来实施,企业内部缺乏系统的安全管理策略,只是被动的使用一些技术措施来进行防御,因此电子商务过程中一旦出现突发性事件,往往造成很大的经济损失。现实中没有一个网络系统是完美无缺的,不安全因素随时存在。因此,安全管理措施必须渗透到系统的每一个环节和企业组织的~个层面,只有构建一个人与技术相结合的安全管理体系,才能确保整个电子商务系统得安全。
企业没有从整体上、有计划地考虑信息安全问题。企业各部门、各下属机构都存在“各自为政的局面,缺少统一规划、设计和管理信息安全强调的是整体上的信息安全性,而不仅是某一个部门或公司的信息安全。而各部门、各公司又确实存在个体差异,对于不同业务领域来说,信息安全具有不同的涵义和特征,信息安全保障体系的战略性必须涵盖各部门和各公司的信息安全保障体系的相关内容。
缺少信息安全管理配套的人力、物力和财力。人才是信息安全保障工作的关键。信息安全保障工作的专业性、技术性很强,没有一批业务能力强,且具有信息网络知识、信息安全技术、法律知识和管理能力的复合型人才和专门人才,就不可能做好信息安全保障工作。应该从信息安全建设和管理对信息安全人才的实际需求出发,加快信息安全人才的培养。
企业对员工的信息安全教育不够。员工的信息安全意识薄弱,9O%的安全事故是由于人为疏忽所造成。如有些企业不限制内部人员使用各种高科技信息载体,如U盘、移动硬盘以及笔记本等移动办公设备。
3、加强电子商务安全管理的建议
电子商务信息安全管理实践表明,大多数安全问题是由于管理不善造成的。安全管理是一项系统工程,不仅涉及到企业的组织架构、信息技术、人员素质等各个方面,还牵扯到国家法律和商业规则。企业内部存在着诸多影响信息安全的因素:改变lT系统不等于改变企业的信息安全管理,要使企业信息尽可能的安全,必须在技术投人的基础上融人人在管理方面的智慧i同时,不仅要防外,更要防内,即对组织内部人员的管理。信息安全问题的解决需要技术,但又不能单纯依靠技术。整个电子商务的交易过程,是人与技术相互融合的过程,如何使管理与技术相得益彰十分重要。“三分技术,七分管理”阐述了信息安全的本质。
电子商务的安全管理,就是通过一个完整的综合保障体系,来规避信息传输风险、信用风险、管理风险和法律风险,以保证网上交易的顺利进行。网上交易安全管理,应采用综合防范的思路,一是技术方面的考虑,如防火墙技术、网络防毒、信息加密、身份认证、授权等,但必须明确,只有技术措施并不能完全保证网上交易的安全。二是必须加强监管,建立各种有关的合理制度,并加强严格监督,如建立交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。为了加强企业电子商务的信息安全,我们提出如下建议:
(1)提高网络安全防范意识。
现在许多企业没有意识到互联网的易受攻击性,盲目相信国外的加密软件,对于系统的访问权限和密钥缺乏有力度的管理。这样的系统一旦受到攻击将十分脆弱,其中的机密数据得不到应有的保护。据调查,目前国内90%的网站存在安全问题,其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小,不会成为黑客的攻击目标,如此态度,网络安全更是无从谈起。应该定期由公司或安全管理小组承办信息安全讲座,只有提高网络安全防范意识,才能有效的减少信息安全事故的发生。
(2)建立电子商务安全管理组织体系。
一个完整的信息安全管理体系首先应建立完善的组织体系。即建立由行政领导、IT技术主管、信息安全主管、本系统用户代表和安全顾问组成的安全决策机构。其职责是建立管理框架,组织审批安全策略、安全管理制度,指派安全角色,分配安全职责,并检查安全职责是否已被正确履行,核准新信息处理设施的启用、组织安全管理专题会等。还应建立由网络管理员、系统管理员、安全管理员、用户管理员等组成的安全执行机构。该机构负责起草网络系统的安全策略、执行批准后的安全策略、日常的安全运行和维护、定期的培训和安全检查等。如果需要,还可建立安全顾问机构。安全顾问机构可聘请信息安全专家担任系统安全顾问,负责提供安全建议,特别是在安全事故或违反安全策略事件发生后,可以被安全决策机构指定负责事故(事件)调查,并为安全策略评审和评估提供意见。
(3)制定符合机构安全需求的信息安全策略。电子商务交
易过程中,需要明确的安全策略主要包括客户认证策略、加密策略、日常维护策略、防病毒策略等安全技术方案的选择。安全执行机构应根据本信息网络的实际情况制定相应的信息安全策略,策略中应明确安全的定义、目标、范围和管理责任,并制定安全策略的实施细则。安全策略文档要由安全决策机构审查、批准,并和传达给所有的人安全策略还应由安全决策机构定期进行有效性审查和评估:在发生重大的安全事故、发现新的脆弱性、组织体系或技术上发生变更时,应重新进行安全策略的审查和评估。
(4)人员安全的管理和培训
参与网上交易的经营管理人员在很大程度上支配着企业的命运,他们承担着防范网络犯罪的任务。而计算机网络犯罪同一般犯罪不同的是,他们具有智能性、隐蔽性、连续性、高效性的特点,因而,加强对有关人员的管理变得十分重要。首先,在人员录用时应做好人员鉴别,人员录用或人员职位调整时,一般要签署保密协议。当人员到期离开或协议到期、工作终止时,要审查保密协议。其次对有关人员进行上岗培训,建立人员培训计划,定期组织安全策略和规程方面的培训。第三,落实工作责任制,在岗位职责中明确本岗位执行安全政策的常规职责和本岗位保护特定资产、执行特定安全过程或活动的特别职责,对违反网上交易安全规定的人员要进行及时的处理。第四,贯彻网上交易安全运作基本原则,包括职责分离、双人负责、任期有限、最小权限、个人可信赖性等。
(5)增强法律意识,促进电子商务立法
面对电子商务这种新型的贸易形式,我国目前尚无专门法规可依,使得部分违法犯罪人员没有得到应有的惩罚。近几年里,国家加强了这方面的投入。在全国性的立法文件中,《合同法》的部分条款可以看作是针对电子商务的立法。此外,广东省制定的《广东省电子交易管理条例》这个地方性的法规可以看作是对加快我国电子商务立法的有益探索。《中华人民共和国电子签名法》是对主要用于电子商务活动,电子政务等其他应用应该有新的适用法规。
引言
美国等发达国家,通过Internet进行电子商务的交易已成为潮流。随着internet的发展和网络基础设施的不断完善,我国的电子商务虽已初具规模,但是安全问题却成为发展电子商务亟待解决的问题。电子商务过程中,买卖双方是通过网络联系的,由于internet是开放性网络,建立交易双方的安全和信任关系较为困难,因此本文对电子商务网络支付上的安全问题进行探讨分析。
1、电子商务的概念和特点
1)电子商务的概念:电子商务(ElectronicCommerce)是通过电信网络进行的生产、营销、销售、流通等活动,不仅是指基于因特网上的交易,而且还指利用电子信息技术实现解决问题、降低成本、增加价值、创造商机的商务活动[1]。
2)电子商务的特点:(1)电子商务将传统的商务流程电子化、数字化。不仅以电子流代替了实物流,大量减少了人力物力,降低了成本;而且突破了时间空间的限制,使得交易活动可在任何时间、任何地点进行,大大提高了效率。(2)电子商务使企业能以较低成本进入全球电子化市场,也使中小企业可能拥有与大企业一样的信息资源,提高了中小企业的竞争能力。(3)电子商务重新定义了传统的流通模式,减少了中间环节,使得生产者和消费者的直接交易成为可能,从而一定程度上改变了社会经济的运行方式。(4)电子商务提供了丰富的信息资源,为社会经济要素的重新组合提供了更多的可能,这将影响到社会的经济布局和结构。
2、电子商务安全的技术体系
1)物理安全。首先根据国家标准、信息安全等级和资金状况,制定适合的物理安全要求,并经建设和管理达到相关标准[2]。再者,关键的系统资源(包括主机、应用服务器、安全隔离网闸GAP等设备),通信电路以及物理介质(软/硬磁盘、光盘、IC卡、PC卡等)、应有加密、电磁屏蔽等保护措施,均应放在物理上安全的地方。
2)网络安全。网络安全是电子商务的基础。为了保证电子商务交易顺利进行,要求电子商务平台要稳定可靠,能够不中断地提供服务。系统的任何中断(如硬件、软件错误,网络故障、病毒等)都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
3)商务安全。主要是指商务交易在网络媒介中出现的安全问题,包括防止商务信息被窃取、篡改、伪造、交易行为被抵赖,即要实现电子商务的保密性、完整性、真实性、不可抵赖性。商务安全的各方面也要通过不同的网络安全技术和安全交易标准实现,加解密技术保证了交易信息的保密性,也解决了用户密码被盗取的问题;数字签名是实现对原始报文完整性的鉴别,它与身份认证和审查系统一起可杜绝交易的伪造和抵赖行为。保证电子商务安全的主要技术有:在线支付协议(安全套接层SSL协议和安全电子交易SET协议)、文件加密技术、数字签名技术、电子商务认证中心(CA)。
4)系统安全。主要是保护主机上的操作系统与数据库系统的安全。对于保护系统安全,总体思路是:通过安全加固,解决管理方面安全漏洞;然后采用安全技术设备,增强其安全防护能力。
3、安全管理过程监督
3.1加强全过程的安全管理
1)网络规划阶段,就要加强对信息安全建设和管理的规划。信息安全建设需要投入一定的人力、物力、财力。要根据状况实事求是地确定网络的安全总体目标和阶段目标、分段实施、降低投资风险。
2)工程建设阶段,建设管理单位要将安全需求的汇总和安全性能功能的测试,列入工程建设各个阶段工作的重要内容,要加强对开发(实施)人员、版本控制的管理,要加强对开发环境、用户路由设置、关键代码的检查[3]。
3)在运行维护阶段,要注意以下事项:(1)建立有效的安全管理组织架构,明确职责,理顺流程,实施高效管理。(2)按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。(3)制定完善的安全管理制度,加强信息网的操作系统、数据库、网络设备、应用系统运行维护过程的安全管理。(4)要建立应急预察体系,建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询,还要定期检查日志,以便及时发现潜在的安全威胁。
3.2建立动态的闭环管理流程
网络处于不断地建设和调整中,可能发现新的安全漏洞,因此需要建立动态的、闭环的管理流程。要在整体安全策略的控制和指导下,通过安全评估和检测工具(如漏洞扫描,入侵检测等)及时了解网络存在的安全问题和安全隐患,据此制定安全建设规划和加固方案,综合应用各种安全防护产品(如防火墙、身份认证等手段),将系统调整到相对安全的状态。并要注意以下两点:1)对于一个企业而言,安全策略是支付信息安全的核心,因此制定明确的有效的安全策略是非常重要的。安全组织要根据这个策略制定详细的流程、规章制度、标准和安全建设规划、方案,保证这些系列策略规范在整个企业范围内贯彻实施,从而保护企业的投资和信息资源安全。2)要制定完善的、符合企业实际的信息安全策略,就须先对企业信息网的安全状况进行评估,即对信息资产的安全技术和管理现状进行评估,让企业对自身面临的安全威胁和问题有全面的了解,从而制定针对性的安全策略,指导信息安全的建设和管理工作。新晨
4、结束语
本文分析了目前电子商务网络支付安全方面的主要技术状况,安全技术可以说是网络技术中较为尖端的技术,都是非常先进的技术手段;只要运用得当,配合相应的安全管理措施,基本能够保证电子商务中网络支付的安全;但不是100%的绝对安全,而是相对安全。随着网络安全技术的进步与信用机制的完善,网络支付定会越来越安全。
参考文献
0引言
美国等发达国家,通过Internet进行电子商务的交易已成为潮流。随着internet的发展和网络基础设施的不断完善,我国的电子商务虽已初具规模,但是安全问题却成为发展电子商务亟待解决的问题。电子商务过程中,买卖双方是通过网络联系的,由于internet是开放性网络,建立交易双方的安全和信任关系较为困难,因此本文对电子商务网络支付上的安全问题进行探讨分析。
1电子商务的概念和特点
1)电子商务的概念:电子商务(Electronic Commerce)是通过电信网络进行的生产、营销、销售、流通等活动,不仅是指基于因特网上的交易,而且还指利用电子信息技术实现解决问题、降低成本、增加价值、创造商机的商务活动[1]。
2)电子商务的特点:(1)电子商务将传统的商务流程电子化、数字化。不仅以电子流代替了实物流,大量减少了人力物力,降低了成本;而且突破了时间空间的限制,使得交易活动可在任何时间、任何地点进行,大大提高了效率。(2)电子商务使企业能以较低成本进入全球电子化市场,也使中小企业可能拥有与大企业一样的信息资源,提高了中小企业的竞争能力。(3)电子商务重新定义了传统的流通模式,减少了中间环节,使得生产者和消费者的直接交易成为可能,从而一定程度上改变了社会经济的运行方式。(4)电子商务提供了丰富的信息资源,为社会经济要素的重新组合提供了更多的可能,这将影响到社会的经济布局和结构。
2电子商务安全的技术体系
1)物理安全。首先根据国家标准、信息安全等级和资金状况,制定适合的物理安全要求,并经建设和管理达到相关标准[2]。再者,关键的系统资源(包括主机、应用服务器、安全隔离网闸GAP等设备),通信电路以及物理介质(软/硬磁盘、光盘、IC卡、PC卡等)、应有加密、电磁屏蔽等保护措施,均应放在物理上安全的地方。
2)网络安全。网络安全是电子商务的基础。为了保证电子商务交易顺利进行,要求电子商务平台要稳定可靠,能够不中断地提供服务。系统的任何中断(如硬件、软件错误,网络故障、病毒等)都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
3)商务安全。主要是指商务交易在网络媒介中出现的安全问题,包括防止商务信息被窃取、篡改、伪造、交易行为被抵赖,即要实现电子商务的保密性、完整性、真实性、不可抵赖性。商务安全的各方面也要通过不同的网络安全技术和安全交易标准实现,加解密技术保证了交易信息的保密性,也解决了用户密码被盗取的问题;数字签名是实现对原始报文完整性的鉴别,它与身份认证和审查系统一起可杜绝交易的伪造和抵赖行为。保证电子商务安全的主要技术有:在线支付协议(安全套接层SSL协议和安全电子交易SET协议)、文件加密技术、数字签名技术、电子商务认证中心(CA)。
4)系统安全。主要是保护主机上的操作系统与数据库系统的安全。对于保护系统安全,总体思路是:通过安全加固,解决管理方面安全漏洞;然后采用安全技术设备,增强其安全防护能力。
3安全管理过程监督
3.1加强全过程的安全管理
1)网络规划阶段,就要加强对信息安全建设和管理的规划。信息安全建设需要投入一定的人力、物力、财力。要根据状况实事求是地确定网络的安全总体目标和阶段目标、分段实施、降低投资风险。2)工程建设阶段,建设管理单位要将安全需求的汇总和安全性能功能的测试,列入工程建设各个阶段工作的重要内容,要加强对开发(实施)人员、版本控制的管理,要加强对开发环境、用户路由设置、关键代码的检查[3]。3)在运行维护阶段,要注意以下事项:(1)建立有效的安全管理组织架构,明确职责,理顺流程,实施高效管理。(2)按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。(3)制定完善的安全管理制度,加强信息网的操作系统、数据库、网络设备、应用系统运行维护过程的安全管理。(4)要建立应急预察体系,建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询,还要定期检查日志,以便及时发现潜在的安全威胁。
3.2建立动态的闭环管理流程
网络处于不断地建设和调整中,可能发现新的安全漏洞,因此需要建立动态的、闭环的管理流程。要在整体安全策略的控制和指导下,通过安全评估和检测工具(如漏洞扫描,入侵检测等)及时了解网络存在的安全问题和安全隐患,据此制定安全建设规划和加固方案,综合应用各种安全防护产品(如防火墙、身份认证等手段),将系统调整到相对安全的状态。并要注意以下两点:1)对于一个企业而言,安全策略是支付信息安全的核心,因此制定明确的有效的安全策略是非常重要的。安全组织要根据这个策略制定详细的流程、规章制度、标准和安全建设规划、方案,保证这些系列策略规范在整个企业范围内贯彻实施,从而保护企业的投资和信息资源安全。2)要制定完善的、符合企业实际的信息安全策略,就须先对企业信息网的安全状况进行评估,即对信息资产的安全技术和管理现状进行评估,让企业对自身面临的安全威胁和问题有全面的了解,从而制定针对性的安全策略,指导信息安全的建设和管理工作。
4结束语
本文分析了目前电子商务网络支付安全方面的主要技术状况,安全技术可以说是网络技术中较为尖端的技术,都是非常先进的技术手段;只要运用得当,配合相应的安全管理措施,基本能够保证电子商务中网络支付的安全;但不是100%的绝对安全,而是相对安全。随着网络安全技术的进步与信用机制的完善,网络支付定会越来越安全。
参考文献
[关键词]
计算机;电子商务;网络安全
1计算机网络安全技术在电子商务中的应用优势
现代化计算机技术主要是根据电子商务行业的特点,主要运用在认识、实验、生产等过程中,能够充分反映电子商务行业的发展过程,使得电子商务技术人员能够在发展环境中高效进行技术创新,进而激发电子商务人员进行技术创新。由于计算机网络资源主要有硬件资源和软件资源这两类,因而优化和合理配置计算机网络软件资源,对提升计算机软件的监控、管理和维护工作具有重要的实践意义。优化和创新计算机安全管理软件有利于实现计算机安全工作的合理组织,为计算机网络发展提供了完整的逻辑功能,有利于优化计算机网络安全环境,提高计算机人员的创新意识和能力,提高电子商务人员的专业素质和综合素质,有利于培养计算机技术人员在实践中发现安全问题的意识和解决问题的能力。
2电子商务中计算机网络安全的现状
电子商务中计算机网络安全问题主要有电子商务技术人员的综合素质较低,电子商务技术人员的执行力度比较弱,导致收益较少。具体而言,由于电子商务普遍存在计算机网络安全问题,因而使得电子商务人员对电子商务应用体系的构建和完善很难形成完整的认识,这十分不利于电子商务技术人员专业素质的提高。大多数技术人员在应用计算机网络技术的过程中,往往缺乏实践经验和清晰的思路。作为发展世界经济的主导性产业的电子商务产业,其电子商务中计算机网络安全技术改革虽然开启了研发空间,但是也存在电子商务中计算机网络安全功能指标不断下降的问题,严重限制了电子商务的技术创新手段,无法实现对电子商务中计算机网络安全技术服务平台的安全管理,严重制约了电子商务信息资源的有效传播。
3推进电子商务中计算机网络安全改革的必要性
随着电子商务中计算机网络安全技术的快速发展,完善电子商务中计算机网络安全技术设备的日常管理工作,有利于使电子商务充分利用计算机技术的相关资源。为了满足电子商务的发展需求,计算机网络安全技术设备的资源必须是优秀可靠的,重视电子商务中计算机网络安全设备的日常维护工作,建立一个可靠合理的电子商务计算机网络安全管理机制变得至关重要。为了保障电子商务中计算机网络安全技术在一种稳定有效的环境中推广运用,电子商务行业应当进一步提高电子商务中计算机网络安全技术人员的技术水准,使得技术人员能够熟练掌握各种计算机网络安全仪器设备的使用方法,实现电子商务中计算机网络安全技术设备维修管理的合理性,推动电子商务中计算机网络安全技术的改革,有利于保证我国电子商务的持续快速发展。
4电子商务中计算机网络安全的创新策略
4.1完善电子商务中计算机网络安全的操作规范和流程完善电子商务中计算机网络安全技术改革的操作规范和流程,有利于提高电子商务中计算机网络安全技术功能,提高电子商务中计算机网络安全信息传输的效率,实现与电子商务中计算机网络安全技术的高度融合。合理配置电子商务中计算机网络信息资源,优化我国电子商务中计算机网络安全技术的创新工作,对提升我国电子商务中计算机网络安全技术的运行效率至关重要。因而,必须优化电子商务中计算机网络安全技术改革的信息传输、定位工作,实现电子商务中计算机网络安全管理流程的不断完善。要求电子商务中计算机网络安全技术人员做好改革的计划和调查工作,合理编制电子商务中计算机网络安全技术改革的建设方案和流程。电子商务中计算机网络安全技术人员在进行改革过程中,应当明确分工,严格按照电子商务中计算机网络安全技术改革计划,促进电子商务中计算机网络安全技术改革的项目建设和验收、评价等工作的顺利进行。
4.2提升我国电子商务中计算机网络安全技术的整体质量为了实现我国信息网络技术与高效智能化电子商务中计算机网络安全技术的完美接轨,电子商务中计算机网络安全技术的管理人员应当在满足社会成员对电子商务中计算机网络结构的规模化需求条件下,不断完善电子商务中计算机网络安全技术的质量控制,实现电子商务中计算机网络传送数据的完整性和信息的安全性。因而,电子商务中计算机网络安全管理人员在提升计算机网络服务质量的同时,不能忽略电子商务中计算机网络安全技术发展的实际情况,应不断引导电子商务中计算机网络安全技术人员严格遵守计算机网络安全技术规程,不断引入现代化的计算机网络安全技术,保障我国电子商务中计算机网络安全技术改革的质量,适时融入到电子商务中计算机网络安全的管理和制度建设过程中,提升电子商务中计算机网络安全技术人员的专业性。
5结语
综上所述,电子商务中计算机网络安全技术的科学化和信息化建设对完善我国电子商务中计算机网络安全的改革策略至关重要。为了实现电子商务中计算机网络安全技术改革的科学化和现代化目标,保证电子商务中计算机网络安全信息高质量地传送,不仅有利于有效保障电子商务中计算机网络安全设备的安全运行,为未来电子商务中计算机网络安全技术的发展指明道路,还有利于提高电子商务中计算机网络安全技术的效率,促进电子商务中计算机网络安全技术的全面提高。
[参考文献]
[1]李嘉欣.电子商务中计算机网络安全改革的未来发展策略[J].科学技术,2014(11).
电子商务是通过电子方式处理和传递数据,包括文本、声音和图像,它涉及许多方面的活动,包括货物电子贸易和服务、在线数据传递、电子资金划拨、电子证券交易、电子货运单证、商品拍卖、合作设计和工程、在线资料、公共产品获得等内容。电子商务的发展势头非常惊人,但它的产值在全球生产总值中却只占极小的一部分,原因就在于电子商务的安全问题,美国密执安大学的一个调查机构通过对23000名因特网用户的调查显示:超过60%的人由于担心电子商务的安全问题而不愿意进行网上购物。因此,从传统的基于纸张的贸易方式向电子化的贸易方式转变过程中,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为影响到电子商务健康发展的关键性课题。
一、与网络安全相关的因素
网络安全从本质上讲就是网络上信息的安全,包括静态信息的存储安全和信息的传输安全。从广义上讲,凡是涉及网络上信息的保密性、完整心、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。因此为保证网络的安全,必须保证一下四个方面的安全:
1.运行系统的安全;
2.网络上系统信息的安全;
3.网络上信息传播安全;
4.网络上信息内容的安全。
为了保证这些方面的安全,大家通常会使用一些网络安全产品,如防火墙、VPN、数字签名等,这些安全产品和技术的使用乐意从一定程度上满足网络安全需求,但不能满足整体的安全需求,因为它们只能保护特定的某一方面的,而对于网络系统来讲,它需要的是一个整体的安全策略,这个策略不仅包括安全保护,它还应该包括安全管理、实时监控、响应和恢复措施,因为目前没有绝对的安全,无论你的网络系统布署的如何周密,你的系统总会有被攻击和攻破的可能,而这时你会怎么半呢?采用一些恢复措施,帮助你在最短的时间使网络系统恢复正常工作恐怕是最主要的了。因此在构筑你的网络安全解决方案中一定要注重一个整体的策略,下面我们将介绍一种整体的安全构架。
二、电子商务安全的整体构架
我们介绍的电子商务构架概括为“一个中心,四个基本点”。一个中心就是以安全管理为中心,四个基本点是保护、监控、响应和恢复。这样一种构架机制囊括了从保护到在线监控,到响应和恢复的各个方面,是一种层层防御的机制,因此这种构架可以为用户构筑一个整体的安全方案。
1.安全管理。安全管理就是通过一些管理手段来达到保护网络安全的目的。它所包含的内容有安全管理制度的制定、实施和监督,安全策略的制定、实施、评估和修改,以及对人员的安全意识的培训、教育等。
2.保护。保护就是采用一些网络安全产品、工具和技术保护网络系统、数据和用户。这种保护可以称作静态保护,它通常是指一些基本防护,不具有实时性,因此我们就可以在防火墙的规则中加入一条,禁止所有从外部网用户到内部网WEB服务器的连接请求,这样一旦这条规则生效,它就会持续有效,除非我们改变了这条规则。这样的保护可以预防已知的一些安全威胁,而且通常这些威胁不会变化,所以称为静态保护。
3.监控/审计。监控就是实时监控网络上正在发生的事情,这是任何一个网络管理员都想知道的,审计一直被认为是经典安全模型的一个重要组成部分。审计是通过记录下通过网络的所有数据包,然后分析这些数据包,帮助你查找已知的攻击手段,可疑的破坏行为,来达到保护网络的目的。
监控和审计是实时保护的一种策略,它主要满足一种动态安全的需求。因为网络安全技术在发展的同时,黑客技术也在不断的发展,因此网络安全不是一层不变的,也许今天对你来说安全的策略,明天就会变得不安全,因此我们应该时刻关注网络安全的发展动向以及网络上发生的各种各样的事情,以便及时发现新的攻击,制定新的安全策略。有些人可能会认为这样就不需要基本的安全保护,这种想法是错误的,因为安全保护是基本,监控和审计是其有效的补充,只有这两者有效结合,才能够满足动态安全的需要。
4.响应。响应就是当攻击正在发生时,能够及时做出响应,职向管理员报告,或者自动阻断连接等,防止攻击进一步的发生。响应是整个安全架构中的重要组成部分,为什么呢?因为即使你的网络构筑的相当安全,攻击或非法事件也是不可避免的要发生的,所以当攻击或非法事件发生的时候,应该有一种机制对此做出反应,以便让管理员及时了解到什么时候网络遭到了攻击,攻击的行为是什么样的,攻击结果如何,应该采取什么样的措施来修补安全策略,弥补这次攻击的损失,以及防止此类攻击再次发生。
5.恢复。当入侵发生后,对系统赞成了一定有破坏,如网络不能正常工作、系统数据被破坏等,这时,必须有一套机制来及时恢复系统正常工作,因此恢复电子商务安全的整体架构中也是不可少的一个组成部分。恢复是归终措施,因为攻击既然已经发生了,系统也遭到了破坏,这时只有让系统以最快的速度运行起来才是最重要的,否则损失将更为严重。
三、安全架构的工作机制
在这处安全架构中,五个方面是如何协调工作的呢?下面将以一个例子一介绍。假设有一个黑客欲攻击一内部网,这个内部网整体安全架构就如前面介绍的一样,那么现在让我们来看看这个安全架构是如何工作来抵制黑客的。
1.当这处黑客开始缶内部网发起攻击的时候 ,在内部网的最外面有一个保护屏障,如果保护屏障可以制止黑客进入内部网,那么内部网就不可能受到黑客的破坏,别的机制不用起作用,这时网络的安全得以保证。
2.黑客通过继续努力,可能获得了进入内部网的权力,也就是说他可能欺骗了保护机制而进入内部网,这时监控/审计机制开始起作用,监控/审计机制能够在线看到发生在网络上的事情,它们能够识别出这种攻击,如发现可疑人员进入网络,这样它们就会给响应机制一些信息,响应机制根据监控/审计结果来采取一些措施,职立刻断开断开这条连接、取消服务、查找黑客通过何种手段进入网络等等,来达到保护网络的目的。
在互联网信息技术飞速发展的大背景下,电子商务(简称EC,英文为Electronic Commerce)已逐步演变成人们惯用的商务活动模式,从事互联网商业活动的人越来越多。与传统商务活动对比,在B/S方式下运转,两大主体完成商品交易不受时间和空间的限制,这也是电子商务是最大特点。
现如今,我国正处于网络经济蓬勃发展的黄金时代,各个领域中电子商务的普及度较高。新型的商业活动形式建立在网络的基础上,保证了商业活动的便捷性和高效性。不过电子商务在对企业运管效率进一步提升的同时,使企业的面临着病毒侵入、黑客攻击、信息抵赖等问题,导致企业蒙受巨大亏损。所以,高度关注安全问题,才能保证电子商务平台利用率提高。本论文以有关电子商务环境为切入点,对展开电子商务活动中出现的信息安全问题进行分析,并给出对应的方法和策略。
1 电子商务中网络信息安全所存在的问题
1.1 电子商务网络存在的问题
1.1.1 黑客攻击
黑客对网络进行攻击是以偷取商业机要和搅扰系统正常运转为目的,以下是常见的攻击策略:窃听;重发攻击;迂回攻击;假冒攻击;越权攻击等。
1.1.2 系统漏洞
侵入到电商系统人员以系统自身存在的安全漏洞为据,将操作系统数据的权限得到。然而,管理系统未实时打补丁或者在设置安全方面一直选取默认设置等原因造成系统产生漏洞。
1.2 电子商务信息存在的问题
1.2.1 电子商务信息存储安全隐患
在静态时储存电商信息的安全即信息储存安全。其信息安全隐患主要包括:篡改信息内容和非授权调用信息。
1.2.2 电子商务信息传输安全隐患
在运转电子商务时,资金流、物流汇集成信息流之后传送流程中的安全即信息传送安全。它主要涵盖以下四种安全隐患:
(1)盗取商业机密。大部分是以明文的形式来传送电子商务信息,那么袭击网络的不法分子就极易截取或者监听电商信息;
(2)对商务网站施以攻击。攻击者运用计算机病毒传送,屏蔽掉电商网站设置的防火墙,更改信息,使网站瘫痪;
(3)实行商务欺诈。非法人员将虚假信息到Internet上去,诈骗现金、账号,导致用户信任电子商务活动的信赖度降低,在很大程度上对电子商务顺利开展起阻碍作用;
(4)不良信息的传送。非法人员为了实现自己的目标,把不良信息渗透到电子商务信息中。
2 应对电子商务中信息安全问题的对策
2.1 提高网络信息安全意识
相比于西方l达国家,国内用户网络信息安全意识薄弱,忽视了自我权益的保护。再加上我国尚未建立完善的网络信息安全监管机制,出现安全事件之后无法及时采取相应的补救措施,这些都是威胁信息安全的主要因素。故此,在信息安全中,防范人为因素导致信息非安全问题是重要内容。解决这一问题的关键在于为从事电子商务的用户展开安全知识培训活动,确保用户充分认识信息安全的重要性,对信息安全常识了如指掌,进而降低电子商务中产生信息安全事件的几率。
2.2 加强信息安全的技术防范
将来网络安全技术会在计算机网络所有层次中渗透,不过以电子商务安全防范技术为中心的网络技术成为最近几年研究的重要方向。以我国电子商务出现的安全问题为依据,可采取防火墙、虚拟专用网及认证、加密、安全审计、追踪黑客、检测系统漏洞等技术应对信息安全。另外还可以将加密路由器、翻译网络地址、动态包过滤、VPN等技术充分运用起来,确保构建一系列严实的安全防线将受保护资源与攻击人员隔开。
2.3 强化网络信息安全管理
信息安全管理在我国来说十分薄弱,面临着管理能力弱且信息安全意识极其欠缺的问题。政府授权的第三方认证中心构建是电商信息安全管理中形式有效的一个方式,即用该认证中心来负责电子商务交易中的两者主体的信息安全,保证整个交易流程的安全性和可靠性。
2.4 完善电子商务立法与信息安全立法
当前,我国正处于电子商务信息机制初级阶段,只有在信用法制建设深入强化的大环境中,才能确保信息机制最大限度的施展其能力。故此,应当以国内电子商务安全问题为依据,不但要使现行法律的管理范畴扩大和加强,还要加大信息安全与电子商务立法的力度。另外还应当对第三方信用保证进行设置并使其得到强化,务必由商务、商检认证中心、银行共同协作才可确保交易不受阻碍。
3 结束语
本文以电子商务信息安全有关环境为切入点,对电商中出现的网信问题进行探析,并将用户网信安全意识增强、加大网信安全管理力度、加大防范信息安全技术应用力度、健全信息安全和电子商务立法这四种策略,以期解决电子商务中出现的安全问题。电子商务安全性是一项庞大、系统的工程,要从技术和法律上加大保护力度,只有将电商中出现的所有安全问题一并处理好才能使电子商务更好的服务于用户。
参考文献
[1]田迎华,杨敬松,周敏.3G时代移动电子商务安全问题研究[J].情报科学,2010(10):1487-1490.
[2]王立萍.商业银行电子商务安全风险管理研究[J].中南财经政法大学学报,2007(01):75-79+144.
[3]张滨,冯运波,吴秦建,江为强,乔矗王馨裕,杨明,何鹏.移动电子商务安全技术与应用实践[J].通信学报,2016(04):200.
[4]孙鸿飞,张海涛,宋拓,武慧娟.电子商务个性化信息服务用户满意影响因素实证研究[J].情报杂志,2016(04):195-203.
[5]何培育.电子商务环境下个人信息安全危机与法律保护对策探析[J].河北法学,2014(08):34-41.
[6]王兴泉,张宁.移动电子商务时代的信息安全与信息保护[J].兰州学刊,2014(12):175-180.
电子商务源于英文ELECTRONIC COMMERCE,指的是利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动。
作为一种全新的商务模式,它有很大的发展前途,同时,这种电子商务模式对管理水平、信息传递技术都提出了更高的要求,其中安全体系的构建又显得尤为重要。如何建立一个安全、便捷的电于商务应用环境,对信息提供足够的保护,是商家和用户都十分关注的话题。防火墙、VPN、数字签名等,这些安全产品和技术的使用可以从一定程度上满足网络安全需求,但不能满足整体的安全需求,因为它们只能保护特定的某一方面,如防火墙的最主要的功能就是访问控制功能,VPN可以实现加密传输,数字签名技术可以保证用户身份的真实性和不可抵赖性等等。而对于网络系统来讲,它需要的是一种整体的安全策略,这个策略不仅仅包括安全保护,它还应该包括安全管理、实时监控、响应和恢复措施,因为目前没有绝对的安全,无论你的网络系统布署的如何周密,你的系统总会有被攻击和攻破的可能,而这时你会怎么办呢?采取一些恢复措施,帮助你在最短的时间使网络系统恢复正常工作恐怕是最主要的了。
防火墙、VPN、数字签名等,这些安全产品和技术的使用可以从一定程度上满足网络安全需求,但不能满足整体的安全需求,因为它们只能保护特定的某一方面,如防火墙的最主要的功能就是访问控制功能,VPN可以实现加密传输,数字签名技术可以保证用户身份的真实性和不可抵赖性等等。而对于网络系统来讲,它需要的是一种整体的安全策略,在系统被攻击导致瘫痪时,以最快的速度使网络系统恢复正常工作是最主要的。因此在构筑你的网络安全解决方案中一定要注重一个整体的策略,下面我们将介绍一种整体的安全架构。
一、整体架构
这里我们介绍一种电子商务安全整体架构,该架构可以概括为一句话“一个中心,四个基本点”,一个中心就是以安全管理为中心,四个基本点是保护、监控、响应和恢复。这样一种架构机制囊括了从保护到在线监控,到响应和恢复的各个方面,是一种层层防御的机制,即使第一道大门被攻破了,还会有第二道、第三道大门,即使所有的大门都被攻破了,还有恢复措施,因此这种架构可以为用户构筑一个整体的安全方案。
安全管理是中心,它渗透到四个基本点中去,而这四个基本点各占据电子商务安全的四个方面,即保护、监控、响应和恢复。安全管理指导四个基本点的工作,四个基本点体现和完成安全管理的任务,它们相辅相成,构成一个完整的体系,满足电子商务安全的整体需求。
1.安全管理
安全管理就是通过一些管理手段来达到保护网络安全的目的。它所包含的内容有安全管理制度的制定、实施和监督,安全策略的制定、实施、评估和修改,以及对人员的安全意识的培训、教育等。
2.保护
保护就是采用一些网络安全产品、工具和技术保护网络系统、数据和用户。这种保护可以称作静态保护,它通常是指一些基本防护,不具有实时性,如在制定的安全策略中有一条,不允许外部网用户访问内部网的Web服务器,因此我们就可以在防火墙的规则中加入一条,禁止所有从外部网用户到内部网Web服务器的连接请求,这样一旦这条规则生效,它就会持续有效,除非我们改变了这条规则。这样的保护可以预防已知的一些安全威胁,而且通常这些威胁不会变化,所以称为静态保护。
3.监控/审计
监控就是实时监控网络上正在发生的事情,这是任何一个网络管理员都想知道的。审计一直被认为是经典安全模型的一个重要组成部分。审计是通过记录下通过网络的所有数据包,然后分析这些数据包,帮助你查找已知的攻击手段、可疑的破坏行为,来达到保护网络的目的。
监控和审计是实时保护的一种策略,它主要满足一种动态安全的需求。因为网络安全技术在发展的同时,黑客技术也在不断的发展,因此网络安全不是一层不变的,也许今天对你来说安全的策略,明天就会变得不安全,因此我们应该时刻关注网络安全的发展动向,以及网络上发生的各种各样的事情,以便及时发现新的攻击,制定新的安全策略。有些人可能会认为这样就不需要基本的安全保护,这种想法是错误的,因为安全保护是基本,监控和审计是其有效的补充,只有这两者有效结合,才能够满足动态安全的需要。
4.响应
响应就是当攻击正在发生时,能够及时做出响应,如向管理员报告,或者自动阻断连接等,防止攻击进一步的发生。响应是整个安全架构中的重要组成部分。因为即使你的网络构筑的相当安全,攻击或非法事件也是不可避免的要发生的,所以当攻击或非法事件发生的时候,应该有一种机制对此做出反应,以便让管理员及时了解到什么时候网络遭到了攻击,攻击的行为是什么样的,攻击的结果如何,应该采取什么样的措施来修补安全策略,弥补这次攻击的损失,以及防止此类攻击再次发生。
5.恢复
当入侵发生后,对系统造成了一定的破坏,如网络不能正常工作、系统数据被破坏等,这时,必须有一套机制来及时恢复系统正常工作,因此恢复在电子商务安全的整体架构中也是不可少的一个组成部分。恢复是最终措施,因为攻击既然已经发生了,系统也遭到了破坏,这时只有让系统以最快的速度运行起来才是最重要的,否则损失将更为严重。
二、安全架构的工作机制
在这个安全架构中,五个方面是如何协调工作的呢?下面将以一个例子来介绍。假设有一个黑客欲攻击一内部网,这个内部网整体安全架构就如前面介绍的一样,那么现在让我们来看看这个安全架构是如何工作来抵制黑客攻击得。
首先,当这个黑客开始向内部网发起攻击的时候,在内部网的最外面有一个保护屏障,如果保护屏障可以制止黑客进入内部网,那么内部网就不可能受到黑客的破坏,别的机制就不用起作用,这时网络的安全得以保证。
随后,黑客通过继续努力,可能获得了进入内部网的权力,也就是说他可能欺骗了保护机制而进入内部网,这时监控/审计机制开始起作用,监控/审计机制能够在线看到发生在网络上的任何事情,它们能够识别出这种攻击,如发现可疑人员进入网络,这样它们就会给响应机制一些信息,响应机制根据监控/审计结果来采取一些措施,如立刻断开这条连接、取消服务、查找黑客通过何种手段进入网络等等,来达到保护网络的目的。
最后,黑客通过种种努力,终于进入了内部网,如果一旦黑客对系统进行了破坏,这时及时恢复系统可用将是最主要的事情了,这样恢复机制就是必须的了。当系统恢复完后,又是新一轮的安全保护开始了。
而安全管理是如何体现出来的呢?安全管理在这个过程中一直存在,因为这四个基本点是借用安全工具来实现安全管理的,这四个基本点运行的好坏,直接和安全管理相关,比方说在保护这个基本点上,如果制定的安全保护策略周到详细,也许黑客就没有进入内部网的可能。所以安全管理是中心,四个基本点是安全管理的实施体现和实现。
这种架构是保护了从攻击的开始到结束的各个方面的安全的架构,它是依照攻击的顺序,在每个攻击点上都有保护措施,从而实现了电子商务安全的整体架构。
三、结束语
电子商务领域的安全问题一直是备受关注的问题,因此如何更好的解决这个问题是推进电子商务更好更快发展的动力。但是因为安全问题是不断发展变化的,所以解决安全问题的手段也会不断变化,但变化中有不变,这就是说要解决的根本问题是不变的,所以应用这种架构来保证电子商务的安全无疑是有效的。
参考文献:
[1]陈月波:电子商务概论.北京:清华大学出版社,1998
[2]林涛:网络安全与管理.电子工业出版社,1999
[3]劳帼龄:电子商务的安全技术.中国水利水电出版社,2000
[4]黄允聪林东:网络安全基础.北京:清华大学出版社,1998
[5]樊成丰林东:网络信息安全&PGP加密.北京:清华大学出版社,1999
1 引言
随着互联网的快速发展,人们的生活方式有了非常大的改变,对应的经济社会也受到了巨大的影响。在商业贸易领域,因为网络的快速发展,产生了电子商务这样一种贸易方式。但是电子商务也是经历了一番坎坷的,因为网络的特殊性,在电子商务发展中产生了交易安全的问题,对电子商务的稳定发展带来了一定的冲击。internet网是一个互连通的自由空间,一些人常常会因为某些目的攻击电子商务网站,比如盗窃资金、商业打击、恶作剧等,导致有些企业的电子商务网站贸易交流受损、服务暂停,甚至出现资金被盗的现象。据有关数据的统计,美国每年因为网络安全问题在经济上造成的损失就达到近百亿美元,而国内的情况也不容乐观。因此,当我们在享受互联网给生活带来的这些好处的时候,网络的安全问题,早已变成电子商务的重大难题,给电子商务企业的发展带来了极大的阻碍。所以,计算机网络安全是电子商务发展过程中所面临的重大挑战和问题。电子商务企业必须从维护顾客利益和自身利益出发,做好安全防范和自身安全管理工作,才能得到持续快速的发展。
2 电子商务面对的网络安全问题
当前,电子商务安全问题受到多方面的影响,不但有技术管理的问题,而且也有网络缺陷的因素,具体地说,直接原因有以下几点:
2.1 网络“黑客”侵犯电子商务网站
网络黑客是专门在网络中利用本身掌握的技术非法强行进入他人网站后台的人,这类人具有高超的网络技术,能够不受电子商务网站技术防护的限制。许多“黑客”篡改内容信息、破坏网站;盗取商户或企业的账户资金,极大地影响了电子商务的正常进行。
2.2 电子商务软件有漏洞
许多软件研发单位研发的技术不成熟的电子商务软件,存在许多安全漏洞,防护极易被外来入侵者利用漏洞攻破,导致电子商务企业受到很大的经济损失;有的企业即使安装了防护软件,但由于软件没有得到及时升级,致使软件丧失了应有防护功能。
2.3 电子商务网络自身存在安全问题
网络具有共享性、开放性等特点,它的设计原则是确保信息传输不会受到局部损坏的影响。所以,对网站安全带来了极大的隐患。特别是对电子商务企业情况更加严峻。
2.4 网站管理的缺失
由于电子商务企业缺乏警惕性,不重视网络安全的管理,通常只有在受到攻击以后才会去加强网站安全;部分企业则以为只要安装了入侵监测系统、杀毒软件、防火墙等安全产品,就能保障网站的安全,所以没有根据企业实际情况制定相应的管理制度,也没有加强技术防范,给入侵者提供了机会。
3 应对的措施
电子商务安全问题是在网络化、电子化技术发展的前提下出现的,所以很多传统的解决办法不能简单地应用过来。电子商务企业想要取得效益,就要从企业的健康发展出发,改善企业的安全管理,提高技术投入。具体的防范措施有:
3.1 安全技术管理需要加强
需要重视电子商务网站的维护、升级等方面,做好每天的安全备份,加强网站服务器的管理。制定安全防范预案,只要发生安全事件,能够得到尽快解决,从而减少损失。使用权威性较强的安全防护软件,并能够正常启动、正常升级,发挥应有的防护功能。
3.2 在电子安全方面扩大管理和技术投入
企业需要加大安全方面的资金投入,购买技术防护设备,加大对技术改造与设备更新的投入。引进安全管理的相关技术,招聘相应的管理人才,并进行适当的待遇倾斜,确保安全管理团队的稳定。
3.3 使用密码管理技术
电子商务中最重要的防范环节是密码管理,要使用先进的密码管理手段,确保能发挥特定的功能,重点有交易信息安全、身份认证安全和账户安全等。
3.4 电子商务企业自身的管理需要得到强化
安全技术是电子商务企业的首要防范措施,但发挥其作用的关键还是严密的管理,只有建立完善的安全防范管理系统,才能保证企业的安全。所以电子商务企业,需要制定安全防护制度,保证明确职责;要有奖惩制度,责任事故的时候,能够做到及时追究,提高技术管理人员的责任意识。
4 总结
总的说来,电子商务企业的安全问题,表面上像是计算机网络的安全问题,但主要还是在于企业的制度建设、安全管理和重视程度等情况。企业不当的安全管理,不仅会发生企业账户资金被盗的问题,甚至有可能地客户的利益造成损害,让客户对电子商务企业不再信任。电子商务企业维护客户市场的关键是信誉度,所以,应当重视网络安全,克服网络技术自身的弊端,使企业能得到持续稳定的贸易发展。
参考文献:
[1] 祁明.电子商务实用教程[m].北京:高等教育出版社,2006.
[2] 陈辉.浅谈电子商务的安全与技术保障[j].河南教育学院学报(自然科学版),2006(01).