第一篇:电子商务网站论文 论电子商务的安全问题及应对措施
《网站建设与管理》课程论文
浅谈电子商务网站的安全问题及应对措施
浅析电子商务网站的安全问题及应对措施
[摘 要] 随着Internet的飞速发展,电子商务已经成了企业网络营销的主要手段,它的高效率为企业带来了巨大的方便,越来越多的企业投入巨大的人力、物力进行电子商务网站建设,运用电子商务网站与供应商或客户建立关系,以最快的速度相互沟通,从而提高企业在市场中的竞争力。而电子商务网站的安全是电子商务网站可靠运行并有效开展电子商务活动的基础和保证,安全问题不容忽视。本文分析了电子商务网站主要存在的一些安全问题,并从技术和管理的角度阐述了相应的应对措施。
[关键字]电子商务;网站;安全技术;安全管理
随着互联网的不断普及与发展,企业在互联网上建立自己的网站,不仅可以向世界展示自己的企业风采,使企业能够在公众知名度上有一定的提升,更能通过网站进行企业的内部管理和开展电子商务活动。因此,如何提高网站的安全,抵抗黑客非法入侵,避免企业信息泄漏给企业带来的损失是目前电子商务网站建设与管理中的重要一环,值得重视。
二、电子商务网站的主要安全问题
(一)网站访问的安全问题
网站要实现其电子商务的功能,前提是具有可访问性。因此,网站的访问安全是要最先考虑的问题。互联网的开放性提供了企业一个良好的经营平台,但也给病毒提供了很好的传播平台。互联网上病毒无处不在,计算机病毒是具有破坏功能的可以自我复制的程序,它利用自身的隐蔽性和传播性,在互联网上横行肆意,悄无声息的窃取电子商务活动中的信息,或者是破坏系统或数据,造成网站瘫痪。
目前,任何电子商务网站本身和绝大多是的应用软件都是有漏洞的,漏洞是在硬件、软件、协议的具体实现、具体使用或系统安全策略上存在的缺陷,可以使攻击者能在未授权的情况下访问或破坏系统。漏洞已成为攻击网站的首选目标,使得企业会造成巨大的损失。
(二)交易数据信息的安全问题
在我国,电子商务交易中遭遇信用卡被盗用、信息资料丢失等现象时有发生。据不完全统计,有70%以上的企业和个人表示,出于安全考虑,目前暂不会在网上进行购物或交易。可以说,交易信息的安全问题是目前电子商务发展道路上最大阻碍。在面对面的贸易过程中,交易都是通过信件或其他可靠的通信渠道来发送商业报文,进而达到保守机密的目的。但是电子商务网站上,却很难保证这一点,主要原因来自网站外部和网站内部两方面的威胁。
1.来自网站外部的威胁。网络黑客、入侵者、计算机病毒在互联中的泛滥是危害电子 1 《网站建设与管理》课程论文
浅谈电子商务网站的安全问题及应对措施
商务网站安全的重要因素。而电子商务网站都建立自己的数据库来存储和管理各种重要的业务数据信息,如客户的银行账号、密码、用户名还有订单号等;还有商家的协议、合同、银行的指令和认证等,这使得用户交易信息的安全更加得不到保障。一旦攻击者窃取了电子商务网站的数据库,就可以获得他们想要的信息,甚至篡改、删除对网站至关重要的信息,破坏数据的准确性和完整性。
2.来自于网站内部用户的安全威胁。近年来,相比网站外部的威胁而言,网站内部的安全问题更为严峻。网站的员工疏忽或故意泄露信息,使得攻击者可以毫不费力的篡改、窃取网站用户的资料等内部机密;网站员工私自安装非法软件、游戏以及访问不安全的网站等导致网站被恶意入侵;网站员工对机密数据的非法操作。这些都能引发网站的严重安全危机。
(三)交易的安全问题
电子商务网站的交易过程,是借助于虚拟的网络平台来实现的。在这个平台上,交易双方不需要会面,因此交易双方的身份具有不确定性,在交易过程中,有可能出现交易抵赖、非同步交易等情况,直接破坏了电子商务网站交易的安全。
三、解决电子商务网站安全问题的应对措施
任何的安全应对措施都不能保证网站百分百的安全,但是企业树立自身的安全意识,充分利用各种安全技术,在攻击者和受保护对象间建立起多道安全防线可以降低网站的安全风险。因此解决电子商务网站的安全问题需从技术和管理两个方面入手,具体的应对措施有:
(一)安全技术方面
1.防火墙技术
防火墙是指一个由硬件设备或软件、或软硬件组合而成的,在内部网与外部网之间构造的保护屏障。所有的内部网和外部网之间的连接都必须经过此保护层,并由它进行检查和连接。只有被授权的通信才能通过防火墙,从而使内部网络与外部网络在一定意义下隔离,防止非法入侵、非法使用系统资源、执行安全管制措施。防火墙技术是目前电子商务网站安全防范技术中发展较为成熟的一种,对于已知的攻击模式有很好的防御作用,它为网站建立起一道安全屏障,强化了网络安全策略,加强了网络存取和访问的监控审计,有效的防止了内部信息外泄。
2.防病毒技术
计算机病毒是具有自我复制和传播能力的可以引起计算机和网络故障的程序。而计算机病毒的防范是建立网站安全的重要一环。常用的防病毒技术有:(1)反病毒扫描:通过对病毒代码的分析找出能成为病毒结构线索的唯一特征。病毒扫描软件可搜索这些特征或其它能表示有某种病毒存在的代码段。(2)完整性检查:通过识别文件和系统的改变来发现病毒。完整性检查程序只有当病毒正在工作并做些什么事情时才能起作用,而网站可能在完整性检查程序开始检测病毒之前已感染了病毒,潜伏的病毒也可以避开检查。(3)行为封锁:行为封锁的目的是防止病毒的破坏。这种技术试图在病毒马上就要开始工作时阻止它。每当某一反常的事情将要发生时,行为封锁软件就会检测到并警告用户。
3.漏洞扫描技术
《网站建设与管理》课程论文
浅谈电子商务网站的安全问题及应对措施
漏洞扫描技术最典型的网络漏洞扫描器。它是一个漏洞和风险评估工具,用于发现、发掘和报告安全隐患和可能被黑客利用的网络安全漏洞。网络漏洞扫描器分为内部扫描和外部扫描两种工作方式:(1)外部扫描:通过远程检测目标主机TCP/IP 不同端口的服务,记录目标给予的回答。通过这种方法,可以搜集到很多目标主机的各种信息,例如:是否能用匿名登录、是否有可写的FTP 目录、是否能用TELNET等。然后与漏洞扫描系统提供的漏洞库进行匹配,满足匹配条件则视为漏洞。也可通过模拟黑客的进攻手法,对目标主机系统进行攻击性的安全漏洞扫描。如果模拟攻击成功,则可视为漏洞存在。(2)内部扫描:漏洞扫描器以root 身份登录目标主机,记录系统配置的各项主要参数,将之与安全配置标准库进行比较和匹配,凡不满足者即视为漏洞。
4.入侵检测技术
防火墙只是一种隔离控制技术,一旦入侵者进入了系统,他们便不受任何阻挡。它不能主动检测和分析网络内外的危险行为,捕捉侵入罪证。而入侵检测技术是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全技术。它是网站的第二道安全门。为了保护电子商务网站的安全,以防火墙为主的静态防护已经不能满足现在网站的需求,在防火墙之上加入入侵检测系统,可以增强网站安全。
5.安全认证技术
安全认证技术,可以确认交易方不是冒名,确认得到的信息是来自声称方,保证信息的完整和真实性未被人篡改。它对重要的信息采用密码技术进行加密,使它成为一种不可理解的密文。接收方收到密文后再对它进行解密,将密文还原成原来可理解的形式。目前,普遍采用的技术有:SSL安全协议、数字摘要、数字时间戳、数字证书等。
6.数据备份与恢复技术
任何的安全防御技术都不是百分百的安全,对于重要的数据要做到及时备份,这样才能在发生系统硬件故障、软件错误、人为失误、计算机病毒或自然灾害等破坏数据完整时起到数据的保护和恢复作用,将损失降到最低。
(二)管理措施方面
网站安全问题不仅是技术性问题,还是管理方面的问题。电子商务网站的安全无论采用多么高级的安全技术,网站安全问题仍时常会发生,因此还需加强电子商务网站安全管理。它包括网站员工的管理、设备管理、应急措施以及网站的日常维护和管理。保证员工不泄露密码或是将网站的机密随意发布,不访问非法网站,不轻易下载和安装程序,对员工进行业务培训,提高操作水平;对于网站的设备能做到防火、防盗、防磁、防水以及故障排除,并能实时的进行数据备份与恢复,保证电子商务网站的继续运行或紧急恢复。
四、结束语
计算机技术与网络技术的发展,使得电子商务不断进步,电子交易的手段更加多样化,安全问题就更加突出和重要。电子商务网站的安全是一个复杂的工程,不仅安全技术需要提高,还要加强网站安全管理,所以必须综合运用这些安全措施。随着我国对电子商务重视程度的加深,电子商务网站必将会逐步走上健康、安全、有保障的发展道路。
《网站建设与管理》课程论文
浅谈电子商务网站的安全问题及应对措施
参考文献:
[1] 陈兵,网络安全与电子商务[M],北京:北京大学出版社,2006。[2] 李大军,电子商务[M],北京:清华大学出版社,2002。
[3] 孙博,电子商务网站管理与维护[M],北京:北京邮电大学出版社,2008。[4] 管有庆,王晓军,电子商务安全技术[M],北京:北京邮电大学出版社,2006。[5] 刘晓宇,电子商务网站的安全分析[J],天津职业院校联合学报,2008(2):12-15。
第二篇:电子商务项目风险应对措施
电子商务项目风险应对措施、跟踪与控制
摘 要:电子商务的风险与安全是电子商务发展的一个基础性和关键性问题。文章针对电子商务的风险与安全问题,概述了我国电子商务发展概况与趋势,突破单纯技术层面的探讨,对我国电子商务发展中存在的风险从企业层面、销售商层面以及客户层面进行了多角度研究,进而提出了较有针对性的电子商务风险防范与控制对策,以帮助各类管理者全面了解、掌握电子商务中所面临的风险,促进电子商务经营方案的优化。本文对电子商务的基本特点进行了分析,并研究了针对电子商务风险,应作出什么样的措施。最后从对电子商务的跟踪和控制作出了相应的分析和建议。
关键词: 电子商务风险,措施,跟踪控制
20世纪90年代以来,以计算机和互联网为代表的信息技术正在改变着人类社会生产和生活的各个方面。其中互联网是运用信息技术最重要的发明,它已经进入全方位和深层次的商业应用阶段.并导致了电子商务的产生。电子商务以其网络化、全球化、无纸化、电子支付而吸引许多企业竞相参与。它继承了网络所具有的开放性、全球性、动态性、高效率的特点,改变了社会经济环境,改变了企业传统的生产、经营、管理和商务运作模式。
一、电子商务项目及其风险概述 1.电子商务项目
电子商务由交易主体、市场电子、交易事务和信息流、资金流物资流等基本要素组成, 目前有狭义和广义之分, 狭义的电子商务主要是指利用In ternet进行的商务交易活动;广义的电子商务是指利用IT 技术对整个商务活动实现全程电子化运营。电子商务项目, 是指在电子商务过程中,为了达到所需要的绩效目标, 在一定的期限内, 依托一定的资源, 而进行的一系列活动, 这一系列活动的过程有其丰富的内容, 构成了许许多多、大大小小的项目。2.电子商务项目的风险
电子商务风险可以被定义为: 电子商务实施过程中发生的机密数据丢失的可能性, 或者在物理上、运行机制上以及资金财务上受到损害的可能性。电子商务项目中出现的风险主要包括产品项目规模风险、商业影响风险、网上支付风险、技术风险、管理风险以及信息传送风险等。虽然多为一般项目所固有, 但其无论在表现形式、强烈程度或影响范围上都与传统项目中的风险有所不同。3.电子商务项目风险原因分析
造成电子商务项目风险的原因有很多, 既有主观的原因, 也有客观的原因。总结如下:(1)风险意识淡薄, 商业环境的不完善。特别是传统行业实施电子商务项目时, 企业的领导和员工在风险意识上尤为缺乏。商业环境包括文化环境、科技环境、法律环境等, 相关立法滞后、国家和地区之间的管辖权问题, 都会给电子商务项目带来一定的风险。(2)技术因素。项目开发人员由于缺乏经验、计划不周等原因使交易系统在某些
功能上有所缺失, 如有效的身份认证、信息的机密性保护和完整性约束。
(3)网络犯罪。这可能来自企业内部, 也可能来自企业外部。内部人员熟悉业务流程, 往往给企业造成的危害更大。企业外部的黑客也越来越多, 有的是为了展示自己的才能, 也有的是非法的经济目的。
二、主要风险因素分析
项目风险通常包括以下方面:政策风险、市场风险、环境风险、技术风险、客户风险、资金风险、配套风险、协作风险。本项目主要潜在风险包括:政策风险、市场风险、财务风险、管理风险。
1、政策风险
经济政策风险是指在建设期货经营期内,由于所处的经济环境和经济条件的变化,致使实际的经济效益与预期的经济效益相背离。对经济环境和经济条件,应以宏观和微观两个角度进行考察。宏观经济环境与经济条件的变化,是指国家经济制度的变革、经济法规和经济政策的修改、产业政策的调整及经济发展速度的波动。
从本项目来看,公司面临一般企业共有的政策风险,包括国家宏观调控政策,财政货币政策,税收政策,可能对项目今后的运作产生影响。
2、市场风险
市场风险是指由于某种全局性的因素引起的投资收益的可能变动,这些因素来自公司外部,是公司无法控制盒回避的。随着潜在进入者与行内现有竞争对手两种竞争力量的逐步加剧,我国物流行业具有营运主体多、小、散、乱,市场竞争较为激烈且处于无序状态的特点。因此物流企业为了生存及竞争的需要,会采取“价格战”策略打击竞争对手,因而引起公司产品价格波动,进而影响公司收益。
3、财务风险
财务风险是指企业由于不同的资本结构而对企业投资者的收益产生的不确定影响。财务风险来源于企业资金利润率和接入资金利息率差额上的不确定因素以及借入资金与自有资金的比例的大小。借入资金比例越大,风险程度越大;反之则越小。作为物流业,本项目的财务风险主要体现在项目实施之前,实施后财务风险较小。
4、管理风险
项目的实施有一定的周期,涉及的环节也较多,在这期间如果出现一些人力不可抗拒的意外事件或某个环节出现问题以及宏观经济形势发生较大的变化,公司组织结构、管理方法可能不适应不断变化的内外环境,将会大大影响项目的进展或收益。
本项目融资成功后,相应在项目管理、资金运筹等诸多方面对合作公司均提出了高的要求。公司内部管理中存在诸如成本控制、人员变动、资金运营等方面的不确定性,将为公司的运营带来风险。如何减少管理风险是本项目运行过程中必须予以关注的。
三、电子商务风险的危害性 1.企业直接面临的风险
许多企业已经开始构建内部网Intranet,随着网络技术的发展,企业可以将自己的Intranet同其他企业的Intranet和开放的Intemet网相连,构成强大的网络通讯世界。这样,企业内部各部门之间、企业同合作伙伴之间及同顾客之间都可以进行实时的信息交流。但这样的网络互连也存在很大的风险性,归纳起来,主要有三个方面:灾难性风险、企业内部网的风险、企业间进行商务活动时的风险。
灾难性风险包括自然灾害和人为制造的风险。自然灾难包括火、洪水、飓风、地震、大风、电子风暴等。人为制造的灾难包括计算机病毒和硬件设备的人为破坏。计算机病毒是一种常见的恶意攻击性程序,它隐蔽性强,能破坏计算机的硬盘、程序,且有很强的传染性,它对计算机的破坏力极大,有时甚至造成整个网络的瘫痪。硬件设施的风险问题,主要有网络设备和通讯线路被他人破坏或者网络线路被他人搭线监听等。当然。硬件设施风险出现的原因还包括对硬件设备没有从电子商务应用的需求出发而给予足够的重视,其设计和选型可能考虑不周,致使系统功能发挥受阻,影响系统的可靠性和扩充性;另外,硬件的选配、购置若为质量低下的产品也会导致系统不稳定及失败。
企业内部网风险主要来自于对网络系统攻击的企业内部的黑客。这些黑客,可能是企业从前的雇员,也可能是在职员工。风险形式体现为金融诈骗、文件或数据盗取等。金融诈骗是指更改企业计算机内财务方面的记录,以骗得企业的钱财、减免税等。这种风险的作案手段很多,有采用黑客程序的,更多的则是贿赂有关操作人员;盗取文件或数据实际就是窃取商业机密,这会给电子商务造成很大的声誉方面的影响,而声誉对电子商务来说意义重大,甚至关系到企业的生存。企业在与其他企业进行商务合作或竞争时,其它企业也可能利用非法手段窃取该企业的文件或数据。这其中的风险包括:传输中数据的被盗、企业计算机上的数据及文件的被盗等。对商务信息的窃取不仅可以是窃听信息的内容,还可以在不了解通信内容的情况下窃听信息的流量和流向、通信的频度和长度,由此推出有用的商务信息。对商务信息的窃取也不一定是非法分子,还包括某些合法用户采用不正当手段窃取本人权限以外的信息。
此外,企业还面临着与其他企业的关系风险,如与商业伙伴的协同运行,对系统运行专业人员的管理以及系统的升级调整;对其他企业依赖性风险,以及与竞争对手相比在电子商务方面表现的超前或滞启所带来的风险等。在企业管理中,还存在着电子商务项目管理风险和企业文化风险。项目管理风险发生在实施电子商务应用项目的过程中,主要是由于企业高层领导可能对电子商务过程中企业文化的转变等问题没有深刻的认识和战略考虑,不能充分协调不同应用项目管理之间的矛盾和冲突。电子商务会给企业文化带来巨大的冲击。电子商务的阻力往往不是来自技术问题,而是来自员工和企业文化的惯性。2.销售商直接面临的风险
在电子商务中,销售商面临的风险主要有三方面,即假客户、被封锁服务和数据被窃。假客户是指一些人假扮客户来订购产品或请求服务。例如,用假信用卡号来骗取免费服务和免费产品,或者要求送货而没有人来支付等。被封锁服务是指销售商的计算机和网络资源被黑客攻击和封锁。这类攻击程序的代码,在一些黑客程序的网址卜很容易找到,而且很难被追踪。数据被窃是销售商们面临的一种很常见的风险。黑客可以在任何一台与Intemet相连的计算机上做案,并且可以很快从网上断下来,很难被追踪到。针对这一点,销售商应该加强自身网络的技术措施来加强风险防范。3.客户直接面临的风险
客户面临的风险是指客户一方的私有信息被盗用或破坏的可能性。私有信息包括客户的账号及密码、信用卡信息、客户计算机系统及数据等。被盗取的途径主要有:利用欺骗性网址盗取、从销售商或网络服务提供商那里盗取、从客户计
算机上的Cookies文件中盗取。以及直接骗取。欺骗性网址主要有两类:一种是黑客设立的假网址。另一种则是黑客利用现有一些网址程序的漏洞来监控和记录用户的账号、密码等信息,或利用网络浏览器的漏洞窥探访问者的硬盘,或者由一个临时性的假网址产生一个Bug程序,黑客利用这个程序可以查看用户的硬盘、或利用文件共享技术将客户机器上的文件转载到Internet的其他网址上去。在电子商务中,客户在进行商务活动时要提供给销售商和网络服务提供商大量的私有信息(如信用卡号等),如果黑客入侵了销售商和网络服务提供商的服务器,客户 的私有信息就可能被盗取。当客户第一次访问一个网址时,主机会分配给用户一个独立的标识码,并创建一个Cookies文件,将用户的账号、密码存放在里面,并将该文件存在用户的机器硬盘上。当用户的计算机被非法访问或侵入时,文件的被盗就会导致用户信息的被盗。另外,客户还面临产品质量风险。这主要是因为电子商务的虚拟性,使得消费者在网上不能有效地、客观地鉴别商品的质量,以及被一些网络上的信息所误导。现实生活中,有些商品足要求消费者必须进行实地考察才行的,譬如房屋,网络上说某某房屋质量、样式、环境很好,消费者却不能通过网络感受到它们。4.财务、税收与金融风险
在网络财务环境中。存在更为隐蔽的是财务会计信息失真的风险。在这种情况下,网络财务的分布式操作使得网络系统受到内部和外部的攻击。税收是一个国家的主要财政来源,由于电子商务具有跨地域交易的特点,所以电子商务税收是一个十分重要和复杂的问题,具体来说包括税收流失风险、征税稽查风险、国际避税风险等。金融是现代经济的核心,电子商务这种现代商务模式不仅对物流产生了革命性的影响,也为货币流构筑了全新的运行环境和运行方式。随着电子商务的发展,电子支付功能成为网上购物的关键问题,它既要使消费者感到方便快捷,又要保证交易各方的交易安全。未来许多从事网上业务的银行不可避免地都将发行在线电子货币,然而到目前为止有关部门仍没有为发行网上电子货币确定统一的在线支付程序和跨行转账结算规则。也没有在安全保障标准、客户私人信息保密、发钞银行的信用等级标准评定等方面制定统一的标准。另外,提供电子货币的电子商务因利率的不利变动,其资产相对于负债可能会发生贬值,电子商务因此将承担相当高的利率风险。电子商务的无边界特性,还有可能使其经营者更倾向于从事跨国界交易和围际金融业务,当外汇汇率变动时,可能使其资产负债表中的项目出现亏损,从而面临更大的汇率风险。四.电子商务风险的应对措施
1.加强技术保证,确保电子商务信息的安全
针对电子商务依靠互联网络平台来开展的网络开放性的特点,特别是要针对互联网体系使用的是开放式的TCP/IP协议,给企业信息和数据安全带来的极大威胁的安全隐患。对如何保障企业的信息数据和重大商业机密,是确保开展电子商务的企业的重要技术保障和前提条件,只有高度重视电子商务的信息安全,才能保证其运行安全,这就需要有强大的技术安全保障措施,不但要制定完善的技术保障措施,更要严格执行制度,才能确保电子商务信息的安全。例如:我们在企业内部网和互联网之间要加一道防火墙,防止黑客或计算机病毒的袭击。保护企业内部网中的机密商业信息数据。另外,利用现有的信息新技术将数字签名技术应用于电子商务的身份认证,可以防止非法用户假冒身份,从而保证电子支付的安全,增强电子商务信息的安全保障措施是电子商务顺利开展的重要技术保障。
2.健全内部控制制度
实行电子商务的商户,在内部管理制度上应健全相应的规章制度,例如:制定制度来规范和约束员工的行为,根据其工作的重要程度,确定该系统的安全等级。制订相应的机房出入管理制度对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。对操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围;制订完备的系统维护制度,对系统进行维护时。应采取数据保护措施。如数据备份等。另外制定人员激励机制也很重要,应建立人员雇用和解聘制度。及时对工作人员进行评价,制定奖惩制度,调动工作人员的工作责任感和积极性。3.加强复合型人才的培养
实现电子商务环境是当今全球经济一体化、信息化时代的一种发展趋势,重视复合型人才的培养是电子商务成功与否的决定因素。所谓电子商务的复合型人才是指要求电子商务管理人员既要有计算机知识,还要有管理理论和商务、金融、法律等知识。对电子商务管理人员进行培训,通过学习现代电子网络技术,将经济、金融、法律、网络有机地结合。对商务交易、金融活动的网络化、数字化有比较深刻的认识,加深对电子商务环境下的风险认识和防范。从而提高员工适应电子商务的工作能力和创新能力,更好地开展电子商务这一新兴的贸易模式。4.消费者的风险防范
消费者的风险防范, 归纳起来, 主要应从下面三个方面加强。(l)设定的密码最好避免使用生日等容易被别人破译的密码号, 而且要经常更改口令以减少被盗用的机率。(2)在各种与因特网相关的事务中, 一定要坚持使用不同的口令。在不同的网址使用不同的密码。而且, 在选择I SP时, 应该注意选择信誉好、可靠性高的公司。(3)不要轻易将密码告诉他人。尤其不要轻信系统管理员提出的需要你的账号、密码来维护系统的说法。(4)对于黑客攻击系统从而攫取消费者的信用卡数据所造成的信息泄密, 消费者确实没有什么力、法, 除非他在网上根本不运用任何信用卡信息。5.销售商的风险防范
销售商面临的风险主要是数据被窃,这一点同企业的数据被窃类似, 针对这一点, 销售商应该从加强自身网络的技术措施来加强风险防范, 可采用后面提到的企业防范方法。至于域名注册方面的风险防范, 要求销售商加强域名的注册,尽早确立组织自身在网络世界的合法地位, 是避免域名纠纷的最佳防范措施。6.企业的风险防范
前面已经说到,企业的风险主要来自于内部和外部两个方面。下面分别针对于这两方面提出 相应的防范措施。
6.1.企业内部网风险的防范。由于内部风险主要是由于企业员工对企业系统的攻击所产生的,所以可采取以下手段:(l)对企业的各种资料信息设置秘密等级,并予以明确的标识, 分等级分别管理。也就是说,公司的高层人员、中层人员以及下层的工作人员所能够看到的关于公司的资料应该是不同的。规定各个员工包括不同业务主管接触秘密的权限, 每个员工不得接触自己无权接触密级的档案资料。
(2)专人管理商业秘密, 定岗定责, 不能无人负责,上级主管应当定期予以监督检查。
(3)要求员工对自己使用的密码经常更换,不能给窃密者造成机会。
(4)采取加密措施。对于员工使用网络传输涉及商业秘密的文件、信息时,可以使用加密计算机程序, 取得解密“ 钥匙”。信息的被送达人享有该钥匙, 进行解密,而取得信息。这种措施对于传送文件、信息途中的窃取、窃听以及员工因过失按错送达对象按钮, 都可以有效保守秘密。但也要注意员工滥用、钥匙丢失等情况发生。密钥需要定期更换, 否则可能使“ 黑客” 通过积累加密文件增加破译机会。
(5)对员工的个人情况, 特别是对那些信息系统上的员工, 要进行制度化的选拔与检查。要将经过一定时间考察、责任心强、讲原则、守纪律、业务能力强的人员派到各自岗位上。6.2.企业之间风险的防范。
针对企业之间进行电子商务交易时所面临的风险, 我们从技术上来防范这些风险:(1)利用防火墙技术保证电子商务系统的安全。防火墙的目的是提供安全保护、控制和鉴别出人站点的各种访问。它建立起网络通信的控制过滤机制从而有效保证交易的安全。[ 3 」为了将私有网络从公共网络中分离出来并保护起来,主要可以采用如下几种形式的防火墙: 网络层防火墙;应用层防火墙;动态防火墙。在此需要说明:利用防火墙可有效但不是绝对能防止黑客的攻击;关于防火墙的设计及应用可参考有关专业技术书籍。
(2)利用安全协议保证电子商务的安全。由于In te m et 的开放性造成的网络中传输的数据的公共性, 为了保证网络传输过程中数据的安全,就必须要使用安全的通信协议以保证交易各方的安全。例如: 可用S/ MIME 协议、S 一H 竹P 协议、SSL 协议等。
(3)利用身份认证技术保证电子商务系统的安全。由于电子商务是在网络中完成, 交易各方不见面, 为了保证每个参与者(银行、企业)都能无误地被识别, 必须使用身份认证技术。
五.电子商务项目风险的跟踪管理
在充分了解电子商务的风险之后, 接下来做的事就是要对这些风险进行跟踪管理, 也就是建立电子商务风险管理机制。1.电子商务项目风险管理的过程
电子商务项目风险管理的流程包括风险管理规划、风险因素识别、风险分析、风险跟踪、制订风险应对计划和风险应对控制。(1)风险管理规划
电子商务项目风险管理是一个复杂漫长的过程, 所以在项目启动的时候, 项目经理需要做出一个周密、详细的计划, 主要包括定义项目组及成员风险管理的行动方案及方式, 选择适合的风险管理方法, 确定风险判断的依据等, 它的结果将是整个项目风险管理的战略性的和寿命期的指导性纲领。(2)风险因素识别
风险识别的方法有多种, 比如: 头脑风暴法, 财务报表法, 德尔菲技术, 综合法等等, 但笔者认为电子商务项目受到内部因素的制约和外部环境的影响, 其中, 电子商务项目的内部环境包括人、管理、技术三个因素,外部环境包括四个方面: 商业环境、法律环境、技术环境和自然环境。在风险识别时, 项目组可根据上面的内外环境及时检测、识别电子商务项目的运行过程中存在的各类风险, 并结合企业自身的特点, 为下一步风险管理提供参考的依据。(3)风险分析
风险分析就是把项目中的各项风险因素进行系统的分析, 确定项目风险的整体化水平和风险等级等, 也为风险应对措施的制订和实施提供重要的依据。风险分析可以分为定量、定性、定量与定性相结合三类, 其中定性分析被大多研究者所选用。当项目进行一段时间之后, 项目的风险会发生变化, 所以, 项目经理必须定时对项目进行风险跟踪, 制定新的策略来对风险进行下一步的管理。(4)风险应对
电子商务项目中存在的风险以及可能性和对项目的风险冲击都确定后, 就可以排列出风险的优先级。风险应对则在此基础上, 为减少失败威胁、增加项目目标实现机会而制定方案, 决定应采取的对策。六.电子商务风险的跟踪和控制(一)从技术层面规避与控制风险
针对电子商务存在的技术风险,我们首先应建立企业的安全策略,掌握保障安全性所需的基础技术,并规划好发生特定安全事故时企业应该采取的解决方案。一般来说,安全策略包括总体的安令策略和具体的规则。总体安全策略制定一个企业的战略性安全指导方针,并为实现这个方针分配必要的人力和物力。具体的安全规则要求针对所有已评估的技术风险拟定有效并可操作的解决方案。所有的安全策略必须由一套完善的管理控制架构所支持,其中最重要的要素是要建立完整的、能够有效地降低和避免风险的安全性解决方案。该方案涉及安全核心系统、虚拟专用网络、物理隔离、内部网络安全、远程访问控制、病毒防护、防火墙、认证、信息加密与数字签名技术,以及主动监测方式。安全核心系统可以在实现一个完整或较完整的安全系统的同时与传统的网络协议保持一致;虚拟专用网络利用公共网络(如Intemet)作为基本传输媒介,使用授权身份认证、数据加密传输等技术将远程用户、分支机构和合作伙伴等连接起来,能够提供高安全性、传输稳定性和信道独占等专用网络性能的服务;通过进行物理隔离,使企业内部网不直接或间接地连接公共网。保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击;内部网络安全为特定文件或应用设定密码保护,能够将访问限制在授权用户范围内;远程访问控制针对于远程用户,在内部网络中配置用户身份认证服务器。在技术上通过对接人的用户进行身份和密码验证,并对所有的用户机器的MAC地址进行注册,采用IP地址与MAC地址的动态绑定,以保证非授权用户不能进人;培养企业的集体防毒意识,部署统一的防毒策略,高效、及时地应对病毒的入侵;设置位于企业内部网与外部之间的防火墙,能够对所有企图进入内部网络的流量进行监控。目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关,它将网关隐藏在公共系统之后使其免遭直接攻击;身份认证技术用于保证连接双方身份的真实性和确定性,信息加密技术则帮助网络传输中的数据不被窃取、篡改;主动监测方式用于维护各种网络攻击的数据库。一般用于对网络安全要求较高的网络系统中。(二)建立企业的投资风险防范与内部控制机制
在企业投资于电子商务的决策活动中,首先应从财务的角度预测风险,企业的各项预测信息,最终要体现在财务收益预测上,因此各职能部门,都应当分析本部门工作中可能产生的风险,报告给财务部门,以便防范。其次应建立风险识别系统,这是风险规避的基础。当风险即将发生时,企业应当做出灵敏的反应,企业某一环节出现问题,应及时沟通情报,避免问题成堆。再者,对于投资过程中可能出现的风险,应有一系列预备方案,当投资风险发生时,可启用备用方案。同时,风险发生以后,应当由有关部门、有关人员组织评估。从中总结经验,吸
取教训,并反馈给有关部门,以防风险再次发生。在内部控制中,企业应弄清楚企业内部网及服务器的确切数量、了解企业内部网上的数据与处理方法、确定企业内部网上哪些数据和处理方法包括在审计保证职能的范围之内、了解各项参数设置与网络内部基础设施以及测评企业内部网在其数据读取方面所采取的安全措施,包括保护措施和防范恶意编码的策略等。(三)加强客户安全意识
客户的风险防范归纳起来主要应从三个方面加强:首先设定的密码最好避免使用生日等容易被别人破译的密码号,而且应经常更改口令,防止密码被盗,或减少密码被盗用的可能性;其次注意在不同的网址使用不同的密码,而且在选择网络服务提供商时,应该注意选择信誉好、可靠性高的公司;再者不要轻易将密码告诉他人,尤其不要轻信所谓的系统管理员要询问你的账号、密码来维护系统。(四)加强宏观层面的防范与控制
宏观层次上的风险防范和控制主要是指国家层面的电子商务风险控制,主要是为电子商务的健康发展提供良好的环境和平台。具体说来,应尽力发展我国先进的信息技术,提高网络安全性能,包括各种计算机设备、通讯设备、系统软件、加密算法等,以防范电子商务的安全风险。在国外,对网络安全性能的掌控,主要包括公共钥匙基础设施(PKI)、加密技术制度、电子签名技术等;加快法制建设步伐,尽快出台有关网上交易和电子商务的法律法规。国外对电子商务的立法是对网上交易采取税收中立政策,免征网上交易税,这极大地促进了网络经济的发展,对我国立法具有借鉴作用;应充分运用政策手段,通过政策选择去激励电子商务按健康的发展方向开展业务;还应提升整个社会的信用水平,这是一个综合的系统工程,必须运用法律、经济、道德等各种手段来提升整个社会的信用水平,建立完善的信用制度。对于信用风险的控制必须建立一个信用体系环境,这需要全社会的努力。
(五)加强对电子商务税收风险的控制
我国电子商务市场在环境和实践等方面还未成熟,而电子商务却给我国企业带来了众多的商机,为电子商务创造一个宽松的环境是我国政府义不容辞的责任。因此,在按照鼓励.扶持的政策思想指导下,可规定税收中性原则、税收优惠原则,建立电子商务税务登记制度,完善现行税法,将支付行为作为征税环节,加强对电子商务涉税问题的研究。
六、结束语
随着计算机与网络技术的发展,人们思想观念的不断更新和电子商务外部环境的不断改善,我国电子商务普及化必将为期不远。电子商务是一个崭新的领域,对于想进入这个领域的企业来说,它既充满了诱惑,又暗藏着重重危险。本文从企业层面、销售商层面、客户层面探讨了我国电子商务发展中的风险及其危害,并从宏观与微观方面研究了对风险的防范与控制。总之,安全问题是电子商务实施中的一个关键问题,如果安全问题不解决,电子商务就无法进行安全有效的电子商务活动。电子商务安全己关系到国家的经济安全稳定问题,其重要性不亚于电子商务本身的发展。只要我们从思想上重视起来,严格按照规程操作,电于商务的风险是可以控制在安全范围之内的,而我国的电子商务必能得到健康、有效地发展。
因此我对电子商务项目风险管理提出了以下建议:
电子商务与传统商务无论在形式还是在内容上都有很大的不同, 所以我们应根据电子商务的特性, 制定一些符合电子商务特性的风险管理策略, 才能从真正
意义上管理和控制电子商务的风险。
(1)自上而下的风险意识, 缩短电子商务项目周期, 增加更多的项目
选择, 安全, 保密, 实用。在电子商务项目中引入第三方参与的电子商务 项目监理管理机制, 电子商务项目监理有助于发挥第三方的专业化服务 功能。
(2)从技术角度在实现风险管理过程中项目组可建立电子商务风险
管理平台来对项目进行全面、系统、连续风险管理, 从而达到实时检测。
参考文献
[1] 郑一敏, 张庆洪.电子商务环境下的风险管理[J].商业研究,2(X)l,(235).[2]余晖电子商务风险研究[J].现代管理科学,203 ,(12).[3] 沈建明.项目风险管理[M ].北京:机械工业出版社,2004:121-160.[4] 余晖.电子商务与风险管理[J].科技情报开发与经济,2003(12):102-103.[5] 张秋蓉.试论企业电子商务的风险控制[ J].云南财贸学院学报,2001,(10).[6]赵立平.电子商务概论[M].上海:复旦大学出版社,2000.
[7]董秀丽,刘晓东.企业电子商务安全对策[J]商业经济与管理2001,(9). [8]姜灵敏.中国电子商务发展现状与对策研究fJl.商业研究,2003,(1). [9]林黎明电子商务安全风险管理研究[J]计算机与信息技术.2006,(3). [10]刘叶飞电子商务安全的探讨明.中国安全科学学报,2006,(2). [11]法因曼电子商务:安全、风险管理与控制(英文版)[M].北京:机械工 业出版社,2000.
第三篇:农村电子商务建议及应对措施
农村电商存在的问题及应对措施
第15小组 薛华 徐炜 谢元哲 贺靖波
中国互联网络信息中心(cnnic)发布的《第35次中国互联网络发展状况统计报告》显示,截至2014年12月,中国网民规模达6.49亿,其中农村网民人数已近2亿。
另一份数据则显示,中国目前行政村数量超过68万个,农村人口为9.4亿,而真正长期居住在农村的数量为7.5亿。阿里研究院此前发布的《农村电子商务消费报告(2014)》也预测,到2016年,全国农村网购市场规模将有望增长到4600亿元,将成为网购市场的新增长点。在过去三年,农村网购消费占比同样不断提升,以淘宝网购数据为例,淘宝农村消费占比已从2012年第二季度的7.11%提升到了2014年第一季度的9.11%。
一、农村电子商务发展问题
1、城市和农村两类人群在电商服务的使用行为上存在不少相似之处对于这两个群体来说,他们最常使用的电商都是淘宝和天猫;最喜欢买的品类都是电子产品、家电、服饰等;在网购过程中最在意的依次均为价格、品质、售后、物流等。
2、农村物流网络不发达、配送成本高,农村电商“最后一公里”配送难度较大。国家统计局去年9月公布的一份数据显示,有高达六成的农村居民认为快递收件不方便。除中国邮政外,顺丰、“四通一达”等主要快递企业的营业网点大多只建到县城。
3、农民的电商消费理念需要一个长期的培育过程。由于农村居民电脑拥有率不高,信息化程度较低,造成广大农民触网意识不强。长期以来,农民已习惯于当面交易和去实体店购买模式,对网络购物比较陌生,且存在一定程度的不信任感,普遍存在不会触网或触网不便等现象。此外,农村电商人才匮乏也严重制约了农村商务的发展。
二、发展农村电子商务的应对措施
2016年我国农村电商消费市场将突破4600亿元。农村电商的发展得到了党中央、国务院的高度重视。去年,财政部和商务部联合发出通知,在河北、黑龙江等8个省开展电子商务进农村综合示范;2015年中央一号文件提出“支持电商、物流、商贸、金融等企业参与涉农电子商务平台建设”。
首先要加大对农村电商人才的培训,培养农民的电商消费意识。
其次要加强宣传推广工作,逐步培养农民的电商消费意识,将更多优质优价的商品引入农村,让广大农民享受到电商消费的便利,扩大农村电商市场规模。同时,要在资金上进一步扶持,提升农民发展电商的积极性。
最后,完善农村电商的服务体系。建议给予电商企业减免税等政策上的扶持。同时,在仓储中心建设、冷链运输和投递配送信息化等物流体系建设方面,给予资金支持,加快推进农村电子商务发展。
第四篇:浅谈电子商务网站的安全及应对措施(范文模版)
浅谈电子商务网站的安全及应对措施
[摘 要]近年来,由于电子商务网站提供在线销售、在线支付等功能因而它对网站的安全性要求非常高。基于此,本文探讨了网站安全存在的一些隐患,以及对影响网站安全方面的原因进行了简单的阐述,并论述了在构建电子商务网站时应采取的安全措施。[关键词]电子商务,网站安全,防范技术
引言
随着电子商务网站影响力的不断扩大和人们需求的不断提升,商品的网络交易日益旺盛。电子商务网站发展成为企业展现自我、宣传产品的重要窗口,也成为商家与客户联系的网络平台。同时企业依靠电子商务网站提供在线销售、在线支付等功能。因此电子商务网站的安全性对企业及客户显得非常重要,尤其是实时交易网站其安全性更加重要。那么如何建设一个安全的电子商务网站,防范网络病毒和木马,保护商家、客户信息是企业面临的首要问题。
一、电子商务网站的安全隐患
电子商务网站主要存在物理和软件两个方面的安全隐患。
物理方面的安全隐患主要是设备的硬件损坏,如:硬件设备的功能失常、电源故障、自然灾害、受到外力的攻击造成硬件设备的损坏。
软件方面的安全隐患可分为两种:一种是服务器内部存在的隐患;另一种是在信息传输过程中存在的安全隐患。
服务器内部存在的安全隐患,主要在于操作系统的漏洞和企业内部管理的漏洞。操作系统的安全隐患主要表现在:一是操作系统本身的缺陷包括身份认证、访问控制、系统漏洞等。二是对操作系统的安全配置问题,一般用户都采用系统的默认设置,这个是比较危险的。三是病毒和黑客对操作系统的威胁。四是操作系统中运行的大量应用软件存在安全问题。电子商务企业内部管理疏漏、管理不严也会使网站存在安全隐患,如系统管理员设置的口令过短或过于简单,导致很容易破解;员工管理不严,非系统管理人员随意进入机房;防盗和屏蔽工作不到位等等。
信息传输过程中的安全隐患主要表现在:一是互联网上传递的大多数信息没有被加密因而传输中的信息容易被窃取和篡改,而且目前网络上提供免费实现这些功能的软件。二是TCP/IP协议缺乏安全策略。三是网站系统的访问控制配置过于复杂,可能出现配置错误或配置不全面有漏洞。四是网络应用服务本身存在缺陷。
二、影响电子商务网站安全的主要因素
(一)在网站设计上安全理念不到位
大多数网站设计,一般只考虑实现用户所需求的功能,界面符合用户的要求,很少考虑到安全问题。由于大多数网站设计开发者、网站维护人员对网站攻防技术并不了解或了解的
较少,一般只侧重于实现用户所需求的功能,写出的代码他们自认为比较好因为他们对网站攻防技术了解不多因而很难发现漏洞,即使开发出的网站存在安全漏洞,用户使用时也察觉不到。而这些漏洞就成为黑客进入系统的机会。
(二)网站缺乏有效的安全防护措施
只有少数的网站会投入资金到网站安全上,如购置防篡改系统等。大多数的网站为了节省开支不会在网站安全方面投入资金。还有一些网站管理员对网站的安全价值认识不到位,一般只有当网站遭受攻击后,并给网站造成了较大的损失,这些管理员或负责单位才会意识到网站安全价值的重要性。
(三)对发现的安全问题不能彻底解决
网站安全受多方面因素的影响,如操作系统安全、代码设计安全、网站系统的访问控制配置、入侵报警措施等,由于与之相关的技术发展很快,但是设计人员的安全知识没有达到一定水平不懂得这些技术,使得对于出现问题的网站,只能进行简单的修复,难以彻底解决问题,使得这些网站继续存在安全隐患。
三、电子商务网站的安全措施
(一)防火墙技术
防火墙是设置在内部网与外部网之间的一道屏障。它可能是硬件也可能是软件,用以保护内部网络中的资源、信息等不会受到来自外部网络中的非法用户的侵犯,控制网络访问,保护内部网络的安全。
防火墙是由路由器、堡垒主机等设备组成,通常位于级别较高的网关或网络与外部网络连接处,用作网络防护安全系统。所有的内部网和外部网之间的连接都必须经过防火墙,并由它进行检查和连接。只有被授权的通信才能通过防火墙,从而在一定意义先隔离内部网与外部网,防止非法入侵、非法使用系统资源、控制网络访问。
防火墙基本分为两类:包过滤型和代理防火墙。包过滤防火墙对数据包进行分析、选择,依据系统内事先设定的过滤逻辑来确定是否允许该数据包通过。代理防火墙能够检查进出的数据包,通过防火墙复制传递数据,防止受信任服务器和客户端与不受信任的主机之间建立联系,将网络通信链路分为两段,使内部网与外部网不能直接通信,保护内部网络的安全。这两种防火墙各有其优缺点:包过滤器只能结合源地址和目的地址及每口IP包的端口号才能起作用,如果攻击者攻破了包过滤防火墙,整个网络就公开了。代理防火墙效率不如包过滤防火墙,当网站访问量较大时会影响上网速度,代理防火墙在设立和维护规则集时比较复杂,有时会导致错误配置和安全漏洞。由于这两种防火墙各有优缺点,因而在实际应用中常将这两种防火墙组合使用。
目前市场上最新的防火墙产品集成了代理和包过滤技术,在安全方面有高要求时,能实行代理验证服务;在需要高速度时,能灵活地采用包过滤规则作为保护方法。
(二)入侵检测技术
防火墙是一种隔离控制技术,一旦入侵者进入了系统,防火墙就不起作用了。它不能主动检测和分析网络内外的危险行为,捕捉侵入罪证。而入侵检测系统能够通过计算机系统进
行监视,提供实时的入侵检测,在入侵者对系统发生危害前,检测到入侵攻击,并采取相应的防护手段,包括切断网络连接、记录事件和利用防护系统进行报警等。
入侵检测技术是一种主动保护系统免受黑客攻击的网络安全技术,被称为防火墙之后的第二道安全闸门。
(三)病毒防护
病毒在网络中存储、传播、感染的途径多,时常导致计算机系统瘫痪,使得程序无法正确运行,数据遭受严重破坏,给网站造成很大的危害,给企业及用户造成损失。因此,应利用全方位防病毒产品,实施“集中控制、预防为主、防治结合”的防病毒策略,构建全面的防病毒体系。常用的防病毒技术有:
⒈ 完整性检查:通过识别文件和系统的改变来发现病毒。
⒉ 反病毒扫描:通过对病毒代码的分析找出能成为病毒的特征。然后运用扫描软件搜索这些特征,从而发现病毒的所在,给予恰当的清理。
⒊ 行为封锁:行为封锁的目的是防止病毒的破坏。每当某一反常的事情将要发生时,行为封锁软件就会检测到并警告用户。
(四)安全认证技术
企业电子商务网站除了本身硬件设备和软件的安全之外,还包括信息传输过程中的安全。对一些重要的传输信息,应保证信息在传输过程中不被他人窃取和篡改。因此,应在网站服务器中启用安全认证系统。安全认证系统对重要的信息进行加密,使之成为密文,密文经过网络传输到达接收方,接受方再对它进行解密,使之成为明文。目前,在电子商务中普遍采用SSL安全协议。
除了上面介绍的安全防范技术外,还应加强企业内部管理,分工明确,责任到人,建立健全有效的管理机制和经费保障机制,需要对网站安全人员进行定期的培训以提高网站的安全知识及掌握相应的攻防技术。同时,针对本企业员工关于网站安全知识有限,该企业可以引入网站检测体制,目前市场上有许多第三方安全服务公司可以为电子商务网站提供远程安全检测,由于其专业性,通常能够发现网站安全人员发现不了的漏洞并就发现的漏洞提出相应对策,增强网站的安全。除此而外,管理员可以定期抽查日志,对于长度异常大的日志文件重点检查。
结论
随着电子商务的影响力不断扩大,电子交易日益频繁,电子商务网站对其安全性特别重视。电子商务网站安全隐患主要有:硬件设备的损坏,服务器内部存在隐患,信息传输过程中存在隐患。影响网站安全的因素有很多,如:网站设计缺乏安全理念,网站缺乏安全防护措施等等。那么在构建电子商务网站是应采取防火墙技术、入侵检测技术、病毒防护、启用安全认证系统等,同时应加强企业内部管理,建立健全有效的管理机制,增强网站的安全性。
参考文献:
[1] 李红心,杨莉,刘继山,电子商务网站建设[M],北京:机械工业出版社,2008.9 [2] 徐超汉,计算机网络安全与数据完整性技术[M],北京:电子工业出版社
[3] 田俊华,网络信息系统安全策略[J],西安工程科技学院学报,2003 [4] 陈波,于冷,肖军模,计算机系统安全原理与技术[M],北京:机械工业出版社,2009.1 [5] 覃琴,Intranet安全技术分析[J],陕西工学院学报,2002
第五篇:电子商务安全问题论文
摘要: 通过分析电子商务安全问题产生原因及电子商务对安全环境的要求,提出电子商务的安全防范策略,并对当前解决电子商务安全的主要技术进行了进一步的阐述和分析,为建立健全电子商务安全系统提供技术性参考。
关键词: 电子商务 安全技术 安全协议
电子商务的发展已将全球的商务企业都推进到一场真的商业革命大潮中,潮起潮落,安全问题是关键。电子商务系统是活动在Internet平台上的一个涉及信息、资金和物资交易的综合交易系统,其安全对象是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂系统,它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。系统的安全目标与安全策略,是由组织的性质与需求所决定的。
一、电子商务的安全问题
1.电子商务安全问题的产生。(1)在线交易主体虚拟化带来的安全问题:在电子商务环境下,任何人不经登记就可以借助计算机网络发出或接受网络信息,并通过一定程序与其他人达成交易。虚拟主体的存在使电子商务交易安全受到严重威胁。(2)虚假信息的发布带来的安全问题:当用户以合法身份进入系统后,买卖双方都可能在网络上发布虚假的供求信息,或以过期的信息冒充现在的信息,以骗取对方的钱款或货物。(3)过低的信用度带来的安全问题:①低信用度的买方带来的安全问题:低信用度的买方,可能存恶意透支或使用伪造的信用卡骗取卖方货物或存在拖延货款行为,卖方需要为此承担风险。②低信用度的买方带来的安全问题:卖方不能按质、按量、按时寄送消费者购买的货物,或者不能完全履行与集团购买者签订的合同,造成买方的风险。③低信用度的买卖双方都存在抵赖的情况。(4)网络欺诈的存在带来的安全问题:在电子交易活动中频繁欺诈用户这是网络骗子们常用的骗术,利用电子商务进行欺诈已经成为一种新型犯罪活动,目前这种网上欺诈也已经成为国际性的难题。(5)电子合同取代书面合同过程中带来的安全问题:在在线交易情形下,交易双方的所有信息都是以电子化的形式存储于计算机硬盘或其他电子介质中,这些记录不仅容易被涂擦、删改、复制、遗失,而且不能脱离其记录工具(计算机)而作为证据独立存在。由此而引发诸多方面的安全问题(6)网上电子支付过程带来的安全问题:完电子商务的网上支付通过信用卡支付和虚拟银行的电子资金划拨来完成。而实现这一过程涉及网络银行与网络交易客户之间的协议、网络银行与网站之间的合作协议以及安全保障问题。(7)产品交付过程带来的安全问题:有形货物的在线交易中物流配送环节引发的一些特殊问题及无形的信息产品在交付中对于其权利的移转、退货、交付的完成等带来的安全问题。(8)网络消费者维权时引发的安全问题:在线市场的虚拟性和开放性以及网上购物的便捷性都使消费者保护成为突出的问题。比如质量问题,退赔、修理困难问题等。(9)网络恶意攻击者的破坏活动带来的安全问题:包括系统穿透、违反授权原则、植入、通信监听、通信干扰、中断、拒绝服务、否认等。
2.电子商务对安全环境的要求。(1)确保信息的安全要求包括有效性、机密性、完整性、可靠性/不可抵赖性/鉴别等;(2)确保授权合法性;(3)确保交易者身份的确定性;(4)确保内部网的严密性。
二、电子商务的安全防范策略
经过数十年的探索,电子商务安全防范策略从最初的商务信息保密性发展到商务信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻、防、测、控、管、评”等多方面的基础理论和实施技术。目前,电子商务安全领域已经形成了9大核心技术,它们是:密码技术、身份验证技术、访问控制技术、防火墙技术、安全内核技术、网络反病毒技术、信息泄露防治技术、网络安全漏洞扫描技术、入侵检测技术。
1.电子商务的主要安全技术。(1)加密技术。加密技术解决了传送信息的保密问题,可分对称加密和非对称加密。对称加密是一种传统的信息认证方法,通过信息交换的双方共同约定一个口令或一组密码,建立一个通信双方共享的密钥。通信的甲方将要发送的信息用私钥加密后传给乙方,乙方用相同的私钥解密后获得甲方传递的信息。对称加密采用的主要加密算法有DES数据加密标准、三重DES,IDEA,和AES(高级加密算法)等。其最大优势是加/解密速度快, 适合于对大数据量进行加密,但密钥管理困难。非对称加密又称公开密钥加密,它使用一把公开发布的公开密钥和一把只能由生成密钥对的贸易方掌握的私用密钥来分别完成加密和解密操作。如贸易的甲方生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易的方乙使用该密钥对信息进行加密后发送给甲方;甲方再用自己保存的另一把私用密钥对加密信息进行解密。公钥密码技术是密码技术核心,主要采用的算法有RSA算法、DSS/DSA算法和ECC算法。优点是机制灵活,但加密和解密速度慢。(2)数字签名。数字签名解决了而防止他人对传输的文件进行破坏,以及如何确定发信人的身份的问题。数字签名与书面文件签名有相同功效,它代表了文件的特征,文件如果发生改变,数字签字的值也将发生变化,不同的文件将得到不同的数字签字。数字签名是采用双重加密的方法,通过流程:A、被发送文件用 SHA编码加密产生128 bit的数字摘要;B、发送方用自己的私用密钥对摘要再加密,形成数字签名;C、将原文和加密的摘要同时传给对方;D、对方用发送方的公共密钥对摘要解密,同时对收到的文件用SHA编码加密产生又一摘要;E、将解密后的摘要和收到的文件在接收方重新加密产生的摘要互对比。最终实现了防伪、防抵赖。
(3)数字时间戳。数字时间戳服务提供了对电子文件发表时间的安全保护,由专门的机构提供。时间戳是一个经加密后形成的凭证文档,它包括需加时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签字三个部分。时间戳形成的流程为:①用户将需要加时间戳的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS;②DTS在加人了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。数字时间戳是由认证单位DTS来加的,以DTS收到文件的时间为依据。
(4)数字证书。数字证书是由CA认证中心签发的,用电子手段来证实一个用户的身份和对网络资源的访问权限的凭证。CA认证中心是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。数字证书为电子签名相关各方提供真实、可靠验证的公众服务,解决电子商务活动中交易参与各方身份、资信的认定,维护交易活动的安全,从根本上保障电子商务交易活动顺利进行。在网上的电子交易中,如双方出示了各自的数字证书,就可用它来进行安全交易操作了。
(5)防火墙技术。网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,它可以阻止对信息资源的非法访问,也可以使用防火墙阻止专利信息从企业的网络上被非法输出,是最适合于相对独立的与外部网络互连途径有限、网络服务种类相对集中的单一网络。防火墙有两个基本准则:一是未被允许的就是禁止的;二是未被禁止的就是允许的。基于该准则, 防火墙应转发所有信息流, 然后逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境, 可为用户提供更多的服务。
2.电子商务安全协议技术。电子商务安全协议主要有:安全套接层协议SSL和安全电子交易SET协议。此外,还有pCT(专用通信技术),它只是对SSL进行少量的改进。SSL协议是向基于TCp/Ip的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等的安全措施。它包括“SSL 记录协议”和“ SSL 握手协议”。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、MDS等加密技术来实现机密性和数据完整性,并采用X.509的数字证书实现鉴别。SSL协议已成为事实上的工业标准而被广泛应用。通常还采用“SSL+表单签名”的模式使得SSL在电子商务的应用中确保信息的真实性、完整性和保密性的基础上进一步提高电子商务的安全保障。
SET协议是Mastercard公司和Visa公司联合开发的一种应用于因特网环境下,以信用卡为基础的安全电子支付协议。它可以对交易各方进行认证,可防止商家欺诈,进行安全交易,它给出了一套电子交易的过程规范而成为目前公认的信用卡的网上交易的国际标准。
3.构建电子商务安全控制的框架和制订电子商务标准及法律法规。通过安全的控制和电子商务标准的推行,有利于解决电子商务的安全性和可靠性问题。
电子商务给企业、消费者和社会所带来的收益是不可估量的。特别是电子商务以其高效、低成本的优势,必将成为新兴的商业运作模式,推动着全球经济的快速发展。而商务信息的安全问题始终是电子商务的核心,是阻碍电子商务广泛应用的最大问题。电子商务的安全问题是能够通过综合运用各类电子商务安全技术,并不断改进和完善,加之建立健全电子商务的安全机制和相应的法律法规,推行电子商务的国际化标准而得以解决。
参考文献:
[1](美)埃弗雷姆.特白思戴维.金,杰李等著王理平张晓峰译:电子商务 管理新视角(第2版)[M].电子工业出版社,2005年9月
[2]杨坚争著:电子商务基础与应用(第五版)[M].西安电子科技大学出版社,2007年7月