电子商务安全对策(精选8篇)
论文关键词:病毒 信息安全 加密技术 网络层技术
论文摘要:随着网络技术的广泛应用,网络信息日益普及我国电子商务安全的问题日益严重。首先,分析了电子商务安全的现状,其次,着重对电子商务存在的问题及其原因进行深入地探索并指出了电子商务安全的需求,最后提出对策。
1、电子商务的安全现状
目前电子商务的安全问题比较严重,最突出的表现在计算机网络安全和商业诚信问题上。随着网络技术的广泛应用,我国电子商务的安全问题也日益突出。根据“2011年,计算机病毒和互联网安全报告疫情”的数据表明,计算机病毒感染率为70.51%,较去年有所下降,但仍然维持在比较高的水平;其中多次感染病毒的比率为42.71%.1.1、网络病毒的增长
北京时间2月21日,360安全中心发布《2011-2012互联网安全报告》指出,2011年国内日均有853.1万台电脑受到木马病毒攻击,占开机联网的电脑比例为5.7%。在去年新生网络安全威胁中,BMW木马、黏虫木马、Duqu(超级工厂Ⅱ)等入围“十大木马”。
《报告》显示,2011年国内共新增木马病毒10.56亿个,相比2010年增加87.7%,360安全产品日均拦截及查杀木马病毒6468.5万个。在木马数量高涨的同时,木马攻击成功率则有所降低。在每天接触木马病毒的853.1万台电脑中,实际染毒比例仅为1%-3%,而且大多为关闭安全软件后使用游戏外挂、盗版视频播放器等诱惑资源的电脑。
360安全中心指出,随着免费安全软件普及和云安全技术成熟,木马攻击手段进一步趋向“顽固化”,深入感染电脑主板Bios的BMW木马就是其中的典型。作为2011“毒王”,BMW木马借助游戏外挂传播,使受害电脑无论重装系统、格式化硬盘还是换掉硬盘,都无法将其彻底清除,只能求助于专杀工具。迄今,国内已有超过8万台电脑感染BMW木马。
据悉,目前近半数木马带有强制广告行为,网民可据此判断电脑是否受到木马侵1.2、网络病毒传播方式的变化
过去,传播病毒通过网络进行。目前,通过移动存储介质传播的案例显著增加,存储介质已经成为电子商务网络病毒感染率上升的主要原因。由于U盘和移动存储介质广泛使用,病毒、木马通过autorun.inf文件自动调用执行U盘中的病毒、木马等程序,然后感染用户的计算机系统,进而感染其他U盘。与往年相比,今年通过网络浏览或下载该病毒的比例在下降。不过,从网络监测和用户寻求帮助的情况来看,大量的网络犯罪通过“挂马”方式来实现。“挂马”是指在网页中嵌入恶意代码,当存在安全漏洞的用户访问这些网页时,木马会侵入用户系统,然后盗取用户敏感信息或者进行攻击、破坏。通过浏览网页方式进行攻击的方法具有较强的隐蔽性,用户更难于发现,潜在的危害性也更大。
1.3、网络病毒给电子商务造成的损失继续增加
调查显示,浏览器配置被修改,损坏或丢失数据,系统的使用受限,网络无法使用,密码被盗造成都给电子商务造成严重的破坏后果。例:2006年“熊猫烧香”病毒利用蠕虫病毒的传播能力和多种传播渠道帮助木马传播,攫取非法经济利益,给被感染的用户带来重大损失。继“熊猫烧香”之后,复合型病毒大量出现,如:仇英、艾妮等病毒。同时,网上贩卖病毒、木马和僵尸网络的活动不断增多,利用病毒、木马技术传播垃圾邮件和进行网络攻击、破坏的事件呈上升趋势。
2、电子商务的安全问题及存在原因
2.1、.对合法用户的身份冒充。以不法手段盗用合法用户的身份资料,仿冒合法用户的身份与他人进行交易,从而获得非法利益。
2.2、对信息的窃取。攻击者在网络的传输信道上。通过物理或逻辑的手段,对数据进行非法的截获与监听,从而得到通信中敏感的信息。如典型的“虚拟盗窃”能从因特网上窃取那
些粗心用户的信用卡账号,还能以欺骗的手法进行产品交易,甚至能洗黑钱。
2.3、对信息的篡改。攻击者有可能对网络上的信息进行截获后篡改其内容,如修改消息次序、时间,注人伪造消息等,从而使信息失去真实性和完整性。
2.4、拒绝服务。攻击者使合法接入的信息、业务或其他资源受阻。
2.5、对发出的信息予以否认.某些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
2.6、信用威胁。交易者否认参加过交易,如买方提交订单后不付款,或者输人虚假银行资料使卖方不能提款I用户付款后,卖方没有把商品发送到客户手中,使客户蒙受损失。
2.7、电脑病毒。电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。如,CIH病毒的爆发几乎在瞬间给网络上数以万计的计算机以沉重打击。
3、电子商务对信息安全的需求
3.1、信息的保密性。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务则建立在一个开放的网络环境(Internet)上,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。保密性一般通过密码技术对传输的信息进行加密处理来实现。
3.2、信息的完整性。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。数据输入时的意外差错或欺诈行为,可能会导致贸易各方信息的差异。另外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。一般可通过提取信息摘要的方式来保持信息的完整性。
3.3、信息的真实性。只有信息流、资金流、物流的有效转换,才能保证电子商务的顺利实现,而这一切是以信息的真实性为基础。信息的真实性一方面是指网上交易双方提供信息内容的真实性;另一方面是指网上交易双方身份信息的真实性,即对人或实体的身份进行鉴别,为身份的真实性提供保证,使交易的双方能够在相互不见面的情况下确认对方的身份。这意味着当某人或实体声称具有某个特定身份时,鉴别服务将验证其声明的正确性。一般可通过认证机构和证书来实现。
3.4、信息的不可抵赖性。对进行电子商务交易的贸易双方来说,一个很关键问题就是如何确定进行交易的贸易方正是交易所期望的贸易方。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已经不可能。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识,使原发方对已发送的数据、接收方对已接收的数据都不能否认。通常可通过对发送的消息进行数字签名来实现信息的不可抵赖性。
3.5、信息的有效性。电子商务以电子形式取代了纸张,那么如何保证这种电子形式贸易信息的有效性则是开展电子商务的前提。电子商务信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,这对于保证贸易数据在确定的时刻、确定的地点是有效的。
4、电子商务安全防治措施及安全举措
首先,电子商务的应用是以Internet的基础设施和标准为基础,涉及从通信协议到应用集成的广泛领域,套用国际标准化组织ISO的开放系统互联OSI七层协议模型,相应地将各安全措施映射到对应层次中,可以较好地描述电子商务安全技术体系。
其次,防范电子商务网络犯罪是一个系统工程,还需要人们提高防范电子商务网络犯罪的意识,加强防范电子商务网络犯罪的制度建设。
4.1 网络层技术
采用多重网络技术,保证网络信息安全。目前,常用的电子商务安全技术,主要包括:防火墙,物理隔离,VPN(虚拟专用网)。防火墙是实现内部网与外部网安全代理和入侵隔离的常规技术。使用防火墙,一方面是抵御来自外界的攻击。另一方面是为了防止在服务器内部部分未经授权的用户攻击。因此,电子商务内外网与互联网之间要设置防火墙。网管人员要经常到有关网站上下载最新的补丁程序,以便进行网络维护,同时经常扫描整个内部网络,发现任何安全隐患及时更改,做到有备无患。企业上网必须实行内外网划分和内外网的物理隔离。要运用VPN新技术,为使用者提了一种通过公用网络,安全地对网络进行远程访问,同时又能保证企业的系统安全。包括操作系统、数据库和服务器(如Web服务器、E-MAII。服务器)的安全。
4.2 加密层技术
运用密码技术,强化通信安全。应围绕数字证书应用,为信息网络中各种业务应用提供信息的真实性、完整性、机密性和不可否认性保证。在业务系统中建立有效的信任管理机制、授权控制机制和严密的责任机制。目前要加强身份认证、数据完整性、数据加密、数字签名等工作。对于电子商务中的各种敏感数据进行数据加密处理,并且在数据传输中采用加密传输,以防止攻击者窃密。
4.3 认证层技术
电子商务信息交换中的各种信息,必须通过身份认证来确认其合法性,然后确定这个用户的个人数据和特定权限。应采用基于PKI技术,借助第三方(CA)颁发的数字证书数字签名来确认彼此身份。”。
4.4 协议层技术
电子商务的在线支付是通过Internet完成的,必须使用安全协议来保证支付信息传输的安全、交易方的合法身份的确认及支付过程的完整。不同交易协议的复杂性、开销、安全性各不相同。同时,不同的应用环境对协议目标的要求也不尽相同。目前,比较成熟的协议有SET、SSL、iKP等基于信用卡的交易协议,Net?鄄Bill,NetCheque等基于支票的交易协议,Digicash、Netcash等基于现金的交易协议,匿名原子交易协议,防止软件侵权和非法拷贝的基于PKC的安全电子软件分销协议等。随着电子商务的发展,电子交易手段的多样化,信息安全问题将会变得更加重要和突出。由于电子商务的实现是一项复杂的系统工程,其信息安全问题的解决有赖于各相关技术的发展,如:公钥基础设施(PKI)技术的研究与应用;电子商务采购协议、支付协议及物流配送协议的进一步完善;XML的研究和标准化等。同时,除技术问题外,电子商务的信息安全还有赖于电子商务发展所需的政策和相应的法律、法规的建设等社会环境的完善。这些课题的研究不仅具有重要的理论价值和实用价值,而且对于推动电子商务的发展具有重要的现实意义。
4.5、意识建设
加强教育和宣传,提高公众电子商务的安全意识。信息安全意识是指人们在上网的过程中,对信息安全重要性的认识水平,发现影响网络安全行为的敏锐性,维护网络安全的主动性。强化上网人员的信息安全意识,就是要让上网人员认识到,网络信息安全是电子商务正常而高效运转的基础,是保障企业、公民和国家利益的重要前提,从而牢同树立网上交易,安全第一的思想。主要采取以下措施:一是通过大众媒体,普及电子商务的安全知识,提高用户的认识。二是积极组织研讨会和培训课程,培养电子商务网络营销安全管理人才。
4.6 法律建设
健全法律,严格执法。目前我国在电子商务法律法规方面还有很多缺失,不能有效地保护公
电子商务源于英文ELECTRONIC COMMERCE, 简写为EC。顾名思义, 其内容包含两个方面, 一是电子方式, 二是商贸活动。
电子商务可以通过多种电子通讯方式来完成。简单的, 比如你通过打电话或发传真的方式来与客户进行商贸活动, 似乎也可以称作为电子商务;但是, 现在人们所探讨的电子商务主要是以EDI和INTERNET来完成的。尤其是随着INTERNET技术的日益成熟, 电子商务真正的发展将是建立在INTERNET技术上的。所以也有人把电子商务简称为IC。
现代电子商务技术集中于网络商店的建立和运作, 因此网络商店的信誉与服务质量实际上是电子商务成功与否的关键。
2 电子商务现状
虽然目前还不能预测电子商务交易模式何时能成为主流模式, 但电子商务的市场发展潜力是无穷的, 因为:一方面, 潜在消费者的发展速度惊人。据联合国贸发会议《2002年电子商务发展报告》显示, 到2002年底, 全球英特网用户已达6.5亿之众。据中国互联网网络信息中心于2008年6月关于《中国互联网发展状况统计报告》数据显示[1], 我国CN域名注册量也以1218.8万个超过德国.de域名, 成为全球第一大国家顶级域名。
另一方面, 电子商务交易额快速增长。据国际著名咨询公司Forrester估计, 2002年全球电子商务交易额大约为22935亿美元。据联合国贸发会议《2001年电子商务发展报告》引用Anderson咨询公司的数据显示, 到2003年底, 我国的电子商务市场B2B和B2C的交易总额将可能达到40亿美元之巨, B2B的年均增速为194%, 而B2C的是274%, 其增速呈倍数增长。
在信息革命大潮中, 互联网已迅速演变成全球经济活动的新平台和神经系统, 以互联网产业和电子商务为依托的网络经济是一场不可阻挡的变革正越演越烈。电子商务具有的强大生命力不仅将推动新经济的快速发展, 也将成为全球经济的最大增长点之一。
3 电子商务营销对策
上述特点和发展现状决定了基于INTE RNET的电子商务将为所有与其相关的机构带来无限商机。面对这么大的商机, 如何使电子商务网站赢利成了大家关心的问题。就中国而言, 目前排名前十位的网络应用是:网络音乐、网络新闻、即时通信、网络视频、搜索引擎、电子邮件、网络游戏、博客或个人空间、论坛/BBS和网络购物[2]。
3.1 要大力推动搜索与电子商务的结合
“2008新媒体高峰论坛”有关数据表明:互联网以每天3.39小时的成绩成为“第一接触媒体”。
3.2 要建立客户关系数据库
网络营销是以顾客为中心, 中小企业应通过各种信息渠道去寻找潜在客户, 以创造更多的商业机会。
3.3 要不断完善企业网站的建设
根据艾瑞咨询发布的《2008年第二季度中国网络购物市场监测报告》研究显示, 淘宝网的网络购物渗透率 (该购物网站用户占总体网络购物用户的比例) 已经达到81.5%, 居第一位。
3.4 中小企业可借助第三方电子商务平台
企业通过在一般的门户网站上刊登广告进行企业宣传, 一方面费用昂贵, 另一方面由于受众不是很明确, 往往效果不理想。
3.5 要树立企业个性化营销的观念
个性化定位是指企业在顾客心中形成的独特地位[3]。它是个性化消费经济的产物, 以通过提供特色产品、超值服务来更好地满足顾客需求。
3.6 搞好互联网基础建设
我国的信息基础设施比较落后, 适合大众品位的信息服务和内容较少。上网普及率低, 而且我国上网费用普遍较高。
4 安全策略
4.1 面临的安全问题
电子商务以计算机网络为基础的, 它将不可避免面临着系列的安全问题。如信息泄露, 数据篡改, 身份识别及电脑病毒等。
4.2 安全要素与安全技术
安全问题是电子商务最担心的问题, 且一直是电子商务的核心研究领域。作为一个安全的电子商务系统, 首先具有一个安全、可靠的通信网络, 以保证交易信息安全、迅速地传递;其次保证数据库服务器绝对安全, 防止黑客闯入盗取信息。
电子商务的安全要素中, 机密性和身份认证尤为重要。维护商业机密是EC全面推广应用的重要保障, 而身份认证指交易双方可以相互确认彼此的真实身份, 确认对方就是本次交易中所称的真正交易方。为了保证安全, 电子商务除采用防火墙技术、加密技术、认证技术外, 虚拟专用网VPN技术可以在两个系统间建立安全的信道 (隧道) , 用于电子数据交换。
5 结论与展望
电子商务是一项巨大的、复杂的系统工程, 不可能一蹴而就。要想使电子商务在中国健康发展, 目前须做好以下几方面的工作。
首先, 信誉度问题。信誉度问题是网络购物中最突出的问题, 也是用户最关注的, 往往决定和影响交易次数及收益。
其次, 银行卡网上支付问题。我国网上支付服务目前已得到较大改善, 并为网络购物提供了极大便利, 第三方支付的出现, 大大缓解了用户希望的货到付款和商家期盼的款到发货的矛盾。
第三, 网络安全问题。从网络进入人们的生活开始, 网络安全问题就一直存在。在网络购物中, 网民对网络安全也有很大担忧, 诸如用户的个人信息、交易过程中银行账户密码、转账过程中资金的安全等问题。这些顾虑无疑给网络购物蒙上了一层阴影。
第四, 商品不能及时到位问题。网上购物不比现实生活中的购物方式快, 这也是急需改进和提高之处。
第五, 配送问题。传统购物一般是在选好后, 就可以直接付费拿走, 而网络购物就需要一个订货后的等待过程。
第六, 商品信息描述不清问题。由于购买者对网络上的商品的了解只能通过图片和文字描述来完成, 而有些商品的描述语言模棱两可, 容易使人对商品的认识产生歧异。
第七, 网络购物者的数量远远低于传统购买者数量问题。
第八, 网上商店比传统商店数量少问题。虽然网络购物的消费者比传统购物的群体少, 但是相比之下, 在数量上网络商店与传统商店的差距更大。
第九, 网络购物者缺少直接购物体验问题。
总之, 随着经济全球化和信息技术与信息产业迅速发展, 电子商务将成为今后信息交流的热点, 成为各国争先发展, 各个产业部门最为关注的领域。中国电子商务虽然还处在初始阶段, 面临着体制, 技术, 管理等诸多问题, 但是已迈出可喜的一步。综上, 电子商务前路漫漫, 发展空间巨大[4]。
参考文献
[1]中国互联2008年网络热点调查报告, 2008, 2, 11.
[2]董琳.从消费者购买决策模型看BTOC电子商务的客户服务, 情报方法, 2004, (8) :27.
[3]h t t p://w ww.21eb.o r g/2004/7-18/153055-4.html.
[关键词] 电子商务安全表现来源对策
从上世纪90开始出现电子商务模式,我国的电子商务取得了快速的发展。相继实施的“金桥”、“金卡”、“金关”、“金税”工程大大加快了我国电子商务的发展步伐,电子商务的广度和深度空前扩展,已经深入国民经济和日常生活的各个方面。但是,也有一些制约电子商务发展的因素,安全问题就是其中之一。安全问题不仅造成巨大的经济损失,而且严重打击人们对电子商务的信心。
一、安全问题的表现
1.信息安全
信息安全是指由于各种原因引起的信息泄露、信息丢失、信息篡改、信息虚假、信息滞后、信息不完善等,以及由此带来的风险。具体的表现有:窃取商业机密;泄漏商业机密;篡改交易信息,破坏信息的真实性和完整性;接收或发送虚假信息,破坏交易、盗取交易成果;伪造交易信息;非法删除交易信息;交易信息丢失;病毒破坏;黑客入侵等。
如果信息被非法窃取或泄露可能给有关企业和个人带来严重的后果和巨大的经济损失。如果不能及时得到准确、完备的信息,企业和个人就无法对交易进行正确的分析和判断,无法做出符合理性的决策。非法删除交易信息和交易信息丢失可能导致经济纠纷,给交易的一方或多方造成经济损失。
最常见的信息风险是信息的非法窃取和泄露,它往往引起连锁反应,形成后续风险,这也是目前企业和个人最担心的问题。信息风险的典型表现是网络欺诈,不仅使厂商和消费者在经济上蒙受重大损失,更重要的是可能会使人们对电子商务这种新的经济形式失去信心。
2.交易安全
交易安全是指电子商务交易过程中存在的各种不安全因素,包括交易的确认、产品和服务的提供、产品和服务的质量、价款的支付等方面的安全问题。
与传统的商务形式不同,电子商务具有自己的特点:市场松散化、主体虚拟化、交易网络化、货币电子化、结算瞬时化等。这使得电子商务的交易风险表现出新的特点,出现新的形式,并且被放大。
交易安全问题在现实中很多。例如:卖方利用信息优势,以次充好、以劣当优来发布虚假信息,欺骗购买者;卖方利用参与者身份的不确定性与市场进出的随意性,在提供服务方面不遵守承诺,收取费用却不提供服务或者少提供服务。当然也有相反的情况:买方利用卖方的诚实套取产品和服务,却以匿名、更名或退出市场等方式逃避执行契约合同。
3.财产安全
财产安全是指由于各种原因造成电子商务参与者面临的财产等经济利益风险。财产安全往往是电子商务安全问题的最终形式,也是信息安全问题和交易安全问题的后果。
财产安全问题主要表现为财产损失和其他经济损失。前者如:客户的银行资金被盗;交易者被冒名,其财产被窃取等。后者如:信息的泄露、丢失,使企业的信誉受损,经济遭受损失;遭受网络攻击或故障,企业电子商务系统效率下降甚至瘫痪等。
二、安全问题的来源
1.硬件层面
电子商务的基础是网络,而网络的物理支撑是各种硬件设施,这些硬件设施会由于各种原因带来安全风险。这里有设备故障,有人为因素,也有自然灾害。硬件安全问题虽然发生的概率不大,但是一旦发生,其影响巨大。例如,2006年12月26日,我国台湾附近海域发强烈地震,造成中美海缆等6条国际海底通信光缆发生中断,附近国家和地区的国际和地区性通信受到严重影响。中国大陆至台湾地区、美国、欧洲等方向的通信线路受此影响大量中断,互联网访问质量受到严重影响。许多跨国经营的企业总部、分公司之间的网络联系中断,使生产和经营受到严重影响。这次事故给有关企业和个人造成巨大影响和严重经济损失。
2.软件层面
网络不仅需要硬件,更需要软件,各种系统软件、应用软件是网络运行所必需,是电子商务的另一个支撑点。由于技术和人为的原因,各种软件不可避免的存在各种设计的缺陷和漏洞,而且由于软件的多样性和复杂性,在配备、使用中也会有各种问题,导致电子商务系统中存在技术误差和安全漏洞。比如,由于可能存在安全漏洞,在重要信息资料保管和安全支付方面,人们仍然担心资料丢失和账户被盗等。又比如,个别软件由于自身的缺陷,在特殊的情况下,可能造成系统运行故障甚至瘫痪。
3.应用层面
(1)企业管理水平低,人员素质不高
电子商务在近几年才得到了迅猛发展,各地都缺乏足够的技术人才来处理所遇到的各种问题,许多企业技术人员的技术水平较低,不能完全胜任所承担的工作。同时企业对电子商务的管理也处于一个摸索的阶段,管理的水平不高,效率底下。这些都給电子商务带来很大的安全隐患。其中包括交易流程管理风险、人员管理风险、网络交易技术管理的漏洞的交易风险、网络管理制度漏洞等。
(2)消费者电子商务知识贫乏,安全意识不高
从总体上,讲广大消费者对于电子商务这个新生事物还比较陌生,缺乏相应的知识,还不能十分熟练的应用这一新的交易手段,造成各种人为的安全威胁。例如:有的消费者安全意识淡薄,不注意保护自己的密码等关键信息,容易导致资金被盗、冒名交易等;有的消费者对信息判断能力差,容易上当受骗;有的消费者对网络交易的流程缺乏了解,容易导致操作失误等。
3.网络攻击、商业欺诈等违法犯罪行为
以获取机密信息或者破坏为目的的网络攻击是电子商务另外一个重要安全隐患。包括病毒攻击、木马程序,以及其他各种形式的网络攻击。根据国家计算机病毒应急处理中心的统计,去年我国发现的计算机病毒有80%以上是以窃取信息等经济利益为目的的。这些网络攻击行为可能导致企业和个人的信息被盗,资金被窃取,也可能导致企业电子商务系统效率下降甚至崩溃。
同时,因为网络交易的虚拟性所引起的交易欺诈行为有恶化的趋势。例如,在中国质量万里行促进会公布的2005年我国十大投诉热点中,网络欺诈已经成为继食品、汽车、家电、旅游之后的第五大投诉热点。这说明发生在我国网络市场中欺诈行为已经比较严重,它会影响网民对网络产品的信任感并进而影响中国电子商务市场的健康发展。
4.环境层面
(1)法律环境
法律是市场经济的重要外部环境。在电子商务中,法律不仅是打击网络犯罪的武器,更是各个主体商务活动的游戏规则。
电子商务是一种全新的商务活动,并由此衍生了一系列新的法律问题,例如网络交易纠纷的仲裁、网络交易契约等问题,急需相应的法律保障,为市场制定新的、适用的游戏规则,否则就会引起混乱。由于电子商务发展较快,我国有关的立法工作显得落后,出现许多法律空白,使许多电子商务纠纷的解决缺乏法律依据,这成为电子商务中一个重要安全隐患。
(2)诚信缺乏
诚信是市场经济的基础,是市场顺利运行的前提条件。电子商务由于其开放性、虚拟性,交易双方不直接见面,在身份的判别确认、违约责任的追究等方面都存有很大困难。因此,信用风险远较传统业务中发生的概率大。
我国目前的状况是缺乏诚信,社会信用体系不完善,这给在网上利用电子商务进行交易的传统企业和个人带来不可预料的风险。包括商业欺诈、商业诽谤、在线(信息)隐私问题、知识产权的保护问题、商业信用问题等。其典型表现有:网上产品的质量问题导致消费者无法购买到合意的商品;网上支付存在着风险;网络中的合同欺诈等。
三、应对措施
1.加强网络基础设施建设
在此方面,我国已经取得了一定进步,但总体情况仍不容乐观,地区之间发展不平衡。今后国家应继续加大网络建设投入力度,进一步鼓励企业加大对信息产业的投资,进一步增强电子商务发展的网络基础。要扩大国际出口带宽的建设,解决原有网络带宽及速度较低、网络运行质量差和电信资费高等问题,并缩小东西部、南北方的差距。要采取切实措施,构建一个值得信赖并能够保证信息的完整性和安全性的多层次的开放的网络体系,改善国内用户环境。
2.加强安全技术的研究和应用
目前,电子商务应用还刚刚开始,许多方面都还不够完善,安全技术及其应用还不能满足电子商务发展的需要。这就要求我们密切关注电子商务的动向,关注电子商务安全技术,加大投入力度,研究更加先进可靠、经济适用的安全技术。
同时,安全技术不是单一的技术,技术的综合应用是保证电子商务安全的一个重要方面,因此应当加大技术应用环节的投入。可以采取的应用措施有:使用容错计算机系统或创造高可用性的计算机环境,以确保信息系统保持可用及不间断动作;灾害复原计划提供一套程序与设备来重建被中断的计算与通信服务;加密是一种广泛使用的技术来确保因特网上传输的安全;数字证书可确认使用者的身份,提供了电子交易更进一步的保护;加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;对敏感的设备和数据要建立必要的物理或逻辑隔离措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
3.提高从业人员的技术水平和整体素质,提升企业的管理水平
首先,要加强现有从业人员的培训,提高现有人员的技术水平,提高其安全意识,提高其应对安全问题的能力。其次,要加强电子商务人才的培养。应充分利用各种途径和手段培养大量素质较高、层次合理、专业配套的网络、计算机及经营管理等方面的专业人才,特别是掌握现代信息技术和现代商贸理论与实务的复合型人才。最后,要提高企业电子商务管理水平。安全问题不仅有技术的原因,管理落后也是一个重要方面,企业要建立适应电子商务发展的管理体系,培养合格的管理人才,提升整体管理水平。
4.加强法律法规建设
包括两个方面的内容:一是要完善原有的法律体系并进行必要的调整;二是为适应发展的需要制定新的法律法规。
要积极开展立法的各项准备工作,循序渐进、突出重点、先易后难,先单项后综合,在实践中摸索,在发展中完善,针对不同的法律问题,提出新的解决方案,制定相应的法律法规。不备具制定法律法规要求的,可以先制定“条例”、“细则”等规范性法律文件,逐步强化电子商务立法。
当前一项重要的任务是要抓紧研究电子交易、信用管理、安全认证、在线支付、税收、市场准入、隐私权保护、信息资源管理等方面的法律法规问题,应尽快制定出可以具体操作的《电子商务法》。
5.加强诚信建设
首先,建立健全社会信用制度及管理体系。要加快信用立法,完善经济活动实名制,健全个人财产申报制度,实行个人破产制度等,以形成对信用体系的强势约束力,确保个人信用制度的健康发展。
其次,建立完善的企业制度,培养优秀的企业文化。要以提高企业价值作为经营的根本,把自主性和自律性的道德标准作为企业的重要组成部分,进而建立以诚信为基础的企业文化。
再次,建立企业和个人的信用评价与监管机构。建立起以政府为背景跨部门的,包括银行、工商管理、公安、税务部门协同的企业和个人的信用评价与监管体系,实现跨部门、跨行业、跨地区的信用信息互联互通。加大失信行为的成本,以约束失信行为。
最后,加强对企业的监管力度,完善各种监管系统。
题目:电子商务存在隐患及防治措施
系部:信息工程系
专业:电子商务
班级:120502
学号:12050214
姓名:乔彪 成绩:
日期:2014年11月6日
随着电子商务不断的扩大影响,势必将成为一种新型的交易模式走入人们日常生活,计算机技术与其是密不可分,相辅相成的。电子商务的发展将带动计算机技术应用的更加广泛,计算机技术的进步将推动电子商务的蓬勃发展。而其在发展的过程中安全问题也变得越来越突出,可以说,没有安全就没有电子商务。
一、电子商务网络的安全隐患
1.窃取信息。交易双方进行交易的 内容 被第三方窃取。(2)交易一方提供给另一方使用的文件被第三方非法使用。
2.篡改信息。电子的交易信息在网络传输的过程中,可能被他人非法的修改、删除这样就使信息失去了真实性和完整性。
3.假冒。第三方可以冒充合法用户发送假冒的信息或者主动获取信息,有可能假冒一方的信誊或盗取被假冒一方的交易成果等。
4.恶意破坏。由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,破坏网络的硬件或软件而导致交易信息传递丢失与谬误。计算机网络本身容易遭到一些恶意程序的破坏,而使电子商务信息遭到破坏。
二、电子商务的安全要求
1.交易者身份的可认证性。
在传统的交易中,交易双方往往是面对面进行活动的,这样很容易确认对方的身份。即使开始不熟悉,不能确信对方,也可以通过对方的签名、印章、证书等一系列有形的身份凭证来鉴别身份。然而,在进行网上交易时,情况就大不一样了,因为网上交易的双方可能素昧平生,相隔千里,并且在整个交易过程中都可能不见一面。要使交易成功,首先要能验证对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店是不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。
2.信息的机密性。
由于电子商务是建立在一个开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。当交易双方通过Internet交换信息时,如果不采取适当的保密措施,就可能将通信内容泄密;另外,在网络上的文件信息如果不加密的话,也有可能被黑客窃取。上述种种情况都有可能造成敏感商业信息的泄漏,导致商业上的巨大损失。因此,电子商务一个重要的安全需求就是信息的保密性。这意味着,一定要对敏感信息进行加密,即使别人截获或窃取了数据,也无法识别信息的真实内容,以使商业机密信息难以被泄漏。
3.信息的真实完整性。
信息输入时的意外差错或欺诈行为、传输过程中信息的丢失、重复或传送次序差异都会导致贸易各方信息的不同。交易的文件是不可被修改的,应该保证接受方收到的信息确实是发送方发送的,中途没有被非法用户篡改过。电子交易文件必须做到不可修改,以保障交易的严肃和公正。
三、电子商务交易中的一些网络安全技术
针对以上问题现在广泛采用了身份识别技术、数据加密技术、数字签名技术和放火墙技术、PKI技术。
1.身份识别技术。
通过电子网络开展电子商务,身份识别问题是一个必须解决的问题。一方面,只有合法用户才可以使用网络资源,所以网络资源管理要求识别用户的身份;另一方面,传统的交易方式,交易双方可以面对面地谈判交涉,很容易识别对方的身份。通过电子网络交易方式,交易双方不见面,并且通过普通的电子传输信息很难确认对方的身份。因此,电子商务中的身份识别问题显得尤为突出。
2.数据加密技术。
与防火墙相比,数据加密技术比较灵活,更加适用于开放的网络。数据加密主要用于对动态信息的保护,对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密技术分为两类:即对称加密和非对称加密。
(1)对称加密技术
对称加密是常规的以口令为基础的技术,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。目前,广为采用的一种对称加密方式是数据加密标准DES,DES的成功应用是在银行业中的电子资金转账(EFT)领域中。
(2)非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥通过非保密方式向他人公开,而另一把作为私有密钥加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。
3.智能化防火墙技术。
智能防火墙从技术特征上,是利用统计、记忆、概率和决策的智能 方法 来对数据进行识别,并达到访问控制的目的。新的方法,消除了匹配检查所需要的海量 计算,高效发现 网络 行为的特征值,直接进行访问控制。智能防火墙成功地解决了普遍存在的拒绝服务攻击(DDOS)的 问题、病毒传播问题和高级 应用 入侵问题,代表着防火墙的主流 发展 方向。新型智能防火墙自身的安全性较传统的防火墙有很大的提高,在特权最小化、系统最小化、内核安全、系统加固、系统优化和网络性能最大化方面,与传统防火墙相比较有质的飞跃。
4.PKI技术。
PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。
(1)认证机构
CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职
责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。
(2)注册机构
RA(Registration Authorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
(3)密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
(4)证书管理与撤消系统
证书是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况,这就需要进行证书撤消。证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的发布机制撤消证书或采用在线查询机制,随时查询被撤消的证书。
四、总结
4.1当前电子商务安全法律、制度尚不完善
电子商务因其基础网络这个开放又隐蔽的环境,而显得比较特殊,其商贸交易行为需要有专门的法律来规范和秩序的维持,目前我国已经相继出台了部分法律法规、行为准则,设立了相应的部门来规范、监管和保证电子商务的安全。但与国际电子商务立法现状和国内电子商务现实状况相比,显得比较尴尬。我国电子商务安全法律体系仍然存在较多空白,强针对性的立法需要加快,先行法规则亟需进一步改进和完善。电子商务安全法律的不足之处有:电子交易流程行为规范、用户隐私保护、法律效力不足,法律滞后,情况描述不清,没有有效惩戒措施,难以对电子商务中的失信者和破坏者造成较强的约束力。因此强快电子商务安全法律立法和改进已经迫在眉睫。
4.2现有电子商务安全法律
现行电子商务安全法律,具有较强针对性质的较少,大多分散各类法规之中,或是零星提及电子交易安全问题,目前电子商务交易安全的法律法规主要有以下四类:
(1)综合性的法律。如:《民法通则》和《刑法》中有关对商贸交易的安全保障条文。
(2)对交易主体进行规范的相关法律。如《公司法》、《国有企业法》、《集体企业法》、《私营企业法》、《外资企业法》等;
(3)规范交易行为的有关法律,包括经济合同法、产品质量法、价格法、消费者权益保障法,反不正当竞争法等等
(4)对监督交易行为进行规范的法律,如会计法、票据法、银行法等。
国务院颁布的《中华人民共和国计算机信息网络国际联网管理暂行规定》和公安部颁发的《计算机信息网络国际联网安全保护管理办法》是两个对电子商务具有重大影响的行政法规。
另外《中华人民共和国电子签名法》的颁布也具有重要意义。该法赋予电子签名与手写签名或盖章具有同等的法律效力,明确了电子认证服务的市场准入制度,标志着我国的信息化立法迈出重要步伐。
4.3电子商务安全立法困难的原因
电子商务发展壮大为商贸交易带来极大便捷和迅速优越性,成为了经济的强劲增长点,为全球经济的发展营造了良好的氛围,与此同时,因为其特点,也对社会各个领域特别是立法带来了困难和压力。
首先电子商务的立法,需要考虑国家和地区之间的差异,协调困难。电子商务基于网络,而网络却已经全球联通、跨越了地域的界限。它所面对的不只是一个地区、一个国家的市场,而是全球一体化的大市场。各国由于社会制度、政治状况、经济发展程度等不同而导致了现行法律法规的不同,要制定可以有效协调、高度一体化的商业和法律规则,谈何容易。
其次是电子商务交易处理、传输的实质就是对信号脉冲的传输和对数字流的处理,这种虚拟的平台上,双方的不曾谋面,使得信息资源对商家的商业信用提出了更高的要求。在信息得到广泛传播的同时,由于互联网既开放又隐蔽的特性使得信息的真伪有待验证,恶意的攻击、恶意的失信难以发现,即使发现也难以揪出终端背后的那个失信或破坏者,有法难断或者有法却找不到应受惩罚的人,而且对于包括制作版权、著作权、商标使用权、数据库等在内的知识产权保护也成为无法回避的问题。电子商务横跨领域之广、利益关联群体之多,和其有别于传统商务模式的无形化给税收体制及税收管理模式也带来了巨大的挑战。
[摘要]网络信息技术的发展加快了计算机电子商务发展速度,并且受到个人和企业甚至是国家的广泛关注,由于计算机电子商务立足于网络技术,所以计算机电子商务具有一定的资源共享性和开放性,这为使用者带来方便的同时,却给电商活动的安全带来一定困扰。基于此类现象,本文以新时期计算机电子商务的安全方法为研究课题,系统的进行阐述和研究。
关键词:新时期;安全方法;计算机电子商务
计算机电子商务的发展年限较短,但是覆盖范围较为广泛,目前各个行业领域或多或少都有计算机电子商务的应用,因此计算机电子商务的安全方法也是各行各业重点关心的热点话题。基于电子商务安全的重要性,在世界各国纷纷颁布电子商务的管理政策后,中国也对计算机电子商务引起了高度的重视,并且在综合考虑计算机电子商务的安全隐患后,制定相应的政策以此规范计算机电子商务的应用。
一、新时期计算机电子商务面临的安全问题
(1)网络环境的基础设施保障性能低。我国电子商务的发展时间较短,因此在计算机电子商务的基础设施和安全意识上还存在一定的缺陷。随着各个行业领域的发展,以及各行业内部网站的不断建设,计算机电子商务频频爆发安全问题,从而阻碍了电商活动的正常发展,造成电商活动经营者的恐慌。并且一些网络病毒对网络系统的破坏,造成企业用户信息的丢失和窃取。对时下的计算机电子商务安全问题单单采用行业内部的杀毒软件,并不能达到根治的效果。
(2)计算机电子商务信息存储性能低。因为计算机电子商务信息的存储方式都是静态方式,导致很多网络黑客用户对存储资源的篡改和查看,造成企业内部网络信息数据保密性和安全性的丢失,致使计算机电子商务人员难以在安全的网络环境下进行重要信息的存储。
(3)计算机电子商务的网络环境缺乏规范性。电子商务的发展对传统的产品交易模式产生了巨大的冲击,时至今日,一些实体店因为淘宝、天猫这些购物网络的发展,客户流失量日益增高,使得店铺的经营无法得以有效的维持。虽然计算机电子商务活动得到有效的发展,但是计算机电子商务安全性问题仍然没有得到一个科学规范化管理,安全问题仍影响着现今的电商活动的发展。
二、新时期计算机电子商务安全方法策略
(1)完善电子支付的法律制度,加强政府监管。电子支付的安全性是现在电商活动经营人员最为关注的安全问题,因为电子支付涉及到收款人、付款人和银行这三个方面的隐私信息,因此需要对三者的法律关系进行明确的规范,从而制定相应的法律政策,为电子支付的安全性提供可靠的法律保障。
新时期的背景下,随着计算机电子商务的发展,人们对电子商务的安全性也提出了更高的要求,要提升计算机电子商务安全性,政府就要发挥其应有的监管职能,对计算机电子商务交易安全进行监督和管理,从而保证用户交易的`安全。
关键词:电子商务,安全技术,身份认证技术,Internet的安全协议
电子商务比传统商务方式有巨大的方便性和灵活性,由于在运作过程中存在一系列的安全问题,使得其本身的应用和发展受到很大影响。
1 电子商务面临的安全威胁
(1)信息泄漏。表现为商业机密的泄漏:交易双方交易的内容被第三方窃取。
(2)信息的篡改。表现为商业信息的真实性和完整性的破坏。
(3)信息假冒。表现为第三方假冒交易一方的身份,破坏交易、破坏被假冒方的信誉或盗取被假冒方的交易成果等。
(4)交易抵赖。交易抵赖包括多个方面,如发信者事后否认曾发送过某条信息,收信者事后否认曾收到过某条消息等。
(5)网络蠕虫。蠕虫的危害通常有两个方面:
(1)蠕虫在进入被攻击的系统后,一旦具有控制系统的能力,就可以使得此系统被他人远程操纵。
(2)蠕虫的不断蜕变并在网络上的传播,可能导致网络阻塞,从而使网络瘫痪。
(6)黑客入侵。是威胁电子商务安全的又一个重要因素,表现如下:
(1)网络篡改。是黑客攻击的典型形式,是指将正常的网站主页更换为黑客所提供的网页,从而使电子商务被迫终止对外的服务。
(2)拒绝服务攻击。是指在互联网上控制多台计算机对某一个特定的计算机进行大规模的访问,使被访问的计算机穷于应付来势凶猛的访问而无法提供正常的服务。
(3)特洛伊木马。是一种隐藏在计算机系统中不为用户所知的恶意程序,通常用于潜伏在计算机系统中与外界连接,并接受外界的指令。
(4)网络仿冒。又称网络欺诈、仿冒邮件或者钓鱼攻击等,是黑客使用欺诈邮件和虚假网页设计来诱骗对方提供账号、密码等,从而达到骗取金钱的目的。
2 电子商务的安全要素
(1)有效性。对网络故障、硬件故障、操作错误、软件错误及计算机病毒所产生的潜在威胁加以控制和预防。
(2)机密性。预防非法的信息存取和信息在传输过程中被非法窃取。
(3)完整性。预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。
(4)可靠性/不可抵赖性/鉴别。在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识,对贸易方进行鉴别。
(5)即需性。是指防止延迟或拒绝服务。
(6)身份认证。是指交易双方相互确认对方是本次交易中的真正交易方。
3 电子商务采用的主要安全技术及其标准规范
3.1 防火墙技术
在内部网与外部网之间实施安全防范的系统,被认为是一种访问控制机制,用于确定哪些内部服务允许哪些外部访问。主要途径有:包过滤、应用网关和代理服务、动态包过滤技术、网络地址翻译技术和加密路由器技术等。
3.2 加密技术
加密技术分为以下两类:
(1)对称加密。对信息的加密和解密都使用相同的密钥,因此要求通信贸易方之间要能确保密钥交换的安全性。
(2)非对称加密。密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为专用密钥(解密密钥)保存。公开密钥用于对机密信息的加密,专用密钥则用于对加密信息的解密。
3.3 密钥管理技术
对于密钥的管理,目前的分类主要有:对称密钥管理、公开密钥管理、数字证书等。
(1)对称密钥管理。采用此技术的贸易双方必须要保证采用的是相同的密钥,要保证密钥的交换是安全可靠的,同时还要设定防止密钥泄密和更改。
(2)公开密钥管理。贸易方可以为每次交换的信息生成唯一一把对称密钥,并用公开密钥对此密钥进行加密,然后再将加密后的密钥和用此密钥加密的信息一起发送给相应的贸易方。这种方式的另一优点是即使泄露了一把密钥也只将影响一笔交易。
通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和更加安全,同时也解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。
(3)数字证书。数字证书通常包含有唯一标识证书所有者(即贸易方)的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。
3.4 身份认证技术
此认证技术被采用的主要目的是为了保证数据在传输过程中的完整性和不可否认性,类型有:数字摘要、数字签名、数字信封、数字证书和认证中心等。
(1)数字摘要。数字摘要是对一条原始信息进行单向哈希(hash)函数变换运算得到的一个长度一定的摘要信息。
(2)数字签名。工作原理是:报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)。发送方用自己的专用密钥对这个散列值进行加密来生成发送方的数字签名,这个数字签名将作为报文的附件和报文一起发送给接收方。接收方先从接收到的原始报文中计算出128位的散列值(或报文摘要),再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认此数字签名是发送方的。
(3)数字时间戳。数字时间戳技术是对数字文件或交易信息进行日期签署的一项第三方服务。加盖数字时间戳的信息不能进行伪造、篡改和抵赖,并为信息提供了可靠的时间信息以备查用。
原理:用户首先将需要加时间戳的文件用Hash编码加密形成摘要,然后将该摘要发送给DTSS认证单位,DTSS认证单位在加入了收到文件摘要的日期和时间信息后再对该文件加密,然后送回用户。
(4)数字信封。大量数据加密中所使用的对称密码是随机产生的,对称密钥需要加密传递,即发送方用接收方的证书(公钥)加密此对称密钥。这样只有接收方用自己的私钥才能解密此对称密钥,从而正确地解密消息。这种加密传送密钥的方法称为数字信封。
(5)证书和证书管理机构CA。证书记录了用户的公开密钥和其他身份信息以及证书管理机构。证书管理机构(简称CA)是证书发布者,是贸易各方都信赖的第三方机构。用户向CA提交自己的公开密钥和代表自己身份的信息,CA验证了用户的有效身份之后,向用户颁发一个经过CA私有密钥签名的证书。
证书和CA的存在使两个贸易方都信任CA并从CA处得到了一个证书,双方可以通过互相交换证书得到对方的公开密钥。由于证书上有CA的数字签名,用户如果有CA的公开密钥,就可以通过对数字签名的鉴定来判断从证书中得到的公开密钥是否确实是对方的公开密钥。
3.5 Internet主要的安全协议
国际互联网中对于电子商务应用流行的安全协议和框架有:SSL、S-HTTP等。
(1)SSL。SSL(安全槽层)协议是由Netscape公司研制的,基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。
(2)S-HTTP。S-HTTP(安全的超文本传输协议),对HTTP扩充了安全特性,增加了报文的安全性,是基于SSL技术的协议。向WWW的应用提供完整性、鉴别、不可抵赖性及机密性等安全措施。
(3)安全电子交易规范(SET)。SET在保留对客户信用卡认证的前提下,增加了对商家身份的认证。此协议是开放网络环境中的卡式支付标准,采用公开密码体制(PK1)和X.509电子证书标准。通过相应软件、电子证书、数字签名和加密等技术,在电子交易环节上提供更大的信任度、更完善的交换信息、更高的安全性和较少的可欺诈性。但试验结果表明,SET在相互操作方面存在一些问题。SET的局限性还在于该协议仅限于使用信用卡方式的支付手段。
4 结束语
电子商务安全技术虽然取得了一定的成绩,但要使其真正成为一种主导的商务模式,仅从技术角度防范是不够的,还需完善电子商务立法,以规范和促进我国电子商务快速而健康地发展。
参考文献
[1]黄晓涛.电子商务导论[M].北京:清华大学出版社,2005-09.
[2]李琪.电子商务概论[M].北京:人民邮电出版社,2004-09
关键词 电子档案 信息安全 对策
中图分类号:G271 文献标识码:A
Information Security Issues and Countermeasures of Electronic Files
FENG Aixue, XIAO Yuanyuan, TU Yingxia
(Hubei University of Technology Archives, Wuhan, Hubei 430068)
Abstract Information security is increasingly important electronic files in the information age. The paper analyzed the current outstanding problems facing the information security of electronic records, and the corresponding countermeasures from the aspects of the management of system security, hardware construction and personnel training.
Key words electronic files; information security; countermeasures
1 电子档案优势及信息安全面临的突出问题
1.1 优势及特点
相对于传统的纸质档案,电子档案主要有以下几个优点:(1)纸质档案不利于管理。随着时间的积累,纸质档案积聚如山,需要人手管理,这样就加大了档案部门的工作量。(2)纸质档案不利于处理。对于一些相对而言不太重要的档案,经常是如同鸡肋一样,食之无肉,弃之有味,留着觉得占用空间,处理了又怕将来会用到,让档案部门的同志很是头疼。(3)纸质档案不利于查询、调用。笔者经常可以看到,一些同志因为纸质档案的调用四处奔走,而若采用电子档案,则只需轻点鼠标便可。
1.2 电子档案信息安全面临的突出问题
(1)病毒感染问题。例如上世纪90年代的“米开朗基罗病毒”,它会感染感染软盘的DOS引导扇区和硬盘的主引导扇区,发作时,除了像本来一样进行传染外,还将把硬盘和当时插在软驱中的软盘数据破坏掉,美国的很多电子档案馆和图书馆都深受其害。又如大家熟知的Backorifice特洛伊木马病毒,它是一个windows远程管理工具,能够远程遥控电脑,盗取档案信息资料,危害很大。(2)信息安全保护认识问题。目前,档案部门对于保护档案信息安全的重要性、紧迫性认识普遍不足,通常只是注重纸质档案的保存,或是单纯地关心有多少档案馆建设了电子网络,有多少档案进行了数字化。但是对于档案信息安全这个问题并不太关心,或者说认识不足。与此同时,档案信息管理的操作人员对于安全的意识也过于淡薄,常常利用内部包含有重要档案文件的电脑进行与工作无关的娱乐活动,如看电影,玩游戏等。这样就导致了档案部门内部网络信息的安全面临着极大的隐患,很有可能被外界盗用内部档案信息。
2 信息安全内涵
关于信息安全,国际标准化组织定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和显露”。安全性问题,实际上包含两层内容:(1)信息系统的安全。(2)信息的安全。而保护信息的安全则是最终的目的。信息的安全性通常由保密性、完整性、可用性和可控性等四大特征来表征。从物理上,信息安全的内涵可以分为如下三个层级:(1)网络级安全。网络级安全是指支撑系统运行的物理设备的安全问题,包括网络基础建设如网络布线、网络连接、局域网和外网的安全问题。网络级安全策略是整个系统得以安全运行的基本保障,这是需要在系统规划阶段严格把关的重要内容之一。(2)数据级安全。主要涉及到系统存储的档案数据的安全问题。其中包括操作系统、数据库管理系统、档案数据存储、数据备份、数据格式的转化以及各类电子文件的保管和异地存储等。只有维护好这些数据系统的安全,我们才能够保证数据版本的更新、数据格式的转化、硬件设备的意外损坏、存储介质的老化、失效等造成的数据丢失甚至是计算机系统的破坏和瘫痪。(3)应用级安全。主要是指档案管理信息系统在实际应用操作的过程中应考虑的基本问题,主要取决于档案部门所采用的应用系统的用户模型的定义模型和使用规则。简单点说,就是各个用户的权限不同。比如,两个不同的单位,运用同一个操作模块,能看到的只是各自单位的数据库,并不能查阅到其他单位的数据库。
3 信息安全对策
(1)建立完善的档案管理制度。我们的每一级档案单位必须根据自身不同的具体情况,细化各项档案安全的规章制度。只有完善了规章制度,我们才能够确保最后的档案安全工作能够落到实处,才能够打造适合自身的档案安全体系。不仅如此,我们还应该在各级单位建立一个档案安全的紧急预案措施。这样一来,不仅可以建立档案安全部门面对突发情况的快速应急反应体系,而且还能够提高档案安全工作者的安全意识,同时,明确各个工作者的具体责任。
(2)筑牢安全观念。档案信息系统作为一个安全体系,只要其中有一个环节出现了安全问题,都会对(下转第188页)(上接第173页)整个档案部门造成严重的影响。在工作中,要树立电子档案系统安全的“整体安全”的大概念。从档案的基础管理来讲,档案安全包括对已经收集归档的档案进行齐全、完整的收集,其中也包括电子档案不被泄露出去。档案部门的每一个工作人员都应该从思想上重视起档案的安全管理工作,切不可麻痹大意,因为一个环节出现了问题,整个档案部门都会受到极大的影响,同时,也会对档案的归属者造成极其不好的影响。
(3)提升硬件水平,加强技术防范。在硬件方面,我们应该保证电子计算机的正常维护,保护好所有与档案信息有关的设施器材;在软件方面,我们应该积极运用计算机的加密技术,防止计算机病毒的入侵,同时,定期地更新计算机软件,不让网络病毒有机可乘。根据工作实际,设计一套数据备份方案,定期进行数据转储,以备不测。以技术对抗技术是当前最主要的防范手段,技术防范措施主要有:防火墙技术、信息加密技术、身份认证系统等。
(4)引进和培养既懂档案管理,又懂IT技术的复合型人才。众所周知,人才在档案信息化中始终处于主导性地位,是最重要的建设资源,技术引进得再先进,也要靠人才来运用、维持。当我们档案信息安全管理工作出现问题时,总是认为信息化专业型人才的缺失是一个重要的原因。其实不然,我们回想一下,有多少次,档案部门出了资,工厂技术人员也出了力,但是就是收获不到档案信息的实际运用的效果,笔者认为其根本原因还是做出来的软件系统与各个档案部门的实际工作不相适应。专业的IT公司虽然在技术方面能够写出一流的运用软件,但是做出来的软件是否适合我们具体的某些档案部门,亦或是我们档案部门的人员是不是能够熟练地掌握,这就存在着一些磨合的问题。所以说,复合型人才的培养,是我们档案信息管理部门的重中之重。
我国的档案管理日渐进入网络化管理时代,档案信息必将走向数字化。目前惟有加快推进档案管理信息化的步伐,进一步提高档案信息的保护意识,同时采取必要的安全保障措施,引进和培养专门管理人才,才能保障电子档案的信息安全。
参考文献
[1] 薛四新.现代档案管理基础.机械工业出版社.
[2] 郑金月.信息陷阱.新华出版社.
[3] 孙强.信息安全管理.全球最佳实务与实施指南[M].
[4] 薛会军.我国信息安全面临的威胁及应对策略[J].中国无线电管,2002(4):34-35.
【电子商务安全对策】推荐阅读:
电子商务发展对策论文09-11
电子商务交易安全问题09-27
电子商务安全问题典型案例11-02
电子商务的安全性探讨11-06
电子商务的信息安全教学案例10-11
网络环境下,电子商务安全策略的研究07-23
电子商电子商务是什么10-17
农村电子商务06-08
电子商务——联想07-10
