电子商务安全问题典型案例(共8篇)
淘宝“错价门”引发争议
互联网上从来不乏标价1元的商品。近日,淘宝网上大量商品标价1元,引发网民争先恐后哄抢,但是之后许多订单被淘宝网取消。随后,淘宝网发布公告称,此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称:“服务器可能被攻击,已联系技术紧急处理。”这起“错价门”事件发生至今已有两周,导致“错价门”的真实原因依然是个谜,但与此同时,这一事件暴露出来的我国电子商务安全问题不容小觑。在此次“错价门”事件中,消费者与商家完成交易,成功付款下了订单,买卖双方之间形成了合同关系。作为第三方交易平台的淘宝网关闭交易,这种行为本身是否合法?蒋苏华认为,按照我国现行法律法规,淘宝网的行为涉嫌侵犯了消费者的自由交易权,损害了消费者的合法权益,应赔礼道歉并赔偿消费者的相应损失。
总结:目前,我国电子商务领域安全问题日益凸显,比如,支付宝或者网银被盗现象频频发生,给用户造成越来越多的损失,这些现象对网络交易和电子商务提出了警示。然而,监管不力导致消费者权益难以保护。公安机关和电信管理机关、电子商务管理机关应当高度重视电子商务暴露的安全问题,严格执法、积极介入,彻查一些严重影响互联网电子商务安全的恶性事件,切实保护消费者权益,维护我国电子商务健康有序的发展。
案例二:
黑客热衷攻击重点目标
国外几年前就曾经发生过电子商务网站被黑客入侵的案例,国内的电子商务网站近两年也发生过类似事件。浙江义乌一些大型批发网站曾经遭到黑客近一个月的轮番攻击,网站图片几乎都不能显示,每天流失订单金额达上百万元。阿里巴巴网站也曾确认受到不明身份的网络黑客攻击,这些黑客采取多种手段攻击了阿里巴巴在我国大陆和美国的服务器,企图破坏阿里巴巴全球速卖通台的正常运营。随着国内移动互联网的发展,移动电子商务也将迅速发展并给人们带来更大便利,但是由此也将带来更多的安全隐患。黑客针对无线网络的窃听能获取用户的通信内容、侵犯用户的隐私权。
随着电子商务经济规模的不断发展和业务扩展, 就得需要相应的法律法规来进行行为约束。电子商务法是用来调整在电子商务经济活动过程中行为的法律规范, 在中等职业院校教学中, 电子商务法是电子商务专业的基础课程、核心课程。而《电子商务法》课程就是以电子商务法律理论为基础, 通过对大量的电子商务行为现象进行研究和分析, 来发现电子商务法的规律。
1.中职电子商务基础课程案例教学现状及存在的问题
实际的课程教学中, 这种课程案例教学方式的优势和作用并没有显现出来, 有的时候课程案例经常与实际情况和理论严重脱节。在课程案例教学过程中, 学生往往不知道怎样去进行分析, 而是一味的听老师进行讲解。根据当前中职电子商务基础课程案例教学中存在的问题总结出以下方面:
1.1教师缺乏专业的实践经验
电子商务专业是我国教育中的新兴专业学科, 在许多中职院校开设电子商务相关课程的时间并不长, 学习具有专业水平和教学经验的教师并不多。像许多中职院校电子商务学科的教师都是从其它的学科专业转过来的, 由于电子商务实践经验和能力不强, 所以在课程教学中难以取得预期的效果。
1.2教学课时比较少
课程教学的学时少是中职电子商务基础课程教学中一个比较突出的问题。我想大家也都了解, 中职电子商务基础课程在中职院校教学中一般只开设一个学期。因为中职电子商务基础课程案例教学内容比较丰富, 而这么少的教学学时很难把握住教学的完整性。
1.3中职院校学生对电子商务法课程兴趣不足
任何一门学科要想达到预期的完美效果, 不仅仅是任课教师的责任和任务, 这更需要教师和学生的共同努力。随着国家不断加大对教育事业的投入, 中职院校不断扩招, 直接导致了学生的综合素质参差不齐, 很多学生在课堂学习中的参与程度较低。
1.4中职电子商务基础课程案例教学相关基础设施薄弱
在中职电子商务基础课程案例教学过程中, 只有创造出一个较好的教学环境和学习氛围也能使案例教学发挥它的最大作用。而许多中职院校的领导对这方面不够重视, 电子商务教学的相关基础设施及硬件无法满足电子商务法课程案例教学的需要。更有一些学校都没有购置相关的电子商务法教学软件。
2.针对以上问题的建议和对策
2.1提升教师电子商务专业课程的实践能力
中职院校领导和教师应该共同努力, 为教师提升中职电子商务基础课程的教学实践能力创造出有利的环境。首先, 学校需加强师资队伍建设;其次, 多和电子商务企业进行接触、合作;最后, 教师本人要多抽出一些时间来加强自身的学习, 多关注互联网、电子商务、电子商务法在国内外的最新动态。
2.2合理的运用互联网、多媒体教学案例, 掌握好时间
因为在中职电子商务基础课程案例教学中, 教学和学习的时间比较少, 所以就应该在有限的时间和资源内, 注重教学和学习的质量。充分利用互联网和多媒体案例教学的优势, 在有限的时间内把握关键。教师和学生要进行有效的沟通和交流。
2.3创造教学课堂活跃气氛, 激发学生的积极性
中职电子商务基础专业课程教师要适当改变自己的教学方式, 充分利用案例教学的课堂环境, 活跃课堂气氛, 调动学生的学习兴趣。将学生进行分组讨论和学习, 每组5—8人。
2.4加强对案例教学所需要的基础及硬件设施建设
在中职电子商务基础课程案例教学中, 教学所需要的硬件、软件设施对其起到着重要的影响作用。所以, 学校应该注重和提高硬件和软件基础设施的投入, 建设科学合理的教学环境。在资金和条件等资源允许的情况下, 可以购置一些“矩形桌”“圆形桌”等, 这样可以改善教学环境, 方便学生学习。
2.5强化案例的内容, 明确教学的目标
针对以往中职电子商务基础课程案例教学存在的“重形式、轻内容”等现状, 可以加强对案例内容质量进行强化。我们都知道, 中职电子商务基础是电子商务专业的核心课程、基础课程, 而电子商务是一门必修专业, 同样电子商务法也是一门必修课程。
3.总结
随着我国社会科技和市场经济的水平不断提高, 这十多年来电子商务的发展非常迅猛, 像一些网上购物交易平台B2B、B2C等。中职电子商务基础是一门应用性和实践性非常强的必修课程, 而课程案例教学是在中职电子商务基础课程教学中的一种主要的教学方式, 同时也是今后教学的发展趋势。
参考文献
[1]孙芸.谈案例教学法在中职专业课教学中应注意的问题[J].时代报告月刊, 2011, (9) :137-138.
[2]吴越.中职电子商务专业教学存在的问题及解决措施[J].新课程研究旬刊, 2013, (6) :165-166.
[3]矫宏博.任务驱动法在中职国际商务基础课程教学中的适用分析[J].中国电子商务, 2011, (4) :211-212.
关键词:电子商务;安全问题
一、电子商务的概念
(一)电子商务的定义
目前,尚未有一个关于电子商务的准确定义,世界贸易组织(WTO)给电子商务下的定义为:电子商务是指以电子方式进行的商品和服务之生产、分配、市场营销、销售或交付。经济合作发展组织(OECD)认为:电子商务是指商业交易,它包括组织与个人在基于文本、声音、可视化图象等在内的数字化数据传输与处理方面的商业活动。①尽管电子商务的定义在内容上各有侧重,但是笔者认为对于电子商务的内涵,一般应至少包括下列三方面的内容:①使用电子工具,借助互联网传输信息;②在公开环境下交易;③依靠一定的技术规范和技术标准,利用数据化的信息来进行交易。
电子商务业务可以分为两大类:非支付型业务和支付型业务。前者包括税务申报、电子选举、证书发放、在线报表、安全政务等业务。后者包括各种电子银行业务、代缴代付业务、银证转账业务、银企转账业务、电子证券业务、网上购物业务等。本文主要针对支付性业务的安全问题进行阐述。
(二)电子商务的特点
与传统商务相比,电子商务具有许多特点:
(1)电子商务由于借助互联网,这就使得经济交易突破了空间的限制,可以在全球范围内进行交易。
(2)在电子商务中,电子数据的传递、编制、发送、接收都由精密的电脑程序完成,更加精确、可靠。
(3)电子商务是一种快速、便捷、高效的交易方式。在电子商务中,信息的传递通过网络完成,速度很快,可以节省宝贵的交易时间。
(4)电子商务的进行采取无纸形式,因此进行过程往往以电子数据形式储存在电子系统里。
(5)EDI系统的采用使得电子商务的交易过程可能是自动化的。
上述特点,是电子商务独有的,传统商务无法实现。因此也可以看作是电子商务与传统商务的区别。
二、电子商务的安全问题
(一)电子商务的安全性要求
安全与效率,是一切经济交易必须考虑的两个问题。电子商务,作为一种新的经济交易方式,它只是在表现形式上与传统商业不同,但是这并没有改变其商业属性,这就要求电子商务的运作必须遵循商业活动的一般规律②,否则,电子商务是无法发展的。同时,从电子商务的特点来看,买卖双方是通过网络联系的,彼此远隔千山万水而仅仅是通过网络获得彼此信息,因此建立交易双方的安全和信任关系相当困难,同时也使得的上述安全和信任关系的验证也很困难。从传统商业与电子商务的不同特点来看,要满足电子商务的安全性要求,至少要有下面几个问题需要解决:
1.交易前交易双方身份的认证问题
电子商务是建立在网络平台上的虚拟空间中的商务活动,交易的当事人可能处在不同的国家,他们并不直接见面,双方只能通过数据、符号、信号等进行判断、选择,具体的商业行为也依靠电子信号和数据的交流,交易的当事人再也无法用传统商务中的方法来保障交易的安全。
2.交易中电子合同的法律效力问题以及完整性保密性问题
在传统商事法律中,合同形式要求为书面,而电子商务中的合同是电子合同,与传统的书面形式存在很大的不同,其法律效力如何取决于法律的有关规定。而且,由于电子商务所依赖的互联网平台本身具有开放性的特点,交易双方的数据如何避免被他人截取和篡改,以保证其完整性和保密性,这都是电子商务发展必须面对和解决的问题。
3.交易后电子记录的证据力问题
在我国,诉讼法中并未对电子记录的证据力作出明确规定,甚至也没有将其单列出来作为证据的一种。
上述这些问题是实现电子商务安全所必须解决的问题。笔者将针对这些问题,从电子商务的法律安全问题角度进行分析。
(二)电子商务的法律安全
1.电子合同的法律效力
要保证电子商务的安全运营,法律的保障是不容忽略的。合同是商业交易的内容,随着电子商务的发展,许多国家都运用法律手段来确定电子合同的效力。美国、欧盟等有关电子商务的法律文件都对电子合同进行了规范,我国《合同法》③也顺应时代发展的潮流,对电子合同这种新型合同形式也作了一些简单的规定。电子合同的形式及法律效力我国《合同法》第十条规定:当事人订立合同,有书面形式、口头形式和其他形式。第十一条规定:书面形式是指合同书、信件和数据电文(包括电报、电传、传真、电子数据交换和电子邮件)等可以有形地表现所载内容的形式。这说明我国已经承认了电子合同的法律效力,并规定电子合同形式为书面形式。这种规定虽很简单,但对于我国电子商务的发展却是意义深远。同时,联合国国际贸易法委员会在96年12月通过的《电子商业示范法》第6条中写明:“如果法律要求信息须采用书面形式,则假若一项数据电文所包含信息可以调取以备日后查用,即满足了该项要求。”并且在第11条中规定:“就合同的订立而言,除非当事各方另有协议,一项要约以及对要约的承诺均可通过数据电文的手段表示。如使用了一项数据电文来订立合同,则不得仅仅以使用了数据电文为理由而否定该合同的有效性或可执行性。”④美国的《统一电子交易法》中也有类似的规定。以上这些法律文件实际上已经承认了电子合同,并且赋予其与传统合同形式相同的法律效力。
2.电子签名的法律效力
在电子合同中,合同的完整性和保密性主要是通过电子签名来实现的。很多国家在法律上都承认了电子签名的效力。美国的《统一电子交易法》中规定:①一个记录或签名的效力或可执行性不得仅因其为电子形式而被否认;②一个合同的效力或可执行性不得仅因合同的成立中用了电子记录而被否认;③如果某一法律要求记录为书面形式,则电子记录即满足了该法的要求;④如果某一法律要求有签名,则电子签名即满足了该法律的要求。⑤上述规定从法律上承认了电子签名的效力,有利于加强电子商务的安全和促进电子商务的发展。
3.电子记录的证据力问题
与传统合同不同,电子合同的证据是电子化的,容易被伪造和篡改,而且很难发现改动的痕迹。因此,电子合同的证据力在传统证据规则中,是受到限制的。针对这个情况,联合国国际贸易法委员会在《电子商业示范法》第9条中规定:对于以数据电文为形式的信息,应给予应有的证据力。在评估一项数据电文的证据力时,应考虑到生成、储存或传递该数据电文的办法的可靠性,保持信息完整性的办法的可靠性,用以鉴别发端人的办法,以及任何其他相关因素。⑥这一规定既考虑到了电子记录自身的特点,又赋予了其应有的证据力,是对传统证据规则的突破,有利于电子商务的安全运营。
三、加强我国电子商务安全的思考
为了保障电子商务的安全性,目前,一些国际组织已先后制订了一些规定,但是,商家的商业信誉远远不够,在电子商务的环境中,人们对安全性更是普遍存有疑虑。这些已经成为阻碍我国电子商务发展的一个重要因素。如何保障我国的电子商务安全运营,已经成为关系到我国未来经济发展的一个重要问题。对此,笔者认为应努力做到以下几点:
(一)对电子商务进行专门立法
电子商务是一个新生事物,很多方面不同于传统商务,与传统的法律规范体系也存在着诸多的不相容之处,而且,传统的法律规范体系中还有许多电子商务方面的空白。这一情况已经在实践中引起了不少的问题。我国的电子商务是近年才发展起来的,目前规范电子商务的相关的法律法规极为有限。在法律的层次上,只有1997年《中华人民共和国刑法》和1999年《中华人民共和国合同法》对相关问题作了简单规定。例如,我国1997年修订的《刑法》中增加了关于计算机犯罪的条文,1999年通过的《合同法》对电子合同的书面形式、生效时间地点等作了规定。但是,这种规定太过简单,远远不能满足电子商务发展的需要。例如,对于电子认证的效力、虚假电子认证等重要的问题,我国法律还没有规定,这已经成为阻碍我国电子商务发展的重要问题。因此,我国应大力加强电子商务法制化建设,制订专门的《电子商务法》,对电子商务当事人的权利义务、电子合同法律关系、电子签名、电子认证、网上知识产权的保护、电子支付等问题进行专门规定,使之适应电子商务发展的需要。在刑法中,对电子商务领域的犯罪进行规定。从而在法律上,为电子商务提供一个良好的发展环境。
(二)建设我国的电子商务认证机构体系
电子商务认证机构是电子商务中的重要部门,其担负着维护电子交易安全的责任。因此,要完善我国的电子商务安全运营,必须建立我国的电子商务认证体系。在目前存在的三种电子商务认证机构模式中,由于我国电子商务刚刚发展起来,不完善的地方很多,很多普通的消费者对电子商务还不很了解,而且在交易双方的力量对比悬殊的情况下,弱势一方很难通过谈判来取得公平的结果,因此当事人自由约定的电子商务认证体系不适合我国的实际情况。至于政府主导的电子商务认证体系,虽然政府可以对认证中的许多问题作出详细规定,并且认证结果通用性强。但是,这种方式行政色彩过浓,不利于电子商务按照商业规律自主发展。因此,目前来看,行业协会主导的电子商务认证体系是更适合我国国情的一种选择。行业协会更了解认证机构的运作,更能有效的对其进行监管。这种认证体系,把电子商务的商业发展的自主性、安全性要求与认证机构的行业特点有效地结合起来。同时,应当规定作为认证机构的指导机构,认证机构行业协会有权对认证的效力进行规定,并且有权规定认证机构的行业准则,对各个认证机构的业务活动进行监管,对违反行业规则的行为进行制裁和处罚。
但另一方面,我国的电子商务认证系统还远不成熟,仍有许多需要完善的地方。我们必须对此给予充分的重视,以便为电子商务的安全发展提供组织保障。
(三)从技术上为电子商务提供安全保障
大力推进加密技术、认证技术等技术的发展,从技术上为电子商务提供安全保障,电子商务的产生、发展是科技发展的结果,其安全运营也要依靠技术给予的保障。因此,为加强电子商务的安全性,我们必须大力推进科技的发展,使技术满足电子商务的安全运营要求。
(四)加强国际合作,与国际接轨
电子商务的一个特点就是无国界,可以全球交易。适应这一特点,我们必须加强国际合作。在立法上,我们必须考虑到国内法律、国际条约与行业惯例,使我们将来的《电子商务法》适应国际贸易发展的需要。在技术上,我们也要加强国际合作,共同推进电子商务的发展。另外,我们还要积极地参加有关的国际会议,了解电子商务发展的最新国际动态,努力与国际接轨。同时,我们也要通过国际合作,来积极维护我们的国家利益。
四、结语
电子商务出现于20世纪90年代,发展的时间并不长,但与传统商务相比,电子商务具有惊人的发展速度。我国的电子商务近年来发展也很快,但是有关的安全保障还未建立起来。这已经成为影响我国电子商务发展的一个障碍。
为此,我们必须加快建设有关的电子商务安全系统。这将是一个综合性的、涉及全社会的系统工程。惟有如此,我们才能顺应时代潮流,推动我国经济的发展;也惟有如此,我们才能在经济全球化的今天,参与到国际竞争中去,并进而赢得竞争的优势。
注释:
①周忠海.《电子商务法导论》.北京邮电大学出版社,P3
②蒋坡.《电子商务法律制度的内核》.《法学》.2000年第12期,P31
③指1999年《中华人民共和国合同法》
④阚凯力,张楚.《外国电子商务法》.北京邮电大学出版社,P266-268
⑤阚凯力,张楚.《外国电子商务法》.北京邮电大学出版社,P19
⑥阚凯力,张楚.《外国电子商务法》.北京邮电大学出版社,P267
参考文献:
[1]高媛,欧阳志明,石晓军.《电子商务》.企业管理出版社,1999年
[2]包晓闻,张海堂.《电子商务-21世纪,世界商务发展的潮流》.经济科学出版社,1999年
[3]蒋建平,杨毅.《电子合同的效力问题》.《律师世界》,1999年第11期
作者简介:
一、典型安全问题
1、安全管理
⑴、未按规定配备专职安全员
⑵、未制定安全管理目标(伤亡控制指标和安全达标、文明施工目标)⑶、专项方案(安全措施)针对性不强 ⑷、专项方案(安全措施)未落实 ⑸、无书面安全技术交底 ⑹、安全技术交底针对性不强 ⑺、安全技术交底未履行签字手续 ⑻、无定期安全检查记录 ⑼、检查出事故隐患未按规定整改 ⑽、未按规定进行安全教育 ⑾、班组安全活动无记录 ⑿、特种作业人员无证上岗 ⒀、未建立工伤事故档案
2、文明施工
⑴、材料未按规定堆放整齐 ⑵、易燃易爆物品未分类存放 ⑶、在建工程兼做宿舍
⑷、现场未按规定配置消防灭火器材或配置器材数量不符合要求 ⑸、未执行动火审批手续和动火监护 ⑹、宿舍通风差,不整洁
⑺、现场无保健区药箱、急救措施和急救器材 ⑻、未建立施工不扰民措施
3、施工用电
⑴、未达到三级配电、两级保护 ⑵、总电源处动力和照明供电未分开 ⑶、无总漏电保护装置 ⑷、电缆电线随地敷设
⑸、电缆电线未使用绝缘材料固定
⑹.工作零线和保护零线从总电源处未分开设置 ⑺、未按规定选用安全电压
⑻、照明末端各单相回路中未设置漏电保护器 ⑼、室内外照明线用花线、塑胶线
⑽、用电设备未设专用开关箱,无专用漏电保护器 ⑾.、箱体和箱内低压电器选用、安装不当
4、施工机具
⑴、中小型施工机械露天使用,无操作防护棚 ⑵、中小型施工机械传动部位无防护罩 ⑶、机械不使用时未切断电源 ⑷、使用前未按规定进行验收 ⑸、焊接机械外侧防护挡板不全 ⑹.电焊机一、二次无防护罩 ⑺、焊机一次侧未装漏电保护装置 ⑻、焊机一次侧导线截面过小 ⑼、原手持电动工具上电源线加长 ⑽、手持电动工具外壳破裂
⑾、在危险场合使用1类手持电动工具 ⑿、氧气、乙炔瓶使用时,间距小于5米
⒀、氧气、乙炔瓶使用时距离明火小于10米,无隔离措施 ⒁、乙炔气瓶未直立使用 ⒂、乙炔气瓶使用时无回火装置
⒃、露天高温时使用氧气、乙炔瓶无防晒措施 ⒄、气瓶存放处不符合要求
5、三宝、四口
⑴、施工现场作业人员未配戴安全帽进入施工现场 ⑵、安全帽配戴不符合要求 ⑶、预留洞口未设安全防护
二、防范措施
(1)落实安全责任、实施责任管理
建立、完善以项目经理为第一责任人的安全生产领导组织,承担组织、领导安全生产的责任;建立各级人员的安全生产责任制度,明确各级人员的安全责任,抓责任落实、制度落实。(2)安全教育与培训 管理与操作人员应具备安全生产的基本条件与素质;经过安全教育培训,特种作业(电工作业,电、气焊作业等)人员,必须经专门培训、考试合格并取得特种作业上岗证,方可独立进行特种作业。(3)安全检查
安全检查是发现危险源的重要途径,是消除事故隐患,防止事故伤害,改善劳动条件的重要方法。(4)作业标准化
按科学的作业标准,规范各岗位、各工种作业人员的行为,是控制人的不安全行为,防范安全事故有效措施。(5)生产技术与安全技术的统一
生产技术与安全技术在保证生产顺利进行、实现效益这一共同基点上是统一的,体现出“管生产必须同时管安全”的管理原则和安全生产责任制的落实。(6)施工现场文明施工管理
施工现场文明施工管理是消除危险源,防范安全事故必不可少的内容,现场文明施工管理包括现场管理(包括现场治安保卫工作管理)、料具管理、环保管理、卫生管理等四项内容。(7)正确对待事故的调查与处理
安全事故是违背人们意愿且又不希望发生的事件,一旦发生安全事故,应采取严肃、认真、科学、积极的态度,不隐瞒、不虚报,保护现场、抢救伤员,进而分析原因、制定避免发生同类事故的措施。
三、安全对策
(一)坚持“安全第一,预防为主,综合治理”的安全生产方针。人是生产力的主体,发扬“以人为本”的安全理念,创造更加安全、高效的作业环境,制定现代化的安全管理制度,通过多种形式的宣传教育来提高员工的安全意识。
(二)依法进行安全宣传、教育
国务院在2001年制定了《特大安全事故行政责任追究的规定》,并且新《刑法》、《安全生产法》、《劳动法》、《建筑法》、《消防法》等对在安全工作中的违法行为都作了相应的处罚规定。2014年12月1日施行的《安全生产法》中就有规定,从业人员有获得安全教育和培训的权利。因此,安全宣传、教育要上升到法律的高度,要让管理人员和被管理人员知道:违章指挥、违章作业、违反劳动纪律就是违法行为,就是犯罪。
(三)严格查处事故隐患,隐患整改要落实到位
人的不安全行为、物的不安全状态和不良的作业环境导致了事故隐患的产生,大多数的事故都是违章操作造成的。因此要组织多种形式的安全检查,及时发现事故隐患,按照定责任人、定整改措施、定整改期限的“三定”原则,狠抓隐患治理工作,把事故消灭在萌芽阶段。
(四)落实安全生产责任制,杜绝安全管理缺陷,安全生产责任制是根据安全生产法规建立的各级领导、职能部门、工程技术人员、岗位操作人员对安全生产层层负责的制度。它是保证安全生产的重要组织措施。管理缺陷是事故发生的本质原因之一。因此,力求安全管理零缺陷就能有效减少事故的发生。安全管理的基本原则是:安全第一的原则,预防为主的原则,群治群防、防治结合的原则,科学管理的原则。
(五)制定安全事故应急处理预案
重(特)大安全事故应急处理预案是指政府或企业为减少事故后果而预先制定的抢险救灾方案,是进行事故救援的行动指南。制定预案的主要目的有:(1)使任何可能引起的紧急情况不扩大,并尽可能地排除他们;(2)减少重特大安全事故造成的人员伤亡和财产损失及对环境的不利影响。
四、典型事故控制措施
1、高处作业事故的控制━高处作业人员必须身体健康,有影响员工作业的有疾病的人员不得从事高处作业活动,员工有饮酒或精神不振的禁止攀高作业,要进行危险源公示及告知,使作业人员事先对危险源有知情权,并将项目的控制措施以安全交底形式让员工知道并确认,要有防止人员坠落的具体措施。
2、物体打击事故的控制━高处作业场所可能坠落的物体应当先行撤出或予以固定(消除了物的不安全因素),材料或工具传递必须使用绳子系实,禁止上下抛掷,在双层同时作业时,中间必须搭设严密牢固的防护隔板或隔离设施,下层作业人员必须戴安全帽操作,有高处作业时,在工作地面上必须设置警示标志,除有关人员外,不准他人在工作范围内通行或逗留。
3、机械伤害事故的控制━所有机械操作者必须培训合格,持证上岗,并定期教育培训和年审培训(每年不得少于40学时)制定和完善各种设备安全操作规程,并放置在设备处。(安全不能不计成本,配电箱的设置要匹配,不要大了,大了费钱。但投入的要合理使用,在安全的前提下重复利用,最终目的是投入的安全费用小于事故的赔偿费用)(机械设备不能带病作业)
4、触电事故的控制━电工必须持证上岗,所用绝缘类工具应妥善保管、严禁他用,并要做到定时检查、校验,施工用电设备必须严格按《施工现场临时施工用电安全技术规范》执行,施工和生活区用电严禁乱拉乱接,并且绝缘良好,设置高度严格执行规范要求;手持电动工具的绝缘情况必须定期进行绝缘电阻值测试,达不到要求的禁止使用,完善各类记录,并确保真实有效。
1.防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,并监视网络运行状态。简单防火墙技术可以在路由器上实现,而专用防火墙提供更加可靠的网络安全控制方法。
防火墙的安全策略有两条。一是“凡是未被准许的就是禁止的”。防火墙先是封闭所有信息流,然后审查要求通过的信息,符合条件的就让通过;二是“凡是未被禁止的就是允许的”,防火墙先是转发所有的信息,然后再逐项剔除有害的内容,被禁止的内容越多,防火墙的作用就越大。网络是动态发展的,安全策略的制定不应建立在静态的基础之上。在制定防火墙安全规则时,应符合“可适应性的安全管理”模型的原则,即:安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。防火墙技术主要有以下三类:
●包过滤技术(PackctFiltering)。它一般用在网络层,主要根据防火墙系统所收到的每个数据包的源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包中的各种标志位来进行判定,根据系统设定的安全策略来决定是否让数据包通过,其核心就是安全策略,即过滤算法的设计。
●代理(Proxy)服务技术。它用来提供应用层服务的控制,起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受代理提出的服务请求,拒绝外部网络其它节点的直接请求。运行代理服务的主机被称为应用机关。代理服务还可以用于实施较强的数据流监控、过滤、记录等功能。
●状态监控(StatcInnspection)技术。它是一种新的防火墙技术。在网络层完成所有必要的防火墙功能――包过滤与网络服务代理。目前最有效的实现方法是采用CheckPoint)提出的虚拟机方式(InspectVirtualMachine)。
防火墙技术的优点很多,一是通过过滤不安全的服务,极大地提高网络安全和减少子网中主机的风险;二是可以提供对系统的访问控制;三是可以阻击攻击者获取攻击网络系统的有用信息;四是防火墙还可以记录与统计通过它的网络通信,提供关于网络使用的统计数据,根据统计数据来判断可能的攻击和探测;五是防火墙提供制定与执行网络安全策略的手段,它可以对企业内部网实现集中的安全管理。
防火墙技术的不足有三。一是防火墙不能防止绕过防火墙的攻击;二是防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点控制,因此可能受到黑客的攻击;三是防火墙不能保证数据的秘密性,不能对数据进行鉴别,也不能保证网络不受病毒的攻击。
2.加密技术。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥,可用同一加密算法,将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据,称为解密。
密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在加密与解密过程中使用相同的密钥加以控制,它的保密度主要取决于对密钥的保密。它的特点是数字运算量小,加密速度快,弱点是密钥管理困难,一旦密钥泄露,将直接影响到信息的安全。非对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制,加密密钥是公开的,解密密钥是保密的。它的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。算法的核心是运用一种特殊的数学函数――单向陷门函数,即从一个方向求值是容易的,但其逆向计算却很困难,从而在实际上成为不可能。
除了密钥加密技术外,还有数据加密技术。一是链路加密技术。链路加密是对通信线路加密;二是节点加密技术。节点加密是指对存储在节点内的文件和数据库信息进行的加密保护。
3.数字签名技术。数字签名(DigitalSignature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。
在书面文件上签名是确认文件的一种手段,其作用有两点,一是因为自己的签名难以否认,从而确认文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。数字签名与书面签名有相同相通之处,也能确认两点,一是信息是由签名者发送的,二是信息自签发后到收到为止未曾做过任何修改。这样,数字签名就可用来防止:电子信息因易于修改而有人作伪;冒用别人名义发送信息;发出(收到)信件后又加以否认。
广泛应用的数字签名方法有RSA签名、DSS签名和Hash签名三种。RSA的最大方便是没有密钥分配问题。公开密钥加密使用两个不同的密钥,其中一个是公开的,另一个是保密的。公开密钥可以保存在系统目录内、未加密的电子邮件信息中、电话黄页上或公告牌里,网上的任何用户都可获得公开密钥。保密密钥是用户专用的,由用户本身持有,它可以对公开密钥加密的信息解密。DSS数字签名是由美国政府颁布实施的,主要用于
跟美国做生意的公司。它只是一个签名系统,而且美国不提倡使用任何削弱政府窃听能力的加密软件。Hash签名是最主要的数字签名方法,跟单独签名的RSA数字签名不同,它是将数字签名和要发送的信息捆在一起,所以更适合电子商务。
4.数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳(DigitaTimestamp)的数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名。
时间戳(Time-Stamp)是一个经加密后形成的凭证文档,包括三个部分。一是需加时间戳的文件的摘要(Digest),二是DTS收到文件的日期与时间,三是DIS数字签名。
时间戳产生的过程是:用户首先将需要加时间的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。书面签署文件的时间是由签署人自己写上的,数字时间则不然,它是由认证单位DIS来加的,以DIS收到文件的时间为依据。
数字认证及数字认证授权机构
1.数字证书。数字证书也叫数字凭证、数字标识,它含有证书持有者的有关信息,以标识他的身份。数字证书克服了密码在安全性和方便性方面的局限性,可以控制哪些数据库能够被查看,因此提高了总体的保密性。
数字证书的内容格式是CCTTTX.509国际标准规定的,通常包括以下内容:证书所有者的姓名;证书所有者的公共密钥;公共密钥(证书)的有效期;颁发数字证书单位名称;数字证书的序列号;颁发数字证书单位的数字签名。
数字证书通常分为三种类型,即个人证书、企业证书、软件证书。个人证书(PersonalDigital)为某一个用户提供证书,帮助个人在网上安全操作电子交易。个人数字证书是向浏览器申请获得的,认证中心对申请者的电子邮件地址、个人身份及信用卡号等核实后,就发给个人数字证书,并安置在用户所用的浏览器或电子邮件的应用系统中,同时也给申请者发一个通知。企业证书,就是服务器证书(ServerID),是对网上服务器提供的一个证书,拥有Web服务器的企业可以用具有证书的Internet网站(WebSite)来做安全的电子交易。软件证书通常是为网上下载的软件提供证书,证明该软件的合法性。
2.电子商务数字认证授权机构。电子商务交易需要电子商务证书,而电子商务认证中心(CA)就承担着网上安全电子交易认证服务、签发数字证书并确认用户身份的功能。
CA主要提供下列服务:有效实行安全管理的设施;可靠的风险管理以及得到确认和充分理解。接受该系统服务的电子商务用户也应充分信任该系统的可信度。CA具有证书发放、证书更新、证书撤销、证书验证等四大职能。
关键词:电子文档 信息安全 信息化
论文摘要:电子文档在当前办公环境中发挥着重要作用,其安全问题理应引起高度重视。由于电子文档本身的特点,其在制作、使用、销毁等环节面临很多安全隐患和威胁。在对上述问题进行深入分析的前提下,提出了保护电子文档的思路与对策。
随着各行业在生产、管理上信息化程度日益增高,计算机和网络已经成为政府、企事业单位日常办公不可缺少的重要工具,电子文档已成为办公信息的重要载体。11月28日,维基解密网站泄露了25万份美国驻外使馆发给美国国务院的秘密文传电报。这个事件震惊了全球,同时也反映了当前电子文档面临着严重的威胁。电子文档看得见,摸不着,在保密性、完整性、可读性等方面存在很多安全问题。
1 电子文档的定义及特点
所谓电子文档是指人们在社会活动中形成的,以计算机盘片、磁盘和光盘等化学磁性材料为主要载体的`文字材料。它主要包括电子文书、电子信件、电子报表、电子图纸等。电子文档主要有以下六个特点:存储介质多样、容易编辑修改、容易传递、容易复制、容易损坏丢失、容易还原再生。
1)存储介质多样。电子文档存储介质很多,目前主要有计算机硬盘、各种光盘、U盘、闪盘,甚至手机和娱乐用的数码产品也可以用来存储电子文档。
2)容易编辑修改。借助于各种专业软件,可以很容易的编辑修改电子文档,而且修改的痕迹很难发现。这是电子文档有别于纸质文件的优点之一,但是如果不能很好的保护,就可能受到非法的修改,会破坏文档的完整性和可读性,给文档所有者带来一定程度的损失,这时候它又变成一个缺点。
3)容易传递。纸质文件的传递必须要当面递送,而电子文档的传递则方便很多。借助于网络,通过电子邮件、即时通讯工具、FTP服务等方式可以快捷方便的传给有关人员。
4)容易复制。电子文档相比纸质文档非常方便快捷。如果不采取技术手段限制拷贝,通过点击几下电脑鼠标就能轻松完成复制。这样,人们就可以非常方便地进行信息共享。
5)容易损坏丢失。一是存储介质物理损坏或者丢失。电子文件对保存场地的面积要求不高,而对环境的温湿度、防磁性等条件的要求很高,磁盘不能长期保存。磁盘、光盘、U盘等存储介质如果损坏,那么相应存储的电子文档也就不能读取使用。一些U盘、闪盘体积很小,容易丢失,相应会造成电子文档丢失。二是电子文档容易被误操作删除,或者被病毒破坏。如果文件被删除不及时恢复,有可能永远无法恢复。
6)容易还原恢复。电子文档误删后,可以通过数据恢复软件还原,这本来是电子文档的又一个优点,但是对一些原本要删除的机密的文件,又存在被非法还原的隐患。有研究表明,普通的删除和格式化根本不能将数据彻底清除,硬盘被改写12次还能将原有数据还原,只要存储介质未被物理损坏,进行特殊处理就能将数据还原。
2 电子文档寿命过程
电子文档寿命过程可以分为三个阶段:制作保存、传递使用、归档销毁。
1)制作保存阶段。主要是指工作人员为了工作需要撰写、编辑生成电子文件,并保存在某些介质上的阶段。电子文档的制作一般在计算机上操作,制作完成后可以保存在计算机硬盘、U盘、光盘等各种介质上。
2)传递使用阶段。主要指按照规定将电子文档传递给相关人员查看的阶段。主要途径包括电子邮件、FTP等网络方式,也包括通过光盘、U盘等物理方式进行传递。
3)归档销毁阶段。主要是指在电子文档使用完后,需要保存的由档案部门保管,其他部门和人员所存电子稿销毁的阶段。归档以后,服务器及所有处理过本文档的计算机及存储介质都应将文件删除,相关存储介质也要进行处理。
3 电子文档面临的安全威胁分析
电子文档面临的安全威胁整体来说可分为内部泄密和外部泄密两大类型。
3.1 内部泄密
主要是指内部人员有意或者无意将重要电子文档泄露,在电子文档的整个生命过程中,内部泄密的威胁都存在,而且很难防范。
1)无意泄密是指内部人员在不知情的情况下将涉密电子文档泄露。无意泄密最常见的就是内部计算机非法外联和移动存储介质交叉使用。有的人缺乏安全知识,将处理过涉密电子文档的计算机重新安全后接入互联网,就有可能被情报人员将涉密文档还原。移动存储介质未经授权在内部计算机使用,内部移动存储介质被带出在外部使用,移动存储介质发生故障维修时,里面存储的涉密文档被还原,等都会造成内部涉密文档泄露。移动存储介质带来的隐患还包括攻击者利用移动存储介质对内网进行摆渡攻击,从而窃取更多的涉密电子文档。
2)有意泄密是指内部人员通过各种途径获得涉密电子文档,并主动传递出去。内部人员获取电子文档的途径很多,文稿撰写者可以直接拷贝到U盘、光盘等介质保存,其他人员可以通过网络下载,有阅读权限的人员甚至采用手抄、截屏等方式获得。
3.2 外部泄密
外部泄密主要通过攻击实现。外部泄密的威胁主要存在于电子文档前两个阶段,即制作保存和传递使用过程。具体方式可分为两种:
1)恶意代码。如果内网终端使用时不注意就有可能感染木马、蠕虫、僵尸网络、间谍软件等恶意代码,这是目前造成泄密的主要原因。比如安装未经检测的软件,使用来历不明的存储介质,防护软件安装不到位等,都有可能感染恶意代码。一旦感染,恶意的代码就会通过网络窃取重要信息,伺机往外部发送。
2)网络入侵。攻击者借助各种手段,对特定目标进行渗透,最终控制目标,进而获取所需的信息。从攻击类型看,当前主要有物理攻击、主动攻击和被动攻击三种类型。
4 电子文档保护的对策与思路
(一)电子商务的概念
电子商务出现于20世纪90年代,发展的时间并不长,但与传统商务相比,电子商务具有惊人的发展速度。CNN公布的资料表明,1999年度全球电子商务销售额突破1 400亿美元。但是,究竟什么是电子商务呢?实际上,迄今为止,电子商务还没有一个被广泛接受的概念。
世界贸易组织(WTO)给电子商务下的定义为:电子商务是指以电子方式进行的商品和服务之生产、分配、市场营销、销售或交付。
经济合作发展组织(OECD)认为:电子商务是指商业交易,它包括组织与个人在基于文字、声音、可视化图像等在内的数字化数据传输与处理方面的商业活动。
世界各国对电子商务的理解也不尽相同。尽管电子商务的定义在内容上各有侧重,但是我认为电子商务的内涵一般应至少包括下列三方面内容:
(1)使用电子工具,借助互联网传输信息。
(2)在公开环境下交易。
(3)依靠一定的技术规范和技术标准,利用数据化的信息来进行交易。
电子商务使用的网络类型主要有三种形式:EDI网络、INTRANET网络和INTERNET网络。由于EDI是专线网络,而INTRANET是企业内部网,其安全性较好,对传统法律规范体系的冲击相对于INTERNET要小的多,因而本文主要讨论的电子商务主要是指借助于INTERNET网络的电子商务。
(二)电子商务的安全的内容及要求
电子商务作为一种新的经济交易方式,它只是在表现形式上与传统商业不同,但是这并没有改变其商业属性,这就要求电子商务的运作必须遵循商业活动的一般规律,否则,电子商务是无法发展的。
安全与效率,是一切经济交易必须考虑的两个问题。电子商务的存在与发展也必须满足这两个要求。对于电子商务而言,其高效性已经得到了人们充分的认可。但是,安全性呢?电子商务作为一种新生事物,世界各国都尚未形成成熟的安全运营模式。如何在网络环境下,构建与传统法律价值接近的规则体系,已经越来越为人们所关注。
从传统商业与电子商务的不同特点来看,要满足电子商务的安全性要求,至少要有下面几个问题需要解决。
1. 交易前交易双方身份的认证问题。
电子商务是建立在互联网络平台上的虚拟空间中的商务活动,交易的当事人可能处在不同的国家,他们并不直接见面,双方只能通过数据、符号、信号等进行判断、选择,具体的商业行为也依靠电子信号和数据的交流,交易的当事人再也无法用传统商务中的方法来保障交易的安全。
2. 交易中电子合同的法律效力问题以及完整性保密性问题。
在传统国际贸易法中,合同形式要求为书面,而电子商务中的合同是电子合同,与传统的书面形式存在很大的不同,其法律效力如何取决于法律的有关规定。而且,由于电子商务所依赖的互联网平台本身具有开放性的特点,交易双方的数据如何避免被他人截取和篡改,以保证其完整性和保密性,这都是电子商务发展必须面对和解决的问题。
3. 交易后电子记录的证据力问题。
在英美法系,传闻证据规则限制了电子记录的证据力。在我国,诉讼法中并未对电子记录的证据力作出明确规定,甚至也没有将其单列出来作为证据的一种。
上述这些问题,已经对传统法律制度造成了冲击,也是实现电子商务安全所必须解决的问题。笔者将针对这些问题,从技术安全、组织安全、法律安全三个角度,对电子商务的安全运营问题进行解析。
二、电子商务安全性的现状及存在的问题
(一)电子商务安全的现状
1. 基础技术相对薄弱
国外有关电子商务的安全技术,其结构或加密算法等都不错,但由于受到本国密码政策的限制,公开的算法对于他们来说几乎不能保密了,潜在安全隐患极大。比较遗憾的是我国至今还没有自己研发成功的较为成熟的算法。
2. 体系结构不完整
电子商务安全以前大都担当着“救火队”的角色,头痛医头,脚痛医脚。这种“治标不治本”的做法下,问题总是层出不穷。近年来,人们已经开始着手从体系结构来解决问题,应当说在理论上已取得了明显的进展,但到实践运用还需要更大的努力。
3. 支持产品不过硬
目前,市场上有关电子商务安全的产品数量不少,但真正通过认证的相当少。主要是因为不少安全措施是从网上“移植”来的。另外,不少电子商务安全技术的厂商对网络技术很熟悉,但对安全技术普遍了解得不多,很难开发出真正实用的、足够的安全技术和产品。目前,构成我国信息基础设施的网络、硬件、软件等产品几乎完全建立在以美国为首的少数几个发达国家的核心信息技术之上。
4. 多种“威胁”纷杂交织、频频发生
电子商务面临的安全威胁主要来源于三个方面:一是非人为、自然力造成的数据丢失、设备失效、线路阻断;二是人为但属于操作人员无意的失误造成的数据丢失;三是来自外部和内部人员的恶意攻击和侵入。最后一种是当前电子商务所面临的最大威胁,极大地影响了电子商务的顺利发展。因此,它是电子商务安全对策最需要解决的问题。
“黑客”攻击电子商务系统的手段可以大致归纳为以下5种:
(1)中断:采取破坏硬件、线路或文件系统等,攻击系统的可用性。
(2)窃取:采取搭线、电磁窃取和分析业务流量等获取有用情报,攻击系统的机密性。
(3)篡改:结合其他手段修改秘密文件或核心内容,攻击内容完整性。
(4)伪造:采取伪造假身份注入系统、假冒合法人接入系统、破坏消息的接受和发送,攻击系统的真实性。
(5)轰炸:采取施放电子邮件炸弹等,攻击系统的健壮性。
(二)电子商务安全的问题
1. 网络的安全性问题
(1)利用IP欺骗进行攻击
黑客伪造LAN主机的IP地址,并根据这个伪造的地址进行不正当的存取。他先使被信任的主机丧失工作能力,同时采用目标主机发出的TCP序列号,猜测出他的数据序列号,然后伪装成被信任的主机,同时建立起与目标主机基于地址经验的应用连接。如果成功,黑客可以进行非授权操作,偷盗、篡改信息。
(2)捕获用户的姓名和口令
黑客通过软件程序跟踪检测软件,可检测到用户的登录名、密码,在获得用户账户的读写权之后,可以对其内容胡乱加以修改,毁坏数据,甚至输入病毒,使整个数据库陷于瘫痪。
(3)使用“拒绝服务”
黑客发送大量的“请求服务”指令,使得WEB服务器或路由器过载而停止服务,使网络处于瘫痪的状态。
(4)非法窃听
黑客通过搭线窃听,截收线路上传输的信息,或者彩电磁窃听,截收无线电传输的信息,以进行敲诈等非法活动。
(5)网络协议安全性问题
2. 交易中电子合同的法律效力问题以及完整性保密问题
在传统国际贸易法中,合同形式要求为书面形式,而电子商务中的合同是电子合同,与传统的书面形式存在很大的不同,其法律效力如何取决于法律的有关规定。而且,由于电子商务所依赖的互联网平台本身具有开放性的特点,交易双方的数据如何避免被他人截取和篡改,以保证其完整性和保密性,这都是电子商务发展必须面对和解决的问题。
3. 交易中的安全性问题
(1)网上诈骗
网上诈骗是世界上第二种最为常见的的投资诈骗形式,它有以下几种形式:
(1)亲和团体诈骗。利用团体内部成员对宗教、种族及专业性团体进行诈骗。
(2)不正当销售行为诈骗。向不适宜的投资者推销、欺骗性报价及市场操纵。
(3)电话推销行为诈骗。利用“电话交易所”,强行兜售非法或欺骗性的投资产品。
(4)高技术产品服务诈骗。利用不合法的优惠条件来误导高技术投资者,许诺高额利润,对高技术产品的风险轻描淡写。
(5)提供投资拍电影或其他娱乐产品行骗,欺骗投资者,对投资者隐瞒风险。
(2)冒名顶替
这是指盗用他人身份来谋取钱财。他们大多会使用一个假身份来向用户贩卖实际上并不存在的商品,借机获得用户的信用卡等信息,然后设法将用户的钱取光。
(3)抵赖
在进行网上交易时,交易双方不见面,互不知道对方的年龄、性别、住址、公司状况,当交易的一方不守信用时,他可能对已经实施的操作进行抵赖,或诬陷对方实施了其实没有实施的操作,这种抵赖往往都是恶意的。如“卖股票500股被改成5 000股,请赔偿损失”,其实,对方可能没改动任何数字。
三、改善电子商务安全性问题的技术措施及建议
(一)利用电子商务安全技术改善电子商务安全
1. 采用包过滤路由器
使用包过滤路由器(Router)除了可以完成不同网段间的寻址外,还可以滤除不受欢迎的一些主机的地址和服务。因为INTERNET/INTRANET的基础协议是TCP/IP协议。网络中的每台机器都有一个唯一的IP地址,通过该地址可以访问网络中的任何一台机器。除此之外,通信双方必须有一致的协议(如FTP、HTTP、Gopher、Telnet等)才能彼此理解所传送的数据包,这些协议是用机器的端口来标识的,而相应的服务也用端口来表示(如Gopher的端口为70、WWW的端口为80、FTP的端口为20或21),这样,包过滤路由器就通过IP地址和端口地址以及允许、禁止两种状态来控制网络对某个特定主机或服务的访问。
2. 防火墙技术
防火墙是近年来发展的最重要的安全技术,所谓防火墙就是在内部网与外部网之间的界面上构造一个保护层并强制所有的连接都必须进过此保护层在进行检查和连接。只有被授权的通信才能通过此保护层从而保护内部网资源免遭非法入侵。它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络即被保护网络。电子商务中的防火墙主要是为了防止黑客利用不安全的服务对传输数据和信息进行攻击,阻止未授权的用户对信息资源的非法访问,甚至是对网络实施检查,决定网络之间的通信权限,监视网络的进行状态。
防火墙作为最成熟、最早产品化的网络安全机制,其最初的设计就是防范外部攻击,改进的防火墙技术更可有效地控制内部和病毒的破坏。在设计防火墙时必须考虑防火墙的姿态、机构的整体安全策略、费用、基本构件和拓扑结构以及维护和管理方案。所有的防火墙设计都要遵照两条基本原则:未被允许的必须禁止,未被禁止的均允许。另外,在选择防火墙的使用时,也要考虑诸多原则,包括网络结构、业务应用系统需求、用户及通信流量规模方面的需求以及可靠性、可用性和易用性等方面的需求。
3. 采用防火墙体系
该技术运行于OSI的应用层,因此具有应用层的全部信息。由于防火墙的地位十分重要,所以一般采用两级的安全机制,即第一级由包过滤路由器承担,第二级由防火墙承担。带有两级防线的防火墙主要有以下几种形式:
(1)单堡垒主机、单路由器、一层网络的隔离形式
这种配置的特点是堡垒主机配两个网络接口,外部网络接口接受来自包过滤路由器的数据,数据必须经过包过滤路由器的过滤规则才能转发给堡垒主机,由于堡垒主机与包过滤路由器之间还有一个网络,外界对堡垒主机的非法侵入将更加困难。
(2)分级管理的双堡垒主机形式
所谓分级管理,是指在第一个堡垒主机与包过滤路由器之间的网络中接入一部分机器,将常用的不需保密的低保密级的数据放在此层,而把保密级较高的数据放在第二级堡垒主机之后,这种配置除具有原单层主机的包过滤及时和堡垒主机的优势外,当包过滤机制和第一级堡垒主机均被攻破时,由于第二层堡垒主机采用不同的安全策略,不会造成对堡垒主机的连续突破,从而保证了内部网络的安全。目前,这种方案是较高级别的安全方案。
4. 采用虚拟专用网(VPN)技术
VPN是用于Internet交易的一种专用网络,它可以在两个系统之间建立安全的隧道。在VPN中,双方的数据通信量要大得多,而且通信的双方彼此都很熟悉。这就可以使用复杂的专用加密和认证技术,只要通信的双方默认即可。拨号VPN使用隧道技术使远程访问服务器把用户数据打包到IP信息包中,这些信息通过电信服务商的网络进行传递,在Internet中要穿过不同的网络,最后到达隧道终点。然后拆数据包,转换成最初的形式。隧道技术使用点对点通信协议代替了交换连接,通过路由网络来连接路由地址,这代替了电话交换网络使用的电话号码连接,允许授权移动用户或已授权的用户在任何时间任何地点访问内企业网络。
(二)网上交易中安全问题的解决方法
1. 数字认证
数字认证是一种新兴的安全性解决方法。随着现代网络技术的发展,基础设施的改善,多媒体技术运用的进一步普及,数字认证方法正被越来越多地用于网络信息的安全传输中。在发送文件时,或在交易信息处理的过程中,通过把影响、声音等各种证明发送者身份的数据传送给接收端,可大大加强信息的可靠性,这包括电子数字签名、电子信封、电子证书、以数字方式签署和电子付款表格等,这种接收方能确认发送者的真实身份和确保交易信息不被篡改。
2. 数据加密技术
数据加密技术是电子商务的最基本安全措施。目前技术条件下,通常加密技术分为对称加密和非对称加密两大类。
(1)对称密钥加密(Private Key)
采用相同的加密算法,并只交换共享的专用密钥(加密和解密都使用相同的密钥)。如果进行通信的交易各方能够确保专用密钥交换阶段未曾发生泄露,则可以通过对称加密方法加密信息,及随报文发送报文摘要和报文散列值,来保证报文的机密性和完整性。密钥安全交换是关系到对称加密有效性的核心环节。
(2)非对称密钥加密
不同于对称加密,非对称加密的密钥被分解为:公开密钥和私有密钥。密钥对生成后,公开密钥以非保密方式对外公开,只对应于生成该密钥的发布者,私有密钥则保存在密钥发布方手里。任何得到公开密钥的用户都可以使用该密钥加密信息发送给该公开密钥的发布者,而发布者得到加密信息后,使用与公开密钥相应对的私有密钥进行解密。目前,常用的非对称加密算法是有RSA算法。
3. 病毒防范技术
电子商务系统一方面提高交易效率,另一方面也为计算机病毒的传播创造了条件。病毒对网络交易的顺利进行和交易数据的妥善保存造成极大的威胁。计算机病毒是指隐藏在计算机数据源中,利用系统数据源进行繁殖并生成影响计算机正常运行且能通过系统数据共享途径进行传染的一组计算机指令或程序代码,主要通过软盘、硬盘、优盘和网络渠道传播,可能导致系统瘫痪甚至完全崩溃的严重后果。从事网上交易的企业和个人都应当注重病毒防范技术,排除病毒的干扰。因此,防范计算机病毒,避免计算机系统遭受病毒的侵袭,及时清除计算机病毒将病毒危害降低到最低程度是反病毒技术刻不容缓的任务。一般我们要给自己的计算机安装防病毒软件,认真执行病毒定期清理制度,并设置控制权限,通过建立系统保护机制,来预防、检测和消除病毒,谨慎打开陌生地址的电子邮件,还要高度警惕网络陷阱。
(三)电子商务安全技术的实现
1. IDEA数据加密算法
IDEA数据加密算法是由中国学者来学嘉博士和著名的密码专家James L.Massey于1990年联合提出的。它的明文和密文都是64比特,但密钥成为128比特。IDEA是作为迭代的分组密码实现的,使用128位的密钥和8个循环。这比DES提供了更多的安全性,但是在选择用于IDEA的密钥时,应该排除哪些称为“弱密钥”的密钥。DES只有四个弱密钥和12个次弱密钥,而IDEA中的弱密钥数相当可观,有2的51次方个。但是,如果密钥的总数非常大,达到2的128次方个,那么仍有2的77次方个密钥可供选择。IDEA被认为是极为安全的。使用128位的密钥,蛮力攻击中需要进行的测试次数与DES相比会明显增大,甚至允许对弱密钥测试。而且,它本身也显示了它尤其能抵抗专业形式的分析性攻击。
2. 用OPEN SSL实现CA认证
(1)SSL(Secure Socket Layer)协议及其主要技术
1996年由美国Netscape公司开发和倡导的SSL协议,它是目前安全电子商务交易中使用最多的协议之一,它被许多世界知名厂商的Intranet和Internet网络产品所支持。
SSL应用在Client和Server间安全的WebHTTP通信,UEL以开始替代http,并使用443端口进行通信。它主要使用加密机制、数字签名、数字摘要、身份认证、CA技术提供Client和Server之间的秘密性、完整性、认证性三种基本的安全服务。
(2)用Open SSL工具实现安全认证
目前,国外主流的电子商务安全协议在核心密码上都有出口限制,只允许40位或56位的RC4和512位的RSA算法出口等。这样的算法强度引进后无法满足我国电子商务实际应用当中的安全需求。但是,完全自主定义和开发一套安全标准体系不是一蹴而就的事情,需要人、财、物的长期投入。
在SSL未提供源代码的情况下,由澳大利亚软件工程师Eric Young与Tim Hudson联合开发的OPENSSL恰好解决了这一难题。它不仅能实现SSL的所有功能,支持目前所有基于SSL V2/V3和TSL V1的应用软件,而且由于源代码公开和提供了各种加密算法,完全可以满足国外安全协议引进后的本地化改造需求。
下面就用OPENSSL提供的强大功能在FreeBSD平台下进行手工签署证书的过程。
(1)先建立一个CA的证书,首先为CA创建一个RSA私用密钥:
#OpenSLL genrsa-des3-out ca.key 1024
该指令中genrsa表示生成RSA私有密钥文件。
-des3表示用DES3加密该文件。
-out ca.key表示生成文件ca.key。
1024是我们的RSA key的长度。
生成server.key的时候会要你输入一个密码,这个密钥用来保护你的ca.key文件,这样即使人家偷走你的ca.key文件,也打不开。拿不到你的私有密钥。
运行该指令后系统提示输入PEM pass phrase,也就是ca key文件的加密密码,我们设为12345678。
(2)用下列命令查看它的内容:
#OpenSSL.rsa-nout-text-in ca.key
该指令中rsa表示对RSA私有密钥的处理。
-nout表示不打印出key的编码版本信息。
-text表示打印出私有密钥的各个组成部分。
-in ca.key表示对ca.key文件的处理。
对RSA算法进行分析可以知道,RSA的私有密钥其实就是三个字,其中两个是质数prime numbers。产生RSA私有密钥的关键就是产生这两个质数。还有一些其他的参数,引导着整个私有密钥产生的过程。
(3)利用CA的RSA密钥创建一个自签署的CA证书
#OpenSSL req-new-x509-days 365-key ca.key-out ca.crt
该指令中req用来创建和处理CA证书,它还能够建立自签名证书,做Root CA。
-new产生一个新的CSR,他会要输入创建证书请求CSR的一些必须的信息。
-x509将产生自签名的证书,一般用来做测试用,或者自己做个Root CA用。
-days 365制定我们自己的CA给人家签证书的有效期为365天。
-key ca.key指明我们的私有密钥文件名为ca.key。
-out ca.crt指出输出的文件名为ca.crt。
执行该指令时系统要求用户输入一些用户信息,如下所示:(框内为输入的内容)
(4)用下列命令查看生成证书的内容:
#OpenSSL x509-noout-text-in ca.crt
该指令中x509表示证书处理工具。
-noout表示不打印毫key的编码版本信息。
-text表示以文本方式显示内容。
-in Ca.crt表示对ca.crt文件进行处理
系统显示证书内容为:
从上面的输出内容可以看出这个证书基本包含了X.509数字证书的内容,从发行者Issuer和接受者Subject的信息也可以看出是个自签署的证书。
下面创建服务器证书签署请求(使用指令和系统显示信息基本和以上类似):
(5)首先为Apache创建一个RSA私用密钥:
#OpenSSL genrsa-des3-out server.key 1024
这里也要设定口令pass phrase,生成server.key文件。
(6)用下列命令查看它昀内容:
#OpenSSL rsa-noout-text-in server.key
(7)用server.key生成证书签署请求CSR:
#OpenSSL req-new-key server.Key-out server.Csr
这里也要输入一些请求证书的信息,和上面的内容类似。
(8)生成证书请求后,下面可以签署证书了,需要用到Open SSL源代码中的一个脚本sign.sh,签署后就可以得到数字证书server.crt。
#sign.sh server.csr
(9)启动安全Web服务
最后在apache服务器中进行ca认证没置,拷贝server.crt和server.key到/usr/local/apache/conf
修改httpd.conf将下面的参数改为:
SSLCertificateFILE/usr/local/apache/conf/server.crt
SSLCertificateKeyFile/usr/local/apache/conf/server.key
可以启动带安全连接的Apache试一下了。
#/usr/local/apache/bin/apachectl startssl
提示输入pass phrase(就是前面为服务器设置的口令)
(10)进行安全连接
通过另一台电脑(IP地址为192.168.0.1)的IE浏览器与这台Apache服务器(IP地址为192.168.0.2)连接并且选择https协议,即:https://192.168.0.2:443。出现安全连接警告窗口,因为我的服务器证书是自己手工签署的,不是经过真正的CA颁发的证书,是个无效证书,所以按确定后如现安全证书无效的警告窗口。按“是”继续,注意这里浏览器地址栏内输入的是https而不是http,另外此时在状态栏内出现了一把小锁,这说明SSL协议超作用了,服务器和浏览器之间建立了一个安全连接,这样我们使用开放源代码的工具Open SSL来完成了电子商务的CA认证过程,同时这也只是使用现成的工具来完成的,在实际使用中还要分析它的源代码,修改源代码,来达到自己的安全需要。
(四)通过政府的效力加强我国电子商务的安全系数
1. 对电子商务进行专门立法
电子商务是一个新生事物,很多方面不同于传统商务,与传统的法律规范体系也存在着诸多不相容之处,而且,传统的法律规范体系中还有许多电子商务方面的空白。这一情况已经在实践中引起了不少的问题。
我国的电子商务是近年才发展起来的,目前规范电子商务相关的法律法规极为有限。在法律的层次上只有1997年《中华人民共和国刑法》和1999年《中华人民共和国合同法》对相关问题作了简单规定。例如,我国1997年修订的《刑法》中增加了关于计算机犯罪的条文,1999年通过的《合同法》对电子合同的书面形式、生效时间地点等作了规定。但是,这种规定太过简单,远远不能满足电子商务发展的需要。例如,对于电子认证的效力、虚假电子认证等重要的问题,我国法律还没有规定,这已经成为阻碍我国电子商务发展的重要问题。
因此,我国应大力加强电子商务法制化建设,制定专门的《电子商务法》,对电子商务当事人的权利义务、电子合同法律关系、电子签名、电子认证、网上知识产权的保护、电子支付等问题进行专门规定,使之适应电子商务发展的需要。在刑法中,对电子商务领域的犯罪进行规定。从而在法律上,为电子商务提供一个良好的发展环境。
2. 建设我国的电子商务认证机构体系
电子商务认证机构是电子商务中的重要部门,其担负着维护电子交易安全的责任。因此,要完善我国的电子商务安全运营,必须建立我国的电子商务认证体系。
在目前存在的三种电子商务认证机构模式中,当事人自由约定的电子商务认证体系不适合我国的实际情况。我国电子商务刚刚发展起来,不完善的地方很多,很多普通的消费者对电子商务还不很了解,根本无法在自由约定时,提出对自己有利的条件。而且,在交易双方的力量对比悬殊的情况下,弱势一方很难通过谈判来取得公平的结果。再进一步说,这种模式的认证结果通用性很差,不适合我国刚起步的电子商务的发展。
近年来,我国的电子商务认证机构的发展很快。1999年3月19日,中国人民银行组织12家商业银行共建金融认证中心系统;1999年8月,我国首套拥有自主知识产权的电子商务安全认证系统通过了国家密码管理委员会和信息产业部组织的技术鉴定。但另一方面,我国的电子商务认证系统还远不成熟,仍有许多需要完善的地方。我们必须对此给予充分的重视,以便为电子商务的安全发展提供组织保障。
3. 大力推进电子签名等技术的发展,从技术上为电子商务提供安全保障
电子商务的产生、发展是科技发展的结果,其安全运营也要依靠技术给予的保障。因此,为加强电子商务的安全性,我们必须大力推进科技的发展,使技术满足电子商务的安全运营要求。在电子商务中广泛使用的电子签名,就涉及许多复杂的技术问题。为使电子签名具有与传统签名相同的法律效力,我们必须使电子签名具有像手写签名那样的独特性。这一问题的解决,需要技术发展才能实现。
目前,解决电子签名效力的途径主要有:
(1)修改法律或者进行法律解释,使签名涵盖电子签名。但对于何种电子签名才具有法律效力,立法要兼顾技术中立、开放与安全,使之适应技术发展的需要。
(2)电子商务的当事人在合同中约定电子签名方法及效力。
(3)依靠技术进步,这是最根本的方法。技术安全、成本低廉的电子签名方式是电子商务安全的有力保障。
摘要:电子商务是利用计算机网络开展的商务活动。近年来,随着电子技术的发展,“网上购物”、“电子钱包”等已渐成时尚,但安全问题始终是影响电子商务发展的关键因素。安全问题威胁着交易中每一方的利益,客户由此产生的疑虑会影响到交易的成败,甚至会影响电子商务的进一步的发展。
关键词:电子商务,安全,网上交易
参考文献
[1]张小兵.我国电子商务发展现状及存在问题与对策[J].商业研究,2004,(2).
[2]徐伟.电子商务网上支付的安全保障问题[D].合肥:合肥联合大学,2008,3.
[3]高媛,欧阳志明,石晓军.电子商务[M].北京:企业管理出版社,2005.
[4]包晓闻,张海堂.电子商务——21世纪世界商务发展的潮流[M].北京:经济科学出版社,2008.
[5]韩宝明.电子商务安全与支付[M].北京:人民邮电出版社,2009.
[6]闫心丽.浅析电子商务安全[J].内蒙古电大学刊,2005,(5).
网络信息的截获和窃取。如果网络中的信息没有经过特殊的加密措施或者只是简单的进行加密,那么一些不法人员就能够通过网络或搭线等方式,利用截获装置在电磁波范围内或网关和路由器上获得数据,也可以利用整个信息的流量以及流向、频率以及长度等数据对信息进行分析,然后获得所需的信息内容,比如说一些个人的银行账户、密码或者企事业单位的重要商业信息等。
相关信息的改变。如果不法分子对信息的传输格式和方式较为熟悉后,他们就可以利用各种手段对信息的内容进行修改,然后将改变后的信息发往接收者,通常来讲这种安全问题往往对信息内容进行以下处理:将原信息的顺序进行打乱,对部分内容进行修改,比方说收货人的地址等;将信息中的某些内容进行删除;在信息中穿插一些错误信息,使得接收者无法看懂信息或者理解错误的内容。
假冒信息。一些不法分子在解密了网络信息后,就会将自己伪装成合法用户,然后利用各种虚假的信息来对其他用户进行欺骗,通常这种欺骗主要有两种形式,第一,利用虚假电子邮件。通过一些虚假的网站,大量收取用户的订货单;假冒成用户,然后利用电子邮件的发送,使网络商家的资源被占用,无法进行正常的商务活动。第二,伪装成其他人的身份。比方说假冒成相关领导人,从而对一些机密信息进行查看;以他人的名义进行消费;非法获得网络中的通行证、使用权限等。
不承认交易。这种现象主要表现为信息的发送者不承认曾经发送过信息;接收者不承认接收到信息;购买者不承认下过订货单;商品出售者不承认交易等。
2.电子商务中常见安全问题的解决对策
A.网络安全技术
防范病毒技术。利用计算机病毒入侵网络和计算机是不法分子窃取电子商务信息的主要手段,为了有效的防范病毒给电子商务信息安全带来影响,可以从以下几个方面进行控制:利用各种防病毒软件,强化自身网络的病毒防御能力;积极使用各种数据备份以及恢复方法;对那些重要的数据信息以及设备应该采取必要的措施进行隔离保护。
身份识别技术。在计算机网络技术中,身份识别技术是一种应用较为广泛的技术,主要是对被认证者的身份和信息的真实性进行确定,通过对被认证者的一些基本信息进行确认来实现,这些基本信息通常是口令、问题、指纹、声音等信息,正确的信息输入就能够获得身份认证的通过。
防火墙技术。在计算机网络中,防火墙是对内部网络和外部网络进行分离控制的有效方法,这种技术能够实现内部网络与外部网络之间信息传递和存储的控制,防火墙是企业内部网络与外部网络之间进行信息传递的关口,可以根据实际的需要对信息进行控制,而且它能够有效的抵御网络攻击对内部网络的损害。防火墙技术作为当前一种普遍存在的网络信息安全控制技术,其作用机制主要是对访问进行控制,其设计的原则是:所有没有经过允许的访问都是被禁止的或者所有没有被禁止的访问都是允许的。防火墙技术可以有效的对网络信息数据的完整性、有效性、秘密性进行控制和保护。
虚拟专用网技术。虚拟专用网是互联网电子交易过程中一种专门的应用网络,这一技术可以在交易双方之间建立一条安全通道,进行各种电子信息数据的流通和传递。通常来讲使用这一专用网络的双方,彼此互相了解,而且相互之间进行的信息交换量巨大,因此,双方可以利用一些非常复杂的加密和认证技术来对信息数据进行处理,从而使信息数据的安全性得到大大提升。
B.交易安全技术
数据加密技术。数据加密技术的主要工作原理就是通过一些加密算法,使原来的信息转变成一些具有特殊规则的秘密信息,然后对这些秘密信息进行传递,接收者收到后再按照规则转换成原信息。数据加密技术是当前电子商务过程中较为常见的信息防护手段,能够有效的提升数据信息的安全性。一般来讲,数据加密技术可以分为以下两种:对称和非对称密钥加密。所谓对称密钥加密就是说数据信息的发送和接收双方都需要使用相同的密钥来进行数据信息的转换,这种方法的数据信息转换速度较快,对于那些数据信息量较大的加密操作比较适用,但是这种方法也有它的局限性,那就是当用户的数量较多时,对于密钥如何进行管理和使用就成为一项较为困难的工作;所谓非对称密钥加密就是说网络交易双方各自拥有一对相互对应的密钥,其中一个密钥对外公开,而另外一个密钥则由个人进行保管,使用一个密钥进行加密操作,就意味着必须使用相对应的另外一个密钥来进行解密操作。这种方式大大简化了密钥管理和使用过程中的工作,但这种方式也会使得整个加密和解密过程变得相对复杂,从而影响整个加密过程的速度,不适合那种数据信息量较大的加密操作。
认证技术。数字摘要这种方法主要是利用单向Hash函数,将信息文件中的一些重要内容进行转换,而后获得相应的摘要码,在进行数据信息的传递时,将这一摘要码同时进行传递,接收者在获得数据信息后,按照上述方法进行转换,如果所得到的摘要码与接收到的摘要码相同,那么就说明这些数据信息没有被篡改。这种方法可以对数据信息的完整性进行有效的控制和确认。
数字信封是用加密技术来保证只有规定的特定收信人才能阅读信息的内容。在数字信封中,信息发送方采用对称密钥来加密信息,然后将此对称密钥用接收方的公开密钥来加密(这部分称为数字信封)之后,将它和信息一起发送给接收方,接收方先用相应的私有密钥打开数字信封。得到对称密钥,然后使用对称密钥解开信息。这种技术安全性相当高。
数字签名是通过特定密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证所无法比拟的。数字签名技术可以保证信息传送的完整性和不可抵赖性。
由于电子商务中的交易一般不会有使用者面对面进行,所以对交易双方身份的认定是保障电子商务交易安全的前提。认证机构是一个公立可信的第三方,用以证实交易双方的身份,数字证书是由认证机构签名的包括公开密钥拥有者身份信息以及公开密钥的文件。在交易支付过程中,参与方必须利用认证中心签发的数字证书来证明自己的身份。从而保证信息的有效性和认证性。
安全认证协议。安全电子交易协议是由VISA和MasterCard两大信用卡组织指定的标准。SET用于划分与界定电子商务活动中各方的权利义务关系,给定交易信息传送流程标准。SET协议保证了电子商务系统的保密性、完整性、不可否认性和身份的合法性。安全套接层协议主要用于提高应用程序之间的数据的安全系数。目的是为用户提供Internet和企业内联网的安全通信服务。
【电子商务安全问题典型案例】推荐阅读:
电子商务交易安全问题09-27
电子商务安全问题研究12-21
电子商务的信息安全教学案例10-11
电子商务物流案例11-27
电子商务创业案例03-07
电子商务典型商务模式调查与分析07-18
《电子商务与电子政务》典型例题03-08
电子商务诚信问题探讨07-18
电子商务案例分析提纲10-07
电子商务案例分析教程02-03
