网络保险在不断发展的同时也产生了诸多问题,其中一个不容忽视的问题就是网络保险风险防范。这些风险涉及到信息传输、设施使用、隐私保护、业务拓展、核保核赔等方方面面,由于目前各保险公司在网络风险防范方面还存在着诸多不足,技术上面临许多严峻的挑战,信息与网络安全的防护能力不强,导致许多应用系统处于不设防状态,具有极大的风险性和潜在危险性。各种技术性风险的存在可能造成网络阻塞、传输中断甚至会引起系统瘫痪的后果,从而给保险公司和广大投保者带来不可估量的损失,严重的甚至会影响到保险公司的发展战略和品牌形象。除了技术性风险,道德风险在网络保险中也具有一定的危害性。一方面,网络保险的投保人在投保时可能隐瞒潜在风险而使公司在收取保费时难以针对不同投保人的实际风险情况来收取相应的保费,使投保人存在钻空子的投机现象;或是投保人在投保后有可能减少防止灾害或风险发生的努力而使得潜在风险增大。另一方面,从保险公司的角度看,提供网络保险产品与服务的公司或其员工有可能做出一些不道德的行为而使投保人蒙受损失,对社会造成不利影响。因此,必须高度重视网络保险发展中存在的各种风险的防范问题。
二、网络保险中的风险类别
1.技术风险。网络保险作为一种新型的保险营销模式,它融合了互联网技术和传统保险业务流程。从技术的角度看,互联网并不是绝对安全的。首先,计算机硬件和软件可能具有潜在的运行风险。信息化系统设计、实施或后续维护中的不足会对保险产品或服务的传送造成风险,保险公司通过网络进行信息管理与维护时,一些不法分子可以利用网络技术漏洞攻击保险电商网站,故意造成公司网络系统的破坏和混乱,甚至使网络平台瘫痪。其次,网络本身的安全问题可能带来信息外泄风险。一些别有用心的人可以潜入网站,或是利用职务之便非法泄露保险公司或是客户的信息进而骗取客户保费或赔款,或是盗取公司商业机密并从中非法获利。当前互联网上屡屡发生一些通过窃取信息、病毒干扰、恶意篡改数据等不法行为导致客户经济损失的案件,从这些案件可知,消除技术风险是网络保险进一步发展的前提。
2.道德风险。道德风险在传统保险和网络保险中都存在,是影响保险公司持续健康发展的重要因素之一。在网络保险中,由于投保人和保险公司之间存在着明显的信息不对称,使得道德风险的影响更为突出。例如,在网络保险中,由于保险人与被保险人不用面对面接触,保险公司不能直接了解被保险人的信用水平,一般地,被保险人的告知内容只限于姓名、出生日期、身份证号等这些基本信息,而保险公司目前又缺乏丰富的客户资料,所以对投保方的风险评估十分困难。投保人可能会利用网络上难以分辨信息真伪的缺点隐瞒与保险标的有关的重要情况,甚至会发生保险欺诈、骗保等案件。另外,公司的工作人员也可能利用职务之便发生在网络上进行越权操作等行为,使公司蒙受损失。与此同时,由于客户对保险业的相关信息缺乏了解、没有查询销售者的资质情况,导致保险公司内部职员利用工作之便制造虚假保单,欺骗投保人,骗取保险费,截取客户退保资金,从而给保险公司的经营造成风险。
3.法律风险。保险信息化的发展促进了保险业的迅猛发展,而相关法律的完善却明显滞后,这就加大了网络保险的法律风险,使得保险公司和消费者双方的合法权益都难以获得法律的保护。法律风险的存在促使保险公司在网络保险经营中必须要考虑一些问题:一是电子保单形式是否合法。相当多的网络保险数据交换没有书面记录,一旦发生纠纷,举证起来有很大难度。由于电子信息输入简单化、标准化,通过网络签署电子合同没有传统的条款齐备、措辞严密,发生纠纷的可能性增大。二是客户的隐私如何保护。投保人填写的个人信息一般都是真实的,这些信息在网络传输的过程中,可能被一些人员非法利用,或者泄露出去被其他人员用于其他不合法或不正当的用途。三是电子签名是否有效。由于相关法律相对落后,所以这一方面还没有很明确的规定,而《电子签名法》、《电子支付指引》等文件和法规却难以完全适用于网络保险。
4.操作风险。网络保险的操作风险一方面来自网络保险安全系统。传统保险机构为支持网络保险业务的开展,需要选择某些保险产品以及相关的网络金融技术解决方案,而其所选择的产品或方案可能存在设计缺陷或被错误操作,这就造成了网络保险的操作风险。另外,操作人员的误操作也会造成公司的经济损失。由于是电脑操作,公司职员可能在登记客户资料出现错误,或者由于疏忽导致给出的产品信息有误,或用户缺少信息化系统使用知识,因此经常会有操作失误的问题发生。网络保险的操作风险另一方面来自于客户。网络金融行业职员的操作失误、系统错误等均可能导致网络金融业务出现操作风险,客户在使用网络平台操作网络保险业务时的疏忽大意也可能导致网络保险的操作风险,导致交易不成功,甚至会使客户失去操作耐心而最终导致客户流失。
三、以保险风险防范为抓手促进网络保险发展
1.培养专业的网络保险人才,提高从业人员的技术水平与职业素质。网络保险产品比传统保险产品更加强调专业性,它的发展需要有融合了保险、营销、服务、互联网等多个学科领域的专业人才队伍作支撑,因此保险公司必须注重培养专业的网络保险人才,组建一支有效的网络保险专业队伍。这样的专业从业人员不仅要在技术水平上领先,还要通过培训提升其职业素养和道德素质水平。这些专业人才的培养可以通过以下途径加以解决:一是通过大学的专业教育,保险公司可以从合格的大学毕业生中选拔合适的人才,经培训后择优上岗;二是通过公司自身的培训,使一些原本具备综合素质和某些方面技能专长的员工成长为能够胜任保险网络营销的专业人士;三是通过市场机制进行外引,直接从人才市场招聘到所需人才。通过培养专业的网络保险人才,保险公司可以在操作风险、道德风险、技术风险等方面进行有效地控制。
2.加大投入,建立稳定的安全网络平台,加强网络体系的安全保障。保险公司建立自己稳定的安全网络平台是开展网络保险业务的第一步。网络系统是需要复杂技术的,只有领先的技术水平才能推动网络保险的发展。因此保险公司必须加大网络技术平台方面的投入,将其放到重要位置。专业网络保险平台应该满足访问者和客户的个性化需求,提供网上产品定制、投保、索赔、咨询等服务。此外,出于网络安全保障的需要,公司应该加强网络保险系统的基础建设,从根本上防范和减少网络保险技术方面存在的风险。为了保障网络系统的安全,在建立稳定的安全网络平台基础上,必须建立有效的风险评估和监测体系,包括网络系统安全规范制定与实施、系统安全隐患预测与防范、系统安全机制的建立与完善、系统安全程度的测定与检查、系统破坏后恢复与重建等。
3.完善信息化法律体系,使网络保险的发展有法可依。我国现行的《保险法》对网络保险没有相关的规定,因此应从修订《保险法》入手来弥补这一漏洞。要将新的《保险法》与《电子签名法》等法律法规结合起来,使网络保险的发展有法可依。从长远发展来看,随着网络保险进一步发展,还应探讨是否有必要出台一部专门的《网络保险法》,另外国际上不少国家都已经颁布《电子商务法》,我国也可以借鉴。着眼于长远发展,必须以完善的法律体系来规定网络保险中诸多内容,如电子合同成立时间和地点认定、电子保险合同法律效力、告知业务履行、道德风险防范、网上交易平台安全标准、交易平台信息规范、保险公司网络保险审计、网络保险地域监管等内容,从法律角度研究解决网络保险发展存在的一些问题。
关键词:网络保险发展对策
一、大力发展多渠道整合营销方式激活网络保险市场
尽管国内各大保险公司正式开展网上业务的消息在短短几年内纷至沓来,但保险行业95%以上的业务仍然来自传统渠道。为何被寄予厚望的网上保险迟迟难以成为保险王国中的实力战将?我们看到,目前国内保险公司做电子商务一般采取三种办法:一是打广告,在自己的网站上做不需花钱的广告,或花大价钱在综合门户网站投放广告;二是摆产品,将保险公司能放在网上的险种和产品一股脑儿全摆放在网上,以此作为获得准客户的途径,客户能来多少算多少;三是搞概念,从投保到核保、再到支付,一味追求网上全程交易。这种“网内圈网”的单一营销模式并未使得客户对产品信息的了解程度达到预期的目标,而实际在网上投保的客户就更少了。因此,保险业强烈呼吁通过多渠道整合营销方式激活网上保险市场。多渠道整合营销方式包含以下三方面内容:一是网络营销与传统营销的整合。二是网络营销与其他新渠道营销的整合。三是网络与网络的营销整合。
二、加强建设我国网络保险的法律法规环境
2005年4月1日是《中华人民共和国电子签名法》正式实施的第一天。由中国人民财产保险股份有限公司开发的国内首张电子保单在北京正式问世,并为网上投保的客户颁发了国内第一张电子保单。这一法律的颁布解决了制约我国电子商务发展的瓶颈问题,大大促进了电子商务的开展,但尽管整体方向被肯定和保证了,各行各业内的法律法规体系仍然不十分健全,体系建设仍有待加强。在保险业,网络保险的发展对传统的保险与商业法律提出了巨大挑战,而法律法规本身的不完善也会大大限制网络保险的扩张空间。因此,尽快完善网络保险的业务法规成为当务之急。
制定网上保险业务法规要积极体现保险立法和合同法的立法精神,同时要充分考虑到目前我国保险业受到严格管制和电子商务起步不久的现状。网上保险业务法规的制定应当遵循以下两项基本原则:一是原则性与灵活性相结合。既要对立法依据、管辖范围等作出明确的原则性规定,又要考虑到在今后一定时期内的适用性。因而需强调宏观指导性,不宜流于繁琐。二是严肃性和时效性相统一。既要体现出现阶段我国保险业仍然接受严格监管的现状,又要有很强的针对性和操作性,不能因规定过于严厉苛刻而影响网络保险业务的发展。另外,美国、欧洲及日本的网络保险较发达,多借鉴这些国家的经验也是十分必要的。
三、加大保险产品开发和创新的力度
我国网络保险目前仍处于起步阶段,国内保险公司在网络保险上浅尝辄止,简单地将传统保险产品嫁接到网上,目标直指保险公司“鼠标+跑腿”的权宜之计,而并非积极的利用网络优势开展保险业务,扩大保险市场规模。但网络保险的全球化趋势不可逆,随着发达国家保险品种的不断健全,我国也必将开始大力开发保险产品,尤其是适合于网上投保的产品。
开发网络保险产品除了继续研发和升级现在比较容易实现的意外伤害险等险种外,还要结合上网保险人群的需求以及在线的特点设计开发新产品,充分利用语音、视频等网络技术实现对客户有问必答且有问现答。中国平安保险公司目前正在研究开发网络保险产品,包括投保、签单在内的所有投保程序将可通过网络完成,价格也低于人销售的产品。当然其他保险公司也都在积极探索网络保险市场的发展潜力,各家都在积蓄力量,准备在网络保险市场大显身手,我们已经可以隐约看到交织的火光。
四、切实保证网络保险的技术可行性
1.通讯网络技术方面应实现资源共享。目前通讯网络技术已经允许保险公司构建自己的企业内部网和外部网。许多ISP也为保险公司建立网站提供服务器托管业务,有的网络公司还为保险公司提供建设网络保险平台服务。但目前网络的速度是网络保险发展的瓶颈,随着我国宽带网的建设,相信速度问题会得到改善。保险公司在租用专线时就充分考虑到网络保险发展的需要,租用宽带较大的专线。在计算机软件方面,网络电话、视频会议、办公自动化等应用方面都有许多相当优秀的软件,但数据共享与集中处理的软件,需要保险公司的技术人员根据业务情况自行开发。
2.网络安全防范刻不容缓。网络的安全具有生死攸关的重要性,保险业作为金融业的重要组成部分,其交易秩序的稳定有序,关系着千家万户,维系着国民经济的健康、稳定运行。在我国网络保险刚起步之初,各保险机构只有充分重视网络的安全问题,才能促进网络保险的正常发展。为了保障网络系统的安全,必须建立有效的风险评估和监测体系,同时,网络安全保障系统必须是动态的,能适应现实情况的不断变化和发展,只有不断地升级,才能有效地防范网络安全风险。有关部门应尽快制订相应的法律法规,规范网络保险市场,促进网络保险业的有序竞争。
参考文献:
[1]姚芳,多渠道整合营销现阶段发展网上保险的必然选择[J],中国金融,2005年第14期
关键词:风险社会;网络服务商;风险
中图分类号:G252 文献标志码:A 文章编号:1002-2589(2011)36-0118-02
信息自由是人类进步的推动力,网络技术的发展带来了信息交换的极度便捷和高效,同时也应证了德国著名社会学家乌尔里希・贝克(Ulrich Beck)在《风险社会》一书中所提到的随着科技自身的发展所带来的社会风险。在著作权领域,网民随意利用网络服务商提供的平台上传未经著作权人许可的作品供他人下载,甚至是网络服务商通过一定激励机制引诱网民侵犯他人著作权而从中谋求一定利益,这些案例已经屡见不鲜,那么网络服务商针对上述间接侵权的情形究竟该如何承担责任?如何设计相应的机制使之能够保障著作权人的利益?本文将围绕上述问题略作探讨。
一、风险社会的理论
“风险社会”的理论最早由德国著名社会学家乌尔里希・贝克在20世纪80年代所提出,后经安东尼・吉登斯(Anthony Giddens)和尼古拉斯・卢曼(Niklas Luhman)等人得到发展。贝克将后现代社会诠释为风险社会,认为人类自20世纪下半叶由工业社会进入了风险社会,面临着威胁其生存的由社会所制造的风险,财富分配将与风险分配的因素结合。指出风险社会的基础和动力是安全,焦虑的共同性代替了需求的共同性而形成一种新的政治力量。贝克力倡反思性现代化,既洞察到现代性中理性的困境,又试图以理性的精神来治疗这种困境。吉登斯则对现代性(贝克称其为“风险社会”)的分析中引入时空的特性,他认为现代性与前现代性区别开来的明显特质就是现代性意味着社会变迁步伐的加快、范围的扩大和空前的深刻性,社会进步的阴暗面越来越支配社会和政治。他提出,人类面临着威胁其生存的由社会所制造的风险,如工业的自我危害及工业对自然的毁灭性的破坏等,并强调制度性风险分析了风险社会对人类日常生活的影响。卢曼则把风险概念和决策机制密切联系在一起,为探讨与“风险社会的法治”相关的问题提供了重要的线索和分析框架。卢曼的法社会学理论提出了三大命题:1)产生某种损害的可能性,对决定者构成风险,对决定的被影响者则构成危险;2)规范可以限制随机性,但却不能限制风险的随机性;3)当今抵抗运动的本质是拒绝为充满风险的他人的决定或行为而牺牲。风险社会中的风险并不等同于“危险”或“灾难”,它是系统地处理现代化自身引致的危险和不安全感的方式①一种不希望出现的事实导致不希望出现的结果,这种状况在根本无法预期的时候被称为天灾或者危害,在隐约可以预期的时候被称为人祸或者风险。②
二、传统侵权法对网络服务商间接侵权的规制
(一)网络服务商侵权主体的界定
网络服务商的概念相对比较宽泛,法律对之也没有明确的规定。广义的指代所有提供网络服务的经营者;狭义的仅指网络服务提供商,指通过信息网络向公众提供信息或者获取网络信息等目的提供服务的机构。③国内学者对网络服务商的分类有诸多不同观点,④尤其是随着P2P⑤技术的发展,这些类别自身也在逐渐产生变化。
网络服务商ISP(Internet Service Provider的缩写)可以分为两大类别,一类即ICP(Internet Content Provider的缩写)联机信息服务提供商或网络内容提供者;另外一类即OSP(Online Service Provider的缩写)在线服务提供商或网络中介服务者。而我国法律法规首次明确“接入服务经营者”和“信息源提供者”的概念是1997年的《中国公众多媒体通信管理办法》,并将网络服务商分为网络经营者和接入服务经营者。另外,在2000年国务院的《互联网信息服务管理办法》将网络服务商分为互联网服务提供者和互联网接入服务提供者两大类。从《办法》的规定来看,前者主要是信息的直接提供者,信息经过其直接传递给终端用户。后者是间接提供信息或者为信息的开发与传递提供条件。可见,我国法律法规对网络服务商的类型并没有体系型的明确规定,而是散见于各类单行法规。而网络服务商的间接侵权主要表现于网络中介服务者教唆、帮助用户实施侵犯著作权的行为,或者用户利用网络中介服务者提供的平台实施侵犯著作权的行为时网络服务商未尽相应义务。
(二)传统网络服务商间接侵权的规制
最高人民法院公报曾一则网络服务商间接侵权责任的案例 “网友上传影视作品,我乐网立即删除免赔偿责任”。①从该案例审判整个过程我们可以看出传统侵权法规制网络服务商的间接侵权行为实用共同侵权说和“谁侵权、谁担责”的基本原则,而且网络服务商仅承担合理审查义务;美国于1998年通过的《千禧年数字版权法》(Digital Millennium Copyright Act,简称DMCA)适用过错责任原则,其第二章对网络服务商的侵权责任限制作出了新的探索,首创性的规定了“避风港(safe harbors)”。②网络服务商只要遵循预定的程序和规则,就可以证明自己对损害的发生没有过错,不必承担侵权责任。我国2006年修正后的《最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》第八条也明确规定,网络服务提供者经著作权人提出确有证据的警告而采取移除被控侵权内容等措施的不承担责任。可见,“通知与删除”是我国法律要求网络服务商承担的合理义务。法律并没有规定中介服务者停止反复侵权者账号的合理注意义务。法律更没有苛刻要求网络中介服务者针对用户的一切资料和信息进行审查,而且这种苛刻的要求自身可能与宪法所保障的公民言论自由的基本权利相冲突。可见我国法律针对网络服务商采取的是一种最低限度的审查义务。
(三)传统侵权法理念在风险社会的缺陷
1.侵权后果的不可预测
互联网带来了信息交流的变革,传输速度、数量以及便捷程度都带来了质的飞跃。互联网更是将整个世界连为一体,形成统一的“地球村”,通过鼠标的点击既能获知世界的信息。无论是直接的侵权行为人,还是间接侵权的网络服务商,利用网络的开放性所实施的侵犯著作权的行为,其真正的损害后果很难甚至不可能得到准确的预测,点击率或者下载率仅仅只能成为参考的标。③即使是行为人自己也无法预测行为的损害后果。这种损害大大突破了地域和时间的限制,只要侵权作品在网络上存续,损害后果就有可能扩大和延续。甚至高点击率相反会更加受到公众追捧的恶性效应。
2.因果关系的分析很难再单纯独立
风险社会的风险是因工业、科技的发展自身所带来的。贝克在《风险社会》一书中认为,我们企图在破坏性影响与个人因素间建立联系,而后者很少能够从工业生产模式的复杂体中被分离出来。在商业、农业、法律和政治的现代化中,高度专业化的机构在系统上的相互依赖是与不存在可分离的单个原因和责任的情况相一致的。换言之,与高度分化的劳动分工相一致,存在一种总体的共谋,而且这种共谋与责任的缺乏相伴。相应随着互联网技术的发展,不仅导致了网络著作权侵权作品传播迅速,影响严重;而且也导致了侵权行为便捷,成本低廉。可以说,互联网技术的发展促进了网络著作权侵权行为的繁荣。将全部的原因和损害后果归责于作品的上传者或者网络服务商显得过于苛刻。
3.著作权人无法获得充分有效的权利保障
随着网络技术的发展和网民数量的剧增,加上网民的虚拟性和自由性导致直接侵权人的无法确定;而传统侵权法规定网络服务商需要承担的仅仅是“通知加删除”的义务。面对浩瀚的网络信息,著作权人不仅自身缺乏足够的时间和精力来监督侵权行为,即使发现了网络侵权行为,著作权人依据现行侵权法的规定往往能够做的也只能是通知网络服务商删除侵权的内容。而因侵权行为已经给自己造成的损失,不仅自己很难知晓具体的直接侵权人即使是网络服务商也无法准确的定位直接的侵权人。
三、风险社会网络服务商间接侵权规制的制度设计
风险社会带来了现代化的新开端,诸多领域急需相应的理论架构和反思性机制的制度设计。风险社会中网络服务商间接侵权问题在传统侵权法的理论下已经难以得到有效规制。季卫东教授在《依法的风险治理》一文中倡导,展望二十一世纪的发展前景,我们不仅要考虑抑制危险的合理合法性和最小限度成本(警察比例原则),还要考虑抑制危险举措的危险性(预先衡量义务)以及防患于未然的制度设计;不仅要关注财富的分配方式,还要关注风险的分配方式;这就要在新自由主义与新左派之外开辟第三路线――以风险社会为前提致力于“信息系统”的重构。笔者按照对上述理论的粗浅理解,针对风险社会中网络服务商间接侵权规制的制度设计略作初探。
(一)加强网络侵权立法的民主参与;卢曼在其法社会学理论中提出的三大命题认为,产生某种损害的可能性,对决定者构成风险,对决定的被影响者则构成危险。加强立法的民主参与过程,尤其是著作权人、网络中介服务商的民主参与过程,能够有效的分担风险,跨越决定者与被决定影响者之间的鸿沟。
(二)推动集体著作权组织的监督机制,形成有效的著作权社会保障机制;随着国务院2004年《著作权集体管理条例》,中国文字著作权协会、中国音乐著作权协会等诸多著作权的集体管理组织的建立,中国著作权的社会保障机制正在逐渐形成和完善。应对风险社会的风险,重构信息系统,需要加强对社会本身的监控。
(三)推动网络著作权保险制度;著作权人网络著作权无法获得有效保障的原因一方面在于直接侵权人的难以确定;另外一方面是因为网络服务商仅仅承担“通知与删除”的合理义务。这种侵权责任的空白地带,将侵权风险的后果负担由单个的著作权人转移到整个社会,推动网络著作权的保险制度,能够增强在该领域抵抗风险的能力。
(四)网络服务商承担网络作品防止侵权的技术措施的义务;网络服务商和著作权人在网络著作权上自身存在利益的博弈过程,需要寻求法律上的利益平衡。从社会成本控制的理论,以最小的成本,实现社会公共利益的最大化,是法律效益价值的体现。在网络作品著作权的保护上,网络服务商相对于著作权人而言具有更加充裕的人力、财力和先进的技术,要求网络服务商针对网络作品提供防止侵权的技术措施,不仅具有经济合理性也能更加节约社会资源。将财富的分配与风险的分配相结合。
参考文献:
[1]霍勇刚.论网络服务提供商的著作权侵权责任[D].郑州:河南大学,2008.
关键词:电子商务 网络营销 风险管理 法律框架
一、引言
本文主要研究企业开展电子商务和网络营销活动所面临的法律风险,并对这些法律风险进行管理。为了完成这一研究成果,我们设定了如下具体目标:选择风险管理模式;识别、评估和分析法律风险;研究围绕企业电子商务和网络营销活动的法律法规现状,提出一种方法来提升企业内部的法律风险管理。
二、法律风险管理
风险管理广泛应用于各种经营活动之中,当前,法律风险管理方面的研究在飞速发展。法律风险不是孤立的,还会受到其他的商务和技术风险的影响。在本课题的研究过程中,我们采用了法律风险识别、法律风险评估、制定法律风险管理措施、实施该法律风险管理措施、法律风险措施改进与评价这样一个五步法律风险管理模式。
三、法律风险的识别和分析
企业从事电子商务和网络营销活动的主要法律风险有:销售合规性、知识产权、网络营销、信息安全和数据资料保护。
(一)销售合规性
无论何种方式的销售和购买活动都是受相关法律法规所规范的。在中国,通过互联网销售产品和服务,公众的利益受多种法律法规的保护。如根据国家药监局2005年9月下发的《互联网药品交易服务审批暂行规定》,从事互联网药品交易服务的企业必须经过审查验收并取得互联网药品交易服务机构资格证书。
另外,在产品配送和服务方面违规可迅速成为电子商务企业的法律风险,很容易让企业失去客户信任、遭受财务损失甚至在市场上丧失信誉。
(二)知识产权
知识产权主要包括著作权、专利、外观设计权和商标,对知识产权是关注由来已久。随着计算机技术、软件开发和互联网的飞速发展,企业法律策略的一个重要方面是必须遵守知识产权法律法规。
对于知识产权,企业要从两个维度来考虑:一方面,必须确保电子商务和网络营销活动遵守有关知识产权的法律法规;另一方面,要有一套程序来监管本企业的知识产权,保护其不受侵害。
(三)网络营销
营销是商务活动的核心,营销有助于品牌认知、创造收入和产生客户群。企业在营销的时候,要保证所有的营销活动是合法的,这是企业必须承担的义务。
在互联网环境下,企业通过搜索引擎、电子邮件、社会媒体等工具开展营销。不同企业的网络营销策略不尽相同,但无论网络营销策略包含何种具体网络营销方式,都必须遵守法律法规,并符合消费者行为。
(四)信息安全和数据保护
对于企业来说,确保商务通信的安全及保护客户信息的安全和完整是保持竞争优势的要素之一。商务信息被人知悉,就可能丧失商机,因此首先必须保证信息除了发送方和接收方外不被其它人窃取,要确保信息的保密性。其次还要确保信息在传输过程中不能被篡改,保证商务信息的完整性。此外,商务信息的发送方要能够确认接收方的身份,确保交易方身份的真实性。最后,双方对于自己的信息不能抵赖,确保交易的不可否认性。
要想在商业道德方面获得竞争优势,同时做到遵从法律法规,维护信息安全是非常重要的。企业如果无视信息安全和合法的数据保护的要求就会面临法律风险。电子商务具有全球性,企业从事国际电子商务除了要遵守中国的法律法规,同样应该保持对国际和相关国家或地区法律法规的遵从。
四、一种法律风险管理方法
前文中,我们对企业开展电子商务和网络营销活动的主要法律风险进行了识别和评估,指出了法律上需遵从的方面,本节我们提出一种方法来制定、实施、监测与评价法律风险管理措施。
首先,要增强员工的法律意识,员工要清晰地认识到企业内部业务的法律问题。企业要根据员工的角色开发一套策略来引起员工的法律意识,这套策略要涵盖到企业的每个人。基于员工角色和职责的层次结构来开发管理策略是个很好的方法。对营销人员应该增强营销相关法律问题的意识,对信息技术支持人员应该增强《电子签名法》等信息安全方面的法律意识。企业还要周期性地举办一些活动来提升员工的法律意识。
其次,企业高层管理人员可在法律专家的帮助下,制定一套标准的规程以确保合规性。按照这套规程,员工在进行业务操作之前先要完成核查表,确保法律规定得以满足。信息管理系统的应用可使企业内部信息处理更加高效,这样既节约成本,又可有效促进守法要求。目前市场上有许多成熟的信息管理系统商业解决方案,如客户关系管理系统(CRM)、企业资源计划(ERP)等。信息技术支持主管要确保企业内使用的信息系统是合法的。通过使用合法的信息管理系统,企业可以对业务环节进行有效的监控,利于明确责任和提高效率。
再次,企业还可以引入员工激励系统,来激励那些达到最低合法要求并使企业业务活动不受潜在法律风险影响的员工。激励可以以奖金、礼物、积分等形式来体现,最重要的是在精神上给员工以认可和欣赏。
五、结论
法律风险管理当前正处于初期,但是其发展演进非常快。本文从法律的角度来讨论企业开展电子商务和网络营销活动面临的风险。企业要开展电子商务和网络营销,需要有一套风险管理策略,这是非常重要的。
未来,互联网和电子商务的法律还在演进,新的技术进步会为企业和消费者带来法律保护的新需求。电子商务环境下,任何企业都可以从事全球贸易和营销,保持法律的协调和一致性将会给企业一个公平的平台。
>> 论我国P2P网络借贷的债权人保护问题 我国P2P网络借贷的税务法律问题研究 我国P2P网络借贷平台中的法律问题 我国P2P网络借贷平台运营模式研究 我国P2P网络借贷的运营模式与风险防控 我国现有的P2P网络借贷模式分析与风险评估 我国P2P网络借贷发展存在的问题及前景分析 我国P2P网络借贷的发展与风险分析 我国P2P网络借贷平台的居间人角色分析 我国P2P网络借贷的风险及监管分析 我国P2P网络借贷的风险控制分析 P2P网络借贷平台法律风险分析 我国p2p网络借贷发展面临的风控困境及法律对策研究 我国P2P网络借贷的运行模式与风险管控研究 规范发展我国p2p网络借贷平台的思考 我国P2P网络借贷市场中存在的问题研究 对当前我国P2P网络借贷平台发展的思考 我国P2P网络借贷发展历程探究 对我国P2P网络借贷行业发展的思考 我国p2p网络小额借贷的现状研究 常见问题解答 当前所在位置:l,2013/9/10.
[2]胡蓉萍.放贷人唐宁[EB/OL],http://.cn/2011/ 0910/211047.shtml,2013/9/10.
[3]胡蝶.资产证券化法律问题研究——拟证券化资产“风险隔离”角度[D].南昌大学硕士学位论文,2012.6.
[4]伦宗健.我国企业资产证券化融资研究[D].沈阳大学硕士学位论文,2011.12.
[5]蒲剑宇,管瑞龙.推进我国资产证券化发展的途径与意义——基于资产证券化的国际经验与启示[J].国际金融,2012(07):76-77.
[6]李爱君.民间借贷网络平台的风险防范法律制度研究[J].中国政法大学学报,2012(05):35.
[关键词]网络零售商;惠顾意愿;影响因素
[中图分类号]F713.26;17274;F224 [文献标识码]A [文章编号]1006―5024(2014)03―0142―05
一、问题的提出
近年来,互联网普及和网络消费环境日趋成熟,为国内网络零售业提供了广阔发展空间,网络购物交易额迅猛增长,网络零售商数量快速增加。据中国电子商务研究中心数据显示,截至2012年底,网络零售市场交易规模达1.32万亿元,同比增长64.7%,占社会消费品零售总额的6.3%;从事网络零售业务的B2C、C2C及其他模式电子商务的企业数已达2.49万家,较去年增幅达19.9%;个人网店数量达1365万家,较2011年减少15.7%。
网络零售业务迅猛发展已引起学术界有关网络零售问题的深入研究。目前,国内外有关网络零售的研究主要集中在顾客购买意愿、顾客忠诚、网络口碑、冲动购买等方面,很少有学者从惠顾角度进行研究。在网络零售环境中,顾客转换成本较低,忠诚度普遍不高。因此,与实体零售商强调顾客忠诚不同,网络零售商主要应关注如何吸引顾客经常访问与光顾。提高顾客惠顾意愿及行为,是网络零售商经营的重要策略。国内关于惠顾问题的研究文献主要针对实体零售商。而网络零售商惠顾方面研究相对缺乏。基于上述研究的不足,本研究目的在于探讨:(1)网络零售商惠顾意愿受哪些因素影响;(2)网络零售商惠顾意愿作用方式是怎样的,是单一路径还是多重路径,不同路径的作用程度是否存在差异。
二、文献回顾和理论模型
(一)网络零售商惠顾意愿与惠顾行为关系
Pan和Zinkhan(2006)认为惠顾行为由顾客光顾某特定商店频率和对该商店惠顾选择构成。目前大多数学者认同Dodds和Zeithaml(2002)观点,即惠顾意愿是顾客愿意去某特定商店的可能性以及将此商店推荐给其他人的可能性。本研究参考这一定义,将网络零售商惠顾意愿界定为顾客愿意浏览某特定网络零售商页面的可能性以及将此网络零售商推荐给其他人的可能性。
惠顾意愿与惠顾行为关系最早研究源于Fishbein(1967)提出的合理行为理论,该理论认为个体的大部分行为受意志控制,行为意愿会影响其随后的行为,它是行为的最佳预测指标。国外众多零售学者(Fishbein,1975;Mullct和Karson,1985;Bruce,1996;Sandra和Forsythe,2003等)研究发现,顾客惠顾意愿与购买行为直接相关,惠顾意愿是衡量顾客购买行为的重要指标。Pan和Zinkhan(2006)进一步研究指出,惠顾意愿有助于零售商识别具有惠顾行为的顾客。国内很多学者如潘志贤(2010)、吴泗宗和揭超(2011)等均认为惠顾意愿是影响顾客惠顾行为的前因变量。网络零售商惠顾行为表现方式虽与实体零售商不同,但惠顾意愿对网络零售商惠顾行为均有重要解释作用。据此,提出如下假设:
H1:网络零售商惠顾意愿与惠顾行为呈正相关关系。
(二)网络零售商惠顾意愿影响因素分析
Pan和Zinkhan(2006)通过对前人研究总结与分析,提出惠顾意愿的前因变量分为三类:产品方面因素,服务方面因素以及顾客特征方面因素。为了界定网络零售商惠顾意愿影响因素维度,笔者在文献回顾和焦点访谈基础上,将网络零售商惠顾意愿影响因素分为感知风险、网店印象、网店信誉、网站服务质量和顾客风险偏好。
1 感知风险
感知风险是顾客对损失发生可能性及严重性的主观预期。
网络零售环境下,不可感知的交易主体和交易对象以及不同步的交易过程,增加了顾客购买行为的不安全感和不确定性,进而放大了顾客对购物风险的感知。顾客感知风险成为影响网络零售商惠顾意愿的重要因素。众多研究(Jarvenpaa和Todd,1996;Nena Lim,2003;Sandra,2003:Lee,Zui Chih,2011等)表明感知风险直接和间接地影响顾客购买意愿,两者之间呈显著的负相关关系。An―thony和Miyazaki(2001)等人认为,顾客感知隐私风险和安全风险是B2C电子商务发展的主要障碍。Sandra和Forsythe(2003)指出网络购物的经济风险是预测顾客网络惠顾行为的重要变量。Sandra、Chuanlan、David和Gardner(2006)研究表明,感知风险对消费者网上购物决策、上网访问浏览频率、花在网上购物时间和花在网上购物金钱产生消极的影响。据此提出如下假设:
H2:顾客感知风险与网络零售商惠顾意愿呈负相关关系。
2 网店印象
网店印象是消费者对网店属性特征经过主观认识、归纳后的结果。网店印象形成往往与顾客对网店网页设计、商品组合、价格和服务等感知有关。Mitchell(2001)研究发现商店印象是顾客简化复杂信息、降低感知风险的重要方式。Ambrosini(2004)实证研究发现,商店印象可以通过感知风险的心理和财务维度影响顾客惠顾意愿。网络零售的虚拟性提高了交易双方信息不对称程度,强化了顾客的风险感知。而良好网店印象带给顾客安全的心理保障,有助于减少顾客网购的不确定感,降低感知风险。据此,提出如下假设:
H3:网店印象与感知风险呈负相关关系。
Zimmer和Golden(1988)认为商店印象会影响对商店选择。Moeli等人(1991)研究指出,如果一个店铺印象与目标顾客寻求的价值观和信念不一致,那么这个店铺对顾客没有吸引力。众多研究表明,店铺印象有助于解释惠顾行为(Houston,1981;Finn等,1996;宋思根,2006)。对于网络零售商而言,良好网店印象可以减轻顾客风险与不安全感知,引发顾客惠顾意愿。据此,提出如下假设:
H4:网店印象与网络零售商惠顾意愿呈正相关关系。
3 网店信誉
信誉是网络零售商赢得顾客信任的基础。一方面,在传统交易环境中,有信息不对称的现象,而网络零售的虚拟性提高了信息不对称的程度。网络零售商没有实体店面,顾客无法亲眼看到商品,无法确定网上商店是否真正存在,进而很难感知到其经营的可信度。这些都表明顾客网购感知到很大的风险,从而加剧了顾客购买的不确定感。另一方面,在网络购物过程中,交易双方的资金流、物流缺乏同步性,顾客很难像惠顾实体零售商那样对商品、服务和环境进行直接接触,其购买行为往往存在较大风险。顾客更愿意相信具有良好信誉的网络零售商。顾客一般会把网络零售商信誉水平作为重要的购买参考信息(Wang,2005)。网络零售商信誉对促成交易的作用比线下交易更为明显。网络零售商的信誉可减少顾客感知利失,降低顾客感知风险,引发顾客惠顾意愿。据此提出如下假设:
H5:网店信誉与感知风险呈负相关关系。
H6:网店信誉与网络零售商惠顾意愿呈正相关关系。
4 网站服务质量
网络零售的平台是网站。网站作为购买中介,它的功能性表现、网上交易反应以及安全保障等方面的服务质量均会影响到顾客网络购物的感受和行为。井淼(2006)实证研究显示:网站便捷性、网站真实性、网站安全性这3个维度累积可解释网购感知风险总方差的80.31%。本研究认为网站为顾客网上购物提供信息搜寻、交易过程等相关服务越便捷,支付交易服务就越安全,互动沟通服务便越多,顾客感知风险也越小,就越容易引发顾客惠顾意愿。据此,提出如下假设:
H7:网站服务质量与感知风险呈负相关关系。
H8:网站服务质量与网络零售商惠顾意愿呈正相关关系。
5 顾客风险偏好
作为网购主体,顾客个人特征势必会影响网络零售商惠顾意愿。已有大量研究表明,人口统计变量对顾客网购意愿及行为具有差异化影响。本研究主要探讨顾客风险偏好对网络零售商惠顾意愿影响。风险偏好是指顾客对风险喜恶的程度。根据顾客对风险的态度通常分为三类:风险规避者、风险爱好者、风险中立者。网络零售环境下,顾客既无法直接接触商品,也无法掌握付款后的结果,存在着许多不确定性。网络购物是在一定的风险下,每个人面对风险的态度不同,会造成风险感知的差异性。厌恶风险的顾客往往会想办法避免不必要的风险,趋向于减少对网络零售商惠顾;爱好风险顾客喜欢追求刺激,对网络零售商惠顾意愿较强。据此,提出如下假设:
H9:顾客风险偏好与感知风险呈负相关关系。
H10:顾客风险偏好与网络零售商惠顾意愿呈正相关关系。
结合以上理论假设,笔者确定出如下图所示理论模型。
三、问卷设计和数据收集
(一)问卷设计
本研究根据前人相关研究文献,并结合焦点小组访谈结果设计了研究测量量表。同时邀请了30位近期有过网络零售购物的顾客进行初始问卷检测,以对问卷语意不清、表述不适合等情况进行修正,并在此基础上确定最终调查问卷。
本研究共设计了7张量表用来测量惠顾意愿、惠顾行为、感知风险、网店印象、网店信誉、网站服务特征和顾客风险偏好7个变量。量表1询问顾客对所选定网络零售商惠顾意愿,主要用喜欢浏览所选定网络零售商商品、愿意经常光顾所选定网络零售商网页和愿意向亲朋好友推荐所选定网络零售商3个指标度量。量表2询问顾客对所选定网络零售商惠顾行为情况,主要用对所选定网络零售商浏览时间、浏览频率和购买情况3个指标度量。量表3了解顾客对网络购物风险感知情况,涉及产品风险、隐私风险、经济风险、配送风险、服务风险和心理风险等感知。量表4了解顾客对所选定网络零售商印象,涉及网店网页设计印象、商品印象、价格印象和服务印象。量表5询问顾客对所选定网络零售商信誉评价情况,用美誉度、信用等级和顾客好评情况3个指标度量。量表6询问顾客对购物网站服务质量评价情况,涉及购物网站安全性、便利性和交互性,用网站信息安全承诺、支付安全保障、所售商品和服务保障、信息搜寻方便快捷、交易过程操作方便快捷、沟通渠道畅通、沟通服务反应快速7个指标度量。量表7测量顾客风险偏好。
(二)数据收集
本研究将调查对象界定为:曾经有过向网络零售商购物经历的顾客。调查问卷以网络调查和面访调查相结合方式发送,共发放问卷800份,回收有效调查问卷584份。从问卷描述性统计结果看,本研究调查对象男女比例相对均衡,男性比例为48,3%,女性比例为51.7%;就年龄层分布而言,21~30岁调查对象最多,占37.3%,其次是31~40岁占30.7%;就教育程度而言,本科和研究生学历最多,分别占被调查对象的39.5%和29.3%;就月收入而言,月收入2501~3500元和3501~4500元最多,分别占被调查对象的占29.6%和35.6%。
四、数据分析和假设检验
本研究数据分析主要分为三部分进行:首先对数据进行信度与效度分析,以确保调查数据是否存在内部一致性。其次,针对问卷中不同层次的问题进行因子分析。根据特征值方差贡献率归纳因子主要成分,然后确定各个观测指标在每个潜在变量上的负荷。最后,运用结构方程模型路径分析的结果对研究假设进行了验证。
(一)信度和效度分析
本研究用Cronbachct系数和组成信度(cR)指标检验量表信度。运用统计分析软件计算结果显示:惠顾意愿量表的Cronbachα系数为0.927,CR为0.812;惠顾行为量表的Cronbachcα系数为0.864,CR为0.833;感知风险量表的Cronbachcα系数为0.883,CR为0.735;网店印象量表的Cronbachcα系数为0.903,CR为0.786;网店信誉量表的Cronbachcα系数为0.912,CR为0.827;网站服务特征量表的Cronbacha系数为0.921,CR为0.763;顾客风险偏好量表的Cronbachα系数为0.711,CR为0.776。各测量量表的Cronbacha系数和CR值都在0.7以上。这表明各测量量表的内部一致性较高,信度较好。
本研究问卷内容是在文献研究和焦点小组访谈基础上经过反复修改而成。因此,可以认为本研究问卷具有较高的内容效度。本研究利用因子分析来衡量各量表的结构效度。先对惠顾意愿量表、惠顾行为量表、感知风险量表、网店印象量表、网店信誉量表、网站服务特征量表和顾客风险偏好量表进行KMO和球形Bartlett检验。KMO值越接近1,就越适合进行因子分析,KMO值的最低标准为0.5。Bartlett检验的概率是0.000,小于0.01,球形Bartlett检验相关矩阵不是单位矩阵(原假设相关矩阵为单位阵),拒绝Bartlett检验的零假设,原变量适合做主成分探索性因子分析。研究结果显示:各组指标KMO值在0.741~0.863之间,均大于0.7;全部通过球形Bartlett检验,表明这些指标适合进行因子分析。因子分析采取主成分分析法提取公共因子,并采取最大方差法进行旋转,因子分析中各题项在其相应的公因子上的载荷均大于0.5,没有出现显著地交叉负载,同时各项因子的方差贡献率均大于65%。这表明各个量表的效度较好。
(二)结构方程模型检验
运用结构方程模型对数据进行处理,采用LIS-REL8.70软件运算,得出的路径系数和T值结果如表1所示。从标准化路径系数的分析结果可以得出,T值都大于1.96,路径关系显著,此模型不需要修订。
该模型的拟合指数情况如表2所示,各个计量指标大都在较优拟合程度范围之内。
从表1和表2结果可看出,该模型拟合效果较好,模型可接受。假设H1、H2、H3、H4、H5、H6、H7、H8、H9、H10均通过检验,得到支持。
五、结论与应用
(一)研究结论
在回顾相关研究文献和访谈基础上,笔者构建了网络零售商惠顾意愿影响因素及作用机理模型,并运用结构方程模型对假设模型进行实证检验,得到以下主要结论:(1)网络零售商惠顾意愿是多种因素共同作用的结果,网店印象、网店信誉、网站服务质量和顾客风险偏好对网络零售商惠顾意愿具有直接正面影响,感知风险对网络零售商惠顾意愿具有直接负面影响。(2)网店印象、网店信誉、网站服务特征、顾客风险偏好也会通过感知风险间接影响网络零售商惠顾意愿,这四个因素与感知风险之间有显著负相关关系。(3)惠顾意愿与网络零售商惠顾行为之间有显著正相关关系。
(二)管理启示
本研究结果对网络零售商管理实践启示主要表现为以下方面:
第一,网店印象是网络零售商吸引顾客惠顾的重要手段。网店印象主要由网店外观印象、商品印象、价格印象和服务印象等构成。网络零售商可通过设计简洁美观网页、交互友好界面和方便快捷搜寻功能,以优化网店外观印象;通过提供适当的质量保证、真实详细的产品描述、优质的产品,以优化网店商品印象;通过保证客服人员的在线时间、热情周到售前服务、快速沟通服务、完善退换货服务,以优化网店服务印象;通过合理的价格、适当的促销刺激,以优化网店价格印象。
第二,网店信誉是网络零售商吸引顾客惠顾的关键要素。网络零售商应诚信经营,不断提升自己信誉。网络零售商可采取创建网络社区,借助良好的网络口碑提高信誉;通过和著名企业或品牌建立战略联盟提升顾客信任度,通过加强与顾客良性互动,不断积累信用,致力于建设网络零售商品牌。
第三,网站服务质量是网络零售商吸引顾客惠顾的重要保证。网络零售商要关注网站安全性、便利性和交互性。网站的安全性主要通过网站对产品质量和个人信息安全性的承诺力度以及网络安全技术升级改造来实现。网站的便捷性主要通过提高网站的简单易用性。网站的交互性主要通过建设及时高效的互动交流平台来实现。为此,网络零售商应注意积极采用先进网络安全技术,定期杀毒防范黑客入侵,保证数据库服务器安全,完善售后服务体系,确保顾客资金、支付、信息等方面安全;应减少顾客的学习成本和时间成本,使网页设计简洁实用,提供方便友好的交互界面,信息搜寻方便快捷,使交易过程操作简单,方便顾客进行交易或取消订单;应提升服务响应速度,提供诸如微博、微信、在线即时沟通、网络论坛等多种沟通渠道并保持其便捷畅通。
第四,顾客风险偏好对网络零售商惠顾意愿具有差异化影响。网络零售商应加强顾客数据库管理,关注研究顾客风险偏好,采取针对性营销策略吸引更多的风险规避者和风险中立者惠顾网络零售商。
第五,降低感知风险是网络零售商吸引顾客惠顾的重要策略。在网络零售环境下,顾客感知风险主要涉及产品风险、隐私风险、经济风险、配送风险和服务风险等。为此,网络零售商可以通过真实可靠的企业和产品描述、质量保证、第三方质检和无理由退换货政策等降低顾客对产品风险感知;通过安全承诺、规范管理和技术升级降低顾客对隐私风险感知;通过支付保证、货到付款和适当促销等降低顾客对经济风险感知;通过完善物流管理、配送信息即时沟通、退货运费保险等降低顾客对配送风险感知;通过加快服务反应速度、完善售后服务、坚决履行服务承诺等降低顾客对服务风险感知。
(三)研究不足及展望
关键词:无线网络规划;无线网络风险;无线安全检查项目;无线网络安全指引
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)28-6262-03
1 概述
有别于有线网络的设备可利用线路找寻设备信息,无论是管理、安全、记录信息,比起无线网络皆较为方便,相较之下无线网络的环境较复杂。无线网络安全问题最令人担心的原因在于,无线网络仅透过无线电波透过空气传递讯号,一旦内部架设发射讯号的仪器,在收讯可及的任一节点,都能传递无线讯号,甚至使用接收无线讯号的仪器,只要在讯号范围内,即便在围墙外,都能截取讯号信息。
因此管理无线网络安全维护比有线网络更具挑战性,有鉴于政府机关推广于民众使用以及企业逐渐在公司内部导入无线网络架构之需求,本篇论文特别针对无线网络Wi-Fi之使用情境进行风险评估与探讨,以下将分别探讨无线网络传输可能产生的风险,以及减少风险产生的可能性,进而提出建议之无线网络建置规划检查项目。
2 无线网络传输风险
现今无线网络装置架设便利,简单设定后即可进行网络分享,且智能型行动装置已具备可架设热点功能以分享网络,因此皆可能出现不合法之使用者联机合法基地台,或合法使用者联机至未经核可之基地台情形。倘若企业即将推动内部无线上网服务,或者考虑网络存取便利性,架设无线网络基地台,皆须评估当内部使用者透过行动装置联机机关所提供之无线网络,所使用之联机传输加密机制是否合乎信息安全规范。
倘若黑客企图伪冒企业内部合法基地台提供联机时,势必会造成行动装置之企业数据遭窃取等风险。以下将对合法使用者在未知的情况下联机至伪冒的无线网络基地台,以及非法使用者透过加密机制的弱点破解无线网络基地台,针对这2个情境加以分析其风险。
2.1 伪冒基地机风险
目前黑客的攻击常会伪冒正常的无线网络基地台(Access Point,以下简称AP),而伪冒的AP在行动装置普及的现今,可能会让用户在不知情的情况下进行联机,当连上线后,攻击者即可进行中间人攻击(Man-in-the-Middle,简称MitMAttack),取得被害人在网络上所传输的数据。情境之架构详见图1,利用伪冒AP攻击,合法使用者无法辨识联机上的AP是否合法,而一旦联机成功后黑客即可肆无忌惮的窃取行动装置上所有的数据,造成个人数据以及存放于行动装置上之机敏数据外泄的疑虑存在。企业在部署无线局域网络时,需考虑该类风险问题。
2.2 弱加密机制传输风险
WEP (Wired Equivalent Privacy)为一无线加密协议保护无线局域网络(Wireless LAN,以下简称WLAN)数据安全的加密机制,因WEP的设计是要提供和传统有线的局域网络相当的机密性,随着计算器运算能力提升,许多密码分析学家已经找出WEP好几个弱点,但WEP加密方式是目前仍是许多无线基地台使用的防护方式,由于WEP安全性不佳,易造成被轻易破解。
许多的无线破解工具皆已存在且纯熟,因此利用WEP认证加密之无线AP,当破解被其金钥后,即可透过该AP连接至该无线局域网络,再利用探测软件进行无线局域网络扫描,取得该无线局域网络内目前有哪些联机的装置。
当使用者使用行动装置连上不安全的网络,可能因本身行动装置设定不完全,而将弱点曝露在不安全的网络上,因此当企业允许使用者透过行动装置进行联机时,除了提醒使用者应加强自身终端安全外,更应建置安全的无线网络架构,以提供使用者使用。
3 无线网络安全架构
近年许多企业逐渐导入无线局域网络服务以提供内部使用者及访客使用。但在提供便利的同时,如何达到无线局域网络之安全,亦为重要。
3.1 企业无线局域网安全目标
企业之无线网络架构应符合无线局域网络安全目标:机密性、完整性与验证性。
机密性(Confidentiality)
无线网络安全架构应防范机密不可泄漏给未经授权之人或程序,且无线网络架构应将对外提供给一般使用者网络以及内部所使用之内部网络区隔开。无线网络架构之加密需采用安全性即高且不易被破解的方式,并可对无线网络使用进行稽核。
完整性(Integrity)
无线网络安全架构应确认办公室环境内无其它无线讯号干扰源,并保证员工无法自行架设非法无线网络存取点设备,以确保在使用无线网络时传输不被中断或是拦截。对于内部使用者,可建立一个隔离区之无线网络,仅提供外部网际网络连路连接,并禁止存取机关内部网络。
认证性(Authentication)
建议无线网络安全架构应提供使用者及设备进行身份验证,让使用者能确保自己设备安全性,且能区分存取控制权限。无线网络安全架构应需进行使用者身份控管,以杜絶他人(允许的访客除外)擅用机关的无线网络。
因应以上无线局域网络安全目标,应将网络区分为内部网络及一般网络等级,依其不同等级实施不同的保护措施及其应用,说明如下。
内部网络:
为网络内负责传送一般非机密性之行政资料,其系统能处理中信任度信息,并使用机关内部加密认证以定期更变密码,且加装防火墙、入侵侦测等作业。
一般网络:
主要在提供非企业内部人员或访客使用之网络系统,不与内部其它网络相连,其网络系统仅能处与基本信任度信息,并加装防火墙、入侵侦测等机制。
因此建议企业在建构无线网络架构,须将内部网络以及提供给一般使用者之一般网络区隔开,以达到无线网络安全目标,以下将提供无线办公方案及无线访客方案提供给企业导入无线网络架构时作为参考使用。
3.2内部网络安全架构
减轻无线网络风险之基础评估,应集中在四个方面:人身安全、AP位置、AP设定及安全政策。人身安全方面,须确保非企业内部使用者无法存取办公室范围内之无线内部网络,仅经授权之企业内部使用者可存取。可使用影像认证、卡片识别、使用者账号密码或生物识别设备以进行人身安全验证使用者身份。企业信息管理人员须确保AP安装在受保护的建筑物内,且使用者须经过适当的身份验证才允许进入,而只有企业信息管理人员允许存取并管理无线网络设备。
企业信息管理人员须将未经授权的使用者访问企业外部无线网络之可能性降至最低,评估每台AP有可能造成的网络安全漏洞,可请网络工程师进行现场调查,确定办公室内最适当放置AP的位置以降低之风险。只要企业使用者拥有存取无线内部网络能力,攻击者仍有机会窃听办公室无线网络通讯,建议企业将无线网络架构放置于防火墙外,并使用高加密性VPN以保护流量通讯,此配置可降低无线网络窃听风险。
企业应侧重于AP配置之相关漏洞。由于大部分AP保留了原厂之预设密码,企业信息管理人员需使用复杂度高之密码以确保密码安全,并定期更换密码。企业应制定相关无线内部网络安全政策,包括规定使用最小长度为8个字符且参杂特殊符号之密码设置、定期更换安全性密码、进行使用者MAC控管以控制无线网络使用情况。
为提供安全无线办公室环境,企业应进行使用者MAC控管,并禁用远程SNMP协议,只允许使用者使用本身内部主机。由于大部分厂商在加密SSID上使用预设验证金钥,未经授权之设备与使用者可尝试使用预设验证金钥以存取无线内部网络,因此企业应使用内部使用者账号与密码之身份验证以控管无线内部网络之存取。
企业应增加额外政策,要求存取无线内部网络之设备系统需进行安全性更新和升级,定期更新系统安全性更新和升级有助于降低攻击之可能性。此外,政策应规定若企业内部使用者之无线装置遗失或被盗,企业内部使用者应尽快通知企业信息管理人员,以防止该IP地址存取无线内部网络。
为达到一个安全的无线内部网络架构,建议企业采用IPS设备以进行无线环境之防御。IPS设备有助于辨识是否有未经授权之使用者试图存取企业内部无线内部网络或企图进行非法攻击行为,并加以阻挡企业建筑内未经授权私自架设之非法网络。所有无线网络之间的通讯都需经过IPS做保护与进一步分析,为一种整体纵深防御之策略。
考虑前述需求,本篇论文列出建构无线内部网络应具备之安全策略,并提供一建议无线内部网络安全架构示意图以提供企业信息管理人员作为风险评估之参考,详见表1。
企业在风险评估后确认实现无线办公室环境运行之好处优于其它威胁风险,始可进行无线内部网络架构建置。然而,尽管在风险评估上实行彻底,但无线网络环境之技术不断变化与更新,安全漏洞亦日新月异,使用者始终为安全链中最薄弱的环节,建议企业必须持续对企业内部使用者进行相关无线安全教育,以达到纵深防御之目标。
另外,企业应定期进行安全性更新和升级会议室公用网络之系统,定期更新系统安全性更新和升级有助于降低攻击之可能性。为达到一个安全的会议室公用网络架构,建议企业采用IPS设备以进行无线环境之防御。
IPS设备有助于辨识是否有未经授权之使用者试图存取企业内部会议室公用网络或企图进行非法攻击行为,并加以阻挡企业建筑内未经授权私自架设之非法网络。所有无线网络之间的通讯都需经过IPS做保护与进一步分析,为一种整体纵深防御策略。
4 结论
由于无线网络的存取及使用上存在相当程度的风险,更显无线局域网络的安全性之重要,本篇论文考虑无线网络联机存取之相关风险与安全联机的准则需求,有鉴于目前行动装置使用量大增,企业可能面临使用者要求开放无线网络之需求,应建立相关无线网络方案,本研究针对目前常见之无线网络风险威胁为出发,以及内部网络与外部网络使用者,针对不同安全需求强度,规划无线网络使用方案,提供作为建置参考依据,进而落实传输风险管控,加强企业网络安全强度。
参考文献:
[1] Gast M S.Wireless Networks: The Definitive Guide[M].O’Reilly, 2002.
[2] Edney J, Arbaugh W A.Security:Wi-Fi Protected Access and 802.11[M].Addison-Wesley,2004.
[3] R. Guha, Z. Furqan, S. Muhammad.Discovering Man-In-The-Middle Attacks nAuthentication Protocols[J].IEEE Military Communications Conference 2007, Orlando, FL, 2007(10):29-31.
[4] Nam, Seung Yeob.Enhanced ARP: Preventing ARP Poisoning-Based[J].IEEE Commucation Letters,2011,14:187-189.
如今越来越多的客户会利用网络来了解保险,购买保险。而众多的保险网站以及保险人的个人网站在保险网络营销中占据了很大的市场。那么通过网络购买保险有什么优势、如何在琳琅满目的网络上来选择适合自己的保险呢?网络购买保险有哪些注意事项呢?
网络够险有哪些好处?
通过网络购买保险的优势很多。
时间自由。网络了解保险不再拘泥于传统的和人面谈邀约,必须在指定的时间制定的地点面对面的交谈。只要你有时间就可以随时随地浏览各种各样心仪的保险产品。无论是白天还是晚上,无论是工作之余还是周末,只要能上网的地方,都可以完成了解保险的动作。
可以货比三家。网络就是一个大的“百科全书”,只要善用搜索功能,没有搜索不到的产品和保险公司。举个例子,一个客户想购买“重大疾病保险”,在百度输入“重大疾病保险”搜索之后会出现几十页有关重大疾病产品的介绍和有关重大疾病的解释,同时会出现很多家保险公司的产品网页,只要有时间就可以慢慢浏览,而不会受到他人的影响。
沟通方便。网络聊天工具qq/msn/飞信、邮件等在线聊天工具就可以帮助网络客户解决想要了解的保险内容,所以也就不用面对面听保险人的海阔天空的介绍。当然网络聊天也可以相对保护自己的隐私,可以选择和自己对胃口的人成交。见面就是最后的答疑解惑和签单成交了。
产品选择多多。网络上众多的保险产品可供选择,而且可以参考很多的成交案例,客户可以真正分析什么样的产品最适合自己。而理性的通过网络比较,追求完美是很多网络保险客户的目的。可以要求不同公司的人做几份不同的保险方案,列举出每个产品的优劣势,然后再多次咨询自己不了解或者不清的问题,然后自己做出选择。也可以找保险经纪人为自己从各家公司为自己组合最适合的保险方案。
注意事项
通过网络购买保险是个学习的过程,多参考一些保险网站已经成交的案例,对照自己家庭状况,对自己购买的保险保障有所了解,对每年的费用预算有所估计。
如果是在线购买及时生效的短期保险,要查询一下网站的真实性以及备案情况,尽量选择知名度较高的保险网站去购买。另外电子合同出来后,一定要打印存档,并且及时给保险公司客服打电话确认真实性和保单的有效性。
如果是寿险产品,在经过网络联系和比较后,约见人时可以要求人出示保险人资格证件,保持冷静的头脑和系统的分析,为自己和家人购买足额的有效的保险保障。
保险的网络购买其实是一个很复杂的变化过程,从对保险的一无所知到了解很多是一个学习的过程,从收集众多的保险信息到货比三家是一个和人博弈的过程,从有保险购买欲望到实际成交也会是一个漫长的心理斗争过程。但不管是怎样,网络保险营销已经走进我们每一个人的生活,而通过网络的保险购买,让我们都能拥有一份全面的保障。
(周小勇 大童保险销售服务有限公司 北京分公司 )
Tips:
如何购买网络保险?
一是信息收集。二是需求分析。三是货比三家。四是答疑解惑。五是确认成交。(红笔标注的文字,有图解(箭头)的方式做处理)
