发布时间:2023-03-13 11:16:16
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的商务安全论文样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
论文摘要:电子商务安全问题已成为制约电子商务发展的重要问题,安全问题包括电子商务交易安全、计算机网络安全等显性的问题,还包括管理、法律和标准等方面的隐性问题。通过对电子商务安全体系的分析,研究电子商务安全策略,建立一个安全电子商务环境,将促进电子商务健康快速地发展。
电子商务是一个跨国界,跨地区,跨行业的多种技术综合集成与不同社会经济文化背景形成的各种习俗不断冲突,不断协调和不断统一的综合性社会系统工程。电子商务安全策略保障电子商务各个主体的切身利益。电子商务安全策略是以人为本,从各主体的角度思考,综合协调了各个市场主体的行为,从根本上保障了消费者、企业、电子商务网站等市场主体的切身利益,它为实现电子商务提供了统一的基础平台和安全屏障。
一、电子商务安全技术保障策略
安全技术保障技术是电子商务安全体系中的基本策略,目前相关的信息安全技术与专门的电子商务安全技术研究比较普遍和成熟。电子商务中常用到的安全技术有以下几种:
1.密码技术。密码技术包括加密技术和解密技术。加密是将信息经过加密密钥及加密函数转换,变成无意义的密文。而解密则是将密文经过解密函数、解密密钥处理还原成原文。密码技术是网络安全技术的基础。
2.身份验证技术。电子商务主体向系统证明自己身份,并由系统查核该主体的过程,是确认真实有效身份的重要环节,这个过程叫作身份验证。常用的验证技术有报文鉴别、身份鉴别和电子签名。
3.访问控制技术。访问控制是指对电子商务网络系统中各种资源访问时的权限确认,防止非法访问。它包括有关的策略、模型、机制的基础理论与实现方法。
4.防火墙技术。防火墙是用一组网络设备来加强一个网络与外界之间的访问控制。防火墙整体可以分为三大类:分组过滤、应用、电路网关。
二、企业电子商务安全运营管理制度保障策略
企业电子商务安全运营管理制度是用文字的形式对各项安全要求所做的规定,是保证企业取得电子商务成功的基础,是企业电子商务人员工作的规范和准则。这些制度主要包括人员管理制度,保密制度,跟踪审计制度,系统维护制度、数据备份制度等。
1.人员管理制度人员管理制度主要从人员的选拔,工作责任的落实和安全运作必须遵循的基本原则制定相应的工作制度。
2.保密制度电子商务系统涉及企业的市场、生产、财务、供应链等多方面的机密,这些方面都是需要很好地划分信息安全级别,并确定安全防范重点,提出相应的保密措施。
3.跟踪审计制度跟踪制度就是要求企业建立网络交易的日志机制,来记录网络交易的全过程。而审计制度是对系统日志的经常检查、审核,及时发现对系统有安全隐患的记录,监控各种安全事故,维护和管理系统日志。
4.网络系统的日常维护制度网络系统的日常维护包括硬件的日常维护和软件的日常维护,硬件维护主要是对网络设备服务器和客户机以及通信线路进行定期规范地巡查、检修;软件维护主要是规范地对支撑软件的定期清理和整理、监测、处理特殊情况以及对应用软件的升级等。
5.数据备份制度数据备份主要是利用多种介质对信息系统数据进行存储,定期为重要信息备份、系统设备备份,并定期更新,以减少安全事故发生时造成的损失。
三、电子商务立法策略
电子商务安全得到法律保障,首先必须完善电子商务安全相关的法律。如何构建一个有针对性的健全的法律体系是摆在我们面前的迫切问题。可以从立法目的、立法原则、立法范围和立法途径上分析。
1.立法目的电子商务安全立法的目的主要是要消除电子商务发展的法律障碍;消除现有法律适用上的不确定性,保护合理的商业行为,保障电子交易安全;建立一个清晰的法律框架以统一调整电子商务的健康发展。
2.立法范围电子商务安全方面需要的法律法规主要有:市场准入制度、合同有效认证办法、电子支付系统安全措施、信息保密防范办法,知识产权侵权处理规定、以及广告的管制、网络信息内容过滤等;电子商务调整的对象是电子商务中的各种社会关系。[3.立法途径电子商务法律仍然是调整社会关系,所以应当继承传统立法的合理内核,尤其是基础价值观。具体的立法途径主要是两种:第一是制定新的法律规范。对于传统法律没有规定的,即由电子商务带来的新的社会关系,应尽快制定法律规范;第二是修改或重新解释既定的法律规范。对于传统法律的规定不明确,或与电子商务新型社会关系有冲突甚至存在缺欠的,可以修改或重新解释既定的法律规范。
四、政府监督管理策略
电子商务本质是一种市场运作模式,市场的正常健康有序地发展,必须有政府宏观上的监督与管理,以协调和规范各市场主体的行为,宏观监督与管理电子商务运行中的安全保障体系。
1.计算机信息系统安全管理计算机信息系统,是指“由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。”计算机安全保护规范主要有计算机安全等级保护制度,计算机系统使用单位安全负责制度,计算机案件强行报告制度,计算机病毒及其有害数据的专管制度与计算机信息安全专用产品销售许可证制度。对计算机信息系统安全的保护,有利于保障国家的安全和社会安定,促进电子商务的安全交易过程,有利电子商务的健康发展。
2.网络广告和网络服务业管理由于网络的开放性,自由性等特征决定了网络广告监管的难度,虚假广告、广告充斥着网络空间,网络广告已经发展成为一个社会问题。网络广告管理应该从三个方面入手:第一,网络广告组织的管理,必须对网站广告经营主体资格进行管制,第二,规范网络广告内容,确保广告内容的真实性、合法性和科学性。第三,需要有具体的广告审查管制、评估与监测部门。
国家针对网络服务业和网络用户管理已经颁布了《中华人民共和国计算机信息网络国际联网管理暂行规定》,其中提出了详细具体的限制条件。但是,网络飞速发展,面对网络中的新问题,还必须进一步深入全面地研究。
3.认证机构管理认证机构是电子商务活动中专门从事颁发认证证书的机构,对电子商务交易活动顺利进行,电子商务活动中交易参与各方身份和信息认定,维护交易安全具有重要作用。对认证机构的管理主要是通过对设立的条件、撤消或者颁发许可证等营业资格而进行审批监督;同时,还要针对其资产和财务状况定期审查,以免发生财务危机,对其信息披露与保密情况、安全系统运行情况等方面进行不定期或定期监督检查。
4.加强社会信用道德建设,构建和谐安全电子商务电子商务安全问题其中有很大部分是由电子商务用户或从业人员的信用道德问题引发的,在我国尤其严重,甚至大家感叹电子商务在我国“水土不服”。对于新型的商业运作模式,必然存在不少漏洞,这需要广大电子商务市场主体有良好的电子商务道德意识。除了从法律上采取措施,更重要的是政府要加强电子商务市场主体自身的道德建设,加强舆论监督和企业自律,充分利用网络新闻舆论监督,消费者舆论监督和行业协会的管理监督。
五、结束语
电子商务安全不仅涉及到电子商务公司、企业、消费者的利益,而且更加广泛地涉及经济、政治、国防、文化等诸多方面,关系到国家的安全、和社会的稳定。电子商务安全策略确保电子商务的快速、健康地发展。电子商务安全是目前电子商务发展的瓶颈,只有解决了电子商务安全,保障了市场主体的利益,才能得到网络用户的认可和参与,电子商务自身也才能得到快速、健康地发展。
参考文献
[1]林宁,吴志刚.我国信息安全技术标准化现状[J].中国标准化,2007(4)
[2]胡艳春.电子商务网站建设中的安全问题研究[J].商场现代化,2006,(10)
关键词:电子商务安全解决之策
一移动电子商务存在的安全问题分析
移动电子商务由于利用了很多新兴的设备和技术,因此带来了很多新的安全问题。在传统电子商务中,很多顾客和企业由于担心因安全问题蒙受损失而一直对这种高效便捷的商务方式持观望态度。而移动电子商务除包含大部分传统电子商务所面临的各种安全问题外,由于自身的移动性所带来的一些相关特性又产生了大量全新的安全问题。总的来说,移动电子商务的安全面临着技术、管理和法律几个方面的挑战,与传统电子商务相比,其安全问题更加复杂,解决起来难度更大。
1.无线窃听
传统的有线网络是利用通信电缆作为传播介质,这些介质大部分处于地下等一些比较安全的场所,因此中间的传输区域相对是受控制的。而在无线通信网络中,所有的通信内容(如移动用户的通话信息、身份信息、位置信息、数据信息等)都是通过无线信道传送的,无线信道是一个开放性信道,是利用无线电波进行传播的,在无线网络中的信号很容易受到拦截并被解码,只要具有适当的无线接收设备就可以很容易实现无线监听,而且很难被发现。
2.非授权访问数据
非授权访问是指未经授权的主体获得了访问网络资源的机会,并有可能篡改信息资源。攻击者能在服务网内窃听、非授权访问用户的敏感数据。这种访问通常是通过在不安全信道上截取正在传输的信息或者利用技术及产品中固有的弱点来实现。
3.假冒攻击
在无线通信网络中,移动站必须通过无线信道传送其身份信息,以便于网络控制中心以及其他移动站能够正确鉴别它的身份。由于无线信道传送的任何信息都可能被窃听,当攻击者截获到一个合法用户的身份信息时,他就可以利用这个身份信息来假冒该合法用户,这就是所谓的身份假冒攻击。另外,主动攻击者还可以假冒网络控制中心。如在移动通信网络中,主动攻击者可能假冒网络基站来欺骗移动用户,以此手段获得移动用户的身份信息,从而假冒该移动用户身份。
4.移动终端的安全管理问题
很多用户容易将比较机密的个人资料或商业信息存储在移动设备当中,如PIN码、银行帐号甚至密码等,原因是这些移动设备可以随身携带,数据和信息便于查找。但是由于移动设备体积较小,而且没有建筑、门锁和看管保证的物理边界安全,因此很容易丢失和被窃。很多用户对他们的移动设备没有设置密码保护,对存储信息没有备份,在这种情况下丢失数据或被他人恶意盗用,都将会造成很大的损失。
二电子商务安全管理的解决之策
1.身份认证技术
信息安全的一个重要方面是保证通信双方身份的真实性,即防止攻击者对系统进行主动攻击,如假冒用户等。身份认证是防止攻击者主动攻击的一个重要技术,它对于开放环境别是无线通信中各种信息的安全有重要作用。认证的主要目的,第一验证消息发送者和接收者的真伪,第二验证消息的完整性,验证消息在传送或存储过程中是否被篡改、重放或延迟等。口令是最简单的身份认证技术,安全性较差,因此有一次性口令等多种技术来提高它的安全性。利用密码技术,特别是公钥密码技术可以获得安全性较高的身份认证功能。保密和认证是信息系统安全的两个重要方面,它们是两个不同属性的问题,一般来说,认证不能自动提供保密,保密不能自然地提供认证功能。
2.WPKI技术
在有线通信中,电子商务交易的一个重要安全保障是PKI。PKI的系统概念、安全操作流程、密钥、证书等同样也适用于解决移动电子商务交易的安全问题,但在应用PKI的同时要考虑到移动通信环境的特点,并据此对PKI技术进行改进。
3.安全管理模型的建立及实施
对移动电子商务系统的管理过程是一个动态的管理过程,是一个循环反复、螺旋上升的过程,论文尝试建立一个“闭环”管理模型,将安全管理的各个阶段融入于模型之中,然后不断连续审查整个过程,发现问题时及时更新,及时解决,以便形成越来越完善的安全系统。
制定一套完整的安全方案一套完整的安全方案是实现移动电子商务系统安全的有力保障,移动服务提供商应结合自己实际状况,从人力、物力、财力等各方面做好部署与配置。由于
安全方案涉及到了安全理论、安全产品、网络技术、系统技术实现等多方面专业技能,并且要求有较高的认知能力,因此可以聘请专业安全顾问公司来完成,大多安全顾问公司在做安全方案方面有着丰富的经验,能够制定出符合需要的合理的安全方案来。
4.制定并贯彻安全管理制度
在对系统安全方案和系统安全处理的同时,还必须制定出一套完整的安全管理制度,如外来人员网络访问制度、服务器机房出入管理制度、管理员网络维护管理制度等等。以此来约束普通用户等网络访问者,督促管理员很好地完成自身的工作,增强大家的网络安全意识,防止因粗心大意或不贯彻制度而导致安全事故。尤其要注意制度的监督贯彻执行,否则就形同虚设。
通过对影响电子商务交易的网络信息安全要素进行分析和研究,能够对电子商务的网络信息安全问题进行有效解决和保障。下文对网络信息安全的几方面要素进行分析。
1.1电子商务交易系统的可靠性
确保电子商务系统的可靠性主要是为了通过一定的控制及预防措施对其系统安全性进行保证,以防出现计算机瘫痪、硬件故障、软件失效及信息传输错误等现象的发生。电子商务系统的可靠性及安全性对其传输、存储的信息数据有着十分重要的保证作用,同时对系统的完整性也能够起到监测作用,利用网络安全技术能够有效提高电子商务系统的可靠性。
1.2电子商务交易中的信息真实性
在电子商务交易过程中,交易双方的身份信息安全性及真实性必须得到保证,即交易双方必须是实际存在的。由于电子商务交易模式的特殊性,使得交易双方能够不同时出现在同地点就能够通过网络进行交易,因此在交易前必须先确定双方建立起信任的关系,并对身份可靠性进行确认。在电子商务交易过程中供应商在履行约定后是否能准时收到货款,而采购方在交付货款后收到的货物质量等问题是否与约定的内容相符,这两方面的问题对电子商务交易中的信息真实性提出了很高的要求。
1.3电子商务交易中的数据安全性
在电子商务交易过程中所传输的数据信息,其安全性必须得到保证。信息若被泄露给未授权方会直接导致经济等方面的损失。电子商务这种新型的交易方式,其交易信息能够直接反映出个人、公司或机构等的商业机密。因此,保证传输数据不被非法窃取是其交易过程中的关键问题之一。
1.4电子商务交易中信息的完整性
在交易过程中通过网络产生的数据信息完成性须得到保证,并且不能被随意篡改。相较于传统的交易方式,电子商务的交易过程具有较大的简便性,相对简化的交易程序对人为干扰因素进行了有效避免。但是,在其交易信息的传输过程中常常存在数据丢失、交易方欺诈行为等现象,导致最终交易双方确认的信息不一致。因此,保证资料信息的完整性作为电子商务交易的基础必须进行提高。
1.5电子商务交易的不可否认性
相较于传统交易方式通过实际签字或盖章的形式对交易信息进行确认,在电子商务交易过程中,交易双方需要以一种特定的形式对信息进行确认,并且承认信息的发送或者接受,不能随意抵赖。这就要求电子商务交易中对交易双方的信息交换通过利用无法复制、具有特点的信息对交易进行确认和保证。
2网络信息安全对电子商务交易产生影响的主要问题
随着计算机信息技术的广泛使用,电子商务通过对其技术进行应用使得自身发展得到促进,同时其便捷性得到了人们的高度认可。电子商务的未来发展空间十分可观。同时,其交易信息的安全性引起了人们的重视。在网络信息安全技术的基础上,电子商务通过利用互联网信息的开放性特点,实现了不同地域的线上交易形式及其他商业活动的交易全部过程。电子商务这一新型交易模式成为了新时期全球的经济热点。由于其交易过程的开放性特征,以及其交易的全球性、共享性及发展动态性的特点,使得电子商务发展中的安全问题受到了社会各界的关注,同时对其自身发展也有一定的制约性。因此,对网络信息安全对电子商务交易产生影响的主要问题进行研究十分必要。
2.1电子商务系统在运行过程中其网络信息常常会遭到外界的攻击,其中有服务性攻击与非服务性攻击两种
非服务性攻击是指指攻击者通过利用各种非法手段对网络的路由器等通信设名进行篡改,导致网络通信设备无法正常使用或网络无法正常工作;服务性攻击即攻击者通过利用服务器提供某类服务从而使网络无法运行。拒绝服务是最典型的攻击行为,通过使电子商务系统的网络服务器充斥大量待回复的消息致使系统负荷超载、网络瘫痪。
2.2计算机软件、硬件的各方面情况对电子商务交易中的网络信息系统会直接产生影响
计算机硬件主要有交换机、服务器及客户端等;计算机软件主要包括应用软件、网络操作系统及数据库系统等。软件漏洞是其网络信息系统中最为典型的问题之一,缓冲区溢出现象时常发生并且会造成很严重的影响,使得系统程序运行失败、计算机死机及系统重启等。因此,必须通过有效措施对计算机网络的硬件及软件工作情况进行保证,以确保电子商务系统的正常操作。
2.3在电子商务交易中对信息的存储和传输安全性要进行有效保证
信息的存储安全性即对联网状态中的计算机存储的信息安全进行保证,以实现未经授权的网络用户无法获得存储信息。未授权用户通常会对用户密码进行猜测或者窃取,通过各种手段绕过网络系统的安全认证,并对未授权信息进行非法修改、查看或者删除;信息的传输安全性即对网络传输中的信息数据的安全性进行保证,使其免遭攻击或者泄露。
2.4电子商务的网络系统有时也会受到内部的授权用户的破坏
部分授权的合法用户在运行电子商务网络系统时,警惕性较低,将系统的安全密码等机密信息无意泄露出去,从而导致安全性降低或者网络受到攻击。由于系统内部授权用户自身的专业计算机知识缺乏,错删系统文件等行为都会直接对电子商务网络信息系统的安全性造成破坏。
3提高电子商务中网络信息安全性的对策
在电子商务交易平台中,网络信息的安全问题会出现各种需要解决的情况,为了保证电子商务交易能够顺利进行,对其网络信息安全必须采取相应措施进行保证,当前主要有以下几种解决对策:
3.1防火墙
防火墙的由来是中世纪的城堡防御技术,想要进入城堡的人必须通过吊桥并且接受士兵的检查。从而引申出网络防火墙技术的概念,即电子商务系统需要以一定的防护措施对用户的授权等进行把关。
3.2黑客
随着科学技术水平的提升,很多电脑爱好者的计算机水平也逐渐提高。目前已出现部分计算机水平较高的黑客设法绕过防火墙技术的控制,对电子商务网路系统进行干扰和入侵。因此,应利用相关入侵检测技术即时地对外界产生的入侵或攻击进行主动防御,以弥补防火墙技术的漏洞。通过在应用中采取监控措施、在电脑主机上进行监控措施及对网络信息系统进行监控等办法能够有效抵御外界攻击。
3.3病毒防御软件
网络病毒的数量及多样性对计算机系统及信息等多方面都造成了严重的影响。网络病毒对电子商务系统的运行也造成了恶劣影响。为保证电子商务网络信息系统的安全运行应利用网络病毒防御软件进行保护,并保证交易信息的安全可靠性及速度。
3.4加密和秘钥
为保证电子商务信息的安全性,应通过使用加密算法对其进行加密,将信息含义隐藏起来,以防外界入侵者的攻击行为。同时利用密钥管理技术作为加密信息的解密手段,只有授权合法的使用者能够操作。
3.5数字信封
在公共网络上使用传统的信息加密技术及密钥管理技术进行信息传输十分容易遭到外界的攻击,可以通过数字信封技术来解决这一问题,能够对信息在传输过程中的安全性进行保证。同时,为保证电子商务交易中的交易双方能有有效辨识身份信息,通过数字签名技术能够实现这一目的,并且对交易信息的可靠性、安全性进行保障,最大程度地提高电子商务交易的效率及质量。
4通过建立电子商务安全机制保证其交易过程
信息及结算信息。同时商务主机需要向相关交易认证机构对客户的订单信息进行确认和反馈。因此,保证信息的安全性及完整性十分重要,以避免信息在传输的中途被篡改或者窃取,这对交易双方来说极为重要。确保交易信息的完整性、有效性需要考虑的因素有很多,例如安全管理问题、物理安全问题、介质安全等各种问题,同时在技术上还需保证高要求。应采取相应措施对电子商务系统的访问权限进行设置并建立安全防务机制。采取验证身份信息等手段以杜绝信息窃取等危险的发生。通过对数据信息文件进行加密并提升防护安全的级别也可以对信息进行有效保护。在保障信息完整性时即通过建立安全机制确保数据信息不会被篡改或者盗取。安全机制包括访问限制机制、信息完整性机制及交换鉴别机制等。
4.1无权限访问控制机制
访问控制指的是根据已确定好的过滤规则来判定决定访问者是否拥有对于服务器的访问权限。访问控制可确保未无授权权限的访问者或以未经授权的方式对数据、服务器以及通信系统等资源进行非法的修改、破坏与运行恶意代码。
4.2数据单元的完整性机制
数据的完整性指的是数据单元的完整性与其序列的完整性。为确保数据的完整性,通常使用如下方式:发送者会在某个数据单元中加上一个经过加密的类似分组校验、密码校验函数等数据自身函数的标记。接收者拥有对应的加密标记,在受到数据后可将对应的加密标记跟接收数据中的标记进行比对,便可以保证数据在传输时的完整性。数据单元的序列完整性指的是确定数据的时间标记的正确性与数据的编号连续性,这样可确保无权限者不会对数据进行创建、删除、修改等非法操作。如果发生这类对数据的非法修改等恶意操作,会对经济产生巨大的冲击。
4.3信息交换鉴别机制
交换鉴别指的是通过进行信息交换的方法来确保实体身份有效合法的机制。进行信息交换鉴别时,通常用到的技术有以下几种:①口令:发送方设置口令,然后由接收方进行校验。②数据加密:对将要进行交换的数据进行加密处理,只有拥有权限的用户方可进行解密,从而得到正确的明文数据。通常实际中,数据加密往往与以下两种技术混合使用:双方、三方“握手”或是时间标记。③经公证机构认可的数字签名:数字签名指的是通过实体的法律所有权与生理特征进行实体身份的鉴别,实际中一般使用指纹识别与身份信息卡等。
4.4随机数据发送机制
随机数据发送指的是保密装置会网络中无信息传输的任务时,无目的性的发出随机的数据序列。这样可以迷惑非法的监听者,使其无法得知监听到的数据序列中是否存在有用信息。此种方式一般用来阻止非法的监听者在传输时对数据序列进行监听、流量流向分析等。
4.5路由器选择机制
实际中的大型网络中往往从源节点到目标节点之间会存在很多线路,这其中就存在各条线路安全与否的问题。路由器选择机制可以为发送方提供选择安全路由的选项,为数据的安全提供保障。
5结束语
关键词:电子商务安全策略信息安全认证
电子商务是在Internet开放的网络环境下,实现消费者的网上购物、企业之间的网上交易和在线电子支付的一种新型的交易方式。由于电子商务具有高效益、低成本、高效率、范围全球性等特点很快遍及全世界。电子商务已成为全球经济最具活力的增长点,它的应用和推广将给社会和经济发展带来巨大的变革和收益。然而,目前全球通过电子商务渠道完成的贸易额仍只是同期全球贸易额中的一小部分。究其原因,电子商务是一个复杂的系统工程,它的实施还依赖于相应的社会问题和技术问题的逐步解决与完善。其中,电子商务的安全是制约电子商务发展的一个关键问题。
一、电子商务的安全性需求
有效性:电子商务以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。因此,要对网络过障、操作错误、应用程序错误等所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
1.机密性:电子商务作为贸易的一种手段,其信息直接代表着个人、企业或者国家的商业机密。因此,能否维护好商业机密成为了电子商务全面推广应用的前提条件。电子商务系统应能够对公众网络上传输的信息进行加密处理,防止交易中信息被非法截获或读取。
2.完整性:电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、同意问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,在数据传输过程中信息丢失、信息重复或者信息传送的次序差异也会导致贸易各方信息不同。贸易各方信息的完整性将影响贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息丢失和重复,并保证信息传送次序的统一。
3.可靠性:由于网上通信双方互不见面,所以在交易前必须首先确认对方的真实身份;支付时还要确认对方帐号等信息是否真实有效。电子商务系统应提供通信双方进行身份鉴别的机制,确保交易双方身份信息的可靠和合法。应实现系统对用户身份的有效确认,对私有密钥和口令的有效保护,对非法攻击能够防范,防止假冒身份在网上进行交易。
4.法律性:电子商务系统应有效防止商业欺诈行为的发生。最新《合同法》已确认双方同意电子贸易的电子档案为有效书面合同,为产生贸易纠纷双方提供法律凭证。网上交易的各方在进行数据传输时必须携有自身特有的、无法被别人复制的信息,以保证交易发生纠纷时有所对证,以保证商业信任和行为的不可否认性,保证交易各方对已做的交易无法抵赖,为法律举证提高有效数据。
审查能力:根据机密性和完整性的要求,应对数据审查的结果进行记录。
二、电子商务面临的安全威胁
1.信息在网络的传输中被截获:攻击者可能通过互联网、公共电话网或在电磁波辐射范围内安装装置等方式,截获机密信息,或通过对信息流量和流向、通信频度和长度等参数的分析,获取有用信息,如消费者的账号、密码等。
2.传输的文件可能被篡改:改变信息流的次序,更改信息的内容,如购买商品的出货地址;删除某个信息或信息的某些部分;在信息中插入一些信息,让收方读不懂或接受错误的信息。
3.伪造电子邮件:虚开网站和商店,给用户发电子邮件,收定货单;伪造大量用户,发电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应;伪造用户,发大量的电子邮件,窃取商家的商品信息和用户等信息。
4.假冒他人身份:冒充他人身份,如冒充领导命令、调阅文件;冒充他人消费、栽赃;冒充网络控制程序,套取或修改使用权限、密钥等信息。
5.否认已经做过的交易:者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条信息或内容;购买者做了订货单不承认;商家卖出的商品质量差,但不承认原有的交易。三、电子商务活动的安全保证
为了满足电子商务在安全服务方面的要求,除了网络本身运行的安全外,电子商务系统还必须利用各种安全控制技术保证整个电子商务过程的安全与完整,并实现交易的防抵赖性等。具体实现有以下几种技术。
1.加密技术是电子商务的最基本的安全措施。在目前技术条件下,加密技术通常分为对称加密和非对称加密两类。
(1)对称密钥加密:采用相同的加密算法,并只交换共享的专用密钥(加密和解密都使用相同的密钥)。如果进行通信的交易各方能够确保专用密钥在密钥交换阶段未曾发生泄露,则可以通过对称加密方法加密机密信息,并随报文发送报文摘要和报文散列值,来保证报文的机密性和完整性。密钥安全交换是关系到对称加密有效性的核心环节。目前常用的对称加密算法有DES、PCR、IDEA、3DES等。其DES使用最普遍,被ISO采用作为数据加密的标准。
(2)非对称密钥加密:非对称加密不同于对称加密,其密钥被分解为公开密钥和私有密钥。密钥对生成后,公开密钥以非保密方式对外公开,只对应于生成该密钥的者,私有密钥则保存在密钥方手里。任何得到公开密钥的用户都可以使用该密钥加密信息发送给该公开密钥的者,而者得到加密信息后,使用与公开密钥相应对的私有密钥进行解密。目前,常用的非对称加密算法有RSA算法。该算法已被ISO/TC的数据加密技术分委员会SC20推荐为非对称密钥数据加密标准。
在对称和非对称两类加密方法中,对称加密的突出特点是加密速度快(通常比非对称加密快10倍以上)、效率高,被广泛用于大量数据的加密。但该方法的致命缺点是密钥的传输与交换也面临着安全问题,密钥易被截获,而且,若和大量用户通信,难以安全管理大量的密钥,因此大范围应用存在一定问题。而非对称密钥则相反,很好地解决了对称加密中密钥数量过多难管理及费用高的不足,也无需担心传输中私有密钥的泄露,保密性能优于对称加密技术。但非对称加密算法复杂,加密速度不很理想。目前.电子商务实际运用中常常是两者结合使用。
2.防火墙技术是确保基础设施完整性一种常用方法。它通过在网络边界上建立起来的相应网络通信监控系统来隔离内部和外部网络,控制进/出两个方向的通信流。它制定一系列规则来准许或拒绝不同类型的通信,并执行所做的路由决策,以阻挡外部的侵入。目前,防火墙技术主要有分组过滤和服务两种类型。
(1)分组过滤:这是一种基于路由器的防火墙。它是在网间的路由器按网络安全策略设置一张访问表或黑名单,即借助数据分组中的49地址确定什么类型的信息允许通过防火墙,什么类型的信息不允许通过。防火墙的职责就是根据防问表(或黑名单)对进出路由器的分组进行检查和过滤,凡符合要求的放行,不符合的拒之门外。这种防火墙简单易行,但不能完全有效地防范非法攻击。
趋势之一:纵深化。电子商务的基础设施将日臻完善,支撑环境逐步趋向规范和完善,企业发展电子商务的深度进一步拓展,个人参与电子商务的深度也将得到拓展。
1、电子商务的基础设施将日臻完善。图像通信网、多媒体通信网将建成使用,三网合一潮流势不可挡,高速宽带互联网将扮演越来越重要的角色,制约中国电子商务发展的网络瓶颈有望得到缓解和逐步解决。新一代高速互联网方案会尽早出台并付诸实施。中国电子商务的发展将具备良好的网络平台和运行环境。消费者的上网费用将越来越低廉。
移动电子商务将快速发展。移动通讯将成为进行电子商务的主要媒体。据预测,三年内移动电子商务将有高达320亿美元的商机,到2002年,全球超过1亿个手机将有上网功能,而到2003年将超过10亿个。2月28日,微软公司和亚马逊公司分别宣布扩大无线网络服务。两天后,中国的搜狐和诺基亚公司宣布联手推出无线互联网服务,而另一电信巨人--摩托罗拉也在同一天宣布与全球最大的网上贸易市场--阿里巴巴公司联手。
2、电子商务的支撑环境逐步趋向规范和完善。
电子商务的社会及商业环境更趋成熟。网络人口以几何级数增加,预计2003年达6千万以上,仅次于美国,网民的消费观念和行为将发生变化,对电子商务的接受程度提高。
企业对电子商务的认识更深化,实施电子商务的紧迫性和可能性都大大提高。
电子商务的法律环境将更完善。随着有关电子商务的基本法律法规的出台和实施,国内电子商务将得到有效的法律保障。
电子商务的安全性将得到有力的提升。中国将结合自身国情,发挥国家在保障电子商务交易安全方面的主导作用,消除人们对目前电子商务安全性的担心。
电子商务的物流体系逐步完善。随着电子商务的发展和需要,跨地区的专业性物流渠道将适时建立和完善,使得电子商务公司在配送体系的选择方面空间更大,成本将降低。
3、企业发展电子商务的深度进一步拓展。目前企业发展电子商务的模式还只是处于起步阶段,不成熟的地方很多,主要原因之一是技术创新及应用水平的限制。随着电子商务技术创新与集成度的提高,电子商务将向纵深挺进,新一代的电子商务将浮出水面,取代目前简单地依托"网站+电子邮件"的方式。电子商务企业将从网上商店和门户的初级形态,过渡到将企业的核心业务流程、客户关系管理等都延伸到互联网上,使产品和服务更贴近用户需求。互动、实时成为企业信息交流的共同特点,网络成为企业资源计划、客户关系管理及供应链管理的中枢神经。企业将创建、形成新的价值链,把新老上下游利益相关者联合起来,形成更高效的战略联盟,共同谋求更大的利益。
4、个人参与电子商务的深度也将得到拓展。个人对电子商务的应用将从目前点对点的直线式向多点智能式发展。
对个人和家庭来说,个人数字设备、家庭数字电器将加速普及并实现上网,如个人移动网络设备和网络电视、网络冰箱、网络微波炉的普及将使电子商务的发展空间极大地拓展。
趋势之二:个性化。消费者个性化定制信息需求将会强劲,个性化商品的深度参与成为必然。互联网的出现、发展和普及本身就是对传统秩序型经济社会组织中个人的一种解放,使个性的张扬和创造力的发挥有了一个更加便利的平台。就个人作为消费者来说,则使消费者的实现有了更有力的技术基础。电子商务个性化趋势将向两个方向发展:
一是个性化定制信息。世界上可能没有两个人对新闻、娱乐和其他一系列服务信息的需求是完全相同的。互联网为个性化定制信息提供了可能,也预示着巨大的商机。华尔街时报很早推出的个人电子报纸就是一例。互联网最大的特点是实时、互动,随着网络互动电视的发展,消费者不仅可以实现电视点播,而且将促使个人参与到节目的创意、制作过程。
二是对个性化商品的需要,特别是技术含量高的大型商品,消费者不再只是被动地接受,商家也不仅仅是提供多样化的选择范围就了事。消费者将把个人的偏好参与到商品的设计和制造过程中去。所以,对所有面向个人消费者的电子商务活动来说,提供多样化的比传统企业更具个性化的服务,是决定今后成败的关键因素。
趋势之三:专业化。面向消费者的垂直型网站和专业化网站前景看好,面向特定行业的专业电子商务平台发展潜力大。
1、面向个人消费者的专业化趋势。要满足消费者个性化的要求,提供专业化的产品线和专业水准的服务至关重要。今后若干年内中国上网人口仍将是以中高收入水平的人群为主,他们购买力强,受教育程度较高,生活的个性化诉求比较强烈。像8848、新浪商城等定位网上超市型的网站固然也有一定吸引力,但一方面其商品的选择性毕竟有限,另一方面在浩如烟海的商品之中很难想象可提供给顾客足够水准的服务。所以相对而言,提供一条龙服务的垂直型网站及某一类产品和服务的专业网站发展潜力更大。特别是对那些技术含量、知识含量较高的商品和服务,人们一般希望在购买前能够了解相关的知识,得到专家的指导。亚马逊到目前为止应该说也是这方面的代表,虽然贝索斯的胃口大得惊人。
国内如郎络电子商务公司推出的系列专门网站:网碟()、网药()和网险()正是顺应了这一潮流。面向广大中小投资者的证券财经类网站如和讯()及前景()网站等深受欢迎也说明了这一点。
2、面向企业客户的专业化趋势。对B2B电子商务模式来说,以行业为依托的专业电子商务平台也是一个趋势之一。
如美国商务网()就是为国内中小企业开拓国外市场服务的专业网站,专为化工企业服务的中国化工信息网()在行业内影响就较大。
趋势之四:国际化。中国电子商务必然走向世界,同时也面临着世界电子商务强手的严峻挑战。互联网最大的优势之一就是超越时间、空间的限制,能够有效地打破国家和地区之间各种有形和无形的壁垒,对于促进每个国家和地区对外经济、技术与合作等的交流将起到革命性的作用。电子商务将间接刺激对外贸易。比如在减少繁文缛节方面将节省大量费用。据统计1996年跨国界贸易的杂项开支约为3500亿美元,在有些情况下处理配运的货物竟需上百份文件和经过几十个不同部门和机关。而以电子商务开展国际贸易所节省的费用,估计可达1000亿美元。世贸组织预测,国际贸易中电子商务的份额将从1996年的6亿美元激增至1999年的665亿美元。
1、中国电子商务企业将走向世界。电子商务是国际贸易发展的必然趋势,随着国际电子商务环境的规范和完善,中国电子商务企业必然走向世界,这也是进一步扩大对外经贸合作和适应经济全球化提升中国企业国际竞争力的需要。
发展电子商务是缩短国内企业与国外差距的一个最有效的手段,中国企业可以由此同发达国家真正站在一个起跑线上,变中国在市场经济轨道上的后发劣势为后发优势。电子商务对中国的中小企业开拓国际市场、利用好国外各种资源是一个千载难逢的有利时机。借助电子商务,中小企业传统市场的竞争力可以得到加强,并有更多的机会将产品销售到全球各个国家和地区。
2、国外电子商务企业将努力开拓中国市场。中国的电子商务企业走向世界是必然趋势,国外的电子商务企业渗透到国内也是如此。随着中国加入WTO,这方面的障碍更会得以消除。Ebay在这方面已先走一步,最近它已宣布将与搜狐携手共拓中国拍卖市场。
趋势之五:区域化。立足中国国情采取有重点的区域化战略是有效地扩大网上营销规模和效益的必然途径。
讲中国电子商务的区域化趋势与前面强调的国际化趋势并不是一对矛盾的东西。区域化趋势是就中国独特的国情条件而言的。中国是一个人口众多、幅员辽阔的大国,社会群体在收入、观念、文化水平等很多方面都有不同的特点。虽然总体仍然是一个人均收入较低的发展中国家,但地区经济发展的不平衡和城乡二元结构所反映出来的经济发展的阶梯性、收入结构的层次性都十分明显。目前上网人群主要集中在大城市,而且在可以预见的今后相当长时间内,上网人口仍将以大城市、中等城市和沿海经济发达地区为主,B2C电子商务模式区域性特征非常明显。以这种模式为主的电子商务企业在资源规划、配送体系建设、市场推广等方面都必须充分考虑这一现实,采取有重点的区域化战略,才能最有效地扩大网上营销的规模和效益。
趋势之六:融合化。就是电子商务网站在最初的全面开花之后必然走向新的融合,包括同类兼并、互补性兼并和战略联盟协作。
1、同类兼并。电子商务网站出现如雨后春笋,这一方面反映出电子商务在中国蓬勃发展的可喜势头;但另一方面也要看到为数不少的网站属于重复建设之列,定位相同或相近,业务内容趋同。由于资源总是有限的,并且在互联网"赢家通吃"原则下,最终胜出的只是名列前茅的企业,处在弱势状态的网站最终免不了被吃掉或关门的结局。
电子商务,顾名思义,是指与传统商务不同,发生在电子环境之下的一种新型商务模式,它通过日渐成熟的计算机技术和网络交易的基础,在虚拟的网络环境之中进行实物的交易,在这种信息技术的前提下提高了商业运作的效率,同时降低了商务贸易往来的成本,使得双方都能够获得利益,这种商业模式就是电子商务。而所谓的移动电子商务,是指一种随着移动客户端的不断发展而随之发展起来的电子商务新形式。移动电子商务使人们可以通过手机、个人平板电脑或者是掌上电脑等移动电子设备,在网络上进行电子商务的相关业务。移动电子商务以其方便、快捷和简单的特点吸引了越来越多的人参与到其中,而每个消费者的反馈也会对整个移动电子商务业的发展起到一定的推动作用。通过移动电子商务,人们可以随时在他方便的时候进行购买活动或者钱款转账,这种随时交易的模式使得人们能够更加方便的把握住贸易的时机,在经济活动之中占据更加有利的地位。不仅如此,移动终端设备的多账号绑定也使得电子商务之中的交付方式变得更加容易,大大便利了移动终端的用户们。移动电子商务,尤其是基于手机的移动电子商务相对于那些基于电脑的电子商务来说,有着其独有的特点。
二、移动电子商务的发展现状
那么,移动电子商务现在的发展情况究竟如何呢?在我国,移动电子商务的发展正处在一个上升的趋势之中,而这个趋势的推动力正是源自移动终端设备的发展,尤其是手机和平板电脑的普及,使得移动电子商务也随之进入了一个飞速的发展时期。在我国,手机的普及率越来越高,今年,我国智能手机的普及率的官方统计数据已经达到30%以上,如果再统计上山寨手机的话,我国的智能手机普及率还会更高,而对于我国的城市居民来说,智能手机的普及率截止到去年八月就已经达到了50%左右的水平,在今年,这个数据只会更高。而那些没有智能手机的人群,大多数都不常进行电子商务的交易,如果再考虑到这个数字的话,那么可以说几乎每一个有一定经济能力的个体,基本上都拥有自己的智能手机,而国人对手机的使用频率无须多言,可以说是机不离手,正是因为这几点原因,移动设备上的电子商务往来就显得尤为重要了。目前,作为移动电子商务的基础的通信网络基本已经实现了国家层面的全覆盖,这就为电子商务的发展打下了最重要的基础,而移动通信终端的用户数量还在不断的增长,根据趋势来看,未来的几年时间,这种增长趋势是不会停止的,终端数量将一直不断增长下去。
三、移动电子商务中的安全问题
然而,移动电子商务在不断发展的过程之中也随之产生了许多问题,比如移动支付的金融问题、移动支付的监管问题还有移动电子商务产业链中的竞争关系和合作关系的问题等等。这其中,最关键而有影响的问题就是移动电子商务的安全问题。
(一)移动电子商务的技术安全性问题。移动电子商务作为一种以通信技术和网络技术为基础的新兴技术性产业,其技术层面还存在着不完善的地方,尤其是在无线网络通道中存在着一些隐患。现在移动终端接入的网络主要有移动数据网络和无线网络两种,数据网络是由本国的各大通讯运营商提供的,安全性有足够的保障,相比较之下,无线网络的安全性就相对难以得到保障,在移动终端用户连接上无线网络之后,手机在使用该无线上网之中所涉及的个人信息就会面临泄露的风险,在这种情况下,移动电子商务的安全就受到了威胁。
(二)移动电子商务的支付安全性问题。随着2013年开始,“余额宝”等一系列的互联网经济的金融衍生品出现并迅速走红,这使得网络金融业开始崛起,利用更高的利率价格吸引人们的储蓄资金,运用大量金额的货币来进行市场操作,获得更高的利润,作为了一种功能上的银行替代机构,给人们带来了巨大的便利的同时,又对传统的金融业产生了巨大的冲击,尤其是银行方面,已经联手对这个类型的金融产品进行了封杀,这就体现出了移动电子商务支付过程中的不安全因素,它的支付机制建立在一种没有得到国家支持的金融模式上,会受到国家因素的影响。同时,移动电子商务的在线支付机制需要得到第三方支付机构的支持,这样买卖双方都会对整个交易过程更加放心,不过第三方支付机构本身也在发展方向问题上出现了问题,所以,我们应该对移动电子商务的在线支付更加谨慎,避免出现不必要的损失。
(三)移动电子商务的管理安全性问题。除了以上两个方面,对于电子商务的管理问题也是很重要的,这个管理问题主要是指电子商务运营商对于移动终端的管理问题,在这方面,移动电子商务的运营商们并没有什么有效的方法来管理这种问题,如果用户丢失了移动终端的话,拾到者如果通过一定的技术手段,是可以获得在手机上储存的用户个人数据的,尤其是密码等重要信息,这就使得用户的财产会面临额外的损失,而且会严重影响商业的进程,造成某些不可弥补的损失。
四、总结
关键词:校园;电子商务;安全;解决方案
引言
随着网络的不断普及和电子商务的迅猛发展,电子商务这种商务活动新模式已经逐渐改变了人们的经济活动方式、工作方式和生活方式,越来越多的人们开始接受并喜爱网上购物,可是,电子商务发展的瓶颈——安全问题依然是制约人们进行电子商务交易的最大问题,因此,安全问题是电子商务的核心问题,是实现和保证电子商务顺利进行的关键所在。校园电子商务是电子商务在校园环境下的具体应用与实现,其安全性也同样是其发展所不容忽视的关键问题,因此应当着重研究。
1校园电子商务概述。
1.1校园电子商务的概念。
校园电子商务是电子商务在校园这个特定环境下的具体应用,它是指在校园范围内利用校园网络基础、计算机硬件、软件和安全通信手段构建的满足于校园内单位、企业和个人进行商务、工作、学习、生活各方面活动需要的一个高可用性、伸缩性和安全性的计算机系统。
1.2校园电子商务的特点。
相对于一般电子商务,校园电子商务具有客户群稳定、网络环境优良、物流配送方便、信用机制良好、服务性大于盈利性等特点,这些特点也是校园开展电子商务的优势所在。与传统校园商务活动相比,校园电子商务的特点有:交易不受时间空间限制、快捷方便、交易成本较低。
2校园电子商务的安全问题。
2.1校园电子商务安全的内容。
校园电子商务安全内容从整体上可分为两大部分:校园网络安全和校园支付交易安全。校园网络安全内容主要包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。校园支付交易安全的内容涉及传统校园商务活动在校园网应用时所产生的各种安全问题,如网上交易信息、网上支付以及配送服务等。
2.2校园电子商务安全威胁。
校园电子商务安全威胁同样来自网络安全威胁与交易安全威胁。然而,网络安全与交易安全并不是孤立的,而是密不可分且相辅相成的,网络安全是基础,是交易安全的保障。校园网也是一个开放性的网络,它也面临许许多多的安全威胁,比如:身份窃取、非授权访问、冒充合法用户、数据窃取、破坏数据的完整性、拒绝服务、交易否认、数据流分析、旁路控制、干扰系统正常运行、病毒与恶意攻击、内部人员的不规范使用和恶意破坏等。校园网的开放性也使得基于它的交易活动的安全性受到严重的威胁,网上交易面临的威胁可以归纳为:信息泄露、篡改信息、假冒和交易抵赖。信息泄露是非法用户通过各种技术手段盗取或截获交易信息致使信息的机密性遭到破坏;篡改信息是非法用户对交易信息插入、删除或修改,破坏信息的完整性;假冒是非法用户冒充合法交易者以伪造交易信息;交易抵赖是交易双方一方或否认交易行为,交易抵赖也是校园电子商务安全面临的主要威胁之一。
2.3校园电子商务安全的基本安全需求。
通过对校园电子商务安全威胁的分析,可以看出校园电子商务安全的基本要求是保证交易对象的身份真实性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否认性。通过对校园电子商务系统的整体规划可以提高其安全需求。
3校园电子商务安全解决方案。
3.1校园电子商务安全体系结构。
校园电子商务安全是一个复杂的系统工程,因此要从系统的角度对其进行整体的规划。根据校园电子商务的安全需求,通过对校园人文环境、网络环境、应用系统及管理等各方面的统筹考虑和规划,再结合的电子商务的安全技术,总结校园电子商务安全体系结构,如图所示:
上述安全体系结构中,人文环境层包括现有的电子商务法律法规以及校园电子商务特有的校园信息文化,它们综合构成了校园电子商务建设的大环境;基础设施层包括校园网、虚拟专网VPN和认证中心;逻辑实体层包括校园一卡通、支付网关、认证服务器和交易服务器;安全机制层包括加密技术、认证技术以及安全协议等电子商务安全机制;应用系统层即校园电子商务平台,包括网上交易、支付和配送服务等。
针对上述安全体系结构,具体的方案有:
(1)营造良好校园人文环境。加强大学生的道德教育,培养校园电子商务参与者们的信息文化知识与素养、增强高校师生的法律意识和道德观念,共同营造良好的校园电子商务人文环境,防止人为恶意攻击和破坏。
(2)建立良好网上支付环境。目前我国高校大都建立了校园一卡通工程,校园电子商务系统可以采用一卡通或校园电子帐户作为网上支付的载体而不需要与银行等金融系统互联,由学校结算中心专门处理与金融机构的业务,可以大大提高校园网上支付的安全性。
(3)建立统一身份认证系统。建立校园统一身份认证系统可以为校园电子商务系统提供安全认证的功能。
(4)组织物流配送团队。校园师生居住地点相对集中,一般来说就在学校内部或校园附近,只需要很少的人员就可以解决物流配送问题,而不需要委托第三方物流公司,在校园内建立一个物流配送团队就可以准确及时的完成配送服务。
3.2校园网络安全对策。
保障校园网络安全的主要措施有:
(1)防火墙技术。利用防火墙技术来实现校园局域网的安全性,以解决访问控制问题,使只有授权的校园合法用户才能对校园网的资源进行访问,防止来自外部互联网对内部网络的破坏。
(2)病毒防治技术。在任何网络环境下,计算机病毒都具有不可估量的威胁性和破坏力,校园网虽然是局域网,可是免不了计算机病毒的威胁,因此,加强病毒防治是保障校园网络安全的重要环节。
(3)VPN技术。目前,我国高校大都已经建立了校园一卡通工程,如果能利用VPN技术建立校园一卡通专网就能大大提高校园信息安全、保证数据的安全传输。有效保证了网络的安全性和稳定性且易于维护和改进。
3.3交易信息安全对策。
针对校园电子商务中交易信息安全问题,可以用电子商务的安全机制来解决,例如数据加密技术、认证技术和安全协议技术等。通过数据加密,可以保证信息的机密性;通过采用数字摘要、数字签名、数字信封、数字时间戳和数字证书等安全机制来解决信息的完整性和不可否认性的问题;通过安全协议方法,建立安全信息传输通道来保证电子商务交易过程和数据的安全。
(1)数据加密技术。加密技术是电子商务中最基本的信息安全防范措施,其原理是利用一定的加密算法来保证数据的机密,主要有对称加密和非对称加密。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,而解密密钥不公开。
(2)认证技术。认证技术是保证电子商务交易安全的一项重要技术,它是网上交易支付的前提,负责对交易各方的身份进行确认。在校园电子商务中,网上交易认证可以通过校园统一身份认证系统(例如校园一卡通系统)来进行对交易各方的身份认证。
(3)安全协议技术。目前,电子商务发展较成熟和实用的安全协议是SET和SSL协议。通过对SSL与SET两种协议的比较和校园电子商务的需求分析,校园电子商务更适合采用SSL协议。SSL位于传输层与应用层之间,能够更好地封装应用层数据,不用改变位于应用层的应用程序,对用户是透明的。而且SSL只需要通过一次“握手”过程就可以建立客户与服务器之间的一条安全通信通道,保证传输数据的安全。
3.4基于一卡通的校园电子商务。
目前,我国高校校园网建设和校园一卡通工程建设逐步完善,使用校园一卡通进行校园电子商务的网上支付可以增强校园电子商务的支付安全,可以避免或降低了使用银行卡支付所出现的卡号被盗的风险等。同时,使用校园一卡通作为校园电子支付载体的安全保障有:超级秘书网
(1)校园网是一个内部网络,它自身已经屏蔽了绝大多数来自公网的黑客攻击及病毒入侵,由于有防火墙及反病毒软件等安全防范设施,来自外部网络人员的破坏可能性很小。同时,校园一卡通中心有着良好的安全机制,使得使用校园一卡通在校内进行网上支付被盗取账号密码等信息的可能性微乎其微。
(2)校园一卡通具有统一身份认证系统,能够对参与交易的各方进行身份认证,各方的交易活动受到统一的审计和监控,统一身份认证能够保证网上工作环境的安全可靠。校园网络管理中对不同角色的用户享有不同级别的授权,使其网上活动受到其身份的限制,有效防止一些恶意事情的发生。同时,由于校内人员身份单一,多为学生,交易中一旦发生纠纷,身份容易确认,纠纷就容易解决。
4结束语。
开展校园电子商务是推进校园信息化建设的重要内容,随着我国校园信息化建设的不断深入,目前已有许多高校开展了校园电子商务,它极大的方便了校园内师生员工的工作、学习、生活。可是与此同时,安全问题成为制约校园电子商务发展的障碍。因此,如何建立一个安全、便捷的校园电子商务应用环境,让师生能够方便可靠的进行校园在线交易和网上支付,是当前校园电子商务发展要着重研究的关键问题。
参考文献:
[1]李洪心。电子商务安全[M].大连:东北财经大学出版社,2008.
[2]杨坚争,赵雯,杨立钒。电子商务安全与电子支付[M].北京:机械工业出版社,2008.
[3]刘克强。电子交易与支付[M].北京:人民邮电出版社,2007.
【摘要】网络金融安全问题是特定历史发展阶段的问题,是应对金融全球化负面影响的产物。网上银行的安全既是用户最关心的问题,也是舆论长期关注的焦点。文章首先探讨网络金融概念特点,继而分析我国网络金融安全现状,最后提出改善我国网络金融安全几点对策。
【关键词】网络金融;风险;电子货币;对策 网络金融安全
是一项系统工程,涉及硬件、软件、防火墙、网络监控、身份认证、通信加密、灾难恢复、安全扫描等多个安全要素。而网络金融安全问题关乎我国的经济安全甚至国家安全。因此,必须站在更高的层面审视网络金融安全问题。
一、网络金融概念特点
(一)概念
网络金融,又称电子金融(e-finance),是一种通过个人电脑、通信终端或其他智能设备,借助国际互联网和通信技术无境域限制的联结客户与金融机构,以实现及时获取经济金融信息、享受网上金融服务、开展网上金融交易的金融活动。网络金融包括在线银行、网上保险、网上证券、网上期货、网上支付、网上结算等金融业务。
网络金融安全,是指金融网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务畅通快捷。网络金融安全包括系统安全和信息安全两个部分,系统安全主要指网络设备的硬件、操作系统以及应用软件的安全,信息安全主要指各种信息的存储、传输和访问的安全。
(二)特点
世界第一家网络银行——美国安全第一网络银行(SFNB)自1995年10月18日开业以来,国际金融界掀起了一股网络银行浪潮。这一金融创新正彻底颠覆了金融业和金融市场的业态,银行由实体化向虚拟化发展,金融服务的时空界限不再明显。与传统金融相比,网络金融具有以下一些特点:
无界性。网络金融的无界性主要是指金融活动无时空局限,打破传统的金融服务时间、境域、空间、方式等限制。网络经营企业只要开通网络金融业务,世界各地的上网用户皆可能在任一时间、任一地点、以任一方式成为其客户,并以商家愿意接受的任一电子货币支付,交易地域模糊性给计量造成困难。
3、低成本。虚拟形态的网络银行交易成本远小于物理形态的金融机构经营成本,而且服务效率得到提高、服务质量没有降低。这是网络金融得以出现并迅速发展的最主要原因。
4、加密性。传统金融下交易过程依赖于物理设置和现场办公,而网络金融下交易过程采取技术上加密算法或认证系统的变更或认证来实现。
5、信用性。电子货币和网络金融的发展,使得一些电子商务公司等非金融机构涉足短期电子商业信贷、中介支付、投资理财顾问等金融或准金融业务,而金融交易信息传输保存的安全性、客户个人信息、交易信息和财务信息的保护日益受到公众的关注。无疑,人的信用价值以及游戏规则的固化是网络金融快速发展基石。
二、网络金融安全现状
网络金融安全伴随着网上交易的整个过程。主要有两个方面:一是来自金融机构内部,网络系统自身的安全以及自身的管理水平和内控能力。如由于软硬件配置不匹配、系统设计不合理、运行不稳定等形成的安全隐患;二是来自于金融机构外部,取决于选择的开发商、供应商、咨询或评估公司的水平,以及其他各种外来因素如黑客攻击、自然灾害侵袭等所造成的安全问题。
有关调查表明,目前国内80%的网站都存在安全隐患,其中有20%网站的安全问题还十分严重。安全问题已日益成为困扰网上金融交易的最大问题,影响我国网上金融业务的健康发展。网络金融活动中的安全隐患,主要表现在:
网络系统漏洞。互联网本身固有的技术体制存在缺陷。基于远程通信的便利,互联网并未考虑安全性问题,因而基于信任主机之间的通信而设计的TCP/IP协议缺乏安全机制,建立在互联网络为基础的金融网络系统存在安全漏洞,防毒软件功能不强,造成网络运行不稳定,被病毒入侵、被黑客攻击,轻者数据毁坏丢失,重者烧毁硬件。目前全球的黑
客攻击事件,40%是针对金融系统的,我国则高达60%以上。
3、交易系统缺陷。按照我国有关规定,金融机构的网上业务要达到三级安全标准,但目前大多数金融机构的安全状况都未达到这一要求,其自行开发、应用的网上交易系统大多未经过权威部门的检测认证,存在安全控制技术落后、安全防范措施不到位、抗攻击能力不强、响应滞后、访问授权混乱、客户地址及邮箱等资源保护不力等情况。出现系统虚假信息泛滥;账户密码被黑客破译,数据资料、交易指令被篡改,资金被盗取,股票、债券、基金等金融资产被盗卖;信息传递的私密性、真实性、完整性、不可否认性缺乏保障等等现象。
4、交易监管滞后。由于网络金融交易的不透明、虚拟性、开放性,增大了交易者之间身份确认、交易真实性验证、信用评价方面的信息不对称,决定了网上支付和结算系统全球化,提高了信用风险程度。目前,我国网络金融运作监管经验不足、手段不全、技术落后、分业网上监管职责界定不清、内控制度不健全、网上业务定期内部审计流于形式,出现了网上业务运作中密码控制不严、软件控制功能薄弱、授权机制执行不力等问题。
5、协同机制缺乏。各银行网络系统各自为政,各行间信息隔绝,缺乏沟通协作。有的商业银行将其银行网络系统拓扑结构、建设实施方案等作为绝密材料被保存,行业间数据资源共享是一道屏障,造成资源资金浪费,延误了整个金融业的发展。 6、应急预案缺失。除上述种种因素外,金融机构未对停电、暴力犯罪等人为因素以及地震等自然灾害等突发性不确定事件的发生制定切实可行的应急预案,在一定程度上影响着网络金融的运行安全。
三、网络金融安全对策
强化技术防范。网络金融安全防范中,技术防范是关键。金融企业应制定全面周密的软硬件装备升级换代方案,即时引进和应用符合国家安全标准具有较高安全系数的金融电子化软件平台和金融电子设备核心技术,保证计算机应用软件的不断升级,维护网络系统健康运行。要配备性能良好的内外网络防火墙、病毒防御与杀毒软件,定期升级,严格网络登录口(下转第235页)(上接第233页)令管理等。要采用数字证书等较高级别的网络加密技术,设置交易中的客户身份认证和交易密码。此外,要进一步加大投入,网络信息安全产品,研发网络安全系统、语音鉴别系统、电子转账系统、智能卡识别系统、管理信息系统等,提高金融装备国产化水平,夯实金融安全基础。
3、加紧人才培养。网络金融机构要培养一批既掌握计算机枝术、网络技术、通信技术,又掌握金融实务和管理知识的复合型高级技术人才和管理人才。从国家层面讲,要积极培养政治过硬、技术全面、业务精湛、作风扎实的金融执法队伍,提高金融执法人员素质,严厉惩治金融犯罪和违法、违规活动。从企业层面讲,要通过不间断的全员培训培养教育,让全体从业人员全面了解网络技术安全缺陷,充分认识潜在的网络安全隐患危害性,掌握必要的软件系统安全技术、数据信息安全技术、病毒防治技术等。要通过改善硬件设施和办公条件,提高从业人员素质,提高员工业务水平,尽可能减少操作失误带来的麻烦,保证网络金融企业的经济稳定运行和持续发展。
4、加强内部控制。网络金融机构要参照相关的法规条例,制定各项安全管理制度,包括业务操作规程、计算机网络、数据库、病毒防治、密钥等安全管理制度。要加强人员变动管理,及时注销、移交和变更原有的密钥等信息资料。要建立数据备份中心,实现数据可追溯性。
5、加强预警监控。掌控网络金融风险重在预警评估与防范。网络金融机构,要建立网络金融风险预警机制,专人监控业务运行,加工处理数据,研究数据指标,制定网络金融风险应急处理预案,发现指标逼近预警线,果断采取风险防范措施以应对。
6、加强监管合作。面对网络金融市场高度国际化,大部分金融交易依赖于电子网络,网络银行资金日趋庞大和资金流动速度加快,但由于网络技术发展存在先天性缺陷——技术漏洞,使得网络安全成为制约网络金融发展的最大障碍。我国金融管理机构有必要适时同外国金融监管当局开展广泛的国际合作,沟通信息,打击犯罪,规范业务合作的程序,交换网络监管措施,创造网络金融活动的准则。
[2]熊建宇.网络金融的特点及安全体系构建[J].科技信息,2010(31).
