电子商务安全管理策略范文
时间:2023-07-11 17:50:21
导语:如何才能写好一篇电子商务安全管理策略,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
摘要:电子商务作为一种全新的商务模式,它有很大的发展前途,且随之而来的安全问题也越来越突出,如何建立一个安全、便捷的电于商务应用环境,对信息提供足够的保护,是商家和用户都十分关注的话题。安全问题己成为电子商务的核心问题。分析了电子商务中存在的安全问题,并阐述目前解决电子商务安全隐患的主要安全技术及相关策略。
关键词:电子商务;安全问题;安全策略
1电子商务中存在的两大类安全问题
1.1网络安全问题
现在随着互联网技术的发展,网络安全成了新的安全研究热点。网络安全就是如何保证网络上存储和传输的信息的安全性。网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁,概括来说网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等
1.2商务安全问题
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。网上交易日益成为新的商务模式,基于网络资源的电子商务交易已为大众接受,人们在享受网上交易带来的便捷的同时,交易的安全性备受关注,网络所固有的开放性与资源共享性导致网上交易的安全性受到严重威胁。所以在电子商务交易过程中,保证交易数据的安全是电子商务系统的关键。
1.3目前电子商务中存在的主要安全问题
(1)对合法用户的身份冒充。攻击者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份与他人进行交易,从而获得非法利益。
(2)对信息的窃取。攻击者在网络的传输信道上,通过物理或逻辑的手段,对数据进行非法的截获与监听,从而得到通信中敏感的信息。如典型的“虚拟盗窃”能从因特网上窃取那些粗心用户的信用卡账号,还能以欺骗的手法进行产品交易,甚至能洗黑钱。
(3)对信息的篡改。攻击者有可能对网络上的信息进行截获后篡改其内容,如修改消息次序、时间,注入伪造消息等,从而使信息失去真实性和完整性。
(4)拒绝服务。攻击者使合法接入的信息、业务或其他资源受阻。
(5)对发出的信息予以否认。某些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
(6)信用威胁。交易者否认参加过交易,如买方提交订单后不付款,或者输入虚假银行资料使卖方不能提款;用户付款后,卖方没有把商品发送到客户手中,使客户蒙受损失。
(7)电脑病毒。电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。如,CIH病毒的爆发几乎在瞬间给网络上数以万计的计算机以沉重打击。
2电子商务中的主要安全技术
2.1电子商务的安全技术
互联网已经日渐融入到人类社会的各个方面中,网络防护与网络攻击之间的斗争也将更加激烈,这就对安全技术提出了更高的要求。安全技术是电子商务安全体系中的基本策略,是伴随着安全问题的诞生而出现的,安全技术极大地从不同层次加强了计算机网络的整体安全性。要加强电子商务的安全,需要企业本身采取更为严格的管理措施,需要国家建立健全法律制度,更需要有科学的先进的安全技术。安全问题是电子商务发展的核心和关键问题,安全技术是解决安全问题保证电子商务健康有序发展的关键因素。
2.2计算机网络安全技术
目前,常用的计算机网络安全技术主要有病毒防范技术、身份认证技术、防火墙技术和虚拟专用网VPN技术等。
(1)病毒是一种恶意的计算机程序,它可分为引导区病毒、可执行病毒、宏病毒和邮件病毒等,不同的病毒的危害性也不一样。为了防范病毒,可以采用以下的措施:
①安装防病毒软件,加强内部网的整体防病毒措施;
②加强数据备份和恢复措施;
③对敏感的设备和数据要建立必要的物理或逻辑隔离措施等。
(2)身份识别技术是计算机网络安全技术的重要组成部分之一。它的目的是证实被认证对象是否属实和是否有效。其基本思想是通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的。被认证对象的属性可以是口令、问题解答或者像指纹、声音等生理特征,常用的身份认证技术有口令、标记法和生物特征法。
(3)防火墙是一种将内部网和公众网如Internet分开的方法,它能限制被保护的网络与互联网络之间,或者与其他网络之间进行的信息存取、传递操作。防火墙可以作为不同网络或网络安全域之间信息的出入口,能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。它是电子商务的最常用的设备。
(4)虚拟专用网是用于Internet电子交易的一种专用网络,它可以在两个系统之间建立安全的通道,非常适合于电子数据交换(EDI)。在虚拟专用网中交易双方比较熟悉,而且彼此之间的数据通信量很大。只要交易双方取得一致,在虚拟专用网中就可以使用比较复杂的专用加密和认证技术,这样就可以大大提高电子商务的安全性。VPN可以支持数据、语音及图像业务,其优点是经济、便于管理、方便快捷地适应变化,但也存在安全性低,容易受到攻击等问题。
2.3商务交易安全技术
(1)加密技术是电子商务安全的一项基本技术,它是认证技术的基础。
采用加密技术对信息进行加密,是最常见的安全手段。加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。目前,在电子商务中,获得广泛应用的两种加密技术是对称密钥加密体制(私钥加密体制)和非对称密钥加密体制(公钥加密体制)。它们的主要区别在于所使用的加密和解密的密码是否相同。
(2)安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等。
①数字摘要。
数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码(数字指纹FingerPrint),并在传输信息时将之加入文件一同送给接收方,接收方收到文件后,用相同的方法进行变换运算,若得到的结果与发送来的摘要码相同,则可断定文件未被篡改,反之亦然。
②数字信封。
数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。在数字信封中,信息发送方采用对称密钥来加密信息,然后将此对称密钥用接收方的公开密钥来加密(这部分称为数字信封)之后,将它和信息一起发送给接收方,接收方先用相应的私有密钥打开数字信封,得到对称密钥,然后使用对称密钥解开信息。这种技术的安全性相当高。
③数字签名。
把HASH函数和公钥算法结合起来,可以在提供数据完整性的同时,也可以保证数据的真实性。完整性保证传输的数据没有被修改,而真实性则保证是由确定的合法者产生的HASH,而不是由其他人假冒。而把这两种机制结合起来就可以产生所谓的数字签名(DigitalSignature)。
④数字时间戳。
交易文件中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的,是防止文件被伪造和篡改的关键性内容。而在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS-DigitalTime-stampService)就能提供电子文件发表时间的安全保护。数字时间戳服务(DTS)是网络安全服务项目,由专门的机构提供。
⑤数字证书。
在交易支付过程中,参与各方必须利用认证中心签发的数字证书来证明各自的身份。所谓数字证书,就是用电子手段来证实一个用户的身份及用户对网络资源的访问权限。在网上电子交易中,如果双方出示了各自的数字证书,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。
3电子商务的安全性策略
3.1电子商务安全技术保障策略
安全技术保障技术是电子商务安全体系中的基本策略,目前相关的信息安全技术与专门的电子商务安全技术研究比较普遍和成熟。电子商务中常用到的安全技术有:密码技术,身份验证技术,访问控制技术,防火墙技术。
3.2企业电子商务安全运营管理制度保障策略
企业电子商务安全运营管理制度是用文字的形式对各项安全要求所做的规定,是保证企业取得电子商务成功的基础,是企业电子商务人员工作的规范和准则。这些制度主要包括人员管理制度,保密制度,跟踪审计制度,系统维护制度、数据备份制度等。
3.3电子商务立法策略
(1)立法目的。电子商务安全立法的目的主要是要消除电子商务发展的法律障碍;消除现有法律适用上的不确定性,保护合理的商业行为,保障电子交易安全;建立一个清晰的法律框架以统一调整电子商务的健康发展。
(2)立法范围。电子商务安全方面需要的法律法规主要有:市场准入制度、合同有效认证办法、电子支付系统安全措施、信息保密防范办法,知识产权侵权处理规定、以及广告的管制、网络信息内容过滤等;
(3)立法途径。电子商务法律仍然是调整社会关系,所以应当继承传统立法的合理内核,尤其是基础价值观。具体的立法途径主要是两种:第一是制定新的法律规范。第二是修改或重新解释既定的法律规范。
3.4政府监督管理策略
电子商务本质是一种市场运作模式,市场的正常健康有序地发展,必须有政府宏观上的监督与管理,以协调和规范各市场主体的行为,宏观监督与管理电子商务运行中的安全保障体系。政府监督管理主要体现在:计算机信息系统安全管理,网络广告和网络服务业管理,认证机构管理,加强社会信用道德建设。
4电子商务安全中还需解决的问题
(1)没有一种电子商务安全的完整解决方案和完整模型与体系结构。
(2)尽管一些系统正在逐渐成为标准,但仅有很少几个标准的应用程序接口(APIA)。从协议间的通用API和网关是绝对需要的。
(3)大多数电子商务系统都是封闭式的,即它们使用独有的技术,仅支持一些特定的协议和机制。通常需要一个中央服务器作为所有参与者的可信第三方,有时还要求使用特定的服务器和浏览器。
(4)尽管大多数方案都使用了公钥密码,但多方安全受到的关注远远不够。没有建立一种解决争议的决策程序。
(5)客户的匿名性和隐私尚未得到充分的考虑。
参考文献
[1]EricRescorla.著,崔凯译.SSL与TLSDesigningandBuild-ingSecureSystems[M].北京:中国电力出版社,2002.
[2]ChristopherSteel,RameshNagappan,RayLai.著.安全模式(CoreSecurityPatterns)[M].北京:机械工业出版社,2006.
篇2
一、电子商务出现安全问题的原因
电子商务出现安全问题的原因是多方面,主要有以下几种:
1、企业管理缺乏对于人员管理的认识。
如今,很多企业都认为电子商务仅仅在于技术而非人员管理,因此,企业在管理当中也会自觉地把电子商务当做一项技术来研究管理,缺乏对于企业内?a href="xuexila.com/yangsheng/kesou/" target="_blank">咳嗽钡南低彻芾恚皇墙屑际豕タ死唇邪踩喙堋R虼耍坏┢笠捣⑸宋薹植沟木盟鹗保39讨吹娜衔羌际醪还厝堑幕觯斐赏环⑹录捣ⅰD壳埃诠芾淼敝忻挥幸桓鱿喽酝暾耐绻芾硐低痴馐悄赣怪靡傻模环⑹录媸倍伎赡艽嬖冢虼耍踩芾?a href="xuexila.com/fanwen/cuoshi/" target="_blank">措施就必须要管理到电子商务的每一个角落和环节当中,只有是人与与技术相结合,才能够保证电子商务安全的进行下去。
2、企业规划当中没有详细的考虑信息安全问题
在电子商务安全的管理当中,并不是仅仅依靠一个部分或几个部门,而是整个企业的所有部门来维护和监管,虽然,各部门在职能的分工上各有不同,各有优势也存在差异,但是信息安全是每个部门都必须要重视的事情。信息安全保障体系必须是各部门整体的协调统一,才能够确保信息安全体系的有效管理。
3、企业缺乏相应的安全管理人力
企业在进行信息安全管理当中,很容易忽视对于信息安全管理的物质基础,在信息管理当中人才是保障信息安全的重中之重,信息安全是一项技术性活,假如缺乏业务能力强并且具备信息安全网络知识、技术、法律知识和管理能力的人才,就不可能把安全管理做好,电子商务安全管理就没有保障,容易导致信息的丢失和安全的缺乏。
4、企业对人员关于信息安全的宣传不到位
很多企业度忽视对于内部工作人员的信息安全的培训,这样就容易导致内部人员的信息安全意识薄弱,等不到企业安全管理的目的,因此就可能导致安全事故的发生,如今绝大部分的安全信息泄密事件都是由于参与网络交易的人员信息安全意识的缺乏而发生的,这就是企业在安全管理上的疏忽造成经济的损失。
二、电子商务安全管理体制的建议
网上交易安全管理必须采用较为综合的管理思路,从技术考虑确保技术能够跟得上时代的潮流,加强安全监管建立合法的管理制度,杜绝信息的泄密,对交易安全进行实时监控等等手段来保障安全,因此本文提出电子商务安全管理建议如下:
1、企业需提高网络安全防范的意识
目前,很多国内的网站都存在网络上的安全问题,主要是管理者没有重视安全的监管,甚至一些企业认为自己的公司规模小不具备安全管理的经验甚至是不需要进行安全的管理,因为不会成为黑客攻击的目标,这样的安全监管就无从谈起。因此,不管是大企业还是小企业都需要树立其安全管理的意识,定期举办安全信息培训,只有是提高网络安全的防范意识才能够避免信息泄露的事故发生。
2、加强电子商务安全管理组织上的体系
电子商务安全管理最主要的是组织上需要更加的完善,因此需要建立行政指挥领导、技术人才管理、信息安全监管以及安全顾问等等的安全决策,而他们的职责是建立相对完整的组织机构,组织安全策略、分配安全职责并且定期检查安全职责是否按时旅行等等。不仅如此,企业还需要建立起网络安全员、管理员等等的安全执行机构,能够负责网络系统的安全策略和日常的安全运行维护检查等。而安全顾问也必不可少,可以聘请安全专家负责提供安全的建议,尤其是在突发事故发生后,安全顾问就显得特别重要,可以被安全决策机构负责事故的调查并且能够提出相对合理的评估意见与建议等。
3、加强人员的安全管理意识
在网络交易的时候大部分都是内部人员参与网络交易,因此,他们更容易进行网络犯罪,而他们在违法过程中比其他的违法人员具有更大的隐蔽性和高效性。因而企业需要加强人员的监管,可以先从人员的录用上进行人员的甄选,在人员的录用过程当中要签署保密协议,当人员到期或者合同终止时也需要签署保密协议。其次还可以对内部人员进行在岗培训,建立起人员的安全意识,定期组织安全策略练习和规程方面的操作等。第三,还可以让企业人员明确本岗位的安全政策和职责,对违反网络交易的人员要进行相应的处罚,情节严重时可让其承担法律责任。[1]
4、企业需加强法律意识,并促进电子商务有法可依
如今,电子商务的发展越来越快速,企业也从电子商务的交易上获得了巨大的经济效益,但是在目前来看,我国却没有电子商务相对应的法律依据,这样容易使得部分犯罪人员得不到相应的处罚,当然,我国也在电子商务的立法上逐渐的完善,但是到虽然在电子商务上信息安全取得了一些成绩,却总体来说法律依旧还是不健全的,对于电子商务的安全保护依旧是缺少,专门的法律还是比较的分散,并且法律的效率依旧还是不高,面对这样的新型情况的突发,还是缺乏有力性和有效性,适应性相对较弱,因此,国家的对于电子商务的专门立法需要各个企业和国家的有关部门不断地摸索,才能够让电子商务的立法环境得到良好的发展。[2]
三、结论
篇3
[关键词] J2EE 电子商务 安全架构
一、背景介绍
随着网络应用的发展,电子商务作为一种新的商务系统得到了广泛的应用。目前电子商务的使用越来越广,电子商务的安全性成为人们关注的焦点。事实上,电子商务由于黑客的入侵,系统存在的安全漏洞而造成各方面的损失的报道也屡见不鲜。因此,电子商务的开发设计必须要把安全作为应用系统的一个重要的方面加入到电子商务系统的开发的整体设计中来。
当前电子商务应用的主流开发技术则是以J2EE为主,J2EE(Java 2 Platform Enterprise Edition)是美国Sun公司推出的多层企业应用开发模型。J2EE简化了基于工业标准的、组件化的企业应用开发,提供了一套完整的企业应用的开发框架和服务的支持。由于J2EE完善和灵活的框架设计、强大服务支持等优点,使其迅速成为电子商务应用系统开发的主流技术。本文则主要介绍了如何在基于J2EE的电子商务系统设计中加入安全架构的设计,并介绍了安全架构设计中的一些概念和实现技术。
二、电子商务的安全架构及其概念
电子商务的安全架构的根本目标是为了实现对用户访问系统和使用系统资源进行控制,达到合法用户合法使用系统的目的,因此在电子商务中采用的安全架构一般涉及到以下几个概念:
1.合法用户:合法用户是指通过验证的,拥有一定系统使用权限的用户。当一个用户进入系统时,只要通过验证后才可以获得进入系统的资格和使用系统的权限。
2.角色:由于一个电子商务系统可能对不同的用户给予不同的权限。如果对每个用户都要进行权限的设置,这样的做法显然是不合理的,因此在电子商务系统中一般将相同使用权限的用户归并成一类,称之为角色,相同的角色拥有相同的系统使用权限。
3.安全域:是一个逻辑范围或区域,在这一范围或区域中安全服务的管理员定义和实施通用的安全策略。它是比角色更高的层的抽象。一个组织可以划分成众多的安全域,而一个安全域中可以包含众多的角色。
4.资源:泛指电子商务系统中可以被用户使用,访问的有价值信息。比如说报价系统,订单系统等都属于电子商务系统的资源。
5.映射:映射是电子商务将一个合法用户与系统内的某个角色相关联的动作,从而该合法用户即拥有对应角色的系统使用权限。一个用户可以在不同的策略配置下对应不同的角色,达到实现系统用户权限管理的灵活性。
以上述的概念可知,一个组织的电子商务系统的安全架构可以首先看成是由安全域组成的,每个安全域内包含了众多的角色和资源。用户通过验证后进入系统,即根据其所属安全域的安全配置策略被映射到其对应的角色上,从而拥有该角色使用系统的权限。
三、电子商务的安全架构设计
1.用户身份验证:用户身份认证是用户进入系统的第一步,也是系统安全性保障的基本前提,用户身份验证有很多种方式和实现技术,就J2EE而言,主要有通过WEB客户端来实现对用户的身份验证和基于应用程序客户端验证两种方式, J2EE中提供了三种基于WEB客户端的用户身份验证技术,主要有HTTP基本验证,基于表单的验证,基于客户端证书的验证。而利用基于应用程序客户端验证的方式,这种方式主要是通过应用程序客户端在运行前由其应用程序客户端容器来完成验证过程。
2.安全域的划分:安全域涉及到更高抽象层的安全策略的配置,因此安全域的划分一般是依据电子商务系统用户所属组织的结构来划分。
3.用户角色设置主要是根据用户使用系统的需求来进行设置,将相同使用权限需求的用户归并为一类,设置成相同的角色。并针对该角色依据最小有限使用权限的原则配置该角色在系统中的使用权限。最后根据角色和权限配置,再结合实际的使用情况设置详细的安全管理策略。
4.以上第二、第三步骤主要集中在电子商务的安全管理逻辑设计,当逻辑设计完成后,就需要将逻辑的安全管理规则在电子商务系统中予以实现,在电子商务系统中加入安全管理功能模块。具有的实现方式有多种,以下本文将简要说明在电子商务应用系统中加入用户权限控制的过程和方法。
四、应用举例
在J2EE的架构中实现对用户访问权限的控制主要有二种实现方式:一种是通过SESSION对象来实现,即当用户通过身份验证后,为用户建立一个SESSION对象用以记录用户的角色,以及权限,当用户访问系统中的资源时,首先对用户的SESSION对象中的用户角色权限进行审计。如果用户的角色拥有访问该资源的权限,则允许其访问资源,否则拒绝;另一种方式则是通过对WEB应用容器进行设置来实现的。以TOMCAT为例,它可以用其WEB.XML配置文件进行配置,该配置文件实质上是定义的三元组,在该配置文件将系统的资源定义成用户角色将要访问的页面集合,并将相关的页面资源进行合并,也可以通过通用匹配符来表示成WEB资源集合,然后根据安全策略的设置,定义针对该集合允许访问的角色集合,在集合中定义允许访问的用户角色,最后是说明角色的验证方式,指出用户的角色名和其所属的安全域。对TOMCAT配置完成后,则可以由TOMCAT容器来实现对用户访问资源的控制。
从两种方式对比来看,第一种方式应该说安全策略的配置粒度更细,而且访问权限的控制能力也更强些,但是模块的功能设计复杂而灵活性也会受一定的影响,后一种方式直接在WEB容器中配置安全策略,实现方便,灵活性也高,但是功能则会受限制。因而其更适合一些小型的应用。
参考文献:
篇4
关键词:电子商务,风险,安全管理
1 引言
美国IBM公司从企业电子商务的运作过程中认为电子商务(E-Business)就是企业的“商务整合”,它将IT技术策略与企业商务策略整合起来,形成企业全新的组织构架、全新的商业模式、全新的业务流程。它是传统企业商务电子化的过程,即传统商务向电子商务转型的过程。电子商务作为一种新的生产方式,正在显示其巨大的现代经济管理的价值和社会变革的影响力。
如何使电子商务运作过程的安全性和风险控制得到保证,是关系到电子商务能否顺利发展的关键问题。
2 我国电子商务发展现状
中国互联网络信息中心(CNNIC)最新的中国互联网络发展状况统计报告显示:截至2009年6月底,我国网民数达到3.32亿,互联网普及率更是以25.5%的比例超过了21.9%的全球平均水平。与此同时,有关部门的2008中国网上购物调查报告显示,上半年国内网购交易总额已经达到531.5亿元,参与网购的人群达到1.2亿。
随着网购人数的增长,互联网的各种应用还将从大城市向中小城市渗透,网民数的不断增加和主流消费人群消费习惯的改变,将成为推动中国网购市场激增的重要原因。
3 电子商务发展中面临的风险
互联网正在改变全球经济,电子商务向人们展示了“快、便、省”的优势。
但是电子商务与其它新生事物一样,在带来巨大机遇的同时,也存在着许多风险。
(1)技术风险
具体包括交易安全、认证安全、数据加密、支付安全、网站安全等。
(2)金融与支付风险
具体包括订购、付款、银行结算以及其他金融交易业务的在线安全。论文格式。
(3)税收风险
由于电子商务具有跨地域交易的特点,使得电子商务税收变得十分重要而复杂,国际上普遍接受的是税收中性的观点,即对国际性税收原则不做根本改变,但对全球电子商务发展中面临的有关税收方面的政策改变将大大影响电子商务的发展。
(4)人才与培养风险
电子商务的发展需要大量计算机人才和网络经济商务人才以及相关复合人才,我国在这方面的人才较为欠缺。
(5)政策法规风险
电子商务的发展如同网络的发展一样是非常快的,与之相比国家有关管理部门的政策、法规的制定不可避免的存在滞后的可能,使得新兴的电子商务发展可能处于缺乏保障的地位,而且电子商务中个性化特点日趋突出,给政策、法规的制定也提高了难度。
(6)竞争风险
电子商务的发展将使我国的企业同时面临与国外大公司、企业的竞争,还要面对传统商务与之的竞争。
3.3 电子商务的风险特征
电子商务中出现的风险,虽然多为传统经济中所固有,但它无论在表现形式、强烈程度还是影响范围上与传统经济中的风险都不相同。概括起来说,电子商务风险具有以下特征。
(1) 全球性
电子商务风险具有全球性特征。论文格式。风险既可能来自国内,也可能来自世界任何一个地方。四通八达的通讯网络,把世界各地都紧紧地联系在一起。例如,技术风险就是这样。当黑客发动攻击时,遇到的唯一障碍就是技术上的可行性。
(2) 传染性
电子商务风险可以在全球范围内迅速传播,具有很强的传染性和广泛的影响力,使人们很难进行有效防范。实时性和交互性是电子商务的两个基本特征。一旦风险产生,它就会借助信息的实时传递和市场交易主体之间的交互关系而迅速扩散。
(3) 成长性
在一定条件下,电子商务风险会迅速成长和壮大,具有一股强大的、摧毁一切的力量。这种异乎寻常的成长性,来自于电子商务中所特有的不稳定均衡和正反馈效应。电子商务中的均衡是不稳定均衡。如果企业正处于成长过程中,它就会在正反馈效应的刺激作用下,成长得越来越快、越来越强大,直至成为市场主流,占有决定性的市场份额。反之,一个企业即使是市场的主流,如果受到一些致命的打击,则有可能在正反馈效应的作用下迅速衰退,甚至在很短时期内消逝得无影无踪。
(4) 隐蔽性
电子商务风险具有很强的隐蔽性。风险初起时可能不大容易觉察,当风险变得清晰可辨时,危机就无法避免了。这种隐蔽性,来自信息的非对称性。在网络中,人们可以自由遨游,不需要提供真实的姓名和身份。如果再缺少相关的法律进行约束,投机和欺诈就会泛滥,电子商务就会趋向崩溃。
(5) 复杂性
在电子商务中,风险不是单一的,而是综合的。多种风险往往交叉在一起,它们相互影响和助长,使得风险防范的难度大大增加。
4 电子商务安全管理措施
电子商务交易安全管理,不应当只从单纯技术角度考虑如何解决的问题,而是应该从综合的安全管理思路来考虑,因为从电子商务的运行环境来看,技术环境是一个重要方面,但是良好的法律法规、政策环境和科学管理环境也是电子商务的顺利运行不可或缺的两个方面。安全的电子商务环境包括精心规划的管理体系,严密的技术措施和完善的法律体系。所以电子商务的安全管理应该从技术、管理、法律等方面综合考虑。建立一个完整的电子商务交易安全体系。
4.1 加快基础设施建设
计算机系统、网络通信设备、网络通信线路、网络服务器等设备,在静电、电磁泄漏和意外事故等情况下会造成数据的丢失,机密信息泄漏。所以,加快电子商务的基础设施建设,选择高性能的网络设备, 建设安全、便捷的电子商务应用环境,才能为电子商务交易的信息提供硬件保障。
4.2 实施技术防范措施
电子商务的运作涉及资金安全、信息安全、货物安全、商业秘密等多方面的安全问题,任何一点漏洞都可能导致大量资金流失,这些安全首先是对信息技术的依赖。目前电子商务比较成熟的技术安全措施有以下几种:
(1)防火墙技术:防火墙是在本地系统或网络与Internet 之间构筑的一道屏障,用以保护本地系统或网络中的信息、资源等不受来自Internet 中非法用户的侵犯;用以控制和防止本地系统或网络中的敏感数据流入Internet,也控制和防止来自Internet 的无用数据流入本地系统或网络。所以,防火墙能起到保护本地系统或网络中信息安全保密的重要作用,成为电子商务系统的安全屏障。
(2)数字签名技术:数字签名是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,代替书写签名或印章。对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证而无法比拟的。数字签名是目前电子商务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。
(3)安全证书认证中心(Certification Authority中心):网上交易需要由一个权威的第三方来担任信用认证机构,确认买卖双方的身份,这就是电子商务的安全证书认证中心(CA 中心) 。CA 中心是承担网上认证服务、能签发数字证书、并能确认用户身份的受大家信任的第三方机构,它的作用在于确保网上交易合同的有效性,确保交易内容、交易双方账号、密码不被他人识别和盗取,防止单方面对交易信息的生成和修改,保证电子商务的交易安全。
4.3 健全管理与控制
由于电子商务企业一般都是新兴企业,管理制度、管理手段没有传统企业成熟、严密,加上一些电子商务企业一般更注重技术创新而非管理。因而,电子商务建立先进的管理与控制更为迫切。
建立交易授权控制制度:电子商务交易程序的简单化,必须在业务流程方面建立严格的业务授权与执行内部控制制度,并对关键业务流程的内部控制进行定期的审核。
建立责任控制制度:它是以经济组织内部各部门、各环节、各层次及其人员的经济责任为中心的内部控制制度,使得各职能部门和经办人员分工明确,职责分明。
建立会计控制和内部牵制制度:主要检查会计事项的处理是否遵循不相容的职务或者经过两个以上的人员或部门的原则,以防止差错、舞弊的发生,保护财产的安全。论文格式。
建立经营方面各个循环系统的控制制度:它是经济组织内部为实现经营目标而实现生产经营和管理所必须经过的环节和业务操作的控制制度。如成本控制、购销控制、物资控制、生产经营过程的控制以及计划、预算、合同管理等控制制度。
建立一定的应急措施:在信息流程方面,加强对信息的记录、维护和报告相关环节的控制。例如数据文件的定期备份、备份数据的存放地点、存放条件要求、系统数据文件损坏后的再生规则等。
4. 4 健全法制,倡导诚信
1996 年联合国贸易法委员会制订了《联合国国际贸易法委员会电子商务示范法》,2005 年初,国务院颁发了《加强电子商务的若干意见》,2005 年4 月1 日开始正式实施的《电子签名法》,对我国正在兴起的电子商务给予了强有力的法律支持,为我国电子商务安全认证体系和网络信任体系的建立奠定了基础。但是,网络环境中的诚信问题不是仅仅靠《电子签名法》所能够解决的,要想根本铲除互联网交易中的种种弊端,归根到底要靠安全认证和行业的自律。所以,倡导诚信,维护消费者合法权益,是推动我国电子商务健康发展的内在因素。
4.5 大力培养电子商务专业人才
电子商务是信息现代化与商务的有机结合,虽然强调计算机网络技术对交易活动的促进作用,但电子商务实现的关键仍然是人才。要发展电子商务,需要大量的掌握现代信息技术和现代商贸理论与实务的复合型人才。政府应充分利用各种途径和手段,培养、引进并合理使用好一批素质较高、层次合理、专业配套的网络、计算机及经营管理等方面的专业人才,以加快我国电子商务的发展。
5 结束语
电子商务在给我们带来广泛的机遇的同时,也给我们带来了新的风险。安全的电子商务环境包括精心规划的管理体系,严密的技术措施和完善的法律体系。所以电子商务的安全管理应该从技术、管理、法律等方面综合考虑。建立一个完整的电子商务交易安全体系。
参考文献
1.伊志宏 张航宇著我国电子商务发展中的风险管理 中国期刊网
2.洪国彬 范月娇著《电子商务安全与管理》电子工业出版社 2006年出版
3.董雪兵 朱慧著《电子商务教程》浙江大学出版社
4.陶世怀 徐国芹著《电子商务概论》第二版 大连理工大学出版社
5.瞿彭志著 《网络营销》第二版高等教育出版社
篇5
关键词:电子商务;网络安全
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2011) 07-0000-02
E-Commerce Network Security Research
Wang Baodong,Liu Na
(College of Information&Business,Zhongyuan University of Technology,Zhengzhou45000,China)
Abstract:With the development of information technology,e-commerce become the new business development.This article discusses how to eliminate the network problems,the establishment of a secure e-business use of the environment,and promote China's economic development.
Keywords:Electronic commerce;Network security
随着信息技术的发展,电子商务成为当今商务活动的新模式。许多企业开始通过因特网进行商务活动,电子商务也具有了广阔的发展前景,但是与此同时,其安全问题也变得日益突出。目前,网上金融服务面临着和很多普通互联网服务相同的安全威胁,如信息****、解密、****账号、拒绝服务等。利用一些思维方法和相关技术建立一个安全的电子商务使用环境,对商务传输和交换的信息提供必要的加密和防护,已经成为用户和业界关注的问题。
一、网络安全相关的因素
针对计算机网络本身可能存在的安全问题,以保证计算机网络自身的安全性为目标。为了保证电子商务整个交易活动的安全顺利的进行,电子商务系统必须具备几个安全要素:网络电子商务信息的保密性、完整性、一致性、可用性和抗否认性。网络安全从本质上讲就是网络上信息的安全,包括静态信息的存储安全和信息的传输安全。从广义上讲,凡是涉及网络上信息的保密性、完整心、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。因此为保证网络的安全,必须保证一下四个方面的安全:
1.运行系统的安全。
2.网络上系统信息的安全。
3.网络上信息传播安全。
4.网络上信息内容的安全。
为了保证这些方面的安全,大家通常会使用一些网络安全产品,如防火墙、VPN、数字签名等,这些安全产品和技术的使用乐意从一定程度上满足网络安全需求,但不能满足整体的安全需求,因为它们只能保护特定的某一方面的,而对于网络系统来讲,它需要的是一个整体的安全策略,这个策略不仅包括安全保护,它还应该包括安全管理、实时监控、响应和恢复措施,因为目前没有绝对的安全,无论你的网络系统部署的如何周密,你的系统总会有被攻击和攻破的可能,而这时你会怎么半呢?采用一些恢复措施,帮助你在最短的时间使网络系统恢复正常工作恐怕是最主要的了。因此在构筑你的网络安全解决方案中一定要注重一个整体的策略,下面我们将介绍一种整体的安全构架。
二、电子商务安全的整体构架
我们介绍的电子商务构架概括为“一个中心,四个基本点”。一个中心就是以安全管理为中心,四个基本点是保护、监控、响应和恢复。这样一种构架机制囊括了从保护到在线监控,到响应和恢复的各个方面,是一种层层防御的机制,因此这种构架可以为用户构筑一个整体的安全方案。
(一)安全管理。安全管理就是通过一些管理手段来达到保护网络安全的目的。它所包含的内容有安全管理制度的制定、实施和监督,安全策略的制定、实施、评估和修改,以及对人员的安全意识的培训、教育等。
(二)保护。保护就是采用一些网络安全产品、工具和技术保护网络系统、数据和用户。这种保护可以称作静态保护,它通常是指一些基本防护,不具有实时性,因此我们就可以在防火墙的规则中加入一条,禁止所有从外部网用户到内部网WEB服务器的连接请求,这样一旦这条规则生效,它就会持续有效,除非我们改变了这条规则。这样的保护可以预防已知的一些安全威胁,而且通常这些威胁不会变化,所以称为静态保护。
(三)监控/审计。监控就是实时监控网络上正在发生的事情,这是任何一个网络管理员都想知道的,审计一直被认为是经典安全模型的一个重要组成部分。审计是通过记录下通过网络的所有数据包,然后分析这些数据包,帮助你查找已知的攻击手段,可疑的破坏行为,来达到保护网络的目的。
监控和审计是实时保护的一种策略,它主要满足一种动态安全的需求。因为网络安全技术在发展的同时,黑客技术也在不断的发展,因此网络安全不是一层不变的,也许今天对你来说安全的策略,明天就会变得不安全,因此我们应该时刻关注网络安全的发展动向以及网络上发生的各种各样的事情,以便及时发现新的攻击,制定新的安全策略。有些人可能会认为这样就不需要基本的安全保护,这种想法是错误的,因为安全保护是基本,监控和审计是其有效的补充,只有这两者有效结合,才能够满足动态安全的需要。
(四)响应。响应就是当攻击正在发生时,能够及时做出响应,职向管理员报告,或者自动阻断连接等,防止攻击进一步的发生。响应是整个安全架构中的重要组成部分,为什么呢?因为即使你的网络构筑的相当安全,攻击或非法事件也是不可避免的要发生的,所以当攻击或非法事件发生的时候,应该有一种机制对此做出反应,以便让管理员及时了解到什么时候网络遭到了攻击,攻击的行为是什么样的,攻击结果如何,应该采取什么样的措施来修补安全策略,弥补这次攻击的损失,以及防止此类攻击再次发生。
(五)恢复。当入侵发生后,对系统赞成了一定有破坏,如网络不能正常工作、系统数据被破坏等,这时,必须有一套机制来及时恢复系统正常工作,因此恢复电子商务安全的整体架构中也是不可少的一个组成部分。恢复是归终措施,因为攻击既然已经发生了,系统也遭到了破坏,这时只有让系统以最快的速度运行起来才是最重要的,否则损失将更为严重。
三、安全架构的工作机制
在这处安全架构中,五个方面是如何协调工作的呢?下面将以一个例子一介绍。假设有一个黑客欲攻击一内部网,这个内部网整体安全架构就如前面介绍的一样,那么现在让我们来看看这个安全架构是如何工作来抵制黑客的。
(一)当这处黑客开始向内部网发起攻击的时候,在内部网的最外面有一个保护屏障,如果保护屏障可以制止黑客进入内部网,那么内部网就不可能受到黑客的破坏,别的机制不用起作用,这时网络的安全得以保证。
(二)黑客通过继续努力,可能获得了进入内部网的权力,也就是说他可能欺骗了保护机制而进入内部网,这时监控/审计机制开始起作用,监控/审计机制能够在线看到发生在网络上的事情,它们能够识别出这种攻击,如发现可疑人员进入网络,这样它们就会给响应机制一些信息,响应机制根据监控/审计结果来采取一些措施,立刻断开这条连接、取消服务、查找黑客通过何种手段进入网络等等,来达到保护网络的目的。
(三)黑客通过种种努力,终于进入了内部网,如果一旦黑客对系统进行了破坏,这时及时恢复系统可用将是最主要的事情了,这样恢复机制就是必须的了,当系统恢复完毕后,又是新一轮的安全保护开始了。
四、电子商务网络安全面临的威胁
(一)黑客攻击。网络中总是存在各种安全漏洞,因此黑客的攻击行为是威胁电子商务安全的一大隐患。黑客攻击网络的目的通常是扰乱系统正常运行或者窃取重要的商业机密,其惯用的攻击手段为:窃听,即黑客通过截获通讯信道上的重要数据并破译来达到窃取用户机密的目的;重发攻击,黑客为达到影响系统正常运行的目的,而将窃听得到的数据经过篡改之后重新发回服务器或者数据库用户;迂回攻击,黑客掌握电子商务数据库系统的安全漏洞之后,绕过数据库系统而直接访问机密数据;假冒攻击,黑客先是采取发送大量无意义的报文而堵塞服务器和客户终端的通讯端口以后,再通过假冒该客户或者该服务器的方法来非法操作数据库系统;越权攻击,黑客属于一个合法用户,但是其通过某种手段使自己去访问没有得到授权的数据。
(二)系统漏洞。电子商务系统的网络入侵者能够根据系统本身的安全漏洞得到系统的数据操作权限。而漏洞产生的原因往往是管理系统没有及时打补丁或者在安全方面的设置中总是选择默认设置。此外,如果由于安全检查措施级别太低,或者审核机制应用不当、软件存在的风险以及管理风险等,都会使系统形成安全漏洞,从而给破坏者以入侵的机会。
五、电子商务网络安全的解决方案
(一)电子商务安全协议。安全协议的确立和完善是安全系统走上规范化、标准化道路的基本因素。一个较为完善的电子商务系统,应该满足电子商务的安全需求,实现加密机制、验证机制和保护机制等功能。目前,已开发和应用的协议有:IPv6、安全套接层协议、安全HTTP协议和安全电子交易协议等。本部分着重论述其中安全电子交易协议的具体实现机制。
(二)安全协议。安全电子交易协议简称SET,是一种基于信息流的安全协议,其目的是保证用户、商家和银行之间在开放的网络环境之下进行安全可靠的信用卡交易。它的出现,使从前只能在银行之间进行的电子货币交易行为范围扩展到了普通用户的个人电脑领域。SET的技术核心是认证与加密,包括公开密匙加密、电子数字签名、电子信封、电子安全证书等。以加密技术为核心,结合其他技术体制,满足用户在电子商务交易中的保密性、完整性和不可抵赖性等安全需求。基于SET安全协议的网络电子商务交易流程,几乎完全等同于现实物理世界的交易过程,唯一的不同点是交易发生环境为因特网。
(三)SET的主要安全措施为:
1.电子数字签名技术。这种方式结合了私钥和公钥体制,采用安全性高、管理方便的RSA算法,交易数据的发出者先将数据用私钥加密,而数据抵达接收方后,用发送者的公钥对数据进行解密还原。一个私钥严格关联着一个公钥,因此,数据发出者的信息只能被相应的接收者收到。这种方式的发送方无法抵赖自己曾经发出过的交易数据信息。
2.电子信封技术。交易信息数据的发出者将所发的信息用DES加密,然后再使用接收者的公钥把DES的对称密钥加密,这个过程叫做给信息加了电子数字信封。随后,交易信息的发出者将DES加密交易数据和电子信封本身一起发给交易数据的信息接收者。对方收到这些数据之后,用其自己的公钥打开电子信封,还原出发送者的DES对称密钥,接着用这个对称密钥去还原交易数据。这就确保了只有用交易信息接收者的密钥才可以查看电子信封,因此接收者的身份就可以确定。SET协议的目标是解决交易环节中各个参与者(用户、商家和银行)之间使用信用卡支付的安全问题。它应用于电子交易环节,可以有效地保证商务数据的保密性、一致性、完整性和不可抵赖性。
(四)电子商务安全技术。电子商务安全技术包括备份技术、密码技术、认证技术以及访问控制技术等。
1.备份技术。所谓数据库备份与恢复方案,目的是在数据库系统故障并且短时间内难以恢复时,用存储在备份介质中的数据将数据库还原到备份时的状态。数据备份根据数据库管理系统类型的不同,有多种备份实施计划。比如对SQL Server而言,有数据库备份、事务日志备份、增量备份和文件及文件组备份。电子商务信息系统的数据库管理系统中必须建立详细的备份与恢复策略。可以把电子商务数据库的故障或障碍分为以下三类:系统故障、事务故障以及介质故障。当发生某种类型的故障时,为了把企业的损失减少到最低,必须在最短的时间内恢复数据,因此,根据企业的实际情况和数据类型与特点,制定出一套合理而经济的备份和恢复策略是必要的。
2.认证技术。认证技术可以阻止不拥有系统授权的用户非法破坏敏感机密的数据,是数据库管理系统为防止各种假冒攻击安全策略。口令的识别是数据库管理系统进行身份认证的一种方式,每个具体用户都被系统事先分配一个固定的用户名与密码,电子商务系统的许多数据具有开放性特征,因此必须对每个访问系统的用户的身份进行认证。在用户对敏感关键的数据进行存取时,必须在客户与数据库管理系统之间进行身份认证。
3.访问控制技术。访问控制方案有三种,分别叫做自主存取控制(DAC)、强制存取控制(MAC)和基于角色的存取控制(RBAC)。当用户对数据库进行访问时,系统会根据用户的级别与权限来判定此操作是允许的或者禁止的,从而达到保护敏感数据不被泄露或者篡改的目的。在数据库管理系统中,不同的用户拥有不同的权限。因此必须保证某个用户只能访问或者存取与自己权限相应的数据范围。用户所拥有的权限包括两方面的内容:一是用户可以访问数据库中什么样的数据对象,二是用户可以对这些数据对象进行什么样的操作。
4.加密技术。数据库管理系统的加密以字段为最小单位进行,加密和解密通常是通过对称密码机制的密钥来实现。数据加密时,数据库管理系统把明文数据经过密钥转换为密文数据,数据库中数据的存储状态都是密文数据,而在得到权限的用户查询时,再将密文数据取出并解密,从而恢复明文数据。使数据库的安全性得到进一步提升。电子商务系统中的一些商业机密数据是不允许普通用户进行随意访问的。加密方案的目的是控制以上这些机密数据只能被得到相应授权的特定人群所访问和存取。
六、结束语
电子商务领域的安全问题一直是备受关注的问题,因此更好的解决安全问题是推进电子商务更好更快发展的动力。但是因为安全问题是不断发展变化的,所以解决安全问题的手段也会不断变化,但变化中有不变,所以应用这种架构来保证电子商务的安全无疑是有效的。
参考文献:
[1]张瑞君.网络环境会计实时控制[M].北京:中国人民大学出版社,2004,8
[2]王伟国.网络经济时代企业财务管理模式探析[J].石河子大学学报(哲社版),2004,9
篇6
论文摘要:电子商务是基于网络盼新兴商务模式,有效的网络信息安全保障是电子商务健康发展的前提。本文着重分析了电子商务活动申存在的网络信息安全问题,提出保障电子商务信息安全的技术对策、管理策略和构建网络安全体系结构等措施,促进我国电子商务可持续发展。
随着互联网技术的蓬勃发展,基于网络和多媒体技术的电子商务应运而生并迅速发展。所谓电子商务通常是指是在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网购物、商户之间的网上交易和在线电子支付以及各种商务活动和相关的综合眼务活动的一种新型的商业运营模式。信息技术和计算机网络的迅猛发展使电子商务得到了极大的推广,然而由于互联网的开放性,网络安全问题日益成为制约电予商务发展的一个关键性问题。
一、电子商务网络信息安全存在的问题
电子商务的前提是信息的安全性保障,信息安全性的含义主要是信息的完整性、可用性、保密和可靠。因此电商务活动中的信息安全问题丰要体现在以下两个方面:
1 网络信息安全方面
(1)安全协议问题。目前安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
(3)防病毒问题。互联网的出现为电脑病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,在电子商务领域如何有效防范病毒也是一个十分紧迫的问题。
(4)服务器的安全问题。装有大量与电子商务有关的软件和商户信息的系统服务器是电予商务的核心,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果会非常严重。
2.电子商务交易方面
(1)身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的身份与他人进行交易。
(2)交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
(3)交易的修改问题。交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公正。
二 电子商务中的网络信息安全对策
1 电子商务网络安全的技术对策
(1)应用数字签名。数字签名是用来保证信息传输过程中信皂的完整和提供信包发送者身份的认证,应用数字签名可在电子商务中安全、方便地实现在线支付,而数据传输的安全性、完整,身份验证机制以及交易的不可抵赖性等均可通过电子签名的安全认证手段加以解决。
(2)配置防火墙。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。它能控制网络内外的信息交流,提供接入控制和审查跟踪,是一一种访问控制机制。在逻辑,防火墙是一个分离器、限制器,能有效监控内部网和intemet之间的任何活动,保证内部网络的安全。
(3)应用加密技术。密钥加密技术的密码体制分为对称密钥体制和公用密钥体制两种。相应地,对数据加密的技术分为对称加密和非对称加密两类。根据电子商务系统的特点,全面加密保护应包括对远程通信过程中和网内通信过程中传输的数据实施加密保护。一般来说,应根据管理级别所对应的数据保密要求进行部分加密而非全程加密。
2、电子商务网络安全的管理策略
(1)建立保密制度。涉及信息保密、口令或密码保密、通信地址保密、日常管理和系统运行状况保密、工作日记保密等各个方面。对各类保密都需要慎重考虑,根据轻重程度划分好不同的保密级别,并制定出相应的保密措施。
(2)建立系统维护制度。该制度是电子商务网络系统能否保持长期安全、稳定运行的基本保证,应由专职网络管理技术人员承担,为安全起见,其他任何人不得介入,主要做好硬件系统日常管理维护和软件系统日常管理维护两方面的工作。
(3)建立病毒防范制度。病毒在网络环境下具有极大的传染性和危害性,除了安装防病毒软件之外,还要及时升级防病毒软件版本、及时通报病毒入侵信息等工作。此外,还可将刚络系统中易感染病毒的文什属性、权限加以限制,断绝病毒入侵的渠道,从而达到预防的目的。
(4)建立数据备份和恢复的保障制度。作为一个成功的电子商务系统,应引对信息安全至少提供三个层而的安全保护措施:一是数据存操作系统内部或者盘阵中实现快照、镜像;二是对数据库及邮件服务器等重要数据做到在电子交易中心内的自动备份;三是对重要的数据做到通过广域网专线等途径做好数据的克隆备份,通过以上保护措施可为系统数据安全提供双保险。
三 电子商务的网络安全体系结构
电子商务的网络信息安全不仅与技术有关,更与社会因素、法制环境等多方面因素有关。故应对电子商务的网络安全体系结构划分如下:1.电子商务系统硬件安全。主要是指保护电子商务系统所涉及计算机硬件的安全性,保证其可靠眭和为系统提供基础性作用的安全机制。2.电子商务系统软件安全。主要是指保证交易记录及相关数据不被篡改、破坏与非法复制,系统软件安全的目标是使系统中信息的处理和传输满足整个系统安全策略需求。3.电子商务系统运行安全。主要指满足系统能够可靠、稳定、持续和正常的运行。4.电商务网络安全的立法保障。结合我阁实际,借鉴国外先进网络信息安全立法、执法经验,完善现行的网络安全法律体系。
篇7
论文摘要:随着互联网技术的蓬勃发展,基于网络和多媒体技术的电子商务应运而生并迅速发展。所谓电子商务通常是指是在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网土购物、商户之间的网交易和在线电子支付以及各种商务活动和相关的综合服务活动的一种新型的商业运营模式。信息技术和计算机网络的迅猛发展使电子商务得到了极大的推厂,然而由于互联网的开放性,网络安全问题日益成为制约电子商务发展的一个关键性问题。
一、电子商务网络信息安全存在的问题
电子商务的前提是信息的安全性保障,信息安全,胜的含义主要是信息的完整性、可用性、保密险和可靠性。因此电子商务活动中的信安全问题主要体现在以两个方面:
1、网络信息安全方面
(l)安全协议问题。目前安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
(3)防病毒问题。互联网的出现为电脑病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,在电子商务领域如何有效防范病毒也是一个十分紧迫的问题。
(4)服务器的安全问题。装有大量与电子商务有关的软件和商户信息的系统服务器是电子商务的核心,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果会非常严重。
2、电子商务交易方面
(1)身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的身份与他人进行交易。
(2)交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
(3)交易的修改问题。交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公正。
二、电子商务中的网络信息安全对策
1、电子商务网络安全的技术对策
(1)应用数字签名。数字签名是用来保证信息传输过程中信息的完整和提供信息发送者身份的认证,应用数字签名可在电子商务中安全,方便地实现在线支付,而数据传输的安全性、完整性,身份验证机制以及交易的不可抵赖性等均可通过电子签名的安全认证手段加以解决。(2)配置防火墙。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。它能控制网络内外的信息交流,提供接人控制和审查跟踪,是一种访问控制机制。在逻辑,防火墙是一个分离器、限制器,能有效监控内部网和工nternet之间的任何活动,保证内部网络的安全。
(3)应用加密技术。密钥加密技术的密码体制分为对称密钥体制和公用密钥体制两。相应地,对数据加密的技术分为对称加密和非讨称力日密两类。根据电子商务系统的特点,全面加密保护应包括对远程通信过程中和网内通信过程中传输的数据实施加密保护。一般来说,应根据管理级别所对应的数据保密要求进行部分加密而非全程加密。
2、电子商务网络安全的管理策略
(1)建立保密制度。涉及信息保密、口令或密码保密、通信地址保密、日常管理和系统运行状况保密、工作日记保密等各个方面。对各类保密都需要慎重考虑,根据轻重程度划分好不同的保密级别,并制定出相应的保密措施。
(2)建立系统维护制度。该制度是电子商务网络系统能否保持长期安全、稳定运行的基本保证,应由专职网络管理技术人员承担,为安全起见,其他任何人不得介人,主要做好硬件系统日常借理维护和软件系统日常管理维护两方面的工作。
(3)建立病毒防范制度。病毒在网络环境下具有极大的传染性和危害性,除了安装防病毒软件之外,还要及时升级防病毒软件版本、及时通报病毒人侵信息等工作。此外,还可将网络系统中易感染病毒的文件属性、权限加以限制,断绝病毒人侵的渠道,从而达预防的目的。
(4)建立数据备份和恢复的保障制度。作为一个成功的电子商务系统,应针对信息安全至少提供三个层面的安全保护措施:一是数据在操作系统内部或者盘阵中实现快照、镜像;二是对数据库及邮件服务器等重要数据做到在电子交易中心内的自动备份;三是对重要的数据做到通过广域网专线等途径做好数据的克隆备份,通过以土保护措施可为系统数据安全提供双保险。
三、电子商务的网络安全体系结构
电子商务的网络信息安全不仅与技术有关,更与社会因素、法制环境等多方面因素有关。故应对电子商务的网络安全体系结构划分如下:
1.电子商务系统硬件安全。主要是指保护电子商务系统所涉及计算机硬件的安全性,保证其可靠哇和为系统提供基础性作用的安全机制。
2.电子商务系统软件安全。主要是指保证交易记录及相关数据不被篡改、破坏与非法复制,系统软件安全的目标是使系统中信息的处理和传输满足整个系统安全策略需求。
3.电子商务系统运行安全。主要指满足系统能够可靠、稳定、持续和正常的运行。
4.电子商务网络安全的立法保障。结合我国实际,借鉴国外先进网络信息安全立法、执法经验,完善现行的网络安全法律体系。
篇8
电子商务是指以信息网络技术为手段,以商品交换为中心的商务活动。也可理解为在互联网(Internet)、企业内部网(Intranet)和增值网(VAN,Value Added Network)上以电子交易方式进行交易活动和相关服务的活动,是传统商业活动各环节的电子化、网络化、信息化。
电子商务通常是指在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。各国政府、学者、企业界人士根据自己所处的地位和对电子商务参与的角度和程度的不同,给出了许多不同的定义。电子商务分为:ABC、B2B、B2C、C2C、B2M、M2C、B2A(即B2G)、C2A(即C2G)、O2O 等。
二、电子商务环境下企业财务管理现状
电子商务的经济环境是非常复杂的,基础要求高,是网络化、信息化的企业经济转型,在这样的经济环境下,企业的老旧财务管理模式必定不能适应企业的现代化发展。
(一)财务管理软件配套设施不完善
企业实现了网络化,信息化,其财务管理也必须走上网络化、信息化的道路,电子商务环境下,企业的财务管理技术需要作出对应的变化。当前的企业财务管理模式缺乏对网络技术的运用,其财务管理技术过于陈旧,还是侧重于通过会计的财务报表了解公司财务状况,这样的管理面方式不仅效率低,而且容易出错,财务信息更新缓慢,不便于管理者及时了解公司财务状况。
(二)国家相关法律制度有漏洞
由于电子商务的开展时间还比较段,尽管国家制定了一些相关的法律制度,但是任然赶不上一些不法分子寻找法律漏洞的速度。在法律方面国家对网络侵权,网络经济犯罪等行为没有进行细致的划分,导致很多被害企业找不到相关的法律法规来维护自己的权益;另一方面,对网络犯罪的界定不明确,这使得那些网络犯罪分子得不到应有的惩罚,继续危害市场经济,企业的财务管理部门就很难根据公司的发展确定管理方式。
(三)电子商务背景下的财务管理存在技术漏洞
随着电子商务的崛起,很多企业也引进了相关的网络技术用于企业财务管理,但这些网络技术发展还不够成熟,存在很多的技术缺陷,诸如木马、黑客之类的很轻松就可以进入企业的财务管理系统,利用网络手段转移企业的资金,在网络技术发达的年代,电子商务环境下的企业财务管理容易发生数据篡改、数据丢失、资金被盗等风险,企业的财务安全管理有待提高。
(四)企业财务管理工作路程不能适应电子商务的发展
电子商务要求企业的财务管理工作流程更加简洁、快速,必须要实现企业财务管理高效化。如今的企业财务流程过于繁琐,一本账目的确认要经过多人盖章签字最终才能递送到领导面前。
三、电子商务环境下企业财务管理的应对策略
(一)构建网络化财务管理体系
从电子商务的特征来看,他要求企业的财务管理必须要实现网络化管理。要实现企业网络化财务管理,前提就是要引进相关的网络财务软件,公司应该根据自己的业务范围和职能需求,选取财务软件;然后逐步缩减财务管理流程,裁剪掉一些财务人员;实现资金交易网络化,节约交易和财务管理成本。
(二)增进网络财务安全管理,建立财务监管网络系统
电子商务背景下,企业财务信息安全管理出现了很多的破绽,为了应对此问题,我们必须做好财务网络监管准备,加强对财务网络系统的维护,使用合法正规的财务软件,不断的更新电脑安全管理软件,对财务系统实施严格的信息加密;规范财务网络管理流程,建立严格的网络财务操作流程,在财务信息的编辑、处理、存档、传输方面一定要时刻严防病毒和黑客的入侵,加强工作的保密性,重要信息要求原盘备份,细化财务系统的操作权限,推行管理责任制,限制权利使用。
(三)国家要完善相关政策,以保障电子商务的权益
国家相关部门要根据市场经济实际需求,完善相关法律法规,制定相关的网络知识产权、网络技术产权保护法,确保电子交易的公平。严厉惩罚网络犯罪人员,建立独立的网络警察系统,成立专项整治部门,整顿电子交易环境,加强国家在网络监管这一块的技术力量,严防不法分子入侵公安网络系统。
(四)企业内部要加强财务人员的网络财务管理素质
引进了先进的财务网络管理系统就必须要有会操作系统的人员,必须要求能够管理系统安全的人员。企业第一部要加强财务人员的网络基础培训,要求每一位财务人员熟练的掌握计算机系统的操作技巧;其次聘请相关的财务监管网络系统人才,提高网络财务管理安全性,确保每企业的财务信息安全和资金安全;最后,一切的人员素质都要在招聘时严格把关,业务技术不高的人不能用,职业道德低的不能用。
篇9
30分钟过去了,Jason还是找不到到底发生了什么安全事件导致网站被黑;黑客是怎么进来的?以前是我黑别人(游戏),今天怎么被别人黑了?Jason心里想。
原来Jason在进入到马来西亚AAA银行之前,曾经是一个黑客,Jason对黑客攻击和防守技术十分熟悉,并且能够进行入侵,占领主机,获得控制权,远程指挥作战。
“Jason!快看一下我们的银行电子商务网站,出什么问题了!”,听到马来西亚AAA银行IT部总经理Tom的电话,Jason马上登陆银行的电子商务网站,发现一个狞笑的骷髅正对着自己,心里感觉到不妙:网站真的被黑了!
虽然在黑客界很有名气,但是大学毕业1年,靠写一些文章和安全工具小软件给一些安全杂志与报纸,Jason很难维持生活。
正好马来西亚AAA银行招聘银行网络安全管理员,考虑自己的兴趣和爱好,Jason选择了银行的网络安全管理员职位。
当时马来西亚各家媒体、网站都在宣传电子商务,那时就听说了中国的阿里巴巴、易趣、淘宝网、当当书店等电子商务网站,Jason对电子商务网站十分着迷,梦想着有一天自己也可以象中国的马云、邵亦波一样通过网站把马来西亚很多质量好价格低的产品远销国际。
Jason凭借自己的实力很顺利进入到了马来西亚AAA银行,到了银行工作之后,Jason很快就进入了角色,经过对银行内部的考察发现了很多网络信息安全问题。
Jason发现好多问题需要求助于专业的安全公司,于是就打电话给e-COP公司,e-COP公司派来专业安全顾问Brian,对内部网络进行安全评估,发现银行电子商务网络有很多安全问题:
・数据分散,并且量极大
由于马来西亚AAA银行购买“最佳品牌”产品,这些安全产品(防火墙、入侵检测、防病毒等)通常从不同厂家购得,每个产品都有自己的信息日志和控制台,目前各种安全设备缺乏统一管理平台,只能通过这些安全产品各自的控制台去查看事件,窗口繁多,而且所有的事件都是孤立的,不同设备之间的事件缺乏关联,分析起来极为麻烦;无法弄清楚真实的状况。
・安全管理人员必须具备很高的技巧,了解各厂商的各种安全设备
不同厂家的设备对同一个事件的描述可能是不同的,这意味着马来西亚AAA银行安全管理人员必须分析各种不同格式的信息,才有可能进行管理,这导致安全管理人员的工作非常繁重,大量的时间用于一些价值不大的任务上。
・无法做到快速识别和响应
对于网络安全人员来说,海量信息不但无法帮助找出真正的问题,反而因为太多而造成无法管理,并且不同厂商所制造的软硬件可能送出不同的信息格式,使得在网络安全威胁的锁定上,变得难上加难,原本的安全系统反而成为管理上的负担。
・运维关键
以往的安全管理运维工作都是基于资产的运维,但是安全却是基于安全事件的运维。企业每出现一个安全问题就需要进行一次大范围的维护,比如出现病毒问题。这使得安全的运维工作不同于以往的运维工作习惯,造成运维工作效率低下,并且难以规划。
Brian还提出了安全建议:在马来西亚AAA银行部署的Cyclops企业安全管理系统(CESM)能够对银行所有不同IT安全产品和相关设备发出的事件进行采集、格式化和智能关联,具有严密的处理层次和流程。CESM能够为安全专业人员提供可管理的安全信息,如事件趋势分析,攻击处理对策和日志分析取证。
在马来西亚AAA银行的实际应用中,CESM提供如下的管理过程和事件处理过程:
・原始告警的数据归并
CESM首先归并来自安全设备的所有安全数据,这些安全设备包括防火墙、网络IDS,主机IDS,安全应用程序和服务器的日志等。
・数据正规化
为分析安全事件,“技术规范解码器”将原始数据处理成有意义的有用信息。通过这个过程,将原始数据转化为TIF(Transportable-Incident-Format)格式。
・数据挖掘和关联
CESM 以其独特的数据挖掘和关联技术能力,实现三级推理的逻辑信息处理流程。这种能力可以减少虚假告警,增加对攻击的实时检测能力。通过自动事件关联和基于经验的自学习,从大量安全设备产生的入侵模式将被立即比较和观测。
・经过专家建议和分析的统一处理
提供易用的界面,同时处理CESM安全控制台产生的多个安全事件。通过这种统一的处理方法有效地分析所有的安全事件。
・实时的防范措施
一旦发现来自外部或内部的攻击企图发生,立即采取防范措施,在信息损失前抵御入侵。
Jason马上向IT部总经理Tom汇报Brian对网络安全的分析,并且请Brian进行现场演示,Tom感觉非常不错,但是Tom还是认为,马来西亚AAA银行已经有了最好品牌的防火墙、入侵检测、防病毒等安全产品,安全管理平台应该没有必要上了,于是此项目就此搁浅。
Jason从回忆中回到了现实:现在需要解决网站被黑问题,怎么办啊?
Jason马上打电话给Tom,汇报现在一时之间看不出到底发生了什么事情,需要e-COP公司协助完成,Tom马上答应。
30分钟后,Brian到达现场,在银行内部部署了一套安全管理平台,然后对各种产品的日志进行分析。
Brian通过一个统一平台看到了防火墙、入侵检测、防病毒等事件信息,通过设备的关联,很快确定了黑客攻击路径,原来黑客通过了两层防火墙,然后到内部一台刚买回来的主机上,利用这台主机作为跳板,攻击了网站服务器。
Brian马上建议对刚买回来的主机进行加固,然后修改里外两层防火墙策略,重新换上了网站的页面,解决安全问题。
这时,Tom也出现在了Jason和Brian面前,连声称谢,表示:
“说得对,现在已不是单兵作战的年代,而是团队作战,整体作战,需要整体协调才能够减少经济损失,希望你们的产品能够在此使用。”
过了一个月后,Jason又发现银行电子商务网络的一些安全问题,于是银行又购买了一套CESM产品。
采用CESM安全事件管理系统做为安全管理平台,参考e-COP多年的安全事件处理流程经验SOP,银行建立起了标准的内部安全事件处理体系,如图所示。
马来西亚AAA银行通过安全事件处理体系,相关安全管理人员从海量事件中解脱出来,只关心少量的最为紧迫、最为关键的事件信息。并且,安全事件处理体系的成果为后续整体安全策略的规划和调优提供了有力的依据。
篇10
关键词:电子商务 信息安全
计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。针对计算机网络的安全,常用的保护措施有防火墙技术、网络入侵检测技术、网络防毒技术等。交易信息的安全是可以用数据加密、数字签名、数字证书、ssl、set安全协议等技术来保护。下面就防火墙技术、数字加密技术、身份验证技术等进行介绍。
1,防火墙技术
目前的防火墙主要有两种类型。其一是包过滤型防火墙。它一般由路由器实现,故也被称为包过滤路由器。其二是应用级防火墙。大多数的应用级防火墙产品使用的是应用机制,内置了应用程序,可用服务器作内部网和Internet之间的的转换。
防火墙就是在网络边界上建立相应的网络通信监控系统,用来保障计算机网络的安全,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬件产品中。从逻辑上讲,防火墙是起分隔、限制、分析的作用。实际上,防火墙是加强Intranet《内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:(1)过滤进、出网络的数据:(2)管理进、出网络的访问行为:(3)封堵某些禁止行为:(4)记录通过防火墙的信息内容和活动:(5J对网络攻击进行检测和告警。
防火墙虽然能对外部网络的功击实施有效的防护,但对来自内部网络的功击却无能为力。网络安全单靠防火墙是不够的,还需考虑其它技术和非技术的因素。
2,反病毒技术
反病毒技术包括与防病毒、检测病毒和消毒三个环节,反病毒必须做到“以预防为主“,正所谓”防患于未然”,等病毒出现了再去清除,可能已经给用户造成了巨大的损失。
3,数据加密技术
加密技术是保证电子商务中采用的主要安全措施,交易双方可根据需要在信息交换阶段使用。加密技术的主要问题是加密方式及实现加密的网络协议层和密钥的分配及管理。在一个加密过程中有两个基本元素:算法和密钥。加密过程就是根据一定的算法,将可理解的数据(明文}与一串数字(密钥)相结合,从而产生不可理解的密文的过程,主要加密技术是:
(1)常规密钥密码加密。所谓常规密钥密码加密,即加密密钥与解密密钥是相同的。在早期的常规密钥密码体制中,典型的有代替密码,其原理可以用一个例子来说明:字母A,B,C,D,…,W,X,Y,Z的自然顺序保持不变,但使之与D,E,F,G,…,Z,A,B,C分别对应(即相差3个字符)。若明文为WELL则对应的密文为ZH00(此时密钥为3)。但存在几个问题:第一,不能保证也无法知道密钥在传输中的安全。若密钥泄漏,黑客可用它解密信息,也可假冒一方做坏事。第二,假设每对交易方用不同的密钥,N对交易方需要N’(N一1),2个密钥,难于管理。第三,不能鉴别数据的完整性。
(2)对称密文加密。对称密钥加密又称为秘密密钥加密,即收发双方采用相同的密钥来进行加密和解密。对称密钥加密的最大优点是加解密速度快,适合于进行大量数据加密,但也存在密钥管理、困难以及无法进行身份鉴别的缺点。
(3)非对称密钥加密。非对称密钥加密也称为公开密钥加密,每个用户有一对密钥:一个用于加密,一个用于解密,两把密钥实际上是两个很大的质数。其中,加密密钥(公钥)可以在网络服务器、报刊等场合公开,而解密密钥(私钥)则属用户的私有密钥,由公开的加密密钥导出私有的解密密钥在技术上是不可实现的。与对称密钥加密相比,采用非对称密钥加密方式密钥管理较方便,且保密性比较强,但加解密实现速度比较慢,不适用于通信负荷较重的应用。
具体加密传输过程如下:
a发送方甲用接收方乙的公钥加密自己的私钥。
b发送方家用自己的私钥加密文件,然后将加密后的私钥和文件传输给接收方。
c接收方乙用自己的私钥解密,得到甲的私钥。
d接收方乙用甲的公钥解密,得到明文。
在密钥的加密过程中,由于发送方甲用乙的公钥加密了自己的私钥,如果文件被窃取,由于只有乙保管自己的私钥,黑客无法解密。这就保证了信息的机密性。另外,发送方甲用自己的私钥加密信息,因为信息是用甲的私钥加密,只有甲保管它,可以认定信息是甲发出的,而且没有甲的私钥不能修改数据。
4,身份验证技术
仅有加密技术不足以保证电子商务中的交易安全,身份认证技术是保证电子商务安全不可缺少的又一重要技术手段。
(1)认证系统。网上安全交易的基础是数字证书。数字证书类似于现实生活中的身份证,用于在网络上鉴别个人或组织的真实身份。数字证书的颁发机构叫做Certificate Authority,通常简称为CA。要建立安全的电子商务系统,首先必须建立一个稳固、健全的CA,否则,一切网上的交易都没有安全保障。
(2)SSL协议。SSL协议{Secure Socket Layer,安全套接层)主要目的是解决TCP/IP协议不能确认用户身份的问题,在Socket上使用非对称的加密技术,以保证网络通信服务的安全性。SSL协议易于实现。SSL协议还是最值得信赖的协议。但是由于SSL协议当初并不是为支持电子商务而设计的,所以在电子商务系统的应用中还存在很多弊端,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成,SSL协议并不能协调各方间的安全传输和信任关系。
(3)SET协议。SET(Secure EIectronic Transaction)安全电子交易协议是用于Internet上的以信用卡为基础的电子支付系统协议。主要应用于B/C模式中保障支付信息的安全性。SET协议提供对消费者、商户和银行的认证,协议本身比较复杂,设计比较严格,安全性高,确保电子交易的机密性、数据完整性、身份的合法性和抗否认性,特别是保证了不会将持卡人的信用卡号泄露给商户。其核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。
5,电子商务系统的安全管理制度
电子商务系统的安全管理制度尤为重要,它是用文字形式对各项安全要求所作的规定,它是保证网络营销取得成功的重要基础工作,是网络交易人员应该而且必须遵守的规范和准则。任何电子商务系统都要制定一套完整、适用于自身的安全管理制度,这些制度应该包括人员管理制度、保密制度、系统维护制度、数据备份制度、应急措施和病毒防治制度等。