电子商务安全事件范文

时间:2023-09-18 17:59:48

导语:如何才能写好一篇电子商务安全事件,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

电子商务安全事件

篇1

关键词:商业银行;电子商务;风险管理

商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。

一、信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。

(一)以事件驱动的初级阶段时期

19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。

(二)标准化时期

企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。

(三)安全风险管理策略时期

随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:

1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统

一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。

2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。

3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。

4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。

二、我国商业银行电子商务安全风险管理策略的薄弱点

(一)系统管理思想缺乏

目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。

实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。

(二)风险分析的模型与方法不成熟,定量分析不足

电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。

(三)忽视与原有的传统风险管理策略的结合

本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。

(四)风险管理策略无法依赖外部的信息安全管理行业

在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。

(五)风险管理策略中商业银行的内部风险控制能力薄弱

我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。

三、商业银行的电子商务安全风险管理策略的改进建议

(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架

利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。

在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。新晨

(二)电子商务安全风险管理中定量分析中的改进思路

商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。

(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴

篇2

[关键词] 网络安全 事件 安全对策

随着网络时代的到来,越来越多的人通过Internet进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出。近年来,网络安全事件不断攀升,电子商务金融成了攻击目标,以网页篡改和垃圾邮件为主的网络安全事件正在大幅攀升。在国家计算机网络应急技术处理协调中心(CNCERT/CC)2005处理的网络安全事件报告中,网页篡改占45.91%,网络仿冒占29%,其余为拒绝服务攻击、垃圾邮件、蠕虫、木马等。如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为电子商务的所有参与者十分关心的话题。

一、电子商务中的主要网络安全事件分析

归纳起来,对电子商务应用影响较多、发生率较高的互联网安全事件可以分为网页篡改、网络蠕虫、拒绝服务攻击、特罗伊木马、计算机病毒、网络仿冒等,网页篡改、网络仿冒(Phishing),逐步成为影响电子商务应用与发展的主要威胁。

1.网页篡改

网页篡改是指将正常的网站主页更换为黑客所提供的网页。这是黑客攻击的典型形式。一般来说,主页的篡改对计算机系统本身不会产生直接的损失,但对电子商务等需要与用户通过网站进行沟通的应用来说,就意味着电子商务将被迫终止对外的服务。对企业网站而言,网页的篡改,尤其是含有攻击、丑化色彩的篡改,会对企业形象与信誉造成严重损害。

2.网络仿冒(Phishing)

网络仿冒又称网络欺诈、仿冒邮件或者钓鱼攻击等,是黑客使用欺诈邮件和虚假网页设计来诱骗收件人提供信用卡账号、用户名、密码、社会福利号码等,随后利用骗得的账号和密码窃取受骗者金钱。近年来,随着电子商务、网上结算、网上银行等业务在日常生活中的普及,网络仿冒事件在我国层出不穷,诸如中国银行网站等多起金融网站被仿冒。网络仿冒已经成为影响互联网应用,特别是电子商务应用的主要威胁之一。

网络仿冒者为了逃避相关组织和管理机构的打击,充分利用互联网的开放性,往往会将仿冒网站建立在其他国家,而又利用第三国的邮件服务器来发送欺诈邮件,这样既便是仿冒网站被人举报,但是关闭仿冒网站就比较麻烦,对网络欺诈者的追查就更困难了,这是现在网络仿冒犯罪的主要趋势之一。

3.网络蠕虫

网络蠕虫是指一种可以不断复制自己并在网络中传播的程序。这种程序利用互联网上计算机系统的漏洞进入系统,自我复制,并继续向互联网上的其他系统进行传播。蠕虫的不断蜕变并在网络上的传播,可能导致网络被阻塞的现象发生,从而致使网络瘫痪,使得各种基于网络的电子商务等应用系统失效。

4.拒绝服务攻击(Dos)

拒绝服务攻击是指在互联网上控制多台或大量的计算机针对某一个特定的计算机进行大规模的访问,使得被访问的计算机穷于应付来势凶猛的访问而无法提供正常的服务,使得电子商务这类应用无法正常工作。拒绝服务攻击是黑客常用的一种行之有效的方法。如果所调动的攻击计算机足够多,则更难进行处置。尤其是被蠕虫侵袭过的计算机,很容易被利用而成为攻击源,并且这类攻击通常是跨网进行的,加大了打击犯罪的难度。

5.特罗伊木马

特罗伊木马(简称木马)是一种隐藏在计算机系统中不为用户所知的恶意程序,通常用于潜伏在计算机系统中来与外界联接,并接受外界的指令。被植入木马的计算机系统内的所有文件都会被外界所获得,并且该系统也会被外界所控制,也可能会被利用作为攻击其他系统的攻击源。很多黑客在入侵系统时都会同时把木马植入到被侵入的系统中。

二、解决电子商务中网络安全问题的对策研究

随着网络应用日益普及和更为复杂,网络安全事件不断出现,电子商务的安全问题日益突出,需要从国家相关法律建设的大环境到企业制定的电子商务网络安全管理整体架构的具体措施,才能有效保护电子商务的正常应用与发展。

1.进一步完善法律与政策依据 充分发挥应急响应组织的作用

我国目前对于互联网的相关法律法规还较为欠缺,尤其是互联网这样一个开放和复杂的领域,相对于现实社会,其违法犯罪行为的界定、取证、定位都较为困难。因此,对于影响电子商务发展的基于互联网的各类网络安全事件的违法犯罪行为的立法,需要一个漫长的过程。根据互联网的体系结构和网络安全事件的特点,需要建立健全协调一致,快速反应的各级网络应急体系。要制定有关管理规定,为网络安全事件的有效处理提供法律和政策依据。

互联网应急响应组织是响应并处理公共互联网网络与信息安全事件的组织,在我国,CNCERT/CC是国家级的互联网应急响应组织,目前已经建立起了全国性的应急响应体系;同时,CNCERT/CC还是国际应急响应与安全小组论坛(FIRST,Forum of Incident Response and Security Teams)等国际机构的成员。应急响应组织通过发挥其技术优势,利用其支撑单位,即国内主要网络安全厂商的行业力量,为相关机构提供网络安全的咨询与技术服务,共同提高网络安全水平,能有效减少各类的网络事件的出现;通过聚集相关科研力量,研究相关技术手段,以及如何建立新的电子交易的信任体系,为电子商务等互联网应用的普及和顺利发展提供前瞻性的技术研究方面具有积极意义。

2.从网络安全架构整体上保障电子商务的应用发展

网络安全事件研究中看到,电子商务的网络安全问题不是纯粹的计算机安全问题,从企业的角度出发,应该建立整体的电子商务网络安全架构,结合安全管理以及具体的安全保护、安全监控、事件响应和恢复等一套机制来保障电子商务的正常应用。

安全管理主要是通过严格科学的管理手段以达到保护企业网络安全的目的。内容可包括安全管理制度的制定、实施和监督,安全策略的制定、实施、评估和修改,相关人员的安全意识的培训、教育,日常安全管理的具体要求与落实等。

安全保护主要是指应用网络安全产品、工具和技术保护网络系统、数据和用户。这种保护主要是指静态保护,通常是一些基本的防护,不具有实时性,如在防火墙的规则中实施一条安全策略,禁止所有外部网用户到内部网Web服务器的连接请求,一旦这条规则生效,它就会持续有效,除非我们改变这条规则。这样的保护能预防已知的一些安全威胁,而且通常这些威胁不会变化,所以称为静态保护。

安全监控和审计是实时保护的一种策略,它主要满足一种动态安全的需求。因为网络安全技术在发展的同时,黑客技术也在不断的发展,网络安全不是一成不变的,也许今天对你来说安全的策略,明天就会变得不安全,因此我们应该时刻关注网络安全的发展动向,以及网络上发生的各种各样的事情,以便及时发现新的攻击,制定新的安全策略。可以这样说,安全保护是基本,安全监控和审计是其有效的补充,两者的有效结合,才能较好地满足动态安全的需要。

事件响应与恢复主要针对发生攻击事件时相应的应急措施与恢复正常应用的机制。就是当攻击发生时,能及时做出响应,这需要建立一套切实有效、操作性强的响应机制,及时防止攻击的进一步发展。响应是整个安全架构中的重要组成部分,因为网络构筑没有绝对的安全,安全事件的发生是不可能完全避免的,当安全事件发生的时候,应该有相应的机制快速反应,以便让管理员及时了解攻击情况,采取相应措施修改安全策略,尽量减少并弥补攻击的损失,防止类似攻击的再次发生。当安全事件发生后,对系统可能会造成不同程度的破坏,如网络不能正常工作、系统数据被破坏等,这时,必须有一套机制能尽快恢复系统的正常应用,因为攻击既然已经发生了,系统也遭到了破坏,这时只有让系统以最快的速度运行起来才是最重要的,否则损失将更为严重。因此恢复在电子商务安全的整体架构中也是不可缺少的组成部分。

三、结论

Internet的快速发展,使电子商务逐渐进入人们的日常生活,而伴随各类网络安全事件的日益增加与发展,电子商务的安全问题也变得日益突出,建立一个安全、便捷的电子商务应用环境,解决好电子商务应用与发展的网络安全问题必将对保障和促进电子商务的快速发展起到良好的推动作用。

参考文献:

[1]CNCERT/CC.2005年上半年网络安全工作报告

[2]李 卫:计算机网络安全与管理.北京:清华大学出版社,2000

[3]李海泉:计算机网络安全与加密技术.北京:科学出版社,2001

篇3

【 关键词 】 电子认证;数字证书;电子签名;网络安全

Status and Trends of the Policy Environment of Certificate Authentication Services Industry

Chen Yue-hua

(China Center for Information Industry Development Beijing 100048)

【 Abstract 】 In recent years, network security attracts much attention.The world's major developed countries, such as United States, Germany, the United Kingdom, have released policies to cope with the growing security threats. Certificate authentication service industry, by confirming the truth and reliability of the network subject and their behavior, is to provide the network security, to maintain the network order, to play an irreplaceable role in reducing online fraud and crime. This paper highlights the 2011 China key policy of certificate authentication service industry, and analyzes policy development trends.

【 Keywords 】 certificate authentication;electronic signature;digital certificate;network security

1 引言

随着全球信息化的不断发展和电子政务、电子商务等网络应用的普及,信息安全问题日益突出。截止到2011年12月底,我国互联网普及率已达到38.3%,身份盗用、交易诈骗、信息泄露等信息安全事件出现频率不断提升,严重影响了网络经济的发展和社会的稳定。据统计,我国有近1.28亿互联网用户遭遇过上述安全事件,据估计损失超过150亿元。导致互联网信息安全事件频发的一个重要主要原因是缺少全局、有效、易于推广的网络身份信任体系。

电子认证服务作为重要的信息安全保障手段,基于PKI技术确定网络空间中个体的真实身份,建立网上行为与现实空间真实主体的严格对应关系,为实现网上行为的追踪、管理、取证等提供解决方法和法律保障,在维护网络秩序、减少网络欺诈和犯罪、促进网络经济发展等方面发挥着不可替代的作用。

自2005年4月1日《中华人民共和国电子签名法》颁布实施以来,电子认证服务业经历了从无到有、逐步壮大的重要发展时期。行业政策环境日益优化,为电子认证服务业发展提供了良好的契机。

2 行业政策环境日益优化,行业发展面临大好机遇

2.1 电子认证服务业首个发展规划,为行业未来发展指明了方向

近年来,国家对电子认证服务的重视程度日益提高。2011年11月,工业和信息化部印发《电子认证服务业“十二五”发展规划》,这是我国电子认证服务业的首个规划。在全面回顾“十一五”发展现状、分析“十二五”形势的基础上,规划提出到“十二五”末期,“形成覆盖全国的网络身份认证服务体系,基本形成可靠电子签名认证体系,并在数据电文可靠性认证服务模式探索方面取得积极进展,电子认证服务市场规模突破80亿元”的发展目标,并明确提出健全政策法规、规范认证服务、发展可靠电子签名和数据电文、拓展应用市场、开展试点示范、推行分类分级证书策略、加快数字证书交叉互认等重点任务,为行业发展指明了方向。

此外,信息安全产业、电子商务等“十二五”发展规划都将电子认证服务作为信息安全保障的重要手段,予以培育和支持。工业和信息化部的《信息安全产业“十二五”发展规划》,明确将电子认证服务作为重点发展的信息安全服务类别,以满足信息化建设对安全可控信息安全服务的需求。商务部的《电子商务“十二五”发展指导意见》,明确提出支持鼓励符合条件的第三方机构按照独立、公正、客观原则对电子商务交易平台和经营主体开展认证服务,鼓励电子签名、电子发票在电子商务中的应用。各项与电子认证相关的“十二五”政策文件的出台,电子认证是信息安全服务的重要构成,对于保障电子政务、电子商务等领域信息安全具有重要作用。

尽管电子认证服务已经获得较广泛的应用,但社会的认知度并不高,各项“十二五”政策文件明确将电子认证作为信息安全服务的重点之一,有利于增强社会各界对电子认证服务的认识,对于指导电子认证服务业发展、加快网络信任体系建设、推动电子认证服务应用普及具有重要的意义。

篇4

关键词:农业互联网;网络安全事件 ;对策分析

目前,随着计算机网络和通讯技术正在向农业生产和农民生活的各个方面渗透,我国已经初步建立了从中央到地方、覆盖面较宽的农业信息服务网络。有资料显示,截止到2008年底,全国31个省级农业行政主管部门、90%左右的地级和60%的县级农业部门都建立了农业信息服务网站和局域网,全国乡镇信息服务站中,有计算机并可以上网的约占90%。部分涉农企业也进行了农业信息网络建设,大量的农业网站不断涌现。许多农产品利用互联网开展网上信息咨询、、销售已成为时尚。而伴随着农业网站的快速发展,各类网络安全事件也与日俱增,农业互联网的安全问题变得日益突出。建立一个安全、便捷的农业互联网应用环境,已经成为各级农业部门、涉农企业和用户密切关注的问题。

一、主要网络安全事件类型

一般来说,对农业网站应用影响较多、发生率较高的网络安全事件主要为网络蠕虫、特罗伊木马、拒绝服务攻击、网页篡改、网络仿冒等。

(1)网络蠕虫。网络蠕虫是指一种可以不断复制自己并在网络中传播的程序。这种程序利用互联网上计算机系统的漏洞进入系统,自我复制,并继续向互联网上的其它系统进行传播。网络蠕虫的危害通常有两个方面:一是蠕虫在进入被攻击的系统后,一旦具有控制系统的能力,就可以使得该系统被他人远程操纵,造成重要系统会出现失密现象,或者会被利用来对其他系统进行攻击;二是蠕虫的不断蜕变并在网络上的传播,可能导致网络被阻塞的现象发生,从而致使网络瘫痪,使得各种基于网络的应用系统如电子商务等失效。(2)特罗伊木马。特罗伊木马(简称木马)是一种隐藏在计算机系统中不为用户所知的恶意程序,通常潜伏在计算机系统中与外界连接,并接受外界的指令。被植入木马的计算机系统内的所有文件都会被外界所获得,并且该系统也会被外界所控制,也可能会被利用作为攻击其它系统的攻击源。(3)拒绝服务攻击。拒绝服务攻击是指在互联网上控制多台或大量的计算机针对某一个特定的计算机进行大规模的访问,使得被访问的计算机穷于应付而无法提供正常的服务。如果所调动的攻击计算机足够多,则更难进行处置,尤其是被蠕虫侵袭过的计算机,很容易被利用而成为攻击源。(4)网络篡改。网络篡改是指将正常的网站主页更换为黑客所提供的网页。一般来说,主页的篡改对计算机系统本身不会产生直接的损失,但对于农业部门和涉农企业网站而言,网页的篡改,尤其是含有攻击、丑化色彩的篡改,会对企业形象与信誉造成严重损害。而对电子商务等需要与用户通过网站进行沟通的应用来说,就意味着电子商务将被迫终止服务。(5)网络仿冒。网络仿冒又称网络欺诈、仿冒邮件或者钓鱼攻击等,是黑客使用欺诈邮件和虚假网页设计来诱骗收件人提供信用卡帐号、用户名、密码、社会福利号码等,随后利用骗得的帐号和密码窃取受骗者金钱。近年来,随着电子商务、网上结算、网上银行等业务在日常生活中的普及,网络仿冒事件在我国层出不穷,如中国银行网站等多起金融网站被仿冒。网络仿冒已经成为影响互联网应用,特别是电子商务应用的主要威胁之一。

二、安全对策分析

随着网络应用日益普及和更为复杂,加强网络安全需要从国家相关法律建设的大环境到农业部门和涉农企业制定的网络安全管理具体措施入手,才能有效保护农业网站的正常应用与发展。

(1)完善法律与政策依据。目前我国对于互联网的相关法律法规还较为欠缺,尤其是互联网这样一个开放和复杂的领域,相对于现实社会,其违法犯罪行为的界定、取证、定位都较为困难。因此,对于各类网络安全事件的违法犯罪行为的立法,需要一个漫长的过程。2006年3月1日起开始施行的《信息安全等级保护管理办法(试行)》,在加强信息安全等级保护,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设方面,必将发挥巨大作用。根据互联网的体系结构和网络安全事件的特点,需要建立健全协调一致,快速反应的各级网络应急体系。在我国,国家计算机网络应急技术处理协调中心(CNCERT/CC)是国家级的互联网应急响应组织,目前已经建立起了全国性的应急响应体系。应急响应组织通过发挥其技术优势,利用其支撑单位,即国内主要网络安全厂商的行业力量,为相关机构提供网络安全的咨询与技术服务,共同提高网络安全水平。(2)建立整体的网络安全架构。从各类网络安全事件分析中我们看到,网络安全问题不是纯粹的计算机安全问题,从农业部门和涉农企业的角度出发,应该建立整体的网络安全架构。1.安全管理。安全管理主要是通过严格科学的管理手段以达到保护网络安全的目的,内容可包括安全管理制度的制定、实施和监督,安全策略的制定、实施、评估和修改,相关人员的安全意识的培训、教育,日常安全管理的具体要求与落实等。2.安全保护。安全保护主要是指应用网络安全产品、工具和技术保护网络系统、数据和用户,通常是指一些基本的防护,如在防火墙的规则中实施一条安全策略,禁止所有外部网用户到内部网Web服务器的连接请求,一旦这条规则生效,它就会持续有效,这样的保护能预防已知的一些安全威胁,而且通常这些威胁不会变化,所以称为静态保护。3.安全监控(审计)。安全监控主要是指实时监控网络上正在发生的事情,这是任何一个网络管理员都想了解的。审计是通过记录通过网络的所有数据包,然后分析这些数据包,帮助查找已知的攻击手段、可疑的破坏行为,来达到保护网络的目的。4.事件响应与恢复。事件响应与恢复主要针对发生攻击事件时相应的应急措施与恢复正常应用的机制,就是当攻击发生时,能及时做出响应,这需要建立一套切实有效、操作性强的响应机制,及时防止攻击的进一步发展。响应是整个安全架构中的重要组成部分,因为网络构筑没有绝对的安全,安全事件的发生是不可能完全避免的,当安全事件发生的时候,应该有相应的机制快速反应,以便让管理员及时了解攻击情况,采取相应措施修改安全策略,尽量减少并弥补攻击的损失,防止类似攻击的再次发生。当安全事件发生后,对系统可能会造成不同程度的破坏,如网络不能正常工作、系统数据被破坏等,这时,必须有一套机制能尽快恢复系统的正常应用,因为攻击既然已经发生了,系统也遭到了破坏,这时只有让系统以最快的速度运行起来才是最重要的,否则损失将更为严重。

参考文献:

[1]张千里.网络安全新技术[M].北京:人民邮电出版社,2003 .

[2]李辉.计算机网络安全与对策[J]. 潍坊学院学报, 2007, (3).

篇5

    1 引言

    随着互联网的快速发展,人们的生活方式有了非常大的改变,对应的经济社会也受到了巨大的影响。在商业贸易领域,因为网络的快速发展,产生了电子商务这样一种贸易方式。但是电子商务也是经历了一番坎坷的,因为网络的特殊性,在电子商务发展中产生了交易安全的问题,对电子商务的稳定发展带来了一定的冲击。 Internet网是一个互连通的自由空间,一些人常常会因为某些目的攻击电子商务网站,比如盗窃资金、商业打击、恶作剧等,导致有些企业的电子商务网站贸易交流受损、服务暂停,甚至出现资金被盗的现象。据有关数据的统计,美国每年因为网络安全问题在经济上造成的损失就达到近百亿美元,而国内的情况也不容乐观。因此,当我们在享受互联网给生活带来的这些好处的时候,网络的安全问题,早已变成电子商务的重大难题,给电子商务企业的发展带来了极大的阻碍。所以,计算机网络安全是电子商务发展过程中所面临的重大挑战和问题。电子商务企业必须从维护顾客利益和自身利益出发,做好安全防范和自身安全管理工作,才能得到持续快速的发展。

    2 电子商务面对的网络安全问题

    当前,电子商务安全问题受到多方面的影响,不但有技术管理的问题,而且也有网络缺陷的因素,具体地说,直接原因有以下几点: 1 网络“黑客”侵犯电子商务网站

    网络黑客是专门在网络中利用本身掌握的技术非法强行进入他人网站后台的人,这类人具有高超的网络技术,能够不受电子商务网站技术防护的限制。许多“黑客”篡改内容信息、破坏网站;****商户或企业的账户资金,极大地影响了电子商务的正常进行。 2 电子商务软件有漏洞

    许多软件研发单位研发的技术不成熟的电子商务软件,存在许多安全漏洞,防护极易被外来入侵者利用漏洞攻破,导致电子商务企业受到很大的经济损失;有的企业即使安装了防护软件,但由于软件没有得到及时升级,致使软件丧失了应有防护功能。 3 电子商务网络自身存在安全问题

    网络具有共享性、开放性等特点,它的设计原则是确保信息传输不会受到局部损坏的影响。所以,对网站安全带来了极大的隐患。特别是对电子商务企业情况更加严峻。 4 网站管理的缺失

    由于电子商务企业缺乏警惕性,不重视网络安全的管理,通常只有在受到攻击以后才会去加强网站安全;部分企业则以为只要安装了入侵监测系统、杀毒软件、防火墙等安全产品,就能保障网站的安全,所以没有根据企业实际情况制定相应的管理制度,也没有加强技术防范,给入侵者提供了机会。

    3 应对的措施

    电子商务安全问题是在网络化、电子化技术发展的前提下出现的,所以很多传统的解决办法不能简单地应用过来。电子商务企业想要取得效益,就要从企业的健康发展出发,改善企业的安全管理,提高技术投入。具体的防范措施有:

    3.1 安全技术管理需要加强

    需要重视电子商务网站的维护、升级等方面,做好每天的安全备份,加强网站服务器的管理。制定安全防范预案,只要发生安全事件,能够得到尽快解决,从而减少损失。使用权威性较强的安全防护软件,并能够正常启动、正常升级,发挥应有的防护功能。 2 在电子安全方面扩大管理和技术投入

    企业需要加大安全方面的资金投入,购买技术防护设备,加大对技术改造与设备更新的投入。引进安全管理的相关技术,招聘相应的管理人才,并进行适当的待遇倾斜,确保安全管理团队的稳定。 3 使用密码管理技术

    电子商务中最重要的防范环节是密码管理,要使用先进的密码管理手段,确保能发挥特定的功能,重点有交易信息安全、身份认证安全和账户安全等。 4 电子商务企业自身的管理需要得到强化

    安全技术是电子商务企业的首要防范措施,但发挥其作用的关键还是严密的管理,只有建立完善的安全防范管理系统,才能保证企业的安全。所以电子商务企业,需要制定安全防护制度,保证明确职责;要有奖惩制度,责任事故的时候,能够做到及时追究,提高技术管理人员的责任意识。

篇6

关键词:商业银行;电子商务;风险管理

商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。

一、信息安全管理的历史演进与现阶段的特点

信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。

(一)以事件驱动的初级阶段时期

19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。

(二)标准化时期

企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。

(三)安全风险管理策略时期

随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:

1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统

一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。

2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。

3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。

4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。

二、我国商业银行电子商务安全风险管理策略的薄弱点

(一)系统管理思想缺乏

目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。

实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。

(二)风险分析的模型与方法不成熟,定量分析不足

电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。

(三)忽视与原有的传统风险管理策略的结合

本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。

(四)风险管理策略无法

依赖外部的信息安全管理行业

在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。

(五)风险管理策略中商业银行的内部风险控制能力薄弱

我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。

三、商业银行的电子商务安全风险管理策略的改进建议

(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架

利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。

在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。

(二)电子商务安全风险管理中定量分析中的改进思路

商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。新晨

(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴

将商业银行所面临的全部风险放在一个框架中考虑。传统风险管理以及电子商务安全风险管理都是风险管理系统中子系统,二者相互联系、相互影响,不可分割。尝试借鉴信用风险与操作风险度量的方法与思想,短期内将其与信用风险控制衔接,最终形成一个全面的商业银行安全风险管理框架。

篇7

中国如今的电子商务市场一直保持着40-50%的市场增长率,它的交易规模已经占到了中国消费总额的5%,并开始表现出明显的GDP拉动力。从2009年起,中国的电子商务表现出来星火燎原般的势态,可以预测的是:中国的电子商务,必将成就中国另一轮的经济飞跃。

2绪论

伴随着互联网和信息技术的飞速发展,电子商务从零到有,并逐步向高水平、规范化发展。十年来中国电子商务始终保持40-50%的高速发展,2009年的中国电子商务并为受到全球金融危机的影响,相反却在金融危机中爆发出更强的生命力和适应力。2009年中国电子商务市场规模超过35000亿元,同比增长48.5%,高于2008年的41.2%。

电子商务的安全法律是指为了保障电子商务在交易过程中的安全性,由国家政府相关部门出台的对交易过程进行保护的法律。目前,我国就电子商务安全问题已经进行了初步的法律立项实施,但是依然存在较大的漏洞和隐患,需要国家相关部门进一步加强。

安全管理是有效降低我国电子商务交易过程中存在风险的重要手段,特别是在交易过程中,交易双方进行电子合同签订,安全中心不仅要监督买方的及时付款,同时还要监督卖方是否提供与合同一致的货物。在这些交易环节中,由于网络虚拟交易的缘故,存在非常大的安全管理隐患。为了有效防止这些安全隐患的爆发,降低风险带来的损失和伤害,需要国家政府出善的法律保护制度,形成一套互相关联、互相约束的管理制度体系。

3.电子商务安全

3.1电子商务安全概述

电子商务的运行和交易是基于计算机网络平台而展开的,所以安全问题大体上可以分为计算机网络安全和电子商务系统本身交易安全。没有网络,电子商务就不可能存在,网络作为基础,其安全性与电子商务安关系密切,在网络安全的前提下,电子商务系统特有的设计加以保障,两者相辅相成实现电子商务的整体安全。通俗的说,电子商务的安全就是“电子”和“商务”双重要求下的安全。

3.2国内电子商务安全问题现状

3.2.1信息安全环境

2010年,由中国互联网络信息中心(CNNIC)和国家互联网应急中心(CNCERT)在京联合的《2009年中国网民网络信息安全状况调查系列报告》中显示,2009年,52%的网民曾遭遇过网络安全事件,网民处理安全事件所支出的相关服务费用共计153亿元人民币。电子商务发展所面临的信息安全问题严重。根据相关调查显示,90%以上的网民计算机遭遇过病毒、木马、黑客的攻击,电子商务交易的安全环境已经受到了严重影响。

3.2.2技术与意识现状

电子商务的安全需要信息技术和使用者意识的同步跟进和提高,才能使交易真正安全。目前国内两方面因素同时存在,导致电子商务交易安全性下降。一是技术方面:国内防御杀毒软件整体水平较低,查杀效率和效果不佳,部分电子商务平台设计存在缺陷,为电子交易安全埋下隐患。二是网民、使用者意识方面:相比于高发的网络安全事件,仍有4.4%的网民个人计算机未安装任何安全软件;不足8%的手机网民安装手机安全防护软件,网民安全意识仍有待进一步提升;

盗版软件使用泛滥;软件认知低,不懂得区分使用;交易双方欠缺诚信,即使交易在设计较为完善的电子商务平台上进行,依然存在欺骗行为。

3.2.3电子商务诚信环境

随着互联网的发展,网络购物(B2B、B2C)作为电子商务的其中分支之一,已经成为了一种消费时尚、热门购物渠道。据中国互联网络信息中心的数据显示:2009年我国网购市场交易规模为2500亿元,较2008年翻了一番。而2010年网络购物的市场规模应该已超过4300亿元。网购人群也大幅度增长,2009年至少在网上买过一次东西的中国网民数历史性地突破了1亿人,达到1.08亿人,增长46%。而在2010年,使用过网络购物的互联网用户更是接近2亿人。网络购物已经成为发展最迅速,与网民利益最相关的网络应用。

与此相比,电子商务诚信环境却不如人意,甚至随着电子商务的发展而出现恶化的局势。2010年,有近28%的互联网用户遭遇过虚假钓鱼网站、诈骗交易、交易劫持、网银被盗等针对网络购物的安全攻击。目前对我国网络购物用户威胁影响最严重的还是钓鱼网站,在网购用户所遭遇的安全威胁中有72.4%是钓鱼网站的欺骗行为,2010年1-10月,平均每天新增的与网络购物相关的钓鱼网站约为1500个。钓鱼网站的典型的诈骗方式主要分为三大类:低价诱惑、交谈诈骗、电话诈骗。

3.2.4电子商务信用管理现状

因为电子商务交易的特殊性,交易双方不曾谋面,所以关于电子商务的信用管理就显得尤为重要。为防止电子商务的欺诈行为给网民带来经济上的损失,网络企业以及第三方电子商务平台都相继实行信誉管理方法,如信誉评价和信誉等级系统的建立,网络诚信公约(自律)等等,但由于电子商务发展较晚,管理经验不足,这些方法和系统存在较多的问题,有待提升。如中国电子商务诚信评价中心推出“中国电子商务诚信评价规范”,其中的诚信红蓝标识制度,认知度极低,据调查发现,有97%人不知红蓝标识的含义。就目前而言,在线信誉评估、等级系统,在设计完善的提前下,可以较为有效的降低了交易风险,因为其交易双方的历史信用表现,信用等级都是公开信息,可以作为买卖双方交易选择的参考,且其失信成本远远大于其利益获得,好的信用必然可以提升销售量,这也从侧面迫使销售者提供最好的服务,避免了双方欺诈行为。交易讲究的诚信,信誉系统能最有效地维持双方可信的商务关系。如目前国内最大的网购平台淘宝网,它的网商信誉评价和信誉等级系统相对成熟,这种评价系统“为消费者提供了诚信、安全的购物保障,大大提升了网络购物体验”。但它依然存在相当多的问题,信用评价流程不合理,在买到相对低劣的产品时,你选择退货的同时就丧失了评价的权利,两者只能选其一,那到底是留着不需要的产品而去评价,还是选择退货?恶意中差评现象猖獗,甚至出现恶意差评师这一职业,严重影响公平竞争。另外对于返修产品缺乏保障,笔者就遇到过产品寄回返修,迟迟没有反应,损害消费者利益。信用可信度有待验证,专业刷钻组织的出现,使得信用体系的可靠性降低。

4电子商务安全立法现状

电子商务因其带来的经济效益和流行发展趋势而备受关注,其安全立法问题也得到了国际性组织和各国政府的高度重视,尽快营造全球范围内的电子商务安全法律环境已成为国际社会的共识。要创造一个适应和规范电子商务安全交易、发展的法律境,政府部门职责首当其冲,在电子商务发展的监管和安全立法中发挥其主导作用。及时了解电子商务即时情况,制定出台相应的安全保障法律法规,鼓励、引导、电子商务健康发展,规范、维持必要的网络市场秩序,这已经成为当前世界各国立法工作的重要任务。电子商务的广泛性和无界性使得世界各国纷纷出台相应法律、行为准则和规范办法来推动本国电子商务安全、健康的发展,旨在抓住信息技术的机遇,提高自身竞争力,从而会的优势,同时也减少电子商务的交易纠纷、欺诈行为,保障了交易的安全性,为电子商务在全球范围内的发展扫平障碍。

4.1当前电子商务安全法律、制度尚不完善

电子商务因其基础网络这个开放又隐蔽的环境,而显得比较特殊,其商贸交易行为需要有专门的法律来规范和秩序的维持,目前我国已经相继出台了部分法律法规、行为准则,设立了相应的部门来规范、监管和保证电子商务的安全。但与国际电子商务立法现状和国内电子商务现实状况相比,显得比较尴尬。我国电子商务安全法律体系仍然存在较多空白,强针对性的立法需要加快,先行法规则亟需进一步改进和完善。电子商务安全法律的不足之处有:电子交易流程行为规范、用户隐私保护、法律效力不足,法律滞后,情况描述不清,没有有效惩戒措施,难以对电子商务中的失信者和破坏者造成较强的约束力。因此强快电子商务安全法律立法和改进已经迫在眉睫。

4.2现有电子商务安全法律

现行电子商务安全法律,具有较强针对性质的较少,大多分散各类法规之中,或是零星提及电子交易安全问题,目前电子商务交易安全的法律法规主要有以下四类:

(1)综合性的法律。如:《民法通则》和《刑法》中有关对商贸交易的安全保障条文。

(2)对交易主体进行规范的相关法律。如《公司法》、《国有企业法》、《集体企业法》、《私营企业法》、《外资企业法》等;

(3)规范交易行为的有关法律,包括经济合同法、产品质量法、价格法、消费者权益保障法,反不正当竞争法等等

(4)对监督交易行为进行规范的法律,如会计法、票据法、银行法等。

国务院颁布的《中华人民共和国计算机信息网络国际联网管理暂行规定》和公安部颁发的《计算机信息网络国际联网安全保护管理办法》是两个对电子商务具有重大影响的行政法规。

另外《中华人民共和国电子签名法》的颁布也具有重要意义。该法赋予电子签名与手写签名或盖章具有同等的法律效力,明确了电子认证服务的市场准入制度,标志着我国的信息化立法迈出重要步伐。

4.3电子商务安全立法困难的原因

电子商务发展壮大为商贸交易带来极大便捷和迅速优越性,成为了经济的强劲增长点,为全球经济的发展营造了良好的氛围,与此同时,因为其特点,也对社会各个领域特别是立法带来了困难和压力。

首先电子商务的立法,需要考虑国家和地区之间的差异,协调困难。电子商务基于网络,而网络却已经全球联通、跨越了地域的界限。它所面对的不只是一个地区、一个国家的市场,而是全球一体化的大市场。各国由于社会制度、政治状况、经济发展程度等不同而导致了现行法律法规的不同,要制定可以有效协调、高度一体化的商业和法律规则,谈何容易。

其次是电子商务交易处理、传输的实质就是对信号脉冲的传输和对数字流的处理,这种虚拟的平台上,双方的不曾谋面,使得信息资源对商家的商业信用提出了更高的要求。在信息得到广泛传播的同时,由于互联网既开放又隐蔽的特性使得信息的真伪有待验证,恶意的攻击、恶意的失信难以发现,即使发现也难以揪出终端背后的那个失信或破坏者,有法难断或者有法却找不到应受惩罚的人,而且对于包括制作版权、著作权、商标使用权、数据库等在内的知识产权保护也成为无法回避的问题。电子商务横跨领域之广、利益关联群体之多,和其有别于传统商务模式的无形化给税收体制及税收管理模式也带来了巨大的挑战。

再次,电子信息领域,技术日新月异,电子商务领域的技术进步速度已经超国家适时地调整其法律框架的能力。法律的变革无法做到像电子技术更新一样的快,也由于新的意想不到的问题的不断出现,使得适时的法律调整总跟不上电子商务高速发展的步伐。这是需要我们对于现行法律框架从根本上进行反思,困难而想而知。

5电子商务安全立法的对策研究

5.1电子商务安全需求分析

5.1.1主要内容

电子商务是网上公开直接虚拟交易的商务模式,它直接通过网络进行交易、支付、谈判、下单等,在这个过程中蕴藏了大量的商务信息,所以,电子商务的安全问题引起了网民、企业、行业、国家的广泛观众。根据电子商务的交易模式以及重要性分析,电子商务的安全需求主要包括以下几个方面:

1、信息的完整性;

2、信息的保密性;

3、信息的不可否认性;

4、交易双方的真实身份信息;

5、系统的可靠性;

6、资金的安全性。

5.1.2涉及领域

通过吸收国外成功的经验,结合我国自身电子商务发展特色以及社会主义国情特色,我国电子商务安全性的立法主要涉及以下几大方面:

1、保护消费者的合法权益;

2、交易双方的个人真实信息;

3、保密和信息的合法性访问;

4、数字签名以及第三方认证;

5、计算机犯罪和侵犯问题的有效控制。

5.2电子商务安全立法定位与模式

电子商务的安全法律保障问题,从其整体情况来看,主要表现为两大层次:第一,电子商务首先表现的是商品交易模式,它的安全需要通过民商法来进行规范保护;第二,电子商务是通过计算机及网络技术实现的,它的安全很大程度上依赖于计算机及网络的自身安全程度,这需要网络的安全管理法律来加以约束和保护。从第一点的角度来看,电子商务安全法律隶属于商法的范围。

因此,在立法过程中,重点还是需要从商法的角度,结合其依托计算机网络技术的特色,从全面化的角度出发,制定出高效规范的电子商务安全法律。

从电子商务安全立法的模式角度出发,电子商务的安全法律主要有以下两种选择:第一,在电子商务交易活动的法律中加入电子商务安全性法律内容;第二,另外指定电子商务安全单行法。这两种模式都有各自的优点和缺点,前者的立法成本低但是保护力度不够强,后者的立法程序复杂,所需资源多,但是保护力度大。在实际操作中,到底选择哪种模式,也是当下法律界正在研究分析的重点问题。本文提出的建议是分为两步走:先采用第一种模式,等条件成熟后而且又加强的需要,再进行第二种模式的立法。这样不仅可以快速成立相关法律体系,同时也可有效解决资源浪费的问题。

5.3我国电子商务安全性立法的对策分析

5.3.1健全电子商务法律,注重法律的滞后性

健全的电子商务立法体系不仅要包括有网络服务和网络管理的法律制度,同时还需要电子商务主体的立法和市场管理制度,以及电子商务交易支付的法律制度、网上商务行为制度、电子税法制度、客户个人隐私权保护法。只有建立系统性的法律制度,才能真正发挥电子商务安全法的作用。

在加强电子商务安全法建设的同时,同时也应该注重法律的滞后性带来的法律效力减弱。法律的滞后性首先表现为法律立法的程序,这是个严格的过程,需要问题显现的非常明白,并对该问题进行有充分的调研数据后,才可能形成立法的基本条件和背景,这个过程是繁琐的,是复杂的,是需要长时间的。另外,法律要建立起威信,必须较长的时间,在这段长时间里,网络的发展是非常快的,会发生不同程度内容的问题,而且这些问题会经常超过法律设定的范围,这些问题在客观上都表现为电子商务法律的滞后性,使得法律无法体现超前性,大大降低了法律的约束作用。

5.3.2加强立法部门对于电子商务的学习了解

立法部门在实际的工作经验中,可能只是了解法律相关体系知识,对于电子商务交易模式、支付模式等相关内容可能存在误解或者不了解的情况,这容易导致立法部门在立法的过程中,过于偏向法律的可行性,而忽略了电子商务法律的可行性。所以,加强立法部门对于电子商务的学习了解,使其真正深入了解电子商务整体运营过程以及涉及内容、存在的漏洞、需要加强的节点以及关联的群体等内容,从根本上制定高效可行规范的电子商务安全法律,从而降低因误解带来的时间拖延、资源耗费等其他损失。

另外,加强立法部门对于电子商务的学习了解的同时,应加强立法部门工作人员对于电子商务立法的重视度,从思想上加强工作人员对于电子商务安全立法的注重,从而加快电子商务安全立法的实施进度。

5.2.3系统化完善,架构法律体系

我国电子商务的飞速发展,对电子商务中的安全问题提出了更高的要求。在建立我国电子商务安全法律时,应多加考虑它与其他法律之间的关联度,从而架构其整体法律体系,进一步完善安全法律的有效性。具体内容如下:

1、在中国民法基本法原有的基础上,增加交易安全的理念和内容;

2、在计算机与网络安全管理的立法上,应针对电子商务在网络虚拟环境下运行的特点,加强电子商务交易安全保护的法律措施。

3、在商事单行法的立法上,可以适当突破现有民法的一些制度,基于商法的特殊性及独立性,满足电子商务较高的安全保护需求。

4、在法律解释上,全面清理我国最高人民法院作出的司法解释,剔除掉不利于电子商务安全的言论,对电子商务的安全问题进行重新正确的认识和解释。

5.2.4配套奖惩措施,提高安全法律威信度

奖惩措施是任何制度得以有效实施的保障制度,这里的奖惩措施具有两个重要的含义:

第一,是对电子商务安全制度在实施过程出现的良性事件和恶性事件进行适当的奖励和惩罚,或是进行高度的奖励和惩罚,从而在加强良性循环的同时,对制度实施过程中的恶性事件作出严厉的惩罚,起到杀一儆百的作用,从而有效提高电子商务安全立法的实施力度和效果。

第二,是对进行非法盗取电子商务信息或是破坏电子商务交易的不法分子进行严厉的法律制裁,以及对保护电子商务安全的良好事迹进行表扬。我国目前针对盗取电子商务信息或是破坏电子商务交易的不法分子还未建立有效的不法分子,才会使得这些不法分子妄想钻空子、踩地雷,这也是导致我国电子商务安全出现问题的一大关键因素。因此,建立电子商务奖惩措施,有利于提高对不法分子的控制以及提高人民对电子商务安全的保护意识。

5.2.5借鉴国外成功经验,结合自身特色国情

电子商务是全球性的电子商务,它是无国界、无种族之分的。所以,我国在建立电子商务安全法律时,可立足于国际立法的趋同性取向,借鉴国外成功的电子商务安全法律制度经验,并且结合我国的自身特色国情。中国的电子商务安全法律,只有争取与国际立法接轨,才能参与全球性的经济竞争。例如,新加坡在制定《电子&交易法案》时几乎全部采用了《电子商务示范法》的相关内容,同时根据《电子商务示范法》的总体精神以及自身国情,增加了部分内容。所以,我国在制定电子商务安全法律时,应尽量吸收国外原有的成果,再结合我国的特色国情,在降低立法成本、节省立法时间的同时,也提高电子商务安全法律的高效性和实用性。

6总结和展望

电子商务的安全问题是关系到电子商务能否继续发展的关键因素。随着我国计算机网络科学的逐步发展,某些非法分子对于电子商务安全模式已经越来越熟悉,如果电子商务再不加强安全防范以及法律法规的严加约束,电子商务的安全将成为我国经济法律的一大问题,这对我国经济、网民、电子商务企业来说都是非常不利的。因此,尽快建立我国的电子商务安全立法,建立有效可行的电子商务安全法律法规,从国家政治制度角度出发,为我国的电子商务发展进行强而有力的安全管束,以促进我国电子商务行业稳步健康的发展。随着我国电子商务的飞速发展,已经在我国人民生活中扮演的越来越重要的角色,电子商务的安全立法问题已经成为我国法政界、金融界和学术界共同关注的热点问题,因此,研究我国电子商务安全立法工作,建立科学高效的电子商务安全法律,为我国的电子商务的稳步健康发展奠定良好的基础,具有非常重要的理论意义和实践意义。

本文研究的主要贡献在于:探讨了我国电子商务安全现状以及立法存在的问题与对策。本研究以电子商务基本概念和特色为理论基础,通过对我国电子商务的安全现状进行分析,从而形成本研究的整体背景,接着分析我国安全立法的现状以及存在的问题,最后结合自身所学知识,提出改善我国电子商务安全法律的对策,希望对电子商务安全立法工作的开展能提供一些帮助。但是由于水平的限制以及实际经验的不足,加上我国目前电子商务法律问题整体上处于不成熟与多样化的阶段,使得本文在研究过程中遇到一些困难,加上文字功底不够等等,影响到了研究的效果,使得论文尚有以下不足之处:

1、研究过程中,对于我国电子商务安全现状只选取了几个主要的现状进行描述,考虑到本研究报告的篇幅问题,并没有对全部的现状进行描述。

2、在对我国电子商务安全立法的现状进行分析时,只对我国电子商务安全问题的难点以及现状进行代表性的描述,并未形成系统化的描述。

篇8

信息化的生产方式正渐渐成为中国社会的带动力量时,工业化的生产方式仍然是中国农村社会的主要带动力量。这是中国农村落后于时代的基本面上的原因。

治国理政者在面对农村电子商务时,完全可以树立全局意识,从城乡统筹协调发展高度谋划战略,摆脱目前这种大兴原子土木、大兴原子城市,抑制商业转型,激活城乡不稳定因素,落后于数字化世界整整一代的现代化方略,走活中国这盘棋。

农村电子商务不仅会助力农村经济,也对整个中国经济结构的平衡产生积极作用。农村电子商务是关系中国未来发展的重要抉择。

塑造政府形象根本在于转变政府职能

在博客(微博)、社交网站、移动智能终端等社会化媒体迅猛发展和广泛应用的今天,社会化媒体逐渐成为政府联系人民群众的重要桥梁和纽带,越来越多地发挥了畅通民意、表达诉求和参政议政的作用。与此同时,网络舆情不断发生,网络参政、网络问政逐渐兴起,政府形象塑造面临新挑战、新问题。

形象发生于政府本身,归根结底,政府自身的修炼才是根本。要致力于提供公平公正、优质高效的公共服务,重点落实政府在公共服务领域的职责,把精力、人力和财力向搭建平台、营造环境、提供公共产品转移,树立服务型政府的形象。

地方政府部门怎样开微博

宣传模式的微博公关,在日常维护中虽然起不到更大的正面宣传作用,但也尚不致于给政府部门造成负面影响,因为地方政府开通微博本身就是一种主动接近民众的表现。但是一旦发生公共事件尤其是公共安全事件,倘若地方政府官方微博再延续宣传模式进行微博危机公关,就会因为过于“高高在上”而引起不快。

长远看,实现亲民而有效的微博公关,不仅需要现有的政府微博及时转变话语体系、积极回应民众、架构政府与民众的沟通桥梁,更需要从现实制度层面对政府微博公关进行保障,只有这样,合理的微博公关才能常态化。

政府“官脖”:权“微”民所用

篇9

第二,建立互联网内容与网络安全监控体系,以网站、论坛、贴吧等为监控重点,及时了解社情民意,掌握舆情引导的主动权,杜绝网上不良信息传播,及时删除和封堵有害信息,严厉打击网上违法犯罪活动;建设和部署公共互联网网络安全监控与预警平台,建立分级预警和定期上报机制,加强对基础电信企业、互联网接入服务商、重点互联网网站的日常监测与管理,实施信息实名制和IP地址黑名单制度,提高互联网络安全应对能力;建立政府部门互联网接入安全保障体系,规范政府部门互联网安全接入,对网络攻击、网站挂马、网页篡改等信息安全事件进行实时监测,实现全网可管、可控、可剥离。

第三,健全信息安全应急响应体系,建设和完善信息安全通报平台、信息安全应急支援平台和辅助决策系统,为全省重大信息安全事件提供应急指挥和辅助决策。

第四,建立网络信任体系,优化提升数字证书认证和密钥管理系统,普及数字证书在电子政务和电子商务中的应用,建立授权管理和责任认定平台,通过身份认证、访问控制和授权管理等手段,促进信息资源合理利用。

第五,建立信息安全管理体系,推广石家庄市信息安全管理体系试点经验,逐步建立信息安全工作的长效管理机制;探索电子政务信息系统建设模式,为全省各级党政机关开展应用创造条件。

篇10

关键词:网上支付 电信诈骗 手机木马

中图分类号: TP393.08 文献标识码:A 文章编号:1007-9416(2016)12-0193-02

随着信息技术的飞速发展,以及人们对工作、学习、娱乐、消费的便捷性要求越来越高,各种信息技术产品层出不穷。尤其是因特网普及后,消费者和服务商之间面对面的交易不再是必须,网上支付带来了极大的便捷性,交易各方利用银行所支持的数字金融工具,通过因特网进行交融交换,实现用户到金融机构、商家之间的在线货币支付、现金流转、资金清算、查询统计等过程,为电子商务和其他服务提供金融支持[1]。

现金转帐、购物支付、网上缴费等网上支付业务极大地方便了人们的生活和工作,这种新颖快捷的支付方式被越来越多的消费者接受。足不出户,就可以实现轻松生活,网上支付成为许多人日常生活不可缺少的支付方式。

但与此同时,网上支付的安全事件不时发生,给用户造成了或多或少的财产损失和大量的个人信息泄露,令人们在使用网上支付时难以真正放心。

1 网上支付过程

通过分析网上交易参与各方的活动,网上支付的组成要素有:因特网(Internet),客户,商家,开户银行,支付网关,银行网络,认证中心。其工作流程如图1所示。客户通过个人计算机或者移动终端访问商户的网站,登录时与认证中心交互,取得自己的个人信息用于身份鉴别;客户选择商品或服务后,确认下单,其信息及购物款项信息就会被加密发送到支付网关,支付网关与客户的购物支付卡发卡银行通信,验证其合法性;通过后,确认支付和购物交易合法有效;其后,物流将商品送至客户处,客户确认收货后,交易完成。

目前,网上支付方式包括通过网上银行进行的转账支付(即银行网关模式)、通过第三方平成的支付(即第三方支付平台模式)[2],银联模式和电子现金等。其工作原理分别如下:

(1)银行网关模式:商家与银行签约,其网站平台直接链接到银行网银系统,客户购物交费实际上就是将现金直接转帐到商家。

(2)第三方支付平台模式:电子商务平台先链接到第三方支付平台,支付平台再和银行链接而完成支付手段的一种方式。我国的第三方支付行业发展迅猛,有独立的支付企业诸如快钱、易宝、首信易等,而作为电子商务平台延伸的在线支付工具如淘宝的支付宝、腾讯的财付通、百度的百付宝等[3]。

(3)银联模式:在银联在线支付的网站完成的支付模式。

(4)电子现金。在支付机构注册虚拟账户,通过向虚拟账户充值进行相关支付业务,如购买游戏币、QQ币等。

这些支付模式既可以通过PC机支付,也可以通过手机、平板等移动智能终端完成。分析网上支付过程和支付形式,客户端、网络协议、互联网基础设施、支付网关等处都可能存在风险。网络支付安全是一个系统工程,需要银行、支付机构、安全厂商、商户、网络管理部门以及消费者共同努力。

从目前网络支付的发展水平和出现的网络支付案例来看,各个银行针对网上支付采用的安全技术和手段(如一次性口令、USB KEY、短信验证码等)都较成熟,达到了很高的安全性。而网上支付安全事件的发生在大多数情况是用户安全防范意识薄弱和相应的安全技能不足所致。下面列出网上支付可能存在的一些风险。

3 网上支付的风险分析

3.1 用户的身份冒充

这种攻击基于用户身份信息被盗用。攻击者通过非法手段(如植入木马、钓鱼等)盗取合法用户的身份信息,仿冒其身份进行转帐或与他人交易,或实施诈骗以获得非法利益。

已发生的诸多案例都表明,国内很多网站都存储了用户的基本信息(包括姓名、银行卡号等),但其都或多或少存在安全漏洞,容易被入侵而导致大量完整的用户信息被泄露。国内外都有复制信用卡,盗刷的事件报道。除此之外,电信诈骗、二维码含恶意链接、钓鱼网站、手机木马等威胁也会造成大量银行卡信息的泄露。而目前正在快速发展的很多带有闪付功能的银行卡,还能在近距离非接触的情况下通过特定终端读取用户信息,这种读取方式静默,很难发现。

3.2 敏感数据泄露

网上支付的敏感数据一般包括个人信息(姓名、银行卡号、通信地址等)和购物信息(商品名称、价格、数量、购买时间等)。这些数据有可能在传输中泄漏、丢失或被篡改,如攻击者利用电磁泄漏或搭线窃听等方式截获还原传输的这些敏感信息,或通过对信息流向、流量、通信频度和长度等参数的分析,探测和分析有用信息。

3.3 交易数据篡改

攻击者通过在客户的计算机上植入木马、制作钓鱼网页或截获传输中的信息,篡改其交易数据,如修改消息次序、时间、数量、金额,注入伪造消息、重放交易等,使信息失去真实性和完整性。

3.4 商家假冒或欺诈

商家被别人假冒,提供假货或者收到付款后抵赖交易。

4 网上支付的安全对策

为加强网上支付的安全,需参与各方从技术和管理两方面同时着手,在技术上提高安全性,同时在规范管理上防范非法行为。技术上包括:

4.1 个人计算机或移动终端安全

一般硭担作为公共基础设施的支付网关和电子商务网站等的安全性都是较高的。而个人使用的计算机和移动终端的安全性堪忧。因此,个人计算机要及时安装和更新病毒木马查杀软件,及时升级操作系统和应用软件,不轻易打开不明文件和访问安全性未知的网站,不下载安装安全性未知的软件,不接入公共wifi和使用公共计算机进行登录和支付,以防止计算机被黑客攻击,导致个人信息泄露。

4.2 密码技术

一方面,采用密码相结合的多因子身份认证技术,加强身份认证的强度,防止身份信息被窃取、盗用和假冒,如数字证书、短信验证码、动态口令、USB Key等。另一方面,采用加密技术对用户信息和支付数据进行加密,防止敏感信息泄露和被篡改。计算机或手机上安装基于密码技术的数字证书后,即使账户支付密码被盗,也需要在已经安装了数字证书的计算机上才能支付,保障资金安全。

4.3 网络基础设施安全

采用多种措施保证网络基础设施安全,包括操作系统、网络协议、数据库、硬件设施等,这与技术的发展紧密相关。

管理方面的措施,主要针对组织和人而言。其主要工作是加强网上支付的监管,要求监管机构、银行和商家做好安全措施,并教育消费者树立安全意识,养成良好的安全习惯。

4.4 建立与完善网上支付的法律法规

随着网上业务在我国的发展,国家相继出台了多部法律法规,如《中华人民共和国电子签名法》明确了电子签名的法律有效性,使得网上业务受到法律保护;《电子认证服务管理办法》、《电子支付指引》、《电子银行业务管理办法》和《电子银行安全评估指引》等法律法规针对网上业务领域给出了一些具体的指导意见。但违法交易所要承担的法律责任,法定的电子货币发行人、合理的货币识别制度以及电子货币使用中各方隐私权保护制度等法律问题[4]上还需要进一步明确。而作为金融监管机构的中央银行则要结合我国国情并借鉴国外发展经验,严格技术标准,强化业务监管。

今年11月,国家出台《中华人民共和国网络安全法》,在网络安全各方面将做出指导性规定。而在这部法律出台后,各领域相关配套的法律法规,包括网上支付方面的法规也会随后推出,以规范网上支付活动,打击违法犯罪,保护合法权益。

4.5 加强法制和安全意识宣传

通过多种途径宣传和公开典型案例,警示用户树立安全意识,培养良好的安全习惯,比如电信诈骗案例、短信二维码恶意链接案例、网络钓鱼案例、其他社工案例等。通过宣传,促使用户采用银行等机构提供的安全产品和采纳银行等机构的安全建议,提高安全防护能力,如密码强度足够,并与其它密码不同,支付卡专用,金额随用随存等。在网络支付发现情况有异时,如页面跳转、不停要求输入信息或弹出无关提示等时,停止操作以止损,并报警和保护现场。同时,加强对网络不法行为的追查处罚力度,威慑不良企图者,减少违法行为发生的可能性。

4.6 网络实名制

今年电信实名制也真正落实实施,将对电信诈骗起到很强的防范作用。

同样,通过网络实名制,使得网络上的虚拟身份能与现实社会的身份对应,防止交易抵赖,方便追究和落实相关责任人。同时,网络实名制也将对攻击者形成强大的威慑力,利用网上支付实施的违法犯罪行为也将大大减少。

5 结语

网络支付应用已非常广泛,只有保证其安全性才能健康稳定发展。本文基于网络支付可能存在的风险,从技术、管理等方面提出了相应的安全对策,防止用户的财产损失和个人信息泄露。

参考文献

[1]刘亚军.网上支付系统的安全性研究[J].现代电子技术,2013,36(8):74-76.

[2]王淦银.我国网上支付六大瓶颈待破[J].中国银行业,2015,(1):85-87.