時間:2023-09-12 17:04:17
引言:易發(fā)表網(wǎng)憑借豐富的文秘實踐,為您精心挑選了九篇電子商務(wù)安全管理策略范例。如需獲取更多原創(chuàng)內(nèi)容,可隨時聯(lián)系我們的客服老師。
摘要:電子商務(wù)作為一種全新的商務(wù)模式,它有很大的發(fā)展前途,且隨之而來的安全問題也越來越突出,如何建立一個安全、便捷的電于商務(wù)應(yīng)用環(huán)境,對信息提供足夠的保護,是商家和用戶都十分關(guān)注的話題。安全問題己成為電子商務(wù)的核心問題。分析了電子商務(wù)中存在的安全問題,并闡述目前解決電子商務(wù)安全隱患的主要安全技術(shù)及相關(guān)策略。
關(guān)鍵詞:電子商務(wù);安全問題;安全策略
1電子商務(wù)中存在的兩大類安全問題
1.1網(wǎng)絡(luò)安全問題
現(xiàn)在隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,網(wǎng)絡(luò)安全成了新的安全研究熱點。網(wǎng)絡(luò)安全就是如何保證網(wǎng)絡(luò)上存儲和傳輸?shù)男畔⒌陌踩浴>W(wǎng)絡(luò)安全問題是計算機系統(tǒng)本身存在的漏洞和其他人為因素構(gòu)成了計算機網(wǎng)絡(luò)的潛在威脅,概括來說網(wǎng)絡(luò)安全的內(nèi)容包括:計算機網(wǎng)絡(luò)設(shè)備安全、計算機網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等
1.2商務(wù)安全問題
商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時產(chǎn)生的各種安全問題,在計算機網(wǎng)絡(luò)安全的基礎(chǔ)上,如何保障電子商務(wù)過程的順利進行。即實現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。網(wǎng)上交易日益成為新的商務(wù)模式,基于網(wǎng)絡(luò)資源的電子商務(wù)交易已為大眾接受,人們在享受網(wǎng)上交易帶來的便捷的同時,交易的安全性備受關(guān)注,網(wǎng)絡(luò)所固有的開放性與資源共享性導致網(wǎng)上交易的安全性受到嚴重威脅。所以在電子商務(wù)交易過程中,保證交易數(shù)據(jù)的安全是電子商務(wù)系統(tǒng)的關(guān)鍵。
1.3目前電子商務(wù)中存在的主要安全問題
(1)對合法用戶的身份冒充。攻擊者通過非法手段盜用合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易,從而獲得非法利益。
(2)對信息的竊取。攻擊者在網(wǎng)絡(luò)的傳輸信道上,通過物理或邏輯的手段,對數(shù)據(jù)進行非法的截獲與監(jiān)聽,從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網(wǎng)上竊取那些粗心用戶的信用卡賬號,還能以欺騙的手法進行產(chǎn)品交易,甚至能洗黑錢。
(3)對信息的篡改。攻擊者有可能對網(wǎng)絡(luò)上的信息進行截獲后篡改其內(nèi)容,如修改消息次序、時間,注入偽造消息等,從而使信息失去真實性和完整性。
(4)拒絕服務(wù)。攻擊者使合法接入的信息、業(yè)務(wù)或其他資源受阻。
(5)對發(fā)出的信息予以否認。某些用戶可能對自己發(fā)出的信息進行惡意的否認,以推卸自己應(yīng)承擔的責任。
(6)信用威脅。交易者否認參加過交易,如買方提交訂單后不付款,或者輸入虛假銀行資料使賣方不能提款;用戶付款后,賣方?jīng)]有把商品發(fā)送到客戶手中,使客戶蒙受損失。
(7)電腦病毒。電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播途徑,還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快,動輒造成數(shù)百億美元的經(jīng)濟損失。如,CIH病毒的爆發(fā)幾乎在瞬間給網(wǎng)絡(luò)上數(shù)以萬計的計算機以沉重打擊。
2電子商務(wù)中的主要安全技術(shù)
2.1電子商務(wù)的安全技術(shù)
互聯(lián)網(wǎng)已經(jīng)日漸融入到人類社會的各個方面中,網(wǎng)絡(luò)防護與網(wǎng)絡(luò)攻擊之間的斗爭也將更加激烈,這就對安全技術(shù)提出了更高的要求。安全技術(shù)是電子商務(wù)安全體系中的基本策略,是伴隨著安全問題的誕生而出現(xiàn)的,安全技術(shù)極大地從不同層次加強了計算機網(wǎng)絡(luò)的整體安全性。要加強電子商務(wù)的安全,需要企業(yè)本身采取更為嚴格的管理措施,需要國家建立健全法律制度,更需要有科學的先進的安全技術(shù)。安全問題是電子商務(wù)發(fā)展的核心和關(guān)鍵問題,安全技術(shù)是解決安全問題保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素。
2.2計算機網(wǎng)絡(luò)安全技術(shù)
目前,常用的計算機網(wǎng)絡(luò)安全技術(shù)主要有病毒防范技術(shù)、身份認證技術(shù)、防火墻技術(shù)和虛擬專用網(wǎng)VPN技術(shù)等。
(1)病毒是一種惡意的計算機程序,它可分為引導區(qū)病毒、可執(zhí)行病毒、宏病毒和郵件病毒等,不同的病毒的危害性也不一樣。為了防范病毒,可以采用以下的措施:
①安裝防病毒軟件,加強內(nèi)部網(wǎng)的整體防病毒措施;
②加強數(shù)據(jù)備份和恢復措施;
③對敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施等。
(2)身份識別技術(shù)是計算機網(wǎng)絡(luò)安全技術(shù)的重要組成部分之一。它的目的是證實被認證對象是否屬實和是否有效。其基本思想是通過驗證被認證對象的屬性來達到確認被認證對象是否真實有效的目的。被認證對象的屬性可以是口令、問題解答或者像指紋、聲音等生理特征,常用的身份認證技術(shù)有口令、標記法和生物特征法。
(3)防火墻是一種將內(nèi)部網(wǎng)和公眾網(wǎng)如Internet分開的方法,它能限制被保護的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間,或者與其他網(wǎng)絡(luò)之間進行的信息存取、傳遞操作。防火墻可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口,能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。它是電子商務(wù)的最常用的設(shè)備。
(4)虛擬專用網(wǎng)是用于Internet電子交易的一種專用網(wǎng)絡(luò),它可以在兩個系統(tǒng)之間建立安全的通道,非常適合于電子數(shù)據(jù)交換(EDI)。在虛擬專用網(wǎng)中交易雙方比較熟悉,而且彼此之間的數(shù)據(jù)通信量很大。只要交易雙方取得一致,在虛擬專用網(wǎng)中就可以使用比較復雜的專用加密和認證技術(shù),這樣就可以大大提高電子商務(wù)的安全性。VPN可以支持數(shù)據(jù)、語音及圖像業(yè)務(wù),其優(yōu)點是經(jīng)濟、便于管理、方便快捷地適應(yīng)變化,但也存在安全性低,容易受到攻擊等問題。
2.3商務(wù)交易安全技術(shù)
(1)加密技術(shù)是電子商務(wù)安全的一項基本技術(shù),它是認證技術(shù)的基礎(chǔ)。
采用加密技術(shù)對信息進行加密,是最常見的安全手段。加密技術(shù)是一種主動的信息安全防范措施,其原理是利用一定的加密算法,將明文轉(zhuǎn)換成為無意義的密文,阻止非法用戶理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性。目前,在電子商務(wù)中,獲得廣泛應(yīng)用的兩種加密技術(shù)是對稱密鑰加密體制(私鑰加密體制)和非對稱密鑰加密體制(公鑰加密體制)。它們的主要區(qū)別在于所使用的加密和解密的密碼是否相同。
(2)安全認證技術(shù)主要有數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字時間戳、數(shù)字證書等。
①數(shù)字摘要。
數(shù)字摘要是采用單向Hash函數(shù)對文件中若干重要元素進行某種變換運算得到固定長度的摘要碼(數(shù)字指紋FingerPrint),并在傳輸信息時將之加入文件一同送給接收方,接收方收到文件后,用相同的方法進行變換運算,若得到的結(jié)果與發(fā)送來的摘要碼相同,則可斷定文件未被篡改,反之亦然。
②數(shù)字信封。
數(shù)字信封是用加密技術(shù)來保證只有規(guī)定的特定收信人才能閱讀信的內(nèi)容。在數(shù)字信封中,信息發(fā)送方采用對稱密鑰來加密信息,然后將此對稱密鑰用接收方的公開密鑰來加密(這部分稱為數(shù)字信封)之后,將它和信息一起發(fā)送給接收方,接收方先用相應(yīng)的私有密鑰打開數(shù)字信封,得到對稱密鑰,然后使用對稱密鑰解開信息。這種技術(shù)的安全性相當高。
③數(shù)字簽名。
把HASH函數(shù)和公鑰算法結(jié)合起來,可以在提供數(shù)據(jù)完整性的同時,也可以保證數(shù)據(jù)的真實性。完整性保證傳輸?shù)臄?shù)據(jù)沒有被修改,而真實性則保證是由確定的合法者產(chǎn)生的HASH,而不是由其他人假冒。而把這兩種機制結(jié)合起來就可以產(chǎn)生所謂的數(shù)字簽名(DigitalSignature)。
④數(shù)字時間戳。
交易文件中,時間是十分重要的信息。在書面合同中,文件簽署的日期和簽名一樣均是十分重要的,是防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。而在電子交易中,同樣需對交易文件的日期和時間信息采取安全措施,而數(shù)字時間戳服務(wù)(DTS-DigitalTime-stampService)就能提供電子文件發(fā)表時間的安全保護。數(shù)字時間戳服務(wù)(DTS)是網(wǎng)絡(luò)安全服務(wù)項目,由專門的機構(gòu)提供。
⑤數(shù)字證書。
在交易支付過程中,參與各方必須利用認證中心簽發(fā)的數(shù)字證書來證明各自的身份。所謂數(shù)字證書,就是用電子手段來證實一個用戶的身份及用戶對網(wǎng)絡(luò)資源的訪問權(quán)限。在網(wǎng)上電子交易中,如果雙方出示了各自的數(shù)字證書,并用它來進行交易操作,那么雙方都可不必為對方身份的真?zhèn)螕摹?/p>
3電子商務(wù)的安全性策略
3.1電子商務(wù)安全技術(shù)保障策略
安全技術(shù)保障技術(shù)是電子商務(wù)安全體系中的基本策略,目前相關(guān)的信息安全技術(shù)與專門的電子商務(wù)安全技術(shù)研究比較普遍和成熟。電子商務(wù)中常用到的安全技術(shù)有:密碼技術(shù),身份驗證技術(shù),訪問控制技術(shù),防火墻技術(shù)。
3.2企業(yè)電子商務(wù)安全運營管理制度保障策略
企業(yè)電子商務(wù)安全運營管理制度是用文字的形式對各項安全要求所做的規(guī)定,是保證企業(yè)取得電子商務(wù)成功的基礎(chǔ),是企業(yè)電子商務(wù)人員工作的規(guī)范和準則。這些制度主要包括人員管理制度,保密制度,跟蹤審計制度,系統(tǒng)維護制度、數(shù)據(jù)備份制度等。
3.3電子商務(wù)立法策略
(1)立法目的。電子商務(wù)安全立法的目的主要是要消除電子商務(wù)發(fā)展的法律障礙;消除現(xiàn)有法律適用上的不確定性,保護合理的商業(yè)行為,保障電子交易安全;建立一個清晰的法律框架以統(tǒng)一調(diào)整電子商務(wù)的健康發(fā)展。
(2)立法范圍。電子商務(wù)安全方面需要的法律法規(guī)主要有:市場準入制度、合同有效認證辦法、電子支付系統(tǒng)安全措施、信息保密防范辦法,知識產(chǎn)權(quán)侵權(quán)處理規(guī)定、以及廣告的管制、網(wǎng)絡(luò)信息內(nèi)容過濾等;
(3)立法途徑。電子商務(wù)法律仍然是調(diào)整社會關(guān)系,所以應(yīng)當繼承傳統(tǒng)立法的合理內(nèi)核,尤其是基礎(chǔ)價值觀。具體的立法途徑主要是兩種:第一是制定新的法律規(guī)范。第二是修改或重新解釋既定的法律規(guī)范。
3.4政府監(jiān)督管理策略
電子商務(wù)本質(zhì)是一種市場運作模式,市場的正常健康有序地發(fā)展,必須有政府宏觀上的監(jiān)督與管理,以協(xié)調(diào)和規(guī)范各市場主體的行為,宏觀監(jiān)督與管理電子商務(wù)運行中的安全保障體系。政府監(jiān)督管理主要體現(xiàn)在:計算機信息系統(tǒng)安全管理,網(wǎng)絡(luò)廣告和網(wǎng)絡(luò)服務(wù)業(yè)管理,認證機構(gòu)管理,加強社會信用道德建設(shè)。
4電子商務(wù)安全中還需解決的問題
(1)沒有一種電子商務(wù)安全的完整解決方案和完整模型與體系結(jié)構(gòu)。
(2)盡管一些系統(tǒng)正在逐漸成為標準,但僅有很少幾個標準的應(yīng)用程序接口(APIA)。從協(xié)議間的通用API和網(wǎng)關(guān)是絕對需要的。
(3)大多數(shù)電子商務(wù)系統(tǒng)都是封閉式的,即它們使用獨有的技術(shù),僅支持一些特定的協(xié)議和機制。通常需要一個中央服務(wù)器作為所有參與者的可信第三方,有時還要求使用特定的服務(wù)器和瀏覽器。
(4)盡管大多數(shù)方案都使用了公鑰密碼,但多方安全受到的關(guān)注遠遠不夠。沒有建立一種解決爭議的決策程序。
(5)客戶的匿名性和隱私尚未得到充分的考慮。
參考文獻
[1]EricRescorla.著,崔凱譯.SSL與TLSDesigningandBuild-ingSecureSystems[M].北京:中國電力出版社,2002.
[2]ChristopherSteel,RameshNagappan,RayLai.著.安全模式(CoreSecurityPatterns)[M].北京:機械工業(yè)出版社,2006.
論文摘要:隨著商業(yè)銀行網(wǎng)上業(yè)務(wù)的不斷發(fā)展,電子商務(wù)安全風險管理策略成為理論與實踐中必須重視的課題。剖析現(xiàn)階段電子商務(wù)安全網(wǎng)風險策略的薄弱點,發(fā)展商業(yè)銀行電子商務(wù)安全風險管理策略,應(yīng)借鑒成熟的傳統(tǒng)金融風險度量中的一些方法改變電子商務(wù)安全管理對資產(chǎn)進行粗略的優(yōu)先級別排序,用系統(tǒng)管理思想構(gòu)建商業(yè)銀行電子商務(wù)安全管理框架,并將商務(wù)安全風險納入風險管理范疇。
商業(yè)銀行從事金融業(yè)務(wù)面臨著市場風險、信用風險、以及操作風險等,而電子商務(wù)的出現(xiàn)則加劇了上述各類風險發(fā)生的可能性以及風險發(fā)生之后的破壞程度。2004年以來,我國面臨的網(wǎng)絡(luò)仿冒威脅正在逐漸加大,仿冒對象主要是金融網(wǎng)站和電子商務(wù)網(wǎng)站。2005年上半年共收到網(wǎng)絡(luò)安全事件報告65679件,超過2004年全年案件數(shù),商業(yè)銀行電子商務(wù)安全風險管理策略已成為理論與實踐中必須重視的課題。
一、信息安全管理的歷史演進與現(xiàn)階段的特點
信息安全管理的策略大體遵循事件驅(qū)動(技術(shù)和管理脫節(jié))-逐漸標準化(技術(shù)和管理逐漸結(jié)合)——安全風險管理(引入了風險分析)的發(fā)展路徑。
(一)以事件驅(qū)動的初級階段時期
19世紀70年代安全主要是指物理設(shè)備和環(huán)境的安全,人與計算機之間的交互主要局限在大型計算機上的啞終端,安全問題只涉及能訪問終端的少數(shù)人。安全管理策略處于初級階段,由事件驅(qū)動,沒有形成規(guī)范的管理流程。在此階段的前期,只重視技術(shù)手段。后期開始重視管理手段,但是技術(shù)和管理之間脫節(jié)。許多組織對信息安全制定了相應(yīng)的規(guī)章和制度,但組織的信息安全管理基本上還處在一種靜態(tài)、局部、少數(shù)人負責、突擊式、事后糾正式的管理方式。
(二)標準化時期
企業(yè)開始將安全問題作為整體考慮,形成一套較為完整的安全管理策略,其中包括了安全管理的技術(shù)手段和管理制度(或稱運作管理)。幾乎所有從事電子商務(wù)的企業(yè)都擁有自己的安全策略,內(nèi)容也包括了技術(shù)手段、安全管理制度、人員安全教育等等,基本上形成體系,技術(shù)和管理手段綜合統(tǒng)一,但是安全風險分析還存在不足之處。
(三)安全風險管理策略時期
隨著電子商務(wù)安全管理發(fā)展到一個比較高的層次,安全管理策略也演進到安全風險管理階段。主要特點如下:
1.安全風險管理成為主流趨勢;在安全管理策略的演進過程中,技術(shù)和管理手段綜合統(tǒng)一、又融入了風險管理的分析、防范策略,從而安全管理進入了安全風險管理時期。西方商業(yè)銀行已對安全風險管理形成共識。如安氏公司(is—One),認為信息安全問題最終將歸結(jié)為風險管理問題,風險管理方法是建立良性的安全技術(shù)和管理體系的依據(jù)和基礎(chǔ)。
2.安全風險管理的國際標準和各國的規(guī)范逐漸形成并趨于完善。國際上關(guān)于安全風險管理的標準有巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務(wù)風險管理原則》、英國標準協(xié)會制訂的BS7799等。各國也日益重視安全風險管理,制定了許多規(guī)范。例如美國貨幣監(jiān)理署(OCC)的《電子銀行最終規(guī)則》、香港金融管理局的《電子銀行服務(wù)的安全風險管理》等。中國銀行業(yè)監(jiān)督管理委員也于2006年頒布了《電子銀行業(yè)務(wù)管理辦法》,對國內(nèi)企業(yè)的電子商務(wù)安全風險管理給出了指導意見。
3.利用外部專業(yè)化機構(gòu)對金融機構(gòu)的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術(shù)風險,在相當程度上取決于采用的信息技術(shù)的先進程度,系統(tǒng)的設(shè)計開發(fā)水平,以及相關(guān)設(shè)施設(shè)備及其供應(yīng)商的選擇等;銀行依靠傳統(tǒng)的風險管理機制已很難識別、監(jiān)測、控制和管理相關(guān)風險。同樣,監(jiān)管機構(gòu)也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監(jiān)控。因此,大部分國家都采用了依靠外部專業(yè)化機構(gòu)定期對電子銀行安全性進行評估的辦法,加強對電子銀行安全性和技術(shù)風險的管理和監(jiān)管。
4.在許多國家信息系統(tǒng)審計(Is Audit)作為一種信息技術(shù)服務(wù)被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務(wù)。業(yè)界的IT風險分析師也成為一種職業(yè),專門從事電子商務(wù)的安全風險工作,從經(jīng)濟學的角度出發(fā)分析風險,充分衡量保持安全的代價和收益之間的關(guān)系,尋求用最小的代價實現(xiàn)最大的效用,在風險分析中也形成一套較為成熟的模式。
二、我國商業(yè)銀行電子商務(wù)安全風險管理策略的薄弱點
(一)系統(tǒng)管理思想缺乏
目前的電子商務(wù)安全風險管理策略,在全局上缺乏系統(tǒng)論理論的指導,在實際操作中受到多種多樣的安全攻擊時會不可避免地出現(xiàn)安全漏洞,無法形成一張全面有序的安全網(wǎng)絡(luò)。
實踐中被采用的安全風險管理策略,以及作為指導意見的規(guī)則規(guī)范,如《信息安全管理實務(wù)準則》(IS017799)、《信息技術(shù)安全性評估準則》(GB/T18336.1)、巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務(wù)風險管理原則》,盡管提出了比較全面的安全風險管理方案,層次上也比較清晰,但是還不足以作為一個風險防范系統(tǒng)。實踐中,電子商務(wù)組織是一個復雜的系統(tǒng)組織,電子商務(wù)的安全風險管理體系和過程也是個復雜的系統(tǒng)。系統(tǒng)論、控制論的思想在電子商務(wù)安全風險管理中是不可或缺的。
(二)風險分析的模型與方法不成熟,定量分析不足
電子商務(wù)模式自身的發(fā)展歷史也不過20幾年,在風險分析的定量技術(shù)上并不成熟;如BS7799中推薦的電子商務(wù)安全風險管理中實施風險評估時,往往將威脅發(fā)生的可能性定性劃分為幾個級別,將威脅所造成的影響也定性劃分為1~5級,實質(zhì)上是將一些按照概率發(fā)生的事件定義為不連續(xù)的幾個級別,在操作上易行,但造成了度量的不精確。在進行監(jiān)控和審計之后,也存在無法量化、對比的問題。
(三)忽視與原有的傳統(tǒng)風險管理策略的結(jié)合
本質(zhì)上,電子商務(wù)的安全風險無非是新興的商業(yè)模式對傳統(tǒng)的風險的改變,以及產(chǎn)生的在傳統(tǒng)風險控制領(lǐng)域暫時無法明晰的新風險;現(xiàn)有管理策略只從信息技術(shù)的角度、或者從偏重技術(shù)的角度看待問題,站在金融領(lǐng)域本身來分析研究較少。這種狀況導致了對電子商務(wù)安全風險管理的研究無法立足于一個比較高的層次;忽略了風險的整體性,只進行偏信息和技術(shù)的研究,導致了現(xiàn)有的電子商務(wù)安全風險管理策略與金融機構(gòu)原有的傳統(tǒng)業(yè)務(wù)風險管理策略存在差距。對于商業(yè)銀行而言,傳統(tǒng)金融業(yè)務(wù)的風險控制與電子商務(wù)的技術(shù)風險控制,兩個方面存在脫節(jié),同樣屬于商業(yè)銀行的風險,存在著不同的管理策略,導致多頭管理、資源浪費、機構(gòu)之間的扯皮,乃至缺位管理。
(四)風險管理策略無法依賴外部的信息安全管理行業(yè)
在發(fā)達國家,信息系統(tǒng)審計(Is Audit)作為一種信息技術(shù)服務(wù)被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務(wù)。IT風險分析師也成為一種職業(yè),專門從事電子商務(wù)的安全風險工作。商業(yè)銀行采用依靠外部專業(yè)化機構(gòu)定期對電子銀行的安全性進行評估的辦法,提高對電子銀行安全性和技術(shù)風險的管理和監(jiān)管。而國內(nèi)初步建立了國家信息安全組織保障體系,制定和引進了一批重要的信息安全管理標準、法律法規(guī),風險評估工作得到了一定重視,但與發(fā)達國家成熟完善的外部信息安全管理行業(yè)仍有很大差距。
(五)風險管理策略中商業(yè)銀行的內(nèi)部風險控制能力薄弱
我國商業(yè)銀行目前均建立起統(tǒng)一的風險管理部門;但風險控制部門的職能、權(quán)限與花旗銀行等體制較為先進的銀行相比仍然存在較大差距,風險控制實質(zhì)上仍然分散在各個子部門;風險的評估、防范與控制實質(zhì)上完全依靠商業(yè)銀行的電子交易部門;風險管理部門、內(nèi)審稽核部門實質(zhì)上無法控制電子商務(wù)安全風險。例如,風險管理部門接受了電子交易部的風險控制報告,表面上履行的內(nèi)控審核的流程,但審核作用有限,無法完成電子商務(wù)安全風險管理中的監(jiān)控與審計環(huán)節(jié)。
三、商業(yè)銀行的電子商務(wù)安全風險管理策略的改進建議
(一)基于系統(tǒng)的思想構(gòu)建商業(yè)銀行電子商務(wù)安全風險管理策略框架
利用系統(tǒng)理論作為總體的指導思想,將電子商務(wù)安全風險管理策略本身當作一個開放的自適應(yīng)系統(tǒng)。將商業(yè)銀行電子商務(wù)安全風險管理中的各個環(huán)節(jié)組成循環(huán)上升的系統(tǒng)。
在商業(yè)銀行電子商務(wù)安全風險控制的流程中,經(jīng)過信息安全的風險評估、資產(chǎn)識別和選擇、實施控制降低風險的措施、將風險控制在可接受的范圍內(nèi),然后進行監(jiān)控和審計;尤其重要的是把監(jiān)控和審計所得到的內(nèi)容作為新一輪風險分析輸入,從而開始新一輪的風險管理過程。商業(yè)銀行電子商務(wù)安全風險管理的各個步驟為動態(tài)的循環(huán)系統(tǒng)。每完成一個循環(huán),安全風險管理的有效性就上一個臺階,商業(yè)銀行的安全管理水平變得到了提高。
(二)電子商務(wù)安全風險管理中定量分析中的改進思路
商業(yè)銀行可以借鑒成熟的傳統(tǒng)金融風險度量中的一些方法來改變電子商務(wù)安全風險管理中對資產(chǎn)進行粗略的優(yōu)先級別排序的方法。實踐中,商業(yè)銀行對操作風險的管理與對電子商務(wù)安全風險管理有其相似之處。巴塞爾委員會對商業(yè)銀行的操作風險的內(nèi)部計量法中規(guī)定,商業(yè)銀行內(nèi)部估計風險敞口指標、損失事件發(fā)生的概率、風險損失,巴塞爾委員會制定資本要求的轉(zhuǎn)換系數(shù);在度量損失的分布時,主要利用統(tǒng)計和精算技術(shù)。商業(yè)銀行應(yīng)通過數(shù)據(jù)庫將威脅發(fā)生的頻率、威脅所造成的影響等精確記錄下來,利用現(xiàn)有的度量方法進行精確的風險定量分析的嘗試。
(三)將商業(yè)銀行電子商務(wù)安全風險納入商業(yè)銀行總體風險管理范疇
關(guān)鍵詞:商業(yè)銀行;電子商務(wù);風險管理
商業(yè)銀行從事金融業(yè)務(wù)面臨著市場風險、信用風險、以及操作風險等,而電子商務(wù)的出現(xiàn)則加劇了上述各類風險發(fā)生的可能性以及風險發(fā)生之后的破壞程度。2004年以來,我國面臨的網(wǎng)絡(luò)仿冒威脅正在逐漸加大,仿冒對象主要是金融網(wǎng)站和電子商務(wù)網(wǎng)站。2005年上半年共收到網(wǎng)絡(luò)安全事件報告65679件,超過2004年全年案件數(shù),商業(yè)銀行電子商務(wù)安全風險管理策略已成為理論與實踐中必須重視的課題。
一、信息安全管理的策略大體遵循事件驅(qū)動(技術(shù)和管理脫節(jié))-逐漸標準化(技術(shù)和管理逐漸結(jié)合)——安全風險管理(引入了風險分析)的發(fā)展路徑。
(一)以事件驅(qū)動的初級階段時期
19世紀70年代安全主要是指物理設(shè)備和環(huán)境的安全,人與計算機之間的交互主要局限在大型計算機上的啞終端,安全問題只涉及能訪問終端的少數(shù)人。安全管理策略處于初級階段,由事件驅(qū)動,沒有形成規(guī)范的管理流程。在此階段的前期,只重視技術(shù)手段。后期開始重視管理手段,但是技術(shù)和管理之間脫節(jié)。許多組織對信息安全制定了相應(yīng)的規(guī)章和制度,但組織的信息安全管理基本上還處在一種靜態(tài)、局部、少數(shù)人負責、突擊式、事后糾正式的管理方式。
(二)標準化時期
企業(yè)開始將安全問題作為整體考慮,形成一套較為完整的安全管理策略,其中包括了安全管理的技術(shù)手段和管理制度(或稱運作管理)。幾乎所有從事電子商務(wù)的企業(yè)都擁有自己的安全策略,內(nèi)容也包括了技術(shù)手段、安全管理制度、人員安全教育等等,基本上形成體系,技術(shù)和管理手段綜合統(tǒng)一,但是安全風險分析還存在不足之處。
(三)安全風險管理策略時期
隨著電子商務(wù)安全管理發(fā)展到一個比較高的層次,安全管理策略也演進到安全風險管理階段。主要特點如下:
1.安全風險管理成為主流趨勢;在安全管理策略的演進過程中,技術(shù)和管理手段綜合統(tǒng)
一、又融入了風險管理的分析、防范策略,從而安全管理進入了安全風險管理時期。西方商業(yè)銀行已對安全風險管理形成共識。如安氏公司(is—One),認為信息安全問題最終將歸結(jié)為風險管理問題,風險管理方法是建立良性的安全技術(shù)和管理體系的依據(jù)和基礎(chǔ)。
2.安全風險管理的國際標準和各國的規(guī)范逐漸形成并趨于完善。國際上關(guān)于安全風險管理的標準有巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務(wù)風險管理原則》、英國標準協(xié)會制訂的BS7799等。各國也日益重視安全風險管理,制定了許多規(guī)范。例如美國貨幣監(jiān)理署(OCC)的《電子銀行最終規(guī)則》、香港金融管理局的《電子銀行服務(wù)的安全風險管理》等。中國銀行業(yè)監(jiān)督管理委員也于2006年頒布了《電子銀行業(yè)務(wù)管理辦法》,對國內(nèi)企業(yè)的電子商務(wù)安全風險管理給出了指導意見。
3.利用外部專業(yè)化機構(gòu)對金融機構(gòu)的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術(shù)風險,在相當程度上取決于采用的信息技術(shù)的先進程度,系統(tǒng)的設(shè)計開發(fā)水平,以及相關(guān)設(shè)施設(shè)備及其供應(yīng)商的選擇等;銀行依靠傳統(tǒng)的風險管理機制已很難識別、監(jiān)測、控制和管理相關(guān)風險。同樣,監(jiān)管機構(gòu)也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監(jiān)控。因此,大部分國家都采用了依靠外部專業(yè)化機構(gòu)定期對電子銀行安全性進行評估的辦法,加強對電子銀行安全性和技術(shù)風險的管理和監(jiān)管。
4.在許多國家信息系統(tǒng)審計(IsAudit)作為一種信息技術(shù)服務(wù)被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務(wù)。業(yè)界的IT風險分析師也成為一種職業(yè),專門從事電子商務(wù)的安全風險工作,從經(jīng)濟學的角度出發(fā)分析風險,充分衡量保持安全的代價和收益之間的關(guān)系,尋求用最小的代價實現(xiàn)最大的效用,在風險分析中也形成一套較為成熟的模式。
二、我國商業(yè)銀行電子商務(wù)安全風險管理策略的薄弱點
(一)系統(tǒng)管理思想缺乏
目前的電子商務(wù)安全風險管理策略,在全局上缺乏系統(tǒng)論理論的指導,在實際操作中受到多種多樣的安全攻擊時會不可避免地出現(xiàn)安全漏洞,無法形成一張全面有序的安全網(wǎng)絡(luò)。
實踐中被采用的安全風險管理策略,以及作為指導意見的規(guī)則規(guī)范,如《信息安全管理實務(wù)準則》(IS017799)、《信息技術(shù)安全性評估準則》(GB/T18336.1)、巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務(wù)風險管理原則》,盡管提出了比較全面的安全風險管理方案,層次上也比較清晰,但是還不足以作為一個風險防范系統(tǒng)。實踐中,電子商務(wù)組織是一個復雜的系統(tǒng)組織,電子商務(wù)的安全風險管理體系和過程也是個復雜的系統(tǒng)。系統(tǒng)論、控制論的思想在電子商務(wù)安全風險管理中是不可或缺的。
(二)風險分析的模型與方法不成熟,定量分析不足
電子商務(wù)模式自身的發(fā)展歷史也不過20幾年,在風險分析的定量技術(shù)上并不成熟;如BS7799中推薦的電子商務(wù)安全風險管理中實施風險評估時,往往將威脅發(fā)生的可能性定性劃分為幾個級別,將威脅所造成的影響也定性劃分為1~5級,實質(zhì)上是將一些按照概率發(fā)生的事件定義為不連續(xù)的幾個級別,在操作上易行,但造成了度量的不精確。在進行監(jiān)控和審計之后,也存在無法量化、對比的問題。
(三)忽視與原有的傳統(tǒng)風險管理策略的結(jié)合
本質(zhì)上,電子商務(wù)的安全風險無非是新興的商業(yè)模式對傳統(tǒng)的風險的改變,以及產(chǎn)生的在傳統(tǒng)風險控制領(lǐng)域暫時無法明晰的新風險;現(xiàn)有管理策略只從信息技術(shù)的角度、或者從偏重技術(shù)的角度看待問題,站在金融領(lǐng)域本身來分析研究較少。這種狀況導致了對電子商務(wù)安全風險管理的研究無法立足于一個比較高的層次;忽略了風險的整體性,只進行偏信息和技術(shù)的研究,導致了現(xiàn)有的電子商務(wù)安全風險管理策略與金融機構(gòu)原有的傳統(tǒng)業(yè)務(wù)風險管理策略存在差距。對于商業(yè)銀行而言,傳統(tǒng)金融業(yè)務(wù)的風險控制與電子商務(wù)的技術(shù)風險控制,兩個方面存在脫節(jié),同樣屬于商業(yè)銀行的風險,存在著不同的管理策略,導致多頭管理、資源浪費、機構(gòu)之間的扯皮,乃至缺位管理。
(四)風險管理策略無法依賴外部的信息安全管理行業(yè)
在發(fā)達國家,信息系統(tǒng)審計(IsAudit)作為一種信息技術(shù)服務(wù)被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務(wù)。IT風險分析師也成為一種職業(yè),專門從事電子商務(wù)的安全風險工作。商業(yè)銀行采用依靠外部專業(yè)化機構(gòu)定期對電子銀行的安全性進行評估的辦法,提高對電子銀行安全性和技術(shù)風險的管理和監(jiān)管。而國內(nèi)初步建立了國家信息安全組織保障體系,制定和引進了一批重要的信息安全管理標準、法律法規(guī),風險評估工作得到了一定重視,但與發(fā)達國家成熟完善的外部信息安全管理行業(yè)仍有很大差距。
(五)風險管理策略中商業(yè)銀行的內(nèi)部風險控制能力薄弱
我國商業(yè)銀行目前均建立起統(tǒng)一的風險管理部門;但風險控制部門的職能、權(quán)限與花旗銀行等體制較為先進的銀行相比仍然存在較大差距,風險控制實質(zhì)上仍然分散在各個子部門;風險的評估、防范與控制實質(zhì)上完全依靠商業(yè)銀行的電子交易部門;風險管理部門、內(nèi)審稽核部門實質(zhì)上無法控制電子商務(wù)安全風險。例如,風險管理部門接受了電子交易部的風險控制報告,表面上履行的內(nèi)控審核的流程,但審核作用有限,無法完成電子商務(wù)安全風險管理中的監(jiān)控與審計環(huán)節(jié)。
三、商業(yè)銀行的電子商務(wù)安全風險管理策略的改進建議
(一)基于系統(tǒng)的思想構(gòu)建商業(yè)銀行電子商務(wù)安全風險管理策略框架
利用系統(tǒng)理論作為總體的指導思想,將電子商務(wù)安全風險管理策略本身當作一個開放的自適應(yīng)系統(tǒng)。將商業(yè)銀行電子商務(wù)安全風險管理中的各個環(huán)節(jié)組成循環(huán)上升的系統(tǒng)。
在商業(yè)銀行電子商務(wù)安全風險控制的流程中,經(jīng)過信息安全的風險評估、資產(chǎn)識別和選擇、實施控制降低風險的措施、將風險控制在可接受的范圍內(nèi),然后進行監(jiān)控和審計;尤其重要的是把監(jiān)控和審計所得到的內(nèi)容作為新一輪風險分析輸入,從而開始新一輪的風險管理過程。商業(yè)銀行電子商務(wù)安全風險管理的各個步驟為動態(tài)的循環(huán)系統(tǒng)。每完成一個循環(huán),安全風險管理的有效性就上一個臺階,商業(yè)銀行的安全管理水平變得到了提高。新晨
(二)電子商務(wù)安全風險管理中定量分析中的改進思路
商業(yè)銀行可以借鑒成熟的傳統(tǒng)金融風險度量中的一些方法來改變電子商務(wù)安全風險管理中對資產(chǎn)進行粗略的優(yōu)先級別排序的方法。實踐中,商業(yè)銀行對操作風險的管理與對電子商務(wù)安全風險管理有其相似之處。巴塞爾委員會對商業(yè)銀行的操作風險的內(nèi)部計量法中規(guī)定,商業(yè)銀行內(nèi)部估計風險敞口指標、損失事件發(fā)生的概率、風險損失,巴塞爾委員會制定資本要求的轉(zhuǎn)換系數(shù);在度量損失的分布時,主要利用統(tǒng)計和精算技術(shù)。商業(yè)銀行應(yīng)通過數(shù)據(jù)庫將威脅發(fā)生的頻率、威脅所造成的影響等精確記錄下來,利用現(xiàn)有的度量方法進行精確的風險定量分析的嘗試。
(三)將商業(yè)銀行電子商務(wù)安全風險納入商業(yè)銀行總體風險管理范疇
一、電子商務(wù)出現(xiàn)安全問題的原因
電子商務(wù)出現(xiàn)安全問題的原因是多方面,主要有以下幾種:
1、企業(yè)管理缺乏對于人員管理的認識。
如今,很多企業(yè)都認為電子商務(wù)僅僅在于技術(shù)而非人員管理,因此,企業(yè)在管理當中也會自覺地把電子商務(wù)當做一項技術(shù)來研究管理,缺乏對于企業(yè)內(nèi)?a href="xuexila.com/yangsheng/kesou/" target="_blank">咳嗽鋇南低徹芾恚皇墻屑際豕タ死唇邪踩喙堋R虼耍壞┢笠搗⑸宋薹植溝木盟鶚保39討吹娜銜羌際醪還厝塹幕觶斐賞環(huán)⑹錄搗ⅰD殼埃詮芾淼敝忻揮幸桓魷嘍醞暾耐綣芾硐低癡饈悄贛怪靡傻模環(huán)⑹錄媸倍伎贍艽嬖冢虼耍踩芾?a href="xuexila.com/fanwen/cuoshi/" target="_blank">措施就必須要管理到電子商務(wù)的每一個角落和環(huán)節(jié)當中,只有是人與與技術(shù)相結(jié)合,才能夠保證電子商務(wù)安全的進行下去。
2、企業(yè)規(guī)劃當中沒有詳細的考慮信息安全問題
在電子商務(wù)安全的管理當中,并不是僅僅依靠一個部分或幾個部門,而是整個企業(yè)的所有部門來維護和監(jiān)管,雖然,各部門在職能的分工上各有不同,各有優(yōu)勢也存在差異,但是信息安全是每個部門都必須要重視的事情。信息安全保障體系必須是各部門整體的協(xié)調(diào)統(tǒng)一,才能夠確保信息安全體系的有效管理。
3、企業(yè)缺乏相應(yīng)的安全管理人力
企業(yè)在進行信息安全管理當中,很容易忽視對于信息安全管理的物質(zhì)基礎(chǔ),在信息管理當中人才是保障信息安全的重中之重,信息安全是一項技術(shù)性活,假如缺乏業(yè)務(wù)能力強并且具備信息安全網(wǎng)絡(luò)知識、技術(shù)、法律知識和管理能力的人才,就不可能把安全管理做好,電子商務(wù)安全管理就沒有保障,容易導致信息的丟失和安全的缺乏。
4、企業(yè)對人員關(guān)于信息安全的宣傳不到位
很多企業(yè)度忽視對于內(nèi)部工作人員的信息安全的培訓,這樣就容易導致內(nèi)部人員的信息安全意識薄弱,等不到企業(yè)安全管理的目的,因此就可能導致安全事故的發(fā)生,如今絕大部分的安全信息泄密事件都是由于參與網(wǎng)絡(luò)交易的人員信息安全意識的缺乏而發(fā)生的,這就是企業(yè)在安全管理上的疏忽造成經(jīng)濟的損失。
二、電子商務(wù)安全管理體制的建議
網(wǎng)上交易安全管理必須采用較為綜合的管理思路,從技術(shù)考慮確保技術(shù)能夠跟得上時代的潮流,加強安全監(jiān)管建立合法的管理制度,杜絕信息的泄密,對交易安全進行實時監(jiān)控等等手段來保障安全,因此本文提出電子商務(wù)安全管理建議如下:
1、企業(yè)需提高網(wǎng)絡(luò)安全防范的意識
目前,很多國內(nèi)的網(wǎng)站都存在網(wǎng)絡(luò)上的安全問題,主要是管理者沒有重視安全的監(jiān)管,甚至一些企業(yè)認為自己的公司規(guī)模小不具備安全管理的經(jīng)驗甚至是不需要進行安全的管理,因為不會成為黑客攻擊的目標,這樣的安全監(jiān)管就無從談起。因此,不管是大企業(yè)還是小企業(yè)都需要樹立其安全管理的意識,定期舉辦安全信息培訓,只有是提高網(wǎng)絡(luò)安全的防范意識才能夠避免信息泄露的事故發(fā)生。
2、加強電子商務(wù)安全管理組織上的體系
電子商務(wù)安全管理最主要的是組織上需要更加的完善,因此需要建立行政指揮領(lǐng)導、技術(shù)人才管理、信息安全監(jiān)管以及安全顧問等等的安全決策,而他們的職責是建立相對完整的組織機構(gòu),組織安全策略、分配安全職責并且定期檢查安全職責是否按時旅行等等。不僅如此,企業(yè)還需要建立起網(wǎng)絡(luò)安全員、管理員等等的安全執(zhí)行機構(gòu),能夠負責網(wǎng)絡(luò)系統(tǒng)的安全策略和日常的安全運行維護檢查等。而安全顧問也必不可少,可以聘請安全專家負責提供安全的建議,尤其是在突發(fā)事故發(fā)生后,安全顧問就顯得特別重要,可以被安全決策機構(gòu)負責事故的調(diào)查并且能夠提出相對合理的評估意見與建議等。
3、加強人員的安全管理意識
在網(wǎng)絡(luò)交易的時候大部分都是內(nèi)部人員參與網(wǎng)絡(luò)交易,因此,他們更容易進行網(wǎng)絡(luò)犯罪,而他們在違法過程中比其他的違法人員具有更大的隱蔽性和高效性。因而企業(yè)需要加強人員的監(jiān)管,可以先從人員的錄用上進行人員的甄選,在人員的錄用過程當中要簽署保密協(xié)議,當人員到期或者合同終止時也需要簽署保密協(xié)議。其次還可以對內(nèi)部人員進行在崗培訓,建立起人員的安全意識,定期組織安全策略練習和規(guī)程方面的操作等。第三,還可以讓企業(yè)人員明確本崗位的安全政策和職責,對違反網(wǎng)絡(luò)交易的人員要進行相應(yīng)的處罰,情節(jié)嚴重時可讓其承擔法律責任。[1]
4、企業(yè)需加強法律意識,并促進電子商務(wù)有法可依
如今,電子商務(wù)的發(fā)展越來越快速,企業(yè)也從電子商務(wù)的交易上獲得了巨大的經(jīng)濟效益,但是在目前來看,我國卻沒有電子商務(wù)相對應(yīng)的法律依據(jù),這樣容易使得部分犯罪人員得不到相應(yīng)的處罰,當然,我國也在電子商務(wù)的立法上逐漸的完善,但是到雖然在電子商務(wù)上信息安全取得了一些成績,卻總體來說法律依舊還是不健全的,對于電子商務(wù)的安全保護依舊是缺少,專門的法律還是比較的分散,并且法律的效率依舊還是不高,面對這樣的新型情況的突發(fā),還是缺乏有力性和有效性,適應(yīng)性相對較弱,因此,國家的對于電子商務(wù)的專門立法需要各個企業(yè)和國家的有關(guān)部門不斷地摸索,才能夠讓電子商務(wù)的立法環(huán)境得到良好的發(fā)展。[2]
三、結(jié)論
【論文摘要】計算機網(wǎng)絡(luò)的技術(shù)發(fā)展相當迅速。隨著互聯(lián)網(wǎng)上黑客病毒泛溢,網(wǎng)絡(luò)犯罪等威脅日益嚴重,網(wǎng)絡(luò)安全管理的任務(wù)將會越來越艱巨和復雜,抓好網(wǎng)絡(luò)安全問題對保障網(wǎng)絡(luò)信息安全至關(guān)重要。因此文章對電子商務(wù)網(wǎng)絡(luò)支付安全問題進行探討分析。
0引言
美國等發(fā)達國家,通過Internet進行電子商務(wù)的交易已成為潮流。隨著internet的發(fā)展和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的不斷完善,我國的電子商務(wù)雖已初具規(guī)模,但是安全問題卻成為發(fā)展電子商務(wù)亟待解決的問題。電子商務(wù)過程中,買賣雙方是通過網(wǎng)絡(luò)聯(lián)系的,由于internet是開放性網(wǎng)絡(luò),建立交易雙方的安全和信任關(guān)系較為困難,因此本文對電子商務(wù)網(wǎng)絡(luò)支付上的安全問題進行探討分析。
1電子商務(wù)的概念和特點
1)電子商務(wù)的概念:電子商務(wù)(Electronic Commerce)是通過電信網(wǎng)絡(luò)進行的生產(chǎn)、營銷、銷售、流通等活動,不僅是指基于因特網(wǎng)上的交易,而且還指利用電子信息技術(shù)實現(xiàn)解決問題、降低成本、增加價值、創(chuàng)造商機的商務(wù)活動[1]。
2)電子商務(wù)的特點:(1)電子商務(wù)將傳統(tǒng)的商務(wù)流程電子化、數(shù)字化。不僅以電子流代替了實物流,大量減少了人力物力,降低了成本;而且突破了時間空間的限制,使得交易活動可在任何時間、任何地點進行,大大提高了效率。(2)電子商務(wù)使企業(yè)能以較低成本進入全球電子化市場,也使中小企業(yè)可能擁有與大企業(yè)一樣的信息資源,提高了中小企業(yè)的競爭能力。(3)電子商務(wù)重新定義了傳統(tǒng)的流通模式,減少了中間環(huán)節(jié),使得生產(chǎn)者和消費者的直接交易成為可能,從而一定程度上改變了社會經(jīng)濟的運行方式。(4)電子商務(wù)提供了豐富的信息資源,為社會經(jīng)濟要素的重新組合提供了更多的可能,這將影響到社會的經(jīng)濟布局和結(jié)構(gòu)。
2電子商務(wù)安全的技術(shù)體系
1)物理安全。首先根據(jù)國家標準、信息安全等級和資金狀況,制定適合的物理安全要求,并經(jīng)建設(shè)和管理達到相關(guān)標準[2]。再者,關(guān)鍵的系統(tǒng)資源(包括主機、應(yīng)用服務(wù)器、安全隔離網(wǎng)閘GAP等設(shè)備),通信電路以及物理介質(zhì)(軟/硬磁盤、光盤、IC卡、PC卡等)、應(yīng)有加密、電磁屏蔽等保護措施,均應(yīng)放在物理上安全的地方。
2)網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易順利進行,要求電子商務(wù)平臺要穩(wěn)定可靠,能夠不中斷地提供服務(wù)。系統(tǒng)的任何中斷(如硬件、軟件錯誤,網(wǎng)絡(luò)故障、病毒等)都可能導致電子商務(wù)系統(tǒng)不能正常工作,而使貿(mào)易數(shù)據(jù)在確定的時刻和地點的有效性得不到保證,往往會造成巨大的經(jīng)濟損失。
3)商務(wù)安全。主要是指商務(wù)交易在網(wǎng)絡(luò)媒介中出現(xiàn)的安全問題,包括防止商務(wù)信息被竊取、篡改、偽造、交易行為被抵賴,即要實現(xiàn)電子商務(wù)的保密性、完整性、真實性、不可抵賴性。商務(wù)安全的各方面也要通過不同的網(wǎng)絡(luò)安全技術(shù)和安全交易標準實現(xiàn),加解密技術(shù)保證了交易信息的保密性,也解決了用戶密碼被盜取的問題;數(shù)字簽名是實現(xiàn)對原始報文完整性的鑒別,它與身份認證和審查系統(tǒng)一起可杜絕交易的偽造和抵賴行為。保證電子商務(wù)安全的主要技術(shù)有:在線支付協(xié)議(安全套接層SSL協(xié)議和安全電子交易SET協(xié)議)、文件加密技術(shù)、數(shù)字簽名技術(shù)、電子商務(wù)認證中心(CA)。
4)系統(tǒng)安全。主要是保護主機上的操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng)的安全。對于保護系統(tǒng)安全,總體思路是:通過安全加固,解決管理方面安全漏洞;然后采用安全技術(shù)設(shè)備,增強其安全防護能力。
3安全管理過程監(jiān)督
3.1加強全過程的安全管理
1)網(wǎng)絡(luò)規(guī)劃階段,就要加強對信息安全建設(shè)和管理的規(guī)劃。信息安全建設(shè)需要投入一定的人力、物力、財力。要根據(jù)狀況實事求是地確定網(wǎng)絡(luò)的安全總體目標和階段目標、分段實施、降低投資風險。2)工程建設(shè)階段,建設(shè)管理單位要將安全需求的匯總和安全性能功能的測試,列入工程建設(shè)各個階段工作的重要內(nèi)容,要加強對開發(fā)(實施)人員、版本控制的管理,要加強對開發(fā)環(huán)境、用戶路由設(shè)置、關(guān)鍵代碼的檢查[3]。3)在運行維護階段,要注意以下事項:(1)建立有效的安全管理組織架構(gòu),明確職責,理順流程,實施高效管理。(2)按照分級管理原則,嚴格管理內(nèi)部用戶帳號和密碼,進入系統(tǒng)內(nèi)部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶帳號和密碼。(3)制定完善的安全管理制度,加強信息網(wǎng)的操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)運行維護過程的安全管理。(4)要建立應(yīng)急預察體系,建立網(wǎng)絡(luò)安全維護日志,記錄與安全性相關(guān)的信息及事件,有情況出現(xiàn)時便于跟蹤查詢,還要定期檢查日志,以便及時發(fā)現(xiàn)潛在的安全威脅。
3.2建立動態(tài)的閉環(huán)管理流程
網(wǎng)絡(luò)處于不斷地建設(shè)和調(diào)整中,可能發(fā)現(xiàn)新的安全漏洞,因此需要建立動態(tài)的、閉環(huán)的管理流程。要在整體安全策略的控制和指導下,通過安全評估和檢測工具(如漏洞掃描,入侵檢測等)及時了解網(wǎng)絡(luò)存在的安全問題和安全隱患,據(jù)此制定安全建設(shè)規(guī)劃和加固方案,綜合應(yīng)用各種安全防護產(chǎn)品(如防火墻、身份認證等手段),將系統(tǒng)調(diào)整到相對安全的狀態(tài)。并要注意以下兩點:1)對于一個企業(yè)而言,安全策略是支付信息安全的核心,因此制定明確的有效的安全策略是非常重要的。安全組織要根據(jù)這個策略制定詳細的流程、規(guī)章制度、標準和安全建設(shè)規(guī)劃、方案,保證這些系列策略規(guī)范在整個企業(yè)范圍內(nèi)貫徹實施,從而保護企業(yè)的投資和信息資源安全。2)要制定完善的、符合企業(yè)實際的信息安全策略,就須先對企業(yè)信息網(wǎng)的安全狀況進行評估,即對信息資產(chǎn)的安全技術(shù)和管理現(xiàn)狀進行評估,讓企業(yè)對自身面臨的安全威脅和問題有全面的了解,從而制定針對性的安全策略,指導信息安全的建設(shè)和管理工作。
4結(jié)束語
本文分析了目前電子商務(wù)網(wǎng)絡(luò)支付安全方面的主要技術(shù)狀況,安全技術(shù)可以說是網(wǎng)絡(luò)技術(shù)中較為尖端的技術(shù),都是非常先進的技術(shù)手段;只要運用得當,配合相應(yīng)的安全管理措施,基本能夠保證電子商務(wù)中網(wǎng)絡(luò)支付的安全;但不是100%的絕對安全,而是相對安全。隨著網(wǎng)絡(luò)安全技術(shù)的進步與信用機制的完善,網(wǎng)絡(luò)支付定會越來越安全。
參考文獻
[1]柯新生.網(wǎng)絡(luò)支付與結(jié)算[M].北京:電子工業(yè)出版社,2004.
電子信息安全管理防范意識管理質(zhì)量近些年來,我國計算機網(wǎng)絡(luò)技術(shù)異乎尋常地突飛猛進,把人們帶入了前所未有的信息化時代,網(wǎng)絡(luò)和人們息息相關(guān),無論工作、學習、生活、購物乃至娛樂與游戲,一刻也離不開網(wǎng)絡(luò)的支持。信息化和網(wǎng)絡(luò)化時代,電子商務(wù)(Electronic Commerce)應(yīng)運而生。隨著電子商務(wù)的出現(xiàn),人們的交流更加便利,比如電子郵件可以隨時隨地地進行傳遞,電子商務(wù)讓人們的生活更加隨心所欲,工作效率得到了前所未有的提高。黑客(hacker)的出現(xiàn),極大地干擾了網(wǎng)絡(luò),帶來了一定的破壞,給人們帶來了巨大的經(jīng)濟損失和精神方面的憂慮,甚至一度引起全世界范圍內(nèi)的恐慌,人們對電子信息失去了信任,即使在安全的情況下,很多人依然心有余悸。以故,加強電子信息安全管理勢在必然。
一、電子信息安全管理中存在的問題
1.安全防范意識落后
我國的信息技術(shù)迅猛發(fā)展,人們沉浸在便利的喜悅中,忽略了安全管理。由于電子商務(wù)處于初步發(fā)展階段,很多技術(shù)方面尚不成熟,一些高標準的電子商務(wù)平臺尚還沒有搭建起來,對黑客缺乏防御的小型電子商務(wù)平臺雖然隨處可見,但其缺乏有效的安全管理,經(jīng)營者麻痹大意,心存僥幸,認為“黑客”雖然存在,但是自身未必遭受攻擊,他們更多地關(guān)注業(yè)務(wù)的發(fā)展,重視平臺規(guī)模的擴大和系統(tǒng)功能的開發(fā)。在這種情況下,系統(tǒng)缺乏安全防御,一旦受到攻擊,立即癱瘓不能運轉(zhuǎn)和造成損失。此外,有些管理者為了防御黑客,在市場上購買了一些大眾化的安全管理軟件,便覺得安裝了這些“高新”產(chǎn)品,就會高枕無憂,永遠安全的使用電子商務(wù)。結(jié)果,常常事與愿違,造成巨大的損失。
2.信息安全技術(shù)匱乏
經(jīng)過一段時間的努力,國內(nèi)的信息安全管理技術(shù)不斷提升,連續(xù)邁上新的臺階,情況喜人。但是,我們也要有自知之明,因為和許多西方國家相比,信息安全防御與控制技術(shù)相對落后很多,并且,我們在經(jīng)費的投入方面,有明顯的差距;自主研發(fā)技術(shù)存在的不足之處多多,亟需改善。我們更要清楚的一點是:我們的技術(shù),很多都是借鑒國外的經(jīng)驗,缺乏獨創(chuàng)。如此步人后塵,電子信息安全管理質(zhì)量難以有質(zhì)的突破。
3.信息安全產(chǎn)品鑒定混亂無序
為了安全起見,很多企業(yè)花費不菲,購買了一些安全方面的軟件,殊不知,這些產(chǎn)品在一般情況下,確實能夠起到電子信息使用平臺的安全作用,但如果病毒強大,絕對的安全便難以保證。縱觀市場上的安全軟件產(chǎn)品,良莠不齊,并且,目前市場上對于安全產(chǎn)品的鑒定沒有統(tǒng)一標準,各執(zhí)一說,很多都是主觀判斷,由此產(chǎn)生隱患。
二、電子信息安全管理的有效措施
在電子信息安全管理方面,一旦出現(xiàn)問題,就會造成損失,一些企業(yè)“吃一塹長一智”,采取了相關(guān)措施,不過,調(diào)查表明,大多數(shù)企業(yè)存在“重技術(shù),輕管理”的情況,而且由于一些企業(yè)尚未造成重大損失,管理層對安全問題漠不關(guān)心,或重視不夠。下面針對加強電子信息安全管理的主要措施做一探討。
1.構(gòu)建完善的管理組織機構(gòu),加強管理
電子信息安全管理組織機構(gòu)的完善有力地促進了企業(yè)的發(fā)展,從安全決策到認真執(zhí)行,層層構(gòu)架,發(fā)揮職能。管理框架的構(gòu)建要集思廣益,審慎剴切;安全制度的審批須一絲不茍,審查入微;安全職責的分配必須認真到位,監(jiān)督有力;遵照網(wǎng)絡(luò)系統(tǒng)安全制度,嚴肅執(zhí)行,進行網(wǎng)絡(luò)系統(tǒng)的日常維護。如屬于大型的電子商務(wù)平臺或者集團企業(yè),更加需要增加投入,比如聘請有造詣的專家成立顧問組織,以便企業(yè)進行疑難咨詢,或是參照出現(xiàn)的問題出列解決方案,爾后進一步對責任進行調(diào)查、評估。
2.電子信息安全管理制度有待進一步完善
電子信息安全管理制度主要包括兩方面的內(nèi)容,第一點就是構(gòu)建電子信息控制制度,第二點是出現(xiàn)問題之后的解決策略。關(guān)于第一點,需要明確責任,注重細節(jié),出現(xiàn)任何情況都要嚴格審核,并且定期檢查;至于第二點,注意信息傳遞過程中的信息維護,密切跟蹤,及時報告,達到有效監(jiān)督。最后,備份數(shù)據(jù)文件儲存。
3.專業(yè)亟待提升
互聯(lián)網(wǎng)的發(fā)展突飛猛進,普及千家萬戶,安全技術(shù)的研發(fā)相對于互聯(lián)網(wǎng)的發(fā)展遠遠落后,原因諸多,最重要的一點就是缺乏過硬的技術(shù)人員。一般而言,電子商務(wù)規(guī)模越大,電子信息安全管理隊伍的陣容也要隨之擴充,只有電子信息安全管理隊伍強大,才能夠產(chǎn)生無窮的智慧與應(yīng)對措施,保證電子商務(wù)平臺的安全。
4.系統(tǒng)安全檢測
黑客一詞被用于泛指那些專門利用電腦網(wǎng)絡(luò)和系統(tǒng)安全漏洞對網(wǎng)絡(luò)進行攻擊破壞或竊取資料的人。病毒與黑客不斷變換手段,頻頻對電子商務(wù)系統(tǒng)采取攻擊行動,有時候能導致整個系統(tǒng)癱瘓。出現(xiàn)意外情況,要立即檢測,要經(jīng)常更換密碼,設(shè)置復雜一些的密碼,要經(jīng)常對防火墻進行檢查,系統(tǒng)功能是否保持,是否出現(xiàn)漏洞等,要細致入微,不能有一絲一毫的疏忽,嚴防黑客侵入。
5.建立保護系統(tǒng)的方案
時常進行安全檢測,一旦系統(tǒng)的安全檢測失靈,必須立即建立系統(tǒng)安全防護措施。系統(tǒng)安全管理極其復雜,缺乏安全可靠的保護,電子商務(wù)在網(wǎng)絡(luò)平臺失去有效的依靠,隨時會出現(xiàn)漏洞。反之,安全策略嚴謹,防護得力,即便系統(tǒng)遭受攻擊,也會及時發(fā)現(xiàn),能將損失最小化。
6.管理培訓的重要性
防護系統(tǒng)的工作人員,要進行考試錄用、上崗培訓,企業(yè)經(jīng)常進行人員培訓,定期學習安全策略和規(guī)章制度。讓每一個員工加強安全觀念,提升對信息安全的重視,認識到防護的重要性,堅守崗位,忠于職守,明了企業(yè)安全規(guī)章制度的含義。
三、結(jié)語
綜上所述,近年來經(jīng)濟騰飛,經(jīng)濟全球化進程不斷加快,計算機技術(shù)無所不在,網(wǎng)絡(luò)暢通無極,人們在網(wǎng)絡(luò)平臺上進行商務(wù)管理、學習、游戲、查找資料、購物匯款等等,網(wǎng)絡(luò)信息交互平臺已經(jīng)深入大家的生活,人們已經(jīng)一日不可沒有網(wǎng)絡(luò)的存在。網(wǎng)絡(luò)如此不可或缺,隨著計算機病毒造成的一次次的損失,人們對電子信息安全管理質(zhì)量憂心忡忡。
在這一背景下,很多電子信息安全管理研究機構(gòu)紛紛推出各類電子信息安全管理產(chǎn)品,盡管其對確保信息安全起到了一定的功效,但是,一切并不是萬能的。這也使得人們明白了技術(shù)產(chǎn)品并不僅僅是安全管理工作的全部。本文結(jié)合當前電子信息安全管理現(xiàn)狀,提出了一些相應(yīng)的應(yīng)對措施,希望能夠有效提升電子信息安全管理的質(zhì)量。
參考文獻:
[1]姚帝曉.電子商務(wù)安全問題的思考[J].商場現(xiàn)代化,2006,(7):103.
[關(guān)鍵詞] J2EE 電子商務(wù) 安全架構(gòu)
一、背景介紹
隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展,電子商務(wù)作為一種新的商務(wù)系統(tǒng)得到了廣泛的應(yīng)用。目前電子商務(wù)的使用越來越廣,電子商務(wù)的安全性成為人們關(guān)注的焦點。事實上,電子商務(wù)由于黑客的入侵,系統(tǒng)存在的安全漏洞而造成各方面的損失的報道也屢見不鮮。因此,電子商務(wù)的開發(fā)設(shè)計必須要把安全作為應(yīng)用系統(tǒng)的一個重要的方面加入到電子商務(wù)系統(tǒng)的開發(fā)的整體設(shè)計中來。
當前電子商務(wù)應(yīng)用的主流開發(fā)技術(shù)則是以J2EE為主,J2EE(Java 2 Platform Enterprise Edition)是美國Sun公司推出的多層企業(yè)應(yīng)用開發(fā)模型。J2EE簡化了基于工業(yè)標準的、組件化的企業(yè)應(yīng)用開發(fā),提供了一套完整的企業(yè)應(yīng)用的開發(fā)框架和服務(wù)的支持。由于J2EE完善和靈活的框架設(shè)計、強大服務(wù)支持等優(yōu)點,使其迅速成為電子商務(wù)應(yīng)用系統(tǒng)開發(fā)的主流技術(shù)。本文則主要介紹了如何在基于J2EE的電子商務(wù)系統(tǒng)設(shè)計中加入安全架構(gòu)的設(shè)計,并介紹了安全架構(gòu)設(shè)計中的一些概念和實現(xiàn)技術(shù)。
二、電子商務(wù)的安全架構(gòu)及其概念
電子商務(wù)的安全架構(gòu)的根本目標是為了實現(xiàn)對用戶訪問系統(tǒng)和使用系統(tǒng)資源進行控制,達到合法用戶合法使用系統(tǒng)的目的,因此在電子商務(wù)中采用的安全架構(gòu)一般涉及到以下幾個概念:
1.合法用戶:合法用戶是指通過驗證的,擁有一定系統(tǒng)使用權(quán)限的用戶。當一個用戶進入系統(tǒng)時,只要通過驗證后才可以獲得進入系統(tǒng)的資格和使用系統(tǒng)的權(quán)限。
2.角色:由于一個電子商務(wù)系統(tǒng)可能對不同的用戶給予不同的權(quán)限。如果對每個用戶都要進行權(quán)限的設(shè)置,這樣的做法顯然是不合理的,因此在電子商務(wù)系統(tǒng)中一般將相同使用權(quán)限的用戶歸并成一類,稱之為角色,相同的角色擁有相同的系統(tǒng)使用權(quán)限。
3.安全域:是一個邏輯范圍或區(qū)域,在這一范圍或區(qū)域中安全服務(wù)的管理員定義和實施通用的安全策略。它是比角色更高的層的抽象。一個組織可以劃分成眾多的安全域,而一個安全域中可以包含眾多的角色。
4.資源:泛指電子商務(wù)系統(tǒng)中可以被用戶使用,訪問的有價值信息。比如說報價系統(tǒng),訂單系統(tǒng)等都屬于電子商務(wù)系統(tǒng)的資源。
5.映射:映射是電子商務(wù)將一個合法用戶與系統(tǒng)內(nèi)的某個角色相關(guān)聯(lián)的動作,從而該合法用戶即擁有對應(yīng)角色的系統(tǒng)使用權(quán)限。一個用戶可以在不同的策略配置下對應(yīng)不同的角色,達到實現(xiàn)系統(tǒng)用戶權(quán)限管理的靈活性。
以上述的概念可知,一個組織的電子商務(wù)系統(tǒng)的安全架構(gòu)可以首先看成是由安全域組成的,每個安全域內(nèi)包含了眾多的角色和資源。用戶通過驗證后進入系統(tǒng),即根據(jù)其所屬安全域的安全配置策略被映射到其對應(yīng)的角色上,從而擁有該角色使用系統(tǒng)的權(quán)限。
三、電子商務(wù)的安全架構(gòu)設(shè)計
1.用戶身份驗證:用戶身份認證是用戶進入系統(tǒng)的第一步,也是系統(tǒng)安全性保障的基本前提,用戶身份驗證有很多種方式和實現(xiàn)技術(shù),就J2EE而言,主要有通過WEB客戶端來實現(xiàn)對用戶的身份驗證和基于應(yīng)用程序客戶端驗證兩種方式, J2EE中提供了三種基于WEB客戶端的用戶身份驗證技術(shù),主要有HTTP基本驗證,基于表單的驗證,基于客戶端證書的驗證。而利用基于應(yīng)用程序客戶端驗證的方式,這種方式主要是通過應(yīng)用程序客戶端在運行前由其應(yīng)用程序客戶端容器來完成驗證過程。
2.安全域的劃分:安全域涉及到更高抽象層的安全策略的配置,因此安全域的劃分一般是依據(jù)電子商務(wù)系統(tǒng)用戶所屬組織的結(jié)構(gòu)來劃分。
3.用戶角色設(shè)置主要是根據(jù)用戶使用系統(tǒng)的需求來進行設(shè)置,將相同使用權(quán)限需求的用戶歸并為一類,設(shè)置成相同的角色。并針對該角色依據(jù)最小有限使用權(quán)限的原則配置該角色在系統(tǒng)中的使用權(quán)限。最后根據(jù)角色和權(quán)限配置,再結(jié)合實際的使用情況設(shè)置詳細的安全管理策略。
4.以上第二、第三步驟主要集中在電子商務(wù)的安全管理邏輯設(shè)計,當邏輯設(shè)計完成后,就需要將邏輯的安全管理規(guī)則在電子商務(wù)系統(tǒng)中予以實現(xiàn),在電子商務(wù)系統(tǒng)中加入安全管理功能模塊。具有的實現(xiàn)方式有多種,以下本文將簡要說明在電子商務(wù)應(yīng)用系統(tǒng)中加入用戶權(quán)限控制的過程和方法。
四、應(yīng)用舉例
在J2EE的架構(gòu)中實現(xiàn)對用戶訪問權(quán)限的控制主要有二種實現(xiàn)方式:一種是通過SESSION對象來實現(xiàn),即當用戶通過身份驗證后,為用戶建立一個SESSION對象用以記錄用戶的角色,以及權(quán)限,當用戶訪問系統(tǒng)中的資源時,首先對用戶的SESSION對象中的用戶角色權(quán)限進行審計。如果用戶的角色擁有訪問該資源的權(quán)限,則允許其訪問資源,否則拒絕;另一種方式則是通過對WEB應(yīng)用容器進行設(shè)置來實現(xiàn)的。以TOMCAT為例,它可以用其WEB.XML配置文件進行配置,該配置文件實質(zhì)上是定義的三元組,在該配置文件將系統(tǒng)的資源定義成用戶角色將要訪問的頁面集合,并將相關(guān)的頁面資源進行合并,也可以通過通用匹配符來表示成WEB資源集合,然后根據(jù)安全策略的設(shè)置,定義針對該集合允許訪問的角色集合,在集合中定義允許訪問的用戶角色,最后是說明角色的驗證方式,指出用戶的角色名和其所屬的安全域。對TOMCAT配置完成后,則可以由TOMCAT容器來實現(xiàn)對用戶訪問資源的控制。
從兩種方式對比來看,第一種方式應(yīng)該說安全策略的配置粒度更細,而且訪問權(quán)限的控制能力也更強些,但是模塊的功能設(shè)計復雜而靈活性也會受一定的影響,后一種方式直接在WEB容器中配置安全策略,實現(xiàn)方便,靈活性也高,但是功能則會受限制。因而其更適合一些小型的應(yīng)用。
參考文獻:
【關(guān)鍵詞】電子商務(wù) 病毒入侵 黑客攻擊 信息安全
在互聯(lián)網(wǎng)信息技術(shù)飛速發(fā)展的大背景下,電子商務(wù)(簡稱EC,英文為Electronic Commerce)已逐步演變成人們慣用的商務(wù)活動模式,從事互聯(lián)網(wǎng)商業(yè)活動的人越來越多。與傳統(tǒng)商務(wù)活動對比,在B/S方式下運轉(zhuǎn),兩大主體完成商品交易不受時間和空間的限制,這也是電子商務(wù)是最大特點。
現(xiàn)如今,我國正處于網(wǎng)絡(luò)經(jīng)濟蓬勃發(fā)展的黃金時代,各個領(lǐng)域中電子商務(wù)的普及度較高。新型的商業(yè)活動形式建立在網(wǎng)絡(luò)的基礎(chǔ)上,保證了商業(yè)活動的便捷性和高效性。不過電子商務(wù)在對企業(yè)運管效率進一步提升的同時,使企業(yè)的面臨著病毒侵入、黑客攻擊、信息抵賴等問題,導致企業(yè)蒙受巨大虧損。所以,高度關(guān)注安全問題,才能保證電子商務(wù)平臺利用率提高。本論文以有關(guān)電子商務(wù)環(huán)境為切入點,對展開電子商務(wù)活動中出現(xiàn)的信息安全問題進行分析,并給出對應(yīng)的方法和策略。
1 電子商務(wù)中網(wǎng)絡(luò)信息安全所存在的問題
1.1 電子商務(wù)網(wǎng)絡(luò)存在的問題
1.1.1 黑客攻擊
黑客對網(wǎng)絡(luò)進行攻擊是以偷取商業(yè)機要和攪擾系統(tǒng)正常運轉(zhuǎn)為目的,以下是常見的攻擊策略:竊聽;重發(fā)攻擊;迂回攻擊;假冒攻擊;越權(quán)攻擊等。
1.1.2 系統(tǒng)漏洞
侵入到電商系統(tǒng)人員以系統(tǒng)自身存在的安全漏洞為據(jù),將操作系統(tǒng)數(shù)據(jù)的權(quán)限得到。然而,管理系統(tǒng)未實時打補丁或者在設(shè)置安全方面一直選取默認設(shè)置等原因造成系統(tǒng)產(chǎn)生漏洞。
1.2 電子商務(wù)信息存在的問題
1.2.1 電子商務(wù)信息存儲安全隱患
在靜態(tài)時儲存電商信息的安全即信息儲存安全。其信息安全隱患主要包括:篡改信息內(nèi)容和非授權(quán)調(diào)用信息。
1.2.2 電子商務(wù)信息傳輸安全隱患
在運轉(zhuǎn)電子商務(wù)時,資金流、物流匯集成信息流之后傳送流程中的安全即信息傳送安全。它主要涵蓋以下四種安全隱患:
(1)盜取商業(yè)機密。大部分是以明文的形式來傳送電子商務(wù)信息,那么襲擊網(wǎng)絡(luò)的不法分子就極易截取或者監(jiān)聽電商信息;
(2)對商務(wù)網(wǎng)站施以攻擊。攻擊者運用計算機病毒傳送,屏蔽掉電商網(wǎng)站設(shè)置的防火墻,更改信息,使網(wǎng)站癱瘓;
(3)實行商務(wù)欺詐。非法人員將虛假信息到Internet上去,詐騙現(xiàn)金、賬號,導致用戶信任電子商務(wù)活動的信賴度降低,在很大程度上對電子商務(wù)順利開展起阻礙作用;
(4)不良信息的傳送。非法人員為了實現(xiàn)自己的目標,把不良信息滲透到電子商務(wù)信息中。
2 應(yīng)對電子商務(wù)中信息安全問題的對策
2.1 提高網(wǎng)絡(luò)信息安全意識
相比于西方l達國家,國內(nèi)用戶網(wǎng)絡(luò)信息安全意識薄弱,忽視了自我權(quán)益的保護。再加上我國尚未建立完善的網(wǎng)絡(luò)信息安全監(jiān)管機制,出現(xiàn)安全事件之后無法及時采取相應(yīng)的補救措施,這些都是威脅信息安全的主要因素。故此,在信息安全中,防范人為因素導致信息非安全問題是重要內(nèi)容。解決這一問題的關(guān)鍵在于為從事電子商務(wù)的用戶展開安全知識培訓活動,確保用戶充分認識信息安全的重要性,對信息安全常識了如指掌,進而降低電子商務(wù)中產(chǎn)生信息安全事件的幾率。
2.2 加強信息安全的技術(shù)防范
將來網(wǎng)絡(luò)安全技術(shù)會在計算機網(wǎng)絡(luò)所有層次中滲透,不過以電子商務(wù)安全防范技術(shù)為中心的網(wǎng)絡(luò)技術(shù)成為最近幾年研究的重要方向。以我國電子商務(wù)出現(xiàn)的安全問題為依據(jù),可采取防火墻、虛擬專用網(wǎng)及認證、加密、安全審計、追蹤黑客、檢測系統(tǒng)漏洞等技術(shù)應(yīng)對信息安全。另外還可以將加密路由器、翻譯網(wǎng)絡(luò)地址、動態(tài)包過濾、VPN等技術(shù)充分運用起來,確保構(gòu)建一系列嚴實的安全防線將受保護資源與攻擊人員隔開。
2.3 強化網(wǎng)絡(luò)信息安全管理
信息安全管理在我國來說十分薄弱,面臨著管理能力弱且信息安全意識極其欠缺的問題。政府授權(quán)的第三方認證中心構(gòu)建是電商信息安全管理中形式有效的一個方式,即用該認證中心來負責電子商務(wù)交易中的兩者主體的信息安全,保證整個交易流程的安全性和可靠性。
2.4 完善電子商務(wù)立法與信息安全立法
當前,我國正處于電子商務(wù)信息機制初級階段,只有在信用法制建設(shè)深入強化的大環(huán)境中,才能確保信息機制最大限度的施展其能力。故此,應(yīng)當以國內(nèi)電子商務(wù)安全問題為依據(jù),不但要使現(xiàn)行法律的管理范疇擴大和加強,還要加大信息安全與電子商務(wù)立法的力度。另外還應(yīng)當對第三方信用保證進行設(shè)置并使其得到強化,務(wù)必由商務(wù)、商檢認證中心、銀行共同協(xié)作才可確保交易不受阻礙。
3 結(jié)束語
本文以電子商務(wù)信息安全有關(guān)環(huán)境為切入點,對電商中出現(xiàn)的網(wǎng)信問題進行探析,并將用戶網(wǎng)信安全意識增強、加大網(wǎng)信安全管理力度、加大防范信息安全技術(shù)應(yīng)用力度、健全信息安全和電子商務(wù)立法這四種策略,以期解決電子商務(wù)中出現(xiàn)的安全問題。電子商務(wù)安全性是一項龐大、系統(tǒng)的工程,要從技術(shù)和法律上加大保護力度,只有將電商中出現(xiàn)的所有安全問題一并處理好才能使電子商務(wù)更好的服務(wù)于用戶。
參考文獻
[1]田迎華,楊敬松,周敏.3G時代移動電子商務(wù)安全問題研究[J].情報科學,2010(10):1487-1490.
[2]王立萍.商業(yè)銀行電子商務(wù)安全風險管理研究[J].中南財經(jīng)政法大學學報,2007(01):75-79+144.
[3]張濱,馮運波,吳秦建,江為強,喬矗王馨裕,楊明,何鵬.移動電子商務(wù)安全技術(shù)與應(yīng)用實踐[J].通信學報,2016(04):200.
[4]孫鴻飛,張海濤,宋拓,武慧娟.電子商務(wù)個性化信息服務(wù)用戶滿意影響因素實證研究[J].情報雜志,2016(04):195-203.
[5]何培育.電子商務(wù)環(huán)境下個人信息安全危機與法律保護對策探析[J].河北法學,2014(08):34-41.
[6]王興泉,張寧.移動電子商務(wù)時代的信息安全與信息保護[J].蘭州學刊,2014(12):175-180.
[7]姚梅芳,楊修,楊涵.電子商務(wù)環(huán)境下信息管理模式研究[J].圖書情報工作,2013(05):46-49.
關(guān)鍵詞:電子商務(wù);風險;安全管理
【中圖分類號】G642
一、電子商務(wù)發(fā)展中面臨的風險
互聯(lián)網(wǎng)正在改變?nèi)蚪?jīng)濟,電子商務(wù)向人們展示了“快、便、省”的優(yōu)勢。例如在美國,傳統(tǒng)的銀行系統(tǒng)每一筆交易的平均成本1.8美元,而采用網(wǎng)上交易,每筆交易的成本將減少到0.13美元,成本降低83%。通過網(wǎng)絡(luò)可以突破空間及時間的障礙,接觸到網(wǎng)絡(luò)世界中大量網(wǎng)絡(luò)消費者及企業(yè),可以降低信息處理成本,壓縮供應(yīng)鏈等。但是電子商務(wù)與其它新生事物一樣,在帶來巨大機遇的同時,也存在著許多風險。
1.電子商務(wù)風險的類型
電子商務(wù)是一種新的經(jīng)濟形式,既存在高收益又存在高風險。電子商務(wù)中常見的風險可分為技術(shù)風險、金融與支付風險、稅收風險、人才與培養(yǎng)、政策法規(guī)風險和競爭風險。
(1)技術(shù)風險
電子商務(wù)中一個突出問題就是“安全”問題,包括交易安全、認證安全、數(shù)據(jù)加密、支付安全等,還有就是網(wǎng)站的安全問題,如何抵抗黑客在破壞;此外電子商務(wù)還缺乏全球性的技術(shù)標準,在互操作問題上,容易受制于不同的廠商。因此,構(gòu)建電子商務(wù)相應(yīng)的安全、高效、通用的平臺十分重要。
(2)金融與支付風險
金融電子化可以在短時間完成較大規(guī)模的資金調(diào)動,若國家新的有關(guān)立法跟不上,政府就可能對此失去控制,面臨新的金融風暴的風險。另一個方面就是支付風險,即支付安全問題。
(3)稅收風險
為鼓勵電子商務(wù)的發(fā)展,我國規(guī)定兩年內(nèi)不對網(wǎng)上電子商務(wù)進行征稅,而美國政府更是一直堅持因特網(wǎng)上的交易是一個免稅區(qū)。
(4)人才與培養(yǎng)風險
電子商務(wù)的發(fā)展需要大量計算機人才和網(wǎng)絡(luò)經(jīng)濟商務(wù)人才以及相關(guān)復合人才,我國在這方面的人才較為欠缺,而且新經(jīng)濟時代的發(fā)展是迅速的,特別在我國的發(fā)展必將是跳躍性的,人才就可能成為制約發(fā)展的因素之一。
(5)政策法規(guī)風險
電子商務(wù)的發(fā)展如同網(wǎng)絡(luò)的發(fā)展一樣是非常快的,與之相比國家有關(guān)管理部門的政策、法規(guī)的制定不可避免的存在滯后的可能,使得新興的電子商務(wù)發(fā)展可能處于缺乏保障的地位,而且電子商務(wù)中個性化特點日趨突出,給政策、法規(guī)的制定也提高了難度。
(6)競爭風險
我國目前網(wǎng)絡(luò)發(fā)展迅速,但與國際發(fā)達國家相比基礎(chǔ)薄弱、發(fā)展滯后、投入有限、國民上網(wǎng)率低,這是與我國目前的經(jīng)濟發(fā)展水平相一致的。因此電子商務(wù)的發(fā)展將同時面臨國外大公司、企業(yè)的競爭,還要面對傳統(tǒng)商務(wù)與之的競爭。
2.電子商務(wù)的風險特征
電子商務(wù)中出現(xiàn)的風險,雖然多為傳統(tǒng)經(jīng)濟中所固有,但它無論在表現(xiàn)形式、強烈程度還是影響范圍上與傳統(tǒng)經(jīng)濟中的風險都不相同。概括起來說,電子商務(wù)風險具有全球性、傳染性、成長性、隱蔽性、復雜性等重要特征。
(1)全球性
電子商務(wù)風險具有全球性特征。風險既可能來自國內(nèi),也可能來自世界任何一個地方:其根源在于電子商務(wù)的虛擬性。四通八達的通訊網(wǎng)絡(luò),把世界各地都緊緊地聯(lián)系在一起。
(2)傳染性
電子商務(wù)風險可以在全球范圍內(nèi)迅速傳播,具有很強的傳染性和廣泛的影響力,使人們很難進行有效防范。實時性和交互性是電子商務(wù)的兩個基本特征。一旦風險產(chǎn)生,它就會借助信息的實時傳遞和市場交易主體之間的交互關(guān)系而迅速擴散。
(3)成長性
在一定條件下,電子商務(wù)風險會迅速成長和壯大,具有一股強大的、摧毀一切的力量。這種異乎尋常的成長性,來自于電子商務(wù)中所特有的不穩(wěn)定均衡和正反饋效應(yīng)。
(4)隱蔽性
電子商務(wù)風險具有很強的隱蔽性。風險初起時可能不大容易覺察,當風險變得清晰可辨時,危機就無法避免了。這種隱蔽性,來自信息的非對稱性。
(5)復雜性
在電子商務(wù)中,風險不是單一的,而是綜合的。多種風險往往交叉在一起,它們相互影響和助長,使得風險防范的難度大大增加。
二、電子商務(wù)安全管理方法
電子商務(wù)的安全威脅主要來自:網(wǎng)絡(luò)物理設(shè)備的安全威脅、對網(wǎng)絡(luò)信息的安全威脅和“信用危機”等。那么,加快電子商務(wù)的基礎(chǔ)設(shè)施是當務(wù)之急,完善管理和技術(shù)防范是根本,強化監(jiān)督是保障。
1.加快基礎(chǔ)設(shè)施建設(shè)
計算機系統(tǒng)、網(wǎng)絡(luò)通信設(shè)備、網(wǎng)絡(luò)通信線路、網(wǎng)絡(luò)服務(wù)器等設(shè)備,在靜電、電磁泄漏和意外事故等情況下會造成數(shù)據(jù)的丟失,機密信息泄漏。所以,加快電子商務(wù)的基礎(chǔ)設(shè)施建設(shè),選擇高性能的網(wǎng)絡(luò)設(shè)備,建設(shè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境,才能為電子商務(wù)交易的信息提供硬件保障。
2.實施技術(shù)防范措施
電子商務(wù)的運作涉及資金安全、信息安全、貨物安全、商業(yè)秘密等多方面的安全問題,任何一點漏洞都可能導致大量資金流失。而這些安全首先是對信息技術(shù)的依賴。目前,防火墻技術(shù)、電子簽名和安全認證,成為電子商務(wù)比較成熟的技術(shù)安全措施。
3.健全管理與控制
在電子商務(wù)環(huán)境下,企業(yè)面對一個全新的網(wǎng)上空間,交易信息以光速在網(wǎng)上傳遞,使得對內(nèi)部控制制度的依賴性增大。由于電子商務(wù)企業(yè)一般都是新興企業(yè),管理制度、管理手段沒有傳統(tǒng)企業(yè)成熟、嚴密,加上一些電子商務(wù)企業(yè)一般更注重技術(shù)創(chuàng)新而非管理。因而,電子商務(wù)建立先進的管理與控制更為迫切。
4.健全法制,倡導誠信
1996年聯(lián)合國貿(mào)易法委員會制訂了《聯(lián)合國國際貿(mào)易法委員會電子商務(wù)示范法》,2005年初,國務(wù)院頒發(fā)了《加強電子商務(wù)的若干意見》,2005年4月1日開始正式實施的《電子簽名法》,對我國正在興起的電子商務(wù)給予了強有力的法律支持,為我國電子商務(wù)安全認證體系和網(wǎng)絡(luò)信任體系的建立奠定了基礎(chǔ)。但是,網(wǎng)絡(luò)環(huán)境中的誠信問題不是僅僅靠《電子簽名法》所能夠解決的,要想根本鏟除互聯(lián)網(wǎng)交易中的種種弊端,歸根到底要靠安全認證和行業(yè)的自律。所以,倡導誠信,維護消費者合法權(quán)益,是推動我國電子商務(wù)健康發(fā)展的內(nèi)在因素。
三、結(jié)論
電子商務(wù)在給我們帶來廣泛的機遇的同時,也給我們帶來了新的風險。電子商務(wù)安全管理無疑是規(guī)避這些風險的利器,我們在注重電子商務(wù)安全管理過程的同時,還應(yīng)結(jié)合電子商務(wù)的特性,制定一套適合電子商務(wù)安全管理的策略,這樣我們才能將電子商務(wù)的風險減少到最小。
參考文獻:
