发布时间:2023-09-18 17:19:46
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的电子商务安全的重要性样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
摘要:随着互联网发展与普及,网络逐步改变着人们的生活。在信息逐渐丰富、快速的网络环境下,消费者的消费观念也发生了很大的变化,近几年网上购物成为一种时尚潮流,电子商务经济得到迅速发展,受到消费者的普遍关注,表现出一片大好的发展趋势。但是,电子商务的发展也不是一帆风顺的,其中一个主要问题就是交易安全问题,网络安全是电子商务贸易往来最基本的保障。本文主要分析网络安全对现代电子商务的影响。
关键词 :网络安全;电子商务;影响
随着计算机技术的发展和网络的普及,商业运行模式在网络环境下发生了很大的改变,一种新的商业运行模式——电子商务被催生。电子商务是运用网络技术、通讯技术、计算机技术等先进技术进行的贸易行为。目前越来越多的贸易往来利用网络进行,电子商务安全问题越来越受到人们的关注,用户在电子商务贸易往来中最关心的话题就是安全问题,网络安全成为电子商务进一步发展的关键因素。
电子商务是在网络环境下运行,其具有网络信息所共有的开放性和资源共享性特点,交易双方可以通过网络互相访问对方的计算机,在此过程中容易被不法分子侵入,造成信息泄露和破坏,威胁电子商务交易的安全进行,网络安全问题是电子商务首先要解决的问题,网络安全不仅对电子商务发展具有重要的意义,而且对于计算机发展、网络发展以及社会稳定等都有较大的意义。
1.1 计算机安全问题
计算机的运行需要在网络环境下进行数据传输,网络安全是计算机信息安全的最好保障,网络中不安全因素对电子商务具有很大的威胁,电子商务本身是虚拟交易,存在较大的安全隐患,如果网络不安全会给交易双方带来较大的损失。而相对安全的网络可以确保网络数据与信息不被不法分子篡改、窃取,保障网络运行环境的稳定安全。
1.2 促进社会稳定发展
计算机网络技术的普及使电子商务、电子政务、网上银行等业务越来越普及,已经成为人们生活中不可或缺的一部分。同时网络也成为各种各样犯罪事件的主要应用工具,从这方面来说给国家和社会稳定带来一定的威胁,而网络安全能够保障网络数据信息的安全性,阻碍网络犯罪事件的发生,促进社会稳定发展。
1.3 网络安全防范
一般情况下,网络安全的防范措施是网络安全技术,以此来保障网络运行环境的安全,但是仍然有较多不法分子专门利用网络安全技术中的漏洞对网络发起攻击,设备平台危害网络安全,严重威胁电子商务交易的发展。所以说网络安全防范技术对网络安全有着重要的意义,必须确保安全问题及时解决。
2、电子商务运行中存在的主要网络安全隐患
据有关数据统计,网络安全的主要隐患是黑客和病毒,我国95%的网络管理中心曾遭受黑客的攻击,另外还有一些其他的安全隐患,我国的网络安全问题越来越突出,网络安全已经成为阻碍电子商务发展的主要因素。
2.1 网络自身安全隐患
威胁网络安全的首要因素是网络自身的安全性,众所周知网络系统软件、设备、技术等都时刻在发生变化,网络自身存在较多的问题与不足,而且有些网络系统由于自身设计、管理方面存在的缺陷,导致网络系统软件和设备功能不齐全,存在较多的漏洞,这种安全隐患给电子商务的运行带来很大的安全隐患。另外,由于网络信息数据大多存放于网络数据库中,为不同商户提供共同的享用权利。但是网络设计、管理等在使用过程中存在一定的安全性问题,在使用过程中一些非法用户能够避开安全内核,非法盗取网络数据和信息资源,给网络用户带来较大的安全隐患。
2.2 数据信息传输过程中的安全隐患
现代电子商务普遍存在的安全隐患是传输路径的安全隐患,事实上不存在绝对安全的网络传输途径,在网络运行中或多或少都存在一些安全隐患。同时在网络传输过程中无论采用哪种信息传输途径与路线,信息传输过程中网络状态不够优良的情况下,都会存在网络连接不够好的问题,甚至会导致网络传输的中断,这样就容易危害商务活动相关数据的完整性,从而影响整个电子商务活动的正常进行。
2.3 网络管理方面的安全隐患
在电子商务运行过程中来自网络管理方面的安全隐患是其最直接、最普遍的安全隐患,网络稳定运行的保障就是有良好的网络管理技术与措施,其中网络安全问题是网络管理的核心内容。电子商务在运行过程中,如果用户对各种信息技术、网络技术、设备安全等进行科学、合理的管理,就能够有效的控制。预防安全隐患的发生。同时如果用户在使用过程中没有对网络进行合理的管理,网络就会存在较多的问题,从而影响网络运行环境。而且网络资源一般都是有各种网络技术、设备、服务器、终端等组成,网络中不可避免的存在安全隐患,如果再不用心管理,肯定会出现安全问题。随着网络技术的发展,网络覆盖范围越来越广,网络安全显得尤为重要,网络安全已经成为网络管理中关键问题。
2.4 交易过程中的安全隐患
电子商务交易是在网络环境下进行的虚拟交易,它依托网络环境的稳定、安全运行,交易中存在安全隐患也是不可避免的。在现实交易中尚存在一定的交易安全隐患,电子商务交易安全隐患更加普遍,比如在电子商务交易过程中,购买双方已经进行接货、定货协议,但是确迟不发货,甚至还有些商家在交易过程中因为价格问题不承认原有的交易,这些问题都对电子商务的正常开展具有很大的阻碍。
2.5 黑客、病毒攻击
网络黑客是网络运行中最常见的一种安全隐患,网络黑客专门非法进入他人网站,他们一般具有较高的网络技术能力,能够迅速破坏电子商务网站的防护技术,进而篡改网站内部信息,盗取用户账户、密码,挪用用户资金,严重影响电子商务的安全运行。电脑病毒也是一种比较普遍的网络安全运行隐患,病毒的传输速度非常快,在互联网的普及下,为新病毒提供了强大的媒介。很多新型病毒能够直接借助网络进行快速传播,会给用户造成严重的经济损失。
2.6 其他网络安全隐患
网络安全隐患有很多类型,除了以上类型之外还有一些因为网络管理人员监管不力、渎职自盗、程序共享等带来的网络矛盾和冲突,这些也是威胁网络安全的重要因素,制约着现代电子商务的稳定、安全运行。不管是何种类型的网络安全隐患都必须给予高度的重视,采取积极有效的措施,做好安全防范工作,保障电子商务活动的稳定开展。
3、电子商务安全运行的措施
电子商务安全隐患是其在运行中必须解决的问题,我们必须采取积极的措施解决电子商务安全问题,为电子商务的发展提供良好的运行环境。电子商务用户也应该采取积极的措施加强网络运行管理,加强技术投入,预防安全问题的出现。
3.1 加强电子商务安全管理工作
电子商务安全隐患归根到底还是人的问题,即管理问题。具有关资料显示,网络安全中最主要的人为因素是信息安全威胁。但是在实际网络安全运行管理过程中人们往往只关注技术方面的安全隐患,注重技术管理,对人的管理不够重视,对网络安全中人为因素造成的安全隐患只是简单的提起,并没有做详细点的分析与处理,导致网络安全管理工作滞后于网络技术的发展。实际上,不管是从技术上还是从人为的操作汇总都应该由人来设计、配置、组织、管理、调整、维修等,建立一个综合性的网络管理团队,提高网络安全管理能力,为网络安全运行提供一个良好的内部环境。
3.2 提高网络防范技术的应用
1)防火墙技术
电子商务运行依赖于资源共享,而防火墙技术能够保障网络用户访问公用网络时具有最低风险,而且又能保护网络免遭袭击。网络运行中所有专用网、内部网、外部网、公用网之间的连接都经过防火墙的检查和认证,数据的传输与通信只有在授权的条件下才能进行,有力的保障了网络环境的安全。
2)信息加密技术
信息加密技术是一种主动的信息安全防范意识,它主要利用加密算法将网络信息明文转化成无意义的密文,防治非法用户理解原始数据,使数据具有保密性。在电子商务中信息加密技术是其他安全技术的基础条件,加密技术包括对称加密和非对称加密,这两种加密技术具有各自的优点,但是在实际运行中,为了充分发挥加密技术的优点,往往会把这两种技术结合使用,确保网络的安全运行。
3)反病毒技术
这种技术是基于病毒入侵隐患而建立,防病毒技术种类也比较多,比如病毒检测、病毒预防、病毒消除等。反病毒技术的具体实施措施是对网络服务器的文件进行实时扫描和检测,一旦发现病毒立刻清理。近几年,很多网络运行专家不断推出新的病毒防范产品,这些产品能够在互联网技术下监视网络传输中的数据,准确辨别数据所携带的病毒,防治病毒的入侵,从而有效提高网络安全。
3.3 加强安全防范意识
对于无处不在的安全隐患,除了要加强网络管理与网络技术之外,普通网民也要提高网络安全防范意识。在电子商务安全防范下,做好计算机安全防护工作,养成良好的上网习惯,掌握一些技术的网络安全防范知识,对于不安全的网站尽量不要访问,同时也不下载不安全的网络软件,减少电脑被病毒入侵的几率。同时在电脑中安装杀毒软件和防火墙,养成经常扫描电脑的习惯,这样能够最大限度的防治电脑被病毒、黑客等攻击,建立良好的网络运行环境。
结语
随着网络技术的发展与普及,电子商务的发展越来越受到重视,而网络安全与电子商务有着密不可分的关系,网络安全是电子商务运行的保障。电子商务安全隐患的种类有很多,在实际运行中我们不能对这些安全隐患掉以轻心,必须重视他们,采用积极有效的措施解决安全隐患问题。加强网络安全运行的管理工作,提高网络安全技术,为电子商务发展提供良好的运行环境,保证电子商务交易安全进行,促进电子商务交易的发展。
参考文献:
[1] 谢.网络安全对现代电子商务的影响及对策研究[J].中国商贸,2010(19):110-111.
[2] 徐卫红,刘婷.网络安全对电子商务发展的影响和策略[J].成功(教育版),2010(3):273-274.
[3] 蒲天银,秦拯,饶正婵.网络安全对现代电子商务的影响及对策研究[J].商场现代化,2008(35):160-161.
[4] 周二鹏.网络安全对电子商务的影响及对策[J].大观周刊,2011(37):141-142.
[5] 闫涛.论电子商务网络安全的设计与实现[J].科技视界,2013(27):82-83.
【关键词】电子商务;信息安全;安全管理体系
1.调查方法和对象
1.1调查对象
本次调查对象的选择采取随机选取的方式。
1.2调查方法
通过对调查问卷的填写和反馈,实现调查目的。
1.3调查时间
2014年9月1日至9月30日。
1.4调查范围
本次调查问卷的发放和回收,主要采取两种方式。一种是实地调查,在人群密集处随机发放纸质调查问卷,请调查对象现场填写和反馈。另一种是利用网络调查平台,和回收调查问卷。两种调查方式相结合,使本次调查达到了覆盖范围较广,形式多样的效果。同时以不记名方式填答,保证了答卷结果的真实性。
本次调查发放调查问卷1000份,去除无效问卷146份,共回收有效问卷854份,回收率为85.4%。调查问卷回收后,对相关数据进行详细地统计和汇总,并做出分析。
2.调查数据分析
本次调查主要包含三个内容:一是公众对个人信息及其安全的认识;二是公众对电子商务及其安全的认识;三是公众对电子商务中信息安全的态度。
2.1公众对个人信息及其安全的认识方面
在公众对个人信息安全的关注度上,“一般关注”所占比例略高于“非常关注”,两者所占比例均达到40%以上,“不关注”所占比例很小。调查情况与“非常关注”比例应高于“一般关注”的理想状态相比,存在一定差距。在获取他人个人信息的渠道方面,“各种业务的办理”所占比例最高,其次是“自愿告知”、“聊天交友”。这说明公众透露自己的个人信息大多是出于实际需要或个人意愿,“自愿告知”和“聊天交友”所占比例均高于理想状态。这说明调查对象对个人信息安全普遍有较为充分和准确的认识,对待个人信息的基本态度是正确的,但对个人信息安全的关注还没有达到应有的高度。主要表现为大部分人对个人信息安全的关注程度不够高,还有相当一部分个人信息是主动泄露的。因此,为提高公众对个人信息安全的认识,有必要借助各类媒体进行宣传教育,提高公众对个人信息的重视程度,增强保护意识,防止因主观原因造成的信息泄漏。
2.2公众对电子商务及其安全的认识方面
与实体交易相比,在对电子商务的信任程度上,调查对象表示“一般信任”的接近80%,“非常信任”和“非常不信任”的比例相当,在10%左右;在电子商务的安全性的考虑上,大部分调查对象“比较关注”,但也有相当一部分调查对象表示“一般不会考虑”。以上结果表明,公众对目前的电子商务安全状况还不是十分满意,只是基本接受。有相当一部分调查对象“一般不会考虑”电子商务的安全性说明,公众在信息技术方面普遍存在知识欠缺的情况,对电子商务安全性的认识不足,容易造成盲目信赖或跟风。在使用电子商务时会否考虑采取安全措施方面,“经常采取”的所比例最大,接近40%,其次是“一般不会采取”的接近30%,“必须采取”和“没考虑过”的分别占20%和10%左右。这说明,公众有意愿采取安全措施,抵御电子商务中存在的安全风险,但是,实际采取的比例并不高。这主要受限于公众的信息技术素养和能力不足,还有相当一部分人有意愿采取安全措施,但自己又缺乏这方面的能力,只能坐以待毙。这组数据表明在电子商务及其安全性上:一方面,无论电子商务的安全现状,还是公众对电子商务安全问题的认知,都存在很大的不足。另一方面,公众对电子商务及其安全性的认识还处于初级阶段,现在还比较幼稚,但正在不断成熟、发展,具有一定的改善趋势。
2.3对电子商务中信息安全的态度方面
针对第三个内容的调查结果显示,虽然超过70%的调查对象表面对电子商务中信息安全现状“基本满意”,但是,与此同时,认为“大部分已经泄漏,安全感明显降低”和“不是很多,还可以接受”的比例都超过了25%。这表明,电子商务中信息安全的现状不容乐观。大多数调查对象表示基本满意,并不能说明电子商务中信息安全现状真的可以满足实际需求,而是因为现状长期得不到改善,致使公众对这一问题的关注陷入麻木状态。所以,我国电子商务中的信息安全问题不容小视,个人信息的安全保障水平亟待提高,而单方面的改善是难以见效的。公众对提高电子商务信息安全水平的要求是迫切的,并且已经采取了相应的措施,但这些是远远不够的,要保障电子商务中个人信息的安全,必须采取多种措施,齐抓共管,国家、企业和个人共同努力,构建信息安全管理体系,才能全面消除安全隐患,建立一个健康安全的电子商务环境。
2.4改进建议
本次调查最后一题采取了开放式的答题模式,收集到了一部分公众对电子商务信息安全方面提出的建议。这些建议主要集中在:提高用户安全意识和能力;建立健全法律法规,完善规章制度;加强对从业机构和人员的管理和培训;提高安全保障技术水平四个方面上。通过本次调查,可以进一步总结出应对各种安全风险的有效措施,并提高措施的可行性和有效性。
2.5调查评价
为提高调查的效度[1],本次调查采用了网络调查和实际调查两种调查方式,提高了抽取样本的随机性。网络调查的对象主要是经常上网的人群,而实际调查由于调查时间、地点和方式的不同,则具有更大的随机性。
为提高调查的信度[1],本次调查抽取了的足够多的调查样本。大量的调查对象,扩大了调查的人群覆盖面;网络调查方式有效的避免了实地调查的地理局限性,而实地调查克服了网络调查真实度低的问题,二者相互弥补。
3.构建电子商务信息安全管理体系
基于问卷调查所得数据,有必要构建电子商务信息安全管理体系。信息安全管理体系是以实现全面保障电子商务中信息的安全为目标,通过完善政策法规和监督机制,配置精良设备,掌握核心技术,增加安全投入,强化培训和准入,配备精干力量,提高公众的自我保护能力等各种措施配合与协调,构建全方位高层次的保障体系,从根本上提高信息的安全管理水平。该体系可大体分为技术和管理两个方面。
3.1技术方面
3.1.1反病毒和安全扫描技术
通过病毒查杀和实时防御,可以及时清除已存在的病毒并防止新病毒植入,防止病毒对数据的破坏和窃取。安全扫描可以发现软件中存在的漏洞和“后门”程序,通过添加补丁,防止漏洞和“后门”程序被恶意利用,危及信息安全。
3.1.2防火墙和入侵检测技术
防火墙是软件和硬件的结合体,能根据安全策略对进出网络的数据行为及其流向实行控制,并保留日志,进行审计。入侵检测技术实时监控数据传输状况,并对数据访问请求进行甄别,能够及时拒绝、中断、抵御可疑的访问和传输行为。
3.1.3身份识别技术
密码作为使用最方便也最普遍的身份识别技术得到极为广泛地使用。为了加强身份识别技术的可靠性,密码常与生物技术、物理令牌等识别方式联合使用。[2]
3.1.4访问控制技术
主要用于控制用户、进程、计算机等对主体对系统资源或个人信息的访问。访问控制可以防止非法用户的入侵和合法用户的非法行为,有效防止信息被非法访问、窃取或篡改。
3.1.5数据加密技术
数据加密技术是在安全工程领域对数学知识的应用,达到对明文进行伪装处理,输出密文的作用。这样即使数据被窃取,非法入侵者得到的也只是一堆杂乱无章的无用信息。数据加密技术在使用中应以适用、高效为原则,选择功能适当、操作简便的,可以单独使用一种加密技术,也可以多种技术结合使用。
3.1.6设备及数据备份技术
设备备份为计算机及网络系统的关键设备配备冗余和备份,数据备份为重要数据提供备份,并具有恢复重要数据的功能。
3.1.7日志和审计
日志用于实时记录系统的主要运转情况,审计是在事后对日志进行分析研究。根据日志和审计报告,可以及时发现系统的异常状况,甄别可疑事件和可疑行为,并作出警报或采取必要的抵御措施。[3]
3.1.8推广使用国产软硬件
一是安全可控。国产产品是我国自主研发的成果,制造维护过程完全符合国家的相关安全标准,消除了“后门”程序、植入代码的危险。二是国产产品充分考虑我国国情,更适应我国电力供应状况及技术人员操作习惯,后期维护和保障水平高等。
3.2管理方面
3.2.1完善法律法规及相关政策
通过进一步完善立法,加强执法,提高制度的适用性和可操作性,健全监督机制,发展社会监督,才能促进信息安全工作的进步。也可借鉴他国经验,引入第三方评测机构,对收集和保有个人信息的企业的安全管理水平进行测评,为政府执法提供可靠依据,规范企业的信息保护行为。
3.2.2增加安全投入
企业在安全管理方面的支出要占到总支出的8%以上才能达到设备齐全,人员充足,制度规范的管理状态。大中型网站有必要配备专职安全工程师和隐私工程师,人员数量由网站的规模和访问流量决定。 [4]小型网站则可以将安全工作外包,由专业安全企业对网站的安全事务进行管理。
3.2.3强化培训和准入
对安全管理人才的培养,可以借鉴网络工程师及软件工程师的认证方式。同时,由于安全管理不同于其他技术工作,其对专业要求的强制性更高,标准更严,因此有必要借鉴会计从业的相关规定,采取准入制度,并打破职业资格终身制,定期对从业人员进行再教育和资格考核。
3.2.4提高自我保护能力
一方面,政府和电子商务企业,有责任和义务利用媒体等多种渠道开展宣传,使公众认识到信息安全的重要性。另一方面,要提高公众的信息技术素养和对个人信息的保护能力。一是指导公众掌握辨别不安全网站的基本方法,识别和抵御网络钓鱼、身份伪装、恶意传播病毒等不法行为;二是帮助公众掌握必要的安全保障手段,如安装杀毒软件、定期查杀病毒漏洞、维护计算机系统等,以保护信息存储和运行环境的安全。
【参考文献】
[1]Floyd J.Fowler.Improving Survey Questions:Design And Evaluation[M].USA: Sage Publications,Inc,1995:5.
[2]Ross Anderson.SecurityEngineering:AGuide to Building Dependable Distributed Systems,Second Edition[M].UK:John Wiley & Sons,Inc,2012:23.
[关键词]电子商务 身份认证 防火墙
电子商务就是要在网络信息安全技术的保证下,利用开放信息互联网实现可跨区的在线商品交易、金融资本交易及其商务活动作业的全过程。电子商务这一浩瀚的全球虚拟市场创造了二十一世纪各国的经济热点。但是由于电子商务的开放性及其所基于的网络全球性、无缝连通性、共享性、动态性发展,使得电子商务的安全问题成为现今的聚焦中心,并制约着电子商务的进一步发展。构建安全电子商务交易系统将成为今后电子商务发展的关键。
一、电子商务的安全性要求
(一)电子商务活动安全性的要求
一是服务的有效性要求,电子商务系统应能防止服务失败情况的发生,预防由于网络故障和病毒发作等因素产生的系统停止服务等情况,保证交易数据能准确快速的传送。二是交易信息的保密性要求,电子商务系统应对用户所传送的信息进行有效的加密,防止因信息被截取破译,同时要防止信息被越权访问。三是数据完整性要求,数字完整性是指在数据处理过程中,原来数据和现行数据之间保持完全一致。为了保障商务交易的严肃和公正,交易的文件是不可被修改的,否则必然会损害一方的商业利益。四是身份认证的要求,电子商务系统应提供安全有效的身份认证机制,确保交易双方的信息都是合法有效的,以免发生交易纠纷时提供法律依据。
(二)电子商务的安全要素
一是信息真实性、有效性,电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。二是信息机密性,电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。三是信息完整性,电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。四是信息可靠性、可鉴别性和不可抵赖性,可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
二、电子商务运用的安全技术
(一)网络节点的安全
防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供一个相对更安全的平台。防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而做出允许或拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的网络系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机,或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。
(二)通讯的安全
在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制, SSL 首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥。验证个人证书是为了验证来访者的合法身份,而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书。验证此证书是合法的服务器证书通过后利用该证书对称加密算法与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。
(三)应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制,程序员认为这个缺省的许可是正确的。这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度,假的输入字符串常常是可执行的命令,特权程序可以执行指令。
(四)用户的认证管理
一是身份认证,电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现。CA证书用来认证服务器的身份, IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。二是CA证书,要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心发行。认证中心就是承担网上安全交易认证服务,能签发数字证书,并能确认户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书。三是SSL协议,SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议以保证应用层数据传输的安全性。
三、完善电子商务安全的配套措施
电子商务要真正成为一种主导的商务模式,尤其对发展中的中国来说,发展电子商务,就必须完善配套措施:
一要突破关键技术受制于人的瓶颈。二要尽快对电子商务的有关细则进行立法。三要大力开发大型商务网站,发展与之相配套的物流公司。四要建立严格的内部安全机制。五要建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。六要对重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。安全实际上就是一种风险管理,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。
参考文献
[1]甘悦.浅议电子商务信息安全体系的构建[J]. 西北成人教育学报, 2007 (2).
[关键词]电子商务 网络支付 安全
一、引言
随着信息技术日新月异的发展,人类正在进入以网络为主的信息时代。基于Internet开展的电子商务已逐渐成为人们进行商务活动的新模式,越来越多的人通过Internet进行商务活动 电子商务的发展前景十分诱人,但随之而来的是其安全问题也变得越来越突出。如何建立一个安全、便捷的电子商务应用环境,保证整个商务过程中信息的安全性,使基于Internet的电子交易方式与传统交易方式一样安全可靠,已经成为在电子商务中备受关注的重要技术问题。
二、电子商务网络中存在的问题
1.网络技术及应用漏洞
目前电子商务应用的操作系统都存在不同程度的网络安全漏洞,如果不对该系统进行经常的升级和维护,系统一旦遭到攻击就很可能泄漏系统信息,甚至导致系统的崩溃。另外操作系统提供的无口令入口是为系统开发人员提供的便捷入口,但它也成了黑客的通道。
2.人为的因素
工作责任心不强,没有良好的工作态度,经常擅自离开工作岗位,使不法分子有机可乘,人室盗窃机密信息和破坏系统。保密观念不强或不懂保密守则,随便让无关人员进人机房重地 随便向无关人员泄漏机密信息,随便乱放打印和复印的机密信息资料、记有系统口令和系统运行状态跟踪等方面内容的工作笔记、载有重要信息的系统磁盘和磁带等,都会酿成严重后果。
3.电脑病毒问题
随着网络技术的广泛应用,通过电子邮件、压缩文件传播病毒已经成为病毒传播的主要途径 病毒种类更是呈多样化发展,其破坏性不断增强、其传染速度也大大加快。各种新型病毒新病毒直接利用网络作为自己的传播途径,还有众多病毒借助干网络传播得更快,动辄造成数百亿美元的经济损失。
三、电子商务采用的主要安全技术
1.网络节点的安全
防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供一个相对更安全的平台。防火墙是在连接 Internet和 Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的 Intranet系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它只是整个安全策略的一个部分。
2.通讯的安全。
在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。为在浏览器和服务器之间建立安全机制, SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构 (CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥 ( PKI ) 。验证个人证书是为了验证来访者的合法身份,而单纯的想建立 SS L链接时客户只需用户下载该站点的服务器证书 (下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法 (RS A)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。
3.用户的认证管理。
(1) 身份认证。电子商务企业用户身份认证可以通过服务器CA证书与I C卡相结合实现。CA证书用来认证服务器的身份, I C卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用I D号和密码口令的身份确认机制。
(2) CA证书认证。要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是 CA证书,它由认证授权中心 (CA中心)发行。认证中心 (CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、 签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立 SS L安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立 SS L链接时客户只需用户下载该站点的服务器证书。
(3) 安全套接层 SSL协议。安全套接层 SS L协议是网景公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。SS L通过数字签名和数字证书来实行身份验证,数字证书是从认证机构 (CA, Certificate Authority)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、 证书者的数字签名、 证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。
四、结语
本文分析了目前电子商务网络支付安全方面的主要技术状况,安全技术可以说是网络技术中较为尖端的技术,都是非常先进的技术手段;只要运用得当,配合相应的安全管理措施,基本能够保证电子商务中网络支付的安全;但不是 100%的绝对安全,而是相对安全。随着网络安全技术的进步与信用机制的完善,电子商务网络支付定会越来越安全。
参考文献:
[1]甘悦. 浅议电子商务信息安全体系的构建 [ J ]. 西北成人教育学报, 2007 (2) .
[关键词]互联网;电子商务;系统安全;数据安全;网络系统
一、前言
近年来,随着因特网的普及日渐迅速,电子交易开始融入人们的日常生活中,网上订货、网上缴费等众多电子交易方式为人们创造了便利高效的生活方式,越来越多的人开始使用电子商务网站来传递各种信息,并进行各种交易。电子商务网站传递各种商务信息依靠的是互联网,而互联网是一个完全开放的网络,任何一台计算机、任何一个网络都可以与之相连。它又是无国界的,没有管理权威,“是世界唯一的无政府领地”,因此,网上的安全风险就构成了对电子商务的安全威胁。
从发展趋势来看,电子商务正在形成全球性的发展潮流。电子商务的存在和发展,是以网络技术的革新为前提。电子商务系统的构建、运行及维护,都离不开技术的支持。同时,因为电子商务适合于各种大、小型企业,所以应充分考虑如何保证电子商务网站的安全。
二、电子商务网站的安全控制
电子商务的基础平台是互联网,电子商务发展的核心和关键问题就是交易的安全性。由于Internet本身的开放性,使网上交易面临了种种危险,也由此提出了相应的安全控制要求。
下面从技术手段的角度,从系统安全与数据安全的不同层面来探讨电子商务中出现的网络安全问题。
(一)系统安全
在电子商务中,网络安全一般包括以下两个方面:
1.信息保密的安全
交易中的商务信息均有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。
2.交易者身份的安全
网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会考虑网上的商店是否是黑店。因此能方便而可靠地确认对方身份是交易的前提。
对于一个企业来说,信息的安全尤为重要,这种安全首先取决于系统的安全。系统安全主要包括网络系统、操作系统和应用系统三个层次。系统安全采用的技术和手段有冗余技术、网络隔离技术、访问控制技术、身份鉴别技术、加密技术、监控审计技术、安全评估技术等。
(1)网络系统
网络系统安全是网络的开放性、无边界性、自由性造成,安全解决的关键是把被保护的网络从开放、无边界、自由的环境中独立出来,使网络成为可控制、管理的内部系统,由于网络系统是应用系统的基础,网络安全便成为首要问题。解决网络安全主要方式有:
网络冗余——它是解决网络系统单点故障的重要措施。对关键性的网络线路、设备,通常采用双备份或多备份的方式。网络运行时双方对运营状态相互实时监控并自动调整,当网络的一段或一点发生故障或网络信息流量突变时能在有效时间内进行切换分配,保证网络正常的运行。
系统隔离——分为物理隔离和逻辑隔离,主要从网络安全等级考虑划分合理的网络安全边界,使不同安全级别的网络或信息媒介不能相互访问,从而达到安全目的。对业务网络或办公网络采用VLAN技术和通信协议实行逻辑隔离划分不同的应用子网。
访问控制——对于网络不同信任域实现双向控制或有限访问原则,使受控的子网或主机访问权限和信息流向能得到有效控制。具体相对网络对象而言需要解决网络的边界的控制和网络内部的控制,对于网络资源来说保持有限访问的原则,信息流向则可根据安全需求实现单向或双向控制。访问控制最重要的设备就是防火墙,它一般安置在不同安全域出入口处,对进出网络的IP信息包进行过滤并按企业安全政策进行信息流控制,同时实现网络地址转换、实时信息审计警告等功能,高级防火墙还可实现基于用户的细粒度的访问控制。
身份鉴别——是对网络访问者权限的识别,一般通过三种方式验证主体身份,一是主体了解的秘密,如用户名、口令、密钥;二是主体携带的物品,如磁卡、IC卡、动态口令卡和令牌卡等;三是主体特征或能力,如指纹、声音、视网膜、签名等。加密是为了防止网络上的窃听、泄漏、篡改和破坏,保证信息传输安全,对网上数据使用加密手段是最为有效的方式。目前加密可以在三个层次来实现,即链路层加密、网络层加密和应用层加密。链路加密侧重通信链路而不考虑信源和信宿,它对网络高层主体是透明的。网络层加密采用IPSEC核心协议,具有加密、认证双重功能,是在IP层实现的安全标准。通过网络加密可以构造企业内部的虚拟专网(VPN),使企业在较少投资下得到安全较大的回报,并保证用户的应用安全。
安全监测——采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络扫描监测系统作为对付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征,广泛用于各行各业。网络扫描是针对网络设备的安全漏洞进行检测和分析,包括网络通信服务、路由器、防火墙、邮件、WEB服务器等,从而识别能被入侵者利用非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告,包括位置、详细描述和建议的改进方案,使网管能检测和管理安全风险信息。
(2)操作系统
操作系统是管理计算机资源的核心系统,负责信息发送、管理设备存储空间和各种系统资源的调度,它作为应用系统的软件平台具有通用性和易用性,操作系统安全性直接关系到应用系统的安全,操作系统安全分为应用安全和安全漏洞扫描。
应用安全——面向应用选择可靠的操作系统,可以杜绝使用来历不明的软件。用户可安装操作系统保护与恢复软件,并作相应的备份。
系统扫描——基于主机的安全评估系统是对系统的安全风险级别进行划分,并提供完整的安全漏洞检查列表,通过不同版本的操作系统进行扫描分析,对扫描漏洞自动修补形成报告,保护应用程序、数据免受盗用、破坏。
(3)应用系统
办公系统文件(邮件)的安全存储:利用加密手段,配合相应的身份鉴别和密钥保护机制(IC卡、PCMCIA安全PC卡等),使得存储于本机和网络服务器上的个人和单位重要文件处于安全存储的状态,使得他人即使通过各种手段非法获取相关文件或存储介质(硬盘等),也无法获得相关文件的内容。
文件(邮件)的安全传送:对通过网络(远程或近程)传送给他人的文件进行安全处理(加密、签名、完整性鉴别等),使得被传送的文件只有指定的收件者通过相应的安全鉴别机制(IC卡、PCMCIAPC卡)才能解密并阅读,杜绝了文件在传送或到达对方的存储过程中被截获、篡改等,主要用于信息网中的报表传送、公文下发等。
业务系统的安全:主要面向业务管理和信息服务的安全需求。对通用信息服务系统(电子邮件系统、WEB信息服务系统、FTP服务系统等)采用基于应用开发安全软件,如安全邮件系统、WEB页面保护等;对业务信息可以配合管理系统采取对信息内容的审计稽查,防止外部非法信息侵入和内部敏感信息泄漏。
(二)数据安全
数据安全牵涉到数据库的安全和数据本身安全,针对两者应有相应的安全措施。
数据库安全——大中型企业一般采用具有一定安全级别的SYBASE或ORACLE大型分布式数据库,基于数据库的重要性,应在此基础上开发一些安全措施,增加相应控件,对数据库分级管理并提供可靠的故障恢复机制,实现数据库的访问、存取、加密控制。具体实现方法有安全数据库系统、数据库保密系统、数据库扫描系统等。
数据安全——指存储在数据库数据本身的安全,相应的保护措施有安装反病毒软件,建立可靠的数据备份与恢复系统,某些重要数据甚至可以采取加密保护。
(三)网络交易平台的安全
网上交易安全位于系统安全风险之上,在数据安全风险之下。只有提供一定的安全保证,在线交易的网民才会具有安全感,电子商务网站才会具有发展的空间。
交易安全标准——目前在电子商务中主要的安全标准有两种:应用层的SET(安全电子交易)和会话层SSL(安全套层)协议。前者由信用卡机构VISA及MasterCard提出的针对电子钱包/商场/认证中心的安全标准,主要用于银行等金融机构;后者由NETSCAPE公司提出针对数据的机密性/完整性/身份确认/开放性的安全协议,事实上已成为WWW应用安全标准。
交易安全基础体系——交易安全基础是现代密码技术,依赖于加密方法和强度。加密分为单密钥的对称加密体系和双密钥的非对称加密体系。两者各有所长,对称密钥具有加密效率高,但存在密钥分发困难、管理不便的弱点;非对称密钥加密速度慢,但便于密钥分发管理。通常把两者结合使用,以达到高效安全的目的。
交易安全的实现——交易安全的实现主要有交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的抵赖等等。具体实现的途径是交易各方具有相关身份证明,同时在SSL协议体系下完成交易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等。
随着电子商务的发展,网上交易越来越频繁,调用每项服务时需要用户证明身份,也需要这些服务器向客户证明他们自己的身份。而保障身份安全的最有效的技术就是PKI技术。
PKI的应用在我国还处于起步阶段,目前我国大多数企业只是在应用它的CA认证技术。CA(CertificationAuthorty)是一个确保信任度的权威实体,主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,并能很好地和其他厂家的CA产品兼容。在不久的将来,PKI技术会在电子商务和网络安全中得到更广泛的应用,从而真正保障用户和商家的身份安全。
三、目前信息安全的研究方向
从历史角度看,我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域,它综合利用了数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。
安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。作为信息安全关键技术密码学,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制,克服了网络信息系统密钥管理的困难,同时解决了数字签名问题,它是当前研究的热点。
目前电子商务的安全性已是当前人们普遍关注的焦点,它正处于研究和发展阶段,并带动了论证理论、密钥管理等研究。由于计算机运算速度的不断提高,各种密码算法面临着新的密码体制,如量子密码、DNA密码、混沌理论等密码新技术出处于探索之中。在我国,信息网络安全技术的研究和产品开发虽处于起步阶段,有大量的工作需要我们去研究、开发和探索,但我们相信在不久的将来,会走出一条有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。
四、结束语
电子商务是以互联网为活动平台的电子交易,它是继电子贸易(EDI)之后的新一代电子数据交换形式。计算机网络的发展与普及,直接带动电子商务的发展。因此计算机网络安全的要求更高,涉及面更广,不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取,以保证系统本身安全性,如服务器自身稳定性,增强自身抵抗能力,杜绝一切可能让黑客入侵的渠道等等。对重要商业应用,还必须加上防火墙和数据加密技术加以保护。在数据加密方面,更重要的是不断提高和改进数据加密技术,使不法分子难有可乘之机。
参考文献:
[1]佚名.解析电子商务安全[EB/OL]./it386/dnwl/,2006-07-25.
[2]佚名.网络构建与维护[EB/OL].chinaec-/second/network.php,2006-07-16.
[3]洪国彬.电子商务安全与管理[M].北京:电子工业出版社,2006.
关键词:电子商务;身份认证;防火墙
1引言
电子商务可以增加销售额并降低成本的优势,使得政府与企业都十分重视并推动电子商务的建设和发展。电子商务发展到今天,主要问题在于时空的分离导致了安全问题的出现,信息的安全性是当前发展电子商务最迫切需要解决的问题之一。研究和分析电子商务的安全性问题,特别是针对企业自身情况,充分借鉴以往电子商务系统开发的先进技术和经验,开发出符合企业特殊的电子商务系统,已经成为目前发展电子商务的关键,而安全体系的构建显得尤为重要。
2电子商务的主要安全要素
目前电子商务工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看,传统的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系,由于距离的限制,因而建立交易双方的安全和信任关系相当困难。时空的分离导致了安全问题的出现,电子商务交易双方(销售者和消费者)都面临安全威胁,电子商务的安全要素主要体现在以下几个方面:
2.1信息真实性、有效性
电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。
2.2信息机密性
电子商务作为贸易的一种手段,其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。
3.3信息完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
3.4信息可靠性、不可抵赖性和可鉴别性
可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。
在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在1nternet上每个人都是匿名的,电子商务系统应充分保证原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。
3电子商务安全系统
网络安全是电子商务的基础。为了保证电子商务交易能顺利进行,要求电子商务平台要稳定可靠,能不中断地提供服务。任何系统的中断,如硬件、软件错误,网络故障、病毒等都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
所以就整个电子商务安全系统而言,安全性可以划分为四个层次,
1)网络节点的安全
2)通讯的安全性
3)应用程序的安全性
4)用户的认证管理
其中2、3、4是通过操作系统和Web服务器软件实现,而网络节点的安全性依靠防火墙保证,我们应该首先保证网络节点的安全性。
3.1网络节点的安全
防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供个相对更安全的平台。
防火墙是在连接Internet和Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
3.2通讯的安全
在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。建立SSL链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。[]
3.3应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。
3.4用户的认证管理
1)身份认证
电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。
2)CA证书
要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。
3)安全套接层SSL协议
安全套接层SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。
SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(CA,CertificateAuthority)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。
SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如Http、Ftp、Telnet等)以保证应用层数据传输的安全性。
SSL协议握手流程由两个阶段组成:服务器认证和用户认证。
①服务器认证
客户端向服务器发送一个“Hello”信息,以便开始一个新的会话连接;服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。这样通过主密钥引出的密钥对一系列数据进行加密来认证服务器,从而建立安全的通信通道。
②用户认证
经认证的服务器发送一个提问给客户,客户则返回数字签名后的提问和其公开密钥,从而向服务器提供认证。SSL协议支持各种加密算法,实现简单,独立于应用层协议,且被大部分浏览器和Web服务器内置,便于在电子交易中应用。但SSL是一个面向连接的协议,起初并不是为了支持电子商务而设计的,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL协议不能协调各方面的安全传输和信任关系。为此,开发出了在网络应用层中专为电子商务而设计的SET协议。
4安全管理
为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。对于所有接触系统的人员,按其职责设定其访问系统的最小权限。按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。
建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。定期检查日志,以便及时发现潜在的安全威胁。
对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。
5结束语
安全实际上就是一种风险管理。任何技术手段都不能保证1OO%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。
参考文献:
[1]吴洋.电子商务安全方法研究[D].天津大学,2006.
[2]李艳.电子商务信息安全策略研究[J].甘肃科技,2005,(06)
关键词:旅游电子商务;特点;问题;发展方向
电子商务几乎覆盖所有的行业和企业,在网络、信息通讯技术发展如此迅猛的今天,利用互联网进行商务活动是每个企业和组织的必然选择。20世纪80年代以来,随着信息技术特别是互联网及相关技术的快速发展,使得经济全球化以前所未有的速度、广度和深度影响着世界各国经济、政治和社会的发展。越来越多的企业充分利用现代信息技术,将商务活动进行武装、改造和创新,从而使商务活动呈现出高效率、低消耗,高拓展、低约束,高收益、低成本,高可靠、低风险,高方便,低烦琐等现代商务形式。
一、旅游电子商务网络模型发展背景
随着人们生活水平的提高,旅游越来越多的进入普通家庭的生活。我国已经从旅游大国迈进旅游强国的行列。2010年1月18日,国家旅游局局长邵琪伟在此间召开的2010年全国旅游工作会议上披露,2009年中国旅游业总收入达1.09万亿元,首次突破1万亿元。2009年国内旅游人数达16.1亿人次,增长15.5%,国内旅游达7771亿元,增长24.7%。在这种具有潜力的市场的推动下,电子商务开始介入到传统旅游业当中。并且,随着新型的商业经营模式电子商务的日趋成熟,旅游电子商务网站发展迅速,2010年全球电子商务销售额达1170亿美元。据CNNIC统计,2010年我国网上商品销售总额达218.56亿元。
从发达国家电子商务发展的经验来看,一个国家整体电子商务发展水平主要取决于传统企业的电子商务水平。美国传统企业早十年前就进入了电子商务,因此网络信息技术的发展自然就不断拉动了这些企业电子商务水平的提高。2009年美国B2C网站中,名列前10名的,90%都是传统企业开设的网站。因此,面对我国目前网络购物的爆发,越来越多的传统企业意识到了网络渠道的重要性,纷纷开始布局:如品牌商李宁、百丽,制造商海尔、蒙牛,渠道商神州数码、邮乐以及零售商苏宁易购、国美电器等等。在此背景下,旅游业也越来越广泛的进入到了电子商务时代。
二、旅游电子商务现存问题
1、多数旅游企业忽视了电子商务
多数旅游企业习惯了传统了旅游经营模式,对电子商务并不重视。虽然有一些旅游企业靠电子商务崛起,比如携程、艺龙等靠电子商务发展起来的龙头,但大部分旅游企业并未重视电子商务。有些旅游企业虽然建设了企业网站,但重视程度不够,满足于网站建成和简单的信息,并未当做企业发展的重点,这成了很多旅游企业的问题。
2、旅游电子商务网站建设落后
现在如果从数量上来看,有了数以万计的旅游网站或者旅游论坛,但是从质量上来看,旅游电子商务的效果还比较弱。很多旅游网站信息更新很慢,内容成就,项目单一雷同,很少有高质量的旅游电子商务网站。除了一些行业龙头,很多旅游企业建立旅游电子商务网站的目的仅仅是为了简单宣传,对于如何有效经营旅游电子商务网站缺乏思考和创新。
3、旅游电子商务人才稀缺
在电子商务时代下,对电子商务人才提出了新的要求。传统旅游企业的人才不能适应电子商务的工作,在旅游电子商务,需要既懂旅游,又懂网络运作的复合型人才,这样的人才先阶段是比较缺乏的。很多旅游企业对这类人才的挖掘和培养缺乏足够的耐心,简单的招募一些计算机类专业人员或者让一些旅游企业的老员工来负责旅游电子商务,导致旅游电子商务变得被动。
4、交易安全缺乏保障
现在,我国缺乏相应的法规制度来保障网络交易的安全,而由于网络的虚拟性,很容易产生很多网络诈骗的犯罪,导致网络安全交易缺乏保障。如果是大型企业,比如淘宝网、拍拍网,有自己的交易系统,如支付宝等来保障自己的交易安全。但对于大多数旅游企业来讲,缺乏相应的办法和手段来保障网络交易的安全,导致中小旅游企业的网络交易非常困难。
5、信用制度有待发展
电子商务有跨越时空,节约大量中间成本,沟通透明,信息充分的很多优点,但是由于电子商务的虚拟性,使得网络与现实可能有一定的区别。有一些旅游企业利用这个特点,虚假宣传,夸大效果,设置陷阱等,导致游客的极大反感。另外,如何取得游客的信任,成为旅游电子商务企业共同的课题。
三、旅游电子商务发展策略
1、战略上重视旅游电子商务
有学者指出,20世纪最重要的是工业革命,而21世纪最重要的则是电子商务。21世纪将会是电子商务的时代,传统的旅游企业必须在战略上重视电子商务,发展电子商务。随着信息技术的发展,网络的普及,智能手机的发展,未来三屏合一的时代里,电子商务将越来越发挥巨大作用,旅游企业对电子商务的重视与否将直接决定旅游企业的命运,必须在战略上非常重视电子商务。
2、有效建设旅游电子商务网站
旅游电子商务网站是旅游企业发展电子商务最重要的窗口,要精心建设旅游电子商务网站,及时更新信息,对网站进行有效管理,发展网站,创新项目,让网站发挥窗口作用。
3、培养旅游电子商务人才
人才是发展旅游电子商务的关键,必须非常重视旅游电子商务人才的培养,要完善旅游电子商务人才培养制度,培养出即懂得旅游,又精通网络经营的旅游电子商务复合型人员,培养精通信息技术的技术人员,培养精通网络运营的商业综合人才,发展旅游电子商务。
4、建立安全的交易制度
虽然现在网络交易还有很多缺陷,但作为核心环节之一的交易制度,旅游企业必须建立有效的安全交易制度,可以依托银行的新的金融体系,也可以依靠行业巨头比如支付宝等,来建立安全的交易制度。
5、建立信用体系
信用是取得消费者信赖,发展旅游企业的根本支柱,没有信用体系的支撑,旅游电子商务只是过眼黄花,要真正发展旅游电子商务,必须诚实守信,真心面对消费者,为游客的满意的旅游体验服务。
综上所述,多数旅游企业忽视了电子商务,旅游电子商务网站建设落后,旅游电子商务人才稀缺,交易安全缺乏保障,信用制度有待发展。只有战略上重视旅游电子商务,有效建设旅游电子商务网站,培养旅游电子商务人才,建立安全的交易制度,建立信用体系才能有效发展旅游电子商务。(作者单位:丽江师范高等专科学校)
参考文献:
[1]金光华《企业信息化与电子商务》[J]上海会计,2009,(4).
随着经济的不断发展,物流企业逐渐强大起来,在科学技术日益发展的今天,电子商务物流也如火如荼的展开,电子商务物流是电子商务和物流相互结合的结果。本文主要就是介绍电子商务物流的定义及其特点,并且分析电子商务物流的模型和模式。
【关键词】
电子商务;电子商务物流;物流;电子商务物流模型
0 引言
电子商务就是传统商业活动的一种电子化和网络化,就是利用互联网、企业内部网等进行电子交易和相关的一些服务活动。物流就是将物品从供应地向接受地进行流动的过程当中,所进行的运输、存储、装卸等一系列工作的结合。而电子商务物流就是将两者结合起来,利用电子商务实现物流的更快速化和科技化。电子商务物流的出现是物流企业的新发展,是物流企业整合资金、商品的趋势和方向,能够最大范围的发挥电子商务的功能,为物流企业带来更多的利润。
1 电子商务物流的介绍
1.1 电子商务物流的概念
目前,对电子商务物流的概念理论界存在着争执,并没有一个统一的定义。有种观念认为电子商务物流是物流的一种相配套的电子商务模式,另一种观念认为电子商务物流是物流企业的电子商务化。本文认为,电子商务物流就是借助于现代科技技术,在互联网的基础上实现物流企业的物流业务。通过电子商务进行物流能够更好的实现物流企业的目的,能够最大限度的满足客户的需求,节约时间,从而提升物流的效率。
1.2 电子商务物流的特点
首先,电子商务物流具有信息化的特点。现代世界已经步入电子商务时代,所以物流业进行信息化也是趋势和方向。物流信息化主要表现在物流信息的商品化、物流信息收集的数据库化等,还有就是物流信息存储能够实现数字化。鉴于物流的信息化,相应的就需要条码技术、数据库技术、电子订货系统(如图一)等技术。
其次,电子商务物流具有自动化的特点。信息化就构成了自动化的基础,而自动化主要通过无人操作,更能节省人力,从而提高劳动生产率、减少错误率。电子商务物流的自动化同样需要很多的系统,比如自动分拣系统、自动存取系统等。再次,电子商务物流具有网络化的特点。物流配送中心和供应商的联系需要计算机网络,配送中心和客户之间的联系一般也是通过计算机联系,因而具有网络化的特点。
2 电子商务物流模型
电子商务模型一般包括三个,第一商务服务,第二是配送服务,第三是信息服务。物流企业利用电子技术进行电子商务物流是一种现代趋势,必将给物流企业带来一番新的气象、注入新鲜活力。将电子商务的优势在物流业务中发挥最大的优势。电子商务物流并不是物流和电子商务的简单相加,而是最大限度的发挥电子商务企业的优势和物流企业的优势。
电子商务物流也是随着时代变化而不断发展的,纵观电子商务物流的发展历史,大约经历了三个阶段,第一个是传统的物流包括运输、配送、仓储、包装等步骤;第二个阶段是电子化物流,主要是传统物流、自动化仓储系统、订单跟踪系统等步骤;第三个阶段才是电子商务物流阶段,首先是物流电子化,然后客户进行在线订单,利用第三方支付平台进行资金交易,电子商务开始进行信息化服务。
3 电子商务物流的重要性
3.1 电子商务物流能够保证电子商务交易的安全
在电子商务的发展过程当中,首先要关注的问题时保证电子商务的交易安全,因为传统的交易一般是比较安全的,但是电子商务是在利用计算机这种虚拟的网站进行交流,所以需要采取措施让顾客享受到安全的交易环境。在电子商务物流中,可以在配送实物的过程中直接和顾客进行交流,这样就能够确保交易的相对安全,而在直接面对面的交流中可以实现电子商务交易的实名制。与此同时,还可以在全国各地的物流配送中心实行一种信用制度,交易双方提前在该中心进行登记,从而有效的保证交易双方的信用度。
3.2 电子商务物流支持网上支付和货到付款方式
很多顾客在网上买东西进行消费,但是一旦进行网上支付总会觉得不如传统的面对面交易安全,这也阻挡了一部分人进行网上消费。但是电子商务物流就解决了这一问题,因为电子商务物流支持货到付款方式,能够在配送实物过程中直接和顾客进行接触,从而满足了顾客的安全心理,顾客可以选择现金交易,也可以选择利用刷卡等方式进行交易。
3.3 电子商务物流更加方便、快捷
目前,很多物流企业面临的一个困境是配送较慢,尤其是在一些节假日,比如十一、元旦等,配送更慢。而电子商务物流就能够实现配送的快捷和便利化,因为拥有完善的物流配送系统,从而快捷的实现实物配送。同时,当顾客不满意电子购物时,往往面临着退货,传统的电子商务往往需要顾客在网上与买家进行联系,很不方面。而电子商务物流就可以让顾客直接和物流配送中心进行联系,进行退货,方便而又快捷。
3.4 电子商务物流能够提供有效的解决方案
物流企业需要解决的问题有很多,比如仓储、配送等问题,而电子商务物流能够实现自动仓储等,为物流企业带来更多的便利,提高效率。电子商务物流作为信息技术应用提供者,从而在信息方面为企业提供一些解决方案,比如为企业的客户关系管理提供一些信息方案,为企业的资源计划提供一些信息解决方案。
3.5 电子商务物流能够为物流企业带来新的发展
物流企业的未来发展方向就是电子商务物流,物流企业已经不再是传统的企业,而是拥有技术化的企业,因此,利用信息技术的电子商务物流将是以后的发展趋势。
4 总结
电子商务物流能够最大化的简化物流业务流程,而且还会降低物流业务的运行成本,从而提高经济效益。现代物流企业要向在市场经济中取得胜利,就需要利用电子商务物流,采取正确的营销方案,从而实现竞争优势。
【参考文献】
[1]严佳明.经济不景气环境下大型集装箱船舶经济性分析与对策研究[D]. 上海交通大学 2013
