发布时间:2023-09-18 17:19:50
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的电子商务安全事件样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
一、私有密钥加密法
(一)含义
私有密钥加密,指在计算机网络上甲、乙两用户之间进行通信时,发送方甲为了保护要传输的明文信息不被第三方窃取,采用密钥A对信息进行加密而形成密文M并发送给接收方乙,接收方乙用同样的一把密钥A对收到的密文M进行解密,得到明文信息,从而完成密文通信目的的方法。这种信息加密传输方式,就称为私有密钥加密法。此加密法的一个最大特点是,信息发送方与信息接收方均需采用同样的密钥,具有对称性,所以私有密钥加密又称为对称密钥加密。
(二)应用原理
具体到电子商务,很多环节要用到私有密钥加密法。例如,在两个商务实体或两个银行之间进行资金的支付结算时,涉及大量的资金流信息的传输与交换。这里以发送方甲银行与接收方乙银行的一次资金信息传输为例,来描述应用私有密钥加密法的过程:银行甲借助专业私有密钥加密算法生成私有密钥A,并且复制一份密钥A借助一个安全可靠通道(如采用数字信封)秘密传递给银行乙;银行甲在本地利用密钥A把信息明文加密成信息密文;银行甲把信息密文借助网络通道传输给银行乙;银行乙接受信息密文;银行乙在本地利用一样的密钥A把信息密文解密成信息明文。这样银行乙就知道银行甲的资金转账通知单的内容,结束通信。
(三)常用算法
世界上一些专业组织机构研发了许多种私有密钥加密算法,比较著名的有DES(DataEncryptionStandard,数据加密标准)算法及其各种变形、国际数据加密算法IDEA等。DES算法由美国国家标准局提出,1977年公布实施,是目前广泛采用的私有密钥加密算法之一,主要应用于银行业中的电子资金转账、军事定点通信等领域,比如电子支票的加密传送。经过20多年的使用,已经发现DES很多不足之处,随着计算机技术进步,对DES的破解方法也日趋有效,所以更安全的高级加密标准AES(AdvancedEncryptionStandard,先进加密标准)将会替代DES成为新一代加密标准。
(四)优缺点
私有密钥加密法的主要优点是运算量小,加解密速度快,由于加解密应用同一把密钥而应用简单。在专用网络中由于通信各方相对固定、所以应用效果较好。但是,私有密钥加密技术也存在着以下一些问题:一是分发不易。由于算法公开,其安全性完全依赖于对私有密钥的保护。因此,密钥使用一段时间后就要更换,而且必须使用与传递加密文件不同的途径来传递密钥,即需要一个传递私有密钥的安全秘密渠道,这样秘密渠道的安全性是相对的,通过电话通知、邮寄软盘、专门派人传送等方式均存在一些问题。二是管理复杂,代价高昂。私有密钥密码体制用于公众通信网时,每对通信对象的密钥不同,必须由不被第三者知道的方式,事先通知对方。随着通信对象的增加,公众通信网上的密码使用者必须保存所有通信对象的大量的密钥。这种大量密钥的分配和保存,是私有密钥密码体制存在的最大问题。三是难以进行用户身份的认定。采用私有密钥加密法实现信息传输,只是解决了数据的机密性问题,并不能认证信息发送者的身份。若密钥被泄露,如被非法获取者猜出,则加密信息就可能被破译,攻击者还可用非法截取到的密钥,以合法身份发送伪造信息。在电子商务中,有可能存在欺骗,别有用心者可能冒用别人的名义发送资金转账指令。因此,必须经常更换密钥,以确保系统安全。四是采用私有密钥加密法的系统比较脆弱,较易遭到不同密码分析的攻击。五是它仅能用于对数据进行加解密处理,提供数据的机密性,不能用于数字签名。
二、公开密钥加密法
(一)定义与应用原理
公开密钥加密法是针对私有密钥加密法的缺陷而提出来的。是电子商务应用的核心密码技术。所谓公开密钥加密,就是指在计算机网络上甲、乙两用户之间进行通信时,发送方甲为了保护要传输的明文信息不被第三方窃取,采用密钥A对信息进行加密而形成密文M并发送给接收方乙,接收方乙用另一把密钥B对收到的密文M进行解密,得到明文信息完密文通信目的的方法。由于密钥A、密钥B这两把密钥中其中一把为用户私有,另一把对网络上的大众用户是公开的,所以这种信息加密传输方式,就称为公开密钥加密法。与私有(对称)密钥加密法的加密和解密用同一把密钥的原理不同,公开密钥加密法的加密与解密所用密钥是不同的,不对称,所以公开私有密钥加密法又称为非对称密钥加密法。公开密钥加密法的应用原理是:借助密钥生成程序生产密钥A与密钥B,这两把密钥在数学上相关,对称作密钥对。用密钥对其中任何一个密钥加密时,可以用另一个密钥解密,而且只能用此密钥对其中的另一个密钥解密。在实际应用中,某商家可以把生成的密钥A与密钥B做一个约定,将其中一把密钥如密钥A保存好,只有商家自己知道并使用,不与别人共享,叫作私人密钥;将另一把密钥即密钥B则通过网络公开散发出去,谁都可以获取一把并能应用,属于公开的共享密钥,叫做公开密钥。如果一个人选择并公布了他的公钥,其他任何人都可以用这一公钥来加密传送给那个人的消息。私钥是秘密保存的,只有私钥的所有者才能利用私钥对密文进行解密,而且非法用户几乎不可能从公钥推导出私钥。存在下面两种应用情况:一是任何一个收到商家密钥B的客户,都可以用此密钥B加密信息,发送给这个商家,那么这些加密信息就只能被这个商家的私人密钥A解密。实现保密性。二是商家利用自己的私人密钥A对要发送的信息进行加密进成密文信息,发送给商业合作伙伴,那么这个加密信息就只能被公开密钥B解密。这样,由于只能应用公开密钥B解密,根据数学相关关系可以断定密文的形成一定是运用了私人密钥A进行加密的结果,而私人密钥A只有商家拥有,由此可以断定网上收到的密文一定是拥有私人密钥A的商家发送的。
(二)应用过程
具体到电子商务,很多环节要用到公开密钥加密法,例如在网络银行客户与银行进行资金的支付结算操作时,就涉及大量的资金流信息的安全传输与交换。以客户甲与乙网络银行的资金信息传输为例,来描述应用公开密钥加密法在两种情况下的使用过程。首先,网络银行乙通过公开密钥加密法的密钥生成程序,生成自己的私人密钥A与公开密钥B,私人密钥A由网络银行乙自己独自保存,而公开密钥B已经通过网络某种应用形式(如数字证书)分发给网络银行的众多客户,当然客户甲也拥有一把网络银行乙的公开密钥B。
1.客户甲传送一“支付通知”给网络银行乙,要求
“支付通知”在传送中是密文,并且只能由网络银行乙解密知晓,从而实现了定点保密通信。客户甲利用获得的公开密钥B在本地对“支付通知”明文进行加密,形成“支付通知”密文,通过网络将密文传输给网络银行乙。网络银行乙收到“支付通知”密文后,发现只能用自己的私人密钥A进行解密形成“支付通知”明文,断定只有自己知晓“支付通知”的内容,的确是发给自己的。
2.网络银行乙在按照收到的“支付通知”指令完成支付转账服务后,必须回送客户甲“支付确认”,客户甲在收到“支付确认”后,断定只能是网络银行乙发来的,而不是别人假冒的,将来可作支付凭证,从而实现对网络银行业务行为的认证,网络银行不能随意否认或抵赖。网络用户乙在按照客户甲的要求完成相关资金转账后,准备一个“支付确认”明文,在本地利用自己的私人密钥A对“支付确认”明文进行加密,形成“支付确认”密文,通过网络将密文传输给客户甲。客户甲收到“支付确认”密文后,虽然自己有许多密钥,有自己的,也有别人的,却发现只能用获得的网络银行乙的公开密钥B进行解密,形成“支付确认”明文,由于公开密钥B只能解密由私人密钥A加密的密文,而私人密钥A只有网络银行乙所有,因此客户甲断定这个“支付确认”只能是网络银行乙发来的,不是别人假冒的,可作支付完成的凭证。
(三)算法
当前最著名、应用最广泛的公开密钥系统是RSA(取自三个创始人的名字的第一个字母)算法,RSA算法是第一个能同时用于加密和数字签名的算法,也易于理解和操作。目前电子商务中大多数使用公开密钥加密法进行加解密和数字签名的产品和标准使用的都是RSA算法。RSA算法是基于大数的因子分解,而大数的因子分解是数学上的一个难题,其难度随着模数n的位数加多而提高,网络交易安全随之提高。(四)优缺点优点是可以在不安全的媒体上通信双方交换信息,不需共享通用密钥,用于解密的私钥不需发往任何地方,公钥在传递与过程中即使被截获,由于没有与公钥相匹配的私钥,截获公钥也没有意义。能够解决信息的否认与抵赖问题,身份认证较为方便。密钥分配简单,公开密钥可以像电话号码一样,告诉每一个网络成员,商业伙伴需要好好保管的只是一个私人密钥。而且密钥的保存量比起私人密钥加密少得多,管理较为方便。最大的缺陷就在于它的加解密速度慢。
本文通过对不同电子商务强度的公司做网络安全投资回报计算,进而在经济性的基础上,对采用各种主要措施来加强网络安全技术防范进行评价,从而帮助企业在投资网络安全上做有效选择,此研究无论从理论上还是实践上都具有重要的现实意义。
[关键词] 投资 网络安全 经济性
笔者所在公司的计算机网络经常会遇到各种各样的安全问题,主要包括病毒感染、恶意攻击和疏忽大意。公司内部建立了一个局域网,有400多台电脑通过一个服务器与外网连接,同时,公司有自己的OA系统和正式对外信息的网站,这些都对网络系统的安全性提出了较高要求。
几年来,我在管理公司整个网络系统安全的过程中,在为地税系统做安全服务时,参照研究了国内外一些主要从事电子商务网站的经验(主要是阿里巴巴网站和CISCO公司),并根据本企业实际情况和经常发生的安全问题,采取了一些较为适用的安全防范措施。在不断的选用和比较中,我对投资网络安全所带来的经济回报有了一定的认识。
事实上,许多企业都愿意采用一个相对通用的方案来评价在网络安全活动和过程中的投资行为,一般是由一个专门的部门用多年时间来搜集数据,然后帮助企业形成一个结构良好的通用的投资回报分析报告。处理这些通用数据需要一些步骤,如下所示:
1.分析潜在经济影响
2.明确电子商务强度
3.检验安全成本
4.计算一个通用的安全投资回报
一、分析潜在经济影响
对于病毒和入侵,企业一般面临三种类型的经济性影响――直接性经济影响、短期性经济影响和长期性经济影响。据国家公安部公共信息网络安全监察局的调查结果显示,2005年5月~2006年5月间,有54%的被调查单位发生过信息网络安全事件,其中,感染计算机病毒、蠕虫和木马程序的安全事件为84%,遭到端口扫描或网络攻击的占36%,垃圾邮件占35%。未修补和防范软件漏洞仍然是导致安全事件发生的最突出原因,占发生安全事件总数的73%。
对于一个以网络为支撑的、单一业务的企业,恶意攻击给其带来的经济性影响如表1所示。
表 1
来源: 《公安部公共信息网络安全监察局》
在提交公司的调研报告上,我参照研究了《计算机经济》上的数据,如表2所示。如果针对恶意攻击,企业没有采用足够的安全防护,那些能够预测到发生的平均经济影响。可以看出,对电子商务技术依赖的越多,恶意攻击所带来的负面经济影响就越大(表中节点数是指连接到网络上的设备)。
表2
来源:《计算机经济》
表中的结果是过去五年的历史数据所做的平均值,主要包括清除被恶意代码感染系统的成本,黑客攻击和入侵的恢复成本,收入损失和员工生产率降低。我公司属于低强度电子商务公司,有500个节点,从2005年、2006年两年的各种安全技术、设备的使用对比中发现:恶意攻击给我公司带来的经济影响要相对小于表2提供的数据,但如果算上短期经济影响,基本符合了数值取向。阿里巴巴网站算是一家高强度电子商务公司,由于其具备网上实时交易的特性,所以它的安全等级要求极高,而根据该公司曾提及的蠕虫病毒等网络攻击给其带来的损失来看,要远大于表2提供数据。
二、明确电子商务的强度
在明确一家企业电子商务强度的时候,需要考虑的、能支持该公司电子商务强度的因素如下:
1.信息系统员工岗位是否多样化
2.是否有合适的电子商务软件
3.是否有自己的网站、有多条互联网接入
4.是否用信息技术支持电子通信
5.是否有基于网络的B2B、B2C交易
6.是否通过网站进行电子数据交换
7.是否支持通过直接拨号与供应商、消费者进行电子数据交换
三、安全成本有哪些
花费在安全方面的IT预算很难确定标准。近来大部分的研究表明,多数企业在安全方面花费不足2%的IT预算。在企业内,系统的可用性、数据的完整性和保密性都极度重要,国内有些专家呼吁,企业应花费其IT预算总额的5%用于安全。
事实上,安全方面的预算支出常常是一个经验值,通过一些基础数据,逐步摸索出一个相对经济的安全防范成本。安全防范的成本可以被划分为许多子类,而且不同的企业差异也很大。
四、计算一个通用的安全投资回报
当要计算安全投资回报时,一定要考虑使用一些变量。首先应该考虑的是耗费在安全方面的资金量。其次,明确当前的威胁水平,或者至少是知道当前的威胁大概什么样。最后,还有法律、法规和安全的要求,这需要不同类型的组织采取一些有效措施来保护信息免受攻击。为达到合法、合规的目的,这些组织就需要花费成本,也许会超过平衡点,以此来帮助企业告知当前威胁水平(这点,我们企业经常会接到哈尔滨市网络安全管理局定期的网络病毒报告)。
在电子商务企业中,恶意攻击对潜在的经济影响是相当大的,这也增加企业对安全产品和相关人员的需求。
五、总结
如果能够相对清晰地计算你的投资回报,这将有利于你在网络安全方面做正确的决定,将拥有一个安全的基础来进行信息共享,可以通过电子商务来增加你的收入,可以通过提高人员效率来增加企业利润。
参考文献:
[1]张宽海:《电子商务概论》,机械工业出版社,2003年
[2]丘晓理:《部属安全的无线局域网络》,摘自《计算机世界――技术与应用》,2006年第37期
随着现代计算机网络技术和信息技术的飞速发展,电子商务得到了越来越广泛的应用,越来越多的企业和个人用户依赖于电子商务的高效和快捷而进行着各种商务活动。电子商务顺利开展的核心和关键问题是保证交易的安全性,这是网上交易的基础。电子商务是以计算机和开放的网络为基础载体的,大量重要的身份信息、金融信息、交易信息都需要在网上进行电子的传输,电子商务安全支付问题成为大家共同关心的问题。伴随着各种移动终端和无线网络的不断发展和完善,移动支付在不仅是一个重要的机遇,同时也带来了一个重大的挑战。
2电子商务及信息安全现状
近年来,电子商务开始了蓬勃地发展,但电子商务安全隐患严重地影响了电子商务的进行。信息安全问题成为制约我国电子商务发展的重要因素还是,因此,必须从技术上为电子商务交易活动提供机密性、完整性、真实性和抗抵赖性等安全保障。我们将从电子商务和信息安全两个方面分别进行讨论。
2.1 电子商务发展现状
依据国家互联网中心(CNNIC)的最新报告,2013年网络购物市场继续快速向前发展,交易金额达到1.85万亿元,较2012年增长40.9%。2013年网络零售市场交易总额占社会消费品零售总额的7.9%。
截至2013年12月,我国网络购物用户规模达到3.02亿,较上年增加5987万,增长率为24.7%,使用率从42.9%提升至48.9%。网购用户规模的快速扩张为网购市场的发展奠定良好的用户基础,释放着巨大的市场潜力。
2.2 信息安全现状
近年来,虽然安全软件逐渐普及、防范能力不断加强,但新的病毒、诈骗手段和骚扰手段不断涌现,安全软件防范难度加大,安全事件发生概率仍然较高。整体上来讲,我国信息安全环境仍不容乐观,有74.1%的网民在过去半年内遇到过安全事件,总人数达4.38亿。
电脑网上购物发生安全问题的网民数占整体电脑上网人数的4.0%,影响人口达2010.6万人。电脑网上购物发生安全事故较多的是遇到欺诈信息,在网购安全事故发生人群中的发生比例达75.0%;其次为假冒网站/诈骗网站,比例为60.7%;其它方面,个人信息泄露比例达42.9%、账号密码被盗比例达23.8%、中病毒和木马的情况为22.6%。
网购时发生这些安全事件,不仅给购物者造成损失,同时也影响电子商务的健康发展。
3电子支付安全
在电子商务的交易完成后,如何保证交易的任何一方无法否认已发生的交易。这些安全问题将在很大程度上限制电子商务的进一步发展,因此如何保证Internet 网上信息传输的安全,已成为发展电子商务的重要环节。电子支付涉及到大量资金流的转移以及个人隐私或商业机密,而这种支付是发生在开放性程度非常高的互联网上,必须从技术上为电子商务交易活动提供机密性、完整性、真实性和抗抵赖性等安全保降。因此,要对网上安全电子支付提出以下的要求:
(1)交易数据的保密性。保密性是网络信息不被泄露给非授权的用户、实体或过程,或供其利用的特性。即,防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。电子支付过程主要处理与金融数据有关的信息, 数据处理量大,且每笔数据都会影响到一定的经济利益,因此,交易过程中产生的与支付有关的数据应该被严格保密, 除交易双方以及被授权第三方外,必须保护支付交易的私密性,同时要防止信息被越权访问。
(2)交易数据的完整性。完整性是网络信息未经授权不能进行改变的特性。即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。交易数据在网络上传输过程中的完整性和有效性,即发送方发出的数据与接收方收到数据应该是相同的、未经更改的。
(3)交易数据的不可抵赖性。不可抵赖性也称作不可否认性,在网络信息系统的信息交互过程中,确信参与者的真实同一性。即,所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地否认已发送信息,利用递交接收证据可以防止收信方事后否认已经接收的信息。
电子商务交易过程是双方或者是多方的,其中一方抵赖自己的交易都会给另一方带来利益损失,因此必须保证交易双方在交易后都无法否认和抵赖。
4电子商务支付安全中主流技术
电子支付中交易信息的安全在很大程度上依赖于网络信息安全技术的完善,电子商务安全是信息安全的上层应用, 它包括的技术范围比较广, 主要分为数据加密技术和身份认证技术两大类。
4.1数据加密技术
加密技术是保证电子商务中采用的主要安全措施, 交易双方可根据需要在信息交换阶段使用。在一个加密过程中有两个基本元素: 算法和密钥。加密过程就是根据一定的算法, 将可理解的数据(明文) 与一串数字( 密钥) 相结合, 从而产生不可理解的密文的过程, 主要加密技术是对称密文加密和非对称加密
(1)对称密文加密。对称密钥加密又称为秘密密钥加密, 即收发双方采用相同的密钥来进行加密和解密, 对称密钥加密的最大优点是加解密速度快, 适合于进行大量数据加密, 但也存在密钥管理、困难以及无法进行身份鉴别的缺点。
(2)非对称密钥加密。非对称密钥加密也称为公开密钥加密, 每个用户有一对密钥:一个用于加密, 一个用于解密, 两把密钥实际上是两个很大的质数, 加解密过程。其中, 加密密钥(公钥) 可以在网络服务器、报刊等场合公开, 而解密密钥(私钥) 则属用户的私有密钥, 由公开的加密密钥导出私有的解密密钥在技术上是不可实现的。与对称密钥加密相比, 采用非对称密钥加密方式密钥管理较方便, 且保密性比较强, 但加解密实现速度比较慢, 不适用于通信负荷较重的应用。
数据加密技术是信息安全的基础,加密的主要目的是防止信息的非授权泄露、保证交易信息的保密性、完整性和不可抵赖性的要求。
4.2主流身份认证方式
身份认证技术是指计算机及网络系统确认操作者身份的过程所应用的技术手段。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应。
(1)用户名口令。针对盗取密码的恶意软件越来越多
(2)动态口令。动态口令也称动态密码,是根据专门的算法每隔一定时间生成一个与时间相关的随机密码。用户进行认证时候,除输入账号和静态口令之外,必须要求输入动态口令。通过“动态密码”登录的用户没有电子签名,这样也就没有具有法律效力的认证材料。因此,“动态密码”它只适用于金额小的交易,对于金额大、使用频繁的用户,其安全性存在一定的风险。
(3)数字证书。数字证书是由权威公正的第三方机构(即CA中心)签发的证书。它的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性。为解决这些Internet 的安全问题,世界各国对其进行了多年的研究,初步形成了一套完 整的Internet 安全解决方案,即被广泛采用的PKI 技术(Public Key Infrastructure-公钥基础设施)。公钥基础设施PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。采用基于PKI 结构结合数字证书,通过把要传输的数字信息进行加密,保证信息传输的保密性、完整性,签名保证身份的真实性和抗抵赖。
(4)生物特征识别。生物识别技术主要是指通过人类生物特征进行身份认证的一种技术。由于人的生物特征具有唯一性和稳定性的特点,并且可随身携带、不易被盗、不易被伪造、不易丢失,所以生物特征识别成为目前最安全的身份认证技术。但是,生物特征识别通常需要昂贵的专用设备、受使用环境限制等缺点,在电子支付中较少采用。
每一种身份认证方式都有其优势也存在一定的局限性。动态密码以方便便捷且与平台无关性,通过电脑、手机、IPAD都可以使用等优点在网银、网游、电信领域成为电子支付重要的身份认证方式,主流产生形式有手机短信、硬件令牌、手机令牌等。基于数字证书的身份认证是电子支付中最安全解决方案。但是,需要专用的硬件和客户支持,使用不如动态密码方便快捷,一般用于大额电子交易。
5电子商务发展趋势
依据CNNIC报告,2014年电子商务类应用整体行业发展态势良好,手机支付是亮点。随着线上与线下渠道的打通及多类移动应用的服务带动,手机支付呈现爆发式增长,手机网上支付、手机网络购物、手机网上银行和手机网上预订应用网民规模年增长速度均超过100%。手机网络购物在移动端商务市场发展迅速,用户规模达到1.44亿,使用率从13.2%提升到28.9%。
截至2014年6月,我国手机网民规模达5.27亿,较2013年底增加2699万人,网民中使用手机上网的人群占比进一步提升,由2013年的81.0%提升至83.4%,手机网民规模首次超越传统PC网民规模。
随着移动电子商务的普及和发展,移动支付业务受到了越来越多的关注,而其安全性更是成为大众关注的焦点。由于移动终端种类繁杂、使用环境也更为复杂、基于数字证书的身份认证和数字签名技术兼容性和成熟度远不及PC平台,并且移动终端本身的安全性问题也给动态口令等身份认证方式带来了新的安全问题和挑战。
[关键词] 电子商务 静态密码 网络安全 客户证书 动态密码
电子商务源于英文ELECTRONIC COMMERCE,指的是利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动。随着电子商务的普及,人们已经习惯于网上购物,网上银行和电子支付等新兴事物,然而网络安全始终是制约电子商务发展的一个主要瓶颈。
一、电子商务的身份认证
在电子商务活动中,由于所有的个人和交易信息要在一个开放的网络(如Internet)进行传输和交换,故我们需要身份认证技术去验证客户的身份。身份认证一般基于客户拥有什么(如令牌,智能卡或者ID卡),客户知道什么(如静态密码),客户有什么特征(如指纹,虹膜和脑电波等)。国内外常见身份认证技术包括:用户名/密码方式 、IC卡认证、USB Key认证和生物特征认证等。随着网络和黑客技术的发展,用户名/密码方式认证已经被证明是不安全的。由于静态的密码方案不能抵御重放攻击,字典攻击且密码容易忘记, 所以其安全性是很低的,不能满足电子商务中身份认证的要求。目前国内外的一些较成熟的身份认证技术,基本上是用硬件来实现的(如IC卡和USB Key认证技术等)。
二、各种身份认证技术的比较
1. 静态的用户名和口令方案。在众多的身份认证方案中,静态的用户名和口令方案至今仍是使用最广泛的方案,特别是针对那些安全性要求不强的应用场合,如论坛,BBS和电子信箱。目前公司和个人受到网络攻击的主要原因是静态密码政策管理不善。大多数用户使用的密码都是字典中可查到的普通单词、姓名或者其他简单的密码。有86%的用户在所有网站上使用的都是同一个密码或者有限的几个密码。最近一次全国性安全事件发生在2011年12月。当时CSDN的安全系统遭到黑客攻击,600万用户的登录名、密码及邮箱遭到泄漏。黑客在获取了CSDN的用户登录名和密码后,再用这个密码尝试登录注册邮箱,如果成功则利用很多网站常用的密码取回功能得到了该用户的其他关联网站的账号和密码。总而言之,静态密码身份认证方案的优点是实施成本低,不需要购置特殊的设备,用户体验性好,但其安全性较低。
2. 客户证书USBKey(U盾)方案。从技术角度看,客户证书USBKey是用于网上银行电子签名和数字认证的工具,它内置微型智能卡处理器,采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名,确保网上交易的保密性、真实性、完整性和不可否认性。目前国内几大商业银行,如工商银行、农业银行和交通银行等都采用了USBKey方案。网络黑客即使知道了客户的登录密码和支付密码,但如果没有USBKey在手,黑客还是不能够从你的帐户转出一分钱。故这种身份认证方式可以很好地避免账号、密码被盗等可能出现的风险。USBKey方案的优点是安全性很强,但由于涉及到了硬件故其成本较高,且USBKey使用前需要先安装驱动。对于一些常常出差或者需要在不同机器上使用USBKey的客户来说,由于计算机各种操作系统(如Windows和Linux)和硬件(各种不同品牌机器)的差异性,可能在安装时会遇到一些兼容性问题,这大大减低了用户的体验满意度。
3.短信认证方案。目前一些大型电子商务网站往往采取“静态密码+短信认证”方案。该类系统使用数字物理噪声源产生完全随机变化的动态(验证)密码,并通过无线通信方式将该动态密码发送到用户的无线通信终端(寻呼机或移动电话等) 上。譬如支付宝网站在用户支付小额金额时只需输入支付密码,但额度如果超过一定额度(如200元),则支付宝网站向用户手机(注册时登记的号码)发一条验证短信,然后用户在网站上输入6位的手机验证码和支付密码后才能完成付款。采用这种身份认证方式的优点是既保证了小额支付的快捷性,又保证了大额支付的安全性。但由于该认证系统的实时性和稳定性在很大的程度上依赖于无线通信网的状态,当网络出现拥塞时将导致验证密码传输会有较大的时延,甚至将使系统无法正常完成身份认证过程,而且由于短信的发送会产生大量的短信费用,对中小型电子商务网站来说仍然是不小的开销。
4.动态口令认证方案。动态口令又称为一次性口令OTP(One-Time-Password),其特点是用户根据服务商提供的动态口令令牌的显示数字来输入动态口令,而且每个登录服务器的口令只使用一次,窃听者无法用窃听到的登录口令来做下一次登录,同时利用单向散列函数(如 Sha-1算法等)的不可逆性,防止窃听者从窃听到的登录口令推出下一次登录口令。中国银行就是采用了动态口令认证方案。该方案的特点使用简单,用户无须安装任何驱动,操作时只需输入当前显示的6位动态口令即可。其不足之处是安全性没有USBKey强,如在2011年上半年,全国各地出现了多起中国银行动态口令泄露安全事件。黑客们首先设计了多个钓鱼网站,然后引诱中银用户输入登录密码和动态口令。动态口令虽然为一次性口令,但其在60秒之内是可反复使用的。故黑客得到了用户的登录密码和动态口令之后,只要在1分钟内登录进真正的中银系统后就可以完成转账等窃取用户资金的操作了。
三、结束语
作为一种商务活动过程,电子商务将带来一场史无前例的革命,而电子商务网站的安全性问题也越来越受到人们的重视,其身份认证也已从最初的逻辑认证发展到物理认证最终将达到生物认证,希望在不久的将来安全可靠的电子商务会将人类真正带入信息社会。
[关键词] 电子商务 加密技术 数字签名
一、引言
随着Internet的发展,电子商务已经逐渐成为人们进行商务活动的新模式。越来越多的人通过Internet进行商务活动。电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。电子商务安全问题是电子商务发展中的一个主要障碍。电子商务安全技术的应用为建立一个安全、便捷的电子商务应用环境,对商家和客户的信息提供足够的保护,起着关键性的作用。
二、电子商务面临的安全问题
1.信息的截获和窃取
由于未采用加密措施,信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
2.篡改信息
当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。
3.信息假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
4.交易抵赖
交易抵赖包括多个方面,如发信者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条消息或内容;购买者做了订单不承认;商家卖出的商品因价格差而不承认原有的交易等。
5.恶意破坏
由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
三、电子商务安全技术
1.密码技术
密码技术是信息安全的核心技术。对信息安全的需求大部分可以通过密码技术来实现。密码技术包括加密、签名认证和密钥管理技术等。
(1)加密技术。数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。加密技术通常分为两大类:“对称式”和“非对称式”。加密技术是保证电子商务安全的重要手段,许多密码算法现已成为网络安全和商务信息安全的基础。
(2)数字签名。在电子商务安全系统中,数字签名技术占有重要的地位。在电子商务安全服务中的源鉴别、完整、不可否认服务中,都要用到数字签名技术。数字签名就是基于加密技术的,它的作用就是用来确定用户是否是真实的。目前,数字签名一般都通过单向Hash函数来实现,它可以验证交易双方数据的完整性。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。数字签名技术将具有广阔的应用前景,它将直接影响电子商务的发展。
(3)密钥管理技术。密钥管理包括密钥的产生、存储、装入、分配、保护、丢失、销毁以及保密等内容。其中分配和存储是最棘手的问题。密钥管理不仅影响系统的安全性,而且涉及系统的可靠性、有效性和经济性。在用密码技术保护的现代信息系统的安全性主要取决于对密钥的保护。密钥管理技术主要包括:对称密钥管理;公开密钥管理,第三方托管技术。
2.网络安全技术
(1)防火墙技术。防火墙可以根据网络安全水平和可信任关系将网络划分成一些相对独立的子网,两侧间的通信受到防火墙的检查控制;可以根据既定的安全策略允许特定的用户和数据包穿过,同时将安全策略不允许的用户与数据包隔断,达到保护高安全等级的子网、防止墙外黑客的攻击、限制入侵蔓延等目的。防火墙具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和告警。目前的防火墙主要有两种类型。其一是包过滤型防火墙,其二是应用级防火墙。
(2)虚拟专用网VPN技术。虚拟专用网VPN是一种特殊的网络,它采用一种叫做“通道”或“数据封装”的系统,用公共网络及其协议向贸易伙伴、顾客、供应商和雇员发送敏感的数据。这种通道是Internet上的一种专用通道,可保证数据在外部网上的企业之间安全地传输。在VPN中,只要通信的双方默认即可,没有必要为所有的VPN进行统一的加密和认证。现有的或正在开发的数据隧道系统可以进一步增加VPN的安全性,因而能够保证数据的保密性和可用性。VPN实现的关键技术是隧道技术、加密技术和QoS(服务质量)技术。
(3)入侵检测技术。入侵检测技术是防火墙技术的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。其最重要的价值之一是它能提供事后统计分析,所有安全事件或审计事件的信息都将被记录在数据库中,通过从各个角度对这些事件进行分析归类,可以总结出被保护网络的安全状态的现状和趋势,及时发现网络或主机中存在的问题或漏洞,并可归纳出相应的解决方案。入侵检测的主要方法有:静态配置分析,异常性检测方法、基于行为的检测方法及几种方法的组合。
(4)安全交易协议。除了各种安全控制技术之外,电子商务的运行还需要一套完整的安全交易协议。不同交易协议的复杂性、开销、安全性各不同。同时,不同的应用环境对协议目标的要求也不尽相同。目前,比较成熟的协议有安全套接层协议(SSL)和安全电子交易协议(SET)。
三、小结
用于保护电子商务的安全控制技术很多,并非把这些技术简单地组合就可以得到安全。但是通过合理应用安全控制技术,并进行有机结合,就可从技术上实现系统、有效的电子商务安全。
参考文献:
[1]张立克:电子商务及其安全保障技术[J].水利电力机械,2007,29(2):69~74
[2]祝凌曦:电子商务安全[D].北京:清华大学出版社,2006
关键词:网络安全 电子商务
随着互联网的快速发展,电子商务已经逐渐成为人们进行商务活动的新模式。据中国互联网络信息中心(CNNIC)的《第27次中国互联网络发展状况统计报告》统计,中小企业互联网接入比例达92.7%,规模较大的企业互联网接入比例更是接近100%。43%的中国企业拥有独立网站或在电子商务平台建立网店;57.2%的企业利用互联网与客户沟通,为客户提供咨询服务;中小企业电子商务/网络营销应用水平为42.1%。可以说,电子商务已经深入国民经济和人们日常生活的各个方面。但其安全问题也越来越突出,知名安全企业RSA执行主席亚瑟?科维洛的一份中国报告称,2.17亿中国用户遭受木马攻击,1.21亿用户账户或密码曾被盗。如何建立一个安全便捷的电子商务环境,是摆在电子商务众多商家和买家面前的一个难题。
一、网络安全问题主要有以下几种
1、特罗伊木马
特罗伊木马,简称木马。在近期,黑客开始利用人性的弱点开始发起行动,他们往往利用免费破解软件、诱惑视频播放器、免费外挂软件以及网络传送文件等捆绑木马。木马在用户安装破解软件、播放器及外挂时,在运行安装程序的时候隐藏在计算机系统,隐蔽的与外界连接,接受外界的指令。被植入木马的电脑系统所有文件将会被黑客获得,在用户登陆电子商务网站输入用户名密码及行进支付的时候的账号及密码会被木马窃取发送给黑客。而且系统也会被黑客所控制,被利用作为攻击其它系统的攻击源。据360安全中心统计,今年上半年,国内新增木马病毒样本4.48亿个(以恶意程序的文件指纹数量计算),平均每秒出现29个新木马,是去年同期的4.46倍,受攻击的电脑数量日均则达到452.5万台。
2、钓鱼网站
又称网络仿冒、网络欺诈等。是一种网络欺诈行为,一般通常伪装成为银行网站,黑客等不法份子利用邮件、QQ、群发短信等手段,利用中奖信息、网站升级、客户服务等信息,在其中提供伪装的链接使其链接到钓鱼网站。一般来说,钓鱼网站和真实网站界面完全一致,在要求用户登陆的过程中窃取用户的信用卡号、账户名、密码等信息。据中国互联网络信息中心(CNNIC)联合国家互联网应急中心(CNCERT)最新的《2009年中国网民网络信息安全状况调查报告》显示,2009年有超过九成网民遇到过网络钓鱼,在遭遇过网络钓鱼事件中的网民中,4500万网民蒙受了损失,直接经济损失已经达到了76亿元。
3、分布式拒绝服务(DDoS)
分布式拒绝服务攻击就是黑客利用其在互联网上控制的很多计算机,同时向某一电子商务网站服务器发送数据包,达到妨害其网络与系统之间的正常服务,让用户不能得到正常服务。近年,DDoS呈转嫁及流量攻击等特点。2010年腾讯业务受到多次攻击就是因为某些小网站受到攻击后,恶意的将网站域名指向腾讯所致。另一方面,DDoS的攻击流量越来越大,针对“456 游戏”网站的攻击流量峰值甚至超过100Gbps。
4、网站首页篡改
网站首页篡改是指开展电子商务企业网站的首页被黑客等不法份子修改为他们提供的首页。在首页被篡改后,对电子商务这样需要与用户通过网站进行沟通的企业来说,就意味着电子商务将无商可务。尤其对具有攻击性质的篡改,用户账户信息被盗窃,丑化企业的信息等,都是对企业形象信誉的严重损害。据国家计算机网络应急技术处理协调中心(简称CNCERT)监测,2010 年中国大陆有近3.5万个网站被黑客篡改。
二、网络安全趋势预测
1、网络购物将是攻击的首选
伴随着电子商务市场的蓬勃发展,这个领域必然是黑客攻击的重点。 在过去的一年,针对电子商务的攻击给众多企业及用户带来严重损失,电子商务平台提供者及众多安全软硬件制造商在努力的帮助他们减少损失,从目前看效果并不理想,网络骗术正在不停翻新,黑客正在编写着新的网购木马。
2、针对大型虚拟社交网络的攻击不断加强
以QQ社区为代表的网络社区,人数众多,普遍支持分享链接。此链接很容易被用来传递不良信息,比如指向钓鱼网站的链接。而且社区人数众多,只要社区系统被黑客发现漏洞,那么庞大的用户群的相关信息及权益得不到保障。
三、对策
随着网络应用日益普及及其开放性的特点,网络安全事件又不断出现,电子商务的安全问题日益突出,怎么样才能有效保护电子商务的正常开展?我国政府主管部门、互联网企业及普通用户都应重视互联网安全问题,上下联动,发挥各自的作用,共同提供互联网安全的水平。
1、加强网络安全立法工作
国家应提高对网络安全的重视,加强高层次立法,加大网络犯罪惩治,量刑力度,形成有效震慑,增加其犯罪成本。
2、进一步加大网络安全行政监管力度
抓好《公共互联网网络安全应急预案》和《互联网网络安全信息通报实施办法》等网络安全相关政策文件的落实。对容易照到攻击的金融、证券等重要联网信息系统主管部门应加强网络安全管理和保障工作。
3、加强网络身份认证服务体系
迅速蓬勃发展的电子商务,和传统的商务行为不同。电子商务进行的是无纸贸易,交易双方基本不见面,通过网络虚拟平成整个交易,其信用及身份的认证仅仅依靠提供服务平台的密码认证。由于平台的多样性及密码的虚拟性,决定信用体系存在较大的疑问。国家应牵头依托合法电子商务认证服务机构,形成覆盖全国的网络身份认证服务体系。
4、加强网络安全防范意识
对于我们普通网民,我们要提高对网络安全对电子商务威胁的认识及加强网络安全防护的意识。做好个人计算机的安全防护,养成良好的上网习惯,学习一些基本的网络安全知识,不访问一些不确定安全性的网站,不下载无法确定安全性的软件,电脑中安装杀毒软件和防火墙,经常扫描自己的电脑。
参考文献:
[1]CNNIC、CNCERT.2009年中国网民网络信息安全状况调查报告
论文摘 要:随着电子商务时代的到来,电子商务安全问题越来越受到关注。特别是近年来的威胁网络安全事件成出不穷,成为阻碍电子商务发展的一个大问题。对电子商务安全面临的的威胁进行研究分析,提出电子商务安全策略的总体原则及使用的主要技术。
电子商务安全策略是对企业的核心资产进行全面系统的保护,不断的更新企业系统的安全防护,找出企业系统的潜在威胁和漏洞,识别,控制,消除存在安全风险的活动。电子商务安全是相对的,不是绝对的,不能认为存在永远不被攻破的系统,当然无论是何种模式的电子商务网站都要考虑到为了系统安全所要付出的代价和消耗的成本。作为一个安全系统的使用者,必须应该综合考虑各方因素合理使用电子商务安全策略技术,作为系统的研发设计者,也必须在设计的同时考虑到成本与代价的因素。在这个网络攻防此消彼长的时代,更应该根据安全问题的不断出现来检查,评估和调整相应的安全策略,采用适合当前的技术手段,来达到提升整体安全的目的。电子商务所带来的巨大商机背后同样隐藏着日益严重的电子商务安全问题,不仅为企业机构带来了巨大的经济损失,更使社会经济的安全受到威胁。
1 电子商务面临的安全威胁
在电子商务运作的大环境中,时时刻刻面临着安全威胁,这不仅仅设计技术问题,更重要的是管理上的漏洞,而且与人们的行为模式有着密不可分的联系。电子商务面临的安全威胁可以分为以下几类:
1.1 信息内容被截取窃取
这一类的威胁发生主要由于信息传递过程中加密措施或安全级别不够,或者通过对互联网,电话网中信息流量和流向等参数的分析来窃取有用信息。
1.2 中途篡改信息
主要破坏信息的完整性,通过更改、删除、插入等手段对网络传输的信息进行中途篡改,并将篡改后的虚假信息发往接受端。
1.3 身份假冒
建立与销售者服务器名称相似的假冒服务器、冒充销售者、建立虚假订单进行交易。
1.4 交易抵赖
比如商家对卖出的商品因价格原因不承认原有交易,购买者因签订了订单却事后否认。
1.5同行业者恶意竞争
同行业者利用购买者名义进行商品交易,暗中了解买卖流程、库存状况、物流状况。
1.6 电子商务系统安全性被破坏
不法分子利用非法手段进入系统,改变用户信息、销毁订单信息、生成虚假信息等。
2 电子商务安全策略原则
电子商务安全策略是在现有情况,实现投入的成本与效率之间的平衡,减少电子商务安全所面临的威胁。据电子商务网络环境的不同,采用不同的安全技术来制定安全策略。在制定安全策略时应遵循以下总体原则:
2.1 共存原则
是指影响网络安全的问题是与整个网络的运作生命周期同时存在,所以在设计安全体系结构时应考虑与网络安全需求一致。如果不在网站设计开始阶段考虑安全对策,等网站建设好后在修改会耗费更大的人力物力。
2.2 灵活性原则
安全策略要能随着网络性能及安全威胁的变化而变化,要及时的适应系统和修改。
2.3 风险与代价相互平衡的分析原则
任何一个网络,很难达到绝对没有安全威胁。对一个网络要进行实际分析,并且对网络面临的威胁以及可能遇到的风险要进行定量与定性的综合分析,制定规范的措施,并确定本系统的安全范畴,使花费在网络安全的成本与在安全保护下的信息的价值平衡。
2.4 易使用性原则
安全策略的实施由人工完成,如果实施过程过于复杂,对于人的要求过高,对本身的安全性也是一种降低。
2.5 综合性原则
一个好的安全策略在设计时往往采用是多种方法综合应用的结果,以系统工程的观点,方法分析网络安全问题,才可能获得有效可行的措施。
2.6 多层保护原则
任何单一的安全保护措施都不是能独当一面,绝对安全的,应该建立一个多层的互补系统,那么当一层被攻破时,其它保护层仍然可以安全的保护信息。 转贴于
3 电子商务安全策略主要技术
3.1 防火墙技术
防火墙技术是一种保护本地网络,并对外部网络攻击进行抵制的重要网络安全技术之一,是提供信息安全服务,实现网络信息安全的基础设施。总体可以分为:数据包过滤型防火墙、应用级网关型防火墙、服务型防火墙等几类。防火墙具有5种基本功能:
(1)抵挡外部攻击;
(2)防止信息泄露;
(3)控制管理网络存取和访问;
(4)VPN虚拟专用网功能;
(5)自身抗攻击能力。
防火墙的安全策略有两种情形:
(1)违背允许的访问服务都是被禁止的;
(2)未被禁止的访问服务都是被允许的。
多数防火墙是在两者之间采取折中策略,在安全的情况之下提高访问效率。
3.2 加密技术
加密技术是对传输的信息以某种方法进行伪装并隐藏其内容,而达到不被第三方所获取其真实内容的一种方法。在电子商务过程中,采用加密技术将信息隐藏起来,再将隐藏的信息传输出去,这样即使信息在传输的过程中被窃取,非法截获者也无法了解信息内容,进而保证了信息在交换过程中安全性、真实性、能够有效的为安全策略提供帮助。
3.3 数字签名技术
是指在对文件进行加密的基础上,为了防止有人对传输过程中的文件进行更改破坏以及确定发信人的身份所采取的手段。在电子商务安全中占有特别重要的地位,能够解决贸易过程中的身份认证、内容完整性、不可抵赖等问题。数字签名过程:发送方首先将原文通过Hash算法生成摘要,并用发送者的私钥进行加密生成数字签名发送给接受方,接收方用发送者的公钥进行解密,得到发送方的报文摘要,最后接收方将收到的原文用Hash算法生成其摘要,与发送方的摘要进行比对。
3.4 数字证书技术
数字证书是网络用户身份信息的一系列数据,由第三方公正机构颁发,以数字证书为依据的信息加密技术可以确保网上传输信息的的保密性、完整性和交易的真实性、不可否认性,为电子商务的安全提供保障。标准的数字证书包含:版本号,签名算法,序列号,颁发者姓名,有效日期,主体公钥信息,颁发者唯一标识符,主体唯一标示符等内容。一个合理的安全策略离不开数字证书的支持。
3.5 安全协议技术
安全协议能够为交易过程中的信息传输提供强而有力的保障。目前通用的为电子商务安全策略提供的协议主要有电子商务支付安全协议、通信安全协议、邮件安全协议三类。用于电子商务的主要安全协议包括:通讯安全的SSL协议(Secure Socket Layer),信用卡安全的SET协议(Secure Electronic Transaction),商业贸易安全的超文本传输协议(S-HTTP),InternetEDI电子数据交换协议以及电子邮件安全协议S/MIME和PEM等。
4 结论
在电子商务飞速发展的过程中,电子商务安全所占的比重越发重要。研究电子商务安全策略,意在于减少由电子商务安全威胁带给人们电子商务交易上的疑虑,以推动电子商务前进的步伐。解除这种疑虑的方法,依赖着安全策略原则的制定和主要技术的不断开发与完善。
参考文献
[1]田沛. 浅谈电子商务安全发展战略[J]. 知识经济, 2010, (2).
[2]如先姑力阿布都热西提. 计算机网络安全对策的研究[J]. 科技信息(学术研究), 2008, (10).
[3]陈伟. 电子商务安全策略初探[J].才智, 2009,(11).
安全防范
“网络安全问题一直存在。”艾瑞咨询行业研究部部门经理王芳对《中国联合商报》记者表示。
IBM最新消息称,根据它在全球各地的3700个管理安全服务客户提供的数据,在过去的四个月里,安全事件的数量从每天18亿次增加到了25亿次。在过去的120天里,网络中和基于网络的安全攻击事件增长了30%;访问IBM虚拟安全操作中心的用户数量增长了40%。
“主要因为网络安全的考虑,企业间进行电子采购顾虑很多。不管是电子资金流、信息流、还是电子物流,其中资金安全顾虑最高。”王芳表示。由于从事电子采购的采购量通常很大,因此涉及企业的资金流一般也都比较大,现在网络安全问题一直存在,不管大企业还是中小企业对于资金安全的顾虑是最高的。
“因为传统的商务流程里,不太习惯没有见到采购方,甚至没有看到商品的情况下,去完成采购的相关交付。”王芳解释,对于电子采购的安全担忧还部分受到传统交易方式的影响。此外,还有一点很重要――信用保障体系有待完善。
信用保障
信用是电子商务企业发展不可或缺的主要竞争力。虽然电子采购价格相对便宜,大多数的企业还都是在信用的前提下去选择价格。
国外的电子采购无论从交易额还是交易比例绝大部分都要比国内高。“很大程度上是因为国外企业的信用体系,包括整个支付和物流的社会信用环境相对比较成熟。”王芳分析,只有通过成熟的市场主体为市场提供面向个人和企业、覆盖社会领域各个方面的信用服务,才能真正创造一种适应并规范信用交易发展的市场环境,电子商务领域尤其如此。而国内来说,信用保障体系不够完善,加上认证费用较高,很多企业经常通过自己的销售额等一些简单数据来证明自己的信用条件,这里就存在很大风险,而且这种风险目前更多的由采购方来承担。
此外,国外企业对于信息化的接受程度,包括企业内部的信息化建设都已经相对完善,这都影响到信用保障的建设问题。
资质认证
电子采购环节上,是信誉核心还是价格核心?“信誉和价格必需要有一个平衡点,这就需要资质认证”。王芳对《中国联合商报》记者分析。
