在線客服

電子商務安全管理分析

時間:2022-08-01 10:42:40

引論:我們為您整理了1篇電子商務安全管理分析范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。

電子商務安全管理分析

電子商務安全管理分析:關于電子商務安全管理體制的探討

論文關鍵詞:電子商務 信息安全 人員管理

論文摘要:當前,我國電子商務建設中以技術為主的安全管理體制,忽視了人員對電子商務的安全影響。但近幾年案例表明:企業缺乏針對內部人員的系統安全管理體制,是導致網絡交易過程中泄密和企業利益損失的主要原因。本文重點分析了企業在電子商務安全管理體制方面存在的不足和原因,提出了一些加強人員安全管理的建議,為我國電子商務企業的安全管理提供借鑒。

1、問題的提出

作為一種新的經濟模式,電子商務以高效、便捷、方便的優勢和全新的企業經營理念、經營手段、經營環境吸引著廣大用戶,為世界經濟賦予了無限的發展空間。隨著電子商務應用范圍的日益擴大,針對電子商務的各種犯罪活動也19益猖獗。國內外調查顯示…,52.26%的用戶最關心的是網上交易的安全性,超過6O%的人由于擔心電子商務的安全問題而不愿進行網上購物。加強電子商務實施過程中的安全管理已經成為促進電子商務高速發展的重要因素。

電子商務的安全,可分為技術安全和管理安全兩種類型。所謂技術安全,是指通過各種黑客手段竊取企業的用戶lD、密碼以及相關的機密文件,甚至網絡銀行帳號、密碼等,給企業造成經濟損失。而管理安全則是指缺乏對參與電子商務過程中各個環節的人員的管理預防手段,最終導致的電子商務安全事件。從美國的花旗銀行和中央情報局到中國的某家國有商業銀行,都有過由于內部人員的違規和違法操作,導致數據被篡改和泄密的事件發生。

近幾年的電子商務安全案件表明:人員是網上交易安全管理中的最薄弱的環節,近年來我國計算機犯罪大都呈現內部犯罪的趨勢,有的競爭對手利用企業招募新人的方式潛入對方企業,或利用不正當的方式收買企業網絡交易管理人員。有的電子商務從業人員從本企業辭職后,迅速把客戶資料、產品研發成果等機密出售給競爭對手,給企業帶來了不必要的經濟損失。

2、原因分析

電子商務信息安全已經引起很多企業的重視,但大多數企業往往側重于加強技術措施,如購買先進的防火墻軟件,采用更高級的加密方法等,很多企業認為:員工泄密的安全事故只是偶然現象,很少從人員管理的角度來探討出現這些事故的根本原因?!爸丶夹g、輕管理”是當前很多電子商務企業的通病。由于管理手段不到位,很多先進的安全技術無法發揮應有的效能。之所以出現上述問題,主要有以下原因:

首先,很多企業管理高層對人員管理在信息安全中的地位認識不足。大多數企業將電子商務網絡作為一項純粹的技術工程來實施,企業內部缺乏系統的安全管理策略,只是被動的使用一些技術措施來進行防御,因此電子商務過程中一旦出現突發性事件,往往造成很大的經濟損失?,F實中沒有一個網絡系統是無缺的,不安全因素隨時存在。因此,安全管理措施必須滲透到系統的每一個環節和企業組織的~個層面,只有構建一個人與技術相結合的安全管理體系,才能確保整個電子商務系統得安全。

企業沒有從整體上、有計劃地考慮信息安全問題。企業各部門、各下屬機構都存在“各自為政的局面,缺少統一規劃、設計和管理信息安全強調的是整體上的信息安全性,而不僅是某一個部門或公司的信息安全。而各部門、各公司又確實存在個體差異,對于不同業務領域來說,信息安全具有不同的涵義和特征,信息安全保障體系的戰略性必須涵蓋各部門和各公司的信息安全保障體系的相關內容。

缺少信息安全管理配套的人力、物力和財力。人才是信息安全保障工作的關鍵。信息安全保障工作的專業性、技術性很強,沒有一批業務能力強,且具有信息網絡知識、信息安全技術、法律知識和管理能力的復合型人才和專門人才,就不可能做好信息安全保障工作。應該從信息安全建設和管理對信息安全人才的實際需求出發,加快信息安全人才的培養。

企業對員工的信息安全教育不夠。員工的信息安全意識薄弱,9O%的安全事故是由于人為疏忽所造成。如有些企業不限制內部人員使用各種高科技信息載體,如U盤、移動硬盤以及筆記本等移動辦公設備。

3、加強電子商務安全管理的建議

電子商務信息安全管理實踐表明,大多數安全問題是由于管理不善造成的。安全管理是一項系統工程,不僅涉及到企業的組織架構、信息技術、人員素質等各個方面,還牽扯到國家法律和商業規則。企業內部存在著諸多影響信息安全的因素:改變lT系統不等于改變企業的信息安全管理,要使企業信息盡可能的安全,必須在技術投人的基礎上融人人在管理方面的智慧i同時,不僅要防外,更要防內,即對組織內部人員的管理。信息安全問題的解決需要技術,但又不能單純依靠技術。整個電子商務的交易過程,是人與技術相互融合的過程,如何使管理與技術相得益彰十分重要?!叭旨夹g,七分管理”闡述了信息安全的本質。

電子商務的安全管理,就是通過一個完整的綜合保障體系,來規避信息傳輸風險、信用風險、管理風險和法律風險,以保障網上交易的順利進行。網上交易安全管理,應采用綜合防范的思路,一是技術方面的考慮,如防火墻技術、網絡防毒、信息加密、身份認證、授權等,但必須明確,只有技術措施并不能保障網上交易的安全。二是必須加強監管,建立各種有關的合理制度,并加強嚴格監督,如建立交易的安全制度、交易安全的實時監控、提供實時改變安全策略的能力、對現有的安全系統漏洞的檢查以及安全教育等。為了加強企業電子商務的信息安全,我們提出如下建議:

(1)提高網絡安全防范意識。

現在許多企業沒有意識到互聯網的易受攻擊性,盲目相信國外的加密軟件,對于系統的訪問權限和密鑰缺乏有力度 的管理。這樣的系統一旦受到攻擊將十分脆弱,其中的機密數據得不到應有的保護。據調查,目前國內90%的網站存在安全問題,其主要原因是企業管理者缺少或沒有安全意識。某些企業網絡管理員甚至認為其公司規模較小,不會成為黑客的攻擊目標,如此態度,網絡安全更是無從談起。應該定期由公司或安全管理小組承辦信息安全講座,只有提高網絡安全防范意識,才能有效的減少信息安全事故的發生。

(2)建立電子商務安全管理組織體系。

一個完整的信息安全管理體系首先應建立完善的組織體系。即建立由行政領導、IT技術主管、信息安全主管、本系統用戶代表和安全顧問組成的安全決策機構。其職責是建立管理框架,組織審批安全策略、安全管理制度,指派安全角色,分配安全職責,并檢查安全職責是否已被正確履行,核準新信息處理設施的啟用、組織安全管理專題會等。還應建立由網絡管理員、系統管理員、安全管理員、用戶管理員等組成的安全執行機構。該機構負責起草網絡系統的安全策略、執行批準后的安全策略、日常的安全運行和維護、定期的培訓和安全檢查等。如果需要,還可建立安全顧問機構。安全顧問機構可聘請信息安全專家擔任系統安全顧問,負責提供安全建議,特別是在安全事故或違反安全策略事件發生后,可以被安全決策機構指定負責事故(事件)調查,并為安全策略評審和評估提供意見。

(3)制定符合機構安全需求的信息安全策略。電子商務交

易過程中,需要明確的安全策略主要包括客戶認證策略、加密策略、日常維護策略、防病毒策略等安全技術方案的選擇。安全執行機構應根據本信息網絡的實際情況制定相應的信息安全策略,策略中應明確安全的定義、目標、范圍和管理責任,并制定安全策略的實施細則。安全策略文檔要由安全決策機構審查、批準,并和傳達給所有的人安全策略還應由安全決策機構定期進行有效性審查和評估:在發生重大的安全事故、發現新的脆弱性、組織體系或技術上發生變更時,應重新進行安全策略的審查和評估。

(4)人員安全的管理和培訓

參與網上交易的經營管理人員在很大程度上支配著企業的命運,他們承擔著防范網絡犯罪的任務。而計算機網絡犯罪同一般犯罪不同的是,他們具有智能性、隱蔽性、連續性、高效性的特點,因而,加強對有關人員的管理變得十分重要。首先,在人員錄用時應做好人員鑒別,人員錄用或人員職位調整時,一般要簽署保密協議。當人員到期離開或協議到期、工作終止時,要審查保密協議。其次對有關人員進行上崗培訓,建立人員培訓計劃,定期組織安全策略和規程方面的培訓。第三,落實工作責任制,在崗位職責中明確本崗位執行安全政策的常規職責和本崗位保護特定資產、執行特定安全過程或活動的特別職責,對違反網上交易安全規定的人員要進行及時的處理。第四,貫徹網上交易安全運作基本原則,包括職責分離、雙人負責、任期有限、最小權限、個人可信賴性等。

(5)增強法律意識,促進電子商務立法

面對電子商務這種新型的貿易形式,我國目前尚無專門法規可依,使得部分違法犯罪人員沒有得到應有的懲罰。近幾年里,國家加強了這方面的投入。在全國性的立法文件中,《合同法》的部分條款可以看作是針對電子商務的立法。此外,廣東省制定的《廣東省電子交易管理條例》這個地方性的法規可以看作是對加快我國電子商務立法的有益探索?!吨腥A人民共和國電子簽名法》是對主要用于電子商務活動,電子政務等其他應用應該有新的適用法規。

盡管在電子商務信息安全立法方面取得了一些成就,但總的來說,我國的電子商務立法還很不健全,對電子商務活動的安全保護缺少直接性;相關立法比較分散,而且效力不高;對新出現的情況缺乏適應能力;立法速度慢。這些都需要電子商務企業和國家有關部門不斷探索,共同促進電子商務信息安全的法制環境建設。

4、結論

快捷的電子商務在給企業帶來發展機遇的同時,也使企業面臨著各種安全風險。由于缺乏對電子商務信息安全管理體制的系統認識,很多企業都把其電子商務信息安全作為一項技術工程來實施,而忽略了交易過程中,各種參與人員對安全的影響。分析了企業在電子商務安全管理體制方面存在的不足和原因,從安全防范意識、管理組織體系、信息安全技術策略、人員管理與培訓、電子商務立法等方面提出了一些加強人員安全管理的建議。在企業走向電子商務時代,只有管理與技術并重,才能確保企業電子商務交易過程中的信息安全。

電子商務安全管理分析:關于電子商務安全管理體制的探討

論文關鍵詞:電子商務 信息安全 人員管理

論文摘要:當前,我國電子商務建設中以技術為主的安全管理體制,忽視了人員對電子商務的安全影響。但近幾年案例表明:企業缺乏針對內部人員的系統安全管理體制,是導致網絡交易過程中泄密和企業利益損失的主要原因。本文重點分析了企業在電子商務安全管理體制方面存在的不足和原因,提出了一些加強人員安全管理的建議,為我國電子商務企業的安全管理提供借鑒。

1、問題的提出

作為一種新的經濟模式,電子商務以高效、便捷、方便的優勢和全新的企業經營理念、經營手段、經營環境吸引著廣大用戶,為世界經濟賦予了無限的發展空間。隨著電子商務應用范圍的日益擴大,針對電子商務的各種犯罪活動也19益猖獗。國內外調查顯示…,52.26%的用戶最關心的是網上交易的安全性,超過6O%的人由于擔心電子商務的安全問題而不愿進行網上購物。加強電子商務實施過程中的安全管理已經成為促進電子商務高速發展的重要因素。

電子商務的安全,可分為技術安全和管理安全兩種類型。所謂技術安全,是指通過各種黑客手段竊取企業的用戶lD、密碼以及相關的機密文件,甚至網絡銀行帳號、密碼等,給企業造成經濟損失。而管理安全則是指缺乏對參與電子商務過程中各個環節的人員的管理預防手段,最終導致的電子商務安全事件。從美國的花旗銀行和中央情報局到中國的某家國有商業銀行,都有過由于內部人員的違規和違法操作,導致數據被篡改和泄密的事件發生。

近幾年的電子商務安全案件表明:人員是網上交易安全管理中的最薄弱的環節,近年來我國計算機犯罪大都呈現內部犯罪的趨勢,有的競爭對手利用企業招募新人的方式潛入對方企業,或利用不正當的方式收買企業網絡交易管理人員。有的電子商務從業人員從本企業辭職后,迅速把客戶資料、產品研發成果等機密出售給競爭對手,給企業帶來了不必要的經濟損失。

2、原因分析

電子商務信息安全已經引起很多企業的重視,但大多數企業往往側重于加強技術措施,如購買先進的防火墻軟件,采用更高級的加密方法等,很多企業認為:員工泄密的安全事故只是偶然現象,很少從人員管理的角度來探討出現這些事故的根本原因?!爸丶夹g、輕管理”是當前很多電子商務企業的通病。由于管理手段不到位,很多先進的安全技術無法發揮應有的效能。之所以出現上述問題,主要有以下原因:

首先,很多企業管理高層對人員管理在信息安全中的地位認識不足。大多數企業將電子商務網絡作為一項純粹的技術工程來實施,企業內部缺乏系統的安全管理策略,只是被動的使用一些技術措施來進行防御,因此電子商務過程中一旦出現突發性事件,往往造成很大的經濟損失?,F實中沒有一個網絡系統是無缺的,不安全因素隨時存在。因此,安全管理措施必須滲透到系統的每一個環節和企業組織的~個層面,只有構建一個人與技術相結合的安全管理體系,才能確保整個電子商務系統得安全。

企業沒有從整體上、有計劃地考慮信息安全問題。企業各部門、各下屬機構都存在“各自為政的局面,缺少統一規劃、設計和管理信息安全強調的是整體上的信息安全性,而不僅是某一個部門或公司的信息安全。而各部門、各公司又確實存在個體差異,對于不同業務領域來說,信息安全具有不同的涵義和特征,信息安全保障體系的戰略性必須涵蓋各部門和各公司的信息安全保障體系的相關內容。

缺少信息安全管理配套的人力、物力和財力。人才是信息安全保障工作的關鍵。信息安全保障工作的專業性、技術性很強,沒有一批業務能力強,且具有信息網絡知識、信息安全技術、法律知識和管理能力的復合型人才和專門人才,就不可能做好信息安全保障工作。應該從信息安全建設和管理對信息安全人才的實際需求出發,加快信息安全人才的培養。

企業對員工的信息安全教育不夠。員工的信息安全意識薄弱,9O%的安全事故是由于人為疏忽所造成。如有些企業不限制內部人員使用各種高科技信息載體,如U盤、移動硬盤以及筆記本等移動辦公設備。

3、加強電子商務安全管理的建議

電子商務信息安全管理實踐表明,大多數安全問題是由于管理不善造成的。安全管理是一項系統工程,不僅涉及到企業的組織架構、信息技術、人員素質等各個方面,還牽扯到國家法律和商業規則。企業內部存在著諸多影響信息安全的因素:改變lT系統不等于改變企業的信息安全管理,要使企業信息盡可能的安全,必須在技術投人的基礎上融人人在管理方面的智慧i同時,不僅要防外,更要防內,即對組織內部人員的管理。信息安全問題的解決需要技術,但又不能單純依靠技術。整個電子商務的交易過程,是人與技術相互融合的過程,如何使管理與技術相得益彰十分重要?!叭旨夹g,七分管理”闡述了信息安全的本質。

電子商務的安全管理,就是通過一個完整的綜合保障體系,來規避信息傳輸風險、信用風險、管理風險和法律風險,以保障網上交易的順利進行。網上交易安全管理,應采用綜合防范的思路,一是技術方面的考慮,如防火墻技術、網絡防毒、信息加密、身份認證、授權等,但必須明確,只有技術措施并不能保障網上交易的安全。二是必須加強監管,建立各種有關的合理制度,并加強嚴格監督,如建立交易的安全制度、交易安全的實時監控、提供實時改變安全策略的能力、對現有的安全系統漏洞的檢查以及安全教育等。為了加強企業電子商務的信息安全,我們提出如下建議:

(1)提高網絡安全防范意識。

現在許多企業沒有意識到互聯網的易受攻擊性,盲目相信國外的加密軟件,對于系統的訪問權限和密鑰缺乏有力度的管理。這樣的系統一旦受到攻擊將十分脆弱,其中的機密數據得不到應有的保護。據調查,目前國內90%的網站存在安全問題,其主要原因是企業管理者缺少或沒有安全意識。某些企業網絡管理員甚至認為其公司規模較小,不會成為黑客的攻擊目標,如此態度,網絡安全更是無從談起。應該定期由公司或安全管理小組承辦信息安全講座,只有提高網絡安全防范意識,才能有效的減少信息安全事故的發生。

(2)建立電子商務安全管理組織體系。

一個完整的信息安全管理體系首先應建立完善的組織體系。即建立由行政領導、IT技術主管、信息安全主管、本系統用戶代表和安全顧問組成的安全決策機構。其職責是建立管理框架,組織審批安全策略、安全管理制度,指派安全角色,分配安全職責,并檢查安全職責是否已被正確履行,核準新信息處理設施的啟用、組織安全管理專題會等。還應建立由網絡管理員、系統管理員、安全管理員、用戶管理員等組成的安全執行機構。該機構負責起草網絡系統的安全策略、執行批準后的安全策略、日常的安全運行和維護、定期的培訓和安全檢查等。如果需要,還可建立安全顧問機構。安全顧問機構可聘請信息安全專家擔任系統安全顧問,負責提供安全建議,特別是在安全事故或違反安全策略事件發生后,可以被安全決策機構指定負責事故(事件)調查,并為安全策略評審和評估提供意見。

(3)制定符合機構安全需求的信息安全策略。電子商務交

易過程中,需要明確的安全策略主要包括客戶認證策略、加密策略、日常維護策略、防病毒策略等安全技術方案的選擇。安全執行機構應根據本信息網絡的實際情況制定相應的信息安全策略,策略中應明確安全的定義、目標、范圍和管理責任,并制定安全策略的實施細則。安全策略文檔要由安全決策機構審查、批準,并和傳達給所有的人安全策略還應由安全決策機構定期進行有效性審查和評估:在發生重大的安全事故、發現新的脆弱性、組織體系或技術上發生變更時,應重新進行安全策略的審查和評估。

(4)人員安全的管理和培訓

參與網上交易的經營管理人員在很大程度上支配著企業的命運,他們承擔著防范網絡犯罪的任務。而計算機網絡犯罪同一般犯罪不同的是,他們具有智能性、隱蔽性、連續性、高效性的特點,因而,加強對有關人員的管理變得十分重要。首先,在人員錄用時應做好人員鑒別,人員錄用或人員職位調整時,一般要簽署保密協議。當人員到期離開或協議到期、工作終止時,要審查保密協議。其次對有關人員進行上崗培訓,建立人員培訓計劃,定期組織安全策略和規程方面的培訓。第三,落實工作責任制,在崗位職責中明確本崗位執行安全政策的常規職責和本崗位保護特定資產、執行特定安全過程或活動的特別職責,對違反網上交易安全規定的人員要進行及時的處理。第四,貫徹網上交易安全運作基本原則,包括職責分離、雙人負責、任期有限、最小權限、個人可信賴性等。

(5)增強法律意識,促進電子商務立法

面對電子商務這種新型的貿易形式,我國目前尚無專門法規可依,使得部分違法犯罪人員沒有得到應有的懲罰。近幾年里,國家加強了這方面的投入。在全國性的立法文件中,《合同法》的部分條款可以看作是針對電子商務的立法。此外,廣東省制定的《廣東省電子交易管理條例》這個地方性的法規可以看作是對加快我國電子商務立法的有益探索?!吨腥A人民共和國電子簽名法》是對主要用于電子商務活動,電子政務等其他應用應該有新的適用法規。

盡管在電子商務信息安全立法方面取得了一些成就,但總的來說,我國的電子商務立法還很不健全,對電子商務活動的安全保護缺少直接性;相關立法比較分散,而且效力不高;對新出現的情況缺乏適應能力;立法速度慢。這些都需要電子商務企業和國家有關部門不斷探索,共同促進電子商務信息安全的法制環境建設。

4、結論

快捷的電子商務在給企業帶來發展機遇的同時,也使企業面臨著各種安全風險。由于缺乏對電子商務信息安全管理體制的系統認識,很多企業都把其電子商務信息安全作為一項技術工程來實施,而忽略了交易過程中,各種參與人員對安全的影響。分析了企業在電子商務安全管理體制方面存在的不足和原因,從安全防范意識、管理組織體系、信息安全技術策略、人員管理與培訓、電子商務立法等方面提出了一些加強人員安全管理的建議。在企業走向電子商務時代,只有管理與技術并重,才能確保企業電子商務交易過程中的信息安全。

電子商務安全管理分析:電子商務網上支付的安全管理及相關法律問題探討

內容摘要:電子數據的安全以及企業間數據交換的法律確認問題是電子商務發展的主要障礙。本文從電子交易技術基礎和電子數據的基本特征角度,對電子商務網上支付的安全及法律問題進行分析,旨在推動我國電子商務的發展。

關鍵詞:電子商務 網上支付 技術基礎 電子數據

目前,我國電子商務的b2c、b2b以及c2c模式都可以實現在線支付,突破了電子商務資金流的瓶頸。然而,在線支付同時也引發了支付安全問題,“身份”認證、電子文件認證和網絡銀行在線支付的法律問題以及稅收、貨幣、金融監管等一系列問題。

電子商務網上支付的技術基礎

電子數據交換是將商業事務處理數據按照一個公認的標準,形成結構化的事務處理報文數據格式,通過電子方式在計算機系統之間進行傳輸。因此,企業間開展電子數據交換除了自身必須應用計算機系統外,還必須同時具備兩個條件:通信網絡和數據標準。

(一)電子數據交換的環境

通信網絡是實施電子數據交換不可缺少的工具。在互聯網出現之前,企業內的數據交換主要在商用增值網上進行。增值網供應商提供的主要業務有:私人業務、綜合業務、不拒絕業務和驗證業務。私人業務是指增值網保障信息只能由指定的接收者閱讀,他人無法看到;綜合業務是指如果沒有人看信息,則信息從發送端到接收端的過程中不發生變化;不拒絕業務是指發送端不能拒發,接收端不能拒收,并通過旁聽跟蹤來實現;驗證業務則保障信息從指定的發送端發送。通過增值網實施數據傳輸,安全,傳輸效率高。企業間業務往來中的格式化數據都可通過增值網傳輸,包括采購進貨單、退貨單、發貨單、報價單、托運單、對賬單、單價單、缺貨通知單、付款明細表等。另外,還可在海關申報、電子對賬、電子轉賬、保險等事務處理中傳輸格式化單據。

開展電子數據交換的關鍵是標準化問題,包括數據格式標準化和報文標準。由于不同行業、不同企業都是根據自己的業務特點設計數據庫結構,當需要發送電子數據交換文件時,需要通過軟件提取數據庫中的數據,并自動將其翻譯成統一的標準格式才能傳輸和被對方接收。電子數據交換標準主要有以下四項:網絡通信標準、處理標準、聯系標準、報文標準。綜觀電子數據交換標準的發展過程,大致經歷了三個發展階段:行業標準階段、國家標準階段、國際標準階段。

(二)ssl安全協議

安全套接層協議(secure socket layer,簡稱ssl)是由網景(netscape)公司推出的一種安全通信協議,它能夠對信用卡和個人信息提供較強的保護,是對計算機之間整個會話進行加密的協議。在ssl協議中,采用了公開密鑰和私有密鑰兩種加密方法,主要用于提高應用程序之間數據的安全系數。協議的整個要領可以被總結為:一個為安裝了安全套接層的客戶和服務器提供事務安全保障的協議,它涉及所有tcp/ip應用程序。

(三)set安全協議

安全電子交易協議(secure electronic transaction,簡稱set)是由visa和master card 兩大信用卡公司聯合推出的規范。set主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的,以保障支付信息的機密、支付過程的完整、商戶及持卡人的合法身份,以及可操作性。set的核心技術主要有公開密匙加密、電子數字簽名、電子信封、電子安全證書等。set協議比ssl協議復雜,因為前者不僅可以加密兩個端點間的單個會話,它還可以加密和認定三方間的多個信息。

電子商務網上支付的風險

電子商務網上支付風險從整體上可分為兩大部分:計算機網絡風險和商務交易風險。

(一)計算機網絡風險

計算機網絡風險包括:計算機網絡設備風險、計算機網絡系統風險、數據庫風險等。其特征是針對計算機網絡本身可能存在的安全問題,實施網絡安全增強方案,以保障計算機網絡自身的安全性為目標。

另外,不論采用什么操作系統,在缺省安裝的條件下都會存在一些安全問題,只有專門針對操作系統安全性進行相關的和嚴格的安全配置,才能達到一定的安全程度。網絡軟件的漏洞是進行網絡攻擊的目標。此時計算機網絡風險主要有:未進行cgi程序代碼審計、拒絕服務攻擊、安全產品使用不當、缺少嚴格的網絡安全管理制度。

(二)商務交易風險

商務交易風險是傳統商務在互聯網絡上應用時產生的各種安全問題,在計算機網絡安全的基礎上保障電子商務過程的順利進行,即實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。電子商務的形式多樣,涉及的安全問題各不相同,但其中最核心和最關鍵的問題就是交易的安全性。一般來說商務安全中普遍存在著以下幾種安全隱患:竊取信息、篡改信息、假冒、惡意破壞。

電子商務網上支付安全的強化策略

在傳統支付系統中,偽造現金、偽造簽名、拒付支票等是商品交易中的風險。在電子支付系統中,由于知道私鑰的任何人都能以買方的身份產生數字簽名,連續購買行為之間的關系可以被跟蹤出來,電子數字文檔復制不影響原文檔,所以,電子支付系統存在著與傳統支付系統類似的風險,而且風險可能更大。

電子支付系統的基本安全需求可以總結為:買方與賣方都必須證明自己的支付身份;要求支付交易數據不可受到非授權的參與方的更改;確保在未經用戶明確授權之前不能從該用戶的賬戶或智能卡中提取任何現金;一項或多項支付交易數據的機密性。強化安全管理需要從以下兩個方面著眼:

(一)強化安全支付服務

首先,支付交易安全服務。支付交易安全服務涉及所有的電子支付系統和所有的支付手段,具體包括以下內容:用戶匿名性、地址不可跟蹤性、買方匿名性、支付交易不可跟蹤性、支付交易數據的機密性、支付交易消息的不可否認性、支付交易消息的新鮮性。其次,數字貨幣安全。數字貨幣安全服務主要與數字貨幣相關,具體包括以下內容:防止再度花費、防止數字貨幣偽造、防止貨幣被盜。再次,電子支票附加服務。電子支票附加服務基于以電子支票作為支付手段的支付系統的特定技術,其主要內容是支付授權轉賬(),即使某一授權的參與方可以將支付授權轉移給他所選定的另一參與方。

上述三種數字貨幣安全服務在一定程度上是相互沖突的,但在實施的同時可以達到風險與保護的平衡。例如,可以將這三種服務設置成僅當非法事件發生的時候才起作用(如有條件的匿名性)。

(二)強化企業內部的安全管理

首先,網絡安全管理。網絡安全管理主要包括以下內容:安全服務管理、安全機制管理、安全審計管理、安全恢復管理等。其次,保密設備與密鑰的安全管理。保密設備的使用,應與網絡中保護對象的密級相一致。密碼算法、密鑰和保密協議是核心內容,同步技術和操作方式的選擇也相當重要。保密設備的管理主要包括保密性能指標的管理,工作狀態的管理,保密設備的類型、數量、分配和使用者的狀況,以及密鑰的管理等。再次,安全行政管理。安全行政管理的重點是:安全組織機構的設立、安全人事管理、安全的責任與監督等。

電子商務網上支付安全的相關法律問題

(一)電子數據的特征

電子商務不是以紙張作為記錄的原始憑證,而是將數據記錄在計算機系統中的磁(光)性信息載體上。電子數據極大地改變了傳統書面數據的生成方式和存在方式,由于其不同于書面數據的特征,也改變了法律對其證據效力的規定。電子數據具有以下特征:及時,無形性。電子數據實質上是計算機存儲介質中的一組電子信息,具有無形的特點。第二,不穩定性。傳統的書面數據一旦形成,其形態和內容不再發生變化,除非遭受不可抗拒的災害事故。第三,易改動性。傳統書面數據一旦生成,具有不可改動性。如有改動也容易留下修改痕跡。第四,技術性。電子數據的生成、確認、傳遞、儲存,以及為了保障它的性、安全性、完整性和可驗證性等,都是建立在一系列的高技術之上的。

從某種意義上講,上述問題的存在也阻礙了會計無紙化的發展。如果電子數據的性、機密性、完整性、可驗證性得不到確定的保障,那么開展電子商務進行無紙化交易是不可能的。即使采取了現代化的網絡通信手段,人們仍離不開紙質憑證。

(二)電子數據的數字簽名技術

數字簽名實際上是電子數據文件中一組用二進制數0、1表示的字符串。它是通過加密技術,在發送方和接收方之間經過加密、解密轉換實現?;驹硎?報文發送方用散列算法從報文中生成一個固定長度的報文摘要(散列值),然后用私有密鑰對報文摘要進行加密形成發送方數字簽名并發送;接收方用同樣的散列算法計算原報文的報文摘要,再用公用密鑰對附加的數字簽名進行解密,如果兩個報文摘要相同,就確認該報文由數字簽名方發送。

數字簽名可以實現以下功能:一是接收方能夠核實發送方對報文簽名的真實性;二是發送方事后無法抵賴對報文的簽名;三是接收方無法偽造對報文的簽名。也只有同時具備以上三條,才能保障數字簽名的有效性、性。

(三)電子數據的法律承認

完善的技術是電子數據普及使用的基礎。但電子數據要得到社會的認可,首先要取得法律上的承認,使其具有法律效力。由于電子商務沒有國界,有關電子商務的法律需要考慮全球普遍性,建立電子商務的法律環境已受到各國的重視。聯合國國際貿易法委員會在1996年通過的《電子商務示范法》為各國電子商務立法提供了范本。我國于1999年3月通過了新的《合同法》,也及時次承認了電子商務合同在我國的法律地位。然而,完善法規應注意以下問題:

電子商務環境下的電子數據已不同于任何傳統意義上的書面形式。是取消書面形式的提法還是擴大書面形式的定義,是電子商務立法中面臨的問題。根據功能等同法原理,把符合書面形式功能的東西視同書面形式,是目前普遍采用的做法。

在許多國家的法律中,涉及證據時都要求提供原件。原件具有的特征,會計上的原始憑證一般都要求是原件。電子商務環境下的電子數據是記錄在計算機內的一串字符,傳送給接收方的也是一串字符,不可能具備的特征。從某種意義上講,電子數據不存在“原件”問題,因此,法律需要對此做出相應的規定。

電子數據(尤其是電子合同)的生效時間和地點在電子商務活動中具有重要法律意義。在傳統的商務環境中,不同國家的法律對此有不同的規定。例如,英美法系國家采取“發出生效規則”,大陸法系國家則采取“到達生效規則”。由于電子數據可在任何時間、任何地點發送,具有較大的不確定性。因此,到達生效規則更適合于電子商務活動。

簽名是交易合同和單據生效的必備條件。傳統的書面簽字是指某具體人在交易合同和單據上親筆寫上自己的姓名或所代表的單位名以示確認,并開始承擔相應責任。然而傳統的簽字方法無法應用在電子數據文件上。

電子商務安全管理分析:關于電子商務安全管理體制的探討

論文關鍵詞:電子商務 信息安全 人員管理

論文摘要:當前,我國電子商務建設中以技術為主的安全管理體制,忽視了人員對電子商務的安全影響。但近幾年案例表明:企業缺乏針對內部人員的系統安全管理體制,是導致網絡交易過程中泄密和企業利益損失的主要原因。本文重點分析了企業在電子商務安全管理體制方面存在的不足和原因,提出了一些加強人員安全管理的建議,為我國電子商務企業的安全管理提供借鑒。

1、問題的提出

作為一種新的經濟模式,電子商務以高效、便捷、方便的優勢和全新的企業經營理念、經營手段、經營環境吸引著廣大用戶,為世界經濟賦予了無限的發展空間。隨著電子商務應用范圍的日益擴大,針對電子商務的各種犯罪活動也19益猖獗。國內外調查顯示…,52.26%的用戶最關心的是網上交易的安全性,超過6o%的人由于擔心電子商務的安全問題而不愿進行網上購物。加強電子商務實施過程中的安全管理已經成為促進電子商務高速發展的重要因素。

電子商務的安全,可分為技術安全和管理安全兩種類型。所謂技術安全,是指通過各種黑客手段竊取企業的用戶ld、密碼以及相關的機密文件,甚至網絡銀行帳號、密碼等,給企業造成經濟損失。而管理安全則是指缺乏對參與電子商務過程中各個環節的人員的管理預防手段,最終導致的電子商務安全事件。從美國的花旗銀行和中央情報局到中國的某家國有商業銀行,都有過由于內部人員的違規和違法操作,導致數據被篡改和泄密的事件發生。

近幾年的電子商務安全案件表明:人員是網上交易安全管理中的最薄弱的環節,近年來我國計算機犯罪大都呈現內部犯罪的趨勢,有的競爭對手利用企業招募新人的方式潛入對方企業,或利用不正當的方式收買企業網絡交易管理人員。有的電子商務從業人員從本企業辭職后,迅速把客戶資料、產品研發成果等機密出售給競爭對手,給企業帶來了不必要的經濟損失。

2、原因分析

電子商務信息安全已經引起很多企業的重視,但大多數企業往往側重于加強技術措施,如購買先進的防火墻軟件,采用更高級的加密方法等,很多企業認為:員工泄密的安全事故只是偶然現象,很少從人員管理的角度來探討出現這些事故的根本原因?!爸丶夹g、輕管理”是當前很多電子商務企業的通病。由于管理手段不到位,很多先進的安全技術無法發揮應有的效能。之所以出現上述問題,主要有以下原因:

首先,很多企業管理高層對人員管理在信息安全中的地位認識不足。大多數企業將電子商務網絡作為一項純粹的技術工程來實施,企業內部缺乏系統的安全管理策略,只是被動的使用一些技術措施來進行防御,因此電子商務過程中一旦出現突發性事件,往往造成很大的經濟損失。現實中沒有一個網絡系統是無缺的,不安全因素隨時存在。因此,安全管理措施必須滲透到系統的每一個環節和企業組織的~個層面,只有構建一個人與技術相結合的安全管理體系,才能確保整個電子商務系統得安全。

企業沒有從整體上、有計劃地考慮信息安全問題。企業各部門、各下屬機構都存在“各自為政的局面,缺少統一規劃、設計和管理信息安全強調的是整體上的信息安全性,而不僅是某一個部門或公司的信息安全。而各部門、各公司又確實存在個體差異,對于不同業務領域來說,信息安全具有不同的涵義和特征,信息安全保障體系的戰略性必須涵蓋各部門和各公司的信息安全保障體系的相關內容。

缺少信息安全管理配套的人力、物力和財力。人才是信息安全保障工作的關鍵。信息安全保障工作的專業性、技術性很強,沒有一批業務能力強,且具有信息網絡知識、信息安全技術、法律知識和管理能力的復合型人才和專門人才,就不可能做好信息安全保障工作。應該從信息安全建設和管理對信息安全人才的實際需求出發,加快信息安全人才的培養。

企業對員工的信息安全教育不夠。員工的信息安全意識薄弱,9o%的安全事故是由于人為疏忽所造成。如有些企業不限制內部人員使用各種高科技信息載體,如u盤、移動硬盤以及筆記本等移動辦公設備。

3、加強電子商務安全管理的建議

電子商務信息安全管理實踐表明,大多數安全問題是由于管理不善造成的。安全管理是一項系統工程,不僅涉及到企業的組織架構、信息技術、人員素質等各個方面,還牽扯到國家法律和商業規則。企業內部存在著諸多影響信息安全的因素:改變lt系統不等于改變企業的信息安全管理,要使企業信息盡可能的安全,必須在技術投人的基礎上融人人在管理方面的智慧i同時,不僅要防外,更要防內,即對組織內部人員的管理。信息安全問題的解決需要技術,但又不能單純依靠技術。整個電子商務的交易過程,是人與技術相互融合的過程,如何使管理與技術相得益彰十分重要?!叭旨夹g,七分管理”闡述了信息安全的本質。

電子商務的安全管理,就是通過一個完整的綜合保障體系,來規避信息傳輸風險、信用風險、管理風險和法律風險,以保障網上交易的順利進行。網上交易安全管理,應采用綜合防范的思路,一是技術方面的考慮,如防火墻技術、網絡防毒、信息加密、身份認證、授權等,但必須明確,只有技術措施并不能保障網上交易的安全。二是必須加強監管,建立各種有關的合理制度,并加強嚴格監督,如建立交易的安全制度、交易安全的實時監控、提供實時改變安全策略的能力、對現有的安全系統漏洞的檢查以及安全教育等。為了加強企業電子商務的信息安全,我們提出如下建議:

(1)提高網絡安全防范意識。

現在許多企業沒有意識到互聯網的易受攻擊性,盲目相信國外的加密軟件,對于系統的訪問權限和密鑰缺乏有力度的管理。這樣的系統一旦受到攻擊將十分脆弱,其中的機密數據得不到應有的保護。據調查,目前國內90%的網站存在安全問題,其主要原因是企業管理者缺少或沒有安全意識。某些企業網絡管理員甚至認為其公司規模較小,不會成為黑客的攻擊目標,如此態度,網絡安全更是無從談起。應該定期由公司或安全管理小組承辦信息安全講座,只有提高網絡安全防范意識,才能有效的減少信息安全事故的發生。

(2)建立電子商務安全管理組織體系。

一個完整的信息安全管理體系首先應建立完善的組織體系。即建立由行政領導、it技術主管、信息安全主管、本系統用戶代表和安全顧問組成的安全決策機構。其職責是建立管理框架,組織審批安全策略、安全管理制度,指派安全角色,分配安全職責,并檢查安全職責是否已被正確履行,核準新信息處理設施的啟用、組織安全管理專題會等。還應建立由網絡管理員、系統管理員、安全管理員、用戶管理員等組成的安全執行機構。該機構負責起草網絡系統的安全策略、執行批準后的安全策略、日常的安全運行和維護、定期的培訓和安全檢查等。如果需要,還可建立安全顧問機構。安全顧問機構可聘請信息安全專家擔任系統安全顧問,負責提供安全建議,特別是在安全事故或違反安全策略事件發生后,可以被安全決策機構指定負責事故(事件)調查,并為安全策略評審和評估提供意見。

(3)制定符合機構安全需求的信息安全策略。電子商務交

易過程中,需要明確的安全策略主要包括客戶認證策略、加密策略、日常維護策略、防病毒策略等安全技術方案的選擇。安全執行機構應根據本信息網絡的實際情況制定相應的信息安全策略,策略中應明確安全的定義、目標、范圍和管理責任,并制定安全策略的實施細則。安全策略文檔要由安全決策機構審查、批準,并和傳達給所有的人安全策略還應由安全決策機構定期進行有效性審查和評估:在發生重大的安全事故、發現新的脆弱性、組織體系或技術上發生變更時,應重新進行安全策略的審查和評估。

(4)人員安全的管理和培訓

參與網上交易的經營管理人員在很大程度上支配著企業的命運,他們承擔著防范網絡犯罪的任務。而計算機網絡犯罪同一般犯罪不同的是,他們具有智能性、隱蔽性、連續性、高效性的特點,因而,加強對有關人員的管理變得十分重要。首先,在人員錄用時應做好人員鑒別,人員錄用或人員職位調整時,一般要簽署保密協議。當人員到期離開或協議到期、工作終止時,要審查保密協議。其次對有關人員進行上崗培訓,建立人員培訓計劃,定期組織安全策略和規程方面的培訓。第三,落實工作責任制,在崗位職責中明確本崗位執行安全政策的常規職責和本崗位保護特定資產、執行特定安全過程或活動的特別職責,對違反網上交易安全規定的人員要進行及時的處理。第四,貫徹網上交易安全運作基本原則,包括職責分離、雙人負責、任期有限、最小權限、個人可信賴性等。

(5)增強法律意識,促進電子商務立法

面對電子商務這種新型的貿易形式,我國目前尚無專門法規可依,使得部分違法犯罪人員沒有得到應有的懲罰。近幾年里,國家加強了這方面的投入。在全國性的立法文件中,《合同法》的部分條款可以看作是針對電子商務的立法。此外,廣東省制定的《廣東省電子交易管理條例》這個地方性的法規可以看作是對加快我國電子商務立法的有益探索?!吨腥A人民共和國電子簽名法》是對主要用于電子商務活動,電子政務等其他應用應該有新的適用法規。

盡管在電子商務信息安全立法方面取得了一些成就,但總的來說,我國的電子商務立法還很不健全,對電子商務活動的安全保護缺少直接性;相關立法比較分散,而且效力不高;對新出現的情況缺乏適應能力;立法速度慢。這些都需要電子商務企業和國家有關部門不斷探索,共同促進電子商務信息安全的法制環境建設。

4、結論

快捷的電子商務在給企業帶來發展機遇的同時,也使企業面臨著各種安全風險。由于缺乏對電子商務信息安全管理體制的系統認識,很多企業都把其電子商務信息安全作為一項技術工程來實施,而忽略了交易過程中,各種參與人員對安全的影響。分析了企業在電子商務安全管理體制方面存在的不足和原因,從安全防范意識、管理組織體系、信息安全技術策略、人員管理與培訓、電子商務立法等方面提出了一些加強人員安全管理的建議。在企業走向電子商務時代,只有管理與技術并重,才能確保企業電子商務交易過程中的信息安全。

電子商務安全管理分析:電子商務安全管理策略分析

編者按:本文主要從電子商務中存在的兩大類安全問題;電子商務中的主要安全技術;電子商務的安全性策略;電子商務安全中還需解決的問題,幾個方面對電子商務安全管理策略分析進行講述。其中,主要包括:網絡安全問題、商務安全問題、目前電子商務中存在的主要安全問題以、電子商務的安全技術、計算機網絡安全技術、商務交易安全技術、電子商務安全技術保障策略以、沒有一種電子商務安全的完整解決方案和完整模型與體系結構、盡管大多數方案都使用了公鑰密碼,但多方安全受到的關注遠遠不夠、具體材料請詳見:

摘要:電子商務作為一種全新的商務模式,它有很大的發展前途,且隨之而來的安全問題也越來越突出,如何建立一個安全、便捷的電于商務應用環境,對信息提供足夠的保護,是商家和用戶都十分關注的話題。安全問題己成為電子商務的核心問題。分析了電子商務中存在的安全問題,并闡述目前解決電子商務安全隱患的主要安全技術及相關策略。

關鍵詞:電子商務;安全問題;安全策略

1電子商務中存在的兩大類安全問題

1.1網絡安全問題

現在隨著互聯網技術的發展,網絡安全成了新的安全研究熱點。網絡安全就是如何保障網絡上存儲和傳輸的信息的安全性。網絡安全問題是計算機系統本身存在的漏洞和其他人為因素構成了計算機網絡的潛在威脅,概括來說網絡安全的內容包括:計算機網絡設備安全、計算機網絡系統安全、數據庫安全等

1.2商務安全問題

商務交易安全則緊緊圍繞傳統商務在互聯網絡上應用時產生的各種安全問題,在計算機網絡安全的基礎上,如何保障電子商務過程的順利進行。即實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。網上交易日益成為新的商務模式,基于網絡資源的電子商務交易已為大眾接受,人們在享受網上交易帶來的便捷的同時,交易的安全性備受關注,網絡所固有的開放性與資源共享性導致網上交易的安全性受到嚴重威脅。所以在電子商務交易過程中,保障交易數據的安全是電子商務系統的關鍵。

1.3目前電子商務中存在的主要安全問題

(1)對合法用戶的身份冒充。攻擊者通過非法手段盜用合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易,從而獲得非法利益。

(2)對信息的竊取。攻擊者在網絡的傳輸信道上,通過物理或邏輯的手段,對數據進行非法的截獲與監聽,從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網上竊取那些粗心用戶的信用卡賬號,還能以欺騙的手法進行產品交易,甚至能洗黑錢。

(3)對信息的篡改。攻擊者有可能對網絡上的信息進行截獲后篡改其內容,如修改消息次序、時間,注入偽造消息等,從而使信息失去真實性和完整性。

(4)拒絕服務。攻擊者使合法接入的信息、業務或其他資源受阻。

(5)對發出的信息予以否認。某些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。

(6)信用威脅。交易者否認參加過交易,如買方提交訂單后不付款,或者輸入虛假銀行資料使賣方不能提款;用戶付款后,賣方沒有把商品發送到客戶手中,使客戶蒙受損失。

(7)電腦病毒。電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯網的出現又為病毒的傳播提供了好的媒介。不少新病毒直接利用網絡作為自己的傳播途徑,還有眾多病毒借助于網絡傳播得更快,動輒造成數百億美元的經濟損失。如,CIH病毒的爆發幾乎在瞬間給網絡上數以萬計的計算機以沉重打擊。

2電子商務中的主要安全技術

2.1電子商務的安全技術

互聯網已經日漸融入到人類社會的各個方面中,網絡防護與網絡攻擊之間的斗爭也將更加激烈,這就對安全技術提出了更高的要求。安全技術是電子商務安全體系中的基本策略,是伴隨著安全問題的誕生而出現的,安全技術極大地從不同層次加強了計算機網絡的整體安全性。要加強電子商務的安全,需要企業本身采取更為嚴格的管理措施,需要國家建立健全法律制度,更需要有科學的先進的安全技術。安全問題是電子商務發展的核心和關鍵問題,安全技術是解決安全問題保障電子商務健康有序發展的關鍵因素。

2.2計算機網絡安全技術

目前,常用的計算機網絡安全技術主要有病毒防范技術、身份認證技術、防火墻技術和虛擬專用網VPN技術等。

(1)病毒是一種惡意的計算機程序,它可分為引導區病毒、可執行病毒、宏病毒和郵件病毒等,不同的病毒的危害性也不一樣。為了防范病毒,可以采用以下的措施:

①安裝防病毒軟件,加強內部網的整體防病毒措施;

②加強數據備份和恢復措施;

③對敏感的設備和數據要建立必要的物理或邏輯隔離措施等。

(2)身份識別技術是計算機網絡安全技術的重要組成部分之一。它的目的是證實被認證對象是否屬實和是否有效。其基本思想是通過驗證被認證對象的屬性來達到確認被認證對象是否真實有效的目的。被認證對象的屬性可以是口令、問題解答或者像指紋、聲音等生理特征,常用的身份認證技術有口令、標記法和生物特征法。

(3)防火墻是一種將內部網和公眾網如Internet分開的方法,它能限制被保護的網絡與互聯網絡之間,或者與其他網絡之間進行的信息存取、傳遞操作。防火墻可以作為不同網絡或網絡安全域之間信息的出入口,能根據企業的安全策略控制出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。它是電子商務的最常用的設備。

(4)虛擬專用網是用于Internet電子交易的一種專用網絡,它可以在兩個系統之間建立安全的通道,非常適合于電子數據交換(EDI)。在虛擬專用網中交易雙方比較熟悉,而且彼此之間的數據通信量很大。只要交易雙方取得一致,在虛擬專用網中就可以使用比較復雜的專用加密和認證技術,這樣就可以大大提高電子商務的安全性。VPN可以支持數據、語音及圖像業務,其優點是經濟、便于管理、方便快捷地適應變化,但也存在安全性低,容易受到攻擊等問題。

2.3商務交易安全技術

(1)加密技術是電子商務安全的一項基本技術,它是認證技術的基礎。

采用加密技術對信息進行加密,是最常見的安全手段。加密技術是一種主動的信息安全防范措施,其原理是利用一定的加密算法,將明文轉換成為無意義的密文,阻止非法用戶理解原始數據,從而確保數據的保密性。目前,在電子商務中,獲得廣泛應用的兩種加密技術是對稱密鑰加密體制(私鑰加密體制)和非對稱密鑰加密體制(公鑰加密體制)。它們的主要區別在于所使用的加密和解密的密碼是否相同。

(2)安全認證技術主要有數字摘要、數字信封、數字簽名、數字時間戳、數字證書等。

①數字摘要。

數字摘要是采用單向Hash函數對文件中若干重要元素進行某種變換運算得到固定長度的摘要碼(數字指紋FingerPrint),并在傳輸信息時將之加入文件一同送給接收方,接收方收到文件后,用相同的方法進行變換運算,若得到的結果與發送來的摘要碼相同,則可斷定文件未被篡改,反之亦然。

②數字信封。

數字信封是用加密技術來保障只有規定的特定收信人才能閱讀信的內容。在數字信封中,信息發送方采用對稱密鑰來加密信息,然后將此對稱密鑰用接收方的公開密鑰來加密(這部分稱為數字信封)之后,將它和信息一起發送給接收方,接收方先用相應的私有密鑰打開數字信封,得到對稱密鑰,然后使用對稱密鑰解開信息。這種技術的安全性相當高。

③數字簽名。

把HASH函數和公鑰算法結合起來,可以在提供數據完整性的同時,也可以保障數據的真實性。完整性保障傳輸的數據沒有被修改,而真實性則保障是由確定的合法者產生的HASH,而不是由其他人假冒。而把這兩種機制結合起來就可以產生所謂的數字簽名(DigitalSignature)。

④數字時間戳。

交易文件中,時間是十分重要的信息。在書面合同中,文件簽署的日期和簽名一樣均是十分重要的,是防止文件被偽造和篡改的關鍵性內容。而在電子交易中,同樣需對交易文件的日期和時間信息采取安全措施,而數字時間戳服務(DTS-DigitalTime-stampService)就能提供電子文件發表時間的安全保護。數字時間戳服務(DTS)是網絡安全服務項目,由專門的機構提供。

⑤數字證書。

在交易支付過程中,參與各方必須利用認證中心簽發的數字證書來證明各自的身份。所謂數字證書,就是用電子手段來證實一個用戶的身份及用戶對網絡資源的訪問權限。在網上電子交易中,如果雙方出示了各自的數字證書,并用它來進行交易操作,那么雙方都可不必為對方身份的真偽擔心。

3電子商務的安全性策略

3.1電子商務安全技術保障策略

安全技術保障技術是電子商務安全體系中的基本策略,目前相關的信息安全技術與專門的電子商務安全技術研究比較普遍和成熟。電子商務中常用到的安全技術有:密碼技術,身份驗證技術,訪問控制技術,防火墻技術。

3.2企業電子商務安全運營管理制度保障策略

企業電子商務安全運營管理制度是用文字的形式對各項安全要求所做的規定,是保障企業取得電子商務成功的基礎,是企業電子商務人員工作的規范和準則。這些制度主要包括人員管理制度,保密制度,跟蹤審計制度,系統維護制度、數據備份制度等。

3.3電子商務立法策略

(1)立法目的。電子商務安全立法的目的主要是要消除電子商務發展的法律障礙;消除現有法律適用上的不確定性,保護合理的商業行為,保障電子交易安全;建立一個清晰的法律框架以統一調整電子商務的健康發展。

(2)立法范圍。電子商務安全方面需要的法律法規主要有:市場準入制度、合同有效認證辦法、電子支付系統安全措施、信息保密防范辦法,知識產權侵權處理規定、以及廣告的管制、網絡信息內容過濾等;

(3)立法途徑。電子商務法律仍然是調整社會關系,所以應當繼承傳統立法的合理內核,尤其是基礎價值觀。具體的立法途徑主要是兩種:及時是制定新的法律規范。第二是修改或重新解釋既定的法律規范。

3.4政府監督管理策略

電子商務本質是一種市場運作模式,市場的正常健康有序地發展,必須有政府宏觀上的監督與管理,以協調和規范各市場主體的行為,宏觀監督與管理電子商務運行中的安全保障體系。政府監督管理主要體現在:計算機信息系統安全管理,網絡廣告和網絡服務業管理,認證機構管理,加強社會信用道德建設。

4電子商務安全中還需解決的問題

(1)沒有一種電子商務安全的完整解決方案和完整模型與體系結構。

(2)盡管一些系統正在逐漸成為標準,但僅有很少幾個標準的應用程序接口(APIA)。從協議間的通用API和網關是需要的。

(3)大多數電子商務系統都是封閉式的,即它們使用獨有的技術,僅支持一些特定的協議和機制。通常需要一個中央服務器作為所有參與者的可信第三方,有時還要求使用特定的服務器和瀏覽器。

(4)盡管大多數方案都使用了公鑰密碼,但多方安全受到的關注遠遠不夠。沒有建立一種解決爭議的決策程序。

(5)客戶的匿名性和隱私尚未得到充分的考慮。

91综合网人人