时间:2023-09-12 17:04:17
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇电子商务安全管理策略范例。如需获取更多原创内容,可随时联系我们的客服老师。
摘要:电子商务作为一种全新的商务模式,它有很大的发展前途,且随之而来的安全问题也越来越突出,如何建立一个安全、便捷的电于商务应用环境,对信息提供足够的保护,是商家和用户都十分关注的话题。安全问题己成为电子商务的核心问题。分析了电子商务中存在的安全问题,并阐述目前解决电子商务安全隐患的主要安全技术及相关策略。
关键词:电子商务;安全问题;安全策略
1电子商务中存在的两大类安全问题
1.1网络安全问题
现在随着互联网技术的发展,网络安全成了新的安全研究热点。网络安全就是如何保证网络上存储和传输的信息的安全性。网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁,概括来说网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等
1.2商务安全问题
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。网上交易日益成为新的商务模式,基于网络资源的电子商务交易已为大众接受,人们在享受网上交易带来的便捷的同时,交易的安全性备受关注,网络所固有的开放性与资源共享性导致网上交易的安全性受到严重威胁。所以在电子商务交易过程中,保证交易数据的安全是电子商务系统的关键。
1.3目前电子商务中存在的主要安全问题
(1)对合法用户的身份冒充。攻击者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份与他人进行交易,从而获得非法利益。
(2)对信息的窃取。攻击者在网络的传输信道上,通过物理或逻辑的手段,对数据进行非法的截获与监听,从而得到通信中敏感的信息。如典型的“虚拟盗窃”能从因特网上窃取那些粗心用户的信用卡账号,还能以欺骗的手法进行产品交易,甚至能洗黑钱。
(3)对信息的篡改。攻击者有可能对网络上的信息进行截获后篡改其内容,如修改消息次序、时间,注入伪造消息等,从而使信息失去真实性和完整性。
(4)拒绝服务。攻击者使合法接入的信息、业务或其他资源受阻。
(5)对发出的信息予以否认。某些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
(6)信用威胁。交易者否认参加过交易,如买方提交订单后不付款,或者输入虚假银行资料使卖方不能提款;用户付款后,卖方没有把商品发送到客户手中,使客户蒙受损失。
(7)电脑病毒。电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。如,CIH病毒的爆发几乎在瞬间给网络上数以万计的计算机以沉重打击。
2电子商务中的主要安全技术
2.1电子商务的安全技术
互联网已经日渐融入到人类社会的各个方面中,网络防护与网络攻击之间的斗争也将更加激烈,这就对安全技术提出了更高的要求。安全技术是电子商务安全体系中的基本策略,是伴随着安全问题的诞生而出现的,安全技术极大地从不同层次加强了计算机网络的整体安全性。要加强电子商务的安全,需要企业本身采取更为严格的管理措施,需要国家建立健全法律制度,更需要有科学的先进的安全技术。安全问题是电子商务发展的核心和关键问题,安全技术是解决安全问题保证电子商务健康有序发展的关键因素。
2.2计算机网络安全技术
目前,常用的计算机网络安全技术主要有病毒防范技术、身份认证技术、防火墙技术和虚拟专用网VPN技术等。
(1)病毒是一种恶意的计算机程序,它可分为引导区病毒、可执行病毒、宏病毒和邮件病毒等,不同的病毒的危害性也不一样。为了防范病毒,可以采用以下的措施:
①安装防病毒软件,加强内部网的整体防病毒措施;
②加强数据备份和恢复措施;
③对敏感的设备和数据要建立必要的物理或逻辑隔离措施等。
(2)身份识别技术是计算机网络安全技术的重要组成部分之一。它的目的是证实被认证对象是否属实和是否有效。其基本思想是通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的。被认证对象的属性可以是口令、问题解答或者像指纹、声音等生理特征,常用的身份认证技术有口令、标记法和生物特征法。
(3)防火墙是一种将内部网和公众网如Internet分开的方法,它能限制被保护的网络与互联网络之间,或者与其他网络之间进行的信息存取、传递操作。防火墙可以作为不同网络或网络安全域之间信息的出入口,能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。它是电子商务的最常用的设备。
(4)虚拟专用网是用于Internet电子交易的一种专用网络,它可以在两个系统之间建立安全的通道,非常适合于电子数据交换(EDI)。在虚拟专用网中交易双方比较熟悉,而且彼此之间的数据通信量很大。只要交易双方取得一致,在虚拟专用网中就可以使用比较复杂的专用加密和认证技术,这样就可以大大提高电子商务的安全性。VPN可以支持数据、语音及图像业务,其优点是经济、便于管理、方便快捷地适应变化,但也存在安全性低,容易受到攻击等问题。
2.3商务交易安全技术
(1)加密技术是电子商务安全的一项基本技术,它是认证技术的基础。
采用加密技术对信息进行加密,是最常见的安全手段。加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。目前,在电子商务中,获得广泛应用的两种加密技术是对称密钥加密体制(私钥加密体制)和非对称密钥加密体制(公钥加密体制)。它们的主要区别在于所使用的加密和解密的密码是否相同。
(2)安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等。
①数字摘要。
数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码(数字指纹FingerPrint),并在传输信息时将之加入文件一同送给接收方,接收方收到文件后,用相同的方法进行变换运算,若得到的结果与发送来的摘要码相同,则可断定文件未被篡改,反之亦然。
②数字信封。
数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。在数字信封中,信息发送方采用对称密钥来加密信息,然后将此对称密钥用接收方的公开密钥来加密(这部分称为数字信封)之后,将它和信息一起发送给接收方,接收方先用相应的私有密钥打开数字信封,得到对称密钥,然后使用对称密钥解开信息。这种技术的安全性相当高。
③数字签名。
把HASH函数和公钥算法结合起来,可以在提供数据完整性的同时,也可以保证数据的真实性。完整性保证传输的数据没有被修改,而真实性则保证是由确定的合法者产生的HASH,而不是由其他人假冒。而把这两种机制结合起来就可以产生所谓的数字签名(DigitalSignature)。
④数字时间戳。
交易文件中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的,是防止文件被伪造和篡改的关键性内容。而在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS-DigitalTime-stampService)就能提供电子文件发表时间的安全保护。数字时间戳服务(DTS)是网络安全服务项目,由专门的机构提供。
⑤数字证书。
在交易支付过程中,参与各方必须利用认证中心签发的数字证书来证明各自的身份。所谓数字证书,就是用电子手段来证实一个用户的身份及用户对网络资源的访问权限。在网上电子交易中,如果双方出示了各自的数字证书,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。
3电子商务的安全性策略
3.1电子商务安全技术保障策略
安全技术保障技术是电子商务安全体系中的基本策略,目前相关的信息安全技术与专门的电子商务安全技术研究比较普遍和成熟。电子商务中常用到的安全技术有:密码技术,身份验证技术,访问控制技术,防火墙技术。
3.2企业电子商务安全运营管理制度保障策略
企业电子商务安全运营管理制度是用文字的形式对各项安全要求所做的规定,是保证企业取得电子商务成功的基础,是企业电子商务人员工作的规范和准则。这些制度主要包括人员管理制度,保密制度,跟踪审计制度,系统维护制度、数据备份制度等。
3.3电子商务立法策略
(1)立法目的。电子商务安全立法的目的主要是要消除电子商务发展的法律障碍;消除现有法律适用上的不确定性,保护合理的商业行为,保障电子交易安全;建立一个清晰的法律框架以统一调整电子商务的健康发展。
(2)立法范围。电子商务安全方面需要的法律法规主要有:市场准入制度、合同有效认证办法、电子支付系统安全措施、信息保密防范办法,知识产权侵权处理规定、以及广告的管制、网络信息内容过滤等;
(3)立法途径。电子商务法律仍然是调整社会关系,所以应当继承传统立法的合理内核,尤其是基础价值观。具体的立法途径主要是两种:第一是制定新的法律规范。第二是修改或重新解释既定的法律规范。
3.4政府监督管理策略
电子商务本质是一种市场运作模式,市场的正常健康有序地发展,必须有政府宏观上的监督与管理,以协调和规范各市场主体的行为,宏观监督与管理电子商务运行中的安全保障体系。政府监督管理主要体现在:计算机信息系统安全管理,网络广告和网络服务业管理,认证机构管理,加强社会信用道德建设。
4电子商务安全中还需解决的问题
(1)没有一种电子商务安全的完整解决方案和完整模型与体系结构。
(2)尽管一些系统正在逐渐成为标准,但仅有很少几个标准的应用程序接口(APIA)。从协议间的通用API和网关是绝对需要的。
(3)大多数电子商务系统都是封闭式的,即它们使用独有的技术,仅支持一些特定的协议和机制。通常需要一个中央服务器作为所有参与者的可信第三方,有时还要求使用特定的服务器和浏览器。
(4)尽管大多数方案都使用了公钥密码,但多方安全受到的关注远远不够。没有建立一种解决争议的决策程序。
(5)客户的匿名性和隐私尚未得到充分的考虑。
参考文献
[1]EricRescorla.著,崔凯译.SSL与TLSDesigningandBuild-ingSecureSystems[M].北京:中国电力出版社,2002.
[2]ChristopherSteel,RameshNagappan,RayLai.著.安全模式(CoreSecurityPatterns)[M].北京:机械工业出版社,2006.
论文摘要:随着商业银行网上业务的不断发展,电子商务安全风险管理策略成为理论与实践中必须重视的课题。剖析现阶段电子商务安全网风险策略的薄弱点,发展商业银行电子商务安全风险管理策略,应借鉴成熟的传统金融风险度量中的一些方法改变电子商务安全管理对资产进行粗略的优先级别排序,用系统管理思想构建商业银行电子商务安全管理框架,并将商务安全风险纳入风险管理范畴。
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的历史演进与现阶段的特点
信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(Is Audit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法依赖外部的信息安全管理行业
在发达国家,信息系统审计(Is Audit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴
关键词:商业银行;电子商务;风险管理
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统
一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法依赖外部的信息安全管理行业
在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。新晨
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴
一、电子商务出现安全问题的原因
电子商务出现安全问题的原因是多方面,主要有以下几种:
1、企业管理缺乏对于人员管理的认识。
如今,很多企业都认为电子商务仅仅在于技术而非人员管理,因此,企业在管理当中也会自觉地把电子商务当做一项技术来研究管理,缺乏对于企业内?a href="xuexila.com/yangsheng/kesou/" target="_blank">咳嗽钡南低彻芾恚皇墙屑际豕タ死唇邪踩喙堋R虼耍坏┢笠捣⑸宋薹植沟木盟鹗保39讨吹娜衔羌际醪还厝堑幕觯斐赏环⑹录捣ⅰD壳埃诠芾淼敝忻挥幸桓鱿喽酝暾耐绻芾硐低痴馐悄赣怪靡傻模环⑹录媸倍伎赡艽嬖冢虼耍踩芾?a href="xuexila.com/fanwen/cuoshi/" target="_blank">措施就必须要管理到电子商务的每一个角落和环节当中,只有是人与与技术相结合,才能够保证电子商务安全的进行下去。
2、企业规划当中没有详细的考虑信息安全问题
在电子商务安全的管理当中,并不是仅仅依靠一个部分或几个部门,而是整个企业的所有部门来维护和监管,虽然,各部门在职能的分工上各有不同,各有优势也存在差异,但是信息安全是每个部门都必须要重视的事情。信息安全保障体系必须是各部门整体的协调统一,才能够确保信息安全体系的有效管理。
3、企业缺乏相应的安全管理人力
企业在进行信息安全管理当中,很容易忽视对于信息安全管理的物质基础,在信息管理当中人才是保障信息安全的重中之重,信息安全是一项技术性活,假如缺乏业务能力强并且具备信息安全网络知识、技术、法律知识和管理能力的人才,就不可能把安全管理做好,电子商务安全管理就没有保障,容易导致信息的丢失和安全的缺乏。
4、企业对人员关于信息安全的宣传不到位
很多企业度忽视对于内部工作人员的信息安全的培训,这样就容易导致内部人员的信息安全意识薄弱,等不到企业安全管理的目的,因此就可能导致安全事故的发生,如今绝大部分的安全信息泄密事件都是由于参与网络交易的人员信息安全意识的缺乏而发生的,这就是企业在安全管理上的疏忽造成经济的损失。
二、电子商务安全管理体制的建议
网上交易安全管理必须采用较为综合的管理思路,从技术考虑确保技术能够跟得上时代的潮流,加强安全监管建立合法的管理制度,杜绝信息的泄密,对交易安全进行实时监控等等手段来保障安全,因此本文提出电子商务安全管理建议如下:
1、企业需提高网络安全防范的意识
目前,很多国内的网站都存在网络上的安全问题,主要是管理者没有重视安全的监管,甚至一些企业认为自己的公司规模小不具备安全管理的经验甚至是不需要进行安全的管理,因为不会成为黑客攻击的目标,这样的安全监管就无从谈起。因此,不管是大企业还是小企业都需要树立其安全管理的意识,定期举办安全信息培训,只有是提高网络安全的防范意识才能够避免信息泄露的事故发生。
2、加强电子商务安全管理组织上的体系
电子商务安全管理最主要的是组织上需要更加的完善,因此需要建立行政指挥领导、技术人才管理、信息安全监管以及安全顾问等等的安全决策,而他们的职责是建立相对完整的组织机构,组织安全策略、分配安全职责并且定期检查安全职责是否按时旅行等等。不仅如此,企业还需要建立起网络安全员、管理员等等的安全执行机构,能够负责网络系统的安全策略和日常的安全运行维护检查等。而安全顾问也必不可少,可以聘请安全专家负责提供安全的建议,尤其是在突发事故发生后,安全顾问就显得特别重要,可以被安全决策机构负责事故的调查并且能够提出相对合理的评估意见与建议等。
3、加强人员的安全管理意识
在网络交易的时候大部分都是内部人员参与网络交易,因此,他们更容易进行网络犯罪,而他们在违法过程中比其他的违法人员具有更大的隐蔽性和高效性。因而企业需要加强人员的监管,可以先从人员的录用上进行人员的甄选,在人员的录用过程当中要签署保密协议,当人员到期或者合同终止时也需要签署保密协议。其次还可以对内部人员进行在岗培训,建立起人员的安全意识,定期组织安全策略练习和规程方面的操作等。第三,还可以让企业人员明确本岗位的安全政策和职责,对违反网络交易的人员要进行相应的处罚,情节严重时可让其承担法律责任。[1]
4、企业需加强法律意识,并促进电子商务有法可依
如今,电子商务的发展越来越快速,企业也从电子商务的交易上获得了巨大的经济效益,但是在目前来看,我国却没有电子商务相对应的法律依据,这样容易使得部分犯罪人员得不到相应的处罚,当然,我国也在电子商务的立法上逐渐的完善,但是到虽然在电子商务上信息安全取得了一些成绩,却总体来说法律依旧还是不健全的,对于电子商务的安全保护依旧是缺少,专门的法律还是比较的分散,并且法律的效率依旧还是不高,面对这样的新型情况的突发,还是缺乏有力性和有效性,适应性相对较弱,因此,国家的对于电子商务的专门立法需要各个企业和国家的有关部门不断地摸索,才能够让电子商务的立法环境得到良好的发展。[2]
三、结论
【论文摘要】计算机网络的技术发展相当迅速。随着互联网上黑客病毒泛溢,网络犯罪等威胁日益严重,网络安全管理的任务将会越来越艰巨和复杂,抓好网络安全问题对保障网络信息安全至关重要。因此文章对电子商务网络支付安全问题进行探讨分析。
0引言
美国等发达国家,通过Internet进行电子商务的交易已成为潮流。随着internet的发展和网络基础设施的不断完善,我国的电子商务虽已初具规模,但是安全问题却成为发展电子商务亟待解决的问题。电子商务过程中,买卖双方是通过网络联系的,由于internet是开放性网络,建立交易双方的安全和信任关系较为困难,因此本文对电子商务网络支付上的安全问题进行探讨分析。
1电子商务的概念和特点
1)电子商务的概念:电子商务(Electronic Commerce)是通过电信网络进行的生产、营销、销售、流通等活动,不仅是指基于因特网上的交易,而且还指利用电子信息技术实现解决问题、降低成本、增加价值、创造商机的商务活动[1]。
2)电子商务的特点:(1)电子商务将传统的商务流程电子化、数字化。不仅以电子流代替了实物流,大量减少了人力物力,降低了成本;而且突破了时间空间的限制,使得交易活动可在任何时间、任何地点进行,大大提高了效率。(2)电子商务使企业能以较低成本进入全球电子化市场,也使中小企业可能拥有与大企业一样的信息资源,提高了中小企业的竞争能力。(3)电子商务重新定义了传统的流通模式,减少了中间环节,使得生产者和消费者的直接交易成为可能,从而一定程度上改变了社会经济的运行方式。(4)电子商务提供了丰富的信息资源,为社会经济要素的重新组合提供了更多的可能,这将影响到社会的经济布局和结构。
2电子商务安全的技术体系
1)物理安全。首先根据国家标准、信息安全等级和资金状况,制定适合的物理安全要求,并经建设和管理达到相关标准[2]。再者,关键的系统资源(包括主机、应用服务器、安全隔离网闸GAP等设备),通信电路以及物理介质(软/硬磁盘、光盘、IC卡、PC卡等)、应有加密、电磁屏蔽等保护措施,均应放在物理上安全的地方。
2)网络安全。网络安全是电子商务的基础。为了保证电子商务交易顺利进行,要求电子商务平台要稳定可靠,能够不中断地提供服务。系统的任何中断(如硬件、软件错误,网络故障、病毒等)都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
3)商务安全。主要是指商务交易在网络媒介中出现的安全问题,包括防止商务信息被窃取、篡改、伪造、交易行为被抵赖,即要实现电子商务的保密性、完整性、真实性、不可抵赖性。商务安全的各方面也要通过不同的网络安全技术和安全交易标准实现,加解密技术保证了交易信息的保密性,也解决了用户密码被盗取的问题;数字签名是实现对原始报文完整性的鉴别,它与身份认证和审查系统一起可杜绝交易的伪造和抵赖行为。保证电子商务安全的主要技术有:在线支付协议(安全套接层SSL协议和安全电子交易SET协议)、文件加密技术、数字签名技术、电子商务认证中心(CA)。
4)系统安全。主要是保护主机上的操作系统与数据库系统的安全。对于保护系统安全,总体思路是:通过安全加固,解决管理方面安全漏洞;然后采用安全技术设备,增强其安全防护能力。
3安全管理过程监督
3.1加强全过程的安全管理
1)网络规划阶段,就要加强对信息安全建设和管理的规划。信息安全建设需要投入一定的人力、物力、财力。要根据状况实事求是地确定网络的安全总体目标和阶段目标、分段实施、降低投资风险。2)工程建设阶段,建设管理单位要将安全需求的汇总和安全性能功能的测试,列入工程建设各个阶段工作的重要内容,要加强对开发(实施)人员、版本控制的管理,要加强对开发环境、用户路由设置、关键代码的检查[3]。3)在运行维护阶段,要注意以下事项:(1)建立有效的安全管理组织架构,明确职责,理顺流程,实施高效管理。(2)按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。(3)制定完善的安全管理制度,加强信息网的操作系统、数据库、网络设备、应用系统运行维护过程的安全管理。(4)要建立应急预察体系,建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询,还要定期检查日志,以便及时发现潜在的安全威胁。
3.2建立动态的闭环管理流程
网络处于不断地建设和调整中,可能发现新的安全漏洞,因此需要建立动态的、闭环的管理流程。要在整体安全策略的控制和指导下,通过安全评估和检测工具(如漏洞扫描,入侵检测等)及时了解网络存在的安全问题和安全隐患,据此制定安全建设规划和加固方案,综合应用各种安全防护产品(如防火墙、身份认证等手段),将系统调整到相对安全的状态。并要注意以下两点:1)对于一个企业而言,安全策略是支付信息安全的核心,因此制定明确的有效的安全策略是非常重要的。安全组织要根据这个策略制定详细的流程、规章制度、标准和安全建设规划、方案,保证这些系列策略规范在整个企业范围内贯彻实施,从而保护企业的投资和信息资源安全。2)要制定完善的、符合企业实际的信息安全策略,就须先对企业信息网的安全状况进行评估,即对信息资产的安全技术和管理现状进行评估,让企业对自身面临的安全威胁和问题有全面的了解,从而制定针对性的安全策略,指导信息安全的建设和管理工作。
4结束语
本文分析了目前电子商务网络支付安全方面的主要技术状况,安全技术可以说是网络技术中较为尖端的技术,都是非常先进的技术手段;只要运用得当,配合相应的安全管理措施,基本能够保证电子商务中网络支付的安全;但不是100%的绝对安全,而是相对安全。随着网络安全技术的进步与信用机制的完善,网络支付定会越来越安全。
参考文献
[1]柯新生.网络支付与结算[M].北京:电子工业出版社,2004.
电子信息安全管理防范意识管理质量近些年来,我国计算机网络技术异乎寻常地突飞猛进,把人们带入了前所未有的信息化时代,网络和人们息息相关,无论工作、学习、生活、购物乃至娱乐与游戏,一刻也离不开网络的支持。信息化和网络化时代,电子商务(Electronic Commerce)应运而生。随着电子商务的出现,人们的交流更加便利,比如电子邮件可以随时随地地进行传递,电子商务让人们的生活更加随心所欲,工作效率得到了前所未有的提高。黑客(hacker)的出现,极大地干扰了网络,带来了一定的破坏,给人们带来了巨大的经济损失和精神方面的忧虑,甚至一度引起全世界范围内的恐慌,人们对电子信息失去了信任,即使在安全的情况下,很多人依然心有余悸。以故,加强电子信息安全管理势在必然。
一、电子信息安全管理中存在的问题
1.安全防范意识落后
我国的信息技术迅猛发展,人们沉浸在便利的喜悦中,忽略了安全管理。由于电子商务处于初步发展阶段,很多技术方面尚不成熟,一些高标准的电子商务平台尚还没有搭建起来,对黑客缺乏防御的小型电子商务平台虽然随处可见,但其缺乏有效的安全管理,经营者麻痹大意,心存侥幸,认为“黑客”虽然存在,但是自身未必遭受攻击,他们更多地关注业务的发展,重视平台规模的扩大和系统功能的开发。在这种情况下,系统缺乏安全防御,一旦受到攻击,立即瘫痪不能运转和造成损失。此外,有些管理者为了防御黑客,在市场上购买了一些大众化的安全管理软件,便觉得安装了这些“高新”产品,就会高枕无忧,永远安全的使用电子商务。结果,常常事与愿违,造成巨大的损失。
2.信息安全技术匮乏
经过一段时间的努力,国内的信息安全管理技术不断提升,连续迈上新的台阶,情况喜人。但是,我们也要有自知之明,因为和许多西方国家相比,信息安全防御与控制技术相对落后很多,并且,我们在经费的投入方面,有明显的差距;自主研发技术存在的不足之处多多,亟需改善。我们更要清楚的一点是:我们的技术,很多都是借鉴国外的经验,缺乏独创。如此步人后尘,电子信息安全管理质量难以有质的突破。
3.信息安全产品鉴定混乱无序
为了安全起见,很多企业花费不菲,购买了一些安全方面的软件,殊不知,这些产品在一般情况下,确实能够起到电子信息使用平台的安全作用,但如果病毒强大,绝对的安全便难以保证。纵观市场上的安全软件产品,良莠不齐,并且,目前市场上对于安全产品的鉴定没有统一标准,各执一说,很多都是主观判断,由此产生隐患。
二、电子信息安全管理的有效措施
在电子信息安全管理方面,一旦出现问题,就会造成损失,一些企业“吃一堑长一智”,采取了相关措施,不过,调查表明,大多数企业存在“重技术,轻管理”的情况,而且由于一些企业尚未造成重大损失,管理层对安全问题漠不关心,或重视不够。下面针对加强电子信息安全管理的主要措施做一探讨。
1.构建完善的管理组织机构,加强管理
电子信息安全管理组织机构的完善有力地促进了企业的发展,从安全决策到认真执行,层层构架,发挥职能。管理框架的构建要集思广益,审慎剀切;安全制度的审批须一丝不苟,审查入微;安全职责的分配必须认真到位,监督有力;遵照网络系统安全制度,严肃执行,进行网络系统的日常维护。如属于大型的电子商务平台或者集团企业,更加需要增加投入,比如聘请有造诣的专家成立顾问组织,以便企业进行疑难咨询,或是参照出现的问题出列解决方案,尔后进一步对责任进行调查、评估。
2.电子信息安全管理制度有待进一步完善
电子信息安全管理制度主要包括两方面的内容,第一点就是构建电子信息控制制度,第二点是出现问题之后的解决策略。关于第一点,需要明确责任,注重细节,出现任何情况都要严格审核,并且定期检查;至于第二点,注意信息传递过程中的信息维护,密切跟踪,及时报告,达到有效监督。最后,备份数据文件储存。
3.专业亟待提升
互联网的发展突飞猛进,普及千家万户,安全技术的研发相对于互联网的发展远远落后,原因诸多,最重要的一点就是缺乏过硬的技术人员。一般而言,电子商务规模越大,电子信息安全管理队伍的阵容也要随之扩充,只有电子信息安全管理队伍强大,才能够产生无穷的智慧与应对措施,保证电子商务平台的安全。
4.系统安全检测
黑客一词被用于泛指那些专门利用电脑网络和系统安全漏洞对网络进行攻击破坏或窃取资料的人。病毒与黑客不断变换手段,频频对电子商务系统采取攻击行动,有时候能导致整个系统瘫痪。出现意外情况,要立即检测,要经常更换密码,设置复杂一些的密码,要经常对防火墙进行检查,系统功能是否保持,是否出现漏洞等,要细致入微,不能有一丝一毫的疏忽,严防黑客侵入。
5.建立保护系统的方案
时常进行安全检测,一旦系统的安全检测失灵,必须立即建立系统安全防护措施。系统安全管理极其复杂,缺乏安全可靠的保护,电子商务在网络平台失去有效的依靠,随时会出现漏洞。反之,安全策略严谨,防护得力,即便系统遭受攻击,也会及时发现,能将损失最小化。
6.管理培训的重要性
防护系统的工作人员,要进行考试录用、上岗培训,企业经常进行人员培训,定期学习安全策略和规章制度。让每一个员工加强安全观念,提升对信息安全的重视,认识到防护的重要性,坚守岗位,忠于职守,明了企业安全规章制度的含义。
三、结语
综上所述,近年来经济腾飞,经济全球化进程不断加快,计算机技术无所不在,网络畅通无极,人们在网络平台上进行商务管理、学习、游戏、查找资料、购物汇款等等,网络信息交互平台已经深入大家的生活,人们已经一日不可没有网络的存在。网络如此不可或缺,随着计算机病毒造成的一次次的损失,人们对电子信息安全管理质量忧心忡忡。
在这一背景下,很多电子信息安全管理研究机构纷纷推出各类电子信息安全管理产品,尽管其对确保信息安全起到了一定的功效,但是,一切并不是万能的。这也使得人们明白了技术产品并不仅仅是安全管理工作的全部。本文结合当前电子信息安全管理现状,提出了一些相应的应对措施,希望能够有效提升电子信息安全管理的质量。
参考文献:
[1]姚帝晓.电子商务安全问题的思考[J].商场现代化,2006,(7):103.
[关键词] J2EE 电子商务 安全架构
一、背景介绍
随着网络应用的发展,电子商务作为一种新的商务系统得到了广泛的应用。目前电子商务的使用越来越广,电子商务的安全性成为人们关注的焦点。事实上,电子商务由于黑客的入侵,系统存在的安全漏洞而造成各方面的损失的报道也屡见不鲜。因此,电子商务的开发设计必须要把安全作为应用系统的一个重要的方面加入到电子商务系统的开发的整体设计中来。
当前电子商务应用的主流开发技术则是以J2EE为主,J2EE(Java 2 Platform Enterprise Edition)是美国Sun公司推出的多层企业应用开发模型。J2EE简化了基于工业标准的、组件化的企业应用开发,提供了一套完整的企业应用的开发框架和服务的支持。由于J2EE完善和灵活的框架设计、强大服务支持等优点,使其迅速成为电子商务应用系统开发的主流技术。本文则主要介绍了如何在基于J2EE的电子商务系统设计中加入安全架构的设计,并介绍了安全架构设计中的一些概念和实现技术。
二、电子商务的安全架构及其概念
电子商务的安全架构的根本目标是为了实现对用户访问系统和使用系统资源进行控制,达到合法用户合法使用系统的目的,因此在电子商务中采用的安全架构一般涉及到以下几个概念:
1.合法用户:合法用户是指通过验证的,拥有一定系统使用权限的用户。当一个用户进入系统时,只要通过验证后才可以获得进入系统的资格和使用系统的权限。
2.角色:由于一个电子商务系统可能对不同的用户给予不同的权限。如果对每个用户都要进行权限的设置,这样的做法显然是不合理的,因此在电子商务系统中一般将相同使用权限的用户归并成一类,称之为角色,相同的角色拥有相同的系统使用权限。
3.安全域:是一个逻辑范围或区域,在这一范围或区域中安全服务的管理员定义和实施通用的安全策略。它是比角色更高的层的抽象。一个组织可以划分成众多的安全域,而一个安全域中可以包含众多的角色。
4.资源:泛指电子商务系统中可以被用户使用,访问的有价值信息。比如说报价系统,订单系统等都属于电子商务系统的资源。
5.映射:映射是电子商务将一个合法用户与系统内的某个角色相关联的动作,从而该合法用户即拥有对应角色的系统使用权限。一个用户可以在不同的策略配置下对应不同的角色,达到实现系统用户权限管理的灵活性。
以上述的概念可知,一个组织的电子商务系统的安全架构可以首先看成是由安全域组成的,每个安全域内包含了众多的角色和资源。用户通过验证后进入系统,即根据其所属安全域的安全配置策略被映射到其对应的角色上,从而拥有该角色使用系统的权限。
三、电子商务的安全架构设计
1.用户身份验证:用户身份认证是用户进入系统的第一步,也是系统安全性保障的基本前提,用户身份验证有很多种方式和实现技术,就J2EE而言,主要有通过WEB客户端来实现对用户的身份验证和基于应用程序客户端验证两种方式, J2EE中提供了三种基于WEB客户端的用户身份验证技术,主要有HTTP基本验证,基于表单的验证,基于客户端证书的验证。而利用基于应用程序客户端验证的方式,这种方式主要是通过应用程序客户端在运行前由其应用程序客户端容器来完成验证过程。
2.安全域的划分:安全域涉及到更高抽象层的安全策略的配置,因此安全域的划分一般是依据电子商务系统用户所属组织的结构来划分。
3.用户角色设置主要是根据用户使用系统的需求来进行设置,将相同使用权限需求的用户归并为一类,设置成相同的角色。并针对该角色依据最小有限使用权限的原则配置该角色在系统中的使用权限。最后根据角色和权限配置,再结合实际的使用情况设置详细的安全管理策略。
4.以上第二、第三步骤主要集中在电子商务的安全管理逻辑设计,当逻辑设计完成后,就需要将逻辑的安全管理规则在电子商务系统中予以实现,在电子商务系统中加入安全管理功能模块。具有的实现方式有多种,以下本文将简要说明在电子商务应用系统中加入用户权限控制的过程和方法。
四、应用举例
在J2EE的架构中实现对用户访问权限的控制主要有二种实现方式:一种是通过SESSION对象来实现,即当用户通过身份验证后,为用户建立一个SESSION对象用以记录用户的角色,以及权限,当用户访问系统中的资源时,首先对用户的SESSION对象中的用户角色权限进行审计。如果用户的角色拥有访问该资源的权限,则允许其访问资源,否则拒绝;另一种方式则是通过对WEB应用容器进行设置来实现的。以TOMCAT为例,它可以用其WEB.XML配置文件进行配置,该配置文件实质上是定义的三元组,在该配置文件将系统的资源定义成用户角色将要访问的页面集合,并将相关的页面资源进行合并,也可以通过通用匹配符来表示成WEB资源集合,然后根据安全策略的设置,定义针对该集合允许访问的角色集合,在集合中定义允许访问的用户角色,最后是说明角色的验证方式,指出用户的角色名和其所属的安全域。对TOMCAT配置完成后,则可以由TOMCAT容器来实现对用户访问资源的控制。
从两种方式对比来看,第一种方式应该说安全策略的配置粒度更细,而且访问权限的控制能力也更强些,但是模块的功能设计复杂而灵活性也会受一定的影响,后一种方式直接在WEB容器中配置安全策略,实现方便,灵活性也高,但是功能则会受限制。因而其更适合一些小型的应用。
参考文献:
【关键词】电子商务 病毒入侵 黑客攻击 信息安全
在互联网信息技术飞速发展的大背景下,电子商务(简称EC,英文为Electronic Commerce)已逐步演变成人们惯用的商务活动模式,从事互联网商业活动的人越来越多。与传统商务活动对比,在B/S方式下运转,两大主体完成商品交易不受时间和空间的限制,这也是电子商务是最大特点。
现如今,我国正处于网络经济蓬勃发展的黄金时代,各个领域中电子商务的普及度较高。新型的商业活动形式建立在网络的基础上,保证了商业活动的便捷性和高效性。不过电子商务在对企业运管效率进一步提升的同时,使企业的面临着病毒侵入、黑客攻击、信息抵赖等问题,导致企业蒙受巨大亏损。所以,高度关注安全问题,才能保证电子商务平台利用率提高。本论文以有关电子商务环境为切入点,对展开电子商务活动中出现的信息安全问题进行分析,并给出对应的方法和策略。
1 电子商务中网络信息安全所存在的问题
1.1 电子商务网络存在的问题
1.1.1 黑客攻击
黑客对网络进行攻击是以偷取商业机要和搅扰系统正常运转为目的,以下是常见的攻击策略:窃听;重发攻击;迂回攻击;假冒攻击;越权攻击等。
1.1.2 系统漏洞
侵入到电商系统人员以系统自身存在的安全漏洞为据,将操作系统数据的权限得到。然而,管理系统未实时打补丁或者在设置安全方面一直选取默认设置等原因造成系统产生漏洞。
1.2 电子商务信息存在的问题
1.2.1 电子商务信息存储安全隐患
在静态时储存电商信息的安全即信息储存安全。其信息安全隐患主要包括:篡改信息内容和非授权调用信息。
1.2.2 电子商务信息传输安全隐患
在运转电子商务时,资金流、物流汇集成信息流之后传送流程中的安全即信息传送安全。它主要涵盖以下四种安全隐患:
(1)盗取商业机密。大部分是以明文的形式来传送电子商务信息,那么袭击网络的不法分子就极易截取或者监听电商信息;
(2)对商务网站施以攻击。攻击者运用计算机病毒传送,屏蔽掉电商网站设置的防火墙,更改信息,使网站瘫痪;
(3)实行商务欺诈。非法人员将虚假信息到Internet上去,诈骗现金、账号,导致用户信任电子商务活动的信赖度降低,在很大程度上对电子商务顺利开展起阻碍作用;
(4)不良信息的传送。非法人员为了实现自己的目标,把不良信息渗透到电子商务信息中。
2 应对电子商务中信息安全问题的对策
2.1 提高网络信息安全意识
相比于西方l达国家,国内用户网络信息安全意识薄弱,忽视了自我权益的保护。再加上我国尚未建立完善的网络信息安全监管机制,出现安全事件之后无法及时采取相应的补救措施,这些都是威胁信息安全的主要因素。故此,在信息安全中,防范人为因素导致信息非安全问题是重要内容。解决这一问题的关键在于为从事电子商务的用户展开安全知识培训活动,确保用户充分认识信息安全的重要性,对信息安全常识了如指掌,进而降低电子商务中产生信息安全事件的几率。
2.2 加强信息安全的技术防范
将来网络安全技术会在计算机网络所有层次中渗透,不过以电子商务安全防范技术为中心的网络技术成为最近几年研究的重要方向。以我国电子商务出现的安全问题为依据,可采取防火墙、虚拟专用网及认证、加密、安全审计、追踪黑客、检测系统漏洞等技术应对信息安全。另外还可以将加密路由器、翻译网络地址、动态包过滤、VPN等技术充分运用起来,确保构建一系列严实的安全防线将受保护资源与攻击人员隔开。
2.3 强化网络信息安全管理
信息安全管理在我国来说十分薄弱,面临着管理能力弱且信息安全意识极其欠缺的问题。政府授权的第三方认证中心构建是电商信息安全管理中形式有效的一个方式,即用该认证中心来负责电子商务交易中的两者主体的信息安全,保证整个交易流程的安全性和可靠性。
2.4 完善电子商务立法与信息安全立法
当前,我国正处于电子商务信息机制初级阶段,只有在信用法制建设深入强化的大环境中,才能确保信息机制最大限度的施展其能力。故此,应当以国内电子商务安全问题为依据,不但要使现行法律的管理范畴扩大和加强,还要加大信息安全与电子商务立法的力度。另外还应当对第三方信用保证进行设置并使其得到强化,务必由商务、商检认证中心、银行共同协作才可确保交易不受阻碍。
3 结束语
本文以电子商务信息安全有关环境为切入点,对电商中出现的网信问题进行探析,并将用户网信安全意识增强、加大网信安全管理力度、加大防范信息安全技术应用力度、健全信息安全和电子商务立法这四种策略,以期解决电子商务中出现的安全问题。电子商务安全性是一项庞大、系统的工程,要从技术和法律上加大保护力度,只有将电商中出现的所有安全问题一并处理好才能使电子商务更好的服务于用户。
参考文献
[1]田迎华,杨敬松,周敏.3G时代移动电子商务安全问题研究[J].情报科学,2010(10):1487-1490.
[2]王立萍.商业银行电子商务安全风险管理研究[J].中南财经政法大学学报,2007(01):75-79+144.
[3]张滨,冯运波,吴秦建,江为强,乔矗王馨裕,杨明,何鹏.移动电子商务安全技术与应用实践[J].通信学报,2016(04):200.
[4]孙鸿飞,张海涛,宋拓,武慧娟.电子商务个性化信息服务用户满意影响因素实证研究[J].情报杂志,2016(04):195-203.
[5]何培育.电子商务环境下个人信息安全危机与法律保护对策探析[J].河北法学,2014(08):34-41.
[6]王兴泉,张宁.移动电子商务时代的信息安全与信息保护[J].兰州学刊,2014(12):175-180.
[7]姚梅芳,杨修,杨涵.电子商务环境下信息管理模式研究[J].图书情报工作,2013(05):46-49.
关键词:电子商务;风险;安全管理
【中图分类号】G642
一、电子商务发展中面临的风险
互联网正在改变全球经济,电子商务向人们展示了“快、便、省”的优势。例如在美国,传统的银行系统每一笔交易的平均成本1.8美元,而采用网上交易,每笔交易的成本将减少到0.13美元,成本降低83%。通过网络可以突破空间及时间的障碍,接触到网络世界中大量网络消费者及企业,可以降低信息处理成本,压缩供应链等。但是电子商务与其它新生事物一样,在带来巨大机遇的同时,也存在着许多风险。
1.电子商务风险的类型
电子商务是一种新的经济形式,既存在高收益又存在高风险。电子商务中常见的风险可分为技术风险、金融与支付风险、税收风险、人才与培养、政策法规风险和竞争风险。
(1)技术风险
电子商务中一个突出问题就是“安全”问题,包括交易安全、认证安全、数据加密、支付安全等,还有就是网站的安全问题,如何抵抗黑客在破坏;此外电子商务还缺乏全球性的技术标准,在互操作问题上,容易受制于不同的厂商。因此,构建电子商务相应的安全、高效、通用的平台十分重要。
(2)金融与支付风险
金融电子化可以在短时间完成较大规模的资金调动,若国家新的有关立法跟不上,政府就可能对此失去控制,面临新的金融风暴的风险。另一个方面就是支付风险,即支付安全问题。
(3)税收风险
为鼓励电子商务的发展,我国规定两年内不对网上电子商务进行征税,而美国政府更是一直坚持因特网上的交易是一个免税区。
(4)人才与培养风险
电子商务的发展需要大量计算机人才和网络经济商务人才以及相关复合人才,我国在这方面的人才较为欠缺,而且新经济时代的发展是迅速的,特别在我国的发展必将是跳跃性的,人才就可能成为制约发展的因素之一。
(5)政策法规风险
电子商务的发展如同网络的发展一样是非常快的,与之相比国家有关管理部门的政策、法规的制定不可避免的存在滞后的可能,使得新兴的电子商务发展可能处于缺乏保障的地位,而且电子商务中个性化特点日趋突出,给政策、法规的制定也提高了难度。
(6)竞争风险
我国目前网络发展迅速,但与国际发达国家相比基础薄弱、发展滞后、投入有限、国民上网率低,这是与我国目前的经济发展水平相一致的。因此电子商务的发展将同时面临国外大公司、企业的竞争,还要面对传统商务与之的竞争。
2.电子商务的风险特征
电子商务中出现的风险,虽然多为传统经济中所固有,但它无论在表现形式、强烈程度还是影响范围上与传统经济中的风险都不相同。概括起来说,电子商务风险具有全球性、传染性、成长性、隐蔽性、复杂性等重要特征。
(1)全球性
电子商务风险具有全球性特征。风险既可能来自国内,也可能来自世界任何一个地方:其根源在于电子商务的虚拟性。四通八达的通讯网络,把世界各地都紧紧地联系在一起。
(2)传染性
电子商务风险可以在全球范围内迅速传播,具有很强的传染性和广泛的影响力,使人们很难进行有效防范。实时性和交互性是电子商务的两个基本特征。一旦风险产生,它就会借助信息的实时传递和市场交易主体之间的交互关系而迅速扩散。
(3)成长性
在一定条件下,电子商务风险会迅速成长和壮大,具有一股强大的、摧毁一切的力量。这种异乎寻常的成长性,来自于电子商务中所特有的不稳定均衡和正反馈效应。
(4)隐蔽性
电子商务风险具有很强的隐蔽性。风险初起时可能不大容易觉察,当风险变得清晰可辨时,危机就无法避免了。这种隐蔽性,来自信息的非对称性。
(5)复杂性
在电子商务中,风险不是单一的,而是综合的。多种风险往往交叉在一起,它们相互影响和助长,使得风险防范的难度大大增加。
二、电子商务安全管理方法
电子商务的安全威胁主要来自:网络物理设备的安全威胁、对网络信息的安全威胁和“信用危机”等。那么,加快电子商务的基础设施是当务之急,完善管理和技术防范是根本,强化监督是保障。
1.加快基础设施建设
计算机系统、网络通信设备、网络通信线路、网络服务器等设备,在静电、电磁泄漏和意外事故等情况下会造成数据的丢失,机密信息泄漏。所以,加快电子商务的基础设施建设,选择高性能的网络设备,建设安全、便捷的电子商务应用环境,才能为电子商务交易的信息提供硬件保障。
2.实施技术防范措施
电子商务的运作涉及资金安全、信息安全、货物安全、商业秘密等多方面的安全问题,任何一点漏洞都可能导致大量资金流失。而这些安全首先是对信息技术的依赖。目前,防火墙技术、电子签名和安全认证,成为电子商务比较成熟的技术安全措施。
3.健全管理与控制
在电子商务环境下,企业面对一个全新的网上空间,交易信息以光速在网上传递,使得对内部控制制度的依赖性增大。由于电子商务企业一般都是新兴企业,管理制度、管理手段没有传统企业成熟、严密,加上一些电子商务企业一般更注重技术创新而非管理。因而,电子商务建立先进的管理与控制更为迫切。
4.健全法制,倡导诚信
1996年联合国贸易法委员会制订了《联合国国际贸易法委员会电子商务示范法》,2005年初,国务院颁发了《加强电子商务的若干意见》,2005年4月1日开始正式实施的《电子签名法》,对我国正在兴起的电子商务给予了强有力的法律支持,为我国电子商务安全认证体系和网络信任体系的建立奠定了基础。但是,网络环境中的诚信问题不是仅仅靠《电子签名法》所能够解决的,要想根本铲除互联网交易中的种种弊端,归根到底要靠安全认证和行业的自律。所以,倡导诚信,维护消费者合法权益,是推动我国电子商务健康发展的内在因素。
三、结论
电子商务在给我们带来广泛的机遇的同时,也给我们带来了新的风险。电子商务安全管理无疑是规避这些风险的利器,我们在注重电子商务安全管理过程的同时,还应结合电子商务的特性,制定一套适合电子商务安全管理的策略,这样我们才能将电子商务的风险减少到最小。
参考文献:
