電子商務安全的重要性范文

時間:2023-09-18 17:59:30

導語:如何才能寫好一篇電子商務安全的重要性,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。

篇1

一、網(wǎng)絡安全對于電子商務的重要性

當前,電子商務已逐步覆蓋全球,而網(wǎng)絡安全問題也得到了業(yè)內(nèi)廣泛關注。電子商務的交易方式有別于傳統(tǒng)的面對面交易,在電力商務中,交易雙方均通過網(wǎng)絡進行信息交流,以網(wǎng)絡為媒介無疑加大了交易的風險性,因此安全的網(wǎng)絡環(huán)境能夠給交易雙方均帶來良好的體驗。電子商務的網(wǎng)絡安全管理較為復雜,不僅需要高新的技術做支持,如電子簽名、電子識別等,還需要用戶的配合,通常來說,用戶的個人信息越全面,網(wǎng)絡交易平臺對用戶的保護便會越全方位??梢姡陔娮由虅战灰灼脚_中,網(wǎng)絡安全具有十分重要的作用。

二、電子商務中網(wǎng)絡安全的技術要素

1、防火墻技術。防火墻技術主要是通過數(shù)據(jù)包過濾以及服務的方式來實現(xiàn)病毒的防治和阻擋入侵互聯(lián)網(wǎng)內(nèi)部信息[1]。防火墻好比一個可以設定濾網(wǎng)大小的過濾裝置,可以根據(jù)用戶的需求,對信息進行過濾、管理。在服務器中,防火墻的技術便演化為一種連接各個網(wǎng)關的技術,對網(wǎng)關之間的信息聯(lián)通進行過濾。雖然上述兩種過濾管理技術形式略有區(qū)別,但本質(zhì)相同,在電子商務中,可以將兩者結(jié)合使用,使各自的優(yōu)勢得到充分發(fā)揮。實現(xiàn)在防火墻內(nèi)部設計好一個過濾裝置,以便對信息進行過濾與確定是否可以通過。

2、數(shù)據(jù)加密技術。數(shù)據(jù)加密是對于指定接收方設定一個解密的密碼,由數(shù)學的方式,轉(zhuǎn)換成安全性高的加密技術,以確保信息的安全。這里面會涉及到一個認證中心,也就是第三方來進行服務的一個專門機構(gòu),必須嚴格按照認證操作規(guī)定進行服務[2]。認證系統(tǒng)的基本原理是利用可靠性高的第三方認證系統(tǒng)CA來確保安全與合法、可靠性的交易行為。主要包括CA和Webpunisher,RA與CA的兩者通過報文進行交易,不過也要通過RSA進行加密,必須有解密密鑰才可以對稱,并通過認證,如果明文與密文的不對稱,就不會認證通過,保證了信息的安全[3]。

3、數(shù)字認證技術。為了使電子商務交易平臺更為安全、可靠,數(shù)字認證技術便應運而生,其以第三方信任機制為主要載體,在進行網(wǎng)絡交易時,用戶需通過這一機制進行身份認證,以避免不法分子盜用他人信息。PKI對用戶信息的保護通過密鑰來實現(xiàn),密鑰保存了用戶的個人信息,在用戶下次登陸時,唯有信息對稱相符,才能享受到電子商務平臺提供的相應服務,在密鑰的管理下,數(shù)據(jù)的信息得到充分保護,電子商務交易的安全性能得到了大幅提升。

三、電子商務中網(wǎng)絡安全提升的策略

1、提高對網(wǎng)絡安全重要性的認識。隨著信息技術的快速發(fā)展,網(wǎng)絡在人們工作、生活中已無處不在,我們在享受網(wǎng)絡帶來的便利時,還應了加強對網(wǎng)絡安全重要性的了解,樹立網(wǎng)絡安全防范意識,為加強網(wǎng)絡安全奠定思想基礎。應加強對網(wǎng)絡安全知識的宣傳和普及,使公民對網(wǎng)絡安全有一個全面的了解;同時,還應使公民掌握一些維護網(wǎng)絡安全的技能,以便發(fā)生網(wǎng)絡安全問題時,能夠得到及時控制,避免問題擴大化。

2、加快網(wǎng)絡安全專業(yè)人才的培養(yǎng)。網(wǎng)絡安全的提升離不開素質(zhì)過硬的專業(yè)人才,由于網(wǎng)絡技術具有一定的門檻,如果對專業(yè)了解不深,技術上不夠?qū)9?,專業(yè)問題便難以得到有效解決,應著力提升電子商務網(wǎng)絡安全技術人員的專業(yè)素養(yǎng),為加強網(wǎng)絡安全奠定人力基礎。在培養(yǎng)專業(yè)人才時,應勤于和國內(nèi)外的專業(yè)人員進行技術交流,加強對網(wǎng)絡安全領域前沿技術的了解和掌握,避免在技術更新上落后于人。

3、開展網(wǎng)絡安全立法和執(zhí)法。網(wǎng)絡安全的有效提升需要從法律層面進行約束,應著力于完善網(wǎng)絡安全立法和執(zhí)法的相關工作,加快立法工作的步伐,構(gòu)建科學、合理的網(wǎng)絡安全法律體系。自從計算機產(chǎn)生以來,世界各國均設立了維護網(wǎng)絡安全的相關法律法規(guī)。在新時期,我國應集結(jié)安全部、公安部等職能部門的力量,加強對網(wǎng)絡安全的管理,力求構(gòu)建一個安全、健康的網(wǎng)絡環(huán)境。

四、結(jié)論

篇2

【關鍵詞】電子商務 病毒入侵 黑客攻擊 信息安全

在互聯(lián)網(wǎng)信息技術飛速發(fā)展的大背景下,電子商務(簡稱EC,英文為Electronic Commerce)已逐步演變成人們慣用的商務活動模式,從事互聯(lián)網(wǎng)商業(yè)活動的人越來越多。與傳統(tǒng)商務活動對比,在B/S方式下運轉(zhuǎn),兩大主體完成商品交易不受時間和空間的限制,這也是電子商務是最大特點。

現(xiàn)如今,我國正處于網(wǎng)絡經(jīng)濟蓬勃發(fā)展的黃金時代,各個領域中電子商務的普及度較高。新型的商業(yè)活動形式建立在網(wǎng)絡的基礎上,保證了商業(yè)活動的便捷性和高效性。不過電子商務在對企業(yè)運管效率進一步提升的同時,使企業(yè)的面臨著病毒侵入、黑客攻擊、信息抵賴等問題,導致企業(yè)蒙受巨大虧損。所以,高度關注安全問題,才能保證電子商務平臺利用率提高。本論文以有關電子商務環(huán)境為切入點,對展開電子商務活動中出現(xiàn)的信息安全問題進行分析,并給出對應的方法和策略。

1 電子商務中網(wǎng)絡信息安全所存在的問題

1.1 電子商務網(wǎng)絡存在的問題

1.1.1 黑客攻擊

黑客對網(wǎng)絡進行攻擊是以偷取商業(yè)機要和攪擾系統(tǒng)正常運轉(zhuǎn)為目的,以下是常見的攻擊策略:竊聽;重發(fā)攻擊;迂回攻擊;假冒攻擊;越權(quán)攻擊等。

1.1.2 系統(tǒng)漏洞

侵入到電商系統(tǒng)人員以系統(tǒng)自身存在的安全漏洞為據(jù),將操作系統(tǒng)數(shù)據(jù)的權(quán)限得到。然而,管理系統(tǒng)未實時打補丁或者在設置安全方面一直選取默認設置等原因造成系統(tǒng)產(chǎn)生漏洞。

1.2 電子商務信息存在的問題

1.2.1 電子商務信息存儲安全隱患

在靜態(tài)時儲存電商信息的安全即信息儲存安全。其信息安全隱患主要包括:篡改信息內(nèi)容和非授權(quán)調(diào)用信息。

1.2.2 電子商務信息傳輸安全隱患

在運轉(zhuǎn)電子商務時,資金流、物流匯集成信息流之后傳送流程中的安全即信息傳送安全。它主要涵蓋以下四種安全隱患:

(1)盜取商業(yè)機密。大部分是以明文的形式來傳送電子商務信息,那么襲擊網(wǎng)絡的不法分子就極易截取或者監(jiān)聽電商信息;

(2)對商務網(wǎng)站施以攻擊。攻擊者運用計算機病毒傳送,屏蔽掉電商網(wǎng)站設置的防火墻,更改信息,使網(wǎng)站癱瘓;

(3)實行商務欺詐。非法人員將虛假信息到Internet上去,詐騙現(xiàn)金、賬號,導致用戶信任電子商務活動的信賴度降低,在很大程度上對電子商務順利開展起阻礙作用;

(4)不良信息的傳送。非法人員為了實現(xiàn)自己的目標,把不良信息滲透到電子商務信息中。

2 應對電子商務中信息安全問題的對策

2.1 提高網(wǎng)絡信息安全意識

相比于西方l達國家,國內(nèi)用戶網(wǎng)絡信息安全意識薄弱,忽視了自我權(quán)益的保護。再加上我國尚未建立完善的網(wǎng)絡信息安全監(jiān)管機制,出現(xiàn)安全事件之后無法及時采取相應的補救措施,這些都是威脅信息安全的主要因素。故此,在信息安全中,防范人為因素導致信息非安全問題是重要內(nèi)容。解決這一問題的關鍵在于為從事電子商務的用戶展開安全知識培訓活動,確保用戶充分認識信息安全的重要性,對信息安全常識了如指掌,進而降低電子商務中產(chǎn)生信息安全事件的幾率。

2.2 加強信息安全的技術防范

將來網(wǎng)絡安全技術會在計算機網(wǎng)絡所有層次中滲透,不過以電子商務安全防范技術為中心的網(wǎng)絡技術成為最近幾年研究的重要方向。以我國電子商務出現(xiàn)的安全問題為依據(jù),可采取防火墻、虛擬專用網(wǎng)及認證、加密、安全審計、追蹤黑客、檢測系統(tǒng)漏洞等技術應對信息安全。另外還可以將加密路由器、翻譯網(wǎng)絡地址、動態(tài)包過濾、VPN等技術充分運用起來,確保構(gòu)建一系列嚴實的安全防線將受保護資源與攻擊人員隔開。

2.3 強化網(wǎng)絡信息安全管理

信息安全管理在我國來說十分薄弱,面臨著管理能力弱且信息安全意識極其欠缺的問題。政府授權(quán)的第三方認證中心構(gòu)建是電商信息安全管理中形式有效的一個方式,即用該認證中心來負責電子商務交易中的兩者主體的信息安全,保證整個交易流程的安全性和可靠性。

2.4 完善電子商務立法與信息安全立法

當前,我國正處于電子商務信息機制初級階段,只有在信用法制建設深入強化的大環(huán)境中,才能確保信息機制最大限度的施展其能力。故此,應當以國內(nèi)電子商務安全問題為依據(jù),不但要使現(xiàn)行法律的管理范疇擴大和加強,還要加大信息安全與電子商務立法的力度。另外還應當對第三方信用保證進行設置并使其得到強化,務必由商務、商檢認證中心、銀行共同協(xié)作才可確保交易不受阻礙。

3 結(jié)束語

本文以電子商務信息安全有關環(huán)境為切入點,對電商中出現(xiàn)的網(wǎng)信問題進行探析,并將用戶網(wǎng)信安全意識增強、加大網(wǎng)信安全管理力度、加大防范信息安全技術應用力度、健全信息安全和電子商務立法這四種策略,以期解決電子商務中出現(xiàn)的安全問題。電子商務安全性是一項龐大、系統(tǒng)的工程,要從技術和法律上加大保護力度,只有將電商中出現(xiàn)的所有安全問題一并處理好才能使電子商務更好的服務于用戶。

參考文獻

[1]田迎華,楊敬松,周敏.3G時代移動電子商務安全問題研究[J].情報科學,2010(10):1487-1490.

[2]王立萍.商業(yè)銀行電子商務安全風險管理研究[J].中南財經(jīng)政法大學學報,2007(01):75-79+144.

[3]張濱,馮運波,吳秦建,江為強,喬矗王馨裕,楊明,何鵬.移動電子商務安全技術與應用實踐[J].通信學報,2016(04):200.

[4]孫鴻飛,張海濤,宋拓,武慧娟.電子商務個性化信息服務用戶滿意影響因素實證研究[J].情報雜志,2016(04):195-203.

[5]何培育.電子商務環(huán)境下個人信息安全危機與法律保護對策探析[J].河北法學,2014(08):34-41.

[6]王興泉,張寧.移動電子商務時代的信息安全與信息保護[J].蘭州學刊,2014(12):175-180.

[7]姚梅芳,楊修,楊涵.電子商務環(huán)境下信息管理模式研究[J].圖書情報工作,2013(05):46-49.

篇3

近年來,科學技術的迅猛發(fā)展持續(xù)推動著計算機硬件的普及和通信網(wǎng)絡的發(fā)展,在此背景下電子商務漸漸成為國內(nèi)商貿(mào)服務業(yè)的主流形態(tài)。電子商務利用Internet平臺將傳統(tǒng)商務活動中的參與各方(買家、賣家、物流公司、金融機構(gòu)等)連接在一起,通過將整個交易過程網(wǎng)絡化、電子化、信息化,減低了交易的成本,提高了交易效率。其涵蓋了商品和服務相關人員和行為的各個方面,即在電子商務活動中,會涵蓋方方面面的信息。電子商務自產(chǎn)生以來,迅速被廣泛應用到各個領域中,包括商品交易和服務的各個環(huán)節(jié),例如購買、信息咨詢、支付寶等,通過網(wǎng)絡媒介將商家、顧客、銀行等聯(lián)系起來。例如電子商務應用最成功的企業(yè)——阿里巴巴,通過電子商務成為中國最大、盈利最多的網(wǎng)絡營銷商戶。在電子商務活動整個過程中,包括商家和買家信息、個人銀行私密信息、商業(yè)秘密等,這些信息數(shù)量廣泛,內(nèi)容繁雜,真實有效,一旦被惡意泄露,產(chǎn)生的惡劣后果將難以估量。網(wǎng)絡信息安全是推動電子商務更好更快發(fā)展的內(nèi)在動力,保障公眾信息安全,是電子商務能夠正常運行的前提條件,信息安全包括信息的完整性、可靠性和保密性。信息安全直接關乎買家個人利益,甚至影響整個企業(yè)收益水平。網(wǎng)絡環(huán)境下,保障電子商務活動中信息安全具有很重要的意義。企業(yè)管理者要高度重視不斷增加的網(wǎng)絡入侵、黑客攻擊,積極探索加強網(wǎng)絡防御功能的辦法。

2電子商務信息安全問題電子商務在不斷發(fā)展,同時,伴隨產(chǎn)生了越來越多的信息安全問題,列舉如下。

2.1信息存儲安全電子商務在靜態(tài)存放時的安全,被稱為信息存儲安全。企業(yè)在開放的網(wǎng)絡環(huán)境下運行時,電子信息安全往往存在兩類不安全因素:內(nèi)部不安全要素,企業(yè)內(nèi)部之間或者是其顧客隨意調(diào)用或者增、改、刪除電子商務信息;外部不安全因素,外部人員非法入侵企業(yè)內(nèi)部計算機網(wǎng)絡,故意調(diào)用或者增、改、刪除電子商務信息,例如黑客入侵、企業(yè)之間的惡意競爭、信息間諜的非法闖入等。

2.2交易雙方信息安全新型電子商務模式打破了傳統(tǒng)買賣雙方面對面的交易方式,交易雙方的整個交易活動都是在計算機網(wǎng)絡上進行信息交流,因而,電子商務的交易就會存在不安全現(xiàn)象。電子商務交易包括賣方和買方。買方可以是個人或者公司,主要存在的信息安全問題包括:第一,用戶被冒名頂替,收不到所購的商品,直接導致財產(chǎn)損失;第二,用戶發(fā)送的交易信息不完整,導致商戶無法將商品發(fā)送到買家手中;第三,域名被擴散或監(jiān)聽,致使買家信息被泄露;第四,因網(wǎng)絡上看不到商品的實物,可能會被虛假廣告所欺騙,購買假冒偽劣產(chǎn)品。賣家存在的信息安全威脅:第一,企業(yè)之間的惡意競爭,采用不正當手段侵入企業(yè)內(nèi)部獲取企業(yè)營銷信息和客戶信息;第二,冒名更改交易內(nèi)容,阻斷電子商務活動的正常進行,毀壞商家的信譽和利益;第三,違法分子采用高科技竊取商業(yè)機密,侵犯商家專利;第四,電子商務信息可能會遭到惡意程序的破壞,例如木馬程序;第五,黑客入侵,黑客通過攻擊服務器,使企業(yè)網(wǎng)站上產(chǎn)生大量虛假訂單,造成系統(tǒng)擁擠,影響企業(yè)的正常運營。

2.3信息傳輸安全信息傳輸安全是指電子商務信息在動態(tài)傳輸過程中的安全問題。信息在傳輸過程中容易產(chǎn)生被篡改的危險,如收到偽造的電子郵件,傳輸?shù)男畔⒈环欠ń孬@,實際的交易信息被惡意銷毀等,同時,如果網(wǎng)絡硬件和軟件產(chǎn)生問題,也會造成信息在傳遞中被丟失或者產(chǎn)生謬誤,促成電子商務中的信息安全問題。

3電子商務信息安全因素

在傳統(tǒng)交易過程中,買賣雙方通過面對面的交流,很快在雙方之間建立安全和信任關系,達成交易。但是在新型電子商務活動中,打破傳統(tǒng)聯(lián)系方式,以互聯(lián)網(wǎng)作為交易媒介,互聯(lián)網(wǎng)的虛擬性、動態(tài)性和高度開放性等特點使電子商務活動中存在大量的威脅與安全隱患,在沒有見面的情況下,買賣雙方很難建立起安全與信任關系。電子商務的信息安全因素主要包括以下方面。

3.1電子商務信息的真實有效性電子商務是以電子交易形式取代紙質(zhì)交易,因而,保證電子交易形式的真實有效性是電子商務活動得以順利開展的重要前提條件。電子商務是一種重要的貿(mào)易形式,其信息的真實有效性直接關系買賣雙方、企業(yè)甚至國家的經(jīng)濟利益和聲譽。3.2電子商務信息的機密性電子商務是一種貿(mào)易手段,具有相當程度的機密性。傳統(tǒng)紙質(zhì)貿(mào)易是通過郵寄信件或其他可靠通信渠道發(fā)送商業(yè)報文,充分確保了文件的機密性。在開放的網(wǎng)絡環(huán)境下,商業(yè)泄密事件時有發(fā)生,防止商業(yè)泄密是確保電子商務全面推廣應用的重要保障。

3.3電子商務信息的完整性電子商務簡化了貿(mào)易過程,大量減少了人為干預,很大程度上提高了交易效率,與此同時,也帶來了一系列信息不完整、不統(tǒng)一的問題。工作人員在進行數(shù)據(jù)輸入時可能產(chǎn)生意外差錯,或者為謀取個人私利而故意欺詐,破壞了貿(mào)易信息的完整性。在傳輸過程中,可能因種種原因,造成信息丟失、重復,或者信息原有次序被打亂的現(xiàn)象都會導致貿(mào)易信息與原信息的不一致。在電子商務活動中,必須加強系統(tǒng)維護,確保數(shù)據(jù)存儲和傳輸?shù)耐暾浴?/p>

3.4電子商務信息的安全可靠性可靠性是要確保合法用戶對電子商務信息和資源的正當使用權(quán),要求建立有效的責任機制,防止實體否認用戶行為,杜絕合法用戶對資源的使用過程中被拒絕的現(xiàn)象,還要在交易雙方之間通過簽訂可靠的合同、契約等預防任何一方的抵賴行為,損害另一方的經(jīng)濟利益。

4電子商務信息安全的保障措施

目前,電子商務已經(jīng)蓬勃發(fā)展起來,迅速被廣泛應用到各行各業(yè),例如網(wǎng)上銀行支付、快捷支付、京東商城購物等,其發(fā)展前景相當可觀。但電子商務活動中存在的一系列信息安全問題令人擔憂。保護電子商務信息安全,在網(wǎng)絡背景下,建立安全、快捷、高效的電子商務環(huán)境成為當務之急,是企業(yè)管理者應該深入探討的重要問題之一。近年來科學技術和網(wǎng)絡信息技術取得了迅猛的發(fā)展,企業(yè)發(fā)展應該具有時代特征,充分發(fā)展有效的信息安全技術,并結(jié)合行之有效的措施。現(xiàn)對保證電子商務信息安全提出以下幾點建議。

4.1加強網(wǎng)絡安全在網(wǎng)絡背景下,電子商務信息安全的主要內(nèi)容就是網(wǎng)絡安全,采取高度發(fā)達的科學技術措施,對危險進行預測,從而制定行之有效的措施,將信息不安全問題化解在萌芽狀態(tài)。保障計算機電子商務信息安全的技術措施,有利于從源頭上保障信息安全。信息安全得到保障,進而促進電子商務的健康、可持續(xù)發(fā)展。首先,要加強信息加密,其目的是保護網(wǎng)內(nèi)數(shù)據(jù)文件、口令和控制信息,保護網(wǎng)絡會話的完整性,加密是基于數(shù)學算法的程序和密鑰對文件進行加密,只有發(fā)出者和接受者才能識別的字符串,防止他人竊取文件信息。加密技術通常采用對稱加密技術、非對稱加密技術或者二者聯(lián)合使用。通常利用數(shù)據(jù)加密標準DES、三重DES、國際數(shù)據(jù)加密算法等對常規(guī)密鑰密碼體系進行計算。其次,嚴格身份識別,通過采取一定的技術措施,確認信息發(fā)送者的身份,驗證信息的完整性和準確性,防止信息在傳送或接收存儲過程中被非法篡改。采用電子技術手段對用戶身份的真實性和準確性進行驗證,設置網(wǎng)絡資源的訪問權(quán)限,電子商務活動中的所有參與方必須根據(jù)認證中心簽發(fā)的數(shù)字標識進行身份驗證。建立電子商務網(wǎng)上認證中心,對網(wǎng)上交易提供認證服務、簽發(fā)數(shù)字證書,進而確認用戶身份。最后,鑒于網(wǎng)絡環(huán)境下,惡意病毒越來越多,嚴重影響了電子商務信息的安全性,要求企業(yè)能夠采取一定的防病毒技術措施,主要包括:

(1)預防病毒技術,通過自身常駐系統(tǒng)內(nèi)存,獲得系統(tǒng)的優(yōu)先控制權(quán),對可能存在的病毒進行預防,一經(jīng)發(fā)現(xiàn)企業(yè)網(wǎng)站遭受惡意病毒的入侵,要能制定技術措施,對計算機病毒做出正確分析,阻止病毒進入計算機系統(tǒng),破壞系統(tǒng);

(2)檢測病毒系統(tǒng),它是通過計算機對各種病毒特征的記錄對病毒進行識別和偵測的技術;

(3)消除病毒技術,通過上述技術措施對病毒進行識別和分析,開發(fā)出具有殺除病毒程序、恢復原文件的軟件。企業(yè)應當不斷加大資金投入,研究新的技術辦法,嚴格確保在網(wǎng)絡環(huán)境下計算機電子商務的信息安全。

4.2加強網(wǎng)絡信息安全設施建設電子商務的快速發(fā)展有效提高了商業(yè)活動的交易效率。在網(wǎng)絡背景下,信息泄露、黑客入侵等電子商務信息安全問題嚴重阻礙了電子商務的進一步發(fā)展。盡管設置多道防火墻、多層密保等,可以有效確保網(wǎng)絡信息系統(tǒng)安全,但是計算機的芯片、中央處理器等核心部件如果是別人設計生產(chǎn)的,網(wǎng)絡信息就會存在一定的安全隱患,是嚴重威脅我國網(wǎng)絡信息安全的重要因素。網(wǎng)絡環(huán)境下,電子商務是全球范圍內(nèi)的經(jīng)濟活動,是我國國民經(jīng)濟新興的增長點,加強電子商務網(wǎng)絡信息安全,對促進我國市場經(jīng)濟發(fā)展具有很重要的現(xiàn)實意義。因此,必須建設一系列的網(wǎng)絡信息安全基礎設施,建立中國的公開密鑰基礎設施、信息安全產(chǎn)品檢測評估等基礎設施,應急預警基礎設施尤為必要。

篇4

關鍵詞:電子商務;信息安全;風險評估;對策

基金項目:鄭州科技學院大學生創(chuàng)新創(chuàng)業(yè)訓練計劃項目:電子商務信息安全風險評估關鍵技術及應用(編號:DCY2019007)

1.引言

電子商務是以互聯(lián)網(wǎng)為基礎,以商城消費者產(chǎn)品物流為構(gòu)成要素進行的電子商務活動。當電子商務相關部門或人員在進行項目開發(fā)時,擁有一套信息安全風險評估系統(tǒng)可以幫助其采用科學合理的方法對潛在威脅進行分析并保證經(jīng)濟系統(tǒng)的安全。所以將信息安全技術與現(xiàn)代化新興技術結(jié)合,將為我們打造一個更加優(yōu)質(zhì)的網(wǎng)絡環(huán)境。

2.電子商務系統(tǒng)中存在的信息安全問題及現(xiàn)狀

一般來說,電子商務的信息安全是指在電子商務交易的過程中雙方使用各種技術和法律手段等確保交易不會因為意外,惡意或者披露這些不利要求而受到損害的信息安全。在21世紀初葉,我國金融系統(tǒng)中的計算機犯罪率一直在不斷地增加,我國金融網(wǎng)絡信息安全形勢非常嚴峻,需要加強改善。下面就電子商務網(wǎng)絡中的信息安全問題做一個簡要介紹,主要涉及以下幾個方面:

(1)由于編寫的電子商務系統(tǒng)軟件可以使用不同的形式,因此在實際應用過程中難以避免的會留下安全漏洞。例如,網(wǎng)絡操作系統(tǒng)本身會存在一些安全問題,例如非法訪問I/0,這些不完全的調(diào)解和混亂的訪問控制會造成數(shù)據(jù)庫安全漏洞,而這些漏洞嚴重影響了電子商務系統(tǒng)的信息安全性.特別是在設開始設計之前就沒有考慮TCP/IP通信協(xié)議的安全性,這一切都表明當前的電子商務系統(tǒng)網(wǎng)絡軟件中有一些可以避免或不可避免的安全漏洞。此外信息共享處理帶來也存在風險。在信息的傳遞過程中,需要不斷地對信息源進行加工和重現(xiàn),截取有用信息,不可避免會出現(xiàn)信息轉(zhuǎn)化方面的風險。尤其是在當下“社交+商務”的模式下,一條消息可能瞬間在社交網(wǎng)站上轉(zhuǎn)載數(shù)萬次或者更多,一旦在信息轉(zhuǎn)載中出現(xiàn)誤差,影響非常大,風險應當給予重視。

(2)隨著網(wǎng)絡技術的廣泛應用,計算機病毒帶來的問題越來越廣泛,壓縮文件,電子郵件已經(jīng)成為計算機病毒傳播的主要途徑,因為這些病毒的種類非常多樣化,破壞性極強,使得計算機病毒的傳播速度大大加快了。近年來,新病毒種類的數(shù)量迅速增加,互聯(lián)網(wǎng)為這些病毒的傳播提供了良好的媒介。這些病毒可以通過網(wǎng)絡大量傳播任何粗心大意都會造成無法彌補的經(jīng)濟損失。此外還有信息傳遞過程所帶來的風險。信息是一種重要的資源,良好的流動性能實現(xiàn)信息價值的最大化,但是在信息的傳遞過程中需要經(jīng)過許多路徑,而在這過程中往往存在一些不安全因素,給信息安全帶來一定的風險。

(3)當前的黑客攻擊,除了計算機病毒的傳播外,黑容的惡意行為也越來越猖狂。特洛伊木馬使黑容可以使用計算機病毒從而變得更加有目的性,使得計算機記錄的登錄信息被特洛伊木馬程序惡意篡改,導致很多重要信息、文件,甚至是金錢被盜。

(4)由人為因素造成的電子商務公司的安全問題,大部分保密工作是通過員工的操作來進行的,這就需要員工具有很好的保密性,責任心和責任感等道德素質(zhì)。如果員工的責任心不強,態(tài)度不正確,就容易被別人利用,讓無關人員隨意進出房間或向他人泄露機密信息,可以讓罪犯廢除重要信息。如果工作人員缺乏良好的職業(yè)道德,可能會非法超出授權(quán)范圍更改或刪除他人的信息,而且還可以利用所學專業(yè)知識和工作位置來竊取用戶密碼和標識符,進行非法出售。

3.電子商務信息安全風險評估存在的問題

經(jīng)過大量的數(shù)據(jù)收集與分析不難發(fā)現(xiàn)對信息安全風險評估是當前科研工作中噬待解決的問題。目前,國內(nèi)也有一些關于信息安全風險評估的研究和應用,但是這些研究都只是簡單的分析,包括常用的具有風險的風險評估工具。評估矩陣,問卷,風險評估矩陣與問卷方法,專家系統(tǒng)相結(jié)合。對于更深層次的探究還需進一步努力。此外,網(wǎng)絡信息安全風險評估方法常用定量因子分析方法,時間序列模型,決策樹方法和回歸模型進行。風險評估方法,定性分析主要包括邏輯分析,Delphi方法,因子分析方法,歷史比較方法等。其中,定量和定性評估方法相結(jié)合,是由模糊層次分析法,基于D-S證據(jù)理論等的評估方法組成。同時網(wǎng)絡信息安全風險評估還存在一定問題,例如隨著網(wǎng)絡的發(fā)展,我國從開始的2G邁向4G現(xiàn)在又率先進入5G時代。其中也出現(xiàn)了各種問題,網(wǎng)民數(shù)量的增加需要迫切提高他們對信息安全的警惕意識。

3.1欠缺對電子商務信息安全風險評估的認識

當前,許多相關人員對電子商務信息系統(tǒng)面臨著巨大的挑戰(zhàn)的現(xiàn)狀并未有足夠的意識,缺少信息安全風險評估經(jīng)驗。因此他們沒有重視信息安全風險評估的重要性,其原因如下。第一,公司或單位的風險評估尚未通過標準檢驗,培訓標準,信息安全風險評估工作的研究尚未得到系統(tǒng)的相關理論,方法和技術工具,這是由于一些信息安全評估工作相關領導層和工作人員對信息評估風險評估的重要性的認識不足,因此自然而然不將此類風險評估工作包括在當前的信息安全系統(tǒng)框架中。第二,盡管有許多部門將信息安全工作置于地位重要,但受到人力、物力,財力等方面的限制,社會制度的制約,政策法規(guī)的欠缺使得信息安全系統(tǒng)的信息安全風險評估工作無法得到應有的重視。

3.2缺乏信息安全風險評估方面的專業(yè)技術人才

首先,信息安全風險評估的技術內(nèi)容要求非常高,它要求員工具有很高的技術水平,現(xiàn)在很多公司都將通用信息用作風險評估技術人員。其次,信息安全風險評估是一項集綜合性,專業(yè)性于一體的工作,不僅涉及公司的所有業(yè)務信息,也涉及人力,物力和財力的方方面面,因此需要各部門之間相互配合,現(xiàn)在大多數(shù)公司僅依靠信息部門,獨立的參與信息安全風險評估毫無爭議他們要想完成信息安全風險評估工作是非常艱難的。綜上所述,培養(yǎng)信息安全風險評估專業(yè)技術人員是今后信息技術方面發(fā)展的方向。

3.3風險評估工具相對缺乏

當前,除專家系統(tǒng)外,其他分析工具相對來說都比較簡易,除此之外還缺乏實用的理論基礎。此外,這種信息風險評估工具在應用中的發(fā)展呈現(xiàn)的現(xiàn)狀。表明國內(nèi)和外部失衡,在中國相對落后??梢娊鉀Q信息安全問題的關鍵在于有成熟的風險評估工具。

4.防范電子商務信息安全及風險的建議

4.1增強電子商務信息安全和風險評估的意識

大多數(shù)信息的傳輸和處理,與人是密不可分的。特別是掌握人員的重要信息和核心業(yè)務,人員的個人因素,管理因素和環(huán)境存在風險。主要包括人員的技術能力,監(jiān)控管理,安全性。特別需要做好監(jiān)督審計公司的工作,確保信息安全風險管理融入實踐,充分發(fā)揮內(nèi)部監(jiān)督作用,促進社會責任認可和實施信息安全風險管理工作。電子商務公司必須對工人進行必要的信息安全知識教育培訓,了解與之相關的法律法規(guī),做好對客戶關鍵信息的隱秘保護。不隨意查看和泄露客戶購買信息。

企業(yè)應該加大力度保障網(wǎng)絡通信操作時信息的機密性和完整性,加強密鑰管理,提高應對網(wǎng)絡攻擊能力,采取措施避免越權(quán)或濫用,消除用戶在交易中的風險。在信息安全風險控制中必須由內(nèi)到外地保護內(nèi)部系統(tǒng)環(huán)境、網(wǎng)絡邊界、骨干網(wǎng)安全。為網(wǎng)絡信息系統(tǒng)建立完善的管理系統(tǒng),并提供全面的安全保障。運用端到端策略。對于移動電子商務中用戶終端設備種類繁多,安全環(huán)境復雜難以控制的問題,必須做好數(shù)據(jù)傳輸中的重要環(huán)節(jié)中的身份鑒定。通過人臉識別、指紋識別等技術有效提高用戶訪問身份鑒別能力,極大地提高賬戶的安全性,確保數(shù)據(jù)傳輸?shù)陌踩裕_保交易的真實有效。

4.2提供專業(yè)的技術培訓,提高專業(yè)人員的技能

認真選擇第三方合作伙伴,增強信息管理水平,加強績效監(jiān)督管理。樹立合理的企業(yè)內(nèi)部組織結(jié)構(gòu)和有效資金保障,培養(yǎng)員工信息安全意識,創(chuàng)造良好信息安全工作氛圍,加強信息安全專業(yè)技術人員對信息安全風險評估的意識和能力,通過大量的實驗發(fā)現(xiàn)可以通過下列方法培訓相關人員:第一,定期開展信息安全風險評估工作,將公司員工集合共同學習相關資料以提升他們對信息安全的意識彌補存在的缺陷。第二,對信息安全部門的員工進行專門的技術培訓和指導,可通過模擬分析來提升技術;第三,公司應增加對技術資源的投入,聘請經(jīng)驗豐富的專家學者組成第三方評估機構(gòu),引進風險評估設備。以備不時之需;第四,公司應對技術人員進行標準化認證培訓,執(zhí)行職業(yè)資格準入制度,提高技術人員的門檻,納入信息安全風險評估,技術人員的全面質(zhì)量保證評估。以上這些方法只是單純就培訓方式對于具體的實施以及可能遇到的問題依然需要研究。

4.3提升對信息安全防范技術的研究和應用

為移動數(shù)據(jù)庫存儲的數(shù)據(jù)進行加密以防止泄漏,采用不同的加密方法來保護數(shù)據(jù)安全,進行身份認證,數(shù)據(jù)恢復,數(shù)據(jù)加密存儲,物理隔離,防火墻,網(wǎng)絡,網(wǎng)絡設備,網(wǎng)絡入侵檢測,網(wǎng)絡漏洞掃描,網(wǎng)絡設備備份,網(wǎng)絡管理,專線,實現(xiàn)網(wǎng)絡管理等一系列技術手段,從而提高數(shù)據(jù)庫的安全性。同時提高認識到物理設施的重要性,定期維護物理設施。為了監(jiān)測信息安全和實施評估系統(tǒng),我們要保證基本硬件和芯片的獨立在建立獨立于信息安全的評估體系中,國內(nèi)外統(tǒng)一組織重要的信息安全技術研究,建立創(chuàng)新的電子商務信息安全與評估體系。

篇5

[關鍵詞]電子商務會計;會計信息系統(tǒng);信息安全

1引言

電子商務的實施和推廣,極大地沖擊了企業(yè)的傳統(tǒng)經(jīng)營和發(fā)展模式,也使企業(yè)的傳統(tǒng)會計有逐步向電子商務會計過渡的趨勢

電子商務是一個以Internet為主要平臺以交易雙方為主體以銀行支付和結(jié)算為主要手段以客戶數(shù)據(jù)庫為依托的全新商業(yè)模式因此,如何應對這種全新的商務模式適應信息化條件下的市場競爭,是企業(yè)會計必須面對的嶄新課題由于電子商務發(fā)展所依托的主要平臺——互聯(lián)網(wǎng)具有很大的安全風險,電子商務環(huán)境下的會計信息同樣也面臨著不可忽視的安全問題隨著電子商務應用的進一步推廣,電子商務環(huán)境下的企業(yè)會計信息安全問題的日益凸現(xiàn),已經(jīng)成為企業(yè)向電子商務時代跨越的一大障礙因此,解決電子商務環(huán)境下的會計信息安全問題已經(jīng)成為發(fā)展電子商務會計中最重要最基本的工作

2電子商務環(huán)境下的會計信息安全問題

由于電子商務環(huán)境下網(wǎng)絡的復雜性以及會計問題的特殊性,會計信息遇到的安全問題是多方面的電子商務環(huán)境下存在著大量的會計信息安全問題:

(1)網(wǎng)絡安全風險

互聯(lián)網(wǎng)是一個開放的環(huán)境,置于該環(huán)境中的各種服務器數(shù)據(jù)庫上的信息在理論上都是可以被訪問到的因此,網(wǎng)絡會計信息系統(tǒng)很難完全抵制非法訪問者的侵擾和攻擊尤其是當系統(tǒng)程序本身存在問題系統(tǒng)安全漏洞較大并且系統(tǒng)管理人員尚不自知時,就難以保證服務器上的會計信息系統(tǒng)的信息資源不會被竊取或篡改當然這種攻擊可能來自于系統(tǒng)外部,也可能來自系統(tǒng)內(nèi)部,而且一旦發(fā)生企業(yè)將損失巨大

(2)無紙化的申報和扣稅帶來稅務稽查問題

在網(wǎng)上交易電子化,電子貨幣電子發(fā)票和網(wǎng)上銀行日漸普及的情況下,納稅人手工上門申報方式已經(jīng)無法適應電子商務發(fā)展的需要同時,也引出了所謂的電子稅收問題,即如何保證納稅單位忠實無誤地進行網(wǎng)上申報,而稅務稽查的基礎是掌握大量確切的有關納稅人應稅會計信息的證據(jù)

(3)追蹤審計困難

從審計工作的角度看,由于數(shù)據(jù)高度集中于電子商務系統(tǒng),電子商務系統(tǒng)對錯誤的處理具有重復性和連續(xù)性,電子商務系統(tǒng)中許多不相容職責相對集中,加大了舞弊的風險此外,會計信息系統(tǒng)設計時可能沒有充分考慮到審計工作的需要,沒有留下充分的審計線索因此,無紙化的商務環(huán)境導致電子商務活動難以追蹤審計,各種會計憑證又可被輕易修改而不留痕跡,傳統(tǒng)的稅務稽查工作失去物質(zhì)基礎

(4)相關的法律法規(guī)配套不完善

加強電子商務立法措施,為電子商務會計發(fā)展提供一個健全的法律環(huán)境為此,要大膽借鑒和移植發(fā)達國家電子商務保護交易安全的成功經(jīng)驗和制度,并結(jié)合中國的實際情況,構(gòu)造一套強化交易安全保護的法律制度;在計算機及其網(wǎng)絡安全管理的立法上,應針對電子商務交易在虛擬環(huán)境中運行的特點,明確提出電子商務交易安全保護的法律措施;隨著電子商務進一步發(fā)展,虛擬公司越來越小,而人力資源與知識產(chǎn)權(quán)等是其創(chuàng)造價值的動力所在未來的會計報告必然要求披露知識產(chǎn)權(quán)商譽等的真實情況確認的公允價值我國有關電子商務活動的法律法規(guī)還難以預想到電子商務會計活動中出現(xiàn)的新問題,這就增加了會計信息安全的不確定性,加大了風險

(5)現(xiàn)行財務會計軟件的不成熟帶來的會計信息安全風險

由于開發(fā)的滯后性,當前市場上流行的各種財務軟件,都與電子商務會計發(fā)展的客觀需求存在著一定的差距開發(fā)出的財務軟件適應性差應變能力不強相互兼容性不好抗病毒能力差等弱點已很難適應電子商務會計的需要電子商務會計軟件的不成熟嚴重阻礙了電子商務會計的充分發(fā)展

會計信息是企業(yè)管理的基本依據(jù)之一,從事電子商務活動的企業(yè)需要利用電子商務網(wǎng)絡進行會計信息的收集輸入處理存儲輸出傳遞等活動,如何利用電子商務安全技術對網(wǎng)絡中的會計信息進行保密處理,確保會計信息的安全,是企業(yè)面臨的一項重要任務

3電子商務環(huán)境下的會計信息系統(tǒng)安全策略研究

一般的會計信息系統(tǒng)都包括信息源輸入處理存儲輸出反饋和信息匯等幾個構(gòu)成要素各構(gòu)成要素的關系如圖1所示:

在電子商務環(huán)境下,會計核算網(wǎng)絡化以后,會計崗位將重新劃分,包括系統(tǒng)設計員系統(tǒng)管理員系統(tǒng)操作員數(shù)據(jù)錄入員數(shù)據(jù)審核員系統(tǒng)維護員數(shù)據(jù)分析員檔案管理員等,各崗位之間相互聯(lián)系相互監(jiān)督相互牽制會計信息的安全與會計信息系統(tǒng)的構(gòu)成元素有著密切的關系,因此,我們可以從會計信息系統(tǒng)的各個構(gòu)成元素來對會計信息安全進行研究,具體分析如下:

3.1會計信息源的安全

原始會計信息準確性是企業(yè)會計問題的基礎,因此,會計信息源安全的意義不言而喻,如果會計信息源遭到攻擊,導致其發(fā)出的信息是虛假的或是不準確的,在會計信息系統(tǒng)本身沒有識別能力的情況下,會計信息系統(tǒng)中處理存儲和輸出的信息肯定是有誤的,傳送到信息匯中的信息也是錯誤的,這必然引發(fā)企業(yè)一系列的會計問題因此,如何保證在信息源頭獲取正確的可靠的原始會計數(shù)據(jù),是保證會計信息安全的基礎,否則,一切挽救措施都無從談起為此,需要在信息源處加上電子審計的功能,以確保其發(fā)出的數(shù)據(jù)是準確的客觀的同時,在進入輸入節(jié)點時需要加上識別功能,以防錯誤或虛假信息進入會計信息系統(tǒng)在電子商務的環(huán)境下,會計信息源可能在企業(yè)外部,非企業(yè)本身所能控制,因此,保證會計源發(fā)出的信息準確無誤不僅需要各種先進的電子商務安全技術和安全措施作支撐,還需要相關的電子商務法規(guī)來保障,同時還需要建立起全社會的誠信系統(tǒng)來維護,以最大限度地減少虛假錯誤的信息的發(fā)生具體到企業(yè)個體來說,信息源責任單位應建立有效的信息安全保密管理制度和技術保障措施,并接受相關業(yè)務主管部門的管理監(jiān)督和檢查公司財務主管應有權(quán)對信息源責任單位對外公開的信息內(nèi)容通過瀏覽進行檢查,并要求信息源責任單位就不適宜的信息內(nèi)容進行修改和刪除等

3.2信息輸入節(jié)點的安全

數(shù)據(jù)輸入的正確與否直接影響到賬務處理和賬務輸出的結(jié)果因此會計數(shù)據(jù)輸入控制顯得尤為重要在會計信息系統(tǒng)中,每一步的信息輸入要來自上一步的結(jié)果,每一步的信息輸出又構(gòu)成下一步的信息輸入在電子商務環(huán)境下,從會計信息源獲取的數(shù)據(jù)一般是通過客戶端直接輸入系統(tǒng)的或從另一個系統(tǒng)傳送到系統(tǒng)服務器數(shù)據(jù)庫的如果是人工鍵盤輸入,則需要在保證輸入正確的同時防止信息的泄露,還需要采取措施對錄入人員進行培訓和監(jiān)督,特別是需要進行及時的內(nèi)部監(jiān)控,以防有人故意破壞或輸入虛假錯誤的數(shù)據(jù)另外,在輸入技術方面,需要考慮輸入的方式接口輸入數(shù)據(jù)的格式及其轉(zhuǎn)換問題,這關系到原始會計數(shù)據(jù)是否能正確地進入系統(tǒng)病毒的破壞黑客的攻擊以及人為的失誤等狀況都可能威脅會計數(shù)據(jù)的正常安全轉(zhuǎn)換此外,實際經(jīng)驗表明,內(nèi)部人員的干擾和破壞是系會計信息系統(tǒng)安全的最大隱患,因此很有必要為此制定一個嚴格的完善的會計信息安全管理制度,使企業(yè)財務系統(tǒng)從設計投入使用業(yè)務操作設備管理都有相應的制度監(jiān)督,對違反規(guī)定的員工必須依制度處理,建立相應的監(jiān)督機制,保證相關制度得到落實在許多先進的會計信息系統(tǒng)中一般均含有監(jiān)控模塊或子系統(tǒng),其作用是對外部信息的輸入進行必要的控制和管理,以及時發(fā)現(xiàn)和糾正各種可能的錯誤3.3信息處理部分的安全

數(shù)據(jù)處理是會計信息系統(tǒng)的核心功能,財務系統(tǒng)處理的業(yè)務均與“錢”有關,具有高度的敏感性和機密性,處理結(jié)果要求及時準確完整,不能有一絲差錯故一般在數(shù)據(jù)處理期間,其網(wǎng)絡必須封閉運行,不能連接與業(yè)務無關的終端,不能與其他無關的部門共同使用計算機設備,更不能與互聯(lián)網(wǎng)相連當然封閉是相對而言的,對業(yè)務相關部門是應開放的,以實現(xiàn)資源共享,提高企業(yè)管理水平需要說明的是,即使對相關部門開放,也需層層加密,授權(quán)作業(yè),禁止處理未授權(quán)的業(yè)務

信息處理部分的安全隱患也主要來自黑客的攻擊程序的破壞以及系統(tǒng)開發(fā)時留下的bug,這些都會干擾信息系統(tǒng)對會計數(shù)據(jù)處理的正常處理,甚至會危害整個系統(tǒng)的運行這些問題與前述的問題有關,但內(nèi)部人員作案外部人員或組織的破壞均是可能的特別是內(nèi)部人員或前內(nèi)部人員作案,隱蔽性強,往往難以追蹤,而且破壞性很大,這同樣需要制度化的措施和及時的監(jiān)控來加以解決另外,黑客程序的入侵和病毒程序的破壞已經(jīng)是經(jīng)常性的問題,因此,實時監(jiān)控是電子商務網(wǎng)絡和系統(tǒng)必備的措施應建立操作日志,對日常業(yè)務進行全程跟蹤,加強控制,對大額業(yè)務單獨列示,詳細反映認真核對每筆業(yè)務,建立嚴格的確認復核制度,保證數(shù)據(jù)完整準確重點監(jiān)控大額業(yè)務定期評估財務系統(tǒng)的安全性,發(fā)現(xiàn)問題及時解決

3.4信息輸出部分的安全

由于會計信息系統(tǒng)輸出的財務數(shù)據(jù)或信息往往涉及企業(yè)的商業(yè)機密,所以需要采取嚴密的措施進行安全防范除了前面敘述的問題外,如何防止企業(yè)敏感財務信息的泄露是重中之重對優(yōu)秀的會計信息系統(tǒng)來說,所有數(shù)據(jù)輸出活動都應該有記錄,這種記錄主要是針對用戶的信息審計系統(tǒng)能實時對進出內(nèi)部網(wǎng)絡數(shù)據(jù)庫系統(tǒng)的信息進行內(nèi)容審計,以防止或追查可能的泄密行為凡屬,按照國家有關法律法規(guī)要求,建議安裝使用信息審計系統(tǒng)信息輸出的形式往往與采用的保密措施有關,特別是當會計數(shù)據(jù)或信息以電子化的形式輸出時,需要采用嚴格的制度和紀律加以規(guī)范,以防在電子商務網(wǎng)上迅速傳播和泄露另外,對獲得輸出數(shù)據(jù)或信息的人和組織必須進行嚴格的審查和監(jiān)督,并加以控制和施以法律責任,以防止泄密或向外部被篡改后的數(shù)據(jù)或信息,引起爭議或麻煩

3.5數(shù)據(jù)存儲部分的安全

這是會計信息系統(tǒng)最敏感的部分這部分的安全威脅主要來自黑客對未經(jīng)授權(quán)的數(shù)據(jù)的瀏覽修改和刪除此外,計算機病毒對于存儲的電子數(shù)據(jù)也是一個極為嚴重的威脅對企業(yè)財務數(shù)據(jù)信息的安全保護,其重要性已經(jīng)上升到企業(yè)安全的高度因此,建立一個安全高效的數(shù)據(jù)存儲管理制度刻不容緩首先,電子商務系統(tǒng)本身的技術水平技術措施系統(tǒng)管理員和數(shù)據(jù)庫管理員的技術水準和責任心嚴格的紀律和手段等,是保證數(shù)據(jù)存儲器安全的先決條件同時,凡是有權(quán)訪問數(shù)據(jù)的人和組織均有法律責任,對敏感的會計數(shù)據(jù)進行嚴格的保密另外,數(shù)據(jù)存儲安全管理尤其需要隔絕不安全的人包括:

(1)數(shù)據(jù)破壞者毀滅存儲信息

(2)竊密者超越權(quán)限獲取信息的人都可以稱為竊密者

(3)不當使用者不熟悉數(shù)據(jù)安全和處理的人都可能造成不當使用

這其中前兩類人有很多是內(nèi)部人員,也可能以黑客/間諜面目出現(xiàn)

因此,企業(yè)需要加強內(nèi)部控制,實行嚴格的數(shù)據(jù)資源授權(quán)管理制度在會計電算化比較完備的企業(yè)應建立起網(wǎng)絡系統(tǒng)計算機系統(tǒng)和數(shù)據(jù)庫3層訪問權(quán)限控制管理制度,安全策略在確定對每個資源管理授權(quán)者的同時,還要確定他們可以對用戶授予什么級別的權(quán)限如果沒有數(shù)據(jù)管理授權(quán)者的信息,就無法掌握究竟哪些人在使用數(shù)據(jù)庫對于數(shù)據(jù)中的關鍵財務信息資源,對其可授權(quán)范圍應盡可能小,范圍越小就越容易管理,相對也就越安全在對數(shù)據(jù)訪問授權(quán)者管理的同時,要制定對用戶授權(quán)的過程設計,以防止對授權(quán)職責的濫用,以防止財務機密外泄和蓄意計算機作案,保證會計信息的安全

3.6信息匯的安全

信息匯指的是會計數(shù)據(jù)流向的目的地,它既可能是企業(yè)內(nèi)外部的組織或者是具體的相關職責個人,也可能是會計信息系統(tǒng)的數(shù)據(jù)庫對企業(yè)財務部門來說,必須具有強有力的監(jiān)控措施,對于誰在什么時候什么地方以何種方式對什么對象做了什么操作發(fā)生什么結(jié)果等都應該進行詳盡的記錄對這些信息使用者的監(jiān)控,必須有法律效力這涉及了信息共享的安全性問題商務機密的泄漏通常是在信息共享中發(fā)生的因此,除了嚴格的制度和強硬的紀律法律手段外,還需要有效的安全技術和安全措施作保障

4結(jié)束語

在電子商務網(wǎng)絡中,會計信息的安全保密問題實際上與一般網(wǎng)絡安全問題有直接的關系,在安全措施和手段上也基本一致但是會計信息比一般信息敏感,在企業(yè)的日常管理方面財務審計與課稅等方面起重要作用由于會計信息不同使用者的信息需求有差異,會計信息的可靠性和相關性在某些情況下也不容易同時兼顧由于在電子商務環(huán)境下產(chǎn)生的會計信息一般是以電子化的方式而非書面的形式存在,故其法律效力和原始會計數(shù)據(jù)的追蹤變得復雜,其安全保密具有特別的意義對會計數(shù)據(jù)和信息的安全進行妥善處理,不僅需要技術方面的措施,還需要社會法律制度等來保障

主要參考文獻

[1]GeorgeHBodnar,WilliamSHopwood.會計信息系統(tǒng)[M].第8版.北京:清華大學出版社,2001.

[2]陳少華.防范企業(yè)會計信息舞弊的綜合對策研究[M].北京:中國財政經(jīng)濟出版社,2003.

篇6

    隨著網(wǎng)絡技術的廣泛應用,我國電子商務的安全問題也日益突出。根據(jù)“2010年上半年,計算機病毒和互聯(lián)網(wǎng)安全報告疫情”的數(shù)據(jù)表明,2010年上半年,計算機病毒,木馬的數(shù)量依然保持快速增長,新病毒不斷出現(xiàn),一些“老”的病毒推出了眾多變種。2010年上半年計算機病毒,木馬數(shù)量迅速增加,超出了近五年病毒數(shù)量的總和。在日益增多的電子商務安全問題面前,需要我們采取新措施來進行防范。

    一、電子商務的安全現(xiàn)狀

    目前電子商務的安全問題比較嚴重,最突出的表現(xiàn)在計算機網(wǎng)絡安全和商業(yè)誠信問題上。因為篇幅問題,本文只側(cè)重于計算機網(wǎng)絡安全問題的描述和解決對于其他方面的問題不作詳細的分析。與以往相比電子商務安全呈現(xiàn)出以下特點:

    (一)木馬病毒爆炸性增長,變種數(shù)量的快速增加

    據(jù)統(tǒng)計,僅2009年上半年掛載木馬網(wǎng)頁數(shù)量累計達2.9億個,共有11.2億人次網(wǎng)民訪問掛載木馬,2010年元旦三天就新增電腦病毒50萬。病毒的數(shù)量不僅增速變快,智能型,病毒變種更新速度快是本年度病毒的又一個特征??傮w而言,目前的新木馬不多,更多的是它的變種,因為目前反病毒軟件的升級速度越來越快,病毒存活時間越來越短,因此,今天的病毒投放者不再投放單一的病毒,而是通過病毒下載器來進行病毒投放,可以自動從指定的網(wǎng)址上下載新病毒,并進行自動更新,永遠也無法斬盡殺絕所有的病毒。同時病毒制造、傳播者利用病毒木馬技術進行網(wǎng)絡盜竊、詐騙活動,通過網(wǎng)絡販賣病毒、木馬,教授病毒編制技術和網(wǎng)絡攻擊技術等形式的網(wǎng)絡犯罪活動明顯增多,電子商務網(wǎng)絡犯罪也逐漸開始呈公開化、大眾化的趨勢。

    (二)網(wǎng)絡病毒傳播方式的變化

    過去,傳播病毒通過網(wǎng)絡進行。目前,通過移動存儲介質(zhì)傳播的案例顯著增加,存儲介質(zhì)已經(jīng)成為電子商務網(wǎng)絡病毒感染率上升的主要原因。由于U盤和移動存儲介質(zhì)廣泛使用,病毒、木馬通過autorun.inf文件自動調(diào)用執(zhí)行U盤中的病毒、木馬等程序,然后感染用戶的計算機系統(tǒng),進而感染其他U盤。與往年相比,今年通過網(wǎng)絡瀏覽或下載該病毒的比例在下降。不過,從網(wǎng)絡監(jiān)測和用戶尋求幫助的情況來看,大量的網(wǎng)絡犯罪通過“掛馬”方式來實現(xiàn)?!皰祚R”是指在網(wǎng)頁中嵌入惡意代碼,當存在安全漏洞的用戶訪問這些網(wǎng)頁時,木馬會侵入用戶系統(tǒng),然后盜取用戶敏感信息或者進行攻擊、破壞。通過瀏覽網(wǎng)頁方式進行攻擊的方法具有較強的隱蔽性,用戶更難于發(fā)現(xiàn),潛在的危害性也更大。

    (三)網(wǎng)絡病毒給電子商務造成的損失繼續(xù)增加

    調(diào)查顯示,瀏覽器配置被修改,損壞或丟失數(shù)據(jù),系統(tǒng)的使用受限,網(wǎng)絡無法使用,密碼被盜造成都給電子商務造成嚴重的破壞后果。2006年“熊貓燒香”病毒利用蠕蟲病毒的傳播能力和多種傳播渠道幫助木馬傳播,攫取非法經(jīng)濟利益,給被感染的用戶帶來重大損失。繼“熊貓燒香”之后,復合型病毒大量出現(xiàn),如:仇英、艾妮等病毒。同時,網(wǎng)上販賣病毒、木馬和僵尸網(wǎng)絡的活動不斷增多,利用病毒、木馬技術傳播垃圾郵件和進行網(wǎng)絡攻擊、破壞的事件呈上升趨勢。

    二、電子商務的安全問題及存在原因

    1.對合法用戶的身份冒充。以不法手段盜用合法用戶的身份資料,仿冒合法用戶的身份與他人進行交易,從而獲得非法利益。

    2.對信息的竊取。攻擊者在網(wǎng)絡的傳輸信道上。通過物理或邏輯的手段,對數(shù)據(jù)進行非法的截獲與監(jiān)聽,從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網(wǎng)上竊取那些粗心用戶的信用卡賬號,還能以欺騙的手法進行產(chǎn)品交易,甚至能洗黑錢。

    3.對信息的篡改。攻擊者有可能對網(wǎng)絡上的信息進行截獲后篡改其內(nèi)容,如修改消息次序、時間,注人偽造消息等,從而使信息失去真實性和完整性。

    4.拒絕服務。攻擊者使合法接入的信息、業(yè)務或其他資源受阻。

    5.對發(fā)出的信息予以否認.某些用戶可能對自己發(fā)出的信息進行惡意的否認,以推卸自己應承擔的責任。

    6.信用威脅。交易者否認參加過交易,如買方提交訂單后不付款,或者輸人虛假銀行資料使賣方不能提款I用戶付款后,賣方?jīng)]有把商品發(fā)送到客戶手中,使客戶蒙受損失。

    7.電腦病毒。電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網(wǎng)絡作為自己的傳播途徑,還有眾多病毒借助于網(wǎng)絡傳播得更快,動輒造成數(shù)百億美元的經(jīng)濟損失。如,CIH病毒的爆發(fā)幾乎在瞬間給網(wǎng)絡上數(shù)以萬計的計算機以沉重打擊。

    三、電子商務的安全需求

    電子商務威脅的出現(xiàn)導致了對電子商務安全的需求,主要包括有效性、完整性、不可抵賴性、匿名性。

    1.有效性。保證信息的有效性是開展電子商務的前提,一旦簽訂交易,這項交易就應得到保護以防止被篡改或偽造。

    2.完整性。貿(mào)易雙方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略,保持貿(mào)易雙方信息的完整性是電子商務的基礎。

    3.不可抵賴性。交易一旦達成,原發(fā)送方在發(fā)送數(shù)據(jù)后就不能抵賴,接收方接到數(shù)據(jù)后也不能抵賴。

    4.匿名性。電子商務系統(tǒng)應確保交易的匿名性,防止交易過程被跟蹤,保證交易過程中不把用戶的個人信息泄露給未知的或不可信的個體。

    四、電子商務安全防治措施及安全舉措

    防范電子商務網(wǎng)絡犯罪是一個系統(tǒng)工程,不僅需要人們提高防范電子商務網(wǎng)絡犯罪的意識,加強防范電子商務網(wǎng)絡犯罪的制度建設,而且.還需要技術上不斷更新和完善,為此,需要做好以下幾方面的工作。 1.加強教育和宣傳,提高公眾電子商務的安全意識。信息安全意識是指人們在上網(wǎng)的過程中,對信息安全重要性的認識水平,發(fā)現(xiàn)影響網(wǎng)絡安全行為的敏銳性,維護網(wǎng)絡安全的主動性。強化上網(wǎng)人員的信息安全意識,就是要讓上網(wǎng)人員認識到,網(wǎng)絡信息安全是電子商務正常而高效運轉(zhuǎn)的基礎,是保障企業(yè)、公民和國家利益的重要前提,從而牢同樹立網(wǎng)上交易,安全第一的思想。主要采取以下措施:一是通過大眾媒體,普及電子商務的安全知識,提高用戶的認識。二是積極組織研討會和培訓課程,培養(yǎng)電子商務網(wǎng)絡營銷安全管理人才。

    2.采用多重網(wǎng)絡技術,保證網(wǎng)絡信息安全。目前,常用的電子商務安全技術,主要包括:防火墻,物理隔離,VPN(虛擬專用網(wǎng))。防火墻是實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)安全和入侵隔離的常規(guī)技術。使用防火墻,一方面是抵御來自外界的攻擊。另一方面是為了防止在服務器內(nèi)部部分未經(jīng)授權(quán)的用戶攻擊。因此,電子商務內(nèi)外網(wǎng)與互聯(lián)網(wǎng)之間要設置防火墻。網(wǎng)管人員要經(jīng)常到有關網(wǎng)站上下載最新的補丁程序,以便進行網(wǎng)絡維護,同時經(jīng)常掃描整個內(nèi)部網(wǎng)絡,發(fā)現(xiàn)任何安全隱患及時更改,做到有備無患。企業(yè)上網(wǎng)必須實行內(nèi)外網(wǎng)劃分和內(nèi)外網(wǎng)的物理隔離。要運用VPN新技術,為使用者提了一種通過公用網(wǎng)絡,安全地對食業(yè)網(wǎng)絡進行遠程訪問,同時又能保證企業(yè)的系統(tǒng)安全。包括操作系統(tǒng)、數(shù)據(jù)庫和服務器(如Web服務器、E-MAII。服務器)的安全。

    3.運用密碼技術,強化通信安全。應圍繞數(shù)字證書應用,為電子政府信息網(wǎng)絡中各種業(yè)務應用提供信息的真實性、完整性、機密性和不可否認性保證。在業(yè)務系統(tǒng)中建立有效的信任管理機制、授權(quán)控制機制和嚴密的責任機制。目前要加強身份認證、數(shù)據(jù)完整性、數(shù)據(jù)加密、數(shù)字簽名等工作。對于電子商務中的各種敏感數(shù)據(jù)進行數(shù)據(jù)加密處理,并且在數(shù)據(jù)傳輸中采用加密傳輸,以防止攻擊者竊密。電子商務信息交換中的各種信息,必須通過身份認證來確認其合法性,然后確定這個用戶的個人數(shù)據(jù)和特定權(quán)限?!霸谏婕岸鄠€對等實體間的交互認征時,應采用基于PKI技術,借助第三方(CA)頒發(fā)的數(shù)字證書數(shù)字簽名來確認彼此身份?!睘榱藦母旧媳WC我國網(wǎng)絡的安全,我同安全產(chǎn)品的應用應建立在國內(nèi)自主研發(fā)的產(chǎn)品基礎上,國外的先進技術可以參考,但不能完全照搬。政府應該鼓勵和扶植一批企業(yè)加快數(shù)字安全技術的研究,以提高我國信息企業(yè)的技術和管理水平,促進我同電子商務安全建設。

篇7

關鍵詞:電子商務;身份認證;防火墻

1 引言

電子商務可以增加銷售額并降低成本的優(yōu)勢,使得政府與企業(yè)都十分重視并推動電子商務的建設和發(fā)展。電子商務發(fā)展到今天,主要問題在于時空的分離導致了安全問題的出現(xiàn),信息的安全性是當前發(fā)展電子商務最迫切需要解決的問題之一。研究和分析電子商務的安全性問題,特別是針對企業(yè)自身情況,充分借鑒以往電子商務系統(tǒng)開發(fā)的先進技術和經(jīng)驗,開發(fā)出符合企業(yè)特殊的電子商務系統(tǒng),已經(jīng)成為目前發(fā)展電子商務的關鍵,而安全體系的構(gòu)建顯得尤為重要。

2 電子商務的主要安全要素

目前電子商務工程正在全國迅速發(fā)展。實現(xiàn)電子商務的關鍵是要保證商務活動過程中系統(tǒng)的安全性,即應保證在基于Internet的電子交易轉(zhuǎn)變的過程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來看,傳統(tǒng)的買賣雙方是面對面的,因此較容易保證交易過程的安全性和建立起信任關系。但在電子商務過程中,買賣雙方是通過網(wǎng)絡來聯(lián)系,由于距離的限制,因而建立交易雙方的安全和信任關系相當困難。時空的分離導致了安全問題的出現(xiàn),電子商務交易雙方(銷售者和消費者)都面臨安全威脅,電子商務的安全要素主要體現(xiàn)在以下幾個方面:

2.1 信息真實性、有效性

電子商務以電子形式取代了紙張,如何保證這種電子形式的貿(mào)易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿(mào)易的一種形式,其信息的有效性和真實性將直接關系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。

2.2 信息機密性

電子商務作為貿(mào)易的一種手段,其信息直接廠代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務是建立在一個較為開放的網(wǎng)絡環(huán)境上的,商業(yè)防泄密是電子商務全面推廣應用的重要保障。

3.3 信息完整性

電子商務簡化了貿(mào)易過程,減少了人為的干預,同時也帶來維護商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能導致貿(mào)易各方信息的差異。此外,數(shù)據(jù)傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿(mào)易各方信息的不同。因此,電子商務系統(tǒng)應充分保證數(shù)據(jù)傳輸、存儲及電子商務完整性檢查的正確和可靠。

3.4 信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^;不可否認要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預防抵賴行為的發(fā)生。

在無紙化的電子商務方式下,通過手寫簽名和印章進行貿(mào)易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識。在1nternet 上每個人都是匿名的,電子商務系統(tǒng)應充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴;接收方在接收數(shù)據(jù)后也不能抵賴。

3 電子商務安全系統(tǒng)

網(wǎng)絡安全是電子商務的基礎。為了保證電子商務交易能順利進行,要求電子商務平臺要穩(wěn)定可靠,能不中斷地提供服務。任何系統(tǒng)的中斷,如硬件、軟件錯誤,網(wǎng)絡故障、病毒等都可能導致電子商務系統(tǒng)不能正常工作,而使貿(mào)易數(shù)據(jù)在確定的時刻和地點的有效性得不到保證,往往會造成巨大的經(jīng)濟損失。

所以就整個電子商務安全系統(tǒng)而言,安全性可以劃分為四個層次,

1) 網(wǎng)絡節(jié)點的安全

2) 通訊的安全性

3) 應用程序的安全性

4) 用戶的認證管理

其中2、3、4 是通過操作系統(tǒng)和Web 服務器軟件實現(xiàn),而網(wǎng)絡節(jié)點的安全性依靠防火墻保證,我們應該首先保證網(wǎng)絡節(jié)點的安全性。

3.1 網(wǎng)絡節(jié)點的安全

防火墻是一種由計算機硬件和軟件的組合,使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關,從而保護內(nèi)部網(wǎng)免受非法用戶的侵入,它其實就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)(通常指局域網(wǎng)或城域網(wǎng))隔開的屏障。防火墻的應用可以有效的減少黑客的入侵及攻擊,為電子商務的施展提供個相對更安全的平臺。

防火墻是在連接Internet 和Intranet 保證安全最為有效的方法,防火墻能夠有效地監(jiān)視網(wǎng)絡的通信信息,并記憶通信狀態(tài),從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet 系統(tǒng)。應給予特別注意的是,防火墻不僅僅是路由器、堡壘主機或任何提供網(wǎng)絡安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構(gòu)的信息資源,這種安全策略應包括:規(guī)定的網(wǎng)絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護措施,以及管理制度等。所有有可能受到網(wǎng)絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統(tǒng),而沒有全面的安全策略,那么防火墻就形同虛設。

3.2 通訊的安全

在客戶端瀏覽器和電子商務WEB 服務器之間采用SSL 協(xié)議建立安全鏈接,所傳遞的重要信息都是經(jīng)過加密的,這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。目前采用的是瀏覽器缺省的40 位加密強度,也可以考慮將加密強度增加到128 位。為在瀏覽器和服務器之間建立安全機制,SSL 首先要求服務器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權(quán)機構(gòu)(CA中心)簽發(fā)。瀏覽器要驗征服務器證書的正確性,必須事先安裝簽發(fā)機構(gòu)提供的基礎公共密鑰(PKI)。建立SSL 鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL 鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的服務器證書通過后利用該證書對稱加密算法(RSA)與服務器協(xié)商一個對稱算法及密鑰,然后用此對稱算法加密傳輸?shù)拿魑?。此時瀏覽器也會出進入安全狀態(tài)的提示。

3.3 應用程序的安全性

即使正確地配置了訪問控制規(guī)則,要滿足計算機系統(tǒng)的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數(shù);程序員忘記檢查邊界條件,特別是處理字符串的內(nèi)存緩沖時;程序員忘記最小特權(quán)的基本原則。整個程序都是在特權(quán)模式下運行,而不是只有有限的指令子集在特權(quán)模式下運行,其他的部分只有縮小的許可;程序員從這個特權(quán)程序使用范圍內(nèi)建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個缺省的許可是正確的。

這些缺點都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來騙特權(quán)程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權(quán)程序輸入一個過長的字符串來實現(xiàn)的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執(zhí)行的命令,特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙?。例如,緩沖溢出攻擊可以向系統(tǒng)中增加一個用戶并賦予這個用戶特權(quán)。訪問控制系統(tǒng)中沒有什么可以檢測到這些問題。只有通過監(jiān)視系統(tǒng)并尋找違反安全策略的行為,才能發(fā)現(xiàn)象這些問題一樣的錯誤。

3.4 用戶的認證管理

1) 身份認證

電子商務企業(yè)用戶身份認證可以通過服務器CA 證書與IC 卡相結(jié)合實現(xiàn)的。CA 證書用來認證服務器的身份,IC 卡用來認證企業(yè)用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID 號和密碼口令的身份確認機制。

2) CA 證書

要在網(wǎng)上確認交易各方的身份以及保證交易的不可否認性,需要一份數(shù)字證書進行驗證,這份數(shù)字證書就是CA 證書,它由認證授權(quán)中心(CA 中心)發(fā)行。認證中心(CA)就是承擔網(wǎng)上安全交易認證服務,能簽發(fā)數(shù)字證書,并能確認用戶身份的服務機構(gòu)。認證中心通常是企業(yè)性的服務機構(gòu),主要任務是受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理。CA 中心一般是社會公認的可靠組織,它對個人、組織進行審核后,為其發(fā)放數(shù)字證書,證書分為服務器證書和個人證書。建立SSL 安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL 鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時進行)。

3) 安全套接層SSL 協(xié)議

安全套接層SSL 協(xié)議是Netscape 公司在網(wǎng)絡傳輸層與應用層之間提供的一種基于RSA 和保密密鑰的用于瀏覽器與Web 服務器之間的安全連接技術。

SSL 通過數(shù)字簽名和數(shù)字證書來實行身份驗證,數(shù)字證書是從認證機構(gòu)(CA,Certificate Authority)獲得的,通常包含有唯一標識證書所有者的名稱、唯一標識證書者的名稱、證書所有者的公開密鑰、證書者的數(shù)字簽名、證書的有效期及證書的序列號等。在用數(shù)字證書對雙方的身份驗證后,雙方就可以用保密密鑰進行安全的會話了。

SSL 協(xié)議在應用層收發(fā)數(shù)據(jù)前,協(xié)商加密算法、連接密鑰并認證通信雙方,從而為應用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應用協(xié)議(如Http、Ftp、Telnet 等)以保證應用層數(shù)據(jù)傳輸?shù)陌踩浴?/p>

SSL 協(xié)議握手流程由兩個階段組成:服務器認證和用戶認證。

①服務器認證

客戶端向服務器發(fā)送一個“Hello”信息,以便開始一個新的會話連接;服務器根據(jù)客戶的信息確定是否需要生成新的主密鑰,如需要則服務器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息;客戶根據(jù)收到的服務器響應信息,產(chǎn)生一個主密鑰,并用服務器的公開密鑰加密后傳給服務器;服務器恢復該主密鑰,并返回給客戶一個用主密鑰認證的信息,以此讓客戶認證服務器。這樣通過主密鑰引出的密鑰對一系列數(shù)據(jù)進行加密來認證服務器,從而建立安全的通信通道。

②用戶認證

經(jīng)認證的服務器發(fā)送一個提問給客戶,客戶則返回數(shù)字簽名后的提問和其公開密鑰,從而向服務器提供認證。SSL 協(xié)議支持各種加密算法,實現(xiàn)簡單,獨立于應用層協(xié)議,且被大部分瀏覽器和Web 服務器內(nèi)置,便于在電子交易中應用。但SSL 是一個面向連接的協(xié)議,起初并不是為了支持電子商務而設計的,只能提供交易中客戶與服務器間的雙方認證,在涉及多方的電子交易中,SSL 協(xié)議不能協(xié)調(diào)各方面的安全傳輸和信任關系。為此,開發(fā)出了在網(wǎng)絡應用層中專為電子商務而設計的SET 協(xié)議。

4 安全管理

為了確保系統(tǒng)的安全性,除了采用上述技術手段外,還必須建立嚴格的內(nèi)部安全機制。對于所有接觸系統(tǒng)的人員,按其職責設定其訪問系統(tǒng)的最小權(quán)限。按照分級管理原則,嚴格管理內(nèi)部用戶帳號和密碼,進入系統(tǒng)內(nèi)部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶帳號和密碼。

建立網(wǎng)絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現(xiàn)時便于跟蹤查詢。定期檢查日志,以便及時發(fā)現(xiàn)潛在的安全威脅。

對于重要數(shù)據(jù)要及時進行備份,且對數(shù)據(jù)庫中存放的數(shù)據(jù),數(shù)據(jù)庫系統(tǒng)應視其重要性提供不同級別的數(shù)據(jù)加密。

5 結(jié)束語

安全實際上就是一種風險管理。任何技術手段都不能保證1OO%的安全。但是,安全技術可以降低系統(tǒng)遭到破壞、攻擊的風險。決定采用什么安全策略取決于系統(tǒng)的風險要控制在什么程度范圍內(nèi)。電子商務的安全運行必須從多方面入手,僅在技術角度防范是遠遠不夠的。安全只是相對的,而不是絕對的。因此,為進一步促進電子商務體系的完善和行業(yè)的健康快速發(fā)展,必須在實際運用中解決電子商務中出現(xiàn)的各類問題,使電子商務系統(tǒng)相對更安全。

參考文獻

[1] 吳洋.電子商務安全方法研究[D].天津大學, 2006.

[2] 李艷.電子商務信息安全策略研究[J].甘肅科技, 2005,(06)

篇8

[關鍵詞]電子商務;技術風險;風險管理

電子商務(ElectronicCommerce,EC)是指通過網(wǎng)絡(尤其是Internet)所進行的買賣交易以及相關服務或其他的組織管理活動。交易的安全性能否得到保障是電子商務的核心問題。近幾年來,我國的電子商務發(fā)展較快,但各種風險也日趨突出。一般來說,電子商務中常見的風險可分為經(jīng)濟風險、管理風險、制度風險、技術風險和信息風險。IT技術是實現(xiàn)電子商務的基礎,分析研究其技術風險是保障電子商務安全的重要研究課題。

為了促進電子商務的健康發(fā)展,研究電子商務中可能存在的風險及相應的控制策略是十分必要的。本文分析了電子商務中存在的技術風險及其產(chǎn)生的原因,并在此基礎上提出了降低電子商務技術風險的相關安全策略及措施。

1.電子商務中存在的技術風險

由于網(wǎng)絡的開放性、共享性和動態(tài)性,使得任何人都可以自由地接入Internet,導致以Internet為主要平臺的電子商務的發(fā)展面臨嚴峻的安全問題。其主要技術風險包括:

1.1網(wǎng)絡環(huán)境風險

網(wǎng)絡服務器常遭受到黑客的襲擊,個別網(wǎng)絡中的信息系統(tǒng)受到攻擊后無法恢復正常運行;網(wǎng)絡軟件常常被人篡改或破壞;網(wǎng)絡中存儲或傳遞的數(shù)據(jù)常常被未經(jīng)授權(quán)者篡改、增刪、復制或使用。

1.2數(shù)據(jù)存取風險

由于數(shù)據(jù)存取不當所造成的風險。這種風險主要來自于企業(yè)內(nèi)部。一是未經(jīng)授權(quán)的人員進入系統(tǒng)的數(shù)據(jù)庫修改、刪除數(shù)據(jù);二是企業(yè)工作人員操作失誤,受其錯誤數(shù)據(jù)的影響而帶來的風險,其結(jié)果必然是使企業(yè)效益受到損失,或者是使顧客利益受到損失。

1.3網(wǎng)上支付風險

網(wǎng)上支付一直被認為是制約中國電子商務發(fā)展的最大瓶頸,許多企業(yè)和個人擔心交易的安全性而不愿使用網(wǎng)上支付。

2.電子商務風險管理

電子商務安全的風險管理(RiskManagement)是對電子商務系統(tǒng)的安全風險進行識別、衡量、分析,并在此基礎上盡可能地以最低的成本和代價實現(xiàn)盡可能大的安全保障的科學管理方法。其本質(zhì)就是防患于未然:事前加以消減和控制,事后積極響應和處理,為響應和處理所做的準備就是制訂應急計劃。

了解了電子商務存在的風險之后,需要對這些風險進行管理和控制,具體包括風險識別、風險分析、風險應對和風險監(jiān)控4個過程。

2.1風險識別

對電子商務系統(tǒng)的安全而言,風險識別的目標主要是對電子商務系統(tǒng)的網(wǎng)絡環(huán)境風險、數(shù)據(jù)存取風險和網(wǎng)上支付風險進行識別。識別風險的方法有很多,主要有:試驗數(shù)據(jù)和結(jié)果、專家調(diào)查法、事件樹分析法。電子商務風險識別最常用的一種方法就是收集各種曾經(jīng)發(fā)生過的電子商務攻擊事件(不僅局限于本企業(yè)),經(jīng)過分析提取出若干特征,將其存儲到“風險”庫,作為識別潛在風險的參考。

2.2風險分析

風險分析的目的是確定每種風險對企業(yè)影響的大小,一般是對已經(jīng)識別出來的電子商務風險進行量化估計。這里量化的概念主要指風險影響指標,風險概率以及風險值。技術安全是電子商務實現(xiàn)的基礎,其重要性不言而喻,因此在該項目規(guī)劃、計劃階段就應充分考慮。

2.3風險應對(風險控制)

根據(jù)風險性質(zhì)和企業(yè)對風險的承受能力制訂相應的防范計劃,即風險應對。確定風險的應對策略后,就可編制風險應對計劃。電子商務的技術風險控制主要是針對網(wǎng)絡環(huán)境風險、數(shù)據(jù)存取風險和網(wǎng)上支付風險制訂風險應對策略,從硬件、軟件兩方面加強IT基礎設施建設。

2.險監(jiān)控

制定規(guī)劃,實施保護措施,在保護措施實施的每一個階段都要進行監(jiān)控和跟蹤。風險貫穿于電子商務項目的整個生命周期中,因而風險管理是個動態(tài)的、連續(xù)的過程。因此制訂了風險防范計劃后,還需要時刻監(jiān)督風險的發(fā)展與變化情況。

3.電子商務技術風險控制

針對電子商務中潛在的各類技術風險,筆者提出利用以下技術手段建立一套完整的風險控制體系,將電子商務的風險減少到最小。

3.1網(wǎng)絡安全技術

網(wǎng)絡安全是電子商務安全的基礎,一個完整的電子商務應該建立在安全的網(wǎng)絡基礎之上。網(wǎng)絡安全技術涉及面較廣,主要包括操作系統(tǒng)安全、防火墻技術、虛擬專用網(wǎng)技術(VPN)、漏洞識別與檢測技術。

3.1.1操作系統(tǒng)安全

操作系統(tǒng)的安全機制主要有:過濾保護、安全檢測保護以及隔離保護。

(1)過濾保護分析所有針對受保護對象的訪問,過濾惡意攻擊以及可能帶來不安全因素的非法訪問。

(2)安全檢測保護對所有用戶的操作進行分析,阻止那些超越權(quán)限的用戶操作以及可能給操作系統(tǒng)帶來不安全因素的用戶操作。

(3)離保護在支持多進程和多線程的操作系統(tǒng)中,必須保證同時運行的多個進程和線程之間是相互隔離的,即各個進程和線程分別調(diào)用不同的系統(tǒng)資源,且每一個進程和線程都無法判斷是否還有其他的進程或線程在同時運行。一般的隔離保護措施有以下4種:①物理隔離不同的進程和線程調(diào)用的系統(tǒng)資源在物理上是隔離的;

②暫時隔離在特殊需要的時間段內(nèi),對某一個或某些進程或線程實施隔離,該時間段結(jié)束后解除隔離;

③軟件隔離在軟件層面上對各個進程的訪問權(quán)限實行控制和限制,以達到隔離的效果;

④加密隔離采用加密算法對相應的對象進行加密。

3.1.2防火墻技術

防火墻是將專用網(wǎng)絡與公共網(wǎng)絡隔離開來的網(wǎng)絡節(jié)點,由硬件和軟件組成,其主要功能是通過建立網(wǎng)絡通信的過濾機制,控制和鑒別出入站點的各種訪問,進而有效地提高交易的安全性。目前的防火墻技術主要包括兩種類型,第一類是包過濾技術,其運作方式是監(jiān)視通過它的數(shù)據(jù)流,根據(jù)防火墻管理事先制定的系統(tǒng)安全政策,選擇性地決定是否讓這些數(shù)據(jù)通行;第二類是網(wǎng)關技術,其運作方式是所有要向服務器索取的數(shù)據(jù),都通過服務器來索取。目前,防火墻技術的最新發(fā)展趨勢是分布式和智能化防火墻技術。分布式防火墻是嵌入到操作系統(tǒng)內(nèi)核中,對所有的信息流進行過濾與限制;智能化防火墻利用了統(tǒng)計、記憶、概率和決策等智能技術,對網(wǎng)絡執(zhí)行訪問控制。

3.1.3VPN

虛擬專用網(wǎng)(VPN)是依靠Internet服務提供商(ISP)和其他網(wǎng)絡服務提供商(NSP),在公用網(wǎng)絡中建立專用數(shù)據(jù)通信網(wǎng)絡的技術。VPN實現(xiàn)技術主要有:隧道技術、虛電路技術和基于MPLS(Multi-ProtocolLabelSwitching,多協(xié)議標簽交換協(xié)議)技術?;贛PLS技術的VPN通過改善和加速數(shù)據(jù)包處理提高VPN效率,集隧道技術和路由技術優(yōu)點于一身,組網(wǎng)具有極好的靈活性和擴展性。用戶只需一條線路接入VPN網(wǎng),便可以實現(xiàn)任何節(jié)點之間的直接通信。不過基于MPLS技術的VPN技術本身還有一個成熟的過程,但是它代表了VPN的發(fā)展方向。

3.1.4漏洞識別與檢測系統(tǒng)

大部分管理員采用安全漏洞掃描工具對整個系統(tǒng)進行掃描,了解系統(tǒng)的安全狀況,如MicrosoftBaselineSecurityAnalyze.許多國產(chǎn)殺毒軟件也提供安全測試程序:將存在的漏洞標示出來,并提供相應的解決方法來指導用戶進行修補。掃描方式的漏洞檢測工具往往無法得到目標系統(tǒng)的準確信息,因此無法準確判斷目標系統(tǒng)的安全狀況。模擬攻擊測試是解決這一問題的有效方法,可以準確判斷目標系統(tǒng)是否存在測試的漏洞。但是由于漏洞的多樣性和復雜性,現(xiàn)有的模擬攻擊測試系統(tǒng)發(fā)展緩慢。

3.2數(shù)據(jù)加密技術

在網(wǎng)絡中,計算機的數(shù)據(jù)以數(shù)據(jù)包的形式傳輸。為了防止信息被竊取,應當對發(fā)送的全部信息進行加密。加密傳輸形式是一種將傳送的內(nèi)容變成一些不規(guī)則的數(shù)據(jù),只有通過正確的密鑰才可以恢復原文的面貌。根據(jù)密鑰的特點,加密算法分為對稱密鑰加密算法(私鑰密碼體制)和非對稱密鑰加密算法(公鑰密碼體制)。目前常用的對稱密鑰加密算法有DES(DataEncryptionStandard)算法和IDEA(InternationalDataEncryptionAlgorithm)算法。常用的非對稱密鑰加密算法有RSA算法和EIGamal算法。非對稱密鑰加密算法在實際應用中包括以下幾種安全技術方式:數(shù)字摘要技術,即單向哈希函數(shù)技術、數(shù)字簽名技術、數(shù)字證書技術等。

非數(shù)學的加密理論與技術近年來也發(fā)展非常迅速,成為繼傳統(tǒng)加密方式后的一種新的選擇:

(1)信息隱藏(InformationHiding)即信息偽裝,也稱數(shù)據(jù)隱藏(DataHiding)、數(shù)字水印(DigitalWatermarking),是將秘密信息秘密地隱藏于另一非機密文件之中,利用數(shù)字化聲像信號對于人們的視覺、聽覺的冗余,進行各種時空域和變換域的信息隱藏,從而實現(xiàn)隱藏通信。主要以灰度/彩色圖像、音頻和視頻信息以及文本作為信息隱藏的載體,代表算法有LSB算法和DCT變換域算法。

(2)量子密碼(QuantumCryptography)是以Heisenberg測不準原理和EPR(EinsteinPodolskyRosen)效應為物理基礎發(fā)展起來的一種密碼技術,真正實現(xiàn)一次一密碼,構(gòu)成理論上不可破譯的密碼體制。量子密碼的研究進展順利,雖然還有很多問題需要解決,但某些方面尤其是子密鑰分發(fā)已經(jīng)逐步趨于實用。

3.3身份認證技術

網(wǎng)絡的虛擬性使得要保證每個參與者都能被無誤地識別,就必須使用身份認證技術。在計算機網(wǎng)絡中,現(xiàn)有的用戶身份認證技術基本上可以分為3類:

(1)基于口令的認證方式

基于口令的認證方式是最基本的認證方式,但是存在嚴重安全隱患。安全性完全依賴于口令,一旦口令泄漏,用戶即被冒充;而且用戶選擇的口令比較簡單,容易被猜測。

(2)基于安全物品的認證方式

主要有電子簽名和認證卡兩種方式。電子簽名是電子形式的數(shù)據(jù),是與數(shù)據(jù)電文(電子文件、電子信息)相聯(lián)系的用于識別簽名人的身份和表明簽名人認可該數(shù)據(jù)電文內(nèi)容的數(shù)據(jù)。目前廣泛應用于電子商務實踐的電子簽名即數(shù)字簽名,是通過向第三方的簽名認證機構(gòu)提出申請,由機構(gòu)進行審查,頒發(fā)數(shù)字證書來取得自己的數(shù)字簽名。用戶在發(fā)送信息時使用自己的私有密鑰對信息進行數(shù)字簽名,再使用接受方的公共密鑰將信息進行加密傳輸,接收方使用自己的私有密鑰解密信息,同時使用發(fā)送方的公開簽名密鑰核實信息的數(shù)字簽名。智能卡認證方式具有硬件加密功能,因而具有較高的安全性。進行認證時,用戶輸入個人身份識別碼(PIN),智能卡認證PIN成功后,即可讀出卡中的秘密信息,與驗證服務器之間進行認證。

(3)基于生物特征的認證方式

以人體唯一的、可靠的、穩(wěn)定的生物特征(如指紋、虹膜、人臉、掌紋、耳郭、聲音)為依據(jù),利用圖像處理與模式識別技術進行認證?;诿艽a的認證技術存在密碼難以記憶,容易被黑客破譯的缺點。而基于生物特征的認證方式具有很好的安全性、可靠性和有效性,正逐漸成為一種新的身份認證方式,特別是近幾年來,全球生物識別技術的飛速發(fā)展為生物認證提供了廣泛的技術支持。其中,基于人臉識別的認證技術已經(jīng)成為當前的研究熱點,主要方法有基于幾何特征的人臉識別方法與基于統(tǒng)計的人臉識別方法,并且已有產(chǎn)品投入網(wǎng)絡安全領域,如TrueFaceCyberWatch.

3.4數(shù)據(jù)庫安全機制

數(shù)據(jù)庫安全最重要的一點就是確保只授權(quán)給有資格的用戶訪問數(shù)據(jù)庫的權(quán)限,同時令所有未被授權(quán)的人員無法接近數(shù)據(jù),這主要通過數(shù)據(jù)庫系統(tǒng)的存取控制機制實現(xiàn)。存取控制機制主要包括兩部分:

(1)定義用戶權(quán)限,并將用戶權(quán)限登記到數(shù)據(jù)字典中。

(2)合法權(quán)限檢查,每當用戶發(fā)出存取數(shù)據(jù)庫的操作請求后,DBMS查找數(shù)據(jù)字典,根據(jù)安全規(guī)則進行合法權(quán)限檢查。若用戶的操作請求超出了定義的權(quán)限,系統(tǒng)將拒絕執(zhí)行此操作。

一旦數(shù)據(jù)遭到破壞,就必須采取補救措施。建立嚴格的數(shù)據(jù)備份與恢復管理機制是保障數(shù)據(jù)庫系統(tǒng)安全的有效手段。數(shù)據(jù)備份可以分為2個層次:硬件級和軟件級。硬件級的備份是指用冗余的硬件來保證系統(tǒng)的連續(xù)運行。軟件級的備份指的是將系統(tǒng)數(shù)據(jù)保存到其他介質(zhì)上,當出現(xiàn)錯誤時可以將系統(tǒng)恢復到備份時的狀態(tài),這種方法可以完全防止邏輯損壞。

3.5第三方認證CA

與采用其他交易方式相比,采用電子商務交易模式的各方還有更多的風險,這些在電子商務中所特有的風險有:賣方在網(wǎng)站上對產(chǎn)品進行不實宣傳,欺詐行為的風險;買方發(fā)出惡意訂單的風險;交易一方對電子合同否認的風險;交易信息傳送風險,如信息被竊、被修改等風險。這些風險的存在,需要設立第三方認證技術中心,為在網(wǎng)上交易各方交易資料的傳遞進行加密、驗證和對交易過程進行監(jiān)察。CA認證技術中心是一個確保信任的權(quán)威實體,它的主要職責是頒發(fā)證書,驗證用戶身份的真實性。任何相信CA的人,按照第三方信任原則,也都應該相信持有證明的用戶。CA發(fā)放的證書有SSL和SET兩種。SSL(SecureSocketsLayer)

安全協(xié)議又叫“安全套接層協(xié)議”,主要用于提高應用程序之間數(shù)據(jù)的安全系數(shù),一般服務于銀行對企業(yè)或企業(yè)對企業(yè)的電子商務。SET協(xié)議(SecureElectronicTransaction)

位于應用層,用來保證互聯(lián)網(wǎng)上銀行卡支付交易安全性,一般服務于持卡消費、網(wǎng)上購物等。

4.結(jié)論

電子商務的開展以信息技術為基礎,如何解決電子商務中存在的安全問題已成為一個迫在眉睫的課題。電子商務風險是不可能完全消除的,因為它是與電子商務共生的,是電子商務的必然產(chǎn)物,但是,可以將風險限制在影響最小的范圍之內(nèi)。只有了解風險,才能規(guī)避風險。本文從安全風險管理的角度出發(fā),分析了電子商務中可能存在的技術風險,論述了這些風險的控制策略,希望對企業(yè)開展電子商務活動起到一定的積極作用。

主要參考文獻

[1]阮新新。電子商務技術風險管理的探討[J].經(jīng)濟問題探索,2004,(4):96-97.

[2]ThomasFinne.InformationSystemsRiskManagement:KeyConceptsandBusinessProcess[J].ComputerandSecurity,2000,(19):234-242.

[3]劉偉江,王勇。電子商務風險及控制策略[J].東北師范大學學報:哲學社會科學版,2005,(11)。

篇9

電子商務可以增加銷售額并降低成本的優(yōu)勢,使得政府與企業(yè)都十分重視并推動電子商務的建設和發(fā)展。電子商務發(fā)展到今天,主要問題在于時空的分離導致了安全問題的出現(xiàn),信息的安全性是當前發(fā)展電子商務最迫切需要解決的問題之一。研究和分析電子商務的安全性問題,特別是針對企業(yè)自身情況,充分借鑒以往電子商務系統(tǒng)開發(fā)的先進技術和經(jīng)驗,開發(fā)出符合企業(yè)特殊的電子商務系統(tǒng),已經(jīng)成為目前發(fā)展電子商務的關鍵,而安全體系的構(gòu)建顯得尤為重要。

2電子商務的主要安全要素

目前電子商務工程正在全國迅速發(fā)展。實現(xiàn)電子商務的關鍵是要保證商務活動過程中系統(tǒng)的安全性,即應保證在基于Internet的電子交易轉(zhuǎn)變的過程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來看,傳統(tǒng)的買賣雙方是面對面的,因此較容易保證交易過程的安全性和建立起信任關系。但在電子商務過程中,買賣雙方是通過網(wǎng)絡來聯(lián)系,由于距離的限制,因而建立交易雙方的安全和信任關系相當困難。時空的分離導致了安全問題的出現(xiàn),電子商務交易雙方(銷售者和消費者)都面臨安全威脅,電子商務的安全要素主要體現(xiàn)在以下幾個方面:

2.1信息真實性、有效性

電子商務以電子形式取代了紙張,如何保證這種電子形式的貿(mào)易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿(mào)易的一種形式,其信息的有效性和真實性將直接關系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。

2.2信息機密性

電子商務作為貿(mào)易的一種手段,其信息直接廠代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務是建立在一個較為開放的網(wǎng)絡環(huán)境上的,商業(yè)防泄密是電子商務全面推廣應用的重要保障。

3.3信息完整性

電子商務簡化了貿(mào)易過程,減少了人為的干預,同時也帶來維護商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能導致貿(mào)易各方信息的差異。此外,數(shù)據(jù)傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿(mào)易各方信息的不同。因此,電子商務系統(tǒng)應充分保證數(shù)據(jù)傳輸、存儲及電子商務完整性檢查的正確和可靠。

3.4信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^;不可否認要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預防抵賴行為的發(fā)生。

在無紙化的電子商務方式下,通過手寫簽名和印章進行貿(mào)易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識。在1nternet上每個人都是匿名的,電子商務系統(tǒng)應充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴;接收方在接收數(shù)據(jù)后也不能抵賴。

3電子商務安全系統(tǒng)

網(wǎng)絡安全是電子商務的基礎。為了保證電子商務交易能順利進行,要求電子商務平臺要穩(wěn)定可靠,能不中斷地提供服務。任何系統(tǒng)的中斷,如硬件、軟件錯誤,網(wǎng)絡故障、病毒等都可能導致電子商務系統(tǒng)不能正常工作,而使貿(mào)易數(shù)據(jù)在確定的時刻和地點的有效性得不到保證,往往會造成巨大的經(jīng)濟損失。

所以就整個電子商務安全系統(tǒng)而言,安全性可以劃分為四個層次,

1)網(wǎng)絡節(jié)點的安全

2)通訊的安全性

3)應用程序的安全性

4)用戶的認證管理

其中2、3、4是通過操作系統(tǒng)和Web服務器軟件實現(xiàn),而網(wǎng)絡節(jié)點的安全性依靠防火墻保證,我們應該首先保證網(wǎng)絡節(jié)點的安全性。

3.1網(wǎng)絡節(jié)點的安全

防火墻是一種由計算機硬件和軟件的組合,使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關,從而保護內(nèi)部網(wǎng)免受非法用戶的侵入,它其實就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)(通常指局域網(wǎng)或城域網(wǎng))隔開的屏障。防火墻的應用可以有效的減少黑客的入侵及攻擊,為電子商務的施展提供個相對更安全的平臺。

防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監(jiān)視網(wǎng)絡的通信信息,并記憶通信狀態(tài),從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet系統(tǒng)。應給予特別注意的是,防火墻不僅僅是路由器、堡壘主機或任何提供網(wǎng)絡安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構(gòu)的信息資源,這種安全策略應包括:規(guī)定的網(wǎng)絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護措施,以及管理制度等。所有有可能受到網(wǎng)絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統(tǒng),而沒有全面的安全策略,那么防火墻就形同虛設。

3.2通訊的安全

在客戶端瀏覽器和電子商務WEB服務器之間采用SSL協(xié)議建立安全鏈接,所傳遞的重要信息都是經(jīng)過加密的,這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強度,也可以考慮將加密強度增加到128位。為在瀏覽器和服務器之間建立安全機制,SSL首先要求服務器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權(quán)機構(gòu)(CA中心)簽發(fā)。瀏覽器要驗征服務器證書的正確性,必須事先安裝簽發(fā)機構(gòu)提供的基礎公共密鑰(PKI)。建立SSL鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的服務器證書通過后利用該證書對稱加密算法(RSA)與服務器協(xié)商一個對稱算法及密鑰,然后用此對稱算法加密傳輸?shù)拿魑?。此時瀏覽器也會出進入安全狀態(tài)的提示。

3.3應用程序的安全性

即使正確地配置了訪問控制規(guī)則,要滿足計算機系統(tǒng)的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數(shù);程序員忘記檢查邊界條件,特別是處理字符串的內(nèi)存緩沖時;程序員忘記最小特權(quán)的基本原則。整個程序都是在特權(quán)模式下運行,而不是只有有限的指令子集在特權(quán)模式下運行,其他的部分只有縮小的許可;程序員從這個特權(quán)程序使用范圍內(nèi)建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個缺省的許可是正確的。

這些缺點都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來騙特權(quán)程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權(quán)程序輸入一個過長的字符串來實現(xiàn)的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執(zhí)行的命令,特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙?。例如,緩沖溢出攻擊可以向系統(tǒng)中增加一個用戶并賦予這個用戶特權(quán)。訪問控制系統(tǒng)中沒有什么可以檢測到這些問題。只有通過監(jiān)視系統(tǒng)并尋找違反安全策略的行為,才能發(fā)現(xiàn)象這些問題一樣的錯誤。

3.4用戶的認證管理

1)身份認證

電子商務企業(yè)用戶身份認證可以通過服務器CA證書與IC卡相結(jié)合實現(xiàn)的。CA證書用來認證服務器的身份,IC卡用來認證企業(yè)用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID號和密碼口令的身份確認機制。

2)CA證書

要在網(wǎng)上確認交易各方的身份以及保證交易的不可否認性,需要一份數(shù)字證書進行驗證,這份數(shù)字證書就是CA證書,它由認證授權(quán)中心(CA中心)發(fā)行。認證中心(CA)就是承擔網(wǎng)上安全交易認證服務,能簽發(fā)數(shù)字證書,并能確認用戶身份的服務機構(gòu)。認證中心通常是企業(yè)性的服務機構(gòu),主要任務是受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核后,為其發(fā)放數(shù)字證書,證書分為服務器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時進行)。

3)安全套接層SSL協(xié)議

安全套接層SSL協(xié)議是Netscape公司在網(wǎng)絡傳輸層與應用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術。

SSL通過數(shù)字簽名和數(shù)字證書來實行身份驗證,數(shù)字證書是從認證機構(gòu)(CA,CertificateAuthority)獲得的,通常包含有唯一標識證書所有者的名稱、唯一標識證書者的名稱、證書所有者的公開密鑰、證書者的數(shù)字簽名、證書的有效期及證書的序列號等。在用數(shù)字證書對雙方的身份驗證后,雙方就可以用保密密鑰進行安全的會話了。

SSL協(xié)議在應用層收發(fā)數(shù)據(jù)前,協(xié)商加密算法、連接密鑰并認證通信雙方,從而為應用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應用協(xié)議(如Http、Ftp、Telnet等)以保證應用層數(shù)據(jù)傳輸?shù)陌踩浴?/p>

SSL協(xié)議握手流程由兩個階段組成:服務器認證和用戶認證。

①服務器認證

客戶端向服務器發(fā)送一個“Hello”信息,以便開始一個新的會話連接;服務器根據(jù)客戶的信息確定是否需要生成新的主密鑰,如需要則服務器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息;客戶根據(jù)收到的服務器響應信息,產(chǎn)生一個主密鑰,并用服務器的公開密鑰加密后傳給服務器;服務器恢復該主密鑰,并返回給客戶一個用主密鑰認證的信息,以此讓客戶認證服務器。這樣通過主密鑰引出的密鑰對一系列數(shù)據(jù)進行加密來認證服務器,從而建立安全的通信通道。

②用戶認證

經(jīng)認證的服務器發(fā)送一個提問給客戶,客戶則返回數(shù)字簽名后的提問和其公開密鑰,從而向服務器提供認證。SSL協(xié)議支持各種加密算法,實現(xiàn)簡單,獨立于應用層協(xié)議,且被大部分瀏覽器和Web服務器內(nèi)置,便于在電子交易中應用。但SSL是一個面向連接的協(xié)議,起初并不是為了支持電子商務而設計的,只能提供交易中客戶與服務器間的雙方認證,在涉及多方的電子交易中,SSL協(xié)議不能協(xié)調(diào)各方面的安全傳輸和信任關系。為此,開發(fā)出了在網(wǎng)絡應用層中專為電子商務而設計的SET協(xié)議。

4安全管理

為了確保系統(tǒng)的安全性,除了采用上述技術手段外,還必須建立嚴格的內(nèi)部安全機制。對于所有接觸系統(tǒng)的人員,按其職責設定其訪問系統(tǒng)的最小權(quán)限。按照分級管理原則,嚴格管理內(nèi)部用戶帳號和密碼,進入系統(tǒng)內(nèi)部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶帳號和密碼。

建立網(wǎng)絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現(xiàn)時便于跟蹤查詢。定期檢查日志,以便及時發(fā)現(xiàn)潛在的安全威脅。

對于重要數(shù)據(jù)要及時進行備份,且對數(shù)據(jù)庫中存放的數(shù)據(jù),數(shù)據(jù)庫系統(tǒng)應視其重要性提供不同級別的數(shù)據(jù)加密。

篇10

關鍵詞:電子商務;安全;評估;標準

中圖分類號:F239 文獻標志碼:A 文章編號:1673-291X(2012)13-0136-02

一、電子商務安全評估概述

1.電子商務安全評估重要性電子商務安全評估是運用系統(tǒng)的方法,對電子商務系統(tǒng)、各種電子商務安全保護措施、管理機制以及結(jié)合所產(chǎn)生的客觀效果作出是否安全的結(jié)論。由于信息技術本身有其固有的敏感性和特殊性,這就使得對企業(yè)電子商務產(chǎn)品是否安全,電子商務安全產(chǎn)品及其網(wǎng)絡系統(tǒng)是否可靠,企業(yè)電子商務系統(tǒng)是否健壯,電子商務管理是否嚴格,信息風險防范的準備是否充足等方面都成為需要科學評價和證實的問題。電子商務安全系統(tǒng)所保護的是敏感信息,評估必須可靠、可信、可操作,并且能依賴于成熟的信息安全理論、科學的評估方法和完善的標準體系,具有令人信服的科學性和公正性。

2.電子商務安全評估內(nèi)容。電子商務安全評估的主要內(nèi)容有環(huán)境控制、應用安全、管理機制、遠程通信安全、審計機制等五個方面的內(nèi)容。環(huán)境控制分為實體的、操作系統(tǒng)的及管理的三個部分。應用安全包括輸出輸入控制、系統(tǒng)內(nèi)部控制、責任劃分、輸出的用途、程序的敏感性和脆弱性、用戶滿意度等。管理機制包括規(guī)章制度、緊急恢復措施、人事制度(如防止工作人員調(diào)入、調(diào)離對安全的影響)等。遠程通信安全包括加密、數(shù)據(jù)簽名等。

二、電子商務安全

1.電子商務安全需求與隱患。在電子商務中,任何與交易有關的信息都通過網(wǎng)絡交換,都有可能會被篡改、竊聽、冒名使用或交易后否認。保證電子商務的安全需提供以下安全保護:(1)完整性保護。確保消息內(nèi)容在傳輸和處理過程中沒有被添加、刪除或修改。(2)真實性保護。能對交易者身份進行鑒別,為身份的真實性提供保證。(3)機密性保護。能防止電子商務參與者的信息在存儲、處理、傳輸過程中泄漏給未經(jīng)授權(quán)的人或?qū)嶓w。(4)抗抵賴??沟仲嚲褪菫榻灰椎碾p方提供證據(jù),以解決因否認而產(chǎn)生的糾紛。它實際上建立了交易雙方的責任機制。

電子商務面臨著其系統(tǒng)自身的安全性問題,計算機及通信網(wǎng)絡的安全性問題同樣會蔓延到電子商務中。歸結(jié)起來,電子商務中的安全患主要有其應用層、傳輸層、存儲層和系統(tǒng)層等四個方面:(1)系統(tǒng)層安全性漏洞。電子商務系統(tǒng)的運作須以系統(tǒng)層的軟硬件為基礎,因此系統(tǒng)層的安全性漏洞將直接會造成電子商務中的安全患。(2)存儲層的安全漏洞。存儲層的安全漏洞包括兩個方面的問題:1)意外情況造成的數(shù)據(jù)破壞。無論多么穩(wěn)定的系統(tǒng),意外情況總是不可避免的,電子商務系統(tǒng)也不例外。如果對意外情況造成的損失沒有充分的估計和完備的補救措施,那么意外情祝造成的數(shù)據(jù)破壞是不可避免的。而數(shù)據(jù)破壞將對整個電子商務系統(tǒng)的穩(wěn)定性和安全性造成威脅。2)有意人為侵害造成的破壞。電子商務起步不久,安全性措施尚不完善,是網(wǎng)絡黑客攻擊的焦點。黑客往往利用電子商務系統(tǒng)中的種種安全性漏洞,竊取和破壞系統(tǒng)數(shù)據(jù),甚至修改系統(tǒng),對整個系統(tǒng)的正常運作造成嚴重危害。因此,一個成功的電子商務系統(tǒng)必須能有效的防止人為侵害。(3)傳輸層的安全漏洞。傳輸層的安全漏洞包括傳輸過程中的數(shù)據(jù)截獲電子商務系統(tǒng)中的數(shù)據(jù)在傳輸過程中可能受到截獲,傳輸過程中的數(shù)據(jù)完整性破壞以及跨平臺數(shù)據(jù)交換引起的數(shù)據(jù)丟失等三個方面的問題。(4)應用層的安全漏洞。應用層的安全漏洞包括冒充他人身份和抵賴已經(jīng)做過的交易兩個方面的問題。

2.電子商務安全要求與技術。電子商務安全要求主要有以下六點:(1)信息的有效性要求。電子形式貿(mào)易信息的有效性則是電子商務活動的前提。電子商務信息的有效性將直接關系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。一旦簽訂交易后,這項交易就應受到保護以防止被篡改或偽造。(2)信息的保密性要求。電子商務作為貿(mào)易的一種手段,其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。電子商務是建立在開放的網(wǎng)絡環(huán)境上,維護商業(yè)機密是電子商務全面推廣應用的重要保障。因此,要預防非法的信息存取和信息在傳輸過程中被非法竊取。(3)信息的完整性要求。電子商務簡化了貿(mào)易過程,減少了人為的干預,同時也帶來維護貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能導致貿(mào)易各方信息的差異。此外,數(shù)據(jù)傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿(mào)易各方信息的不同。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略,保持貿(mào)易各方信息的完整性是電子商務應用的基礎。因此,要預防對信息的隨意生成、修改和刪除,同時要防止數(shù)據(jù)傳送過程中信息的丟失和重復并保證信息傳送次序的統(tǒng)一。(4)信息的不可抵賴性要求。電子商務可能直接關系到貿(mào)易雙方的商業(yè)交易,如何確定要進行交易的貿(mào)易方正是進行交易所期望的貿(mào)易方,這一問題則是保證電子商務順利進行的關鍵。(5)交易身份的真實性要求。交易者身份的真實性是指交易雙方確實是存在的。網(wǎng)上交易的雙方要使交易成功,必須互相信任,確認對方真實,對商家要考慮客戶是否有信譽。(6)系統(tǒng)的可靠性要求。電子商務系統(tǒng)的可靠性是指防止由于計算機失效、程序錯誤、傳輸錯誤、硬件故障、系統(tǒng)軟件錯誤、數(shù)據(jù)庫出錯、計算機病毒和自然災害所產(chǎn)生的潛在威脅,并加以控制和預防,確保系統(tǒng)安全可靠性。保證計算機系統(tǒng)的安全是保證電子商務系統(tǒng)數(shù)據(jù)傳輸及電子商務完整性檢查的正確和可靠的根基。

通過使用以下四種電子商務安全密碼技術,可以基本滿足不同的電子商務安全需求。(1)完整性保護技術。完整性保護技術是用于提供消息認證的安全機制。典型的完整性保護技術是消息認證碼是將利用一個帶密鑰的雜湊函數(shù)對消息進行計算,產(chǎn)生消息認證碼,并將它附著在消息之后一起傳給接收方,接收方在收到消息后可以重新計算消息認證碼,并將其與接收到的消息認證碼進行比較:如果它們相等,接收方就認為消息沒有被篡改;如果它們不相等,接收方就知道消息在傳輸過程中被篡改了。(2)真實性保護技術。真實性保護技術用來確認某一實體所聲稱的身份,以對抗假冒攻擊。在電子商務中,交易信息通過網(wǎng)絡轉(zhuǎn)發(fā),可能在傳輸過程有一定的延遲,需要通過數(shù)據(jù)源鑒別來確認交易信息的真正來源。(3)機密性保護技術。機密性保護技術是為了防止敏感數(shù)據(jù)泄漏給那些未經(jīng)授權(quán)的實體。(4)抗抵賴技術??沟仲嚰夹g是為了防止惡意主體事后否認所發(fā)生的事實或行為。要解決上述問題,必須在每一事件發(fā)生時,留下關于該事件的不可否認證據(jù)。當出現(xiàn)糾紛時,可由可信第三方驗證這些留下的證據(jù).這些證據(jù)必須具有不可偽造或防篡改的特點。

三、電子商務安全審計

(一)電子商務安全外部審計

外部審計是指審計師對公司電子商務網(wǎng)站的安全工作進行審計,對消費者提供數(shù)據(jù)安全、商業(yè)政策、交易完整、數(shù)據(jù)隱私等方面的審計。消費者可以通過查詢這些第三方組織的網(wǎng)站進行了解。1998年美國注冊會計師協(xié)會(AICPA)先后成立的Elliott委員會和Cohen委員會,可以對電子商務的這方面內(nèi)容提供鑒證。AICPA對電子商務提供的保證服務主要分為兩個方面:完整性保證系統(tǒng)(Integrity Assurance System):電子交易中的數(shù)據(jù)要素是各方同意達成的,并且在數(shù)據(jù)處理與存儲的過程中保持其完整性,沒有未經(jīng)授權(quán)的修改。安全性保證系統(tǒng)(SecurityAssuranceSystem):交易雙方的身份驗證以及電子數(shù)據(jù)沒有未經(jīng)授權(quán)的泄漏。

(二)電子商務安全內(nèi)部審計

內(nèi)部審計的作用主要體現(xiàn)在對于電子商務公司內(nèi)部系統(tǒng)安全和財務風險的管理上,主要包括兩個方面的內(nèi)容:對電子商務系統(tǒng)的技術審計;對電子商務公司的財務進行審計。

1.技術審計。對電子商務系統(tǒng)進行技術審計的主要內(nèi)容有三項:(1)紀錄、跟蹤系統(tǒng)的運行狀況。利用審計工具,監(jiān)視和紀錄系統(tǒng)的活動情況,如紀錄用戶登錄賬號、登錄時間、登錄的終端以及所訪問的文件、存取操作,并放人系統(tǒng)日志中保存在磁盤上,使影響系統(tǒng)安全性的存取以及其他非法操作留下線索,以便審查。(2)檢測各種安全事故。審計工具能檢測和判定對系統(tǒng)的攻擊,如多次使用非法口令登錄系統(tǒng)的嘗試,及時提供報警甚至自動處理,使系統(tǒng)安全管理人員能夠了解系統(tǒng)的運行情況,及時堵住非法入侵者。審計工具還能識別合法用戶的誤操作等。(3)保存、維護和管理審計日志。由于審計日志記錄了審計、跟蹤、檢測各種安全事件的結(jié)果,是查找、分析網(wǎng)絡系統(tǒng)安全事件的客觀依據(jù),是重要的系統(tǒng)文檔,必須有可靠的存儲和管理機制。在現(xiàn)代的經(jīng)濟環(huán)境下對電子商務公司的財務進行審計,其審計的職能已經(jīng)發(fā)生了根本性的變化。審計已經(jīng)從傳統(tǒng)的財務審計過渡到了風險審計與內(nèi)部控制。因此,運用內(nèi)部審計可以很好地控制風險的發(fā)生。

2.財務審計。對電子商務系統(tǒng)進行財務審計的主要內(nèi)容有兩項:(1)對電子商務風險設定非財務化監(jiān)測工具,這種工具可以是數(shù)量化的,也可以是非數(shù)量化的。比如實時監(jiān)測服務器訪問者數(shù)量,或者使用嗅探器工具網(wǎng)絡監(jiān)視工具對公司內(nèi)部網(wǎng)以及國際互聯(lián)網(wǎng)出口進行監(jiān)測。(2)對電子商務風險實行與商業(yè)風險并行的另外一套防范方法,但是這種防范措施要與其他風險的防范一起進入風險管理的總的成本與人員控制。

參考文獻:

[1] 劉艷慧.電子商務及其安全性研究與應用[D].天津:天津大學,2008.

[2] 王鐵柱,等.中國電子商務安全性分析與研究[J].河北公安警察職業(yè)學院學報,2010,(3).