時間:2023-09-12 17:04:17
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇電子商務安全管理策略范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
摘要:電子商務作為一種全新的商務模式,它有很大的發展前途,且隨之而來的安全問題也越來越突出,如何建立一個安全、便捷的電于商務應用環境,對信息提供足夠的保護,是商家和用戶都十分關注的話題。安全問題己成為電子商務的核心問題。分析了電子商務中存在的安全問題,并闡述目前解決電子商務安全隱患的主要安全技術及相關策略。
關鍵詞:電子商務;安全問題;安全策略
1電子商務中存在的兩大類安全問題
1.1網絡安全問題
現在隨著互聯網技術的發展,網絡安全成了新的安全研究熱點。網絡安全就是如何保證網絡上存儲和傳輸的信息的安全性。網絡安全問題是計算機系統本身存在的漏洞和其他人為因素構成了計算機網絡的潛在威脅,概括來說網絡安全的內容包括:計算機網絡設備安全、計算機網絡系統安全、數據庫安全等
1.2商務安全問題
商務交易安全則緊緊圍繞傳統商務在互聯網絡上應用時產生的各種安全問題,在計算機網絡安全的基礎上,如何保障電子商務過程的順利進行。即實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。網上交易日益成為新的商務模式,基于網絡資源的電子商務交易已為大眾接受,人們在享受網上交易帶來的便捷的同時,交易的安全性備受關注,網絡所固有的開放性與資源共享性導致網上交易的安全性受到嚴重威脅。所以在電子商務交易過程中,保證交易數據的安全是電子商務系統的關鍵。
1.3目前電子商務中存在的主要安全問題
(1)對合法用戶的身份冒充。攻擊者通過非法手段盜用合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易,從而獲得非法利益。
(2)對信息的竊取。攻擊者在網絡的傳輸信道上,通過物理或邏輯的手段,對數據進行非法的截獲與監聽,從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網上竊取那些粗心用戶的信用卡賬號,還能以欺騙的手法進行產品交易,甚至能洗黑錢。
(3)對信息的篡改。攻擊者有可能對網絡上的信息進行截獲后篡改其內容,如修改消息次序、時間,注入偽造消息等,從而使信息失去真實性和完整性。
(4)拒絕服務。攻擊者使合法接入的信息、業務或其他資源受阻。
(5)對發出的信息予以否認。某些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。
(6)信用威脅。交易者否認參加過交易,如買方提交訂單后不付款,或者輸入虛假銀行資料使賣方不能提款;用戶付款后,賣方沒有把商品發送到客戶手中,使客戶蒙受損失。
(7)電腦病毒。電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯網的出現又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網絡作為自己的傳播途徑,還有眾多病毒借助于網絡傳播得更快,動輒造成數百億美元的經濟損失。如,CIH病毒的爆發幾乎在瞬間給網絡上數以萬計的計算機以沉重打擊。
2電子商務中的主要安全技術
2.1電子商務的安全技術
互聯網已經日漸融入到人類社會的各個方面中,網絡防護與網絡攻擊之間的斗爭也將更加激烈,這就對安全技術提出了更高的要求。安全技術是電子商務安全體系中的基本策略,是伴隨著安全問題的誕生而出現的,安全技術極大地從不同層次加強了計算機網絡的整體安全性。要加強電子商務的安全,需要企業本身采取更為嚴格的管理措施,需要國家建立健全法律制度,更需要有科學的先進的安全技術。安全問題是電子商務發展的核心和關鍵問題,安全技術是解決安全問題保證電子商務健康有序發展的關鍵因素。
2.2計算機網絡安全技術
目前,常用的計算機網絡安全技術主要有病毒防范技術、身份認證技術、防火墻技術和虛擬專用網VPN技術等。
(1)病毒是一種惡意的計算機程序,它可分為引導區病毒、可執行病毒、宏病毒和郵件病毒等,不同的病毒的危害性也不一樣。為了防范病毒,可以采用以下的措施:
①安裝防病毒軟件,加強內部網的整體防病毒措施;
②加強數據備份和恢復措施;
③對敏感的設備和數據要建立必要的物理或邏輯隔離措施等。
(2)身份識別技術是計算機網絡安全技術的重要組成部分之一。它的目的是證實被認證對象是否屬實和是否有效。其基本思想是通過驗證被認證對象的屬性來達到確認被認證對象是否真實有效的目的。被認證對象的屬性可以是口令、問題解答或者像指紋、聲音等生理特征,常用的身份認證技術有口令、標記法和生物特征法。
(3)防火墻是一種將內部網和公眾網如Internet分開的方法,它能限制被保護的網絡與互聯網絡之間,或者與其他網絡之間進行的信息存取、傳遞操作。防火墻可以作為不同網絡或網絡安全域之間信息的出入口,能根據企業的安全策略控制出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。它是電子商務的最常用的設備。
(4)虛擬專用網是用于Internet電子交易的一種專用網絡,它可以在兩個系統之間建立安全的通道,非常適合于電子數據交換(EDI)。在虛擬專用網中交易雙方比較熟悉,而且彼此之間的數據通信量很大。只要交易雙方取得一致,在虛擬專用網中就可以使用比較復雜的專用加密和認證技術,這樣就可以大大提高電子商務的安全性。VPN可以支持數據、語音及圖像業務,其優點是經濟、便于管理、方便快捷地適應變化,但也存在安全性低,容易受到攻擊等問題。
2.3商務交易安全技術
(1)加密技術是電子商務安全的一項基本技術,它是認證技術的基礎。
采用加密技術對信息進行加密,是最常見的安全手段。加密技術是一種主動的信息安全防范措施,其原理是利用一定的加密算法,將明文轉換成為無意義的密文,阻止非法用戶理解原始數據,從而確保數據的保密性。目前,在電子商務中,獲得廣泛應用的兩種加密技術是對稱密鑰加密體制(私鑰加密體制)和非對稱密鑰加密體制(公鑰加密體制)。它們的主要區別在于所使用的加密和解密的密碼是否相同。
(2)安全認證技術主要有數字摘要、數字信封、數字簽名、數字時間戳、數字證書等。
①數字摘要。
數字摘要是采用單向Hash函數對文件中若干重要元素進行某種變換運算得到固定長度的摘要碼(數字指紋FingerPrint),并在傳輸信息時將之加入文件一同送給接收方,接收方收到文件后,用相同的方法進行變換運算,若得到的結果與發送來的摘要碼相同,則可斷定文件未被篡改,反之亦然。
②數字信封。
數字信封是用加密技術來保證只有規定的特定收信人才能閱讀信的內容。在數字信封中,信息發送方采用對稱密鑰來加密信息,然后將此對稱密鑰用接收方的公開密鑰來加密(這部分稱為數字信封)之后,將它和信息一起發送給接收方,接收方先用相應的私有密鑰打開數字信封,得到對稱密鑰,然后使用對稱密鑰解開信息。這種技術的安全性相當高。
③數字簽名。
把HASH函數和公鑰算法結合起來,可以在提供數據完整性的同時,也可以保證數據的真實性。完整性保證傳輸的數據沒有被修改,而真實性則保證是由確定的合法者產生的HASH,而不是由其他人假冒。而把這兩種機制結合起來就可以產生所謂的數字簽名(DigitalSignature)。
④數字時間戳。
交易文件中,時間是十分重要的信息。在書面合同中,文件簽署的日期和簽名一樣均是十分重要的,是防止文件被偽造和篡改的關鍵性內容。而在電子交易中,同樣需對交易文件的日期和時間信息采取安全措施,而數字時間戳服務(DTS-DigitalTime-stampService)就能提供電子文件發表時間的安全保護。數字時間戳服務(DTS)是網絡安全服務項目,由專門的機構提供。
⑤數字證書。
在交易支付過程中,參與各方必須利用認證中心簽發的數字證書來證明各自的身份。所謂數字證書,就是用電子手段來證實一個用戶的身份及用戶對網絡資源的訪問權限。在網上電子交易中,如果雙方出示了各自的數字證書,并用它來進行交易操作,那么雙方都可不必為對方身份的真偽擔心。
3電子商務的安全性策略
3.1電子商務安全技術保障策略
安全技術保障技術是電子商務安全體系中的基本策略,目前相關的信息安全技術與專門的電子商務安全技術研究比較普遍和成熟。電子商務中常用到的安全技術有:密碼技術,身份驗證技術,訪問控制技術,防火墻技術。
3.2企業電子商務安全運營管理制度保障策略
企業電子商務安全運營管理制度是用文字的形式對各項安全要求所做的規定,是保證企業取得電子商務成功的基礎,是企業電子商務人員工作的規范和準則。這些制度主要包括人員管理制度,保密制度,跟蹤審計制度,系統維護制度、數據備份制度等。
3.3電子商務立法策略
(1)立法目的。電子商務安全立法的目的主要是要消除電子商務發展的法律障礙;消除現有法律適用上的不確定性,保護合理的商業行為,保障電子交易安全;建立一個清晰的法律框架以統一調整電子商務的健康發展。
(2)立法范圍。電子商務安全方面需要的法律法規主要有:市場準入制度、合同有效認證辦法、電子支付系統安全措施、信息保密防范辦法,知識產權侵權處理規定、以及廣告的管制、網絡信息內容過濾等;
(3)立法途徑。電子商務法律仍然是調整社會關系,所以應當繼承傳統立法的合理內核,尤其是基礎價值觀。具體的立法途徑主要是兩種:第一是制定新的法律規范。第二是修改或重新解釋既定的法律規范。
3.4政府監督管理策略
電子商務本質是一種市場運作模式,市場的正常健康有序地發展,必須有政府宏觀上的監督與管理,以協調和規范各市場主體的行為,宏觀監督與管理電子商務運行中的安全保障體系。政府監督管理主要體現在:計算機信息系統安全管理,網絡廣告和網絡服務業管理,認證機構管理,加強社會信用道德建設。
4電子商務安全中還需解決的問題
(1)沒有一種電子商務安全的完整解決方案和完整模型與體系結構。
(2)盡管一些系統正在逐漸成為標準,但僅有很少幾個標準的應用程序接口(APIA)。從協議間的通用API和網關是絕對需要的。
(3)大多數電子商務系統都是封閉式的,即它們使用獨有的技術,僅支持一些特定的協議和機制。通常需要一個中央服務器作為所有參與者的可信第三方,有時還要求使用特定的服務器和瀏覽器。
(4)盡管大多數方案都使用了公鑰密碼,但多方安全受到的關注遠遠不夠。沒有建立一種解決爭議的決策程序。
(5)客戶的匿名性和隱私尚未得到充分的考慮。
參考文獻
[1]EricRescorla.著,崔凱譯.SSL與TLSDesigningandBuild-ingSecureSystems[M].北京:中國電力出版社,2002.
[2]ChristopherSteel,RameshNagappan,RayLai.著.安全模式(CoreSecurityPatterns)[M].北京:機械工業出版社,2006.
論文摘要:隨著商業銀行網上業務的不斷發展,電子商務安全風險管理策略成為理論與實踐中必須重視的課題。剖析現階段電子商務安全網風險策略的薄弱點,發展商業銀行電子商務安全風險管理策略,應借鑒成熟的傳統金融風險度量中的一些方法改變電子商務安全管理對資產進行粗略的優先級別排序,用系統管理思想構建商業銀行電子商務安全管理框架,并將商務安全風險納入風險管理范疇。
商業銀行從事金融業務面臨著市場風險、信用風險、以及操作風險等,而電子商務的出現則加劇了上述各類風險發生的可能性以及風險發生之后的破壞程度。2004年以來,我國面臨的網絡仿冒威脅正在逐漸加大,仿冒對象主要是金融網站和電子商務網站。2005年上半年共收到網絡安全事件報告65679件,超過2004年全年案件數,商業銀行電子商務安全風險管理策略已成為理論與實踐中必須重視的課題。
一、信息安全管理的歷史演進與現階段的特點
信息安全管理的策略大體遵循事件驅動(技術和管理脫節)-逐漸標準化(技術和管理逐漸結合)——安全風險管理(引入了風險分析)的發展路徑。
(一)以事件驅動的初級階段時期
19世紀70年代安全主要是指物理設備和環境的安全,人與計算機之間的交互主要局限在大型計算機上的啞終端,安全問題只涉及能訪問終端的少數人。安全管理策略處于初級階段,由事件驅動,沒有形成規范的管理流程。在此階段的前期,只重視技術手段。后期開始重視管理手段,但是技術和管理之間脫節。許多組織對信息安全制定了相應的規章和制度,但組織的信息安全管理基本上還處在一種靜態、局部、少數人負責、突擊式、事后糾正式的管理方式。
(二)標準化時期
企業開始將安全問題作為整體考慮,形成一套較為完整的安全管理策略,其中包括了安全管理的技術手段和管理制度(或稱運作管理)。幾乎所有從事電子商務的企業都擁有自己的安全策略,內容也包括了技術手段、安全管理制度、人員安全教育等等,基本上形成體系,技術和管理手段綜合統一,但是安全風險分析還存在不足之處。
(三)安全風險管理策略時期
隨著電子商務安全管理發展到一個比較高的層次,安全管理策略也演進到安全風險管理階段。主要特點如下:
1.安全風險管理成為主流趨勢;在安全管理策略的演進過程中,技術和管理手段綜合統一、又融入了風險管理的分析、防范策略,從而安全管理進入了安全風險管理時期。西方商業銀行已對安全風險管理形成共識。如安氏公司(is—One),認為信息安全問題最終將歸結為風險管理問題,風險管理方法是建立良性的安全技術和管理體系的依據和基礎。
2.安全風險管理的國際標準和各國的規范逐漸形成并趨于完善。國際上關于安全風險管理的標準有巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》、英國標準協會制訂的BS7799等。各國也日益重視安全風險管理,制定了許多規范。例如美國貨幣監理署(OCC)的《電子銀行最終規則》、香港金融管理局的《電子銀行服務的安全風險管理》等。中國銀行業監督管理委員也于2006年頒布了《電子銀行業務管理辦法》,對國內企業的電子商務安全風險管理給出了指導意見。
3.利用外部專業化機構對金融機構的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術風險,在相當程度上取決于采用的信息技術的先進程度,系統的設計開發水平,以及相關設施設備及其供應商的選擇等;銀行依靠傳統的風險管理機制已很難識別、監測、控制和管理相關風險。同樣,監管機構也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監控。因此,大部分國家都采用了依靠外部專業化機構定期對電子銀行安全性進行評估的辦法,加強對電子銀行安全性和技術風險的管理和監管。
4.在許多國家信息系統審計(Is Audit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。業界的IT風險分析師也成為一種職業,專門從事電子商務的安全風險工作,從經濟學的角度出發分析風險,充分衡量保持安全的代價和收益之間的關系,尋求用最小的代價實現最大的效用,在風險分析中也形成一套較為成熟的模式。
二、我國商業銀行電子商務安全風險管理策略的薄弱點
(一)系統管理思想缺乏
目前的電子商務安全風險管理策略,在全局上缺乏系統論理論的指導,在實際操作中受到多種多樣的安全攻擊時會不可避免地出現安全漏洞,無法形成一張全面有序的安全網絡。
實踐中被采用的安全風險管理策略,以及作為指導意見的規則規范,如《信息安全管理實務準則》(IS017799)、《信息技術安全性評估準則》(GB/T18336.1)、巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》,盡管提出了比較全面的安全風險管理方案,層次上也比較清晰,但是還不足以作為一個風險防范系統。實踐中,電子商務組織是一個復雜的系統組織,電子商務的安全風險管理體系和過程也是個復雜的系統。系統論、控制論的思想在電子商務安全風險管理中是不可或缺的。
(二)風險分析的模型與方法不成熟,定量分析不足
電子商務模式自身的發展歷史也不過20幾年,在風險分析的定量技術上并不成熟;如BS7799中推薦的電子商務安全風險管理中實施風險評估時,往往將威脅發生的可能性定性劃分為幾個級別,將威脅所造成的影響也定性劃分為1~5級,實質上是將一些按照概率發生的事件定義為不連續的幾個級別,在操作上易行,但造成了度量的不精確。在進行監控和審計之后,也存在無法量化、對比的問題。
(三)忽視與原有的傳統風險管理策略的結合
本質上,電子商務的安全風險無非是新興的商業模式對傳統的風險的改變,以及產生的在傳統風險控制領域暫時無法明晰的新風險;現有管理策略只從信息技術的角度、或者從偏重技術的角度看待問題,站在金融領域本身來分析研究較少。這種狀況導致了對電子商務安全風險管理的研究無法立足于一個比較高的層次;忽略了風險的整體性,只進行偏信息和技術的研究,導致了現有的電子商務安全風險管理策略與金融機構原有的傳統業務風險管理策略存在差距。對于商業銀行而言,傳統金融業務的風險控制與電子商務的技術風險控制,兩個方面存在脫節,同樣屬于商業銀行的風險,存在著不同的管理策略,導致多頭管理、資源浪費、機構之間的扯皮,乃至缺位管理。
(四)風險管理策略無法依賴外部的信息安全管理行業
在發達國家,信息系統審計(Is Audit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。IT風險分析師也成為一種職業,專門從事電子商務的安全風險工作。商業銀行采用依靠外部專業化機構定期對電子銀行的安全性進行評估的辦法,提高對電子銀行安全性和技術風險的管理和監管。而國內初步建立了國家信息安全組織保障體系,制定和引進了一批重要的信息安全管理標準、法律法規,風險評估工作得到了一定重視,但與發達國家成熟完善的外部信息安全管理行業仍有很大差距。
(五)風險管理策略中商業銀行的內部風險控制能力薄弱
我國商業銀行目前均建立起統一的風險管理部門;但風險控制部門的職能、權限與花旗銀行等體制較為先進的銀行相比仍然存在較大差距,風險控制實質上仍然分散在各個子部門;風險的評估、防范與控制實質上完全依靠商業銀行的電子交易部門;風險管理部門、內審稽核部門實質上無法控制電子商務安全風險。例如,風險管理部門接受了電子交易部的風險控制報告,表面上履行的內控審核的流程,但審核作用有限,無法完成電子商務安全風險管理中的監控與審計環節。
三、商業銀行的電子商務安全風險管理策略的改進建議
(一)基于系統的思想構建商業銀行電子商務安全風險管理策略框架
利用系統理論作為總體的指導思想,將電子商務安全風險管理策略本身當作一個開放的自適應系統。將商業銀行電子商務安全風險管理中的各個環節組成循環上升的系統。
在商業銀行電子商務安全風險控制的流程中,經過信息安全的風險評估、資產識別和選擇、實施控制降低風險的措施、將風險控制在可接受的范圍內,然后進行監控和審計;尤其重要的是把監控和審計所得到的內容作為新一輪風險分析輸入,從而開始新一輪的風險管理過程。商業銀行電子商務安全風險管理的各個步驟為動態的循環系統。每完成一個循環,安全風險管理的有效性就上一個臺階,商業銀行的安全管理水平變得到了提高。
(二)電子商務安全風險管理中定量分析中的改進思路
商業銀行可以借鑒成熟的傳統金融風險度量中的一些方法來改變電子商務安全風險管理中對資產進行粗略的優先級別排序的方法。實踐中,商業銀行對操作風險的管理與對電子商務安全風險管理有其相似之處。巴塞爾委員會對商業銀行的操作風險的內部計量法中規定,商業銀行內部估計風險敞口指標、損失事件發生的概率、風險損失,巴塞爾委員會制定資本要求的轉換系數;在度量損失的分布時,主要利用統計和精算技術。商業銀行應通過數據庫將威脅發生的頻率、威脅所造成的影響等精確記錄下來,利用現有的度量方法進行精確的風險定量分析的嘗試。
(三)將商業銀行電子商務安全風險納入商業銀行總體風險管理范疇
關鍵詞:商業銀行;電子商務;風險管理
商業銀行從事金融業務面臨著市場風險、信用風險、以及操作風險等,而電子商務的出現則加劇了上述各類風險發生的可能性以及風險發生之后的破壞程度。2004年以來,我國面臨的網絡仿冒威脅正在逐漸加大,仿冒對象主要是金融網站和電子商務網站。2005年上半年共收到網絡安全事件報告65679件,超過2004年全年案件數,商業銀行電子商務安全風險管理策略已成為理論與實踐中必須重視的課題。
一、信息安全管理的策略大體遵循事件驅動(技術和管理脫節)-逐漸標準化(技術和管理逐漸結合)——安全風險管理(引入了風險分析)的發展路徑。
(一)以事件驅動的初級階段時期
19世紀70年代安全主要是指物理設備和環境的安全,人與計算機之間的交互主要局限在大型計算機上的啞終端,安全問題只涉及能訪問終端的少數人。安全管理策略處于初級階段,由事件驅動,沒有形成規范的管理流程。在此階段的前期,只重視技術手段。后期開始重視管理手段,但是技術和管理之間脫節。許多組織對信息安全制定了相應的規章和制度,但組織的信息安全管理基本上還處在一種靜態、局部、少數人負責、突擊式、事后糾正式的管理方式。
(二)標準化時期
企業開始將安全問題作為整體考慮,形成一套較為完整的安全管理策略,其中包括了安全管理的技術手段和管理制度(或稱運作管理)。幾乎所有從事電子商務的企業都擁有自己的安全策略,內容也包括了技術手段、安全管理制度、人員安全教育等等,基本上形成體系,技術和管理手段綜合統一,但是安全風險分析還存在不足之處。
(三)安全風險管理策略時期
隨著電子商務安全管理發展到一個比較高的層次,安全管理策略也演進到安全風險管理階段。主要特點如下:
1.安全風險管理成為主流趨勢;在安全管理策略的演進過程中,技術和管理手段綜合統
一、又融入了風險管理的分析、防范策略,從而安全管理進入了安全風險管理時期。西方商業銀行已對安全風險管理形成共識。如安氏公司(is—One),認為信息安全問題最終將歸結為風險管理問題,風險管理方法是建立良性的安全技術和管理體系的依據和基礎。
2.安全風險管理的國際標準和各國的規范逐漸形成并趨于完善。國際上關于安全風險管理的標準有巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》、英國標準協會制訂的BS7799等。各國也日益重視安全風險管理,制定了許多規范。例如美國貨幣監理署(OCC)的《電子銀行最終規則》、香港金融管理局的《電子銀行服務的安全風險管理》等。中國銀行業監督管理委員也于2006年頒布了《電子銀行業務管理辦法》,對國內企業的電子商務安全風險管理給出了指導意見。
3.利用外部專業化機構對金融機構的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術風險,在相當程度上取決于采用的信息技術的先進程度,系統的設計開發水平,以及相關設施設備及其供應商的選擇等;銀行依靠傳統的風險管理機制已很難識別、監測、控制和管理相關風險。同樣,監管機構也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監控。因此,大部分國家都采用了依靠外部專業化機構定期對電子銀行安全性進行評估的辦法,加強對電子銀行安全性和技術風險的管理和監管。
4.在許多國家信息系統審計(IsAudit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。業界的IT風險分析師也成為一種職業,專門從事電子商務的安全風險工作,從經濟學的角度出發分析風險,充分衡量保持安全的代價和收益之間的關系,尋求用最小的代價實現最大的效用,在風險分析中也形成一套較為成熟的模式。
二、我國商業銀行電子商務安全風險管理策略的薄弱點
(一)系統管理思想缺乏
目前的電子商務安全風險管理策略,在全局上缺乏系統論理論的指導,在實際操作中受到多種多樣的安全攻擊時會不可避免地出現安全漏洞,無法形成一張全面有序的安全網絡。
實踐中被采用的安全風險管理策略,以及作為指導意見的規則規范,如《信息安全管理實務準則》(IS017799)、《信息技術安全性評估準則》(GB/T18336.1)、巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》,盡管提出了比較全面的安全風險管理方案,層次上也比較清晰,但是還不足以作為一個風險防范系統。實踐中,電子商務組織是一個復雜的系統組織,電子商務的安全風險管理體系和過程也是個復雜的系統。系統論、控制論的思想在電子商務安全風險管理中是不可或缺的。
(二)風險分析的模型與方法不成熟,定量分析不足
電子商務模式自身的發展歷史也不過20幾年,在風險分析的定量技術上并不成熟;如BS7799中推薦的電子商務安全風險管理中實施風險評估時,往往將威脅發生的可能性定性劃分為幾個級別,將威脅所造成的影響也定性劃分為1~5級,實質上是將一些按照概率發生的事件定義為不連續的幾個級別,在操作上易行,但造成了度量的不精確。在進行監控和審計之后,也存在無法量化、對比的問題。
(三)忽視與原有的傳統風險管理策略的結合
本質上,電子商務的安全風險無非是新興的商業模式對傳統的風險的改變,以及產生的在傳統風險控制領域暫時無法明晰的新風險;現有管理策略只從信息技術的角度、或者從偏重技術的角度看待問題,站在金融領域本身來分析研究較少。這種狀況導致了對電子商務安全風險管理的研究無法立足于一個比較高的層次;忽略了風險的整體性,只進行偏信息和技術的研究,導致了現有的電子商務安全風險管理策略與金融機構原有的傳統業務風險管理策略存在差距。對于商業銀行而言,傳統金融業務的風險控制與電子商務的技術風險控制,兩個方面存在脫節,同樣屬于商業銀行的風險,存在著不同的管理策略,導致多頭管理、資源浪費、機構之間的扯皮,乃至缺位管理。
(四)風險管理策略無法依賴外部的信息安全管理行業
在發達國家,信息系統審計(IsAudit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。IT風險分析師也成為一種職業,專門從事電子商務的安全風險工作。商業銀行采用依靠外部專業化機構定期對電子銀行的安全性進行評估的辦法,提高對電子銀行安全性和技術風險的管理和監管。而國內初步建立了國家信息安全組織保障體系,制定和引進了一批重要的信息安全管理標準、法律法規,風險評估工作得到了一定重視,但與發達國家成熟完善的外部信息安全管理行業仍有很大差距。
(五)風險管理策略中商業銀行的內部風險控制能力薄弱
我國商業銀行目前均建立起統一的風險管理部門;但風險控制部門的職能、權限與花旗銀行等體制較為先進的銀行相比仍然存在較大差距,風險控制實質上仍然分散在各個子部門;風險的評估、防范與控制實質上完全依靠商業銀行的電子交易部門;風險管理部門、內審稽核部門實質上無法控制電子商務安全風險。例如,風險管理部門接受了電子交易部的風險控制報告,表面上履行的內控審核的流程,但審核作用有限,無法完成電子商務安全風險管理中的監控與審計環節。
三、商業銀行的電子商務安全風險管理策略的改進建議
(一)基于系統的思想構建商業銀行電子商務安全風險管理策略框架
利用系統理論作為總體的指導思想,將電子商務安全風險管理策略本身當作一個開放的自適應系統。將商業銀行電子商務安全風險管理中的各個環節組成循環上升的系統。
在商業銀行電子商務安全風險控制的流程中,經過信息安全的風險評估、資產識別和選擇、實施控制降低風險的措施、將風險控制在可接受的范圍內,然后進行監控和審計;尤其重要的是把監控和審計所得到的內容作為新一輪風險分析輸入,從而開始新一輪的風險管理過程。商業銀行電子商務安全風險管理的各個步驟為動態的循環系統。每完成一個循環,安全風險管理的有效性就上一個臺階,商業銀行的安全管理水平變得到了提高。新晨
(二)電子商務安全風險管理中定量分析中的改進思路
商業銀行可以借鑒成熟的傳統金融風險度量中的一些方法來改變電子商務安全風險管理中對資產進行粗略的優先級別排序的方法。實踐中,商業銀行對操作風險的管理與對電子商務安全風險管理有其相似之處。巴塞爾委員會對商業銀行的操作風險的內部計量法中規定,商業銀行內部估計風險敞口指標、損失事件發生的概率、風險損失,巴塞爾委員會制定資本要求的轉換系數;在度量損失的分布時,主要利用統計和精算技術。商業銀行應通過數據庫將威脅發生的頻率、威脅所造成的影響等精確記錄下來,利用現有的度量方法進行精確的風險定量分析的嘗試。
(三)將商業銀行電子商務安全風險納入商業銀行總體風險管理范疇
一、電子商務出現安全問題的原因
電子商務出現安全問題的原因是多方面,主要有以下幾種:
1、企業管理缺乏對于人員管理的認識。
如今,很多企業都認為電子商務僅僅在于技術而非人員管理,因此,企業在管理當中也會自覺地把電子商務當做一項技術來研究管理,缺乏對于企業內?a href="xuexila.com/yangsheng/kesou/" target="_blank">咳嗽鋇南低徹芾恚皇墻屑際豕タ死唇邪踩喙堋R虼耍壞┢笠搗⑸宋薹植溝木盟鶚保39討吹娜銜羌際醪還厝塹幕觶斐賞環⑹錄搗ⅰD殼埃詮芾淼敝忻揮幸桓魷嘍醞暾耐綣芾硐低癡饈悄贛怪靡傻模環⑹錄媸倍伎贍艽嬖冢虼耍踩芾?a href="xuexila.com/fanwen/cuoshi/" target="_blank">措施就必須要管理到電子商務的每一個角落和環節當中,只有是人與與技術相結合,才能夠保證電子商務安全的進行下去。
2、企業規劃當中沒有詳細的考慮信息安全問題
在電子商務安全的管理當中,并不是僅僅依靠一個部分或幾個部門,而是整個企業的所有部門來維護和監管,雖然,各部門在職能的分工上各有不同,各有優勢也存在差異,但是信息安全是每個部門都必須要重視的事情。信息安全保障體系必須是各部門整體的協調統一,才能夠確保信息安全體系的有效管理。
3、企業缺乏相應的安全管理人力
企業在進行信息安全管理當中,很容易忽視對于信息安全管理的物質基礎,在信息管理當中人才是保障信息安全的重中之重,信息安全是一項技術性活,假如缺乏業務能力強并且具備信息安全網絡知識、技術、法律知識和管理能力的人才,就不可能把安全管理做好,電子商務安全管理就沒有保障,容易導致信息的丟失和安全的缺乏。
4、企業對人員關于信息安全的宣傳不到位
很多企業度忽視對于內部工作人員的信息安全的培訓,這樣就容易導致內部人員的信息安全意識薄弱,等不到企業安全管理的目的,因此就可能導致安全事故的發生,如今絕大部分的安全信息泄密事件都是由于參與網絡交易的人員信息安全意識的缺乏而發生的,這就是企業在安全管理上的疏忽造成經濟的損失。
二、電子商務安全管理體制的建議
網上交易安全管理必須采用較為綜合的管理思路,從技術考慮確保技術能夠跟得上時代的潮流,加強安全監管建立合法的管理制度,杜絕信息的泄密,對交易安全進行實時監控等等手段來保障安全,因此本文提出電子商務安全管理建議如下:
1、企業需提高網絡安全防范的意識
目前,很多國內的網站都存在網絡上的安全問題,主要是管理者沒有重視安全的監管,甚至一些企業認為自己的公司規模小不具備安全管理的經驗甚至是不需要進行安全的管理,因為不會成為黑客攻擊的目標,這樣的安全監管就無從談起。因此,不管是大企業還是小企業都需要樹立其安全管理的意識,定期舉辦安全信息培訓,只有是提高網絡安全的防范意識才能夠避免信息泄露的事故發生。
2、加強電子商務安全管理組織上的體系
電子商務安全管理最主要的是組織上需要更加的完善,因此需要建立行政指揮領導、技術人才管理、信息安全監管以及安全顧問等等的安全決策,而他們的職責是建立相對完整的組織機構,組織安全策略、分配安全職責并且定期檢查安全職責是否按時旅行等等。不僅如此,企業還需要建立起網絡安全員、管理員等等的安全執行機構,能夠負責網絡系統的安全策略和日常的安全運行維護檢查等。而安全顧問也必不可少,可以聘請安全專家負責提供安全的建議,尤其是在突發事故發生后,安全顧問就顯得特別重要,可以被安全決策機構負責事故的調查并且能夠提出相對合理的評估意見與建議等。
3、加強人員的安全管理意識
在網絡交易的時候大部分都是內部人員參與網絡交易,因此,他們更容易進行網絡犯罪,而他們在違法過程中比其他的違法人員具有更大的隱蔽性和高效性。因而企業需要加強人員的監管,可以先從人員的錄用上進行人員的甄選,在人員的錄用過程當中要簽署保密協議,當人員到期或者合同終止時也需要簽署保密協議。其次還可以對內部人員進行在崗培訓,建立起人員的安全意識,定期組織安全策略練習和規程方面的操作等。第三,還可以讓企業人員明確本崗位的安全政策和職責,對違反網絡交易的人員要進行相應的處罰,情節嚴重時可讓其承擔法律責任。[1]
4、企業需加強法律意識,并促進電子商務有法可依
如今,電子商務的發展越來越快速,企業也從電子商務的交易上獲得了巨大的經濟效益,但是在目前來看,我國卻沒有電子商務相對應的法律依據,這樣容易使得部分犯罪人員得不到相應的處罰,當然,我國也在電子商務的立法上逐漸的完善,但是到雖然在電子商務上信息安全取得了一些成績,卻總體來說法律依舊還是不健全的,對于電子商務的安全保護依舊是缺少,專門的法律還是比較的分散,并且法律的效率依舊還是不高,面對這樣的新型情況的突發,還是缺乏有力性和有效性,適應性相對較弱,因此,國家的對于電子商務的專門立法需要各個企業和國家的有關部門不斷地摸索,才能夠讓電子商務的立法環境得到良好的發展。[2]
三、結論
【論文摘要】計算機網絡的技術發展相當迅速。隨著互聯網上黑客病毒泛溢,網絡犯罪等威脅日益嚴重,網絡安全管理的任務將會越來越艱巨和復雜,抓好網絡安全問題對保障網絡信息安全至關重要。因此文章對電子商務網絡支付安全問題進行探討分析。
0引言
美國等發達國家,通過Internet進行電子商務的交易已成為潮流。隨著internet的發展和網絡基礎設施的不斷完善,我國的電子商務雖已初具規模,但是安全問題卻成為發展電子商務亟待解決的問題。電子商務過程中,買賣雙方是通過網絡聯系的,由于internet是開放性網絡,建立交易雙方的安全和信任關系較為困難,因此本文對電子商務網絡支付上的安全問題進行探討分析。
1電子商務的概念和特點
1)電子商務的概念:電子商務(Electronic Commerce)是通過電信網絡進行的生產、營銷、銷售、流通等活動,不僅是指基于因特網上的交易,而且還指利用電子信息技術實現解決問題、降低成本、增加價值、創造商機的商務活動[1]。
2)電子商務的特點:(1)電子商務將傳統的商務流程電子化、數字化。不僅以電子流代替了實物流,大量減少了人力物力,降低了成本;而且突破了時間空間的限制,使得交易活動可在任何時間、任何地點進行,大大提高了效率。(2)電子商務使企業能以較低成本進入全球電子化市場,也使中小企業可能擁有與大企業一樣的信息資源,提高了中小企業的競爭能力。(3)電子商務重新定義了傳統的流通模式,減少了中間環節,使得生產者和消費者的直接交易成為可能,從而一定程度上改變了社會經濟的運行方式。(4)電子商務提供了豐富的信息資源,為社會經濟要素的重新組合提供了更多的可能,這將影響到社會的經濟布局和結構。
2電子商務安全的技術體系
1)物理安全。首先根據國家標準、信息安全等級和資金狀況,制定適合的物理安全要求,并經建設和管理達到相關標準[2]。再者,關鍵的系統資源(包括主機、應用服務器、安全隔離網閘GAP等設備),通信電路以及物理介質(軟/硬磁盤、光盤、IC卡、PC卡等)、應有加密、電磁屏蔽等保護措施,均應放在物理上安全的地方。
2)網絡安全。網絡安全是電子商務的基礎。為了保證電子商務交易順利進行,要求電子商務平臺要穩定可靠,能夠不中斷地提供服務。系統的任何中斷(如硬件、軟件錯誤,網絡故障、病毒等)都可能導致電子商務系統不能正常工作,而使貿易數據在確定的時刻和地點的有效性得不到保證,往往會造成巨大的經濟損失。
3)商務安全。主要是指商務交易在網絡媒介中出現的安全問題,包括防止商務信息被竊取、篡改、偽造、交易行為被抵賴,即要實現電子商務的保密性、完整性、真實性、不可抵賴性。商務安全的各方面也要通過不同的網絡安全技術和安全交易標準實現,加解密技術保證了交易信息的保密性,也解決了用戶密碼被盜取的問題;數字簽名是實現對原始報文完整性的鑒別,它與身份認證和審查系統一起可杜絕交易的偽造和抵賴行為。保證電子商務安全的主要技術有:在線支付協議(安全套接層SSL協議和安全電子交易SET協議)、文件加密技術、數字簽名技術、電子商務認證中心(CA)。
4)系統安全。主要是保護主機上的操作系統與數據庫系統的安全。對于保護系統安全,總體思路是:通過安全加固,解決管理方面安全漏洞;然后采用安全技術設備,增強其安全防護能力。
3安全管理過程監督
3.1加強全過程的安全管理
1)網絡規劃階段,就要加強對信息安全建設和管理的規劃。信息安全建設需要投入一定的人力、物力、財力。要根據狀況實事求是地確定網絡的安全總體目標和階段目標、分段實施、降低投資風險。2)工程建設階段,建設管理單位要將安全需求的匯總和安全性能功能的測試,列入工程建設各個階段工作的重要內容,要加強對開發(實施)人員、版本控制的管理,要加強對開發環境、用戶路由設置、關鍵代碼的檢查[3]。3)在運行維護階段,要注意以下事項:(1)建立有效的安全管理組織架構,明確職責,理順流程,實施高效管理。(2)按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶帳號和密碼。(3)制定完善的安全管理制度,加強信息網的操作系統、數據庫、網絡設備、應用系統運行維護過程的安全管理。(4)要建立應急預察體系,建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現時便于跟蹤查詢,還要定期檢查日志,以便及時發現潛在的安全威脅。
3.2建立動態的閉環管理流程
網絡處于不斷地建設和調整中,可能發現新的安全漏洞,因此需要建立動態的、閉環的管理流程。要在整體安全策略的控制和指導下,通過安全評估和檢測工具(如漏洞掃描,入侵檢測等)及時了解網絡存在的安全問題和安全隱患,據此制定安全建設規劃和加固方案,綜合應用各種安全防護產品(如防火墻、身份認證等手段),將系統調整到相對安全的狀態。并要注意以下兩點:1)對于一個企業而言,安全策略是支付信息安全的核心,因此制定明確的有效的安全策略是非常重要的。安全組織要根據這個策略制定詳細的流程、規章制度、標準和安全建設規劃、方案,保證這些系列策略規范在整個企業范圍內貫徹實施,從而保護企業的投資和信息資源安全。2)要制定完善的、符合企業實際的信息安全策略,就須先對企業信息網的安全狀況進行評估,即對信息資產的安全技術和管理現狀進行評估,讓企業對自身面臨的安全威脅和問題有全面的了解,從而制定針對性的安全策略,指導信息安全的建設和管理工作。
4結束語
本文分析了目前電子商務網絡支付安全方面的主要技術狀況,安全技術可以說是網絡技術中較為尖端的技術,都是非常先進的技術手段;只要運用得當,配合相應的安全管理措施,基本能夠保證電子商務中網絡支付的安全;但不是100%的絕對安全,而是相對安全。隨著網絡安全技術的進步與信用機制的完善,網絡支付定會越來越安全。
參考文獻
[1]柯新生.網絡支付與結算[M].北京:電子工業出版社,2004.
電子信息安全管理防范意識管理質量近些年來,我國計算機網絡技術異乎尋常地突飛猛進,把人們帶入了前所未有的信息化時代,網絡和人們息息相關,無論工作、學習、生活、購物乃至娛樂與游戲,一刻也離不開網絡的支持。信息化和網絡化時代,電子商務(Electronic Commerce)應運而生。隨著電子商務的出現,人們的交流更加便利,比如電子郵件可以隨時隨地地進行傳遞,電子商務讓人們的生活更加隨心所欲,工作效率得到了前所未有的提高。黑客(hacker)的出現,極大地干擾了網絡,帶來了一定的破壞,給人們帶來了巨大的經濟損失和精神方面的憂慮,甚至一度引起全世界范圍內的恐慌,人們對電子信息失去了信任,即使在安全的情況下,很多人依然心有余悸。以故,加強電子信息安全管理勢在必然。
一、電子信息安全管理中存在的問題
1.安全防范意識落后
我國的信息技術迅猛發展,人們沉浸在便利的喜悅中,忽略了安全管理。由于電子商務處于初步發展階段,很多技術方面尚不成熟,一些高標準的電子商務平臺尚還沒有搭建起來,對黑客缺乏防御的小型電子商務平臺雖然隨處可見,但其缺乏有效的安全管理,經營者麻痹大意,心存僥幸,認為“黑客”雖然存在,但是自身未必遭受攻擊,他們更多地關注業務的發展,重視平臺規模的擴大和系統功能的開發。在這種情況下,系統缺乏安全防御,一旦受到攻擊,立即癱瘓不能運轉和造成損失。此外,有些管理者為了防御黑客,在市場上購買了一些大眾化的安全管理軟件,便覺得安裝了這些“高新”產品,就會高枕無憂,永遠安全的使用電子商務。結果,常常事與愿違,造成巨大的損失。
2.信息安全技術匱乏
經過一段時間的努力,國內的信息安全管理技術不斷提升,連續邁上新的臺階,情況喜人。但是,我們也要有自知之明,因為和許多西方國家相比,信息安全防御與控制技術相對落后很多,并且,我們在經費的投入方面,有明顯的差距;自主研發技術存在的不足之處多多,亟需改善。我們更要清楚的一點是:我們的技術,很多都是借鑒國外的經驗,缺乏獨創。如此步人后塵,電子信息安全管理質量難以有質的突破。
3.信息安全產品鑒定混亂無序
為了安全起見,很多企業花費不菲,購買了一些安全方面的軟件,殊不知,這些產品在一般情況下,確實能夠起到電子信息使用平臺的安全作用,但如果病毒強大,絕對的安全便難以保證。縱觀市場上的安全軟件產品,良莠不齊,并且,目前市場上對于安全產品的鑒定沒有統一標準,各執一說,很多都是主觀判斷,由此產生隱患。
二、電子信息安全管理的有效措施
在電子信息安全管理方面,一旦出現問題,就會造成損失,一些企業“吃一塹長一智”,采取了相關措施,不過,調查表明,大多數企業存在“重技術,輕管理”的情況,而且由于一些企業尚未造成重大損失,管理層對安全問題漠不關心,或重視不夠。下面針對加強電子信息安全管理的主要措施做一探討。
1.構建完善的管理組織機構,加強管理
電子信息安全管理組織機構的完善有力地促進了企業的發展,從安全決策到認真執行,層層構架,發揮職能。管理框架的構建要集思廣益,審慎剴切;安全制度的審批須一絲不茍,審查入微;安全職責的分配必須認真到位,監督有力;遵照網絡系統安全制度,嚴肅執行,進行網絡系統的日常維護。如屬于大型的電子商務平臺或者集團企業,更加需要增加投入,比如聘請有造詣的專家成立顧問組織,以便企業進行疑難咨詢,或是參照出現的問題出列解決方案,爾后進一步對責任進行調查、評估。
2.電子信息安全管理制度有待進一步完善
電子信息安全管理制度主要包括兩方面的內容,第一點就是構建電子信息控制制度,第二點是出現問題之后的解決策略。關于第一點,需要明確責任,注重細節,出現任何情況都要嚴格審核,并且定期檢查;至于第二點,注意信息傳遞過程中的信息維護,密切跟蹤,及時報告,達到有效監督。最后,備份數據文件儲存。
3.專業亟待提升
互聯網的發展突飛猛進,普及千家萬戶,安全技術的研發相對于互聯網的發展遠遠落后,原因諸多,最重要的一點就是缺乏過硬的技術人員。一般而言,電子商務規模越大,電子信息安全管理隊伍的陣容也要隨之擴充,只有電子信息安全管理隊伍強大,才能夠產生無窮的智慧與應對措施,保證電子商務平臺的安全。
4.系統安全檢測
黑客一詞被用于泛指那些專門利用電腦網絡和系統安全漏洞對網絡進行攻擊破壞或竊取資料的人。病毒與黑客不斷變換手段,頻頻對電子商務系統采取攻擊行動,有時候能導致整個系統癱瘓。出現意外情況,要立即檢測,要經常更換密碼,設置復雜一些的密碼,要經常對防火墻進行檢查,系統功能是否保持,是否出現漏洞等,要細致入微,不能有一絲一毫的疏忽,嚴防黑客侵入。
5.建立保護系統的方案
時常進行安全檢測,一旦系統的安全檢測失靈,必須立即建立系統安全防護措施。系統安全管理極其復雜,缺乏安全可靠的保護,電子商務在網絡平臺失去有效的依靠,隨時會出現漏洞。反之,安全策略嚴謹,防護得力,即便系統遭受攻擊,也會及時發現,能將損失最小化。
6.管理培訓的重要性
防護系統的工作人員,要進行考試錄用、上崗培訓,企業經常進行人員培訓,定期學習安全策略和規章制度。讓每一個員工加強安全觀念,提升對信息安全的重視,認識到防護的重要性,堅守崗位,忠于職守,明了企業安全規章制度的含義。
三、結語
綜上所述,近年來經濟騰飛,經濟全球化進程不斷加快,計算機技術無所不在,網絡暢通無極,人們在網絡平臺上進行商務管理、學習、游戲、查找資料、購物匯款等等,網絡信息交互平臺已經深入大家的生活,人們已經一日不可沒有網絡的存在。網絡如此不可或缺,隨著計算機病毒造成的一次次的損失,人們對電子信息安全管理質量憂心忡忡。
在這一背景下,很多電子信息安全管理研究機構紛紛推出各類電子信息安全管理產品,盡管其對確保信息安全起到了一定的功效,但是,一切并不是萬能的。這也使得人們明白了技術產品并不僅僅是安全管理工作的全部。本文結合當前電子信息安全管理現狀,提出了一些相應的應對措施,希望能夠有效提升電子信息安全管理的質量。
參考文獻:
[1]姚帝曉.電子商務安全問題的思考[J].商場現代化,2006,(7):103.
[關鍵詞] J2EE 電子商務 安全架構
一、背景介紹
隨著網絡應用的發展,電子商務作為一種新的商務系統得到了廣泛的應用。目前電子商務的使用越來越廣,電子商務的安全性成為人們關注的焦點。事實上,電子商務由于黑客的入侵,系統存在的安全漏洞而造成各方面的損失的報道也屢見不鮮。因此,電子商務的開發設計必須要把安全作為應用系統的一個重要的方面加入到電子商務系統的開發的整體設計中來。
當前電子商務應用的主流開發技術則是以J2EE為主,J2EE(Java 2 Platform Enterprise Edition)是美國Sun公司推出的多層企業應用開發模型。J2EE簡化了基于工業標準的、組件化的企業應用開發,提供了一套完整的企業應用的開發框架和服務的支持。由于J2EE完善和靈活的框架設計、強大服務支持等優點,使其迅速成為電子商務應用系統開發的主流技術。本文則主要介紹了如何在基于J2EE的電子商務系統設計中加入安全架構的設計,并介紹了安全架構設計中的一些概念和實現技術。
二、電子商務的安全架構及其概念
電子商務的安全架構的根本目標是為了實現對用戶訪問系統和使用系統資源進行控制,達到合法用戶合法使用系統的目的,因此在電子商務中采用的安全架構一般涉及到以下幾個概念:
1.合法用戶:合法用戶是指通過驗證的,擁有一定系統使用權限的用戶。當一個用戶進入系統時,只要通過驗證后才可以獲得進入系統的資格和使用系統的權限。
2.角色:由于一個電子商務系統可能對不同的用戶給予不同的權限。如果對每個用戶都要進行權限的設置,這樣的做法顯然是不合理的,因此在電子商務系統中一般將相同使用權限的用戶歸并成一類,稱之為角色,相同的角色擁有相同的系統使用權限。
3.安全域:是一個邏輯范圍或區域,在這一范圍或區域中安全服務的管理員定義和實施通用的安全策略。它是比角色更高的層的抽象。一個組織可以劃分成眾多的安全域,而一個安全域中可以包含眾多的角色。
4.資源:泛指電子商務系統中可以被用戶使用,訪問的有價值信息。比如說報價系統,訂單系統等都屬于電子商務系統的資源。
5.映射:映射是電子商務將一個合法用戶與系統內的某個角色相關聯的動作,從而該合法用戶即擁有對應角色的系統使用權限。一個用戶可以在不同的策略配置下對應不同的角色,達到實現系統用戶權限管理的靈活性。
以上述的概念可知,一個組織的電子商務系統的安全架構可以首先看成是由安全域組成的,每個安全域內包含了眾多的角色和資源。用戶通過驗證后進入系統,即根據其所屬安全域的安全配置策略被映射到其對應的角色上,從而擁有該角色使用系統的權限。
三、電子商務的安全架構設計
1.用戶身份驗證:用戶身份認證是用戶進入系統的第一步,也是系統安全性保障的基本前提,用戶身份驗證有很多種方式和實現技術,就J2EE而言,主要有通過WEB客戶端來實現對用戶的身份驗證和基于應用程序客戶端驗證兩種方式, J2EE中提供了三種基于WEB客戶端的用戶身份驗證技術,主要有HTTP基本驗證,基于表單的驗證,基于客戶端證書的驗證。而利用基于應用程序客戶端驗證的方式,這種方式主要是通過應用程序客戶端在運行前由其應用程序客戶端容器來完成驗證過程。
2.安全域的劃分:安全域涉及到更高抽象層的安全策略的配置,因此安全域的劃分一般是依據電子商務系統用戶所屬組織的結構來劃分。
3.用戶角色設置主要是根據用戶使用系統的需求來進行設置,將相同使用權限需求的用戶歸并為一類,設置成相同的角色。并針對該角色依據最小有限使用權限的原則配置該角色在系統中的使用權限。最后根據角色和權限配置,再結合實際的使用情況設置詳細的安全管理策略。
4.以上第二、第三步驟主要集中在電子商務的安全管理邏輯設計,當邏輯設計完成后,就需要將邏輯的安全管理規則在電子商務系統中予以實現,在電子商務系統中加入安全管理功能模塊。具有的實現方式有多種,以下本文將簡要說明在電子商務應用系統中加入用戶權限控制的過程和方法。
四、應用舉例
在J2EE的架構中實現對用戶訪問權限的控制主要有二種實現方式:一種是通過SESSION對象來實現,即當用戶通過身份驗證后,為用戶建立一個SESSION對象用以記錄用戶的角色,以及權限,當用戶訪問系統中的資源時,首先對用戶的SESSION對象中的用戶角色權限進行審計。如果用戶的角色擁有訪問該資源的權限,則允許其訪問資源,否則拒絕;另一種方式則是通過對WEB應用容器進行設置來實現的。以TOMCAT為例,它可以用其WEB.XML配置文件進行配置,該配置文件實質上是定義的三元組,在該配置文件將系統的資源定義成用戶角色將要訪問的頁面集合,并將相關的頁面資源進行合并,也可以通過通用匹配符來表示成WEB資源集合,然后根據安全策略的設置,定義針對該集合允許訪問的角色集合,在集合中定義允許訪問的用戶角色,最后是說明角色的驗證方式,指出用戶的角色名和其所屬的安全域。對TOMCAT配置完成后,則可以由TOMCAT容器來實現對用戶訪問資源的控制。
從兩種方式對比來看,第一種方式應該說安全策略的配置粒度更細,而且訪問權限的控制能力也更強些,但是模塊的功能設計復雜而靈活性也會受一定的影響,后一種方式直接在WEB容器中配置安全策略,實現方便,靈活性也高,但是功能則會受限制。因而其更適合一些小型的應用。
參考文獻:
【關鍵詞】電子商務 病毒入侵 黑客攻擊 信息安全
在互聯網信息技術飛速發展的大背景下,電子商務(簡稱EC,英文為Electronic Commerce)已逐步演變成人們慣用的商務活動模式,從事互聯網商業活動的人越來越多。與傳統商務活動對比,在B/S方式下運轉,兩大主體完成商品交易不受時間和空間的限制,這也是電子商務是最大特點。
現如今,我國正處于網絡經濟蓬勃發展的黃金時代,各個領域中電子商務的普及度較高。新型的商業活動形式建立在網絡的基礎上,保證了商業活動的便捷性和高效性。不過電子商務在對企業運管效率進一步提升的同時,使企業的面臨著病毒侵入、黑客攻擊、信息抵賴等問題,導致企業蒙受巨大虧損。所以,高度關注安全問題,才能保證電子商務平臺利用率提高。本論文以有關電子商務環境為切入點,對展開電子商務活動中出現的信息安全問題進行分析,并給出對應的方法和策略。
1 電子商務中網絡信息安全所存在的問題
1.1 電子商務網絡存在的問題
1.1.1 黑客攻擊
黑客對網絡進行攻擊是以偷取商業機要和攪擾系統正常運轉為目的,以下是常見的攻擊策略:竊聽;重發攻擊;迂回攻擊;假冒攻擊;越權攻擊等。
1.1.2 系統漏洞
侵入到電商系統人員以系統自身存在的安全漏洞為據,將操作系統數據的權限得到。然而,管理系統未實時打補丁或者在設置安全方面一直選取默認設置等原因造成系統產生漏洞。
1.2 電子商務信息存在的問題
1.2.1 電子商務信息存儲安全隱患
在靜態時儲存電商信息的安全即信息儲存安全。其信息安全隱患主要包括:篡改信息內容和非授權調用信息。
1.2.2 電子商務信息傳輸安全隱患
在運轉電子商務時,資金流、物流匯集成信息流之后傳送流程中的安全即信息傳送安全。它主要涵蓋以下四種安全隱患:
(1)盜取商業機密。大部分是以明文的形式來傳送電子商務信息,那么襲擊網絡的不法分子就極易截取或者監聽電商信息;
(2)對商務網站施以攻擊。攻擊者運用計算機病毒傳送,屏蔽掉電商網站設置的防火墻,更改信息,使網站癱瘓;
(3)實行商務欺詐。非法人員將虛假信息到Internet上去,詐騙現金、賬號,導致用戶信任電子商務活動的信賴度降低,在很大程度上對電子商務順利開展起阻礙作用;
(4)不良信息的傳送。非法人員為了實現自己的目標,把不良信息滲透到電子商務信息中。
2 應對電子商務中信息安全問題的對策
2.1 提高網絡信息安全意識
相比于西方l達國家,國內用戶網絡信息安全意識薄弱,忽視了自我權益的保護。再加上我國尚未建立完善的網絡信息安全監管機制,出現安全事件之后無法及時采取相應的補救措施,這些都是威脅信息安全的主要因素。故此,在信息安全中,防范人為因素導致信息非安全問題是重要內容。解決這一問題的關鍵在于為從事電子商務的用戶展開安全知識培訓活動,確保用戶充分認識信息安全的重要性,對信息安全常識了如指掌,進而降低電子商務中產生信息安全事件的幾率。
2.2 加強信息安全的技術防范
將來網絡安全技術會在計算機網絡所有層次中滲透,不過以電子商務安全防范技術為中心的網絡技術成為最近幾年研究的重要方向。以我國電子商務出現的安全問題為依據,可采取防火墻、虛擬專用網及認證、加密、安全審計、追蹤黑客、檢測系統漏洞等技術應對信息安全。另外還可以將加密路由器、翻譯網絡地址、動態包過濾、VPN等技術充分運用起來,確保構建一系列嚴實的安全防線將受保護資源與攻擊人員隔開。
2.3 強化網絡信息安全管理
信息安全管理在我國來說十分薄弱,面臨著管理能力弱且信息安全意識極其欠缺的問題。政府授權的第三方認證中心構建是電商信息安全管理中形式有效的一個方式,即用該認證中心來負責電子商務交易中的兩者主體的信息安全,保證整個交易流程的安全性和可靠性。
2.4 完善電子商務立法與信息安全立法
當前,我國正處于電子商務信息機制初級階段,只有在信用法制建設深入強化的大環境中,才能確保信息機制最大限度的施展其能力。故此,應當以國內電子商務安全問題為依據,不但要使現行法律的管理范疇擴大和加強,還要加大信息安全與電子商務立法的力度。另外還應當對第三方信用保證進行設置并使其得到強化,務必由商務、商檢認證中心、銀行共同協作才可確保交易不受阻礙。
3 結束語
本文以電子商務信息安全有關環境為切入點,對電商中出現的網信問題進行探析,并將用戶網信安全意識增強、加大網信安全管理力度、加大防范信息安全技術應用力度、健全信息安全和電子商務立法這四種策略,以期解決電子商務中出現的安全問題。電子商務安全性是一項龐大、系統的工程,要從技術和法律上加大保護力度,只有將電商中出現的所有安全問題一并處理好才能使電子商務更好的服務于用戶。
參考文獻
[1]田迎華,楊敬松,周敏.3G時代移動電子商務安全問題研究[J].情報科學,2010(10):1487-1490.
[2]王立萍.商業銀行電子商務安全風險管理研究[J].中南財經政法大學學報,2007(01):75-79+144.
[3]張濱,馮運波,吳秦建,江為強,喬矗王馨裕,楊明,何鵬.移動電子商務安全技術與應用實踐[J].通信學報,2016(04):200.
[4]孫鴻飛,張海濤,宋拓,武慧娟.電子商務個性化信息服務用戶滿意影響因素實證研究[J].情報雜志,2016(04):195-203.
[5]何培育.電子商務環境下個人信息安全危機與法律保護對策探析[J].河北法學,2014(08):34-41.
[6]王興泉,張寧.移動電子商務時代的信息安全與信息保護[J].蘭州學刊,2014(12):175-180.
[7]姚梅芳,楊修,楊涵.電子商務環境下信息管理模式研究[J].圖書情報工作,2013(05):46-49.
關鍵詞:電子商務;風險;安全管理
【中圖分類號】G642
一、電子商務發展中面臨的風險
互聯網正在改變全球經濟,電子商務向人們展示了“快、便、省”的優勢。例如在美國,傳統的銀行系統每一筆交易的平均成本1.8美元,而采用網上交易,每筆交易的成本將減少到0.13美元,成本降低83%。通過網絡可以突破空間及時間的障礙,接觸到網絡世界中大量網絡消費者及企業,可以降低信息處理成本,壓縮供應鏈等。但是電子商務與其它新生事物一樣,在帶來巨大機遇的同時,也存在著許多風險。
1.電子商務風險的類型
電子商務是一種新的經濟形式,既存在高收益又存在高風險。電子商務中常見的風險可分為技術風險、金融與支付風險、稅收風險、人才與培養、政策法規風險和競爭風險。
(1)技術風險
電子商務中一個突出問題就是“安全”問題,包括交易安全、認證安全、數據加密、支付安全等,還有就是網站的安全問題,如何抵抗黑客在破壞;此外電子商務還缺乏全球性的技術標準,在互操作問題上,容易受制于不同的廠商。因此,構建電子商務相應的安全、高效、通用的平臺十分重要。
(2)金融與支付風險
金融電子化可以在短時間完成較大規模的資金調動,若國家新的有關立法跟不上,政府就可能對此失去控制,面臨新的金融風暴的風險。另一個方面就是支付風險,即支付安全問題。
(3)稅收風險
為鼓勵電子商務的發展,我國規定兩年內不對網上電子商務進行征稅,而美國政府更是一直堅持因特網上的交易是一個免稅區。
(4)人才與培養風險
電子商務的發展需要大量計算機人才和網絡經濟商務人才以及相關復合人才,我國在這方面的人才較為欠缺,而且新經濟時代的發展是迅速的,特別在我國的發展必將是跳躍性的,人才就可能成為制約發展的因素之一。
(5)政策法規風險
電子商務的發展如同網絡的發展一樣是非常快的,與之相比國家有關管理部門的政策、法規的制定不可避免的存在滯后的可能,使得新興的電子商務發展可能處于缺乏保障的地位,而且電子商務中個性化特點日趨突出,給政策、法規的制定也提高了難度。
(6)競爭風險
我國目前網絡發展迅速,但與國際發達國家相比基礎薄弱、發展滯后、投入有限、國民上網率低,這是與我國目前的經濟發展水平相一致的。因此電子商務的發展將同時面臨國外大公司、企業的競爭,還要面對傳統商務與之的競爭。
2.電子商務的風險特征
電子商務中出現的風險,雖然多為傳統經濟中所固有,但它無論在表現形式、強烈程度還是影響范圍上與傳統經濟中的風險都不相同。概括起來說,電子商務風險具有全球性、傳染性、成長性、隱蔽性、復雜性等重要特征。
(1)全球性
電子商務風險具有全球性特征。風險既可能來自國內,也可能來自世界任何一個地方:其根源在于電子商務的虛擬性。四通八達的通訊網絡,把世界各地都緊緊地聯系在一起。
(2)傳染性
電子商務風險可以在全球范圍內迅速傳播,具有很強的傳染性和廣泛的影響力,使人們很難進行有效防范。實時性和交互性是電子商務的兩個基本特征。一旦風險產生,它就會借助信息的實時傳遞和市場交易主體之間的交互關系而迅速擴散。
(3)成長性
在一定條件下,電子商務風險會迅速成長和壯大,具有一股強大的、摧毀一切的力量。這種異乎尋常的成長性,來自于電子商務中所特有的不穩定均衡和正反饋效應。
(4)隱蔽性
電子商務風險具有很強的隱蔽性。風險初起時可能不大容易覺察,當風險變得清晰可辨時,危機就無法避免了。這種隱蔽性,來自信息的非對稱性。
(5)復雜性
在電子商務中,風險不是單一的,而是綜合的。多種風險往往交叉在一起,它們相互影響和助長,使得風險防范的難度大大增加。
二、電子商務安全管理方法
電子商務的安全威脅主要來自:網絡物理設備的安全威脅、對網絡信息的安全威脅和“信用危機”等。那么,加快電子商務的基礎設施是當務之急,完善管理和技術防范是根本,強化監督是保障。
1.加快基礎設施建設
計算機系統、網絡通信設備、網絡通信線路、網絡服務器等設備,在靜電、電磁泄漏和意外事故等情況下會造成數據的丟失,機密信息泄漏。所以,加快電子商務的基礎設施建設,選擇高性能的網絡設備,建設安全、便捷的電子商務應用環境,才能為電子商務交易的信息提供硬件保障。
2.實施技術防范措施
電子商務的運作涉及資金安全、信息安全、貨物安全、商業秘密等多方面的安全問題,任何一點漏洞都可能導致大量資金流失。而這些安全首先是對信息技術的依賴。目前,防火墻技術、電子簽名和安全認證,成為電子商務比較成熟的技術安全措施。
3.健全管理與控制
在電子商務環境下,企業面對一個全新的網上空間,交易信息以光速在網上傳遞,使得對內部控制制度的依賴性增大。由于電子商務企業一般都是新興企業,管理制度、管理手段沒有傳統企業成熟、嚴密,加上一些電子商務企業一般更注重技術創新而非管理。因而,電子商務建立先進的管理與控制更為迫切。
4.健全法制,倡導誠信
1996年聯合國貿易法委員會制訂了《聯合國國際貿易法委員會電子商務示范法》,2005年初,國務院頒發了《加強電子商務的若干意見》,2005年4月1日開始正式實施的《電子簽名法》,對我國正在興起的電子商務給予了強有力的法律支持,為我國電子商務安全認證體系和網絡信任體系的建立奠定了基礎。但是,網絡環境中的誠信問題不是僅僅靠《電子簽名法》所能夠解決的,要想根本鏟除互聯網交易中的種種弊端,歸根到底要靠安全認證和行業的自律。所以,倡導誠信,維護消費者合法權益,是推動我國電子商務健康發展的內在因素。
三、結論
電子商務在給我們帶來廣泛的機遇的同時,也給我們帶來了新的風險。電子商務安全管理無疑是規避這些風險的利器,我們在注重電子商務安全管理過程的同時,還應結合電子商務的特性,制定一套適合電子商務安全管理的策略,這樣我們才能將電子商務的風險減少到最小。
參考文獻:
