时间:2023-04-23 15:12:58
导语:在电子商务安全论文的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
论文摘要:随着互联网技术的蓬勃发展,基于网络和多媒体技术的电子商务应运而生并迅速发展。所谓电子商务通常是指是在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网土购物、商户之间的网交易和在线电子支付以及各种商务活动和相关的综合服务活动的一种新型的商业运营模式。信息技术和计算机网络的迅猛发展使电子商务得到了极大的推厂,然而由于互联网的开放性,网络安全问题日益成为制约电子商务发展的一个关键性问题。
一、电子商务网络信息安全存在的问题
电子商务的前提是信息的安全性保障,信息安全,胜的含义主要是信息的完整性、可用性、保密险和可靠性。因此电子商务活动中的信安全问题主要体现在以两个方面:
1、网络信息安全方面
(l)安全协议问题。目前安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
(3)防病毒问题。互联网的出现为电脑病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,在电子商务领域如何有效防范病毒也是一个十分紧迫的问题。
(4)服务器的安全问题。装有大量与电子商务有关的软件和商户信息的系统服务器是电子商务的核心,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果会非常严重。
2、电子商务交易方面
(1)身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的身份与他人进行交易。
(2)交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
(3)交易的修改问题。交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公正。
二、电子商务中的网络信息安全对策
1、电子商务网络安全的技术对策
(1)应用数字签名。数字签名是用来保证信息传输过程中信息的完整和提供信息发送者身份的认证,应用数字签名可在电子商务中安全,方便地实现在线支付,而数据传输的安全性、完整性,身份验证机制以及交易的不可抵赖性等均可通过电子签名的安全认证手段加以解决。(2)配置防火墙。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。它能控制网络内外的信息交流,提供接人控制和审查跟踪,是一种访问控制机制。在逻辑,防火墙是一个分离器、限制器,能有效监控内部网和工nternet之间的任何活动,保证内部网络的安全。
(3)应用加密技术。密钥加密技术的密码体制分为对称密钥体制和公用密钥体制两。相应地,对数据加密的技术分为对称加密和非讨称力日密两类。根据电子商务系统的特点,全面加密保护应包括对远程通信过程中和网内通信过程中传输的数据实施加密保护。一般来说,应根据管理级别所对应的数据保密要求进行部分加密而非全程加密。
2、电子商务网络安全的管理策略
(1)建立保密制度。涉及信息保密、口令或密码保密、通信地址保密、日常管理和系统运行状况保密、工作日记保密等各个方面。对各类保密都需要慎重考虑,根据轻重程度划分好不同的保密级别,并制定出相应的保密措施。
(2)建立系统维护制度。该制度是电子商务网络系统能否保持长期安全、稳定运行的基本保证,应由专职网络管理技术人员承担,为安全起见,其他任何人不得介人,主要做好硬件系统日常借理维护和软件系统日常管理维护两方面的工作。
(3)建立病毒防范制度。病毒在网络环境下具有极大的传染性和危害性,除了安装防病毒软件之外,还要及时升级防病毒软件版本、及时通报病毒人侵信息等工作。此外,还可将网络系统中易感染病毒的文件属性、权限加以限制,断绝病毒人侵的渠道,从而达预防的目的。
(4)建立数据备份和恢复的保障制度。作为一个成功的电子商务系统,应针对信息安全至少提供三个层面的安全保护措施:一是数据在操作系统内部或者盘阵中实现快照、镜像;二是对数据库及邮件服务器等重要数据做到在电子交易中心内的自动备份;三是对重要的数据做到通过广域网专线等途径做好数据的克隆备份,通过以土保护措施可为系统数据安全提供双保险。
三、电子商务的网络安全体系结构
电子商务的网络信息安全不仅与技术有关,更与社会因素、法制环境等多方面因素有关。故应对电子商务的网络安全体系结构划分如下:
1.电子商务系统硬件安全。主要是指保护电子商务系统所涉及计算机硬件的安全性,保证其可靠哇和为系统提供基础性作用的安全机制。
2.电子商务系统软件安全。主要是指保证交易记录及相关数据不被篡改、破坏与非法复制,系统软件安全的目标是使系统中信息的处理和传输满足整个系统安全策略需求。
3.电子商务系统运行安全。主要指满足系统能够可靠、稳定、持续和正常的运行。
4.电子商务网络安全的立法保障。结合我国实际,借鉴国外先进网络信息安全立法、执法经验,完善现行的网络安全法律体系。
目前,获得广泛应用的两种加密技术是对称密钥加密体制和非对称密钥加密体制。它们的主要区别在于所使用的加密和解密的密码是否相同。
1.对称密钥加密体制
对称密钥加密,又称私钥加密,即信息的发送方和接收方用一个密钥去加密和解密数据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。
使用对称加密技术将简化加密的处理,每个参与方都不必彼此研究和交换专用设备的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过使用对称加密方法对机密信息进行加密以及通过随报文一起发送报文摘要或报文散列值来实现。
2.非对称密钥加密体制
非对称密钥加密系统,又称公钥密钥加密。它需要使用一对密钥来分别完成加密和解密操作,一个公开,即公开密钥,另一个由用户自己秘密保存,即私用密钥。信息发送者用公开密钥去加密,而信息接收者则用私用密钥去解密。公钥机制灵活,但加密和解密速度却比对称密钥加密慢得多。
在非对称加密体系中,密钥被分解为一对。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为私用密钥(解密密钥)加以保存。私用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛。
该方案实现信息交换的过程是:贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易方乙使用该密钥对信息进行加密后再发送给贸易方甲;贸易方甲再用自己保存的另一把专用密钥对加密信息进行解密。
认证技术
安全认证的主要作用是进行信息认证。信息认证的目的为:(1)确认信息发送者的身份;2)验证信息的完整性,即确认信息在传送或存储过程中未被篡改过。下面从安全认证技术和安全认证机构两个方面来做介绍。
1.常用的安全认证技
安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等。
(1)数字摘要
数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码,并在传输信息时将之加入文件一同送给接收方,接收方收到文件后,用相同的方法进行变换运算,若得到的结果与发送来的摘要码相同,则可断定文件未被篡改,反之亦然。
(2)数字信封
数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。在数字信封中,信息发送方采用对称密钥来加密信息,然后将此对称密钥用接收方的公开密钥来加密(这部分称为数字信封)之后,将它和信息一起发送给接收方,接收方先用相应的私有密钥打开数字信封,得到对称密钥,然后使用对称密钥解开信息。这种技术的安全性相当高。
(3)数字签名
日常生活中,通常用对某一文档进行签名来保证文档的真实有效性,防止其抵赖。在网络环境中,可以用电子数字签名作为模拟。
把Hash函数和公钥算法结合起来,可以在提供数据完整性的同时保证数据的真实性。完整性保证传输的数据没有被修改,而真实性则保证是由确定的合法者产生的Hash,而不是由其他人假冒。而把这两种机制结合起来就可以产生数字签名。
(4)数字时间戳
在书面合同中,文件签署的日期和签名一样均是防止文件被伪造和篡改的关键性内容。而在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务(DTS)是网络安全服务项目,由专门的机构提供。时间戳是一个经加密后形成的凭证文档,它包括三个部分:需加时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签名。
(5)数字证书
在交易支付过程中,参与各方必须利用认证中心签发的数字证书来证明各自的身份。所谓数字证书,就是用电子手段来证实一个用户的身份及用户对网络资源的访问权限。
数字证书是用来惟一确认安全电子商务交易双方身份的工具。由于它由证书管理中心做了数字签名,因此任何第三方都无法修改证书的内容。任何信用卡持有人只有申请到相应的数字证书,才能参加安全电子商务的网上交易。数字证书一般有四种类型:客户证书、商家证书、网关证书及CA系统证书。
2.安全认证机构
电子商务授权机构(CA)也称为电子商务认证中心(CertificateAuthority)。在电子交易中,无论是数字时间戳服务还是数字证书的发放,都不是靠交易双方自己能完成的,而需要有一个具有权威性和公正性的第三方来完成。
认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。
安全认证协议
目前电子商务中有两种安全认证协议被广泛使用,即安全套接层SSL(SecureSocketsLayer)协议和安全电子交易SET(SecureElectronicTransaction)协议。
1.安全套接层(SSL)协议
安全套接层协议是由Netscape公司1994年设计开发的安全协议,主要用于提高应用程序之间的数据的安全系数。SSL协议的概念可以被概括为:它是一个保证任何安装了安全套接层的客户和服务器间事务安全的协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。目的是为用户提供Internet和企业内联网的安全通信服务。
SSL采用了公开密钥和专有密钥两种加密:在建立连接过程中采用公开密钥;在会话过程中使用专有密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。它保证了客户和服务器间事务的安全性。
2.安全电子交易(SET)协议
关键词:电子商务;网络银行;私有密钥加密法;公开密钥加密法
对数据进行有效加密与解密,称为密码技术,即数据机密性技术。其目的是为了隐蔽数据信息,将明文伪装成密文,使机密性数据在网络上安全地传递而不被非法用户截取和破译。伪装明文的操作称为加密,合法接收者将密文恢复出原明文的过程称为解密,非法接收者将密文恢复出原明文的过程称为破译。密码是明文和加密密钥相结合,然后经过加密算法运算的结果。加密包括两个元素,加密算法和密钥。加密时所使用的信息变换规则称为加密算法,是用来加密的数学函数,一个加密算法是将普通的文本(或者可以理解的信息)与一串字符串即密钥结合运算,产生不可理解的密文的步骤。密钥是借助一种数学算法生成的,它通常是由数字、字母或特殊符号组成的一组随机字符串,是控制明文和密文变换的唯一关键参数。对于相同的加密算法,密钥的位数越多,破译的难度就越大,安全性就越好。目前,电子商务通信中常用的有私有(对称)密钥加密法和公开(非对称)密钥加密法。
一、私有密钥加密法
(一)定义
私有密钥加密,指在计算机网络上甲、乙两用户之间进行通信时,发送方甲为了保护要传输的明文信息不被第三方窃取,采用密钥A对信息进行加密而形成密文M并发送给接收方乙,接收方乙用同样的一把密钥A对收到的密文M进行解密,得到明文信息,从而完成密文通信目的的方法。这种信息加密传输方式,就称为私有密钥加密法。上述加密法的一个最大特点是,信息发送方与信息接收方均需采用同样的密钥,具有对称性,所以私有密钥加密又称为对称密钥加密。
(二)使用过程
具体到电子商务,很多环节要用到私有密钥加密法。例如,在两个商务实体或两个银行之间进行资金的支付结算时,涉及大量的资金流信息的传输与交换。这里以发送方甲银行与接收方乙银行的一次资金信息传输为例,来描述应用私有密钥加密法的过程:银行甲借助专业私有密钥加密算法生成私有密钥A,并且复制一份密钥A借助一个安全可靠通道(如采用数字信封)秘密传递给银行乙;银行甲在本地利用密钥A把信息明文加密成信息密文;银行甲把信息密文借助网络通道传输给银行乙;银行乙接受信息密文;银行乙在本地利用一样的密钥A把信息密文解密成信息明文。这样银行乙就知道银行甲的资金转账通知单的内容,结束通信。
(三)常用算法
世界上一些专业组织机构研发了许多种私有密钥加密算法,比较著名的有DES算法及其各种变形、国际数据加密算法IDEA等。DES算法由美国国家标准局提出,1977年公布实施,是目前广泛采用的私有密钥加密算法之一,主要应用于银行业中的电子资金转账、军事定点通信等领域,比如电子支票的加密传送。经过20多年的使用,已经发现DES很多不足之处,随着计算机技术进步,对DES的破解方法也日趋有效,所以更安全的高级加密标准AES将会替代DES成为新一代加密标准。
(四)优缺点
私有密钥加密法的主要优点是运算量小,加解密速度快,由于加解密应用同一把密钥而应用简单。在专用网络中由于通信各方相对固定、所以应用效果较好。但是,私有密钥加密技术也存在着以下一些问题:一是分发不易。由于算法公开,其安全性完全依赖于对私有密钥的保护。因此,密钥使用一段时间后就要更换,而且必须使用与传递加密文件不同的途径来传递密钥,即需要一个传递私有密钥的安全秘密渠道,这样秘密渠道的安全性是相对的,通过电话通知、邮寄软盘、专门派人传送等方式均存在一些问题。二是管理复杂,代价高昂。私有密钥密码体制用于公众通信网时,每对通信对象的密钥不同,必须由不被第三者知道的方式,事先通知对方。随着通信对象的增加,公众通信网上的密码使用者必须保存所有通信对象的大量的密钥。这种大量密钥的分配和保存,是私有密钥密码体制存在的最大问题。三是难以进行用户身份的认定。采用私有密钥加密法实现信息传输,只是解决了数据的机密性问题,并不能认证信息发送者的身份。若密钥被泄露,如被非法获取者猜出,则加密信息就可能被破译,攻击者还可用非法截取到的密钥,以合法身份发送伪造信息。在电子商务中,有可能存在欺骗,别有用心者可能冒用别人的名义发送资金转账指令。因此,必须经常更换密钥,以确保系统安全。四是采用私有密钥加密法的系统比较脆弱,较易遭到不同密码分析的攻击。五是它仅能用于对数据进行加解密处理,提供数据的机密性,不能用于数字签名。
二、公开密钥加密法
(一)定义与应用原理
公开密钥加密法是针对私有密钥加密法的缺陷而提出来的。是电子商务应用的核心密码技术。所谓公开密钥加密,就是指在计算机网络上甲、乙两用户之间进行通信时,发送方甲为了保护要传输的明文信息不被第三方窃取,采用密钥A对信息进行加密而形成密文M并发送给接收方乙,接收方乙用另一把密钥B对收到的密文M进行解密,得到明文信息完密文通信目的的方法。由于密钥A、密钥B这两把密钥中其中一把为用户私有,另一把对网络上的大众用户是公开的,所以这种信息加密传输方式,就称为公开密钥加密法。与私有(对称)密钥加密法的加密和解密用同一把密钥的原理不同,公开密钥加密法的加密与解密所用密钥是不同的,不对称,所以公开私有密钥加密法又称为非对称密钥加密法。
公开密钥加密法的应用原理是:借助密钥生成程序生产密钥A与密钥B,这两把密钥在数学上相关,对称作密钥对。用密钥对其中任何一个密钥加密时,可以用另一个密钥解密,而且只能用此密钥对其中的另一个密钥解密。在实际应用中,某商家可以把生成的密钥A与密钥B做一个约定,将其中一把密钥如密钥A保存好,只有商家自己知道并使用,不与别人共享,叫作私人密钥;将另一把密钥即密钥B则通过网络公开散发出去,谁都可以获取一把并能应用,属于公开的共享密钥,叫做公开密钥。如果一个人选择并公布了他的公钥,其他任何人都可以用这一公钥来加密传送给那个人的消息。私钥是秘密保存的,只有私钥的所有者才能利用私钥对密文进行解密,而且非法用户几乎不可能从公钥推导出私钥。存在下面两种应用情况:一是任何一个收到商家密钥B的客户,都可以用此密钥B加密信息,发送给这个商家,那么这些加密信息就只能被这个商家的私人密钥A解密。实现保密性。二是商家利用自己的私人密钥A对要发送的信息进行加密进成密文信息,发送给商业合作伙伴,那么这个加密信息就只能被公开密钥B解密。这样,由于只能应用公开密钥B解密,根据数学相关关系可以断定密文的形成一定是运用了私人密钥A进行加密的结果,而私人密钥A只有商家拥有,由此可以断定网上收到的密文一定是拥有私人密钥A的商家发送的。
(二)使用过程
具体到电子商务,很多环节要用到公开密钥加密法,例如在网络银行客户与银行进行资金的支付结算操作时,就涉及大量的资金流信息的安全传输与交换。以客户甲与乙网络银行的资金信息传输为例,来描述应用公开密钥加密法在两种情况下的使用过程。首先,网络银行乙通过公开密钥加密法的密钥生成程序,生成自己的私人密钥A与公开密钥B并数学相关,私人密钥A由网络银行乙自己独自保存,而公开密钥B已经通过网络某种应用形式(如数字证书)分发给网络银行的众多客户,当然客户甲也拥有一把网络银行乙的公开密钥B。
1、客户甲传送一“支付通知”给网络银行乙,要求“支付通知”在传送中是密文,并且只能由网络银行乙解密知晓,从而实现了定点保密通信。客户甲利用获得的公开密钥B在本地对“支付通知”明文进行加密,形成“支付通知”密文,通过网络将密文传输给网络银行乙。网络银行乙收到“支付通知”密文后,发现只能用自己的私人密钥A进行解密形成“支付通知”明文,断定只有自己知晓“支付通知”的内容,的确是发给自己的。
2、网络银行乙在按照收到的“支付通知”指令完成支付转账服务后,必须回送客户甲“支付确认”,客户甲在收到“支付确认”后,断定只能是网络银行乙发来的,而不是别人假冒的,将来可作支付凭证,从而实现对网络银行业务行为的认证,网络银行不能随意否认或抵赖。网络用户乙在按照客户甲的要求完成相关资金转账后,准备一个“支付确认”明文,在本地利用自己的私人密钥A对“支付确认”明文进行加密,形成“支付确认”密文,通过网络将密文传输给客户甲。客户甲收到“支付确认”密文后,虽然自己有许多密钥,有自己的,也有别人的,却发现只能用获得的网络银行乙的公开密钥B进行解密,形成“支付确认”明文,由于公开密钥B只能解密由私人密钥A加密的密文,而私人密钥A只有网络银行乙所有,因此客户甲断定这个“支付确认”只能是网络银行乙发来的,不是别人假冒的,可作支付完成的凭证。
(三)算法
当前最著名、应用最广泛的公开密钥系统是RSA(取自三个创始人的名字的第一个字母)算法。目前电子商务中大多数使用公开密钥加密法进行加解密和数字签名的产品和标准使用的都是RSA算法。RSA算法是基于大数的因子分解,而大数的因子分解是数学上的一个难题,其难度随数的位数加多而提高。
(四)优缺点
优点是可以在不安全的媒体上通信双方交换信息,不需共享通用密钥,用于解密的私钥不需发往任何地方,公钥在传递与过程中即使被截获,由于没有与公钥相匹配的私钥,截获公钥也没有意义。
能够解决信息的否认与抵赖问题,身份认证较为方便。密钥分配简单,公开密钥可以像电话号码一样,告诉每一个网络成员,商业伙伴需要好好保管的只是一个私人密钥。而且密钥的保存量比起私人密钥加密少得多,管理较为方便。最大的缺陷就在于它的加解密速度。超级秘书网
三、两种加密法的比较
通过DES算法和RSA算法的比较说明公开密钥加密法和私有密钥加密法的区别:在加密、解密的处理效率方面,DES算法明显优于RSA算法,即DES算法快得多;在密钥的分发与管理方面,RSA算法比DES算法更加优越;在安全性方面,只要密钥够长,如112b密钥的DES算法和1024b的RSA算法的安全性就很好,目前还没找到在可预见的时间内破译它们的有效方法;在签名和认证方面,DES算法从原理上不可能实现数字签名和身份认证,但RSA算法能够方便容易的进行数字签名和身份认证。
基于以上比较的结果可以看出,私有密钥加密法与公开密钥加密法各有长短,公开密钥加密在签名认证方面功能强大,而私有密钥加密在加/解密速度方面具有很大优势。为了充分发挥对称加密法和非对称加密法各自的优点,在实际应用中通常将这两种加密法结合在一起使用,比如:利用DES来加密信息,而采用RSA来传递对称加密体制中的密钥。这样不仅数据信息的加解密速度快,同时保障了密钥传递的安全性。数据加密技术是信息安全的基本技术,在网络中使用的越来越广泛。针对不同的业务要求可以设计或采取不同的加密技术及实现方式。另外还要注意的是,数据加密技术所讨论的安全性只是暂时的,因此还要投入对密码技术新机制、新理论的研究才能满足不断增长的信息安全需求。
参考文献:
[1]丁学君.电子商务中的信息安全问题及其对策[J].计算机安全,2009,(2).
[2]余绍军,彭银香.电子商务安全与数据加密技术浅析[J].中国管理信息化(综合版),2007,(04).
[3]王俊杰.电子商务安全问题及其应对策略[J].特区经济,2007,(07).
[4]秦昌友.浅析电子商务的安全技术[J].苏南科技开发,2007,(08).
1.1电子商务安全支付的主要特征
我们谈到的电子商务支付的主要特征是与传统支付方式相比较,通过归纳总结,我们可以轻易的得出以下四点:首先,电子支付是在一定的技术基础上通过数字的流转来完成的信息传输,简单说来,它的各种支付方式都是通过数字化的方式进行,这与传统支付方式中利用现金的流转、票据的转让或者银行的汇总等通过实体货币来进行款项支付的方式又明显不同。其次,在现阶段说来,电子商务支付的发生环境在于因特网,或者说在于一个开放的系统平台,但传统支付方式却是在相对封闭的系统下进行。再次,在通信手段和支付设施上,电子商务支付与传统商务支付无疑有较大的区别。一般说来,电子商务支付总是采用最先进的例如Intemet或Extranet等等通信手段,对于软、硬件设施的要求也更高,开展电子支付必须要求联网的微机、相关的软件以及配套设施。但传统支付只是使用传统通信媒介,发生支付的条件限制也并不多。最后,虽然电子支付相对于传统支付要求更高,但却也令消费者享受到了更加方便、快捷、高效、经济的服务。设想一下,当用户拥有一台可以上网的计算机就可以在炎炎夏日足不出户的完成支付,购买等活动,而传统支付却还要顶着烈日出行,由此看来,电子商务支付更加人性化。同时,使用电子商务支付,相比于传统支付,所产生的支付费用仅为后者的几十分之一甚至几百分之一,这又体现了电子商务支付的经济化。
1.2电子商务安全支付的几大方式
以下,我们主要从信用卡支付、电子现金支付、电子支票支付以及微支付四个方面介绍,但需要注意的是,电子商务支付的方式并不局限于这几种。通过信用卡支付的类型可分为四种,分别是无安全措施的信用卡支付、通过第三方人的支付、简单加密信用卡的支付以及阿安全电子交易SET信用卡的支付。卖方在卖方发生购买之后,如果信用卡信息通过电话、传真等非网上传送方式进行传送,活着通过无任何安全措施的互联网传送,且卖方与银行之间均是利用各自现有的银行商家专用网络授权来检查信用卡的真伪则为地中信用卡支付类型。第二种支付类型在卖方和买方之间启用了第三方,如此一来卖方并不能得到买方信用卡信息,从而有效避免信用卡信息由于在网上的多次传输而导致的信息被窃取现象。第三种则足在买方向浏览器窗口或其他电子商务设备输入信用卡信息时,系统将自动对信用卡信息实施简单加密工作,由此,信用卡信息可以在加密情况下向卖方传输。第四种支付类型涉及到两大信用卡组织Visa和MasterCard,为了解决用户、商家以及银行三方使用信用卡支付交易,他们联合推出了SET协议。该协议在不仅有对客户信用卡的认证,还加入了对于商家身份的认证,由此可以令支付信息更加机密、支付过程愈加完整。电子现金支付方式通过一种表示现金的加密序列数实现,现实中各种金额的币值被数字化形式代替,电子现金支付方式也无需与银行连接。由此具有灵活多用、匿名快捷的特点,在提高效率和方便用户的使用方面具有极大的优势。但电子现金支付手段在运用时偶尔要涉及到一中新款硬件——智能卡,当然,我们也可以使用数字方式的现金,或者现金转卡及采用Mondex卡转卡的方式。但不得不提到的是我们在使用时要充分注意它的合法性。电子支票支付方式出现较晚,但这并不影响人们对他的使用。它是用写在屏幕上的支票进行的支付活动,但与纸质支票几乎具有相等的功能。电子支票由账户的开户人于网络上生成,其中包含内容与纸质支票相同,使用方式亦与纸质支票相同,在双方签名和认证之后可由金融机构进行账户存储。微支付,顾名思义,处理小量金钱。微支付在使用时,一方面要求实现商品的发送与支付的同时发生,另一方面,商品销售与处理或运输为了保持成本的低廉又设置了障碍,因此,这一支付方式在保证交易的发送速度与低成本上的应用十分重要,亦有很多商家致力于发展别的协议来支持微支付,因这一支付方式不为SET何SSL所支持。
2发展电子商务安全支付的必要性
2.1电子商务是贸易发展的必然趋势
根据CNNIC调查数据显示,至2007年6月,中国网民已达1.62亿,中国网站已达131万个,年增长率为66.4%,虽然网民数量较美国还有落后,但我们那时已经相信,随着中国经济的飞速发展,中国的13亿人口在互联网时代必然能做出巨大贡献,而今,这一预测也确实化作了现实,如今的互联网,对于中国百姓而言已越来越普遍。互联网的高速发展导致了一种全新的商务模式的出现——电子商务。近两年来,单从网上购物的角度,就出现了淘宝、天猫、当当、京东、易迅等网站,且有马云的淘宝在前,这些网站正做的风生水起,淘宝每年的双十一大丰收更是我们十分关注的话题。电子商务在我国虽然起步晚,但作为现代物流业的主要内容之一,电子商务在我国的发展却不可谓不快,尤其是在近些年的发展中,由此我们虽然不能认定电子商务将会取代传统商务,但却可以做出推断,电子商务作为一种相对较新的贸易方式,在未来的几年中,将会有更加突破性的发展。
2.2电子支付是电子商务的要素
电子商务是基于Internet的商务活动,这一模式下的商务活动具有随时随地、方便易用的特点。但同时我们不禁开始思考,这一网上商务活动在涉及到支付手段时,该如何处理,诚然,我们不可能过多依赖于货到付款或者别的方式,因此,若问电子商务因何能够得到突然的飞速发展,网上支付的兴起便是一个不可忽略的原因。在电子商务时代,企业与客户都需要一个在保证高效快捷的同时又有一定的安全保障,但传统支付结算方式在当时虽然相对安全,但却无法克制方便、跨时空的障碍,这曾一度成为了电子商务发展的瓶颈所在。由此,为了满足企业与客户的需要,网上支付油然而生,它以金融电子化网络为基础,以商业电子化工具和各类交易卡为媒介,以现代计算机技术和通信技术为手段,以电子信息为传递形式。但在目前,虽然电子商务支付手段有了一定的发展,但却避免不了它的一系列问题的存在。
3电子商务安全支付方式在发展中存在的问题
3.1信用和安全问题
网络银行要想获得长远稳定的发展,必须要有一个良好的信用机制,但遗憾的是我国在这方面与发达国家相差较大。试想一个信用机制不够牢固的电子支付平台又如何能让客户放心使用呢,尤其是在买卖双方互不见面的Internet商务模式中。虽然市场经济一直强调其发展的两大支柱在于社会保障体系与社会信用体系,但无疑的是,我国还未在企业与个人中建立完善的信用体系,由此导致现金交易仍然占据主导地位。无论在哪个国家的哪种电子交易方式下,网络安全问题总是令消费者十分担心和在意。而令人不甚满意的是,这一问题在世界各国均存在,我国自然也不例外,浙江就曾经发生过“银行卡”案件。如果消费者在每次使用银行卡后,对方都能通过电脑得到你的全部财务记录,该是多么可怕的事情,事实上,这一现象也令很多消费者对使用银行卡进行网络购物望而却步,因为消费者不知道这些进去你账户的人会是怎样的电脑专家或金融高手,但他们却知道自己对金融与电子商务的掌握程度有多深。
3.2电子支付与认证统一上的问题
在前文中,我们曾简单提及到SET与SSL两种安全协议,前者是一一套在线交易的安全标准,由VISA和MASTER和多加科技机构共同制定。后者是一种安全通信协议,由网景公司推出,主要在于对信用卡和个人信息的保护,针对计算机之间整个会话过程的加密。国际上并未确定该由这两种协议中的哪一方作为未来发展方向,而这一现象的产生也是由于这两种协议自身的优缺点导致。SET协议比SSL协议复杂,但在理论上,也占据着更高的安全性,因为它不仅加密两个端点之间的单人对话,也加密认定三方面的信息,但SSL却只是加密第一项。但是SET却由于过于复杂而对消费者、商户和银行方面的要求过高,由此在推行中难免遇到一些阻力,但SSL却并不受此项因素干扰,它相对便捷,同时又能满足人们现实中的安全需求。
3.3相关法律不够完善
相比于发达国家,我国电子商务起步较晚,发展较慢,因此导致了电子商务立法的滞后,这给网上银行的发展带来了一定的影响。而在相关法规的完善问题上,目前还有下列一些问题需要解决。首先是关于电子支付的定义和特征。由于其是借助网络发生的一种行为,与传统支付相异,因此,在资金转移方面必须要有相关法律坐镇。其次是关于电子支付权利上的问题。电子支付的当事人•58•涉及到多方,包括付款方、收款方以及银行,某些时候还会涉及到中介机构。因此需要有相关法律来确定各当事人在支付活动中享受的权利和需履行的责任。再者是关于电子支付的伪造、更该及涂销问题。在进行电子商务支付的活动中,我们不得不提防网络黑客对于数据的破坏、伪造、更改以及涂销问题,因为这一现象给社会带来的恶劣影响十分突出。在电子支付活动中,所拥有的证据都为电子证据,即通过网络运作确定的各方权利义务或实施合同款项的支付、结算、货物交接或追踪的信息。为此,国内已有学者认为可将电子证据纳入民诉法中第63条规定的“视听资料”一类,同时在立法与司法中对于电子证据可作为被采纳证据做出明确规定。
3.4银行业科技水平与国际先进技术存在差异
在我国,虽然有“手机银行”与“网络银行”这两种支付手段,但归根结底,它们都不过是利用电子终端设备的金融工具,通过利用高技术手段的工具并不能再金融服务的功能上做出一些实质性的突破,况且还面临着安全方面的缺陷,因此,为了在电子商务及电子商务支付的道路上达到世界先进水平,我们有必要加强加快新型金融工具的开发。
4电子商务安全支付方式进一步发展的对策
4.1加强网络基础设施和现代化系统建设
在政府政策方面,我国需要继续对“三金”工程和国家现代化支付系统的建设,通过对金融网络基础设施投入的加大,我们可以成立专业的金融数据网络公司来实现对于管理数据通信网的管理,进而实现金融系统在通信服务上安全化、快捷化、高效化以及经济化,实现我国的金融电子化,实现我国国有商业银行服务水平和国际竞争力的提供。在银行方面,需要从硬件和软件两个角度进行。在硬件上,银行要投入足够的资金进行先进电子设备的购买,包括柜员机和大型计算机、包括局域网和广域网等深入到银行内部各个领域的电子设备,以提高电子化网点和营业网点的电子覆盖率。在软件上,银行方面要加大开发力度,对全国性和全行性的网络系统做系列应用系统软件的研发。
4.2加强对社会整体信用制度和在线支付安全问题的管理
要想实现在线支付的进一步发展,首先要有广大客户来源。因此,我们需要解决客户对于在线支付的安全问题,提升他们对于该系统的信任程度。首先,我们需要提升网络安全技术,最好普及CA认证。我们知道,客户在支付时如果出现信息的丢失或者出错,且不论这给他们带来的损失是否是第三方可以承担的,单从客户信任度这一角度来看,电子支付就会失去它的使用群体。因此,我们可以通过防火墙技术、数据加密传输技术、身份鉴别技术、病毒防治技术等安全技术来提高网络信息的安全性,令顾客在使用这一平台时无后顾之忧,进而产生对这一支付方式的青睐。其次,电子商务支付机构需要充分发挥网络的低成本、高效率的特点来进行反馈信息的及时收集,我们只有在了解“客户的声音”之后才能对他们的抱怨和建议做出及时的解决,同时也能加强我们本身对于市场份额的保持力,进而争取更多客户。最后,支付系统如果可以实现与第三方的密切合作,则对于客户建立网络信任具有极大的促进作用。而这一结论亦是根据相应调查数据得到,据调查,支付系统如果在主页上标明其与某知名第三方安全认证机构有合作关系则更容易获得客户信任。这一方式也可以运用在其与银行或信用度相对较高的网站的合作中,这代表了支付渠道的安全性。
4.3加强在线支付主体方——银行自身制度的创新
在我国国民经济体系中,商业银行占据着在线支付经营的主体方。为了发展电子商务支付,商业银行应该对其优势进行充分利用实现自身制度的创新。在其自身制度的创新上,我们不得不首先提出关于其经营方式的转轨问题。纵观现今我国电子商务的发展态势,我们不难得出在线支付业务的需求十分巨大,这为传统银行提供了新的发展方向,因此,银行如果可以将传统营销渠道和网络营销渠道进行有机结合,必然可以谋求自身更大的发展空间。其次需要提到的是对金融业务体系的重构,由于电子商务的自身特性,它要求在线支付主体进行一定的整合与协同,因此,参与在线支付的各银行应加强合作,以建立金融门户的形式实现资源共享,由此,网络将被作为银行和证券、保险、基金等金融企业合作的平台。通过“一体化”的全方位服务来推进我国电子商务的发展。
4.4加快相应法律和支付系统的完善进度
一个完善严格的法律环境是进行电子商务支付发展的必备条件,因此,我国需要加快这一方面的步伐,建立出相应法律法规体系。但仍需注意的是在线支付往往设计国际交际,因此,各国政府与金融业需要进行必要的合作和谈判,共同制定和完善相应法规。例如国际商会指定的《电子贸易和结算规则》即可作为我国在线支付立法的借•64•鉴。此外,在对电子商务活动进行监管的过程中,一旦发现问题要做及时的查处,追究相关人员法律责任,以此保证一个健康、有序的电子商务与在线支付的发展。
5总结
1.1网络安全风险
互联网作为一个开放的环境,其各种服务器数据库中的信息在理论上也属于对外开放的,访问者可以对信息进行查看。因此,网络会计信息系统难以阻挡非法访问者的侵扰和攻击,尤其是在系统程序出现问题导致系统存在安全漏洞并且管理人员未察觉时,使得服务器上的会计信息资源遭到窃取或篡改。此种情况的发生可能源于系统外部,也可能源于系统本身。一旦问题发生,企业将遭受难以估量的损失。
1.2无纸化的申报和扣税带来税务稽查问题
电子货币及电子发票的出现为实现网络交易电子化提供了条件,在电商迅猛发展的情况下,纳税人手工上门申报方式已经不能跟上电子商务发展的步伐,同时产生了电子税收问题,即如何保证纳税单位遵守相关规定按时进行网上申报。而税务稽查的前提是掌握确切的应税会计信息,因此,会计信息安全问题会引发税务稽查问题。
1.3追踪审计困难
从审计工作的角度看,由于数据主要储存在电子商务系统中,而电子商务系统无法避免数据错误处理情况的发生,这为部分工作人员利用职务之便谋取私利或者为减少企业纳税创造了条件,导致后期审计十分困难。此外,会计信息系统在进行前期设计时未考虑审计工作的需要,没有为审计提供证据,因此,无纸化的电子商务环境加大了对电子商务活动审计的难度,同时,各种会计信息凭证的可修改更是使得对电商的审计工作难度加大。
1.4相关的法律法规配套不完善
随着电子商务的进一步发展,公司的虚拟化程度越来越高,其规模也越来越小,人力资源与知识产权等是现阶段公司收益的主要来源,会计报告中会涉及知识产权、商誉等内容及其经济价值。在我国,电子商务活动的相关法律法规尚不健全,难以解决电子商务会计活动中出现的问题,这为会计信息安全增加了风险。
1.5现行财务会计软件不成熟带来的会计信息安全风险
在当前市场上有各种财务软件,虽然其在一定程度上满足电子商务会计发展的需要,但仍难以真正确保电商会计信息安全。现有的财务软件存在适应性差、应变能力弱等问题,不能适应电子商务发展所需,或者在某种程度上会加大风险系数。因此,电子商务会计软件开发技术的不成熟成为制约电子商务会计发展的主要因素。因为会计信息是企业管理的重要依据,电子商务企业需要利用电子商务网络进行会计信息的收集等活动,如何利用电子商务安全技术对会计信息进行加密操作,以确保会计信息安全性和准确性,是企业开展电子商务面临的主要难题。
2电子商务环境下的会计信息系统安全策略研究
2.1提高网络安全性的具体方法
(1)保证会计信息原始数据的完整和准确。
会计信息原始信息的完整性是应对企业会计信息系统突发事件的前提保证,因此,保证会计信息原始数据的安全极为重要,假使会计信息的原始数据遭到篡改,会造成数据信息虚假或有误,然而会计信息系统本身并不具备对数据的鉴别能力,导致会计信息失真,从而引发电商企业的财务会计问题。因此,如何保证原始会计数据的准确性及完整性,是保证会计信息安全的重要前提。
(2)保证信息处理安全。
良好的数据处理能力体现了会计信息系统的优势,财务系统处理的业务均直接涉及企业的利益,其敏感性和机密性显而易见,在数据处理时,必须保证数据的完整。因此,在数据处理期间,会计信息系统网络必须对外封闭,内部网络的使用必须在可监控的环境下进行,不能与外界网络终端连接,而且不能与其他无关的部门共享网络资源。封闭是相对的,为了提高企业的办公效率,内部财务信息系统可实现资源共享,需要强调的一点是,网络资源的处理必须包括加密操作。
(3)保证信息储存的安全。
会计信息系统面临的主要威胁来自黑客入侵与计算机病毒,操作人员在进行数据存储时需要加倍注意,建立一套科学的、系统的数据存储管理机制。
2.2妥善处理无纸化交易的税务稽查问题
电商时代的无纸化交易形式淘汰了传统的纸质发票,引发了电商企业与国家管理部门之间的矛盾,因此,如何保证数据的完整性是一项颇为重要的工作。为了使会计凭证得到保证,即保证数据的真实性,参与交易的双方可以通过选择具有法律效应的认证途径比如认证中心,证实网上交易双方的真实身份。同时,企业可以借助各种会计凭证的鉴别对参与客户的付款能力进行判定,比如每一家企业都在银行或者互联网认证中心签订协议,领取本企业的数字签名等具有验证功能的符号或代码,而当业务发生时,交易双方可通过相应的验证符号或代码进行交易活动,这样既验证了交易双方的身份,也保证了交易活动的真实性,使得财务数据有据可查。
2.3解决追踪审计困难的具体方案
在传统的会计处理过程中,会计凭证中都包含有具有法律效应的证据,比如负责人签名等。那么,在电子商务环境下,可以应用电子技术进行电子签名,比如现在应用最广的数字签名技术。首先,发送方将附有个人信息的交易数据通过计算机系统传递给另一方,而接受方通过财务信息系统对电子数据报文等内容进行审核,然后,电子数据作为合法的业务数据存入会计信息系统,此时的数据为原始财务信息数据。此种非纸质版的签名具有两个方面的意义:①保证信息来源于交易者本人,倘若有后续问题出现,此份信息可作为凭证;②保证信息在交易者签发至收到过程中的完整性,不存在被篡改的可能,所以,该信息是真实信息。由于数字签名技术是一种加密技术,包含加密、解码等操作,其复杂性为数据的真实性提供了保障。从某种程度而言,数字签名可以取代手工签名,其同样受到法律的保护,这大大减小了审计的难度。
2.4完善相关法律
在与电子商务相关的法律法规的建设上,一方面,要加强立法,紧跟时代脚步,完善相关的法律法规,为电子商务发展法律保障。另一方面,要借鉴发达国家在电子商务信息安全建设上的成功经验,结合中国的实际情况,对计算机网络安全管理的法律进行修订,以应对多变的市场环境,使其更符合电商时代的要求。
2.5更新改善相关会计软件
在如今以电子技术为主导的市场环境下,软件的后期更新管理工作不容忽视,尤其是电商企业,其财务信息已实现电子化,财会软件的安全问题轻则造成企业的财务损失,重则危及企业的生存。本文认为,“微”规模的电商企业可与“微”规模的软件企业进行合作,软件企业为电商企业定期进行软件维护工作,实现软件的良好管理和更新,同时为电商企业定期进行系统审核,检查电子商务系统的安全性,从而保证财会信息的安全。
3结语
电子商务,顾名思义,是指与传统商务不同,发生在电子环境之下的一种新型商务模式,它通过日渐成熟的计算机技术和网络交易的基础,在虚拟的网络环境之中进行实物的交易,在这种信息技术的前提下提高了商业运作的效率,同时降低了商务贸易往来的成本,使得双方都能够获得利益,这种商业模式就是电子商务。而所谓的移动电子商务,是指一种随着移动客户端的不断发展而随之发展起来的电子商务新形式。移动电子商务使人们可以通过手机、个人平板电脑或者是掌上电脑等移动电子设备,在网络上进行电子商务的相关业务。移动电子商务以其方便、快捷和简单的特点吸引了越来越多的人参与到其中,而每个消费者的反馈也会对整个移动电子商务业的发展起到一定的推动作用。通过移动电子商务,人们可以随时在他方便的时候进行购买活动或者钱款转账,这种随时交易的模式使得人们能够更加方便的把握住贸易的时机,在经济活动之中占据更加有利的地位。不仅如此,移动终端设备的多账号绑定也使得电子商务之中的交付方式变得更加容易,大大便利了移动终端的用户们。移动电子商务,尤其是基于手机的移动电子商务相对于那些基于电脑的电子商务来说,有着其独有的特点。
二、移动电子商务的发展现状
那么,移动电子商务现在的发展情况究竟如何呢?在我国,移动电子商务的发展正处在一个上升的趋势之中,而这个趋势的推动力正是源自移动终端设备的发展,尤其是手机和平板电脑的普及,使得移动电子商务也随之进入了一个飞速的发展时期。在我国,手机的普及率越来越高,今年,我国智能手机的普及率的官方统计数据已经达到30%以上,如果再统计上山寨手机的话,我国的智能手机普及率还会更高,而对于我国的城市居民来说,智能手机的普及率截止到去年八月就已经达到了50%左右的水平,在今年,这个数据只会更高。而那些没有智能手机的人群,大多数都不常进行电子商务的交易,如果再考虑到这个数字的话,那么可以说几乎每一个有一定经济能力的个体,基本上都拥有自己的智能手机,而国人对手机的使用频率无须多言,可以说是机不离手,正是因为这几点原因,移动设备上的电子商务往来就显得尤为重要了。目前,作为移动电子商务的基础的通信网络基本已经实现了国家层面的全覆盖,这就为电子商务的发展打下了最重要的基础,而移动通信终端的用户数量还在不断的增长,根据趋势来看,未来的几年时间,这种增长趋势是不会停止的,终端数量将一直不断增长下去。
三、移动电子商务中的安全问题
然而,移动电子商务在不断发展的过程之中也随之产生了许多问题,比如移动支付的金融问题、移动支付的监管问题还有移动电子商务产业链中的竞争关系和合作关系的问题等等。这其中,最关键而有影响的问题就是移动电子商务的安全问题。
(一)移动电子商务的技术安全性问题。移动电子商务作为一种以通信技术和网络技术为基础的新兴技术性产业,其技术层面还存在着不完善的地方,尤其是在无线网络通道中存在着一些隐患。现在移动终端接入的网络主要有移动数据网络和无线网络两种,数据网络是由本国的各大通讯运营商提供的,安全性有足够的保障,相比较之下,无线网络的安全性就相对难以得到保障,在移动终端用户连接上无线网络之后,手机在使用该无线上网之中所涉及的个人信息就会面临泄露的风险,在这种情况下,移动电子商务的安全就受到了威胁。
(二)移动电子商务的支付安全性问题。随着2013年开始,“余额宝”等一系列的互联网经济的金融衍生品出现并迅速走红,这使得网络金融业开始崛起,利用更高的利率价格吸引人们的储蓄资金,运用大量金额的货币来进行市场操作,获得更高的利润,作为了一种功能上的银行替代机构,给人们带来了巨大的便利的同时,又对传统的金融业产生了巨大的冲击,尤其是银行方面,已经联手对这个类型的金融产品进行了封杀,这就体现出了移动电子商务支付过程中的不安全因素,它的支付机制建立在一种没有得到国家支持的金融模式上,会受到国家因素的影响。同时,移动电子商务的在线支付机制需要得到第三方支付机构的支持,这样买卖双方都会对整个交易过程更加放心,不过第三方支付机构本身也在发展方向问题上出现了问题,所以,我们应该对移动电子商务的在线支付更加谨慎,避免出现不必要的损失。
(三)移动电子商务的管理安全性问题。除了以上两个方面,对于电子商务的管理问题也是很重要的,这个管理问题主要是指电子商务运营商对于移动终端的管理问题,在这方面,移动电子商务的运营商们并没有什么有效的方法来管理这种问题,如果用户丢失了移动终端的话,拾到者如果通过一定的技术手段,是可以获得在手机上储存的用户个人数据的,尤其是密码等重要信息,这就使得用户的财产会面临额外的损失,而且会严重影响商业的进程,造成某些不可弥补的损失。
四、总结
关键词:校园;电子商务;安全;解决方案
引言
随着网络的不断普及和电子商务的迅猛发展,电子商务这种商务活动新模式已经逐渐改变了人们的经济活动方式、工作方式和生活方式,越来越多的人们开始接受并喜爱网上购物,可是,电子商务发展的瓶颈——安全问题依然是制约人们进行电子商务交易的最大问题,因此,安全问题是电子商务的核心问题,是实现和保证电子商务顺利进行的关键所在。校园电子商务是电子商务在校园环境下的具体应用与实现,其安全性也同样是其发展所不容忽视的关键问题,因此应当着重研究。
1校园电子商务概述。
1.1校园电子商务的概念。
校园电子商务是电子商务在校园这个特定环境下的具体应用,它是指在校园范围内利用校园网络基础、计算机硬件、软件和安全通信手段构建的满足于校园内单位、企业和个人进行商务、工作、学习、生活各方面活动需要的一个高可用性、伸缩性和安全性的计算机系统。
1.2校园电子商务的特点。
相对于一般电子商务,校园电子商务具有客户群稳定、网络环境优良、物流配送方便、信用机制良好、服务性大于盈利性等特点,这些特点也是校园开展电子商务的优势所在。与传统校园商务活动相比,校园电子商务的特点有:交易不受时间空间限制、快捷方便、交易成本较低。
2校园电子商务的安全问题。
2.1校园电子商务安全的内容。
校园电子商务安全内容从整体上可分为两大部分:校园网络安全和校园支付交易安全。校园网络安全内容主要包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。校园支付交易安全的内容涉及传统校园商务活动在校园网应用时所产生的各种安全问题,如网上交易信息、网上支付以及配送服务等。
2.2校园电子商务安全威胁。
校园电子商务安全威胁同样来自网络安全威胁与交易安全威胁。然而,网络安全与交易安全并不是孤立的,而是密不可分且相辅相成的,网络安全是基础,是交易安全的保障。校园网也是一个开放性的网络,它也面临许许多多的安全威胁,比如:身份窃取、非授权访问、冒充合法用户、数据窃取、破坏数据的完整性、拒绝服务、交易否认、数据流分析、旁路控制、干扰系统正常运行、病毒与恶意攻击、内部人员的不规范使用和恶意破坏等。校园网的开放性也使得基于它的交易活动的安全性受到严重的威胁,网上交易面临的威胁可以归纳为:信息泄露、篡改信息、假冒和交易抵赖。信息泄露是非法用户通过各种技术手段盗取或截获交易信息致使信息的机密性遭到破坏;篡改信息是非法用户对交易信息插入、删除或修改,破坏信息的完整性;假冒是非法用户冒充合法交易者以伪造交易信息;交易抵赖是交易双方一方或否认交易行为,交易抵赖也是校园电子商务安全面临的主要威胁之一。
2.3校园电子商务安全的基本安全需求。
通过对校园电子商务安全威胁的分析,可以看出校园电子商务安全的基本要求是保证交易对象的身份真实性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否认性。通过对校园电子商务系统的整体规划可以提高其安全需求。
3校园电子商务安全解决方案。
3.1校园电子商务安全体系结构。
校园电子商务安全是一个复杂的系统工程,因此要从系统的角度对其进行整体的规划。根据校园电子商务的安全需求,通过对校园人文环境、网络环境、应用系统及管理等各方面的统筹考虑和规划,再结合的电子商务的安全技术,总结校园电子商务安全体系结构,如图所示:
上述安全体系结构中,人文环境层包括现有的电子商务法律法规以及校园电子商务特有的校园信息文化,它们综合构成了校园电子商务建设的大环境;基础设施层包括校园网、虚拟专网VPN和认证中心;逻辑实体层包括校园一卡通、支付网关、认证服务器和交易服务器;安全机制层包括加密技术、认证技术以及安全协议等电子商务安全机制;应用系统层即校园电子商务平台,包括网上交易、支付和配送服务等。
针对上述安全体系结构,具体的方案有:
(1)营造良好校园人文环境。加强大学生的道德教育,培养校园电子商务参与者们的信息文化知识与素养、增强高校师生的法律意识和道德观念,共同营造良好的校园电子商务人文环境,防止人为恶意攻击和破坏。
(2)建立良好网上支付环境。目前我国高校大都建立了校园一卡通工程,校园电子商务系统可以采用一卡通或校园电子帐户作为网上支付的载体而不需要与银行等金融系统互联,由学校结算中心专门处理与金融机构的业务,可以大大提高校园网上支付的安全性。
(3)建立统一身份认证系统。建立校园统一身份认证系统可以为校园电子商务系统提供安全认证的功能。
(4)组织物流配送团队。校园师生居住地点相对集中,一般来说就在学校内部或校园附近,只需要很少的人员就可以解决物流配送问题,而不需要委托第三方物流公司,在校园内建立一个物流配送团队就可以准确及时的完成配送服务。
3.2校园网络安全对策。
保障校园网络安全的主要措施有:
(1)防火墙技术。利用防火墙技术来实现校园局域网的安全性,以解决访问控制问题,使只有授权的校园合法用户才能对校园网的资源进行访问,防止来自外部互联网对内部网络的破坏。
(2)病毒防治技术。在任何网络环境下,计算机病毒都具有不可估量的威胁性和破坏力,校园网虽然是局域网,可是免不了计算机病毒的威胁,因此,加强病毒防治是保障校园网络安全的重要环节。
(3)VPN技术。目前,我国高校大都已经建立了校园一卡通工程,如果能利用VPN技术建立校园一卡通专网就能大大提高校园信息安全、保证数据的安全传输。有效保证了网络的安全性和稳定性且易于维护和改进。
3.3交易信息安全对策。
针对校园电子商务中交易信息安全问题,可以用电子商务的安全机制来解决,例如数据加密技术、认证技术和安全协议技术等。通过数据加密,可以保证信息的机密性;通过采用数字摘要、数字签名、数字信封、数字时间戳和数字证书等安全机制来解决信息的完整性和不可否认性的问题;通过安全协议方法,建立安全信息传输通道来保证电子商务交易过程和数据的安全。
(1)数据加密技术。加密技术是电子商务中最基本的信息安全防范措施,其原理是利用一定的加密算法来保证数据的机密,主要有对称加密和非对称加密。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,而解密密钥不公开。
(2)认证技术。认证技术是保证电子商务交易安全的一项重要技术,它是网上交易支付的前提,负责对交易各方的身份进行确认。在校园电子商务中,网上交易认证可以通过校园统一身份认证系统(例如校园一卡通系统)来进行对交易各方的身份认证。
(3)安全协议技术。目前,电子商务发展较成熟和实用的安全协议是SET和SSL协议。通过对SSL与SET两种协议的比较和校园电子商务的需求分析,校园电子商务更适合采用SSL协议。SSL位于传输层与应用层之间,能够更好地封装应用层数据,不用改变位于应用层的应用程序,对用户是透明的。而且SSL只需要通过一次“握手”过程就可以建立客户与服务器之间的一条安全通信通道,保证传输数据的安全。
3.4基于一卡通的校园电子商务。
目前,我国高校校园网建设和校园一卡通工程建设逐步完善,使用校园一卡通进行校园电子商务的网上支付可以增强校园电子商务的支付安全,可以避免或降低了使用银行卡支付所出现的卡号被盗的风险等。同时,使用校园一卡通作为校园电子支付载体的安全保障有:超级秘书网
(1)校园网是一个内部网络,它自身已经屏蔽了绝大多数来自公网的黑客攻击及病毒入侵,由于有防火墙及反病毒软件等安全防范设施,来自外部网络人员的破坏可能性很小。同时,校园一卡通中心有着良好的安全机制,使得使用校园一卡通在校内进行网上支付被盗取账号密码等信息的可能性微乎其微。
(2)校园一卡通具有统一身份认证系统,能够对参与交易的各方进行身份认证,各方的交易活动受到统一的审计和监控,统一身份认证能够保证网上工作环境的安全可靠。校园网络管理中对不同角色的用户享有不同级别的授权,使其网上活动受到其身份的限制,有效防止一些恶意事情的发生。同时,由于校内人员身份单一,多为学生,交易中一旦发生纠纷,身份容易确认,纠纷就容易解决。
4结束语。
开展校园电子商务是推进校园信息化建设的重要内容,随着我国校园信息化建设的不断深入,目前已有许多高校开展了校园电子商务,它极大的方便了校园内师生员工的工作、学习、生活。可是与此同时,安全问题成为制约校园电子商务发展的障碍。因此,如何建立一个安全、便捷的校园电子商务应用环境,让师生能够方便可靠的进行校园在线交易和网上支付,是当前校园电子商务发展要着重研究的关键问题。
参考文献:
[1]李洪心。电子商务安全[M].大连:东北财经大学出版社,2008.
[2]杨坚争,赵雯,杨立钒。电子商务安全与电子支付[M].北京:机械工业出版社,2008.
[3]刘克强。电子交易与支付[M].北京:人民邮电出版社,2007.
论文摘要:互联网的快速发展不但给电子商务提供了巨大的发展机遇,而且也带来了相应的网络安全问题。当前,电子商务中网络安全问题产生的主要原因有:黑客攻击、软件漏洞、网络缺陷和技术管理欠缺等,其中的关键问题是电子商务企业本身的安全管理问题。所以,需要对电子商务实施技术和管理的安全策略。
1 引言
随着互联网的快速发展,人们的生活方式有了非常大的改变,对应的经济社会也受到了巨大的影响。在商业贸易领域,因为网络的快速发展,产生了电子商务这样一种贸易方式。但是电子商务也是经历了一番坎坷的,因为网络的特殊性,在电子商务发展中产生了交易安全的问题,对电子商务的稳定发展带来了一定的冲击。internet网是一个互连通的自由空间,一些人常常会因为某些目的攻击电子商务网站,比如盗窃资金、商业打击、恶作剧等,导致有些企业的电子商务网站贸易交流受损、服务暂停,甚至出现资金被盗的现象。据有关数据的统计,美国每年因为网络安全问题在经济上造成的损失就达到近百亿美元,而国内的情况也不容乐观。因此,当我们在享受互联网给生活带来的这些好处的时候,网络的安全问题,早已变成电子商务的重大难题,给电子商务企业的发展带来了极大的阻碍。所以,计算机网络安全是电子商务发展过程中所面临的重大挑战和问题。电子商务企业必须从维护顾客利益和自身利益出发,做好安全防范和自身安全管理工作,才能得到持续快速的发展。
2 电子商务面对的网络安全问题
当前,电子商务安全问题受到多方面的影响,不但有技术管理的问题,而且也有网络缺陷的因素,具体地说,直接原因有以下几点:
2.1 网络“黑客”侵犯电子商务网站
网络黑客是专门在网络中利用本身掌握的技术非法强行进入他人网站后台的人,这类人具有高超的网络技术,能够不受电子商务网站技术防护的限制。许多“黑客”篡改内容信息、破坏网站;盗取商户或企业的账户资金,极大地影响了电子商务的正常进行。
2.2 电子商务软件有漏洞
许多软件研发单位研发的技术不成熟的电子商务软件,存在许多安全漏洞,防护极易被外来入侵者利用漏洞攻破,导致电子商务企业受到很大的经济损失;有的企业即使安装了防护软件,但由于软件没有得到及时升级,致使软件丧失了应有防护功能。
2.3 电子商务网络自身存在安全问题
网络具有共享性、开放性等特点,它的设计原则是确保信息传输不会受到局部损坏的影响。所以,对网站安全带来了极大的隐患。特别是对电子商务企业情况更加严峻。
2.4 网站管理的缺失
由于电子商务企业缺乏警惕性,不重视网络安全的管理,通常只有在受到攻击以后才会去加强网站安全;部分企业则以为只要安装了入侵监测系统、杀毒软件、防火墙等安全产品,就能保障网站的安全,所以没有根据企业实际情况制定相应的管理制度,也没有加强技术防范,给入侵者提供了机会。
3 应对的措施
电子商务安全问题是在网络化、电子化技术发展的前提下出现的,所以很多传统的解决办法不能简单地应用过来。电子商务企业想要取得效益,就要从企业的健康发展出发,改善企业的安全管理,提高技术投入。具体的防范措施有:
3.1 安全技术管理需要加强
需要重视电子商务网站的维护、升级等方面,做好每天的安全备份,加强网站服务器的管理。制定安全防范预案,只要发生安全事件,能够得到尽快解决,从而减少损失。使用权威性较强的安全防护软件,并能够正常启动、正常升级,发挥应有的防护功能。
3.2 在电子安全方面扩大管理和技术投入
企业需要加大安全方面的资金投入,购买技术防护设备,加大对技术改造与设备更新的投入。引进安全管理的相关技术,招聘相应的管理人才,并进行适当的待遇倾斜,确保安全管理团队的稳定。
3.3 使用密码管理技术
电子商务中最重要的防范环节是密码管理,要使用先进的密码管理手段,确保能发挥特定的功能,重点有交易信息安全、身份认证安全和账户安全等。
3.4 电子商务企业自身的管理需要得到强化
安全技术是电子商务企业的首要防范措施,但发挥其作用的关键还是严密的管理,只有建立完善的安全防范管理系统,才能保证企业的安全。所以电子商务企业,需要制定安全防护制度,保证明确职责;要有奖惩制度,责任事故的时候,能够做到及时追究,提高技术管理人员的责任意识。
4 总结
总的说来,电子商务企业的安全问题,表面上像是计算机网络的安全问题,但主要还是在于企业的制度建设、安全管理和重视程度等情况。企业不当的安全管理,不仅会发生企业账户资金被盗的问题,甚至有可能地客户的利益造成损害,让客户对电子商务企业不再信任。电子商务企业维护客户市场的关键是信誉度,所以,应当重视网络安全,克服网络技术自身的弊端,使企业能得到持续稳定的贸易发展。
参考文献:
[1] 祁明.电子商务实用教程[m].北京:高等教育出版社,2006.
[2] 陈辉.浅谈电子商务的安全与技术保障[j].河南教育学院学报(自然科学版),2006(01).
[3] 杨爱民.电子商务安全现状及对策探讨[j].科技资讯,2006(06).
一、判断题(每题2分)
1.信息安全保护等级划分为四级。
正确
错误
2.信息安全保护能力技术要求分类中,业务信息安全类记为A。
正确
错误
3.互联网安全管理法律法规的适用范围是互联网服务提供者、提供互联网数据中心服务的单位和联网使用单位。
正确
错误
4.在网络安全技术中,防火墙是第二道防御屏障。
正确
错误
5.入侵检测技术能够识别来自外部用户的入侵行为和内部用户的未经授权活动。正确
错误
6.VPN与防火墙的部署关系通常分为串联和并联两种模式。
正确
错误
7.电子商务是成长潜力大,综合效益好的产业。
正确
错误
8.电子商务的网络零售不包括B2C和2C。
正确
错误
9.电子商务促进了企业基础架构的变革和变化。
正确
错误
10.在企业推进信息化的过程中应认真防范风险。
正确
错误
11.物流是电子商务市场发展的基础。
正确
错误
12.科学研究是继承与创新的过程,是从产品到原理的过程,是从基础理论研究到应用研究、开发研究的过程。
正确
错误
13.科研课题/项目是科学研究的主要内容,也是科学研究的主要实践形式,更是科研方法的应有实践范畴,是科研管理的主要抓手。
正确
错误
14.科研方法注重的是研究方法的指导意义和学术价值。
正确
错误
15.西方的“方法”一词来源于英文。
正确
错误
16.论文是记录人类科技进步的历史性文件和研究成果的具体体现形式,是科技发展的重要信息源。
正确
错误
17.科研成果是衡量科学研究任务完成与否、质量优劣以及科研人员贡献大小的重要标志。
正确
错误
18.著作权人仅仅指作者。
正确
错误
19.著作权由人身性权利和物质性权利构成。
正确
错误
20.知识产权保护的工程和科技创新的工程是一个系统的工程,不是由某一个方法单独努力就能做到的,需要国家、单位和科研工作者共同努力。正确
错误
二、单项选择(每题2分)
21.信息安全策略的基本原则是()。
A、确定性、完整性、有效性
B、确定性、完整性、可靠性
C、完整性、可靠性、保密性
D、可靠性、有用性、完整性
22.()是实现安全管理的前提。
A、信息安全等级保护
B、风险评估
C、信息安全策略
D、信息安全管理体系
23.风险评估的相关标准不包括()。
A、GB/T 20984-2007
B、GB/T 9361-2005
C、GB/T 9361-2000
D、GB/T 22081-2008
24.()是密码学发展史上唯一一次真正的革命。
A、公钥密码体制
B、对称密码体制
C、非对称密码体制
D、加密密码体制
25.在进行网络部署时,()在网络层上实现加密和认证。
A、防火墙
B、VPN
C、IPSec
D、入侵检测
26.以下关于国际信息安全总体形势说法不正确的是()
A、网络无处不在,安全不可或缺
B、漏洞隐患埋藏,安全风险调整
C、漏洞隐患显现,安全风险调整
D、优化顶层设计,注重结构保障
27.美国()政府提出来网络空间的安全战略
A、布什切尼
B、克林顿格尔
C、奥巴马克林顿
D、肯尼迪
28.下列选项中属于按照电子商务商业活动的运作方式分类的是()
A、本地电子商务
B、直接电子商务
C、完全电子商务
D、商业机构对商业机构的电子商务
29.以下不属于社会科学的是()
A、政治学 B、经济学
C、医药学
C、医药学
D、法学
30.()是从未知到已知,从全局到局部的逻辑方法。
A、分析
B、综合
C、抽象
D、具体
31.()主要是应用已有的理论来解决设计、技术、工艺、设备、材料等具体技术问题而取得的。
A、科技论文
B、学术论文
C、会议论文
D、学位论文
32.()是通过查阅相关的纸质或电子文献资料或者通过其他途径获得的行业内部资料或信息等。
A、直接材料
B、间接材料
C、加工整理的材料c
D、实验材料
33.()是整个文章的整体设计,不仅能指导和完善文章的具体写作,还能使文章所表达的内容条理化、系统化、周密化。
A、摘要
B、引言
C、写作提纲
D、结论
34.期刊论文的发表载体是()。
A、娱乐杂志
B、生活杂志
C、学术期刊
D、新闻报纸
35.()是指科研课题的执行人在科研过程中要向科研主管部门或课题委托方汇报研究工作的进度情况以及提交阶段性成果的书面材料。
A、开题报告
B、中期报告
C、结项报告
D、课题报告
36.我国于()年实施了《专利法》。
A、1985
B、1986
C、1987
D、1988
37.知识产权具有专有性,不包括以下哪项()。
A、排他性
B、独占性
C、可售性
D、国别性
38.知识产权的时间起点就是从科研成果正式发表和公布的时间,但有期限,就是当事人去世()周年以内权利是保全的。
A、30
B、40
C、50
D、60
39.知识产权保护中需要多方协作,但()除外。
A、普通老百姓
B、国家
C、单位
D、科研人员
40.关于稿费支付的方式说法不正确的是()。
A、一次版付一次稿费
B、再版再次付稿费
C、一次买断以后再版就不必再给作者支付稿费
D、刊登他人文章就要付稿费
三、多项选择(每题2分)
41.信息安全人员的素质主要涉及以下()方面。
A、技术水平
B、道德品质
C、法律意识
D、政治觉悟
E、安全意识
42.信息安全刑事犯罪类型主要有()
A、非法侵入计算机信息系统罪
B、破坏计算机信息系统罪
C、利用计算机作为工作实施的犯罪
D、盗窃计算机硬件与软件罪
E、非法复制受保护
43.信息系统安全的总体要求是()的总和。
A、物理安全
B、系统安全
C、网络安全
D、应用安全
E、基础安全
44.对信息的()的特性称为完整性保护。
A、防篡改
B、防复制
C、防删除
D、防转移
E、防插入
45.国家“十二五”电子商务规划是由()共同编制。
A、国家发改委
B、商务部
C、科技部
D、工商行政管理总局
E、工信部
46.发展电子商务的指导思想是()
A、强化宣传
B、统筹安排
C、构建完整市场体系
D、营造良好环境
E、优化资源配置
47.逻辑方法包括()
A、分析与综合
B、抽象与具体
C、归纳与演绎
D、统计与测量
E、观察与实验
48.理论创新的原则是()
A、理论联系实际原则
B、科学性原则
C、先进性原则
D、实践性原则
E、系统性原则
49.科研论文按发表形式分,可以分为()
A、期刊论文
B、学术论文
C、实验论文
D、应用论文
E、会议论文
50.知识产权是由()构成的。
A、工业产权
B、著作权
C、发表权