时间:2023-10-11 10:17:30
导语:在电子商务安全的重要性的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
Abstract: Computer Internet promotes the rapid development of electronic commerce, which is the biggest application trend in the future. E-commerce is a new economic form of international trade. With the rapid development of cross-border e-commerce, people's lives are inseparable from e-commerce, and e-commerce development also brings new issues to China's security and confidentiality management. This paper discusses several common security problems in e-commerce, and summarizes the basic techniques to reduce the risk of e-commerce in the computer Internet.
关键词:计算机互联网;电子商务;安全保密
Key words: computer Internet;e-commerce;security
中图分类号:TP393.0 文献标识码:A 文章编号:1006-4311(2016)31-0204-02
0 引言
人类社会的发展离不开三大要素的支持,即材料、能源和信息,由此可知信息的重要性。本文所说的信息主要是指IT信息技术方面的。随着互联网的飞速发展,我国经济乃至全世界经济都取得了飞速发展,且在互联网+的大数据背景下,信息战、数字化生存、网络营销、互联网+等新概念不断的涌现出来。
当前信息化水平越来越高,世界变成了一个地球村,面对这种现状,经济也受到了一定的影响,甚至一些问题涉及到了国家方面,比如经济运行与监管的安全问题,具体例如东南亚的金融风暴、日益猖狂的网上诈骗问题、股票市场安全问题等。此外金融网络和系统的安全问题也日益突出,严重时甚至会威胁到国计民生,其重要性不言而喻。基于此,若我们不对网上从事的交易行为进行监管,可想而知危险是很大的。试想若一个人能够随意的调动银行的资金进行网上招股,其后果将不可预计。一旦经济信息的安全无法得到保障,那么只要涉及到网上交易,就会存在信息被更改的风险,影响交易的真实性,造成严重的经济损失。
未来网络会越来越普及,在这种形势下,现代商业迎来了新的发展机遇,同时其挑战也无处不在,电子商务这种新型的商务模式就是在这种形势下应运而生的。有调查结果显示,阻碍电子商务发展的主要因素是计算机网络的基础设施和电子商务的安全问题。其中影响最大的因素就是电子商务安全问题。电子商务给人们的生活带来了很大的便利,但不可否认电子商务经常出现信息泄露、网上诈骗等安全问题,因此如何解决安全问题是电子商务的当务之急。
1 基于计算机互联网中的电子商务安全问题产生的原因
80年代的信息安全被理解为保密信息,在这个阶段人们除了关注系统的保密性,还十分注重系统的完整性和可用性。例如某人想在网上银行转账资金一百元,但由于信息泄露并被篡改成转账了一千元,此时明显客户遭受到了损失,但这个损失由谁负责成了问题。实际生活中我们发现打电话追究回资金的概率是很小的,这就要求系统的完整性和可用性更加完善,因为一旦出现系统崩溃等问题其后果是不堪设想的。20世纪90年代后期,信息安全意识出现了明显变化,这个阶段更多的谈论可控的问题和信息系统,以及信息的行为不可否认的问责问题。
过去我们谈论的是计算机安全,昨天我们在谈论信息安全,今天我们在谈论信息保障。
通过加密可以有效保密计算机的安全,例如我们可以毫不费力的听懂两个讲中文说的话,但是听不懂两个讲俄语的人的话,对于对方来说这就是一种加密方法。计算机加密是必要的,它能够一定程度上保证计算机及信息的安全,现在,如果你的系统崩溃了,如何恢复?新网络犯罪的摩尔定律,网络犯罪18个月翻一倍。
电子商务是安全问题十分复杂,不仅仅是网络安全的问题,涉及到很多方面,具体如下:
①管理问题。目前多数电子商务网站都尚未建立统一的管理和评价标准,且多数网站的安全风险管理能力薄弱,缺乏抵抗黑客攻击网站的能力,一旦遇到黑客攻击,通常都会导致服务器瘫痪,影响网站的信誉。
②技术问题。尚未建立完善的网络安全系统。当前世界虽然电子商务安全产品众多,但真正认证的产品是有限的,究其原因主要有两方面:一是世界的网络安全没有形成一个完整的系统;二是强度安全技术薄弱,关于这方面的技术国外虽然比较先进,但由于受到政策影响,我国要想引进最先进的技术受到很多限制。
③环境问题。电子商务也会受到社会环境的影响,尤其是法制建设的影响,要想确保电子商务建设的发展,必须完善相关的法律。
2 基于计算机互联网中常见的电子商务安全问题
随着互联网的不断普及,其面临的安全问题也越来越多,基于计算机互联网中常见的电子商务安全问题也越来越多。整个社会对电子商务的安全需求有很多,主要分为以下几点:
①加密问题:确保识别和认证用户的需求,数据存储和加密数据的保密性,保证其在线交易支付的可靠性,更方便的安全管理,以及验证数据的完整性、不可否认性。
②政府关注:任何机构都应该在政府的支持下行事,电子商务亦是如此,经济安全和执法机构都需要一定的政府支持。制约电子商务发展的因素主要有以下方面:一是物流配送问题;二是法律保护问题;三是有偿的技术问题;四是信用机制;五是改变问题的问题;六是基础设施存在的问题。上述因素都离不开政府的支持。
③计算机网络的问题:电子商务依赖计算机系统才能正常运行,因此计算机网络安全几乎决定了电子商务是否能够正常运行,因为一旦计算机网络出现安全事故,电子商务就会中断进行或者进行错误的操作,而无论是哪种操作对于电子商务来说都是巨大的损失,因此市场上开始出现各类网络安全设备,但就目前而言,还存在较大的进步空间。
④信息安全问题:我们想来看看究竟什么是电子商务的安全问题?安全不是绝对的,它也不是一个纯粹的技术概念。安全是一种成本和价格,采取安全措施除了会影响到一定的便利之外,还会增加成本和价格,也正因为如此很多电子商务网站为了降低成本和价格,导致很多安全措施没有完全落实到位。2000年中国人民银行的信息安全标准是安全投入的10%的资金,这是第一个明确公布信息安全标准配额的行业部门,由此我们也知道了信息安全的重要性。但不可否认很多电子商务网站都没有达到10%的信息安全标准,大大增加了交易的风险性。
3 解决基于计算机互联网的电子商务安全的基本技术
①解决电子商务支付的安全性可分为直接支付和间接支付。根据银行账户可以分为如果有一个支付账户和基于电子支付的支付账户,可以分为基于信用卡支付和电子支票支付,电子支付已经成为以货币为基础的电子现金或数字现金。您是否必须与三分之一方在线联系,也可分为在线支付和线下支付。基于信用卡的支付协议的应用主要有两个:SSL和SET。目前,中国是通过电子信用卡支付的广泛应用,中国的网上银行使用SET协议的银行,中国招商银行卡是SSL协议。
②CA问题也是存在的安全问题。我国建立CA时间较短,在经验等方面存在许多不足之处,虽然我国已经建立了40多个CA(若包括地方政府和行业,有人说可能超过了80多个),但这些CA普遍存在缺乏标准的问题,我国电子商务缺乏标准化,这也是导致其安全问题出现的一个重要原因。CA的安全设备也会影响到电子商务的正常交易,无论该设备来源哪里,如何对设备的安全性进行科学的检测,也是电子商务安全的一项基本技术。
③电子签名,技术层面的统一规范。除了具备一般的签名,电子签名所应具备的功能,根据签署的文件的性质不同,签名以及各种各样的其他特点:例如,签名可以证明一方当事人愿意受合同的约束;一个人的授权是文档作者证明;对一个人通过其他人的内容书面同意证明;证明一个人某时身在某地的事实。
为了确保受认证的消息将不会简单地因为不被认证的文件和独特的方式,以否认其法律价值,联合国贸易法委员会将《电子商务示范法》通过一个综合的方法来实现。
因此,《示范法》的用意为以下两种情况下提供有用的指导:一例完全是国内法律由当事人决定注册数据信息,另一种情况下的国内法签名要求通常是强制性的,这样的要求不能由双方协议并做出改变。
电子商务中缺乏一个标准化的技术层面,相互操作影响互联互通。国际标准一万七千以上干,如果标准有超过3000个的,真正在电子商务的标准还是不够的,还需要开发。标准不仅要提前,你也应该铺平道路。游戏的标准规则,没有规则,没有标准。你先制定标准后,以后银行也好,交易也好,造成的影响非常大。在管理方面,从不同部门管理的松懈政策,导致管理混乱。法律和法规现在还不够完善,电子签名法还没有出台。如果在互联网上出现邮件攻击的问题该怎么办?出现责任怎么办,谁来负责?安全是一个重大的问题,安全措施也是一个问题,与直接投入跟适当的技术措施是相关的,与成本也有关系。我们不能使用资产的价值高于我们的成本做安全。如网站上的盗信用卡号码被盗了,谁来承担这方面的主要责任?法律法规在这方面是否有相应的规定应为安全承担连带责任问题,如果安全保护出现了问题必须被追究责任。
最后,要提高服务的安全性,否则会影响电子商务的发展,或成为一个发展的瓶颈。提高沟通的速度,否则就变成纯粹的电子商务和网络广告不能搬到商城内,许多东西我们无法看到,也更谈不上交易。降低成本,包括硬件成本、通信成本和计算成本。
4 展望
综上所述,在应对电子商务安全问题的出现,虽然电子商务安全技术取得了一定的成就,但真正成为一个领先的电子商务商业模式,必须有更多的安全技术的巨大发展和突破。什么是重要的功能信息技术,通信技术是小设备和服务的大设备。电子商务管理系统应具有一致性和经济性的特点,一致性和经济性的安全监督和符合信息安全管理一致性的信用体系。
国家应该有相关的电子商务CA管理中心,充分发挥政府在电子商务发展中的主导作用,在小政府大社会的方式,规范和管理的CA的发展,在电子商务的建设和采购中一定要考虑安全因素建设,加强部门间的协调与合作。
参考文献:
[1]张毅.论我国电子商务发展中存在的问题及其解决策略[J]. 科技情报开发与经济,2004(07).
关键词 电子商务;信息安全;技术
中图分类号:TP309 文献标识码:A 文章编号:1671-7597(2013)12-0036-02
1 电子商务的信息安全现状
电子商务是网络化的新型经济活动,已经成为我国战略性新兴产业与现代流通方式的重要组成部分。根据数据显示,我国通过手机上网以及网络用户已经突破了7亿和3亿大关,这么多的网络用户就为电子商务的发展奠定了基础。我国电子商务市场整体交易量近年来持续增大,2011年中国网民在线购物交易额达到7849.3亿元,比2010年增长了66%。,有效地促进了消费增长。预测2015年电子商务交易额将达12万亿元。随着网络深入到生活的方方面面,电子商务领域也接连出现信息安全事故,电商网络安全问题越来越受到用户的高度关注。日前,知名网商1号店爆出个人用户信息被泄露,京东商城也出现大量“恶意订单”,在消费者中引发不安和争议。在10月30日晚上10点半左右,在京东商城的充值平台上出现网络异常,当时该平台上的积分换话费活动出现系统BUG(漏洞),用户点击后就自动进行充值,整个过程并没有进行相应的扣分。而且没有充值成功的积分被双倍的返还,自动打入消费者账户,消费者发现这个漏洞,纷纷上网参与活动,一次充值仅仅10秒左右就可以完成,一直持续到晚上将近12点,京东才发现异常,并修复了好了该漏洞,这次事件为众多从事电子商务业务的企业敲响了警钟,网络完全问题无处不在,一旦发生将是不可挽回的损失。
2 电子商务对信息安全存在的问题
所谓电子商务基于电子信息网络,特别是互联网,为企业、机构和个人提品或服务交易及相关的电子认证、在线支付、物流配送等服务的业务活动。目前我国企业在电子商务信息安全方面的问题主要存在以下几点。
1)企业对信息安全的重要性有所认识,但对面临的信息安全威胁和存在的隐患仍存在侥幸心理,很多从事电子商务的企业对注册会员的资料欠缺有效的保密措施,很多信息资料采用是明文保存,这就很容易被黑客侵入获得相关客户的资料,公司内部不法人员也可以轻而易举的获得客户资料,为了牟利将其泄漏。这些问题看似技术层面的原因,其实深究起来,还是企业信息安全管理上的漏洞。在很多中小购物网站中,有的第三方支付平台未依法落实相关的日至留存措施,有的甚至在明知他人实施网络犯罪的情况下,仍为其提供支付服务,并从中提成获利,有的电子商务运营商并未落实网络交易异常、信用异常和非法交易的监控措施,导致销售违禁品、网上销赃等违法犯罪活动难以发现。
2)法律层面缺失。对于个人信息安全和网络信息安全事故,由于相关法律的缺失,截至目前,依然很难给予法律层面上的定性。尽管媒体上多次报道一些网站出现用户资料泄密事件,但从处理结果来看,企业仅仅道歉了事,并没有承担法律上的责任。这是由于目前我国在这方面的法律缺位,导致网络信息的侵权成本过低,同时消费者要维权也缺乏法律支持,而且维权成本太高,这就使得很多企业并没有动力去真正的加强用户信息保密工作。
3)网民安全意识薄弱,强化互联网企业和网民的法律意识,提升违法成本,才是应对网络安全事故的根本之策。就像京东商城那个案例,很多网民利用系统BUG,实现了给自己手机充值,或者给Q币充值的目的,这种行为其实已经符合盗窃行为的本质,但很多消费者并没有从思想上认识到这是一种盗窃,认为这是在网络的虚拟空间里就不能算作犯罪行为。随着新的传统企业进入电子商务领域及电子商务向农村纵深发展,这种意识和行为还有加重的趋势。可见,加强消费者对网络信息安全的认识,树立起消费者守法的网络行为十分必要。
3 电子商务的信息安全技术
3.1 加强安全认证
电子商务安全认证系统是保证电子商务安全的基础设施,目前,在电子商务领域,安全认证是较为通行的一种做法。电子商务安全认证是以数字证书应用为核心的密码,它以PKI技术为基础,对网络信息进行加密,有数字加密和签名加密两种方式。电子商务交易双方都是利用网络进行交易行为,交易双方互相有个信任问题,如何在不见面的情形下对双方身份进行确认是个难点,所以就需要一个参与方对双方身份进行确认并相关证书,网络交易双方都可以通过加密证书对双方的身份进行认证,保证网络信息不被篡改和窃取。同时数字证书也可以起到对集中审计、产品授权等相关业务活动进行全程跟踪管理的作用。例如新浪曾经推出国内首个安全认证企业邮箱,传统的邮件加密只限于客户端的加密,而对于邮件的传递无法监控,新浪这种加密的企业邮箱采用电子安全认证技术,基于浏览器的邮件加密,通过公钥加密与私钥解密技术结合,实现电子邮件最大的安全性。拥有这种企业邮箱的用户,可以保证在邮件的传递过程中进行发件方和接受方的身份确认,并且可以对邮件进行电子签名,保证信息的不可抵赖性。同时还支持国际漫游业务,当用户离开出差外地,使用别人的PC,打开自己的企业邮箱,输入电子认证证书密码,即可从服务器上获得128位的加密密钥,打开电子邮件,当用户阅读完邮件,关闭浏览器,其加密密钥自动销毁,在机器上不留任何备份,保证了邮件安全。
3.2 完善电子商务网站
电子商务交易双方的信任度成为评价电子商务秩序状况的重要指标,这就需要一个完善的电子商务网站。建立一个电子商务网站并不是很容易的,服务器的选择至关重要。特别是在建站的前期,服务器最重要的就是需要拥有更好的安全性和更高的性能,能够最大限度的保证消费者网络交易行为的安全性。对于电子商务企业而言,在网站建设与管理中,为了保证消费者能够短时间内挑选出适合自己的商品,就不可避免的要实现网站的搜索功能,这就对网站服务器的性能和结构提出了要求。首先选择服务器的结构。对于电子商务企业而言,服务器是要托管到电信或者网通机房,这是要付出一定费用的。服务器体积越大相应的托管费用就越高,所以企业应该根据企业实际情况,选择性价比高的机架式服务器,常见的1U或2U机架式服务器都可以符合企业经营需要。其次,在服务器性能方面,可以选择四核处理器、2GB内存以及读取性能更好的SAS硬盘,如果企业规模较小或者资金有限,可以考虑性能相对较低的SATA硬盘,并通过组建RIAD磁盘阵列来提升硬盘的读取性能和安全性。
3.3 加强信息安全的规划和沟通
没有合作的文化是做不成大团队的,电子商务信息与安全管理需要这样的合力来推行。电子商务企业信息安全发展到现代,在软硬件以及信息安全技术、方法上差别不大,关键是信息安全理念的差异。有的电子商务企业缺乏先进信息安全管理理念,企业高层对信息安全管理的意见相左,各部分之间沟通不畅、缺少合力或者缺乏对信息安全建设的长远规划和指导,这些因素都会导致企业信息安全建设的失败。因此,对于电子商务企业而言,企业信息化建设需要形成合力,需要企业高层对信息安全建设的投入、长远规划等意见统一,需要企业IT与业务部门沟通顺畅,建立信息化规划时,要按步骤、分阶段来规划。当然每个企业实际情况不同,信息安全建设的速度、规模都不尽相同,企业要根据自己的实际需要,根据企业的资金实力、发展规模以及企业发展阶段等因素做好信息安全建设的规划。同时,企业要建立统一的日常运营需要建立的管理流程,除了采取用较优秀的熟悉公司业务的人员做项目经理外,最好的办法就是建立一种长期的沟通机制,每个部门除了知道本部门的活动计划之外,还要知道其他部门的重大活动,这样才可以加强相互之间的配合。还有就是电子商务主要在网络上展开,由于网络传播速度很快,因此应该对流程的每一步都应该进行怎样的测试和审核,避免有意和无意的疏忽造成重大事故。在出现问题时采取何种措施,对这些问题采取什么样的风险描述。保证做到系统能够快速恢复、人员能够快速进入工作岗位。
总之,电子商务作为计算机应用技术与现代经济贸易活动结合的产物,已经越来越多的应用到企业中,电子商务涉及面广、主体众多,存在巨大的信息安全隐患,加强电子商务网络安全很重要。企业作为电子商务运营的主体,要切实加强对电子商务信息安全的重视程度,采用各种技术和方法来保证网络交易的安全性。
参考文献
[1]徐学军.我国发展电子商务的主要瓶颈及对策[J].科技管理研究,2004(2).
[2]汪成.企业电子商务存在的问题及对策[J].科技情报开发与经济,2005(2).
[3]周学广,刘艺.信息安全学第1版[M].北京:机械工业出版社,2003.
[4]毛剑.保护隐私的数字产品网上交易方案[J].电子学报,2005(6).
[5]王圣洁.电子商务安全问题浅述[J].计算机与数字工程,2004(6).
[6]武心莹.电子商务的安全性及其实现[J].江西财经大学学报,2004(4).
[关键词] 电子商务 安全 PKI 公钥
一、引言
随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式,成为当今社会发展的一个主题。网络的开放性,互连性,共享性程度的扩大,特别是Internet的出现,使网络的重要性和对社会的影响也越来越大。随着网络上电子商务,电子现金,数字货币,网络移动通信等新业务的兴起,信息安全问题变得越来越重要。在各种网络信息技术的应用中,保障用户的合法访问、保证数据在传输过程中的保密性,以及确认发送者的合法身份是最基本的安全要求。越来越多的组织利用公钥基础设施(PKI)技术为用户提供信息安全服务。在我国,基于PKI技术的安全方案也从金融、电信等少数行业扩展到更多领域,出现在电子政务、电子商务等各类信息化应用中。
二、电子商务安全
电子商务是指各种具有商业活动能力的主体(如企业、个人、政府、银行等)利用网络和先进的数字化传媒技术开展的各项商业贸易活动。电子商务作为一种全新的商务运作模式,在不断发展的同时,也带来种种安全问题。电子商务安全分为两大部分:计算机网络安全和商务交易安全。
计算机网络安全的内容包括计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题, 实施强大的网络安全监控方案, 以保证计算机网络自身的安全性。常用的网络安全技术有防火墙、虚拟专用网、入侵检测技术、计算机防病毒技术等。
商务交易安全则紧紧围绕传统商务在互联网上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行,即实现电子商务的真实性、完整性、机密性和不可否认性等。具体包括:如何确定通信中贸易伙伴的真实性,保证身份的可认证性; 如何保证电子单证的机密性,防范电子单证的内容被第三方读取;如何保证被传输的业务单证不会丢失,或者发送方可以察觉所发单证的丢失;如何保证电子单证内容的真实性、准确性和完整性;如何保证存储信息的安全性;如何对数据信息进行审查并将审查的结果进行记录。
三、PKI与电子商务安全
互联网络的开放性和匿名性的特征使电子商务的安全问题变得越来越突出,诸如信息的泄露或篡改,欺骗,抵赖等问题。为了防范用户身份(包括人和设备)的假冒、数据的截取和篡改,以及行为的否认等安全漏洞,互联网急需一种技术或体制来实现对用户身份的认证,建立可信的网络应用环境,并保证互联网上所传输数据的安全。PKI是为适应网络开放状态应运而生的一种技术,以前的信息安全技术(如防火墙、入侵检测。防病毒等)基本上都是解决网络安全某一方面的问题,而PKI则是比较完整的网络安全解决方案,能够全面保证信息的真实性、完整性、机密性和不可否认性。
1.什么是PKI
PKI(Public Key Infrastructure)即“公钥基础设施”,是一套利用公钥密码技术为安全通信提供服务的基础平台的技术和规范,PKI规定了该安全基础平台应遵循的标准。PKI公钥基础设施的主要任务是在开放环境中为开放性业务提供基于非对称密钥密码技术的一系列安全服务,包括身份认证和密码管理、机密性、完整性、身份认证和数字签名等。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。用户可利用PKI平台提供的服务进行安全的电子交易,通信和互联网上的各种活动。
2.PKI的组成
一个典型的PKI系统应该包括PKI策略,软硬件系统,认证中心CA、注册机构RA、证书签发系统和PKI应用等基本部分,见图1 PKI的组成框图。
图 PKI的组成框图
(1)PKI策略:是一个包含如何在实践中增强和支持安全策略的一些操作过程的详细文档,它建立和定义了一个组织信息安全方面的指导方针,同时也定义了密码系统使用的处理方法和原则。
(2)软硬件系统是:PKI系统运行所需的所有软件、硬件的集合,主要包括认证服务器、目录服务器、PKI平台等。
(3)认证中心CA:是PKI的信任基础,它负责管理密钥和数字证书的整个生命周期。其作用包括:证书申请、证书审批和发放、规定证书的有效期、证书更新、接收并处理合法身份者的证书查询和撤消申请、产生并管理证书废止列表CRL、将各用户的数字证书归档、产生并管理密钥(包括密钥备份及恢复)、将用户的历史数据归档等。
(4)注朋机构RA:是PKI信任体系的重要组成部分,是用户(可以是个人或团体)和认证中心CA之间的一个接口。主要完成收集用户信息、确认用户身份的功能。这里指的用户,是指将要向认证中心(以)申请数字证书的客户,它可以是个人,也可以是集团、企业等机构。
(5)证书签发系统:负责证书的发放,如可以通过用户自己,或是通过目录服务。目录服务器可以是一个组织中现有的,也可以是PKI方案中提供的。
(6)PKI应用:包括在Web服务器和浏览器之间的通讯、电子邮件、电子数据交换(EDI)、在Internet上的信用卡交易和虚拟专业网(VPN)等。
(7)应用接口系统(API):一个完整的PKI必须提供良好的应用接口系统,让用户能够方便地使用加密、数字签名等安全服务,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保所建立起来的网络环境的可信性,降低管理和维护的成本。
3.基于PKI的电子商务安全体系
电子商务的关键是商务信息电子化,因此,电子商务安全性问题的关键是计算机信息的安全性。如何保障电子商务过程的顺利进行,即实现电子商务的真实性、完整性、机密性和不可否认性等。PKI体系结构采用证书管理公钥,通过第三方的可信机构,把用户的公钥和用户的其他标识信息(如用户身份识别码、用户名、身份证件号、地址等)捆绑在一起,形成数字证书,以便在Internet上验证用户的身份。PKI是建立在公钥理论基础上的,从公钥理论出发,公钥和私钥配合使用来保证数据传输的机密性;通过哈希函数、数字签名技术及消息认证码等技术来保证数据的完整性;通过数字签名技术来进行认证,且通过数字签名,安全时间戳等技术提供不可否认。因此PKI是比较完整的电子商务安全解决方案,能够全面保证信息的真实性、完整性、机密性和不可否认性。
通常电子商务的参与方一般包括买方、卖方、银行和作为中介的电子交易市场。首先买方通过浏览器登录到电子交易市场的Web服务器并寻找卖方。当买方登录服务器时,买卖双方都要在网上验证对方的电子身份证,这被称为双向认证。在双方身份被互相确认以后,建立起安全通道,并进行讨价还价,之后买方向卖方提交订单。订单里有两种信息:一部分是订货信息,包括商品名称和价格;另一部分是提交银行的支付信息,包括金额和支付账号。买方对这两种信息进行双重数字签名,分别用卖方和银行的证书公钥加密上述信息。当卖方收到这些交易信息后,留下订货单信息,而将支付信息转发给银行。卖方只能用自己专有的私钥解开订货单信息并验证签名。同理,银行只能用自己的私钥解开加密的支付信息、验证签名并进行划账。银行在完成划账以后,通知起中介作用的电子交易市场、物流中心和买方,并进行商品配送。整个交易过程都是在PKI所提供的安全服务之下进行,实现了真实性、完整性、机密性和不可否认性。
四、结束语
综上所述,PKI技术是解决电子商务安全问题的关键,综合PKI的各种应用,我们可以建立一个可信任和足够安全的网络,能够全面保证电子商务中信息的真实性、完整性、机密性和不可否认性。
参考文献:
[1]宁宇鹏陈昕等:PKI技术[M].北京:机械工业出版,2004年
[关键词] 电子商务会计;会计信息系统;信息安全
1 引 言
电子商务的实施和推广,极大地冲击了企业的传统经营和发展模式,也使企业的传统会计有逐步向电子商务会计过渡的趋势
电子商务是一个以Internet为主要平台以交易双方为主体以银行支付和结算为主要手段以客户数据库为依托的全新商业模式因此,如何应对这种全新的商务模式适应信息化条件下的市场竞争,是企业会计必须面对的崭新课题由于电子商务发展所依托的主要平台——互联网具有很大的安全风险,电子商务环境下的会计信息同样也面临着不可忽视的安全问题随着电子商务应用的进一步推广,电子商务环境下的企业会计信息安全问题的日益凸现,已经成为企业向电子商务时代跨越的一大障碍因此,解决电子商务环境下的会计信息安全问题已经成为发展电子商务会计中最重要最基本的工作
2 电子商务环境下的会计信息安全问题
由于电子商务环境下网络的复杂性以及会计问题的特殊性,会计信息遇到的安全问题是多方面的电子商务环境下存在着大量的会计信息安全问题:
(1)网络安全风险
互联网是一个开放的环境,置于该环境中的各种服务器数据库上的信息在理论上都是可以被访问到的因此,网络会计信息系统很难完全抵制非法访问者的侵扰和攻击尤其是当系统程序本身存在问题系统安全漏洞较大并且系统管理人员尚不自知时,就难以保证服务器上的会计信息系统的信息资源不会被窃取或篡改当然这种攻击可能来自于系统外部,也可能来自系统内部,而且一旦发生企业将损失巨大
(2)无纸化的申报和扣税带来税务稽查问题
在网上交易电子化,电子货币电子发票和网上银行日渐普及的情况下,纳税人手工上门申报方式已经无法适应电子商务发展的需要同时,也引出了所谓的电子税收问题,即如何保证纳税单位忠实无误地进行网上申报,而税务稽查的基础是掌握大量确切的有关纳税人应税会计信息的证据
(3)追踪审计困难
从审计工作的角度看,由于数据高度集中于电子商务系统,电子商务系统对错误的处理具有重复性和连续性,电子商务系统中许多不相容职责相对集中,加大了舞弊的风险此外,会计信息系统设计时可能没有充分考虑到审计工作的需要,没有留下充分的审计线索因此,无纸化的商务环境导致电子商务活动难以追踪审计,各种会计凭证又可被轻易修改而不留痕迹,传统的税务稽查工作失去物质基础
(4)相关的法律法规配套不完善
加强电子商务立法措施,为电子商务会计发展提供一个健全的法律环境为此,要大胆借鉴和移植发达国家电子商务保护交易安全的成功经验和制度,并结合中国的实际情况,构造一套强化交易安全保护的法律制度;在计算机及其网络安全管理的立法上,应针对电子商务交易在虚拟环境中运行的特点,明确提出电子商务交易安全保护的法律措施;随着电子商务进一步发展,虚拟公司越来越小,而人力资源与知识产权等是其创造价值的动力所在未来的会计报告必然要求披露知识产权商誉等的真实情况确认的公允价值我国有关电子商务活动的法律法规还难以预想到电子商务会计活动中出现的新问题,这就增加了会计信息安全的不确定性,加大了风险
(5)现行财务会计软件的不成熟带来的会计信息安全风险
由于开发的滞后性,当前市场上流行的各种财务软件,都与电子商务会计发展的客观需求存在着一定的差距开发出的财务软件适应性差应变能力不强相互兼容性不好抗病毒能力差等弱点已很难适应电子商务会计的需要电子商务会计软件的不成熟严重阻碍了电子商务会计的充分发展
会计信息是企业管理的基本依据之一,从事电子商务活动的企业需要利用电子商务网络进行会计信息的收集输入处理存储输出传递等活动,如何利用电子商务安全技术对网络中的会计信息进行保密处理,确保会计信息的安全,是企业面临的一项重要任务
3 电子商务环境下的会计信息系统安全策略研究
一般的会计信息系统都包括信息源输入处理存储输出反馈和信息汇等几个构成要素各构成要素的关系如图1所示:
在电子商务环境下,会计核算网络化以后,会计岗位将重新划分,包括系统设计员系统管理员系统操作员数据录入员数据审核员系统维护员数据分析员档案管理员等,各岗位之间相互联系相互监督相互牵制会计信息的安全与会计信息系统的构成元素有着密切的关系,因此,我们可以从会计信息系统的各个构成元素来对会计信息安全进行研究,具体分析如下:
3. 1会计信息源的安全
原始会计信息准确性是企业会计问题的基础,因此,会计信息源安全的意义不言而喻,如果会计信息源遭到攻击,导致其发出的信息是虚假的或是不准确的,在会计信息系统本身没有识别能力的情况下,会计信息系统中处理存储和输出的信息肯定是有误的,传送到信息汇中的信息也是错误的,这必然引发企业一系列的会计问题因此,如何保证在信息源头获取正确的可靠的原始会计数据,是保证会计信息安全的基础,否则,一切挽救措施都无从谈起为此,需要在信息源处加上电子审计的功能,以确保其发出的数据是准确的客观的同时,在进入输入节点时需要加上识别功能,以防错误或虚假信息进入会计信息系统在电子商务的环境下,会计信息源可能在企业外部,非企业本身所能控制,因此,保证会计源发出的信息准确无误不仅需要各种先进的电子商务安全技术和安全措施作支撑,还需要相关的电子商务法规来保障,同时还需要建立起全社会的诚信系统来维护,以最大限度地减少虚假错误的信息的发生具体到企业个体来说,信息源责任单位应建立有效的信息安全保密管理制度和技术保障措施,并接受相关业务主管部门的管理监督和检查公司财务主管应有权对信息源责任单位对外公开的信息内容通过浏览进行检查,并要求信息源责任单位就不适宜的信息内容进行修改和删除等
3. 2信息输入节点的安全
数据输入的正确与否直接影响到账务处理和账务输出的结果因此会计数据输入控制显得尤为重要在会计信息系统中,每一步的信息输入要来自上一步的结果,每一步的信息输出又构成下一步的信息输入在电子商务环境下,从会计信息源获取的数据一般是通过客户端直接输入系统的或从另一个系统传送到系统服务器数据库的如果是人工键盘输入,则需要在保证输入正确的同时防止信息的泄露,还需要采取措施对录入人员进行培训和监督,特别是需要进行及时的内部监控,以防有人故意破坏或输入虚假错误的数据另外,在输入技术方面,需要考虑输入的方式接口输入数据的格式及其转换问题,这关系到原始会计数据是否能正确地进入系统病毒的破坏黑客的攻击以及人为的失误等状况都可能威胁会计数据的正常安全转换此外,实际经验表明,内部人员的干扰和破坏是系会计信息系统安全的最大隐患,因此很有必要为此制定一个严格的完善的会计信息安全管理制度,使企业财务系统从设计投入使用业务操作设备管理都有相应的制度监督,对违反规定的员工必须依制度处理,建立相应的监督机制,保证相关制度得到落实在许多先进的会计信息系统中一般均含有监控模块或子系统,其作用是对外部信息的输入进行必要的控制和管理,以及时发现和纠正各种可能的错误 转贴于 3. 3信息处理部分的安全
数据处理是会计信息系统的核心功能,财务系统处理的业务均与“钱”有关,具有高度的敏感性和机密性,处理结果要求及时准确完整,不能有一丝差错故一般在数据处理期间,其网络必须封闭运行,不能连接与业务无关的终端,不能与其他无关的部门共同使用计算机设备,更不能与互联网相连当然封闭是相对而言的,对业务相关部门是应开放的,以实现资源共享,提高企业管理水平需要说明的是,即使对相关部门开放,也需层层加密,授权作业,禁止处理未授权的业务
信息处理部分的安全隐患也主要来自黑客的攻击程序的破坏以及系统开发时留下的bug,这些都会干扰信息系统对会计数据处理的正常处理,甚至会危害整个系统的运行这些问题与前述的问题有关,但内部人员作案外部人员或组织的破坏均是可能的特别是内部人员或前内部人员作案,隐蔽性强,往往难以追踪,而且破坏性很大,这同样需要制度化的措施和及时的监控来加以解决另外,黑客程序的入侵和病毒程序的破坏已经是经常性的问题,因此,实时监控是电子商务网络和系统必备的措施应建立操作日志,对日常业务进行全程跟踪,加强控制,对大额业务单独列示,详细反映认真核对每笔业务,建立严格的确认复核制度,保证数据完整准确重点监控大额业务定期评估财务系统的安全性,发现问题及时解决
3. 4信息输出部分的安全
由于会计信息系统输出的财务数据或信息往往涉及企业的商业机密,所以需要采取严密的措施进行安全防范除了前面叙述的问题外,如何防止企业敏感财务信息的泄露是重中之重对优秀的会计信息系统来说,所有数据输出活动都应该有记录,这种记录主要是针对用户的信息审计系统能实时对进出内部网络数据库系统的信息进行内容审计,以防止或追查可能的泄密行为凡属涉密,按照国家有关法律法规要求,建议安装使用信息审计系统信息输出的形式往往与采用的保密措施有关,特别是当会计数据或信息以电子化的形式输出时,需要采用严格的制度和纪律加以规范,以防在电子商务网上迅速传播和泄露另外,对获得输出数据或信息的人和组织必须进行严格的审查和监督,并加以控制和施以法律责任,以防止泄密或向外部被篡改后的数据或信息,引起争议或麻烦
3. 5数据存储部分的安全
这是会计信息系统最敏感的部分这部分的安全威胁主要来自黑客对未经授权的数据的浏览修改和删除此外,计算机病毒对于存储的电子数据也是一个极为严重的威胁对企业财务数据信息的安全保护,其重要性已经上升到企业安全的高度因此,建立一个安全高效的数据存储管理制度刻不容缓首先,电子商务系统本身的技术水平技术措施系统管理员和数据库管理员的技术水准和责任心严格的纪律和手段等,是保证数据存储器安全的先决条件同时,凡是有权访问数据的人和组织均有法律责任,对敏感的会计数据进行严格的保密另外,数据存储安全管理尤其需要隔绝不安全的人包括:
(1)数据破坏者毁灭存储信息
(2)窃密者超越权限获取信息的人都可以称为窃密者
(3)不当使用者不熟悉数据安全和处理的人都可能造成不当使用
这其中前两类人有很多是内部人员,也可能以黑客/间谍面目出现
因此,企业需要加强内部控制,实行严格的数据资源授权管理制度在会计电算化比较完备的企业应建立起网络系统计算机系统和数据库3层访问权限控制管理制度,安全策略在确定对每个资源管理授权者的同时,还要确定他们可以对用户授予什么级别的权限如果没有数据管理授权者的信息,就无法掌握究竟哪些人在使用数据库对于数据中的关键财务信息资源,对其可授权范围应尽可能小,范围越小就越容易管理,相对也就越安全在对数据访问授权者管理的同时,要制定对用户授权的过程设计,以防止对授权职责的滥用,以防止财务机密外泄和蓄意计算机作案,保证会计信息的安全
3. 6信息汇的安全
信息汇指的是会计数据流向的目的地,它既可能是企业内外部的组织或者是具体的相关职责个人,也可能是会计信息系统的数据库对企业财务部门来说,必须具有强有力的监控措施,对于谁在什么时候什么地方以何种方式对什么对象做了什么操作发生什么结果等都应该进行详尽的记录对这些信息使用者的监控,必须有法律效力这涉及了信息共享的安全性问题商务机密的泄漏通常是在信息共享中发生的因此,除了严格的制度和强硬的纪律法律手段外,还需要有效的安全技术和安全措施作保障
4 结束语
在电子商务网络中,会计信息的安全保密问题实际上与一般网络安全问题有直接的关系,在安全措施和手段上也基本一致但是会计信息比一般信息敏感,在企业的日常管理方面财务审计与课税等方面起重要作用由于会计信息不同使用者的信息需求有差异,会计信息的可靠性和相关性在某些情况下也不容易同时兼顾由于在电子商务环境下产生的会计信息一般是以电子化的方式而非书面的形式存在,故其法律效力和原始会计数据的追踪变得复杂,其安全保密具有特别的意义对会计数据和信息的安全进行妥善处理,不仅需要技术方面的措施,还需要社会法律制度等来保障
主要参考文献
[1] George H Bodnar,William S Hopwood. 会计信息系统[M]. 第8版. 北京:清华大学出版社,2001.
[2] 陈少华. 防范企业会计信息舞弊的综合对策研究[M]. 北京:中国财政经济出版社,2003.
[关键词]互联网;电子商务;系统安全;数据安全;网络系统
一、前言
近年来,随着因特网的普及日渐迅速,电子交易开始融入人们的日常生活中,网上订货、网上缴费等众多电子交易方式为人们创造了便利高效的生活方式,越来越多的人开始使用电子商务网站来传递各种信息,并进行各种交易。电子商务网站传递各种商务信息依靠的是互联网,而互联网是一个完全开放的网络,任何一台计算机、任何一个网络都可以与之相连。它又是无国界的,没有管理权威,“是世界唯一的无政府领地”,因此,网上的安全风险就构成了对电子商务的安全威胁。
从发展趋势来看,电子商务正在形成全球性的发展潮流。电子商务的存在和发展,是以网络技术的革新为前提。电子商务系统的构建、运行及维护,都离不开技术的支持。同时,因为电子商务适合于各种大、小型企业,所以应充分考虑如何保证电子商务网站的安全。
二、电子商务网站的安全控制
电子商务的基础平台是互联网,电子商务发展的核心和关键问题就是交易的安全性。由于Internet本身的开放性,使网上交易面临了种种危险,也由此提出了相应的安全控制要求。
下面从技术手段的角度,从系统安全与数据安全的不同层面来探讨电子商务中出现的网络安全问题。
(一)系统安全
在电子商务中,网络安全一般包括以下两个方面:
1.信息保密的安全
交易中的商务信息均有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。
2.交易者身份的安全
网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会考虑网上的商店是否是黑店。因此能方便而可靠地确认对方身份是交易的前提。
对于一个企业来说,信息的安全尤为重要,这种安全首先取决于系统的安全。系统安全主要包括网络系统、操作系统和应用系统三个层次。系统安全采用的技术和手段有冗余技术、网络隔离技术、访问控制技术、身份鉴别技术、加密技术、监控审计技术、安全评估技术等。
(1)网络系统
网络系统安全是网络的开放性、无边界性、自由性造成,安全解决的关键是把被保护的网络从开放、无边界、自由的环境中独立出来,使网络成为可控制、管理的内部系统,由于网络系统是应用系统的基础,网络安全便成为首要问题。解决网络安全主要方式有:
网络冗余——它是解决网络系统单点故障的重要措施。对关键性的网络线路、设备,通常采用双备份或多备份的方式。网络运行时双方对运营状态相互实时监控并自动调整,当网络的一段或一点发生故障或网络信息流量突变时能在有效时间内进行切换分配,保证网络正常的运行。
系统隔离——分为物理隔离和逻辑隔离,主要从网络安全等级考虑划分合理的网络安全边界,使不同安全级别的网络或信息媒介不能相互访问,从而达到安全目的。对业务网络或办公网络采用VLAN技术和通信协议实行逻辑隔离划分不同的应用子网。
访问控制——对于网络不同信任域实现双向控制或有限访问原则,使受控的子网或主机访问权限和信息流向能得到有效控制。具体相对网络对象而言需要解决网络的边界的控制和网络内部的控制,对于网络资源来说保持有限访问的原则,信息流向则可根据安全需求实现单向或双向控制。访问控制最重要的设备就是防火墙,它一般安置在不同安全域出入口处,对进出网络的IP信息包进行过滤并按企业安全政策进行信息流控制,同时实现网络地址转换、实时信息审计警告等功能,高级防火墙还可实现基于用户的细粒度的访问控制。
身份鉴别——是对网络访问者权限的识别,一般通过三种方式验证主体身份,一是主体了解的秘密,如用户名、口令、密钥;二是主体携带的物品,如磁卡、IC卡、动态口令卡和令牌卡等;三是主体特征或能力,如指纹、声音、视网膜、签名等。加密是为了防止网络上的窃听、泄漏、篡改和破坏,保证信息传输安全,对网上数据使用加密手段是最为有效的方式。目前加密可以在三个层次来实现,即链路层加密、网络层加密和应用层加密。链路加密侧重通信链路而不考虑信源和信宿,它对网络高层主体是透明的。网络层加密采用IPSEC核心协议,具有加密、认证双重功能,是在IP层实现的安全标准。通过网络加密可以构造企业内部的虚拟专网(VPN),使企业在较少投资下得到安全较大的回报,并保证用户的应用安全。
安全监测——采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络扫描监测系统作为对付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征,广泛用于各行各业。网络扫描是针对网络设备的安全漏洞进行检测和分析,包括网络通信服务、路由器、防火墙、邮件、WEB服务器等,从而识别能被入侵者利用非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告,包括位置、详细描述和建议的改进方案,使网管能检测和管理安全风险信息。
(2)操作系统
操作系统是管理计算机资源的核心系统,负责信息发送、管理设备存储空间和各种系统资源的调度,它作为应用系统的软件平台具有通用性和易用性,操作系统安全性直接关系到应用系统的安全,操作系统安全分为应用安全和安全漏洞扫描。
应用安全——面向应用选择可靠的操作系统,可以杜绝使用来历不明的软件。用户可安装操作系统保护与恢复软件,并作相应的备份。
系统扫描——基于主机的安全评估系统是对系统的安全风险级别进行划分,并提供完整的安全漏洞检查列表,通过不同版本的操作系统进行扫描分析,对扫描漏洞自动修补形成报告,保护应用程序、数据免受盗用、破坏。
(3)应用系统
办公系统文件(邮件)的安全存储:利用加密手段,配合相应的身份鉴别和密钥保护机制(IC卡、PCMCIA安全PC卡等),使得存储于本机和网络服务器上的个人和单位重要文件处于安全存储的状态,使得他人即使通过各种手段非法获取相关文件或存储介质(硬盘等),也无法获得相关文件的内容。
文件(邮件)的安全传送:对通过网络(远程或近程)传送给他人的文件进行安全处理(加密、签名、完整性鉴别等),使得被传送的文件只有指定的收件者通过相应的安全鉴别机制(IC卡、PCMCIAPC卡)才能解密并阅读,杜绝了文件在传送或到达对方的存储过程中被截获、篡改等,主要用于信息网中的报表传送、公文下发等。
业务系统的安全:主要面向业务管理和信息服务的安全需求。对通用信息服务系统(电子邮件系统、WEB信息服务系统、FTP服务系统等)采用基于应用开发安全软件,如安全邮件系统、WEB页面保护等;对业务信息可以配合管理系统采取对信息内容的审计稽查,防止外部非法信息侵入和内部敏感信息泄漏。
(二)数据安全
数据安全牵涉到数据库的安全和数据本身安全,针对两者应有相应的安全措施。
数据库安全——大中型企业一般采用具有一定安全级别的SYBASE或ORACLE大型分布式数据库,基于数据库的重要性,应在此基础上开发一些安全措施,增加相应控件,对数据库分级管理并提供可靠的故障恢复机制,实现数据库的访问、存取、加密控制。具体实现方法有安全数据库系统、数据库保密系统、数据库扫描系统等。
数据安全——指存储在数据库数据本身的安全,相应的保护措施有安装反病毒软件,建立可靠的数据备份与恢复系统,某些重要数据甚至可以采取加密保护。
(三)网络交易平台的安全
网上交易安全位于系统安全风险之上,在数据安全风险之下。只有提供一定的安全保证,在线交易的网民才会具有安全感,电子商务网站才会具有发展的空间。
交易安全标准——目前在电子商务中主要的安全标准有两种:应用层的SET(安全电子交易)和会话层SSL(安全套层)协议。前者由信用卡机构VISA及MasterCard提出的针对电子钱包/商场/认证中心的安全标准,主要用于银行等金融机构;后者由NETSCAPE公司提出针对数据的机密性/完整性/身份确认/开放性的安全协议,事实上已成为WWW应用安全标准。
交易安全基础体系——交易安全基础是现代密码技术,依赖于加密方法和强度。加密分为单密钥的对称加密体系和双密钥的非对称加密体系。两者各有所长,对称密钥具有加密效率高,但存在密钥分发困难、管理不便的弱点;非对称密钥加密速度慢,但便于密钥分发管理。通常把两者结合使用,以达到高效安全的目的。
交易安全的实现——交易安全的实现主要有交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的抵赖等等。具体实现的途径是交易各方具有相关身份证明,同时在SSL协议体系下完成交易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等。
随着电子商务的发展,网上交易越来越频繁,调用每项服务时需要用户证明身份,也需要这些服务器向客户证明他们自己的身份。而保障身份安全的最有效的技术就是PKI技术。
PKI的应用在我国还处于起步阶段,目前我国大多数企业只是在应用它的CA认证技术。CA(CertificationAuthorty)是一个确保信任度的权威实体,主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,并能很好地和其他厂家的CA产品兼容。在不久的将来,PKI技术会在电子商务和网络安全中得到更广泛的应用,从而真正保障用户和商家的身份安全。
三、目前信息安全的研究方向
从历史角度看,我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域,它综合利用了数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。
安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。作为信息安全关键技术密码学,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制,克服了网络信息系统密钥管理的困难,同时解决了数字签名问题,它是当前研究的热点。
目前电子商务的安全性已是当前人们普遍关注的焦点,它正处于研究和发展阶段,并带动了论证理论、密钥管理等研究。由于计算机运算速度的不断提高,各种密码算法面临着新的密码体制,如量子密码、DNA密码、混沌理论等密码新技术出处于探索之中。在我国,信息网络安全技术的研究和产品开发虽处于起步阶段,有大量的工作需要我们去研究、开发和探索,但我们相信在不久的将来,会走出一条有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。
四、结束语
电子商务是以互联网为活动平台的电子交易,它是继电子贸易(EDI)之后的新一代电子数据交换形式。计算机网络的发展与普及,直接带动电子商务的发展。因此计算机网络安全的要求更高,涉及面更广,不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取,以保证系统本身安全性,如服务器自身稳定性,增强自身抵抗能力,杜绝一切可能让黑客入侵的渠道等等。对重要商业应用,还必须加上防火墙和数据加密技术加以保护。在数据加密方面,更重要的是不断提高和改进数据加密技术,使不法分子难有可乘之机。
参考文献:
[1]佚名.解析电子商务安全[EB/OL].
[2]佚名.网络构建与维护[EB/OL].
[3]洪国彬.电子商务安全与管理[M].北京:电子工业出版社,2006.
关键词:电子商务;身份认证;防火墙
1引言
电子商务可以增加销售额并降低成本的优势,使得政府与企业都十分重视并推动电子商务的建设和发展。电子商务发展到今天,主要问题在于时空的分离导致了安全问题的出现,信息的安全性是当前发展电子商务最迫切需要解决的问题之一。研究和分析电子商务的安全性问题,特别是针对企业自身情况,充分借鉴以往电子商务系统开发的先进技术和经验,开发出符合企业特殊的电子商务系统,已经成为目前发展电子商务的关键,而安全体系的构建显得尤为重要。
2电子商务的主要安全要素
目前电子商务工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看,传统的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系,由于距离的限制,因而建立交易双方的安全和信任关系相当困难。时空的分离导致了安全问题的出现,电子商务交易双方(销售者和消费者)都面临安全威胁,电子商务的安全要素主要体现在以下几个方面:
2.1信息真实性、有效性
电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。
2.2信息机密性
电子商务作为贸易的一种手段,其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。
3.3信息完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
3.4信息可靠性、不可抵赖性和可鉴别性
可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。
在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在1nternet上每个人都是匿名的,电子商务系统应充分保证原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。
3电子商务安全系统
网络安全是电子商务的基础。为了保证电子商务交易能顺利进行,要求电子商务平台要稳定可靠,能不中断地提供服务。任何系统的中断,如硬件、软件错误,网络故障、病毒等都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
所以就整个电子商务安全系统而言,安全性可以划分为四个层次,
1)网络节点的安全
2)通讯的安全性
3)应用程序的安全性
4)用户的认证管理
其中2、3、4是通过操作系统和Web服务器软件实现,而网络节点的安全性依靠防火墙保证,我们应该首先保证网络节点的安全性。
3.1网络节点的安全
防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供个相对更安全的平台。
防火墙是在连接Internet和Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
3.2通讯的安全
在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。建立SSL链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。
3.3应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。
3.4用户的认证管理
1)身份认证
电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。
2)CA证书
要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。
3)安全套接层SSL协议
安全套接层SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。
SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(CA,CertificateAuthority)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。
SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如Http、Ftp、Telnet等)以保证应用层数据传输的安全性。
SSL协议握手流程由两个阶段组成:服务器认证和用户认证。
①服务器认证
客户端向服务器发送一个“Hello”信息,以便开始一个新的会话连接;服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。这样通过主密钥引出的密钥对一系列数据进行加密来认证服务器,从而建立安全的通信通道。
②用户认证
经认证的服务器发送一个提问给客户,客户则返回数字签名后的提问和其公开密钥,从而向服务器提供认证。SSL协议支持各种加密算法,实现简单,独立于应用层协议,且被大部分浏览器和Web服务器内置,便于在电子交易中应用。但SSL是一个面向连接的协议,起初并不是为了支持电子商务而设计的,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL协议不能协调各方面的安全传输和信任关系。为此,开发出了在网络应用层中专为电子商务而设计的SET协议。
4安全管理
为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。对于所有接触系统的人员,按其职责设定其访问系统的最小权限。按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。
建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。定期检查日志,以便及时发现潜在的安全威胁。
对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。
5结束语
安全实际上就是一种风险管理。任何技术手段都不能保证1OO%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。
参考文献:
[1]吴洋.电子商务安全方法研究[D].天津大学,2006.
[2]李艳.电子商务信息安全策略研究[J].甘肃科技,2005,(06)
[3]成卫青,龚俭.网络安全评估[J].计算机工程,2003,(02).
关键词:电子商务;网络安全;IT安全
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 10-0000-02
一、电子商务中的网络安全概述
(一)电子商务概述
电子商务泛指在互联网络覆盖的全球各个国家和地区的商务活动中,通过网络和商务平台来进行商务信息交流和商品的交易等商务行为,而这一过程中买卖的双方并未谋面。伴随着计算机技术和互联网络的飞速发展,电子商务一经推出就得到了广泛的推广,时至今日电子商务仍然被人们看作是IT领域在未来最有潜力的聚焦点。
(二)网络安全技术在电子商务中的应用
1.数字加密技术。数字加密技术来源已久,并且它在电子商务的安全保障技术中占有很大的比重。数字加密技术中存在很多IT人所熟知的加密算法,如今这些算法被加以改进和完善并且巧妙的运用到电子商务信息安全的保障技术当中。加密算法和加密信息在交易的必要阶段会在交易双方之间交换以达到信息确认或者是身份验证的目的。互联网络发展至今衍生出了很多热门的应用和技术,像是数据传输、电子邮件收发和数据存储等,而这些应用统统存在其自身的安全性问题。能够解决这些问题的唯一路径就是采用数字加密技术。
2.数字认证技术。数字认证技术可以被解读为一个被广受信赖的商业性质的中介组织通过数字证书的颁发来提供的一种认证服务,这种认证服务常常被应用在电子商务中的客户、银行和企业三个角色之间,而这里所说的商业性质的中介组织就是我们熟知的认证中心。简单来说,认证中心为客户、企业和银行颁发数字证书使得三方获得信任关系。通过以上的描述我们可以发现,认证中心在认证技术中的重要性,认证中心拥有数字证书的权利,它的信誉度和公正性不容怀疑。认证中心往往是采用分级的管理方式,高级认证中心负责数字证书的并且通过逐级传递的方式授予用户,同时高级的认证中心管理着低级认证中心的数字证书。这一最高级别的认证中心便是金融认证中心。
3.防火墙与病毒防治技术。防火墙在电子商务中的主要应用方向是屏蔽黑客恶意攻击和入侵电子商务平台和网络。企业中的电子商务系统一旦连接上互联网络就一定要在企业的内部网络和互联网络之间设置防火墙。防火墙不仅能隔绝内外网络环境还可以阻挡外边入侵和内部信息泄露。在防火墙的应用方面我们尤其需要重视的是防火墙不是为了病毒的防范和设置的,其自身也没有相关的功能。所以病毒的防护技术和防火墙技术要同时设立,在设置防火墙的同时在企业电子商务平台服务器中安装防毒软件。另外,防火墙的更新是防火墙安全级别的保障,防火墙和病毒防治软件的实时更新是防火墙技术应用中的重中之重。
二、电子商务中常见的网络安全问题
(一)商务信息安全问题
商务信息作为企业中的机密数据,一旦被不法份子截获或篡改必然会对企业带来极大的困扰。即便如此,当前仍然有很多企业对其不够重视。有些企业对商业数据的加密力度不够甚至是根本没有对商业数据加密,不法分子可以通过对互联网络、电话线或者电磁波设置数据拦截装置来截获商业数据。可以想象在企业的交易过程中,企业内部数据或者是传输给交易方的数据一旦遭到篡改和毁坏,不但会对当前的交易造成混乱更是会在一定程度上影响企业的形象和信誉。
(二)电子商务平台漏洞
由于互联网络的开放性、广泛性,造成了电子商务平台或者网络自身可能存在很多的安全问题,很多企业对电子商务平台自身缺乏应有的警惕性,对自身的电子交易平台不够重视,缺乏基本的电子平台运维管理意识,只有在企业信息泄露或者是企业内部服务器被恶意入侵之后才会意识到电子商务平台的安全配置不够。另外还有一些企业虽然对电子商务平台拥有足够的重视,却在安全技术产品的选择问题中盲目追崇,反而忽视了自身应有的企业管理制度。总之企业的电子商务平台架构缺陷、应用安全技术软件的漏洞和企业自身管理统统可以归结为电子商务平台的缺陷,而这些缺陷不但会给企业带来巨大的经济损失更会给企业遭受更多的信息安全问题埋下伏笔。
(三)交易身份认证问题
部分不法分子能够通过特定的技术盗取合法用户的身份信息和相关权限,并且利用这一合法身份的掩护与其他企业进行欺诈交易。或者是利用虚假信息诈骗用户的机密信息来盗取资金。在这些例子中不法分子都是通过获得合法身份的手段进行犯罪活动。由此可见交易身份的认证在电子商务中的重要性。
三、电子商务中网络安全问题的相关对策
(一)完善自身电子商务规划
站在企业的角度来说,选择电子商务可以省去很多的交易过程中难以避免的成本问题并且更加高效。而对于电子商务中最大的弊端安全问题,企业应该尤其重视。为了将电子商务的优势最大化,企业对于安全问题的重视不能只停留在理论方面。务必要落实企业电子商务安全规范的制定、安全管理人员的配置和完善电子商务平台。
(二)加强安全技术管理
安全技术作为企业电子商务系统中的安全性保障核心,一定要做到完善配置定期更新维护。细化来讲,包括:电子商务平台建设、系统运维、应用升级等详细项目。企业服务器管理需要加强,不能忽视常规的安全信息备份和记录。提早设置完善的微机处理预案,做到有备无患。预案要包括服务器还原点的设置,系统恢复信息备份和数据信息备份等。应用公认强力的防火墙和病毒防护程序,并且保证专门人员进行定期的维护和升级,这样才能使其发挥应有的作用。
(三)企业加强自身管理
仅仅在电子商务框架中完善安全技术不足以保障电子商务绝对的安全性,除了制定详细的电子商务规划和完善安全技术之余,企业自身的安全管理才是企业信息安全的重中之重。首先,企业的管理层应该将电子商务安全问题视为首要问题并且加强安全技术部署。其次,企业员工的信息安全素质应该得到加强,通过培训建立员工的信息安全意识和职业操守。纵然电子商务的安全技术布置能够在一定程度上化解电子商务中的安全问题,但是完善的电子商务安全技术规划也要得到管理人员和操作人员的共同管理和维护才能保证其稳定运行。
(四)加强病毒防范意识
加强对病毒防范技术的研究不仅可以有效的降低电子商务系统中病毒感染几率,并且能够为企业正常的电子交易提供良好的网络环境。常规的病毒防范技术包括防备、监视、扫描和消灭等几个步骤。对于现有的病毒防范软件来说病毒库的更新始终不能做到实时化和完善化,这会给病毒的入侵带来可乘之机。由此看来加强病毒防范技术的研究和增强病毒防范意识,是准确判断查杀病毒、防止病毒入侵电子商务系统,以及为电子商务带来更健康的网络环境的必要条件。
四、总结
综上所述,电子商务系统中的网络安全问题是一个综合性的课题,其中涉及到了企业管理理念、管理制度、技术力量等多方面的问题。不同的信息安全技术针对不同的网络安全问题发挥着各自的作用,因此,多方引入、善加利用才是安全技术引用的关键。只有制定完善的企业安全管理制度、建立合理的电子商务平台、加强安全技术管理和强化网络安全架构才能全面的保障电子商务信息的安全性,为电子商务的安全进行保驾护航。
参考文献:
[1]黄兰英.电子商务的安全技术研究[J].福建电脑,2004
[2]李大军.电子商务[M].清华大学出版社,2002
[3]王学东,易明,杨斌.电予商务概论[M].武汉理工大学出版社,2005
[4]马尚才等.电子商务安全技术[M].国防工业出版社,2003
[5]李重九.电子商务教程[M].浦东电子出版社,2002
关键词:电子商务;发展;民商法;创新
当今时代电子商务取得了快速的发展,快速发展的电子商务能够促进经济的发展,同时也给传统商务带来了巨大的冲击。基于电子商务的运行特点,出现了大量的新型贸易摩擦和新型交易问题,这些问题引起了社会的关注,我国的市场经济就法制经济等多个方面进行了规定,在市场经济快速发展的今天,电子商务要想获得更大的发展就必须出台相关法律对其进行规范,只有如此才能够保证电子商务的健康发展,目前与电子商务发展最为密切的法律就是民商法,民商法为电子商务的发展提供了法律保障,需要对民商法为代表的法律进行改革和创新。
一、电子商务新型民商法建立的重要性
随着社会的发展和进步,电子商务必将是未来商业的主要发展模式,为了更好地促进新型民商法确立主体法律地位,应该采取措施明确电子商务民商事主体的权利和义务,在电子商务运行的过程中大多数民商事主体都是虚拟的,必须通过网络来呈现,基于这个特点致使其和其他商务类型真实主体有根本性区别,这种区别就是电子信息方式的不同,识别和认证虚拟电子商务主体给民商法的建立完善带来了一定难度,因此建立基于电子商务的新型民商法主体法律地位的重点就在于认证网络环境中的虚拟商务主体的民事合法性。此外,有关部门应该调用专业水平较高的工作人员确立新型民商法主体的制度和方式,尽快制定和完善在相关领域的缺失。我国目前的法规和相关政策以及相关管理人员,都落在了社会发展之后,近些年,随着网络技术的快速发展,现在的法规已经不能满足相关产业的快速发展,因此,相关部门要尽快弥补这方面的不足。同时,在技术层面上应该设立独立的电子身份,并且应该采取措施保证电子商务民商事主体法律制度的实施,这些法律制度能够确认基于电子商务的主体。
二、提高电子商务发展相关法律建设
近几年,电子商务的发展速度越来越快,电子支付安全问题、电子支付信息问题层出不穷,人们对电子商务的重视程度越来越大,法律研究人员和立法部门对电子商务的重视程度越来越大,电子商务系列法律法规应该在现有的民商法基础上根据现在电子商务发展的现状提出改进和完善意见,但是目前电子商务系列方法还没有形成统一的完善建议。根据调查,国内外的电子商务专项法律不管是专项立法还是改进改善都没有形成系列的观念,需要重视和考虑以下几个方面:首先应该保证电子商务时展的必然选择,在立法上应该将电子商务发展作为根本点,其次现在的经济全球化和经济一体化发展速度越来越快,电子商务是未来经济发展的必然趋势,应该在吸取法律成果的基础上考虑借鉴发达国家的成熟经验,推进我国的电子商务民商法的立法和国际进行接轨。电商立法在本质上是民商法的范畴,应该重视和坚持电子商务立法的司法性质,在法律中强调法律主体间的平等交易规则。电子商务的最主要特点是虚拟性和开放性,一方面,卖家在网络上上传货品信息,买家在消费时不会看到实物,同时在转帐过程当中,因为现在的网络技术的不安全性,有些不法之徒就会寻找时机从中获得非法利益,从中我们可以看出,电子商务的发展是建立在网络信息安全的基础上,近年来,屡次发生关于电子商务的支付上,例如微信、支付宝等,同时,还有公民身份屡遭泄露的事例,都在提高着社会关于网络信息安全的基础,也在提醒相关部门,要尽快加强和出台关于电子商务的相关法律,以弥补相关网络信息安全相关案例的不断增多。与此同时,我们还需要以互联网自由和开发为基础,在相关资料和实际情况下,进行必要的调研,以实现和WTO的接轨。在电子商务当中,各个国家的竞争是公平的、规范的,电子商务有关法律的制定应该以国家商务背景为基础。中国早就成为了WTO的正式成员,在进行电子商务的创新和改进过程中需要改进实施进度。
三、结语
综上所述,随着社会的发展,我国的商业取得了巨大的发展,电子商务必将是未来商业发展的必然趋势,电子商务是随着科技发展产生的先进商业种类,但是我国的电子商务起步较晚,发展速度较慢,在电子商务的发展过程中产生了大量问题,本文对目前电子商务存在的问题进行了分析,并且提出了有针对性的解决措施,存在的这些问题引起了社会的关注,我国的市场经济就法制经济等多个方面进行了规定,在市场经济快速发展的今天,电子商务要想获得更大的发展就必须出台相关法律对其进行规范,只有如此才能够保证电子商务的健康发展,相信通过本文的研究能够解决现阶段电子商务发展过程中存在的问题,促进电子商务的发展。
作者:朱洪锐 单位:长春理工大学
参考文献:
[1]刘大洪.电子商务的发展与民商法的创新[J].武汉大学学报(社会科学版),2003,03:282-286.
[2]刘大洪.论高科技时代民商法的创新[J].佛山科学技术学院学报(社会科学版),2003,01:5-9.
[3]孙锋.论电子商务发展的民商法保障[J].法制与社会,2015,05:5-6.
关键词:电子商务;消费者权益;保护
一、电子商务中消费者权益保护研究意义及立法现状
(一)电子商务中的消费者保护研究意义
电子商务是国民经济和社会信息化的重要组成部分,发展电子商务是以信息化带动工业化,转变经济增长方式,提高国民经济运行质量和效率,走新型工业化道路的重大举措,对实现全面建设小康社会的宏伟目标具有十分重要的意义。
电子商务的迅速发展为人类提供了一个全新的商业交易方法,它突破了时间和空间的限制,在原有的市场之外建立了一个独特的无形市场,在消费者、企业、政府之间建立了更多更直接的联系。电子商务以其快捷、方便、高效、成本低、可进行“全球性”和“全天候”交易等巨大优势而赢得众多企业和消费者的青睐,成为一股不可阻挡的潮流。电子商务的出现,给企业带来了更多的商机,给消费者提供了更加方便快捷的消费方式,但也对传统商业贸易规则和法律法规构成了强大的冲击。在电子商务交易环境下,因电子商务的虚拟化、技术化、无纸化(电子化)使消费者更处于不利或弱势地位。根据全国消费者组织近几年的投诉统计,通过电子商务交易引发的投诉,这几年在呈100%,甚至200%的幅度增长。
随着社会主义市场经济的快速发展尤其是电子商务的迅速发展,应对电子商务中如何保护消费者的权益予以探讨,才能为消费者营造一个良好的电子商务交易环境,保护消费者合法权益,同时,也促进电子商务的良性循环发展。
(二)电子商务中的消费者保护立法现状
最早指出电子商务中的消费者保护的重要性并担当国际框架制定的领导者是经济合作与发展组织(oecd)的消费者政策委员会。1997年3月,oecd消费者政策委员会召开的“全球市场的入口——消费者和电子商务”会议上,为达到消费者实际和舒适地利用电子商务所要确立和克服的课题分类,归纳为九点。在1998年的oecd部长级会议上,通过了“关于消费者保护的部长级宣言”、“关于全球网络中的隐私权保护的部长级宣言”、“关于电子商务交易的认证的部长级宣言”,在1999年12月9日的oecd理事会上,通过了“关于电子商务交易中消费者保护的行动指针的oecd理事会劝告”。
美国电子商务起步早、发展快,相关立法也比较早。2000年,美国两院通过《国际国内电子商务签名法》,从联邦法的高度确定电子商务中的消费者权益保护原则。
欧盟使用“信息社会服务”一词来概括各类电子商务活动。在1997年的《欧洲电子商务提案》中涉及电子商务中消费者保护的内容,但不够具体和完善。欧盟委员会2007年可能批准修订欧盟消费者保护法的计划,以赋予消费者更多权利,促进网络和跨境消费。欧盟消费者保护法修订后将着重协调欧盟27个成员国之间电子商务、国际销售以及旅游业,以赋予消费者更多跨境消费的权利。
在我国,对电子商务中消费者权益的法律保护的相关法律规范主要有《民法通则》、《合同法》、《消费者权益保护法》、《产品质量法》、《计算机信息网络国际联网安全保护管理办法》、《电子签名法》等,内容一般比较简单、散乱,可操作性不强,远远不能适应电子商务迅速发展所要求的对消费者权益保护的迫切需要。《消费者权益保护法》虽然为电子商务领域的消费者权益保护提供了基本的法律规则,但是尚有不足之处,不能完全适应电子商务迅速发展的现实。
已出台《电子签名法》并未直接对电子商务领域的消费者权益保护进行明确规定。我国商务部正抓紧制定《消费者网上消费指导意见》,有关产品类电子商务网站服务规范和服务类电子商务网站服务规范也有征求意见稿,广东省《电子交易管理条例》有11条关于消费者权益保护,占整个条例1/6。
从以上可以看出电子商务中消费者权益保护已经成为立法热点,必须尽快建立和完善电子商务中消费者权益保护的基本法律框架,更好地保护消费者权益。
二、建立和完善我国电子商务消费者权益保护制度的几点建议
(一)完善我国现有的消费者权益保护法律制度
在我国《消费者权益保护法》虽然为电子商务领域的消费者权益保护提供了基本的法律规则,但尚有不足之处,不能完全适应电子商务迅速发展的现实。《消费者权益保护法》以法律的形式赋予消费者九项权利,但是,在电子商务领域中,仅仅九项权利已经不足以保护消费者,从立法上要进一步完善和拓展消费者的权利范围。
1.完善电子商务领域的消费者权利
(1)安全保障权的进一步完善。在传统商务模式中,对消费者安全权的定义是经营者必须保证所提供的商品或服务不存在危及人身及财产安全的缺陷,对可能危及人身、财产安全的商品和服务应当向消费者作出真实的说明和明确警告,并标明正确使用产品或接受服务的方法及防止危害产生的方法。在电子商务模式中,消费者安全权有着更广泛的内涵,除上述要求外,还要求网络经营者提供一个安全的交易虚拟环境和交易过程。
(2)知情权的进一步完善。 在电子商务领域,由于消费者通过数据电文与经营者进行远程通讯联系,完全依据经营者提供的信息进行选择和判断,因此,消费者的知情权显得更加重要,应在《消费者权益保护法》原有基础上有所扩展和延伸。在电子商务领域,经营者负有提供信息使消费者知情的义务。
(3)公平交易权的进一步完善。《消费者权益保护法》第10条规定了消费者的公平交易权,即获得质量、价格、计量等公平交易条件。在进行电子商务交易时,不能因购物空间的改变和特殊而随意采用欺诈性价格或隐瞒商品及服务的真实品质。电子商务中消费者仅能根据网上的商品信息自行判断性价比是否适当,由于信息不对称等容易导致消费者受虚假信息蒙蔽而发生不公平交易。
(4)求偿权的进一步完善。在电子商务中,违约责任承担方式、责任承担主体及处理纠纷适用的实体法均变得特殊而复杂。电子商务交易的完成需要多个实体的参与,网络经营者违约提供与合同不等的商品或服务时,或经营者利用互联网接入服务提供商连线服务在网上不实广告,诱骗消费者购物时,都会损害消费者的合法权益,因此,应进一步完善电子商务中消费者的求偿权。
(5)确认权的确立。在电子商务中,许多发件人担心自己发出的数据电文不能到达收件人的信息系统,因此,要求收件人在收到数据电文后发回确认信息。电子商务作为新型的交易形式,只有取信于广大消费者,才能真正具有广阔的市场和发展潜力。因此,我国《消费者权益保护法》也应考虑赋予消费者获得确认信息的权利,以适应电子商务环境下消费者权益保护的新需要。
(6)隐私权的确立。在电子商务的交易中,个人信息很容易被商家和网络经营者收集和利用,而商家和网络经营者收集和利用这些个人信息时非常容易侵害消费者隐私权。对电子商务的交易中消费者隐私权的立法保护是当务之急,要树立消费者的信心,就要确保通过电子商务完成的购物交易有充分性安全保障。
2.电子商务中网络服务经营者的义务
为确保消费类电子商务的健康发展,在赋予消费者保护自身合法权益的诸多权利的同时,对电子商务服务经营者提出全面的要求也必不可少。电子商务服务经营者的义务分为一般义务与特别义务。
(1)网络服务经营者的一般义务。网络服务经营者首先要履行的法律义务就是遵从国家的各项规定。我国《消费者权益保护法》第16条规定:“经营者向消费者提供商品和服务,应当依照《中华人民共和国产品质量法》和其他有关法律、法规规定履行义务。”履行法定义务本身就是经营者的义务之一。
(2)网络服务经营者的特别义务。①提供详细的商品信息的义务。对于电子商店里提供的每一样商品,电子商务服务经营者都要对其信息作出详细的说明,要让消费者对商品进行充分的了解(其中包括对商品的文字介绍和图片介绍)。②商品质量保障及售后服务义务。电子商务服务经营者有义务保证向消费者提供的商品有质量保障,还要保证其以广告和商品介绍方式向消费者提供的质量状况与商品实际的质量状况相符。电子商务服务经营者充分保证所售商品的质量状况,并保证商品或服务符合人身、财产安全的要求;对商品的瑕疵和可能危及人身财产安全的产品或服务,应向消费者做出真实的说明或明确的警示。能够在网上明示的,应予以明示,网上没有明示的,应当在实物交易过程中向消费者明示。③保护电子商务消费者个人数据的义务。对电子商务消费者在互联网上个人数据及隐私权的保护问题已成为人们关注的热点,非经用户同意,网站不得以营利为目的向任何第三方披露、转让、使用或出售交易当事人名单、交易记录等涉及用户隐私或商业秘密的数据,电子商务服务经营者有义务保证消费者的个人信息不滥用、不泛用、不被第三者非法利用。
(二)确立和完善电子商务中市场准入制度、资格认证制度
在鼓励电子商务发展的前提下,以立法的形式规范电子商务行为,明确电子商务网站的市场准入资格、市场经营行为、组成方式等,使电子商务网站具备“经营主体资格”,符合《消费者权益保护法》中的被投诉对象的条件。同时,还应明确工商行政管理机关对电子商务行为的监督管理地位,以确保消费者合法权益的最终实现。
确立市场准入制度,工商行政管理机关应对电子商务网站的开设在技术标准、设备容量、人员配备、经营项目等进行严格审查,并执行经营强制许可制度。对符合条件的电子商务网站颁发电子营业执照,并在工商行政管理机关的认证网上予以公布,供消费者查阅。同时,有关政府部门如工商行政管理机关、质量技术监督机关等对电子商务网站的商业信誉进行评价,评价结果在internet以及传统媒体上予以公布。对一些进行商业欺诈,损害消费者权益的,应当撤销其电子商务营业执照。完善我国电子商务交易行为监督管理,发挥工商管理职能,创建健康的电子商务市场。