电子商务的风险及其安全管理
分类号 密级 U D C 编号
本科毕业论文(设计)
题目: 电子商务的风险及其安全管理
系 别 继续教育学院
专 业 名 称 电子商务
年 级 2009级
学 生 姓 名 张 盼
学 号 [1**********]5
指 导 教 师 熊 杰
二0一二年十一月
摘要:电子商务是指是在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。 21世纪人类社会步入知识经济时代,经济发展日益呈现出市场化、知识化、信息化和全球化的趋势,随着开放的互联网络系统Internet的飞速发展,电子商务的应用和推广极大了改变了人们工作和生活方式,带来了无限的商机。然而,电子商务发展所依托的平台—互联网络却充满了巨大、复杂的安全风险。此外,电子商务的发展还面临着严峻的内部风险, 因此,在考察电子商务运行环境、提供电子商务安全解决方案的同时,有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。
本文系运用规范研究的方法进行专题研究,结合当前经济形势分析电子商务在我国的运用,分别从我国电子商务的现状;我国电子商务发展面临的风险及其安全管理;设想全面而且具有针对性的解决对策。
关键词:电子商务;发展状况;风险;管理;对策
Abstract:Electronic commerce refers to is in the world a wide range of business and trade activities, in the Internet open network environment, based on browser/server application modes, the buyer and seller do not meet in various business activities, realize consumer online shopping, online transactions between merchants and on-line electronic payment and various business activities, trading activities, financial activities and related comprehensive service activities of a new type of business operation mode. The 21st century human society into the era of knowledge economy, economic development increasingly presents marketization, knowledge, information and the trend of globalization, with open Internet network system of the rapid development of Internet, the application of e-commerce and promotion which greatly changed people work and life style, brought infinite business opportunities. However, the electronic commerce development platform - based on Internet is full of great and complicated safety risk. In addition, the development of electronic commerce also faced with severe internal risk, therefore, in examining electronic business operation environment, providing e-commerce security solution at the same time, it is necessary to focus on evaluation the electronic commerce system the risk of facing problems and to the risk effective management and control method.
This article is using the normative research method to carry out special study, combining with the current economic situation analysis of the electronic commerce in our country is applied, respectively from the present situation of electronic commerce in China; With the development of e-commerce in China face risk and its safety management; Imagine comprehensive and their consequences, the feasible measures.
Key words: The electronic commerce; Development status; Risk; Management; countermeasures.
目 录
引论 ............................................................................................................................... 1
一、我国电子商务的现状 ........................................................................................... 1
(一)电子商务在我国起步较晚 ........................................................................ 1
1.电子商务产生的背景............................................................................... 2
2.电子商务在我国的起步较晚................................................................... 2
3.电子商务应用将达到新的广度和深度................................................... 2
(二)电子商务在我国安全性得不到保障 ........................................................ 2
(三)电子商务在我国管理不够规范 ................................................................ 3
二、我国电子商务面临的风险 ................................................................................... 4
(一)电子商务存在的商业风险 ........................................................................ 5 (二) 电子商务存在的技术风险 ...................................................................... 6 (三) 电子商务存在的法律风险 ...................................................................... 6
三、 我国电子商务需要解决的问题 ......................................................................... 7
(一)要保证信息在网上传输的过程中不被篡改 ............................................ 7 (二) 要保证信息的完整性 .............................................................................. 7
(三)要保证信息的有效性 ................................................................................ 8
(四)信息不可抵赖 ............................................................................................ 8
(五)确认身份的准确性 .................................................................................... 8
(六)运行的系统必须可靠 ................................................................................ 9
四、对我国电子商务面临风险的管理对策 ............................................................. 10 (一) 加强电子交易的技术管理 .................................................................... 10
1.实施网络安全防范措施技术................................................................. 10
2.虚拟专用网(VPN)............................................................................. 11
3.数字认证................................................................................................. 11
4. 加密技术 ................................................................................................. 12
(二)构建完善电子交易系统的完善管理制度 .............................................. 12
1.企业内部网络系统................................................................................. 13
2.企业管理信息系统................................................................................. 13
3. 电子商务站点.......................................................................................... 14
4. 实物配送.................................................................................................. 15
5. 支付结算.................................................................................................. 15
(三)完善电子交易安全的法律保障 .................................................................. 15
1.网络系统安全的法律保护..................................................................... 15
2. 网络信息安全的法律保护................................................................... 16
3. 正确看待法律和技术在电子商务安全中的关系.................................. 17
结语 .......................................................................................................................... 17
参考文献 .................................................................................................................. 19
引论
21世纪以来以来,技术革命的浪潮日益高涨,迅速推动了社会生产力的进步,全球经济环境瞬息万变,传统的电子商务已经不能满足经济的发展需要。随着网络技术水平的不断提高,以现在信息技术为根据的电子商务网络得到企业、个人和政府的青睐,电子网络商务模式,被认为当前促进当前经济增长的全新商务模式,必将带动全球商务发展的重要变革。构建安全、便捷、完善的电子商务系统是当前的重中之重 。
电子商务,最初出现在1993年美国克林顿政府工作报告对国家信息基础设施的描述中,含义就是利用电子信息技术、网络互联技术和现代通讯技术,有效地把商品的资源管理和人们的交易行为结合起来,从而实现政府和企业之间、企业和企业之间、企业和顾客之间的信息交换、业务处理、商品和服务交易的计算机化,网络化活动。但是它不仅指基于互联网网上的交易,而且指所有利用电子信息技术来解决扩大宣传、减低成本、增加价值和创造商机的商务活动。从1997年我国实现了第一笔电子商务交易行为到现在,已经有10几年了,但是我国电子商务发展还不完善,各个地区之间发展不均衡,因此切实了解我国电子商务发展存在的问题,提出科学的解决方案,才能促进我国电子商务健康、有效的发展。
一、我国电子商务的现状
(一)电子商务在我国起步较晚
中国电子商务起步较晚,1997年才开始,但是随着信息技术的发展和互联网的逐渐普及 ,电子商务热正在全球范围兴起 ,其交易额近年来呈爆发式成长 ,年增幅接近3倍。1999年电子商务的交易额已经达到1800亿美元 ,比1998年的700亿美元增长257%。预计到2002年世界电子商务的交易额将达到23000亿美元 ,这个金额相当于中国1999年国内生产总值的两倍多。另外,互联网及电子商务的发展同样令世界注目。在过去的1999年 ,电子商务热更多走出媒体特别是专业媒体的炒作 ,吸引了一批又一批的国内外投资 ,中国互联网电子商务正进入一个务实发展的时期。随着国内外众多企业对电子商务网站精心经营和运作、国内联网用户和上机时间的持续上升以及国家对互联网电子商务软硬件平台
特别是有关法律规范的出台 ,中国电子商务正迎来一个蒸蒸日上的未来。
1.电子商务产生的背景
早在本世纪70年代,电子数据交换(EDI)和电子资金传送(EFT)作为企业间电子商务应用的系统雏什么是电子商务形,已经出现。多年来,大量的银行、航空公司、连锁店及制造业单位已建立了供方和客户间的电子通信和处理关系。这种方式加快了供方处理速度,有助于实现最优化管理,使得操作更有效率,并提高了对客户服务的质量。 但早期的解决方式都是建立在大量功能单一的专用软硬件设施的基础上,因此使用价格极为昂贵,仅大型企业才会利用。此外,早期网络技术的局限也限制了应用范围的扩大和水平的提高。
2.电子商务在我国的起步较晚
我国对电子商务的研究和应用起步较晚,短短一些时间里,电子商务无论在理论上还是在实践上都取得了较大的发展。很多事实证明我国电子商务已逐步从数量、定额管理过渡到成本、价值的管理,随着理论研究的拓展和时间经验的积累, 已经改变了以前传统的电子商务模式,电子商务的发展对于指导和改进我国经营管理、提高宏观经济效益发挥了积极作用,为我国的经济提高了更大了效益,取得了良好的发展。
3.电子商务应用将达到新的广度和深度
随着《电子商务发展“十一五”规划》的实施,电子商务在国民经济各部门中将得到进一步的推广和应用。电子商务交易额呈现稳定持续增长态势;在区域发展方面,长三角、珠三角和环渤海等东南沿海的电子商务在继续高速增长的同时,辐射力也逐渐提高,将促进东部和中西部地区之间的协调发展;在企业应用方面,在国家、各级政府的政策引导下,在电子商务服务业的协助下,将促进企业由非支付型电子商务向支付型电子商务发展、协同电子商务的发展,深化企业应用水平。
(二)电子商务在我国安全性得不到保障
电子商务的安全问题问题仍然是影响电子商务发展的主要因素之一。由于Internet的迅速流行,电子商务引起了广泛的注意,被公认为是未来IT业最有潜力的新的增长点。然而,在开放的网络上处理交易,如何保证传输数据的安全成为电子商务能否普及的最重要的因素之一。调查公司曾对电子商务的应用前景进
行过在线调查,当问到为什么不愿意在线购物时,绝大多数的人的问题是担心遭到黑客的侵袭而导致信用卡信息丢失。因此,有一部分人或企业因担心安全问题而不愿使用电子商务,安全成为电子商务发展中最大的障碍。
电子商务是以计算机网络为基础。以电子化方式为手段,以商务活动为主体,在法律许可范围内所进行的商务活动过程。但我国拥有电脑的家庭特别是广大中低层收入家庭较少,庞大的网民群体与之薄弱的网络普及率为电子商务的发展制造了一个障碍。CNNIC近日发布《第25次中国互联网络发展状况统计报告》。数据显示,中国网民已达3亿多人,这个数据让我们振奋,但毋庸置疑的是我们还有很长的路要走,起步晚、人口多、基础设施不到位决定了当前电子商务不能大面积推广的现实状况。电子商务有一定的局限性,因为有形商品不可以通过网络直接传送,必须借助于完善的实物配送系统。配送是让商家和消费者都很伤脑筋的问题。网上消费者经常遇到交货延迟的现象,而且配送的费用很高。业内人士指出,我国国内缺乏系统化、专业化、收费合理化、全国性的货物配送企业,配送销售组织没有形成一套高效、完备的配送管理系统,这毫无疑问地影响了人们的购物热情。我国目前的商品经济比较发达,但物流配送明显滞后。随着电子商务的进一步推广与应用,以及我国辽阔的地域和经济社会发展的不平衡,使得物流对电子商务的限制作用日益突出。长期以来,商流与物流分割,主要表现在网上商流形成后,没有一个有效的社会物流配送体系对实物的转移提供低成本、适时、适量的转移服务,配送成本高、速度慢是买卖双方最大的心痛,严重影响了商品经营和规模效益。实践证明,市场经济需要更高程度的组织化、规模化和系统化,迫切需要尽快加强建设具有信息功能的物流配送中心。发展信息化、现代化、社会化的新型物流配送中心是建立和健全社会主义市场经济条件下新型流通体系的重要内容。我国是发展中国家,要借鉴发达国家的经验和利用现代化的设施,但目前还不可能达到发达国家物流配送中心的现代化程度,只能从国情、地区情况、企业情况出发,发展有中国特色的新型物流配送中心。
电子商务的安全问题其实也是人与人之间的诚信问题,和现实商业贸易相识,均需双方的共同协作和努力。电子商务的未来,需要所有网民的共同协作。
(三)电子商务在我国管理不够规范
现阶段电子商务发展的情况随着我国进入了信息时代,网络不断得到普及,
因此网络业也出现了不少的问题,比如网络传输光纤的阻断,严重影响着信息的流畅;电脑黑客的入侵,电脑病毒恶意攻击网站等,无时无刻不在威胁着电子商务的正常运行。如何从根本上解决问题,这需要长期大量的进行防范。电子商务的网络化主要是企业通过网络与商家进行交易,如果在交易中网络的安全出现了疏漏,使得病毒以及黑客得以入侵,由此所造成的损失是巨大的。电子商务在网络上的运行还不够规范,对于网上的税收、合同以及保险等方面都存在着不规范的现象,在加之法律在网络上的不健全,这些都制约着电子商务在网络的发展。因特网是在虚拟空间运行的,看似并不需要现实的空间。但随着网络的不断壮大,要想有着更好的发展,就必须建立起强大的通讯设施作为基础,通讯设施也是电子商务安全的基础。在我国网络的现阶段,网络管理信息内容、网络技术、通讯速度、资费水平、安全的保障条件等方面都无法跟上高速发展的电子商务步伐。
随着电子商务的兴起,对网站的实时性要求越来越高,DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对方没有实行报复打击的可能。今年2月美国“雅虎”、“亚马逊”受攻击事件就证明了这一点。虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。
网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。
二、我国电子商务面临的风险
电子商务的基础平台是互联网,电子商务发展的核心和关键问题就是交易的安全,由于Internet本身的开放性,使网上交易面临着种种危险,也由此提出了相应的安全控制要求。针对电子商务面临的各种安全风险,电子商务企业不能被动、消极地应付,而应该主动采取措施维护电子商务系统的安全,并监视新的
威胁和漏洞。因此,这就需要制定完整高效的电子商务安全风险管理规则。
(一)电子商务存在的商业风险
阿里巴巴和淘宝的商业模式起源于马云的一句话“让天下的生意不再难做”,于是一个基于建设商业交易平台的商业模式被创建出来。在这个模式里,阿里巴巴和淘宝只是平台商,不提供产品,不提供物流服务,不提供售后保障;但是,作为平台商,阿里巴巴和淘宝的优势是拥有数不清的供货商,便捷的分类系统,透明的价格,这给了采购商和消费者以“丰富”、“便捷”和“透明”的交易体验。为了保障消费者利益,阿里巴巴和淘宝先后开发了阿里旺旺、支付宝,后期又引入了物流保险的服务,这一切都为我们展示了作为平台商的他们在开发和实现诸如“信誉”,“安全”等顾客价值上的不懈努力。
有人说,淘宝的模式类似于线下的“大市场型”模式,各种商家在这里摆摊卖货,而市场只是提供金融服务,秩序维持,并不对货源和售后负责。 比如南京的“金桥市场”和“玉桥市场”,每天人流如织,熙熙攘攘。整个市场的出货量也很大,顾客与商户的大部分纠纷都只限于两者之间。商户,顾客和市场三方似乎都已经形成一种默契。
与“金桥市场”有相似的“大市场型”运营模式的是“金鹰”和“万达购物广场”,他们不提供产品,但是会比前者更加关注顾客体验,所以,几乎都设立了客户管理部门,为客户开票,处理纠纷,提供VIP服务。的模式里面,实际上存在着很大的差异。其本质在于提供不同的顾客价值。所以,我们可以了解到,一个商业模式是不是容易产生商业欺诈行为,主要取决于其提供的顾客价值,以及为了顾客价值而设置的流程保障。在这一些商业模式下面,两者差异的原因是:顾客选择“金鹰”和“万达”去购物和选择“金桥市场”去购物的出发点有所不同。选择前者,主要是看中顾客体验过程与品质保障体系,而选择后者则可能是完全考虑到“便捷性”、“丰富”和“议价性”。在“金鹰”对商户有着严格的要求,比如一个店里不会出现同一品牌的两家店铺。而且,在服务方式以及着装上有着严格的要求。而在“金桥市场”则完全允许运营同样的产品在不同的店铺之间出售,这样,顾客为了挑选到合适的产品,可能需要到很多家店铺去询价。而且,实际上,“金桥市场”出现的商顾纠纷要多得多。因此,在他们看似相同商业欺诈行为难以有生存的土壤,是因为其模式中要么避开了直接交易的活动,要
么对直接交易活动提供了完全保障。
(二) 电子商务存在的技术风险
21世纪人类社会正在步入知识经济时代,经济发展日益呈现出市场化、知识化、信息化和全球化的趋势,这一背景下,由于网络的开放性、共享性和动态性,使得任何人都可以自由地接入Internet,导致以Internet为主要平台的电子商务的发展面临严峻的安全问题。其主要技术风险包括两点,其一是网络环境风险, 网络服务器常遭受到黑客的袭击,个别网络中的信息系统受到攻击后无法恢复正常运行;网络软件常常被人篡改或破坏;网络中存储或传递的数据常常被未经授权者篡改、增删、复制或使用。 其二点是数据存取风险由于数据存取不当所造成的风险。这种风险主要来自于企业内部。一是未经授权的人员进入系统的数据库修改、删除数据;二是企业工作人员操作失误,受其错误数据的影响而带来的风险,其结果必然是使企业效益受到损失,或者是使顾客利益受到损失。
(三) 电子商务存在的法律风险
很多电子商务是通过阿里巴巴商务平台建立最初联系的,然而在这个商务平台里,并不都是诚实守信的客商。贸易骗子们一般会把自己“乔装打扮”成具有一定资质和规模的供货商,以吸引外商的垂询。他们通常都没有固定电话和地址,即使有的话也很容易变成空号,唯一能联系的是一个移动手机号码和随时变换的Email,使得他们可以“来无影、去无踪”,让人无法捕捉。此外,骗子们还会提供第三方公司,尤其是香港离岸公司的账号作为付款账户,收到汇款后就立刻销声匿迹消失,让你有苦无处说。
由于电子商务多是通过电子邮件进行贸易,电子信息在传递中还可能受到黑客的恶意攻击。最近有一个例子,黑客侵入了买卖双方的电子邮箱,操纵卖方向买方发出电子邮件,指示买方将汇款收益人更改为第三方,导致卖方信以为真将货款汇往第三方,造成巨大经济损失。为了防止这种现象的发生,买卖双方最好在每次汇款前都通过传真或电话确认,这样虽然麻烦了一点儿,但可以减少信息传递中的风险。
三、 我国电子商务需要解决的问题
(一)要保证信息在网上传输的过程中不被篡改
信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。根据国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。但是,对于不同的部门和行业来说,其对信息安全的要求和重点却是有区别的。传输信息的方式很多,有局域计算机网、互联网和分布式数据库,有蜂窝式无线、分组交换式无线、卫星电视会议、电子邮件及其它各种传输技术。信息在存储、处理和交换过程中,都存在泄密或被截收、窜改和伪造的可能性。不难看出,单一的保密措施已很难保证通信和信息的安全,必须综合应用各种保密措施,即通过技术的、管理的、行政的手段,实现信源、信号、信息三个环节的保护,藉以达到秘密信息安全的目的。
(二) 要保证信息的完整性
贸易各方信息的完整性是电子商务应用的基础,影响到交易和经营策略。要保证网络上传输的信息不被篡改,预防对信息随意生成、修改和删除,防止数据传送中信息的失和重复并保证信息传送次序的统一。
信息安全本身包括的范围很大。大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、信息认证、数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。信息安全服务至少应该包括支持信息网络安全服务的基本理论,以及基于新一代信息网络体系结构的网络安全服务体系结构。完整性是指防止信息被未经授权的篡改。它是保护信息保持原始的状态,使信息保持其真实性。如果这些信息被蓄意地修改、插入、删除等,形成虚假信息将带来严重的后果。这样信息就会外泄,以至于不管给个人还是企业甚至国家都会带来不同的危害,所以要保证信息的完整性,维护利益。
(三)要保证信息的有效性
保证信息有效性是开展电子商务前提,关系到企业或国家的经济利益。对网络故障、应用程序错误、硬件故障及计算机病毒的潜在威胁控制和预防,以保证贸易数据在确定时刻和地点有效。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。电子商务对人类社会经济产生了重大影响,在创造巨大经济效益的同时,也从根本上改变了整个社会商务活动发展进程。我国电子商务在曲折进程中,已有很大程度的发展,同时也存在诸多问题。本文客观地分析了电子商务的安全需求、安全技术发展现状及存在的问题,对加快电子商务的发展步伐提出了一些重要思考。由于数据输入时的意外差错或欺诈行为,可能导致贸易各信息的差异。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
(四)信息不可抵赖
要建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的。电子商务交易各方在交易完成时要保证的不可抵赖性,指在传输数据时必须携带含有自身特质、别人无法复制的信息,防止交易发生后对行为的否认。
不可抵赖性包括对自己行为的不可抵赖及对行为发生的时间的不可抵赖。通过进行身份认证和数字签名可以避免对交易行为的抵赖,通过数字时间戳可以避免对行为发生的抵赖。
(五)确认身份的准确性
网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。目前的电子商务认证分个人认证和企业认证,从事电子商务的企业可以花钱在中介机构注册认证,中介机构发个证书给企业,现在的一般企业网站都是有证书认证的,在ie的工具,Internet选项,内容,证书里可以查看电子证书,这个证书能证明网站所有者的身份,不做网站的则是在交易过程中,把类似U盘样的东西插在电脑上外加很多密码来确认身份。个人的认证就是去银行开网银,办银盾,也是
U盘样的个东西,做网上支付和实名认证时,就用到了。随着互联网产业在中国的迅速发展,通过电子网络进行商务活动的电子商务商业模式也逐步走向春天。网民不断激增,中国的网络经济已经成为现在经济发展当中的一个新亮点,特别是网络购物,企业的网络交易,政府的电子政务,网上办公,在应用电子商务这些方面,发展越来越快,并且在一些网络业务市场,都拥有了可观并足以创造规模效益的用户市场。
用户资源是网站发展的最重要资源,拥有了用户便拥有了收入,在这些提供电子商务交易平台、提供商业服务的各类网站中,大部分都实行用户注册制度,需要用户提供个人资料,这些资料不但利于网站根据用户情况整合开发更多增值服务,更重要的是通过用户注册的资料去预防不法分子发布虚假信息、进行网络诈骗等违法违规行为,清化电子商务不诚信环境,是一种最优化的电子商务网站管理方法。然而,由于很多用户在注册时提供的便是虚假信息,作为网站又无法核实真假,所以事实上,大部分电子商务网站提供的仅仅只是一个网上平台,一个虚拟的市场而已,电子商务日益暴露出诚信用危机。
在这种情况下,电子商务网站使出全身解数解决缺失诚信的问题,例如等级制度、新出台的电子签名法,银行作为第三方的确认等等,在某种程度上也都遏制了恶意诈骗的不诚信行为。然而这些遏制办法的实施,都需要网站方面投入大量的精力进行管理。无法最优化的杜绝恶意诈骗行为。
据悉,作为国内最著名的C2C电子商务交易网站,淘宝和易趣已经找到了防范恶意诈骗的最优化办法,即通过全国公民身份信息系统(NCIIS)进行身份信息核查。当用户第一次注册填写身份证号码和姓名的时候,系统将对这两项进行比对核查并返回结果。通过身份信息核查服务已成功发现多起客户使用假身份证件的事件,有效的提高了企业防风险的能力。
(六)运行的系统必须可靠
保护应用安全,主要是针对特定应用(如Web服务器、网络支付专用软件系统)所建立的安全防护措施,它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。
由于电子商务中的应用层对安全的要求最严格、最复杂,因此更倾向于在应用层而不是在网络层采取各种安全措施。虽然网络层上的安全仍有其特定地位,但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。保护系统安全,是指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等互相关联。
四、对我国电子商务面临风险的管理对策
我国电子商务的发展始于90年代初,1997逐渐成为一个热门话题。从1997年苏州第一届电子商务学术研讨会、直至2000年的第四届中国国际电子商务大会引起社会各界的广泛关注,与北美、欧洲、日本等发达国家的电子商务高速发展的现状相比较,我国的电子商务起步虽晚,但发展势头强劲。在短短三年多的时间内,我国电子商务已从启蒙阶段迅速进入实施阶段,新的电子商务网站如网上商店、商城、专卖店,拍卖店,网上定票,旅游、教育、医疗以及各种电子商务资讯和交易站点等,如雨后春笋般不断涌现出来。据国务院发展研究中心的统计表明,截止到2000年7月份,国内的网上商店由1998年年底的100多家已发展近1000家,发展区域也在从北京、上海,广州等少数城市向沿海和内地各大城市扩展,许多传统行业的工业和商业企业也已开始登上电子商务的舞台。
(一) 加强电子交易的技术管理
随着Internet的发展,电子商务已经逐渐成为人们进行商务活动的新模式。越来越多的人通过Internet进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此,电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。
1.实施网络安全防范措施技术
网络安全技术是伴随着网络的诞生而出现的,但直到80年代末才引起关注,90年代在国外获得了飞速的发展。近几年频繁出现的安全事故引起了各国计算
机安全界的高度重视,计算机网络安全技术也因此出现了日新月异的变化。安全核心系统、VPN安全隧道、身份认证、网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。安全核心系统在实现一个完整或较完整的安全体系的同时也能与传统网络协议保持一致。它以密码核心系统为基础,支持不同类型的安全硬件产品,屏蔽安全硬件以变化对上层应用的影响,实现多种网络安全协议,并在此之上提供各种安全的计算机网络应用。
互联网已经日渐融入到人类社会的各个方面中,网络防护与网络攻击之间的斗争也将更加激烈。这就对网络安全技术提出了更高的要求。未来的网络安全技术将会涉及到计算机网络的各个层次中,但围绕电子商务安全的防护技术将在未来几年中成为重点,如身份认证、授权检查、数据安全、通信安全等将对电子商务安全产生决定性影响。
2.虚拟专用网(VPN)
这是用于Internet交易的一种专用网络,它可以在两个系统之间建立安全的信道(或隧道),用于电子数据交换(EDI)。它与信用卡交易和客户发送订单交易不同,因为在VPN中,双方的数据通信量要大得多,而且通信的双方彼此都很熟悉。这意味着可以使用复杂的专用加密和认证技术,只要通信的双方默认即可,没有必要为所有的VPN进行统一的加密和认证。现有的或正在开发的数据隧道系统可以进一步增加VPN的安全性,因而能够保证数据的保密性和可用性。
3.数字认证
数字认证可用电子方式证明信息发送者和接收者的身份、文件的完整性(如一个发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。随着商家在电子商务中越来越多地使用加密技术,人们都希望有一个可信的第三方,以便对有关数据进行数字认证。
目前,数字认证一般都通过单向Hash函数来实现,它可以验证交易双方数据的完整性,Java JDK1.1也能够支持几种单向Hash算法。另外,S/MIME协议已经有了很大的进展,可以被集成到产品中,以便用户能够对通过E mail发送的信息进行签名和认证。同时,商家也可以使用PGP(Pretty Good Privacy)技术,它允许利用可信的第三方对密钥进行控制。可见,数字认证技术将具有广
阔的应用前景,它将直接影响电子商务的发展。
4. 加密技术
保证电子商务安全的最重要的一点就是使用加密技术对敏感的信息进行加密。现在,一些专用密钥加密(如3DES、IDEA、RC4和RC5)和公钥加密(如RSA、SEEK、PGP和EU)可用来保证电子商务的保密性、完整性、真实性和非否认服务。然而,这些技术的广泛使用却不是一件容易的事情。
密码学界有一句名言:加密技术本身都很优秀,但是它们实现起来却往往很不理想。现在虽然有多种加密标准,但人们真正需要的是针对企业环境开发的标准加密系统。加密技术的多样化为人们提供了更多的选择余地,但也同时带来了一个兼容性问题,不同的商家可能会采用不同的标准。另外,加密技术向来是由国家控制的,例如SSL的出口受到美国国家安全局(NSA)的限制。目前,美国的商家一般都可以使用128位的SSL,但美国只允许加密密钥为40位以下的算法出口。虽然40位的SSL也具有一定的加密强度,但它的安全系数显然比128位的SSL要低得多。据报载,最近美国加州已经有人成功地破译了40位的SSL,这已引起了人们的广泛关注。美国以外的国家很难真正在电子商务中充分利用SSL,这不能不说是一种遗憾。上海市电子商务安全证书管理中心推出128 位 SSL的算法,弥补国内的空缺,并采用数字签名等技术确保电子商务的安全。
(二)构建完善电子交易系统的完善管理制度
市场交易是由参与交易双方在平等、自由、互利的基础上进行的基于价值的交换。网上交易同样遵循上述原则。作为交易中两个有机组成部分,一是交易双方信息沟通,二是双方进行等价交换。在网上交易,其信息沟通是通过数字化的信息沟通渠道而实现的,一个首要条件是交易双方必须拥有相应信息技术工具,才有可能利用基于信息技术的沟通渠道进行沟通。同时要保证能通过Internet进行交易,必须要求企业、组织和消费者连接到Internet,否则无法利用Internet进行交易。在网上进行交易,交易双方在空间上是分离的,为保证交易双方进行等价交换,必须提供相应货物配送手段和支付结算手段。货物配送仍然依赖传统物流渠道,对于支付结算既可以利用传统手段,也可以利用先进的网上支付手段。此外,为保证企业、组织和消费者能够利用数字化沟通渠道,保证交易顺利进行的配送和支付,需要由专门提供这方面服务的中间商参与,即
电子商务服务商,那就必须有一个完美的制度。
1.企业内部网络系统
当今时代是信息时代,而跨越时空的信息交流传播是需要通过一定的媒介来实现的,计算机网络恰好充当了信息时代的"公路"。计算机网络是通过一定的媒体如电线、光缆等媒体将单个计算机按照一定的拓扑结构连结起来的,在网络管理软件的统一协调管理下,实现资源共享的网络系统。
根据网络覆盖范围,一般可分为局域网(Local Area Network,LAN)和广域网(Wide Area Network,WAN)。由于不同计算机硬件不一样,为方便联网和信息共享,需要将Internet的联网技术应用到LAN中组建企业内部网(Intranet),它的组网方式与Internet一样,但使用范围局限在企业内部。为方便企业同业务紧密的合作伙伴进行信息资源共享,为保证交易安全在Internet上通过防火墙(Fire Wall)来控制不相关的人员和非法人员进入企业网络系统,只有那些经过授权的成员才可以进入网络,一般将这种网络称为企业外部网(Extranet)。如果企业的信息可以对外界进行公开,那么企业可以直接连接到Internet上,实现信息资源最大限度的开放和共享。
企业在组建电子商务系统时,应该考虑企业的经营对象是谁,如何采用不同的策略通过网络与这些客户进行联系。一般说来,将客户可以分为三个层次并采取相应的对策,对于特别重要的战略合作伙伴关系,企业允许他们进入企业的Intranet系统直接访问有关信息;对于与企业业务相关的合作企业,企业同他们共同建设Extranet实现企业之间的信息共享;对普通的大众市场客户,则可以直接连接到Internet。由于Internet技术的开放、自由特性,在Internet上进行交易很容易受到外来的攻击,因此企业在建设电子商务时必须考虑到经营目标的需要,以及保障企业电子商务安全。否则,可能由于非法入侵而妨碍企业电子商务系统正常运转,甚至会出现致命的危险后果。
2.企业管理信息系统
企业管理信息系统是功能完整的电子商务系统的重要组成部分,它的基础是企业内部信息化,即企业建设有内部管理信息系统。企业管理信息
系统是一些相关部分的有机整体,在组织中发挥收集、处理、存储和传送信息,以及支持组织进行决策和控制。企业管理信息系统最基本系统软件是数据库管理系统DBMS(Database Management System),它负责收集、整理和存储与企业经营相关的一切数据资料。
从不同角度,可以对信息系统进行不同的分类。根据具有不同功能的组织,可以将信息系统划分为营销、制造、财务、会计和人力资源信息系统等。要使各职能部门的信息系统能够有效的运转,必须实现各职能部门信息化。例如,要使网络营销信息系统能有效运转,营销部门的信息化是最基础的要求。一般为营销部门服务的营销管理信息系统主要功能包括:客户管理、订货管理、库存管理、往来帐款管理、产品信息管理、销售人员管理,以及市场有关信息收集与处理。
根据组织内部不同组织层次,企业管理信息系统可划分为四种信息系统:操作层、知识层、管理层、战略层系统。操作层管理系统是支持日常管理人员对基本经营活动和交易进行跟踪和记录,如销售、接受、现金、工资、原材料进出、劳动等数据。系统的主要原则是记录日常交易活动解决日常规范问题,如销售系统中今天销售多少,库存多少等基本问题。知识层系统是用来支持知识和数据工作人员进行工作,帮助公司整理和提炼有用信息和知识。信息系统可以减少对纸张依赖,提高信息处理的效率和效用,如销售统计人员进行分析和统计销售情况,供上级进行管理和决策使用,解决的主要是结构化问题。管理层系统设计是用来为中层经理的监督、控制、决策以及管理活动提供服务,管理层提供的是中期报告而不是即时报告,主要用来管理业务进行如何存在什么问题等,充分发挥组织内部效用,主要解决半结构化问题。战略管理层,主要是注视外部环境和企业内部制订和规划的长期发展方向,关心现有组织能力能否适应外部环境变化,以及企业的长期发展和行业发展趋势问题,这些通常是非结构化问题。
3. 电子商务站点
电子商务站点是指在企业Intranet上建设的具有销售功能的,能连接到Internet上的WWW站点。电子商务站点起着承上启下的作用,一方面它
可以直接连接到Internet,企业的顾客或者供应商可以直接通过网站了解企业信息,并直接通过网站与企业进行交易。另一方面,它将市场信息同企业内部管理信息系统连接在一起,将市场需求信息传送到企业管理信息系统,然后,企业根据市场的变化组织经营管理活动;它还可以将企业有关经营管理信息在网站上进行公布,使企业业务相关者和消费者可以通过网上直接了解企业经营管理情况。
企业电子商务系统是由上述三个部分有机组成的,企业内部网络系统是信息传输的媒介,企业管理信息系统是信息加工、处理的工具,电子商务站点是企业拓展网上市场的窗口。因此,企业的信息化和上网是一复杂的系统工程,它直接影响着整个电子商务的发展。
4. 实物配送
进行网上交易时,如果用户与消费者通过Internet定货、付款后,不能及时送货上门,便不能实现满足消费者的需求。因此,一个完整的电子商务系统,如果没有高效的实物配送物流系统支撑,是难以维系交易顺利进行的。
5. 支付结算
支付结算是网上交易完整实现的很重要一环,关系到购买者是否讲信用,能否按时支付;卖者能否按时回收资金,促进企业经营良性循环的问题。一个完整的网上交易,它的支付应是在网上进行的。但由于目前尚处在演变过程中,网上交易还处于初级阶段,诸多问题尚未解决,导致许多电子虚拟市场交易并不是完全在网上完成交易的,许多交易只是在网上通过了解信息撮合交易,然后利用传统手段进行支付结算。在传统的交易中,个人购物时支付手段主要是现金,即一手交钱一手交货的交易方式,双方在交易过程中可以面对面的进行沟通和完成交易。网上交易是在网上完成的,交易时交货和付款在空间和时间上是分割的,消费者购买时一般必须先付款后送货,可以采用传统支付方式,亦可以采用网上支付方式。
(三)完善电子交易安全的法律保障
1.网络系统安全的法律保护
电子商务活动与传统商务相比最主要的特征是网络环境下进行的,而
网络是计算机和网络技术所构筑虚拟环境。由于计算机和网络技术本身缺陷加之外来因素的干扰,使得网络环境呈现某种程度的脆弱性,出现一些不安全因素,前者如千年虫问题,后者如黑客攻击引起的网络瘫痪。
对于这个问题,首先要建立系统安全法律预防机制。企业内部应制定相应的管理体系,由专门的部门或人员负责实施。有关从业人员要持证上岗,定期培训,加强安全意识,对重要的网络设施要进行定期检查,对于重要的信息要进行备份。要有风险评估和抗风险打击能力。这些制度有赖于法律法规的明确规定。
其次,应依法建立网络系统安全标准。当事人采用何种技术保证其网络的安全是其自由,但是该网络一旦涉及公共安全或者他人的合法利益,就应该保证网络系统安全必须达到一定的标准。就目前的情况而言,以行业协会制定自律规章,法律上适当监督的形式比较可行。
2. 网络信息安全的法律保护
电子商务的最大特征是信息数字化,一切交易信息都通过计算机网络传输并存储于计算机或服务器(包括终端和各种中介服务器)上。在这种环境下,我们所面临的问题主要是:信息主体如何确定;信息内容是否真实完整;信息在网络传输中是否泄密等等。
传统法律解决主体真实性问题的手段主要是商事主体登记制度。其基本措施一是主体公示制度,公开企业基本信息(包括注册资本、地址、法定代表人等)允许交易相对人了解和查寻;二是登记管制制度,通过设立、变更和注销登记,确保企业是真实存在和合法终止。在电子商务环境下,法律也可以要求网上企业利用网络技术公示其企业登记基本情况,并用认证的方式允许交易人点击它的认证标记或者电子版的执照,实现与传统企业公示和登记制度接轨。但是现有的法律并未规定必须有这样的认证标记,涉及认证的法律关系也不明确。
不论是个人隐私还是商业秘密,在网络中更加容易被他人非法获知和利用。例如。某些网站收集用户资料进行非法买卖。在网络中,那些个人数据是可以被收集的,那些是隐私不能收集,此类问题,也没有相应的法律规定,这是非常不利于树立消费者信心的。我们认为,个人在网络中享
有不被窥视权;不被侵入权(指非法侵入个人邮箱、上网帐户、信用记录的安全);不被干扰权(如垃圾邮件);不被非法收集利用权等。网站对个人数据的收集要遵循目的特定化原则、公告或告知原则、当事人事先同意、合理、合法使用个人数据等基本原则。
3. 正确看待法律和技术在电子商务安全中的关系
对于交易的安全,应该从技术、法律和管理三个方面综合治理。技术是保护网络安全的基础,法律和管理是必备条件。只注重技术,忽视法律,正如只有良好的刹车系统,却没有交通规则,后果将是怎样!管理从一定角度来说,是法律规则的执行,因此,制定和完善网络安全的法律法规是极为重要的。从立法上看,应当充分把握网络发展的规律,在促进发展的基础上,保障网络安全。因为网络安全与促进交易这对矛盾,安全是相对的,促进交易是绝对的,二者统一于网络的发展进程中。
从我国现状来看,法律方面的不安全受到我国法制大环境和人们的信用程度的制约,而不单单是电子商务问题。法律所保护的是在采用一定技术防范措施之上的保护,技术问题的解决也需要法律的参与,技术应该达到什么样的程度,合乎什么样的标准,法律上对它有何要求,这需要法律界和技术界联合起来去做这桩事情,电子商务立法应该是由法律界、技术界和商务界等多方参与,共同设立规则。
世界各国和国际组织也正在积极探索电子商务交易的安全问题。联合国、欧盟、OECD等国际组织制定了规范网络交易,保护交易安全的法律法规。
不少国家也颁布法律调整这一新的领域。到今年初,制定电子认证和签字方面的法律的国家已达到50多个。我国有关部门也颁布了一些法规和规章,但还缺少法律层面的规则;已有的规章权威性不高,管理的色彩浓厚,规章之间缺乏统一和协调。目前,国内多数企业尚未建立起系统全面的网络安全管理体系,网络安全意识也有待提高。这一现状表明我国网络安全的法律保障体系还有很大的发展空间,但同时也是任重而道远。 结语
电子商务是一个复杂系统工程,电子商务在发展的同时,也面临电子商务网
络安全和风险的困扰,电子商务网络技术问题对现实提出了要求。加强电子商务研究计算机网络安全的体系结构,就是研究如何从管理和技术上,确保电子商务网络安全得以完整和准确地实现,电子商务网络安全需求得以全面准确的满足。
参考文献
[1] 甘早斌.电子商务概论(第二版).华中科技大学出版社.2003.9
[2] ]才书训.电子商务安全风险管理与控制.东北大学出版社.2004.6
[3] 易珊,张学哲.电子商务安全策略分析.科技情报开发与经济.2004.5
[4] 李晓艳,《作业会计对传统会计成本观的突破》.《财会月刊》,2006(9):30-31。
[5] 高新亚,邹静.电子商务安全的风险分析和风险管理.信息与管理工程版.2005.8
[6] 郭学勤,陈怡.电子商务安全对策.计算机与数字工程.2001.7
[7] 李晶.电子商务安全防范措施.安徽科技.2003.4
[8] Greenstein M,FeinmanT M.Electronic Commerce:Security,Risk Management and Control[M].New York:McGraw-Hill Companies,Inc.,2000
[9] Charles Cresson Wood, Essential Controls for Internet Electronic Commerce[M].Network Security,1998