時間:2023-10-11 10:17:30
導語:在電子商務安全的重要性的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
Abstract: Computer Internet promotes the rapid development of electronic commerce, which is the biggest application trend in the future. E-commerce is a new economic form of international trade. With the rapid development of cross-border e-commerce, people's lives are inseparable from e-commerce, and e-commerce development also brings new issues to China's security and confidentiality management. This paper discusses several common security problems in e-commerce, and summarizes the basic techniques to reduce the risk of e-commerce in the computer Internet.
關鍵詞:計算機互聯網;電子商務;安全保密
Key words: computer Internet;e-commerce;security
中圖分類號:TP393.0 文獻標識碼:A 文章編號:1006-4311(2016)31-0204-02
0 引言
人類社會的發展離不開三大要素的支持,即材料、能源和信息,由此可知信息的重要性。本文所說的信息主要是指IT信息技術方面的。隨著互聯網的飛速發展,我國經濟乃至全世界經濟都取得了飛速發展,且在互聯網+的大數據背景下,信息戰、數字化生存、網絡營銷、互聯網+等新概念不斷的涌現出來。
當前信息化水平越來越高,世界變成了一個地球村,面對這種現狀,經濟也受到了一定的影響,甚至一些問題涉及到了國家方面,比如經濟運行與監管的安全問題,具體例如東南亞的金融風暴、日益猖狂的網上詐騙問題、股票市場安全問題等。此外金融網絡和系統的安全問題也日益突出,嚴重時甚至會威脅到國計民生,其重要性不言而喻。基于此,若我們不對網上從事的交易行為進行監管,可想而知危險是很大的。試想若一個人能夠隨意的調動銀行的資金進行網上招股,其后果將不可預計。一旦經濟信息的安全無法得到保障,那么只要涉及到網上交易,就會存在信息被更改的風險,影響交易的真實性,造成嚴重的經濟損失。
未來網絡會越來越普及,在這種形勢下,現代商業迎來了新的發展機遇,同時其挑戰也無處不在,電子商務這種新型的商務模式就是在這種形勢下應運而生的。有調查結果顯示,阻礙電子商務發展的主要因素是計算機網絡的基礎設施和電子商務的安全問題。其中影響最大的因素就是電子商務安全問題。電子商務給人們的生活帶來了很大的便利,但不可否認電子商務經常出現信息泄露、網上詐騙等安全問題,因此如何解決安全問題是電子商務的當務之急。
1 基于計算機互聯網中的電子商務安全問題產生的原因
80年代的信息安全被理解為保密信息,在這個階段人們除了關注系統的保密性,還十分注重系統的完整性和可用性。例如某人想在網上銀行轉賬資金一百元,但由于信息泄露并被篡改成轉賬了一千元,此時明顯客戶遭受到了損失,但這個損失由誰負責成了問題。實際生活中我們發現打電話追究回資金的概率是很小的,這就要求系統的完整性和可用性更加完善,因為一旦出現系統崩潰等問題其后果是不堪設想的。20世紀90年代后期,信息安全意識出現了明顯變化,這個階段更多的談論可控的問題和信息系統,以及信息的行為不可否認的問責問題。
過去我們談論的是計算機安全,昨天我們在談論信息安全,今天我們在談論信息保障。
通過加密可以有效保密計算機的安全,例如我們可以毫不費力的聽懂兩個講中文說的話,但是聽不懂兩個講俄語的人的話,對于對方來說這就是一種加密方法。計算機加密是必要的,它能夠一定程度上保證計算機及信息的安全,現在,如果你的系統崩潰了,如何恢復?新網絡犯罪的摩爾定律,網絡犯罪18個月翻一倍。
電子商務是安全問題十分復雜,不僅僅是網絡安全的問題,涉及到很多方面,具體如下:
①管理問題。目前多數電子商務網站都尚未建立統一的管理和評價標準,且多數網站的安全風險管理能力薄弱,缺乏抵抗黑客攻擊網站的能力,一旦遇到黑客攻擊,通常都會導致服務器癱瘓,影響網站的信譽。
②技術問題。尚未建立完善的網絡安全系統。當前世界雖然電子商務安全產品眾多,但真正認證的產品是有限的,究其原因主要有兩方面:一是世界的網絡安全沒有形成一個完整的系統;二是強度安全技術薄弱,關于這方面的技術國外雖然比較先進,但由于受到政策影響,我國要想引進最先進的技術受到很多限制。
③環境問題。電子商務也會受到社會環境的影響,尤其是法制建設的影響,要想確保電子商務建設的發展,必須完善相關的法律。
2 基于計算機互聯網中常見的電子商務安全問題
隨著互聯網的不斷普及,其面臨的安全問題也越來越多,基于計算機互聯網中常見的電子商務安全問題也越來越多。整個社會對電子商務的安全需求有很多,主要分為以下幾點:
①加密問題:確保識別和認證用戶的需求,數據存儲和加密數據的保密性,保證其在線交易支付的可靠性,更方便的安全管理,以及驗證數據的完整性、不可否認性。
②政府關注:任何機構都應該在政府的支持下行事,電子商務亦是如此,經濟安全和執法機構都需要一定的政府支持。制約電子商務發展的因素主要有以下方面:一是物流配送問題;二是法律保護問題;三是有償的技術問題;四是信用機制;五是改變問題的問題;六是基礎設施存在的問題。上述因素都離不開政府的支持。
③計算機網絡的問題:電子商務依賴計算機系統才能正常運行,因此計算機網絡安全幾乎決定了電子商務是否能夠正常運行,因為一旦計算機網絡出現安全事故,電子商務就會中斷進行或者進行錯誤的操作,而無論是哪種操作對于電子商務來說都是巨大的損失,因此市場上開始出現各類網絡安全設備,但就目前而言,還存在較大的進步空間。
④信息安全問題:我們想來看看究竟什么是電子商務的安全問題?安全不是絕對的,它也不是一個純粹的技術概念。安全是一種成本和價格,采取安全措施除了會影響到一定的便利之外,還會增加成本和價格,也正因為如此很多電子商務網站為了降低成本和價格,導致很多安全措施沒有完全落實到位。2000年中國人民銀行的信息安全標準是安全投入的10%的資金,這是第一個明確公布信息安全標準配額的行業部門,由此我們也知道了信息安全的重要性。但不可否認很多電子商務網站都沒有達到10%的信息安全標準,大大增加了交易的風險性。
3 解決基于計算機互聯網的電子商務安全的基本技術
①解決電子商務支付的安全性可分為直接支付和間接支付。根據銀行賬戶可以分為如果有一個支付賬戶和基于電子支付的支付賬戶,可以分為基于信用卡支付和電子支票支付,電子支付已經成為以貨幣為基礎的電子現金或數字現金。您是否必須與三分之一方在線聯系,也可分為在線支付和線下支付。基于信用卡的支付協議的應用主要有兩個:SSL和SET。目前,中國是通過電子信用卡支付的廣泛應用,中國的網上銀行使用SET協議的銀行,中國招商銀行卡是SSL協議。
②CA問題也是存在的安全問題。我國建立CA時間較短,在經驗等方面存在許多不足之處,雖然我國已經建立了40多個CA(若包括地方政府和行業,有人說可能超過了80多個),但這些CA普遍存在缺乏標準的問題,我國電子商務缺乏標準化,這也是導致其安全問題出現的一個重要原因。CA的安全設備也會影響到電子商務的正常交易,無論該設備來源哪里,如何對設備的安全性進行科學的檢測,也是電子商務安全的一項基本技術。
③電子簽名,技術層面的統一規范。除了具備一般的簽名,電子簽名所應具備的功能,根據簽署的文件的性質不同,簽名以及各種各樣的其他特點:例如,簽名可以證明一方當事人愿意受合同的約束;一個人的授權是文檔作者證明;對一個人通過其他人的內容書面同意證明;證明一個人某時身在某地的事實。
為了確保受認證的消息將不會簡單地因為不被認證的文件和獨特的方式,以否認其法律價值,聯合國貿易法委員會將《電子商務示范法》通過一個綜合的方法來實現。
因此,《示范法》的用意為以下兩種情況下提供有用的指導:一例完全是國內法律由當事人決定注冊數據信息,另一種情況下的國內法簽名要求通常是強制性的,這樣的要求不能由雙方協議并做出改變。
電子商務中缺乏一個標準化的技術層面,相互操作影響互聯互通。國際標準一萬七千以上干,如果標準有超過3000個的,真正在電子商務的標準還是不夠的,還需要開發。標準不僅要提前,你也應該鋪平道路。游戲的標準規則,沒有規則,沒有標準。你先制定標準后,以后銀行也好,交易也好,造成的影響非常大。在管理方面,從不同部門管理的松懈政策,導致管理混亂。法律和法規現在還不夠完善,電子簽名法還沒有出臺。如果在互聯網上出現郵件攻擊的問題該怎么辦?出現責任怎么辦,誰來負責?安全是一個重大的問題,安全措施也是一個問題,與直接投入跟適當的技術措施是相關的,與成本也有關系。我們不能使用資產的價值高于我們的成本做安全。如網站上的盜信用卡號碼被盜了,誰來承擔這方面的主要責任?法律法規在這方面是否有相應的規定應為安全承擔連帶責任問題,如果安全保護出現了問題必須被追究責任。
最后,要提高服務的安全性,否則會影響電子商務的發展,或成為一個發展的瓶頸。提高溝通的速度,否則就變成純粹的電子商務和網絡廣告不能搬到商城內,許多東西我們無法看到,也更談不上交易。降低成本,包括硬件成本、通信成本和計算成本。
4 展望
綜上所述,在應對電子商務安全問題的出現,雖然電子商務安全技術取得了一定的成就,但真正成為一個領先的電子商務商業模式,必須有更多的安全技術的巨大發展和突破。什么是重要的功能信息技術,通信技術是小設備和服務的大設備。電子商務管理系統應具有一致性和經濟性的特點,一致性和經濟性的安全監督和符合信息安全管理一致性的信用體系。
國家應該有相關的電子商務CA管理中心,充分發揮政府在電子商務發展中的主導作用,在小政府大社會的方式,規范和管理的CA的發展,在電子商務的建設和采購中一定要考慮安全因素建設,加強部門間的協調與合作。
參考文獻:
[1]張毅.論我國電子商務發展中存在的問題及其解決策略[J]. 科技情報開發與經濟,2004(07).
關鍵詞 電子商務;信息安全;技術
中圖分類號:TP309 文獻標識碼:A 文章編號:1671-7597(2013)12-0036-02
1 電子商務的信息安全現狀
電子商務是網絡化的新型經濟活動,已經成為我國戰略性新興產業與現代流通方式的重要組成部分。根據數據顯示,我國通過手機上網以及網絡用戶已經突破了7億和3億大關,這么多的網絡用戶就為電子商務的發展奠定了基礎。我國電子商務市場整體交易量近年來持續增大,2011年中國網民在線購物交易額達到7849.3億元,比2010年增長了66%。,有效地促進了消費增長。預測2015年電子商務交易額將達12萬億元。隨著網絡深入到生活的方方面面,電子商務領域也接連出現信息安全事故,電商網絡安全問題越來越受到用戶的高度關注。日前,知名網商1號店爆出個人用戶信息被泄露,京東商城也出現大量“惡意訂單”,在消費者中引發不安和爭議。在10月30日晚上10點半左右,在京東商城的充值平臺上出現網絡異常,當時該平臺上的積分換話費活動出現系統BUG(漏洞),用戶點擊后就自動進行充值,整個過程并沒有進行相應的扣分。而且沒有充值成功的積分被雙倍的返還,自動打入消費者賬戶,消費者發現這個漏洞,紛紛上網參與活動,一次充值僅僅10秒左右就可以完成,一直持續到晚上將近12點,京東才發現異常,并修復了好了該漏洞,這次事件為眾多從事電子商務業務的企業敲響了警鐘,網絡完全問題無處不在,一旦發生將是不可挽回的損失。
2 電子商務對信息安全存在的問題
所謂電子商務基于電子信息網絡,特別是互聯網,為企業、機構和個人提品或服務交易及相關的電子認證、在線支付、物流配送等服務的業務活動。目前我國企業在電子商務信息安全方面的問題主要存在以下幾點。
1)企業對信息安全的重要性有所認識,但對面臨的信息安全威脅和存在的隱患仍存在僥幸心理,很多從事電子商務的企業對注冊會員的資料欠缺有效的保密措施,很多信息資料采用是明文保存,這就很容易被黑客侵入獲得相關客戶的資料,公司內部不法人員也可以輕而易舉的獲得客戶資料,為了牟利將其泄漏。這些問題看似技術層面的原因,其實深究起來,還是企業信息安全管理上的漏洞。在很多中小購物網站中,有的第三方支付平臺未依法落實相關的日至留存措施,有的甚至在明知他人實施網絡犯罪的情況下,仍為其提供支付服務,并從中提成獲利,有的電子商務運營商并未落實網絡交易異常、信用異常和非法交易的監控措施,導致銷售違禁品、網上銷贓等違法犯罪活動難以發現。
2)法律層面缺失。對于個人信息安全和網絡信息安全事故,由于相關法律的缺失,截至目前,依然很難給予法律層面上的定性。盡管媒體上多次報道一些網站出現用戶資料泄密事件,但從處理結果來看,企業僅僅道歉了事,并沒有承擔法律上的責任。這是由于目前我國在這方面的法律缺位,導致網絡信息的侵權成本過低,同時消費者要維權也缺乏法律支持,而且維權成本太高,這就使得很多企業并沒有動力去真正的加強用戶信息保密工作。
3)網民安全意識薄弱,強化互聯網企業和網民的法律意識,提升違法成本,才是應對網絡安全事故的根本之策。就像京東商城那個案例,很多網民利用系統BUG,實現了給自己手機充值,或者給Q幣充值的目的,這種行為其實已經符合盜竊行為的本質,但很多消費者并沒有從思想上認識到這是一種盜竊,認為這是在網絡的虛擬空間里就不能算作犯罪行為。隨著新的傳統企業進入電子商務領域及電子商務向農村縱深發展,這種意識和行為還有加重的趨勢。可見,加強消費者對網絡信息安全的認識,樹立起消費者守法的網絡行為十分必要。
3 電子商務的信息安全技術
3.1 加強安全認證
電子商務安全認證系統是保證電子商務安全的基礎設施,目前,在電子商務領域,安全認證是較為通行的一種做法。電子商務安全認證是以數字證書應用為核心的密碼,它以PKI技術為基礎,對網絡信息進行加密,有數字加密和簽名加密兩種方式。電子商務交易雙方都是利用網絡進行交易行為,交易雙方互相有個信任問題,如何在不見面的情形下對雙方身份進行確認是個難點,所以就需要一個參與方對雙方身份進行確認并相關證書,網絡交易雙方都可以通過加密證書對雙方的身份進行認證,保證網絡信息不被篡改和竊取。同時數字證書也可以起到對集中審計、產品授權等相關業務活動進行全程跟蹤管理的作用。例如新浪曾經推出國內首個安全認證企業郵箱,傳統的郵件加密只限于客戶端的加密,而對于郵件的傳遞無法監控,新浪這種加密的企業郵箱采用電子安全認證技術,基于瀏覽器的郵件加密,通過公鑰加密與私鑰解密技術結合,實現電子郵件最大的安全性。擁有這種企業郵箱的用戶,可以保證在郵件的傳遞過程中進行發件方和接受方的身份確認,并且可以對郵件進行電子簽名,保證信息的不可抵賴性。同時還支持國際漫游業務,當用戶離開出差外地,使用別人的PC,打開自己的企業郵箱,輸入電子認證證書密碼,即可從服務器上獲得128位的加密密鑰,打開電子郵件,當用戶閱讀完郵件,關閉瀏覽器,其加密密鑰自動銷毀,在機器上不留任何備份,保證了郵件安全。
3.2 完善電子商務網站
電子商務交易雙方的信任度成為評價電子商務秩序狀況的重要指標,這就需要一個完善的電子商務網站。建立一個電子商務網站并不是很容易的,服務器的選擇至關重要。特別是在建站的前期,服務器最重要的就是需要擁有更好的安全性和更高的性能,能夠最大限度的保證消費者網絡交易行為的安全性。對于電子商務企業而言,在網站建設與管理中,為了保證消費者能夠短時間內挑選出適合自己的商品,就不可避免的要實現網站的搜索功能,這就對網站服務器的性能和結構提出了要求。首先選擇服務器的結構。對于電子商務企業而言,服務器是要托管到電信或者網通機房,這是要付出一定費用的。服務器體積越大相應的托管費用就越高,所以企業應該根據企業實際情況,選擇性價比高的機架式服務器,常見的1U或2U機架式服務器都可以符合企業經營需要。其次,在服務器性能方面,可以選擇四核處理器、2GB內存以及讀取性能更好的SAS硬盤,如果企業規模較小或者資金有限,可以考慮性能相對較低的SATA硬盤,并通過組建RIAD磁盤陣列來提升硬盤的讀取性能和安全性。
3.3 加強信息安全的規劃和溝通
沒有合作的文化是做不成大團隊的,電子商務信息與安全管理需要這樣的合力來推行。電子商務企業信息安全發展到現代,在軟硬件以及信息安全技術、方法上差別不大,關鍵是信息安全理念的差異。有的電子商務企業缺乏先進信息安全管理理念,企業高層對信息安全管理的意見相左,各部分之間溝通不暢、缺少合力或者缺乏對信息安全建設的長遠規劃和指導,這些因素都會導致企業信息安全建設的失敗。因此,對于電子商務企業而言,企業信息化建設需要形成合力,需要企業高層對信息安全建設的投入、長遠規劃等意見統一,需要企業IT與業務部門溝通順暢,建立信息化規劃時,要按步驟、分階段來規劃。當然每個企業實際情況不同,信息安全建設的速度、規模都不盡相同,企業要根據自己的實際需要,根據企業的資金實力、發展規模以及企業發展階段等因素做好信息安全建設的規劃。同時,企業要建立統一的日常運營需要建立的管理流程,除了采取用較優秀的熟悉公司業務的人員做項目經理外,最好的辦法就是建立一種長期的溝通機制,每個部門除了知道本部門的活動計劃之外,還要知道其他部門的重大活動,這樣才可以加強相互之間的配合。還有就是電子商務主要在網絡上展開,由于網絡傳播速度很快,因此應該對流程的每一步都應該進行怎樣的測試和審核,避免有意和無意的疏忽造成重大事故。在出現問題時采取何種措施,對這些問題采取什么樣的風險描述。保證做到系統能夠快速恢復、人員能夠快速進入工作崗位。
總之,電子商務作為計算機應用技術與現代經濟貿易活動結合的產物,已經越來越多的應用到企業中,電子商務涉及面廣、主體眾多,存在巨大的信息安全隱患,加強電子商務網絡安全很重要。企業作為電子商務運營的主體,要切實加強對電子商務信息安全的重視程度,采用各種技術和方法來保證網絡交易的安全性。
參考文獻
[1]徐學軍.我國發展電子商務的主要瓶頸及對策[J].科技管理研究,2004(2).
[2]汪成.企業電子商務存在的問題及對策[J].科技情報開發與經濟,2005(2).
[3]周學廣,劉藝.信息安全學第1版[M].北京:機械工業出版社,2003.
[4]毛劍.保護隱私的數字產品網上交易方案[J].電子學報,2005(6).
[5]王圣潔.電子商務安全問題淺述[J].計算機與數字工程,2004(6).
[6]武心瑩.電子商務的安全性及其實現[J].江西財經大學學報,2004(4).
[關鍵詞] 電子商務 安全 PKI 公鑰
一、引言
隨著計算機技術和通訊技術的飛速發展,網絡正逐步改變著人們的工作方式和生活方式,成為當今社會發展的一個主題。網絡的開放性,互連性,共享性程度的擴大,特別是Internet的出現,使網絡的重要性和對社會的影響也越來越大。隨著網絡上電子商務,電子現金,數字貨幣,網絡移動通信等新業務的興起,信息安全問題變得越來越重要。在各種網絡信息技術的應用中,保障用戶的合法訪問、保證數據在傳輸過程中的保密性,以及確認發送者的合法身份是最基本的安全要求。越來越多的組織利用公鑰基礎設施(PKI)技術為用戶提供信息安全服務。在我國,基于PKI技術的安全方案也從金融、電信等少數行業擴展到更多領域,出現在電子政務、電子商務等各類信息化應用中。
二、電子商務安全
電子商務是指各種具有商業活動能力的主體(如企業、個人、政府、銀行等)利用網絡和先進的數字化傳媒技術開展的各項商業貿易活動。電子商務作為一種全新的商務運作模式,在不斷發展的同時,也帶來種種安全問題。電子商務安全分為兩大部分:計算機網絡安全和商務交易安全。
計算機網絡安全的內容包括計算機網絡設備安全、計算機網絡系統安全、數據庫安全等。其特征是針對計算機網絡本身可能存在的安全問題, 實施強大的網絡安全監控方案, 以保證計算機網絡自身的安全性。常用的網絡安全技術有防火墻、虛擬專用網、入侵檢測技術、計算機防病毒技術等。
商務交易安全則緊緊圍繞傳統商務在互聯網上應用時產生的各種安全問題,在計算機網絡安全的基礎上,如何保障電子商務過程的順利進行,即實現電子商務的真實性、完整性、機密性和不可否認性等。具體包括:如何確定通信中貿易伙伴的真實性,保證身份的可認證性; 如何保證電子單證的機密性,防范電子單證的內容被第三方讀取;如何保證被傳輸的業務單證不會丟失,或者發送方可以察覺所發單證的丟失;如何保證電子單證內容的真實性、準確性和完整性;如何保證存儲信息的安全性;如何對數據信息進行審查并將審查的結果進行記錄。
三、PKI與電子商務安全
互聯網絡的開放性和匿名性的特征使電子商務的安全問題變得越來越突出,諸如信息的泄露或篡改,欺騙,抵賴等問題。為了防范用戶身份(包括人和設備)的假冒、數據的截取和篡改,以及行為的否認等安全漏洞,互聯網急需一種技術或體制來實現對用戶身份的認證,建立可信的網絡應用環境,并保證互聯網上所傳輸數據的安全。PKI是為適應網絡開放狀態應運而生的一種技術,以前的信息安全技術(如防火墻、入侵檢測。防病毒等)基本上都是解決網絡安全某一方面的問題,而PKI則是比較完整的網絡安全解決方案,能夠全面保證信息的真實性、完整性、機密性和不可否認性。
1.什么是PKI
PKI(Public Key Infrastructure)即“公鑰基礎設施”,是一套利用公鑰密碼技術為安全通信提供服務的基礎平臺的技術和規范,PKI規定了該安全基礎平臺應遵循的標準。PKI公鑰基礎設施的主要任務是在開放環境中為開放性業務提供基于非對稱密鑰密碼技術的一系列安全服務,包括身份認證和密碼管理、機密性、完整性、身份認證和數字簽名等。PKI技術是信息安全技術的核心,也是電子商務的關鍵和基礎技術。用戶可利用PKI平臺提供的服務進行安全的電子交易,通信和互聯網上的各種活動。
2.PKI的組成
一個典型的PKI系統應該包括PKI策略,軟硬件系統,認證中心CA、注冊機構RA、證書簽發系統和PKI應用等基本部分,見圖1 PKI的組成框圖。
圖 PKI的組成框圖
(1)PKI策略:是一個包含如何在實踐中增強和支持安全策略的一些操作過程的詳細文檔,它建立和定義了一個組織信息安全方面的指導方針,同時也定義了密碼系統使用的處理方法和原則。
(2)軟硬件系統是:PKI系統運行所需的所有軟件、硬件的集合,主要包括認證服務器、目錄服務器、PKI平臺等。
(3)認證中心CA:是PKI的信任基礎,它負責管理密鑰和數字證書的整個生命周期。其作用包括:證書申請、證書審批和發放、規定證書的有效期、證書更新、接收并處理合法身份者的證書查詢和撤消申請、產生并管理證書廢止列表CRL、將各用戶的數字證書歸檔、產生并管理密鑰(包括密鑰備份及恢復)、將用戶的歷史數據歸檔等。
(4)注朋機構RA:是PKI信任體系的重要組成部分,是用戶(可以是個人或團體)和認證中心CA之間的一個接口。主要完成收集用戶信息、確認用戶身份的功能。這里指的用戶,是指將要向認證中心(以)申請數字證書的客戶,它可以是個人,也可以是集團、企業等機構。
(5)證書簽發系統:負責證書的發放,如可以通過用戶自己,或是通過目錄服務。目錄服務器可以是一個組織中現有的,也可以是PKI方案中提供的。
(6)PKI應用:包括在Web服務器和瀏覽器之間的通訊、電子郵件、電子數據交換(EDI)、在Internet上的信用卡交易和虛擬專業網(VPN)等。
(7)應用接口系統(API):一個完整的PKI必須提供良好的應用接口系統,讓用戶能夠方便地使用加密、數字簽名等安全服務,使得各種各樣的應用能夠以安全、一致、可信的方式與PKI交互,確保所建立起來的網絡環境的可信性,降低管理和維護的成本。
3.基于PKI的電子商務安全體系
電子商務的關鍵是商務信息電子化,因此,電子商務安全性問題的關鍵是計算機信息的安全性。如何保障電子商務過程的順利進行,即實現電子商務的真實性、完整性、機密性和不可否認性等。PKI體系結構采用證書管理公鑰,通過第三方的可信機構,把用戶的公鑰和用戶的其他標識信息(如用戶身份識別碼、用戶名、身份證件號、地址等)捆綁在一起,形成數字證書,以便在Internet上驗證用戶的身份。PKI是建立在公鑰理論基礎上的,從公鑰理論出發,公鑰和私鑰配合使用來保證數據傳輸的機密性;通過哈希函數、數字簽名技術及消息認證碼等技術來保證數據的完整性;通過數字簽名技術來進行認證,且通過數字簽名,安全時間戳等技術提供不可否認。因此PKI是比較完整的電子商務安全解決方案,能夠全面保證信息的真實性、完整性、機密性和不可否認性。
通常電子商務的參與方一般包括買方、賣方、銀行和作為中介的電子交易市場。首先買方通過瀏覽器登錄到電子交易市場的Web服務器并尋找賣方。當買方登錄服務器時,買賣雙方都要在網上驗證對方的電子身份證,這被稱為雙向認證。在雙方身份被互相確認以后,建立起安全通道,并進行討價還價,之后買方向賣方提交訂單。訂單里有兩種信息:一部分是訂貨信息,包括商品名稱和價格;另一部分是提交銀行的支付信息,包括金額和支付賬號。買方對這兩種信息進行雙重數字簽名,分別用賣方和銀行的證書公鑰加密上述信息。當賣方收到這些交易信息后,留下訂貨單信息,而將支付信息轉發給銀行。賣方只能用自己專有的私鑰解開訂貨單信息并驗證簽名。同理,銀行只能用自己的私鑰解開加密的支付信息、驗證簽名并進行劃賬。銀行在完成劃賬以后,通知起中介作用的電子交易市場、物流中心和買方,并進行商品配送。整個交易過程都是在PKI所提供的安全服務之下進行,實現了真實性、完整性、機密性和不可否認性。
四、結束語
綜上所述,PKI技術是解決電子商務安全問題的關鍵,綜合PKI的各種應用,我們可以建立一個可信任和足夠安全的網絡,能夠全面保證電子商務中信息的真實性、完整性、機密性和不可否認性。
參考文獻:
[1]寧宇鵬陳昕等:PKI技術[M].北京:機械工業出版,2004年
[關鍵詞] 電子商務會計;會計信息系統;信息安全
1 引 言
電子商務的實施和推廣,極大地沖擊了企業的傳統經營和發展模式,也使企業的傳統會計有逐步向電子商務會計過渡的趨勢
電子商務是一個以Internet為主要平臺以交易雙方為主體以銀行支付和結算為主要手段以客戶數據庫為依托的全新商業模式因此,如何應對這種全新的商務模式適應信息化條件下的市場競爭,是企業會計必須面對的嶄新課題由于電子商務發展所依托的主要平臺——互聯網具有很大的安全風險,電子商務環境下的會計信息同樣也面臨著不可忽視的安全問題隨著電子商務應用的進一步推廣,電子商務環境下的企業會計信息安全問題的日益凸現,已經成為企業向電子商務時代跨越的一大障礙因此,解決電子商務環境下的會計信息安全問題已經成為發展電子商務會計中最重要最基本的工作
2 電子商務環境下的會計信息安全問題
由于電子商務環境下網絡的復雜性以及會計問題的特殊性,會計信息遇到的安全問題是多方面的電子商務環境下存在著大量的會計信息安全問題:
(1)網絡安全風險
互聯網是一個開放的環境,置于該環境中的各種服務器數據庫上的信息在理論上都是可以被訪問到的因此,網絡會計信息系統很難完全抵制非法訪問者的侵擾和攻擊尤其是當系統程序本身存在問題系統安全漏洞較大并且系統管理人員尚不自知時,就難以保證服務器上的會計信息系統的信息資源不會被竊取或篡改當然這種攻擊可能來自于系統外部,也可能來自系統內部,而且一旦發生企業將損失巨大
(2)無紙化的申報和扣稅帶來稅務稽查問題
在網上交易電子化,電子貨幣電子發票和網上銀行日漸普及的情況下,納稅人手工上門申報方式已經無法適應電子商務發展的需要同時,也引出了所謂的電子稅收問題,即如何保證納稅單位忠實無誤地進行網上申報,而稅務稽查的基礎是掌握大量確切的有關納稅人應稅會計信息的證據
(3)追蹤審計困難
從審計工作的角度看,由于數據高度集中于電子商務系統,電子商務系統對錯誤的處理具有重復性和連續性,電子商務系統中許多不相容職責相對集中,加大了舞弊的風險此外,會計信息系統設計時可能沒有充分考慮到審計工作的需要,沒有留下充分的審計線索因此,無紙化的商務環境導致電子商務活動難以追蹤審計,各種會計憑證又可被輕易修改而不留痕跡,傳統的稅務稽查工作失去物質基礎
(4)相關的法律法規配套不完善
加強電子商務立法措施,為電子商務會計發展提供一個健全的法律環境為此,要大膽借鑒和移植發達國家電子商務保護交易安全的成功經驗和制度,并結合中國的實際情況,構造一套強化交易安全保護的法律制度;在計算機及其網絡安全管理的立法上,應針對電子商務交易在虛擬環境中運行的特點,明確提出電子商務交易安全保護的法律措施;隨著電子商務進一步發展,虛擬公司越來越小,而人力資源與知識產權等是其創造價值的動力所在未來的會計報告必然要求披露知識產權商譽等的真實情況確認的公允價值我國有關電子商務活動的法律法規還難以預想到電子商務會計活動中出現的新問題,這就增加了會計信息安全的不確定性,加大了風險
(5)現行財務會計軟件的不成熟帶來的會計信息安全風險
由于開發的滯后性,當前市場上流行的各種財務軟件,都與電子商務會計發展的客觀需求存在著一定的差距開發出的財務軟件適應性差應變能力不強相互兼容性不好抗病毒能力差等弱點已很難適應電子商務會計的需要電子商務會計軟件的不成熟嚴重阻礙了電子商務會計的充分發展
會計信息是企業管理的基本依據之一,從事電子商務活動的企業需要利用電子商務網絡進行會計信息的收集輸入處理存儲輸出傳遞等活動,如何利用電子商務安全技術對網絡中的會計信息進行保密處理,確保會計信息的安全,是企業面臨的一項重要任務
3 電子商務環境下的會計信息系統安全策略研究
一般的會計信息系統都包括信息源輸入處理存儲輸出反饋和信息匯等幾個構成要素各構成要素的關系如圖1所示:
在電子商務環境下,會計核算網絡化以后,會計崗位將重新劃分,包括系統設計員系統管理員系統操作員數據錄入員數據審核員系統維護員數據分析員檔案管理員等,各崗位之間相互聯系相互監督相互牽制會計信息的安全與會計信息系統的構成元素有著密切的關系,因此,我們可以從會計信息系統的各個構成元素來對會計信息安全進行研究,具體分析如下:
3. 1會計信息源的安全
原始會計信息準確性是企業會計問題的基礎,因此,會計信息源安全的意義不言而喻,如果會計信息源遭到攻擊,導致其發出的信息是虛假的或是不準確的,在會計信息系統本身沒有識別能力的情況下,會計信息系統中處理存儲和輸出的信息肯定是有誤的,傳送到信息匯中的信息也是錯誤的,這必然引發企業一系列的會計問題因此,如何保證在信息源頭獲取正確的可靠的原始會計數據,是保證會計信息安全的基礎,否則,一切挽救措施都無從談起為此,需要在信息源處加上電子審計的功能,以確保其發出的數據是準確的客觀的同時,在進入輸入節點時需要加上識別功能,以防錯誤或虛假信息進入會計信息系統在電子商務的環境下,會計信息源可能在企業外部,非企業本身所能控制,因此,保證會計源發出的信息準確無誤不僅需要各種先進的電子商務安全技術和安全措施作支撐,還需要相關的電子商務法規來保障,同時還需要建立起全社會的誠信系統來維護,以最大限度地減少虛假錯誤的信息的發生具體到企業個體來說,信息源責任單位應建立有效的信息安全保密管理制度和技術保障措施,并接受相關業務主管部門的管理監督和檢查公司財務主管應有權對信息源責任單位對外公開的信息內容通過瀏覽進行檢查,并要求信息源責任單位就不適宜的信息內容進行修改和刪除等
3. 2信息輸入節點的安全
數據輸入的正確與否直接影響到賬務處理和賬務輸出的結果因此會計數據輸入控制顯得尤為重要在會計信息系統中,每一步的信息輸入要來自上一步的結果,每一步的信息輸出又構成下一步的信息輸入在電子商務環境下,從會計信息源獲取的數據一般是通過客戶端直接輸入系統的或從另一個系統傳送到系統服務器數據庫的如果是人工鍵盤輸入,則需要在保證輸入正確的同時防止信息的泄露,還需要采取措施對錄入人員進行培訓和監督,特別是需要進行及時的內部監控,以防有人故意破壞或輸入虛假錯誤的數據另外,在輸入技術方面,需要考慮輸入的方式接口輸入數據的格式及其轉換問題,這關系到原始會計數據是否能正確地進入系統病毒的破壞黑客的攻擊以及人為的失誤等狀況都可能威脅會計數據的正常安全轉換此外,實際經驗表明,內部人員的干擾和破壞是系會計信息系統安全的最大隱患,因此很有必要為此制定一個嚴格的完善的會計信息安全管理制度,使企業財務系統從設計投入使用業務操作設備管理都有相應的制度監督,對違反規定的員工必須依制度處理,建立相應的監督機制,保證相關制度得到落實在許多先進的會計信息系統中一般均含有監控模塊或子系統,其作用是對外部信息的輸入進行必要的控制和管理,以及時發現和糾正各種可能的錯誤 轉貼于 3. 3信息處理部分的安全
數據處理是會計信息系統的核心功能,財務系統處理的業務均與“錢”有關,具有高度的敏感性和機密性,處理結果要求及時準確完整,不能有一絲差錯故一般在數據處理期間,其網絡必須封閉運行,不能連接與業務無關的終端,不能與其他無關的部門共同使用計算機設備,更不能與互聯網相連當然封閉是相對而言的,對業務相關部門是應開放的,以實現資源共享,提高企業管理水平需要說明的是,即使對相關部門開放,也需層層加密,授權作業,禁止處理未授權的業務
信息處理部分的安全隱患也主要來自黑客的攻擊程序的破壞以及系統開發時留下的bug,這些都會干擾信息系統對會計數據處理的正常處理,甚至會危害整個系統的運行這些問題與前述的問題有關,但內部人員作案外部人員或組織的破壞均是可能的特別是內部人員或前內部人員作案,隱蔽性強,往往難以追蹤,而且破壞性很大,這同樣需要制度化的措施和及時的監控來加以解決另外,黑客程序的入侵和病毒程序的破壞已經是經常性的問題,因此,實時監控是電子商務網絡和系統必備的措施應建立操作日志,對日常業務進行全程跟蹤,加強控制,對大額業務單獨列示,詳細反映認真核對每筆業務,建立嚴格的確認復核制度,保證數據完整準確重點監控大額業務定期評估財務系統的安全性,發現問題及時解決
3. 4信息輸出部分的安全
由于會計信息系統輸出的財務數據或信息往往涉及企業的商業機密,所以需要采取嚴密的措施進行安全防范除了前面敘述的問題外,如何防止企業敏感財務信息的泄露是重中之重對優秀的會計信息系統來說,所有數據輸出活動都應該有記錄,這種記錄主要是針對用戶的信息審計系統能實時對進出內部網絡數據庫系統的信息進行內容審計,以防止或追查可能的泄密行為凡屬涉密,按照國家有關法律法規要求,建議安裝使用信息審計系統信息輸出的形式往往與采用的保密措施有關,特別是當會計數據或信息以電子化的形式輸出時,需要采用嚴格的制度和紀律加以規范,以防在電子商務網上迅速傳播和泄露另外,對獲得輸出數據或信息的人和組織必須進行嚴格的審查和監督,并加以控制和施以法律責任,以防止泄密或向外部被篡改后的數據或信息,引起爭議或麻煩
3. 5數據存儲部分的安全
這是會計信息系統最敏感的部分這部分的安全威脅主要來自黑客對未經授權的數據的瀏覽修改和刪除此外,計算機病毒對于存儲的電子數據也是一個極為嚴重的威脅對企業財務數據信息的安全保護,其重要性已經上升到企業安全的高度因此,建立一個安全高效的數據存儲管理制度刻不容緩首先,電子商務系統本身的技術水平技術措施系統管理員和數據庫管理員的技術水準和責任心嚴格的紀律和手段等,是保證數據存儲器安全的先決條件同時,凡是有權訪問數據的人和組織均有法律責任,對敏感的會計數據進行嚴格的保密另外,數據存儲安全管理尤其需要隔絕不安全的人包括:
(1)數據破壞者毀滅存儲信息
(2)竊密者超越權限獲取信息的人都可以稱為竊密者
(3)不當使用者不熟悉數據安全和處理的人都可能造成不當使用
這其中前兩類人有很多是內部人員,也可能以黑客/間諜面目出現
因此,企業需要加強內部控制,實行嚴格的數據資源授權管理制度在會計電算化比較完備的企業應建立起網絡系統計算機系統和數據庫3層訪問權限控制管理制度,安全策略在確定對每個資源管理授權者的同時,還要確定他們可以對用戶授予什么級別的權限如果沒有數據管理授權者的信息,就無法掌握究竟哪些人在使用數據庫對于數據中的關鍵財務信息資源,對其可授權范圍應盡可能小,范圍越小就越容易管理,相對也就越安全在對數據訪問授權者管理的同時,要制定對用戶授權的過程設計,以防止對授權職責的濫用,以防止財務機密外泄和蓄意計算機作案,保證會計信息的安全
3. 6信息匯的安全
信息匯指的是會計數據流向的目的地,它既可能是企業內外部的組織或者是具體的相關職責個人,也可能是會計信息系統的數據庫對企業財務部門來說,必須具有強有力的監控措施,對于誰在什么時候什么地方以何種方式對什么對象做了什么操作發生什么結果等都應該進行詳盡的記錄對這些信息使用者的監控,必須有法律效力這涉及了信息共享的安全性問題商務機密的泄漏通常是在信息共享中發生的因此,除了嚴格的制度和強硬的紀律法律手段外,還需要有效的安全技術和安全措施作保障
4 結束語
在電子商務網絡中,會計信息的安全保密問題實際上與一般網絡安全問題有直接的關系,在安全措施和手段上也基本一致但是會計信息比一般信息敏感,在企業的日常管理方面財務審計與課稅等方面起重要作用由于會計信息不同使用者的信息需求有差異,會計信息的可靠性和相關性在某些情況下也不容易同時兼顧由于在電子商務環境下產生的會計信息一般是以電子化的方式而非書面的形式存在,故其法律效力和原始會計數據的追蹤變得復雜,其安全保密具有特別的意義對會計數據和信息的安全進行妥善處理,不僅需要技術方面的措施,還需要社會法律制度等來保障
主要參考文獻
[1] George H Bodnar,William S Hopwood. 會計信息系統[M]. 第8版. 北京:清華大學出版社,2001.
[2] 陳少華. 防范企業會計信息舞弊的綜合對策研究[M]. 北京:中國財政經濟出版社,2003.
[關鍵詞]互聯網;電子商務;系統安全;數據安全;網絡系統
一、前言
近年來,隨著因特網的普及日漸迅速,電子交易開始融入人們的日常生活中,網上訂貨、網上繳費等眾多電子交易方式為人們創造了便利高效的生活方式,越來越多的人開始使用電子商務網站來傳遞各種信息,并進行各種交易。電子商務網站傳遞各種商務信息依靠的是互聯網,而互聯網是一個完全開放的網絡,任何一臺計算機、任何一個網絡都可以與之相連。它又是無國界的,沒有管理權威,“是世界唯一的無政府領地”,因此,網上的安全風險就構成了對電子商務的安全威脅。
從發展趨勢來看,電子商務正在形成全球性的發展潮流。電子商務的存在和發展,是以網絡技術的革新為前提。電子商務系統的構建、運行及維護,都離不開技術的支持。同時,因為電子商務適合于各種大、小型企業,所以應充分考慮如何保證電子商務網站的安全。
二、電子商務網站的安全控制
電子商務的基礎平臺是互聯網,電子商務發展的核心和關鍵問題就是交易的安全性。由于Internet本身的開放性,使網上交易面臨了種種危險,也由此提出了相應的安全控制要求。
下面從技術手段的角度,從系統安全與數據安全的不同層面來探討電子商務中出現的網絡安全問題。
(一)系統安全
在電子商務中,網絡安全一般包括以下兩個方面:
1.信息保密的安全
交易中的商務信息均有保密的要求。如信用卡的帳號和用戶名被人知悉,就可能被盜用,訂貨和付款的信息被競爭對手獲悉,就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。
2.交易者身份的安全
網上交易的雙方很可能素昧平生,相隔千里。要使交易成功,首先要能確認對方的身份,對商家要考慮客戶端不能是騙子,而客戶也會考慮網上的商店是否是黑店。因此能方便而可靠地確認對方身份是交易的前提。
對于一個企業來說,信息的安全尤為重要,這種安全首先取決于系統的安全。系統安全主要包括網絡系統、操作系統和應用系統三個層次。系統安全采用的技術和手段有冗余技術、網絡隔離技術、訪問控制技術、身份鑒別技術、加密技術、監控審計技術、安全評估技術等。
(1)網絡系統
網絡系統安全是網絡的開放性、無邊界性、自由性造成,安全解決的關鍵是把被保護的網絡從開放、無邊界、自由的環境中獨立出來,使網絡成為可控制、管理的內部系統,由于網絡系統是應用系統的基礎,網絡安全便成為首要問題。解決網絡安全主要方式有:
網絡冗余——它是解決網絡系統單點故障的重要措施。對關鍵性的網絡線路、設備,通常采用雙備份或多備份的方式。網絡運行時雙方對運營狀態相互實時監控并自動調整,當網絡的一段或一點發生故障或網絡信息流量突變時能在有效時間內進行切換分配,保證網絡正常的運行。
系統隔離——分為物理隔離和邏輯隔離,主要從網絡安全等級考慮劃分合理的網絡安全邊界,使不同安全級別的網絡或信息媒介不能相互訪問,從而達到安全目的。對業務網絡或辦公網絡采用VLAN技術和通信協議實行邏輯隔離劃分不同的應用子網。
訪問控制——對于網絡不同信任域實現雙向控制或有限訪問原則,使受控的子網或主機訪問權限和信息流向能得到有效控制。具體相對網絡對象而言需要解決網絡的邊界的控制和網絡內部的控制,對于網絡資源來說保持有限訪問的原則,信息流向則可根據安全需求實現單向或雙向控制。訪問控制最重要的設備就是防火墻,它一般安置在不同安全域出入口處,對進出網絡的IP信息包進行過濾并按企業安全政策進行信息流控制,同時實現網絡地址轉換、實時信息審計警告等功能,高級防火墻還可實現基于用戶的細粒度的訪問控制。
身份鑒別——是對網絡訪問者權限的識別,一般通過三種方式驗證主體身份,一是主體了解的秘密,如用戶名、口令、密鑰;二是主體攜帶的物品,如磁卡、IC卡、動態口令卡和令牌卡等;三是主體特征或能力,如指紋、聲音、視網膜、簽名等。加密是為了防止網絡上的竊聽、泄漏、篡改和破壞,保證信息傳輸安全,對網上數據使用加密手段是最為有效的方式。目前加密可以在三個層次來實現,即鏈路層加密、網絡層加密和應用層加密。鏈路加密側重通信鏈路而不考慮信源和信宿,它對網絡高層主體是透明的。網絡層加密采用IPSEC核心協議,具有加密、認證雙重功能,是在IP層實現的安全標準。通過網絡加密可以構造企業內部的虛擬專網(VPN),使企業在較少投資下得到安全較大的回報,并保證用戶的應用安全。
安全監測——采取信息偵聽的方式尋找未授權的網絡訪問嘗試和違規行為,包括網絡系統的掃描、預警、阻斷、記錄、跟蹤等,從而發現系統遭受的攻擊傷害。網絡掃描監測系統作為對付電腦黑客最有效的技術手段,具有實時、自適應、主動識別和響應等特征,廣泛用于各行各業。網絡掃描是針對網絡設備的安全漏洞進行檢測和分析,包括網絡通信服務、路由器、防火墻、郵件、WEB服務器等,從而識別能被入侵者利用非法進入的網絡漏洞。網絡掃描系統對檢測到的漏洞信息形成詳細報告,包括位置、詳細描述和建議的改進方案,使網管能檢測和管理安全風險信息。
(2)操作系統
操作系統是管理計算機資源的核心系統,負責信息發送、管理設備存儲空間和各種系統資源的調度,它作為應用系統的軟件平臺具有通用性和易用性,操作系統安全性直接關系到應用系統的安全,操作系統安全分為應用安全和安全漏洞掃描。
應用安全——面向應用選擇可靠的操作系統,可以杜絕使用來歷不明的軟件。用戶可安裝操作系統保護與恢復軟件,并作相應的備份。
系統掃描——基于主機的安全評估系統是對系統的安全風險級別進行劃分,并提供完整的安全漏洞檢查列表,通過不同版本的操作系統進行掃描分析,對掃描漏洞自動修補形成報告,保護應用程序、數據免受盜用、破壞。
(3)應用系統
辦公系統文件(郵件)的安全存儲:利用加密手段,配合相應的身份鑒別和密鑰保護機制(IC卡、PCMCIA安全PC卡等),使得存儲于本機和網絡服務器上的個人和單位重要文件處于安全存儲的狀態,使得他人即使通過各種手段非法獲取相關文件或存儲介質(硬盤等),也無法獲得相關文件的內容。
文件(郵件)的安全傳送:對通過網絡(遠程或近程)傳送給他人的文件進行安全處理(加密、簽名、完整性鑒別等),使得被傳送的文件只有指定的收件者通過相應的安全鑒別機制(IC卡、PCMCIAPC卡)才能解密并閱讀,杜絕了文件在傳送或到達對方的存儲過程中被截獲、篡改等,主要用于信息網中的報表傳送、公文下發等。
業務系統的安全:主要面向業務管理和信息服務的安全需求。對通用信息服務系統(電子郵件系統、WEB信息服務系統、FTP服務系統等)采用基于應用開發安全軟件,如安全郵件系統、WEB頁面保護等;對業務信息可以配合管理系統采取對信息內容的審計稽查,防止外部非法信息侵入和內部敏感信息泄漏。
(二)數據安全
數據安全牽涉到數據庫的安全和數據本身安全,針對兩者應有相應的安全措施。
數據庫安全——大中型企業一般采用具有一定安全級別的SYBASE或ORACLE大型分布式數據庫,基于數據庫的重要性,應在此基礎上開發一些安全措施,增加相應控件,對數據庫分級管理并提供可靠的故障恢復機制,實現數據庫的訪問、存取、加密控制。具體實現方法有安全數據庫系統、數據庫保密系統、數據庫掃描系統等。
數據安全——指存儲在數據庫數據本身的安全,相應的保護措施有安裝反病毒軟件,建立可靠的數據備份與恢復系統,某些重要數據甚至可以采取加密保護。
(三)網絡交易平臺的安全
網上交易安全位于系統安全風險之上,在數據安全風險之下。只有提供一定的安全保證,在線交易的網民才會具有安全感,電子商務網站才會具有發展的空間。
交易安全標準——目前在電子商務中主要的安全標準有兩種:應用層的SET(安全電子交易)和會話層SSL(安全套層)協議。前者由信用卡機構VISA及MasterCard提出的針對電子錢包/商場/認證中心的安全標準,主要用于銀行等金融機構;后者由NETSCAPE公司提出針對數據的機密性/完整性/身份確認/開放性的安全協議,事實上已成為WWW應用安全標準。
交易安全基礎體系——交易安全基礎是現代密碼技術,依賴于加密方法和強度。加密分為單密鑰的對稱加密體系和雙密鑰的非對稱加密體系。兩者各有所長,對稱密鑰具有加密效率高,但存在密鑰分發困難、管理不便的弱點;非對稱密鑰加密速度慢,但便于密鑰分發管理。通常把兩者結合使用,以達到高效安全的目的。
交易安全的實現——交易安全的實現主要有交易雙方身份確認、交易指令及數據加密傳輸、數據的完整性、防止雙方對交易結果的抵賴等等。具體實現的途徑是交易各方具有相關身份證明,同時在SSL協議體系下完成交易過程中電子證書驗證、數字簽名、指令數據的加密傳輸、交易結果確認審計等。
隨著電子商務的發展,網上交易越來越頻繁,調用每項服務時需要用戶證明身份,也需要這些服務器向客戶證明他們自己的身份。而保障身份安全的最有效的技術就是PKI技術。
PKI的應用在我國還處于起步階段,目前我國大多數企業只是在應用它的CA認證技術。CA(CertificationAuthorty)是一個確保信任度的權威實體,主要職責是頒發證書、驗證用戶身份的真實性。由CA簽發的網絡用戶電子身份證明—證書,任何相信該CA的人,按照第三方信任原則,都應當相信持有證明的該用戶。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。構建一個具有較強安全性的CA是至關重要的,這不僅與密碼學有關系,而且與整個PKI系統的構架和模型有關。此外,靈活也是CA能否得到市場認同的一個關鍵,它不需支持各種通用的國際標準,并能很好地和其他廠家的CA產品兼容。在不久的將來,PKI技術會在電子商務和網絡安全中得到更廣泛的應用,從而真正保障用戶和商家的身份安全。
三、目前信息安全的研究方向
從歷史角度看,我國信息網絡安全研究歷經了通信保密、數據保護兩個階段,正在進入網絡信息安全研究階段,現已開發研制出防火墻、安全路由器、安全網關、黑客入侵檢測、系統脆弱性掃描軟件等。但因信息網絡安全領域是一個綜合、交叉的學科領域,它綜合利用了數學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發展成果,提出系統的、完整的和協同的解決信息網絡安全的方案,從安全體系結構、安全協議、現代密碼理論、信息分析和監控以及信息安全系統五個方面開展研究,各部分相互協同形成有機整體。
安全協議作為信息安全的重要內容,其形式化方法分析始于80年代初,目前有基于狀態機、模態邏輯和代數工具的三種分析方法,但仍有局限性和漏洞,處于發展的提高階段。作為信息安全關鍵技術密碼學,近年來空前活躍,美、歐、亞各洲舉行的密碼學和信息安全學術會議頻繁。1976年美國學者提出的公開密鑰密碼體制,克服了網絡信息系統密鑰管理的困難,同時解決了數字簽名問題,它是當前研究的熱點。
目前電子商務的安全性已是當前人們普遍關注的焦點,它正處于研究和發展階段,并帶動了論證理論、密鑰管理等研究。由于計算機運算速度的不斷提高,各種密碼算法面臨著新的密碼體制,如量子密碼、DNA密碼、混沌理論等密碼新技術出處于探索之中。在我國,信息網絡安全技術的研究和產品開發雖處于起步階段,有大量的工作需要我們去研究、開發和探索,但我們相信在不久的將來,會走出一條有中國特色的產學研聯合發展之路,趕上或超過發達國家的水平,以此保證我國信息網絡的安全,推動我國國民經濟的高速發展。
四、結束語
電子商務是以互聯網為活動平臺的電子交易,它是繼電子貿易(EDI)之后的新一代電子數據交換形式。計算機網絡的發展與普及,直接帶動電子商務的發展。因此計算機網絡安全的要求更高,涉及面更廣,不但要求防治病毒,還要提高系統抵抗外來非法黑客入侵的能力,還要提高對遠程數據傳輸的保密性,避免在傳輸途中遭受非法竊取,以保證系統本身安全性,如服務器自身穩定性,增強自身抵抗能力,杜絕一切可能讓黑客入侵的渠道等等。對重要商業應用,還必須加上防火墻和數據加密技術加以保護。在數據加密方面,更重要的是不斷提高和改進數據加密技術,使不法分子難有可乘之機。
參考文獻:
[1]佚名.解析電子商務安全[EB/OL]./it386/dnwl/,2006-07-25.
[2]佚名.網絡構建與維護[EB/OL].chinaec-/second/network.php,2006-07-16.
[3]洪國彬.電子商務安全與管理[M].北京:電子工業出版社,2006.
關鍵詞:電子商務;身份認證;防火墻
1引言
電子商務可以增加銷售額并降低成本的優勢,使得政府與企業都十分重視并推動電子商務的建設和發展。電子商務發展到今天,主要問題在于時空的分離導致了安全問題的出現,信息的安全性是當前發展電子商務最迫切需要解決的問題之一。研究和分析電子商務的安全性問題,特別是針對企業自身情況,充分借鑒以往電子商務系統開發的先進技術和經驗,開發出符合企業特殊的電子商務系統,已經成為目前發展電子商務的關鍵,而安全體系的構建顯得尤為重要。
2電子商務的主要安全要素
目前電子商務工程正在全國迅速發展。實現電子商務的關鍵是要保證商務活動過程中系統的安全性,即應保證在基于Internet的電子交易轉變的過程中與傳統交易的方式一樣安全可靠。從安全和信任的角度來看,傳統的買賣雙方是面對面的,因此較容易保證交易過程的安全性和建立起信任關系。但在電子商務過程中,買賣雙方是通過網絡來聯系,由于距離的限制,因而建立交易雙方的安全和信任關系相當困難。時空的分離導致了安全問題的出現,電子商務交易雙方(銷售者和消費者)都面臨安全威脅,電子商務的安全要素主要體現在以下幾個方面:
2.1信息真實性、有效性
電子商務以電子形式取代了紙張,如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關系到個人、企業或國家的經濟利益和聲譽。
2.2信息機密性
電子商務作為貿易的一種手段,其信息直接廠代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的,商業防泄密是電子商務全面推廣應用的重要保障。
3.3信息完整性
電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。因此,電子商務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。
3.4信息可靠性、不可抵賴性和可鑒別性
可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當地拒絕;不可否認要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或實體的使用方式。在傳統的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約、單據的可靠性并預防抵賴行為的發生。
在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。在1nternet上每個人都是匿名的,電子商務系統應充分保證原發方在發送數據后不能抵賴;接收方在接收數據后也不能抵賴。
3電子商務安全系統
網絡安全是電子商務的基礎。為了保證電子商務交易能順利進行,要求電子商務平臺要穩定可靠,能不中斷地提供服務。任何系統的中斷,如硬件、軟件錯誤,網絡故障、病毒等都可能導致電子商務系統不能正常工作,而使貿易數據在確定的時刻和地點的有效性得不到保證,往往會造成巨大的經濟損失。
所以就整個電子商務安全系統而言,安全性可以劃分為四個層次,
1)網絡節點的安全
2)通訊的安全性
3)應用程序的安全性
4)用戶的認證管理
其中2、3、4是通過操作系統和Web服務器軟件實現,而網絡節點的安全性依靠防火墻保證,我們應該首先保證網絡節點的安全性。
3.1網絡節點的安全
防火墻是一種由計算機硬件和軟件的組合,使互聯網與內部網之間建立起一個安全網關,從而保護內部網免受非法用戶的侵入,它其實就是一個把互聯網與內部網(通常指局域網或城域網)隔開的屏障。防火墻的應用可以有效的減少黑客的入侵及攻擊,為電子商務的施展提供個相對更安全的平臺。
防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監視網絡的通信信息,并記憶通信狀態,從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet系統。應給予特別注意的是,防火墻不僅僅是路由器、堡壘主機或任何提供網絡安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構的信息資源,這種安全策略應包括:規定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統,而沒有全面的安全策略,那么防火墻就形同虛設。
3.2通訊的安全
在客戶端瀏覽器和電子商務WEB服務器之間采用SSL協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強度,也可以考慮將加密強度增加到128位。為在瀏覽器和服務器之間建立安全機制,SSL首先要求服務器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(CA中心)簽發。瀏覽器要驗征服務器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰(PKI)。建立SSL鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的服務器證書通過后利用該證書對稱加密算法(RSA)與服務器協商一個對稱算法及密鑰,然后用此對稱算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。
3.3應用程序的安全性
即使正確地配置了訪問控制規則,要滿足計算機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字符串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個缺省的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字符串來實現的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶并賦予這個用戶特權。訪問控制系統中沒有什么可以檢測到這些問題。只有通過監視系統并尋找違反安全策略的行為,才能發現象這些問題一樣的錯誤。
3.4用戶的認證管理
1)身份認證
電子商務企業用戶身份認證可以通過服務器CA證書與IC卡相結合實現的。CA證書用來認證服務器的身份,IC卡用來認證企業用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID號和密碼口令的身份確認機制。
2)CA證書
要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是CA證書,它由認證授權中心(CA中心)發行。認證中心(CA)就是承擔網上安全交易認證服務,能簽發數字證書,并能確認用戶身份的服務機構。認證中心通常是企業性的服務機構,主要任務是受理數字證書的申請、簽發及對數字證書的管理。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核后,為其發放數字證書,證書分為服務器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時進行)。
3)安全套接層SSL協議
安全套接層SSL協議是Netscape公司在網絡傳輸層與應用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術。
SSL通過數字簽名和數字證書來實行身份驗證,數字證書是從認證機構(CA,CertificateAuthority)獲得的,通常包含有唯一標識證書所有者的名稱、唯一標識證書者的名稱、證書所有者的公開密鑰、證書者的數字簽名、證書的有效期及證書的序列號等。在用數字證書對雙方的身份驗證后,雙方就可以用保密密鑰進行安全的會話了。
SSL協議在應用層收發數據前,協商加密算法、連接密鑰并認證通信雙方,從而為應用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應用協議(如Http、Ftp、Telnet等)以保證應用層數據傳輸的安全性。
SSL協議握手流程由兩個階段組成:服務器認證和用戶認證。
①服務器認證
客戶端向服務器發送一個“Hello”信息,以便開始一個新的會話連接;服務器根據客戶的信息確定是否需要生成新的主密鑰,如需要則服務器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息;客戶根據收到的服務器響應信息,產生一個主密鑰,并用服務器的公開密鑰加密后傳給服務器;服務器恢復該主密鑰,并返回給客戶一個用主密鑰認證的信息,以此讓客戶認證服務器。這樣通過主密鑰引出的密鑰對一系列數據進行加密來認證服務器,從而建立安全的通信通道。
②用戶認證
經認證的服務器發送一個提問給客戶,客戶則返回數字簽名后的提問和其公開密鑰,從而向服務器提供認證。SSL協議支持各種加密算法,實現簡單,獨立于應用層協議,且被大部分瀏覽器和Web服務器內置,便于在電子交易中應用。但SSL是一個面向連接的協議,起初并不是為了支持電子商務而設計的,只能提供交易中客戶與服務器間的雙方認證,在涉及多方的電子交易中,SSL協議不能協調各方面的安全傳輸和信任關系。為此,開發出了在網絡應用層中專為電子商務而設計的SET協議。
4安全管理
為了確保系統的安全性,除了采用上述技術手段外,還必須建立嚴格的內部安全機制。對于所有接觸系統的人員,按其職責設定其訪問系統的最小權限。按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶帳號和密碼。
建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現時便于跟蹤查詢。定期檢查日志,以便及時發現潛在的安全威脅。
對于重要數據要及時進行備份,且對數據庫中存放的數據,數據庫系統應視其重要性提供不同級別的數據加密。
5結束語
安全實際上就是一種風險管理。任何技術手段都不能保證1OO%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定采用什么安全策略取決于系統的風險要控制在什么程度范圍內。電子商務的安全運行必須從多方面入手,僅在技術角度防范是遠遠不夠的。安全只是相對的,而不是絕對的。因此,為進一步促進電子商務體系的完善和行業的健康快速發展,必須在實際運用中解決電子商務中出現的各類問題,使電子商務系統相對更安全。
參考文獻:
[1]吳洋.電子商務安全方法研究[D].天津大學,2006.
[2]李艷.電子商務信息安全策略研究[J].甘肅科技,2005,(06)
[3]成衛青,龔儉.網絡安全評估[J].計算機工程,2003,(02).
關鍵詞:電子商務;網絡安全;IT安全
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2012) 10-0000-02
一、電子商務中的網絡安全概述
(一)電子商務概述
電子商務泛指在互聯網絡覆蓋的全球各個國家和地區的商務活動中,通過網絡和商務平臺來進行商務信息交流和商品的交易等商務行為,而這一過程中買賣的雙方并未謀面。伴隨著計算機技術和互聯網絡的飛速發展,電子商務一經推出就得到了廣泛的推廣,時至今日電子商務仍然被人們看作是IT領域在未來最有潛力的聚焦點。
(二)網絡安全技術在電子商務中的應用
1.數字加密技術。數字加密技術來源已久,并且它在電子商務的安全保障技術中占有很大的比重。數字加密技術中存在很多IT人所熟知的加密算法,如今這些算法被加以改進和完善并且巧妙的運用到電子商務信息安全的保障技術當中。加密算法和加密信息在交易的必要階段會在交易雙方之間交換以達到信息確認或者是身份驗證的目的。互聯網絡發展至今衍生出了很多熱門的應用和技術,像是數據傳輸、電子郵件收發和數據存儲等,而這些應用統統存在其自身的安全性問題。能夠解決這些問題的唯一路徑就是采用數字加密技術。
2.數字認證技術。數字認證技術可以被解讀為一個被廣受信賴的商業性質的中介組織通過數字證書的頒發來提供的一種認證服務,這種認證服務常常被應用在電子商務中的客戶、銀行和企業三個角色之間,而這里所說的商業性質的中介組織就是我們熟知的認證中心。簡單來說,認證中心為客戶、企業和銀行頒發數字證書使得三方獲得信任關系。通過以上的描述我們可以發現,認證中心在認證技術中的重要性,認證中心擁有數字證書的權利,它的信譽度和公正性不容懷疑。認證中心往往是采用分級的管理方式,高級認證中心負責數字證書的并且通過逐級傳遞的方式授予用戶,同時高級的認證中心管理著低級認證中心的數字證書。這一最高級別的認證中心便是金融認證中心。
3.防火墻與病毒防治技術。防火墻在電子商務中的主要應用方向是屏蔽黑客惡意攻擊和入侵電子商務平臺和網絡。企業中的電子商務系統一旦連接上互聯網絡就一定要在企業的內部網絡和互聯網絡之間設置防火墻。防火墻不僅能隔絕內外網絡環境還可以阻擋外邊入侵和內部信息泄露。在防火墻的應用方面我們尤其需要重視的是防火墻不是為了病毒的防范和設置的,其自身也沒有相關的功能。所以病毒的防護技術和防火墻技術要同時設立,在設置防火墻的同時在企業電子商務平臺服務器中安裝防毒軟件。另外,防火墻的更新是防火墻安全級別的保障,防火墻和病毒防治軟件的實時更新是防火墻技術應用中的重中之重。
二、電子商務中常見的網絡安全問題
(一)商務信息安全問題
商務信息作為企業中的機密數據,一旦被不法份子截獲或篡改必然會對企業帶來極大的困擾。即便如此,當前仍然有很多企業對其不夠重視。有些企業對商業數據的加密力度不夠甚至是根本沒有對商業數據加密,不法分子可以通過對互聯網絡、電話線或者電磁波設置數據攔截裝置來截獲商業數據。可以想象在企業的交易過程中,企業內部數據或者是傳輸給交易方的數據一旦遭到篡改和毀壞,不但會對當前的交易造成混亂更是會在一定程度上影響企業的形象和信譽。
(二)電子商務平臺漏洞
由于互聯網絡的開放性、廣泛性,造成了電子商務平臺或者網絡自身可能存在很多的安全問題,很多企業對電子商務平臺自身缺乏應有的警惕性,對自身的電子交易平臺不夠重視,缺乏基本的電子平臺運維管理意識,只有在企業信息泄露或者是企業內部服務器被惡意入侵之后才會意識到電子商務平臺的安全配置不夠。另外還有一些企業雖然對電子商務平臺擁有足夠的重視,卻在安全技術產品的選擇問題中盲目追崇,反而忽視了自身應有的企業管理制度。總之企業的電子商務平臺架構缺陷、應用安全技術軟件的漏洞和企業自身管理統統可以歸結為電子商務平臺的缺陷,而這些缺陷不但會給企業帶來巨大的經濟損失更會給企業遭受更多的信息安全問題埋下伏筆。
(三)交易身份認證問題
部分不法分子能夠通過特定的技術盜取合法用戶的身份信息和相關權限,并且利用這一合法身份的掩護與其他企業進行欺詐交易。或者是利用虛假信息詐騙用戶的機密信息來盜取資金。在這些例子中不法分子都是通過獲得合法身份的手段進行犯罪活動。由此可見交易身份的認證在電子商務中的重要性。
三、電子商務中網絡安全問題的相關對策
(一)完善自身電子商務規劃
站在企業的角度來說,選擇電子商務可以省去很多的交易過程中難以避免的成本問題并且更加高效。而對于電子商務中最大的弊端安全問題,企業應該尤其重視。為了將電子商務的優勢最大化,企業對于安全問題的重視不能只停留在理論方面。務必要落實企業電子商務安全規范的制定、安全管理人員的配置和完善電子商務平臺。
(二)加強安全技術管理
安全技術作為企業電子商務系統中的安全性保障核心,一定要做到完善配置定期更新維護。細化來講,包括:電子商務平臺建設、系統運維、應用升級等詳細項目。企業服務器管理需要加強,不能忽視常規的安全信息備份和記錄。提早設置完善的微機處理預案,做到有備無患。預案要包括服務器還原點的設置,系統恢復信息備份和數據信息備份等。應用公認強力的防火墻和病毒防護程序,并且保證專門人員進行定期的維護和升級,這樣才能使其發揮應有的作用。
(三)企業加強自身管理
僅僅在電子商務框架中完善安全技術不足以保障電子商務絕對的安全性,除了制定詳細的電子商務規劃和完善安全技術之余,企業自身的安全管理才是企業信息安全的重中之重。首先,企業的管理層應該將電子商務安全問題視為首要問題并且加強安全技術部署。其次,企業員工的信息安全素質應該得到加強,通過培訓建立員工的信息安全意識和職業操守。縱然電子商務的安全技術布置能夠在一定程度上化解電子商務中的安全問題,但是完善的電子商務安全技術規劃也要得到管理人員和操作人員的共同管理和維護才能保證其穩定運行。
(四)加強病毒防范意識
加強對病毒防范技術的研究不僅可以有效的降低電子商務系統中病毒感染幾率,并且能夠為企業正常的電子交易提供良好的網絡環境。常規的病毒防范技術包括防備、監視、掃描和消滅等幾個步驟。對于現有的病毒防范軟件來說病毒庫的更新始終不能做到實時化和完善化,這會給病毒的入侵帶來可乘之機。由此看來加強病毒防范技術的研究和增強病毒防范意識,是準確判斷查殺病毒、防止病毒入侵電子商務系統,以及為電子商務帶來更健康的網絡環境的必要條件。
四、總結
綜上所述,電子商務系統中的網絡安全問題是一個綜合性的課題,其中涉及到了企業管理理念、管理制度、技術力量等多方面的問題。不同的信息安全技術針對不同的網絡安全問題發揮著各自的作用,因此,多方引入、善加利用才是安全技術引用的關鍵。只有制定完善的企業安全管理制度、建立合理的電子商務平臺、加強安全技術管理和強化網絡安全架構才能全面的保障電子商務信息的安全性,為電子商務的安全進行保駕護航。
參考文獻:
[1]黃蘭英.電子商務的安全技術研究[J].福建電腦,2004
[2]李大軍.電子商務[M].清華大學出版社,2002
[3]王學東,易明,楊斌.電予商務概論[M].武漢理工大學出版社,2005
[4]馬尚才等.電子商務安全技術[M].國防工業出版社,2003
[5]李重九.電子商務教程[M].浦東電子出版社,2002
關鍵詞:電子商務;發展;民商法;創新
當今時代電子商務取得了快速的發展,快速發展的電子商務能夠促進經濟的發展,同時也給傳統商務帶來了巨大的沖擊。基于電子商務的運行特點,出現了大量的新型貿易摩擦和新型交易問題,這些問題引起了社會的關注,我國的市場經濟就法制經濟等多個方面進行了規定,在市場經濟快速發展的今天,電子商務要想獲得更大的發展就必須出臺相關法律對其進行規范,只有如此才能夠保證電子商務的健康發展,目前與電子商務發展最為密切的法律就是民商法,民商法為電子商務的發展提供了法律保障,需要對民商法為代表的法律進行改革和創新。
一、電子商務新型民商法建立的重要性
隨著社會的發展和進步,電子商務必將是未來商業的主要發展模式,為了更好地促進新型民商法確立主體法律地位,應該采取措施明確電子商務民商事主體的權利和義務,在電子商務運行的過程中大多數民商事主體都是虛擬的,必須通過網絡來呈現,基于這個特點致使其和其他商務類型真實主體有根本性區別,這種區別就是電子信息方式的不同,識別和認證虛擬電子商務主體給民商法的建立完善帶來了一定難度,因此建立基于電子商務的新型民商法主體法律地位的重點就在于認證網絡環境中的虛擬商務主體的民事合法性。此外,有關部門應該調用專業水平較高的工作人員確立新型民商法主體的制度和方式,盡快制定和完善在相關領域的缺失。我國目前的法規和相關政策以及相關管理人員,都落在了社會發展之后,近些年,隨著網絡技術的快速發展,現在的法規已經不能滿足相關產業的快速發展,因此,相關部門要盡快彌補這方面的不足。同時,在技術層面上應該設立獨立的電子身份,并且應該采取措施保證電子商務民商事主體法律制度的實施,這些法律制度能夠確認基于電子商務的主體。
二、提高電子商務發展相關法律建設
近幾年,電子商務的發展速度越來越快,電子支付安全問題、電子支付信息問題層出不窮,人們對電子商務的重視程度越來越大,法律研究人員和立法部門對電子商務的重視程度越來越大,電子商務系列法律法規應該在現有的民商法基礎上根據現在電子商務發展的現狀提出改進和完善意見,但是目前電子商務系列方法還沒有形成統一的完善建議。根據調查,國內外的電子商務專項法律不管是專項立法還是改進改善都沒有形成系列的觀念,需要重視和考慮以下幾個方面:首先應該保證電子商務時展的必然選擇,在立法上應該將電子商務發展作為根本點,其次現在的經濟全球化和經濟一體化發展速度越來越快,電子商務是未來經濟發展的必然趨勢,應該在吸取法律成果的基礎上考慮借鑒發達國家的成熟經驗,推進我國的電子商務民商法的立法和國際進行接軌。電商立法在本質上是民商法的范疇,應該重視和堅持電子商務立法的司法性質,在法律中強調法律主體間的平等交易規則。電子商務的最主要特點是虛擬性和開放性,一方面,賣家在網絡上上傳貨品信息,買家在消費時不會看到實物,同時在轉帳過程當中,因為現在的網絡技術的不安全性,有些不法之徒就會尋找時機從中獲得非法利益,從中我們可以看出,電子商務的發展是建立在網絡信息安全的基礎上,近年來,屢次發生關于電子商務的支付上,例如微信、支付寶等,同時,還有公民身份屢遭泄露的事例,都在提高著社會關于網絡信息安全的基礎,也在提醒相關部門,要盡快加強和出臺關于電子商務的相關法律,以彌補相關網絡信息安全相關案例的不斷增多。與此同時,我們還需要以互聯網自由和開發為基礎,在相關資料和實際情況下,進行必要的調研,以實現和WTO的接軌。在電子商務當中,各個國家的競爭是公平的、規范的,電子商務有關法律的制定應該以國家商務背景為基礎。中國早就成為了WTO的正式成員,在進行電子商務的創新和改進過程中需要改進實施進度。
三、結語
綜上所述,隨著社會的發展,我國的商業取得了巨大的發展,電子商務必將是未來商業發展的必然趨勢,電子商務是隨著科技發展產生的先進商業種類,但是我國的電子商務起步較晚,發展速度較慢,在電子商務的發展過程中產生了大量問題,本文對目前電子商務存在的問題進行了分析,并且提出了有針對性的解決措施,存在的這些問題引起了社會的關注,我國的市場經濟就法制經濟等多個方面進行了規定,在市場經濟快速發展的今天,電子商務要想獲得更大的發展就必須出臺相關法律對其進行規范,只有如此才能夠保證電子商務的健康發展,相信通過本文的研究能夠解決現階段電子商務發展過程中存在的問題,促進電子商務的發展。
作者:朱洪銳 單位:長春理工大學
參考文獻:
[1]劉大洪.電子商務的發展與民商法的創新[J].武漢大學學報(社會科學版),2003,03:282-286.
[2]劉大洪.論高科技時代民商法的創新[J].佛山科學技術學院學報(社會科學版),2003,01:5-9.
[3]孫鋒.論電子商務發展的民商法保障[J].法制與社會,2015,05:5-6.
關鍵詞:電子商務;消費者權益;保護
一、電子商務中消費者權益保護研究意義及立法現狀
(一)電子商務中的消費者保護研究意義
電子商務是國民經濟和社會信息化的重要組成部分,發展電子商務是以信息化帶動工業化,轉變經濟增長方式,提高國民經濟運行質量和效率,走新型工業化道路的重大舉措,對實現全面建設小康社會的宏偉目標具有十分重要的意義。
電子商務的迅速發展為人類提供了一個全新的商業交易方法,它突破了時間和空間的限制,在原有的市場之外建立了一個獨特的無形市場,在消費者、企業、政府之間建立了更多更直接的聯系。電子商務以其快捷、方便、高效、成本低、可進行“全球性”和“全天候”交易等巨大優勢而贏得眾多企業和消費者的青睞,成為一股不可阻擋的潮流。電子商務的出現,給企業帶來了更多的商機,給消費者提供了更加方便快捷的消費方式,但也對傳統商業貿易規則和法律法規構成了強大的沖擊。在電子商務交易環境下,因電子商務的虛擬化、技術化、無紙化(電子化)使消費者更處于不利或弱勢地位。根據全國消費者組織近幾年的投訴統計,通過電子商務交易引發的投訴,這幾年在呈100%,甚至200%的幅度增長。
隨著社會主義市場經濟的快速發展尤其是電子商務的迅速發展,應對電子商務中如何保護消費者的權益予以探討,才能為消費者營造一個良好的電子商務交易環境,保護消費者合法權益,同時,也促進電子商務的良性循環發展。
(二)電子商務中的消費者保護立法現狀
最早指出電子商務中的消費者保護的重要性并擔當國際框架制定的領導者是經濟合作與發展組織(oecd)的消費者政策委員會。1997年3月,oecd消費者政策委員會召開的“全球市場的入口——消費者和電子商務”會議上,為達到消費者實際和舒適地利用電子商務所要確立和克服的課題分類,歸納為九點。在1998年的oecd部長級會議上,通過了“關于消費者保護的部長級宣言”、“關于全球網絡中的隱私權保護的部長級宣言”、“關于電子商務交易的認證的部長級宣言”,在1999年12月9日的oecd理事會上,通過了“關于電子商務交易中消費者保護的行動指針的oecd理事會勸告”。
美國電子商務起步早、發展快,相關立法也比較早。2000年,美國兩院通過《國際國內電子商務簽名法》,從聯邦法的高度確定電子商務中的消費者權益保護原則。
歐盟使用“信息社會服務”一詞來概括各類電子商務活動。在1997年的《歐洲電子商務提案》中涉及電子商務中消費者保護的內容,但不夠具體和完善。歐盟委員會2007年可能批準修訂歐盟消費者保護法的計劃,以賦予消費者更多權利,促進網絡和跨境消費。歐盟消費者保護法修訂后將著重協調歐盟27個成員國之間電子商務、國際銷售以及旅游業,以賦予消費者更多跨境消費的權利。
在我國,對電子商務中消費者權益的法律保護的相關法律規范主要有《民法通則》、《合同法》、《消費者權益保護法》、《產品質量法》、《計算機信息網絡國際聯網安全保護管理辦法》、《電子簽名法》等,內容一般比較簡單、散亂,可操作性不強,遠遠不能適應電子商務迅速發展所要求的對消費者權益保護的迫切需要。《消費者權益保護法》雖然為電子商務領域的消費者權益保護提供了基本的法律規則,但是尚有不足之處,不能完全適應電子商務迅速發展的現實。
已出臺《電子簽名法》并未直接對電子商務領域的消費者權益保護進行明確規定。我國商務部正抓緊制定《消費者網上消費指導意見》,有關產品類電子商務網站服務規范和服務類電子商務網站服務規范也有征求意見稿,廣東省《電子交易管理條例》有11條關于消費者權益保護,占整個條例1/6。
從以上可以看出電子商務中消費者權益保護已經成為立法熱點,必須盡快建立和完善電子商務中消費者權益保護的基本法律框架,更好地保護消費者權益。
二、建立和完善我國電子商務消費者權益保護制度的幾點建議
(一)完善我國現有的消費者權益保護法律制度
在我國《消費者權益保護法》雖然為電子商務領域的消費者權益保護提供了基本的法律規則,但尚有不足之處,不能完全適應電子商務迅速發展的現實。《消費者權益保護法》以法律的形式賦予消費者九項權利,但是,在電子商務領域中,僅僅九項權利已經不足以保護消費者,從立法上要進一步完善和拓展消費者的權利范圍。
1.完善電子商務領域的消費者權利
(1)安全保障權的進一步完善。在傳統商務模式中,對消費者安全權的定義是經營者必須保證所提供的商品或服務不存在危及人身及財產安全的缺陷,對可能危及人身、財產安全的商品和服務應當向消費者作出真實的說明和明確警告,并標明正確使用產品或接受服務的方法及防止危害產生的方法。在電子商務模式中,消費者安全權有著更廣泛的內涵,除上述要求外,還要求網絡經營者提供一個安全的交易虛擬環境和交易過程。
(2)知情權的進一步完善。 在電子商務領域,由于消費者通過數據電文與經營者進行遠程通訊聯系,完全依據經營者提供的信息進行選擇和判斷,因此,消費者的知情權顯得更加重要,應在《消費者權益保護法》原有基礎上有所擴展和延伸。在電子商務領域,經營者負有提供信息使消費者知情的義務。
(3)公平交易權的進一步完善。《消費者權益保護法》第10條規定了消費者的公平交易權,即獲得質量、價格、計量等公平交易條件。在進行電子商務交易時,不能因購物空間的改變和特殊而隨意采用欺詐性價格或隱瞞商品及服務的真實品質。電子商務中消費者僅能根據網上的商品信息自行判斷性價比是否適當,由于信息不對稱等容易導致消費者受虛假信息蒙蔽而發生不公平交易。
(4)求償權的進一步完善。在電子商務中,違約責任承擔方式、責任承擔主體及處理糾紛適用的實體法均變得特殊而復雜。電子商務交易的完成需要多個實體的參與,網絡經營者違約提供與合同不等的商品或服務時,或經營者利用互聯網接入服務提供商連線服務在網上不實廣告,誘騙消費者購物時,都會損害消費者的合法權益,因此,應進一步完善電子商務中消費者的求償權。
(5)確認權的確立。在電子商務中,許多發件人擔心自己發出的數據電文不能到達收件人的信息系統,因此,要求收件人在收到數據電文后發回確認信息。電子商務作為新型的交易形式,只有取信于廣大消費者,才能真正具有廣闊的市場和發展潛力。因此,我國《消費者權益保護法》也應考慮賦予消費者獲得確認信息的權利,以適應電子商務環境下消費者權益保護的新需要。
(6)隱私權的確立。在電子商務的交易中,個人信息很容易被商家和網絡經營者收集和利用,而商家和網絡經營者收集和利用這些個人信息時非常容易侵害消費者隱私權。對電子商務的交易中消費者隱私權的立法保護是當務之急,要樹立消費者的信心,就要確保通過電子商務完成的購物交易有充分性安全保障。
2.電子商務中網絡服務經營者的義務
為確保消費類電子商務的健康發展,在賦予消費者保護自身合法權益的諸多權利的同時,對電子商務服務經營者提出全面的要求也必不可少。電子商務服務經營者的義務分為一般義務與特別義務。
(1)網絡服務經營者的一般義務。網絡服務經營者首先要履行的法律義務就是遵從國家的各項規定。我國《消費者權益保護法》第16條規定:“經營者向消費者提供商品和服務,應當依照《中華人民共和國產品質量法》和其他有關法律、法規規定履行義務。”履行法定義務本身就是經營者的義務之一。
(2)網絡服務經營者的特別義務。①提供詳細的商品信息的義務。對于電子商店里提供的每一樣商品,電子商務服務經營者都要對其信息作出詳細的說明,要讓消費者對商品進行充分的了解(其中包括對商品的文字介紹和圖片介紹)。②商品質量保障及售后服務義務。電子商務服務經營者有義務保證向消費者提供的商品有質量保障,還要保證其以廣告和商品介紹方式向消費者提供的質量狀況與商品實際的質量狀況相符。電子商務服務經營者充分保證所售商品的質量狀況,并保證商品或服務符合人身、財產安全的要求;對商品的瑕疵和可能危及人身財產安全的產品或服務,應向消費者做出真實的說明或明確的警示。能夠在網上明示的,應予以明示,網上沒有明示的,應當在實物交易過程中向消費者明示。③保護電子商務消費者個人數據的義務。對電子商務消費者在互聯網上個人數據及隱私權的保護問題已成為人們關注的熱點,非經用戶同意,網站不得以營利為目的向任何第三方披露、轉讓、使用或出售交易當事人名單、交易記錄等涉及用戶隱私或商業秘密的數據,電子商務服務經營者有義務保證消費者的個人信息不濫用、不泛用、不被第三者非法利用。
(二)確立和完善電子商務中市場準入制度、資格認證制度
在鼓勵電子商務發展的前提下,以立法的形式規范電子商務行為,明確電子商務網站的市場準入資格、市場經營行為、組成方式等,使電子商務網站具備“經營主體資格”,符合《消費者權益保護法》中的被投訴對象的條件。同時,還應明確工商行政管理機關對電子商務行為的監督管理地位,以確保消費者合法權益的最終實現。
確立市場準入制度,工商行政管理機關應對電子商務網站的開設在技術標準、設備容量、人員配備、經營項目等進行嚴格審查,并執行經營強制許可制度。對符合條件的電子商務網站頒發電子營業執照,并在工商行政管理機關的認證網上予以公布,供消費者查閱。同時,有關政府部門如工商行政管理機關、質量技術監督機關等對電子商務網站的商業信譽進行評價,評價結果在internet以及傳統媒體上予以公布。對一些進行商業欺詐,損害消費者權益的,應當撤銷其電子商務營業執照。完善我國電子商務交易行為監督管理,發揮工商管理職能,創建健康的電子商務市場。