前言:中文期刊网精心挑选了电子商务安全对策范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
电子商务安全对策范文1
近年来,计算机网络与信息技术的迅速发展,带动了电子商务行业的推广。电子商务活动触伸到生活的各个领域,例如虚拟企业、虚拟银行、网上购物、网络营销、网络支付以及网络广告等一些新的业务正在被人们所熟悉和认同。电子商务改变了传统商务的运作模式,作为一种全新的商业应用模式,极大地提高了工作效率,同时降低了交易成本。但是,由于互联网的开放性和天然的脆弱性,网络安全问题成为制约着电子商务发展的瓶颈。所以,搭建一个安全可靠的商务平台,成为电子商务发展的关键问题。
一、电子商务面临的安全问题
电子商务活动中有大量的数据需要传输与存储,数据传输依靠互联网技术,而互联网是一个天然脆弱和不安全的网络,数据容易丢失和被截获。而数据的存储主要依靠数据库技术,数据库也是非法分子常常入侵和破坏的对象。所以网络通信安全与数据库安全,是电子商务长期面临的的主要问题。
1.数据库安全。企业在电子商务活动中产生的大量数据是他们进行不间断经营的重要支撑,产品数据资料、客户关系管理都涉及到庞大的数据群。采用流行的关系型数据库进行数据存储与管理,是电子商务企业必要的选择。但是网络黑客从未间断过对企业数据库的攻击,一旦他们窃取到企业数据库的访问权、管理权,就可以获得他们想要的数据,甚至篡改或删除这些对企业来说至关重要的数据。
2.网络通信安全。数据传输过程中容易丢失、损坏或被黑客篡改、窃取,所以首先要保证通信线路的安全可靠性,采用性能稳定的设备和较为强大的软件来保证传输稳定性。其次为了防止黑客攻击,例如木马、病毒等程序,要再传输过程中使用数据加密及数字签名等技术保障数据的安全性。
二、电子商务安全策略
1. 虚拟专用网(VPN)
由于TCP/IP协议的不安全性,对电子商务安全无有效的认证机制,真实性难有保证;缺乏保密机制,网上数据隐私性不能得到保护;不能提供对网上数据流的完整性保护等问题。因此,在电子商务中通常采用VPN技术,通过加密和验证网络流量来保护在公共网络上传输私有信息,而不会被窃取或篡改。对于用户来说,就象使用他们自己的私有网络一样。
2.加密(Encryption)技术
加密技术是电子商务采取的主要安全保密措施,是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密技术包括两个元素:算法和密钥。算法是将普通的文本(或者可以理解的信息)与一窜数字(密钥)的结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解码的一种算法。在安全保密中,可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地,对数据加密的技术分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密以数据加密标准(DES,Data Encryption Standard)算法为典型代表,非对称加密通常以RSA(Rivest Shamir Ad1eman)算法为代表。对称加密的加密密钥和解密密钥相同,而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。
3. 数字信封技术
数字信封中采用了单钥密码体制和公钥密码体制。信息发送者首先利用随机产生的对称密码加密信息,再利用接收方的公钥加密对称密码,被公钥加密后的对称密码称之为数字信封。信息接收方要解密信息时,必须先用自己的私钥解密数字信封,得到对称密码,再利用对称密码解密所得到的信息,这样就保证了数据传输的真实性和完整性。
4.认证技术
CA认证中心。它为电子商务环境中各个实体颁发数字证书,以证明各实体身份的真实性,并负责在交易中检验和管理证书。它是电子商务及网上银行操作中,具有权威性、可信赖性及公正性的第三方机构。如中国金融认证中心(CFCA)。
转贴于
有关的认证技术包括数字签名与数字证书。数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。信息接收者使用信息发送者的公钥对数字签名进行解密,获得哈希摘要。并将收到的原始数据产生的哈希摘要与获得的哈希摘要相对照,便可确信原始信息是否被篡改,这样就保证了数据传输的不可否认性。数字证书是各类实体(持卡人/个人、商户/企业、网关/银行等)在网上进行信息交流及商务活动的身份证明,在电子交易的各个环节,交易的各方都需验证对方证书的有效性,从而解决相互间的信任问题。证书是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。 5.防火墙技术
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器、一个限制器,也是一个分析器,有效地监控了内部网和 Internet 之间的任何活动,保证了内部网络的安全。
三、结束语
电子商务安全对策范文2
关键词:电子商务;安全;对策
1.电子商务的概念
到目前为止,电子商务还没有一个明确、概括性的定义,而是不同行业领域的人们按照自己的理解为电子商务加上的各种解释。比如欧洲议会给出的定义:电子商务是通过电子方式进行的商务活动,它通过电子方式处理和传递数据;美国权威学者瑞维-卡拉科塔和安德鲁-惠斯顿认为:电子商务是一种现代商业方法,这种方法通过改善产品和服务质量、提高服务传递速度,满足政府组织、厂商和消费者的最低成本的需求;而在IT行业则普遍认同:电子商务是利用现有的计算机硬件设备、软件设备和网络基础设施,通过一定的协议连接起来的电子网络环境进行各种各样商务活动的方式。
从以上定义可以得出,电子商务归根结底是商务的电子化:从广义方面讲,电子商务是指通过电子手段建立一个新的经济秩序,它不仅涉及电子技术和商业交易本身,而且涉及到诸如政治、金融、税务、法律等社会其他方面;从狭义方面讲,电子商务是指各种具有商业活动能力和需要的实体(政府机构、金融机构等)利用计算机网络和先进的数字化传媒技术进行的各项商贸活动。
2.电子商务的安全现状
世界各国对电子商务安全问题的研究非常重视,美国政府很早就致力于研究密码技术,韩国一些公司也建立联盟,力图制定电子商务的标准。我国于1995年起发展电子商务安全产业,其信息安全研究经历了通信保密、计算机数据保护两个发展阶段,市场也从小到大逐步发展起来,虽已初具规模但仍不成熟。近年来,我国因特网用户激增,至今已超过130万,而不少企业更是拥有自己的独立网站,网络交易热潮随之而来。根据CNNIC的《中国互联网络热点调查报告》中显示:网上购物大军达到2000万人,在全体互联网网民中,有过购物经历的网民占近20%的比例。因为Internet自身的开放性,安全事故和黑客事件时有发生,据公安部的资料,利用计算机网络进行的各类违法行为在中国以每年30% 的速度递增,更有媒介报道,中国95%的与Internet相连的网络管理中心遭到过境内外黑客的攻击或侵入,由此可见,安全隐患已成为电子商务发展的严重阻碍。
3.电子商务的安全隐患
3.1信息窃取
在信息传送的过程中,如果信息没有采用加密措施或加密强度不够,攻击者就有可能通过互联网等物理或逻辑的手段,对传输的信息进行非法的截取和监听,或通过对信息流量和流向等参数的分析,推出有用信息,典型手段如:“虚拟盗窃”—从Internet上窃取消费者的银行账号。而表现在电子商务中的信息泄露则是商业机密的泄露,主要包括两个方面:交易双方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。
3.2信息篡改
网络上的服务器可以被任意一台连网的计算机攻击,所以当攻击者熟悉了网络信息格式后,就可以通过一些技术手段和方法对正在传输中的信息进行修改,从而破坏信息的完整性,使数据包不能达到预期的目标。
3.3假冒他人身份
由于电子商务的实现需要借助于虚拟的网络平台,而在这个交易平台上,双方是不需要见面的,所以这就带来了交易双方身份的不确定性。如果没有进行身份识别而进行交易,那攻击者就可以通过非法手段轻易窃取合法用户的身份资料,仿冒其身份与他人交易,这样既获取了非法收入,又损害了合法用户的交易信誉。
3.4交易抵赖
传统的交易方式是通过手写签名和印章来完成交易,而电子商务则是通过网络来完成,这就容易造成交易抵赖。交易抵赖包括多个方面,如发信者事后否认曾经发送过某条信息、收信者事后否认曾经收到过某方面的消息,或是购买者做了定货单不承认,商家因价格差异而否认原有的交易等。
3.5电脑病毒
各种电脑病毒的问世,给电子商务的安全蒙上了厚重的阴影,不少病毒直接以互联网为载体大肆传播,造成了严重的经济损失。据台湾“中央社”报道,趋势科技全球防毒研究暨支持中心公布的报告指出,今年第一季度台湾总共有3443.6986万次计算机遭受病毒感染的案例。这个数量已接近去年全台湾总感染数量,与去年同期比较,增幅增加高达297%。
4.电子商务安全问题的解决方案
4.1防火墙技术
防火墙是一种将内部网和公众网分开的方法,它监管网络数据的进出,对未经授权的访问和数据传递进行筛选与屏蔽,不许外部网络用户以非法手段进入内部网络,从而保证了内部网络数据和计算机的安全。防火墙技术主要有包过滤、服务、状态监控等技术。在电子商务中,防火墙的主要功能是防止黑客利用不安全的服务对传输数据和信息进行攻击,对网络实施检查并监管网络的进行状态。
4.2数字摘要技术
通过使用单向散列函数(HASH)将需要加密的明文“摘要”成一个固定长度(128bit)的密文。该密文有固定的长度,同明文是一一对应的,其优势在于:对于任意一个x进行HASH运算后,都有唯一一个Y值与之对应;对于任何一个Y值,想通过逆运算得出X值都是行不通的。在传输信息的时候将之加入文件一同发给对方,对方接到文件后,可以用相同的方法进行运算,若得到结果与发送的摘要码相同,则表明安全,反之,则说明被篡改过。这也是电子商务领域经常用到的一种安全认证技术。
4.3身份认证技术
一般来说,可以通过CA中心的认证来确保用户的真实身份。CA中心是一个电子认证机构,为交易的当事人进行信任担保,数字证书就是其通过的一项重要认证。数字证书是指用电子手段来证实一个用户的身份和对网络资源进行访问的权限,它是一个数字标识,可实现身份的鉴别认证。由于电子商务中的交易一般不会面对面的进行,所以对交易双方身份的认定就成为保障电子商务交易的前提,当前数字证书的广泛运用正说明了这个问题。
4.4病毒防范技术
电子商务的发展,一方面提高了交易效率,另一方面也为计算机病毒的传播创造了条件。计算机病毒具有不可估量的破坏力和威胁性,所以加强计算机病毒的防治工作势在必行。为防范病毒,可采取一下措施:(1)安装防病毒软件,加强内部网的整体防毒措施;(2)加强数据备份和恢复措施,做到有备无患;(3)对敏感的设备和数据要建立必要的物理或逻辑隔离措施等,防患于未然。
4.5加强电子商务法律体系的建设
从法律层面入手维护电子商务安全问题尤为重要。当前我国在电子商务法律法规方面还有很多缺失,虽然早在2005年就正式颁布实施了《电子签名法》,但成效有限,一些犯罪分子仍钻了法律的空子,损害了公众的合法利益。所以我国立法部门要立足于国情,并吸取和借鉴外国立法的先进经验,加快我国的立法进程,早日使我国的电子商务安全管理走上法制化轨道。
5.总结
电子商务的发展无可限量,与此同时安全问题将始终与之相伴,为进一步促进我国电子商务的健康有序发展,必须有效运用技术和法律这两个有力的工具,去解决在实际应用中出现的各种问题,为我国电子商务又好又快的发展保驾护航。
参考文献:
[1 ] 陆川. 电子商务概论[M]. 北京:对外经济贸易大学出版社,2007
[2 ] 赵全. 网络安全与电子商务[M]. 北京:清华大学出版社,2005
[3 ] 蔡雯. 我国电子商务安全现状及防范对策探讨[J]. 商场现代化,2008(7):53
电子商务安全对策范文3
关键词:信息窃取 信息篡改 加密技术 防火墙
随着网络技术的广泛应用,我国电子商务的安全问题也日益突出。根据“2010年上半年,计算机病毒和互联网安全报告疫情”的数据表明,2010年上半年,计算机病毒,木马的数量依然保持快速增长,新病毒不断出现,一些“老”的病毒推出了众多变种。2010年上半年计算机病毒,木马数量迅速增加,超出了近五年病毒数量的总和。在日益增多的电子商务安全问题面前,需要我们采取新措施来进行防范。
一、电子商务的安全现状
目前电子商务的安全问题比较严重,最突出的表现在计算机网络安全和商业诚信问题上。因为篇幅问题,本文只侧重于计算机网络安全问题的描述和解决对于其他方面的问题不作详细的分析。与以往相比电子商务安全呈现出以下特点:
(一)木马病毒爆炸性增长,变种数量的快速增加
据统计,仅2009年上半年挂载木马网页数量累计达2.9亿个,共有11.2亿人次网民访问挂载木马,2010年元旦三天就新增电脑病毒50万。病毒的数量不仅增速变快,智能型,病毒变种更新速度快是本年度病毒的又一个特征。总体而言,目前的新木马不多,更多的是它的变种,因为目前反病毒软件的升级速度越来越快,病毒存活时间越来越短,因此,今天的病毒投放者不再投放单一的病毒,而是通过病毒下载器来进行病毒投放,可以自动从指定的网址上下载新病毒,并进行自动更新,永远也无法斩尽杀绝所有的病毒。同时病毒制造、传播者利用病毒木马技术进行网络盗窃、诈骗活动,通过网络贩卖病毒、木马,教授病毒编制技术和网络攻击技术等形式的网络犯罪活动明显增多,电子商务网络犯罪也逐渐开始呈公开化、大众化的趋势。
(二)网络病毒传播方式的变化
过去,传播病毒通过网络进行。目前,通过移动存储介质传播的案例显著增加,存储介质已经成为电子商务网络病毒感染率上升的主要原因。由于U盘和移动存储介质广泛使用,病毒、木马通过autorun.inf文件自动调用执行U盘中的病毒、木马等程序,然后感染用户的计算机系统,进而感染其他U盘。与往年相比,今年通过网络浏览或下载该病毒的比例在下降。不过,从网络监测和用户寻求帮助的情况来看,大量的网络犯罪通过“挂马”方式来实现。“挂马”是指在网页中嵌入恶意代码,当存在安全漏洞的用户访问这些网页时,木马会侵入用户系统,然后盗取用户敏感信息或者进行攻击、破坏。通过浏览网页方式进行攻击的方法具有较强的隐蔽性,用户更难于发现,潜在的危害性也更大。
(三)网络病毒给电子商务造成的损失继续增加
调查显示,浏览器配置被修改,损坏或丢失数据,系统的使用受限,网络无法使用,密码被盗造成都给电子商务造成严重的破坏后果。2006年“熊猫烧香”病毒利用蠕虫病毒的传播能力和多种传播渠道帮助木马传播,攫取非法经济利益,给被感染的用户带来重大损失。继“熊猫烧香”之后,复合型病毒大量出现,如:仇英、艾妮等病毒。同时,网上贩卖病毒、木马和僵尸网络的活动不断增多,利用病毒、木马技术传播垃圾邮件和进行网络攻击、破坏的事件呈上升趋势。
二、电子商务的安全问题及存在原因
1.对合法用户的身份冒充。以不法手段盗用合法用户的身份资料,仿冒合法用户的身份与他人进行交易,从而获得非法利益。
2.对信息的窃取。攻击者在网络的传输信道上。通过物理或逻辑的手段,对数据进行非法的截获与监听,从而得到通信中敏感的信息。如典型的“虚拟盗窃”能从因特网上窃取那些粗心用户的信用卡账号,还能以欺骗的手法进行产品交易,甚至能洗黑钱。
3.对信息的篡改。攻击者有可能对网络上的信息进行截获后篡改其内容,如修改消息次序、时间,注人伪造消息等,从而使信息失去真实性和完整性。
4.拒绝服务。攻击者使合法接入的信息、业务或其他资源受阻。
电子商务安全对策范文4
一、电子商务信息安全的主要问题
电子商务主要依托Internet平成交易过程中双方的身份、资金等信息的传输。由于Internet的开放性、共享性、无缝连通性,安全问题是电子商务的主要技术问题,安全问题是商家和消费者以及银行最关心的问题,主要面临以下威胁:一是信息篡改,电子的交易信息在网络传输过程中,信息可能会被人、被第三者非法篡改,导致信息失去了真实性和完整性。二是信息破坏,由于一些硬件和软件问题或者是一些恶意病毒使一些信息遭到破坏。三是身份识别,若没有身份识别,交易的一方就可以对交易内容否认或者是欺诈,或者会有第三方来冒充交易的一方。四是信息泄密,即交易双方进行交易的内容被第三方窃取或交易一方提供给另一方使用的文件被第三方非法
使用。
二、问题的成因分析
信息安全问题的出现,既有管理原因,也有技术原因,既有本身缺陷,也有外来因素所致,归结起来,主要有以下四方面的原因:
1.电脑黑客
黑客对于系统和编程语言大多有着深刻的认识,它是指对于电脑系统的非法入侵者,他们对于网络存在着一定程度的攻击性,也进一步恶化了网络环境。
2.计算机病毒
计算机病毒的主要危害在于激发对计算机数据信息的直接破坏作用,占用磁盘空间和对信息的破坏,抢占系统资源,影响计算机运行速度,出现计算机病毒错误与不可预见的危害。人们不可能花费大量时间去分析数万种病毒的错误所在,大量含有未知错误的病毒扩散传播,其后果是难以预料的。计算机病毒的兼容性影响系统运行。兼容性是计算机软件的一项重要指标,兼容性好的软件可以在各种计算机环境下运行,反之兼容性差的软件则对运行条件有限制,要求机型和操作系统版本等。病毒的编制者一般不会在各种计算机环境下对病毒进行测试,因此病毒的兼容性较差,常常导致死机,并且对用户造成严重的心理
压力。
3.技术因素
网络软件设计时不可能完美无缺,总会出现一些缺陷和漏洞。这些漏洞和缺陷正是黑客进行攻击的首选目标,而且目前还没有一些技术能提前全部防范这些病毒和黑客。
4.管理因素
用户安全意识淡薄、管理不善是当前存在的一个严重的问题。主要有以下三点:一是一些国家如中国缺乏强有力的权威管理机构,网络安全立法滞后,安全管理部门受人力、技术等条件的限制影响着安全管理措施的有效实施;二是缺乏安全审计,安全审计是把与安全相关的事件记录到安全日志中,但是现有的网络系统大多数缺少安全审计,安全日志形同虚设;三是安全意识淡薄,人们对信息安全认识不够,过分依赖信息安全产品,缺乏细致的内部网络管理机制,一些用户警惕性不高,操作麻痹,甚至把自己账号随意交给他人。
三、常用网络安全技术
1.反病毒软件
反病毒软件已成为人们抵御病毒进攻的有力武器。目前的反病毒软件具有几项技术特色。一是防火墙技术,其目的是保护内部网络不受外部网络的攻击,及防止内部网络用户向外泄密,为用户提供一个实时监控防止病毒发作的工具。它对用户访问的每一个文件进行病毒检测,确认无毒后才会让系统接管进行下一步的工作。目前,防火墙技术主要分为分组过滤和服务两种类型。二是反病毒软件在线升级的方式。三是统一的防病毒管理。四是嵌人式查毒技术的形成,它将杀毒引擎直接嵌挂到IE浏览器和流行办公软件组件当中,使其与可能发生病毒侵扰的应用程序有机地结合为一体,在占用系统资源最小的情况下查杀病毒。
2.密码技术
密码技术包括加密和解密两个方面。密码技术可对信息进行加密解密处理,实现信息的安全,这两者之间是密不可分的。加密是指采用数学方法对原始信息进行加工,使得加密后在网络上公开传输的内容对于非法接收者只是毫无意义的字符,对于合法的接收者,因其掌握正确的密钥,可以通过解密得到原始内容。密码系统至少包含明文、密文、密码技术,密钥几个部分。
3.入侵检测技术
入侵检测技术是对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。入侵检测技术针对包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
入侵检测通过执行以下任务来实现:监视、分析用户及系统活动,系统构造和弱点的审计,识别反映已知进攻的活动模式并向相关人士报警,异常行为模式的统计分析,评估重要系统和数据文件的完整性,操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
4.虚拟专用网(VPN)技术
虚拟专用网(VPN)技术是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
四、提高电子商务信息安全的对策探讨
1.开展网络安全立法和执法
网络安全立法要吸取和借鉴国外网络信息安全立法的先进经验,结合我国国情对现行法律体系进行修改与补充,使法律体系更加科学和完善。要建立有利于信息安全案件诉讼与公、检、法机关办案的制度,提高执法效率和质量。要对违犯国家法律法规,对计算机信息存储系统、应用程序或传输的数据进行删除、修改、增加、干扰的行为依法惩处。
2.提高网络信息安全意识
以有效方式和途径在全社会普及网络安全知识,提高公民的网络安全意识与自觉性,学会维护网络安全的基本技能,并在思想上把信息资源共享与信息安全防护有机统一起来,树立维护信息安全就是保生存、促发展的观念。
3.加强网络安全管理
建立信息安全领导机构,有效统一、协调和研究未来趋势,制定宏观政策,实施重大决定。严格执行《中华人民共和国计算机信息系统安全保护条例》与《计算机信息网络安全保护管理办法》,明确责任,规范岗位职责,制定有效防范措施,并且严把用户入网关,合理设置访问权限等。
4.加快网络安全专业人才的培养
加大对有良好基础的科研教育基地的支持和投入,加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动,加强对内部人员的网络安全培训,防止堡垒从内部攻破,使高素质的人才在高水平的教研环境中迅速成长和提高。
电子商务安全对策范文5
随着信息技术的快速发展,电子商务已经成为日常商务活动的一种主要运作模式,近几年“云计算”技术的发展为互联网提供了快速、优质、安全的信息服务、信息存储和信息安全保障,同时也为电子商务的发展带来了新的机遇。“云计算”的概念是Google公司的CEO埃里克施密特于2006年8月在搜索引擎大会上首次提出的,目前,IBM、
Google、Amazon、中国移动,以及微软等业界巨擘已经纷纷推出“云计算”服务,电子商务的“云”时代已经拉开序幕。云计算使电子商务系统的建设、维护和应用成本降低;云计算为电子商务网站提供可靠、安全的数据存储中心;云计算使电子商务更灵活、方便。然而,每个铜板都有两面,人们在充分享受互联网带来的极大便利的同时,如何最大限度地保障现代电子商务安全、有序地运行,已经成为一个重要课题。它同时也遭受到了来自网络安全方面的严重威胁。
1 “云计算”环境下电子商务的安全问题
虽然云计算能够使得企业IT基础设施及管理等方面的安全问题更容易得到解决,但网络安全问题依然存在,同时还引发了一些新的安全和风险问题。在云计算快速推进的过程中,安全故障也频繁发生,包括亚马逊、Google、微软等都没能幸免。例如,2009年12月,亚马逊基于云计算的EC2(弹性计算云)服务在一个星期里发生了两起事故:一起是僵尸网络引起的内部服务故障,另一起是在弗吉尼亚州的一个数据中心发生的电源故障;2010年2月25日,由于一个备份数据中心发生故障,谷歌应用开发者服务Google App Engine(谷歌应用引擎)宕机,对很多谷歌客户造成了影响。总结起来,用户在选择云计算服务时主要关注的安全隐患有以下几方面。
1.1 数据存储安全隐患 企业数据的安全保护是非常重要的环节,云计算服务商在高度整合的跨地区大容量存储空间上,在云计算模式下,包括数据的存储位置、数据的相互隔离、数据的灾难恢复等。客户并不清楚自己的数据被放置在哪台服务器上,云计算服务商能否确保企业数据不被泄露;云计算服务商是否能够保证数据之间的有限隔离,在这种数据存储资源共享的环境下,即使采用了加密方式;另外,当发生系统故障时,云计算服务商如何保证企业数据的快速恢复。
1.2 数据传输安全隐患 在云计算模式下,企业将数据通过网络传递到云计算服务商进行处理,通常情况下,企业数据中心保存有大量的企业私密数据,面临着几个方面的问题:一是保证企业在任何时候都可以安全访问到自身的数据,它是云计算服务商处存储时,我们应该面对的问题;二是保证云计算服务商在得到数据时不将企业数据泄露出去;三是如何确保企业的数据在网络传输过程中不被窃取。
1.3 数据审计安全隐患 如何保证云计算服务商在不给其他企业的数据算带来风险的同时,提供相关的信息支持,企业希望第三方的认证机构对云计算服务商进行审计,主要是为了保证数据的安全和准确,另外,企业的所有数据都存贮在云中,这些数据可能分布在不同地区或国家,各地政府在信息安全监管等方面可能存在差异与法律纠纷,为对数据进行安全性和准确性的审计,这是个很重要的问题。
1.4 客户终端安全隐患 浏览器是云计算服务的主要客户端,企业的大部分工作都在浏览器中完成,但目前几乎所有的浏览器都存在着漏洞,使用人员的技术不强、防护意识不高,就很容易被种植上木马,或变成“僵尸”。这些软件漏洞加大了终端用户被攻击的风险,从而影响云计算在电子商务应用中的安全。
2 “云计算”环境下电子商务安全问题的解决对策
为了让更多用户享受到云计算服务的优点,较好的消除这些潜在的安全隐患,针对以上存在的问题,提出几个电子商务安全控制的策略。
2.1 采用数据加密、安全认证技术保障企业数据在网络上的安全传输 为了有力保障整个网络安全,数据加密将其转换为非法入侵者难以识别的数字、符号等,主要是通过对网络数据进行相关的加密技术处理完成的。CA(是Certificate Authority缩写)安全认证是国际上通用的解决电子商务安全的有效途径之一,即在电子商务的建设中引入证书授权系统,这样就可以有效的解决网络交易双方身份的认证,每个实体的证书都是通过证书授权中心认证并由其负责分发,保证交易各方身份是真实的。另外,为确保各企业间逻辑边界的安全,需采用数据隔离技术对企业数据和信息进行安全保护,对企业信息进行高效安全管理,采用密钥管理与PKI等方式。
2.2 电子商务企业应选择高信誉度的云计算服务商 要求云计算服务商承诺数据存储位置的安全性以及和其他企业数据之间的加密隔离,同时和服务商签订SLA服务质量保证协议,明确服务商要具备数据恢复的能力并定义清楚数据恢复的时间限制等。同时要明确有没有数据备份的计划,避免因服务商内部人员素质较低或管理不到位导致数据泄漏,或因数据中心不稳定致使业务不连续、数据被锁定而不能访问等问题。
2.3 加强云计算数据中心的安全管理和安全审计机制 为应对不同地区、国家的法律差异而可能引起的法律纠纷,企业用户应尽可能控制数据的存放地点;有关机构应制定、完善相应的法律法规,制定针对云计算架构的安全模型和标准,保障云计算服务及信息安全,对云计算服务商进行规范、监督、审计。
2.4 电子商务企业应采取保护措施以免浏览器遭受攻击,保证在云环境中实现端到端的安全 浏览器安全涉及到两个方面,一个是服务器端的安全,可采用WEB应用防火墙、数据库审计、UTM、IPS、木马扫描工具,其主要思路是对入侵的监测和阻断,保护服务器端安全。并对“非常规访问”行为进行过滤;另一个是用户端(即浏览器)的安全,为了防护大部分木马病毒的攻击,,常见的终端安全软件、病毒防火墙、木马专杀工具等,另外就是在兼容的情况下可以多装几套相互组合,安装些防护软件,及时为浏览器打补丁,如防病毒与木马查杀等组合。
电子商务安全对策范文6
从上世纪90开始出现电子商务模式,我国的电子商务取得了快速的发展。相继实施的“金桥”、“金卡”、“金关”、“金税”工程大大加快了我国电子商务的发展步伐,电子商务的广度和深度空前扩展,已经深入国民经济和日常生活的各个方面。但是,也有一些制约电子商务发展的因素,安全问题就是其中之一。安全问题不仅造成巨大的经济损失,而且严重打击人们对电子商务的信心。
一、安全问题的表现
1.信息安全
信息安全是指由于各种原因引起的信息泄露、信息丢失、信息篡改、信息虚假、信息滞后、信息不完善等,以及由此带来的风险。具体的表现有:窃取商业机密;泄漏商业机密;篡改交易信息,破坏信息的真实性和完整性;接收或发送虚假信息,破坏交易、盗取交易成果;伪造交易信息;非法删除交易信息;交易信息丢失;病毒破坏;黑客入侵等。
如果信息被非法窃取或泄露可能给有关企业和个人带来严重的后果和巨大的经济损失。如果不能及时得到准确、完备的信息,企业和个人就无法对交易进行正确的分析和判断,无法做出符合理性的决策。非法删除交易信息和交易信息丢失可能导致经济纠纷,给交易的一方或多方造成经济损失。
最常见的信息风险是信息的非法窃取和泄露,它往往引起连锁反应,形成后续风险,这也是目前企业和个人最担心的问题。信息风险的典型表现是网络欺诈,不仅使厂商和消费者在经济上蒙受重大损失,更重要的是可能会使人们对电子商务这种新的经济形式失去信心。
2.交易安全
交易安全是指电子商务交易过程中存在的各种不安全因素,包括交易的确认、产品和服务的提供、产品和服务的质量、价款的支付等方面的安全问题。
与传统的商务形式不同,电子商务具有自己的特点:市场松散化、主体虚拟化、交易网络化、货币电子化、结算瞬时化等。这使得电子商务的交易风险表现出新的特点,出现新的形式,并且被放大。
交易安全问题在现实中很多。例如:卖方利用信息优势,以次充好、以劣当优来虚假信息,欺骗购买者;卖方利用参与者身份的不确定性与市场进出的随意性,在提供服务方面不遵守承诺,收取费用却不提供服务或者少提供服务。当然也有相反的情况:买方利用卖方的诚实套取产品和服务,却以匿名、更名或退出市场等方式逃避执行契约合同。
3.财产安全
财产安全是指由于各种原因造成电子商务参与者面临的财产等经济利益风险。财产安全往往是电子商务安全问题的最终形式,也是信息安全问题和交易安全问题的后果。
财产安全问题主要表现为财产损失和其他经济损失。前者如:客户的银行资金被盗;交易者被冒名,其财产被窃取等。后者如:信息的泄露、丢失,使企业的信誉受损,经济遭受损失;遭受网络攻击或故障,企业电子商务系统效率下降甚至瘫痪等。
二、安全问题的来源
1.硬件层面
电子商务的基础是网络,而网络的物理支撑是各种硬件设施,这些硬件设施会由于各种原因带来安全风险。这里有设备故障,有人为因素,也有自然灾害。硬件安全问题虽然发生的概率不大,但是一旦发生,其影响巨大。例如,2006年12月26日,我国台湾附近海域发强烈地震,造成中美海缆等6条国际海底通信光缆发生中断,附近国家和地区的国际和地区性通信受到严重影响。中国大陆至台湾地区、美国、欧洲等方向的通信线路受此影响大量中断,互联网访问质量受到严重影响。许多跨国经营的企业总部、分公司之间的网络联系中断,使生产和经营受到严重影响。这次事故给有关企业和个人造成巨大影响和严重经济损失。
2.软件层面
网络不仅需要硬件,更需要软件,各种系统软件、应用软件是网络运行所必需,是电子商务的另一个支撑点。由于技术和人为的原因,各种软件不可避免的存在各种设计的缺陷和漏洞,而且由于软件的多样性和复杂性,在配备、使用中也会有各种问题,导致电子商务系统中存在技术误差和安全漏洞。比如,由于可能存在安全漏洞,在重要信息资料保管和安全支付方面,人们仍然担心资料丢失和账户被盗等。又比如,个别软件由于自身的缺陷,在特殊的情况下,可能造成系统运行故障甚至瘫痪。
3.应用层面
(1)企业管理水平低,人员素质不高
电子商务在近几年才得到了迅猛发展,各地都缺乏足够的技术人才来处理所遇到的各种问题,许多企业技术人员的技术水平较低,不能完全胜任所承担的工作。同时企业对电子商务的管理也处于一个摸索的阶段,管理的水平不高,效率底下。这些都给电子商务带来很大的安全隐患。其中包括交易流程管理风险、人员管理风险、网络交易技术管理的漏洞的交易风险、网络管理制度漏洞等。
(2)消费者电子商务知识贫乏,安全意识不高
从总体上,讲广大消费者对于电子商务这个新生事物还比较陌生,缺乏相应的知识,还不能十分熟练的应用这一新的交易手段,造成各种人为的安全威胁。例如:有的消费者安全意识淡薄,不注意保护自己的密码等关键信息,容易导致资金被盗、冒名交易等;有的消费者对信息判断能力差,容易上当受骗;有的消费者对网络交易的流程缺乏了解,容易导致操作失误等。
3.网络攻击、商业欺诈等违法犯罪行为
以获取机密信息或者破坏为目的的网络攻击是电子商务另外一个重要安全隐患。包括病毒攻击、木马程序,以及其他各种形式的网络攻击。根据国家计算机病毒应急处理中心的统计,去年我国发现的计算机病毒有80%以上是以窃取信息等经济利益为目的的。这些网络攻击行为可能导致企业和个人的信息被盗,资金被窃取,也可能导致企业电子商务系统效率下降甚至崩溃。
同时,因为网络交易的虚拟性所引起的交易欺诈行为有恶化的趋势。例如,在中国质量万里行促进会公布的2005年我国十大投诉热点中,网络欺诈已经成为继食品、汽车、家电、旅游之后的第五大投诉热点。这说明发生在我国网络市场中欺诈行为已经比较严重,它会影响网民对网络产品的信任感并进而影响中国电子商务市场的健康发展。
4.环境层面
(1)法律环境
法律是市场经济的重要外部环境。在电子商务中,法律不仅是打击网络犯罪的武器,更是各个主体商务活动的游戏规则。
电子商务是一种全新的商务活动,并由此衍生了一系列新的法律问题,例如网络交易纠纷的仲裁、网络交易契约等问题,急需相应的法律保障,为市场制定新的、适用的游戏规则,否则就会引起混乱。由于电子商务发展较快,我国有关的立法工作显得落后,出现许多法律空白,使许多电子商务纠纷的解决缺乏法律依据,这成为电子商务中一个重要安全隐患。
(2)诚信缺乏
诚信是市场经济的基础,是市场顺利运行的前提条件。电子商务由于其开放性、虚拟性,交易双方不直接见面,在身份的判别确认、违约责任的追究等方面都存有很大困难。因此,信用风险远较传统业务中发生的概率大。
我国目前的状况是缺乏诚信,社会信用体系不完善,这给在网上利用电子商务进行交易的传统企业和个人带来不可预料的风险。包括商业欺诈、商业诽谤、在线(信息)隐私问题、知识产权的保护问题、商业信用问题等。其典型表现有:网上产品的质量问题导致消费者无法购买到合意的商品;网上支付存在着风险;网络中的合同欺诈等。
三、应对措施
1.加强网络基础设施建设
在此方面,我国已经取得了一定进步,但总体情况仍不容乐观,地区之间发展不平衡。今后国家应继续加大网络建设投入力度,进一步鼓励企业加大对信息产业的投资,进一步增强电子商务发展的网络基础。要扩大国际出口带宽的建设,解决原有网络带宽及速度较低、网络运行质量差和电信资费高等问题,并缩小东西部、南北方的差距。要采取切实措施,构建一个值得信赖并能够保证信息的完整性和安全性的多层次的开放的网络体系,改善国内用户环境。
2.加强安全技术的研究和应用
目前,电子商务应用还刚刚开始,许多方面都还不够完善,安全技术及其应用还不能满足电子商务发展的需要。这就要求我们密切关注电子商务的动向,关注电子商务安全技术,加大投入力度,研究更加先进可靠、经济适用的安全技术。
同时,安全技术不是单一的技术,技术的综合应用是保证电子商务安全的一个重要方面,因此应当加大技术应用环节的投入。可以采取的应用措施有:使用容错计算机系统或创造高可用性的计算机环境,以确保信息系统保持可用及不间断动作;灾害复原计划提供一套程序与设备来重建被中断的计算与通信服务;加密是一种广泛使用的技术来确保因特网上传输的安全;数字证书可确认使用者的身份,提供了电子交易更进一步的保护;加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;对敏感的设备和数据要建立必要的物理或逻辑隔离措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
3.提高从业人员的技术水平和整体素质,提升企业的管理水平
首先,要加强现有从业人员的培训,提高现有人员的技术水平,提高其安全意识,提高其应对安全问题的能力。其次,要加强电子商务人才的培养。应充分利用各种途径和手段培养大量素质较高、层次合理、专业配套的网络、计算机及经营管理等方面的专业人才,特别是掌握现代信息技术和现代商贸理论与实务的复合型人才。最后,要提高企业电子商务管理水平。安全问题不仅有技术的原因,管理落后也是一个重要方面,企业要建立适应电子商务发展的管理体系,培养合格的管理人才,提升整体管理水平。
4.加强法律法规建设
包括两个方面的内容:一是要完善原有的法律体系并进行必要的调整;二是为适应发展的需要制定新的法律法规。
要积极开展立法的各项准备工作,循序渐进、突出重点、先易后难,先单项后综合,在实践中摸索,在发展中完善,针对不同的法律问题,提出新的解决方案,制定相应的法律法规。不备具制定法律法规要求的,可以先制定“条例”、“细则”等规范性法律文件,逐步强化电子商务立法。
当前一项重要的任务是要抓紧研究电子交易、信用管理、安全认证、在线支付、税收、市场准入、隐私权保护、信息资源管理等方面的法律法规问题,应尽快制定出可以具体操作的《电子商务法》。
5.加强诚信建设
首先,建立健全社会信用制度及管理体系。要加快信用立法,完善经济活动实名制,健全个人财产申报制度,实行个人破产制度等,以形成对信用体系的强势约束力,确保个人信用制度的健康发展。
其次,建立完善的企业制度,培养优秀的企业文化。要以提高企业价值作为经营的根本,把自主性和自律性的道德标准作为企业的重要组成部分,进而建立以诚信为基础的企业文化。
