数字贸易存在的问题范文
时间:2023-06-18 10:25:34
引言:寻求写作上的突破?我们特意为您精选了12篇数字贸易存在的问题范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
篇1
经济全球化的趋势不可避免,在经济全球化的大背景下,国际间的贸易往来越来越频繁,规模也越来越大。数字化文化产品作为国际贸易的重要内容之一,其关税的征收直接关系到国民经济的发展,更关系到经济。因此,应加大数字化文化产品关税征管力度,保障经济效益。但是由于数字化文化产品自身的独特性,其关税征管的难度比较大,这对数字化文化产品税收征管模式及方法提出了新的挑战。
关于数字化文化产品国际贸易中关税征收问题,主要表现在以下三个方面:(1)以往,在对数字化文化产品的国家贸易进行关税征收的时候,对关税是否征收一直存在不同的“声音”,并且尽管对关税征收保持统一的意见,但是真正实施起来在技术方面也存在很大的问题。(2)对数字化文化产品征收关税的成本要远高于对数字化文化产品所征收的关税所得。新技术出现后,在线视频点播技术取得了显著的成绩,这就给数字化文化产品的关税征收问题带来了更大的难度,尤其是付费电影的下载,如何对其进行关税征收更是存在很大的难度。以A、B两国为例,A国消费者通过服务器从B过电影网站上下载电影,并以电子支付的形式完成交易,这其中并未索取发票,因而A国相关部门对交易的发生与否并不知情。(3)不同国家对数字化文化产品国际贸易的关税征收立场不同,绝大多数发达国家不主张征收,而大部分发展中国家则认为不征收关税会对自己本国数字化文化产品以及国民经济的发展造成影响。
2.世界贸易组织暂时免征数字化文化产品关税计划
一直以来,世界贸易组织对数字化文化产品国际贸易的关税征收问题都比较重视。1997年,经合组织组织的会议中,制定了适用于电子商务税务框架条件,提出了“电子商务:税务政策框架条件”的报告。1998年,世界贸易组织就与电子商务相关问题开始进行审查,并对数字化文化产品的关税征收提出了一个工作计划,即以电子传输方式进行贸易延迟征收关税。但是对于这一计划,世界各国有着不同的看法,主要表现在西方发达国家与其他广大发展中国家对关税的征收存在分歧,但是发展中国家最终也赞同了世界贸易组织关于暂时免征数字化文化产品关税的计划,认为这一计划符合他们的国家利益。然而关于永久性免征关税方面,相关成员都不愿意做出承诺。一方面,有的认为永久性免征将会导致相关关税永久丧失;另一方面,发展中国家考虑到长远国家利益,只是希望通过暂时免征来获取发达国家更多技术和资金上的支持。无论如何,在数字化文化产品关税征收问题上,世界贸易组织各成员仍未达成一致。
3.数字化文化产品国际贸易中暂时免征关税的弊端
暂时免征关税,从全局出发考虑的,既有利也有弊,因为暂时免征关税这一举措存在很大的不确定性,这种确定性既表现在发达国家,有表现在发展中国家。综合当前数字化文化产品国际贸易的发展来看,暂时免征关税的弊端主要表现在以下四个方面:(1)以电子传输方式进行的贸易所涵盖的范围不是十分清晰。目前,世界贸易组织各国对什么是电子交付并没有形成共识,各成员国之间对电子传输的理解存在分歧。因此,就导致了对数字化文化产品关税征管难度增大。各成员国具有不同的国情及对电子传输贸易标准的定义,并且在电子支付及电子传输中有不同的方式,所征收的关税比例和种类难免不同。因此各成员国制定的数字化文化产品及所征关税的标准具有差异,为保障各自国家的经济主体及利益,暂时免征关税也是难免。(2)暂时征税作为世界贸易组织成员达成的政治性共识不能在世界贸易组织的争端解决机制中援用。暂时免征关税从其名字就不难看出,该举措其实是世界贸易组织的无奈之举,是一个无法通过世界贸易组织争端解决机制得以强制执行的政治义务。(3)暂时征收关税在解决影响服务贸易歧视性原则上还存在很大问题。国际贸易中存在一定的贸易歧视、贸易壁垒,暂时免征关税的举措并没有在解决这一问题上有何实质性的作用。针对数字化文化产品国际贸易进行暂时免征关税只是在一定程度上拖延了国际贸易中问题的爆发,并且正在制造新的贸易问题。因此,暂时征收关税存在很大的弊端,影响了国际贸易正常进行。(4)暂时免征关税在实践中并没有阻止对电子商务征税。从目前暂时免征关税的实践来看,以欧盟为例,认为数字化文化产品作为一种新的贸易形式不应该承担传统贸易不存在的税收形式,并不希望将电子商务活动作为一种新的贸易形式而增加新的税种。上述种种问题的存在,导致暂时免征关税举措的实施难度非常大,且实施这一举措可能造成更大的国际贸易中服务贸易问题,对各成员国数字化文化产品国际贸易经济主体、经济造成损害。
4.结语
总之,关税问题是国际贸易开展过程中最为关键、最为主要的问题。数字化文化产品作为国际贸易的重要内容之一,应当处理好关税征收的问题,净化数字化文化产品的贸易环境,及早提出一个能够长久解决数字化文化产品关税征收争端的举措,为构建一个可以预测的数字化文化产品贸易自由化框架奠定坚实的基础。
参考文献:
篇2
一、引言
随着信息技术和计算机网络的迅猛发展, 基于Internet 的电子商务也随之而生,并在近年来获得了巨大的发展。电子商务作为一种全新的商业应用形式,改变了传统商务的运作模式,极大地提高了商务效率,降低了交易的成本。然而,由于互联网开放性的特点,安全问题也自始至终制约着电子商务的发展。因此,建立一个安全可靠的电子商务应用环境,已经成为影响到电子商务发展的关键性课题。
二、电子商务面临的安全问题
1.信息泄漏。在电子商务中主要表现为商业机密的泄露,包括两个方面:一是交易双方进行交易的内容被第三方窃取;二是交易一方提供给另一方使用的文件被第三方非法使用。
2.信息被篡改。电子的交易信息在网络上传输的过程中,可能被他人非法修改、删除或被多次使用,这样就使信息失去了真实性和完整性。
3.身份识别。身份识别在电子商务中涉及两个方面的问题:一是如果不进行身份识别,第三方就有可能假冒交易一方的身份,破坏交易、败坏被假冒一方的信誉或盗取交易成果;二是不可抵赖性,交易双方对自己的行为应负有一定的责任,信息发送者和接受者都不能对此予以否认。进行身份识别就是防止电子商务活动中的假冒行为和交易被否认的行为。
4.信息破坏。一是网络传输的可靠性,网络的硬件或软件可能会出现问题而导致交易信息丢失与谬误;二是恶意破坏,计算机网络本身遭到一些恶意程序的破坏,例如病毒破坏、黑客入侵等。
三、电子商务的安全要素
1.有效性。电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对一切潜在的威胁加以控制和预防,以保证贸易数据在确定的时刻和地点是有效的。
2.机密性。电子商务是建立在一个较为开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。解决数据机密性的一般方法是采用加密手段。
3.完整性。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方的差异。此外,数据传输过程中的丢失、重复或传送的次序差异也会导致贸易各方的不同。因此,要预防对随意生成、修改和删除,同时要防止数据传送过程中的丢失和重复并保证传送次序的统一。
4.不可抵赖性。电子商务可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证电子商务顺利进行的关键。在交易进行时,交易各方必须附带含有自身特征、无法由别人复制的信息,以保证交易后发生纠纷时有所对证。
四、电子商务采用的主要安全技术手段
1.防火墙技术。防火墙就是在网络边界上建立相应的网络通信监控系统,用来保障计算机网络的安全,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬件产品中。所有来自Internet 的传输信息或发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。实现防火墙技术的主要途径有:分组过滤和服务。分组过滤:这是一种基于路由器的防火墙。它是在网间的路由器中按网络安全策略设置一张访问表或黑名单,即借助数据分组中的IP地址确定什么类型的信息允许通过防火墙,什么类型的信息不允许通过。防火墙的职责就是根据访问表(或黑名单)对进出路由器的分组进行检查和过滤。这种防火墙简单易行,但不能完全有效地防范非法攻击。目前,80%的防火墙都是采用这种技术。服务:是一种基于服务的防火墙,它的安全性高,增加了身份认证与审计跟踪功能,但速度较慢。所谓审计跟踪是对网络系统资源的使用情况提供一个完备的记录,以便对网络进行完全监督和控制。通过不断收集与积累有关出入网络的完全事件记录,并有选择地对其中的一些进行审计跟踪,发现可能的非法行为并提供有力的证据,然后以秘密的方式向网上的防火墙发出有关信息如黑名单等。防火墙虽然能对外部网络的功击实施有效的防护,但对网络内部信息传输的安全却无能为力,实现电子商务的安全还需要一些保障动态安全的技术。
2.数据加密技术。在电子商务中,数据加密技术是其他安全技术的基础,也是最主要的安全措施,贸易方可根据需要在信息交换的阶段使用。目前,加密技术分为两类,即对称加密和非对称加密。
(1)对称加密。对称加密又称为私钥加密。发送方用密钥加密明文,传送给接收方,接收方用同一密钥解密。其特点是加密和解密使用的是同一个密钥。使用对称加密方法将简化加密的处理,每个贸易方都不必彼此研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。比较著名的对称加密算法是:美国国家标准局提出的DES(DataEncryption Standard,数据加密标准)。对称加密方式存在的一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享同一把专用密钥,贸易双方的任何信息都是通过这把密钥加密后传送给对方的。
(2)非对称加密。非对称加密又称为公钥加密。公钥加密法是在对数据加解密时,使用不同的密钥,通信双方各具有两把密钥,即一把公钥和一把密钥。公钥对外界公开,私钥自己保管,用公钥加密的信息,只能用对应的私钥解密。同样地,用私钥加密的数据只能用对应的公钥解密。RSA(即Rivest,ShamirAdleman)算法是非对称加密领域内最为著名的算法。贸易方利用该方案实现机密信息交换的基本过程是:贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开,得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲;贸易方甲再用自己保存的另一把私有密钥对加密后的信息进行解密。贸易方甲只能用其私有密钥解密由其公开密钥加密后的任何信息。为了充分发挥对称和非对称加密体制各自的优点,在实际应用中通常将这两种加密体制结合在一起使用,比如:利用DES来加密信息,而采用RSA来传递对称加密体制中的密钥。
3.数字签名技术。仅有加密技术还不足以保证商务信息传递的安全,在确保信息完整性方面,数字签名技术占据着不可替代的位置。目前数字签名的应用主要有数字摘要、数字签名和数字时间戳技术。
(1)数字摘要。数字摘要是对一条原始信息进行单向哈希(Hash)函数变换运算得到的一个长度一定的摘要信息。该摘要与原始信息一一对应,即不同的原始信息必然得到一个不同的摘要。若信息的完整性遭到破坏,信息就无法通过原始摘要信息的验证,成为无效信息,信息接收者便可以选择不再信任该信息。
(2)数字签名。数字签名实际上是运用公私钥加密技术使信息具有不可抵赖性,其具体过程为:文件的发送方从文件中生成一个数字摘要,用自己的私钥对这个数字摘要进行加密,从而形成数字签名。这个被加密的数字签名文件作为附件和原始文件一起发送给接收者。接收方收到信息后就用发送方的公开密钥对摘要进行解密,如果解出了正确的摘要,即该摘要可以确认原始文件没有被更改过。那么说明这个信息确实为发送者发出的。于是实现了对原始文件的鉴别和不可抵赖性。
(3)数字时间戳。数字时间戳技术或DTS 是对数字文件或交易信息进行日期签署的一项第三方服务。本质上数字时间戳技术与数字签名技术如出一辙。加盖数字时间戳后的信息不能进行伪造、篡改和抵赖,并为信息提供了可靠的时间信息以备查用。
五、小结
本文分析了目前电子商务领域所使用的安全技术:防火墙技术,数据加密技术,数字签名技术,以及安全协议,指出了它们使用范围及其优缺点。但必须强调说明的是,电子商务的安全运行,仅从技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。
参考文献:
[1]谢红燕:电子商务的安全问题及对策研究[J].哈尔滨商业大学学报(自然科学版),2007,(3):350-358
篇3
序言:近年来,随着因特网的普及日渐迅速,电子交易开始融入人们的日常生活中,网上订货、网上缴费等众多电子交易方式为人们创造了便利高效的生活方式,越来越多的人开始使用电子商务网站来传递各种信息,并进行各种交易。电子商务网站传递各种商务信息依靠的是互联网,而互联网是一个完全开放的网络,任何一台计算机、任何一个网络都可以与之相连。它又是无国界的,没有管理权威,“是世界唯一的无政府领地”,因此,网上的安全风险就构成了对电子商务的安全威胁。
一、电子商务信息的安全要素
1.机密性
传统的贸易大多是通过书信或者可靠的通信渠道来发送商业文档,虽然速度和效率都不高,但却能达到保密的目的,而电子商务是在开放的网络环境下进行的,因此要预防非法的信息存取和信息在传输过程中被非法窃取,所以保证电子商务信息的机密性就变得非常重要。
2.完整性
电子商务极大地简化了传统贸易过程,减少了认为的干预,同时也伴随着贸易各方商业信息的完整、同一问题。由于数据录入时合法或非法的行为,可能导致贸易数据的差异。信息在传输的过程中也有可能造成信息的丢失、重复或次序的差异。因此要预防对信息的各种非法操作,保证数据在传送的过程中完整性。
3.认证性
网络环境是一个虚拟的环境,而电子商务就是在这个虚拟平台上进行的,贸易双方一般都不见面,需要一些技术和策略来进行身份确认。当个人或实体声称身份时,电子商务服务需要提供一种方式来进行身份认证。
4.有效性
在交易的过程中贸易双方需要确定很多信息,电子商务以电子形式取代了纸张来确认这此信息,保证谢谢信息的有效性是开展电子商务的前提。因此要对网络故障、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻和地点是有效的。
二、电子商务网络的安全隐患
1.窃取信息
(1)交易双方进行交易的内容被第三方窃取。(2)交易一方提供给另一方使用的文件被第三方非法使用。
2.篡改信息
电子的交易信息在网络传输的过程中,可能被他人非法的修改、删除这样就使信息失去了真实性和完整性。
3.假冒
第三方可以冒充合法用户发送假冒的信息或者主动获取信息,有可能假冒一方的信誊或盗取被假冒一方的交易成果等。
4.恶意破坏
由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,破坏网络的硬件或软件而导致交易信息传递丢失与谬误。计算机网络本身容易遭到一些恶意程序的破坏,而使电子商务信息遭到破坏。
三、电子商务安全中的几种技术手段
1.防火墙(FireWall)技术
防火墙是一种隔离控制技术,在某个机构的网络和不安全的网络(如Internet)之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止专利信息从企业的网络上被非法输出。
2.加密技术
数据加密技术是电子商务中采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。在网络应用中一般采取两种加密形式:对称加密和非对称加密,采用何种加密算法则要结合具体应用环境和系统,而不能简单地根据其加密强度来做出判断。
(1)对称加密
在对称加密方法中,对信息的加密和解密都使用相同的密钥。也就是说,一把钥匙开一把锁。这种加密算法可简化加密处理过程,贸易双方都不必彼此研究和交换专用的加密算法,如果进行通信的贸易方能够确保私有密钥在交换阶段未曾泄露,那么机密性和报文完整性就可以得到保证。不过,对称加密技术也存在一些不足,如果某一贸易方有n个贸易关系,那么他就要维护n个私有密钥。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享一把私有密钥。目前广泛采用的对称加密方式是数据加密标准(DES),它主要应用于银行业中的电子资金转账(EFT)领域。DES对64位二进制数据加密,产生64位密文数据。使用的密钥为64位,实际密钥长度为56位(8位用于奇偶校验)。解密时的过程和加密时相似,但密钥的顺序正好相反。
(2)非对称加密/公开密钥加密
在Internet中使用更多的是公钥系统,即公开密钥加密。在该体系中,密钥被分解为一对:公开密钥PK和私有密钥SK。这对密钥中的任何一把都可作为公开密钥(加密密钥)向他人公开,而另一把则作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛,但它只对应于生成该密钥的贸易方。在公开密钥体系中,加密算法E和解密算法D也都是公开的。虽然SK与PK成对出现,但却不能根据PK计算出SK。
常用的公钥加密算法是RSA算法,加密强度很高。具体做法是将数字签名和数据加密结合起来。发送方在发送数据时必须加上数字签名,做法是用自己的私钥加密一段与发送数据相关的数据作为数字签名,然后与发送数据一起用接收方密钥加密。这些密文被接收方收到后,接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名,然后用方公布的公钥对数字签名进行解密,如果成功,则确定是由发送方发出的。由于加密强度高,而且不要求通信双方事先建立某种信任关系或共享某种秘密,因此十分适合Internet网上使用。
3.数字签名
数字签名技术是实现交易安全核心技术之一,它实现的基础就是加密技术。以往的书信或文件是根据亲笔签名或印章来证明其真实性的。但在计算机网络中传送的报文又如何盖章呢?这就是数字签名所要解决的问题。数字签名必须保证以下几点:接收者能够核实发送者对报文的签名;送者事后不能抵赖对报文的签名;接收者不能伪造对报文的签名。现在己有多种实现数字签名的方法,采用较多的就是公开密钥算法。
4.数字证书
(1)认证中心
在电子交易中,数字证书的发放不是靠交易双方来完成的,而是由具有权威性和公正性的第三方来完成的。认证中心就是承担网上安全电子交易认证服务、签发数字证书并确认用户身份的服务机构。
(2)数字证书
数字证书是用电子手段来证实一个用户的身份及他对网络资源的访问权限。在网上的电子交易中,如双方出示了各自的数字证书,并用它来进行交易操作,那么交易双方都可不必为对方身份的真伪担心。
5.消息摘要(MessageDigest)
消息摘要方法也称为Hash编码法或MDS编码法。它是由RonRivest所发明的。消息摘要是一个惟一对应一个消息的值。它由单向Hash加密算法对所需加密的明文直接作用,生成一串128bit的密文,这一串密文又被称为“数字指纹”(FingerPrint)。所谓单向是指不能被解密,不同的明文摘要成密文,其结果是绝不会相同的,而同样的明文其摘要必定是一致的,因此,这串摘要成为了验证明文是否是“真身”的数字“指纹”了。
结语:本文分析了目前电子商务的安全需求,使用的安全技术及仍存在的问题,并指出了与电子商务安全有关的协议技术使用范围及其优缺点,但必须强调说明的是,电子商务的安全运行,仅从技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。
参考文献:
[1]吴洋.电子商务安全方法研究[D].天津大学,2006.
[2]李艳.电子商务信息安全策略研究[J].甘肃科技,2005,(06)
[3]成卫青,龚俭.网络安全评估[J].计算机工程,2003,(02).
[4]大卫·范胡斯.电子商务经济学[M].北京:机械工业出版社,2003.
[5]杨善林.电子商务概论[M].北京:机械工业出版社,2003.
篇4
一、引言
电子商务是以电子信息技术为基础的商务运作,是信息技术的发展对社会经济生活产生巨大影响的一个实例,也是网络新经济迅猛发展的代表。电子商务的核心内容是网上交易,尤其是通过公共的因特网将众多的社会经济成员联系起来的网上交易更是成为发展的热点,
电子商务所具有的广阔发展前景,越来越为世人所瞩目。但在Internet给人们带来巨大便利的同时,也把人们引进了安全陷阱。目前,阻碍电子商务广泛应用的首要也是最大的问题就是安全问题。电子商务中的安全问题如得不到妥善解决,电子商务应用就只能是纸上谈兵。从事电子商务活动的主体都已普遍认识到电子商务的交易安全是电子商务成功实施的基础,是企业制订电子商务策略时必须首先要考虑的问题。对于实施电子商务战略的企业来说,保证电子商务的安全已成为当务之急。
二、电子商务过程中面临的主要安全问题
从交易角度出发,电子商务面临的安全问题综合起来包括以下几个方面:
1.有效性
电子商务以电子形式取代了纸张,那么保证信息的有效性就成为开展电子商务的前提。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
2.真实性
由于在电子商务过程中,买卖双方的所有交易活动都通过网络联系,交易双方可能素昧平生,相隔万里。要使交易成功,首先要确认对方的身份。对于商家而言,要考虑客户端不能是骗子,而客户端也会担心网上商店是否是一个玩弄欺诈的黑店,因此,电子商务的开展要求能够对交易主体的真实身份进行鉴别。
3.机密性
电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。如信用卡的账号和用户名被人知悉,就可能被盗用而蒙受经济损失;订货和付款信息被竞争对手获悉,就可能丧失商机。因此建立在开放的网络环境电子商务活动,必须预防非法的信息存取和信息在传输过程中被非法窃取。
三、电子商务安全中的几种技术手段
由于电子商务系统把服务商、客户和银行三方通过互联网连接起来,并实现了具体的业务操作。因此,电子商务安全系统可以由三个安全服务器及CA认证系统构成,它们遵循共同的协议,协调工作,实现电子商务交易信息的完整性、保密性和不可抵赖性等要求。其中采用的安全技术主要有以下几种:
1.防火墙(FireWall)技术
防火墙是一种隔离控制技术,在某个机构的网络和不安全的网络(如Internet)之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止专利信息从企业的网络上被非法输出。
2.加密技术
数据加密技术是电子商务中采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。在网络应用中一般采取两种加密形式:对称加密和非对称加密,采用何种加密算法则要结合具体应用环境和系统,而不能简单地根据其加密强度来做出判断。
(1)对称加密
在对称加密方法中,对信息的加密和解密都使用相同的密钥。也就是说,一把钥匙开一把锁。这种加密算法可简化加密处理过程,贸易双方都不必彼此研究和交换专用的加密算法,如果进行通信的贸易方能够确保私有密钥在交换阶段未曾泄露,那么机密性和报文完整性就可以得到保证。不过,对称加密技术也存在一些不足,如果某一贸易方有n个贸易关系,那么他就要维护n个私有密钥。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享一把私有密钥。目前广泛采用的对称加密方式是数据加密标准(DES),它主要应用于银行业中的电子资金转账(EFT)领域。DES对64位二进制数据加密,产生64位密文数据。使用的密钥为64位,实际密钥长度为56位(8位用于奇偶校验)。解密时的过程和加密时相似,但密钥的顺序正好相反。
(2)非对称加密/公开密钥加密
在Internet中使用更多的是公钥系统,即公开密钥加密。在该体系中,密钥被分解为一对:公开密钥PK和私有密钥SK。这对密钥中的任何一把都可作为公开密钥(加密密钥)向他人公开,而另一把则作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛,但它只对应于生成该密钥的贸易方。在公开密钥体系中,加密算法E和解密算法D也都是公开的。虽然SK与PK成对出现,但却不能根据PK计算出SK。
公开密钥算法的特点如下:
用加密密钥PK对明文X加密后,再用解密密钥SK解密,即可恢复出明文,或写为:DSK (EPK (X))=X 。
加密密钥不能用来解密,即DPK (EPK (X))≠X
在计算机上可以容易地产生成对的PK和SK。
从已知的PK实际上不可能推导出SK。
加密和解密的运算可以对调,即:EPK (DSK (X))=X
常用的公钥加密算法是RSA算法,加密强度很高。具体做法是将数字签名和数据加密结合起来。发送方在发送数据时必须加上数字签名,做法是用自己的私钥加密一段与发送数据相关的数据作为数字签名,然后与发送数据一起用接收方密钥加密。这些密文被接收方收到后,接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名,然后用方公布的公钥对数字签名进行解密,如果成功,则确定是由发送方发出的。由于加密强度高,而且不要求通信双方事先建立某种信任关系或共享某种秘密,因此十分适合Internet网上使用。
3.数字签名
数字签名技术是实现交易安全核心技术之一,它实现的基础就是加密技术。以往的书信或文件是根据亲笔签名或印章来证明其真实性的。但在计算机网络中传送的报文又如何盖章呢?这就是数字签名所要解决的问题。数字签名必须保证以下几点:接收者能够核实发送者对报文的签名;送者事后不能抵赖对报文的签名;接收者不能伪造对报文的签名。现在己有多种实现数字签名的方法,采用较多的就是公开密钥算法。
4.数字证书
(1)认证中心
在电子交易中,数字证书的发放不是靠交易双方来完成的,而是由具有权威性和公正性的第三方来完成的。认证中心就是承担网上安全电子交易认证服务、签发数字证书并确认用户身份的服务机构。
(2)数字证书
数字证书是用电子手段来证实一个用户的身份及他对网络资源的访问权限。在网上的电子交易中,如双方出示了各自的数字证书,并用它来进行交易操作,那么交易双方都可不必为对方身份的真伪担心。
5.消息摘要(Message Digest)
消息摘要方法也称为Hash编码法或MDS编码法。它是由Ron Rivest所发明的。消息摘要是一个惟一对应一个消息的值。它由单向Hash加密算法对所需加密的明文直接作用,生成一串128bit的密文,这一串密文又被称为“数字指纹”( Finger Print )。所谓单向是指不能被解密,不同的明文摘要成密文,其结果是绝不会相同的,而同样的明文其摘要必定是一致的,因此,这串摘要成为了验证明文是否是“真身”的数字“指纹”了。
四、小结
本文详细探讨了电子商务安全体系所面临的问题,并提出了安全防护的几种技术手段,相信随着时间的推移和技术的发展,电子商务安全体系将越来越完善,足不出户而通过Internet电子商务系统实现购物、交易和做生意将成为人们生活的新时尚。
参考文献:
[1]徐海来:电子商务的运作与安全[J].中国信息导报,2000.6:126
篇5
1.机密性
传统的贸易大多是通过书信或者可靠的通信渠道来发送商业文档,虽然速度和效率都不高,但却能达到保密的目的,而电子商务是在开放的网络环境下进行的,因此要预防非法的信息存取和信息在传输过程中被非法窃取,所以保证电子商务信息的机密性就变得非常重要。
2.完整性
电子商务极大地简化了传统贸易过程,减少了认为的干预,同时也伴随着贸易各方商业信息的完整、同一问题。由于数据录入时合法或非法的行为,可能导致贸易数据的差异。信息在传输的过程中也有可能造成信息的丢失、重复或次序的差异。因此要预防对信息的各种非法操作,保证数据在传送的过程中完整性。
3.认证性
网络环境是一个虚拟的环境,而电子商务就是在这个虚拟平台上进行的,贸易双方一般都不见面,需要一些技术和策略来进行身份确认。当个人或实体声称身份时,电子商务服务需要提供一种方式来进行身份认证。
4.有效性
在交易的过程中贸易双方需要确定很多信息,电子商务以电子形式取代了纸张来确认这此信息,保证谢谢信息的有效性是开展电子商务的前提。因此要对网络故障、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻和地点是有效的。
二、电子商务网络的安全隐患
1.窃取信息
(1)交易双方进行交易的内容被第三方窃取。(2)交易一方提供给另一方使用的文件被第三方非法使用。
2.篡改信息
电子的交易信息在网络传输的过程中,可能被他人非法的修改、删除这样就使信息失去了真实性和完整性。
3.假冒
第三方可以冒充合法用户发送假冒的信息或者主动获取信息,有可能假冒一方的信誊或盗取被假冒一方的交易成果等。
4.恶意破坏
由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,破坏网络的硬件或软件而导致交易信息传递丢失与谬误。计算机网络本身容易遭到一些恶意程序的破坏,而使电子商务信息遭到破坏。
三、电子商务安全中的几种技术手段
1.防火墙(FireWall)技术
防火墙是一种隔离控制技术,在某个机构的网络和不安全的网络(如Internet)之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止专利信息从企业的网络上被非法输出。
2.加密技术
数据加密技术是电子商务中采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。在网络应用中一般采取两种加密形式:对称加密和非对称加密,采用何种加密算法则要结合具体应用环境和系统,而不能简单地根据其加密强度来做出判断。
(1)对称加密
在对称加密方法中,对信息的加密和解密都使用相同的密钥。也就是说,一把钥匙开一把锁。这种加密算法可简化加密处理过程,贸易双方都不必彼此研究和交换专用的加密算法,如果进行通信的贸易方能够确保私有密钥在交换阶段未曾泄露,那么机密性和报文完整性就可以得到保证。不过,对称加密技术也存在一些不足,如果某一贸易方有n个贸易关系,那么他就要维护n个私有密钥。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享一把私有密钥。目前广泛采用的对称加密方式是数据加密标准(DES),它主要应用于银行业中的电子资金转账(EFT)领域。DES对64位二进制数据加密,产生64位密文数据。使用的密钥为64位,实际密钥长度为56位(8位用于奇偶校验)。解密时的过程和加密时相似,但密钥的顺序正好相反。
(2)非对称加密/公开密钥加密
在Internet中使用更多的是公钥系统,即公开密钥加密。在该体系中,密钥被分解为一对:公开密钥PK和私有密钥SK。这对密钥中的任何一把都可作为公开密钥(加密密钥)向他人公开,而另一把则作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛,但它只对应于生成该密钥的贸易方。在公开密钥体系中,加密算法E和解密算法D也都是公开的。虽然SK与PK成对出现,但却不能根据PK计算出SK。
常用的公钥加密算法是RSA算法,加密强度很高。具体做法是将数字签名和数据加密结合起来。发送方在发送数据时必须加上数字签名,做法是用自己的私钥加密一段与发送数据相关的数据作为数字签名,然后与发送数据一起用接收方密钥加密。这些密文被接收方收到后,接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名,然后用方公布的公钥对数字签名进行解密,如果成功,则确定是由发送方发出的。由于加密强度高,而且不要求通信双方事先建立某种信任关系或共享某种秘密,因此十分适合Internet网上使用。
3.数字签名
数字签名技术是实现交易安全核心技术之一,它实现的基础就是加密技术。以往的书信或文件是根据亲笔签名或印章来证明其真实性的。但在计算机网络中传送的报文又如何盖章呢?这就是数字签名所要解决的问题。数字签名必须保证以下几点:接收者能够核实发送者对报文的签名;送者事后不能抵赖对报文的签名;接收者不能伪造对报文的签名。现在己有多种实现数字签名的方法,采用较多的就是公开密钥算法。
4.数字证书
(1)认证中心
在电子交易中,数字证书的发放不是靠交易双方来完成的,而是由具有权威性和公正性的第三方来完成的。认证中心就是承担网上安全电子交易认证服务、签发数字证书并确认用户身份的服务机构。
(2)数字证书
数字证书是用电子手段来证实一个用户的身份及他对网络资源的访问权限。在网上的电子交易中,如双方出示了各自的数字证书,并用它来进行交易操作,那么交易双方都可不必为对方身份的真伪担心。
5.消息摘要(Message Digest)
消息摘要方法也称为Hash编码法或MDS编码法。它是由Ron Rivest所发明的。消息摘要是一个惟一对应一个消息的值。它由单向Hash加密算法对所需加密的明文直接作用,生成一串128bit的密文,这一串密文又被称为“数字指纹”( Finger Print )。所谓单向是指不能被解密,不同的明文摘要成密文,其结果是绝不会相同的,而同样的明文其摘要必定是一致的,因此,这串摘要成为了验证明文是否是“真身”的数字“指纹”了。
结语:本文分析了目前电子商务的安全需求,使用的安全技术及仍存在的问题,并指
出了与电子商务安全有关的协议技术使用范围及其优缺点,但必须强调说明的是,电子商务的安全运行,仅从技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。
参考文献:
[1] 吴洋.电子商务安全方法研究[D].天津大学, 2006.
[2] 李艳.电子商务信息安全策略研究[J].甘肃科技, 2005,(06)
[3] 成卫青,龚俭.网络安全评估[J].计算机工程, 2003,(02).
[4]大卫·范胡斯.电子商务经济学[M].北京:机械工业出版社,2003.
[5]杨善林.电子商务概论[M].北京:机械工业出版社,2003.
篇6
连续多年,我国投资增长速度高于消费和国内生产总值的增长速度,使得投资率不断上升,增大了调整投资与消费的比例关系的难度。“十一五”规划要求,“要进一步扩大国内需求,调整投资和消费的关系,合理控制投资规模,增强消费对经济增长的拉动作用。”但今年上半年投资的增长速度明显高于消费,不仅使得经济增长过多依赖于投资,而且目前投资还有进一步加快的趋势。如果这种投资波动的态势演变成长期趋势,将不利于“十一五”规划关于调整投资与消费比例关系任务的完成。
篇7
随着数字化信息技术在全球范围内的发展和普及,数字经济的发展趋势逐渐加快,成为推动经济和产业发展的重要力量。跨境电商是我国数字经济的重要体现,数字经济在此背景下不可避免地改变了传统的国际贸易方式,为跨境贸易提供了新的窗口,扩大了国际市场份额,在发展跨境电商的前提下改变外贸发展方式和国际贸易规则。它兼具结构调整和整合世界资源的优势,即形成有效的跨国合作新渠道,提供发展空间,优化产业结构,解决产能过剩问题。经过不断的发展和探索,中国跨境电商正在进入跨境电商生态系统建设的可持续发展阶段。随着数字化技术发展的不断成熟,跨境电商的应用也越来越广泛。因此,构建跨境电商生态系统对于促进高质量可持续发展具有重要意义。
1数字经济及其对跨境电商的影响
1.1基本概念
数字经济是一个以大数据技术为基石的全新经济形式,以大数据技术为发展导向,实现社会经济的高效可持续发展,实现社会资源的快速优化配置与资源再生。数字经济将促进经济社会在各领域的相互渗透与融合,推动各领域与国际贸易合作的进程,推动社会经济成长,提升劳动生产率,培养新市场、新增长点。跨境电商,是指在全球商务活动中与世界各个国家的交易主体开展跨境交易,并通过电子商务平台结算和跨境物流配送完成交易。在国家大力推动数字经济发展的政策和“一带一路”政策倡议下,我国跨境电商交易量持续稳定增长。
1.2数字经济对跨境电商的影响
在中国数字经济的带动下,跨境电商的发展越来越快,这也带动着中国外贸企业跨界融合的快速发展。自2016年数字经济成为我国创新发展战略提出以来,地方政府的政策扶持、庞大的市场需求和新型信息的广泛运用,都推动了中国跨境电子商务的高速发展,但也面临着一些挑战。随着数字科技的日益发达,无形商品和服务在世界范围内越来越流行。数字化服务主要通过电子商务等网络平台进行跨境服务,将原来有形的产品和服务,逐步地向无形的产品和服务转化。无形产品和服务的输出,已经彻底改变了中国以往的线下贸易流程,实现了线上即时交付,并由此大大提高了贸易效率。但如今,由于交易内容和贸易模式的改变,导致了中国现行的跨境电子商务规则体系已经无法支撑中国现实发展的市场需求,因此跨境电子商务规则体系迫切需要弥补中国数字商品市场与服务领域的空缺。
2数字经济中跨境电商生态系统存在的主要问题
2.1跨境电商服务平台存在缺陷
跨境电商平台的综合业务能力定位,由于缺少对行业和企业发展的深度认识,仅在经营策略上重视企业利益,而忽略了客户的现实业务需要,最后造成了资源投放走向偏离,企业服务质量无法提高,使基本业务功能难以实现,也难以实现整个企业综合业务能力的改善与提升。同时,因为没有跨境电商平台服务体系的策划与构建,在交易过程中就会存在着环境风险、流程风险与结果风险。目前,国内的跨境电子商务平台仍然着眼于基本业务,而不是从企业需求的视角来思考问题,系统平台需要从结构、业务、系统、标准化、便利化等方面进行重新规划和重建。
2.2跨境电商物流系统有待完善
现有的物流运输模式已经不能适应跨境电商的发展。海铁联运作为跨境物流的主要运输方式,在实际应用过程中存在着联运不畅、松散等问题,这增加了运输成本,使使用环节更加复杂,也浪费了时间。根据跨境电商的业务运作,物流模式可分为商流和物流。构建跨境电商生态系统,最重要的是建立跨境物流体系。由于交通枢纽和物流设施建设时间长、周期长,物流运输对跨境电商的帮助有限。同时,不同的物流模式有着不同的物流标准,往往无法顺利对接,影响跨境电商的有效开展。物流设施的不同标准也在很大程度上降低了跨境电商的工作效率。这些成本最终会由跨境电商企业承担,不利于跨境电商企业的发展。
2.3海关流程仍旧处于模糊监管
由于货物种类繁多,不同的部门需要协同工作来协调和监督。由于中国各地海关的监管职责分工边界并不清楚,各监管部门任务目标的不同,工作重心也有所不同,监管流程和监管成本增加,从而造成了跨境电子商务的经营成本和商品价格增加,这也最终在一定程度上造成了销售额的减少。同时,跨境电商是一个服务性的营销活动,需要满足消费者的心理需要。但国外顾客的需要无法精确预估,企业无法根据不确定的需求制定相应准确的运输计划。当货物到达顾客手中时,顾客经常会因为对货物不满意而退换货,因此他们不得不支付退货或换货所需的关税。虽然我国的保税制度可以在一定程度上解决这一问题,但其实施过程存在一定的局限性和复杂性,会增加跨境电子商务的时间和成本。
2.4跨境电商经营理念陈旧
跨境电子商务企业是生态系统中的核心点,其自身陈旧的经营理念,阻碍了企业的进一步发展。首先,供应链的风险很大。跨境电商作为一个长产业链,其经营风险不易控制,上游商品供应出现虚假宣传的行为,下游服务出现退货流程繁琐、时效延长的现象。其次,资本流转风险较大。在资本流转中,最主要的条件是安全性和便捷性,但是目前的跨境支付方式面临着不少风险,比如由于现在的外汇管制制度,使人民币无法自主地兑换和在全球流动,使跨境出口的公司主要在境外采用第三方付款方式。这样,就可能会面临着帐号被盗、资金冻结乃至洗钱和套现的经营风险,不仅对消费者的资金安全构成了威胁,也给跨境支付安全带来了挑战。最后,缺乏数字思维。在实际运行中,跨境电子商务企业的组织结构和管理模式通常较为简单,其管理主要集中在库存和供应链管理等方面。使库存的预测与实际销售产生一定的差异,因此库存成本控制不科学。跨境电子商务企业的发展是基于信息技术,而缺乏数字管理思想导致的静态库存管理和落后供应链管理能力问题,使其发展无法赶上数字经济发展速度。
2.5跨境电商生态系统不平衡
数字经济的迅速发展,带动着我国跨境电子商务企业的快速发展,从而参与到全球数字商务中来。由于跨国电子商务公司的初始数字化管理水平相对较低,没有数字化人才和数字化管理理念,其数字化发展水平也和公司增长速度不相适应,从而造成了其抗经营风险能力相对薄弱,无法对抗因国际数字商业而产生的各类经营风险。跨国电子商务公司通过积极参与国际交易,能够更好地实现全球贸易,但是经营风险也会增加,比如中美贸易摩擦、数字贸易壁垒等。跨境电商企业数字化水平落后,缺乏竞争优势,无法应对各种风险。数字经营中的跨国运营,对数字水平提出了更高的需求。同时跨国电子商务企业也必须向数字化经营转变,才能更好地处理各种风险。
3数字经济下跨境电商生态系统的发展策略
3.1专注于平台服务
跨境电商平台是跨境电商生态系统的核心,应加强对跨境电商综合服务平台的建设,特别是适合本土企业需求的综合服务平台的建设。政府部门应加强与企业的合作,积极推动贸易便利化;大力支持本土跨境电商平台的发展,推动具有国际影响力的跨境电商平台建设;在发达国家和重要节点国家适时布局,沿着“一带一路”路径,加快跨境电商平台全球化覆盖的进程;通过完善基础设施网络,促进综合服务平台、公共服务平台、通关服务平台的融合发展,提升各平台的协调服务能力,从而加快信息、资金、货物自由流通。同时跨境电商企业应通过国际合作或并购等方式扩大销售网络、物流网络和支付网络,并通过本地化经营提高对海外市场的认识和服务能力。
3.2完善物流体系
跨境电商应逐步按照核心和的方式适应数字经济环境。除了打造更完善的跨境电商平台外,也要重视跨境物流体系的完善。随着数字经济的快速发展,互联网技术已经进入每个家庭,这种信息和网络环境被应用到各个领域,这就为跨境物流运输业务流程的改进提供了保障。跨境电商存在着许多不可预测的因素,如对消费者市场的认识不准确、消费者心理不一致等,提升了供应链管理的难度和退换货的风险。要解决这些问题,就需要更为完善,更加灵活的物流体系的支撑。外贸企业可以比较国内港口到世界各地的运价,降低物流成本,实现利润,帮助客户获得最高的性价比。“海外直销、本地配送”的新模式和仓储物流的进一步转型升级,为跨境电商卖家提供了新的机遇,通过投入资金和资源,创造更高效的国际贸易市场,建立更为高效的物流体系势在必行。商流与物流深度融合,并协调发展,共同促进跨境电子商务的发展。
3.3完善海关作业设备和流程
为了支持跨境电商业务的发展,海关监管部门和相关业务流程部门应共同完善通关流程,解决如海关监管严格、流程复杂、等待时间长、用户需求大等问题。因此,海关监管部门应在不降低监管效果的前提下,充分利用电子技术和设备,在推进电子口岸建设的前提下,提高工作效率。对于不同信用的跨境电商企业,海关监管部门应采取不同的监管政策。例如,对跨境电商进行分类监管,将不同诚信、信誉等级的跨境电商企业进行分类监管。同时,还需要对海关管理系统方案进行修改设计,完善部门的业务操作流程。要明确职责,减少空白处和监管重叠,各部门要在监管管理范围内恪尽职守,做好本职工作,使通关手续更加灵活,海关审批手续更加便利。此外,要加强各业务监管部门的监管合作,提高进出口货物的质量,共同建立一个严格维护、协调、高效的通关环境。
3.4采用先进的经营理念
在发展过程中,跨境电商企业必须注意对数字技术的投资,确保数字技术发展有稳定的资金来源。跨境电子商务公司要从模块经营转变为数字化管理,并高度重视经营中的数字化发展,把数字化发展融入到公司发展的整体规划中,如编制相关的数字化发展计划,制定相关预算,并设立年度技术研发专项资金等。在数字技术的开发过程中,公司应重视科技研究成果的转化,对取得的研究成果加以检测与评价,使得新的数字科技可以促进跨国电子商务公司的数字化发展。对跨国物流来说,打通环节不仅是宏观政策层面的,也是技术层面的。新一代信息系统的引入,显著提高了跨境电子商务的产业竞争力、服务效率和服务质量。其中,区块链技术手段大大改善了传统底层的支付技术,显著提升了支付效率。另外,由于大数据分析、新一代人工智能、云计算等现代信息系统的运用,使以往许多非标准化问题转变为标准化问题,大大促进了企业管理过程规范化的进展。虚拟现实技术和增强现实产品与服务,极大地提升了使用体验。因此必须大力支持和引导创新,运用区块链技术手段,强化企业合作关系,保障跨境支付的安全性。要更加重视企业内外部数据建设,进一步丰富信息应用手段,建立和健全信息管理网络平台,增强供应链管理的有效性,运用信息推动跨国电子商务的蓬勃发展。
3.5优化生态环境
首先,从政治制度与社会文化环境的视角,加强信用风险管理工作,特别是政府监管。政府部门要抓好政策保障工作,形成跨境电子商务发展的总体布局,通过采取税费优惠政策或政府财政补贴等相关政策措施,促进国家生态战略的落实,以宏观策略的视角引导中小企业规范运营;同相关国家开展政治沟通和文化交流,积极降低贸易壁垒与摩擦;推动各级、各地方政府、各监管部门之间的有效沟通和协作;全面开通国际监管协作平台,建立全球信用风险监测系统。其次,从技术环境的视角,关注数字人才的培育,建立科学合理的人才培养体系。在中国数字经济蓬勃发展的大背景下,数字人才培养已成为从根本上促进中国数字经济发展的关键因素之一。因此跨境电子商务公司也应该更加重视对数字人才的培育。一方面,跨国电子商务公司应该主动吸纳优秀的数字人才,并利用校企合作与产教融合培养优秀的数字人才。此外,跨国电子商务企业还应该定期地对现有人才开展数字技术培训,并构建好数字人才发展评价系统,建立自己的数字人才团队。唯有如此,数字化管理思想才能代替传统的管理思想,而数字化人才的优势,也才能充分体现到中国跨境电子商务的经营管理工作中。
4总结
生态系统建设是跨境电商企业发展的重要支撑和路径,特别是在数字经济时代下,研究和发展跨境电商的生态系统建设就显得尤为重要。相关人员需要结合现有条件进行探索和实践,依靠数字化信息技术为跨境电商开发新的商业模式和物流模式,以改进和加强跨境电商的生态系统建设。本文通过研究,指出数字经济时代下,跨境电商的生态系统建设应明确遵循核心原则,构建适应数字经济时展的生态系统。同时,跨境电商应该以主营业务为方向,以相关产业为支柱,构建具有优势资源的核心业务生态集群。此外,跨境物流业务具有的独特复杂性和货物流通高风险的特点,决定了跨境物流是跨境电商快速发展的主要障碍。因此,跨境物流应通过优化物流业务流程,提高跨境物流与跨境电商的融合程度,这有助于跨境电商生态系统建设中物流资源的高效利用。数字经济时代下的跨境电商生态系统建设是一项综合性工程,通过对综合性人才的引进和管理,可以实现跨境电商生态系统的高质量建设。
参考文献
[1]戴永辉等.基于广义生态群落的跨境电商软性供应链仿真分析[J].上海大学学报(社会科学版),2020,(3).
[2]曲维玺,王惠敏.中国跨境电子商务发展态势及创新发展策略研究[J].国际贸易,2021,(3).
[3]肖亮,柯彤萍.跨境电商综合试验区演化动力与创新实现机制研究[J].商业经济与管理,2020,(2).
篇8
电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。
2.信息机密性
电子商务作为贸易的一种手段,其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。
3.信息完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各信息的差异。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
4.信息可靠性、不可抵赖性和可鉴别性
可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可抵赖性要求即是能建立有效的责任机制,防止实体否认其行为;可鉴别性要求即是能控制使用资源的人或实体的使用方式。
5.系统的可靠性
电子商务系统是计算机系统,其可靠性是防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失误或失效。
二、电子商务的信息安全技术
1.数据加密技术
加密技术用于网络安全通常有二种形式,即面向网络或面向应用服务。面向网络的加密技术通常工作在网络层或传输层,使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息,从而保证网络的连通性和可用性不受损害。面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法,这一类加密技术的优点在于实现相对较为简单,不需要对电子信息(数据包)所经过的网络的安全性能提出特殊要求,对电子邮件数据实现了端到端的安全保障。
1)电子商务领域常用的加密技术数字摘要(digitaldigest)
这一加密方法亦称安全Hash编码法,由RonRivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文,这一串密文亦称为数字指纹(FingerPrint),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这串摘要便可成为验证明文是否是“真身”的“指纹”了。
数字签名(digitalsignature)
数字签名将数字摘要、公用密钥算法两种加密方法结合起来使用。主要方式是报文的发送方从报文文本中生成一个128位的散列值(或报文摘要),用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密,如果两个散列值相同,那么接收方就能确认该数字签名是发送方的,通过数字签名能够实现对原始报文的鉴别。概括的说,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。
数字时间戳(digitaltime-stamp)交
易文件中,时间是十分重要的信息。在电子交易中,需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS)就能提供电子文件发表时间的安全保护。时间戳(time-stamp)是一个经加密后形成的凭证文档,它包括三个部分:需加时间戳的文件的摘要(digest);DTS收到文件的日期和时间;DTS的数字签名。
数字证书(digitalcertificate,digitalID)数字证书又称为数字凭证,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。目前,最有效的认证方式是由权威的认证机构为参与电子商务的各方发放证书,证书作为网上交易参与各方的身份识别,就好象每个公民都用身份证来证明身份一样。认证中心作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任,是一个负责发放和管理数定证书的权威机构。因而网络中所有用户可以将自己的公钥交给这个中心,并提供自己的身份证明信息,证明自己是相应公钥的拥有者,认证中心审查用户提供的信息后,如果确认用户是合法的,就给用户一个数字证书。这样,每个成员只需和认证中心打交道,就可以查到其他成员的公钥信息了。对于在网上进行交易的双方来说,数字证书对他们之间建立信任是至关重要的。数字凭证有三种类型:个人凭证、企业(服务器)凭证、软件(开发者)凭证;大部分认证中心提供前两类凭证。
2.身份认证技术
为解决Internet的安全问题,初步形成了一套完整的Internet安全解决方案,即被广泛采用的公钥基础设施(PKI)体系结构。PKI体系结构采用证书管理公钥,通过第三方的可信机构CA,把用户的公钥和用户的其他标识信息(如名称、e-mail、身份证号等)捆绑在一起,在Internet网上验证用户的身份,PKI体系结构把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的机密性、完整性。
1)认证系统的基本原理
利用RSA公开密钥算法在密钥自动管理、数字签名、身份识别等方面的特性,可建立一个为用户的公开密钥提供担保的可信的第三方认证系统。这个可信的第三方认证系统也称为CA,CA为用户发放电子证书,用户之间利用证书来保证信息安全性和双方身份的合法性。
2)认证系统结构
整个系统是一个大的网络环境,系统从功能上基本可以划分为CA、RA和WebPublisher。
核心系统跟CA放在一个单独的封闭空间中,为了保证运行的绝对安全,其人员及制度都有严格的规定,并且系统设计为一离线网络。CA的功能是在收到来自RA的证书请求时,颁发证书。
证书的登记机构RegisterAuthority,简称RA,分散在各个网上银行的地区中心。RA与网银中心有机结合,接受客户申请,并审批申请,把证书正式请求通过建设银行企业内部网发送给CA中心。
证书的公布系统WebPublisher,简称WP,置于Internet网上,是普通用户和CA直接交流的界面。对用户来讲它相当于一个在线的证书数据库。用户的证书由CA颁发之后,CA用E-mail通知用户,然后用户须用浏览器从这里下载证书。
3.网上支付平台及支付网关
网上支付平台分为CTEC支付体系(基于CTCA/GDCS)和SET支付体系(基于CTCA/SET)。网上支付平台支付型电子商务业务提供各种支付手段,包括基于SET标准的信用卡支付方式、以及符合CTEC标准的各种支付手段。
支付网关位于公网和传统的银行网络之间,其主要功能为:将公网传来的数据包解密,并按照银行系统内部的通信协议将数据重新打包;接收银行系统内部的传回来的响应消息,将数据转换为公网传送的数据格式,并对其进行加密。此外,支付网关还具有密钥保护和证书管理等其它功能。
三、电子商务信息安全中的其它问题
1.内部安全
最近的调查表明,至少有75%的信息安全问题来自内部,在信用卡和商业诈骗中,内部人员所占的比例最大;
2.恶意代码
它们将继续对所有的网络系统构成威胁,并且,其数量将随着Internet的发展和编程环境的丰富而增多,扩散起来也更加便利,因此,造成的破坏也就越大;
3.可靠性差
目前,Internet主干网和DNS服务器的可靠性还远远不能满足人们的要求,而绝大
部分拨号PPP连接质量并不可靠,且速度很慢;
4.技术人才短缺
由于Internet和网络购物都是在近几年得到了迅猛的发展,因而,许多地方都缺乏足够的技术人才来处理其中遇到的各种问题,尤其是网络购物具有24x7(每天24小时,每周7天都能工作)的要求,因而迫切需要有一大批专业技术人员对其进行管理。如果说加密技术是电子交易安全的“硬件”,那么人才问题则可以说是“软件”。从某种意义上讲,软件的问题解决起来可能更不容易,因此,技术人才的短缺可能成为阻碍网络购物发展的一个重要因素。
5.Web服务器的保护意识差
在交易过程中对数据进行保护只是保证交易安全的一个方面。由于交易的信息均存储在服务器上,因此,即使保密信息被客户端接收之后,也必须对存储在服务器中的数据进行保护。目前,Web服务器是黑客们最喜欢攻击的目标。因此,建议尽量不要将Web服务和连接到任何内部网络,而且要定期对数据进行备份,以便于服务器被攻击之后对数据进行恢复。当然,这毕竟有些不太现实,现在许多流行的Web应用都需要Web服务器与公司的数据库进行交互式操作,这就要求服务器必须与公司内部网络相连,而这个连接也就成为黑客们从Web站点侵入企业内部网络的一条通路。虽然防火墙技术有助于对web站点进行保护,但商家却很少安装防火墙或对其缺乏有效的维护,因而没有对Web服务器进行很好的保护,这是商家的Web站点尤其要引起注意的地方。
四、与电子商务安全有关的协议技术讨论
1.SSL协议(SecureSocketsLayer)安全套接层协议———面向连接的协议。
SSL协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用WebServer方式。但它是一个面向连接的协议,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成,SSL协议并不能协调各方间的安全传输和信任关系。
2.SET协议(SecureElectronicTransaction)安全电子交易———专门为电子商务而设计的协议。由于SET提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。虽然它在很多方面优于SSL协议,但仍然不能解决电子商务所遇到的全部问题。
结束语
本文分析了目前电子商务的安全需求,使用的安全技术及仍存在的问题,并指出了与电子商务安全有关的协议技术使用范围及其优缺点,但必须强调说明的是,电子商务的安全运行,仅从技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。
[摘要]电子商务对人类社会经济产生了重大影响,在创造巨大经济效益的同时,也从根本上改变了整个社会商务活动发展进程。我国电子商务在曲折进程中,已有很大程度的发展,同时也存在诸多问题。本文客观地分析了电子商务的安全需求、安全技术发展现状及存在的问题,对加快电子商务的发展步伐提出了一些重要思考。
[关键词]电子商务;安全需求;安全技术;
[参考文献]
①姚立新,新世纪商务:电子商务的知识发展与运作,中国发展出版社,1999年。
②《中国电子商务年鉴》2003卷。
篇9
1 引言
电子商务是通过电子方式处理和传递数据,它涉及许多方面的活动,包括货物电子贸易和服务、在线数据传递、电子资金划拔、电子证券交易、商业拍卖、合作设计和工程、在线资料、公共产品获得等内容。电子商务的发展势头非常惊人,但它的产值在全球生产总值中却只占极小的份额,其原因就在于电子商务的安全问题,根据美国一个调查机构对近30000名因特网用户的调查显示,由于担心电子商务的安全性问题,超过60%的网民不愿意进行网上交易, 因此,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为影响到电子商务健康发展的关键性课题。
2 电子商务对安全的要求
对电子商务活动安全性的需求以及可使用的网络安全措施,主要包含如下几方面。
(1)如何确定通信中的贸易伙伴的真实性?常用的处理技术是身份认证,依赖某个可信赖的机构发放证书,双方交换信息之前通过CA获取对方的证书,并以此识别对方。
(2)如何保证电子单证的秘密性,防范电子单证的内容被第三方读取?常用的处理技术是数据加密和解密。
(3)如何保证被传输的业务单证不会丢失,或者发送方可以察觉所发单证的丢失?对于固定且具有频繁贸易往来的伙伴,可以采用单证传输的序列性检验;也可采用双方约定的方法(即在规定的时间内,通过某种方式进行确认)。
(4)如何确定电子单证的内容未被篡改;单证传输完整性主要采用散列技术来防止非法用户对单证的篡改,通过散列算法对被传输的单证进行处理,产生一个依赖于该单证的短小的散列值,并将该散列值附接在单证之后传输给接收方。以便接收方采用相同的散列算法对接收的单证进行检验。
(5)如何确定电子单证的真实性?鉴别单证真实性的主要手段是数字签名技术,其基础是数据加密中的公开密钥加密技术,实用中常结合单证完整性一起考虑,利用发送方的密钥对散列值进行加密。
(6)如何解决或者仲裁收发双方对交换的单证所产生的争议,包括发方或收方可能的否认或抵赖?通常要求引入认证中心进行管理,由CA发放密钥,传输的单证及其签名的备份发至CA保存,作为可能争议的仲裁依据。
(7)如何保证存储信息的安全性?如何规范内部管理?如何使用访问控制权限和日志以及敏感信息加密存储?当使用WWW服务器支持电子商务活动时,应注意数据的备份和恢复,并采用防火墙技术来保护内部网络的安全性。
3 电子商务采用的主要安全技术
为了确保电子商务在交易过程中信息有效、真实、可靠且保密,目前主要采用的安全技术有加密技术、身份认证技术和交易的安全认证协议。安全认证协议用来保证电子商务中交易的安全性,如set、ssl、s/mime、s-http等。下面我们主要来介绍这些技术。
3.1 加密技术
加密技术是电子商务系统所采取的最基本的安全措施,加密的主要目的是防止信息的非授权泄漏。密码算法是一些数学公式、法则或程序,算法中的可变参数是密钥。根据密码算法所使用的加密密钥和解密密钥是否相同,能否由加密密钥推导出解密密钥,可以将密码算法分为对称密码算法和非对称密码算法。一般来说,在一个加密系统中,信息使用加密密钥加密后,接收方使用解密密钥对密文解密得到原文。
3.1.1 对称加密/对称密钥加密
在对称加密方法中,对信息的加密和解密都使用相同的密钥,即一把钥匙开一把锁。这样可以简化加密的处理,每个交易方都不必彼此研究和交换专用的加密算法。如果进行通信的交易各方能够确保在密钥交换阶段未曾发生私有密钥泄漏,那么机密性和报文完整性就可以得以保证。这样密钥安全交换是关系到对称加密有效的核心环节。而对称加密技术存在着在通信的交易各方之间确保密钥安全交换的问题。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享同一把专用密钥,贸易双方的任何信息都是通过这把密钥加密后传送给对方的。目前常用的对称加密算法有DES、PCR、IDEA等。其中DES使用最普遍,被采用为数据加密的标准。
3.1.2 非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即一把公开密钥或加密密钥和一把私有密钥或解密密钥)。密钥对生成后,公开密钥以非保密方式对外公开,只对应于生成该密钥的者;私有密钥则保存在密钥方手中。任何得到公开密钥的用户都可使用该密钥加密信息发送给该公开密钥的者,而者得到加密信息后,使用与公开密钥相应对的私有密钥进行解密。由此可知,公开密钥用于对机密性的加密,私有密钥则用于对加密信息的解密。目前常用的非对称加密算法是RSA算法。它是非对称加密领域内最为著名的算法,但是它存在的主要问题是算法的运算速度较慢,并且也难以做到一次一密。因此,在实际的应用中通常不采用这一算法对信息量大的信息进行加密。对于加密量大的应用,公开密钥加密算法通常用于对称加密方法密钥的加密。
3.2 身份认证技术
身份认证技术保证电子商务安全不可缺少的又一重要技术手段。常见的安全认证技术有数字摘要、数字信封、数字签名、数字时间戳、数字证书等技术。
3.2.1 数字摘要
数字摘要是一种防止数据被改动的方法,它采用单向HASH函数将需要加密的文件中若干重要元素进行某种变换运算得到固定长度的摘要码,并在传输信息时将之加入文件一同送给接收方,接收方收到文件后,用相同的方法进行变换运算,若得到的结果与发送来的摘要码相同,则可断定文件未被篡改,反之亦然。在数字摘要中HASH函数的输入可以是任意大小的文件消息,而输出是一个固定长度的摘要。且摘要有这样一个性质,如果改变了输入消息中的任何东西,甚至只有一位,输出的摘要将会发生不可预测的改变,故而常用数字摘要来判定信息是否被篡改的一项重要技术。
3.2.2 数字信封
在大批数据加密中所使用的对称密码是随机产生的,而接收方也需要此密码才能对消息进行正确的解密。对称密钥的传递需要加密进行,即发送方用接收方的公钥加密此对称密钥。这样只有接收方用自己的私钥才能正确地解密此对称密钥,从而正确地解密消息。这种加密传送密钥的方法称为数字信封。数字信封技术可以保证接收方的唯一性。即使信息在传送途中被监听或截获,由干第三方并没有接收方的密钥,也不能对信息进行正确的解密。
3.2.3 数字签名
数字签名能够实现对原始报文的鉴别与验证,保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。在实际生活中,签名通常采用书面形式,由甲乙双方完成,在网络环境下,可以用电子签名作为模拟。
数字签名是将数字摘要和公钥算法两种加密方法结合起来使用,其可以在提供数据完整性的同时保证数据的真实性。完整性保证传输的数据未被篡改,真属性则保证传输过来的数据是由合法者产生的,而不是由其他人假冒。如假设用户A要寄信给用户B,他们互相知道对方的公钥,A用自己的私钥将签名内容加密,附加在邮件中,再用B的公钥将整个邮件加密(注意这里的次序,如果先加密再签名的话,别人可以将签名去掉后签上自己的签名,从而篡改了签名)。这样这份密文被B收到后,B用自己的私钥将邮件解密,得到A的原文和数字签名,然后用A的公钥解密签名,这样一来就保两方面的安全了。
3.2.4 数字时间戳
在电子商务的交易文件中,时间是一条重要的信息,文件的签署日期和签名一样均是防止文件被伪造和篡改的关键性内容。为了防止在电子交易中,文件签署的时间信息被修改,数字时间戳提供了相应的安全保护。数字时间戳服务(DTS)是由专门的机构提供的。数字时间戳是一个经加密处理后形成的凭证文档,它包括三个部分:需加时间戳的文件摘要;DTS机构收到文件的日期和时间;DTS机构的数字签名。
3.2.5 数字证书
数字证书是由证书授权中心CA管理和发放的。CA是数字证书的最高管理机构,是安全电子交易的核心环节。它作为电子商务交易中中立的、受信任的、可仲裁的第三方,也是为了解决电子商务中,交易双方的信息和身份验证问题,从根本上保障电子商务交易活动顺利进行而设立的。在交易支付的过程中,参与各方为了证实自己的身份,需到第三方即认证中心(CA)去认证。数字证书就是认证中心为交易各方颁发的身份凭证。它是一个经CA数字签名的、包含证书申请者(公开密钥拥有者)个人信息及其公开密钥的文件。任何交易双方只有申请到相应的数字证书,才能参加安全电子商务的网上交易。
3.3 安全认证协议
目前电子商务中有两种安全认证协议被广泛使用,即安全套接层SSL协议和安全电子交易SET协议。
3.3.1 SSL协议
SSL安全协议的中文全称是“加密套接字协议层”,最初由Netscape公司推出的一种基于RSA和保密密钥的安全通信协议,是目前使用最广泛的电子商务协议。该协议位于HTTP协议层和TCP协议层之间,向基于TCP/IP的客户/服务器应用程序,提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议在应用程序进行数据交换前,通过交换SSL初始握手信息来实现有关安全特性的审查。SSL协议可内置于用户浏览器和商家的服务器中,能方便而低开销地进行信息加密,多用于WEB信用卡的传送。这样利用它能够对信用卡和个人信息提供较强的保护。
SSL协议运行的基点是商家对客户信息保密的承诺。客户的信息往往首先传到商家,商家阅读后再传到银行;这样,客户资料的安全性便受到威胁。另外,整个过程只有商家对客户的认证,缺少客户对商家的认证,不能防止商家利用获取的信用卡号进行欺诈。随着电子商务与厂商的迅速增加,对厂商的认证问题越来越突出,SSL协议的缺点则越加明显。SSL协议逐渐被新的SET协议所取代。
3.3.2 SET 协议
SET协议的中文全称“安全电子交易协议”,它向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Vsia国际组织 和Mastercard组织联合国际上多家科技机构,共同制定的应用于INTERNET上的以银行卡为基础进行在线交易的安全技术标准。它采用公钥密码体制和X.509数字证书标准,主要应用于保障网上购物信息的安全性。SET主要由3个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET协议在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。它可以对交易各方进行认证,可防止商家身份的欺诈。为了进一步加强安全性,使用两组密钥对分别用于加密和签名,通过双签名机制将订购信息同账户信息链在一起签名。由于设计较为合理,得到了诸如微软公司、IBM公司、Netscape公司等大公司的支持,已成为实际上工业技术标准。
SET协议的不足之处在于协议复杂,且只适用于用户安装了“电子钱包”的场合。根据统计,在一个典型的SET交易过程中,需验证数字证书9次,验证数字签名6次;需传送证书7次,进行5次签名、4次对称加密和4次非对称加密;整个交易过程可能会花费1.5~2分钟。
4 电子商务安全需要进一步完善的配套措施
电子商务要真正成为一种主导的商务模式,尤其对发展中的中国来说,发展电子商务,就必须从以下几个方面来完善配套措施:
(1)突破关键技术受制于人的瓶颈。当前不仅国内几乎所有的主机、交换机、路由器、网络操作系统都来自国外,而且美国对出口别国的产品实行密钥信前控制和长密钥限制,因此我们必须依靠自身的力量研制自己的加密算法,以保证中国电子商务的正常发展。
(2)我国应尽快对电子商务的有关细则进行立法。当前大多数人信息安全意识淡薄,以银行和金融界来看,大家对安全方面的重视还不够,由于有关电子商务的立法和管理刚刚开始,有人开玩笑说“电子商务目前是个‘三无’行业:无法可依、无安全可言、无规可循”,当然这种说法欠妥,但目前我国关于网络安全的法律的确还有待完善。
(3)大力开发大型商务网站、发展与之相配套的物流公司。目前我国的电子商务没有真正深入商务领域而仅仅局限于信息领域,这必将影响我国电子商务进一步的发展。
参考文献
[1]周明,黄元江,李建设.株洲工学院学报[J].电子商务中的安全技术研究,2005.1.
[2]张娟.甘肃科技纵横[M].电子商务网络安全技术探究,2005.4.
篇10
随着科学化、信息化、数字化时代的到来,衡器作为商贸领域中重要的计量器具,涉及到商贸交易的便捷性以及贸易结算的公平性,因此加强衡器的计量检定显得尤为重要。虽然主管部门专门印发了JJG17-2002《杆秤检定规程》、JJG539-1997《数字指法示秤检定规程》、JJG13-1997《模拟指示秤检定规程》、JJG14-1997《非自行指示秤检定规程》,但在实际计量检定过程中仍存在一些问题和误区。本文主要对目前衡器检定中存在的若干问题进行了探讨,并提出相应的完善措施。
1、衡器强制检定的范围界定问题及完善措施
衡器检定的对象是各种秤,但不是每一种秤都必须执行强制检定。只有用于贸易结算、安全防护、医疗卫生、环境监测这四个方面的列入《强制检定目录》的秤才进行强制检定。在检定工作中,我们有时很难界定强制检定与非强制检定。例如有的产品需用多种配料按配方比重合成,此时用来称量配料的秤则属于强制检定的范围。但如果厂家将用于称量产品配方的同一杆秤转用于仓储计量,这时的秤就不属于强制检定范围。简而言之,使用环境发生变化,强制检定的秤可能变成非强制检定,非强制检定的秤也可能变成强制检定。
完善措施:为了解决上述问题,检定人员一定要加强自身学习和业务素质,对强制检定和非强制检定的范围要熟练掌握;同时,检定人员在检定前首先要核实秤的使用情况和环境,再行确定是否需要强制检定。
2、衡器使用单位的检定观念问题
由于衡器强制检定需要收取“检定费用”,极少个别衡器使用单位躲检、藏检、拒检的现象时有发生。部分属于强制检定范围的衡器因使用单位的错误观念,未能按要求及时进行检定。
完善措施:为了扭转部分衡器使用单位不正确的检定观念,我们在加大执法力度的同时,还应充分利用舆论和媒体广泛宣传计量法律法规、调动群众积极性参与进行监督,确保属于强制检定范围的都按规程要求其进行检定,进而保证贸易结算的公平性。
3、衡器检定单位的问题
衡器检定一般由计量检定部门所属的检测所或委托的相关机构负责,这些检定机构存在一下几方面问题:1)部分检定人员不熟悉业务,检定过程不规范;2)部分检定机构的设施和环境不完善;3)在检定过程计量标准器具配备不齐全(如砝码数量不足、砝码的种类不全、检定中标准器携带不足等);4)计量检定证书发放不规范等。
完善措施:针对上述情况,我们应当加强对检定机构的监督和管理,定期组织检定人员进行业务培训并相应进行考核,提高检定人员的个人业务素质,规范检定机构的业务行为。同时,还应加强对计量检定证书的发放管理。计量检定证书是计量器具经过检定后,由检定机构出具的对计量器具的性能的一种证明标志。计量检定证主要包括检定结果通知书、检定合格证以及检定证书三种。在对衡器计量检定后,还应建立严格的计量检定证书发放、使用制度,防止计量检定证书发放数量与检定计量器具台件数不符。这样既可避免因证书发放不足造成计量器具漏检,同时也可以避免因证书发放过多造成浪费。
4、衡器检定过程中存在的问题
在衡器检定过程中存在的主要问题包括:在进行秤的推移检查、平衡检查时,空秤变动性检定等项目往往被一些检定人员忽略;在检定承重点准确度时,只检定承重点的中心位置,却忽略了四角准确度的检定;在检定秤量准确度和最大秤量灵敏度时,不按规程规定的秤量段执行检定,检定的秤量达不到用户实际使用的秤量。总而言之,就是没有按照计量检定规程进行检定。
完善措施:一方面检定人员要加强自身学习和业务素质。同时检定机构和主管部门要定期组织相关业务培训并进行考核,确保检定人员都能够熟悉掌握和运用相关检定规程。另一方面,可以要求检定机构在现场留下相关检定过程的影像资料,以便于主管部门及有关单位进行事后检查和监督,确保检定过程科学合理。符合检定规程。
5、衡器检定中检定记录的问题
检定记录是记录衡器检定过程的原始凭证,是做出检定结论、出具检定证书的依据,也是衡器管理中计算周期受检率、周期合格率,以及调整和确定衡器检定周期的科学依据。由于目前尚无统一的衡器检定记录格式,再加之部分检定机构对衡器检定记录不够重视,导致以下问题:1)检定记录项目不全,如记录中未填写衡器出厂编号和使用单位等。2)记录中无实测数据,如承重点准确度等项目未记录检定时的实测数据,只填写了“合格”。3)无检定合格证书编号,使检定合格证书无法与检定记录相对应。4)未现场填写记录表,出现补填记录的情况。5)检定记录归档管理不规范,部分检定机构未及时将检定记录归档,进而导致检定记录丢失和损坏。
完善措施:衡器检定记录的管理不仅是检定机构形象的直接表现,而且从检定记录中可以反应出检定机构的管理水平和综合素质。因此,检定机构应充分重视衡器检定记录的管理,并安排专职人员负责检定记录的管理,并对检定记录进行检查和审核,从而有效保证检定记录的准确性和有效性。同时,为了保证检定记录填写的规范性和及时性,应要求检定人员在检定完成后及时填写检定记录,并由被检定衡器使用单位代表在检定记录记录上签字认可。另外,在主管部门尚未制定检定记录统一表格的前提下,各地区应根据本地区实际情况,制定本地区统一表格,并强制在本地区执行。
综上所述,衡器作为商贸领域中重要的计量器具,涉及到商贸交易的便捷性以及贸易结算的公平性,加强对其进行检定的重要性不言而喻。质量技术监督管理部门应不断加强对衡器计量检定的管理,不断提高衡器计量检定工作的有效性、科学性,进而切实维护国家和消费者的合法权益。本文根据本人实际工作实践和经验总结,对目前衡器检定中存在的若干问题进行了探讨,并提出了相应的完善措施,供各位同行在衡器计量检定工作中参考,文中不妥之处还望多多指正。
参考文献
[1]JJG17-2002《杆秤检定规程》
[2]JJG539-1997《数字指法示秤检定规程》
[3]JJG13-1997《模拟指示秤检定规程》
篇11
一、引言
电子商务的发展前景十分诱人,而其安全问题也变得越来越突出,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。
二、电子商务存在的安全问题
1.计算机网络安全
(1)潜在的安全隐患。未进行操作系统相关安全配置。不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。
(2)未进行CGI程序代码审计。网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。
(3)安全产品使用不当。由于一些网络安全设备本身的问题或使用问题,这些产品并没有起到应有的作用。很多厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但系统改动,在改动相关安全产品的设置时,很容易产生许多安全问题。
(4)缺少严格的网络安全管理制度
网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。
2.商务交易安全
(1)窃取信息。由于未采用加密措施,信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
(2)篡改信息。当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。
(3)假冒。由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
(4)恶意破坏。由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
三、电子商务安全技术
1.加密技术
(1)对称加密/对称密钥加密/专用密钥加密
该方法对信息的加密和解密都使用相同的密钥。使用对称加密方法将简化加密的处理,每个贸易方都不必彼此研究和交换专用的加密算法而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。
(2)非对称加密/公开密钥加密
这种加密体系中,密钥被分解为一对。这对密钥中的任何一把都可作为公开密钥通过非保密方式向他人公开,而另一把则作为专用密钥加以保存。公开密钥用于对机密性的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛,但它只对应于生成该密钥的贸易方。(3)数字摘要
该方法亦称安全Hash编码法或MD5。采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文,即数字指纹,它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这摘要便可成为验证明文是否是“真身”的“指纹”了。
(4)数字签名
信息是由签名者发送的;信息在传输过程中未曾作过任何修改。这样数字签名就可用来防止电子信息因易被修改而有人作伪;或冒用别人名义发送信息;或发出(收到)信件后又加以否认等情况发生。
(5)数字时间戳
它是一个经加密后形成的凭证文档,包括三个部分:需加时间戳的文件的摘要;DTS收到文件的日期和时间;DTS的数字签名。
(6)数字凭证
数字凭证又称为数字证书,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。在网上的电子交易中,如双方出示了各自的数字凭证,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。它包含:凭证拥有者的姓名;凭证拥有者的公共密钥;公共密钥的有效期;颁发数字凭证的单位;数字凭证的序列号;颁发数字凭证单位的数字签名。
数字凭证有三种类型:个人凭证,企业(服务器)凭证,软件(开发者)凭证。
2.Internet电子邮件的安全协议
(1)PEM:是增强Internet电子邮件隐秘性的标准草案,它在Internet电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能,允许使用公开密钥和专用密钥的加密方式,并能够支持多种加密工具。对于每个电子邮件报文可以在报文头中规定特定的加密算法、数字鉴别算法、散列功能等安全措施。
(2)S/MIME:是在RFC1521所描述的多功能Internet电子邮件扩充报文基础上添加数字签名和加密技术的一种协议,目的是在MIME上定义安全服务措施的实施方式。
(3)PEM-MIME:是将PEM和MIME两者的特性进行了结合。
3.Internet主要的安全协议
(1)SSL:是向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性,并采用X.509的数字证书实现鉴别。
(2)S-HTTP:是对HTTP扩充安全特性、增加了报文的安全性,它是基于SSL技术的。该协议向WWW的应用提供完整性、鉴别、不可抵赖性及机密性等安全措施。
(3)STT:STT将认证和解密在浏览器中分离开,用以提高安全控制能力。
(4)SET:主要文件是SET业务描述、SET程序员指南和SET协议描述。SET1.0版己经公布并可应用于任何银行支付服务。它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等。
SET规范明确的主要目标是保障付款安全,确定应用之互通性,并使全球市场接受。4.UN/EDIFACT的安全
UN/EDIFACT报文是唯一的国际通用的EDI标准。利用Internet进行EDI己成为人们日益关注的领域,保证EDI的安全成为主要解决的问题。
5.虚拟专用网(VPN)
它可以在两个系统之间建立安全的信道(或隧道),用于电子数据交换。它与信用卡交易和客户发送订单交易不同,因为在VPN中,双方的数据通信量要大得多,而且通信的双方彼此都很熟悉。这意味着可以使用复杂的专用加密和认证技术,只要通信的双方默认即可,没有必要为所有的VPN进行统一的加密和认证。
6.数字认证
用电子方式证明信息发送者和接收者的身份、文件的完整性(如一张发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。目前,数字认证一般都通过单向Hash函数来实现,它可以验证交易双方数据的完整性,
7.认证中心(CA)
CA的基本功能是:
生成和保管符合安全认证协议要求的公共和私有密钥、数字证书及其数字签名。
对数字证书和数字签名进行验证。
对数字证书进行管理,重点是证书的撤消管理,同时追求实施自动管理。
建立应用接口,特别是支付接口。CA是否具有支付接口是能否支持电子商务的关键。
8.防火墙技术
防火墙具有以下五大基本功能:(1)过滤进、出网络的数据;(2)管理进、出网络的访问行为;(3)封堵某些禁止行为;(4)记录通过防火墙的信息内容和活动;(5)对网络攻击进行检测和告警。
目前的防火墙主要有两种类型。其一是包过滤型防火墙,其二是应用级防火墙。
9.入侵检测
入侵检测技术是防火墙技术的合理补充,其主要内容有:入侵手段与技术、分布式入侵检测技术、智能入侵检测技术以及集成安全防御方案等。
四、电子商务网站安全体系与安全措施
一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,极大地增加了恶意攻击的难度,并增加了审核信息的数量,利用这些审核信息可以跟踪入侵者。
1.采取特殊措施以保证电子商务之可靠性、可用性及安全性
使用容错计算机系统或创造高可用性的计算机环境,以确保信息系统保持可用及不间断动作。灾害复原计划提供一套程序与设备来重建被中断的计算与通信服务。当组织利用企业内部网或因特网时,防火墙和入侵侦测系统协助防卫专用网络避免未授权者的存取。加密是一种广泛使用的技术来确保因特网上传输的安全。数字证书可确认使用者的身份,提供了电子交易更进一步的保护。
2.实施网络安全防范措施
首先要加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞;
其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;利用RAID5等数据存储技术加强数据备份和恢复措施;对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行强度的数据加密;安装防病毒软件,加强内部网的整体防病毒措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
3.电子商务交易中的安全措施
篇12
二、电子商务在网络中存在的安全隐患
1.用户身份的常用认证问题。
1.1所携带内容必须完整包含帐号密码,或类似的完整安全信息。
1.2必须所有需要权限操作的页面都必须执行认证判断的操作。
2.大量数据查询导致拒绝服务。许多网站对用户输入内容的判断在前台,用JavaScript判断,如果用户绕过前台判断,就能对数据库进行全查询,如果数据库比较庞大,会耗费大量系统资源,如果同时进行大量的这种查询操作,就会有DenialofService(DoS拒绝服务)同样的效果。
3.假冒由于掌握了数据的格式。以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
4.客户端数据的完整性和有效性。
4.1MicrosoftASP脚本。普遍存在的问题是程序员在编写ASP脚本时,缺少或没有对客户端输入的数据/变量进行严格的合法性分析。无意或有意输入的特殊字符可能由于其特殊含义改变了脚本程序,从而使脚本运行出错或执行非法操作。因此,如果攻击者输入某些特定sql语句,可能造成数据库资料丢失/泄漏/甚至威胁整个站点的安全。比如攻击者可以任意创建或者删除表(如果可以猜测出已存在的表名),清除或者更改数据库数据。攻击者也可能通过执行一些储存过程函数,将sql语句的输出结果通过电子邮件发送给自己,或者执行系统命令。
4.2特殊字符的过滤。在许多编程语言、开发软件工具、数据库甚至操作系统中遗漏其中某些特殊字符的情况时常出现,从而导致出现带有普遍性的安全问题。由于攻击者可以接入网络.则可能对网络中的信息进行修改.掌握网上的机要信息.甚至可以潜入网络内部.其后果是非常严重的。
5.伪造电子邮件。虚开网上商店。给用户发电子邮件,伪造大量用户的电子邮件,穷尽商家资源,使合法用户不能访问网络。使有严格时间要求的服务不能及时得到响应。
6.截获传输信息。攻击者可能通过公共电话网、互联网或在电磁波辐射范围内安装接收装置等方式。截取机密信息;或通过对信息长度、流量、流向和通信频度等参数进行分析。获得如用户账号、密码等有用信息。
三、电子商务与网络安全技术
为了提高电子商务的安全性.可以采用多种网络安全技术和协议.这些技术和协议各自有一定的使用范围,可以给电子商务交易活动提供不同程度的安全保障。
1.数据加密技术。防火墙技术是一种被动的防卫技术.它难以对电子商务活动中不安全的因素进行有效的防卫。因此.要保障电子商务的交易安全.就应当用当代密码技术来助阵。加密技术是电子商务中采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。目前。加密技术分为两类,即对称加密/对称密钥加密/专用密钥加密和非对称加密/公开密钥加密。现在许多机构运用PKI的缩写,即公开密钥体系技术实施构建完整的加密/签名体系,更有效地解决上述难题,在充分利用互联网实现资源共享的前提下,从真正意义上确保了网上交易与信息传递的安全。
2.智能化防火墙技术。防火墙是目前主要的网络安全设备。防火墙通常使用的安全控制手段主要有包过滤、状态检测、服务由于它假设了网络的边界和服务,对内部的非法访问难以有效地控制。因此.最适合于相对独立的与外部网络互连途径有限、网络服务种类相对集中的单一网络(如常见的企业专用网)防火墙的隔离技术决定了它在电子商务安全交易中的重要作用。随着防火墙的升级换代市场上出现了智能型防火墙,智能防火墙从技术特征上是利用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目的。新的方法消除了匹配检查所需要的海置计算,高效发现网络行为的特征值,直接进行访问控制。新型智能防火墙自身的安全性较传统的防火墙有很大的提高。在特权最小化、系统最小化、内核安全、系统加固、系统优化和网络性能最大化方面,与传统防火墙相比较有质的飞跃。
