时间:2023-08-18 09:31:54
引言:寻求写作上的突破?我们特意为您精选了12篇电子商务安全管理策略范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
1.引言
随着信息技术和Internet的飞速发展,电子商务,特别是通过Internet进行的电子商务成了电子商务应用和发展的主要推动力。然而,由于Internet的高度开放性而随之带来的安全问题,严重影响了电子商务的广泛应用和发展。而目前的各种电子商务安全技术和安全协议的局限性,使得加强对基于Internet的电子商务安全管理策略的研究,有效地对各种电子商务安全技术和安全协议进行有效协调和应用,对于抵挡各种电子商务安全问题的冲击,无疑为人们在电子商务安全技术研究领域之外,提供了一个新的途径和方法。
2.电子商务安全管理策略的制定
2.1制定电子商务安全管理策略的目的
制定电子商务安全管理策略的目的是为了能够有效地保障电子商务系统安全、完整、正常地运行而不受破坏和于扰;能够有序地、客观地鉴别和测试电子商务系统的安全状态;能够对可能存在的风险有一个基本的评估;而当电子商务系统遭受破坏后能够采取及时有效的恢复措施和手段,并且对其所需代价有一定的估计。
对基于Internet的电子商务活动来说,构建一个安全的电子商务网络系统应首先确定其安全管理策略。解决电子商务安全问题,制定电子商务安全管理策略应从物理安全、网络安全、信息安全访问授权、病毒防范、灾难恢复等多角度、多方面考虑。
2.2电子商务安全管理策略制定原则
电子商务安全管理策略的制定就是针对电子商务系统中所要保护信息的、被攻击的可能性、投入的资金状况等,在电子商务系统管理的整个过程中,根据实际情况具体地对各种电子商务安全措施进行选择。有效的电子商务管理策略可以说是在一定条件下的成本和效率的平衡。虽然电子商务的具体应用环境不同,但我们在制定电子商务安全管理策略时一般都应遵守下面一些原则。
(1)综合性、系统性原则
该原则要求用系统的观点和方法来分析整个电子商务系统的安全问题,要求在综合各方面情况后制定相应的具体可行的安全措施。
(2)平衡分析原则
由于目前技术条件的限制,绝对安全的电子商务系统是做不到的。因此,要在对电子商务系统面临的威胁和可能承担的风险进行充分研究后,再结合目前的技术和资金条件制定相应的安全措旆以达到安全与价值的平衡。
(3)易操作性原则
再好的安全措施,都要由人来完成.因此,如果措施过于复杂,不便操作,那么电子商务系统的安全性也就无从谈起。
(4)适应性和灵活性原则
安全防范措施必须要能够随着电子商务系统性能、技术环境以及安全需求的变化而作出相应的调整以适应安全要求。
(5)多级保护原则
受目前技术条件限制,任何安全措施都有可能被攻破。因此,建立一个多级保护的系统,当其中某一层被破坏时,另外的层次也能起到防护作用。
2.3电子商务安全管理策略制定步骤
制定电子商务安全管理策略通常都包括以下几个步骤:
(1)确定目标
安全管理策略目标包括电子商务系统中被保护的对象,实现的方法和途径。
(2)明确范围
确定电子商务安全管理策略所要保护的资源范围以及相关保护环境的界定。
(3)争取来自高层管理的支持
来自电子商务系统所属单位的高层支持,对于保障电子商务安全管理措施的顺利运行,以及技术资金上的保证,都有重要的意义。
(4)评估危险
尽可能地对影响电子商务安全的各方面因素考虑周全,对可能存在的危险作出较为准确的评估,以便为制定安全管理策略提供依据。
(5)制定策略
完成前面几个步骤后,接着就根据经济和技术实力确定一个相对满意的安全策略。
(6)策略评估调整
在策略制定后,应评估其是否达到目标,以及当安全需求变化时作出适时的调整。
3.电子商务安全管理策略的基本内容
基于Internet的电子商务安全管理策略涵盖范围很广,一个完整的电子商务安全管理策略一般都可以分为物理安全策略、网络安全策略以及灾难恢复策略等。
3.1物理安全策略
物理安全策略是整个电子商务安全管理策略的不可忽视的重要基础。在基于Internet的电子商务整个交易过程中,对电子商务系统包含的相关物理设备有相当高的安全要求。影响电子商务系统安全的物理安全风险主要有自然灾害风险、人为风险和硬件防护风险。相应的物理安全策略也围绕上述三个物理安全风险展开。
(1)自然灾害安全防范策略
主要包括防火、防水和防雷措施。设备所在场所应避免火灾、水灾的发生并采取相应的隔离措施以保证在意外火灾、水灾下的设备防护。另外,电子商务系统的设备主要由电路组成,因此制定全方位、安全灵活的防雷措6S显得非常有必要。
(2)人为风险防范策略
人为风险包括人为的操作错误引起的安全问题、设备防盗以及计算机犯罪问题等。
人为操作方面引起的风险可以通过建立和健全安全制度来加以防止,同时加强和培育安全意识。对于设备防盗问题,如果资金允许,可以建立较为完善的防盗系统,如果资金不足,可以通过加强内部管理的方法加以解决。对于内外部人员的计算机犯罪问题,一是通过法律途径解决;二是加强自身安全防范。
(3)硬件防护策略
硬件防护包括电磁防护和硬件设备维护。
硬件维护包括服务器及其他相关设备的电源保护、有效的防静电措施以及要抑制和防范电磁泄露与电磁干扰。关于硬件设备维护,如果条件允许,可以增加设备信息保护装置。另外除了日常维护以外,还需要定期对设备进行检修。
3.2网络安全策略
网络安全是电子商务系统安全的核心,需要从技术和管理两方面入手,因此,网络安全策略分为技术策略和管理策略。
(1)技术策略
安装使用网络安全检测设备和相关软件
借助一些专用的网络安全监控设备和软件,加强对各种不法行为的监控和防范。
加强网络访问控制
访问控制是网络安全防范和保护的主要策略。它包括入网访问控制、网络权限控制、网络监测和锁定控制等。
采用防火墙技术
防火墙用来检查通过内部网和外部网间的信息往来,它可以鉴别网络服务请求是否合法,以便采取响应或拒绝的措施。
数据加密
数据加密是采用一定的加密技术,以防在传输过程中数据一旦被截获不致造成信息的泄露,其核心是加密的方式以及密钥的分配和管理。
引入鉴别机制
鉴别是查明另外一个实体身份和特权的过程,以确定其合法性,并作出响应。
(2)管理策略
加强电子商务网络系统的日常管理和维护
建立严格的保密制度
加强对管理人员监督和培训,落实工作责任制
建立跟踪、审计和稽核制度
完善病毒防范制度
建立健全相关法律法规制度
3.3灾难恢复策略
对于电子商务系统来说,灾难主要指意外的自然灾害以及黑客攻击等原因造成数据库受到的破坏。灾难恢复策略是为了在数据资源遭受破坏后迅速恢复系统功能,最大程度地保持数据资源的完整性,将损失降至最低。因此,灾难恢复主要包括备份和恢复两个环节。
(1)灾难备份
确定备份方案
建立数据恢复中心
建立完善的备份制度
(2)数据恢复
评估数据损失情况
确定数据恢复方案
恢复数据
4.结论
对基于Internet的电子商务系统来说,一个完善的安全管理策略,能够保障系统的正常运行;能够有序地、经常地测试安全状态;能够对可能的安全风险有一个基本的评估;能够在系统遭破坏后及时采取补救措施。
基于Internet的电子商务安全所面临的威胁是多种多样的,各种问题还会不断出现,同样,电子商务安全技术和安全协议也是不断发展的,因此,电子商务安全管理策略需要电子商务理论界和实业界进一步研究和完善。
主要参考文献
[1]甘早斌.电子商务概论(第二版)[M].华中科技大学出版社,2003.
[2]钟诚.电子商务安全[M].重庆;重庆大学出版社,2004.6.
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的历史演进与现阶段的特点
信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(Is Audit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法依赖外部的信息安全管理行业
在发达国家,信息系统审计(Is Audit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
国内外调查显示…,52.26%的用户最关心的是网上交易的安全可靠性,超过6O%的人由于担心电子商务的安全问题而不愿进行网上购物。加强电子商务实施过程中的安全管理已经成为促进电子商务高速发展的重要因素。
电子商务的安全,可分为技术安全和管理安全两种类型。所谓技术安全,是指通过各种黑客手段窃取企业的用户lD、密码以及相关的机密文件,甚至网络银行帐号、密码等,给企业造成经济损失。而管理安全则是指缺乏对参与电子商务过程中各个环节的人员的管理预防手段,最终导致的电子商务安全事件。从美国的花旗银行和中央情报局到中国的某家国有商业银行,都有过由于内部人员的违规和违法操作,导致数据被篡改和泄密的事件发生。
近几年的电子商务安全案件表明:人员是网上交易安全管理中的最薄弱的环节,近年来我国计算机犯罪大都呈现内部犯罪的趋势,有的竞争对手利用企业招募新人的方式潜入对方企业,或利用不正当的方式收买企业网络交易管理人员。有的电子商务从业人员从本企业辞职后,迅速把客户资料、产品研发成果等机密出售给竞争对手,给企业带来了不必要的经济损失。
2、原因分析
电子商务信息安全已经引起很多企业的重视,但大多数企业往往侧重于加强技术措施,如购买先进的防火墙软件,采用更高级的加密方法等,很多企业认为:员工泄密的安全事故只是偶然现象,很少从人员管理的角度来探讨出现这些事故的根本原因。“重技术、轻管理”是当前很多电子商务企业的通病。由于管理手段不到位,很多先进的安全技术无法发挥应有的效能。之所以出现上述问题,主要有以下原因:
首先,很多企业管理高层对人员管理在信息安全中的地位认识不足。大多数企业将电子商务网络作为一项纯粹的技术工程来实施,企业内部缺乏系统的安全管理策略,只是被动的使用一些技术措施来进行防御,因此电子商务过程中一旦出现突发性事件,往往造成很大的经济损失。现实中没有一个网络系统是完美无缺的,不安全因素随时存在。因此,安全管理措施必须渗透到系统的每一个环节和企业组织的~个层面,只有构建一个人与技术相结合的安全管理体系,才能确保整个电子商务系统得安全。
企业没有从整体上、有计划地考虑信息安全问题。企业各部门、各下属机构都存在“各自为政的局面,缺少统一规划、设计和管理信息安全强调的是整体上的信息安全性,而不仅是某一个部门或公司的信息安全。而各部门、各公司又确实存在个体差异,对于不同业务领域来说,信息安全具有不同的涵义和特征,信息安全保障体系的战略性必须涵盖各部门和各公司的信息安全保障体系的相关内容。
缺少信息安全管理配套的人力、物力和财力。人才是信息安全保障工作的关键。信息安全保障工作的专业性、技术性很强,没有一批业务能力强,且具有信息网络知识、信息安全技术、法律知识和管理能力的复合型人才和专门人才,就不可能做好信息安全保障工作。应该从信息安全建设和管理对信息安全人才的实际需求出发,加快信息安全人才的培养。
企业对员工的信息安全教育不够。员工的信息安全意识薄弱,9O%的安全事故是由于人为疏忽所造成。如有些企业不限制内部人员使用各种高科技信息载体,如U盘、移动硬盘以及笔记本等移动办公设备。
3、加强电子商务安全管理的建议
电子商务信息安全管理实践表明,大多数安全问题是由于管理不善造成的。安全管理是一项系统工程,不仅涉及到企业的组织架构、信息技术、人员素质等各个方面,还牵扯到国家法律和商业规则。企业内部存在着诸多影响信息安全的因素:改变lT系统不等于改变企业的信息安全管理,要使企业信息尽可能的安全,必须在技术投人的基础上融人人在管理方面的智慧i同时,不仅要防外,更要防内,即对组织内部人员的管理。信息安全问题的解决需要技术,但又不能单纯依靠技术。整个电子商务的交易过程,是人与技术相互融合的过程,如何使管理与技术相得益彰十分重要。“三分技术,七分管理”阐述了信息安全的本质。
电子商务的安全管理,就是通过一个完整的综合保障体系,来规避信息传输风险、信用风险、管理风险和法律风险,以保证网上交易的顺利进行。网上交易安全管理,应采用综合防范的思路,一是技术方面的考虑,如防火墙技术、网络防毒、信息加密、身份认证、授权等,但必须明确,只有技术措施并不能完全保证网上交易的安全。二是必须加强监管,建立各种有关的合理制度,并加强严格监督,如建立交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。为了加强企业电子商务的信息安全,我们提出如下建议:
(1)提高网络安全防范意识。
现在许多企业没有意识到互联网的易受攻击性,盲目相信国外的加密软件,对于系统的访问权限和密钥缺乏有力度的管理。这样的系统一旦受到攻击将十分脆弱,其中的机密数据得不到应有的保护。据调查,目前国内90%的网站存在安全问题,其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小,不会成为黑客的攻击目标,如此态度,网络安全更是无从谈起。应该定期由公司或安全管理小组承办信息安全讲座,只有提高网络安全防范意识,才能有效的减少信息安全事故的发生。
(2)建立电子商务安全管理组织体系。
一个完整的信息安全管理体系首先应建立完善的组织体系。即建立由行政领导、IT技术主管、信息安全主管、本系统用户代表和安全顾问组成的安全决策机构。其职责是建立管理框架,组织审批安全策略、安全管理制度,指派安全角色,分配安全职责,并检查安全职责是否已被正确履行,核准新信息处理设施的启用、组织安全管理专题会等。还应建立由网络管理员、系统管理员、安全管理员、用户管理员等组成的安全执行机构。该机构负责起草网络系统的安全策略、执行批准后的安全策略、日常的安全运行和维护、定期的培训和安全检查等。如果需要,还可建立安全顾问机构。安全顾问机构可聘请信息安全专家担任系统安全顾问,负责提供安全建议,特别是在安全事故或违反安全策略事件发生后,可以被安全决策机构指定负责事故(事件)调查,并为安全策略评审和评估提供意见。
(3)制定符合机构安全需求的信息安全策略。电子商务交
易过程中,需要明确的安全策略主要包括客户认证策略、加密策略、日常维护策略、防病毒策略等安全技术方案的选择。安全执行机构应根据本信息网络的实际情况制定相应的信息安全策略,策略中应明确安全的定义、目标、范围和管理责任,并制定安全策略的实施细则。安全策略文档要由安全决策机构审查、批准,并和传达给所有的人安全策略还应由安全决策机构定期进行有效性审查和评估:在发生重大的安全事故、发现新的脆弱性、组织体系或技术上发生变更时,应重新进行安全策略的审查和评估。
(4)人员安全的管理和培训
参与网上交易的经营管理人员在很大程度上支配着企业的命运,他们承担着防范网络犯罪的任务。而计算机网络犯罪同一般犯罪不同的是,他们具有智能性、隐蔽性、连续性、高效性的特点,因而,加强对有关人员的管理变得十分重要。首先,在人员录用时应做好人员鉴别,人员录用或人员职位调整时,一般要签署保密协议。当人员到期离开或协议到期、工作终止时,要审查保密协议。其次对有关人员进行上岗培训,建立人员培训计划,定期组织安全策略和规程方面的培训。第三,落实工作责任制,在岗位职责中明确本岗位执行安全政策的常规职责和本岗位保护特定资产、执行特定安全过程或活动的特别职责,对违反网上交易安全规定的人员要进行及时的处理。第四,贯彻网上交易安全运作基本原则,包括职责分离、双人负责、任期有限、最小权限、个人可信赖性等。
(5)增强法律意识,促进电子商务立法
面对电子商务这种新型的贸易形式,我国目前尚无专门法规可依,使得部分违法犯罪人员没有得到应有的惩罚。近几年里,国家加强了这方面的投入。在全国性的立法文件中,《合同法》的部分条款可以看作是针对电子商务的立法。此外,广东省制定的《广东省电子交易管理条例》这个地方性的法规可以看作是对加快我国电子商务立法的有益探索。《中华人民共和国电子签名法》是对主要用于电子商务活动,电子政务等其他应用应该有新的适用法规。
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的历史演进与现阶段的特点
信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法
依赖外部的信息安全管理行业
在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴
将商业银行所面临的全部风险放在一个框架中考虑。传统风险管理以及电子商务安全风险管理都是风险管理系统中子系统,二者相互联系、相互影响,不可分割。尝试借鉴信用风险与操作风险度量的方法与思想,短期内将其与信用风险控制衔接,最终形成一个全面的商业银行安全风险管理框架。
(四)商业银行要积极促进电子商务安全风险管理策略的改进(1)充分利用国内或国外能够获得的信息系统审计、外部信息安全评估等服务,采取定期评估审计、不断采取措施改善风险状态的策略;(2)在目前商业银行的组织与管理体制下,风险控制部门与传统金融业务部门的流程需不断改善,商业银行必须创造条件,加强风险管理部门与电子商务部门的交叉配合,包括各部门人员的配置、培训等各方面;使风险管理部门能够履行安全风险管理的监控与审计职能;(3)商业银行必须重视对传统金融风险与电子商务安全风险的统一度量问题的研究,不断提高风险管理部门综合控制风险的能力,充分考虑电子商务安全风险与信用风险、操作风险的交叉问题,为实现全面风险管理奠定基础。依赖外部的信息安全管理行业在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
0引言
美国等发达国家,通过Internet进行电子商务的交易已成为潮流。随着internet的发展和网络基础设施的不断完善,我国的电子商务虽已初具规模,但是安全问题却成为发展电子商务亟待解决的问题。电子商务过程中,买卖双方是通过网络联系的,由于internet是开放性网络,建立交易双方的安全和信任关系较为困难,因此本文对电子商务网络支付上的安全问题进行探讨分析。
1电子商务的概念和特点
1)电子商务的概念:电子商务(Electronic Commerce)是通过电信网络进行的生产、营销、销售、流通等活动,不仅是指基于因特网上的交易,而且还指利用电子信息技术实现解决问题、降低成本、增加价值、创造商机的商务活动[1]。
2)电子商务的特点:(1)电子商务将传统的商务流程电子化、数字化。不仅以电子流代替了实物流,大量减少了人力物力,降低了成本;而且突破了时间空间的限制,使得交易活动可在任何时间、任何地点进行,大大提高了效率。(2)电子商务使企业能以较低成本进入全球电子化市场,也使中小企业可能拥有与大企业一样的信息资源,提高了中小企业的竞争能力。(3)电子商务重新定义了传统的流通模式,减少了中间环节,使得生产者和消费者的直接交易成为可能,从而一定程度上改变了社会经济的运行方式。(4)电子商务提供了丰富的信息资源,为社会经济要素的重新组合提供了更多的可能,这将影响到社会的经济布局和结构。
2电子商务安全的技术体系
1)物理安全。首先根据国家标准、信息安全等级和资金状况,制定适合的物理安全要求,并经建设和管理达到相关标准[2]。再者,关键的系统资源(包括主机、应用服务器、安全隔离网闸GAP等设备),通信电路以及物理介质(软/硬磁盘、光盘、IC卡、PC卡等)、应有加密、电磁屏蔽等保护措施,均应放在物理上安全的地方。
2)网络安全。网络安全是电子商务的基础。为了保证电子商务交易顺利进行,要求电子商务平台要稳定可靠,能够不中断地提供服务。系统的任何中断(如硬件、软件错误,网络故障、病毒等)都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
3)商务安全。主要是指商务交易在网络媒介中出现的安全问题,包括防止商务信息被窃取、篡改、伪造、交易行为被抵赖,即要实现电子商务的保密性、完整性、真实性、不可抵赖性。商务安全的各方面也要通过不同的网络安全技术和安全交易标准实现,加解密技术保证了交易信息的保密性,也解决了用户密码被盗取的问题;数字签名是实现对原始报文完整性的鉴别,它与身份认证和审查系统一起可杜绝交易的伪造和抵赖行为。保证电子商务安全的主要技术有:在线支付协议(安全套接层SSL协议和安全电子交易SET协议)、文件加密技术、数字签名技术、电子商务认证中心(CA)。
4)系统安全。主要是保护主机上的操作系统与数据库系统的安全。对于保护系统安全,总体思路是:通过安全加固,解决管理方面安全漏洞;然后采用安全技术设备,增强其安全防护能力。
3安全管理过程监督
3.1加强全过程的安全管理
1)网络规划阶段,就要加强对信息安全建设和管理的规划。信息安全建设需要投入一定的人力、物力、财力。要根据状况实事求是地确定网络的安全总体目标和阶段目标、分段实施、降低投资风险。2)工程建设阶段,建设管理单位要将安全需求的汇总和安全性能功能的测试,列入工程建设各个阶段工作的重要内容,要加强对开发(实施)人员、版本控制的管理,要加强对开发环境、用户路由设置、关键代码的检查[3]。3)在运行维护阶段,要注意以下事项:(1)建立有效的安全管理组织架构,明确职责,理顺流程,实施高效管理。(2)按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。(3)制定完善的安全管理制度,加强信息网的操作系统、数据库、网络设备、应用系统运行维护过程的安全管理。(4)要建立应急预察体系,建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询,还要定期检查日志,以便及时发现潜在的安全威胁。
3.2建立动态的闭环管理流程
网络处于不断地建设和调整中,可能发现新的安全漏洞,因此需要建立动态的、闭环的管理流程。要在整体安全策略的控制和指导下,通过安全评估和检测工具(如漏洞扫描,入侵检测等)及时了解网络存在的安全问题和安全隐患,据此制定安全建设规划和加固方案,综合应用各种安全防护产品(如防火墙、身份认证等手段),将系统调整到相对安全的状态。并要注意以下两点:1)对于一个企业而言,安全策略是支付信息安全的核心,因此制定明确的有效的安全策略是非常重要的。安全组织要根据这个策略制定详细的流程、规章制度、标准和安全建设规划、方案,保证这些系列策略规范在整个企业范围内贯彻实施,从而保护企业的投资和信息资源安全。2)要制定完善的、符合企业实际的信息安全策略,就须先对企业信息网的安全状况进行评估,即对信息资产的安全技术和管理现状进行评估,让企业对自身面临的安全威胁和问题有全面的了解,从而制定针对性的安全策略,指导信息安全的建设和管理工作。
4结束语
本文分析了目前电子商务网络支付安全方面的主要技术状况,安全技术可以说是网络技术中较为尖端的技术,都是非常先进的技术手段;只要运用得当,配合相应的安全管理措施,基本能够保证电子商务中网络支付的安全;但不是100%的绝对安全,而是相对安全。随着网络安全技术的进步与信用机制的完善,网络支付定会越来越安全。
参考文献
1 引言
随着互联网的快速发展,人们的生活方式有了非常大的改变,对应的经济社会也受到了巨大的影响。在商业贸易领域,因为网络的快速发展,产生了电子商务这样一种贸易方式。但是电子商务也是经历了一番坎坷的,因为网络的特殊性,在电子商务发展中产生了交易安全的问题,对电子商务的稳定发展带来了一定的冲击。Internet网是一个互连通的自由空间,一些人常常会因为某些目的攻击电子商务网站,比如盗窃资金、商业打击、恶作剧等,导致有些企业的电子商务网站贸易交流受损、服务暂停,甚至出现资金被盗的现象。据有关数据的统计,美国每年因为网络安全问题在经济上造成的损失就达到近百亿美元,而国内的情况也不容乐观。因此,当我们在享受互联网给生活带来的这些好处的时候,网络的安全问题,早已变成电子商务的重大难题,给电子商务企业的发展带来了极大的阻碍。所以,计算机网络安全是电子商务发展过程中所面临的重大挑战和问题。电子商务企业必须从维护顾客利益和自身利益出发,做好安全防范和自身安全管理工作,才能得到持续快速的发展。
2 电子商务面对的网络安全问题
当前,电子商务安全问题受到多方面的影响,不但有技术管理的问题,而且也有网络缺陷的因素,具体地说,直接原因有以下几点:
2.1 网络“黑客”侵犯电子商务网站
网络黑客是专门在网络中利用本身掌握的技术非法强行进入他人网站后台的人,这类人具有高超的网络技术,能够不受电子商务网站技术防护的限制。许多“黑客”篡改内容信息、破坏网站;盗取商户或企业的账户资金,极大地影响了电子商务的正常进行。
2.2 电子商务软件有漏洞
许多软件研发单位研发的技术不成熟的电子商务软件,存在许多安全漏洞,防护极易被外来入侵者利用漏洞攻破,导致电子商务企业受到很大的经济损失;有的企业即使安装了防护软件,但由于软件没有得到及时升级,致使软件丧失了应有防护功能。
2.3 电子商务网络自身存在安全问题
网络具有共享性、开放性等特点,它的设计原则是确保信息传输不会受到局部损坏的影响。所以,对网站安全带来了极大的隐患。特别是对电子商务企业情况更加严峻。
2.4 网站管理的缺失
由于电子商务企业缺乏警惕性,不重视网络安全的管理,通常只有在受到攻击以后才会去加强网站安全;部分企业则以为只要安装了入侵监测系统、杀毒软件、防火墙等安全产品,就能保障网站的安全,所以没有根据企业实际情况制定相应的管理制度,也没有加强技术防范,给入侵者提供了机会。
3 应对的措施
电子商务安全问题是在网络化、电子化技术发展的前提下出现的,所以很多传统的解决办法不能简单地应用过来。电子商务企业想要取得效益,就要从企业的健康发展出发,改善企业的安全管理,提高技术投入。具体的防范措施有: 3.1 安全技术管理需要加强
需要重视电子商务网站的维护、升级等方面,做好每天的安全备份,加强网站服务器的管理。制定安全防范预案,只要发生安全事件,能够得到尽快解决,从而减少损失。使用权威性较强的安全防护软件,并能够正常启动、正常升级,发挥应有的防护功能。
3.2 在电子安全方面扩大管理和技术投入
企业需要加大安全方面的资金投入,购买技术防护设备,加大对技术改造与设备更新的投入。引进安全管理的相关技术,招聘相应的管理人才,并进行适当的待遇倾斜,确保安全管理团队的稳定。
3.3 使用密码管理技术
电子商务中最重要的防范环节是密码管理,要使用先进的密码管理手段,确保能发挥特定的功能,重点有交易信息安全、身份认证安全和账户安全等。
3.4 电子商务企业自身的管理需要得到强化
随着互联网的快速发展,人们的生活方式有了非常大的改变,对应的经济社会也受到了巨大的影响。在商业贸易领域,因为网络的快速发展,产生了电子商务这样一种贸易方式。但是电子商务也是经历了一番坎坷的,因为网络的特殊性,在电子商务发展中产生了交易安全的问题,对电子商务的稳定发展带来了一定的冲击。 Internet网是一个互连通的自由空间,一些人常常会因为某些目的攻击电子商务网站,比如盗窃资金、商业打击、恶作剧等,导致有些企业的电子商务网站贸易交流受损、服务暂停,甚至出现资金被盗的现象。据有关数据的统计,美国每年因为网络安全问题在经济上造成的损失就达到近百亿美元,而国内的情况也不容乐观。因此,当我们在享受互联网给生活带来的这些好处的时候,网络的安全问题,早已变成电子商务的重大难题,给电子商务企业的发展带来了极大的阻碍。所以,计算机网络安全是电子商务发展过程中所面临的重大挑战和问题。电子商务企业必须从维护顾客利益和自身利益出发,做好安全防范和自身安全管理工作,才能得到持续快速的发展。
2 电子商务面对的网络安全问题
当前,电子商务安全问题受到多方面的影响,不但有技术管理的问题,而且也有网络缺陷的因素,具体地说,直接原因有以下几点: 1 网络“黑客”侵犯电子商务网站
网络黑客是专门在网络中利用本身掌握的技术非法强行进入他人网站后台的人,这类人具有高超的网络技术,能够不受电子商务网站技术防护的限制。许多“黑客”篡改内容信息、破坏网站;****商户或企业的账户资金,极大地影响了电子商务的正常进行。 2 电子商务软件有漏洞
许多软件研发单位研发的技术不成熟的电子商务软件,存在许多安全漏洞,防护极易被外来入侵者利用漏洞攻破,导致电子商务企业受到很大的经济损失;有的企业即使安装了防护软件,但由于软件没有得到及时升级,致使软件丧失了应有防护功能。 3 电子商务网络自身存在安全问题
网络具有共享性、开放性等特点,它的设计原则是确保信息传输不会受到局部损坏的影响。所以,对网站安全带来了极大的隐患。特别是对电子商务企业情况更加严峻。 4 网站管理的缺失
由于电子商务企业缺乏警惕性,不重视网络安全的管理,通常只有在受到攻击以后才会去加强网站安全;部分企业则以为只要安装了入侵监测系统、杀毒软件、防火墙等安全产品,就能保障网站的安全,所以没有根据企业实际情况制定相应的管理制度,也没有加强技术防范,给入侵者提供了机会。
3 应对的措施
电子商务安全问题是在网络化、电子化技术发展的前提下出现的,所以很多传统的解决办法不能简单地应用过来。电子商务企业想要取得效益,就要从企业的健康发展出发,改善企业的安全管理,提高技术投入。具体的防范措施有:
3.1 安全技术管理需要加强
需要重视电子商务网站的维护、升级等方面,做好每天的安全备份,加强网站服务器的管理。制定安全防范预案,只要发生安全事件,能够得到尽快解决,从而减少损失。使用权威性较强的安全防护软件,并能够正常启动、正常升级,发挥应有的防护功能。 2 在电子安全方面扩大管理和技术投入
企业需要加大安全方面的资金投入,购买技术防护设备,加大对技术改造与设备更新的投入。引进安全管理的相关技术,招聘相应的管理人才,并进行适当的待遇倾斜,确保安全管理团队的稳定。 3 使用密码管理技术
电子商务中最重要的防范环节是密码管理,要使用先进的密码管理手段,确保能发挥特定的功能,重点有交易信息安全、身份认证安全和账户安全等。 4 电子商务企业自身的管理需要得到强化
在互联网信息技术飞速发展的大背景下,电子商务(简称EC,英文为Electronic Commerce)已逐步演变成人们惯用的商务活动模式,从事互联网商业活动的人越来越多。与传统商务活动对比,在B/S方式下运转,两大主体完成商品交易不受时间和空间的限制,这也是电子商务是最大特点。
现如今,我国正处于网络经济蓬勃发展的黄金时代,各个领域中电子商务的普及度较高。新型的商业活动形式建立在网络的基础上,保证了商业活动的便捷性和高效性。不过电子商务在对企业运管效率进一步提升的同时,使企业的面临着病毒侵入、黑客攻击、信息抵赖等问题,导致企业蒙受巨大亏损。所以,高度关注安全问题,才能保证电子商务平台利用率提高。本论文以有关电子商务环境为切入点,对展开电子商务活动中出现的信息安全问题进行分析,并给出对应的方法和策略。
1 电子商务中网络信息安全所存在的问题
1.1 电子商务网络存在的问题
1.1.1 黑客攻击
黑客对网络进行攻击是以偷取商业机要和搅扰系统正常运转为目的,以下是常见的攻击策略:窃听;重发攻击;迂回攻击;假冒攻击;越权攻击等。
1.1.2 系统漏洞
侵入到电商系统人员以系统自身存在的安全漏洞为据,将操作系统数据的权限得到。然而,管理系统未实时打补丁或者在设置安全方面一直选取默认设置等原因造成系统产生漏洞。
1.2 电子商务信息存在的问题
1.2.1 电子商务信息存储安全隐患
在静态时储存电商信息的安全即信息储存安全。其信息安全隐患主要包括:篡改信息内容和非授权调用信息。
1.2.2 电子商务信息传输安全隐患
在运转电子商务时,资金流、物流汇集成信息流之后传送流程中的安全即信息传送安全。它主要涵盖以下四种安全隐患:
(1)盗取商业机密。大部分是以明文的形式来传送电子商务信息,那么袭击网络的不法分子就极易截取或者监听电商信息;
(2)对商务网站施以攻击。攻击者运用计算机病毒传送,屏蔽掉电商网站设置的防火墙,更改信息,使网站瘫痪;
(3)实行商务欺诈。非法人员将虚假信息到Internet上去,诈骗现金、账号,导致用户信任电子商务活动的信赖度降低,在很大程度上对电子商务顺利开展起阻碍作用;
(4)不良信息的传送。非法人员为了实现自己的目标,把不良信息渗透到电子商务信息中。
2 应对电子商务中信息安全问题的对策
2.1 提高网络信息安全意识
相比于西方l达国家,国内用户网络信息安全意识薄弱,忽视了自我权益的保护。再加上我国尚未建立完善的网络信息安全监管机制,出现安全事件之后无法及时采取相应的补救措施,这些都是威胁信息安全的主要因素。故此,在信息安全中,防范人为因素导致信息非安全问题是重要内容。解决这一问题的关键在于为从事电子商务的用户展开安全知识培训活动,确保用户充分认识信息安全的重要性,对信息安全常识了如指掌,进而降低电子商务中产生信息安全事件的几率。
2.2 加强信息安全的技术防范
将来网络安全技术会在计算机网络所有层次中渗透,不过以电子商务安全防范技术为中心的网络技术成为最近几年研究的重要方向。以我国电子商务出现的安全问题为依据,可采取防火墙、虚拟专用网及认证、加密、安全审计、追踪黑客、检测系统漏洞等技术应对信息安全。另外还可以将加密路由器、翻译网络地址、动态包过滤、VPN等技术充分运用起来,确保构建一系列严实的安全防线将受保护资源与攻击人员隔开。
2.3 强化网络信息安全管理
信息安全管理在我国来说十分薄弱,面临着管理能力弱且信息安全意识极其欠缺的问题。政府授权的第三方认证中心构建是电商信息安全管理中形式有效的一个方式,即用该认证中心来负责电子商务交易中的两者主体的信息安全,保证整个交易流程的安全性和可靠性。
2.4 完善电子商务立法与信息安全立法
当前,我国正处于电子商务信息机制初级阶段,只有在信用法制建设深入强化的大环境中,才能确保信息机制最大限度的施展其能力。故此,应当以国内电子商务安全问题为依据,不但要使现行法律的管理范畴扩大和加强,还要加大信息安全与电子商务立法的力度。另外还应当对第三方信用保证进行设置并使其得到强化,务必由商务、商检认证中心、银行共同协作才可确保交易不受阻碍。
3 结束语
本文以电子商务信息安全有关环境为切入点,对电商中出现的网信问题进行探析,并将用户网信安全意识增强、加大网信安全管理力度、加大防范信息安全技术应用力度、健全信息安全和电子商务立法这四种策略,以期解决电子商务中出现的安全问题。电子商务安全性是一项庞大、系统的工程,要从技术和法律上加大保护力度,只有将电商中出现的所有安全问题一并处理好才能使电子商务更好的服务于用户。
参考文献
[1]田迎华,杨敬松,周敏.3G时代移动电子商务安全问题研究[J].情报科学,2010(10):1487-1490.
[2]王立萍.商业银行电子商务安全风险管理研究[J].中南财经政法大学学报,2007(01):75-79+144.
[3]张滨,冯运波,吴秦建,江为强,乔矗王馨裕,杨明,何鹏.移动电子商务安全技术与应用实践[J].通信学报,2016(04):200.
[4]孙鸿飞,张海涛,宋拓,武慧娟.电子商务个性化信息服务用户满意影响因素实证研究[J].情报杂志,2016(04):195-203.
[5]何培育.电子商务环境下个人信息安全危机与法律保护对策探析[J].河北法学,2014(08):34-41.
[6]王兴泉,张宁.移动电子商务时代的信息安全与信息保护[J].兰州学刊,2014(12):175-180.
当前,我国电子政务的管理逐渐向信息化、网络化发展,提高了管理质量、增强了管理效果。但是,安全问题却成为当前电子政务管理中的关键问题。如何有效提升电子政务外网的安全管理级别,以保证网络的安全、稳健运行成为当前人们关注的话题。但由于电子政务外网的安全管理涉及较广(设备、技术与管理),因此在安全管理中存在一定的难度。以下笔者就对当前我国的电子政务外网的安全管理策略进行一些分析,并提出相关建议。
1当前我国电子商务外网的特点
电子商务外网是一种借助信息与通信技术,为各级政府部门提供服务的应用。其具有数字化、信息化、网络化的特点,可以提升政府的管理质量,促进其进步、发展。在当前“互联网+”的影响下,我国政府的电子政务外网办公逐步深化,且在信息技术的支持下,使政府和群众可以相互沟通、相互协作,有效的促进政府办公效率的提升。但是,电子政务外网的安全性始终是当前我们面临的关键问题。所以相关人员应积极解决这一问题,以保证政府的办公能力。
2我国电子商务外网存在的安全隐患
2.1电子政务系统存在安全威胁
当前我国电子政务系统还存在一定的安全威胁。而这种威胁一般包括:人为损坏、物理损坏与设备故障等三种情况。其中,人为威胁,一般是由于工作人员的操作不当,或是有人发出攻击行为,蓄意破坏计算机网络系统等原因造成的威胁。物理损坏一般指由于物理原因造成的硬盘损坏、设备使用寿命到期,或者是一些外力破坏造成的威胁。而一些设备故障一般是指断电、电磁干扰等原因。此外,除以上威胁外,极个别时候政务外网还会受到一些网络黑客、信息战士的入侵,他们通过监听、截取破译等行为获取政务信息,使电子政务系统受到严重的威胁。
2.2电子政务系统存在安全风险
当前我国电子政务系统还存在一定的安全风险。其具体表现在以下几种情况:1)信息泄密。如:由于一些假冒身份的或是非法的用户,在没有授权的情况下访问政务网络系统,并进行了不正当的操作,导致一些信息外泄。2)计算机病毒。计算机病毒的出现可以破坏计算机的功能,毁坏计算机的数据,影响计算机的正常使用。由于其破坏力极大,防范相对困难。因此,这也是当前政务外网中最大的威胁。3)新型攻击技术。近年来,网络上逐渐出现一些新型攻击技术,为政务信息的安全带来一些威胁。以上风险的出现严重当前我国政务外网的稳定性与安全性。
3改善电子商务外网安全隐患的策略
3.1强化管理体系,拟定安全管理体制
为提升我国电子政务的网络管理工作效率,保证其安全管理质量。相关部门应积极强化政务外网的安全管理体系,拟定出安全的管理体制。相关部门具体可以:部门应以当前所使用的计算机信息系统的保护等级与系统规模等详细信息为基础,积极建立出安全且健全的管理职责体系。在体系的建立过程中,部门应严格遵守国家知识指示与标准,结合自身的实际发展情况。另外,在管理工作的进行过程中,负责人(管理者)应对工作人员进行合理的分工、责任到人,并提出严格的要求。满足以上要求后,逐渐建立出高效的安全管理体系。
3.2建立防护系统,落实安全检测工作
为有效减少安全隐患,保证电子政务外网网络整体环境的安全性。相关政府部门应积极建立相关的防护系统,并落实安全监测工作,从而实现从根源上减少安全隐患的目的。具体可以:强化网络服务供应商之间的关系,借助供应商先进的设备与技术建设出电子政务外网的专属防火墙。这样政务外网就有了安全依托,可以在一定程度上将可能出现的安全隐患扼杀。另外,部门应积极建设相关的监督系统,以落实政务外网的安全监测。系统建设后,可以由公安网络或监察部监管,以保证政务外网的安全。
3.3保证设备安全,完善外网基础应用
在电子政务外网安全管理中,无法避免一些设备与软硬件产品的使用。因此,为保证系统的安全,提高安全管理的质量。首先,相关部门应重视并保护设备的安全,并逐渐完善电子政务外网的基础应用。有关部门可以:在选择设备的过程中,尽量选择一些性能好、安全性高的网络设备。然后,系统的运行过程中,应意识到电磁辐射(网络设备、计算机等都可能产生电磁辐射)对网络安全的危害(数据泄密),并积极找出应对措施,以减少电磁辐射。同时应尽量避免一些自然、人为破坏,以保证整个网络系统的安全运行。
3.4保证数据安全,建立灾难备份中心
数据是信息系统的关键,同时也是政府各项业务间的互动,信息共享与业务协同的关键因素。因此,为保证服务的顺利运行,相关部门在电子政务外网的安全管理中,应加强对数据与信息的重视。而为保护数据的安全,部门可以建立灾难备份中心,以提高抵御灾难的能力,保证重要信息相关数据的安全,同时可以将损失降为最小。具体可以采用自建灾难备份中心、共建灾难备份中心,以及服务外包等三种模式。在政府信息数据遭遇灾难时,启动异地建立备份数据中心,可以提供不间断的数据信息服务,以保证业务的连续性。
4结论
安全问题是当前电子政务外网的安全管理中经常面临的一个问题。由于问题、原因与解决策略相对复杂,因此需要对当前电子商务外网的特点、存在安全隐患进行一些了解与分析。然后积极找出改善电子商务外网安全隐患的策略,提高电子政务外网的安全级别,从而保证外网的安全、稳定运行。
参考文献
[1]赵惠巍.电子政务外网的安全管理策略研究[J].民营科技,2014(7):106.
[2]董舟,谢碧云,李歆.政务外网信息安全管理策略初探[J].人民长江,2015(3):86-90.
1 引言
随着互联网的快速发展,人们的生活方式有了非常大的改变,对应的经济社会也受到了巨大的影响。在商业贸易领域,因为网络的快速发展,产生了电子商务这样一种贸易方式。但是电子商务也是经历了一番坎坷的,因为网络的特殊性,在电子商务发展中产生了交易安全的问题,对电子商务的稳定发展带来了一定的冲击。Internet网是一个互连通的自由空间,一些人常常会因为某些目的攻击电子商务网站,比如盗窃资金、商业打击、恶作剧等,导致有些企业的电子商务网站贸易交流受损、服务暂停,甚至出现资金被盗的现象。据有关数据的统计,美国每年因为网络安全问题在经济上造成的损失就达到近百亿美元,而国内的情况也不容乐观。因此,当我们在享受互联网给生活带来的这些好处的时候,网络的安全问题,早已变成电子商务的重大难题,给电子商务企业的发展带来了极大的阻碍。所以,计算机网络安全是电子商务发展过程中所面临的重大挑战和问题。电子商务企业必须从维护顾客利益和自身利益出发,做好安全防范和自身安全管理工作,才能得到持续快速的发展。
2 电子商务面对的网络安全问题
当前,电子商务安全问题受到多方面的影响,不但有技术管理的问题,而且也有网络缺陷的因素,具体地说,直接原因有以下几点:
2.1 网络“黑客”侵犯电子商务网站
网络黑客是专门在网络中利用本身掌握的技术非法强行进入他人网站后台的人,这类人具有高超的网络技术,能够不受电子商务网站技术防护的限制。许多“黑客”篡改内容信息、破坏网站;盗取商户或企业的账户资金,极大地影响了电子商务的正常进行。
2.2 电子商务软件有漏洞
许多软件研发单位研发的技术不成熟的电子商务软件,存在许多安全漏洞,防护极易被外来入侵者利用漏洞攻破,导致电子商务企业受到很大的经济损失;有的企业即使安装了防护软件,但由于软件没有得到及时升级,致使软件丧失了应有防护功能。
2.3 电子商务网络自身存在安全问题
网络具有共享性、开放性等特点,它的设计原则是确保信息传输不会受到局部损坏的影响。所以,对网站安全带来了极大的隐患。特别是对电子商务企业情况更加严峻。
2.4 网站管理的缺失
由于电子商务企业缺乏警惕性,不重视网络安全的管理,通常只有在受到攻击以后才会去加强网站安全;部分企业则以为只要安装了入侵监测系统、杀毒软件、防火墙等安全产品,就能保障网站的安全,所以没有根据企业实际情况制定相应的管理制度,也没有加强技术防范,给入侵者提供了机会。
3 应对的措施
电子商务安全问题是在网络化、电子化技术发展的前提下出现的,所以很多传统的解决办法不能简单地应用过来。电子商务企业想要取得效益,就要从企业的健康发展出发,改善企业的安全管理,提高技术投入。具体的防范措施有:
3.1 安全技术管理需要加强
需要重视电子商务网站的维护、升级等方面,做好每天的安全备份,加强网站服务器的管理。制定安全防范预案,只要发生安全事件,能够得到尽快解决,从而减少损失。使用权威性较强的安全防护软件,并能够正常启动、正常升级,发挥应有的防护功能。
3.2 在电子安全方面扩大管理和技术投入
企业需要加大安全方面的资金投入,购买技术防护设备,加大对技术改造与设备更新的投入。引进安全管理的相关技术,招聘相应的管理人才,并进行适当的待遇倾斜,确保安全管理团队的稳定。
3.3 使用密码管理技术
电子商务中最重要的防范环节是密码管理,要使用先进的密码管理手段,确保能发挥特定的功能,重点有交易信息安全、身份认证安全和账户安全等。
3.4 电子商务企业自身的管理需要得到强化
安全技术是电子商务企业的首要防范措施,但发挥其作用的关键还是严密的管理,只有建立完善的安全防范管理系统,才能保证企业的安全。所以电子商务企业,需要制定安全防护制度,保证明确职责;要有奖惩制度,责任事故的时候,能够做到及时追究,提高技术管理人员的责任意识。
4 总结
总的说来,电子商务企业的安全问题,表面上像是计算机网络的安全问题,但主要还是在于企业的制度建设、安全管理和重视程度等情况。企业不当的安全管理,不仅会发生企业账户资金被盗的问题,甚至有可能地客户的利益造成损害,让客户对电子商务企业不再信任。电子商务企业维护客户市场的关键是信誉度,所以,应当重视网络安全,克服网络技术自身的弊端,使企业能得到持续稳定的贸易发展。
参考文献:
[1] 祁明.电子商务实用教程[M].北京:高等教育出版社,2006.
[2] 陈辉.浅谈电子商务的安全与技术保障[J].河南教育学院学报(自然科学版),2006(01).
(2)加密技术。信息加密是电子商务基本的安全保障技术,是从根本上满足信息保密性和完整性的要求。加密技术的一般做法是通过信息变化规则将信息从明文形式变为密文形式,主要目的就是通过信息加密防止非授权者查看或修改信息,使得入侵者尽管得到加密信息也不能辨识信息原文,确保了信息的安全完整。
(3)认证技术。电子商务是一种在彼此之间不见面的情况下完成的交易,因此,为了保证电子商务活动中的每个个体以及机构的身份准确无误、真实可靠,则需要进行身份认证。认证可以通过数字摘要、数字签名、数字时间戳、数字证书、认证以及智能卡等多种形式实现。
(4)协议技术。电子商务的交易双方必须通过安全协议达到彼此联系、相互制约的目的,安全协议一方面是确保支付信息在传输过程中的安全、完整;另一方面是确保交易双方的身份真实和支付过程的安全。在国际上,比较有代表性的协议有SSL(安全槽层)协议和SEL(安全电子交易规范)协议两种。
2新时期电子商务安全面临的问题与对策分析
2.1新时期计算机电子商务安全面临的问题
新时期下,计算机电子商务的安全问题是制约电子商务发展的关键性问题。尽管电子商务的安全技术在很大程度上解决了电子商务的安全性问题,推动了电子商务的发展,但是仍存在一些安全问题等待解决。
2.1.1基础设施保障性较低我国在电子商务方面发展相对较晚,有关电子商务的安全意识和安全基础设施不够完善。随着网络的迅速发展和普及,许多企业(无论规模大小)都建立起了自己的内部网站,我国电子商务安全意识方面的问题主要表现在,大部分企业认为企业内部网络仅有一个单机版杀毒软件支撑即可,然而这种做法在网络病毒成灾的新时期,已经远远不能满足企业信息的安全需求。
2.1.2电子商务信息存储安全性低电子商务信息存储安全是指以静态方式存储的信息安全,信息存储安全的威胁主要有两种形式:非授权用户查看信息和修改信息,当企业内部网络与互联网连接后,电子商务就会受到内部和外部的双重威胁。所谓内部威胁是指企业网络的内部用户在未经授权的情况下对电子商务信息故意或无意的篡改。而外部威胁则主要是指企业外部人员入侵企业内部网络,在未经授权的情况下对电子商务信息故意或无意的篡改。
2.1.3电子商务管理缺乏规范性电子商务的兴起和发展对传统贸易模式造成了巨大的干扰,引起了商业模式的改革。尽管电子商务的发展吸引了包括企业、个人甚至政府组织在内的越来越多的人积极地参与和推动电子商务的发展,但是对电子商务的安全问题却很少涉及。由于缺少政府部门的宏观把控,电子商务在操作模式、交易方式等方面仍缺少规范性。
2.1.4电子支付风险重重电子商务的一大特色就是方便快捷,为了更好地满足电子商务的这一特色,电子交易平台与各大银行联手,提供了不同的支付形式,例如快捷支付、U盾以及信用卡。信用卡是人们常见的一种支付方式,它可以实现先买东西后还款的交易方式,为资金紧缺的客户提供了便利,不法分子利用这种特殊的交易方式进行信用卡诈骗对电子商务的未来发展带来了障碍。
2.2新时期计算机电子商务的安全策略
为了更好地开展计算机电子商务活动,首先要保障电子商务活动的安全可靠,如何确保电子商务各环节环境的安全,为使用者提升信心,是电子商务成功的关键。根据计算机电子商务存在的安全性问题,提出如下安全策略。
2.2.1技术安全保障为了确保计算机电子商务健康的发展,首先要做到电子商务的安全可靠,即“预防为主、对症下药、消除隐患”。安全技术的应用为电子商务的安全环境提供了第一道安全保障,电子商务过程中所涉及的电子安全技术很多,部分技术已经得到了广泛的认可和应用,其中包括加密技术、认证技术以及安全协议技术等。电子商务的安全技术要形成一个比较科学的完善的体系,做到技术之间的相互补充,相互促进,系统化地保障电子商务的技术环境安全。
2.2.2安全管理保障仅有安全技术作为第一道保障工序远远不能满足新时期下计算机电子商务的安全要求,在安全技术保障作为基础的同时,还要加强管理。所谓电子商务安全管理是指对电子商务信息和电子商务支付等安全问题的管理,政府部门要充分发挥其引导和监管作用,把握电子商务的宏观发展路线,制定有关电子商务安全的政策、法律和规范,从而规范电子商务活动。安全规范要随时更新、及时补充,在制定安全规范的同时还要设立专门的监管机构,监督电子商务各相关部门的执行情况,确保安全规范的有效实施。
在我国的B2C电子商务企业当中,淘宝商城呈现出一家独大的场面,用户渗透率高达63.4%;其次是用户渗透率为20.8%的当当网;第三便是用户渗透率为11.9%的的卓越网,第四是用户渗透率为10.5%的京东商城。
2.B2C电子商务企业的发展趋势。
电子商务企业的市场竞争异常激烈,其发展也进入到了中级阶段,受到商业模式模糊、资金不足、物流配送迟缓及外部政策等风险的影响,竞争力低弱的B2C电子商务企业将被淘汰。随着风险投资不断进入B2C领域,B2C行业显然已经进入了资本市场主导发展的阶段。由于B2C和C2C购物方式已经成为年轻消费群体的首选,网络购物的人群不断壮大,各种问题如C2C中交易欺诈、商品质量问题等也接踵而至,造成信誉缺失。然而B2C却能保障支付安全、物流配送及时、退换货方便,收到网购者的信赖。
3.B2C电子商务企业的竞争。
第一,商品价格竞争。处于市场经济大环境中,新兴企业及初中级产品一般都会通过降低商品价格来占领市场份额。此前,B2C电子商务企业正处于通过价格战来抢占市场份额的关键时期。第二,物流配送竞争。方便、快捷、高效的物流配送能够提升B2C电子商务企业的竞争力。目前,淘宝网等部分B2C电子商务企业采和第三方物流企业合作的模式,而京东商城等部分企业自建物流配送。第三,售后服务竞争。企业服务平台通过文字和图品想消费者展示产品,造成商家与消费者之间信息不对称现象,所以,优质的售后服务是B2C电子商务企业的长期竞争重点。
二、教学贴近市场发展
1.电子商务教材的优化。
电子商务教材的基础内容应该在电子商务理论的基础上构建知识体系,从“四流”(资金流、信息流、商流和物流)出发阐述如何更高效地进行组织和管理。从以下五个方面来组织电子商务教材。第一,阐述电子商务的“四流”及认证等要素和流程;第二,论述电子商务企业的运营和盈利模式,并通过分析典型案例来分析;第三,论述电子善舞企业的管理体制和经营机制;第四,透彻讲解“四流”相关的电子商务网站的设立及运营;第五,解析电子商务企业的安全管理办法及所处政策环境。
2.明确电子商务教学目标。
第一,基本规律的教学。教材要明确电子商务的特点、基本原理、分类、功能、约束条件、应用范围等;通过解析电子商务的运营体系和电子商务系统的组织结构,揭示电子商务的运营规律。通过国内外电子商务企业的发展状况及运营模式进行阐述,说明电子商务的发展趋势,把握电子商务的未来发展的方向和重点及应用要点。第二,应用教育。教育内容包括模拟电子商务运营策略,在电子商务网站组间“四流”的技术和快速继承应用技术。第三,环境安全管理教育。电子商务运营环境及对其进行安全管理主要涉及三个方面,首先,信用管理方面,这主要涉及了企业微观管理及国家宏观层面的管理两部分;其次,安全管理方面,主要从技术安全层面出发,主要涉及交易、信息、支付及物流安全;最后,制度和法规方面,主要涉及了规范和约束参与电子商务运作的主要利益相关的制度、法律、许可证准入等。第四,典型电子商务案例教育。分析电子商务中旅行预订、网上支付、网上购物三个层面的交易案例,对财付通和支付宝、京东商城和淘宝商城等电子商务领头企业进行研究分析,体现教育的实践性。