導航:首頁 > 電商促銷 > 電子商務安全措施

電子商務安全措施

發布時間:2021-05-04 13:22:25

① 如何保障電子商務的安全

一、提高服務的安全性
首先,應用防火牆技術。所謂防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法,它是一種計算機硬體和軟體的結合。防火牆是近期發展起來的一種保護計算機網路安全的技術性措施,它是一個用以阻止網路中的黑客訪問某個機構網路的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網路邊界上通過建立起來的相應網路通信監控系統來隔離內部和外部網路,以阻檔外部網路的侵入。目前的防火牆主要有以下三種類型:包過濾防火牆、代理防火牆、雙穴主機防火牆。其次,應用網關技術。應用級網關是在網路應用層上建立協議過濾和轉發功能。它針對特定的網路應用服務協議使用指定的數據過濾邏輯,並在過濾的同時,對數據包進行必要的分析、登記和統計,形成報告。應用網關對某些易於登錄和控制所有輸入輸出的通訊環境給予嚴格的控制,以防有價值的程序和數據被竊取。

二、數據加密技術
加密技術和身份認證技術是電子商務交易安全的基礎技術,加密技術用於對信息的加密,保證信息的機密性。數字簽名和數字信封技術應用了加密技術,建立在公共密鑰體制基礎上。數字簽名技術對信息進行數字簽名,保證信息的完整性和不可抵賴性。由於交易信息在傳輸過程中有可能遭到侵犯者的竊聽而失去機密性,加密技術是電子商務採取的主要保密安全措施,是最常用的保密安全手段。加密技術也就是利用技術手段把重要的數據變為亂碼(加密)傳送,到達目的地後再用相同或不同的手段還原(解密)。加密包括兩個元素:演算法和密鑰。密鑰和演算法對加密同等重要。密鑰加密技術的密碼體制分為對稱密鑰體制和公共密鑰體制兩種。相應地,對數據加密的技術分為兩類,即對稱加密和非對稱加密。對稱加密以數據加密標准演算法為典型代表,非對稱加密通常以演算法為代表。如果不採用加密技術,則會影響電子商務的發展,或者成為發展的瓶頸。

三、完善管理機制
安全實際上就是一種風險管理。任何技術手段都不能保證100%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。電子商務的安全運行必須從多方面入手,僅在技術角度防範是遠遠不夠的。安全方案的實施,離不開管理。信息安全意識的加強和培育是實現安全管理的必備條件。它的基本原則是:要求發生在系統中的行為都是有許可權的行為,並且符合程序控制的要求。從管理上完善機制,加強其有效性,往往可以解決許多技術層次解決不了的問題。

② 電子商務安全威脅及防範措施分別是什麼

1、未進行操作系統相關安全配置

不論採用什麼操作系統,在預設安裝的條件下都會存在一些安全問題,只有專門針對操作系統安全性進行相關的和嚴格的安全配置,才能達到一定的安全程度。千萬不要以為操作系統預設安裝後,再配上很強的密碼系統就算作安全了。網路軟體的漏洞和「後門」是進行網路攻擊的首選目標。

2、未進行CGI程序代碼審計

如果是通用的CGI問題,防範起來還稍微容易一些,但是對於網站或軟體供應商專門開發的一些CGI程序,很多存在嚴重的CGI問題,對於電子商務站點來說,會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。

3、拒絕服務(DoS,DenialofService)攻擊

隨著電子商務的興起,對網站的實時性要求越來越高,DoS或DDoS對網站的威脅越來越大。以網路癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈,破壞性更大,造成危害的速度更快,范圍也更廣,而襲擊者本身的風險卻非常小,甚至可以在襲擊開始前就已經消失得無影無蹤,使對方沒有實行報復打擊的可能。

4、安全產品使用不當

雖然不少網站採用了一些網路安全設備,但由於安全產品本身的問題或使用問題,這些產品並沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高,超出對普通網管人員的技術要求,就算是廠家在最初給用戶做了正確的安裝、配置,但一旦系統改動,需要改動相關安全產品的設置時,很容易產生許多安全問題。

5、缺少嚴格的網路安全管理制度

網路安全最重要的還是要思想上高度重視,網站或區域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網路安全制度與策略是真正實現網路安全的基礎。

6、竊取信息

由於未採用加密措施,數據信息在網路上以明文形式傳送,入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規律和格式,進而得到傳輸信息的內容,造成網上傳輸信息泄密。

7、篡改信息

當入侵者掌握了信息的格式和規律後,通過各種技術手段和方法,將網路上傳送的信息數據在中途修改,然後再發向目的地。這種方法並不新鮮,在路由器或網關上都可以做此類工作。

8、假冒

由於掌握了數據的格式,並可以篡改通過的信息,攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。

9、惡意破壞

由於攻擊者可以接入網路,則可能對網路中的信息進行修改,掌握網上的機要信息,甚至可以潛入網路內部,其後果是非常嚴重的。

安全對策

1、保護網路安全。

保護網路安全的主要措施如下:全面規劃網路平台的安全策略,制定網路安全的管理措施,使用防火牆,盡可能記錄網路上的一切活動,注意對網路設備的物理保護,檢驗網路平台系統的脆弱性,建立可靠的識別和鑒別機制。

2、保護應用安全。

應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網路支付等應用的安全性。

3、保護系統安全。

在安裝的軟體中,如瀏覽器軟體、電子錢包軟體、支付網關軟體等,檢查和確認未知的安全漏洞。技術與管理相結合,使系統具有最小穿透風險性。如通過諸多認證才允許連通,對所有接入數據必須進行審計,對系統用戶進行嚴格安全管理。建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊等。

4、加密技術

加密技術為電子商務採取的基本安全措施,交易雙方可根據需要在信息交換的階段使用。加密技術分為兩類,即對稱加密和非對稱加密。

5、認證技術。

用電子手段證明發送者和接收者身份及其文件完整性的技術,即確認雙方的身份信息在傳送或存儲過程中未被篡改過。包括數字簽名、數字證書。

6、電子商務的安全協議。

電子商務的運行還有一套完整的安全協議,有SET、SSL等。



(2)電子商務安全措施擴展閱讀

從電子商務的含義及發展歷程可以看出電子商務具有如下基本特徵:

1、普遍性。電子商務作為一種新型的交易方式,將生產企業、流通企業以及消費者和政府帶入了一個網路經濟、數字化生存的新天地。

2、方便性。在電子商務環境中,人們不再受地域的限制,客戶能以非常簡捷的方式完成過去較為繁雜的商業活動。如通過網路銀行能夠全天候地存取賬戶資金、查詢信息等,同時使企業對客戶的服務質量得以大大提高。在電子商務商業活動中,有大量的人脈資源開發和溝通,從業時間靈活,完成公司要求,有錢有閑。

3、整體性。電子商務能夠規范事務處理的工作流程,將人工操作和電子信息處理集成為一個不可分割的整體,這樣不僅能提高人力和物力的利用率,也可以提高系統運行的嚴密性。

4、安全性。在電子商務中,安全性為一個至關重要的核心問題,它要求網路能提供一種端到端的安全解決方案,如加密機制、簽名機制、安全管理、存取控制、防火牆、防病毒保護等等,這與傳統的商務活動有著很大的不同。

5、協調性。商業活動本身為一種協調過程,它需要客戶與公司內部、生產商、批發商、零售商間的協調。在電子商務環境中,它更要求銀行、配送中心、通信部門、技術服務等多個部門的通力協作,電子商務的全過程往往是一氣呵成的。

③ 簡述電子商務的安全隱患與解決措施

1、數據傳輸安全隱患。

電子商務是在開放的互聯網上進行的貿易,大量的商務信息在計算機和網路上上存放、傳輸,從而形成信息傳輸風險。因此措施可以通過採用數據加密(包括秘密密鑰加密和公開密鑰加密)來實現的,數字信封技術是結合密鑰加密和公開密鑰加密技術實現的。

2、數據完整性的安全隱患。

數據的完整性安全隱患是指數據在傳輸過程中被篡改。因此確保數據不被篡改的措施可以通過採用安全的散列函數和數字簽名技術來實現的。雙重數字簽名可以用於保證多方通信時數據的完整性。

3、身份驗證的安全隱患。

網上通信雙方互不見面,在交易或交換敏感信息時確認對方等真實身份以及確認對方的賬戶信息的真實與否,為身份驗證的安全隱患。解決措施可以通過採用口令技術、公開密鑰技術或數字簽名技術和數字證書技術來實現的。

4、交易抵賴的安全隱患。

網上交易的各方在進行數據傳輸時,當發生交易後交易雙方不認可為本人真實意願的表達而產生的抵賴安全隱患。措施為交易時必須有自身特有的、無法被別人復制的信息,以保證交易發生糾紛時有所對證,可以通過數字簽名技術和數字證書技術來實現的

(3)電子商務安全措施擴展閱讀:

電子商務分類:

1、企業對企業的電子商務(B2B);

2、企業對消費者的電子商務(B2C);

3、企業對政府的電子商務(B2G);

4、消費者對政府的電子商務(C2G);

5、消費者對消費者的電子商務(C2C);

6、企業、消費者、代理商三者相互轉化的電子商務(ABC);

7、以消費者為中心的全新商業模式(C2B2S);

8、以供需方為目標的新型電子商務(P2D)。

④ 電子商務的安全策略包括哪些

一、網路節點的安全

1.防火牆

防火牆是在連接Internet和Intranet保證安全最為有效的方法,防火牆能夠有效地監視網路的通信信息,並記憶通信狀態,從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet系統。

2.防火牆安全策略

應給予特別注意的是,防火牆不僅僅是路由器、堡壘主機或任何提供網路安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防禦體系來保護機構的信息資源,這種安全策略應包括:規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網路攻擊的地方都必須以同樣安全級別加以保護。僅設立防火牆系統,而沒有全面的安全策略,那麼防火牆就形同虛設。

3.安全操作系統

防火牆是基於操作系統的。如果信息通過操作系統的後門繞過防火牆進入內部網,則防火牆失效。所以,要保證防火牆發揮作用,必須保證操作系統的安全。只有在安全操作系統的基礎上,才能充分發揮防火牆的功能。在條件許可的情況下,應考慮將防火牆單獨安裝在硬體設備上。

二、通訊的安全

1.數據通訊

通訊的安全主要依靠對通信數據的加密來保證。在通訊鏈路上的數據安全,一定程度上取決於加密的演算法和加密的強度。電子商務系統的數據通信主要存在於:

(1)客戶瀏覽器端與電子商務WEB伺服器端的通訊;

(2)電子商務WEB伺服器與電子商務資料庫伺服器的通訊;

(3)銀行內部網與業務網之間的數據通訊。其中(3)不在本系統的安全策略范圍內考慮。

2.安全鏈路

在客戶端瀏覽器和電子商務WEB伺服器之間採用SSL協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。目前採用的是瀏覽器預設的4O位加密強度,也可以考慮將加密強度增加到128位。為在瀏覽器和伺服器之間建立安全機制,SSL首先要求伺服器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(CA中心)簽發。瀏覽器要驗征伺服器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰(PKI)。建立SSL鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的伺服器證書通過後利用該證書對稱加密演算法(RSA)與伺服器協商一個對稱演算法及密鑰,然後用此對稱演算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。

三、應用程序的安全性

即使正確地配置了訪問控制規則,要滿足計算機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字元串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個預設的許可是正確的。

這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字元串來實現的。程序不檢查輸入字元串長度。假的輸入字元串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶並賦予這個用戶特權。訪問控制系統中沒有什麼可以檢測到這些問題。只有通過監視系統並尋找違反安全策略的行為,才能發現象這些問題一樣的錯誤。

四、用戶的認證管理

1.身份認證

電子商務企業用戶身份認證可以通過伺服器CA證書與IC卡相結合實現的。CA證書用來認證伺服器的身份,IC卡用來認證企業用戶的身份。個人用戶由於沒有提供交易功能,所以只採用ID號和密碼口令的身份確認機制。

2.CA證書

要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是CA證書,它由認證授權中心(CA中心)發行。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核後,為其發放數字證書,證書分為伺服器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時進行)。

五、安全管理

為了確保系統的安全性,除了採用上述技術手段外,還必須建立嚴格的內部安全機制。

對於所有接觸系統的人員,按其職責設定其訪問系統的最小許可權。

按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法佔用、冒用合法用戶帳號和密碼。

建立網路安全維護日誌,記錄與安全性相關的信息及事件,有情況出現時便於跟蹤查詢。定期檢查日誌,以便及時發現潛在的安全威脅。

對於重要數據要及時進行備份,且對資料庫中存放的數據,資料庫系統應視其重要性提供不同級別的數據加密。

安全實際上就是一種風險管理。任何技術手段都不能保證1OO%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。

⑤ 電子商務常用的安全措施

就整個系統而言,安全性可以分為四個層次
1.網路節點的安全
2.通訊的安全性
3.程序的安全性
4.用戶的認證管理
其中2、3、4層是通過操作系統和Web伺服器軟體實現,網路節點的安全性依靠防火牆保證,我們應該首先保證網路節點的安全性。
一、網路節點的安全
1.防火牆
防火牆是在連接Internet和Intranet保證安全最為有效的,防火牆能夠有效地監視網路的通信信息,並記憶通信狀態,從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet系統。
2.防火牆安全策略
應給予特別注意的是,防火牆不僅僅是路由器、堡壘主機或任何提供網路安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防禦體系來保護機構的信息資源,這種安全策略應包括:規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網路攻擊的地方都必須以同樣安全級別加以保護。僅設立防火牆系統,而沒有全面的安全策略,那麼防火牆就形同虛設。
3.安全操作系統
防火牆是基於操作系統的。如果信息通過操作系統的後門繞過防火牆進入內部網,則防火牆失效。所以,要保證防火牆發揮作用,必須保證操作系統的安全。只有在安全操作系統的基礎上,才能充分發揮防火牆的功能。在條件許可的情況下,應考慮將防火牆單獨安裝在硬體設備上。
二、通訊的安全
1.數據通訊
通訊的安全主要依靠對通信數據的加密來保證。在通訊鏈路上的數據安全,一定程度上取決於加密的演算法和加密的強度。 電子商務系統的數據通信主要存在於:
(1)客戶瀏覽器端與電子商務WEB伺服器端的通訊;
(2)電子商務WEB伺服器與電子商務資料庫伺服器的通訊;
(3)銀行內部網與業務網之間的數據通訊。其中(3)不在本系統的安全策略范圍內考慮。

2.安全鏈路
在客戶端瀏覽器和商務WEB伺服器之間採用SSL協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。採用的是瀏覽器預設的4O位加密強度,也可以考慮將加密強度增加到128位。 為在瀏覽器和伺服器之間建立安全機制,SSL首先要求伺服器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(CA中心)簽發。瀏覽器要驗征伺服器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰(PKI)。建立SSL鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的伺服器證書通過後利用該證書對稱加密演算法(RSA)與伺服器協商一個對稱演算法及密鑰,然後用此對稱演算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。
三、程序的安全性
即使正確地配置了訪問控制規則,要滿足機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字元串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運 行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個預設的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一 些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字元串來實現的。程序不檢查輸入字元串長度。假的輸入字元串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶並賦予這個用戶特權。 訪問控制系統中沒有什麼可以檢測到這些。只有通過監視系統並尋找違反安全策略的行為,才能發現象這些問題一樣的錯誤。
四、用戶的認證管理
1.身份認證
電子商務用戶身份認證可以通過伺服器CA證書與IC卡相結合實現的。CA證書用來認證伺服器的身份,IC卡用來認證企業用戶的身份。個人用戶由於沒有提供交易功能,所以只採用ID號和密碼口令的身份確認機制。
2.CA證書
要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是CA證書,它由認證授權中心(CA中心)發行。CA中心一般是公認的可靠組織,它對個人、組織進行審核後,為其發放數字證書,證書分為伺服器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時進行)。
五、安全管理
為了確保系統的安全性,除了採用上述技術手段外,還必須建立嚴格的內部安全機制。
對於所有接觸系統的人員,按其職責設定其訪問系統的最小許可權。
按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法佔用、冒用合法用戶帳號和密碼。
建立安全維護日誌,記錄與安全性相關的信息及事件,有情況出現時便於跟蹤查詢。定期檢查日誌,以便及時發現潛在的安全威脅。
對於重要數據要及時進行備份,且對資料庫中存放的數據,資料庫系統應視其重要性提供不同級別的數據加密。
安全實際上就是一種風險管理。任何技術手段都不能保證1OO%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。

⑥ 電子商務安全的措施

適當設置防護措施可以降低或防止來自現實的威脅。在通信安全、計算機安全、物理安全、人事安全、管理安全和媒體安全方面均可採取一定的措施,整個系統的安全取決於系統中最薄弱環節的安全水平,這就需要從系統設計上進行全面的考慮,折中選取。電子商務中的安全措施包括有下述幾類:
(1)保證交易雙方身份的真實性:
常用的處理技術是身份認證,依賴某個可信賴的機構(CA認證中心)發放證書,並以此識別對方。目的是保證身份的精確性,分辨參與者身份的真偽,防止偽裝攻擊。
(2)保證信息的保密性:
保護信息不被泄露或被披露給未經授權的人或組織,常用的處理技術是數據加密和解密,其安全性依賴於使用的演算法和密鑰長度。常見的加密方法有對稱式密鑰加密技術(如DES演算法)和公開密鑰加密技術(如RSA演算法)。(3)保證信息的完整性:
常用數據雜湊等技術來實現。通過散列演算法來保護數據不被未授權者(非法用戶)建立、嵌入、刪除、篡改、重放。典型的散列演算法為美國國家安全局開發的單向散列演算法之一。
(4)保證信息的真實性:
常用的處理手段是數字簽名技術。目的是為了解決通信雙方相互之間可能的欺詐,如發送用戶對他所發送信息的否認、接收用戶對他已收到信息的否認等,而不是對付未知的攻擊者,其基礎是公開密鑰加密技術。目前,可用的數字簽名演算法較多,如RSA數字簽名、ELGamal數字簽名等。
(5)保證信息的不可否認性:
通常要求引入認證中心(CA)進行管理,由CA發放密鑰,傳輸的單證及其簽名的備份發至CA保存,作為可能爭議的仲裁依據。
(6)保證存儲信息的安全性:
規范內部管理,使用訪問控制許可權和日誌,以及敏感信息的加密存儲等。

⑦ 未來電子商務安全問題及預防措施

電子商務是互聯網應用的重要趨勢之一,也是國際金融貿易中越來越重要的經營模式之一,以後會逐漸地成為我們經濟生活中一個重要的部分,安全是保證電子商務健康有序發展的關鍵因素,也是目前大家十分關注的話題,下面將就電子商務發展中的幾個熱點問題,談談個人的看法。
一、怎麼看待安全與發展的關系
談到安全與發展兩者之間的關系時,許多人都會認為安全更重要,而實際上在信息化發展的過程中,發展自始至終都應是放在第一位的,因為沒有發展安全就無從談起,沒有發展就是最大的不安全。
從國內外的情況來看,電子商務發展的速度太快,致使其安全技術和安全管理跟不上,這是一個越來越突出的問題。電子商務的快速發展需要業界,特別是信息安全業快速地作出反應,否則安全方面的問題將會制約它的發展。現在不僅僅是發展中國家,就連美國這樣的發達國家,電子商務在很多領域還是沒有像其它傳統的商務那樣發達,一個重要的原因就是安全問題。這就需要信息安全業的同行作出不懈的努力,不要因為安全問題而制約了電子商務的發展。
二、如何看待電子商務的安全問題
在正確看待電子商務的安全問題時,有幾個觀念值得注意:
其一,安全是一個系統的概念。安全問題不僅僅是個技術性的問題,不僅僅只涉及到技術,更重要的還有管理,而且它還與社會道德、行業管理以及人們的行為模式都緊密地聯系在一起了。
其二,安全是相對的。房子的窗戶上只有一塊玻璃,一般說來這已經很安全,但是如果非要用石頭去砸,那就不安全了。我們不會因為石頭能砸碎玻璃而去懷疑它的安全性,因為大家都有一個普遍的認識:玻璃是不能砸的,有了窗玻璃就可以保證房子的安全。同樣,不要追求一個永遠也攻不破的安全技術,安全與管理始終是聯系在一起的。也就是說安全是相對的,而不是絕對的,如果要想以後的網站永遠不受攻擊,不出安全問題是很難的,我們要正確認識這個問題。
其三,安全是有成本和代價的。無論是現在國外的B-to-B還是B-to-C,都要考慮到安全的代價和成本的問題。如果只注重速度就必定要以犧牲安全來作為代價,如果能考慮到安全速度就得慢一點,把安全性保障得更好一些,當然這與電子商務的具體應用有關。如果不直接牽涉到支付等敏感問題,對安全的要求就低一些;如果牽涉到支付問題對安全的要求就要高一些,所以安全是有成本和代價的。作為一個經營者,應該綜合考慮這些因素;作為安全技術的提供者,在研發技術時也要考慮到這些因素。
其四,安全是發展的、動態的。今天安全明天就不一定很安全,因為網路的攻防是此消彼長、道高一尺、魔高一丈的事情,尤其是安全技術,它的敏感性、競爭性以及對抗性都是很強的,這就需要不斷地檢查、評估和調整相應的安全策略。沒有一勞永逸的安全,也沒有一蹴而就的安全。
三、社會上對電子商務的需求有哪些
電子商務是用電子化的方式實現傳統商務的模式或者說對傳統商務的革命,它的發展需要以下幾個必備的條件。
其一,對電子商務的發展要有廣泛的認同。無論是現在的銀行、證券也好還是傳統的物物交換,社會認同是交易得以實現的基礎。對電子商務的發展也必須有廣泛的認同。
其二,電子商務的交易模式不能被假冒。也就是說必須要有足夠的安全保障。
其三,能真正節省開支。人類從最原始的物物交換到一般等價物、到信用體制等等都是在不斷地降低交易成本,如果我們引進電子商務不但不能減少成本,反而會使成本增加,就不會得到社會的認同。
其四,要求方便易用,這一點十分重要。目前我國電子商務發展的發展過程中最致命就是使用不方便。
其五,要能滿足社會大眾的商業心態。它可以是「實名制」也可以是「隱名」的(當然現在也正討論怎麼使存款「實名制」),原來的金融體系或經濟體系的優勢就在於既可以是「實名」的也可以是「隱名」的,所以發展電子商務時也要考慮這個問題,否則用戶就沒有選擇,其發展就會受到阻礙。
社會對電子商務安全的需求簡單歸納起來主要有以下幾點:
1.信息要求真實和完整。因為無論中國人還是外國人,都會覺得「隔山買牛」是一件心裡沒底的事情,因此都希望電子商務上的信息是真實的、完整的。
2.所有交易不能夠抵賴,否則,生意就沒法做了。這不但需要用道德和法律進行約束,更需要相關技術進行保障。如果總是發生扯皮或糾紛,再好的電子商務也會因此而黃掉。
3.支付和交易必須是安全而可靠的。目前,如何保障支付和交易的安全可靠是一個全球性問題,電子商務要有大的發展,就必須管好這些瓶頸。
4.用戶或商家的身份在網路上能夠被准確地識別。如果不能准確識別交易雙方的身份,發生糾紛時就無法進行有效的仲裁。
5.能夠保護個人隱私。對個人隱私的保護現在越來越受到重視,以前我們可能不太看重這個問題。越是開放,越是信息化,個人隱私越重要。
四、對電子商務現狀的看法
現在,電子商務網站的經營很熱鬧,但其實也很艱難。根據我們了解的情況,我國的電子商務雖然收益不佳的現狀有望改觀,但技術和管理方面的問題還依然存在,安全隱患仍令人擔憂。
從技術上看:首先是數據傳輸的速度太慢;第二是沒有安全、可靠的結賬方式,這嚴重製約著電子商務的發展;第三是IT技術的發展速度太快,商務模式的形成和人們使用習慣的養成都需要一定的時間,雖然技術不斷發展,但社會對技術的認同是有階段的,這使得用戶和經營者都難以消化,難以跟上這種快速發展的步伐;第四是難以及時處理用戶的有關問題,開通一個網站,如果一段時間以後用戶的反饋多了,網路的速度就會慢下來,這也許是線路本身的問題,但也存在技術處理的問題,目前尚沒有解決的良策。第五是在安全保障上,難以防範現在的網路犯罪,特別是黑客的攻擊。
從管理上看,存在的主要問題有:1)國內電子商務網站的數目太少、瀏覽電子商務網站的用戶數量沒有期望的那麼多;2)電子商務網站的經營收益遠低於預期,使有網路泡沫之虞;3)缺乏能適應中國國情的市場技巧。現在的電子商務網站動作的市場方式基本上是照搬美國的,在造勢上不無奢華,但在收效上卻無殷實,不充分考慮中國人的商業行為和方式,恐怕是難以成功的。4)網站運營成本太高。由於運行成本居高不下,再好的商業模式也不堪重負。5)收費困難。除BtoB稍好一點外,BtoC電子商務一直沒有找到方便可行的收費方式。
從安全上看,電子商務的隱患,令人擔憂,主要表現在:
1.網路信息安全在全球還沒有形成一個完整的體系,我國也不例外。雖然有關電子商務安全的產品數量不少,但真正通過認證的卻相當少。近兩年,有將近20家有關電子商務安全的產品申請認證,但最後通過的非常少,這主要是因為不少安全措施是從網上「down」下來的,另外,不少電子商務安全技術的廠商對網路技術很熟悉,但是對安全技術普通了解得較少,因而他們很難開發出真正實用的、安全性足用的安全技術和產品。
2.安全技術的強度普遍不夠。國外有關電子商務的安全技術,雖然其結構或加密技術等都不錯,但這種演算法(無論是對稱的還是非對稱的)受到了外國密碼政策的限制,因此強度普遍不夠。這種技術用在B-to-C方面還勉強可行,但用在B-to-B上就顯然不夠。
3.電子商務網站的安全管理存在很大隱患,普遍難以經受黑客的攻擊。這個問題應當引起高度重視,國內電子商務網站被攻擊的事件較少並不表示是牢不可破,而是網站本身很小,沒有多少可攻的價值。
4.電子商務僅僅局限於商務信息領域而沒有深入真正的電子商務領域,這些因素的存在必將影響我國電子商務進一步的發展。
五、關於面向社會服務的CA中心
現在大家都在關注CA中心,從國外的發展看,認證應該是第三方的,政府幹預最好少一些,只需作些必要的引導。在我國,最大的問題是多人過早地把CA認證看作是一種產業,把它當作生意來做,而過少地考慮到應該擔負的責任。其實,面向社會服務的CA中心必須達到一定的要求。首先要看建設單位是否具備管理能力,以及責任和義務是否很明確,一旦證書出了問題,各方的責任是否清楚;其次是看技術能力和運行條件,CA要為社會服務,能否保證安全可信,運轉有效;這需要專門的技術能力和安全完整的網上認證技術體系。比如在炒股票時,如果認證的周期太長,別人已經成交了,你這里還堵著,那肯定不行。第三是看是否有足夠的財力支持。沒有數千萬乃至上億的投入,是無法面向社會提供可信賴的CA服務。第四是看整個CA系統和設施是否安全。總之,CA中心能否提供安全可靠的服務,不能僅憑自身的宣傳,而是要通過「國家信息安全認證」。到目前為止已經通過認證的只有一家,還有其它幾家也正在審查之中。主要的問題不在於能否發出證書,而在於能否保障證書的使用者的利益。
六、如何看待電子商務網站受到的攻擊
剛才我們提到過黑客的問題,黑客的威力到底有多大?
目前,我國網站所受到黑客的攻擊,還不能與美國的相提並論,因為我們的用戶數、規模和級別還是處在很初級的階段。如果遇到類似於DDOS的攻擊時應該引起注意,但不必很驚慌,因為在目前的情況下,一個電子商務網站停一兩天所受的損失不是很大,畢竟業務量和交易額都還不大。從以往遭遇過的攻擊中我們可以得到以下幾點啟示:
1.純技術難以防範原始攻擊方式。如果我們按照西方人的思維方式去思考,不斷的追求和更新安全技術,防火牆可以做得非常強,但如果黑客不去竊取信息或數據,而只是去阻塞網站,這種非常野蠻的攻擊方式用單純的技術是很難解決的,而要靠管理或其它的方法去防範。美國電子商務網站遭受那麼大規模的攻擊,雖然有技術方面的原因,但總的看來還是一個管理的問題,這里的管理包括網站的經營者要如何防止自己的網站被攻擊,上網的用戶如何保證自己的機器不會無辜地被別人利用,現在網上的安全補丁很多,但很少有人真正用它或不知道怎麼去用。所以,在信息化發展的初期,管理比技術顯得更為重要。
2.病毒比一般攻擊更可怕。現在的病毒(包括惡性代碼)破壞性越來越大。現在電子商務上的交易都是非時間敏感性的項目,所以時效性並不太突出,可怕的是病毒對數據的破壞。
3.從目前的情況看,危及電子商務的首先是病毒或惡意代碼;然後是內部人員濫用計算資源,對此國外強調的比較多,國內強調的比較少,隨著技術人員流動性增大,道德也有待提高;第三是黑客攻擊;第四是用戶數據的泄漏;第五是假冒的交易。
七、關於電子商務需要的安全技術與產品
目前,國內市場需要較大的網路安全產品還是防火牆,從國內外采購的數量來看,防火牆均居於首位的;其次是通信保密設備;第三是現在電子商務裡面應用最多的客戶機伺服器中的安全模式;第四是區域網或廣域網上的安全技術;第五是web安全技術;第六是災難恢復技術,從銀行和金融界的一些情況看,大家對這方面的重視還不夠,普遍的電子商務網站對災難恢復考慮得都不是很好,這也是迫切需要的。
八、制約我國電子商務發展的主要因素
制約我國電子商務的因素主要有:其一是商業信息化程度太低;其二是交易過程不規范;其三是信用制度不健全;其四是技術發展太快,沒有一定的穩定過程;其五是出現問題後客戶去找誰負責。由於有關電子商務的立法和管理剛剛開始,有人開玩笑說「電子商務目前是個『三無』行業:無法可依、無安全可言、無規可循」,當然這只有一定的道理,我國政府對電子商務的管理已經報上議事日程,各個部門都在抓緊制定推進電子商務的政策。
九、加快電子商務發展的建議
對電子商務發展的建議簡單地講是「兩高一低」,即:1)不斷提高服務的安全性,否則會制約電子商務的發展;成為發展的瓶頸;2)提高通訊的速度,否則電子商務就成了純粹的電子廣告而無法將商場搬到裡面,許多東西我們無法看到,也更談不上交易;3)降低成本,這不僅僅是降低硬體成本,特別是要降低通訊成本。因為電子商務發展的目的本來就是為了降低交易成本,交易成本反而高了就不正常。許多人都認為花那麼大的投入去搞電子商務還不如去面對面地談生意,打個電話許多貨就發過來了,用不著去識別身份什麼的。
電子商務安全管理的基本趨勢似乎可用:「誰經營、誰負責」六個字來概括,也可以說是誰管理誰負責。這就強調業界要自律,要對安全問題承擔責任。

⑧ 電子商務安全方面的措施有哪些

電子商復務系統的安全重點主要基制於以下兩個方面:

(1)系統安全性:指系統的穩定性和抗攻擊能力,以及在受到攻擊或系統出現軟、硬體故障後的系統恢復能力。

(2)數據安全性:是指保持數據的一致性、完整性,和使用許可權的可控制性等。數據安全性包含以下幾個方面:

①數據的機密性。任何人不能看到其無權看到的信息;其中,比普通加密方式更進一步的是,任何人都不能看到或修改其行政管理概念上的許可權無權獲得的數據(數據加密),這將更符合實際的要求。

②數據的完整性。對發出的數據只有完整到達,才能被完全確認,否則數據不能被認可。

③不可抵賴性。對任何人已經發出的信息,能夠根據信息本身確定數據只能由該人發出,並能確定發出時間等重要信息。

閱讀全文

與電子商務安全措施相關的資料

熱點內容
卷煙品牌營銷重點內容 瀏覽:751
幼兒園六一節捐贈活動策劃方案 瀏覽:556
cosplay活動策劃方案 瀏覽:535
慈溪市百信佳電子商務有限公司 瀏覽:139
株洲電子商務產業園 瀏覽:939
電子商務企業商業計劃書 瀏覽:756
綠化工職業技能培訓方案 瀏覽:932
促銷活動截止通知範文 瀏覽:486
五四活動方案策劃書範文 瀏覽:708
市場營銷實訓個人報告範文 瀏覽:598
醫院市場營銷渠道案例 瀏覽:821
新酒店開業營銷方案怎麼寫 瀏覽:229
網路營銷實訓體會 瀏覽:363
市場營銷與企業文化書 瀏覽:597
促銷活動方案總結範文大全 瀏覽:915
培訓方案學生會 瀏覽:145
格力公司市場營銷調研報告 瀏覽:258
網路營銷策劃主要策劃方案是什麼 瀏覽:477
市場營銷專業未來發展趨勢 瀏覽:139
關於外出培訓的方案 瀏覽:432