電子商務(wù)安全的重要性范文

時(shí)間:2023-09-18 17:59:30

導(dǎo)語(yǔ):如何才能寫(xiě)好一篇電子商務(wù)安全的重要性,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公文云整理的十篇范文,供你借鑒。

篇1

一、網(wǎng)絡(luò)安全對(duì)于電子商務(wù)的重要性

當(dāng)前,電子商務(wù)已逐步覆蓋全球,而網(wǎng)絡(luò)安全問(wèn)題也得到了業(yè)內(nèi)廣泛關(guān)注。電子商務(wù)的交易方式有別于傳統(tǒng)的面對(duì)面交易,在電力商務(wù)中,交易雙方均通過(guò)網(wǎng)絡(luò)進(jìn)行信息交流,以網(wǎng)絡(luò)為媒介無(wú)疑加大了交易的風(fēng)險(xiǎn)性,因此安全的網(wǎng)絡(luò)環(huán)境能夠給交易雙方均帶來(lái)良好的體驗(yàn)。電子商務(wù)的網(wǎng)絡(luò)安全管理較為復(fù)雜,不僅需要高新的技術(shù)做支持,如電子簽名、電子識(shí)別等,還需要用戶(hù)的配合,通常來(lái)說(shuō),用戶(hù)的個(gè)人信息越全面,網(wǎng)絡(luò)交易平臺(tái)對(duì)用戶(hù)的保護(hù)便會(huì)越全方位??梢?jiàn),在電子商務(wù)交易平臺(tái)中,網(wǎng)絡(luò)安全具有十分重要的作用。

二、電子商務(wù)中網(wǎng)絡(luò)安全的技術(shù)要素

1、防火墻技術(shù)。防火墻技術(shù)主要是通過(guò)數(shù)據(jù)包過(guò)濾以及服務(wù)的方式來(lái)實(shí)現(xiàn)病毒的防治和阻擋入侵互聯(lián)網(wǎng)內(nèi)部信息[1]。防火墻好比一個(gè)可以設(shè)定濾網(wǎng)大小的過(guò)濾裝置,可以根據(jù)用戶(hù)的需求,對(duì)信息進(jìn)行過(guò)濾、管理。在服務(wù)器中,防火墻的技術(shù)便演化為一種連接各個(gè)網(wǎng)關(guān)的技術(shù),對(duì)網(wǎng)關(guān)之間的信息聯(lián)通進(jìn)行過(guò)濾。雖然上述兩種過(guò)濾管理技術(shù)形式略有區(qū)別,但本質(zhì)相同,在電子商務(wù)中,可以將兩者結(jié)合使用,使各自的優(yōu)勢(shì)得到充分發(fā)揮。實(shí)現(xiàn)在防火墻內(nèi)部設(shè)計(jì)好一個(gè)過(guò)濾裝置,以便對(duì)信息進(jìn)行過(guò)濾與確定是否可以通過(guò)。

2、數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密是對(duì)于指定接收方設(shè)定一個(gè)解密的密碼,由數(shù)學(xué)的方式,轉(zhuǎn)換成安全性高的加密技術(shù),以確保信息的安全。這里面會(huì)涉及到一個(gè)認(rèn)證中心,也就是第三方來(lái)進(jìn)行服務(wù)的一個(gè)專(zhuān)門(mén)機(jī)構(gòu),必須嚴(yán)格按照認(rèn)證操作規(guī)定進(jìn)行服務(wù)[2]。認(rèn)證系統(tǒng)的基本原理是利用可靠性高的第三方認(rèn)證系統(tǒng)CA來(lái)確保安全與合法、可靠性的交易行為。主要包括CA和Webpunisher,RA與CA的兩者通過(guò)報(bào)文進(jìn)行交易,不過(guò)也要通過(guò)RSA進(jìn)行加密,必須有解密密鑰才可以對(duì)稱(chēng),并通過(guò)認(rèn)證,如果明文與密文的不對(duì)稱(chēng),就不會(huì)認(rèn)證通過(guò),保證了信息的安全[3]。

3、數(shù)字認(rèn)證技術(shù)。為了使電子商務(wù)交易平臺(tái)更為安全、可靠,數(shù)字認(rèn)證技術(shù)便應(yīng)運(yùn)而生,其以第三方信任機(jī)制為主要載體,在進(jìn)行網(wǎng)絡(luò)交易時(shí),用戶(hù)需通過(guò)這一機(jī)制進(jìn)行身份認(rèn)證,以避免不法分子盜用他人信息。PKI對(duì)用戶(hù)信息的保護(hù)通過(guò)密鑰來(lái)實(shí)現(xiàn),密鑰保存了用戶(hù)的個(gè)人信息,在用戶(hù)下次登陸時(shí),唯有信息對(duì)稱(chēng)相符,才能享受到電子商務(wù)平臺(tái)提供的相應(yīng)服務(wù),在密鑰的管理下,數(shù)據(jù)的信息得到充分保護(hù),電子商務(wù)交易的安全性能得到了大幅提升。

三、電子商務(wù)中網(wǎng)絡(luò)安全提升的策略

1、提高對(duì)網(wǎng)絡(luò)安全重要性的認(rèn)識(shí)。隨著信息技術(shù)的快速發(fā)展,網(wǎng)絡(luò)在人們工作、生活中已無(wú)處不在,我們?cè)谙硎芫W(wǎng)絡(luò)帶來(lái)的便利時(shí),還應(yīng)了加強(qiáng)對(duì)網(wǎng)絡(luò)安全重要性的了解,樹(shù)立網(wǎng)絡(luò)安全防范意識(shí),為加強(qiáng)網(wǎng)絡(luò)安全奠定思想基礎(chǔ)。應(yīng)加強(qiáng)對(duì)網(wǎng)絡(luò)安全知識(shí)的宣傳和普及,使公民對(duì)網(wǎng)絡(luò)安全有一個(gè)全面的了解;同時(shí),還應(yīng)使公民掌握一些維護(hù)網(wǎng)絡(luò)安全的技能,以便發(fā)生網(wǎng)絡(luò)安全問(wèn)題時(shí),能夠得到及時(shí)控制,避免問(wèn)題擴(kuò)大化。

2、加快網(wǎng)絡(luò)安全專(zhuān)業(yè)人才的培養(yǎng)。網(wǎng)絡(luò)安全的提升離不開(kāi)素質(zhì)過(guò)硬的專(zhuān)業(yè)人才,由于網(wǎng)絡(luò)技術(shù)具有一定的門(mén)檻,如果對(duì)專(zhuān)業(yè)了解不深,技術(shù)上不夠?qū)9?,?zhuān)業(yè)問(wèn)題便難以得到有效解決,應(yīng)著力提升電子商務(wù)網(wǎng)絡(luò)安全技術(shù)人員的專(zhuān)業(yè)素養(yǎng),為加強(qiáng)網(wǎng)絡(luò)安全奠定人力基礎(chǔ)。在培養(yǎng)專(zhuān)業(yè)人才時(shí),應(yīng)勤于和國(guó)內(nèi)外的專(zhuān)業(yè)人員進(jìn)行技術(shù)交流,加強(qiáng)對(duì)網(wǎng)絡(luò)安全領(lǐng)域前沿技術(shù)的了解和掌握,避免在技術(shù)更新上落后于人。

3、開(kāi)展網(wǎng)絡(luò)安全立法和執(zhí)法。網(wǎng)絡(luò)安全的有效提升需要從法律層面進(jìn)行約束,應(yīng)著力于完善網(wǎng)絡(luò)安全立法和執(zhí)法的相關(guān)工作,加快立法工作的步伐,構(gòu)建科學(xué)、合理的網(wǎng)絡(luò)安全法律體系。自從計(jì)算機(jī)產(chǎn)生以來(lái),世界各國(guó)均設(shè)立了維護(hù)網(wǎng)絡(luò)安全的相關(guān)法律法規(guī)。在新時(shí)期,我國(guó)應(yīng)集結(jié)安全部、公安部等職能部門(mén)的力量,加強(qiáng)對(duì)網(wǎng)絡(luò)安全的管理,力求構(gòu)建一個(gè)安全、健康的網(wǎng)絡(luò)環(huán)境。

四、結(jié)論

篇2

【關(guān)鍵詞】電子商務(wù) 病毒入侵 黑客攻擊 信息安全

在互聯(lián)網(wǎng)信息技術(shù)飛速發(fā)展的大背景下,電子商務(wù)(簡(jiǎn)稱(chēng)EC,英文為Electronic Commerce)已逐步演變成人們慣用的商務(wù)活動(dòng)模式,從事互聯(lián)網(wǎng)商業(yè)活動(dòng)的人越來(lái)越多。與傳統(tǒng)商務(wù)活動(dòng)對(duì)比,在B/S方式下運(yùn)轉(zhuǎn),兩大主體完成商品交易不受時(shí)間和空間的限制,這也是電子商務(wù)是最大特點(diǎn)。

現(xiàn)如今,我國(guó)正處于網(wǎng)絡(luò)經(jīng)濟(jì)蓬勃發(fā)展的黃金時(shí)代,各個(gè)領(lǐng)域中電子商務(wù)的普及度較高。新型的商業(yè)活動(dòng)形式建立在網(wǎng)絡(luò)的基礎(chǔ)上,保證了商業(yè)活動(dòng)的便捷性和高效性。不過(guò)電子商務(wù)在對(duì)企業(yè)運(yùn)管效率進(jìn)一步提升的同時(shí),使企業(yè)的面臨著病毒侵入、黑客攻擊、信息抵賴(lài)等問(wèn)題,導(dǎo)致企業(yè)蒙受巨大虧損。所以,高度關(guān)注安全問(wèn)題,才能保證電子商務(wù)平臺(tái)利用率提高。本論文以有關(guān)電子商務(wù)環(huán)境為切入點(diǎn),對(duì)展開(kāi)電子商務(wù)活動(dòng)中出現(xiàn)的信息安全問(wèn)題進(jìn)行分析,并給出對(duì)應(yīng)的方法和策略。

1 電子商務(wù)中網(wǎng)絡(luò)信息安全所存在的問(wèn)題

1.1 電子商務(wù)網(wǎng)絡(luò)存在的問(wèn)題

1.1.1 黑客攻擊

黑客對(duì)網(wǎng)絡(luò)進(jìn)行攻擊是以偷取商業(yè)機(jī)要和攪擾系統(tǒng)正常運(yùn)轉(zhuǎn)為目的,以下是常見(jiàn)的攻擊策略:竊聽(tīng);重發(fā)攻擊;迂回攻擊;假冒攻擊;越權(quán)攻擊等。

1.1.2 系統(tǒng)漏洞

侵入到電商系統(tǒng)人員以系統(tǒng)自身存在的安全漏洞為據(jù),將操作系統(tǒng)數(shù)據(jù)的權(quán)限得到。然而,管理系統(tǒng)未實(shí)時(shí)打補(bǔ)丁或者在設(shè)置安全方面一直選取默認(rèn)設(shè)置等原因造成系統(tǒng)產(chǎn)生漏洞。

1.2 電子商務(wù)信息存在的問(wèn)題

1.2.1 電子商務(wù)信息存儲(chǔ)安全隱患

在靜態(tài)時(shí)儲(chǔ)存電商信息的安全即信息儲(chǔ)存安全。其信息安全隱患主要包括:篡改信息內(nèi)容和非授權(quán)調(diào)用信息。

1.2.2 電子商務(wù)信息傳輸安全隱患

在運(yùn)轉(zhuǎn)電子商務(wù)時(shí),資金流、物流匯集成信息流之后傳送流程中的安全即信息傳送安全。它主要涵蓋以下四種安全隱患:

(1)盜取商業(yè)機(jī)密。大部分是以明文的形式來(lái)傳送電子商務(wù)信息,那么襲擊網(wǎng)絡(luò)的不法分子就極易截取或者監(jiān)聽(tīng)電商信息;

(2)對(duì)商務(wù)網(wǎng)站施以攻擊。攻擊者運(yùn)用計(jì)算機(jī)病毒傳送,屏蔽掉電商網(wǎng)站設(shè)置的防火墻,更改信息,使網(wǎng)站癱瘓;

(3)實(shí)行商務(wù)欺詐。非法人員將虛假信息到Internet上去,詐騙現(xiàn)金、賬號(hào),導(dǎo)致用戶(hù)信任電子商務(wù)活動(dòng)的信賴(lài)度降低,在很大程度上對(duì)電子商務(wù)順利開(kāi)展起阻礙作用;

(4)不良信息的傳送。非法人員為了實(shí)現(xiàn)自己的目標(biāo),把不良信息滲透到電子商務(wù)信息中。

2 應(yīng)對(duì)電子商務(wù)中信息安全問(wèn)題的對(duì)策

2.1 提高網(wǎng)絡(luò)信息安全意識(shí)

相比于西方l達(dá)國(guó)家,國(guó)內(nèi)用戶(hù)網(wǎng)絡(luò)信息安全意識(shí)薄弱,忽視了自我權(quán)益的保護(hù)。再加上我國(guó)尚未建立完善的網(wǎng)絡(luò)信息安全監(jiān)管機(jī)制,出現(xiàn)安全事件之后無(wú)法及時(shí)采取相應(yīng)的補(bǔ)救措施,這些都是威脅信息安全的主要因素。故此,在信息安全中,防范人為因素導(dǎo)致信息非安全問(wèn)題是重要內(nèi)容。解決這一問(wèn)題的關(guān)鍵在于為從事電子商務(wù)的用戶(hù)展開(kāi)安全知識(shí)培訓(xùn)活動(dòng),確保用戶(hù)充分認(rèn)識(shí)信息安全的重要性,對(duì)信息安全常識(shí)了如指掌,進(jìn)而降低電子商務(wù)中產(chǎn)生信息安全事件的幾率。

2.2 加強(qiáng)信息安全的技術(shù)防范

將來(lái)網(wǎng)絡(luò)安全技術(shù)會(huì)在計(jì)算機(jī)網(wǎng)絡(luò)所有層次中滲透,不過(guò)以電子商務(wù)安全防范技術(shù)為中心的網(wǎng)絡(luò)技術(shù)成為最近幾年研究的重要方向。以我國(guó)電子商務(wù)出現(xiàn)的安全問(wèn)題為依據(jù),可采取防火墻、虛擬專(zhuān)用網(wǎng)及認(rèn)證、加密、安全審計(jì)、追蹤黑客、檢測(cè)系統(tǒng)漏洞等技術(shù)應(yīng)對(duì)信息安全。另外還可以將加密路由器、翻譯網(wǎng)絡(luò)地址、動(dòng)態(tài)包過(guò)濾、VPN等技術(shù)充分運(yùn)用起來(lái),確保構(gòu)建一系列嚴(yán)實(shí)的安全防線將受保護(hù)資源與攻擊人員隔開(kāi)。

2.3 強(qiáng)化網(wǎng)絡(luò)信息安全管理

信息安全管理在我國(guó)來(lái)說(shuō)十分薄弱,面臨著管理能力弱且信息安全意識(shí)極其欠缺的問(wèn)題。政府授權(quán)的第三方認(rèn)證中心構(gòu)建是電商信息安全管理中形式有效的一個(gè)方式,即用該認(rèn)證中心來(lái)負(fù)責(zé)電子商務(wù)交易中的兩者主體的信息安全,保證整個(gè)交易流程的安全性和可靠性。

2.4 完善電子商務(wù)立法與信息安全立法

當(dāng)前,我國(guó)正處于電子商務(wù)信息機(jī)制初級(jí)階段,只有在信用法制建設(shè)深入強(qiáng)化的大環(huán)境中,才能確保信息機(jī)制最大限度的施展其能力。故此,應(yīng)當(dāng)以國(guó)內(nèi)電子商務(wù)安全問(wèn)題為依據(jù),不但要使現(xiàn)行法律的管理范疇擴(kuò)大和加強(qiáng),還要加大信息安全與電子商務(wù)立法的力度。另外還應(yīng)當(dāng)對(duì)第三方信用保證進(jìn)行設(shè)置并使其得到強(qiáng)化,務(wù)必由商務(wù)、商檢認(rèn)證中心、銀行共同協(xié)作才可確保交易不受阻礙。

3 結(jié)束語(yǔ)

本文以電子商務(wù)信息安全有關(guān)環(huán)境為切入點(diǎn),對(duì)電商中出現(xiàn)的網(wǎng)信問(wèn)題進(jìn)行探析,并將用戶(hù)網(wǎng)信安全意識(shí)增強(qiáng)、加大網(wǎng)信安全管理力度、加大防范信息安全技術(shù)應(yīng)用力度、健全信息安全和電子商務(wù)立法這四種策略,以期解決電子商務(wù)中出現(xiàn)的安全問(wèn)題。電子商務(wù)安全性是一項(xiàng)龐大、系統(tǒng)的工程,要從技術(shù)和法律上加大保護(hù)力度,只有將電商中出現(xiàn)的所有安全問(wèn)題一并處理好才能使電子商務(wù)更好的服務(wù)于用戶(hù)。

參考文獻(xiàn)

[1]田迎華,楊敬松,周敏.3G時(shí)代移動(dòng)電子商務(wù)安全問(wèn)題研究[J].情報(bào)科學(xué),2010(10):1487-1490.

[2]王立萍.商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理研究[J].中南財(cái)經(jīng)政法大學(xué)學(xué)報(bào),2007(01):75-79+144.

[3]張濱,馮運(yùn)波,吳秦建,江為強(qiáng),喬矗王馨裕,楊明,何鵬.移動(dòng)電子商務(wù)安全技術(shù)與應(yīng)用實(shí)踐[J].通信學(xué)報(bào),2016(04):200.

[4]孫鴻飛,張海濤,宋拓,武慧娟.電子商務(wù)個(gè)性化信息服務(wù)用戶(hù)滿意影響因素實(shí)證研究[J].情報(bào)雜志,2016(04):195-203.

[5]何培育.電子商務(wù)環(huán)境下個(gè)人信息安全危機(jī)與法律保護(hù)對(duì)策探析[J].河北法學(xué),2014(08):34-41.

[6]王興泉,張寧.移動(dòng)電子商務(wù)時(shí)代的信息安全與信息保護(hù)[J].蘭州學(xué)刊,2014(12):175-180.

[7]姚梅芳,楊修,楊涵.電子商務(wù)環(huán)境下信息管理模式研究[J].圖書(shū)情報(bào)工作,2013(05):46-49.

篇3

近年來(lái),科學(xué)技術(shù)的迅猛發(fā)展持續(xù)推動(dòng)著計(jì)算機(jī)硬件的普及和通信網(wǎng)絡(luò)的發(fā)展,在此背景下電子商務(wù)漸漸成為國(guó)內(nèi)商貿(mào)服務(wù)業(yè)的主流形態(tài)。電子商務(wù)利用Internet平臺(tái)將傳統(tǒng)商務(wù)活動(dòng)中的參與各方(買(mǎi)家、賣(mài)家、物流公司、金融機(jī)構(gòu)等)連接在一起,通過(guò)將整個(gè)交易過(guò)程網(wǎng)絡(luò)化、電子化、信息化,減低了交易的成本,提高了交易效率。其涵蓋了商品和服務(wù)相關(guān)人員和行為的各個(gè)方面,即在電子商務(wù)活動(dòng)中,會(huì)涵蓋方方面面的信息。電子商務(wù)自產(chǎn)生以來(lái),迅速被廣泛應(yīng)用到各個(gè)領(lǐng)域中,包括商品交易和服務(wù)的各個(gè)環(huán)節(jié),例如購(gòu)買(mǎi)、信息咨詢(xún)、支付寶等,通過(guò)網(wǎng)絡(luò)媒介將商家、顧客、銀行等聯(lián)系起來(lái)。例如電子商務(wù)應(yīng)用最成功的企業(yè)——阿里巴巴,通過(guò)電子商務(wù)成為中國(guó)最大、盈利最多的網(wǎng)絡(luò)營(yíng)銷(xiāo)商戶(hù)。在電子商務(wù)活動(dòng)整個(gè)過(guò)程中,包括商家和買(mǎi)家信息、個(gè)人銀行私密信息、商業(yè)秘密等,這些信息數(shù)量廣泛,內(nèi)容繁雜,真實(shí)有效,一旦被惡意泄露,產(chǎn)生的惡劣后果將難以估量。網(wǎng)絡(luò)信息安全是推動(dòng)電子商務(wù)更好更快發(fā)展的內(nèi)在動(dòng)力,保障公眾信息安全,是電子商務(wù)能夠正常運(yùn)行的前提條件,信息安全包括信息的完整性、可靠性和保密性。信息安全直接關(guān)乎買(mǎi)家個(gè)人利益,甚至影響整個(gè)企業(yè)收益水平。網(wǎng)絡(luò)環(huán)境下,保障電子商務(wù)活動(dòng)中信息安全具有很重要的意義。企業(yè)管理者要高度重視不斷增加的網(wǎng)絡(luò)入侵、黑客攻擊,積極探索加強(qiáng)網(wǎng)絡(luò)防御功能的辦法。

2電子商務(wù)信息安全問(wèn)題電子商務(wù)在不斷發(fā)展,同時(shí),伴隨產(chǎn)生了越來(lái)越多的信息安全問(wèn)題,列舉如下。

2.1信息存儲(chǔ)安全電子商務(wù)在靜態(tài)存放時(shí)的安全,被稱(chēng)為信息存儲(chǔ)安全。企業(yè)在開(kāi)放的網(wǎng)絡(luò)環(huán)境下運(yùn)行時(shí),電子信息安全往往存在兩類(lèi)不安全因素:內(nèi)部不安全要素,企業(yè)內(nèi)部之間或者是其顧客隨意調(diào)用或者增、改、刪除電子商務(wù)信息;外部不安全因素,外部人員非法入侵企業(yè)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò),故意調(diào)用或者增、改、刪除電子商務(wù)信息,例如黑客入侵、企業(yè)之間的惡意競(jìng)爭(zhēng)、信息間諜的非法闖入等。

2.2交易雙方信息安全新型電子商務(wù)模式打破了傳統(tǒng)買(mǎi)賣(mài)雙方面對(duì)面的交易方式,交易雙方的整個(gè)交易活動(dòng)都是在計(jì)算機(jī)網(wǎng)絡(luò)上進(jìn)行信息交流,因而,電子商務(wù)的交易就會(huì)存在不安全現(xiàn)象。電子商務(wù)交易包括賣(mài)方和買(mǎi)方。買(mǎi)方可以是個(gè)人或者公司,主要存在的信息安全問(wèn)題包括:第一,用戶(hù)被冒名頂替,收不到所購(gòu)的商品,直接導(dǎo)致財(cái)產(chǎn)損失;第二,用戶(hù)發(fā)送的交易信息不完整,導(dǎo)致商戶(hù)無(wú)法將商品發(fā)送到買(mǎi)家手中;第三,域名被擴(kuò)散或監(jiān)聽(tīng),致使買(mǎi)家信息被泄露;第四,因網(wǎng)絡(luò)上看不到商品的實(shí)物,可能會(huì)被虛假?gòu)V告所欺騙,購(gòu)買(mǎi)假冒偽劣產(chǎn)品。賣(mài)家存在的信息安全威脅:第一,企業(yè)之間的惡意競(jìng)爭(zhēng),采用不正當(dāng)手段侵入企業(yè)內(nèi)部獲取企業(yè)營(yíng)銷(xiāo)信息和客戶(hù)信息;第二,冒名更改交易內(nèi)容,阻斷電子商務(wù)活動(dòng)的正常進(jìn)行,毀壞商家的信譽(yù)和利益;第三,違法分子采用高科技竊取商業(yè)機(jī)密,侵犯商家專(zhuān)利;第四,電子商務(wù)信息可能會(huì)遭到惡意程序的破壞,例如木馬程序;第五,黑客入侵,黑客通過(guò)攻擊服務(wù)器,使企業(yè)網(wǎng)站上產(chǎn)生大量虛假訂單,造成系統(tǒng)擁擠,影響企業(yè)的正常運(yùn)營(yíng)。

2.3信息傳輸安全信息傳輸安全是指電子商務(wù)信息在動(dòng)態(tài)傳輸過(guò)程中的安全問(wèn)題。信息在傳輸過(guò)程中容易產(chǎn)生被篡改的危險(xiǎn),如收到偽造的電子郵件,傳輸?shù)男畔⒈环欠ń孬@,實(shí)際的交易信息被惡意銷(xiāo)毀等,同時(shí),如果網(wǎng)絡(luò)硬件和軟件產(chǎn)生問(wèn)題,也會(huì)造成信息在傳遞中被丟失或者產(chǎn)生謬誤,促成電子商務(wù)中的信息安全問(wèn)題。

3電子商務(wù)信息安全因素

在傳統(tǒng)交易過(guò)程中,買(mǎi)賣(mài)雙方通過(guò)面對(duì)面的交流,很快在雙方之間建立安全和信任關(guān)系,達(dá)成交易。但是在新型電子商務(wù)活動(dòng)中,打破傳統(tǒng)聯(lián)系方式,以互聯(lián)網(wǎng)作為交易媒介,互聯(lián)網(wǎng)的虛擬性、動(dòng)態(tài)性和高度開(kāi)放性等特點(diǎn)使電子商務(wù)活動(dòng)中存在大量的威脅與安全隱患,在沒(méi)有見(jiàn)面的情況下,買(mǎi)賣(mài)雙方很難建立起安全與信任關(guān)系。電子商務(wù)的信息安全因素主要包括以下方面。

3.1電子商務(wù)信息的真實(shí)有效性電子商務(wù)是以電子交易形式取代紙質(zhì)交易,因而,保證電子交易形式的真實(shí)有效性是電子商務(wù)活動(dòng)得以順利開(kāi)展的重要前提條件。電子商務(wù)是一種重要的貿(mào)易形式,其信息的真實(shí)有效性直接關(guān)系買(mǎi)賣(mài)雙方、企業(yè)甚至國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。3.2電子商務(wù)信息的機(jī)密性電子商務(wù)是一種貿(mào)易手段,具有相當(dāng)程度的機(jī)密性。傳統(tǒng)紙質(zhì)貿(mào)易是通過(guò)郵寄信件或其他可靠通信渠道發(fā)送商業(yè)報(bào)文,充分確保了文件的機(jī)密性。在開(kāi)放的網(wǎng)絡(luò)環(huán)境下,商業(yè)泄密事件時(shí)有發(fā)生,防止商業(yè)泄密是確保電子商務(wù)全面推廣應(yīng)用的重要保障。

3.3電子商務(wù)信息的完整性電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程,大量減少了人為干預(yù),很大程度上提高了交易效率,與此同時(shí),也帶來(lái)了一系列信息不完整、不統(tǒng)一的問(wèn)題。工作人員在進(jìn)行數(shù)據(jù)輸入時(shí)可能產(chǎn)生意外差錯(cuò),或者為謀取個(gè)人私利而故意欺詐,破壞了貿(mào)易信息的完整性。在傳輸過(guò)程中,可能因種種原因,造成信息丟失、重復(fù),或者信息原有次序被打亂的現(xiàn)象都會(huì)導(dǎo)致貿(mào)易信息與原信息的不一致。在電子商務(wù)活動(dòng)中,必須加強(qiáng)系統(tǒng)維護(hù),確保數(shù)據(jù)存儲(chǔ)和傳輸?shù)耐暾浴?/p>

3.4電子商務(wù)信息的安全可靠性可靠性是要確保合法用戶(hù)對(duì)電子商務(wù)信息和資源的正當(dāng)使用權(quán),要求建立有效的責(zé)任機(jī)制,防止實(shí)體否認(rèn)用戶(hù)行為,杜絕合法用戶(hù)對(duì)資源的使用過(guò)程中被拒絕的現(xiàn)象,還要在交易雙方之間通過(guò)簽訂可靠的合同、契約等預(yù)防任何一方的抵賴(lài)行為,損害另一方的經(jīng)濟(jì)利益。

4電子商務(wù)信息安全的保障措施

目前,電子商務(wù)已經(jīng)蓬勃發(fā)展起來(lái),迅速被廣泛應(yīng)用到各行各業(yè),例如網(wǎng)上銀行支付、快捷支付、京東商城購(gòu)物等,其發(fā)展前景相當(dāng)可觀。但電子商務(wù)活動(dòng)中存在的一系列信息安全問(wèn)題令人擔(dān)憂。保護(hù)電子商務(wù)信息安全,在網(wǎng)絡(luò)背景下,建立安全、快捷、高效的電子商務(wù)環(huán)境成為當(dāng)務(wù)之急,是企業(yè)管理者應(yīng)該深入探討的重要問(wèn)題之一。近年來(lái)科學(xué)技術(shù)和網(wǎng)絡(luò)信息技術(shù)取得了迅猛的發(fā)展,企業(yè)發(fā)展應(yīng)該具有時(shí)代特征,充分發(fā)展有效的信息安全技術(shù),并結(jié)合行之有效的措施?,F(xiàn)對(duì)保證電子商務(wù)信息安全提出以下幾點(diǎn)建議。

4.1加強(qiáng)網(wǎng)絡(luò)安全在網(wǎng)絡(luò)背景下,電子商務(wù)信息安全的主要內(nèi)容就是網(wǎng)絡(luò)安全,采取高度發(fā)達(dá)的科學(xué)技術(shù)措施,對(duì)危險(xiǎn)進(jìn)行預(yù)測(cè),從而制定行之有效的措施,將信息不安全問(wèn)題化解在萌芽狀態(tài)。保障計(jì)算機(jī)電子商務(wù)信息安全的技術(shù)措施,有利于從源頭上保障信息安全。信息安全得到保障,進(jìn)而促進(jìn)電子商務(wù)的健康、可持續(xù)發(fā)展。首先,要加強(qiáng)信息加密,其目的是保護(hù)網(wǎng)內(nèi)數(shù)據(jù)文件、口令和控制信息,保護(hù)網(wǎng)絡(luò)會(huì)話的完整性,加密是基于數(shù)學(xué)算法的程序和密鑰對(duì)文件進(jìn)行加密,只有發(fā)出者和接受者才能識(shí)別的字符串,防止他人竊取文件信息。加密技術(shù)通常采用對(duì)稱(chēng)加密技術(shù)、非對(duì)稱(chēng)加密技術(shù)或者二者聯(lián)合使用。通常利用數(shù)據(jù)加密標(biāo)準(zhǔn)DES、三重DES、國(guó)際數(shù)據(jù)加密算法等對(duì)常規(guī)密鑰密碼體系進(jìn)行計(jì)算。其次,嚴(yán)格身份識(shí)別,通過(guò)采取一定的技術(shù)措施,確認(rèn)信息發(fā)送者的身份,驗(yàn)證信息的完整性和準(zhǔn)確性,防止信息在傳送或接收存儲(chǔ)過(guò)程中被非法篡改。采用電子技術(shù)手段對(duì)用戶(hù)身份的真實(shí)性和準(zhǔn)確性進(jìn)行驗(yàn)證,設(shè)置網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限,電子商務(wù)活動(dòng)中的所有參與方必須根據(jù)認(rèn)證中心簽發(fā)的數(shù)字標(biāo)識(shí)進(jìn)行身份驗(yàn)證。建立電子商務(wù)網(wǎng)上認(rèn)證中心,對(duì)網(wǎng)上交易提供認(rèn)證服務(wù)、簽發(fā)數(shù)字證書(shū),進(jìn)而確認(rèn)用戶(hù)身份。最后,鑒于網(wǎng)絡(luò)環(huán)境下,惡意病毒越來(lái)越多,嚴(yán)重影響了電子商務(wù)信息的安全性,要求企業(yè)能夠采取一定的防病毒技術(shù)措施,主要包括:

(1)預(yù)防病毒技術(shù),通過(guò)自身常駐系統(tǒng)內(nèi)存,獲得系統(tǒng)的優(yōu)先控制權(quán),對(duì)可能存在的病毒進(jìn)行預(yù)防,一經(jīng)發(fā)現(xiàn)企業(yè)網(wǎng)站遭受惡意病毒的入侵,要能制定技術(shù)措施,對(duì)計(jì)算機(jī)病毒做出正確分析,阻止病毒進(jìn)入計(jì)算機(jī)系統(tǒng),破壞系統(tǒng);

(2)檢測(cè)病毒系統(tǒng),它是通過(guò)計(jì)算機(jī)對(duì)各種病毒特征的記錄對(duì)病毒進(jìn)行識(shí)別和偵測(cè)的技術(shù);

(3)消除病毒技術(shù),通過(guò)上述技術(shù)措施對(duì)病毒進(jìn)行識(shí)別和分析,開(kāi)發(fā)出具有殺除病毒程序、恢復(fù)原文件的軟件。企業(yè)應(yīng)當(dāng)不斷加大資金投入,研究新的技術(shù)辦法,嚴(yán)格確保在網(wǎng)絡(luò)環(huán)境下計(jì)算機(jī)電子商務(wù)的信息安全。

4.2加強(qiáng)網(wǎng)絡(luò)信息安全設(shè)施建設(shè)電子商務(wù)的快速發(fā)展有效提高了商業(yè)活動(dòng)的交易效率。在網(wǎng)絡(luò)背景下,信息泄露、黑客入侵等電子商務(wù)信息安全問(wèn)題嚴(yán)重阻礙了電子商務(wù)的進(jìn)一步發(fā)展。盡管設(shè)置多道防火墻、多層密保等,可以有效確保網(wǎng)絡(luò)信息系統(tǒng)安全,但是計(jì)算機(jī)的芯片、中央處理器等核心部件如果是別人設(shè)計(jì)生產(chǎn)的,網(wǎng)絡(luò)信息就會(huì)存在一定的安全隱患,是嚴(yán)重威脅我國(guó)網(wǎng)絡(luò)信息安全的重要因素。網(wǎng)絡(luò)環(huán)境下,電子商務(wù)是全球范圍內(nèi)的經(jīng)濟(jì)活動(dòng),是我國(guó)國(guó)民經(jīng)濟(jì)新興的增長(zhǎng)點(diǎn),加強(qiáng)電子商務(wù)網(wǎng)絡(luò)信息安全,對(duì)促進(jìn)我國(guó)市場(chǎng)經(jīng)濟(jì)發(fā)展具有很重要的現(xiàn)實(shí)意義。因此,必須建設(shè)一系列的網(wǎng)絡(luò)信息安全基礎(chǔ)設(shè)施,建立中國(guó)的公開(kāi)密鑰基礎(chǔ)設(shè)施、信息安全產(chǎn)品檢測(cè)評(píng)估等基礎(chǔ)設(shè)施,應(yīng)急預(yù)警基礎(chǔ)設(shè)施尤為必要。

篇4

關(guān)鍵詞:電子商務(wù);信息安全;風(fēng)險(xiǎn)評(píng)估;對(duì)策

基金項(xiàng)目:鄭州科技學(xué)院大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計(jì)劃項(xiàng)目:電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估關(guān)鍵技術(shù)及應(yīng)用(編號(hào):DCY2019007)

1.引言

電子商務(wù)是以互聯(lián)網(wǎng)為基礎(chǔ),以商城消費(fèi)者產(chǎn)品物流為構(gòu)成要素進(jìn)行的電子商務(wù)活動(dòng)。當(dāng)電子商務(wù)相關(guān)部門(mén)或人員在進(jìn)行項(xiàng)目開(kāi)發(fā)時(shí),擁有一套信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)可以幫助其采用科學(xué)合理的方法對(duì)潛在威脅進(jìn)行分析并保證經(jīng)濟(jì)系統(tǒng)的安全。所以將信息安全技術(shù)與現(xiàn)代化新興技術(shù)結(jié)合,將為我們打造一個(gè)更加優(yōu)質(zhì)的網(wǎng)絡(luò)環(huán)境。

2.電子商務(wù)系統(tǒng)中存在的信息安全問(wèn)題及現(xiàn)狀

一般來(lái)說(shuō),電子商務(wù)的信息安全是指在電子商務(wù)交易的過(guò)程中雙方使用各種技術(shù)和法律手段等確保交易不會(huì)因?yàn)橐馔猓瑦阂饣蛘吲哆@些不利要求而受到損害的信息安全。在21世紀(jì)初葉,我國(guó)金融系統(tǒng)中的計(jì)算機(jī)犯罪率一直在不斷地增加,我國(guó)金融網(wǎng)絡(luò)信息安全形勢(shì)非常嚴(yán)峻,需要加強(qiáng)改善。下面就電子商務(wù)網(wǎng)絡(luò)中的信息安全問(wèn)題做一個(gè)簡(jiǎn)要介紹,主要涉及以下幾個(gè)方面:

(1)由于編寫(xiě)的電子商務(wù)系統(tǒng)軟件可以使用不同的形式,因此在實(shí)際應(yīng)用過(guò)程中難以避免的會(huì)留下安全漏洞。例如,網(wǎng)絡(luò)操作系統(tǒng)本身會(huì)存在一些安全問(wèn)題,例如非法訪問(wèn)I/0,這些不完全的調(diào)解和混亂的訪問(wèn)控制會(huì)造成數(shù)據(jù)庫(kù)安全漏洞,而這些漏洞嚴(yán)重影響了電子商務(wù)系統(tǒng)的信息安全性.特別是在設(shè)開(kāi)始設(shè)計(jì)之前就沒(méi)有考慮TCP/IP通信協(xié)議的安全性,這一切都表明當(dāng)前的電子商務(wù)系統(tǒng)網(wǎng)絡(luò)軟件中有一些可以避免或不可避免的安全漏洞。此外信息共享處理帶來(lái)也存在風(fēng)險(xiǎn)。在信息的傳遞過(guò)程中,需要不斷地對(duì)信息源進(jìn)行加工和重現(xiàn),截取有用信息,不可避免會(huì)出現(xiàn)信息轉(zhuǎn)化方面的風(fēng)險(xiǎn)。尤其是在當(dāng)下“社交+商務(wù)”的模式下,一條消息可能瞬間在社交網(wǎng)站上轉(zhuǎn)載數(shù)萬(wàn)次或者更多,一旦在信息轉(zhuǎn)載中出現(xiàn)誤差,影響非常大,風(fēng)險(xiǎn)應(yīng)當(dāng)給予重視。

(2)隨著網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用,計(jì)算機(jī)病毒帶來(lái)的問(wèn)題越來(lái)越廣泛,壓縮文件,電子郵件已經(jīng)成為計(jì)算機(jī)病毒傳播的主要途徑,因?yàn)檫@些病毒的種類(lèi)非常多樣化,破壞性極強(qiáng),使得計(jì)算機(jī)病毒的傳播速度大大加快了。近年來(lái),新病毒種類(lèi)的數(shù)量迅速增加,互聯(lián)網(wǎng)為這些病毒的傳播提供了良好的媒介。這些病毒可以通過(guò)網(wǎng)絡(luò)大量傳播任何粗心大意都會(huì)造成無(wú)法彌補(bǔ)的經(jīng)濟(jì)損失。此外還有信息傳遞過(guò)程所帶來(lái)的風(fēng)險(xiǎn)。信息是一種重要的資源,良好的流動(dòng)性能實(shí)現(xiàn)信息價(jià)值的最大化,但是在信息的傳遞過(guò)程中需要經(jīng)過(guò)許多路徑,而在這過(guò)程中往往存在一些不安全因素,給信息安全帶來(lái)一定的風(fēng)險(xiǎn)。

(3)當(dāng)前的黑客攻擊,除了計(jì)算機(jī)病毒的傳播外,黑容的惡意行為也越來(lái)越猖狂。特洛伊木馬使黑容可以使用計(jì)算機(jī)病毒從而變得更加有目的性,使得計(jì)算機(jī)記錄的登錄信息被特洛伊木馬程序惡意篡改,導(dǎo)致很多重要信息、文件,甚至是金錢(qián)被盜。

(4)由人為因素造成的電子商務(wù)公司的安全問(wèn)題,大部分保密工作是通過(guò)員工的操作來(lái)進(jìn)行的,這就需要員工具有很好的保密性,責(zé)任心和責(zé)任感等道德素質(zhì)。如果員工的責(zé)任心不強(qiáng),態(tài)度不正確,就容易被別人利用,讓無(wú)關(guān)人員隨意進(jìn)出房間或向他人泄露機(jī)密信息,可以讓罪犯廢除重要信息。如果工作人員缺乏良好的職業(yè)道德,可能會(huì)非法超出授權(quán)范圍更改或刪除他人的信息,而且還可以利用所學(xué)專(zhuān)業(yè)知識(shí)和工作位置來(lái)竊取用戶(hù)密碼和標(biāo)識(shí)符,進(jìn)行非法出售。

3.電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估存在的問(wèn)題

經(jīng)過(guò)大量的數(shù)據(jù)收集與分析不難發(fā)現(xiàn)對(duì)信息安全風(fēng)險(xiǎn)評(píng)估是當(dāng)前科研工作中噬待解決的問(wèn)題。目前,國(guó)內(nèi)也有一些關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估的研究和應(yīng)用,但是這些研究都只是簡(jiǎn)單的分析,包括常用的具有風(fēng)險(xiǎn)的風(fēng)險(xiǎn)評(píng)估工具。評(píng)估矩陣,問(wèn)卷,風(fēng)險(xiǎn)評(píng)估矩陣與問(wèn)卷方法,專(zhuān)家系統(tǒng)相結(jié)合。對(duì)于更深層次的探究還需進(jìn)一步努力。此外,網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估方法常用定量因子分析方法,時(shí)間序列模型,決策樹(shù)方法和回歸模型進(jìn)行。風(fēng)險(xiǎn)評(píng)估方法,定性分析主要包括邏輯分析,Delphi方法,因子分析方法,歷史比較方法等。其中,定量和定性評(píng)估方法相結(jié)合,是由模糊層次分析法,基于D-S證據(jù)理論等的評(píng)估方法組成。同時(shí)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估還存在一定問(wèn)題,例如隨著網(wǎng)絡(luò)的發(fā)展,我國(guó)從開(kāi)始的2G邁向4G現(xiàn)在又率先進(jìn)入5G時(shí)代。其中也出現(xiàn)了各種問(wèn)題,網(wǎng)民數(shù)量的增加需要迫切提高他們對(duì)信息安全的警惕意識(shí)。

3.1欠缺對(duì)電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估的認(rèn)識(shí)

當(dāng)前,許多相關(guān)人員對(duì)電子商務(wù)信息系統(tǒng)面臨著巨大的挑戰(zhàn)的現(xiàn)狀并未有足夠的意識(shí),缺少信息安全風(fēng)險(xiǎn)評(píng)估經(jīng)驗(yàn)。因此他們沒(méi)有重視信息安全風(fēng)險(xiǎn)評(píng)估的重要性,其原因如下。第一,公司或單位的風(fēng)險(xiǎn)評(píng)估尚未通過(guò)標(biāo)準(zhǔn)檢驗(yàn),培訓(xùn)標(biāo)準(zhǔn),信息安全風(fēng)險(xiǎn)評(píng)估工作的研究尚未得到系統(tǒng)的相關(guān)理論,方法和技術(shù)工具,這是由于一些信息安全評(píng)估工作相關(guān)領(lǐng)導(dǎo)層和工作人員對(duì)信息評(píng)估風(fēng)險(xiǎn)評(píng)估的重要性的認(rèn)識(shí)不足,因此自然而然不將此類(lèi)風(fēng)險(xiǎn)評(píng)估工作包括在當(dāng)前的信息安全系統(tǒng)框架中。第二,盡管有許多部門(mén)將信息安全工作置于地位重要,但受到人力、物力,財(cái)力等方面的限制,社會(huì)制度的制約,政策法規(guī)的欠缺使得信息安全系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作無(wú)法得到應(yīng)有的重視。

3.2缺乏信息安全風(fēng)險(xiǎn)評(píng)估方面的專(zhuān)業(yè)技術(shù)人才

首先,信息安全風(fēng)險(xiǎn)評(píng)估的技術(shù)內(nèi)容要求非常高,它要求員工具有很高的技術(shù)水平,現(xiàn)在很多公司都將通用信息用作風(fēng)險(xiǎn)評(píng)估技術(shù)人員。其次,信息安全風(fēng)險(xiǎn)評(píng)估是一項(xiàng)集綜合性,專(zhuān)業(yè)性于一體的工作,不僅涉及公司的所有業(yè)務(wù)信息,也涉及人力,物力和財(cái)力的方方面面,因此需要各部門(mén)之間相互配合,現(xiàn)在大多數(shù)公司僅依靠信息部門(mén),獨(dú)立的參與信息安全風(fēng)險(xiǎn)評(píng)估毫無(wú)爭(zhēng)議他們要想完成信息安全風(fēng)險(xiǎn)評(píng)估工作是非常艱難的。綜上所述,培養(yǎng)信息安全風(fēng)險(xiǎn)評(píng)估專(zhuān)業(yè)技術(shù)人員是今后信息技術(shù)方面發(fā)展的方向。

3.3風(fēng)險(xiǎn)評(píng)估工具相對(duì)缺乏

當(dāng)前,除專(zhuān)家系統(tǒng)外,其他分析工具相對(duì)來(lái)說(shuō)都比較簡(jiǎn)易,除此之外還缺乏實(shí)用的理論基礎(chǔ)。此外,這種信息風(fēng)險(xiǎn)評(píng)估工具在應(yīng)用中的發(fā)展呈現(xiàn)的現(xiàn)狀。表明國(guó)內(nèi)和外部失衡,在中國(guó)相對(duì)落后??梢?jiàn)解決信息安全問(wèn)題的關(guān)鍵在于有成熟的風(fēng)險(xiǎn)評(píng)估工具。

4.防范電子商務(wù)信息安全及風(fēng)險(xiǎn)的建議

4.1增強(qiáng)電子商務(wù)信息安全和風(fēng)險(xiǎn)評(píng)估的意識(shí)

大多數(shù)信息的傳輸和處理,與人是密不可分的。特別是掌握人員的重要信息和核心業(yè)務(wù),人員的個(gè)人因素,管理因素和環(huán)境存在風(fēng)險(xiǎn)。主要包括人員的技術(shù)能力,監(jiān)控管理,安全性。特別需要做好監(jiān)督審計(jì)公司的工作,確保信息安全風(fēng)險(xiǎn)管理融入實(shí)踐,充分發(fā)揮內(nèi)部監(jiān)督作用,促進(jìn)社會(huì)責(zé)任認(rèn)可和實(shí)施信息安全風(fēng)險(xiǎn)管理工作。電子商務(wù)公司必須對(duì)工人進(jìn)行必要的信息安全知識(shí)教育培訓(xùn),了解與之相關(guān)的法律法規(guī),做好對(duì)客戶(hù)關(guān)鍵信息的隱秘保護(hù)。不隨意查看和泄露客戶(hù)購(gòu)買(mǎi)信息。

企業(yè)應(yīng)該加大力度保障網(wǎng)絡(luò)通信操作時(shí)信息的機(jī)密性和完整性,加強(qiáng)密鑰管理,提高應(yīng)對(duì)網(wǎng)絡(luò)攻擊能力,采取措施避免越權(quán)或?yàn)E用,消除用戶(hù)在交易中的風(fēng)險(xiǎn)。在信息安全風(fēng)險(xiǎn)控制中必須由內(nèi)到外地保護(hù)內(nèi)部系統(tǒng)環(huán)境、網(wǎng)絡(luò)邊界、骨干網(wǎng)安全。為網(wǎng)絡(luò)信息系統(tǒng)建立完善的管理系統(tǒng),并提供全面的安全保障。運(yùn)用端到端策略。對(duì)于移動(dòng)電子商務(wù)中用戶(hù)終端設(shè)備種類(lèi)繁多,安全環(huán)境復(fù)雜難以控制的問(wèn)題,必須做好數(shù)據(jù)傳輸中的重要環(huán)節(jié)中的身份鑒定。通過(guò)人臉識(shí)別、指紋識(shí)別等技術(shù)有效提高用戶(hù)訪問(wèn)身份鑒別能力,極大地提高賬戶(hù)的安全性,確保數(shù)據(jù)傳輸?shù)陌踩裕_保交易的真實(shí)有效。

4.2提供專(zhuān)業(yè)的技術(shù)培訓(xùn),提高專(zhuān)業(yè)人員的技能

認(rèn)真選擇第三方合作伙伴,增強(qiáng)信息管理水平,加強(qiáng)績(jī)效監(jiān)督管理。樹(shù)立合理的企業(yè)內(nèi)部組織結(jié)構(gòu)和有效資金保障,培養(yǎng)員工信息安全意識(shí),創(chuàng)造良好信息安全工作氛圍,加強(qiáng)信息安全專(zhuān)業(yè)技術(shù)人員對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的意識(shí)和能力,通過(guò)大量的實(shí)驗(yàn)發(fā)現(xiàn)可以通過(guò)下列方法培訓(xùn)相關(guān)人員:第一,定期開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作,將公司員工集合共同學(xué)習(xí)相關(guān)資料以提升他們對(duì)信息安全的意識(shí)彌補(bǔ)存在的缺陷。第二,對(duì)信息安全部門(mén)的員工進(jìn)行專(zhuān)門(mén)的技術(shù)培訓(xùn)和指導(dǎo),可通過(guò)模擬分析來(lái)提升技術(shù);第三,公司應(yīng)增加對(duì)技術(shù)資源的投入,聘請(qǐng)經(jīng)驗(yàn)豐富的專(zhuān)家學(xué)者組成第三方評(píng)估機(jī)構(gòu),引進(jìn)風(fēng)險(xiǎn)評(píng)估設(shè)備。以備不時(shí)之需;第四,公司應(yīng)對(duì)技術(shù)人員進(jìn)行標(biāo)準(zhǔn)化認(rèn)證培訓(xùn),執(zhí)行職業(yè)資格準(zhǔn)入制度,提高技術(shù)人員的門(mén)檻,納入信息安全風(fēng)險(xiǎn)評(píng)估,技術(shù)人員的全面質(zhì)量保證評(píng)估。以上這些方法只是單純就培訓(xùn)方式對(duì)于具體的實(shí)施以及可能遇到的問(wèn)題依然需要研究。

4.3提升對(duì)信息安全防范技術(shù)的研究和應(yīng)用

為移動(dòng)數(shù)據(jù)庫(kù)存儲(chǔ)的數(shù)據(jù)進(jìn)行加密以防止泄漏,采用不同的加密方法來(lái)保護(hù)數(shù)據(jù)安全,進(jìn)行身份認(rèn)證,數(shù)據(jù)恢復(fù),數(shù)據(jù)加密存儲(chǔ),物理隔離,防火墻,網(wǎng)絡(luò),網(wǎng)絡(luò)設(shè)備,網(wǎng)絡(luò)入侵檢測(cè),網(wǎng)絡(luò)漏洞掃描,網(wǎng)絡(luò)設(shè)備備份,網(wǎng)絡(luò)管理,專(zhuān)線,實(shí)現(xiàn)網(wǎng)絡(luò)管理等一系列技術(shù)手段,從而提高數(shù)據(jù)庫(kù)的安全性。同時(shí)提高認(rèn)識(shí)到物理設(shè)施的重要性,定期維護(hù)物理設(shè)施。為了監(jiān)測(cè)信息安全和實(shí)施評(píng)估系統(tǒng),我們要保證基本硬件和芯片的獨(dú)立在建立獨(dú)立于信息安全的評(píng)估體系中,國(guó)內(nèi)外統(tǒng)一組織重要的信息安全技術(shù)研究,建立創(chuàng)新的電子商務(wù)信息安全與評(píng)估體系。

篇5

[關(guān)鍵詞]電子商務(wù)會(huì)計(jì);會(huì)計(jì)信息系統(tǒng);信息安全

1引言

電子商務(wù)的實(shí)施和推廣,極大地沖擊了企業(yè)的傳統(tǒng)經(jīng)營(yíng)和發(fā)展模式,也使企業(yè)的傳統(tǒng)會(huì)計(jì)有逐步向電子商務(wù)會(huì)計(jì)過(guò)渡的趨勢(shì)

電子商務(wù)是一個(gè)以Internet為主要平臺(tái)以交易雙方為主體以銀行支付和結(jié)算為主要手段以客戶(hù)數(shù)據(jù)庫(kù)為依托的全新商業(yè)模式因此,如何應(yīng)對(duì)這種全新的商務(wù)模式適應(yīng)信息化條件下的市場(chǎng)競(jìng)爭(zhēng),是企業(yè)會(huì)計(jì)必須面對(duì)的嶄新課題由于電子商務(wù)發(fā)展所依托的主要平臺(tái)——互聯(lián)網(wǎng)具有很大的安全風(fēng)險(xiǎn),電子商務(wù)環(huán)境下的會(huì)計(jì)信息同樣也面臨著不可忽視的安全問(wèn)題隨著電子商務(wù)應(yīng)用的進(jìn)一步推廣,電子商務(wù)環(huán)境下的企業(yè)會(huì)計(jì)信息安全問(wèn)題的日益凸現(xiàn),已經(jīng)成為企業(yè)向電子商務(wù)時(shí)代跨越的一大障礙因此,解決電子商務(wù)環(huán)境下的會(huì)計(jì)信息安全問(wèn)題已經(jīng)成為發(fā)展電子商務(wù)會(huì)計(jì)中最重要最基本的工作

2電子商務(wù)環(huán)境下的會(huì)計(jì)信息安全問(wèn)題

由于電子商務(wù)環(huán)境下網(wǎng)絡(luò)的復(fù)雜性以及會(huì)計(jì)問(wèn)題的特殊性,會(huì)計(jì)信息遇到的安全問(wèn)題是多方面的電子商務(wù)環(huán)境下存在著大量的會(huì)計(jì)信息安全問(wèn)題:

(1)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

互聯(lián)網(wǎng)是一個(gè)開(kāi)放的環(huán)境,置于該環(huán)境中的各種服務(wù)器數(shù)據(jù)庫(kù)上的信息在理論上都是可以被訪問(wèn)到的因此,網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)很難完全抵制非法訪問(wèn)者的侵?jǐn)_和攻擊尤其是當(dāng)系統(tǒng)程序本身存在問(wèn)題系統(tǒng)安全漏洞較大并且系統(tǒng)管理人員尚不自知時(shí),就難以保證服務(wù)器上的會(huì)計(jì)信息系統(tǒng)的信息資源不會(huì)被竊取或篡改當(dāng)然這種攻擊可能來(lái)自于系統(tǒng)外部,也可能來(lái)自系統(tǒng)內(nèi)部,而且一旦發(fā)生企業(yè)將損失巨大

(2)無(wú)紙化的申報(bào)和扣稅帶來(lái)稅務(wù)稽查問(wèn)題

在網(wǎng)上交易電子化,電子貨幣電子發(fā)票和網(wǎng)上銀行日漸普及的情況下,納稅人手工上門(mén)申報(bào)方式已經(jīng)無(wú)法適應(yīng)電子商務(wù)發(fā)展的需要同時(shí),也引出了所謂的電子稅收問(wèn)題,即如何保證納稅單位忠實(shí)無(wú)誤地進(jìn)行網(wǎng)上申報(bào),而稅務(wù)稽查的基礎(chǔ)是掌握大量確切的有關(guān)納稅人應(yīng)稅會(huì)計(jì)信息的證據(jù)

(3)追蹤審計(jì)困難

從審計(jì)工作的角度看,由于數(shù)據(jù)高度集中于電子商務(wù)系統(tǒng),電子商務(wù)系統(tǒng)對(duì)錯(cuò)誤的處理具有重復(fù)性和連續(xù)性,電子商務(wù)系統(tǒng)中許多不相容職責(zé)相對(duì)集中,加大了舞弊的風(fēng)險(xiǎn)此外,會(huì)計(jì)信息系統(tǒng)設(shè)計(jì)時(shí)可能沒(méi)有充分考慮到審計(jì)工作的需要,沒(méi)有留下充分的審計(jì)線索因此,無(wú)紙化的商務(wù)環(huán)境導(dǎo)致電子商務(wù)活動(dòng)難以追蹤審計(jì),各種會(huì)計(jì)憑證又可被輕易修改而不留痕跡,傳統(tǒng)的稅務(wù)稽查工作失去物質(zhì)基礎(chǔ)

(4)相關(guān)的法律法規(guī)配套不完善

加強(qiáng)電子商務(wù)立法措施,為電子商務(wù)會(huì)計(jì)發(fā)展提供一個(gè)健全的法律環(huán)境為此,要大膽借鑒和移植發(fā)達(dá)國(guó)家電子商務(wù)保護(hù)交易安全的成功經(jīng)驗(yàn)和制度,并結(jié)合中國(guó)的實(shí)際情況,構(gòu)造一套強(qiáng)化交易安全保護(hù)的法律制度;在計(jì)算機(jī)及其網(wǎng)絡(luò)安全管理的立法上,應(yīng)針對(duì)電子商務(wù)交易在虛擬環(huán)境中運(yùn)行的特點(diǎn),明確提出電子商務(wù)交易安全保護(hù)的法律措施;隨著電子商務(wù)進(jìn)一步發(fā)展,虛擬公司越來(lái)越小,而人力資源與知識(shí)產(chǎn)權(quán)等是其創(chuàng)造價(jià)值的動(dòng)力所在未來(lái)的會(huì)計(jì)報(bào)告必然要求披露知識(shí)產(chǎn)權(quán)商譽(yù)等的真實(shí)情況確認(rèn)的公允價(jià)值我國(guó)有關(guān)電子商務(wù)活動(dòng)的法律法規(guī)還難以預(yù)想到電子商務(wù)會(huì)計(jì)活動(dòng)中出現(xiàn)的新問(wèn)題,這就增加了會(huì)計(jì)信息安全的不確定性,加大了風(fēng)險(xiǎn)

(5)現(xiàn)行財(cái)務(wù)會(huì)計(jì)軟件的不成熟帶來(lái)的會(huì)計(jì)信息安全風(fēng)險(xiǎn)

由于開(kāi)發(fā)的滯后性,當(dāng)前市場(chǎng)上流行的各種財(cái)務(wù)軟件,都與電子商務(wù)會(huì)計(jì)發(fā)展的客觀需求存在著一定的差距開(kāi)發(fā)出的財(cái)務(wù)軟件適應(yīng)性差應(yīng)變能力不強(qiáng)相互兼容性不好抗病毒能力差等弱點(diǎn)已很難適應(yīng)電子商務(wù)會(huì)計(jì)的需要電子商務(wù)會(huì)計(jì)軟件的不成熟嚴(yán)重阻礙了電子商務(wù)會(huì)計(jì)的充分發(fā)展

會(huì)計(jì)信息是企業(yè)管理的基本依據(jù)之一,從事電子商務(wù)活動(dòng)的企業(yè)需要利用電子商務(wù)網(wǎng)絡(luò)進(jìn)行會(huì)計(jì)信息的收集輸入處理存儲(chǔ)輸出傳遞等活動(dòng),如何利用電子商務(wù)安全技術(shù)對(duì)網(wǎng)絡(luò)中的會(huì)計(jì)信息進(jìn)行保密處理,確保會(huì)計(jì)信息的安全,是企業(yè)面臨的一項(xiàng)重要任務(wù)

3電子商務(wù)環(huán)境下的會(huì)計(jì)信息系統(tǒng)安全策略研究

一般的會(huì)計(jì)信息系統(tǒng)都包括信息源輸入處理存儲(chǔ)輸出反饋和信息匯等幾個(gè)構(gòu)成要素各構(gòu)成要素的關(guān)系如圖1所示:

在電子商務(wù)環(huán)境下,會(huì)計(jì)核算網(wǎng)絡(luò)化以后,會(huì)計(jì)崗位將重新劃分,包括系統(tǒng)設(shè)計(jì)員系統(tǒng)管理員系統(tǒng)操作員數(shù)據(jù)錄入員數(shù)據(jù)審核員系統(tǒng)維護(hù)員數(shù)據(jù)分析員檔案管理員等,各崗位之間相互聯(lián)系相互監(jiān)督相互牽制會(huì)計(jì)信息的安全與會(huì)計(jì)信息系統(tǒng)的構(gòu)成元素有著密切的關(guān)系,因此,我們可以從會(huì)計(jì)信息系統(tǒng)的各個(gè)構(gòu)成元素來(lái)對(duì)會(huì)計(jì)信息安全進(jìn)行研究,具體分析如下:

3.1會(huì)計(jì)信息源的安全

原始會(huì)計(jì)信息準(zhǔn)確性是企業(yè)會(huì)計(jì)問(wèn)題的基礎(chǔ),因此,會(huì)計(jì)信息源安全的意義不言而喻,如果會(huì)計(jì)信息源遭到攻擊,導(dǎo)致其發(fā)出的信息是虛假的或是不準(zhǔn)確的,在會(huì)計(jì)信息系統(tǒng)本身沒(méi)有識(shí)別能力的情況下,會(huì)計(jì)信息系統(tǒng)中處理存儲(chǔ)和輸出的信息肯定是有誤的,傳送到信息匯中的信息也是錯(cuò)誤的,這必然引發(fā)企業(yè)一系列的會(huì)計(jì)問(wèn)題因此,如何保證在信息源頭獲取正確的可靠的原始會(huì)計(jì)數(shù)據(jù),是保證會(huì)計(jì)信息安全的基礎(chǔ),否則,一切挽救措施都無(wú)從談起為此,需要在信息源處加上電子審計(jì)的功能,以確保其發(fā)出的數(shù)據(jù)是準(zhǔn)確的客觀的同時(shí),在進(jìn)入輸入節(jié)點(diǎn)時(shí)需要加上識(shí)別功能,以防錯(cuò)誤或虛假信息進(jìn)入會(huì)計(jì)信息系統(tǒng)在電子商務(wù)的環(huán)境下,會(huì)計(jì)信息源可能在企業(yè)外部,非企業(yè)本身所能控制,因此,保證會(huì)計(jì)源發(fā)出的信息準(zhǔn)確無(wú)誤不僅需要各種先進(jìn)的電子商務(wù)安全技術(shù)和安全措施作支撐,還需要相關(guān)的電子商務(wù)法規(guī)來(lái)保障,同時(shí)還需要建立起全社會(huì)的誠(chéng)信系統(tǒng)來(lái)維護(hù),以最大限度地減少虛假錯(cuò)誤的信息的發(fā)生具體到企業(yè)個(gè)體來(lái)說(shuō),信息源責(zé)任單位應(yīng)建立有效的信息安全保密管理制度和技術(shù)保障措施,并接受相關(guān)業(yè)務(wù)主管部門(mén)的管理監(jiān)督和檢查公司財(cái)務(wù)主管應(yīng)有權(quán)對(duì)信息源責(zé)任單位對(duì)外公開(kāi)的信息內(nèi)容通過(guò)瀏覽進(jìn)行檢查,并要求信息源責(zé)任單位就不適宜的信息內(nèi)容進(jìn)行修改和刪除等

3.2信息輸入節(jié)點(diǎn)的安全

數(shù)據(jù)輸入的正確與否直接影響到賬務(wù)處理和賬務(wù)輸出的結(jié)果因此會(huì)計(jì)數(shù)據(jù)輸入控制顯得尤為重要在會(huì)計(jì)信息系統(tǒng)中,每一步的信息輸入要來(lái)自上一步的結(jié)果,每一步的信息輸出又構(gòu)成下一步的信息輸入在電子商務(wù)環(huán)境下,從會(huì)計(jì)信息源獲取的數(shù)據(jù)一般是通過(guò)客戶(hù)端直接輸入系統(tǒng)的或從另一個(gè)系統(tǒng)傳送到系統(tǒng)服務(wù)器數(shù)據(jù)庫(kù)的如果是人工鍵盤(pán)輸入,則需要在保證輸入正確的同時(shí)防止信息的泄露,還需要采取措施對(duì)錄入人員進(jìn)行培訓(xùn)和監(jiān)督,特別是需要進(jìn)行及時(shí)的內(nèi)部監(jiān)控,以防有人故意破壞或輸入虛假錯(cuò)誤的數(shù)據(jù)另外,在輸入技術(shù)方面,需要考慮輸入的方式接口輸入數(shù)據(jù)的格式及其轉(zhuǎn)換問(wèn)題,這關(guān)系到原始會(huì)計(jì)數(shù)據(jù)是否能正確地進(jìn)入系統(tǒng)病毒的破壞黑客的攻擊以及人為的失誤等狀況都可能威脅會(huì)計(jì)數(shù)據(jù)的正常安全轉(zhuǎn)換此外,實(shí)際經(jīng)驗(yàn)表明,內(nèi)部人員的干擾和破壞是系會(huì)計(jì)信息系統(tǒng)安全的最大隱患,因此很有必要為此制定一個(gè)嚴(yán)格的完善的會(huì)計(jì)信息安全管理制度,使企業(yè)財(cái)務(wù)系統(tǒng)從設(shè)計(jì)投入使用業(yè)務(wù)操作設(shè)備管理都有相應(yīng)的制度監(jiān)督,對(duì)違反規(guī)定的員工必須依制度處理,建立相應(yīng)的監(jiān)督機(jī)制,保證相關(guān)制度得到落實(shí)在許多先進(jìn)的會(huì)計(jì)信息系統(tǒng)中一般均含有監(jiān)控模塊或子系統(tǒng),其作用是對(duì)外部信息的輸入進(jìn)行必要的控制和管理,以及時(shí)發(fā)現(xiàn)和糾正各種可能的錯(cuò)誤3.3信息處理部分的安全

數(shù)據(jù)處理是會(huì)計(jì)信息系統(tǒng)的核心功能,財(cái)務(wù)系統(tǒng)處理的業(yè)務(wù)均與“錢(qián)”有關(guān),具有高度的敏感性和機(jī)密性,處理結(jié)果要求及時(shí)準(zhǔn)確完整,不能有一絲差錯(cuò)故一般在數(shù)據(jù)處理期間,其網(wǎng)絡(luò)必須封閉運(yùn)行,不能連接與業(yè)務(wù)無(wú)關(guān)的終端,不能與其他無(wú)關(guān)的部門(mén)共同使用計(jì)算機(jī)設(shè)備,更不能與互聯(lián)網(wǎng)相連當(dāng)然封閉是相對(duì)而言的,對(duì)業(yè)務(wù)相關(guān)部門(mén)是應(yīng)開(kāi)放的,以實(shí)現(xiàn)資源共享,提高企業(yè)管理水平需要說(shuō)明的是,即使對(duì)相關(guān)部門(mén)開(kāi)放,也需層層加密,授權(quán)作業(yè),禁止處理未授權(quán)的業(yè)務(wù)

信息處理部分的安全隱患也主要來(lái)自黑客的攻擊程序的破壞以及系統(tǒng)開(kāi)發(fā)時(shí)留下的bug,這些都會(huì)干擾信息系統(tǒng)對(duì)會(huì)計(jì)數(shù)據(jù)處理的正常處理,甚至?xí):φ麄€(gè)系統(tǒng)的運(yùn)行這些問(wèn)題與前述的問(wèn)題有關(guān),但內(nèi)部人員作案外部人員或組織的破壞均是可能的特別是內(nèi)部人員或前內(nèi)部人員作案,隱蔽性強(qiáng),往往難以追蹤,而且破壞性很大,這同樣需要制度化的措施和及時(shí)的監(jiān)控來(lái)加以解決另外,黑客程序的入侵和病毒程序的破壞已經(jīng)是經(jīng)常性的問(wèn)題,因此,實(shí)時(shí)監(jiān)控是電子商務(wù)網(wǎng)絡(luò)和系統(tǒng)必備的措施應(yīng)建立操作日志,對(duì)日常業(yè)務(wù)進(jìn)行全程跟蹤,加強(qiáng)控制,對(duì)大額業(yè)務(wù)單獨(dú)列示,詳細(xì)反映認(rèn)真核對(duì)每筆業(yè)務(wù),建立嚴(yán)格的確認(rèn)復(fù)核制度,保證數(shù)據(jù)完整準(zhǔn)確重點(diǎn)監(jiān)控大額業(yè)務(wù)定期評(píng)估財(cái)務(wù)系統(tǒng)的安全性,發(fā)現(xiàn)問(wèn)題及時(shí)解決

3.4信息輸出部分的安全

由于會(huì)計(jì)信息系統(tǒng)輸出的財(cái)務(wù)數(shù)據(jù)或信息往往涉及企業(yè)的商業(yè)機(jī)密,所以需要采取嚴(yán)密的措施進(jìn)行安全防范除了前面敘述的問(wèn)題外,如何防止企業(yè)敏感財(cái)務(wù)信息的泄露是重中之重對(duì)優(yōu)秀的會(huì)計(jì)信息系統(tǒng)來(lái)說(shuō),所有數(shù)據(jù)輸出活動(dòng)都應(yīng)該有記錄,這種記錄主要是針對(duì)用戶(hù)的信息審計(jì)系統(tǒng)能實(shí)時(shí)對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)庫(kù)系統(tǒng)的信息進(jìn)行內(nèi)容審計(jì),以防止或追查可能的泄密行為凡屬,按照國(guó)家有關(guān)法律法規(guī)要求,建議安裝使用信息審計(jì)系統(tǒng)信息輸出的形式往往與采用的保密措施有關(guān),特別是當(dāng)會(huì)計(jì)數(shù)據(jù)或信息以電子化的形式輸出時(shí),需要采用嚴(yán)格的制度和紀(jì)律加以規(guī)范,以防在電子商務(wù)網(wǎng)上迅速傳播和泄露另外,對(duì)獲得輸出數(shù)據(jù)或信息的人和組織必須進(jìn)行嚴(yán)格的審查和監(jiān)督,并加以控制和施以法律責(zé)任,以防止泄密或向外部被篡改后的數(shù)據(jù)或信息,引起爭(zhēng)議或麻煩

3.5數(shù)據(jù)存儲(chǔ)部分的安全

這是會(huì)計(jì)信息系統(tǒng)最敏感的部分這部分的安全威脅主要來(lái)自黑客對(duì)未經(jīng)授權(quán)的數(shù)據(jù)的瀏覽修改和刪除此外,計(jì)算機(jī)病毒對(duì)于存儲(chǔ)的電子數(shù)據(jù)也是一個(gè)極為嚴(yán)重的威脅對(duì)企業(yè)財(cái)務(wù)數(shù)據(jù)信息的安全保護(hù),其重要性已經(jīng)上升到企業(yè)安全的高度因此,建立一個(gè)安全高效的數(shù)據(jù)存儲(chǔ)管理制度刻不容緩首先,電子商務(wù)系統(tǒng)本身的技術(shù)水平技術(shù)措施系統(tǒng)管理員和數(shù)據(jù)庫(kù)管理員的技術(shù)水準(zhǔn)和責(zé)任心嚴(yán)格的紀(jì)律和手段等,是保證數(shù)據(jù)存儲(chǔ)器安全的先決條件同時(shí),凡是有權(quán)訪問(wèn)數(shù)據(jù)的人和組織均有法律責(zé)任,對(duì)敏感的會(huì)計(jì)數(shù)據(jù)進(jìn)行嚴(yán)格的保密另外,數(shù)據(jù)存儲(chǔ)安全管理尤其需要隔絕不安全的人包括:

(1)數(shù)據(jù)破壞者毀滅存儲(chǔ)信息

(2)竊密者超越權(quán)限獲取信息的人都可以稱(chēng)為竊密者

(3)不當(dāng)使用者不熟悉數(shù)據(jù)安全和處理的人都可能造成不當(dāng)使用

這其中前兩類(lèi)人有很多是內(nèi)部人員,也可能以黑客/間諜面目出現(xiàn)

因此,企業(yè)需要加強(qiáng)內(nèi)部控制,實(shí)行嚴(yán)格的數(shù)據(jù)資源授權(quán)管理制度在會(huì)計(jì)電算化比較完備的企業(yè)應(yīng)建立起網(wǎng)絡(luò)系統(tǒng)計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)庫(kù)3層訪問(wèn)權(quán)限控制管理制度,安全策略在確定對(duì)每個(gè)資源管理授權(quán)者的同時(shí),還要確定他們可以對(duì)用戶(hù)授予什么級(jí)別的權(quán)限如果沒(méi)有數(shù)據(jù)管理授權(quán)者的信息,就無(wú)法掌握究竟哪些人在使用數(shù)據(jù)庫(kù)對(duì)于數(shù)據(jù)中的關(guān)鍵財(cái)務(wù)信息資源,對(duì)其可授權(quán)范圍應(yīng)盡可能小,范圍越小就越容易管理,相對(duì)也就越安全在對(duì)數(shù)據(jù)訪問(wèn)授權(quán)者管理的同時(shí),要制定對(duì)用戶(hù)授權(quán)的過(guò)程設(shè)計(jì),以防止對(duì)授權(quán)職責(zé)的濫用,以防止財(cái)務(wù)機(jī)密外泄和蓄意計(jì)算機(jī)作案,保證會(huì)計(jì)信息的安全

3.6信息匯的安全

信息匯指的是會(huì)計(jì)數(shù)據(jù)流向的目的地,它既可能是企業(yè)內(nèi)外部的組織或者是具體的相關(guān)職責(zé)個(gè)人,也可能是會(huì)計(jì)信息系統(tǒng)的數(shù)據(jù)庫(kù)對(duì)企業(yè)財(cái)務(wù)部門(mén)來(lái)說(shuō),必須具有強(qiáng)有力的監(jiān)控措施,對(duì)于誰(shuí)在什么時(shí)候什么地方以何種方式對(duì)什么對(duì)象做了什么操作發(fā)生什么結(jié)果等都應(yīng)該進(jìn)行詳盡的記錄對(duì)這些信息使用者的監(jiān)控,必須有法律效力這涉及了信息共享的安全性問(wèn)題商務(wù)機(jī)密的泄漏通常是在信息共享中發(fā)生的因此,除了嚴(yán)格的制度和強(qiáng)硬的紀(jì)律法律手段外,還需要有效的安全技術(shù)和安全措施作保障

4結(jié)束語(yǔ)

在電子商務(wù)網(wǎng)絡(luò)中,會(huì)計(jì)信息的安全保密問(wèn)題實(shí)際上與一般網(wǎng)絡(luò)安全問(wèn)題有直接的關(guān)系,在安全措施和手段上也基本一致但是會(huì)計(jì)信息比一般信息敏感,在企業(yè)的日常管理方面財(cái)務(wù)審計(jì)與課稅等方面起重要作用由于會(huì)計(jì)信息不同使用者的信息需求有差異,會(huì)計(jì)信息的可靠性和相關(guān)性在某些情況下也不容易同時(shí)兼顧由于在電子商務(wù)環(huán)境下產(chǎn)生的會(huì)計(jì)信息一般是以電子化的方式而非書(shū)面的形式存在,故其法律效力和原始會(huì)計(jì)數(shù)據(jù)的追蹤變得復(fù)雜,其安全保密具有特別的意義對(duì)會(huì)計(jì)數(shù)據(jù)和信息的安全進(jìn)行妥善處理,不僅需要技術(shù)方面的措施,還需要社會(huì)法律制度等來(lái)保障

主要參考文獻(xiàn)

[1]GeorgeHBodnar,WilliamSHopwood.會(huì)計(jì)信息系統(tǒng)[M].第8版.北京:清華大學(xué)出版社,2001.

[2]陳少華.防范企業(yè)會(huì)計(jì)信息舞弊的綜合對(duì)策研究[M].北京:中國(guó)財(cái)政經(jīng)濟(jì)出版社,2003.

篇6

    隨著網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用,我國(guó)電子商務(wù)的安全問(wèn)題也日益突出。根據(jù)“2010年上半年,計(jì)算機(jī)病毒和互聯(lián)網(wǎng)安全報(bào)告疫情”的數(shù)據(jù)表明,2010年上半年,計(jì)算機(jī)病毒,木馬的數(shù)量依然保持快速增長(zhǎng),新病毒不斷出現(xiàn),一些“老”的病毒推出了眾多變種。2010年上半年計(jì)算機(jī)病毒,木馬數(shù)量迅速增加,超出了近五年病毒數(shù)量的總和。在日益增多的電子商務(wù)安全問(wèn)題面前,需要我們采取新措施來(lái)進(jìn)行防范。

    一、電子商務(wù)的安全現(xiàn)狀

    目前電子商務(wù)的安全問(wèn)題比較嚴(yán)重,最突出的表現(xiàn)在計(jì)算機(jī)網(wǎng)絡(luò)安全和商業(yè)誠(chéng)信問(wèn)題上。因?yàn)槠鶈?wèn)題,本文只側(cè)重于計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題的描述和解決對(duì)于其他方面的問(wèn)題不作詳細(xì)的分析。與以往相比電子商務(wù)安全呈現(xiàn)出以下特點(diǎn):

    (一)木馬病毒爆炸性增長(zhǎng),變種數(shù)量的快速增加

    據(jù)統(tǒng)計(jì),僅2009年上半年掛載木馬網(wǎng)頁(yè)數(shù)量累計(jì)達(dá)2.9億個(gè),共有11.2億人次網(wǎng)民訪問(wèn)掛載木馬,2010年元旦三天就新增電腦病毒50萬(wàn)。病毒的數(shù)量不僅增速變快,智能型,病毒變種更新速度快是本年度病毒的又一個(gè)特征??傮w而言,目前的新木馬不多,更多的是它的變種,因?yàn)槟壳胺床《拒浖纳?jí)速度越來(lái)越快,病毒存活時(shí)間越來(lái)越短,因此,今天的病毒投放者不再投放單一的病毒,而是通過(guò)病毒下載器來(lái)進(jìn)行病毒投放,可以自動(dòng)從指定的網(wǎng)址上下載新病毒,并進(jìn)行自動(dòng)更新,永遠(yuǎn)也無(wú)法斬盡殺絕所有的病毒。同時(shí)病毒制造、傳播者利用病毒木馬技術(shù)進(jìn)行網(wǎng)絡(luò)盜竊、詐騙活動(dòng),通過(guò)網(wǎng)絡(luò)販賣(mài)病毒、木馬,教授病毒編制技術(shù)和網(wǎng)絡(luò)攻擊技術(shù)等形式的網(wǎng)絡(luò)犯罪活動(dòng)明顯增多,電子商務(wù)網(wǎng)絡(luò)犯罪也逐漸開(kāi)始呈公開(kāi)化、大眾化的趨勢(shì)。

    (二)網(wǎng)絡(luò)病毒傳播方式的變化

    過(guò)去,傳播病毒通過(guò)網(wǎng)絡(luò)進(jìn)行。目前,通過(guò)移動(dòng)存儲(chǔ)介質(zhì)傳播的案例顯著增加,存儲(chǔ)介質(zhì)已經(jīng)成為電子商務(wù)網(wǎng)絡(luò)病毒感染率上升的主要原因。由于U盤(pán)和移動(dòng)存儲(chǔ)介質(zhì)廣泛使用,病毒、木馬通過(guò)autorun.inf文件自動(dòng)調(diào)用執(zhí)行U盤(pán)中的病毒、木馬等程序,然后感染用戶(hù)的計(jì)算機(jī)系統(tǒng),進(jìn)而感染其他U盤(pán)。與往年相比,今年通過(guò)網(wǎng)絡(luò)瀏覽或下載該病毒的比例在下降。不過(guò),從網(wǎng)絡(luò)監(jiān)測(cè)和用戶(hù)尋求幫助的情況來(lái)看,大量的網(wǎng)絡(luò)犯罪通過(guò)“掛馬”方式來(lái)實(shí)現(xiàn)?!皰祚R”是指在網(wǎng)頁(yè)中嵌入惡意代碼,當(dāng)存在安全漏洞的用戶(hù)訪問(wèn)這些網(wǎng)頁(yè)時(shí),木馬會(huì)侵入用戶(hù)系統(tǒng),然后盜取用戶(hù)敏感信息或者進(jìn)行攻擊、破壞。通過(guò)瀏覽網(wǎng)頁(yè)方式進(jìn)行攻擊的方法具有較強(qiáng)的隱蔽性,用戶(hù)更難于發(fā)現(xiàn),潛在的危害性也更大。

    (三)網(wǎng)絡(luò)病毒給電子商務(wù)造成的損失繼續(xù)增加

    調(diào)查顯示,瀏覽器配置被修改,損壞或丟失數(shù)據(jù),系統(tǒng)的使用受限,網(wǎng)絡(luò)無(wú)法使用,密碼被盜造成都給電子商務(wù)造成嚴(yán)重的破壞后果。2006年“熊貓燒香”病毒利用蠕蟲(chóng)病毒的傳播能力和多種傳播渠道幫助木馬傳播,攫取非法經(jīng)濟(jì)利益,給被感染的用戶(hù)帶來(lái)重大損失。繼“熊貓燒香”之后,復(fù)合型病毒大量出現(xiàn),如:仇英、艾妮等病毒。同時(shí),網(wǎng)上販賣(mài)病毒、木馬和僵尸網(wǎng)絡(luò)的活動(dòng)不斷增多,利用病毒、木馬技術(shù)傳播垃圾郵件和進(jìn)行網(wǎng)絡(luò)攻擊、破壞的事件呈上升趨勢(shì)。

    二、電子商務(wù)的安全問(wèn)題及存在原因

    1.對(duì)合法用戶(hù)的身份冒充。以不法手段盜用合法用戶(hù)的身份資料,仿冒合法用戶(hù)的身份與他人進(jìn)行交易,從而獲得非法利益。

    2.對(duì)信息的竊取。攻擊者在網(wǎng)絡(luò)的傳輸信道上。通過(guò)物理或邏輯的手段,對(duì)數(shù)據(jù)進(jìn)行非法的截獲與監(jiān)聽(tīng),從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網(wǎng)上竊取那些粗心用戶(hù)的信用卡賬號(hào),還能以欺騙的手法進(jìn)行產(chǎn)品交易,甚至能洗黑錢(qián)。

    3.對(duì)信息的篡改。攻擊者有可能對(duì)網(wǎng)絡(luò)上的信息進(jìn)行截獲后篡改其內(nèi)容,如修改消息次序、時(shí)間,注人偽造消息等,從而使信息失去真實(shí)性和完整性。

    4.拒絕服務(wù)。攻擊者使合法接入的信息、業(yè)務(wù)或其他資源受阻。

    5.對(duì)發(fā)出的信息予以否認(rèn).某些用戶(hù)可能對(duì)自己發(fā)出的信息進(jìn)行惡意的否認(rèn),以推卸自己應(yīng)承擔(dān)的責(zé)任。

    6.信用威脅。交易者否認(rèn)參加過(guò)交易,如買(mǎi)方提交訂單后不付款,或者輸人虛假銀行資料使賣(mài)方不能提款I(lǐng)用戶(hù)付款后,賣(mài)方?jīng)]有把商品發(fā)送到客戶(hù)手中,使客戶(hù)蒙受損失。

    7.電腦病毒。電腦病毒問(wèn)世十幾年來(lái),各種新型病毒及其變種迅速增加,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播途徑,還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快,動(dòng)輒造成數(shù)百億美元的經(jīng)濟(jì)損失。如,CIH病毒的爆發(fā)幾乎在瞬間給網(wǎng)絡(luò)上數(shù)以萬(wàn)計(jì)的計(jì)算機(jī)以沉重打擊。

    三、電子商務(wù)的安全需求

    電子商務(wù)威脅的出現(xiàn)導(dǎo)致了對(duì)電子商務(wù)安全的需求,主要包括有效性、完整性、不可抵賴(lài)性、匿名性。

    1.有效性。保證信息的有效性是開(kāi)展電子商務(wù)的前提,一旦簽訂交易,這項(xiàng)交易就應(yīng)得到保護(hù)以防止被篡改或偽造。

    2.完整性。貿(mào)易雙方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營(yíng)策略,保持貿(mào)易雙方信息的完整性是電子商務(wù)的基礎(chǔ)。

    3.不可抵賴(lài)性。交易一旦達(dá)成,原發(fā)送方在發(fā)送數(shù)據(jù)后就不能抵賴(lài),接收方接到數(shù)據(jù)后也不能抵賴(lài)。

    4.匿名性。電子商務(wù)系統(tǒng)應(yīng)確保交易的匿名性,防止交易過(guò)程被跟蹤,保證交易過(guò)程中不把用戶(hù)的個(gè)人信息泄露給未知的或不可信的個(gè)體。

    四、電子商務(wù)安全防治措施及安全舉措

    防范電子商務(wù)網(wǎng)絡(luò)犯罪是一個(gè)系統(tǒng)工程,不僅需要人們提高防范電子商務(wù)網(wǎng)絡(luò)犯罪的意識(shí),加強(qiáng)防范電子商務(wù)網(wǎng)絡(luò)犯罪的制度建設(shè),而且.還需要技術(shù)上不斷更新和完善,為此,需要做好以下幾方面的工作。 1.加強(qiáng)教育和宣傳,提高公眾電子商務(wù)的安全意識(shí)。信息安全意識(shí)是指人們?cè)谏暇W(wǎng)的過(guò)程中,對(duì)信息安全重要性的認(rèn)識(shí)水平,發(fā)現(xiàn)影響網(wǎng)絡(luò)安全行為的敏銳性,維護(hù)網(wǎng)絡(luò)安全的主動(dòng)性。強(qiáng)化上網(wǎng)人員的信息安全意識(shí),就是要讓上網(wǎng)人員認(rèn)識(shí)到,網(wǎng)絡(luò)信息安全是電子商務(wù)正常而高效運(yùn)轉(zhuǎn)的基礎(chǔ),是保障企業(yè)、公民和國(guó)家利益的重要前提,從而牢同樹(shù)立網(wǎng)上交易,安全第一的思想。主要采取以下措施:一是通過(guò)大眾媒體,普及電子商務(wù)的安全知識(shí),提高用戶(hù)的認(rèn)識(shí)。二是積極組織研討會(huì)和培訓(xùn)課程,培養(yǎng)電子商務(wù)網(wǎng)絡(luò)營(yíng)銷(xiāo)安全管理人才。

    2.采用多重網(wǎng)絡(luò)技術(shù),保證網(wǎng)絡(luò)信息安全。目前,常用的電子商務(wù)安全技術(shù),主要包括:防火墻,物理隔離,VPN(虛擬專(zhuān)用網(wǎng))。防火墻是實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)安全和入侵隔離的常規(guī)技術(shù)。使用防火墻,一方面是抵御來(lái)自外界的攻擊。另一方面是為了防止在服務(wù)器內(nèi)部部分未經(jīng)授權(quán)的用戶(hù)攻擊。因此,電子商務(wù)內(nèi)外網(wǎng)與互聯(lián)網(wǎng)之間要設(shè)置防火墻。網(wǎng)管人員要經(jīng)常到有關(guān)網(wǎng)站上下載最新的補(bǔ)丁程序,以便進(jìn)行網(wǎng)絡(luò)維護(hù),同時(shí)經(jīng)常掃描整個(gè)內(nèi)部網(wǎng)絡(luò),發(fā)現(xiàn)任何安全隱患及時(shí)更改,做到有備無(wú)患。企業(yè)上網(wǎng)必須實(shí)行內(nèi)外網(wǎng)劃分和內(nèi)外網(wǎng)的物理隔離。要運(yùn)用VPN新技術(shù),為使用者提了一種通過(guò)公用網(wǎng)絡(luò),安全地對(duì)食業(yè)網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問(wèn),同時(shí)又能保證企業(yè)的系統(tǒng)安全。包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和服務(wù)器(如Web服務(wù)器、E-MAII。服務(wù)器)的安全。

    3.運(yùn)用密碼技術(shù),強(qiáng)化通信安全。應(yīng)圍繞數(shù)字證書(shū)應(yīng)用,為電子政府信息網(wǎng)絡(luò)中各種業(yè)務(wù)應(yīng)用提供信息的真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性保證。在業(yè)務(wù)系統(tǒng)中建立有效的信任管理機(jī)制、授權(quán)控制機(jī)制和嚴(yán)密的責(zé)任機(jī)制。目前要加強(qiáng)身份認(rèn)證、數(shù)據(jù)完整性、數(shù)據(jù)加密、數(shù)字簽名等工作。對(duì)于電子商務(wù)中的各種敏感數(shù)據(jù)進(jìn)行數(shù)據(jù)加密處理,并且在數(shù)據(jù)傳輸中采用加密傳輸,以防止攻擊者竊密。電子商務(wù)信息交換中的各種信息,必須通過(guò)身份認(rèn)證來(lái)確認(rèn)其合法性,然后確定這個(gè)用戶(hù)的個(gè)人數(shù)據(jù)和特定權(quán)限?!霸谏婕岸鄠€(gè)對(duì)等實(shí)體間的交互認(rèn)征時(shí),應(yīng)采用基于PKI技術(shù),借助第三方(CA)頒發(fā)的數(shù)字證書(shū)數(shù)字簽名來(lái)確認(rèn)彼此身份。”為了從根本上保證我國(guó)網(wǎng)絡(luò)的安全,我同安全產(chǎn)品的應(yīng)用應(yīng)建立在國(guó)內(nèi)自主研發(fā)的產(chǎn)品基礎(chǔ)上,國(guó)外的先進(jìn)技術(shù)可以參考,但不能完全照搬。政府應(yīng)該鼓勵(lì)和扶植一批企業(yè)加快數(shù)字安全技術(shù)的研究,以提高我國(guó)信息企業(yè)的技術(shù)和管理水平,促進(jìn)我同電子商務(wù)安全建設(shè)。

篇7

關(guān)鍵詞:電子商務(wù);身份認(rèn)證;防火墻

1 引言

電子商務(wù)可以增加銷(xiāo)售額并降低成本的優(yōu)勢(shì),使得政府與企業(yè)都十分重視并推動(dòng)電子商務(wù)的建設(shè)和發(fā)展。電子商務(wù)發(fā)展到今天,主要問(wèn)題在于時(shí)空的分離導(dǎo)致了安全問(wèn)題的出現(xiàn),信息的安全性是當(dāng)前發(fā)展電子商務(wù)最迫切需要解決的問(wèn)題之一。研究和分析電子商務(wù)的安全性問(wèn)題,特別是針對(duì)企業(yè)自身情況,充分借鑒以往電子商務(wù)系統(tǒng)開(kāi)發(fā)的先進(jìn)技術(shù)和經(jīng)驗(yàn),開(kāi)發(fā)出符合企業(yè)特殊的電子商務(wù)系統(tǒng),已經(jīng)成為目前發(fā)展電子商務(wù)的關(guān)鍵,而安全體系的構(gòu)建顯得尤為重要。

2 電子商務(wù)的主要安全要素

目前電子商務(wù)工程正在全國(guó)迅速發(fā)展。實(shí)現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動(dòng)過(guò)程中系統(tǒng)的安全性,即應(yīng)保證在基于Internet的電子交易轉(zhuǎn)變的過(guò)程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來(lái)看,傳統(tǒng)的買(mǎi)賣(mài)雙方是面對(duì)面的,因此較容易保證交易過(guò)程的安全性和建立起信任關(guān)系。但在電子商務(wù)過(guò)程中,買(mǎi)賣(mài)雙方是通過(guò)網(wǎng)絡(luò)來(lái)聯(lián)系,由于距離的限制,因而建立交易雙方的安全和信任關(guān)系相當(dāng)困難。時(shí)空的分離導(dǎo)致了安全問(wèn)題的出現(xiàn),電子商務(wù)交易雙方(銷(xiāo)售者和消費(fèi)者)都面臨安全威脅,電子商務(wù)的安全要素主要體現(xiàn)在以下幾個(gè)方面:

2.1 信息真實(shí)性、有效性

電子商務(wù)以電子形式取代了紙張,如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開(kāi)展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。

2.2 信息機(jī)密性

電子商務(wù)作為貿(mào)易的一種手段,其信息直接廠代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的,商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

3.3 信息完整性

電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程,減少了人為的干預(yù),同時(shí)也帶來(lái)維護(hù)商業(yè)信息的完整、統(tǒng)一的問(wèn)題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各方信息的差異。此外,數(shù)據(jù)傳輸過(guò)程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。因此,電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲(chǔ)及電子商務(wù)完整性檢查的正確和可靠。

3.4 信息可靠性、不可抵賴(lài)性和可鑒別性

可靠性要求即是能保證合法用戶(hù)對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^;不可否認(rèn)要求即是能建立有效的責(zé)任機(jī)制,防止實(shí)體否認(rèn)其行為;可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過(guò)在交易合同、契約或貿(mào)易單據(jù)等書(shū)面文件上手寫(xiě)簽名或印章來(lái)鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴(lài)行為的發(fā)生。

在無(wú)紙化的電子商務(wù)方式下,通過(guò)手寫(xiě)簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此,要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。在1nternet 上每個(gè)人都是匿名的,電子商務(wù)系統(tǒng)應(yīng)充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴(lài);接收方在接收數(shù)據(jù)后也不能抵賴(lài)。

3 電子商務(wù)安全系統(tǒng)

網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易能順利進(jìn)行,要求電子商務(wù)平臺(tái)要穩(wěn)定可靠,能不中斷地提供服務(wù)。任何系統(tǒng)的中斷,如硬件、軟件錯(cuò)誤,網(wǎng)絡(luò)故障、病毒等都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作,而使貿(mào)易數(shù)據(jù)在確定的時(shí)刻和地點(diǎn)的有效性得不到保證,往往會(huì)造成巨大的經(jīng)濟(jì)損失。

所以就整個(gè)電子商務(wù)安全系統(tǒng)而言,安全性可以劃分為四個(gè)層次,

1) 網(wǎng)絡(luò)節(jié)點(diǎn)的安全

2) 通訊的安全性

3) 應(yīng)用程序的安全性

4) 用戶(hù)的認(rèn)證管理

其中2、3、4 是通過(guò)操作系統(tǒng)和Web 服務(wù)器軟件實(shí)現(xiàn),而網(wǎng)絡(luò)節(jié)點(diǎn)的安全性依靠防火墻保證,我們應(yīng)該首先保證網(wǎng)絡(luò)節(jié)點(diǎn)的安全性。

3.1 網(wǎng)絡(luò)節(jié)點(diǎn)的安全

防火墻是一種由計(jì)算機(jī)硬件和軟件的組合,使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān),從而保護(hù)內(nèi)部網(wǎng)免受非法用戶(hù)的侵入,它其實(shí)就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)(通常指局域網(wǎng)或城域網(wǎng))隔開(kāi)的屏障。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊,為電子商務(wù)的施展提供個(gè)相對(duì)更安全的平臺(tái)。

防火墻是在連接Internet 和Intranet 保證安全最為有效的方法,防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息,并記憶通信狀態(tài),從而作出允許/拒絕等正確的判斷。通過(guò)靈活有效地運(yùn)用這些功能,制定正確的安全策略,將能提供一個(gè)安全、高效的Intranet 系統(tǒng)。應(yīng)給予特別注意的是,防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合,它是安全策略的一個(gè)部分。安全策略建立了全方位的防御體系來(lái)保護(hù)機(jī)構(gòu)的信息資源,這種安全策略應(yīng)包括:規(guī)定的網(wǎng)絡(luò)訪問(wèn)、服務(wù)訪問(wèn)、本地和遠(yuǎn)地的用戶(hù)認(rèn)證、撥入和撥出、磁盤(pán)和數(shù)據(jù)加密、病毒防護(hù)措施,以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級(jí)別加以保護(hù)。僅設(shè)立防火墻系統(tǒng),而沒(méi)有全面的安全策略,那么防火墻就形同虛設(shè)。

3.2 通訊的安全

在客戶(hù)端瀏覽器和電子商務(wù)WEB 服務(wù)器之間采用SSL 協(xié)議建立安全鏈接,所傳遞的重要信息都是經(jīng)過(guò)加密的,這在一定程度上保證了數(shù)據(jù)在傳輸過(guò)程中的安全。目前采用的是瀏覽器缺省的40 位加密強(qiáng)度,也可以考慮將加密強(qiáng)度增加到128 位。為在瀏覽器和服務(wù)器之間建立安全機(jī)制,SSL 首先要求服務(wù)器向?yàn)g覽器出示它的證書(shū),證書(shū)包括一個(gè)公鑰,由一家可信證書(shū)授權(quán)機(jī)構(gòu)(CA中心)簽發(fā)。瀏覽器要驗(yàn)征服務(wù)器證書(shū)的正確性,必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰(PKI)。建立SSL 鏈接不需要一定有個(gè)人證書(shū),實(shí)際上不驗(yàn)證客戶(hù)的個(gè)人證書(shū)情況是很多的。驗(yàn)證個(gè)人證書(shū)是為了驗(yàn)證來(lái)訪者的合法身份。而單純的想建立SSL 鏈接時(shí)客戶(hù)只需用戶(hù)下載該站點(diǎn)的服務(wù)器證書(shū)(下載可以在訪問(wèn)之前或訪問(wèn)時(shí))。驗(yàn)證此證書(shū)是合法的服務(wù)器證書(shū)通過(guò)后利用該證書(shū)對(duì)稱(chēng)加密算法(RSA)與服務(wù)器協(xié)商一個(gè)對(duì)稱(chēng)算法及密鑰,然后用此對(duì)稱(chēng)算法加密傳輸?shù)拿魑?。此時(shí)瀏覽器也會(huì)出進(jìn)入安全狀態(tài)的提示。

3.3 應(yīng)用程序的安全性

即使正確地配置了訪問(wèn)控制規(guī)則,要滿足計(jì)算機(jī)系統(tǒng)的安全性也是不充分的,因?yàn)榫幊体e(cuò)誤也可能引致攻擊。程序錯(cuò)誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數(shù);程序員忘記檢查邊界條件,特別是處理字符串的內(nèi)存緩沖時(shí);程序員忘記最小特權(quán)的基本原則。整個(gè)程序都是在特權(quán)模式下運(yùn)行,而不是只有有限的指令子集在特權(quán)模式下運(yùn)行,其他的部分只有縮小的許可;程序員從這個(gè)特權(quán)程序使用范圍內(nèi)建立一個(gè)資源,如一個(gè)文件和目錄。不是顯式地設(shè)置訪問(wèn)控制(最少許可),程序員認(rèn)為這個(gè)缺省的許可是正確的。

這些缺點(diǎn)都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來(lái)騙特權(quán)程序做一些它本來(lái)不應(yīng)該做的事情。緩沖溢出攻擊就是通過(guò)給特權(quán)程序輸入一個(gè)過(guò)長(zhǎng)的字符串來(lái)實(shí)現(xiàn)的。程序不檢查輸入字符串長(zhǎng)度。假的輸入字符串常常是可執(zhí)行的命令,特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來(lái)增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙?。例如,緩沖溢出攻擊可以向系統(tǒng)中增加一個(gè)用戶(hù)并賦予這個(gè)用戶(hù)特權(quán)。訪問(wèn)控制系統(tǒng)中沒(méi)有什么可以檢測(cè)到這些問(wèn)題。只有通過(guò)監(jiān)視系統(tǒng)并尋找違反安全策略的行為,才能發(fā)現(xiàn)象這些問(wèn)題一樣的錯(cuò)誤。

3.4 用戶(hù)的認(rèn)證管理

1) 身份認(rèn)證

電子商務(wù)企業(yè)用戶(hù)身份認(rèn)證可以通過(guò)服務(wù)器CA 證書(shū)與IC 卡相結(jié)合實(shí)現(xiàn)的。CA 證書(shū)用來(lái)認(rèn)證服務(wù)器的身份,IC 卡用來(lái)認(rèn)證企業(yè)用戶(hù)的身份。個(gè)人用戶(hù)由于沒(méi)有提供交易功能,所以只采用ID 號(hào)和密碼口令的身份確認(rèn)機(jī)制。

2) CA 證書(shū)

要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性,需要一份數(shù)字證書(shū)進(jìn)行驗(yàn)證,這份數(shù)字證書(shū)就是CA 證書(shū),它由認(rèn)證授權(quán)中心(CA 中心)發(fā)行。認(rèn)證中心(CA)就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù),能簽發(fā)數(shù)字證書(shū),并能確認(rèn)用戶(hù)身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu),主要任務(wù)是受理數(shù)字證書(shū)的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書(shū)的管理。CA 中心一般是社會(huì)公認(rèn)的可靠組織,它對(duì)個(gè)人、組織進(jìn)行審核后,為其發(fā)放數(shù)字證書(shū),證書(shū)分為服務(wù)器證書(shū)和個(gè)人證書(shū)。建立SSL 安全鏈接不需要一定有個(gè)人證書(shū),實(shí)際上不驗(yàn)證客戶(hù)的個(gè)人證書(shū)情況是很多的。驗(yàn)證個(gè)人證書(shū)是為了驗(yàn)證來(lái)訪者的合法身份。而單純的想建立SSL 鏈接時(shí)客戶(hù)只需用戶(hù)下載該站點(diǎn)的服務(wù)器證書(shū)(下載可以在訪問(wèn)之前或訪問(wèn)時(shí)進(jìn)行)。

3) 安全套接層SSL 協(xié)議

安全套接層SSL 協(xié)議是Netscape 公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA 和保密密鑰的用于瀏覽器與Web 服務(wù)器之間的安全連接技術(shù)。

SSL 通過(guò)數(shù)字簽名和數(shù)字證書(shū)來(lái)實(shí)行身份驗(yàn)證,數(shù)字證書(shū)是從認(rèn)證機(jī)構(gòu)(CA,Certificate Authority)獲得的,通常包含有唯一標(biāo)識(shí)證書(shū)所有者的名稱(chēng)、唯一標(biāo)識(shí)證書(shū)者的名稱(chēng)、證書(shū)所有者的公開(kāi)密鑰、證書(shū)者的數(shù)字簽名、證書(shū)的有效期及證書(shū)的序列號(hào)等。在用數(shù)字證書(shū)對(duì)雙方的身份驗(yàn)證后,雙方就可以用保密密鑰進(jìn)行安全的會(huì)話了。

SSL 協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前,協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方,從而為應(yīng)用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應(yīng)用協(xié)議(如Http、Ftp、Telnet 等)以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩浴?/p>

SSL 協(xié)議握手流程由兩個(gè)階段組成:服務(wù)器認(rèn)證和用戶(hù)認(rèn)證。

①服務(wù)器認(rèn)證

客戶(hù)端向服務(wù)器發(fā)送一個(gè)“Hello”信息,以便開(kāi)始一個(gè)新的會(huì)話連接;服務(wù)器根據(jù)客戶(hù)的信息確定是否需要生成新的主密鑰,如需要?jiǎng)t服務(wù)器在響應(yīng)客戶(hù)的“Hello”信息時(shí)將包含生成主密鑰所需的信息;客戶(hù)根據(jù)收到的服務(wù)器響應(yīng)信息,產(chǎn)生一個(gè)主密鑰,并用服務(wù)器的公開(kāi)密鑰加密后傳給服務(wù)器;服務(wù)器恢復(fù)該主密鑰,并返回給客戶(hù)一個(gè)用主密鑰認(rèn)證的信息,以此讓客戶(hù)認(rèn)證服務(wù)器。這樣通過(guò)主密鑰引出的密鑰對(duì)一系列數(shù)據(jù)進(jìn)行加密來(lái)認(rèn)證服務(wù)器,從而建立安全的通信通道。

②用戶(hù)認(rèn)證

經(jīng)認(rèn)證的服務(wù)器發(fā)送一個(gè)提問(wèn)給客戶(hù),客戶(hù)則返回?cái)?shù)字簽名后的提問(wèn)和其公開(kāi)密鑰,從而向服務(wù)器提供認(rèn)證。SSL 協(xié)議支持各種加密算法,實(shí)現(xiàn)簡(jiǎn)單,獨(dú)立于應(yīng)用層協(xié)議,且被大部分瀏覽器和Web 服務(wù)器內(nèi)置,便于在電子交易中應(yīng)用。但SSL 是一個(gè)面向連接的協(xié)議,起初并不是為了支持電子商務(wù)而設(shè)計(jì)的,只能提供交易中客戶(hù)與服務(wù)器間的雙方認(rèn)證,在涉及多方的電子交易中,SSL 協(xié)議不能協(xié)調(diào)各方面的安全傳輸和信任關(guān)系。為此,開(kāi)發(fā)出了在網(wǎng)絡(luò)應(yīng)用層中專(zhuān)為電子商務(wù)而設(shè)計(jì)的SET 協(xié)議。

4 安全管理

為了確保系統(tǒng)的安全性,除了采用上述技術(shù)手段外,還必須建立嚴(yán)格的內(nèi)部安全機(jī)制。對(duì)于所有接觸系統(tǒng)的人員,按其職責(zé)設(shè)定其訪問(wèn)系統(tǒng)的最小權(quán)限。按照分級(jí)管理原則,嚴(yán)格管理內(nèi)部用戶(hù)帳號(hào)和密碼,進(jìn)入系統(tǒng)內(nèi)部必須通過(guò)嚴(yán)格的身份確認(rèn),防止非法占用、冒用合法用戶(hù)帳號(hào)和密碼。

建立網(wǎng)絡(luò)安全維護(hù)日志,記錄與安全性相關(guān)的信息及事件,有情況出現(xiàn)時(shí)便于跟蹤查詢(xún)。定期檢查日志,以便及時(shí)發(fā)現(xiàn)潛在的安全威脅。

對(duì)于重要數(shù)據(jù)要及時(shí)進(jìn)行備份,且對(duì)數(shù)據(jù)庫(kù)中存放的數(shù)據(jù),數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)視其重要性提供不同級(jí)別的數(shù)據(jù)加密。

5 結(jié)束語(yǔ)

安全實(shí)際上就是一種風(fēng)險(xiǎn)管理。任何技術(shù)手段都不能保證1OO%的安全。但是,安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險(xiǎn)。決定采用什么安全策略取決于系統(tǒng)的風(fēng)險(xiǎn)要控制在什么程度范圍內(nèi)。電子商務(wù)的安全運(yùn)行必須從多方面入手,僅在技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的。安全只是相對(duì)的,而不是絕對(duì)的。因此,為進(jìn)一步促進(jìn)電子商務(wù)體系的完善和行業(yè)的健康快速發(fā)展,必須在實(shí)際運(yùn)用中解決電子商務(wù)中出現(xiàn)的各類(lèi)問(wèn)題,使電子商務(wù)系統(tǒng)相對(duì)更安全。

參考文獻(xiàn)

[1] 吳洋.電子商務(wù)安全方法研究[D].天津大學(xué), 2006.

[2] 李艷.電子商務(wù)信息安全策略研究[J].甘肅科技, 2005,(06)

篇8

[關(guān)鍵詞]電子商務(wù);技術(shù)風(fēng)險(xiǎn);風(fēng)險(xiǎn)管理

電子商務(wù)(ElectronicCommerce,EC)是指通過(guò)網(wǎng)絡(luò)(尤其是Internet)所進(jìn)行的買(mǎi)賣(mài)交易以及相關(guān)服務(wù)或其他的組織管理活動(dòng)。交易的安全性能否得到保障是電子商務(wù)的核心問(wèn)題。近幾年來(lái),我國(guó)的電子商務(wù)發(fā)展較快,但各種風(fēng)險(xiǎn)也日趨突出。一般來(lái)說(shuō),電子商務(wù)中常見(jiàn)的風(fēng)險(xiǎn)可分為經(jīng)濟(jì)風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)、制度風(fēng)險(xiǎn)、技術(shù)風(fēng)險(xiǎn)和信息風(fēng)險(xiǎn)。IT技術(shù)是實(shí)現(xiàn)電子商務(wù)的基礎(chǔ),分析研究其技術(shù)風(fēng)險(xiǎn)是保障電子商務(wù)安全的重要研究課題。

為了促進(jìn)電子商務(wù)的健康發(fā)展,研究電子商務(wù)中可能存在的風(fēng)險(xiǎn)及相應(yīng)的控制策略是十分必要的。本文分析了電子商務(wù)中存在的技術(shù)風(fēng)險(xiǎn)及其產(chǎn)生的原因,并在此基礎(chǔ)上提出了降低電子商務(wù)技術(shù)風(fēng)險(xiǎn)的相關(guān)安全策略及措施。

1.電子商務(wù)中存在的技術(shù)風(fēng)險(xiǎn)

由于網(wǎng)絡(luò)的開(kāi)放性、共享性和動(dòng)態(tài)性,使得任何人都可以自由地接入Internet,導(dǎo)致以Internet為主要平臺(tái)的電子商務(wù)的發(fā)展面臨嚴(yán)峻的安全問(wèn)題。其主要技術(shù)風(fēng)險(xiǎn)包括:

1.1網(wǎng)絡(luò)環(huán)境風(fēng)險(xiǎn)

網(wǎng)絡(luò)服務(wù)器常遭受到黑客的襲擊,個(gè)別網(wǎng)絡(luò)中的信息系統(tǒng)受到攻擊后無(wú)法恢復(fù)正常運(yùn)行;網(wǎng)絡(luò)軟件常常被人篡改或破壞;網(wǎng)絡(luò)中存儲(chǔ)或傳遞的數(shù)據(jù)常常被未經(jīng)授權(quán)者篡改、增刪、復(fù)制或使用。

1.2數(shù)據(jù)存取風(fēng)險(xiǎn)

由于數(shù)據(jù)存取不當(dāng)所造成的風(fēng)險(xiǎn)。這種風(fēng)險(xiǎn)主要來(lái)自于企業(yè)內(nèi)部。一是未經(jīng)授權(quán)的人員進(jìn)入系統(tǒng)的數(shù)據(jù)庫(kù)修改、刪除數(shù)據(jù);二是企業(yè)工作人員操作失誤,受其錯(cuò)誤數(shù)據(jù)的影響而帶來(lái)的風(fēng)險(xiǎn),其結(jié)果必然是使企業(yè)效益受到損失,或者是使顧客利益受到損失。

1.3網(wǎng)上支付風(fēng)險(xiǎn)

網(wǎng)上支付一直被認(rèn)為是制約中國(guó)電子商務(wù)發(fā)展的最大瓶頸,許多企業(yè)和個(gè)人擔(dān)心交易的安全性而不愿使用網(wǎng)上支付。

2.電子商務(wù)風(fēng)險(xiǎn)管理

電子商務(wù)安全的風(fēng)險(xiǎn)管理(RiskManagement)是對(duì)電子商務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行識(shí)別、衡量、分析,并在此基礎(chǔ)上盡可能地以最低的成本和代價(jià)實(shí)現(xiàn)盡可能大的安全保障的科學(xué)管理方法。其本質(zhì)就是防患于未然:事前加以消減和控制,事后積極響應(yīng)和處理,為響應(yīng)和處理所做的準(zhǔn)備就是制訂應(yīng)急計(jì)劃。

了解了電子商務(wù)存在的風(fēng)險(xiǎn)之后,需要對(duì)這些風(fēng)險(xiǎn)進(jìn)行管理和控制,具體包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)應(yīng)對(duì)和風(fēng)險(xiǎn)監(jiān)控4個(gè)過(guò)程。

2.1風(fēng)險(xiǎn)識(shí)別

對(duì)電子商務(wù)系統(tǒng)的安全而言,風(fēng)險(xiǎn)識(shí)別的目標(biāo)主要是對(duì)電子商務(wù)系統(tǒng)的網(wǎng)絡(luò)環(huán)境風(fēng)險(xiǎn)、數(shù)據(jù)存取風(fēng)險(xiǎn)和網(wǎng)上支付風(fēng)險(xiǎn)進(jìn)行識(shí)別。識(shí)別風(fēng)險(xiǎn)的方法有很多,主要有:試驗(yàn)數(shù)據(jù)和結(jié)果、專(zhuān)家調(diào)查法、事件樹(shù)分析法。電子商務(wù)風(fēng)險(xiǎn)識(shí)別最常用的一種方法就是收集各種曾經(jīng)發(fā)生過(guò)的電子商務(wù)攻擊事件(不僅局限于本企業(yè)),經(jīng)過(guò)分析提取出若干特征,將其存儲(chǔ)到“風(fēng)險(xiǎn)”庫(kù),作為識(shí)別潛在風(fēng)險(xiǎn)的參考。

2.2風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)分析的目的是確定每種風(fēng)險(xiǎn)對(duì)企業(yè)影響的大小,一般是對(duì)已經(jīng)識(shí)別出來(lái)的電子商務(wù)風(fēng)險(xiǎn)進(jìn)行量化估計(jì)。這里量化的概念主要指風(fēng)險(xiǎn)影響指標(biāo),風(fēng)險(xiǎn)概率以及風(fēng)險(xiǎn)值。技術(shù)安全是電子商務(wù)實(shí)現(xiàn)的基礎(chǔ),其重要性不言而喻,因此在該項(xiàng)目規(guī)劃、計(jì)劃階段就應(yīng)充分考慮。

2.3風(fēng)險(xiǎn)應(yīng)對(duì)(風(fēng)險(xiǎn)控制)

根據(jù)風(fēng)險(xiǎn)性質(zhì)和企業(yè)對(duì)風(fēng)險(xiǎn)的承受能力制訂相應(yīng)的防范計(jì)劃,即風(fēng)險(xiǎn)應(yīng)對(duì)。確定風(fēng)險(xiǎn)的應(yīng)對(duì)策略后,就可編制風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃。電子商務(wù)的技術(shù)風(fēng)險(xiǎn)控制主要是針對(duì)網(wǎng)絡(luò)環(huán)境風(fēng)險(xiǎn)、數(shù)據(jù)存取風(fēng)險(xiǎn)和網(wǎng)上支付風(fēng)險(xiǎn)制訂風(fēng)險(xiǎn)應(yīng)對(duì)策略,從硬件、軟件兩方面加強(qiáng)IT基礎(chǔ)設(shè)施建設(shè)。

2.險(xiǎn)監(jiān)控

制定規(guī)劃,實(shí)施保護(hù)措施,在保護(hù)措施實(shí)施的每一個(gè)階段都要進(jìn)行監(jiān)控和跟蹤。風(fēng)險(xiǎn)貫穿于電子商務(wù)項(xiàng)目的整個(gè)生命周期中,因而風(fēng)險(xiǎn)管理是個(gè)動(dòng)態(tài)的、連續(xù)的過(guò)程。因此制訂了風(fēng)險(xiǎn)防范計(jì)劃后,還需要時(shí)刻監(jiān)督風(fēng)險(xiǎn)的發(fā)展與變化情況。

3.電子商務(wù)技術(shù)風(fēng)險(xiǎn)控制

針對(duì)電子商務(wù)中潛在的各類(lèi)技術(shù)風(fēng)險(xiǎn),筆者提出利用以下技術(shù)手段建立一套完整的風(fēng)險(xiǎn)控制體系,將電子商務(wù)的風(fēng)險(xiǎn)減少到最小。

3.1網(wǎng)絡(luò)安全技術(shù)

網(wǎng)絡(luò)安全是電子商務(wù)安全的基礎(chǔ),一個(gè)完整的電子商務(wù)應(yīng)該建立在安全的網(wǎng)絡(luò)基礎(chǔ)之上。網(wǎng)絡(luò)安全技術(shù)涉及面較廣,主要包括操作系統(tǒng)安全、防火墻技術(shù)、虛擬專(zhuān)用網(wǎng)技術(shù)(VPN)、漏洞識(shí)別與檢測(cè)技術(shù)。

3.1.1操作系統(tǒng)安全

操作系統(tǒng)的安全機(jī)制主要有:過(guò)濾保護(hù)、安全檢測(cè)保護(hù)以及隔離保護(hù)。

(1)過(guò)濾保護(hù)分析所有針對(duì)受保護(hù)對(duì)象的訪問(wèn),過(guò)濾惡意攻擊以及可能帶來(lái)不安全因素的非法訪問(wèn)。

(2)安全檢測(cè)保護(hù)對(duì)所有用戶(hù)的操作進(jìn)行分析,阻止那些超越權(quán)限的用戶(hù)操作以及可能給操作系統(tǒng)帶來(lái)不安全因素的用戶(hù)操作。

(3)離保護(hù)在支持多進(jìn)程和多線程的操作系統(tǒng)中,必須保證同時(shí)運(yùn)行的多個(gè)進(jìn)程和線程之間是相互隔離的,即各個(gè)進(jìn)程和線程分別調(diào)用不同的系統(tǒng)資源,且每一個(gè)進(jìn)程和線程都無(wú)法判斷是否還有其他的進(jìn)程或線程在同時(shí)運(yùn)行。一般的隔離保護(hù)措施有以下4種:①物理隔離不同的進(jìn)程和線程調(diào)用的系統(tǒng)資源在物理上是隔離的;

②暫時(shí)隔離在特殊需要的時(shí)間段內(nèi),對(duì)某一個(gè)或某些進(jìn)程或線程實(shí)施隔離,該時(shí)間段結(jié)束后解除隔離;

③軟件隔離在軟件層面上對(duì)各個(gè)進(jìn)程的訪問(wèn)權(quán)限實(shí)行控制和限制,以達(dá)到隔離的效果;

④加密隔離采用加密算法對(duì)相應(yīng)的對(duì)象進(jìn)行加密。

3.1.2防火墻技術(shù)

防火墻是將專(zhuān)用網(wǎng)絡(luò)與公共網(wǎng)絡(luò)隔離開(kāi)來(lái)的網(wǎng)絡(luò)節(jié)點(diǎn),由硬件和軟件組成,其主要功能是通過(guò)建立網(wǎng)絡(luò)通信的過(guò)濾機(jī)制,控制和鑒別出入站點(diǎn)的各種訪問(wèn),進(jìn)而有效地提高交易的安全性。目前的防火墻技術(shù)主要包括兩種類(lèi)型,第一類(lèi)是包過(guò)濾技術(shù),其運(yùn)作方式是監(jiān)視通過(guò)它的數(shù)據(jù)流,根據(jù)防火墻管理事先制定的系統(tǒng)安全政策,選擇性地決定是否讓這些數(shù)據(jù)通行;第二類(lèi)是網(wǎng)關(guān)技術(shù),其運(yùn)作方式是所有要向服務(wù)器索取的數(shù)據(jù),都通過(guò)服務(wù)器來(lái)索取。目前,防火墻技術(shù)的最新發(fā)展趨勢(shì)是分布式和智能化防火墻技術(shù)。分布式防火墻是嵌入到操作系統(tǒng)內(nèi)核中,對(duì)所有的信息流進(jìn)行過(guò)濾與限制;智能化防火墻利用了統(tǒng)計(jì)、記憶、概率和決策等智能技術(shù),對(duì)網(wǎng)絡(luò)執(zhí)行訪問(wèn)控制。

3.1.3VPN

虛擬專(zhuān)用網(wǎng)(VPN)是依靠Internet服務(wù)提供商(ISP)和其他網(wǎng)絡(luò)服務(wù)提供商(NSP),在公用網(wǎng)絡(luò)中建立專(zhuān)用數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。VPN實(shí)現(xiàn)技術(shù)主要有:隧道技術(shù)、虛電路技術(shù)和基于MPLS(Multi-ProtocolLabelSwitching,多協(xié)議標(biāo)簽交換協(xié)議)技術(shù)。基于MPLS技術(shù)的VPN通過(guò)改善和加速數(shù)據(jù)包處理提高VPN效率,集隧道技術(shù)和路由技術(shù)優(yōu)點(diǎn)于一身,組網(wǎng)具有極好的靈活性和擴(kuò)展性。用戶(hù)只需一條線路接入VPN網(wǎng),便可以實(shí)現(xiàn)任何節(jié)點(diǎn)之間的直接通信。不過(guò)基于MPLS技術(shù)的VPN技術(shù)本身還有一個(gè)成熟的過(guò)程,但是它代表了VPN的發(fā)展方向。

3.1.4漏洞識(shí)別與檢測(cè)系統(tǒng)

大部分管理員采用安全漏洞掃描工具對(duì)整個(gè)系統(tǒng)進(jìn)行掃描,了解系統(tǒng)的安全狀況,如MicrosoftBaselineSecurityAnalyze.許多國(guó)產(chǎn)殺毒軟件也提供安全測(cè)試程序:將存在的漏洞標(biāo)示出來(lái),并提供相應(yīng)的解決方法來(lái)指導(dǎo)用戶(hù)進(jìn)行修補(bǔ)。掃描方式的漏洞檢測(cè)工具往往無(wú)法得到目標(biāo)系統(tǒng)的準(zhǔn)確信息,因此無(wú)法準(zhǔn)確判斷目標(biāo)系統(tǒng)的安全狀況。模擬攻擊測(cè)試是解決這一問(wèn)題的有效方法,可以準(zhǔn)確判斷目標(biāo)系統(tǒng)是否存在測(cè)試的漏洞。但是由于漏洞的多樣性和復(fù)雜性,現(xiàn)有的模擬攻擊測(cè)試系統(tǒng)發(fā)展緩慢。

3.2數(shù)據(jù)加密技術(shù)

在網(wǎng)絡(luò)中,計(jì)算機(jī)的數(shù)據(jù)以數(shù)據(jù)包的形式傳輸。為了防止信息被竊取,應(yīng)當(dāng)對(duì)發(fā)送的全部信息進(jìn)行加密。加密傳輸形式是一種將傳送的內(nèi)容變成一些不規(guī)則的數(shù)據(jù),只有通過(guò)正確的密鑰才可以恢復(fù)原文的面貌。根據(jù)密鑰的特點(diǎn),加密算法分為對(duì)稱(chēng)密鑰加密算法(私鑰密碼體制)和非對(duì)稱(chēng)密鑰加密算法(公鑰密碼體制)。目前常用的對(duì)稱(chēng)密鑰加密算法有DES(DataEncryptionStandard)算法和IDEA(InternationalDataEncryptionAlgorithm)算法。常用的非對(duì)稱(chēng)密鑰加密算法有RSA算法和EIGamal算法。非對(duì)稱(chēng)密鑰加密算法在實(shí)際應(yīng)用中包括以下幾種安全技術(shù)方式:數(shù)字摘要技術(shù),即單向哈希函數(shù)技術(shù)、數(shù)字簽名技術(shù)、數(shù)字證書(shū)技術(shù)等。

非數(shù)學(xué)的加密理論與技術(shù)近年來(lái)也發(fā)展非常迅速,成為繼傳統(tǒng)加密方式后的一種新的選擇:

(1)信息隱藏(InformationHiding)即信息偽裝,也稱(chēng)數(shù)據(jù)隱藏(DataHiding)、數(shù)字水?。―igitalWatermarking),是將秘密信息秘密地隱藏于另一非機(jī)密文件之中,利用數(shù)字化聲像信號(hào)對(duì)于人們的視覺(jué)、聽(tīng)覺(jué)的冗余,進(jìn)行各種時(shí)空域和變換域的信息隱藏,從而實(shí)現(xiàn)隱藏通信。主要以灰度/彩色圖像、音頻和視頻信息以及文本作為信息隱藏的載體,代表算法有LSB算法和DCT變換域算法。

(2)量子密碼(QuantumCryptography)是以Heisenberg測(cè)不準(zhǔn)原理和EPR(EinsteinPodolskyRosen)效應(yīng)為物理基礎(chǔ)發(fā)展起來(lái)的一種密碼技術(shù),真正實(shí)現(xiàn)一次一密碼,構(gòu)成理論上不可破譯的密碼體制。量子密碼的研究進(jìn)展順利,雖然還有很多問(wèn)題需要解決,但某些方面尤其是子密鑰分發(fā)已經(jīng)逐步趨于實(shí)用。

3.3身份認(rèn)證技術(shù)

網(wǎng)絡(luò)的虛擬性使得要保證每個(gè)參與者都能被無(wú)誤地識(shí)別,就必須使用身份認(rèn)證技術(shù)。在計(jì)算機(jī)網(wǎng)絡(luò)中,現(xiàn)有的用戶(hù)身份認(rèn)證技術(shù)基本上可以分為3類(lèi):

(1)基于口令的認(rèn)證方式

基于口令的認(rèn)證方式是最基本的認(rèn)證方式,但是存在嚴(yán)重安全隱患。安全性完全依賴(lài)于口令,一旦口令泄漏,用戶(hù)即被冒充;而且用戶(hù)選擇的口令比較簡(jiǎn)單,容易被猜測(cè)。

(2)基于安全物品的認(rèn)證方式

主要有電子簽名和認(rèn)證卡兩種方式。電子簽名是電子形式的數(shù)據(jù),是與數(shù)據(jù)電文(電子文件、電子信息)相聯(lián)系的用于識(shí)別簽名人的身份和表明簽名人認(rèn)可該數(shù)據(jù)電文內(nèi)容的數(shù)據(jù)。目前廣泛應(yīng)用于電子商務(wù)實(shí)踐的電子簽名即數(shù)字簽名,是通過(guò)向第三方的簽名認(rèn)證機(jī)構(gòu)提出申請(qǐng),由機(jī)構(gòu)進(jìn)行審查,頒發(fā)數(shù)字證書(shū)來(lái)取得自己的數(shù)字簽名。用戶(hù)在發(fā)送信息時(shí)使用自己的私有密鑰對(duì)信息進(jìn)行數(shù)字簽名,再使用接受方的公共密鑰將信息進(jìn)行加密傳輸,接收方使用自己的私有密鑰解密信息,同時(shí)使用發(fā)送方的公開(kāi)簽名密鑰核實(shí)信息的數(shù)字簽名。智能卡認(rèn)證方式具有硬件加密功能,因而具有較高的安全性。進(jìn)行認(rèn)證時(shí),用戶(hù)輸入個(gè)人身份識(shí)別碼(PIN),智能卡認(rèn)證PIN成功后,即可讀出卡中的秘密信息,與驗(yàn)證服務(wù)器之間進(jìn)行認(rèn)證。

(3)基于生物特征的認(rèn)證方式

以人體唯一的、可靠的、穩(wěn)定的生物特征(如指紋、虹膜、人臉、掌紋、耳郭、聲音)為依據(jù),利用圖像處理與模式識(shí)別技術(shù)進(jìn)行認(rèn)證?;诿艽a的認(rèn)證技術(shù)存在密碼難以記憶,容易被黑客破譯的缺點(diǎn)。而基于生物特征的認(rèn)證方式具有很好的安全性、可靠性和有效性,正逐漸成為一種新的身份認(rèn)證方式,特別是近幾年來(lái),全球生物識(shí)別技術(shù)的飛速發(fā)展為生物認(rèn)證提供了廣泛的技術(shù)支持。其中,基于人臉識(shí)別的認(rèn)證技術(shù)已經(jīng)成為當(dāng)前的研究熱點(diǎn),主要方法有基于幾何特征的人臉識(shí)別方法與基于統(tǒng)計(jì)的人臉識(shí)別方法,并且已有產(chǎn)品投入網(wǎng)絡(luò)安全領(lǐng)域,如TrueFaceCyberWatch.

3.4數(shù)據(jù)庫(kù)安全機(jī)制

數(shù)據(jù)庫(kù)安全最重要的一點(diǎn)就是確保只授權(quán)給有資格的用戶(hù)訪問(wèn)數(shù)據(jù)庫(kù)的權(quán)限,同時(shí)令所有未被授權(quán)的人員無(wú)法接近數(shù)據(jù),這主要通過(guò)數(shù)據(jù)庫(kù)系統(tǒng)的存取控制機(jī)制實(shí)現(xiàn)。存取控制機(jī)制主要包括兩部分:

(1)定義用戶(hù)權(quán)限,并將用戶(hù)權(quán)限登記到數(shù)據(jù)字典中。

(2)合法權(quán)限檢查,每當(dāng)用戶(hù)發(fā)出存取數(shù)據(jù)庫(kù)的操作請(qǐng)求后,DBMS查找數(shù)據(jù)字典,根據(jù)安全規(guī)則進(jìn)行合法權(quán)限檢查。若用戶(hù)的操作請(qǐng)求超出了定義的權(quán)限,系統(tǒng)將拒絕執(zhí)行此操作。

一旦數(shù)據(jù)遭到破壞,就必須采取補(bǔ)救措施。建立嚴(yán)格的數(shù)據(jù)備份與恢復(fù)管理機(jī)制是保障數(shù)據(jù)庫(kù)系統(tǒng)安全的有效手段。數(shù)據(jù)備份可以分為2個(gè)層次:硬件級(jí)和軟件級(jí)。硬件級(jí)的備份是指用冗余的硬件來(lái)保證系統(tǒng)的連續(xù)運(yùn)行。軟件級(jí)的備份指的是將系統(tǒng)數(shù)據(jù)保存到其他介質(zhì)上,當(dāng)出現(xiàn)錯(cuò)誤時(shí)可以將系統(tǒng)恢復(fù)到備份時(shí)的狀態(tài),這種方法可以完全防止邏輯損壞。

3.5第三方認(rèn)證CA

與采用其他交易方式相比,采用電子商務(wù)交易模式的各方還有更多的風(fēng)險(xiǎn),這些在電子商務(wù)中所特有的風(fēng)險(xiǎn)有:賣(mài)方在網(wǎng)站上對(duì)產(chǎn)品進(jìn)行不實(shí)宣傳,欺詐行為的風(fēng)險(xiǎn);買(mǎi)方發(fā)出惡意訂單的風(fēng)險(xiǎn);交易一方對(duì)電子合同否認(rèn)的風(fēng)險(xiǎn);交易信息傳送風(fēng)險(xiǎn),如信息被竊、被修改等風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)的存在,需要設(shè)立第三方認(rèn)證技術(shù)中心,為在網(wǎng)上交易各方交易資料的傳遞進(jìn)行加密、驗(yàn)證和對(duì)交易過(guò)程進(jìn)行監(jiān)察。CA認(rèn)證技術(shù)中心是一個(gè)確保信任的權(quán)威實(shí)體,它的主要職責(zé)是頒發(fā)證書(shū),驗(yàn)證用戶(hù)身份的真實(shí)性。任何相信CA的人,按照第三方信任原則,也都應(yīng)該相信持有證明的用戶(hù)。CA發(fā)放的證書(shū)有SSL和SET兩種。SSL(SecureSocketsLayer)

安全協(xié)議又叫“安全套接層協(xié)議”,主要用于提高應(yīng)用程序之間數(shù)據(jù)的安全系數(shù),一般服務(wù)于銀行對(duì)企業(yè)或企業(yè)對(duì)企業(yè)的電子商務(wù)。SET協(xié)議(SecureElectronicTransaction)

位于應(yīng)用層,用來(lái)保證互聯(lián)網(wǎng)上銀行卡支付交易安全性,一般服務(wù)于持卡消費(fèi)、網(wǎng)上購(gòu)物等。

4.結(jié)論

電子商務(wù)的開(kāi)展以信息技術(shù)為基礎(chǔ),如何解決電子商務(wù)中存在的安全問(wèn)題已成為一個(gè)迫在眉睫的課題。電子商務(wù)風(fēng)險(xiǎn)是不可能完全消除的,因?yàn)樗桥c電子商務(wù)共生的,是電子商務(wù)的必然產(chǎn)物,但是,可以將風(fēng)險(xiǎn)限制在影響最小的范圍之內(nèi)。只有了解風(fēng)險(xiǎn),才能規(guī)避風(fēng)險(xiǎn)。本文從安全風(fēng)險(xiǎn)管理的角度出發(fā),分析了電子商務(wù)中可能存在的技術(shù)風(fēng)險(xiǎn),論述了這些風(fēng)險(xiǎn)的控制策略,希望對(duì)企業(yè)開(kāi)展電子商務(wù)活動(dòng)起到一定的積極作用。

主要參考文獻(xiàn)

[1]阮新新。電子商務(wù)技術(shù)風(fēng)險(xiǎn)管理的探討[J].經(jīng)濟(jì)問(wèn)題探索,2004,(4):96-97.

[2]ThomasFinne.InformationSystemsRiskManagement:KeyConceptsandBusinessProcess[J].ComputerandSecurity,2000,(19):234-242.

[3]劉偉江,王勇。電子商務(wù)風(fēng)險(xiǎn)及控制策略[J].東北師范大學(xué)學(xué)報(bào):哲學(xué)社會(huì)科學(xué)版,2005,(11)。

篇9

電子商務(wù)可以增加銷(xiāo)售額并降低成本的優(yōu)勢(shì),使得政府與企業(yè)都十分重視并推動(dòng)電子商務(wù)的建設(shè)和發(fā)展。電子商務(wù)發(fā)展到今天,主要問(wèn)題在于時(shí)空的分離導(dǎo)致了安全問(wèn)題的出現(xiàn),信息的安全性是當(dāng)前發(fā)展電子商務(wù)最迫切需要解決的問(wèn)題之一。研究和分析電子商務(wù)的安全性問(wèn)題,特別是針對(duì)企業(yè)自身情況,充分借鑒以往電子商務(wù)系統(tǒng)開(kāi)發(fā)的先進(jìn)技術(shù)和經(jīng)驗(yàn),開(kāi)發(fā)出符合企業(yè)特殊的電子商務(wù)系統(tǒng),已經(jīng)成為目前發(fā)展電子商務(wù)的關(guān)鍵,而安全體系的構(gòu)建顯得尤為重要。

2電子商務(wù)的主要安全要素

目前電子商務(wù)工程正在全國(guó)迅速發(fā)展。實(shí)現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動(dòng)過(guò)程中系統(tǒng)的安全性,即應(yīng)保證在基于Internet的電子交易轉(zhuǎn)變的過(guò)程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來(lái)看,傳統(tǒng)的買(mǎi)賣(mài)雙方是面對(duì)面的,因此較容易保證交易過(guò)程的安全性和建立起信任關(guān)系。但在電子商務(wù)過(guò)程中,買(mǎi)賣(mài)雙方是通過(guò)網(wǎng)絡(luò)來(lái)聯(lián)系,由于距離的限制,因而建立交易雙方的安全和信任關(guān)系相當(dāng)困難。時(shí)空的分離導(dǎo)致了安全問(wèn)題的出現(xiàn),電子商務(wù)交易雙方(銷(xiāo)售者和消費(fèi)者)都面臨安全威脅,電子商務(wù)的安全要素主要體現(xiàn)在以下幾個(gè)方面:

2.1信息真實(shí)性、有效性

電子商務(wù)以電子形式取代了紙張,如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開(kāi)展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。

2.2信息機(jī)密性

電子商務(wù)作為貿(mào)易的一種手段,其信息直接廠代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的,商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

3.3信息完整性

電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程,減少了人為的干預(yù),同時(shí)也帶來(lái)維護(hù)商業(yè)信息的完整、統(tǒng)一的問(wèn)題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各方信息的差異。此外,數(shù)據(jù)傳輸過(guò)程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。因此,電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲(chǔ)及電子商務(wù)完整性檢查的正確和可靠。

3.4信息可靠性、不可抵賴(lài)性和可鑒別性

可靠性要求即是能保證合法用戶(hù)對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^;不可否認(rèn)要求即是能建立有效的責(zé)任機(jī)制,防止實(shí)體否認(rèn)其行為;可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過(guò)在交易合同、契約或貿(mào)易單據(jù)等書(shū)面文件上手寫(xiě)簽名或印章來(lái)鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴(lài)行為的發(fā)生。

在無(wú)紙化的電子商務(wù)方式下,通過(guò)手寫(xiě)簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此,要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。在1nternet上每個(gè)人都是匿名的,電子商務(wù)系統(tǒng)應(yīng)充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴(lài);接收方在接收數(shù)據(jù)后也不能抵賴(lài)。

3電子商務(wù)安全系統(tǒng)

網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易能順利進(jìn)行,要求電子商務(wù)平臺(tái)要穩(wěn)定可靠,能不中斷地提供服務(wù)。任何系統(tǒng)的中斷,如硬件、軟件錯(cuò)誤,網(wǎng)絡(luò)故障、病毒等都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作,而使貿(mào)易數(shù)據(jù)在確定的時(shí)刻和地點(diǎn)的有效性得不到保證,往往會(huì)造成巨大的經(jīng)濟(jì)損失。

所以就整個(gè)電子商務(wù)安全系統(tǒng)而言,安全性可以劃分為四個(gè)層次,

1)網(wǎng)絡(luò)節(jié)點(diǎn)的安全

2)通訊的安全性

3)應(yīng)用程序的安全性

4)用戶(hù)的認(rèn)證管理

其中2、3、4是通過(guò)操作系統(tǒng)和Web服務(wù)器軟件實(shí)現(xiàn),而網(wǎng)絡(luò)節(jié)點(diǎn)的安全性依靠防火墻保證,我們應(yīng)該首先保證網(wǎng)絡(luò)節(jié)點(diǎn)的安全性。

3.1網(wǎng)絡(luò)節(jié)點(diǎn)的安全

防火墻是一種由計(jì)算機(jī)硬件和軟件的組合,使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān),從而保護(hù)內(nèi)部網(wǎng)免受非法用戶(hù)的侵入,它其實(shí)就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)(通常指局域網(wǎng)或城域網(wǎng))隔開(kāi)的屏障。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊,為電子商務(wù)的施展提供個(gè)相對(duì)更安全的平臺(tái)。

防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息,并記憶通信狀態(tài),從而作出允許/拒絕等正確的判斷。通過(guò)靈活有效地運(yùn)用這些功能,制定正確的安全策略,將能提供一個(gè)安全、高效的Intranet系統(tǒng)。應(yīng)給予特別注意的是,防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合,它是安全策略的一個(gè)部分。安全策略建立了全方位的防御體系來(lái)保護(hù)機(jī)構(gòu)的信息資源,這種安全策略應(yīng)包括:規(guī)定的網(wǎng)絡(luò)訪問(wèn)、服務(wù)訪問(wèn)、本地和遠(yuǎn)地的用戶(hù)認(rèn)證、撥入和撥出、磁盤(pán)和數(shù)據(jù)加密、病毒防護(hù)措施,以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級(jí)別加以保護(hù)。僅設(shè)立防火墻系統(tǒng),而沒(méi)有全面的安全策略,那么防火墻就形同虛設(shè)。

3.2通訊的安全

在客戶(hù)端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接,所傳遞的重要信息都是經(jīng)過(guò)加密的,這在一定程度上保證了數(shù)據(jù)在傳輸過(guò)程中的安全。目前采用的是瀏覽器缺省的40位加密強(qiáng)度,也可以考慮將加密強(qiáng)度增加到128位。為在瀏覽器和服務(wù)器之間建立安全機(jī)制,SSL首先要求服務(wù)器向?yàn)g覽器出示它的證書(shū),證書(shū)包括一個(gè)公鑰,由一家可信證書(shū)授權(quán)機(jī)構(gòu)(CA中心)簽發(fā)。瀏覽器要驗(yàn)征服務(wù)器證書(shū)的正確性,必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰(PKI)。建立SSL鏈接不需要一定有個(gè)人證書(shū),實(shí)際上不驗(yàn)證客戶(hù)的個(gè)人證書(shū)情況是很多的。驗(yàn)證個(gè)人證書(shū)是為了驗(yàn)證來(lái)訪者的合法身份。而單純的想建立SSL鏈接時(shí)客戶(hù)只需用戶(hù)下載該站點(diǎn)的服務(wù)器證書(shū)(下載可以在訪問(wèn)之前或訪問(wèn)時(shí))。驗(yàn)證此證書(shū)是合法的服務(wù)器證書(shū)通過(guò)后利用該證書(shū)對(duì)稱(chēng)加密算法(RSA)與服務(wù)器協(xié)商一個(gè)對(duì)稱(chēng)算法及密鑰,然后用此對(duì)稱(chēng)算法加密傳輸?shù)拿魑?。此時(shí)瀏覽器也會(huì)出進(jìn)入安全狀態(tài)的提示。

3.3應(yīng)用程序的安全性

即使正確地配置了訪問(wèn)控制規(guī)則,要滿足計(jì)算機(jī)系統(tǒng)的安全性也是不充分的,因?yàn)榫幊体e(cuò)誤也可能引致攻擊。程序錯(cuò)誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數(shù);程序員忘記檢查邊界條件,特別是處理字符串的內(nèi)存緩沖時(shí);程序員忘記最小特權(quán)的基本原則。整個(gè)程序都是在特權(quán)模式下運(yùn)行,而不是只有有限的指令子集在特權(quán)模式下運(yùn)行,其他的部分只有縮小的許可;程序員從這個(gè)特權(quán)程序使用范圍內(nèi)建立一個(gè)資源,如一個(gè)文件和目錄。不是顯式地設(shè)置訪問(wèn)控制(最少許可),程序員認(rèn)為這個(gè)缺省的許可是正確的。

這些缺點(diǎn)都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來(lái)騙特權(quán)程序做一些它本來(lái)不應(yīng)該做的事情。緩沖溢出攻擊就是通過(guò)給特權(quán)程序輸入一個(gè)過(guò)長(zhǎng)的字符串來(lái)實(shí)現(xiàn)的。程序不檢查輸入字符串長(zhǎng)度。假的輸入字符串常常是可執(zhí)行的命令,特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來(lái)增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙?。例如,緩沖溢出攻擊可以向系統(tǒng)中增加一個(gè)用戶(hù)并賦予這個(gè)用戶(hù)特權(quán)。訪問(wèn)控制系統(tǒng)中沒(méi)有什么可以檢測(cè)到這些問(wèn)題。只有通過(guò)監(jiān)視系統(tǒng)并尋找違反安全策略的行為,才能發(fā)現(xiàn)象這些問(wèn)題一樣的錯(cuò)誤。

3.4用戶(hù)的認(rèn)證管理

1)身份認(rèn)證

電子商務(wù)企業(yè)用戶(hù)身份認(rèn)證可以通過(guò)服務(wù)器CA證書(shū)與IC卡相結(jié)合實(shí)現(xiàn)的。CA證書(shū)用來(lái)認(rèn)證服務(wù)器的身份,IC卡用來(lái)認(rèn)證企業(yè)用戶(hù)的身份。個(gè)人用戶(hù)由于沒(méi)有提供交易功能,所以只采用ID號(hào)和密碼口令的身份確認(rèn)機(jī)制。

2)CA證書(shū)

要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性,需要一份數(shù)字證書(shū)進(jìn)行驗(yàn)證,這份數(shù)字證書(shū)就是CA證書(shū),它由認(rèn)證授權(quán)中心(CA中心)發(fā)行。認(rèn)證中心(CA)就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù),能簽發(fā)數(shù)字證書(shū),并能確認(rèn)用戶(hù)身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu),主要任務(wù)是受理數(shù)字證書(shū)的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書(shū)的管理。CA中心一般是社會(huì)公認(rèn)的可靠組織,它對(duì)個(gè)人、組織進(jìn)行審核后,為其發(fā)放數(shù)字證書(shū),證書(shū)分為服務(wù)器證書(shū)和個(gè)人證書(shū)。建立SSL安全鏈接不需要一定有個(gè)人證書(shū),實(shí)際上不驗(yàn)證客戶(hù)的個(gè)人證書(shū)情況是很多的。驗(yàn)證個(gè)人證書(shū)是為了驗(yàn)證來(lái)訪者的合法身份。而單純的想建立SSL鏈接時(shí)客戶(hù)只需用戶(hù)下載該站點(diǎn)的服務(wù)器證書(shū)(下載可以在訪問(wèn)之前或訪問(wèn)時(shí)進(jìn)行)。

3)安全套接層SSL協(xié)議

安全套接層SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。

SSL通過(guò)數(shù)字簽名和數(shù)字證書(shū)來(lái)實(shí)行身份驗(yàn)證,數(shù)字證書(shū)是從認(rèn)證機(jī)構(gòu)(CA,CertificateAuthority)獲得的,通常包含有唯一標(biāo)識(shí)證書(shū)所有者的名稱(chēng)、唯一標(biāo)識(shí)證書(shū)者的名稱(chēng)、證書(shū)所有者的公開(kāi)密鑰、證書(shū)者的數(shù)字簽名、證書(shū)的有效期及證書(shū)的序列號(hào)等。在用數(shù)字證書(shū)對(duì)雙方的身份驗(yàn)證后,雙方就可以用保密密鑰進(jìn)行安全的會(huì)話了。

SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前,協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方,從而為應(yīng)用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應(yīng)用協(xié)議(如Http、Ftp、Telnet等)以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩浴?/p>

SSL協(xié)議握手流程由兩個(gè)階段組成:服務(wù)器認(rèn)證和用戶(hù)認(rèn)證。

①服務(wù)器認(rèn)證

客戶(hù)端向服務(wù)器發(fā)送一個(gè)“Hello”信息,以便開(kāi)始一個(gè)新的會(huì)話連接;服務(wù)器根據(jù)客戶(hù)的信息確定是否需要生成新的主密鑰,如需要?jiǎng)t服務(wù)器在響應(yīng)客戶(hù)的“Hello”信息時(shí)將包含生成主密鑰所需的信息;客戶(hù)根據(jù)收到的服務(wù)器響應(yīng)信息,產(chǎn)生一個(gè)主密鑰,并用服務(wù)器的公開(kāi)密鑰加密后傳給服務(wù)器;服務(wù)器恢復(fù)該主密鑰,并返回給客戶(hù)一個(gè)用主密鑰認(rèn)證的信息,以此讓客戶(hù)認(rèn)證服務(wù)器。這樣通過(guò)主密鑰引出的密鑰對(duì)一系列數(shù)據(jù)進(jìn)行加密來(lái)認(rèn)證服務(wù)器,從而建立安全的通信通道。

②用戶(hù)認(rèn)證

經(jīng)認(rèn)證的服務(wù)器發(fā)送一個(gè)提問(wèn)給客戶(hù),客戶(hù)則返回?cái)?shù)字簽名后的提問(wèn)和其公開(kāi)密鑰,從而向服務(wù)器提供認(rèn)證。SSL協(xié)議支持各種加密算法,實(shí)現(xiàn)簡(jiǎn)單,獨(dú)立于應(yīng)用層協(xié)議,且被大部分瀏覽器和Web服務(wù)器內(nèi)置,便于在電子交易中應(yīng)用。但SSL是一個(gè)面向連接的協(xié)議,起初并不是為了支持電子商務(wù)而設(shè)計(jì)的,只能提供交易中客戶(hù)與服務(wù)器間的雙方認(rèn)證,在涉及多方的電子交易中,SSL協(xié)議不能協(xié)調(diào)各方面的安全傳輸和信任關(guān)系。為此,開(kāi)發(fā)出了在網(wǎng)絡(luò)應(yīng)用層中專(zhuān)為電子商務(wù)而設(shè)計(jì)的SET協(xié)議。

4安全管理

為了確保系統(tǒng)的安全性,除了采用上述技術(shù)手段外,還必須建立嚴(yán)格的內(nèi)部安全機(jī)制。對(duì)于所有接觸系統(tǒng)的人員,按其職責(zé)設(shè)定其訪問(wèn)系統(tǒng)的最小權(quán)限。按照分級(jí)管理原則,嚴(yán)格管理內(nèi)部用戶(hù)帳號(hào)和密碼,進(jìn)入系統(tǒng)內(nèi)部必須通過(guò)嚴(yán)格的身份確認(rèn),防止非法占用、冒用合法用戶(hù)帳號(hào)和密碼。

建立網(wǎng)絡(luò)安全維護(hù)日志,記錄與安全性相關(guān)的信息及事件,有情況出現(xiàn)時(shí)便于跟蹤查詢(xún)。定期檢查日志,以便及時(shí)發(fā)現(xiàn)潛在的安全威脅。

對(duì)于重要數(shù)據(jù)要及時(shí)進(jìn)行備份,且對(duì)數(shù)據(jù)庫(kù)中存放的數(shù)據(jù),數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)視其重要性提供不同級(jí)別的數(shù)據(jù)加密。

篇10

關(guān)鍵詞:電子商務(wù);安全;評(píng)估;標(biāo)準(zhǔn)

中圖分類(lèi)號(hào):F239 文獻(xiàn)標(biāo)志碼:A 文章編號(hào):1673-291X(2012)13-0136-02

一、電子商務(wù)安全評(píng)估概述

1.電子商務(wù)安全評(píng)估重要性電子商務(wù)安全評(píng)估是運(yùn)用系統(tǒng)的方法,對(duì)電子商務(wù)系統(tǒng)、各種電子商務(wù)安全保護(hù)措施、管理機(jī)制以及結(jié)合所產(chǎn)生的客觀效果作出是否安全的結(jié)論。由于信息技術(shù)本身有其固有的敏感性和特殊性,這就使得對(duì)企業(yè)電子商務(wù)產(chǎn)品是否安全,電子商務(wù)安全產(chǎn)品及其網(wǎng)絡(luò)系統(tǒng)是否可靠,企業(yè)電子商務(wù)系統(tǒng)是否健壯,電子商務(wù)管理是否嚴(yán)格,信息風(fēng)險(xiǎn)防范的準(zhǔn)備是否充足等方面都成為需要科學(xué)評(píng)價(jià)和證實(shí)的問(wèn)題。電子商務(wù)安全系統(tǒng)所保護(hù)的是敏感信息,評(píng)估必須可靠、可信、可操作,并且能依賴(lài)于成熟的信息安全理論、科學(xué)的評(píng)估方法和完善的標(biāo)準(zhǔn)體系,具有令人信服的科學(xué)性和公正性。

2.電子商務(wù)安全評(píng)估內(nèi)容。電子商務(wù)安全評(píng)估的主要內(nèi)容有環(huán)境控制、應(yīng)用安全、管理機(jī)制、遠(yuǎn)程通信安全、審計(jì)機(jī)制等五個(gè)方面的內(nèi)容。環(huán)境控制分為實(shí)體的、操作系統(tǒng)的及管理的三個(gè)部分。應(yīng)用安全包括輸出輸入控制、系統(tǒng)內(nèi)部控制、責(zé)任劃分、輸出的用途、程序的敏感性和脆弱性、用戶(hù)滿意度等。管理機(jī)制包括規(guī)章制度、緊急恢復(fù)措施、人事制度(如防止工作人員調(diào)入、調(diào)離對(duì)安全的影響)等。遠(yuǎn)程通信安全包括加密、數(shù)據(jù)簽名等。

二、電子商務(wù)安全

1.電子商務(wù)安全需求與隱患。在電子商務(wù)中,任何與交易有關(guān)的信息都通過(guò)網(wǎng)絡(luò)交換,都有可能會(huì)被篡改、竊聽(tīng)、冒名使用或交易后否認(rèn)。保證電子商務(wù)的安全需提供以下安全保護(hù):(1)完整性保護(hù)。確保消息內(nèi)容在傳輸和處理過(guò)程中沒(méi)有被添加、刪除或修改。(2)真實(shí)性保護(hù)。能對(duì)交易者身份進(jìn)行鑒別,為身份的真實(shí)性提供保證。(3)機(jī)密性保護(hù)。能防止電子商務(wù)參與者的信息在存儲(chǔ)、處理、傳輸過(guò)程中泄漏給未經(jīng)授權(quán)的人或?qū)嶓w。(4)抗抵賴(lài)。抗抵賴(lài)就是為交易的雙方提供證據(jù),以解決因否認(rèn)而產(chǎn)生的糾紛。它實(shí)際上建立了交易雙方的責(zé)任機(jī)制。

電子商務(wù)面臨著其系統(tǒng)自身的安全性問(wèn)題,計(jì)算機(jī)及通信網(wǎng)絡(luò)的安全性問(wèn)題同樣會(huì)蔓延到電子商務(wù)中。歸結(jié)起來(lái),電子商務(wù)中的安全患主要有其應(yīng)用層、傳輸層、存儲(chǔ)層和系統(tǒng)層等四個(gè)方面:(1)系統(tǒng)層安全性漏洞。電子商務(wù)系統(tǒng)的運(yùn)作須以系統(tǒng)層的軟硬件為基礎(chǔ),因此系統(tǒng)層的安全性漏洞將直接會(huì)造成電子商務(wù)中的安全患。(2)存儲(chǔ)層的安全漏洞。存儲(chǔ)層的安全漏洞包括兩個(gè)方面的問(wèn)題:1)意外情況造成的數(shù)據(jù)破壞。無(wú)論多么穩(wěn)定的系統(tǒng),意外情況總是不可避免的,電子商務(wù)系統(tǒng)也不例外。如果對(duì)意外情況造成的損失沒(méi)有充分的估計(jì)和完備的補(bǔ)救措施,那么意外情祝造成的數(shù)據(jù)破壞是不可避免的。而數(shù)據(jù)破壞將對(duì)整個(gè)電子商務(wù)系統(tǒng)的穩(wěn)定性和安全性造成威脅。2)有意人為侵害造成的破壞。電子商務(wù)起步不久,安全性措施尚不完善,是網(wǎng)絡(luò)黑客攻擊的焦點(diǎn)。黑客往往利用電子商務(wù)系統(tǒng)中的種種安全性漏洞,竊取和破壞系統(tǒng)數(shù)據(jù),甚至修改系統(tǒng),對(duì)整個(gè)系統(tǒng)的正常運(yùn)作造成嚴(yán)重危害。因此,一個(gè)成功的電子商務(wù)系統(tǒng)必須能有效的防止人為侵害。(3)傳輸層的安全漏洞。傳輸層的安全漏洞包括傳輸過(guò)程中的數(shù)據(jù)截獲電子商務(wù)系統(tǒng)中的數(shù)據(jù)在傳輸過(guò)程中可能受到截獲,傳輸過(guò)程中的數(shù)據(jù)完整性破壞以及跨平臺(tái)數(shù)據(jù)交換引起的數(shù)據(jù)丟失等三個(gè)方面的問(wèn)題。(4)應(yīng)用層的安全漏洞。應(yīng)用層的安全漏洞包括冒充他人身份和抵賴(lài)已經(jīng)做過(guò)的交易兩個(gè)方面的問(wèn)題。

2.電子商務(wù)安全要求與技術(shù)。電子商務(wù)安全要求主要有以下六點(diǎn):(1)信息的有效性要求。電子形式貿(mào)易信息的有效性則是電子商務(wù)活動(dòng)的前提。電子商務(wù)信息的有效性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。一旦簽訂交易后,這項(xiàng)交易就應(yīng)受到保護(hù)以防止被篡改或偽造。(2)信息的保密性要求。電子商務(wù)作為貿(mào)易的一種手段,其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。電子商務(wù)是建立在開(kāi)放的網(wǎng)絡(luò)環(huán)境上,維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此,要預(yù)防非法的信息存取和信息在傳輸過(guò)程中被非法竊取。(3)信息的完整性要求。電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程,減少了人為的干預(yù),同時(shí)也帶來(lái)維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問(wèn)題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各方信息的差異。此外,數(shù)據(jù)傳輸過(guò)程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營(yíng)策略,保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。因此,要預(yù)防對(duì)信息的隨意生成、修改和刪除,同時(shí)要防止數(shù)據(jù)傳送過(guò)程中信息的丟失和重復(fù)并保證信息傳送次序的統(tǒng)一。(4)信息的不可抵賴(lài)性要求。電子商務(wù)可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易,如何確定要進(jìn)行交易的貿(mào)易方正是進(jìn)行交易所期望的貿(mào)易方,這一問(wèn)題則是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。(5)交易身份的真實(shí)性要求。交易者身份的真實(shí)性是指交易雙方確實(shí)是存在的。網(wǎng)上交易的雙方要使交易成功,必須互相信任,確認(rèn)對(duì)方真實(shí),對(duì)商家要考慮客戶(hù)是否有信譽(yù)。(6)系統(tǒng)的可靠性要求。電子商務(wù)系統(tǒng)的可靠性是指防止由于計(jì)算機(jī)失效、程序錯(cuò)誤、傳輸錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤、數(shù)據(jù)庫(kù)出錯(cuò)、計(jì)算機(jī)病毒和自然災(zāi)害所產(chǎn)生的潛在威脅,并加以控制和預(yù)防,確保系統(tǒng)安全可靠性。保證計(jì)算機(jī)系統(tǒng)的安全是保證電子商務(wù)系統(tǒng)數(shù)據(jù)傳輸及電子商務(wù)完整性檢查的正確和可靠的根基。

通過(guò)使用以下四種電子商務(wù)安全密碼技術(shù),可以基本滿足不同的電子商務(wù)安全需求。(1)完整性保護(hù)技術(shù)。完整性保護(hù)技術(shù)是用于提供消息認(rèn)證的安全機(jī)制。典型的完整性保護(hù)技術(shù)是消息認(rèn)證碼是將利用一個(gè)帶密鑰的雜湊函數(shù)對(duì)消息進(jìn)行計(jì)算,產(chǎn)生消息認(rèn)證碼,并將它附著在消息之后一起傳給接收方,接收方在收到消息后可以重新計(jì)算消息認(rèn)證碼,并將其與接收到的消息認(rèn)證碼進(jìn)行比較:如果它們相等,接收方就認(rèn)為消息沒(méi)有被篡改;如果它們不相等,接收方就知道消息在傳輸過(guò)程中被篡改了。(2)真實(shí)性保護(hù)技術(shù)。真實(shí)性保護(hù)技術(shù)用來(lái)確認(rèn)某一實(shí)體所聲稱(chēng)的身份,以對(duì)抗假冒攻擊。在電子商務(wù)中,交易信息通過(guò)網(wǎng)絡(luò)轉(zhuǎn)發(fā),可能在傳輸過(guò)程有一定的延遲,需要通過(guò)數(shù)據(jù)源鑒別來(lái)確認(rèn)交易信息的真正來(lái)源。(3)機(jī)密性保護(hù)技術(shù)。機(jī)密性保護(hù)技術(shù)是為了防止敏感數(shù)據(jù)泄漏給那些未經(jīng)授權(quán)的實(shí)體。(4)抗抵賴(lài)技術(shù)??沟仲?lài)技術(shù)是為了防止惡意主體事后否認(rèn)所發(fā)生的事實(shí)或行為。要解決上述問(wèn)題,必須在每一事件發(fā)生時(shí),留下關(guān)于該事件的不可否認(rèn)證據(jù)。當(dāng)出現(xiàn)糾紛時(shí),可由可信第三方驗(yàn)證這些留下的證據(jù).這些證據(jù)必須具有不可偽造或防篡改的特點(diǎn)。

三、電子商務(wù)安全審計(jì)

(一)電子商務(wù)安全外部審計(jì)

外部審計(jì)是指審計(jì)師對(duì)公司電子商務(wù)網(wǎng)站的安全工作進(jìn)行審計(jì),對(duì)消費(fèi)者提供數(shù)據(jù)安全、商業(yè)政策、交易完整、數(shù)據(jù)隱私等方面的審計(jì)。消費(fèi)者可以通過(guò)查詢(xún)這些第三方組織的網(wǎng)站進(jìn)行了解。1998年美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)(AICPA)先后成立的Elliott委員會(huì)和Cohen委員會(huì),可以對(duì)電子商務(wù)的這方面內(nèi)容提供鑒證。AICPA對(duì)電子商務(wù)提供的保證服務(wù)主要分為兩個(gè)方面:完整性保證系統(tǒng)(Integrity Assurance System):電子交易中的數(shù)據(jù)要素是各方同意達(dá)成的,并且在數(shù)據(jù)處理與存儲(chǔ)的過(guò)程中保持其完整性,沒(méi)有未經(jīng)授權(quán)的修改。安全性保證系統(tǒng)(SecurityAssuranceSystem):交易雙方的身份驗(yàn)證以及電子數(shù)據(jù)沒(méi)有未經(jīng)授權(quán)的泄漏。

(二)電子商務(wù)安全內(nèi)部審計(jì)

內(nèi)部審計(jì)的作用主要體現(xiàn)在對(duì)于電子商務(wù)公司內(nèi)部系統(tǒng)安全和財(cái)務(wù)風(fēng)險(xiǎn)的管理上,主要包括兩個(gè)方面的內(nèi)容:對(duì)電子商務(wù)系統(tǒng)的技術(shù)審計(jì);對(duì)電子商務(wù)公司的財(cái)務(wù)進(jìn)行審計(jì)。

1.技術(shù)審計(jì)。對(duì)電子商務(wù)系統(tǒng)進(jìn)行技術(shù)審計(jì)的主要內(nèi)容有三項(xiàng):(1)紀(jì)錄、跟蹤系統(tǒng)的運(yùn)行狀況。利用審計(jì)工具,監(jiān)視和紀(jì)錄系統(tǒng)的活動(dòng)情況,如紀(jì)錄用戶(hù)登錄賬號(hào)、登錄時(shí)間、登錄的終端以及所訪問(wèn)的文件、存取操作,并放人系統(tǒng)日志中保存在磁盤(pán)上,使影響系統(tǒng)安全性的存取以及其他非法操作留下線索,以便審查。(2)檢測(cè)各種安全事故。審計(jì)工具能檢測(cè)和判定對(duì)系統(tǒng)的攻擊,如多次使用非法口令登錄系統(tǒng)的嘗試,及時(shí)提供報(bào)警甚至自動(dòng)處理,使系統(tǒng)安全管理人員能夠了解系統(tǒng)的運(yùn)行情況,及時(shí)堵住非法入侵者。審計(jì)工具還能識(shí)別合法用戶(hù)的誤操作等。(3)保存、維護(hù)和管理審計(jì)日志。由于審計(jì)日志記錄了審計(jì)、跟蹤、檢測(cè)各種安全事件的結(jié)果,是查找、分析網(wǎng)絡(luò)系統(tǒng)安全事件的客觀依據(jù),是重要的系統(tǒng)文檔,必須有可靠的存儲(chǔ)和管理機(jī)制。在現(xiàn)代的經(jīng)濟(jì)環(huán)境下對(duì)電子商務(wù)公司的財(cái)務(wù)進(jìn)行審計(jì),其審計(jì)的職能已經(jīng)發(fā)生了根本性的變化。審計(jì)已經(jīng)從傳統(tǒng)的財(cái)務(wù)審計(jì)過(guò)渡到了風(fēng)險(xiǎn)審計(jì)與內(nèi)部控制。因此,運(yùn)用內(nèi)部審計(jì)可以很好地控制風(fēng)險(xiǎn)的發(fā)生。

2.財(cái)務(wù)審計(jì)。對(duì)電子商務(wù)系統(tǒng)進(jìn)行財(cái)務(wù)審計(jì)的主要內(nèi)容有兩項(xiàng):(1)對(duì)電子商務(wù)風(fēng)險(xiǎn)設(shè)定非財(cái)務(wù)化監(jiān)測(cè)工具,這種工具可以是數(shù)量化的,也可以是非數(shù)量化的。比如實(shí)時(shí)監(jiān)測(cè)服務(wù)器訪問(wèn)者數(shù)量,或者使用嗅探器工具網(wǎng)絡(luò)監(jiān)視工具對(duì)公司內(nèi)部網(wǎng)以及國(guó)際互聯(lián)網(wǎng)出口進(jìn)行監(jiān)測(cè)。(2)對(duì)電子商務(wù)風(fēng)險(xiǎn)實(shí)行與商業(yè)風(fēng)險(xiǎn)并行的另外一套防范方法,但是這種防范措施要與其他風(fēng)險(xiǎn)的防范一起進(jìn)入風(fēng)險(xiǎn)管理的總的成本與人員控制。

參考文獻(xiàn):

[1] 劉艷慧.電子商務(wù)及其安全性研究與應(yīng)用[D].天津:天津大學(xué),2008.

[2] 王鐵柱,等.中國(guó)電子商務(wù)安全性分析與研究[J].河北公安警察職業(yè)學(xué)院學(xué)報(bào),2010,(3).