電子商務安全事件范文

時間:2023-09-18 17:59:48

導語:如何才能寫好一篇電子商務安全事件,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。

篇1

關鍵詞:商業(yè)銀行;電子商務;風險管理

商業(yè)銀行從事金融業(yè)務面臨著市場風險、信用風險、以及操作風險等,而電子商務的出現(xiàn)則加劇了上述各類風險發(fā)生的可能性以及風險發(fā)生之后的破壞程度。2004年以來,我國面臨的網(wǎng)絡仿冒威脅正在逐漸加大,仿冒對象主要是金融網(wǎng)站和電子商務網(wǎng)站。2005年上半年共收到網(wǎng)絡安全事件報告65679件,超過2004年全年案件數(shù),商業(yè)銀行電子商務安全風險管理策略已成為理論與實踐中必須重視的課題。

一、信息安全管理的策略大體遵循事件驅動(技術和管理脫節(jié))-逐漸標準化(技術和管理逐漸結合)——安全風險管理(引入了風險分析)的發(fā)展路徑。

(一)以事件驅動的初級階段時期

19世紀70年代安全主要是指物理設備和環(huán)境的安全,人與計算機之間的交互主要局限在大型計算機上的啞終端,安全問題只涉及能訪問終端的少數(shù)人。安全管理策略處于初級階段,由事件驅動,沒有形成規(guī)范的管理流程。在此階段的前期,只重視技術手段。后期開始重視管理手段,但是技術和管理之間脫節(jié)。許多組織對信息安全制定了相應的規(guī)章和制度,但組織的信息安全管理基本上還處在一種靜態(tài)、局部、少數(shù)人負責、突擊式、事后糾正式的管理方式。

(二)標準化時期

企業(yè)開始將安全問題作為整體考慮,形成一套較為完整的安全管理策略,其中包括了安全管理的技術手段和管理制度(或稱運作管理)。幾乎所有從事電子商務的企業(yè)都擁有自己的安全策略,內容也包括了技術手段、安全管理制度、人員安全教育等等,基本上形成體系,技術和管理手段綜合統(tǒng)一,但是安全風險分析還存在不足之處。

(三)安全風險管理策略時期

隨著電子商務安全管理發(fā)展到一個比較高的層次,安全管理策略也演進到安全風險管理階段。主要特點如下:

1.安全風險管理成為主流趨勢;在安全管理策略的演進過程中,技術和管理手段綜合統(tǒng)

一、又融入了風險管理的分析、防范策略,從而安全管理進入了安全風險管理時期。西方商業(yè)銀行已對安全風險管理形成共識。如安氏公司(is—One),認為信息安全問題最終將歸結為風險管理問題,風險管理方法是建立良性的安全技術和管理體系的依據(jù)和基礎。

2.安全風險管理的國際標準和各國的規(guī)范逐漸形成并趨于完善。國際上關于安全風險管理的標準有巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務風險管理原則》、英國標準協(xié)會制訂的BS7799等。各國也日益重視安全風險管理,制定了許多規(guī)范。例如美國貨幣監(jiān)理署(OCC)的《電子銀行最終規(guī)則》、香港金融管理局的《電子銀行服務的安全風險管理》等。中國銀行業(yè)監(jiān)督管理委員也于2006年頒布了《電子銀行業(yè)務管理辦法》,對國內企業(yè)的電子商務安全風險管理給出了指導意見。

3.利用外部專業(yè)化機構對金融機構的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術風險,在相當程度上取決于采用的信息技術的先進程度,系統(tǒng)的設計開發(fā)水平,以及相關設施設備及其供應商的選擇等;銀行依靠傳統(tǒng)的風險管理機制已很難識別、監(jiān)測、控制和管理相關風險。同樣,監(jiān)管機構也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監(jiān)控。因此,大部分國家都采用了依靠外部專業(yè)化機構定期對電子銀行安全性進行評估的辦法,加強對電子銀行安全性和技術風險的管理和監(jiān)管。

4.在許多國家信息系統(tǒng)審計(IsAudit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。業(yè)界的IT風險分析師也成為一種職業(yè),專門從事電子商務的安全風險工作,從經(jīng)濟學的角度出發(fā)分析風險,充分衡量保持安全的代價和收益之間的關系,尋求用最小的代價實現(xiàn)最大的效用,在風險分析中也形成一套較為成熟的模式。

二、我國商業(yè)銀行電子商務安全風險管理策略的薄弱點

(一)系統(tǒng)管理思想缺乏

目前的電子商務安全風險管理策略,在全局上缺乏系統(tǒng)論理論的指導,在實際操作中受到多種多樣的安全攻擊時會不可避免地出現(xiàn)安全漏洞,無法形成一張全面有序的安全網(wǎng)絡。

實踐中被采用的安全風險管理策略,以及作為指導意見的規(guī)則規(guī)范,如《信息安全管理實務準則》(IS017799)、《信息技術安全性評估準則》(GB/T18336.1)、巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務風險管理原則》,盡管提出了比較全面的安全風險管理方案,層次上也比較清晰,但是還不足以作為一個風險防范系統(tǒng)。實踐中,電子商務組織是一個復雜的系統(tǒng)組織,電子商務的安全風險管理體系和過程也是個復雜的系統(tǒng)。系統(tǒng)論、控制論的思想在電子商務安全風險管理中是不可或缺的。

(二)風險分析的模型與方法不成熟,定量分析不足

電子商務模式自身的發(fā)展歷史也不過20幾年,在風險分析的定量技術上并不成熟;如BS7799中推薦的電子商務安全風險管理中實施風險評估時,往往將威脅發(fā)生的可能性定性劃分為幾個級別,將威脅所造成的影響也定性劃分為1~5級,實質上是將一些按照概率發(fā)生的事件定義為不連續(xù)的幾個級別,在操作上易行,但造成了度量的不精確。在進行監(jiān)控和審計之后,也存在無法量化、對比的問題。

(三)忽視與原有的傳統(tǒng)風險管理策略的結合

本質上,電子商務的安全風險無非是新興的商業(yè)模式對傳統(tǒng)的風險的改變,以及產(chǎn)生的在傳統(tǒng)風險控制領域暫時無法明晰的新風險;現(xiàn)有管理策略只從信息技術的角度、或者從偏重技術的角度看待問題,站在金融領域本身來分析研究較少。這種狀況導致了對電子商務安全風險管理的研究無法立足于一個比較高的層次;忽略了風險的整體性,只進行偏信息和技術的研究,導致了現(xiàn)有的電子商務安全風險管理策略與金融機構原有的傳統(tǒng)業(yè)務風險管理策略存在差距。對于商業(yè)銀行而言,傳統(tǒng)金融業(yè)務的風險控制與電子商務的技術風險控制,兩個方面存在脫節(jié),同樣屬于商業(yè)銀行的風險,存在著不同的管理策略,導致多頭管理、資源浪費、機構之間的扯皮,乃至缺位管理。

(四)風險管理策略無法依賴外部的信息安全管理行業(yè)

在發(fā)達國家,信息系統(tǒng)審計(IsAudit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。IT風險分析師也成為一種職業(yè),專門從事電子商務的安全風險工作。商業(yè)銀行采用依靠外部專業(yè)化機構定期對電子銀行的安全性進行評估的辦法,提高對電子銀行安全性和技術風險的管理和監(jiān)管。而國內初步建立了國家信息安全組織保障體系,制定和引進了一批重要的信息安全管理標準、法律法規(guī),風險評估工作得到了一定重視,但與發(fā)達國家成熟完善的外部信息安全管理行業(yè)仍有很大差距。

(五)風險管理策略中商業(yè)銀行的內部風險控制能力薄弱

我國商業(yè)銀行目前均建立起統(tǒng)一的風險管理部門;但風險控制部門的職能、權限與花旗銀行等體制較為先進的銀行相比仍然存在較大差距,風險控制實質上仍然分散在各個子部門;風險的評估、防范與控制實質上完全依靠商業(yè)銀行的電子交易部門;風險管理部門、內審稽核部門實質上無法控制電子商務安全風險。例如,風險管理部門接受了電子交易部的風險控制報告,表面上履行的內控審核的流程,但審核作用有限,無法完成電子商務安全風險管理中的監(jiān)控與審計環(huán)節(jié)。

三、商業(yè)銀行的電子商務安全風險管理策略的改進建議

(一)基于系統(tǒng)的思想構建商業(yè)銀行電子商務安全風險管理策略框架

利用系統(tǒng)理論作為總體的指導思想,將電子商務安全風險管理策略本身當作一個開放的自適應系統(tǒng)。將商業(yè)銀行電子商務安全風險管理中的各個環(huán)節(jié)組成循環(huán)上升的系統(tǒng)。

在商業(yè)銀行電子商務安全風險控制的流程中,經(jīng)過信息安全的風險評估、資產(chǎn)識別和選擇、實施控制降低風險的措施、將風險控制在可接受的范圍內,然后進行監(jiān)控和審計;尤其重要的是把監(jiān)控和審計所得到的內容作為新一輪風險分析輸入,從而開始新一輪的風險管理過程。商業(yè)銀行電子商務安全風險管理的各個步驟為動態(tài)的循環(huán)系統(tǒng)。每完成一個循環(huán),安全風險管理的有效性就上一個臺階,商業(yè)銀行的安全管理水平變得到了提高。新晨

(二)電子商務安全風險管理中定量分析中的改進思路

商業(yè)銀行可以借鑒成熟的傳統(tǒng)金融風險度量中的一些方法來改變電子商務安全風險管理中對資產(chǎn)進行粗略的優(yōu)先級別排序的方法。實踐中,商業(yè)銀行對操作風險的管理與對電子商務安全風險管理有其相似之處。巴塞爾委員會對商業(yè)銀行的操作風險的內部計量法中規(guī)定,商業(yè)銀行內部估計風險敞口指標、損失事件發(fā)生的概率、風險損失,巴塞爾委員會制定資本要求的轉換系數(shù);在度量損失的分布時,主要利用統(tǒng)計和精算技術。商業(yè)銀行應通過數(shù)據(jù)庫將威脅發(fā)生的頻率、威脅所造成的影響等精確記錄下來,利用現(xiàn)有的度量方法進行精確的風險定量分析的嘗試。

(三)將商業(yè)銀行電子商務安全風險納入商業(yè)銀行總體風險管理范疇

篇2

[關鍵詞] 網(wǎng)絡安全 事件 安全對策

隨著網(wǎng)絡時代的到來,越來越多的人通過Internet進行商務活動。電子商務的發(fā)展前景十分誘人,而其安全問題也變得越來越突出。近年來,網(wǎng)絡安全事件不斷攀升,電子商務金融成了攻擊目標,以網(wǎng)頁篡改和垃圾郵件為主的網(wǎng)絡安全事件正在大幅攀升。在國家計算機網(wǎng)絡應急技術處理協(xié)調中心(CNCERT/CC)2005處理的網(wǎng)絡安全事件報告中,網(wǎng)頁篡改占45.91%,網(wǎng)絡仿冒占29%,其余為拒絕服務攻擊、垃圾郵件、蠕蟲、木馬等。如何建立一個安全、便捷的電子商務應用環(huán)境,對信息提供足夠的保護,已經(jīng)成為電子商務的所有參與者十分關心的話題。

一、電子商務中的主要網(wǎng)絡安全事件分析

歸納起來,對電子商務應用影響較多、發(fā)生率較高的互聯(lián)網(wǎng)安全事件可以分為網(wǎng)頁篡改、網(wǎng)絡蠕蟲、拒絕服務攻擊、特羅伊木馬、計算機病毒、網(wǎng)絡仿冒等,網(wǎng)頁篡改、網(wǎng)絡仿冒(Phishing),逐步成為影響電子商務應用與發(fā)展的主要威脅。

1.網(wǎng)頁篡改

網(wǎng)頁篡改是指將正常的網(wǎng)站主頁更換為黑客所提供的網(wǎng)頁。這是黑客攻擊的典型形式。一般來說,主頁的篡改對計算機系統(tǒng)本身不會產(chǎn)生直接的損失,但對電子商務等需要與用戶通過網(wǎng)站進行溝通的應用來說,就意味著電子商務將被迫終止對外的服務。對企業(yè)網(wǎng)站而言,網(wǎng)頁的篡改,尤其是含有攻擊、丑化色彩的篡改,會對企業(yè)形象與信譽造成嚴重損害。

2.網(wǎng)絡仿冒(Phishing)

網(wǎng)絡仿冒又稱網(wǎng)絡欺詐、仿冒郵件或者釣魚攻擊等,是黑客使用欺詐郵件和虛假網(wǎng)頁設計來誘騙收件人提供信用卡賬號、用戶名、密碼、社會福利號碼等,隨后利用騙得的賬號和密碼竊取受騙者金錢。近年來,隨著電子商務、網(wǎng)上結算、網(wǎng)上銀行等業(yè)務在日常生活中的普及,網(wǎng)絡仿冒事件在我國層出不窮,諸如中國銀行網(wǎng)站等多起金融網(wǎng)站被仿冒。網(wǎng)絡仿冒已經(jīng)成為影響互聯(lián)網(wǎng)應用,特別是電子商務應用的主要威脅之一。

網(wǎng)絡仿冒者為了逃避相關組織和管理機構的打擊,充分利用互聯(lián)網(wǎng)的開放性,往往會將仿冒網(wǎng)站建立在其他國家,而又利用第三國的郵件服務器來發(fā)送欺詐郵件,這樣既便是仿冒網(wǎng)站被人舉報,但是關閉仿冒網(wǎng)站就比較麻煩,對網(wǎng)絡欺詐者的追查就更困難了,這是現(xiàn)在網(wǎng)絡仿冒犯罪的主要趨勢之一。

3.網(wǎng)絡蠕蟲

網(wǎng)絡蠕蟲是指一種可以不斷復制自己并在網(wǎng)絡中傳播的程序。這種程序利用互聯(lián)網(wǎng)上計算機系統(tǒng)的漏洞進入系統(tǒng),自我復制,并繼續(xù)向互聯(lián)網(wǎng)上的其他系統(tǒng)進行傳播。蠕蟲的不斷蛻變并在網(wǎng)絡上的傳播,可能導致網(wǎng)絡被阻塞的現(xiàn)象發(fā)生,從而致使網(wǎng)絡癱瘓,使得各種基于網(wǎng)絡的電子商務等應用系統(tǒng)失效。

4.拒絕服務攻擊(Dos)

拒絕服務攻擊是指在互聯(lián)網(wǎng)上控制多臺或大量的計算機針對某一個特定的計算機進行大規(guī)模的訪問,使得被訪問的計算機窮于應付來勢兇猛的訪問而無法提供正常的服務,使得電子商務這類應用無法正常工作。拒絕服務攻擊是黑客常用的一種行之有效的方法。如果所調動的攻擊計算機足夠多,則更難進行處置。尤其是被蠕蟲侵襲過的計算機,很容易被利用而成為攻擊源,并且這類攻擊通常是跨網(wǎng)進行的,加大了打擊犯罪的難度。

5.特羅伊木馬

特羅伊木馬(簡稱木馬)是一種隱藏在計算機系統(tǒng)中不為用戶所知的惡意程序,通常用于潛伏在計算機系統(tǒng)中來與外界聯(lián)接,并接受外界的指令。被植入木馬的計算機系統(tǒng)內的所有文件都會被外界所獲得,并且該系統(tǒng)也會被外界所控制,也可能會被利用作為攻擊其他系統(tǒng)的攻擊源。很多黑客在入侵系統(tǒng)時都會同時把木馬植入到被侵入的系統(tǒng)中。

二、解決電子商務中網(wǎng)絡安全問題的對策研究

隨著網(wǎng)絡應用日益普及和更為復雜,網(wǎng)絡安全事件不斷出現(xiàn),電子商務的安全問題日益突出,需要從國家相關法律建設的大環(huán)境到企業(yè)制定的電子商務網(wǎng)絡安全管理整體架構的具體措施,才能有效保護電子商務的正常應用與發(fā)展。

1.進一步完善法律與政策依據(jù) 充分發(fā)揮應急響應組織的作用

我國目前對于互聯(lián)網(wǎng)的相關法律法規(guī)還較為欠缺,尤其是互聯(lián)網(wǎng)這樣一個開放和復雜的領域,相對于現(xiàn)實社會,其違法犯罪行為的界定、取證、定位都較為困難。因此,對于影響電子商務發(fā)展的基于互聯(lián)網(wǎng)的各類網(wǎng)絡安全事件的違法犯罪行為的立法,需要一個漫長的過程。根據(jù)互聯(lián)網(wǎng)的體系結構和網(wǎng)絡安全事件的特點,需要建立健全協(xié)調一致,快速反應的各級網(wǎng)絡應急體系。要制定有關管理規(guī)定,為網(wǎng)絡安全事件的有效處理提供法律和政策依據(jù)。

互聯(lián)網(wǎng)應急響應組織是響應并處理公共互聯(lián)網(wǎng)網(wǎng)絡與信息安全事件的組織,在我國,CNCERT/CC是國家級的互聯(lián)網(wǎng)應急響應組織,目前已經(jīng)建立起了全國性的應急響應體系;同時,CNCERT/CC還是國際應急響應與安全小組論壇(FIRST,F(xiàn)orum of Incident Response and Security Teams)等國際機構的成員。應急響應組織通過發(fā)揮其技術優(yōu)勢,利用其支撐單位,即國內主要網(wǎng)絡安全廠商的行業(yè)力量,為相關機構提供網(wǎng)絡安全的咨詢與技術服務,共同提高網(wǎng)絡安全水平,能有效減少各類的網(wǎng)絡事件的出現(xiàn);通過聚集相關科研力量,研究相關技術手段,以及如何建立新的電子交易的信任體系,為電子商務等互聯(lián)網(wǎng)應用的普及和順利發(fā)展提供前瞻性的技術研究方面具有積極意義。

2.從網(wǎng)絡安全架構整體上保障電子商務的應用發(fā)展

網(wǎng)絡安全事件研究中看到,電子商務的網(wǎng)絡安全問題不是純粹的計算機安全問題,從企業(yè)的角度出發(fā),應該建立整體的電子商務網(wǎng)絡安全架構,結合安全管理以及具體的安全保護、安全監(jiān)控、事件響應和恢復等一套機制來保障電子商務的正常應用。

安全管理主要是通過嚴格科學的管理手段以達到保護企業(yè)網(wǎng)絡安全的目的。內容可包括安全管理制度的制定、實施和監(jiān)督,安全策略的制定、實施、評估和修改,相關人員的安全意識的培訓、教育,日常安全管理的具體要求與落實等。

安全保護主要是指應用網(wǎng)絡安全產(chǎn)品、工具和技術保護網(wǎng)絡系統(tǒng)、數(shù)據(jù)和用戶。這種保護主要是指靜態(tài)保護,通常是一些基本的防護,不具有實時性,如在防火墻的規(guī)則中實施一條安全策略,禁止所有外部網(wǎng)用戶到內部網(wǎng)Web服務器的連接請求,一旦這條規(guī)則生效,它就會持續(xù)有效,除非我們改變這條規(guī)則。這樣的保護能預防已知的一些安全威脅,而且通常這些威脅不會變化,所以稱為靜態(tài)保護。

安全監(jiān)控和審計是實時保護的一種策略,它主要滿足一種動態(tài)安全的需求。因為網(wǎng)絡安全技術在發(fā)展的同時,黑客技術也在不斷的發(fā)展,網(wǎng)絡安全不是一成不變的,也許今天對你來說安全的策略,明天就會變得不安全,因此我們應該時刻關注網(wǎng)絡安全的發(fā)展動向,以及網(wǎng)絡上發(fā)生的各種各樣的事情,以便及時發(fā)現(xiàn)新的攻擊,制定新的安全策略??梢赃@樣說,安全保護是基本,安全監(jiān)控和審計是其有效的補充,兩者的有效結合,才能較好地滿足動態(tài)安全的需要。

事件響應與恢復主要針對發(fā)生攻擊事件時相應的應急措施與恢復正常應用的機制。就是當攻擊發(fā)生時,能及時做出響應,這需要建立一套切實有效、操作性強的響應機制,及時防止攻擊的進一步發(fā)展。響應是整個安全架構中的重要組成部分,因為網(wǎng)絡構筑沒有絕對的安全,安全事件的發(fā)生是不可能完全避免的,當安全事件發(fā)生的時候,應該有相應的機制快速反應,以便讓管理員及時了解攻擊情況,采取相應措施修改安全策略,盡量減少并彌補攻擊的損失,防止類似攻擊的再次發(fā)生。當安全事件發(fā)生后,對系統(tǒng)可能會造成不同程度的破壞,如網(wǎng)絡不能正常工作、系統(tǒng)數(shù)據(jù)被破壞等,這時,必須有一套機制能盡快恢復系統(tǒng)的正常應用,因為攻擊既然已經(jīng)發(fā)生了,系統(tǒng)也遭到了破壞,這時只有讓系統(tǒng)以最快的速度運行起來才是最重要的,否則損失將更為嚴重。因此恢復在電子商務安全的整體架構中也是不可缺少的組成部分。

三、結論

Internet的快速發(fā)展,使電子商務逐漸進入人們的日常生活,而伴隨各類網(wǎng)絡安全事件的日益增加與發(fā)展,電子商務的安全問題也變得日益突出,建立一個安全、便捷的電子商務應用環(huán)境,解決好電子商務應用與發(fā)展的網(wǎng)絡安全問題必將對保障和促進電子商務的快速發(fā)展起到良好的推動作用。

參考文獻:

[1]CNCERT/CC.2005年上半年網(wǎng)絡安全工作報告

[2]李 衛(wèi):計算機網(wǎng)絡安全與管理.北京:清華大學出版社,2000

[3]李海泉:計算機網(wǎng)絡安全與加密技術.北京:科學出版社,2001

篇3

【 關鍵詞 】 電子認證;數(shù)字證書;電子簽名;網(wǎng)絡安全

Status and Trends of the Policy Environment of Certificate Authentication Services Industry

Chen Yue-hua

(China Center for Information Industry Development Beijing 100048)

【 Abstract 】 In recent years, network security attracts much attention.The world's major developed countries, such as United States, Germany, the United Kingdom, have released policies to cope with the growing security threats. Certificate authentication service industry, by confirming the truth and reliability of the network subject and their behavior, is to provide the network security, to maintain the network order, to play an irreplaceable role in reducing online fraud and crime. This paper highlights the 2011 China key policy of certificate authentication service industry, and analyzes policy development trends.

【 Keywords 】 certificate authentication;electronic signature;digital certificate;network security

1 引言

隨著全球信息化的不斷發(fā)展和電子政務、電子商務等網(wǎng)絡應用的普及,信息安全問題日益突出。截止到2011年12月底,我國互聯(lián)網(wǎng)普及率已達到38.3%,身份盜用、交易詐騙、信息泄露等信息安全事件出現(xiàn)頻率不斷提升,嚴重影響了網(wǎng)絡經(jīng)濟的發(fā)展和社會的穩(wěn)定。據(jù)統(tǒng)計,我國有近1.28億互聯(lián)網(wǎng)用戶遭遇過上述安全事件,據(jù)估計損失超過150億元。導致互聯(lián)網(wǎng)信息安全事件頻發(fā)的一個重要主要原因是缺少全局、有效、易于推廣的網(wǎng)絡身份信任體系。

電子認證服務作為重要的信息安全保障手段,基于PKI技術確定網(wǎng)絡空間中個體的真實身份,建立網(wǎng)上行為與現(xiàn)實空間真實主體的嚴格對應關系,為實現(xiàn)網(wǎng)上行為的追蹤、管理、取證等提供解決方法和法律保障,在維護網(wǎng)絡秩序、減少網(wǎng)絡欺詐和犯罪、促進網(wǎng)絡經(jīng)濟發(fā)展等方面發(fā)揮著不可替代的作用。

自2005年4月1日《中華人民共和國電子簽名法》頒布實施以來,電子認證服務業(yè)經(jīng)歷了從無到有、逐步壯大的重要發(fā)展時期。行業(yè)政策環(huán)境日益優(yōu)化,為電子認證服務業(yè)發(fā)展提供了良好的契機。

2 行業(yè)政策環(huán)境日益優(yōu)化,行業(yè)發(fā)展面臨大好機遇

2.1 電子認證服務業(yè)首個發(fā)展規(guī)劃,為行業(yè)未來發(fā)展指明了方向

近年來,國家對電子認證服務的重視程度日益提高。2011年11月,工業(yè)和信息化部印發(fā)《電子認證服務業(yè)“十二五”發(fā)展規(guī)劃》,這是我國電子認證服務業(yè)的首個規(guī)劃。在全面回顧“十一五”發(fā)展現(xiàn)狀、分析“十二五”形勢的基礎上,規(guī)劃提出到“十二五”末期,“形成覆蓋全國的網(wǎng)絡身份認證服務體系,基本形成可靠電子簽名認證體系,并在數(shù)據(jù)電文可靠性認證服務模式探索方面取得積極進展,電子認證服務市場規(guī)模突破80億元”的發(fā)展目標,并明確提出健全政策法規(guī)、規(guī)范認證服務、發(fā)展可靠電子簽名和數(shù)據(jù)電文、拓展應用市場、開展試點示范、推行分類分級證書策略、加快數(shù)字證書交叉互認等重點任務,為行業(yè)發(fā)展指明了方向。

此外,信息安全產(chǎn)業(yè)、電子商務等“十二五”發(fā)展規(guī)劃都將電子認證服務作為信息安全保障的重要手段,予以培育和支持。工業(yè)和信息化部的《信息安全產(chǎn)業(yè)“十二五”發(fā)展規(guī)劃》,明確將電子認證服務作為重點發(fā)展的信息安全服務類別,以滿足信息化建設對安全可控信息安全服務的需求。商務部的《電子商務“十二五”發(fā)展指導意見》,明確提出支持鼓勵符合條件的第三方機構按照獨立、公正、客觀原則對電子商務交易平臺和經(jīng)營主體開展認證服務,鼓勵電子簽名、電子發(fā)票在電子商務中的應用。各項與電子認證相關的“十二五”政策文件的出臺,電子認證是信息安全服務的重要構成,對于保障電子政務、電子商務等領域信息安全具有重要作用。

盡管電子認證服務已經(jīng)獲得較廣泛的應用,但社會的認知度并不高,各項“十二五”政策文件明確將電子認證作為信息安全服務的重點之一,有利于增強社會各界對電子認證服務的認識,對于指導電子認證服務業(yè)發(fā)展、加快網(wǎng)絡信任體系建設、推動電子認證服務應用普及具有重要的意義。

篇4

關鍵詞:農(nóng)業(yè)互聯(lián)網(wǎng);網(wǎng)絡安全事件 ;對策分析

目前,隨著計算機網(wǎng)絡和通訊技術正在向農(nóng)業(yè)生產(chǎn)和農(nóng)民生活的各個方面滲透,我國已經(jīng)初步建立了從中央到地方、覆蓋面較寬的農(nóng)業(yè)信息服務網(wǎng)絡。有資料顯示,截止到2008年底,全國31個省級農(nóng)業(yè)行政主管部門、90%左右的地級和60%的縣級農(nóng)業(yè)部門都建立了農(nóng)業(yè)信息服務網(wǎng)站和局域網(wǎng),全國鄉(xiāng)鎮(zhèn)信息服務站中,有計算機并可以上網(wǎng)的約占90%。部分涉農(nóng)企業(yè)也進行了農(nóng)業(yè)信息網(wǎng)絡建設,大量的農(nóng)業(yè)網(wǎng)站不斷涌現(xiàn)。許多農(nóng)產(chǎn)品利用互聯(lián)網(wǎng)開展網(wǎng)上信息咨詢、、銷售已成為時尚。而伴隨著農(nóng)業(yè)網(wǎng)站的快速發(fā)展,各類網(wǎng)絡安全事件也與日俱增,農(nóng)業(yè)互聯(lián)網(wǎng)的安全問題變得日益突出。建立一個安全、便捷的農(nóng)業(yè)互聯(lián)網(wǎng)應用環(huán)境,已經(jīng)成為各級農(nóng)業(yè)部門、涉農(nóng)企業(yè)和用戶密切關注的問題。

一、主要網(wǎng)絡安全事件類型

一般來說,對農(nóng)業(yè)網(wǎng)站應用影響較多、發(fā)生率較高的網(wǎng)絡安全事件主要為網(wǎng)絡蠕蟲、特羅伊木馬、拒絕服務攻擊、網(wǎng)頁篡改、網(wǎng)絡仿冒等。

(1)網(wǎng)絡蠕蟲。網(wǎng)絡蠕蟲是指一種可以不斷復制自己并在網(wǎng)絡中傳播的程序。這種程序利用互聯(lián)網(wǎng)上計算機系統(tǒng)的漏洞進入系統(tǒng),自我復制,并繼續(xù)向互聯(lián)網(wǎng)上的其它系統(tǒng)進行傳播。網(wǎng)絡蠕蟲的危害通常有兩個方面:一是蠕蟲在進入被攻擊的系統(tǒng)后,一旦具有控制系統(tǒng)的能力,就可以使得該系統(tǒng)被他人遠程操縱,造成重要系統(tǒng)會出現(xiàn)失密現(xiàn)象,或者會被利用來對其他系統(tǒng)進行攻擊;二是蠕蟲的不斷蛻變并在網(wǎng)絡上的傳播,可能導致網(wǎng)絡被阻塞的現(xiàn)象發(fā)生,從而致使網(wǎng)絡癱瘓,使得各種基于網(wǎng)絡的應用系統(tǒng)如電子商務等失效。(2)特羅伊木馬。特羅伊木馬(簡稱木馬)是一種隱藏在計算機系統(tǒng)中不為用戶所知的惡意程序,通常潛伏在計算機系統(tǒng)中與外界連接,并接受外界的指令。被植入木馬的計算機系統(tǒng)內的所有文件都會被外界所獲得,并且該系統(tǒng)也會被外界所控制,也可能會被利用作為攻擊其它系統(tǒng)的攻擊源。(3)拒絕服務攻擊。拒絕服務攻擊是指在互聯(lián)網(wǎng)上控制多臺或大量的計算機針對某一個特定的計算機進行大規(guī)模的訪問,使得被訪問的計算機窮于應付而無法提供正常的服務。如果所調動的攻擊計算機足夠多,則更難進行處置,尤其是被蠕蟲侵襲過的計算機,很容易被利用而成為攻擊源。(4)網(wǎng)絡篡改。網(wǎng)絡篡改是指將正常的網(wǎng)站主頁更換為黑客所提供的網(wǎng)頁。一般來說,主頁的篡改對計算機系統(tǒng)本身不會產(chǎn)生直接的損失,但對于農(nóng)業(yè)部門和涉農(nóng)企業(yè)網(wǎng)站而言,網(wǎng)頁的篡改,尤其是含有攻擊、丑化色彩的篡改,會對企業(yè)形象與信譽造成嚴重損害。而對電子商務等需要與用戶通過網(wǎng)站進行溝通的應用來說,就意味著電子商務將被迫終止服務。(5)網(wǎng)絡仿冒。網(wǎng)絡仿冒又稱網(wǎng)絡欺詐、仿冒郵件或者釣魚攻擊等,是黑客使用欺詐郵件和虛假網(wǎng)頁設計來誘騙收件人提供信用卡帳號、用戶名、密碼、社會福利號碼等,隨后利用騙得的帳號和密碼竊取受騙者金錢。近年來,隨著電子商務、網(wǎng)上結算、網(wǎng)上銀行等業(yè)務在日常生活中的普及,網(wǎng)絡仿冒事件在我國層出不窮,如中國銀行網(wǎng)站等多起金融網(wǎng)站被仿冒。網(wǎng)絡仿冒已經(jīng)成為影響互聯(lián)網(wǎng)應用,特別是電子商務應用的主要威脅之一。

二、安全對策分析

隨著網(wǎng)絡應用日益普及和更為復雜,加強網(wǎng)絡安全需要從國家相關法律建設的大環(huán)境到農(nóng)業(yè)部門和涉農(nóng)企業(yè)制定的網(wǎng)絡安全管理具體措施入手,才能有效保護農(nóng)業(yè)網(wǎng)站的正常應用與發(fā)展。

(1)完善法律與政策依據(jù)。目前我國對于互聯(lián)網(wǎng)的相關法律法規(guī)還較為欠缺,尤其是互聯(lián)網(wǎng)這樣一個開放和復雜的領域,相對于現(xiàn)實社會,其違法犯罪行為的界定、取證、定位都較為困難。因此,對于各類網(wǎng)絡安全事件的違法犯罪行為的立法,需要一個漫長的過程。2006年3月1日起開始施行的《信息安全等級保護管理辦法(試行)》,在加強信息安全等級保護,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化建設方面,必將發(fā)揮巨大作用。根據(jù)互聯(lián)網(wǎng)的體系結構和網(wǎng)絡安全事件的特點,需要建立健全協(xié)調一致,快速反應的各級網(wǎng)絡應急體系。在我國,國家計算機網(wǎng)絡應急技術處理協(xié)調中心(CNCERT/CC)是國家級的互聯(lián)網(wǎng)應急響應組織,目前已經(jīng)建立起了全國性的應急響應體系。應急響應組織通過發(fā)揮其技術優(yōu)勢,利用其支撐單位,即國內主要網(wǎng)絡安全廠商的行業(yè)力量,為相關機構提供網(wǎng)絡安全的咨詢與技術服務,共同提高網(wǎng)絡安全水平。(2)建立整體的網(wǎng)絡安全架構。從各類網(wǎng)絡安全事件分析中我們看到,網(wǎng)絡安全問題不是純粹的計算機安全問題,從農(nóng)業(yè)部門和涉農(nóng)企業(yè)的角度出發(fā),應該建立整體的網(wǎng)絡安全架構。1.安全管理。安全管理主要是通過嚴格科學的管理手段以達到保護網(wǎng)絡安全的目的,內容可包括安全管理制度的制定、實施和監(jiān)督,安全策略的制定、實施、評估和修改,相關人員的安全意識的培訓、教育,日常安全管理的具體要求與落實等。2.安全保護。安全保護主要是指應用網(wǎng)絡安全產(chǎn)品、工具和技術保護網(wǎng)絡系統(tǒng)、數(shù)據(jù)和用戶,通常是指一些基本的防護,如在防火墻的規(guī)則中實施一條安全策略,禁止所有外部網(wǎng)用戶到內部網(wǎng)Web服務器的連接請求,一旦這條規(guī)則生效,它就會持續(xù)有效,這樣的保護能預防已知的一些安全威脅,而且通常這些威脅不會變化,所以稱為靜態(tài)保護。3.安全監(jiān)控(審計)。安全監(jiān)控主要是指實時監(jiān)控網(wǎng)絡上正在發(fā)生的事情,這是任何一個網(wǎng)絡管理員都想了解的。審計是通過記錄通過網(wǎng)絡的所有數(shù)據(jù)包,然后分析這些數(shù)據(jù)包,幫助查找已知的攻擊手段、可疑的破壞行為,來達到保護網(wǎng)絡的目的。4.事件響應與恢復。事件響應與恢復主要針對發(fā)生攻擊事件時相應的應急措施與恢復正常應用的機制,就是當攻擊發(fā)生時,能及時做出響應,這需要建立一套切實有效、操作性強的響應機制,及時防止攻擊的進一步發(fā)展。響應是整個安全架構中的重要組成部分,因為網(wǎng)絡構筑沒有絕對的安全,安全事件的發(fā)生是不可能完全避免的,當安全事件發(fā)生的時候,應該有相應的機制快速反應,以便讓管理員及時了解攻擊情況,采取相應措施修改安全策略,盡量減少并彌補攻擊的損失,防止類似攻擊的再次發(fā)生。當安全事件發(fā)生后,對系統(tǒng)可能會造成不同程度的破壞,如網(wǎng)絡不能正常工作、系統(tǒng)數(shù)據(jù)被破壞等,這時,必須有一套機制能盡快恢復系統(tǒng)的正常應用,因為攻擊既然已經(jīng)發(fā)生了,系統(tǒng)也遭到了破壞,這時只有讓系統(tǒng)以最快的速度運行起來才是最重要的,否則損失將更為嚴重。

參考文獻:

[1]張千里.網(wǎng)絡安全新技術[M].北京:人民郵電出版社,2003 .

[2]李輝.計算機網(wǎng)絡安全與對策[J]. 濰坊學院學報, 2007, (3).

篇5

    1 引言

    隨著互聯(lián)網(wǎng)的快速發(fā)展,人們的生活方式有了非常大的改變,對應的經(jīng)濟社會也受到了巨大的影響。在商業(yè)貿易領域,因為網(wǎng)絡的快速發(fā)展,產(chǎn)生了電子商務這樣一種貿易方式。但是電子商務也是經(jīng)歷了一番坎坷的,因為網(wǎng)絡的特殊性,在電子商務發(fā)展中產(chǎn)生了交易安全的問題,對電子商務的穩(wěn)定發(fā)展帶來了一定的沖擊。 Internet網(wǎng)是一個互連通的自由空間,一些人常常會因為某些目的攻擊電子商務網(wǎng)站,比如盜竊資金、商業(yè)打擊、惡作劇等,導致有些企業(yè)的電子商務網(wǎng)站貿易交流受損、服務暫停,甚至出現(xiàn)資金被盜的現(xiàn)象。據(jù)有關數(shù)據(jù)的統(tǒng)計,美國每年因為網(wǎng)絡安全問題在經(jīng)濟上造成的損失就達到近百億美元,而國內的情況也不容樂觀。因此,當我們在享受互聯(lián)網(wǎng)給生活帶來的這些好處的時候,網(wǎng)絡的安全問題,早已變成電子商務的重大難題,給電子商務企業(yè)的發(fā)展帶來了極大的阻礙。所以,計算機網(wǎng)絡安全是電子商務發(fā)展過程中所面臨的重大挑戰(zhàn)和問題。電子商務企業(yè)必須從維護顧客利益和自身利益出發(fā),做好安全防范和自身安全管理工作,才能得到持續(xù)快速的發(fā)展。

    2 電子商務面對的網(wǎng)絡安全問題

    當前,電子商務安全問題受到多方面的影響,不但有技術管理的問題,而且也有網(wǎng)絡缺陷的因素,具體地說,直接原因有以下幾點: 1 網(wǎng)絡“黑客”侵犯電子商務網(wǎng)站

    網(wǎng)絡黑客是專門在網(wǎng)絡中利用本身掌握的技術非法強行進入他人網(wǎng)站后臺的人,這類人具有高超的網(wǎng)絡技術,能夠不受電子商務網(wǎng)站技術防護的限制。許多“黑客”篡改內容信息、破壞網(wǎng)站;****商戶或企業(yè)的賬戶資金,極大地影響了電子商務的正常進行。 2 電子商務軟件有漏洞

    許多軟件研發(fā)單位研發(fā)的技術不成熟的電子商務軟件,存在許多安全漏洞,防護極易被外來入侵者利用漏洞攻破,導致電子商務企業(yè)受到很大的經(jīng)濟損失;有的企業(yè)即使安裝了防護軟件,但由于軟件沒有得到及時升級,致使軟件喪失了應有防護功能。 3 電子商務網(wǎng)絡自身存在安全問題

    網(wǎng)絡具有共享性、開放性等特點,它的設計原則是確保信息傳輸不會受到局部損壞的影響。所以,對網(wǎng)站安全帶來了極大的隱患。特別是對電子商務企業(yè)情況更加嚴峻。 4 網(wǎng)站管理的缺失

    由于電子商務企業(yè)缺乏警惕性,不重視網(wǎng)絡安全的管理,通常只有在受到攻擊以后才會去加強網(wǎng)站安全;部分企業(yè)則以為只要安裝了入侵監(jiān)測系統(tǒng)、殺毒軟件、防火墻等安全產(chǎn)品,就能保障網(wǎng)站的安全,所以沒有根據(jù)企業(yè)實際情況制定相應的管理制度,也沒有加強技術防范,給入侵者提供了機會。

    3 應對的措施

    電子商務安全問題是在網(wǎng)絡化、電子化技術發(fā)展的前提下出現(xiàn)的,所以很多傳統(tǒng)的解決辦法不能簡單地應用過來。電子商務企業(yè)想要取得效益,就要從企業(yè)的健康發(fā)展出發(fā),改善企業(yè)的安全管理,提高技術投入。具體的防范措施有:

    3.1 安全技術管理需要加強

    需要重視電子商務網(wǎng)站的維護、升級等方面,做好每天的安全備份,加強網(wǎng)站服務器的管理。制定安全防范預案,只要發(fā)生安全事件,能夠得到盡快解決,從而減少損失。使用權威性較強的安全防護軟件,并能夠正常啟動、正常升級,發(fā)揮應有的防護功能。 2 在電子安全方面擴大管理和技術投入

    企業(yè)需要加大安全方面的資金投入,購買技術防護設備,加大對技術改造與設備更新的投入。引進安全管理的相關技術,招聘相應的管理人才,并進行適當?shù)拇鰞A斜,確保安全管理團隊的穩(wěn)定。 3 使用密碼管理技術

    電子商務中最重要的防范環(huán)節(jié)是密碼管理,要使用先進的密碼管理手段,確保能發(fā)揮特定的功能,重點有交易信息安全、身份認證安全和賬戶安全等。 4 電子商務企業(yè)自身的管理需要得到強化

    安全技術是電子商務企業(yè)的首要防范措施,但發(fā)揮其作用的關鍵還是嚴密的管理,只有建立完善的安全防范管理系統(tǒng),才能保證企業(yè)的安全。所以電子商務企業(yè),需要制定安全防護制度,保證明確職責;要有獎懲制度,責任事故的時候,能夠做到及時追究,提高技術管理人員的責任意識。

篇6

關鍵詞:商業(yè)銀行;電子商務;風險管理

商業(yè)銀行從事金融業(yè)務面臨著市場風險、信用風險、以及操作風險等,而電子商務的出現(xiàn)則加劇了上述各類風險發(fā)生的可能性以及風險發(fā)生之后的破壞程度。2004年以來,我國面臨的網(wǎng)絡仿冒威脅正在逐漸加大,仿冒對象主要是金融網(wǎng)站和電子商務網(wǎng)站。2005年上半年共收到網(wǎng)絡安全事件報告65679件,超過2004年全年案件數(shù),商業(yè)銀行電子商務安全風險管理策略已成為理論與實踐中必須重視的課題。

一、信息安全管理的歷史演進與現(xiàn)階段的特點

信息安全管理的策略大體遵循事件驅動(技術和管理脫節(jié))-逐漸標準化(技術和管理逐漸結合)——安全風險管理(引入了風險分析)的發(fā)展路徑。

(一)以事件驅動的初級階段時期

19世紀70年代安全主要是指物理設備和環(huán)境的安全,人與計算機之間的交互主要局限在大型計算機上的啞終端,安全問題只涉及能訪問終端的少數(shù)人。安全管理策略處于初級階段,由事件驅動,沒有形成規(guī)范的管理流程。在此階段的前期,只重視技術手段。后期開始重視管理手段,但是技術和管理之間脫節(jié)。許多組織對信息安全制定了相應的規(guī)章和制度,但組織的信息安全管理基本上還處在一種靜態(tài)、局部、少數(shù)人負責、突擊式、事后糾正式的管理方式。

(二)標準化時期

企業(yè)開始將安全問題作為整體考慮,形成一套較為完整的安全管理策略,其中包括了安全管理的技術手段和管理制度(或稱運作管理)。幾乎所有從事電子商務的企業(yè)都擁有自己的安全策略,內容也包括了技術手段、安全管理制度、人員安全教育等等,基本上形成體系,技術和管理手段綜合統(tǒng)一,但是安全風險分析還存在不足之處。

(三)安全風險管理策略時期

隨著電子商務安全管理發(fā)展到一個比較高的層次,安全管理策略也演進到安全風險管理階段。主要特點如下:

1.安全風險管理成為主流趨勢;在安全管理策略的演進過程中,技術和管理手段綜合統(tǒng)

一、又融入了風險管理的分析、防范策略,從而安全管理進入了安全風險管理時期。西方商業(yè)銀行已對安全風險管理形成共識。如安氏公司(is—One),認為信息安全問題最終將歸結為風險管理問題,風險管理方法是建立良性的安全技術和管理體系的依據(jù)和基礎。

2.安全風險管理的國際標準和各國的規(guī)范逐漸形成并趨于完善。國際上關于安全風險管理的標準有巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務風險管理原則》、英國標準協(xié)會制訂的BS7799等。各國也日益重視安全風險管理,制定了許多規(guī)范。例如美國貨幣監(jiān)理署(OCC)的《電子銀行最終規(guī)則》、香港金融管理局的《電子銀行服務的安全風險管理》等。中國銀行業(yè)監(jiān)督管理委員也于2006年頒布了《電子銀行業(yè)務管理辦法》,對國內企業(yè)的電子商務安全風險管理給出了指導意見。

3.利用外部專業(yè)化機構對金融機構的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術風險,在相當程度上取決于采用的信息技術的先進程度,系統(tǒng)的設計開發(fā)水平,以及相關設施設備及其供應商的選擇等;銀行依靠傳統(tǒng)的風險管理機制已很難識別、監(jiān)測、控制和管理相關風險。同樣,監(jiān)管機構也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監(jiān)控。因此,大部分國家都采用了依靠外部專業(yè)化機構定期對電子銀行安全性進行評估的辦法,加強對電子銀行安全性和技術風險的管理和監(jiān)管。

4.在許多國家信息系統(tǒng)審計(IsAudit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。業(yè)界的IT風險分析師也成為一種職業(yè),專門從事電子商務的安全風險工作,從經(jīng)濟學的角度出發(fā)分析風險,充分衡量保持安全的代價和收益之間的關系,尋求用最小的代價實現(xiàn)最大的效用,在風險分析中也形成一套較為成熟的模式。

二、我國商業(yè)銀行電子商務安全風險管理策略的薄弱點

(一)系統(tǒng)管理思想缺乏

目前的電子商務安全風險管理策略,在全局上缺乏系統(tǒng)論理論的指導,在實際操作中受到多種多樣的安全攻擊時會不可避免地出現(xiàn)安全漏洞,無法形成一張全面有序的安全網(wǎng)絡。

實踐中被采用的安全風險管理策略,以及作為指導意見的規(guī)則規(guī)范,如《信息安全管理實務準則》(IS017799)、《信息技術安全性評估準則》(GB/T18336.1)、巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務風險管理原則》,盡管提出了比較全面的安全風險管理方案,層次上也比較清晰,但是還不足以作為一個風險防范系統(tǒng)。實踐中,電子商務組織是一個復雜的系統(tǒng)組織,電子商務的安全風險管理體系和過程也是個復雜的系統(tǒng)。系統(tǒng)論、控制論的思想在電子商務安全風險管理中是不可或缺的。

(二)風險分析的模型與方法不成熟,定量分析不足

電子商務模式自身的發(fā)展歷史也不過20幾年,在風險分析的定量技術上并不成熟;如BS7799中推薦的電子商務安全風險管理中實施風險評估時,往往將威脅發(fā)生的可能性定性劃分為幾個級別,將威脅所造成的影響也定性劃分為1~5級,實質上是將一些按照概率發(fā)生的事件定義為不連續(xù)的幾個級別,在操作上易行,但造成了度量的不精確。在進行監(jiān)控和審計之后,也存在無法量化、對比的問題。

(三)忽視與原有的傳統(tǒng)風險管理策略的結合

本質上,電子商務的安全風險無非是新興的商業(yè)模式對傳統(tǒng)的風險的改變,以及產(chǎn)生的在傳統(tǒng)風險控制領域暫時無法明晰的新風險;現(xiàn)有管理策略只從信息技術的角度、或者從偏重技術的角度看待問題,站在金融領域本身來分析研究較少。這種狀況導致了對電子商務安全風險管理的研究無法立足于一個比較高的層次;忽略了風險的整體性,只進行偏信息和技術的研究,導致了現(xiàn)有的電子商務安全風險管理策略與金融機構原有的傳統(tǒng)業(yè)務風險管理策略存在差距。對于商業(yè)銀行而言,傳統(tǒng)金融業(yè)務的風險控制與電子商務的技術風險控制,兩個方面存在脫節(jié),同樣屬于商業(yè)銀行的風險,存在著不同的管理策略,導致多頭管理、資源浪費、機構之間的扯皮,乃至缺位管理。

(四)風險管理策略無法

依賴外部的信息安全管理行業(yè)

在發(fā)達國家,信息系統(tǒng)審計(IsAudit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。IT風險分析師也成為一種職業(yè),專門從事電子商務的安全風險工作。商業(yè)銀行采用依靠外部專業(yè)化機構定期對電子銀行的安全性進行評估的辦法,提高對電子銀行安全性和技術風險的管理和監(jiān)管。而國內初步建立了國家信息安全組織保障體系,制定和引進了一批重要的信息安全管理標準、法律法規(guī),風險評估工作得到了一定重視,但與發(fā)達國家成熟完善的外部信息安全管理行業(yè)仍有很大差距。

(五)風險管理策略中商業(yè)銀行的內部風險控制能力薄弱

我國商業(yè)銀行目前均建立起統(tǒng)一的風險管理部門;但風險控制部門的職能、權限與花旗銀行等體制較為先進的銀行相比仍然存在較大差距,風險控制實質上仍然分散在各個子部門;風險的評估、防范與控制實質上完全依靠商業(yè)銀行的電子交易部門;風險管理部門、內審稽核部門實質上無法控制電子商務安全風險。例如,風險管理部門接受了電子交易部的風險控制報告,表面上履行的內控審核的流程,但審核作用有限,無法完成電子商務安全風險管理中的監(jiān)控與審計環(huán)節(jié)。

三、商業(yè)銀行的電子商務安全風險管理策略的改進建議

(一)基于系統(tǒng)的思想構建商業(yè)銀行電子商務安全風險管理策略框架

利用系統(tǒng)理論作為總體的指導思想,將電子商務安全風險管理策略本身當作一個開放的自適應系統(tǒng)。將商業(yè)銀行電子商務安全風險管理中的各個環(huán)節(jié)組成循環(huán)上升的系統(tǒng)。

在商業(yè)銀行電子商務安全風險控制的流程中,經(jīng)過信息安全的風險評估、資產(chǎn)識別和選擇、實施控制降低風險的措施、將風險控制在可接受的范圍內,然后進行監(jiān)控和審計;尤其重要的是把監(jiān)控和審計所得到的內容作為新一輪風險分析輸入,從而開始新一輪的風險管理過程。商業(yè)銀行電子商務安全風險管理的各個步驟為動態(tài)的循環(huán)系統(tǒng)。每完成一個循環(huán),安全風險管理的有效性就上一個臺階,商業(yè)銀行的安全管理水平變得到了提高。

(二)電子商務安全風險管理中定量分析中的改進思路

商業(yè)銀行可以借鑒成熟的傳統(tǒng)金融風險度量中的一些方法來改變電子商務安全風險管理中對資產(chǎn)進行粗略的優(yōu)先級別排序的方法。實踐中,商業(yè)銀行對操作風險的管理與對電子商務安全風險管理有其相似之處。巴塞爾委員會對商業(yè)銀行的操作風險的內部計量法中規(guī)定,商業(yè)銀行內部估計風險敞口指標、損失事件發(fā)生的概率、風險損失,巴塞爾委員會制定資本要求的轉換系數(shù);在度量損失的分布時,主要利用統(tǒng)計和精算技術。商業(yè)銀行應通過數(shù)據(jù)庫將威脅發(fā)生的頻率、威脅所造成的影響等精確記錄下來,利用現(xiàn)有的度量方法進行精確的風險定量分析的嘗試。新晨

(三)將商業(yè)銀行電子商務安全風險納入商業(yè)銀行總體風險管理范疇

將商業(yè)銀行所面臨的全部風險放在一個框架中考慮。傳統(tǒng)風險管理以及電子商務安全風險管理都是風險管理系統(tǒng)中子系統(tǒng),二者相互聯(lián)系、相互影響,不可分割。嘗試借鑒信用風險與操作風險度量的方法與思想,短期內將其與信用風險控制銜接,最終形成一個全面的商業(yè)銀行安全風險管理框架。

篇7

中國如今的電子商務市場一直保持著40-50%的市場增長率,它的交易規(guī)模已經(jīng)占到了中國消費總額的5%,并開始表現(xiàn)出明顯的GDP拉動力。從2009年起,中國的電子商務表現(xiàn)出來星火燎原般的勢態(tài),可以預測的是:中國的電子商務,必將成就中國另一輪的經(jīng)濟飛躍。

2緒論

伴隨著互聯(lián)網(wǎng)和信息技術的飛速發(fā)展,電子商務從零到有,并逐步向高水平、規(guī)范化發(fā)展。十年來中國電子商務始終保持40-50%的高速發(fā)展,2009年的中國電子商務并為受到全球金融危機的影響,相反卻在金融危機中爆發(fā)出更強的生命力和適應力。2009年中國電子商務市場規(guī)模超過35000億元,同比增長48.5%,高于2008年的41.2%。

電子商務的安全法律是指為了保障電子商務在交易過程中的安全性,由國家政府相關部門出臺的對交易過程進行保護的法律。目前,我國就電子商務安全問題已經(jīng)進行了初步的法律立項實施,但是依然存在較大的漏洞和隱患,需要國家相關部門進一步加強。

安全管理是有效降低我國電子商務交易過程中存在風險的重要手段,特別是在交易過程中,交易雙方進行電子合同簽訂,安全中心不僅要監(jiān)督買方的及時付款,同時還要監(jiān)督賣方是否提供與合同一致的貨物。在這些交易環(huán)節(jié)中,由于網(wǎng)絡虛擬交易的緣故,存在非常大的安全管理隱患。為了有效防止這些安全隱患的爆發(fā),降低風險帶來的損失和傷害,需要國家政府出善的法律保護制度,形成一套互相關聯(lián)、互相約束的管理制度體系。

3.電子商務安全

3.1電子商務安全概述

電子商務的運行和交易是基于計算機網(wǎng)絡平臺而展開的,所以安全問題大體上可以分為計算機網(wǎng)絡安全和電子商務系統(tǒng)本身交易安全。沒有網(wǎng)絡,電子商務就不可能存在,網(wǎng)絡作為基礎,其安全性與電子商務安關系密切,在網(wǎng)絡安全的前提下,電子商務系統(tǒng)特有的設計加以保障,兩者相輔相成實現(xiàn)電子商務的整體安全。通俗的說,電子商務的安全就是“電子”和“商務”雙重要求下的安全。

3.2國內電子商務安全問題現(xiàn)狀

3.2.1信息安全環(huán)境

2010年,由中國互聯(lián)網(wǎng)絡信息中心(CNNIC)和國家互聯(lián)網(wǎng)應急中心(CNCERT)在京聯(lián)合的《2009年中國網(wǎng)民網(wǎng)絡信息安全狀況調查系列報告》中顯示,2009年,52%的網(wǎng)民曾遭遇過網(wǎng)絡安全事件,網(wǎng)民處理安全事件所支出的相關服務費用共計153億元人民幣。電子商務發(fā)展所面臨的信息安全問題嚴重。根據(jù)相關調查顯示,90%以上的網(wǎng)民計算機遭遇過病毒、木馬、黑客的攻擊,電子商務交易的安全環(huán)境已經(jīng)受到了嚴重影響。

3.2.2技術與意識現(xiàn)狀

電子商務的安全需要信息技術和使用者意識的同步跟進和提高,才能使交易真正安全。目前國內兩方面因素同時存在,導致電子商務交易安全性下降。一是技術方面:國內防御殺毒軟件整體水平較低,查殺效率和效果不佳,部分電子商務平臺設計存在缺陷,為電子交易安全埋下隱患。二是網(wǎng)民、使用者意識方面:相比于高發(fā)的網(wǎng)絡安全事件,仍有4.4%的網(wǎng)民個人計算機未安裝任何安全軟件;不足8%的手機網(wǎng)民安裝手機安全防護軟件,網(wǎng)民安全意識仍有待進一步提升;

盜版軟件使用泛濫;軟件認知低,不懂得區(qū)分使用;交易雙方欠缺誠信,即使交易在設計較為完善的電子商務平臺上進行,依然存在欺騙行為。

3.2.3電子商務誠信環(huán)境

隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡購物(B2B、B2C)作為電子商務的其中分支之一,已經(jīng)成為了一種消費時尚、熱門購物渠道。據(jù)中國互聯(lián)網(wǎng)絡信息中心的數(shù)據(jù)顯示:2009年我國網(wǎng)購市場交易規(guī)模為2500億元,較2008年翻了一番。而2010年網(wǎng)絡購物的市場規(guī)模應該已超過4300億元。網(wǎng)購人群也大幅度增長,2009年至少在網(wǎng)上買過一次東西的中國網(wǎng)民數(shù)歷史性地突破了1億人,達到1.08億人,增長46%。而在2010年,使用過網(wǎng)絡購物的互聯(lián)網(wǎng)用戶更是接近2億人。網(wǎng)絡購物已經(jīng)成為發(fā)展最迅速,與網(wǎng)民利益最相關的網(wǎng)絡應用。

與此相比,電子商務誠信環(huán)境卻不如人意,甚至隨著電子商務的發(fā)展而出現(xiàn)惡化的局勢。2010年,有近28%的互聯(lián)網(wǎng)用戶遭遇過虛假釣魚網(wǎng)站、詐騙交易、交易劫持、網(wǎng)銀被盜等針對網(wǎng)絡購物的安全攻擊。目前對我國網(wǎng)絡購物用戶威脅影響最嚴重的還是釣魚網(wǎng)站,在網(wǎng)購用戶所遭遇的安全威脅中有72.4%是釣魚網(wǎng)站的欺騙行為,2010年1-10月,平均每天新增的與網(wǎng)絡購物相關的釣魚網(wǎng)站約為1500個。釣魚網(wǎng)站的典型的詐騙方式主要分為三大類:低價誘惑、交談詐騙、電話詐騙。

3.2.4電子商務信用管理現(xiàn)狀

因為電子商務交易的特殊性,交易雙方不曾謀面,所以關于電子商務的信用管理就顯得尤為重要。為防止電子商務的欺詐行為給網(wǎng)民帶來經(jīng)濟上的損失,網(wǎng)絡企業(yè)以及第三方電子商務平臺都相繼實行信譽管理方法,如信譽評價和信譽等級系統(tǒng)的建立,網(wǎng)絡誠信公約(自律)等等,但由于電子商務發(fā)展較晚,管理經(jīng)驗不足,這些方法和系統(tǒng)存在較多的問題,有待提升。如中國電子商務誠信評價中心推出“中國電子商務誠信評價規(guī)范”,其中的誠信紅藍標識制度,認知度極低,據(jù)調查發(fā)現(xiàn),有97%人不知紅藍標識的含義。就目前而言,在線信譽評估、等級系統(tǒng),在設計完善的提前下,可以較為有效的降低了交易風險,因為其交易雙方的歷史信用表現(xiàn),信用等級都是公開信息,可以作為買賣雙方交易選擇的參考,且其失信成本遠遠大于其利益獲得,好的信用必然可以提升銷售量,這也從側面迫使銷售者提供最好的服務,避免了雙方欺詐行為。交易講究的誠信,信譽系統(tǒng)能最有效地維持雙方可信的商務關系。如目前國內最大的網(wǎng)購平臺淘寶網(wǎng),它的網(wǎng)商信譽評價和信譽等級系統(tǒng)相對成熟,這種評價系統(tǒng)“為消費者提供了誠信、安全的購物保障,大大提升了網(wǎng)絡購物體驗”。但它依然存在相當多的問題,信用評價流程不合理,在買到相對低劣的產(chǎn)品時,你選擇退貨的同時就喪失了評價的權利,兩者只能選其一,那到底是留著不需要的產(chǎn)品而去評價,還是選擇退貨?惡意中差評現(xiàn)象猖獗,甚至出現(xiàn)惡意差評師這一職業(yè),嚴重影響公平競爭。另外對于返修產(chǎn)品缺乏保障,筆者就遇到過產(chǎn)品寄回返修,遲遲沒有反應,損害消費者利益。信用可信度有待驗證,專業(yè)刷鉆組織的出現(xiàn),使得信用體系的可靠性降低。

4電子商務安全立法現(xiàn)狀

電子商務因其帶來的經(jīng)濟效益和流行發(fā)展趨勢而備受關注,其安全立法問題也得到了國際性組織和各國政府的高度重視,盡快營造全球范圍內的電子商務安全法律環(huán)境已成為國際社會的共識。要創(chuàng)造一個適應和規(guī)范電子商務安全交易、發(fā)展的法律境,政府部門職責首當其沖,在電子商務發(fā)展的監(jiān)管和安全立法中發(fā)揮其主導作用。及時了解電子商務即時情況,制定出臺相應的安全保障法律法規(guī),鼓勵、引導、電子商務健康發(fā)展,規(guī)范、維持必要的網(wǎng)絡市場秩序,這已經(jīng)成為當前世界各國立法工作的重要任務。電子商務的廣泛性和無界性使得世界各國紛紛出臺相應法律、行為準則和規(guī)范辦法來推動本國電子商務安全、健康的發(fā)展,旨在抓住信息技術的機遇,提高自身競爭力,從而會的優(yōu)勢,同時也減少電子商務的交易糾紛、欺詐行為,保障了交易的安全性,為電子商務在全球范圍內的發(fā)展掃平障礙。

4.1當前電子商務安全法律、制度尚不完善

電子商務因其基礎網(wǎng)絡這個開放又隱蔽的環(huán)境,而顯得比較特殊,其商貿交易行為需要有專門的法律來規(guī)范和秩序的維持,目前我國已經(jīng)相繼出臺了部分法律法規(guī)、行為準則,設立了相應的部門來規(guī)范、監(jiān)管和保證電子商務的安全。但與國際電子商務立法現(xiàn)狀和國內電子商務現(xiàn)實狀況相比,顯得比較尷尬。我國電子商務安全法律體系仍然存在較多空白,強針對性的立法需要加快,先行法規(guī)則亟需進一步改進和完善。電子商務安全法律的不足之處有:電子交易流程行為規(guī)范、用戶隱私保護、法律效力不足,法律滯后,情況描述不清,沒有有效懲戒措施,難以對電子商務中的失信者和破壞者造成較強的約束力。因此強快電子商務安全法律立法和改進已經(jīng)迫在眉睫。

4.2現(xiàn)有電子商務安全法律

現(xiàn)行電子商務安全法律,具有較強針對性質的較少,大多分散各類法規(guī)之中,或是零星提及電子交易安全問題,目前電子商務交易安全的法律法規(guī)主要有以下四類:

(1)綜合性的法律。如:《民法通則》和《刑法》中有關對商貿交易的安全保障條文。

(2)對交易主體進行規(guī)范的相關法律。如《公司法》、《國有企業(yè)法》、《集體企業(yè)法》、《私營企業(yè)法》、《外資企業(yè)法》等;

(3)規(guī)范交易行為的有關法律,包括經(jīng)濟合同法、產(chǎn)品質量法、價格法、消費者權益保障法,反不正當競爭法等等

(4)對監(jiān)督交易行為進行規(guī)范的法律,如會計法、票據(jù)法、銀行法等。

國務院頒布的《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》和公安部頒發(fā)的《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》是兩個對電子商務具有重大影響的行政法規(guī)。

另外《中華人民共和國電子簽名法》的頒布也具有重要意義。該法賦予電子簽名與手寫簽名或蓋章具有同等的法律效力,明確了電子認證服務的市場準入制度,標志著我國的信息化立法邁出重要步伐。

4.3電子商務安全立法困難的原因

電子商務發(fā)展壯大為商貿交易帶來極大便捷和迅速優(yōu)越性,成為了經(jīng)濟的強勁增長點,為全球經(jīng)濟的發(fā)展營造了良好的氛圍,與此同時,因為其特點,也對社會各個領域特別是立法帶來了困難和壓力。

首先電子商務的立法,需要考慮國家和地區(qū)之間的差異,協(xié)調困難。電子商務基于網(wǎng)絡,而網(wǎng)絡卻已經(jīng)全球聯(lián)通、跨越了地域的界限。它所面對的不只是一個地區(qū)、一個國家的市場,而是全球一體化的大市場。各國由于社會制度、政治狀況、經(jīng)濟發(fā)展程度等不同而導致了現(xiàn)行法律法規(guī)的不同,要制定可以有效協(xié)調、高度一體化的商業(yè)和法律規(guī)則,談何容易。

其次是電子商務交易處理、傳輸?shù)膶嵸|就是對信號脈沖的傳輸和對數(shù)字流的處理,這種虛擬的平臺上,雙方的不曾謀面,使得信息資源對商家的商業(yè)信用提出了更高的要求。在信息得到廣泛傳播的同時,由于互聯(lián)網(wǎng)既開放又隱蔽的特性使得信息的真?zhèn)斡写炞C,惡意的攻擊、惡意的失信難以發(fā)現(xiàn),即使發(fā)現(xiàn)也難以揪出終端背后的那個失信或破壞者,有法難斷或者有法卻找不到應受懲罰的人,而且對于包括制作版權、著作權、商標使用權、數(shù)據(jù)庫等在內的知識產(chǎn)權保護也成為無法回避的問題。電子商務橫跨領域之廣、利益關聯(lián)群體之多,和其有別于傳統(tǒng)商務模式的無形化給稅收體制及稅收管理模式也帶來了巨大的挑戰(zhàn)。

再次,電子信息領域,技術日新月異,電子商務領域的技術進步速度已經(jīng)超國家適時地調整其法律框架的能力。法律的變革無法做到像電子技術更新一樣的快,也由于新的意想不到的問題的不斷出現(xiàn),使得適時的法律調整總跟不上電子商務高速發(fā)展的步伐。這是需要我們對于現(xiàn)行法律框架從根本上進行反思,困難而想而知。

5電子商務安全立法的對策研究

5.1電子商務安全需求分析

5.1.1主要內容

電子商務是網(wǎng)上公開直接虛擬交易的商務模式,它直接通過網(wǎng)絡進行交易、支付、談判、下單等,在這個過程中蘊藏了大量的商務信息,所以,電子商務的安全問題引起了網(wǎng)民、企業(yè)、行業(yè)、國家的廣泛觀眾。根據(jù)電子商務的交易模式以及重要性分析,電子商務的安全需求主要包括以下幾個方面:

1、信息的完整性;

2、信息的保密性;

3、信息的不可否認性;

4、交易雙方的真實身份信息;

5、系統(tǒng)的可靠性;

6、資金的安全性。

5.1.2涉及領域

通過吸收國外成功的經(jīng)驗,結合我國自身電子商務發(fā)展特色以及社會主義國情特色,我國電子商務安全性的立法主要涉及以下幾大方面:

1、保護消費者的合法權益;

2、交易雙方的個人真實信息;

3、保密和信息的合法性訪問;

4、數(shù)字簽名以及第三方認證;

5、計算機犯罪和侵犯問題的有效控制。

5.2電子商務安全立法定位與模式

電子商務的安全法律保障問題,從其整體情況來看,主要表現(xiàn)為兩大層次:第一,電子商務首先表現(xiàn)的是商品交易模式,它的安全需要通過民商法來進行規(guī)范保護;第二,電子商務是通過計算機及網(wǎng)絡技術實現(xiàn)的,它的安全很大程度上依賴于計算機及網(wǎng)絡的自身安全程度,這需要網(wǎng)絡的安全管理法律來加以約束和保護。從第一點的角度來看,電子商務安全法律隸屬于商法的范圍。

因此,在立法過程中,重點還是需要從商法的角度,結合其依托計算機網(wǎng)絡技術的特色,從全面化的角度出發(fā),制定出高效規(guī)范的電子商務安全法律。

從電子商務安全立法的模式角度出發(fā),電子商務的安全法律主要有以下兩種選擇:第一,在電子商務交易活動的法律中加入電子商務安全性法律內容;第二,另外指定電子商務安全單行法。這兩種模式都有各自的優(yōu)點和缺點,前者的立法成本低但是保護力度不夠強,后者的立法程序復雜,所需資源多,但是保護力度大。在實際操作中,到底選擇哪種模式,也是當下法律界正在研究分析的重點問題。本文提出的建議是分為兩步走:先采用第一種模式,等條件成熟后而且又加強的需要,再進行第二種模式的立法。這樣不僅可以快速成立相關法律體系,同時也可有效解決資源浪費的問題。

5.3我國電子商務安全性立法的對策分析

5.3.1健全電子商務法律,注重法律的滯后性

健全的電子商務立法體系不僅要包括有網(wǎng)絡服務和網(wǎng)絡管理的法律制度,同時還需要電子商務主體的立法和市場管理制度,以及電子商務交易支付的法律制度、網(wǎng)上商務行為制度、電子稅法制度、客戶個人隱私權保護法。只有建立系統(tǒng)性的法律制度,才能真正發(fā)揮電子商務安全法的作用。

在加強電子商務安全法建設的同時,同時也應該注重法律的滯后性帶來的法律效力減弱。法律的滯后性首先表現(xiàn)為法律立法的程序,這是個嚴格的過程,需要問題顯現(xiàn)的非常明白,并對該問題進行有充分的調研數(shù)據(jù)后,才可能形成立法的基本條件和背景,這個過程是繁瑣的,是復雜的,是需要長時間的。另外,法律要建立起威信,必須較長的時間,在這段長時間里,網(wǎng)絡的發(fā)展是非??斓?,會發(fā)生不同程度內容的問題,而且這些問題會經(jīng)常超過法律設定的范圍,這些問題在客觀上都表現(xiàn)為電子商務法律的滯后性,使得法律無法體現(xiàn)超前性,大大降低了法律的約束作用。

5.3.2加強立法部門對于電子商務的學習了解

立法部門在實際的工作經(jīng)驗中,可能只是了解法律相關體系知識,對于電子商務交易模式、支付模式等相關內容可能存在誤解或者不了解的情況,這容易導致立法部門在立法的過程中,過于偏向法律的可行性,而忽略了電子商務法律的可行性。所以,加強立法部門對于電子商務的學習了解,使其真正深入了解電子商務整體運營過程以及涉及內容、存在的漏洞、需要加強的節(jié)點以及關聯(lián)的群體等內容,從根本上制定高效可行規(guī)范的電子商務安全法律,從而降低因誤解帶來的時間拖延、資源耗費等其他損失。

另外,加強立法部門對于電子商務的學習了解的同時,應加強立法部門工作人員對于電子商務立法的重視度,從思想上加強工作人員對于電子商務安全立法的注重,從而加快電子商務安全立法的實施進度。

5.2.3系統(tǒng)化完善,架構法律體系

我國電子商務的飛速發(fā)展,對電子商務中的安全問題提出了更高的要求。在建立我國電子商務安全法律時,應多加考慮它與其他法律之間的關聯(lián)度,從而架構其整體法律體系,進一步完善安全法律的有效性。具體內容如下:

1、在中國民法基本法原有的基礎上,增加交易安全的理念和內容;

2、在計算機與網(wǎng)絡安全管理的立法上,應針對電子商務在網(wǎng)絡虛擬環(huán)境下運行的特點,加強電子商務交易安全保護的法律措施。

3、在商事單行法的立法上,可以適當突破現(xiàn)有民法的一些制度,基于商法的特殊性及獨立性,滿足電子商務較高的安全保護需求。

4、在法律解釋上,全面清理我國最高人民法院作出的司法解釋,剔除掉不利于電子商務安全的言論,對電子商務的安全問題進行重新正確的認識和解釋。

5.2.4配套獎懲措施,提高安全法律威信度

獎懲措施是任何制度得以有效實施的保障制度,這里的獎懲措施具有兩個重要的含義:

第一,是對電子商務安全制度在實施過程出現(xiàn)的良性事件和惡性事件進行適當?shù)莫剟詈蛻土P,或是進行高度的獎勵和懲罰,從而在加強良性循環(huán)的同時,對制度實施過程中的惡性事件作出嚴厲的懲罰,起到殺一儆百的作用,從而有效提高電子商務安全立法的實施力度和效果。

第二,是對進行非法盜取電子商務信息或是破壞電子商務交易的不法分子進行嚴厲的法律制裁,以及對保護電子商務安全的良好事跡進行表揚。我國目前針對盜取電子商務信息或是破壞電子商務交易的不法分子還未建立有效的不法分子,才會使得這些不法分子妄想鉆空子、踩地雷,這也是導致我國電子商務安全出現(xiàn)問題的一大關鍵因素。因此,建立電子商務獎懲措施,有利于提高對不法分子的控制以及提高人民對電子商務安全的保護意識。

5.2.5借鑒國外成功經(jīng)驗,結合自身特色國情

電子商務是全球性的電子商務,它是無國界、無種族之分的。所以,我國在建立電子商務安全法律時,可立足于國際立法的趨同性取向,借鑒國外成功的電子商務安全法律制度經(jīng)驗,并且結合我國的自身特色國情。中國的電子商務安全法律,只有爭取與國際立法接軌,才能參與全球性的經(jīng)濟競爭。例如,新加坡在制定《電子&交易法案》時幾乎全部采用了《電子商務示范法》的相關內容,同時根據(jù)《電子商務示范法》的總體精神以及自身國情,增加了部分內容。所以,我國在制定電子商務安全法律時,應盡量吸收國外原有的成果,再結合我國的特色國情,在降低立法成本、節(jié)省立法時間的同時,也提高電子商務安全法律的高效性和實用性。

6總結和展望

電子商務的安全問題是關系到電子商務能否繼續(xù)發(fā)展的關鍵因素。隨著我國計算機網(wǎng)絡科學的逐步發(fā)展,某些非法分子對于電子商務安全模式已經(jīng)越來越熟悉,如果電子商務再不加強安全防范以及法律法規(guī)的嚴加約束,電子商務的安全將成為我國經(jīng)濟法律的一大問題,這對我國經(jīng)濟、網(wǎng)民、電子商務企業(yè)來說都是非常不利的。因此,盡快建立我國的電子商務安全立法,建立有效可行的電子商務安全法律法規(guī),從國家政治制度角度出發(fā),為我國的電子商務發(fā)展進行強而有力的安全管束,以促進我國電子商務行業(yè)穩(wěn)步健康的發(fā)展。隨著我國電子商務的飛速發(fā)展,已經(jīng)在我國人民生活中扮演的越來越重要的角色,電子商務的安全立法問題已經(jīng)成為我國法政界、金融界和學術界共同關注的熱點問題,因此,研究我國電子商務安全立法工作,建立科學高效的電子商務安全法律,為我國的電子商務的穩(wěn)步健康發(fā)展奠定良好的基礎,具有非常重要的理論意義和實踐意義。

本文研究的主要貢獻在于:探討了我國電子商務安全現(xiàn)狀以及立法存在的問題與對策。本研究以電子商務基本概念和特色為理論基礎,通過對我國電子商務的安全現(xiàn)狀進行分析,從而形成本研究的整體背景,接著分析我國安全立法的現(xiàn)狀以及存在的問題,最后結合自身所學知識,提出改善我國電子商務安全法律的對策,希望對電子商務安全立法工作的開展能提供一些幫助。但是由于水平的限制以及實際經(jīng)驗的不足,加上我國目前電子商務法律問題整體上處于不成熟與多樣化的階段,使得本文在研究過程中遇到一些困難,加上文字功底不夠等等,影響到了研究的效果,使得論文尚有以下不足之處:

1、研究過程中,對于我國電子商務安全現(xiàn)狀只選取了幾個主要的現(xiàn)狀進行描述,考慮到本研究報告的篇幅問題,并沒有對全部的現(xiàn)狀進行描述。

2、在對我國電子商務安全立法的現(xiàn)狀進行分析時,只對我國電子商務安全問題的難點以及現(xiàn)狀進行代表性的描述,并未形成系統(tǒng)化的描述。

篇8

信息化的生產(chǎn)方式正漸漸成為中國社會的帶動力量時,工業(yè)化的生產(chǎn)方式仍然是中國農(nóng)村社會的主要帶動力量。這是中國農(nóng)村落后于時代的基本面上的原因。

治國理政者在面對農(nóng)村電子商務時,完全可以樹立全局意識,從城鄉(xiāng)統(tǒng)籌協(xié)調發(fā)展高度謀劃戰(zhàn)略,擺脫目前這種大興原子土木、大興原子城市,抑制商業(yè)轉型,激活城鄉(xiāng)不穩(wěn)定因素,落后于數(shù)字化世界整整一代的現(xiàn)代化方略,走活中國這盤棋。

農(nóng)村電子商務不僅會助力農(nóng)村經(jīng)濟,也對整個中國經(jīng)濟結構的平衡產(chǎn)生積極作用。農(nóng)村電子商務是關系中國未來發(fā)展的重要抉擇。

塑造政府形象根本在于轉變政府職能

在博客(微博)、社交網(wǎng)站、移動智能終端等社會化媒體迅猛發(fā)展和廣泛應用的今天,社會化媒體逐漸成為政府聯(lián)系人民群眾的重要橋梁和紐帶,越來越多地發(fā)揮了暢通民意、表達訴求和參政議政的作用。與此同時,網(wǎng)絡輿情不斷發(fā)生,網(wǎng)絡參政、網(wǎng)絡問政逐漸興起,政府形象塑造面臨新挑戰(zhàn)、新問題。

形象發(fā)生于政府本身,歸根結底,政府自身的修煉才是根本。要致力于提供公平公正、優(yōu)質高效的公共服務,重點落實政府在公共服務領域的職責,把精力、人力和財力向搭建平臺、營造環(huán)境、提供公共產(chǎn)品轉移,樹立服務型政府的形象。

地方政府部門怎樣開微博

宣傳模式的微博公關,在日常維護中雖然起不到更大的正面宣傳作用,但也尚不致于給政府部門造成負面影響,因為地方政府開通微博本身就是一種主動接近民眾的表現(xiàn)。但是一旦發(fā)生公共事件尤其是公共安全事件,倘若地方政府官方微博再延續(xù)宣傳模式進行微博危機公關,就會因為過于“高高在上”而引起不快。

長遠看,實現(xiàn)親民而有效的微博公關,不僅需要現(xiàn)有的政府微博及時轉變話語體系、積極回應民眾、架構政府與民眾的溝通橋梁,更需要從現(xiàn)實制度層面對政府微博公關進行保障,只有這樣,合理的微博公關才能常態(tài)化。

政府“官脖”:權“微”民所用

篇9

第二,建立互聯(lián)網(wǎng)內容與網(wǎng)絡安全監(jiān)控體系,以網(wǎng)站、論壇、貼吧等為監(jiān)控重點,及時了解社情民意,掌握輿情引導的主動權,杜絕網(wǎng)上不良信息傳播,及時刪除和封堵有害信息,嚴厲打擊網(wǎng)上違法犯罪活動;建設和部署公共互聯(lián)網(wǎng)網(wǎng)絡安全監(jiān)控與預警平臺,建立分級預警和定期上報機制,加強對基礎電信企業(yè)、互聯(lián)網(wǎng)接入服務商、重點互聯(lián)網(wǎng)網(wǎng)站的日常監(jiān)測與管理,實施信息實名制和IP地址黑名單制度,提高互聯(lián)網(wǎng)絡安全應對能力;建立政府部門互聯(lián)網(wǎng)接入安全保障體系,規(guī)范政府部門互聯(lián)網(wǎng)安全接入,對網(wǎng)絡攻擊、網(wǎng)站掛馬、網(wǎng)頁篡改等信息安全事件進行實時監(jiān)測,實現(xiàn)全網(wǎng)可管、可控、可剝離。

第三,健全信息安全應急響應體系,建設和完善信息安全通報平臺、信息安全應急支援平臺和輔助決策系統(tǒng),為全省重大信息安全事件提供應急指揮和輔助決策。

第四,建立網(wǎng)絡信任體系,優(yōu)化提升數(shù)字證書認證和密鑰管理系統(tǒng),普及數(shù)字證書在電子政務和電子商務中的應用,建立授權管理和責任認定平臺,通過身份認證、訪問控制和授權管理等手段,促進信息資源合理利用。

第五,建立信息安全管理體系,推廣石家莊市信息安全管理體系試點經(jīng)驗,逐步建立信息安全工作的長效管理機制;探索電子政務信息系統(tǒng)建設模式,為全省各級黨政機關開展應用創(chuàng)造條件。

篇10

關鍵詞:網(wǎng)上支付 電信詐騙 手機木馬

中圖分類號: TP393.08 文獻標識碼:A 文章編號:1007-9416(2016)12-0193-02

隨著信息技術的飛速發(fā)展,以及人們對工作、學習、娛樂、消費的便捷性要求越來越高,各種信息技術產(chǎn)品層出不窮。尤其是因特網(wǎng)普及后,消費者和服務商之間面對面的交易不再是必須,網(wǎng)上支付帶來了極大的便捷性,交易各方利用銀行所支持的數(shù)字金融工具,通過因特網(wǎng)進行交融交換,實現(xiàn)用戶到金融機構、商家之間的在線貨幣支付、現(xiàn)金流轉、資金清算、查詢統(tǒng)計等過程,為電子商務和其他服務提供金融支持[1]。

現(xiàn)金轉帳、購物支付、網(wǎng)上繳費等網(wǎng)上支付業(yè)務極大地方便了人們的生活和工作,這種新穎快捷的支付方式被越來越多的消費者接受。足不出戶,就可以實現(xiàn)輕松生活,網(wǎng)上支付成為許多人日常生活不可缺少的支付方式。

但與此同時,網(wǎng)上支付的安全事件不時發(fā)生,給用戶造成了或多或少的財產(chǎn)損失和大量的個人信息泄露,令人們在使用網(wǎng)上支付時難以真正放心。

1 網(wǎng)上支付過程

通過分析網(wǎng)上交易參與各方的活動,網(wǎng)上支付的組成要素有:因特網(wǎng)(Internet),客戶,商家,開戶銀行,支付網(wǎng)關,銀行網(wǎng)絡,認證中心。其工作流程如圖1所示??蛻敉ㄟ^個人計算機或者移動終端訪問商戶的網(wǎng)站,登錄時與認證中心交互,取得自己的個人信息用于身份鑒別;客戶選擇商品或服務后,確認下單,其信息及購物款項信息就會被加密發(fā)送到支付網(wǎng)關,支付網(wǎng)關與客戶的購物支付卡發(fā)卡銀行通信,驗證其合法性;通過后,確認支付和購物交易合法有效;其后,物流將商品送至客戶處,客戶確認收貨后,交易完成。

目前,網(wǎng)上支付方式包括通過網(wǎng)上銀行進行的轉賬支付(即銀行網(wǎng)關模式)、通過第三方平成的支付(即第三方支付平臺模式)[2],銀聯(lián)模式和電子現(xiàn)金等。其工作原理分別如下:

(1)銀行網(wǎng)關模式:商家與銀行簽約,其網(wǎng)站平臺直接鏈接到銀行網(wǎng)銀系統(tǒng),客戶購物交費實際上就是將現(xiàn)金直接轉帳到商家。

(2)第三方支付平臺模式:電子商務平臺先鏈接到第三方支付平臺,支付平臺再和銀行鏈接而完成支付手段的一種方式。我國的第三方支付行業(yè)發(fā)展迅猛,有獨立的支付企業(yè)諸如快錢、易寶、首信易等,而作為電子商務平臺延伸的在線支付工具如淘寶的支付寶、騰訊的財付通、百度的百付寶等[3]。

(3)銀聯(lián)模式:在銀聯(lián)在線支付的網(wǎng)站完成的支付模式。

(4)電子現(xiàn)金。在支付機構注冊虛擬賬戶,通過向虛擬賬戶充值進行相關支付業(yè)務,如購買游戲幣、QQ幣等。

這些支付模式既可以通過PC機支付,也可以通過手機、平板等移動智能終端完成。分析網(wǎng)上支付過程和支付形式,客戶端、網(wǎng)絡協(xié)議、互聯(lián)網(wǎng)基礎設施、支付網(wǎng)關等處都可能存在風險。網(wǎng)絡支付安全是一個系統(tǒng)工程,需要銀行、支付機構、安全廠商、商戶、網(wǎng)絡管理部門以及消費者共同努力。

從目前網(wǎng)絡支付的發(fā)展水平和出現(xiàn)的網(wǎng)絡支付案例來看,各個銀行針對網(wǎng)上支付采用的安全技術和手段(如一次性口令、USB KEY、短信驗證碼等)都較成熟,達到了很高的安全性。而網(wǎng)上支付安全事件的發(fā)生在大多數(shù)情況是用戶安全防范意識薄弱和相應的安全技能不足所致。下面列出網(wǎng)上支付可能存在的一些風險。

3 網(wǎng)上支付的風險分析

3.1 用戶的身份冒充

這種攻擊基于用戶身份信息被盜用。攻擊者通過非法手段(如植入木馬、釣魚等)盜取合法用戶的身份信息,仿冒其身份進行轉帳或與他人交易,或實施詐騙以獲得非法利益。

已發(fā)生的諸多案例都表明,國內很多網(wǎng)站都存儲了用戶的基本信息(包括姓名、銀行卡號等),但其都或多或少存在安全漏洞,容易被入侵而導致大量完整的用戶信息被泄露。國內外都有復制信用卡,盜刷的事件報道。除此之外,電信詐騙、二維碼含惡意鏈接、釣魚網(wǎng)站、手機木馬等威脅也會造成大量銀行卡信息的泄露。而目前正在快速發(fā)展的很多帶有閃付功能的銀行卡,還能在近距離非接觸的情況下通過特定終端讀取用戶信息,這種讀取方式靜默,很難發(fā)現(xiàn)。

3.2 敏感數(shù)據(jù)泄露

網(wǎng)上支付的敏感數(shù)據(jù)一般包括個人信息(姓名、銀行卡號、通信地址等)和購物信息(商品名稱、價格、數(shù)量、購買時間等)。這些數(shù)據(jù)有可能在傳輸中泄漏、丟失或被篡改,如攻擊者利用電磁泄漏或搭線竊聽等方式截獲還原傳輸?shù)倪@些敏感信息,或通過對信息流向、流量、通信頻度和長度等參數(shù)的分析,探測和分析有用信息。

3.3 交易數(shù)據(jù)篡改

攻擊者通過在客戶的計算機上植入木馬、制作釣魚網(wǎng)頁或截獲傳輸中的信息,篡改其交易數(shù)據(jù),如修改消息次序、時間、數(shù)量、金額,注入偽造消息、重放交易等,使信息失去真實性和完整性。

3.4 商家假冒或欺詐

商家被別人假冒,提供假貨或者收到付款后抵賴交易。

4 網(wǎng)上支付的安全對策

為加強網(wǎng)上支付的安全,需參與各方從技術和管理兩方面同時著手,在技術上提高安全性,同時在規(guī)范管理上防范非法行為。技術上包括:

4.1 個人計算機或移動終端安全

一般硭擔作為公共基礎設施的支付網(wǎng)關和電子商務網(wǎng)站等的安全性都是較高的。而個人使用的計算機和移動終端的安全性堪憂。因此,個人計算機要及時安裝和更新病毒木馬查殺軟件,及時升級操作系統(tǒng)和應用軟件,不輕易打開不明文件和訪問安全性未知的網(wǎng)站,不下載安裝安全性未知的軟件,不接入公共wifi和使用公共計算機進行登錄和支付,以防止計算機被黑客攻擊,導致個人信息泄露。

4.2 密碼技術

一方面,采用密碼相結合的多因子身份認證技術,加強身份認證的強度,防止身份信息被竊取、盜用和假冒,如數(shù)字證書、短信驗證碼、動態(tài)口令、USB Key等。另一方面,采用加密技術對用戶信息和支付數(shù)據(jù)進行加密,防止敏感信息泄露和被篡改。計算機或手機上安裝基于密碼技術的數(shù)字證書后,即使賬戶支付密碼被盜,也需要在已經(jīng)安裝了數(shù)字證書的計算機上才能支付,保障資金安全。

4.3 網(wǎng)絡基礎設施安全

采用多種措施保證網(wǎng)絡基礎設施安全,包括操作系統(tǒng)、網(wǎng)絡協(xié)議、數(shù)據(jù)庫、硬件設施等,這與技術的發(fā)展緊密相關。

管理方面的措施,主要針對組織和人而言。其主要工作是加強網(wǎng)上支付的監(jiān)管,要求監(jiān)管機構、銀行和商家做好安全措施,并教育消費者樹立安全意識,養(yǎng)成良好的安全習慣。

4.4 建立與完善網(wǎng)上支付的法律法規(guī)

隨著網(wǎng)上業(yè)務在我國的發(fā)展,國家相繼出臺了多部法律法規(guī),如《中華人民共和國電子簽名法》明確了電子簽名的法律有效性,使得網(wǎng)上業(yè)務受到法律保護;《電子認證服務管理辦法》、《電子支付指引》、《電子銀行業(yè)務管理辦法》和《電子銀行安全評估指引》等法律法規(guī)針對網(wǎng)上業(yè)務領域給出了一些具體的指導意見。但違法交易所要承擔的法律責任,法定的電子貨幣發(fā)行人、合理的貨幣識別制度以及電子貨幣使用中各方隱私權保護制度等法律問題[4]上還需要進一步明確。而作為金融監(jiān)管機構的中央銀行則要結合我國國情并借鑒國外發(fā)展經(jīng)驗,嚴格技術標準,強化業(yè)務監(jiān)管。

今年11月,國家出臺《中華人民共和國網(wǎng)絡安全法》,在網(wǎng)絡安全各方面將做出指導性規(guī)定。而在這部法律出臺后,各領域相關配套的法律法規(guī),包括網(wǎng)上支付方面的法規(guī)也會隨后推出,以規(guī)范網(wǎng)上支付活動,打擊違法犯罪,保護合法權益。

4.5 加強法制和安全意識宣傳

通過多種途徑宣傳和公開典型案例,警示用戶樹立安全意識,培養(yǎng)良好的安全習慣,比如電信詐騙案例、短信二維碼惡意鏈接案例、網(wǎng)絡釣魚案例、其他社工案例等。通過宣傳,促使用戶采用銀行等機構提供的安全產(chǎn)品和采納銀行等機構的安全建議,提高安全防護能力,如密碼強度足夠,并與其它密碼不同,支付卡專用,金額隨用隨存等。在網(wǎng)絡支付發(fā)現(xiàn)情況有異時,如頁面跳轉、不停要求輸入信息或彈出無關提示等時,停止操作以止損,并報警和保護現(xiàn)場。同時,加強對網(wǎng)絡不法行為的追查處罰力度,威懾不良企圖者,減少違法行為發(fā)生的可能性。

4.6 網(wǎng)絡實名制

今年電信實名制也真正落實實施,將對電信詐騙起到很強的防范作用。

同樣,通過網(wǎng)絡實名制,使得網(wǎng)絡上的虛擬身份能與現(xiàn)實社會的身份對應,防止交易抵賴,方便追究和落實相關責任人。同時,網(wǎng)絡實名制也將對攻擊者形成強大的威懾力,利用網(wǎng)上支付實施的違法犯罪行為也將大大減少。

5 結語

網(wǎng)絡支付應用已非常廣泛,只有保證其安全性才能健康穩(wěn)定發(fā)展。本文基于網(wǎng)絡支付可能存在的風險,從技術、管理等方面提出了相應的安全對策,防止用戶的財產(chǎn)損失和個人信息泄露。

參考文獻

[1]劉亞軍.網(wǎng)上支付系統(tǒng)的安全性研究[J].現(xiàn)代電子技術,2013,36(8):74-76.

[2]王淦銀.我國網(wǎng)上支付六大瓶頸待破[J].中國銀行業(yè),2015,(1):85-87.