论文部分内容阅读
摘 要 互联网的迅猛发展,使得电子商务迅速普及,电子商务目前已经成为互联网上最为主要的推动力之一,企业对信息安全的要求和投入也越来越高,保障网络自身的安全和网上交易的安全已经成为电子商务健康发展最为重要的基础。尤其是网络安全事故的频发,让企业愈加重视网络信息安全的建设。本文对电子商务的信息安全技术进行了探讨。
关键词 电子商务;信息安全;技术
中图分类号:TP309 文献标识码:A 文章编号:1671-7597(2013)12-0036-02
1 电子商务的信息安全现状
电子商务是网络化的新型经济活动,已经成为我国战略性新兴产业与现代流通方式的重要组成部分。根据数据显示,我国通过手机上网以及网络用户已经突破了7亿和3亿大关,这么多的网络用户就为电子商务的发展奠定了基础。我国电子商务市场整体交易量近年来持续增大,2011年中国网民在线购物交易额达到7849.3亿元,比2010年增长了66%。,有效地促进了消费增长。预测2015年电子商务交易额将达12万亿元。随着网络深入到生活的方方面面,电子商务领域也接连出现信息安全事故,电商网络安全问题越来越受到用户的高度关注。日前,知名网商1号店爆出个人用户信息被泄露,京东商城也出现大量“恶意订单”,在消费者中引发不安和争议。在10月30日晚上10点半左右,在京东商城的充值平台上出现网络异常,当时该平台上的积分换话费活动出现系统BUG(漏洞),用户点击后就自动进行充值,整个过程并没有进行相应的扣分。而且没有充值成功的积分被双倍的返还,自动打入消费者账户,消费者发现这个漏洞,纷纷上网参与活动,一次充值仅仅10秒左右就可以完成,一直持续到晚上将近12点,京东才发现异常,并修复了好了该漏洞,这次事件为众多从事电子商务业务的企业敲响了警钟,网络完全问题无处不在,一旦发生将是不可挽回的损失。
2 电子商务对信息安全存在的问题
所谓电子商务基于电子信息网络,特别是互联网,为企业、机构和个人提供产品或服务交易及相关的电子认证、在线支付、物流配送等服务的业务活动。目前我国企业在电子商务信息安全方面的问题主要存在以下几点。
1)企业对信息安全的重要性有所认识,但对面临的信息安全威胁和存在的隐患仍存在侥幸心理,很多从事电子商务的企业对注册会员的资料欠缺有效的保密措施,很多信息资料采用是明文保存,这就很容易被黑客侵入获得相关客户的资料,公司内部不法人员也可以轻而易举的获得客户资料,为了牟利将其泄漏。这些问题看似技术层面的原因,其实深究起来,还是企业信息安全管理上的漏洞。在很多中小购物网站中,有的第三方支付平台未依法落实相关的日至留存措施,有的甚至在明知他人实施网络犯罪的情况下,仍为其提供支付服务,并从中提成获利,有的电子商务运营商并未落实网络交易异常、信用异常和非法交易的监控措施,导致销售违禁品、网上销赃等违法犯罪活动难以发现。
2)法律层面缺失。对于个人信息安全和网络信息安全事故,由于相关法律的缺失,截至目前,依然很难给予法律层面上的定性。尽管媒体上多次报道一些网站出现用户资料泄密事件,但从处理结果来看,企业仅仅道歉了事,并没有承担法律上的责任。这是由于目前我国在这方面的法律缺位,导致网络信息的侵权成本过低,同时消费者要维权也缺乏法律支持,而且维权成本太高,这就使得很多企业并没有动力去真正的加强用户信息保密工作。
3)网民安全意识薄弱,强化互联网企业和网民的法律意识,提升违法成本,才是应对网络安全事故的根本之策。就像京东商城那个案例,很多网民利用系统BUG,实现了给自己手机充值,或者给Q币充值的目的,这种行为其实已经符合盗窃行为的本质,但很多消费者并没有从思想上认识到这是一种盗窃,认为这是在网络的虚拟空间里就不能算作犯罪行为。随着新的传统企业进入电子商务领域及电子商务向农村纵深发展,这种意识和行为还有加重的趋势。可见,加强消费者对网络信息安全的认识,树立起消费者守法的网络行为十分必要。
3 电子商务的信息安全技术
3.1 加强安全认证
电子商务安全认证系统是保证电子商务安全的基础设施,目前,在电子商务领域,安全认证是较为通行的一种做法。电子商务安全认证是以数字证书应用为核心的密码,它以PKI技术为基础,对网络信息进行加密,有数字加密和签名加密两种方式。电子商务交易双方都是利用网络进行交易行为,交易双方互相有个信任问题,如何在不见面的情形下对双方身份进行确认是个难点,所以就需要一个参与方对双方身份进行确认并发布相关证书,网络交易双方都可以通过加密证书对双方的身份进行认证,保证网络信息不被篡改和窃取。同时数字证书也可以起到对集中审计、产品授权等相关业务活动进行全程跟踪管理的作用。例如新浪曾经推出国内首个安全认证企业邮箱,传统的邮件加密只限于客户端的加密,而对于邮件的传递无法监控,新浪这种加密的企业邮箱采用电子安全认证技术,基于浏览器的邮件加密,通过公钥加密与私钥解密技术结合,实现电子邮件最大的安全性。拥有这种企业邮箱的用户,可以保证在邮件的传递过程中进行发件方和接受方的身份确认,并且可以对邮件进行电子签名,保证信息的不可抵赖性。同时还支持国际漫游业务,当用户离开出差外地,使用别人的PC,打开自己的企业邮箱,输入电子认证证书密码,即可从服务器上获得128位的加密密钥,打开电子邮件,当用户阅读完邮件,关闭浏览器,其加密密钥自动销毁,在机器上不留任何备份,保证了邮件安全。
3.2 完善电子商务网站
电子商务交易双方的信任度成为评价电子商务秩序状况的重要指标,这就需要一个完善的电子商务网站。建立一个电子商务网站并不是很容易的,服务器的选择至关重要。特别是在建站的前期,服务器最重要的就是需要拥有更好的安全性和更高的性能,能够最大限度的保证消费者网络交易行为的安全性。对于电子商务企业而言,在网站建设与管理中,为了保证消费者能够短时间内挑选出适合自己的商品,就不可避免的要实现网站的搜索功能,这就对网站服务器的性能和结构提出了要求。首先选择服务器的结构。对于电子商务企业而言,服务器是要托管到电信或者网通机房,这是要付出一定费用的。服务器体积越大相应的托管费用就越高,所以企业应该根据企业实际情况,选择性价比高的机架式服务器,常见的1U或2U机架式服务器都可以符合企业经营需要。其次,在服务器性能方面,可以选择四核处理器、2GB内存以及读取性能更好的SAS硬盘,如果企业规模较小或者资金有限,可以考虑性能相对较低的SATA硬盘,并通过组建RIAD磁盘阵列来提升硬盘的读取性能和安全性。 3.3 加强信息安全的规划和沟通
没有合作的文化是做不成大团队的,电子商务信息与安全管理需要这样的合力来推行。电子商务企业信息安全发展到现代,在软硬件以及信息安全技术、方法上差别不大,关键是信息安全理念的差异。有的电子商务企业缺乏先进信息安全管理理念,企业高层对信息安全管理的意见相左,各部分之间沟通不畅、缺少合力或者缺乏对信息安全建设的长远规划和指导,这些因素都会导致企业信息安全建设的失败。因此,对于电子商务企业而言,企业信息化建设需要形成合力,需要企业高层对信息安全建设的投入、长远规划等意见统一,需要企业IT与业务部门沟通顺畅,建立信息化规划时,要按步骤、分阶段来规划。当然每个企业实际情况不同,信息安全建设的速度、规模都不尽相同,企业要根据自己的实际需要,根据企业的资金实力、发展规模以及企业发展阶段等因素做好信息安全建设的规划。同时,企业要建立统一的日常运营需要建立的管理流程,除了采取用较优秀的熟悉公司业务的人员做项目经理外,最好的办法就是建立一种长期的沟通机制,每个部门除了知道本部门的活动计划之外,还要知道其他部门的重大活动,这样才可以加强相互之间的配合。还有就是电子商务主要在网络上展开,由于网络传播速度很快,因此应该对流程的每一步都应该进行怎样的测试和审核,避免有意和无意的疏忽造成重大事故。在出现问题时采取何种措施,对这些问题采取什么样的风险描述。保证做到系统能够快速恢复、人员能够快速进入工作岗位。
总之,电子商务作为计算机应用技术与现代经济贸易活动结合的产物,已经越来越多的应用到企业中,电子商务涉及面广、主体众多,存在巨大的信息安全隐患,加强电子商务网络安全很重要。企业作为电子商务运营的主体,要切实加强对电子商务信息安全的重视程度,采用各种技术和方法来保证网络交易的安全性。
参考文献
[1]徐学军.我国发展电子商务的主要瓶颈及对策[J].科技管理研究,2004(2).
[2]汪成.企业电子商务存在的问题及对策[J].科技情报开发与经济,2005(2).
[3]周学广,刘艺.信息安全学第1版[M].北京:机械工业出版社,2003.
[4]毛剑.保护隐私的数字产品网上交易方案[J].电子学报,2005(6).
[5]王圣洁.电子商务安全问题浅述[J].计算机与数字工程,2004(6).
[6]武心莹.电子商务的安全性及其实现[J].江西财经大学学报,2004(4).
作者简介
金胜男(1987-),女,2012年毕业哈尔滨工程大学计算机应用技术专业,硕士研究生,助理工程师,现在大庆油田信息技术公司信息技术北京分公司从事信息安全建设工作,研究涉及网络通信安全、数据储存安全等。
关键词 电子商务;信息安全;技术
中图分类号:TP309 文献标识码:A 文章编号:1671-7597(2013)12-0036-02
1 电子商务的信息安全现状
电子商务是网络化的新型经济活动,已经成为我国战略性新兴产业与现代流通方式的重要组成部分。根据数据显示,我国通过手机上网以及网络用户已经突破了7亿和3亿大关,这么多的网络用户就为电子商务的发展奠定了基础。我国电子商务市场整体交易量近年来持续增大,2011年中国网民在线购物交易额达到7849.3亿元,比2010年增长了66%。,有效地促进了消费增长。预测2015年电子商务交易额将达12万亿元。随着网络深入到生活的方方面面,电子商务领域也接连出现信息安全事故,电商网络安全问题越来越受到用户的高度关注。日前,知名网商1号店爆出个人用户信息被泄露,京东商城也出现大量“恶意订单”,在消费者中引发不安和争议。在10月30日晚上10点半左右,在京东商城的充值平台上出现网络异常,当时该平台上的积分换话费活动出现系统BUG(漏洞),用户点击后就自动进行充值,整个过程并没有进行相应的扣分。而且没有充值成功的积分被双倍的返还,自动打入消费者账户,消费者发现这个漏洞,纷纷上网参与活动,一次充值仅仅10秒左右就可以完成,一直持续到晚上将近12点,京东才发现异常,并修复了好了该漏洞,这次事件为众多从事电子商务业务的企业敲响了警钟,网络完全问题无处不在,一旦发生将是不可挽回的损失。
2 电子商务对信息安全存在的问题
所谓电子商务基于电子信息网络,特别是互联网,为企业、机构和个人提供产品或服务交易及相关的电子认证、在线支付、物流配送等服务的业务活动。目前我国企业在电子商务信息安全方面的问题主要存在以下几点。
1)企业对信息安全的重要性有所认识,但对面临的信息安全威胁和存在的隐患仍存在侥幸心理,很多从事电子商务的企业对注册会员的资料欠缺有效的保密措施,很多信息资料采用是明文保存,这就很容易被黑客侵入获得相关客户的资料,公司内部不法人员也可以轻而易举的获得客户资料,为了牟利将其泄漏。这些问题看似技术层面的原因,其实深究起来,还是企业信息安全管理上的漏洞。在很多中小购物网站中,有的第三方支付平台未依法落实相关的日至留存措施,有的甚至在明知他人实施网络犯罪的情况下,仍为其提供支付服务,并从中提成获利,有的电子商务运营商并未落实网络交易异常、信用异常和非法交易的监控措施,导致销售违禁品、网上销赃等违法犯罪活动难以发现。
2)法律层面缺失。对于个人信息安全和网络信息安全事故,由于相关法律的缺失,截至目前,依然很难给予法律层面上的定性。尽管媒体上多次报道一些网站出现用户资料泄密事件,但从处理结果来看,企业仅仅道歉了事,并没有承担法律上的责任。这是由于目前我国在这方面的法律缺位,导致网络信息的侵权成本过低,同时消费者要维权也缺乏法律支持,而且维权成本太高,这就使得很多企业并没有动力去真正的加强用户信息保密工作。
3)网民安全意识薄弱,强化互联网企业和网民的法律意识,提升违法成本,才是应对网络安全事故的根本之策。就像京东商城那个案例,很多网民利用系统BUG,实现了给自己手机充值,或者给Q币充值的目的,这种行为其实已经符合盗窃行为的本质,但很多消费者并没有从思想上认识到这是一种盗窃,认为这是在网络的虚拟空间里就不能算作犯罪行为。随着新的传统企业进入电子商务领域及电子商务向农村纵深发展,这种意识和行为还有加重的趋势。可见,加强消费者对网络信息安全的认识,树立起消费者守法的网络行为十分必要。
3 电子商务的信息安全技术
3.1 加强安全认证
电子商务安全认证系统是保证电子商务安全的基础设施,目前,在电子商务领域,安全认证是较为通行的一种做法。电子商务安全认证是以数字证书应用为核心的密码,它以PKI技术为基础,对网络信息进行加密,有数字加密和签名加密两种方式。电子商务交易双方都是利用网络进行交易行为,交易双方互相有个信任问题,如何在不见面的情形下对双方身份进行确认是个难点,所以就需要一个参与方对双方身份进行确认并发布相关证书,网络交易双方都可以通过加密证书对双方的身份进行认证,保证网络信息不被篡改和窃取。同时数字证书也可以起到对集中审计、产品授权等相关业务活动进行全程跟踪管理的作用。例如新浪曾经推出国内首个安全认证企业邮箱,传统的邮件加密只限于客户端的加密,而对于邮件的传递无法监控,新浪这种加密的企业邮箱采用电子安全认证技术,基于浏览器的邮件加密,通过公钥加密与私钥解密技术结合,实现电子邮件最大的安全性。拥有这种企业邮箱的用户,可以保证在邮件的传递过程中进行发件方和接受方的身份确认,并且可以对邮件进行电子签名,保证信息的不可抵赖性。同时还支持国际漫游业务,当用户离开出差外地,使用别人的PC,打开自己的企业邮箱,输入电子认证证书密码,即可从服务器上获得128位的加密密钥,打开电子邮件,当用户阅读完邮件,关闭浏览器,其加密密钥自动销毁,在机器上不留任何备份,保证了邮件安全。
3.2 完善电子商务网站
电子商务交易双方的信任度成为评价电子商务秩序状况的重要指标,这就需要一个完善的电子商务网站。建立一个电子商务网站并不是很容易的,服务器的选择至关重要。特别是在建站的前期,服务器最重要的就是需要拥有更好的安全性和更高的性能,能够最大限度的保证消费者网络交易行为的安全性。对于电子商务企业而言,在网站建设与管理中,为了保证消费者能够短时间内挑选出适合自己的商品,就不可避免的要实现网站的搜索功能,这就对网站服务器的性能和结构提出了要求。首先选择服务器的结构。对于电子商务企业而言,服务器是要托管到电信或者网通机房,这是要付出一定费用的。服务器体积越大相应的托管费用就越高,所以企业应该根据企业实际情况,选择性价比高的机架式服务器,常见的1U或2U机架式服务器都可以符合企业经营需要。其次,在服务器性能方面,可以选择四核处理器、2GB内存以及读取性能更好的SAS硬盘,如果企业规模较小或者资金有限,可以考虑性能相对较低的SATA硬盘,并通过组建RIAD磁盘阵列来提升硬盘的读取性能和安全性。 3.3 加强信息安全的规划和沟通
没有合作的文化是做不成大团队的,电子商务信息与安全管理需要这样的合力来推行。电子商务企业信息安全发展到现代,在软硬件以及信息安全技术、方法上差别不大,关键是信息安全理念的差异。有的电子商务企业缺乏先进信息安全管理理念,企业高层对信息安全管理的意见相左,各部分之间沟通不畅、缺少合力或者缺乏对信息安全建设的长远规划和指导,这些因素都会导致企业信息安全建设的失败。因此,对于电子商务企业而言,企业信息化建设需要形成合力,需要企业高层对信息安全建设的投入、长远规划等意见统一,需要企业IT与业务部门沟通顺畅,建立信息化规划时,要按步骤、分阶段来规划。当然每个企业实际情况不同,信息安全建设的速度、规模都不尽相同,企业要根据自己的实际需要,根据企业的资金实力、发展规模以及企业发展阶段等因素做好信息安全建设的规划。同时,企业要建立统一的日常运营需要建立的管理流程,除了采取用较优秀的熟悉公司业务的人员做项目经理外,最好的办法就是建立一种长期的沟通机制,每个部门除了知道本部门的活动计划之外,还要知道其他部门的重大活动,这样才可以加强相互之间的配合。还有就是电子商务主要在网络上展开,由于网络传播速度很快,因此应该对流程的每一步都应该进行怎样的测试和审核,避免有意和无意的疏忽造成重大事故。在出现问题时采取何种措施,对这些问题采取什么样的风险描述。保证做到系统能够快速恢复、人员能够快速进入工作岗位。
总之,电子商务作为计算机应用技术与现代经济贸易活动结合的产物,已经越来越多的应用到企业中,电子商务涉及面广、主体众多,存在巨大的信息安全隐患,加强电子商务网络安全很重要。企业作为电子商务运营的主体,要切实加强对电子商务信息安全的重视程度,采用各种技术和方法来保证网络交易的安全性。
参考文献
[1]徐学军.我国发展电子商务的主要瓶颈及对策[J].科技管理研究,2004(2).
[2]汪成.企业电子商务存在的问题及对策[J].科技情报开发与经济,2005(2).
[3]周学广,刘艺.信息安全学第1版[M].北京:机械工业出版社,2003.
[4]毛剑.保护隐私的数字产品网上交易方案[J].电子学报,2005(6).
[5]王圣洁.电子商务安全问题浅述[J].计算机与数字工程,2004(6).
[6]武心莹.电子商务的安全性及其实现[J].江西财经大学学报,2004(4).
作者简介
金胜男(1987-),女,2012年毕业哈尔滨工程大学计算机应用技术专业,硕士研究生,助理工程师,现在大庆油田信息技术公司信息技术北京分公司从事信息安全建设工作,研究涉及网络通信安全、数据储存安全等。