導(dǎo)言：作為寫作愛好者，不可錯(cuò)過為您精心挑選的10篇電子商務(wù)安全管理策略，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

關(guān)鍵詞:電子商務(wù);安全問題;安全策略

1電子商務(wù)中存在的兩大類安全問題

1.1網(wǎng)絡(luò)安全問題

現(xiàn)在隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,網(wǎng)絡(luò)安全成了新的安全研究熱點(diǎn)。網(wǎng)絡(luò)安全就是如何保證網(wǎng)絡(luò)上存儲(chǔ)和傳輸?shù)男畔⒌陌踩?。網(wǎng)絡(luò)安全問題是計(jì)算機(jī)系統(tǒng)本身存在的漏洞和其他人為因素構(gòu)成了計(jì)算機(jī)網(wǎng)絡(luò)的潛在威脅,概括來說網(wǎng)絡(luò)安全的內(nèi)容包括:計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等

1.2商務(wù)安全問題

商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時(shí)產(chǎn)生的各種安全問題,在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上,如何保障電子商務(wù)過程的順利進(jìn)行。即實(shí)現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。網(wǎng)上交易日益成為新的商務(wù)模式,基于網(wǎng)絡(luò)資源的電子商務(wù)交易已為大眾接受,人們在享受網(wǎng)上交易帶來的便捷的同時(shí),交易的安全性備受關(guān)注,網(wǎng)絡(luò)所固有的開放性與資源共享性導(dǎo)致網(wǎng)上交易的安全性受到嚴(yán)重威脅。所以在電子商務(wù)交易過程中,保證交易數(shù)據(jù)的安全是電子商務(wù)系統(tǒng)的關(guān)鍵。

1.3目前電子商務(wù)中存在的主要安全問題

(1)對合法用戶的身份冒充。攻擊者通過非法手段盜用合法用戶的身份信息,仿冒合法用戶的身份與他人進(jìn)行交易,從而獲得非法利益。

(2)對信息的竊取。攻擊者在網(wǎng)絡(luò)的傳輸信道上,通過物理或邏輯的手段,對數(shù)據(jù)進(jìn)行非法的截獲與監(jiān)聽,從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網(wǎng)上竊取那些粗心用戶的信用卡賬號(hào),還能以欺騙的手法進(jìn)行產(chǎn)品交易,甚至能洗黑錢。

(3)對信息的篡改。攻擊者有可能對網(wǎng)絡(luò)上的信息進(jìn)行截獲后篡改其內(nèi)容,如修改消息次序、時(shí)間,注入偽造消息等,從而使信息失去真實(shí)性和完整性。

(4)拒絕服務(wù)。攻擊者使合法接入的信息、業(yè)務(wù)或其他資源受阻。

(5)對發(fā)出的信息予以否認(rèn)。某些用戶可能對自己發(fā)出的信息進(jìn)行惡意的否認(rèn),以推卸自己應(yīng)承擔(dān)的責(zé)任。

(6)信用威脅。交易者否認(rèn)參加過交易,如買方提交訂單后不付款,或者輸入虛假銀行資料使賣方不能提款;用戶付款后,賣方?jīng)]有把商品發(fā)送到客戶手中,使客戶蒙受損失。

(7)電腦病毒。電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播途徑,還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快,動(dòng)輒造成數(shù)百億美元的經(jīng)濟(jì)損失。如,CIH病毒的爆發(fā)幾乎在瞬間給網(wǎng)絡(luò)上數(shù)以萬計(jì)的計(jì)算機(jī)以沉重打擊。

2電子商務(wù)中的主要安全技術(shù)

2.1電子商務(wù)的安全技術(shù)

互聯(lián)網(wǎng)已經(jīng)日漸融入到人類社會(huì)的各個(gè)方面中,網(wǎng)絡(luò)防護(hù)與網(wǎng)絡(luò)攻擊之間的斗爭也將更加激烈,這就對安全技術(shù)提出了更高的要求。安全技術(shù)是電子商務(wù)安全體系中的基本策略,是伴隨著安全問題的誕生而出現(xiàn)的,安全技術(shù)極大地從不同層次加強(qiáng)了計(jì)算機(jī)網(wǎng)絡(luò)的整體安全性。要加強(qiáng)電子商務(wù)的安全,需要企業(yè)本身采取更為嚴(yán)格的管理措施,需要國家建立健全法律制度,更需要有科學(xué)的先進(jìn)的安全技術(shù)。安全問題是電子商務(wù)發(fā)展的核心和關(guān)鍵問題,安全技術(shù)是解決安全問題保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素。

2.2計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)

目前,常用的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)主要有病毒防范技術(shù)、身份認(rèn)證技術(shù)、防火墻技術(shù)和虛擬專用網(wǎng)VPN技術(shù)等。

(1)病毒是一種惡意的計(jì)算機(jī)程序,它可分為引導(dǎo)區(qū)病毒、可執(zhí)行病毒、宏病毒和郵件病毒等,不同的病毒的危害性也不一樣。為了防范病毒,可以采用以下的措施:

①安裝防病毒軟件,加強(qiáng)內(nèi)部網(wǎng)的整體防病毒措施;

②加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施;

③對敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施等。

(2)身份識(shí)別技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的重要組成部分之一。它的目的是證實(shí)被認(rèn)證對象是否屬實(shí)和是否有效。其基本思想是通過驗(yàn)證被認(rèn)證對象的屬性來達(dá)到確認(rèn)被認(rèn)證對象是否真實(shí)有效的目的。被認(rèn)證對象的屬性可以是口令、問題解答或者像指紋、聲音等生理特征,常用的身份認(rèn)證技術(shù)有口令、標(biāo)記法和生物特征法。

(3)防火墻是一種將內(nèi)部網(wǎng)和公眾網(wǎng)如Internet分開的方法,它能限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間,或者與其他網(wǎng)絡(luò)之間進(jìn)行的信息存取、傳遞操作。防火墻可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口,能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。它是電子商務(wù)的最常用的設(shè)備。

(4)虛擬專用網(wǎng)是用于Internet電子交易的一種專用網(wǎng)絡(luò),它可以在兩個(gè)系統(tǒng)之間建立安全的通道,非常適合于電子數(shù)據(jù)交換(EDI)。在虛擬專用網(wǎng)中交易雙方比較熟悉,而且彼此之間的數(shù)據(jù)通信量很大。只要交易雙方取得一致,在虛擬專用網(wǎng)中就可以使用比較復(fù)雜的專用加密和認(rèn)證技術(shù),這樣就可以大大提高電子商務(wù)的安全性。VPN可以支持?jǐn)?shù)據(jù)、語音及圖像業(yè)務(wù),其優(yōu)點(diǎn)是經(jīng)濟(jì)、便于管理、方便快捷地適應(yīng)變化,但也存在安全性低,容易受到攻擊等問題。

2.3商務(wù)交易安全技術(shù)

(1)加密技術(shù)是電子商務(wù)安全的一項(xiàng)基本技術(shù),它是認(rèn)證技術(shù)的基礎(chǔ)。

采用加密技術(shù)對信息進(jìn)行加密,是最常見的安全手段。加密技術(shù)是一種主動(dòng)的信息安全防范措施,其原理是利用一定的加密算法,將明文轉(zhuǎn)換成為無意義的密文,阻止非法用戶理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性。目前,在電子商務(wù)中,獲得廣泛應(yīng)用的兩種加密技術(shù)是對稱密鑰加密體制(私鑰加密體制)和非對稱密鑰加密體制(公鑰加密體制)。它們的主要區(qū)別在于所使用的加密和解密的密碼是否相同。

(2)安全認(rèn)證技術(shù)主要有數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字時(shí)間戳、數(shù)字證書等。

①數(shù)字摘要。

數(shù)字摘要是采用單向Hash函數(shù)對文件中若干重要元素進(jìn)行某種變換運(yùn)算得到固定長度的摘要碼(數(shù)字指紋FingerPrint),并在傳輸信息時(shí)將之加入文件一同送給接收方,接收方收到文件后,用相同的方法進(jìn)行變換運(yùn)算,若得到的結(jié)果與發(fā)送來的摘要碼相同,則可斷定文件未被篡改,反之亦然。

②數(shù)字信封。

數(shù)字信封是用加密技術(shù)來保證只有規(guī)定的特定收信人才能閱讀信的內(nèi)容。在數(shù)字信封中,信息發(fā)送方采用對稱密鑰來加密信息,然后將此對稱密鑰用接收方的公開密鑰來加密(這部分稱為數(shù)字信封)之后,將它和信息一起發(fā)送給接收方,接收方先用相應(yīng)的私有密鑰打開數(shù)字信封,得到對稱密鑰,然后使用對稱密鑰解開信息。這種技術(shù)的安全性相當(dāng)高。

③數(shù)字簽名。

把HASH函數(shù)和公鑰算法結(jié)合起來,可以在提供數(shù)據(jù)完整性的同時(shí),也可以保證數(shù)據(jù)的真實(shí)性。完整性保證傳輸?shù)臄?shù)據(jù)沒有被修改,而真實(shí)性則保證是由確定的合法者產(chǎn)生的HASH,而不是由其他人假冒。而把這兩種機(jī)制結(jié)合起來就可以產(chǎn)生所謂的數(shù)字簽名(DigitalSignature)。

④數(shù)字時(shí)間戳。

交易文件中,時(shí)間是十分重要的信息。在書面合同中,文件簽署的日期和簽名一樣均是十分重要的,是防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。而在電子交易中,同樣需對交易文件的日期和時(shí)間信息采取安全措施,而數(shù)字時(shí)間戳服務(wù)(DTS-DigitalTime-stampService)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)。數(shù)字時(shí)間戳服務(wù)(DTS)是網(wǎng)絡(luò)安全服務(wù)項(xiàng)目,由專門的機(jī)構(gòu)提供。

⑤數(shù)字證書。

在交易支付過程中,參與各方必須利用認(rèn)證中心簽發(fā)的數(shù)字證書來證明各自的身份。所謂數(shù)字證書,就是用電子手段來證實(shí)一個(gè)用戶的身份及用戶對網(wǎng)絡(luò)資源的訪問權(quán)限。在網(wǎng)上電子交易中,如果雙方出示了各自的數(shù)字證書,并用它來進(jìn)行交易操作,那么雙方都可不必為對方身份的真?zhèn)螕?dān)心。

3電子商務(wù)的安全性策略

3.1電子商務(wù)安全技術(shù)保障策略

安全技術(shù)保障技術(shù)是電子商務(wù)安全體系中的基本策略,目前相關(guān)的信息安全技術(shù)與專門的電子商務(wù)安全技術(shù)研究比較普遍和成熟。電子商務(wù)中常用到的安全技術(shù)有:密碼技術(shù),身份驗(yàn)證技術(shù),訪問控制技術(shù),防火墻技術(shù)。

3.2企業(yè)電子商務(wù)安全運(yùn)營管理制度保障策略

企業(yè)電子商務(wù)安全運(yùn)營管理制度是用文字的形式對各項(xiàng)安全要求所做的規(guī)定,是保證企業(yè)取得電子商務(wù)成功的基礎(chǔ),是企業(yè)電子商務(wù)人員工作的規(guī)范和準(zhǔn)則。這些制度主要包括人員管理制度,保密制度,跟蹤審計(jì)制度,系統(tǒng)維護(hù)制度、數(shù)據(jù)備份制度等。

3.3電子商務(wù)立法策略

(1)立法目的。電子商務(wù)安全立法的目的主要是要消除電子商務(wù)發(fā)展的法律障礙;消除現(xiàn)有法律適用上的不確定性,保護(hù)合理的商業(yè)行為,保障電子交易安全;建立一個(gè)清晰的法律框架以統(tǒng)一調(diào)整電子商務(wù)的健康發(fā)展。

(2)立法范圍。電子商務(wù)安全方面需要的法律法規(guī)主要有:市場準(zhǔn)入制度、合同有效認(rèn)證辦法、電子支付系統(tǒng)安全措施、信息保密防范辦法,知識(shí)產(chǎn)權(quán)侵權(quán)處理規(guī)定、以及廣告的管制、網(wǎng)絡(luò)信息內(nèi)容過濾等;

(3)立法途徑。電子商務(wù)法律仍然是調(diào)整社會(huì)關(guān)系,所以應(yīng)當(dāng)繼承傳統(tǒng)立法的合理內(nèi)核,尤其是基礎(chǔ)價(jià)值觀。具體的立法途徑主要是兩種:第一是制定新的法律規(guī)范。第二是修改或重新解釋既定的法律規(guī)范。

3.4政府監(jiān)督管理策略

電子商務(wù)本質(zhì)是一種市場運(yùn)作模式,市場的正常健康有序地發(fā)展,必須有政府宏觀上的監(jiān)督與管理,以協(xié)調(diào)和規(guī)范各市場主體的行為,宏觀監(jiān)督與管理電子商務(wù)運(yùn)行中的安全保障體系。政府監(jiān)督管理主要體現(xiàn)在:計(jì)算機(jī)信息系統(tǒng)安全管理,網(wǎng)絡(luò)廣告和網(wǎng)絡(luò)服務(wù)業(yè)管理,認(rèn)證機(jī)構(gòu)管理,加強(qiáng)社會(huì)信用道德建設(shè)。

4電子商務(wù)安全中還需解決的問題

(1)沒有一種電子商務(wù)安全的完整解決方案和完整模型與體系結(jié)構(gòu)。

(2)盡管一些系統(tǒng)正在逐漸成為標(biāo)準(zhǔn),但僅有很少幾個(gè)標(biāo)準(zhǔn)的應(yīng)用程序接口(APIA)。從協(xié)議間的通用API和網(wǎng)關(guān)是絕對需要的。

(3)大多數(shù)電子商務(wù)系統(tǒng)都是封閉式的,即它們使用獨(dú)有的技術(shù),僅支持一些特定的協(xié)議和機(jī)制。通常需要一個(gè)中央服務(wù)器作為所有參與者的可信第三方,有時(shí)還要求使用特定的服務(wù)器和瀏覽器。

(4)盡管大多數(shù)方案都使用了公鑰密碼,但多方安全受到的關(guān)注遠(yuǎn)遠(yuǎn)不夠。沒有建立一種解決爭議的決策程序。

(5)客戶的匿名性和隱私尚未得到充分的考慮。

參考文獻(xiàn)

[1]EricRescorla.著,崔凱譯.SSL與TLSDesigningandBuild-ingSecureSystems[M].北京:中國電力出版社,2002.

篇2

關(guān)鍵詞：商業(yè)銀行；電子商務(wù)；風(fēng)險(xiǎn)管理

    商業(yè)銀行從事金融業(yè)務(wù)面臨著市場風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、以及操作風(fēng)險(xiǎn)等，而電子商務(wù)的出現(xiàn)則加劇了上述各類風(fēng)險(xiǎn)發(fā)生的可能性以及風(fēng)險(xiǎn)發(fā)生之后的破壞程度。2004年以來，我國面臨的網(wǎng)絡(luò)仿冒威脅正在逐漸加大，仿冒對象主要是金融網(wǎng)站和電子商務(wù)網(wǎng)站。2005年上半年共收到網(wǎng)絡(luò)安全事件報(bào)告65679件，超過2004年全年案件數(shù)，商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理策略已成為理論與實(shí)踐中必須重視的課題。 

 

一、信息安全管理的歷史演進(jìn)與現(xiàn)階段的特點(diǎn) 

信息安全管理的策略大體遵循事件驅(qū)動(dòng)(技術(shù)和管理脫節(jié))－逐漸標(biāo)準(zhǔn)化(技術(shù)和管理逐漸結(jié)合)——安全風(fēng)險(xiǎn)管理(引入了風(fēng)險(xiǎn)分析)的發(fā)展路徑。 

 

(一)以事件驅(qū)動(dòng)的初級(jí)階段時(shí)期 

19世紀(jì)70年代安全主要是指物理設(shè)備和環(huán)境的安全，人與計(jì)算機(jī)之間的交互主要局限在大型計(jì)算機(jī)上的啞終端，安全問題只涉及能訪問終端的少數(shù)人。安全管理策略處于初級(jí)階段，由事件驅(qū)動(dòng)，沒有形成規(guī)范的管理流程。在此階段的前期，只重視技術(shù)手段。后期開始重視管理手段，但是技術(shù)和管理之間脫節(jié)。許多組織對信息安全制定了相應(yīng)的規(guī)章和制度，但組織的信息安全管理基本上還處在一種靜態(tài)、局部、少數(shù)人負(fù)責(zé)、突擊式、事后糾正式的管理方式。 

 

(二)標(biāo)準(zhǔn)化時(shí)期 

企業(yè)開始將安全問題作為整體考慮，形成一套較為完整的安全管理策略，其中包括了安全管理的技術(shù)手段和管理制度(或稱運(yùn)作管理)。幾乎所有從事電子商務(wù)的企業(yè)都擁有自己的安全策略，內(nèi)容也包括了技術(shù)手段、安全管理制度、人員安全教育等等，基本上形成體系，技術(shù)和管理手段綜合統(tǒng)一，但是安全風(fēng)險(xiǎn)分析還存在不足之處。 

 

    (三)安全風(fēng)險(xiǎn)管理策略時(shí)期 

隨著電子商務(wù)安全管理發(fā)展到一個(gè)比較高的層次，安全管理策略也演進(jìn)到安全風(fēng)險(xiǎn)管理階段。主要特點(diǎn)如下： 

1.安全風(fēng)險(xiǎn)管理成為主流趨勢；在安全管理策略的演進(jìn)過程中，技術(shù)和管理手段綜合統(tǒng)一、又融入了風(fēng)險(xiǎn)管理的分析、防范策略，從而安全管理進(jìn)入了安全風(fēng)險(xiǎn)管理時(shí)期。西方商業(yè)銀行已對安全風(fēng)險(xiǎn)管理形成共識(shí)。如安氏公司(is—One)，認(rèn)為信息安全問題最終將歸結(jié)為風(fēng)險(xiǎn)管理問題，風(fēng)險(xiǎn)管理方法是建立良性的安全技術(shù)和管理體系的依據(jù)和基礎(chǔ)。 

2.安全風(fēng)險(xiǎn)管理的國際標(biāo)準(zhǔn)和各國的規(guī)范逐漸形成并趨于完善。國際上關(guān)于安全風(fēng)險(xiǎn)管理的標(biāo)準(zhǔn)有巴塞爾銀行監(jiān)管委員會(huì)的《電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理原則》、英國標(biāo)準(zhǔn)協(xié)會(huì)制訂的BS7799等。各國也日益重視安全風(fēng)險(xiǎn)管理，制定了許多規(guī)范。例如美國貨幣監(jiān)理署(OCC)的《電子銀行最終規(guī)則》、香港金融管理局的《電子銀行服務(wù)的安全風(fēng)險(xiǎn)管理》等。中國銀行業(yè)監(jiān)督管理委員也于2006年頒布了《電子銀行業(yè)務(wù)管理辦法》，對國內(nèi)企業(yè)的電子商務(wù)安全風(fēng)險(xiǎn)管理給出了指導(dǎo)意見。

3.利用外部專業(yè)化機(jī)構(gòu)對金融機(jī)構(gòu)的安全性評(píng)估已成為大部分國家的選擇。電子銀行面臨的安全和技術(shù)風(fēng)險(xiǎn)，在相當(dāng)程度上取決于采用的信息技術(shù)的先進(jìn)程度，系統(tǒng)的設(shè)計(jì)開發(fā)水平，以及相關(guān)設(shè)施設(shè)備及其供應(yīng)商的選擇等；銀行依靠傳統(tǒng)的風(fēng)險(xiǎn)管理機(jī)制已很難識(shí)別、監(jiān)測、控制和管理相關(guān)風(fēng)險(xiǎn)。同樣，監(jiān)管機(jī)構(gòu)也難以完全依靠自身的力量對電子銀行的安全性進(jìn)行準(zhǔn)確評(píng)價(jià)和監(jiān)控。因此，大部分國家都采用了依靠外部專業(yè)化機(jī)構(gòu)定期對電子銀行安全性進(jìn)行評(píng)估的辦法，加強(qiáng)對電子銀行安全性和技術(shù)風(fēng)險(xiǎn)的管理和監(jiān)管。 

4.在許多國家信息系統(tǒng)審計(jì)(Is Audit)作為一種信息技術(shù)服務(wù)被廣泛提供，許多知名的咨詢公司都提供類似的信息審計(jì)服務(wù)。業(yè)界的IT風(fēng)險(xiǎn)分析師也成為一種職業(yè)，專門從事電子商務(wù)的安全風(fēng)險(xiǎn)工作，從經(jīng)濟(jì)學(xué)的角度出發(fā)分析風(fēng)險(xiǎn)，充分衡量保持安全的代價(jià)和收益之間的關(guān)系，尋求用最小的代價(jià)實(shí)現(xiàn)最大的效用，在風(fēng)險(xiǎn)分析中也形成一套較為成熟的模式。 

 

二、我國商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理策略的薄弱點(diǎn) 

(一)系統(tǒng)管理思想缺乏 

目前的電子商務(wù)安全風(fēng)險(xiǎn)管理策略，在全局上缺乏系統(tǒng)論理論的指導(dǎo)，在實(shí)際操作中受到多種多樣的安全攻擊時(shí)會(huì)不可避免地出現(xiàn)安全漏洞，無法形成一張全面有序的安全網(wǎng)絡(luò)。 

實(shí)踐中被采用的安全風(fēng)險(xiǎn)管理策略，以及作為指導(dǎo)意見的規(guī)則規(guī)范，如《信息安全管理實(shí)務(wù)準(zhǔn)則》(IS017799)、《信息技術(shù)安全性評(píng)估準(zhǔn)則》(GB／T18336．1)、巴塞爾銀行監(jiān)管委員會(huì)的《電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理原則》，盡管提出了比較全面的安全風(fēng)險(xiǎn)管理方案，層次上也比較清晰，但是還不足以作為一個(gè)風(fēng)險(xiǎn)防范系統(tǒng)。實(shí)踐中，電子商務(wù)組織是一個(gè)復(fù)雜的系統(tǒng)組織，電子商務(wù)的安全風(fēng)險(xiǎn)管理體系和過程也是個(gè)復(fù)雜的系統(tǒng)。系統(tǒng)論、控制論的思想在電子商務(wù)安全風(fēng)險(xiǎn)管理中是不可或缺的。 

 

(二)風(fēng)險(xiǎn)分析的模型與方法不成熟，定量分析不足 

電子商務(wù)模式自身的發(fā)展歷史也不過20幾年，在風(fēng)險(xiǎn)分析的定量技術(shù)上并不成熟；如BS7799中推薦的電子商務(wù)安全風(fēng)險(xiǎn)管理中實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí)，往往將威脅發(fā)生的可能性定性劃分為幾個(gè)級(jí)別，將威脅所造成的影響也定性劃分為1～5級(jí)，實(shí)質(zhì)上是將一些按照概率發(fā)生的事件定義為不連續(xù)的幾個(gè)級(jí)別，在操作上易行，但造成了度量的不精確。在進(jìn)行監(jiān)控和審計(jì)之后，也存在無法量化、對比的問題。

(三)忽視與原有的傳統(tǒng)風(fēng)險(xiǎn)管理策略的結(jié)合 

篇3

    1、問題的提出

    作為一種新的經(jīng)濟(jì)模式,電子商務(wù)以高效、便捷、方便的優(yōu)勢和全新的企業(yè)經(jīng)營理念、經(jīng)營手段、經(jīng)營環(huán)境吸引著廣大用戶,為世界經(jīng)濟(jì)賦予了無限的發(fā)展空間。隨著電子商務(wù)應(yīng)用范圍的日益擴(kuò)大,針對電子商務(wù)的各種犯罪活動(dòng)也19益猖獗。國內(nèi)外調(diào)查顯示…,52.26%的用戶最關(guān)心的是網(wǎng)上交易的安全可靠性,超過6O%的人由于擔(dān)心電子商務(wù)的安全問題而不愿進(jìn)行網(wǎng)上購物。加強(qiáng)電子商務(wù)實(shí)施過程中的安全管理已經(jīng)成為促進(jìn)電子商務(wù)高速發(fā)展的重要因素。

    電子商務(wù)的安全,可分為技術(shù)安全和管理安全兩種類型。所謂技術(shù)安全,是指通過各種黑客手段竊取企業(yè)的用戶lD、密碼以及相關(guān)的機(jī)密文件,甚至網(wǎng)絡(luò)銀行帳號(hào)、密碼等,給企業(yè)造成經(jīng)濟(jì)損失。而管理安全則是指缺乏對參與電子商務(wù)過程中各個(gè)環(huán)節(jié)的人員的管理預(yù)防手段,最終導(dǎo)致的電子商務(wù)安全事件。從美國的花旗銀行和中央情報(bào)局到中國的某家國有商業(yè)銀行,都有過由于內(nèi)部人員的違規(guī)和違法操作,導(dǎo)致數(shù)據(jù)被篡改和泄密的事件發(fā)生。

    近幾年的電子商務(wù)安全案件表明:人員是網(wǎng)上交易安全管理中的最薄弱的環(huán)節(jié),近年來我國計(jì)算機(jī)犯罪大都呈現(xiàn)內(nèi)部犯罪的趨勢,有的競爭對手利用企業(yè)招募新人的方式潛入對方企業(yè),或利用不正當(dāng)?shù)姆绞绞召I企業(yè)網(wǎng)絡(luò)交易管理人員。有的電子商務(wù)從業(yè)人員從本企業(yè)辭職后,迅速把客戶資料、產(chǎn)品研發(fā)成果等機(jī)密出售給競爭對手,給企業(yè)帶來了不必要的經(jīng)濟(jì)損失。

    2、原因分析

    電子商務(wù)信息安全已經(jīng)引起很多企業(yè)的重視,但大多數(shù)企業(yè)往往側(cè)重于加強(qiáng)技術(shù)措施,如購買先進(jìn)的防火墻軟件,采用更高級(jí)的加密方法等,很多企業(yè)認(rèn)為:員工泄密的安全事故只是偶然現(xiàn)象,很少從人員管理的角度來探討出現(xiàn)這些事故的根本原因?！爸丶夹g(shù)、輕管理”是當(dāng)前很多電子商務(wù)企業(yè)的通病。由于管理手段不到位,很多先進(jìn)的安全技術(shù)無法發(fā)揮應(yīng)有的效能。之所以出現(xiàn)上述問題,主要有以下原因:

    首先,很多企業(yè)管理高層對人員管理在信息安全中的地位認(rèn)識(shí)不足。大多數(shù)企業(yè)將電子商務(wù)網(wǎng)絡(luò)作為一項(xiàng)純粹的技術(shù)工程來實(shí)施,企業(yè)內(nèi)部缺乏系統(tǒng)的安全管理策略,只是被動(dòng)的使用一些技術(shù)措施來進(jìn)行防御,因此電子商務(wù)過程中一旦出現(xiàn)突發(fā)性事件,往往造成很大的經(jīng)濟(jì)損失?，F(xiàn)實(shí)中沒有一個(gè)網(wǎng)絡(luò)系統(tǒng)是完美無缺的,不安全因素隨時(shí)存在。因此,安全管理措施必須滲透到系統(tǒng)的每一個(gè)環(huán)節(jié)和企業(yè)組織的~個(gè)層面,只有構(gòu)建一個(gè)人與技術(shù)相結(jié)合的安全管理體系,才能確保整個(gè)電子商務(wù)系統(tǒng)得安全。

    企業(yè)沒有從整體上、有計(jì)劃地考慮信息安全問題。企業(yè)各部門、各下屬機(jī)構(gòu)都存在“各自為政的局面,缺少統(tǒng)一規(guī)劃、設(shè)計(jì)和管理信息安全強(qiáng)調(diào)的是整體上的信息安全性,而不僅是某一個(gè)部門或公司的信息安全。而各部門、各公司又確實(shí)存在個(gè)體差異,對于不同業(yè)務(wù)領(lǐng)域來說,信息安全具有不同的涵義和特征,信息安全保障體系的戰(zhàn)略性必須涵蓋各部門和各公司的信息安全保障體系的相關(guān)內(nèi)容。

    缺少信息安全管理配套的人力、物力和財(cái)力。人才是信息安全保障工作的關(guān)鍵。信息安全保障工作的專業(yè)性、技術(shù)性很強(qiáng),沒有一批業(yè)務(wù)能力強(qiáng),且具有信息網(wǎng)絡(luò)知識(shí)、信息安全技術(shù)、法律知識(shí)和管理能力的復(fù)合型人才和專門人才,就不可能做好信息安全保障工作。應(yīng)該從信息安全建設(shè)和管理對信息安全人才的實(shí)際需求出發(fā),加快信息安全人才的培養(yǎng)。

    企業(yè)對員工的信息安全教育不夠。員工的信息安全意識(shí)薄弱,9O%的安全事故是由于人為疏忽所造成。如有些企業(yè)不限制內(nèi)部人員使用各種高科技信息載體,如U盤、移動(dòng)硬盤以及筆記本等移動(dòng)辦公設(shè)備。

    3、加強(qiáng)電子商務(wù)安全管理的建議

    電子商務(wù)信息安全管理實(shí)踐表明,大多數(shù)安全問題是由于管理不善造成的。安全管理是一項(xiàng)系統(tǒng)工程,不僅涉及到企業(yè)的組織架構(gòu)、信息技術(shù)、人員素質(zhì)等各個(gè)方面,還牽扯到國家法律和商業(yè)規(guī)則。企業(yè)內(nèi)部存在著諸多影響信息安全的因素:改變lT系統(tǒng)不等于改變企業(yè)的信息安全管理,要使企業(yè)信息盡可能的安全,必須在技術(shù)投人的基礎(chǔ)上融人人在管理方面的智慧i同時(shí),不僅要防外,更要防內(nèi),即對組織內(nèi)部人員的管理。信息安全問題的解決需要技術(shù),但又不能單純依靠技術(shù)。整個(gè)電子商務(wù)的交易過程,是人與技術(shù)相互融合的過程,如何使管理與技術(shù)相得益彰十分重要?！叭旨夹g(shù),七分管理”闡述了信息安全的本質(zhì)。

    電子商務(wù)的安全管理,就是通過一個(gè)完整的綜合保障體系,來規(guī)避信息傳輸風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn),以保證網(wǎng)上交易的順利進(jìn)行。網(wǎng)上交易安全管理,應(yīng)采用綜合防范的思路,一是技術(shù)方面的考慮,如防火墻技術(shù)、網(wǎng)絡(luò)防毒、信息加密、身份認(rèn)證、授權(quán)等,但必須明確,只有技術(shù)措施并不能完全保證網(wǎng)上交易的安全。二是必須加強(qiáng)監(jiān)管,建立各種有關(guān)的合理制度,并加強(qiáng)嚴(yán)格監(jiān)督,如建立交易的安全制度、交易安全的實(shí)時(shí)監(jiān)控、提供實(shí)時(shí)改變安全策略的能力、對現(xiàn)有的安全系統(tǒng)漏洞的檢查以及安全教育等。為了加強(qiáng)企業(yè)電子商務(wù)的信息安全,我們提出如下建議:

    (1)提高網(wǎng)絡(luò)安全防范意識(shí)。

    現(xiàn)在許多企業(yè)沒有意識(shí)到互聯(lián)網(wǎng)的易受攻擊性,盲目相信國外的加密軟件,對于系統(tǒng)的訪問權(quán)限和密鑰缺乏有力度的管理。這樣的系統(tǒng)一旦受到攻擊將十分脆弱,其中的機(jī)密數(shù)據(jù)得不到應(yīng)有的保護(hù)。據(jù)調(diào)查,目前國內(nèi)90%的網(wǎng)站存在安全問題,其主要原因是企業(yè)管理者缺少或沒有安全意識(shí)。某些企業(yè)網(wǎng)絡(luò)管理員甚至認(rèn)為其公司規(guī)模較小,不會(huì)成為黑客的攻擊目標(biāo),如此態(tài)度,網(wǎng)絡(luò)安全更是無從談起。應(yīng)該定期由公司或安全管理小組承辦信息安全講座,只有提高網(wǎng)絡(luò)安全防范意識(shí),才能有效的減少信息安全事故的發(fā)生。

    (2)建立電子商務(wù)安全管理組織體系。

    一個(gè)完整的信息安全管理體系首先應(yīng)建立完善的組織體系。即建立由行政領(lǐng)導(dǎo)、IT技術(shù)主管、信息安全主管、本系統(tǒng)用戶代表和安全顧問組成的安全決策機(jī)構(gòu)。其職責(zé)是建立管理框架,組織審批安全策略、安全管理制度,指派安全角色,分配安全職責(zé),并檢查安全職責(zé)是否已被正確履行,核準(zhǔn)新信息處理設(shè)施的啟用、組織安全管理專題會(huì)等。還應(yīng)建立由網(wǎng)絡(luò)管理員、系統(tǒng)管理員、安全管理員、用戶管理員等組成的安全執(zhí)行機(jī)構(gòu)。該機(jī)構(gòu)負(fù)責(zé)起草網(wǎng)絡(luò)系統(tǒng)的安全策略、執(zhí)行批準(zhǔn)后的安全策略、日常的安全運(yùn)行和維護(hù)、定期的培訓(xùn)和安全檢查等。如果需要,還可建立安全顧問機(jī)構(gòu)。安全顧問機(jī)構(gòu)可聘請信息安全專家擔(dān)任系統(tǒng)安全顧問,負(fù)責(zé)提供安全建議,特別是在安全事故或違反安全策略事件發(fā)生后,可以被安全決策機(jī)構(gòu)指定負(fù)責(zé)事故(事件)調(diào)查,并為安全策略評(píng)審和評(píng)估提供意見。

    (3)制定符合機(jī)構(gòu)安全需求的信息安全策略。電子商務(wù)交

    易過程中,需要明確的安全策略主要包括客戶認(rèn)證策略、加密策略、日常維護(hù)策略、防病毒策略等安全技術(shù)方案的選擇。安全執(zhí)行機(jī)構(gòu)應(yīng)根據(jù)本信息網(wǎng)絡(luò)的實(shí)際情況制定相應(yīng)的信息安全策略,策略中應(yīng)明確安全的定義、目標(biāo)、范圍和管理責(zé)任,并制定安全策略的實(shí)施細(xì)則。安全策略文檔要由安全決策機(jī)構(gòu)審查、批準(zhǔn),并和傳達(dá)給所有的人安全策略還應(yīng)由安全決策機(jī)構(gòu)定期進(jìn)行有效性審查和評(píng)估:在發(fā)生重大的安全事故、發(fā)現(xiàn)新的脆弱性、組織體系或技術(shù)上發(fā)生變更時(shí),應(yīng)重新進(jìn)行安全策略的審查和評(píng)估。

    (4)人員安全的管理和培訓(xùn)

    參與網(wǎng)上交易的經(jīng)營管理人員在很大程度上支配著企業(yè)的命運(yùn),他們承擔(dān)著防范網(wǎng)絡(luò)犯罪的任務(wù)。而計(jì)算機(jī)網(wǎng)絡(luò)犯罪同一般犯罪不同的是,他們具有智能性、隱蔽性、連續(xù)性、高效性的特點(diǎn),因而,加強(qiáng)對有關(guān)人員的管理變得十分重要。首先,在人員錄用時(shí)應(yīng)做好人員鑒別,人員錄用或人員職位調(diào)整時(shí),一般要簽署保密協(xié)議。當(dāng)人員到期離開或協(xié)議到期、工作終止時(shí),要審查保密協(xié)議。其次對有關(guān)人員進(jìn)行上崗培訓(xùn),建立人員培訓(xùn)計(jì)劃,定期組織安全策略和規(guī)程方面的培訓(xùn)。第三,落實(shí)工作責(zé)任制,在崗位職責(zé)中明確本崗位執(zhí)行安全政策的常規(guī)職責(zé)和本崗位保護(hù)特定資產(chǎn)、執(zhí)行特定安全過程或活動(dòng)的特別職責(zé),對違反網(wǎng)上交易安全規(guī)定的人員要進(jìn)行及時(shí)的處理。第四,貫徹網(wǎng)上交易安全運(yùn)作基本原則,包括職責(zé)分離、雙人負(fù)責(zé)、任期有限、最小權(quán)限、個(gè)人可信賴性等。

    (5)增強(qiáng)法律意識(shí),促進(jìn)電子商務(wù)立法

    面對電子商務(wù)這種新型的貿(mào)易形式,我國目前尚無專門法規(guī)可依,使得部分違法犯罪人員沒有得到應(yīng)有的懲罰。近幾年里,國家加強(qiáng)了這方面的投入。在全國性的立法文件中,《合同法》的部分條款可以看作是針對電子商務(wù)的立法。此外,廣東省制定的《廣東省電子交易管理?xiàng)l例》這個(gè)地方性的法規(guī)可以看作是對加快我國電子商務(wù)立法的有益探索。《中華人民共和國電子簽名法》是對主要用于電子商務(wù)活動(dòng),電子政務(wù)等其他應(yīng)用應(yīng)該有新的適用法規(guī)。

篇4

電子商務(wù)出現(xiàn)安全問題的原因是多方面，主要有以下幾種：

1、企業(yè)管理缺乏對于人員管理的認(rèn)識(shí)。

如今，很多企業(yè)都認(rèn)為電子商務(wù)僅僅在于技術(shù)而非人員管理，因此，企業(yè)在管理當(dāng)中也會(huì)自覺地把電子商務(wù)當(dāng)做一項(xiàng)技術(shù)來研究管理，缺乏對于企業(yè)內(nèi)?a href="xuexila.com/yangsheng/kesou/" target="_blank">咳嗽鋇南低徹芾恚皇墻屑際豕タ死唇邪踩喙堋R虼?，覊末企覔v⑸宋薹植溝木盟鶚?，?9討吹娜銜羌際醪還厝塹幕觶斐賞環(huán)⑹錄搗ⅰD殼埃詮芾淼敝忻揮幸桓魷嘍醞暾耐綣芾硐低癡饈悄贛怪靡傻?，铜h(huán)⑹錄媸倍伎贍艽嬖?，因此，安全管?a href="xuexila.com/fanwen/cuoshi/" target="_blank">措施就必須要管理到電子商務(wù)的每一個(gè)角落和環(huán)節(jié)當(dāng)中，只有是人與與技術(shù)相結(jié)合，才能夠保證電子商務(wù)安全的進(jìn)行下去。

2、企業(yè)規(guī)劃當(dāng)中沒有詳細(xì)的考慮信息安全問題

在電子商務(wù)安全的管理當(dāng)中，并不是僅僅依靠一個(gè)部分或幾個(gè)部門，而是整個(gè)企業(yè)的所有部門來維護(hù)和監(jiān)管，雖然，各部門在職能的分工上各有不同，各有優(yōu)勢也存在差異，但是信息安全是每個(gè)部門都必須要重視的事情。信息安全保障體系必須是各部門整體的協(xié)調(diào)統(tǒng)一，才能夠確保信息安全體系的有效管理。

3、企業(yè)缺乏相應(yīng)的安全管理人力

企業(yè)在進(jìn)行信息安全管理當(dāng)中，很容易忽視對于信息安全管理的物質(zhì)基礎(chǔ)，在信息管理當(dāng)中人才是保障信息安全的重中之重，信息安全是一項(xiàng)技術(shù)性活，假如缺乏業(yè)務(wù)能力強(qiáng)并且具備信息安全網(wǎng)絡(luò)知識(shí)、技術(shù)、法律知識(shí)和管理能力的人才，就不可能把安全管理做好，電子商務(wù)安全管理就沒有保障，容易導(dǎo)致信息的丟失和安全的缺乏。

4、企業(yè)對人員關(guān)于信息安全的宣傳不到位

很多企業(yè)度忽視對于內(nèi)部工作人員的信息安全的培訓(xùn)，這樣就容易導(dǎo)致內(nèi)部人員的信息安全意識(shí)薄弱，等不到企業(yè)安全管理的目的，因此就可能導(dǎo)致安全事故的發(fā)生，如今絕大部分的安全信息泄密事件都是由于參與網(wǎng)絡(luò)交易的人員信息安全意識(shí)的缺乏而發(fā)生的，這就是企業(yè)在安全管理上的疏忽造成經(jīng)濟(jì)的損失。

二、電子商務(wù)安全管理體制的建議

網(wǎng)上交易安全管理必須采用較為綜合的管理思路，從技術(shù)考慮確保技術(shù)能夠跟得上時(shí)代的潮流，加強(qiáng)安全監(jiān)管建立合法的管理制度，杜絕信息的泄密，對交易安全進(jìn)行實(shí)時(shí)監(jiān)控等等手段來保障安全，因此本文提出電子商務(wù)安全管理建議如下：

1、企業(yè)需提高網(wǎng)絡(luò)安全防范的意識(shí)

目前，很多國內(nèi)的網(wǎng)站都存在網(wǎng)絡(luò)上的安全問題，主要是管理者沒有重視安全的監(jiān)管，甚至一些企業(yè)認(rèn)為自己的公司規(guī)模小不具備安全管理的經(jīng)驗(yàn)甚至是不需要進(jìn)行安全的管理，因?yàn)椴粫?huì)成為黑客攻擊的目標(biāo)，這樣的安全監(jiān)管就無從談起。因此，不管是大企業(yè)還是小企業(yè)都需要樹立其安全管理的意識(shí)，定期舉辦安全信息培訓(xùn)，只有是提高網(wǎng)絡(luò)安全的防范意識(shí)才能夠避免信息泄露的事故發(fā)生。

2、加強(qiáng)電子商務(wù)安全管理組織上的體系

電子商務(wù)安全管理最主要的是組織上需要更加的完善，因此需要建立行政指揮領(lǐng)導(dǎo)、技術(shù)人才管理、信息安全監(jiān)管以及安全顧問等等的安全決策，而他們的職責(zé)是建立相對完整的組織機(jī)構(gòu)，組織安全策略、分配安全職責(zé)并且定期檢查安全職責(zé)是否按時(shí)旅行等等。不僅如此，企業(yè)還需要建立起網(wǎng)絡(luò)安全員、管理員等等的安全執(zhí)行機(jī)構(gòu)，能夠負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)的安全策略和日常的安全運(yùn)行維護(hù)檢查等。而安全顧問也必不可少，可以聘請安全專家負(fù)責(zé)提供安全的建議，尤其是在突發(fā)事故發(fā)生后，安全顧問就顯得特別重要，可以被安全決策機(jī)構(gòu)負(fù)責(zé)事故的調(diào)查并且能夠提出相對合理的評(píng)估意見與建議等。

3、加強(qiáng)人員的安全管理意識(shí)

在網(wǎng)絡(luò)交易的時(shí)候大部分都是內(nèi)部人員參與網(wǎng)絡(luò)交易，因此，他們更容易進(jìn)行網(wǎng)絡(luò)犯罪，而他們在違法過程中比其他的違法人員具有更大的隱蔽性和高效性。因而企業(yè)需要加強(qiáng)人員的監(jiān)管，可以先從人員的錄用上進(jìn)行人員的甄選，在人員的錄用過程當(dāng)中要簽署保密協(xié)議，當(dāng)人員到期或者合同終止時(shí)也需要簽署保密協(xié)議。其次還可以對內(nèi)部人員進(jìn)行在崗培訓(xùn)，建立起人員的安全意識(shí)，定期組織安全策略練習(xí)和規(guī)程方面的操作等。第三，還可以讓企業(yè)人員明確本崗位的安全政策和職責(zé)，對違反網(wǎng)絡(luò)交易的人員要進(jìn)行相應(yīng)的處罰，情節(jié)嚴(yán)重時(shí)可讓其承擔(dān)法律責(zé)任。[1]

4、企業(yè)需加強(qiáng)法律意識(shí)，并促進(jìn)電子商務(wù)有法可依

如今，電子商務(wù)的發(fā)展越來越快速，企業(yè)也從電子商務(wù)的交易上獲得了巨大的經(jīng)濟(jì)效益，但是在目前來看，我國卻沒有電子商務(wù)相對應(yīng)的法律依據(jù)，這樣容易使得部分犯罪人員得不到相應(yīng)的處罰，當(dāng)然，我國也在電子商務(wù)的立法上逐漸的完善，但是到雖然在電子商務(wù)上信息安全取得了一些成績，卻總體來說法律依舊還是不健全的，對于電子商務(wù)的安全保護(hù)依舊是缺少，專門的法律還是比較的分散，并且法律的效率依舊還是不高，面對這樣的新型情況的突發(fā)，還是缺乏有力性和有效性，適應(yīng)性相對較弱，因此，國家的對于電子商務(wù)的專門立法需要各個(gè)企業(yè)和國家的有關(guān)部門不斷地摸索，才能夠讓電子商務(wù)的立法環(huán)境得到良好的發(fā)展。[2]

篇5

2）電子商務(wù)的特點(diǎn)：（1）電子商務(wù)將傳統(tǒng)的商務(wù)流程電子化、數(shù)字化。不僅以電子流代替了實(shí)物流，大量減少了人力物力，降低了成本；而且突破了時(shí)間空間的限制，使得交易活動(dòng)可在任何時(shí)間、任何地點(diǎn)進(jìn)行，大大提高了效率。（2）電子商務(wù)使企業(yè)能以較低成本進(jìn)入全球電子化市場,也使中小企業(yè)可能擁有與大企業(yè)一樣的信息資源，提高了中小企業(yè)的競爭能力。（3）電子商務(wù)重新定義了傳統(tǒng)的流通模式，減少了中間環(huán)節(jié)，使得生產(chǎn)者和消費(fèi)者的直接交易成為可能，從而一定程度上改變了社會(huì)經(jīng)濟(jì)的運(yùn)行方式。（4）電子商務(wù)提供了豐富的信息資源，為社會(huì)經(jīng)濟(jì)要素的重新組合提供了更多的可能，這將影響到社會(huì)的經(jīng)濟(jì)布局和結(jié)構(gòu)。

2電子商務(wù)安全的技術(shù)體系

1）物理安全。首先根據(jù)國家標(biāo)準(zhǔn)、信息安全等級(jí)和資金狀況，制定適合的物理安全要求，并經(jīng)建設(shè)和管理達(dá)到相關(guān)標(biāo)準(zhǔn)[2]。再者，關(guān)鍵的系統(tǒng)資源（包括主機(jī)、應(yīng)用服務(wù)器、安全隔離網(wǎng)閘GAP等設(shè)備），通信電路以及物理介質(zhì)（軟/硬磁盤、光盤、IC卡、PC卡等）、應(yīng)有加密、電磁屏蔽等保護(hù)措施，均應(yīng)放在物理上安全的地方。

2）網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易順利進(jìn)行，要求電子商務(wù)平臺(tái)要穩(wěn)定可靠，能夠不中斷地提供服務(wù)。系統(tǒng)的任何中斷（如硬件、軟件錯(cuò)誤，網(wǎng)絡(luò)故障、病毒等）都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作，而使貿(mào)易數(shù)據(jù)在確定的時(shí)刻和地點(diǎn)的有效性得不到保證，往往會(huì)造成巨大的經(jīng)濟(jì)損失。

3）商務(wù)安全。主要是指商務(wù)交易在網(wǎng)絡(luò)媒介中出現(xiàn)的安全問題，包括防止商務(wù)信息被竊取、篡改、偽造、交易行為被抵賴，即要實(shí)現(xiàn)電子商務(wù)的保密性、完整性、真實(shí)性、不可抵賴性。商務(wù)安全的各方面也要通過不同的網(wǎng)絡(luò)安全技術(shù)和安全交易標(biāo)準(zhǔn)實(shí)現(xiàn)，加解密技術(shù)保證了交易信息的保密性，也解決了用戶密碼被****的問題；數(shù)字簽名是實(shí)現(xiàn)對原始報(bào)文完整性的鑒別，它與身份認(rèn)證和審查系統(tǒng)一起可杜絕交易的偽造和抵賴行為。保證電子商務(wù)安全的主要技術(shù)有：在線支付協(xié)議（安全套接層SSL協(xié)議和安全電子交易SET協(xié)議）、文件加密技術(shù)、數(shù)字簽名技術(shù)、電子商務(wù)認(rèn)證中心（CA）。

4）系統(tǒng)安全。主要是保護(hù)主機(jī)上的操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng)的安全。對于保護(hù)系統(tǒng)安全，總體思路是：通過安全加固，解決管理方面安全漏洞；然后采用安全技術(shù)設(shè)備，增強(qiáng)其安全防護(hù)能力。

3安全管理過程監(jiān)督

3.1加強(qiáng)全過程的安全管理

1）網(wǎng)絡(luò)規(guī)劃階段，就要加強(qiáng)對信息安全建設(shè)和管理的規(guī)劃。信息安全建設(shè)需要投入一定的人力、物力、財(cái)力。要根據(jù)狀況實(shí)事求是地確定網(wǎng)絡(luò)的安全總體目標(biāo)和階段目標(biāo)、分段實(shí)施、降低投資風(fēng)險(xiǎn)。2）工程建設(shè)階段，建設(shè)管理單位要將安全需求的匯總和安全性能功能的測試，列入工程建設(shè)各個(gè)階段工作的重要內(nèi)容，要加強(qiáng)對開發(fā)（實(shí)施）人員、版本控制的管理，要加強(qiáng)對開發(fā)環(huán)境、用戶路由設(shè)置、關(guān)鍵代碼的檢查[3]。3）在運(yùn)行維護(hù)階段，要注意以下事項(xiàng)：(1)建立有效的安全管理組織架構(gòu)，明確職責(zé)，理順流程，實(shí)施高效管理。(2)按照分級(jí)管理原則，嚴(yán)格管理內(nèi)部用戶帳號(hào)和密碼，進(jìn)入系統(tǒng)內(nèi)部必須通過嚴(yán)格的身份確認(rèn)，防止非法占用、冒用合法用戶帳號(hào)和密碼。(3)制定完善的安全管理制度，加強(qiáng)信息網(wǎng)的操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)運(yùn)行維護(hù)過程的安全管理。(4)要建立應(yīng)急預(yù)察體系，建立網(wǎng)絡(luò)安全維護(hù)日志，記錄與安全性相關(guān)的信息及事件，有情況出現(xiàn)時(shí)便于跟蹤查詢，還要定期檢查日志，以便及時(shí)發(fā)現(xiàn)潛在的安全威脅。

3.2建立動(dòng)態(tài)的閉環(huán)管理流程

網(wǎng)絡(luò)處于不斷地建設(shè)和調(diào)整中，可能發(fā)現(xiàn)新的安全漏洞，因此需要建立動(dòng)態(tài)的、閉環(huán)的管理流程。要在整體安全策略的控制和指導(dǎo)下，通過安全評(píng)估和檢測工具（如漏洞掃描，入侵檢測等）及時(shí)了解網(wǎng)絡(luò)存在的安全問題和安全隱患，據(jù)此制定安全建設(shè)規(guī)劃和加固方案，綜合應(yīng)用各種安全防護(hù)產(chǎn)品（如防火墻、身份認(rèn)證等手段），將系統(tǒng)調(diào)整到相對安全的狀態(tài)。并要注意以下兩點(diǎn)：1）對于一個(gè)企業(yè)而言，安全策略是支付信息安全的核心，因此制定明確的有效的安全策略是非常重要的。安全組織要根據(jù)這個(gè)策略制定詳細(xì)的流程、規(guī)章制度、標(biāo)準(zhǔn)和安全建設(shè)規(guī)劃、方案，保證這些系列策略規(guī)范在整個(gè)企業(yè)范圍內(nèi)貫徹實(shí)施，從而保護(hù)企業(yè)的投資和信息資源安全。2）要制定完善的、符合企業(yè)實(shí)際的信息安全策略，就須先對企業(yè)信息網(wǎng)的安全狀況進(jìn)行評(píng)估，即對信息資產(chǎn)的安全技術(shù)和管理現(xiàn)狀進(jìn)行評(píng)估，讓企業(yè)對自身面臨的安全威脅和問題有全面的了解，從而制定針對性的安全策略，指導(dǎo)信息安全的建設(shè)和管理工作。

篇6

[關(guān)鍵詞]

計(jì)算機(jī)；電子商務(wù)；網(wǎng)絡(luò)安全

1計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在電子商務(wù)中的應(yīng)用優(yōu)勢

現(xiàn)代化計(jì)算機(jī)技術(shù)主要是根據(jù)電子商務(wù)行業(yè)的特點(diǎn)，主要運(yùn)用在認(rèn)識(shí)、實(shí)驗(yàn)、生產(chǎn)等過程中，能夠充分反映電子商務(wù)行業(yè)的發(fā)展過程，使得電子商務(wù)技術(shù)人員能夠在發(fā)展環(huán)境中高效進(jìn)行技術(shù)創(chuàng)新，進(jìn)而激發(fā)電子商務(wù)人員進(jìn)行技術(shù)創(chuàng)新。由于計(jì)算機(jī)網(wǎng)絡(luò)資源主要有硬件資源和軟件資源這兩類，因而優(yōu)化和合理配置計(jì)算機(jī)網(wǎng)絡(luò)軟件資源，對提升計(jì)算機(jī)軟件的監(jiān)控、管理和維護(hù)工作具有重要的實(shí)踐意義。優(yōu)化和創(chuàng)新計(jì)算機(jī)安全管理軟件有利于實(shí)現(xiàn)計(jì)算機(jī)安全工作的合理組織，為計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展提供了完整的邏輯功能，有利于優(yōu)化計(jì)算機(jī)網(wǎng)絡(luò)安全環(huán)境，提高計(jì)算機(jī)人員的創(chuàng)新意識(shí)和能力，提高電子商務(wù)人員的專業(yè)素質(zhì)和綜合素質(zhì)，有利于培養(yǎng)計(jì)算機(jī)技術(shù)人員在實(shí)踐中發(fā)現(xiàn)安全問題的意識(shí)和解決問題的能力。

2電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀

電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全問題主要有電子商務(wù)技術(shù)人員的綜合素質(zhì)較低，電子商務(wù)技術(shù)人員的執(zhí)行力度比較弱，導(dǎo)致收益較少。具體而言，由于電子商務(wù)普遍存在計(jì)算機(jī)網(wǎng)絡(luò)安全問題，因而使得電子商務(wù)人員對電子商務(wù)應(yīng)用體系的構(gòu)建和完善很難形成完整的認(rèn)識(shí)，這十分不利于電子商務(wù)技術(shù)人員專業(yè)素質(zhì)的提高。大多數(shù)技術(shù)人員在應(yīng)用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的過程中，往往缺乏實(shí)踐經(jīng)驗(yàn)和清晰的思路。作為發(fā)展世界經(jīng)濟(jì)的主導(dǎo)性產(chǎn)業(yè)的電子商務(wù)產(chǎn)業(yè)，其電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)改革雖然開啟了研發(fā)空間，但是也存在電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全功能指標(biāo)不斷下降的問題，嚴(yán)重限制了電子商務(wù)的技術(shù)創(chuàng)新手段，無法實(shí)現(xiàn)對電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)服務(wù)平臺(tái)的安全管理，嚴(yán)重制約了電子商務(wù)信息資源的有效傳播。

3推進(jìn)電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全改革的必要性

隨著電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的快速發(fā)展，完善電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)設(shè)備的日常管理工作，有利于使電子商務(wù)充分利用計(jì)算機(jī)技術(shù)的相關(guān)資源。為了滿足電子商務(wù)的發(fā)展需求，計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)設(shè)備的資源必須是優(yōu)秀可靠的，重視電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備的日常維護(hù)工作，建立一個(gè)可靠合理的電子商務(wù)計(jì)算機(jī)網(wǎng)絡(luò)安全管理機(jī)制變得至關(guān)重要。為了保障電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在一種穩(wěn)定有效的環(huán)境中推廣運(yùn)用，電子商務(wù)行業(yè)應(yīng)當(dāng)進(jìn)一步提高電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)人員的技術(shù)水準(zhǔn)，使得技術(shù)人員能夠熟練掌握各種計(jì)算機(jī)網(wǎng)絡(luò)安全儀器設(shè)備的使用方法，實(shí)現(xiàn)電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)設(shè)備維修管理的合理性，推動(dòng)電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的改革，有利于保證我國電子商務(wù)的持續(xù)快速發(fā)展。

4電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全的創(chuàng)新策略

4.1完善電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全的操作規(guī)范和流程完善電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)改革的操作規(guī)范和流程，有利于提高電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)功能，提高電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全信息傳輸?shù)男?，?shí)現(xiàn)與電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的高度融合。合理配置電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)信息資源，優(yōu)化我國電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的創(chuàng)新工作，對提升我國電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的運(yùn)行效率至關(guān)重要。因而，必須優(yōu)化電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)改革的信息傳輸、定位工作，實(shí)現(xiàn)電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全管理流程的不斷完善。要求電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)人員做好改革的計(jì)劃和調(diào)查工作，合理編制電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)改革的建設(shè)方案和流程。電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)人員在進(jìn)行改革過程中，應(yīng)當(dāng)明確分工，嚴(yán)格按照電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)改革計(jì)劃，促進(jìn)電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)改革的項(xiàng)目建設(shè)和驗(yàn)收、評(píng)價(jià)等工作的順利進(jìn)行。

4.2提升我國電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的整體質(zhì)量為了實(shí)現(xiàn)我國信息網(wǎng)絡(luò)技術(shù)與高效智能化電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的完美接軌，電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的管理人員應(yīng)當(dāng)在滿足社會(huì)成員對電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)的規(guī)?；枨髼l件下，不斷完善電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的質(zhì)量控制，實(shí)現(xiàn)電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)傳送數(shù)據(jù)的完整性和信息的安全性。因而，電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全管理人員在提升計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)質(zhì)量的同時(shí)，不能忽略電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)發(fā)展的實(shí)際情況，應(yīng)不斷引導(dǎo)電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)人員嚴(yán)格遵守計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)規(guī)程，不斷引入現(xiàn)代化的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)，保障我國電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)改革的質(zhì)量，適時(shí)融入到電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全的管理和制度建設(shè)過程中，提升電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)人員的專業(yè)性。

5結(jié)語

綜上所述，電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的科學(xué)化和信息化建設(shè)對完善我國電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全的改革策略至關(guān)重要。為了實(shí)現(xiàn)電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)改革的科學(xué)化和現(xiàn)代化目標(biāo)，保證電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全信息高質(zhì)量地傳送，不僅有利于有效保障電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備的安全運(yùn)行，為未來電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的發(fā)展指明道路，還有利于提高電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的效率，促進(jìn)電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的全面提高。

[參考文獻(xiàn)]

[1]李嘉欣.電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全改革的未來發(fā)展策略[J].科學(xué)技術(shù)，2014（11）.

篇7

一、背景介紹

隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，電子商務(wù)作為一種新的商務(wù)系統(tǒng)得到了廣泛的應(yīng)用。目前電子商務(wù)的使用越來越廣，電子商務(wù)的安全性成為人們關(guān)注的焦點(diǎn)。事實(shí)上，電子商務(wù)由于黑客的入侵，系統(tǒng)存在的安全漏洞而造成各方面的損失的報(bào)道也屢見不鮮。因此，電子商務(wù)的開發(fā)設(shè)計(jì)必須要把安全作為應(yīng)用系統(tǒng)的一個(gè)重要的方面加入到電子商務(wù)系統(tǒng)的開發(fā)的整體設(shè)計(jì)中來。

當(dāng)前電子商務(wù)應(yīng)用的主流開發(fā)技術(shù)則是以J2EE為主,J2EE(Java 2 Platform Enterprise Edition)是美國Sun公司推出的多層企業(yè)應(yīng)用開發(fā)模型。J2EE簡化了基于工業(yè)標(biāo)準(zhǔn)的、組件化的企業(yè)應(yīng)用開發(fā)，提供了一套完整的企業(yè)應(yīng)用的開發(fā)框架和服務(wù)的支持。由于J2EE完善和靈活的框架設(shè)計(jì)、強(qiáng)大服務(wù)支持等優(yōu)點(diǎn)，使其迅速成為電子商務(wù)應(yīng)用系統(tǒng)開發(fā)的主流技術(shù)。本文則主要介紹了如何在基于J2EE的電子商務(wù)系統(tǒng)設(shè)計(jì)中加入安全架構(gòu)的設(shè)計(jì)，并介紹了安全架構(gòu)設(shè)計(jì)中的一些概念和實(shí)現(xiàn)技術(shù)。

二、電子商務(wù)的安全架構(gòu)及其概念

電子商務(wù)的安全架構(gòu)的根本目標(biāo)是為了實(shí)現(xiàn)對用戶訪問系統(tǒng)和使用系統(tǒng)資源進(jìn)行控制，達(dá)到合法用戶合法使用系統(tǒng)的目的，因此在電子商務(wù)中采用的安全架構(gòu)一般涉及到以下幾個(gè)概念:

1.合法用戶:合法用戶是指通過驗(yàn)證的，擁有一定系統(tǒng)使用權(quán)限的用戶。當(dāng)一個(gè)用戶進(jìn)入系統(tǒng)時(shí)，只要通過驗(yàn)證后才可以獲得進(jìn)入系統(tǒng)的資格和使用系統(tǒng)的權(quán)限。

2.角色:由于一個(gè)電子商務(wù)系統(tǒng)可能對不同的用戶給予不同的權(quán)限。如果對每個(gè)用戶都要進(jìn)行權(quán)限的設(shè)置，這樣的做法顯然是不合理的，因此在電子商務(wù)系統(tǒng)中一般將相同使用權(quán)限的用戶歸并成一類，稱之為角色，相同的角色擁有相同的系統(tǒng)使用權(quán)限。

3.安全域:是一個(gè)邏輯范圍或區(qū)域，在這一范圍或區(qū)域中安全服務(wù)的管理員定義和實(shí)施通用的安全策略。它是比角色更高的層的抽象。一個(gè)組織可以劃分成眾多的安全域，而一個(gè)安全域中可以包含眾多的角色。

4.資源:泛指電子商務(wù)系統(tǒng)中可以被用戶使用，訪問的有價(jià)值信息。比如說報(bào)價(jià)系統(tǒng)，訂單系統(tǒng)等都屬于電子商務(wù)系統(tǒng)的資源。

5.映射:映射是電子商務(wù)將一個(gè)合法用戶與系統(tǒng)內(nèi)的某個(gè)角色相關(guān)聯(lián)的動(dòng)作，從而該合法用戶即擁有對應(yīng)角色的系統(tǒng)使用權(quán)限。一個(gè)用戶可以在不同的策略配置下對應(yīng)不同的角色，達(dá)到實(shí)現(xiàn)系統(tǒng)用戶權(quán)限管理的靈活性。

以上述的概念可知，一個(gè)組織的電子商務(wù)系統(tǒng)的安全架構(gòu)可以首先看成是由安全域組成的，每個(gè)安全域內(nèi)包含了眾多的角色和資源。用戶通過驗(yàn)證后進(jìn)入系統(tǒng)，即根據(jù)其所屬安全域的安全配置策略被映射到其對應(yīng)的角色上，從而擁有該角色使用系統(tǒng)的權(quán)限。

三、電子商務(wù)的安全架構(gòu)設(shè)計(jì)

1.用戶身份驗(yàn)證:用戶身份認(rèn)證是用戶進(jìn)入系統(tǒng)的第一步，也是系統(tǒng)安全性保障的基本前提，用戶身份驗(yàn)證有很多種方式和實(shí)現(xiàn)技術(shù)，就J2EE而言，主要有通過WEB客戶端來實(shí)現(xiàn)對用戶的身份驗(yàn)證和基于應(yīng)用程序客戶端驗(yàn)證兩種方式， J2EE中提供了三種基于WEB客戶端的用戶身份驗(yàn)證技術(shù)，主要有HTTP基本驗(yàn)證，基于表單的驗(yàn)證，基于客戶端證書的驗(yàn)證。而利用基于應(yīng)用程序客戶端驗(yàn)證的方式，這種方式主要是通過應(yīng)用程序客戶端在運(yùn)行前由其應(yīng)用程序客戶端容器來完成驗(yàn)證過程。

2.安全域的劃分:安全域涉及到更高抽象層的安全策略的配置，因此安全域的劃分一般是依據(jù)電子商務(wù)系統(tǒng)用戶所屬組織的結(jié)構(gòu)來劃分。

3.用戶角色設(shè)置主要是根據(jù)用戶使用系統(tǒng)的需求來進(jìn)行設(shè)置，將相同使用權(quán)限需求的用戶歸并為一類，設(shè)置成相同的角色。并針對該角色依據(jù)最小有限使用權(quán)限的原則配置該角色在系統(tǒng)中的使用權(quán)限。最后根據(jù)角色和權(quán)限配置，再結(jié)合實(shí)際的使用情況設(shè)置詳細(xì)的安全管理策略。

4.以上第二、第三步驟主要集中在電子商務(wù)的安全管理邏輯設(shè)計(jì)，當(dāng)邏輯設(shè)計(jì)完成后，就需要將邏輯的安全管理規(guī)則在電子商務(wù)系統(tǒng)中予以實(shí)現(xiàn)，在電子商務(wù)系統(tǒng)中加入安全管理功能模塊。具有的實(shí)現(xiàn)方式有多種，以下本文將簡要說明在電子商務(wù)應(yīng)用系統(tǒng)中加入用戶權(quán)限控制的過程和方法。

四、應(yīng)用舉例

在J2EE的架構(gòu)中實(shí)現(xiàn)對用戶訪問權(quán)限的控制主要有二種實(shí)現(xiàn)方式:一種是通過SESSION對象來實(shí)現(xiàn)，即當(dāng)用戶通過身份驗(yàn)證后，為用戶建立一個(gè)SESSION對象用以記錄用戶的角色,以及權(quán)限，當(dāng)用戶訪問系統(tǒng)中的資源時(shí)，首先對用戶的SESSION對象中的用戶角色權(quán)限進(jìn)行審計(jì)。如果用戶的角色擁有訪問該資源的權(quán)限，則允許其訪問資源，否則拒絕;另一種方式則是通過對WEB應(yīng)用容器進(jìn)行設(shè)置來實(shí)現(xiàn)的。以TOMCAT為例,它可以用其WEB.XML配置文件進(jìn)行配置，該配置文件實(shí)質(zhì)上是定義的三元組，在該配置文件將系統(tǒng)的資源定義成用戶角色將要訪問的頁面集合，并將相關(guān)的頁面資源進(jìn)行合并，也可以通過通用匹配符來表示成WEB資源集合,然后根據(jù)安全策略的設(shè)置,定義針對該集合允許訪問的角色集合,在集合中定義允許訪問的用戶角色，最后是說明角色的驗(yàn)證方式，指出用戶的角色名和其所屬的安全域。對TOMCAT配置完成后,則可以由TOMCAT容器來實(shí)現(xiàn)對用戶訪問資源的控制。

從兩種方式對比來看，第一種方式應(yīng)該說安全策略的配置粒度更細(xì)，而且訪問權(quán)限的控制能力也更強(qiáng)些，但是模塊的功能設(shè)計(jì)復(fù)雜而靈活性也會(huì)受一定的影響，后一種方式直接在WEB容器中配置安全策略，實(shí)現(xiàn)方便，靈活性也高，但是功能則會(huì)受限制。因而其更適合一些小型的應(yīng)用。

篇8

關(guān)鍵詞：互聯(lián)網(wǎng)　電子商務(wù)　網(wǎng)絡(luò)安全　管理

1 引言 

隨著互聯(lián)網(wǎng)的快速發(fā)展，人們的生活方式有了非常大的改變，對應(yīng)的經(jīng)濟(jì)社會(huì)也受到了巨大的影響。在商業(yè)貿(mào)易領(lǐng)域，因?yàn)榫W(wǎng)絡(luò)的快速發(fā)展，產(chǎn)生了電子商務(wù)這樣一種貿(mào)易方式。但是電子商務(wù)也是經(jīng)歷了一番坎坷的，因?yàn)榫W(wǎng)絡(luò)的特殊性，在電子商務(wù)發(fā)展中產(chǎn)生了交易安全的問題，對電子商務(wù)的穩(wěn)定發(fā)展帶來了一定的沖擊。Internet網(wǎng)是一個(gè)互連通的自由空間，一些人常常會(huì)因?yàn)槟承┠康墓綦娮由虅?wù)網(wǎng)站，比如盜竊資金、商業(yè)打擊、惡作劇等，導(dǎo)致有些企業(yè)的電子商務(wù)網(wǎng)站貿(mào)易交流受損、服務(wù)暫停，甚至出現(xiàn)資金被盜的現(xiàn)象。據(jù)有關(guān)數(shù)據(jù)的統(tǒng)計(jì)，美國每年因?yàn)榫W(wǎng)絡(luò)安全問題在經(jīng)濟(jì)上造成的損失就達(dá)到近百億美元，而國內(nèi)的情況也不容樂觀。因此，當(dāng)我們在享受互聯(lián)網(wǎng)給生活帶來的這些好處的時(shí)候，網(wǎng)絡(luò)的安全問題，早已變成電子商務(wù)的重大難題，給電子商務(wù)企業(yè)的發(fā)展帶來了極大的阻礙。所以，計(jì)算機(jī)網(wǎng)絡(luò)安全是電子商務(wù)發(fā)展過程中所面臨的重大挑戰(zhàn)和問題。電子商務(wù)企業(yè)必須從維護(hù)顧客利益和自身利益出發(fā)，做好安全防范和自身安全管理工作，才能得到持續(xù)快速的發(fā)展。 

 

2 電子商務(wù)面對的網(wǎng)絡(luò)安全問題 

當(dāng)前，電子商務(wù)安全問題受到多方面的影響，不但有技術(shù)管理的問題，而且也有網(wǎng)絡(luò)缺陷的因素，具體地說，直接原因有以下幾點(diǎn)： 

2.1 網(wǎng)絡(luò)“黑客”侵犯電子商務(wù)網(wǎng)站 

網(wǎng)絡(luò)黑客是專門在網(wǎng)絡(luò)中利用本身掌握的技術(shù)非法強(qiáng)行進(jìn)入他人網(wǎng)站后臺(tái)的人，這類人具有高超的網(wǎng)絡(luò)技術(shù)，能夠不受電子商務(wù)網(wǎng)站技術(shù)防護(hù)的限制。許多“黑客”篡改內(nèi)容信息、破壞網(wǎng)站；盜取商戶或企業(yè)的賬戶資金，極大地影響了電子商務(wù)的正常進(jìn)行。 

2.2 電子商務(wù)軟件有漏洞 

許多軟件研發(fā)單位研發(fā)的技術(shù)不成熟的電子商務(wù)軟件，存在許多安全漏洞，防護(hù)極易被外來入侵者利用漏洞攻破，導(dǎo)致電子商務(wù)企業(yè)受到很大的經(jīng)濟(jì)損失；有的企業(yè)即使安裝了防護(hù)軟件，但由于軟件沒有得到及時(shí)升級(jí)，致使軟件喪失了應(yīng)有防護(hù)功能。 

2.3 電子商務(wù)網(wǎng)絡(luò)自身存在安全問題 

網(wǎng)絡(luò)具有共享性、開放性等特點(diǎn)，它的設(shè)計(jì)原則是確保信息傳輸不會(huì)受到局部損壞的影響。所以，對網(wǎng)站安全帶來了極大的隱患。特別是對電子商務(wù)企業(yè)情況更加嚴(yán)峻。 

2.4 網(wǎng)站管理的缺失 

由于電子商務(wù)企業(yè)缺乏警惕性，不重視網(wǎng)絡(luò)安全的管理，通常只有在受到攻擊以后才會(huì)去加強(qiáng)網(wǎng)站安全；部分企業(yè)則以為只要安裝了入侵監(jiān)測系統(tǒng)、殺毒軟件、防火墻等安全產(chǎn)品，就能保障網(wǎng)站的安全，所以沒有根據(jù)企業(yè)實(shí)際情況制定相應(yīng)的管理制度，也沒有加強(qiáng)技術(shù)防范，給入侵者提供了機(jī)會(huì)。 

 

3 應(yīng)對的措施 

電子商務(wù)安全問題是在網(wǎng)絡(luò)化、電子化技術(shù)發(fā)展的前提下出現(xiàn)的，所以很多傳統(tǒng)的解決辦法不能簡單地應(yīng)用過來。電子商務(wù)企業(yè)想要取得效益，就要從企業(yè)的健康發(fā)展出發(fā)，改善企業(yè)的安全管理，提高技術(shù)投入。具體的防范措施有：

3.1 安全技術(shù)管理需要加強(qiáng) 

需要重視電子商務(wù)網(wǎng)站的維護(hù)、升級(jí)等方面，做好每天的安全備份，加強(qiáng)網(wǎng)站服務(wù)器的管理。制定安全防范預(yù)案，只要發(fā)生安全事件，能夠得到盡快解決，從而減少損失。使用權(quán)威性較強(qiáng)的安全防護(hù)軟件，并能夠正常啟動(dòng)、正常升級(jí)，發(fā)揮應(yīng)有的防護(hù)功能。 

3.2 在電子安全方面擴(kuò)大管理和技術(shù)投入 

企業(yè)需要加大安全方面的資金投入，購買技術(shù)防護(hù)設(shè)備，加大對技術(shù)改造與設(shè)備更新的投入。引進(jìn)安全管理的相關(guān)技術(shù)，招聘相應(yīng)的管理人才，并進(jìn)行適當(dāng)?shù)拇鰞A斜，確保安全管理團(tuán)隊(duì)的穩(wěn)定。 

3.3 使用密碼管理技術(shù) 

篇9

電子商務(wù)源于英文ELECTRONIC COMMERCE，指的是利用簡單、快捷、低成本的電子通訊方式，買賣雙方不謀面地進(jìn)行各種商貿(mào)活動(dòng)。

作為一種全新的商務(wù)模式，它有很大的發(fā)展前途，同時(shí)，這種電子商務(wù)模式對管理水平、信息傳遞技術(shù)都提出了更高的要求，其中安全體系的構(gòu)建又顯得尤為重要。如何建立一個(gè)安全、便捷的電于商務(wù)應(yīng)用環(huán)境，對信息提供足夠的保護(hù)，是商家和用戶都十分關(guān)注的話題。防火墻、VPN、數(shù)字簽名等，這些安全產(chǎn)品和技術(shù)的使用可以從一定程度上滿足網(wǎng)絡(luò)安全需求，但不能滿足整體的安全需求，因?yàn)樗鼈冎荒鼙Ｗo(hù)特定的某一方面，如防火墻的最主要的功能就是訪問控制功能，VPN可以實(shí)現(xiàn)加密傳輸，數(shù)字簽名技術(shù)可以保證用戶身份的真實(shí)性和不可抵賴性等等。而對于網(wǎng)絡(luò)系統(tǒng)來講，它需要的是一種整體的安全策略，這個(gè)策略不僅僅包括安全保護(hù)，它還應(yīng)該包括安全管理、實(shí)時(shí)監(jiān)控、響應(yīng)和恢復(fù)措施，因?yàn)槟壳皼]有絕對的安全，無論你的網(wǎng)絡(luò)系統(tǒng)布署的如何周密，你的系統(tǒng)總會(huì)有被攻擊和攻破的可能，而這時(shí)你會(huì)怎么辦呢？采取一些恢復(fù)措施，幫助你在最短的時(shí)間使網(wǎng)絡(luò)系統(tǒng)恢復(fù)正常工作恐怕是最主要的了。

防火墻、VPN、數(shù)字簽名等，這些安全產(chǎn)品和技術(shù)的使用可以從一定程度上滿足網(wǎng)絡(luò)安全需求，但不能滿足整體的安全需求，因?yàn)樗鼈冎荒鼙Ｗo(hù)特定的某一方面，如防火墻的最主要的功能就是訪問控制功能，VPN可以實(shí)現(xiàn)加密傳輸，數(shù)字簽名技術(shù)可以保證用戶身份的真實(shí)性和不可抵賴性等等。而對于網(wǎng)絡(luò)系統(tǒng)來講，它需要的是一種整體的安全策略，在系統(tǒng)被攻擊導(dǎo)致癱瘓時(shí)，以最快的速度使網(wǎng)絡(luò)系統(tǒng)恢復(fù)正常工作是最主要的。因此在構(gòu)筑你的網(wǎng)絡(luò)安全解決方案中一定要注重一個(gè)整體的策略，下面我們將介紹一種整體的安全架構(gòu)。

一、整體架構(gòu)

這里我們介紹一種電子商務(wù)安全整體架構(gòu)，該架構(gòu)可以概括為一句話“一個(gè)中心，四個(gè)基本點(diǎn)”，一個(gè)中心就是以安全管理為中心，四個(gè)基本點(diǎn)是保護(hù)、監(jiān)控、響應(yīng)和恢復(fù)。這樣一種架構(gòu)機(jī)制囊括了從保護(hù)到在線監(jiān)控，到響應(yīng)和恢復(fù)的各個(gè)方面，是一種層層防御的機(jī)制，即使第一道大門被攻破了，還會(huì)有第二道、第三道大門，即使所有的大門都被攻破了，還有恢復(fù)措施，因此這種架構(gòu)可以為用戶構(gòu)筑一個(gè)整體的安全方案。

安全管理是中心，它滲透到四個(gè)基本點(diǎn)中去，而這四個(gè)基本點(diǎn)各占據(jù)電子商務(wù)安全的四個(gè)方面，即保護(hù)、監(jiān)控、響應(yīng)和恢復(fù)。安全管理指導(dǎo)四個(gè)基本點(diǎn)的工作，四個(gè)基本點(diǎn)體現(xiàn)和完成安全管理的任務(wù)，它們相輔相成，構(gòu)成一個(gè)完整的體系，滿足電子商務(wù)安全的整體需求。

1.安全管理

安全管理就是通過一些管理手段來達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。它所包含的內(nèi)容有安全管理制度的制定、實(shí)施和監(jiān)督，安全策略的制定、實(shí)施、評(píng)估和修改，以及對人員的安全意識(shí)的培訓(xùn)、教育等。

2.保護(hù)

保護(hù)就是采用一些網(wǎng)絡(luò)安全產(chǎn)品、工具和技術(shù)保護(hù)網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)和用戶。這種保護(hù)可以稱作靜態(tài)保護(hù)，它通常是指一些基本防護(hù)，不具有實(shí)時(shí)性，如在制定的安全策略中有一條，不允許外部網(wǎng)用戶訪問內(nèi)部網(wǎng)的Web服務(wù)器，因此我們就可以在防火墻的規(guī)則中加入一條，禁止所有從外部網(wǎng)用戶到內(nèi)部網(wǎng)Web服務(wù)器的連接請求，這樣一旦這條規(guī)則生效，它就會(huì)持續(xù)有效，除非我們改變了這條規(guī)則。這樣的保護(hù)可以預(yù)防已知的一些安全威脅，而且通常這些威脅不會(huì)變化，所以稱為靜態(tài)保護(hù)。

3.監(jiān)控/審計(jì)

監(jiān)控就是實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)上正在發(fā)生的事情，這是任何一個(gè)網(wǎng)絡(luò)管理員都想知道的。審計(jì)一直被認(rèn)為是經(jīng)典安全模型的一個(gè)重要組成部分。審計(jì)是通過記錄下通過網(wǎng)絡(luò)的所有數(shù)據(jù)包，然后分析這些數(shù)據(jù)包，幫助你查找已知的攻擊手段、可疑的破壞行為，來達(dá)到保護(hù)網(wǎng)絡(luò)的目的。

監(jiān)控和審計(jì)是實(shí)時(shí)保護(hù)的一種策略，它主要滿足一種動(dòng)態(tài)安全的需求。因?yàn)榫W(wǎng)絡(luò)安全技術(shù)在發(fā)展的同時(shí)，黑客技術(shù)也在不斷的發(fā)展，因此網(wǎng)絡(luò)安全不是一層不變的，也許今天對你來說安全的策略，明天就會(huì)變得不安全，因此我們應(yīng)該時(shí)刻關(guān)注網(wǎng)絡(luò)安全的發(fā)展動(dòng)向，以及網(wǎng)絡(luò)上發(fā)生的各種各樣的事情，以便及時(shí)發(fā)現(xiàn)新的攻擊，制定新的安全策略。有些人可能會(huì)認(rèn)為這樣就不需要基本的安全保護(hù)，這種想法是錯(cuò)誤的，因?yàn)榘踩Ｗo(hù)是基本，監(jiān)控和審計(jì)是其有效的補(bǔ)充，只有這兩者有效結(jié)合，才能夠滿足動(dòng)態(tài)安全的需要。

4.響應(yīng)

響應(yīng)就是當(dāng)攻擊正在發(fā)生時(shí)，能夠及時(shí)做出響應(yīng)，如向管理員報(bào)告，或者自動(dòng)阻斷連接等，防止攻擊進(jìn)一步的發(fā)生。響應(yīng)是整個(gè)安全架構(gòu)中的重要組成部分。因?yàn)榧词鼓愕木W(wǎng)絡(luò)構(gòu)筑的相當(dāng)安全，攻擊或非法事件也是不可避免的要發(fā)生的，所以當(dāng)攻擊或非法事件發(fā)生的時(shí)候，應(yīng)該有一種機(jī)制對此做出反應(yīng)，以便讓管理員及時(shí)了解到什么時(shí)候網(wǎng)絡(luò)遭到了攻擊，攻擊的行為是什么樣的，攻擊的結(jié)果如何，應(yīng)該采取什么樣的措施來修補(bǔ)安全策略，彌補(bǔ)這次攻擊的損失，以及防止此類攻擊再次發(fā)生。

5.恢復(fù)

當(dāng)入侵發(fā)生后，對系統(tǒng)造成了一定的破壞，如網(wǎng)絡(luò)不能正常工作、系統(tǒng)數(shù)據(jù)被破壞等，這時(shí)，必須有一套機(jī)制來及時(shí)恢復(fù)系統(tǒng)正常工作，因此恢復(fù)在電子商務(wù)安全的整體架構(gòu)中也是不可少的一個(gè)組成部分?；謴?fù)是最終措施，因?yàn)楣艏热灰呀?jīng)發(fā)生了，系統(tǒng)也遭到了破壞，這時(shí)只有讓系統(tǒng)以最快的速度運(yùn)行起來才是最重要的，否則損失將更為嚴(yán)重。

二、安全架構(gòu)的工作機(jī)制

在這個(gè)安全架構(gòu)中，五個(gè)方面是如何協(xié)調(diào)工作的呢？下面將以一個(gè)例子來介紹。假設(shè)有一個(gè)黑客欲攻擊一內(nèi)部網(wǎng)，這個(gè)內(nèi)部網(wǎng)整體安全架構(gòu)就如前面介紹的一樣，那么現(xiàn)在讓我們來看看這個(gè)安全架構(gòu)是如何工作來抵制黑客攻擊得。

首先，當(dāng)這個(gè)黑客開始向內(nèi)部網(wǎng)發(fā)起攻擊的時(shí)候，在內(nèi)部網(wǎng)的最外面有一個(gè)保護(hù)屏障，如果保護(hù)屏障可以制止黑客進(jìn)入內(nèi)部網(wǎng)，那么內(nèi)部網(wǎng)就不可能受到黑客的破壞，別的機(jī)制就不用起作用，這時(shí)網(wǎng)絡(luò)的安全得以保證。

隨后，黑客通過繼續(xù)努力，可能獲得了進(jìn)入內(nèi)部網(wǎng)的權(quán)力，也就是說他可能欺騙了保護(hù)機(jī)制而進(jìn)入內(nèi)部網(wǎng)，這時(shí)監(jiān)控/審計(jì)機(jī)制開始起作用，監(jiān)控/審計(jì)機(jī)制能夠在線看到發(fā)生在網(wǎng)絡(luò)上的任何事情，它們能夠識(shí)別出這種攻擊，如發(fā)現(xiàn)可疑人員進(jìn)入網(wǎng)絡(luò)，這樣它們就會(huì)給響應(yīng)機(jī)制一些信息，響應(yīng)機(jī)制根據(jù)監(jiān)控/審計(jì)結(jié)果來采取一些措施，如立刻斷開這條連接、取消服務(wù)、查找黑客通過何種手段進(jìn)入網(wǎng)絡(luò)等等，來達(dá)到保護(hù)網(wǎng)絡(luò)的目的。

最后，黑客通過種種努力，終于進(jìn)入了內(nèi)部網(wǎng)，如果一旦黑客對系統(tǒng)進(jìn)行了破壞，這時(shí)及時(shí)恢復(fù)系統(tǒng)可用將是最主要的事情了，這樣恢復(fù)機(jī)制就是必須的了。當(dāng)系統(tǒng)恢復(fù)完后，又是新一輪的安全保護(hù)開始了。

而安全管理是如何體現(xiàn)出來的呢？安全管理在這個(gè)過程中一直存在，因?yàn)檫@四個(gè)基本點(diǎn)是借用安全工具來實(shí)現(xiàn)安全管理的，這四個(gè)基本點(diǎn)運(yùn)行的好壞，直接和安全管理相關(guān)，比方說在保護(hù)這個(gè)基本點(diǎn)上，如果制定的安全保護(hù)策略周到詳細(xì)，也許黑客就沒有進(jìn)入內(nèi)部網(wǎng)的可能。所以安全管理是中心，四個(gè)基本點(diǎn)是安全管理的實(shí)施體現(xiàn)和實(shí)現(xiàn)。

這種架構(gòu)是保護(hù)了從攻擊的開始到結(jié)束的各個(gè)方面的安全的架構(gòu)，它是依照攻擊的順序，在每個(gè)攻擊點(diǎn)上都有保護(hù)措施，從而實(shí)現(xiàn)了電子商務(wù)安全的整體架構(gòu)。

三、結(jié)束語

電子商務(wù)領(lǐng)域的安全問題一直是備受關(guān)注的問題，因此如何更好的解決這個(gè)問題是推進(jìn)電子商務(wù)更好更快發(fā)展的動(dòng)力。但是因?yàn)榘踩珕栴}是不斷發(fā)展變化的，所以解決安全問題的手段也會(huì)不斷變化，但變化中有不變，這就是說要解決的根本問題是不變的，所以應(yīng)用這種架構(gòu)來保證電子商務(wù)的安全無疑是有效的。

參考文獻(xiàn):

[1]陳月波:電子商務(wù)概論.北京:清華大學(xué)出版社,1998

[2]林濤:網(wǎng)絡(luò)安全與管理.電子工業(yè)出版社,1999

[3]勞幗齡:電子商務(wù)的安全技術(shù).中國水利水電出版社,2000

[4]黃允聰林東:網(wǎng)絡(luò)安全基礎(chǔ).北京:清華大學(xué)出版社，1998

[5]樊成豐林東:網(wǎng)絡(luò)信息安全&PGP加密.北京:清華大學(xué)出版社，1999

篇10

1 引言

美國IBM公司從企業(yè)電子商務(wù)的運(yùn)作過程中認(rèn)為電子商務(wù)(E-Business)就是企業(yè)的“商務(wù)整合”，它將IT技術(shù)策略與企業(yè)商務(wù)策略整合起來，形成企業(yè)全新的組織構(gòu)架、全新的商業(yè)模式、全新的業(yè)務(wù)流程。它是傳統(tǒng)企業(yè)商務(wù)電子化的過程，即傳統(tǒng)商務(wù)向電子商務(wù)轉(zhuǎn)型的過程。電子商務(wù)作為一種新的生產(chǎn)方式，正在顯示其巨大的現(xiàn)代經(jīng)濟(jì)管理的價(jià)值和社會(huì)變革的影響力。

如何使電子商務(wù)運(yùn)作過程的安全性和風(fēng)險(xiǎn)控制得到保證，是關(guān)系到電子商務(wù)能否順利發(fā)展的關(guān)鍵問題。

2 我國電子商務(wù)發(fā)展現(xiàn)狀

中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)最新的中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告顯示：截至2009年6月底，我國網(wǎng)民數(shù)達(dá)到3.32億，互聯(lián)網(wǎng)普及率更是以25.5%的比例超過了21.9%的全球平均水平。與此同時(shí)，有關(guān)部門的2008中國網(wǎng)上購物調(diào)查報(bào)告顯示，上半年國內(nèi)網(wǎng)購交易總額已經(jīng)達(dá)到531.5億元，參與網(wǎng)購的人群達(dá)到1.2億。

隨著網(wǎng)購人數(shù)的增長，互聯(lián)網(wǎng)的各種應(yīng)用還將從大城市向中小城市滲透，網(wǎng)民數(shù)的不斷增加和主流消費(fèi)人群消費(fèi)習(xí)慣的改變，將成為推動(dòng)中國網(wǎng)購市場激增的重要原因。

3 電子商務(wù)發(fā)展中面臨的風(fēng)險(xiǎn)

互聯(lián)網(wǎng)正在改變?nèi)蚪?jīng)濟(jì)，電子商務(wù)向人們展示了“快、便、省”的優(yōu)勢。

但是電子商務(wù)與其它新生事物一樣，在帶來巨大機(jī)遇的同時(shí)，也存在著許多風(fēng)險(xiǎn)。

（1）技術(shù)風(fēng)險(xiǎn)

具體包括交易安全、認(rèn)證安全、數(shù)據(jù)加密、支付安全、網(wǎng)站安全等。

（2）金融與支付風(fēng)險(xiǎn)

具體包括訂購、付款、銀行結(jié)算以及其他金融交易業(yè)務(wù)的在線安全。論文格式。

（3）稅收風(fēng)險(xiǎn)

由于電子商務(wù)具有跨地域交易的特點(diǎn)，使得電子商務(wù)稅收變得十分重要而復(fù)雜，國際上普遍接受的是稅收中性的觀點(diǎn)，即對國際性稅收原則不做根本改變，但對全球電子商務(wù)發(fā)展中面臨的有關(guān)稅收方面的政策改變將大大影響電子商務(wù)的發(fā)展。

（4）人才與培養(yǎng)風(fēng)險(xiǎn)

電子商務(wù)的發(fā)展需要大量計(jì)算機(jī)人才和網(wǎng)絡(luò)經(jīng)濟(jì)商務(wù)人才以及相關(guān)復(fù)合人才，我國在這方面的人才較為欠缺。

（5）政策法規(guī)風(fēng)險(xiǎn)

電子商務(wù)的發(fā)展如同網(wǎng)絡(luò)的發(fā)展一樣是非常快的，與之相比國家有關(guān)管理部門的政策、法規(guī)的制定不可避免的存在滯后的可能，使得新興的電子商務(wù)發(fā)展可能處于缺乏保障的地位，而且電子商務(wù)中個(gè)性化特點(diǎn)日趨突出，給政策、法規(guī)的制定也提高了難度。

（6）競爭風(fēng)險(xiǎn)

電子商務(wù)的發(fā)展將使我國的企業(yè)同時(shí)面臨與國外大公司、企業(yè)的競爭，還要面對傳統(tǒng)商務(wù)與之的競爭。

3.3 電子商務(wù)的風(fēng)險(xiǎn)特征

電子商務(wù)中出現(xiàn)的風(fēng)險(xiǎn)，雖然多為傳統(tǒng)經(jīng)濟(jì)中所固有，但它無論在表現(xiàn)形式、強(qiáng)烈程度還是影響范圍上與傳統(tǒng)經(jīng)濟(jì)中的風(fēng)險(xiǎn)都不相同。概括起來說，電子商務(wù)風(fēng)險(xiǎn)具有以下特征。

（1) 全球性

電子商務(wù)風(fēng)險(xiǎn)具有全球性特征。論文格式。風(fēng)險(xiǎn)既可能來自國內(nèi)，也可能來自世界任何一個(gè)地方。四通八達(dá)的通訊網(wǎng)絡(luò)，把世界各地都緊緊地聯(lián)系在一起。例如，技術(shù)風(fēng)險(xiǎn)就是這樣。當(dāng)黑客發(fā)動(dòng)攻擊時(shí)，遇到的唯一障礙就是技術(shù)上的可行性。

（2) 傳染性

電子商務(wù)風(fēng)險(xiǎn)可以在全球范圍內(nèi)迅速傳播，具有很強(qiáng)的傳染性和廣泛的影響力，使人們很難進(jìn)行有效防范。實(shí)時(shí)性和交互性是電子商務(wù)的兩個(gè)基本特征。一旦風(fēng)險(xiǎn)產(chǎn)生，它就會(huì)借助信息的實(shí)時(shí)傳遞和市場交易主體之間的交互關(guān)系而迅速擴(kuò)散。

（3) 成長性

在一定條件下，電子商務(wù)風(fēng)險(xiǎn)會(huì)迅速成長和壯大，具有一股強(qiáng)大的、摧毀一切的力量。這種異乎尋常的成長性，來自于電子商務(wù)中所特有的不穩(wěn)定均衡和正反饋效應(yīng)。電子商務(wù)中的均衡是不穩(wěn)定均衡。如果企業(yè)正處于成長過程中，它就會(huì)在正反饋效應(yīng)的刺激作用下，成長得越來越快、越來越強(qiáng)大，直至成為市場主流，占有決定性的市場份額。反之，一個(gè)企業(yè)即使是市場的主流，如果受到一些致命的打擊，則有可能在正反饋效應(yīng)的作用下迅速衰退，甚至在很短時(shí)期內(nèi)消逝得無影無蹤。

（4) 隱蔽性

電子商務(wù)風(fēng)險(xiǎn)具有很強(qiáng)的隱蔽性。風(fēng)險(xiǎn)初起時(shí)可能不大容易覺察，當(dāng)風(fēng)險(xiǎn)變得清晰可辨時(shí)，危機(jī)就無法避免了。這種隱蔽性，來自信息的非對稱性。在網(wǎng)絡(luò)中，人們可以自由遨游，不需要提供真實(shí)的姓名和身份。如果再缺少相關(guān)的法律進(jìn)行約束，投機(jī)和欺詐就會(huì)泛濫，電子商務(wù)就會(huì)趨向崩潰。

（5) 復(fù)雜性

在電子商務(wù)中，風(fēng)險(xiǎn)不是單一的，而是綜合的。多種風(fēng)險(xiǎn)往往交叉在一起，它們相互影響和助長，使得風(fēng)險(xiǎn)防范的難度大大增加。

4 電子商務(wù)安全管理措施

電子商務(wù)交易安全管理，不應(yīng)當(dāng)只從單純技術(shù)角度考慮如何解決的問題，而是應(yīng)該從綜合的安全管理思路來考慮，因?yàn)閺碾娮由虅?wù)的運(yùn)行環(huán)境來看，技術(shù)環(huán)境是一個(gè)重要方面，但是良好的法律法規(guī)、政策環(huán)境和科學(xué)管理環(huán)境也是電子商務(wù)的順利運(yùn)行不可或缺的兩個(gè)方面。安全的電子商務(wù)環(huán)境包括精心規(guī)劃的管理體系，嚴(yán)密的技術(shù)措施和完善的法律體系。所以電子商務(wù)的安全管理應(yīng)該從技術(shù)、管理、法律等方面綜合考慮。建立一個(gè)完整的電子商務(wù)交易安全體系。

4.1 加快基礎(chǔ)設(shè)施建設(shè)

計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)通信設(shè)備、網(wǎng)絡(luò)通信線路、網(wǎng)絡(luò)服務(wù)器等設(shè)備，在靜電、電磁泄漏和意外事故等情況下會(huì)造成數(shù)據(jù)的丟失，機(jī)密信息泄漏。所以，加快電子商務(wù)的基礎(chǔ)設(shè)施建設(shè)，選擇高性能的網(wǎng)絡(luò)設(shè)備， 建設(shè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境，才能為電子商務(wù)交易的信息提供硬件保障。

4.2 實(shí)施技術(shù)防范措施

電子商務(wù)的運(yùn)作涉及資金安全、信息安全、貨物安全、商業(yè)秘密等多方面的安全問題，任何一點(diǎn)漏洞都可能導(dǎo)致大量資金流失，這些安全首先是對信息技術(shù)的依賴。目前電子商務(wù)比較成熟的技術(shù)安全措施有以下幾種：

（1）防火墻技術(shù)：防火墻是在本地系統(tǒng)或網(wǎng)絡(luò)與Internet 之間構(gòu)筑的一道屏障，用以保護(hù)本地系統(tǒng)或網(wǎng)絡(luò)中的信息、資源等不受來自Internet 中非法用戶的侵犯；用以控制和防止本地系統(tǒng)或網(wǎng)絡(luò)中的敏感數(shù)據(jù)流入Internet，也控制和防止來自Internet 的無用數(shù)據(jù)流入本地系統(tǒng)或網(wǎng)絡(luò)。所以，防火墻能起到保護(hù)本地系統(tǒng)或網(wǎng)絡(luò)中信息安全保密的重要作用，成為電子商務(wù)系統(tǒng)的安全屏障。

（2）數(shù)字簽名技術(shù)：數(shù)字簽名是通過某種密碼運(yùn)算生成一系列符號(hào)及代碼組成電子密碼進(jìn)行簽名，代替書寫簽名或印章。對于這種電子式的簽名還可進(jìn)行技術(shù)驗(yàn)證，其驗(yàn)證的準(zhǔn)確度是一般手工簽名和圖章的驗(yàn)證而無法比擬的。數(shù)字簽名是目前電子商務(wù)中應(yīng)用最普遍、技術(shù)最成熟的、可操作性最強(qiáng)的一種電子簽名方法。

（3）安全證書認(rèn)證中心(Certification Authority中心)：網(wǎng)上交易需要由一個(gè)權(quán)威的第三方來擔(dān)任信用認(rèn)證機(jī)構(gòu)，確認(rèn)買賣雙方的身份，這就是電子商務(wù)的安全證書認(rèn)證中心(CA 中心) 。CA 中心是承擔(dān)網(wǎng)上認(rèn)證服務(wù)、能簽發(fā)數(shù)字證書、并能確認(rèn)用戶身份的受大家信任的第三方機(jī)構(gòu)，它的作用在于確保網(wǎng)上交易合同的有效性，確保交易內(nèi)容、交易雙方賬號(hào)、密碼不被他人識(shí)別和盜取，防止單方面對交易信息的生成和修改，保證電子商務(wù)的交易安全。

4.3 健全管理與控制

由于電子商務(wù)企業(yè)一般都是新興企業(yè)，管理制度、管理手段沒有傳統(tǒng)企業(yè)成熟、嚴(yán)密，加上一些電子商務(wù)企業(yè)一般更注重技術(shù)創(chuàng)新而非管理。因而，電子商務(wù)建立先進(jìn)的管理與控制更為迫切。

建立交易授權(quán)控制制度：電子商務(wù)交易程序的簡單化，必須在業(yè)務(wù)流程方面建立嚴(yán)格的業(yè)務(wù)授權(quán)與執(zhí)行內(nèi)部控制制度，并對關(guān)鍵業(yè)務(wù)流程的內(nèi)部控制進(jìn)行定期的審核。

建立責(zé)任控制制度：它是以經(jīng)濟(jì)組織內(nèi)部各部門、各環(huán)節(jié)、各層次及其人員的經(jīng)濟(jì)責(zé)任為中心的內(nèi)部控制制度，使得各職能部門和經(jīng)辦人員分工明確，職責(zé)分明。

建立會(huì)計(jì)控制和內(nèi)部牽制制度：主要檢查會(huì)計(jì)事項(xiàng)的處理是否遵循不相容的職務(wù)或者經(jīng)過兩個(gè)以上的人員或部門的原則，以防止差錯(cuò)、舞弊的發(fā)生，保護(hù)財(cái)產(chǎn)的安全。論文格式。

建立經(jīng)營方面各個(gè)循環(huán)系統(tǒng)的控制制度：它是經(jīng)濟(jì)組織內(nèi)部為實(shí)現(xiàn)經(jīng)營目標(biāo)而實(shí)現(xiàn)生產(chǎn)經(jīng)營和管理所必須經(jīng)過的環(huán)節(jié)和業(yè)務(wù)操作的控制制度。如成本控制、購銷控制、物資控制、生產(chǎn)經(jīng)營過程的控制以及計(jì)劃、預(yù)算、合同管理等控制制度。

建立一定的應(yīng)急措施：在信息流程方面，加強(qiáng)對信息的記錄、維護(hù)和報(bào)告相關(guān)環(huán)節(jié)的控制。例如數(shù)據(jù)文件的定期備份、備份數(shù)據(jù)的存放地點(diǎn)、存放條件要求、系統(tǒng)數(shù)據(jù)文件損壞后的再生規(guī)則等。

4. 4 健全法制，倡導(dǎo)誠信

1996 年聯(lián)合國貿(mào)易法委員會(huì)制訂了《聯(lián)合國國際貿(mào)易法委員會(huì)電子商務(wù)示范法》，2005 年初，國務(wù)院頒發(fā)了《加強(qiáng)電子商務(wù)的若干意見》，2005 年4 月1 日開始正式實(shí)施的《電子簽名法》，對我國正在興起的電子商務(wù)給予了強(qiáng)有力的法律支持，為我國電子商務(wù)安全認(rèn)證體系和網(wǎng)絡(luò)信任體系的建立奠定了基礎(chǔ)。但是，網(wǎng)絡(luò)環(huán)境中的誠信問題不是僅僅靠《電子簽名法》所能夠解決的，要想根本鏟除互聯(lián)網(wǎng)交易中的種種弊端，歸根到底要靠安全認(rèn)證和行業(yè)的自律。所以，倡導(dǎo)誠信，維護(hù)消費(fèi)者合法權(quán)益，是推動(dòng)我國電子商務(wù)健康發(fā)展的內(nèi)在因素。

4.5 大力培養(yǎng)電子商務(wù)專業(yè)人才

電子商務(wù)是信息現(xiàn)代化與商務(wù)的有機(jī)結(jié)合，雖然強(qiáng)調(diào)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)對交易活動(dòng)的促進(jìn)作用，但電子商務(wù)實(shí)現(xiàn)的關(guān)鍵仍然是人才。要發(fā)展電子商務(wù)，需要大量的掌握現(xiàn)代信息技術(shù)和現(xiàn)代商貿(mào)理論與實(shí)務(wù)的復(fù)合型人才。政府應(yīng)充分利用各種途徑和手段，培養(yǎng)、引進(jìn)并合理使用好一批素質(zhì)較高、層次合理、專業(yè)配套的網(wǎng)絡(luò)、計(jì)算機(jī)及經(jīng)營管理等方面的專業(yè)人才，以加快我國電子商務(wù)的發(fā)展。

5 結(jié)束語

電子商務(wù)在給我們帶來廣泛的機(jī)遇的同時(shí)，也給我們帶來了新的風(fēng)險(xiǎn)。安全的電子商務(wù)環(huán)境包括精心規(guī)劃的管理體系，嚴(yán)密的技術(shù)措施和完善的法律體系。所以電子商務(wù)的安全管理應(yīng)該從技術(shù)、管理、法律等方面綜合考慮。建立一個(gè)完整的電子商務(wù)交易安全體系。

參考文獻(xiàn)

1.伊志宏 張航宇著我國電子商務(wù)發(fā)展中的風(fēng)險(xiǎn)管理 中國期刊網(wǎng)

2.洪國彬 范月嬌著《電子商務(wù)安全與管理》電子工業(yè)出版社 2006年出版

3.董雪兵 朱慧著《電子商務(wù)教程》浙江大學(xué)出版社

4.陶世懷 徐國芹著《電子商務(wù)概論》第二版 大連理工大學(xué)出版社