電子商務安全事件精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的電子商務安全事件主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:電子商務安全事件范文
關鍵詞:實踐教學;教學改革;教育質量
中圖分類號:G642.4 文獻標志碼:A 文章編號:1674-9324(2013)35-0039-02
伴隨著知識經濟的興起,高等教育的歷史使命和人才培養目標發生了巨大變化,創新教育成為各國教育改革的主題。為了適應創新教育,培養創新型人才,教育教學的傳統方式必須變革[1]。中央和各級政府教育行政部門、各高等學校十分重視對大學生實踐和創新能力的培養,教育部把實踐教學作為高校本科教學工作水平評估的關鍵指標之一,各高等學校采取切實有效措施,積極開展實踐教學改革,多渠道籌措經費加大實驗室建設投入,極大地改善了實驗教學條件,對提高學生的實踐創新能力產生了積極影響[2]。
一、實踐教學體系概述
實踐教學指具有實踐性的教學活動。實踐教學存在于整個教學過程之中,包括理論實踐教學和社會實踐教學。要做好實踐教學工作,首先應該建立并完善實踐教學體系,通常實踐教學體系分為實踐教學目標體系、實踐教學內容體系、實踐教學管理體系、實踐教學保障體系和實踐教學評價體系。實踐教學體系的建設應該遵循以下幾個原則:
1.特色性原則:確立以素質教育為核心,技術應用能力培養為主線,應變能力培養為關鍵,產學研結合為途徑,與時俱進的人才教育培養模式是實踐教學體系構建中遵循的原則。
2.實用型原則:實踐教學體系的構建,要充分體現專業崗位的要求,與專業崗位群發展緊密相關。以此為原則組成一個層次分明、分工明確的實踐教學體系。
3.混合型原則:混合型體現在教師類型的混合、理論教學和實踐教學的混合、教室與實驗室的混合等方面,淡化理論教學與實踐教學、專業教師與實踐指導教師、教室與實驗室的界限,打破原來按學科設置實驗室的傳統布局,對實踐教學設施進行重新整合,形成一體化混合實踐教學模式。
實踐教學體系的目標是:以職業能力培養為主線,使學生獲得實踐知識、開闊眼界,豐富并活躍學生的思想,加深對理論知識的理解掌握,進而在實踐中對理論知識進行修正、拓展和創新。在確定具體課程實踐教學體系目標的前提下,如何有針對性地設置具體的實踐教學內容尤為重要。實踐教學的內容是實踐教學目標任務的具體化,將實踐教學環節通過合理配置,構建成以技術應用能力培養為主體,按基本技能、專業技能和綜合技術應用能力等層次,循序漸進地安排實踐教學內容,將實踐教學的目標和任務具體落實到各個實踐教學環節中,讓學生在實踐教學中掌握必備的、完整的、系統的技能和技術[3]。
二、電子商務安全實踐教學內容設置
電子商務安全課程是新興的邊緣交叉性課程,是在網絡安全的基礎上結合電子商務的領域的實際應用發展而來的一門具有一定針對性的課程,也是電子商務專業學生的一門專業主干課程。考慮到經營管理活動中計算機的普及和網絡通信的快速發展,該課程是作為21世紀大學生尤其是電子商務專業的學生應該了解、掌握的一門學科,通過該課程的教學,學生初步了解電子商務安全的內涵和電子商務支付系統的構成,并且對網絡常見的攻擊手段、主要安全產品的功能、常用的電子支付工具等進行了解,以解決實際應用中遇到的問題[4]。
1.實驗項目安排。本課程實踐教學部分主要讓學生對電子商務安全與支付在理論和實踐上有一個全面的認識。要求學生通過大綱中的實驗設置,了解電子商務安全與支付的現實環境;了解電子商務客戶機和服務器的安全設置;熟悉基本的電子支付工具的使用,掌握數字證書的申請、安裝和使用流程;了解SSL證書的申請流程。針對本課程的培養目標進行合理的實驗教學安排,具體實驗項目如表1所示。
2.實驗項目的具體內容。實驗1:了解電子商務安全與支付的現實環境:通過本次實驗了解中國互聯網發展狀況,特別是有關電子商務發展的現狀,認真體會,結合自己課余所見的實際情況進行總結。實驗內容:閱讀比較CNNIC最新的《中國互聯網絡發展狀況統計報告》中關于安全支付的數據及分析,了解中國電子商務發展的現狀。實驗2:電子商務客戶機安全:通過本次實驗了解電子商務客戶機存在的安全風險及對應的安全措施。實驗內容:防病毒軟件的安裝和使用、IE對安全區的設置、檢測活動內容、處理cookie。實驗3:中銀電子錢包及網上銀行:通過本次實驗了解電子錢包、電子信用卡在網上支付中的功能及使用過程。實驗內容:中銀電子錢包的使用、個人網上銀行專業版的設置及使用。實驗4:個人數字證書:通過本次實驗了解數字證書的基本類型,個人數字證書的下載安裝。實驗內容:個人數字證書的下載、安裝、查看、導入和導出。實驗5:SSL證書申請:通過本次實驗了解利用Microsoft IIS Web Server申請SSL證書的基本流程。實驗內容:在Microsoft IIS上生成公私鑰對和證書請求、保存證書請求文件、安裝CA中心的根證書、安全Web Server證書。
電子商務安全是一門實踐性很強的課程,有難度且極具挑戰性,因此,電子商務安全的實踐教學應該根據學生的實際情況酌情安排。筆者在幾年的課程教學過程中嘗試了一些改進本課程教學的方法。總結得出:最優方式是讓學生置身于其中,讓學生積極參與其中,享受創造的樂趣。經過對本實踐課程安排前后的對比發現,學生對本課程的興趣有極大提高,對理論教學部分的理解也大大加深。
參考文獻:
[1]曹鳳月.課堂實踐教學:高校實踐教學的基礎環節[J].中國勞動關系學院學報,2009,4(23):106-109.
[2]鄭春龍,邵紅艷.以創新實踐能力培養為目標的高校實踐教學體系的構建與實施[J].中國高教研究,2007,(4):85-86.
[3]朱正偉,劉東燕,何敏.加強高校實踐教學的探索與實踐[J].中國大學教育,2007,(2):76-78.
第2篇:電子商務安全事件范文
30分鐘過去了,Jason還是找不到到底發生了什么安全事件導致網站被黑;黑客是怎么進來的?以前是我黑別人(游戲),今天怎么被別人黑了?Jason心里想。
原來Jason在進入到馬來西亞AAA銀行之前,曾經是一個黑客,Jason對黑客攻擊和防守技術十分熟悉,并且能夠進行入侵,占領主機,獲得控制權,遠程指揮作戰。
“Jason!快看一下我們的銀行電子商務網站,出什么問題了!”,聽到馬來西亞AAA銀行IT部總經理Tom的電話,Jason馬上登陸銀行的電子商務網站,發現一個獰笑的骷髏正對著自己,心里感覺到不妙:網站真的被黑了!
雖然在黑客界很有名氣,但是大學畢業1年,靠寫一些文章和安全工具小軟件給一些安全雜志與報紙,Jason很難維持生活。
正好馬來西亞AAA銀行招聘銀行網絡安全管理員,考慮自己的興趣和愛好,Jason選擇了銀行的網絡安全管理員職位。
當時馬來西亞各家媒體、網站都在宣傳電子商務,那時就聽說了中國的阿里巴巴、易趣、淘寶網、當當書店等電子商務網站,Jason對電子商務網站十分著迷,夢想著有一天自己也可以象中國的馬云、邵亦波一樣通過網站把馬來西亞很多質量好價格低的產品遠銷國際。
Jason憑借自己的實力很順利進入到了馬來西亞AAA銀行,到了銀行工作之后,Jason很快就進入了角色,經過對銀行內部的考察發現了很多網絡信息安全問題。
Jason發現好多問題需要求助于專業的安全公司,于是就打電話給e-COP公司,e-COP公司派來專業安全顧問Brian,對內部網絡進行安全評估,發現銀行電子商務網絡有很多安全問題:
?數據分散,并且量極大
由于馬來西亞AAA銀行購買“最佳品牌”產品,這些安全產品(防火墻、入侵檢測、防病毒等)通常從不同廠家購得,每個產品都有自己的信息日志和控制臺,目前各種安全設備缺乏統一管理平臺,只能通過這些安全產品各自的控制臺去查看事件,窗口繁多,而且所有的事件都是孤立的,不同設備之間的事件缺乏關聯,分析起來極為麻煩;無法弄清楚真實的狀況。
?安全管理人員必須具備很高的技巧,了解各廠商的各種安全設備
不同廠家的設備對同一個事件的描述可能是不同的,這意味著馬來西亞AAA銀行安全管理人員必須分析各種不同格式的信息,才有可能進行管理,這導致安全管理人員的工作非常繁重,大量的時間用于一些價值不大的任務上。
?無法做到快速識別和響應
對于網絡安全人員來說,海量信息不但無法幫助找出真正的問題,反而因為太多而造成無法管理,并且不同廠商所制造的軟硬件可能送出不同的信息格式,使得在網絡安全威脅的鎖定上,變得難上加難,原本的安全系統反而成為管理上的負擔。
?運維關鍵
以往的安全管理運維工作都是基于資產的運維,但是安全卻是基于安全事件的運維。企業每出現一個安全問題就需要進行一次大范圍的維護,比如出現病毒問題。這使得安全的運維工作不同于以往的運維工作習慣,造成運維工作效率低下,并且難以規劃。
Brian還提出了安全建議:在馬來西亞AAA銀行部署的Cyclops企業安全管理系統(CESM)能夠對銀行所有不同IT安全產品和相關設備發出的事件進行采集、格式化和智能關聯,具有嚴密的處理層次和流程。CESM能夠為安全專業人員提供可管理的安全信息,如事件趨勢分析,攻擊處理對策和日志分析取證。
在馬來西亞AAA銀行的實際應用中,CESM提供如下的管理過程和事件處理過程:
?原始告警的數據歸并
CESM首先歸并來自安全設備的所有安全數據,這些安全設備包括防火墻、網絡IDS,主機IDS,安全應用程序和服務器的日志等。
?數據正規化
為分析安全事件,“技術規范解碼器”將原始數據處理成有意義的有用信息。通過這個過程,將原始數據轉化為TIF(Transportable-Incident-Format)格式。
?數據挖掘和關聯
CESM 以其獨特的數據挖掘和關聯技術能力,實現三級推理的邏輯信息處理流程。這種能力可以減少虛假告警,增加對攻擊的實時檢測能力。通過自動事件關聯和基于經驗的自學習,從大量安全設備產生的入侵模式將被立即比較和觀測。
?經過專家建議和分析的統一處理
提供易用的界面,同時處理CESM安全控制臺產生的多個安全事件。通過這種統一的處理方法有效地分析所有的安全事件。
?實時的防范措施
一旦發現來自外部或內部的攻擊企圖發生,立即采取防范措施,在信息損失前抵御入侵。
Jason馬上向IT部總經理Tom匯報Brian對網絡安全的分析,并且請Brian進行現場演示,Tom感覺非常不錯,但是Tom還是認為,馬來西亞AAA銀行已經有了最好品牌的防火墻、入侵檢測、防病毒等安全產品,安全管理平臺應該沒有必要上了,于是此項目就此擱淺。
Jason從回憶中回到了現實:現在需要解決網站被黑問題,怎么辦啊?
Jason馬上打電話給Tom,匯報現在一時之間看不出到底發生了什么事情,需要e-COP公司協助完成,Tom馬上答應。
30分鐘后,Brian到達現場,在銀行內部部署了一套安全管理平臺,然后對各種產品的日志進行分析。
Brian通過一個統一平臺看到了防火墻、入侵檢測、防病毒等事件信息,通過設備的關聯,很快確定了黑客攻擊路徑,原來黑客通過了兩層防火墻,然后到內部一臺剛買回來的主機上,利用這臺主機作為跳板,攻擊了網站服務器。
Brian馬上建議對剛買回來的主機進行加固,然后修改里外兩層防火墻策略,重新換上了網站的頁面,解決安全問題。
這時,Tom也出現在了Jason和Brian面前,連聲稱謝,表示:
“說得對,現在已不是單兵作戰的年代,而是團隊作戰,整體作戰,需要整體協調才能夠減少經濟損失,希望你們的產品能夠在此使用。”
過了一個月后,Jason又發現銀行電子商務網絡的一些安全問題,于是銀行又購買了一套CESM產品。
采用CESM安全事件管理系統做為安全管理平臺,參考e-COP多年的安全事件處理流程經驗SOP,銀行建立起了標準的內部安全事件處理體系,如圖所示。
馬來西亞AAA銀行通過安全事件處理體系,相關安全管理人員從海量事件中解脫出來,只關心少量的最為緊迫、最為關鍵的事件信息。并且,安全事件處理體系的成果為后續整體安全策略的規劃和調優提供了有力的依據。
第3篇:電子商務安全事件范文
【關鍵詞】電子商務 病毒入侵 黑客攻擊 信息安全
在互聯網信息技術飛速發展的大背景下,電子商務(簡稱EC,英文為Electronic Commerce)已逐步演變成人們慣用的商務活動模式,從事互聯網商業活動的人越來越多。與傳統商務活動對比,在B/S方式下運轉,兩大主體完成商品交易不受時間和空間的限制,這也是電子商務是最大特點。
現如今,我國正處于網絡經濟蓬勃發展的黃金時代,各個領域中電子商務的普及度較高。新型的商業活動形式建立在網絡的基礎上,保證了商業活動的便捷性和高效性。不過電子商務在對企業運管效率進一步提升的同時,使企業的面臨著病毒侵入、黑客攻擊、信息抵賴等問題,導致企業蒙受巨大虧損。所以,高度關注安全問題,才能保證電子商務平臺利用率提高。本論文以有關電子商務環境為切入點,對展開電子商務活動中出現的信息安全問題進行分析,并給出對應的方法和策略。
1 電子商務中網絡信息安全所存在的問題
1.1 電子商務網絡存在的問題
1.1.1 黑客攻擊
黑客對網絡進行攻擊是以偷取商業機要和攪擾系統正常運轉為目的,以下是常見的攻擊策略:竊聽;重發攻擊;迂回攻擊;假冒攻擊;越權攻擊等。
1.1.2 系統漏洞
侵入到電商系統人員以系統自身存在的安全漏洞為據,將操作系統數據的權限得到。然而,管理系統未實時打補丁或者在設置安全方面一直選取默認設置等原因造成系統產生漏洞。
1.2 電子商務信息存在的問題
1.2.1 電子商務信息存儲安全隱患
在靜態時儲存電商信息的安全即信息儲存安全。其信息安全隱患主要包括:篡改信息內容和非授權調用信息。
1.2.2 電子商務信息傳輸安全隱患
在運轉電子商務時,資金流、物流匯集成信息流之后傳送流程中的安全即信息傳送安全。它主要涵蓋以下四種安全隱患:
(1)盜取商業機密。大部分是以明文的形式來傳送電子商務信息,那么襲擊網絡的不法分子就極易截取或者監聽電商信息;
(2)對商務網站施以攻擊。攻擊者運用計算機病毒傳送,屏蔽掉電商網站設置的防火墻,更改信息,使網站癱瘓;
(3)實行商務欺詐。非法人員將虛假信息到Internet上去,詐騙現金、賬號,導致用戶信任電子商務活動的信賴度降低,在很大程度上對電子商務順利開展起阻礙作用;
(4)不良信息的傳送。非法人員為了實現自己的目標,把不良信息滲透到電子商務信息中。
2 應對電子商務中信息安全問題的對策
2.1 提高網絡信息安全意識
相比于西方l達國家,國內用戶網絡信息安全意識薄弱,忽視了自我權益的保護。再加上我國尚未建立完善的網絡信息安全監管機制,出現安全事件之后無法及時采取相應的補救措施,這些都是威脅信息安全的主要因素。故此,在信息安全中,防范人為因素導致信息非安全問題是重要內容。解決這一問題的關鍵在于為從事電子商務的用戶展開安全知識培訓活動,確保用戶充分認識信息安全的重要性,對信息安全常識了如指掌,進而降低電子商務中產生信息安全事件的幾率。
2.2 加強信息安全的技術防范
將來網絡安全技術會在計算機網絡所有層次中滲透,不過以電子商務安全防范技術為中心的網絡技術成為最近幾年研究的重要方向。以我國電子商務出現的安全問題為依據,可采取防火墻、虛擬專用網及認證、加密、安全審計、追蹤黑客、檢測系統漏洞等技術應對信息安全。另外還可以將加密路由器、翻譯網絡地址、動態包過濾、VPN等技術充分運用起來,確保構建一系列嚴實的安全防線將受保護資源與攻擊人員隔開。
2.3 強化網絡信息安全管理
信息安全管理在我國來說十分薄弱,面臨著管理能力弱且信息安全意識極其欠缺的問題。政府授權的第三方認證中心構建是電商信息安全管理中形式有效的一個方式,即用該認證中心來負責電子商務交易中的兩者主體的信息安全,保證整個交易流程的安全性和可靠性。
2.4 完善電子商務立法與信息安全立法
當前,我國正處于電子商務信息機制初級階段,只有在信用法制建設深入強化的大環境中,才能確保信息機制最大限度的施展其能力。故此,應當以國內電子商務安全問題為依據,不但要使現行法律的管理范疇擴大和加強,還要加大信息安全與電子商務立法的力度。另外還應當對第三方信用保證進行設置并使其得到強化,務必由商務、商檢認證中心、銀行共同協作才可確保交易不受阻礙。
3 結束語
本文以電子商務信息安全有關環境為切入點,對電商中出現的網信問題進行探析,并將用戶網信安全意識增強、加大網信安全管理力度、加大防范信息安全技術應用力度、健全信息安全和電子商務立法這四種策略,以期解決電子商務中出現的安全問題。電子商務安全性是一項龐大、系統的工程,要從技術和法律上加大保護力度,只有將電商中出現的所有安全問題一并處理好才能使電子商務更好的服務于用戶。
參考文獻
[1]田迎華,楊敬松,周敏.3G時代移動電子商務安全問題研究[J].情報科學,2010(10):1487-1490.
[2]王立萍.商業銀行電子商務安全風險管理研究[J].中南財經政法大學學報,2007(01):75-79+144.
[3]張濱,馮運波,吳秦建,江為強,喬矗王馨裕,楊明,何鵬.移動電子商務安全技術與應用實踐[J].通信學報,2016(04):200.
[4]孫鴻飛,張海濤,宋拓,武慧娟.電子商務個性化信息服務用戶滿意影響因素實證研究[J].情報雜志,2016(04):195-203.
[5]何培育.電子商務環境下個人信息安全危機與法律保護對策探析[J].河北法學,2014(08):34-41.
[6]王興泉,張寧.移動電子商務時代的信息安全與信息保護[J].蘭州學刊,2014(12):175-180.
[7]姚梅芳,楊修,楊涵.電子商務環境下信息管理模式研究[J].圖書情報工作,2013(05):46-49.
第4篇:電子商務安全事件范文
十二五規劃下的安全探討
本次大會以“構筑十二五規劃下中國信息安全體系”為主題,對當前國內外安全威脅、中國電子政務遇到的安全與挑戰、等級保護落實中的關鍵問題,以及各行業在“十二五”期間如何規劃以應對信息安全的挑戰等議題進行了熱烈討論。
中國計算機世界傳媒集團董事葛程遠表示,在信息安全威脅日益嚴峻的今天,“十二五”規劃以2011年作為開局之年,在規劃綱要中首次將“加強網絡與信息安全保障”作為重要的一個章節突出,顯示出“十二五”期間國家對信息安全的高度重視。“十二五”規劃綱要中明確指出:健全網絡與信息安全法律法規,完善信息安全標準體系和認證認可體系,實施信息安全等級保護、風險評估等制度。加快推進安全可控關鍵軟硬件應用試點示范和推廣,加強信息網絡監測、管控能力建設,確保基礎信息網絡和重點信息系統安全。
眾所周知,現階段的信息安全形勢發生了不少變化,新時代的信息安全堡壘正在逐步建立。工業和信息化部信息安全協調司副司長歐陽武表示,“隨著信息化水平不斷提高,網絡空間與物理空間相互交織、相互滲透、相互影響,網絡已經成為人類活動的重要領域。”
比如,前不久,美國政府就了一系列政策性文件:4月15日網絡空間可信身份戰略;5月16日網絡空間國際戰略;6月8日網絡空間安全創新和互聯網經濟;7月15日網絡空間行動戰略。這些都凸現了美國政府對陸海空天之外的網絡空間的高度重視。
中國政府對信息安全工作也十分重視,其中工業和信息化部的一項非常重要的職責就是協調和維護國家信息安全。為了切實履行好這一職責,工業和信息化部專門設立了信息安全協調司,以指導、監督政府部門和重點行業的重要信息系統基礎信息網絡安全保障工作,承擔信息安全應急協調,協調處理重大事件。而“十二五”規劃也為加強網絡與信息安全保障指出了明確方向。不過,國家信息化專家咨詢委員會委員寧家駿認為,目前對國家信息安全發展戰略的研究不夠。
“頂層設計的缺失導致中央和地方信息安全保障難以形成統一體系,影響了信息安全保障工作的可持續發展;中央和地方分級建設模式在一定程度上制約了統一體系和統一標準的形成;另外,在技術上存在先天不足、自主創新可控能力不足,也帶來新的問題。”他說。
國內外安全形勢嚴峻
會上,寧家駿給與會者展示了這樣一組數據:2011年6月互聯網網絡安全主要數據顯示,我國境內感染網絡病毒的終端達到815萬個,境內篡改網站數量達3164個,其中篡改政府網站數量333個,國家信息安全漏洞共享平臺收集整理漏洞447個,其中257個是高危漏洞,可以實施遠程攻擊的則有406個。公安部針對網絡黑客攻擊破壞活動專項行動打擊,破獲案件169起。同時,網絡失竊現象嚴重,政府網站也時常發生被植入木馬病毒的情況。另外,由于基礎網絡存在一定的相互依賴性,網絡安全威脅還可能導致災難性的骨牌效應,安全對信息化進程的穩定性存在必然的擾動性。
事實上,近兩年國際國內由黑客主導的安全事件的影響力以及破壞力一直在不斷上升,黑客行為已經脫離了“自由、共享”的初衷,正處于逐步失控的狀態,由此誕生的黑客產業鏈更是讓信息安全面臨著更大的挑戰。
中國綠色兵團發起人之一、CHOWNGROUP倡導者李麒是一位長期和黑客以及黑客地下產業鏈打交道的黑客專家。在他看來,黑客的行為已經不局限于利用木馬程序盜取QQ賬號、網絡游戲賬號、銀行賬號等個人信息為己牟利,一些黑客的行為已經開始對國際大事產生影響,“前不久我們發現越南的黑客將某個政府網站首頁進行了篡改,替換上他們的黑客頁面,用以表現他們在上的一些政治意圖。”
目前網絡戰已經升級成國與國之間的拉鋸戰,各國都創建了屬于自己的精銳“網絡部隊”。去年5月,美軍網絡司令部啟動應對網絡攻擊計劃,建立陸海空全面網絡戰防御體系,其目的就是打信息戰,并形成完備的信息戰體系。
防范Web威脅是大勢所趨
目前,黑客攻擊正在從傳統的網絡層轉化為應用層,同時越來越多的黑客開始盜取企業保密信息用于牟利。
“黑客可以盜取企業的機密信息、圖紙、財務報表以及核心數據等,將這些賣給企業的競爭對手,這其中也包括一些跨國公司的核心數據。”李麒說。
達到這些目的的方式主要是網頁被篡改、掛馬、仿冒三種手法,我國電子政務網站也深受其害。
“去年我們協助國家相關部門對全國31個省市區的7383個政府對外服務的網站進行大檢查,發現這些網站的安全情況不容樂觀。所查的網站一般都存在問題,其中最為突出的就是網頁被篡改,這種情況占到整個安全事件數量的62.7%,位居第一。”李麒表示,“造成這種問題的原因主要是網站的程序設計時沒有全面考慮安全因素,比如安全代碼優化、安全代碼編輯等關注不夠。”
李麒認為,造成信息安全形勢嚴峻的一個重要原因是用戶將安全防護重點設置在網絡層,而忽略應用層,黑客針對Web應用層進行攻擊往往讓人防不勝防。“與傳統網絡安全不同,Web安全威脅變化非常快,做好控制并不容易,尤其是維護、開發、上線等過程。針對這樣的情況,用戶不僅要建立整個安全防護體系,同時還針對目前信息安全態勢做好監測,對整個安全指標進行量化。另外,要將安全做到平臺化、周期性、常態化、制度化,做好預警。最后,要實現安全的易用性,并充分了解當前信息系統的安全狀態,出了問題要有相應的機制和應急響應。”
建立安全保障長效機制
為了應對日益嚴峻的安全形勢,2008年4月國家出臺了關于加強政府信息系統保密的通知,要求各地區、部門每半年要進行一個政府信息系統安全檢查。2009年3月又印發政府信息系統安全檢查辦法,明確了工作原則以及安全檢查的工作要求等,督促各地區和部門加強政府信息系統的安全防護。
會上,歐陽武還提出應大力推廣電子簽名。“網絡的匿名性、行為主體不確定性是互聯網最大的安全隱患。通過電子簽名技術可確認行為人和確保網絡行為的不可抵賴。一旦有了可靠的電子簽名,我們物理世界里面維護安全的最重要的兩個基石――法律和道德在網絡空間里面也有了應用的基礎。”
據了解,信息安全協調司成立三年以來把落實電子簽名法作為一項重要工作來抓。目前,工信部許可可信數字證書的社會保有量已經接近兩千萬,一個可信身份認證服務系統體系正在形成。
此外,讓計算機信息網絡等級保護制度更為有效地保護重要領域的信息網絡,建立安全保障的長效機制也是我國信息安全建設的重點。公安部十一局郭啟全處長表示,目前國家信息安全面臨的新形勢要求我們要重視國家關鍵信息基礎設施保護,近幾年公安部、工信部、國家廣電局、密碼局做了大量工作把國家關鍵基礎設施梳理出來,保護重點進一步明確。但是,如何全面和整體解決各行業在信息化建設中的安全問題,仍是國內外信息安全界一直關注的問題。
各行業構建
信息安全堡壘
電子商務、電力、醫療、能源等行業也都在信息安全領域進行新的嘗試。上海信息安全基礎設施研究中心副主任顧青表示,“十二五”規劃中明確指出要積極發展電子商務,完善面向中小企業的電子商務服務,推動面向全社會的信用服務和網上支付物流配送支撐體系建設。
根據中國電子商務研究中心的統計,截止到今年6月份,電子商務交易市場達2.9萬億元人民幣的交易額,B2B達2.6萬億元,但在電子商務的發展中,網絡經營主體的身份確認機制尚未成型,網絡市場經營行為需要進一步規范,網絡市場成型體系有待健全,政府職能部門服務監管有待于改進,網絡消費者維權行為有待于保障和解決等問題一直困擾著電子商務市場。同時,電子商務對數字證書認證有非常迫切的需求。因此,市場需要政府職能部門提供電子商務公信服務,創新監管方式方法,維護電子商務市場秩序,促進第三方認證服務機構提供電子商務公正服務,培育戰略性新興產業,構建完整的電子商務信任服務體系。
電監會信息安全處處長溫紅子作為電力行業的代表,對于工控系統基礎性地位級面臨的安全威脅深有感觸:“和IT系統一樣,工控系統也面臨黑客攻擊、惡意代碼、外力破壞、自然災害等安全威脅。同樣,工控系統一旦發生安全事件,損害程度將非常嚴重。比如,因病毒入侵伊朗布什爾核電站的西門子工控系統,致使數臺離心機數據錯誤,使伊朗能力倒退兩年。這件事值得我們警惕。”
溫紅子指出,工業控制系統的安全防護工作任重而道遠,在一些影響國計民生的大行業中應該引起足夠的重視,并亟需建立起可控的安全防護措施。
記者觀察
從來沒有真正的安全,安全是各方博弈的結果。自IT技術誕生以來,針對信息安全的討論和爭斗就不絕于耳。
由《計算機世界》主辦的“中國信息安全大會暨中國CSO俱樂部年會”已經迎來了第九個年頭,主持人的機敏、專家的博學、演講者的幽默,以及參會者的認真,讓每一屆大會都會碰撞出火花,這讓原來嚴肅的話題產生出不一樣的感覺。
本屆信息安全大會以“十二五規劃下的信息安全”為主題,來自政府、協會以及各行業企業代表各抒己見,圍繞大會主題介紹了各自下一階段的安全規劃。安全廠商針對目前的安全技術熱點以及用戶新應用需求,提出了有針對性的安全解決方案,并希望借此幫助企業在“十二五規劃”指導下構筑更為安全的企業防護體系,參會者亦對此表示出濃厚的興趣。
計算機世界傳媒集團董事 葛程遠
工業和信息化部信息安全協調司副司長 歐陽武
公安部網絡安全保衛局處長 郭啟全
上海信息安全基礎設施研究中心副主任 顧青
國家信息化專家咨詢委員會委員 寧家駿
中國綠色兵團發起人之一、CHOWN GROUP倡導者 李麒
第5篇:電子商務安全事件范文
如今,CIO們也在考慮如何讓消費者得到安全可靠的網上交易環境。防范假冒網站是所有電子商務人都必須面對的一個問題,因此釣魚網站不會局限于一個地區和國家。從安全技術發展和現實應用上分析,服務器證書技術的應用范圍還是比較廣泛的。從來自全球服務器證書的頂級提供商VeriSign的數據顯示,在全球500強企業中有93%的企業以及全球電子商務50強中94%的企應用該服務,其全球累計頒發的服務器證書超過45萬張。作為一種事前防范手段,每張服務器證書都具有一個與網站地址相對應的網站,證書所有者可以借此對外表明自己網站的真實可靠性,相當于出示一個“網絡身份證”,同時該技術還可以對信息傳輸通路進行加密,確保重要信息安全。
服務器證書以信任鏈作為紐帶,將全球可信站點聯系在一起,構建安全的網絡環境。整個信任鏈的建立是由安全服務廠商和各瀏覽器廠商等合作商共同完成的。第三方安全技術廠商通過嚴格的安全措施和有效的鑒證方法保證發放資格證書真實準確,而瀏覽器廠商會對認證機構的信譽進行評價,只有符合要求的安全服務商才進入能他們的信任鏈。
以IE6.0版本為例,上網者可以通過幾種方式進行查看。第一、網站地址是否為“”;第二,網頁右下角是否有金色安全小鎖標志;第三,網站是否有VeriSign等國際知名機構的簽章標志,只要三者有其一,網民就可以放心向其提交資料了。然而,由于釣魚網站所引發的安全事件不斷上升,最新版本IE7.0中服務器證書技術得到了進一步加強,地址欄會通過顏色變化將它們予以區分:地址欄呈現紅色為釣魚網站,綠色的是受信站點,黃色的是可疑網站。
就個人安全意識看,國外網民普遍對于個人信息保護具有很高的安全意識。通常他們會向配置了“網站身份證”的網站提交信息,而對于一些無法確認身份的網站,他們會比較謹慎。相對于國外網民,國內網民很少知道服務器證書對于個人信息安全的作用,在假冒網站面前仍感迷茫,眾多國內網民仍停留在通過殺病毒軟件等事后防范措施支撐著自己脆弱的安全防線。安全知識的匱乏,使得網民遭受釣魚網站侵害事件不斷出現。
第6篇:電子商務安全事件范文
HP、IBM、CA和BMC等廠商在其系統管理解決方案中,具有比較強大的系統安全及其管理功能,為服務器和整個信息系統的安全提供了很好的保證,并且大大減輕了系統管理員的負擔。主要的產品有HP公司的OpenView系列、IBM公司的Tivoli系列、CA公司的eTrust系列和BMC公司的Control-SA系列等。從整個信息系統的角度來看,服務器的安全主要包括訪問管理、風險管理和身份識別管理等方面。
精心保護服務器資源
在信息系統中,服務器不僅要和其他服務器與個人電腦連接,更需要和其他的網絡,特別是Internet連接,這就造成了安全方面的漏洞。如何保證安全的通信,成為安全方面的首要問題之一。雖然防火墻和IDS等可以發揮一些作用,但是其功能畢竟有限。因此,只有多種方法共同使用,才能使得系統更加安全。
在安全方面,管理用戶訪問企業資源、特別是服務器資源,是非常重要而復雜的。員工、合作伙伴和客戶要求跨不同平臺和操作系統,安全地訪問關鍵應用。操作系統一般支持管理人員訪問所有資源,這些都是不安全的因素。因此,需要有一種端到端的、集中化的安全解決方案。
目前,訪問管理對于電子商務的開展十分重要,合法用戶可以通過它獲得安全、統一和個性化的電子商務體驗,它可以幫助企業保護服務器上重要的應用和數據資源的安全性,使其免受非法訪問的侵害,使企業可以在安全的電子商務環境中進行業務擴展,為合作伙伴、客戶、供應商和員工提供擁有高可用性和強大的縮放能力的交易系統。
惠普公司著名的系統管理軟件OpenView在安全方面也做了很多工作。其中的OpenView Operations支持安全通信,從而可在不安全的網絡基礎設施上管理關鍵業務型和業務敏感型系統、數據庫及應用。OpenView Operations為企業的信息系統提供了一種業務驅動方式來迅速控制企業的應用。這是一種可跨邊界監督、控制和報告企業狀態的企業級管理解決方案,因而保護了構成當今企業信息系統環境的所有層次(網絡、系統、數據庫、應用、服務和Internet)的正常運行。
OpenView Operations核心產品配有針對攻擊或竊聽的標準保護,可保證網絡流量的安全。通過Advanced Security這一附加產品,OpenView Operations的通信基礎設施可擴展支持以下管理數據的驗證、加密和完整性:(1)在中央管理服務器之間的管理數據;(2)在管理服務器和分布式智能之間的管理數據;(3)在管理服務器和所連操作者控制臺之間的管理數據。
在安全方面,OpenView采取了一種開放的策略,通過智能插件(Smart Plug-in,SPI)集成第三方的安全解決方案。SPI作為一種主動式,應用于分布式環境,它收集各種安全信息,并進行智能分析,并轉發給上級管理層。OpenView的SPI已經可以和Checkpoint、Cisco PIX、e-Security、Nokia和Symantec等安全解決方案結合起來。
把風險和威脅拒之門外
電子商務的快速發展意味著更多的企業、系統、應用和數據可以進入到Internet世界。與此同時,企業面臨的風險也變得更多,安全戰線也進一步拉長,病毒威脅、非法訪問、“拒絕服務”攻擊以及其他的形式的入侵都將目標瞄準了電子商務應用、網絡、管理基礎設施、服務器和臺式電腦。
在當今充滿競爭的環境中,客戶都要求企業提供最高質量的服務、可行性和安全性,電子商務解決方案也必須是安全的,能夠保護商業交易的隱私、保護商業運行的完整性、保護客戶數據、提供全天候的訪問能力。但是,企業辛辛苦苦建立起來的品牌可能被來自Internet的攻擊侵蝕和破壞,IBM Tivoli Risk Manager可以幫助企業對安全事件和脆弱性進行集中化的管理,使企業全面提高安全性。
通過企業風險管理,系統管理人員可以對內部和外部的安全問題進行管理。通過提高風險管理的智能化程度,可以對各種安全問題進行主動性的管理,從根源上了解和解決系統中出現的各種安全問題,同時,還可以使用決策支持快速地對新的安全策略進行升級。IBM Tivoli Risk Manager主要具有以下功能。
1.集中化的事件管理
Tivoli Risk Manager可以通過一個單一的安全控制臺對安全事件進行管理,通信和控制中心可以對企業安全問題進行集中化的管理,將安全信息同來自防火墻、路由器、網絡、基于主機和應用的入侵檢測系統、臺式電腦和脆弱性掃描工具相關聯,幫助系統管理人員對攻擊、威脅和風險進行集中化的管理。集中化的控制臺可以為企業提供實時的可視化和安全事件管理。
2.同Tivoli Enterprise Console及Tivoli NetView緊密集成
這樣可以幫助企業對網絡系統進行深層次的檢查,找到受影響資源的確切位置,可以利用這種“深挖”功能對各個節點進行診斷或者查看對象屬性,還可以通過這個網絡控制臺來獲知某個網絡終端是否已經影響到了其他的資源。
3.心跳功能
Tivoli Risk Manager客戶端、分布式關聯服務器和網關都會產生周期性的“心跳”,上游服務器可以使用特殊的規則來檢測到丟失的心跳。當某個系統的心跳沒有被及時地檢測到時,將生成一個“停滯”告警,這個功能可以用來跟蹤來自第三方廠商的傳感器和適配器的“保持活動”告警。
4.Tivoli Risk Manager集成工具箱
通過集成工具箱,安全事件可以非常容易地同Tivoli Risk Manger集成。入侵事件數據格式可以在IDEF和IETF標準的基礎上為安全設備提供一個通用的告警格式,以便于將安全事件發送到管理控制臺。通過將告警轉換為IDEF格式,新型的安全技術產品可以快速地利用Tivoli Risk Manager提供的企業管理和關聯功能。
此外,還包括同Tivoli Access Manager以及Tivoli Enterprise Data Warehouse的集成、自主計算功能等。
火眼金睛 識別有方
針對信息系統的安全問題,CA公司提出了eTrust解決方案。該方案由三部分組成:eTrust身份識別管理、eTrust訪問管理和eTrust威脅管理。這三部分結合在一起,互相協作,形成了一個eTrust安全總控中心,從而協助企業實現安全控制。
身份識別管理主要是實現對用戶身份的管理。為了保證服務器和整個信息系統的安全,需要快速發現在線的企業內部的用戶,同時對于外部用戶,也需要有可靠的訪問控制方式。隨著單個用戶要求訪問多種平臺、系統和應用,這種復雜性更加劇了安全方面的挑戰。
第7篇:電子商務安全事件范文
關鍵詞:電子商務;信息安全;計算機網絡
1 問題的提出
隨著Internet網絡技術飛速發展及普及,電子商務(Electronic Commerce,簡稱EC)已經逐漸成為人們進行商務活動的新模式,越來越多的人通過Internet進行商務活動。電子商務是利用網絡技術、計算機技術和通信技術,實現數字化、電子化,商務化,網絡化的整個商務過程,它與傳統商業活動相比,最大的一個特征就是基于B/S方式下,交易雙方在不見面的情況下完成商品貿易活動。
由于Internet自身的共享性、開放性、無縫性,那么以此為平臺的在線商務交易安全也面臨著日益嚴峻的挑戰。據國家信息中心信息安全研究與服務中心統計,2012年發生了2起源代碼被盜事件,2起重大黑客攻擊事件,6起信息泄密事件,3起重大漏洞事件。2013年的棱鏡門,谷歌抓取支付寶轉賬信息,酒店開房記錄泄露等。據中國互聯網產業統計,中國網民在2013年損近1500億元。對于以上的這些問題,本文將對電子商務信息安全應用進行研究,并提出一些合理的安全解決方法,提高電子商務交易過程中的安全性,降低實施風險。
2 國內外電子商務安全研究現狀
2.1 國際電子商務安全研究現狀
在電子商務安全研究方面,美國是處于領先地位。美國國家安全局(NSA)在1983年正式頒布“受信計算機系統評量基準”,是目前頗具權威的計算機系統安全標準之一。自“911”恐怖襲擊事件之后,美國公司增強了信息技術安全觀念,投入大量的經費,同時加強信息技術安全方面的工作。從現在的網絡安全研究情況的現實看,解決網絡安全問題的根本途徑和方向是網絡技術創新,即研發新一代網絡技術,采取“立體”措施,包括引入“中間件”層及其安全結構,在“網絡層”增設面向連接的實時協議、強化整個網絡系統的管控智能以及改進終端加密和反黑等措施。
2.2 我國電子商務安全研究現狀
國務院在1996年了《中華人民共和國計算機信息網絡國際聯網管理暫行規定》,公安部在1997年了《計算機信息網絡國際聯網安全保護管理辦法》,2000年由國家信息化推進工作辦公室牽頭起草的《關于發展我國電子商務的若干意見》上報國家最高決策層進行審議。網絡信息安全問題不但得到了政府、企業的高度重視,同時國內的大專院校、研究所和有實力的大公司也紛紛進入網絡信息安全問題的研究領域。
3 電子商務信息安全隱患
電子商務的信息存儲安全隱患主要包括:(1)內部隱患。主要是網內用戶未經許可隨意增加、刪除、修改或無意或故意地非授權調用電子商務信息。(2)外部隱患。主要是因為軟件問題造成外部人員非法闖入內網,造成電子商務信息被增加、刪除、修改或調用。
電子商務的信息流動安全隱患主要包括:(1)竊取商業機密。多數電子商務的信息是以明文的方式傳輸,那么攻擊者很容易的對電子商務信息進行監聽和截取。(2)攻擊商務網站。攻擊者通過傳播計算機病毒,繞過電子商務網站的防火墻,篡改信息,使其無法正常運轉。(3)實施商務詐騙。不法分子通過Internet虛假信息騙取帳號、現金,用戶對電子商務產生不信任感,阻礙了電子商務的順利發展。(4)傳播不良信息。不法分子為了達到自己既有目的,在電子商務信息中推送不良信息。
電子商務交易雙方的信息安全隱患主要是:(1)商家的信息安全隱患。不法分子冒充合法用戶修改商務信息內容,致使電子商務活動中斷,造成商家無法從事正常的業務活動。(2)用戶的信息安全隱患。不法分子竊用攔截合法用戶身份信息,以合法的用戶進行電子商務活動,使用戶蒙受損失。
4 電子商務信息安全管理
在電子商務活動中,有些信息屬于商業秘密,如果失竊,將帶來不可估量的損失,因此需有一個能不中斷地提供服務及可靠穩定的電子商務平臺,任何系統的中斷,如軟硬件錯誤,病毒,網絡故障等都可能導致電子商務系統不能正常工作,所以電子商務信息的安全管理問題就成了電子商務順利推進的保障。隨著電子商務的深入應用,攻擊網絡技術和手段不斷改進,這就對電子商務信息系統的安全性提出了更高的要求,必須保證外網用戶不能對系統構成威脅,所以人們對這些基本技術進行了反復改進以適應更高的安全需求。
4.1 電子商務安全的法制建設及企業內部管理
為了保護用戶信息在電子商務活動中不受侵犯,政府應該完善電子商務信息法規,同時,還需制定詳盡、具體、具有可操作性的賠償制度,包括精神賠償和物質賠償,為電子商務的發展提供必要的法律保證。
在國內對個人信息安全保護的監管分別由公安部、工業與信息化部等部門管理,多頭管理難免會出現監管漏洞。對此可以建議由國安委統一管理,只有權力清晰才能保證監管沒有漏洞。
有些安全事件是“禍起蕭墻”,這就要求加強企業內部安全管理,培育和加強企業安全意識,通過企業和用戶的共同努力來實現。它的基本原則是在系統內發生的所有行為都必須被定義好的,并且符合相應的程序控制要求,所有行為的發生都有審計記錄,可以解決許多技術層次解決不了的安全性問題。
4.2 防火墻技術
目前的防火墻分可為兩大類,一類是簡單的包過濾技術,它是在網絡層對數據包實施有選擇的通過。依據系統內事先制定好的過濾邏輯,檢查數據流中每個數據包后,根據數據包的源地址、目的地址等因素來確定是否允許數據包通過。另一類是應用網管和服務器,其顯著的優點是能提供小顆度的存取控制,可針對特別的數據過濾協議和網絡應用服務,并且能夠對數據包分析并形成相關的報告。通過防火墻技術,可以過濾掉不安全的服務,提高網絡安全和減少網絡中主機的風險。但防火墻是一種被動安全技術,不能阻止來自內部網絡的攻擊。唯一的解決辦法就是,在每臺計算機上都裝反病毒軟件。
4.3 病毒防范技術
計算機病毒實際上就是在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。病毒繞過系統或違反授權入侵成功后,在系統中植入木馬等病毒程序,為以后攻擊系統、竊取信息做好準備。網絡防病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁的掃描和監測,工作站上對網絡目錄及文件設置訪問權限等。
現在較流行的反病毒技術基于病毒的特征碼掃描法、文件實時監控技術并輔以指令虛擬技術。掃描病毒:分析出病毒的特征病毒碼并集中存放于病毒代碼庫文件中,在掃描時將掃描對象與特征代碼庫比較,如有吻合則判斷為染上病毒。該技術實現簡單有效,安全徹底。監控病毒:通過利用操作系統底層接口技術,對系統中的指定類型的文件進行實時的行為監控,一旦有病毒傳染或發作時就及時報警。從而實現了對病毒的實時、永久、自動監控。刪除病毒:在刪除時采用虛擬技術對變種的病毒進行處理或編寫出相應的程序,將病毒移除計算機內存。
4.4 認證技術
安全認證技術主要有:(1)數字摘要技術,也稱安全HASH編碼法。用于對所要傳輸的數據進行運算生成信息摘要,它并不是一種加密機制,但能產生信息的數字"指紋",目的是為了確保數據沒有被篡改,從而保證數據的完整性和有效性。(2)數字簽名技術,又稱電子簽章、公鑰數字簽名。是一種類似寫在紙上的普通的物理簽名,就是附加在數據單元上的一些數據,或是對數據單元所作的密碼變換。這種變換或數據允許數據單元的接收者用以確認完整性和數據單元的來源并保護數據,防止被人偽造。它是對電子形式的消息進行簽名的一種方法,一個簽名消息能在一個通信網絡中傳輸。主要功能是保證信息傳輸的完整性、發送者的身份認證、防止交易中發生抵賴。(3)數字證書技術,又稱為數字憑證。負責用電子手段來證實用戶的身份和對網絡資源訪問的權限。(4)數字時間戳技術(DTS)。在文件交易中,時間是十分重要的信息,需對文件交易的時間和日期信息采取安全措施,而數字時間戳服務就能提供電子文件交易時間的安全保護。時間戳是一個經加密后形成的憑證文檔,它包括三個部分:需加時間戳的文件摘要,DTS的數字簽名,DTS收到文件的日期和時間。(5)身份認證實際。是計算機系統通過審查用戶身份證明的過程,提供確認和判別用戶身份的機制,確定用戶是否具有對系統資源操作和訪問權限。本質是確認用戶身份,用戶必須能夠證明其身份標識合法性。身份認證技術是訪問控制、安全審計、入侵檢測等安企機制的基礎,在電子商務信息安全理論與技術中占有至關重要的位。目身份認證技術主要有基于口令的認證技術、基于密碼學的認證技術、基于智能卡的認證技術以及基于生物學特征的認證技術等。
4.5 安全協議技術
電子商務安全問題的核心是電子交易的安全性,為了徹底解決電子商務的安全機制,人們開發了各種用于加強電子商務安全的協議。當前廣泛應用的電子商務安全協議主要有SET協議(Secure Electronic Transaction,安全電子交易)和SSL協議(Secure Sockets Layer,安全套接層),二者都采用了RSA算法加密。
SSL協議提供加密的SSL會話服務、SSL服務器鑒別服務以及SEL客戶鑒別服務,實現了瀏覽器等客戶端應用軟件與TC/IP協議之間的接口,可以對萬維網客戶與服務器之間傳送的數據信息進行加密和鑒別,在雙方握手階段,對將要使用加密算法和雙方共享的會話密朗進行協商,完成客戶與服務器之間的鑒別。目前許多運營商利用本身的便利性,使用一些的數據收集工具,分析出客戶的需求,并為客戶提供同類商品信息,或者是分析其他運營商的數據,產生一種惡性競爭。對于客戶來講,提供相關的其他同類商品的信息,看似是一種個性化的服務,但是同時也是在侵犯用戶的隱私,為此在應用層也就客戶在瀏覽網頁時,如果客戶需要商家提供相關的同類商品的信息時,商家才能對客戶的數據進行分析,否則不應任意分析用戶的數據。
SET協議是基于應用層的協議,是一種新的電子支付模式,它保證了開放網絡上使用信用卡進行在線購物的安全。SET協議具有強大的驗證功能,主要是為了解決用戶、銀行、商家之間通過信用卡的交易而設計的,它具有保證交易數據的完整性,交易的不可抵賴性等優點,因此它成為目前公認的信用卡網上交易的國際標準。
5 結束語
電子商務信息的安全問題是一項復雜的系統工程,隨著電子商務的發展,通過各種網絡的交易手段也會更加多樣化,安全問題變得更加突出。它不僅涉及到動態傳輸信息及靜態存儲信息的安全問題,還需要保證電子商務信息安全,加快電子商務的發展。還有在非技術方面,需要完善法律制度、管理制度和誠信制度,促進社會公眾商務觀念的轉變等,營造電子商務信息安全的社會大環境。
[參考文獻]
[1]金勝男.電子商務的信息安全技術研究.技術研發,2013年第12期.
[2]孟慧敏.電子商務對國際貿易的影響及應用.電腦知識與技術,2013年2月第9卷第5期.
[3]韓文虹.電子商務中安全技術的應用研究.電子商務,2013年2月.
[4]崔敏.基于電子商務的安全技術討論.網絡安全,2013年7月.
[5]龍愛民.電子商務的信息安全技術分析.信息技術,2013年9月.
[6]牟童.電子商務安全體系結構淺析.電子商務與電子政務,2013年3月.
第8篇:電子商務安全事件范文
1現狀研究分析
消費者在B2C電子商務中處于弱勢地位,在電子商務交易過程中,其權益保護成為研究B2C電子商務的重要內容。StevenE等[3]提出了一種Web可信保障服務模型,旨在通過建立信任鏈降低消費者被侵權可能。劉青[4]就電子商務中隱私權與知情權的沖突與協調展開了討論并提出協調解決問題的原則。廖善康等[5]就B2C電子商務中消費者的部分權益保護進行了分析。許曉峰等[6]對B2C中常出現的侵害消費者權益現象進行了較細的總結,但對于侵權行為背后涉及的消費者權益分析不甚清楚。國內外對于B2C電子商務中消費者權益保護的研究頗多,但對B2C中消費者權益構成不夠清晰;對于解決侵權行為建議頗多,成功的可行性方案甚少。這主要由于B2C電子商務領域知識交叉度極高,覆蓋法學、經濟學、信息安全學及計算機科學等學科,僅從各自角度出發的研究難以達成共識。本文采用實證方法,從B2C平臺交易侵權行為出發,概定B2C電子商務中消費者權益構成,并提出相關的保護措施。2B2C電子商務中消費者權益構成中國B2C電子商務發展過程中消費者權益被侵害的表現形式頗多。根據我國對公民人身權利的相關規定,通過面向B2C交易平臺的數據分析,將B2C中消費者的權益結構定義為知情權、公平交易權、隱私權、安全保障權和求償權的集合。下文通過實證分析中國前三大B2C企業最近1年發生的侵權事件,對上述五項消費者權益在B2C特定環境下進行說明。
2.1知情權
我國《消費者權益保護法》[7]第8條規定:“消費者享有知悉其購買、他用的商品或者接受的服務的真實情況的權利,消費者有權根據商品或服務的不同情況要求經營者提供商品的價格、產地、生產者、用途、性能、規格、等級、主要成分、生產日期、有效期限、檢驗合格證明、使用方法說明書、售后服務或者服務的內容、規格、費用等有關情況”。通過對中國商務信用平臺2010年12月~2011年10月的3632條投訴進行投訴對象的分類統計,投訴對象占比分布見圖1,其中涉及知情權投訴超過69%。B2C電子商務活動中,消費者知情權侵害的主要表現有:(1)圖片及文字描述與實物不符,避拙就優,產品缺陷被粉飾和掩蓋;(2)商場未能在網站以醒目的方式對消費者購買注意事項進行說明,尤其是關于退換貨款行為中消費者需要承擔的責任和應有的義務;(3)消費者在連續下一步點擊過程中,被動接受了明顯傾向企業經營者的格式條款。B2C電子商務中的知情權應當更加強調B2C網商的告知義務和告知手段。
2.2公平交易權
我國《消費者權益保護法》[7]第10條規定:“消費者在購買商品或接受服務時,有權獲得質量保障、價格合理、計量正確等公平交易條件,有權拒絕經營者的強制交易行為。”由于網購主要以低于市場流通價格的模式來吸引消費者,定價與產品服務之間的對應關系往往被扭曲。B2C商家試圖構造低價與“霸王條款”之間的因果關系,破壞公平交易性。特別是在B2C網購過程中,商家與消費者的溝通有限,商家就利用控制交易條款的優勢,設定偏向自身利益的格式條款。消費者在低價交易時存在“占便宜”的負罪心理,B2C商家通常利用這種心理對消費者進行綁架和要挾,理直氣壯地實施不公平交易行為。在中國商務信用平臺2010年12月~2011年10月的3632條投訴中只有12%的投訴得到解決,主要原因就是商家對公平交易權的漠視。B2C電子商務中的公平交易權應當注意“低價”不是“霸王條款”的理由。
2.3隱私權
根據我國《計算機信息網絡國際聯網管理暫行規定實施辦法》第18條規定:“用戶應當服從接入單位的管理,遵守用戶守則;不得擅自進入未經許可的計算機系統,篡改他人信息;不得在網絡上散發惡意信息,冒用他人名義發出信息,侵犯他人隱私;不得制造、傳播計算機病毒及從事侵犯其他網絡和他人合法權益的活動。”在B2C電子商務中消費者隱私權被侵犯主要有3種形式:(1)過度收集消費者信息。由于網絡的虛擬性,B2C商家需要對消費者信息進行確認以保證其交易安全,但信息收集必須是在得到消費者允許的情況下進行,任何欺騙、脅迫等行為應視為損害消費者隱私權之行為。(2)非法分析利用消費者數據。隨著數據分析技術的發展,B2C網站通過數據挖掘、協同過濾等方式對消費者個人信息、消費行為進行分析并向消費者進行商品或服務的推薦,這本是一種創新的信息服務,對商家和消費者是互利互惠的事情。不過,商家通過用戶數據進行分析得出用戶未透露信息并進行生產經營,則視為侵犯消費者隱私權,比如未經消費者同意對消費者實施郵件營銷之行為。(3)消費者數據非法交易。消費者數據非法交易目前有兩種形式:①公司之間相互交換消費者信息;②消費者數據買賣,出售消費者信息的可能是交易平臺或電子商務企業具有相應權限的人員,也可能是惡意收集網絡數據的網絡攻擊者,俗稱黑客。B2C電子商務中的隱私權要求商家必須以消費者的顯示意愿作為一切涉及消費者信息活動的前提。
2.4安全保障權
《消費者權益保護法》[7]第7條規定:“消費者在購買、使用商品和接受服務時享有人身、財產安全不受損害的權利。消費者有權要求經營者提供的商品和服務,符合保障人身、財產安全的要求。”由于B2C電子商務交易依賴的開放網絡的虛擬性和隱匿性,致使電子商務環境下的消費者安全保障權遇到更多困難。2010年3月,中國互聯網絡信息中心(CNNIC)和國家互聯網應急中心(CNCERT)在京聯合《2009年中國網民網絡信息安全狀況調查系列報告》,報告顯示,2009年52%的網民曾遭遇過網絡安全事件,網民處理安全事件所支出的相關服務費用共計153億元人民幣。《第28次中國互聯網絡發展狀況統計報告》數據顯示,2011年上半年,遇到過病毒或木馬攻擊的網民達到2.17億,比例為44.7%,有過賬號或密碼被盜經歷的網民達到1.21億人,比例為24.9%,8%網民在網上遭遇過消費欺詐,該群體規模達到3880萬人。可見,在B2C電子商務中消費者安全權有著更廣泛的內涵。除《消費者權益保護法》的相關規定外,交易環境的安全性極為重要。
2.5求償權《消費者權益保護法》[7]
第11條規定:“消費者因購買、使用商品或者接受服務受到人身、財產損害的,享有依法獲得賠償的權利。”通過對維權網、中國消費者網、紅網等投訴維權網站的數據分析,針對B2C電子商務網站的求償投訴占據投訴案件的最大比重,矛盾非常突出;與此同時,消費者的求償之路也極其曲折坎坷,主要原因在于網絡取證難度和相關法規網絡適應性的爭議。在B2C電子商務中,求償權源于商家對自身品牌的重視程度和整個B2C電子商務產業的成熟程度。
3面向B2C電子商務的消費者權益保護
保護消費者權益不僅是B2C電子商務應該關注的重點,也是整個電子商務行業發展的重要內容。消費者權益保護在傳統商務中尚未獲取完全有效的解決方案,針對B2C電子商務模式中參與主體以及交易方式的特殊性,消費者權益保護應該充分利用傳統商務中已初見成效的方法,諸如315投訴、質檢部門等的作用。另外,B2C電子商務侵害消費者權益案件中源于網絡的問題需治于網絡,以網絡技術治理網絡問題,諸如針對開放的網絡環境采用信息安全技術保證數據機密性、完整性和可用性,以及通過交易流程存檔管理技術降低取證難度。對于B2C電子商務中消費者權益的保護,應著手于3方面:1)國家針對B2C電子商務消費者權益保護的相關法律法規的確立與頒布;2)交易平臺和網商在其B2C電子商務交易過程中的行為約束;3)消費者對其權益保護意識的加強,以及對參與B2C電子商務行為相關知識和技術的掌握。基于B2C電子商務下消費者權益構成,下面就5項權益集合的保護措施進行說明。
3.1知情權保護
為保障消費者知情權,國家部委和行業主管應明確B2C電子商務企業的信息披露制度。披露內容包括經營者信息、企業信息、企業從事特定范圍營業的行政許可證明等商家信息;商品的材料、用途、使用限制條件、規格、價格、有效期、真假鑒定方法等商品描述信息;支付方式、售后服務、意外處理方式、送貨方式及聯系方法等交易服務信息;服務的效果、服務范圍、服務質量鑒定方法、價格、規格等售后服務信息。交易流程需以通俗易懂的方式告知消費者,并且附加圖片或者視頻演示。同時,要求消費者在網購時仔細閱讀網站提供的商品或服務描述信息和交易指導信息;通過搜索引擎、論壇、社交網絡等網絡資源獲取預購商品或服務的應盡可能全面信息以幫助甄別;以截圖、拍照等方式盡可能詳細地記錄交易過程中的關鍵信息點,如商品描述、支付、驗貨等,形成知情權保護的意識和手段。
3.2公平交易權保護
在B2C電子商務中,商家在交易行為中具有明顯的優勢,平衡交易雙方在交易行為中的不平等地位成為保障消費者公平交易權的關鍵。具體的應從5個方面入手:1)修繕《消費者權益保護法》和《合同法》,《消費者權益保護法》[7]于1993年頒布,1994年實施,主要用于有形商品交易行為中消費者權益的保護,而不適用于電子商務經常出現的無形商品或服務;明確交易平臺責任承擔的細節,如進行商家和交易平臺在何時、何種條件下應當承擔何種責任。2)賦予消費者對B2C企業經營者訂立合同、條款的任意解除權,為此可學習歐盟的《消費者保護(遠距離銷售)規則》[8],提升消費者在B2C電子商務中的地位。3)建立第三方監督機制,由消費者協會或者電子商務協會組織專家,對于商家在B2C電子商務行為中設定的合同、條款的內容進行權威認證,旨在排除其間不公平、不合理、不清晰、損害消費者權益的條款。4)鼓勵交易平臺在相應位置添加法律指導功能鏈接,以增加消費者的法律知識和自我保護意識。5)交易平臺應盡可能方便地向消費者提供更正錯誤輸入的機會,如購物信息在一定時間內可更改,出現明顯輸入錯誤應予以提示等。
3.3隱私權保護
消費者隱私權的保護,首先法律法規應當明確規定可被電子商務企業收集的消費者個人信息和消費行為信息內容,允許的收集方式,消費者信息使用環境,如儲存消費者信息的數據庫、調用消費者信息的應用程序以及消費者信息可視對象等;對消費者數據被泄露責任承擔主體、消費者維權方式進行規定。其次消費者在參與B2C電子商務交易過程中,應加強對個人隱私信息的保護意識和知識,在提交個人隱私數據給交易平臺前應閱讀交易平臺上提供的說明信息;積極安裝交易平臺提供的安全控件,規避IPV4安全設計缺陷所導致的數據截獲。在隱私權受侵害時,消費者應當冷靜取證、勇敢維權。最后交易平臺一方面要保證平臺主體本身不侵犯消費者隱私權,另一方面要保證交易平臺運行安全與數據流通安全;交易平臺應當提供消費者選擇個人信息、消費行為信息是否公開的表單;交易平臺應當遵循消費者的隱私保護設置,如須在交易流程中引用要顯示告知。平衡消費者根本權益保護和交易平臺及商家的經營活力和創新精神是政策、立法之根本宗旨。
3.4安全保障權保護
根據B2C電子商務中侵害消費者安全保障權的主要方式,其保護措施的根本在于制訂相關法律法規以明確交易平臺、商家和消費者在發生侵害時各方應承擔的責任。主要保護手段應當建立在交易平臺的信息安全技術和質量監督技術應用之上,交易平臺應當實現數據跟蹤功能,安裝防火墻、殺毒軟件,嚴格端口管理制度和登錄認證制度,加強流通環節中產品質量管理和監控。作為消費者,也應該提高安全防范意識,要對平臺登錄口令、支付口令、支付證書及證書載體需妥善保管,要在安全的計算機上進行網購行為,應對商品或服務的使用要根據相關說明執行。
3.5求償權保護
對于消費者求償權的保護,關鍵在于求償過程中有法可依、有據可循、求償有路、賠償可行。在執行保障消費者求償權過程中,則要對預防、求償處理進行雙管齊下。完善法律法規,明確B2C電子商務中的賠償主體,是消費者求償權得以保障的基礎。在B2C電子商務中應該根據交易平臺和商家之間的關系來確定賠償主體,如二者同屬于一家企業,如蘇寧易購,賠償主體應該確定為蘇寧電器;而當二者之間屬于租賃關系,則應對消費者權益受侵害環節進行細節定義,對交易平臺和交易商家各須承擔的責任環節進行定義,以避免二者相互“踢皮球”而耽誤消費者的正當求償。國內電子商務市場,采用B2C模式的企業越來越多,市場競爭本身能夠為消費者求償權保障起到積極作用。消費者在網購時,應理智選擇對于賠償解析清楚明了的網站,通過市場優勝劣汰規則,將不注重消費者求償權保障的交易平臺和商家淘汰,促使其注重對于消費者求償的處理效力。
第9篇:電子商務安全事件范文
關鍵詞:電子商務、家電連鎖零售業近年來電子商務的大潮席卷全球,電子商務給家電連鎖零售業帶來了巨大的機遇,同時也帶了很大的挑戰。面對電子商務新環境,家電連鎖零售業該如何應對,本文提出了幾點對策建議。
1、擴充網上經營品類,與第三方B2C電子商務平臺正面交鋒
第三方B2C電子商務平臺擁有強大消費者吸引力的一個重要原因是其產品種類齊全。在成熟的第三方B2C電子商務平臺上,消費者幾乎可以買到所有需要的產品,實現了一站式購物。而第三方B2C電子商務平臺推出的“滿66元免郵費”、“滿300送50”等各種以購買金額為標準的優惠措施也使得消費者更加傾向于進行一站式購物。而迫使用戶放棄使用某網站最常見的原因是“找不到需要的商品”,那么由此可以推論,網站銷售商品種類的齊全一定可以吸引更多的消費者使用該網站。
針對這一點,家電連鎖零售商應該在網上經營品類上做文章,以家電產品為基礎,逐步將服裝、日用百貨、圖書等納入網上經營范圍,最終滿足消費者一站式購物的需求。而在擴充經營品類的過程中,核心競爭力的打造必不可少。對于家電連鎖零售企業來說,其網上商城的核心產品依然是家電和3C產品。應該利用其各自的品牌優勢,用價格低廉、質量過硬、服務到位的家電和3C產品吸引消費者,在滿足消費者對家電和3C產品的主要需求后,用全品類的供給能力滿足消費者對其他產品的連帶需求,從而進一步占領網上市場份額。
家電連鎖零售商在網上進行全品類擴張有其自身的先天優勢。其中在全國布局的線下門店銷售網絡為其提供了天然的物流配送體系,而這一點是第三方B2C電子商務平臺所不具備的。以蘇寧電器為例,蘇寧電器連鎖網絡目前覆蓋中國大陸30個省,300多個城市、香港和日本地區,擁有1000多家連鎖店,80多個物流配送中心、3000家售后網點,員工18萬多人。如此強大的連鎖網絡可以為蘇寧易購提供堅實的物流配送支持,善加利用會節省大量的物流配送支出,從而提高網上經營利潤。
2、充分發揮線下優勢,實現業務線下線上無縫對接
與第三方B2C電子商務平臺、生產廠商自建網絡平臺、C2C家電零售網店相比較而言,家電連鎖零售商在電子商務環境下所擁有的最大比較優勢是其成熟的線下實體店網絡。競爭講究揚長避短,如何發揮線下的獨特優勢也就成為了擺在家電連鎖零售商面前的重要課題。
顯然,家電連鎖零售商若能夠實現線下、線上“兩條腿”走路,則其競爭力將獲得較大的提升。在積極開拓線上業務的同時,家電連鎖零售商仍需鞏固其在線下的競爭優勢。這一方面可以使得家電連鎖零售商繼續占領線下市場份額,另一方面也可以為線上交易提供支持。對于單品價格較高或者需要上門安裝的家電產品來說,如果消費者與產品沒有見面以及實際體驗的過程,消費者就很難做出購買的決定。這使得線下實體店成為了線上交易的體驗店,很大程度上促進了網上交易的達成。線下實體店除了作為線上交易的體驗店之外,還可以承擔電子商務物流服務平臺的作用,此時網上商城在某種程度上又成為了線下實體店的宣傳平臺。
通過實體店與網絡平臺的互動與無縫對接,家電連鎖零售商可以實現銷售的虛實結合,這一方面可以繼承傳統家電連鎖零售商所擁有的采購成本優勢,另一方面可以節省配送成本,還可以增加消費者線上購物的滿意度,從而實現整體銷售業績的提升。
3、加強網上平臺建設,提升用戶體驗滿意度
隨著電子商務的高速發展,網上銷售平臺的競爭日益加劇,家電連鎖零售商應該將提升用戶體驗滿意度放在一個非常重要的位置來考慮。提升網上用戶體驗的滿意度重在加強網上平臺建設,而網上平臺建設的重點在于兩個方面:一方面要提升網站的功能及界面操作的用戶友好性,另一方面要加強網站的安全性。
提升網站的功能及界面操作的用戶友好性要從操作細節入手。某些微小的細節做得好,會讓客戶感受到網站運營者的管理的細致周到,從而提升對商家的信任度;而忽略細節,特別是對于交易達成或支付起關鍵作用的細節,就可能會造成客戶的流失。而加強網站的安全性則是任何一家從事電子商務的企業的必修課。由于網絡安全事件的頻發,用戶對于自己網上信息及資金安全的敏感度非常高,一旦發生影響廣泛的用戶信息泄露或用戶資金受損事件,網上平臺可能會受到毀滅性的打擊。
4、加大物流體系建設,為網上交易提供堅實的物流支持
完善高效的物流體系是家電連鎖零售企業實現電子商務目的的最終保障,缺少了與家電及其他網上銷售商品相適應的現代物流技術和體系,再好的產品、再完善的網上平臺也無法給企業帶來最終的利益,因為物流才是交易最終達成的最后一環。加強物流體系建設,可以在如下幾個方面做文章:
第一,以自身實體店為主要物流節點,以第三方物流為適當補充。家電連鎖零售商應該充分利用自身已有的實體店資源,將其作為主要的物流節點搭建覆蓋城鄉的物流配送體系;除此之外,對于一些小城市或偏遠地區,這加強與第三方物流的溝通合作,實現高效配送。
第二,整合供應鏈,提高配送效率。家電連鎖零售商應加強信息化建設,不僅實現企業內部的數據共享,還要努力實現與供應商的信息共享,從而在線下線上協調配合的同時實現供應鏈的外部整合,以提高配送效率。
第三,加強物流體系內員工的業務培訓,提升物流服務水平。家電連鎖零售商除了要加強供應鏈環節的建設外,還要努力通過培訓等形式提高員工的專業化水平和綜合素質,從而提高物流配送服務和售后服務質量。(作者單位:北京物資學院)
參考文獻
[1]杭州市經濟委員會,浙江大學管理學院.杭州市企業電子商務應用現狀與對策建議[EB/OL].2011-02-01.
[2]鄭淑蓉.關于中國電了商務服務商分析―基于產業鏈視角[J].經濟問題,2007(08):32-34.
