時間:2023-10-05 15:56:22
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇電子商務的安全管理制度,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:電子商務 信息安全
計算機網絡安全與商務交易安全實際上是密不可分的,兩者相輔相成,缺一不可。針對計算機網絡的安全,常用的保護措施有防火墻技術、網絡入侵檢測技術、網絡防毒技術等。交易信息的安全是可以用數據加密、數字簽名、數字證書、ssl、set安全協議等技術來保護。下面就防火墻技術、數字加密技術、身份驗證技術等進行介紹。
1,防火墻技術
目前的防火墻主要有兩種類型。其一是包過濾型防火墻。它一般由路由器實現,故也被稱為包過濾路由器。其二是應用級防火墻。大多數的應用級防火墻產品使用的是應用機制,內置了應用程序,可用服務器作內部網和Internet之間的的轉換。
防火墻就是在網絡邊界上建立相應的網絡通信監控系統,用來保障計算機網絡的安全,它是一種控制技術,既可以是一種軟件產品,又可以制作或嵌入到某種硬件產品中。從邏輯上講,防火墻是起分隔、限制、分析的作用。實際上,防火墻是加強Intranet《內部網)之間安全防御的一個或一組系統,它由一組硬件設備(包括路由器、服務器)及相應軟件構成。所有來自Internet的傳輸信息或你發出的信息都必須經過防火墻。這樣,防火墻就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統間進行信息交換等安全的作用。防火墻是網絡安全策略的有機組成部分,它通過控制和監測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理。從總體上看,防火墻應該具有以下五大基本功能:(1)過濾進、出網絡的數據:(2)管理進、出網絡的訪問行為:(3)封堵某些禁止行為:(4)記錄通過防火墻的信息內容和活動:(5J對網絡攻擊進行檢測和告警。
防火墻雖然能對外部網絡的功擊實施有效的防護,但對來自內部網絡的功擊卻無能為力。網絡安全單靠防火墻是不夠的,還需考慮其它技術和非技術的因素。
2,反病毒技術
反病毒技術包括與防病毒、檢測病毒和消毒三個環節,反病毒必須做到“以預防為主“,正所謂”防患于未然”,等病毒出現了再去清除,可能已經給用戶造成了巨大的損失。
3,數據加密技術
加密技術是保證電子商務中采用的主要安全措施,交易雙方可根據需要在信息交換階段使用。加密技術的主要問題是加密方式及實現加密的網絡協議層和密鑰的分配及管理。在一個加密過程中有兩個基本元素:算法和密鑰。加密過程就是根據一定的算法,將可理解的數據(明文}與一串數字(密鑰)相結合,從而產生不可理解的密文的過程,主要加密技術是:
(1)常規密鑰密碼加密。所謂常規密鑰密碼加密,即加密密鑰與解密密鑰是相同的。在早期的常規密鑰密碼體制中,典型的有代替密碼,其原理可以用一個例子來說明:字母A,B,C,D,…,W,X,Y,Z的自然順序保持不變,但使之與D,E,F,G,…,Z,A,B,C分別對應(即相差3個字符)。若明文為WELL則對應的密文為ZH00(此時密鑰為3)。但存在幾個問題:第一,不能保證也無法知道密鑰在傳輸中的安全。若密鑰泄漏,黑客可用它解密信息,也可假冒一方做壞事。第二,假設每對交易方用不同的密鑰,N對交易方需要N’(N一1),2個密鑰,難于管理。第三,不能鑒別數據的完整性。
(2)對稱密文加密。對稱密鑰加密又稱為秘密密鑰加密,即收發雙方采用相同的密鑰來進行加密和解密。對稱密鑰加密的最大優點是加解密速度快,適合于進行大量數據加密,但也存在密鑰管理、困難以及無法進行身份鑒別的缺點。
(3)非對稱密鑰加密。非對稱密鑰加密也稱為公開密鑰加密,每個用戶有一對密鑰:一個用于加密,一個用于解密,兩把密鑰實際上是兩個很大的質數。其中,加密密鑰(公鑰)可以在網絡服務器、報刊等場合公開,而解密密鑰(私鑰)則屬用戶的私有密鑰,由公開的加密密鑰導出私有的解密密鑰在技術上是不可實現的。與對稱密鑰加密相比,采用非對稱密鑰加密方式密鑰管理較方便,且保密性比較強,但加解密實現速度比較慢,不適用于通信負荷較重的應用。
具體加密傳輸過程如下:
a發送方甲用接收方乙的公鑰加密自己的私鑰。
b發送方家用自己的私鑰加密文件,然后將加密后的私鑰和文件傳輸給接收方。
c接收方乙用自己的私鑰解密,得到甲的私鑰。
d接收方乙用甲的公鑰解密,得到明文。
在密鑰的加密過程中,由于發送方甲用乙的公鑰加密了自己的私鑰,如果文件被竊取,由于只有乙保管自己的私鑰,黑客無法解密。這就保證了信息的機密性。另外,發送方甲用自己的私鑰加密信息,因為信息是用甲的私鑰加密,只有甲保管它,可以認定信息是甲發出的,而且沒有甲的私鑰不能修改數據。
4,身份驗證技術
僅有加密技術不足以保證電子商務中的交易安全,身份認證技術是保證電子商務安全不可缺少的又一重要技術手段。
(1)認證系統。網上安全交易的基礎是數字證書。數字證書類似于現實生活中的身份證,用于在網絡上鑒別個人或組織的真實身份。數字證書的頒發機構叫做Certificate Authority,通常簡稱為CA。要建立安全的電子商務系統,首先必須建立一個穩固、健全的CA,否則,一切網上的交易都沒有安全保障。
(2)SSL協議。SSL協議{Secure Socket Layer,安全套接層)主要目的是解決TCP/IP協議不能確認用戶身份的問題,在Socket上使用非對稱的加密技術,以保證網絡通信服務的安全性。SSL協議易于實現。SSL協議還是最值得信賴的協議。但是由于SSL協議當初并不是為支持電子商務而設計的,所以在電子商務系統的應用中還存在很多弊端,在涉及多方的電子交易中,只能提供交易中客戶與服務器間的雙方認證,而電子商務往往是用戶、網站、銀行三家協作完成,SSL協議并不能協調各方間的安全傳輸和信任關系。
(3)SET協議。SET(Secure EIectronic Transaction)安全電子交易協議是用于Internet上的以信用卡為基礎的電子支付系統協議。主要應用于B/C模式中保障支付信息的安全性。SET協議提供對消費者、商戶和銀行的認證,協議本身比較復雜,設計比較嚴格,安全性高,確保電子交易的機密性、數據完整性、身份的合法性和抗否認性,特別是保證了不會將持卡人的信用卡號泄露給商戶。其核心技術主要有公開密匙加密、電子數字簽名、電子信封、電子安全證書等。
5,電子商務系統的安全管理制度
電子商務系統的安全管理制度尤為重要,它是用文字形式對各項安全要求所作的規定,它是保證網絡營銷取得成功的重要基礎工作,是網絡交易人員應該而且必須遵守的規范和準則。任何電子商務系統都要制定一套完整、適用于自身的安全管理制度,這些制度應該包括人員管理制度、保密制度、系統維護制度、數據備份制度、應急措施和病毒防治制度等。
關鍵詞:電子商務 安全問題 安全策略
中圖分類號:G642 文獻標識碼:A 文章編號:1672-8882(2012)10-047-01
1.引言
電子商務作為一種全新的業務和服務方式為全球客戶提供了豐富的商務信息、簡捷的交易過程和低廉的交易成本,這種商務活動模式正在被全世界的人們所關注和青睞。但是,電子商務的安全性也制約了它的發展,安全問題已經成為電子商務推進中的最大障礙。
2.電子商務的安全問題
電子商務系統從一定意義上來講就是一種計算機信息系統,信息系統安全主要是網絡的信息安全,從這個角度來闡述電子商務系統的安全問題的根源,則主要包含以下幾個方面物理安全、方案設計的缺陷、系統的安全漏洞和人的因素等幾個方面。
2.1物理安全問題
物理安全問題主要包括物理設備本身的問題、設備的位置安全、限制物理訪問、物理環境安全和地域因素等。物理設備的安全威脅包括溫度、濕度、灰塵、供電系統對系統運行可靠性的影響,由于電磁輻射造成信息泄露,自然災害如地震、閃電、風暴等對系統的破壞。設備的位置極為重要,所有的基礎網絡設施都應該放置在嚴格限制來訪人員的地方,以降低出現未經授權訪問的可能性。如果物理設備擺放不當,受到攻擊者對物理設備的故意破壞,其他的安全措施都沒有用。還要嚴格限制對接線柜和關鍵網絡基礎設施所在地的物理訪問,除非經過授權或因工作需要而必須訪問之外,禁止對這些區域的訪問。地域因素,互聯網往往跨越城際、國際,地理位置錯綜復雜,通信線路質量難以保證,會給上傳信息造成損壞、丟失,也給“搭線竊聽”的黑客以可乘之機,增加更多的安全隱患。
2.2方案設計的缺陷
在實際中,網絡結構比較復雜,會包含星型、總線和環型等各種拓撲結構,結構的復雜給網絡系統管理、拓撲設計帶來很多問題。為了實現異構網絡間信息的通信,就必須要犧牲一些安全機制的設置和實現,從而提出更高的網絡開放性的要求。有時特定的環境往往會有特定的安全需求,所以不存在可以通用的解決方案,需要制定不同的方案。如果設計者的安全理論與實踐水平不夠的話,設計出來的方案經常是存在漏洞的,這是安全威脅的根源之一。
2.3系統的安全漏洞
軟件系統規模不斷增大,系統中的安全漏洞不可避免的存在,任何一個軟件都可能會因為程序員的一個疏忽、設計中的一個缺陷等原因而存在漏洞。主要包括操作系統類的安全漏洞、網絡系統類安全漏洞和應用系統類安全漏洞。
2.4人的因素
人是信息活動的主體,人的因素其實是網絡安全的最主要因素體現在以下三個方面:一、人的無意失誤,操作人員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的賬號隨意轉借他人或與別人共享都會給網絡安全帶來威脅。二、人為的惡意攻擊,就是黑客攻擊,是計算機網絡面臨的最大威脅。這類攻擊主要分為兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄露。三、管理上的因素,網絡系統的嚴格管理是企業、機構及用戶免受攻擊的重要措施,很多企業、機構及用戶的網站或系統都疏于安全方面的管理。管理的缺陷可能會出現系統內部人員泄露機密或外部人員通過非法手段截獲而導致機密信息的泄露,為一些不法分子制造了可乘之機。
3.電商務安全的策略
電子商務安全,首先想到的是技術保障措施,僅從技術角度安全保障還遠遠不夠。電子商務的安全需要一個完整的綜合保障體系,采用綜合防范的思路,從技術、管理、法律等方面去認識,根據我國的實際和國外的經驗,采取適合我國的安全保障辦法和措施。
3.1信息技術措施
信息技術措施主要涉及物理安全策略、訪問控制策略、信息加密技術、數字簽名技術以及防火墻等等。
3.1.1物理安全策略
保護計算機網絡設備、設施以及其他媒體免遭地震、水災、火災等環境事故以及人為操作失誤和各種計算機犯罪行為導致的破壞。
3.1.2訪問控制策略
訪問控制策略隸屬于系統安全策略,他迫使在計算機系統和網絡中自動的執行授權,被分成指令性訪問控制策略和選擇性訪問控制策略兩類。指令性訪問控制策略是由安全區域權力機構強制實施的任何用戶不能回避它。選擇性訪問控制策略為一些特殊的用戶提供了對資源的訪問權這些用戶可以利用此權限控制對資源進行訪問。
3.1.3信息加密技術
信息加密技術是電子商務安全技術中一個重要的組成部分。數據傳輸加密技術主要是對傳輸中的數據流進行加密,常用的有鏈路—鏈路加密、節點加密、端—端加密、ATM網絡加密和衛星通信加密五種方式。應該根據信息系統安全策略來制定保密策略,選擇合適的加密方式。
3.1.4數字簽名技術
數字簽名技術可以防止他人對傳輸的文件進行破壞以及確定發信人的身份。RSA簽名方法和EIGamal數字簽名方法是兩種基本的數字簽名方法,許多數字簽名方法都基于這兩種算法。RSA是可逆的公開秘鑰加密系統,在數字簽名過程中運用了消息的驗證模式。EIGamal是一種非確定性的雙鑰體制,它對同一明文消息的簽名會因隨機參數選擇的不同而不同。
3.1.5防火墻技術
防火墻是指隔離在本地網絡與外界之間的一道或一組執行策略的防御系統。防火墻可以隔離不同的網絡,限制安全問題的擴散,可以很方便地記錄網絡上的各種非法活動,監視網絡的安全性,遇到緊急情況報警。
3.2信息安全管理制度
建立完善的安全管理制度,進一步保證電子商務的安全。信息安全管理制度主要包括人員管理制度,保密制度,跟蹤、審計、稽核制度,應急措施以及其他一些措施等。
3.2.1人員管理制度
電子商務活動中的主要參與者是人,尤其是網絡管理員這樣的人員,需要具備高尚的職業道德,才能保證管理有效。在人員管理時應注意以下幾個方面:一要嚴格選拔,對網絡工作者的選拔應不僅考核他們的技術,更要考察他們的責任心、道德感和紀律性。二要落實工作責任制,網絡工作者尤其是超級管理員,掌握著很多重要的資料,他們必須嚴格遵守企業的安全制度,不能隨意將工作內容向不相關的人泄露。三要貫徹電子商務安全運作基本原則,為便于管理,應遵循多人負責、任期有限、最小權限的原則。
3.2.2保密制度
從事電子商務工作的企業,內部會涉及許多保密信息,每類信息安全級別不同,要制定明確的保密制度,規定訪問級別,與相關人員簽訂保密協議,保證保密信息不會外泄。
3.2.3跟蹤、審計、稽核制度
跟蹤制度是以系統自動生成日志文件的形式來記錄系統運行的全過程。通過日志文件可以對系統進行監督、維護分析和故障排除,對于安全案件的偵破提供事實依據。
審計制度是規定網絡審計員應經常對系統的日志文件檢查、審核,及時發現異常狀況,監控和捕捉各種安全事件,并對系統日志進行保存、維護和管理。
稽核制度是指工商管理、銀行、稅務人員利用計算機及網絡系統,借助稽核業務,應用軟件調閱、查詢、審核、判斷轄區內電子商務參與單位業務經營活動的合理性、安全性,堵塞漏洞,保證電子商務交易安全,發出相應的警示或作出處理處罰的有關決定的一系列步驟及措施。
3.2.4應急措施
應急措施是指計算機災難事件發生時,利用應急計劃、輔助軟件和應急設施,排除災難和故障,保障計算機信息系統繼續運行或緊急恢復正常運行。災難恢復包括許多工作,一方面是硬件恢復,使計算機系統重新運轉起來;另一面是數據的恢復。數據的恢復更為重要,難度也更大。在啟動電子商務業務之初,就必須制定交易安全計劃和應急方案,以防萬一。一旦發生意外,有備無患,可最大限度地減少損失,盡快恢復系統的正常工作,保證交易的正常運行。
3.2.4其他一些措施
在電子商務安全問題中,病毒對網絡交易的順利進行和交易數據的妥善保存造成極大的威脅。從事網上交易的企業和個人都應當建立病毒防范制度,排除病毒的干擾。其次,還要經常進行系統維護,系統維護主要包括硬件的日常管理與維護和軟件的日常管理與維護。企業里的硬件應建立系統設備檔案,便于以后對設備的更新和管理。對于軟件的管理和維護工作主要是版本控制,及時更新添補漏洞,降低出現意外的可能。
3.3法律政策與法律保障
電子商務的安全發展必須依靠法律的保障,通過法律等條文的形式來保護電子商務信息的安全,懲罰網絡犯罪違法行為,建立一個良好的電子商務法制環境來約束人們的行為。
目前電子商務相關法律主要涉及計算機犯罪立法、計算機安全法規、隱私保護、網絡知識產權保護、電子合同相關法規等方面,初步滿足了電子商務保密性、完整性、認證性、可控性和不可否認性的安全需求。隨著信息技術的發展,電子商務安全不可能一勞永逸,必須用發展的眼光來看待,法制建設也應該進一步完善。
電子商務的安全問題是一個涉及范圍極廣的社會問題,網上交易安全性若不能得到有效的保障,就必然會影響到電子商務的順利發展。因此,要使電子商務能夠健康、快速、蓬勃的發展,就必須用全面的電子商務安全解決方案提供交易的信任保障,希望越來越多的企業和個人加入到關心電子商務的行列中來,一起為開創嶄新的商務時代出力獻策。
參考文獻:
[1]祁明.電子商務安全與保密 [M].高等教育出版社.
關鍵詞:商業銀行;電子商務;風險管理
商業銀行從事金融業務面臨著市場風險、信用風險、以及操作風險等,而電子商務的出現則加劇了上述各類風險發生的可能性以及風險發生之后的破壞程度。2004年以來,我國面臨的網絡仿冒威脅正在逐漸加大,仿冒對象主要是金融網站和電子商務網站。2005年上半年共收到網絡安全事件報告65679件,超過2004年全年案件數,商業銀行電子商務安全風險管理策略已成為理論與實踐中必須重視的課題。
一、信息安全管理的歷史演進與現階段的特點
信息安全管理的策略大體遵循事件驅動(技術和管理脫節)-逐漸標準化(技術和管理逐漸結合)——安全風險管理(引入了風險分析)的發展路徑。
(一)以事件驅動的初級階段時期
19世紀70年代安全主要是指物理設備和環境的安全,人與計算機之間的交互主要局限在大型計算機上的啞終端,安全問題只涉及能訪問終端的少數人。安全管理策略處于初級階段,由事件驅動,沒有形成規范的管理流程。在此階段的前期,只重視技術手段。后期開始重視管理手段,但是技術和管理之間脫節。許多組織對信息安全制定了相應的規章和制度,但組織的信息安全管理基本上還處在一種靜態、局部、少數人負責、突擊式、事后糾正式的管理方式。
(二)標準化時期
企業開始將安全問題作為整體考慮,形成一套較為完整的安全管理策略,其中包括了安全管理的技術手段和管理制度(或稱運作管理)。幾乎所有從事電子商務的企業都擁有自己的安全策略,內容也包括了技術手段、安全管理制度、人員安全教育等等,基本上形成體系,技術和管理手段綜合統一,但是安全風險分析還存在不足之處。
(三)安全風險管理策略時期
隨著電子商務安全管理發展到一個比較高的層次,安全管理策略也演進到安全風險管理階段。主要特點如下:
1.安全風險管理成為主流趨勢;在安全管理策略的演進過程中,技術和管理手段綜合統一、又融入了風險管理的分析、防范策略,從而安全管理進入了安全風險管理時期。西方商業銀行已對安全風險管理形成共識。如安氏公司(is—One),認為信息安全問題最終將歸結為風險管理問題,風險管理方法是建立良性的安全技術和管理體系的依據和基礎。
2.安全風險管理的國際標準和各國的規范逐漸形成并趨于完善。國際上關于安全風險管理的標準有巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》、英國標準協會制訂的BS7799等。各國也日益重視安全風險管理,制定了許多規范。例如美國貨幣監理署(OCC)的《電子銀行最終規則》、香港金融管理局的《電子銀行服務的安全風險管理》等。中國銀行業監督管理委員也于2006年頒布了《電子銀行業務管理辦法》,對國內企業的電子商務安全風險管理給出了指導意見。
3.利用外部專業化機構對金融機構的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術風險,在相當程度上取決于采用的信息技術的先進程度,系統的設計開發水平,以及相關設施設備及其供應商的選擇等;銀行依靠傳統的風險管理機制已很難識別、監測、控制和管理相關風險。同樣,監管機構也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監控。因此,大部分國家都采用了依靠外部專業化機構定期對電子銀行安全性進行評估的辦法,加強對電子銀行安全性和技術風險的管理和監管。
4.在許多國家信息系統審計(Is Audit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。業界的IT風險分析師也成為一種職業,專門從事電子商務的安全風險工作,從經濟學的角度出發分析風險,充分衡量保持安全的代價和收益之間的關系,尋求用最小的代價實現最大的效用,在風險分析中也形成一套較為成熟的模式。
二、我國商業銀行電子商務安全風險管理策略的薄弱點
(一)系統管理思想缺乏
目前的電子商務安全風險管理策略,在全局上缺乏系統論理論的指導,在實際操作中受到多種多樣的安全攻擊時會不可避免地出現安全漏洞,無法形成一張全面有序的安全網絡。
實踐中被采用的安全風險管理策略,以及作為指導意見的規則規范,如《信息安全管理實務準則》(IS017799)、《信息技術安全性評估準則》(GB/T18336.1)、巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》,盡管提出了比較全面的安全風險管理方案,層次上也比較清晰,但是還不足以作為一個風險防范系統。實踐中,電子商務組織是一個復雜的系統組織,電子商務的安全風險管理體系和過程也是個復雜的系統。系統論、控制論的思想在電子商務安全風險管理中是不可或缺的。
(二)風險分析的模型與方法不成熟,定量分析不足
電子商務模式自身的發展歷史也不過20幾年,在風險分析的定量技術上并不成熟;如BS7799中推薦的電子商務安全風險管理中實施風險評估時,往往將威脅發生的可能性定性劃分為幾個級別,將威脅所造成的影響也定性劃分為1~5級,實質上是將一些按照概率發生的事件定義為不連續的幾個級別,在操作上易行,但造成了度量的不精確。在進行監控和審計之后,也存在無法量化、對比的問題。
(三)忽視與原有的傳統風險管理策略的結合
本質上,電子商務的安全風險無非是新興的商業模式對傳統的風險的改變,以及產生的在傳統風險控制領域暫時無法明晰的新風險;現有管理策略只從信息技術的角度、或者從偏重技術的角度看待問題,站在金融領域本身來分析研究較少。這種狀況導致了對電子商務安全風險管理的研究無法立足于一個比較高的層次;忽略了風險的整體性,只進行偏信息和技術的研究,導致了現有的電子商務安全風險管理策略與金融機構原有的傳統業務風險管理策略存在差距。對于商業銀行而言,傳統金融業務的風險控制與電子商務的技術風險控制,兩個方面存在脫節,同樣屬于商業銀行的風險,存在著不同的管理策略,導致多頭管理、資源浪費、機構之間的扯皮,乃至缺位管理。
關鍵詞:電子信息 安全管理 措施
一、電子信息在社會發展中的重要作用
首先,能夠幫助政府、企業等運用電子信息的單位提高工作效率。信息電子化可以幫助單位快速而準確的鎖定目標信息,了解社會和市場的需求,調整工作的方法和經驗策略,提高服務群眾的服務質量,增強與群眾和社會之間的聯系能力,從而做出快速的反應,提高工作效率。
其次,降低工作需要的成本。電子信息的廣泛使用能幫助政府、企業等提高計劃列支的準確性和實效性,降低產品的庫存,減少工作的運營成本。
再次,電子信息有助于提高單位的組織協調能力。單位的戰略性和決策性是建立在對有關數據的分析基礎上的,信息電子化可以增強信息的有效處理水平,增強科學管理的水平,使單位內部各部門間溝通交流的更加迅速、快捷。
二、電子信息安全管理應遵循的原則
加強電子信息安全管理,應遵循以下原則:一是,加強電子信息管理的主體建設。二是,培養電子信息安全管理工作的優秀R導際躒嗽薄H是,堅持電子信息管理要與單位的實際發展情況和規劃相符合的原則。電子信息在單位的發展過程中要體現一定的價值和作用,就必須與實際的業務發展和規劃相適應,同時為企業的規劃系統提供指導和服務功能,詳細的認識發展和組織構架,清楚業務的發展需求,從而實現信息和業務發展的雙贏。
三、電子信息安全管理存在的問題
1.缺乏足夠的信息安全防范意識
盡管我國的信息技術發展很快,但是,在電子商務方面還處于初期階段,很多大規模、標準化的電子商務平臺尚沒有搭建起來。而在一些小型的電子商務平臺,很多管理者認為自身遭受“黑客”攻擊的可能性不大,所以,其常常存在僥幸心理,將更多的關注點放到了平臺規模的擴大和系統功能開發上面。在這種思想的影響下,系統的信息安全管理能力相當薄弱,以至于常常成為攻擊的對象。另外,還有很多管理者,對市場上的安全管理軟件給予了絕對的信任,自己覺得只要安裝了這些高新產品,就可以高枕無憂,但是,往往殘酷的事實告訴他們不是這樣的。
2.信息安全技術匱乏
經過一段時間的努力,國內的信息安全管理技術不斷提升,連續邁上新的臺階,情況喜人。但是,我們也要有自知之明,因為和許多西方國家相比,信息安全防御與控制技術相對落后很多,并且,我們在經費的投入方面,有明顯的差距;自主研發技術存在的不足之處多多,亟需改善。我們更要清楚的一點是:我們的技術,很多都是借鑒國外的經驗,缺乏獨創。如此步人后塵,電子信息安全管理質量難以有質的突破。
3.信息安全產品的鑒定不夠規范和科學
很多企業在電子信息安全管理方面,購置了大量的信息安全軟件。這些軟件在一定程度上能夠有效地保證電子信息使用平臺的安全。但是,其并不能絕對地保障信息安全。而且,在安全產品的鑒定方面,缺乏統一的鑒定標準,很多都是主觀判斷。
四、電子信息安全管理的有效措施
五、在電子信息安全管理方面,一旦出現問題,就會造成損失,一些企業“吃一塹長一智”,采取了相關措施,不過,調查表明,大多數企業存在“重技術,輕管理”的情況,而且由于一些企業尚未造成重大損失,管理層對安全問題漠不關心,或重視不夠。下面針對加強電子信息安全管理的主要措施進行深入探討。
1.構建完善的管理組織機構,加強管理。
電子信息安全管理組織機構的完善有力地促進了企業的發展,從安全決策到認真執行,層層構架,發揮職能。管理框架的構建要集思廣益,審慎剴切;安全制度的審批須一絲不茍,審查入微;安全職責的分配必須認真到位,監督有力;遵照網絡系統安全制度,嚴肅執行,進行網絡系統的日常維護。如屬于大型的電子商務平臺或者集團企業,更加需要增加投入,比如聘請有造詣的專家成立顧問組織,以便企業進行疑難咨詢,或是參照出現的問題出列解決方案,爾后進一步對責任進行調查、評估。
2.建立健全完善的電子信息安全管理制度
電子信息安全管理制度主要包括:構建電子信息控制制度。在各個業務流程中,明確各業務人的權限,并將其納入到內部控制制度當中,定期進行執行情況審核;構建應急措施。在信息傳遞過程中,要對電子信息的記錄、維護以及報告等環節進行有效監控。對數據文件進行定期備份。
3.提高安全技術水平
目前,互聯網技術發展迅速,網絡的高度普及,但是安全技術的研發速度跟不上網絡的發展速度,特別是在安全管理技術領域,而且,相應的技術人員也是嚴重不足。所以,要在電子商務規模不斷擴大的同時,構建強大的電子信息安全管理隊伍,提升安全技術的研究水平。
4.專業亟待提升
互聯網的發展突飛猛進,普及千家萬戶,安全技術的研發相對于互聯網的發展遠遠落后,原因諸多,最重要的一點就是缺乏過硬的技術人員。一般而言,電子商務規模越大,電子信息安全管理隊伍的陣容也要隨之擴充,只有電子信息安全管理隊伍強大,才能夠產生無窮的智慧與應對措施,保證電子商務平臺的安全。
5.加大系統安全的檢測力度
病毒和黑客會以不同的方式對系統進行惡意攻擊,所以,技術人員要從多方位的技術角度對系統安全性進行檢測。查看防火墻是否受到攻擊;功能方面是否存在漏洞;密碼設置的是否正確等,這些都需要技術人員認真的進行檢測,稍有疏忽,就會受到惡意的攻擊。
6.建立保護系統的方案
時常進行安全檢測,一旦系統的安全檢測失靈,必須立即建立系統安全防護措施。系統安全管理極其復雜,缺乏安全可靠的保護,電子商務在網絡平臺失去有效的依靠,隨時會出現漏洞。反之,安全策略嚴謹,防護得力,即便系統遭受攻擊,也會及時發現,能將損失最小化。
7.加強信息安全的培訓力度,提高人員的安全意識
對有關人員進行上崗培訓,建立人員培訓計劃,定期組織安全制度和規程方面的培訓。通過教育和培訓改變企業員工對信息安全的態度,使操作人員認識到信息安全對企業的重要性、企業安全規章制度的含義以及職責范圍內需要注意的安全問題。
六、結束語
隨著計算機網絡的快速發展,人們在網上進行商務管理、購物以及休閑娛樂等活動也越來越多。目前網絡信息交互平臺已成為人們工作和生活不可缺少的一部分。因此,我們必須高度重視電子信息安全管理,最大限度地降低電子信息中的安全隱患,為人們創造更加良好的網絡環境。由于電子信息的安全管理工作是一項系統復雜的工作,因此需要我們長期準備,綜合規劃,做好電子信息的安全管理,針對我國電子信息安全管理工作中存在的一些問題,要及時采取有效措施解決問題。我們這樣不僅能夠有效確保電子信息的安全健康發展,而且也能夠確保我國早日進入國家穩定、社會安定的信息化時代。
參考文獻:
[1]謝虹.淺談電子信息安全管理中存在的問題[J],《神州》2012,(11).
[2]白佳麗.網上銀行支付系統安全風險評估[J].東方企業文化,2011,
關鍵詞:電子商務網站開發;數據庫安全問題;安全防范措施
在電子商務網站開發過程中,相關技術人員必須要制定數據庫安全問題管理制度,逐漸創新數據庫安全問題管理方式,樹立正確的管理觀念,提升數據庫的安全性,為人們營造安全的網站環境。
1電子商務網站數據庫安全問題分析
對于每一個電子商務網站而言,數據庫都是整個網站的核心體系,其中含有較多重要的數據信息,例如:電子商務網站的交易記錄與商業秘密等,此類金融數據一旦被盜用,將會影響用戶的財產安全,甚至會出現數據泄露等問題,難以提升電子商務網站的開發質量。1)數據登錄隱患問題分析。在電子商務網站實際設計期間,相關技術人員會利用Windows等方式進行登錄,或是利用數據庫驗證方式開展登錄工作。在技術人員登錄之后,會出現系統默認賬號的現象,可以支持賬號再次對系統進行訪問。例如:在某電子商務網站中,超級用戶的賬號不會被系統更改或刪除,因此,系統會對其進行全面的保護,然而,開發者在實際開發期間,為了可以便于對電子商務網站進行使用,沒有設置繁瑣的密碼,很容易在網站之后,出現修改現象,導致電子商務網站的使用出現經濟損失[1]。2)數據庫結構安全問題分析。電子商務網站開發期間,經常會出現數據庫結構安全問題,主要因為開發者與設計人員沒有制定完善的數據庫設計方案,難以提升數據庫的安全性,很容易出現數據盜竊的現象[2]。同時,對于數據表的重命名而言,開發人員沒有利用各類組合對其進行前后綴處理,無法防止被重命名,導致出現各類安全問題。對于數據字段重命名工作而言,開發者沒有全面開展密碼等字段名相關工作,難以提升數據安全性,甚至會出現一些難以解決的問題[3]。3)在電子商務網站實際開發的過程中,經常會因為后臺管理系統的安全問題,難以提升后臺管理系統的安全性。首先,部分電子商務網站開發人員在實際開發的過程中,不能科學開展后臺管理系統的設計問題,在登錄頁面之后,經常會出現安全屏障,忽視后臺系統操作權限的設計,無法提升其安全性。部分電子商務網站設計人員利用簡單的用戶名與密碼,導致出現后臺管理系統賬號密碼數據泄露的現象。同時,電子商務網站后臺管理系統設計人員不能科學設計登錄頁面,難以在身份驗證的情況下,積極開展數據庫安全管理工作,無法提升后臺管理系統的安全性,甚至會出現一些無法解決的問題。4)服務器地址設計問題。在電子商務網站開發期間,服務器地址設計工作較為重要,然而,部分設計人員不重視服務器地址設計工作,難以提升其安全性。一方面,數據庫用戶與用戶名會出現各類連接問題,很容易出現文件內容泄露等現象。另一方面,電子商務網站開發設計部門沒有做好源代碼標寫工作,很容易受到不法分子的攻擊,甚至會影響整個網站的安全性[4]。5)注入泄露問題。電子商務網站開發中,經常會因為SQL的輸入出現注入漏洞問題,難以提升電子商務網站的安全性與開發質量,甚至受到黑客的攻擊,無法提升電子商務網站開發工作效率與質量。
2電子商務網站開發數據庫安全問題的解決措施
電子商務網站開發技術人員必須要重視數據庫安全問題的解決,保證可以提升數據庫的安全性,逐漸增強數據庫的應用效果,合理優化電子商務網站的開發體系。具體措施包括以下幾點:1)電子商務網站數據庫系統特殊賬號管理電子商務網站開發期間,數據庫安全控制部門必須要重視特殊性賬號管理工作,保證可以提升特殊性賬號的安全性,例如:電子商務網站中“sa”特殊賬號是重點賬戶,不可以被刪除,也無法被修改,在建立重新賬號之后,如果新賬號屬于超級用戶,也可以與此用戶享用同樣的數據庫服務,但是,此類賬號的安全性較低,經常會出現數據庫安全問題,難以提升電子商務網站開發工作效率與質量,甚至會影響整個數據庫的安全性。因此,技術人員必須要重視特殊賬號的管理,保證可以提升保護工作效率,設置一些復雜性較高的密碼,提升數據庫的安全性,同時,技術人員還要避免出現數據庫軟件泄露的現象,不可以為不法人員留有可乘的機會[5]。2)制定完善的重命名制度電子商務網站開發技術人員需要注重數據庫重命名工作,例如:電子商務網站中目錄重命名、數據表重命名等,不可以設置簡單的賬戶或是密碼,同時,還要設置非法訪問阻止功能,逐漸提升數據庫的安全性,保證可以減少其中存在的各類安全問題。3)制定完善的后臺數據庫管理制度電子商務網站開發技術人員,必須要制定完善的后臺數據庫管理制度,首先,技術人員需要設置較為復雜的賬號,不可以出現簡單的賬號或是密碼,避免出現賬號泄露的問題。其次,電子商務網站開發技術人員需要繞過非法用戶頁面,設置一些具有用戶權限的變量標識,例如:Session等,保證可以針對每一個頁面進行驗證,全面開展管理工作。最后,電子商務網站開發技術人員不可以使用任何特殊賬號,提升賬號字符的連串性與保密性,增強電子商務網站開發中數據庫安全問題的解決效果。4)注入漏洞處理措施電子商務網站開發技術人員應該重視注入漏洞處理工作,采取有效措施防止注入漏洞問題。首先,電子商務開發技術人員需要根據普通用戶與系統管理員實際情況,開展權限區分工作,在普通用戶查詢用語不符合權限的情況下,相關設計人員可以對普通用戶進行刪除處理,保證可以減少惡意代碼的出現,進而提升數據庫的安全性。其次,必須要重視用戶輸入驗證工作,保證可以借助各類數據庫系統,開展輸入內容驗證工作,或是利用驗證工具防止注入式攻擊。同時,技術人員需要合理設計測試字符串變量內容,拒絕出現二進制數據庫現象,保證可以提升數據庫的安全性[6]。5)制定儲存驗證輸入系統在電子商務網站開發期間,技術人員需要重視驗證用戶輸入系統,保證可以利用各類儲存測試技術等開展相關工作,規范各類輸入內容,提升數據庫的使用安全性,同時,電子商務網站開發技術人員需要阻止惡意代碼,避免出現注入式攻擊現象,逐漸提升數據庫的安全保障效率,增強其發展效果,避免出現各類難以解決的問題。
3結束語
在電子商務網站實際開發的過程中,技術人員必須要制定完善的管理制度,優化電子商務網站開發體系,逐漸提升電子商務網站數據庫的安全性,進而增強其發展效果,達到預期的管理目的。
作者:陳文杰 單位:廣東省生產力促進中心
參考文獻:
[1]江龍.電子商務網站開發中數據庫安全問題探討[J].計算機光盤軟件與應用,2013(17):37-38.
[2]丁旭光.電子商務網站開發中的數據庫安全問題分析[J].教育界,2013(36):175-176.
[3]陳書林.基于學生滿意度的“電子商務網站開發與建設”課程教學改革研究[J].江蘇科技信息,2016(23):46-48.
[4]王德山,王科超.電子商務網站開發中的數據庫安全問題與防范對策淺析[J].網絡安全技術與應用,2016(1):49.
【論文摘要】計算機網絡的技術發展相當迅速。隨著互聯網上黑客病毒泛溢,網絡犯罪等威脅日益嚴重,網絡安全管理的任務將會越來越艱巨和復雜,抓好網絡安全問題對保障網絡信息安全至關重要。因此文章對電子商務網絡支付安全問題進行探討分析。
0引言
美國等發達國家,通過Internet進行電子商務的交易已成為潮流。隨著internet的發展和網絡基礎設施的不斷完善,我國的電子商務雖已初具規模,但是安全問題卻成為發展電子商務亟待解決的問題。電子商務過程中,買賣雙方是通過網絡聯系的,由于internet是開放性網絡,建立交易雙方的安全和信任關系較為困難,因此本文對電子商務網絡支付上的安全問題進行探討分析。
1電子商務的概念和特點
1)電子商務的概念:電子商務(Electronic Commerce)是通過電信網絡進行的生產、營銷、銷售、流通等活動,不僅是指基于因特網上的交易,而且還指利用電子信息技術實現解決問題、降低成本、增加價值、創造商機的商務活動[1]。
2)電子商務的特點:(1)電子商務將傳統的商務流程電子化、數字化。不僅以電子流代替了實物流,大量減少了人力物力,降低了成本;而且突破了時間空間的限制,使得交易活動可在任何時間、任何地點進行,大大提高了效率。(2)電子商務使企業能以較低成本進入全球電子化市場,也使中小企業可能擁有與大企業一樣的信息資源,提高了中小企業的競爭能力。(3)電子商務重新定義了傳統的流通模式,減少了中間環節,使得生產者和消費者的直接交易成為可能,從而一定程度上改變了社會經濟的運行方式。(4)電子商務提供了豐富的信息資源,為社會經濟要素的重新組合提供了更多的可能,這將影響到社會的經濟布局和結構。
2電子商務安全的技術體系
1)物理安全。首先根據國家標準、信息安全等級和資金狀況,制定適合的物理安全要求,并經建設和管理達到相關標準[2]。再者,關鍵的系統資源(包括主機、應用服務器、安全隔離網閘GAP等設備),通信電路以及物理介質(軟/硬磁盤、光盤、IC卡、PC卡等)、應有加密、電磁屏蔽等保護措施,均應放在物理上安全的地方。
2)網絡安全。網絡安全是電子商務的基礎。為了保證電子商務交易順利進行,要求電子商務平臺要穩定可靠,能夠不中斷地提供服務。系統的任何中斷(如硬件、軟件錯誤,網絡故障、病毒等)都可能導致電子商務系統不能正常工作,而使貿易數據在確定的時刻和地點的有效性得不到保證,往往會造成巨大的經濟損失。
3)商務安全。主要是指商務交易在網絡媒介中出現的安全問題,包括防止商務信息被竊取、篡改、偽造、交易行為被抵賴,即要實現電子商務的保密性、完整性、真實性、不可抵賴性。商務安全的各方面也要通過不同的網絡安全技術和安全交易標準實現,加解密技術保證了交易信息的保密性,也解決了用戶密碼被盜取的問題;數字簽名是實現對原始報文完整性的鑒別,它與身份認證和審查系統一起可杜絕交易的偽造和抵賴行為。保證電子商務安全的主要技術有:在線支付協議(安全套接層SSL協議和安全電子交易SET協議)、文件加密技術、數字簽名技術、電子商務認證中心(CA)。
4)系統安全。主要是保護主機上的操作系統與數據庫系統的安全。對于保護系統安全,總體思路是:通過安全加固,解決管理方面安全漏洞;然后采用安全技術設備,增強其安全防護能力。
3安全管理過程監督
3.1加強全過程的安全管理
1)網絡規劃階段,就要加強對信息安全建設和管理的規劃。信息安全建設需要投入一定的人力、物力、財力。要根據狀況實事求是地確定網絡的安全總體目標和階段目標、分段實施、降低投資風險。2)工程建設階段,建設管理單位要將安全需求的匯總和安全性能功能的測試,列入工程建設各個階段工作的重要內容,要加強對開發(實施)人員、版本控制的管理,要加強對開發環境、用戶路由設置、關鍵代碼的檢查[3]。3)在運行維護階段,要注意以下事項:(1)建立有效的安全管理組織架構,明確職責,理順流程,實施高效管理。(2)按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶帳號和密碼。(3)制定完善的安全管理制度,加強信息網的操作系統、數據庫、網絡設備、應用系統運行維護過程的安全管理。(4)要建立應急預察體系,建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現時便于跟蹤查詢,還要定期檢查日志,以便及時發現潛在的安全威脅。
3.2建立動態的閉環管理流程
網絡處于不斷地建設和調整中,可能發現新的安全漏洞,因此需要建立動態的、閉環的管理流程。要在整體安全策略的控制和指導下,通過安全評估和檢測工具(如漏洞掃描,入侵檢測等)及時了解網絡存在的安全問題和安全隱患,據此制定安全建設規劃和加固方案,綜合應用各種安全防護產品(如防火墻、身份認證等手段),將系統調整到相對安全的狀態。并要注意以下兩點:1)對于一個企業而言,安全策略是支付信息安全的核心,因此制定明確的有效的安全策略是非常重要的。安全組織要根據這個策略制定詳細的流程、規章制度、標準和安全建設規劃、方案,保證這些系列策略規范在整個企業范圍內貫徹實施,從而保護企業的投資和信息資源安全。2)要制定完善的、符合企業實際的信息安全策略,就須先對企業信息網的安全狀況進行評估,即對信息資產的安全技術和管理現狀進行評估,讓企業對自身面臨的安全威脅和問題有全面的了解,從而制定針對性的安全策略,指導信息安全的建設和管理工作。
4結束語
本文分析了目前電子商務網絡支付安全方面的主要技術狀況,安全技術可以說是網絡技術中較為尖端的技術,都是非常先進的技術手段;只要運用得當,配合相應的安全管理措施,基本能夠保證電子商務中網絡支付的安全;但不是100%的絕對安全,而是相對安全。隨著網絡安全技術的進步與信用機制的完善,網絡支付定會越來越安全。
參考文獻
[1]柯新生.網絡支付與結算[M].北京:電子工業出版社,2004.
關鍵詞 網絡 安全 管理 防范
一. 銀行系統主要面臨的網絡安全問題
1. 計算機網絡系統的實體遭到破壞
實體是指網絡中的關鍵設備,包括各類計算機(服務器、工作站等)、網絡通信設備(路由器、交換機、集線器、調制解調器、加密機等)、存放數據的媒體(磁帶機、磁盤機、光盤等)、傳輸線路、供配電系統以及防雷系統和抗電磁干擾系統等。這些設備不管哪一個環節出現問題,都會給整個網絡帶來災難性的后果。這類問題,一部分由于系統設計不合理造成,一部分由于內部工作人員責任心不強、不按規定操作、麻痹大意造成,一部分是來自外部的惡意破壞。
2. 內部人員利用網絡實施金融犯罪
據有關調查顯示,在已破獲的采用計算機技術進行金融犯罪的人員中 ,內部人員占到75%,其中內部授權人員占到58%。他們方便地利用所授的權利,輕松地對網絡中的數據進行刪除、修改、增加,轉移某些帳戶的資金,達到挪用、盜用的目的。更為嚴重的是預設“后門”,“后門”就是信息系統中未公開的通道,在用戶未授權的情況下,系統的設計者或其他技術人員可以通過這些通道出入系統而不被用戶發覺,這類行為不僅損害客戶的利益,大大影響銀行在民眾中的信譽,更為嚴重的是“后門”成為黑客入侵系統的突破口危及整個系統的安全性和數據的安全性。
3. 遭受各類黑客的侵犯和破壞
存儲和運行在銀行計算機網絡系統中的信息、數據,不僅本質上代表著資金的運動,而且從微觀上能反映某些企業的經濟活動,從宏觀上能折射出國家的經濟運行情況。因此,在經濟競爭如此激烈的當今時代,銀行網絡系統必然遭到各類黑客的“親睞”。有的通過監視網絡數據截取信息,從事經濟領域的間諜活動;有的未經授權擅自對計算機系統的功能進行修改;有的進行信用卡詐騙和盜用資金;有的進行惡意破壞,造成通信流量堵塞;我國的電子商務工作屢遭挫折,很多原因是遭遇黑客,如2000年3月30日金融CA認證中心(由國內12家銀行發起的保障企業進行電子商務交易的組織)試發證書的消息公布不到1小時,認證中心就遭到黑客的攻擊。
4. 面臨名目繁多的計算機病毒的威脅
計算機病毒數據,將導致計算機系統癱瘓,程序和數據嚴重破壞,使網絡的效率和作用大大降低,使許多功能無法使用或不敢使用。雖然,至今尚未出現災難性的后果,但層出不窮的各種各樣的計算機病毒活躍在各個角落,大有一觸即發之勢,令人堪憂。
二. 銀行計算機網絡系統的安全防范工作
筆者認為,銀行計算機網絡系統的安全防范工作是一個極為復雜的系統工程,是人防和技防相結合的工程方案。在目前法律法規尚不完善的情況下,首先是各級領導的重視,加強工作人員的責任心和防范意識,自覺執行各項安全制度,在此基礎上,再采用一些先進的技術和產品,構造全方位的防御機制,使系統在理想的狀態下運行。
1. 加強安全制度的建立和落實工作
安全制度的建立也是一門科學。一定要根據本單位的實際情況和所采用的技術條件,參照有關的法規、條例和其他單位的版本,制定出切實可行又比較全面的各類安全管理制度。主要有:操作安全管理制度、場地與實施安全管理制度、設備安全管理制度、操作系統和數據庫安全管理制度、計算機網絡安全管理制度、軟件安全管理制度、密鑰安全管理制度、計算機病毒防治管理制度等。
制度的建立切不能流于形式,重要的是落實和監督。尤其是在一些細小的環節上更要注意。如系統管理員應定期及時審查系統日志和記錄。重要崗位人員調離時,應進行注銷,并更換業務系統的口令和密鑰,移交全部技術資料,但不少人往往忽視執行這一措施的及時性。還有防病毒制度規定,要使用國家有關主管部門批準的正版查毒殺毒軟件適時查毒殺毒,而不少人使用盜版殺毒軟件,使計算機又染上了其他病毒。
另外,要強化工作人員的安全教育和法制教育,真正認識到計算機網絡系統安全的重要性和解決這一問題的長期性、艱巨性及復雜性。決不能有依賴于先進技術和先進產品的思想。技術的先進永遠是相對的。俗話說:“道高一尺,魔高一丈”,今天有矛,明天就有盾。安全工作始終在此消彼長的動態過程中進行。只有依靠人的安全意識和主觀能動性,才能不斷地發現新的問題,不斷地找出解決問題的對策。
2. 構造全方位的防御機制
筆者認為,衡量一個網絡系統的安全性如何,至少應能保證其數據的保密性、完整性、可使用性及可審計性等。為達到這些要求應采用如下的防御機制:要保證處于聯機數據文件系統或數據庫之中的以及網絡傳輸當中的保密信息不會非法地主動地或被動地提供給非授權人員,系統資源只能被擁有資源訪問權的用戶所訪問,能鑒別訪問用戶身份,保證合法用戶對系統資源的訪問和使用。其防御機制是:除了對關鍵數據進行級別較高的加密外,還要建立訪問控制體系,根據信息密級和信息重要性劃分系統安全域,在安全域之間用安全保密設備(加密機、防火墻、保密網關等),通過存取矩陣來限制用戶使用方式,如只讀、只寫、可讀寫、可修改、可完全控制等。
要使信息的安全性、精確性、有效性不因種種不安全因素而降低,不會使存儲在數據庫中以及在網絡中傳輸的數據遭受任何形式的插入、刪除、修改或重發,保證合法用戶讀取、接收或使用的數據的真實性。其防御機制是除了安裝“防火墻”和計算機病毒防治措施之外,還要建立良好的備份和恢復機制,形成多層防線。主要設備、軟件、數據、電源等都有備份,并具有在較短時間內恢復系統運行的能力。
要使合法的用戶能正常訪問網絡的資源,有嚴格時間要求的服務能得到及時響應,不會因系統的某些故障或誤操作而使資源丟失,或妨礙對資源的使用,即使在某些不正常條件下也能正常運行。其防御機制主要靠系統本身所設計的功能來實現。
3.采用先進的技術和產品
要構造上述的防御機制,保證計算機網絡系統的安全性,還要采用一些先進的技術和產品。目前主要采用的相關技術和產品有以下幾種。
①“防火墻”技術
“防火墻”是近年發展起來的一種重要安全技術,是通過對網絡作拓撲結構和服務類型上的隔離來加強網絡安全的一種手段,它是電腦網絡之間的一種特殊裝置,主要用來接收數據,確認其來源及去處,檢查數據的格式及內容,并依照用戶的規則傳送或阻止數據。其類別主要有:應用層網關、包過濾網關、服務器等,它可與路由器結合,按不同要求組成配置功能各異的防火墻。
②加密型網絡安全技術
這一類技術的特征是利用現代的數據加密技術來保護網絡系統中包括用戶數據在內的所有數據流,只有指定的用戶或網絡設備才能夠解譯加密數據,從而在不對網絡環境作特殊要求的前提下從根本上保證網絡信息的完整性和可用性。這種以數據和用戶確認為基礎的開放型安全保障技術是比較適用的,是對網絡服務影響較小的一種途徑,可望成為網絡安全問題的最終的一體化解決途徑。
③漏洞掃描技術
漏洞掃描是自動檢測遠端或本地主機安全脆弱點的技術,通過執行一些腳本文件對系統進行攻擊并記錄它的反應,從而發現其中的漏洞。它查詢TCP/IP端口,并記錄目標的響應,收集關于某些特定項目的有用信息,如正在進行的服務,擁有這些服務的用戶,是否支持匿名登錄,是否有某些網絡服務需要鑒別等,可以用來為審計收集初步的數據。
④入侵檢測技術
作為一種新的經濟模式,電子商務以高效、便捷、方便的優勢和全新的企業經營理念、經營手段、經營環境吸引著廣大用戶,為世界經濟賦予了無限的發展空間。隨著電子商務應用范圍的日益擴大,針對電子商務的各種犯罪活動也19益猖獗。
國內外調查顯示…,52.26%的用戶最關心的是網上交易的安全可靠性,超過6O%的人由于擔心電子商務的安全問題而不愿進行網上購物。加強電子商務實施過程中的安全管理已經成為促進電子商務高速發展的重要因素。
電子商務的安全,可分為技術安全和管理安全兩種類型。所謂技術安全,是指通過各種黑客手段竊取企業的用戶lD、密碼以及相關的機密文件,甚至網絡銀行帳號、密碼等,給企業造成經濟損失。而管理安全則是指缺乏對參與電子商務過程中各個環節的人員的管理預防手段,最終導致的電子商務安全事件。從美國的花旗銀行和中央情報局到中國的某家國有商業銀行,都有過由于內部人員的違規和違法操作,導致數據被篡改和泄密的事件發生。
近幾年的電子商務安全案件表明:人員是網上交易安全管理中的最薄弱的環節,近年來我國計算機犯罪大都呈現內部犯罪的趨勢,有的競爭對手利用企業招募新人的方式潛入對方企業,或利用不正當的方式收買企業網絡交易管理人員。有的電子商務從業人員從本企業辭職后,迅速把客戶資料、產品研發成果等機密出售給競爭對手,給企業帶來了不必要的經濟損失。
2、原因分析
電子商務信息安全已經引起很多企業的重視,但大多數企業往往側重于加強技術措施,如購買先進的防火墻軟件,采用更高級的加密方法等,很多企業認為:員工泄密的安全事故只是偶然現象,很少從人員管理的角度來探討出現這些事故的根本原因。“重技術、輕管理”是當前很多電子商務企業的通病。由于管理手段不到位,很多先進的安全技術無法發揮應有的效能。之所以出現上述問題,主要有以下原因:
首先,很多企業管理高層對人員管理在信息安全中的地位認識不足。大多數企業將電子商務網絡作為一項純粹的技術工程來實施,企業內部缺乏系統的安全管理策略,只是被動的使用一些技術措施來進行防御,因此電子商務過程中一旦出現突發性事件,往往造成很大的經濟損失。現實中沒有一個網絡系統是完美無缺的,不安全因素隨時存在。因此,安全管理措施必須滲透到系統的每一個環節和企業組織的~個層面,只有構建一個人與技術相結合的安全管理體系,才能確保整個電子商務系統得安全。
企業沒有從整體上、有計劃地考慮信息安全問題。企業各部門、各下屬機構都存在“各自為政的局面,缺少統一規劃、設計和管理信息安全強調的是整體上的信息安全性,而不僅是某一個部門或公司的信息安全。而各部門、各公司又確實存在個體差異,對于不同業務領域來說,信息安全具有不同的涵義和特征,信息安全保障體系的戰略性必須涵蓋各部門和各公司的信息安全保障體系的相關內容。
缺少信息安全管理配套的人力、物力和財力。人才是信息安全保障工作的關鍵。信息安全保障工作的專業性、技術性很強,沒有一批業務能力強,且具有信息網絡知識、信息安全技術、法律知識和管理能力的復合型人才和專門人才,就不可能做好信息安全保障工作。應該從信息安全建設和管理對信息安全人才的實際需求出發,加快信息安全人才的培養。
企業對員工的信息安全教育不夠。員工的信息安全意識薄弱,9O%的安全事故是由于人為疏忽所造成。如有些企業不限制內部人員使用各種高科技信息載體,如U盤、移動硬盤以及筆記本等移動辦公設備。
3、加強電子商務安全管理的建議
電子商務信息安全管理實踐表明,大多數安全問題是由于管理不善造成的。安全管理是一項系統工程,不僅涉及到企業的組織架構、信息技術、人員素質等各個方面,還牽扯到國家法律和商業規則。企業內部存在著諸多影響信息安全的因素:改變lT系統不等于改變企業的信息安全管理,要使企業信息盡可能的安全,必須在技術投人的基礎上融人人在管理方面的智慧i同時,不僅要防外,更要防內,即對組織內部人員的管理。信息安全問題的解決需要技術,但又不能單純依靠技術。整個電子商務的交易過程,是人與技術相互融合的過程,如何使管理與技術相得益彰十分重要。“三分技術,七分管理”闡述了信息安全的本質。
電子商務的安全管理,就是通過一個完整的綜合保障體系,來規避信息傳輸風險、信用風險、管理風險和法律風險,以保證網上交易的順利進行。網上交易安全管理,應采用綜合防范的思路,一是技術方面的考慮,如防火墻技術、網絡防毒、信息加密、身份認證、授權等,但必須明確,只有技術措施并不能完全保證網上交易的安全。二是必須加強監管,建立各種有關的合理制度,并加強嚴格監督,如建立交易的安全制度、交易安全的實時監控、提供實時改變安全策略的能力、對現有的安全系統漏洞的檢查以及安全教育等。為了加強企業電子商務的信息安全,我們提出如下建議:
(1)提高網絡安全防范意識。
現在許多企業沒有意識到互聯網的易受攻擊性,盲目相信國外的加密軟件,對于系統的訪問權限和密鑰缺乏有力度的管理。這樣的系統一旦受到攻擊將十分脆弱,其中的機密數據得不到應有的保護。據調查,目前國內90%的網站存在安全問題,其主要原因是企業管理者缺少或沒有安全意識。某些企業網絡管理員甚至認為其公司規模較小,不會成為黑客的攻擊目標,如此態度,網絡安全更是無從談起。應該定期由公司或安全管理小組承辦信息安全講座,只有提高網絡安全防范意識,才能有效的減少信息安全事故的發生。
(2)建立電子商務安全管理組織體系。
一個完整的信息安全管理體系首先應建立完善的組織體系。即建立由行政領導、IT技術主管、信息安全主管、本系統用戶代表和安全顧問組成的安全決策機構。其職責是建立管理框架,組織審批安全策略、安全管理制度,指派安全角色,分配安全職責,并檢查安全職責是否已被正確履行,核準新信息處理設施的啟用、組織安全管理專題會等。還應建立由網絡管理員、系統管理員、安全管理員、用戶管理員等組成的安全執行機構。該機構負責起草網絡系統的安全策略、執行批準后的安全策略、日常的安全運行和維護、定期的培訓和安全檢查等。如果需要,還可建立安全顧問機構。安全顧問機構可聘請信息安全專家擔任系統安全顧問,負責提供安全建議,特別是在安全事故或違反安全策略事件發生后,可以被安全決策機構指定負責事故(事件)調查,并為安全策略評審和評估提供意見。
(3)制定符合機構安全需求的信息安全策略。電子商務交
易過程中,需要明確的安全策略主要包括客戶認證策略、加密策略、日常維護策略、防病毒策略等安全技術方案的選擇。安全執行機構應根據本信息網絡的實際情況制定相應的信息安全策略,策略中應明確安全的定義、目標、范圍和管理責任,并制定安全策略的實施細則。安全策略文檔要由安全決策機構審查、批準,并和傳達給所有的人安全策略還應由安全決策機構定期進行有效性審查和評估:在發生重大的安全事故、發現新的脆弱性、組織體系或技術上發生變更時,應重新進行安全策略的審查和評估。
(4)人員安全的管理和培訓
參與網上交易的經營管理人員在很大程度上支配著企業的命運,他們承擔著防范網絡犯罪的任務。而計算機網絡犯罪同一般犯罪不同的是,他們具有智能性、隱蔽性、連續性、高效性的特點,因而,加強對有關人員的管理變得十分重要。首先,在人員錄用時應做好人員鑒別,人員錄用或人員職位調整時,一般要簽署保密協議。當人員到期離開或協議到期、工作終止時,要審查保密協議。其次對有關人員進行上崗培訓,建立人員培訓計劃,定期組織安全策略和規程方面的培訓。第三,落實工作責任制,在崗位職責中明確本崗位執行安全政策的常規職責和本崗位保護特定資產、執行特定安全過程或活動的特別職責,對違反網上交易安全規定的人員要進行及時的處理。第四,貫徹網上交易安全運作基本原則,包括職責分離、雙人負責、任期有限、最小權限、個人可信賴性等。
(5)增強法律意識,促進電子商務立法
面對電子商務這種新型的貿易形式,我國目前尚無專門法規可依,使得部分違法犯罪人員沒有得到應有的懲罰。近幾年里,國家加強了這方面的投入。在全國性的立法文件中,《合同法》的部分條款可以看作是針對電子商務的立法。此外,廣東省制定的《廣東省電子交易管理條例》這個地方性的法規可以看作是對加快我國電子商務立法的有益探索。《中華人民共和國電子簽名法》是對主要用于電子商務活動,電子政務等其他應用應該有新的適用法規。
盡管在電子商務信息安全立法方面取得了一些成就,但總的來說,我國的電子商務立法還很不健全,對電子商務活動的安全保護缺少直接性;相關立法比較分散,而且效力不高;對新出現的情況缺乏適應能力;立法速度慢。這些都需要電子商務企業和國家有關部門不斷探索,共同促進電子商務信息安全的法制環境建設。
一、采購電子化過程中存在的安全隱患
采購改革起步晚,編制體制還在不斷完善,電子化采購也是近來提出的話題,管理思想、規章制度、管理技術、人才建設等都存在著一些不足,導致電子化采購在運行中存在很多安全隱患。
1、管理思想上的問題。一是缺乏系統的管理思想。隨著采購工作的規范化、信息化運行,采購機構為信息安全做了大量的工作,制定了一些安全管理制度,但基本上還是靜態的、局部的、少數人負責的、突擊式的、事后糾正式的傳統管理方式,而不是建立在風險評估基礎上的動態的持續改進管理的方法。結果不能從根本上避免、降低各類風險,也不能降低采購電子化中由信息安全故障引起的綜合效益損失。二是缺乏信息安全意識和信息安全方針。部分采購機構領導對電子化進程中信息資產所面臨的威脅認識不足,或者只局限于IT方面的安全,沒有形成一個合理的電子化采購方針來指導組織信息安全管理工作。表現為缺乏完整的信息安全管理制度,缺乏對網絡工作人員進行必要的安全法律法規和防范安全風險的教育與培訓,對現有的安全制度不能完全實施等。三是重視安全技術,輕視安全管理。目前,各級采購機構正處于信息化建設的關鍵時期,為此,各級都配備先進的計算機、網絡等技術,用以提高采購效率及服務水平。但是,相應的管理措施不到位,如系統的運行、維護、開發等崗位不清,職責不分,存在一人身兼數職的情況,造成安全隱患。
2、規章制度上的問題。網上采購作為采購信息化建設的產物,對傳統的采購模式已經構成挑戰。對于這樣的新生事物,相關的法律、制度至今還很不完善,即便在最近頒布實施的一些采購法規中提及的也很少。關于哪些方面信息應當公布、如何公布,網上采購程序的合法性如何界定,電子采購合同法律效力的確定,采購電子化的應急管理等,都是相關部門必須面對的問題。應盡快以法律方式來認可和保護電子簽章,建立采購信息公開規定,以實現采購信息的開放性與安全性之間的平衡。通過各項配套法律的完善,使在建立一整套行之有效的措施的同時,落實各項安全保障制度。
3、管理技術上的問題。電子化采購所依托的是路由器、交換機、工作站、網絡服務器,以及各類支持軟件,其安全性能、技術標準等對信息系統的安全有著重要影響。電子化管理技術上的缺陷來自三個方面:一是硬件缺陷。由于采購事業經費較少的原因,部分采購機構計算機配置較低,一些先進的安全硬件,如現代化的采購網絡中心還沒有建立。二是軟件缺陷。采購信息平臺正處于研發、試用階段,很多軟件技術還不成熟,如確認客戶身份真實性的技術、保證數據傳輸安全的技術等。三是先進的測試技術應用不夠,如網絡反病毒、網絡入侵檢測、網絡安全掃描等技術。
4、采購人才的問題。電子化采購專業人才的缺乏是當前采購電子化進程中安全隱患的重要原因。系統安全管理人員是復合型人才,電子化采購的發展需要大批既熟悉物資采購業務,又精通計算機網絡技術,具有豐富網絡工程建設經驗的工程技術人員、管理人員。由于電子化采購事業剛剛起步,現有采購工作人員長期從事的都是傳統采購工作,所以在一時間內難以適應新的采購方式的要求。
二、采購電子化進程中的安全策略
采購電子化改變了傳統采購業務的處理方式,優化了采購過程,提高了采購效率,降低了采購成本,使采購真正達到了公開、公平、公正。實施采購電子化,將推動整個“采購管理信息化”的建設和發展,并將促使采購經濟效益的整體提高。但是,這些優越性要通過良好的采購網絡運行平臺才能實現,因此,必須通過有效方式營造一個安全可靠的電子化采購網絡環境。
1、更新觀念,強化管理,深化科學的電子化采購管理理念。樹立系統管理思想。在考察、分析和解決電子化采購安全管理問題時要著眼于整個電子化采購安全系統,要以合作的精神從整個電子化采購事業全局出發,把一組具有特定目的、相互聯系、相互制約的安全因素組合起來,根據輕重緩急,予以通盤考慮,逐次解決。影響電子化安全的因素是多方面的、復雜的,同時又是相互聯系、相互制約的,一個安全隱患的存在通常會影響到整個電子化采購系統的有效運行。要確實樹立系統管理思想還需把電子化安全隱患當做動態的、發展的、持續的,把握其發展規律。
加強內部管理。安全的最高境界不是產品,也不是服務,而是管理。要想保證網絡的安全,在做好邊界防護的同時,更要做好內部網絡的管理。網絡的內部安全管理策略包括:確定安全管理等級和安全管理范圍;嚴格控制人員進出入機房;監督工作人員操作過程,理順信息安全工作與其他工作的區別。
確定安全管理原則。采購機構網絡中心的安全管理要本著多人負責、任期有限、職責分離的原則,將下列每組內的兩項信息處理工作分開:計算機操作與計算機編程;機密資料的接收和傳送;安全管理和系統管理;應用程序和系統程序的編制;訪問證件的管理與其他工作;計算機操作與信息系統使用媒介的保管。
2、建章立制,力促規范,加快電子化采購法規建設。安全的基石是社會法律、法規與手段,缺少法律、法規支持的安全是沒有保障、不能持久的。采購電子化是對傳統采購的一個突破,對采購工作人員的工作習慣和思維方式產生了一定的沖擊,法規支持的缺位,不利于統一規范用戶和采購機構的思想認識,不利于規范采購環節的當事各方。
借鑒《電子簽名法》、《電子商務示范法》,建立符合采購實際的電子簽名方法、電子合同保護方法。要實現真正意義上的電子化采購,電子合同、電子簽名是關鍵的一環,但從地方政府及企業的運行來看,這一環容易出現簽名無效或者采購當事人拒不承認采購合同的合法性等問題,為采購行為增添了不明朗的前景,頒布簽名及電子合同保護方法極為重要。
制定安全管理制度。信息系統的安全管理部門應根據管理原則和該系統處理數據的保密性,制訂相應的管理制度或采用相應的規范。具體工作包括:根據工作重要程度,確定系統安全等級;根據安全等級,確定安全管理的范圍;制訂相應的機房出入管理制度;制訂嚴格的操作規程;制訂完備的系統維護制度;制定應急等級轉換規定以及應急管理措施等。此外還包括電子化采購中的人員培訓制度、專業電子化采購人員選擇辦法等。
關鍵詞:電子商務 信息化 發展 作用 前景
1 電子商務概述
電子商務通常是指是在全球各地廣泛的商業貿易活動中,在因特網開放的網絡環境下,基于瀏覽器/服務器應用方式,買賣雙方不謀面地進行各種商貿活動,實現消費者的網上購物、商戶之間的網上交易和在線電子支付以及各種商務活動、交易活動、金融活動和相關的綜合服務活動的一種新型的商業運營模式。
電子商務就是通過網絡進行商業交易的一個產業,給企業帶來低成本和高效益。從網購,淘寶來看,大大方便了買賣雙方,給雙方帶來的好處很多,顯而易見。所以電子商務用在企業與企業之間也是這樣的作用。電子商務的發展需要在與企業的不斷磨合中發展,電子商務平臺主要的是技術開發和網絡推廣,這兩塊很重要。所以很多新興的電子商務平臺都在這兩個方面努力著。
2 電子商務與商流、資金流、信息流、物流
電子商務的本質是商務,商務的核心內容是商品的交易,而商品交易會涉及到四方面:商品所有權的轉移,貨幣的支付,有關信息的獲取與應用,商品本身的轉交。即商流、資金流、信息流、物流。其中信息流既包括商品信息的提供、促銷行銷、技術支持、售后服務等內容,也包括諸如詢價單、報價單、付款通知單、轉賬通知單等商業貿易單證,還包括交易方的支付能力、支付信譽等。商流是指商品在購、銷之間進行交易和商品所有權轉移的運動過程,具體是指商品交易的一系列活動。資金流主要是指資金的轉移過程,包括付款、轉帳等過程。在電子商務環境下,這四個部分都與傳統情況有所不同。商流、資金流與信息流這三種流的處理都可以通過計算機和網絡通信設備實現。物流,作為四流中最為特殊的一種,是指物質實體的流動過程,具體指運輸、儲存、配送、裝卸、保管、物流信息管理等各種活動。對于少數商品和服務來說,可以直接通過網絡傳輸的方式進行配送,如各種電子出版物、信息咨詢服務等。而對于大多數商品和服務來說,物流仍要經由物理方式傳輸。
3 完善電子商務信息化管理的對策
3.1 加強電子商務信息化管理人才開發 實施電子商務息化建設,本質上要將電子商務工作和信息技術進行結合,并且要求電子商務人員一定要熟練應用信息技術。為了推動信息化人才隊伍的管理及建設工作,就必須要綜合提高信息化人才隊伍的管理能力、專業業務能力,加強電子商務人才培養,有制度、有計劃地培養出復合型的懂得企業工作流程和業務技術人才。所以,定時定期地開辦培訓班就顯的非常有必要,把培訓電子政務信息化管理人才作為常規化培訓的一項內容,常抓不懈。
3.2 加快電子商務信用體系的建立 國務院的《關于加快電子商務發展的若干意見》,明確提出誠信建設戰略思路:加快信用體系建設,建立科學、合理、權威、公正的信用服務機構;嚴格信用監督和失信懲戒機制,逐步形成既符合我國國情又與國際接軌的信用服務體系的方針和目標。
3.3 加強保障制度和管理措施力度
3.3.1 運維管理體系建設。借鑒當前國際一些主流的標準,實施電子商務系統管理體系建設。分析并制定安全操作規范和安全管理制度,策劃設計運維人員職責分工和組織結構,實施必要的考核體系建設,真正做到安全風險的控制和管理,保證運維工作能夠有序、高效地進行。
3.3.2 網絡及系統安全維護。依據電子商務外網系統的具體運行實際,擬制具有持續可操作性的安全維護計劃,有效開展實施,以保證網絡和各種信息系統的穩定運轉。主要的內容包括有:服務器漏洞掃描,網絡設備防護,服務器的安全加固,系統病毒檢測及響應服務,系統日志安全審計等。
3.3.3 安全事件 應急服務。安全運維團隊需要可以對電子商務外網系統的各種安全事件進行快速響應,例如數據意外丟失、大規模病毒爆發、黑客入侵等事件的處理,能夠在最短的時間內,恢復正常工作,解決各種問題,同時主動地采用恢復控制和預防措施進行結合的形式,構建合理的安全應急體系,從而增強各種安全事件應急能力。
3.3.4 系統的安全問題。電子商務的進一步發展促進了業務信息系統的建設,許多的信息系統獲得了廣泛的應用。然而隨著使用用戶的數量快速增加,系統及網絡的安全問題對電子商務的發展起到了非常重要的角色。因此,這就會增加系統運維工作的壓力,對信息管理安全和網絡管理提出了更為嚴格的需求。
4 結束語
綜上所述,本文通過對當前電子商務的分析,指出了現階段我國電子商務信息化發展中遇到的一些困難,并就如何克服這些困難提出了一些對策。總之,電子商務己是大勢所趨,我們既不能因為當前的基礎環境仍不理想而坐失良機;也無需不顧國情盲目跟進。但更新觀念,充分認識電子商務的潛力,在法律法規上、技術上做好準備,并逐步進行試點,則是非常必要的。比如:網上交易的安全性首當其沖,我們不可能把國外的那一套照搬過來。那么研制、開發自己的網絡安全技術便十分重要,而這些技術的研究開發又可以帶動信息產業的發展,同時也為電子商務的全面推動創造先機。
參考文獻:
[1]張建軍.中小企業電子商務發展模式與政策分析[J].中國科技論壇,2003(3).
[2]孫敬水.中小企業如何實施電子商務[J].江蘇商論,2002(3).
[3]施星輝.中小企業應用電子商務現狀調查報告[J].中國企業家.2002(11).
[4]司志剛,濮小金.電子商務導論.中國水利水電出版社,2005.
[5]穆炯,李源彬.電子商務概論.北京:人民郵電出版社,2004.
【關鍵詞】電子商務;會計理論;會計實務;措施
電子商務的發展給我國的經濟發展帶來了一個前所未有的機遇。目前,我國大多數企業為增強市場競爭能力也正在建立企業與外部聯結的網絡化信息系統,積極參與電子商務活動,這就意味著企業大多數的業務數據和會計數據完全電子化和無紙化,這必將給會計帶來深刻的影響。
1 電子商務對會計理論的影響
1.1 電子商務對會計假設的影響
對會計主體假設的影響。會計主體假設從空間上界定了會計工作的具體核算范圍,只有在這個假設的基礎上,資產、負債及所有者權益等會計要素才有了空間歸屬。這個個體是有形的實體。而網絡公司存在于網絡計算機之中,它是一種臨時結盟體,沒有固定的形態,也沒有固定的空間范圍。對持續經營假設的影響。只有在持續經營這一假設下,企業的再生產過程才得以進行,企業資本才能正常循環,會計才可用歷史成本而非生產價格來確認。而在電子商務時代,網絡公司只是一個臨時結盟體,在完成目標后可能立即解散,持續經營假設將不再適用。對會計分期假設的影響。在電子商務時代,會計分期假設將會完全被否定,其原因:第一,由于計算機網絡的使用,網絡上的一筆交易可在瞬間完成。第二,在電子商務時代,由于財務報告采用實時報告系統,任何時候,會計信息使用者都可以從網絡上獲得最新的財務報告,而不必等到一個會計期間結束由報告企業編制財務報告后才得到。對貨幣計量假設的影響。在網絡經濟下,虛擬公司和網絡銀行的發展,不在使用鈔票和單證作交易媒體,而是采用電子貨幣成為網上支付的主要方式。電子貨幣的出現,弱化了記賬本位幣的幣種惟一,使資金在企業、銀行間高速運轉,資本決策可瞬息完成,加大了貨幣風險,沖擊了幣值穩定,動搖了貨幣計量假設。
1.2 電子商務對會計職能的影響
會計具有反映、監督、參與經營決策三大職能。計算機處理環境的變化和電子交易形式的出現,使建立基于網絡化的會計信息核算系統已是時代必然。在這個新的會計信息處理系統中,企業發生的各項業務,能夠自動從企業的內部和外部采集相關的會計核算資料,并匯集于企業內部的會計信息處理系統進行實時反映。由于會計信息實現了實時和自動的處理,那么會計監督和參與經營決策職能就變得更加重要。
1.3 電子商務對會計要素的影響
在電子商務時代,經濟信息在向會計要素轉化時,現有的會計要素分類不一定能反映經濟活動的全貌。而會計信息使用者對會計信息質量的要求卻在提高,所以,對會計要素進行更深層次的劃分成為必然。信息技術的發展特別是高速處理器的出現,使信息加工的速度越來越快,也使對會計要素進行更深層次的劃分成為可能。會計要素將會被劃分得更有層次,從而能更加準確地反映企業資金的運動狀況。
2 電子商務對財務會計實務的影響
2.1 電子商務對會計核算的影響
會計核算方法信息化。傳統的會計方法逐漸由計算機、網絡及通訊等現代信息技術取代,主要體現在無紙化交易方面。會計核算內容多樣化。在買方市場上,傳統的商業模式發生了根本的變化,廠房、卡車等曾經決定著企業競爭力的資產等不再是會計核算的主要內容。財務分析成為會計工作的主流,人人都將是會計信息的處理者,傳統的會計核算不再是主要工作,會計信息管理、決策分析將占了主要部分。企業會計信息公開化。在電子商務中企業將會計報表放在Web網上,縮短了企業報告的形成時間與使用時間,且透明度很高,既做到信息共享,又可有效遏制會計信息失真的現象,形成社會化監督。
2.2 電子商務對歷史成本原則的影響
對歷史成本原則的影響。在電子商務時代,虛擬企業屬于臨時性的結盟組織,依靠網絡實現統一經營,交易完成后即告解散,生命周期極短。所以,采用現行市價法或變現價值法作為計價基礎會更好地反映企業會計要素的現實質量狀況,提供準確的會計信息,更具有現實意義。信息技術的發展使資產按現時價值、可變現凈值計價成為可能。
2.3 電子商務對權責發生制的影響
權責發生制是針對會計確認時間而產生的一項準則,它以會計分期假設為基礎。而在電子商務時代,由于采用了實時報告系統,不再需要進行會計分期,因此權責發生制將失去存在基礎。由于電子商務否定了會計分期,而采用收付實現制。這樣,網絡公司的經營所得和實際支出的款項直接作為其收入和費用,可以更好地反映公司的現金流量。
2.4 電子商務對財務報告的影響
會計報表的目的是向企業信息的使用者提供有用的信息。會計信息要準確、全面、及時,然而當前的財務報表有很多的局限性。在電子商務時代,基于網絡技術平臺的支持,報表的生成將呈現自動化、網絡化和非定時性,沖破了時空的限制,信息的披露更加充分,信息使用者隊伍更加壯大,信息的質量也大大提高。
3 對于電子商務對會計的影響應采取的措施
3.1 加強電子商務在會計工作中發展建設的組織領導
電子商務在會計工作中的發展建設是一項龐大的社會系統工程,涉及面寬,技術性強,關聯度高,必須通過各級部門的統籌規劃和組織協調,調動各方面的積極性。實現會計信息化,確保會計運行機制落到實處是事關會計改革與發展的大事,各級領導必須高度重視。
3.2 加大投入力度,促進電子商務在會計工作中的發展
信息技術是現代化高科技技術,投資大,更新快,其效益往往以間接形式表現于社會各個領域,難以用貨幣形式計算其價值。要保證會計信息化工作正常開展,確保各項目標如期實現,必須加大對會計信息化建設的投入,保證必要的設備和設施購置與維護,為建立科學化、規范化的技術保障機制提供物質基礎。
3.3 建立一套完整、有效的信息化標準、規范和規章制度
要按照會計運行技術保障機制的需要,逐步形成統一的標準體系。根據國家信息化、標準化體系和企業實際情況,建立和完善網絡、業務軟件、信息資源、信息安全等信息化建設的相關制度,統一技術標準。無論是網絡建設還是軟件開發,起點要高,標準要統一,以保證網絡配置合理、性能優化、安全暢通。在建設網絡、數據庫、業務軟件和實現聯網的過程中,在用戶界面、交換格式、網絡協議、分類編碼、應用接口等方面,財政部門必須制定統一的技術標準,以保證計算機系統的互聯性和各種上網信息的有效性。
3.4 提高信息質量,加大信息服務力度
在網站信息管理上,通過利用數據庫等先進技術,實現數據庫的科學管理,提高數據庫的技術含量。擴大信息源,狠抓活信息和歷史信息的建設。以歷史資料數據庫、會計業務數據庫和公共信息數據庫等為突破口,注重信息的實用性和專用性,突出會計業務的特點。同時要提高信息的再加工能力,為領導決策提供高質量和及時準確的相關信息。
關鍵詞:信息安全管理對策
信息安全隨著信息技術的發展而產生,并且其重要性日益凸現出來,信息安全的內涵也隨著計算機技術的發展而不斷變化,進入二十一世紀以來,信息安全的重點放在了保護信息,確保信息在存儲,處理,傳輸過程中及信息系統不被破壞,確保對合法用戶的服務和限制非授權用戶的服務,以及必要的防御攻擊的措施。即強調信息的保密性、完整性、可用性、可控性。
一、電力企業信息安全風險分析
隨著企業的生產指揮,經營管理等經營活動越來越依賴于計算機信息系統,如果這些系統遭到破壞,造成數據損壞,信息泄漏,不能提供服務等問題,則將對電網的安全運行,電力企業的生產管理以及經濟效益等造成不可估量的損失,高技術在帶來便利與效率的同時,也帶來了新的安全風險和問題。
1、電力公司信息安全的主要風險分析
信息安全風險和信息化應用情況密切相關,和采用的信息技術也密切相關,電力公司信息系統面臨的主要風險存在于如下幾個方面:
(1)計算機病毒的威脅最為廣泛:計算機病毒自產生以來,一直就是計算機系統的頭號敵人,在電力企業信息安全問題中,計算機病毒發生的頻度大,影響的面寬,并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網絡通信阻塞,系統數據和文件系統破壞,系統無法提供服務甚至破壞后無法恢復,特別是系統中多年積累的重要數據的丟失,損失是災難性的。
在目前的局域網建成,廣域網聯通的條件下,計算機病毒的傳播更加迅速,一臺計算機感染病毒,在兩三天內可以感染到區域內所有單位的計算機系統。病毒傳播速度,感染和破壞規模與網絡尚未聯通之時相比,高出幾個數量級。
(2)網絡安全問題日益突出:企業網絡的聯通為信息傳遞提供了方便的途徑。企業有許多應用系統如:辦公自動化系統,用電營銷系統,遠程教育培訓系統等,通過廣域網傳遞數據。企業開通了互聯網專線寬帶上網,企業內部職工可以通過互聯網方便地收集獲取信息,發送電子郵件等。
網絡聯通也帶來了網絡安全問題。企業內部廣域網上的用戶數量多且難于進行管理,互聯網更是連接到國際上的各個地方,什么樣的用戶都有。內部網,互聯網上的一些用戶出于好奇的心理,或者蓄意破壞的動機,對電力公司網絡上的連接的計算機系統和設備進行入侵,攻擊等,影響網絡上信息的傳輸,破壞軟件系統和數據,盜取企業商業秘密和機密信息,非法使用網絡資源等,給企業造成巨大的損失。更有極少數人利用網絡進行非法的,影響國家安定團結的活動,造成很壞的影響。
如何加強網絡的安全防護,保護企業內部網上的信息系統和信息資源的安全,保證對信息網絡的合法使用,是目前一個熱門的安全課題,也是電力企業面臨的一個非常突出的安全問題。
(3)信息傳遞的安全不容忽視:隨著辦公自動化,財務管理系統,用電營銷系統等生產,經營方面的重要系統投入在線運行,越來越多的重要數據和機密信息都通過企業的內部廣域網來傳輸。同時電力公司和外部的政府,研究院所,以及國外有關公司都有著許多的工作聯系,日常許多信息,數據都需要通過互聯網來傳輸。
網絡中傳輸的這些信息面臨著各種安全風險,例如被非法用戶截取從而泄露企業機密;被非法篡改,造成數據混亂,信息錯誤從而造成工作失誤。非法用戶還有可能假冒合法身份,發送虛假信息,給正常的生產經營秩序帶來混亂,造成破壞和損失。因此,信息傳遞的安全性日益成為企業信息安全中重要的一環。
(4)用戶身份認證和信息系統的訪問控制急需加強:企業中的信息系統一般為特定范圍的用戶使用,信息系統中包含的信息和數據,也只對一定范圍的用戶開放,沒有得到授權的用戶不能訪問。為此各個信息系統中都設計了用戶管理功能,在系統中建立用戶,設置權限,管理和控制用戶對信息系統的訪問。這些措施在一定能夠程度上加強系統的安全性。但在實際應用中仍然存在一些問題。
一是部分應用系統的用戶權限管理功能過于簡單,不能靈活實現更細的權限控制,甚至簡單到要么都能看,要么都不能看。二是各應用系統沒有一個統一的用戶管理,企業的一個員工要使用到好幾個系統時,在每個應用系統中都要建立用戶賬號,口令和設置權限,用戶自己都記不住眾多的賬號和口令,使用起來非常不方便,更不用說賬號的有效管理和安全了。
如何為各應用系統提供統一的用戶管理和身份認證服務,是我們開發建設應用系統時必須考慮的一個共性的安全問題。
(5)實時控制系統和數據網絡的安全至關重要:電網的調度指揮,自動控制,微機保護等領域的計算機應用在電力企業中起步早,應用水平高,不但實現了對電網運行狀況的實時監視,還實現了對電網一次設備的遙控,遙調以及保護設備的遠方管理。隨著數據網的建設和應用,這些電網監視和控制方面的系統逐步從采用專線通道傳輸數據轉移到通過數據網絡來傳送數據和下發控制指控令。由于這些計算機系統可以直接管理和操作控制電網一次設備,系統的安全可靠,數據網的安全可靠,信息指令傳輸的實時性等直接關系著電網的安全,其安全等級要求高于一般的廣域網系統。
同時,這些電網控制和監視系統中的許多信息又是生產指揮,管理決策必不可少的,需要通過和生產管理局域網互聯,將數據傳送生產管理信息系統中,供各級領導和各專業管理人員察看,使用。數據網和生產管理局域網的互聯帶來了不同安全等級的網絡互連的安全問題。
(6)電子商務的安全逐步提上議事日程:隨著計算機信息系統在電力市場,用電營銷,財務管理等業務中的深入應用,電子商務在電力企業的應用開始起步。例如:電力市場系統中發電廠和電網公司之間的報價,電力交易,電費結算等都將通過計算機信息系統來實現和完成,這可以視為電子商務中常提到的B2B模式。用電營銷系統中的電費計費結算,用戶買電交費,銀電聯網代收電費等,是典型的電力公司和用戶之間的電子交易,可以視為電子商務中的B2C模式;以后還有物資采購等方面的電子商務系統。
隨著電子商務在電力企業中的應用逐步推廣和深入,如何保障電子交易的安全,可靠,即電子商務安全問題也會越來越突出。
二、解決信息安全問題的基本原則
統籌規劃,分步實施。要建立完整的信息安全防護體系,絕不能一哄而上,必須分清需求的輕重緩急,根據信息化建設的發展,結合信息系統建設和應用的步伐,統一規劃,分步建設,逐步投資。
轉貼于 1、做好安全風險的評估。進行安全系統的建設,首先必須做好安全狀況評估分析,評估應聘請專業信息安全咨詢公司,并組織企業內部信息人員和專業人員深度參與,全面進行信息安全風險評估,找出問題,確定需求,制定策略,再來實施,實施完成后還要定期評估和改進。
信息安全系統建設著重點在安全和穩定,應盡量采用成熟的技術和產品,不能過分求全求新。
培養信息安全專門人才和加強信息安全管理工作必須與信息安全防護系統建設同步進行,才能真正發揮信息安全防護系統和設備的作用。
2、采用信息安全新技術,建立信息安全防護體系
企業信息安全面臨的問題很多,我們可以根據安全需求的輕重緩急,解決相關安全問題的信息安全技術的成熟度綜合考慮,分步實施。技術成熟的,能快速見效的安全系統先實施
3、計算機防病毒系統
計算機防病毒系統是發展時間最長的信息安全技術,從硬件防病毒卡,單機版防病毒軟件到網絡版防病毒軟件,到企業版防病毒軟件,技術成熟且應用效果非常明顯。防病毒軟件系統的應用基本上可以防治絕大多數計算機病毒,保障信息系統的安全。
在目前的網絡環境下,能夠提供集中管理,服務器自動升級,客戶端病毒定義碼自動更新,支持多種操作系統平臺,多種應用平臺殺毒的企業版殺毒軟件,是電網公司這樣的大型企業的首選。個人版本的殺毒軟件適合家庭,小規模用戶。
4、網絡安全防護系統
信息資源訪問的安全是信息安全的一個重要內容,在信息系統建設的設計階段,就必須仔細分析,設計出合理的,靈活的用戶管理和權限控制機制,明確信息資源的訪問范圍,制定信息資源訪問策略。
對于已經投入使用的信息系統,可以通過采用增加安全訪問網關的方法,來增強原有系統的用戶管理和對信息資源訪問的控制,以及實現單點登陸訪問任意系統等功能。這種方式基本上不需要改動原來的系統,實施的技術難度相對小一些。對于新建系統,則最好采用統一身份認證平臺技術,來實現不同系統通過同一個用戶管理平臺實現用戶管理和訪問控制。
5、開展信息安全專題研究,為將來的應用做好準備
電網實時監視與控制系統的安全問題要求更高,技術難度更大,應開展專題研究。
國家有關部門和電力企業對電網實時監視與控制系統的安全問題高度重視,專門發文要求確保電網二次系統的計算機和網絡系統的安全,要實現調度控制系統,數據網與其他生產管理系統和網絡的有效隔離,甚至是物理隔離。
6、電子商務安全需要深入研究和逐步應用
電子商務的安全牽涉很多方面,包括嚴格,安全的身份的認證技術,對涉及商業機密的信息實現加密傳輸,采取數字簽名技術保證合同和交易的完整性及不可否認性等。這些方面又與信息安全基礎技術平臺密切相關,因此安全基礎平臺的建設對于電子商務的安全應用是至關重要的。目前已經有電子商務的應用系統投入在線使用,我們必須加快對電子商務的安全的研究和應用,否則將來會出現因電子在線交易不安全,不可靠的而導致電子商務系統無人敢用的局面。
7、依據法規,遵循標準,提高安全管理水平
信息安全的管理包括了法律法規的規定,責任的分化,策略的規劃,政策的制訂,流程的制作,操作的審議等等。雖然信息安全"七分管理,三分技術"的說法不是很精確,但管理的作用可見一斑。
三、解決信息安全問題的思路與對策
電力企業的信息安全管理相對來說還是一個較新的話題,國內其他電力企業也在積極研究和探討,以下是一些粗淺的看法。
1、依據國家法律,法規,建立企業信息安全管理制度
國家在信息安全方面了一系列的法律法規和技術標準,對信息網絡安全進行了明確的規定,并有專門的部門負責信息安全的管理和執法。企業首先必須遵守國家的這些法律法規和技術標準,企業也必須依據這些法律法規,來建立自己的管理標準,技術體系,指導信息安全工作。學習信息安全管理國際標準,提升企業信息安全管理水平
國際上的信息技術發展和應用比我們先進,在信息安全領域的研究起步比我們更早,取得了很多的成果和經驗,我們可以充分利用國際標準來指導我們的工作,提高水平,少走彎路。
信息安全是企業信息化工作中一項重要而且長期的工作,為此必須各單位建立一個信息安全工作的組織體系和常設機構,明確領導,設立專責人長期負責信息安全的管理工作和技術工作,長能保證信息安全工作長期的,有效的開展,才能取得好的成績。
2、開展全員信息安全教育和培訓活動
安全意識和相關技能的教育是企業安全管理中重要的內容,信息安全不僅僅是信息部門的事,它牽涉到企業所有的員工,為了保證安全的成功和有效,應當對企業各級管理人員,用戶,技術人員進行安全培訓,減少人為差錯,失誤造成的安全風險。
開展安全教育和培訓還應該注意安全知識的層次性,主管信息安全工作的負責人或各級管理人員,重點是了解,掌握企業信息安全的整體策略及目標,信息安全體系的構成,安全管理部門的建立和管理制度的制定等;負責信息安全運行管理及維護的技術人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護技術的合理運用等;用戶,重點是學習各種安全操作流程,了解和掌握與其相關的安全策略,包括自身應該承擔的安全職責等。
3、充分利用企業網絡條件,提供全面,及時和快捷的信息安全服務
山東省電力公司廣域網聯通了系統內的各個二級單位,各單位的局域網全部建成,在這種良好的網絡條件下,作為省公司一級的信息安全技術管理部門應建立計算機網絡應急處理的信息與技術支持平臺,安全公告,安全法規和技術標準,提供安全軟件下載,搜集安全問題,解答用戶疑問,提供在線的信息安全教育培訓,并為用戶提供一個相互交流經驗的場所。網絡方式的信息服務突破了時間,空間和地域的限制,是信息安全管理和服務的重要方式。
4、在發展中求安全
沒有百分之百安全的技術和防護系統黑客技術,計算機病毒等信息安全攻擊技術在不斷發展的,人們對它們的認識,掌握也不是完全的,安全防護軟件系統由于技術復雜,在研制開發過程中不可避免的會出現這樣或者那樣的問題,這勢必決定了安全防護系統和設備不可能百分百的防御各種已知的,未知的信息安全威脅。
不是所有的信息安全問題可以一次解決
人們對信息安全問題的認識是隨著技術和應用的發展而逐步提高的,不可能一次就發現所有的安全問題。信息安全生產廠家所生產的系統和設備,也僅僅是滿足某一些方面的安全需求,不是企業有某一方面的信息安全需求,市場上就有對應的成熟產品,因此不是所有的安全問題都可以找到有效的解決方案。
