中小企业实施电子商务的安全对策.doc

摘要 摘要 随着 Internet 的全面普及 电子商务应运而生 并获得了巨大的发展 成为 全新的商务模式 电子商务所依托的平台 互联网充满复杂的安全风险 企业 内部对安全问题的盲目和高层领导的重视程度不高 使得企业电子商务不可避免 地会遇到风险 因此 安全问题成为企业电子商务的核心问题 本文对电子商务的意义 特征及电子商务安全的内涵和内容等做了交响分析 的分析与探讨 首先 分析了中小企业电子商务安全涉及的安全因素 人为因素 和其他因素 其次 从内生 外生和协同防范体系对中小企业企业电子商务提出 了防火墙技术 对称加密和非对称加密的加密技术 身份认证和安全认证的认证 技术 SET 协议和 SSL 协议的安全协议及其他虚拟专用网 反病毒 实施规划方 法 访问控制等技术对策 最后从企业内部管理 法律保障方面提出管理对策 电子商务的安全涉及到各层多方面的问题 它的解决不仅要有先进的技术 还要有法制的完善及管理水平的提高 只有各方面全面提高 才能保证企业信息 的保密性 完整性 促进企业电子商务的进一步发展 关键词 关键词 电子商务安全 防火墙技术 认证技术 加密技术 ABSTRACT ABSTRACT With the popularization of the Internet and e commerce comprehensively and has achieved great development it has become a new business model E commerce platform the Internet on the safety risk filled with complex internal security blind and senior leaders of high degree makes the enterprise electronic commerce unavoidable risk Therefore the security problem of the core problems of e commerce Based on the meaning and characteristics of e commerce and e business safety and connotation of the content and symphony of analysis and discussion analysis First a small and medium sized enterprise e commerce security safety factor the artificial factors and other factors Secondly from the endogenous and exogenous and collaborative prevention system for small and medium sized enterprise enterprise electronic commerce proposed firewall technology symmetry encryption and asymmetric encryption encryption and authentication of identification authentication and safe authentication technology SET protocol and SSL protocol security protocol and other virtual private network VPN anti virus implementing methods access control technology countermeasure Finally from the enterprise internal management and puts forward countermeasures law security management E commerce security involves many layers of solving the problem it should not only have advanced technology perfect management system and have to raise the level of Only the improving enterprise information to ensure the confidentiality integrity and promoting the further development of e commerce Keywords e commerce security firewall encryption authentication 目录 目 录 第一章第一章 绪论绪论 1 1 1 电子商务概述 1 1 1 1 电子商务的意义 1 1 1 2 电子商务的特征 2 1 2 电子商务的安全 2 1 2 1 安全的重要性 3 1 2 2 电子商务安全内涵 3 1 2 3 电子商务安全的中心内容 4 1 2 4 我国电子商务安全问题剖析 5 1 3 本文主要研究内容 5 第二章第二章 中小企业电子商务中小企业电子商务 7 2 1 电子商务对中小企业发展的作用 7 2 2 我国中小企业开展电子商务的现状与问题 8 2 3 中小企业如何开展电子商务 9 2 4 中小企业电子商务安全的需要 11 2 4 1 中小企业电子商务安全要素 12 2 4 2 电子商务安全问题增加的原因 14 2 5 本章小结 15 第三章第三章 中小企业电子商务面临的安全问题中小企业电子商务面临的安全问题 17 3 1 电子商务系统安全涉及的因素 17 3 1 1 人为因素 18 3 1 2 其他因素 18 3 1 3 案例 19 3 2 防范体系 20 3 2 1 内生风险防范体系 20 3 2 2 外生风险防范体系 21 3 2 3 电子商务企业协同防范体系 21 3 3 本章小结 23 第四章第四章 中小企业电子商务安全技术对策中小企业电子商务安全技术对策 25 4 1 防火墙 25 4 1 1 防火墙技术 26 4 1 2 防火墙的特点 27 4 1 3 防火墙的类型 29 4 2 加密技术 30 4 2 1 对称加密 30 4 2 2 非对称加密 31 4 3 认证技术 32 4 3 1 身份认证技术 32 目录 4 3 2 安全认证 32 4 4 安全协议技术 34 4 4 1 SET 协议 35 4 4 2 SSL 协议 35 4 5 相关技术 36 4 5 1 虚拟专用网 36 4 5 2 反病毒技术 36 4 5 3 实施规划和方法 36 4 5 4 访问控制 36 4 6 本章小结 36 第五章第五章 中小企业电子商务安全管理对策中小企业电子商务安全管理对策 39 5 1 内部管理体系 39 5 2 法律法规建设 41 5 3 本章小结 43 第六章第六章 结束语结束语 45 致致 谢谢 47 参考文献参考文献 49 第一章 绪论 1 第一章 绪论 1 1 电子商务概述 20 世纪 90 年代以来随着社会信息化步伐的加快 利用计算机技术 网络通 信技术和因特网实现商务活动的国际化 信息化和无纸化 已成为全球商务发展 的趋势 电子商务在全球范围内的兴起和迅猛发展 快速地改变着原有经济格局 以及传统的经济运行方式和增长模式 电子商务以因特网为基础 可以提供跨国 多种语言 多种货币的在线服务 包括银行 保险 旅游 购物 还可以提供包 括产品需求 讨价还价 作出决定 支付 送货及解决纠纷等全面的商业交易服 务 特别是信息产品还可以直接在线递送 从而大大降低了交易费用 成本低 及时性和互通性好 以及在拓展市场等方面的优势 使得电子商务受到全球的广 泛关注 电子商务在催生新经济和推动经济全球化中所表现出来的巨大能量 已 经使其成为评价一国经济发展水平和可持续发展能力的重要指标 电子商务 英文是 Electronic Commerce 简称 EC 通常是指在全球各地广泛 的商业贸易活动中 在因特网开放的网络环境下 基于浏览器 服务器应用方式 买卖双方不谋面地进行商贸活动 实现消费者的网上购物 商户之间的网上交易 和在线电子支付以及各种商务活动 交易活动 金融活动和相关的综合服务活动 的一种新型的商业运营模式 1 1 1 电子商务的意义 简单地说 电子商务就是利用互联网开展的各类商务活动 也就是交易的当 事人或者参与人利用计算机网络技术与现代信息技术而进行的各类商务活动 包 括货物贸易 服务交易 知识产权交易 网上广告等商业活动 电子商务是一种全新的商业模式 通过互联网这个新型的业务传送载体 各 行各业可以连接在一起开展现实与虚拟的合作 形成新的业务 产生新的收入 电子商务可以看作是一种业务的转型 企业利用互联网为基础的现代电子信息手 段对企业经济业务活动的全面整合 以达到增加价值 提高效率 降低成本 提 高企业间竞争能力的目的 电子商务实际上改变了企业业务运作模式 改变了企 业竞争策略 提升了企业间业务合作伙伴关系 中小企业实施电子商务的安全对策 2 电子商务实质上形成了一个虚拟的市场交换场所 它能够跨越时空 实时的 为用户提供各类商品和服务的供应量 需求量 发展状况及买卖双方的详细情况 从而使买卖双方能够更方便地观察市场 更准确地了解市场和把握市场 电子商务 1是现代信息技术 网络技术与商务的组合 真正意义上的电子商 务是建立在企业全面信息化基础上 通过电子手段对企业的生产 销售 库存 服务以及人力资源等环节实行全方位控制 真正的电子商务绝不仅仅是企业前台 的商务电子化 更重要的是包括后台在内的整个运作体系的全面信息化 以及企 业整体经营流程的优化和重组 因此 电子商务不能简单地等同于商务电子化 1 1 2 电子商务的特征 电子商务与传统商务相比具有明显的特征 主要表现在以下方面 1 交易虚拟化 电子商务通过互联网进行贸易 参与贸易的各方从磋商 签订合同到资金支 付等都无需当面进行 整个交易完全虚拟化 2 交易成本低 电子商务使得买卖双方的交易成本大大降低 3 交易效率高 由于互联网将贸易中的商业报文标准化 电子商务克服传统贸易方式费用高 易出错 处理速度慢等缺点 极大的缩短了交易时间 使整个交易变得异常快捷 与方便 4 交易透明化 买卖双方从交易的洽谈 签约以及货款的支付 交货通知等整个交易过程都 在网上进行 总之 电子商务将传统的商务流程数字化 电子化 让传统的商务流程转化 为电子流 信息流 突破了时间空间的局限 大大提高了商业运作的效率 并有 效地降低了成本 1 2 电子商务的安全 随着开放的互联网络系统 Internet 的飞速发展 电子商务的应用和推广极大 地改变了人们工作和生活方式 带来了无限的商机 然而 电子商务发展所依托 1 钟强 2006 电子商务概论 北京大学出版社 第一章 绪论 3 的平台 互联网络却充满了巨大 复杂的安全风险 使得企业实施电子商务不可 避免地会遇到这样或那样的风险 在互联网环境中开展电子商务 客户 商家 银行等诸多参与者都会担心自己的利益能否真正得到保障 因此 国际组织 各 国政府以及研究机构都在致力于互联网安全问题的研究 期望逐步把网上的世界 变得有序 可信 可靠 只有保证了电子商务的安全 才能够吸引更多的社会公 众投身电子商务 应用电子商务 发展电子商务 才能使电子商务健康地生存 高速地发展 只有建立起科学 合理的安全体系结构 才能保证电子商务交易的 全面安全实施 1 2 1 安全的重要性 对于企业来说 对安全问题的恐惧可能会像实际的安全漏洞一样有害 对计 算机的恐惧和怀疑仍然存在 相伴而来的是对互联网的不信任 这种不信任可能 会限制企业的商业机会 尤其是那些完全基于 Web 的公司 因此 企业必须制定 安全策略 采取保护措施 这些措施不仅要非常有效 而且也要让客户能感觉到 它的有效性 企业必须能够以适当的方式向公众说明 他们打算怎样保护他们的 客户 除了保护他们的客户以外 企业必须保护他们的员工和合作伙伴不受安全 漏洞的威胁 互联网 内联网 外联网让员工和合作伙伴可以在彼此之间进行迅 速的 有效的通信 但是这种通信和效率必然也会受到网络攻击的影响 对于员 工来说 一次攻击可能会导致数小时的停机 而网络必须停止工作 以修复故障 或者恢复数据 显然 宝贵的时间和数据的损失可能会大幅度地降低员工的效率 和士气 法律也是推动对于网络安全的需求的另外一股重要力量 政府不仅认 识到了互联网的重要性 也认识到 世界的很大一部分经济产值都依赖于互联网 但是他们同时也意识到 世界经济的基础设施可能会导致犯罪分子的恶意使用 从而带来严重的经济损失 各国政府因而制定了相关的法律 以管理庞大的电子 信息流量 而且 为了遵守政府所颁行的各项法规 计算机行业也制定了一系列 安全标准 以帮助企业确保数据的安全 并证明它的安全性 没有制定可行的 安全策略来保护其数据的企业将无法达到这些标准 并受到相应的惩罚 1 2 2 电子商务安全内涵 2 电子商务的安全主要是指用户方和提供产品服务方的安全 即双方信息都要 2 王忠诚 2005 电子商务安全 机械工业出版社 中小企业实施电子商务的安全对策 4 保密 用户账号不能被第三方获知 提供产品或服务方的订货和付款信息等商业 秘密也不能为竞争对手所知 并且商务活动一旦达成 相关信息未经双方协定 不可更改 不能否认 电子商务主要依托运作的环境是当前的国际互联网和未来 的国际信息基础设施 网络是从事电子商务机构安身立命的工作环境 其安全需 要表现在以下几个方面 1 网站的安全维护 2 电子商务中安全支付 3 商业秘密的安全保护 4 电子商务中知识产权的保护 1 2 3 电子商务安全的中心内容 电子商务系统的安全问题除了包含计算机系统本身存在的安全隐患外 还包 含了电子商务中数据的安全隐患和交易的安全隐患 要克服这些安全隐患 就需 要实现以下六个方面的安全性 1 商务数据的机密性 商务数据的机密性或称保密性是指信息在网络上传送或存储的过程中不被他 人窃取 不被泄露或披露给未经授权的人或组织 或者经过加密伪装后 使未经 授权者无法了解其内容 机密性可用加密和信息隐匿技术实现 使截获者不能解 读加密信息的内容 机密性的另一方面是保护通信流特性以防止被分析 2 商务数据的完整性 商务数据的完整性或称正确性是保护数据不被伪授权者修改 建立 嵌入 删除 重复传送或由于其他的原因使原始数据被更改 在存储时 要防止非法篡 改 防止网站上的信息被破坏 在传输过程中 如果接收方收到的信息与发送方 的信息完全一样则说明在传输过程中信息没有遭到破坏 具有完整性 3 商务对象的认证性 商务对象的认证性是指网络两端的使用者在沟通之前相互确认对方的身份 保证身份的正确性 分辨参与者声称身份的真伪 防止伪装攻击 认证性用数字 签名和身份认证技术实现 4 商务服务的不可否认性 商务服务的不可否认性是指信息的发送方不能否认已发送的信息 接受方不 能否认已收到的信息 这是一种法律有效性要求 交易一旦达成是不能被否认的 第一章 绪论 5 否则必然会损害一方的利益 信息的不可否认性主要用于保护通信用户对付来自 其他合法用户的威胁 5 商务服务的不可拒绝性 商务服务的不可拒绝性或称可用性是保证授权用户在正常访问信息和资源时 不被拒绝 即保证为用户提供稳定的服务 可用性的不安全是指 延迟 的威胁 或 拒绝服务 的威胁 这类威胁的结果是破坏计算机的正常的处理速度或完全 拒绝处理 6 访问的控制性 访问的控制性是指在网络上限制和控制通信链路对主机系统和应用的访问 用于保护计算机系统的资源 信息 计算和通信资源 不被未经授权人或以未授 权方式接入 使用 修改 破坏 发出指令或植入程序等 1 2 4 我国电子商务安全问题剖析 由于计算机信息有共享和易于扩散等特性 它在处理 存储 传输和使用上 有严重的脆弱性 很轻易被干扰 滥用 遗漏和丢失 甚至被泄露 窃取 篡改 冒充和破坏 还可能受到计算机病毒感染 因此在开放的网络上处理交易 如何 保证传输数据的安全成为电子商务发展的最重要的因素之一 但是几乎所有的网 站在建站开始及发展过程中 都似乎朝向便利性 实用性目标 往往忽略网络安 全环节 给网络发展埋下了深深的隐患 据公安部的资料 利用计算机网络进行 的各类违法行为在中国以每年 30 的速度递增 黑客的攻击方法已超过计算机病 毒的种类 总数达近千种 目前已发现的黑客攻击案约占安全事件总数的 15 多数事件由于没有造成严重危害或商家不愿透露而未被曝光 有媒介道 中国 95 的与 Internet 相连的网络治理中心遭到过境内外黑客的攻击或侵入 其中 银行 金融和证券机构是黑客攻击的重点 金融领域的黑客犯罪案件涉案金额已高达数 亿元 调查公司曾对电子商务的应用前景进行过调查 当问到为什么不愿意购物 时 绝大多数的人的问题是担心遭到黑客的侵袭而导致信用卡信息丢失 因此 随着电子商务日益发展和普及 安全问题显得异常突出 解决安全问题已成为我 国电子商务发展的当务之急 1 3 本文主要研究内容 本文首先对电子商务及电子商务的安全进行了概述 其次再根据中小企业电 中小企业实施电子商务的安全对策 6 子商务的安全构成与安全需求要素 对中小企业电子商务面临的安全问题进行分 析 结合当前的一些风险管理方法 对企业电子商务系统安全风险管理进行一些基 本的分析和研究 以期对企业电子商务安全风险管理提供一些有价值的借鉴和参 考 再次从企业电子商务安全的技术和管理方面 对中小企业在实施电子商务安 全上提出了防火墙 加密技术 安全协议技术以及企业内部管理和法律法规建设 的对策 最后从技术 管理 法律法规建设等方面综合思考 制定出符合中小企 业电子商务安全的对策 第二章 中小企业电子商务 7 第二章 中小企业电子商务 电子商务是运用现代通信技术 计算机和网络技术进行的一种社会经济形态 其目的是通过降低社会经营成本 提高社会生产效率 优化社会资源配置 从而 实现社会财富的最大化利用 电子商务以低廉的交易成本 简化的贸易流程 超 越时空限制的经营方式和由此带来的巨大利润 正成为传统企业 特别是中小企 业追逐的热点 显示出了极强的生命力 2 1 电子商务对中小企业发展的作用 在现代信息社会中 电子商务可以使掌握信息技术和商务规则的企业和个人 系统地利用各种电子工具和网络 高效率 低成本地从事各种以电子方式实现的 商业贸易活动 从应用和功能方面来看 中小企业电子商务分为三个层次或 3S 即 SHOW SALE SERVE SHOW 展示 就是提供电子商情 中小企业以网页方式在网上发布商品及 其他信息 和在网上做广告等 通过 SHOW 中小企业可以树立自己的企业形象 扩大企业的知名度 宣传自己的产品的服务 寻找新的贸易合作伙伴 为中小企 业提供大量新的市场机会 SALE 交易 即将传统形式的交易活动的全过程在网络上以电子方式来实 现 如网上购物等 中小企业通过 SALE 可以完成交易的全过程 扩大交易的范 围 提高工作的效率 降低交易的成本 从而获取经济和社会效益 SERVE 服务 指企业通过网络开展的与商务活动有关的各种售前和售后的 服务 通过这种网上的 SERVE 中小企业可以完善自己的电子商务系统 巩固原 有的客户 吸引新的客户 从而扩大企业的经营业务 获得更大的经济效益和社 会效益 中小企业通过电子商务网络可以加强企业同供应商 客户的联系 收集 商品供求信息 提高企业的反应能力 利用信息优势来加速企业内部的商品 资 金循环 尤其在信息技术广泛普及 行业管理日益完善 技术成果转让加快的情 况下 中小企业得以比大企业更快地将新产品投放市场 电子商务促使中小企业更好地适应市场变化 现代计算机网络在企业生产中 中小企业实施电子商务的安全对策 8 的应用与制造活动相结合 使之更贴近市场的需求 有助于提高企业生产的敏捷 性和适应性 使高质量 低成本的产品与及时供货和周到的服务相结合 把时间 和服务同质量和成本并列为企业生产的要求 电子商务还改变了企业竞争态势 使实力较差的中小企业也能在大范围内发挥其灵活机动的竞争优势 中小企业虽 然势小力微 但通过电子商务 其影响力和营销力也会大大提高 更容易适应市 场的变化 有利于中小企业开拓国际市场 2 2 我国中小企业开展电子商务的现状与问题 电子商务是综合运用电子信息技术 以提高贸易伙伴间商业运作效率为目标 将一次交易全过程中的数据和资料用电子方式实现 在商业的运作过程中实现交 易无纸化 直接化 中小企业电子商务取得了长足发展 2005 2006 年中国中小 企业电子商务应用研究年度报告 报告显示 中国中小企业数量众多 适应性强 2005 年中小企业电子商务交易额达到 2766 亿元 同比增长 56 7 已经占据中 国电子商务市场交易额的 38 左右 中国电子商务正迈入繁荣阶段 中小企业具有面广量多 规模较小 机制灵活 容易适应市场需求变化等特 点 但从其现实情况看 也还存在一定的问题和不足 3 1 认识不足 竞争 务实 思想认识模糊 目前 我国中小企业电子商务从总体来看仍只处于 商务电子化 阶段 绝大 多数企业还把竞争焦点定位于实体市场 没有充分认识到知识经济时代抢占网络 信息虚拟市场的必要性和紧迫性 企业的竞争焦点还集中于实体市场 即使已经 涉足了电子商务的中小企业 也并未真正认识电子商务 2 涉足不多 分布不均 由于中小企业管理者对电子商务给企业发展 营销手段所带来的革命性的变 化认识不足 因而导致中小企业涉足网络电子商务的十分有限 调查显示 全国 560 万家企业 含乡镇企业 中 上网企业所占比例不足 1 5 并且集中分布 在北京 广州 上海等几个大城市 中小企业上网少 浏览客户就少 网络给企 业创造的效益就减缓 从而形成恶性循环 3 人才不足 产品欠缺 中小企业通过电子商务获得订单数量非常少的原因在于 他们更倾向于传统 3 胡长声 2005 电子商务概论 上海复旦大学出版社 第二章 中小企业电子商务 9 的营销模式因为网站维护人员既要懂电脑 又要懂业务 还要懂沟通 更要懂英 语 这方面人才的培养需要投入较多的成本 还不如沿用传统的老业务员开展面 对面的推销 这就表现出我国中小企业电子商务人才的馈乏 同时 我国企业产 品由于品种不多 质量欠佳 通过网上营销的很少 不能形成较大的规模效应 网上支付 网上物流还没有大范围实现 4 宣传不力 商流不畅 一方面 已经上网的中小企业 网络营销仅仅停留在网络广告和促销上 而 且也只是将厂名 品名 地址 电话挂在网上 很少有企业拥有自己独立的域名 网址 开展其他商务营销活动的更是寥寥无几 网络对企业的巨大优势与潜力远 远没有被挖掘 另一方面 社会化配送滞后 商品流通不畅 尤其是货物递送成 本高 网络营销产品不能占有价格上的优势 又没有风险保障 使得一些中小企 业不敢在网络营销上进行更大的尝试 5 政策法规不够完善 电子商务是一项复杂的系统工程 它不仅涉及参加交易的双方 而且涉及不 同地区及不同国家的工商管理 海关 保险 税收 银行等部门 这就需要有统 一的法律和政策框架以及强有力的跨地区 跨部门的综合协调机构 虽然 近年 来我国已经出台了一些有关法规 但总体来看还是很不健全的 尤其是在跨国家 跨地区 跨部门协调方面存在不少问题 6 企业本身信息化建没力不从心 大多数中小企业计算机和网络基础设施薄弱 没有自己的相关专业人才 一 些中小型企业根本无力自行开发电子商务系统 单纯依靠专业网络公司 所以企 业当前的信息化程度还处在一个高期望 低水平的状态 多数中小企业尚未认识 到电子商务能给他们带来比大企业更为有利的机遇 此外 网上支付安全机制和配送法规不健全 企业和消费者权益缺乏可靠保 证中小企业电子商务的策略研究 加上中小企业管理者对电子商务知识的匮乏也 制约了电子商务的发展 在这样的情况下 中小企业电子商务的发展进程缓慢也 就不言而喻了 2 3 中小企业如何开展电子商务 中小企业一般主要经营消费品 规模较小 产品品种多样 符合网络营销的 中小企业实施电子商务的安全对策 10 特点 同时 中小企业由于在人员管理上要比大企业简单地多 便于调整 管理 便于较快贯彻新的营销观念而不受原有的企业文化束缚 可以较快地以更新的经 营观念适应时代的潮流 再加上电子商务的技术基础 现实基础以及其巨大的经 济效益 因此 许多中小企业都跃跃欲试或者已经开始尝试 在中小企业 2005 年实现的交易额中 藉由第三方平台实现的交易额达到 2300 亿 同比 2004 年增 长 58 6 占中小企业电子商务交易总额的 83 2 相对而言 行业和地区电子 商务平台以及中小企业自建电子商务平台交易额较少 中小企业电子商务的开展需循序渐进地进行 要在对市场的充分认识 对同 行业竞争要素的充分分析 对企业自身现状的充分了解和对发展战略的明确规划 下 结合企业自身特点 行业特点以及区域经济特点的情况下稳步进行 同时 要对电子商务应用的投资回报评价标准 回报率和回报期有科学的认识 根据电 子商务的功能和企业开展电子商务的自然发展过程两个纬度 我们可以对中小企 业电子商务应用阶段做如下划分 4 尝试阶段 也可称起步阶段 这个阶段既有企业因业务拓展而产生的主动应 用 也有在大量第三方电子商务服务机构的营销作用下而产生的被动应用 二者 的共性是通过各类免费平台或收费平台发布供求信息 但由于这种意识层的应用 并没有纳入到企业的宏观战略和绩效考评 因此 缺乏对发布信息的及时更新和 有效跟踪 电子商务的效能没有完全得到发挥 整合阶段 这个阶段是在企业初步尝到了电子商务的甜头后 开始把电子商 务与企业的各个业务环节整合企业应用 逐步渗透到企业的情报挖掘 信息发布 客户资源管理 营销等领域 这个阶段往往容易出现企业缺乏电子商务整体战略 规划 而导致各个单项应用出现信息孤岛 协作性差 整体效能不明显 还容易 出现企业的业务流程和管理流程出现不协调 战略阶段 这是企业电子商务应用的最高阶段 也是一个理想阶段 企业把 业务与电子商务应用战略整合 通过科学的流程 使企业的传统业务与电子业务 能够完美配合 提升企业整体竞争能力 总而言之 中小企业电子商务应用是一 个很值得研究的课题 中小企业应该关注自身业务特点 在电子商务应用的尝试 阶段 可采用服务好 功能全 便于跟踪的第三方平台开展电子商务活动 4 沈风池 2005 电子商务概论 中国电力出版社 第二章 中小企业电子商务 11 中小企业预想在电子商务方面取得一定成果 还必须注意以下几个方面 1 消除观念误区 一方面 中小企业不应把电子商务看成神秘的高新技术过程 不能把它当作 纯粹的技术解决方案 更不要等到单证传递与电子支付的安全性得到保证 所有 的标准已经统一以后 才考虑到本企业的发展战略 那样将远远落后于先行者 可能失去大好机遇 另一方面 中小企业发展电子商务的时机也并非越早越好 它取决于企业的业务需求 人员素质 投资能力以及技术市场状况等诸多因素 既不能观望等待 坐失良机 又不能急于求成 盲目投入 2 做好目标市场定位 把握最佳时机 目标市场就是企业要服务的顾客群 只有确定了服务对象和 服务的区域范围 企业才能决定要生产销售何种产品 以何种手段进行促销及网 页设计要突出那些特点等 网络销售和单向营销的传统模式不同 它是双向的营 销方式 所以定位目标市场必须了解自己的产品是否适应上网用户的各种情况 从交易额所占比列来看 第三方电子商务平台已经成为中小企业实施电子商务应 用的最主要途径 但从发展趋势来看 自建平台的站点设计和其他业务的整合将 更加紧密 更具个性化 更有助于业务持续性运作 更适应商业的快速变化和业 务多元化 并加强在线零售的供给 第三方平台对业务的细分将更加明确 更具 国际性和区域性并向融合化发展 3 建立高效信息收集系统 优化资源配置 信息网络时代 谁最先获得信息 谁就获得市场 获得财富 中小企业要成 功地实行电子商务 一定要建立一个高效的信息收集系统 加强网战的设计与推 广 建立良好的企业形象 通过网站的设计 建立一个良好的数据库 收集信息 分析信息 了解市场的需求动向及企业自身的经营情况 企业的产品在网上受欢 迎的程度等 从而优化自身的资源配置 最大地降低成本 提高经营效益 4 提供优质服务系统 建立稳定的顾客群 现代顾客需要的是个性化服务 网络服务系统为顾客提供了全新的工具 全 天候 即时 互动 了解信息 释疑解难等 这些性质迎合了现代顾客个性化的 需求特征 所以越来越多的企业把电子商务整合到营销计划中 使顾客服务成为 电子商务必不可少的环节之一 中小企业实施电子商务的安全对策 12 2 4 中小企业电子商务安全的需要 电子商务的一个重要特征是利用 IT 技术来传输和处理商业信息 电子商务 安全从整体上可分为两部分 计算机安全和商务交易安全 中小企业电子商务的 安全性是由计算机的安全性 特别是计算机网络的安全性发展而来的 电子商务 对网络及应用系统提出了许多安全要求 一方面科学家很难开发出对保障网络安 全普遍有效的技术 另一方面又缺乏足以保证这些手段得到实施的社会环境 因 此 安全问题是中小企业电子商务系统所要解决的核心问题 企业电子商务系统的安全性并不是一个孤立的概念 它是由计算机安全性尤 其是计算机信息的安全性发展而来的 而计算机信息系统是指由计算机及其相关 的和配套的设备 设施 含网络 构成的 按照一定的应用目标和规则对信息进 行采集 加工 存储 传输 检索等处理的人机系统 5 企业电子商务系统安全 是由实体安全 运行安全和信息安全构成 企业电子商务系统安全 实体安全运行安全信息安全 环境安全 设备安全 媒体安全 风险分析 审计跟踪 备份与恢复 应急 操作系统安全全 数据库安全 网络安全 病毒防护 访问控制 加密 鉴别 图 2 4 电子商务系统安全构成图 2 4 1 中小企业电子商务安全要素 5甘早斌 2003 电子商务概论 第二版 华中科技大学出版社 第 76 80 页 第二章 中小企业电子商务 13 随着全球经济化进程的加快 越来越多的企业意识到在激烈的国标市场竞争 和复杂多变的外部环境中 要想求得生存和长远发展 就必须站在全局的高度去 把握未来 通过强化自身的优势 取得企业内部资源与外部环境的动态平衡 1 有效性 电子商务作为贸易的一种形式 其信息的有效性将直接关系到个人 企业或国 家的经济利益和声誉 因此 要对网络故障 操作错误 应用程序错误 硬件故障 系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防 以保证贸易数据在 确定的时刻 确定的地点是有效的 2 机密性 传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报 文来达到保守机密的目的 EC 是建立在一个较为开放的网络环境上 因此 要预 防非法的信息存取和信息在传输过程中被非法窃取 3 完整性 电子商务简化了贸易过程 减少了人为的干预 同时也带来维护贸易各方商业 信息的完整 统一的问题 由于数据输入时的意外差错或欺诈行为 可能导致贸易 各方信息的差异 此外 数据传输过程中信息的丢失 信息重复或信息传送的次序 差异也会导致贸易各方信息的不同 贸易各方信息的完整性将影响到贸易各方的 交易和经营策略 保持贸易各方信息的完整性是 EC 应用的基础 因此 要预防对信 息的随意生成 修改和删除 同时要防止数据传送过程中信息的丢失和重复并保证 信息传送次序的统一 4 可靠性 在传统的纸面贸易中 贸易双方通过在交易合同 契约或贸易单据等书面文件 上手写签名或印章来鉴别贸易伙伴 确定合同 契约 单据的可靠性并预防抵赖行 为的发生 在无纸化的 EC 方式下 通过手写签名和印章进行贸易方的鉴别已是不 可能的 因此 要在交易信息的传输过程中为参与交易的个人 企业或国家提供可 靠的标识 5 即需性 即需性是防止延迟或拒绝服务 即需安全威胁的目的就在于破坏正常的计算 机处理或完全拒绝服务 在电子商务中 延迟一个消息或消除它会带来灾难性的 后果 例如 你在上午 10 点向在线的股票交易公司发一个电子邮件委托购买 中小企业实施电子商务的安全对策 14 1000 股 IBM 公司的股票 假如这个邮件被延迟了 股票经济商在下午 2 点半才 收到这封邮件 这时股票已经涨了 15 这个消息的延迟就使你损失了交易额的 15 6 身份认证 指交易双方可以相互确认彼此的真实身份 确认对方就是本次交易中所称的 真正交易方 认证是证实一个声称的身份或者角色 如用户 机器 节点等是否 真实的过程 这一过程为授权和审计所必需 也是实现授权 审计的访问控制过 程运行的前提 是计算机网络安全系统不可缺少的组成部分 7 审查能力 根据机密性和完整性的要求 应对数据审查的结果进行记录 审查能力是指每 个经授权的用户的活动的唯一标识和监控的 以便对其所使用的操作内容进行审 计和跟踪 当贸易一方发现交易行对自己不利时否认电子商务行为 2 4 2 电子商务安全问题增加的原因 6 我国电子商务网络安全存在问题 既有网络技术原因 也有安全防范意识原因 我国电子商务之所以网络安全问题不断增加 主要原因有以下几个方面 1 电子商务犯罪成本太低 众所周知 人们之所以不敢犯罪 很重要的原因是犯罪成本太高 目前电子商 务病毒之所以成上升趋势 就是因为传播电子商务病毒成本很低 以制作熊猫烧 香病毒为例 它造成了我国几十万台计算机染毒 直接和间接损失以亿元计 而首 犯在取得 14 万元经济利益后只 处四年有期徒刑 由于该罪犯有攻击其他计算 机的能力 已经有公司希望在其刑期服满之后 高薪聘请他加盟 很多青年人对 电子商务网络犯罪跃跃欲试 与此同时 由于因特网是一个世界网络体系 使网 络病毒传播带有世界性特征 控制传播网络病毒却很难 即罪犯遍布世界各地 而中国的网络执法人员只能在中国境内行使执法权 这就为世界各地传播网络病 毒犯罪留下了逃避法律制裁的空间 同时 也给抓住罪犯增加了不小的难度 犯 罪成本低加上制裁难度大 使一些原来无犯意的网络 高手 也想通过传播网 络病毒这一犯罪途径一显 身手 2 我国电子商务安全技术落后 6 洪国彬 2008 电子商务安全与管理 清华大学出版社 第二章 中小企业电子商务 15 与西方国家相比 我国在电子商务安全技术方面差距很大 具体表现在 我国的信息安全研究落后 目前才进入电子商务网络安全研究的起步阶段 与西方国家比还存在巨大的差距 国内开发研制的防火墙 安全路由器 安全网关 黑客入侵检测 系统脆 弱性扫描等软件 产品的完善性 规范化 实用性还存在许多不足 在系统安全协议的研究方面差距更大 建立创新性安全理论和系列算法方面仍存在巨大的差距 操作系统中的安全缺陷相当多 使入侵者有不少空子可钻 通信线路易遭物理破坏 易被搭线窃听 无线通信易遭截获 监听 我国还缺乏自己的操作系统 缺乏计算机网络系统和数据库管理系统统一操 作标准 缺乏统一的信息安全标准 密码算法和协议标准 我国对发达国家信息设备和信息技术存在着很强的依赖性 对引进技术和设 备缺乏必要的信息管理和技术改造 尤其是系统安全和安全协议更是如此 美 国出口到中国的密钥芯片都留有一个后门 只要美方愿意 随时可以启动 美国出 口到我国的计算机安全系统也只有 C2 级 是美国国防部规定的 8 个安全级别之中 的倒数第三级 3 人们对电子商务安全防范的重视程度远远不够 由于互联网存在的时间还不长 大多数人对互联网还处于认知的 初级阶段 很多人对在网上侵占他人利益 破坏他人财产的行为是否是犯罪都不清楚 人们对 传播电子商务安全犯罪的重视程度远远不足 表现为 是否犯罪界定不明 没有制 定相关法律法规 已有的法规随着网络技术的不断进步已经不适应 由于国家对电子商务网络犯罪的界定不清 对电子商务网络犯罪的执法力度自 然不足 表现在 由于因特网是一个才刚刚兴起的新生事物 很多网络法规没有建立 使网络 执法没有法律依据 网络执法队伍建设严重滞后 它不仅体现在建立的时间短 人数少 还体现 在队伍的素质比较低 跟不上花样翻新的电子商务网络犯罪的要求 2 5 本章小结 中小企业实施电子商务的安全对策 16 现代企业的竞争 不是产品的竞争而是商业模式的竞争 传统企业需要完成 自己传统商业模式 互联网有自己清晰的网上商业模式 电子商务的发展前景深 远 人类将进入更加完善的信息网络时代 虚拟空间 虚拟社会已在建立 随着 新一代的成长 网络消费观念将会成为一种必然 电子商务是一个全新的不断变 化的领域 随着新技术的飞跃发展 中小企业应该不断制定相应的战略 策略 以适应形式发展 本章分析了电子商务对中小企业的作用 中小企业实施电子商 务的现状及存在的问题 电子商务的安全要素 电子商务安全问题增加的原因 电子商务对中小企业的重要性 电子商务模式对中小企业是挑战 也是机遇 成 为二十一实际主流商业经济模式 第三章 中小企业电子商务面临的安全问题 17 第三章 中小企业电子商务面临的安全问题 电子商务在全球取得了极大的成功 但是由于在互联网的全球性 无缝连通 性 开放性和共享性 动态性任何人都可以自由地接入因特网 使得电子商务传 输过程中的信息安全存在先天不足 特别是 黑客 们可能采取各种攻击手段进 行破坏等活动 网络实体还要经受诸如水灾 火灾 地震 电磁辐射等方面的考 验 因此 在建立电子商务应用系统时 必须将安全作为一个重要方面来加以考 虑 电子商务的安全问题 总的来说分为两部分 一是网络安全 二是商务安全 计算机网络安全的内容包括 计算机网络设备安全 计算机网络系统安全 数据 库安全 工作人员和环境等 3 1 电子商务系统安全涉及的因素 虽然电子商务系统的形式多种多样 涉及的安全问题也是方方面面 但主要 有以下因素应加以考虑 7 1 物理安全 是指保护计算机主机硬件和物理线路的安全 保证其自身的可靠性和为系统 提供基本安全机制 影响物理安全的重要因素 火灾 自然灾害 辐射 硬件故障 搭线窃听 盗窃 偷窃 和超负荷 2 网络安全 是指网络层面的安全 网络上的计算机有可能被网上任何一台主机攻击或插 入物理网络攻击 大部分的 Internet 协议没有进行安全性设计 网络服务器程序 经常需要用超级用户特权来执行 3 系统软件安全 指保护软件和资料不会被窜改 泄露 破坏 非法复制 包括有意或无意 系统软件安全的目标是使计算机系统逻辑上安全 使系统中的信息存取 处理和 传输满足系统安全策略的要求 系统软件安全可分为 操作系统安全 数据库安 7才书训 2004 电子商务安全风险管理与控制 东北大学出版社 第 189 200 页 中小企业实施电子商务的安全对策 18 全 网络软件安全 应用软件安全 3 1 1 人为因素 1 信息的截获和窃取 这是指电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他 人的文电内容以获取商业机密 2 信息的篡改 网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改 删除或 插入 并发往目的地 从而达到破坏信息完整性的目的 在电子商务中表现为商 业信息的真实性和完整性的问题 电子的交易信息在网络上传输的过程中 可能 被他人非法修改 删除或重改 这样就使信息失去了真实性和完整性 假如两公司 签订了一份由一公司向另一公司供应原料的合同 若赶上原料价格上涨 供货方 公司篡改价格将使自己大幅受益 而采购公司将蒙受损失 3 拒绝服务 是指在一定时间内 网络系统或服务器服务系统的作用完全失效 其主要原 因来自于黑客和病毒的攻击以及计算机硬件的人为破坏 4 信息的假冒 信息的假冒是指当攻击者掌握了网络信息数据规律或解密了商务信息后 可 以假冒合法用户或假冒信息来欺骗其它用户 主要表现形式有假冒客户进行非法 交易 伪造电子邮件等 5 交易的抵赖 交易抵赖包括发信者事后否认曾经发送过某条信息 买家做了定单后不承认 卖家卖出的商品因价格差而不承认原先的交易等 3 1 2 其他因素 1 安全协议问题 对安全协议还没有全球性的标准和规范 相对制约了国际性的商务活动 此 外 在安全管理方面还存在很大隐患 普遍难以抵御黑客的攻击 2 技术人才短缺问题 电子商务是在近几年才得到了迅猛发展 许多地方都缺乏足够的技术人才来 处理所遇到的各种问题 不少电子商务的开发商对网络技术很熟悉 但是对安全 技术了解得偏少 因而难以开发出真正实用的 安全性的产品 第三章 中小企业电子商务面临的安全问题 19 3 法律问题 电子交易衍生了一系列法律问题 例如网络交易纠纷的仲裁 网络交易契约 等问题 急需为电子商务提供法律保障 4 电脑病毒问题 近几年各种新型病毒及其变种层出不穷 这些病毒在对社会造成极大危害的 同时 也给电子商务带来潜在的危险 5 黑客问题 黑客指的是一些以获得对其他人的计算机或者网络的访问权为乐的计算机爱 好者 破坏者的黑客是怀有恶意 他们会摧毁整个企业的计算机系统 窃取或者 损害公司保密数据 修改网页 甚至最终导致业务的中断 总之 电子商务的安全是个非常复杂的问题 它的保障机制必须是有机的 多层次的 需要有企业管理 技术支持等方面的协调来实现 它是一个系统有机 的整体 不仅需要计算机网络安全的保证 也需要商务交易安全上的保障 更需 要管理上的进步 才能确保电子商务的安全 同时我国在电子商务技术性较为落 后 必须加强具有自主产权的信息安全产品的研究 注意加强信息安全人才的培 养 多方共同努力建立科学的电子商务安全机制 才能为我国的电子商务又快又 好的发展保驾护行 3 1 3 案例 华硕官方网站遭黑客攻击 公司被迫关闭服务器 Exploit Prevention Labs 的首席技术官罗杰 汤姆森 Roger Thompson 透露 该攻击代码隐藏在网站主页的一个 HTML 元素中 并试图从另一台服务器上下载 恶意代码 截止周五下午 这台服务器已经停止工作 虽然黑客们还可转移攻击 目标 不过此次攻击的危险性已经下降 4 月 6 日据外电报道 电脑零部件生产商 华硕的网站遭到黑客攻击 黑客 利用本周才修复的一个 Windows 系统中的紧急漏洞 通过该网站的服务器发送恶 意代码 华硕的营销经理大卫 雷 David Ray 不能证实网站是否被黑 只称公司的 网站看起来没有受到威胁 此恶意代码之所以受到特别关注 是因为它利用了本 周才修复的一个紧急的 Windows 动画光标漏洞 瞄准该漏洞的恶意代码已经出现 中小企业实施电子商务的安全对策 20 了一个多星期 在安装了补丁前如果用户访问了华硕网站 可能会危及电脑的安 全 Kaspersky Lab 也证实了华硕网站被黑客攻击 同时证实被黑客利用的网站在周五 都已关闭 黑客们无法下载恶意代码 汤姆森认为 华硕网站的被黑显示出 即 使是人们信赖的网站也可能存在安全隐患 他表示 如果像华硕这样的公司都能 被黑并感染上病毒 其他网站可想而知 3 2 防范体系 电子商务企业的风险管