電子商務安全管理制度

電子商務安全管理制度電子商務安全管理制度電子商務的安全控制要求和基本方法電子商務的核心問題是交易的安全性，這是網(wǎng)上交易的基礎，也是電子商務技術的難點。近年來，已采用和制定了系列的方法來解決網(wǎng)上交易的安全性問題。本文將具體地討論這一問題。一、河北電腦培訓電子商務的安全控制要求概述電子商務發(fā)展的核心和關鍵問題是交易的安全性。由于Internet本身的開放性，使網(wǎng)上交易面臨了種種危險，也由此提出了相應的安全控制要求。1．信息保密性交易中的商務信息有保密的要求。如信用卡的帳號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。2．交易者身份的確定性網(wǎng)上交易的雙方很可能素昧平生，相隔千里。要使交易成功，首先要能確認對方的身份，對商家要考慮客戶端不能是騙子，而客戶也會擔心網(wǎng)上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。3．不可否認性由于商情的千變?nèi)f化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。例如訂購黃金，訂貨時金價較低，但收到訂單后，金價上漲了，如收單方能否認收到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失。因此電子交易通信過程的各個環(huán)節(jié)都必須是不可否認的。4．不可修改性交易的文件是不可被修改的，如上例所舉的訂購黃金。供貨單位在收到訂單后，發(fā)現(xiàn)金價大幅上漲了，如其能改動文件內(nèi)容，將訂購數(shù)1噸改為1克，則可大幅受益，那么訂貨單位可能就會因此而蒙受損失。因此電子交易文件也要能做到不可修改，以保障交易的嚴肅和公正。(石家莊新華電腦學校)二、河北電腦培訓電子商務安全交易的有關標準和實施方法1．早期曾采用過的方法河北電腦培訓在電子商務實施初期，曾采用過一些簡易的安全措施，這些措施包括：*部分告知(PartialOrder):即在網(wǎng)上交易最關鍵的數(shù)據(jù)如信用卡號碼及成交數(shù)額等略去，然后再用電話告之，以防泄密。*另行確認(OrderConfirmation):即當在網(wǎng)上傳輸交易信息之后，應再用電子郵件對交易作確認，才認為有效。*在線服務(OnlineService):為了保證信息傳輸?shù)陌踩闷髽I(yè)提供的內(nèi)部網(wǎng)來提供聯(lián)機服務。以上所述的種種方法，均有一定的局限性，且操作麻煩，不能實現(xiàn)真正的安全可靠性。2．近年推出的安全交易標準近年來，IT業(yè)界(石家莊新華電腦學校)與金融行業(yè)一起，推出不少更有效的安全交易標準。主要有:安全超文本傳輸協(xié)議(S-HTTP):依靠密鑰對的加密，保障Web站點間的交易信息傳輸?shù)陌踩浴?安全套接層協(xié)議(SSL:SecureSocketsLayer):由Netscape公司提出的安全交易協(xié)議，提供加密、認證服務和報文完整性。SSL被用于NetscapeCommunicator和MicrosoftIE瀏覽器，用以完成需要的安全交易操作。安全交易技術協(xié)議(STT:SecureTransactionTechnology):由Microsoft公司提出，STT將認證和解密在瀏覽器中分離開，用以提高安全控制能力。Microsoft將在InternetExplorer中采用這一技術。安全電子交易協(xié)議(SET:SecureElectronicTransaction):年，信用卡國際組織、資訊業(yè)者及網(wǎng)絡安全專業(yè)團體等開始組成策略聯(lián)盟，共同研究開發(fā)電子商務(ElectronicCommerce)的安全交易。年6月，由IBM，MasterCardInternational，VisaInternational，Microsoft，Netscape，GTE，VeriSign，SAIC，Terisa共同制定的標準SET正式公告，涵蓋了信用卡在電子商務交易中的交易協(xié)定、信息保密、資料完整及數(shù)字認證、數(shù)字簽名等。這一標準被公認為全球網(wǎng)際網(wǎng)絡的標準，其交易形態(tài)將成為未來的規(guī)范。三、河北電腦培訓常用的安全電子交易手段在近年來發(fā)表的多個安全電子交易協(xié)議或標準中，河北電腦培訓新華采納了一些常用的安全電子交易的方法和手段。典型的方法和手段有以下幾種：1．密碼技術采用密碼技術對信息加密，是最常用的安全交易手段。石家莊新華電腦學校在電子商務中獲得廣泛應用的加密技術有以下兩種：⑴公共密鑰和私用密鑰(publickeyandprivatekey)這一加密方法亦稱為RSA編碼法，是由Rivest、Shamir和Adlernan三人所研究發(fā)明的。它利用兩個很大的質數(shù)相乘所產(chǎn)生的乘積來加密。這兩個質數(shù)無論哪一個先與原文件編碼相乘，對文件加密，均可由另一個質數(shù)再相乘來解密。但要用一個質數(shù)來求出另一個質數(shù)，則是十分困難的。因此將這一對質數(shù)稱為密鑰對(KeyPair)。在加密應用時，某個用戶總是將一個密鑰公開，讓需發(fā)信的人員將信息用其公共密鑰加密后發(fā)給該用戶，而一旦信息加密后，只有用該用戶一個人知道的私用密鑰才能解密。具有數(shù)字憑證身份的人員的公共密鑰可在網(wǎng)上查到，亦可在請對方發(fā)信息時主動將公共密鑰傳給對方，這樣保證在Internet上傳輸信息的保密和安全。數(shù)字摘要(digitaldigest)這一加密方法亦稱安全Hash編碼法(SHA:SecureHashAlgorithm)或MD5(MDStandardsforMessageDigest)，由RonRivest所設計。該編碼法采用單向Hash函數(shù)將需加密的明文摘要成一串128bit的密文，這一串密文亦稱為數(shù)字指紋(FingerPrint)，它有固定的長度，且不同的明文摘要成密文，其結果總是不同的，而同樣的明文其摘要必定一致。這樣這摘要便可成為驗證明文是否是正確的了。上述兩種方法可結合起來使用，數(shù)字簽名就是上述兩法結合使用的實例。.數(shù)字簽名(digitalsignature)在書面文件上簽名是確認文件的一種手段，簽名的作用有兩點，一是因為自己的簽名難以否認，從而確認了文件已簽署這一事實；二是因為簽名不易仿冒，從而確定了文件是真的這一事實。數(shù)字簽名與書面文件簽名有相同之處，采用數(shù)字簽名，也能確認以下兩點：*信息是由簽名者發(fā)送的。*信息自簽發(fā)后到收到為止未曾作過任何修改。這樣數(shù)字簽名就可用來防止電子信息因易被修改而有人作偽；或冒用別人名義發(fā)送信息；或發(fā)出(收到)信件后又加以否認等情況發(fā)生。數(shù)字簽名采用了雙重加密的方法來實現(xiàn)防偽、防賴。其原理為：(1)被發(fā)送文件用SHA編碼加密產(chǎn)生128bit的數(shù)字摘要(見上節(jié))。(2)發(fā)送方用自己的私用密鑰對摘要再加密，這就形成了數(shù)字簽名將原文和加密的摘要同時傳給對方。對方用發(fā)送方的公共密鑰對摘要解密，同時對收到的文件用SHA編碼加密產(chǎn)生又一摘要。將解密后的摘要和收到的文件在接收方重新加密產(chǎn)生的摘要相互對比。如兩者一致，則說明傳送過程中信息沒有被破壞或篡改過。否則不然。?數(shù)字時間戳(digitaltime-stamp)交易文件中，時間是十分重要的信息。在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關鍵性內(nèi)容。在電子交易中，同樣需對交易文件的日期和時間信息采取安全措施，而數(shù)字時間戳服務(DTS:digitaltime-stampservice)就能提供電子文件發(fā)表時間的安全保護。數(shù)字時間戳服務(DTS)是網(wǎng)上安全服務項目，由專門的機構提供。時間戳(time-stamp)是一個經(jīng)加密后形成的憑證文檔，它包括三個部分：1)需加時間戳的文件的摘要(digest)，2)DTS收到文件的日期和時間，3)DTS的數(shù)字簽名。時間戳產(chǎn)生的過程為：用戶首先將需要加時間戳的文件用HASH編碼加密形成摘要，然后將該摘要發(fā)送到DTS，DTS在加入了收到文件摘要的日期和時間信息后再對該文件加密(數(shù)字簽名)，然后送回用戶。由Bellcore創(chuàng)造的DTS采用如下的過程：加密時將摘要信息歸并到二叉樹的數(shù)據(jù)結構；再將二叉樹的根值發(fā)表在報紙上，這樣更有效地為文件發(fā)表時間提供了佐證。注意，書面簽署文件的時間是由簽署人自己寫上的，而數(shù)字時間戳則不然，它是由認證單位DTS來加的，以DTS收到文件的時間為依據(jù)。因此，時間戳也可作為科學家的科學發(fā)明文獻的時間認證。.數(shù)字憑證(digitalcertificate,digitalID)數(shù)字憑證又稱為數(shù)字證書，是用電子手段來證實一個用戶的身份和對網(wǎng)絡資源的訪問的權限。在網(wǎng)上的電子交易中，如雙方出示了各自的數(shù)字憑證，并用它來進行交易操作，那么雙方都可不必為對方身份的真?zhèn)螕摹?shù)字憑證可用于電子郵件、電子商務、群件、電子基金轉移等各種用途。數(shù)字憑證的內(nèi)部格式是由CCITTX.509國際標準所規(guī)定的，它包含了以下幾點：*憑證擁有者的姓名，*憑證擁有者的公共密鑰，*公共密鑰的有效期，*頒發(fā)數(shù)字憑證的單位，*數(shù)字憑證的序列號(Serialnumber),*頒發(fā)數(shù)字憑證單位的數(shù)字簽名。河北電腦培訓數(shù)字憑證有三種類型：*個人憑證(PersonalDigitalID):它僅僅為某一個用戶提供憑證，以幫助其個人在網(wǎng)上進行安全交易操作。個人身份的數(shù)字憑證通常是安裝在客戶端的瀏覽器內(nèi)的。并通過安全的電子郵件(S/MIME)來進行交易操作。*企業(yè)(服務器)憑證(ServerID):它通常為網(wǎng)上的某個Web服務器提供憑證，擁有Web服務器的企業(yè)就可以用具有憑證的萬維網(wǎng)站點(WebSite)來進行安全電子交易。有憑證的Web服務器會自動地將其與客戶端Web瀏覽器通信的信息加密。*軟件(開發(fā)者)憑證(DeveloperID):它通常為Internet中被下載的軟件提供憑證，該憑證用于和微軟公司Authenticode技術(合法化軟件)結合的軟件，以使用戶在下載軟件時能獲得所需的信息。上述三類憑證中前二類是常用的.憑證，第三類則用于較特殊的場合，大部分認證中心提供前兩類憑證，能提供各類憑證的認證中心并不普遍。.河北電腦培訓：認證中心(CA:CertificationAuthority)在電子交易中，無論是數(shù)字時間戳服務(DTS)還是數(shù)字憑證(DigitalID)的發(fā)放，都不是靠交易的雙方自己能完成的而需要有一個具有權威性和公正性的第三方(thirdparty)來完成。認證中心(CA)就是承擔網(wǎng)上安全電子交易認證服務、能簽發(fā)數(shù)字證書、并能確認用戶身份的服務機構。認證中心通常是企業(yè)性的服務機構，主要任務是受理數(shù)字憑證的申請、簽發(fā)及對數(shù)字憑證的管理。認證中心依據(jù)認證操作規(guī)定(CPS:CertificationPracticeStatement)來實施服務操作。目前在全球處于領導地位的認證中心是美國的VeriSign公司，創(chuàng)建于1995年4月，總部在美國加州的MountainView。該公司所提供的數(shù)字憑證的服務已遍及全世界50個國家，接受該公司的服務器數(shù)字憑證的Web站點服務器已超過45000個，而使用該公司個人數(shù)字憑證的用戶已超過200萬名。上述五個方面河北電腦培訓新華——石家莊新華電腦學校介紹了安全電子交易的常用手段，各種手段常常是結合在一起使用的，從而構成安全電子交易的體系。關于電子商務安全管理體制的探討2015-06-1219:36|#2樓當前，我國電子商務建設中以技術為主的安全管理體制，忽視了人員對電子商務的安全影響。但近幾年案例表明:企業(yè)缺乏針對內(nèi)部人員的系統(tǒng)安全管理體制，是導致網(wǎng)絡交易過程中泄密和企業(yè)利益損失的主要原因。本文重點分析了企業(yè)在電子商務安全管理體制方面存在的不足和原因，提出了一些加強人員安全管理的建議，為我國電子商務企業(yè)的安全管理提供借鑒。1、問題的提出作為一種新的經(jīng)濟模式，電子商務以高效、便捷、方便的優(yōu)勢和全新的企業(yè)經(jīng)營理念、經(jīng)營手段、經(jīng)營環(huán)境吸引著廣大用戶，為世界經(jīng)濟賦予了無限的發(fā)展空間。隨著電子商務應用范圍的日益擴大，針對電子商務的各種犯罪活動也19益猖獗。國內(nèi)夕卜調(diào)查顯示…，52.26%的用戶最關心的是網(wǎng)上交易的安全可靠性，超過6O%的人由于擔心電子商務的安全問題而不愿進行網(wǎng)上購物。加強電子商務實施過程中的安全管理已經(jīng)成為促進電子商務高速發(fā)展的重要因素。電子商務的安全，可分為技術安全和管理安全兩種類型。所謂技術安全，是指通過各種黑客手段竊取企業(yè)的用戶ID、密碼以及相關的機密文件，甚至網(wǎng)絡銀行帳號、密碼等，給企業(yè)造成經(jīng)濟損失。而管理安全則是指缺乏對參與電子商務過程中各個環(huán)節(jié)的人員的管理預防手段，最終導致的電子商務安全事件。從美國的花旗銀行和中央情報局到中國的某家國有商業(yè)銀行，都有過由于內(nèi)部人員的違規(guī)和違法操作，導致數(shù)據(jù)被篡改和泄密的事件發(fā)生。近幾年的電子商務安全案件表明：人員是網(wǎng)上交易安全管理中的最薄弱的環(huán)節(jié)，近年來我國計算機犯罪大都呈現(xiàn)內(nèi)部犯罪的趨勢，有的競爭對手利用企業(yè)招募新人的方式潛入對方企業(yè)，或利用不正當?shù)姆绞绞召I企業(yè)網(wǎng)絡交易管理人員。有的電子商務從業(yè)人員從本企業(yè)辭職后，迅速把客戶資料、產(chǎn)品研發(fā)成果等機密出售給競爭對手，給企業(yè)帶來了不必要的經(jīng)濟損失。2、原因分析電子商務信息安全已經(jīng)引起很多企業(yè)的重視，但大多數(shù)企業(yè)往往側重于加強技術措施，如購買先進的防火墻軟件，采用更高級的加密方法等，很多企業(yè)認為：員工泄密的安全事故只是偶然現(xiàn)象，很少從人員管理的角度來探討出現(xiàn)這些事故的根本原因?！爸丶夹g、輕管理”是當前很多電子商務企業(yè)的通病。由于管理手段不到位，很多先進的安全技術無法發(fā)揮應有的效能。之所以出現(xiàn)上述問題，主要有以下原因：首先，很多企業(yè)管理高層對人員管理在信息安全中的地位認識不足。大多數(shù)企業(yè)將電子商務網(wǎng)絡作為一項純粹的技術工程來實施，企業(yè)內(nèi)部缺乏系統(tǒng)的安全管理策略，只是被動的使用一些技術措施來進行防御，因此電子商務過程中一旦出現(xiàn)突發(fā)性事件，往往造成很大的經(jīng)濟損失?，F(xiàn)實中沒有一個網(wǎng)絡系統(tǒng)是完美無缺的，不安全因素隨時存在。因此，安全管理措施必須滲透到系統(tǒng)的每一個環(huán)節(jié)和企業(yè)組織的?個層面，只有構建一個人與技術相結合的安全管理體系，才能確保整個電子商務系統(tǒng)得安全。企業(yè)沒有從整體上、有計劃地考慮信息安全問題。企業(yè)各部門、各下屬機構都存在“各自為政的局面，缺少統(tǒng)一規(guī)劃、設計和管理信息安全強調(diào)的是整體上的信息安全性，而不僅是某一個部門或公司的信息安全。而各部門、各公司又確實存在個體差異，對于不同業(yè)務領域來說，信息安全具有不同的涵義和特征，信息安全保障體系的戰(zhàn)略性必須涵蓋各部門和各公司的信息安全保障體系的相關內(nèi)容。缺少信息安全管理配套的人力、物力和財力。人才是信息安全保障工作的關鍵。信息安全保障工作的專業(yè)性、技術性很強，沒有一批業(yè)務能力強，且具有信息網(wǎng)絡知識、信息安全技術、法律知識和管理能力的復合型人才和專門人才，就不可能做好信息安全保障工作。應該從信息安全建設和管理對信息安全人才的實際需求出發(fā)，加快信息安全人才的培養(yǎng)。企業(yè)對員工的信息安全教育不夠。員工的信息安全意識薄弱，9O%的安全事故是由于人為疏忽所造成。如有些企業(yè)不限制內(nèi)部人員使用各種高科技信息載體，如U盤、移動硬盤以及筆記本等移動辦公設備。3、加強電子商務安全管理的建議電子商務信息安全管理實踐表明，大多數(shù)安全問題是由于管理不善造成的。安全管理是一項系統(tǒng)工程，不僅涉及到企業(yè)的組織架構、信息技術、人員素質等各個方面，還牽扯到國家法律和商業(yè)規(guī)則。企業(yè)內(nèi)部存在著諸多影響信息安全的因素：改變lT系統(tǒng)不等于改變企業(yè)的信息安全管理，要使企業(yè)信息盡可能的安全，必須在技術投人的基礎上融人人在管理方面的智慧i同時，不僅要防外，更要防內(nèi)，即對組織內(nèi)部人員的管理。信息安全問題的解決需要技術，但又不能單純依靠技術。整個電子商務的交易過程，是人與技術相互融合的過程，如何使管理與技術相得益彰十分重要。“三分技術，七分管理”闡述了信息安全的本質。電子商務的安全管理，就是通過一個完整的綜合保障體系，來規(guī)避信息傳輸風險、信用風險、管理風險和法律風險，以保證網(wǎng)上交易的順利進行。網(wǎng)上交易安全管理，應采用綜合防范的思路，一是技術方面的考慮，如防火墻技術、網(wǎng)絡防毒、信息加密、身份認證、授權等，但必須明確，只有技術措施并不能完全保證網(wǎng)上交易的安全。二是必須加強監(jiān)管，建立各種有關的合理制度，并加強嚴格監(jiān)督，如建立交易的安全制度、交易安全的實時監(jiān)控、提供實時改變安全策略的能力、對現(xiàn)有的安全系統(tǒng)漏洞的檢查以及安全教育等。為了加強企業(yè)電子商務的信息安全，我們提出如下建議：提高網(wǎng)絡安全防范意識。現(xiàn)在許多企業(yè)沒有意識到互聯(lián)網(wǎng)的易受攻擊性，盲目相信國外的加密軟件，對于系統(tǒng)的訪問權限和密鑰缺乏有力度的管理。這樣的系統(tǒng)一旦受到攻擊將十分脆弱，其中的機密數(shù)據(jù)得不到應有的保護。據(jù)調(diào)查，目前國內(nèi)90%的網(wǎng)站存在安全問題，其主要原因是企業(yè)管理者缺少或沒有安全意識。某些企業(yè)網(wǎng)絡管-理-員甚至認為其公司規(guī)模較小，不會成為黑客的攻擊目標，如此態(tài)度，網(wǎng)絡安全更是無從談起。應該定期由公司或安全管理小組承辦信息安全講座，只有提高網(wǎng)絡安全防范意識，才能有效的減少信息安全事故的發(fā)生。建立電子商務安全管理組織體系。一個完整的信息安全管理體系首先應建立完善的組織體系。即建立由行政領導、IT技術主管、信息安全主管、本系統(tǒng)用戶代表和安全顧問組成的安全決策機構。其職責是建立管理框架，組織審批安全策略、安全管理制度，指派安全角色，分配安全職責，并檢查安全職責是否已被正確履行，核準新信息處理設施的啟用、組織安全管理專題會等。還應建立由網(wǎng)絡管-理-員、系統(tǒng)管-理-員、安全管-理-員、用戶管-理-員等組成的安全執(zhí)行機構。該機構負責起草網(wǎng)絡系統(tǒng)的安全策略、執(zhí)行批準后的安全策略、日常的安全運行和維護、定期的培訓和安全檢查等。如果需要，還可建立安全顧問機構。安全顧問機構可聘請信息安全專家擔任系統(tǒng)安全顧問，負責提供安全建議，特別是在安全事故或違反安全策略事件發(fā)生后，可以被安全決策機構指定負責事故(事件)調(diào)查，并為安全策略評審和評估提供意見。制定符合機構安全需求的信息安全策略。電子商務交易過程中，需要明確的安全策略主要包括客戶認證策略、加密策略、日常維護策略、防病毒策略等安全技術方案的選擇。安全執(zhí)行機構應根據(jù)本信息網(wǎng)絡的實際情況制定相應的信息安全策略，策略中應明確安全的定義、目標、范圍和管理責任，并制定安全策略的實施細則。安全策略文檔要由安全決策機構審查、批準，并發(fā)布和傳達給所有的人安全策略還應由安全決策機構定期進行有效性審查和評估：在發(fā)生重大的安全事故、發(fā)現(xiàn)新的脆弱性、組織體系或技術上發(fā)生變更時，應重新進行安全策略的審查和評估。人員安全的管理和培訓參與網(wǎng)上交易的經(jīng)營管理人員在很大程度上支配著企業(yè)的命運，他們承擔著防范網(wǎng)絡犯罪的任務。而計算機網(wǎng)絡犯罪同一般犯罪不同的是，他們具有智能性、隱蔽性、連續(xù)性、高效性的特點，因而，