电子商务安全论文5000字篇2 浅析电子商务安全决策原则科技 电子商务安全策略是对企业的核心资产进行全面系统的保护,不断的更新企业系统的安全防护,找出企业系统的潜在威胁和漏洞,识别,控制,消除存在安全风险的活动。电子商务安全是相对的,不是绝对的,不能认为存在永远不被攻破的系统,当然无论是何种模式的电子商务网站都要考虑到为了系统安全所要付出的代价和消耗的成本。 作为一个安全系统的使用者,必须应该综合考虑各方因素合理使用电子商务安全策略技术,作为系统的研发设计者,也必须在设计的同时考虑到成本与代价的因素。在这个网络攻防此消彼长的时代,更应该根据安全问题的不断出现来检查,评估和调整相应的安全策略,采用适合当前的技术手段,来达到提升整体安全的目的。电子商务所带来的巨大商机背后同样隐藏着日益严重的电子商务安全问题,不仅为企业机构带来了巨大的经济损失,更使社会经济的安全受到威胁。 1电子商务面临的安全威胁 在电子商务运作的大环境中,时时刻刻面临着安全威胁,这不仅仅设计技术问题,更重要的是管理上的漏洞,而且与人们的行为模式有着密不可分的联系。电子商务面临的安全威胁可以分为以下几类: 信息内容被截取窃取 这一类的威胁发生主要由于信息传递过程中加密措施或安全级别不够,或者通过对互联网,电话网中信息流量和流向等参数的分析来窃取有用信息。 中途篡改信息 主要破坏信息的完整性,通过更改、删除、插入等手段对网络传输的信息进行中途篡改,并将篡改后的虚假信息发往接受端。 身份假冒 建立与销售者服务器名称相似的假冒服务器、冒充销售者、建立虚假订单进行交易。 交易抵赖 比如商家对卖出的商品因价格原因不承认原有交易,购买者因签订了订单却事后否认。 同行业者恶意竞争 同行业者利用购买者名义进行商品交易,暗中了解买卖流程、库存状况、物流状况。 电子商务系统安全性被破坏 不法分子利用非法手段进入系统,改变用户信息、销毁订单信息、生成虚假信息等。 2电子商务安全策略原则 电子商务安全策略是在现有情况,实现投入的成本与效率之间的平衡,减少电子商务安全所面临的威胁。据电子商务网络环境的不同,采用不同的安全技术来制定安全策略。在制定安全策略时应遵循以下总体原则: 共存原则 是指影响网络安全的问题是与整个网络的运作生命周期同时存在,所以在设计安全体系结构时应考虑与网络安全需求一致。如果不在网站设计开始阶段考虑安全对策,等网站建设好后在修改会耗费更大的人力物力。 灵活性原则 安全策略要能随着网络性能及安全威胁的变化而变化,要及时的适应系统和修改。 风险与代价相互平衡的分析原则 任何一个网络,很难达到绝对没有安全威胁。对一个网络要进行实际分析,并且对网络面临的威胁以及可能遇到的风险要进行定量与定性的综合分析,制定规范的措施,并确定本系统的安全范畴,使花费在网络安全的成本与在安全保护下的信息的价值平衡。 易使用性原则 安全策略的实施由人工完成,如果实施过程过于复杂,对于人的要求过高,对本身的安全性也是一种降低。 综合性原则 一个好的安全策略在设计时往往采用是多种方法综合应用的结果,以系统工程的观点,方法分析网络安全问题,才可能获得有效可行的措施。 多层保护原则 任何单一的安全保护措施都不是能独当一面,绝对安全的,应该建立一个多层的互补系统,那么当一层被攻破时,其它保护层仍然可以安全的保护信息。 3电子商务安全策略主要技术 防火墙技术 防火墙技术是一种保护本地网络,并对外部网络攻击进行抵制的重要网络安全技术之一,是提供信息安全服务,实现网络信息安全的基础设施。总体可以分为:数据包过滤型防火墙、应用级网关型防火墙、代理服务型防火墙等几类。防火墙具有5种基本功能: (1)抵挡外部攻击; (2)防止信息泄露; (3)控制管理网络存取和访问; (4)虚拟专用网功能; (5)自身抗攻击能力。 防火墙的安全策略有两种情形: (1)违背允许的访问服务都是被禁止的; (2)未被禁止的访问服务都是被允许的。 多数防火墙是在两者之间采取折中策略,在安全的情况之下提高访问效率。 加密技术 加密技术是对传输的信息以某种方法进行伪装并隐藏其内容,而达到不被第三方所获取其真实内容的一种方法。在电子商务过程中,采用加密技术将信息隐藏起来,再将隐藏的信息传输出去,这样即使信息在传输的过程中被窃取,非法截获者也无法了解信息内容,进而保证了信息在交换过程中安全性、真实性、能够有效的为安全策略提供帮助。 数字签名技术 是指在对文件进行加密的基础上,为了防止有人对传输过程中的文件进行更改破坏以及确定发信人的身份所采取的手段。在电子商务安全中占有特别重要的地位,能够解决贸易过程中的身份认证、内容完整性、不可抵赖等问题。数字签名过程:发送方首先将原文通过Hash算法生成摘要,并用发送者的私钥进行加密生成数字签名发送给接受方,接收方用发送者的公钥进行解密,得到发送方的报文摘要,最后接收方将收到的原文用Hash算法生成其摘要,与发送方的摘要进行比对。 数字证书技术 数字证书是网络用户身份信息的一系列数据,由第三方公正机构颁发,以数字证书为依据的信息加密技术可以确保网上传输信息的的保密性、完整性和交易的真实性、不可否认性,为电子商务的安全提供保障。标准的数字证书包含:版本号,签名算法,序列号,颁发者姓名,有效日期,主体公钥信息,颁发者唯一标识符,主体唯一标示符等内容。一个合理的安全策略离不开数字证书的支持。 安全协议技术 安全协议能够为交易过程中的信息传输提供强而有力的保障。目前通用的为电子商务安全策略提供的协议主要有电子商务支付安全协议、通信安全协议、邮件安全协议三类。用于电子商务的主要安全协议包括:通讯安全的SSL协议(SecureSocketLayer),信用卡安全的SET协议(SecureElectronicTransaction),商业贸易安全的超文本传输协议(S-HTTP),InternetEDI电子数据交换协议以及电子邮件安全协议S/MIME和PEM等。 4结论 在电子商务飞速发展的过程中,电子商务安全所占的比重越发重要。研究电子商务安全策略,意在于减少由电子商务安全威胁带给人们电子商务交易上的疑虑,以推动电子商务前进的步伐。解除这种疑虑的方法,依赖着安全策略原则的制定和主要技术的不断开发与完善。 猜你喜欢: 1. 电子商务硕士论文5000字左右 2. 电子商务安全论文范文 3. 电子商务安全研究论文范文 4. 浅谈电子商务安全技术论文 5. 电子商务安全技术论文 6. 电子商务安全管理论文
我给你找了几篇,你看看一、校园电子商务安全问题及解决方案探讨 摘要:随着电子商务的迅猛发展和校园信息化的不断深入,校园电子商务应运而生并快速发展。本文从分析校园电子商务的概念及特点入手,深入分析校园电子商务的安全问题及安全需求,在结合电子商务安全机制的基础上,为校园电子商务的安全交易提出可供参考的解决方案。 关键词:校园;电子商务;安全;解决方案 引言 随着网络的不断普及和电子商务的迅猛发展,电子商务这种商务活动新模式已经逐渐改变了人们的经济活动方式、工作方式和生活方式,越来越多的人们开始接受并喜爱网上购物,可是,电子商务发展的瓶颈——安全问题依然是制约人们进行电子商务交易的最大问题,因此,安全问题是电子商务的核心问题,是实现和保证电子商务顺利进行的关键所在。校园电子商务是电子商务在校园环境下的具体应用与实现,其安全性也同样是其发展所不容忽视的关键问题,因此应当着重研究。 1 校园电子商务概述。 校园电子商务的概念。 校园电子商务是电子商务在校园这个特定环境下的具体应用,它是指在校园范围内利用校园网络基础、计算机硬件、软件和安全通信手段构建的满足于校园内单位、企业和个人进行商务、工作、学习、生活各方面活动需要的一个高可用性、伸缩性和安全性的计算机系统。 校园电子商务的特点。 相对于一般电子商务,校园电子商务具有客户群稳定、网络环境优良、物流配送方便、信用机制良好、服务性大于盈利性等特点,这些特点也是校园开展电子商务的优势所在。与传统校园商务活动相比,校园电子商务的特点有:交易不受时间空间限制、快捷方便、交易成本较低。 2 校园电子商务的安全问题。 校园电子商务安全的内容。 校园电子商务安全内容从整体上可分为两大部分:校园网络安全和校园支付交易安全。校园网络安全内容主要包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。校园支付交易安全的内容涉及传统校园商务活动在校园网应用时所产生的各种安全问题,如网上交易信息、网上支付以及配送服务等。 校园电子商务安全威胁。 校园电子商务安全威胁同样来自网络安全威胁与交易安全威胁。然而,网络安全与交易安全并不是孤立的,而是密不可分且相辅相成的,网络安全是基础,是交易安全的保障。校园网也是一个开放性的网络,它也面临许许多多的安全威胁,比如:身份窃取、非授权访问、冒充合法用户、数据窃取、破坏数据的完整性、拒绝服务、交易否认、数据流分析、旁路控制、干扰系统正常运行、病毒与恶意攻击、内部人员的不规范使用和恶意破坏等。校园网的开放性也使得基于它的交易活动的安全性受到严重的威胁,网上交易面临的威胁可以归纳为:信息泄露、篡改信息、假冒和交易抵赖。信息泄露是非法用户通过各种技术手段盗取或截获交易信息致使信息的机密性遭到破坏;篡改信息是非法用户对交易信息插入、删除或修改,破坏信息的完整性;假冒是非法用户冒充合法交易者以伪造交易信息;交易抵赖是交易双方一方或否认交易行为,交易抵赖也是校园电子商务安全面临的主要威胁之一。 校园电子商务安全的基本安全需求。 通过对校园电子商务安全威胁的分析,可以看出校园电子商务安全的基本要求是保证交易对象的身份真实性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否认性。通过对校园电子商务系统的整体规划可以提高其安全需求。 3 校园电子商务安全解决方案。 校园电子商务安全体系结构。 校园电子商务安全是一个复杂的系统工程, 因此要从系统的角度对其进行整体的规划。根据校园电子商务的安全需求,通过对校园人文环境、网络环境、应用系统及管理等各方面的统筹考虑和规划,再结合的电子商务的安全技术,总结校园电子商务安全体系结构,如图所示: 上述安全体系结构中,人文环境层包括现有的电子商务法律法规以及校园电子商务特有的校园信息文化,它们综合构成了校园电子商务建设的大环境;基础设施层包括校园网、虚拟专网VPN和认证中心;逻辑实体层包括校园一卡通、支付网关、认证服务器和交易服务器;安全机制层包括加密技术、认证技术以及安全协议等电子商务安全机制;应用系统层即校园电子商务平台,包括网上交易、支付和配送服务等。 针对上述安全体系结构,具体的方案有: (1)营造良好校园人文环境。加强大学生的道德教育,培养校园电子商务参与者们的信息文化知识与素养、增强高校师生的法律意识和道德观念,共同营造良好的校园电子商务人文环境,防止人为恶意攻击和破坏。 (2)建立良好网上支付环境。目前我国高校大都建立了校园一卡通工程,校园电子商务系统可以采用一卡通或校园电子帐户作为网上支付的载体而不需要与银行等金融系统互联,由学校结算中心专门处理与金融机构的业务,可以大大提高校园网上支付的安全性。 (3)建立统一身份认证系统。建立校园统一身份认证系统可以为校园电子商务系统提供安全认证的功能。 (4)组织物流配送团队。校园师生居住地点相对集中,一般来说就在学校内部或校园附近,只需要很少的人员就可以解决物流配送问题,而不需要委托第三方物流公司,在校园内建立一个物流配送团队就可以准确及时的完成配送服务。[论文网 ] 校园网络安全对策。 保障校园网络安全的主要措施有: (1)防火墙技术。利用防火墙技术来实现校园局域网的安全性,以解决访问控制问题,使只有授权的校园合法用户才能对校园网的资源进行访问,防止来自外部互联网对内部网络的破坏。 (2)病毒防治技术。在任何网络环境下,计算机病毒都具有不可估量的威胁性和破坏力,校园网虽然是局域网,可是免不了计算机病毒的威胁,因此,加强病毒防治是保障校园网络安全的重要环节。 (3)VPN技术。目前,我国高校大都已经建立了校园一卡通工程,如果能利用VPN技术建立校园一卡通专网就能大大提高校园信息安全、保证数据的安全传输。有效保证了网络的安全性和稳定性且易于维护和改进。 交易信息安全对策。 针对校园电子商务中交易信息安全问题,可以用电子商务的安全机制来解决,例如数据加密技术、认证技术和安全协议技术等。通过数据加密,可以保证信息的机密性;通过采用数字摘要、数字签名、数字信封、数字时间戳和数字证书等安全机制来解决信息的完整性和不可否认性的问题;通过安全协议方法,建立安全信息传输通道来保证电子商务交易过程和数据的安全。 (1)数据加密技术。加密技术是电子商务中最基本的信息安全防范措施,其原理是利用一定的加密算法来保证数据的机密,主要有对称加密和非对称加密。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,而解密密钥不公开。 (2)认证技术。认证技术是保证电子商务交易安全的一项重要技术,它是网上交易支付的前提,负责对交易各方的身份进行确认。在校园电子商务中,网上交易认证可以通过校园统一身份认证系统(例如校园一卡通系统)来进行对交易各方的身份认证。 (3)安全协议技术。目前,电子商务发展较成熟和实用的安全协议是SET和SSL协议。通过对SSL与SET两种协议的比较和校园电子商务的需求分析,校园电子商务更适合采用SSL协议。SSL位于传输层与应用层之间,能够更好地封装应用层数据,不用改变位于应用层的应用程序,对用户是透明的。而且SSL只需要通过一次“握手”过程就可以建立客户与服务器之间的一条安全通信通道,保证传输数据的安全。 基于一卡通的校园电子商务。 目前,我国高校校园网建设和校园一卡通工程建设逐步完善,使用校园一卡通进行校园电子商务的网上支付可以增强校园电子商务的支付安全,可以避免或降低了使用银行卡支付所出现的卡号被盗的风险等。同时,使用校园一卡通作为校园电子支付载体的安全保障有: (1)校园网是一个内部网络,它自身已经屏蔽了绝大多数来自公网的黑客攻击及病毒入侵,由于有防火墙及反病毒软件等安全防范设施,来自外部网络人员的破坏可能性很小。同时,校园一卡通中心有着良好的安全机制,使得使用校园一卡通在校内进行网上支付被盗取账号密码等信息的可能性微乎其微。 (2)校园一卡通具有统一身份认证系统,能够对参与交易的各方进行身份认证,各方的交易活动受到统一的审计和监控,统一身份认证能够保证网上工作环境的安全可靠。校园网络管理中对不同角色的用户享有不同级别的授权,使其网上活动受到其身份的限制,有效防止一些恶意事情的发生。同时,由于校内人员身份单一,多为学生,交易中一旦发生纠纷,身份容易确认,纠纷就容易解决。 4 结束语。 开展校园电子商务是推进校园信息化建设的重要内容,随着我国校园信息化建设的不断深入,目前已有许多高校开展了校园电子商务,它极大的方便了校园内师生员工的工作、学习、生活。可是与此同时,安全问题成为制约校园电子商务发展的障碍。因此,如何建立一个安全、便捷的校园电子商务应用环境,让师生能够方便可靠的进行校园在线交易和网上支付,是当前校园电子商务发展要着重研究的关键问题。 参考文献: [1] 李洪心。 电子商务安全[M]. 大连:东北财经大学出版社,2008. [2] 杨坚争,赵雯,杨立钒。 电子商务安全与电子支付[M]. 北京:机械工业出版社,2008. [3] 刘克强。 电子交易与支付[M]. 北京:人民邮电出版社,2007. [4] Charlie Kaufman, Radia Perlman, MikeSpeciner著,许剑卓等译。网络安全-公众世界中的秘密通信[M].北京:电子工业出版社,2004. [5] 张红霞,宋德昌。校园电子商务如何建[J].信息系统工程,2005(7)[6] 朱乾锋。 浅谈“一卡通”技术[J].科技创新导报,2009(9) 二、电子商务对税收征管的影响及对策研究 【摘要】随着电子商务迅速发展,由于电子商务交易无国界性、交易虚拟化、交易对象的不确定性和交易效率高、成本低等特点,使课税对象难以区分,引发了税收征管难度增大、国际税收问题加剧政府税款大量流失等税收中的一系列新问题。对此,我国应高度重视对相关的税收征管体制的制定和完善,坚持居民管辖权和来源地管辖权相结合原则,促进我国的税收征管工作走向现代化、国际化。 【关键词】电子商务;税收征管;影响;对策 一、电子商务概述 中国已经是世界上最为繁荣,也是最具潜力的商品贸易市场。正因其最为繁荣、最具潜力,在危机肆虐的当下诸多品牌的竞相登陆中国市场,使得中国贸易市场的竞争极其激烈,各种商品的价格都会有不同幅度的变化。如何应对快速变化的市场需求和市场价格,保持合理的经销库存,整合物流、信息流、资金流,使其达到最优化配置,已是商品生产商、经销商关注的当务之急。在信息化,电子商务盛行的今天,很多企业选择了网络化、实时化、集中式、互动式的网络分销管理。 对依靠电子商务实现营销的众多网商而言,如何通过网络平台快速找到充分货源、尽快发现买家和大量出货成为有效开展业务的重大挑战。渠道分销在传统营销中扮演重要角色,尤其是中国这样的多元市场中。这种重要性同样也体现在网络交易中。近期,ShopEx正式推出的B2B产品“分销王”正给网络分销带来一种新的模式。它可以帮助商家快速搭建有发展代销和批发业务能力的在线网店系统。过去,这家公司主要提供网店软件,帮助商家用下载的方式低成本建设独立网店,并在7年中成为国内市场占有率最高的网店软件提供商。借助ShopEX的开放型电子商务平台和建站系统(即网店软件),帮助网商迅速建立起有独立域名的个性化网店,一个具有独立域名和品牌形象的网店对那些着眼于长远并最终希望在用户中间建立品牌忠诚度的商家来说有很强的吸引力。这是区别于淘宝网、拍拍网上的封闭型电子商务平台上的网店建设模式。但这并不是它唯一的模式。比如“分销王”,实际上是一个网络营销的渠道管理系统。 首先,它帮助网店迅速找到数量众多的分销渠道。从多达百万的网络分销商中找到合适资源,以1%来计,也能找到1万家的网络分销商,这是个可观的数字。 其次,它对网店的上下游环节有管理和分析功能,帮助网店更了解自己的供应商和用户行为,搭建起更有效的分销渠道,并筛选更理想的合作对象。 第三,借助ShopEx的分析工具对加入到网络分销系统的分销商的质量进行评估和认证,比如分销能力、网络销售经验等等,以达到降低分销渠道的寻找和管理成本的目的。 分销王主要通过三个环节体现价值:售前阶段帮助网商快速建站,有效设定营销规则和代理商等级;售中阶段通过商品同步上架、多支付接口等实现轻松交易;售后则通过有效的渠道管理和统计随时掌握商品销量,帮助网商有效管理货品情况。 所以,它是一个强大的集网络建站、信息发布、下游渠道管理功能集一身的专业平台管理系统。其商业模式的奥妙之处就在于低成本、快速、有效地为网店找到数量众多的渠道商,依靠集团而非单兵作战,有效确保了网店足够的销量和可观的营收。既解决了传统分销渠道建设的高成本和管理风险,也规避了象淘宝网店等封闭型网店缺乏自有域名和品牌形象的弊端,正好占领了传统分销渠道和封闭型网店之间的市场空隙。事实上,电子商务不应只停留在一个简单的交易层面,电子商务企业更多的应是渗进传统行业,对于传统行业的上下游有一个充分的了解。在他看来,中国的一些中小企业将会成为B2C电子行业最大的客户,只不过目前这些传统行业的观念还是没有完全转变过来。[论\文\网 LunWenNet\Com] 二、电子商务对税收征管的影响 在中国,电子商务征税问题早在互联网刚刚兴起的上世纪九十年代末就开始被提出并讨论,只是由于当时电子商务规模非常小,同时也基于扶持电子商务发务的目的而被搁置。但近两年来随着电子商务的蓬勃发展,工商部门开始把征税细则提上日程,并且在具体操作上进行区域性试水。 (1)2007年7月,全国首例个人利用B2C网站交易逃税案宣判,被告张黎的公司通过网上交易,但以不开具发票、不记账的方式,偷逃税款11万余元,被判有期徒刑2年,缓刑2年,罚金6万元,其所在公司被处罚金10万元。(2)2008年7月,北京工商局出台了电子商务监管意见,《意见》规定从8月1日起,北京的所有营利性网店必须先取得营业执照后才能经营。该《意见》不仅针对传统意义上的经营者,对个人卖家同样生效。(3)2008年11月10日,北京市地税局公布虚拟货币交易税征收细则,根据个人是否能提供收入证明,按利润的20%或交易全额的3%两种税率征税。(4)2009年两会前夕,国家税务总局官方公开信息显示,国税总局正在同相关部门共同调研电子商务税收征管问题,希望建立电子商务的税收征管法律框架,以推进《税收征管法》的修订和完善。尽管电子商务征税存在许多老大难问题,但提上议事日程是顺应趋势的一种必然结果。有鉴于电子商务征税的难度,目前的议程,或许只是万里长征迈出的第一步,等待法规的完善以及有效的操作,将会有一个漫长的过程。 三、必要性探析 对于电子商务应不应该征税的问题,我想答案是明确的,无论是国家财政还是行业健康发展都需要一套行之有效的税收法案。 (1)电子商务税额相当可观,据调查,2008年中国电子商务市场交易额达到24000亿元,同比增值达到。如果按照3%的税率征收交易税,理论上国家税务部门可增加720亿元税收。(2)电子商务具有交易范围广,无地域限制等特点,因此在商品流通过程中,发展中国家的商品及服务容易受到发达国家的冲击,如果没有税收把关,发展中国家商品市场极易受到影响,因此从保护本国企业发展的角度出发,针对电子商务征税也亟待解决。(3)电子商务日益成为避税的温床。国内企业通过B2C、C2C电子商务平台出售商品,往往不开具发票,而网购者也没有索要发票的自觉,或者是店主直接把税率转嫁给消费者,以致大量税收流失。不仅如此,一些大型企业、包括进出口企业,也利用电子商务的隐蔽性进行避税行为。 电子商务免税所导致的诸多隐患以及矛盾,都严重威胁着国家的经济利益,因此立法对电子商务征税,是势在必行的。但是电子商务作为新兴的行业,它彻底颠覆了传统的商务模式,课税存在许多难题。 首先,电子商务不是发生在某个物理地点,而是发生在网络空间的虚拟世界里。在网络交易中,凭证、帐册和报表都可以在计算机中以电子形式填制,可以轻易地被修改且不留任何线索、痕迹,并采用了电子加密技术。由于网络交易具有无纸化、无形化、即时性、隐蔽性的特点,游离于税收监控之外,造成了征税点的扩散,令税务局难以获取充分的征管信息,造成了税收征管的新盲区。 其次,也就是业内人士最担忧的问题,即对电子商务征税,是否扼杀电子商务的发展。因此,对哪些主体征税?起征点是多少?税收政策与扶持政策如何相辅相成?根据电子商务发展的方向,一般分为B2B、B2C、C2C三种类型,其中C2C的主要构成为个体店主,C2C目前在淘宝等电子商务平台的带动下,正呈快速发展的态势,一旦对C2C征税,那么网购价格低廉的优势或将荡然无存,税收政策如何做到适度有效,将极大地考验立法者的智慧。 电子商务的高流动性, 隐蔽性也削弱了税务机关获取交易信息的能力,也对各国的税收协调与合作提出了更高的要求。国际社会应进行广泛的税收协调,消除因各国的税收管辖权的行使而形成的国际贸易和资本流动的障碍。今后的税收协调不应局限在消除关税壁垒上,重复征税上,而是各国税务当局互通情报,信息资源共享,在稽查技术,手段上取得一致,尽量避免避税的可能性。 我们应该提高税收干部队伍素质,加快税务机关的信息化建设,建立电子税务,以适应信息经济发展的需要。我们要加强对电子商务的税收管理,就要培养出一大批精通网络经济知识的业务骨干,实现网上办公,网上征管,网上稽查和网上服务,使税务干部队伍的整体素质能够适应信息经济时代的新需要。[论文网] 参考文献 [1]蔡金荣.电子商务与税收[M].北京/中国税务出版社,2000. [ 2 ] 王育著. 电子商务的税务问题[ J ] . 电子商务世界,2002,(2).
告诉我邮箱 我把我的电子商务毕业论文给你啊
网络安全技术的论文
从小学、初中、高中到大学乃至工作,大家都经常看到论文的身影吧,论文可以推广经验,交流认识。写论文的注意事项有许多,你确定会写吗?下面是我收集整理的网络安全技术的论文,欢迎阅读,希望大家能够喜欢。
摘要: 在计算机网络技术的推动下,电子商务取得较大的发展,但是计算机网络的安全问题却又直接威胁电子商务的发展。所以,对于电子商务而言,运用好计算机网络安全技术是重点。笔者在介绍电子商务网络安全隐患的基础上,分析计算机网络安全技术的应用,再配合保证电子商务隐私安全的措施,希望可以满足电子商务运行环境安全的要求。
关键词: 电子商务;计算机;网络安全技术
电子商务本身存在诸多优点,但是网络技术一旦欠缺安全性,就会直接威胁电子商务。想要推动电子商务发展,稳定安全的网络环境支持不可少,而想要获取安全可靠的网络环境,不但需要排除网络本身的安全隐患,同时还需要解决计算机网络应用之中电子商务面临的安全问题。
1、电子商务网络的安全隐患
第一,信息窃取。利用网关或者路由器,就可以将传达的信息截获,这样就会直接造成信息和密码泄露。亦或是在分析之后,找到规律和格式,截获网络传输信息内容。出现信息窃取的问题,主要是由于安全度达不到要求,或者是加密太简单造成的[1]。第二,信息更改。在网关上以及路由器上都可以更改信息。在进行网上转账时,通过更改账号,就可以窃取金钱。或者是在修改信息之后,将所得到的信息直接发送给目的地。第三,假冒。当掌握用户基本信息之后,通过更改信息冒充用户,并且发布虚假的信息,或者是主动获取信息。第四,恶意破坏。攻击者主要是利用接入网络修改网络信息,这样就能够掌握相关的信息,并且还会顺利获得网络的有关内容,一旦出现这样的问题,造成的后果是非常严重的。
2、电子商务中计算机网络技术的应用
为了达到安全要求,在进行电子商务交易时需要利用多种网络安全协议与技术,提供不同程度的安全保障。
智能化防火墙技术
智能防火墙指的是正确判断带有病毒的程序,然后利用决策、记忆以及统计的方式来进行数据的识别处理,智能防火墙一般都不会询问用户,只有当网络访问不确定时,才会将信息传递给用户,然后邀请用户来一起进行防范。智能防火墙可以解决病毒传播、普通拒绝服务器攻击以及高级应用入侵等方面的问题。但是相比传统防火墙,并非每一个进入访问的程序都需要询问用户,这样就避免频繁的防火墙报警询问的出现,让用户难以自行判断,导致误判或者是直接造成危害。
数据加密技术
智能防火墙本身属于被动的防御,但是相比传统的防火墙,其本身的优势非常明显,不过依旧存在诸多问题。针对电子商务之中存在的不确定和不安全的因素,难以针对性地排除。那么,要保证电子商务交易的安全,就可以通过数据加密处理的方式,弥补其存在的不足之处。目前,数据加密包含了对称和非对称两个方面,很多机构通过公开密钥体系技术的使用构建出完整的签名体系以及加密体系,这样就可以很好解决电子商务之中存在的安全问题。通过公开密钥体系的构建,当甲方生成之后,就可以将其中一把秘钥给予贸易方,等待获取之后,乙方做好机密信息的加密处理,之后再返回给甲方,甲方利用另一个专用的密钥来进行解密处理,确保机密的信息能够在安全的状态下进行交换[2]。
数字签名技术
数字签名就是通过在数据单元上附加数据,或对数据单元进行秘密变换,从而使接收者可以确认数据来源和完整性。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人进行伪造。签名主要是通过电子的形式来呈现,并且签名的信息也可以在通信网络之中进行传输。数字签名技术,主要是直接将摘要信息的发送人员的私钥做好针对性的加密处理,完成之后,再发送给接收人员。利用公钥,接收者才能够进行解密处理,之后使用HAVH函数,就会形成一个摘要信息,然后与解密的摘要信息进行对比。如果相同,就证明信息是完整的,并且在传输的过程中没有进行任何的修改处理,否则就表明信息被修改。因此,数字签名可以满足信息传输的完整性需求,避免交易之中出现抵赖的问题。目前,在电子商务之中,这一种技术得到很好的使用。
非法入侵检测技术
在保护网络安全的过程中,防火墙技术可以阻止外部入侵,不过难以防范内部人员的'攻击,无法提供入侵检测的能力。非法入侵检测就可以补充防火墙技术。非法入侵检测技术就是满足计算机系统安全的需求,从而设计与配置的一种能够发现异常现象以及未授权行为的一种技术,通过对计算机网络以及计算机系统之中若干个关键点收集信息合理的分析与了解,从而发现网络或者是系统之中是否存在违反安全策略和被攻击的现象。在网络安全防护之中,入侵检测技术是重要的组成部分。在不影响网络性能的前提下,就可以进行监测,防止外部攻击、内部攻击以及错误操作,从而提升整体的网络安全性。
病毒防范技术
电子商务会受到病毒攻击的危害,利用病毒防范技术,就可以有效避免病毒威胁。防范计算机病毒,主要通过防范体系和制度的建立,针对入侵的病毒做好针对性的防范处理,这样就能够使计算机病毒传播以及破坏得到有效控制。计算机病毒主要是通过读写文件感染,利用驻留内存、截取中断向量等方式进行传染和破坏。预防计算机病毒,就要及时更新病毒库,确保系统得到良好的保护,并且定期查杀病毒,也可以有效避免病毒传染,保证正常的使用。
3、保证电子商务中的隐私安全对策
第一,强化网络安全方面的管理。这需要领导机构相互协调,制定保障条例,保证电子商务交易的安全,这样就可以避免出现隐私泄漏的问题。第三,努力培养专业人才,保证电子商务网络安全。按照国际化的标准来培养人员,另外,通过先进的防御手段和技术就能够有效保证电子商务网络安全。第三,做好网络安全方面的执法与立法工作。注重立法进程,建立健全法律体系,完善保障体系。另外,积极汲取经验,修改现有的法律体系。第四,强化隐私安全设施建设。建立公开密钥基础设施,健全应急处理基础设备。另外,建立检测评估标准,就能够为保证网络隐私安全奠定基础条件[3]。
4、结语
总而言之,解决网络安全问题、促进网络安全技术发展对于电子商务健康安全发展有着重要作用。因此,要应用科学合理的网络安全技术,从而推动电子商务更好更快地发展下去。
参考文献
[1]唐承辉.计算机网络安全技术在电子商务中的应用探究[J].信息通信,2013(3):79.
[2]陈进强,黄继梅.计算机网络安全技术在电子商务中的应用[J].信息与电脑:理论版,2015(21):82—83.
[3]高杨.计算机网络安全技术对电子商务发展的影响[J].福建质量管理,2016(3):100.
电子商务中各系统之间的互联、互通和互操作,是保证电子商务应用成功的关键。下面是我为大家整理的,供大家参考。
一、软体专案业务规划
专案规划
专案目标:完成电子商务安全管理软体系统的研制和开发,并进行市场化运作;对电子商务安全标准进行研究。主要功能:电子商务安全管理软体系统实现的主要功能有:1提供访问电子商务网站使用者的身份认证、授权;授权使用者线上删除,新增,更新本人资讯;实现了允许一种使用者可以以多种身分访问电子商务程式的身份验证和授权的功能。
2过滤当前使用者请求中是否含有违反HTTP协议的资料存在,包括引数缺失、引数异常、引数过多;过滤当前使用者请求中是否含有违反当前请求页面的资料存在。
3对称式和非对称式的加密解密技术:包括数字签名演算法、讯息摘要技术、金钥交换方法、提供基于资料库的金钥管理服务的内容。
4收集功能模组的日志资讯,然后生成统一的日志资讯,并进行分类储存本课题提供资料库储存形式,然后提供查询、删除等功能使用者可以对日志资讯按日期、模组名进行查询、删除等操作。
5随时对受保护的电子商务应用程式进行安全监控,若发现恶意程式码的攻击,即刻发出报警资讯。
6监控系统和电子商务应用程式的执行情况,若系统或应用程式出现异常,即刻发出报警资讯。约束条件:本系统执行时需要JAVA执行环境人员所需工具所需资源:开发本专案需要参加人员熟练掌握JAVA、XML、TOMCAT、MYSQL、JSP、STRUTS等,开发工具使用eclipse、editplus、mysql等。
专案组织与进度
本专案的开发共分四个时间段进行,具体安排如下所示:系统调研和总体方案设计3个月系统体系结构设计8个月系统程式实现8个月α测试β测试3个月
开发软体所需要的工具软体执行环境
A.作业系统:Linux系统,Window2000Serve系统B.资料库:Oracle8i/9i,SQLServer2000,伺服器:Tomcat/Weblogic/Jboss程式语言:JAVA开发平台:eclipse测试与分析工具:paros
二、软体开发设计与程式编码
软体开发设计
电子商务安全管理软体系统采用了模组化的设计理念,遵循J2EE的开发标准,充分利用了J2EE程式开发过程中所涉及到的开放原始码的应用软体。整个软体系统是在条件下进行的研发,开发工具选用的是,提供了资料库支援。此外,还使用了诸如Spring,Hibernate,Struts,Dom4j,Log4j等免费软体和技术。从软体设计与软体开发的角度看,电子商务安全管理软体系统的设计规划遵循了如下设计原则:
1电子商务安全管理软体封装了许多功能强大、易于使用的软体功能模组,对于统一安全介面标准研究十分必要。
2软体的开发大量采用元件化、J2EE技术,独立于作业系统与资料库系统。软体内部的模组大量采用Bean,进行业务逻辑的封装,可以方便利于网路层的请求响应呼叫。
3系统采用XML档案格式来响应业务请求,这样可以实现系统逻辑各层之间良好的通讯和介面。
4全面考虑电子商务安全的各种需求,设计统一的标准化的软体结构,使各种网路安全技术执行在软体框架之下,共同保护电子交易安全。
5提供开放的API介面,这样使其他公司的软体产品可以轻易的整合到这个软体系统平台上。
程式编码
安全代理:安全代理模组就像一个数据采集器;在电子商务安全控制中心中分析的所有HTTP资讯都是通过安全代理模组采集的。此外,安全代理模组还负责在分析后将反应结果返回给使用者。开发安全代理模组所使用技术:ServletFilter。
1认证授权模组。身份验证和授权认证模组提供一种基于JAAS体系结构的认证解决方案。身份认证是使用者或计算装置用来验证身份的过程,即确定一个实体或个人是否就是它所宣称的实体或个人。授权确定了已认证的使用者是否能够访问他们所请求的资源或者执行他们所请求执行的操作。
2资料过滤模组。资料过滤模组实现两种分析演算法:模式匹配演算法和行为建模演算法。一种是基于误用检测演算法的模式匹配,另一种是基于异常检测演算法的行为建模。
3协议过滤模组。根据电子商务网站管理员的人工配置和HTTP协议细节执行协议过滤演算法,针对于安全资料中出现的冗余资讯、检测出的缺失资讯,以及异常资讯分别进行安全分析,并且触发相应的安全动作。
4安全监控模组根据安全分析的结果与事先定义的安全动作,模组采用相应的指定动作。此外,这个模组将向安全代理模组传送动作指令。如果发现黑客入侵,就随时触发“拒绝”动作,然后传送警告给应用程式的管理员。同时,将恶意的入侵请求存入到资料库作为入侵分析的日志档案。因此,攻击者将会收到一个出错页面或者请求被禁止的页面。
5应用监控。应用监控模组主要实现了对于访问电子商务应用程式、安全代理模组的应用配置和应用监控功能。实现了应用程式和电子商务安全管理软体系统的动态配置、实时监控电子商务安全管理软体系统的响应速度。
6加密解密模组。加密解密技术对于使用者要传输的资讯进行加密操作,可以有效地保护资讯的安全。加密解密模组的实现方案使用平台通用开发包JCEJavaTMCryptographyExtension,它的加密解密演算法的强度较高,演算法灵活,适应于多种平台,从而使得使用者的敏感资讯可以得到更好的保护。提供完善的加密解密服务介面,提供金钥管理功能,包括金钥储存、检索和金钥自动更新的功能,提高金钥的安全性和保密措施。
7日志管理模组。日志管理模组的总体实现方案基于开放原始码专案—Log4j,主要实现了为电子商务安全管理软体系统的功能模组生成统一格式的日志资讯,对产生的执行日志、安全日志进行统一的日志管理,针对不同来源的日志将其储存到不同的日志档案。
一、中职学校电子商务教学目前存在的问题
一不合理的电子商务专业课程设定。中职电子商务的课程应该包括网路经济、商务管理以及资讯科技的基础类核心课程,对学生系统的创新能力以及应用能力进行培养的专业核心课程。然而中职学校的学生普遍具有较差的知识基础,致使电子商务课程形同虚设,学生主要是针对电子商务模拟、电子商务概论、税收、会计模拟、会计法规以及基础会计进行学习。由于在建立之初电子商务专业就具有师资力量薄弱、知识面覆盖广以及专业特点不强等诸多的不利因素,所以电子商务专业教学在现在面临着一个尴尬的局面,不同的专业交叉度多大,导致所有的课程学的不专。
二电子商务教学缺失实践环节。电子商务教学中的重要环节就是实践环节,然而中职电子商务专业的绝大多数的学生都是在虚拟的环境中进行实习操作的,对电子商务在现实中的应用根本无法感受到。
三电子商务专业薄弱的师资。大部分中职学校对电子商务专业的开设是近几年才开始进行,所以电子商务专业教师的缺乏成为了中职学校普遍存在的问题。在这样的背景下,很多学校会要求一些从事市场营销、计算机以及财经教学工作的教师转型为电子商务专业的教师。与此同时,这些教师在教学的过程中也是边自学边教学,尽管有些学校会为老师安排一些专业的培训,但是由于无法系统深入的展开,最终造成电子商务专业人才培养的需要无法被满足。再加上这些教师很少在企业的实际运作管理中参与,缺乏一定的电子商务实践经验。这样就导致教师教授的知识与企业的实际情况相脱节,所以无法取得较好的教学效果。
二、中职电子商务教学改革的措施
一将合理的课程体系构建起来。整个电子商务课程体系在中职学校应该被划分为综合实践模组、商务类课程模组、计算机类课程模组以及公共基础课程模组这几个部分。作为一个涉及面较广的专业,电子商务专业要想将技能突出、特色鲜明以及可以胜任企业岗位的专业人员培养出来,必修要在进行实训课程体系设计的时候,将详细的教学大纲制定出来以促进电子商务实训课程的加强。要按照教学大纲的要求进行课程的设定以及知识要点的讲授,对考核标准以及能力培养要求予以明确,将实训要求、作业量以及章节学时分配详细的列出来。在实施的过程中必须要强调团队协作,可以分小组进行,为了达到强化的目的,每一组都要要求进行实训总结。
二专业建设的加强以及培养目标的明确定位。目前电子商务急需网路营销策划、电子商务、网店客服等专业人才,所以中职学校必须要以学生的现状为根据,将多元化意识树立起来,从而对多型别的电子商务人才进行培养。基础岗位应该是中职学校培养目标的侧重点,这是因为中职学生的知识结构还不能够达到中高层次工作岗位的标准。在对学生的实际操作能力和专业知识进行培养时,可以从单证管理、网点维护以及客户服务等几个方面入手,使学生在选择工作时树立先择业后就业的观念,同时还要与自身的实际相结合,这样中职电子商务学生的竞争力才可以从根本上得以提升。
三促进师资队伍建设的加强。中职学校可以积极开展与其他做到好的中职学校之间的交流与合作,将他们的一些宝贵的经验和方法带回来。与此同时,学校还要鼓励教师利用课余时间或者暑假到企业中进行实践,从而将教师的专业实践能力提升上去。这样不仅可以使教师对专业技能以及专业知识等方面的能力有所提升,还可以使教师的理论与实践得以紧密的结合,从而促进有效教学的实施。
四促进校企之间合作的加强。中职学校要致力于将与企业之间交流合作的机制建立起来,从而将电子商务的实践机会提供给学生。这样不仅可以促进学生操作技能的提高,还可以让他们不断地积累实践经验,从而实现学生与企业的良好对接。在电子商务公司实践的过程中,学生不仅要接受工作任务,还要将工作岗位的压力和风险承担起来。这样学生就可以将在学校学到的各种操作技能以及理论知识运用到工作当中,在完成学习任务的同时,还可以将自身的组织能力、应变能力、团队协作能力、协调能力、沟通能力锻炼出来,从而成为企业需要的复合型人才。
三、结语
目前我国的中职电子商务专业学生具有很低的就业率,在这种背景下,我们必须要认真分析其中的原因,不断地促进电子商务专业建设的加强。与此同时,还要加强教师师资建设以及校企合作,以电子商务岗位的实际情况为根据,对学生进行培养,从而真正使学生符合用人单位的要求。
希望可以帮到你,有什么不懂的可以问我,下面对论文写作提供一些参考建议仅供参考:根据本系专业的特点以及论文写作的特点,针对论文写作过程中出现的问题,特制定此毕业论文指导方针,以期对我系的毕业生论文选题和写作起到良好的指导作用。(一) 撰写毕业论文的意义1. 撰写毕业论文是教学要求,是一个极其重要的教学环节。 2. 论文协作是对毕业生3年来学习情况的检验和体现,是一个比较全面综合的反映。(二) 撰写毕业论文的要求1.选题要有意义从理论上讲,选题一定要有理论意义或实践意义,理论上创新,达到指导实践的目的。同时,毕业论文选题的题目必要选太大,坚持宜小不宜大、可行性原则。2.观点要鲜明毕业论文写作过程中,一定要表明自己的观点,做到观点明确、表叙清晰。 3. 论证要充分论文一定要有丰富的材料准备,论据要充分,具有较强的说服力。 4. 条理要清楚文章的条理一定要清楚,讲求逻辑性,结构要严谨。 5. 行文要规范毕业论文具有严格的写作格式,具体有以下5个方面: (1) 论文题目论文题目要简洁,不可过长,最好是通过论文题目可以看出要研究的问题。 (2) 摘要文章的摘要主要是对论文写作思路的一种高度概括,一般是100字左右,不可过长,也不可过短。 (3) 关键词关键词一般为3-5个,是文章中出现次数最多或者最能表明文章观点的词语。 (4) 正文正文的结构一定要严谨,内容的编号依次为:一、(一)、1.、(1)、①等,也可以采取首先、其次、再次、最后的文字格式。 (5) 参考文献参考文献在文章的最后,篇数为3-5,也可以更多。其具体的写法要求为: ① 专著: 作者.书名(文献类型)[M].出版地:出版社,出版时间. ② 论文: 作者.题目(文献类型)[N].刊物名,年(期数).
先提出问题,然后分析原因,再找到解决办法具体的你最好还得以某一企业为例这样更有说服力
蛤蛤,还是自己做吧~!!
电子政务涉及对国家秘密信息和高敏感度核心政务的保护,设计维护公共秩序和行政监管的准确实施,涉及到为社会提供公共服务的质量保证.电子政务是党委、政府、人大、政协有效决策、管理、服务的重要手段,必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击.尤其电子政务是搭建在基于互联网技术的网络平台上,包括政务内网、政务外网和互联网,而互联网的安全先天不足,互联网是一个无行政主管的全球网络,自身缺少设防和安全隐患很多,对互联网犯罪尚缺乏足够的法律威慑,大量的跨国网络犯罪给执法带来很大的难度.所有上述分子利用互联网进行犯罪则有机可乘,使基于互联网开展的电子政务应用面临着严峻的挑战. 对电子政务的安全威胁,包括网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等,应引起足够警惕,采取安全措施,应对这种挑战. 电子政务的安全目标和安全策略 电子政务的安全目标是,保护政务信息资源价值不受侵犯,保证信息资产的拥有者面临最小的风险和获取最大的安全利益,使政务的信息基础设施、信息应用服务和信息内容为抵御上述威胁而具有保密性、完整性、真实性、可用性和可控性的能力. 为实现上述目标应采取积极的安全策略: 国家主导、社会参与.电子政务安全关系到政府的办公决策、行政监管和公共服务的高质量和可信实施的大事,必须由国家统筹规划、社会积极参与,才能有效保障电子政务安全. 全局治理、积极防御.电子政务安全必须采用法律威慑、管理制约、技术保障和安全基础设施支撑的全局治理措施,并且实施防护、检测、恢复和反制的积极防御手段,才能更为有效. 等级保护、保障发展.要根据信息的价值等级及所面临的威胁等级,选择适度的安全机制强度等级和安全技术保障强壮性等级,寻求一个投入和风险可承受能力间的平衡点,保障电子政务系统健康和积极的发展. 电子政务安全保障体系框架 电子政务安全采取“国家推动、社会参与、全局治理、积极防御、等级保护、保障发展”的策略,鉴于电子政务的信息安全面临的是一场高技术的对抗,是一场综合性斗争,涉及法律、管理、标准、技术、产品、服务和基础设施诸多领域,所以电子政务安全,还要从全局来构建其安全保障的体系框架,以保障电子政务的健康发展. 电子政务安全保障体系由六要素组成,即安全法规、安全管理、安全标准、安全服务、安全技术产品和安全基础设施等安全要素. 要素一 安全法律与政策 电子政务的工作内容和工作流程涉及到国家秘密与核心政务,它的安全关系到国家的主权、国家的安全和公众利益,所以电子政务的安全实施和保障,必须以国家法规形式将其固化,形成全国共同遵守的规约,成为电子政务实施和运行的行为准则,成为电子政务国际交往的重要依据,保护守法者和依法者的合法权益,为司法和执法者提供法律依据,对违法、犯法者形成强大的威慑. 《中华人民共和国保护国家秘密法》已实施十多年,已不完全适应我国当前保密工作的现状,特别是电子政务的发展,亟待修订. 政务信息公开是电子政务的重要原则,为了拉近政府和公众的距离,使公众具有知情权、参与权、监督权和享用政府服务的权利,为公众提供良好的信息服务,充分挖掘政务信息的最大效益,开放政务信息资源(非国家涉密和适宜公开部分)服务于民是电子政务的重要特征.尽快制订政务信息公开法,适度的解密和规范开放的规则,保护政府部门间信息的正常交流,保护社会公众对信息的合法享用,打破对政务信息资源的垄断和封锁,提高政府行政透明度和民主进程是非常有利的和必需的. 电子政务亟待电子签章和电子文档的立法保护,国际已有近20多个国家对数字签名和电子文档进行了立法,使数字签名和电子文档在电子政务和电子商务运行中具有法律效力.这将大大促进电子政务和电子商务的健康发展,使电子政务原来的双轨制走向单轨制,这有利于简化程序、降低成本,充分显示电子政务效益是非常有利的. 个人数据保护(隐私法)的需求伴随电子政务的发展日显突出.电子政务在实施行政监管和公众服务中有大量的个人信息(自然人和法人),如户籍、纳税、社保、信用等信息大量进入了政府网络信息数据库,它对完成电子政务职能发挥巨大作用.但是这些个人信息如果保护不力或无意被泄漏,而被非法滥用,就可能成为报复、盗窃、推销、讨债、盯梢的工具.在国外已经出现将盗用的个人隐私信息作为非法商品出售,以牟取暴利的情况,这样直接损害个人的利益,甚至危及个人的生命安危.因此加快个人数据保护法的制订,是必要的. 还有很多法规的制订都直接关系到电子政务的健康发展,加快制订这些法规,势在必行. 要素二 安全组织与管理 我国信息安全管理职能的格局已经形成,如国家安全部、国家保密局、国家密码管理委员会、信息产业部、总参……分别执行各自的安全职能,维护国家信息安全.电子政务安全管理涉及到上述众多的国家安全职能部门,其安全管理职能的协调需要由国家信息化领导机构,如国家信息化领导小组及其办公室、国家电子政务协调小组、国家信息安全协调小组等来进行.各地区和部委建立相应的信息安全管理机构,以完成和强化信息安全的管理,形成自顶向下的信息安全管理组织体系,是电子政务安全实施的必要条件. 制订颁发电子政务安全相关的各项管理条例,及时指导电子政务建设的各种行为,从立项、承包、采购、设计、实施、运行、操作、监理、服务等各阶段入手,保障电子政务系统建设全程的安全和安全管理工作的程序化和制度化. 电子政务信息安全域的划分与管理是至关重要的.电子政务有办公决策、行政监管和公共服务等三种类型业务,其业务信息内容涉及国家机密、部门工作秘密、内部敏感信息和开放服务信息.既要保护国家秘密又要便于公开服务,因此对信息安全域的科学划分和管理,将有益于电子政务网络平台的安全设计,有益于电子政务的健康和有效的实现. 制订电子政务工程集成商的资质认证管理办法、工程建设监理机构的管理办法、工程外包商的管理机制和办法,以确保电子政务工程建设的质量和安全,特别是对于电子政务系统的外包制更要有严格的制约和管理手段.对于电子政务中涉密系统工程的承建,还必须有国家保密局颁发的涉密系统集成资质证书,其他部分应具有国家或省市相应的系统集成商的资质证书.对于电子政务涉密部分,不允许托管和外包运行,电子政务其他部分将按相关管理条例执行. 电子政务工程中使用的信息安全产品,国家将制订相应的采购管理政策,涉及密码的信息安全产品需有国家密码主管部门的批准证书,信息安全产品应有通过国家测评主管机构的安全测评的证书,维护信息安全产品的可信性. 电子政务系统信息内容根据管理需求,可以实施对信息内容的安全监控管理,以保护政务信息安全,防止由于内部违规或外部入侵可能造成的网络泄密,同时也阻止有害信息内容在政务网上传播. 制订电子政务系统的人员管理、机构管理、文档管理、操作管理、资产与配置管理、介质管理、服务管理、应急事件管理、保密管理、故障管理、开发与维护管理、作业连续性保障管理、标准与规范遵从性管理、物理环境管理等各种条例,确保电子政务系统的安全运行. 要素三 安全标准与规范 信息安全标准有利于安全产品的规范化,有利于保证产品安全可信性、实现产品的互联和互操作性,以支持电子政务系统的互联、更新和可扩展性,支持系统安全的测评与评估,保障电子政务系统的安全可靠. 国家已正式成立“信息安全标准化委员会”,近期成立了信息安全标准体系与协调工作组(WG1)、内容安全分级及标识工作组(WG2)、密码算法与密码模块/KMI/VPN工作组(WG3)、PKI/PMI工作组(WG4)、信息安全评估工作组(WG5)、操作系统与数据库安全工作组(WG6)、身份标识与鉴别协议工作组(WG9)、操作系统与数据库安全工作组(WG10),以开展电子政务安全相关标准的研制工作,支撑电子政务安全对标准制订的需求. 还将制订下列标准:涉密电子文档密级划分和标记格式、内容健康性等级划分与标记、内容敏感性等级划分与标记、密码算法标准、密码模块标准、密钥管理标准、PKI/CA标准、PMI标准、信息系统安全评估和信息安全产品测评标准、应急响应等级、保护目标等级、应急响应指标、电子证据恢复与提取、电子证据有效性界定、电子证据保护、身份标识与鉴别、数据库安全等级、操作系统安全等级、中间件安全等级、信息安全产品接口规范、数字签名……. 要素四 安全保障与服务1.电子政务系统建设,要构建其技术安全保障架构,对大型电子政务系统要建立纵深防御体系. ·设置政务内网的安全与控制策略; ·设置政务外网的安全与控制策略; ·设置进入互联网的安全服务与控制策略; ·设置租用公网干线的安全服务与控制策略,包括有线通信、无线通信和卫星通信的安全服务与控制策略; ·设置政务计算环境的安全服务与机制. 采用纵深防御和多级设防,是电子政务安全保障的重要原则,通过全局性的安全防护、安全检测、快速响应、集成的安全管理与安全设施的联动控制,以达到系统具有防护、检测、反应与恢复能力. 2.推广电子政务信息系统安全工程(ISSE)的控制方法,全面实现安全服务要求. 电子政务安全系统的设计,首先要做好系统资产价值的分析,如物理资产的价值(系统环境、硬件、系统软件)、信息资产的价值、其数据与国家利益和部门利益的关联度;其业务系统(模型、流程、应用软件)正常运行后果所产生的效益,从而确定系统安全应保护的目标,在上述分析的基础上提出整个安全系统的安全需求,进一步定义达到这些安全需求所应具有的安全功能,然后探索系统可能面临的威胁类型,并找出系统自身的脆弱性,这些威胁和脆弱性有: ·网上黑客与计算机犯罪; ·网络病毒的蔓延与破坏; ·机要信息流失与信息间谍潜入; ·网上恐怖活动与信息战; ·内部人员违规与违法; ·网上安全产品的失控; ·网络与系统自身的漏洞与脆弱性. 在这些威胁面前,要分析哪些威胁是本系统主要面临的威胁,哪些是次要的,对系统和任务造成的影响程度如何.进行定性和定量的分析,提出系统安全对策,确定承受风险的能力,寻找投入和风险承受能力间的平衡点,然后确定系统所需要的安全服务及对应的安全机制(见表一),从而配置系统的安全要素.在工程的生命周期中要进行风险管理、风险决策流程(见图2),这种风险管理是要对电子政务全程进行的. 系统投入运行要对其安全性进行有效评估,即评估者给出的评估证据和建设者采用的技术保障设施,的确能使系统拥有者确信已选用技术对策,确实减少了系统的安全风险,满足必要的风险策略(风险策略可以是“零”风险策略、最小风险策略、最大可承受风险策略或不计风险策略),使其达到保护系统资产价值所必需的能力(见图3).上述有效评估过程可用安全技术保障强壮性级别(IATRn)来描述: IATRn=f(Vn,Tn,SMLn,EALn) Tn:威胁等级 Vn:资产价值等级 SMLn:安全机制强度等级 EALn:评估保障等级 要素五 安全技术与产品 1. 加强安全技术和产品的自主研制和创新. 由于电子政务的国家涉密性,电子政务系统工程的安全保障需要各种有自主知识产权的信息安全技术和产品,全面推动自主研发和创新这些技术和产品是电子政务安全的需要.这些产品和技术可以分为六大类: ·基础类:风险控制、体系结构、协议工程、有效评估、工程方法; ·关键类:密码、安全基、内容安全、抗病毒、IDS、VPN、RBAC、强审计、边界安全隔 离; ·系统类:PKI、PMI、DRI、网络预警、集成管理、KMI; ·应用类:EC、EG、NB、NS、NM、WF、XML、CSCW; ·物理与环境类:TEMPEX、物理识别; ·前瞻性:免疫技术、量子密码、漂移技术、语义理解识别. 2.电子政务安全产品的选择. 整个电子政务的安全,涉及信息安全产品的全局配套和科学布置,产品选择应充分考虑产品的自主权和自控权. 产品可涉及安全操作系统、安全硬件平台、安全数据库、PKI/CA、PMI、VPN、安全网关、防火墙、数据加密机、入侵检测(IDS)、漏洞扫描、计算机病毒防治工具、强审计工具、安全Web、安全邮件、安全设施集成管理平台、内容识别和过滤产品、安全备份、电磁泄漏防护、安全隔离客户机、安全网闸. 要素六 安全基础设施 信息安全基础设施是一种为信息系统应用主体和信息安全执法主体提供信息安全公共服务和支撑的社会基础设施,方便信息应用主体安全防护机制的快速配置,有利于促进信息应用业务的健康发展,有利于信息安全技术和产品的标准化和促进其可信度的提高,有利于信息安全职能部门的监督和执法,有利于增强全社会信息安全移师和防护技能,有利于国家信息安全保障体系的建设.因此,推动电子政务的发展,应重视相关信息安全基础设施的建设. 信息安全基础设施有两大类. 1.社会公共服务类 ·基于PKI/PMI数字证书的信任和授权体系; ·基于CC/TCSEC的信息安全产品和系统的测评与评估体系; ·计算机病毒防治与服务体系; ·网络应急响应与支援体系; ·灾难恢复基础设施; ·基于KMI的密钥管理基础设施. 2.行政监管执法类 ·网络信息内容安全监控体系; ·网络犯罪监察与防范体系; ·电子信息保密监管体系; ·网络侦控与反窃密体系; ·网络监控、预警与反击体系.
我国电子政务信息安全风险主要存在于观念、技术、管理和法律方面。要强化电子政务环境下公务员的信息安全意识,建立电子政务信息安全管理机构,完善信息安全基础设施和扶持国有信息安全产业的发展。1 电子政务信息安全的内涵电子政务是政府管理方式的革命,它是运用信息以及通信技术打破行政机关的组织界限,构建一个电子化的虚拟机关,使公众摆脱传统的层层关卡以及书面审核的作业方式,并依据人们的需求、人们可以获取的方式、人们要求的时间及地点等,高效快捷地向人们提供各种不同的服务选择。政府机关之间以及政府与社会各界之间也经由各种电子化渠道进行相互沟通。电子政务的建立将使政府成为一个更符合环保精神的政府,一个更开放透明的政府,一个更有效率的政府,一个更廉洁勤政的政府。然而,电子政务的职能与优势得以实现的一个根本前提是信息安全的有效保障。因为电子政务信息网络上有相当多的政府公文在流转,其中不乏重要信息,内部网络上有着大量高度机密的数据和信息,直接涉及政府的核心政务,它关系到政府部门、各大系统乃至整个国家的利益,有的甚至涉及国家安全。如果电子政务信息安全得不到保障,电子政务的便利与效率便无从保证,对国家利益将带来严重威胁。电子政务信息安全是制约电子政务建设与发展的首要问题和核心问题。电子政务的信息安全可以理解为:(1)从信息的层次看,包括信息的完整性(保证信息的来源、去向、内容真实无误)、保密性(保证信息不会被非法泄露扩散)、不可否认性(保证信息的发送和接收者无法否认自己所做过的操作行为)等。(2)从网络层次看,包括可靠性(保证网络和信息系统随时可用,运行过程中不出现故障,遇意外事故能够尽量减少损失并尽早恢复正常)、可控性(保证营运者对网络和信息系统有足够的控制和管理能力)、互操作性(保证协议和系统能够互相联接)、可计算性(保证准确跟踪实体运行达到审计和识别的目的)等。(3)从设备层次看,包括质量保证、设备备份、物理安全等。(4)从管理层次看,包括人员可靠、规章制度完整等。2 电子政务信息安全风险分析现阶段,我国电子政务信息安全系数比较低。公安部1998年8月在江苏、上海、广东等省(市)对169信息网进行检测,发现其设防能力十分脆弱,难以抵御任何方式的电子攻击。电子政务信息安全风险主要存在4个方面。2.1 观念方面著名信息安全专家、中国工程院院士沈昌祥从国家安全利益出发,提出应把信息系统安全建设提高到研制“两弹一星”的高度去认识。1999年政府上网工程启动以来,政府部门越来越重视网络系统建设,看重网络带来的便利与高效,但是有些地方对信息安全工作未引起足够重视。据估计,我国在网络工程中网络安全的投入费用不到2%,同国外的10%相比有较大差距。现阶段,电子政务网络的开放程度不高,一些机密信息目前还没有上网,再加之公众对计算机犯罪的态度较为“宽容”,认为并没有造成直接的人员财产损失,这都使得公务员和普通大众对信息安全问题关注不够,信息安全意识淡薄。 技术方面(1)计算机系统本身的脆弱性,使得它无法抵御自然灾害的破坏,也难以避免偶然无意造成的危害。如:洪水、火灾、地震的破坏,系统所处环境的影响(温湿度、磁场、碰撞、污染等),硬件设备故障,突然断电或电压不稳定及各种误操作等。这些危害会损害操作系统设备,有时会丢失或破坏数据,甚至毁掉整个系统。(2)网络本身存在缺陷。首先,软件本身缺乏安全性。操作系统的设计一般着重于提高信息处理的能力和效率,对于安全只是作为一项附带的条件加以考虑。因此,操作系统中的安全缺陷相当多。其次,通信与网络设备本身有弱点。绝大多数电子政务信息网络运行的是TCP/IP,NetBEUI,IPX/SPX等网络协议,而这些网络协议并非专为安全通讯而设计。利用这些网络进行服务,本身就可能存在多方面的威胁,加之使用者信息安全意识淡薄,管理者管理措施不力等原因,会造成一些常见的安全问题:对物理通路的干扰;网络链路传送的数据被窃听;非授权用户非法使用,信息被拦截或监听;操作系统存在的网络安全漏洞;应用平台的安全,如数据库服务器、电子邮件服务器等均存在大量的安全隐患,很容易受到病毒、黑客攻击;直接面向用户的应用系统存在的信息泄露、信息篡改、信息抵赖、信息假冒等。再次,目前世界上还缺乏统一的操作系统、计算机网络系统和数据库管理系统,缺乏统一的信息安全标准、密码算法和协议,因而无法进行严格的安全确认。(3)我国具有自主知识产权的信息设备、技术、产品较少,如计算机芯片、骨干路由器和微机主板等基本上从国外进口,且对引进技术和设备缺乏必要的技术改造,尤其是在系统安全和安全协议的研究和应用方面。而美欧等发达国家对我国限制和封锁信息安全高密度产品,出口到我国的信息产品中留有安全隐患。例如,美国出口我国的计算机系统的安全系统只有C2级,是美国国防部规定的8个安全级别之中的倒数第三;在操作系统、数据库管理系统或应用程序中预先安置从事情报收集、受控激发破坏的“特洛伊木马”程序,一旦发生重大情况,那些隐藏在软件中的“特洛伊木马”就能够在某种秘密指令下激活,造成我国电子政务关键软件系统的瘫痪。2.3 管理方面对现有的网络攻击和入侵事件的一项统计报告显示:国外政府入侵的安全风险指数为21%,黑客入侵的安全风险指数为48%,竞争对手入侵的安全风险指数为72%,组织内部不满雇员入侵的安全风险指数为89%。这说明,电子政务信息安全不是单纯的技术问题。如果没有从管理制度、人员和技术上建立相应的电子化业务安全防范机制,缺乏行之有效的安全检查保护措施,再好的技术和设备都无法确保其信息安全。管理上的漏洞,例如,机房重地随意进出,微机或工作站管理人员在开机状态下擅离岗位,敏感信息临时存放在本地的磁盘上,这些信息处于未保护状态,都会为外部入侵,更为内部破坏埋下隐患。其中,来自内部的安全威胁可能会更大,因为内部人员了解内部的网络、主机和应用系统的结构;能够知道内部网络和系统管理员的工作规律,甚至自己就是管理员;拥有系统的一定的访问权限,可以轻易地绕过许多访问控制机制;在内部系统进行网络刺探、尝试登录、破解密码等都相对容易。如果内部人员为了报复或销毁某些记录而突然发难,在系统中植入病毒或改变某些程序设置,就有可能造成损失。内部人员的破坏活动也并不局限于破坏计算机系统,还包括越权处理公务、窃取国家机密数据等。2.4 法律方面黑客攻击、病毒入侵等网络犯罪的日益增多与网络信息安全法制不健全和对网络犯罪的惩治不力密不可分。一方面,我国已经出台了一系列与网络信息安全有关的法律法规,例如:《计算机软件保护条例》(1992年)、《中华人民共和国计算机信息系统安全保护条例》(1994年)、《警察法》(1995年)、《公安部关于对国际联网的计算机信息系统进行备案工作的通知》(1996年)、《中华人民共和国信息网络国际联网管理暂行规定》(1997年)、《计算机信息网络国际联网安全保护管理办法》(1997年),《商用密码管理条例》(1999年)、《计算机信息系统国际联网保密管理规定》(2002年)等。此外,1997年3月颁布的新《刑法》第285条、第286条、第287条,对非法侵入计算机信息系统罪、破坏计算机信息系统罪,以及利用计算机实施金融、盗窃、贪污、挪用公款、窃取国家机密等犯罪行为,作出了规定。尽管这些法律法规的出台和实施对于我国网络信息的安全起到相当积极的作用,但仍难以适应网络发展的需要,信息安全立法还存在相当多的盲区。另一方面,已颁布实施的法律法规不仅规定了出入口制度和市场准入制度,确定了网络信息安全管理机构,阐明了安全责任,而且明确了法律责任,对于危害网络信息安全的个人和单位,规定了经济处罚、行政处罚和刑事处罚等三大类型。但是由于网络犯罪的隐蔽性和高科技性,给侦破和审理带来了极大困难,再加上其他原因,导致执法部门的打击力度有限,在法律的执行上还有不到位之处,一些违法情况及当事人还未得到及时处理和制裁。3 电子政务信息安全的防范策略3.1 强化电子政务环境下公务员的信息安全意识所谓的信息安全意识,是指公务员对电子政务中信息安全问题主要表现与危害以及保证政府信息安全的意义的正确认识,发现电子政务中影响信息安全的现象和行为的敏锐性,维护电子政务信息安全的主动性。强化公务员的信息安全意识就是要让公务员认识到电子政务信息安全是电子政务正常而高效运转的基础,是保障国家信息安全甚至国家安全的重要前提,从而牢固树立信息安全第一的思想。我国各级政府部门要利用多种途径对公务员进行电子政务信息安全方面的教育。一是通过大众传播媒介,增强公务员信息安全意识,普及信息安全知识。二是积极组织各种专题讲座和培训班,培养信息安全人才,并确保防范手段和技术措施的先进性和主动性。三是要积极开展安全策略研究,明确安全责任,增强公务员的责任心。 建立电子政务信息安全管理机构首先,政府部门要严格按照《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络安全保护管理办法》的规定,在国家安全部,国家保密局,国务院有关部门及各省、市、自治区公安厅(局),地(市)、县(市)公安局负责计算机网络信息系统安全保护的行政管理下,建立本单位、本部门、本系统的组织领导管理机构,明确领导及工作人员责任,制定管理岗位责任制及有关措施,严格内部安全管理机制,并对破坏电子政务信息安全的事件进行调查和处理,确保网络信息的安全。其次,要完善“网上警察”队伍建设,加大监视和打击网络犯罪活动的力度。我国于1983年成立了公安部计算机管理和监察局,1985年全国人大通过了《警察法》,其目的就是“监督计算机信息系统安全保护工作”。1998年又成立了公安部公共信息网络安全监察局,并逐步形成了一支“网上警察”。当前,公安部门的首要任务是吸纳高级信息安全人才充实到网上警察队伍,提高网上警察的快速反应能力、侦察与追踪水平等。3.3 完善我国信息安全基础设施当前迫切需要建立的国家信息安全基础设施包括:国际出入口监控中心、安全产品评测认证中心、病毒检测和防治中心、关键网络系统灾难恢复中心、系统攻击和反攻击中心、电子保密标签监管中心、网络安全紧急处置中心、电子交易证书授权中心、密钥恢复监管中心、公钥基础设施与监管中心、信息战防御研究中心等。3.4 倾力扶持国有信息安全产业的发展自主的信息产业或信息产品国产化是保证电子政务信息安全的根本。信息安全技术、产品受制于他国是对国家安全利益的极大威胁。国家应对国有信息安全产业的发展予以充分的政策和财政支持。当前,应在以下3种技术上求得突破:一是能逐步改善信息安全状况、带有普遍性的关键技术,如密码技术、鉴别技术、病毒防御技术、入侵检测技术等;二是创新性强、可发挥杠杆作用的突破性技术,如网络侦察技术、信息监测技术、风险管理技术、测试评估技术和TEMPEST技术等;三是能形成“撒手锏”的战略性技术,如操作系统、密码专用芯片和安全处理器等。还要狠抓技术及系统的综合集成,以确保电子政务信息系统的安全可靠。令人可喜的是,2002年8月19日由我国自主开发的高性能通用芯片“龙芯1”运行成功,这是我国信息安全产业发展史上具有里程碑意义的事件。3.5 健全法律,严格执法法律是保障电子政务信息安全的最有力手段,发达国家已经在政府信息安全立法方面积累了成功经验,如美国的《情报自由法》和《阳光下的政府法》、英国的《官方信息保护法》、俄罗斯的《联邦信息、信息化和信息保护法》等。我国立法部门应加快立法进程,吸取和借鉴国外网络信息安全立法的先进经验,尽快制定和颁布个人隐私保护法、数据库振兴法、信息网络安全性法规、预防和打击计算机犯罪法规、数字签名认证法、电子凭证(票据)法、网上知识产权法等,以完善我国的网络信息安全法律体系,使电子政务信息安全管理走上法制化轨道。另外,执法部门还要进一步严格执法,提高执法水平,确保各项法律法规落到实处。对于各种违法犯罪情况要严加追究,绝不姑息,对于各种隐患要及时加以预防和制止。
摘要:文中就信息网络安全内涵发生的根本变化,阐述我国发展民族信息安全体系的重要性及建立有中国特色的网络安全体系的必要性。论述了网络防火墙安全技术的分类及其主要技术特征。 关键词:网络安全 防火墙 技术特征 1.概述 21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。 一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。 网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。 信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。 2.防火墙 网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。? 目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。? 虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。 自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。 防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统?如果答案是“是”,则说明企业内部网还没有在网络层采取相应的防范措施。 作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。 根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。 .包过滤型 包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。 包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。 但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,过包过滤型防火墙。 .网络地址转化—NAT 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。 NAT的工作过程如图1所示: 在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。 .代理型 代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。 代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。 .监测型 监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品 虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。 实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。--- 刘大大大大猫(3): 浅析网络安全技术 摘要:文中论述了防火墙部署原则,并从防火墙部署的位置详细阐述了防火墙的选择标准。并就信息交换加密技术的分类及RSA算法作以分析,针对PKI技术这一信息安全核心技术,论述了其安全体系的构成。 关键词:网络安全 防火墙 PKI技术 1.概述 网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,就其产品的主流趋势而言,大多数代理服务器(也称应用网关)也集成了包滤技术,这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。 安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。 2.防火墙的选择 选择防火墙的标准有很多,但最重要的是以下几条: .总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。 .防火墙本身是安全的 作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。 通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。 .管理与培训 管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。 .可扩充性 在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。 .防火墙的安全性防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。 3.加密技术 信息交换加密技术分为两类:即对称加密和非对称加密。 .对称加密技术 在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。 .非对称加密/公开密钥加密 在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。 算法 RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下: 公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密) e与(p-1)(q-1)互素 私有密钥:d=e-1 {mod(p-1)(q-1)} 加密:c=me(mod n),其中m为明文,c为密文。 解密:m=cd(mod n) 利用目前已经掌握的知识和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。 技术 PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构(CA)、注册机构(RA)、策略管理、密钥(Key)与证书(Certificate)管理、密钥备份与恢复、撤消系统等功能模块的有机结合。 .认证机构 CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,能够很好地和其他厂家的CA产品兼容。 .注册机构 RA(Registration Authorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。 .策略管理 在PKI系统中,制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求,并且能通过CA和RA技术融入到CA 和RA的系统实现中。同时,这些策略应该符合密码学和系统安全的要求,科学地应用密码学与网络安全的理论,并且具有良好的扩展性和互用性。 .密钥备份和恢复 为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。 .证书管理与撤消系统 证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消,证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的发布机制撤消证书或采用在线查询机制,随时查询被撤消的证书。 5.安全技术的研究现状和动向 我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。 国际上信息安全研究起步较早,力度大,积累多,应用广,在70年代美国的网络安全技术基础理论研究成果“计算机保密模型”(Beu& La padula模型)的基础上,指定了“可信计算机系统安全评估准则”(TCSEC),其后又制定了关于网络系统数据库方面和系列安全解释,形成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。作为信息安全关键技术密码学,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制,克服了网络信息系统密钥管理的困难,同时解决了数字签名问题,它是当前研究的热点。而电子商务的安全性已是当前人们普遍关注的焦点,目前正处于研究和发展阶段,它带动了论证理论、密钥管理等研究,由于计算机运算速度的不断提高,各种密码算法面临着新的密码体制,如量子密码、DNA密码、混沌理论等密码新技术正处于探索之中。因此网络安全技术在21世纪将成为信息网络发展的关键技术,21世纪人类步入信息社会后,信息这一社会发展的重要战略资源需要网络安全技术的有力保障,才能形成社会发展的推动力。在我国信息网络安全技术的研究和产品开发仍处于起步阶段,仍有大量的工作需要我们去研究、开发和探索,以走出有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。慢慢看吧。。。。
电子商务安全风险管理研究林黎明1 李新春2( 中国矿业大学 管理学院,江苏 徐州 221008 )摘要 该文基于目前电子商务安全所面临的各种风险问题,结合当前的一些风险管理方法,对电子商务系统安全风险管理进行一些基本的分析和研究,以期对企业电子商务安全风险管理提供一些有价值的借鉴和参考。关键词 电子商务安全,风险管理,风险识别,风险控制1 引言随着开放的互联网络系统Internet的飞速发展,电子商务的应用和推广极大了改变了人们工作和生活方式,带来了无限的商机。然而,电子商务发展所依托的平台—互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展;此外,电子商务的发展还面临着严峻的内部风险,电子商务企业内部对安全问题的盲目和安全意识的淡薄,高层领导对电子商务的运作和安全管理重视程度不足,使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此,在考察电子商务运行环境、提供电子商务安全解决方案的同时,有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析,并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。2 电子商务面临的安全风险由于网络的复杂性和脆弱性,以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说,电子商务普遍存在着以下几个安全风险:1)信息的截获和窃取这是指电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获取商业机密。2)信息的篡改网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入,并发往目的地,从而达到破坏信息完整性的目的。3)拒绝服务拒绝服务是指在一定时间内,网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的认为破坏。4)系统资源失窃问题在网络系统环境中,系统资源失窃是常见的安全威胁。5)信息的假冒信息的假冒是指当攻击者掌握了网络信息数据规律或解密了商务信息后,可以假冒合法用户或假冒信息来欺其它用户。主要表现形式有假冒客户进行非法交易,伪造电子邮件等。6)交易的抵赖交易抵赖包括发信者事后否认曾经发送过某条信息;买家做了定单后不承认;卖家卖出的商品因价格差而不承认原先的交易等。3 风险管理规则针对电子商务面临的各种安全风险,电子商务企业不能被动、消极地应付,而应该主动采取措施维护电子商务系统的安全,并监视新的威胁和漏洞。因此,这就需要制定完整高效的电子商务安全风险管理规则。一般来说,风险管理规则的制定过程有评估、开发和实施以及运行三个阶段。(1)评估阶段该阶段的主要任务是对电子商务的安全现状、要保护的信息、各种资产等进行充分的评估以及一些基本的安全风险识别和分析。对电子商务安全现状的评估是制定风险管理规则的基础。对信息和资产的评估是指对可能遭受损失的相关信息和资产进行价值的评估,以便确定相适应的风险管理规则,从而避免投入成本和要保护的信息和资产的严重不匹配。安全风险识别要求尽可能地发现潜在的安全风险,应收集有关各种威胁、漏洞、开发和对策的信息。安全风险分析是确定风险,收集信息,对可能造成的损失进行评价以估计风险的级别,以便做出明智的决策,从而采取措施来规避安全风险。(2)开发和实施阶段该阶段的任务包括风险补救措施开发、风险补救措施测试和风险知识学习。风险补救措施开发利用评估阶段的成果来建立一个新的安全管理策略,其中涉及配置管理、修补程序管理、系统监视与审核等等。在完成对风险补救措施的开发后,即进行安全风险补救措施的测试,在测试过程中,将按照安全风险的控制效果来评估对策的有效性。(3)运行阶段运行阶段的主要任务包括在新的安全风险管理规则下评估新的安全风险。这个过程实际上是变更管理的过程,也是执行安全配置管理的过程。运行阶段的第二个任务是对新的或已更改的对策进行稳定性测试和部署。这个过程由系统管理、安全管理和网络管理小组来共同实施。以上风险管理规则的三个阶段可以用下图来表示:图1 风险管理规则的三个阶段4 风险管理步骤风险管理是识别风险、分析风险并制定风险管理计划的过程。电子商务安全风险的管理和控制方法,它包括风险识别、风险分析、风险控制以及风险监控等四个方面。(1)风险识别电子商务系统的安全要求是通过对风险的系统评估而确认的。为了有效管理电子商务安全风险,识别安全风险是风险管理的第一步。风险识别是在收集有关各种威胁、漏洞和相关对策等信息的基础上,识别各种可能对电子商务系统造成潜在威胁的安全风险。风险识别的手段五花八门,对于电子商务系统的安全来说,风险识别的目标是主要是对电子商务系统的网络环境风险、数据存在风险和网上支付风险进行识别。需要注意的是,并非所有的电子商务安全风险都可以通过风险识别来进行管理,风险识别只能发现已知的风险或根据已知风险较容易获知的潜在风险。而对于大部分的未知风险,则依赖于风险分析和控制来加以解决或降低。(2)风险分析风险分析是运用分析、比较、评估等各种定性、定量的方法,确定电子商务安全各风险要素的重要性,对风险排序并评估其对电子商务系统各方面的可能后果,从而使电子商务系统项目实施人员可以将主要精力放在对付为数不多的重要安全风险上,使电子商务系统的整体风险得到有效的控制。风险分析是一种确定风险以及对可能造成的损失进行评估的方法,它是制定安全措施的依据。风险分析的目标是:确定风险,对可能造成损坏的潜在风险进行定性化和定量化,以及最后在经济上寻求风险损失和对风险投入成本的平衡。目前,风险分析主要采用的方法有:风险概率/影响评估矩阵,敏感性分析,模拟等。在进行电子商务安全风险分析时,由于各影响因素量化在现实上的困难,可根据实际需要,主要采用定性方法为主辅以少量定量方法相结合来进行风险分析,为制定风险管理制度和风险的控制提供理论上的依据。(3)风险控制风险控制就是选择和运用一定的风险控制手段,以保障风险降到一个可以接受的水平。风险控制是风险管理中最重要的一个环节,是决定风险管理成败的关键因素。电子商务安全风险控制的目标在于改变企业电子商务项目所承受的风险程度。一般来说,风险控制方法有两类:第一类是风险控制措施,比如降低、避免、转移风险和损失管理等。在电子商务安全风险管理中,比较常用的是转移风险和损失管理。第二类为风险补偿的筹资措施,包括保险与自担风险。在电子商务安全风险管理中,管理人员需要对风险补偿的筹资措施进行决策,即选择保险还是自担风险。此外,风险控制方法的选择应当充分考虑相对风险造成损失的成本,当然其它方面的影响也是不容忽视的,如企业商誉等。对电子商务安全来说,其有效可行的风险控制方法是:建立完整高效的降低风险的安全性解决方案,掌握保障安全性所需的一些基础技术,并规划好发生特定安全事故时企业应该采取的解决方案。5 风险管理对策由于电子商务安全的重要性,所以部署一个完整有效的电子商务安全风险管理对策显得十分迫切。制定电子商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞,从而降低电子商务系统环境所面临的风险。目前的电子商务安全风险管理对策中,较为常用的是纵深防御战略,所谓纵深防御战略,就是深层安全和多层安全。通过部署多层安全保护,可以确保当其中一层遭到破坏时,其它层仍能提供保护电子商务系统资源所需的安全。比如,一个单位外部的防火墙遭到破坏,由于内部防火墙的作用,入侵者也无法获取单位的敏感数据或进行破坏。在较为理想的情况下,每一层均提供不同的对策以免在不同的层中使用相同的攻击方法。下图为一个有效的纵深防御策略:图2 有效的纵深防御策略下面就各层的主要防御内容从外层到里层进行简要的说明:1)物理安全物理安全是整个电子商务系统安全的前提。制定电子商务物理安全策略的目的在于保护计算机系统、电子商务服务器等各电子商务系统硬件实体和通信链路免受自然灾害和人为破坏造成的安全风险。2)周边防御对网络周边的保护能够起到抵御外界攻击的作用。电子商务系统应尽可能安装某种类型的安全设备来保护网络的每个访问节点。在技术上来说,防火墙是网络周边防御的最主要的手段,电子商务系统应当安装一道或多道防火墙,以确保最大限度地降低外界攻击的风险,并利用入侵检测功能来及时发现外界的非法访问和攻击。3)网络防御网络防御是对网络系统环境进行评估,采取一定措施来抵御黑客的攻击,以确保它们得到适当的保护。就目前来说,网络安全防御行为是一种被动式的反应行为,而且,防御技术的发展速度也没有攻击技术发展得那么快。为了提高网络安全防御能力,使网络安全防护系统在攻击与防护的对抗中占据主动地位,在网络安全防护系统中,除了使用被动型安全工具(防火墙、漏洞扫描等)外,也需要采用主动型安全防护措施(如:网络陷阱、入侵取证、入侵检测、自动恢复等)。4)主机防御主机防御是对系统中的每一台主机进行安全评估,然后根据评估结果制定相应的对策以限制服务器执行的任务。在主机及其环境中,安全保护对象包括用户应用环境中的服务器、客户机以及其上安装的操作系统和应用系统。这些应用能够提供包括信息访问、存储、传输、录入等在内的服务。根据信息保障技术框架,对主机及其环境的安全保护首先是为了建立防止有恶意的内部人员攻击的首道防线,其次是为了防止外部人员穿越系统保护边界并进行攻击的最后防线。5)应用程序防御作为一个防御层,应用程序的加固是任何一种安全模型中都不可缺少的一部分。加强保护操作系统安全只能提供一定程度的保护。因此,电子商务系统的开发人员有责任将安全保护融入到应用程序中,以便对体系结构中应用程序可访问到的区域提供专门的保护。应用程序存在于系统的环境中。6)数据防御对许多电子商务企业来说,数据就是企业的资产,一旦落入竞争者手中或损坏将造成不可挽回的损失。因此,加强对电子商务交易及相关数据的防护,对电子商务系统的安全和电子商务项目的正常运行具有重要的现实意义6 结论一般来说,风险管理有基本的三个对策,包括管理者采取适当措施来降低风险事故发生的概率;管理者准备并实施一个意外事故应急计划以备不测;还有就是管理者什么都不做。对已选定的对策,应对其潜在的风险有充分的估计,并制定相应的应变计划,以使可能的风险损失降到最低。风险管理没有铁定的规则,对于电子商务安全风险管理来说,首先是扫描和检测电子商务系统的内外部环境,检查系统的脆弱性和薄弱环节,及时打上补丁和追加设备,以便当风险产生时尽可能地减少损失;其次是对电子商务安全风险进行充分地分析,然后制定相应的规划和措施,并在其实施的每个阶段进行监控和跟踪;最后是根据环境的变化随时调整风险管理措施,制定完备的灾难恢复计划。参考文献[1]甘早斌.电子商务概论(第二版).华中科技大学出版社.[2]钟诚.电子商务安全.重庆大学出版社.[3]才书训.电子商务安全风险管理与控制.东北大学出版社.[4]易珊,张学哲.电子商务安全策略分析.科技情报开发与经济.[5]高新亚,邹静.电子商务安全的风险分析和风险管理.武汉理工大学学报.信息与管理工程版.[6]郭学勤,陈怡.电子商务安全对策.计算机与数字工程.[7]李晶.电子商务安全防范措施.安徽科技.[8]Greenstein M,FeinmanT Commerce:Security,Risk Management and Control[M].New York:McGraw-Hill Companies,Inc.,2000[9]Charles Cresson Wood, Essential Controls for Internet Electronic Commerce[M].Network Security,1998-------------------------------------------------------------------
浅谈电子商务安全隐患的防范措施研究 学数:6233,页数:14 论文编号:DZ109 摘要 (选题动机)随着社会信息化步伐的不断加快,电子商务活动日益广泛,网络交易所存在的安全隐患不断增多,严重制约了电子商务的更快发展,如何解决和防范电子商务安全问题,已经成为了网络商务活动的重中之重。为了利用所学专业知识,积极探讨电子商务的安全发展,为网络商务活动的安全防范工作提供有益的帮助,从而决定选择了电子商务安全方向题目。 (中心思想)根据当前电子商务发展现状以及存在的较多安全隐患问题,坚持从安全隐患特征入手进行认真分析,对照电子商务实际需求,结合当前安全防范措施,从而按技术防范和管理防范两个方面入手,提出了以加强安全防范工作,以便有效应对电子商务安全隐患问题,为电子商务的健康发展提供了有益的理论探讨。 (段落大意)第一部分:电子商务发展现状及存在的安全隐患问题; 第二部分:安全隐患的中断、窃听、窜改、伪造等主要特征; 第三部分:电子商务活动对安全的主要需求; 第四部分:推进电子商务健康发展,应从技术和管理两个方面加强理性应对和安全防范。 (个人新观点)推进电子商务健康发展,就需要重视和解决发展所带来的安全隐患问题,要实事求是地查找原因,辨证地分析根源和特征,从而制定有效的防范措施,确保电子商务活动健康有序发展。 关键词:(关键词文字) 安全隐患 安全需求 安全防范 目录 一、当前电子商务所面临的安全隐患 ......................................2 (一)销售者 ..........................................................2 (二)消费者 ..........................................................3 二、电子商务的安全需求 ................................................3 三、电子商务安全隐患主要特征 ..........................................4 四、电子商务的安全防范措施 ............................................4 五、结语.............................................................. 10 以上回答来自:
在电子商务大发展的背景下,电子商务安全也成为了一个突出的问题。下面是我为大家整理的电子商务安全论文,希望对大家有帮助。
电子商务安全技术初探
【摘要】一个比较完善的电子商务系统,需要满足电子商务的安全需求,能够实现加密、验证和保护等功能。本文主要从数据加密技术、身份认证技术、PKI体系、安全电子交易协议等几个方面论述了保护电子商务主要采用的安全技术。
【关键词】电子商务;安全;技术
1电子商务安全性需求
对于电子商务系统而言,系统的安全性,可靠性等一直是人们关注的问题。为了保障网上交易安全顺利的进行,电子商务 系统安全 性要求可归纳为:(1)机密性要求。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。而电子商务建立在一个开放的网络环境(Internet)上,维护商业机密是电子商务全面推广应用的重要保障。因此,必须保障交易信息在存取和传输过程中不被泄露给非授权的人或实体。(2)完整性要求。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,因此电子交易的双方数据的完整是电子商务的基础。因此需防止对信息的随意生成、修改和删除,同时要防止数据传输过程中信息的丢失、信息重复,并保障信息传送的次序差的统一。(3)真实性要求。真实性是指网上交易双方身份信息的真实性,从电子商务的形式上看,电子交易中参加交易的各方是不见面的,他们是通过网络这个虚拟场所进行活动,因此需要对参加交易的人或实体的身份进行检验,保证交易双方身份的真实性,使参加交易的各方能够在相互不见面的情况下确认对方身份的真实性。(4)不可抵赖性要求。电子商务和传统商务在本质上是相同的,因此电子商务也需要建立相关的责任机制,防止交易双方交易过程出现的相互抵赖行为。在电子交易过程中需要为参加交易各方的对象(个人,企业或国家)提供可靠的标识。(5)有效性要求。电子商务的是指在电子交易的过程中,要保证在网络上传输的交易数据在确定的时刻、确定的地点是有效的。电子商务的有效性直接关系到交易活动的成败与否,它是能否开展电子交易活动的前提,直接影响到个人、企业或国家的经济利益和声誉。因此,需要对电子商务运行过程中有可能遇到的网络故障、操作过程中出现的错误、相关的应用程序运行时出现的错误、硬件系统可能出现的故障、系统软件产生的错误结果,以及计算机病毒等恶意代码攻击和威胁加以控制和预防。
2电子商务涉及的几种安全技术
加密技术数据加密技术通过对数据进行重新编码,隐藏真实信息的内容,当非法用户截获该数据时,无法得到信息真实内容的一种技术,主要有对称加密和非对称加密两种形式。加密技术是保证电子商务安全的重要手段,除了实现传统信息保密之外,在网络鉴别、认证等方面都有很好的应用,加密算法是网络安全和电子商务信息安全的基础。数字签名技术在电子商务系统中所有信息都是电子数据形式,如商业合同,交易信息,客户信息等,为了保证信息的真实,有效,完整,需要实现具有手写签名功能的签名即数字签名。数字签名技术的基础是加密技术为。认证技术认证实现网络中对某个实体的身份加以鉴别、确认,以证明其是否是名副其实或是否是有效的过程。认证系统常用的验证 方法 可分为以下两类:“基于密码”的认证和“基于生理特征身份”的认证。防火墙技术防火墙是在企业的内部网络和Internet之间置竖的一道安全屏障,通过预先设定的策略对数据对进出网络的数据进行过滤、分析和审计,可以防止非法用户进入内部网络,并能有效防范各种攻击行为,从而保护内部网免受非法用户的侵入。技术虚拟专用网VPN(VirtualPrivateNet)是以公用开放的网络(如Internet)作为基本的传输媒介,通过相关网络安全协议和隧道技术等多种技术在开放的公共网络建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全的、稳定的隧道,为用户提供类似于具有专用网络安全性的网络服务技术。通过VPN系统,可以帮助企业和远程用户、公司分支机构、商业伙伴及供应商与公司的内部网建立可信的安全通信连接,保护企业和个人敏感信息在互联网上传输的的安全,使得企业和个人利益得到保护。公钥基础设施PKIPKI即“公钥基础设施”,是一种利用公钥理论和技术建立的提供网络安全服务基础设施平台,负责创建、管理、存储、分发和作废证书的软件、硬件、人员、策略和过程的集合。通过权威认证机构(CA)提供的数字证书为用户建立起一个安全的网络运行环境,用户可以在多种应用环境下方便地使用加密和数字签名技术,提供认证、数据完整性、保密性和不可否认等安全服务。安全电子交易协议1)安全套阶层协议(SSL)SSL协议(SecureSocketLayer)提供三种安全连接服务:数据保密;身份真实性认证;数据的完整性。2)安全电子交易协议(SET)SET(SecureElectronicTransaction)安全电子交易协议提供了消费者、商家和银行之间的认证,确保交易的保密性、可靠性和不可否认性,保证在开放网络环境下使用信用卡进行在线购物的安全。其他技术其他技术如入侵检测技术、智能卡技术和安全审计/日志技术等。
3 总结
随着电子商务的飞速发展,人们逐步意识到,安全问题是一个核心问题,电子商务的安全问题一直受到人们的关注和安全专家的重视,因而安全技术不断的得到发展应用,如:加密技术,防火墙,安全认证协议等。这些技术的应用极大的促进了电子商务的发展。
参考文献
[1]宋少忠,郝莉萍等.电子商务安全与支付[M].北京:中国水利水电出版社,2009.
[2]屈武江,陈晴光.电子商务安全与支付技术[M].北京:中国人民大学出版社,2013.
电子商务对国际贸易的影响及前景
摘要:在电子商务大发展的背景下,中国国际贸易取得良好成绩,贸易影响力逐渐提升、贸易话语权不断增强,中国正在逐渐改变着世界范围消费者的消费方式,成为电子商务国际贸易的引领者。电子商务作为“桥梁”将供给方和需求方联系起来,发挥着信息中介、产品中介、服务中介、交易中介和结算中介的角色,共同构成了国际贸易的贸易中介角色。进一步发挥电子商务对国际贸易的重大影响作用,需要从法律法规制定、人才培养、服务专业性提升等方面进行改进。
关键词:电子商务;国际贸易;贸易中介;物流
中国通过40年的改革开放,经济总量跃居世界前列,国际影响力与日俱增,对世界经济发展的贡献不断增强,国家对跨境电子商务贸易的支持力度也越来越大,如表1所示。首先需要承认中国在国际贸易中取得的良好成就,尤其是中国的电子商务在推动国际贸易发展方面独树一帜的贡献。但是,中国从“贸易大国”到“贸易强国”还有很长的距离,中国能否保持长久的可持续的发展,还有待回答。基于此,本文尝试通过分析电子商务对中国国际贸易发展的影响机制,对如何进一步促进中国国际贸易发展提出可行建议。
一、中国电子商务的国际化进程
(一)电子商务模式简析
电子商务的出现提升了国内外贸企业与国外客户的数据传递效率,降低了国内外贸企业的交易成本,同时也规范了国内外贸企业业务的管理(赵武,2016)。国际贸易的扩张和贸易中介功能的发挥得益于电子商务在全球的飞速发展,电子商务促使交易费用率下降,改变生产组织方式和交易模式,并重构了贸易模式以及全球生产模式(茹玉骢、李燕,2014)。电子商务作为国内企业走向世界的一条“高速公路”,为中国企业发展国际贸易创造了良好的途径。电子商务促进国际贸易的发展已经成为这个时代最重要的手段,它将分属于不同国家和地区的交易主体借助互联网平台进行交易和结算,实现产品和资金的双向流通。当前,具有跨境属性的电子商务主要包括B2B、B2C和C2C三种。电子商务的发展是现代信息技术发展的必然结果,科学技术改变了生产方式,使得生产力大幅度提高,社会财富迅速增加。具体而言,电子商务交易平台通过有效提高消费者搜寻次数、降低市场搜寻成本,对市场价格产生显著黄昊(重庆商务职业学院重庆401331)在电子商务大发展的背景下,中国国际贸易取得良好成绩,贸易影响力逐渐提升、贸易话语权不断增强,中国正在逐渐改变着世界范围消费者的消费方式,成为电子商务国际贸易的引领者。电子商务作为“桥梁”将供给方和需求方联系起来,发挥着信息中介、产品中介、服务中介、交易中介和结算中介的角色,共同构成了国际贸易的贸易中介角色。进一步发挥电子商务对国际贸易的重大影响作用,需要从法律法规制定、人才培养、服务专业性提升等方面进行改进。,将生产者和消费者的距离拉近,降低信息搜索成本和交易成本,提高交易效率。电子商务的出现极大改变了消费者的消费方式,同时也极大改变了电商企业的发展方式。
(二)国际电子商务发展现状
国际电子商务以欧美国家为主流,其中欧洲大约5%的GDP由电商贡献。2012年B2C贸易额达到亿欧元,其中为欧盟所创造。2016年欧洲电商销售额增长近15%,达到5300亿欧元,占全球电商销售额30%。美国电子商务市场规模约占全球的1/3,亚马逊净销售额由2001年的25亿美元增加到2016年的437亿美金。
电子商务在非洲同样发展迅速,埃及2012年已经有超过20%的网民在进行网购,同年尼日尼亚已经建立了一个被称之为“非洲亚马逊”的购物网站Jumia,2013年“非洲版阿里”Kaymu开启运营,2014年由中国人创建的非洲第二大电子商务平台Kilimall正式上线。
环顾全球,电子商务已经在世界的各个角落生根发芽,触及到不同国家、不同种族生活的各个方面,世界正在建立起一张由电子商务搭建的巨型的网,从真正意义上实现了贸易的全球化。电子商务的发展少不了中国的身影,某种程度上中国已经在引领电商市场,中国企业向世界提供的产品和中国消费者对世界范围内产品的消费都形成了巨大规模。中国十几亿人口中互联网用户于2017年6月份达到亿,互联网普及率达到,2017年上半年网络购物用户规模达到亿,较上年增长。2016年中国进出口跨境电商整体交易规模达到万亿元,其中零售方面以天猫国际(占比)、京东全球购(占比)、唯品国际(占比)、聚美优品(占比)、网易考拉(占比)、小红书(占比)等为主要代表。2017年“双11”期间,网易考拉海购对外宣布其当年“双11”销售额达到2016年的4倍,28分钟之内就已经达到2016年“双11”全天的销售额。
因此可以认为,电子商务大发展背景下的中国正在逐渐改变着世界范围消费者的消费方式,中国逐渐成为电子商务国际贸易的引领者。随着电子商务的不断发展与进步,中国的消费者能够及时便捷购买海外产品,而国际消费者也能及时获得来自中国的产品。一方面,电子商务背景下,信息搜索成本大幅度降低,消费者能够及时从网络 渠道 获得相应的产品信息和商业信息,进而快速做出决策;另一方面,电子商务虽非中国首创,但却在中国发展壮大,并逐渐成为国际的引领者,这对中国而言是一次重大的机遇。
二、电子商务是新时代国际贸易的“贸易中介”
(一)电子商务成为一种“贸易中介”
在传统国际贸易模式下,不同交易主体之间的信息传递效率低、成本高,很容易发生信息不对称风险,交易对手之间的信任感不高。然而在电子商务时代,作为硬件的计算机和作为软件的电子商务系统共同构成了现代国际贸易的基础设施,成为这个时代乃至今后发展的重要方向,也是国际贸易进一步发展的必然路径。电子商务对国际贸易方式、贸易主体等都产生了重大冲击,电子商务改变了国际贸易的商品结构、交易结构及主体结构等内部结构(王丹丹,2016)。电子商务具有交易技术化、虚拟化、智能化、全球化的特点(樊茂勇、王海东,2001),能够实现对超大量信息的高速处理和计算,能够在极端复杂的环境中迅速寻找到最佳解决方案,使得交易效率大幅度提升。因此会发现,在跨境的两个交易主体之间,电子商务就如同一座“桥梁”将供给方和需求方联系起来,发挥着信息中介、产品中介、服务中介,乃至交易中介和结算中介的作用,共同构成了国际贸易中必不可少的贸易中介这一角色。
(二)贸易中介与信用中介
电子商务不仅扮演了贸易中介角色,更重要的是基于电子商务活动建立起了一个系统性的商业生态环境。电子商务将生产者到消费者全流程进行资源整合,融合了商业和金融,既有传统金融业务,同时又融入了新兴的金融科技技术。在生态化的电商系统中,电子商务平台提供的不仅是产品和服务,同时提供金融服务,甚至形成了闭环的信用交易系统,深度契合了当前的区块链概念。
传统金融思维中,货币或者代表产品价值的等价物脱离产品和服务而存在,具备价值储藏等功能,随着现代金融科技的不断发展,金融逐渐回归本质,摆脱对货币的依赖。电子商务将会成为构建新型信用交易的重要场景,闭环下的交易建立在具有实力保障的电商平台基础之上,衍生出一系列的信用交易方式,也即意味着贸易中介某种程度上演变成了信用中介,市场中此种模式已经有所实践。电子商务对国际贸易的影响机制国际贸易可以调节国内生产要素的利用率,改善国际间的供求关系,包括进口贸易和出口贸易,这其中物流发挥着重要作用(张环宇,2013)。中国各类B2B、B2C模式之所以能够发展越发成熟,很大程度上得益于这些企业具有良好的物流基础设施,具备系统化的物流配送网络。电子商务在某种程度上可以理解为对产品流通和服务供给的流程再造,是对传统贸易的颠覆式改革,不仅是流通模式的变革,更是贸易思维的革新。
对于具有海量制造型企业的中国而言,市场打不开永远是发展痛点,消费者对产品多样化的需求是传统贸易模式无法及时满足的,而电子商务恰好解决了生产者和消费者的双向痛点。其核心就在于电子商务作为一种“贸易中介”将两者的信息进行快速匹配,然后借助其强大的物流网络迅速进行资金结算,快速完成交易,这是电子商务背景下国际贸易大发展的内在机理,也是中国大力发展国际贸易的重要契机。发展跨境电商贸易关键在物流。图2展示的是中国跨境贸易的两种物流模式,其中保税模式相对较为厚重,仓储、资金压力大,但国内物流效率极高;直邮模式相对轻型化,中间环节相对较少,但缺点在于物流时间较长,无法满足即时消费需求。
相比较而言,两种物流模式各有所长,适合不同的贸易需求,对于具有稳定消费周期的产品而言,保税模式更为合适,而对于不具备长时间存储且消费规律性不强的产品则直邮模式更为合适。两种模式存在的前提就在于企业具备一站式操作的能力,具备强大物流体系。结论与建议通过分析电子商务对国际贸易的影响,可以看到中国在发展电子商务方面取得的重大成就,电子商务的快速发展促使中国在国际贸易中不断取得突破。但是,在法律制度、人文环境、跨境服务专业性、通关效率等方面还存在各类较为明显的问题,对进一步发展国际贸易产生一定程度上的阻碍。此外,电子商务在中国国际贸易发展过程中也存在企业缺乏现代电子商务理念、电子商务环境不完善、技术支撑不足等问题。因此,应当有必要从法律法规制定、人才培养、服务专业性、物流网络优化等方面进行改进。
第一,健全相关法律体系。
法律法规体系的健全主要从国内国际两个角度展开,国内需要继续完善有关电子商务领域的法规制定,明确厂商、消费者、政府管理者等各个主体的定位,对各个主体的权利和义务进行清晰划分,充分保障各方合法权益。国际层面,一方面积极争取国际规范制定的话语权,为保护本国利益进行努力,另一方面则是企业层面、消费者层面对国际贸易法规的掌握与应用,避免各类贸易摩擦的出现。
第二,加强人才队伍建设。
电子商务的快速发展对人才素质提出更高要求,对具备跨境贸易背景的人才需求很大。特别是在当前科学技术与商业活动日渐融合的大背景下,具备优秀的跨界能力的人才将会是未来人才竞争的核心。人才队伍的建设一方面依靠企业的自主培养,依赖于市场的有效需求,另一方面则需要改变中国现有的高等 教育 模式,设置更加贴合实际的现代教育体系,从师资配备、设备引进到课程设置,资源配置应当更加注重 社会实践 。
第三,提升企业国际贸易服务的专业性。
虽然中国电子商务发展十分迅速,涌现出阿里巴巴、京东、苏宁等一批优秀商贸型企业,但更多的则是规模较小、服务水平相对较低的中小型企业,使得中国电子商务整体服务专业性较差。如果要实现中国电子商务的可持续发展,推动中国跨境贸易在国际竞争中不断进步,就必须提升企业跨境服务的专业水准,包括物流配送、资金结算、经营管理、 市场营销 等多个方面
参考文献:
1.茹玉骢,李燕.电子商务、贸易中介与国际贸易发展:一个文献综述[J].浙江社会科学,2014
2.赵武.电子商务对我国国际贸易的影响及应用研究[J].改革与战略,2016,32(1)
3.孙浦阳,张靖佳,姜小雨.电子商务、搜寻成本与消费价格变化[J].经济研究,2017(7)
4.王丹丹.电子商务时代我国国际贸易结构优化与重塑[J].商业经济研究,2016(4)
5.樊茂勇,王海东.电子商务对国际贸易的影响[J].国际贸易问题,2001(11)
6.张环宇.电子商务对国际贸易的影响测度及方式创新[J].商业经济研究,2013(8)
相关 文章 :
1. 电子商务论文的范文
2. 关于电子商务类的毕业论文
3. 关于电子商务毕业论文范文
4. 浅谈计算机信息安全与网络管理的论文
5. 电子商务自荐信范文
6. 电子商务学习总结
7. 电子商务运营管理自考本科论文
西文参考文献 共找到 3 条[1] Post G, Kagan A. Management tradeoffs in anti-virus strategies .Information & Management, 2000, 37(1) :13-24 . [2] Ba S, Lang K R, Whinston A B. Enterprinse decision support using Intranet technology .Decision Support System, 1997, 20(2) :99-134 . [3] Janvrin D, Morrison J. Using a structured design approach to reduce risks in end user spreadsheet development .Information & Management, 2000, 37(1) :1-12 . 中国期刊全文数据库 共找到 5 条[1] 陈仕鸿. 浅谈发展电子商务的风险及防范方法[J]. 广东财经职业学院学报, 2005,(01) . [2] 刘蕾,秦德智. 电子商务中的信任风险分析[J]. 经济问题探索, 2005,(09) . [3] 于干千,宋光兴. 旅游电子商务信任途径的构建[J]. 经济问题探索, 2005,(11) . [4] 曹莉娟. E环境下传统企业电子商务化的外部风险分析[J]. 市场周刊(理论研究), 2007,(10) . [5] 周权. 电子商务安全风险管理探析[J]. 新西部(下半月), 2008,(04) . 中国博士学位论文全文数据库 共找到 1 条[1] 熊焰. 消费者初次网络购物信任和风险问题研究[D]. 同济大学, 2007 . 中国优秀硕士学位论文全文数据库 共找到 3 条[1] 朱伟. 监理咨询企业风险管理[D]. 郑州大学, 2002 . [2] 陈应春. 面向网络化制造的入侵检测技术的研究[D]. 江苏大学, 2006 . [3] 曲涛. 传统企业发展电子商务的风险分析及对策研究[D]. 大庆石油学院, 2005 . 中国期刊全文数据库 共找到 143 条[1] 周建军,鞠方,于洁. 走近电子商务[J]. 商业研究, 2001,(11) . [2] 马敏. 浅议网络银行的营销管理策略[J]. 工业技术经济, 2001,(03) . [3] 范守荣,梁云. 发展电子商务的基础——企业内部建设[J]. 成都信息工程学院学报, 2004,(04) . [4] 袁申国. 对《电子商务》专业建设几个问题的初步探讨[J]. 广东外语外贸大学学报, 2002,(02) . [5] 陈旭. 电子商务与企业管理信息系统的构架[J]. 重庆工学院学报, 2002,(02) . [6] 刘让同. 纺织企业应加快信息化步伐[J]. 纺织导报, 2000,(06) . [7] 文继跃,常桂然. 金融信息网格[J]. 北京航空航天大学学报(社会科学版), 2006,(04) . [8] 王洪军. 网络银行的发展及风险对策思考[J]. 福建电脑, 2007,(01) . [9] 郭明华. 电子商务发展趋势展望[J]. 甘肃冶金, 2005,(04) . [10] 王震. SET中加密、签名技术的实现[J]. 常州工学院学报, 2005,(02) .
╭^^^╮ {/ o o /} ( (oo) ) ) ))
随着现代信息技术和 网络技术 的飞速发展,电子商务也在全球市场中迅速发展起来。下面是我为大家整理的电子商务 毕业 论文,供大家参考。
一、跨境电子商务的特征
跨境电子商务是国际商品贸易的一种新兴方式,即通过电子平台和跨境物流实现国家之间贸易结算和商品互通,主要分为B2C、B2B、C2C。跨境电子商务是由网络发展起来的,与物理空间相比,网络空间的虚拟性及其潜力让它与传统的国际贸易有着极大地差异
(1)在贸易环节上的差异。
在传统贸易中,信息流、资金流和物流是分离的,但是通过跨境电商平台,我们可以同时完成所有的程序。众所周知,传统企业之间的贸易存在许多问题,例如严重依赖传统的销售,买家需求信息的关闭,订单期限长,汇率风险高,利润低等。然而,跨境电子商务可以快速处理这些问题,因为在小额跨境贸易的情况下,零售部门的增加极大改变了原来的外贸 渠道 。现在的企业不仅要面对客户,而且还有个体批发商和零售商,有效地减少贸易联系和缩短价值链,为公司和客户贡献更多的利润。
(2)产业链条的差异。
中国传统贸易企业主要从事加工贸易与低附加值产品,但是通过跨境电子商务,企业可以有效地结合工贸,控制整个产业链。由于外部经济体信息的充分性,企业可以及时获得最新的工业信息甚至是竞争对手的信息,同时也包括在使用跨境电子商务平台过程中外国居民的消费习惯。
(3)产品和成本的差异。
从产品种类来看,跨境电子商务面对的消费者群体是世界各国企业单位以及个人,相对于传统贸易来说消费者群体更广泛多样。需求反作用于供给,因此跨境电子商务所提供的产品更加多样化和更具灵活性。从产品数量来看,过去传统贸易更加注重于大批量的进出口,商品重量大且数量多,而随着跨境电子商务的普及,企业逐渐向小型轻巧的商品转化。跨境电子商务可以有效地避免大批量劳动力的流失和并且可以突破地理限制帮助减少生产成本。交易范围覆盖世界各地的跨境电子商务要求企业具备很强的货物集散能力,但作为一个新兴企业要达到这一点是非常困难的。第三方物流具有经营跨境电子商务企业所不具备的规模经营优势和专业优势,使企业从物流业务获益的同时为电子商务企业提供运输、仓储和配送等服务。买家可以根据卖家提供信息来生成订单,可以选择直接批量采购,或选择先小量购买样品,再大量采购。这种线上小额批发可以与联邦快递、DHL等国际物流巨头密切合作,以网络庞大的业务量为基础,使中小企业的同等物流成本至少下降50%。
(4)在保税物流中心上的差异。
保税物流中心是一个封闭的海关监管区域。它有两种类型: A型 和 B型 。A型是经海关批准,在中国企业法人海关的监督下专门从事保税仓储物流业务。B型是经海关批准的一个集中监管领域,由中国境内一家企业法人经营,有许多企业进入并从事保税仓储物流业务。保税物流中心有保税仓储、简单加工、全球采购、国际运输业务,港口,出口退税、物流信息处理、装卸、物流服务等功能。这些功能有利于解决小额跨境电子商务正在面临的问题。
二、建立保税物流中心的必要性
(一)小额跨境电子商务正在面临的问题。
跨境电子商务的快速发展也伴随着许多的缺点。在这篇 文章 中,我想讨论三个点:跨境物流发展缓慢,非法税收返回和结汇,跨境信贷和纠纷处理。
(1)跨境物流发展缓慢。
正如我们所知,跨境电子商务的特点是小订单,多批次和采购时间短。它有高需求的物流,所以主要采用国际快递等国际小包裹的中国邮政物流,例如DHL、FedEx、UPS、TNT等,但这也往往意味着物流成本的提高。因为服务质量和成本之间的矛盾突出,因此我们必须结合成本、速度、安全和消费者的体验跟踪商品来选择跨境物流。如果我们只考虑成本,它将导致速度缓慢并且会延长交货时间,降低客户的满意度。如果我们购买服务质量简单,很难承担成本,甚至造成损失。因此,我们可以看到,跨境物流无法匹配跨境电子商务的快速发展。
(2)非法税收返回和结汇。
如今,一方面由于以快件为主要方式的跨境电子商务难以提供报关单,所以许多商家无法缴纳关税,当快递公司集中关税,业主只能获得一个物流运输单而没有相关声明作为法律文件,所以公司不能解决外国货币也收不到出口退税,从而限制了跨境电子商务的进一步发展。另一方面,因为跨境电子商务需要网络平台进行信息的传递与贸易,因此对于交易双方的具体交易情况税务机关是无法完全了解到的。这不仅容易增大纳税者违反税法的可能性,也容易促使税收的来源和扣缴的管理监控手段失效,再加上在税收领域上严重滞后的征管技术,使得依法征税的实施举步维艰。据我国现行政策,国外买家支付的款项只能通过个人储蓄账号结汇,但是我国限制个人结汇每年最高为5万美元,导致一些出口企业借用亲属账户进行结汇或者通过地下钱庄将外汇兑换成人民币,还有一种方式是通过第三方服务商,外贸企业在香港等离岸地区注册一个离岸账户把外汇转汇给服务商的离岸账户,然后服务商在国内按当日汇率把外汇转化为人民币给外贸企业,无论哪种结汇方式,都不算是正规的渠道,存在极大的风险。
(3)跨境信贷和纠纷处理。
由于不同国家和 文化 之间语言、时差、沟通方式和购物习惯的差异,相对于国内电子商务,跨境电子商务的买家和卖家之间的信息不对称更加严重。一方面,外国客户的下完订单后,他们必须首先支付给卖方,但当时他们仅仅通过在线照片和描述根本无法了解产品的真正质量,所以很难准确地评估卖方信贷。另一方面,卖方也很难判断客户的信用和消费能力,因为外国消费者在收到商品后可以选择用信用卡支付或由于种种原因拒绝支付,而此时卖方将承担巨额的物流成本和资本支出。因为不透明的信息,买家和卖家没有办法相信彼此,区分真假,因此像支付宝等类似的第三方平台应运而生,但是这种不信任仍然严重阻碍了跨境电子商务进一步的发展。
(二)保税物流中心的革新。
(1)降低物流成本,缩短运输时间。
正如我们上面所讨论的,我们可以知道,跨境电子商务物流成本高制约着小订单的交易往来,但是在专业的保税物流中心,这些小订单将被整合和集中分配到大袋子里,然后根据目标分类。到货后,工人们将拆卸和分发到最终买家,实现门到门交货,有效地解决了高成本的问题。
(2)克服出口退税的困难。
大多数企业申请小跨境电子商务时的出口产品主要采用包裹和快递,不能获得大量商品的退税。然而,在专业的保税物流中心,它将提供清关公司的一系列服务,解决返利结算的困难。
(3)解决信息不对称的问题。
与国内贸易相比,国际贸易的商品流通信息很难获得,但保税物流中心可以通过使用现代技术帮助解决这个问题,提高物流效率。
三、小跨境电子商务与保税物流中心的结合
虽然世界上大多数的国家受2008年金融危机影响,中国也不例外,但是我们的经济依然以每年7%的速度增加。截至目前,08年金融危机后我国的进出口贸易仍然保持迅速增长的势头。因此我们可以得出结论,进出口贸易对中国将产生深远的影响,这是一个巨大的市场,吸引着大量投资者和商人和资本。从这个方面来看,将小额跨境电子商务与保税物流中心相结合使小额跨境电子商务更能得到肯定。同时,我国在政策、交通、产业链和税收上所采取的 措施 也有利于小额跨境电子商务与保税物流中心的结合。
(一)国家政策支持。
政策上,为了提高利用保税物流中心的小额跨境电子商务,我国新增了一些规定。例如,公司可以在当地海关的保税物流中心直接清关。国内货物进入保税物流中心后可以作为出口货物可享受退税。当外国货物进入保税物流中心,海关给予保税,而当保税物流中心的货物销往国内,公司可以办理进口清关程序。在保税物流中心的商品可以在企业的保税物流中心、保税中心和保税仓库之间运输,储存,装卸和分配,使得保税物流中心的小跨境电子商务能有更远的发展。
(二)愈趋便利的交通。
交通上,我国许多地区如福建省,河南省,上海等都设立了保税物流中心。在这些地区,他们的交通工具囊括火车,海上和空中。以福建的平潭为例,平潭已形成一个立体交通系统---海,公路和航空。第一,“海峡船”和“丽娜船”开启了从平潭到台湾的通道。然后,陆路交通逐渐改善与平潭大桥,公路从玉溪到平潭二桥。最后,在平潭的第二跨海大桥一直延伸到平潭内陆。在“第十二五”期后,平潭将纳入“一小时经济圈”,促进跨境电子商务发展迅速。
(三)产业链的延长。
产业链上,为完善保税物流中心的产业关联,最初的措施是申请延长产业链的项目。高技术总是跟着产业链长度。因此,一些高值和光产品的整个制造过程可分为人工和制造线。例如,在长沙保税物流中心,生产电脑主板,试图购买电容,在中东地区的集成电路和 其它 配件,延长产业链,扩大市场。如前所述,跨境电子商务的各种商品的流行,如果保税物流中心可有效地提高产业关联,可适应跨境电子商务更迅速。同时,本地的企业最重要的任务是吸收新技术,使它更好配套保税物流中心的跨境电子商务的发展。政府可以鼓励外国企业参与,通过信息交流和与国外企业合作解决技术问题。
(四)出口退税的增加。
税收上,我们的国家正在努力减少税收或给予出口退税以促进发展。因此,如何弥补资金缺口是政府也是影响出口退税制度不完善的一个大问题,损害了保税物流中心和跨境电子商务的链接。在这里,有关专家建议三措施来处理这个问题。首先,增加当地的税收来填补中央的缺口。其次,平衡地方税,这意味着保持相同的税。再次,降低税收,甚至为零的地方税。
一、面向职业 教育 的高校电子商务专业人才培养现状及问题
1.专业培养定位模糊
目前,大多数高校对电子商务人才的定位较为宽泛,培养模式大多互相借鉴,没有形成自身特色。尤其是面向职业教育改革的这部分高校,专业的涉及面非常广,既包含管理、商务类的基本知识,又具有计算机、网络技术的基本能力,希望培养“万能型”人才。然而培养方向的不明确,导致其电子商务毕业生在理论研究方面,无法与知名高校毕业生抗衡;在实践操作方面,又远远不及大专院校毕业生。
2.实践体系建设不全面
未来的职业教育将更专注于学生的职业素质和技能,因此对于电子商务人才的培养就应侧重于学生实践能力的提升。目前,已有部分高校建立了电子商务实验室,在理论讲授的同时,也注重实践教学。但总体上看,实验室设备较为陈旧,模拟软件的功能和操作单一,无法逼真地体现电子商务企业实际情况,更无法满足创新创业型电子商务人才的培养。
3.课程设置不合理
大多数高校仍认为电子商务是“电子”与“商务”的结合,因此在课程设置上针对性不强,基本涵盖管理类和计算机类的基础课程,学生掌握的知识宽泛但不精,一旦踏入工作岗位,依然无法胜任。此外,电子商务发展日新月异,新的知识、技术和理念都需要学生掌握,而许多高校的课程设置经研究制定后很难轻易改变,无法及时更新,导致电子商务毕业生不能很好跟上电商发展的步伐。
4.师资力量薄弱
我国电子商务专业的设立时间较短,导致面临职业教育改革的这部分高校中,真正电子商务专业出身的师资很少,且大多数为高校毕业进入高校的模式,限于理论研究,缺乏实际企业电子商务管理 经验 。随着教师实战经验的不足,将必然对实践课程的开展产生一定的影响。
二、面向职业教育的高校电子商务专业人才培养对策和建议
1.增强电子商务人才培养目标的针对性
针对当前社会对电子商务人才需求的特点,面向职业教育改革的应用型高校应合理制定电商人才培养目标,采用“多方向发展,重应用培养”的培养思路,将电子商务专业细分为电子商务系统建设、电子商务物流、网络营销及跨境电子商务等多个方向,在设置基础课必修的同时,让学生根据自身特点和 爱好 ,进行其他专业课程的选择,满足学生的个性化发展。
2.注重电子商务人才实践教学体系的设立
目前,对应用型电子商务人才的培养,应以“创新”和“创业”作为主线。高校可以根据目前电子商务企业实际应用需求,制定一套符合职业教育型大学电子商务专业人才培养目标的实践教学体系模型。该模型应包括实验教学、竞赛实战、实习实训等内容,建立校内电子商务实验室和校外电子商务实践基地,及时更新电子商务实践教学软件,并配合实践教学考核机制,充分锻炼学生的实践应用能力和创新创业能力。
3.加强师资队伍的建设
教师队伍的建设,是电子商务人才培养的源泉,也是保障电子商务教学质量的关键。对于职业教育型高校师资队伍的建设,可以从以下几方面着手:
(1)构建人才激励机制,引进高职称电子商务教师作为学科带头人;
(2)与本地电子商务企业达成合作关系,安排教师到企业锻炼、实习,参与企业电子商务运营管理工作
(3)鼓励教师参与电子商务实验室建设,定期参与实践课程探讨研究活动,并参加职业技能培训和考证;
(4)积极引进电子商务企业中高层人员,兼职或全职担任实践课程指导教师。
4.紧抓电子商务发展的新趋势
随着电子商务环境日益成熟,新的电子商务模式、技术不断涌现。为了使学生能够紧跟电子商务发展的步伐,高校在教育教学和实践体系中应灵活融入这些新的知识和技术,要求教师定期开设例如移动电子商务、物联网、互联网金融、大数据等相关课程,提高学生对电子商务新趋势的把握,提升竞争力。
三、 总结
电子商务的快速发展,必然带来电子商务人才需求的激增,同时也给电子商务人才提出了更高的要求。恰逢国家教育部进行职业教育改革的转折点,高校应牢牢把握这个关键时期,以“创新、创业”为主线,明确电商人才的培养目标,系统设置课程体系,加强师资建设,注重实践教育,致力于培养具有电子商务职业素质和职业技能的应用型人才。
一个字抄,两个字全抄..................................曾经的电子商务专业毕业生
1.网络广告的形式有哪些?搜索引擎(例如百度,谷歌)电子商务平台(阿里巴巴)直达网址 网络实名导航广告赞助广告横幅式广告Horizontal Banner竖式旗帜/网络门户Vertical Banner/Portals按钮式广告(Buttons/Icon)�邮件列表广告(Direct Marketing)墙纸式广告(Wallpaper)�电子邮件式广告(E-Mail)竞赛和推广式广告(Contests & Promotions)�互动游戏式广告(Interactive Games)弹出广告图标广告(Logo)�文字链接(Text Link)使用新闻组(Newsgroup)�网上问卷调查(Questionnaire)�关键字广告(Key Words Ads)专栏支持(Content Sponsorship)�链接发布者(Anchor Sponsorship)�网上商店(Shopping)�FLASH2.网络广告的优势。劣势分析3.网络广告的受众人群,企业的认可度4.网络广告的价格,投入产出比,性价比,能带来的效果分析······