电子商务安全管理制度Word格式.docx
《电子商务安全管理制度Word格式.docx》由会员分享,可在线阅读,更多相关《电子商务安全管理制度Word格式.docx(11页珍藏版)》请在冰豆网上搜索。
4.不可修改性
交易的文件是不可被修改的,如上例所举的订购黄金。
供货单位在收到订单后,发现金价大幅上涨了,如其能改动文件内容,将订购数1吨改为1克,则可大幅受益,那么订货单位可能就会因此而蒙受损失。
因此电子交易文件也要能做到不可修改,以保障交易的严肃和公正。
(石家庄新华电脑学校)
二、河北电脑培训电子商务安全交易的有关标准和实施方法
1.早期曾采用过的方法
河北电脑培训在电子商务实施初期,曾采用过一些简易的安全措施,这些措施包括:
__部分告知(PartialOrder):
即在网上交易最关键的数据如信用卡号码及成交数额等略去,然后再用电话告之,以防泄密。
__另行确认(OrderConfirmation):
即当在网上传输交易信息之后,应再用电子邮件对交易作确认,才认为有效。
__在线服务(OnlineService):
为了保证信息传输的安全,用企业提供的内部网来提供联机服务。
以上所述的种种方法,均有一定的局限性,且操作麻烦,不能实现真正的安全可靠性。
2.近年推出的安全交易标准
近年来,IT业界(石家庄新华电脑学校)与金融行业一起,推出不少更有效的安全交易标准。
主要有:
__安全超文本传输协议(S-HTTP):
依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。
__安全套接层协议(SSL:
SecureSocketsLayer):
由Netscape公司提出的安全交易协议,提供加密、认证服务和报文完整性。
SSL被用于NetscapeCommunicator和MicrosoftIE浏览器,用以完成需要的安全交易操作。
__安全交易技术协议(STT:
SecureTransactionTechnology):
由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。
Microsoft将在InternetExplorer中采用这一技术。
__安全电子交易协议(SET:
SecureElectronicTransaction):
1995年,信用卡国际组织、资讯业者及网络安全专业团体等开始组成策略联盟,共同研究开发电子商务(ElectronicCommerce)的安全交易。
1996年6月,由IBM,MasterCardInternational,VisaInternational,Microsoft,Netscape,GTE,VeriSign,SAIC,Terisa共同制定的标准SET正式公告,涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。
这一标准被公认为全球网际网络的标准,其交易形态将成为未来的规范。
三、河北电脑培训常用的安全电子交易手段
在近年来发表的多个安全电子交易协议或标准中,河北电脑培训新华采纳了一些常用的安全电子交易的方法和手段。
典型的方法和手段有以下几种:
1.密码技术
采用密码技术对信息加密,是最常用的安全交易手段。
石家庄新华电脑学校在电子商务中获得广泛应用的加密技术有以下两种:
(1)公共密钥和私用密钥(publickeyandprivatekey)这一加密方法亦称为RSA编码法,是由Rivest、Shamir和Adlernan三人所研究发明的。
它利用两个很大的质数相乘所产生的乘积来加密。
这两个质数无论哪一个先与原文件编码相乘,对文件加密,均可由另一个质数再相乘来解密。
但要用一个质数来求出另一个质数,则是十分困难的。
因此将这一对质数称为密钥对(KeyPair)。
在加密应用时,某个用户总是将一个密钥公开,让需发信的人员将信息用其公共密钥加密后发给该用户,而一旦信息加密后,只有用该用户一个人知道的私用密钥才能解密。
具有数字凭证身份的人员的公共密钥可在网上查到,亦可在请对方发信息时主动将公共密钥传给对方,这样保证在Internet上传输信息的保密和安全。
(2)数字摘要(digitaldigest)这一加密方法亦称安全Hash编码法(SHA:
SecureHashAlgorithm)或MD5(MDStandardsforMessageDigest),由RonRivest所设计。
该编码法采用单向Hash函数将需加密的明文摘要成一串128bit的密文,这一串密文亦称为数字指纹(FingerPrint),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。
这样这摘要便可成为验证明文是否是正确的了。
上述两种方法可结合起来使用,数字签名就是上述两法结合使用的实例。
2.数字签名(digitalsignature)
在书面文件上签名是确认文件的一种手段,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;
二是因为签名不易仿冒,从而确定了文件是真的这一事实。
数字签名与书面文件签名有相同之处,采用数字签名,也能确认以下两点:
__信息是由签名者发送的。
__信息自签发后到收到为止未曾作过任何修改。
这样数字签名就可用来防止电子信息因易被修改而有人作伪;
或冒用别人名义发送信息;
或发出(收到)信件后又加以否认等情况发生。
数字签名采用了双重加密的方法来实现防伪、防赖。
其原理为:
(1)被发送文件用SHA编码加密产生128bit的数字摘要(见上节)。
(2)发送方用自己的私用密钥对摘要再加密,这就形成了数字签名。
(3)将原文和加密的摘要同时传给对方。
(4)对方用发送方的公共密钥对摘要解密,同时对收到的文件用SHA编码加密产生又一摘要。
(5)将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。
如两者一致,则说明传送过程中信息没有被破坏或篡改过。
否则不然。
3.数字时间戳(digitaltime-stamp)
交易文件中,时间是十分重要的信息。
在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。
在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS:
digitaltime-stampservice)就能提供电子文件发表时间的安全保护。
数字时间戳服务(DTS)是网上安全服务项目,由专门的机构提供。
时间戳(time-stamp)是一个经加密后形成的凭证文档,它包括三个部分:
1)需加时间戳的文件的摘要(digest),2)DTS收到文件的日期和时间,3)DTS的数字签名。
时间戳产生的过程为:
用户首先将需要加时间戳的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。
由Bellcore创造的DTS采用如下的过程:
加密时将摘要信息归并到二叉树的数据结构;
再将二叉树的根值发表在报纸上,这样更有效地为文件发表时间提供了佐证。
注意,书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由认证单位DTS来加的,以DTS收到文件的时间为依据。
因此,时间戳也可作为科学家的科学发明文献的时间认证。
4.数字凭证(digitalcertificate,digitalID)
数字凭证又称为数字证书,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。
在网上的电子交易中,如双方出示了各自的数字凭证,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。
数字凭证可用于电子邮件、电子商务、群件、电子基金转移等各种用途。
数字凭证的内部格式是由CCITTX.509国际标准所规定的,它包含了以下几点:
__凭证拥有者的姓名,
__凭证拥有者的公共密钥,
__公共密钥的有效期,
__颁发数字凭证的单位,
__数字凭证的序列号(Serialnumber),
__颁发数字凭证单位的数字签名。
河北电脑培训数字凭证有三种类型:
__个人凭证(PersonalDigitalID):
它仅仅为某一个用户提供凭证,以帮助其个人在网上进行安全交易操作。
个人身份的数字凭证通常是安装在客户端的浏览器内的。
并通过安全的电子邮件(S/MIME)来进行交易操作。
__企业(服务器)凭证(ServerID):
它通常为网上的某个Web服务器提供凭证,拥有Web服务器的企业就可以用具有凭证的万维网站点(WebSite)来进行安全电子交易。
有凭证的Web服务器会自动地将其与客户端Web浏览器通信的信息加密。
__软件(开发者)凭证(DeveloperID):
它通常为Internet中被下载的软件提供凭证,该凭证用于和微软公司Authenticode技术(合法化软件)结合的软件,以使用户在下载软件时能获得所需的信息。
上述三类凭证中前二类是常用的凭证,第三类则用于较特殊的场合,大部分认证中心提供前两类凭证,能提供各类凭证的认证中心并不普遍。
5.河北电脑培训:
认证中心(CA:
CertificationAuthority)
在电子交易中,无论是数字时间戳服务(DTS)还是数字凭证(DigitalID)的发放,都不是靠交易的双方自己能完成的,而需要有一个具有权威性和公正性的第三方(thirdparty)来完成。
认证中心(CA)就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。
认证中心通常是企业性的服务机构,主要任务是受理数字凭证的申请、签发及对数字凭证的管理。
认证中心依据认证操作规定(CPS:
CertificationPracticeStatement)来实施服务操作。
目前在全球处于领导地位的认证中心是美国的VeriSign公司,创建于1995年4月,总部在美国加州的MountainView。
该公司所提供的数字凭证的服务已遍及全世界50个国家,接受该公司的服务器数字凭证的Web站点服务器已超过45000个,而使用该公司个人数字凭证的用户已超过200万名。
上述五个方面河北电脑培训新华——石家庄新华电脑学校介绍了安全电子交易的常用手段,各种手段常常是结合在一起使用的,从而构成安全电子交易的体系。
关于电子商务安全管理体制的探讨
当前,我国电子商务建设中以技术为主的安全管理体制,忽视了人员对电子商务的安全影响。
但近几年案例表明:
企业缺乏针对内部人员的系统安全管理体制,是导致网络交易过程中泄密和企业利益损失的主要原因。
__重点分析了企业在电子商务安全管理体制方面存在的不足和原因,提出了一些加强人员安全管理的建议,为我国电子商务企业的安全管理提供借鉴。
1、问题的提出
作为一种新的经济模式,电子商务以高效、便捷、方便的优势和全新的企业经营理念、经营手段、经营环境吸引着广大用户,为世界经济赋予了无限的发展空间。
随着电子商务应用范围的日益扩大,针对电子商务的各种犯罪活动也19益猖獗。
国内外调查显示…,52.26%的用户最关心的是网上交易的安全可靠性,超过6O%的人由于担心电子商务的安全问题而不愿进行网上购物。
加强电子商务实施过程中的`安全管理已经成为促进电子商务高速发展的重要因素。
电子商务的安全,可分为技术安全和管理安全两种类型。
所谓技术安全,是指通过各种黑客手段窃取企业的用户lD、密码以及相关的机密文件,甚至网络银行帐号、密码等,给企业造成经济损失。
而管理安全则是指缺乏对参与电子商务过程中各个环节的人员的管理预防手段,最终导致的电子商务安全事件。
从美国的花旗银行和中央情报局到中国的某家国有商业银行,都有过由于内部人员的违规和违法操作,导致数据被篡改和泄密的事件发生。
近几年的电子商务安全案件表明:
人员是网上交易安全管理中的最薄弱的环节,近年来我国计算机犯罪大都呈现内部犯罪的趋势,有的竞争对手利用企业招募新人的方式潜入对方企业,或利用不正当的方式收买企业网络交易管理人员。
有的电子商务从业人员从本企业辞职后,迅速把客户资料、产品研发成果等机密出售给竞争对手,给企业带来了不必要的经济损失。
2、原因分析
电子商务信息安全已经引起很多企业的重视,但大多数企业往往侧重于加强技术措施,如购买先进的防火墙软件,采用更高级的加密方法等,很多企业认为:
员工泄密的安全事故只是偶然现象,很少从人员管理的角度来探讨出现这些事故的根本原因。
“重技术、轻管理”是当前很多电子商务企业的通病。
由于管理手段不到位,很多先进的安全技术无法发挥应有的效能。
之所以出现上述问题,主要有以下原因:
首先,很多企业管理高层对人员管理在信息安全中的地位认识不足。
大多数企业将电子商务网络作为一项纯粹的技术工程来实施,企业内部缺乏系统的安全管理策略,只是被动的使用一些技术措施来进行防御,因此电子商务过程中一旦出现突发性事件,往往造成很大的经济损失。
现实中没有一个网络系统是完美无缺的,不安全因素随时存在。
因此,安全管理措施必须渗透到系统的每一个环节和企业组织的~个层面,只有构建一个人与技术相结合的安全管理体系,才能确保整个电子商务系统得安全。
企业没有从整体上、有计划地考虑信息安全问题。
企业各部门、各下属机构都存在“各自为政的局面,缺少统一规划、设计和管理信息安全强调的是整体上的信息安全性,而不仅是某一个部门或公司的信息安全。
而各部门、各公司又确实存在个体差异,对于不同业务领域来说,信息安全具有不同的涵义和特征,信息安全保障体系的战略性必须涵盖各部门和各公司的信息安全保障体系的相关内容。
缺少信息安全管理配套的人力、物力和财力。
人才是信息安全保障工作的关键。
信息安全保障工作的专业性、技术性很强,没有一批业务能力强,且具有信息网络知识、信息安全技术、法律知识和管理能力的复合型人才和专门人才,就不可能做好信息安全保障工作。
应该从信息安全建设和管理对信息安全人才的实际需求出发,加快信息安全人才的培养。
企业对员工的信息安全教育不够。
员工的信息安全意识薄弱,9O%的安全事故是由于人为疏忽所造成。
如有些企业不限制内部人员使用各种高科技信息载体,如U盘、移动硬盘以及笔记本等移动办公设备。
3、加强电子商务安全管理的建议
电子商务信息安全管理实践表明,大多数安全问题是由于管理不善造成的。
安全管理是一项系统工程,不仅涉及到企业的组织架构、信息技术、人员素质等各个方面,还牵扯到国家法律和商业规则。
企业内部存在着诸多影响信息安全的因素:
改变lT系统不等于改变企业的信息安全管理,要使企业信息尽可能的安全,必须在技术投人的基础上融人人在管理方面的智慧i同时,不仅要防外,更要防内,即对组织内部人员的管理。
信息安全问题的解决需要技术,但又不能单纯依靠技术。
整个电子商务的交易过程,是人与技术相互融合的过程,如何使管理与技术相得益彰十分重要。
“三分技术,七分管理”阐述了信息安全的本质。
电子商务的安全管理,就是通过一个完整的综合保障体系,来规避信息传输风险、信用风险、管理风险和法律风险,以保证网上交易的顺利进行。
网上交易安全管理,应采用综合防范的思路,一是技术方面的考虑,如防火墙技术、网络防毒、信息加密、身份认证、授权等,但必须明确,只有技术措施并不能完全保证网上交易的安全。
二是必须加强监管,建立各种有关的合理制度,并加强严格监督,如建立交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。
为了加强企业电子商务的信息安全,我们提出如下建议:
(1)提高网络安全防范意识。
现在许多企业没有意识到互联网的易受攻击性,盲目相信国外的加密软件,对于系统的访问权限和密钥缺乏有力度的管理。
这样的系统一旦受到攻击将十分脆弱,其中的机密数据得不到应有的保护。
据调查,目前国内90%的网站存在安全问题,其主要原因是企业管理者缺少或没有安全意识。
某些企业网络管-理-员甚至认为其公司规模较小,不会成为黑客的攻击目标,如此态度,网络安全更是无从谈起。
应该定期由公司或安全管理小组承办信息安全讲座,只有提高网络安全防范意识,才能有效的减少信息安全事故的发生。
(2)建立电子商务安全管理组织体系。
一个完整的信息安全管理体系首先应建立完善的组织体系。
即建立由行政领导、IT技术主管、信息安全主管、本系统用户代表和安全顾问组成的安全决策机构。
其职责是建立管理框架,组织审批安全策略、安全管理制度,指派安全角色,分配安全职责,并检查安全职责是否已被正确履行,核准新信息处理设施的启用、组织安全管理专题会等。
还应建立由网络管-理-员、系统管-理-员、安全管-理-员、用户管-理-员等组成的安全执行机构。
该机构负责起草网络系统的安全策略、执行批准后的安全策略、日常的安全运行和维护、定期的培训和安全检查等。
如果需要,还可建立安全顾问机构。
安全顾问机构可聘请信息安全专家担任系统安全顾问,负责提供安全建议,特别是在安全事故或违反安全策略事件发生后,可以被安全决策机构指定负责事故(事件)调查,并为安全策略评审和评估提供意见。
(3)制定符合机构安全需求的信息安全策略。
电子商务交易过程中,需要明确的安全策略主要包括客户认证策略、加密策略、日常维护策略、防病毒策略等安全技术方案的选择。
安全执行机构应根据本信息网络的实际情况制定相应的信息安全策略,策略中应明确安全的定义、目标、范围和管理责任,并制定安全策略的实施细则。
安全策略文档要由安全决策机构审查、批准,并发布和传达给所有的人安全策略还应由安全决策机构定期进行有效性审查和评估:
在发生重大的安全事故、发现新的脆弱性、组织体系或技术上发生变更时,应重新进行安全策略的审查和评估。
(4)人员安全的管理和培训
参与网上交易的经营管理人员在很大程度上支配着企业的命运,他们承担着防范网络犯罪的任务。
而计算机网络犯罪同一般犯罪不同的是,他们具有智能性、隐蔽性、连续性、高效性的特点,因而,加强对有关人员的管理变得十分重要。
首先,在人员录用时应做好人员鉴别,人员录用或人员职位调整时,一般要签署保密协议。
当人员到期离开或协议到期、工作终止时,要审查保密协议。
其次对有关人员进行上岗培训,建立人员培训计划,定期组织安全策略和规程方面的培训。
第三,落实工作责任制,在岗位职责中明确本岗位执行安全政策的常规职责和本岗位保护特定资产、执行特定安全过程或活动的特别职责,对违反网上交易安全规定的人员要进行及时的处理。
第四,贯彻网上交易安全运作基本原则,包括职责分离、双人负责、任期有限、最小权限、个人可信赖性等。
(5)增强法律意识,促进电子商务立法
面对电子商务这种新型的贸易形式,我国目前尚无专门法规可依,使得部分违法犯罪人员没有得到应有的惩罚。
近几年里,国家加强了这方面的投入。
在全国性的立法文件中,《合同法》的部分条款可以看作是针对电子商务的立法。
此外,广东省制定的《广东省电子交易管理条例》这个地方性的法规可以看作是对加快我国电子商务立法的有益探索。
《中华人民共和国电子签名法》是对主要用于电子商务活动,电子政务等其他应用应该有新的适用法规。
尽管在电子商务信息安全立法方面取得了一些成就,但总的来说,我国的电子商务立法还很不健全,对电子商务活动的安全保护缺少直接性;
相关立法比较分散,而且效力不高;
对新出现的情况缺乏适应能力;
立法速度慢。
这些都需要电子商务企业和国家有关部门不断探索,共同促进电子商务信息安全的法制环境建设。
4、结论
快捷的电子商务在给企业带来发展机遇的同时,也使企业面临着各种安全风险。
由于缺乏对电子商务信息安全管理体制的系统认识,很多企业都把其电子商务信息安全作为一项技术工程来实施,而忽略了交易过程中,各种参与人员对安全的影响。
分析了企业在电子商务安全管理体制方面存在的不足和原因,从安全防范意识、管理组织体系、信息安全技术策略、人员管理与培训、电子商务立法等方面提出了一些加强人员安全管理的建议。
在企业走向电子商务时代,只有管理与技术并重,才能确保企业电子商务交易过程中的信息安全。
升级会员 