电子商务与金融实践报告.docx
《电子商务与金融实践报告.docx》由会员分享,可在线阅读,更多相关《电子商务与金融实践报告.docx(15页珍藏版)》请在冰豆网上搜索。
电子商务与金融实践报告
吉林省自学考试
《电子商务与金融》
实践作业
考生姓名:
考核号:
S6
准考证号:
完成日期:
考核老师:
我国电子认证应用及发展对策分析
随着互联网技术的不断发展与完善,人类进入信息化社会的步伐在深度和广度方面都在加快,引发的电子商务应用发展迅猛。
简单地讲,电子商务是指利用电子网络进行的商务活动,是利用电子化、信息化的手段,使得企业能够提高效率、降低成本,提升客户满意度,有效的增加企业的竞争力。
在开展电子商务活动同时,也遇到很多问题,例如:
身份认证,电子认证应用推广,电子认证标准等。
下面我们了解下电子认证在我国应用中的问题及发展分析情况。
一、电子认证相关概念及特征
1.1电子商务概念及分类
电子商务Electronic Commerce(EC)早在十几年前就已产生,电子数据交换(EDI)就是典型的电子商务活动。
但是当时电脑用户有限,而且网络覆盖面不广使得成本高昂,使用复杂,专业性强,以至于使用未能普及。
一直到最近两年,随着通信技术的逐渐成熟,网络用户快速成长,网上商业活动的效益日益明显,电子商务开始广受世人关注。
广义的电子商务指任何通过互联网络进行的商务活动,包括商品与服务交易、金融汇兑、网上广告或提供娱乐节目等等。
电子商务分为两类:
一类是企业与企业之间的电子商务,主要是以EDI为核心,发展上中下游企业之间信息的整合利用;另一类是企业与消费者之间的电子商务即电子商业。
电子商务管理下的流程如1.1所示:
1.1电子商务管理流程图
电子商务提供的服务
(1)售前服务。
Interet作为一个新媒体,具有“即时互动、跨越时空和多媒体展示”等特性,它强调了互动性,而且广告资料更新较快,比传统媒体的广告费用低廉。
企业可以网上主页和电子邮件在全球范围内做广告宣传。
客户可借助网上检索工具迅速地找到所需要的商品信息。
(2)售中服务。
网上售中服务主要是帮助企业完成与客户之间的咨询洽谈、网上订购、网上支付等商业过程,对于销售无形产品的公司来说,Internet上的售中服务为网上的客户提供了直接试用产品的机会。
(3)售后服务。
网上售后服务的内容主要包括解决产品使用中的问题,排除技术故障,提供技术支持,传递产品改进和升级的信息以吸引客户对产品与服务的反馈信息。
电子商务能十分方便地采用网页上的“选择”、“填空”等格式文件来收集用户对销售服务的反馈意见。
这样使企业的市场营销能形成一个封闭的回路。
网上售后服务不仅响应快、质量高、费用底,而且可以大大降低服务人员的工作强度。
电子商务分类:
企业对个人的电子商务(BtoC,BusinesstoCustomer)、企业对企业的电子商务(BtoB,BusinesstoBusiness)、企业对个人对个人的电子商务(CtoC,CustomertoCustomer)、电子政务(B2G,CustomertoGovernment)等。
1.2电子认证定义及特征
电子认证electronicauthentication。
采用电子技术检验用户合法性的操作。
其主要内容有以下3个方面:
(1)保证自报姓名的个人和法人的合法性的本人确认。
确认本人的简单方法一般有组合使用用户ID和密码,磁卡或IC卡和密码。
需要进行慎重的认证时,可利用指纹、虹膜类型等可识别人体的生物统计学技术。
(2)特别是通过电子商务进行贵重物品的交易时,保证个人或企业间收发信息在通信的途中和到达后不被改变的信息认证。
(3)数字签名。
在数字信息内添加署名信息。
电子认证的具体操作程序为:
发件人在做电子签名前,签署者必须将他的公共密钥送到一个经合法注册,具有从事电子认证服务许可证的第三方,即CA认证中心,登记并由该认证中心签发电子印鉴证明(Certificate)。
尔后,发件人将电子签名文件同电子印鉴证明一并发送给对方,收件方经由电子印鉴佐证及电子签名的验证,即可确信电子签名文件的真实性和可信性。
由此可见,在电子文件环境中,CA认证中心扮演的角色与上述传统书面文件签字(盖章)环境中的第三者(户政事务所)的角色有异曲同工之妙。
CA认证中心正起到一个行使具有权威性公证的第三人的作用。
而经CA认证机关颁发的电子印鉴证明就是证明两者之间的对应关系的一个电子资料,该资料指明及确认使用者名称及其公共密钥。
使用者从公开地方取得证明后,只要查验证明书内容确实是由CA机关所发,即可推断证明书内的公开密钥确实为该证明书内相对应的使用者本人所拥有。
如此,该公共密钥持有人无法否认与之相对应的该密钥为他所有,进而亦无法否认经该密钥所验证通过的电子签名不为他所签署。
电子认证的目的就是通过CA机关对公共密钥进行辨别和认证(包括跨国认证)以防止或减少因密钥的丢失、损毁或解密等原因造成电子文件环境交易的不确定因素及不安全性风险。
同时,认证证明书还能佐证密钥申请人的资信状况。
1.3电子认证的机构
纵观一些国家在电子认证(CA)设定的形式一般有两大类。
第一类是直接由国家有关负责部门下属单位直接设立,从事电子认证服务工作。
或者是由政府的相关部门扮演CA体系中最高一层的认证中心角色。
第二大类是由政府相关部门做出授权,规定严格的审批条件和程序签发认证证书(Certificate),同时行使监督权,以确保网络交易的安全性。
无论是哪种形式,政府扮演的角色是至关重要的。
其原因有以下几点:
1)权威性。
只有经国家主管部门授权经营的电子认证服务公司或由主管部门批发经营许可证的CA认证机关签发的电子认证证书最有权威性。
在一定意义上,这正如只有经公安部门发出的个人身份证具有绝对可靠的权威性一样。
同时,由于电子认证在网络中的应用具有跨越国界的特性,只有国家主管部门以国家名义出面介入,从而使得电子认证的效力的可靠性具有为他国承认的后果。
2)标准化。
政府主管部门可规定法律统一的技术方案以及规范不同级别的CA机关的电子认证标准及程序。
同时,政府主管机关可担当最高一级的公共密钥认证中心的角色。
这是美国各州及联邦政府以及德国等国公共密钥基础建设体系都普遍采用的一种形式。
3)可执行性
由于政府主管机关在CA认证中扮演国家的角色,因此在体系的建立,标准的设定,以及兼容跨国认证等方面具有绝对权威性及统一性的特点。
因此,在实施电子认证服务过程中,其可操作性及可执行性的特点是显而易见的。
这就避免可能由于不同标准(技术及服务两方面)的出现,从而使得电子认证变得无法实施,达不到消除网上交易缺乏安全性的顾虑的目的。
1.4电子认证机关(CA)设立的条件
CA机构申请从事电子认证服务牌照时,需满足一定的审批条件。
政府主管部门在审核及批发许可证时,除要审查申请人的硬件措施(如办公场所的选定)、软件条件(如公司中人员的技术专业知识),还要审查主体资格,承担损害赔偿的能力等多个方面。
下面简单介绍一下电子签名法规定CA提供电子认证服务的条件。
1)主体资格:
可为执业律师;在犹他州注册登记的信托机机能或保险机构;犹他州州长、州法院、市、郡等已经依法律或行政命令指定执行CA认证业务的公务人员并为该机构员工进行认证之组织;任何在犹他州取得营业许可的公司;
2)程序:
CA本身必须申请公开金钥凭证且须存放在主管机关设置或承认的公开金钥凭证资料库中以供大众检视读取;
3)公证资格:
须有公证人(anotarypublic)资格或至少聘雇一具有公证人资格之员工;
4)从业人员不得有严重犯罪前科:
所雇用的员工中不得有重大犯罪之前科或是犯有其他诈欺、虚伪陈述或欺骗之罪行;
5)专业知识:
所雇用员工必须具有执行认证业务之专业知识;
6)经营担保:
除了政府官员或机关申请经营CA业务外,其他申请者必须提供营业担保;
7)软硬件设施:
对于经营CA业务所需软硬件设施,必须对该设施拥有具有合法的权利;
8)营业场所:
必须在犹他州设有营业处所或是指定代理人代为执行业务;
9)必须遵守主管机构的所有其他规定。
1.5电子认证的效力
电子认证的效力一般通过两种途径得到保障。
第一种也是最直接的是通过立法的形式加以确认。
这主要是通过法律授权政府机关主管部门制定相应规则,从而最终达到保障电子认证的效力具有法律上的依据与保障。
美国很多州都是采取此种方式。
这主要是表现在以下几个方面:
1、以直接的立法形式明示直接承认可被接受的技术方案标准;(如美国犹他州;香港特别行政区法例等。
)
2、授权政府主管部门制定相应规则如享有颁发、或吊销CA机构从事电子认证业务许可的权力,同时对违规/违法经营操作的CA机构具有行政处罚权;
3、制定明确的设立及管理CA机构的条件及程序。
同时,在监管CA机构层面上,政府主管部门还设置所有合法登记、注册经营电子认证业务的CA机构的资料库供客户查询。
如美国犹他州法律规定,主管机构在其设置的公共密钥凭证资料库中,专门开辟一个存有所有登记注册CA机构详尽档案数据库。
其中除了一般公司信息(如公司名称、住址及电话及被授权的营业范围)外,还包括目前使用的核发认证凭证的机构有无违规经营遭到处罚的记录等等信息。
第二种方式是采取当事人之间通过协议方式来确认电子认证的效力。
在这种情形下,法律只规定原则性条文,如确认电了签名与书面签名的同等效力性,至于当事人之间如何选择技术方案以及由谁来做"第三者"--电子认证人,则由当事人之间协议确定。
在此情形下,银行,ISP公司等均可扮演电子认证的机构的角色。
但相对第一种形式,电子认证的效力就相对薄弱。
特别是发生纠纷的情况下,以及如何对抗第三人等,法院如何判定合约效力及责任归属问题,就无专门法律可依。
二、国内外电子认证应用发展及发展模式
2.1国内外的电子认证发展状况
目前,国内外电子认证服务业的主要技术是PKI。
PKI是利用公开密钥技术所构建的,解决网络安全问题,普遍使用的一种基础设施。
美国的一些学者把提供全面安全服务的基础设施,包裹软件、硬件、人和策略合称为PKI。
PKI提供了网络远景所需的四项基本安全信任服务:
身份识别和认证、机密性、完整性、不可否认性。
PKI是基础设施,在实际运作中,主要通过其核心组成部分“数字证书认证中心CA”来实现其功能。
从各国实际反战情况看为了网络空间建立同意的信任体系,一般会建立起国家PKI体系。
就一个国家而言,PKI体系的建设基本上可分为两种模式进行,即“自上而下”和“自下而上”。
“自上而下”模式指的是国家在最开始就成立专门的管理机构来负责本国的PKI建设,一般会建立起层状国家PKI体系。
首先建立国家根CA,然后由国家根CA来负责对下级CA的认证,采用这种方式的国家如加拿大、德国、韩国等。
另外一种方式建立国家PKI认可委员会,对国家的CA颁发认可证书,从而形成自上而下的国家PKI体系,采用此种的如澳大利亚。
“自下而上”模式指的是先建立起地区性和行业性CA,然后在由国家出面进行协调,通过某种方式(如桥CA技术),将各自独立的PKI联结起来,从而形成国家PKI信任体系。
采用桥CA方式建立起国家PKI体系的国家如美国和日本。
在我国,由于信息化建设起步比较晚,与国外的PKI发展状况相比,我过的PKI发展呈现出两种极端的情况:
一方面,行业性CA和区域性CA发展很快,目前已有电子认证服务许可的各类CA中心28家;另一方面,我国政府在PKI的管理方面还未形成绝对权威管理部门来负责建立全国统一的PKI体系,工业和信息化部正在规划建设国家电子政务电子认证体系(根中心模式)。
根据目前的形式来看,将来我国PKI体系的发展可能是居于应用需要的“自下而上”式和基于国家控制的“自上而下”式这两种情况并存发展的。
2.2电子认证服务应用及发展模式
PKI概念的出现是在20世纪70年代,知道20世纪80年代末期证书标准制定后,电子认证业才逐步在楼没经济发达地区孕育而生,早期专业从事PKI/CA的企业有1994年在加拿大成立的Entrust、1995年在美国成立的VeriSign等知名公司。
之后随着全球网络化的进程,我国也逐步形成了电子认证服务业的初期模式。
我国最早出现的专业电子认证服务机构是成立于1998年的北京富安电子商务安全认证有限公司及上海市数字证书中心有限公司,随后很多有独特业务代表性的电子认证服务机构相继出现与国内市场,其中有代表性的包括中国金融认证中心有限公司、天威诚信电子商务服务有限公司等。
从应用过来看,电子认证服务业的应用市场包括两大块,即PKI/CA产品市场和证书认证服务市场。
1)PKI/CA产品市场
在PKI/CA产品的国际市场中,以Entrust公司最为著名,Entrust公司拥有全球60多个国家的超过1700家客户,其中包括SWIFT、美国US银行、花旗银行、J.PMorgan银行、中国的一些商业银行、欧洲EGG银行、欧洲Lloyd’sTSB银行、加拿大皇家银行、美国美林证券等。
在我国,PKI/CA产品市场近几年增速较快,如长春吉大正元、北京信安世纪、上海格尔等公司,近几年发展都比较迅猛.
2)证书认证服务市场
在证书认证服务市场发展中,国际上呈现多元化的发展模式。
市场的一个发展方向是,各个国家和地区大力推动本国本地区政府对公众的认证服务,如欧盟一些国家主要推动的EID应用。
EID卡是一种含有电子签名的智能卡,通常含有两张证书,分别用于身份识别和电子签名。
欧盟各国政府在推动EID卡应用的同时,也在积极推动基于EID卡的电子政务应用。
在欧洲,EID卡作为一种电子身份卡,卡上含有电子认证服务机构签发的证书,持有人可以使用该卡实现在不同应用中的身份识别和电子签名。
这种卡主要对成年公民发放,也有针对儿童和外国居民的卡片。
市场的另一个发展方向是,针对一些电子商务的用户,一些国际知名的电子认证服务机构也在激烈的争夺着这块市场份额.
我国证书认证服务市场的应用类型已经和国际信息化发达国家的情况基本接近,但是无论是规模,还是易用性和广泛性,我国的证书市场还远远不及欧美发达国家的水平。
据不完全统计,目前国内获得服务资质的28家合法认证机构没有一家通过Webtrust认证,基于此原因,国内SSL证书发放量不是很乐观。
大部分的应用还是基于政府对公众的服务和银行对用户的基本金融业务。
2.3我国电子认证服务未来发展趋势
1.产业发展应用导向趋势明显
国外电子认证服务已经覆盖了电子商务、电子政务、企业信息化、科学研究等领域和金融、财会、保险、教育、医药、食品等多个行业,呈现出跨行业、跨地域和多样性的特点。
但从我国来看,应用市场还不够全面,更多集中在电子政务、电子商务、电子银行等部分市场,其他应用市场还有待进一步开发。
因此,开发应用市场、提高产品易用性,是未来我国产业发展的重要趋势。
这需要电子认证服务机构创新业务模式,结合各行业的应用需求特点,开发出适合行业需求的应用产品;提高产品易用性,增强产品的可操作性,降低操作难度,尽量使PKI技术后台化,方便客户的使用和操作。
2.证书互认的需求逐步出现
未来几年是我国电子商务、电子政务等应用的快速发展时期。
随着我国经济与世界经济的联系越来越紧密,电子商务国际化将成为重要趋势,这必然要求使用不同PKI信任域CA证书的交易方,能够自由进行商务活动;随着电子政务向更高阶段发展,资源整合和公共服务将成为重要趋势,必然要求使用不同PKI信任域CA证书的政府部门之间、政府部门与公共服务对象之间,能够自由地进行相关活动。
这需要各CA签发的类似等级的证书能够互认,但就目前情况来看,我国CA互认的时机还不成熟,各CA发放证书不管是内容格式、还是执行的安全标准都不尽相同,大部分国内认证机构还未有相对应的证书策略。
关于CA证书的互认问题,业界的普遍认识是:
从技术上实现已经不是难题,关键是市场要有这样的需求,对于互通互认后的法律责任、证书策略等问题,要有系统的考虑。
3.CA机构安全将越来越受到重视
CA机构是权威、公正、可信任的第三方机构,必须采取安全可靠的技术和严格高效的管理来保证自身的可信度。
《电子签名法》公布后,我国CA机构运营逐步规范化,对自身安全管理和风险控制日益重视,采取了多方面措施,如物理控制、人员控制、审计日志保存、损害与灾难恢复等。
随着电子认证服务业的发展,CA服务将深入到信息化应用的各个行业和领域,CA机构安全不仅仅涉及到自身业务,更重要的是其支撑的信息化应用的安全;CA机构安全还涉及到对用户的责任问题。
可以预见,CA机构的安全将受到更多重视,尤其是政府部门将加强对CA机构安全的监管,通过技术手段建设,实现日常、实时监管,确保CA机构安全性。
另外,随着行业管理水平提高,CA机构安全运营标准规范也会逐年提升。
4.优化整合之势不可避免
可以看到,随着CA市场应用和推广、政府管理实施细则的相继出台,国内CA竞争环境将极大改善,但随着竞争的加剧,CA企业的优化整合之势将不可避免。
主要原因有四方面。
第一,随着政府主管部门监管体系的不断完善,相应管理办法的进一步出台,必将逐渐构建公开、公平、公正的CA竞争机制,鼓励市场的充分竞争。
这将有利于发挥大型CA的运营优势,实现对资源的合理分配和有效利用,亦会有更多资源流向小部分CA企业。
第二,市场的自我调节发展及政府配套规则的出台,会适当促进大型CA机构对无力运营的CA进行收购,逐步形成少数垄断的局面。
必要的垄断在特定的市场环境下有助于行业的长远、健康发展。
第三,由于需求市场的变化,CA产品与服务市场份额逐步产生权重变化,产业链将发挥自我调节作用,形成产业链上游和中游的整合,促进CA企业更全面的发展。
第四,随着CA证书互信机制的出现及完善,证书用户也会被自然分级,认证资源将被有效利用,用户成本也会大量下降。
不同运营状况的电子认证服务机构也会通过市场自我调节作用而获得适应自我发展的特定市场客户群,资本市场也会进行更有针对性地调整,同等客户群体的CA机构将顺势进行优化整合。
三、电子认证应用中存在的问题及解决方案
3.1电子认证应用存在的问题
虽然电子认证服务业正在迅猛发展,正成长为一个新兴的信息化服务产业,但同时,电子认证服务业发展中面临的基础性、共性问题也开始暴露出来,需要从发展战略、商业模式、产品应用等方面统筹考虑、合理规划、积极创新,才能促进电子认证服务业又好又快发展,充分满足信息化建设的需要。
总体而言,我国电子认证服务业还属于新兴产业,存在一些共性问题:
1)照搬国外商业模式,自有模式不成熟
电子认证服务在中国发展了多年,但由于前期的疏于管理,照搬国外的商业模式较为严重,包括从产品设计、运营模式、服务模式等都缺乏特色,而国外的单纯颁发证书的模式无法在国内得到认可,从而造成电子认证服务一直没有形成能够持续盈利的商业模式,也导致了电子认证服务机构大面积亏损的状况。
2)应用市场狭窄,应用创新不足
在我国,电子认证主要还局限在电子政务、电子商务的部分领域,应用市场较为单一,电子认证潜能没有得到充分的挖掘。
究其原因,一方面由于社会各界对电子认证还比较陌生,社会认知度较低,信息安全意识不强;另一方面电子认证机构应用创新不足,
业务模式单一,与客户业务的结合不够紧密,难以满足用户的需求。
造成数字证书和客户业务应用之间存在着一条无法逾越的鸿沟,数字证书的价值也难以得到真正体现,造成数字证书无用武之地。
3)产品缺乏差异性,通用性较差
由于专业人才缺乏,以及行业竞争过于激烈,各家CA机构在产品创新上严重不足,产品缺乏差异性,签发的证书无法实现互联互通,经常是一家CA机构签发的证书都无法实现一证多用、一证通用,导致了用户手中经常要拿好几张证书,分别用于网上银行、内网应用、网上报税等多个应用,造成了权威合法性降低,并且给用户造成了多重投资。
4)存在一些低水平竞争
低水平竞争主要体现在两个方面:
一是竞争集中在有限的应用领域,由于目前数字证书应用少,且较为单一,因此造成多家CA认证机构在少数几个行业和应用领域激烈竞争;二是价格战,由于各家CA认证机构的商业模式和产品缺乏差异和特点,因此只能通过价格战占领有限的市场,通常证书价格过低,甚至免费发放证书,导致了市场的混乱和服务的参差不齐。
3.2电子认证解决方案
加强创新整合资源。
为解决以上存在的几点问题,给用户创造一个可信、方便、易用的网络环境,需要从几个方面加以改善,使用户逐渐养成使用数字证书的习惯,并为用户提供更优质的服务。
1)从商业模式、应用模式上加以创新
首先,要将用户数字证书和多种业务应用紧密捆绑,从而消除证书和应用之间的鸿沟,通过数字证书拉近用户与应用的距离,并可以在数字证书基础上开展多种特色服务。
从用户打开计算机、本机文件操作、接入互联网、最常用的互联网服务等各个环节中
都无法离开数字证书,这样就可以逐渐养成用户使用数字证书的习惯,也可以充分体现证书的价值,同时做到一证多用、一证通用。
其次,通过数字证书解决用户最关心的身份认证、信息安全、费用支付三个问题,从而又能以此推动电子商务、电子政务的进一步发展。
最后,CA机构可以通过证书服务费和业务服务费获得长期稳定收益,以更好的为用户提供电子认证服务,为用户创造一个安全、可信的网络信任环境,从
而又能促进互联网的健康稳定发展。
总之,通过商业模式、应用模式的创新,做到产品的创新、服务的创新,从而使电子认证服务业逐渐走出价格恶性竞争的困境。
2)推广电子认证应用,扩大电子认证市场
推广电子认证应用,首先要加强对信息安全的宣传,提高用户安全意识和对电子认证的认知,充分利用各种媒体,或者通过多角度、多层次培训等方式,使社会各界充分认识电子认证的重要性。
其次,要在信息化建设中引入电子认证应用,保障信息安全。
再次,要设计合理的信息安全责任认定机制,引导用户将自身的系统安全外包给已经提供服务的第三方CA机构,增强用户信息安全外包意识。
最后,规范CA机构运营,不断提高服务质量和服务水平,在扩大经营规模的基础上,引导CA机构不断降低服务成本和证书价格。
3)完善电子认证服务产业链,增强产业可持续发展能力
首先,整合社会各方面资源,开展电子认证共性技术研究,加强产业链中上游的技术合作和技术创新。
其次,电子认证服务机构需要加强业务开发,创新业务模式,攻克应用技术难关。
要深入研究各行业的应用需求特点,开发出具有针对性的、客户方便易用的应用技术和业务模式。
最后,通过产业链的资源融合,优势互补,以增强产业可持续发展的能力。
四、案例分析
4.1中国建设银行
中国建设银行是我国主要的国有大型商业银行,在最新出版的美国《财富》杂志公布了“财富全球上市公司500强”排名。
建设银行以583.612亿美元的营业收入列全球第116位,较2009年提升9位,继续保持上升势头。
而以净利润排名,在“全球企业利润50强”中,建行更是跃至第5位,突现其盈利能力。
中国建设银行十分重视信息技术在银行业务中的应用不但扩展金融服务领域,其功能全面,不断创新。
目前,中国建设银行正以矫健的步伐走向现代化和国际化,是国际金融资本与中国经济建设相结合的重要桥梁。
1)网上个人银行业务
网上个人银行业务是建设银行网上业务的重要部分,根据具体情况在各地提供不同的业务项目,具有手续简便和转账快捷还有网上支付功能强大的特色。
网上个人银行业务如图所示:
2)网上企业银行业务
建设银行于2000年12月推出网上企业客户服务系统。
建设银行网上企业银行的服务项目主要有查询,转账,授权管理。
具有方便大型集团型企业对财务的监督与管理,功能强大,业务处理快捷,安全可靠等特点。
网上企业银行业务如图所示:
3)呼叫中心业务
建设银行推出的呼叫中心服务,在原来的基础上增加缴费,网上购物和订票等电子商务结算功能外,还提供网络与电话转接功能。
建设银行的呼叫中心系统主要采用了主叫识别技术与客户号对照及密码保护,通过多层次保护的方案有效保障系统运作和客户资料,资金安全。
建设银行客户服务中心体系为签约客户分为不同等级,
升级会员 