A. 求一篇有關電子商務的論文或者ppt。
淺談會計如何適應電子商務時代
來源:233網校論文中心[ 13-01-10 10:57:51 ]閱讀:3142作者:杜麗霞編輯:studa1211
【論文摘 要】電子商務的發展極大地改變了會計環境,會計對象由過去實物形態的經濟業務變成了虛擬狀態的電子商務。相應地傳統會計理論與實務正在逐步改變,未來的會計如何發展,這是本文探討的問題。
一、傳統會計的改變
1.會計觀念方面。要求改變傳統的會計觀念,樹立五種新的觀念。一是新的時空觀念,網路環境下,要求會計採用一種面向未來的時空觀,即從面向過去的回顧型轉向以對未來的預測及設想為中心的預期型,使會計系統與現實環境密切地融為一體;二是新的時點觀念,網路環境將使公司的生產經營越來越多地採用實時管理、在線管理,只有時點觀念才能與此相適應;三是風險觀念,由於網路的運用,會計信息透明度提高,加劇了競爭,風險將伴隨著整個商務活動,為此,應將風險內容列入會計的對象,或成為會計的一個要素,並盡可能地用適當的方法反映這些風險,以便使會計信息內容與用戶的需求密切相關,真正具有決策價值;四是網路系統觀念,網路系統是一個便利的信息交流系統,它一方面極大地拉近信息提供者與用戶的時空距離,另一方面,通過交流,使交流者的思維相互啟發,極大地增加了信息容量,豐富了信息的內涵與形式,形成了密切而多樣化的信息交流和使用關系。以網路系統理論為基礎的會計信息系統,將成為一個面向全球的系統,市場對其內容、方式的要求更高,意味著會計信息必須以用戶的需求為基本出發點,及時提供靈活的多樣化信息;五是信息質量觀念,在快速變化的世界裡,新事物層出不窮,不確定性因素日益增多,很難對任何事項都進行確切的驗證或計量,因此,有必要在現行會計核算的基礎上,加入概率、方差等反映不確定性因素的概念,建立專門反映不確定事項的會計方法體系,提高會計信息的相關性。
2.會計理論方面。四項基本假設與權責發生制已無法滿足電子商務發展的客觀需要。例如,企業間虛擬聯合、戰略聯盟的出現,打破了傳統會計主體假設的活動范圍;網上兼並、收購、破產等活動的進行,對持續經營假設提出了疑問;會計實時報告系統的出現,可以隨時生成財務報告,使會計分期假設已無存在的必要;伴隨著資產從有形到無形的過程,會計計量也隨之從計量有形資產向計量無形資產、貨幣與非貨幣計量並存的方向發展。再如,電子商務交易中,交易發生、付款和發送貨物是在很短的時間內完成的,每一筆交易只有一個會計期間,即交易期間,不存在多個期間中前後各期的問題 ,公司的收支均在同一交易期內完成,使得權責發生制已失去存在的基礎,採用收付實現制更為合理。
3.會計組織方面。電子商務環境下,會計部門與其它部門相互融合,上下級之間、部門之間以及與外界的溝通,出現了模糊分工狀況,會計組織結構由垂直型變為扁平型,會計組織功能由核算型變為管理型、服務型。
4.會計服務方面。電子商務是基於信息網路、信息社會的產物,可以將原有的商務活動擴散,伸向商品生產企業的采購、銷售環節,伸向政府的貿易,伸向消費者的辦公室,伸向家庭等網路可以到達的一切地方,相應地形成全球統一、規范競爭的大市場。會計為了適應電子商務的發展,服務范圍將不斷擴大,將面向政府、流通行業、生產行業、消費者及國內外貿易的各個方面。正朝著一體化的方向發展,因為電子商務是國際性的,相應地,反映電子商務的會計也必然是國際性的,會計服務必將打破國界,使全球各地區的人們可以在國際化的會計市場中方便地尋求自己所需的會計商品,同時也可以提供自己的會計商品。
5.會計工作方面。必須從傳統的會計轉向計算機網路會計。工作重心是,編制財務預算,對系統所產生的數據進行加工和對子系統進行設計,設計管理決策所用的各種內部報表,審查管理方案,編制稅單和外部用戶所需的信息報告,為公司高層管理人員提供各種信息咨詢等等
二、未來會計發展必由之路——電子商務會計
傳統的企業會計系統理念、理論與方法,面對電子商務的大潮顯然將是蒼白無力的,企業會計系統必然要轉型,這就使得一種新型的會計的理念—電子商務會計應運而生。如何將電子商務會計做好。針對面臨的種種問題,我們要努力做好以下四個方面:
首先,加強電子商務會計安全防範措施,建立起安全可靠的電子商務會計系統。包括以下內容:必須建成一個安全可靠的電子商務通信網路;設立防火牆、電子密鑰系統;必須有權威或認證機構,由專門的驗證中心驗證交易雙方的身份,並頒發安全證書,持有安全證書一方才有資格進入電子商務會計系統;
其次,加強電子商務立法措施,為電子商務會計發展提供一個健全的法律環境。在民法基本法的立法上,應反映出交易安全的理念。為此,要大膽借鑒和移植發達國家電子商務保護交易安全的成功經驗和制度,並結合我國的實際情況,構造一套強化交易安全保護的法律制度;在商事單行法的立法上,可以基於商法的特別法地位及其相對獨立性,滿足商法中商業行為較高的交易安全要 求;在計算機及其網路安全管理的立法上,應針對電子商務交易在虛擬環境中運行的特點,明確提出電子商務交易安全保護的法律措施;在法律解釋上,當務之急是全面清理最高人民法院做出的司法解釋,剔除不利於交易安全的結論,並在以後的解釋中注重考慮交易安全的因素;在條件成熟的時候,指定保護電子商務交易安全的專門法規文件。此外,對於保密法,知識產權保護法、稅法、廣告法等,也有一個內容修改和范圍擴充的任務。
再次,要大力培養全方位、復合型電子商務會計人才。電子商務是一個系統,系統的中心是人。由於電子商務是信息現代化與商貿的有機結合,所以能掌握並運用電子商務技術與財務理論的人必然是掌握現代信息技術、現代商貿理論與實務的復合型人才。我們必須營造出一個全社會普及電子商務會計的社會氛圍,從深度和廣度上加強對電子商務會計理論的認識、理解、培訓。
最後,發展電子商務會計市場。電子商務會計市場是電子商務會計商品進行交換的場所,也是電子商務會計發展的客觀環境。完善的電子商務會計市場將對電子商務會計的發展起到重要的影響作用。我們要建立起面向全世界的國際電子商務會計市場,開通電子商務會計網站,與世界各國進行會計信息交流、促進會計信息自由流動,為會計准則協調與發展,提供一個廣闊的空間。同時,還要注重對電子商務會計市場安裝一個「凈化裝置」,如:簽訂市場准則協議、設立簽證中心等,對會計信息進入市場前先予以凈化、過濾,以保證在會計市場上流動的信息的質量性、及時性、有效性。
作為電子商務與傳統會計的結合物,電子商務會計將會對傳統會計理論框架產生了巨大的沖擊,同時也蘊育著會計應用領域內一次劃時代的制度變遷。中國正在由傳統經濟向更高級的網路信用經濟發展,經濟結構調整後,中國的IT產業後發優勢還會發揮得更加充分,以後市場、政府、企業三種主體之間的相互配合還會變得更加密切。電子商務、電子會計模式就是這種新型市場經濟關系在網路上的成功應用。
參考文獻:
[1]林傑新,葛星《我國企業信息化的階段論》[J]商業時代,2007,(27).
[2]金光華《企業信息化與電子商務》[J]上海會計,2009,(4).
[3]陳月波 《電子商務概論》[M]北京:清華大學出版社,2008-08.
B. 目前電子商務安全的現狀如何
在正確看待電子商務的安全問題時,有幾個觀念值得注意:
其一,安全是一個系統的概念。安全問題不僅僅是個技術性的問題,不僅僅只涉及到技術,更重要的還有管理,而且它還與社會道德、行業管理以及人們的行為模式都緊密地聯系在一起了。
其二,安全是相對的。房子的窗戶上只有一塊玻璃,一般說來這已經很安全,但是如果非要用石頭去砸,那就不安全了。我們不會因為石頭能砸碎玻璃而去懷疑它的安全性,因為大家都有一個普遍的認識:玻璃是不能砸的,有了窗玻璃就可以保證房子的安全。同樣,不要追求一個永遠也攻不破的安全技術,安全與管理始終是聯系在一起的。也就是說安全是相對的,而不是絕對的,如果要想以後的網站永遠不受攻擊,不出安全問題是很難的,我們要正確認識這個問題。
其三,安全是有成本和代價的。無論是現在國外的B-to-B還是B-to-C,都要考慮到安全的代價和成本的問題。如果只注重速度就必定要以犧牲安全來作為代價,如果能考慮到安全速度就得慢一點,把安全性保障得更好一些,當然這與電子商務的具體應用有關。如果不直接牽涉到支付等敏感問題,對安全的要求就低一些;如果牽涉到支付問題對安全的要求就要高一些,所以安全是有成本和代價的。作為一個經營者,應該綜合考慮這些因素;作為安全技術的提供者,在研發技術時也要考慮到這些因素。
其四,安全是發展的、動態的。今天安全明天就不一定很安全,因為網路的攻防是此消彼長、道高一尺、魔高一丈的事情,尤其是安全技術,它的敏感性、競爭性以及對抗性都是很強的,這就需要不斷地檢查、評估和調整相應的安全策略。沒有一勞永逸的安全,也沒有一蹴而就的安全。
C. 求一篇《淺析我國電子商務安全現狀與應對策略》論文
你好,可以給我一個郵箱嗎,我上圖書館資源資料庫搜索的以下文章,我把他們發給你
四篇文章題名為:
《電子商務安全管理的現狀及其對策》
《我國電子商務安全防範的現狀及解決途徑》
《我國電子商務安全現狀及防範對策探討》
《淺析我國電子商務安全現狀》
希望對你有幫助~
知道 舉手之勞團隊 隊長:曉斌
D. 就電子商務發展現狀有什麼看法
其一,我國電子商務仍然保持快速增長態勢,潛力巨大。
我國近年來的電子商務交易額增長率一直保持快速增長勢頭。特別是網路零售市場更是發展迅速,2012年達到13110億元。而2013年天貓「11·11」購物狂歡節支付寶成交額達350.19億元,更是讓人們看到我國網路零售市場發展的巨大潛力。毫無疑問,電子商務正在成為拉動國民經濟保持快速可持續增長的重要動力和引擎。
其二,企業、行業信息化快速發展,為加快電子商務應用提供堅實基礎。
近年來,在國家大力推進信息化和工業化融合的環境下,我國服務行業、企業加快信息化建設步伐,電子商務應用需求變得日益強勁。不少傳統行業領域在開展電子商務應用方面取得了較好成績。農村信息化取得了可喜的成績,創新電子商務應用模式,涌現出一批淘寶店,一些村莊圍繞自身的資源、市場優勢,開展特色電子商務應用。傳統零售企業紛紛進軍電子商務。其他行業如郵政、旅遊、保險等也都在已有的信息化建設基礎之上,著力發展電子商務業務。
其三,電子商務服務業迅猛發展,初步形成功能完善的業態體系。
從電子商務交易情況來看,近年來出現了一些新的發展趨勢。一是發展模式不斷演變。近年來B2B與B2C加速整合,並由信息平台向交易平台轉變。二是零售電子商務平台化趨勢日益明顯。具體包括3種情況:追求全品類覆蓋的綜合性平台,專注細分市場的垂直型平台,大型企業自營網站逐漸向第三方平台轉變。三是平台之間競爭激烈,市場日益集中。以阿里巴巴、京東商城為第一梯隊拉開了與其他中小型電子商務企業的差距。從支撐性電子商務服務業來看,近年來出現了不少重大的變化。比如,各方面的功能日益獨立顯現,呈現高度分工的局面;新一代信息技術在電子商務服務中得到快速應用,除了物聯網技術外,大數據正逐漸讓數據挖掘發揮其精準營銷功能;電子商務平台的功能日益全能化。從輔助性電子商務服務來看,圍繞網路交易派生出一些新的服務行業,如網路議價、網路模特、網(站)店運營服務與外包等。
其四,跨境電子交易獲得快速發展。
在國際經濟形勢持續不振的環境下,我國中小外貿企業跨境電子商務仍逆勢而為,近年來保持了30%的年均增速。有關部門正加緊完善促進跨境網上交易對平台、物流、支付結算等方面的配套政策措施,促進跨境電子商務模式不斷創新,出現了一站式推廣、平台化運營、網路購物業務與會展相結合等模式,使得更多中國製造產品得以通過在線外貿平台走向國外市場,有力推動了跨境電子商務縱深發展。
此外,電子商務發展環境不斷改善。全社會電子商務應用意識不斷增強,應用技能得到有效提高。相關部門協同推進電子商務發展的工作機制初步建立,圍繞電子認證、網路購物等主題,出台了一系列政策、規章和標准規范,為構建良好的電子商務發展環境進行了積極探索。
E. 電子商務發展存在什麼問題
(1)商業模式缺乏創新
目前,我國電子商務處於對傳統商業模式和國外經營模式的抄襲、模仿的水平上,很少有結合我國國情的創新模式。從理論上講,與傳統商務對比,電子商務具有很多優越性。但由於各種原因,網站的爆炸式增長與網站的「燒錢式」虧損形成了巨大的反差。據有關人士分析,電子商務理論上可以節省76.59%的交易費用,但實際上在中國只節省了11.61%的交易費用。在近幾年的電子商務熱中,我國出現了不少電子商務網站,但大部分電子商務網站走的是「大肆炒作、吸引公眾、爭取廣告、上市圈錢」這樣一條路子,由於網上交易量太少,其收入不足以維持日常的運轉,大多數網站不得不依靠外來資金的不斷投入,因此,2000年下半年以來,在美國納斯達克指數迅速下降的影響下,我國不少互聯網企業出現了生存危機,裁員、倒閉接踵而至。在深刻的教訓面前,網路公司要重新考慮自身定位,回歸到「以利潤為中心」的軌道上。
(2)企業信息化水平很低
企業信息化與電子商務是密不可分的,企業信息化是開展電子商務的基礎。企業信息化落後嚴重製約著電子商務在我國的發展。企業作為電子商務的主體,業務流程和管理過程的信息化是企業開展電子商務的必要前提。目前我國已經上網的企業不到企業總數的1%,在15000家左右國有大中型企業中,大約有10%左右的企業基本上實現了企業信息化,大約有70%左右的企業擁有一定的信息手段或著手向實現企業信息化的方向努力,大約有20%的企業只有少量的計算機。目前在國家工商局注冊登記的1000萬家左右中小企業中,只有大約百分之幾的企業擁有一定的現代化信息手段。
(3)社會信用體系沒有形成
在市場經濟中,良好的信用對於一個企業的作用是無庸諱言的,可以給企業帶來穩定的供應商和客戶群以及隨之而來的各種額外收益。但是在我國信用體系還沒有建立和完善的情況下,企業不講信用比講信用經常獲利更多。在經濟轉型過程中,中國的社會化信用體系很不健全,信用心理不健康。交易行為缺乏必要的自律和嚴厲的社會監督。在網上交易中,如何保護企業的商務秘密?如何確定交易雙方的真實身份和可靠性?如何保證交易達成後的不可否認性和不可修改性?如何保證網上支付的安全?網上交易發生糾紛怎麼辦?如何取得滿意的售後服務?等。這些令人擔憂的問題沒有得到很好地解決在很大程度上影響了我國企業和消費者對電子商務的信心和熱情。
(4)電子商務高級人才匱乏
電子商務發展的人才資源尚顯不足。電子商務是信息化與傳統商務的有機結合,需要大量既掌握現代信息技術又精通現代商貿理論與實務的復合型人才。一個國家、一個地區能否培養出大批這樣的復合人才就成為該國、該地區發展電子商務的最關鍵因素。雖然清華大學、浙江大學等高校開始專門培養電子商務專業人才,但目前而言,具有創新思維的電子商務理論、規劃與管理的人才奇缺,人才匱乏是電子商務發展的又一難題。電子商務是一個跨學科的領域,涉及到計算機、經濟、管理、法律等各個方面。電子商務人才實際上是一種復合型人才,目前社會上的電子商務培訓班,在教學過程中「重電子輕商務」或者「重商務輕電子」。即使能夠兩頭兼顧,也多是一種簡單機械的拼湊組合,沒有按照這門課程本身的內在規律和實際需求來進行科學系統的設計。以這樣的電子商務的教學水平,要培養一批既懂電子商務技術,又有金融、商貿、物流等知識的跨領域的專門人才、復合人才,存在很大難度。另外,目前國內電子商務的教育和培訓還缺乏統一的管理和規范。
(5)電子商務政策法規很不健全
在宏觀層面上,政策法規不健全、標准不統一以及商務實踐的盲目性等顯示我國電子商務發展缺乏統一的指導方針、發展規劃和實施戰略。電子商務是一項復雜的系統工程。它不僅涉及參加交易的雙方,而且涉及不同地區、不同國家的工商管理、海關、保險、稅收、銀行等部門。這就需要有統一的法律和政策框架以及強有力的跨地區、跨部門的綜合協調機構。現行管理體制基本上是計劃經濟時代的產物,集中表現為條塊分割、設置不合理、協調不夠、辦事效率低下、對新經濟適應性較差。雖然,近年來中國已經出台了一些有關政策法規,但總體來看,還是很不健全的,目前針對電子商務的專門立法還是空缺,尤其是在跨國家、跨地區、跨部門協調方面存在不少問題,如國家計委、商務部、信息產業部等政府部門均出台了有關促進電子商務發展的政策報告,但由於側重點不同且缺乏相互之間的協調,顯得政出多門,難以落實。
(6)電子商務支撐體系還不完善
F. 電子商務的現狀
參考一下此篇吧.
加快我國電子商務發展的對策建議
20世紀90年代以來,電子商務在全球范圍內的興起和迅猛發展,快速地改變著原有經濟格局,以及傳統的經濟運行方式和增長模式。電子商務在催生新經濟和推動經濟全球化中所表現出來的巨大能量,已經使其成為評價一國經濟發展水平和可持續發展能力的重要指標。因此,了解我國電子商務發展現狀,客觀認識我國電子商務發展中的問題,研究對策,實現加速、健康、穩定發展,應該成為我們全面建設小康社會的一項緊迫而重要的任務。
一、我國電子商務發展現狀分析
1、我國電子商務幾乎是與除美國以外的多數發達國家同時起步的
1996年6月,中國公用計算機互聯骨幹網(CHINANET)工程建成開通;1997年6月中國互聯網路經濟信息中心(CNNIC)完成組建,開始行使國家互聯網路信息中心職能;1998年10月「金貿工程」正式啟動,北京、上海等城市啟動電子商務示範工程;1999年3月阿里巴巴網站誕生;同年5月8848網站推出並成為當年國內最具影響力的B2C網站;2000年6月,中國金融認證中心(CFCA)成立,專為金融業務各種認證需求提供書證服務。即使在納斯達克崩盤,全球電子商務陷入困境的2001年,我國還是頂住巨大的市場壓力正式啟動了國家「十五」科技攻關重大項目「國家信息安全應用示範工程」。
2、目前我國電子商務活動已經進入到幾乎所有商務領域
中國電子信息產業發展研究院於2001年8月20日-10月12日對我國企業信息化建設現狀調查結果顯示,在接受調查的北京、上海、廣州、成都等10個主要城市的機械、電子、汽車、化工、電力等13個行業中,有22.3%的企業參與了電子商務,利用網路進行供應鏈集成、分銷渠道管理、網上銷售的比例分別佔9.3%、18.6%和51.4%。另據央視調查咨詢中心的調查,1999年-2000年在我國北京、上海、廣州、深圳等15個城市,僅消費類電子商務活動網上購物總額就達到5500萬元。初步統計,2002年我國有上網用戶3370萬人,各類電子商務網站1100家,全國直接電子商務網上交易額約100億元。從另一個側面反映我國電子商務發展水平的是,到2001年底我國政府機構中已有86個部委和國務院直屬機構加入到「政府上網工程」行列,31個省、市、自治區政府和16個大中城市政府,通過「全國辦公業務資源網」實現了業務聯網。而隨著以「金橋」、「金關」、「金卡」為內容的「三金工程」的建設進展,將很快實現海關、商檢、稅務、外匯管理、統計、銀行及企業之間及時准確的信息數據傳遞與交換,為電子商務的普及打下堅實基礎。
3、從總體上說,目前我國電子商務發展水平與歐美日等發達國家相比仍有較大差距
僅就電子商務活動的表象特點上說,電子商務是一種以信息互聯網路為載體的商務活動新模式,它的發生、發展狀態基本上是受制於信息技術及網路設施,即信息網路基礎設施水平和對應於網路經濟的社會法律、誠信環境建設狀況的。因此,盡管我國政府高度重視電子商務發展,而且基本上與世界發達國家同步推出了一系列宣傳、引導、鼓勵、支持電子商務發展的政策、措施,促成了我國電子商務與目前的電子商務大國同時起步。但是,我國畢竟還是發展中國家,各項社會性基礎設施不甚完備,雖然電信網路設施近些年發展很快,但相比發達國家仍有較大差距。而保障電子商務活動規范、順暢、安全運行的社會法規、誠信環境不完備則是制約我國電子商務發展的更直接、深層的因素。另外,轉型過程中的經濟體制、企業制度以及經濟運行方式也不盡適應發展電子商務的要求。
具體到電子商務活動運行本身,目前最直接的制約因素,大約有以下三個方面:
(1)網上支付問題。網上支付是電子商務的關鍵環節,網上支付的安全、便捷、規范和高效是發展電子商務的必需條件。網上支付需要具備四個方面的條件,即商務系統、電子錢包、支付網關和安全認證。其中安全認證是目前必須解決的核心問題所在。理由一是,雖然在技術方面已經提供了很多保障手段,但實際運作中還存在很多問題。二是雖然各家銀行都直接或間接地建立了自己的CA認證中心,但至今缺乏統一的、權威的、全國性的CA認證中心,這就容易導致交叉認證、重復認證和資源浪費。三是缺乏明確的相關法律保障,出現問題後的責任認定、承擔、仲裁結果的執行等復雜的法律關系難以解決。而且新《合同法》雖然承認了電子合同的法律效用,卻沒有解決數字簽名問題。這些都增加網上交易的風險。另外,網上支付效率低下,銀行確認支付時間長(約需10天),收費高(信用卡收取5%的管理費)、限制多,實際制約了電子商務的發展。
(2)現行稅制問題。電子商務是完全不同於傳統商務運行方式的新的商務模式,目前我國還沒有針對電子商務交易的明確稅法條文。這種狀況長期存在下去,必然會影響到電子商務的健康有序發展。
3、物流體系的制約。電子商務交易的商品流通,絕大部分仍然需要有一個實物轉移,即物流過程。因此,電子商務的效率實際上很大部分是要由物流過程的效率性來實現的。目前我國為電子商務服務的物流企業中有1000餘家是傳統的物流企業,數量規模供大於求,質量則有待提高。沒有高效率的物流體系作保障,電子商務的無空間距離快速交易的優勢就難以體現。
二、加快發展我國電子商務的對策建議
制約我國電子商務發展的問題很多,但最基本的還是信息網路基礎設施量不足、質不高、業務主管部門不明確和相關法律制度不完備,社會誠信環境不理想等問題。我國電子商務要實現高速、健康發展,必須盡快在這些方面的建設上取得實質性的長足進步。為避免被發達國家集團,甚至被目前與我國同步發展的經濟體逐出全球電子商務事業圈的危險,近期首先必須在以下幾個方面作出積極努力。
1、加快基礎性信息網路建設
中國電子商務要在發展中求規范、求質量。首先,中央和各地政府要盡快建設新一代的高速信息傳遞骨幹網路和寬頻高速計算機互聯網,提高上網速度,降低上網費用,構建能夠滿足社會經濟發展需要的信息化基礎平台。在此基礎上組建並完善標准化、廣域型、基礎性的商品訂貨系統、商品交易網路、商品信息發布系統等電子網路體系,使盡可能多的企業、商品和商務活動進入電子商務領域。其次,要制定實際措施鼓勵企業加大信息技術升級和系統建設投入,盡快實現企業內部信息管理的電子化,為推動全社會電子商務發展打下堅實基礎。第三,要積極研究、探索和創造傳統產業、企業和產品開展電子商務活動的新形式和新途徑,把我國電子商務建立在更廣闊的發展平台上。
2、完善網路貿易的法律體系
要針對當前存在的問題,借鑒電子商務發達國家的經驗,結合我國實際,早日出台可具體操作的《電子商務法》及相關法律,構建有利於促進我國電子商務健康發展的法律體系。電子商務法體系既要符合我國特點,又必須能夠與國際接軌。從我國商務活動的實際出發,新的電子商務法規必須具有規范交易程序和行為、保障交易公平和安全、清晰界定責任的法律功效。
3、盡快建立獨立的電子商務稅收制度
目前不同經濟發展水平的國家,對電子商務的征稅制度各不相同。美國對電子商務實行全面免稅制度:禁止聯邦和州政府對Internet訪問征新稅,對數字化產品和服務暫緩征稅,對任何形式的電子商務不再增加新稅。歐盟則採用「清晰與中性的稅收」制度,對在Internet上從事電子商務活動的企業和個人徵收增值稅,不征額外稅。而大多數發展中國家對電子商務的涉稅問題沒有明確的政策。我國應對電子商務的稅制建設持積極主動態度。國家稅務局提出的電子商務稅制「六原則」應是大體適應近中期我國電子商務發展要求和國民經濟整體發展利益的稅制框架。現在需要加緊做的,是按照這一框架要求制定出具體獨立的電子商務稅收制度和實施細則。
4、採取積極措施,鼓勵和支持更多的傳統企業、企業的產品和服務貿易活動電子化
電子商務的核心內容畢竟還是商務,電子化只是活動形式的變革,而現階段商務活動的主體依然是傳統產業、企業的產品貿易,離開這一主體,單純依靠專業網路公司,商務活動的全面電子化是難以成立的。近5-6年國內外電子商務發展的歷程也證明了這一點。因此,只有當盡可能多的傳統企業的商務活動實現了電子化,才能實現經濟運行的電子商務化。
5、商務部要加強規劃和指導,以保障電子商務的健康穩定發展發展電子商務的主要動力,理應是來自社會的、民間的、市場的力量。但是,電子商務是在高度依賴高新技術和眾多社會公共產品、共用設施、公共資源的基礎上,對傳統商務模式的變革,其發生、發展是離不開政府支持的。這種支持,除了前面論述的硬設施(網路基礎設施等)和軟設施(貿易、稅收等制度和法律體系建設等)環境兩方面內容外,商務活動的行政主管部門對電子商務發展的規劃、規范工作也是不可或缺的。同任何形式的商務活動一樣,市場秩序是決定其發展前景的關鍵因素,而市場秩序的形成和完善有賴於行政部門在法律框架內對市場運行及市場行為進行具體化規劃和規范。這就是即使在最自由、最開放的領域,市場經濟條件下相應於各類經濟活動的行政主管部門之所以仍然存在的理由,中外各國概莫能外。因此,作為商務活動行政主管部門的商務部,應該切實擔負起規劃我國電子商務發展方向,規范具體發展行為的責任。
6、加快建設適應在傳統產業和產品交易中進行電子商務活動的物流體系要充分考慮電子商務發展對傳統經濟運行方式和商品交易、流通模式帶來的革命性改變趨勢,建設與之相配套的新的物流體系。
作者:張育林 李永江(商務部研究院 研究人員)
G. 電子商務安全技術的發展狀況
1、電子商務的安全控制要求概述
電子商務發展的核心和關鍵問題是交易的安全性。由於Internet本身的開放性,使網上交易面臨了種種危險,也由此提出了相應的安全控制要求。
1.1信息保密性
交易中的商務信息有保密的要求。如信用卡的帳號和用戶名被人知悉,就可能被盜用,訂貨和付款的信息被競爭對手獲悉,就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。
1.2交易者身份的確定性
網上交易的雙方很可能素昧平生,相隔千里。要使交易成功,首先要能確認對方的身份,對商家而言要考慮客戶端不能是騙子,而客戶也會擔心網上的商店不是一個弄虛作假的黑店。因此能方便而可靠地確認對方身份是交易的前提。
1.3不可否認性
由於商情的千變萬化,交易一旦達成是不能被否認的。否則必然會損害一方的利益。
1.4不可修改性
交易的文件是不可被修改的,如其能改動文件內容,那麼交易本身便是不可靠的,客戶或商家可能會因此而蒙受損失。因此電子交易文件也要能做到不可修改,以保障交易的嚴肅和公正。
2、電子商務安全交易的有關標准和實施方法
2.1安全交易的雛形
在電子商務實施初期,曾採用過一些簡易的安全措施,這些措施包括:
(1) 部分告知(Partial Order):即在網上交易中將最關鍵的數據如信用卡號碼及成交數額等略去,然後再用電話告之,以防泄密。
(2) 另行確認(Order Confirmation):即當在網上傳輸交易信息之後,再用電子郵件對交易作確認,才認為有效。
(3) 在線服務(Online Service):為了保證信息傳輸的安全,用企業提供的內部網來提供聯機服務。
以上所述的種種方法,均有一定的局限性,且操作麻煩,不能實現真正的安全可靠性。
2.2安全交易標準的制定
近年來,IT業界與金融行業一起,推出不少更有效的安全交易標准。主要有:
(1) 安全超文本傳輸協議(S-HTTP):依靠密鑰對的加密,保障Web站點間的交易信息傳輸的安全性。
(2) 安全套接層協議(SSL協議:Secure Socket Layer)是由網景(Netscape)公司推出的一種安全通信協議,是對計算機之間整個會話進行加密的協議,提供了加密、認證服務和報文完整性。它能夠對信用卡和個人信息提供較強的保護。SSL被用於Netscape Communicator和Microsoft IE瀏覽器,用以完成需要的安全交易操作。在SSL中,採用了公開密鑰和私有密鑰兩種加密方法。
(3) 安全交易技術協議(STT:Secure Transaction Technology):由Microsoft公司提出,STT將認證和解密在瀏覽器中分離開,用以提高安全控制能力。Microsoft將在Internet Explorer中採用這一技術。
(4) 安全電子交易協議(SET:Secure Electronic Transaction):SET協議是由VISA和MasterCard兩大信用卡公司於1997年5月聯合推出的規范。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的,以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。SET中的核心技術主要有公開密匙加密、電子數字簽名、電子信封、電子安全證書等。
目前公布的SET正式文本涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數字認證、數字簽名等。這一標准被公認為全球網際網路的標准,其交易形態將成為未來「電子商務」的規范。
支付系統是電子商務的關鍵,但支持支付系統的關鍵技術的未來走向尚未確定。安全套接層(SSL)和安全電子交易(SET)是兩種重要的通信協議,每一種都提供了通過Internet進行支付的手段。但是,兩者之中誰將領導未來呢?SET將立刻替換SSL嗎?SET會因其復雜性而消亡嗎?SSL真的能完全滿足電子商務的需要嗎?我們可以從以下幾點對比作管中一窺:
SSL提供了兩台機器間的安全連接。支付系統經常通過在SSL連接上傳輸信用卡卡號的方式來構建,在線銀行和其他金融系統也常常構建在SSL之上。雖然基於SSL的信用卡支付方式促進了電子商務的發展,但如果想要電子商務得以成功地廣泛開展的話,必須採用更先進的支付系統。SSL被廣泛應用的原因在於它被大部分Web瀏覽器和Web伺服器所內置,比較容易被應用。
SET和SSL除了都採用RSA公鑰演算法以外,二者在其他技術方面沒有任何相似之處。而RSA在二者中也被用來實現不同的安全目標。
SET是一種基於消息流的協議,它主要由MasterCard和Visa以及其他一些業界主流廠商設計發布,用來保證公共網路上銀行卡支付交易的安全性。SET已經在國際上被大量實驗性地使用並經受了考驗,但大多數在Internet上購的消費者並沒有真正使用SET。
SET是一個非常復雜的協議,因為它非常詳細而准確地反映了卡交易各方之間存在的各種關系。SET還定義了加密信息的格式和完成一筆卡支付交易過程中各方傳輸信息的規則。事實上,SET遠遠不止是一個技術方面的協議,它還說明了每一方所持有的數字證書的合法含義,希望得到數字證書以及響應信息的各方應有的動作,與一筆交易緊密相關的責任分擔。
3、目前安全電子交易的手段
在近年來發表的多個安全電子交易協議或標准中,均採納了一些常用的安全電子交易的方法和手段。典型的方法和手段有以下幾種:
3.1密碼技術
採用密碼技術對信息加密,是最常用的安全交易手段。在電子商務中獲得廣泛應用的加密技術有以下兩種:
(1)公共密鑰和私用密鑰(public key and private key)
這一加密方法亦稱為RSA編碼法,是由Rivest、Shamir和Adlernan三人所研究發明的。它利用兩個很大的質數相乘所產生的乘積來加密。這兩個質數無論哪一個先與原文件編碼相乘,對文件加密,均可由另一個質數再相乘來解密。但要用一個質數來求出另一個質數,則是十分困難的。因此將這一對質數稱為密鑰對(Key Pair)。在加密應用時,某個用戶總是將一個密鑰公開,讓需發信的人員將信息用其公共密鑰加密後發給該用戶,而一旦信息加密後,只有用該用戶一個人知道的私用密鑰才能解密。具有數字憑證身份的人員的公共密鑰可在網上查到,亦可在請對方發信息時主動將公共密鑰傳給對方,這樣保證在Internet上傳輸信息的保密和安全。
(2)數字摘要(digital digest)
這一加密方法亦稱安全Hash編碼法(SHA:Secure Hash Algorithm)或MD5(MD Standards for Message Digest),由Ron Rivest所設計。該編碼法採用單向Hash函數將需加密的明文「摘要」成一串128bit的密文,這一串密文亦稱為數字指紋(Finger Print),它有固定的長度,且不同的明文摘要成密文,其結果總是不同的,而同樣的明文其摘要必定一致。這樣這摘要便可成為驗證明文是否是「真身」的「指紋」了。
上述兩種方法可結合起來使用,數字簽名就是上述兩法結合使用的實例。
3.2數字簽名(digital signature)
在書面文件上簽名是確認文件的一種手段,簽名的作用有兩點,一是因為自己的簽名難以否認,從而確認了文件已簽署這一事實;二是因為簽名不易仿冒,從而確定了文件是真的這一事實。數字簽名與書面文件簽名有相同之處,採用數字簽名,也能確認以下兩點:
a. 信息是由簽名者發送的。
b. 信息在傳輸過程中未曾作過任何修改。
這樣數字簽名就可用來防止電子信息因易被修改而有人作偽;或冒用別人名義發送信息;或發出(收到)信件後又加以否認等情況發生。
數字簽名採用了雙重加密的方法來實現防偽、防賴。其原理為:
(1) 被發送文件用SHA編碼加密產生128bit的數字摘要(見上節)。
(2) 發送方用自己的私用密鑰對摘要再加密,這就形成了數字簽名。
(3) 將原文和加密的摘要同時傳給對方。
(4) 對方用發送方的公共密鑰對摘要解密,同時對收到的文件用SHA編碼加密產生又一摘要。
(5) 將解密後的摘要和收到的文件在接收方重新加密產生的摘要相互對比。如兩者一致,則說明傳送過程中信息沒有被破壞或篡改過。否則不然。
3.3數字時間戳(digital time-stamp)
交易文件中,時間是十分重要的信息。在書面合同中,文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關鍵性內容。
在電子交易中,同樣需對交易文件的日期和時間信息採取安全措施,而數字時間戳服務(DTS:digital time-stamp service)就能提供電子文件發表時間的安全保護。
數字時間戳服務(DTS)是網上安全服務項目,由專門的機構提供。時間戳(time-stamp)是一個經加密後形成的憑證文檔,它包括三個部分:1)需加時間戳的文件的摘要(digest),2)DTS收到文件的日期和時間,3)DTS的數字簽名。
時間戳產生的過程為:用戶首先將需要加時間戳的文件用HASH編碼加密形成摘要,然後將該摘要發送到DTS,DTS在加入了收到文件摘要的日期和時間信息後再對該文件加密(數字簽名),然後送回用戶。由Bellcore創造的DTS採用如下的過程:加密時將摘要信息歸並到二叉樹的數據結構;再將二叉樹的根值發表在報紙上,這樣更有效地為文件發表時間提供了佐證。注意,書面簽署文件的時間是由簽署人自己寫上的,而數字時間戳則不然,它是由認證單位DTS來加的,以DTS收到文件的時間為依據。因此,時間戳也可作為科學家的科學發明文獻的時間認證。
3.4數字憑證(digital certificate, digital ID)
數字憑證又稱為數字證書,是用電子手段來證實一個用戶的身份和對網路資源的訪問的許可權。在網上的電子交易中,如雙方出示了各自的數字憑證,並用它來進行交易操作,那麼雙方都可不必為對方身份的真偽擔心。數字憑證可用於電子郵件、電子商務、群件、電子基金轉移等各種用途。
數字憑證的內部格式是由CCITT X.509國際標准所規定的,它包含了以下幾點:
(1) 憑證擁有者的姓名,
(2) 憑證擁有者的公共密鑰,
(3) 公共密鑰的有效期,
(4) 頒發數字憑證的單位,
(5) 數字憑證的序列號(Serial number),
(6) 頒發數字憑證單位的數字簽名。
數字憑證有三種類型:
(1) 個人憑證(Personal Digital ID):它僅僅為某一個用戶提供憑證,以幫助其個人在網上進行安全交易操作。個人身份的數字憑證通常是安裝在客戶端的瀏覽器內的。並通過安全的電子郵件(S/MIME)來進行交易操作。
(2) 企業(伺服器)憑證(Server ID):它通常為網上的某個Web伺服器提供憑證,擁有Web伺服器的企業就可以用具有憑證的萬維網站點(Web Site)來進行安全電子交易。有憑證的Web伺服器會自動地將其與客戶端Web瀏覽器通信的信息加密。
(3) 軟體(開發者)憑證(Developer ID):它通常為Internet中被下載的軟體提供憑證,該憑證用於和微軟公司Authenticode技術(合法化軟體)結合的軟體,以使用戶在下載軟體時能獲得所需的信息。
上述三類憑證中前二類是常用的憑證,第三類則用於較特殊的場合,大部分認證中心提供前兩類憑證,能提供各類憑證的認證中心並不普遍。
3.5認證中心(CA:Certification Authority)
在電子交易中,無論是數字時間戳服務(DTS)還是數字憑證(Digital ID)的發放,都不是靠交易的雙方自己能完成的,而需要有一個具有權威性和公正性的第三方(third party)來完成。認證中心(CA)就是承擔網上安全電子交易認證服務、能簽發數字證書、並能確認用戶身份的服務機構。認證中心通常是企業性的服務機構,主要任務是受理數字憑證的申請、簽發及對數字憑證的管理。認證中心依據認證操作規定(CPS:Certification Practice Statement)來實施服務操作。
上述五個方面介紹了安全電子交易的常用手段,各種手段常常是結合在一起使用的,從而構成比較全面的安全電子交易體系。
4、應用動態
根據最新報道,我國第一個安全電子商務系統:「網上訂票與支付系統」經過半年試運行後,於1999年8月8日投入正式運行,其發起單位由上海市政府商業委員會、上海市郵電管理局、中國東方航空股份有限公司、中國工商銀行上海市分行、上海市電子商務安全證書管理中心有限公司等共同發起、投資與開發。
系統結構採用網上訂票與支付系統由四個子系統組成:商戶子系統、客戶子系統、銀行支付網關子系統、數字證書授權與認證子系統。
商戶子系統的第一個應用是用來購買購買飛機票的中國東方航空公司網站。網址為:www.cea.online.sh.cn;它是中國安全電子商務第一網站。
客戶子系統是安裝於PC機上的電子錢包軟體,是信用卡持有人進行網上消費的支付工具。電子錢包中必須加入客戶的信用卡信息與數字證書之後,方可進行網上消費。
支付網關子系統通常是指由收款銀行運行的一套設備,用來處理商戶的付款信息以及持卡人發出的付款指令。
數字證書授權與認證子系統為每個交易參與方生成一個數字證書作為交易方身份的驗證工具。
其技術特點是採用IBM的電子商務框架結構、嵌入經國家密碼管理委員會認可的加/解密用軟/硬體產品。這個電子商務系統具有如下的安全交易特點:
1) 遵循SET國際標准、具有SET標准規定的安全機制,是目前國際互聯網上運行的比較安全的電子商務系統;
2) 兼顧國內信用卡/儲蓄卡與國際信用卡的業務特點,具有一定的中國特色;
3) 具有開放特性,可與經SETCO國際組織認證的任何電子商務系統進行互操作;
H. 關於電子商務論文《電子商務的安全與管理》
電子商務的安全策略
摘要:
關鍵詞:
電子商務在功能上要求實現實時帳戶信息查詢。這就使電子商務系統必須在物理上與生產系統要有連接,這對於電子商務系統的安全性提出了更高的要求,必須保證外部網路(internet)用戶不能對生產系統構成威脅。為此,需要全方位地制定系統的安全策略。
就整個系統而言,安全性可以分為四個層次,如圖1所示
1.網路節點的安全
2.通訊的安全性
3.應用程序的安全性
4.用戶的認證管理
圖1:安全性四個層次結構
其中2、3、4層是通過操作系統和web伺服器軟體實現,網路節點的安全性依靠防火牆保證,我們應該首先保證網路節點的安全性。
一、網路節點的安全
1.防火牆
防火牆是在連接internet和intranet保證安全最為有效的方法,防火牆能夠有效地監視網路的通信信息,並記憶通信狀態,從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的intranet系統。
2.防火牆安全策略
應給予特別注意的是,防火牆不僅僅是路由器、堡壘主機或任何提供網路安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防禦體系來保護機構的信息資源,這種安全策略應包括:規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網路攻擊的地方都必須以同樣安全級別加以保護。僅設立防火牆系統,而沒有全面的安全策略,那麼防火牆就形同虛設。
3.安全操作系統
防火牆是基於操作系統的。如果信息通過操作系統的後門繞過防火牆進入內部網,則防火牆失效。所以,要保證防火牆發揮作用,必須保證操作系統的安全。只有在安全操作系統的基礎上,才能充分發揮防火牆的功能。在條件許可的情況下,應考慮將防火牆單獨安裝在硬體設備上。
二、通訊的安全
1.數據通訊
通訊的安全主要依靠對通信數據的加密來保證。在通訊鏈路上的數據安全,一定程度上取決於加密的演算法和加密的強度。 電子商務系統的數據通信主要存在於:
(1)客戶瀏覽器端與電子商務web伺服器端的通訊;
(2)電子商務web伺服器與電子商務資料庫伺服器的通訊;
(3)銀行內部網與業務網之間的數據通訊。其中(3)不在本系統的安全策略范圍內考慮。
2.安全鏈路
在客戶端瀏覽器和電子商務web伺服器之間採用ssl協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。目前採用的是瀏覽器預設的4o位加密強度,也可以考慮將加密強度增加到128位。 為在瀏覽器和伺服器之間建立安全機制,ssl首先要求伺服器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(ca中心)簽發。瀏覽器要驗征伺服器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰(pki)。建立ssl鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立ssl鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的伺服器證書通過後利用該證書對稱加密演算法(rsa)與伺服器協商一個對稱演算法及密鑰,然後用此對稱演算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。
三、應用程序的安全性
即使正確地配置了訪問控制規則,要滿足計算機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字元串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運 行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個預設的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一 些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字元串來實現的。程序不檢查輸入字元串長度。假的輸入字元串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶並賦予這個用戶特權。 訪問控制系統中沒有什麼可以檢測到這些問題。只有通過監視系統並尋找違反安全策略的行為,才能發現象這些問題一樣的錯誤。
四、用戶的認證管理
1.身份認證
電子商務企業用戶身份認證可以通過伺服器ca證書與ic卡相結合實現的。ca證書用來認證伺服器的身份,ic卡用來認證企業用戶的身份。個人用戶由於沒有提供交易功能,所以只採用id號和密碼口令的身份確認機制。
2.ca證書
要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是ca證書,它由認證授權中心(ca中心)發行。ca中心一般是社會公認的可靠組織,它對個人、組織進行審核後,為其發放數字證書,證書分為伺服器證書和個人證書。建立ssl安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立ssl鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時進行)。
五、安全管理
為了確保系統的安全性,除了採用上述技術手段外,還必須建立嚴格的內部安全機制。
對於所有接觸系統的人員,按其職責設定其訪問系統的最小許可權。
按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法佔用、冒用合法用戶帳號和密碼。
建立網路安全維護日誌,記錄與安全性相關的信息及事件,有情況出現時便於跟蹤查詢。定期檢查日誌,以便及時發現潛在的安全威脅。
對於重要數據要及時進行備份,且對資料庫中存放的數據,資料庫系統應視其重要性提供不同級別的數據加密。
安全實際上就是一種風險管理。任何技術手段都不能保證1oo%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。
I. 電子商務安全的管理方法有哪些
電子商務是利用各種電子化手段進行的商務活動,其價值的實現主要依託於網路,尤其是互聯網,它已經成為互聯網應用的一個必然趨勢和金融商貿的主要模式之一.如何建立一個安全的電子商務應用環境,對信息提供足夠的保護,已經成為電子商務必須直面的一個問題.
由於電子商務的重要技術特徵是利用網路來傳輸和處理商業信息,因此,電子商務安全主要包括兩個方面:網路安全和商務安全.而這些安全的實現又依託於一些具體的安全技術,遵循相關安全協議.
1 網路安全問題
網路安全主要是指計算機和網路本身可能存在的安全問題,也就是要保障電子商務平台的可用性和安全性.網路安全是電子商務的基礎,其問題一般表現為:
1.1 計算機本身潛在的安全隱患帶來的網路安全問題
計算機使用的是未經過相關的網路安全配置的操作系統,不論是什麼操作系統,在預設安裝的條件下都會存在一些安全問題,而僅僅將操作系統按預設安裝後,再配上很長的密碼就認為安全的想法是不可靠的.因為計算機本身存在的軟體漏洞和"後門"往往是網路攻擊的首選目標.
1.2 入侵者風險降低獲利升高帶來的刺激引發的網路安全問題
由於網路的全球性,開放性,共享性的發展,使得任何人都可以自由地接入互聯網,而這其中也包括了黑客,入侵者和病毒製造者.他們採用的攻擊方法越來越多,對電子商務的威脅也顯得越來越明顯.相對而言,襲擊者本身的風險卻非常小,甚至可以在襲擊後很快就消失得無影無蹤,使對方幾乎沒有實行報復打擊的可能,這使他們的活動更加猖獗.美國的"雅虎"和"亞馬遜"曾受到攻擊的事件就說明了這一點.
1.3 安全設備使用不當帶來的網路安全問題
雖然絕大多數網站採用了網路安全設備,有的甚至還耗費巨資,但由於安全設備本身因素或使用問題,這些設備並沒有起到應有的或期望的作用.很多安全廠商的產品對配置人員的技術背景要求很高,往往超出對普通網管人員的技術要求,就算是廠家在最初給用戶做了正確地安裝,配置,一旦系統改動,需要改動相關安全設備的設置時,很容易產生許多安全問題.而通常意義上的網路管理者往往無法勝任這樣的工作.
因此在實施網路安全防範措施時應做到:首先要加強主機本身的安全,做好安全配置;及時安裝安全補丁程序,減少漏洞;安裝防病毒軟體和軟體防火牆,加強內部網的整體防病毒措施;使用各種系統漏洞檢測軟體定期對網路系統進行掃描分析,找出可能存在的安全隱患,並及時加以修補;從路由器到用戶各級建立完善的訪問控制措施,安裝防火牆,加強授權管理和認證;利用相應的數據存儲技術加強數據備份和恢復措施;對敏感的設備和數據要建立必要的物理或邏輯隔離措施;對在公共網路上傳輸的敏感信息要進行一定強度的數據加密;建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊.同時充分利用已經公布的有關交易安全和計算機安全的法律法規為電子商務交易護航.再者,面對普通網路管理員的技術水平,在網路的建設和維護中可採用聯合開發維護的方式,通過前期的建設和維護不斷提高和完善自身團隊的技術水平,使其在成長中逐步勝任企業對網路安全的要求.
網路管理者在思想上高度重視安全問題也是相當有必要的.技術的產生一般相對於人們的需求有一定的滯後性,而建立和實施嚴密完善的網路安全制度和策略往往可以代替暫時無法實現的技術,畢竟這才是真正實現網路安全的基礎.
一個全方位的計算機網路安全體系結構通常包含網路的物理安全,訪問控制安全,系統安全,用戶安全,信息加密,安全傳輸和管理安全.這一切的實現依賴於各種先進的主機安全技術,身份認證技術,訪問控制技術,密碼技術,防火牆技術,安全審計技術,安全管理技術,系統漏洞檢測技術,黑客跟蹤技術.隨著安全核心系統,VPN安全隧道,身份認證,網路底層數據加密和網路入侵主動監測等越來越高深復雜的安全技術的應用,從不同層面加強了計算機網路的整體安全性,漸漸在攻擊者和受保護的資源間建立了多道嚴密的安全防線,增加了惡意入侵的難度.
為了保證電子商務活動的順利進行,必須有安全完善的網路體系為其提供穩定可靠,強有力的支撐.
2 商務安全問題
商務安全指商務交易在網路媒介中體現出來的安全問題,也就是要實現電子商務信息的保密性,完整性,真實性和不可抵賴性.
在早期的電子交易中,曾採用過一些簡單的安全措施.例如將網上交易中最關鍵的數據如信用卡號碼及成交數額等用電話告知,以防泄密,網上交易後再用其他方式對交易做確認,以保證其真實性和不可抵賴性.這些方法不僅操作不便,而且有一定的局限性,也不能實現其真正的安全性.
2.1 商務安全中普遍存在的幾種安全隱患
2.1.1 竊取信息
信息在傳輸過程中未採用相應的加密措施或加密強度不夠,導致數據信息在網路上以明文或近乎明文的形式傳送.入侵者在數據包經過的設備或線路上採用截獲方法截獲正在傳送的信息,通過對竊取數據參數的分析比對,找到信息的格式和規律,進而得到傳輸信息的內容,導致消費者消費信息,賬號密碼和企業商業機密等信息的外泄.
2.1.2 篡改信息
當入侵者掌握了信息的格式和規律後,通過各種技術方法和手段對網路傳輸中的信息進行截獲修改再發至原先指定目的地,從而破壞信息的真實性.入侵者通過改變信息流的次序,更改信息的內容,刪除信息的某些部分,甚至在信息中插入一些附加內容,使接收方做出錯誤的判斷與決策.
2.1.3 信息假冒
由於掌握了數據的格式,並可以篡改通過的信息,攻擊者可以進一步冒充合法用戶獲取和發送信息,而遠端接受方或發送方通常不易分辨.常見的方式有偽造用戶和商戶的收定貨單據,套取或修改相關程序的使用許可權等.
2.1.4 信息破壞
由於攻擊者已侵入網路,已獲得對網路中信息的修改許可權,如其對網路中現有機要信息進行修改乃至於刪除,其後果是非常嚴重的.
2.2 商務安全的要求
2.2.1 信息的保密性
交易中的商務信息都需要遵循一定的保密規則.因為其信息往往代表著國家,企業和個人的商業機密.在以往傳統的紙面貿易中採用郵寄封裝或通過可靠的通信渠道傳送商業信息來達到保密的目的和要求.而電子商務是建立在一個較為開放的互聯網路環境上的,它所依託的網路本身也就是由於開放式互聯形成的市場,才贏得了電子商務,因此在這一新的支撐環境下,勢必要用相應的技術和手段來延續和改進信息的保密性.一般用密碼技術來實現.
2.2.2 信息的完整性
不可否認電子商務的出現以計算機代替了人們大多數復雜的勞動,也以信息系統的形式整合化簡了企業貿易中的各個環節,但網路的開放和信息的處理自動化也使如何維護貿易各方商業信息的完整,統一出現了問題.由於數據輸入時的意外差錯(如計算機自動處理過程中死機,停電等),可能導致貿易各方信息的不一致.此外,數據傳輸過程中人為的或自然的信息丟失(如數據包丟失),信息重復或信息傳送的次序差異(如網路堵塞重發)也會導致貿易各方信息的不同.而貿易各方各類信息的完整性勢必影響到貿易過程中交易和經營策略.因此保持貿易各方信息的完整性是電子商務應用必備的基礎.完整性一般可通過提取信息消息摘要的方式來獲得.
2.2.3 信息的不可抵賴性
在交易中會出現交易抵賴的現象,如信息發送方在發送操作完成後否認曾經發送過該信息,或與之相反,接受方收到信息後並不承認曾經收到過該條消息.因此如何確定交易中的任何一方在交易過程中所收到的交易信息正是自己的合作對象發出的,而對方本身也沒有被假冒,是電子商務活動和諧順利進行的保證.信息的保證可以通過對發送的消息進行數字簽名來獲取.身份的確定一般都採用證書機構CA和證書的方法來實現.讓素昧平生,相隔千里的雙方成為合作夥伴畢竟不是一件容易的事情.
當然,在電子商務活動中還有許多要求,比如交易信息的時效界定問題,交易一旦達成後有無撤消和修改的可能等.相信在電子商務的發展中必將涌現各種技術和各項法律法規,規范人們的需求並幫助其實現,以保證電子商務交易的嚴肅性和公正性.
3 電子商務的安全技術
3.1 加密技術
加密技術是保證電子商務安全的重要手段,為保證電子商務安全使用加密技術對敏感的信息進行加密,保證電子商務的保密性,完整性,真實性和非否認服務.
3.1.1 加密技術的現狀
如同許多IT技術一樣,加密技術層出不窮,為人們提供了很多的選擇餘地,但與此同時也帶來了一個問題——兼容性,不同的企業可能會採用各自不同的標准.
另外,加密技術向來是由國家控制的,例如SSL的出口受到美國國家安全局(NSA)的限制.目前,美國的企業一般都可以使用128位的SSL,但美國只允許加密密鑰為40位以下的演算法出口.雖然40位的SSL也具有一定的加密強度,但它的安全系數顯然比128位的SSL要低得多.美國以外的國家很難真正在電子商務中充分利用SSL,這不能不說是一種遺憾.目前,我國由上海市電子商務安全證書管理中心推出的128位SSL演算法,彌補了國內的這一空缺,也為我國電子商務安全帶來了廣闊的前景.
3.1.2 常用的加密技術
對稱密鑰密碼演算法:對稱密碼體制由傳統簡單換位代替密碼發展而成,加密模式上可分為序列密碼和分組密碼兩類.
不對稱型加密演算法:也稱公用密鑰演算法,其特點是有二個密鑰即公用密鑰和私有密鑰,兩者必須成對使用才能完成加密和解密的全過程.本技術特別適用於分布式系統中的數據加密,在網路中被廣泛應用.其中公用密鑰公開,為數據源對數據加密使用,而用於解密的相應私有密鑰則由數據的接受方保管.
不可逆加密演算法:其特徵是加密過程不需要密鑰,並且經過加密的數據無法被解密,只有輸入同樣的數據經過同一不可逆加密演算法的比對才能得到相同的加密數據.因為其沒有密鑰所以不存在密鑰保管和分發問題,但由於它的加密計算工作量較大,所以通常只在數據量有限的情況下,例如計算機系統中的口令信息的加密.
3.1.3 電子商務領域常用的加密技術
數字摘要:又稱安全Hash編碼法.該編碼法採用單向Hash 函數將需加密的明文"摘要"成一串128bit的密文,這一串密文亦稱為數字指紋,具有固定的長度,並且不同的明文摘要其密文結果是不一樣的,而同樣的明文其摘要保持一致.
數字簽名:數字簽名是將數字摘要,公用密鑰演算法兩種加密方法結合使用.它的主要方式是報文的發送方從報文文本中生成一個128位的散列值(或報文摘要).發送方用自己的專用密鑰對這個散列值進行加密來形成發送方的數字簽名,然後這個數字簽名將作為報文的附件和報文一起發送給報文的接收方.報文的接收方首先從接收到的原始報文中計算出128位的散列值(或報文摘要),接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密.如果兩個散列值相同,那麼接收方就能確認該數字簽名是發送方的.通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性,有效地防止了簽名的否認和非正當簽名者的假冒.
數字時間戳:是對交易文件的時間信息所採取的安全措施.該網上安全服務項目,由專門的機構提供.時間戳是一個經加密後形成的憑證文檔,它包括:需加時間戳的文件的摘要,數字時間戳服務收到文件的日期和時間,數字時間戳服務的數字簽名.
數字證書:數字證書又稱為數字憑證,是用電子手段來證實一個用戶的身份和對網路資源的訪問許可權,主要有個人憑證,企業(伺服器)憑證,軟體(開發者)憑證三種.
3.2 身份認證技術
在網路上通過一個具有權威性和公正性的第三方機構——認證中心,將申請用戶的標識信息(如姓名,身份證號等)與他的公鑰捆綁在一起,用於在網路上驗證確定其用戶身份.前面所提到的數字時間戳服務和數字證書的發放,也都是由這個認證中心來完成的.
3.3 支付網關技術
支付網關,通常位於公網和傳統的銀行網路之間(或者終端和收費系統之間),其主要功能為:將公網傳來的數據包解密,並按照銀行系統內部的通信協議將數據重新打包;接收銀行系統內部傳回來的響應消息,將數據轉換為公網傳送的數據格式,並對其進行加密.支付網關技術主要完成通信,協議轉換和數據加解密功能,並且可以保護銀行內部網路.此外,支付網關還具有密鑰保護和證書管理等其它功能(有些內部使用網關還支持存儲和列印數據等擴展功能).
4 與電子商務安全有關的協議技術
4.1 SSL協議(Secure Sockets Layer)
SSL協議也叫安全套接層協議,面向連接的協議,是現在使用的主要協議之一,但當初並非為電子商務而設計.該協議使用公開密鑰體制和X.509數字證書技術來保護信息傳輸的機密性和完整性.SSL協議在應用層收發數據前,協商加密演算法,連接密鑰並認證通信雙方,從而為應用層提供了安全的傳輸通道,在該通道上可透明載入任何高層應用協議(如HTTP,FTP,TELNET等)以保證應用層數據傳輸的安全性.由於其獨立於應用層協議,在電子交易中常被用來安全傳送信用卡號碼,但由於它是個面向連接的協議,只適合於點對點之間的信息傳輸,即只能提供兩方的認證,而無法滿足現今主流的加入了認證方的三方協作式商務模式,因此在保證信息的不可抵賴性上存在著缺陷.
4.2 SET協議(Secure Electronic Transaction)
SET協議也叫安全電子交易,對基於信用卡進行電子化交易的應用提供了實現安全措施的規則,與SSL協議相比較,做了些改進.在商務安全問題中,往往持卡人希望在交易中對自己的交易信息保密,使之不會被人竊取,商家希望客戶的定單真實有效,並且在交易過程中,交易各方都希望驗明對方的身份,以防止被欺騙.針對這種情況,Visa和MasterCard兩大信用卡組織以及微軟等公司共同制定了SET協議,一個能保證通過開放網路(包括Internet)進行安全資金支付的技術標准.它採用公鑰密碼體制和X.509數字證書標准,主要應用於保障網上購物信息的安全性.由於SET 提供了消費者,商家和銀行之間的認證,彌補了SSL的不足,確保了交易數據的安全性,完整性,可靠性和交易的不可否認性,特別是保證不將消費者銀行卡號暴露給商家等優點,因此它成為目前公認的信用卡/借記卡網上交易的國際安全標准.
除此之外還有安全超文本傳輸協議(SHTTP),安全交易技術協議(STT)等.協議為電子商務提供了規范.
5 結語
安全是電子商務的核心和靈魂.電子商務對網路安全與商務安全的雙重要求,使網路安全與商務安全密不可分.沒有計算機網路安全作為基礎,商務交易安全猶如空中樓閣,無從談起;沒有商務安全保障,即使計算機網路本身再安全,仍然無法達到電子商務所特有的安全要求.而電子商務相應的實現技術和各種協議正是安全得以實現的保證.
J. 中國電子商務發展的現狀
從整體行業及細分行業的發展看,09年國內電子商務交易額將達到34278億元,增長率保持在40%以上。未來10
年,國內將有70%的貿易額將通過電子交易完成。國內B2B電子商務行業交易規模增長潛力巨大。此外,由於電子商務向行業的滲透將更加深入,加之B2C行
業對投資者的吸引力加強,B2C行業的份額將在09年呈現明顯的擴大趨勢,其中IT數碼、家居建材領域B2C行業將成為未來幾年國內電子商務行業發展的熱
點領域。
短短的兩個月時間,「當當·家居就建材家居旗艦店」就推出了多次促銷活動,月度銷售額增長率超過333%,或成為繼圖書、服裝、孕嬰童之後的又一戰略品類。
保險旅遊、批發零售行業電子商務份額擴大
從行業應用角度看,鑒於08年的經濟環境,國民的保險意識將進一步加強,而方便快捷的保險電子商務將成為保險客戶的
首選,因此未來保險電子商務仍將快速發展;同時,隨著經濟增長放緩,各省市將加強對旅遊產業的重視,從而提升本地經濟增長能力,在旅遊產業二次創業的要求
下,旅遊電子商務將成為未來各地著重發展的業務;此外,賽迪顧問認為國內國民消費能力在未來不會有太大波動,當行業物價逐步增高,網路平台所提供的低價格
產品將更加受到消費者青睞,隨著網民網上購物、網上支付以及物流服務的健全,直接面向個人消費者的批發零售業電子商務將會面臨最佳的發展機遇。
物流平台將逐步崛起,支付行業面臨洗牌
從電子商務行業支撐體系建設看,一方面09年物流公共信息平台在政府的持續推動下將有巨大發展,平台信息服務能力將
顯著提升,同時更多的電子商務服務商會加入物流體系建設的行列中。另一方面,網上支付服務商將在未來2年經歷二次篩選,資金短缺以及技術、商業模式、信用
體系等環節不健全的服務商將面臨被行業淘汰的危險。
從上面可以輕松看出,這些年國內電子商務之所以充滿機遇與挑戰,主要是政府和企業之間通力合作所產生的結果。國內電子商務也慢慢的與國際接軌。