A. 求一篇有关电子商务的论文或者ppt。
浅谈会计如何适应电子商务时代
来源:233网校论文中心[ 13-01-10 10:57:51 ]阅读:3142作者:杜丽霞编辑:studa1211
【论文摘 要】电子商务的发展极大地改变了会计环境,会计对象由过去实物形态的经济业务变成了虚拟状态的电子商务。相应地传统会计理论与实务正在逐步改变,未来的会计如何发展,这是本文探讨的问题。
一、传统会计的改变
1.会计观念方面。要求改变传统的会计观念,树立五种新的观念。一是新的时空观念,网络环境下,要求会计采用一种面向未来的时空观,即从面向过去的回顾型转向以对未来的预测及设想为中心的预期型,使会计系统与现实环境密切地融为一体;二是新的时点观念,网络环境将使公司的生产经营越来越多地采用实时管理、在线管理,只有时点观念才能与此相适应;三是风险观念,由于网络的运用,会计信息透明度提高,加剧了竞争,风险将伴随着整个商务活动,为此,应将风险内容列入会计的对象,或成为会计的一个要素,并尽可能地用适当的方法反映这些风险,以便使会计信息内容与用户的需求密切相关,真正具有决策价值;四是网络系统观念,网络系统是一个便利的信息交流系统,它一方面极大地拉近信息提供者与用户的时空距离,另一方面,通过交流,使交流者的思维相互启发,极大地增加了信息容量,丰富了信息的内涵与形式,形成了密切而多样化的信息交流和使用关系。以网络系统理论为基础的会计信息系统,将成为一个面向全球的系统,市场对其内容、方式的要求更高,意味着会计信息必须以用户的需求为基本出发点,及时提供灵活的多样化信息;五是信息质量观念,在快速变化的世界里,新事物层出不穷,不确定性因素日益增多,很难对任何事项都进行确切的验证或计量,因此,有必要在现行会计核算的基础上,加入概率、方差等反映不确定性因素的概念,建立专门反映不确定事项的会计方法体系,提高会计信息的相关性。
2.会计理论方面。四项基本假设与权责发生制已无法满足电子商务发展的客观需要。例如,企业间虚拟联合、战略联盟的出现,打破了传统会计主体假设的活动范围;网上兼并、收购、破产等活动的进行,对持续经营假设提出了疑问;会计实时报告系统的出现,可以随时生成财务报告,使会计分期假设已无存在的必要;伴随着资产从有形到无形的过程,会计计量也随之从计量有形资产向计量无形资产、货币与非货币计量并存的方向发展。再如,电子商务交易中,交易发生、付款和发送货物是在很短的时间内完成的,每一笔交易只有一个会计期间,即交易期间,不存在多个期间中前后各期的问题 ,公司的收支均在同一交易期内完成,使得权责发生制已失去存在的基础,采用收付实现制更为合理。
3.会计组织方面。电子商务环境下,会计部门与其它部门相互融合,上下级之间、部门之间以及与外界的沟通,出现了模糊分工状况,会计组织结构由垂直型变为扁平型,会计组织功能由核算型变为管理型、服务型。
4.会计服务方面。电子商务是基于信息网络、信息社会的产物,可以将原有的商务活动扩散,伸向商品生产企业的采购、销售环节,伸向政府的贸易,伸向消费者的办公室,伸向家庭等网络可以到达的一切地方,相应地形成全球统一、规范竞争的大市场。会计为了适应电子商务的发展,服务范围将不断扩大,将面向政府、流通行业、生产行业、消费者及国内外贸易的各个方面。正朝着一体化的方向发展,因为电子商务是国际性的,相应地,反映电子商务的会计也必然是国际性的,会计服务必将打破国界,使全球各地区的人们可以在国际化的会计市场中方便地寻求自己所需的会计商品,同时也可以提供自己的会计商品。
5.会计工作方面。必须从传统的会计转向计算机网络会计。工作重心是,编制财务预算,对系统所产生的数据进行加工和对子系统进行设计,设计管理决策所用的各种内部报表,审查管理方案,编制税单和外部用户所需的信息报告,为公司高层管理人员提供各种信息咨询等等
二、未来会计发展必由之路——电子商务会计
传统的企业会计系统理念、理论与方法,面对电子商务的大潮显然将是苍白无力的,企业会计系统必然要转型,这就使得一种新型的会计的理念—电子商务会计应运而生。如何将电子商务会计做好。针对面临的种种问题,我们要努力做好以下四个方面:
首先,加强电子商务会计安全防范措施,建立起安全可靠的电子商务会计系统。包括以下内容:必须建成一个安全可靠的电子商务通信网络;设立防火墙、电子密钥系统;必须有权威或认证机构,由专门的验证中心验证交易双方的身份,并颁发安全证书,持有安全证书一方才有资格进入电子商务会计系统;
其次,加强电子商务立法措施,为电子商务会计发展提供一个健全的法律环境。在民法基本法的立法上,应反映出交易安全的理念。为此,要大胆借鉴和移植发达国家电子商务保护交易安全的成功经验和制度,并结合我国的实际情况,构造一套强化交易安全保护的法律制度;在商事单行法的立法上,可以基于商法的特别法地位及其相对独立性,满足商法中商业行为较高的交易安全要 求;在计算机及其网络安全管理的立法上,应针对电子商务交易在虚拟环境中运行的特点,明确提出电子商务交易安全保护的法律措施;在法律解释上,当务之急是全面清理最高人民法院做出的司法解释,剔除不利于交易安全的结论,并在以后的解释中注重考虑交易安全的因素;在条件成熟的时候,指定保护电子商务交易安全的专门法规文件。此外,对于保密法,知识产权保护法、税法、广告法等,也有一个内容修改和范围扩充的任务。
再次,要大力培养全方位、复合型电子商务会计人才。电子商务是一个系统,系统的中心是人。由于电子商务是信息现代化与商贸的有机结合,所以能掌握并运用电子商务技术与财务理论的人必然是掌握现代信息技术、现代商贸理论与实务的复合型人才。我们必须营造出一个全社会普及电子商务会计的社会氛围,从深度和广度上加强对电子商务会计理论的认识、理解、培训。
最后,发展电子商务会计市场。电子商务会计市场是电子商务会计商品进行交换的场所,也是电子商务会计发展的客观环境。完善的电子商务会计市场将对电子商务会计的发展起到重要的影响作用。我们要建立起面向全世界的国际电子商务会计市场,开通电子商务会计网站,与世界各国进行会计信息交流、促进会计信息自由流动,为会计准则协调与发展,提供一个广阔的空间。同时,还要注重对电子商务会计市场安装一个“净化装置”,如:签订市场准则协议、设立签证中心等,对会计信息进入市场前先予以净化、过滤,以保证在会计市场上流动的信息的质量性、及时性、有效性。
作为电子商务与传统会计的结合物,电子商务会计将会对传统会计理论框架产生了巨大的冲击,同时也蕴育着会计应用领域内一次划时代的制度变迁。中国正在由传统经济向更高级的网络信用经济发展,经济结构调整后,中国的IT产业后发优势还会发挥得更加充分,以后市场、政府、企业三种主体之间的相互配合还会变得更加密切。电子商务、电子会计模式就是这种新型市场经济关系在网络上的成功应用。
参考文献:
[1]林杰新,葛星《我国企业信息化的阶段论》[J]商业时代,2007,(27).
[2]金光华《企业信息化与电子商务》[J]上海会计,2009,(4).
[3]陈月波 《电子商务概论》[M]北京:清华大学出版社,2008-08.
B. 目前电子商务安全的现状如何
在正确看待电子商务的安全问题时,有几个观念值得注意:
其一,安全是一个系统的概念。安全问题不仅仅是个技术性的问题,不仅仅只涉及到技术,更重要的还有管理,而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起了。
其二,安全是相对的。房子的窗户上只有一块玻璃,一般说来这已经很安全,但是如果非要用石头去砸,那就不安全了。我们不会因为石头能砸碎玻璃而去怀疑它的安全性,因为大家都有一个普遍的认识:玻璃是不能砸的,有了窗玻璃就可以保证房子的安全。同样,不要追求一个永远也攻不破的安全技术,安全与管理始终是联系在一起的。也就是说安全是相对的,而不是绝对的,如果要想以后的网站永远不受攻击,不出安全问题是很难的,我们要正确认识这个问题。
其三,安全是有成本和代价的。无论是现在国外的B-to-B还是B-to-C,都要考虑到安全的代价和成本的问题。如果只注重速度就必定要以牺牲安全来作为代价,如果能考虑到安全速度就得慢一点,把安全性保障得更好一些,当然这与电子商务的具体应用有关。如果不直接牵涉到支付等敏感问题,对安全的要求就低一些;如果牵涉到支付问题对安全的要求就要高一些,所以安全是有成本和代价的。作为一个经营者,应该综合考虑这些因素;作为安全技术的提供者,在研发技术时也要考虑到这些因素。
其四,安全是发展的、动态的。今天安全明天就不一定很安全,因为网络的攻防是此消彼长、道高一尺、魔高一丈的事情,尤其是安全技术,它的敏感性、竞争性以及对抗性都是很强的,这就需要不断地检查、评估和调整相应的安全策略。没有一劳永逸的安全,也没有一蹴而就的安全。
C. 求一篇《浅析我国电子商务安全现状与应对策略》论文
你好,可以给我一个邮箱吗,我上图书馆资源数据库搜索的以下文章,我把他们发给你
四篇文章题名为:
《电子商务安全管理的现状及其对策》
《我国电子商务安全防范的现状及解决途径》
《我国电子商务安全现状及防范对策探讨》
《浅析我国电子商务安全现状》
希望对你有帮助~
知道 举手之劳团队 队长:晓斌
D. 就电子商务发展现状有什么看法
其一,我国电子商务仍然保持快速增长态势,潜力巨大。
我国近年来的电子商务交易额增长率一直保持快速增长势头。特别是网络零售市场更是发展迅速,2012年达到13110亿元。而2013年天猫“11·11”购物狂欢节支付宝成交额达350.19亿元,更是让人们看到我国网络零售市场发展的巨大潜力。毫无疑问,电子商务正在成为拉动国民经济保持快速可持续增长的重要动力和引擎。
其二,企业、行业信息化快速发展,为加快电子商务应用提供坚实基础。
近年来,在国家大力推进信息化和工业化融合的环境下,我国服务行业、企业加快信息化建设步伐,电子商务应用需求变得日益强劲。不少传统行业领域在开展电子商务应用方面取得了较好成绩。农村信息化取得了可喜的成绩,创新电子商务应用模式,涌现出一批淘宝店,一些村庄围绕自身的资源、市场优势,开展特色电子商务应用。传统零售企业纷纷进军电子商务。其他行业如邮政、旅游、保险等也都在已有的信息化建设基础之上,着力发展电子商务业务。
其三,电子商务服务业迅猛发展,初步形成功能完善的业态体系。
从电子商务交易情况来看,近年来出现了一些新的发展趋势。一是发展模式不断演变。近年来B2B与B2C加速整合,并由信息平台向交易平台转变。二是零售电子商务平台化趋势日益明显。具体包括3种情况:追求全品类覆盖的综合性平台,专注细分市场的垂直型平台,大型企业自营网站逐渐向第三方平台转变。三是平台之间竞争激烈,市场日益集中。以阿里巴巴、京东商城为第一梯队拉开了与其他中小型电子商务企业的差距。从支撑性电子商务服务业来看,近年来出现了不少重大的变化。比如,各方面的功能日益独立显现,呈现高度分工的局面;新一代信息技术在电子商务服务中得到快速应用,除了物联网技术外,大数据正逐渐让数据挖掘发挥其精准营销功能;电子商务平台的功能日益全能化。从辅助性电子商务服务来看,围绕网络交易派生出一些新的服务行业,如网络议价、网络模特、网(站)店运营服务与外包等。
其四,跨境电子交易获得快速发展。
在国际经济形势持续不振的环境下,我国中小外贸企业跨境电子商务仍逆势而为,近年来保持了30%的年均增速。有关部门正加紧完善促进跨境网上交易对平台、物流、支付结算等方面的配套政策措施,促进跨境电子商务模式不断创新,出现了一站式推广、平台化运营、网络购物业务与会展相结合等模式,使得更多中国制造产品得以通过在线外贸平台走向国外市场,有力推动了跨境电子商务纵深发展。
此外,电子商务发展环境不断改善。全社会电子商务应用意识不断增强,应用技能得到有效提高。相关部门协同推进电子商务发展的工作机制初步建立,围绕电子认证、网络购物等主题,出台了一系列政策、规章和标准规范,为构建良好的电子商务发展环境进行了积极探索。
E. 电子商务发展存在什么问题
(1)商业模式缺乏创新
目前,我国电子商务处于对传统商业模式和国外经营模式的抄袭、模仿的水平上,很少有结合我国国情的创新模式。从理论上讲,与传统商务对比,电子商务具有很多优越性。但由于各种原因,网站的爆炸式增长与网站的“烧钱式”亏损形成了巨大的反差。据有关人士分析,电子商务理论上可以节省76.59%的交易费用,但实际上在中国只节省了11.61%的交易费用。在近几年的电子商务热中,我国出现了不少电子商务网站,但大部分电子商务网站走的是“大肆炒作、吸引公众、争取广告、上市圈钱”这样一条路子,由于网上交易量太少,其收入不足以维持日常的运转,大多数网站不得不依靠外来资金的不断投入,因此,2000年下半年以来,在美国纳斯达克指数迅速下降的影响下,我国不少互联网企业出现了生存危机,裁员、倒闭接踵而至。在深刻的教训面前,网络公司要重新考虑自身定位,回归到“以利润为中心”的轨道上。
(2)企业信息化水平很低
企业信息化与电子商务是密不可分的,企业信息化是开展电子商务的基础。企业信息化落后严重制约着电子商务在我国的发展。企业作为电子商务的主体,业务流程和管理过程的信息化是企业开展电子商务的必要前提。目前我国已经上网的企业不到企业总数的1%,在15000家左右国有大中型企业中,大约有10%左右的企业基本上实现了企业信息化,大约有70%左右的企业拥有一定的信息手段或着手向实现企业信息化的方向努力,大约有20%的企业只有少量的计算机。目前在国家工商局注册登记的1000万家左右中小企业中,只有大约百分之几的企业拥有一定的现代化信息手段。
(3)社会信用体系没有形成
在市场经济中,良好的信用对于一个企业的作用是无庸讳言的,可以给企业带来稳定的供应商和客户群以及随之而来的各种额外收益。但是在我国信用体系还没有建立和完善的情况下,企业不讲信用比讲信用经常获利更多。在经济转型过程中,中国的社会化信用体系很不健全,信用心理不健康。交易行为缺乏必要的自律和严厉的社会监督。在网上交易中,如何保护企业的商务秘密?如何确定交易双方的真实身份和可靠性?如何保证交易达成后的不可否认性和不可修改性?如何保证网上支付的安全?网上交易发生纠纷怎么办?如何取得满意的售后服务?等。这些令人担忧的问题没有得到很好地解决在很大程度上影响了我国企业和消费者对电子商务的信心和热情。
(4)电子商务高级人才匮乏
电子商务发展的人才资源尚显不足。电子商务是信息化与传统商务的有机结合,需要大量既掌握现代信息技术又精通现代商贸理论与实务的复合型人才。一个国家、一个地区能否培养出大批这样的复合人才就成为该国、该地区发展电子商务的最关键因素。虽然清华大学、浙江大学等高校开始专门培养电子商务专业人才,但目前而言,具有创新思维的电子商务理论、规划与管理的人才奇缺,人才匮乏是电子商务发展的又一难题。电子商务是一个跨学科的领域,涉及到计算机、经济、管理、法律等各个方面。电子商务人才实际上是一种复合型人才,目前社会上的电子商务培训班,在教学过程中“重电子轻商务”或者“重商务轻电子”。即使能够两头兼顾,也多是一种简单机械的拼凑组合,没有按照这门课程本身的内在规律和实际需求来进行科学系统的设计。以这样的电子商务的教学水平,要培养一批既懂电子商务技术,又有金融、商贸、物流等知识的跨领域的专门人才、复合人才,存在很大难度。另外,目前国内电子商务的教育和培训还缺乏统一的管理和规范。
(5)电子商务政策法规很不健全
在宏观层面上,政策法规不健全、标准不统一以及商务实践的盲目性等显示我国电子商务发展缺乏统一的指导方针、发展规划和实施战略。电子商务是一项复杂的系统工程。它不仅涉及参加交易的双方,而且涉及不同地区、不同国家的工商管理、海关、保险、税收、银行等部门。这就需要有统一的法律和政策框架以及强有力的跨地区、跨部门的综合协调机构。现行管理体制基本上是计划经济时代的产物,集中表现为条块分割、设置不合理、协调不够、办事效率低下、对新经济适应性较差。虽然,近年来中国已经出台了一些有关政策法规,但总体来看,还是很不健全的,目前针对电子商务的专门立法还是空缺,尤其是在跨国家、跨地区、跨部门协调方面存在不少问题,如国家计委、商务部、信息产业部等政府部门均出台了有关促进电子商务发展的政策报告,但由于侧重点不同且缺乏相互之间的协调,显得政出多门,难以落实。
(6)电子商务支撑体系还不完善
F. 电子商务的现状
参考一下此篇吧.
加快我国电子商务发展的对策建议
20世纪90年代以来,电子商务在全球范围内的兴起和迅猛发展,快速地改变着原有经济格局,以及传统的经济运行方式和增长模式。电子商务在催生新经济和推动经济全球化中所表现出来的巨大能量,已经使其成为评价一国经济发展水平和可持续发展能力的重要指标。因此,了解我国电子商务发展现状,客观认识我国电子商务发展中的问题,研究对策,实现加速、健康、稳定发展,应该成为我们全面建设小康社会的一项紧迫而重要的任务。
一、我国电子商务发展现状分析
1、我国电子商务几乎是与除美国以外的多数发达国家同时起步的
1996年6月,中国公用计算机互联骨干网(CHINANET)工程建成开通;1997年6月中国互联网络经济信息中心(CNNIC)完成组建,开始行使国家互联网络信息中心职能;1998年10月“金贸工程”正式启动,北京、上海等城市启动电子商务示范工程;1999年3月阿里巴巴网站诞生;同年5月8848网站推出并成为当年国内最具影响力的B2C网站;2000年6月,中国金融认证中心(CFCA)成立,专为金融业务各种认证需求提供书证服务。即使在纳斯达克崩盘,全球电子商务陷入困境的2001年,我国还是顶住巨大的市场压力正式启动了国家“十五”科技攻关重大项目“国家信息安全应用示范工程”。
2、目前我国电子商务活动已经进入到几乎所有商务领域
中国电子信息产业发展研究院于2001年8月20日-10月12日对我国企业信息化建设现状调查结果显示,在接受调查的北京、上海、广州、成都等10个主要城市的机械、电子、汽车、化工、电力等13个行业中,有22.3%的企业参与了电子商务,利用网络进行供应链集成、分销渠道管理、网上销售的比例分别占9.3%、18.6%和51.4%。另据央视调查咨询中心的调查,1999年-2000年在我国北京、上海、广州、深圳等15个城市,仅消费类电子商务活动网上购物总额就达到5500万元。初步统计,2002年我国有上网用户3370万人,各类电子商务网站1100家,全国直接电子商务网上交易额约100亿元。从另一个侧面反映我国电子商务发展水平的是,到2001年底我国政府机构中已有86个部委和国务院直属机构加入到“政府上网工程”行列,31个省、市、自治区政府和16个大中城市政府,通过“全国办公业务资源网”实现了业务联网。而随着以“金桥”、“金关”、“金卡”为内容的“三金工程”的建设进展,将很快实现海关、商检、税务、外汇管理、统计、银行及企业之间及时准确的信息数据传递与交换,为电子商务的普及打下坚实基础。
3、从总体上说,目前我国电子商务发展水平与欧美日等发达国家相比仍有较大差距
仅就电子商务活动的表象特点上说,电子商务是一种以信息互联网络为载体的商务活动新模式,它的发生、发展状态基本上是受制于信息技术及网络设施,即信息网络基础设施水平和对应于网络经济的社会法律、诚信环境建设状况的。因此,尽管我国政府高度重视电子商务发展,而且基本上与世界发达国家同步推出了一系列宣传、引导、鼓励、支持电子商务发展的政策、措施,促成了我国电子商务与目前的电子商务大国同时起步。但是,我国毕竟还是发展中国家,各项社会性基础设施不甚完备,虽然电信网络设施近些年发展很快,但相比发达国家仍有较大差距。而保障电子商务活动规范、顺畅、安全运行的社会法规、诚信环境不完备则是制约我国电子商务发展的更直接、深层的因素。另外,转型过程中的经济体制、企业制度以及经济运行方式也不尽适应发展电子商务的要求。
具体到电子商务活动运行本身,目前最直接的制约因素,大约有以下三个方面:
(1)网上支付问题。网上支付是电子商务的关键环节,网上支付的安全、便捷、规范和高效是发展电子商务的必需条件。网上支付需要具备四个方面的条件,即商务系统、电子钱包、支付网关和安全认证。其中安全认证是目前必须解决的核心问题所在。理由一是,虽然在技术方面已经提供了很多保障手段,但实际运作中还存在很多问题。二是虽然各家银行都直接或间接地建立了自己的CA认证中心,但至今缺乏统一的、权威的、全国性的CA认证中心,这就容易导致交叉认证、重复认证和资源浪费。三是缺乏明确的相关法律保障,出现问题后的责任认定、承担、仲裁结果的执行等复杂的法律关系难以解决。而且新《合同法》虽然承认了电子合同的法律效用,却没有解决数字签名问题。这些都增加网上交易的风险。另外,网上支付效率低下,银行确认支付时间长(约需10天),收费高(信用卡收取5%的管理费)、限制多,实际制约了电子商务的发展。
(2)现行税制问题。电子商务是完全不同于传统商务运行方式的新的商务模式,目前我国还没有针对电子商务交易的明确税法条文。这种状况长期存在下去,必然会影响到电子商务的健康有序发展。
3、物流体系的制约。电子商务交易的商品流通,绝大部分仍然需要有一个实物转移,即物流过程。因此,电子商务的效率实际上很大部分是要由物流过程的效率性来实现的。目前我国为电子商务服务的物流企业中有1000余家是传统的物流企业,数量规模供大于求,质量则有待提高。没有高效率的物流体系作保障,电子商务的无空间距离快速交易的优势就难以体现。
二、加快发展我国电子商务的对策建议
制约我国电子商务发展的问题很多,但最基本的还是信息网络基础设施量不足、质不高、业务主管部门不明确和相关法律制度不完备,社会诚信环境不理想等问题。我国电子商务要实现高速、健康发展,必须尽快在这些方面的建设上取得实质性的长足进步。为避免被发达国家集团,甚至被目前与我国同步发展的经济体逐出全球电子商务事业圈的危险,近期首先必须在以下几个方面作出积极努力。
1、加快基础性信息网络建设
中国电子商务要在发展中求规范、求质量。首先,中央和各地政府要尽快建设新一代的高速信息传递骨干网络和宽带高速计算机互联网,提高上网速度,降低上网费用,构建能够满足社会经济发展需要的信息化基础平台。在此基础上组建并完善标准化、广域型、基础性的商品订货系统、商品交易网络、商品信息发布系统等电子网络体系,使尽可能多的企业、商品和商务活动进入电子商务领域。其次,要制定实际措施鼓励企业加大信息技术升级和系统建设投入,尽快实现企业内部信息管理的电子化,为推动全社会电子商务发展打下坚实基础。第三,要积极研究、探索和创造传统产业、企业和产品开展电子商务活动的新形式和新途径,把我国电子商务建立在更广阔的发展平台上。
2、完善网络贸易的法律体系
要针对当前存在的问题,借鉴电子商务发达国家的经验,结合我国实际,早日出台可具体操作的《电子商务法》及相关法律,构建有利于促进我国电子商务健康发展的法律体系。电子商务法体系既要符合我国特点,又必须能够与国际接轨。从我国商务活动的实际出发,新的电子商务法规必须具有规范交易程序和行为、保障交易公平和安全、清晰界定责任的法律功效。
3、尽快建立独立的电子商务税收制度
目前不同经济发展水平的国家,对电子商务的征税制度各不相同。美国对电子商务实行全面免税制度:禁止联邦和州政府对Internet访问征新税,对数字化产品和服务暂缓征税,对任何形式的电子商务不再增加新税。欧盟则采用“清晰与中性的税收”制度,对在Internet上从事电子商务活动的企业和个人征收增值税,不征额外税。而大多数发展中国家对电子商务的涉税问题没有明确的政策。我国应对电子商务的税制建设持积极主动态度。国家税务局提出的电子商务税制“六原则”应是大体适应近中期我国电子商务发展要求和国民经济整体发展利益的税制框架。现在需要加紧做的,是按照这一框架要求制定出具体独立的电子商务税收制度和实施细则。
4、采取积极措施,鼓励和支持更多的传统企业、企业的产品和服务贸易活动电子化
电子商务的核心内容毕竟还是商务,电子化只是活动形式的变革,而现阶段商务活动的主体依然是传统产业、企业的产品贸易,离开这一主体,单纯依靠专业网络公司,商务活动的全面电子化是难以成立的。近5-6年国内外电子商务发展的历程也证明了这一点。因此,只有当尽可能多的传统企业的商务活动实现了电子化,才能实现经济运行的电子商务化。
5、商务部要加强规划和指导,以保障电子商务的健康稳定发展发展电子商务的主要动力,理应是来自社会的、民间的、市场的力量。但是,电子商务是在高度依赖高新技术和众多社会公共产品、共用设施、公共资源的基础上,对传统商务模式的变革,其发生、发展是离不开政府支持的。这种支持,除了前面论述的硬设施(网络基础设施等)和软设施(贸易、税收等制度和法律体系建设等)环境两方面内容外,商务活动的行政主管部门对电子商务发展的规划、规范工作也是不可或缺的。同任何形式的商务活动一样,市场秩序是决定其发展前景的关键因素,而市场秩序的形成和完善有赖于行政部门在法律框架内对市场运行及市场行为进行具体化规划和规范。这就是即使在最自由、最开放的领域,市场经济条件下相应于各类经济活动的行政主管部门之所以仍然存在的理由,中外各国概莫能外。因此,作为商务活动行政主管部门的商务部,应该切实担负起规划我国电子商务发展方向,规范具体发展行为的责任。
6、加快建设适应在传统产业和产品交易中进行电子商务活动的物流体系要充分考虑电子商务发展对传统经济运行方式和商品交易、流通模式带来的革命性改变趋势,建设与之相配套的新的物流体系。
作者:张育林 李永江(商务部研究院 研究人员)
G. 电子商务安全技术的发展状况
1、电子商务的安全控制要求概述
电子商务发展的核心和关键问题是交易的安全性。由于Internet本身的开放性,使网上交易面临了种种危险,也由此提出了相应的安全控制要求。
1.1信息保密性
交易中的商务信息有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。
1.2交易者身份的确定性
网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家而言要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个弄虚作假的黑店。因此能方便而可靠地确认对方身份是交易的前提。
1.3不可否认性
由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。
1.4不可修改性
交易的文件是不可被修改的,如其能改动文件内容,那么交易本身便是不可靠的,客户或商家可能会因此而蒙受损失。因此电子交易文件也要能做到不可修改,以保障交易的严肃和公正。
2、电子商务安全交易的有关标准和实施方法
2.1安全交易的雏形
在电子商务实施初期,曾采用过一些简易的安全措施,这些措施包括:
(1) 部分告知(Partial Order):即在网上交易中将最关键的数据如信用卡号码及成交数额等略去,然后再用电话告之,以防泄密。
(2) 另行确认(Order Confirmation):即当在网上传输交易信息之后,再用电子邮件对交易作确认,才认为有效。
(3) 在线服务(Online Service):为了保证信息传输的安全,用企业提供的内部网来提供联机服务。
以上所述的种种方法,均有一定的局限性,且操作麻烦,不能实现真正的安全可靠性。
2.2安全交易标准的制定
近年来,IT业界与金融行业一起,推出不少更有效的安全交易标准。主要有:
(1) 安全超文本传输协议(S-HTTP):依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。
(2) 安全套接层协议(SSL协议:Secure Socket Layer)是由网景(Netscape)公司推出的一种安全通信协议,是对计算机之间整个会话进行加密的协议,提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于Netscape Communicator和Microsoft IE浏览器,用以完成需要的安全交易操作。在SSL中,采用了公开密钥和私有密钥两种加密方法。
(3) 安全交易技术协议(STT:Secure Transaction Technology):由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft将在Internet Explorer中采用这一技术。
(4) 安全电子交易协议(SET:Secure Electronic Transaction):SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。
目前公布的SET正式文本涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准,其交易形态将成为未来“电子商务”的规范。
支付系统是电子商务的关键,但支持支付系统的关键技术的未来走向尚未确定。安全套接层(SSL)和安全电子交易(SET)是两种重要的通信协议,每一种都提供了通过Internet进行支付的手段。但是,两者之中谁将领导未来呢?SET将立刻替换SSL吗?SET会因其复杂性而消亡吗?SSL真的能完全满足电子商务的需要吗?我们可以从以下几点对比作管中一窥:
SSL提供了两台机器间的安全连接。支付系统经常通过在SSL连接上传输信用卡卡号的方式来构建,在线银行和其他金融系统也常常构建在SSL之上。虽然基于SSL的信用卡支付方式促进了电子商务的发展,但如果想要电子商务得以成功地广泛开展的话,必须采用更先进的支付系统。SSL被广泛应用的原因在于它被大部分Web浏览器和Web服务器所内置,比较容易被应用。
SET和SSL除了都采用RSA公钥算法以外,二者在其他技术方面没有任何相似之处。而RSA在二者中也被用来实现不同的安全目标。
SET是一种基于消息流的协议,它主要由MasterCard和Visa以及其他一些业界主流厂商设计发布,用来保证公共网络上银行卡支付交易的安全性。SET已经在国际上被大量实验性地使用并经受了考验,但大多数在Internet上购的消费者并没有真正使用SET。
SET是一个非常复杂的协议,因为它非常详细而准确地反映了卡交易各方之间存在的各种关系。SET还定义了加密信息的格式和完成一笔卡支付交易过程中各方传输信息的规则。事实上,SET远远不止是一个技术方面的协议,它还说明了每一方所持有的数字证书的合法含义,希望得到数字证书以及响应信息的各方应有的动作,与一笔交易紧密相关的责任分担。
3、目前安全电子交易的手段
在近年来发表的多个安全电子交易协议或标准中,均采纳了一些常用的安全电子交易的方法和手段。典型的方法和手段有以下几种:
3.1密码技术
采用密码技术对信息加密,是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种:
(1)公共密钥和私用密钥(public key and private key)
这一加密方法亦称为RSA编码法,是由Rivest、Shamir和Adlernan三人所研究发明的。它利用两个很大的质数相乘所产生的乘积来加密。这两个质数无论哪一个先与原文件编码相乘,对文件加密,均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数,则是十分困难的。因此将这一对质数称为密钥对(Key Pair)。在加密应用时,某个用户总是将一个密钥公开,让需发信的人员将信息用其公共密钥加密后发给该用户,而一旦信息加密后,只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份的人员的公共密钥可在网上查到,亦可在请对方发信息时主动将公共密钥传给对方,这样保证在Internet上传输信息的保密和安全。
(2)数字摘要(digital digest)
这一加密方法亦称安全Hash编码法(SHA:Secure Hash Algorithm)或MD5(MD Standards for Message Digest),由Ron Rivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文,这一串密文亦称为数字指纹(Finger Print),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这摘要便可成为验证明文是否是“真身”的“指纹”了。
上述两种方法可结合起来使用,数字签名就是上述两法结合使用的实例。
3.2数字签名(digital signature)
在书面文件上签名是确认文件的一种手段,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。数字签名与书面文件签名有相同之处,采用数字签名,也能确认以下两点:
a. 信息是由签名者发送的。
b. 信息在传输过程中未曾作过任何修改。
这样数字签名就可用来防止电子信息因易被修改而有人作伪;或冒用别人名义发送信息;或发出(收到)信件后又加以否认等情况发生。
数字签名采用了双重加密的方法来实现防伪、防赖。其原理为:
(1) 被发送文件用SHA编码加密产生128bit的数字摘要(见上节)。
(2) 发送方用自己的私用密钥对摘要再加密,这就形成了数字签名。
(3) 将原文和加密的摘要同时传给对方。
(4) 对方用发送方的公共密钥对摘要解密,同时对收到的文件用SHA编码加密产生又一摘要。
(5) 将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致,则说明传送过程中信息没有被破坏或篡改过。否则不然。
3.3数字时间戳(digital time-stamp)
交易文件中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。
在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS:digital time-stamp service)就能提供电子文件发表时间的安全保护。
数字时间戳服务(DTS)是网上安全服务项目,由专门的机构提供。时间戳(time-stamp)是一个经加密后形成的凭证文档,它包括三个部分:1)需加时间戳的文件的摘要(digest),2)DTS收到文件的日期和时间,3)DTS的数字签名。
时间戳产生的过程为:用户首先将需要加时间戳的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。由Bellcore创造的DTS采用如下的过程:加密时将摘要信息归并到二叉树的数据结构;再将二叉树的根值发表在报纸上,这样更有效地为文件发表时间提供了佐证。注意,书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由认证单位DTS来加的,以DTS收到文件的时间为依据。因此,时间戳也可作为科学家的科学发明文献的时间认证。
3.4数字凭证(digital certificate, digital ID)
数字凭证又称为数字证书,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。在网上的电子交易中,如双方出示了各自的数字凭证,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。数字凭证可用于电子邮件、电子商务、群件、电子基金转移等各种用途。
数字凭证的内部格式是由CCITT X.509国际标准所规定的,它包含了以下几点:
(1) 凭证拥有者的姓名,
(2) 凭证拥有者的公共密钥,
(3) 公共密钥的有效期,
(4) 颁发数字凭证的单位,
(5) 数字凭证的序列号(Serial number),
(6) 颁发数字凭证单位的数字签名。
数字凭证有三种类型:
(1) 个人凭证(Personal Digital ID):它仅仅为某一个用户提供凭证,以帮助其个人在网上进行安全交易操作。个人身份的数字凭证通常是安装在客户端的浏览器内的。并通过安全的电子邮件(S/MIME)来进行交易操作。
(2) 企业(服务器)凭证(Server ID):它通常为网上的某个Web服务器提供凭证,拥有Web服务器的企业就可以用具有凭证的万维网站点(Web Site)来进行安全电子交易。有凭证的Web服务器会自动地将其与客户端Web浏览器通信的信息加密。
(3) 软件(开发者)凭证(Developer ID):它通常为Internet中被下载的软件提供凭证,该凭证用于和微软公司Authenticode技术(合法化软件)结合的软件,以使用户在下载软件时能获得所需的信息。
上述三类凭证中前二类是常用的凭证,第三类则用于较特殊的场合,大部分认证中心提供前两类凭证,能提供各类凭证的认证中心并不普遍。
3.5认证中心(CA:Certification Authority)
在电子交易中,无论是数字时间戳服务(DTS)还是数字凭证(Digital ID)的发放,都不是靠交易的双方自己能完成的,而需要有一个具有权威性和公正性的第三方(third party)来完成。认证中心(CA)就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字凭证的申请、签发及对数字凭证的管理。认证中心依据认证操作规定(CPS:Certification Practice Statement)来实施服务操作。
上述五个方面介绍了安全电子交易的常用手段,各种手段常常是结合在一起使用的,从而构成比较全面的安全电子交易体系。
4、应用动态
根据最新报道,我国第一个安全电子商务系统:“网上订票与支付系统”经过半年试运行后,于1999年8月8日投入正式运行,其发起单位由上海市政府商业委员会、上海市邮电管理局、中国东方航空股份有限公司、中国工商银行上海市分行、上海市电子商务安全证书管理中心有限公司等共同发起、投资与开发。
系统结构采用网上订票与支付系统由四个子系统组成:商户子系统、客户子系统、银行支付网关子系统、数字证书授权与认证子系统。
商户子系统的第一个应用是用来购买购买飞机票的中国东方航空公司网站。网址为:www.cea.online.sh.cn;它是中国安全电子商务第一网站。
客户子系统是安装于PC机上的电子钱包软件,是信用卡持有人进行网上消费的支付工具。电子钱包中必须加入客户的信用卡信息与数字证书之后,方可进行网上消费。
支付网关子系统通常是指由收款银行运行的一套设备,用来处理商户的付款信息以及持卡人发出的付款指令。
数字证书授权与认证子系统为每个交易参与方生成一个数字证书作为交易方身份的验证工具。
其技术特点是采用IBM的电子商务框架结构、嵌入经国家密码管理委员会认可的加/解密用软/硬件产品。这个电子商务系统具有如下的安全交易特点:
1) 遵循SET国际标准、具有SET标准规定的安全机制,是目前国际互联网上运行的比较安全的电子商务系统;
2) 兼顾国内信用卡/储蓄卡与国际信用卡的业务特点,具有一定的中国特色;
3) 具有开放特性,可与经SETCO国际组织认证的任何电子商务系统进行互操作;
H. 关于电子商务论文《电子商务的安全与管理》
电子商务的安全策略
摘要:
关键词:
电子商务在功能上要求实现实时帐户信息查询。这就使电子商务系统必须在物理上与生产系统要有连接,这对于电子商务系统的安全性提出了更高的要求,必须保证外部网络(internet)用户不能对生产系统构成威胁。为此,需要全方位地制定系统的安全策略。
就整个系统而言,安全性可以分为四个层次,如图1所示
1.网络节点的安全
2.通讯的安全性
3.应用程序的安全性
4.用户的认证管理
图1:安全性四个层次结构
其中2、3、4层是通过操作系统和web服务器软件实现,网络节点的安全性依靠防火墙保证,我们应该首先保证网络节点的安全性。
一、网络节点的安全
1.防火墙
防火墙是在连接internet和intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的intranet系统。
2.防火墙安全策略
应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
3.安全操作系统
防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网,则防火墙失效。所以,要保证防火墙发挥作用,必须保证操作系统的安全。只有在安全操作系统的基础上,才能充分发挥防火墙的功能。在条件许可的情况下,应考虑将防火墙单独安装在硬件设备上。
二、通讯的安全
1.数据通讯
通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全,一定程度上取决于加密的算法和加密的强度。 电子商务系统的数据通信主要存在于:
(1)客户浏览器端与电子商务web服务器端的通讯;
(2)电子商务web服务器与电子商务数据库服务器的通讯;
(3)银行内部网与业务网之间的数据通讯。其中(3)不在本系统的安全策略范围内考虑。
2.安全链路
在客户端浏览器和电子商务web服务器之间采用ssl协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的4o位加密强度,也可以考虑将加密强度增加到128位。 为在浏览器和服务器之间建立安全机制,ssl首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(ca中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(pki)。建立ssl链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立ssl链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(rsa)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。
三、应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运 行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一 些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。 访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。
四、用户的认证管理
1.身份认证
电子商务企业用户身份认证可以通过服务器ca证书与ic卡相结合实现的。ca证书用来认证服务器的身份,ic卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用id号和密码口令的身份确认机制。
2.ca证书
要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是ca证书,它由认证授权中心(ca中心)发行。ca中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立ssl安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立ssl链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。
五、安全管理
为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。
对于所有接触系统的人员,按其职责设定其访问系统的最小权限。
按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。
建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。定期检查日志,以便及时发现潜在的安全威胁。
对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。
安全实际上就是一种风险管理。任何技术手段都不能保证1oo%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。
I. 电子商务安全的管理方法有哪些
电子商务是利用各种电子化手段进行的商务活动,其价值的实现主要依托于网络,尤其是互联网,它已经成为互联网应用的一个必然趋势和金融商贸的主要模式之一.如何建立一个安全的电子商务应用环境,对信息提供足够的保护,已经成为电子商务必须直面的一个问题.
由于电子商务的重要技术特征是利用网络来传输和处理商业信息,因此,电子商务安全主要包括两个方面:网络安全和商务安全.而这些安全的实现又依托于一些具体的安全技术,遵循相关安全协议.
1 网络安全问题
网络安全主要是指计算机和网络本身可能存在的安全问题,也就是要保障电子商务平台的可用性和安全性.网络安全是电子商务的基础,其问题一般表现为:
1.1 计算机本身潜在的安全隐患带来的网络安全问题
计算机使用的是未经过相关的网络安全配置的操作系统,不论是什么操作系统,在缺省安装的条件下都会存在一些安全问题,而仅仅将操作系统按缺省安装后,再配上很长的密码就认为安全的想法是不可靠的.因为计算机本身存在的软件漏洞和"后门"往往是网络攻击的首选目标.
1.2 入侵者风险降低获利升高带来的刺激引发的网络安全问题
由于网络的全球性,开放性,共享性的发展,使得任何人都可以自由地接入互联网,而这其中也包括了黑客,入侵者和病毒制造者.他们采用的攻击方法越来越多,对电子商务的威胁也显得越来越明显.相对而言,袭击者本身的风险却非常小,甚至可以在袭击后很快就消失得无影无踪,使对方几乎没有实行报复打击的可能,这使他们的活动更加猖獗.美国的"雅虎"和"亚马逊"曾受到攻击的事件就说明了这一点.
1.3 安全设备使用不当带来的网络安全问题
虽然绝大多数网站采用了网络安全设备,有的甚至还耗费巨资,但由于安全设备本身因素或使用问题,这些设备并没有起到应有的或期望的作用.很多安全厂商的产品对配置人员的技术背景要求很高,往往超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确地安装,配置,一旦系统改动,需要改动相关安全设备的设置时,很容易产生许多安全问题.而通常意义上的网络管理者往往无法胜任这样的工作.
因此在实施网络安全防范措施时应做到:首先要加强主机本身的安全,做好安全配置;及时安装安全补丁程序,减少漏洞;安装防病毒软件和软件防火墙,加强内部网的整体防病毒措施;使用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;利用相应的数据存储技术加强数据备份和恢复措施;对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行一定强度的数据加密;建立详细的安全审计日志,以便检测并跟踪入侵攻击.同时充分利用已经公布的有关交易安全和计算机安全的法律法规为电子商务交易护航.再者,面对普通网络管理员的技术水平,在网络的建设和维护中可采用联合开发维护的方式,通过前期的建设和维护不断提高和完善自身团队的技术水平,使其在成长中逐步胜任企业对网络安全的要求.
网络管理者在思想上高度重视安全问题也是相当有必要的.技术的产生一般相对于人们的需求有一定的滞后性,而建立和实施严密完善的网络安全制度和策略往往可以代替暂时无法实现的技术,毕竟这才是真正实现网络安全的基础.
一个全方位的计算机网络安全体系结构通常包含网络的物理安全,访问控制安全,系统安全,用户安全,信息加密,安全传输和管理安全.这一切的实现依赖于各种先进的主机安全技术,身份认证技术,访问控制技术,密码技术,防火墙技术,安全审计技术,安全管理技术,系统漏洞检测技术,黑客跟踪技术.随着安全核心系统,VPN安全隧道,身份认证,网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术的应用,从不同层面加强了计算机网络的整体安全性,渐渐在攻击者和受保护的资源间建立了多道严密的安全防线,增加了恶意入侵的难度.
为了保证电子商务活动的顺利进行,必须有安全完善的网络体系为其提供稳定可靠,强有力的支撑.
2 商务安全问题
商务安全指商务交易在网络媒介中体现出来的安全问题,也就是要实现电子商务信息的保密性,完整性,真实性和不可抵赖性.
在早期的电子交易中,曾采用过一些简单的安全措施.例如将网上交易中最关键的数据如信用卡号码及成交数额等用电话告知,以防泄密,网上交易后再用其他方式对交易做确认,以保证其真实性和不可抵赖性.这些方法不仅操作不便,而且有一定的局限性,也不能实现其真正的安全性.
2.1 商务安全中普遍存在的几种安全隐患
2.1.1 窃取信息
信息在传输过程中未采用相应的加密措施或加密强度不够,导致数据信息在网络上以明文或近乎明文的形式传送.入侵者在数据包经过的设备或线路上采用截获方法截获正在传送的信息,通过对窃取数据参数的分析比对,找到信息的格式和规律,进而得到传输信息的内容,导致消费者消费信息,账号密码和企业商业机密等信息的外泄.
2.1.2 篡改信息
当入侵者掌握了信息的格式和规律后,通过各种技术方法和手段对网络传输中的信息进行截获修改再发至原先指定目的地,从而破坏信息的真实性.入侵者通过改变信息流的次序,更改信息的内容,删除信息的某些部分,甚至在信息中插入一些附加内容,使接收方做出错误的判断与决策.
2.1.3 信息假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以进一步冒充合法用户获取和发送信息,而远端接受方或发送方通常不易分辨.常见的方式有伪造用户和商户的收定货单据,套取或修改相关程序的使用权限等.
2.1.4 信息破坏
由于攻击者已侵入网络,已获得对网络中信息的修改权限,如其对网络中现有机要信息进行修改乃至于删除,其后果是非常严重的.
2.2 商务安全的要求
2.2.1 信息的保密性
交易中的商务信息都需要遵循一定的保密规则.因为其信息往往代表着国家,企业和个人的商业机密.在以往传统的纸面贸易中采用邮寄封装或通过可靠的通信渠道传送商业信息来达到保密的目的和要求.而电子商务是建立在一个较为开放的互联网络环境上的,它所依托的网络本身也就是由于开放式互联形成的市场,才赢得了电子商务,因此在这一新的支撑环境下,势必要用相应的技术和手段来延续和改进信息的保密性.一般用密码技术来实现.
2.2.2 信息的完整性
不可否认电子商务的出现以计算机代替了人们大多数复杂的劳动,也以信息系统的形式整合化简了企业贸易中的各个环节,但网络的开放和信息的处理自动化也使如何维护贸易各方商业信息的完整,统一出现了问题.由于数据输入时的意外差错(如计算机自动处理过程中死机,停电等),可能导致贸易各方信息的不一致.此外,数据传输过程中人为的或自然的信息丢失(如数据包丢失),信息重复或信息传送的次序差异(如网络堵塞重发)也会导致贸易各方信息的不同.而贸易各方各类信息的完整性势必影响到贸易过程中交易和经营策略.因此保持贸易各方信息的完整性是电子商务应用必备的基础.完整性一般可通过提取信息消息摘要的方式来获得.
2.2.3 信息的不可抵赖性
在交易中会出现交易抵赖的现象,如信息发送方在发送操作完成后否认曾经发送过该信息,或与之相反,接受方收到信息后并不承认曾经收到过该条消息.因此如何确定交易中的任何一方在交易过程中所收到的交易信息正是自己的合作对象发出的,而对方本身也没有被假冒,是电子商务活动和谐顺利进行的保证.信息的保证可以通过对发送的消息进行数字签名来获取.身份的确定一般都采用证书机构CA和证书的方法来实现.让素昧平生,相隔千里的双方成为合作伙伴毕竟不是一件容易的事情.
当然,在电子商务活动中还有许多要求,比如交易信息的时效界定问题,交易一旦达成后有无撤消和修改的可能等.相信在电子商务的发展中必将涌现各种技术和各项法律法规,规范人们的需求并帮助其实现,以保证电子商务交易的严肃性和公正性.
3 电子商务的安全技术
3.1 加密技术
加密技术是保证电子商务安全的重要手段,为保证电子商务安全使用加密技术对敏感的信息进行加密,保证电子商务的保密性,完整性,真实性和非否认服务.
3.1.1 加密技术的现状
如同许多IT技术一样,加密技术层出不穷,为人们提供了很多的选择余地,但与此同时也带来了一个问题——兼容性,不同的企业可能会采用各自不同的标准.
另外,加密技术向来是由国家控制的,例如SSL的出口受到美国国家安全局(NSA)的限制.目前,美国的企业一般都可以使用128位的SSL,但美国只允许加密密钥为40位以下的算法出口.虽然40位的SSL也具有一定的加密强度,但它的安全系数显然比128位的SSL要低得多.美国以外的国家很难真正在电子商务中充分利用SSL,这不能不说是一种遗憾.目前,我国由上海市电子商务安全证书管理中心推出的128位SSL算法,弥补了国内的这一空缺,也为我国电子商务安全带来了广阔的前景.
3.1.2 常用的加密技术
对称密钥密码算法:对称密码体制由传统简单换位代替密码发展而成,加密模式上可分为序列密码和分组密码两类.
不对称型加密算法:也称公用密钥算法,其特点是有二个密钥即公用密钥和私有密钥,两者必须成对使用才能完成加密和解密的全过程.本技术特别适用于分布式系统中的数据加密,在网络中被广泛应用.其中公用密钥公开,为数据源对数据加密使用,而用于解密的相应私有密钥则由数据的接受方保管.
不可逆加密算法:其特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有输入同样的数据经过同一不可逆加密算法的比对才能得到相同的加密数据.因为其没有密钥所以不存在密钥保管和分发问题,但由于它的加密计算工作量较大,所以通常只在数据量有限的情况下,例如计算机系统中的口令信息的加密.
3.1.3 电子商务领域常用的加密技术
数字摘要:又称安全Hash编码法.该编码法采用单向Hash 函数将需加密的明文"摘要"成一串128bit的密文,这一串密文亦称为数字指纹,具有固定的长度,并且不同的明文摘要其密文结果是不一样的,而同样的明文其摘要保持一致.
数字签名:数字签名是将数字摘要,公用密钥算法两种加密方法结合使用.它的主要方式是报文的发送方从报文文本中生成一个128位的散列值(或报文摘要).发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名,然后这个数字签名将作为报文的附件和报文一起发送给报文的接收方.报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密.如果两个散列值相同,那么接收方就能确认该数字签名是发送方的.通过数字签名能够实现对原始报文的鉴别和不可抵赖性,有效地防止了签名的否认和非正当签名者的假冒.
数字时间戳:是对交易文件的时间信息所采取的安全措施.该网上安全服务项目,由专门的机构提供.时间戳是一个经加密后形成的凭证文档,它包括:需加时间戳的文件的摘要,数字时间戳服务收到文件的日期和时间,数字时间戳服务的数字签名.
数字证书:数字证书又称为数字凭证,是用电子手段来证实一个用户的身份和对网络资源的访问权限,主要有个人凭证,企业(服务器)凭证,软件(开发者)凭证三种.
3.2 身份认证技术
在网络上通过一个具有权威性和公正性的第三方机构——认证中心,将申请用户的标识信息(如姓名,身份证号等)与他的公钥捆绑在一起,用于在网络上验证确定其用户身份.前面所提到的数字时间戳服务和数字证书的发放,也都是由这个认证中心来完成的.
3.3 支付网关技术
支付网关,通常位于公网和传统的银行网络之间(或者终端和收费系统之间),其主要功能为:将公网传来的数据包解密,并按照银行系统内部的通信协议将数据重新打包;接收银行系统内部传回来的响应消息,将数据转换为公网传送的数据格式,并对其进行加密.支付网关技术主要完成通信,协议转换和数据加解密功能,并且可以保护银行内部网络.此外,支付网关还具有密钥保护和证书管理等其它功能(有些内部使用网关还支持存储和打印数据等扩展功能).
4 与电子商务安全有关的协议技术
4.1 SSL协议(Secure Sockets Layer)
SSL协议也叫安全套接层协议,面向连接的协议,是现在使用的主要协议之一,但当初并非为电子商务而设计.该协议使用公开密钥体制和X.509数字证书技术来保护信息传输的机密性和完整性.SSL协议在应用层收发数据前,协商加密算法,连接密钥并认证通信双方,从而为应用层提供了安全的传输通道,在该通道上可透明加载任何高层应用协议(如HTTP,FTP,TELNET等)以保证应用层数据传输的安全性.由于其独立于应用层协议,在电子交易中常被用来安全传送信用卡号码,但由于它是个面向连接的协议,只适合于点对点之间的信息传输,即只能提供两方的认证,而无法满足现今主流的加入了认证方的三方协作式商务模式,因此在保证信息的不可抵赖性上存在着缺陷.
4.2 SET协议(Secure Electronic Transaction)
SET协议也叫安全电子交易,对基于信用卡进行电子化交易的应用提供了实现安全措施的规则,与SSL协议相比较,做了些改进.在商务安全问题中,往往持卡人希望在交易中对自己的交易信息保密,使之不会被人窃取,商家希望客户的定单真实有效,并且在交易过程中,交易各方都希望验明对方的身份,以防止被欺骗.针对这种情况,Visa和MasterCard两大信用卡组织以及微软等公司共同制定了SET协议,一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准.它采用公钥密码体制和X.509数字证书标准,主要应用于保障网上购物信息的安全性.由于SET 提供了消费者,商家和银行之间的认证,弥补了SSL的不足,确保了交易数据的安全性,完整性,可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为目前公认的信用卡/借记卡网上交易的国际安全标准.
除此之外还有安全超文本传输协议(SHTTP),安全交易技术协议(STT)等.协议为电子商务提供了规范.
5 结语
安全是电子商务的核心和灵魂.电子商务对网络安全与商务安全的双重要求,使网络安全与商务安全密不可分.没有计算机网络安全作为基础,商务交易安全犹如空中楼阁,无从谈起;没有商务安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求.而电子商务相应的实现技术和各种协议正是安全得以实现的保证.
J. 中国电子商务发展的现状
从整体行业及细分行业的发展看,09年国内电子商务交易额将达到34278亿元,增长率保持在40%以上。未来10
年,国内将有70%的贸易额将通过电子交易完成。国内B2B电子商务行业交易规模增长潜力巨大。此外,由于电子商务向行业的渗透将更加深入,加之B2C行
业对投资者的吸引力加强,B2C行业的份额将在09年呈现明显的扩大趋势,其中IT数码、家居建材领域B2C行业将成为未来几年国内电子商务行业发展的热
点领域。
短短的两个月时间,“当当·家居就建材家居旗舰店”就推出了多次促销活动,月度销售额增长率超过333%,或成为继图书、服装、孕婴童之后的又一战略品类。
保险旅游、批发零售行业电子商务份额扩大
从行业应用角度看,鉴于08年的经济环境,国民的保险意识将进一步加强,而方便快捷的保险电子商务将成为保险客户的
首选,因此未来保险电子商务仍将快速发展;同时,随着经济增长放缓,各省市将加强对旅游产业的重视,从而提升本地经济增长能力,在旅游产业二次创业的要求
下,旅游电子商务将成为未来各地着重发展的业务;此外,赛迪顾问认为国内国民消费能力在未来不会有太大波动,当行业物价逐步增高,网络平台所提供的低价格
产品将更加受到消费者青睐,随着网民网上购物、网上支付以及物流服务的健全,直接面向个人消费者的批发零售业电子商务将会面临最佳的发展机遇。
物流平台将逐步崛起,支付行业面临洗牌
从电子商务行业支撑体系建设看,一方面09年物流公共信息平台在政府的持续推动下将有巨大发展,平台信息服务能力将
显著提升,同时更多的电子商务服务商会加入物流体系建设的行列中。另一方面,网上支付服务商将在未来2年经历二次筛选,资金短缺以及技术、商业模式、信用
体系等环节不健全的服务商将面临被行业淘汰的危险。
从上面可以轻松看出,这些年国内电子商务之所以充满机遇与挑战,主要是政府和企业之间通力合作所产生的结果。国内电子商务也慢慢的与国际接轨。