公务员期刊网 精选范文 电子商务安全事件范文

电子商务安全事件精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的电子商务安全事件主题范文,仅供参考,欢迎阅读并收藏。

电子商务安全事件

第1篇:电子商务安全事件范文

关键词:实践教学;教学改革;教育质量

中图分类号:G642.4 文献标志码:A 文章编号:1674-9324(2013)35-0039-02

伴随着知识经济的兴起,高等教育的历史使命和人才培养目标发生了巨大变化,创新教育成为各国教育改革的主题。为了适应创新教育,培养创新型人才,教育教学的传统方式必须变革[1]。中央和各级政府教育行政部门、各高等学校十分重视对大学生实践和创新能力的培养,教育部把实践教学作为高校本科教学工作水平评估的关键指标之一,各高等学校采取切实有效措施,积极开展实践教学改革,多渠道筹措经费加大实验室建设投入,极大地改善了实验教学条件,对提高学生的实践创新能力产生了积极影响[2]。

一、实践教学体系概述

实践教学指具有实践性的教学活动。实践教学存在于整个教学过程之中,包括理论实践教学和社会实践教学。要做好实践教学工作,首先应该建立并完善实践教学体系,通常实践教学体系分为实践教学目标体系、实践教学内容体系、实践教学管理体系、实践教学保障体系和实践教学评价体系。实践教学体系的建设应该遵循以下几个原则:

1.特色性原则:确立以素质教育为核心,技术应用能力培养为主线,应变能力培养为关键,产学研结合为途径,与时俱进的人才教育培养模式是实践教学体系构建中遵循的原则。

2.实用型原则:实践教学体系的构建,要充分体现专业岗位的要求,与专业岗位群发展紧密相关。以此为原则组成一个层次分明、分工明确的实践教学体系。

3.混合型原则:混合型体现在教师类型的混合、理论教学和实践教学的混合、教室与实验室的混合等方面,淡化理论教学与实践教学、专业教师与实践指导教师、教室与实验室的界限,打破原来按学科设置实验室的传统布局,对实践教学设施进行重新整合,形成一体化混合实践教学模式。

实践教学体系的目标是:以职业能力培养为主线,使学生获得实践知识、开阔眼界,丰富并活跃学生的思想,加深对理论知识的理解掌握,进而在实践中对理论知识进行修正、拓展和创新。在确定具体课程实践教学体系目标的前提下,如何有针对性地设置具体的实践教学内容尤为重要。实践教学的内容是实践教学目标任务的具体化,将实践教学环节通过合理配置,构建成以技术应用能力培养为主体,按基本技能、专业技能和综合技术应用能力等层次,循序渐进地安排实践教学内容,将实践教学的目标和任务具体落实到各个实践教学环节中,让学生在实践教学中掌握必备的、完整的、系统的技能和技术[3]。

二、电子商务安全实践教学内容设置

电子商务安全课程是新兴的边缘交叉性课程,是在网络安全的基础上结合电子商务的领域的实际应用发展而来的一门具有一定针对性的课程,也是电子商务专业学生的一门专业主干课程。考虑到经营管理活动中计算机的普及和网络通信的快速发展,该课程是作为21世纪大学生尤其是电子商务专业的学生应该了解、掌握的一门学科,通过该课程的教学,学生初步了解电子商务安全的内涵和电子商务支付系统的构成,并且对网络常见的攻击手段、主要安全产品的功能、常用的电子支付工具等进行了解,以解决实际应用中遇到的问题[4]。

1.实验项目安排。本课程实践教学部分主要让学生对电子商务安全与支付在理论和实践上有一个全面的认识。要求学生通过大纲中的实验设置,了解电子商务安全与支付的现实环境;了解电子商务客户机和服务器的安全设置;熟悉基本的电子支付工具的使用,掌握数字证书的申请、安装和使用流程;了解SSL证书的申请流程。针对本课程的培养目标进行合理的实验教学安排,具体实验项目如表1所示。

2.实验项目的具体内容。实验1:了解电子商务安全与支付的现实环境:通过本次实验了解中国互联网发展状况,特别是有关电子商务发展的现状,认真体会,结合自己课余所见的实际情况进行总结。实验内容:阅读比较CNNIC最新的《中国互联网络发展状况统计报告》中关于安全支付的数据及分析,了解中国电子商务发展的现状。实验2:电子商务客户机安全:通过本次实验了解电子商务客户机存在的安全风险及对应的安全措施。实验内容:防病毒软件的安装和使用、IE对安全区的设置、检测活动内容、处理cookie。实验3:中银电子钱包及网上银行:通过本次实验了解电子钱包、电子信用卡在网上支付中的功能及使用过程。实验内容:中银电子钱包的使用、个人网上银行专业版的设置及使用。实验4:个人数字证书:通过本次实验了解数字证书的基本类型,个人数字证书的下载安装。实验内容:个人数字证书的下载、安装、查看、导入和导出。实验5:SSL证书申请:通过本次实验了解利用Microsoft IIS Web Server申请SSL证书的基本流程。实验内容:在Microsoft IIS上生成公私钥对和证书请求、保存证书请求文件、安装CA中心的根证书、安全Web Server证书。

电子商务安全是一门实践性很强的课程,有难度且极具挑战性,因此,电子商务安全的实践教学应该根据学生的实际情况酌情安排。笔者在几年的课程教学过程中尝试了一些改进本课程教学的方法。总结得出:最优方式是让学生置身于其中,让学生积极参与其中,享受创造的乐趣。经过对本实践课程安排前后的对比发现,学生对本课程的兴趣有极大提高,对理论教学部分的理解也大大加深。

参考文献:

[1]曹凤月.课堂实践教学:高校实践教学的基础环节[J].中国劳动关系学院学报,2009,4(23):106-109.

[2]郑春龙,邵红艳.以创新实践能力培养为目标的高校实践教学体系的构建与实施[J].中国高教研究,2007,(4):85-86.

[3]朱正伟,刘东燕,何敏.加强高校实践教学的探索与实践[J].中国大学教育,2007,(2):76-78.

第2篇:电子商务安全事件范文

30分钟过去了,Jason还是找不到到底发生了什么安全事件导致网站被黑;黑客是怎么进来的?以前是我黑别人(游戏),今天怎么被别人黑了?Jason心里想。

原来Jason在进入到马来西亚AAA银行之前,曾经是一个黑客,Jason对黑客攻击和防守技术十分熟悉,并且能够进行入侵,占领主机,获得控制权,远程指挥作战。

“Jason!快看一下我们的银行电子商务网站,出什么问题了!”,听到马来西亚AAA银行IT部总经理Tom的电话,Jason马上登陆银行的电子商务网站,发现一个狞笑的骷髅正对着自己,心里感觉到不妙:网站真的被黑了!

虽然在黑客界很有名气,但是大学毕业1年,靠写一些文章和安全工具小软件给一些安全杂志与报纸,Jason很难维持生活。

正好马来西亚AAA银行招聘银行网络安全管理员,考虑自己的兴趣和爱好,Jason选择了银行的网络安全管理员职位。

当时马来西亚各家媒体、网站都在宣传电子商务,那时就听说了中国的阿里巴巴、易趣、淘宝网、当当书店等电子商务网站,Jason对电子商务网站十分着迷,梦想着有一天自己也可以象中国的马云、邵亦波一样通过网站把马来西亚很多质量好价格低的产品远销国际。

Jason凭借自己的实力很顺利进入到了马来西亚AAA银行,到了银行工作之后,Jason很快就进入了角色,经过对银行内部的考察发现了很多网络信息安全问题。

Jason发现好多问题需要求助于专业的安全公司,于是就打电话给e-COP公司,e-COP公司派来专业安全顾问Brian,对内部网络进行安全评估,发现银行电子商务网络有很多安全问题:

・数据分散,并且量极大

由于马来西亚AAA银行购买“最佳品牌”产品,这些安全产品(防火墙、入侵检测、防病毒等)通常从不同厂家购得,每个产品都有自己的信息日志和控制台,目前各种安全设备缺乏统一管理平台,只能通过这些安全产品各自的控制台去查看事件,窗口繁多,而且所有的事件都是孤立的,不同设备之间的事件缺乏关联,分析起来极为麻烦;无法弄清楚真实的状况。

・安全管理人员必须具备很高的技巧,了解各厂商的各种安全设备

不同厂家的设备对同一个事件的描述可能是不同的,这意味着马来西亚AAA银行安全管理人员必须分析各种不同格式的信息,才有可能进行管理,这导致安全管理人员的工作非常繁重,大量的时间用于一些价值不大的任务上。

・无法做到快速识别和响应

对于网络安全人员来说,海量信息不但无法帮助找出真正的问题,反而因为太多而造成无法管理,并且不同厂商所制造的软硬件可能送出不同的信息格式,使得在网络安全威胁的锁定上,变得难上加难,原本的安全系统反而成为管理上的负担。

・运维关键

以往的安全管理运维工作都是基于资产的运维,但是安全却是基于安全事件的运维。企业每出现一个安全问题就需要进行一次大范围的维护,比如出现病毒问题。这使得安全的运维工作不同于以往的运维工作习惯,造成运维工作效率低下,并且难以规划。

Brian还提出了安全建议:在马来西亚AAA银行部署的Cyclops企业安全管理系统(CESM)能够对银行所有不同IT安全产品和相关设备发出的事件进行采集、格式化和智能关联,具有严密的处理层次和流程。CESM能够为安全专业人员提供可管理的安全信息,如事件趋势分析,攻击处理对策和日志分析取证。

在马来西亚AAA银行的实际应用中,CESM提供如下的管理过程和事件处理过程:

・原始告警的数据归并

CESM首先归并来自安全设备的所有安全数据,这些安全设备包括防火墙、网络IDS,主机IDS,安全应用程序和服务器的日志等。

・数据正规化

为分析安全事件,“技术规范解码器”将原始数据处理成有意义的有用信息。通过这个过程,将原始数据转化为TIF(Transportable-Incident-Format)格式。

・数据挖掘和关联

CESM 以其独特的数据挖掘和关联技术能力,实现三级推理的逻辑信息处理流程。这种能力可以减少虚假告警,增加对攻击的实时检测能力。通过自动事件关联和基于经验的自学习,从大量安全设备产生的入侵模式将被立即比较和观测。

・经过专家建议和分析的统一处理

提供易用的界面,同时处理CESM安全控制台产生的多个安全事件。通过这种统一的处理方法有效地分析所有的安全事件。

・实时的防范措施

一旦发现来自外部或内部的攻击企图发生,立即采取防范措施,在信息损失前抵御入侵。

Jason马上向IT部总经理Tom汇报Brian对网络安全的分析,并且请Brian进行现场演示,Tom感觉非常不错,但是Tom还是认为,马来西亚AAA银行已经有了最好品牌的防火墙、入侵检测、防病毒等安全产品,安全管理平台应该没有必要上了,于是此项目就此搁浅。

Jason从回忆中回到了现实:现在需要解决网站被黑问题,怎么办啊?

Jason马上打电话给Tom,汇报现在一时之间看不出到底发生了什么事情,需要e-COP公司协助完成,Tom马上答应。

30分钟后,Brian到达现场,在银行内部部署了一套安全管理平台,然后对各种产品的日志进行分析。

Brian通过一个统一平台看到了防火墙、入侵检测、防病毒等事件信息,通过设备的关联,很快确定了黑客攻击路径,原来黑客通过了两层防火墙,然后到内部一台刚买回来的主机上,利用这台主机作为跳板,攻击了网站服务器。

Brian马上建议对刚买回来的主机进行加固,然后修改里外两层防火墙策略,重新换上了网站的页面,解决安全问题。

这时,Tom也出现在了Jason和Brian面前,连声称谢,表示:

“说得对,现在已不是单兵作战的年代,而是团队作战,整体作战,需要整体协调才能够减少经济损失,希望你们的产品能够在此使用。”

过了一个月后,Jason又发现银行电子商务网络的一些安全问题,于是银行又购买了一套CESM产品。

采用CESM安全事件管理系统做为安全管理平台,参考e-COP多年的安全事件处理流程经验SOP,银行建立起了标准的内部安全事件处理体系,如图所示。

马来西亚AAA银行通过安全事件处理体系,相关安全管理人员从海量事件中解脱出来,只关心少量的最为紧迫、最为关键的事件信息。并且,安全事件处理体系的成果为后续整体安全策略的规划和调优提供了有力的依据。

第3篇:电子商务安全事件范文

【关键词】电子商务 病毒入侵 黑客攻击 信息安全

在互联网信息技术飞速发展的大背景下,电子商务(简称EC,英文为Electronic Commerce)已逐步演变成人们惯用的商务活动模式,从事互联网商业活动的人越来越多。与传统商务活动对比,在B/S方式下运转,两大主体完成商品交易不受时间和空间的限制,这也是电子商务是最大特点。

现如今,我国正处于网络经济蓬勃发展的黄金时代,各个领域中电子商务的普及度较高。新型的商业活动形式建立在网络的基础上,保证了商业活动的便捷性和高效性。不过电子商务在对企业运管效率进一步提升的同时,使企业的面临着病毒侵入、黑客攻击、信息抵赖等问题,导致企业蒙受巨大亏损。所以,高度关注安全问题,才能保证电子商务平台利用率提高。本论文以有关电子商务环境为切入点,对展开电子商务活动中出现的信息安全问题进行分析,并给出对应的方法和策略。

1 电子商务中网络信息安全所存在的问题

1.1 电子商务网络存在的问题

1.1.1 黑客攻击

黑客对网络进行攻击是以偷取商业机要和搅扰系统正常运转为目的,以下是常见的攻击策略:窃听;重发攻击;迂回攻击;假冒攻击;越权攻击等。

1.1.2 系统漏洞

侵入到电商系统人员以系统自身存在的安全漏洞为据,将操作系统数据的权限得到。然而,管理系统未实时打补丁或者在设置安全方面一直选取默认设置等原因造成系统产生漏洞。

1.2 电子商务信息存在的问题

1.2.1 电子商务信息存储安全隐患

在静态时储存电商信息的安全即信息储存安全。其信息安全隐患主要包括:篡改信息内容和非授权调用信息。

1.2.2 电子商务信息传输安全隐患

在运转电子商务时,资金流、物流汇集成信息流之后传送流程中的安全即信息传送安全。它主要涵盖以下四种安全隐患:

(1)盗取商业机密。大部分是以明文的形式来传送电子商务信息,那么袭击网络的不法分子就极易截取或者监听电商信息;

(2)对商务网站施以攻击。攻击者运用计算机病毒传送,屏蔽掉电商网站设置的防火墙,更改信息,使网站瘫痪;

(3)实行商务欺诈。非法人员将虚假信息到Internet上去,诈骗现金、账号,导致用户信任电子商务活动的信赖度降低,在很大程度上对电子商务顺利开展起阻碍作用;

(4)不良信息的传送。非法人员为了实现自己的目标,把不良信息渗透到电子商务信息中。

2 应对电子商务中信息安全问题的对策

2.1 提高网络信息安全意识

相比于西方l达国家,国内用户网络信息安全意识薄弱,忽视了自我权益的保护。再加上我国尚未建立完善的网络信息安全监管机制,出现安全事件之后无法及时采取相应的补救措施,这些都是威胁信息安全的主要因素。故此,在信息安全中,防范人为因素导致信息非安全问题是重要内容。解决这一问题的关键在于为从事电子商务的用户展开安全知识培训活动,确保用户充分认识信息安全的重要性,对信息安全常识了如指掌,进而降低电子商务中产生信息安全事件的几率。

2.2 加强信息安全的技术防范

将来网络安全技术会在计算机网络所有层次中渗透,不过以电子商务安全防范技术为中心的网络技术成为最近几年研究的重要方向。以我国电子商务出现的安全问题为依据,可采取防火墙、虚拟专用网及认证、加密、安全审计、追踪黑客、检测系统漏洞等技术应对信息安全。另外还可以将加密路由器、翻译网络地址、动态包过滤、VPN等技术充分运用起来,确保构建一系列严实的安全防线将受保护资源与攻击人员隔开。

2.3 强化网络信息安全管理

信息安全管理在我国来说十分薄弱,面临着管理能力弱且信息安全意识极其欠缺的问题。政府授权的第三方认证中心构建是电商信息安全管理中形式有效的一个方式,即用该认证中心来负责电子商务交易中的两者主体的信息安全,保证整个交易流程的安全性和可靠性。

2.4 完善电子商务立法与信息安全立法

当前,我国正处于电子商务信息机制初级阶段,只有在信用法制建设深入强化的大环境中,才能确保信息机制最大限度的施展其能力。故此,应当以国内电子商务安全问题为依据,不但要使现行法律的管理范畴扩大和加强,还要加大信息安全与电子商务立法的力度。另外还应当对第三方信用保证进行设置并使其得到强化,务必由商务、商检认证中心、银行共同协作才可确保交易不受阻碍。

3 结束语

本文以电子商务信息安全有关环境为切入点,对电商中出现的网信问题进行探析,并将用户网信安全意识增强、加大网信安全管理力度、加大防范信息安全技术应用力度、健全信息安全和电子商务立法这四种策略,以期解决电子商务中出现的安全问题。电子商务安全性是一项庞大、系统的工程,要从技术和法律上加大保护力度,只有将电商中出现的所有安全问题一并处理好才能使电子商务更好的服务于用户。

参考文献

[1]田迎华,杨敬松,周敏.3G时代移动电子商务安全问题研究[J].情报科学,2010(10):1487-1490.

[2]王立萍.商业银行电子商务安全风险管理研究[J].中南财经政法大学学报,2007(01):75-79+144.

[3]张滨,冯运波,吴秦建,江为强,乔矗王馨裕,杨明,何鹏.移动电子商务安全技术与应用实践[J].通信学报,2016(04):200.

[4]孙鸿飞,张海涛,宋拓,武慧娟.电子商务个性化信息服务用户满意影响因素实证研究[J].情报杂志,2016(04):195-203.

[5]何培育.电子商务环境下个人信息安全危机与法律保护对策探析[J].河北法学,2014(08):34-41.

[6]王兴泉,张宁.移动电子商务时代的信息安全与信息保护[J].兰州学刊,2014(12):175-180.

[7]姚梅芳,杨修,杨涵.电子商务环境下信息管理模式研究[J].图书情报工作,2013(05):46-49.

第4篇:电子商务安全事件范文

十二五规划下的安全探讨

本次大会以“构筑十二五规划下中国信息安全体系”为主题,对当前国内外安全威胁、中国电子政务遇到的安全与挑战、等级保护落实中的关键问题,以及各行业在“十二五”期间如何规划以应对信息安全的挑战等议题进行了热烈讨论。

中国计算机世界传媒集团董事葛程远表示,在信息安全威胁日益严峻的今天,“十二五”规划以2011年作为开局之年,在规划纲要中首次将“加强网络与信息安全保障”作为重要的一个章节突出,显示出“十二五”期间国家对信息安全的高度重视。“十二五”规划纲要中明确指出:健全网络与信息安全法律法规,完善信息安全标准体系和认证认可体系,实施信息安全等级保护、风险评估等制度。加快推进安全可控关键软硬件应用试点示范和推广,加强信息网络监测、管控能力建设,确保基础信息网络和重点信息系统安全。

众所周知,现阶段的信息安全形势发生了不少变化,新时代的信息安全堡垒正在逐步建立。工业和信息化部信息安全协调司副司长欧阳武表示,“随着信息化水平不断提高,网络空间与物理空间相互交织、相互渗透、相互影响,网络已经成为人类活动的重要领域。”

比如,前不久,美国政府就了一系列政策性文件:4月15日网络空间可信身份战略;5月16日网络空间国际战略;6月8日网络空间安全创新和互联网经济;7月15日网络空间行动战略。这些都凸现了美国政府对陆海空天之外的网络空间的高度重视。

中国政府对信息安全工作也十分重视,其中工业和信息化部的一项非常重要的职责就是协调和维护国家信息安全。为了切实履行好这一职责,工业和信息化部专门设立了信息安全协调司,以指导、监督政府部门和重点行业的重要信息系统基础信息网络安全保障工作,承担信息安全应急协调,协调处理重大事件。而“十二五”规划也为加强网络与信息安全保障指出了明确方向。不过,国家信息化专家咨询委员会委员宁家骏认为,目前对国家信息安全发展战略的研究不够。

“顶层设计的缺失导致中央和地方信息安全保障难以形成统一体系,影响了信息安全保障工作的可持续发展;中央和地方分级建设模式在一定程度上制约了统一体系和统一标准的形成;另外,在技术上存在先天不足、自主创新可控能力不足,也带来新的问题。”他说。

国内外安全形势严峻

会上,宁家骏给与会者展示了这样一组数据:2011年6月互联网网络安全主要数据显示,我国境内感染网络病毒的终端达到815万个,境内篡改网站数量达3164个,其中篡改政府网站数量333个,国家信息安全漏洞共享平台收集整理漏洞447个,其中257个是高危漏洞,可以实施远程攻击的则有406个。公安部针对网络黑客攻击破坏活动专项行动打击,破获案件169起。同时,网络失窃现象严重,政府网站也时常发生被植入木马病毒的情况。另外,由于基础网络存在一定的相互依赖性,网络安全威胁还可能导致灾难性的骨牌效应,安全对信息化进程的稳定性存在必然的扰动性。

事实上,近两年国际国内由黑客主导的安全事件的影响力以及破坏力一直在不断上升,黑客行为已经脱离了“自由、共享”的初衷,正处于逐步失控的状态,由此诞生的黑客产业链更是让信息安全面临着更大的挑战。

中国绿色兵团发起人之一、CHOWNGROUP倡导者李麒是一位长期和黑客以及黑客地下产业链打交道的黑客专家。在他看来,黑客的行为已经不局限于利用木马程序盗取QQ账号、网络游戏账号、银行账号等个人信息为己牟利,一些黑客的行为已经开始对国际大事产生影响,“前不久我们发现越南的黑客将某个政府网站首页进行了篡改,替换上他们的黑客页面,用以表现他们在上的一些政治意图。”

目前网络战已经升级成国与国之间的拉锯战,各国都创建了属于自己的精锐“网络部队”。去年5月,美军网络司令部启动应对网络攻击计划,建立陆海空全面网络战防御体系,其目的就是打信息战,并形成完备的信息战体系。

防范Web威胁是大势所趋

目前,黑客攻击正在从传统的网络层转化为应用层,同时越来越多的黑客开始盗取企业保密信息用于牟利。

“黑客可以盗取企业的机密信息、图纸、财务报表以及核心数据等,将这些卖给企业的竞争对手,这其中也包括一些跨国公司的核心数据。”李麒说。

达到这些目的的方式主要是网页被篡改、挂马、仿冒三种手法,我国电子政务网站也深受其害。

“去年我们协助国家相关部门对全国31个省市区的7383个政府对外服务的网站进行大检查,发现这些网站的安全情况不容乐观。所查的网站一般都存在问题,其中最为突出的就是网页被篡改,这种情况占到整个安全事件数量的62.7%,位居第一。”李麒表示,“造成这种问题的原因主要是网站的程序设计时没有全面考虑安全因素,比如安全代码优化、安全代码编辑等关注不够。”

李麒认为,造成信息安全形势严峻的一个重要原因是用户将安全防护重点设置在网络层,而忽略应用层,黑客针对Web应用层进行攻击往往让人防不胜防。“与传统网络安全不同,Web安全威胁变化非常快,做好控制并不容易,尤其是维护、开发、上线等过程。针对这样的情况,用户不仅要建立整个安全防护体系,同时还针对目前信息安全态势做好监测,对整个安全指标进行量化。另外,要将安全做到平台化、周期性、常态化、制度化,做好预警。最后,要实现安全的易用性,并充分了解当前信息系统的安全状态,出了问题要有相应的机制和应急响应。”

建立安全保障长效机制

为了应对日益严峻的安全形势,2008年4月国家出台了关于加强政府信息系统保密的通知,要求各地区、部门每半年要进行一个政府信息系统安全检查。2009年3月又印发政府信息系统安全检查办法,明确了工作原则以及安全检查的工作要求等,督促各地区和部门加强政府信息系统的安全防护。

会上,欧阳武还提出应大力推广电子签名。“网络的匿名性、行为主体不确定性是互联网最大的安全隐患。通过电子签名技术可确认行为人和确保网络行为的不可抵赖。一旦有了可靠的电子签名,我们物理世界里面维护安全的最重要的两个基石――法律和道德在网络空间里面也有了应用的基础。”

据了解,信息安全协调司成立三年以来把落实电子签名法作为一项重要工作来抓。目前,工信部许可可信数字证书的社会保有量已经接近两千万,一个可信身份认证服务系统体系正在形成。

此外,让计算机信息网络等级保护制度更为有效地保护重要领域的信息网络,建立安全保障的长效机制也是我国信息安全建设的重点。公安部十一局郭启全处长表示,目前国家信息安全面临的新形势要求我们要重视国家关键信息基础设施保护,近几年公安部、工信部、国家广电局、密码局做了大量工作把国家关键基础设施梳理出来,保护重点进一步明确。但是,如何全面和整体解决各行业在信息化建设中的安全问题,仍是国内外信息安全界一直关注的问题。

各行业构建

信息安全堡垒

电子商务、电力、医疗、能源等行业也都在信息安全领域进行新的尝试。上海信息安全基础设施研究中心副主任顾青表示,“十二五”规划中明确指出要积极发展电子商务,完善面向中小企业的电子商务服务,推动面向全社会的信用服务和网上支付物流配送支撑体系建设。

根据中国电子商务研究中心的统计,截止到今年6月份,电子商务交易市场达2.9万亿元人民币的交易额,B2B达2.6万亿元,但在电子商务的发展中,网络经营主体的身份确认机制尚未成型,网络市场经营行为需要进一步规范,网络市场成型体系有待健全,政府职能部门服务监管有待于改进,网络消费者维权行为有待于保障和解决等问题一直困扰着电子商务市场。同时,电子商务对数字证书认证有非常迫切的需求。因此,市场需要政府职能部门提供电子商务公信服务,创新监管方式方法,维护电子商务市场秩序,促进第三方认证服务机构提供电子商务公正服务,培育战略性新兴产业,构建完整的电子商务信任服务体系。

电监会信息安全处处长温红子作为电力行业的代表,对于工控系统基础性地位级面临的安全威胁深有感触:“和IT系统一样,工控系统也面临黑客攻击、恶意代码、外力破坏、自然灾害等安全威胁。同样,工控系统一旦发生安全事件,损害程度将非常严重。比如,因病毒入侵伊朗布什尔核电站的西门子工控系统,致使数台离心机数据错误,使伊朗能力倒退两年。这件事值得我们警惕。”

温红子指出,工业控制系统的安全防护工作任重而道远,在一些影响国计民生的大行业中应该引起足够的重视,并亟需建立起可控的安全防护措施。

记者观察

从来没有真正的安全,安全是各方博弈的结果。自IT技术诞生以来,针对信息安全的讨论和争斗就不绝于耳。

由《计算机世界》主办的“中国信息安全大会暨中国CSO俱乐部年会”已经迎来了第九个年头,主持人的机敏、专家的博学、演讲者的幽默,以及参会者的认真,让每一届大会都会碰撞出火花,这让原来严肃的话题产生出不一样的感觉。

本届信息安全大会以“十二五规划下的信息安全”为主题,来自政府、协会以及各行业企业代表各抒己见,围绕大会主题介绍了各自下一阶段的安全规划。安全厂商针对目前的安全技术热点以及用户新应用需求,提出了有针对性的安全解决方案,并希望借此帮助企业在“十二五规划”指导下构筑更为安全的企业防护体系,参会者亦对此表示出浓厚的兴趣。

计算机世界传媒集团董事 葛程远

工业和信息化部信息安全协调司副司长 欧阳武

公安部网络安全保卫局处长 郭启全

上海信息安全基础设施研究中心副主任 顾青

国家信息化专家咨询委员会委员 宁家骏

中国绿色兵团发起人之一、CHOWN GROUP倡导者 李麒

第5篇:电子商务安全事件范文

如今,CIO们也在考虑如何让消费者得到安全可靠的网上交易环境。防范假冒网站是所有电子商务人都必须面对的一个问题,因此钓鱼网站不会局限于一个地区和国家。从安全技术发展和现实应用上分析,服务器证书技术的应用范围还是比较广泛的。从来自全球服务器证书的顶级提供商VeriSign的数据显示,在全球500强企业中有93%的企业以及全球电子商务50强中94%的企应用该服务,其全球累计颁发的服务器证书超过45万张。作为一种事前防范手段,每张服务器证书都具有一个与网站地址相对应的网站,证书所有者可以借此对外表明自己网站的真实可靠性,相当于出示一个“网络身份证”,同时该技术还可以对信息传输通路进行加密,确保重要信息安全。

服务器证书以信任链作为纽带,将全球可信站点联系在一起,构建安全的网络环境。整个信任链的建立是由安全服务厂商和各浏览器厂商等合作商共同完成的。第三方安全技术厂商通过严格的安全措施和有效的鉴证方法保证发放资格证书真实准确,而浏览器厂商会对认证机构的信誉进行评价,只有符合要求的安全服务商才进入能他们的信任链。

以IE6.0版本为例,上网者可以通过几种方式进行查看。第一、网站地址是否为“”;第二,网页右下角是否有金色安全小锁标志;第三,网站是否有VeriSign等国际知名机构的签章标志,只要三者有其一,网民就可以放心向其提交资料了。然而,由于钓鱼网站所引发的安全事件不断上升,最新版本IE7.0中服务器证书技术得到了进一步加强,地址栏会通过颜色变化将它们予以区分:地址栏呈现红色为钓鱼网站,绿色的是受信站点,黄色的是可疑网站。

就个人安全意识看,国外网民普遍对于个人信息保护具有很高的安全意识。通常他们会向配置了“网站身份证”的网站提交信息,而对于一些无法确认身份的网站,他们会比较谨慎。相对于国外网民,国内网民很少知道服务器证书对于个人信息安全的作用,在假冒网站面前仍感迷茫,众多国内网民仍停留在通过杀病毒软件等事后防范措施支撑着自己脆弱的安全防线。安全知识的匮乏,使得网民遭受钓鱼网站侵害事件不断出现。

第6篇:电子商务安全事件范文

HP、IBM、CA和BMC等厂商在其系统管理解决方案中,具有比较强大的系统安全及其管理功能,为服务器和整个信息系统的安全提供了很好的保证,并且大大减轻了系统管理员的负担。主要的产品有HP公司的OpenView系列、IBM公司的Tivoli系列、CA公司的eTrust系列和BMC公司的Control-SA系列等。从整个信息系统的角度来看,服务器的安全主要包括访问管理、风险管理和身份识别管理等方面。

精心保护服务器资源

在信息系统中,服务器不仅要和其他服务器与个人电脑连接,更需要和其他的网络,特别是Internet连接,这就造成了安全方面的漏洞。如何保证安全的通信,成为安全方面的首要问题之一。虽然防火墙和IDS等可以发挥一些作用,但是其功能毕竟有限。因此,只有多种方法共同使用,才能使得系统更加安全。

在安全方面,管理用户访问企业资源、特别是服务器资源,是非常重要而复杂的。员工、合作伙伴和客户要求跨不同平台和操作系统,安全地访问关键应用。操作系统一般支持管理人员访问所有资源,这些都是不安全的因素。因此,需要有一种端到端的、集中化的安全解决方案。

目前,访问管理对于电子商务的开展十分重要,合法用户可以通过它获得安全、统一和个性化的电子商务体验,它可以帮助企业保护服务器上重要的应用和数据资源的安全性,使其免受非法访问的侵害,使企业可以在安全的电子商务环境中进行业务扩展,为合作伙伴、客户、供应商和员工提供拥有高可用性和强大的缩放能力的交易系统。

惠普公司著名的系统管理软件OpenView在安全方面也做了很多工作。其中的OpenView Operations支持安全通信,从而可在不安全的网络基础设施上管理关键业务型和业务敏感型系统、数据库及应用。OpenView Operations为企业的信息系统提供了一种业务驱动方式来迅速控制企业的应用。这是一种可跨边界监督、控制和报告企业状态的企业级管理解决方案,因而保护了构成当今企业信息系统环境的所有层次(网络、系统、数据库、应用、服务和Internet)的正常运行。

OpenView Operations核心产品配有针对攻击或窃听的标准保护,可保证网络流量的安全。通过Advanced Security这一附加产品,OpenView Operations的通信基础设施可扩展支持以下管理数据的验证、加密和完整性:(1)在中央管理服务器之间的管理数据;(2)在管理服务器和分布式智能之间的管理数据;(3)在管理服务器和所连操作者控制台之间的管理数据。

在安全方面,OpenView采取了一种开放的策略,通过智能插件(Smart Plug-in,SPI)集成第三方的安全解决方案。SPI作为一种主动式,应用于分布式环境,它收集各种安全信息,并进行智能分析,并转发给上级管理层。OpenView的SPI已经可以和Checkpoint、Cisco PIX、e-Security、Nokia和Symantec等安全解决方案结合起来。

把风险和威胁拒之门外

电子商务的快速发展意味着更多的企业、系统、应用和数据可以进入到Internet世界。与此同时,企业面临的风险也变得更多,安全战线也进一步拉长,病毒威胁、非法访问、“拒绝服务”攻击以及其他的形式的入侵都将目标瞄准了电子商务应用、网络、管理基础设施、服务器和台式电脑。

在当今充满竞争的环境中,客户都要求企业提供最高质量的服务、可行性和安全性,电子商务解决方案也必须是安全的,能够保护商业交易的隐私、保护商业运行的完整性、保护客户数据、提供全天候的访问能力。但是,企业辛辛苦苦建立起来的品牌可能被来自Internet的攻击侵蚀和破坏,IBM Tivoli Risk Manager可以帮助企业对安全事件和脆弱性进行集中化的管理,使企业全面提高安全性。

通过企业风险管理,系统管理人员可以对内部和外部的安全问题进行管理。通过提高风险管理的智能化程度,可以对各种安全问题进行主动性的管理,从根源上了解和解决系统中出现的各种安全问题,同时,还可以使用决策支持快速地对新的安全策略进行升级。IBM Tivoli Risk Manager主要具有以下功能。

1.集中化的事件管理

Tivoli Risk Manager可以通过一个单一的安全控制台对安全事件进行管理,通信和控制中心可以对企业安全问题进行集中化的管理,将安全信息同来自防火墙、路由器、网络、基于主机和应用的入侵检测系统、台式电脑和脆弱性扫描工具相关联,帮助系统管理人员对攻击、威胁和风险进行集中化的管理。集中化的控制台可以为企业提供实时的可视化和安全事件管理。

2.同Tivoli Enterprise Console及Tivoli NetView紧密集成

这样可以帮助企业对网络系统进行深层次的检查,找到受影响资源的确切位置,可以利用这种“深挖”功能对各个节点进行诊断或者查看对象属性,还可以通过这个网络控制台来获知某个网络终端是否已经影响到了其他的资源。

3.心跳功能

Tivoli Risk Manager客户端、分布式关联服务器和网关都会产生周期性的“心跳”,上游服务器可以使用特殊的规则来检测到丢失的心跳。当某个系统的心跳没有被及时地检测到时,将生成一个“停滞”告警,这个功能可以用来跟踪来自第三方厂商的传感器和适配器的“保持活动”告警。

4.Tivoli Risk Manager集成工具箱

通过集成工具箱,安全事件可以非常容易地同Tivoli Risk Manger集成。入侵事件数据格式可以在IDEF和IETF标准的基础上为安全设备提供一个通用的告警格式,以便于将安全事件发送到管理控制台。通过将告警转换为IDEF格式,新型的安全技术产品可以快速地利用Tivoli Risk Manager提供的企业管理和关联功能。

此外,还包括同Tivoli Access Manager以及Tivoli Enterprise Data Warehouse的集成、自主计算功能等。

火眼金睛 识别有方

针对信息系统的安全问题,CA公司提出了eTrust解决方案。该方案由三部分组成:eTrust身份识别管理、eTrust访问管理和eTrust威胁管理。这三部分结合在一起,互相协作,形成了一个eTrust安全总控中心,从而协助企业实现安全控制。

身份识别管理主要是实现对用户身份的管理。为了保证服务器和整个信息系统的安全,需要快速发现在线的企业内部的用户,同时对于外部用户,也需要有可靠的访问控制方式。随着单个用户要求访问多种平台、系统和应用,这种复杂性更加剧了安全方面的挑战。

第7篇:电子商务安全事件范文

关键词:电子商务;信息安全;计算机网络

1 问题的提出

随着Internet网络技术飞速发展及普及,电子商务(Electronic Commerce,简称EC)已经逐渐成为人们进行商务活动的新模式,越来越多的人通过Internet进行商务活动。电子商务是利用网络技术、计算机技术和通信技术,实现数字化、电子化,商务化,网络化的整个商务过程,它与传统商业活动相比,最大的一个特征就是基于B/S方式下,交易双方在不见面的情况下完成商品贸易活动。

由于Internet自身的共享性、开放性、无缝性,那么以此为平台的在线商务交易安全也面临着日益严峻的挑战。据国家信息中心信息安全研究与服务中心统计,2012年发生了2起源代码被盗事件,2起重大黑客攻击事件,6起信息泄密事件,3起重大漏洞事件。2013年的棱镜门,谷歌抓取支付宝转账信息,酒店开房记录泄露等。据中国互联网产业统计,中国网民在2013年损近1500亿元。对于以上的这些问题,本文将对电子商务信息安全应用进行研究,并提出一些合理的安全解决方法,提高电子商务交易过程中的安全性,降低实施风险。

2 国内外电子商务安全研究现状

2.1 国际电子商务安全研究现状

在电子商务安全研究方面,美国是处于领先地位。美国国家安全局(NSA)在1983年正式颁布“受信计算机系统评量基准”,是目前颇具权威的计算机系统安全标准之一。自“911”恐怖袭击事件之后,美国公司增强了信息技术安全观念,投入大量的经费,同时加强信息技术安全方面的工作。从现在的网络安全研究情况的现实看,解决网络安全问题的根本途径和方向是网络技术创新,即研发新一代网络技术,采取“立体”措施,包括引入“中间件”层及其安全结构,在“网络层”增设面向连接的实时协议、强化整个网络系统的管控智能以及改进终端加密和反黑等措施。

2.2 我国电子商务安全研究现状

国务院在1996年了《中华人民共和国计算机信息网络国际联网管理暂行规定》,公安部在1997年了《计算机信息网络国际联网安全保护管理办法》,2000年由国家信息化推进工作办公室牵头起草的《关于发展我国电子商务的若干意见》上报国家最高决策层进行审议。网络信息安全问题不但得到了政府、企业的高度重视,同时国内的大专院校、研究所和有实力的大公司也纷纷进入网络信息安全问题的研究领域。

3 电子商务信息安全隐患

电子商务的信息存储安全隐患主要包括:(1)内部隐患。主要是网内用户未经许可随意增加、删除、修改或无意或故意地非授权调用电子商务信息。(2)外部隐患。主要是因为软件问题造成外部人员非法闯入内网,造成电子商务信息被增加、删除、修改或调用。

电子商务的信息流动安全隐患主要包括:(1)窃取商业机密。多数电子商务的信息是以明文的方式传输,那么攻击者很容易的对电子商务信息进行监听和截取。(2)攻击商务网站。攻击者通过传播计算机病毒,绕过电子商务网站的防火墙,篡改信息,使其无法正常运转。(3)实施商务诈骗。不法分子通过Internet虚假信息骗取帐号、现金,用户对电子商务产生不信任感,阻碍了电子商务的顺利发展。(4)传播不良信息。不法分子为了达到自己既有目的,在电子商务信息中推送不良信息。

电子商务交易双方的信息安全隐患主要是:(1)商家的信息安全隐患。不法分子冒充合法用户修改商务信息内容,致使电子商务活动中断,造成商家无法从事正常的业务活动。(2)用户的信息安全隐患。不法分子窃用拦截合法用户身份信息,以合法的用户进行电子商务活动,使用户蒙受损失。

4 电子商务信息安全管理

在电子商务活动中,有些信息属于商业秘密,如果失窃,将带来不可估量的损失,因此需有一个能不中断地提供服务及可靠稳定的电子商务平台,任何系统的中断,如软硬件错误,病毒,网络故障等都可能导致电子商务系统不能正常工作,所以电子商务信息的安全管理问题就成了电子商务顺利推进的保障。随着电子商务的深入应用,攻击网络技术和手段不断改进,这就对电子商务信息系统的安全性提出了更高的要求,必须保证外网用户不能对系统构成威胁,所以人们对这些基本技术进行了反复改进以适应更高的安全需求。

4.1 电子商务安全的法制建设及企业内部管理

为了保护用户信息在电子商务活动中不受侵犯,政府应该完善电子商务信息法规,同时,还需制定详尽、具体、具有可操作性的赔偿制度,包括精神赔偿和物质赔偿,为电子商务的发展提供必要的法律保证。

在国内对个人信息安全保护的监管分别由公安部、工业与信息化部等部门管理,多头管理难免会出现监管漏洞。对此可以建议由国安委统一管理,只有权力清晰才能保证监管没有漏洞。

有些安全事件是“祸起萧墙”,这就要求加强企业内部安全管理,培育和加强企业安全意识,通过企业和用户的共同努力来实现。它的基本原则是在系统内发生的所有行为都必须被定义好的,并且符合相应的程序控制要求,所有行为的发生都有审计记录,可以解决许多技术层次解决不了的安全性问题。

4.2 防火墙技术

目前的防火墙分可为两大类,一类是简单的包过滤技术,它是在网络层对数据包实施有选择的通过。依据系统内事先制定好的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址等因素来确定是否允许数据包通过。另一类是应用网管和服务器,其显著的优点是能提供小颗度的存取控制,可针对特别的数据过滤协议和网络应用服务,并且能够对数据包分析并形成相关的报告。通过防火墙技术,可以过滤掉不安全的服务,提高网络安全和减少网络中主机的风险。但防火墙是一种被动安全技术,不能阻止来自内部网络的攻击。唯一的解决办法就是,在每台计算机上都装反病毒软件。

4.3 病毒防范技术

计算机病毒实际上就是在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒绕过系统或违反授权入侵成功后,在系统中植入木马等病毒程序,为以后攻击系统、窃取信息做好准备。网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁的扫描和监测,工作站上对网络目录及文件设置访问权限等。

现在较流行的反病毒技术基于病毒的特征码扫描法、文件实时监控技术并辅以指令虚拟技术。扫描病毒:分析出病毒的特征病毒码并集中存放于病毒代码库文件中,在扫描时将扫描对象与特征代码库比较,如有吻合则判断为染上病毒。该技术实现简单有效,安全彻底。监控病毒:通过利用操作系统底层接口技术,对系统中的指定类型的文件进行实时的行为监控,一旦有病毒传染或发作时就及时报警。从而实现了对病毒的实时、永久、自动监控。删除病毒:在删除时采用虚拟技术对变种的病毒进行处理或编写出相应的程序,将病毒移除计算机内存。

4.4 认证技术

安全认证技术主要有:(1)数字摘要技术,也称安全HASH编码法。用于对所要传输的数据进行运算生成信息摘要,它并不是一种加密机制,但能产生信息的数字"指纹",目的是为了确保数据没有被篡改,从而保证数据的完整性和有效性。(2)数字签名技术,又称电子签章、公钥数字签名。是一种类似写在纸上的普通的物理签名,就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种变换或数据允许数据单元的接收者用以确认完整性和数据单元的来源并保护数据,防止被人伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。主要功能是保证信息传输的完整性、发送者的身份认证、防止交易中发生抵赖。(3)数字证书技术,又称为数字凭证。负责用电子手段来证实用户的身份和对网络资源访问的权限。(4)数字时间戳技术(DTS)。在文件交易中,时间是十分重要的信息,需对文件交易的时间和日期信息采取安全措施,而数字时间戳服务就能提供电子文件交易时间的安全保护。时间戳是一个经加密后形成的凭证文档,它包括三个部分:需加时间戳的文件摘要,DTS的数字签名,DTS收到文件的日期和时间。(5)身份认证实际。是计算机系统通过审查用户身份证明的过程,提供确认和判别用户身份的机制,确定用户是否具有对系统资源操作和访问权限。本质是确认用户身份,用户必须能够证明其身份标识合法性。身份认证技术是访问控制、安全审计、入侵检测等安企机制的基础,在电子商务信息安全理论与技术中占有至关重要的位。目身份认证技术主要有基于口令的认证技术、基于密码学的认证技术、基于智能卡的认证技术以及基于生物学特征的认证技术等。

4.5 安全协议技术

电子商务安全问题的核心是电子交易的安全性,为了彻底解决电子商务的安全机制,人们开发了各种用于加强电子商务安全的协议。当前广泛应用的电子商务安全协议主要有SET协议(Secure Electronic Transaction,安全电子交易)和SSL协议(Secure Sockets Layer,安全套接层),二者都采用了RSA算法加密。

SSL协议提供加密的SSL会话服务、SSL服务器鉴别服务以及SEL客户鉴别服务,实现了浏览器等客户端应用软件与TC/IP协议之间的接口,可以对万维网客户与服务器之间传送的数据信息进行加密和鉴别,在双方握手阶段,对将要使用加密算法和双方共享的会话密朗进行协商,完成客户与服务器之间的鉴别。目前许多运营商利用本身的便利性,使用一些的数据收集工具,分析出客户的需求,并为客户提供同类商品信息,或者是分析其他运营商的数据,产生一种恶性竞争。对于客户来讲,提供相关的其他同类商品的信息,看似是一种个性化的服务,但是同时也是在侵犯用户的隐私,为此在应用层也就客户在浏览网页时,如果客户需要商家提供相关的同类商品的信息时,商家才能对客户的数据进行分析,否则不应任意分析用户的数据。

SET协议是基于应用层的协议,是一种新的电子支付模式,它保证了开放网络上使用信用卡进行在线购物的安全。SET协议具有强大的验证功能,主要是为了解决用户、银行、商家之间通过信用卡的交易而设计的,它具有保证交易数据的完整性,交易的不可抵赖性等优点,因此它成为目前公认的信用卡网上交易的国际标准。

5 结束语

电子商务信息的安全问题是一项复杂的系统工程,随着电子商务的发展,通过各种网络的交易手段也会更加多样化,安全问题变得更加突出。它不仅涉及到动态传输信息及静态存储信息的安全问题,还需要保证电子商务信息安全,加快电子商务的发展。还有在非技术方面,需要完善法律制度、管理制度和诚信制度,促进社会公众商务观念的转变等,营造电子商务信息安全的社会大环境。

[参考文献]

[1]金胜男.电子商务的信息安全技术研究.技术研发,2013年第12期.

[2]孟慧敏.电子商务对国际贸易的影响及应用.电脑知识与技术,2013年2月第9卷第5期.

[3]韩文虹.电子商务中安全技术的应用研究.电子商务,2013年2月.

[4]崔敏.基于电子商务的安全技术讨论.网络安全,2013年7月.

[5]龙爱民.电子商务的信息安全技术分析.信息技术,2013年9月.

[6]牟童.电子商务安全体系结构浅析.电子商务与电子政务,2013年3月.

第8篇:电子商务安全事件范文

1现状研究分析

消费者在B2C电子商务中处于弱势地位,在电子商务交易过程中,其权益保护成为研究B2C电子商务的重要内容。StevenE等[3]提出了一种Web可信保障服务模型,旨在通过建立信任链降低消费者被侵权可能。刘青[4]就电子商务中隐私权与知情权的冲突与协调展开了讨论并提出协调解决问题的原则。廖善康等[5]就B2C电子商务中消费者的部分权益保护进行了分析。许晓峰等[6]对B2C中常出现的侵害消费者权益现象进行了较细的总结,但对于侵权行为背后涉及的消费者权益分析不甚清楚。国内外对于B2C电子商务中消费者权益保护的研究颇多,但对B2C中消费者权益构成不够清晰;对于解决侵权行为建议颇多,成功的可行性方案甚少。这主要由于B2C电子商务领域知识交叉度极高,覆盖法学、经济学、信息安全学及计算机科学等学科,仅从各自角度出发的研究难以达成共识。本文采用实证方法,从B2C平台交易侵权行为出发,概定B2C电子商务中消费者权益构成,并提出相关的保护措施。2B2C电子商务中消费者权益构成中国B2C电子商务发展过程中消费者权益被侵害的表现形式颇多。根据我国对公民人身权利的相关规定,通过面向B2C交易平台的数据分析,将B2C中消费者的权益结构定义为知情权、公平交易权、隐私权、安全保障权和求偿权的集合。下文通过实证分析中国前三大B2C企业最近1年发生的侵权事件,对上述五项消费者权益在B2C特定环境下进行说明。

2.1知情权

我国《消费者权益保护法》[7]第8条规定:“消费者享有知悉其购买、他用的商品或者接受的服务的真实情况的权利,消费者有权根据商品或服务的不同情况要求经营者提供商品的价格、产地、生产者、用途、性能、规格、等级、主要成分、生产日期、有效期限、检验合格证明、使用方法说明书、售后服务或者服务的内容、规格、费用等有关情况”。通过对中国商务信用平台2010年12月~2011年10月的3632条投诉进行投诉对象的分类统计,投诉对象占比分布见图1,其中涉及知情权投诉超过69%。B2C电子商务活动中,消费者知情权侵害的主要表现有:(1)图片及文字描述与实物不符,避拙就优,产品缺陷被粉饰和掩盖;(2)商场未能在网站以醒目的方式对消费者购买注意事项进行说明,尤其是关于退换货款行为中消费者需要承担的责任和应有的义务;(3)消费者在连续下一步点击过程中,被动接受了明显倾向企业经营者的格式条款。B2C电子商务中的知情权应当更加强调B2C网商的告知义务和告知手段。

2.2公平交易权

我国《消费者权益保护法》[7]第10条规定:“消费者在购买商品或接受服务时,有权获得质量保障、价格合理、计量正确等公平交易条件,有权拒绝经营者的强制交易行为。”由于网购主要以低于市场流通价格的模式来吸引消费者,定价与产品服务之间的对应关系往往被扭曲。B2C商家试图构造低价与“霸王条款”之间的因果关系,破坏公平交易性。特别是在B2C网购过程中,商家与消费者的沟通有限,商家就利用控制交易条款的优势,设定偏向自身利益的格式条款。消费者在低价交易时存在“占便宜”的负罪心理,B2C商家通常利用这种心理对消费者进行绑架和要挟,理直气壮地实施不公平交易行为。在中国商务信用平台2010年12月~2011年10月的3632条投诉中只有12%的投诉得到解决,主要原因就是商家对公平交易权的漠视。B2C电子商务中的公平交易权应当注意“低价”不是“霸王条款”的理由。

2.3隐私权

根据我国《计算机信息网络国际联网管理暂行规定实施办法》第18条规定:“用户应当服从接入单位的管理,遵守用户守则;不得擅自进入未经许可的计算机系统,篡改他人信息;不得在网络上散发恶意信息,冒用他人名义发出信息,侵犯他人隐私;不得制造、传播计算机病毒及从事侵犯其他网络和他人合法权益的活动。”在B2C电子商务中消费者隐私权被侵犯主要有3种形式:(1)过度收集消费者信息。由于网络的虚拟性,B2C商家需要对消费者信息进行确认以保证其交易安全,但信息收集必须是在得到消费者允许的情况下进行,任何欺骗、胁迫等行为应视为损害消费者隐私权之行为。(2)非法分析利用消费者数据。随着数据分析技术的发展,B2C网站通过数据挖掘、协同过滤等方式对消费者个人信息、消费行为进行分析并向消费者进行商品或服务的推荐,这本是一种创新的信息服务,对商家和消费者是互利互惠的事情。不过,商家通过用户数据进行分析得出用户未透露信息并进行生产经营,则视为侵犯消费者隐私权,比如未经消费者同意对消费者实施邮件营销之行为。(3)消费者数据非法交易。消费者数据非法交易目前有两种形式:①公司之间相互交换消费者信息;②消费者数据买卖,出售消费者信息的可能是交易平台或电子商务企业具有相应权限的人员,也可能是恶意收集网络数据的网络攻击者,俗称黑客。B2C电子商务中的隐私权要求商家必须以消费者的显示意愿作为一切涉及消费者信息活动的前提。

2.4安全保障权

《消费者权益保护法》[7]第7条规定:“消费者在购买、使用商品和接受服务时享有人身、财产安全不受损害的权利。消费者有权要求经营者提供的商品和服务,符合保障人身、财产安全的要求。”由于B2C电子商务交易依赖的开放网络的虚拟性和隐匿性,致使电子商务环境下的消费者安全保障权遇到更多困难。2010年3月,中国互联网络信息中心(CNNIC)和国家互联网应急中心(CNCERT)在京联合《2009年中国网民网络信息安全状况调查系列报告》,报告显示,2009年52%的网民曾遭遇过网络安全事件,网民处理安全事件所支出的相关服务费用共计153亿元人民币。《第28次中国互联网络发展状况统计报告》数据显示,2011年上半年,遇到过病毒或木马攻击的网民达到2.17亿,比例为44.7%,有过账号或密码被盗经历的网民达到1.21亿人,比例为24.9%,8%网民在网上遭遇过消费欺诈,该群体规模达到3880万人。可见,在B2C电子商务中消费者安全权有着更广泛的内涵。除《消费者权益保护法》的相关规定外,交易环境的安全性极为重要。

2.5求偿权《消费者权益保护法》[7]

第11条规定:“消费者因购买、使用商品或者接受服务受到人身、财产损害的,享有依法获得赔偿的权利。”通过对维权网、中国消费者网、红网等投诉维权网站的数据分析,针对B2C电子商务网站的求偿投诉占据投诉案件的最大比重,矛盾非常突出;与此同时,消费者的求偿之路也极其曲折坎坷,主要原因在于网络取证难度和相关法规网络适应性的争议。在B2C电子商务中,求偿权源于商家对自身品牌的重视程度和整个B2C电子商务产业的成熟程度。

3面向B2C电子商务的消费者权益保护

保护消费者权益不仅是B2C电子商务应该关注的重点,也是整个电子商务行业发展的重要内容。消费者权益保护在传统商务中尚未获取完全有效的解决方案,针对B2C电子商务模式中参与主体以及交易方式的特殊性,消费者权益保护应该充分利用传统商务中已初见成效的方法,诸如315投诉、质检部门等的作用。另外,B2C电子商务侵害消费者权益案件中源于网络的问题需治于网络,以网络技术治理网络问题,诸如针对开放的网络环境采用信息安全技术保证数据机密性、完整性和可用性,以及通过交易流程存档管理技术降低取证难度。对于B2C电子商务中消费者权益的保护,应着手于3方面:1)国家针对B2C电子商务消费者权益保护的相关法律法规的确立与颁布;2)交易平台和网商在其B2C电子商务交易过程中的行为约束;3)消费者对其权益保护意识的加强,以及对参与B2C电子商务行为相关知识和技术的掌握。基于B2C电子商务下消费者权益构成,下面就5项权益集合的保护措施进行说明。

3.1知情权保护

为保障消费者知情权,国家部委和行业主管应明确B2C电子商务企业的信息披露制度。披露内容包括经营者信息、企业信息、企业从事特定范围营业的行政许可证明等商家信息;商品的材料、用途、使用限制条件、规格、价格、有效期、真假鉴定方法等商品描述信息;支付方式、售后服务、意外处理方式、送货方式及联系方法等交易服务信息;服务的效果、服务范围、服务质量鉴定方法、价格、规格等售后服务信息。交易流程需以通俗易懂的方式告知消费者,并且附加图片或者视频演示。同时,要求消费者在网购时仔细阅读网站提供的商品或服务描述信息和交易指导信息;通过搜索引擎、论坛、社交网络等网络资源获取预购商品或服务的应尽可能全面信息以帮助甄别;以截图、拍照等方式尽可能详细地记录交易过程中的关键信息点,如商品描述、支付、验货等,形成知情权保护的意识和手段。

3.2公平交易权保护

在B2C电子商务中,商家在交易行为中具有明显的优势,平衡交易双方在交易行为中的不平等地位成为保障消费者公平交易权的关键。具体的应从5个方面入手:1)修缮《消费者权益保护法》和《合同法》,《消费者权益保护法》[7]于1993年颁布,1994年实施,主要用于有形商品交易行为中消费者权益的保护,而不适用于电子商务经常出现的无形商品或服务;明确交易平台责任承担的细节,如进行商家和交易平台在何时、何种条件下应当承担何种责任。2)赋予消费者对B2C企业经营者订立合同、条款的任意解除权,为此可学习欧盟的《消费者保护(远距离销售)规则》[8],提升消费者在B2C电子商务中的地位。3)建立第三方监督机制,由消费者协会或者电子商务协会组织专家,对于商家在B2C电子商务行为中设定的合同、条款的内容进行权威认证,旨在排除其间不公平、不合理、不清晰、损害消费者权益的条款。4)鼓励交易平台在相应位置添加法律指导功能链接,以增加消费者的法律知识和自我保护意识。5)交易平台应尽可能方便地向消费者提供更正错误输入的机会,如购物信息在一定时间内可更改,出现明显输入错误应予以提示等。

3.3隐私权保护

消费者隐私权的保护,首先法律法规应当明确规定可被电子商务企业收集的消费者个人信息和消费行为信息内容,允许的收集方式,消费者信息使用环境,如储存消费者信息的数据库、调用消费者信息的应用程序以及消费者信息可视对象等;对消费者数据被泄露责任承担主体、消费者维权方式进行规定。其次消费者在参与B2C电子商务交易过程中,应加强对个人隐私信息的保护意识和知识,在提交个人隐私数据给交易平台前应阅读交易平台上提供的说明信息;积极安装交易平台提供的安全控件,规避IPV4安全设计缺陷所导致的数据截获。在隐私权受侵害时,消费者应当冷静取证、勇敢维权。最后交易平台一方面要保证平台主体本身不侵犯消费者隐私权,另一方面要保证交易平台运行安全与数据流通安全;交易平台应当提供消费者选择个人信息、消费行为信息是否公开的表单;交易平台应当遵循消费者的隐私保护设置,如须在交易流程中引用要显示告知。平衡消费者根本权益保护和交易平台及商家的经营活力和创新精神是政策、立法之根本宗旨。

3.4安全保障权保护

根据B2C电子商务中侵害消费者安全保障权的主要方式,其保护措施的根本在于制订相关法律法规以明确交易平台、商家和消费者在发生侵害时各方应承担的责任。主要保护手段应当建立在交易平台的信息安全技术和质量监督技术应用之上,交易平台应当实现数据跟踪功能,安装防火墙、杀毒软件,严格端口管理制度和登录认证制度,加强流通环节中产品质量管理和监控。作为消费者,也应该提高安全防范意识,要对平台登录口令、支付口令、支付证书及证书载体需妥善保管,要在安全的计算机上进行网购行为,应对商品或服务的使用要根据相关说明执行。

3.5求偿权保护

对于消费者求偿权的保护,关键在于求偿过程中有法可依、有据可循、求偿有路、赔偿可行。在执行保障消费者求偿权过程中,则要对预防、求偿处理进行双管齐下。完善法律法规,明确B2C电子商务中的赔偿主体,是消费者求偿权得以保障的基础。在B2C电子商务中应该根据交易平台和商家之间的关系来确定赔偿主体,如二者同属于一家企业,如苏宁易购,赔偿主体应该确定为苏宁电器;而当二者之间属于租赁关系,则应对消费者权益受侵害环节进行细节定义,对交易平台和交易商家各须承担的责任环节进行定义,以避免二者相互“踢皮球”而耽误消费者的正当求偿。国内电子商务市场,采用B2C模式的企业越来越多,市场竞争本身能够为消费者求偿权保障起到积极作用。消费者在网购时,应理智选择对于赔偿解析清楚明了的网站,通过市场优胜劣汰规则,将不注重消费者求偿权保障的交易平台和商家淘汰,促使其注重对于消费者求偿的处理效力。

第9篇:电子商务安全事件范文

关键词:电子商务、家电连锁零售业近年来电子商务的大潮席卷全球,电子商务给家电连锁零售业带来了巨大的机遇,同时也带了很大的挑战。面对电子商务新环境,家电连锁零售业该如何应对,本文提出了几点对策建议。

1、扩充网上经营品类,与第三方B2C电子商务平台正面交锋

第三方B2C电子商务平台拥有强大消费者吸引力的一个重要原因是其产品种类齐全。在成熟的第三方B2C电子商务平台上,消费者几乎可以买到所有需要的产品,实现了一站式购物。而第三方B2C电子商务平台推出的“满66元免邮费”、“满300送50”等各种以购买金额为标准的优惠措施也使得消费者更加倾向于进行一站式购物。而迫使用户放弃使用某网站最常见的原因是“找不到需要的商品”,那么由此可以推论,网站销售商品种类的齐全一定可以吸引更多的消费者使用该网站。

针对这一点,家电连锁零售商应该在网上经营品类上做文章,以家电产品为基础,逐步将服装、日用百货、图书等纳入网上经营范围,最终满足消费者一站式购物的需求。而在扩充经营品类的过程中,核心竞争力的打造必不可少。对于家电连锁零售企业来说,其网上商城的核心产品依然是家电和3C产品。应该利用其各自的品牌优势,用价格低廉、质量过硬、服务到位的家电和3C产品吸引消费者,在满足消费者对家电和3C产品的主要需求后,用全品类的供给能力满足消费者对其他产品的连带需求,从而进一步占领网上市场份额。

家电连锁零售商在网上进行全品类扩张有其自身的先天优势。其中在全国布局的线下门店销售网络为其提供了天然的物流配送体系,而这一点是第三方B2C电子商务平台所不具备的。以苏宁电器为例,苏宁电器连锁网络目前覆盖中国大陆30个省,300多个城市、香港和日本地区,拥有1000多家连锁店,80多个物流配送中心、3000家售后网点,员工18万多人。如此强大的连锁网络可以为苏宁易购提供坚实的物流配送支持,善加利用会节省大量的物流配送支出,从而提高网上经营利润。

2、充分发挥线下优势,实现业务线下线上无缝对接

与第三方B2C电子商务平台、生产厂商自建网络平台、C2C家电零售网店相比较而言,家电连锁零售商在电子商务环境下所拥有的最大比较优势是其成熟的线下实体店网络。竞争讲究扬长避短,如何发挥线下的独特优势也就成为了摆在家电连锁零售商面前的重要课题。

显然,家电连锁零售商若能够实现线下、线上“两条腿”走路,则其竞争力将获得较大的提升。在积极开拓线上业务的同时,家电连锁零售商仍需巩固其在线下的竞争优势。这一方面可以使得家电连锁零售商继续占领线下市场份额,另一方面也可以为线上交易提供支持。对于单品价格较高或者需要上门安装的家电产品来说,如果消费者与产品没有见面以及实际体验的过程,消费者就很难做出购买的决定。这使得线下实体店成为了线上交易的体验店,很大程度上促进了网上交易的达成。线下实体店除了作为线上交易的体验店之外,还可以承担电子商务物流服务平台的作用,此时网上商城在某种程度上又成为了线下实体店的宣传平台。

通过实体店与网络平台的互动与无缝对接,家电连锁零售商可以实现销售的虚实结合,这一方面可以继承传统家电连锁零售商所拥有的采购成本优势,另一方面可以节省配送成本,还可以增加消费者线上购物的满意度,从而实现整体销售业绩的提升。

3、加强网上平台建设,提升用户体验满意度

随着电子商务的高速发展,网上销售平台的竞争日益加剧,家电连锁零售商应该将提升用户体验满意度放在一个非常重要的位置来考虑。提升网上用户体验的满意度重在加强网上平台建设,而网上平台建设的重点在于两个方面:一方面要提升网站的功能及界面操作的用户友好性,另一方面要加强网站的安全性。

提升网站的功能及界面操作的用户友好性要从操作细节入手。某些微小的细节做得好,会让客户感受到网站运营者的管理的细致周到,从而提升对商家的信任度;而忽略细节,特别是对于交易达成或支付起关键作用的细节,就可能会造成客户的流失。而加强网站的安全性则是任何一家从事电子商务的企业的必修课。由于网络安全事件的频发,用户对于自己网上信息及资金安全的敏感度非常高,一旦发生影响广泛的用户信息泄露或用户资金受损事件,网上平台可能会受到毁灭性的打击。

4、加大物流体系建设,为网上交易提供坚实的物流支持

完善高效的物流体系是家电连锁零售企业实现电子商务目的的最终保障,缺少了与家电及其他网上销售商品相适应的现代物流技术和体系,再好的产品、再完善的网上平台也无法给企业带来最终的利益,因为物流才是交易最终达成的最后一环。加强物流体系建设,可以在如下几个方面做文章:

第一,以自身实体店为主要物流节点,以第三方物流为适当补充。家电连锁零售商应该充分利用自身已有的实体店资源,将其作为主要的物流节点搭建覆盖城乡的物流配送体系;除此之外,对于一些小城市或偏远地区,这加强与第三方物流的沟通合作,实现高效配送。

第二,整合供应链,提高配送效率。家电连锁零售商应加强信息化建设,不仅实现企业内部的数据共享,还要努力实现与供应商的信息共享,从而在线下线上协调配合的同时实现供应链的外部整合,以提高配送效率。

第三,加强物流体系内员工的业务培训,提升物流服务水平。家电连锁零售商除了要加强供应链环节的建设外,还要努力通过培训等形式提高员工的专业化水平和综合素质,从而提高物流配送服务和售后服务质量。(作者单位:北京物资学院)

参考文献

[1]杭州市经济委员会,浙江大学管理学院.杭州市企业电子商务应用现状与对策建议[EB/OL].2011-02-01.

[2]郑淑蓉.关于中国电了商务服务商分析―基于产业链视角[J].经济问题,2007(08):32-34.