前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的電子商務安全事件主題范文,僅供參考,歡迎閱讀并收藏。
關鍵詞:實踐教學;教學改革;教育質量
中圖分類號:G642.4 文獻標志碼:A 文章編號:1674-9324(2013)35-0039-02
伴隨著知識經(jīng)濟的興起,高等教育的歷史使命和人才培養(yǎng)目標發(fā)生了巨大變化,創(chuàng)新教育成為各國教育改革的主題。為了適應創(chuàng)新教育,培養(yǎng)創(chuàng)新型人才,教育教學的傳統(tǒng)方式必須變革[1]。中央和各級政府教育行政部門、各高等學校十分重視對大學生實踐和創(chuàng)新能力的培養(yǎng),教育部把實踐教學作為高校本科教學工作水平評估的關鍵指標之一,各高等學校采取切實有效措施,積極開展實踐教學改革,多渠道籌措經(jīng)費加大實驗室建設投入,極大地改善了實驗教學條件,對提高學生的實踐創(chuàng)新能力產(chǎn)生了積極影響[2]。
一、實踐教學體系概述
實踐教學指具有實踐性的教學活動。實踐教學存在于整個教學過程之中,包括理論實踐教學和社會實踐教學。要做好實踐教學工作,首先應該建立并完善實踐教學體系,通常實踐教學體系分為實踐教學目標體系、實踐教學內容體系、實踐教學管理體系、實踐教學保障體系和實踐教學評價體系。實踐教學體系的建設應該遵循以下幾個原則:
1.特色性原則:確立以素質教育為核心,技術應用能力培養(yǎng)為主線,應變能力培養(yǎng)為關鍵,產(chǎn)學研結合為途徑,與時俱進的人才教育培養(yǎng)模式是實踐教學體系構建中遵循的原則。
2.實用型原則:實踐教學體系的構建,要充分體現(xiàn)專業(yè)崗位的要求,與專業(yè)崗位群發(fā)展緊密相關。以此為原則組成一個層次分明、分工明確的實踐教學體系。
3.混合型原則:混合型體現(xiàn)在教師類型的混合、理論教學和實踐教學的混合、教室與實驗室的混合等方面,淡化理論教學與實踐教學、專業(yè)教師與實踐指導教師、教室與實驗室的界限,打破原來按學科設置實驗室的傳統(tǒng)布局,對實踐教學設施進行重新整合,形成一體化混合實踐教學模式。
實踐教學體系的目標是:以職業(yè)能力培養(yǎng)為主線,使學生獲得實踐知識、開闊眼界,豐富并活躍學生的思想,加深對理論知識的理解掌握,進而在實踐中對理論知識進行修正、拓展和創(chuàng)新。在確定具體課程實踐教學體系目標的前提下,如何有針對性地設置具體的實踐教學內容尤為重要。實踐教學的內容是實踐教學目標任務的具體化,將實踐教學環(huán)節(jié)通過合理配置,構建成以技術應用能力培養(yǎng)為主體,按基本技能、專業(yè)技能和綜合技術應用能力等層次,循序漸進地安排實踐教學內容,將實踐教學的目標和任務具體落實到各個實踐教學環(huán)節(jié)中,讓學生在實踐教學中掌握必備的、完整的、系統(tǒng)的技能和技術[3]。
二、電子商務安全實踐教學內容設置
電子商務安全課程是新興的邊緣交叉性課程,是在網(wǎng)絡安全的基礎上結合電子商務的領域的實際應用發(fā)展而來的一門具有一定針對性的課程,也是電子商務專業(yè)學生的一門專業(yè)主干課程??紤]到經(jīng)營管理活動中計算機的普及和網(wǎng)絡通信的快速發(fā)展,該課程是作為21世紀大學生尤其是電子商務專業(yè)的學生應該了解、掌握的一門學科,通過該課程的教學,學生初步了解電子商務安全的內涵和電子商務支付系統(tǒng)的構成,并且對網(wǎng)絡常見的攻擊手段、主要安全產(chǎn)品的功能、常用的電子支付工具等進行了解,以解決實際應用中遇到的問題[4]。
1.實驗項目安排。本課程實踐教學部分主要讓學生對電子商務安全與支付在理論和實踐上有一個全面的認識。要求學生通過大綱中的實驗設置,了解電子商務安全與支付的現(xiàn)實環(huán)境;了解電子商務客戶機和服務器的安全設置;熟悉基本的電子支付工具的使用,掌握數(shù)字證書的申請、安裝和使用流程;了解SSL證書的申請流程。針對本課程的培養(yǎng)目標進行合理的實驗教學安排,具體實驗項目如表1所示。
2.實驗項目的具體內容。實驗1:了解電子商務安全與支付的現(xiàn)實環(huán)境:通過本次實驗了解中國互聯(lián)網(wǎng)發(fā)展狀況,特別是有關電子商務發(fā)展的現(xiàn)狀,認真體會,結合自己課余所見的實際情況進行總結。實驗內容:閱讀比較CNNIC最新的《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》中關于安全支付的數(shù)據(jù)及分析,了解中國電子商務發(fā)展的現(xiàn)狀。實驗2:電子商務客戶機安全:通過本次實驗了解電子商務客戶機存在的安全風險及對應的安全措施。實驗內容:防病毒軟件的安裝和使用、IE對安全區(qū)的設置、檢測活動內容、處理cookie。實驗3:中銀電子錢包及網(wǎng)上銀行:通過本次實驗了解電子錢包、電子信用卡在網(wǎng)上支付中的功能及使用過程。實驗內容:中銀電子錢包的使用、個人網(wǎng)上銀行專業(yè)版的設置及使用。實驗4:個人數(shù)字證書:通過本次實驗了解數(shù)字證書的基本類型,個人數(shù)字證書的下載安裝。實驗內容:個人數(shù)字證書的下載、安裝、查看、導入和導出。實驗5:SSL證書申請:通過本次實驗了解利用Microsoft IIS Web Server申請SSL證書的基本流程。實驗內容:在Microsoft IIS上生成公私鑰對和證書請求、保存證書請求文件、安裝CA中心的根證書、安全Web Server證書。
電子商務安全是一門實踐性很強的課程,有難度且極具挑戰(zhàn)性,因此,電子商務安全的實踐教學應該根據(jù)學生的實際情況酌情安排。筆者在幾年的課程教學過程中嘗試了一些改進本課程教學的方法??偨Y得出:最優(yōu)方式是讓學生置身于其中,讓學生積極參與其中,享受創(chuàng)造的樂趣。經(jīng)過對本實踐課程安排前后的對比發(fā)現(xiàn),學生對本課程的興趣有極大提高,對理論教學部分的理解也大大加深。
參考文獻:
[1]曹鳳月.課堂實踐教學:高校實踐教學的基礎環(huán)節(jié)[J].中國勞動關系學院學報,2009,4(23):106-109.
[2]鄭春龍,邵紅艷.以創(chuàng)新實踐能力培養(yǎng)為目標的高校實踐教學體系的構建與實施[J].中國高教研究,2007,(4):85-86.
[3]朱正偉,劉東燕,何敏.加強高校實踐教學的探索與實踐[J].中國大學教育,2007,(2):76-78.
30分鐘過去了,Jason還是找不到到底發(fā)生了什么安全事件導致網(wǎng)站被黑;黑客是怎么進來的?以前是我黑別人(游戲),今天怎么被別人黑了?Jason心里想。
原來Jason在進入到馬來西亞AAA銀行之前,曾經(jīng)是一個黑客,Jason對黑客攻擊和防守技術十分熟悉,并且能夠進行入侵,占領主機,獲得控制權,遠程指揮作戰(zhàn)。
“Jason!快看一下我們的銀行電子商務網(wǎng)站,出什么問題了!”,聽到馬來西亞AAA銀行IT部總經(jīng)理Tom的電話,Jason馬上登陸銀行的電子商務網(wǎng)站,發(fā)現(xiàn)一個獰笑的骷髏正對著自己,心里感覺到不妙:網(wǎng)站真的被黑了!
雖然在黑客界很有名氣,但是大學畢業(yè)1年,靠寫一些文章和安全工具小軟件給一些安全雜志與報紙,Jason很難維持生活。
正好馬來西亞AAA銀行招聘銀行網(wǎng)絡安全管理員,考慮自己的興趣和愛好,Jason選擇了銀行的網(wǎng)絡安全管理員職位。
當時馬來西亞各家媒體、網(wǎng)站都在宣傳電子商務,那時就聽說了中國的阿里巴巴、易趣、淘寶網(wǎng)、當當書店等電子商務網(wǎng)站,Jason對電子商務網(wǎng)站十分著迷,夢想著有一天自己也可以象中國的馬云、邵亦波一樣通過網(wǎng)站把馬來西亞很多質量好價格低的產(chǎn)品遠銷國際。
Jason憑借自己的實力很順利進入到了馬來西亞AAA銀行,到了銀行工作之后,Jason很快就進入了角色,經(jīng)過對銀行內部的考察發(fā)現(xiàn)了很多網(wǎng)絡信息安全問題。
Jason發(fā)現(xiàn)好多問題需要求助于專業(yè)的安全公司,于是就打電話給e-COP公司,e-COP公司派來專業(yè)安全顧問Brian,對內部網(wǎng)絡進行安全評估,發(fā)現(xiàn)銀行電子商務網(wǎng)絡有很多安全問題:
?數(shù)據(jù)分散,并且量極大
由于馬來西亞AAA銀行購買“最佳品牌”產(chǎn)品,這些安全產(chǎn)品(防火墻、入侵檢測、防病毒等)通常從不同廠家購得,每個產(chǎn)品都有自己的信息日志和控制臺,目前各種安全設備缺乏統(tǒng)一管理平臺,只能通過這些安全產(chǎn)品各自的控制臺去查看事件,窗口繁多,而且所有的事件都是孤立的,不同設備之間的事件缺乏關聯(lián),分析起來極為麻煩;無法弄清楚真實的狀況。
?安全管理人員必須具備很高的技巧,了解各廠商的各種安全設備
不同廠家的設備對同一個事件的描述可能是不同的,這意味著馬來西亞AAA銀行安全管理人員必須分析各種不同格式的信息,才有可能進行管理,這導致安全管理人員的工作非常繁重,大量的時間用于一些價值不大的任務上。
?無法做到快速識別和響應
對于網(wǎng)絡安全人員來說,海量信息不但無法幫助找出真正的問題,反而因為太多而造成無法管理,并且不同廠商所制造的軟硬件可能送出不同的信息格式,使得在網(wǎng)絡安全威脅的鎖定上,變得難上加難,原本的安全系統(tǒng)反而成為管理上的負擔。
?運維關鍵
以往的安全管理運維工作都是基于資產(chǎn)的運維,但是安全卻是基于安全事件的運維。企業(yè)每出現(xiàn)一個安全問題就需要進行一次大范圍的維護,比如出現(xiàn)病毒問題。這使得安全的運維工作不同于以往的運維工作習慣,造成運維工作效率低下,并且難以規(guī)劃。
Brian還提出了安全建議:在馬來西亞AAA銀行部署的Cyclops企業(yè)安全管理系統(tǒng)(CESM)能夠對銀行所有不同IT安全產(chǎn)品和相關設備發(fā)出的事件進行采集、格式化和智能關聯(lián),具有嚴密的處理層次和流程。CESM能夠為安全專業(yè)人員提供可管理的安全信息,如事件趨勢分析,攻擊處理對策和日志分析取證。
在馬來西亞AAA銀行的實際應用中,CESM提供如下的管理過程和事件處理過程:
?原始告警的數(shù)據(jù)歸并
CESM首先歸并來自安全設備的所有安全數(shù)據(jù),這些安全設備包括防火墻、網(wǎng)絡IDS,主機IDS,安全應用程序和服務器的日志等。
?數(shù)據(jù)正規(guī)化
為分析安全事件,“技術規(guī)范解碼器”將原始數(shù)據(jù)處理成有意義的有用信息。通過這個過程,將原始數(shù)據(jù)轉化為TIF(Transportable-Incident-Format)格式。
?數(shù)據(jù)挖掘和關聯(lián)
CESM 以其獨特的數(shù)據(jù)挖掘和關聯(lián)技術能力,實現(xiàn)三級推理的邏輯信息處理流程。這種能力可以減少虛假告警,增加對攻擊的實時檢測能力。通過自動事件關聯(lián)和基于經(jīng)驗的自學習,從大量安全設備產(chǎn)生的入侵模式將被立即比較和觀測。
?經(jīng)過專家建議和分析的統(tǒng)一處理
提供易用的界面,同時處理CESM安全控制臺產(chǎn)生的多個安全事件。通過這種統(tǒng)一的處理方法有效地分析所有的安全事件。
?實時的防范措施
一旦發(fā)現(xiàn)來自外部或內部的攻擊企圖發(fā)生,立即采取防范措施,在信息損失前抵御入侵。
Jason馬上向IT部總經(jīng)理Tom匯報Brian對網(wǎng)絡安全的分析,并且請Brian進行現(xiàn)場演示,Tom感覺非常不錯,但是Tom還是認為,馬來西亞AAA銀行已經(jīng)有了最好品牌的防火墻、入侵檢測、防病毒等安全產(chǎn)品,安全管理平臺應該沒有必要上了,于是此項目就此擱淺。
Jason從回憶中回到了現(xiàn)實:現(xiàn)在需要解決網(wǎng)站被黑問題,怎么辦啊?
Jason馬上打電話給Tom,匯報現(xiàn)在一時之間看不出到底發(fā)生了什么事情,需要e-COP公司協(xié)助完成,Tom馬上答應。
30分鐘后,Brian到達現(xiàn)場,在銀行內部部署了一套安全管理平臺,然后對各種產(chǎn)品的日志進行分析。
Brian通過一個統(tǒng)一平臺看到了防火墻、入侵檢測、防病毒等事件信息,通過設備的關聯(lián),很快確定了黑客攻擊路徑,原來黑客通過了兩層防火墻,然后到內部一臺剛買回來的主機上,利用這臺主機作為跳板,攻擊了網(wǎng)站服務器。
Brian馬上建議對剛買回來的主機進行加固,然后修改里外兩層防火墻策略,重新?lián)Q上了網(wǎng)站的頁面,解決安全問題。
這時,Tom也出現(xiàn)在了Jason和Brian面前,連聲稱謝,表示:
“說得對,現(xiàn)在已不是單兵作戰(zhàn)的年代,而是團隊作戰(zhàn),整體作戰(zhàn),需要整體協(xié)調才能夠減少經(jīng)濟損失,希望你們的產(chǎn)品能夠在此使用?!?/p>
過了一個月后,Jason又發(fā)現(xiàn)銀行電子商務網(wǎng)絡的一些安全問題,于是銀行又購買了一套CESM產(chǎn)品。
采用CESM安全事件管理系統(tǒng)做為安全管理平臺,參考e-COP多年的安全事件處理流程經(jīng)驗SOP,銀行建立起了標準的內部安全事件處理體系,如圖所示。
馬來西亞AAA銀行通過安全事件處理體系,相關安全管理人員從海量事件中解脫出來,只關心少量的最為緊迫、最為關鍵的事件信息。并且,安全事件處理體系的成果為后續(xù)整體安全策略的規(guī)劃和調優(yōu)提供了有力的依據(jù)。
【關鍵詞】電子商務 病毒入侵 黑客攻擊 信息安全
在互聯(lián)網(wǎng)信息技術飛速發(fā)展的大背景下,電子商務(簡稱EC,英文為Electronic Commerce)已逐步演變成人們慣用的商務活動模式,從事互聯(lián)網(wǎng)商業(yè)活動的人越來越多。與傳統(tǒng)商務活動對比,在B/S方式下運轉,兩大主體完成商品交易不受時間和空間的限制,這也是電子商務是最大特點。
現(xiàn)如今,我國正處于網(wǎng)絡經(jīng)濟蓬勃發(fā)展的黃金時代,各個領域中電子商務的普及度較高。新型的商業(yè)活動形式建立在網(wǎng)絡的基礎上,保證了商業(yè)活動的便捷性和高效性。不過電子商務在對企業(yè)運管效率進一步提升的同時,使企業(yè)的面臨著病毒侵入、黑客攻擊、信息抵賴等問題,導致企業(yè)蒙受巨大虧損。所以,高度關注安全問題,才能保證電子商務平臺利用率提高。本論文以有關電子商務環(huán)境為切入點,對展開電子商務活動中出現(xiàn)的信息安全問題進行分析,并給出對應的方法和策略。
1 電子商務中網(wǎng)絡信息安全所存在的問題
1.1 電子商務網(wǎng)絡存在的問題
1.1.1 黑客攻擊
黑客對網(wǎng)絡進行攻擊是以偷取商業(yè)機要和攪擾系統(tǒng)正常運轉為目的,以下是常見的攻擊策略:竊聽;重發(fā)攻擊;迂回攻擊;假冒攻擊;越權攻擊等。
1.1.2 系統(tǒng)漏洞
侵入到電商系統(tǒng)人員以系統(tǒng)自身存在的安全漏洞為據(jù),將操作系統(tǒng)數(shù)據(jù)的權限得到。然而,管理系統(tǒng)未實時打補丁或者在設置安全方面一直選取默認設置等原因造成系統(tǒng)產(chǎn)生漏洞。
1.2 電子商務信息存在的問題
1.2.1 電子商務信息存儲安全隱患
在靜態(tài)時儲存電商信息的安全即信息儲存安全。其信息安全隱患主要包括:篡改信息內容和非授權調用信息。
1.2.2 電子商務信息傳輸安全隱患
在運轉電子商務時,資金流、物流匯集成信息流之后傳送流程中的安全即信息傳送安全。它主要涵蓋以下四種安全隱患:
(1)盜取商業(yè)機密。大部分是以明文的形式來傳送電子商務信息,那么襲擊網(wǎng)絡的不法分子就極易截取或者監(jiān)聽電商信息;
(2)對商務網(wǎng)站施以攻擊。攻擊者運用計算機病毒傳送,屏蔽掉電商網(wǎng)站設置的防火墻,更改信息,使網(wǎng)站癱瘓;
(3)實行商務欺詐。非法人員將虛假信息到Internet上去,詐騙現(xiàn)金、賬號,導致用戶信任電子商務活動的信賴度降低,在很大程度上對電子商務順利開展起阻礙作用;
(4)不良信息的傳送。非法人員為了實現(xiàn)自己的目標,把不良信息滲透到電子商務信息中。
2 應對電子商務中信息安全問題的對策
2.1 提高網(wǎng)絡信息安全意識
相比于西方l達國家,國內用戶網(wǎng)絡信息安全意識薄弱,忽視了自我權益的保護。再加上我國尚未建立完善的網(wǎng)絡信息安全監(jiān)管機制,出現(xiàn)安全事件之后無法及時采取相應的補救措施,這些都是威脅信息安全的主要因素。故此,在信息安全中,防范人為因素導致信息非安全問題是重要內容。解決這一問題的關鍵在于為從事電子商務的用戶展開安全知識培訓活動,確保用戶充分認識信息安全的重要性,對信息安全常識了如指掌,進而降低電子商務中產(chǎn)生信息安全事件的幾率。
2.2 加強信息安全的技術防范
將來網(wǎng)絡安全技術會在計算機網(wǎng)絡所有層次中滲透,不過以電子商務安全防范技術為中心的網(wǎng)絡技術成為最近幾年研究的重要方向。以我國電子商務出現(xiàn)的安全問題為依據(jù),可采取防火墻、虛擬專用網(wǎng)及認證、加密、安全審計、追蹤黑客、檢測系統(tǒng)漏洞等技術應對信息安全。另外還可以將加密路由器、翻譯網(wǎng)絡地址、動態(tài)包過濾、VPN等技術充分運用起來,確保構建一系列嚴實的安全防線將受保護資源與攻擊人員隔開。
2.3 強化網(wǎng)絡信息安全管理
信息安全管理在我國來說十分薄弱,面臨著管理能力弱且信息安全意識極其欠缺的問題。政府授權的第三方認證中心構建是電商信息安全管理中形式有效的一個方式,即用該認證中心來負責電子商務交易中的兩者主體的信息安全,保證整個交易流程的安全性和可靠性。
2.4 完善電子商務立法與信息安全立法
當前,我國正處于電子商務信息機制初級階段,只有在信用法制建設深入強化的大環(huán)境中,才能確保信息機制最大限度的施展其能力。故此,應當以國內電子商務安全問題為依據(jù),不但要使現(xiàn)行法律的管理范疇擴大和加強,還要加大信息安全與電子商務立法的力度。另外還應當對第三方信用保證進行設置并使其得到強化,務必由商務、商檢認證中心、銀行共同協(xié)作才可確保交易不受阻礙。
3 結束語
本文以電子商務信息安全有關環(huán)境為切入點,對電商中出現(xiàn)的網(wǎng)信問題進行探析,并將用戶網(wǎng)信安全意識增強、加大網(wǎng)信安全管理力度、加大防范信息安全技術應用力度、健全信息安全和電子商務立法這四種策略,以期解決電子商務中出現(xiàn)的安全問題。電子商務安全性是一項龐大、系統(tǒng)的工程,要從技術和法律上加大保護力度,只有將電商中出現(xiàn)的所有安全問題一并處理好才能使電子商務更好的服務于用戶。
參考文獻
[1]田迎華,楊敬松,周敏.3G時代移動電子商務安全問題研究[J].情報科學,2010(10):1487-1490.
[2]王立萍.商業(yè)銀行電子商務安全風險管理研究[J].中南財經(jīng)政法大學學報,2007(01):75-79+144.
[3]張濱,馮運波,吳秦建,江為強,喬矗王馨裕,楊明,何鵬.移動電子商務安全技術與應用實踐[J].通信學報,2016(04):200.
[4]孫鴻飛,張海濤,宋拓,武慧娟.電子商務個性化信息服務用戶滿意影響因素實證研究[J].情報雜志,2016(04):195-203.
[5]何培育.電子商務環(huán)境下個人信息安全危機與法律保護對策探析[J].河北法學,2014(08):34-41.
[6]王興泉,張寧.移動電子商務時代的信息安全與信息保護[J].蘭州學刊,2014(12):175-180.
[7]姚梅芳,楊修,楊涵.電子商務環(huán)境下信息管理模式研究[J].圖書情報工作,2013(05):46-49.
十二五規(guī)劃下的安全探討
本次大會以“構筑十二五規(guī)劃下中國信息安全體系”為主題,對當前國內外安全威脅、中國電子政務遇到的安全與挑戰(zhàn)、等級保護落實中的關鍵問題,以及各行業(yè)在“十二五”期間如何規(guī)劃以應對信息安全的挑戰(zhàn)等議題進行了熱烈討論。
中國計算機世界傳媒集團董事葛程遠表示,在信息安全威脅日益嚴峻的今天,“十二五”規(guī)劃以2011年作為開局之年,在規(guī)劃綱要中首次將“加強網(wǎng)絡與信息安全保障”作為重要的一個章節(jié)突出,顯示出“十二五”期間國家對信息安全的高度重視?!笆濉币?guī)劃綱要中明確指出:健全網(wǎng)絡與信息安全法律法規(guī),完善信息安全標準體系和認證認可體系,實施信息安全等級保護、風險評估等制度。加快推進安全可控關鍵軟硬件應用試點示范和推廣,加強信息網(wǎng)絡監(jiān)測、管控能力建設,確保基礎信息網(wǎng)絡和重點信息系統(tǒng)安全。
眾所周知,現(xiàn)階段的信息安全形勢發(fā)生了不少變化,新時代的信息安全堡壘正在逐步建立。工業(yè)和信息化部信息安全協(xié)調司副司長歐陽武表示,“隨著信息化水平不斷提高,網(wǎng)絡空間與物理空間相互交織、相互滲透、相互影響,網(wǎng)絡已經(jīng)成為人類活動的重要領域。”
比如,前不久,美國政府就了一系列政策性文件:4月15日網(wǎng)絡空間可信身份戰(zhàn)略;5月16日網(wǎng)絡空間國際戰(zhàn)略;6月8日網(wǎng)絡空間安全創(chuàng)新和互聯(lián)網(wǎng)經(jīng)濟;7月15日網(wǎng)絡空間行動戰(zhàn)略。這些都凸現(xiàn)了美國政府對陸??仗熘獾木W(wǎng)絡空間的高度重視。
中國政府對信息安全工作也十分重視,其中工業(yè)和信息化部的一項非常重要的職責就是協(xié)調和維護國家信息安全。為了切實履行好這一職責,工業(yè)和信息化部專門設立了信息安全協(xié)調司,以指導、監(jiān)督政府部門和重點行業(yè)的重要信息系統(tǒng)基礎信息網(wǎng)絡安全保障工作,承擔信息安全應急協(xié)調,協(xié)調處理重大事件。而“十二五”規(guī)劃也為加強網(wǎng)絡與信息安全保障指出了明確方向。不過,國家信息化專家咨詢委員會委員寧家駿認為,目前對國家信息安全發(fā)展戰(zhàn)略的研究不夠。
“頂層設計的缺失導致中央和地方信息安全保障難以形成統(tǒng)一體系,影響了信息安全保障工作的可持續(xù)發(fā)展;中央和地方分級建設模式在一定程度上制約了統(tǒng)一體系和統(tǒng)一標準的形成;另外,在技術上存在先天不足、自主創(chuàng)新可控能力不足,也帶來新的問題。”他說。
國內外安全形勢嚴峻
會上,寧家駿給與會者展示了這樣一組數(shù)據(jù):2011年6月互聯(lián)網(wǎng)網(wǎng)絡安全主要數(shù)據(jù)顯示,我國境內感染網(wǎng)絡病毒的終端達到815萬個,境內篡改網(wǎng)站數(shù)量達3164個,其中篡改政府網(wǎng)站數(shù)量333個,國家信息安全漏洞共享平臺收集整理漏洞447個,其中257個是高危漏洞,可以實施遠程攻擊的則有406個。公安部針對網(wǎng)絡黑客攻擊破壞活動專項行動打擊,破獲案件169起。同時,網(wǎng)絡失竊現(xiàn)象嚴重,政府網(wǎng)站也時常發(fā)生被植入木馬病毒的情況。另外,由于基礎網(wǎng)絡存在一定的相互依賴性,網(wǎng)絡安全威脅還可能導致災難性的骨牌效應,安全對信息化進程的穩(wěn)定性存在必然的擾動性。
事實上,近兩年國際國內由黑客主導的安全事件的影響力以及破壞力一直在不斷上升,黑客行為已經(jīng)脫離了“自由、共享”的初衷,正處于逐步失控的狀態(tài),由此誕生的黑客產(chǎn)業(yè)鏈更是讓信息安全面臨著更大的挑戰(zhàn)。
中國綠色兵團發(fā)起人之一、CHOWNGROUP倡導者李麒是一位長期和黑客以及黑客地下產(chǎn)業(yè)鏈打交道的黑客專家。在他看來,黑客的行為已經(jīng)不局限于利用木馬程序盜取QQ賬號、網(wǎng)絡游戲賬號、銀行賬號等個人信息為己牟利,一些黑客的行為已經(jīng)開始對國際大事產(chǎn)生影響,“前不久我們發(fā)現(xiàn)越南的黑客將某個政府網(wǎng)站首頁進行了篡改,替換上他們的黑客頁面,用以表現(xiàn)他們在上的一些政治意圖。”
目前網(wǎng)絡戰(zhàn)已經(jīng)升級成國與國之間的拉鋸戰(zhàn),各國都創(chuàng)建了屬于自己的精銳“網(wǎng)絡部隊”。去年5月,美軍網(wǎng)絡司令部啟動應對網(wǎng)絡攻擊計劃,建立陸??杖婢W(wǎng)絡戰(zhàn)防御體系,其目的就是打信息戰(zhàn),并形成完備的信息戰(zhàn)體系。
防范Web威脅是大勢所趨
目前,黑客攻擊正在從傳統(tǒng)的網(wǎng)絡層轉化為應用層,同時越來越多的黑客開始盜取企業(yè)保密信息用于牟利。
“黑客可以盜取企業(yè)的機密信息、圖紙、財務報表以及核心數(shù)據(jù)等,將這些賣給企業(yè)的競爭對手,這其中也包括一些跨國公司的核心數(shù)據(jù)?!崩铟枵f。
達到這些目的的方式主要是網(wǎng)頁被篡改、掛馬、仿冒三種手法,我國電子政務網(wǎng)站也深受其害。
“去年我們協(xié)助國家相關部門對全國31個省市區(qū)的7383個政府對外服務的網(wǎng)站進行大檢查,發(fā)現(xiàn)這些網(wǎng)站的安全情況不容樂觀。所查的網(wǎng)站一般都存在問題,其中最為突出的就是網(wǎng)頁被篡改,這種情況占到整個安全事件數(shù)量的62.7%,位居第一?!崩铟璞硎荆霸斐蛇@種問題的原因主要是網(wǎng)站的程序設計時沒有全面考慮安全因素,比如安全代碼優(yōu)化、安全代碼編輯等關注不夠?!?/p>
李麒認為,造成信息安全形勢嚴峻的一個重要原因是用戶將安全防護重點設置在網(wǎng)絡層,而忽略應用層,黑客針對Web應用層進行攻擊往往讓人防不勝防。“與傳統(tǒng)網(wǎng)絡安全不同,Web安全威脅變化非??欤龊每刂撇⒉蝗菀祝绕涫蔷S護、開發(fā)、上線等過程。針對這樣的情況,用戶不僅要建立整個安全防護體系,同時還針對目前信息安全態(tài)勢做好監(jiān)測,對整個安全指標進行量化。另外,要將安全做到平臺化、周期性、常態(tài)化、制度化,做好預警。最后,要實現(xiàn)安全的易用性,并充分了解當前信息系統(tǒng)的安全狀態(tài),出了問題要有相應的機制和應急響應?!?/p>
建立安全保障長效機制
為了應對日益嚴峻的安全形勢,2008年4月國家出臺了關于加強政府信息系統(tǒng)保密的通知,要求各地區(qū)、部門每半年要進行一個政府信息系統(tǒng)安全檢查。2009年3月又印發(fā)政府信息系統(tǒng)安全檢查辦法,明確了工作原則以及安全檢查的工作要求等,督促各地區(qū)和部門加強政府信息系統(tǒng)的安全防護。
會上,歐陽武還提出應大力推廣電子簽名?!熬W(wǎng)絡的匿名性、行為主體不確定性是互聯(lián)網(wǎng)最大的安全隱患。通過電子簽名技術可確認行為人和確保網(wǎng)絡行為的不可抵賴。一旦有了可靠的電子簽名,我們物理世界里面維護安全的最重要的兩個基石――法律和道德在網(wǎng)絡空間里面也有了應用的基礎。”
據(jù)了解,信息安全協(xié)調司成立三年以來把落實電子簽名法作為一項重要工作來抓。目前,工信部許可可信數(shù)字證書的社會保有量已經(jīng)接近兩千萬,一個可信身份認證服務系統(tǒng)體系正在形成。
此外,讓計算機信息網(wǎng)絡等級保護制度更為有效地保護重要領域的信息網(wǎng)絡,建立安全保障的長效機制也是我國信息安全建設的重點。公安部十一局郭啟全處長表示,目前國家信息安全面臨的新形勢要求我們要重視國家關鍵信息基礎設施保護,近幾年公安部、工信部、國家廣電局、密碼局做了大量工作把國家關鍵基礎設施梳理出來,保護重點進一步明確。但是,如何全面和整體解決各行業(yè)在信息化建設中的安全問題,仍是國內外信息安全界一直關注的問題。
各行業(yè)構建
信息安全堡壘
電子商務、電力、醫(yī)療、能源等行業(yè)也都在信息安全領域進行新的嘗試。上海信息安全基礎設施研究中心副主任顧青表示,“十二五”規(guī)劃中明確指出要積極發(fā)展電子商務,完善面向中小企業(yè)的電子商務服務,推動面向全社會的信用服務和網(wǎng)上支付物流配送支撐體系建設。
根據(jù)中國電子商務研究中心的統(tǒng)計,截止到今年6月份,電子商務交易市場達2.9萬億元人民幣的交易額,B2B達2.6萬億元,但在電子商務的發(fā)展中,網(wǎng)絡經(jīng)營主體的身份確認機制尚未成型,網(wǎng)絡市場經(jīng)營行為需要進一步規(guī)范,網(wǎng)絡市場成型體系有待健全,政府職能部門服務監(jiān)管有待于改進,網(wǎng)絡消費者維權行為有待于保障和解決等問題一直困擾著電子商務市場。同時,電子商務對數(shù)字證書認證有非常迫切的需求。因此,市場需要政府職能部門提供電子商務公信服務,創(chuàng)新監(jiān)管方式方法,維護電子商務市場秩序,促進第三方認證服務機構提供電子商務公正服務,培育戰(zhàn)略性新興產(chǎn)業(yè),構建完整的電子商務信任服務體系。
電監(jiān)會信息安全處處長溫紅子作為電力行業(yè)的代表,對于工控系統(tǒng)基礎性地位級面臨的安全威脅深有感觸:“和IT系統(tǒng)一樣,工控系統(tǒng)也面臨黑客攻擊、惡意代碼、外力破壞、自然災害等安全威脅。同樣,工控系統(tǒng)一旦發(fā)生安全事件,損害程度將非常嚴重。比如,因病毒入侵伊朗布什爾核電站的西門子工控系統(tǒng),致使數(shù)臺離心機數(shù)據(jù)錯誤,使伊朗能力倒退兩年。這件事值得我們警惕。”
溫紅子指出,工業(yè)控制系統(tǒng)的安全防護工作任重而道遠,在一些影響國計民生的大行業(yè)中應該引起足夠的重視,并亟需建立起可控的安全防護措施。
記者觀察
從來沒有真正的安全,安全是各方博弈的結果。自IT技術誕生以來,針對信息安全的討論和爭斗就不絕于耳。
由《計算機世界》主辦的“中國信息安全大會暨中國CSO俱樂部年會”已經(jīng)迎來了第九個年頭,主持人的機敏、專家的博學、演講者的幽默,以及參會者的認真,讓每一屆大會都會碰撞出火花,這讓原來嚴肅的話題產(chǎn)生出不一樣的感覺。
本屆信息安全大會以“十二五規(guī)劃下的信息安全”為主題,來自政府、協(xié)會以及各行業(yè)企業(yè)代表各抒己見,圍繞大會主題介紹了各自下一階段的安全規(guī)劃。安全廠商針對目前的安全技術熱點以及用戶新應用需求,提出了有針對性的安全解決方案,并希望借此幫助企業(yè)在“十二五規(guī)劃”指導下構筑更為安全的企業(yè)防護體系,參會者亦對此表示出濃厚的興趣。
計算機世界傳媒集團董事 葛程遠
工業(yè)和信息化部信息安全協(xié)調司副司長 歐陽武
公安部網(wǎng)絡安全保衛(wèi)局處長 郭啟全
上海信息安全基礎設施研究中心副主任 顧青
國家信息化專家咨詢委員會委員 寧家駿
中國綠色兵團發(fā)起人之一、CHOWN GROUP倡導者 李麒
如今,CIO們也在考慮如何讓消費者得到安全可靠的網(wǎng)上交易環(huán)境。防范假冒網(wǎng)站是所有電子商務人都必須面對的一個問題,因此釣魚網(wǎng)站不會局限于一個地區(qū)和國家。從安全技術發(fā)展和現(xiàn)實應用上分析,服務器證書技術的應用范圍還是比較廣泛的。從來自全球服務器證書的頂級提供商VeriSign的數(shù)據(jù)顯示,在全球500強企業(yè)中有93%的企業(yè)以及全球電子商務50強中94%的企應用該服務,其全球累計頒發(fā)的服務器證書超過45萬張。作為一種事前防范手段,每張服務器證書都具有一個與網(wǎng)站地址相對應的網(wǎng)站,證書所有者可以借此對外表明自己網(wǎng)站的真實可靠性,相當于出示一個“網(wǎng)絡身份證”,同時該技術還可以對信息傳輸通路進行加密,確保重要信息安全。
服務器證書以信任鏈作為紐帶,將全球可信站點聯(lián)系在一起,構建安全的網(wǎng)絡環(huán)境。整個信任鏈的建立是由安全服務廠商和各瀏覽器廠商等合作商共同完成的。第三方安全技術廠商通過嚴格的安全措施和有效的鑒證方法保證發(fā)放資格證書真實準確,而瀏覽器廠商會對認證機構的信譽進行評價,只有符合要求的安全服務商才進入能他們的信任鏈。
以IE6.0版本為例,上網(wǎng)者可以通過幾種方式進行查看。第一、網(wǎng)站地址是否為“”;第二,網(wǎng)頁右下角是否有金色安全小鎖標志;第三,網(wǎng)站是否有VeriSign等國際知名機構的簽章標志,只要三者有其一,網(wǎng)民就可以放心向其提交資料了。然而,由于釣魚網(wǎng)站所引發(fā)的安全事件不斷上升,最新版本IE7.0中服務器證書技術得到了進一步加強,地址欄會通過顏色變化將它們予以區(qū)分:地址欄呈現(xiàn)紅色為釣魚網(wǎng)站,綠色的是受信站點,黃色的是可疑網(wǎng)站。
就個人安全意識看,國外網(wǎng)民普遍對于個人信息保護具有很高的安全意識。通常他們會向配置了“網(wǎng)站身份證”的網(wǎng)站提交信息,而對于一些無法確認身份的網(wǎng)站,他們會比較謹慎。相對于國外網(wǎng)民,國內網(wǎng)民很少知道服務器證書對于個人信息安全的作用,在假冒網(wǎng)站面前仍感迷茫,眾多國內網(wǎng)民仍停留在通過殺病毒軟件等事后防范措施支撐著自己脆弱的安全防線。安全知識的匱乏,使得網(wǎng)民遭受釣魚網(wǎng)站侵害事件不斷出現(xiàn)。
HP、IBM、CA和BMC等廠商在其系統(tǒng)管理解決方案中,具有比較強大的系統(tǒng)安全及其管理功能,為服務器和整個信息系統(tǒng)的安全提供了很好的保證,并且大大減輕了系統(tǒng)管理員的負擔。主要的產(chǎn)品有HP公司的OpenView系列、IBM公司的Tivoli系列、CA公司的eTrust系列和BMC公司的Control-SA系列等。從整個信息系統(tǒng)的角度來看,服務器的安全主要包括訪問管理、風險管理和身份識別管理等方面。
精心保護服務器資源
在信息系統(tǒng)中,服務器不僅要和其他服務器與個人電腦連接,更需要和其他的網(wǎng)絡,特別是Internet連接,這就造成了安全方面的漏洞。如何保證安全的通信,成為安全方面的首要問題之一。雖然防火墻和IDS等可以發(fā)揮一些作用,但是其功能畢竟有限。因此,只有多種方法共同使用,才能使得系統(tǒng)更加安全。
在安全方面,管理用戶訪問企業(yè)資源、特別是服務器資源,是非常重要而復雜的。員工、合作伙伴和客戶要求跨不同平臺和操作系統(tǒng),安全地訪問關鍵應用。操作系統(tǒng)一般支持管理人員訪問所有資源,這些都是不安全的因素。因此,需要有一種端到端的、集中化的安全解決方案。
目前,訪問管理對于電子商務的開展十分重要,合法用戶可以通過它獲得安全、統(tǒng)一和個性化的電子商務體驗,它可以幫助企業(yè)保護服務器上重要的應用和數(shù)據(jù)資源的安全性,使其免受非法訪問的侵害,使企業(yè)可以在安全的電子商務環(huán)境中進行業(yè)務擴展,為合作伙伴、客戶、供應商和員工提供擁有高可用性和強大的縮放能力的交易系統(tǒng)。
惠普公司著名的系統(tǒng)管理軟件OpenView在安全方面也做了很多工作。其中的OpenView Operations支持安全通信,從而可在不安全的網(wǎng)絡基礎設施上管理關鍵業(yè)務型和業(yè)務敏感型系統(tǒng)、數(shù)據(jù)庫及應用。OpenView Operations為企業(yè)的信息系統(tǒng)提供了一種業(yè)務驅動方式來迅速控制企業(yè)的應用。這是一種可跨邊界監(jiān)督、控制和報告企業(yè)狀態(tài)的企業(yè)級管理解決方案,因而保護了構成當今企業(yè)信息系統(tǒng)環(huán)境的所有層次(網(wǎng)絡、系統(tǒng)、數(shù)據(jù)庫、應用、服務和Internet)的正常運行。
OpenView Operations核心產(chǎn)品配有針對攻擊或竊聽的標準保護,可保證網(wǎng)絡流量的安全。通過Advanced Security這一附加產(chǎn)品,OpenView Operations的通信基礎設施可擴展支持以下管理數(shù)據(jù)的驗證、加密和完整性:(1)在中央管理服務器之間的管理數(shù)據(jù);(2)在管理服務器和分布式智能之間的管理數(shù)據(jù);(3)在管理服務器和所連操作者控制臺之間的管理數(shù)據(jù)。
在安全方面,OpenView采取了一種開放的策略,通過智能插件(Smart Plug-in,SPI)集成第三方的安全解決方案。SPI作為一種主動式,應用于分布式環(huán)境,它收集各種安全信息,并進行智能分析,并轉發(fā)給上級管理層。OpenView的SPI已經(jīng)可以和Checkpoint、Cisco PIX、e-Security、Nokia和Symantec等安全解決方案結合起來。
把風險和威脅拒之門外
電子商務的快速發(fā)展意味著更多的企業(yè)、系統(tǒng)、應用和數(shù)據(jù)可以進入到Internet世界。與此同時,企業(yè)面臨的風險也變得更多,安全戰(zhàn)線也進一步拉長,病毒威脅、非法訪問、“拒絕服務”攻擊以及其他的形式的入侵都將目標瞄準了電子商務應用、網(wǎng)絡、管理基礎設施、服務器和臺式電腦。
在當今充滿競爭的環(huán)境中,客戶都要求企業(yè)提供最高質量的服務、可行性和安全性,電子商務解決方案也必須是安全的,能夠保護商業(yè)交易的隱私、保護商業(yè)運行的完整性、保護客戶數(shù)據(jù)、提供全天候的訪問能力。但是,企業(yè)辛辛苦苦建立起來的品牌可能被來自Internet的攻擊侵蝕和破壞,IBM Tivoli Risk Manager可以幫助企業(yè)對安全事件和脆弱性進行集中化的管理,使企業(yè)全面提高安全性。
通過企業(yè)風險管理,系統(tǒng)管理人員可以對內部和外部的安全問題進行管理。通過提高風險管理的智能化程度,可以對各種安全問題進行主動性的管理,從根源上了解和解決系統(tǒng)中出現(xiàn)的各種安全問題,同時,還可以使用決策支持快速地對新的安全策略進行升級。IBM Tivoli Risk Manager主要具有以下功能。
1.集中化的事件管理
Tivoli Risk Manager可以通過一個單一的安全控制臺對安全事件進行管理,通信和控制中心可以對企業(yè)安全問題進行集中化的管理,將安全信息同來自防火墻、路由器、網(wǎng)絡、基于主機和應用的入侵檢測系統(tǒng)、臺式電腦和脆弱性掃描工具相關聯(lián),幫助系統(tǒng)管理人員對攻擊、威脅和風險進行集中化的管理。集中化的控制臺可以為企業(yè)提供實時的可視化和安全事件管理。
2.同Tivoli Enterprise Console及Tivoli NetView緊密集成
這樣可以幫助企業(yè)對網(wǎng)絡系統(tǒng)進行深層次的檢查,找到受影響資源的確切位置,可以利用這種“深挖”功能對各個節(jié)點進行診斷或者查看對象屬性,還可以通過這個網(wǎng)絡控制臺來獲知某個網(wǎng)絡終端是否已經(jīng)影響到了其他的資源。
3.心跳功能
Tivoli Risk Manager客戶端、分布式關聯(lián)服務器和網(wǎng)關都會產(chǎn)生周期性的“心跳”,上游服務器可以使用特殊的規(guī)則來檢測到丟失的心跳。當某個系統(tǒng)的心跳沒有被及時地檢測到時,將生成一個“停滯”告警,這個功能可以用來跟蹤來自第三方廠商的傳感器和適配器的“保持活動”告警。
4.Tivoli Risk Manager集成工具箱
通過集成工具箱,安全事件可以非常容易地同Tivoli Risk Manger集成。入侵事件數(shù)據(jù)格式可以在IDEF和IETF標準的基礎上為安全設備提供一個通用的告警格式,以便于將安全事件發(fā)送到管理控制臺。通過將告警轉換為IDEF格式,新型的安全技術產(chǎn)品可以快速地利用Tivoli Risk Manager提供的企業(yè)管理和關聯(lián)功能。
此外,還包括同Tivoli Access Manager以及Tivoli Enterprise Data Warehouse的集成、自主計算功能等。
火眼金睛 識別有方
針對信息系統(tǒng)的安全問題,CA公司提出了eTrust解決方案。該方案由三部分組成:eTrust身份識別管理、eTrust訪問管理和eTrust威脅管理。這三部分結合在一起,互相協(xié)作,形成了一個eTrust安全總控中心,從而協(xié)助企業(yè)實現(xiàn)安全控制。
身份識別管理主要是實現(xiàn)對用戶身份的管理。為了保證服務器和整個信息系統(tǒng)的安全,需要快速發(fā)現(xiàn)在線的企業(yè)內部的用戶,同時對于外部用戶,也需要有可靠的訪問控制方式。隨著單個用戶要求訪問多種平臺、系統(tǒng)和應用,這種復雜性更加劇了安全方面的挑戰(zhàn)。
關鍵詞:電子商務;信息安全;計算機網(wǎng)絡
1 問題的提出
隨著Internet網(wǎng)絡技術飛速發(fā)展及普及,電子商務(Electronic Commerce,簡稱EC)已經(jīng)逐漸成為人們進行商務活動的新模式,越來越多的人通過Internet進行商務活動。電子商務是利用網(wǎng)絡技術、計算機技術和通信技術,實現(xiàn)數(shù)字化、電子化,商務化,網(wǎng)絡化的整個商務過程,它與傳統(tǒng)商業(yè)活動相比,最大的一個特征就是基于B/S方式下,交易雙方在不見面的情況下完成商品貿(mào)易活動。
由于Internet自身的共享性、開放性、無縫性,那么以此為平臺的在線商務交易安全也面臨著日益嚴峻的挑戰(zhàn)。據(jù)國家信息中心信息安全研究與服務中心統(tǒng)計,2012年發(fā)生了2起源代碼被盜事件,2起重大黑客攻擊事件,6起信息泄密事件,3起重大漏洞事件。2013年的棱鏡門,谷歌抓取支付寶轉賬信息,酒店開房記錄泄露等。據(jù)中國互聯(lián)網(wǎng)產(chǎn)業(yè)統(tǒng)計,中國網(wǎng)民在2013年損近1500億元。對于以上的這些問題,本文將對電子商務信息安全應用進行研究,并提出一些合理的安全解決方法,提高電子商務交易過程中的安全性,降低實施風險。
2 國內外電子商務安全研究現(xiàn)狀
2.1 國際電子商務安全研究現(xiàn)狀
在電子商務安全研究方面,美國是處于領先地位。美國國家安全局(NSA)在1983年正式頒布“受信計算機系統(tǒng)評量基準”,是目前頗具權威的計算機系統(tǒng)安全標準之一。自“911”恐怖襲擊事件之后,美國公司增強了信息技術安全觀念,投入大量的經(jīng)費,同時加強信息技術安全方面的工作。從現(xiàn)在的網(wǎng)絡安全研究情況的現(xiàn)實看,解決網(wǎng)絡安全問題的根本途徑和方向是網(wǎng)絡技術創(chuàng)新,即研發(fā)新一代網(wǎng)絡技術,采取“立體”措施,包括引入“中間件”層及其安全結構,在“網(wǎng)絡層”增設面向連接的實時協(xié)議、強化整個網(wǎng)絡系統(tǒng)的管控智能以及改進終端加密和反黑等措施。
2.2 我國電子商務安全研究現(xiàn)狀
國務院在1996年了《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》,公安部在1997年了《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》,2000年由國家信息化推進工作辦公室牽頭起草的《關于發(fā)展我國電子商務的若干意見》上報國家最高決策層進行審議。網(wǎng)絡信息安全問題不但得到了政府、企業(yè)的高度重視,同時國內的大專院校、研究所和有實力的大公司也紛紛進入網(wǎng)絡信息安全問題的研究領域。
3 電子商務信息安全隱患
電子商務的信息存儲安全隱患主要包括:(1)內部隱患。主要是網(wǎng)內用戶未經(jīng)許可隨意增加、刪除、修改或無意或故意地非授權調用電子商務信息。(2)外部隱患。主要是因為軟件問題造成外部人員非法闖入內網(wǎng),造成電子商務信息被增加、刪除、修改或調用。
電子商務的信息流動安全隱患主要包括:(1)竊取商業(yè)機密。多數(shù)電子商務的信息是以明文的方式傳輸,那么攻擊者很容易的對電子商務信息進行監(jiān)聽和截取。(2)攻擊商務網(wǎng)站。攻擊者通過傳播計算機病毒,繞過電子商務網(wǎng)站的防火墻,篡改信息,使其無法正常運轉。(3)實施商務詐騙。不法分子通過Internet虛假信息騙取帳號、現(xiàn)金,用戶對電子商務產(chǎn)生不信任感,阻礙了電子商務的順利發(fā)展。(4)傳播不良信息。不法分子為了達到自己既有目的,在電子商務信息中推送不良信息。
電子商務交易雙方的信息安全隱患主要是:(1)商家的信息安全隱患。不法分子冒充合法用戶修改商務信息內容,致使電子商務活動中斷,造成商家無法從事正常的業(yè)務活動。(2)用戶的信息安全隱患。不法分子竊用攔截合法用戶身份信息,以合法的用戶進行電子商務活動,使用戶蒙受損失。
4 電子商務信息安全管理
在電子商務活動中,有些信息屬于商業(yè)秘密,如果失竊,將帶來不可估量的損失,因此需有一個能不中斷地提供服務及可靠穩(wěn)定的電子商務平臺,任何系統(tǒng)的中斷,如軟硬件錯誤,病毒,網(wǎng)絡故障等都可能導致電子商務系統(tǒng)不能正常工作,所以電子商務信息的安全管理問題就成了電子商務順利推進的保障。隨著電子商務的深入應用,攻擊網(wǎng)絡技術和手段不斷改進,這就對電子商務信息系統(tǒng)的安全性提出了更高的要求,必須保證外網(wǎng)用戶不能對系統(tǒng)構成威脅,所以人們對這些基本技術進行了反復改進以適應更高的安全需求。
4.1 電子商務安全的法制建設及企業(yè)內部管理
為了保護用戶信息在電子商務活動中不受侵犯,政府應該完善電子商務信息法規(guī),同時,還需制定詳盡、具體、具有可操作性的賠償制度,包括精神賠償和物質賠償,為電子商務的發(fā)展提供必要的法律保證。
在國內對個人信息安全保護的監(jiān)管分別由公安部、工業(yè)與信息化部等部門管理,多頭管理難免會出現(xiàn)監(jiān)管漏洞。對此可以建議由國安委統(tǒng)一管理,只有權力清晰才能保證監(jiān)管沒有漏洞。
有些安全事件是“禍起蕭墻”,這就要求加強企業(yè)內部安全管理,培育和加強企業(yè)安全意識,通過企業(yè)和用戶的共同努力來實現(xiàn)。它的基本原則是在系統(tǒng)內發(fā)生的所有行為都必須被定義好的,并且符合相應的程序控制要求,所有行為的發(fā)生都有審計記錄,可以解決許多技術層次解決不了的安全性問題。
4.2 防火墻技術
目前的防火墻分可為兩大類,一類是簡單的包過濾技術,它是在網(wǎng)絡層對數(shù)據(jù)包實施有選擇的通過。依據(jù)系統(tǒng)內事先制定好的過濾邏輯,檢查數(shù)據(jù)流中每個數(shù)據(jù)包后,根據(jù)數(shù)據(jù)包的源地址、目的地址等因素來確定是否允許數(shù)據(jù)包通過。另一類是應用網(wǎng)管和服務器,其顯著的優(yōu)點是能提供小顆度的存取控制,可針對特別的數(shù)據(jù)過濾協(xié)議和網(wǎng)絡應用服務,并且能夠對數(shù)據(jù)包分析并形成相關的報告。通過防火墻技術,可以過濾掉不安全的服務,提高網(wǎng)絡安全和減少網(wǎng)絡中主機的風險。但防火墻是一種被動安全技術,不能阻止來自內部網(wǎng)絡的攻擊。唯一的解決辦法就是,在每臺計算機上都裝反病毒軟件。
4.3 病毒防范技術
計算機病毒實際上就是在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù),影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。病毒繞過系統(tǒng)或違反授權入侵成功后,在系統(tǒng)中植入木馬等病毒程序,為以后攻擊系統(tǒng)、竊取信息做好準備。網(wǎng)絡防病毒技術的具體實現(xiàn)方法包括對網(wǎng)絡服務器中的文件進行頻繁的掃描和監(jiān)測,工作站上對網(wǎng)絡目錄及文件設置訪問權限等。
現(xiàn)在較流行的反病毒技術基于病毒的特征碼掃描法、文件實時監(jiān)控技術并輔以指令虛擬技術。掃描病毒:分析出病毒的特征病毒碼并集中存放于病毒代碼庫文件中,在掃描時將掃描對象與特征代碼庫比較,如有吻合則判斷為染上病毒。該技術實現(xiàn)簡單有效,安全徹底。監(jiān)控病毒:通過利用操作系統(tǒng)底層接口技術,對系統(tǒng)中的指定類型的文件進行實時的行為監(jiān)控,一旦有病毒傳染或發(fā)作時就及時報警。從而實現(xiàn)了對病毒的實時、永久、自動監(jiān)控。刪除病毒:在刪除時采用虛擬技術對變種的病毒進行處理或編寫出相應的程序,將病毒移除計算機內存。
4.4 認證技術
安全認證技術主要有:(1)數(shù)字摘要技術,也稱安全HASH編碼法。用于對所要傳輸?shù)臄?shù)據(jù)進行運算生成信息摘要,它并不是一種加密機制,但能產(chǎn)生信息的數(shù)字"指紋",目的是為了確保數(shù)據(jù)沒有被篡改,從而保證數(shù)據(jù)的完整性和有效性。(2)數(shù)字簽名技術,又稱電子簽章、公鑰數(shù)字簽名。是一種類似寫在紙上的普通的物理簽名,就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù),或是對數(shù)據(jù)單元所作的密碼變換。這種變換或數(shù)據(jù)允許數(shù)據(jù)單元的接收者用以確認完整性和數(shù)據(jù)單元的來源并保護數(shù)據(jù),防止被人偽造。它是對電子形式的消息進行簽名的一種方法,一個簽名消息能在一個通信網(wǎng)絡中傳輸。主要功能是保證信息傳輸?shù)耐暾?、發(fā)送者的身份認證、防止交易中發(fā)生抵賴。(3)數(shù)字證書技術,又稱為數(shù)字憑證。負責用電子手段來證實用戶的身份和對網(wǎng)絡資源訪問的權限。(4)數(shù)字時間戳技術(DTS)。在文件交易中,時間是十分重要的信息,需對文件交易的時間和日期信息采取安全措施,而數(shù)字時間戳服務就能提供電子文件交易時間的安全保護。時間戳是一個經(jīng)加密后形成的憑證文檔,它包括三個部分:需加時間戳的文件摘要,DTS的數(shù)字簽名,DTS收到文件的日期和時間。(5)身份認證實際。是計算機系統(tǒng)通過審查用戶身份證明的過程,提供確認和判別用戶身份的機制,確定用戶是否具有對系統(tǒng)資源操作和訪問權限。本質是確認用戶身份,用戶必須能夠證明其身份標識合法性。身份認證技術是訪問控制、安全審計、入侵檢測等安企機制的基礎,在電子商務信息安全理論與技術中占有至關重要的位。目身份認證技術主要有基于口令的認證技術、基于密碼學的認證技術、基于智能卡的認證技術以及基于生物學特征的認證技術等。
4.5 安全協(xié)議技術
電子商務安全問題的核心是電子交易的安全性,為了徹底解決電子商務的安全機制,人們開發(fā)了各種用于加強電子商務安全的協(xié)議。當前廣泛應用的電子商務安全協(xié)議主要有SET協(xié)議(Secure Electronic Transaction,安全電子交易)和SSL協(xié)議(Secure Sockets Layer,安全套接層),二者都采用了RSA算法加密。
SSL協(xié)議提供加密的SSL會話服務、SSL服務器鑒別服務以及SEL客戶鑒別服務,實現(xiàn)了瀏覽器等客戶端應用軟件與TC/IP協(xié)議之間的接口,可以對萬維網(wǎng)客戶與服務器之間傳送的數(shù)據(jù)信息進行加密和鑒別,在雙方握手階段,對將要使用加密算法和雙方共享的會話密朗進行協(xié)商,完成客戶與服務器之間的鑒別。目前許多運營商利用本身的便利性,使用一些的數(shù)據(jù)收集工具,分析出客戶的需求,并為客戶提供同類商品信息,或者是分析其他運營商的數(shù)據(jù),產(chǎn)生一種惡性競爭。對于客戶來講,提供相關的其他同類商品的信息,看似是一種個性化的服務,但是同時也是在侵犯用戶的隱私,為此在應用層也就客戶在瀏覽網(wǎng)頁時,如果客戶需要商家提供相關的同類商品的信息時,商家才能對客戶的數(shù)據(jù)進行分析,否則不應任意分析用戶的數(shù)據(jù)。
SET協(xié)議是基于應用層的協(xié)議,是一種新的電子支付模式,它保證了開放網(wǎng)絡上使用信用卡進行在線購物的安全。SET協(xié)議具有強大的驗證功能,主要是為了解決用戶、銀行、商家之間通過信用卡的交易而設計的,它具有保證交易數(shù)據(jù)的完整性,交易的不可抵賴性等優(yōu)點,因此它成為目前公認的信用卡網(wǎng)上交易的國際標準。
5 結束語
電子商務信息的安全問題是一項復雜的系統(tǒng)工程,隨著電子商務的發(fā)展,通過各種網(wǎng)絡的交易手段也會更加多樣化,安全問題變得更加突出。它不僅涉及到動態(tài)傳輸信息及靜態(tài)存儲信息的安全問題,還需要保證電子商務信息安全,加快電子商務的發(fā)展。還有在非技術方面,需要完善法律制度、管理制度和誠信制度,促進社會公眾商務觀念的轉變等,營造電子商務信息安全的社會大環(huán)境。
[參考文獻]
[1]金勝男.電子商務的信息安全技術研究.技術研發(fā),2013年第12期.
[2]孟慧敏.電子商務對國際貿(mào)易的影響及應用.電腦知識與技術,2013年2月第9卷第5期.
[3]韓文虹.電子商務中安全技術的應用研究.電子商務,2013年2月.
[4]崔敏.基于電子商務的安全技術討論.網(wǎng)絡安全,2013年7月.
[5]龍愛民.電子商務的信息安全技術分析.信息技術,2013年9月.
[6]牟童.電子商務安全體系結構淺析.電子商務與電子政務,2013年3月.
1現(xiàn)狀研究分析
消費者在B2C電子商務中處于弱勢地位,在電子商務交易過程中,其權益保護成為研究B2C電子商務的重要內容。StevenE等[3]提出了一種Web可信保障服務模型,旨在通過建立信任鏈降低消費者被侵權可能。劉青[4]就電子商務中隱私權與知情權的沖突與協(xié)調展開了討論并提出協(xié)調解決問題的原則。廖善康等[5]就B2C電子商務中消費者的部分權益保護進行了分析。許曉峰等[6]對B2C中常出現(xiàn)的侵害消費者權益現(xiàn)象進行了較細的總結,但對于侵權行為背后涉及的消費者權益分析不甚清楚。國內外對于B2C電子商務中消費者權益保護的研究頗多,但對B2C中消費者權益構成不夠清晰;對于解決侵權行為建議頗多,成功的可行性方案甚少。這主要由于B2C電子商務領域知識交叉度極高,覆蓋法學、經(jīng)濟學、信息安全學及計算機科學等學科,僅從各自角度出發(fā)的研究難以達成共識。本文采用實證方法,從B2C平臺交易侵權行為出發(fā),概定B2C電子商務中消費者權益構成,并提出相關的保護措施。2B2C電子商務中消費者權益構成中國B2C電子商務發(fā)展過程中消費者權益被侵害的表現(xiàn)形式頗多。根據(jù)我國對公民人身權利的相關規(guī)定,通過面向B2C交易平臺的數(shù)據(jù)分析,將B2C中消費者的權益結構定義為知情權、公平交易權、隱私權、安全保障權和求償權的集合。下文通過實證分析中國前三大B2C企業(yè)最近1年發(fā)生的侵權事件,對上述五項消費者權益在B2C特定環(huán)境下進行說明。
2.1知情權
我國《消費者權益保護法》[7]第8條規(guī)定:“消費者享有知悉其購買、他用的商品或者接受的服務的真實情況的權利,消費者有權根據(jù)商品或服務的不同情況要求經(jīng)營者提供商品的價格、產(chǎn)地、生產(chǎn)者、用途、性能、規(guī)格、等級、主要成分、生產(chǎn)日期、有效期限、檢驗合格證明、使用方法說明書、售后服務或者服務的內容、規(guī)格、費用等有關情況”。通過對中國商務信用平臺2010年12月~2011年10月的3632條投訴進行投訴對象的分類統(tǒng)計,投訴對象占比分布見圖1,其中涉及知情權投訴超過69%。B2C電子商務活動中,消費者知情權侵害的主要表現(xiàn)有:(1)圖片及文字描述與實物不符,避拙就優(yōu),產(chǎn)品缺陷被粉飾和掩蓋;(2)商場未能在網(wǎng)站以醒目的方式對消費者購買注意事項進行說明,尤其是關于退換貨款行為中消費者需要承擔的責任和應有的義務;(3)消費者在連續(xù)下一步點擊過程中,被動接受了明顯傾向企業(yè)經(jīng)營者的格式條款。B2C電子商務中的知情權應當更加強調B2C網(wǎng)商的告知義務和告知手段。
2.2公平交易權
我國《消費者權益保護法》[7]第10條規(guī)定:“消費者在購買商品或接受服務時,有權獲得質量保障、價格合理、計量正確等公平交易條件,有權拒絕經(jīng)營者的強制交易行為?!庇捎诰W(wǎng)購主要以低于市場流通價格的模式來吸引消費者,定價與產(chǎn)品服務之間的對應關系往往被扭曲。B2C商家試圖構造低價與“霸王條款”之間的因果關系,破壞公平交易性。特別是在B2C網(wǎng)購過程中,商家與消費者的溝通有限,商家就利用控制交易條款的優(yōu)勢,設定偏向自身利益的格式條款。消費者在低價交易時存在“占便宜”的負罪心理,B2C商家通常利用這種心理對消費者進行綁架和要挾,理直氣壯地實施不公平交易行為。在中國商務信用平臺2010年12月~2011年10月的3632條投訴中只有12%的投訴得到解決,主要原因就是商家對公平交易權的漠視。B2C電子商務中的公平交易權應當注意“低價”不是“霸王條款”的理由。
2.3隱私權
根據(jù)我國《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定實施辦法》第18條規(guī)定:“用戶應當服從接入單位的管理,遵守用戶守則;不得擅自進入未經(jīng)許可的計算機系統(tǒng),篡改他人信息;不得在網(wǎng)絡上散發(fā)惡意信息,冒用他人名義發(fā)出信息,侵犯他人隱私;不得制造、傳播計算機病毒及從事侵犯其他網(wǎng)絡和他人合法權益的活動?!痹贐2C電子商務中消費者隱私權被侵犯主要有3種形式:(1)過度收集消費者信息。由于網(wǎng)絡的虛擬性,B2C商家需要對消費者信息進行確認以保證其交易安全,但信息收集必須是在得到消費者允許的情況下進行,任何欺騙、脅迫等行為應視為損害消費者隱私權之行為。(2)非法分析利用消費者數(shù)據(jù)。隨著數(shù)據(jù)分析技術的發(fā)展,B2C網(wǎng)站通過數(shù)據(jù)挖掘、協(xié)同過濾等方式對消費者個人信息、消費行為進行分析并向消費者進行商品或服務的推薦,這本是一種創(chuàng)新的信息服務,對商家和消費者是互利互惠的事情。不過,商家通過用戶數(shù)據(jù)進行分析得出用戶未透露信息并進行生產(chǎn)經(jīng)營,則視為侵犯消費者隱私權,比如未經(jīng)消費者同意對消費者實施郵件營銷之行為。(3)消費者數(shù)據(jù)非法交易。消費者數(shù)據(jù)非法交易目前有兩種形式:①公司之間相互交換消費者信息;②消費者數(shù)據(jù)買賣,出售消費者信息的可能是交易平臺或電子商務企業(yè)具有相應權限的人員,也可能是惡意收集網(wǎng)絡數(shù)據(jù)的網(wǎng)絡攻擊者,俗稱黑客。B2C電子商務中的隱私權要求商家必須以消費者的顯示意愿作為一切涉及消費者信息活動的前提。
2.4安全保障權
《消費者權益保護法》[7]第7條規(guī)定:“消費者在購買、使用商品和接受服務時享有人身、財產(chǎn)安全不受損害的權利。消費者有權要求經(jīng)營者提供的商品和服務,符合保障人身、財產(chǎn)安全的要求?!庇捎贐2C電子商務交易依賴的開放網(wǎng)絡的虛擬性和隱匿性,致使電子商務環(huán)境下的消費者安全保障權遇到更多困難。2010年3月,中國互聯(lián)網(wǎng)絡信息中心(CNNIC)和國家互聯(lián)網(wǎng)應急中心(CNCERT)在京聯(lián)合《2009年中國網(wǎng)民網(wǎng)絡信息安全狀況調查系列報告》,報告顯示,2009年52%的網(wǎng)民曾遭遇過網(wǎng)絡安全事件,網(wǎng)民處理安全事件所支出的相關服務費用共計153億元人民幣?!兜?8次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》數(shù)據(jù)顯示,2011年上半年,遇到過病毒或木馬攻擊的網(wǎng)民達到2.17億,比例為44.7%,有過賬號或密碼被盜經(jīng)歷的網(wǎng)民達到1.21億人,比例為24.9%,8%網(wǎng)民在網(wǎng)上遭遇過消費欺詐,該群體規(guī)模達到3880萬人??梢姡贐2C電子商務中消費者安全權有著更廣泛的內涵。除《消費者權益保護法》的相關規(guī)定外,交易環(huán)境的安全性極為重要。
2.5求償權《消費者權益保護法》[7]
第11條規(guī)定:“消費者因購買、使用商品或者接受服務受到人身、財產(chǎn)損害的,享有依法獲得賠償?shù)臋嗬??!蓖ㄟ^對維權網(wǎng)、中國消費者網(wǎng)、紅網(wǎng)等投訴維權網(wǎng)站的數(shù)據(jù)分析,針對B2C電子商務網(wǎng)站的求償投訴占據(jù)投訴案件的最大比重,矛盾非常突出;與此同時,消費者的求償之路也極其曲折坎坷,主要原因在于網(wǎng)絡取證難度和相關法規(guī)網(wǎng)絡適應性的爭議。在B2C電子商務中,求償權源于商家對自身品牌的重視程度和整個B2C電子商務產(chǎn)業(yè)的成熟程度。
3面向B2C電子商務的消費者權益保護
保護消費者權益不僅是B2C電子商務應該關注的重點,也是整個電子商務行業(yè)發(fā)展的重要內容。消費者權益保護在傳統(tǒng)商務中尚未獲取完全有效的解決方案,針對B2C電子商務模式中參與主體以及交易方式的特殊性,消費者權益保護應該充分利用傳統(tǒng)商務中已初見成效的方法,諸如315投訴、質檢部門等的作用。另外,B2C電子商務侵害消費者權益案件中源于網(wǎng)絡的問題需治于網(wǎng)絡,以網(wǎng)絡技術治理網(wǎng)絡問題,諸如針對開放的網(wǎng)絡環(huán)境采用信息安全技術保證數(shù)據(jù)機密性、完整性和可用性,以及通過交易流程存檔管理技術降低取證難度。對于B2C電子商務中消費者權益的保護,應著手于3方面:1)國家針對B2C電子商務消費者權益保護的相關法律法規(guī)的確立與頒布;2)交易平臺和網(wǎng)商在其B2C電子商務交易過程中的行為約束;3)消費者對其權益保護意識的加強,以及對參與B2C電子商務行為相關知識和技術的掌握。基于B2C電子商務下消費者權益構成,下面就5項權益集合的保護措施進行說明。
3.1知情權保護
為保障消費者知情權,國家部委和行業(yè)主管應明確B2C電子商務企業(yè)的信息披露制度。披露內容包括經(jīng)營者信息、企業(yè)信息、企業(yè)從事特定范圍營業(yè)的行政許可證明等商家信息;商品的材料、用途、使用限制條件、規(guī)格、價格、有效期、真假鑒定方法等商品描述信息;支付方式、售后服務、意外處理方式、送貨方式及聯(lián)系方法等交易服務信息;服務的效果、服務范圍、服務質量鑒定方法、價格、規(guī)格等售后服務信息。交易流程需以通俗易懂的方式告知消費者,并且附加圖片或者視頻演示。同時,要求消費者在網(wǎng)購時仔細閱讀網(wǎng)站提供的商品或服務描述信息和交易指導信息;通過搜索引擎、論壇、社交網(wǎng)絡等網(wǎng)絡資源獲取預購商品或服務的應盡可能全面信息以幫助甄別;以截圖、拍照等方式盡可能詳細地記錄交易過程中的關鍵信息點,如商品描述、支付、驗貨等,形成知情權保護的意識和手段。
3.2公平交易權保護
在B2C電子商務中,商家在交易行為中具有明顯的優(yōu)勢,平衡交易雙方在交易行為中的不平等地位成為保障消費者公平交易權的關鍵。具體的應從5個方面入手:1)修繕《消費者權益保護法》和《合同法》,《消費者權益保護法》[7]于1993年頒布,1994年實施,主要用于有形商品交易行為中消費者權益的保護,而不適用于電子商務經(jīng)常出現(xiàn)的無形商品或服務;明確交易平臺責任承擔的細節(jié),如進行商家和交易平臺在何時、何種條件下應當承擔何種責任。2)賦予消費者對B2C企業(yè)經(jīng)營者訂立合同、條款的任意解除權,為此可學習歐盟的《消費者保護(遠距離銷售)規(guī)則》[8],提升消費者在B2C電子商務中的地位。3)建立第三方監(jiān)督機制,由消費者協(xié)會或者電子商務協(xié)會組織專家,對于商家在B2C電子商務行為中設定的合同、條款的內容進行權威認證,旨在排除其間不公平、不合理、不清晰、損害消費者權益的條款。4)鼓勵交易平臺在相應位置添加法律指導功能鏈接,以增加消費者的法律知識和自我保護意識。5)交易平臺應盡可能方便地向消費者提供更正錯誤輸入的機會,如購物信息在一定時間內可更改,出現(xiàn)明顯輸入錯誤應予以提示等。
3.3隱私權保護
消費者隱私權的保護,首先法律法規(guī)應當明確規(guī)定可被電子商務企業(yè)收集的消費者個人信息和消費行為信息內容,允許的收集方式,消費者信息使用環(huán)境,如儲存消費者信息的數(shù)據(jù)庫、調用消費者信息的應用程序以及消費者信息可視對象等;對消費者數(shù)據(jù)被泄露責任承擔主體、消費者維權方式進行規(guī)定。其次消費者在參與B2C電子商務交易過程中,應加強對個人隱私信息的保護意識和知識,在提交個人隱私數(shù)據(jù)給交易平臺前應閱讀交易平臺上提供的說明信息;積極安裝交易平臺提供的安全控件,規(guī)避IPV4安全設計缺陷所導致的數(shù)據(jù)截獲。在隱私權受侵害時,消費者應當冷靜取證、勇敢維權。最后交易平臺一方面要保證平臺主體本身不侵犯消費者隱私權,另一方面要保證交易平臺運行安全與數(shù)據(jù)流通安全;交易平臺應當提供消費者選擇個人信息、消費行為信息是否公開的表單;交易平臺應當遵循消費者的隱私保護設置,如須在交易流程中引用要顯示告知。平衡消費者根本權益保護和交易平臺及商家的經(jīng)營活力和創(chuàng)新精神是政策、立法之根本宗旨。
3.4安全保障權保護
根據(jù)B2C電子商務中侵害消費者安全保障權的主要方式,其保護措施的根本在于制訂相關法律法規(guī)以明確交易平臺、商家和消費者在發(fā)生侵害時各方應承擔的責任。主要保護手段應當建立在交易平臺的信息安全技術和質量監(jiān)督技術應用之上,交易平臺應當實現(xiàn)數(shù)據(jù)跟蹤功能,安裝防火墻、殺毒軟件,嚴格端口管理制度和登錄認證制度,加強流通環(huán)節(jié)中產(chǎn)品質量管理和監(jiān)控。作為消費者,也應該提高安全防范意識,要對平臺登錄口令、支付口令、支付證書及證書載體需妥善保管,要在安全的計算機上進行網(wǎng)購行為,應對商品或服務的使用要根據(jù)相關說明執(zhí)行。
3.5求償權保護
對于消費者求償權的保護,關鍵在于求償過程中有法可依、有據(jù)可循、求償有路、賠償可行。在執(zhí)行保障消費者求償權過程中,則要對預防、求償處理進行雙管齊下。完善法律法規(guī),明確B2C電子商務中的賠償主體,是消費者求償權得以保障的基礎。在B2C電子商務中應該根據(jù)交易平臺和商家之間的關系來確定賠償主體,如二者同屬于一家企業(yè),如蘇寧易購,賠償主體應該確定為蘇寧電器;而當二者之間屬于租賃關系,則應對消費者權益受侵害環(huán)節(jié)進行細節(jié)定義,對交易平臺和交易商家各須承擔的責任環(huán)節(jié)進行定義,以避免二者相互“踢皮球”而耽誤消費者的正當求償。國內電子商務市場,采用B2C模式的企業(yè)越來越多,市場競爭本身能夠為消費者求償權保障起到積極作用。消費者在網(wǎng)購時,應理智選擇對于賠償解析清楚明了的網(wǎng)站,通過市場優(yōu)勝劣汰規(guī)則,將不注重消費者求償權保障的交易平臺和商家淘汰,促使其注重對于消費者求償?shù)奶幚硇ЯΑ?/p>
關鍵詞:電子商務、家電連鎖零售業(yè)近年來電子商務的大潮席卷全球,電子商務給家電連鎖零售業(yè)帶來了巨大的機遇,同時也帶了很大的挑戰(zhàn)。面對電子商務新環(huán)境,家電連鎖零售業(yè)該如何應對,本文提出了幾點對策建議。
1、擴充網(wǎng)上經(jīng)營品類,與第三方B2C電子商務平臺正面交鋒
第三方B2C電子商務平臺擁有強大消費者吸引力的一個重要原因是其產(chǎn)品種類齊全。在成熟的第三方B2C電子商務平臺上,消費者幾乎可以買到所有需要的產(chǎn)品,實現(xiàn)了一站式購物。而第三方B2C電子商務平臺推出的“滿66元免郵費”、“滿300送50”等各種以購買金額為標準的優(yōu)惠措施也使得消費者更加傾向于進行一站式購物。而迫使用戶放棄使用某網(wǎng)站最常見的原因是“找不到需要的商品”,那么由此可以推論,網(wǎng)站銷售商品種類的齊全一定可以吸引更多的消費者使用該網(wǎng)站。
針對這一點,家電連鎖零售商應該在網(wǎng)上經(jīng)營品類上做文章,以家電產(chǎn)品為基礎,逐步將服裝、日用百貨、圖書等納入網(wǎng)上經(jīng)營范圍,最終滿足消費者一站式購物的需求。而在擴充經(jīng)營品類的過程中,核心競爭力的打造必不可少。對于家電連鎖零售企業(yè)來說,其網(wǎng)上商城的核心產(chǎn)品依然是家電和3C產(chǎn)品。應該利用其各自的品牌優(yōu)勢,用價格低廉、質量過硬、服務到位的家電和3C產(chǎn)品吸引消費者,在滿足消費者對家電和3C產(chǎn)品的主要需求后,用全品類的供給能力滿足消費者對其他產(chǎn)品的連帶需求,從而進一步占領網(wǎng)上市場份額。
家電連鎖零售商在網(wǎng)上進行全品類擴張有其自身的先天優(yōu)勢。其中在全國布局的線下門店銷售網(wǎng)絡為其提供了天然的物流配送體系,而這一點是第三方B2C電子商務平臺所不具備的。以蘇寧電器為例,蘇寧電器連鎖網(wǎng)絡目前覆蓋中國大陸30個省,300多個城市、香港和日本地區(qū),擁有1000多家連鎖店,80多個物流配送中心、3000家售后網(wǎng)點,員工18萬多人。如此強大的連鎖網(wǎng)絡可以為蘇寧易購提供堅實的物流配送支持,善加利用會節(jié)省大量的物流配送支出,從而提高網(wǎng)上經(jīng)營利潤。
2、充分發(fā)揮線下優(yōu)勢,實現(xiàn)業(yè)務線下線上無縫對接
與第三方B2C電子商務平臺、生產(chǎn)廠商自建網(wǎng)絡平臺、C2C家電零售網(wǎng)店相比較而言,家電連鎖零售商在電子商務環(huán)境下所擁有的最大比較優(yōu)勢是其成熟的線下實體店網(wǎng)絡。競爭講究揚長避短,如何發(fā)揮線下的獨特優(yōu)勢也就成為了擺在家電連鎖零售商面前的重要課題。
顯然,家電連鎖零售商若能夠實現(xiàn)線下、線上“兩條腿”走路,則其競爭力將獲得較大的提升。在積極開拓線上業(yè)務的同時,家電連鎖零售商仍需鞏固其在線下的競爭優(yōu)勢。這一方面可以使得家電連鎖零售商繼續(xù)占領線下市場份額,另一方面也可以為線上交易提供支持。對于單品價格較高或者需要上門安裝的家電產(chǎn)品來說,如果消費者與產(chǎn)品沒有見面以及實際體驗的過程,消費者就很難做出購買的決定。這使得線下實體店成為了線上交易的體驗店,很大程度上促進了網(wǎng)上交易的達成。線下實體店除了作為線上交易的體驗店之外,還可以承擔電子商務物流服務平臺的作用,此時網(wǎng)上商城在某種程度上又成為了線下實體店的宣傳平臺。
通過實體店與網(wǎng)絡平臺的互動與無縫對接,家電連鎖零售商可以實現(xiàn)銷售的虛實結合,這一方面可以繼承傳統(tǒng)家電連鎖零售商所擁有的采購成本優(yōu)勢,另一方面可以節(jié)省配送成本,還可以增加消費者線上購物的滿意度,從而實現(xiàn)整體銷售業(yè)績的提升。
3、加強網(wǎng)上平臺建設,提升用戶體驗滿意度
隨著電子商務的高速發(fā)展,網(wǎng)上銷售平臺的競爭日益加劇,家電連鎖零售商應該將提升用戶體驗滿意度放在一個非常重要的位置來考慮。提升網(wǎng)上用戶體驗的滿意度重在加強網(wǎng)上平臺建設,而網(wǎng)上平臺建設的重點在于兩個方面:一方面要提升網(wǎng)站的功能及界面操作的用戶友好性,另一方面要加強網(wǎng)站的安全性。
提升網(wǎng)站的功能及界面操作的用戶友好性要從操作細節(jié)入手。某些微小的細節(jié)做得好,會讓客戶感受到網(wǎng)站運營者的管理的細致周到,從而提升對商家的信任度;而忽略細節(jié),特別是對于交易達成或支付起關鍵作用的細節(jié),就可能會造成客戶的流失。而加強網(wǎng)站的安全性則是任何一家從事電子商務的企業(yè)的必修課。由于網(wǎng)絡安全事件的頻發(fā),用戶對于自己網(wǎng)上信息及資金安全的敏感度非常高,一旦發(fā)生影響廣泛的用戶信息泄露或用戶資金受損事件,網(wǎng)上平臺可能會受到毀滅性的打擊。
4、加大物流體系建設,為網(wǎng)上交易提供堅實的物流支持
完善高效的物流體系是家電連鎖零售企業(yè)實現(xiàn)電子商務目的的最終保障,缺少了與家電及其他網(wǎng)上銷售商品相適應的現(xiàn)代物流技術和體系,再好的產(chǎn)品、再完善的網(wǎng)上平臺也無法給企業(yè)帶來最終的利益,因為物流才是交易最終達成的最后一環(huán)。加強物流體系建設,可以在如下幾個方面做文章:
第一,以自身實體店為主要物流節(jié)點,以第三方物流為適當補充。家電連鎖零售商應該充分利用自身已有的實體店資源,將其作為主要的物流節(jié)點搭建覆蓋城鄉(xiāng)的物流配送體系;除此之外,對于一些小城市或偏遠地區(qū),這加強與第三方物流的溝通合作,實現(xiàn)高效配送。
第二,整合供應鏈,提高配送效率。家電連鎖零售商應加強信息化建設,不僅實現(xiàn)企業(yè)內部的數(shù)據(jù)共享,還要努力實現(xiàn)與供應商的信息共享,從而在線下線上協(xié)調配合的同時實現(xiàn)供應鏈的外部整合,以提高配送效率。
第三,加強物流體系內員工的業(yè)務培訓,提升物流服務水平。家電連鎖零售商除了要加強供應鏈環(huán)節(jié)的建設外,還要努力通過培訓等形式提高員工的專業(yè)化水平和綜合素質,從而提高物流配送服務和售后服務質量。(作者單位:北京物資學院)
參考文獻
[1]杭州市經(jīng)濟委員會,浙江大學管理學院.杭州市企業(yè)電子商務應用現(xiàn)狀與對策建議[EB/OL].2011-02-01.
[2]鄭淑蓉.關于中國電了商務服務商分析―基于產(chǎn)業(yè)鏈視角[J].經(jīng)濟問題,2007(08):32-34.