一般来说,人们担心的网上银行安全问题主要是:
1 银行交易系统被非法入侵。
2 信息通过网络传输时被窃取或篡改。
3 交易双方的身份识别;账户被他人盗用。
从银行的角度来看,开展网上银行业务将承担比客户更多的风险。因此,我国已开通“网上银行”业务的招商银行、建设银行、中国银行等,都建立了一套严密的安全体系,包括安全策略、安全管理制度和流程、安全技术措施、业务安全措施、内部安全监控和安全审计等,以保证“网上银行”的安全运行。
银行交易系统的安全性
“网上银行”系统是银行业务服务的延伸,客户可以通过互联网方便地使用商业银行核心业务服务,完成各种非现金交易。但另一方面,互联网是一个开放的网络,银行交易服务器是网上的公开站点,网上银行系统也使银行内部网向互联网敞开了大门。因此,如何保证网上银行交易系统的安全,关系到银行内部整个金融网的安全,这是网上银行建设中最至关重要的问题,也是银行保证客户资金安全的最根本的考虑。
为防止交易服务器受到攻击,银行主要采取以下三方面的技术措施:
1 设立防火墙,隔离相关网络。
一般采用多重防火墙方案。其作用为:
(1) 分隔互联网与交易服务器,防止互联网用户的非法入侵。
(2) 用于交易服务器与银行内部网的分隔,有效保护银行内部网,同时防止内部网对交易服务器的入侵。
2 高安全级的Web应用服务器
服务器使用可信的专用 *** 作系统,凭借其独特的体系结构和安全检查,保证只有合法用户的交易请求能通过特定的代理程序送至应用服务器进行后续处理。
3 24小时实时安全监控
例如采用ISS网络动态监控产品,进行系统漏洞扫描和实时入侵检测。在2000年2月Yahoo等大网站遭到黑客入侵破坏时,使用ISS安全产品的网站均幸免于难。
身份识别和CA认证�
网上交易不是面对面的,客户可以在任何时间、任何地点发出请求,传统的身份识别方法通常是靠用户名和登录密码对用户的身份进行认证。但是,用户的密码在登录时以明文的方式在网络上传输,很容易被攻击者截获,进而可以假冒用户的身份,身份认证机制就会被攻破。
在网上银行系统中,用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验,全部通过后才能确认该用户的身份。用户的惟一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输,确保了身份认证的安全可靠性。数字证书的引入,同时实现了用户对银行交易网站的身份认证,以保证访问的是真实的银行网站,另外还确保了客户提交的交易指令的不可否认性。 由于数字证书的惟一性和重要性,各家银行为开展网上业务都成立了CA认证机构,专门负责签发和管理数字证书,并进行网上身份审核。2000年6月,由中国人民银行牵头,12家商业银行联合共建的中国金融认证中心(CFCA)正式挂牌运营。这标志着中国电子商务进入了银行安全支付的新阶段。中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构,为今后实现跨行交易提供了身份认证基础。
网络通讯的安全性
由于互联网是一个开放的网络,客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生,网上银行系统一般都采用加密传输交易信息的措施,使用最广泛的是SSL数据加密协议。
SSL协议是由Netscape首先研制开发出来的,其首要目的是在两个通信间提供秘密而可靠的连接,目前大部分Web服务器和浏览器都支持此协议。用户登录并通过身份认证之后,用户和服务方之间在网络上传输的所有数据全部用会话密钥加密,直到用户退出系统为止。而且每次会话所使用的加密密钥都是随机产生的。这样,攻击者就不可能从网络上的数据流中得到任何有用的信息。同时,引入了数字证书对传输数据进行签名,一旦数据被篡改,则必然与数字签名不符。SSL协议的加密密钥长度与其加密强度有直接关系,一般是40~128位,可在IE浏览器的“帮助”“关于”中查到。目前,建设银行等已经采用有效密钥长度128位的高强度加密。
客户的安全意识�
yhk持有人的安全意识是影响网上银行安全性的不可忽视的重要因素。目前,我国yhk持有人安全意识普遍较弱:不注意密码保密,或将密码设为生日等易被猜测的数字。一旦卡号和密码被他人窃取或猜出,用户账号就可能在网上被盗用,例如进行购物消费等,从而造成损失,而银行技术手段对此却无能为力。因此一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。
另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用。
安全性作为网络银行赖以生存和得以发展的核心及基础,从一开始就受到各家银行的极大重视,都采取了有效的技术和业务手段来确保网上银行安全。但安全性和方便性又是互相矛盾的,越安全就意味着申请手续越烦琐,使用 *** 作越复杂,影响了方便性,使客户使用起来感到困难。因此,必须在安全性和方便性上进行权衡。到目前为止,国内网上银行交易额已达数千亿元,银行方还未出现过安全问题,只有个别客户由于保密意识不强而造成资金损失。
总 结
据有关资料显示,现在美国有1500多万户家庭使用“网上银行”服务,“网上银行”业务量占银行总业务量的10%,到2005年,这一比例将接近50%。而我国网上银行业务量尚不足银行业务总量的1%,就此点讲我国网上银行业务的发展前景极为广阔,我们有理由相信,随着国民金融意识的增强,国家规范网上行为的法律法规的出台,将会有更好的网上银行使用环境,能为客户提供“3A服务”(任何时间、任何地点、任何方式)的“网上银行”一定会赢得用户的青睐。
自从美国在1995年推出世界第一家网络银行------安全第一网络银行,世界各国网络银行的发展势头十分迅猛。美国在2002年时,约有560万个家庭每月至少使用一次网络银行功能或在线支付功能。2003
年,东亚银行、汇丰银行等均在我国内地开办了网络银行业务。我国第一家网络银行出现于1998年。有报道说,到2004年底,我国网络银行个人客户已达到1758万户,企业用户已达60万户,网络银行交易量达到了49万亿元。
但是,正当消费者接受并尝试着这一新鲜事物带来的新奇和便捷时,因安全问题引发的欺诈案件却接踵而来。这使得消费者开始产生质疑,不得不重新审视网络银行的可信度。网络银行的安全究竟该如何认识?问题是出在银行,还是在消费者自身缺乏防范意识?安全问题确实已成为网络银行发展过程中的一个聚焦。
形形色色的网银安全问题
网络银行,又称网上银行或在线银行,是指银行以自己的计算机系统为主体,以单位和个人的计算机为入网 *** 作终端,借助互联网技术,通过网络向客户提供银行服务的虚拟银行柜台。简单地说,网络银行就是互联网上的虚拟银行柜台,它把传统银行的业务“搬到”网上,在网络上实现银行的业务 *** 作。
在西方发达国家,网络银行业务一般分为三类,即信息服务、客户交流服务和银行交易服务。信息服务是银行通过互联网向客户提供产品和服务。客户交流服务包括电子邮件、帐户查询、贷款申请等。银行交易服务包括个人业务和公司业务,前者包括转帐、汇款、代缴费用、按揭贷款、证券买卖、外汇买卖等;后者包括结算、信贷、投资等。银行交易服务是网络银行的主体业务。
网络银行的特点是客户只要拥有帐号和密码,便能在世界各地通过互联网,进入网络银行处理交易。与传统银行业务相比,网络银行的优势体现在,不仅能够大大降低银行的经营成本,还有利于扩大客户群,交叉销售产品,吸引和保留优质客户。由于客户采用的是公共浏览器软件和公共网络资源,节省了银行对客户端的软、硬件开发和维护费用。网络银行的无时空限制的特点,打破了传统业务受地域和时间的限制,能在任何时候、任何地方为客户提供金融服务;并且在整合各类交叉销售产品信息的基础上,实现金融创新,为客户提供更具个性化的服务。
网络银行发展的模式有两种,一是完全依赖于互联网的无形的电子银行,也叫“虚拟银行”;另一种是在现有的传统银行的基础上,利用互联网开展传统的银行业务交易服务。因此,事实上,我国还没有出现真正意义上的网络银行,也就是“虚拟银行”,国内现在的网络银行基本都属于第二种模式。
对于银行来讲,历来是“信用第一”。网络银行既然是互联网的产物,互联网所带来的一切安全隐患,自然会波及网络银行,影响其信用。因此,网络银行的安全问题不仅是客户最担心的事情,也为各传统银行所关注和重视。网络银行面临的安全隐患除了来自数据传输风险、应用系统设计的缺陷和计算机病毒的攻击三个方面外,利用网络银行进行欺诈的行为是当前危害最大、影响最恶劣的一个安全问题。这些欺诈手段包括假冒银行网站、电子邮件欺诈和网上交易陷阱等。
假冒银行网站具有很强的隐蔽性,其域名通常和真实银行的域名相差一个字母或数字,主页则与真实银行的非常相似。欺诈邮件是提供一个与银行或购物网站极为相似的链接,收到此类邮件的用户一旦点击这个链接,紧接着页面会提示用户继续输入自己的帐户信息;如果用户填写了此类信息,这些信息将最终落入诈骗者手中。而网上交易陷阱则是,一些不知名的购物网站通常会打出超低价商品等信息,待用户点击付款链接时就将用户的银行资料骗取出去。面对发生在网络银行上形形色色的安全问题,各家银行的反映如何?它们都采取了哪些相应的措施?
银行篇:该出手时就出手
8月份,国内14家商业银行与中国金融认证中心(CFCA)联合推出“2005放心安全用网银”的活动。银行界与第三方安全认证机构联手行动,为广大消费者提供了一次了解网上银行和信息安全知识的机会。
在这14家银行中,中国工商银行于2000年推出了网上银行。通过采用国际先进的技术安全措施和严格的风险控制手段,工行建立了一整套严密的网上银行技术与制度体系,确保了网上银行安全的运行。
中国工商银行电子银行部副处长尚阳向记者介绍说,利用网上银行进行欺诈行为,骗取客户资金,目前主要有四种类型:一是不法分子通过电子邮件冒充知名公司,特别是冒充银行,以系统升级等名义诱骗不知情的用户点击进入假网站,并要求他们同时输入自己的账号、网上银行登录密码、支付密码等敏感信息。二是不法分子利用网络聊天,以网友的身份低价兜售网络游戏装备、数字卡等商品,诱骗用户登录犯罪嫌疑人提供的假网站地址,输入银行账号、登录密码和支付密码。三是不法分子利用一些人喜欢下载、打开一些来路不明的程序、游戏、邮件等不良上网习惯,有可能通过这些程序、邮件等将木马病毒置入客户的计算机内,一旦客户利用这种“中毒”的计算机登录网上银行,客户的账号和密码就有可能被不法分子窃取。
例如,人们在网吧等公共电脑上网时,网吧电脑内有可能预先埋伏木马程序,账号、密码等敏感信息。四是不法分子利用人们怕麻烦而将密码设置得过于简单的心理,通过试探等方式可能猜测出密码。所以,为了保证信息和资金的安全,我们不仅需要具备辨识网络诈骗的能力,更需要养成良好的网上银行使用习惯。当然,如果用户申请了客户证书,就可以有效防范目前常见的各种网络犯罪,确保用户资金安全无忧。
工商银行网上银行系统的安全保障是多层的,包括网上银行技术安全和业务安全,二者共同构成了一个完备的网上银行安全体系。从技术安全的层面上,网上银行的技术安全包括网络安全和交易安全两个方面。网络安全确保工行网站的安全可靠,交易安全确保客户通过网上银行进行交易的资金安全。其中,网络安全涉及系统安全、网络运行安全等。
系统安全实际上指的是主机和服务器的安全,主要包括反病毒、系统安全检测、入侵检测(监控) 和审计分析;网络运行安全就是指要具备必须的针对突发事件的应急措施,如数据的备份和恢复等等。工商银行为保障网上银行的网络安全性,采取了一系列措施,包括:在互联网与网上银行服务器之间设置第一道防火墙, 在门户网站服务器和工行内部网络(应用服务器)之间设置第二道防火墙。第二道防火墙与入口的第一道防火墙采用的是不同厂商的产品,设置不同的安全策略,使黑客即使攻破第一道防火墙,也无法轻易攻破第二道防火墙而进入内部网络,等等。
在确保网络安全的同时,工行网上银行还采取了一系列确保网上交易安全的措施,包括采用中国金融认证中心(CFCA)提供的、目前最严密的1024位证书认证和128位SSL加密的公钥证书安全体系等等。根据客户对方便性和安全级别要求的不同,工行将客户分为无证书客户和证书客户两大类。没有申请证书的客户要进入网上银行,首先要验证客户的账号(或自己设立的登录ID)和登录密码,对外支付还必须验证支付密码。
此外,通过增加密码难度(必须是6—30位数字与字母的组合)、设置虚拟“e”卡(专门用于网上购物)和每日支付最高限额等一系列方式,最大限度地保证客户安全使用网上银行。对于申请了证书的客户,工行USBKey客户证书是一个外形类似U盘的智能芯片,是网上银行的“身份z”和“安全钥匙”,也是目前安全级别最高的一种安全措施。客户申请了这个证书后,网上所有涉及资金对外转移的 *** 作,都必须通过这个客户证书才能完成,而此证书,仅客户自己保管和使用。换句话说,账号、登录密码、支付密码、客户证书、证书密码等种种安全防范措施,只要其中一样没有丢失或泄露,或即使丢失,只要密码和证书没有被同一个人获得,就不存在资金安全问题。
除了技术安全外,工行在业务安全层面上,制定了健全的内部柜员 *** 作管理机制。整个网上银行的内部管理系统,都通过工行内网向全行提供统一的内部管理功能。系统内部从总行、省行到市行建立4类9级柜员制度,逐级管理,每一级对下一级有管理、监督的权限。同时柜员在进行一些关键性 *** 作时,还需要上一级柜员的实时审核,防止单人作案。
那么,用户应该如何安全使用网上银行?尚阳副处长说,对于有了客户证书的客户来说,只要密码和证书没有被同一个人获得,就能确保客户资金的安全。而没有申请客户证书的客户,只要保管好自己的账号和密码以及支付密码,就是非常安全的。总而言之,有几点需要提醒人们:1要妥善保管好自己的账号和密码。2谨防假网站索要账号、密码、支付密码等客户敏感信息。3维护好自己的电脑。不要轻易下载一些来历不明的软件。最好不要在公共场所(如网吧、公共图书馆等)使用网上银行。4、最有效的方式就是到工行网点申请一个客户证书。一旦拥有了自己的客户证书,就可以有效防范诸如假网站、“木马”病毒等网络诈骗;换句话说,即使假网站、“木马”病毒通过欺骗等手段获得了您的账号、密码等敏感信息,但有了证书,照样可以安心使用网上银行。
华夏银行也是在2000年开始着手网络银行业务的。自2001年5月17日发生第一笔网上银行交易,截至2005年6月,网上银行的企业客户数接近12万个,个人注册客户数接近21万个;累计交易金额超过7500亿元,交易笔数超过44万笔。
据华夏银行网络银行部网银业务室副经理高静文介绍说,国家计算机网络应急技术处理协调中心(CNCERT/CC)的报告显示,2004年上半年,我国的主机被用于进行各类网络欺诈的事件有20起左右,同年7月至10月已经超过了110起。随着网上银行应用的普及,这样的欺诈事件会越来越多,犯罪分子利用的技术手段也越来越先进。他们窃取银行客户账号和密码,给用户的资金安全造成了严重的威胁。
为此,华夏银行在技术策略、管理策略和业务策略等方面形成了一套完善的综合安全管理体系,在银行端和客户端采取了多重技术和业务安全保障措施。
他们的技术措施包括:架构设计采用统一出入口的集中模式。网上银行的所有业务 *** 作均通过华夏银行总行的门户网站登录进行,集中化的管理有利于集中优势人力、物力和技术,确保交易的安全性,降低了假网站出现的概率。在公共网络和银行网站之间,网站和交易服务器之间,交易服务器和银行内部网之间采用了三重不同规格型号的防火墙,隔离了相关网络;其作用是通过这三道防火墙可分别防止非法访问网站,防止网站访问者对网银的非法入侵,以及有效保护银行内部网,同时防止内部网对网银交易服务器的入侵。与工行一样,华夏银行采用的也是128位SSL数据加密协议和CFCA颁发的数字证书。数字加密协议在用户和网银服务器之间建立了秘密而可靠的连接,确保信息传输的完整性和安全性。数字证书则保障了交易的完整性、机密性和不可否认性。
华夏银行的业务安全措施是:证书采用IC卡或U盘存放,便于私密保管,且难以伪造;证书认证密码和系统登录密码双重保护;网上转帐须经记帐与授权多重确认;客户密码3个月未更换,系统自动提醒客户修改密码;密码连续错误多次,系统自动锁定,不允许登录防止恶意试探密码;企业可根据自身实际情况设定多种授权组合;客户的每一次点击 *** 作,机房都能实时监控;完整的日志记载可为事后审计提供依据。
在安全管理上,华夏银行的网上银行专门建立了应急预案;成立专门的安全处提供技术保障;系统运行部门配备专门人员,并对系统进行实时监控和处理。
高静文副经理说,网上银行欺骗是国际性难题,即使在国外,也没有完全有效的技术手段,这是一个需要各方面共同努力的问题。从用户来说,要培养安全意识,严格按照银行提示 *** 作,如果接到来历不明的短信或邮件时应有防范意识。从银行来说,除了采取足够的安全措施和内部控制手段外,还要利用各种渠道向用户讲解网银安全的知识,提醒用户注意事项。而司法部门则需对网上银行的欺诈行为做出严格的法律界定。
企业篇:技术不是问题 防范最重要
各银行在网上银行的安全防范措施上,可谓使出浑身解数。如果说,银行是以“信用为己任”,那么厂商就是以“保护信用为己任”。对于网上银行的安全问题,方正信息安全技术有限公司总裁施文洪认为,网络银行好比航空公司,具有高风险且安全性也高的特点。对于网上银行的安全,大的安全厂商主要解决的是网络级的安全问题,从银行的交易平台、专线、内网到公网这条线路上来确保网络的安全。在网络层面上,防火墙、防病毒软件、IDS产品等是网上交易平台外围安全的保障。网上银行与用户之间的安全保障则需要数字证书、USBKEY等。网上银行是一个高端的业务,方正将通过与高端的集成商合作,推出不仅具有高技术含量的产品,更具有实用性的产品,让消费者从心理上有安全感和可信感。
方正安全在信息安全领域,覆盖了防火墙、防病毒、内容安全网关、入侵检测和虚拟专用网等五大产品线四十多款产品,最新的熊猫入侵防护TRUPREVENT企业版,是一款集已知和未知威胁防护于一身的入侵防护软件,能最大程度地抵御病毒、木马、蠕虫等网络威胁。这款基于识别行为技术的智能化的产品,是方正迈向未来智能化的网络安全产品走出的第一步。施总说,技术从来不是问题,问题在于技术如何在最恰当的时候以最恰当的方式转化为产品切入市场。未来的网络银行应该基于IP网,基于IP网的安全产品实现移动、无线、便携后,才能真正实现网络的安全性和可靠性。
记者又采访了以“电子支付专家”为发展定位的网银在线(北京)科技有限公司,这是一家为从事电子商务的企业和个人提供电子支付解决方案的企业。作为中立的第三方支付平台,网银在线提供的是在线支付网关和个人虚拟帐户(类似C TO C 支付帐户),主要解决电子商务中资金流的问题。它在银行和商户之间搭起了一座桥梁,一方与银行链接,另一方利用数字证书为商户提供支付平台。因此,网银在线无论是为商户提供交易平台,还是为银行提供结算平台,都和安全问题密切相关。
网银在线执行总裁、做技术出身的赵国栋说,网上银行出现的安全问题在很多情况下不是技术本身的原因造成的,更多是人们自身防范意识不够和管理上的问题。作为第三方支付平台,网银在线在安全保障上是严密而慎重的。它们的安全措施包括:与天威诚信合作推出了符合〈〈中华人民共和国电子签名法〉〉的网上支付网关。
由天威诚信提供的数字证书加密后的交易数据,可以有效预防黑客的窜改和窃取,最大限度地保障了商户交易数据的安全,保证了交易数据的完整性、不可抵赖性,防止支付网关自身修改交易数据。其次,采用了国际机构VERISIGN的128位SSL加密传输机制,将交易信息通过高强度的加密后进行传输,进一步防止黑客窃取信息。第三,与VISA合作推出符合3D安全规范的国际xyk支付平台。VISA验证服务以安全易用为原则,采用全球互通付款的“3D技术”,是VISA国际组织为提高xyk网上支付的安全性,保障用户网上支付安全,维护用户利益而推出的一项安全验证服务。有了VISA验证服务,网上交易就有了双重保险。
在服务器的安全上,网银在线采用硬件防火墙与软件防火墙结合的方式屏蔽大部分的病毒和攻击。在银行端方面,它们采用的是SSL128位加密算法和SET(安全电子交易)协议,保证了B2C在线支付的安全实施。在支付平台与银行之间的结算方面,网银在线采用了二次结算的模式,成为支付过程中公正的第三方。在交易过程中,交易双方的信息传递到支付平台并留有存证,交易双方都可以方便地查询订单及相关信息,特别是在出现交易纠纷的时候,有关信息可作为仲裁的有力证据。看来,不论从银行角度出发,还是从厂商角度出发,一致认为以PKI技术为基础的数字证书是一种更可靠的安全防护措施。你好!什么是电子商务服务业?如果将"电子商务应用"与"电子商务服务"比作市场经济中的需求与供给,那么前者是指一个个具体的机构和个人如何运用电子商务方式实现商务目标--如采购、销售或获取商务信息等,后者是指如何提供一定的服务以满足这些需求--如域名注册、虚拟主机、商务信息、认证和支付等服务。所有提供电子商务服务的企业的集合就是电子商务服务业,或称电子商务服务产业、电子商务服务行业。 纵观互联网发展,商务活动一直是驱动互联网发展的强大力量。1995年,互联网上的商务信息量首次超过科教业务信息量,这是互联网此后形成爆炸性发展的标志,也是电子商务产生并从此大规模发展的标志。过去是这样,那么未来呢?互联网的未来在于电子商务,电子商务的未来在于电子商务服务业,而电子商务服务业的核心是电子商务服务平台。以电子商务平台--特别是面向中小企业的电子商务服务平台为核心的电子商务服务业将成为促进电子商务应用、创新和发展的重要力量。 一、电子商务服务业的体系 可以在两种既密切相关又有所区别的意义上使用"电子商务服务业"的概念:一是指一切为电子商务应用服务的企业的集合,如提供电子商务咨询服务的企业;二是指一切通过网络或采用电子商务方式提供服务的企业的集合,如网上医疗企业。前者以电子商务为服务目的,后者以电子商务为服务工具。 可以将后者称为"网基服务业",即基于网络或电子商务方式的服务业。这个课题将另文讨论。 前者意义上的电子商务服务业的范围有多大?电子商务服务业是为电子商务应用提供服务的,因此电子商务应用方面的需求有多大,作为供给的电子商务服务业的范围就有多大,甚至更大--因为供给可能创造原先并不存在的需求。电子商务服务业涉及机构和个人的商务、工作和生活的各个环节、层面和范围。对于企业电子商务应用,就是说要提供全面、强大的电子商务应用支持服务,包括网络、硬件和软件等技术支持,也包括营销推广、应用集成、信用、支付、物流和咨询等全方位的商务服务。 对于面向企业的电子商务服务业-- 按行业范围划分,可以分为综合性电子商务服务和行业性电子商务服务。前者不区分行业,为所有行业厂商和所有产品、服务提供交易服务,如阿里巴巴、慧聪网等;后者专注于某一行业或产品、服务,如中国化工网等。 按交易环节划分,可以分为全程交易服务和专项交易服务。前者为交易全程提供交易服务,后者专注于某一个交易环节,如市场调查、采购、分销或售后等。 此外,还可以按服务对象(是厂商还是个人消费者)、交易品(是有形的还是无形的)、服务媒介(是线上还是线下)、地域(是地方还是全球)等划分。 电子商务服务平台是电子商务服务业的核心,也是电子商务服务业越来越重要的表现形式。按服务类型划分,电子商务服务平台大致分为三种类型: 电子商务交易服务平台:提供网络营销、网上销售、网上采购和交易信息发布等交易服务,如阿里巴巴、慧聪网等; 电子商务业务服务平台:提供基于网络的研发设计、现代物流、财务管理、人力资源、管理咨询和技能培训等服务,如金算盘全程电子商务平台等; 电子商务技术服务平台:提供网络基础设施和技术支持,以及基于网络的信息处理、数据托管和应用系统等IT外包服务,如中国万网等。 电子商务服务平台在为电子商务应用提供服务的同时,也改变了电子商务应用的方式和形态。企业电子商务因此正在从"网站时代"--网站是企业电子商务应用的主流,进入"平台时代"--平台成为电子商务应用的主流,以及渐露头角的"生态时代"--基于电子商务平台的商业生态。 二、电子商务服务业的兴起 电子商务服务业是随着电子商务的发展而兴起的,是电子商务应用的规模不断扩大、影响不断深化的结果。如果说起初企业要应用电子商务就必须自己从事注册域名、购买(或者租用)服务器、购买虚拟主机、制作网页等工作的话,那么电子商务服务业的兴起则意味着这一切都可以通过专业化的电子商务服务平台来完成;如果说起初网上商店要开通网上支付就必须与各家银行分别洽谈、签约而且未必成功的话,那么电子商务服务业的兴起则意味着只要与一家网上支付平台合作就可以了。电子商务服务业的兴起,标志着电子商务领域的专业化水平有了质的飞跃。在我国,这个阶段开始形成的时间大致是2003年前后。一直领军我国电子商务服务业的中小企业电子商务平台--阿里巴巴(alibabacom)从这一年开始赢利。 从现代服务业的角度看,电子商务服务业以互联网等计算机网络为基础工具,以营造商务环境、促进商务活动为基本功能,是传统商务服务在信息技术--特别是计算机网络技术条件下的创新和转型,是基于网络的新兴商务服务形态,位于现代服务业的中心位置。电子商务服务业营造商务环境、促进商务活动的作用,来自通过技术进步及相应的制度进步降低商务成本,也来自对商务模式创新和商业生态的积极作用: 基于网络优势,降低交易前的商务信息搜寻和发布成本,降低交易中和交易后的商务成交成本和交割成本--特别是无形商品; 基于电子商务服务商的规模化、专业化,降低单个电子商务应用者的应用成本,如人力资源成本等; 基于信息的聚合、积累和挖掘,降低与交易风险相关的商务成本; 基于电子商务服务平台所营造的良好环境,促进商务模式创新和商业生态的培育和构建。 2003年以来,我国电子商务服务业快速成长,涌现出众多面向企业特别是中小企业的综合性电子商务服务网站--如阿里巴巴(alibabacom)、慧聪网(hc360com)等,超过2000家的行业性电子商务服务网站--如中国化工网(chemnetcom)、中国化纤信息网(ccfcomcn)等,面向个人的电子商务服务网站--如淘宝网(taobaocom)、eBay易趣(eachnetcom)等,以及提供支付、认证、信用和现代物流信息服务的电子商务服务网站--如支付宝(alipaycom)、中国金融认证中心(cfcacomcn)等。电子商务服务网站的规模迅速扩大,截至2005年底,阿里巴巴网站会员数超过1100万个、收入超过10亿,慧聪网网站会员接近200个。 随着电子商务的发展,商务服务--特别是交易服务加速从"居间中介"为主向"平台服务"为主转变,从撮合交易为主向营造交易环境、促进交易活动为主转变,电子商务服务平台的作用日益突出。近年来,中小企业电子商务应用意识和需求快速成长,中小企业电子商务服务平台快速发展,两者之间的良性互动关系--电子商务服务促进电子商务应用、电子商务应用拉动电子商务平台--已经形成。2004年以来,我国中小企业电子商务蓬勃发展,很大程度上归功于中小企业电子商务服务平台的发展。电子商务服务平台已经成为推动中小企业电子商务应用的关键因素。 电子商务服务平台的快速发展吸引了众多加入者。目前至少有四支力量活跃在或者正进入中小企业电子商务服务平台领域: 专业电子商务服务平台:如阿里巴巴; 软件企业:软件交付向互联网迁移,实施SaaS、ASP或Web Service,如金算盘全程电子商务平台; 信息化应用厂商:将已经实现的信息化应用(如ERP)通过互联网向上下游扩展,进而为全行业提供服务; 电信运营商:从电信运营商向综合信息服务提供商的转型,联合软件厂商等企业,发挥基础电信设施优势,向上延伸,建设和运营电子商务服务平台。 交易是一切经济活动的核心。电子商务交易服务业是电子商务服务业的核心,也是现代服务业的核心,甚至是未来整个经济活动的核心。近年来,全球电子商务服务业发展十分迅速,对经济活动的影响越来越大,正在重构全球经济格局,加速信息社会进程,并对未来信息社会的形成、结构和演化产生重要影响。电子商务促进社会分工进一步细化,基于网络的电子商务交易服务、业务服务、技术服务的服务模式和服务产品不断创新,服务规模逐渐扩大,成为国民经济新的增长引擎。 三、电子商务服务业的发展 电子商务服务业已经并将继续促进我国电子商务快速发展,并在未来若干年成为国民经济重要的经济增长点和新的主导产业。"十一五"期间是我国经济社会转型的关键时期,抓住机遇,充分发掘我国丰富市场需求,大力发展电子商务服务业,对于优化产业结构,加速经济转型,把握全球电子商务发展的主动权,具有十分重要的战略意义。 未来几年,作为电子商务服务业核心的电子商务服务平台将呈以下发展趋势: 电子商务服务平台的规模进一步扩大,将出现更多的百万会员数量级的电子商务服务平台,从而进一步强化电子商务服务平台的规模效应和网络效应,进一步提高电子商务服务平台的生存能力和服务能力。 电子商务服务平台的服务模式进一步创新,在服务环节、服务范围和服务功能上均实现大的突破: -电子商务交易服务的服务环节从交易前向交易中和交易后延伸。目前电子商务交易服务平台的服务环节几乎都集中在交易前的环节,即搜寻和发布商务信息以降低交易成本。未来几年,电子商务交易服务平台将有选择地针对一部分类型的企业、产品和服务,提供在线成交和交割服务; -电子商务服务的服务范围从外部市场交易向企业内部运营渗透,通过提供在线软件和信息系统服务--如在线ASP、CRM和财务管理等,为企业提供全面IT运营服务; -基于电子商务服务平台的集成化。电子商务服务平台拥有海量客户以及理解和服务客户的能力,为电子商务服务体系中的其他角色--如信用、认证、支付和现代物流等提供了良好的运营环境,未来将有越来越多的信用、认证、支付和现代物流等服务集成于电子商务服务平台上,从而进一步提高整个电子商务服务业的服务水平。 综合性电子商务服务平台与行业性电子商务服务平台摆脱低水平竞争,充分保持和发挥各自的优势,不断走向合作乃至融合,构造"互为平台"的电子商务服务新模式。 电子商务服务平台从"工具性平台"向"生态性平台"升级,构建和服务于基于电子商务服务平台的电子商务生态,将成为未来电子商务服务平台的重要功能。 要重视和鼓励中小企业电子商务服务业发展。发展中小企业电子商务,对于促进经济增长、扩大就业规模、改变经济增长方式有着十分积极的作用。电子商务对于中小企业降低成本、扩大市场、获取商机、共享信息和增强竞争力有着十分显着的作用。经过多年积累,中小企业电子商务应用模式开始成熟,服务体系开始完备,制约中小企业电子商务发展的一些因素开始被突破,企业应用与服务体系之间的良性循环已经形成,基于电子商务服务平台的中小企业电子商务生态开始显露,将在未来几年迸发出巨大的价值能量。内容来自这里>首推天威诚信的vTrus SSL证书,该CA机构从2000年就从事电子证书、认证服务相关业务,服务范围覆盖政务、银行、证券、保险、司法、招投标、互联网金 融等领域。2003年与微软合作进行“net计划”推广,还是DigiCert在国内的战略合作伙伴。经过十多年的技术积累,在2018年自主研发vTrus SSL证书,还在2019年通过WebTrust国际认证,天威诚信的技术实力在国内是数一数二的。
部分业务因为业务稳定性保障考虑和环境向下兼容要求,需要国际CA认证机构颁发的RSA算法证书,最大扩展业务的兼容性。vTrus证书可以提供以下解决方案:
1、支持双算法环境中,额外部署基于ECC算法的vTrus国产服务器证书。浏览器和客户端通过兼容性自动适配,Win7+系统能够自动识别国产证书进行数据传输加密;
2、在支持国密算法环境中,额外部署给予SM2算法的vTrus国密算法证书。使用360等信创浏览器访问自动适配兼容。
3、兼容方案不会导致网站其他客户兼容性降低,能够自动适配的客户端反而会从数据安全和访问速度、服务性能等方面得到提升;
4、vTrus国产服务器证书支持RSA/ECC/SM2多种算法可选。
目前,具有代表性主流服务商主要分为以下几类,由于不同的电子印章服务品牌侧重的产品重点与用户群体存在差异,具体哪个品牌比较好,还需要根据实际的电子印章需求来看。
1、从电子合同相关行业转战电子签名领域发展而来的服务商1)契约锁:从OA软件服务商到电子合同签署服务商; 坐标:上海
企业背景:契约锁创始团队于2016年成立,由知名上市公司泛微软件投资,其电子合同项目正式实施于2015年。核心团队人员在企业管理软件行业、金融支付行业、安全风控行业具有多年从业经验。
尽管进入行业不是最早,但从契约锁的市场敏锐度以及使用界面体验度来看,其在企业用户群中占有一定优势,是目前行业内唯一一家关注企业纸质合同与电子合同全面管理、物理印章与电子印章一体化管控的服务商。
产品服务:
a/近期推出智能印章与防伪打印,实现“物理印章使用过程实时管控”与“电子印章打印后快速防伪鉴定”两大突破;
b/为行业制定针对性解决方案并提供系统集成服务,支持企业本地化部署需求;
c/提供公证、司法鉴定等法律延伸服务;
d/服务及时。
2)法大大:由律师事务所到电子签名服务商; 坐标:深圳
企业背景:法大大成立于2014年,CEO为律师出身。可能正由于此,其在法律服务方面是业界标杆。团队成员主要来自国有企业、政府部门以及BAT,属于传统行业与互联网行业的结合。法大大是目前行业内唯一融资到B轮的电子签名服务商。
产品服务:
a/法大大目前提供的服务以在线电子合同签署、证据托管及衍生法律服务为主;
b/在用户定位上,法大大首先锁定金融、旅游、B2B、人力资源等合同签署高频的垂直行业,获取行业标杆客户,覆盖行业较为广泛;
c/官网提供多种合同模板下载服务;
3)上上签:从互联网运营商到电子签名服务商; 坐标:杭州
企业背景:上上签成立于2014年,核心成员来源于苹果、阿里巴巴等互联网企业。发展至今,平台先后获得顺为资本、WPS、经纬中国、DCM等融资。从各个品牌的市场活跃度来看,上上签明显低调,但随整个电子印章与电子合同市场临近爆发期,上上签的活跃度还是较之以前有明显转变。
产品服务:
a/服务对象集中在互联网金融、商业地产、在线教育等行业,不乏银联、诺亚、手机贷、量化派、居然之家等行业标杆。
b/市场上对产品与服务能力的说明较少,提供电子合同签署服务,官网功能展示较少;
2、由传统电子签章服务企业发展而来的电子签名服务商
代表服务商:e签宝; 坐标:杭州
企业背景:e签宝成立于2002年,属业界老品牌。成立之初公司经营目标主要集中在政府领域,提供电子印章服务。后于2014年推出第三方电子合同签署服务平台“e签宝”,由传统软件厂商转变为电子合同与电子签名服务商,是国内较早从事电子签名服务的厂商。
产品服务:
a/成立初期主营政府项目为后来占领工商注册领域电子签名业务奠定基础;
b/用户群体集中在公共事业、互联网企业、金融行业等领域;
c/随着产品升级,逐渐建立电子合同签署、知识产权保护、电子票证等服务项目。
3、由国内CA认证机构推出的电子签名产品服务商
代表服务商:安心签; 坐标:北京
发展背景:2016年网贷监管办法意见稿出台后,国家将使用电子签名、电子认证作为网贷平台合规经营的重要标准。鉴于此,中国金融认证中心(CFCA)专门针对互联网金融行业量身定制的电子合同签署平台。用户群体主要集中在银行等金融机构。
产品服务:
a/针对持有有效数字证书的用户提供数据电文或电子缔约文件的在线签署、存储和管理服务;
b/主要为用户提供金融级别电子合同签署与风控措施,但对于普通企业用户而言使用成本较高。
数字证书是指CA机构发行的一种电子文档,是一串能够表明网络用户身份信息的数字,提供了一种在计算机网络上验证网络用户身份的方式,因此数字证书又称为数字标识。数字证书对网络用户在计算机网络交流中的信息和数据等以加密或解密的形式保证了信息和数据的完整性和安全性。
数字证书的基本工作原理主要体现在:
第一,发送方在发送信息前,需先与接收方联系,同时利用公钥加密信息,信息在进行传输的过程当中一直是处密文状态,包括接收方接收后也是加密的,确保了信息传输的单一性,若信息被窃取或截取,也必须利用接收方的私钥才可解读数据,而无法更改数据,这也有利保障信息的完整性和安全性。
第二,数字证书的数据签名类似于加密过程,数据在实施加密后,只有接收方才可打开或更改数据信息,并加上自己的签名后再传输至发送方,而接收方的私钥具唯一性和私密性,这也保证了签名的真实性和可靠性,进而保障信息的安全性。
数字证书有很多格式版本,主要有X509v3(1997)、X509v4(1997)、X509v1(1988)等。比较常用的版本是TUTrecx509V3,由国际电信联盟制定,内容包括证书序列号、证书有效期和公开密钥等信息。
不论是哪一个版本的数字证书,只要获得数字证书,用户就可以将其应用于网络安全中。
扩展资料
数字证书主要具以下三方面特征:
第一,安全性。用户申请证书时会有两份不同证书,分别用于工作电脑以及用于验证用户的信息交互,若所使用电脑不同,用户就需重新获取用于验证用户所使用电脑的证书,而无法进行备份,这样即使他人窃取了证书,也无法获取用户的账户信息,保障了账户信息。
第二,唯一性。数字证书依用户身份不同给予其相应的访问权限,若换电脑进行账户登录,而用户无证书备份,其是无法实施 *** 作的,只能查看账户信息,数字证书就犹如“钥匙”一般,所谓“一把钥匙只能开一把锁”,就是其唯一性的体现。
第三,便利性。用户可即时申请、开通并使用数字证书,且可依用户需求选择相应的数字证书保障技术。用户不需要掌握加密技术或原理,就能够直接通过数字证书来进行安全防护,十分便捷高效。
数字证书是由CA中心所签发的,CA中心是一个具权威性、依赖度极高的第三方,其资格证书经国家颁发,可有效保障网络数据信息的安全性,使数据信息处国家掌握当中。用户在浏览网络数据信息或进行网上交易时,利用数字证书可保障信息传输及交易的安全性。
参考资料来源:百度百科-数字证书
1网上银行为何物? 按目前各家银行开通的网上银行服务系统,一般分为个人网上银行和企业网上银行。无论是个人网上银行或企业网上银行,都是以互联网为媒介,为客户提供金融服务的电子银行产品。各家银行为了把个人客户和企业客户区别开来,故按个人结算账户和企业资金结算账户的清分法,把网上银行服务系统细分为个人客户和企业客户,但实际 *** 作流程及其产生的效果大致相同。 网上银行是信息时代的产物。它的诞生,使原来必须到银行柜台办理业务的客户,通过互联网便可直接进入银行,随意进行账务查询、转账、外汇买卖、银行转账、网上购物、账户挂失等业务,客户真正做到足不出户办妥一切银行业务。网上银行服务系统的开通,对银行和客户来说,都将大大提高工作效率,让资金创造最高效益,从而降低生产经营成本。 作为企业客户,还可通过网上银行,把业务延伸到商贸往来的方方面面。如中行广东省分行的网上银行“中银E点通”,便是针对中行在广东地区的外向型企业特点而开发。该网上银行系统把“企业集团服务系统”和针对外向型企业的“报关即时通”进行整合,使之更具实用性,产生的效果也更加明显。其中“企业集团服务”专门针对集团企业开发,从根本上解决了集团性企业跨地区的账户查询、资金管理和资金汇划问题。 2、网上银行安全吗? 一般来说,只要采取了足够的安全措施,网上银行就是安全的。安全措施是多层次全方位的。例如,为了抵御黑客入侵,可以在网络系统中安装高性能的防火墙和入侵检测系统(IDS)。为了防止不法分子诈骗可以采用强身份鉴别技术。现在使用最多、最普遍的密码或口令措施是一种简单易用的身份识别手段,但是安全性比较低,容易泄露或被攻破。更有效的方法是采用PKI技术设施,其核心就是使用数字证书认证机制。可以这样讲,如果网上银行系统中采用了数字证书认证技术,不法分子即使窃取了卡号和密码,也无法在网上银行交易中实现诈骗。 近期一些不法分子盗用银行公开信箱骗取用户网上银行密码的事件引起了人们的广泛关注。网上银行是否安全?用户应该采取哪些防范措施?带着这些问题,我们来到了由人民银行牵头,各家商业银行联合共建的,专门负责为网上银行提供安全服务的金融行业统一的认证机构——中国金融认证中心(简称CFCA),副总经理曹小青接受了我们的采访。 记者问:我们了解到贵中心主要是为网上银行提供安全服务的,那么您是怎么看待近期发生的这一网上银行不安全事件的呢? 中国金融认证中心副总经理曹小青(以下简称曹小青):这件事不是孤立的事件。例如,去年公安部门曾经破获了这样一起案件,不法分子用黑客手段在银行的网银服务器中植入“木马”程序,窃取了多家银行和证券客户的帐号、密码信息进行诈骗,涉案金额达数十万元;今年2月,美国一名电脑黑客攻破了一家负责代表商家处理Visa和万事达卡交易业务的企业的计算机系统,掌握了220万个顾客的xyk号;在日本,黑客利用安装在网吧中的特殊软件非法窃取用户网上银行的密码,使1600万日元不翼而飞。这次在国内发生的骗取用户密码的事件,手段并不高明,也还没有造成损失。但是上述案例却给网银用户敲响了警钟:黑客在想方设法骗取用户的密码,大家一定要提高对网络安全的认识和警惕性。 记者问:您认为网上银行安全吗?用户应该采取哪些保护措施呢? 答:只要采取了足够的安全措施,网上银行就是安全的。安全措施是多层次全方位的。例如,为了抵御黑客入侵,可以在网络系统中安装高性能的防火墙和入侵检测系统(IDS)。为了防止不法分子诈骗可以采用强身份鉴别技术。现在使用最多、最普遍的密码或口令措施是一种简单易用的身份识别手段,但是安全性比较低,容易泄露或被攻破。更有效的方法是采用PKI技术设施,其核心就是使用数字证书认证机制。可以这样讲,如果网上银行系统中采用了数字证书认证技术,不法分子即使窃取了卡号和密码,也无法在网上银行交易中实现诈骗。 记者问:您能否具体谈谈数字证书是怎样保证网上银行安全的? 答:数字证书是一种由权威的公信机构发放的、记录着用户和认证机构有关信息的电子文件。网上银行交易双方——银行和用户,都各自持有与其身份绑定的数字证书。在网银交易过程中,双方都要向对方出示证书,以获得相互的信任。这个认证过程是以先进的公钥密码技术为手段,通过相应的计算机程序实现的。每张数字证书都对应着1对或2对密钥——公钥和私钥。公钥在网上公开,私钥则由用户唯一保管。通常,用户的私钥被牢牢地封装在智能卡中,黑客是无法拿到的。 由于私钥的唯一性和不会泄露的特点,使用数字证书认证具有极安全的身份鉴别能力。除此之外,利用私钥和密码技术可以实现数字签名。经过数字签名的交易信息是不可篡改和不可抵赖的。在网上银行交易过程中,数字证书机制在认证过程中还建立了高强度的密码传输连接,以对交易信息加密。 这样,保证了交易信息的真实性、保密性、完整性和不可否认性,当然就极大地保证了网上银行的交易信息安全。从世界范围看,数字证书技术已经被广泛地应用在国内外网上银行系统中,至今尚未发现一例由于数字证书被攻破而使网银诈骗得逞的案件。 记者问:通过您的介绍,我们对网银安全和数字证书机制有了一定的了解。但证书机制具有这么多功能,是不是使用起来很复杂呢?会不会给用户带来不便呢?答:对于这一点,我用“傻瓜”照相机的例子来比照。“傻瓜”相机本身的技术比普通相机复杂,但其自动化程度很高,用户使用更为方便。数字证书也是这样,用户 *** 作起来非常简单,依靠相应的安全代理软件,证书会在后台自动完成身份验证、信息加/解密和数字签名等功能。用户只要经过简单的培训,就完全可以掌握。当然,使用数字证书肯定会比不使用数字证书在速度上要慢一些,但从网上银行的安全考虑,用户不应因为这一点速度上的损失就放弃使用证书。 记者问:用户怎样才能获得数字证书? 答:目前国内已经建立起几十个发放数字证书的权威机构——认证中心。它们各自面对不同的用户群体。中国金融认证中心是由人民银行前头,组织各家商业银行联合共建的为网上金融服务的权威、公正、第三方的证书发放和管理机构。用户要想领到中国金融认证中心的证书,需要先到已经开通这项业务的商业银行网点去办理申请手续,得到审批准许后,即可通过一定的步骤从网上下载证书。具体做法可参看相应的网站信息。参考资料:
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)