電子商務(wù)安全管理策略范文

時間:2023-07-11 17:50:21

導(dǎo)語:如何才能寫好一篇電子商務(wù)安全管理策略,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

電子商務(wù)安全管理策略

篇1

摘要:電子商務(wù)作為一種全新的商務(wù)模式,它有很大的發(fā)展前途,且隨之而來的安全問題也越來越突出,如何建立一個安全、便捷的電于商務(wù)應(yīng)用環(huán)境,對信息提供足夠的保護,是商家和用戶都十分關(guān)注的話題。安全問題己成為電子商務(wù)的核心問題。分析了電子商務(wù)中存在的安全問題,并闡述目前解決電子商務(wù)安全隱患的主要安全技術(shù)及相關(guān)策略。

關(guān)鍵詞:電子商務(wù);安全問題;安全策略

1電子商務(wù)中存在的兩大類安全問題

1.1網(wǎng)絡(luò)安全問題

現(xiàn)在隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,網(wǎng)絡(luò)安全成了新的安全研究熱點。網(wǎng)絡(luò)安全就是如何保證網(wǎng)絡(luò)上存儲和傳輸?shù)男畔⒌陌踩?。網(wǎng)絡(luò)安全問題是計算機系統(tǒng)本身存在的漏洞和其他人為因素構(gòu)成了計算機網(wǎng)絡(luò)的潛在威脅,概括來說網(wǎng)絡(luò)安全的內(nèi)容包括:計算機網(wǎng)絡(luò)設(shè)備安全、計算機網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等

1.2商務(wù)安全問題

商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時產(chǎn)生的各種安全問題,在計算機網(wǎng)絡(luò)安全的基礎(chǔ)上,如何保障電子商務(wù)過程的順利進行。即實現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。網(wǎng)上交易日益成為新的商務(wù)模式,基于網(wǎng)絡(luò)資源的電子商務(wù)交易已為大眾接受,人們在享受網(wǎng)上交易帶來的便捷的同時,交易的安全性備受關(guān)注,網(wǎng)絡(luò)所固有的開放性與資源共享性導(dǎo)致網(wǎng)上交易的安全性受到嚴重威脅。所以在電子商務(wù)交易過程中,保證交易數(shù)據(jù)的安全是電子商務(wù)系統(tǒng)的關(guān)鍵。

1.3目前電子商務(wù)中存在的主要安全問題

(1)對合法用戶的身份冒充。攻擊者通過非法手段盜用合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易,從而獲得非法利益。

(2)對信息的竊取。攻擊者在網(wǎng)絡(luò)的傳輸信道上,通過物理或邏輯的手段,對數(shù)據(jù)進行非法的截獲與監(jiān)聽,從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網(wǎng)上竊取那些粗心用戶的信用卡賬號,還能以欺騙的手法進行產(chǎn)品交易,甚至能洗黑錢。

(3)對信息的篡改。攻擊者有可能對網(wǎng)絡(luò)上的信息進行截獲后篡改其內(nèi)容,如修改消息次序、時間,注入偽造消息等,從而使信息失去真實性和完整性。

(4)拒絕服務(wù)。攻擊者使合法接入的信息、業(yè)務(wù)或其他資源受阻。

(5)對發(fā)出的信息予以否認。某些用戶可能對自己發(fā)出的信息進行惡意的否認,以推卸自己應(yīng)承擔(dān)的責(zé)任。

(6)信用威脅。交易者否認參加過交易,如買方提交訂單后不付款,或者輸入虛假銀行資料使賣方不能提款;用戶付款后,賣方?jīng)]有把商品發(fā)送到客戶手中,使客戶蒙受損失。

(7)電腦病毒。電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播途徑,還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快,動輒造成數(shù)百億美元的經(jīng)濟損失。如,CIH病毒的爆發(fā)幾乎在瞬間給網(wǎng)絡(luò)上數(shù)以萬計的計算機以沉重打擊。

2電子商務(wù)中的主要安全技術(shù)

2.1電子商務(wù)的安全技術(shù)

互聯(lián)網(wǎng)已經(jīng)日漸融入到人類社會的各個方面中,網(wǎng)絡(luò)防護與網(wǎng)絡(luò)攻擊之間的斗爭也將更加激烈,這就對安全技術(shù)提出了更高的要求。安全技術(shù)是電子商務(wù)安全體系中的基本策略,是伴隨著安全問題的誕生而出現(xiàn)的,安全技術(shù)極大地從不同層次加強了計算機網(wǎng)絡(luò)的整體安全性。要加強電子商務(wù)的安全,需要企業(yè)本身采取更為嚴格的管理措施,需要國家建立健全法律制度,更需要有科學(xué)的先進的安全技術(shù)。安全問題是電子商務(wù)發(fā)展的核心和關(guān)鍵問題,安全技術(shù)是解決安全問題保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素。

2.2計算機網(wǎng)絡(luò)安全技術(shù)

目前,常用的計算機網(wǎng)絡(luò)安全技術(shù)主要有病毒防范技術(shù)、身份認證技術(shù)、防火墻技術(shù)和虛擬專用網(wǎng)VPN技術(shù)等。

(1)病毒是一種惡意的計算機程序,它可分為引導(dǎo)區(qū)病毒、可執(zhí)行病毒、宏病毒和郵件病毒等,不同的病毒的危害性也不一樣。為了防范病毒,可以采用以下的措施:

①安裝防病毒軟件,加強內(nèi)部網(wǎng)的整體防病毒措施;

②加強數(shù)據(jù)備份和恢復(fù)措施;

③對敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施等。

(2)身份識別技術(shù)是計算機網(wǎng)絡(luò)安全技術(shù)的重要組成部分之一。它的目的是證實被認證對象是否屬實和是否有效。其基本思想是通過驗證被認證對象的屬性來達到確認被認證對象是否真實有效的目的。被認證對象的屬性可以是口令、問題解答或者像指紋、聲音等生理特征,常用的身份認證技術(shù)有口令、標記法和生物特征法。

(3)防火墻是一種將內(nèi)部網(wǎng)和公眾網(wǎng)如Internet分開的方法,它能限制被保護的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間,或者與其他網(wǎng)絡(luò)之間進行的信息存取、傳遞操作。防火墻可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口,能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。它是電子商務(wù)的最常用的設(shè)備。

(4)虛擬專用網(wǎng)是用于Internet電子交易的一種專用網(wǎng)絡(luò),它可以在兩個系統(tǒng)之間建立安全的通道,非常適合于電子數(shù)據(jù)交換(EDI)。在虛擬專用網(wǎng)中交易雙方比較熟悉,而且彼此之間的數(shù)據(jù)通信量很大。只要交易雙方取得一致,在虛擬專用網(wǎng)中就可以使用比較復(fù)雜的專用加密和認證技術(shù),這樣就可以大大提高電子商務(wù)的安全性。VPN可以支持數(shù)據(jù)、語音及圖像業(yè)務(wù),其優(yōu)點是經(jīng)濟、便于管理、方便快捷地適應(yīng)變化,但也存在安全性低,容易受到攻擊等問題。

2.3商務(wù)交易安全技術(shù)

(1)加密技術(shù)是電子商務(wù)安全的一項基本技術(shù),它是認證技術(shù)的基礎(chǔ)。

采用加密技術(shù)對信息進行加密,是最常見的安全手段。加密技術(shù)是一種主動的信息安全防范措施,其原理是利用一定的加密算法,將明文轉(zhuǎn)換成為無意義的密文,阻止非法用戶理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性。目前,在電子商務(wù)中,獲得廣泛應(yīng)用的兩種加密技術(shù)是對稱密鑰加密體制(私鑰加密體制)和非對稱密鑰加密體制(公鑰加密體制)。它們的主要區(qū)別在于所使用的加密和解密的密碼是否相同。

(2)安全認證技術(shù)主要有數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字時間戳、數(shù)字證書等。

①數(shù)字摘要。

數(shù)字摘要是采用單向Hash函數(shù)對文件中若干重要元素進行某種變換運算得到固定長度的摘要碼(數(shù)字指紋FingerPrint),并在傳輸信息時將之加入文件一同送給接收方,接收方收到文件后,用相同的方法進行變換運算,若得到的結(jié)果與發(fā)送來的摘要碼相同,則可斷定文件未被篡改,反之亦然。

②數(shù)字信封。

數(shù)字信封是用加密技術(shù)來保證只有規(guī)定的特定收信人才能閱讀信的內(nèi)容。在數(shù)字信封中,信息發(fā)送方采用對稱密鑰來加密信息,然后將此對稱密鑰用接收方的公開密鑰來加密(這部分稱為數(shù)字信封)之后,將它和信息一起發(fā)送給接收方,接收方先用相應(yīng)的私有密鑰打開數(shù)字信封,得到對稱密鑰,然后使用對稱密鑰解開信息。這種技術(shù)的安全性相當(dāng)高。

③數(shù)字簽名。

把HASH函數(shù)和公鑰算法結(jié)合起來,可以在提供數(shù)據(jù)完整性的同時,也可以保證數(shù)據(jù)的真實性。完整性保證傳輸?shù)臄?shù)據(jù)沒有被修改,而真實性則保證是由確定的合法者產(chǎn)生的HASH,而不是由其他人假冒。而把這兩種機制結(jié)合起來就可以產(chǎn)生所謂的數(shù)字簽名(DigitalSignature)。

④數(shù)字時間戳。

交易文件中,時間是十分重要的信息。在書面合同中,文件簽署的日期和簽名一樣均是十分重要的,是防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。而在電子交易中,同樣需對交易文件的日期和時間信息采取安全措施,而數(shù)字時間戳服務(wù)(DTS-DigitalTime-stampService)就能提供電子文件發(fā)表時間的安全保護。數(shù)字時間戳服務(wù)(DTS)是網(wǎng)絡(luò)安全服務(wù)項目,由專門的機構(gòu)提供。

⑤數(shù)字證書。

在交易支付過程中,參與各方必須利用認證中心簽發(fā)的數(shù)字證書來證明各自的身份。所謂數(shù)字證書,就是用電子手段來證實一個用戶的身份及用戶對網(wǎng)絡(luò)資源的訪問權(quán)限。在網(wǎng)上電子交易中,如果雙方出示了各自的數(shù)字證書,并用它來進行交易操作,那么雙方都可不必為對方身份的真?zhèn)螕?dān)心。

3電子商務(wù)的安全性策略

3.1電子商務(wù)安全技術(shù)保障策略

安全技術(shù)保障技術(shù)是電子商務(wù)安全體系中的基本策略,目前相關(guān)的信息安全技術(shù)與專門的電子商務(wù)安全技術(shù)研究比較普遍和成熟。電子商務(wù)中常用到的安全技術(shù)有:密碼技術(shù),身份驗證技術(shù),訪問控制技術(shù),防火墻技術(shù)。

3.2企業(yè)電子商務(wù)安全運營管理制度保障策略

企業(yè)電子商務(wù)安全運營管理制度是用文字的形式對各項安全要求所做的規(guī)定,是保證企業(yè)取得電子商務(wù)成功的基礎(chǔ),是企業(yè)電子商務(wù)人員工作的規(guī)范和準則。這些制度主要包括人員管理制度,保密制度,跟蹤審計制度,系統(tǒng)維護制度、數(shù)據(jù)備份制度等。

3.3電子商務(wù)立法策略

(1)立法目的。電子商務(wù)安全立法的目的主要是要消除電子商務(wù)發(fā)展的法律障礙;消除現(xiàn)有法律適用上的不確定性,保護合理的商業(yè)行為,保障電子交易安全;建立一個清晰的法律框架以統(tǒng)一調(diào)整電子商務(wù)的健康發(fā)展。

(2)立法范圍。電子商務(wù)安全方面需要的法律法規(guī)主要有:市場準入制度、合同有效認證辦法、電子支付系統(tǒng)安全措施、信息保密防范辦法,知識產(chǎn)權(quán)侵權(quán)處理規(guī)定、以及廣告的管制、網(wǎng)絡(luò)信息內(nèi)容過濾等;

(3)立法途徑。電子商務(wù)法律仍然是調(diào)整社會關(guān)系,所以應(yīng)當(dāng)繼承傳統(tǒng)立法的合理內(nèi)核,尤其是基礎(chǔ)價值觀。具體的立法途徑主要是兩種:第一是制定新的法律規(guī)范。第二是修改或重新解釋既定的法律規(guī)范。

3.4政府監(jiān)督管理策略

電子商務(wù)本質(zhì)是一種市場運作模式,市場的正常健康有序地發(fā)展,必須有政府宏觀上的監(jiān)督與管理,以協(xié)調(diào)和規(guī)范各市場主體的行為,宏觀監(jiān)督與管理電子商務(wù)運行中的安全保障體系。政府監(jiān)督管理主要體現(xiàn)在:計算機信息系統(tǒng)安全管理,網(wǎng)絡(luò)廣告和網(wǎng)絡(luò)服務(wù)業(yè)管理,認證機構(gòu)管理,加強社會信用道德建設(shè)。

4電子商務(wù)安全中還需解決的問題

(1)沒有一種電子商務(wù)安全的完整解決方案和完整模型與體系結(jié)構(gòu)。

(2)盡管一些系統(tǒng)正在逐漸成為標準,但僅有很少幾個標準的應(yīng)用程序接口(APIA)。從協(xié)議間的通用API和網(wǎng)關(guān)是絕對需要的。

(3)大多數(shù)電子商務(wù)系統(tǒng)都是封閉式的,即它們使用獨有的技術(shù),僅支持一些特定的協(xié)議和機制。通常需要一個中央服務(wù)器作為所有參與者的可信第三方,有時還要求使用特定的服務(wù)器和瀏覽器。

(4)盡管大多數(shù)方案都使用了公鑰密碼,但多方安全受到的關(guān)注遠遠不夠。沒有建立一種解決爭議的決策程序。

(5)客戶的匿名性和隱私尚未得到充分的考慮。

參考文獻

[1]EricRescorla.著,崔凱譯.SSL與TLSDesigningandBuild-ingSecureSystems[M].北京:中國電力出版社,2002.

[2]ChristopherSteel,RameshNagappan,RayLai.著.安全模式(CoreSecurityPatterns)[M].北京:機械工業(yè)出版社,2006.

篇2

一、電子商務(wù)出現(xiàn)安全問題的原因

電子商務(wù)出現(xiàn)安全問題的原因是多方面,主要有以下幾種:

1、企業(yè)管理缺乏對于人員管理的認識。

如今,很多企業(yè)都認為電子商務(wù)僅僅在于技術(shù)而非人員管理,因此,企業(yè)在管理當(dāng)中也會自覺地把電子商務(wù)當(dāng)做一項技術(shù)來研究管理,缺乏對于企業(yè)內(nèi)?a href="xuexila.com/yangsheng/kesou/" target="_blank">咳嗽鋇南低徹芾?,只蕢行茧H豕タ死唇邪踩喙堋R虼耍壞┢笠搗⑸宋薹植溝木盟鶚?,?9討吹娜銜羌際醪還厝塹幕觶斐賞環(huán)⑹錄搗ⅰD殼埃詮芾淼敝忻揮幸桓魷嘍醞暾耐綣芾硐低癡饈悄贛怪靡傻?,铜h(huán)⑹錄媸倍伎贍艽嬖冢虼?,安全管?a href="xuexila.com/fanwen/cuoshi/" target="_blank">措施就必須要管理到電子商務(wù)的每一個角落和環(huán)節(jié)當(dāng)中,只有是人與與技術(shù)相結(jié)合,才能夠保證電子商務(wù)安全的進行下去。

2、企業(yè)規(guī)劃當(dāng)中沒有詳細的考慮信息安全問題

在電子商務(wù)安全的管理當(dāng)中,并不是僅僅依靠一個部分或幾個部門,而是整個企業(yè)的所有部門來維護和監(jiān)管,雖然,各部門在職能的分工上各有不同,各有優(yōu)勢也存在差異,但是信息安全是每個部門都必須要重視的事情。信息安全保障體系必須是各部門整體的協(xié)調(diào)統(tǒng)一,才能夠確保信息安全體系的有效管理。

3、企業(yè)缺乏相應(yīng)的安全管理人力

企業(yè)在進行信息安全管理當(dāng)中,很容易忽視對于信息安全管理的物質(zhì)基礎(chǔ),在信息管理當(dāng)中人才是保障信息安全的重中之重,信息安全是一項技術(shù)性活,假如缺乏業(yè)務(wù)能力強并且具備信息安全網(wǎng)絡(luò)知識、技術(shù)、法律知識和管理能力的人才,就不可能把安全管理做好,電子商務(wù)安全管理就沒有保障,容易導(dǎo)致信息的丟失和安全的缺乏。

4、企業(yè)對人員關(guān)于信息安全的宣傳不到位

很多企業(yè)度忽視對于內(nèi)部工作人員的信息安全的培訓(xùn),這樣就容易導(dǎo)致內(nèi)部人員的信息安全意識薄弱,等不到企業(yè)安全管理的目的,因此就可能導(dǎo)致安全事故的發(fā)生,如今絕大部分的安全信息泄密事件都是由于參與網(wǎng)絡(luò)交易的人員信息安全意識的缺乏而發(fā)生的,這就是企業(yè)在安全管理上的疏忽造成經(jīng)濟的損失。

二、電子商務(wù)安全管理體制的建議

網(wǎng)上交易安全管理必須采用較為綜合的管理思路,從技術(shù)考慮確保技術(shù)能夠跟得上時代的潮流,加強安全監(jiān)管建立合法的管理制度,杜絕信息的泄密,對交易安全進行實時監(jiān)控等等手段來保障安全,因此本文提出電子商務(wù)安全管理建議如下:

1、企業(yè)需提高網(wǎng)絡(luò)安全防范的意識

目前,很多國內(nèi)的網(wǎng)站都存在網(wǎng)絡(luò)上的安全問題,主要是管理者沒有重視安全的監(jiān)管,甚至一些企業(yè)認為自己的公司規(guī)模小不具備安全管理的經(jīng)驗甚至是不需要進行安全的管理,因為不會成為黑客攻擊的目標,這樣的安全監(jiān)管就無從談起。因此,不管是大企業(yè)還是小企業(yè)都需要樹立其安全管理的意識,定期舉辦安全信息培訓(xùn),只有是提高網(wǎng)絡(luò)安全的防范意識才能夠避免信息泄露的事故發(fā)生。

2、加強電子商務(wù)安全管理組織上的體系

電子商務(wù)安全管理最主要的是組織上需要更加的完善,因此需要建立行政指揮領(lǐng)導(dǎo)、技術(shù)人才管理、信息安全監(jiān)管以及安全顧問等等的安全決策,而他們的職責(zé)是建立相對完整的組織機構(gòu),組織安全策略、分配安全職責(zé)并且定期檢查安全職責(zé)是否按時旅行等等。不僅如此,企業(yè)還需要建立起網(wǎng)絡(luò)安全員、管理員等等的安全執(zhí)行機構(gòu),能夠負責(zé)網(wǎng)絡(luò)系統(tǒng)的安全策略和日常的安全運行維護檢查等。而安全顧問也必不可少,可以聘請安全專家負責(zé)提供安全的建議,尤其是在突發(fā)事故發(fā)生后,安全顧問就顯得特別重要,可以被安全決策機構(gòu)負責(zé)事故的調(diào)查并且能夠提出相對合理的評估意見與建議等。

3、加強人員的安全管理意識

在網(wǎng)絡(luò)交易的時候大部分都是內(nèi)部人員參與網(wǎng)絡(luò)交易,因此,他們更容易進行網(wǎng)絡(luò)犯罪,而他們在違法過程中比其他的違法人員具有更大的隱蔽性和高效性。因而企業(yè)需要加強人員的監(jiān)管,可以先從人員的錄用上進行人員的甄選,在人員的錄用過程當(dāng)中要簽署保密協(xié)議,當(dāng)人員到期或者合同終止時也需要簽署保密協(xié)議。其次還可以對內(nèi)部人員進行在崗培訓(xùn),建立起人員的安全意識,定期組織安全策略練習(xí)和規(guī)程方面的操作等。第三,還可以讓企業(yè)人員明確本崗位的安全政策和職責(zé),對違反網(wǎng)絡(luò)交易的人員要進行相應(yīng)的處罰,情節(jié)嚴重時可讓其承擔(dān)法律責(zé)任。[1]

4、企業(yè)需加強法律意識,并促進電子商務(wù)有法可依

如今,電子商務(wù)的發(fā)展越來越快速,企業(yè)也從電子商務(wù)的交易上獲得了巨大的經(jīng)濟效益,但是在目前來看,我國卻沒有電子商務(wù)相對應(yīng)的法律依據(jù),這樣容易使得部分犯罪人員得不到相應(yīng)的處罰,當(dāng)然,我國也在電子商務(wù)的立法上逐漸的完善,但是到雖然在電子商務(wù)上信息安全取得了一些成績,卻總體來說法律依舊還是不健全的,對于電子商務(wù)的安全保護依舊是缺少,專門的法律還是比較的分散,并且法律的效率依舊還是不高,面對這樣的新型情況的突發(fā),還是缺乏有力性和有效性,適應(yīng)性相對較弱,因此,國家的對于電子商務(wù)的專門立法需要各個企業(yè)和國家的有關(guān)部門不斷地摸索,才能夠讓電子商務(wù)的立法環(huán)境得到良好的發(fā)展。[2]

三、結(jié)論

篇3

[關(guān)鍵詞] J2EE 電子商務(wù) 安全架構(gòu)

一、背景介紹

隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展,電子商務(wù)作為一種新的商務(wù)系統(tǒng)得到了廣泛的應(yīng)用。目前電子商務(wù)的使用越來越廣,電子商務(wù)的安全性成為人們關(guān)注的焦點。事實上,電子商務(wù)由于黑客的入侵,系統(tǒng)存在的安全漏洞而造成各方面的損失的報道也屢見不鮮。因此,電子商務(wù)的開發(fā)設(shè)計必須要把安全作為應(yīng)用系統(tǒng)的一個重要的方面加入到電子商務(wù)系統(tǒng)的開發(fā)的整體設(shè)計中來。

當(dāng)前電子商務(wù)應(yīng)用的主流開發(fā)技術(shù)則是以J2EE為主,J2EE(Java 2 Platform Enterprise Edition)是美國Sun公司推出的多層企業(yè)應(yīng)用開發(fā)模型。J2EE簡化了基于工業(yè)標準的、組件化的企業(yè)應(yīng)用開發(fā),提供了一套完整的企業(yè)應(yīng)用的開發(fā)框架和服務(wù)的支持。由于J2EE完善和靈活的框架設(shè)計、強大服務(wù)支持等優(yōu)點,使其迅速成為電子商務(wù)應(yīng)用系統(tǒng)開發(fā)的主流技術(shù)。本文則主要介紹了如何在基于J2EE的電子商務(wù)系統(tǒng)設(shè)計中加入安全架構(gòu)的設(shè)計,并介紹了安全架構(gòu)設(shè)計中的一些概念和實現(xiàn)技術(shù)。

二、電子商務(wù)的安全架構(gòu)及其概念

電子商務(wù)的安全架構(gòu)的根本目標是為了實現(xiàn)對用戶訪問系統(tǒng)和使用系統(tǒng)資源進行控制,達到合法用戶合法使用系統(tǒng)的目的,因此在電子商務(wù)中采用的安全架構(gòu)一般涉及到以下幾個概念:

1.合法用戶:合法用戶是指通過驗證的,擁有一定系統(tǒng)使用權(quán)限的用戶。當(dāng)一個用戶進入系統(tǒng)時,只要通過驗證后才可以獲得進入系統(tǒng)的資格和使用系統(tǒng)的權(quán)限。

2.角色:由于一個電子商務(wù)系統(tǒng)可能對不同的用戶給予不同的權(quán)限。如果對每個用戶都要進行權(quán)限的設(shè)置,這樣的做法顯然是不合理的,因此在電子商務(wù)系統(tǒng)中一般將相同使用權(quán)限的用戶歸并成一類,稱之為角色,相同的角色擁有相同的系統(tǒng)使用權(quán)限。

3.安全域:是一個邏輯范圍或區(qū)域,在這一范圍或區(qū)域中安全服務(wù)的管理員定義和實施通用的安全策略。它是比角色更高的層的抽象。一個組織可以劃分成眾多的安全域,而一個安全域中可以包含眾多的角色。

4.資源:泛指電子商務(wù)系統(tǒng)中可以被用戶使用,訪問的有價值信息。比如說報價系統(tǒng),訂單系統(tǒng)等都屬于電子商務(wù)系統(tǒng)的資源。

5.映射:映射是電子商務(wù)將一個合法用戶與系統(tǒng)內(nèi)的某個角色相關(guān)聯(lián)的動作,從而該合法用戶即擁有對應(yīng)角色的系統(tǒng)使用權(quán)限。一個用戶可以在不同的策略配置下對應(yīng)不同的角色,達到實現(xiàn)系統(tǒng)用戶權(quán)限管理的靈活性。

以上述的概念可知,一個組織的電子商務(wù)系統(tǒng)的安全架構(gòu)可以首先看成是由安全域組成的,每個安全域內(nèi)包含了眾多的角色和資源。用戶通過驗證后進入系統(tǒng),即根據(jù)其所屬安全域的安全配置策略被映射到其對應(yīng)的角色上,從而擁有該角色使用系統(tǒng)的權(quán)限。

三、電子商務(wù)的安全架構(gòu)設(shè)計

1.用戶身份驗證:用戶身份認證是用戶進入系統(tǒng)的第一步,也是系統(tǒng)安全性保障的基本前提,用戶身份驗證有很多種方式和實現(xiàn)技術(shù),就J2EE而言,主要有通過WEB客戶端來實現(xiàn)對用戶的身份驗證和基于應(yīng)用程序客戶端驗證兩種方式, J2EE中提供了三種基于WEB客戶端的用戶身份驗證技術(shù),主要有HTTP基本驗證,基于表單的驗證,基于客戶端證書的驗證。而利用基于應(yīng)用程序客戶端驗證的方式,這種方式主要是通過應(yīng)用程序客戶端在運行前由其應(yīng)用程序客戶端容器來完成驗證過程。

2.安全域的劃分:安全域涉及到更高抽象層的安全策略的配置,因此安全域的劃分一般是依據(jù)電子商務(wù)系統(tǒng)用戶所屬組織的結(jié)構(gòu)來劃分。

3.用戶角色設(shè)置主要是根據(jù)用戶使用系統(tǒng)的需求來進行設(shè)置,將相同使用權(quán)限需求的用戶歸并為一類,設(shè)置成相同的角色。并針對該角色依據(jù)最小有限使用權(quán)限的原則配置該角色在系統(tǒng)中的使用權(quán)限。最后根據(jù)角色和權(quán)限配置,再結(jié)合實際的使用情況設(shè)置詳細的安全管理策略。

4.以上第二、第三步驟主要集中在電子商務(wù)的安全管理邏輯設(shè)計,當(dāng)邏輯設(shè)計完成后,就需要將邏輯的安全管理規(guī)則在電子商務(wù)系統(tǒng)中予以實現(xiàn),在電子商務(wù)系統(tǒng)中加入安全管理功能模塊。具有的實現(xiàn)方式有多種,以下本文將簡要說明在電子商務(wù)應(yīng)用系統(tǒng)中加入用戶權(quán)限控制的過程和方法。

四、應(yīng)用舉例

在J2EE的架構(gòu)中實現(xiàn)對用戶訪問權(quán)限的控制主要有二種實現(xiàn)方式:一種是通過SESSION對象來實現(xiàn),即當(dāng)用戶通過身份驗證后,為用戶建立一個SESSION對象用以記錄用戶的角色,以及權(quán)限,當(dāng)用戶訪問系統(tǒng)中的資源時,首先對用戶的SESSION對象中的用戶角色權(quán)限進行審計。如果用戶的角色擁有訪問該資源的權(quán)限,則允許其訪問資源,否則拒絕;另一種方式則是通過對WEB應(yīng)用容器進行設(shè)置來實現(xiàn)的。以TOMCAT為例,它可以用其WEB.XML配置文件進行配置,該配置文件實質(zhì)上是定義的三元組,在該配置文件將系統(tǒng)的資源定義成用戶角色將要訪問的頁面集合,并將相關(guān)的頁面資源進行合并,也可以通過通用匹配符來表示成WEB資源集合,然后根據(jù)安全策略的設(shè)置,定義針對該集合允許訪問的角色集合,在集合中定義允許訪問的用戶角色,最后是說明角色的驗證方式,指出用戶的角色名和其所屬的安全域。對TOMCAT配置完成后,則可以由TOMCAT容器來實現(xiàn)對用戶訪問資源的控制。

從兩種方式對比來看,第一種方式應(yīng)該說安全策略的配置粒度更細,而且訪問權(quán)限的控制能力也更強些,但是模塊的功能設(shè)計復(fù)雜而靈活性也會受一定的影響,后一種方式直接在WEB容器中配置安全策略,實現(xiàn)方便,靈活性也高,但是功能則會受限制。因而其更適合一些小型的應(yīng)用。

參考文獻:

篇4

關(guān)鍵詞:電子商務(wù),風(fēng)險,安全管理

1 引言

美國IBM公司從企業(yè)電子商務(wù)的運作過程中認為電子商務(wù)(E-Business)就是企業(yè)的“商務(wù)整合”,它將IT技術(shù)策略與企業(yè)商務(wù)策略整合起來,形成企業(yè)全新的組織構(gòu)架、全新的商業(yè)模式、全新的業(yè)務(wù)流程。它是傳統(tǒng)企業(yè)商務(wù)電子化的過程,即傳統(tǒng)商務(wù)向電子商務(wù)轉(zhuǎn)型的過程。電子商務(wù)作為一種新的生產(chǎn)方式,正在顯示其巨大的現(xiàn)代經(jīng)濟管理的價值和社會變革的影響力。

如何使電子商務(wù)運作過程的安全性和風(fēng)險控制得到保證,是關(guān)系到電子商務(wù)能否順利發(fā)展的關(guān)鍵問題。

2 我國電子商務(wù)發(fā)展現(xiàn)狀

中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)最新的中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告顯示:截至2009年6月底,我國網(wǎng)民數(shù)達到3.32億,互聯(lián)網(wǎng)普及率更是以25.5%的比例超過了21.9%的全球平均水平。與此同時,有關(guān)部門的2008中國網(wǎng)上購物調(diào)查報告顯示,上半年國內(nèi)網(wǎng)購交易總額已經(jīng)達到531.5億元,參與網(wǎng)購的人群達到1.2億。

隨著網(wǎng)購人數(shù)的增長,互聯(lián)網(wǎng)的各種應(yīng)用還將從大城市向中小城市滲透,網(wǎng)民數(shù)的不斷增加和主流消費人群消費習(xí)慣的改變,將成為推動中國網(wǎng)購市場激增的重要原因。

3 電子商務(wù)發(fā)展中面臨的風(fēng)險

互聯(lián)網(wǎng)正在改變?nèi)蚪?jīng)濟,電子商務(wù)向人們展示了“快、便、省”的優(yōu)勢。

但是電子商務(wù)與其它新生事物一樣,在帶來巨大機遇的同時,也存在著許多風(fēng)險。

(1)技術(shù)風(fēng)險

具體包括交易安全、認證安全、數(shù)據(jù)加密、支付安全、網(wǎng)站安全等。

(2)金融與支付風(fēng)險

具體包括訂購、付款、銀行結(jié)算以及其他金融交易業(yè)務(wù)的在線安全。論文格式。

(3)稅收風(fēng)險

由于電子商務(wù)具有跨地域交易的特點,使得電子商務(wù)稅收變得十分重要而復(fù)雜,國際上普遍接受的是稅收中性的觀點,即對國際性稅收原則不做根本改變,但對全球電子商務(wù)發(fā)展中面臨的有關(guān)稅收方面的政策改變將大大影響電子商務(wù)的發(fā)展。

(4)人才與培養(yǎng)風(fēng)險

電子商務(wù)的發(fā)展需要大量計算機人才和網(wǎng)絡(luò)經(jīng)濟商務(wù)人才以及相關(guān)復(fù)合人才,我國在這方面的人才較為欠缺。

(5)政策法規(guī)風(fēng)險

電子商務(wù)的發(fā)展如同網(wǎng)絡(luò)的發(fā)展一樣是非??斓?,與之相比國家有關(guān)管理部門的政策、法規(guī)的制定不可避免的存在滯后的可能,使得新興的電子商務(wù)發(fā)展可能處于缺乏保障的地位,而且電子商務(wù)中個性化特點日趨突出,給政策、法規(guī)的制定也提高了難度。

(6)競爭風(fēng)險

電子商務(wù)的發(fā)展將使我國的企業(yè)同時面臨與國外大公司、企業(yè)的競爭,還要面對傳統(tǒng)商務(wù)與之的競爭。

3.3 電子商務(wù)的風(fēng)險特征

電子商務(wù)中出現(xiàn)的風(fēng)險,雖然多為傳統(tǒng)經(jīng)濟中所固有,但它無論在表現(xiàn)形式、強烈程度還是影響范圍上與傳統(tǒng)經(jīng)濟中的風(fēng)險都不相同。概括起來說,電子商務(wù)風(fēng)險具有以下特征。

(1) 全球性

電子商務(wù)風(fēng)險具有全球性特征。論文格式。風(fēng)險既可能來自國內(nèi),也可能來自世界任何一個地方。四通八達的通訊網(wǎng)絡(luò),把世界各地都緊緊地聯(lián)系在一起。例如,技術(shù)風(fēng)險就是這樣。當(dāng)黑客發(fā)動攻擊時,遇到的唯一障礙就是技術(shù)上的可行性。

(2) 傳染性

電子商務(wù)風(fēng)險可以在全球范圍內(nèi)迅速傳播,具有很強的傳染性和廣泛的影響力,使人們很難進行有效防范。實時性和交互性是電子商務(wù)的兩個基本特征。一旦風(fēng)險產(chǎn)生,它就會借助信息的實時傳遞和市場交易主體之間的交互關(guān)系而迅速擴散。

(3) 成長性

在一定條件下,電子商務(wù)風(fēng)險會迅速成長和壯大,具有一股強大的、摧毀一切的力量。這種異乎尋常的成長性,來自于電子商務(wù)中所特有的不穩(wěn)定均衡和正反饋效應(yīng)。電子商務(wù)中的均衡是不穩(wěn)定均衡。如果企業(yè)正處于成長過程中,它就會在正反饋效應(yīng)的刺激作用下,成長得越來越快、越來越強大,直至成為市場主流,占有決定性的市場份額。反之,一個企業(yè)即使是市場的主流,如果受到一些致命的打擊,則有可能在正反饋效應(yīng)的作用下迅速衰退,甚至在很短時期內(nèi)消逝得無影無蹤。

(4) 隱蔽性

電子商務(wù)風(fēng)險具有很強的隱蔽性。風(fēng)險初起時可能不大容易覺察,當(dāng)風(fēng)險變得清晰可辨時,危機就無法避免了。這種隱蔽性,來自信息的非對稱性。在網(wǎng)絡(luò)中,人們可以自由遨游,不需要提供真實的姓名和身份。如果再缺少相關(guān)的法律進行約束,投機和欺詐就會泛濫,電子商務(wù)就會趨向崩潰。

(5) 復(fù)雜性

在電子商務(wù)中,風(fēng)險不是單一的,而是綜合的。多種風(fēng)險往往交叉在一起,它們相互影響和助長,使得風(fēng)險防范的難度大大增加。

4 電子商務(wù)安全管理措施

電子商務(wù)交易安全管理,不應(yīng)當(dāng)只從單純技術(shù)角度考慮如何解決的問題,而是應(yīng)該從綜合的安全管理思路來考慮,因為從電子商務(wù)的運行環(huán)境來看,技術(shù)環(huán)境是一個重要方面,但是良好的法律法規(guī)、政策環(huán)境和科學(xué)管理環(huán)境也是電子商務(wù)的順利運行不可或缺的兩個方面。安全的電子商務(wù)環(huán)境包括精心規(guī)劃的管理體系,嚴密的技術(shù)措施和完善的法律體系。所以電子商務(wù)的安全管理應(yīng)該從技術(shù)、管理、法律等方面綜合考慮。建立一個完整的電子商務(wù)交易安全體系。

4.1 加快基礎(chǔ)設(shè)施建設(shè)

計算機系統(tǒng)、網(wǎng)絡(luò)通信設(shè)備、網(wǎng)絡(luò)通信線路、網(wǎng)絡(luò)服務(wù)器等設(shè)備,在靜電、電磁泄漏和意外事故等情況下會造成數(shù)據(jù)的丟失,機密信息泄漏。所以,加快電子商務(wù)的基礎(chǔ)設(shè)施建設(shè),選擇高性能的網(wǎng)絡(luò)設(shè)備, 建設(shè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境,才能為電子商務(wù)交易的信息提供硬件保障。

4.2 實施技術(shù)防范措施

電子商務(wù)的運作涉及資金安全、信息安全、貨物安全、商業(yè)秘密等多方面的安全問題,任何一點漏洞都可能導(dǎo)致大量資金流失,這些安全首先是對信息技術(shù)的依賴。目前電子商務(wù)比較成熟的技術(shù)安全措施有以下幾種:

(1)防火墻技術(shù):防火墻是在本地系統(tǒng)或網(wǎng)絡(luò)與Internet 之間構(gòu)筑的一道屏障,用以保護本地系統(tǒng)或網(wǎng)絡(luò)中的信息、資源等不受來自Internet 中非法用戶的侵犯;用以控制和防止本地系統(tǒng)或網(wǎng)絡(luò)中的敏感數(shù)據(jù)流入Internet,也控制和防止來自Internet 的無用數(shù)據(jù)流入本地系統(tǒng)或網(wǎng)絡(luò)。所以,防火墻能起到保護本地系統(tǒng)或網(wǎng)絡(luò)中信息安全保密的重要作用,成為電子商務(wù)系統(tǒng)的安全屏障。

(2)數(shù)字簽名技術(shù):數(shù)字簽名是通過某種密碼運算生成一系列符號及代碼組成電子密碼進行簽名,代替書寫簽名或印章。對于這種電子式的簽名還可進行技術(shù)驗證,其驗證的準確度是一般手工簽名和圖章的驗證而無法比擬的。數(shù)字簽名是目前電子商務(wù)中應(yīng)用最普遍、技術(shù)最成熟的、可操作性最強的一種電子簽名方法。

(3)安全證書認證中心(Certification Authority中心):網(wǎng)上交易需要由一個權(quán)威的第三方來擔(dān)任信用認證機構(gòu),確認買賣雙方的身份,這就是電子商務(wù)的安全證書認證中心(CA 中心) 。CA 中心是承擔(dān)網(wǎng)上認證服務(wù)、能簽發(fā)數(shù)字證書、并能確認用戶身份的受大家信任的第三方機構(gòu),它的作用在于確保網(wǎng)上交易合同的有效性,確保交易內(nèi)容、交易雙方賬號、密碼不被他人識別和盜取,防止單方面對交易信息的生成和修改,保證電子商務(wù)的交易安全。

4.3 健全管理與控制

由于電子商務(wù)企業(yè)一般都是新興企業(yè),管理制度、管理手段沒有傳統(tǒng)企業(yè)成熟、嚴密,加上一些電子商務(wù)企業(yè)一般更注重技術(shù)創(chuàng)新而非管理。因而,電子商務(wù)建立先進的管理與控制更為迫切。

建立交易授權(quán)控制制度:電子商務(wù)交易程序的簡單化,必須在業(yè)務(wù)流程方面建立嚴格的業(yè)務(wù)授權(quán)與執(zhí)行內(nèi)部控制制度,并對關(guān)鍵業(yè)務(wù)流程的內(nèi)部控制進行定期的審核。

建立責(zé)任控制制度:它是以經(jīng)濟組織內(nèi)部各部門、各環(huán)節(jié)、各層次及其人員的經(jīng)濟責(zé)任為中心的內(nèi)部控制制度,使得各職能部門和經(jīng)辦人員分工明確,職責(zé)分明。

建立會計控制和內(nèi)部牽制制度:主要檢查會計事項的處理是否遵循不相容的職務(wù)或者經(jīng)過兩個以上的人員或部門的原則,以防止差錯、舞弊的發(fā)生,保護財產(chǎn)的安全。論文格式。

建立經(jīng)營方面各個循環(huán)系統(tǒng)的控制制度:它是經(jīng)濟組織內(nèi)部為實現(xiàn)經(jīng)營目標而實現(xiàn)生產(chǎn)經(jīng)營和管理所必須經(jīng)過的環(huán)節(jié)和業(yè)務(wù)操作的控制制度。如成本控制、購銷控制、物資控制、生產(chǎn)經(jīng)營過程的控制以及計劃、預(yù)算、合同管理等控制制度。

建立一定的應(yīng)急措施:在信息流程方面,加強對信息的記錄、維護和報告相關(guān)環(huán)節(jié)的控制。例如數(shù)據(jù)文件的定期備份、備份數(shù)據(jù)的存放地點、存放條件要求、系統(tǒng)數(shù)據(jù)文件損壞后的再生規(guī)則等。

4. 4 健全法制,倡導(dǎo)誠信

1996 年聯(lián)合國貿(mào)易法委員會制訂了《聯(lián)合國國際貿(mào)易法委員會電子商務(wù)示范法》,2005 年初,國務(wù)院頒發(fā)了《加強電子商務(wù)的若干意見》,2005 年4 月1 日開始正式實施的《電子簽名法》,對我國正在興起的電子商務(wù)給予了強有力的法律支持,為我國電子商務(wù)安全認證體系和網(wǎng)絡(luò)信任體系的建立奠定了基礎(chǔ)。但是,網(wǎng)絡(luò)環(huán)境中的誠信問題不是僅僅靠《電子簽名法》所能夠解決的,要想根本鏟除互聯(lián)網(wǎng)交易中的種種弊端,歸根到底要靠安全認證和行業(yè)的自律。所以,倡導(dǎo)誠信,維護消費者合法權(quán)益,是推動我國電子商務(wù)健康發(fā)展的內(nèi)在因素。

4.5 大力培養(yǎng)電子商務(wù)專業(yè)人才

電子商務(wù)是信息現(xiàn)代化與商務(wù)的有機結(jié)合,雖然強調(diào)計算機網(wǎng)絡(luò)技術(shù)對交易活動的促進作用,但電子商務(wù)實現(xiàn)的關(guān)鍵仍然是人才。要發(fā)展電子商務(wù),需要大量的掌握現(xiàn)代信息技術(shù)和現(xiàn)代商貿(mào)理論與實務(wù)的復(fù)合型人才。政府應(yīng)充分利用各種途徑和手段,培養(yǎng)、引進并合理使用好一批素質(zhì)較高、層次合理、專業(yè)配套的網(wǎng)絡(luò)、計算機及經(jīng)營管理等方面的專業(yè)人才,以加快我國電子商務(wù)的發(fā)展。

5 結(jié)束語

電子商務(wù)在給我們帶來廣泛的機遇的同時,也給我們帶來了新的風(fēng)險。安全的電子商務(wù)環(huán)境包括精心規(guī)劃的管理體系,嚴密的技術(shù)措施和完善的法律體系。所以電子商務(wù)的安全管理應(yīng)該從技術(shù)、管理、法律等方面綜合考慮。建立一個完整的電子商務(wù)交易安全體系。

參考文獻

1.伊志宏 張航宇著我國電子商務(wù)發(fā)展中的風(fēng)險管理 中國期刊網(wǎng)

2.洪國彬 范月嬌著《電子商務(wù)安全與管理》電子工業(yè)出版社 2006年出版

3.董雪兵 朱慧著《電子商務(wù)教程》浙江大學(xué)出版社

4.陶世懷 徐國芹著《電子商務(wù)概論》第二版 大連理工大學(xué)出版社

5.瞿彭志著 《網(wǎng)絡(luò)營銷》第二版高等教育出版社

篇5

關(guān)鍵詞:電子商務(wù);網(wǎng)絡(luò)安全

中圖分類號:TP393.08文獻標識碼:A文章編號:1007-9599 (2011) 07-0000-02

E-Commerce Network Security Research

Wang Baodong,Liu Na

(College of Information&Business,Zhongyuan University of Technology,Zhengzhou45000,China)

Abstract:With the development of information technology,e-commerce become the new business development.This article discusses how to eliminate the network problems,the establishment of a secure e-business use of the environment,and promote China's economic development.

Keywords:Electronic commerce;Network security

隨著信息技術(shù)的發(fā)展,電子商務(wù)成為當(dāng)今商務(wù)活動的新模式。許多企業(yè)開始通過因特網(wǎng)進行商務(wù)活動,電子商務(wù)也具有了廣闊的發(fā)展前景,但是與此同時,其安全問題也變得日益突出。目前,網(wǎng)上金融服務(wù)面臨著和很多普通互聯(lián)網(wǎng)服務(wù)相同的安全威脅,如信息****、解密、****賬號、拒絕服務(wù)等。利用一些思維方法和相關(guān)技術(shù)建立一個安全的電子商務(wù)使用環(huán)境,對商務(wù)傳輸和交換的信息提供必要的加密和防護,已經(jīng)成為用戶和業(yè)界關(guān)注的問題。

一、網(wǎng)絡(luò)安全相關(guān)的因素

針對計算機網(wǎng)絡(luò)本身可能存在的安全問題,以保證計算機網(wǎng)絡(luò)自身的安全性為目標。為了保證電子商務(wù)整個交易活動的安全順利的進行,電子商務(wù)系統(tǒng)必須具備幾個安全要素:網(wǎng)絡(luò)電子商務(wù)信息的保密性、完整性、一致性、可用性和抗否認性。網(wǎng)絡(luò)安全從本質(zhì)上講就是網(wǎng)絡(luò)上信息的安全,包括靜態(tài)信息的存儲安全和信息的傳輸安全。從廣義上講,凡是涉及網(wǎng)絡(luò)上信息的保密性、完整心、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。因此為保證網(wǎng)絡(luò)的安全,必須保證一下四個方面的安全:

1.運行系統(tǒng)的安全。

2.網(wǎng)絡(luò)上系統(tǒng)信息的安全。

3.網(wǎng)絡(luò)上信息傳播安全。

4.網(wǎng)絡(luò)上信息內(nèi)容的安全。

為了保證這些方面的安全,大家通常會使用一些網(wǎng)絡(luò)安全產(chǎn)品,如防火墻、VPN、數(shù)字簽名等,這些安全產(chǎn)品和技術(shù)的使用樂意從一定程度上滿足網(wǎng)絡(luò)安全需求,但不能滿足整體的安全需求,因為它們只能保護特定的某一方面的,而對于網(wǎng)絡(luò)系統(tǒng)來講,它需要的是一個整體的安全策略,這個策略不僅包括安全保護,它還應(yīng)該包括安全管理、實時監(jiān)控、響應(yīng)和恢復(fù)措施,因為目前沒有絕對的安全,無論你的網(wǎng)絡(luò)系統(tǒng)部署的如何周密,你的系統(tǒng)總會有被攻擊和攻破的可能,而這時你會怎么半呢?采用一些恢復(fù)措施,幫助你在最短的時間使網(wǎng)絡(luò)系統(tǒng)恢復(fù)正常工作恐怕是最主要的了。因此在構(gòu)筑你的網(wǎng)絡(luò)安全解決方案中一定要注重一個整體的策略,下面我們將介紹一種整體的安全構(gòu)架。

二、電子商務(wù)安全的整體構(gòu)架

我們介紹的電子商務(wù)構(gòu)架概括為“一個中心,四個基本點”。一個中心就是以安全管理為中心,四個基本點是保護、監(jiān)控、響應(yīng)和恢復(fù)。這樣一種構(gòu)架機制囊括了從保護到在線監(jiān)控,到響應(yīng)和恢復(fù)的各個方面,是一種層層防御的機制,因此這種構(gòu)架可以為用戶構(gòu)筑一個整體的安全方案。

(一)安全管理。安全管理就是通過一些管理手段來達到保護網(wǎng)絡(luò)安全的目的。它所包含的內(nèi)容有安全管理制度的制定、實施和監(jiān)督,安全策略的制定、實施、評估和修改,以及對人員的安全意識的培訓(xùn)、教育等。

(二)保護。保護就是采用一些網(wǎng)絡(luò)安全產(chǎn)品、工具和技術(shù)保護網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)和用戶。這種保護可以稱作靜態(tài)保護,它通常是指一些基本防護,不具有實時性,因此我們就可以在防火墻的規(guī)則中加入一條,禁止所有從外部網(wǎng)用戶到內(nèi)部網(wǎng)WEB服務(wù)器的連接請求,這樣一旦這條規(guī)則生效,它就會持續(xù)有效,除非我們改變了這條規(guī)則。這樣的保護可以預(yù)防已知的一些安全威脅,而且通常這些威脅不會變化,所以稱為靜態(tài)保護。

(三)監(jiān)控/審計。監(jiān)控就是實時監(jiān)控網(wǎng)絡(luò)上正在發(fā)生的事情,這是任何一個網(wǎng)絡(luò)管理員都想知道的,審計一直被認為是經(jīng)典安全模型的一個重要組成部分。審計是通過記錄下通過網(wǎng)絡(luò)的所有數(shù)據(jù)包,然后分析這些數(shù)據(jù)包,幫助你查找已知的攻擊手段,可疑的破壞行為,來達到保護網(wǎng)絡(luò)的目的。

監(jiān)控和審計是實時保護的一種策略,它主要滿足一種動態(tài)安全的需求。因為網(wǎng)絡(luò)安全技術(shù)在發(fā)展的同時,黑客技術(shù)也在不斷的發(fā)展,因此網(wǎng)絡(luò)安全不是一層不變的,也許今天對你來說安全的策略,明天就會變得不安全,因此我們應(yīng)該時刻關(guān)注網(wǎng)絡(luò)安全的發(fā)展動向以及網(wǎng)絡(luò)上發(fā)生的各種各樣的事情,以便及時發(fā)現(xiàn)新的攻擊,制定新的安全策略。有些人可能會認為這樣就不需要基本的安全保護,這種想法是錯誤的,因為安全保護是基本,監(jiān)控和審計是其有效的補充,只有這兩者有效結(jié)合,才能夠滿足動態(tài)安全的需要。

(四)響應(yīng)。響應(yīng)就是當(dāng)攻擊正在發(fā)生時,能夠及時做出響應(yīng),職向管理員報告,或者自動阻斷連接等,防止攻擊進一步的發(fā)生。響應(yīng)是整個安全架構(gòu)中的重要組成部分,為什么呢?因為即使你的網(wǎng)絡(luò)構(gòu)筑的相當(dāng)安全,攻擊或非法事件也是不可避免的要發(fā)生的,所以當(dāng)攻擊或非法事件發(fā)生的時候,應(yīng)該有一種機制對此做出反應(yīng),以便讓管理員及時了解到什么時候網(wǎng)絡(luò)遭到了攻擊,攻擊的行為是什么樣的,攻擊結(jié)果如何,應(yīng)該采取什么樣的措施來修補安全策略,彌補這次攻擊的損失,以及防止此類攻擊再次發(fā)生。

(五)恢復(fù)。當(dāng)入侵發(fā)生后,對系統(tǒng)贊成了一定有破壞,如網(wǎng)絡(luò)不能正常工作、系統(tǒng)數(shù)據(jù)被破壞等,這時,必須有一套機制來及時恢復(fù)系統(tǒng)正常工作,因此恢復(fù)電子商務(wù)安全的整體架構(gòu)中也是不可少的一個組成部分。恢復(fù)是歸終措施,因為攻擊既然已經(jīng)發(fā)生了,系統(tǒng)也遭到了破壞,這時只有讓系統(tǒng)以最快的速度運行起來才是最重要的,否則損失將更為嚴重。

三、安全架構(gòu)的工作機制

在這處安全架構(gòu)中,五個方面是如何協(xié)調(diào)工作的呢?下面將以一個例子一介紹。假設(shè)有一個黑客欲攻擊一內(nèi)部網(wǎng),這個內(nèi)部網(wǎng)整體安全架構(gòu)就如前面介紹的一樣,那么現(xiàn)在讓我們來看看這個安全架構(gòu)是如何工作來抵制黑客的。

(一)當(dāng)這處黑客開始向內(nèi)部網(wǎng)發(fā)起攻擊的時候,在內(nèi)部網(wǎng)的最外面有一個保護屏障,如果保護屏障可以制止黑客進入內(nèi)部網(wǎng),那么內(nèi)部網(wǎng)就不可能受到黑客的破壞,別的機制不用起作用,這時網(wǎng)絡(luò)的安全得以保證。

(二)黑客通過繼續(xù)努力,可能獲得了進入內(nèi)部網(wǎng)的權(quán)力,也就是說他可能欺騙了保護機制而進入內(nèi)部網(wǎng),這時監(jiān)控/審計機制開始起作用,監(jiān)控/審計機制能夠在線看到發(fā)生在網(wǎng)絡(luò)上的事情,它們能夠識別出這種攻擊,如發(fā)現(xiàn)可疑人員進入網(wǎng)絡(luò),這樣它們就會給響應(yīng)機制一些信息,響應(yīng)機制根據(jù)監(jiān)控/審計結(jié)果來采取一些措施,立刻斷開這條連接、取消服務(wù)、查找黑客通過何種手段進入網(wǎng)絡(luò)等等,來達到保護網(wǎng)絡(luò)的目的。

(三)黑客通過種種努力,終于進入了內(nèi)部網(wǎng),如果一旦黑客對系統(tǒng)進行了破壞,這時及時恢復(fù)系統(tǒng)可用將是最主要的事情了,這樣恢復(fù)機制就是必須的了,當(dāng)系統(tǒng)恢復(fù)完畢后,又是新一輪的安全保護開始了。

四、電子商務(wù)網(wǎng)絡(luò)安全面臨的威脅

(一)黑客攻擊。網(wǎng)絡(luò)中總是存在各種安全漏洞,因此黑客的攻擊行為是威脅電子商務(wù)安全的一大隱患。黑客攻擊網(wǎng)絡(luò)的目的通常是擾亂系統(tǒng)正常運行或者竊取重要的商業(yè)機密,其慣用的攻擊手段為:竊聽,即黑客通過截獲通訊信道上的重要數(shù)據(jù)并破譯來達到竊取用戶機密的目的;重發(fā)攻擊,黑客為達到影響系統(tǒng)正常運行的目的,而將竊聽得到的數(shù)據(jù)經(jīng)過篡改之后重新發(fā)回服務(wù)器或者數(shù)據(jù)庫用戶;迂回攻擊,黑客掌握電子商務(wù)數(shù)據(jù)庫系統(tǒng)的安全漏洞之后,繞過數(shù)據(jù)庫系統(tǒng)而直接訪問機密數(shù)據(jù);假冒攻擊,黑客先是采取發(fā)送大量無意義的報文而堵塞服務(wù)器和客戶終端的通訊端口以后,再通過假冒該客戶或者該服務(wù)器的方法來非法操作數(shù)據(jù)庫系統(tǒng);越權(quán)攻擊,黑客屬于一個合法用戶,但是其通過某種手段使自己去訪問沒有得到授權(quán)的數(shù)據(jù)。

(二)系統(tǒng)漏洞。電子商務(wù)系統(tǒng)的網(wǎng)絡(luò)入侵者能夠根據(jù)系統(tǒng)本身的安全漏洞得到系統(tǒng)的數(shù)據(jù)操作權(quán)限。而漏洞產(chǎn)生的原因往往是管理系統(tǒng)沒有及時打補丁或者在安全方面的設(shè)置中總是選擇默認設(shè)置。此外,如果由于安全檢查措施級別太低,或者審核機制應(yīng)用不當(dāng)、軟件存在的風(fēng)險以及管理風(fēng)險等,都會使系統(tǒng)形成安全漏洞,從而給破壞者以入侵的機會。

五、電子商務(wù)網(wǎng)絡(luò)安全的解決方案

(一)電子商務(wù)安全協(xié)議。安全協(xié)議的確立和完善是安全系統(tǒng)走上規(guī)范化、標準化道路的基本因素。一個較為完善的電子商務(wù)系統(tǒng),應(yīng)該滿足電子商務(wù)的安全需求,實現(xiàn)加密機制、驗證機制和保護機制等功能。目前,已開發(fā)和應(yīng)用的協(xié)議有:IPv6、安全套接層協(xié)議、安全HTTP協(xié)議和安全電子交易協(xié)議等。本部分著重論述其中安全電子交易協(xié)議的具體實現(xiàn)機制。

(二)安全協(xié)議。安全電子交易協(xié)議簡稱SET,是一種基于信息流的安全協(xié)議,其目的是保證用戶、商家和銀行之間在開放的網(wǎng)絡(luò)環(huán)境之下進行安全可靠的信用卡交易。它的出現(xiàn),使從前只能在銀行之間進行的電子貨幣交易行為范圍擴展到了普通用戶的個人電腦領(lǐng)域。SET的技術(shù)核心是認證與加密,包括公開密匙加密、電子數(shù)字簽名、電子信封、電子安全證書等。以加密技術(shù)為核心,結(jié)合其他技術(shù)體制,滿足用戶在電子商務(wù)交易中的保密性、完整性和不可抵賴性等安全需求?;赟ET安全協(xié)議的網(wǎng)絡(luò)電子商務(wù)交易流程,幾乎完全等同于現(xiàn)實物理世界的交易過程,唯一的不同點是交易發(fā)生環(huán)境為因特網(wǎng)。

(三)SET的主要安全措施為:

1.電子數(shù)字簽名技術(shù)。這種方式結(jié)合了私鑰和公鑰體制,采用安全性高、管理方便的RSA算法,交易數(shù)據(jù)的發(fā)出者先將數(shù)據(jù)用私鑰加密,而數(shù)據(jù)抵達接收方后,用發(fā)送者的公鑰對數(shù)據(jù)進行解密還原。一個私鑰嚴格關(guān)聯(lián)著一個公鑰,因此,數(shù)據(jù)發(fā)出者的信息只能被相應(yīng)的接收者收到。這種方式的發(fā)送方無法抵賴自己曾經(jīng)發(fā)出過的交易數(shù)據(jù)信息。

2.電子信封技術(shù)。交易信息數(shù)據(jù)的發(fā)出者將所發(fā)的信息用DES加密,然后再使用接收者的公鑰把DES的對稱密鑰加密,這個過程叫做給信息加了電子數(shù)字信封。隨后,交易信息的發(fā)出者將DES加密交易數(shù)據(jù)和電子信封本身一起發(fā)給交易數(shù)據(jù)的信息接收者。對方收到這些數(shù)據(jù)之后,用其自己的公鑰打開電子信封,還原出發(fā)送者的DES對稱密鑰,接著用這個對稱密鑰去還原交易數(shù)據(jù)。這就確保了只有用交易信息接收者的密鑰才可以查看電子信封,因此接收者的身份就可以確定。SET協(xié)議的目標是解決交易環(huán)節(jié)中各個參與者(用戶、商家和銀行)之間使用信用卡支付的安全問題。它應(yīng)用于電子交易環(huán)節(jié),可以有效地保證商務(wù)數(shù)據(jù)的保密性、一致性、完整性和不可抵賴性。

(四)電子商務(wù)安全技術(shù)。電子商務(wù)安全技術(shù)包括備份技術(shù)、密碼技術(shù)、認證技術(shù)以及訪問控制技術(shù)等。

1.備份技術(shù)。所謂數(shù)據(jù)庫備份與恢復(fù)方案,目的是在數(shù)據(jù)庫系統(tǒng)故障并且短時間內(nèi)難以恢復(fù)時,用存儲在備份介質(zhì)中的數(shù)據(jù)將數(shù)據(jù)庫還原到備份時的狀態(tài)。數(shù)據(jù)備份根據(jù)數(shù)據(jù)庫管理系統(tǒng)類型的不同,有多種備份實施計劃。比如對SQL Server而言,有數(shù)據(jù)庫備份、事務(wù)日志備份、增量備份和文件及文件組備份。電子商務(wù)信息系統(tǒng)的數(shù)據(jù)庫管理系統(tǒng)中必須建立詳細的備份與恢復(fù)策略??梢园央娮由虅?wù)數(shù)據(jù)庫的故障或障礙分為以下三類:系統(tǒng)故障、事務(wù)故障以及介質(zhì)故障。當(dāng)發(fā)生某種類型的故障時,為了把企業(yè)的損失減少到最低,必須在最短的時間內(nèi)恢復(fù)數(shù)據(jù),因此,根據(jù)企業(yè)的實際情況和數(shù)據(jù)類型與特點,制定出一套合理而經(jīng)濟的備份和恢復(fù)策略是必要的。

2.認證技術(shù)。認證技術(shù)可以阻止不擁有系統(tǒng)授權(quán)的用戶非法破壞敏感機密的數(shù)據(jù),是數(shù)據(jù)庫管理系統(tǒng)為防止各種假冒攻擊安全策略??诹畹淖R別是數(shù)據(jù)庫管理系統(tǒng)進行身份認證的一種方式,每個具體用戶都被系統(tǒng)事先分配一個固定的用戶名與密碼,電子商務(wù)系統(tǒng)的許多數(shù)據(jù)具有開放性特征,因此必須對每個訪問系統(tǒng)的用戶的身份進行認證。在用戶對敏感關(guān)鍵的數(shù)據(jù)進行存取時,必須在客戶與數(shù)據(jù)庫管理系統(tǒng)之間進行身份認證。

3.訪問控制技術(shù)。訪問控制方案有三種,分別叫做自主存取控制(DAC)、強制存取控制(MAC)和基于角色的存取控制(RBAC)。當(dāng)用戶對數(shù)據(jù)庫進行訪問時,系統(tǒng)會根據(jù)用戶的級別與權(quán)限來判定此操作是允許的或者禁止的,從而達到保護敏感數(shù)據(jù)不被泄露或者篡改的目的。在數(shù)據(jù)庫管理系統(tǒng)中,不同的用戶擁有不同的權(quán)限。因此必須保證某個用戶只能訪問或者存取與自己權(quán)限相應(yīng)的數(shù)據(jù)范圍。用戶所擁有的權(quán)限包括兩方面的內(nèi)容:一是用戶可以訪問數(shù)據(jù)庫中什么樣的數(shù)據(jù)對象,二是用戶可以對這些數(shù)據(jù)對象進行什么樣的操作。

4.加密技術(shù)。數(shù)據(jù)庫管理系統(tǒng)的加密以字段為最小單位進行,加密和解密通常是通過對稱密碼機制的密鑰來實現(xiàn)。數(shù)據(jù)加密時,數(shù)據(jù)庫管理系統(tǒng)把明文數(shù)據(jù)經(jīng)過密鑰轉(zhuǎn)換為密文數(shù)據(jù),數(shù)據(jù)庫中數(shù)據(jù)的存儲狀態(tài)都是密文數(shù)據(jù),而在得到權(quán)限的用戶查詢時,再將密文數(shù)據(jù)取出并解密,從而恢復(fù)明文數(shù)據(jù)。使數(shù)據(jù)庫的安全性得到進一步提升。電子商務(wù)系統(tǒng)中的一些商業(yè)機密數(shù)據(jù)是不允許普通用戶進行隨意訪問的。加密方案的目的是控制以上這些機密數(shù)據(jù)只能被得到相應(yīng)授權(quán)的特定人群所訪問和存取。

六、結(jié)束語

電子商務(wù)領(lǐng)域的安全問題一直是備受關(guān)注的問題,因此更好的解決安全問題是推進電子商務(wù)更好更快發(fā)展的動力。但是因為安全問題是不斷發(fā)展變化的,所以解決安全問題的手段也會不斷變化,但變化中有不變,所以應(yīng)用這種架構(gòu)來保證電子商務(wù)的安全無疑是有效的。

參考文獻:

[1]張瑞君.網(wǎng)絡(luò)環(huán)境會計實時控制[M].北京:中國人民大學(xué)出版社,2004,8

[2]王偉國.網(wǎng)絡(luò)經(jīng)濟時代企業(yè)財務(wù)管理模式探析[J].石河子大學(xué)學(xué)報(哲社版),2004,9

篇6

論文摘要:電子商務(wù)是基于網(wǎng)絡(luò)盼新興商務(wù)模式,有效的網(wǎng)絡(luò)信息安全保障是電子商務(wù)健康發(fā)展的前提。本文著重分析了電子商務(wù)活動申存在的網(wǎng)絡(luò)信息安全問題,提出保障電子商務(wù)信息安全的技術(shù)對策、管理策略和構(gòu)建網(wǎng)絡(luò)安全體系結(jié)構(gòu)等措施,促進我國電子商務(wù)可持續(xù)發(fā)展。

隨著互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展,基于網(wǎng)絡(luò)和多媒體技術(shù)的電子商務(wù)應(yīng)運而生并迅速發(fā)展。所謂電子商務(wù)通常是指是在全球各地廣泛的商業(yè)貿(mào)易活動中,在因特網(wǎng)開放的網(wǎng)絡(luò)環(huán)境下,基于瀏覽器/服務(wù)器應(yīng)用方式,買賣雙方不謀面地進行各種商貿(mào)活動,實現(xiàn)消費者的網(wǎng)購物、商戶之間的網(wǎng)上交易和在線電子支付以及各種商務(wù)活動和相關(guān)的綜合眼務(wù)活動的一種新型的商業(yè)運營模式。信息技術(shù)和計算機網(wǎng)絡(luò)的迅猛發(fā)展使電子商務(wù)得到了極大的推廣,然而由于互聯(lián)網(wǎng)的開放性,網(wǎng)絡(luò)安全問題日益成為制約電予商務(wù)發(fā)展的一個關(guān)鍵性問題。

一、電子商務(wù)網(wǎng)絡(luò)信息安全存在的問題

電子商務(wù)的前提是信息的安全性保障,信息安全性的含義主要是信息的完整性、可用性、保密和可靠。因此電商務(wù)活動中的信息安全問題豐要體現(xiàn)在以下兩個方面:

1 網(wǎng)絡(luò)信息安全方面

(1)安全協(xié)議問題。目前安全協(xié)議還沒有全球性的標準和規(guī)范,相對制約了國際性的商務(wù)活動。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊。

(3)防病毒問題。互聯(lián)網(wǎng)的出現(xiàn)為電腦病毒的傳播提供了最好的媒介,不少新病毒直接以網(wǎng)絡(luò)作為自己的傳播途徑,在電子商務(wù)領(lǐng)域如何有效防范病毒也是一個十分緊迫的問題。

(4)服務(wù)器的安全問題。裝有大量與電子商務(wù)有關(guān)的軟件和商戶信息的系統(tǒng)服務(wù)器是電予商務(wù)的核心,所以服務(wù)器特別容易受到安全的威脅,并且一旦出現(xiàn)安全問題,造成的后果會非常嚴重。

2.電子商務(wù)交易方面

(1)身份的不確定問題。由于電子商務(wù)的實現(xiàn)需要借助于虛擬的網(wǎng)絡(luò)平臺,在這個平臺上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易。

(2)交易的抵賴問題。電子商務(wù)的交易應(yīng)該同傳統(tǒng)的交易一樣具有不可抵賴。有些用戶可能對自己發(fā)出的信息進行惡意的否認,以推卸自己應(yīng)承擔(dān)的責(zé)任。

(3)交易的修改問題。交易文件是不可修改的,否則必然會影響到另一方的商業(yè)利益。電子商務(wù)中的交易文件同樣也不能修改,以保證商務(wù)交易的嚴肅和公正。

二 電子商務(wù)中的網(wǎng)絡(luò)信息安全對策

1 電子商務(wù)網(wǎng)絡(luò)安全的技術(shù)對策

(1)應(yīng)用數(shù)字簽名。數(shù)字簽名是用來保證信息傳輸過程中信皂的完整和提供信包發(fā)送者身份的認證,應(yīng)用數(shù)字簽名可在電子商務(wù)中安全、方便地實現(xiàn)在線支付,而數(shù)據(jù)傳輸?shù)陌踩?、完整,身份驗證機制以及交易的不可抵賴性等均可通過電子簽名的安全認證手段加以解決。

(2)配置防火墻。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度,它能阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò),防止他們更改、拷貝、毀壞你的重要信息。它能控制網(wǎng)絡(luò)內(nèi)外的信息交流,提供接入控制和審查跟蹤,是一一種訪問控制機制。在邏輯,防火墻是一個分離器、限制器,能有效監(jiān)控內(nèi)部網(wǎng)和intemet之間的任何活動,保證內(nèi)部網(wǎng)絡(luò)的安全。

(3)應(yīng)用加密技術(shù)。密鑰加密技術(shù)的密碼體制分為對稱密鑰體制和公用密鑰體制兩種。相應(yīng)地,對數(shù)據(jù)加密的技術(shù)分為對稱加密和非對稱加密兩類。根據(jù)電子商務(wù)系統(tǒng)的特點,全面加密保護應(yīng)包括對遠程通信過程中和網(wǎng)內(nèi)通信過程中傳輸?shù)臄?shù)據(jù)實施加密保護。一般來說,應(yīng)根據(jù)管理級別所對應(yīng)的數(shù)據(jù)保密要求進行部分加密而非全程加密。

2、電子商務(wù)網(wǎng)絡(luò)安全的管理策略

(1)建立保密制度。涉及信息保密、口令或密碼保密、通信地址保密、日常管理和系統(tǒng)運行狀況保密、工作日記保密等各個方面。對各類保密都需要慎重考慮,根據(jù)輕重程度劃分好不同的保密級別,并制定出相應(yīng)的保密措施。

(2)建立系統(tǒng)維護制度。該制度是電子商務(wù)網(wǎng)絡(luò)系統(tǒng)能否保持長期安全、穩(wěn)定運行的基本保證,應(yīng)由專職網(wǎng)絡(luò)管理技術(shù)人員承擔(dān),為安全起見,其他任何人不得介入,主要做好硬件系統(tǒng)日常管理維護和軟件系統(tǒng)日常管理維護兩方面的工作。

(3)建立病毒防范制度。病毒在網(wǎng)絡(luò)環(huán)境下具有極大的傳染性和危害性,除了安裝防病毒軟件之外,還要及時升級防病毒軟件版本、及時通報病毒入侵信息等工作。此外,還可將剛絡(luò)系統(tǒng)中易感染病毒的文什屬性、權(quán)限加以限制,斷絕病毒入侵的渠道,從而達到預(yù)防的目的。

(4)建立數(shù)據(jù)備份和恢復(fù)的保障制度。作為一個成功的電子商務(wù)系統(tǒng),應(yīng)引對信息安全至少提供三個層而的安全保護措施:一是數(shù)據(jù)存操作系統(tǒng)內(nèi)部或者盤陣中實現(xiàn)快照、鏡像;二是對數(shù)據(jù)庫及郵件服務(wù)器等重要數(shù)據(jù)做到在電子交易中心內(nèi)的自動備份;三是對重要的數(shù)據(jù)做到通過廣域網(wǎng)專線等途徑做好數(shù)據(jù)的克隆備份,通過以上保護措施可為系統(tǒng)數(shù)據(jù)安全提供雙保險。

三 電子商務(wù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)

電子商務(wù)的網(wǎng)絡(luò)信息安全不僅與技術(shù)有關(guān),更與社會因素、法制環(huán)境等多方面因素有關(guān)。故應(yīng)對電子商務(wù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)劃分如下:1.電子商務(wù)系統(tǒng)硬件安全。主要是指保護電子商務(wù)系統(tǒng)所涉及計算機硬件的安全性,保證其可靠眭和為系統(tǒng)提供基礎(chǔ)性作用的安全機制。2.電子商務(wù)系統(tǒng)軟件安全。主要是指保證交易記錄及相關(guān)數(shù)據(jù)不被篡改、破壞與非法復(fù)制,系統(tǒng)軟件安全的目標是使系統(tǒng)中信息的處理和傳輸滿足整個系統(tǒng)安全策略需求。3.電子商務(wù)系統(tǒng)運行安全。主要指滿足系統(tǒng)能夠可靠、穩(wěn)定、持續(xù)和正常的運行。4.電商務(wù)網(wǎng)絡(luò)安全的立法保障。結(jié)合我閣實際,借鑒國外先進網(wǎng)絡(luò)信息安全立法、執(zhí)法經(jīng)驗,完善現(xiàn)行的網(wǎng)絡(luò)安全法律體系。

篇7

論文摘要:隨著互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展,基于網(wǎng)絡(luò)和多媒體技術(shù)的電子商務(wù)應(yīng)運而生并迅速發(fā)展。所謂電子商務(wù)通常是指是在全球各地廣泛的商業(yè)貿(mào)易活動中,在因特網(wǎng)開放的網(wǎng)絡(luò)環(huán)境下,基于瀏覽器/服務(wù)器應(yīng)用方式,買賣雙方不謀面地進行各種商貿(mào)活動,實現(xiàn)消費者的網(wǎng)土購物、商戶之間的網(wǎng)交易和在線電子支付以及各種商務(wù)活動和相關(guān)的綜合服務(wù)活動的一種新型的商業(yè)運營模式。信息技術(shù)和計算機網(wǎng)絡(luò)的迅猛發(fā)展使電子商務(wù)得到了極大的推廠,然而由于互聯(lián)網(wǎng)的開放性,網(wǎng)絡(luò)安全問題日益成為制約電子商務(wù)發(fā)展的一個關(guān)鍵性問題。

一、電子商務(wù)網(wǎng)絡(luò)信息安全存在的問題

電子商務(wù)的前提是信息的安全性保障,信息安全,勝的含義主要是信息的完整性、可用性、保密險和可靠性。因此電子商務(wù)活動中的信安全問題主要體現(xiàn)在以兩個方面:

1、網(wǎng)絡(luò)信息安全方面

(l)安全協(xié)議問題。目前安全協(xié)議還沒有全球性的標準和規(guī)范,相對制約了國際性的商務(wù)活動。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊。

(3)防病毒問題。互聯(lián)網(wǎng)的出現(xiàn)為電腦病毒的傳播提供了最好的媒介,不少新病毒直接以網(wǎng)絡(luò)作為自己的傳播途徑,在電子商務(wù)領(lǐng)域如何有效防范病毒也是一個十分緊迫的問題。

(4)服務(wù)器的安全問題。裝有大量與電子商務(wù)有關(guān)的軟件和商戶信息的系統(tǒng)服務(wù)器是電子商務(wù)的核心,所以服務(wù)器特別容易受到安全的威脅,并且一旦出現(xiàn)安全問題,造成的后果會非常嚴重。

2、電子商務(wù)交易方面

(1)身份的不確定問題。由于電子商務(wù)的實現(xiàn)需要借助于虛擬的網(wǎng)絡(luò)平臺,在這個平臺上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易。

(2)交易的抵賴問題。電子商務(wù)的交易應(yīng)該同傳統(tǒng)的交易一樣具有不可抵賴性。有些用戶可能對自己發(fā)出的信息進行惡意的否認,以推卸自己應(yīng)承擔(dān)的責(zé)任。

(3)交易的修改問題。交易文件是不可修改的,否則必然會影響到另一方的商業(yè)利益。電子商務(wù)中的交易文件同樣也不能修改,以保證商務(wù)交易的嚴肅和公正。

二、電子商務(wù)中的網(wǎng)絡(luò)信息安全對策

1、電子商務(wù)網(wǎng)絡(luò)安全的技術(shù)對策

(1)應(yīng)用數(shù)字簽名。數(shù)字簽名是用來保證信息傳輸過程中信息的完整和提供信息發(fā)送者身份的認證,應(yīng)用數(shù)字簽名可在電子商務(wù)中安全,方便地實現(xiàn)在線支付,而數(shù)據(jù)傳輸?shù)陌踩?、完整性,身份驗證機制以及交易的不可抵賴性等均可通過電子簽名的安全認證手段加以解決。(2)配置防火墻。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度,它能阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò),防止他們更改、拷貝、毀壞你的重要信息。它能控制網(wǎng)絡(luò)內(nèi)外的信息交流,提供接人控制和審查跟蹤,是一種訪問控制機制。在邏輯,防火墻是一個分離器、限制器,能有效監(jiān)控內(nèi)部網(wǎng)和工nternet之間的任何活動,保證內(nèi)部網(wǎng)絡(luò)的安全。

(3)應(yīng)用加密技術(shù)。密鑰加密技術(shù)的密碼體制分為對稱密鑰體制和公用密鑰體制兩。相應(yīng)地,對數(shù)據(jù)加密的技術(shù)分為對稱加密和非討稱力日密兩類。根據(jù)電子商務(wù)系統(tǒng)的特點,全面加密保護應(yīng)包括對遠程通信過程中和網(wǎng)內(nèi)通信過程中傳輸?shù)臄?shù)據(jù)實施加密保護。一般來說,應(yīng)根據(jù)管理級別所對應(yīng)的數(shù)據(jù)保密要求進行部分加密而非全程加密。

2、電子商務(wù)網(wǎng)絡(luò)安全的管理策略

(1)建立保密制度。涉及信息保密、口令或密碼保密、通信地址保密、日常管理和系統(tǒng)運行狀況保密、工作日記保密等各個方面。對各類保密都需要慎重考慮,根據(jù)輕重程度劃分好不同的保密級別,并制定出相應(yīng)的保密措施。

(2)建立系統(tǒng)維護制度。該制度是電子商務(wù)網(wǎng)絡(luò)系統(tǒng)能否保持長期安全、穩(wěn)定運行的基本保證,應(yīng)由專職網(wǎng)絡(luò)管理技術(shù)人員承擔(dān),為安全起見,其他任何人不得介人,主要做好硬件系統(tǒng)日常借理維護和軟件系統(tǒng)日常管理維護兩方面的工作。

(3)建立病毒防范制度。病毒在網(wǎng)絡(luò)環(huán)境下具有極大的傳染性和危害性,除了安裝防病毒軟件之外,還要及時升級防病毒軟件版本、及時通報病毒人侵信息等工作。此外,還可將網(wǎng)絡(luò)系統(tǒng)中易感染病毒的文件屬性、權(quán)限加以限制,斷絕病毒人侵的渠道,從而達預(yù)防的目的。

(4)建立數(shù)據(jù)備份和恢復(fù)的保障制度。作為一個成功的電子商務(wù)系統(tǒng),應(yīng)針對信息安全至少提供三個層面的安全保護措施:一是數(shù)據(jù)在操作系統(tǒng)內(nèi)部或者盤陣中實現(xiàn)快照、鏡像;二是對數(shù)據(jù)庫及郵件服務(wù)器等重要數(shù)據(jù)做到在電子交易中心內(nèi)的自動備份;三是對重要的數(shù)據(jù)做到通過廣域網(wǎng)專線等途徑做好數(shù)據(jù)的克隆備份,通過以土保護措施可為系統(tǒng)數(shù)據(jù)安全提供雙保險。

三、電子商務(wù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)

電子商務(wù)的網(wǎng)絡(luò)信息安全不僅與技術(shù)有關(guān),更與社會因素、法制環(huán)境等多方面因素有關(guān)。故應(yīng)對電子商務(wù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)劃分如下:

1.電子商務(wù)系統(tǒng)硬件安全。主要是指保護電子商務(wù)系統(tǒng)所涉及計算機硬件的安全性,保證其可靠哇和為系統(tǒng)提供基礎(chǔ)性作用的安全機制。

2.電子商務(wù)系統(tǒng)軟件安全。主要是指保證交易記錄及相關(guān)數(shù)據(jù)不被篡改、破壞與非法復(fù)制,系統(tǒng)軟件安全的目標是使系統(tǒng)中信息的處理和傳輸滿足整個系統(tǒng)安全策略需求。

3.電子商務(wù)系統(tǒng)運行安全。主要指滿足系統(tǒng)能夠可靠、穩(wěn)定、持續(xù)和正常的運行。

4.電子商務(wù)網(wǎng)絡(luò)安全的立法保障。結(jié)合我國實際,借鑒國外先進網(wǎng)絡(luò)信息安全立法、執(zhí)法經(jīng)驗,完善現(xiàn)行的網(wǎng)絡(luò)安全法律體系。

篇8

電子商務(wù)是指以信息網(wǎng)絡(luò)技術(shù)為手段,以商品交換為中心的商務(wù)活動。也可理解為在互聯(lián)網(wǎng)(Internet)、企業(yè)內(nèi)部網(wǎng)(Intranet)和增值網(wǎng)(VAN,Value Added Network)上以電子交易方式進行交易活動和相關(guān)服務(wù)的活動,是傳統(tǒng)商業(yè)活動各環(huán)節(jié)的電子化、網(wǎng)絡(luò)化、信息化。

電子商務(wù)通常是指在全球各地廣泛的商業(yè)貿(mào)易活動中,在因特網(wǎng)開放的網(wǎng)絡(luò)環(huán)境下,基于瀏覽器/服務(wù)器應(yīng)用方式,買賣雙方不謀面地進行各種商貿(mào)活動,實現(xiàn)消費者的網(wǎng)上購物、商戶之間的網(wǎng)上交易和在線電子支付以及各種商務(wù)活動、交易活動、金融活動和相關(guān)的綜合服務(wù)活動的一種新型的商業(yè)運營模式。各國政府、學(xué)者、企業(yè)界人士根據(jù)自己所處的地位和對電子商務(wù)參與的角度和程度的不同,給出了許多不同的定義。電子商務(wù)分為:ABC、B2B、B2C、C2C、B2M、M2C、B2A(即B2G)、C2A(即C2G)、O2O 等。

二、電子商務(wù)環(huán)境下企業(yè)財務(wù)管理現(xiàn)狀

電子商務(wù)的經(jīng)濟環(huán)境是非常復(fù)雜的,基礎(chǔ)要求高,是網(wǎng)絡(luò)化、信息化的企業(yè)經(jīng)濟轉(zhuǎn)型,在這樣的經(jīng)濟環(huán)境下,企業(yè)的老舊財務(wù)管理模式必定不能適應(yīng)企業(yè)的現(xiàn)代化發(fā)展。

(一)財務(wù)管理軟件配套設(shè)施不完善

企業(yè)實現(xiàn)了網(wǎng)絡(luò)化,信息化,其財務(wù)管理也必須走上網(wǎng)絡(luò)化、信息化的道路,電子商務(wù)環(huán)境下,企業(yè)的財務(wù)管理技術(shù)需要作出對應(yīng)的變化。當(dāng)前的企業(yè)財務(wù)管理模式缺乏對網(wǎng)絡(luò)技術(shù)的運用,其財務(wù)管理技術(shù)過于陳舊,還是側(cè)重于通過會計的財務(wù)報表了解公司財務(wù)狀況,這樣的管理面方式不僅效率低,而且容易出錯,財務(wù)信息更新緩慢,不便于管理者及時了解公司財務(wù)狀況。

(二)國家相關(guān)法律制度有漏洞

由于電子商務(wù)的開展時間還比較段,盡管國家制定了一些相關(guān)的法律制度,但是任然趕不上一些不法分子尋找法律漏洞的速度。在法律方面國家對網(wǎng)絡(luò)侵權(quán),網(wǎng)絡(luò)經(jīng)濟犯罪等行為沒有進行細致的劃分,導(dǎo)致很多被害企業(yè)找不到相關(guān)的法律法規(guī)來維護自己的權(quán)益;另一方面,對網(wǎng)絡(luò)犯罪的界定不明確,這使得那些網(wǎng)絡(luò)犯罪分子得不到應(yīng)有的懲罰,繼續(xù)危害市場經(jīng)濟,企業(yè)的財務(wù)管理部門就很難根據(jù)公司的發(fā)展確定管理方式。

(三)電子商務(wù)背景下的財務(wù)管理存在技術(shù)漏洞

隨著電子商務(wù)的崛起,很多企業(yè)也引進了相關(guān)的網(wǎng)絡(luò)技術(shù)用于企業(yè)財務(wù)管理,但這些網(wǎng)絡(luò)技術(shù)發(fā)展還不夠成熟,存在很多的技術(shù)缺陷,諸如木馬、黑客之類的很輕松就可以進入企業(yè)的財務(wù)管理系統(tǒng),利用網(wǎng)絡(luò)手段轉(zhuǎn)移企業(yè)的資金,在網(wǎng)絡(luò)技術(shù)發(fā)達的年代,電子商務(wù)環(huán)境下的企業(yè)財務(wù)管理容易發(fā)生數(shù)據(jù)篡改、數(shù)據(jù)丟失、資金被盜等風(fēng)險,企業(yè)的財務(wù)安全管理有待提高。

(四)企業(yè)財務(wù)管理工作路程不能適應(yīng)電子商務(wù)的發(fā)展

電子商務(wù)要求企業(yè)的財務(wù)管理工作流程更加簡潔、快速,必須要實現(xiàn)企業(yè)財務(wù)管理高效化。如今的企業(yè)財務(wù)流程過于繁瑣,一本賬目的確認要經(jīng)過多人蓋章簽字最終才能遞送到領(lǐng)導(dǎo)面前。

三、電子商務(wù)環(huán)境下企業(yè)財務(wù)管理的應(yīng)對策略

(一)構(gòu)建網(wǎng)絡(luò)化財務(wù)管理體系

從電子商務(wù)的特征來看,他要求企業(yè)的財務(wù)管理必須要實現(xiàn)網(wǎng)絡(luò)化管理。要實現(xiàn)企業(yè)網(wǎng)絡(luò)化財務(wù)管理,前提就是要引進相關(guān)的網(wǎng)絡(luò)財務(wù)軟件,公司應(yīng)該根據(jù)自己的業(yè)務(wù)范圍和職能需求,選取財務(wù)軟件;然后逐步縮減財務(wù)管理流程,裁剪掉一些財務(wù)人員;實現(xiàn)資金交易網(wǎng)絡(luò)化,節(jié)約交易和財務(wù)管理成本。

(二)增進網(wǎng)絡(luò)財務(wù)安全管理,建立財務(wù)監(jiān)管網(wǎng)絡(luò)系統(tǒng)

電子商務(wù)背景下,企業(yè)財務(wù)信息安全管理出現(xiàn)了很多的破綻,為了應(yīng)對此問題,我們必須做好財務(wù)網(wǎng)絡(luò)監(jiān)管準備,加強對財務(wù)網(wǎng)絡(luò)系統(tǒng)的維護,使用合法正規(guī)的財務(wù)軟件,不斷的更新電腦安全管理軟件,對財務(wù)系統(tǒng)實施嚴格的信息加密;規(guī)范財務(wù)網(wǎng)絡(luò)管理流程,建立嚴格的網(wǎng)絡(luò)財務(wù)操作流程,在財務(wù)信息的編輯、處理、存檔、傳輸方面一定要時刻嚴防病毒和黑客的入侵,加強工作的保密性,重要信息要求原盤備份,細化財務(wù)系統(tǒng)的操作權(quán)限,推行管理責(zé)任制,限制權(quán)利使用。

(三)國家要完善相關(guān)政策,以保障電子商務(wù)的權(quán)益

國家相關(guān)部門要根據(jù)市場經(jīng)濟實際需求,完善相關(guān)法律法規(guī),制定相關(guān)的網(wǎng)絡(luò)知識產(chǎn)權(quán)、網(wǎng)絡(luò)技術(shù)產(chǎn)權(quán)保護法,確保電子交易的公平。嚴厲懲罰網(wǎng)絡(luò)犯罪人員,建立獨立的網(wǎng)絡(luò)警察系統(tǒng),成立專項整治部門,整頓電子交易環(huán)境,加強國家在網(wǎng)絡(luò)監(jiān)管這一塊的技術(shù)力量,嚴防不法分子入侵公安網(wǎng)絡(luò)系統(tǒng)。

(四)企業(yè)內(nèi)部要加強財務(wù)人員的網(wǎng)絡(luò)財務(wù)管理素質(zhì)

引進了先進的財務(wù)網(wǎng)絡(luò)管理系統(tǒng)就必須要有會操作系統(tǒng)的人員,必須要求能夠管理系統(tǒng)安全的人員。企業(yè)第一部要加強財務(wù)人員的網(wǎng)絡(luò)基礎(chǔ)培訓(xùn),要求每一位財務(wù)人員熟練的掌握計算機系統(tǒng)的操作技巧;其次聘請相關(guān)的財務(wù)監(jiān)管網(wǎng)絡(luò)系統(tǒng)人才,提高網(wǎng)絡(luò)財務(wù)管理安全性,確保每企業(yè)的財務(wù)信息安全和資金安全;最后,一切的人員素質(zhì)都要在招聘時嚴格把關(guān),業(yè)務(wù)技術(shù)不高的人不能用,職業(yè)道德低的不能用。

篇9

30分鐘過去了,Jason還是找不到到底發(fā)生了什么安全事件導(dǎo)致網(wǎng)站被黑;黑客是怎么進來的?以前是我黑別人(游戲),今天怎么被別人黑了?Jason心里想。

原來Jason在進入到馬來西亞AAA銀行之前,曾經(jīng)是一個黑客,Jason對黑客攻擊和防守技術(shù)十分熟悉,并且能夠進行入侵,占領(lǐng)主機,獲得控制權(quán),遠程指揮作戰(zhàn)。

“Jason!快看一下我們的銀行電子商務(wù)網(wǎng)站,出什么問題了!”,聽到馬來西亞AAA銀行IT部總經(jīng)理Tom的電話,Jason馬上登陸銀行的電子商務(wù)網(wǎng)站,發(fā)現(xiàn)一個獰笑的骷髏正對著自己,心里感覺到不妙:網(wǎng)站真的被黑了!

雖然在黑客界很有名氣,但是大學(xué)畢業(yè)1年,靠寫一些文章和安全工具小軟件給一些安全雜志與報紙,Jason很難維持生活。

正好馬來西亞AAA銀行招聘銀行網(wǎng)絡(luò)安全管理員,考慮自己的興趣和愛好,Jason選擇了銀行的網(wǎng)絡(luò)安全管理員職位。

當(dāng)時馬來西亞各家媒體、網(wǎng)站都在宣傳電子商務(wù),那時就聽說了中國的阿里巴巴、易趣、淘寶網(wǎng)、當(dāng)當(dāng)書店等電子商務(wù)網(wǎng)站,Jason對電子商務(wù)網(wǎng)站十分著迷,夢想著有一天自己也可以象中國的馬云、邵亦波一樣通過網(wǎng)站把馬來西亞很多質(zhì)量好價格低的產(chǎn)品遠銷國際。

Jason憑借自己的實力很順利進入到了馬來西亞AAA銀行,到了銀行工作之后,Jason很快就進入了角色,經(jīng)過對銀行內(nèi)部的考察發(fā)現(xiàn)了很多網(wǎng)絡(luò)信息安全問題。

Jason發(fā)現(xiàn)好多問題需要求助于專業(yè)的安全公司,于是就打電話給e-COP公司,e-COP公司派來專業(yè)安全顧問Brian,對內(nèi)部網(wǎng)絡(luò)進行安全評估,發(fā)現(xiàn)銀行電子商務(wù)網(wǎng)絡(luò)有很多安全問題:

?數(shù)據(jù)分散,并且量極大

由于馬來西亞AAA銀行購買“最佳品牌”產(chǎn)品,這些安全產(chǎn)品(防火墻、入侵檢測、防病毒等)通常從不同廠家購得,每個產(chǎn)品都有自己的信息日志和控制臺,目前各種安全設(shè)備缺乏統(tǒng)一管理平臺,只能通過這些安全產(chǎn)品各自的控制臺去查看事件,窗口繁多,而且所有的事件都是孤立的,不同設(shè)備之間的事件缺乏關(guān)聯(lián),分析起來極為麻煩;無法弄清楚真實的狀況。

?安全管理人員必須具備很高的技巧,了解各廠商的各種安全設(shè)備

不同廠家的設(shè)備對同一個事件的描述可能是不同的,這意味著馬來西亞AAA銀行安全管理人員必須分析各種不同格式的信息,才有可能進行管理,這導(dǎo)致安全管理人員的工作非常繁重,大量的時間用于一些價值不大的任務(wù)上。

?無法做到快速識別和響應(yīng)

對于網(wǎng)絡(luò)安全人員來說,海量信息不但無法幫助找出真正的問題,反而因為太多而造成無法管理,并且不同廠商所制造的軟硬件可能送出不同的信息格式,使得在網(wǎng)絡(luò)安全威脅的鎖定上,變得難上加難,原本的安全系統(tǒng)反而成為管理上的負擔(dān)。

?運維關(guān)鍵

以往的安全管理運維工作都是基于資產(chǎn)的運維,但是安全卻是基于安全事件的運維。企業(yè)每出現(xiàn)一個安全問題就需要進行一次大范圍的維護,比如出現(xiàn)病毒問題。這使得安全的運維工作不同于以往的運維工作習(xí)慣,造成運維工作效率低下,并且難以規(guī)劃。

Brian還提出了安全建議:在馬來西亞AAA銀行部署的Cyclops企業(yè)安全管理系統(tǒng)(CESM)能夠?qū)︺y行所有不同IT安全產(chǎn)品和相關(guān)設(shè)備發(fā)出的事件進行采集、格式化和智能關(guān)聯(lián),具有嚴密的處理層次和流程。CESM能夠為安全專業(yè)人員提供可管理的安全信息,如事件趨勢分析,攻擊處理對策和日志分析取證。

在馬來西亞AAA銀行的實際應(yīng)用中,CESM提供如下的管理過程和事件處理過程:

?原始告警的數(shù)據(jù)歸并

CESM首先歸并來自安全設(shè)備的所有安全數(shù)據(jù),這些安全設(shè)備包括防火墻、網(wǎng)絡(luò)IDS,主機IDS,安全應(yīng)用程序和服務(wù)器的日志等。

?數(shù)據(jù)正規(guī)化

為分析安全事件,“技術(shù)規(guī)范解碼器”將原始數(shù)據(jù)處理成有意義的有用信息。通過這個過程,將原始數(shù)據(jù)轉(zhuǎn)化為TIF(Transportable-Incident-Format)格式。

?數(shù)據(jù)挖掘和關(guān)聯(lián)

CESM 以其獨特的數(shù)據(jù)挖掘和關(guān)聯(lián)技術(shù)能力,實現(xiàn)三級推理的邏輯信息處理流程。這種能力可以減少虛假告警,增加對攻擊的實時檢測能力。通過自動事件關(guān)聯(lián)和基于經(jīng)驗的自學(xué)習(xí),從大量安全設(shè)備產(chǎn)生的入侵模式將被立即比較和觀測。

?經(jīng)過專家建議和分析的統(tǒng)一處理

提供易用的界面,同時處理CESM安全控制臺產(chǎn)生的多個安全事件。通過這種統(tǒng)一的處理方法有效地分析所有的安全事件。

?實時的防范措施

一旦發(fā)現(xiàn)來自外部或內(nèi)部的攻擊企圖發(fā)生,立即采取防范措施,在信息損失前抵御入侵。

Jason馬上向IT部總經(jīng)理Tom匯報Brian對網(wǎng)絡(luò)安全的分析,并且請Brian進行現(xiàn)場演示,Tom感覺非常不錯,但是Tom還是認為,馬來西亞AAA銀行已經(jīng)有了最好品牌的防火墻、入侵檢測、防病毒等安全產(chǎn)品,安全管理平臺應(yīng)該沒有必要上了,于是此項目就此擱淺。

Jason從回憶中回到了現(xiàn)實:現(xiàn)在需要解決網(wǎng)站被黑問題,怎么辦???

Jason馬上打電話給Tom,匯報現(xiàn)在一時之間看不出到底發(fā)生了什么事情,需要e-COP公司協(xié)助完成,Tom馬上答應(yīng)。

30分鐘后,Brian到達現(xiàn)場,在銀行內(nèi)部部署了一套安全管理平臺,然后對各種產(chǎn)品的日志進行分析。

Brian通過一個統(tǒng)一平臺看到了防火墻、入侵檢測、防病毒等事件信息,通過設(shè)備的關(guān)聯(lián),很快確定了黑客攻擊路徑,原來黑客通過了兩層防火墻,然后到內(nèi)部一臺剛買回來的主機上,利用這臺主機作為跳板,攻擊了網(wǎng)站服務(wù)器。

Brian馬上建議對剛買回來的主機進行加固,然后修改里外兩層防火墻策略,重新?lián)Q上了網(wǎng)站的頁面,解決安全問題。

這時,Tom也出現(xiàn)在了Jason和Brian面前,連聲稱謝,表示:

“說得對,現(xiàn)在已不是單兵作戰(zhàn)的年代,而是團隊作戰(zhàn),整體作戰(zhàn),需要整體協(xié)調(diào)才能夠減少經(jīng)濟損失,希望你們的產(chǎn)品能夠在此使用?!?/p>

過了一個月后,Jason又發(fā)現(xiàn)銀行電子商務(wù)網(wǎng)絡(luò)的一些安全問題,于是銀行又購買了一套CESM產(chǎn)品。

采用CESM安全事件管理系統(tǒng)做為安全管理平臺,參考e-COP多年的安全事件處理流程經(jīng)驗SOP,銀行建立起了標準的內(nèi)部安全事件處理體系,如圖所示。

馬來西亞AAA銀行通過安全事件處理體系,相關(guān)安全管理人員從海量事件中解脫出來,只關(guān)心少量的最為緊迫、最為關(guān)鍵的事件信息。并且,安全事件處理體系的成果為后續(xù)整體安全策略的規(guī)劃和調(diào)優(yōu)提供了有力的依據(jù)。

篇10

關(guān)鍵詞:電子商務(wù) 信息安全

計算機網(wǎng)絡(luò)安全與商務(wù)交易安全實際上是密不可分的,兩者相輔相成,缺一不可。針對計算機網(wǎng)絡(luò)的安全,常用的保護措施有防火墻技術(shù)、網(wǎng)絡(luò)入侵檢測技術(shù)、網(wǎng)絡(luò)防毒技術(shù)等。交易信息的安全是可以用數(shù)據(jù)加密、數(shù)字簽名、數(shù)字證書、ssl、set安全協(xié)議等技術(shù)來保護。下面就防火墻技術(shù)、數(shù)字加密技術(shù)、身份驗證技術(shù)等進行介紹。

1,防火墻技術(shù)

目前的防火墻主要有兩種類型。其一是包過濾型防火墻。它一般由路由器實現(xiàn),故也被稱為包過濾路由器。其二是應(yīng)用級防火墻。大多數(shù)的應(yīng)用級防火墻產(chǎn)品使用的是應(yīng)用機制,內(nèi)置了應(yīng)用程序,可用服務(wù)器作內(nèi)部網(wǎng)和Internet之間的的轉(zhuǎn)換。

防火墻就是在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng),用來保障計算機網(wǎng)絡(luò)的安全,它是一種控制技術(shù),既可以是一種軟件產(chǎn)品,又可以制作或嵌入到某種硬件產(chǎn)品中。從邏輯上講,防火墻是起分隔、限制、分析的作用。實際上,防火墻是加強Intranet《內(nèi)部網(wǎng))之間安全防御的一個或一組系統(tǒng),它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。所有來自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過防火墻。這樣,防火墻就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統(tǒng)間進行信息交換等安全的作用。防火墻是網(wǎng)絡(luò)安全策略的有機組成部分,它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理。從總體上看,防火墻應(yīng)該具有以下五大基本功能:(1)過濾進、出網(wǎng)絡(luò)的數(shù)據(jù):(2)管理進、出網(wǎng)絡(luò)的訪問行為:(3)封堵某些禁止行為:(4)記錄通過防火墻的信息內(nèi)容和活動:(5J對網(wǎng)絡(luò)攻擊進行檢測和告警。

防火墻雖然能對外部網(wǎng)絡(luò)的功擊實施有效的防護,但對來自內(nèi)部網(wǎng)絡(luò)的功擊卻無能為力。網(wǎng)絡(luò)安全單靠防火墻是不夠的,還需考慮其它技術(shù)和非技術(shù)的因素。

2,反病毒技術(shù)

反病毒技術(shù)包括與防病毒、檢測病毒和消毒三個環(huán)節(jié),反病毒必須做到“以預(yù)防為主“,正所謂”防患于未然”,等病毒出現(xiàn)了再去清除,可能已經(jīng)給用戶造成了巨大的損失。

3,數(shù)據(jù)加密技術(shù)

加密技術(shù)是保證電子商務(wù)中采用的主要安全措施,交易雙方可根據(jù)需要在信息交換階段使用。加密技術(shù)的主要問題是加密方式及實現(xiàn)加密的網(wǎng)絡(luò)協(xié)議層和密鑰的分配及管理。在一個加密過程中有兩個基本元素:算法和密鑰。加密過程就是根據(jù)一定的算法,將可理解的數(shù)據(jù)(明文}與一串?dāng)?shù)字(密鑰)相結(jié)合,從而產(chǎn)生不可理解的密文的過程,主要加密技術(shù)是:

(1)常規(guī)密鑰密碼加密。所謂常規(guī)密鑰密碼加密,即加密密鑰與解密密鑰是相同的。在早期的常規(guī)密鑰密碼體制中,典型的有代替密碼,其原理可以用一個例子來說明:字母A,B,C,D,…,W,X,Y,Z的自然順序保持不變,但使之與D,E,F(xiàn),G,…,Z,A,B,C分別對應(yīng)(即相差3個字符)。若明文為WELL則對應(yīng)的密文為ZH00(此時密鑰為3)。但存在幾個問題:第一,不能保證也無法知道密鑰在傳輸中的安全。若密鑰泄漏,黑客可用它解密信息,也可假冒一方做壞事。第二,假設(shè)每對交易方用不同的密鑰,N對交易方需要N’(N一1),2個密鑰,難于管理。第三,不能鑒別數(shù)據(jù)的完整性。

(2)對稱密文加密。對稱密鑰加密又稱為秘密密鑰加密,即收發(fā)雙方采用相同的密鑰來進行加密和解密。對稱密鑰加密的最大優(yōu)點是加解密速度快,適合于進行大量數(shù)據(jù)加密,但也存在密鑰管理、困難以及無法進行身份鑒別的缺點。

(3)非對稱密鑰加密。非對稱密鑰加密也稱為公開密鑰加密,每個用戶有一對密鑰:一個用于加密,一個用于解密,兩把密鑰實際上是兩個很大的質(zhì)數(shù)。其中,加密密鑰(公鑰)可以在網(wǎng)絡(luò)服務(wù)器、報刊等場合公開,而解密密鑰(私鑰)則屬用戶的私有密鑰,由公開的加密密鑰導(dǎo)出私有的解密密鑰在技術(shù)上是不可實現(xiàn)的。與對稱密鑰加密相比,采用非對稱密鑰加密方式密鑰管理較方便,且保密性比較強,但加解密實現(xiàn)速度比較慢,不適用于通信負荷較重的應(yīng)用。

具體加密傳輸過程如下:

a發(fā)送方甲用接收方乙的公鑰加密自己的私鑰。

b發(fā)送方家用自己的私鑰加密文件,然后將加密后的私鑰和文件傳輸給接收方。

c接收方乙用自己的私鑰解密,得到甲的私鑰。

d接收方乙用甲的公鑰解密,得到明文。

在密鑰的加密過程中,由于發(fā)送方甲用乙的公鑰加密了自己的私鑰,如果文件被竊取,由于只有乙保管自己的私鑰,黑客無法解密。這就保證了信息的機密性。另外,發(fā)送方甲用自己的私鑰加密信息,因為信息是用甲的私鑰加密,只有甲保管它,可以認定信息是甲發(fā)出的,而且沒有甲的私鑰不能修改數(shù)據(jù)。

4,身份驗證技術(shù)

僅有加密技術(shù)不足以保證電子商務(wù)中的交易安全,身份認證技術(shù)是保證電子商務(wù)安全不可缺少的又一重要技術(shù)手段。

(1)認證系統(tǒng)。網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書。數(shù)字證書類似于現(xiàn)實生活中的身份證,用于在網(wǎng)絡(luò)上鑒別個人或組織的真實身份。數(shù)字證書的頒發(fā)機構(gòu)叫做Certificate Authority,通常簡稱為CA。要建立安全的電子商務(wù)系統(tǒng),首先必須建立一個穩(wěn)固、健全的CA,否則,一切網(wǎng)上的交易都沒有安全保障。

(2)SSL協(xié)議。SSL協(xié)議{Secure Socket Layer,安全套接層)主要目的是解決TCP/IP協(xié)議不能確認用戶身份的問題,在Socket上使用非對稱的加密技術(shù),以保證網(wǎng)絡(luò)通信服務(wù)的安全性。SSL協(xié)議易于實現(xiàn)。SSL協(xié)議還是最值得信賴的協(xié)議。但是由于SSL協(xié)議當(dāng)初并不是為支持電子商務(wù)而設(shè)計的,所以在電子商務(wù)系統(tǒng)的應(yīng)用中還存在很多弊端,在涉及多方的電子交易中,只能提供交易中客戶與服務(wù)器間的雙方認證,而電子商務(wù)往往是用戶、網(wǎng)站、銀行三家協(xié)作完成,SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。

(3)SET協(xié)議。SET(Secure EIectronic Transaction)安全電子交易協(xié)議是用于Internet上的以信用卡為基礎(chǔ)的電子支付系統(tǒng)協(xié)議。主要應(yīng)用于B/C模式中保障支付信息的安全性。SET協(xié)議提供對消費者、商戶和銀行的認證,協(xié)議本身比較復(fù)雜,設(shè)計比較嚴格,安全性高,確保電子交易的機密性、數(shù)據(jù)完整性、身份的合法性和抗否認性,特別是保證了不會將持卡人的信用卡號泄露給商戶。其核心技術(shù)主要有公開密匙加密、電子數(shù)字簽名、電子信封、電子安全證書等。

5,電子商務(wù)系統(tǒng)的安全管理制度

電子商務(wù)系統(tǒng)的安全管理制度尤為重要,它是用文字形式對各項安全要求所作的規(guī)定,它是保證網(wǎng)絡(luò)營銷取得成功的重要基礎(chǔ)工作,是網(wǎng)絡(luò)交易人員應(yīng)該而且必須遵守的規(guī)范和準則。任何電子商務(wù)系統(tǒng)都要制定一套完整、適用于自身的安全管理制度,這些制度應(yīng)該包括人員管理制度、保密制度、系統(tǒng)維護制度、數(shù)據(jù)備份制度、應(yīng)急措施和病毒防治制度等。