“小火车不会飞”通过精心收集,向本站投稿了6篇电子商务的安全策略,下面给大家分享电子商务的安全策略,欢迎阅读!
篇1:电子商务安全策略探讨
电子商务安全策略探讨
摘要:[摘要]本文总结了我国电子商务发展及其信息安全的现状,在详细分析了电子商务信息安全的主要威胁因素的基础上,具体探讨了电子商务安全的技术保障机制。
[关键词]电子商务,信息安全,网络安全,交易安全,技术保障
电子商务是利用互联网络进行的商务活动。电子商务有多种定义,但内涵大致相同,即电子商务是利用电子数据交换、电子邮件、电子资金转账等方式及互联网的主要技术在个人、企业和国家之间进行的网上广告及交易活动,内容包括商品及其订购信息、资金及其支付信息、安全及其认证信息等方面。信息安全是指利用网络管理控制和技术措施,防止网络本身及网上传输的信息财产被故意的或偶然的非授权泄漏、更改、破坏,或使网上传输的信息被非法系统辨认、控制。电子商务信息安全的具体表现有:窃取商业机密;泄漏商业机密;篡改交易信息,破坏信息的真实性和完整性;接收或发送虚假信息,破坏交易、盗取交易成果;伪造交易信息;非法删除交易信息;交易信息丢失;病毒破坏;黑客入侵等。随着互联网的快速扩张和电子商务的迅猛发展,电子商务系统的安全性已受到计算机病毒、网络黑客、计算机系统自身防御性脆弱等方面的严峻挑战。
一、我国电子商务发展及其信息安全现状
我国电子商务始于20上世纪90年代,政府主导相继实施的“金桥”、“金卡”、“金关”、“金税”工程大大加快了我国电子商务的发展步伐。目前,我国电子商务的广度和深度空前扩展,已经深入国民经济和日常生活的各个方面。艾瑞市场咨询公司最新的调查数据显示:截至底,中国网络购物市场总用户数达到4310万人,B2C和C2C总交易额分别为82亿元和230亿元。然而,据中国互联网络信息中心(CNNIC)的一份最新调研显示,只有约15%的网民平时有网上购物的习惯,而不选择网络购物的原因主要由于对网站不信任、怕受骗,担心商品质量问题和售后服务,质疑其安全性等。
电子商务自从诞生之日起,安全问题就像幽灵一样如影随形而至,成为制约其进一步发展的重要瓶颈。电子商务系统的安全是与计算机安全尤其是计算机网络安全密切相关的,综合当前电子商务所面临的网络安全现状不容乐观。公安部公布了20全国信息网络安全调查结果,结果显示,半数以上的被调查单位发生过信息网络安全事件,病毒或木马程序感染率达84%,目前,全国已有8成左右的单位安装了防火墙和病毒查杀系统。对数据统计分析,5月至年5月间,有54%的被调查单位发生过信息网络安全事件,其中,感染计算机病毒、蠕虫和木马程序为84%,遭到端口扫描或网络攻击的'占36%,垃圾邮件占35%。未修补和防范软件漏洞仍然是导致安全事件发生的最突出原因,占发生安全事件总数的73%。
二、电子商务安全威胁的主要方面
电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此,从整体而言,电子商务安全有计算机网络安全和商务交易安全两个方面。计算机网络安全是商务交易安全的基础;商务交易安全是电子商务安全的主要内容。
计算机网络安全的内容主要包括:计算机网络设备安全、计算机网络系统安全。网络设备安全是指保护计算机主机硬件和物理线路的安全,保证其自身的可靠性和为系统提供基本安全前提;设备安全风险来自硬件器件与部件失效、老化、损害,自然雷击、静电、电磁场干扰等多方面,有人为因素还有自然灾害所引起的故障。例如,2006年12月26日,我国台湾附近海域发生强烈地震,造成中美海缆等6条国际海底通信光缆发生中断,使附近国家和地区的国际和地区性通信受到严重影响,给有关企业和个人造成巨大影响和严重经济损失。网络系统安全是指保护用户计算机、网络服务器等网络资源上的软件系统能正常工作,网络通信及其网络操作能安全、正常完成。网络系统安全风险来自系统的结构设计缺陷、网络安全配置缺陷、系统存在的安全漏洞、恶意的网络攻击和病毒侵入等多方面。网络系统安全是计算机网络安全的主要方面。计算机网络安全的特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。
商务交易安全是指商务活动在公开网络上进行时的安全,其实质是在计算机网络安全的基础上,保障商务过程顺利进行,即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性,核心内容是电子商务信息的安全。一般情况下,我们可以把电子商务安全归结为电子商务信息的安全。目前,电子商务主要存在的安全威胁有:
1.身份仿冒
攻击者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份与他人进行交易,进行信息欺诈与信息破坏,从而获得非法利益。主要表现有:冒充他人身份、冒充他人消费、栽赃、冒充主机欺骗合法主机及合法用户、使用欺诈邮件和虚假网页设计设骗。近年来随着电子商务、网上结算、网上银行等业务在日常生活中的普及,网络仿冒已经成为电子商务应用的主要威胁之一。
2.未经授权的访问
未经授权而不能接入系统的人通过一定手段对认证性进行攻击,假冒合法人接入系统,实现对文件进行篡改、窃取机密信息、非法使用资源等。一般采取伪装或利用系统的薄弱环节(如绕过检测控制)、收集情报(如口令)等方式实现。
3.服务拒绝
攻击者使合法接入的信息、业务或其他资源受阻。主要表现为散布虚假资讯,扰乱正常的资讯通道。包括:虚开网站和商店、伪造用户,对特定计算机大规模访问等,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应。
4.恶意程序侵入
任何系统都可能是有漏洞的,漏洞的存在给恶意程序侵入提供了可乘之机。恶意程序是所有含有特殊目的、非法进入计算机系统、并待机运行,能给系统或者网络带来严重干扰和破坏的程序的总称。一般可以分为独立运行类(细菌和蠕虫)和需要宿主类(病毒和特洛依木马)。恶意程序是网络安全的重要天敌,具有防不胜防的重大破坏性。例如:网络蠕虫是一种可以不断复制自己并在网络中传播的程序,蠕虫的不断蜕变并在网络上的传播,可能导致网络阻塞,致使网络瘫痪,使各种基于网络的电子商务等应用系统失效。
5.交易抵赖和修改
有些用户企图对自己在网络上发出的有效交易信息刻意抵赖,安全的电子商务系统应该有措施避免交易抵赖。为保证交易双方的商业利益、维护交易的严肃和公正,电子商务的交易文件也应该是不可修改的。
6.其他安全威胁
电子商务安全威胁种类繁多、来自各种可能的潜在方面,有蓄意而为的,也有无意造成的,例如电子交易衍生了一系列法律问题:网络交易纠纷的仲裁、网络交易契约等问题,急需为电子商务提供法律保障。还有诸如非法使用、操作人员不慎泄露信息、媒体废弃物导致泄露信息等均可构成不同程度后果的威胁。
三、电子商务安全的技术保障机制
电子商务安全包括网络安全和交易安全。因此,电子商务安全技术主要有计算机网络安全技术和商务交易安全技术两方面的保障机制。
1.计算机网络安全技术
网络安全技术伴随着网络的诞生就出现,如今已出现了日新月异的变化。VPN安全隧道、防火墙和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。目前,主要的网络安全保障技术有:
(1)VPN安全隧道,VPN即虚拟专用网(VirtualPrivateNetwork),是一条穿过混乱的公用网络的安全、稳定的隧道。VPN架构中采用了多种安全机制,可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
(2)防火墙技术,防火墙是企业内部网络和外网之间的一套安全屏障。防火墙能根据企业的安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
(3)病毒防护和入侵检测技术,病毒防护技术可降低病毒和恶意代码攻击风险,并防止有害软件通过服务器或网络执行和传播。入侵检测系统则能够帮助网络系统快速发现攻击的发生,扩展系统管理员的安全管理能力,从而提高信息安全基础结构的完整性。
2.商务交易安全技术
商务交易安全是为了实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。它是电子商务交易过程中最核心和最关键的安全问题。目前,主要的商务交易安全保障技术有:
(1)数据加密技术,加密一般是利用密码算法把可懂的信息变成不可懂的信息。利用各种复杂的加密算法,通过对网络中传输的信息进行数据加密,用很小的代价即可为信息提供相当大的安全保护。
(2)数字签名技术,数字签名是通过密码算法对数据进行加、解密变换实现的。应用广泛的数字签名方法主要有三种,即:RSA签名、DSS签名和Hash签名。这三种算法可单独使用,也可综合在一起使用。在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中,都要用到数字签名技术。
(3)安全协议技术,使用SET和SSI等安全协议能有效地保障交易安全。SET即安全电子交易(SecureElectronicTransaction)的简称,SET提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,已成为目前公认的信用卡/借记卡的网上交易的国际安全标准。SSL即安全套接层(SecureSocketsLayer)协议的简称,主要用于提高应用程序之间数据的安全系数。
四、结束语
电子商务的安全威胁既有来自恶意攻击、防范疏漏,还可能来自管理松散、操作疏忽等方面。因此,保障电子商务安全是一项综合工程。除了主要从技术上提高防范和保障机制外,还需要单位完善网络系统管理体制,人员加强信息安全意识。另外,电子商务实践要求有透明、和谐的交易秩序和环境保障,为此还需要政府建立和完善相应的法律体系。
篇2:电子商务的安全策略
电子商务的安全策略
关键词:
电子商务在功能上要求实现实时帐户信息查询。这就使电子商务系统必须在物理上与生产系统要有连接,这对于电子商务系统的安全性提出了更高的要求,必须保证外部网络(INTERNET)用户不能对生产系统构成威胁。为此,需要全方位地制定系统的安全策略。
就整个系统而言,安全性可以分为四个层次,如图1所示:
1.网络节点的安全
2.通讯的安全性
3.应用程序的安全性
4.用户的认证管理
图1:安全性四个层次结构
其中2、3、4层是通过操作系统和Web服务器软件实现,网络节点的安全性依靠防火墙保证,我们应该首先保证网络节点的安全性。
一、网络节点的安全
1.防火墙
防火墙是在连接Internet和Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。
2.防火墙安全策略
应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。3.安全操作系统防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网,则防火墙失效。所以,要保证防火墙发挥作用,必须保证操作系统的安全。只有在安全操作系统的基础上,才能充分发挥防火墙的功能。在条件许可的情况下,应考虑将防火墙单独安装在硬件设备上。
二、通讯的安全
1.数据通讯
通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全,一定程度上取决于加密的算法和加密的强度。电子商务系统的数据通信主要存在于:
(1)客户浏览器端与电子商务WEB服务器端的通讯;
(2)电子商务WEB服务器与电子商务数据库服务器的通讯;
(3)银行内部网与业务网之间的数据通讯。其中(3)不在本系统的安全策略范围内考虑。
2.安全链路
在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的4O位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的`基础公共密钥(PKI)。建立SSL链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。
三、应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。
四、用户的认证管理
1.身份认证
电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。
2.CA证书
要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。
五、安全管理
为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。
对于所有接触系统的人员,按其职责设定其访问系统的最小权限。
按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。
建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。定期检查日志,以便及时发现潜在的安全威胁。
对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。
安全实际上就是一种风险管理。任何技术手段都不能保证1OO%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。
篇3:电子商务的安全策略
欢迎各位电子商务的同学阅读电子商务的安全策略,希望对大家有帮助!
[摘 要]如何确保电子商务可靠、可信赖的运转,安全问题理所当然地提升为有待完善与改进的重要问题之一。
篇4:电子商务的安全策略
随着Internet和IT技术的迅猛发展,电子商务因其自身独有的特点与优势,逐渐成为进行商务活动的新模式,在人们的生活中也占据着日益重要的地位,但其安全问题也变得越来越突出。
如何建立一个安全、快捷、便利的电子商务应用环境,对信息在网络上的传输提供足够的保护,已成为商家和用户都非常关心的话题。
一、电子商务的定义
电子商务(E-business)是利用当前先进的电子技术从事各种商业活动的方式,其实质是一套完整的网络商务经营及管理信息系统。
更具体地说,它是利用计算机硬/软件设备和网络基础设施,通过一定协议连接起来的电子网络环境进行各种商务活动的方式。
比如:网上银行、网上营销、网上客户服务、网上调查等。
二、电子商务的基本特征
1.电子商务将传统的商务流程电子化、数字化,减少了人力、物力,降低了成本,具有开放性和全球性的特点,为企业创造了更多的贸易机会。
2.电子商务重新定义了传统的流通模式,减少了中间环节,使生产者和消费者不用谋面的网上交易成为可能,从而在一定程度上改变了社会经济运行的方式、经济布局和结构。
3.电子商务一方面突破了时间和空间的限制,另一方面又提供了丰富的信息资源,为各种社会经济要素的重新组合提供了更多的可能,使得交易活动可以在任何时间、任何地点进行,从而大幅度提高了效率。
可见,电子商务的一个重要技术特征是利用网络技术和IT技术来传输和处理商业信息的。
就整个系统而言,其安全性可以分为四个层次。
(1)网络节点的安全性。
(2)通讯的安全性。
(3)应用程序的安全性。
(4)用户的认证管理。
三、网络节点的安全性
1.防火墙的概念。
在构建安全网络环境的过程中,防火墙作为第一道安全防线,受到越来越多用户的关注与青睐。
防火墙是一个系统,主要用来执行Internet(外部网)和Intranet(内联网)之间的访问控制策略。
它可为各类企业网络提供必要的访问控制,又不造成网络的瓶颈,并通过安全策略控制进出系统的数据,保护企业资源。
2.防火墙安全策略。
防火墙保护内部网络的敏感数据不被窃取和破坏,并记录内外通信的有关状态信息日志,如通信发生的时间和进行的操作等。
新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输。
设置了防火墙后,可以对网络数据的流动实现有效的管理:如允许公司员工使用电子邮件、Web浏览以及文件传输等服务,但不允许外界随意访问公司内部的计算机,同样还可以限制公司中不同部门之间的互相访问。
可见,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备组合,它还是安全策略的一个重要组成部分,其安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施及管理制度等。
所有可能受到网络攻击的地方都必须以同样的安全级别加以保护。
仅设置防火墙系统,而没有全面、细致的安全策略,那么防火墙就形同虚设。
3.安全操作系统。
安全的操作系统至少要有以下特征:(1)最小特权原则,即每个特权用户只拥有能进行其工作的权力。
(2)强制访问控制,包括保密性访问控制和完整性访问控制。
(3)安全审计和审计管理。
(4)安全域隔离。
其次,防火墙是基于操作系统的,如果信息通过操作系统的后门绕过防火墙进入内部网,则防火墙就不起作用了。
可见,安全是一个系统工程,操作系统安全只是其中的一个层次,还需要各个环节的配合,安全操作系统应该与各种安全软、硬件结合起来(如防火墙、杀毒软件、加密产品等),才能让电子商务得到更广泛的应用,确保系统信息的安全达到最佳状态。
四、网络通信的安全性
1.数据通信的安全。
电子商务系统的`数据通信主要存在于:(1)客户浏览器端与电子商务WEB服务器端的通讯。
(2)电子商务WEB服务器与电子商务数据库服务器的通讯。
2.通信链路的安全。
在客户端浏览器和电子商务WEB服务器之间采用SSL(Secure Electronic Transaction,安全电子交易)协议建立安全链接,所需传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。
为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由证书授权机构(CA中心)签发。
浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。
单纯的建立SSL链接时,客户只需用户下载该站点的服务器证书。
若验证此证书是合法的服务器证书,再利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密将要传输的明文,此时浏览器也会出现进入安全状态的提示。
五、应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性,这些工作还是不充分的,因为编程错误也可能导致对系统的破坏与攻击。
程序错误的常见形式:程序员忘记检查传送到程序的入口参数;程序员在处理字符串的内存缓冲时,忘记检查边界条件。
整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可。
程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录,但不是显式的设置访问控制(最少许可)。
若程序员认为这个缺省的许可是正确的,则这些缺点就可能被用到攻击系统的行为中,不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。
缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的,程序不检查输入字符串长度。
输入假字符串常常是可执行的命令,特权程序可以执行指令。
六、用户的认证管理
1.身份认证。
开展电子商务的关键核心技术是保密存储与取出。
电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合来实现。
CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。
个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。
由于指纹具有惟一性,目前,指纹认证与网络传输便广泛的应用于银行专用网、企业营销网等各种商贸网络,使电子商务具有更现实的可操作性。
2.CA证书。
CA(Certificate Authority,即“认证机构”),是证书的签发机构,它是PKI(Public Key Infrastructure,即“公开密钥体系”)的核心。
它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。
要在网上确认交易各方的身份及保证交易的不可否认性,便需要CA证书进行验证。
证书分为服务器证书和个人证书。
建立SSL安全链接不需要一定有个人证书,验证个人证书是为了验证来访者的合法身份。
CA也拥有一个证书(内含公钥)和私钥。
网上的公众用户通过验证CA的签字从而信任CA,任何人都可以得到CA的证书(含公钥),用以验证它所签发的证书。
如果用户想得到一份属于自己的证书,应先向CA提出申请。
在CA判明申请者的身份后,便为其分配一个公钥,并且CA将该公钥与申请者的身份信息绑在一起,为之签字后,便形成证书发给申请者。
如果一个用户想鉴别另一个证书的真伪,可用CA的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。
七、建立安全管理机制
为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。
对于所有接触系统的人员,应按其职责设定其访问系统的最小权限。
按照分级管理原则,严格管理内部用户账号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户账号和密码。
建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。
定期检查日志,以便及时发现潜在的安全威胁。
对重要数据要及时进行备份。
对数据库中存放的数据,数据库系统应根据其重要性提供不同级别的数据加密。
安全管理实际上是一种风险管理,任何措施都不能保证百分之百的安全。
但安全技术的采用可降低系统遭到破坏、攻击的风险,决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。
随着全球经济一体化进程的加快,尤其是Internet技术、IT技术的迅猛发展及广泛应用,我们的社会也已融入到电子商务时代的气息当中,这是一个“以客户为中心”的时代,企业的市场营销及贸易往来都必须围绕这个中心来进行。
只有保证电子商务各个环节、各个方面的安全性与稳定性,才能为其正常运作提供有力的保证,才能为其自身迎来更广阔的前景。
参考文献:
[1]陈景艳:电子商务技术基础[M].电子工业出版社,.9
[2]劳帼龄:电子商务的安全技术[M].中国水利水电出版社,.9
篇5:农产品电子商务安全策略研究论文
关键词:电子商务,信息安全,防火墙,权限控制
0 引言
近年来,随着信息技术的发展,各行各业都利用计算机网络和通讯技术开展业务工作。广西百色田阳县农产品批发中心利用现代信息技术建有专门的网站,通过网站实施农产品信息发布、电子支付等商务工作。但是基于互联网的电了商务的安全问题日益突出,并且该问题已经严重制约了农产品电子商务的进一步发展。
篇6:农产品电子商务安全策略研究论文
为了满足电子商务的`安全要求,电子商务系统必须利用安全技术为电子商务活动参与者提供可靠的安全服务,具体可采用的技术如下:
2.1基于多重防范的网络安全策略
1) 防火墙技术
防火墙是由软件系统和硬件系统组成的,在内部网与外部网之间构造保护屏障。所有内外部网之间的连接都必须经过保护屏障,并在此进行检查和连接,只有被授权的信息才能通过此保护屏障,从而使内部网与外部网形成一定的隔离,防止非法入侵、非法盗用系统资源,执行安全管制机制,记录可疑事件等。
防火墙具有很好的保护作用。论文大全,信息安全。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
边界防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。论文大全,信息安全。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。论文大全,信息安全。
2) VPN 技术
VPN 技术也是一项保证网络安全的技术之一,它是指在公共网络中建立一个专用网络,数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,其分支机构就可以相互之间安全的传递信息。同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以进入企业网中。使用VPN 技术可以节省成本、扩展性强、提供远程访问、便于管理和实现全面控制,是当前和今后企业网络发展的趋势。
VPN提供用户一种私人专用(Private)的感觉,因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在Intranet VPN中,要有高强度的加密技术来保护敏感信息;在远程访问VPN中要有对远程用户可*的认证机制。
性能
VPN要发展其性能至少不应该低于传统方法。尽管网络速度不断提高,但在Internet时代,随着电子商务活动的激增,网络拥塞经常发生,这给VPN性能的稳定带来极大的影响。因此VPN解决方案应能够让管理员进行通信控制来确保其性能。通过VPN平台,管理员定义管理政策来激活基于重要性的出入口带宽分配。这样既能确保对数据丢失有严格要求和高优先级应用的性能,又不会“饿死”,低优先级的应用。
管理问题
由于网络设施、应用不断增加,网络用户所需的IP地址数量持续增长,对越来越复杂的网络管理,网络安全处理能力的大小是VPN解决方案好坏的至关紧要的区分。VPN是公司对外的延伸,因此VPN要有一个固定管理方案以减轻管理、报告等方面负担。管理平台要有一个定义安全政策的简单方法,将安全政策进行分布,并管理大量设备。论文大全,信息安全。
2.2基于角色访问的权限控制策略
农产品电子商务系统信息系统含有大量的数据对象,与这些对象有关的用户数量也非常多,所以用户权限管理工作非常重要。
目前权根控制方法很多,我们采用基于RBAC演变的权限制制思路。在RBAC之中,包含用户、角色、目标、操作、许可权五个基本数据元素,权限被赋予角色,而不是用户,当一个角色被指定给一个用户时,此用户就拥有了该角色所包含的权限。角色访问控制策略主要是两方面的工作:
(1)确定角色
根据系统作业流程的任务,并结合实际的操作岗位划分角色。角色分为高级别角色和代级别角色,低级别角色可以为高级别角色的子角色,高级别角色完全继承其子角色的权限。
(2)分配权限策略
根据系统的实际功能结构对系统功能进行编码,系统管理员可以创建、删除角色所具有的权限,以及为角色增加、删除用户。需要注意的是角色被指派给用户后,此时角色不发生冲突,对该角色的权限不能轻易进行修改,以免造成由于修改角色权限从而造成角色发生冲突。论文大全,信息安全。论文大全,信息安全。对用户的权限控制通过功能菜单权限控制或者激活权限控制来具体实现。用户登陆系统时,系统会根据用户的角色的并集,从而得到用户的权限,由权限得到菜单项对该用户的可视属性是true/false,从而得到用户菜单。
2.3基于数据加密的数据安全策略
在农产品商务系统中,数据库系统作为计算机信息系统核心部件,数据库文件作为信息的聚集体,其安全性将是重中之重。
1)数据库加密系统措施
(1)在用户进入系统进行两级安全控制
这种控制可以采用多种方式,包括设置数据库用户名和口令,或者利用IC卡读写器或者指纹识别器进行用户身份认证。
2)防止非法复制
对于服务器来说,可以采用软指纹技术防止非法复制,当然,权限控制、备份/复制和审计控制也是实行的一样。
3)安全的数据抽取方式
提供两种卸出和装入数据库中的加密数据的方式:其一是用密文式卸出,这种卸出方式不解密,卸出的数据还是密文,在这种模式下,可直接使用dbms提供的卸出、装入工具;其二是用明文方式卸出,这种卸出方式需要解密,卸出的数据明文,在这种模式下,可利用系统专用工具先进行数据转换,再使用dbms提供的卸出、装入工具完成。
3结束语
随着信息化技术的快速发展,农产品电子商务创新必须适应新的变化,必须充分考虑信息安全因素与利用信息安全技术,这样才能实现农产品电子商务业务快速增长,本文所述的安全策略,对当前实施电子商务有一定效果的,是值得推介应用的。
参考文献:
[1]卢华玲.电子商务安全技术研究[J].重庆工学院学报(自然科学版),2007,(12):71-73.
[2]唐文龙.基于角色访问控制在农产品电子商务系统中的应用[j]. 大众科技.34-35
[3]张立克.电子商务及其安全保障技术[J].水利电力机械,2007,29(2):69-74.
