電子商務(wù)的安全策略

　　電子商務(wù)的安全策略

　　歡迎各位電子商務(wù)的同學(xué)閱讀電子商務(wù)的安全策略，希望對大家有幫助!

　　[摘 要] 如何確保電子商務(wù)可靠、可信賴的運(yùn)轉(zhuǎn)，安全問題理所當(dāng)然地提升為有待完善與改進(jìn)的重要問題之一。

　　[關(guān)鍵詞] 電子商務(wù) 安全 對策

　　隨著Internet和IT技術(shù)的迅猛發(fā)展，電子商務(wù)因其自身獨(dú)有的特點(diǎn)與優(yōu)勢,逐漸成為進(jìn)行商務(wù)活動(dòng)的新模式,在人們的生活中也占據(jù)著日益重要的地位,但其安全問題也變得越來越突出。

　　如何建立一個(gè)安全、快捷、便利的電子商務(wù)應(yīng)用環(huán)境,對信息在網(wǎng)絡(luò)上的傳輸提供足夠的保護(hù),已成為商家和用戶都非常關(guān)心的話題。

　　一、電子商務(wù)的定義

　　電子商務(wù)(E-business)是利用當(dāng)前先進(jìn)的電子技術(shù)從事各種商業(yè)活動(dòng)的方式，其實(shí)質(zhì)是一套完整的網(wǎng)絡(luò)商務(wù)經(jīng)營及管理信息系統(tǒng)。

　　更具體地說，它是利用計(jì)算機(jī)硬/軟件設(shè)備和網(wǎng)絡(luò)基礎(chǔ)設(shè)施，通過一定協(xié)議連接起來的電子網(wǎng)絡(luò)環(huán)境進(jìn)行各種商務(wù)活動(dòng)的方式。

　　比如：網(wǎng)上銀行、網(wǎng)上營銷、網(wǎng)上客戶服務(wù)、網(wǎng)上調(diào)查等。

　　二、電子商務(wù)的基本特征

　　1.電子商務(wù)將傳統(tǒng)的商務(wù)流程電子化、數(shù)字化，減少了人力、物力，降低了成本，具有開放性和全球性的特點(diǎn)，為企業(yè)創(chuàng)造了更多的貿(mào)易機(jī)會(huì)。

　　2.電子商務(wù)重新定義了傳統(tǒng)的流通模式，減少了中間環(huán)節(jié)，使生產(chǎn)者和消費(fèi)者不用謀面的網(wǎng)上交易成為可能，從而在一定程度上改變了社會(huì)經(jīng)濟(jì)運(yùn)行的方式、經(jīng)濟(jì)布局和結(jié)構(gòu)。

　　3.電子商務(wù)一方面突破了時(shí)間和空間的限制，另一方面又提供了豐富的信息資源，為各種社會(huì)經(jīng)濟(jì)要素的重新組合提供了更多的可能，使得交易活動(dòng)可以在任何時(shí)間、任何地點(diǎn)進(jìn)行，從而大幅度提高了效率。

　　可見，電子商務(wù)的一個(gè)重要技術(shù)特征是利用網(wǎng)絡(luò)技術(shù)和IT技術(shù)來傳輸和處理商業(yè)信息的。

　　就整個(gè)系統(tǒng)而言，其安全性可以分為四個(gè)層次。

　　(1)網(wǎng)絡(luò)節(jié)點(diǎn)的安全性。

　　(2)通訊的安全性。

　　(3)應(yīng)用程序的安全性。

　　(4)用戶的認(rèn)證管理。

　　三、網(wǎng)絡(luò)節(jié)點(diǎn)的安全性

　　1.防火墻的概念。

　　在構(gòu)建安全網(wǎng)絡(luò)環(huán)境的過程中，防火墻作為第一道安全防線，受到越來越多用戶的關(guān)注與青睞。

　　防火墻是一個(gè)系統(tǒng)，主要用來執(zhí)行Internet(外部網(wǎng))和Intranet(內(nèi)聯(lián)網(wǎng))之間的訪問控制策略。

　　它可為各類企業(yè)網(wǎng)絡(luò)提供必要的訪問控制，又不造成網(wǎng)絡(luò)的瓶頸，并通過安全策略控制進(jìn)出系統(tǒng)的數(shù)據(jù)，保護(hù)企業(yè)資源。

　　2.防火墻安全策略。

　　防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)不被竊取和破壞，并記錄內(nèi)外通信的有關(guān)狀態(tài)信息日志，如通信發(fā)生的時(shí)間和進(jìn)行的操作等。

　　新一代的防火墻甚至可以阻止內(nèi)部人員將敏感數(shù)據(jù)向外傳輸。

　　設(shè)置了防火墻后，可以對網(wǎng)絡(luò)數(shù)據(jù)的流動(dòng)實(shí)現(xiàn)有效的管理：如允許公司員工使用電子郵件、Web瀏覽以及文件傳輸?shù)确��?wù)，但不允許外界隨意訪問公司內(nèi)部的計(jì)算機(jī)，同樣還可以限制公司中不同部門之間的互相訪問。

　　可見，防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備組合，它還是安全策略的一個(gè)重要組成部分，其安全策略建立了全方位的防御體系來保護(hù)機(jī)構(gòu)的信息資源，這種安全策略應(yīng)包括：規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護(hù)措施及管理制度等。

　　所有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣的安全級(jí)別加以保護(hù)。

　　僅設(shè)置防火墻系統(tǒng)，而沒有全面、細(xì)致的安全策略，那么防火墻就形同虛設(shè)。

　　3.安全操作系統(tǒng)。

　　安全的操作系統(tǒng)至少要有以下特征：(1)最小特權(quán)原則,即每個(gè)特權(quán)用戶只擁有能進(jìn)行其工作的權(quán)力。

　　(2)強(qiáng)制訪問控制，包括保密性訪問控制和完整性訪問控制。

　　(3)安全審計(jì)和審計(jì)管理。

　　(4)安全域隔離。

　　其次，防火墻是基于操作系統(tǒng)的，如果信息通過操作系統(tǒng)的后門繞過防火墻進(jìn)入內(nèi)部網(wǎng)，則防火墻就不起作用了。

　　可見，安全是一個(gè)系統(tǒng)工程，操作系統(tǒng)安全只是其中的一個(gè)層次，還需要各個(gè)環(huán)節(jié)的配合，安全操作系統(tǒng)應(yīng)該與各種安全軟、硬件結(jié)合起來(如防火墻、殺毒軟件、加密產(chǎn)品等)，才能讓電子商務(wù)得到更廣泛的應(yīng)用，確保系統(tǒng)信息的安全達(dá)到最佳狀態(tài)。

　　四、網(wǎng)絡(luò)通信的安全性

　　1.數(shù)據(jù)通信的安全。

　　電子商務(wù)系統(tǒng)的數(shù)據(jù)通信主要存在于：(1)客戶瀏覽器端與電子商務(wù)WEB服務(wù)器端的通訊。

　　(2)電子商務(wù)WEB服務(wù)器與電子商務(wù)數(shù)據(jù)庫服務(wù)器的通訊。

　　2.通信鏈路的安全。

　　在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL(Secure Electronic Transaction,安全電子交易)協(xié)議建立安全鏈接，所需傳遞的重要信息都是經(jīng)過加密的，這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。

　　為在瀏覽器和服務(wù)器之間建立安全機(jī)制，SSL首先要求服務(wù)器向?yàn)g覽器出示它的證書，證書包括一個(gè)公鑰，由證書授權(quán)機(jī)構(gòu)(CA中心)簽發(fā)。

　　瀏覽器要驗(yàn)征服務(wù)器證書的正確性，必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰(PKI)。

　　單純的建立SSL鏈接時(shí)，客戶只需用戶下載該站點(diǎn)的服務(wù)器證書。

　　若驗(yàn)證此證書是合法的服務(wù)器證書，再利用該證書對稱加密算法(RSA)與服務(wù)器協(xié)商一個(gè)對稱算法及密鑰，然后用此對稱算法加密將要傳輸?shù)拿魑�，此時(shí)瀏覽器也會(huì)出現(xiàn)進(jìn)入安全狀態(tài)的提示。

　　五、應(yīng)用程序的安全性

　　即使正確地配置了訪問控制規(guī)則，要滿足計(jì)算機(jī)系統(tǒng)的安全性，這些工作還是不充分的，因?yàn)榫幊体e(cuò)誤也可能導(dǎo)致對系統(tǒng)的破壞與攻擊。

　　程序錯(cuò)誤的常見形式：程序員忘記檢查傳送到程序的入口參數(shù);程序員在處理字符串的內(nèi)存緩沖時(shí)，忘記檢查邊界條件。

　　整個(gè)程序都是在特權(quán)模式下運(yùn)行，而不是只有有限的指令子集在特權(quán)模式下運(yùn)行，其他的部分只有縮小的許可。

　　程序員從這個(gè)特權(quán)程序使用范圍內(nèi)建立一個(gè)資源，如一個(gè)文件和目錄，但不是顯式的設(shè)置訪問控制(最少許可)。

　　若程序員認(rèn)為這個(gè)缺省的許可是正確的，則這些缺點(diǎn)就可能被用到攻擊系統(tǒng)的行為中，不正確地輸入?yún)��?shù)被用來騙特權(quán)程序做一些它本來不應(yīng)該做的事情。

　　緩沖溢出攻擊就是通過給特權(quán)程序輸入一個(gè)過長的字符串來實(shí)現(xiàn)的，程序不檢查輸入字符串長度。

　　輸入假字符串常常是可執(zhí)行的命令，特權(quán)程序可以執(zhí)行指令。

　　六、用戶的認(rèn)證管理

　　1.身份認(rèn)證。

　　開展電子商務(wù)的關(guān)鍵核心技術(shù)是保密存儲(chǔ)與取出。

　　電子商務(wù)企業(yè)用戶身份認(rèn)證可以通過服務(wù)器CA證書與IC卡相結(jié)合來實(shí)現(xiàn)。

　　CA證書用來認(rèn)證服務(wù)器的身份，IC卡用來認(rèn)證企業(yè)用戶的身份。

　　個(gè)人用戶由于沒有提供交易功能，所以只采用ID號(hào)和密碼口令的身份確認(rèn)機(jī)制。

　　由于指紋具有惟一性，目前，指紋認(rèn)證與網(wǎng)絡(luò)傳輸便廣泛的應(yīng)用于銀行專用網(wǎng)、企業(yè)營銷網(wǎng)等各種商貿(mào)網(wǎng)絡(luò)，使電子商務(wù)具有更現(xiàn)實(shí)的可操作性。

　　2.CA證書。

　　CA(Certificate Authority，即“認(rèn)證機(jī)構(gòu)”)，是證書的簽發(fā)機(jī)構(gòu)，它是PKI(Public Key Infrastructure，即“公開密鑰體系”)的核心。

　　它要制定政策和具體步驟來驗(yàn)證、識(shí)別用戶身份，并對用戶證書進(jìn)行簽名，以確保證書持有者的身份和公鑰的擁有權(quán)。

　　要在網(wǎng)上確認(rèn)交易各方的身份及保證交易的不可否認(rèn)性，便需要CA證書進(jìn)行驗(yàn)證。

　　證書分為服務(wù)器證書和個(gè)人證書。

　　建立SSL安全鏈接不需要一定有個(gè)人證書，驗(yàn)證個(gè)人證書是為了驗(yàn)證來訪者的合法身份。

　　CA也擁有一個(gè)證書(內(nèi)含公鑰)和私鑰。

　　網(wǎng)上的公眾用戶通過驗(yàn)證CA的簽字從而信任CA，任何人都可以得到CA的證書(含公鑰)，用以驗(yàn)證它所簽發(fā)的證書。

　　如果用戶想得到一份屬于自己的證書，應(yīng)先向CA提出申請。

　　在CA判明申請者的身份后，便為其分配一個(gè)公鑰，并且CA將該公鑰與申請者的身份信息綁在一起，為之簽字后，便形成證書發(fā)給申請者。

　　如果一個(gè)用戶想鑒別另一個(gè)證書的真?zhèn)�，可用CA的公鑰對那個(gè)證書上的簽字進(jìn)行驗(yàn)證，一旦驗(yàn)證通過，該證書就被認(rèn)為是有效的。

　　七、建立安全管理機(jī)制

　　為了確保系統(tǒng)的安全性，除了采用上述技術(shù)手段外，還必須建立嚴(yán)格的內(nèi)部安全機(jī)制。

　　對于所有接觸系統(tǒng)的人員，應(yīng)按其職責(zé)設(shè)定其訪問系統(tǒng)的最小權(quán)限。

　　按照分級(jí)管理原則，嚴(yán)格管理內(nèi)部用戶賬號(hào)和密碼，進(jìn)入系統(tǒng)內(nèi)部必須通過嚴(yán)格的身份確認(rèn)，防止非法占用、冒用合法用戶賬號(hào)和密碼。

　　建立網(wǎng)絡(luò)安全維護(hù)日志，記錄與安全性相關(guān)的信息及事件，有情況出現(xiàn)時(shí)便于跟蹤查詢。

　　定期檢查日志，以便及時(shí)發(fā)現(xiàn)潛在的安全威脅。

　　對重要數(shù)據(jù)要及時(shí)進(jìn)行備份。

　　對數(shù)據(jù)庫中存放的數(shù)據(jù)，數(shù)據(jù)庫系統(tǒng)應(yīng)根據(jù)其重要性提供不同級(jí)別的數(shù)據(jù)加密。

　　安全管理實(shí)際上是一種風(fēng)險(xiǎn)管理，任何措施都不能保證百分之百的安全。

　　但安全技術(shù)的采用可降低系統(tǒng)遭到破壞、攻擊的風(fēng)險(xiǎn)，決定采用什么安全策略取決于系統(tǒng)的風(fēng)險(xiǎn)要控制在什么程度范圍內(nèi)。

　　隨著全球經(jīng)濟(jì)一體化進(jìn)程的加快，尤其是Internet技術(shù)、IT技術(shù)的迅猛發(fā)展及廣泛應(yīng)用，我們的社會(huì)也已融入到電子商務(wù)時(shí)代的氣息當(dāng)中，這是一個(gè)“以客戶為中心”的時(shí)代，企業(yè)的市場營銷及貿(mào)易往來都必須圍繞這個(gè)中心來進(jìn)行。

　　只有保證電子商務(wù)各個(gè)環(huán)節(jié)、各個(gè)方面的安全性與穩(wěn)定性，才能為其正常運(yùn)作提供有力的保證，才能為其自身迎來更廣闊的前景。

　　參考文獻(xiàn)：

　　[1]陳景艷:電子商務(wù)技術(shù)基礎(chǔ)[M].電子工業(yè)出版社,2003.9

　　[2]勞幗齡:電子商務(wù)的安全技術(shù)[M].中國水利水電出版社,2005.9

【電子商務(wù)的安全策略】相關(guān)文章：

探析電子商務(wù)安全策略原則技術(shù)研究10-05

農(nóng)產(chǎn)品電子商務(wù)安全策略研究論文10-09

網(wǎng)絡(luò)與信息安全策略10-05

網(wǎng)絡(luò)環(huán)境下電子商務(wù)安全策略的研究經(jīng)濟(jì)管理論文10-12

商務(wù)公司的信息安全策略10-05

高校教務(wù)檔案信息安全策略10-05

校園網(wǎng)信息安全策略10-05

無線局域網(wǎng)安全策略10-06

檔案信息安全策略研究論文10-11

數(shù)據(jù)庫系統(tǒng)安全策略10-05