導(dǎo)語(yǔ):在電子商務(wù)安全對(duì)策的撰寫(xiě)旅程中,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑��,好期刊匯集了九篇優(yōu)秀范文��,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感��,引領(lǐng)您探索更多的創(chuàng)作可能。
第1篇
[關(guān)鍵詞] 計(jì)算機(jī)網(wǎng)絡(luò) 互聯(lián)網(wǎng) 電子商務(wù) 安全 保護(hù)
一���、安全的重要性以及存在的安全問(wèn)題及其原因
計(jì)算機(jī)網(wǎng)絡(luò)之所以存在著脆弱性�����,主要是由于技術(shù)本身存在著安全弱點(diǎn)���、系統(tǒng)的安全性差���、缺乏安全性實(shí)踐等��。此外,信息安全處在初期發(fā)展階段�����,缺少網(wǎng)絡(luò)環(huán)境下用于產(chǎn)品評(píng)價(jià)的安全性準(zhǔn)則和評(píng)價(jià)工具。系統(tǒng)管理人員的安全意識(shí)和安全管理培訓(xùn)等也相對(duì)缺乏�����。在系統(tǒng)安全受到威脅時(shí)���,缺少應(yīng)有的完整的安全管理方法��、步驟和安全對(duì)策�����,如事故通報(bào)�����、風(fēng)險(xiǎn)評(píng)估��、改正安全缺陷、評(píng)估損失�����、相應(yīng)的補(bǔ)救恢復(fù)措施等。
根據(jù)攻擊能力的組織結(jié)構(gòu)程度和使用的手段�����,可以將威脅歸納為四種基本類(lèi)型:無(wú)組織結(jié)構(gòu)的內(nèi)部和外部威脅與有組織結(jié)構(gòu)的內(nèi)部和外部威脅���。一般來(lái)講���,對(duì)外部威脅,安全性強(qiáng)調(diào)防御�����;對(duì)內(nèi)部威脅���,安全性強(qiáng)調(diào)威懾���。
1.病毒。病毒是由一些不正直的程序員所編寫(xiě)的計(jì)算機(jī)程序�����,它采用了獨(dú)特的設(shè)計(jì)��,可以在受到某個(gè)事件觸發(fā)時(shí),復(fù)制自身���,并感染計(jì)算機(jī)���。如果在病毒可以通過(guò)某個(gè)外界來(lái)源進(jìn)入網(wǎng)絡(luò)時(shí)(大多數(shù)是通過(guò)某個(gè)受到感染的磁盤(pán)或者某個(gè)從互聯(lián)網(wǎng)上下載的文件),網(wǎng)絡(luò)才會(huì)感染病毒��。當(dāng)網(wǎng)絡(luò)上的一臺(tái)計(jì)算機(jī)被感染時(shí)��,網(wǎng)絡(luò)上的其他計(jì)算機(jī)就非常有可能感染到這種病毒��。2.特洛伊木馬程序��。特洛伊木馬程序�����,是破壞性代碼的傳輸工具�����。特洛伊表面上看起來(lái)是無(wú)害的或者有用的軟件程序�����,例如計(jì)算機(jī)游戲��,但是它們實(shí)際上是偽裝的敵人���。特洛伊可以刪除數(shù)據(jù)���,將自身的副本發(fā)送給電子郵件地址簿中的收件人,以及開(kāi)啟計(jì)算機(jī)進(jìn)行其他攻擊�����。只有通過(guò)磁盤(pán)���,從互聯(lián)網(wǎng)上下載文件�����,或者打開(kāi)某個(gè)電子郵件附件���,將特洛伊木馬程序復(fù)制到一個(gè)系統(tǒng),才可能感染特洛伊���。無(wú)論是特洛伊還是病毒并不能通過(guò)電子郵件本身傳播――它們只可能通過(guò)電子郵件附件傳播�����。3.惡意破壞程序���。網(wǎng)站會(huì)提供一些軟件應(yīng)用(例如ActiveX和Java Applet)的開(kāi)發(fā)而變得更加活潑���。這些應(yīng)用可以實(shí)現(xiàn)動(dòng)畫(huà)和其他一些特殊效果,從而使網(wǎng)站更具有吸引力和互動(dòng)性�����。但是���,由于這些應(yīng)用非常便于下載和運(yùn)行��,從而提供了一種造成損害的新工具�����。惡意破壞程序是指會(huì)導(dǎo)致不同程度破壞的軟件應(yīng)用或者Java小程序�����。一個(gè)惡意破壞程序可能只會(huì)損壞一個(gè)文件���,也可能損壞大部分計(jì)算機(jī)系統(tǒng)�����。4.攻擊。目前已經(jīng)出現(xiàn)了各種類(lèi)型的網(wǎng)絡(luò)攻擊�����,它們通常被分為三類(lèi):探測(cè)式攻擊���,訪問(wèn)攻擊和拒絕服務(wù)(DoS)攻擊��。(1)探測(cè)式攻擊實(shí)際上是信息采集活動(dòng)��,黑客們通過(guò)這種攻擊搜集網(wǎng)絡(luò)數(shù)據(jù)���,用于以后進(jìn)一步攻擊網(wǎng)。(2)訪問(wèn)攻擊用于發(fā)現(xiàn)身份認(rèn)證服務(wù)���、文件傳輸協(xié)議(FTP)功能等網(wǎng)絡(luò)領(lǐng)域的漏洞���,以訪問(wèn)電子郵件賬號(hào)�����、數(shù)據(jù)庫(kù)和其他保密信息��。(3)DoS攻擊可以防止用戶對(duì)于部分或者全部計(jì)算機(jī)系統(tǒng)的訪問(wèn)��。它們的實(shí)現(xiàn)方法通常是:向某個(gè)連接到企業(yè)網(wǎng)絡(luò)或者互聯(lián)網(wǎng)的設(shè)備發(fā)送大量的雜亂的或者無(wú)法控制的數(shù)據(jù)�����,從而讓正常的訪問(wèn)無(wú)法到達(dá)該主機(jī)��。更惡毒的是分布式拒絕服務(wù)攻擊(DDoS)���,在這種攻擊中攻擊者將會(huì)危及到多個(gè)設(shè)備或者主機(jī)的安全。5.數(shù)據(jù)阻截���。通過(guò)任何類(lèi)型的網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸都可能會(huì)被未經(jīng)授權(quán)的一方截取���。犯罪分子可能會(huì)竊聽(tīng)通信信息,甚至更改被傳輸?shù)臄?shù)據(jù)分組�����。犯罪分子可以利用不同的方法來(lái)阻截?cái)?shù)據(jù)。6.社會(huì)活動(dòng)�����。社會(huì)活動(dòng)是一種越來(lái)越流行的通過(guò)非技術(shù)手段獲取保密的網(wǎng)絡(luò)安全信息的手段��。7.垃圾信件���。垃圾信件被廣泛用于表示那些主動(dòng)發(fā)出的電子郵件或者利用電子郵件廣為發(fā)送未經(jīng)申請(qǐng)的廣告信息的行為。垃圾信件通常是無(wú)害的��,但是它可能會(huì)浪費(fèi)接收者的時(shí)間和存儲(chǔ)空間���,帶來(lái)很多麻煩�����。
二���、技術(shù)保障策略
1.加密。加密方法多種多樣���,在網(wǎng)絡(luò)信息中一般是利用信息變換規(guī)則把明文的信息變成密文的信息��。既可對(duì)傳輸信息加密���,也可對(duì)存儲(chǔ)信息加密��,把計(jì)算機(jī)數(shù)據(jù)變成一堆亂七八糟的數(shù)據(jù)��,攻擊者即使得到經(jīng)過(guò)加密的信息��,也不過(guò)是一串毫無(wú)意義的字符��。加密可以有效地對(duì)抗截收��、非法訪問(wèn)等威脅��。2.數(shù)字簽名��。數(shù)字簽名機(jī)制提供了一種鑒別方法��,以解決偽造��、抵賴�����、冒充和篡改等安全問(wèn)題��。數(shù)字簽名采用一種數(shù)據(jù)交換協(xié)議���,使得收發(fā)數(shù)據(jù)的雙方能夠滿足兩個(gè)條件:接受方能夠鑒別發(fā)送方宣稱的身份�����;發(fā)送方以后不能否認(rèn)他發(fā)送過(guò)數(shù)據(jù)這一事實(shí)���。數(shù)據(jù)簽名一般采用不對(duì)稱加密技術(shù),發(fā)送方對(duì)整個(gè)明文進(jìn)行加密變換���,得到一個(gè)值,將其作為簽名�����。接收者使用發(fā)送者的公開(kāi)密鑰對(duì)簽名進(jìn)行解密運(yùn)算���,如其結(jié)果為明文�����,則簽名有效�����,證明對(duì)方身份是真實(shí)的���。3.鑒別���。鑒別的目的是驗(yàn)明用戶或信息的正身。對(duì)實(shí)體聲稱的身份進(jìn)行惟一識(shí)別��,以便驗(yàn)證其訪問(wèn)請(qǐng)求���,或保證信息來(lái)源以驗(yàn)證消息的完整性���,有效地對(duì)抗冒充、非法訪問(wèn)���、重演等威脅�����。按照鑒別對(duì)象的不同��,鑒別技術(shù)可以分為消息鑒別和通信雙方相互鑒別���;按照鑒別內(nèi)容不同��,鑒別技術(shù)可以分為用戶身份鑒別和消息內(nèi)容鑒別�����。鑒別的方法很多:利用鑒別碼驗(yàn)證消息的完整性�����;利用通行字�����、密鑰、訪問(wèn)控制機(jī)制等鑒別用戶身份���,防止冒充��、非法訪問(wèn)�����;當(dāng)今最佳的鑒別方法是數(shù)字簽名���。4.訪問(wèn)控制��。訪問(wèn)控制的目的是防止非法訪問(wèn)��。訪問(wèn)控制是采取各種措施保證系統(tǒng)資源不被非法訪問(wèn)和使用�����。一般采用基于資源的集中式控制��、基于資源和目的地址的過(guò)濾管理以及網(wǎng)絡(luò)簽證等技術(shù)來(lái)實(shí)現(xiàn)�����。5.防火墻��。防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)�����,越來(lái)越多地應(yīng)用于專(zhuān)用網(wǎng)絡(luò)與公共網(wǎng)絡(luò)的互聯(lián)環(huán)境中�����。大型網(wǎng)絡(luò)系統(tǒng)與Internet互聯(lián)的第一道屏障就是防火墻�����。防火墻通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理���,其基本功能為:過(guò)濾進(jìn)���、出網(wǎng)絡(luò)的數(shù)據(jù);管理進(jìn)�����、出網(wǎng)絡(luò)的訪問(wèn)行為�����;封堵某些禁止行為���;記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng);對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警��。
總之���,隨著時(shí)間的推移��,越來(lái)越多的新技術(shù)將用于進(jìn)一步地提高業(yè)務(wù)和通信的效率�����。如果企業(yè)始終站在這種新型技術(shù)的前列���,并能夠防御最新的安全威脅和攻擊�����,網(wǎng)絡(luò)所帶來(lái)的好處必然將遠(yuǎn)遠(yuǎn)超過(guò)它所帶來(lái)的風(fēng)險(xiǎn)�����。
參考文獻(xiàn):
第2篇
關(guān)鍵詞:電子商務(wù)�����;信息安全���;風(fēng)險(xiǎn)評(píng)估;對(duì)策
基金項(xiàng)目:鄭州科技學(xué)院大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計(jì)劃項(xiàng)目:電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估關(guān)鍵技術(shù)及應(yīng)用(編號(hào):DCY2019007)
1.引言
電子商務(wù)是以互聯(lián)網(wǎng)為基礎(chǔ),以商城消費(fèi)者產(chǎn)品物流為構(gòu)成要素進(jìn)行的電子商務(wù)活動(dòng)��。當(dāng)電子商務(wù)相關(guān)部門(mén)或人員在進(jìn)行項(xiàng)目開(kāi)發(fā)時(shí)�����,擁有一套信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)可以幫助其采用科學(xué)合理的方法對(duì)潛在威脅進(jìn)行分析并保證經(jīng)濟(jì)系統(tǒng)的安全��。所以將信息安全技術(shù)與現(xiàn)代化新興技術(shù)結(jié)合�����,將為我們打造一個(gè)更加優(yōu)質(zhì)的網(wǎng)絡(luò)環(huán)境���。
2.電子商務(wù)系統(tǒng)中存在的信息安全問(wèn)題及現(xiàn)狀
一般來(lái)說(shuō)�����,電子商務(wù)的信息安全是指在電子商務(wù)交易的過(guò)程中雙方使用各種技術(shù)和法律手段等確保交易不會(huì)因?yàn)橐馔?��,惡意或者披露這些不利要求而受到損害的信息安全。在21世紀(jì)初葉�����,我國(guó)金融系統(tǒng)中的計(jì)算機(jī)犯罪率一直在不斷地增加,我國(guó)金融網(wǎng)絡(luò)信息安全形勢(shì)非常嚴(yán)峻��,需要加強(qiáng)改善�����。下面就電子商務(wù)網(wǎng)絡(luò)中的信息安全問(wèn)題做一個(gè)簡(jiǎn)要介紹��,主要涉及以下幾個(gè)方面:
(1)由于編寫(xiě)的電子商務(wù)系統(tǒng)軟件可以使用不同的形式�����,因此在實(shí)際應(yīng)用過(guò)程中難以避免的會(huì)留下安全漏洞���。例如,網(wǎng)絡(luò)操作系統(tǒng)本身會(huì)存在一些安全問(wèn)題���,例如非法訪問(wèn)I/0��,這些不完全的調(diào)解和混亂的訪問(wèn)控制會(huì)造成數(shù)據(jù)庫(kù)安全漏洞��,而這些漏洞嚴(yán)重影響了電子商務(wù)系統(tǒng)的信息安全性.特別是在設(shè)開(kāi)始設(shè)計(jì)之前就沒(méi)有考慮TCP/IP通信協(xié)議的安全性�����,這一切都表明當(dāng)前的電子商務(wù)系統(tǒng)網(wǎng)絡(luò)軟件中有一些可以避免或不可避免的安全漏洞��。此外信息共享處理帶來(lái)也存在風(fēng)險(xiǎn)��。在信息的傳遞過(guò)程中���,需要不斷地對(duì)信息源進(jìn)行加工和重現(xiàn)��,截取有用信息��,不可避免會(huì)出現(xiàn)信息轉(zhuǎn)化方面的風(fēng)險(xiǎn)�����。尤其是在當(dāng)下“社交+商務(wù)”的模式下�����,一條消息可能瞬間在社交網(wǎng)站上轉(zhuǎn)載數(shù)萬(wàn)次或者更多���,一旦在信息轉(zhuǎn)載中出現(xiàn)誤差,影響非常大�����,風(fēng)險(xiǎn)應(yīng)當(dāng)給予重視。
(2)隨著網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用���,計(jì)算機(jī)病毒帶來(lái)的問(wèn)題越來(lái)越廣泛��,壓縮文件��,電子郵件已經(jīng)成為計(jì)算機(jī)病毒傳播的主要途徑���,因?yàn)檫@些病毒的種類(lèi)非常多樣化,破壞性極強(qiáng)���,使得計(jì)算機(jī)病毒的傳播速度大大加快了�����。近年來(lái)���,新病毒種類(lèi)的數(shù)量迅速增加,互聯(lián)網(wǎng)為這些病毒的傳播提供了良好的媒介���。這些病毒可以通過(guò)網(wǎng)絡(luò)大量傳播任何粗心大意都會(huì)造成無(wú)法彌補(bǔ)的經(jīng)濟(jì)損失���。此外還有信息傳遞過(guò)程所帶來(lái)的風(fēng)險(xiǎn)��。信息是一種重要的資源��,良好的流動(dòng)性能實(shí)現(xiàn)信息價(jià)值的最大化��,但是在信息的傳遞過(guò)程中需要經(jīng)過(guò)許多路徑���,而在這過(guò)程中往往存在一些不安全因素,給信息安全帶來(lái)一定的風(fēng)險(xiǎn)��。
(3)當(dāng)前的黑客攻擊�����,除了計(jì)算機(jī)病毒的傳播外��,黑容的惡意行為也越來(lái)越猖狂��。特洛伊木馬使黑容可以使用計(jì)算機(jī)病毒從而變得更加有目的性��,使得計(jì)算機(jī)記錄的登錄信息被特洛伊木馬程序惡意篡改��,導(dǎo)致很多重要信息���、文件���,甚至是金錢(qián)被盜�����。
(4)由人為因素造成的電子商務(wù)公司的安全問(wèn)題���,大部分保密工作是通過(guò)員工的操作來(lái)進(jìn)行的,這就需要員工具有很好的保密性�����,責(zé)任心和責(zé)任感等道德素質(zhì)���。如果員工的責(zé)任心不強(qiáng),態(tài)度不正確�����,就容易被別人利用��,讓無(wú)關(guān)人員隨意進(jìn)出房間或向他人泄露機(jī)密信息��,可以讓罪犯廢除重要信息���。如果工作人員缺乏良好的職業(yè)道德��,可能會(huì)非法超出授權(quán)范圍更改或刪除他人的信息��,而且還可以利用所學(xué)專(zhuān)業(yè)知識(shí)和工作位置來(lái)竊取用戶密碼和標(biāo)識(shí)符���,進(jìn)行非法出售�����。
3.電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估存在的問(wèn)題
經(jīng)過(guò)大量的數(shù)據(jù)收集與分析不難發(fā)現(xiàn)對(duì)信息安全風(fēng)險(xiǎn)評(píng)估是當(dāng)前科研工作中噬待解決的問(wèn)題���。目前,國(guó)內(nèi)也有一些關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估的研究和應(yīng)用���,但是這些研究都只是簡(jiǎn)單的分析�����,包括常用的具有風(fēng)險(xiǎn)的風(fēng)險(xiǎn)評(píng)估工具��。評(píng)估矩陣��,問(wèn)卷��,風(fēng)險(xiǎn)評(píng)估矩陣與問(wèn)卷方法��,專(zhuān)家系統(tǒng)相結(jié)合���。對(duì)于更深層次的探究還需進(jìn)一步努力�����。此外�����,網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估方法常用定量因子分析方法,時(shí)間序列模型���,決策樹(shù)方法和回歸模型進(jìn)行���。風(fēng)險(xiǎn)評(píng)估方法,定性分析主要包括邏輯分析���,Delphi方法���,因子分析方法�����,歷史比較方法等�����。其中���,定量和定性評(píng)估方法相結(jié)合,是由模糊層次分析法��,基于D-S證據(jù)理論等的評(píng)估方法組成��。同時(shí)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估還存在一定問(wèn)題��,例如隨著網(wǎng)絡(luò)的發(fā)展���,我國(guó)從開(kāi)始的2G邁向4G現(xiàn)在又率先進(jìn)入5G時(shí)代���。其中也出現(xiàn)了各種問(wèn)題,網(wǎng)民數(shù)量的增加需要迫切提高他們對(duì)信息安全的警惕意識(shí)�����。
3.1欠缺對(duì)電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估的認(rèn)識(shí)
當(dāng)前,許多相關(guān)人員對(duì)電子商務(wù)信息系統(tǒng)面臨著巨大的挑戰(zhàn)的現(xiàn)狀并未有足夠的意識(shí)��,缺少信息安全風(fēng)險(xiǎn)評(píng)估經(jīng)驗(yàn)�����。因此他們沒(méi)有重視信息安全風(fēng)險(xiǎn)評(píng)估的重要性���,其原因如下�����。第一�����,公司或單位的風(fēng)險(xiǎn)評(píng)估尚未通過(guò)標(biāo)準(zhǔn)檢驗(yàn),培訓(xùn)標(biāo)準(zhǔn)���,信息安全風(fēng)險(xiǎn)評(píng)估工作的研究尚未得到系統(tǒng)的相關(guān)理論�����,方法和技術(shù)工具���,這是由于一些信息安全評(píng)估工作相關(guān)領(lǐng)導(dǎo)層和工作人員對(duì)信息評(píng)估風(fēng)險(xiǎn)評(píng)估的重要性的認(rèn)識(shí)不足�����,因此自然而然不將此類(lèi)風(fēng)險(xiǎn)評(píng)估工作包括在當(dāng)前的信息安全系統(tǒng)框架中���。第二,盡管有許多部門(mén)將信息安全工作置于地位重要���,但受到人力���、物力,財(cái)力等方面的限制��,社會(huì)制度的制約�����,政策法規(guī)的欠缺使得信息安全系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作無(wú)法得到應(yīng)有的重視��。
3.2缺乏信息安全風(fēng)險(xiǎn)評(píng)估方面的專(zhuān)業(yè)技術(shù)人才
首先�����,信息安全風(fēng)險(xiǎn)評(píng)估的技術(shù)內(nèi)容要求非常高,它要求員工具有很高的技術(shù)水平�����,現(xiàn)在很多公司都將通用信息用作風(fēng)險(xiǎn)評(píng)估技術(shù)人員�����。其次�����,信息安全風(fēng)險(xiǎn)評(píng)估是一項(xiàng)集綜合性���,專(zhuān)業(yè)性于一體的工作�����,不僅涉及公司的所有業(yè)務(wù)信息��,也涉及人力,物力和財(cái)力的方方面面�����,因此需要各部門(mén)之間相互配合,現(xiàn)在大多數(shù)公司僅依靠信息部門(mén)��,獨(dú)立的參與信息安全風(fēng)險(xiǎn)評(píng)估毫無(wú)爭(zhēng)議他們要想完成信息安全風(fēng)險(xiǎn)評(píng)估工作是非常艱難的�����。綜上所述��,培養(yǎng)信息安全風(fēng)險(xiǎn)評(píng)估專(zhuān)業(yè)技術(shù)人員是今后信息技術(shù)方面發(fā)展的方向�����。
3.3風(fēng)險(xiǎn)評(píng)估工具相對(duì)缺乏
當(dāng)前���,除專(zhuān)家系統(tǒng)外�����,其他分析工具相對(duì)來(lái)說(shuō)都比較簡(jiǎn)易��,除此之外還缺乏實(shí)用的理論基礎(chǔ)��。此外��,這種信息風(fēng)險(xiǎn)評(píng)估工具在應(yīng)用中的發(fā)展呈現(xiàn)的現(xiàn)狀�����。表明國(guó)內(nèi)和外部失衡�����,在中國(guó)相對(duì)落后�����?�?梢?jiàn)解決信息安全問(wèn)題的關(guān)鍵在于有成熟的風(fēng)險(xiǎn)評(píng)估工具���。
4.防范電子商務(wù)信息安全及風(fēng)險(xiǎn)的建議
4.1增強(qiáng)電子商務(wù)信息安全和風(fēng)險(xiǎn)評(píng)估的意識(shí)
大多數(shù)信息的傳輸和處理�����,與人是密不可分的�����。特別是掌握人員的重要信息和核心業(yè)務(wù)���,人員的個(gè)人因素,管理因素和環(huán)境存在風(fēng)險(xiǎn)���。主要包括人員的技術(shù)能力�����,監(jiān)控管理�����,安全性��。特別需要做好監(jiān)督審計(jì)公司的工作��,確保信息安全風(fēng)險(xiǎn)管理融入實(shí)踐���,充分發(fā)揮內(nèi)部監(jiān)督作用,促進(jìn)社會(huì)責(zé)任認(rèn)可和實(shí)施信息安全風(fēng)險(xiǎn)管理工作���。電子商務(wù)公司必須對(duì)工人進(jìn)行必要的信息安全知識(shí)教育培訓(xùn)�����,了解與之相關(guān)的法律法規(guī)�����,做好對(duì)客戶關(guān)鍵信息的隱秘保護(hù)��。不隨意查看和泄露客戶購(gòu)買(mǎi)信息���。
企業(yè)應(yīng)該加大力度保障網(wǎng)絡(luò)通信操作時(shí)信息的機(jī)密性和完整性���,加強(qiáng)密鑰管理,提高應(yīng)對(duì)網(wǎng)絡(luò)攻擊能力���,采取措施避免越權(quán)或?yàn)E用�����,消除用戶在交易中的風(fēng)險(xiǎn)��。在信息安全風(fēng)險(xiǎn)控制中必須由內(nèi)到外地保護(hù)內(nèi)部系統(tǒng)環(huán)境���、網(wǎng)絡(luò)邊界、骨干網(wǎng)安全���。為網(wǎng)絡(luò)信息系統(tǒng)建立完善的管理系統(tǒng),并提供全面的安全保障��。運(yùn)用端到端策略。對(duì)于移動(dòng)電子商務(wù)中用戶終端設(shè)備種類(lèi)繁多���,安全環(huán)境復(fù)雜難以控制的問(wèn)題�����,必須做好數(shù)據(jù)傳輸中的重要環(huán)節(jié)中的身份鑒定。通過(guò)人臉識(shí)別、指紋識(shí)別等技術(shù)有效提高用戶訪問(wèn)身份鑒別能力,極大地提高賬戶的安全性�����,確保數(shù)據(jù)傳輸?shù)陌踩裕_保交易的真實(shí)有效��。
4.2提供專(zhuān)業(yè)的技術(shù)培訓(xùn),提高專(zhuān)業(yè)人員的技能
認(rèn)真選擇第三方合作伙伴��,增強(qiáng)信息管理水平��,加強(qiáng)績(jī)效監(jiān)督管理��。樹(shù)立合理的企業(yè)內(nèi)部組織結(jié)構(gòu)和有效資金保障��,培養(yǎng)員工信息安全意識(shí),創(chuàng)造良好信息安全工作氛圍,加強(qiáng)信息安全專(zhuān)業(yè)技術(shù)人員對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的意識(shí)和能力���,通過(guò)大量的實(shí)驗(yàn)發(fā)現(xiàn)可以通過(guò)下列方法培訓(xùn)相關(guān)人員:第一���,定期開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作���,將公司員工集合共同學(xué)習(xí)相關(guān)資料以提升他們對(duì)信息安全的意識(shí)彌補(bǔ)存在的缺陷��。第二���,對(duì)信息安全部門(mén)的員工進(jìn)行專(zhuān)門(mén)的技術(shù)培訓(xùn)和指導(dǎo)��,可通過(guò)模擬分析來(lái)提升技術(shù)���;第三,公司應(yīng)增加對(duì)技術(shù)資源的投入��,聘請(qǐng)經(jīng)驗(yàn)豐富的專(zhuān)家學(xué)者組成第三方評(píng)估機(jī)構(gòu),引進(jìn)風(fēng)險(xiǎn)評(píng)估設(shè)備��。以備不時(shí)之需���;第四�����,公司應(yīng)對(duì)技術(shù)人員進(jìn)行標(biāo)準(zhǔn)化認(rèn)證培訓(xùn)��,執(zhí)行職業(yè)資格準(zhǔn)入制度,提高技術(shù)人員的門(mén)檻�����,納入信息安全風(fēng)險(xiǎn)評(píng)估���,技術(shù)人員的全面質(zhì)量保證評(píng)估��。以上這些方法只是單純就培訓(xùn)方式對(duì)于具體的實(shí)施以及可能遇到的問(wèn)題依然需要研究�����。
4.3提升對(duì)信息安全防范技術(shù)的研究和應(yīng)用
為移動(dòng)數(shù)據(jù)庫(kù)存儲(chǔ)的數(shù)據(jù)進(jìn)行加密以防止泄漏��,采用不同的加密方法來(lái)保護(hù)數(shù)據(jù)安全���,進(jìn)行身份認(rèn)證,數(shù)據(jù)恢復(fù)�����,數(shù)據(jù)加密存儲(chǔ)��,物理隔離��,防火墻��,網(wǎng)絡(luò)���,網(wǎng)絡(luò)設(shè)備���,網(wǎng)絡(luò)入侵檢測(cè)���,網(wǎng)絡(luò)漏洞掃描,網(wǎng)絡(luò)設(shè)備備份��,網(wǎng)絡(luò)管理��,專(zhuān)線�����,實(shí)現(xiàn)網(wǎng)絡(luò)管理等一系列技術(shù)手段�����,從而提高數(shù)據(jù)庫(kù)的安全性���。同時(shí)提高認(rèn)識(shí)到物理設(shè)施的重要性��,定期維護(hù)物理設(shè)施�����。為了監(jiān)測(cè)信息安全和實(shí)施評(píng)估系統(tǒng)��,我們要保證基本硬件和芯片的獨(dú)立在建立獨(dú)立于信息安全的評(píng)估體系中���,國(guó)內(nèi)外統(tǒng)一組織重要的信息安全技術(shù)研究,建立創(chuàng)新的電子商務(wù)信息安全與評(píng)估體系��。
第3篇
【關(guān)鍵詞】電子商務(wù);信息安全;信息技術(shù)
電子商務(wù)概念源于英文Elect ronic Commerce ���, 簡(jiǎn)寫(xiě)EC��。美國(guó)《商業(yè)周刊》認(rèn)為��, Internet 已經(jīng)成為" 有史以來(lái)最激動(dòng)人心的生意場(chǎng)" �����。電子商務(wù)介入世界經(jīng)濟(jì)活動(dòng)并成為其中主角是必然的發(fā)展趨勢(shì)��。據(jù)統(tǒng)計(jì)1998 年全球電子商務(wù)交易額為1020 億美元��,2003 年電子商務(wù)交易額達(dá)到1. 3 萬(wàn)億美元�����,約占世界貿(mào)易總額的1/ 4 ���,到2005 年將達(dá)到2~3 萬(wàn)億美元�����。由于大量的信息在網(wǎng)上傳遞�����,大量的資金在網(wǎng)上劃撥流動(dòng)�����,這就要求網(wǎng)上信息必須具有高度的可靠性和絕對(duì)的保密性�����。但是出于各種目的的網(wǎng)絡(luò)入侵和攻擊也越來(lái)越頻繁���,脆弱的網(wǎng)絡(luò)和不成熟的電子商務(wù)增強(qiáng)了人們的防范心理。從這點(diǎn)上來(lái)看���,信息安全問(wèn)題是保障電子商務(wù)的生命線���。
1 �����、電子商務(wù)信息的安全要素
1. 1 機(jī)密性
傳統(tǒng)的貿(mào)易大多是通過(guò)書(shū)信或者可靠的通信渠道來(lái)發(fā)送商業(yè)文檔���,雖然速度和效率都不高��,但卻能達(dá)到保密的目的���,而電子商務(wù)是在開(kāi)放的網(wǎng)絡(luò)環(huán)境下進(jìn)行的�����,因此要預(yù)防非法的信息存取和信息在傳輸過(guò)程中被非法竊取��,所以保證電子商務(wù)信息的機(jī)密性就變得非常重要�����。
1. 2 完整性
電子商務(wù)極大地簡(jiǎn)化了傳統(tǒng)貿(mào)易過(guò)程��,減少了認(rèn)為的干預(yù)�����,同時(shí)也伴隨著貿(mào)易各方商業(yè)信息的完整�����、同一問(wèn)題�����。由于數(shù)據(jù)錄入時(shí)合法或非法的行為��,可能導(dǎo)致貿(mào)易數(shù)據(jù)的差異���。信息在傳輸?shù)倪^(guò)程中也有可能造成信息的丟失��、重復(fù)或次序的差異�����。因此要預(yù)防對(duì)信息的各種非法操作�����,保證數(shù)據(jù)在傳送的過(guò)程中完整性��。
1. 3 認(rèn)證性
網(wǎng)絡(luò)環(huán)境是一個(gè)虛擬的環(huán)境�����,而電子商務(wù)就是在這個(gè)虛擬平臺(tái)上進(jìn)行的��,貿(mào)易雙方一般都不見(jiàn)面���,需要一些技術(shù)和策略來(lái)進(jìn)行身份確認(rèn)���。當(dāng)個(gè)人或?qū)嶓w聲稱身份時(shí)���,電子商務(wù)服務(wù)需要提供一種方式來(lái)進(jìn)行身份認(rèn)證���。
1. 4 有效性
在交易的過(guò)程中貿(mào)易雙方需要確定很多信息,電子商務(wù)以電子形式取代了紙張來(lái)確認(rèn)這此信息�����,保證謝謝信息的有效性是開(kāi)展電子商務(wù)的前提��。因此要對(duì)網(wǎng)絡(luò)故障��、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防���,以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻和地點(diǎn)是有效的��。
2 ��、電子商務(wù)安全中存在的問(wèn)題
電子商務(wù)是實(shí)現(xiàn)整個(gè)貿(mào)易過(guò)程中各階段貿(mào)易活動(dòng)的電子化�����。公眾是電子商務(wù)的對(duì)象�����,信息技術(shù)是實(shí)現(xiàn)電子商務(wù)的基礎(chǔ)��,電子商務(wù)實(shí)施的前提是信息的安全保障��。信息安全性的含義主要是信息的完整性�����、可用性�����、保密性和可靠性���。因此電子商務(wù)活動(dòng)中的信息安全問(wèn)題主要體現(xiàn)在以下幾個(gè)方面��。
2. 1 計(jì)算機(jī)網(wǎng)絡(luò)的安全
2. 1. 1 安全協(xié)議問(wèn)題
隨著經(jīng)濟(jì)和信息全球化的時(shí)代到來(lái)���,但安全協(xié)議還沒(méi)有全球性的標(biāo)準(zhǔn)和規(guī)范,相對(duì)制約了國(guó)際性的商務(wù)活動(dòng)���。此外�����,在安全管理方面還存在很大隱患���,普遍難以抵御黑客的攻擊���。
2. 1. 2 信息的安全問(wèn)題
非法用戶在網(wǎng)絡(luò)的傳輸上��,通過(guò)不正當(dāng)手段�����,非法攔截會(huì)話數(shù)據(jù)獲得合法用戶的有效信息��,最終導(dǎo)致合法用戶的一些核心業(yè)務(wù)數(shù)據(jù)泄密或者是非法用戶對(duì)截獲的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行一些惡意篡改���,如增加���、減少和刪除等操作,從而使信息失去真實(shí)性和完整性�����,導(dǎo)致合法用戶無(wú)法正常交易���,還有一些非法用戶利用截獲的網(wǎng)絡(luò)數(shù)據(jù)包再次發(fā)送���,惡意攻擊對(duì)方的網(wǎng)絡(luò)硬件和軟件。
2. 1. 3 防病毒問(wèn)題
電腦病毒問(wèn)世十多年來(lái)��,各種新型病毒及其變種迅速增加��,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介��,不少新病毒直接以網(wǎng)絡(luò)作為自己的傳播途徑,還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快��,動(dòng)輒造成數(shù)百億美元的經(jīng)濟(jì)損失�����。
2. 1. 4 服務(wù)器的安全問(wèn)題��。
電子商務(wù)服務(wù)器是電子商務(wù)的核心�����,安裝了大量的與電子商務(wù)有關(guān)的軟件和商家信息���,并且服務(wù)器上的數(shù)據(jù)庫(kù)里有企業(yè)的一些保密數(shù)據(jù)��,如價(jià)格�����、成本等��,所以服務(wù)器特別容易受到安全的威脅,并且一旦出現(xiàn)安全問(wèn)題�����,造成的后果也是非常嚴(yán)重的。目前服務(wù)器的安全問(wèn)題尚無(wú)有效措施予以阻止���。主要表現(xiàn)在:非法用戶向網(wǎng)絡(luò)或主機(jī)發(fā)送大量非法或無(wú)效的請(qǐng)求���,使其消耗可用資源卻無(wú)法繼續(xù)提供正常的網(wǎng)絡(luò)服務(wù),利用操作系統(tǒng)�����、軟件��、網(wǎng)絡(luò)協(xié)議���、網(wǎng)絡(luò)服務(wù)等的安全漏洞��,通過(guò)網(wǎng)站發(fā)送特制的數(shù)據(jù)請(qǐng)求�����,使網(wǎng)絡(luò)應(yīng)用服務(wù)器崩潰而停止服務(wù)�����。
2. 2 電子商務(wù)交易的安全
2. 2. 1 身份的不確定問(wèn)題
由于電子商務(wù)的實(shí)現(xiàn)需要借助于虛擬的網(wǎng)絡(luò)平臺(tái)�����,在這個(gè)平臺(tái)上交易雙方是不需要見(jiàn)面的�����,因此帶來(lái)了交易雙方身份的不確定性��。攻擊者可以通過(guò)非法的手段竊取合法用戶的身份信息��,仿冒合法用戶的身份與他人進(jìn)行交易���,從中獲得非法收入���。主要表現(xiàn)有:冒充他人身份;冒充他人消費(fèi)、栽贓�����、冒充主機(jī)欺騙合法主機(jī)及合法用戶等��。
2. 2. 2 交易的抵賴問(wèn)題
電子商務(wù)的交易應(yīng)該同傳統(tǒng)的交易一樣具有不可抵賴性���。有些用戶可能對(duì)自己發(fā)出的信息進(jìn)行惡意的否認(rèn)�����,以推卸自己應(yīng)承擔(dān)的責(zé)任��。如自己應(yīng)承擔(dān)的責(zé)任如:者事后否認(rèn)曾經(jīng)發(fā)送過(guò)某條信息或內(nèi)容;收信者事后否認(rèn)曾經(jīng)收到過(guò)某條信息或內(nèi)容;購(gòu)買(mǎi)者做了訂貨單不承認(rèn)�����,商家賣(mài)出的商品質(zhì)量差但不承認(rèn)原有的交易��。在網(wǎng)絡(luò)世界為交易雙方的糾紛進(jìn)行公證��、仲裁���。
2. 2. 3 交易的修改問(wèn)題
交易文件是不可修改的,否則必然會(huì)影響到另一方的商業(yè)利益���。電子商務(wù)中的交易文件同樣也不能修改�����,以保證商務(wù)交易的嚴(yán)肅和公正��。
2. 3 其他方面的安全
電子商務(wù)安全威脅種類(lèi)繁多�����、來(lái)自各種可能的潛在方面�����,有蓄意而為的���,也有無(wú)意造成的�����,例如電子交易衍生了一系列法律問(wèn)題:網(wǎng)絡(luò)交易糾紛的仲裁���、網(wǎng)絡(luò)交易契約等問(wèn)題,急需為電子商務(wù)提供法律保障��。還有諸如非法使用�����、操作人員不慎泄露信息��、媒體廢棄物導(dǎo)致泄露信息等均可構(gòu)成不同程度后果的威脅。[ ]
3 ���、保障電子商務(wù)信息安全措施
3. 1 數(shù)據(jù)加密策略
加密技術(shù)是電子商務(wù)的最基本措施���,最初主要用與保證數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中的保密性���。隨著電子商務(wù)的發(fā)展��,對(duì)數(shù)據(jù)完整性以及身份鑒定技術(shù)提出了新的要求���,數(shù)字簽名、身份認(rèn)證就是為了適應(yīng)這種需要在密碼學(xué)中派生出來(lái)的新技術(shù)和新應(yīng)用���。加密技術(shù)是一種主動(dòng)的信息安全防范策略��,利用一定的加密算法. 將明文轉(zhuǎn)換成毫無(wú)意義的密文���。阻止非法用戶理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性�����。
比較廣泛使用的加密技術(shù)有兩種:一是對(duì)稱密鑰加密體制,一是非對(duì)稱密鑰加密體制���。它們的區(qū)別在于密鑰的類(lèi)型不同��。
3. 1. 1 對(duì)稱密鑰加密體制
對(duì)稱密鑰加密���,又稱私鑰加密(Secret Key Encryption) ,即數(shù)據(jù)加密和解密采用的都是同一個(gè)密鑰���,因而其安全性依賴于所持有密鑰的安全性���,其最大的優(yōu)點(diǎn)就是速度快,適合于對(duì)大數(shù)據(jù)量進(jìn)行加密�����,但其最大的缺點(diǎn)是在大量用戶的情況下密鑰答理復(fù)雜��,而且無(wú)法完成身份認(rèn)證等功能���,不便于應(yīng)用于網(wǎng)絡(luò)開(kāi)放的環(huán)境中�����。
3. 1. 2 非對(duì)稱密鑰加密體制
非對(duì)稱密鑰加密體制���,又稱公鑰加密( Public Key Encryp2tion) ��,數(shù)據(jù)加密和解密采用不同的密鑰�����,需要使用一對(duì)密鑰來(lái)分別完成加密和解密操作。在非對(duì)稱密鑰加密體制中密鑰被分解為一對(duì)�����。這對(duì)鑰中的在何一把都可作為公開(kāi)密鑰���,加密密鑰��,通過(guò)非保密方式向他人公開(kāi)�����。而另一把則作為私用密鑰加以保存���。私用密鑰只能由數(shù)據(jù)的接受者掌握��。
利用公鑰體系可以方便地實(shí)現(xiàn)對(duì)用戶的身份認(rèn)證�����,也即用戶在信息傳輸前首先用所持有的私鑰對(duì)傳輸?shù)男畔⑦M(jìn)行加密��,信息接收者在收到這些信息之后利用該用戶向外公布的公鑰進(jìn)行解密���,如果能夠解開(kāi),說(shuō)明信息確實(shí)為該用戶所發(fā)送�����,這樣就方便地實(shí)現(xiàn)了對(duì)信息發(fā)送方身份的鑒別和認(rèn)證�����。
通常在實(shí)際應(yīng)用中將公鑰密碼體系和數(shù)字簽名算法結(jié)合使用. 在保證數(shù)據(jù)傳輸完整性的同時(shí)完成對(duì)用戶的身份認(rèn)證�����。
3. 2 防火墻技術(shù)
現(xiàn)有的防火墻技術(shù)包括兩大類(lèi):數(shù)據(jù)包過(guò)濾和服務(wù)技術(shù)�����。其中,最簡(jiǎn)單和最常用的是包過(guò)濾防火墻���,它檢查接受到的每個(gè)數(shù)據(jù)包的頭�����,以決定該數(shù)據(jù)包是否發(fā)送到目的地��。由于防火墻能夠?qū)M(jìn)出的數(shù)據(jù)進(jìn)行有選擇的過(guò)濾���,所以可以有效地避兔對(duì)其進(jìn)行的有意或無(wú)意的攻擊,從而保證了專(zhuān)用私有網(wǎng)的安全��。將包過(guò)濾防火墻與服務(wù)器結(jié)合起來(lái)使用是解決網(wǎng)絡(luò)安全問(wèn)題的一種非常有效的策略���。防火墻技術(shù)的局限性主要在于: (1) 防火墻技術(shù)只能防止經(jīng)由防火墻的攻擊,不能防止網(wǎng)絡(luò)內(nèi)部用戶對(duì)于網(wǎng)絡(luò)的攻擊���。(2) 防火墻不能保證數(shù)據(jù)的秘密性�����,也不能保證網(wǎng)絡(luò)不受病毒的攻擊��,它只能有效地保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)不受主動(dòng)攻擊和入侵��。
3. 3 身份驗(yàn)證技術(shù)
3. 3. 1 認(rèn)證系統(tǒng)
網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書(shū)��。數(shù)字證書(shū)類(lèi)似于現(xiàn)實(shí)生活中的身份證���,用于在網(wǎng)絡(luò)上鑒別個(gè)人或組織的真實(shí)身份��。數(shù)字證書(shū)的頒發(fā)機(jī)構(gòu)叫做Certificate Authority ���,通常簡(jiǎn)稱為CA。要建立安全的電子商務(wù)系統(tǒng)��,首先必須建立一個(gè)穩(wěn)固���、健全的CA ��,否則���,一切網(wǎng)上的交易都沒(méi)有安全保障。
第4篇
[關(guān)鍵詞] 電子商務(wù)網(wǎng)站 源碼設(shè)計(jì) 數(shù)據(jù)庫(kù)安全
網(wǎng)站數(shù)據(jù)庫(kù)作為信息的聚集體�����,是電子商務(wù)網(wǎng)站運(yùn)營(yíng)的基礎(chǔ),通常保存著重要的商業(yè)數(shù)據(jù)和客戶信息,這些信息安全性至關(guān)重要���,關(guān)系到企業(yè)興衰成敗�����。然而���,在實(shí)際應(yīng)用中,一些企業(yè)網(wǎng)站數(shù)據(jù)庫(kù)里一些商業(yè)數(shù)據(jù)卻被攻擊者竊取后公布于眾�����、公司商業(yè)網(wǎng)站中的產(chǎn)品價(jià)格又被惡意修改等等類(lèi)似的案例比比皆是���,數(shù)據(jù)的安全性和企業(yè)的自身利益受到了嚴(yán)重的威脅。筆者就電子商務(wù)網(wǎng)站源碼設(shè)計(jì)中容易出現(xiàn)安全問(wèn)題進(jìn)行分析�����,并提出解決的對(duì)策�����。
一、電子商務(wù)網(wǎng)站源碼設(shè)計(jì)中常見(jiàn)的安全問(wèn)題
1.代碼設(shè)計(jì)中命名設(shè)計(jì)的安全問(wèn)題
對(duì)網(wǎng)站文檔名�����、網(wǎng)站目錄名��、數(shù)據(jù)庫(kù)名及數(shù)據(jù)表文檔名�����、數(shù)據(jù)表中字段元素進(jìn)行命名設(shè)計(jì)時(shí)��,因設(shè)計(jì)人員在工作中的一些習(xí)慣�����,使用與中文意義相對(duì)應(yīng)的英文或拼音方式直接命名�����,愛(ài)把數(shù)據(jù)庫(kù)放在Data或Database等目錄下���,對(duì)數(shù)據(jù)庫(kù)的命名通常采用Data�����、Database等�����,對(duì)數(shù)據(jù)表的命名常以User�����、Admin���、Product等命名���,對(duì)數(shù)據(jù)表中敏感字段的命名也常采用Username、Password���、Pwd���、Price等方式命名。這樣的命名易猜測(cè)���,從而易泄露重要數(shù)據(jù)信息�����,易暴露網(wǎng)站數(shù)據(jù)庫(kù)的存儲(chǔ)位置��,使得網(wǎng)站的數(shù)據(jù)易被非法竊取�����。
2.數(shù)據(jù)庫(kù)連接的代碼安全問(wèn)題
下面是一個(gè)ASP連接遠(yuǎn)程SQL數(shù)據(jù)庫(kù)的簡(jiǎn)單例子:
此例暴露了使用這種數(shù)據(jù)庫(kù)連接文件的兩大安全問(wèn)題���。一方面,將服務(wù)器的地址(server=202.108.32.94)�����、數(shù)據(jù)庫(kù)用戶的用戶名及口令(uid=sa;pwd=PASSWORD;)�����、數(shù)據(jù)庫(kù)文件名及文件存儲(chǔ)路徑(database=/data/database.mdb)直接存放在數(shù)據(jù)庫(kù)連接文件中���,一旦這些連接文件中的內(nèi)容外泄��,網(wǎng)站數(shù)據(jù)庫(kù)能被攻擊者惡意下載或篡改�����;另一方面�����,在源代碼編寫(xiě)時(shí)��,直接使用數(shù)據(jù)庫(kù)管理系統(tǒng)提供的默認(rèn)賬號(hào)Sa��,使得攻擊者能利用這個(gè)漏洞�����,通過(guò)構(gòu)建特殊的用戶權(quán)限�����,直接操縱數(shù)據(jù)庫(kù)系統(tǒng)管理軟件�����,危及網(wǎng)站數(shù)據(jù)庫(kù)的安全���。
3.使用SQL語(yǔ)句導(dǎo)致的安全問(wèn)題
SQL語(yǔ)句導(dǎo)致的注入漏洞存在于任何使用SQL語(yǔ)句的網(wǎng)站中���,注入漏洞可以說(shuō)是2004年以來(lái)影響最大的漏洞,它利用了程序員在編寫(xiě)代碼的時(shí)候�����,沒(méi)有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷�����,使應(yīng)用程序存在安全隱患�����。攻擊者可以通過(guò)在正常數(shù)據(jù)庫(kù)查詢代碼的后面添加特殊字符的方法���,根據(jù)程序返回的結(jié)果���,獲得數(shù)據(jù)庫(kù)中的表名、字段名���,達(dá)到探測(cè)數(shù)據(jù)庫(kù)信息或提升權(quán)限等目的��。一般情況下��,注入點(diǎn)較多出現(xiàn)在各個(gè)網(wǎng)站的提供輸入注冊(cè)信息或查詢和操作數(shù)據(jù)庫(kù)的頁(yè)面��。例如���,一般程序設(shè)計(jì)人員通過(guò)下列select語(yǔ)句進(jìn)行查找:(select * from users where userid=’“&userid&”’and pwd=’“&pasword&”’)��。針對(duì)本語(yǔ)句�����,我們只要構(gòu)造一個(gè)特殊的用戶名和密碼�����,如aa’or’1’=’1��,這樣�����,select語(yǔ)句將變成(select * from Users where use rid=’aa’or’1’=’1’and pwd=’“&pasword&”’)���。由于有or運(yùn)算符和“1=1”恒成立的條件�����,使得數(shù)據(jù)庫(kù)的所有記錄都滿足此條件而實(shí)現(xiàn)登錄���。同理,還可以通過(guò)update語(yǔ)句�����、insert語(yǔ)句等進(jìn)行SQL注入攻擊��。
二���、解決電子商務(wù)網(wǎng)站源碼設(shè)計(jì)中常見(jiàn)安全問(wèn)題的對(duì)策
1.采用非常規(guī)命名法
針對(duì)網(wǎng)站文檔名、網(wǎng)站目錄名��、數(shù)據(jù)庫(kù)及數(shù)據(jù)表文檔名�����、數(shù)據(jù)字段名��、數(shù)據(jù)庫(kù)連接文件名���、后臺(tái)管理員用戶名等關(guān)系到網(wǎng)站數(shù)據(jù)庫(kù)安全的命名���,不使用系統(tǒng)默認(rèn)的或者有特殊含義容易被猜測(cè)到的命名��,盡量使用無(wú)規(guī)則的英文字母���。例如,對(duì)于網(wǎng)上書(shū)店的數(shù)據(jù)庫(kù)文件不要簡(jiǎn)單地命名“bookshop.mdb”�����,而是要以非常規(guī)的名字命名���,如用“jxgn.mdb”��。這樣���,對(duì)于一些通過(guò)猜測(cè)的方式得到數(shù)據(jù)庫(kù)相關(guān)信息的非法訪問(wèn)起到了有效地阻止作用。
2.防止數(shù)據(jù)庫(kù)被下載
通常有3種方法��。方法一���,在數(shù)據(jù)庫(kù)文件名后面加上#號(hào)���,例如name#.mdb�����,這樣IIS就以為是在請(qǐng)求該目錄中默認(rèn)的文件名���,例如index.asp,如果IIS找不到就會(huì)發(fā)出403禁止瀏覽目錄的錯(cuò)誤警告���;方法二,在IIS中是把數(shù)據(jù)庫(kù)所在的目錄設(shè)為不可讀��,這樣就可以防止被下載��;方法三�����,在數(shù)據(jù)庫(kù)連接文件中使用ODBC 數(shù)據(jù)源��,攻擊者即使獲得了建立數(shù)據(jù)庫(kù)鏈接的源代碼�����,也無(wú)法從源代碼中看到數(shù)據(jù)庫(kù)的名字和存放路徑。
3.防止SQL語(yǔ)句導(dǎo)致的注入漏洞
第一���,完善管理權(quán)限�����。不在程序中使用較高權(quán)限訪問(wèn)數(shù)據(jù)庫(kù)��,例如�����,不使用Sa身份訪問(wèn)SQL數(shù)據(jù)庫(kù)���,盡量使用Windows 2000身份驗(yàn)證模式進(jìn)行SQL Server的身份驗(yàn)證。
第二���,保持良好的程序開(kāi)發(fā)習(xí)慣�����。編寫(xiě)數(shù)據(jù)庫(kù)查詢程序時(shí)���,利用兩個(gè)單引號(hào)來(lái)標(biāo)注任何輸入的變量給SQL程序���。或采用使用replace函數(shù)屏蔽單引號(hào)的方法���, 針對(duì)類(lèi)似于(select * from users Where userid=’“& Userid&”’ and PWd=’“&Password&”’)的select語(yǔ)句使用replace函數(shù)替換為:(select * from users where userid=’replace(request.form(“userid”),’,“)&’and pwd=’replace(request.form(“password”),’,”)&’�����。
第三�����,隱藏核心代碼�����。不使用SQL語(yǔ)句直接訪問(wèn)數(shù)據(jù)庫(kù),而是使用存儲(chǔ)過(guò)程或XML Web Service可以較好地保護(hù)核心程序代碼和數(shù)據(jù)庫(kù)結(jié)構(gòu)不至外泄�����。
三��、結(jié)束語(yǔ)
電子商務(wù)網(wǎng)站的數(shù)據(jù)庫(kù)的安全性問(wèn)題是近年來(lái)倍受關(guān)注的問(wèn)題��,確保其安全是一個(gè)系統(tǒng)工程。現(xiàn)僅從電子商務(wù)網(wǎng)站源碼設(shè)計(jì)的角度��,討論了存在的安全問(wèn)題,通過(guò)對(duì)這些問(wèn)題的分析��,將有助于加強(qiáng)網(wǎng)站開(kāi)發(fā)人員的安全意識(shí)���,減少開(kāi)發(fā)過(guò)程給網(wǎng)站數(shù)據(jù)庫(kù)帶來(lái)的安全隱患��。
參考文獻(xiàn):
第5篇
關(guān)鍵詞:電子商務(wù) 網(wǎng)上交易 安全問(wèn)題 安全技術(shù) 對(duì)策
隨著電子商務(wù)的高速發(fā)展�����,網(wǎng)上犯罪屢屢發(fā)生�����,網(wǎng)購(gòu)騙局層出不窮�����。比如在Internet上進(jìn)行惡意攻擊�����、竊取商業(yè)機(jī)密��、冒用他人的信用卡���、篡改名單等犯罪行為時(shí)有發(fā)生�����,人們對(duì)電子商務(wù)的安全提高了警惕���,安全問(wèn)題已經(jīng)成為電子商務(wù)發(fā)展的關(guān)鍵問(wèn)題。
一��、電子商務(wù)交易中存在的安全問(wèn)題
1.網(wǎng)絡(luò)系統(tǒng)存在的安全隱患��。網(wǎng)絡(luò)系統(tǒng)和應(yīng)用軟件中通常都會(huì)存在一些BUG���,別有用心的人利用這些漏洞向買(mǎi)賣(mài)雙方的電腦發(fā)起進(jìn)攻���,導(dǎo)致某個(gè)程序或網(wǎng)絡(luò)喪失功能�����。如:計(jì)算機(jī)病毒的侵襲��、黑客非法入侵、線路竊聽(tīng)等很容易使重要數(shù)據(jù)在傳遞過(guò)程中泄露�����,威脅電子商務(wù)交易的安全��。
2.交易信息存在的安全隱患�����。(1)是網(wǎng)絡(luò)交易中用明文傳輸?shù)臄?shù)據(jù)被非法入侵者截獲并破譯之后���,進(jìn)行非法篡改�����、刪除或插入���,使信息的完整性遭受破壞;(2)是網(wǎng)絡(luò)非法攻擊通過(guò)假冒合法用戶或者模擬虛假信息來(lái)實(shí)施詐騙行為���;(3)是交易抵賴���,包括多個(gè)方面�����,如:購(gòu)買(mǎi)者下了訂單不承認(rèn)���,商家賣(mài)出的商品因價(jià)格差異而不承認(rèn)原有的交易等。
3.信用方面存在的危機(jī)���。在電子商務(wù)交易中存在的信用問(wèn)題主要表現(xiàn)在以下幾個(gè)方面: (1)是來(lái)自買(mǎi)方的信用問(wèn)題��,對(duì)于消費(fèi)者來(lái)說(shuō)�����,可能在網(wǎng)絡(luò)上利用信用卡進(jìn)行惡意透支�����,或者使用偽造的信用卡來(lái)騙取賣(mài)方的貨物��;(2)是來(lái)自賣(mài)方的信用問(wèn)題�����,賣(mài)方不能按質(zhì)���、按量、按時(shí)寄送消費(fèi)者購(gòu)買(mǎi)的貨物��,或者不能完全根據(jù)合同來(lái)履行合同內(nèi)容���,造成買(mǎi)方權(quán)益的損害��。
4.支付結(jié)算方面存在的安全隱患��。電子商務(wù)交易的核心內(nèi)容是信息溝通和交流���,交易雙方通過(guò)Internet進(jìn)行洽談、支付結(jié)算�����。從交易的結(jié)算方式看���,已經(jīng)可以通過(guò)支付寶��、網(wǎng)上銀行��、QQ錢(qián)包和微信錢(qián)包等多種方式來(lái)完成結(jié)算��。但存在大量的虛假網(wǎng)站���,騙取錢(qián)財(cái)���。
5.物流配送服務(wù)方面存在的安全隱患。主要表現(xiàn)為: (1)是當(dāng)消費(fèi)者在網(wǎng)上購(gòu)買(mǎi)的商品在運(yùn)輸過(guò)程中出現(xiàn)損毀時(shí)�����,網(wǎng)站�����、產(chǎn)品供應(yīng)商���、快遞公司之間互相推諉�����,推卸責(zé)任���,導(dǎo)致消費(fèi)者無(wú)法獲得賠償�����; (2)是快遞公司規(guī)定不按商品的價(jià)值,只按運(yùn)輸費(fèi)用的幾倍賠償�����; (3)是快遞公司自行規(guī)定消費(fèi)者簽字后再驗(yàn)貨���,驗(yàn)貨發(fā)現(xiàn)商品缺失或損壞���,又以其已簽字為由拒不承擔(dān)賠償責(zé)任。
二�����、解決電子商務(wù)交易安全問(wèn)題的對(duì)策
1.加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)采取的措施
(1)使用防火墻技術(shù):防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制�����,防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部���。防火墻可以從通信協(xié)議的各個(gè)層次以及應(yīng)用中獲取��、存儲(chǔ)并管理相關(guān)的信息���,以便實(shí)施系統(tǒng)的訪問(wèn)安全決策控制��。因此��,買(mǎi)賣(mài)雙方都應(yīng)很好地使用這一技術(shù)�����,保障網(wǎng)絡(luò)的安全運(yùn)行��。
(2)使用反病毒技術(shù):計(jì)算機(jī)病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)�����,在網(wǎng)絡(luò)環(huán)境下�����,病毒傳播擴(kuò)散加快��,僅用單機(jī)版殺毒軟件已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒��,必須有適合于局域網(wǎng)的全方位殺毒產(chǎn)品��。如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進(jìn)行信息交換���,還需要一套基于郵件服務(wù)器平臺(tái)的郵件防病毒軟件�����。所以最好使用全方位的防病毒產(chǎn)品���,針對(duì)網(wǎng)絡(luò)中所有可能的病毒攻擊點(diǎn)設(shè)置對(duì)應(yīng)的防病毒軟件���,并且定期或不定期更新病毒庫(kù)���,使網(wǎng)絡(luò)免受病毒侵襲。
2.加強(qiáng)網(wǎng)上交易活動(dòng)順利完成應(yīng)采取的措施
(1)“看好自己的錢(qián)包”:涉及網(wǎng)絡(luò)支付結(jié)算的系統(tǒng)安全包含下述一些措施:一是對(duì)要安裝的軟件���,如瀏覽器軟件��、電子錢(qián)包軟件���、支付網(wǎng)關(guān)軟件等,檢查和確認(rèn)未知的安全漏洞���;二是上網(wǎng)購(gòu)物時(shí)盡量選擇大型�����、知名度比較高的網(wǎng)站��,如天貓���、京東等�����,不上一些小型網(wǎng)站�����,尤其是虛假網(wǎng)站�����,避免網(wǎng)站掛有病毒��、木馬等造成中毒��;三是盡量不要在公共電腦上使用自己的有關(guān)資金的賬戶和密碼���。
(2)網(wǎng)上購(gòu)物時(shí)也得“縱橫馳騁”:選好信譽(yù)度高的商家和質(zhì)量好的貨���,是保證買(mǎi)方心滿意足的前提。一是盡量與現(xiàn)實(shí)世界中信譽(yù)良好的公司所設(shè)電子商店�����,或與網(wǎng)絡(luò)世界中商譽(yù)良好的電子商店進(jìn)行交易���;二是避免與未提供足以辨識(shí)和確認(rèn)身份資料的電子商店進(jìn)行交易�����;三是不可單純從網(wǎng)站設(shè)計(jì)外觀來(lái)判斷其可靠性、真實(shí)性�����,應(yīng)先確定網(wǎng)址是否正確�����,以免進(jìn)錯(cuò)電子商店���,被“釣魚(yú)”了�����;四是消費(fèi)時(shí)應(yīng)注意查詢網(wǎng)站以往的消費(fèi)記錄及評(píng)價(jià)��。
(3)物流服務(wù)方面應(yīng)該“眼觀六路��,耳聽(tīng)八方”:網(wǎng)上交易的一個(gè)重要環(huán)節(jié)是發(fā)貨和收貨��,這些都得通過(guò)物流公司來(lái)實(shí)現(xiàn)���。目前市場(chǎng)上物流企業(yè)眾多���,買(mǎi)賣(mài)雙方都要選擇服務(wù)好、信譽(yù)高的物流企業(yè)��。賣(mài)方發(fā)貨時(shí)盡量做到保價(jià)��,避免遭受重大的損失���;買(mǎi)方收貨時(shí)要先驗(yàn)貨再簽字���,防止收到“意外”之貨�����。
第6篇
關(guān)鍵詞:電子商務(wù)�����;計(jì)算機(jī)網(wǎng)絡(luò)�����;網(wǎng)絡(luò)安全
中圖分類(lèi)號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 06-0000-01
Computer Network Security Analysis and Countermeasures in E-commerce
Li Dong
(Hubei Vocational College of BIO-Technology,Wuhan430070,Chian)
Abstract:With the development of computer network,E-commerce faces some opportunities,but also faces some challenges,particularly in computer network security,to the development of electronic commerce posed a grave threat,which requires the enterprises measures to strengthen security technology and management.This paper analyzes the security of computer networks,electronic commerce issues,and proposed countermeasures.
Keywords:Electronic commerce;Computer network;Network security
計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)及快速發(fā)展�����,為社會(huì)帶來(lái)了巨大的貢獻(xiàn)���。然而���,當(dāng)前電子商務(wù)的發(fā)展仍存在一定的問(wèn)題��,尤其是隨網(wǎng)絡(luò)而來(lái)的安全問(wèn)題�����,對(duì)電子商務(wù)的發(fā)展造成了嚴(yán)重的影響���。因此�����,企業(yè)應(yīng)逐漸消除其安全問(wèn)題���,加強(qiáng)網(wǎng)絡(luò)安全管理,促進(jìn)電子商務(wù)的持續(xù)發(fā)展���。
一��、電子商務(wù)中的計(jì)算機(jī)網(wǎng)絡(luò)安全分析
(一)網(wǎng)絡(luò)黑客的侵犯��。網(wǎng)絡(luò)黑客指的是在網(wǎng)絡(luò)中利用個(gè)人所掌握的技術(shù)來(lái)非法地進(jìn)入其他網(wǎng)站的行為人��,一般說(shuō)來(lái)��,網(wǎng)絡(luò)黑客都具有高超的網(wǎng)絡(luò)技術(shù)��,能夠破解一些電子商務(wù)網(wǎng)站設(shè)置的技術(shù)防護(hù)���。近年來(lái)���,很多網(wǎng)絡(luò)黑客破壞網(wǎng)站,篡改網(wǎng)站的內(nèi)容信息���,甚至盜取了企業(yè)�����、商戶的賬戶密碼及資金�����,嚴(yán)重影響了電子商務(wù)的正常運(yùn)轉(zhuǎn)��。
(二)電子商務(wù)網(wǎng)站的管理不力���。多數(shù)電子商務(wù)企業(yè)都沒(méi)有樹(shù)立較高的警惕性,缺乏對(duì)網(wǎng)絡(luò)安全的有效管理��。還有一些企業(yè)盲目地崇拜各種安全產(chǎn)品�����,它們認(rèn)為安裝入侵監(jiān)測(cè)系統(tǒng)或者防火墻等安全產(chǎn)品��,就足以確保網(wǎng)站的安全性���,所以���,缺乏有效的技術(shù)防范,從而使得外來(lái)入侵者有了機(jī)會(huì)��。
(三)電子商務(wù)網(wǎng)絡(luò)的安全問(wèn)題���。網(wǎng)絡(luò)自身帶有共享性和開(kāi)放性的特點(diǎn)���,它的設(shè)計(jì)原則為不要由于局部損壞使信息傳輸受到影響,這樣一來(lái)���,就形成了網(wǎng)站安全隱患���。特別是一些電子商務(wù)企業(yè),其技術(shù)不達(dá)標(biāo)�����,而且網(wǎng)站安全管理手段相對(duì)落后,使網(wǎng)絡(luò)安全增加了大量隱患�����。
(四)電子商務(wù)軟件的漏洞���。一些軟件開(kāi)發(fā)商由于缺乏成熟的技術(shù)���,導(dǎo)致電子商務(wù)軟件技中存在一定的安全漏洞,這樣一來(lái)�����,就易于被外來(lái)的入侵者攻破防護(hù)��,給電子商務(wù)企業(yè)帶來(lái)了巨大的經(jīng)濟(jì)損失���。還有一些企業(yè)購(gòu)買(mǎi)并安裝了相關(guān)病毒防護(hù)軟件�����,然而���,缺乏對(duì)軟件及時(shí)更新及升級(jí)的重視��,從而導(dǎo)致防護(hù)軟件喪失了自身的防護(hù)功能。
(五)人為管理相對(duì)滯后���。一些電子商務(wù)企業(yè)缺乏對(duì)企業(yè)安全管理的重視�����,也不注重安全技術(shù)上的投入���,管理人員的管理與配備也不合理;也有一些企業(yè)的制度缺失��,或者沒(méi)有真正落實(shí)這些制度���,或者管理不到位��;還有一些企業(yè)的管理人員為了滿足自身的利益��,蓄意地利用網(wǎng)絡(luò)來(lái)對(duì)外泄露企業(yè)的商務(wù)秘密��。
二���、強(qiáng)化電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)安全的對(duì)策
(一)制定電子商務(wù)安全規(guī)劃���。電子商務(wù)貿(mào)易方式具有諸多的優(yōu)點(diǎn),如效率高和成本低等等�����,若能夠完全排除其中的安全問(wèn)題�����,那么��,電子商務(wù)形式的發(fā)展優(yōu)勢(shì)一定的巨大的���。所以�����,電子商務(wù)企業(yè)應(yīng)該提高對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的重視程度��,從企業(yè)發(fā)展總體戰(zhàn)略的高度來(lái)看待安全問(wèn)題�����?�?善刚?qǐng)專(zhuān)業(yè)人士來(lái)制定企業(yè)安全防范的合理規(guī)劃���,同時(shí)�����,在監(jiān)控機(jī)制、人員配備��、技術(shù)防范�����、技術(shù)投入��、安全管理以及人員管理等方面進(jìn)行精心規(guī)劃��,并選擇科學(xué)周密的安全防范方案�����。
(二)加大電子安全的技術(shù)投入及管理投入��。企業(yè)要加大計(jì)算機(jī)網(wǎng)絡(luò)安全的資金投入,以購(gòu)置各種必要的技術(shù)防范設(shè)備以及防護(hù)軟件���,并注重這些軟件的升級(jí)與更新��,同時(shí)加大技術(shù)的改造與設(shè)備的更新和投入�����。此外�����,還應(yīng)大力引進(jìn)安全管理的專(zhuān)業(yè)人才���,加強(qiáng)崗位培訓(xùn),不斷提升這些人才的技術(shù)水平���,并適度地優(yōu)化其待遇�����,以確保網(wǎng)絡(luò)安全管理隊(duì)伍的穩(wěn)定性��。
(三)強(qiáng)化安全技術(shù)管理�����。應(yīng)該重視電子商務(wù)的網(wǎng)站建設(shè)��、軟件升級(jí)和系統(tǒng)維護(hù)�����,加強(qiáng)管理網(wǎng)站服務(wù)器�����,在日常工作中���,做好安全備份。另外�����,還應(yīng)制定安全防范預(yù)案�����,這樣一來(lái)��,如果出現(xiàn)了安全問(wèn)題,才能盡快得以解決���,從而防止出現(xiàn)經(jīng)濟(jì)損失�����。還應(yīng)建立服務(wù)器恢復(fù)系統(tǒng)��,從而一旦遭遇安全攻擊���,引發(fā)網(wǎng)站篡改等危害性事件之后,以確保能夠在最短的時(shí)間使系統(tǒng)恢復(fù)正常狀態(tài)��,也使網(wǎng)站恢復(fù)正常的功能��。企業(yè)還需注意的是�����,要采用權(quán)威的��、知名的病毒防護(hù)軟件��,從而確保其可以正常升級(jí)���、啟動(dòng)��,以及有效發(fā)揮其防護(hù)功能��。
(四)強(qiáng)化電子商務(wù)企業(yè)的自身管理�����。安全作為企業(yè)的生命線��,必須引起企業(yè)的高度重視��,企業(yè)應(yīng)該教育員工在工作中從安全出發(fā)�����,具有較強(qiáng)的安全意識(shí)以及敏銳性��,徹底消除安全工作中的僥幸心理���。安全技術(shù)作為電子商務(wù)企業(yè)一個(gè)重要的防范屏障,其有效發(fā)揮作用離不開(kāi)嚴(yán)密的管理��,也就是說(shuō)���,只有建立有效���、完善的安全防范管理系統(tǒng)���,才能夠保障企業(yè)的安全。
(五)提高對(duì)電子商務(wù)疫情信息的重視程度��。各個(gè)企業(yè)應(yīng)進(jìn)行行業(yè)聯(lián)合�����,進(jìn)而組成企業(yè)聯(lián)盟���。特別是在電子商務(wù)的安全信息上�����,應(yīng)做到互通有無(wú)�����,對(duì)于安全疫情與有關(guān)信息要及時(shí)通報(bào)��。企業(yè)應(yīng)注重網(wǎng)絡(luò)安全領(lǐng)域中病毒的疫情預(yù)報(bào)�����,從而在每個(gè)時(shí)期都能有針對(duì)性地對(duì)其進(jìn)行重點(diǎn)防范��,此外���,還應(yīng)時(shí)刻關(guān)注本行業(yè)協(xié)會(huì)的安全通報(bào)�����,對(duì)已經(jīng)出現(xiàn)的安全事件做到引以為戒���,加強(qiáng)重點(diǎn)管理,一定要避免出現(xiàn)相同的安全事件���。此外��,還需注意的是在電子商務(wù)中,信譽(yù)度是企業(yè)維護(hù)客戶市場(chǎng)的一個(gè)重要因素���,所以��,企業(yè)還要注重客源市場(chǎng)的穩(wěn)定性�����,加強(qiáng)自身網(wǎng)絡(luò)的安全���。
三���、結(jié)束語(yǔ)
綜上所述,電子商務(wù)中的網(wǎng)絡(luò)安全問(wèn)題是不容忽視的���,相關(guān)企業(yè)必須提高重視程度���、加強(qiáng)制度建設(shè),并強(qiáng)化落實(shí)安全管理��。有效運(yùn)用計(jì)算機(jī)網(wǎng)絡(luò)���,并消除其中存在的各種弊端��,推動(dòng)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)步��,促進(jìn)電子商務(wù)的發(fā)展���。
參考文獻(xiàn):
[1]孫敬武,李雅靜,劉波,張翠.身份認(rèn)證方式的選擇與電子商務(wù)安全需求分析[J].河北省科學(xué)院學(xué)報(bào),2009,3
[2]黃學(xué)翔,童軍,樂(lè)群.Internet上的數(shù)據(jù)安全傳輸和身份鑒別[J].電腦知識(shí)與技術(shù)(學(xué)術(shù)交流),2007,1
[3]萬(wàn)緒江,班顯秀,劉小東,萬(wàn)朔.網(wǎng)絡(luò)安全的防御方法和可行性研究[J].電腦編程技巧與維護(hù),2010,8
第7篇
關(guān)鍵詞:校園;電子商務(wù);安全;解決方案
中圖分類(lèi)號(hào):G647文獻(xiàn)標(biāo)識(shí)碼:A
引言
隨著網(wǎng)絡(luò)的不斷普及和電子商務(wù)的迅猛發(fā)展,電子商務(wù)這種商務(wù)活動(dòng)新模式已逐漸改變了人們的經(jīng)濟(jì)活動(dòng)方式�����、工作方式和生活方式,越來(lái)越多的人們開(kāi)始接受并喜愛(ài)網(wǎng)上購(gòu)物,可是,電子商務(wù)發(fā)展的瓶頸――安全問(wèn)題仍然是制約人們進(jìn)行電子商務(wù)交易的最大問(wèn)題,安全問(wèn)題是電子商務(wù)的核心問(wèn)題,是實(shí)現(xiàn)和保證電子商務(wù)順利進(jìn)行的關(guān)鍵所在���。校園電子商務(wù)是電子商務(wù)在學(xué)校環(huán)境下的具體應(yīng)用與實(shí)現(xiàn),其安全性也同樣是其發(fā)展所不容忽視的關(guān)鍵問(wèn)題。
一�����、校園電子商務(wù)概述
(一)校園電子商務(wù)的概念�����。校園電子商務(wù)是電子商務(wù)在校園這個(gè)特定環(huán)境下的具體應(yīng)用,它是指在校園范圍內(nèi)利用學(xué)校的網(wǎng)絡(luò)基礎(chǔ)��、計(jì)算機(jī)硬件���、軟件和安全通信手段構(gòu)建的滿足于校園內(nèi)單位�����、企業(yè)和個(gè)人進(jìn)行商務(wù)、工作��、學(xué)習(xí)、生活各方面活動(dòng)需要的一個(gè)高可用性�����、伸縮性和安全性的商務(wù)系統(tǒng)��。
(二)校園電子商務(wù)的特點(diǎn)�����。相對(duì)于一般電子商務(wù),校園電子商務(wù)具有客戶群穩(wěn)定���、網(wǎng)絡(luò)環(huán)境優(yōu)良���、物流配送方便、信用機(jī)制良好���、服務(wù)性大于盈利性等特點(diǎn),這些特點(diǎn)也是校園開(kāi)展電子商務(wù)的優(yōu)勢(shì)所在���。與傳統(tǒng)學(xué)校商務(wù)活動(dòng)相比,校園電子商務(wù)的優(yōu)點(diǎn)有:交易不受時(shí)間空間限制、快捷方便��、交易成本較低。
二��、校園電子商務(wù)的安全問(wèn)題
(一)校園電子商務(wù)安全的內(nèi)容��。校園電子商務(wù)安全內(nèi)容從整體上可分為兩大部分:學(xué)校網(wǎng)絡(luò)安全和學(xué)校支付交易安全��。學(xué)校網(wǎng)絡(luò)安全內(nèi)容主要包括:計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全��、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全���、數(shù)據(jù)庫(kù)安全等���。學(xué)校支付交易安全的內(nèi)容涉及傳統(tǒng)校園商務(wù)活動(dòng)在校園網(wǎng)應(yīng)用時(shí)所產(chǎn)生的各種安全問(wèn)題,如網(wǎng)上交易信息、網(wǎng)上支付以及配送服務(wù)等�����。
(二)校園電子商務(wù)安全威脅�����。校園電子商務(wù)安全威脅同樣來(lái)自網(wǎng)絡(luò)安全威脅與交易安全威脅��。網(wǎng)絡(luò)安全與交易安全并不是孤立的,而是密不可分相輔相成的,網(wǎng)絡(luò)安全是基礎(chǔ),是交易安全的保障���。校園網(wǎng)也是一個(gè)開(kāi)放性的網(wǎng)絡(luò),它也面臨許許多多的安全威脅,例如:身份竊取��、非授權(quán)訪問(wèn)���、冒充合法用戶、數(shù)據(jù)竊取���、破壞數(shù)據(jù)的完整性��、拒絕服務(wù)��、交易否認(rèn)�����、數(shù)據(jù)流分析��、旁路控制��、干擾系統(tǒng)正常運(yùn)行�����、病毒與惡意攻擊�����、內(nèi)部人員的不規(guī)范使用和惡意破壞等���。校園網(wǎng)的開(kāi)放性也使得基于它的交易活動(dòng)的安全性受到嚴(yán)重的威脅,網(wǎng)上交易面臨的威脅可以歸納為:信息泄露��、篡改信息�����、假冒和交易抵賴��。信息泄露指非法用戶通過(guò)各種技術(shù)手段盜取或截獲交易信息致使交易信息的機(jī)密性遭到破壞;篡改信息指非法用戶對(duì)交易信息插入�����、刪除或修改,破壞交易信息的完整性;假冒指非法用戶冒充合法交易者以偽造交易信息;交易抵賴指交易方否認(rèn)交易行為,交易抵賴也是校園電子商務(wù)安全面臨的主要威脅之一���。
(三)校園電子商務(wù)基本安全需求。通過(guò)對(duì)學(xué)校電子商務(wù)安全威脅的分析,可以看出校園電子商務(wù)安全的基本要求是保證交易對(duì)象的身份真實(shí)性��、交易信息的保密性和完整性���、交易信息的有效性和交易信息的不可否認(rèn)性�����。通過(guò)對(duì)校園電子商務(wù)系統(tǒng)的整體規(guī)劃可以提高其安全需求���。
三���、校園電子商務(wù)安全解決方案
(一)校園電子商務(wù)安全體系結(jié)構(gòu)��。校園電子商務(wù)安全是一個(gè)復(fù)雜的系統(tǒng)工程,因此要從系統(tǒng)的角度對(duì)其進(jìn)行整體的規(guī)劃���。根據(jù)校園電子商務(wù)的安全需求,通過(guò)對(duì)學(xué)校人文環(huán)境���、網(wǎng)絡(luò)環(huán)境、應(yīng)用系統(tǒng)及管理等各方面的統(tǒng)籌考慮和規(guī)劃,再結(jié)合電子商務(wù)的安全技術(shù),總結(jié)出校園電子商務(wù)安全體系結(jié)構(gòu)���。
在校園電子商務(wù)安全體系結(jié)構(gòu)中,人文環(huán)境層包括現(xiàn)有的電子商務(wù)法律法規(guī)以及學(xué)校電子商務(wù)特有的校園信息文化,它們綜合構(gòu)成了校園電子商務(wù)建設(shè)的大環(huán)境;基礎(chǔ)設(shè)施層包括校園網(wǎng)��、虛擬專(zhuān)網(wǎng)VPN和認(rèn)證中心;邏輯實(shí)體層包括校園一卡通���、支付網(wǎng)關(guān)、認(rèn)證服務(wù)器和交易服務(wù)器;安全機(jī)制層包括加密技術(shù)�����、認(rèn)證技術(shù)以及安全協(xié)議等電子商務(wù)安全機(jī)制;應(yīng)用系統(tǒng)層即校園電子商務(wù)平臺(tái),包括網(wǎng)上交易、支付和配送服務(wù)等�����。針對(duì)上述安全體系結(jié)構(gòu),具體的方案有:
1�����、營(yíng)造良好的校園人文環(huán)境�����。加強(qiáng)大學(xué)生的道德教育,培養(yǎng)校園電子商務(wù)參與者們的信息文化知識(shí)與素養(yǎng)�����、增強(qiáng)高校師生的法律意識(shí)和道德觀念,共同營(yíng)造良好的校園電子商務(wù)人文環(huán)境,防止人為惡意攻擊和破壞�����。
2��、建立良好的網(wǎng)上支付環(huán)境�����。目前,我國(guó)高校大都建立了校園一卡通工程,校園電子商務(wù)系統(tǒng)可以采用一卡通或校園電子賬戶作為網(wǎng)上支付的載體,而不需要與銀行等金融系統(tǒng)互聯(lián),由學(xué)校結(jié)算中心專(zhuān)門(mén)處理與金融機(jī)構(gòu)的業(yè)務(wù),可以大大提高校園網(wǎng)上支付的安全性。
3��、建立統(tǒng)一身份認(rèn)證系統(tǒng)���。建立校園統(tǒng)一身份認(rèn)證系統(tǒng)可以為校園電子商務(wù)系統(tǒng)提供安全認(rèn)證的功能�����。
4、組織物流配送團(tuán)隊(duì)���。校園師生居住地點(diǎn)相對(duì)集中,一般來(lái)說(shuō)就在學(xué)校內(nèi)部或校園附近,只需要很少的人員就可以解決物流配送問(wèn)題,而不需要委托第三方物流公司,在校園內(nèi)建立一個(gè)物流配送團(tuán)隊(duì)就可以準(zhǔn)確�����、及時(shí)地完成配送服務(wù)���。
(二)校園網(wǎng)絡(luò)安全對(duì)策。保障校園網(wǎng)絡(luò)安全的主要措施有:
1���、防火墻技術(shù)�����。利用防火墻技術(shù)來(lái)實(shí)現(xiàn)校園局域網(wǎng)的安全性,以解決訪問(wèn)控制問(wèn)題,使只有授權(quán)的校園合法用戶才能對(duì)校園網(wǎng)的資源進(jìn)行訪問(wèn),防止來(lái)自外部互聯(lián)網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的破壞�����。
2���、病毒防治技術(shù)��。在任何網(wǎng)絡(luò)環(huán)境下,計(jì)算機(jī)病毒都具有不可估量的威脅性和破壞力,校園網(wǎng)雖然是局域網(wǎng),可是也免不了計(jì)算機(jī)病毒的威脅���。因此,加強(qiáng)病毒防治是保障校園網(wǎng)絡(luò)安全的重要環(huán)節(jié)。
3���、VPN技術(shù)���。目前,我國(guó)高校大都已經(jīng)建立了校園一卡通工程,如果能利用VPN技術(shù)建立校園一卡通專(zhuān)網(wǎng),就能大大提高校園信息安全、保證數(shù)據(jù)的安全傳輸,有效地保證網(wǎng)絡(luò)的安全性和穩(wěn)定性,且易于維護(hù)和改進(jìn)���。
(三)交易信息安全對(duì)策��。針對(duì)校園電子商務(wù)中交易信息安全問(wèn)題,可以用電子商務(wù)的安全機(jī)制來(lái)解決,例如數(shù)據(jù)加密技術(shù)�����、認(rèn)證技術(shù)和安全協(xié)議技術(shù)等��。通過(guò)數(shù)據(jù)加密,可以保證信息的機(jī)密性;通過(guò)采用數(shù)字摘要�����、數(shù)字簽名���、數(shù)字信封�����、數(shù)字時(shí)間戳和數(shù)字證書(shū)等安全機(jī)制來(lái)解決信息的完整性和不可否認(rèn)性的問(wèn)題;通過(guò)安全協(xié)議方法,建立安全信息傳輸通道來(lái)保證電子商務(wù)交易過(guò)程和數(shù)據(jù)的安全。
1�����、數(shù)據(jù)加密技術(shù)��。加密技術(shù)是電子商務(wù)中最基本的信息安全防范措施,其原理是利用一定的加密算法來(lái)保證數(shù)據(jù)的機(jī)密,主要有對(duì)稱加密和非對(duì)稱加密���。對(duì)稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密運(yùn)算與解密運(yùn)算使用同樣的密鑰�����。不對(duì)稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,而解密密鑰不公開(kāi)���。
2�����、認(rèn)證技術(shù)��。認(rèn)證技術(shù)是保證電子商務(wù)交易安全的一項(xiàng)重要技術(shù),它是網(wǎng)上交易支付的前提,負(fù)責(zé)對(duì)交易各方的身份進(jìn)行確認(rèn)���。在校園電子商務(wù)中,網(wǎng)上交易認(rèn)證可以通過(guò)校園統(tǒng)一身份認(rèn)證系統(tǒng)(如校園一卡通系統(tǒng))來(lái)進(jìn)行對(duì)交易各方的身份認(rèn)證。
3���、安全協(xié)議技術(shù)���。目前,電子商務(wù)發(fā)展較成熟和實(shí)用的安全協(xié)議是SET和SSL協(xié)議。通過(guò)對(duì)SSL與SET兩種協(xié)議的比較和校園電子商務(wù)的需求分析,校園電子商務(wù)更適合采用SSL協(xié)議�����。SSL位于傳輸層與應(yīng)用層之間,能夠更好地封裝應(yīng)用層數(shù)據(jù),不用改變位于應(yīng)用層的應(yīng)用程序,對(duì)用戶是透明的。而且SSL只需要通過(guò)一次“握手”過(guò)程就可以建立客戶與服務(wù)器之間的一條安全通信通道,保證傳輸數(shù)據(jù)的安全�����。
(四)基于一卡通的校園電子商務(wù)��。目前,我國(guó)高校校園網(wǎng)建設(shè)和校園一卡通工程建設(shè)逐步完善,使用校園一卡通進(jìn)行校園電子商務(wù)的網(wǎng)上支付可以增強(qiáng)校園電子商務(wù)的支付安全,可以避免或降低了使用銀行卡支付所出現(xiàn)的卡號(hào)被盜的風(fēng)險(xiǎn)等�����。同時(shí),使用校園一卡通作為校園電子支付載體的安全保障有:
1���、校園網(wǎng)��。它是一個(gè)內(nèi)部網(wǎng)絡(luò),它自身已經(jīng)屏蔽了絕大多數(shù)來(lái)自公網(wǎng)的黑客攻擊及病毒入侵,由于有防火墻及反病毒軟件等安全防范設(shè)施,來(lái)自外部網(wǎng)絡(luò)人員的破壞可能性很小���。同時(shí),校園一卡通中心有著良好的安全機(jī)制,使得使用校園一卡通在校內(nèi)進(jìn)行網(wǎng)上支付被盜取賬號(hào)密碼等信息的可能性微乎其微。
2�����、校園一卡通�����。它具有統(tǒng)一身份認(rèn)證系統(tǒng),能夠?qū)⑴c交易的各方進(jìn)行身份認(rèn)證,各方的交易活動(dòng)受到統(tǒng)一的審計(jì)和監(jiān)控,統(tǒng)一身份認(rèn)證能夠保證網(wǎng)上工作環(huán)境的安全可靠��。校園網(wǎng)絡(luò)管理中對(duì)不同角色的用戶享有不同級(jí)別的授權(quán),使其網(wǎng)上活動(dòng)受到其身份的限制,有效防止一些惡意事情的發(fā)生��。同時(shí),由于校內(nèi)人員身份單一,多為學(xué)生,交易中一旦發(fā)生糾紛,身份容易確認(rèn),糾紛就容易解決�����。
四���、結(jié)束語(yǔ)
開(kāi)展校園電子商務(wù)是推進(jìn)校園信息化建設(shè)的重要內(nèi)容,隨著我國(guó)校園信息化建設(shè)的不斷深入,目前已有許多高校開(kāi)展了校園電子商務(wù),它極大地方便了校園內(nèi)師生員工的工作���、學(xué)習(xí)、生活��?��?墒桥c此同時(shí),安全問(wèn)題成為制約校園電子商務(wù)發(fā)展的障礙���。因此,如何建立一個(gè)安全、便捷的校園電子商務(wù)應(yīng)用環(huán)境,讓師生能夠方便可靠地進(jìn)行校園在線交易和網(wǎng)上支付,是當(dāng)前校園電子商務(wù)發(fā)展應(yīng)著重研究的關(guān)鍵問(wèn)題�����。
(作者單位:1.陜西理工學(xué)院;2.重慶大學(xué)經(jīng)濟(jì)與工商管理學(xué)院)
主要參考文獻(xiàn):
[1]李洪心.電子商務(wù)安全[M].大連:東北財(cái)經(jīng)大學(xué)出版社,2008.
[2]楊堅(jiān)爭(zhēng),趙雯,楊立釩.電子商務(wù)安全與電子支付[M].北京:機(jī)械工業(yè)出版社,2008.
[3]劉克強(qiáng).電子交易與支付[M].北京:人民郵電出版社,2007.
[4]Charlie Kaufman,Radia Perlman,MikeSpeciner著,許劍卓等譯.網(wǎng)絡(luò)安全-公眾世界中的秘密通信[M].北京:電子工業(yè)出版社,2004.
[5]張紅霞,宋德昌.校園電子商務(wù)如何建設(shè)[J].信息系統(tǒng)工程,2005.7.
[6]朱乾鋒.淺談“一卡通”技術(shù)[J].科技創(chuàng)新導(dǎo)報(bào),2009.9.
[7]丁學(xué)君.電子商務(wù)中的信息安全問(wèn)題及其對(duì)策[J].計(jì)算機(jī)安全,2009.2.
[8]余紹軍,彭銀香.電子商務(wù)安全與數(shù)據(jù)加密技術(shù)淺析[J].中國(guó)管理信息化(綜合版),2007.4.
[9]王俊杰.電子商務(wù)安全問(wèn)題及其應(yīng)對(duì)策略[J].特區(qū)經(jīng)濟(jì),2007.7.
[10]秦昌友.淺析電子商務(wù)的安全技術(shù)[J].蘇南科技開(kāi)發(fā),2007.8.
第8篇
[關(guān)鍵詞] 網(wǎng)絡(luò)安全 事件 安全對(duì)策
隨著網(wǎng)絡(luò)時(shí)代的到來(lái),越來(lái)越多的人通過(guò)Internet進(jìn)行商務(wù)活動(dòng)�����。電子商務(wù)的發(fā)展前景十分誘人���,而其安全問(wèn)題也變得越來(lái)越突出���。近年來(lái),網(wǎng)絡(luò)安全事件不斷攀升���,電子商務(wù)金融成了攻擊目標(biāo)�����,以網(wǎng)頁(yè)篡改和垃圾郵件為主的網(wǎng)絡(luò)安全事件正在大幅攀升��。在國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT/CC)2005處理的網(wǎng)絡(luò)安全事件報(bào)告中�����,網(wǎng)頁(yè)篡改占45.91%�����,網(wǎng)絡(luò)仿冒占29%��,其余為拒絕服務(wù)攻擊��、垃圾郵件��、蠕蟲(chóng)�����、木馬等�����。如何建立一個(gè)安全���、便捷的電子商務(wù)應(yīng)用環(huán)境,對(duì)信息提供足夠的保護(hù)��,已經(jīng)成為電子商務(wù)的所有參與者十分關(guān)心的話題��。
一��、電子商務(wù)中的主要網(wǎng)絡(luò)安全事件分析
歸納起來(lái)���,對(duì)電子商務(wù)應(yīng)用影響較多��、發(fā)生率較高的互聯(lián)網(wǎng)安全事件可以分為網(wǎng)頁(yè)篡改���、網(wǎng)絡(luò)蠕蟲(chóng)�����、拒絕服務(wù)攻擊��、特羅伊木馬�����、計(jì)算機(jī)病毒���、網(wǎng)絡(luò)仿冒等,網(wǎng)頁(yè)篡改���、網(wǎng)絡(luò)仿冒(Phishing)��,逐步成為影響電子商務(wù)應(yīng)用與發(fā)展的主要威脅��。
1.網(wǎng)頁(yè)篡改
網(wǎng)頁(yè)篡改是指將正常的網(wǎng)站主頁(yè)更換為黑客所提供的網(wǎng)頁(yè)�����。這是黑客攻擊的典型形式��。一般來(lái)說(shuō)���,主頁(yè)的篡改對(duì)計(jì)算機(jī)系統(tǒng)本身不會(huì)產(chǎn)生直接的損失,但對(duì)電子商務(wù)等需要與用戶通過(guò)網(wǎng)站進(jìn)行溝通的應(yīng)用來(lái)說(shuō)���,就意味著電子商務(wù)將被迫終止對(duì)外的服務(wù)���。對(duì)企業(yè)網(wǎng)站而言,網(wǎng)頁(yè)的篡改��,尤其是含有攻擊��、丑化色彩的篡改��,會(huì)對(duì)企業(yè)形象與信譽(yù)造成嚴(yán)重?fù)p害�����。
2.網(wǎng)絡(luò)仿冒(Phishing)
網(wǎng)絡(luò)仿冒又稱網(wǎng)絡(luò)欺詐�����、仿冒郵件或者釣魚(yú)攻擊等,是黑客使用欺詐郵件和虛假網(wǎng)頁(yè)設(shè)計(jì)來(lái)誘騙收件人提供信用卡賬號(hào)�����、用戶名��、密碼�����、社會(huì)福利號(hào)碼等�����,隨后利用騙得的賬號(hào)和密碼竊取受騙者金錢(qián)��。近年來(lái)���,隨著電子商務(wù)��、網(wǎng)上結(jié)算�����、網(wǎng)上銀行等業(yè)務(wù)在日常生活中的普及��,網(wǎng)絡(luò)仿冒事件在我國(guó)層出不窮���,諸如中國(guó)銀行網(wǎng)站等多起金融網(wǎng)站被仿冒�����。網(wǎng)絡(luò)仿冒已經(jīng)成為影響互聯(lián)網(wǎng)應(yīng)用,特別是電子商務(wù)應(yīng)用的主要威脅之一���。
網(wǎng)絡(luò)仿冒者為了逃避相關(guān)組織和管理機(jī)構(gòu)的打擊���,充分利用互聯(lián)網(wǎng)的開(kāi)放性,往往會(huì)將仿冒網(wǎng)站建立在其他國(guó)家�����,而又利用第三國(guó)的郵件服務(wù)器來(lái)發(fā)送欺詐郵件���,這樣既便是仿冒網(wǎng)站被人舉報(bào)��,但是關(guān)閉仿冒網(wǎng)站就比較麻煩���,對(duì)網(wǎng)絡(luò)欺詐者的追查就更困難了��,這是現(xiàn)在網(wǎng)絡(luò)仿冒犯罪的主要趨勢(shì)之一�����。
3.網(wǎng)絡(luò)蠕蟲(chóng)
網(wǎng)絡(luò)蠕蟲(chóng)是指一種可以不斷復(fù)制自己并在網(wǎng)絡(luò)中傳播的程序�����。這種程序利用互聯(lián)網(wǎng)上計(jì)算機(jī)系統(tǒng)的漏洞進(jìn)入系統(tǒng)�����,自我復(fù)制�����,并繼續(xù)向互聯(lián)網(wǎng)上的其他系統(tǒng)進(jìn)行傳播�����。蠕蟲(chóng)的不斷蛻變并在網(wǎng)絡(luò)上的傳播���,可能導(dǎo)致網(wǎng)絡(luò)被阻塞的現(xiàn)象發(fā)生�����,從而致使網(wǎng)絡(luò)癱瘓�����,使得各種基于網(wǎng)絡(luò)的電子商務(wù)等應(yīng)用系統(tǒng)失效��。
4.拒絕服務(wù)攻擊(Dos)
拒絕服務(wù)攻擊是指在互聯(lián)網(wǎng)上控制多臺(tái)或大量的計(jì)算機(jī)針對(duì)某一個(gè)特定的計(jì)算機(jī)進(jìn)行大規(guī)模的訪問(wèn)���,使得被訪問(wèn)的計(jì)算機(jī)窮于應(yīng)付來(lái)勢(shì)兇猛的訪問(wèn)而無(wú)法提供正常的服務(wù)���,使得電子商務(wù)這類(lèi)應(yīng)用無(wú)法正常工作�����。拒絕服務(wù)攻擊是黑客常用的一種行之有效的方法���。如果所調(diào)動(dòng)的攻擊計(jì)算機(jī)足夠多,則更難進(jìn)行處置��。尤其是被蠕蟲(chóng)侵襲過(guò)的計(jì)算機(jī),很容易被利用而成為攻擊源�����,并且這類(lèi)攻擊通常是跨網(wǎng)進(jìn)行的��,加大了打擊犯罪的難度���。
5.特羅伊木馬
特羅伊木馬(簡(jiǎn)稱木馬)是一種隱藏在計(jì)算機(jī)系統(tǒng)中不為用戶所知的惡意程序�����,通常用于潛伏在計(jì)算機(jī)系統(tǒng)中來(lái)與外界聯(lián)接�����,并接受外界的指令��。被植入木馬的計(jì)算機(jī)系統(tǒng)內(nèi)的所有文件都會(huì)被外界所獲得�����,并且該系統(tǒng)也會(huì)被外界所控制���,也可能會(huì)被利用作為攻擊其他系統(tǒng)的攻擊源���。很多黑客在入侵系統(tǒng)時(shí)都會(huì)同時(shí)把木馬植入到被侵入的系統(tǒng)中。
二���、解決電子商務(wù)中網(wǎng)絡(luò)安全問(wèn)題的對(duì)策研究
隨著網(wǎng)絡(luò)應(yīng)用日益普及和更為復(fù)雜��,網(wǎng)絡(luò)安全事件不斷出現(xiàn)��,電子商務(wù)的安全問(wèn)題日益突出��,需要從國(guó)家相關(guān)法律建設(shè)的大環(huán)境到企業(yè)制定的電子商務(wù)網(wǎng)絡(luò)安全管理整體架構(gòu)的具體措施��,才能有效保護(hù)電子商務(wù)的正常應(yīng)用與發(fā)展��。
1.進(jìn)一步完善法律與政策依據(jù) 充分發(fā)揮應(yīng)急響應(yīng)組織的作用
我國(guó)目前對(duì)于互聯(lián)網(wǎng)的相關(guān)法律法規(guī)還較為欠缺���,尤其是互聯(lián)網(wǎng)這樣一個(gè)開(kāi)放和復(fù)雜的領(lǐng)域���,相對(duì)于現(xiàn)實(shí)社會(huì)��,其違法犯罪行為的界定���、取證���、定位都較為困難。因此���,對(duì)于影響電子商務(wù)發(fā)展的基于互聯(lián)網(wǎng)的各類(lèi)網(wǎng)絡(luò)安全事件的違法犯罪行為的立法�����,需要一個(gè)漫長(zhǎng)的過(guò)程�����。根據(jù)互聯(lián)網(wǎng)的體系結(jié)構(gòu)和網(wǎng)絡(luò)安全事件的特點(diǎn)���,需要建立健全協(xié)調(diào)一致,快速反應(yīng)的各級(jí)網(wǎng)絡(luò)應(yīng)急體系���。要制定有關(guān)管理規(guī)定���,為網(wǎng)絡(luò)安全事件的有效處理提供法律和政策依據(jù)。
互聯(lián)網(wǎng)應(yīng)急響應(yīng)組織是響應(yīng)并處理公共互聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全事件的組織���,在我國(guó)���,CNCERT/CC是國(guó)家級(jí)的互聯(lián)網(wǎng)應(yīng)急響應(yīng)組織�����,目前已經(jīng)建立起了全國(guó)性的應(yīng)急響應(yīng)體系�����;同時(shí)���,CNCERT/CC還是國(guó)際應(yīng)急響應(yīng)與安全小組論壇(FIRST,F(xiàn)orum of Incident Response and Security Teams)等國(guó)際機(jī)構(gòu)的成員��。應(yīng)急響應(yīng)組織通過(guò)發(fā)揮其技術(shù)優(yōu)勢(shì)���,利用其支撐單位��,即國(guó)內(nèi)主要網(wǎng)絡(luò)安全廠商的行業(yè)力量���,為相關(guān)機(jī)構(gòu)提供網(wǎng)絡(luò)安全的咨詢與技術(shù)服務(wù)��,共同提高網(wǎng)絡(luò)安全水平��,能有效減少各類(lèi)的網(wǎng)絡(luò)事件的出現(xiàn);通過(guò)聚集相關(guān)科研力量�����,研究相關(guān)技術(shù)手段���,以及如何建立新的電子交易的信任體系�����,為電子商務(wù)等互聯(lián)網(wǎng)應(yīng)用的普及和順利發(fā)展提供前瞻性的技術(shù)研究方面具有積極意義��。
2.從網(wǎng)絡(luò)安全架構(gòu)整體上保障電子商務(wù)的應(yīng)用發(fā)展
網(wǎng)絡(luò)安全事件研究中看到���,電子商務(wù)的網(wǎng)絡(luò)安全問(wèn)題不是純粹的計(jì)算機(jī)安全問(wèn)題,從企業(yè)的角度出發(fā)���,應(yīng)該建立整體的電子商務(wù)網(wǎng)絡(luò)安全架構(gòu)�����,結(jié)合安全管理以及具體的安全保護(hù)���、安全監(jiān)控�����、事件響應(yīng)和恢復(fù)等一套機(jī)制來(lái)保障電子商務(wù)的正常應(yīng)用���。
安全管理主要是通過(guò)嚴(yán)格科學(xué)的管理手段以達(dá)到保護(hù)企業(yè)網(wǎng)絡(luò)安全的目的。內(nèi)容可包括安全管理制度的制定��、實(shí)施和監(jiān)督���,安全策略的制定��、實(shí)施��、評(píng)估和修改�����,相關(guān)人員的安全意識(shí)的培訓(xùn)�����、教育���,日常安全管理的具體要求與落實(shí)等��。
安全保護(hù)主要是指應(yīng)用網(wǎng)絡(luò)安全產(chǎn)品、工具和技術(shù)保護(hù)網(wǎng)絡(luò)系統(tǒng)�����、數(shù)據(jù)和用戶���。這種保護(hù)主要是指靜態(tài)保護(hù)���,通常是一些基本的防護(hù),不具有實(shí)時(shí)性���,如在防火墻的規(guī)則中實(shí)施一條安全策略���,禁止所有外部網(wǎng)用戶到內(nèi)部網(wǎng)Web服務(wù)器的連接請(qǐng)求,一旦這條規(guī)則生效�����,它就會(huì)持續(xù)有效��,除非我們改變這條規(guī)則。這樣的保護(hù)能預(yù)防已知的一些安全威脅���,而且通常這些威脅不會(huì)變化��,所以稱為靜態(tài)保護(hù)���。
安全監(jiān)控和審計(jì)是實(shí)時(shí)保護(hù)的一種策略,它主要滿足一種動(dòng)態(tài)安全的需求�����。因?yàn)榫W(wǎng)絡(luò)安全技術(shù)在發(fā)展的同時(shí)�����,黑客技術(shù)也在不斷的發(fā)展��,網(wǎng)絡(luò)安全不是一成不變的�����,也許今天對(duì)你來(lái)說(shuō)安全的策略���,明天就會(huì)變得不安全���,因此我們應(yīng)該時(shí)刻關(guān)注網(wǎng)絡(luò)安全的發(fā)展動(dòng)向,以及網(wǎng)絡(luò)上發(fā)生的各種各樣的事情��,以便及時(shí)發(fā)現(xiàn)新的攻擊���,制定新的安全策略���?����?梢赃@樣說(shuō)�����,安全保護(hù)是基本���,安全監(jiān)控和審計(jì)是其有效的補(bǔ)充,兩者的有效結(jié)合��,才能較好地滿足動(dòng)態(tài)安全的需要���。
事件響應(yīng)與恢復(fù)主要針對(duì)發(fā)生攻擊事件時(shí)相應(yīng)的應(yīng)急措施與恢復(fù)正常應(yīng)用的機(jī)制�����。就是當(dāng)攻擊發(fā)生時(shí)���,能及時(shí)做出響應(yīng)��,這需要建立一套切實(shí)有效���、操作性強(qiáng)的響應(yīng)機(jī)制,及時(shí)防止攻擊的進(jìn)一步發(fā)展�����。響應(yīng)是整個(gè)安全架構(gòu)中的重要組成部分���,因?yàn)榫W(wǎng)絡(luò)構(gòu)筑沒(méi)有絕對(duì)的安全�����,安全事件的發(fā)生是不可能完全避免的���,當(dāng)安全事件發(fā)生的時(shí)候,應(yīng)該有相應(yīng)的機(jī)制快速反應(yīng)��,以便讓管理員及時(shí)了解攻擊情況,采取相應(yīng)措施修改安全策略�����,盡量減少并彌補(bǔ)攻擊的損失��,防止類(lèi)似攻擊的再次發(fā)生���。當(dāng)安全事件發(fā)生后�����,對(duì)系統(tǒng)可能會(huì)造成不同程度的破壞,如網(wǎng)絡(luò)不能正常工作��、系統(tǒng)數(shù)據(jù)被破壞等���,這時(shí)���,必須有一套機(jī)制能盡快恢復(fù)系統(tǒng)的正常應(yīng)用,因?yàn)楣艏热灰呀?jīng)發(fā)生了��,系統(tǒng)也遭到了破壞�����,這時(shí)只有讓系統(tǒng)以最快的速度運(yùn)行起來(lái)才是最重要的,否則損失將更為嚴(yán)重��。因此恢復(fù)在電子商務(wù)安全的整體架構(gòu)中也是不可缺少的組成部分�����。
三���、結(jié)論
Internet的快速發(fā)展���,使電子商務(wù)逐漸進(jìn)入人們的日常生活,而伴隨各類(lèi)網(wǎng)絡(luò)安全事件的日益增加與發(fā)展�����,電子商務(wù)的安全問(wèn)題也變得日益突出�����,建立一個(gè)安全��、便捷的電子商務(wù)應(yīng)用環(huán)境��,解決好電子商務(wù)應(yīng)用與發(fā)展的網(wǎng)絡(luò)安全問(wèn)題必將對(duì)保障和促進(jìn)電子商務(wù)的快速發(fā)展起到良好的推動(dòng)作用。
參考文獻(xiàn):
[1]CNCERT/CC.2005年上半年網(wǎng)絡(luò)安全工作報(bào)告
[2]李 衛(wèi):計(jì)算機(jī)網(wǎng)絡(luò)安全與管理.北京:清華大學(xué)出版社�����,2000
[3]李海泉:計(jì)算機(jī)網(wǎng)絡(luò)安全與加密技術(shù).北京:科學(xué)出版社�����,2001
第9篇
論文摘要:隨著互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展���,基于網(wǎng)絡(luò)和多媒體技術(shù)的電子商務(wù)應(yīng)運(yùn)而生并迅速發(fā)展���。所謂電子商務(wù)通常是指是在全球各地廣泛的商業(yè)貿(mào)易活動(dòng)中,在因特網(wǎng)開(kāi)放的網(wǎng)絡(luò)環(huán)境下��,基于瀏覽器/服務(wù)器應(yīng)用方式��,買(mǎi)賣(mài)雙方不謀面地進(jìn)行各種商貿(mào)活動(dòng)�����,實(shí)現(xiàn)消費(fèi)者的網(wǎng)土購(gòu)物��、商戶之間的網(wǎng)交易和在線電子支付以及各種商務(wù)活動(dòng)和相關(guān)的綜合服務(wù)活動(dòng)的一種新型的商業(yè)運(yùn)營(yíng)模式�����。信息技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展使電子商務(wù)得到了極大的推廠��,然而由于互聯(lián)網(wǎng)的開(kāi)放性�����,網(wǎng)絡(luò)安全問(wèn)題日益成為制約電子商務(wù)發(fā)展的一個(gè)關(guān)鍵性問(wèn)題���。
一���、電子商務(wù)網(wǎng)絡(luò)信息安全存在的問(wèn)題
電子商務(wù)的前提是信息的安全性保障,信息安全��,勝的含義主要是信息的完整性���、可用性�����、保密險(xiǎn)和可靠性�����。因此電子商務(wù)活動(dòng)中的信安全問(wèn)題主要體現(xiàn)在以兩個(gè)方面:
1���、網(wǎng)絡(luò)信息安全方面
(l)安全協(xié)議問(wèn)題���。目前安全協(xié)議還沒(méi)有全球性的標(biāo)準(zhǔn)和規(guī)范,相對(duì)制約了國(guó)際性的商務(wù)活動(dòng)��。此外�����,在安全管理方面還存在很大隱患�����,普遍難以抵御黑客的攻擊�����。
(3)防病毒問(wèn)題��?����;ヂ?lián)網(wǎng)的出現(xiàn)為電腦病毒的傳播提供了最好的媒介���,不少新病毒直接以網(wǎng)絡(luò)作為自己的傳播途徑���,在電子商務(wù)領(lǐng)域如何有效防范病毒也是一個(gè)十分緊迫的問(wèn)題。
(4)服務(wù)器的安全問(wèn)題��。裝有大量與電子商務(wù)有關(guān)的軟件和商戶信息的系統(tǒng)服務(wù)器是電子商務(wù)的核心�����,所以服務(wù)器特別容易受到安全的威脅��,并且一旦出現(xiàn)安全問(wèn)題��,造成的后果會(huì)非常嚴(yán)重�����。
2���、電子商務(wù)交易方面
(1)身份的不確定問(wèn)題���。由于電子商務(wù)的實(shí)現(xiàn)需要借助于虛擬的網(wǎng)絡(luò)平臺(tái)���,在這個(gè)平臺(tái)上交易雙方是不需要見(jiàn)面的,因此帶來(lái)了交易雙方身份的不確定性���。攻擊者可以通過(guò)非法的手段盜竊合法用戶的身份信息��,仿冒合法用戶的身份與他人進(jìn)行交易��。
(2)交易的抵賴問(wèn)題�����。電子商務(wù)的交易應(yīng)該同傳統(tǒng)的交易一樣具有不可抵賴性��。有些用戶可能對(duì)自己發(fā)出的信息進(jìn)行惡意的否認(rèn)��,以推卸自己應(yīng)承擔(dān)的責(zé)任��。
(3)交易的修改問(wèn)題���。交易文件是不可修改的,否則必然會(huì)影響到另一方的商業(yè)利益��。電子商務(wù)中的交易文件同樣也不能修改�����,以保證商務(wù)交易的嚴(yán)肅和公正���。
二�����、電子商務(wù)中的網(wǎng)絡(luò)信息安全對(duì)策
1���、電子商務(wù)網(wǎng)絡(luò)安全的技術(shù)對(duì)策
(1)應(yīng)用數(shù)字簽名。數(shù)字簽名是用來(lái)保證信息傳輸過(guò)程中信息的完整和提供信息發(fā)送者身份的認(rèn)證���,應(yīng)用數(shù)字簽名可在電子商務(wù)中安全���,方便地實(shí)現(xiàn)在線支付,而數(shù)據(jù)傳輸?shù)陌踩?�、完整性��,身份?yàn)證機(jī)制以及交易的不可抵賴性等均可通過(guò)電子簽名的安全認(rèn)證手段加以解決���。(2)配置防火墻���。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制尺度�����,它能阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò)���,防止他們更改、拷貝�����、毀壞你的重要信息�����。它能控制網(wǎng)絡(luò)內(nèi)外的信息交流��,提供接人控制和審查跟蹤���,是一種訪問(wèn)控制機(jī)制�����。在邏輯�����,防火墻是一個(gè)分離器���、限制器,能有效監(jiān)控內(nèi)部網(wǎng)和工nternet之間的任何活動(dòng)�����,保證內(nèi)部網(wǎng)絡(luò)的安全�����。
(3)應(yīng)用加密技術(shù)��。密鑰加密技術(shù)的密碼體制分為對(duì)稱密鑰體制和公用密鑰體制兩�����。相應(yīng)地�����,對(duì)數(shù)據(jù)加密的技術(shù)分為對(duì)稱加密和非討稱力日密兩類(lèi)。根據(jù)電子商務(wù)系統(tǒng)的特點(diǎn)�����,全面加密保護(hù)應(yīng)包括對(duì)遠(yuǎn)程通信過(guò)程中和網(wǎng)內(nèi)通信過(guò)程中傳輸?shù)臄?shù)據(jù)實(shí)施加密保護(hù)���。一般來(lái)說(shuō)���,應(yīng)根據(jù)管理級(jí)別所對(duì)應(yīng)的數(shù)據(jù)保密要求進(jìn)行部分加密而非全程加密。
2��、電子商務(wù)網(wǎng)絡(luò)安全的管理策略
(1)建立保密制度���。涉及信息保密�����、口令或密碼保密���、通信地址保密、日常管理和系統(tǒng)運(yùn)行狀況保密��、工作日記保密等各個(gè)方面���。對(duì)各類(lèi)保密都需要慎重考慮���,根據(jù)輕重程度劃分好不同的保密級(jí)別�����,并制定出相應(yīng)的保密措施。
(2)建立系統(tǒng)維護(hù)制度�����。該制度是電子商務(wù)網(wǎng)絡(luò)系統(tǒng)能否保持長(zhǎng)期安全�����、穩(wěn)定運(yùn)行的基本保證���,應(yīng)由專(zhuān)職網(wǎng)絡(luò)管理技術(shù)人員承擔(dān)���,為安全起見(jiàn),其他任何人不得介人�����,主要做好硬件系統(tǒng)日常借理維護(hù)和軟件系統(tǒng)日常管理維護(hù)兩方面的工作。
(3)建立病毒防范制度���。病毒在網(wǎng)絡(luò)環(huán)境下具有極大的傳染性和危害性�����,除了安裝防病毒軟件之外�����,還要及時(shí)升級(jí)防病毒軟件版本���、及時(shí)通報(bào)病毒人侵信息等工作。此外��,還可將網(wǎng)絡(luò)系統(tǒng)中易感染病毒的文件屬性���、權(quán)限加以限制���,斷絕病毒人侵的渠道,從而達(dá)預(yù)防的目的���。
(4)建立數(shù)據(jù)備份和恢復(fù)的保障制度��。作為一個(gè)成功的電子商務(wù)系統(tǒng)��,應(yīng)針對(duì)信息安全至少提供三個(gè)層面的安全保護(hù)措施:一是數(shù)據(jù)在操作系統(tǒng)內(nèi)部或者盤(pán)陣中實(shí)現(xiàn)快照�����、鏡像;二是對(duì)數(shù)據(jù)庫(kù)及郵件服務(wù)器等重要數(shù)據(jù)做到在電子交易中心內(nèi)的自動(dòng)備份;三是對(duì)重要的數(shù)據(jù)做到通過(guò)廣域網(wǎng)專(zhuān)線等途徑做好數(shù)據(jù)的克隆備份�����,通過(guò)以土保護(hù)措施可為系統(tǒng)數(shù)據(jù)安全提供雙保險(xiǎn)���。
三、電子商務(wù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)
電子商務(wù)的網(wǎng)絡(luò)信息安全不僅與技術(shù)有關(guān)��,更與社會(huì)因素��、法制環(huán)境等多方面因素有關(guān)���。故應(yīng)對(duì)電子商務(wù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)劃分如下:
1.電子商務(wù)系統(tǒng)硬件安全���。主要是指保護(hù)電子商務(wù)系統(tǒng)所涉及計(jì)算機(jī)硬件的安全性,保證其可靠哇和為系統(tǒng)提供基礎(chǔ)性作用的安全機(jī)制��。
2.電子商務(wù)系統(tǒng)軟件安全。主要是指保證交易記錄及相關(guān)數(shù)據(jù)不被篡改��、破壞與非法復(fù)制��,系統(tǒng)軟件安全的目標(biāo)是使系統(tǒng)中信息的處理和傳輸滿足整個(gè)系統(tǒng)安全策略需求��。
3.電子商務(wù)系統(tǒng)運(yùn)行安全���。主要指滿足系統(tǒng)能夠可靠���、穩(wěn)定、持續(xù)和正常的運(yùn)行�����。
4.電子商務(wù)網(wǎng)絡(luò)安全的立法保障���。結(jié)合我國(guó)實(shí)際�����,借鑒國(guó)外先進(jìn)網(wǎng)絡(luò)信息安全立法�����、執(zhí)法經(jīng)驗(yàn)�����,完善現(xiàn)行的網(wǎng)絡(luò)安全法律體系��。
