电子商务网站安全设计(精选12篇)
电子商务网站安全设计 篇1
随着Internet网络的迅速普及以及人们消费观念的改变, 网上购物活动越来越多, 很多人的日常生活和工作已经离不开电子商务。电子商务有着广阔的发展前景, 然而, 伴随着电子商务的发展, 商务网站的安全问题 (如仿冒用户身份、黑客入侵、信息被窃取或篡改、非授权访问数据或服务、否认抵赖、拒绝服务攻击DOS等) 也日益严峻, 已成为当前制约电子商务进一步发展的瓶颈之一, 电子商务网站安全性成为电子商务及其应用成败的关键, 因此, 构建安全的电子商务网站对电子商务的健康发展着有重要意义。
1 电子商务网站安全需求分析
某电子商务网站分为前台在线购物子系统、后台数据管理子系统、网络支付和CA认证子系统。后台管理系统主要是系统管理员对网站的维护和数据库的操作, 包括交易管理、商品管理、用户管理、系统管理四个模块;前台在线购物系统主要是为了方便用户通过Internet访问网站, 为所到访的用户提供浏览网站商品信息, 同时为合法用户提供商品选择、商品购买、新品推荐等多种功能, 包括商品查询模块、信息反馈模块、用户交易模块、会员管理模块以及注册与登录模块等五个模块;网上支付系统是整个系统中资金流的核心, 其将卖家与消费者相关联, 反映了交易过程中资金流的变化;认证中心 (CA) 主要承担网上电子交易过程中的数字证书的管理、用户身份的确认、服务的认证和数字证书的签发。经过调查研究, 确定系统的安全需求如下:
1) 网页防篡改:电子商务网站暴露于Internet上供公众访问, 一旦网站被篡改将造成严重的后果, 如恶意信息的发布, 木马病毒的传播, 保密信息的泄漏等, 因此, 在网站安全设计中必须防止黑客或病毒等对网站进行非法篡改和破坏, 当发现网页、数据库、图片、电子文档和以前备份的不同时, 自动还原被改过的网页。
2) 交易数据加密:攻击者首先侦听网络数据, 然后对网络数据进行详细分析后, 才实施攻击, 因此, 对在Internet上传输的交易数据要进行大强度的数据加密, 杜绝攻击者分析交易数据的可能性, 保护网站免遭攻击。
3) 数据自动备份:服务器机房断网及网站被迫关闭现象时有发生, 因此, 网站必须具备对网站数据的自动同步备份功能, 能按设定的时间点对需要备份的文件进行统一的执行, 并能够将数据恢复到指定的时间点, 当发生硬盘损坏或者病毒感染时, 能够快速恢复源文件。
4) 交易数据的不可抵赖性:网站用户需要依据强制的密码复杂度 (充分使用ASCII字符全集) , 通过定期更换密码, 确保用户账户信息安全, 密码在网站中采取加密存储, 在交易的全过程, 详细记录每个交易的交易过程数据。
5) 交易数据完整性:敏感、机密、重要的数据在传递过程中, 防止被人篡改。
6) 安全审计自动响应:对网站安全进行全天监控, 一旦发现网站存在漏洞、挂马或被篡改的情况, 立刻通过警报, 并及时将木马清理, 避免网站被搜索引擎的屏蔽, 减少网站访问量流失。
7) 安全审计分析:针对网站密码系统、网站漏洞信息、网站挂马信息、垃圾邮件、常见漏洞、常见注入和常见跨站进行专业检测, 通过全面的分析报告, 为管理员提供快速修复网站密码安全隐患的建议。
8) 漏洞扫描:据统计, 83%的网站存在SQL注入、跨站脚本等40余类漏洞, 及时检测修复可有效防止挂马、数据泄露和破坏等严重问题, 遏制安全漏洞威胁共建网络安全。
9) 访问控制性:实时监控商品信息上传、在线图片上传等, 一旦发现网页木马应立即删除。此外, 根据设置的规则, 对不同模块的访问权限也不同, 因此, 网站对网站中每个模块具有设置操作 (插入、删除、修改、访问) 权限功能。
2电子商务网站安全体系设计
电子商务的安全要素主要包括信息完整性, 信息机密性, 身份认证性, 不可抵赖性以及数据传输的可靠性等, 现在网站开发中常用的语言有ASP、JSP、XML、PHP、HTML、DHTML等, 常用到的数据库有SQL SERVER、ORACLE、ACCESS、MY SQL等。为了更好的体现网站的安全性, 构建的电子商务网站安全体系包括系统应用层、安全协议层、安全认证层、加密技术层、和网络服务层五部分。
1) 系统应用层中分布着各种电子商务应用系统, 如:电子商务业务系统, 电子商务支付系统等, 这部分通过利用主机漏洞扫描技术、可信度等级高的操作系统以及数据备份、数据库访问审计等手段实现。
2) 交易协议层包括SET、SSL、Netbill、JEPI、Neteash、eybereash等, 使用较多的是SET协议和SSL协议, SET协议利用RSA公开密钥、Hash算法等保证确保商家和客户的合法性、确保商家和客户交易行为的不可否认性、客户交易信息的保密性和完整性;SSL协议采用了公开密钥和私有密钥两种加密方法, SSL安全协议主要提供三方面的服务:保护数据的完整性、加密数据以隐藏被传送的数据、用户和服务器的合法性认证, 将SET和SSL协议结合起来可以给电子商务网站了双重保险。
3) 安全认证层主要采用数字签名、数字信封、时间戳和数字摘要等来解决文件传输的完整性、不可否认性和认证性等问题, 加入安全认证层可以更大程度的增加系统的安全性。
4) 加密技术层利用加密算法, 把明文转换成密文, 实现数据的机密性, 加密算法分为对称加密和非对称加密, 常用的对称密钥加密算法主要有PCR算法、DEA算法、DES算法、I3DES算法等;非对称密钥加密算法主要有椭圆曲线密码算法和RSA算法;为了利用了对称算法的速度快且安全可靠的优点和非对称算法的密钥传送安全的有点, 该文采用对称加密与非对称加密的混合算法较好的解决了传输速率和安全的折中。
5) 网络服务层包括防火墙、访问控制、入侵检测、VPN等, 该层主要解决电子系统电子商务网站中的安全不可拒绝性和访问控制性的问题。放置在内部被保护的网络和Internet之间防火墙可以有效阻止入侵者进入内部被保护的网络;作为防火墙的补充部分的入侵检测实时保护网络安全和计算机系统的安全, 利用内置的攻击特征库, 使用模式匹配和智能分析的方法, 监听被保护网络, 检测攻击, 实时报警, 存储检测到的信息;VPN技术是利用不可靠的公共网络作为信息的传输媒介, 通过附加的安全隧道等技术实现与专用网络相类似的安全性能, 便于商业用户伙伴建立可信的安全连接, 提高信息传输的可靠性。
3 入侵检测模块设计
3.1 入侵检测模型设计
入侵检测系统通过实时监视和分析网络数据, 一旦发现异常数据包和可疑的入侵行为, 立即做出相应的响应并报警, 及时截取和终止非法的入侵, 将系统安全风险降到最低, 有效保护系统的数据和资源。设计的入侵检测系统模型分为数据预处理、检测模块和决策响应三部分, 如图2所示, 其中, 数据预处理主要是对网络数据进行标准化和归一化, 标准化处理是将非数值型数据转换成数值型, 归一化处理是将经过标准化处理后的数据处理为0~1内的数据;检测模块是使用数据挖掘技术挖掘出网络数据记录中的各种关联关系, 包括隐藏的潜在的关系;决策响应是使用正常规则集对经过数据挖掘得出来的分析关系进行分析对比, 判断各种入侵行为, 并给以具体的响应 (报警或更新) 和及时地完善和更新入侵规则库。
3.2 数据挖掘算法
数据挖掘算法采用模糊c均值法 (FCM) 聚类方法, 利用FCM方法实现入侵检测的过程为:划分分组~利用FCM算法进行聚类~调整分组中心判断分组类型;但由于传统FCM算法容易进入局部最优, 而粒子群算法容易取得全局最优的特点, 基于此, 该文利用粒子群算法对FCM进行优化。
X= (X1, X2, ..., Xn) 为聚类样本, Q= (q 1, q2, ..., qn) 为聚类中心集合, 基于粒子群优化模糊c均值聚类算法的步骤如下:
1) 初始化, 给定群体规模n, 聚类数目c, 加速因子1c及c2, , 最大粒子群算法迭代次数tmax、最大与最小惯性权重Wmax及Wmin。
2) 聚类中心Q (0) 是通过随机数生成器产生, 对n个群体对象进行编码, 组成第1代粒子, 当前粒子群中位置最好的粒子位置是Pgd, 每个粒子的当前位置是Pid。
4) 利用目标函数计算每个粒子新位置的适应值, 然后对比本次取得的目标函数值与前一次迭代产生的最优位置的目标函数值, 如果当前值好, 则Xid取代Pgd, 否则保持原有的Pgd的取值。
5) 在完成一次迭代后, 重新利用粒子适应值更新个体极值与全局极值, 通过计算得到新适应值, 利用适应值得到新的全局最优点, 用Pgd来表示。
6) 利用公式Wid=W´Vid+c1´rand () ´ (Pid-Xid) +c2´rand () ´ (Pgd-Xid) 在给出其最大范围内调整粒子速度, 围, 利用公式Xid=Vid+Xid在给出其限制范围内调整粒子的位置。
7) 若U (t+) 1-U (t) £e或者达到最大粒子群算法迭代次数tmax, 则算法结束, 并输出结果, 否则重复⑵~⑸, 同时进化代数计数器加1。
模型中, 模糊c均值聚类允许最小误差为ε=10-7, 粒子群群体为50, 最大迭代次数为1000, 平滑因子c1=c2=1.5, 惯性权重Wmax=0.9, Wmin=0.6。
4 结束语
在构建企业电子商务应用中, 安全性始终是放在第一位的, 安全性是电子商务网站成功的关键所在, 在现有的技术条件下进行电子商务网站设计的时候, 开发人员必须把新型安全技术与传统安全技术相结合, 文中将模糊聚类方法应用到电子商务中的入侵检测系统中, 确保了网站的安全, 在实践中对电子商务网站的安全建设有较大的帮助。
摘要:与普通网站相比, 电子商务网站更应重视安全性, 网站安全性是确保电子商务网站可靠运行并有效开展电子商务活动的基础。该文藉此对电子商务网站的安全需求进行分析, 接着进行电子商务网站的安全设计, 最后讨论了基于模糊聚类的入侵检测模型设计。
关键词:电子商务,网站安全,入侵检测
参考文献
[1]董毅.高职院校C2C电子商务网站的设计[J].微型机与应用, 2012 (16) .
[2]张晶.提高网站用户注册数据的安全有效性[J].电脑编程技巧与维护, 2012 (4) .
[3]彭芳.电子商务网站设计中信息安全防御的研究[J].煤炭技术, 2012 (5) .
[4]刘汝元.基于云计算的电子商务安全问题研究[J].中国商贸, 2012 (2) .
电子商务网站安全设计 篇2
课程设计是作为一门独立的课,进行考核的。根据本课程所学知识,针对“淘宝商城”大卖家,没有独立建站的,为其设计“独立电子商务网站建设实施方案”,方案须重点考虑可行性,有效性。该方案以小组为单位提交,每个小组必须按时提交才有成绩,根据分工情况、完成质量打分。
方案主题:“淘宝商城”大卖家xxx的电子商务网站
时间:2010年1月21日截止
考核:完成以下内容,根据完成情况给分,没有提交或不合格的需要重修,重考
完成内容:
1.小组项目分工及进度安排一份(参考“网站项目分工及进度安排.doc”)
2.建设实施方案一份(必须包括:可行性分析;成本预算;网站栏目内容规划;网站发布与推广等内容)(参考“参考_1电子商务网站建设方案模板.doc,参考_2网站项目开发方案模板.doc,参考_3服饰类B2C商城网站规划实施方案.doc”)
3.网站建设效果图若干(网页截图图片)
示例:淘宝商城大卖家:优衣库 http://uniqlo.taobao.com/
电子商务网站的规划与设计 篇3
[关键词] 电子商务 网站规划内容 设计原则 功能模块
电子商务就是利用先进的电子技术进行商务活动的总称。它是通过网络、使用先进的信息处理工具,利用计算机这种载体,将买卖双方的商务信息、产品信息、销售信息、服务信息以及电子支付等活动,用相互认同的交易标准来实现。进行电子商务活动的平台是电子商务网站。电子商务网站在企业的电子商务体系中有着重要的作用,网站内容规划是否合理、设计的好坏、推广的成败,直接关系企业实施电子商务能否成功。
一、电子商务网站规划的内容
电子商务网站的规划是指从战略高度,对网站建设、运营进行的全盘谋略与策划。主要内容应该包括网站构建目标和开展的业务分析、网站目标客户分析、网站市场定位分析、技术与经济可行性分析、运行环境和技术及工具的选择等等,下面仅简单地论述前几个问题。
1.网站构建目标和开展的业务分析。目标是网站构建的出发点,企业能够在网上开展的业务是以自身的商务需求和产品特色及行业特点作为选择的标准。
2.网站目标客户分析。调查与分析目标客户,了解网站可能服务的对象和他们的需求,规划与设计符合目标客户群的商务网站,为他们提供所需的产品或服务,以及满足他们的兴趣与爱好,吸引他们对网站的注意力,使企业的网站不仅仅是停留在公司形象宣传、信息发布与简单的信息浏览的层面上,而是真正成为满足客户需求的商务网站。
3.网站市场定位分析。现代企业的运行,在生产和制造产品之前,往往都会对自己的产品在市场上处于何种位置、竞争对手的情况、市场份额以及消费者心理做出全面的了解和分析,然后再生产,这样才能做到与消费者紧密无间的配合,电子商务网站亦是如此。盲目地建立一个网站就发布在因特网上,只能徒增企业的成本而已,因此市场定位分析对电子商务网站的建设是必要而又行之有效的。
4.技术与经济及人员可行性分析。技术可行性分析主要是指构建与运行电子商务网站所必需的硬件、软件及相关技术对电子商务业务流程的支撑分析; 经济可行性分析主要是指构建与运行网站的投入与产出效益分析; 组织人员可行性分析主要是指保证网站构建与运行所需要的人力资源,组织设计和管理制度的分析。学会有效的管理,使网上交易的安全性得到提高。因此,一个好的电子商务网站管理系统应在这方面给予充分的重视。
二、电子商务网站的设计原则
经过对以上情况进行综合分析,制定出企业网站整体规划,确定网站的发展方向和符合本企业特点的服务项目后,接下来就可以进行网站的设计工作。
电子商务网站既要处理企业与企业之间、企业同消费者之间大量复杂而零散的数据和信息,又要保证数据和信息传输的安全性,因此与普通的Web网站相比在数据处理和传输方面要求更高,流程也更加复杂。因此,要使电子商务系统满足以下原则:
1.系统的安全性。在任何情况下,保证网站安全、稳定的运行,确保数据的完整性、正确性和可恢复性无疑是网站设计的前提。
2.系统的经济性。高性价比是一个好网站的重要指标。设计的时候,要注意系统的整体优化和可扩展性,避免重复建设。
3.系统的开放性。商务网站只是企业整个商务体系中的一部分,它可能是企业的第一个系统,但决不应该是最后的一个。因此,它必须设计成支持开放性、符合相关技术标准的系统,使其能与原有系统(如果有的话)协调工作,并与将来新建系统相互兼容。
4.系统的先进性。信息技术的发展日新月异, 我们在设计时,要尽量采用先进而成熟的技术和设备,保证系统高效、可靠安全地运行。与此同时,也要防止片面地追求“一步到位”的倾向。
5.系统的易用性。网站必须设计成易于使用,而不只是信息的简单堆砌。因此,要求网站要有良好的导航功能;当网站的网页数目比较多时,应该提供站内搜索引擎服务,便于客户可以方便,快捷地在站内查找所需的信息。其次,网页要有可读性,可以考虑把长篇的网页分成多幅,或者提供网页之内的书签链接。
三、电子商务网站的功能模块
1.网上电子商务系统。商务网站最主要的功能就是在网上开展电子营销。因此该系统是整个网站的核心模块,也是大多数电子商务网站中技术最成熟的模块。
2.用户认证管理系统。电子商务网站一个很重要的功能是对客户的管理。主要是通过对用户提交的注册信息的进行分析,对不同业务系统的用户登录进行统一认证。包括用户密码、身份及权限的认证等。
3.询价系统。电子商务网站中的询价系统应为用户提供灵活的商品价格查询和分析手段,用户可以自己定义复杂的查询条件,从不同的角度去搜寻自己需要的商品和价格。
4.商品检索引擎。商品检索引擎系统应支持多种方式的检索:既支持简单的关键词检索,也支持复杂的智能检索。并且支持同时对商品、分类等进行的高速查询服务。
5.网上调查系统。网上调查系统用于各种调查活动,可以插入在各种栏目中,商务网站中一般采用通用网上WEB调查系统。其主要作用是协助企业在网上开展调查,用来了解客户的消费心理,从而更好地改善服务。并且能通过调查结果,及时地掌握客户需求和市场走向。
6.广告管理与发布系统。可以实现按年、月、日、时对广告投放点击进行统计,并对网友进行区域分析,提供商家各种相关的数据。
参考文献:
[1]王日芬丁晟春等:电子商务网站设计与管理[M].北京:北京大学出版社,2002年
电子商务网站安全设计 篇4
1 信息安全面临的威胁
1.1 平台威胁
电子商务是一种有别于传统交易, 依托网络平台来开展的新兴交易方式, 信息传递过程中影响信息传播速度的因素很多, 包括电磁辐射干扰和网络设备老化, 情况严重时会威胁到交易双方的信息安全。除了网络设备的物理干扰和破坏外, 一己私利造成的人为商务系统硬件破坏更为严重, 他们有意更改信息内容, 通过这种不法手段获取经济利益。
1.2 安全环境恶化
发达国家经过多年的发展, 技术水平远远领先于我国, 尤其是在计算机软硬件技术及网络安全技术方面。我国硬件核心设备的研发能力不足, 核心技术还未取得突破性进展, 不得不依靠进口采购。在无法独立自主生产的情况下, 必须依靠国外引进, 生产技术和维护技术受到极大的限制, 极大影响了我国电子商务的健康发展。
1.3 黑客入侵
一些不法分子面对电子商务交易的蓬勃发展, 势必会产生不劳而获的贪婪心理, 利用网络安全漏洞来攻击电子商务网站平台。当前网络黑客侵入方式使用最普遍的是木马程序, 通过木马程序侵入本地计算机, 使得计算机记录的登录信息遭到篡改或泄露, 导致重要文件及资金丢失。网络病毒不可控性很强, 其自身繁殖功能十分强大, 严重损坏计算机文件, 还会对计算机的硬件设施造成严重破坏, 且网络技术的迅速发展, 使计算机病毒的破坏力也随之增强。
1.4 网上支付安全隐患
网上支付是电子商务的核心部分, 确保支付安全才能保障电子商务的健康发展, 因此, 网上支付的规范性、安全性、便捷性及高效性一定程度上决定了电子商务的发展潜力。从电子商务开展的实际支付结构可知, 商务系统平台、安全认证系统、电子支付网关和电子钱包等四个条件必不可少。而安全认证系统是整个电子商务顺利开展的重要前提, 理由如下:首先, 网络在实际运行中灵活性较强, 当前的多种技术手段无法完全应对网络安全威胁, 仍存在较大的问题。其次, 虽然各家银行先后建立了CA认证中心, 但这些CA认证中心的权威性不足, 无法成为全国性的认证标准, 造成重复认证和资源浪费。最后, 新《合同法》虽然纳入电子合同的法律效用条款, 但数字签名仍存在技术问题, 这导致问题出现后的一些复杂法律关系难以解决, 如责任认定、责任承担、有效执行仲裁结果等。
2 常见信息安全漏洞防御
2.1 结构性查询语言注入
这是一种用于存取信息数据的数据库系统, 其作用是方便管理人员进行网络管理和用户查询。结构性查询语言简称为SQL, 从本质上来说是一种程序设计的、高级的非过程化编程语言, 其作用是作为客户端与数据库服务器相互沟通的桥梁。因此, SQL是网站设计中安全防御的重点包括以下内容。
2.1.1 经典的‘or 1=1’注入
作为计算机最经典的结构性查询语言, 该注入方式一般不需要用户名进行验证, 密码方面也没有多层输入的要求, 故身份登录并不会受到用户名的限制。因此, 该注入方式在编写验证程序时, 通过程序设计使得用户名输入时无需验证, 避开非预期字符串的限制, 然后将信息直接传递给mysql-query () 函数执行。这种注入方式跳过了验证环节, 验证码正确与否都不干涉用户名登录。因此, 从信息安全防御角度出发, 登录确认工作是网站设计的重中之重, 注意严密防范非法用户登录。
2.1.2 利用union语句的注入
Union语句注入的作用机理是, 网站设计中注入union会使网站程序默认的语句出错, 网站运行速度受限, 或者网页直接打不开, 严重时还会引起网站崩溃。结构性查询语言从理论上来说注入方式较多, 从根源上防御各种注入方式才是关键。作为计算机工作者, 日常网络维护要认真严谨, 细心对查询语句的参数进行过滤, 遇到可疑情况及时排查。
2.2 跨站脚本攻击的防范
跨站脚本攻击, 英文全称为Cross Site Scripting。该脚本通过将恶意代码植入到用户的网站页面, 让用户登录与实际网站完全不同的虚假网站。该脚本主要是将Java Script脚本注入到HTML标签中进行攻击, 是一种频繁引发网站设计安全威胁的重要因素。
2.2.1 跨站脚本攻击的探测
跨站脚本攻击是可以及时检测到的, 有助于尽早发现网站设计过程中的问题, 语句检测是判断跨站脚本攻击的重要依据。如在输入框中输入语句找到其执行的地方, 如果发现有弹窗就证明有跨站脚本对软件进行攻击。以网站的评论为例, 在网站评论页面的输入框中写入相关代码, 完成后进行刷新, 若发现浏览器的弹出窗口没有得到禁止, 基本可以判断该网站设计的评论模块有跨站脚本攻击过。
2.2.2 重新定向
一旦发在网站设计过程中存在跨站脚本攻击的某些漏洞, 那么黑客就有多种方式攻击网站。如可以通过跨站脚本攻击重新定位新的攻击网页, 实现刷目标网站流量的目的。举一个简单的例子, 用户A发了一个容易构造的URL给用户B, 当用户B打开后, 恶意脚本开始攻击用户B的电脑, 可以执行前一个用户A权限下的所有命令。
2.2.3 攻击弹出其他网页
大部分网民浏览网页时都碰到过广告弹窗的情况, 这是电脑黑客通过跨站脚本攻击的方式, 实现攻击计算机用户正在浏览网页的目的, 从而让用户浏览其他网页。针对跨站脚本这种攻击方式, 通常采用特征匹配来进行针对性防御, 同时加强认证工作, 最大限度避免跨站脚本攻击的发生。
3 结语
一个安全的电子商务网站平台是电子商务交易健康发展的重要前提, 必须在网站设计过程中增强信息安全防御, 有效保障交易双方的信息安全和财产安全。这要求网站设计师从网站操作的各环节出发去评估安全漏洞, 提高信息安全防御性能, 尽量减少黑客和病毒的侵入, 确保电子商务网站的安全运行。
摘要:全球经济多元化的快速发展为电子商务这种新兴商务交易提供了前所未有的发展机遇, 而电子商务在近十年间的发展日新月异, 成为人们日常生活中最重要的商务交易方式之一。电子商务可以有效弥补传统商务交易中效率低、周期长、流程复杂等不足, 将互联网信息技术的优势淋漓尽致的发挥出来。与传统商务交易最明显的区别在于, 电子商务容易受到网络病毒及黑客等网络不安全因素的影响, 电子商务网站作为电子商务交易的载体, 信息安全防御是设计过程中需要重点考虑的, 必须确保交易主体信息及财产的安全性。基于此, 从自身相关领域的工作经验出发, 简单分析了目前电子商务网站面临的信息安全威胁, 介绍网站设计过程中常用的、高效的网络安全技术, 为电子商务网站设计提供一些信息安全防御的思路和策略。
关键词:电子商务,信息安全防御,网站设计
参考文献
[1]彭芳, 朱新英.电子商务网站设计中信息安全防御的研究[J].煤炭技术, 2012, 31 (5) :194-195.
[2]邢太北.关于电子商务网站设计中信息安全防御的研究[J].计算机光盘软件与应用, 2012 (15) :22.
[3]王丽.关于网站设计中信息安全防御的思考[J].计算机光盘软件与应用, 2012 (12) :21.
电子商务网站安全设计 篇5
第1章 绪论..............................................................1 1.1 课题背景............................................................1 1.2 研究意义............................................................1 1.3 设计目标............................................................1 第2章 开发工具及相关技术简介............................................2 2.1 JAVA语言............................................................2 2.2 ECLIPSE.............................................................2 2.3 TOMCAT.............................................................2 2.4 MYSQL与NAVICAT FOR MYSQL........................................2 2.5 MVC框架............................................................3 2.6 B/S架构............................................................3 第3章 系统总体设计......................................................4 3.1 功能模块分析........................................................4 3.1.1前台功能模块分析................................................4 3.1.2后台功能模块分析................................................4 3.2 业务流程分析........................................................4 3.3 可行性研究..........................................................4 3.3.1技术可行性......................................................5 3.3.2经济可行性......................................................5 3.3.3管理可行性......................................................5 3.4 数据库设计..........................................................5 3.4.1数据库需求分析..................................................5 3.4.2数据库概念设计..................................................6 3.4.3数据库逻辑设计..................................................6 3.4.4数据库结构实现..................................................8 第4章 系统详细设计与实现...............................................10 4.1 界面设计原则.......................................................10 4.2主要功能及界面的实现...............................................10 4.2.1前台子系统的设计与实现.........................................10 4.2.2后台子系统的设计与实现.........................................13 第5章 系统测试.........................................................16 5.1测试环境...........................................................16 5.2测试过程...........................................................16 第6章 总结与展望.......................................................20
6.1 总结...............................................................20 6.2 展望...............................................................20 参考文献................................................................21 致 谢................................................错误!未定义书签。附 录................................................错误!未定义书签。
电子商务网站的设计与实现
第1章 绪论
1.1 课题背景
从21世纪以来,作为一种新型的经营模式,电子商务得到了长足的发展,特别是近几年信息速度高度发达的经济环境下,日益趋向成熟。并且人们已经逐步接受网上购物这一观念。
从电商发展至今,可以看得出开发一个电子商务网站的价值所在:除了投资少,回收快,基本不需要占压资金之外,24小时的营业时间以及不受店面地理位置影响都是其显著特点。而对于消费者而言,采用电子商务方式可以高效、便捷和低成本的实现购买活动。
在中国发展网上购物已经具有良好的消费者基础,网上购物方式日趋被大家所接受。因此设计一个电子商务网站具有很好的应用和开发前景。
1.2 研究意义
现在流行的网上购物系统不仅要有漂亮的网页,更要有严谨的规划,注重每一个细小的环节,这样才能使得在电子交易时避免不必要错误发生。我们将使用HTML、JSP等技术来编辑网页,采用MVC开发模式,以B/S为架构,并运用JDBC技术把数据库和动态网页相关联[1]。本设计参照实际的网店的业务逻辑建立而成,同时自己建立数据库,使得所需商品信息可以及时的保存、更新,这样,前台可以更好的完成网上购物体验,而管理员也可以更好的及时的了解商品买卖的情况。
1.3设计目标
通过本电子商务网站,顾客可浏览商品信息,搜索到自己想要的商品,并可以完成对商品下单等操作。而后台管理员可以管理注册用户的信息,同时也可以完成对商品、订单和新闻等的管理操作。本网站致力于提供给用户完善的购物体验,同时方便管理员对后台的管理。
第2章开发工具及相关技术简介
软件的开发工具用以支持软件开发的相关过程、活动和任务。运行环境为工具集成和软件的开发、维护及管理提供统一的支持。本系统依据开发的实体需求,采用的开发工具有Eclipse、Tomcat、MySQL和Navicat For MySQL等。
开发工具在软件开发过程中是必不可少的,其属于一种被软件开发工程师定性的认为是为特定的软件包、系统(或软件)框架以及操作平台等创建应用性软件的特殊软件。在一个完善的系统的开发过程中,必要的开发工具将为整个开发的过程减少较多的成本和时间,提高了开发效率。而每个系统的开发平台不一样,因此其所搭建的开发环境当然也会有很大的差别。
2.1 Java语言
Java[2]是一种可以撰写跨平台应用软件的面向对象的程序设计语言,是由Sun Microsystems公司于1995年5月推出的Java程序设计语言和Java平台(即JavaSE, JavaEE, JavaME)的总称。Java 技术具有卓越的通用性、高效性、平台移植性和安全性,广泛应用于个人PC、数据中心、游戏控制台、科学超级计算机、移动电话和互联网,同时拥有全球最大的开发者专业社群。在全球云计算和移动互联网的产业环境下,Java更具备了显著优势和广阔前景。
Java 编程语言是个简单、面向对象、分布式、解释性、健壮、安全与系统无关、可移植、高性能、多线程和动态的语言。
2.2 Eclipse
Eclipse 是一个开放源代码的、基于Java的可扩展开发平台。就其本身而言,它只是一个框架和一组服务,用于通过插件组件构建开发环境。幸运的是,Eclipse 附带了一个标准的插件集,包括Java开发工具(Java Development Kit,JDK)。
2.3 Tomcat
Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。对于一个初学者来说,可以这样认为,当在一台机器上配置好Apache 服务器,可利用它响应对HTML 页面的访问请求。
2.4 MySQL与Navicat For MySQL
MySQL[3]是一个关系型数据库管理系统,由瑞典MySQL AB公司开发,它是用于访
电子商务网站的设计与实现
问数据库的最常用标准化语言。由于其体积小、速度快、总体拥有成本低,尤其是开放源码这一特点,一般中小型网站的开发都选择MySQL作为网站数据库。
Navicat For MySQL是一款强大的 MySQL 数据库管理和开发工具,它为专业开发者提供了一套强大的足够尖端的工具,但对于新用户仍然易于学习。Navicat For MySQL 基于Windows平台,为 MySQL 量身订作,提供类似于 MySQL 的用管理界面工具。此解决方案的出现,将解放php,Java等程序员以及数据库设计者、管理者的大脑,降低开发成本,为用户带来更高的开发效率。
2.5 MVC框架
MVC[4]是一个框架模式,它强制性的使应用程序的输入、处理和输出分开。使用MVC应用程序被分成三个核心部件:模型、视图、控制器。它们各自处理自己的任务。最典型的MVC就是JSP + Servlet + Javabean的模式。
2.6 B/S架构
B/S[5]最大的优点就是可以在任何地方进行操作而不用安装任何专门的软件,只要有一台能上网的电脑就能使用,客户端零安装、零维护。系统的扩展非常容易。B/S同时具有升级和维护方式相对简单、成本较低等。
第3章 系统总体设计
3.1 功能模块分析
本电子商务网站涉及到两种业务角色,即前台用户角色和后台管理员角色。3.1.1前台功能模块分析
(1)用户信息模块,即用户注册、用户登录、用户查看和修改个人信息;
(2)商品信息模块,即分类查看商品信息、搜索商品信息;
(3)购物车信息模块,即添加购物车、删除购物车、搜索购物车信息;(4)订单信息模块,即添加订单、删除订单,搜索订单信息;(5)新闻信息模块、即浏览发布的新闻信息;
(6)留言板信息模块、即添加留言,查看所有的留言信息; 3.1.2后台功能模块分析
(1)管理员信息模块,即管理员登录、查看个人信息、修改个人信息;(2)用户管理模块,即查看所有用户信息、搜索用户信息、删除用户;(3)商品管理模块,即添加商品、查询商品、删除商品;
(4)订单管理模块,即查看所有订单信息,搜索订单,删除订单;(5)新闻管理模块,即查看所有的新闻,搜索新闻,修改新闻,删除新闻;(6)留言板管理模块,即查看所有留言信息,删除留言;
3.2 业务流程分析
通过本电子商务网站分为前后台两种角色管理,前台用户可以完成对应的业务逻辑,如图1所示。后台管理员完成对应的业务逻辑,如图2所示。
图1 前台业务流程图
图2 后台业务流程图
3.3 可行性研究
可行性分析能使新系统达到以最小的开发成本取得最佳的经济效益,其目的也是根
电子商务网站的设计与实现
据开发管理信息系统的需求,通过初步调查和系统目标分析,对于本电子商务网站设计从技术上、经济上和管理上进行是否可行的研究与分析,这既是保证资源的有效合理利用,也是避免在日常工作中的失误而导致的种种浪费现象 3.3.1技术可行性
技术方面,本系统采用Java语言进行设计,Java也是我们比较熟悉的语言。由于是初次设计电子商务网站,在技术和知识层面上的欠缺,导致在制作过程中遇到许多的困难,编程和设计的时候,明显感觉到知识积累的不够,并且很多知识点已经淡忘。通过与老师的沟通,在老师的细心指导下,以及我们的一起努力,翻阅了大量的资料,多操作多实践,本系统才得以比较顺利的开发出来。因为实践和技术方面的不足,使得我们设计的程序依然存在很多不完善的地方,后期好好的钻研,使本系统能更完善更适用。3.3.2经济可行性
本系统相对较小也比较简单,不需要投入大量资金,同时又存在着实用性,能改善使用方法在财力和人力上的过度消耗。因此一经使用便可收到很好的成效,做到合理节约和合理利用资源,既提高了工作效率并且也减少了工作人员的工作量,这使得本系统在处理业务方面得到很大的提升空间。3.3.3管理可行性
对于绝大多数用户而言,他们已经养成了网上购物的习惯。对于购物方式,也已相对比较熟悉。对于本网站而言,简洁友好的界面可以使用户快速的了解本网站提供的业务,从而能更好的操作以完成网上购物的体验。对于后台管理者而言,本系统提供的后台操作简单,模块划分简洁明了。因此无论是用户,还是管理员都能很好的操作本网站提供的功能,在管理方面是可行的。
3.4 数据库设计
数据库设计是指对于一个给定的应用环境,构造(设计)优化的数据库逻辑模式和物理结构,并据此建立数据库及其应用系统,使之能够有效地存储和管理数据,满足各种用户的应用需求,包括信息管理要求和数据操作需求。信息管理要求是指在数据库中应该存储和管理哪些数据对象;数据操作要求是指对数据对象需要进行哪些操作,如查询、增、删、改、统计等操作[6]。3.4.1数据库需求分析
数据库需求分析的任务是通过详细调查现实世界要处理的对象(组织、部门、企业 5
等),充分了解系统的工作概况,明确用户的各种需求,然后在此基础上确定系统的功能,因此必须充分考虑今后可能的扩充和改变,不能仅仅按照当前应用需求来设计数据库。本系统相对比较简单,从前台到后台操作涉及到的实体及其属性的定义都能满足系统的要求,因此在考虑后期可能的应用需求,本数据库的设计相对合理,应用性良好。3.4.2数据库概念设计
数据库概念设计阶段是在需求分析的基础上,设计出能满足用户需求的各种实体,以及它们之间的关系,为后面的逻辑结构设计打下基础。在本电子商务网站中,各项实体之间的关系并不复杂,本系统的数据库没有设计外键关联,只是将关联数据库的字段存放到需要的数据库表中,从而能达到数据关联的目的,如图3所示,因此概念设计也相对比较容易。
图3 数据库实体关系图 3.4.3数据库逻辑设计
在数据库逻辑结构设计阶段,需要将数据库概念结构转化为MySQL数据库系统所支持的实际数据模型,也就是数据库的逻辑结构。在上面的实体结构的基础上,形成对应的数据库表,如表1—表7所示。
表1 用户基本信息表
电子商务网站的设计与实现
表2 商品基本信息表
表3 订单基本信息表
表4 购物车基本信息表
表5 新闻基本信息表
表6 管理员基本信息表
表7 留言板基本信息表
3.4.4数据库结构实现
在需求分析、概念结构设计的基础上得到数据库的逻辑结构之后,就可以在MySQL数据库系统中实现该逻辑结构。实现数据库的逻辑结构的方式是借助Navicat For Mysql来管理实现,详细步骤如下所述。
(1)打开Navicat For Mysql,选择“连接”出现“新建连接”界面,在“连接名”输入框中填入项目名(如eshop),其他选择对应的数值,如端口号、数据库的用户名和密码等。当点击测试连接时,若如图4所示的效果,则连接成功,点击确定即可看到如图5所示的界面。
图4 新建数据库连接
图5 连接列表
(2)选中“eshop”,鼠标右击选择“新建数据库”,在“数据库名”标签中填入数据库名(如eshop),“字符集”选择“utf8--UTF-8 Unicode”,其他选择默认,如图6所示。
图6 新建数据库
图7 新建表
(3)双击展开“eshop”数据库,选中“表”,鼠标右击选中“新建表”,如图7所示,进入填写数据项信息的界面,选中下面的“自动增加”(表示id为自动增加),填写完信息后保存,提示填入表名(如e_user)即可,如图8所示。
图8 e_user 数据表
电子商务网站的设计与实现
(4)这样我们在MySQL数据库系统中就创建了一个eshop的数据连接,并在该连接下创建一个eshop数据库,并且能够建立所需的数据表,如图9所示。后期的操作中只要连接到该数据库,就可以直接对数据库中的数据表进行操作。
图9 所有的数据表
第4章 系统详细设计与实现
4.1 界面设计原则
界面设计是屏幕产品的重要组成部分。界面设计是一个复杂的有不同学科参与的工程,认知心理学、设计学、语言学等在此都扮演着重要的角色。用户界面是用户与程序沟通的唯一途径,要能为用户提供方便有效的服务。用户界面设计的三大原则是:置界面于用户的控制之下、减少用户的记忆负担、保持界面的一致性。
4.2主要功能及界面的实现
本电子商务网站采用的是JSP[7]技术作为前端页面展现,由于每个模块的页面是不一样的,因此在设计页面时,要合理的安排,尽量使用户能够很快的熟悉本网站的主要功能,同时需要保持界面的简洁和一致性。4.2.1前台子系统的设计与实现
(1)前台用户注册
对于本电子商务网站,未成功注册用户只能查看新闻公告,商品信息等,而不能进入系统使用其他的业务。用户需要办理注册手续,即进入注册页面,按要求输入有效的个人信息,如账户名、真实姓名、身份证号、邮箱等必要信息,如图10所示。
图10 用户注册
图11 用户登录
(2)前台用户登录
已成功注册用户只有登录系统才能执行其他业务操作,如图11所示,因此在登录界面输入账户名和密码,提交信息后,后台进行验证,若与数据库里存储的信息匹配,则可以成功登陆。
(3)前台新闻信息模块
当进入网站首页,则直接在右边的页面中浏览所有的公告信息,或者点击“首页”,则回到所有新闻信息显示页面,如图12所示。
电子商务网站的设计与实现
图12前台新闻信息模块
(4)前台用户信息模块
进入主界面后,当用户点击“会员信息”时,即进入“前台用户信息”子模块,此模块中显示了登陆用户的个人信息,用户可以修改个人信息,包括密码的修改等,如图13所示。
图13 前台用户信息模块
(5)前台商品信息模块
在主界面的左侧导航栏中(如“聚美优品”、“商品类别”、“品牌商家”等),则根据其下拉的选项点击查看不同的商品信息。在对应页面上方的查询输入框中,输入商品名称,则可查询所需的商品信息,如图14所示。
图14 前台商品信息模块
(6)前台购物车信息模块
当点击商品信息的操作栏中“加入购物车”链接时,则进入购物车信息模块。该页面上显示将加入购物车中的商品信息。当点击“购物车”时,则显示该用户下的购物车中的商品信息。当点击购物车列表里“删除”操作,则可删除购物车中对应的商品。在购物车列表页面的输入框中输入商品名称,显示所需的商品信息,如图15所示。
图15前台购物车信息模块
(7)前台订单信息模块
当点击商品列表的“生成订单”操作,如图14所示。或者点击购物车列表的“生成订单”操作,如图15所示时,则出现订单信息填写页面,输入订单信息,并通过验证,即完成订单添加操作;否则添加失败。点击“查看订单”操作,显示该用户下所有的订单信息。点击订单列表中的“删除”操作,则删除对应的商品订单。在订单列表的输入框中输入订单编号,则查询出所需的订单信息,如图16所示。
图16前台商品信息模块
(8)前台留言板信息模块
点击“留言栏”操作,显示所有的留言信息,如图17所示。用户可以添加留言信息,未登录用户添加留言时,出现需要用户登陆提示。
电子商务网站的设计与实现
图17 前台新闻信息模块
4.2.2后台子系统的设计与实现
(1)后台管理员登录
当管理员输入用户名和密码时,后台进行验证,若验证通过,则进入后台管理界面,若验证错误,则提示登陆失败信息,如图18所示。当管理员成功登陆到系统后,系统会跳转到如图19所示的后台主界面,从而完成后台的管理。
图18 前台新闻信息模块
图19 后台主界面
(2)后台管理员信息模块
当管理员成功登陆后,则进入后台管理界面,当点击左侧导航栏中“系统管理”下的“管理员信息”时,则显示管理员的个人信息,当点击“修改”时,则可以修改管理员的用户名和密码,如图20所示。
图20 后台管理员信息模块
(3)后台用户管理模块
当点击右侧导航栏中“用户管理”下“用户管理”,则显示所有注册用户信息。管理员可以删除用户,或者根据账户名查找用户,如图21所示。
图21 后台用户管理模块(4)后台商品管理模块
当点击右侧导航栏中“商品管理”下“添加商品”,则可填写商品信息,若通过后台验证,则完成添加操作,否则提示添加错误信息。当点击“商品列表”,则显示所有的商品信息。在输入框中输入商品名,则可以完成按商品名查询操作。当点击“删除”则删除对应的商品,如图22所示。
图22 后台商品管理模块(5)后台订单管理模块
当点击右侧导航栏中“订单管理”下“订单列表”,则可显示所有的订单信息。当管理员在输入框中输入订单ID或者点击操作栏中的“删除”时,则完成对应的搜索或删除操作,如图23所示。
电子商务网站的设计与实现
图23 后台订单管理模块
(6)后台新闻管理模块
当点击右侧导航栏中“新闻管理”下“添加新闻”,则可填写新闻信息,若通过后台验证,则完成添加操作,否则提示添加错误信息。当点击“新闻列表”,则显示所有的新闻信息。当点击“删除”或“修改”,则可完成相应操作。在输入框中输入新闻ID,完成新闻查询操作,如图24所示。
图24 后台新闻管理模块(7)后台留言板管理模块
当点击右侧导航栏中“留言管理”下“留言板管理”,则显示所有前台用户的留言信息。当点击“删除”,则可完成删除留言的操作,如图25所示。
图25 后台留言板管理模块
第5章 系统测试
5.1测试环境
软件环境:JDK1.6,Windows 2000以上的操作系统[8]; 硬件环境:最低Intel Pentium II 500 MHz; 安装内存(RAM): 512MB(最好1GB以上)。
5.2测试过程
当用户在前台登录页面中输入正确的账户名(如“jason”)和密码(如“123456”)时,则登陆成功,则成功跳转到如图26所示页面,否则提示如图27登陆错误信息提示。
图26 登录成功
图27 登陆失败
当未注册用户点击“注册”按钮,在右边看到注册界面,用户输入正确的数据,然后点击按钮“添加”,将提示注册成功,如图28所示。反之如果上面的信息只要有一项不符合规定,将提示注册失败。此处给出所有注册信息通过的提示,如图29所示,因此可完成用户注册操作。
图28注册成功提示 图29 注册提示
用户若没有登录,当查看购物车、订单等信息或添加到购物车、生成订单和添加留言等操作时,会出现如图30的提示,只有成功登录后,才能操作对应的功能。
图30 登陆提示
电子商务网站的设计与实现
当用户在自己的购物车列表中点击生成订单时,若出现如图31的页面,则说明该物品已下架,用户可以选择其他物品进行购买。
图31商品下架提示
前台各个功能模块的测试重点大致相同,此处以前台订单管理为例,在生成订单页面输入信息,若显示如图32的页面时,则说明输入信息不可为空,当输入的格式不正确时,用户无法完成订单添加的功能,如图33所示。只有输入有效的数据才能成功生成订单。
图32 生成订单不为空提示
图33 生成订单格式不正确提示
当登录用户查看订单信息时,当输入订单编号46时,若有数据,则会显示如图34的页面。
图34 前台订单查询页面
当输入0时,因为数据库无此数据,则会出现如图35的页面。当用户输入的数据不符合要求时,则会出现如图41的页面提示,用户需重新输入。
图35 查询无数据页面
当用户删除如图所示的订单编号44时,若页面效果如图36所示,没有编号为44的订单信息,则说明删除成功。
图36 订单删除成功之后的页面
前台主界面的右下方如图37管理员输入正确登录信息,则可进入如图19所示的后台管理界面,管理员可在该界面完成各项操作。
图37 后台登陆错误提示页面
当管理员成功登录到后台管理模块时,则进入到订单管理模块,当在编号输入框中输入订单编号33时,若显示界面如图38,则说明已经成功查询。
电子商务网站的设计与实现
图38 后台订单查询界面
当进入后台订单模块后,删除编号为36的订单时,若成功删除,则界面如图39所示。
图39 后台订单删除操作
若出现页面不存在的错误,则显示如图40的页面提示,需要检查输入的页面是否正确。若出现服务器端的错误,则会友好的提示如图41的页面,错误的原因可能是Java的空指针异常或数据的格式不正确等[9]。
图40 页面找不到提示
图41 服务器端错误提示
第6章 总结与展望
6.1 总结
顺利如期的完成本次毕业设计给了我很大的信心,让我了解专业知识的同时也对本专业的发展前景充满信心,网上购物系统采用的是Java语言开发,它有着许多的优越性,但也存在一定的不足[10],这些不足一方面是自身的知识积累没有达到一定的水平,另一方面是由于时间的问题,没有使系统更加的完善。只有发现问题、面对问题才有可能解决问题,不足和遗憾不会给我打击只会更好的鞭策我前行。
6.2 展望
经过这次毕业设计和对相关资料的收集,让我清楚的感到随着网络科技的不断发展和网络的广泛应用,使我们的生活离不开它了。网络它以自己的独特的优点征服了我们。在教育越来越受重视的21世纪,随着商务类型的不断增加和商务管理要求的不断提高,管理方面的工作量将会越来越大,并且其工作将是一件十分烦琐和非常容易出错的事情。在这样的情况下有一个实用网上购物系统是有其必然性的,如果能做出一个完善的网上购物管理系统就使管理方面的工作量减少很多。在这次的毕业设计中,我学会了很多,也感到自身知识的贫乏,希望在日后的努力中能做出更完善的系统。
电子商务网站的设计与实现
参考文献
电子政务网站安全技术及应用 篇6
正是由于电子政务本身的重要性,所提供的信息内容必须完整、及时、准确,所以使得支撑电子政务服务的网站的安全性也就显得异常重要了。要保障网站的安全性,应该从以下几个方面入手。
一、网络安全
所有网站都是依托于网络环境中运行的,所以整体网络的安全性对网站来说影响很大。随着网络建设的发展,网络安全的方式和手段已经日趋完善。众所周知的网络安全设备有防火墙、IPS、IDS等。作为内部网络与外部公共网络之间的第一道屏障,防火墙是最受到人们重视的网络安全产品。它处于网络安全的最底层,负责网络间的安全认证与传输。
1.封闭端口
对于一个传统意义上的防火墙来说,其最基本、也是最重要的功能就是包过滤功能。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息,结合自身的安全访问规则来判断这些“包”是否合法。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
政府部门的网站主要功能就是提供政务信息的浏览、查询等服务,那么在防火墙上面应该将对网站主机所有端口的访问全部阻止,除了HTTP协议端口。HTTP协议默认端口为80。当然,如果网站还有其他服务,应该适当开启相应服务端口。
2.地址转换
防火墙提供“内部网到外部网”,“外部网到内部网”的NAT功能,而且提供任意接口的源地址和目的地址的转换。NAT技术支持一对一的地址映射,即外部地址和内部地址一对一的映射,使内部地址的主机既可以访问外部网络,也可以对外部网络提供服务。
针对防火墙的以上特性,我们可以把网站放置在防火墙后面的内部网络中,网站地址设为内部网络地址,对外提供服务的地址则设为防火墙地址。在提供网站服务时,防火墙负责把外部网络的服务请求转发到内部网络中的真实网站上面,再把网站数据转发给外部请求者。
这样设置的好处在于,可以更有效的利用外部网络的地址资源,隐藏内部网络的真实地址,从而使外来的黑客无法探知内部网络的结构,提高了网络整体的安全性。
二、主机安全
网站架设在主机上,那么主机安全直接关系到此网站的安全。不幸的是主机安全往往会被忽视,大家普遍对网络安全比较重视,特别依赖网络防火墙的防攻击能力。其实,一台没有任何防攻击能力、漏洞百出的主机,即使有网络防火墙的保护,也是不堪一击的。入侵者可以利用合法端口进入网络,利用WEB服务器的弱点对主机实施攻击;也可以利用网站代码漏洞,轻易地控制主机。这样就会带来网站被篡改、数据被窃取等比较严重的危害。那么加强主机的安全性可以着重注意一下几个方面。
1.不要安装多余的组件或程序
某些第三方商业软件往往对安全方面考虑不足,所以极容易被网络黑客所利用。这些软件在操作系统里面自动开启某些进程和网络端口,侦听和接受来自网络上的数据,入侵者可以利用这些网络端口进行攻击,获得系统相关信息,控制计算机或传播病毒等。而且这些进程频繁的与外界进行数据交互对系统性能也会有一定的影响。
2.设置系统账户密码策略
未配置系统账户密码策略会导致非正常用户对系统进行攻击,使用暴力破解等工具实施账号破解导致计算机信息丢失。系统账号密码的设置应该保证一定的复杂度,并且要定期更换密码。如果怕这样会忘记正确的密码,可以采用设置有一定规律的密码变更,如:根据月份、星期等有规律地变更密码。
3.设置系统账户安全策略
系统账户安全策略包括“账户锁定时间”和“账户锁定阀值”。如果在指定时间内,输入不正确的密码达到了指定的次数,账户安全策略将暂时锁定该账户。设置这些策略有助于防止攻击者猜测用户密码,并由此减少袭击成功率。
4.设置系统审计策略
操作系统自身都有比较强的审计功能,能对内部的各项活动进行审计。出现问题后,可以对系统中所发生的各种事件进行查阅,从而找到问题所在。审计策略包括:“登录事件审核”、“访问事件审核”等。
5.关闭驱动器自动运行程序
禁止任何驱动器自动运行任何程序可以防止某些恶意代码和木马的运行。
6.关闭系统默认共享
Windows操作系统存在一些默认共享,攻击者容易利用默认共享,使用账户名和密码连接获取主机共享文件夹内容或者上传恶意文件。
7.安装软件防火墙
软件防火墙是安装在主机操作系统上面,通过纯软件的的方式实现阻止非法用户对本机的入侵。主要功能是防范病毒对软件的侵染和对操作系统的攻击,以及黑客的远程操控。它可以针对主机服务的特点灵活定制相应策略,设置具体的访问条例,在细节上对主机进行入侵防御,是对硬件防火墙的一个必要补充。
8.及时更新
操作系统厂商根据被发现的系统漏洞,会不定期地发布操作系统补丁。管理人员应该及时下载并安装操作系统补丁,以确保系统安全。另外,还要注意定期下载并安装第三方软件的补丁或者升级包。
三、WEB服务器安全
WEB服务器是为电子政务系统提供信息服务的最流行、也是最重要的工具之一。目前最常用的WEB服务器有IIS、Tomcat、WEBLogic、Apache等,其中IIS的使用最为广泛。IIS不仅免费,而且与Windows操作系统紧密结合,配置简便,性能一流。但是其本身也存在一些安全性方面的弱点,我们应该扬长避短,把这些弱点所带来的危害降到最低,发挥IIS的优势。
1.优化应用程序映射
IIS中安装了许多的应用程序射映,但在实际应用中,很多不需要使用,而且部分不需要使用的应用程序支持可能被黑客利用,对WEB应用进行攻击,所以应该关闭不必要的应用程序映射。
2.网站不要建立在IIS默认路径下
IIS的默认网站路径为%WinDir% Inetpubwwwroot,此路径众所周知,方便黑客攻击,最好放在其他目录下,减少风险。
3.修改IIS 日志默认存储路径
日志文件实际是为了方便管理员对网站进行审计和维护的工具,里面包含许多网站配置信息,但是这也给黑客提供了便利。黑客可以根据日志里面的信息掌握网站一些情况和弱点,从而发动攻击。在默认状态下,IIS 把它的日志文件放在%WinDir%System32Logfiles 文件夹中,应该更改一下它的存放位置,不给黑客利用的机会。
四、代码安全
目前流行的制作网站的编程语言有asp、asp.net、PHP、java等等。这些编程语言各具特色,在安全性方面并没有优劣之分,关键在于编程者要有足够的安全意识和良好的编程习惯。
1.验证应用程序的输入
恶意用户可以利用输入来攻击一个网站,可以通过此手段来暴露应用的一些实现细节或者使得应用生成一些恶意数据。另外,攻击者还可以在网站应用中执行恶意脚本和访问受限资源。对用户输入的验证有两种:客户端验证和服务器端验证。客户端验证是在数据发往服务器之前,在本地先进行数据合法性验证,如果数据非法则不把数据发往服务器。其优点在于验证速度快,对网站资源占用少。服务器端验证则是数据到达服务器端,在进行其他操作之前,先进行数据验证,如非法则返回客户端。其优点在于可以进行更加细致的数据校验,代码编写容易。那么现在的流行趋势是尽量把数据验证放到客户端进行,更加细节的业务逻辑上面的数据校验则放到服务器端进行。
2.慎重调用外部组件
网站代码中有时需要整合一些预构建的组件,比如ActiveX控件,自定义控件,COM组件,.Net的程序集。这些预构建的组件可能引入重大的安全威胁和风险。这些组件有的是从互联网上下载的,含有恶意的安全漏洞,如后门、病毒和木马。使用时要慎重选择,尽量选择大公司的知名产品,对不明来源的组件不要轻易使用。
3.自定义错误异常页面
网站代码在运行中,由于各种原因会导致一些程序异常。程序员在调试代码时常常让产生异常的具体原因显示在页面上,以方便调试程序。这些页面会提示出现异常的代码位置,甚至还会显示一部分代码片段。如果这些信息被试图非法入侵者看到,后果是不堪设想的。所以网站发布时,应该设置一个默认的程序异常显示页面,上面只有简单的出错信息,这样可以防止代码细节暴露在别人眼前。
五、数据安全
网站安全的核心其实就是数据安全。如何保证数据不被窃取,不被篡改,一旦丢失可以及时恢复,这是数据安全的主要问题。
1.设置访问权限
在大型数据库系统中,有非常强大的访问权限控制功能,可以细致到对插入、更新、删除、浏览等种种操作以及对于表、视图、函数、存储过程等各种数据库对象分别进行权限控制。我们可以根据访问需要定义不同的数据库用户,不同的用户分配给不用的访问权限。比如:为只需要浏览数据的应用创建一个用户,以此用户连接的应用只能查看权限规定内的某些数据表;为维护网站数据的应用创建一个用户,以此用户连接的应用就可以对数据进行添加、更新或者删除等操作。这样不仅对网站本身业务逻辑的实现有好处,也能够尽量避免网络上非法用户的攻击,如SQL注入式攻击等。
2.定期备份
数据的定期备份是任何一个系统都不能忽视的一项工作。我们应该为每个系统制定一份数据备份计划,计划内容应包括数据备份方式、存放地点以及保留的时间等。一个良好的数据备份计划可以使你比较从容地面对数据灾难。数据备份可以使用数据库系统自带的备份工具也可以使用专业的数据备份软件来实现。特别需要注意的是备份数据要尽量放在其他主机或是相对独立的存储介质上面,对于特别重要的数据还要考虑做异地备份。
六、专用的网站防护产品
针对电子政务的蓬勃发展,最近市场上出现了几款专门用于网站防护的产品。大致分为两种类型。
1.软件
它安装在网站所在主机上,有两种主要功能。一是锁定网站代码文件。黑客入侵到网站后,往往在网站代码里面嵌入一些隐藏的代码,这些代码可以在用户访问网站时启动并执行,从而威胁到用户信息安全。如果网站代码一旦被锁定,不可被修改,则黑客的这种破坏方式就不再起作用了。二是过滤地址栏输入和网页输入。由于某些代码漏洞,黑客在访问网站时很容易发起SQL注入式攻击。注入式攻击成功后,黑客可以从容地以合法身份登录到网站系统中破坏网站数据。通过输入过滤就可以有效地阻止SQL注入式攻击,保证数据安全。
2.硬件
企业电子商务网站的安全策略 篇7
目前, 网上电子交易已经随着因特网的普及逐渐被人们所接受和应用, 网络购物、网上缴费等方式极大的方便了人们的生活, 越来越多的人开始利用网络来进行交易。电子商务网站的有效运作, 依靠的是完全开放的互联网, 而这个网络当中的任何电脑之间、网络之间都是互通的, 安全和不安全的数据都可能在传递, 各种风险随时对电子商务的安全构成威胁。电子商务正在规模化和全球化, 企业的发展在很大程度上都依赖于它, 所以, 电子商务网站的安全问题必须得到有效的解决, 才能保证它的正常运转。
2 电子商务网站的安全策略
电子商务依靠的是互联网, 其核心和关键问题就是交易的安全性。正是由于网络本身的开放性给网上交易带来了种种危险, 才要更加注重它的安全控制。电子商务网站的安全问题可以从两个方面进行探讨和分析, 一是系统安全, 二是数据安全, 并且可以利用一些先进的技术手段加以解决。
2.1 系统安全
信息安全对于企业来说很重要, 而信息安全的前提是系统安全。系统安全主要包括网络系统、操作系统和应用系统3个方面。系统安全可以采用的技术手段有网络隔离、访问控制、身份鉴别、数据加密、监控评估等技术。
2.1.1 网络系统
网络系统的安全问题主要是由于网络的开放性造成的, 解决问题的关键是把网络从开放、自由的环境中分离出来, 使其变成可以控制和管理的独立网络, 就目前的技术发展来看, 可以采用下列方法解决系统安全问题。
1) 系统隔离, 就是将重要的网络系统与其他系统分离, 有物理隔离和逻辑隔离。按照网络安全等级的不同可以将网络合理划分为多个互不连通的网络, 使不同安全级别的网络或设备不能相互访问, 从而达到安全隔离。也可以采用VLAN等网络技术对业务网络或办公网络实行逻辑上的隔离, 划分出不同的应用子网;2) 访问控制, 通过设置有效合理的访问策略, 对于不同区域的网络资源实行访问控制, 防止非法用户访问受保护的资源, 其主要解决的问题就是网络边界的安全控制和网络内部资源的访问控制。可以按照一定的原则根据需要对信息的流向进行单向或双向控制。能够设置访问控制的网络设备有很多, 比如交换机、路由器, 而最重要也是最有效的则是防火墙, 它通常被布置在网络的出入口处, 对进出网络的数据信息进行有效的检测和过滤, 同时按照访问控制列表和安全政策对信息流进行控制, 允许合理有效的数据通过, 将不安全和不符合要求的数据拒之网外;3) 身份鉴定, 对访问网络的用户进行身份识别, 通常可以使用三种方式对访问者进行身份验证, 一是访问者了解的安全信息, 比如账号、密码、密钥等;二是访问者提供的物件, 比如访问磁卡、通用IC卡、动态口令卡等;三是访问者自身的特征信息, 比如声音、指纹、视网膜、笔迹等。身份鉴定的目的就是阻止非法用户访问这些被加密的数据, 而加密是为了防止网络数据被窃听、泄漏、篡改和破坏;4) 安全监测, 利用网络设备的高级功能和技术, 通过分析来访数据信息, 找出未经授权的网络访问和非法行为, 包括对网络系统的扫描、跟踪、预警、阻断、记录等, 从而将系统遭受的攻击伤害减少到最低。除了网络设备, 还可利用一些专业的网络扫描监测系统来对付黑客和非法入侵, 这些系统能够主动、实时、有效的识别出非法数据和用户, 并且通过网络扫描能够针对网络设备的安全漏洞进行检测和分析, 包括网络服务、防火墙、路由器、邮件服务器、网站服务器等, 从而识别那些可以被入侵者利用并非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告并提供改进方案, 使网络管理人员能检测和管理好安全风险。
2.1.2 操作系统
操作系统, 实际上就是电脑管理控制程序, 是管理计算机软硬件资源的核心系统, 负责设备的管理、数据的存储、信息的发送和各种系统资源的调度, 它是各种应用软件的系统平台, 具有通用性和易用性, 操作系统的安全直接影响到应用系统和数据的安全, 一般分为应用安全和系统扫描。
1) 应用安全, 面向应用选择可靠的操作系统, 可以杜绝使用来历不明的软件。用户可安装操作系统保护与恢复软件, 并作相应的备份;2) 系统扫描, 基于主机的安全评估系统是对系统的安全风险级别进行划分, 并提供完整的安全漏洞检查列表, 通过不同版本的操作系统进行扫描分析, 对扫描漏洞自动修补形成报告, 保护应用程序、数据免受盗用、破坏。
2.1.3 应用系统
1) 文件的安全存储:利用各种加密手段, 结合相应的身份鉴定和密码保护机制, 使存储在本地或者网络上的重要文件处于安全存储的状态, 即便他人通过非法手段获取到了文件或存储设备, 也难以取得文件里的内容;2) 文件的安全传递:对通过网络发送的文件进行安全处理, 比如加密、签名、完整性鉴别等, 使被传送的文件只有指定的接收者通过相应的安全鉴别机制才能解密并阅读, 避免了文件在传送或存储的过程当中被截获、篡改和破坏等;3) 业务服务安全:主要面向业务管理和信息服务的安全需求。对于各种通用信息服务, 如WEB信息服务、FTP服务、电子邮件服务等服务, 采用相应安全软件系统进行保护, 如安全邮件系统、WEB页面保护等;对于各种业务信息可以配合专业管理信息系统软件采取对信息内容的安全保护, 防止外部非法侵入和内部信息泄漏。
2.2 数据安全
信息数据的安全主要包含了数据库的安全和数据本身的安全, 这两个方面的安全问题都必须得有相应的安全措施, 才能确保数据安全。
1) 数据库安全, 目前很多企业使用的数据库都是SQL Server或者ORACLE大型数据库, 这些数据库系统本身具备一定的安全性, 安全级别可以满足日常需求。但是由于数据库十分重要, 应在此基础上再采取一些安全措施, 增加相应安全组件, 改良密码策略, 对数据库实施分级管理并提供可靠的故障恢复机制, 实现数据库的访问、存取和加密控制。具体方法有安全数据库系统、数据库保密系统、数据库扫描系统等;2) 数据安全, 即存储在数据库中的数据本身的安全, 相应的保护措施有安装反病毒软件和防火墙软件, 建立一套可靠的数据备份与恢复系统, 定期对数据进行备份, 定期修改数据库密码, 必要时可以对重要数据采取多层加密保护。
2.3 交易安全
网上交易安全是用户最关心的问题, 只有提供稳定的安全保证, 在线交易用户才会具有安全感, 才会觉得交易平台可靠, 电子商务网站才会具有广阔的发展空间。
1) 交易安全标准, 目前在电子商务中主要的安全标准有两种:应用层的SET (安全电子交易) 和会话层SSL (安全套层) 协议。前者由信用卡机构VISA及Master Card提出的针对电子钱包、商场、认证中心的安全标准, SET的关键特征是信息的机密性、数据的可靠性、卡用户账号的鉴别、商人的鉴别, 主要用于银行等金融机构。后者由NETSCAPE公司提出的针对数据的机密性、完整性、开放性和身份确认的安全协议, 它可以保证数据不被窃取和破坏, 此协议已经成为WEB应用安全标准;2) 交易安全基础体系, 交易安全的基础是现代密码学技术, 主要取决去于加密方法和加密强度。加密分为单密钥的对称加密体系和双密钥的非对称加密体系。两者各有所长, 对称密钥具有加密效率高, 但存在密钥分发困难、管理不便的弱点。非对称密钥加密速度慢, 但便于密钥分发管理。通常把两者结合使用, 以达到高效安全的目的;3) 交易安全的实现, 交易安全的实现主要是指交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的否认等等。具体实现的途径是交易各方具有相关身份证明, 同时在SSL协议体系下完成交易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等。
3 结论
企业电子商务网站的安全, 需要一个完整的综合保障体系, 要采用综合防范的思路, 从技术、管理、法律等多方面加以认识和思考。安全实际上是一种风险管理, 任何技术手段都不能够保证百分之百的安全, 但是安全技术可以降低系统遭到破坏和攻击的风险, 在一定程度上保障数据的安全。电子商务正处于蓬勃发展时期, 只有解决了电子商务中出现的各类问题, 才能是电子商务系统更加安全。
参考文献
[1]洪国彬.电子商务安全与管理[M].北京:电子工业出版社, 2006.
[2]贾伟.网络与电子商务安全[M].北京:国防工业出版社, 2006.
电子商务网站的安全现状分析 篇8
1 交易信息的安全性
调查显示,52.26%的用户关注交易的安全可靠性,被调查对象中36.54%的人,认为安全性和个人信息得不到保护。在面对面的贸易过程中,交易都是通过信件或其他可靠的通信渠道来发送商业报文,进而达到保守机密的目的。电子商务通过互联网进行交易,而整个互联网是一个开放的网络,因此,会出现一些意外风险,如交易对象的不诚信、黑客的攻击等,随时都会威协到电子商务过程的安全性。交易信息直接代表着个人、企业或国家的商业机密不容泄露;信息到达对方前,信息的完整性将影响到贸易方的交易和经营策略;交易信息的真实性,包括信息内容和交易双方身份的真实性,也是电子商务成功开展的基础;确定进行交易的贸易方正是交易所期望的贸易方,在无纸化网络环境中,要有可靠的鉴别方式。
由于以上提到安全风险的存在,使得人们对网上交易心存疑虑。据统计,大约有5.2%的美国网上经销商曾被假冒信用卡,每年在美国由于信用卡欺诈而造成的网上经销商损失达数亿美元。在我国,电子商务交易中遭遇信用卡被盗用、网上黑店、信息资料丢失等现象时有发生。据不完全统计,我国有70%以上的企业和个人表示,出于安全考虑,目前暂不会在网上进行购物或交易。
综上所述,电子商务的安全问题主要有以下几点:1) 信息在传输过程中被泄漏;资料被窃取或破坏;2) 信息在传输的过程中被篡改;3) 不能确认对方的身份;4) 交易双方的抵赖。
所以,要预防非法的信息存取和信息在传输过程中被非法窃取,主要是从信息的保密性、完整性、真实性和不可抵赖性等这几个方面着手进行。经过几年的发展,电子商务过程的安全性问题也有针对性的解决方法。如在信息传输过程中一般通过密码技术对传输的信息进行加密,防止在传输中交易信息被篡改、窈听和截取。再通过提取信息摘要的方式来保持信息的完整性。当信息到达贸易方时,用认证机构和证书来实现鉴别验证某个特定的身份。为确保信息的发送方曾发送过某一信息,或者信息的接收方曾收到过信息,可在信息传输过程中为参与交易方提供可靠的标识等。
2 网上支付平台的安全性
实现网上支付功能是电子商务成功开展的一个十分重要的环节。发展电子商务如果没有相应的网上支付手段,就会大大降低电予商务交易的效率。在我国最早的网上银行是1998招商银行开办的,十几年过去了,到现在几乎所有的银行都将业务延伸到了网上。第三方支付市场也在快速地发展,支付宝就是其中具代表性的一个机构。
网上支付这种采用先进的电子签章的安全防护技术认证措施的支付方式,可以快捷、安全地在网上支付购物货款、支付各项公用事业费用的账单,甚至进行网上理财都显得极具优势。但是网上支付机构作为拥有资金吸存行为的网上支付机构,从买方把钱付给网上支付平台,到卖方确认以后,平台把钱再付给卖方,这中间需要经过一段时间,而在这段时间里,钱是沉淀在支付机构里的,自然存在着资金安全隐患方面的问题或者支付风险问题。
除了资金安全问题以外,网上支付平台还极易成为犯罪分子进行不法活动的工具。据悉,在央行发布的《反洗钱报告》中,网上银行在银行业务中占据的比重上升很快,而且由于交易大都通过电话、计算机网络进行,银行和客户很少见面,这给银行了解客户带来了很大的难度,也成为洗钱风险的易发、高发领域。
电子支付除为客户提供帐户储值进行支付外还提供信用担保服务,它已经不是简单的支付、清算工具,而是给交易方提供实现支付达成安全交易的一个服务平台。但它的发展程度与电子商务还存在一定距离,尚有很多不完善、不能完全满足电子商务需要的地方,运营上也存在一些问题。
要从根本上解决这种现状,首先要加强对网络上虚拟交易的监管,实施网络实名制,这样会使犯罪分子不敢明目张胆地进行非法活动,也有利于监管部门掌握具体的资金流向,使其得到有效的控制。另外作为支付平台本身应该做到合法经营,尽到自己的社会义务。
3 电子商务网站中使用的安全技术分析
为了建立一个安全便捷的电子商务应用环境,经过多年的发展,在安全电子交易协议或标准中都采纳了一些常用的安全电子交易手段和方法,典型的主要有以下几种:
3.1 密码技术
最常用的安全交易手段之一就是采用密码技术对信息加密。在电子商务中获得广泛应用的有对称加密技术和非对称加密技术。在对称加密方法中,对信息的加密和解密都使用相同的密钥,在目前广泛应用的对称加密方式中,由美国国家标准局提出的数据加密标准 (DES) 占了很重要的地位。非对称加密也称为公开密钥加密,其密钥分解成一对,即公开密钥和私有密钥。公开密钥加密后的数据只能由私有密钥才能解开,私有密钥加密的数据则由公开密钥解密,具有非对称性。
3.2 数字签名
在传统的商务交易中,书面文件上签名是确认文件的一种手段。签名的作用有两点,一是因为自身的签名难以否认,从而确认了文件己签署这一事实;二是因为签名不易仿冒,从而可以确定文件的真实性。在电子商务网站中,也采用了签名技术———数字签名,它与书面签名有类似之处,采用数字签名也能确认两点:信息是由签名者发送的;信息自签发后到收到为止未曾作过修改。
3.3 认证技术
在电子交易过程中,安全认证技术是一项十分重要的技术。它可以确认交易方不是冒名,确认得到的信息是来自声称方,保证信息的完整和真实性未被人篡改。涉及到由一个权威性和公正性的第三方,来完成数字证书的发放,也即认证中心 (CA) 。CA承担网上安全电子交易认证服务、签发数字证书并能确认用户身份的服务机构。认证中心主要任务是受理数字证书的申请、签发及对数字证书的管理。常常是和其他安全手段结合在一起使用的,从而构成了安全电子交易的安全保障体系。主要采用的技术有数字摘要、数字时间戳、数字证书等。
一个完整的安全可靠的电子商务网站系统实现是相当复杂的。只有在交易过程中充分重视安全问题,才可以使得交易能正常进行,电子商务才可以收到预期的效果。
摘要:随着Internet的飞速发展, 电子商务——这种新的社会组织形式越来越显著地影响着这个社会。电子商务已经成了各种企业的主要营销手段, 它的发展前景十分广阔。在电子商务交易中, 安全性是一个至关重要的核心问题。商务交易的特殊性要求网络能提供一种端至端的安全方案。
关键词:电子商务,安全,商务交易
参考文献
[1]杨大翔.电了商务概论[M].上海:复旦大学出版社, 2006.
[2]王华丽.我国电子商务发展策略分析[J].商业研究, 2004 (18) .
电子商务网站的安全性探究 篇9
电子商务网站是电子商务的一个重要组成部分。由于电子商务网站通过完全开放的互联网运作, 计算机系统中存放、传输着多种支付信息、订单信息、谈判信息、商业机密文件等, 各种风险随时对电子商务的安全构成威胁, 网络黑客、入侵者使用各种对网络的攻击和破坏手段, 窃取、篡改、非法使用各种商务信息, 给企业和用户带来巨大的损失。
如何注意到网络的脆弱性和潜在的威胁, 提高网站的安全, 确保电子商务活动的健康发展和正常进行, 抵抗黑客非法入侵, 避免企业信息泄漏给企业带来的损失是目前电子商务网站建设中的重要一环。
二、电子商务网站面临的安全隐患
1.1信息的截获和窃取
如果在未采取加密手段或加密手段不够充分时, 入侵者会通过互联网、公共电话网安装截获装置, 在数据包经过设备和线路的过程中截获数据, 研究出数据信息的格式规律, 推测出有用信息, 如企业的商业机密、消费者的卡号密码、消费信息等, 从而破坏信息的机密性。
1.2信息的篡改
电子商务网站在Internet上是暴露的, 供公众进行访问。当入侵者掌握了网络传输的信息格式和规律后, 通过技术手段对网络传输信息中途进行修改后再传送到原先的目的地, 从而破坏信息完整性, 以实现其恶意的目的。
1.3信息假冒
当入侵者掌握网络信息数据规律或解密商务信息后, 假冒交易一方的身份, 发送假冒信息欺骗其他用户。如钓鱼网站就是指不法分子利用各种手段, 假冒真实网站的URL地址以及页面内容, 以此来骗取用户银行或信用卡账号、密码等私人资料。
1.4交易抵赖
电子商务网站的交易依靠虚拟的网络平台实现, 交易双方不需会面, 因此双方身份存在不确定性。交易抵赖直接破坏了电子商务交易的安全, 如发信者事后否认曾经发送信息、收信者事后否认曾经收到过消息、购买者下了订货单后又不承认、商家卖出的商品因价格差而不承认原有的交易等。
三、电子商务网站的安全措施
没有一种安全措施是百分百可靠的, 但是企业应该加强安全意识, 充分利用现有的多种安全技术手段, 在入侵者和受保护对象间建立多道安全防线, 从而降低电子商务网站遭到攻击、破坏的风险。下面对几种主要技术进行介绍:
3.1防火墙技术
防火墙是建立在现代通信网络技术和信息安全技术基础上的一种安全技术, 它是置于不同网络和网络安全域之间的一系列部件的组合, 阻挡非法访问和不安全的数据传递, 是一种有效的网络安全模型。能根据企业有关的安全政策控制 (允许、拒绝、监视、记录) 出入网络的信息交流和访问尺度, 本身具有较强的抗攻击能力, 为网站建立起一道安全屏障。
常见的防火墙可分为三类:即包过滤防火墙、双宿网关防火墙和屏蔽子网防火墙。
电子商务网络系统是一个由各部门网络组成的多层次的网络体系结构, 从网络安全角度上分析, 它们分别处于不同的网络安全域中, 所以应该在各中心的网络边界, Internet边界都安装相应防火墙以及实施对应的安全控制策略。根据一些对外提供信息查询等服务的要求, 建议集合所有的对外公开服务器, 将其划分为一个单独的服务器子网, 从而控制对关键服务器的授权访问控制, 并设置相应的防火墙策略来保护对它们的访问。网络边界安全则采用防火墙等成熟产品和技术实现网络的访问控制, 采用安全检测手段防范非法用户的主动入侵。
3.2入侵检测系统
防火墙是一种静态的隔离控制技术, 一旦入侵者进入了系统, 防火墙就束手无策了。它不能主动检测和分析网络内外的危险行为, 无法满足现在网站的需求。而入侵检测系统被称为防火墙之后的第二道安全闸门, 相当于大楼的门卫, 能够即时监视网络的传输, 发现可疑的传输时, 能采取相应的防护手段, 比如断网、记录时间, 利用防护系统发出警报等。
3.3网络漏洞扫描器
不存在百分百安全的网站, 漏洞是在硬件、软件、协议的具体实现或系统安全策略方面存在的缺陷, 任何安全漏洞都可能导致风险产生, 从而使攻击者不通过授权即可访问、破坏系统。根据统计, 83%的网站存在SQL注入、跨站脚本等40多种漏洞, 及时检测修复能有效防止挂马、数据泄露和破坏等。网络漏洞扫描器能自动检测远程或本地主机的安全性弱点, 能从主机系统内部检测系统配置存在的缺陷, 模拟系统管理员审核内部的整个过程, 从而诊断出可能被黑客利用的误配置, 对检测到的漏洞信息形成详细报告并提供改进方案。
3.4防病毒系统
病毒是具有破坏功能的、可自我复制的程序, 利用互联网的开放性肆意传播, 对网站的造成很大的危害, 是系统中最常见、威胁最大的安全来源。所以, 使用分级分组管理的防病毒产品, 实施“层层设防、集中控制、以防为主、防杀结合”的防病毒策略, 最终形成一个立体的、完整的防病毒体系。目前主要采用病毒防范系统解决病毒查找、清杀问题。根据电子商务的网络结构和计算机分布情况, 病毒防范系统支持“分布处理、集中控制”功能, 所有防毒软件的升级、防毒策略的指定, 通过控管系统集中实现。
在系统的关键主机中, 如关键服务器、工作站和网管终端安装防病毒客户端, 在防病毒服务器端对防病毒客户端执行交互性操作, 扫描和清杀病毒, 制订病毒防范策略。能够建立多层防毒防线, 从第一层工作站、第二层服务器到第三层网关都能有相应的防毒软件, 实现病毒的全面布控。
3.5启用安全认证系统
企业电子商务网站除了本身硬件设备和软件的安全外, 还应包括信息传输过程中的安全。对一些重要的传输信息, 应保证信息不会被他人窃取、偷看或篡改。因此, 应在网站服务器中启用安全认证系统, 在线交易用户才会具有安全感, 才会觉得交易平台可靠, 电子商务网站才会具有发展的空间。安全认证系统对重要的信息先进行加密, 使它成为一种密文。密文通过网络传输到达接收方, 接收方再对其进行解密, , 再将密文转为明文形式。目前, 在电子商务中普遍采用SSL安全协议, 该协议主要提供三方面的服务:保护数据的完整性, 对数据进行加密和隐藏被传送的数据, 对用户、服务器的合法性认证。SSL协议采用了公开密钥和私有密钥两种加密方法, 能够对信用卡和个人信息提供较强的保护, 它能对计算机间的对话实现加密。用户在确定信息后, 通过SSL协议建立的连接传输加密的信息。
3.6系统容灾备份技术
除了以上的防范措施外, 还必须考虑到天灾人祸等不可抗力的意外事故的影响, 因此必须备有一套数据备份和容灾机制。容灾包括两方面:数据容灾和应用容灾。简单的通过设备来备份无法在最危机的时候解难, 数据容灾主要是将存储设备分别设在异地, 两者之间建立复制关系, 将重要的数据、资料进行备份, 这样即使在发生了自然灾害时也能很好的保证数据的完整性。应用容灾主要是在异地备份一套和本地系统一样的应用系统, 通过网络心跳包的应用实现两套系统的交互。若本地系统遭遇灾难, 设置备用系统能进行自动、快速地切换, 同时全部承担原有系统的各种业务。
四、结束语
不管是哪种安全措施都具有局限性, 作为企业电子商务网站的设计人员, 必须通过对安全分析、风险评估、商业需求分析和网站运行效率的认真分析, 制定出整体的安全解决方案, 同时应加强企业内部管理, 分工明确, 责任到人, 建立健全、有效的管理机制和综合保障体系, 从而增强网站的安全性。
摘要:在电子商务蓬勃发展的今天, 电子商务网站的安全性问题已经被升级到新的战略角度上来。本文探讨了电子商务网站存在的一些安全隐患, 以及构建电子商务网站时应采取的安全措施, 以保证网站安全稳定、持续的运行。
关键词:网站,安全性,电子商务
参考文献
[1]陈孟建, 徐金华, 邹玉金.电子商务网络安全与防火墙技术[M].北京:清华大学出版社, 2011.
[2]彭芳.电子商务网站设计中信息安全防御的研究[J].煤炭技术, 2012 (5) .
[3]廖革元, 邬芝权, 电子商务安全分析与防范对策[J].电子商务, 2012 (2) :135, 136.
网页制作与电子商务网站安全 篇10
电子商务网站是一个非常丰富和方便的系统,很多是过去无法想像的,随着今天的社会的发展以及科学技术的发展,现在都可以想像得到。由此可以想像到未来的网页设计,那时候网页设计的要求是什么呢?怎样才能适应电子商务的发展呢?我有以下几点想法:网页能具有人性化;网页要具有相当的美感;网页更加强调交互性。
1 电子商务网站的安全现状
电子商务网站安全主要涉及网络信息的安全和网络系统本身的安全。电子商务网站安全的隐患主要来自操作系统、网络和数据库的脆弱性以及安全管理上的疏忽。电子商务网站安全从本质上讲就是网络上信息的安全,包括静态信息的存储安全和信息的传输安全。从广义上讲,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。因此为了保证网络的安全,必须保证以下四个方面的安全:运行系统的安全;网络上系统信息的安全;网络上信息传播安全;网络上信息内容的安全。
以下是对目前国内电子商务站点普遍存在的几个严重的安全问题的一些分析。
1.1 客户端数据的完整性和有效性检查
(1)特殊字符的过滤
在W3C的WWW Security FAQ中关于CGI安全编程一节里列出了建议过滤的字符:&;“”“|*?-<>^()[]{}nr,这些字符由于在不同的系统或运行环境中会具有特殊意义,如变量定义/赋值/取值、非显示字符、运行外部程序等,而被列为危险字符。
(1)CGI和Script编程语言的问题
在几种国内常见的WEB编程语言中,ASP和Cold Fusion脚本语言对特殊字符的过滤机制不够完善,例如没有对单引号做任何处理等。Perl和php对特殊字符的过滤则较为严密,如忽略或加上“”(取消特殊字符含义)处理。C语言编写的cgi程序对特殊字符的过滤完全依赖于程序员的知识和技术,因此也可能存在安全问题。
(2)Microsoft ASP脚本
普遍存在的问题是程序员在编写ASP脚本时,缺少或没有对客户端输入的数据/变量进行严格的合法性分析。因此,如果攻击者输入某些特定sql语句,可能造成数据库资料丢失/泄漏/甚至威胁整个站点的安全。比如攻击者可以任意创建或者删除表(如果可以猜测出已存在的表名),清除或者更改数据库数据。攻击者也可能通过执行一些储存过程函数,将sql语句的输出结果通过电子邮件发送给自己,或者执行系统命令。
(3)PHP和Perl
虽然提供了加上””(取消特殊字符含义)处理的手段,但是处理一些数据库时依然可以被改写。对于MySQL则没有问题,’不会与前面的单引号封闭,而当作一个合法的字符处理。针对oracle和informix等数据库暂时未进行相关测试。
另外,对于PHP或者Perl语言,很多程序对于数字类型的输入变量,没有加单引号予以保护,攻击者就有可能在这种变量中加入额外的SQL语句,来攻击数据库或者获得非法控制权限。
(2)数据库问题
不同的数据库对安全机制的不同认识和实现方法,使它们的安全性也有所不同。最常见的问题是利用数据库对某些字符的不正确解释,改写被执行的SQL语句,从而非法获得访问权限。
1.2 大量数据查询导致拒绝服务
许多网站对用户输入内容的判断在前台,用JavaScript判断,如果用户绕过前台判断,就能对数据库进行全查询,如果数据库比较庞大,会耗费大量系统资源,如果同时进行大量的这种查询操作,就会有Denial of Service(DoS———拒绝服务)同样的效果。
2 措施与解决方案
通过查阅一些资料,下面介绍一些网页制作中安全防范的方法,以供大家参考。
2.1 防范脚本攻击
(1)JS脚本和HTML脚本攻击的防范其实很简单,只要用server.HTMLEncode(Str)就可以了。当然全以<%=uid%>过滤,为了方便的过滤,只需要将HTML脚本和JS脚本中的几个关键字符过滤掉就可以了,如下代码所示:
以下是过滤函数CHK()
(2)很多站点在用户注册,或者是用户资料修改的页面上也缺少脚本的过滤,或者是只在其中之一进行过滤,注册进入后修改资料仍然可以进行脚本攻击。对用户提交的数据进行检测和过滤如以下代码:
2.2 防范sql injeciton攻击
从最一般的.SQL Injection漏洞攻击来看,主要在用户名和密码上的过滤问题,提交:用户名为:‘or’‘=’用户密码为:‘or’‘=’从程序出发,数据库在执行以下操作Sql=“SELECT*FROM lUsers WHERE Username=”or“=”and Password=“or”=“”时,SQL服务器将返回lUsers表格中的所有记录,而ASP脚本将会因此而误认为攻击者的输入符lUsers表格中的第一条记录,从而允许攻击者以该用户的名义登入网站。对此类注入的防范可以利用以下代码就可以实现strUsername=Replace(Request.Form(“Username”),“‘’”,“‘’‘”)
strPassword=Replace(Request.Form(“Password”),“’‘”,“’‘’‘”)
2.3 防止ASP木马
防止ASP木马被上传到服务器的方法很简单,如果你的论坛支持文件上传,请设定好你要上传的文件格式,我不赞成使用可更改的文件格式,直接从程序上锁定,只有图象文件格式和压缩文件就完全可以,因为多给自己留点方便也就多给攻击者留点方便。怎么判断格式,如下面代码所示:
判断文件类型是否合格
上述介绍的一些安全防范的方法在编写网页代码时被常用到,这些代码还是较为基本的一些代码,但能有效的防止一些黑客的攻击,当然加入了这些代码可能会降低程序的使用效率。做为一名网站的管理人员或网页制作人员在进行网页制作和网站维护时应加强安全防范的意识,确保在网络上进行数据传输的可靠性。
3 结论
总之,随着网页制作的技术不断的发展和提高,对电子商务的发展有着不可估量的推进作用,对于网站的安全防范已经成为目前发展电子商务最需考虑的一个问题之一,在开发网站中应注意在网络安全方面的考虑。目前如JSP、ASP、PHP、XML等一些网站新技术融入网页制作中,进一步提高了网页的性能。随着新的技术的推出,我相信网页制作的发展会把我们带入一崭新的信息世界。
参考文献
[1]临海,杨晨光.计算机网路安全[J].高等教育出版社.2004(5):55.
[2]韩茂盛.浅析电子商务时代网络安全技术[J].商场现代化(学术版),2005(2):103.
[3]刘爱国,李志梅.谈电子商务中的网络安全管理[J].商场现代化.2007(499):76-77.
电子商务网站安全设计 篇11
关键字:RIA Flex 电子商务 框架
中图分类号:G71 文献标识码:A 文章编号:1674-098X(2012)12(c)-00-01
随着电子商务规模的不断扩大,电子商务网站建设的优劣直接影响电子商务的效果。传统的Web电子商务网站一般都采用页面表现内容、由服务器端传递数据的开发模式。其客户端是浏览器,主要是靠服务器端程序来处理相关业务程序,这种模式易于管理,安全性高,而且硬件花费较少,但同时也存在着缺乏灵活性、服务器端遇到网络带宽问题、应用程序缺乏丰富的用户界面及高效的多媒体处理性能等缺点。因此,为了满足用户更高的、更全方位的使用体验要求,就需要功能更加强大的表示层。于是,被称为富互联网应用(简称RIA)的、具有丰富用户体验和高度互动性的网络应用模式应运而生。
1 Flex技术简介
Flex技术由MXML、ActionScript及Flex类库三部分组成。MXML是用来描述Flex程序视图部分的基于XML的标记语言,主要用来呈现Flex的用户界面,也包括一些不可见元素,例如数据绑定、访问数据源等。ActionScript是一种基于ECMAScript的面向对象编程语言,主要负责实现和控制客户端程序逻辑。Flex还提供了一个丰富的类库,包括了各种Flex容器和控件、行为组件、数据绑定组件及其他功能组件[1]。这些组件作为辅助,来加快整个开发的进程。
2 电子商务网站功能设计
基于Flex技术开发的电子商务网站,彻底改变了以往的交互过程,让顾客可以个性化地配置所选商品,并即时得到商品的最终效果,让顾客的购物过程更方便更快捷,极大的改善了顾客的购物体验。
2.1 需求分析
对于电子商务这样的数据流量较大的数据库管理系统类网络管理系统,必须做到使用方便、操作灵活等设计要求。因此,本电子商务系统针对以下目标进行设计:(1)界面设计友好、美观,采用人机对话的操作方式,对信息的查询,可以做到方便快捷、灵活准确、数据存储安全可靠。能够全面展示所有商品,并能展示最新商品及特价商品。(2)可以对商品销售情况进行排行,以方便顾客了解热销商品及帮助企业领导者做出正确的决策。(3)对用户输入的信息,系统可以进行严格的数据检验,尽量排除人为错误。(4)系统做到最大限度的易维护性和易操作性。
2.2 主要功能设计
(1)用户注册:用户填写注册资料,进行校对后提交。将信息存入用户信息表中。(2)个人信息维护:进入后自动显示该用户信息,用户进行修改后提交。并在数据库中对信息进行更新。(3)商品展示:商品可按不同分类进行展示。(4)购物车管理:用户可以查看购物车,从购物车添加和移除商品。(5)结账:用户可通过结账功能进行订单管理和在线支付。
3 电子商务系统架构的设计和实现
Flex在企业级应用中与J2EE已经实现了完美的结合,所以本系统采用Flex+ J2EE的系统架构[2]。Flex应用的客户端程序作为经过编译的二进制字节码文件被部署在基于J2EE的Web服务器上,当用户浏览器请求这些文件时,它们被下载到用户的客户端,由FlashPlayer来执行。因此,开发本系统需要用到的软件及插件包括:JDK7.0、Tomcat7.0、MyEclipse9.0、FlashBuilder4.6插件、Cairngorm2.2.2、Blaze DS4.0及SQL Server 2000等。
3.1 客户端架构
Flex应用程序与传统的HTML应用程序的主要区别是Flex应用程序能够处理最适合在客户端运行的程序,如数据格式和字段的校验、数据分类和过滤、视频的合成及特效果等。Flex应用程序能够迅速地对用户操作做出反应,在不同“页面”之间流畅的过渡,提供连续而毫无中断的工作流。为使程序开发人员更好地开发和交付RIA应用程序,本系统采用Adobe公司开发的Flex轻量级MVC框架Cairngorm,该框架的结构清晰,并有Adobe官方的支持,所以应用非常广泛。
3.2 服务器端架构
大部分Flex应用程序都需要和服务器进行交互。本系统采用的是基于J2EE平台的服务器程序架构,Web服务器采用的Tomcat。为了能和Flex客户端进行通信,采用的是Adobe公司开发并提供的一套中间层技术解决方案——BlazeDS[3]。BlazeDS实际上是一套Java应用程序框架,能够运行在服务器端,作为Flex实现远程调用和实时消息通信的组件,通过AMF网关(ActionScript Messaging Formatter)来实现ActionScript语言和Java语言的数据类型的转换。这样前端的Flex应用程序就可以和后台应用程序相连接,为前端的Flex应用程序和后端的数据库搭起桥梁。
3.3 客户端和服务器端的通信
构建用户体验良好的富客户端,客户端和服务器端就必须实现异步交互,这样用户才能免去等待服务器响应的烦恼。Flex客户端和服务器端的通信编程模型为异步交互提供了支持:即当用户进行某项操作并等待服务器返回结果时,用户还可以进行其他操作,服务器返回的结果将由后台程序进行处理。另外,Flex客户端程序的应用又是一个整体,而不像传统网页由多个页面组成,因此就没有页面刷新的问题。
4 结语
该文设计的基于Flex+J2EE框架的电子商务系统从根本上改善了用户体验,提高电子商务的部署效率,在电子商务应用领域可以帮助企业提供多元化的重要业务效益,用Flex技术建立电子商务网站将对企业十分有益。
参考文献
[1] 李庆,沈钧.我的Flex我精通[M].北京:电子工业出版社,2009.
[2] 彭晓川.基于Flex的RIA与J2EE应用的整合[J].应用技术与研究,2007(2).
电子商务网站设计 篇12
电子商务网站是企业进行商贸以及从事活动的开端, 对实现产品的展示和企业形象的宣传具有重要的作用。优化资源配置、整合共享信息从而实现社会生产最大化。通过网上在线交易, 有效降低了企业的经营成本的同时开拓了交易市场, 提高了企业的整体竞争力。
电子商务网站可操作性强突破了时间和空间的限制, 使得交易活动可以在任何时间、任何地点进行, 并为企业提供了丰富的信息资源, 创造了更多的贸易平台与机会。电子商务网站具备在线交易功能的同时更加注重为用户提供全面商务信息。
2 电子商务网站需求分析
电子商务网站功能性需求如下:电子商务网站一般由两大部分:一是用户界面的在交易平台系统, 二是后台管理交易处理系统。电子商务网站可以实现的功能比较丰富, 除了实现普通商务网站的交易功能以外, 还具备了信息查询、商品发布、在线互动等功能。在管理的任务方面, 强调以客户的需求为中心。网站的性能需求分析要求, 用户在网上交易时要保证网上数据安全, 不仅有效的满足企业业务应用、还可以快速反应市场变化。另外, 网站整体风格主要体现为界面简单、易于操作、可维护性强、实用性强的特点。
3 网站建设的开发技术
电子商务网站一般分为前台和后台两个部分, 前台有客户浏览和购买商品功能, 后台主要有商家处理订单功能。前台代码主要以html语言编辑, html语言可以由Dreamweaver作为界面设计工具, 后台采用jsp技术, 采用My SQL数据库技术。电子商务网站的几个基本功能模块, 主要包括:用户注册、登录、注销;个人信息的查询、修改;购物车统计、销售导航、订单记录、用户反馈。
电子商务网站页面一般采用HTML代码编写技术。HTML文档分文档头和文档体两大部分。文档头对文档进行了一些必要的定义, 文档体中显示文档主体的各种信息, 所有网页都是在这种架构的基础上逐步润色而形成的。HTML文档由一些标记码组成, 例如:标记码<html>、<head>、<title>、<body>和<p>。
CSS页面布局使用层叠样式表格式, 是控制网页布局样式的基础, 并真正能够做到网页表现与内容分离的一种样式设计语言。商务网页常采用CSS层叠样式表技术, 它不仅以有效地处理方式设置了商务网站的网页格式还可以让HTML网页的功能得到充分扩展。
Java Script可以实现Web访问时的表单验证。可以对文本框中的内容进行验证, 商务网站通过JAVASCRIPT脚本技术, 使网站能够实现一些必要功能, 具体包括了:表单验证, 信息弹出框, 信息的上传, 网站页面的美化加工。直接在浏览器端运行, 即客户端, 使客户端实现在线交易, 订单确立, 商品展示, 信息提示等。有效降低了web服务器的数据负荷及网络的信息传输量, 改善了商务网站系统的操作步骤与交易流程。以下代码为验证姓名是否为空的Java Script代码。执行时姓名这个字段的值为空的时候, 弹出对话框。
4 数据库设计
电子网站中设计了用户、订单、卖家、产品等实体。实体之间的E-R图, 如图1所示。
5 电子网站模块设计
网站的主要功能是作为电子购物平台, 以网上交易为主要功能实现了客户与商家的互动, 商务信息发布, 卖家在线交易等等。网站一般具有购物平台、交易市场、信息处理和会员社区几大模块。
购物平台:用户可以自助选择商品类别, 通过展示商品的图片, 链接到介绍页面, 客户可以浏览到包括价格区间、商品质量、生产日期等等信息, 做到商品的精确定位, 让客户真正选到满意放心产品。
交易市场:客户确定其想要购买的后, 可以在交易市场页面上填写所要购买的商品总量和付款方式, 提交后经过系统处理, 就会为客户返回一个确定的交易订单, 等待客户付款取货, 完成交易。
信息处理:通过网站中的电子信息栏中的广告信息来介绍商品, 便于客户建立订单, 反映问题, 可实现网站与客户的商品信息交流。
会员社区:建立一个任何客户都可以访问的专用页面, 使客户查询自己的交易量与享用的优惠权利, 实现互动的同时还为电子商务购物网站的服务建立一个平台。是利用信息技术实现商业模式的创新与变革。
6 结语
电子商务网站采用B/S结构, 它的出现节约了企业、公司以及个人的交易时速, 在全球开启了更为公平、公正、公开的广泛竞争市场。电子商务是一种由数字网络来操控社会生产的电子化过程, 并利用信息技术来实现商业的创新与变革。我们相信, 在不久的将来, 电子商务网站的应用会越来越深入。
参考文献
[1]张剑.电子商务网站的作用与功能分析[J].科技资讯, 2010, (04) :166.
[2]刘敏娜, 魏浩.基于B/S架构的电子商务网站的设计与实现[J].软件工程师, 2015, (11) :42-44.
【电子商务网站安全设计】推荐阅读:
电子商务网站安全问题05-31
毕业论文(设计):校园电子商务网站设计---校乐购08-19
电子商务网站05-30
电子商务网站应用09-08
电子商务网站评价研究08-21
电子商务网站制作研究05-24
电子商务网站实训总结06-26
电子商务网站建设策划方案07-26
旅游类电子商务网站案例分析07-01
电子商务网站建设实训报告05-25