商务网站的安全管理(精选12篇)
商务网站的安全管理 篇1
1 概述
目前, 网上电子交易已经随着因特网的普及逐渐被人们所接受和应用, 网络购物、网上缴费等方式极大的方便了人们的生活, 越来越多的人开始利用网络来进行交易。电子商务网站的有效运作, 依靠的是完全开放的互联网, 而这个网络当中的任何电脑之间、网络之间都是互通的, 安全和不安全的数据都可能在传递, 各种风险随时对电子商务的安全构成威胁。电子商务正在规模化和全球化, 企业的发展在很大程度上都依赖于它, 所以, 电子商务网站的安全问题必须得到有效的解决, 才能保证它的正常运转。
2 电子商务网站的安全策略
电子商务依靠的是互联网, 其核心和关键问题就是交易的安全性。正是由于网络本身的开放性给网上交易带来了种种危险, 才要更加注重它的安全控制。电子商务网站的安全问题可以从两个方面进行探讨和分析, 一是系统安全, 二是数据安全, 并且可以利用一些先进的技术手段加以解决。
2.1 系统安全
信息安全对于企业来说很重要, 而信息安全的前提是系统安全。系统安全主要包括网络系统、操作系统和应用系统3个方面。系统安全可以采用的技术手段有网络隔离、访问控制、身份鉴别、数据加密、监控评估等技术。
2.1.1 网络系统
网络系统的安全问题主要是由于网络的开放性造成的, 解决问题的关键是把网络从开放、自由的环境中分离出来, 使其变成可以控制和管理的独立网络, 就目前的技术发展来看, 可以采用下列方法解决系统安全问题。
1) 系统隔离, 就是将重要的网络系统与其他系统分离, 有物理隔离和逻辑隔离。按照网络安全等级的不同可以将网络合理划分为多个互不连通的网络, 使不同安全级别的网络或设备不能相互访问, 从而达到安全隔离。也可以采用VLAN等网络技术对业务网络或办公网络实行逻辑上的隔离, 划分出不同的应用子网;2) 访问控制, 通过设置有效合理的访问策略, 对于不同区域的网络资源实行访问控制, 防止非法用户访问受保护的资源, 其主要解决的问题就是网络边界的安全控制和网络内部资源的访问控制。可以按照一定的原则根据需要对信息的流向进行单向或双向控制。能够设置访问控制的网络设备有很多, 比如交换机、路由器, 而最重要也是最有效的则是防火墙, 它通常被布置在网络的出入口处, 对进出网络的数据信息进行有效的检测和过滤, 同时按照访问控制列表和安全政策对信息流进行控制, 允许合理有效的数据通过, 将不安全和不符合要求的数据拒之网外;3) 身份鉴定, 对访问网络的用户进行身份识别, 通常可以使用三种方式对访问者进行身份验证, 一是访问者了解的安全信息, 比如账号、密码、密钥等;二是访问者提供的物件, 比如访问磁卡、通用IC卡、动态口令卡等;三是访问者自身的特征信息, 比如声音、指纹、视网膜、笔迹等。身份鉴定的目的就是阻止非法用户访问这些被加密的数据, 而加密是为了防止网络数据被窃听、泄漏、篡改和破坏;4) 安全监测, 利用网络设备的高级功能和技术, 通过分析来访数据信息, 找出未经授权的网络访问和非法行为, 包括对网络系统的扫描、跟踪、预警、阻断、记录等, 从而将系统遭受的攻击伤害减少到最低。除了网络设备, 还可利用一些专业的网络扫描监测系统来对付黑客和非法入侵, 这些系统能够主动、实时、有效的识别出非法数据和用户, 并且通过网络扫描能够针对网络设备的安全漏洞进行检测和分析, 包括网络服务、防火墙、路由器、邮件服务器、网站服务器等, 从而识别那些可以被入侵者利用并非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告并提供改进方案, 使网络管理人员能检测和管理好安全风险。
2.1.2 操作系统
操作系统, 实际上就是电脑管理控制程序, 是管理计算机软硬件资源的核心系统, 负责设备的管理、数据的存储、信息的发送和各种系统资源的调度, 它是各种应用软件的系统平台, 具有通用性和易用性, 操作系统的安全直接影响到应用系统和数据的安全, 一般分为应用安全和系统扫描。
1) 应用安全, 面向应用选择可靠的操作系统, 可以杜绝使用来历不明的软件。用户可安装操作系统保护与恢复软件, 并作相应的备份;2) 系统扫描, 基于主机的安全评估系统是对系统的安全风险级别进行划分, 并提供完整的安全漏洞检查列表, 通过不同版本的操作系统进行扫描分析, 对扫描漏洞自动修补形成报告, 保护应用程序、数据免受盗用、破坏。
2.1.3 应用系统
1) 文件的安全存储:利用各种加密手段, 结合相应的身份鉴定和密码保护机制, 使存储在本地或者网络上的重要文件处于安全存储的状态, 即便他人通过非法手段获取到了文件或存储设备, 也难以取得文件里的内容;2) 文件的安全传递:对通过网络发送的文件进行安全处理, 比如加密、签名、完整性鉴别等, 使被传送的文件只有指定的接收者通过相应的安全鉴别机制才能解密并阅读, 避免了文件在传送或存储的过程当中被截获、篡改和破坏等;3) 业务服务安全:主要面向业务管理和信息服务的安全需求。对于各种通用信息服务, 如WEB信息服务、FTP服务、电子邮件服务等服务, 采用相应安全软件系统进行保护, 如安全邮件系统、WEB页面保护等;对于各种业务信息可以配合专业管理信息系统软件采取对信息内容的安全保护, 防止外部非法侵入和内部信息泄漏。
2.2 数据安全
信息数据的安全主要包含了数据库的安全和数据本身的安全, 这两个方面的安全问题都必须得有相应的安全措施, 才能确保数据安全。
1) 数据库安全, 目前很多企业使用的数据库都是SQL Server或者ORACLE大型数据库, 这些数据库系统本身具备一定的安全性, 安全级别可以满足日常需求。但是由于数据库十分重要, 应在此基础上再采取一些安全措施, 增加相应安全组件, 改良密码策略, 对数据库实施分级管理并提供可靠的故障恢复机制, 实现数据库的访问、存取和加密控制。具体方法有安全数据库系统、数据库保密系统、数据库扫描系统等;2) 数据安全, 即存储在数据库中的数据本身的安全, 相应的保护措施有安装反病毒软件和防火墙软件, 建立一套可靠的数据备份与恢复系统, 定期对数据进行备份, 定期修改数据库密码, 必要时可以对重要数据采取多层加密保护。
2.3 交易安全
网上交易安全是用户最关心的问题, 只有提供稳定的安全保证, 在线交易用户才会具有安全感, 才会觉得交易平台可靠, 电子商务网站才会具有广阔的发展空间。
1) 交易安全标准, 目前在电子商务中主要的安全标准有两种:应用层的SET (安全电子交易) 和会话层SSL (安全套层) 协议。前者由信用卡机构VISA及Master Card提出的针对电子钱包、商场、认证中心的安全标准, SET的关键特征是信息的机密性、数据的可靠性、卡用户账号的鉴别、商人的鉴别, 主要用于银行等金融机构。后者由NETSCAPE公司提出的针对数据的机密性、完整性、开放性和身份确认的安全协议, 它可以保证数据不被窃取和破坏, 此协议已经成为WEB应用安全标准;2) 交易安全基础体系, 交易安全的基础是现代密码学技术, 主要取决去于加密方法和加密强度。加密分为单密钥的对称加密体系和双密钥的非对称加密体系。两者各有所长, 对称密钥具有加密效率高, 但存在密钥分发困难、管理不便的弱点。非对称密钥加密速度慢, 但便于密钥分发管理。通常把两者结合使用, 以达到高效安全的目的;3) 交易安全的实现, 交易安全的实现主要是指交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的否认等等。具体实现的途径是交易各方具有相关身份证明, 同时在SSL协议体系下完成交易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等。
3 结论
企业电子商务网站的安全, 需要一个完整的综合保障体系, 要采用综合防范的思路, 从技术、管理、法律等多方面加以认识和思考。安全实际上是一种风险管理, 任何技术手段都不能够保证百分之百的安全, 但是安全技术可以降低系统遭到破坏和攻击的风险, 在一定程度上保障数据的安全。电子商务正处于蓬勃发展时期, 只有解决了电子商务中出现的各类问题, 才能是电子商务系统更加安全。
参考文献
[1]洪国彬.电子商务安全与管理[M].北京:电子工业出版社, 2006.
[2]贾伟.网络与电子商务安全[M].北京:国防工业出版社, 2006.
[3]张福德.电子商务安全认证实用技术[M].北京:中国对外经济贸易出版社, 2003.
商务网站的安全管理 篇2
一、电子商务对现代企业管理的影响
现在的企业已经充分认识到,在以网络、信息技术为代表的信息产业快速发展的时代,实现电子商务是企业能够在激烈的市场竞争中得以发展、生存的必由之路。这是因为电子商务不只对于企业的管理,还对企业的计划、组织和控制也产生了不同程度的影响,而且对于企业的研发、采购、生产、加工、制造、存储、销售以及客户服务等一系列问题也产生了巨大的影响。在传统的生产管理中,存在着许多问题。由于一个企业生产的种类繁多,批量变化比较快,为了及时生产出满足市场的产品就必须采用各种方法解决生产中存在的问题。电子商务为解决问题提供了有效路径。
首先,电子商务的生产方式是根据顾客需求来进行生产。网络将生产企业、供应商和消费者联系在一起,按需生产。同时电子商务的实现可大大提高信息和资金等的转移速度,提高工作效率,缩短生产周期,从而降低单位产品的生产成本。例如:Dell公司为客户在线订制不同要求的电脑取得巨大的成功便就是一个很好的例子。公司产品一半以上在网上定制销售,即先掌握客户的需求和要求,再组织生产,因而没有库存,企业也就不会出现大量商品积压。
其次,企业开展电子商务可以降低企业的各项成本,网上销售突破了空间与时间的限制,顾客可以每周7天、每天24小时光顾店铺购买商品,增强了企业利用互联网展示产品及服务的优势。具体表现在如下几个方面:一是企业可以全方位展示产品,从而使顾客理性购买。二是可以打破时间与空间的限制。三是电子商务可以降低企业的交易成本。
第三,以前大部分企业以订货会、供需见面会等作为采购原材料的主要方法。而电子商务模式能通过网络快速找到适合的供货商,及时了解供应商的产品信息,如库存、交货期、价格等,并可以选择较低价格的一家进行交易。同时,通过企业内部网络能及时了解本企业的库存动态信息,进行适时采购。通过电子商务,企业可以加强与主要供应商之间的协作关系,双方可以根据需要进行生产和交易,从而降低了双方的费用。
二、现代企业电子商务应用的现状
(一)网商数量及电子商务交易迅速增长互联网普及促进了电子商务的发展,尤其是网上零售业的发展。据阿里巴巴集团研究中心发布,中国的电子商务正处在快速发展时期,预计2013年底将达到12.7万亿元。网络零售业的发展也直接促进就业,以淘宝网为例,截至2012年4月,淘宝网创造了106万直接且充分就业机会,带动物流、支付、营销等产业链就业机会为302万。截至2012年11月底,阿里巴巴集团已经向税务机关实缴税金37亿元人民币,平摊下来阿里巴巴集团本年度将实现平均每天纳税1000万元。2012年,阿里集团将“双十全场五折活动扩展至旗下淘宝、天猫和聚划算三大事业群,仅天猫入围“双十的商家就从去年的两千家超过了一万家,涉及数十个品类的六万余个品牌。
(二)喜欢网购的人数迅速增加
电子商务的迅速发展造就了一定数量的网上购物者一网民,而一定数量网民为电子商务的发展奠定了基础。据新华网报道,截至2012年7月底,中国网民数量达到5.38亿,15年增长逾800倍,互联网普及率为39.9%,拥有ipv6地址数量比上年底增长33%,仅次于巴西和美国,位列全球第三。目前,全球每100个网民中,就有24个是中国人。首届中国电子商务年会于2013年1月18曰在上海举办,商务部电子商务和信息化司副司长聂林海在致辞中提到“互联网的普及使得中国网络购物等电子商务获得前所未有的发展。它将人们的消费习惯、生活习惯从线下转移到线上,使越来越多的人从中受益”。
(三)第三方支付平台成为电子商务发展的助推器
由于电子商务中的商家与消费者之间的交易通过网络进行,双方只能通过网络上的描述来了解对方,造成了商家怕货出去收不到钱,消费者怕钱出去收不到合适的货的问题。最终结果是双方都不愿意先冒险,网购自然也就无法进行。第三方支付平台的建立为商家与消费者之间建立了可以信任的中介,也满足了商家和消费者对信誉和安全的要求,防止了电子交易中欺诈行为的发生,消除了交易双方对于网上交易的疑虑,从而极大地剌激了中国电子商务的发展。
三、在商务管理和工商管理专业中开设电子商务课程,培养社会急需人才
第十一届全国人民代表大会第三次会议国务院总理作政府工作报告时提出,要加强商贸流通体系等基础设施建设,积极发展中国电子商务。在《国家中长期教育改革和发展规划纲要(2010-2020年)》中也提到“把职业教育放在更加突出位置,建立健全政府主导、行业指导、企业参与的办学机制;完善职业教育支持政策,增强职业教育吸引力,提高学生就业创业能力。”电子商务造就了无数百万富翁,还缓解了大学生就业难的问题,例如:山东科技职业学院(以下简称我院2009级学生董长兴同学利用在校学的电子商务知识自己创办了曹县电子商务公司,主营母婴用品,由于生意比较好,自己打理不过来,还从10级招聘了8名师弟和师妹去他公司工作,现每年营业收入100多万。学校也意识到电子商务人才需求的强劲,在商务管理和工商管理专业开设电子商务课程来满足社会和企业对电子商务人才的需求显得尤为重要,所以说在商管和工商专业中开设电子商务课程提高了学生的技术和商务两方面的知识,使学生毕业后能运用电子商务技术手段来进行企业管理和运营,满足了企业的需求,为以后学生的就业也奠定了基础。
四、电子商务人才培养的模式和特点
为进一步提升商务管理和工商管理专业的办学层次,提高教师的业务水平,推进校企合作,服务地方经济,推进教学园区化和育人职场化。
(一)育人职场化教学
学校与企业建立职场化教学教室,由该专业教师带领学生直接参与生产和销售,将传统的灌鸭式课堂教学变为面向企业需求和需要的开放式教学,课堂得以延伸,学生可以零实习期直接上岗,且在岗位上干的非常好。例如:我院与潍坊百货集团电子商务公司小蜜蜂购物网深度合作,在学校成立体验运营中心,商管和工商专业的学生通过真枪实弹的实践把课堂所学的知识运用到实践中,真正体现了学院教学、生产、科研三位一体职场化教学模式的办学思路。由此也加强了学校与企业的联系,缩短了学校教学与企业生产的距离。
(二)采用项目式的教学让学生自主学习相关专业知识
例如:在与小蜜蜂购物合作中,根据企业的需求,给定学生一个真实的任务,学生明确任务目标后,根据任务要求分小组分角色采用真实的工作过程来完成任务,在完成任务的同时学会提出问题,教师可以流动答疑和启发,帮助学生学习专业知识,培养了学生的分析问题和解决问题的能力。任务结束后由各个小组进行现场展示与答辩,分享项目小组的合作过程与成果,根据各个小组的展示,其他小组可以发现自己的不足之处,为以后的学习奠定基础。
(三)教师与学生现场互动,活跃课堂气氛,提高学习效率
商务网站的安全管理 篇3
【关键词】交易主体;电子商务网站;安全;对策
在我国,电子商务的出现和发展在不断的改变人们的消费观念和消费习惯,并且逐渐蚕食传统交易的市场份额。无可厚非电子商务确实给人们带来了便利,但电子商务是建立在一个虚拟的世界中的,其根基与传统的交易模式相比较是存在较大区别的,电子商务的安全性问题也成为了制约其发展的最重要的一个问题。
一、各种模式存在的安全问题
1.B2B模式及其存在的安全问题。B2B(Business to Business)模式,即为企业与企业之间的电子商务提供平台的一种模式。B2B模式特别适合在开放的环境中应用,通过全面进行市场和库存管理,有助于企业与企业之间共同成长。比较有名的B2B电子商务网站有阿里巴巴、慧聪网和商机网等。阿里巴巴还是世界最大的电子商务平台。B2B模式的优点很多,但是其安全需求也较高。表现在:(1)参与B2B交易各个主体的网上身份验证以及访问控制问题。我国传统的B2B网站都是通过用户名与密码的组合作为参与B2B交易各个主体的网上身份验证,并通过其控制访问。但是,密码在公用网络中以明文的方式进行传送,其安全性问题无法保障,而网站方面,还需要为维护庞大的用户密码列表支付高昂的成本。(2)交易信息传输过程中的保密性问题。与密码的传输一样,所有的网络交易的数据都是明文发送的,在这个过程中记忆发生信息被非法截取的情况,从而导致信息泄露。(3)交易行为的不可否认性问题。目前的B2B模式中,如果一方在交易完成之后死不认账,交易相对方很难举出有力的证据
2.B2C模式及其存在的安全问题。B2C(Business to Consumer)模式,即企业与消费者之间通过网络平台进行交易的一种电子商务模式,这种模式也是目前应用最为广泛的一种电子商务模式,主要是应用在零售领域,主要需要卖方提供其虚拟购物空间以及在线支付结算。目前,比较有代表性的B2C电子商务网站有新蛋网、京东购物商城等等。B2C是与人们的生活密切相关的一种模式,具有便利性强的特点,但是由于需要提供在线支付服务,其安全隐患也较大。主要体现在:(1)交易主体身份的认证问题;(2)交易数据的保密问题;(3)交易数据的完整性问题;(4)交易的不可否认性问题。
3.C2C模式及其存在的安全性问题。C2C(Consumer to Consumer)模式,即为消费者与消费者之间的电子商务提供平台的一种模式,平台需要提供支付服务,目前国内比较有代表性的C2C电子商务网站主要有淘宝网、易趣等。C2C电子商务模式是我国目前应用最广的一种模式,现在的网购大部分也指的是这种模式。C2C有着自己无可比拟的优点,但是其安全问题也同样严峻。具体表现在:(1)卖家信誉问题无法保障;(2)支付安全问题无法保障;(3)交易数据的保密问题。
二、解决存在安全问题的对策
1.数据加密。数据加密是一种最为基本的电子商务安全保障,通过数据加密,可以满足上述的三种电子商务模式对于信息完整性的要求。所谓的数据加密就是利用加密的算法对敏感信息进行加密,并且将加密的数据和密钥通过事先设定好的安全通道传送。接受者在接收到信息之后,通过密钥获取敏感信息。
2.PKI/CA数字签名认证技术。它是公开密钥加密技术的另一类应用。主要方式:(1)RA在各地的业务受理中心受理来自申请者的申请;(2)RA在各地的业务受理中心将受理的申请进行审核,对符合要求的申请授权;(3)对已经授权的申请者信息提交CA子中心,有需要的再经由子中心向根中心发送,颁发数字认证证书,并进行加密;(4)将数字证书信息公布在特定的系统,允许一般用户和CA用户在该系统进行直接的交流。通过数字签名能解决交易主体的身份认证问题,还可以实现对原始报文完整性的鉴别和不可抵赖性。
3.安全协议。安全协议是电子商务网站建设所必备的,目前比较有代表性,并且应用范围较广的电子支付安全协议主要有SSL和SET。前者即安全槽层协议,是在交易主体进行交易之前,就在互联网上构建出一个秘密的信息传输通道,以保证信息的机密、完整和可认证。该协议是基于用户的IP提供的客户端和服务器端的鉴别以及数据完整性的保护。SSL协议运行的基础是所有的商家都对用户的信息保密,这样的要求对消费者来说实际上是不安全的,因而随着电子商务的发展SSL协议逐渐被SET协议取代。SET协议即安全电子交易规,是基于信用卡进行电子化交易的应用提供的实现安全保障的规则。与SSL相比,它在保留了对客户信用卡认证的前提下,还增加了对商家的身份认证,安全性更高,能够很好的解决身份认证、信息保密、信息完整性以及信息不可否认性的问题。
总之,随着信息化技术的不断发展,电子商务也开始逐渐成为生活中不可缺失的一部分。然而,电子商务的几种模式都有这样或者那样的安全性问题,需要采取一定的安全措施妥善的予以解决,从目前来看,我们可以运用数据加密、PKI/CA数字签名认证技术以及安全协议等解决这些问题,促进电子商务的健康成长。
参 考 文 献
电子商务网站的安全现状分析 篇4
1 交易信息的安全性
调查显示,52.26%的用户关注交易的安全可靠性,被调查对象中36.54%的人,认为安全性和个人信息得不到保护。在面对面的贸易过程中,交易都是通过信件或其他可靠的通信渠道来发送商业报文,进而达到保守机密的目的。电子商务通过互联网进行交易,而整个互联网是一个开放的网络,因此,会出现一些意外风险,如交易对象的不诚信、黑客的攻击等,随时都会威协到电子商务过程的安全性。交易信息直接代表着个人、企业或国家的商业机密不容泄露;信息到达对方前,信息的完整性将影响到贸易方的交易和经营策略;交易信息的真实性,包括信息内容和交易双方身份的真实性,也是电子商务成功开展的基础;确定进行交易的贸易方正是交易所期望的贸易方,在无纸化网络环境中,要有可靠的鉴别方式。
由于以上提到安全风险的存在,使得人们对网上交易心存疑虑。据统计,大约有5.2%的美国网上经销商曾被假冒信用卡,每年在美国由于信用卡欺诈而造成的网上经销商损失达数亿美元。在我国,电子商务交易中遭遇信用卡被盗用、网上黑店、信息资料丢失等现象时有发生。据不完全统计,我国有70%以上的企业和个人表示,出于安全考虑,目前暂不会在网上进行购物或交易。
综上所述,电子商务的安全问题主要有以下几点:1) 信息在传输过程中被泄漏;资料被窃取或破坏;2) 信息在传输的过程中被篡改;3) 不能确认对方的身份;4) 交易双方的抵赖。
所以,要预防非法的信息存取和信息在传输过程中被非法窃取,主要是从信息的保密性、完整性、真实性和不可抵赖性等这几个方面着手进行。经过几年的发展,电子商务过程的安全性问题也有针对性的解决方法。如在信息传输过程中一般通过密码技术对传输的信息进行加密,防止在传输中交易信息被篡改、窈听和截取。再通过提取信息摘要的方式来保持信息的完整性。当信息到达贸易方时,用认证机构和证书来实现鉴别验证某个特定的身份。为确保信息的发送方曾发送过某一信息,或者信息的接收方曾收到过信息,可在信息传输过程中为参与交易方提供可靠的标识等。
2 网上支付平台的安全性
实现网上支付功能是电子商务成功开展的一个十分重要的环节。发展电子商务如果没有相应的网上支付手段,就会大大降低电予商务交易的效率。在我国最早的网上银行是1998招商银行开办的,十几年过去了,到现在几乎所有的银行都将业务延伸到了网上。第三方支付市场也在快速地发展,支付宝就是其中具代表性的一个机构。
网上支付这种采用先进的电子签章的安全防护技术认证措施的支付方式,可以快捷、安全地在网上支付购物货款、支付各项公用事业费用的账单,甚至进行网上理财都显得极具优势。但是网上支付机构作为拥有资金吸存行为的网上支付机构,从买方把钱付给网上支付平台,到卖方确认以后,平台把钱再付给卖方,这中间需要经过一段时间,而在这段时间里,钱是沉淀在支付机构里的,自然存在着资金安全隐患方面的问题或者支付风险问题。
除了资金安全问题以外,网上支付平台还极易成为犯罪分子进行不法活动的工具。据悉,在央行发布的《反洗钱报告》中,网上银行在银行业务中占据的比重上升很快,而且由于交易大都通过电话、计算机网络进行,银行和客户很少见面,这给银行了解客户带来了很大的难度,也成为洗钱风险的易发、高发领域。
电子支付除为客户提供帐户储值进行支付外还提供信用担保服务,它已经不是简单的支付、清算工具,而是给交易方提供实现支付达成安全交易的一个服务平台。但它的发展程度与电子商务还存在一定距离,尚有很多不完善、不能完全满足电子商务需要的地方,运营上也存在一些问题。
要从根本上解决这种现状,首先要加强对网络上虚拟交易的监管,实施网络实名制,这样会使犯罪分子不敢明目张胆地进行非法活动,也有利于监管部门掌握具体的资金流向,使其得到有效的控制。另外作为支付平台本身应该做到合法经营,尽到自己的社会义务。
3 电子商务网站中使用的安全技术分析
为了建立一个安全便捷的电子商务应用环境,经过多年的发展,在安全电子交易协议或标准中都采纳了一些常用的安全电子交易手段和方法,典型的主要有以下几种:
3.1 密码技术
最常用的安全交易手段之一就是采用密码技术对信息加密。在电子商务中获得广泛应用的有对称加密技术和非对称加密技术。在对称加密方法中,对信息的加密和解密都使用相同的密钥,在目前广泛应用的对称加密方式中,由美国国家标准局提出的数据加密标准 (DES) 占了很重要的地位。非对称加密也称为公开密钥加密,其密钥分解成一对,即公开密钥和私有密钥。公开密钥加密后的数据只能由私有密钥才能解开,私有密钥加密的数据则由公开密钥解密,具有非对称性。
3.2 数字签名
在传统的商务交易中,书面文件上签名是确认文件的一种手段。签名的作用有两点,一是因为自身的签名难以否认,从而确认了文件己签署这一事实;二是因为签名不易仿冒,从而可以确定文件的真实性。在电子商务网站中,也采用了签名技术———数字签名,它与书面签名有类似之处,采用数字签名也能确认两点:信息是由签名者发送的;信息自签发后到收到为止未曾作过修改。
3.3 认证技术
在电子交易过程中,安全认证技术是一项十分重要的技术。它可以确认交易方不是冒名,确认得到的信息是来自声称方,保证信息的完整和真实性未被人篡改。涉及到由一个权威性和公正性的第三方,来完成数字证书的发放,也即认证中心 (CA) 。CA承担网上安全电子交易认证服务、签发数字证书并能确认用户身份的服务机构。认证中心主要任务是受理数字证书的申请、签发及对数字证书的管理。常常是和其他安全手段结合在一起使用的,从而构成了安全电子交易的安全保障体系。主要采用的技术有数字摘要、数字时间戳、数字证书等。
一个完整的安全可靠的电子商务网站系统实现是相当复杂的。只有在交易过程中充分重视安全问题,才可以使得交易能正常进行,电子商务才可以收到预期的效果。
摘要:随着Internet的飞速发展, 电子商务——这种新的社会组织形式越来越显著地影响着这个社会。电子商务已经成了各种企业的主要营销手段, 它的发展前景十分广阔。在电子商务交易中, 安全性是一个至关重要的核心问题。商务交易的特殊性要求网络能提供一种端至端的安全方案。
关键词:电子商务,安全,商务交易
参考文献
[1]杨大翔.电了商务概论[M].上海:复旦大学出版社, 2006.
[2]王华丽.我国电子商务发展策略分析[J].商业研究, 2004 (18) .
电子商务的安全 篇5
摘要:随着互联网的迅猛发展,网上交易日益成为新的商务模式,基于网络资源的电子商务交易已为大众接受。在享受网上交易带来的便捷的同时,交易的安全性备受关注,网络所固有的开放性与资源共享性导致网上交易的安全性受到严重威胁。因此,网络信息安全性就成了电子商务成功发展的关键因素,下面从电子商务中存在的安全问题、电子商务的安全要素以及安全技术等方面对电子商务交易中的安全问题进行分析。
从消费者得角度出发,消费者在网上订购并确认了向某个商家购买某一个产品,在支付环节会存在如下一些问题:
(1)例如,消费者在网上订购了某件商品,他之所以付款,是相信网上商城的信誉,但如果出现经济纠纷,谁知道我付了款呢?凭证在哪?怎么打官司?给了钱,没凭证,支付后一直担忧。
(2)消费者没拿到货,就找商家,商家给了答复:“我们却是知道你要买某个商品,但是我们没有收到钱,怎么给你发货呢?”给了钱,商家说没收到,消费者去找谁呢?在支付过程中,钱的去向无法确认。
(3)消费者找到开户银行,经过查找,银行说:“你的账户上却是扣除了商品价值的金额,不是实时发生的,划出去了,但我方也无法证明这笔划出的钱就是用于购买该商品的钱。”给了钱在账户划付过程中,款项用途不清,就存在划出去的这笔资金丢失的风险。
(4)消费者无权查看商家的开户行,因为与之无业务往来,但是还是去问了,当然,商家的开户行不予理睬。给了钱,四处奔波,比传统购物花费的时间更多。
(5)后来一直是没收到货,消费者哑巴吃黄连,自认倒霉。给了钱,花了时间和精力,却什么也没得到。消费者最后的选择结果很可能是,再也不上网购物了!
消费者可能遇到的这些问题,却是是网上购买实物商品过程中常常会出现的问题。这些问题产生的原因可能是:网上支付的实时问题,交易过程凭证的产生和法律保证问题,款付货到期限的商业信用无法建立的问题,网上交易消费者的权益保护问题等。因此网上支付的安全问题的解决可以从三个方面入手:一是实施技术保障,而是加强制度管理,三是,加强法律社会保障。只有解决了这三个层面的问题,才能侧地解决支付安全的问题。而这其中消费者最熟知和最信任的关键部门就是银行了。
商家角度上的安全问题,在网上购物刚兴起的一段时间里,通过网络销售的商品主要以家庭日用品,图书,音像制品为主,这样商品可以通过信息加以详尽的描述,但是现在,随着网上购物的不断发展,通讯商品,电子产品及其其他各种能够想到的东西基本上都能在网上找到,但这时,过去那样的简单描述已经不能适应整个网络市场的发展了。一些不法商家也就正是盯上了网上购物的这种潜在缺陷,肆意的夸大产品功能,或是直接作虚假广告,用不切合实际的产品描述来引诱购买者。很多消费者也常会因为刚刚接触网上购物而无辜的上当受骗。除此之外,也有一部分蓄意欺骗的商家收到了购买者汇来的钱而故意不发货,私吞下这笔资金。对于这类情况,淘宝和易趣网都采取了通过一系列的信用等级评价机制透明地如实反映卖家的信用额度以及过去的每一笔交易的明细的方法来减少这种不安全性,买家可以参考这些信息,甚至与曾经与此卖家交易过的买家沟通。但这些方式都只能降低商家网上欺骗成功的概率,不能从根本上减少这种事件的发生。要想彻底根治,还是要从商家本身以及交易平台的总体设计入手。
在电子商务中主要表现为商业机密的泄露,包括两个方面:一是交易双方进行交易的内容被第三方窃取;二是交易一方提供给另一方使用的文件被第三方非法使用。2.信息被篡改。电子的交易信息在网络上传输的过程中,可能被他人非法修改、删除或被多次使用,这样就使信息失去了真实性和完整性。3.身份识别。身份识别在电子商务中涉及两个方面的问题:一是如果不进行身份识别,第三方就有可能假冒交易一方的身份,破坏交易、败坏被假冒一方的信誉或盗取交易成果;二是不可抵赖性,交易双方对自己的行为应负有一定的责任,信息发送者和接受者都不能对此予以否认。进行身份识别就是防止电子商务活动中的假冒行为和交易被否认的行为。4.信息破坏。一是网络传输的可靠性,网络的硬件或软件可能会出现问题而导致交易信息丢失与谬误;二是恶意破坏,计算机网络本身遭到一些恶意程序的破坏,例如 病毒破坏、黑客入侵等。
企业网站安全管理的强化对策探讨 篇6
关键词:企业网站;安全管理;强化对策
中图分类号:TU714 文献标识码:A 文章编号:1674-7712 (2013) 12-0000-01
一、企业网站安全管理的现状
随着网络技术的不断进步,出现了很多恶意的网络攻击技术,企业的网站普遍面临着各种网络漏洞和恶意的攻击,如病毒、间谍软件、黑客、信息泄露等多种复合式的攻击。而这些都很容易造成企业的名誉和相关利益受到极大的危害。其中,企业网站在被网站攻击时,主要存在两种方式:一是篡改网站的数据。网络黑客通常通过Web程序的漏洞来获得进入网站的权限,进而对网站的页面、內容进行篡改,达到损坏企业形象和获取利益的目的;第二种方式是窃取用户信息:这种攻击方式主要是通过特殊的链接来诱使用户进行点击或者登陆,从而达到窃取用户个人信息和账号隐私来盗取相关利益的目的[1]。
二、导致企业网站安全问题的原因
通常企业的网站存在安全问题往往是人为的,网络管理人员没有引起足够的重视,在设计和管理时产生了较大的漏洞,从而造成外来入侵者能够较为轻松的进入企业内部的网络窃取相关的信息和数据。经过调查研究,可以将企业网站安全问题产生的原因归为以下几大类:
(一)在网站设计时不够重视程序代码的安全性
代码是建立网站最基础的数据,也是维护企业网站最重要的信息。而数据库的安全性尤为重要,但是经过调查发现,百分之十以上的网站都存在数据库的安全隐患,即人们常说的SQL注入漏洞。在网站设计中,设计人员往往注重于用户的体验需求,而对于技术数据类的漏洞却缺少相应的安全意识,加之这种漏洞不容易被网站的管理人员和设计人员发现,不能根据漏洞做出相应的安全维护措施,因此网络攻击往往是通过这个漏洞进入到企业的数据库中来危害企业的网站安全性的。
(二)企业的安全防护措施较为滞后
目前大多数企业的网站安全措施就是通过防火墙来进行防御,但是由于计算机技术的飞速发展,防火墙对于很多网站攻击已经无能为力了。比如黑客攻击,它在进入网站时并没有暴露自己,而是直接通过控制网站来获取利益,这样防火墙对于黑客的入侵根本一无所知。另外,对于现在常用的SQL入侵、XSS等新型的攻击类型,防火墙也束手无策。
(三)由于技术有限,发现网站安全问题也不能彻底解决
目前一些企业特别是中小型企业,由于资金或其他原因,并未设置专业的网络安全岗位,仅仅由一些稍懂计算机知识的人员进行兼岗。这样,在面对网站遭受攻击或者破坏时,网络安全管理人员只能停留在表面的如页面修复的工作,而对于具体的源代码的管理和保护以及漏洞原理分析则显得束手无策[2]。
三、强化企业网站安全管理的对策
(一)对网站管理人员进行更为专业的培训
目前对于网站的攻击常用的方式是对基于Web漏洞的攻击。防火墙、病毒软件都只能抵挡住来自网络层面的攻击,但是对于应用层的攻击却不能及时解决。所以一定要引进先进的计算机专业人才,他们对于目前最新的网络安全管理有着技术和管理意识上的优势,并且懂得通过保护源代码和漏洞扫描、对漏洞进行补丁等措施来维护企业网站的安全性。再通过他们对企业的员工进行计算机安全知识的更新和普及,使每一位使用计算机、互联网的员工都能够对基本的攻击进行识别和防范,一旦发现深层次的攻击能够及时上报给网站安全管理员。
(二)加强硬件和软件的配置
Web漏洞是最容易被攻击的地方,则要对Web站点进行系统的评估,并建立起数据库的安全机制,确保24小时对Web系统的检测和扫描。同时要对现有的安全策略进行加固,充分考虑各方面,建立起立体性的防御系统。另外,还要对Web源代码进行检查和审计,一旦发现漏洞时,要及时进行修复和打补丁。而对XSS漏洞清理时,要注意对HTTP、POST、URL等采用固定的格式和字符进行内容提交,对于其他格式一律屏蔽。
在硬件设施上,要及时更换老旧的设备和数据库存储器。其中操作系统要加固对用户账号、密码的加密选项,对于注册表的权限进行设置,清除多余的文件和账号;数据库要对用户账号的密码、远程登录进行限制和加密,设置监听端口,更新安全包;对于中间件来说,要对Sockets数量进行限制,加固漏洞的补丁安装包等。总之,在实际的操作中,要根据不同部门的使用侧重点进行针对性的专项加固。
(三)建立起完善合理的安全检测机制
针对Web漏洞的问题,要建立起网站安全检测机制,来保证网站安全情况的及时可知性。还可以通过文件底层的驱动技术和后台运行监测机制来检测文件的准确度,从根本上来阻止非法的入侵和数据更改行为,这是目前一种很常用的技术检测模式,对保护企业网站安全性起着重要的作用。还可以建立起数据备份机制,以确保当系统出现问题时能够及时恢复最新的数据,避免不必要的损失产生。建议有条件的企业组建安全运营中心,此中心包括:漏洞评估、监控、分析和预警四个中心和资源管理配置、用户管理、安全管理等几大功能模块。这些模块各司其职,能够更加全面而有效的管理网站,提高网站的安全性进而更好的为用户服务[3]。
四、结论
总之,网站的安全管理是一个全面的、动态的管理过程,它要求技术更先进、管理更完善,防护更立体,只有这样,才能为企业的正常运行发展提供坚实的安全基础。
参考文献:
[1]刁柏青.信息化项目实施中的管理问题研究[M].济南:山东大学出版社,2005.
[2]廖建平.网站安全隐患与防患策略[J].软件导刊,2010(08):76-77.
商务网站的安全管理 篇7
1高校网站建设中存在的问题
目前, 高校校级门户网站一般由网络管理部门直接建设维护, 而各院系、部门二级网站的建设、管理绝大部分都是各院系、部门自主建设、维护, 采用主机托管以及虚拟主机的存放模式。模块功能类同, 重复性投资费用较高。在二级网站建设过程中, 由于缺乏统一的智能部门牵头管理, 各自为政, 导致网站风格不统一, 信息无法共享, 安全性较差, 维护困难等问题。
由于分散建设, 各网站缺乏统一标准, 开发环境不同, 后台管理系统不同, 且使用的数据库也不一样, 数据格式不统一, 致使个网站之间的信息难以共享, 资源浪费, 也使得后续修改和维护比较困难。
安全性差, 由于站点开发人员的技术水平参差不齐, 有些网站制作相对简单, 存在漏洞, 数据库文件容易遭到篡改, 以至于系统崩溃, 同时, 网站后台管理制度薄弱, 密码过于简单, 容易造成站点被攻击的情况发生。
2高校网站群建设与管理
为有效实现校级门户网站与各二级站点之间的智能管理, 数据共享, 统一规划, 解决目前高校网站建设管理中出现的问题, 可将网站群系统引入高校网站建设中。
网站群是基于统一标准、统一规范和统一技术构架之上, 按照一定的隶属关系组织在一起网站集合, 网站群中的多级站点既可统一管理, 也可以独立使用, 通过特定权限控制实现站点间信息集成与共享。
2.1网站群的技术优势
相对于原先一群独立分散的网站而言, 网站群具有以下显著优势:
1) 统一规划、统一标准和统一技术平台, 有利于信息整合和共享。
2) 集中部署, 减少重复投入。一套网站群系统可实现全校各部门、院系网站建设, 避免重复开发。
3) 利用严格的分级权限管理机制和信息审核流程疏通网站管理工作, 保证了全校网站管理工作的规范、有序。
4) 网站集群管理可视化, 大大降低网站管理与维护的技术门槛, 同时提高了系统安全性
2.2网站群多级站点垂直管理体系
如图1所示, 采用网站群的建设模式, 在学校校级门户网站下可创建多个院系、部门二级网站, 并对各个二级网站管理员进行相应的授权, 赋予其修改栏目、进行信息维护等权限。同时, 院系、部门二级网站下也可以自行创建相应的三级子网站, 实现管理维护。通过网站群系统, 在内部管理上实现了多站点统一管理、权限统一分配、信息统一导航、信息统一搜索等功能, 消除了“信息孤岛”。
2.3网站群系统部署网络模型
网站群系统部署的网络模型如图2所示。网站管理员通过校园网络在网站群管理服务器上设计、制作、管理网站, 完成网站设计、制作后, 需要把网站发布到网站群发布服务器上, 而无论是校内用户还是校外用户都只能访问网站群发布服务器。为了提高网站群管理系统的安全性, 网站群管理系统可以增设单独的数据库服务器、数据备份服务器, 并且通过三层交换机给网站群管理服务器、数据库服务器、数据备份服务器分配内部IP地址, 防比校外用户访问、攻击网站群系统核心服务。
2.4网站群管理
在网站集群的建设中, 不但需要过硬的技术保障, 还需要相应的管理保障。
1) 建立有效的管理机制, 统一领导、统一规划。网站集群的建设要争取得到高校领导的重视和支持, 网站建设过程中需要各方面关系的协调。所以成立全校的信息化建设领导小组, 由分管信息化建设的校领导担任组长, 管理网站集群的建设工作。
2) 加强信息员队伍的建设。要建设和管理好网站, 加强信息员队伍的培养是确保网站建设顺利进行的关键。网络中心的技术人员要定期举行信息员的统一培训, 编制统一网站使用说明书, 人手一册, 并且将电子版放在网上, 可随时下载。其次建立信息员技术交流机制, 定期开展讨论沙龙活动, 拓展学习空间。
3) 规范信息发布程序, 注重落实责任与制度建设相结合, 加强网络安全监控。加强网站信息更新频率, 提高网站活力。加强部门领导对网站的重视程度, 配备信息员负责网站信息的发布工作。定期对网站进行升级、维护, 确保网站稳定、安全运行。
4) 站群建设要有全方位的考评体系。可以开展相应的评比活动, 总结存在的问题, 进行相应的整改, 提高站群建设水平。
3结语
将网站群系统应用于高校网站建设, 使得各网站由原先各自独立转变为基于统一规划的战群体系, 较好地解决了站点之间智能管理、数据共享的问题, 提高了全校网站建设和维护的质量, 网站安全也有了较大的保障, 促进了高校数字化校园的建设和发展。
摘要:随着高校信息化建设的推进和发展, 高校网站的建设己成为了数字化校园建设的重要组成部分。本文探讨了高校网站建设中面临的问题, 提出将网站群系统引入高校网站建设中。网站群系统具有明显的技术优势, 能够很好的满足校园网站建设、管理的需要。
关键词:网站群,多站点管理体系,信息整合,高校网站
参考文献
[1]马伟山, 李冰, 唐卫清.政府门户网站群建设框架的研究与设计[J].计算机与数字工程, 2009 (9) :139-193.
[2]沈俊.高校网站群的建设和方案浅谈[J].价值工程, 2010 (5) :200-201.
[3]侯静, 欧阳荣彬, 等.基于Web标准的高校网站建设与实现[J].中山大学学报:自然科学版, 2009, 48:91-99.
[4]江阳波.网站群在高校数字化校园中的建设与应用[J].科技广场, 2012 (1) :104-106.
[5]陈向东.新一代站群系统的特点及构建实例[J].北华大学学报:自然科学版, 2011, 12 (3) :359-362.
电子商务网站的安全防范技术 篇8
为了确保电子商务活动的健康发展和正常进行, 除了应加大对黑客和计算机犯罪的打击力度外, 加强电子商务网站自身的安全防护也是非常重要的。因此, 当一个企业架设电子商务网站时, 应选择有效的安全措施。
1 电子商务网站安全的要求影响
电子商务网站安全的因素是多方面的。从网站内部看, 网站计算机硬件、通信设备的可靠性、操作系统、网络协议、数据库系统等自身的安全漏洞, 都会影响到网站的安全运行。从网站外部看, 网络黑客、入侵者、计算机病毒也是危害电子商务网站安全的重要因素。电子商务网站的安全包括三个方面的要求:
1.1 网站硬件的安全要求网站的计算机
硬件、附属通信设备及网站传输线路稳定可靠, 只有经过授权的用户才能使用和访问。
1.2 网站软件的安全网站的软件不被非法篡改, 不受计算机病毒的侵害;
网站的数据信息不被非法复制、破坏和丢失。
1.3 网站传输信息的安全指信息在传输过程中不被他人窃取、篡改或偷看;
能确定客户的真实身份。本文主要论述当电子商务网站面对来自网站外部的安全威胁时, 应采取哪些有效的安全措施保护网站的安全。
2 电子商务网站的安全措施
2.1 防火墙技术
防火墙是指一个由硬件设备或软件、或软硬件组合而成的, 在内部网与外部网之间构造的保护屏障。所有的内部网和外部网之间的连接都必须经过此保护层, 并由它进行检查和连接。只有被授权的通信才能通过防火墙, 从而使内部网络与外部网络在一定意义下隔离, 防止非法入侵、非法使用系统资源、执行安全管制措施。
防火墙基本分为两类:包过滤和基于代理的防火墙。包过滤防火墙对数据包进行分析、选择, 依据系统内事先设定的过滤逻辑来确定是否允许该数据包通过。代理防火墙能够将网络通信链路分为两段, 使内部网与Internet不直接通信, 而是使用代理服务器作为数据转发的中转站, 只有那些被认为可信赖的数据才允许通过。这两种防火墙各有其优缺点:包过滤器只能结合源地址、目标地址和端口号才能起作用, 如果攻击者攻破了包过滤防火墙, 整个网络就公开了。代理防火墙比包过滤器慢, 当网站访问量较大时会影响上网速度;代理防火墙在设立和维护规则集时比较复杂, 有时会导致错误配置和安全漏洞。由于这两种防火墙各有优缺点, 因而在实际应用中常将这两种防火墙组合使用。
目前市场上最新的防火墙产品集成了代理和包过滤技术, 提供了管理数据段和实现高吞吐速度的解决方案。这些混合型的设备在安全要求比吞吐速度有更高要求时, 能实行代理验证服务, 在需要高速度时, 它们能灵活地采用包过滤规则作为保护方法。
2.2 入侵检测系统
防火墙是一种隔离控制技术, 一旦入侵者进入了系统, 他们便不受任何阻挡。它不能主动检测和分析网络内外的危险行为, 捕捉侵入罪证。而入侵检测系统能够监视和跟踪系统、事件、安全记录和系统日志, 以及网络中的数据包, 识别出任何不希望有的活动, 在入侵者对系统发生危害前, 检测到入侵攻击, 并利用报警与防护系统进行报警、阻断等响应。
入侵检测系统所采用的技术有: (1) 特征检测:这一检测假设入侵者活动可以用一种模式来表示, 系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来, 但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又网络时空不会将正常的活动包含进来。 (2) 异常检测:假设入侵者活动异于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”, 将当前主体的活动状况与“活动简档”相比较, 当违反其统计规律时, 认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法, 从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
2.3 网络漏洞扫描器
没有绝对安全的网站, 任何安全漏洞都可能导致风险产生。网络漏洞扫描器是一个漏洞和风险评估工具, 用于发现、发掘和报告安全隐患和可能被黑客利用的网络安全漏洞。
网络漏洞扫描器分为内部扫描和外部扫描两种工作方式: (1) 外部扫描:通过远程检测目标主机TCP/IP不同端口的服务, 记录目标给予的回答。通过这种方法, 可以搜集到很多目标主机的各种信息, 例如:是否能用匿名登录、是否有可写的FTP目录、是否能用TEL-NET等。然后与漏洞扫描系统提供的漏洞库进行匹配, 满足匹配条件则视为漏洞。也可通过模拟黑客的进攻手法, 对目标主机系统进行攻击性的安全漏洞扫描。如果模拟攻击成功, 则可视为漏洞存在。 (2) 内部扫描:漏洞扫描器以root身份登录目标主机, 记录系统配置的各项主要参数, 将之与安全配置标准库进行比较和匹配, 凡不满足者即视为漏洞。
2.4 防病毒系统
病毒在网络中存储、传播、感染的途径多、速度快、方式各异, 对网站的危害较大。因此, 应利用全方位防病毒产品, 实施“层层设防、集中控制、以防为主、防杀结合”的防病毒策略, 构建全面的防病毒体系。
常用的防病毒技术有: (1) 反病毒扫描:通过对病毒代码的分析找出能成为病毒结构线索的唯一特征。病毒扫描软件可搜索这些特征或其它能表示有某种病毒存在的代码段。 (2) 完整性检查:通过识别文件和系统的改变来发现病毒。完整性检查程序只有当病毒正在工作并做些什么事情时才能起作用, 而网站可能在完整性检查程序开始检测病毒之前已感染了病毒, 潜伏的病毒也可以避开检查。 (3) 行为封锁:行为封锁的目的是防止病毒的破坏。这种技术试图在病毒马上就要开始工作时阻止它。每当某一反常的事情将要发生时, 行为封锁软件就会检测到并警告用户。
2.5 启用安全认证系统
企业电子商务网站的安全除网站本身硬件和软件的安全外, 还应包括传输信息的安全。对一些重要的的传输信息, 应保证信息在传输过程中不被他人窃取、偷看或修改。因此, 应在网站服务器中启用安全认证系统。安全认证系统对重要的信息采用密码技术进行加密, 使它成为一种不可理解的密文。接收方收到密文后再对它进行解密, 将密文还原成原来可理解的形式。目前, 在电子商务中普遍采用SSL安全协议。
SSL安全协议主要提供三方面的服务: (1) 认证用户和服务器, 使得它们能够确信数据将被发送到正确的客户机和服务器上。 (2) 加密数据以隐藏被传送的数据。 (3) 维护数据的完整性, 确保数据在传输过程中不被改变。
3 结束语
任何一种安全措施都有其局限性, 企业电子商务网站的设计人员必须在精心的安全分析、风险评估、商业需求分析和网站运行效率分析的基础上, 制定出整体的安全解决方案。为保证整体安全解决方案的效率, 各安全产品之间应该实现一种联动机制。当漏洞扫描器发觉安全问题时, 就会通知系统管理员, 及时采取补漏措施;当入侵检测系统检测到攻击行为时, 就会利用防火墙进行实时阻断;当防病毒系统发现新病毒时, 也会及时更新入侵检测系统的病毒攻击库, 以提高入侵检测系统的检测效率;由于安全产品和服务器、安全产品与安全产品之间都需要进行必要的数据通信, 为了保证这些通信的保密性和完整性, 可以采用安全认证手段。只有当各种安全产品真正实现联动时, 网络安全才能得到保障。
参考文献
[1]徐超汉.计算机网络安全与数据完整性技术[M].北京:电子工业出版社, 1999:104-105.
[2]田俊华.网络信息系统安全策略[J].西安工程科技学院学报, 2003, 4 (17) .
高校院系网站的安全管理 篇9
关键词:高校院系网站,网络安全,安全管理
0 引言
高校院系网站是学院师生了解学院信息资源的一个重要阵地, 也是传播知识的一个场所, 更是让外界了解学院、与国内外联系和交往的一个重要窗口。通过这个平台, 能极大地向外界展示学院的风采, 教师能充分展示自己的教学科研成果, 学生能及时得到各种教学科研的信息, 院系网站在院系的教学、科研、管理及宣传工作中已发挥越来越重要的作用。与此同时, 网络的安全性已愈来愈成为日益突出的严重问题, 安全机制也受到越来越多的关注, 同时也面临着各种各样的威胁与攻击。因此, 如何保证网站的安全运行已成当务之急。
1 影响高校院系网站安全的因素
1.1 Internet自身带来的漏洞
Internet是基于TCP/IP (传输控制协议/网际协议) 协议的, TCP/IP协议本身就存在安全缺陷, 它的设计并非是安全的, 其主要的特点是灵活、可扩展和功能完整。黑客之所以能成功地袭击与破坏网络的主要原因在于TCP/IP与UDP (用户数据报文协议) 的基本体系结构的薄弱性, 即开始制定这几种协议时都没有着重考虑通信路径的安全性。如当通过TCP/IP协议在Internet上传送数据时, 无法知道传输经过了哪些节点。如果黑客在一个或多个节点上安装了所谓的“嗅探”程序, 那么以原文传送的口令就会泄露, 黑客就可轻而易举地侵入到系统中。
1.2 操作系统在网络安全方面的漏洞
操作系统是一个复杂、庞大的软件, 有时因为程序员的疏忽或软件设计上的失误, 可能会留下一些漏洞, 从而成为入侵者进入网络的一个“后门”。此外, 操作系统的体系结构也造成操作系统本身是不安全的。操作系统的程序是可以动态连接的, 包括I/O的驱动程序与服务系统, 都可以用打补丁的方式进行动态连接, 这种动态连接为黑客和计算机病毒攻击提供了环境。
1.3 应用软件的故障
高校院系的局域网已从自我封闭的状态走向系统开放、资源共享, 与Internet网紧密地联系在一起, 这种开放的系统使网络用户无论何时何地都能方便、快速地检索到所需的信息资料, 大大提高了信息的处理效率, 然而这正是网络安全的致命问题, 是Internet网络自身所固有的安全漏洞。
应用软件故障是由于应用软件发生错误而导致磁盘、文件、内存、数据以及其他的应用程序和操作系统组件被破坏, 其结果常常是死机和数据或信息的不可恢复的破坏, 有时甚至破坏硬盘等硬件、因此它的安全性直接影响到整个系统的安全。
1.4 人的因素
人是破坏网络安全的最危险因素。高校院系局域网用户中, 学生占了90%, 由于学生的求知欲望强, 他们总是善于学习计算机的新技术、新知识, 极个别同学为了学习和实践网络安全技术, 将院系的局域网作为他们的学习和实验的基地, 如何成功地攻击网络服务器成为证明他们计算机技术水平高低的一个见证;此外, 如果管理不严, 网络管理员将帐号密码随意记在某张纸上, 或密码很容易就被猜出, 任何人只要知晓了系统管理员帐号, 就能打开系统的大门, 完全拥有了系统中所有资源的控制权, 这些都将对网络安全构成严重的威胁。
1.5 计算机病毒
网络技术的发展使得计算机病毒通过Internet广泛传播, 从而大大加快了病毒的传播速度, 扩大了传播范围。计算机病毒是一小段极具危害性的程序, 它可随各种媒体 (如:软盘、光盘) 传播而且也可以在网络上随各种网络的媒介 (如:光缆、光纤) 传播, 并且计算机病毒技术也正在朝着智能化、网络化发展, 病毒由许多不同功能的组件组成, 它不仅可分布在同一台计算机上, 而且也可分布在网络系统的其它计算机上, 这样对计算机病毒进行预防就更困难了。
1.6 自然灾害和环境造成的损失
自然灾害可以给计算机系统和网络系统造成很严重的损失, 轻则数据丢失或者数据损坏, 重则整个计算机系统 (包括硬件) 全部被毁。自然灾害包括:地震、水灾、雷击等。自然环境则是指图书馆网络系统的工作环境, 包括:机房的温度、湿度、灰尘度、抗磁场干扰和抗静电等, 它们都是系统管理中的不安全因素。
2 高校院系网站安全的防范措施
高校院系计算机信息系统网络安全体系通常包括两个层次的含义:一是系统的数据与信息的安全与保密;二是网站系统的自身安全。不能单独地考虑院系的网站安全问题, 而必须从体系结构上系统地、全面地考虑安全管理。针对影响网站安全运行的因素, 网络管理人员必需从管理和技术两个角度来采取如下的防范措施。
2.1 确保Web服务器的安全
服务器及代码安全是服务器及网站管理首要的和至关重要的任务。只有当服务器及网站自身安全有所保障的基础上才能谈得上其他工作的开展。服务器的安全包括:服务器自身的物理安全、服务器的文件/代码安全及服务器的管理用户及密码安全。
2.2 建立完整的数据备份体系
为避免因数据被破坏而导致整个院系的网站陷入瘫痪状态, 唯一的途径是为系统进行可靠的备份, 完备的备份策略可以最大限度地保护网络的安全。不论是硬件备份、软件备份还是手工备份, 都应该制定好系统的备份策略, 不论选择哪一种备份策略, 都一定要把所作的第一个备份磁带恢复出来, 测试备份的情况, 并应定期测试其它磁带。一定要做到在需要使用备份软件恢复重要文件时不出现问题。
2.3 管理用户及密码安全, 设置防火墙
防火墙是一种由计算机硬件和软件组合, 在内部网和外部网之间建立起一种网关以实施安全防范的系统, 保护内部网免受非法用户的侵入。它既能防止外部网络的攻击, 又能阻止内部网络的攻击。它是设置在可信任内部网络和不可信任的外界之间的一道屏障, 可以实施较广泛的安全政策来控制信息流, 防止不可预料的潜在的入侵破坏。
2.4 制定完善规章制度, 加强工作人员及网络用户安全管理
在建立院系网络的安全体系时, 必须建立网络用户使用网络资源的规章制度, 制定好计算机机房管理制度, 明确系统管理员、网络管理员及系统运行维护人员的分工和职责范围, 建立值班制度、密码管理及突发性事件的应急对策等。严格划分系统中不同工作人员的权限, 严格设定各种信息资源、设备资源的使用权限。
2.5 用户身份认证
防火墙是系统的第一道防线, 用于防止非法用户的进入。身份认证的作用是阻止非法用户进入系统。最主要基于身份的认证有:帐户和密码。为了确保系统的安全, 要防止帐户和帐户密码不能被窃取, 因此系统管理员必须管理好帐户的密码, 定期更改帐户密码, 删除多余的帐户, 以防止入侵者利用这些帐户登录破坏主机资源或窃取主机资料。
2.6 计算机病毒的防治
计算机病毒具有复制性、传播性和破坏性等特点, 对计算机网络病毒的防治应采用多种手段综合进行防治。首先, 应采用多层防护的防病毒软件。我们所需要的是构筑对病毒的全面防御系统, 这个系统是积极而又主动的, 防毒手段应将病毒检测、多层数据保护和集中式管理功能集成起来, 形成多层防护体系;其次, 大量的病毒针对网上资源的应用程序进行攻击, 它们存在与信息共享的网络介质上, 因而要在网关上设防, 在网络前端实时杀毒;第三, 网络管理员应定期通过网络管理主机进行扫描, 检查病毒, 设置在线报警系统, 一旦发现网络上的计算机有病毒侵入, 及时采取相应的措施, 全面杀毒。
3 结束语
院系网站的网络安全管理是网站建设中一项重要的内容, 只有对网络进行精心的安全规划设计和防护, 将网络安全意识和先进的网络安全技术有机地结合起来, 并不断相互调整、相互完善, 才能在最大程度上使网站安全运行, 从而保证院系教学科研工作的顺利进行。
参考文献
[1]纪莉莉.浅析互联网网站网络安全威胁及应对策略[J].福建电脑, 2005 (3) .
[2]史瑞琼.论校园网络安全教育[J].青海教育, 2005 (1-2) .
[3]赵慧勤.论网络安全技术[J].雁北师范学院学报, 2000 (1) .
商务网站的安全管理 篇10
如今制约商务网站发展的核心和关键问题就是交易的安全性。本文基于泵理论研究分布式多级安全模型, 该模型集成了域安全, 域隔离, 域冗余的域管理安全策略, 通过独立的域来管理不同安全级别的数据, 高级别的域和低级别的域通过数据二极管相连, 高级别域中备份了低级别域中的数据。本文还着重讨论了多级安全的动态管理方面的安全策略和它们的实现机制。
二、简单分布式多级安全模型
在此给出一个简单的分布式多级安全模型, 该模型的核心思想就是通过独立的域来管理不同安全级别的数据, 高级别域中备份了低级别域中的数据。由于该模型没有考虑到多级安全的动态管理方面, 所以称为简单分布式多级安全模型。
定义:一个简单分布式多级安全 (S D M L S) 模型是一个N元组 (S, O, R, L, D, f, SP)
1. 集合S包含所有的主体, 包括用户和进程等。
2. 集合O包含所有的客体, 包括文件、目录、设备、进程等。
3. 集合R包含所有的权限, SDMLS模型有一种权限read。
4. 集合L包含所有的安全级别, n为集合L中元素的个数, 即。并且我们假定。
5. 集合D包含m个不同的域 (Domain) , 。
6. 函数, f赋予每个主体和客体一个安全级别。
7. 集合SP包含所有的安全策略 (Security policy) , SDMLS模型的。
sp1 (域安全策略) 要求任何一个主体只能够读相同安全级域中的客体。
sp2 (域隔离策略) 要求低安全级域中的主体不能够感知高安全级域中主体的行为。
sp3 (域冗余策略) 要求任何一个安全级别为i的域中包含所有安全级别小于等于i的客体, 即。
S D M L S模型通过采用独立的域来管理不同安全级别的数据, 这种分布式结构多级安全模型具有以下优点:
1.分布式的域管理机制能够很好的平衡负载, 能够消除性能瓶颈。
2.分布式的域管理机制和冗余机制提高了多级安全系统的可靠性和可用性。
3.分布式的域管理机制减轻了系统的安全性威胁, 所有安全级别的数据受到威胁的概率很小。
三、多级安全动态管理的安全策略
每个客体都有一个创建者, 只有客体的创建者才能够删除客体。
但是我们并不能够完全相信客体创建者的行为, 所以我们需要安全官员的介入, 在安全官员的许可下删除操作才能够成功。当然安全官员是可信的, 如果什么都不可信则创建不了一个安全系统。
通常一个客体的创建过程分为两步:
1. 决定客体包含的信息, 即客体所属的阁。
2. 决定客体的安全级别。根据参与创建客体的主体数量把客体创建分为两类:单主体创建和多主体创建。典型的单主体创建客体的情况是主体按照例行的规则创建客体, 比如工作日志, 调查报告等等;典型的多主体创建客体的情况是通过会议讨论的形式创建文件。
首先我们给出关于客体创建的安全策略:
dsp1:任意单个主体创建的客体的安全级别等于该主体的安全级别。。符号creator代表客体的创建主体。
dsp2:任意多个主体创建的客体的安全级别等于最高主体的安全级别。。符号creators代表客体的创建主体的集合。
我们利用反证法来说明这两个策略的有效性:
对于单主体创建的情况, 如果安全策略sp1改成如下两种情况中的一种都不适合:
1., 该安全策略就不能够应付高安全级别的主体泄漏高安全级信息的情况。
2., 该安全策略不必要。因为低安全级的信息已经备份到高安全级的域中。并且creator本身知道客体o的内容。
对于多主体创建的情况, 如果安全策略sp2改成如下两种情况中的一种都不适合:
1., 该安全策略就不能够应付高主体泄漏高安全级信息的可能。因为高安全级的主体的参与不可避免地导致高安全级别的信息渗透到创建的客体中。
2., 该安全策略不必要。因为低安全级的信息已经备份到高安全级的域中, 并且高级别的creators本身知道客体o的内容。
分析完毕安全策略的有效性之后, 我们给出安全策略的实现机制:
安全策略dsp1的实现只需根据实际需要赋予某些主体创建相应客体的权限即可。根据SDMLS模型的sp2可知, 低安全级的主体不能够感知到创建客体的存在。根据SDMLS模型的sp3可知, 高安全级的主体能够获得新创建的客体。
相对而言, 安全策略dsp2的实现就比较复杂, 本文是通过多阶段创建的机制来实现d s p 2, 创建活动是由安全级别最高的主体M A X主持的。整个过程分为三个阶段:
1.创建准备阶段:由M A X给不同安全级别的主体分配主题, 不同安全级别的主体可能接收到的主题不同。所有的主体按照接收到的主题进行准备。
2.讨论过程:从低级别讨论开始, 各个低级别的主体给出该级别的信息, 然后按照该级别的主题进行讨论。讨论完毕, 该级别的主体全部隔离。然后再进行高级别的讨论。直至M A X级别。
3. 创建:M A X根据讨论的结果创建级别的客体。
四、扩展的分布式多级安全模型
把简单分布式多级安全模型和多级安全动态管理的安全策略结合起来就可以获得更全面的扩展的分布式多级安全模型。
定义:一个扩展的分布式多级安全 (EDMLS) 模型是一个N元组 (S, O, R, L, D, C, f, SP)
1. 集合S包含所有的主体, 包括用户和进程等。
2. 集合O包含所有的客体, 包括文件, 目录, 设备, 进程等。
3. 集合R包含所有的权限, BLP模型只有三种权限read, cre-ate和delete。
4. 集合L包含所有的安全级别。n为集合L中元素的个数, 即。并且我们假定。
5. 集合D包含n个不同的域 (Domain) , 。
6. 集合C包含所有的阁, 。
7. 函数, f赋予每个主体和客体一个安全级别。
8. 集合SP包含所有的安全策略 (Security policy) , SDMLS模型的
sp1 (域安全策略) 要求任何一个主体只能够读相同安全级域中的客体。
sp2 (域隔离策略) 要求低安全级域中的主体不能够感知高安全级域中主体的行为。
sp3 (域冗余策略) 要求任何一个安全级别为i的域中包含所有安全级别小于等于i的客体, 即
dsp1 (单主体创建安全策略) 任意单个主体创建的客体的安全级别等于该主体的安全级别。
dsp2 (多主体创建安全策略) 任意多个主体创建的客体的安全级别等于最高主体的安全级别。。
dsp3 (客体安全级别更改安全策略) 客体安全级别的改变必须要所有客体属于的阁中安全级别大于等于客体安全级别的主体表决。
dsp4 (客体更改安全策略) 客体内容更改必须要保留旧版本, 并且依据dsp1和dsp2创建包含更改内容的新客体。
根据EDMLS模型的定义来分析EDMLS模型对多级安全TM的处理:
1.通过域安全策略, 可以防止低级别的主体直接访问高级别的客体。
2.通过域隔离策略, 可以防止高级别的主体把高级别的客体包含的信息泄漏出去, 并且能够避免低级别的主体能够观察到高级别主体的行为并进行推理攻击。
3.通过单主体创建安全策略, 多主体创建安全策略, 客体安全级别更改安全策略, 客体更改安全策略为多级安全动态管理方面提供相应的安全策略。
4.通过域冗余策略, 可以避免低级别的主体能够观察到高级别主体的行为并进行推理攻击, 并能够提高多级系统的可靠性和可用性。当低安全级域中的数据遭到破坏之后, 可以通过备份进行恢复。
五、结论
本文针对商务网站的安全问题, 研究了一种分布式的多级安全模型。该模型集成了域安全, 域隔离, 域冗余的域管理安全策略, 通过独立的域来管理不同安全级别的数据, 高级别的域和低级别的域通过泵相连, 高级别域中备份了低级别域中的数据, 从而能够很好的克服商务网站所面临的安全问题。由于硬件价格的下降, 基于分布式的多级安全系统具有很好的前景。
参考文献
[1]冯朝阳:多级安全数据模型的数据紧凑度研究[J].计算机工程与应用, 2007, (11)
商务网站的安全管理 篇11
关键词:电子商务网络 安全隐患 安全技术
近年来,电子商务的发展十分迅速,它可以降低成本,增加贸易机会,简化贸易流通过程,提高生产力,改善物流金流、商品流和信息流的环境与系统。虽然电子商务发展势头强劲,但其贸易额所占整个贸易额的比例仍然很低,影响其发展的首要因素就是安全问题。
由于网上交易是一种非面对面式的交易,所以交易安全在电子商务的发展中占有十分重要的位置。可以说,没有网络安全就没有电子商务。
一、电子商务网络的安全隐患
1.窃取信息
由于没有采用加密措施,数据信息在网络上以明文形式传送,当数据包经过网关或路由器时,入侵者可以截获传送的信息。通过多次窃取和分析,入侵者就可以找到信息的传送规律和格式,进而得到传输信息的内容,导致网上传输的信息泄漏。
2.篡改信息
当入侵者掌握了信息的格式和规律后,就能通过各种技术手段和方法,修改网络上传送的信息数据,然后再发向其他目的地。这种方法并不新颖,在路由器或者网关上都能篡改信息。
3.假冒
只要掌握了数据的格式,入侵者就可以篡改信息,冒充合法用户发送假冒信息,使得远端用户难以辨别真伪。
4.恶意破坏
攻击者只要接入网络,就能修改网络信息,掌握网上的机要信息,甚至可以潜入网络内部,其后果非常严重。
二、电子商务网络的安全技术
为了提高电子商务网络的安全性,我们可以采用多种网络安全技术和协议,为电子商务交易活动提供安全保障。
1.防火墙技术
防火墙是目前主要的网络安全设备,通常它使用的安全控制手段主要包括过滤、状态检测、代理服务。由于它假设了网络的边界和服务,难以有效控制对内部的非法访问,所以最适合于相对独立的、与外部网络互连途径有限的、网络服务种类相对集中的单一网络,如常见的企业专用网。目前,防火墙产品主要分为两大类,即基于代理服务方式的和基于状态检测方式的,防火墙的隔离技术决定了它在电子商务安全交易中的重要作用。
2.数据加密技术
防火墙技术是一种被动的防卫技术,它难以有效防卫电子商务活动中的不安全因素。因此,要保障电子商务的交易安全,人们可以使用密码技术。加密技术是电子商务中采取的主要安全措施,贸易方可以根据需要在信息交换的阶段使用。
目前,加密技术分为两类,即对称加密(或称为对称密钥加密、专用密钥加密)和非对称加密(或称为公开密钥加密)。现在,许多机构运用PKI(punickey nfrastructur),即公开密钥体系技术,实施构建完整的加密/签名体系,有效解决了上述难题,在充分利用互联网实现资源共享的前提下,从真正意义上确保了网上交易与信息传递的安全。
3.身份认证技术
身份认证又称为鉴别或确认,它通过验证被认证对象的一个或多个参数的真实性与有效性,来证实被认证对象是否符合或是否有效的一种过程,以确保数据的真实性,防止攻击者假冒、篡改等。一般来说,用人的生理特征参数,如指纹识别、虹膜识别等进行认证的安全性较高。但是,这种技术存在实现困难、成本高的缺点。
目前,计算机通信中采用的参数包括口令、标识符密钥、随机数等,一般使用基于证书的公钥密码体制(PKI)身份认证技术。
要实现基于公钥密码算法的身份认证需求,就必须建立一种信任及信任验证机制,即每个网络上的实体必须有一个可以被验证的数字标志——数字证书(Certificate)。
参考文献:
[1]肖满梅,罗兰娥.电子商务及其安全技术问题[J].湖南科技学院学报,2006,(27).
[2]丰洪才,管华,陈珂.电子商务的关键技术及其安全性分析[J].武汉工业学院学报,2004,(2).
[3]阎慧,王伟,宁宇鹏等编著.防火墙原理与技术[M].北京:机械工业出版社,2004.
商务网站的安全管理 篇12
1 电子商务网站存在的安全问题
1.1 漏洞和计算机病毒
漏洞是在硬件、软件、协议的具体实现、具体使用或系统安全策略上存在的缺陷, 从而可以使攻击者能在未授权的情况下访问或破坏系统。目前, 绝大多数的应用软件都存在漏洞, 使得漏洞成为网络攻击的首选目标从而威胁到网站的安全, 对网站会造成巨大的损失。计算机病毒是具有破坏功能的可以自我复制的程序。互联网的开放性给病毒提供了很好的传播平台, 互联网上病毒无处不在, 病毒利用自身的隐蔽性和传播性, 在互联网上横行肆意, 悄无声息的窃取电子商务活动中的信息, 或者是破坏系统或数据, 造成网站瘫痪。
1.2 安全意识淡薄
电子商务是刚刚兴起的新型商业模式, 对于广大消费者对电子商务这个新事物还比较陌生, 缺乏相应的知识, 不能十分熟练的掌握这一新的交易手段, 造成各种人为的安全威胁。而对于网站来说存在侥幸心理, 认为不会引起恶意攻击, 甚至还有一些网站缺乏对安全技术的了解, 认为只要安装了防火墙、杀毒软件等, 就能完全保障网站的安全, 所以总是在受到攻击后才会想到加强网站安全。
1.3 交易的安全问题
电子商务网站的交易过程, 是借助于虚拟的网络平台来实现的。在这个平台上, 交易双方不需要会面, 因此交易双方的身份具有不确定性, 在交易过程中, 有可能出现交易抵赖、非同步交易等情况, 直接破坏了电子商务交易的安全。
1.4 数据库的不安全性
电子商务网站都建立自己的数据库来存储和管理各种重要的业务数据信息, 如客户的银行账号、密码、用户名还有订单号等;还有商家的协议、合同、银行的指令和认证等。一旦攻击者窃取了电子商务网站的数据库, 就可以获得他们想要的信息, 甚至篡改、删除对网站至关重要的信息, 破坏数据的准确性和完整性, 因此电子商务网站的数据库成为攻击者攻击的重点。
1.5 网站内部用户的安全威胁
随着目前电子商务的迅猛发展, 电子商务网站也越来越多, 而来自于网站内部用户的安全威胁已成为网站最大的安全问题。例如:网站的员工疏忽或是故意泄露信息, 使得攻击者可以毫不费力的篡改、窃取网站用户的资料等内部机密;网站员工私自安装非法软件、游戏以及访问不安全的网站等导致网站被恶意入侵;网站员工对机密数据的非法操作。这些都能引发网站的安全危机。
2 电子商务的安全要素
2.1 交易信息的保密性
交易信息的保密性, 是指交易信息在传输过程中不被他人窃取。电子商务作为一种商业交易手段, 其交易信息直接与个人、企业或国家的商业机密相关, 因此, 维护商业机密是电子商务推广的重要保障。要预防信息被盗非法窃取, 必须保证用户的合法性。
2.2 交易信息的完整性
交易信息的完整性是指信息在存储和传输时, 不会因为意外或人为因素导致信息遭到破坏, 保证信息的完整和统一。电子商务交易是买和卖的双向活动, 在交易过程中交易文件不允许任意一方随意的改动, 否则会损坏另一方的利益。因此, 要预防对信息的随意生成、修改和删除, 保证其完整性。
2.3 交易信息的有效性
传统的“白纸黑字”形式被无纸的电子商务形式取代了, 如何保证各种电子商务信息的有效性, 防止交易双方的抵赖和否认, 是电子商务活动的关键。任何一方都不能以各种协议、合同是无纸化的电子形式, 而否认它的有效性。
2.4 电子商务系统的可靠性
电子商务系统的可靠性是指预防因计算机失效、程序错误、硬件故障、计算机病毒等引起的计算机信息丢失或出错。电子商务系统的可靠性是保证交易安全的根本基础。
3 解决电子商务网站安全问题的应对措施
任何的安全应对措施都不能保证网站百分百的安全, 但是企业树立自身的安全意识, 充分利用各种安全技术, 在攻击者和受保护对象间建立起多道安全防线可以降低网站遭到攻击、破坏的风险。因此解决电子商务网站的安全问题需从技术和管理两个层面入手, 具体的应对措施有:
3.1 安全技术方面
3.1.1 防火墙技术
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。从本质上说是一种保护装置, 用来保护网络数据、资源和用户信誉。入侵者攻击网站必须先冲破防火墙的安全防线才能接触到目标计算机。
防火墙技术是目前电子商务网站安全防范技术中发展较为成熟的一种, 对于已知的攻击模式有很好的防御作用, 它为网站建立起一道安全屏障, 强化了网络安全策略, 加强了网络存取和访问的监控审计, 有效的防止了内部信息外泄。
3.1.2 入侵检测技术
为了保护电子商务网站的安全, 以防火墙为主的静态防护已经不能满足现在网站的需求, 因此在防火墙之上加入入侵检测系统, 是一种增强网站安全的应对策略, 入侵检测系统是一种对网络传输进行即时监视, 在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它是网站的第二道安全门, 当发现入侵后, 该系统会做出反应, 防止攻击的进一步发生。
3.1.3 病毒防范技术
计算机病毒是具有自我复制和传播能力的可以引起计算机和网络故障的程序。而计算机病毒的防范是建立网站安全的重要一环。应该从预防和清除两个方面入手, 预防就是通过应对策略阻止病毒进入网站, 避免感染, 防患于未然;清除就是经常用杀毒软件对网站所在的服务器进行查毒、杀毒, 使网站免遭破坏。
3.1.4 数据备份和恢复
任何的安全防御都不是百分百的安全, 对于重要的数据要做到及时备份, 这样才能在发生系统硬件故障、软件错误、人为失误、计算机病毒或自然灾害等破坏数据完整时起到数据的保护和恢复作用, 将损失降到最低。
3.2 管理方面
3.2.1 加强电子商务安全管理
加强电子商务安全管理就是通过管理手段来达到保护电子商务网站的安全机制和规则安全的目的。它包括网站员工的管理、设备管理、应急措施以及网站的日常维护和管理。保证员工不泄露密码或是将网站的机密随意发布, 不访问非法网站, 不轻易下载和安装程序, 对员工进行业务培训, 提高操作水平;对于网站的设备能做到防火、防盗、防磁、防水以及故障排除, 并能实时的进行数据备份与恢复, 保证电子商务网站的继续运行或紧急恢复。
3.2.2 健全电子商务法律法规
网络安全问题不仅仅是技术性问题, 还是一个社会性问题。电子商务网站的安全无论采用多么高级的安全技术和管理措施, 电子商务纠纷仍然会发生。在信息化社会发展的初期, 必须依靠法律和行政手段来最终保护电子商务的安全。建立健全和电子商务法律法规已经成为当前电子商务发展的重要环节, 它是电子商务安全应对措施的最后一道防线。
4 结语
计算机技术与网络技术的发展, 使得电子商务不断进步, 电子交易的手段更加多样化, 安全问题就更加突出和重要。电子商务网站的安全是一个复杂的工程, 不仅安全技术需要提高, 网站安全管理也必须加强, 还要完善电子商务法律法规, 所以必须综合运用这些安全措施。随着我国对电子商务重视程度的加深和法律法规的不断完善, 电子商务网站必将会逐步走上健康、安全、有保障的发展道路。
摘要:随着信息技术和网络的蓬勃发展, 电子商务也迅猛发展起来, 成为最受瞩目的互联网业务之一, 对于现在的电子商务, 最重要的是它的安全问题。本文主要对电子商务存在的安全问题和应对措施进行了探讨。
关键词:电子商务,安全问题,应对措施
参考文献
[1]奚宪铭.电子商务概论[M].科技科学出版社, 2007.
[2]陈兵.网络安全与电子商务[M].北京大学出版社, 2006.
【商务网站的安全管理】推荐阅读:
电子商务的安全06-23
电子商务的安全08-30
电子商务的安全问题08-10
网络商务的安全防范12-07
电子商务的安全策略01-04
电子商务的安全问题03-06
电子商务的安全与防范05-31
电子商务中的安全问题02-18
电子商务中的信息安全03-13
电子商务中的安全技术07-17
扫一扫微信支付