电子商务的安全策略

电子商务的平安策略
欢送各位电子商务的同学阅读电子商务的平安策略，希望对大家有帮助!
随着Inter和IT技术的迅猛开展，电子商务因其自身独有的特点与优势,逐渐成为进展商务活动的新形式,在人们的生活中也占据着日益重要的地位,但其平安问题也变得越来越突出。

如何建立一个平安、快捷、便利的电子商务应用环境,对信息在网络上的传输提供足够的保护,已成为商家和用户都非常关心的话题。

电子商务(E-business)是利用当前先进的电子技术从事各种商业活动的方式，其本质是一套完好的网络商务经营及管理信息系统。

更详细地说，它是利用计算机硬/软件设备和网络根底设施，通过一定协议连接起来的电子网络环境进展各种商务活动的方式。

比方：网上银行、网上营销、网上客户效劳、网上调查等。

1.电子商务将传统的商务流程电子化、数字化，减少了人力、物力，降低了本钱，具有开放性和全球性的特点，为企业创造了更多的贸易时机。

2.电子商务重新定义了传统的流通形式，减少了中间环节，使消费者和消费者不用谋面的网上交易成为可能，从而在一定程度上改变了社会经济运行的方式、经济布局和构造。

3.电子商务一方面打破了时间和空间的限制，另一方面又提供了丰富的信息资源，为各种社会经济要素的重新组合提供了更多的可能，使得交易活动可以在任何时间、任何地点进展，从而大幅度进步了效率。

可见，电子商务的一个重要技术特征是利用网络技术和IT技术来传输和处理商业信息的。

就整个系统而言，其平安性可以分为四个层次。

(1)网络节点的平安性。

(2)通讯的平安性。

(3)应用程序的平安性。

(4)用户的认证管理。

1.防火墙的概念。

在构建平安网络环境的过程中，防火墙作为第一道平安防线，受到越来越多用户的关注与青睐。

防火墙是一个系统，主要用来执行Inter(外部网)和Intra(内联网)之间的访问控制策略。

它可为各类企业网络提供必要的访问控制，又不造成网络的瓶颈，并通过平安策略控制进出系统的数据，保护企业资源。

2.防火墙平安策略。

防火墙保护内部网络的敏感数据不被窃取和破坏，并记录内外通信的有关状态信息日志，如通信发生的时间和进展的操作等。

新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输。

设置了防火墙后，可以对网络数据的流动实现有效的管理：如允许公司员工使用电子邮件、Web阅读以及文件传输等效劳，但不允许外界随意访问公司内部的计算机，同样还可以限制公司中不同部门之间的互相访问。

可见，防火墙不仅仅是路由器、堡垒主机或任何提供网络平安的设备组合，它还是平安策略的一个重要组成局部，其平安策略建立了全方位的防御体系来保护机构的信息资源，这种平安策略应包
括：规定的网络访问、效劳访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施及管理等。

所有可能受到网络攻击的地方都必须以同样的平安级别加以保护。

仅设置防火墙系统，而没有全面、细致的平安策略，那么防火墙就形同虚设。

3.平安操作系统。

平安的操作系统至少要有以下特征：(1)最小特权原那么,即每个特权用户只拥有能进展其工作的权利。

(2)强迫访问控制，包括保密性访问控制和完好性访问控制。

(3)平安审计和审计管理。

(4)平安域隔离。

其次，防火墙是基于操作系统的，假设信息通过操作系统的后门绕过防火墙进入内部网，那么防火墙就不起作用了。

可见，平安是一个系统工程，操作系统平安只是其中的一个层次，还需要各个环节的配合，平安操作系统应该与各种平安软、硬件结合起来(如防火墙、杀毒软件、加密产品等)，才能让电子商务得到更广泛的应用，确保系统信息的平安到达最正确状态。

1.数据通信的平安。

电子商务系统的数据通信主要存在于：(1)客户阅读器端与电子商务WEB效劳器端的通讯。

(2)电子商务WEB效劳器与电子商务数据库效劳器的通讯。

2.通信链路的平安。

在客户端阅读器和电子商务WEB效劳器之间采用SSL(Secure Electronic Transaction,平安电子交易)协议建立平安链接，所需
传递的重要信息都是经过加密的，这在一定程度上保证了数据在传输过程中的平安。

为在阅读器和效劳器之间建立平安机制，SSL首先要求效劳器向阅读器出示它的证书，证书包括一个公钥，由证书受权机构(CA 中心)签发。

阅读器要验征效劳器证书的正确性，必须事先安装签发机构提供的根底公共密钥(PKI)。

单纯的建立SSL链接时，客户只需用户下载该站点的效劳器证书。

假设验证此证书是合法的效劳器证书，再利用该证书对称加密算法(RSA)与效劳器协商一个对称算法及密钥，然后用此对称算法加密将要传输的明文，此时阅读器也会出现进入平安状态的提示。

即使正确地配置了访问控制规那么，要满足计算机系统的平安性，这些工作还是不充分的，因为编程错误也可能导致对系统的破坏与攻击。

程序错误的常见形式：程序员忘记检查传送到程序的入口参数;程序员在处理字符串的内存缓冲时，忘记检查边界条件。

整个程序都是在特权形式下运行，而不是只有有限的指令子集在特权形式下运行，其他的局部只有缩小的容许。

程序员从这个特权程序使用范围内建立一个资源，如一个文件和目录，但不是显式的设置访问控制(最少容许)。

假设程序员认为这个缺省的容许是正确的，那么这些缺点就可能被用到攻击系统的行为中，不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。

缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的，程序不检查输入字符串长度。

输入假字符串常常是可执行的命令，特权程序可以执行指令。

1.身份认证。

开展电子商务的关键核心技术是保密存储与取出。

电子商务企业用户身份认证可以通过效劳器CA证书与IC卡相结合来实现。

CA证书用来认证效劳器的身份，IC卡用来认证企业用户的身份。

个人用户由于没有提供交易功能，所以只采用ID号和密码口令的身份确认机制。

由于指纹具有惟一性，目前，指纹认证与网络传输便广泛的应用于银行专用网、企业营销网等各种商贸网络，使电子商务具有更现实的可操作性。

2.CA证书。

CA(Certificate Authority，即“认证机构”)，是证书的签发机构，它是PKI(Public Key Infrastructure，即“公开密钥体系”)的核心。

它要制定政策和详细步骤来验证、识别用户身份，并对用户证书进展签名，以确保证书持有者的身份和公钥的拥有权。

要在网上确认交易各方的身份及保证交易的不可否认性，便需要CA证书进展验证。

证书分为效劳器证书和个人证书。

建立SSL平安链接不需要一定有个人证书，验证个人证书是为了验证来访者的合法身份。

CA也拥有一个证书(内含公钥)和私钥。

网上的公众用户通过验证CA的签字从而信任CA，任何人都可以得到CA的证书(含公钥)，用以验证它所签发的证书。

假设用户想得到一份属于自己的证书，应先向CA提出申请。

在CA判明申请者的身份后，便为其分配一个公钥，并且CA将该公钥与申请者的身份信息绑在一起，为之签字后，便形成证书发给申请者。

假设一个用户想鉴别另一个证书的真伪，可用CA的公钥对那个证书上的签字进展验证，一旦验证通过，该证书就被认为是有效的。

为了确保系统的平安性，除了采用上述技术手段外，还必须建立严格的内部平安机制。

对于所有接触系统的人员，应按其职责设定其访问系统的最小权限。

按照分级管理原那么，严格管理内部用户账号和密码，进入系统内部必须通过严格的身份确认，防止非法占用、冒用合法用户账号和密码。

建立网络平安维护日志，记录与平安性相关的信息及事件，有情况出现时便于跟踪查询。

定期检查日志，以便及时发现潜在的平安威胁。

对重要数据要及时进展备份。

对数据库中存放的数据，数据库系统应根据其重要性提供不同级别的数据加密。

平安管理实际上是一种风险管理，任何措施都不能保证百分之百的平安。

但平安技术的采用可降低系统遭到破坏、攻击的风险，决定采用什么平安策略取决于系统的风险要控制在什么程度范围内。

随着全球经济一体化进程的加快，尤其是Inter技术、IT技术的迅猛开展及广泛应用，我们的社会也已融入到电子商务时代的气息当中，这是一个“以客户为中心”的时代，企业的市场营销及贸易往来都必须围绕这个中心来进展。

只有保证电子商务各个环节、各个方面的平安性与稳定性，才能为其正常运作提供有力的保证，才能为其自身迎来更广阔的前景。

[1]陈景艳:电子商务技术根底[M].电子工业出版社,xx.9
[2]劳帼龄:电子商务的平安技术[M].中国水利水电出版社,xx.9。