電子商務安全論文
現如今,大家都不可避免地要接觸到論文吧,論文是指進行各個學術領域的研究和描述學術研究成果的文章。你所見過的論文是什么樣的呢?下面是小編收集整理的電子商務安全論文,僅供參考,歡迎大家閱讀。
電子商務安全論文1
1電子商務中存在的安全隱患
1.1系統中的安全隱患
當前的電子商務的系統中的安全隱患有三個層面,包括引用系統安全隱患、網絡系統安全隱患和操作系統安全隱患。針對這三個層面,就要求我們密切保護網絡的安全,使用者自身也要保護自己的個人信息,如不在公共網絡保存自己的賬號密碼,當然還應該定期檢查信息的儲存空間以及整理各個系統的資源。
1.2信息被竊取和篡改
在電子商務交易的進行中,如果密碼過于簡單或者使用者在公共網絡中保存了賬戶密碼,就致使不法分子或者其他的入侵者更輕而易舉地截取重要的信息,進而通過分析這些信息,獲取規律,導致全部內容的竊取。更有甚者,入侵者會對使用者的傳輸內容進行篡改,或者對信息內容進行惡意的破壞,就會給用戶造成更大的損失。因此,應對這種現狀,應該改善加密技術,同時使用者應進行復雜的加密。
1.3計算機病毒
由于電子商務廣泛普及,使得數據以及信息交易的內容都是通過網絡來進行傳播的。雖然使交易更為方便快捷,但同時,也提供給了計算機病毒一種更為迅速的傳播方式。一旦出現計算機病毒,就會導致計算機的各個資源被篡改,計算機的功能被破壞使得無法正常運行工作,甚至還會傳染給其他的計算機。
1.4認證安全存在漏洞
我們正處在一個便攜性的信息化時代,電子商務規模逐漸擴大,但是網絡交易的認證安全上存在著很多漏洞。當前還存在一些電子商務交易中仍未解決的問題,譬如,網絡用戶IP地址的頻繁盜用,使得IP地址存在很大的沖突,進而導致網絡的很多賬號被盜取。
1.5電子郵件的偽造
偽造者在交易用戶進行合法交易的過程中,會偽造大量的電子郵件,使得網絡擁堵,導致商家的資源嚴重短缺,致使合法用戶無法進行訪問行為,這就使得響應的時間增長,交易過程變得混亂。
1.6否認交易行為
電子商務中,交易者否定自己發送給對方的交易信息內容,又或者不承認接收到原本接收到的內容。交易雙方中有一方單方面的撕毀了協議。
1.7管理層面存在漏洞
電子商務的非面對面交易的存在形式,必不可免地使得電子商務的管理存在局限性。不明確的管理制度和不到位的管理措施,以及眾多的單位和用戶疏于管理電子商務的交易,給網絡不法分子以及計算機病毒的攻擊提供了便利。基于此,就需要電子商務的交易雙方設置更為健全的軟硬件和網絡操作系統,同時應當提高安全防范意識,及時清理電腦的垃圾信息,預防病毒的侵入。
2計算機安全技術在電子商務中的應用
電子商務迅猛發展,同時它的發展空間和發展前景也是不容忽視的。為了確保電子商務的長足發展,就需要重視電子商務中存在的安全隱患問題,只有更好地解決這些安全隱患,才能降低對計算機造成的風險和影響。綜合運用多種計算機安全技術能夠更大程度地確保電子商務交易的安全進行。
2.1身份識別技術
身份識別技術能保護合法的用戶擁有應用網絡資源的權利,方便統一管理用戶,避免了入侵者的攻擊和破壞。當然身份識別是針對參與交易雙方進行的,只有這樣,才能保證電子商務交易的有序進行,保護了雙方的合法權益。
2.2數據加密技術
對電子商務交易中涉及的.重要信息和數據進行加密,常用的加密方法包括公開密鑰加密和專用密鑰加密。這種技術能夠維持電子商務交易的順利進行,同時,還能避免入侵者對重要信息的攻擊和破壞。提高了信息和數據的安全性和可靠性。
2.3數據加密技術
眾所周知,在電子商務中由于非面對面交易,不可避免地會出現許多不確定的因素。數據加密技術能夠有效預防和打擊多種不確定因素的入侵。在交易過程的最初階段即信息初步的互換過程就能使用數據加密技術。具體的實施流程是,在電子商務交易的過程之中,交易生成的那一方會有兩個密鑰,其中一個作為公共密鑰,交易的另一方通過該密鑰將重要數據和信息進行加密后,確保發送的數據的安全性和準備性,最后才進行最終的電子商務交易。
2.4訪問控制技術
該技術主要就是使用防火墻技術針對不安全的層面進行預防和保護。具體來說,能夠控制數據或者信息等內容的訪問權限,只允許這些內容的讀取,而不允許進行修改,這種訪問控制技術,預防了入侵者的不良攻擊和破壞,維護了電子商務交易的有序進行。
3結語
現如今電子商務中存在著重多的安全隱患,對于電子商務交易雙方的信息有很大的漏洞,也不利于社會秩序的有序進行。本文就總結了電子商務方面或許隱藏的常見的安全隱患,以及論述了計算機安全技術在電子商務中的應用,以期通過運用計算機安全技術改善電子商務安全性低的現狀,進而促進電子商務的長足發展。
電子商務安全論文2
電子商務的迅速發展,為用戶提供了快速、高效、便捷的營銷環境,降低了企業管理運營的成本,使企業處于激烈的市場競爭中的優勢云計算是很好的環境基礎,極大地促進了大數據環境下的網絡電子商務營銷的發展,而互聯網的廣泛應用為電子商務市場的開拓提供了發展方向,但是這其中也會出現安全問題
1 關于云計算的相關內容
云計算的一種繼分布式計算、網格計算、對等計算之后的一種基于互聯網的新型計算模式云計算對于計算機發展的影響是巨大的,這種新型的技術,涉及到了服務器、網絡、存儲、安全等從底層基礎架構到上層應用的各個層面,是企業或個人用戶通過與云計算的服務進行合同的簽訂,使用云服務的供應商提供的硬件或者軟件的資源按照合同的內容以最小的投資最終來完成計算任務的過程按照服務的類型,云計算大體上可以分為基礎設施即服務、平臺及服務以及軟件即服務這三大類
針對從事電子商務的企業而言,可將電子商務系統劃分為五個主要部分,即企業所面對的客戶、電子商務的應用平臺、電子商務的平臺、基礎資源管理平臺、云計算的數據管理者在基于云計算環境下的電子商務活動中,云計算的數據管理者便可以根據企業對電子商務的不同需求,在不同的平臺上來配置資源,以此滿足不同客戶的.個性化應用需求,最終,通過云計算為電子商務的用戶提供所需的服務
2 基于云計算的電子商務安全的問題表現
盡管云計算的環境下極大的促進了電子商務的發展,但是在具體的應用和實施過程中,會出現諸如計算機本身的軟硬件問題、數據相關的數據存儲、數據傳輸、交易過程中的安全等問題2.1法律法規尚不完善在云計算的大數據環境下,電子商務過程中用戶的安全、隱私、賬戶等問題也隨之產生由于我國現在的法律法規尚未完善,加之監管部門的監管制度尚未健全,因此,在我國的電子商務過程當中,仍然會有許多不法分子鉆法律的空子,做違背法律條款的事情,極大地損害了網絡營銷過程中用戶的安全2.2云計算存儲的安全問題云計算環境下的電子商務代替了傳統的電子商務模式,按照傳統的模式來看,企業通常是自己來建立本企業的數據庫,并且將此數據庫保存在本企業的也就是本地的服務器當中但在云計算的環境下,數據則保存在云中,企業對于數據保存的位置不清晰,不確定被保存在何地的服務器,認為數據的安全性是不受保障的另外,當企業獲得了云軟件的服務權限后,企業的信息都保存在了云平臺當中,因此,企業十分擔心云計算的風險性3.3云數據傳輸的安全問題 云計算環境下的電子商務的企業數據都是保存在云中,這樣方便于數據的共享,如果在云的數據傳輸過程中,出現了非法的竊取信息資料,就會為企業帶來了極大的安全隱患和高風險因此,這種云計算環境下的數據傳輸的安全風險性在某些程度是大于傳統的電子商務模式的所以要加大對云計算的數據傳輸的安全性的把關?.-4云計算數據審計的安全問題 在云計算的大數據環境下,既要保證云計算的服務商既要能提供相關的信息支持;又能不為其他企業的數據信息帶來風險企業通常采用第三方的認證機構來對云計算的服務商進行數據審計,目的是為了確保數據的安全性和準確性因為所有的企業數據都被存儲在云中,這些數據會存在不同的地區,而各地的政府在信息安全監管等方面又存在著許多的差異,因此,會引起法律的糾紛,所以,為云中的數據信息的審計確保安全和準確變顯得尤為重要
3 基于云計算的電子商務安全的對策
3.1加強云管理的安全對策 根據上面介紹過的云計算所提供的服務平臺的特點來看,在進行云計算環境下的電子商務過程中,必須要考慮到管理的安全問題可以對企業的用戶加強管理,對云計算所涉及的如訪問認證、安全審計等方面同樣要力口強管理,并且要制定統一的、完整的安全審計的策略,并對策略加以分析,對各類日志的安全進行審計、維護和操作
3.2重視云服務的管理安全對策 對從事電子商務的網絡營銷企業而言,在云計算服務平臺上進行云服務選擇時,要重視安全的問題,避免出現數據進行存儲、傳輸和審計過程中出現安全隱患對這樣的問題,企業應當在將數據通過互聯網進行上傳到云服務的過程中,要確保數據不被攔截、竊取和盜用,確保數據不會給其他的企業不會帶來風險在云中的數據和信息是會被全球的用戶所訪問的,更加要注意病毒攻擊
3.3提高對云服務供應商質量的選擇 云服務的供應商既要提供安全的物理環境,又要解決基礎設施、應用程序以及數據的各種安全問題在百計算環境下的電于商務的安全要加以防護,對云計算的系統安全提供防御機制,有效的控制病毒和木馬等,對數據進行加密和訪問的控制等一系列的技術措施,來確保電子商務的企業能夠有安全的信息和保護隱私的服務,使用戶的數據信息存儲安全,確保企業用戶信息的安全性、完整}h}、真實性以及可用性
4 結語
隨著社會的進步和技術的不斷發展,云計算與電子商務的完美融合是發展的必然趨勢,云計算為電子商務的發展帶來了全新的模式,在帶來機遇的同時,也帶來了安全問題,但不能因為存在安全隱患就阻止云計算環境下電子商務中的應用因此,全力的去分析解決和應對云計算大數據環境下的電子商務所帶來的安全問題一定會是一場巨大的革命,也會為電子商務帶來新的春天
電子商務安全論文3
一、密碼設置
密碼是一個人的私有信息,通過設置密碼可以在一定程度上保證信息的安全性。在電子商務中會涉及到的銀行賬號的安全、交易信息的安全,都可以通過設置不同類型的密碼來保護。在設置密碼時可以設置不同的密碼,增加所設密碼的難度,定期修改密碼,以及登陸密碼和手機綁定密碼等多種途徑來保護賬號的安全。有很大一部分人喜歡用同樣的密碼,這是一種不好的習慣。可能有人會說:“如果不設置相同的密碼就記不住。”在這種情況下可以采取多種加密形式來保證賬戶安全。現在為了解決安全問題,不同的機構,包括電子商務公司、各大銀行都推出許多加密設備,我們可以選用。
二、數字簽名
在網絡環境中,網絡安全的最基本要求就是通信信息的真實和不可否認性,它要求通信雙方能互相證實,以防止第三者假冒通信的一方竊取、偽造信息。在網絡中實現通信真實性的方法是數字簽名(DigitalSignature)。我們在教學過程中讓學生能掌握的是正確使用自己的數字簽名,學生走上社會做的不是科學研究,是應用型電子商務,主要包括銀行賬號的安全、交易賬號的安全,可以使用不同的認證方法保證信息安全,數字簽名就是一種很好的方法。例如,作為商業機構可以選擇一家公信度較強、通過國際認證的CA認證中心,CA認證中心會對于你每次交易中數字簽名進行處理,證明交易中的身份,保證簽名的不可否認性,加快交易速度,節省交易時間。
三、不輕易打開網站鏈接
在日常店鋪管理中,交易身份的假冒和網站的假冒時有發生,為了防范這種騙局,我們要做的就是不打開不信任的網站,不打開別人發來的鏈接。現在有一些騙子不僅是把自己偽裝成購物網站去騙買家,從而盜取買家的賬號、密碼。也有一些騙子專門去搜索一些新開的網店去欺騙賣家,一是因為新賣家經驗不足防騙知識薄弱,二是新賣家急于讓店鋪發生買賣,因此在交易時當這些不法分子告訴賣家自己進行的交易出現問題而發送鏈接時,賣家沒有仔細查看確認交易就貿然打開了鏈接,給店鋪造成了損失。
四、防火墻設置
近年來,作為保護計算機系統網絡安全的重要措施,防火墻技術正日趨成熟。對于一些與防火墻相沖突的軟件,需要關閉防火墻,有時網絡安全有問題時,又需要啟用防火墻。我們作為專業電子商務人員,要會對自己的電腦進行防火墻設置,設置時可以通過電腦的.“控制面板”找到“防火墻”,打開“防火墻”自行設置。防火墻應該一直都處于打開的狀態。
五、計算機病毒防范
電子商務強調企業與商家通過網絡進行實時交流,安全防護的一點疏漏就可能使計算機病毒擴散到整個企業的網絡,可能感染客戶的計算機。因此應對計算機病毒進行防范。要想安全、可靠地防殺病毒,至少應該進行如下的工作:選擇好的防殺病毒軟件保護工作站、服務器;定期進行文件備份工作;定期對網絡進行病毒掃描,異常檢測;盡量多用無盤工作站;對遠程工作站的登陸權限實施嚴格控制,盡量少用超級用戶登錄;定期更新病毒庫;對網絡設備的安全隔離。
總之,隨著電子商務的發展,電子商務安全涉及到很多方面的問題,電子商務的不斷發展也會不斷的帶來新的問題,要解決好電子商務中的安全問題,必須要重視安全問題,加強安全意識,做好預防,加強電子商務安全立法和提高各方面人員的素質,也有助于保障電子商務的安全。
電子商務安全論文4
關鍵詞:電子商務 信息安全 人員管理
摘要:當前,我國電子商務建設中以技術為主的安全管理體制,忽視了人員對電子商務的安全影響。但近幾年案例表明:企業缺乏針對內部人員的系統安全管理體制,是導致網絡交易過程中泄密和企業利益損失的主要原因。本文重點分析了企業在電子商務安全管理體制方面存在的不足和原因,提出了一些加強人員安全管理的建議,為我國電子商務企業的安全管理提供借鑒。
1、問題的提出
作為一種新的經濟模式,電子商務以高效、便捷、方便的優勢和全新的企業經營理念、經營手段、經營環境吸引著廣大用戶,為世界經濟賦予了無限的發展空間。隨著電子商務應用范圍的日益擴大,針對電子商務的各種犯罪活動也19益猖獗。國內外調查顯示…,52。26%的用戶最關心的是網上交易的安全可靠性,超過6O%的人由于擔心電子商務的安全問題而不愿進行網上購物。加強電子商務實施過程中的安全管理已經成為促進電子商務高速發展的重要因素。
電子商務的安全,可分為技術安全和管理安全兩種類型。所謂技術安全,是指通過各種網絡攻擊者手段竊取企業的用戶lD、密碼以及相關的機密文件,甚至網絡銀行帳號、密碼等,給企業造成經濟損失。而管理安全則是指缺乏對參與電子商務過程中各個環節的人員的管理預防手段,最終導致的電子商務安全事件。從美國的花旗銀行和中央情報局到中國的某家國有商業銀行,都有過由于內部人員的違規和違法操作,導致數據被篡改和泄密的事件發生。
近幾年的電子商務安全案件表明:人員是網上交易安全管理中的最薄弱的環節,近年來我國計算機犯罪大都呈現內部犯罪的趨勢,有的競爭對手利用企業招募新人的方式潛入對方企業,或利用不正當的方式收買企業網絡交易管理人員。有的電子商務從業人員從本企業辭職后,迅速把客戶資料、產品研發成果等機密出售給競爭對手,給企業帶來了不必要的經濟損失。
2、原因分析
電子商務信息安全已經引起很多企業的重視,但大多數企業往往側重于加強技術措施,如購買先進的防火墻軟件,采用更高級的加密方法等,很多企業認為:員工泄密的安全事故只是偶然現象,很少從人員管理的角度來探討出現這些事故的根本原因。“重技術、輕管理”是當前很多電子商務企業的通病。由于管理手段不到位,很多先進的安全技術無法發揮應有的效能。之所以出現上述問題,主要有以下原因:
首先,很多企業管理高層對人員管理在信息安全中的地位認識不足。大多數企業將電子商務網絡作為一項純粹的技術工程來實施,企業內部缺乏系統的安全管理策略,只是被動的使用一些技術措施來進行防御,因此電子商務過程中一旦出現突發性事件,往往造成很大的經濟損失。現實中沒有一個網絡系統是完美無缺的,不安全因素隨時存在。因此,安全管理措施必須滲透到系統的每一個環節和企業組織的~個層面,只有構建一個人與技術相結合的安全管理體系,才能確保整個電子商務系統得安全。
企業沒有從整體上、有計劃地考慮信息安全問題。企業各部門、各下屬機構都存在“各自為政的局面,缺少統一規劃、設計和管理信息安全強調的是整體上的`信息安全性,而不僅是某一個部門或公司的信息安全。而各部門、各公司又確實存在個體差異,對于不同業務領域來說,信息安全具有不同的涵義和特征,信息安全保障體系的戰略性必須涵蓋各部門和各公司的信息安全保障體系的相關內容。
缺少信息安全管理配套的人力、物力和財力。人才是信息安全保障工作的關鍵。信息安全保障工作的專業性、技術性很強,沒有一批業務能力強,且具有信息網絡知識、信息安全技術、法律知識和管理能力的復合型人才和專門人才,就不可能做好信息安全保障工作。應該從信息安全建設和管理對信息安全人才的實際需求出發,加快信息安全人才的培養。
企業對員工的信息安全教育不夠。員工的信息安全意識薄弱,9O%的安全事故是由于人為疏忽所造成。如有些企業不限制內部人員使用各種高科技信息載體,如U盤、移動硬盤以及筆記本等移動辦公設備。
3、加強電子商務安全管理的建議
電子商務信息安全管理實踐表明,大多數安全問題是由于管理不善造成的。安全管理是一項系統工程,不僅涉及到企業的組織架構、信息技術、人員素質等各個方面,還牽扯到國家法律和商業規則。企業內部存在著諸多影響信息安全的因素:改變lT系統不等于改變企業的信息安全管理,要使企業信息盡可能的安全,必須在技術投人的基礎上融人人在管理方面的智慧i同時,不僅要防外,更要防內,即對組織內部人員的管理。信息安全問題的解決需要技術,但又不能單純依靠技術。整個電子商務的交易過程,是人與技術相互融合的過程,如何使管理與技術相得益彰十分重要。“三分技術,七分管理”闡述了信息安全的本質。
電子商務的安全管理,就是通過一個完整的綜合保障體系,來規避信息傳輸風險、信用風險、管理風險和法律風險,以保證網上交易的順利進行。網上交易安全管理,應采用綜合防范的思路,一是技術方面的考慮,如防火墻技術、網絡防毒、信息加密、身份認證、授權等,但必須明確,只有技術措施并不能完全保證網上交易的安全。二是必須加強監管,建立各種有關的合理制度,并加強嚴格監督,如建立交易的安全制度、交易安全的實時監控、提供實時改變安全策略的能力、對現有的安全系統漏洞的檢查以及安全教育等。為了加強企業電子商務的信息安全,我們提出如下建議:
(1)提高網絡安全防范意識。
現在許多企業沒有意識到互聯網的易受攻擊性,盲目相信國外的加密軟件,對于系統的訪問權限和密鑰缺乏有力度的管理。這樣的系統一旦受到攻擊將十分脆弱,其中的機密數據得不到應有的保護。據調查,目前國內90%的網站存在安全問題,其主要原因是企業管理者缺少或沒有安全意識。某些企業網絡管理員甚至認為其公司規模較小,不會成為網絡攻擊者的攻擊目標,如此態度,網絡安全更是無從談起。應該定期由公司或安全管理小組承辦信息安全講座,只有提高網絡安全防范意識,才能有效的減少信息安全事故的發生。
(2)建立電子商務安全管理組織體系。
一個完整的信息安全管理體系首先應建立完善的組織體系。即建立由行政領導、IT技術主管、信息安全主管、本系統用戶代表和安全顧問組成的安全決策機構。其職責是建立管理框架,組織審批安全策略、安全管理制度,指派安全角色,分配安全職責,并檢查安全職責是否已被正確履行,核準新信息處理設施的啟用、組織安全管理專題會等。還應建立由網絡管理員、系統管理員、安全管理員、用戶管理員等組成的安全執行機構。該機構負責起草網絡系統的安全策略、執行批準后的安全策略、日常的安全運行和維護、定期的培訓和安全檢查等。如果需要,還可建立安全顧問機構。安全顧問機構可聘請信息安全專家擔任系統安全顧問,負責提供安全建議,特別是在安全事故或違反安全策略事件發生后,可以被安全決策機構指定負責事故(事件)調查,并為安全策略評審和評估提供意見。
(3)制定符合機構安全需求的信息安全策略。電子商務交
易過程中,需要明確的安全策略主要包括客戶認證策略、加密策略、日常維護策略、防病毒策略等安全技術方案的選擇。安全執行機構應根據本信息網絡的實際情況制定相應的信息安全策略,策略中應明確安全的定義、目標、范圍和管理責任,并制定安全策略的實施細則。安全策略文檔要由安全決策機構審查、批準,并發布和傳達給所有的人安全策略還應由安全決策機構定期進行有效性審查和評估:在發生重大的安全事故、發現新的脆弱性、組織體系或技術上發生變更時,應重新進行安全策略的審查和評估。
(4)人員安全的管理和培訓
參與網上交易的經營管理人員在很大程度上支配著企業的命運,他們承擔著防范網絡犯罪的任務。而計算機網絡犯罪同一般犯罪不同的是,他們具有智能性、隱蔽性、連續性、高效性的特點,因而,加強對有關人員的管理變得十分重要。首先,在人員錄用時應做好人員鑒別,人員錄用或人員職位調整時,一般要簽署保密協議。當人員到期離開或協議到期、工作終止時,要審查保密協議。其次對有關人員進行上崗培訓,建立人員培訓計劃,定期組織安全策略和規程方面的培訓。第三,落實工作責任制,在崗位職責中明確本崗位執行安全政策的常規職責和本崗位保護特定資產、執行特定安全過程或活動的特別職責,對違反網上交易安全規定的人員要進行及時的處理。第四,貫徹網上交易安全運作基本原則,包括職責分離、雙人負責、任期有限、最小權限、個人可信賴性等。
(5)增強法律意識,促進電子商務立法
面對電子商務這種新型的貿易形式,我國目前尚無專門法規可依,使得部分違法犯罪人員沒有得到應有的懲罰。近幾年里,國家加強了這方面的投入。在全國性的立法文件中,《合同法》的部分條款可以看作是針對電子商務的立法。此外,廣東省制定的《廣東省電子交易管理條例》這個地方性的法規可以看作是對加快我國電子商務立法的有益探索。《中華人民共和國電子簽名法》是對主要用于電子商務活動,電子政務等其他應用應該有新的適用法規。
盡管在電子商務信息安全立法方面取得了一些成就,但總的來說,我國的電子商務立法還很不健全,對電子商務活動的安全保護缺少直接性;相關立法比較分散,而且效力不高;對新出現的情況缺乏適應能力;立法速度慢。這些都需要電子商務企業和國家有關部門不斷探索,共同促進電子商務信息安全的法制環境建設。
4、結論
快捷的電子商務在給企業帶來發展機遇的同時,也使企業面臨著各種安全風險。由于缺乏對電子商務信息安全管理體制的系統認識,很多企業都把其電子商務信息安全作為一項技術工程來實施,而忽略了交易過程中,各種參與人員對安全的影響。分析了企業在電子商務安全管理體制方面存在的不足和原因,從安全防范意識、管理組織體系、信息安全技術策略、人員管理與培訓、電子商務立法等方面提出了一些加強人員安全管理的建議。在企業走向電子商務時代,只有管理與技術并重,才能確保企業電子商務交易過程中的信息安全。
電子商務安全論文5
[摘要] 針對電子商務存在的信息安全問題,文章提出了一種利用對稱加密和非對稱加密相結合的加密機制來確保信息安全。文章首先介紹了電子商務常見的安全隱患,接著介紹了公鑰基礎設施-PKI以及兩種加密體制,最后重點探討了確保電子商務信息機密性和完整性解決方案,從而為電子商務的信息安全提供了理論基礎。
[關鍵詞] 電子商務信息安全PKI機制
最近幾年,電子商務以其便利快捷的特點迅速發展起來,但是安全問題一直是阻礙其發展的關鍵因素。雖然信息安全技術的研究和應用為互聯網絡安全提供了必要的基礎設施,但是電子商務信息的機密性和完整性仍然是迫切需要解決的問題,本文就是針對這一問題展開了深入研究并提出了解決方法。
一、電子商務中的信息安全問題
1.截獲信息。未加密的數據信息在網絡上以明文形式傳送,入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。
2.篡改信息。當入侵者掌握了信息的格式和規律后,通過各種技術手段和方法,將網絡上傳送的信息數據在中途修改,然后再發向目的地,從而導致部分信息與原始信息不一致。
3.偽造信息。攻擊者冒充合法用戶發送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。
4.中斷信息。攻擊者利用IP欺騙,偽造虛假TCP報文,中斷正常的TCP連接,從而造成信息中斷。
二、PKI及其加密體制
電子商務的信息安全在很大程度上依賴于技術的完善,這些技術包括:密碼技術、鑒別技術、訪問控制技術、信息流控制技術、數據保護技術、軟件保護技術、病毒檢測及清除技術、內容分類識別和過濾技術、網絡隱患掃描技術、系統安全監測報警與審計技術等。其中密碼技術和鑒別技術是重中之重,PKI及其加密體制是實現這兩種技術的載體。
1.PKI的定義和功能。PKI是對公鑰所表示的信任關系進行管理的一種機制,它為Internet用戶和應用程序提供公鑰加密和數字簽名服務, PKI的功能主要包括:公鑰加密、證書發布、證書確認、證書撤銷。
2.對稱密碼體制。對稱密碼體制的基本特點是解密算法就是加密算法的逆運算,加秘密鑰就是解秘密鑰。在對稱密碼系統中發送者和接收者之間的密鑰必須安全傳送,而雙方實體通信所用的秘密鑰也必須妥善保管。常見的對稱加密算法包括DES、三重DES和IDEA等。
3.非對稱密碼體制。非對稱密碼體制也稱公鑰密碼體制。非對稱密碼體制的基本特點是存在一個公鑰/私鑰對,用私鑰加密的信息只能用對應的公鑰解密,用公鑰加密的信息只能用對應的私鑰解密。著名的非對稱加密算法是RSA。RSA使用的一個密鑰對是由兩個大素數經過運算產生的結果:其中一個是公鑰,為眾多實體所知;另外一個是私鑰,為了確保他的`保密性和完整性,必須嚴格控制并只有他的所有者才能使用。RSA加密算法的最基本特征就是用密鑰對中的一個密鑰加密的消息只能用另外一個解密,這也就體現了RSA系統的非對稱性。
RSA的數字簽名過程如下:s=md mod n,其中m是消息,s是數字簽名的結果,d和n是消息發送者的私鑰。
消息的解密過程如下:m=se mod n,其中e和n是發送者的公鑰。
4.數字簽名。數字簽名通常使用RSA算法。RSA的數字簽名是其加密的相反方式,即由一個實體用它的私鑰將明文加密而生成的。這種加密允許一個實體向多個實體發送消息,并且事先不需交換秘密鑰或加密私鑰,接收者用發送者的公鑰就可以解密。
5.散列(Hash)函數。MD5與SHA1都屬于HASH函數標準算法中兩大重要算法,就是把一個任意長度的信息經過復雜的運算變成一個固定長度的數值或者信息串,主要用于證明原文的完整性和準確性,是為電子文件加密的重要工具。一般來說,對于給出的一個文件要算它的Hash碼很容易,但要從Hash碼找出相應的文件算法卻很難。Hash函數最根本的特點是這種變換具有單向性,一旦數據被轉換,就無法再以確定的方法獲得其原始值,從而無法控制變換得到的結果,達到防止信息被篡改的目的。由于Hash函數的這種不可逆特性,使其非常適合被用來確定原文的完整性,從而被廣泛用于數字簽名。
三、對稱和非對稱加密體制相結合的應用模型
將對稱和非對稱加密體制相結合,能夠確保電子商務信息的完整性和機密性。下面是具體的應用模型。
假設Alice和Bob擁有各自的一個公鑰/私鑰對,由共同信任的第三方頒發的數字證書以及一個對稱秘密鑰。現在Alice欲發送消息給Bob,并且要求確保數據的完整性,即消息內容不能發生變動;同時Alice和Bob都希望確保信息的機密性,即不容許除雙方之外的其他實體能夠察看該消息。
加密過程:Alice按照雙方約定的規則格式化消息,然后用Hash函數取得該消息的哈希值,該值將被用來測試消息的合法性和完整性。接著Alice用私鑰對消息和散列值進行簽名。這一簽名確保了消息的完整性,因為Bob認為只有Alice能夠生成該簽名,這是由于只有Alice能夠使用自己的私鑰為該消息簽名。但這僅僅保證了消息的完整性,而沒有確保其機密性。為此,Alice必須向Bob提供它用來給消息加密的對稱秘密鑰,以使得Bob能夠用其解密被Alice加密過的消息。Alice用Bob的公鑰將自己的對稱秘密鑰簽名(加密),這樣就形成了一個數字信箋,并且只有Bob才能將其打開(解密),因為只有Bob能夠訪問用來打開該數字信箋的私鑰。這樣就為Alice向Bob傳輸對稱秘密鑰提供了機密性。
四、結束語
文章利用公鑰加密體制確保了電子商務信息的完整性,利用對稱加密體制實現對較長信息的加密,并保證了信息的機密性。文章的理論研究和實現方法,對于保障電子商務活動中消息的完整性和機密性具有重要的指導意義。電子商務信息安全需要不斷地檢查、評估和調整相應的安全策略。沒有一勞永逸的安全,也沒有一蹴而就的安全。
電子商務安全論文6
1電子商務安全威脅與需求
1.1主要安全威脅
電子商務建設主要面臨著賬戶安全威脅、交易安全威脅、基礎網絡威脅、業務連續性威脅。
(1)賬戶安全威脅。賬戶安全是電子商務信息安全的基礎,賬戶安全威脅主要來源于賬戶被盜與垃圾注冊。
(2)交易安全威脅。現階段在電子商務交易過程中發生的安全威脅主要包括惡意評價、交易欺詐、不良信息發布。
(3)基礎網絡威脅。電子商務是構建在互聯網上的交易平臺,同樣面臨著DDoS、端口掃描、密碼暴力破解、網站后門等安全威脅。
(4)業務連續性威脅。在電子商務領域主要面臨著特有的業務高彈性變化威脅,因為業務發展過快或網上促銷活動等原因,電子商務企業會面臨著大量客戶訪問超出現有系統設計容量的局面,而中小企業受限于資金規模導致其無力建設后備系統用于滿足無法預測的業務訪問量,最終影響電子商務網站對外提供服務的連續性。
1.2安全需求
電子商務信息安全建設的需求主要來自于業務連續性、保護賬戶和交易信息安全、電子商務網站自身的安全性。
(1)業務連續性是電子商務業務的第一要素,應采用防DDoS技術、系統彈性擴容技術來保障電子商務對外業務的連續性。
(2)使用公共網絡的電子商務賬戶信息和在線交易中的信息宜受保護,應采用加密技術、黑名單、防釣魚、數字簽名技術來防止欺詐活動,保證賬戶和交易信息安全。
(3)電子商務網站自身的安全性宜受保護,應采取檢測網站漏洞、掛馬、端口安全、網站后門等安全手段,防密碼暴力破解及管理員異地登錄預警等技術來保障系統的安全性。
2電子商務信息安全的關鍵標準研制
針對目前電子商務信息安全技術、管理、業務應用等領域工作存在的界定不清、內容不全、深度不統一等問題,通過技術標準、管理標準進行規范統一變得尤為重要。結合電子商務實際情況,在電子商務信息技術、業務應用、安全管理等方面標準研究的基礎上,主要進行以下標準研究。
2.1電子商務信息安全技術標準
確立電子商務信息安全保障總體架構,為電子商務所涉及的信息安全技術、信息業務應用安全、信息安全管理等方面安全要求的實施提供指導。從需求分析、方案設計、安全評估、運行等方面對信息安全建設實施給予指導。
2.1.1業務應用安全業務應用安全是指在物理安全、網絡安全等安全環境的支持下,實現業務應用的安全目標,主要涉及到服務器端與客戶端相應的安全服務。
(1)服務器端的交易服務、數據服務、Web服務、文件服務等部件及其安全方面的屬性要求。交易服務及其安全屬性要求,為了使電子交易安全可靠,必須建立一個安全、便捷的電子商務應用環境,保證整個電子商務交易活動中信息的安全性、匿名性和完整性,交易信息服務提供了安全、可靠的電子交易在線/離線運算。數據服務及其安全屬性要求,局域網中的.一臺或多臺計算機及其數據庫管理系統軟件共同構成了數據庫服務,數據庫服務為客戶應用提供服務。這些服務是查詢、更新、事務管理、索引、高速緩存、查詢優化、安全及多用戶存取控制等。通過傳輸層和應用層安全協議、電子簽名、標識與鑒別、密碼技術、抗抵賴、內容安全、訪問控制和PKI等實現安全防護。Web服務及其安全屬性要求,Web服務主要功能是提供信息傳輸與交換服務。主要解決網絡通信和信息交換過程中的訪問控制、實體鑒別以及傳輸過程中的信息機密性、完整性問題。文件服務及其安全屬性要求,在計算機網絡中,以文件數據共享為目標,需要將多臺計算機共享的文件存放于一臺計算機中。這臺計算機被稱為文件服務器,文件服務器具有分時系統管理的全部功能,能夠對全網統一管理,能夠提供網絡用戶訪問文件、目錄的并發控制和安全保密措施。
(2)客戶端的應用程序模型分類和安全方面的屬性要求。客戶端的應用程序模型大致分為兩種:C/S(客戶端/服務器模型)和B/S(瀏覽器/服務器模型)。客戶端的安全性主要是指應用層次的安全性,主要通過用戶權限、角色分配來實現。對于客戶端應用程序來說,通常需要通過公共密鑰基礎設施(PKI)為應用提供可靠的安全服務。
2.1.2信息安全建設實施電子商務信息安全建設流程可劃分為6個階段:風險評估、需求分析、方案設計、測試、系統安裝調試、正式運行等。
(1)風險評估。運用風險評估方法計算企業整體的資產價值、弱點、威脅發生的幾率及可能造成的影響等。評估時應考慮下面的因素:①信息安全可能造成的商業損失,并把損失的潛在后果也考慮進來。②在極為普遍的危害和采取的相應措施的作用下,故障實際發生的可能性。
(2)需求分析。在項目的計劃階段,項目需求部門應與項目建設部門共同討論信息系統的安全需求,明確重要的安全需求點,安全需求分析應該作為項目需求分析報告的組成部分。①項目需求部門與項目建設部門應對系統進行風險分析,考慮業務處理流程中的技術控制要求、業務系統及其相關在線系統運行過程中的安全控制要求,在滿足相關法律、法規、技術規范和標準等的約束下,確定系統的安全需求。②對系統安全應遵循適度保護的原則,需在滿足以下基本要求的前提下,實施與業務安全等級相符合的安全機制:通過必要的技術手段建立適當的安全管控機制,保證數據信息在處理、存儲和傳輸過程中的完整性和安全性,防止數據信息被非法使用、篡改和復制。實施必要的數據備份和恢復控制。實施有效的用戶和密碼管理,能對不同級別的用戶進行有限授權,防止非法用戶的侵入和破壞。③系統的安全需求及其分析需經過項目組內部充分討論,項目需求方和項目建設方應對安全需求及其分析的理解達成一致。
(3)方案設計。項目建設部門應根據確定的安全需求設計系統安全技術方案,應滿足以下要求:系統安全技術方案要滿足所有安全需求,并符合公安部、工信部和主管部門的法規和標準要求。系統安全技術方案應至少包括網絡安全設計、操作系統和數據庫安全、應用軟件安全設計等部分。系統安全技術方案涉及采用的安全產品,應符合國家有關法律法規。
(4)測試。①信息系統安全功能測試在信息系統測試階段,應根據信息系統安全功能需求進行測試,確保所有設計的安全功能均能得到落實和實現。在測試報告或相關文檔中應明確說明檢查列表中各項安全功能的落實和實現情況。②測試過程的安全管理在信息系統開發測試過程中,對于來自業務系統的數據要根據相關規定進行變形處理,禁止在開發或測試環境中直接使用生產系統的密鑰和用戶密碼等重要數據。測試環境要依據相關規定進行合適的管理和安全防護,并通過相應的手段確保與生產系統、開發系統隔離。
(5)系統安裝調試。在信息系統安裝部署時,應采取相應措施確保系統安全功能的實現,對操作系統、數據庫、應用系統等軟件的安裝部署和配置應該符合相應的安全規范和標準。信息系統投產前應進行安全評估或審查,通過審查系統設計文檔中的安全功能設計、系統測試文檔中的安全功能測試,確保系統本身安全功能的實現。通過審核系統安裝與配置過程或文檔,確保系統安全配置的落實與實現。
(6)正式運行。系統投入正式運行后,需清除系統中各種臨時數據,進行管理權交接,開發方不得隨意更改安全策略和系統配置。
2.2電子商務平臺安全管理標準
通過總結現有電子商務交易過程中遇到的安全問題,經過提煉和深化,系統規定電子商務交易平臺安全管理類型,如用戶安全管理、交易安全管理、信息安全管理、管理安全規范等的系統規定。
(1)用戶安全管理:主要對電商企業賬戶體系的安全和用戶信息的安全管理進行規范;對用戶注冊、用戶信息的使用、用戶隱私保護、用戶發布信息的管理提供保護措施。
(2)交易安全管理:主要對電商企業在交易過程中遇到的如商品質量問題、物流安全問題、交易欺詐問題、評價體系等進行規定;以保障消費者權益,建立健全的網上交易信譽體系。
(3)信息安全管理:重點對電商企業在信息的發布、傳輸、管理、存儲、控制等進行規定。
(4)管理安全規范:重點對電商企業在安全管理中的人員配備、工作流設置、管理制度上做規定。
電子商務安全論文7
摘要:互聯網的快速發展不但給電子商務提供了巨大的發展機遇,而且也帶來了相應的網絡安全問題。當前,電子商務中網絡安全問題產生的主要原因有:攻擊、軟件漏洞、網絡缺陷和技術管理欠缺等,其中的關鍵問題是電子商務企業本身的安全管理問題。所以,需要對電子商務實施技術和管理的安全策略。
關鍵詞:互聯網 電子商務 網絡安全 管理
1 引言
隨著互聯網的快速發展,人們的生活方式有了非常大的改變,對應的經濟社會也受到了巨大的影響。在商業貿易領域,因為網絡的快速發展,產生了電子商務這樣一種貿易方式。但是電子商務也是經歷了一番坎坷的,因為網絡的特殊性,在電子商務發展中產生了交易安全的問題,對電子商務的穩定發展帶來了一定的沖擊。Internet網是一個互連通的自由空間,一些人常常會因為某些目的攻擊電子商務網站,比如盜竊資金、商業打擊、惡作劇等,導致有些企業的電子商務網站貿易交流受損、服務暫停,甚至出現資金被盜的現象。據有關數據的統計,美國每年因為網絡安全問題在經濟上造成的損失就達到近百億美元,而國內的`情況也不容樂觀。因此,當我們在享受互聯網給生活帶來的這些好處的時候,網絡的安全問題,早已變成電子商務的重大難題,給電子商務企業的發展帶來了極大的阻礙。所以,計算機網絡安全是電子商務發展過程中所面臨的重大挑戰和問題。電子商務企業必須從維護顧客利益和自身利益出發,做好安全防范和自身安全管理工作,才能得到持續快速的發展。
2 電子商務面對的網絡安全問題
當前,電子商務安全問題受到多方面的影響,不但有技術管理的問題,而且也有網絡缺陷的因素,具體地說,直接原因有以下幾點:
2.1 網絡“”侵犯電子商務網站
網絡是專門在網絡中利用本身掌握的技術非法強行進入他人網站后臺的人,這類人具有高超的網絡技術,能夠不受電子商務網站技術防護的限制。許多“”篡改內容信息、破壞網站;盜取商戶或企業的賬戶資金,極大地影響了電子商務的正常進行。
2.2 電子商務軟件有漏洞
許多軟件研發單位研發的技術不成熟的電子商務軟件,存在許多安全漏洞,防護極易被外來入侵者利用漏洞攻破,導致電子商務企業受到很大的經濟損失;有的企業即使安裝了防護軟件,但由于軟件沒有得到及時升級,致使軟件喪失了應有防護功能。
2.3 電子商務網絡自身存在安全問題
網絡具有共享性、開放性等特點,它的設計原則是確保信息傳輸不會受到局部損壞的影響。所以,對網站安全帶來了極大的隱患。特別是對電子商務企業情況更加嚴峻。
2.4 網站管理的缺失
由于電子商務企業缺乏警惕性,不重視網絡安全的管理,通常只有在受到攻擊以后才會去加強網站安全;部分企業則以為只要安裝了入侵監測系統、殺毒軟件、防火墻等安全產品,就能保障網站的安全,所以沒有根據企業實際情況制定相應的管理制度,也沒有加強技術防范,給入侵者提供了機會。
3 應對的措施
電子商務安全問題是在網絡化、電子化技術發展的前提下出現的,所以很多傳統的解決辦法不能簡單地應用過來。電子商務企業想要取得效益,就要從企業的健康發展出發,改善企業的安全管理,提高技術投入。具體的防范措施有
3.1 安全技術管理需要加強
需要重視電子商務網站的維護、升級等方面,做好每天的安全備份,加強網站服務器的管理。制定安全防范預案,只要發生安全事件,能夠得到盡快解決,從而減少損失。使用權威性較強的安全防護軟件,并能夠正常啟動、正常升級,發揮應有的防護功能。
3.2 在電子安全方面擴大管理和技術投入
企業需要加大安全方面的資金投入,購買技術防護設備,加大對技術改造與設備更新的投入。引進安全管理的相關技術,招聘相應的管理人才,并進行適當的待遇傾斜,確保安全管理團隊的穩定。
3.3 使用密碼管理技術
電子商務中最重要的防范環節是密碼管理,要使用先進的密碼管理手段,確保能發揮特定的功能,重點有交易信息安全、身份認證安全和賬戶安全等。
3.4 電子商務企業自身的管理需要得到強化
安全技術是電子商務企業的首要防范措施,但發揮其作用的關鍵還是嚴密的管理,只有建立完善的安全防范管理系統,才能保證企業的安全。所以電子商務企業,需要制定安全防護制度,保證明確職責;要有獎懲制度,責任事故的時候,能夠做到及時追究,提高技術管理人員的責任意識。
4 總結
總的說來,電子商務企業的安全問題,表面上像是計算機網絡的安全問題,但主要還是在于企業的制度建設、安全管理和重視程度等情況。企業不當的安全管理,不僅會發生企業賬戶資金被盜的問題,甚至有可能地客戶的利益造成損害,讓客戶對電子商務企業不再信任。電子商務企業維護客戶市場的關鍵是信譽度,所以,應當重視網絡安全,克服網絡技術自身的弊端,使企業能得到持續穩定的貿易發展。
參考文獻:
[1] 祁明。電子商務實用教程[M]。北京:高等教育出版社,20xx。
[2] 陳輝。淺談電子商務的安全與技術保障[J]。河南教育學院學報(自然科學版),20xx(01)。
[3] 楊愛民。電子商務安全現狀及對策探討[J]。科技資訊,20xx(06)。
[4] 楊利麗。淺談電子商務的網絡安全與技術保障[J]。信息網絡安全,20xx(07)。
[5] 王 燕。 電子商務中網絡安全技術的應用與發展[J]。信息通信,20xx,(1)。
電子商務安全論文8
摘要:隨著科學技術的發展,帶動了計算機網絡技術的發展,提高了電子商務在商業貿易活動中的地位,并逐步進入到人們的日常生活中。但是由于計算機網絡存在較多的安全隱患,對電子商務的發展造成巨大影響,因此必須及時對電子商務與計算機安全技術集合性進行探討.
關鍵詞:電子商務;計算機;集合性
電子商務是一種在因特網背景下誕生的新型商業模式,已經廣泛應用到人們生活、學習與工作等領域。計算機技術與電子商務密切聯系,具有相輔相成的作用。為了保證電子商務的安全發展,必須實現電子商務與計算機安全技術集合,提高電子商務安全等級。
1電子商務網絡中存在的安全隱患
經過分析發現,電子商務網絡中主要存在以下三方面安全隱患,具體分析如下。
1.1客戶信息安全問題
在網絡系統中,客戶信息容易發生丟失和盜竊,此種問題已經成為電子商務交易中存在的主要問題。目前很多網絡駭客在未得到網絡平臺授權時,私自竊取商家與客戶信息,并不斷達成非法目的。另外,一些不法網站借助吸引眼球的圖片與內容,引誘用戶點擊,進而盜取用戶信息。
1.2計算機系統安全問題
很多網民進行網絡交易時,由于缺乏安全防范意識,不能及時對計算機進行殺毒,或者為設置安全軟件保護,導致病毒與木馬侵入計算機中,在用戶進行網絡交易時,就會竊取客戶信息,對網絡交易安全造成了巨大影響。
1.3信息傳輸安全
電子商務交易具有簡單、快捷的特點,已經得到了廣大用戶的認可與接受,但也容易出現很多安全問題。網絡駭客與攻擊者主要利用冒充合法用戶給其發送信息;利用分析或傳輸數據等方式改動信息;或者潛入專業內部盜取網絡信息。這些均給用戶與企業造成了巨大的危害。
2電子商務教育計算機網絡安全技術探討
2.1設置入網訪問技術
入網訪問技術設置可以控制網絡資源或非法用戶訪問,已經成為提高網絡安全的主要防護措施。從網絡安全控制層面分析,網絡安全是第一層安全控制技術,可通過控制網絡資源使用權力與時間提高網絡安全。一般用戶入網訪問主要從用戶名識別與驗證、口令卡與驗證及用戶賬號驗證等三方面控制,只有保證三方面信息齊全,用戶才能安全進入保護網絡。
2.2防火墻技術
防火墻技術主要利用網絡安全設備進行控制,可以通過狀態檢查、過濾與代理服務等實現安全控制。防火墻隔離技術水平與電子商務安全密切聯系。現階段應用較多的防火墻產品主要是狀態監測與代理服務兩種,可借助專業操作系統保護網絡操作系統。但是此種技術也具有一些缺陷。(1)防火墻只能給主機安裝防病毒監控軟件,不能保證軟件或文件的安全傳輸;(2)防火墻不能防范其他網絡攻擊;(3)防火墻不能控制數據驅動式攻擊。有些數據雖然表面沒有病毒,但一旦復制到主機上就會發起數據驅動攻擊。所以必須對來歷不明確的數據與程序進行殺毒,避免出現病毒編變異攻擊。
2.3電子簽名技術
電子簽名技術可實現身份認證,具有以下兩方面特點:一方面,實現了數字摘要技術與非對稱技術的結合,可以加強原始數據信息相關內容監測;另一方面,此種技術可實現數據單位密碼轉換或數據轉換,滿足了數據單元接受者對數據來源的需求,提高了數據安全。此種簽名技術智能在通信網絡中傳輸,可使用發送者私鑰對摘要信息進行加密,并將摘要與原文傳輸給接受者,目前已經得到廣泛應用。
2.4數據加密技術
防火墻技術實現了電子商務安全被動式保護,不能實現不安全因素保護,為了提高電子商務交易安全,可以將數據加密技術應用到其中。數據加密技術的應用,彌補了防火墻防護的不足,主要由貿易方將其應用到信息交換中。從類別上分析,目前數據加密技術可分為公司密鑰加密與專用密鑰加密兩種。目前企業使用的PKI技術中,將公開與專用密鑰分為一組,公開密鑰主要進行非保密性公開,專用密鑰采取加密保存,要求貿易雙方掌握密鑰信息,實際操作如下:貿易方生產一對密鑰,一把公開發布,另一把由貿易方乙對機密信息加密后發送給甲方,甲方使用專用密鑰對信息進行加密。交易雙方可使用自己專用的密鑰解密信息。
2.5非法入侵檢測
非法入侵檢查是防火墻的補充技術,由于防火墻僅僅阻止外部入侵,不能控制內部人員共計,而且不具有實時入侵檢測功能,所以產生了非法入侵檢測技術,可以將此種技術看作保證計算機系統安全所設計的及時報告系統或異常現場技術。非法入侵檢查技術操作過程如下:首先,收集計算機系統或網絡核心信息,然后對收集的信息進行分析,如果發現被攻擊對象,就會采取相應的措施防范。此種檢測技術可以在保證網絡性能的技術上完成檢測,實現了內外攻擊與誤操作的實時保護,提高了網絡安全,并給電子商務交易提供了較安全的'平臺。
2.6屬性安全控制技術
屬性安全技術實際上是在權限安全技術上實現電子商務交易安全的保障。實際操作中,要求對交易雙方網絡資源標識出安全屬性,然后有用戶設置網絡資源訪問權限,并對應訪問控制表,表示出用戶對網絡資源的訪問能力。
3結束語
電子商務是一種新型的商業模式,目前在網絡技術的發展下,電子商務已經進入全新時代,網絡入侵技術與手段也在不斷更新。為了創建一個相對安全的電子商務交易環境,必須將新型網絡技術應用到電子商務中,提高電子商務與計算機安全技術的集合,促進電子商務的長期可持續發展。
參考文獻
[1]吳毅君.電子商務與計算機安全技術相關性研究[J].電腦編程技巧與維護,20xx(12).
[2]姜峰.計算機安全技術在電子商務中的應用探討[J].無線互聯科技,20xx(06).
[3]徐鶯.計算機安全技術在電子商務中的應用探究[J].黑龍江科技信息,20xx(10).
[4]王睿.計算機安全技術在電子商務中的應用探討[J].信息與電腦,20xx(10).
電子商務安全論文9
跟著互聯網的迅猛發展,網上交易日趨成為新的商務模式,基于網絡資源的電子商務交易已經為群眾接受。在享受網上交易帶來的便捷的同時,交易的安全性備受關注,網絡所固有的開放性與資源同享性致使網上交易的安全性遭到嚴重要挾。因而,網絡信息安全性就成為了電子商務勝利發展的癥結因素,下面從電子商務中存在的安全問題、電子商務的安全要素和安全技術等方面對于電子商務交易中的安全問題進行分析。
1、電子商務存在的安全問題 因為電子商務是以信息技術以及計算機網絡為基礎的,與傳統商務比較,它不可防止的面臨著1系列的安全問題。
一.信息泄露
在電子商務中表現為商業秘要的泄露,主要包含兩個方面:交易雙方進行交易的內容被第3方盜取;交易1方提供給另外一方使用的文件被第3方非法使用。襲擊者主要通過截獲以及盜取的方式造成信息泄露。
二.篡改
在電子商務中表現為商業信息的真實性以及完全性的問題。當襲擊者掌握了信息的格式以及規律后,通過各種技術手腕以及法子,將網絡上傳輸的信息數據在半途篡改,然后再發向目的地,損壞數據的真實性以及完全性。
三.捏造
因為掌握了數據的格式,并可以篡改通過的信息,如果不進行身份辨認,襲擊者就有可能假冒交易1方的身份,以損壞交易、損壞被假冒1方的信用或者竊取被假冒1方的交易成果等。
四.信譽要挾
交易者否認參加過交易,如買方提交定單后不付款,或者者輸入虛假銀行資料使賣方不能提款;用戶付款后,賣方沒有把商品發送到客戶手中,使客戶蒙受損失。
五.電腦病毒
電腦病毒問世10幾年來,各種新型病毒及其變種迅速增添,互聯網的呈現又為病毒的傳布提供了最佳的媒介。不少新病毒直接應用網絡作為自己的傳布途徑,還有眾多病毒借助于網絡傳布患上更快,動輒造成數百億美元的經濟損失。
2、電子商務安全要素
安全問題是企業利用電子商務最耽心的`問題,而如何保障電子商務流動的安全,將1直是電子商務的核心鉆研領域。作為1個安全的電子商務系統,首先必需擁有1個安全、可靠的通訊網絡,以保證交易信息安全、迅速地傳遞;其次必需保證數據庫服務器絕對于安全,避免電腦高手闖入網絡竊取信息。下面介紹電子商務觸及的安全要素.
一.有效性
電子商務作為貿易的1種情勢,其信息的有效性將直接瓜葛到個人、企業或者國家的經濟利益以及名譽。因而,要對于網絡故障、操作過錯、利用程序過錯、硬件故障、系統軟件過錯及計算機病毒所發生的潛伏要挾加以節制以及預防,以保證貿易數據在肯定的時刻、肯定的地點是有效的。
二.秘要性
電子商務作為貿易的1種手腕,其信息直接代表著個人、企業或者國家的商業秘要。電子商務是樹立在1個較為開放的網絡環境上的,保護商業秘要是電子商務全面推行利用的首要保障。
三.完全性
電子商務簡化了貿易進程,減少了人為的干預,同時也帶來保護貿易各方商業信息的完全、統1的問題。貿易各方信息的完全性將影響到貿易各方的交易以及經營策略,維持貿易各方信息的完全性是電子商務利用的基礎。
四.可靠性
電子商務直接瓜葛到貿易雙方的商業交易,如何肯定要進行交易的貿易方是保證電子商務順利進行的癥結。要在交易信息的傳輸進程中為介入交易的個人、企業或者國家提供可靠的標識。
五.即需性
即需性是避免延遲或者謝絕服務,即需安全要挾的目的就在于損壞正常的計算機處理或者完整謝絕服務。在電子商務中,延遲1個動靜或者解除它會帶來災害性的后果。
六.身份認證
指交易雙方可以互相確認彼此的真實身份,確認對于方就是本次交易中所稱的真正交易方。這1進程為授權以及審計所必須,也是實現授權、審計的走訪節制進程運行的條件,是計算機網絡安全系統不可缺乏的組成部份。
七.審查能力
依據秘要性以及完全性的請求,應答數據審查的結果進行記錄。審查能力是指每一個經授權的用戶的流動的獨一標識以及監控,以便對于其所使用的操作內容進行審計以及跟蹤。
3、電子商務交易安全技術
因為電子商務流動所觸及的大量秘要信息都必需通過網絡傳布,并且以電子數據的情勢存儲,請求有完美的安全技術來保證電子商務交易的安全。目前,電子商務進程中主要采取的安全技術有加密技術、認證技術以及安全認證協定。
一.加密技術
加密技術是1種主動的信息安全防范措施,其原理是應用必定的加密算法,將明文轉換成為無心義的密文,阻撓非法用戶理解原始數據,從而確保數據的保密性。在加密以及解密的進程中,由加密者以及解密者使用的加解密可變參數叫做密鑰。 目前,取得廣泛利用的兩種加密技術是對于稱密鑰加密體制以及非對于稱密鑰加密體制。
二.認證技術
安全認證的主要作用是進行信息認證。主要包含安全認證技術以及安全認證機構兩個方面。安全認證技術主要有數字摘要、數字信封、數字簽名、數字時間戳、數字證書等; 電子商務認證中心就是承當網上安全交易認證服務,能簽發數字證書,并能確認用戶身份的服務機構。
三.安全認證協定
目前電子商務中有兩種安全認證協定被廣泛使用,即安全套接層SSL協定以及安全電子交易SET協定。SSL協定1般服務于銀行對于企業或者企業對于企業的電子商務。SET協定位于利用層,用來保證互聯網上銀行卡支付交易安全性。所以SET1般服務于持卡消費、網上購物的電子商務。
4、收場語
跟著網絡技術的提高,基于互聯網的電子商務在最近幾年來取得了巨大的發展,成為1種全新的商務模式,擁有很大的發展前程;這類電子商務模式對于管理水平、信息傳遞技術都提出了更高的請求,其中安全部系的構建又顯患上尤為首要。如何樹立1個安全、便捷的電于商務利用環境,對于交易信息提供足夠的維護,是商家以及用戶都10分關注的話題。安全問題己成為電子商務的核心問題,解決電子商務網絡交易中的安全問題,是保證電子商務順利發展的基礎,安全性成為電子商務能否勝利發展的抉擇性因素。電子商務網絡交易中的安全問題還有待于繼續探討。
電子商務安全論文10
一、煤炭安全設備電子商務的概念
隨著當前信息技術的飛速發展,世界經濟正經歷著一場深刻的“革命”,這場新革命巨大地改變了經濟格局,創造了全新的“網絡經濟”,電子商務就在此背景下應時而生。電子商務意在通過網絡完成核心業務,減少周轉時間,以有限的資源取得更大的收益,從而達到銷售產品的目的。煤炭安全設備電子商務為其行業發展提供了嶄新的商業環境,同時也為改進煤炭安全設備傳統銷售模式存在的問題提供了新的途徑。
二、電子商務對于煤炭安全設備銷售的重要意義
電子商務能夠促進我國煤炭安全設備銷售行業的結構調整。隨著我國當前市場越來越透明化的發展趨勢,對市場發展的公平性也有了全新的標準和要求,有利于促進煤炭安全設備銷售市場的重新整合;利用電子商務平臺進行煤炭安全設備交易的企業,可以大幅度降低煤炭安全設備銷售方與購貨方的運作成本,簡化銷售流程,節省預訂時間,拓寬銷售途徑,形成持續發展、新型高效的管理方式;全新的客服方式能夠更快速、更直接、更高效地提供服務,有利于企業繼續開發新的市場,獲得更多的利益。總之,電子商務為我國煤炭安全設備銷售行業邁向現代化服務型市場奠定了根基。
三、我國安全設備銷售行業發展現狀
煤礦安全設備是指保障煤礦安全生產的設備,可以分為煤礦安全避險系統、煤礦安全檢測設備、煤礦安全防治設備,也可以分為煤礦安全監測設備和煤礦安全救生設備兩大類。煤礦安全設備主要包括監測、救生設備,前者有瓦斯監測、頂板監測等;后者有救生艙、避難硐室等[1]。煤礦安全設備服務于煤炭行業,發展狀況與煤炭行業密切相關。科技進步社會繁榮發展影響能源需求結構,加之人們對環境質量的要求越來越高,進而影響煤炭的銷售量,最終影響對安全設備的需求。短期來看隨著國家財政、貨幣政策持續發力,經濟有望迎來企穩,煤炭市場行情的好轉也將帶動設備訂單的執行;中長期來看,煤炭在相當長一段時間內仍將占據我國一次能源的主要地位,在煤炭行業平穩小幅增長的背景下,行業整合企業兼并重組,國家近年來先后出臺了一系列加強煤礦安全生產及危害防治的政策制度,其中有較多強制措施,這方面的需求也會進一步增長,也有利于煤礦安全設備的發展,煤礦生產企業對安全生產設備的投入有望進一步加強,行業發展前景向好。中長期來看,低谷期的煤炭行業兼并重組增多,大型企業相比中小企業更加重視安全生產,其相應的對安全設備的投入也將會進一步增加;國家近年來也先后頒布了一系列加強煤礦安全生產和危害防治的政策、制度、強制措施等,對安全設備的需求也會進一步增長,也有助于煤礦安全設備的發展。綜上,我國對煤炭安全生產有著中長期目標,到20xx年全國安全狀況實現根本性好轉,煤礦塵肺病患病率、百萬噸死亡率、萬元產值事故損失率等指標達到或接近世界中等發達國家水平。要實現這一目標,必須依靠科技進步,更需要長期開展煤礦安全技術研究與產業化工作,同時煤礦安全設備的投資與更新換代的需求也必不可少,未來我國煤礦安全設備需求將進一步增長。
四、電子商務在煤炭安全設備銷售應用中存在的問題
電子商務作為一項全新的銷售模式,在煤炭安全設備銷售工作中會受到許多因素的影響。1.傳統的煤炭安全設備銷售觀念難以轉變。近年來,電子商務作為一種先進的商務模式,隨著淘寶、京東網等眾多購物網站的發展逐漸改變了人們的銷售觀點,令眾多人都積極應用電子商務的銷售形式,但是這種網站交易通常局限在中小型的交易。煤炭安全設備交易是大宗交易,數量大,涉及到的金額也通常比較多,因此導致我國很大一部分的煤炭安全設備企業并不太相信這種網上交易新模式,依然熱衷于選用傳統的人員銷售模式,傳統的煤炭安全設備銷售觀念根深蒂固。正是因為如此,電子商務在煤炭安全設備銷售領域的應用特別困難,制約了我國煤炭安全設備銷售的現代化發展歷程,降低了市場競爭力和滲透力。2.我國的電子商務水平存在隱患。目前煤炭安全設備銷售企業利用電子商務的同時也伴隨著普遍存在技術問題如網絡不穩定性和安全性等問題[2]。電子商務的運營依靠網絡來實現,因此就會受到網絡的限制容易受到駭客攻擊、計算機病毒攻擊等,觸及到資金安全、貨物安全、信息安全和商業機密等很多方面的安全性問題,傳統所掌握的網絡安全技術水平很顯然并不能滿足完整的現代電子商務發展要求。同時煤炭安全設備銷售企業的電子商務大部分都是大宗物品的交易,當前,我國大宗物品的電子交易方面缺乏有效監管,規范程度不高,其經營規模與風險承擔能力顯然不相當,缺乏有成效的風險管理機制體制。一旦發生網絡技術問題,帶來的損失會極其嚴重,甚至難以挽回。網絡的安全建設已經成為煤炭安全設備銷售行業電子商務過程中重要的一環。商務活動中常常會存在一些糾紛,通過網絡電子平臺進行交易又具有其特殊性。雖然目前我國頒布了一些與國際互聯網相關的網絡安全法規,但有關電子商務的專門立法還是空白,對電子商務中涉及的電子簽名、電子合同等相關信息的合法性欠缺必要的法律詮釋,就會引起電子商務的可靠性不高問題,在一定程度上制約了電子商務在煤炭安全設備銷售領域的應用與推廣。3.煤炭安全設備銷售企業組織結構不合理。直線職能制為煤炭安全設備銷售企業的'主要組織結構。通常煤炭安全設備銷售企業規模較大、業務種類眾多,但很大部分是以直線單元直接經營的方式管理,并不能適應電子商務并行工程的管理模式;管理死板,不同業務單元缺少足夠的反應能力,經營局面很難打開;各職能部門不注重信息的橫向交流,缺乏彈性,工作效率不高;單位管理費用較高,成本居高不下。
五、基于電子商務的煤炭安全設備銷售行業對策
1.思路決定出路,觀念意識是行動的前提。首先電子商務是今后發展大趨勢的意識應深入煤炭安全設備的銷售人員內心,意識到它在煤炭安全設備的銷售行業內的重要地位,突破傳統的銷售模式從觀念到實際銷售行為徹底的改變,發展新的銷售模式,樹立新的銷售理念。其次應該加強學習借鑒最先進的銷售理念,對最新最先進的銷售模式及理念進行全員教育培訓,甚至實地考察調研學習,充分認識到電子商務能讓煤炭安全設備銷售有質的改變。最后著力加快交易模式創新和交易系統的優化升級,緊密追蹤“互聯網+”發展大勢,深度融合B2B+O2O電商模式,積極開展定制化交易,滿足不同交易商需求,進一步降低交易成本。2.電子商務中網絡安全是基礎,相關的政策傾斜支持是保證。首先,網絡安全是最基本的條件,引進一流的網絡管理技術、做好日常網絡維護、重點關注最新的病毒及查殺方法、第一時間解決疑似安全隱患等來提高網絡安全性能。其次,應加強大宗商品交易的監督管理力度,嚴格執行相關法律法規,進一步保障煤炭安全設備網絡交易的安全性。最后完善相關法律法規,關于這方面的法律空缺及時起草補充,比較抽象的法律及時明確解釋,讓網絡+煤炭安全設備行業有實實在在的法律依據,讓其在法律的保護下高速發展。3.煤炭安全設備網絡銷售要想獲取不斷繁榮地發展,就要打破傳統的銷售組織結構。采用全新的銷售模式,特別是需要建立起電子商務平臺,并在電子商務平臺上確保銷售渠道的統一性,這項工作的開展能對企業的整體銷售進行有效總結,幫助企業制定更全面的銷售策略。對煤炭安全設備企業自身進行深度改革,進一步完善內部組織結構,全面提高所有銷售人員素質,增強創新能力。
六、結束語
綜合來說,電子商務具有交易成本低、交易透明化、交易效率高等特點,其在我國市場發展中逐漸得到應用。將它應用于煤炭安全設備的銷售中能夠優化煤炭安全設備產業資源的優化配置、開拓銷售渠道、降低銷售成本等,積極總結在電子商務成功銷售案例,使煤炭安全設備銷售在電子商務銷售中實現創新。
參考文獻
[1]陳躍平,戴順孝,閔麗.煤礦安全設備研究現狀及發展趨勢[J].機械制造,20xx,(12):63-65.
[2]于宏達.基于電子商務在煤炭銷售中應用的研究[J]中國集體經濟,20xx,24(30):117-118.
電子商務安全論文11
電子商務信息安全論文
摘要:隨著科學技術的發展和時代的日新月異,我們的生活在不知不覺中發生了翻天覆地的變化,就連最基本的購物和消費都在默默變化著。近年來,隨著亞馬遜、阿里巴巴等電子商務如火如荼地闖入大眾的視野,“電子商務”這個在十幾年前聞所未聞的名詞如今成為人們口中常談的對象。在大眾的口中,“電子商務”這個名詞依舊略顯陌生和專業,人們常常用“網購”和“網上支付”來代替“電子商務”,實際上說的是一回事。電子商務的出現,打破了空間的束縛,極大地方便了人們的購物行為,刺激了消費,一定程度上促進了經濟的繁榮和增長。
關鍵詞:電子商務;信息安全技術
一、電子商務發展存在的風險
第三方的電子交易平臺在網絡上對于信息進行儲存、記錄、處理、發布和傳遞,以此來協助一次網絡消費行為的完成。一般情況下,這些信息都具有真實性和保密性,屬于大眾的隱私。但是,現在的網絡環境比較惡劣,有很多網絡陷阱以及刻意挖掘用戶信息的“黑客”,從而導致基本信息出現失真、泄露和刪除的危機,不利于正常電子商務交易的完成。對于電子商務信息大致上可以分為以下幾類:第一,信息的真實性;第二,信息的實時性;第三,信息的安全性。首先,是信息的真實性。電子商務上的基本信息是賣家和買家進行認識對方和分辨商品真實性可靠性的唯一途徑,應該絕對真實。一旦出現虛假信息,則屬于欺騙消費者,是危害消費者權益的不法行為。其次,是信息的實時性。信息的實時性主要是指信息的保質期。因為很多信息只在一段時間內有效,具有時效性,一旦錯過這段關鍵時期,那么該信息則失去自身的價值,變得一文不值。最后,就是信息的安全性,這也是消費者最為關心的問題。電子商務出現的安全性問題主要表現為客戶的信息被刪除、篡改從而失真,同時也表現為用戶的信息被竊取從而達成其他目的,使得用戶的隱私被侵犯,正常的生活受到打擾。
二、電子商務的信息安全技術的內容
2.1備份技術。相信備份技術對于大眾來說不是很陌生。但是很多人卻錯誤的將備份理解為拷貝,從而片面的看待這個問題。電子商務對于網絡環境有很大的依賴性,網絡環境自身卻存在極大的不穩定性,這就導致電子商務的發展存在不可避免的風險,如果沒有一個數據庫對于基本信息進行存儲,那么一旦出現系統故障或者誤刪的情況則信息永遠消失,這對于商家來說是極其可怕的,因此,電子商務的第三方有一個信息儲存庫,旨在在必要的時刻段時間內將客戶的信息及時恢復。這種恢復不是簡單的、傳統意義上的恢復,而是通過備份介質得以完成的。這樣的話,在系統故障或者其他原因導致信息在短時間內無法正常恢復時,可以借助儲存在備份介質中的信息將信息還原到原來的備份狀態。
2.2認證技術。所謂認證技術其實一個專業術語,道理實際上很簡單,就是我們常說的登錄口令。認證技術的`目的主要在于阻止不具有系統授權的用戶進行非法的破壞計算機機密數據,是數據庫系統為減少和避免各種破壞電子商務安全的重要策略。登陸口令是我們正常用戶進行電子商務平臺登錄的方式,是大眾在網絡環境下的身份證。我們每一個用戶在使用某一個電子商務平臺之前都被要求進行注冊,從而決定或者獲得自己的登陸口令即用戶名和密碼。這些登錄口令都是都是獨一無二的,是我們進行網上交易的身份認證和識別。因為電子商務平臺往往具有開放性,一旦沒有身份認證后果將不堪設想。人們的信息安全更是沒有任何保障。
2.3訪問控制技術。訪問控制技術也可以理解為訪問等級制度,電子商務的系統會根據用戶的不同等級對于用戶對于系統數據的訪問進行一定的控制。等級較低時,則用戶的訪問權限有限,一些重要的關鍵的信息則被系統禁止訪問,只要當等級較高時才能獲得相關權限,這就保證了一些重要信息不會被竊取。關于用戶的訪問權限也有兩層含義,首先是用戶能夠獲得數據庫中的信息種類和數量,另一層含義則是指用戶對于獲取的數據庫信息進行怎樣的操作。
電子商務的便利性和優點遠遠大于其存在的信息安全技術風險給人們帶來的不便,盡管信息安全技術問題層出不窮,但是大眾們依然親睞和依賴電子商務。但電子商務想要獲得更廣闊的發展空間,虜獲更多人的心,則必須在信息安全技術問題上下一點功夫。其次,對于普通消費者來說,掌握一定的電子商務信息安全知識是十分必要的,它既能幫助我們在需要的時候解決自己原來束手無策的問題,更能讓自身的網購行為變得更加安全,減少甚至避免了很多不必要麻煩的出現,因此,不管你從事任何行業,都需要對于電子商務的信息安全問題進行一定的了解。
電子商務安全論文12
摘要:網絡時代的到來,眾多企業紛紛借助互聯網技術開展電子商務的運營模式。建設電子商務網站就是其中最重要的工作之一,安全問題對于整個網站建設起到至關重要的作用。電子商務網站的核心是數據庫,本文試圖從數據庫安全的角度,來探討和分析電子商務網站建設中的安全隱患,并進一步提出相應對策。
關鍵詞:電子商務網站;數據庫;安全隱患
一、引言
隨著互聯網信息化和大數據時代的到來,電子商務平臺以其高效、便捷、成本低、個性化等特性引領時代潮流。企業可以開展無實體店經營,個人足不出戶即可博覽國內乃至國際一切商品,并進一步完成購買環節。但基于互聯網的開放性和虛擬性特點,電子商務網站安全問題就像一個隱形“毒瘤”,時刻威脅著企業和用戶的安全利益,并制約著電子商務穩健的進一步發展。可見,企業在建設電子商務網站時,不僅要關注網站的實用性和美觀度,更要注重安全問題。電子商務網站的數據庫是網站的核心信息,比如交易記錄、商業數據等。因此,如何保證電子商務網站建設中的數據庫安全就成為開發設計人員首要解決的問題。
二、電子商務網站建設中數據庫的安全隱患
1.電子商務網站的開放性特征,使得網站數據庫本身就存在著很大安全隱患,常見電子商務網站建設中數據庫安全隱患如下。
基礎硬件的安全隱患。電子商務這種商務模式在我國發展歷程短,電子商務技術尚處于開發與運營的初期階段,硬件設施還依然是電子商務網站建設的“短板”。各種硬件條件短缺、配套資金匱乏等因素使得電子商務網站建設過程中使用的硬件設施不夠先進,硬件安全性存在較多漏洞。導致電子商務網站很容易遭受不法分子的惡意侵害,網站中的數據資料遭受竊取或篡改。
2.數據庫登錄方式的安全隱患。為便于后期對電子商務網站數據庫的訪問,電子商務網站建設時一般設置兩種登錄數據庫的方式:
⑴Windows身份驗證模式;
⑵數據庫直接訪問,即通過電子商務網站數據庫對網站內容進行瀏覽。但第二種方式在使用時存在安全風險。多數用戶在登錄時習慣選擇系統默認用戶名,而后為了方便進入網站數據庫又選擇“記住密碼”。這就增大了網站后臺管理系統的安全隱患,把網站前臺用戶名和密碼的安全管理也要負責在內。另外,很多用戶完全直接選擇數據庫默認的用戶名和密碼會導致數據庫外泄。眾所周知,“sa”是SQLServer數據庫的系統默認賬號,還是一個超級用戶賬號,就常常被受到攻擊[1]。
3.數據庫結構的安全隱患。電子商務網站建設前期,開發者與設計人員制定的數據庫設計方案不夠完善,一般體現在以下三個方面:
⑴默認了固定、有規律的數據庫文件的存放位置。比如Access數據庫文件一般放在Web目錄中,這個規律就會被不法分子利用來查找并下載數據庫文件,導致網站的數據被竊取。
⑵數據表和數據字段的非自定義命名。有的數據庫表和數據字段名直接使用關鍵詞Admi、User等命名,不利于數據的安全。
⑶數據表無法防止被重命名。由于開發人員沒有制定對策對數據表重命名進行前后綴處理,可能會導致出現安全問題[2]。
4.網站后臺管理系統的安全隱患。后臺管理系統對于前臺網頁的穩定運行起著至關重要的`作用,在網站運營過程中,后臺數據庫系統出現安全事故會導致整個電子商務網站平臺癱瘓,為此一定要確保數據庫后臺管理系統工作時處在安全穩定的環境。但由于目前國內電子商務平臺尚處于發展初期,數據庫后臺管理系統在設計時還很難克服以下問題:
⑴數據庫開發設計人員水平受限,將數據庫后臺管理系統的某些功能設置放在網站首頁,直接暴露了數據庫后臺管理系統的地址。這是因為技術人員通常會采用web來對數據庫進行訪問、管理及維護,從而保證網址首頁能夠正常穩定地運行。
⑵整個數據庫后臺系統有且只有首頁需要對管理員的權限進行驗證,后續所有的管理界面均不再需要驗證指令。因此攻擊者只需直接輸入URL地址,就可以繞過驗證進入到后臺管理之中直接對數據庫進行訪問管理,嚴重危及數據庫的安全[3]。
5.服務器地址設計的安全隱患在電子商務網站建設初期要設計服務器地址,但部分設計人員對服務器設計工作不夠重視。
⑴數據庫用戶與用戶名的連接問題容易出現文件內容泄露等現象;
⑵電子商務網站開發設計部門工作不夠嚴謹,像諸如源代碼的撰寫工作等,如果設計不夠嚴謹將會導致電子商務網站癱瘓[4]。
三、電子商務網站建設中數據庫的安全對策
1.完善配套的軟硬件設施。在電子商務網站建設中,一方面要及時更新換代硬件設施,另一方面要完善軟件設施。一般常從以下幾方面完善軟件設施:
⑴及時對操作系統打補丁,減少違規操作;
⑵采用數據加密技術、防火墻技術、殺毒軟件及時等多種技術進行安全防范;
⑶在電子商務網站前后臺均對數據庫進行加密;
⑷采用復雜口令或生物特征等密碼驗證的方式進行登錄驗證,并對其用戶名和密碼進行無痕登錄安全保護;
⑸完善和更新數據庫系統軟件;
⑹設置虛擬接入端口,并進行動態變換。
2.自定義特殊賬號管理數據庫系統。電子商務網站建設期間,數據庫安全控制部門務必要重視特殊性賬號管理工作,提升特殊性賬號的安全性。例如:前面提到的“sa”賬號就是一個不可被刪除、無法被修改的特殊賬號。并且數據庫管理人員后期為了數據庫系統的需要,也會建立與“sa”同樣功能的賬號,但“sa”這類賬號本身安全性能低,這就需要技術人員特別重視、特殊管理,做到既要保證提升工作效率,又要避免出現數據庫軟件泄露的安全事故。
3.設計科學規范的數據庫結構。建議從以下幾個方面設計數據庫結構:
⑴更改默認下的數據庫文件存儲位置。如SQLSERVER系統,DATA文件夾是默認路徑下的文件夾,開發人員可更改存放路徑和文件夾,而后修改與數據庫連接的相關文件信息。
⑵使用ODBC數據源。ODBC的優點是用它生成的應用程序與數據庫或數據庫引擎無關,以統一的方式處理所有的數據庫,隔離了數據庫的實現細節。數據庫設計人員在具備管理和維護IIS的權限下,配置新的ODBC數據源,合理放置好更改后的數據庫文件的存儲位置。
⑶采用非常規命名方法:j更改數據庫文件名。可為數據庫主文件取復雜類姓名,并把它存放在較深層的路徑下。如網上服飾店的主文件名,不要起諸如“myclothing.mdf”、“fashion.mdf”或“dress.mdf”之類的名字,再把它放在如“/mcl/ed359/rck/fo136/bct”之類的較深層的路徑下;k數據庫表和字段的命名。可采用字母和數字組合命名的方式為數據庫表加上前后綴。
4.加強網站后臺管理系統的安全性。可從以下幾方面著手:
⑴不要在安全性較低的網頁上放置數據庫后臺管理系統的鏈接,采用非常規命名法對首頁文件命名;
⑵使用復雜的用戶名和口令。把后臺管理數據的用戶名和口令封裝在服務器中,權限放置最低;
⑶設置Session變量自動分配不同頁面中用戶權限的SessionID;
⑷即在主頁面有身份驗證,其他頁面也要有身份驗證。先判斷是否從已驗證頁面跳轉過來,否則不能進入當前頁面[5]。
5.建立數據庫備份和恢復機制。數據庫資源是電子商務網站運行的“血液”,建立加強數據庫備份和恢復機制是提升電子商務網站數據庫安全性能的重中之重。一旦網站數據庫資源遭到安全問題,可以第一時間利用備份資源找到原始數據。為此就要求對電子商務網站的數據庫進行定期備份。數據備份與恢復機制是對數據庫管理機制的有效補充和完善。以SQLSERVER數據庫為例,數據備份和恢復常采用備份數據庫中.mdf和.ldf文件或者附加數據庫中.mdf和.ldf文件的方式。此外,務必要對數據庫賬戶進行嚴格的加密處理。
四、結論
總之,建設電子商務平臺的人員可從電子商務網站數據庫的軟硬件設施、數據庫結構、數據庫后臺管理、數據庫備份等幾方面著手,再結合企業實際綜合使用這些對策,一定可以為使用電子商務平臺的相關者消除一些不必要的安全隱患,從而使電子商務向更高、更健康的方向發展。
參考文獻
[1]王德山,王科超.電子商務網站建設中的數據庫安全問題與防范對策淺析[J].網絡安全技術與應用,20xx(1):49.
[2]王蕾.電子商務網站中的數據庫安全問題研究[J].通訊世界,20xx(13):30-31.
[3]陳芳.電子商務背景下網站開發中數據庫安全問題的探討[J].電腦迷,20xx(8):37-38.
[4]陳文杰.電子商務網站開發過程中數據庫安全問題探究[J].電腦知識與技術,20xx(6):269-270.
[5]韋立蓉.電子商務網站建設設計中的信息安全方案機制[J].電腦知識與技術.20xx(28):287-288.
電子商務安全論文13
摘要:在當今經濟生活狀態下,電子商務隨著信息技術的飛速發展已經成為其中不可或缺的組成元素。但從當前互聯網環境來看,存在著許多潛在的安全威脅。作為極具價值的敏感信息,電子商務信息的安全保護迫在眉睫。研究電子商務信息安全保護技術,對電子商務信息安全具有重要保障意義。
關鍵詞:信息安全;電子商務;問題;保護技術
隨著互聯網時代的來臨,電子商務依托網絡技術、通訊技術快速發展起來。所謂電子商務,正是將商務活動與電子信息技術結合起來的商務模式,相對傳統商務模式來說,電子商務的整個商務過程基本都處于電子化和網絡化。電子商務對傳統商務模式的改變并非僅僅體現在模式的變革上,同時給經濟產業結構升級帶來了巨大變革。因電子商務效率較高、成本較低,能夠提供更多的商機給中小型公司而迅速普及。但基于互聯網本身開放性、共享性及無縫連通性等特點,存在著諸多的安全風險,而這些風險又會在一定程度上威脅著電子商務信息安全。電子商務信息安全不僅涉及其系統安全,同時涉及其應用與數據庫安全,為避免潛在安全問題帶來的損失與破壞,電子商務領域及互聯網安全技術領域一直在致力于電子商務信息安全保護技術的研究。而在分析研究當前電子商務信息安全保護技術前,我們首先應對電子商務信息安全隱患有一定了解。
1、當前電子商務信息安全存在的隱患
電子商務的發展,給我國商務發展注入了新的活力。但因電子商務全程通過網絡完成,且無紙化存檔等,所以極易受到網絡安全的影響。電子商務信息安全通常包括兩項內容:其一為計算機網絡安全,其二為商務交易安全。這兩項安全環節對電子商務信息安全來說具有非常重要的作用,前者是電子商務安全的基礎,后者是電子商務安全的基本保障,計算機網絡安全與商務交易安全兩者具有密切聯系。
電子商務信息安全隱患,也主要存在于計算機網絡安全與商貿交易安全環節中。電子商務信息中最為常見的安全問題,是對電子商務信息的竊取與篡改。因電子商務進程中調制解調器之間傳送的明文信息并未采用加密措施,入侵者即可利用這一漏洞將這些信息截取下來并對其進行分析,通過對電子商務信息規律與格式的尋找,從而掌握電子商務過程中傳輸的信息內容。入侵者在對信息的規律和格式掌握后,即可將兩個同類型的解調器增添在之前的網絡調制解調器之間。通過這措施,原網絡調制解調器中的信息數據即可在入侵者的操控下傳往另外一端的解調器上。在電子商務信息犯罪中,篡改信息是十分常見的犯罪,任意一個路由器或者網關上都可以被應用。
在對信息進行竊取的過程中,入侵者對電子商務信息數據進行掌握后,便可對已經通過的數據信息實施隨意更改,對該網上的機要信息、文件全面掌握,還可潛入對方網絡內部,對合法的網絡用戶冒名頂替,對假冒電子商務信息進行傳輸或接受,造成更為嚴重的后果。其實,這些危及電子商務信息安全的所有行為歸結來說都屬于數據攻擊,攻擊者通過截獲電子商務基本信息、通過偽造或者強制中斷電子商務信息的傳輸,對電子商務信息進行錯誤的修改等,都給電子商務信息安全帶來了極大隱患。基于電子商務信息安全所存在的隱患,當前電子商務對信息安全保護服務具有較為迫切的需求。
電子商務要求電子商務信息具有保密性,即保證企業一些文件或商業信息的機密性,確保其不會被非法者截獲或破解,以使非法者即便截獲信心也無法讀懂其含義,從而為電子商務企業用戶隱私權提供極大的保護。此外,數據的完整性與數據的不可否認性也是電子商務信息安全保護所需要的。在傳輸數據的過程中,應保證數據傳輸中的真實性,確保其不會在中途被篡改,與原用戶所發送的信息保持一致性。數據傳輸過程在傳輸與接收雙方中還需要保證信息的透明與不可否認性,避免電子商務交易過程中的各種糾紛問題。此外,電子商務信息安全保護還要求確定交易者的正確性,即確定對方不是騙取信息的第三方,以對信息的丟失與泄露有效防止。
2、電子商務信息安全保護技術應用研究
為滿足電子商務信息在安全保護方面的要求,需選擇合適的電子商務信息安全保護技術。當前電子商務信息安全保護領域中被應用較多的技術主要為加密技術、認證技術及防火墻技術和SSL、SET等。
2.1電子商務信息安全保護中的加密技術
加密技術主要是對數據的加密,通過將敏感的明文數據通過確定的密碼變換為較難識別的密文數據來保護電子商務信息安全的技術。通過對密匙的不同使用,可通過同一加密算法對同一明文進行加密,使其成為不同的密文,當需要打開密文時,即可利用密匙實施還原,讓密文以明文數據的形式成現在閱讀者面前,這一過程即解密。對稱密鑰加密和非對稱密鑰加密,是密匙加密技術中最為典型的兩類。對稱密鑰技術是指控制過程中使用相同的密匙在加密與解密過程中,對密匙的保密是該種技術保密度的主要取決因素。雙方在發送信息時,必須對彼此的密匙進行交換,DES,3DES等是其常用的分組密碼算法。對稱密匙系統不僅具有較快的加密解密速度,且在數字運算量上比較小,保密度高。不過對稱密匙在管理方面比較困難,需要保存較多的密匙,容易在傳遞的過程中泄露密匙,對數據的安全產生直接影響。非對稱密鑰技術是將不同的密匙應用于加密和解密控制中,其中加密密匙具有公開性。在計算上,公開的`加密密鑰或密文與明文的對照對解密密匙進行推算是不可能的,利用這一點非對稱密匙技術即可實現對電子商務信息安全的保護。在這種加密技術應用中,每個用戶都由一個公開密匙和一個私人密匙,兩個密匙不能從一個推出另一個。非對稱密匙技術分配簡單,便于管理,且可實現數字簽名和身份認證,但在處理速度上相對對稱密匙技術較慢。
2.2電子商務信息安全保護中的認證技術
電子商務中的安全交易僅僅依靠基本的加密技術,雖然可得到一定程度的保障,但這種保障卻并非完全的。因此,信息鑒別和身份認證技術也是電子商務信息安全保護過程中不可或缺的。認證技術所涉及的內容較廣,除數字摘要、數字簽名外,數字信封、數字證書等都包含在內。認證技術在電子商務信息安全中應用,主要是為了鑒別交易者的真實身份,避免發生電子商務信息被篡改、偽造、刪除等潛在風險。數字摘要技術主要是在單向哈希函數的幫助下促進電子商務信息文件的轉換運算,然后對某一定固定長度的摘要碼進行獲取,并把其加入文件中通過信息傳輸給接收者,接受者需要通過雙方約定好的函數進行換算,確保結果與發送來的摘要碼相同即可認為文件是完整未被篡改的。數字簽名即是用發送者的私鑰對文件摘要進行加密,附在原文中共同傳輸給接受者,被加密的摘要只有用發送者的公鑰才能解開,類似于其親筆簽名,對信息完整性、真實性具有一定保障作用。數字信封指發送者加密信息采用對稱密匙,用接收者的公鑰來對其進行加密后,接收者會受到“信封”與文件,需要通過自己的私鑰將“信封”打開,在這一過程中其可得到對稱密匙打開文件,保證了文件的私密性。數字證書是PKI執行機構CA所頒發的用戶數字身份證,可為網上交易的不可否認性提供保障,同時為信息的完整與安全性及電子簽名的可靠性提供保障。
2.3電子商務信息安全保護中的防火墻技術
在企業網絡安全問題的解決方案中,防火墻技術師比較傳統的技術,通過限制公共數據和服務進入防火墻內,來保護防火墻內電子商務信息的安全。防火墻技術主要包括包過濾型和應用代理型。在防火墻技術發展的整個過程中,都貫穿著包過濾方式,當前這種電子商務信息安全保護技術已經開發出靜態與動態兩種不同版本。靜態版本與路由器技術同一時期產生,可對每個包是否符合已定義好的規則進行審查;動態版本通過對動態設置包過濾規則的采用,可在過濾規則中中對過濾條目自動增加或更新。應用代理型主要包括第一代應用網關型防火墻與第二代自適應代理型防火墻。前者可隱藏原本內部發出的數據,具有公認的安全性;后者可對網絡中的所有數據通信進行保護篩選,最突出的優點為安全性。防火墻這種網絡安全技術,除了比其他安全保護技術簡單實用外,還具有相對較高的透明度,在不改變原有網絡應用系統的前提下,也可以實現相應的安全保護目標。不過,與眾多客戶進行通信對商業活動進行展開,是電子商務企業業務的突出要求,防火墻技術對電子商務級別的信息安全防護需求可能無法獨立承擔,比較適合作為一種基礎的信息安全保障手段。
2.4電子商務信息安全保護中的SSL、SET
電子商務信息安全保護技術中,網絡通信協議保護技術也是比較常應用的一種技術。該種技術主要包括兩種,即SSL(安全套接層協議)和SET(安全電子交易公告),這兩種協議已經成為電子商務信息中網絡安全標準。SSL針對的是計算機之間的整個對話過程,通過整體加密協議來保證電子商務信息的安全。該種協議所提供的安全保護服務主要包括三種,第一種為對數據進行保密,第二種為對客戶端和服務器的合法性進行保證,第三種為對數據的完整性進行維護。在采用的方法方面,SSL安全協議通常會選擇哈希函數和機密共享,通過這些方法在客戶端與服務器之間對安全通道進行建立,來保證電子商務信息達到目的地的完整準確性。SET是在互聯網環境下立足信用卡這一基礎而展開的一種電子支付系統協議,其保障對象主要是支付信息的安全。在數字簽名的作用下,SET協議對電子商務信息的完整性可最大限度地保障,并且可對消息源給予認證。SET協議對雙重簽名技術加以采用,可為顧客隱私提供更加嚴密的保護以防止發生用戶信息被侵犯的情況。在雙重簽名技術的保障下,對于訂購信息與支付信息的一致性,商家和銀行需共同進行驗證,防止信息被修改。且SET兼容性較強,在不同的硬件和操作系統平臺上均可運行。面對互聯網中無處不在的信息安全隱患,電子商務相關單位或企業在展開電子商務活動的過程中,應對信息安全隱患全面了解,加強重視,并對何時的電子商務信息安全保護技術加以選擇應用,對本單位或企業的電子商務信息設法保護。
參考文獻
[1]江文.淺談電子商務的信息安全及技術研究現狀與趨勢[J].經濟與社會發展,20xx,(07):30-32.
[2]張鑫.網絡背景下計算機電子商務的信息安全分析[J].中國證券期貨,20xx,(05):108-109.
[3]李穎鵬.論信息安全技術在電子商務中的應用——安全問題是電子商務的核心問題[J].科技資訊,20xx,(10):45-46.
[4]張波.淺談電子商務網絡信息安全關鍵技術[J].科技資訊,20xx,(13):91-92.
[5]李艷云.計算機安全技術在電子商務中的應用探討[J].職業,20xx,(02):77-78.
[6]趙少華.電子商務網站信息安全問題及技術對策[J].中國證券期貨,20xx,(04):59-60.
[7]徐桂.移動互聯網絡安全認證及安全應用中關鍵技術研究[J].網絡安全技術與應用,20xx,(01):82-84.
[8]劉美香.信息安全技術在電子商務中的應用[J].中國西部科技,20xx,(11):20-21.
電子商務安全論文14
摘要:新時期下,信息技術的快速發展促進了電子商務的繁榮,計算機電子商務涉及的領域非常廣泛,包含著豐富的信息。電子商務不僅包括了商品交易的細節,也包括了售后的服務。本文主要分析了計算機商務中存在的安全問題,并且針對這些問題,提出相應的解決方案,以供參考。
關鍵詞:新時期;計算機電子商務;安全問題;對策
計算機電子商務活動涉及的范圍很多,包含著豐富的信息。給人們的生活帶來了極大的便利,也加速了我國社會經濟的發展,刺激了消費需求。如果電子商務的安全性不能得到保證,信息泄露,那么就會對用戶和企業造成巨大的經濟損失。由此看來,電子商務的安全性在電子網絡交易中非常重要,只有采取有效的措施,維護電子商務信息和交易過程中的安全,才能促進電子商務持續健康的發展。
1計算機電子商務中存在的安全問題
計算機電子商務是對外的市場活動,必將涉及到社會的各個方面,電子商務的信息安全性關系著廣大用戶的利益,電子商務用戶應該重視信息安全,但是,目前我國的電子商務中主要存在以下幾個問題:
1.1信息存儲中的問題:由于電子商務的運行環境是開發商開發的,在運行的過程中會受到外部環境的影響,存在著很多的安全隱患。首先,在電子商務內部存在著很多不穩定因素,企業的內部客戶沒有經過允許就對信息進行修改和散布,影響了信息存儲的安全,泄露了客戶的隱私。其次,在外部環境中也存在著不安全因素,因為隨著信息技術的快速發展,外部技術人員,比如駭客和間諜就會通過病毒等其他非法的手段,入侵企業和政府的官方網絡,偷取用戶的信息,給企業造成巨大的經濟損失。
1.2信息傳輸中的問題:電子商務在信息傳輸中也存在著安全隱患,用戶的信息在傳輸的過程中會被人竊取、篡改和刪除。破壞已經做過的交易。如果網絡硬盤受到損害,軟件程序出現故障,那么就會中斷信息傳輸,電子商務中的信息也會流失和泄露。
1.3交易過程中的信息安全問題:和傳統的交易服務不同,電子商務是在計算機網絡的基礎上進行交易的,突破了實體交易的方式,改變了交易的時間和空間。在電子商務中,賣家和買家都可以借助網絡完成交易。然而網絡具有一定的虛擬性。這種匿名的交易存在很大的安全隱患。對于賣方來說,可能會出現電子商務的信息遭到破壞的`情況,信息間諜會惡意破壞賣家的網絡,造成系統的癱瘓,商業間諜還會采用高科技手段竊取用戶的商業機密。對于買方而言,在交易中也存在安全問題,比如現在許多網友在網上購物時,出現了很多下了訂單但是貨沒有送到的現象,這給雙方都造成了巨大的經濟損失。
2新時期維護計算機電子商務安全的對策和措施
2.1提高防病毒技術:病毒對計算機的影響是最嚴重的,也是最不容易被察覺的。只有加強計算機病毒特征的研究工作,獲取對計算機系統的控制權,才能對系統中的病毒進行及時檢測。當遇到類似的情況時,還可以及時采取防范措施對計算機病毒進行處理。組織病毒侵入到計算機的內部系統,破壞其內部構造。同時,還要研發出新的防止病毒技術,消滅現在新的計算機病毒,并且對源文件進行恢復。
2.2提高數據加密技術:數據加密技術的優勢是可以對數據、口令、信息進行保護,保證信息的完整性,使用這種對稱加密技術和非對稱加密技術,可以對電子商務信息進行常規保護。但是,為了提高加密的等級,增加密碼破解的難度,還可以將上面的兩種加密技術進行結合。在現階段的電子商務中,經常使用的加密技術有國際數據加密算法、數據加密標準、三重DES技術。
2.3提高防火墻技術:防火墻技術的作用就是針對網絡之間的控制系統,起到加強和防護的作用。防火墻既可以在單個的狀態下存在,又可以群體的狀態存在。利用防火墻技術,可以對使用的流量進行監控,只有經過檢測的流量才能得到用戶的應用,可以有效防止駭客的入侵。可以設置科學的防火墻安全裝置,對電子商務中的網路服務進行限制,只有實名注冊的用戶才有權限訪問,對于缺乏安全的協議,通過防火墻技術,可以及時過濾。
2.4健全電子商務中的法律法規:電子商務的支付過程中涉及到資金和貨物的交易,為了保護消費者的利益,應該健全電子商務中的法律法規,對違法電子商務法規的行為進行嚴厲的處罰,撤銷其營業執照,不承認電子簽名。首先要健全電子支付的交易安全法律制度,只有通過法律法規,才能使電子商務的交易活動具有法律效益。利用法律法規,可以對交易雙方的隱私進行保護,給電子交易中的矛盾糾紛進行有效地處理提供法律規范,有效杜絕詐騙現象的發生。2.5加強政府的監管力度:在新的時期,人們對科學技術的要求更高。隨著電子商務的快速發展,人們開始關注電子商務的安全問題。要提高電子商務的安全性,一方面需要積極開發、應用先進的安全防護技術,另一方面還要加大對電子商務交易活動的監管力度。政府需要投入大量的資金,培養相應的電子商務安全防護人才,加強對電子商務的監管。在電子商務的監管活動中,最本質的問題是解決支付環節的安全問題,保障交易信息的暢通,保護用戶的隱私。我國政府和相關部門應該從宏觀方面,把握電子商務的發展方向,通過規范電子商務市場,制定完善的法律法規,對電子商務的市場活動進行積極、有效的引導。只有加強對電子商務活動的約束和監管,才能使得電子商務的市場活動更加規范。另外,政府相關部門還應該設置相關的監管機構,密切監視電子商務的發展動態,對電子商務的政策、法規仔細研讀,認真遵守。
3結束語
綜上所述,計算機電子商務中存在著很多安全問題,比如信息存儲中的問題,在信息傳輸中的信息泄露問題,交易過程中的信息安全問題。這些問題對電子商務中的信息安全造成了嚴重的威脅。為此,應該從以下幾個方面加強電子商務中的安全管理:加強政府的監管力度,健全電子商務中的法律法規,提高防火墻技術,提高數據加密技術,提高防病毒技術。
參考文獻:
[1]曹國慶,趙雪.新時期計算機電子商務的安全策略分析[J].科技傳播,2014,14:210+201.
[2]鄭海峰.新時期計算機電子商務的安全策略解析[J].電子技術與軟件工程,2013,23:253.
[3]馬偉.新時期計算機電子商務的安全策略分析[J].中國商貿,2013,18:70-71.
[4]秦曉慧.探析新時期計算機電子商務的安全策略[J].數字技術與應用,2014,02:191.
電子商務安全論文15
一、軟件項目業務規劃
1.1項目規劃
項目目標:完成電子商務安全管理軟件系統的研制和開發,并進行市場化運作;對電子商務安全標準進行研究。主要功能:電子商務安全管理軟件系統實現的主要功能有:(1)提供訪問電子商務網站用戶的身份認證、授權;授權用戶在線刪除,添加,更新本人信息;實現了允許一種用戶可以以多種身分訪問電子商務程序的身份驗證和授權的功能。
(2)過濾當前用戶請求中是否含有違反HTTP協議的數據存在,包括參數缺失、參數異常、參數過多;過濾當前用戶請求中是否含有違反當前請求頁面的數據存在。
(3)對稱式和非對稱式的加密解密技術:包括數字簽名算法、消息摘要技術、密鑰交換方法、提供基于數據庫的密鑰管理服務的內容。
(4)收集功能模塊的日志信息,然后生成統一的日志信息,并進行分類存儲(本課題提供數據庫存儲形式),然后提供查詢、刪除等功能(用戶可以對日志信息按日期、模塊名進行查詢、刪除等操作)。
(5)隨時對受保護的電子商務應用程序進行安全監控,若發現惡意代碼的攻擊,即刻發出報警信息。
(6)監控系統和電子商務應用程序的運行情況,若系統或應用程序出現異常,即刻發出報警信息。約束條件:本系統運行時需要JAVA運行環境人員所需工具所需資源:開發本項目需要參加人員熟練掌握JAVA、XML、TOMCAT、MYSQL、JSP、STRUTS等,開發工具使用eclipse、editplus、mysql等。
1.2項目組織與進度
本項目的開發共分四個時間段進行,具體安排如下所示:系統調研和總體方案設計3個月系統體系結構設計8個月系統程序實現8個月α測試β測試3個月
1.3開發軟件所需要的工具軟件運行環境
A.操作系統:Linux系統,Window20xxServe系統B.數據庫:Oracle8i/9i,SQLServer20xx,MysqlC.WEB服務器:Tomcat/Weblogic/Jboss編程語言:JAVA開發平臺:eclipse測試與分析工具:paros
二、軟件開發設計與程序編碼
2.1軟件開發設計
電子商務安全管理軟件系統采用了模塊化的設計理念,遵循J2EE的'開發標準,充分利用了J2EE程序開發過程中所涉及到的開放源代碼的應用軟件。整個軟件系統是在Tomcat5.5.9條件下進行的研發,開發工具選用的是Eclipse3.1,MySQL4.1提供了數據庫支持。此外,還使用了諸如Spring,Hibernate,Struts,Dom4j,Log4j等免費軟件和技術。從軟件設計與軟件開發的角度看,電子商務安全管理軟件系統的設計規劃遵循了如下設計原則:
(1)電子商務安全管理軟件封裝了許多功能強大、易于使用的軟件功能模塊,對于統一安全接口標準研究十分必要。
(2)軟件的開發大量采用組件化、J2EE技術,獨立于操作系統與數據庫系統。軟件內部的模塊大量采用Bean,進行業務邏輯的封裝,可以方便利于網絡層的請求響應調用。
(3)系統采用XML文件格式來響應業務請求,這樣可以實現系統邏輯各層之間良好的通訊和接口。
(4)全面考慮電子商務安全的各種需求,設計統一的標準化的軟件結構,使各種網絡安全技術運行在軟件框架之下,共同保護電子交易安全。
(5)提供開放的API接口,這樣使其他公司的軟件產品可以輕易的集成到這個軟件系統平臺上。
2.2程序編碼
安全代理:安全代理模塊就像一個數據采集器;在電子商務安全控制中心中分析的所有HTTP信息都是通過安全代理模塊采集的。此外,安全代理模塊還負責在分析后將反應結果返回給用戶。開發安全代理模塊所使用技術:ServletFilter。
(1)認證授權模塊。身份驗證和授權認證模塊提供一種基于JAAS體系結構的認證解決方案。身份認證是用戶或計算設備用來驗證身份的過程,即確定一個實體或個人是否就是它所宣稱的實體或個人。授權確定了已認證的用戶是否能夠訪問他們所請求的資源或者執行他們所請求執行的操作。
(2)數據過濾模塊。數據過濾模塊實現兩種分析算法:模式匹配算法和行為建模算法。一種是基于誤用檢測算法的模式匹配,另一種是基于異常檢測算法的行為建模。
(3)協議過濾模塊。根據電子商務網站管理員的人工配置和HTTP協議細節執行協議過濾算法,針對于安全數據中出現的冗余信息、檢測出的缺失信息,以及異常信息分別進行安全分析,并且觸發相應的安全動作。
(4)安全監控模塊根據安全分析的結果與事先定義的安全動作,模塊采用相應的指定動作。此外,這個模塊將向安全代理模塊發送動作指令。如果發現黑的客入侵,就隨時觸發“拒絕”動作,然后發送警告給應用程序的管理員。同時,將惡意的入侵請求存入到數據庫作為入侵分析的日志文件。因此,攻擊者將會收到一個出錯頁面或者請求被禁止的頁面。
(5)應用監控。應用監控模塊主要實現了對于訪問電子商務應用程序、安全代理模塊的應用配置和應用監控功能。實現了應用程序和電子商務安全管理軟件系統的動態配置、實時監控電子商務安全管理軟件系統的響應速度。
(6)加密解密模塊。加密解密技術對于用戶要傳輸的信息進行加密操作,可以有效地保護信息的安全。加密解密模塊的實現方案使用平臺通用開發包JCE(JavaTMCryptographyExtension),它的加密解密算法的強度較高,算法靈活,適應于多種平臺,從而使得用戶的敏感信息可以得到更好的保護。提供完善的加密解密服務接口,提供密鑰管理功能,包括密鑰存儲、檢索和密鑰自動更新的功能,提高密鑰的安全性和保密措施。
(7)日志管理模塊。日志管理模塊的總體實現方案基于開放源代碼項目—Log4j,主要實現了為電子商務安全管理軟件系統的功能模塊生成統一格式的日志信息,對產生的運行日志、安全日志進行統一的日志管理,針對不同來源的日志將其保存到不同的日志文件。
【電子商務安全論文】相關文章:
電子商務安全論文10-15
電子商務安全論文(薦)05-16
電子商務安全論文大全【15篇】11-27
電子商務的論文05-29
電子商務論文06-14
電子商務論文08-30
關于電子商務的論文12-18
電子商務與物流論文11-08
學習電子商務論文11-06