电子商务网站安全方案.doc

电子商务网站安全方案 tags:方案安全电子用户网站交易信息数据可以保证 前提随着信息化的浪潮席卷全球传统的商务模式越来越受到巨大的冲击越来越多的企业和个人消费者在internet开放的网络环境下基于浏览器/服务器应用方式实现消费者地网上购物、商户之间的网上交易和在线电子支付的一种新型的商业运营模式电子商务更由于电子商务本身的开放性、全球性、低成本、高效率等特征使得它不仅仅是一种新的贸易形式它不仅会改变企业本身的生产、经营、管理活动而且将影响到整个社会的经济运行与机构 电子商务将传统的商务流程电子化、数字化一方面以电子流代替了实物流、资金流可以大量减少人力、物力降低了成本；另一方面突破了时间和空间的限制使得交易活动可以在任何时间、任何地点进行从而大大的提高了效率 电子商务在现代社会占据如此重要的地位而internet自身的开放性、广泛性和匿名性给电子商务带来诸多的安全隐患： 身份认证：由于非法用户可以伪造、假冒商户网站和买家身份因此登录到商户网站的用户无法知道他们所登录的网站是否是可信的商户网站商户网站也无法验证登录到网站上的买家是经过认证的合法用户非法用户可以借机进行破坏而整个网上电子商务是在商户（用户）和用户（商户）互不见面的情况下通过internet和网络技术完成的需要确认彼此的身份保证交易全过程的安全进行信息的性：交易各方在平台上发布的信息、交易谈判信息和电子化交易合同等是否是的信息由于internet的匿名性使得一些投机分子可以提交一些虚假的信息达到欺骗的行为；信息的不可抵赖性：对于信息发布、交易谈判、交易合同签署、交易平台的信息提供等关键交易步骤一旦有一方予以否认另一方没有已签名的记录作为仲裁的依据信息的机密性：买家向商户网站上船的财务信息和其他一些机密资料有可能在传递过程中被非法用户截取信息的完整性：敏感、机密信息和数据在用户和网站的传递是可能被非法用户恶意篡改造成用户的重大损失 中小型b2c电子商务网站 特点： 1、商品品种较少或者比较单一 2、交易金额较低 3、交易量不大单个用户购买频率低 4、发生随机性高 主要解决问题： 1、网站身份的验证：保证用户访问的是一个安全的商户网站防止非法用户冒充真的网站骗取钱款 2、交易数据加密：防止泄漏重要财务信息尤其是有些数字商品本身就是数字形式一旦被别人窃听将造成直接损失 3、交易数据验证：防止交易数据在传输过程被人篡改 4、交易数据的不可抵赖性：保证交易的全过程能够被记录并作为审计依据 5、操作的简易性：由于用户偶尔使用一次该类型网站过份复杂和繁琐的安全操作会使用户产生厌烦情绪甚至影响用户购买如何保证即安全又方便是同样重要的问题 解决方案如下图： 说明： 只需要在中小型b2c电子商务网站上安装：全球信ssl专业版（quicksslpremium）即可实现通过安装quicksslpremium可以实现： 1、用户和网站之间的数据采用128/256位加密防止数据传输过程中有人监听 2、网站身份的验证通过geotrust专有的网站签章技术保证该签章是不能被复制和假冒的同时还能自动生成一个实时的日期和时间戳 3、简单易用用户务须安装任何其他的软件和专业知识就可以安全的使用网站服务 4、geotrust是业界第2大的且发展速度最快的证书颁发机构通过国际著名的geotrust品牌可以提升客户对网站的信赖度 5、安装简单单根证书无需级联安装 6、兼容99%以上的浏览器和web服务器 大型电子商务网站、银行、金融网站 特点： 1、商品品种多内容大而全 2、交易金额较高资金流动大 3、交易量大用户操作次数频繁 4、客户群固定用户对安全性要求高 主要解决问题： 1、网站身份的验证：保证用户访问的是一个安全的商户网站防止非法用户冒充真的网站骗取钱款以及用户帐户信息 2、交易数据加密：防止泄漏重要财务信息帐户信息交易数据信息被人窃听、盗用 3、交易数据的不可抵赖性：保证交易的全过程能够被记录并作为审计依据 4、用户身份的验证：能够查证用户的身份联系信息财务信用对网上交易能做数据签名保证交易数据的完整性、性、不可抵赖性 5、交易数据完整性：敏感、机密、重要的数据在传递过程中防止被人篡改解决方案如下图：说明：在网站服务器（集群）端安装全球信ssl企业版（truebusinessid）,同时为客户分配个人证书（mycredential）这样可以实现： 1、用户和网站之间的数据采用128/256位加密防止数据传输过程中有人监听 2、网站身份的验证通过geotrusttruebusinessid专有的网站签章技术保证该签章是不能被复制和假冒的同时还能在签章上显示网站的名称并自动生成一个实时的日期和时间戳而且truebusinessid证书审核了网站的书面资料具有最高的可信度和安全性 3、简单易用用户务须安装任何其他的软件和专业知识就可以安全的使用网站服务用户的个人证书可以通过usbtoken方式使用极为方便 4、通过个人证书能够有效验证用户帐号查证用户的身份信息和个人信用并对交易数据做数字签名保证交易内容不可抵赖 5、geotrust是业界第2大的