电子商务安全管理软件系统开发

1、电子商务安全管理软件系统开发1 可行性研究与软件需求分析1.1 可行性研究本课题研究使用 sun 公司推出的 J2EE 开发构架，分布式的 电子商务安全管理软件系统。系统采用的技术路线为：* 采用完全独立于软硬件平台的 J2EE 技术路线，利用 JAVA， 开发基于 J2EE 平台之上通用的中间件产品支撑企业级应用。*采用Web方式、B/S五层的系统体系结构，确保满足用户 个性化需求。由于所使用的开发语言具有平台无关性的特点， 因此本项目 所开发的系统能够应用于多种操作系统， 不会因为操作系统的改 变而改变，这就保证了本项目在技术上的可行性。此外，本项目 所使用的加密解密技术和授权认证等网络应

2、用技术都是本课题 组成员长期研究的领域， 具有较深厚的理论基础和丰富的实践经 验。可见项目技术风险较小。本项目研究的目标在于大幅度减少企业实施信息化平台带 来的安全风险， 因此具有广阔的市场。 项目提出了电子商务安全 管理软件系统的架构， 对电子商务安全标准进行了研究， 开发基 于开放源代码的自由软件， 开发过程遵循先进的软件工程思想和 项目管理方法，因此具有较低的软件开发、维护、升级成本，在 市场中具有较强的竞争力，市场风险较小。电子商务安全管理市场是一个新兴市场，从 2000 年开始已 经成为一个重要应用领域。据市场研究公司 Synergy Research Group 报告称， 2004

3、年第 1 季度全球网络安全市场销售收入近 10 亿美元，比 2003 年第 4 季度增长了 11%，比 2003年第 1 季度 增长了近 28%。而在 2007 年有望攀升至 47 亿美元，年增长率达 25%。作为亚太网络安全领域的第一大市场， 中国市场规模在 2003 年为 2.02 亿美元，比 2002 年上升了近 30%，而总体市场容量有 望在 5 年之后扩展至 8 亿美元。电子商务的迅猛发展和网络安全 的广阔前景使得电子商务安全管理市场成为网络安全市场中一 个迅速增长点。通过以上分析可知， 本项目提出的开发电子商务安全管理系 统的构想是可行的。1.2 软件需求分析目前电子商务的安全问题

4、如下： 数据的安全管理包括：输 入输出数据的过滤、数据的加密解密、数据的访问控制管理、系 统的安全管理包括：交易完整管理、日志的管理、系统的安全策 略管理和系统安全响应等。 现今电子商务安全开发还集中在对加 密、数字身份认证、电子商务认证等个别的”点”上，没有综合 的安全管理软件产品， 而电子商务的健康发展迫切需要能够解决 多种安全问题的产品。 根据以上分析我们提出电子商务安全管理 软件的功能性框架示意图如图 1 所示。综合考虑系统的安全性及目前较流行的 B/S 模式设计出其技术架构， 电子商务安全管理软件可以分为以下几个部分： 数据 过滤模块，授权认证模块，协议过滤模块，加密解密模块，日志

5、管理模块，安全监控模块，应用监控模块，DAO数据源。2 软件项目业务规划2.1 项目规划 项目目标：完成电子商务安全管理软件系统的研制和开发， 并进行市场化运作；对电子商务安全标准进行研究。主要功能： 电子商务安全管理软件系统实现的主要功能有：（1）提供访问电子商务网站用户的身份认证、授权；授权 用户在线删除，添加，更新本人信息；实现了允许一种用户可以 以多种身分访问电子商务程序的身份验证和授权的功能。（2）过滤当前用户请求中是否含有违反 HTTP协议的数据存 在，包括参数缺失、参数异常、参数过多；过滤当前用户请求中 是否含有违反当前请求页面的数据存在。（ 4）收集功能模块的日志信息，然后生成

6、统一的日志信息， 并进行分类存储 （本课题提供数据库存储形式） ，然后提供查询、 删除等功能（用户可以对日志信息按日期、模块名进行查询、删 除等操作）。（ 5） 随时对受保护的电子商务应用程序进行安全监控，若 发现恶意代码的攻击，即刻发出报警信息。6）监控系统和电子商务应用程序的运行情况，若系统或 应用程序出现异常，即刻发出报警信息。约束条件：本系统运行时需要 JAVA运行环境 人员所需工具所需资源： 开发本项目需要参加人员熟练掌握JAVA XML TOMCAT MYSQ、JSP、STRUT苗，开发工具使用 eclipse 、 editplus 、 mysql 等。2.2 项目组织与进度 本项

7、目的开发共分四个时间段进行，具体安排如下所示： 系统调研和总体方案设计 3 个月 系统体系结构设计 8 个月 系统程序实现 8 个月a测试（3测试3个月2.3 开发软件所需要的工具 软件运行环境A. 操作系统：Linux系统，Window2000 Serve系统B. 数据库： Oracle8i/9i ， SQL Server 2000 ， MysqlC. WEB 服务器：Tomcat/Weic/Jboss编程语言： JAVA 开发平台： eclipse 测试与分析工具： paros3 软件开发设计与程序编码3.1 软件开发设计 电子商务安全管理软件系统采用了模块化的设计理念， 遵循J2EE的开

8、发标准，充分利用了 J2EE程序开发过程中所涉及到的 开放源代码的应用软件。整个软件系统是在 Tomcat 5.5.9 条件 下进行的研发，开发工具选用的是 Eclipse 3.1 ， MySQL4.1 提 供了数据库支持。此外，还使用了诸如 Spring ， Hibernate ， Struts ， Dom4j ，Log4j 等免费软件和技术。从软件设计与软件开发的角度看， 电子商务安全管理软件系 统的设计规划遵循了如下设计原则：（1）电子商务安全管理软件封装了许多功能强大、易于使 用的软件功能模块，对于统一安全接口标准研究十分必要。（2）软件的开发大量采用组件化、 J2EE 技术，独立于操

9、作系统与数据库系统。软件内部的模块大量采用Bea n,进行业务逻辑的封装，可以方便利于网络层的请求响应调用。（3）系统采用XML文件格式来响应业务请求，这样可以实 现系统逻辑各层之间良好的通讯和接口。（ 4）全面考虑电子商务安全的各种需求，设计统一的标准化的软件结构， 使各种网络安全技术运行在软件框架之下， 共 同保护电子交易安全。（ 5）提供开放的 API 接口， 这样使其他公司的软件产品可 以轻易的集成到这个软件系统平台上。3.2 程序编码安全代理： 安全代理模块就像一个数据采集器； 在电子商务 安全控制中心中分析的所有 HTTP信息都是通过安全代理模块采 集的。此外， 安全代理模块还负责

10、在分析后将反应结果返回给用户。开发安全代理模块所使用技术： ServletFilter（1）认证授权模块。身份验证和授权认证模块提供一种基 于 JAAS 体系结构的认证解决方案。身份认证是用户或计算设备 用来验证身份的过程， 即确定一个实体或个人是否就是它所宣称 的实体或个人。 授权确定了已认证的用户是否能够访问他们所请 求的资源或者执行他们所请求执行的操作。（2）数据过滤模块。数据过滤模块实现两种分析算法：模 式匹配算法和行为建模算法。 一种是基于误用检测算法的模式匹 配，另一种是基于异常检测算法的行为建模。（3）协议过滤模块。根据电子商务网站管理员的人工配置 和HTTP协议细节执行协议过滤

11、算法，针对于安全数据中出现的 冗余信息、检测出的缺失信息， 以及异常信息分别进行安全分析， 并且触发相应的安全动作。（4）安全监控模块 根据安全分析的结果与事先定义的安全 动作，模块采用相应的指定动作。此外，这个模块将向安全代理 模块发送动作指令。 如果发现黑客入侵， 就随时触发“拒绝”动 作，然后发送警告给应用程序的管理员。同时，将恶意的入侵请 求存入到数据库作为入侵分析的日志文件。 因此， 攻击者将会收 到一个出错页面或者请求被禁止的页面。（5）应用监控。应用监控模块主要实现了对于访问电子商 务应用程序、 安全代理模块的应用配置和应用监控功能。 实现了 应用程序和电子商务安全管理软件系统的动态配置、 实时监控电子商务安全管理软件系统的响应速度（6）加密解密模块。加密解密技术对于用户要传输的信息 进行加密操作， 可以有效地保护信息的安全。 加密解密模块的实 现方案使用平台通用开发包 JCE （ JavaTM Cryptography Extension ），它的加密解密算法的强度较高，算法灵活，适应 于多种平台， 从而使得用户的敏感信息可以得到更好的保护。 提 供完善