[课程]企业电子商务网站的安全策略

1、企业电子商务网站的安全策略随着互联网的发展普及，电子商务作为一种全新的商务模式应运而生，而正是由于互联网的开放性，使电 子商务的安全问题显得尤为重要。木文分析了电了商务网站的安全问题，重点阐述电子商务中的系统安全、 数拥安全扣交易安全问题。1概述口前，网上电子交易已经随着因特网的普及逐渐被人们所接受和应用，网络购物、网上 缴费等方式极大的方便了人们的牛活，越來越多的人开始利川网络來进行交易。电子商务网 站的有效运作，依靠的是完全开放的互联网，而这个网络当屮的任何电脑之间、网络之间都 是互通的，安全和不安全的数据都可能在传递，各种风险随时对电子商务的安全构成威胁。 电子商务正在规模化和全球化，企

2、业的发展在很人程度上都依赖于它，所以，电子商务网站 的安全问题必须得到有效的解决，才能保证它的正常运转。2电子商务网站的安全策略电子商务依靠的是互联网，具核心和关键问题就是交易的安全性。正是由于网络本身的 开放性给网上交易带來了种种危险，才要更加注重它的安全控制。电子商务网站的安全问题 可以从两个方面进行探讨和分析，一是系统安全，二是数据安全，并且可以利用一些先进的 技术手段加以解决。2. 1系统安全信息安全对于企业來说很重要，而信息安全的前捉是系统安全。系统安全主要包括网络 系统、操作系统和应用系统3个方面。系统安全可以采川的技术手段有网络隔离、访问控制、 身份鉴别、数据加密、监控评估等技术

3、。2. 1. 1网络系统网络系统的安全问题主要是由于网络的开放性造成的，解决问题的关键是把网络从开 放、自由的环境屮分离出來，使具变成可以控制和管理的独立网络，就日前的技术发展來看, 可以采用下列方法解决系统安全问题。1）系统隔离，就是将重要的网络系统与具他系统分离，有物理隔离和逻辑隔离。按照网 络安全等级的不同可以将网络合理划分为多个互不连通的网络，使不同安全级别的网络或设 备不能相互访问，从而达到安全隔离。也町以采用vlan等网络技术对业务网络或办公网络 实行逻辑上的隔离，划分出不同的应用子网；2）访问控制，通过设證有效合理的访问策略，对于不同区域的网络资源实行访问控制, 防止非法川户访问

4、受保护的资源，其主要解决的问题就是网络边界的安全控制和网络内部资 源的访问控制。町以按照一定的原则根据需要对信息的流向进行单向或双向控制。能够设登 访问控制的网络设备有很多，比如交换机、路由器，而最重耍也是最有效的则是防火墙，它 通常被布置在网络的出入口处，对进出网络的数据信息进行有效的检测和过滤，同时按照访 问控制列表和安全政策对信息流进行控制，允许合理有效的数据通过，将不安全和不符合要 求的数据拒之网外；3）身份鉴定，对访问网络的川户进行身份识别，通常可以使川三种方式对访问者进行身 份验证，一是访问者了解的安全信息，比如账号、密码、密钥等；二是访问者提供的物件, 比如访问磁卡、通用ic卡、

5、动态口令卡等；三是访问者自身的特征信息，比如声音、指纹、 视网膜、笔迹等。身份鉴定的冃的就是阻止非法用户访问这些被加密的数据，而加密是为了 防止网络数据被窃听、泄漏、篡改和破坏；4）安全监测，利用网络设备的高级功能和技术, 通过分析来访数据信息，找出未经授权的网络访问和非法行为，包括对网络系统的扫描、跟 踪、预警、阻断、记录等，从而将系统遭受的攻击伤害减少到最低。除了网络设备，还可利 用一些专业的网络扫描监测系统来对付黑客和非法入侵，这些系统能够主动、实时、有效的 识别出非法数据和用八，并且通过网络扫描能够针对网络设备的安全漏洞进行检测和分析, 包括网络服务、防火墙、路山器、邮件服务器、网站服

6、务器等，从而识别那些可以被入侵者 利用并非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告并捉供改进方 案，使网络管理人员能检测和管理好安全风险。2. 1. 2操作系统操作系统，实际上就是电脑管理控制程序，是管理计算机软硕件资源的核心系统，负责 设备的管理、数据的存储、信息的发送和各种系统资源的调度，它是各种应用软件的系统平 台，具有通用性和易用性，操作系统的安全直接影响到应用系统和数据的安全，一般分为应 用安全和系统扫描。1）应用安全，而向应用选择可靠的操作系统，可以杜绝使用来历不明的软件。用户可安 装操作系统保护与恢复软件，并作相丿应的备份；2）系统扫描，基于主机的安全评估系统

7、是对 系统的安全风险级别进行划分，并提供完整的安全漏洞检杳列表，通过不同版木的操作系统 进行扫描分析，对扫描漏洞自动修补形成报告，保护应用程序、数据免受盗用、破坏。21. 3 应用系统1）文件的安全存储：利用各种加密手段，结合相应的身份鉴定和密码保护机制，使存储 在本地或者网络上的重耍文件处于安全存储的状态，即便他人通过非法手段获取到了文件或 存储设备，也难以取得文件里的內容；2）文件的安全传递：对通过网络发送的文件进行安全处理，比如加密、签名、完整性鉴 别等，使被传送的文件只有指定的接收者通过相应的安全鉴别机制才能解密并阅读，避免了 文件在传送或存储的过程当屮被截获、篡改和破坏等；3）业务服

8、务安全：主要血向业务管理 和信息服务的安全需求。对于各种通用信息服务，如web信息服务、frp服务、电了邮件服 务等服务，采用相应安全软件系统进行保护，如安全邮件系统、web页面保护等；对于各种 业务信息可以配合专业管理信息系统软件采取对信息内容的安全保护，防止外部非法侵入和 内部信息泄漏。2. 1. 2 数据安全信息数据的安金主耍包含了 www. huisheliren. com数据库的安全和数据本身的安全，这 两个方面的安全问题都必须得有相应的安全措施，才能确保数据安全。1）数据库安全，冃前很多企业使用的数据库都是sql server或者oracle大型数据库， 这些数据库系统本身具备一定

9、的安全性，安全级别町以满足日常需求。但是由于数据库十分 重要，应在此基础上再采取一些安全措施，增加相应安全纟fl件，改良密码策略，对数据库实 施分级管理并提供可靠的故障恢复机制，实现数据库的访问、存取和加密控制。具体方法有 安全数据库系统、数据库保密系统、数据库扫描系统等；2）数据安全，即存储在数据库中的数据木身的安全，相应的保护措施有安装反病毒软件 和防火墙软件，建立一套可靠的数据备份与恢复系统，定期对数据进行备份，定期修改数据 库密码，必要时可以对重要数据采取多层加密保护。2. 3交易安全网上交易安全是用户最关心的问题，只冇提供稳定的安全保证，在线交易用户才会具冇 安全感，才会觉得交易平台

10、可靠，电了商务网站才会具冇广阔的发展空间。1）交易安全标准，目询在电子商务中主要的安全标准有两种：应用层的set（安全电子交易）和会话层ssl（安全套层）协议。前者由信用卡机构visa 及mastercard捉出的针刈电子钱包、商场、认证中心的安全标准，set的关键特征是信息 的机密性、数据的可靠性、卡用八账号的鉴别、商人的鉴别，主要用于银行等金融机构。后 者iii netscape公司捉出的针对数据的机密性、完整性、开放性和身份确认的安全协议，它 可以保证数据不被窃取和破坏，此协议已经成为web应用安全标准；2）交易安全基础体系：交易安全的基础是现代密码学技术，主要取决去于加密方法和加 密强度。加密分为单密钥的对称加密体系和双密钥的非对称加密体系。两者各冇所氏，对称 密钥具冇加密效率高，但存在密钥分发困难、管理不便的弱点。非对称密钥加密速度慢，但 便于密钥分发管理。通常把两者结合使用，以达到高效安全的冃的；3）交易安全的实现，交易安全的实现主要是指交易双方身份确认、交易指令及数据加密 传输、数据的完整性、防止双方对交易结果的否认等等。具体实现的途径是交易各方貝有相 关身份证切，同时在ssl协议体系下完成交易过程中电子证书验证、数字签名、指令数据的 加密传输、交易结果确认市计等。3结论企业电了商务网站的安全，需要一个完整的