電子商務(wù)安全論文5000字(2)
電子商務(wù)安全論文5000字
電子商務(wù)安全論文5000字篇2
淺析電子商務(wù)安全決策原則科技
電子商務(wù)安全策略是對企業(yè)的核心資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù),不斷的更新企業(yè)系統(tǒng)的安全防護(hù),找出企業(yè)系統(tǒng)的潛在威脅和漏洞,識別,控制,消除存在安全風(fēng)險的活動。電子商務(wù)安全是相對的,不是絕對的,不能認(rèn)為存在永遠(yuǎn)不被攻破的系統(tǒng),當(dāng)然無論是何種模式的電子商務(wù)網(wǎng)站都要考慮到為了系統(tǒng)安全所要付出的代價和消耗的成本。
作為一個安全系統(tǒng)的使用者,必須應(yīng)該綜合考慮各方因素合理使用電子商務(wù)安全策略技術(shù),作為系統(tǒng)的研發(fā)設(shè)計者,也必須在設(shè)計的同時考慮到成本與代價的因素。在這個網(wǎng)絡(luò)攻防此消彼長的時代,更應(yīng)該根據(jù)安全問題的不斷出現(xiàn)來檢查,評估和調(diào)整相應(yīng)的安全策略,采用適合當(dāng)前的技術(shù)手段,來達(dá)到提升整體安全的目的。電子商務(wù)所帶來的巨大商機(jī)背后同樣隱藏著日益嚴(yán)重的電子商務(wù)安全問題,不僅為企業(yè)機(jī)構(gòu)帶來了巨大的經(jīng)濟(jì)損失,更使社會經(jīng)濟(jì)的安全受到威脅。
1電子商務(wù)面臨的安全威脅
在電子商務(wù)運(yùn)作的大環(huán)境中,時時刻刻面臨著安全威脅,這不僅僅設(shè)計技術(shù)問題,更重要的是管理上的漏洞,而且與人們的行為模式有著密不可分的聯(lián)系。電子商務(wù)面臨的安全威脅可以分為以下幾類:
1.1信息內(nèi)容被截取竊取
這一類的威脅發(fā)生主要由于信息傳遞過程中加密措施或安全級別不夠,或者通過對互聯(lián)網(wǎng),電話網(wǎng)中信息流量和流向等參數(shù)的分析來竊取有用信息。
1.2中途篡改信息
主要破壞信息的完整性,通過更改、刪除、插入等手段對網(wǎng)絡(luò)傳輸?shù)男畔⑦M(jìn)行中途篡改,并將篡改后的虛假信息發(fā)往接受端。
1.3身份假冒
建立與銷售者服務(wù)器名稱相似的假冒服務(wù)器、冒充銷售者、建立虛假訂單進(jìn)行交易。
1.4交易抵賴
比如商家對賣出的商品因價格原因不承認(rèn)原有交易,購買者因簽訂了訂單卻事后否認(rèn)。
1.5同行業(yè)者惡意競爭
同行業(yè)者利用購買者名義進(jìn)行商品交易,暗中了解買賣流程、庫存狀況、物流狀況。
1.6電子商務(wù)系統(tǒng)安全性被破壞
不法分子利用非法手段進(jìn)入系統(tǒng),改變用戶信息、銷毀訂單信息、生成虛假信息等。
2電子商務(wù)安全策略原則
電子商務(wù)安全策略是在現(xiàn)有情況,實(shí)現(xiàn)投入的成本與效率之間的平衡,減少電子商務(wù)安全所面臨的威脅。據(jù)電子商務(wù)網(wǎng)絡(luò)環(huán)境的不同,采用不同的安全技術(shù)來制定安全策略。在制定安全策略時應(yīng)遵循以下總體原則:
2.1共存原則
是指影響網(wǎng)絡(luò)安全的問題是與整個網(wǎng)絡(luò)的運(yùn)作生命周期同時存在,所以在設(shè)計安全體系結(jié)構(gòu)時應(yīng)考慮與網(wǎng)絡(luò)安全需求一致。如果不在網(wǎng)站設(shè)計開始階段考慮安全對策,等網(wǎng)站建設(shè)好后在修改會耗費(fèi)更大的人力物力。
2.2靈活性原則
安全策略要能隨著網(wǎng)絡(luò)性能及安全威脅的變化而變化,要及時的適應(yīng)系統(tǒng)和修改。
2.3風(fēng)險與代價相互平衡的分析原則
任何一個網(wǎng)絡(luò),很難達(dá)到絕對沒有安全威脅。對一個網(wǎng)絡(luò)要進(jìn)行實(shí)際分析,并且對網(wǎng)絡(luò)面臨的威脅以及可能遇到的風(fēng)險要進(jìn)行定量與定性的綜合分析,制定規(guī)范的措施,并確定本系統(tǒng)的安全范疇,使花費(fèi)在網(wǎng)絡(luò)安全的成本與在安全保護(hù)下的信息的價值平衡。
2.4易使用性原則
安全策略的實(shí)施由人工完成,如果實(shí)施過程過于復(fù)雜,對于人的要求過高,對本身的安全性也是一種降低。
2.5綜合性原則
一個好的安全策略在設(shè)計時往往采用是多種方法綜合應(yīng)用的結(jié)果,以系統(tǒng)工程的觀點(diǎn),方法分析網(wǎng)絡(luò)安全問題,才可能獲得有效可行的措施。
2.6多層保護(hù)原則
任何單一的安全保護(hù)措施都不是能獨(dú)當(dāng)一面,絕對安全的,應(yīng)該建立一個多層的互補(bǔ)系統(tǒng),那么當(dāng)一層被攻破時,其它保護(hù)層仍然可以安全的保護(hù)信息。
3電子商務(wù)安全策略主要技術(shù)
3.1防火墻技術(shù)
防火墻技術(shù)是一種保護(hù)本地網(wǎng)絡(luò),并對外部網(wǎng)絡(luò)攻擊進(jìn)行抵制的重要網(wǎng)絡(luò)安全技術(shù)之一,是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的基礎(chǔ)設(shè)施??傮w可以分為:數(shù)據(jù)包過濾型防火墻、應(yīng)用級網(wǎng)關(guān)型防火墻、代理服務(wù)型防火墻等幾類。防火墻具有5種基本功能:
(1)抵擋外部攻擊;
(2)防止信息泄露;
(3)控制管理網(wǎng)絡(luò)存取和訪問;
(4)虛擬專用網(wǎng)功能;
(5)自身抗攻擊能力。
防火墻的安全策略有兩種情形:
(1)違背允許的訪問服務(wù)都是被禁止的;
(2)未被禁止的訪問服務(wù)都是被允許的。
多數(shù)防火墻是在兩者之間采取折中策略,在安全的情況之下提高訪問效率。
3.2加密技術(shù)
加密技術(shù)是對傳輸?shù)男畔⒁阅撤N方法進(jìn)行偽裝并隱藏其內(nèi)容,而達(dá)到不被第三方所獲取其真實(shí)內(nèi)容的一種方法。在電子商務(wù)過程中,采用加密技術(shù)將信息隱藏起來,再將隱藏的信息傳輸出去,這樣即使信息在傳輸?shù)倪^程中被竊取,非法截獲者也無法了解信息內(nèi)容,進(jìn)而保證了信息在交換過程中安全性、真實(shí)性、能夠有效的為安全策略提供幫助。
3.3數(shù)字簽名技術(shù)
是指在對文件進(jìn)行加密的基礎(chǔ)上,為了防止有人對傳輸過程中的文件進(jìn)行更改破壞以及確定發(fā)信人的身份所采取的手段。在電子商務(wù)安全中占有特別重要的地位,能夠解決貿(mào)易過程中的身份認(rèn)證、內(nèi)容完整性、不可抵賴等問題。數(shù)字簽名過程:發(fā)送方首先將原文通過Hash算法生成摘要,并用發(fā)送者的私鑰進(jìn)行加密生成數(shù)字簽名發(fā)送給接受方,接收方用發(fā)送者的公鑰進(jìn)行解密,得到發(fā)送方的報文摘要,最后接收方將收到的原文用Hash算法生成其摘要,與發(fā)送方的摘要進(jìn)行比對。
3.4數(shù)字證書技術(shù)
數(shù)字證書是網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù),由第三方公正機(jī)構(gòu)頒發(fā),以數(shù)字證書為依據(jù)的信息加密技術(shù)可以確保網(wǎng)上傳輸信息的的保密性、完整性和交易的真實(shí)性、不可否認(rèn)性,為電子商務(wù)的安全提供保障。標(biāo)準(zhǔn)的數(shù)字證書包含:版本號,簽名算法,序列號,頒發(fā)者姓名,有效日期,主體公鑰信息,頒發(fā)者唯一標(biāo)識符,主體唯一標(biāo)示符等內(nèi)容。一個合理的安全策略離不開數(shù)字證書的支持。
3.5安全協(xié)議技術(shù)
安全協(xié)議能夠?yàn)榻灰走^程中的信息傳輸提供強(qiáng)而有力的保障。目前通用的為電子商務(wù)安全策略提供的協(xié)議主要有電子商務(wù)支付安全協(xié)議、通信安全協(xié)議、郵件安全協(xié)議三類。用于電子商務(wù)的主要安全協(xié)議包括:通訊安全的SSL協(xié)議(SecureSocketLayer),信用卡安全的SET協(xié)議(SecureElectronicTransaction),商業(yè)貿(mào)易安全的超文本傳輸協(xié)議(S-HTTP),InternetEDI電子數(shù)據(jù)交換協(xié)議以及電子郵件安全協(xié)議S/MIME和PEM等。
4結(jié)論
在電子商務(wù)飛速發(fā)展的過程中,電子商務(wù)安全所占的比重越發(fā)重要。研究電子商務(wù)安全策略,意在于減少由電子商務(wù)安全威脅帶給人們電子商務(wù)交易上的疑慮,以推動電子商務(wù)前進(jìn)的步伐。解除這種疑慮的方法,依賴著安全策略原則的制定和主要技術(shù)的不斷開發(fā)與完善。