电子商务安全与策略

点赞:4462 浏览:16329 近期更新时间:2024-03-13 作者:网友分享原创网站原创

摘 要:电子商务安全是电子商务活动的基础和关键,本文主要从计算机信息系统的角度来阐述电子商务系统的安全,为保证电子商务安全而采取的安全保障措施.

关 键 词:电子商务安全问题安全策略

中图分类号:G642文献标识码:A文章编号:1672-8882(2012)10-047-01

1.引言

电子商务作为一种全新的业务和怎么写作方式为全球客户提供了丰富的商务信息、简捷的交易过程和低廉的交易成本,这种商务活动模式正在被全世界的人们所关注和青睐.但是,电子商务的安全性也制约了它的发展,安全问题已经成为电子商务推进中的最大障碍.

2.电子商务的安全问题

电子商务系统从一定意义上来讲就是一种计算机信息系统,信息系统安全主要是网络的信息安全,从这个角度来阐述电子商务系统的安全问题的根源,则主要包含以下几个方面物理安全、方案设计的缺陷、系统的安全漏洞和人的因素等几个方面.

2.1物理安全问题

物理安全问题主要包括物理设备本身的问题、设备的位置安全、限制物理访问、物理环境安全和地域因素等.物理设备的安全威胁包括温度、湿度、灰尘、供电系统对系统运行可靠性的影响,由于电磁辐射造成信息泄露,自然灾害如地震、闪电、风暴等对系统的破坏.设备的位置极为重要,所有的基础网络设施都应该放置在严格限制来访人员的地方,以降低出现未经授权访问的可能性.如果物理设备摆放不当,受到攻击者对物理设备的故意破坏,其他的安全措施都没有用.还要严格限制对接线柜和关键网络基础设施所在地的物理访问,除非经过授权或因工作需要而必须访问之外,禁止对这些区域的访问.地域因素,互联网往往跨越城际、国际,地理位置错综复杂,通信线路质量难以保证,会给上传信息造成损坏、丢失,也给“搭线窃听”的以可乘之机,增加更多的安全隐患.

2.2方案设计的缺陷

在实际中,网络结构比较复杂,会包含星型、总线和环型等各种拓扑结构,结构的复杂给网络系统管理、拓扑设计带来很多问题.为了实现异构网络间信息的通信,就必须要牺牲一些安全机制的设置和实现,从而提出更高的网络开放性的要求.有时特定的环境往往会有特定的安全需求,所以不存在可以通用的解决方案,需要制定不同的方案.如果设计者的安全理论与实践水平不够的话,设计出来的方案经常是存在漏洞的,这是安全威胁的根源之一.

2.3系统的安全漏洞

软件系统规模不断增大,系统中的安全漏洞不可避免的存在,任何一个软件都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞.主要包括操作系统类的安全漏洞、网络系统类安全漏洞和应用系统类安全漏洞.

2.4人的因素

人是信息活动的主体,人的因素其实是网络安全的最主要因素体现在以下三个方面:一、人的无意失误,操作人员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的随意转借他人或与别人共享都会给网络安全带来威胁.二、人为的恶意攻击,就是攻击,是计算机网络面临的最大威胁.这类攻击主要分为两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息.这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄露.三、管理上的因素,网络系统的严格管理是企业、机构及用户免受攻击的重要措施,很多企业、机构及用户的网站或系统都疏于安全方面的管理.管理的缺陷可能会出现系统内部人员泄露机密或外部人员通过非法手段截获而导致机密信息的泄露,为一些不法分子制造了可乘之机.

3.电商务安全的策略

电子商务安全,首先想到的是技术保障措施,仅从技术角度安全保障还远远不够.电子商务的安全需要一个完整的综合保障体系,采用综合防范的思路,从技术、管理、法律等方面去认识,根据我国的实际和国外的经验,采取适合我国的安全保障办法和措施.

3.1信息技术措施

信息技术措施主要涉及物理安全策略、访问控制策略、信息加密技术、数字签名技术以及防火墙等等.

3.1.1物理安全策略

保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误和各种计算机犯罪行为导致的破坏.

3.1.2访问控制策略

访问控制策略隶属于系统安全策略,他迫使在计算机系统和网络中自动的执行授权,被分成指令性访问控制策略和选择性访问控制策略两类.指令性访问控制策略是由安全区域权力机构强制实施的任何用户不能回避它.选择性访问控制策略为一些特殊的用户提供了对资源的访问权这些用户可以利用此权限控制对资源进行访问.

3.1.3信息加密技术

信息加密技术是电子商务安全技术中一个重要的组成部分.数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路—链路加密、节点加密、端—端加密、ATM网络加密和卫星通信加密五种方式.应该根据信息系统安全策略来制定保密策略,选择合适的加密方式.


3.1.4数字签名技术

数字签名技术可以防止他人对传输的文件进行破坏以及确定发信人的身份.RSA签名方法和EIGamal数字签名方法是两种基本的数字签名方法,许多数字签名方法都基于这两种算法.RSA是可逆的公开秘钥加密系统,在数字签名过程中运用了消息的验证模式.EIGamal是一种非确定性的双钥体制,它对同一明文消息的签名会因随机参数选择的不同而不同.

3.1.5防火墙技术

防火墙是指隔离在本地网络与外界之间的一道或一组执行策略的防御系统.防火墙可以隔离不同的网络,限制安全问题的扩散,可以很方便地记录网络上的各种非法活动,监视网络的安全性,遇到紧急情况报警.

3.2信息安全管理制度

建立完善的安全管理制度,进一步保证电子商务的安全.信息安全管理制度主要包括人员管理制度,保密制度,跟踪、审计、稽核制度,应急措施以及其他一些措施等.3.2.1人员管理制度

电子商务活动中的主要参与者是人,尤其是网络管理员这样的人员,需要具备高尚的职业道德,才能保证管理有效.在人员管理时应注意以下几个方面:一要严格选拔,对网络工作者的选拔应不仅考核他们的技术,更要考察他们的责任心、道德感和纪律性.二要落实工作责任制,网络工作者尤其是超级管理员,掌握着很多重要的资料,他们必须严格遵守企业的安全制度,不能随意将工作内容向不相关的人泄露.三要贯彻电子商务安全运作基本原则,为便于管理,应遵循多人负责、任期有限、最小权限的原则.

3.2.2保密制度

从事电子商务工作的企业,内部会涉及许多保密信息,每类信息安全级别不同,要制定明确的保密制度,规定访问级别,与相关人员签订保密协议,保证保密信息不会外泄.

3.2.3跟踪、审计、稽核制度

跟踪制度是以系统自动生成日志文件的形式来记录系统运行的全过程.通过日志文件可以对系统进行监督、维护分析和故障排除,对于安全案件的侦破提供事实依据.

审计制度是规定网络审计员应经常对系统的日志文件检查、审核,及时发现异常状况,监控和捕捉各种安全事件,并对系统日志进行保存、维护和管理.

稽核制度是指工商管理、银行、税务人员利用计算机及网络系统,借助稽核业务,应用软件调阅、查询、审核、判断辖区内电子商务参与单位业务经营活动的合理性、安全性,堵塞漏洞,保证电子商务交易安全,发出相应的警示或作出处理处罚的有关决定的一系列步骤及措施.

电子商务安全与策略参考属性评定
有关论文范文主题研究: 电子商务类论文范文 大学生适用: 高校大学论文、专升本论文
相关参考文献下载数量: 89 写作解决问题: 写作资料
毕业论文开题报告: 标准论文格式、论文选题 职称论文适用: 论文发表、职称评中级
所属大学生专业类别: 写作资料 论文题目推荐度: 最新题目

3.2.4应急措施

应急措施是指计算机灾难事件发生时,利用应急计划、辅助软件和应急设施,排除灾难和故障,保障计算机信息系统继续运行或紧急恢复正常运行.灾难恢复包括许多工作,一方面是硬件恢复,使计算机系统重新运转起来;另一面是数据的恢复.数据的恢复更为重要,难度也更大.在启动电子商务业务之初,就必须制定交易安全计划和应急方案,以防万一.一旦发生意外,有备无患,可最大限度地减少损失,尽快恢复系统的正常工作,保证交易的正常运行.

3.2.4其他一些措施

在电子商务安全问题中,病毒对网络交易的顺利进行和交易数据的妥善保存造成极大的威胁.从事网上交易的企业和个人都应当建立病毒防范制度,排除病毒的干扰.其次,还要经常进行系统维护,系统维护主要包括硬件的日常管理与维护和软件的日常管理与维护.企业里的硬件应建立系统设备档案,便于以后对设备的更新和管理.对于软件的管理和维护工作主要是版本控制,及时更新添补漏洞,降低出现意外的可能.

3.3法律政策与法律保障

电子商务的安全发展必须依靠法律的保障,通过法律等条文的形式来保护电子商务信息的安全,惩罚网络犯罪违法行为,建立一个良好的电子商务法制环境来约束人们的行为.

目前电子商务相关法律主要涉及计算机犯罪立法、计算机安全法规、隐私保护、网络知识产权保护、电子合同相关法规等方面,初步满足了电子商务保密性、完整性、认证性、可控性和不可否认性的安全需求.随着信息技术的发展,电子商务安全不可能一劳永逸,必须用发展的眼光来看待,法制建设也应该进一步完善.

电子商务的安全问题是一个涉及范围极广的社会问题,网上交易安全性若不能得到有效的保障,就必然会影响到电子商务的顺利发展.因此,要使电子商务能够健康、快速、蓬勃的发展,就必须用全面的电子商务安全解决方案提供交易的信任保障,希望越来越多的企业和个人加入到关心电子商务的行列中来,一起为开创崭新的商务时代出力献策.