电子商务安全管理软件系统开发.docVIP

电子商务安全管理软件系统开发 　　摘 要 针对于现在国内外的公司和科研机构还在研究开发各个组件和接口而没有综合的安全解决方案的现状，提出一个针对电子商务程序的综合安全解决方案满足用户希望得到完备、综合服务的需要。基本实现了用户所需要的对称加密解密、非对称加密解密、数字签名、消息摘要，认证授权，协议过滤，数据过滤，日志管理的功能；对目录遍历攻击、注射攻击、跨站脚码攻击、隐藏域攻击等做到有效地防御。 　　【关键词】电子商务安全 加密解密 安全监控 J2EE 日志管理 　　1 可行性研究与软件需求分析 　　1.1 可行性研究 　　本课题研究使用sun公司推出的J2EE开发构架，分布式的电子商务安全管理软件系统。系统采用的技术路线为： 　　* 采用完全独立于软硬件平台的J2EE技术路线，利用JAVA，开发基于J2EE平台之上通用的中间件产品支撑企业级应用。 　　* 采用Web方式、B/S五层的系统体系结构，确保满足用户个性化需求。 　　由于所使用的开发语言具有平台无关性的特点，因此本项目所开发的系统能够应用于多种操作系统，不会因为操作系统的改变而改变，这就保证了本项目在技术上的可行性。此外，本项目所使用的加密解密技术和授权认证等网络应用技术都是本课题组成员长期研究的领域，具有较深厚的理论基础和丰富的实践经验。可见项目技术风险较小。 　　本项目研究的目标在于大幅度减少企业实施信息化平台带来的安全风险，因此具有广阔的市场。项目提出了电子商务安全管理软件系统的架构，对电子商务安全标准进行了研究，开发基于开放源代码的自由软件，开发过程遵循先进的软件工程思想和项目管理方法，因此具有较低的软件开发、维护、升级成本，在市场中具有较强的竞争力，市场风险较小。 　　电子商务安全管理市场是一个新兴市场，从2000年开始已经成为一个重要应用领域。据市场研究公司Synergy Research Group 报告称，2004年第1季度全球网络安全市场销售收入近10亿美元，比2003年第4季度增长了11%，比2003年第1季度增长了近28%。而在2007年有望攀升至47亿美元，年增长率达25%。作为亚太网络安全领域的第一大市场，中国市场规模在2003年为2.02亿美元，比2002年上升了近30%，而总体市场容量有望在5年之后扩展至8亿美元。电子商务的迅猛发展和网络安全的广阔前景使得电子商务安全管理市场成为网络安全市场中一个迅速增长点。 　　通过以上分析可知，本项目提出的开发电子商务安全管理系统的构想是可行的。 　　1.2 软件需求分析 　　目前电子商务的安全问题如下： 数据的安全管理包括：输入输出数据的过滤、数据的加密解密、数据的访问控制管理、系统的安全管理包括：交易完整管理、日志的管理、系统的安全策略管理和系统安全响应等。现今电子商务安全开发还集中在对加密、数字身份认证、电子商务认证等个别的”点”上，没有综合的安全管理软件产品，而电子商务的健康发展迫切需要能够解决多种安全问题的产品。根据以上分析我们提出电子商务安全管理软件的功能性框架示意图如图1所示。 　　综合考虑系统的安全性及目前较流行的B/S模式设计出其技术架构，电子商务安全管理软件可以分为以下几个部分：数据过滤模块，授权认证模块，协议过滤模块，加密解密模块，日志管理模块，安全监控模块，应用监控模块，DAO数据源。 　　2 软件项目业务规划 　　2.1 项目规划 　　项目目标：完成电子商务安全管理软件系统的研制和开发，并进行市场化运作；对电子商务安全标准进行研究。 　　主要功能： 　　电子商务安全管理软件系统实现的主要功能有： 　　（1）提供访问电子商务网站用户的身份认证、授权；授权用户在线删除，添加，更新本人信息；实现了允许一种用户可以以多种身分访问电子商务程序的身份验证和授权的功能。 　　（2）过滤当前用户请求中是否含有违反HTTP协议的数据存在，包括参数缺失、参数异常、参数过多；过滤当前用户请求中是否含有违反当前请求页面的数据存在。 　　（3）对称式和非对称式的加密解密技术：包括数字签名算法、消息摘要技术、密钥交换方法、提供基于数据库的密钥管理服务的内容。 　　（4）收集功能模块的日志信息，然后生成统一的日志信息，并进行分类存储（本课题提供数据库存储形式），然后提供查询、删除等功能（用户可以对日志信息按日期、模块名进行查询、删除等操作）。 　　（5） 随时对受保护的电子商务应用程序进行安全监控，若发现恶意代码的攻击，即刻发出报警信息。 　　（6）监控系统和电子商务应用程序的运行情况，若系统或应用程序出现异常，即刻发出报警信息。 　　约束条件：本系统运行时需要JAVA运行环境 　　人员所需工具所需资源：开发本项目需要参加人员熟练掌握JAVA