电子商务系统的安全策略汇编.docVIP

目 录 0 内容提要和关键词1 电子商务的安全隐患 3 2 电子商务系统的安全层次 5 2.1 网络级安全 5 2.2 系统级安全 6 2.3 应用级安全 7 2.4 管理级安全 8 3 电子商务系统的安全策略 8 3.1 网络级安全策略 9 3.2 系统级安全策略 10 3.3 应用级安全策略 10 3.4 管理级安全策略 11 4 结论 11 5 参考文献  内容提要 电子商务交易过程的安全问题一直是制约电子商务其进一步发展的重要瓶颈，本文试图从安全隐患的存在点、对应的安全技术、安全策略及措施等全方面进行分析，结合网络安全防护体系（PDRR）模型，探讨如何规划电子商务系统的安全策略 关键词 电子商务、安全问题、安全隐患、安全技术、安全策略及措施 引言：在全球信息化大势所驱的影响下，电子商务被公认为是未来IT最有潜力的新的增长点。电子商务将成为二十一世纪人类信息世界的核心，构筑二十一世纪新型的经济贸易框架。而在我国，计算机与网络的普及与发展，电子商务，众多的信息技术企业、风险投资公司、生产流通企业纷纷开展电子商务如何在开放的网络上处理交易，保证传输数据的安全成为电子商务能否普及的最重要的之一，Internet）为主的计算机网络平台，按照一定标准或规则进行各种商务活动。电子商务的一个重要技术特征是利用计算机网络来传输和处理商务信息。从电子商务的定义和特征上，我们不难看出电子商务具有以下的明显特点： 一是电子商务是建立在INTERNET技术上，安全性受计算机网络自身的安全性影响 二是电子商务是一种商贸活动，传递的信息中包含敏感的用户信息和交易信息，这些信息的传输安全、完整性、抗否认性、直接关系着用户的经济利益。 从电子商务交易数据流的分析，整个电子商务交易过程中，下列四类人员会对交易过程带来安全隐患： 1.外部渗入：未被授权使用计算机的人；包括通过病毒等形式进入系统。 2.内部渗入者：被授权使用计算机，但不能访问某些数据、程序或资源，它包括：冒名顶替:使用别人的用户名和口令进行操作；隐蔽用户:逃避审计和访问控制的用户； 3.滥用职权者:被授权使用计算机和访问系统资源，但滥用职权者。 4.恶意的交易主体：恶意的商贸活动欺骗者。 可能存在的安全隐患可以大致上分为物理安全隐患、系统安全隐患和信息安全隐患三大类： 隐患类型 隐患特征 表现形式 物理安全隐患 对计算机网络与计算机系统的物理装备的威胁，主要表现在自然灾害、电磁辐射与恶劣工作环境方面。 通信干扰，危害信息注入，信号辐射，信号替换，恶劣操作环境 系统安全隐患 对计算机网络与计算机系统可用性与可控性进行攻击。 网络被阻塞，黑客行为，非法使用资源等，计算机病毒，使得依赖于信息系统的管理或控制体系陷于瘫痪。 信息安全隐患 对所处理的信息机密性与完整性的威胁，主要表现在加密方面。 窃取信息，篡改信息，冒充信息，信息抵赖。 电子商务系统的安全层次 从电子商务存在的安全隐患分析，我们可以将电子商务安全体系划分为网络级安全、系统级安全、应用级安全、管理级安全四个层次， 网络级安全 网络级安全分为物理安全、局域网及子网安全以及访问控制、网络安全检测。 物理安全包括： 环境安全，是对系统所在环境的安全保护，如区域保护和灾难保护； 设备安全，包括设备的防盗、防毁、防电磁信息辐射泄露、防止线路截获、抗电磁干扰及电源保护等； 媒体安全，包括媒体数据的安全及媒体本身的安全。 访问控制是在内外网之间设置防火墙实现内外网的隔离与访问控制，是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。 系统级安全 系统级安全基于网络级安全之上，是提供安全应用的基础，是指系统（主机、服务器）安全（操作系统安全、病毒预防，安全检测，审计与监控）和网络运行安全（备份与恢复）。 1.网络安全检测 网络系统的安全性取决于系统中最薄弱的环节，安全检测可以及时发现网络存在的漏洞或恶意的攻击，而且能提供对网络和系统攻击的敏感性，从而实现动态和实时的安全控制。 2.病毒预防 在网络环境下，病毒有很强的威胁性和破坏力，因此，对病毒的防范是网络安全性建设中的重要一环。 3.审计与监控 审计是记录用户使用计算机网络进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况，审计信息在确定问题和攻击源上很重要。同时，系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据。 4.备份与恢复 备份的目的是尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。 应用级安全 主要涉及到应用系统信息传输的安全、信息存储的安全、对信息内容的审计以及鉴别与授权、用户访问控制等。 1.信息传输安全 (1)数据传输加密技术 对传输中的