电子商务安全和策略.docVIP

电子商务安全和策略 　　摘 要：电子商务安全是电子商务活动的基础和关键，本文主要从计算机信息系统的角度来阐述电子商务系统的安全，为保证电子商务安全而采取的安全保障措施。 　　关键词：电子商务 安全问题 安全策略 　　中图分类号：G642 文献标识码：A 文章编号：1672-8882（2012）10-047-01 　　1.引言 　　电子商务作为一种全新的业务和服务方式为全球客户提供了丰富的商务信息、简捷的交易过程和低廉的交易成本，这种商务活动模式正在被全世界的人们所关注和青睐。但是，电子商务的安全性也制约了它的发展，安全问题已经成为电子商务推进中的最大障碍。 　　2.电子商务的安全问题 　　电子商务系统从一定意义上来讲就是一种计算机信息系统，信息系统安全主要是网络的信息安全，从这个角度来阐述电子商务系统的安全问题的根源，则主要包含以下几个方面物理安全、方案设计的缺陷、系统的安全漏洞和人的因素等几个方面。 　　2.1物理安全问题 　　物理安全问题主要包括物理设备本身的问题、设备的位置安全、限制物理访问、物理环境安全和地域因素等。物理设备的安全威胁包括温度、湿度、灰尘、供电系统对系统运行可靠性的影响，由于电磁辐射造成信息泄露，自然灾害如地震、闪电、风暴等对系统的破坏。设备的位置极为重要，所有的基础网络设施都应该放置在严格限制来访人员的地方，以降低出现未经授权访问的可能性。如果物理设备摆放不当，受到攻击者对物理设备的故意破坏，其他的安全措施都没有用。还要严格限制对接线柜和关键网络基础设施所在地的物理访问，除非经过授权或因工作需要而必须访问之外，禁止对这些区域的访问。地域因素，互联网往往跨越城际、国际，地理位置错综复杂，通信线路质量难以保证，会给上传信息造成损坏、丢失，也给“搭线窃听”的黑客以可乘之机，增加更多的安全隐患。 　　2.2方案设计的缺陷 　　在实际中，网络结构比较复杂，会包含星型、总线和环型等各种拓扑结构，结构的复杂给网络系统管理、拓扑设计带来很多问题。为了实现异构网络间信息的通信，就必须要牺牲一些安全机制的设置和实现，从而提出更高的网络开放性的要求。有时特定的环境往往会有特定的安全需求，所以不存在可以通用的解决方案，需要制定不同的方案。如果设计者的安全理论与实践水平不够的话，设计出来的方案经常是存在漏洞的，这是安全威胁的根源之一。 　　2.3系统的安全漏洞 　　软件系统规模不断增大，系统中的安全漏洞不可避免的存在，任何一个软件都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞。主要包括操作系统类的安全漏洞、网络系统类安全漏洞和应用系统类安全漏洞。 　　2.4人的因素 　　人是信息活动的主体，人的因素其实是网络安全的最主要因素体现在以下三个方面：一、人的无意失误，操作人员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享都会给网络安全带来威胁。二、人为的恶意攻击，就是黑客攻击，是计算机网络面临的最大威胁。这类攻击主要分为两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄露。三、管理上的因素，网络系统的严格管理是企业、机构及用户免受攻击的重要措施，很多企业、机构及用户的网站或系统都疏于安全方面的管理。管理的缺陷可能会出现系统内部人员泄露机密或外部人员通过非法手段截获而导致机密信息的泄露，为一些不法分子制造了可乘之机。 　　3.电商务安全的策略 　　电子商务安全，首先想到的是技术保障措施，仅从技术角度安全保障还远远不够。电子商务的安全需要一个完整的综合保障体系，采用综合防范的思路，从技术、管理、法律等方面去认识，根据我国的实际和国外的经验，采取适合我国的安全保障办法和措施。 　　3.1信息技术措施 　　信息技术措施主要涉及物理安全策略、访问控制策略、信息加密技术、数字签名技术以及防火墙等等。 　　3.1.1物理安全策略 　　保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误和各种计算机犯罪行为导致的破坏。 　　3.1.2访问控制策略 　　访问控制策略隶属于系统安全策略，他迫使在计算机系统和网络中自动的执行授权，被分成指令性访问控制策略和选择性访问控制策略两类。指令性访问控制策略是由安全区域权力机构强制实施的任何用户不能回避它。选择性访问控制策略为一些特殊的用户提供了对资源的访问权这些用户可以利用此权限控制对资源进行访问。 　　3.1.3信息加密技术 　　信息加密技术是电子商务安全技术中一个重要的组成部分。数据传输加密技术主要是对传输中的数据流进行加密，常用的有链