探究电子商务安全策略原则技术分析.docx

探究电子商务安全策略原则技术分析 论文作者：张伟博梁志恒 论文关键词： 电子商务 信息安全 数字证书协议 论文摘 要：随着电子商务时代的到来，电子商务安全问题越来越受到关注。特别是近年来的威胁网络安全事件成出不穷，成为阻碍电子商务发展的一个大问题。对电子商务安全面临的的威胁进行研究分析，提出电子商务安全策略的总体原则及使用的主要技术。 电子商务安全策略是对企业的核心资产进行全面系统的保护，不断的更新企业系统的安全防护，找出企业系统的潜在威胁和漏洞，识别，控制，消除存在安全风险的活动。电子商务安全是相对的，不是绝对的，不能认为存在永远不被攻破的系统，当然无论是何种模式的电子商务网站都要考虑到为了系统安全所要付出的代价和消耗的成本。作为一个安全系统的使用者，必须应该综合考虑各方因素合理使用电子商务安全策略技术，作为系统的研发设计者，也必须在设计的同时考虑到成本与代价的因素。在这个网络攻防此消彼长的时代，更应该根据安全问题的不断出现来检查，评估和调整相应的安全策略，采用适合当前的技术手段，来达到提升整体安全的目的。电子商务所带来的巨大商机背后同样隐藏着日益严重的电子商务安全问题，不仅为企业机构带来了巨大的经济损失，更使社会经济的安全受到威胁。 1 电子商务面临的安全威胁 在电子商务运作的大环境中，时时刻刻面临着安全威胁，这不仅仅设计技术问题，更重要的是管理上的漏洞，而且与人们的行为模式有着密不可分的联系。电子商务面临的安全威胁可以分为以下几类： 1.1 信息内容被截取窃取 这一类的威胁发生主要由于信息传递过程中加密措施或安全级别不够，或者通过对互联网，电话网中信息流量和流向等参数的分析来窃取有用信息。 1.2 中途篡改信息 主要破坏信息的完整性，通过更改、删除、插入等手段对网络传输的信息 进行中途篡改，并将篡改后的虚假信息发往接受端。 1.3 身份假冒 建立与销售者服务器名称相似的假冒服务器、冒充销售者、建立虚假订单进行交易。 1.4 交易抵赖 比如商家对卖出的商品因价格原因不承认原有交易，购买者因签订了订单却事后否认。 1.5 同行业者恶意竞争 同行业者利用购买者名义进行商品交易，暗中了解买卖流程、库存状况、物流状况。 1.6 电子商务系统安全性被破坏 不法分子利用非法手段进入系统，改变用户信息、销毁订单信息、生成虚假信息等。 2 电子商务安全策略原则 电子商务安全策略是在现有情况，实现投入的成本与效率之间的平衡，减少电子商务安全所面临的威胁。据电子商务网络环境的不同，采用不同的安全技术来制定安全策略。在制定安全策略时应遵循以下总体原则： 2.1 共存原则 是指影响网络安全的问题是与整个网络的运作生命周期同时存在，所以在设计安全体系结构时应考虑与网络安全需求一致。如果不在网站设计开始阶段考虑安全对策，等网站建设好后在修改会耗费更大的人力物力。 2.2 灵活性原则 安全策略要能随着网络性能及安全威胁的变化而变化，要及时的适应系统和修改。 2.3 风险与代价相互平衡的分析原则 任何一个网络，很难达到绝对没有安全威胁。对一个网络要进行实际分析，并且对网络面临的威胁以及可能遇到的风险要进行定量与定性的综合分析，制定规范的措施，并确定本系统的安全范畴，使花费在网络安全的成本与在安全保护下的信息的价值平衡。 2.4 易使用性原则 安全策略的实施由人工完成，如果实施过程过于复杂，对于人的要求过高，对本身的安全性也是一种降低。 2.5 综合性原则 一个好的安全策略在设计时往往采用是多种方法综合应用的结果，以系统工程的观点，方法分析网络安全问题，才可能获得有效可行的措施。 2.6 多层保护原则 任何单一的安全保护措施都不是能独当一面，绝对安全的，应该建立一个多层的互补系统，那么当一层被攻破时，其它保护层仍然可以安全的保护信息。 3 电子商务安全策略主要技术 3.1 防火墙技术 防火墙技术是一种保护本地网络，并对外部网络攻击进行抵制的重要网络安全技术之一，是提供信息安全服务，实现网络信息安全的基础设施。总体可以分为：数据包过滤型防火墙、应用级网关型防火墙、代理服务型防火墙等几类。防火墙具有 5 种基本功能： （1）抵挡外部攻击； （2）防止信息泄露； （3）控制管理网络存取和访问； （4）VPN 虚拟专用网功能； （5）自身抗攻击能力。 防火墙的安全策略有两种情形： （1）违背允许的访问服务都是被禁止的； （2）未被禁止的访问服务都是被允许的。 多数防火墙是在两者之间采取折中策略，在安全的情况之下提高访问效 率。 3.2 加密技术 加密技术是对传输的信息以某种方法进行伪装并隐藏其内容，而达到不被第三方所获取其真实内容的一种方法。在电子商务过程中，采用加密技术将信息隐藏起来，再将隐藏的信息传输出去，这样即使信息在传输的过程中被窃取，非法截获者也无法了