论文部分内容阅读
【摘要】随着科技的发展,基于因特网的电子商务应运而生。作为一种全新的商务运营模式,它对企业管理、信息传递都提出了较高要求,企业网站的安全性尤为突出。本文立足企业商务网站, 探究企业网站安全与防范措施,重点阐述电子商务系统中系统、数据及网络交易平台的安全性。安全可靠的网络交易平台是交易信息传递安全、数据库正常运行的基础。
【关键词】因特网 电子商务 信息 数据 安全
一.前言
随着信息技术在商贸领域的逐步推广应用,电子商务作为一种新型的营销模式已经改变着人们对企业经营管理模式、人类工作和生活方式、经营管理思维方式,甚至推动着整个社会发展进程。许多企业把自己的产品放在互联网上,开设网上“商城”,做产品宣传和网上购物等应用越来越普及。然而,网络的开放性和不设防特点又使信息交换、银行支付等安全性问题变得突出,加强电子商务的安全性建设问题迫在眉睫,建立人们能充分信任的安全保障体系,确保电子商务网络信息的真实性、可靠性和保密性,打消消费者顾虑,放心进行电子商务活动,是电子商务运营模式健康长期发展的基本保障。
二.企业商务网站的现状分析
商务网站通过发布信息和商务操作进行广告宣传、在线交易等商务活动,可以降低企业运营成本、提高企业管理效益。其中在线交易是电子商务的核心。据CNNIC《报告》显示,商务交易类应用的用户规模增长速度最快,平均年增幅达到了68%。其中,网上支付用户年增幅80.9%,在所有应用中排名第一,网络购物、旅游预订、网络炒股和网上银行用户规模分别增长了45.9%、77.9%、67.0%和62.3%。
近年来, 迅速普及的因特网让电子交易逐步融入人们的日常生活,网上订票,网上购物、网上缴费等众多电子交易方式改变了传统生活方式,越来越多的人开始使用网站这一新的商务平台来信息传递,并进行种种交易。电子商务网站是建立在互联网环境里,互联网是一个绝对开放的网络环境,任何一台计算机、任何一个网络都可以与通过一定方式连接到互联网,没有国界和管理权威,“是世界唯一的无政府领地”,正以为如此,网络安全风险必然构成了对电子商务的潜在威胁。
三.企业商务网站安全问题主要表现
事实证明,商务网站交易的安全性是企业商务发展的核心和关键,从技术手段的角度和系统安全与数据安全的不同层面来探讨,企业商务网站中出现的网络安全问题主要表现在以下几个方面:
⑴信息保密安全。交易者对网站交易中商务信息均有保密要求。如信用卡帐号和用户名如果被人获取,就存在被盗用的风险,订货和付款信息被竞争对手知道,就可能丧失商机。因此在电子商务信息传播一般有加密要求。
⑵交易者身份的安全。网上交易的双方很可能素昧平生,互不了解。要使交易成功,双方必须建立信任。首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也要考虑网
【作者简介】潘显民,男,(1966.7),苗族,湖南武冈人,湖南女子学院信息技术系教授;研究方向:计算机网络及应用。
上商店是否是黑店。因此能方便而可靠地确认对方身份是交易的前提。
对于企业来说,信息的安全更为重要,这种安全首先取决于系统的安全。系统安全主要包括操作系统、网络系统和应用系统三个层次。系统安全采用的技术和手段有访问控制技术、身份鉴别技术、加密技术、冗余技术、网络隔离技术、监控审计技术、安全评估技术等。
⑶网络交易平台安全。企业商务网站安全位于系统安全风险之上,在数据安全风险之下。只有提供一定的安全保证,在线交易的网民才会具有安全感,商务网站才会具有发展的空间。
四、探究企业商务网站安全防范措施
商务网站安全是一个系统工程,与计算机系统结构、电子商务应用的环境、人员素质和社会因素均有关。交易安全又是企业商务发展的核心和关键问题,虽然各种有效的手段可以保证电子商务的基本安全,但是层出不穷的病毒入侵和黑客攻击使得电子商务安全仍然是一个令人头痛的问题,那么如何加强电子商务的安全呢?探究起来,企业商务网站的安全主要包括三个方面工作:
①网站硬件安全要求网站的计算机硬件、附属通信设备及网站传输线路稳定可靠,只有经过授权的用户才能使用和访问。
②网站软件的安全网站的软件不被非法篡改,不受计算机病毒的侵害;网站的数据信息不被非法复制、破坏和丢失。
③网站传输信息的安全指信息在传输过程中不被他人窃取、篡改或偷看;能可靠确定客户的真实身份。
当商务网站面对来自网站外部安全威胁时,我们可采取以下五种有效的安全措施:
⑴防火墙技术防火墙。一个由硬件设备或软件、或软硬件组合而成的,在内部网与外部网之间构造的保护屏障。所有的内部网和外部网之间的连接都必须经过此保护层,并由它进行检查和连接。只有被授权的通信才能通过防火墙,从而使内部网络与外部网络在一定意义下隔离,防止非法入侵、非法使用系统资源、执行安全管制措施。防火墙基本分为两类:包过滤和基于代理的防火墙。包过滤防火墙对数据包进行分析、选择,依据系统内事先设定的过滤逻辑来确定是否允许该数据包通过。代理防火墙能够将网络通信链路分为两段,使内部网与Internet不直接通信,而是使用代理服务器作为数据转发的中转站,只有那些被认为可信赖的数据才允许通过。这两种防火墙各有其优缺点:包过滤器只能结合源地址、目标地址和端口号才能起作用,如果攻击者攻破了包过滤防火墙,整个网络就公开了。代理防火墙比包过滤器慢, 当网站访问量较大时会影响上网速度;代理防火墙在设立和维护规则集时比较复杂,有时会导致错误配置和安全漏洞。由于这两种防火墙各有优缺点,因而在实际应用中常将这两种防火墙组合使用。目前市场上最新的防火墙产品集成了代理和包过滤技术,提供了管理数据段和实现高吞吐速度的解决方案。这些混合型的设备在安全要求比吞吐速度有更高要求时,能实行代理验证服务,在需要高速度时,它们能灵活地采用包过滤规则作为保护方法。
⑵入侵检测系统防火墙。一种隔离控制技术,一旦入侵者进入了系统,他们便不受任何阻挡。它不能主动检测和分析网络内外的危险行为,捕捉侵入罪证。而入侵检测系统能够监视和跟踪系统、事件、安全记录和系统日志,以及网络中的数据包,识别出任何不希望有的活动,在入侵者对系统发生危害前,检测到入侵攻击,并利用报警与防护系统进行报警、阻断等响应。入侵检测系统所采用的技术有:①特征检测:这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又网络时空不会将正常的活动包含进来。②异常检测:假设入侵者活动异于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
⑶网络漏洞扫描器。没有绝对安全的网站,任何安全漏洞都可能导致风险产生。网络漏洞扫描器是一个漏洞和风险评估工具,用于发现、发掘和报告安全隐患和可能被黑客利用的网络安全漏洞。网络漏洞扫描器分为内部扫描和外部扫描两种工作方式: ①外部扫描:通过远程检测目标主机TCP/IP不同端口的服务,记录目标给予的回答。通过这种方法,可以搜集到很多目标主机的各种信息,例如:是否能用匿名登录、是否有可写的FTP目录、是否能用TELNET等。然后与漏洞扫描系统提供的漏洞库进行匹配,满足匹配条件则视为漏洞。也可通过模拟黑客的进攻手法,对目标主机系统进行攻击性的安全漏洞扫描。如果模拟攻击成功,则可视为漏洞存在。②内部扫描:漏洞扫描器以root身份登录目标主机, 记录系统配置的各项主要参数,将之与安全配置标准库进行比较和匹配,凡不满足者即视为漏洞。
⑷防病毒系统。病毒在网络中存储、传播、感染的途径多、速度快、方式各异,对网站的危害较大。因此,应利用全方位防病毒产品, 实施“层层设防、集中控制、以防为主、防杀结合”的防病毒策略,构建全面的防病毒体系。常用的防病毒技术有:①反病毒扫描:通过对病毒代码的分析找出能成为病毒结构线索的唯一特征。病毒扫描软件可搜索这些特征或其它能表示有某种病毒存在的代码段。 ②完整性检查:通过识别文件和系统的改变来发现病毒。完整性检查程序只有当病毒正在工作并做些什么事情时才能起作用,而网站可能在完整性检查程序开始检测病毒之前已感染了病毒,潜伏的病毒也可以避开检查。 ③行为封锁:行为封锁的目的是防止病毒的破坏。这种技术试图在病毒马上就要开始工作时阻止它。每当某一反常的事情将要发生时,行为封锁软件就会检测到并警告用户。
⑸启用安全认证系统。企业商务网站的安全除网站本身硬件和软件的安全外,还应包括传输信息的安全。对一些重要的的传输信息,应保证信息在传输过程中不被他人窃取、偷看或修改。因此,应在网站服务器中启用安全认证系统。安全认证系统对重要的信息采用密码技术进行加密,使它成为一种不可理解的密文。接收方收到密文后再对它进行解密,将密文还原成原来可理解的形式。目前,在电子商务中普遍采用SSL安全协议。SSL安全协议主要提供三方面的服务: ①认证用户和服务器,使得它们能够确信数据将被发送到正确的客户机和服务器上。②加密数据以隐藏被传送的数据。③维护数据的完整性,确保数据在传输过程中不被改变。
五.我国企业商务网站的展望
对于互联网经济所代表的信息产业在我国经济建设的发展中的地位和作用,企业商务代表着未来贸易方式的发展方向,其应用推广将给国家带来更多的贸易机会,在发展企业商务方面,应加强政府部门对发展电子商务的宏观规划指导,并为企业商务的发展提供良好的法律法规环境。网络经济在中国的发展实可谓齐备了天时、地利与人和各方面的优势,电子商务作为其主要业务模式也拥有了较好的发展环境。面对国内外电子商务发展的潮流,我国的企业商务网站无疑具有巨大的发展潜力。
【参考文献】
[1]肖德琴著,《电子商务安全保密技术与应用——全国高等院校电子商务联编教材》,广州,华南理工大学出版社,2005年01月。
[2]屈武江著,《电子商务安全与支付技术——高职高专电子商务应用技术实训教材》,北京,中国人民大学出版社,2006年09月。
[3]张爱菊著,《电子商务安全技术》,北京,清华大学出版社,2006年12月。
[4]张波著,《电子商务安全》,上海,华东理工大学出版社,2006年08月。
[5]唐晓东著,《电子商务中的信息安全》,北京,清华大学出版社,2006年09月。
【关键词】因特网 电子商务 信息 数据 安全
一.前言
随着信息技术在商贸领域的逐步推广应用,电子商务作为一种新型的营销模式已经改变着人们对企业经营管理模式、人类工作和生活方式、经营管理思维方式,甚至推动着整个社会发展进程。许多企业把自己的产品放在互联网上,开设网上“商城”,做产品宣传和网上购物等应用越来越普及。然而,网络的开放性和不设防特点又使信息交换、银行支付等安全性问题变得突出,加强电子商务的安全性建设问题迫在眉睫,建立人们能充分信任的安全保障体系,确保电子商务网络信息的真实性、可靠性和保密性,打消消费者顾虑,放心进行电子商务活动,是电子商务运营模式健康长期发展的基本保障。
二.企业商务网站的现状分析
商务网站通过发布信息和商务操作进行广告宣传、在线交易等商务活动,可以降低企业运营成本、提高企业管理效益。其中在线交易是电子商务的核心。据CNNIC《报告》显示,商务交易类应用的用户规模增长速度最快,平均年增幅达到了68%。其中,网上支付用户年增幅80.9%,在所有应用中排名第一,网络购物、旅游预订、网络炒股和网上银行用户规模分别增长了45.9%、77.9%、67.0%和62.3%。
近年来, 迅速普及的因特网让电子交易逐步融入人们的日常生活,网上订票,网上购物、网上缴费等众多电子交易方式改变了传统生活方式,越来越多的人开始使用网站这一新的商务平台来信息传递,并进行种种交易。电子商务网站是建立在互联网环境里,互联网是一个绝对开放的网络环境,任何一台计算机、任何一个网络都可以与通过一定方式连接到互联网,没有国界和管理权威,“是世界唯一的无政府领地”,正以为如此,网络安全风险必然构成了对电子商务的潜在威胁。
三.企业商务网站安全问题主要表现
事实证明,商务网站交易的安全性是企业商务发展的核心和关键,从技术手段的角度和系统安全与数据安全的不同层面来探讨,企业商务网站中出现的网络安全问题主要表现在以下几个方面:
⑴信息保密安全。交易者对网站交易中商务信息均有保密要求。如信用卡帐号和用户名如果被人获取,就存在被盗用的风险,订货和付款信息被竞争对手知道,就可能丧失商机。因此在电子商务信息传播一般有加密要求。
⑵交易者身份的安全。网上交易的双方很可能素昧平生,互不了解。要使交易成功,双方必须建立信任。首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也要考虑网
【作者简介】潘显民,男,(1966.7),苗族,湖南武冈人,湖南女子学院信息技术系教授;研究方向:计算机网络及应用。
上商店是否是黑店。因此能方便而可靠地确认对方身份是交易的前提。
对于企业来说,信息的安全更为重要,这种安全首先取决于系统的安全。系统安全主要包括操作系统、网络系统和应用系统三个层次。系统安全采用的技术和手段有访问控制技术、身份鉴别技术、加密技术、冗余技术、网络隔离技术、监控审计技术、安全评估技术等。
⑶网络交易平台安全。企业商务网站安全位于系统安全风险之上,在数据安全风险之下。只有提供一定的安全保证,在线交易的网民才会具有安全感,商务网站才会具有发展的空间。
四、探究企业商务网站安全防范措施
商务网站安全是一个系统工程,与计算机系统结构、电子商务应用的环境、人员素质和社会因素均有关。交易安全又是企业商务发展的核心和关键问题,虽然各种有效的手段可以保证电子商务的基本安全,但是层出不穷的病毒入侵和黑客攻击使得电子商务安全仍然是一个令人头痛的问题,那么如何加强电子商务的安全呢?探究起来,企业商务网站的安全主要包括三个方面工作:
①网站硬件安全要求网站的计算机硬件、附属通信设备及网站传输线路稳定可靠,只有经过授权的用户才能使用和访问。
②网站软件的安全网站的软件不被非法篡改,不受计算机病毒的侵害;网站的数据信息不被非法复制、破坏和丢失。
③网站传输信息的安全指信息在传输过程中不被他人窃取、篡改或偷看;能可靠确定客户的真实身份。
当商务网站面对来自网站外部安全威胁时,我们可采取以下五种有效的安全措施:
⑴防火墙技术防火墙。一个由硬件设备或软件、或软硬件组合而成的,在内部网与外部网之间构造的保护屏障。所有的内部网和外部网之间的连接都必须经过此保护层,并由它进行检查和连接。只有被授权的通信才能通过防火墙,从而使内部网络与外部网络在一定意义下隔离,防止非法入侵、非法使用系统资源、执行安全管制措施。防火墙基本分为两类:包过滤和基于代理的防火墙。包过滤防火墙对数据包进行分析、选择,依据系统内事先设定的过滤逻辑来确定是否允许该数据包通过。代理防火墙能够将网络通信链路分为两段,使内部网与Internet不直接通信,而是使用代理服务器作为数据转发的中转站,只有那些被认为可信赖的数据才允许通过。这两种防火墙各有其优缺点:包过滤器只能结合源地址、目标地址和端口号才能起作用,如果攻击者攻破了包过滤防火墙,整个网络就公开了。代理防火墙比包过滤器慢, 当网站访问量较大时会影响上网速度;代理防火墙在设立和维护规则集时比较复杂,有时会导致错误配置和安全漏洞。由于这两种防火墙各有优缺点,因而在实际应用中常将这两种防火墙组合使用。目前市场上最新的防火墙产品集成了代理和包过滤技术,提供了管理数据段和实现高吞吐速度的解决方案。这些混合型的设备在安全要求比吞吐速度有更高要求时,能实行代理验证服务,在需要高速度时,它们能灵活地采用包过滤规则作为保护方法。
⑵入侵检测系统防火墙。一种隔离控制技术,一旦入侵者进入了系统,他们便不受任何阻挡。它不能主动检测和分析网络内外的危险行为,捕捉侵入罪证。而入侵检测系统能够监视和跟踪系统、事件、安全记录和系统日志,以及网络中的数据包,识别出任何不希望有的活动,在入侵者对系统发生危害前,检测到入侵攻击,并利用报警与防护系统进行报警、阻断等响应。入侵检测系统所采用的技术有:①特征检测:这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又网络时空不会将正常的活动包含进来。②异常检测:假设入侵者活动异于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
⑶网络漏洞扫描器。没有绝对安全的网站,任何安全漏洞都可能导致风险产生。网络漏洞扫描器是一个漏洞和风险评估工具,用于发现、发掘和报告安全隐患和可能被黑客利用的网络安全漏洞。网络漏洞扫描器分为内部扫描和外部扫描两种工作方式: ①外部扫描:通过远程检测目标主机TCP/IP不同端口的服务,记录目标给予的回答。通过这种方法,可以搜集到很多目标主机的各种信息,例如:是否能用匿名登录、是否有可写的FTP目录、是否能用TELNET等。然后与漏洞扫描系统提供的漏洞库进行匹配,满足匹配条件则视为漏洞。也可通过模拟黑客的进攻手法,对目标主机系统进行攻击性的安全漏洞扫描。如果模拟攻击成功,则可视为漏洞存在。②内部扫描:漏洞扫描器以root身份登录目标主机, 记录系统配置的各项主要参数,将之与安全配置标准库进行比较和匹配,凡不满足者即视为漏洞。
⑷防病毒系统。病毒在网络中存储、传播、感染的途径多、速度快、方式各异,对网站的危害较大。因此,应利用全方位防病毒产品, 实施“层层设防、集中控制、以防为主、防杀结合”的防病毒策略,构建全面的防病毒体系。常用的防病毒技术有:①反病毒扫描:通过对病毒代码的分析找出能成为病毒结构线索的唯一特征。病毒扫描软件可搜索这些特征或其它能表示有某种病毒存在的代码段。 ②完整性检查:通过识别文件和系统的改变来发现病毒。完整性检查程序只有当病毒正在工作并做些什么事情时才能起作用,而网站可能在完整性检查程序开始检测病毒之前已感染了病毒,潜伏的病毒也可以避开检查。 ③行为封锁:行为封锁的目的是防止病毒的破坏。这种技术试图在病毒马上就要开始工作时阻止它。每当某一反常的事情将要发生时,行为封锁软件就会检测到并警告用户。
⑸启用安全认证系统。企业商务网站的安全除网站本身硬件和软件的安全外,还应包括传输信息的安全。对一些重要的的传输信息,应保证信息在传输过程中不被他人窃取、偷看或修改。因此,应在网站服务器中启用安全认证系统。安全认证系统对重要的信息采用密码技术进行加密,使它成为一种不可理解的密文。接收方收到密文后再对它进行解密,将密文还原成原来可理解的形式。目前,在电子商务中普遍采用SSL安全协议。SSL安全协议主要提供三方面的服务: ①认证用户和服务器,使得它们能够确信数据将被发送到正确的客户机和服务器上。②加密数据以隐藏被传送的数据。③维护数据的完整性,确保数据在传输过程中不被改变。
五.我国企业商务网站的展望
对于互联网经济所代表的信息产业在我国经济建设的发展中的地位和作用,企业商务代表着未来贸易方式的发展方向,其应用推广将给国家带来更多的贸易机会,在发展企业商务方面,应加强政府部门对发展电子商务的宏观规划指导,并为企业商务的发展提供良好的法律法规环境。网络经济在中国的发展实可谓齐备了天时、地利与人和各方面的优势,电子商务作为其主要业务模式也拥有了较好的发展环境。面对国内外电子商务发展的潮流,我国的企业商务网站无疑具有巨大的发展潜力。
【参考文献】
[1]肖德琴著,《电子商务安全保密技术与应用——全国高等院校电子商务联编教材》,广州,华南理工大学出版社,2005年01月。
[2]屈武江著,《电子商务安全与支付技术——高职高专电子商务应用技术实训教材》,北京,中国人民大学出版社,2006年09月。
[3]张爱菊著,《电子商务安全技术》,北京,清华大学出版社,2006年12月。
[4]张波著,《电子商务安全》,上海,华东理工大学出版社,2006年08月。
[5]唐晓东著,《电子商务中的信息安全》,北京,清华大学出版社,2006年09月。