亚洲日本成本线在观看,最新国自产拍在线,免费性爱视频日本,久久精品国产亚洲精品国产精品

            現(xiàn)在位置:范文先生網(wǎng)>理工論文>計算機信息技術(shù)>電子商務(wù)的安全策略

            電子商務(wù)的安全策略

            時間:2022-08-06 15:51:44 計算機信息技術(shù) 我要投稿
            • 相關(guān)推薦

            電子商務(wù)的安全策略

              關(guān)鍵詞:

            電子商務(wù)的安全策略

              電子商務(wù)在功能上要求實現(xiàn)實時帳戶信息查詢。這就使電子商務(wù)系統(tǒng)必須在物理上與生產(chǎn)系統(tǒng)要有連接,這對于電子商務(wù)系統(tǒng)的安全性提出了更高的要求,必須保證外部網(wǎng)絡(luò)(INTERNET)用戶不能對生產(chǎn)系統(tǒng)構(gòu)成威脅。為此,需要全方位地制定系統(tǒng)的安全策略。

              就整個系統(tǒng)而言,安全性可以分為四個層次,如圖1所示:

              1.網(wǎng)絡(luò)節(jié)點的安全

              2.通訊的安全性

              3.應(yīng)用程序的安全性

              4.用戶的認(rèn)證管理

              圖1:安全性四個層次結(jié)構(gòu)

              其中2、3、4層是通過操作系統(tǒng)和Web服務(wù)器軟件實現(xiàn),網(wǎng)絡(luò)節(jié)點的安全性依靠防火墻保證,我們應(yīng)該首先保證網(wǎng)絡(luò)節(jié)點的安全性。

              一、網(wǎng)絡(luò)節(jié)點的安全

              1.防火墻

              防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息,并記憶通信狀態(tài),從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet系統(tǒng)。

              2.防火墻安全策略

              應(yīng)給予特別注意的是,防火墻不僅僅是路由器、堡壘主機或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合,它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構(gòu)的信息資源,這種安全策略應(yīng)包括:規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護措施,以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級別加以保護。僅設(shè)立防火墻系統(tǒng),而沒有全面的安全策略,那么防火墻就形同虛設(shè)。3.安全操作系統(tǒng)防火墻是基于操作系統(tǒng)的。如果信息通過操作系統(tǒng)的后門繞過防火墻進入內(nèi)部網(wǎng),則防火墻失效。所以,要保證防火墻發(fā)揮作用,必須保證操作系統(tǒng)的安全。只有在安全操作系統(tǒng)的基礎(chǔ)上,才能充分發(fā)揮防火墻的功能。在條件許可的情況下,應(yīng)考慮將防火墻單獨安裝在硬件設(shè)備上。

              二、通訊的安全

              1.?dāng)?shù)據(jù)通訊

              通訊的安全主要依靠對通信數(shù)據(jù)的加密來保證。在通訊鏈路上的數(shù)據(jù)安全,一定程度上取決于加密的算法和加密的強度。電子商務(wù)系統(tǒng)的數(shù)據(jù)通信主要存在于:

             。1)客戶瀏覽器端與電子商務(wù)WEB服務(wù)器端的通訊;

             。2)電子商務(wù)WEB服務(wù)器與電子商務(wù)數(shù)據(jù)庫服務(wù)器的通訊;

             。3)銀行內(nèi)部網(wǎng)與業(yè)務(wù)網(wǎng)之間的數(shù)據(jù)通訊。其中(3)不在本系統(tǒng)的安全策略范圍內(nèi)考慮。

              2.安全鏈路

              在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接,所傳遞的重要信息都是經(jīng)過加密的,這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。目前采用的是瀏覽器缺省的4O位加密強度,也可以考慮將加密強度增加到128位。為在瀏覽器和服務(wù)器之間建立安全機制,SSL首先要求服務(wù)器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權(quán)機構(gòu)(CA中心)簽發(fā)。瀏覽器要驗征服務(wù)器證書的正確性,必須事先安裝簽發(fā)機構(gòu)提供的基礎(chǔ)公共密鑰(PKI)。建立SSL鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務(wù)器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的服務(wù)器證書通過后利用該證書對稱加密算法(RSA)與服務(wù)器協(xié)商一個對稱算法及密鑰,然后用此對稱算法加密傳輸?shù)拿魑。此時瀏覽器也會出進入安全狀態(tài)的提示。

              三、應(yīng)用程序的安全性

              即使正確地配置了訪問控制規(guī)則,要滿足計算機系統(tǒng)的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數(shù);程序員忘記檢查邊界條件,特別是處理字符串的內(nèi)存緩沖時;程序員忘記最小特權(quán)的基本原則。整個程序都是在特權(quán)模式下運行,而不是只有有限的指令子集在特權(quán)模式下運行,其他的部分只有縮小的許可;程序員從這個特權(quán)程序使用范圍內(nèi)建立一個資源,如一個文件和目錄。不是顯式地設(shè)置訪問控制(最少許可),程序員認(rèn)為這個缺省的許可是正確的。

              這些缺點都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來騙特權(quán)程序做一些它本來不應(yīng)該做的事情。緩沖溢出攻擊就是通過給特權(quán)程序輸入一個過長的字符串來實現(xiàn)的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執(zhí)行的命令,特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙摹@,緩沖溢出攻擊可以向系統(tǒng)中增加一個用戶并賦予這個用戶特權(quán)。訪問控制系統(tǒng)中沒有什么可以檢測到這些問題。只有通過監(jiān)視系統(tǒng)并尋找違反安全策略的行為,才能發(fā)現(xiàn)象這些問題一樣的錯誤。

              四、用戶的認(rèn)證管理

              1.身份認(rèn)證

              電子商務(wù)企業(yè)用戶身份認(rèn)證可以通過服務(wù)器CA證書與IC卡相結(jié)合實現(xiàn)的。CA證書用來認(rèn)證服務(wù)器的身份,IC卡用來認(rèn)證企業(yè)用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID號和密碼口令的身份確認(rèn)機制。

              2.CA證書

              要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性,需要一份數(shù)字證書進行驗證,這份數(shù)字證書就是CA證書,它由認(rèn)證授權(quán)中心(CA中心)發(fā)行。CA中心一般是社會公認(rèn)的可靠組織,它對個人、組織進行審核后,為其發(fā)放數(shù)字證書,證書分為服務(wù)器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務(wù)器證書(下載可以在訪問之前或訪問時進行)。

              五、安全管理

              為了確保系統(tǒng)的安全性,除了采用上述技術(shù)手段外,還必須建立嚴(yán)格的內(nèi)部安全機制。

              對于所有接觸系統(tǒng)的人員,按其職責(zé)設(shè)定其訪問系統(tǒng)的最小權(quán)限。

              按照分級管理原則,嚴(yán)格管理內(nèi)部用戶帳號和密碼,進入系統(tǒng)內(nèi)部必須通過嚴(yán)格的身份確認(rèn),防止非法占用、冒用合法用戶帳號和密碼。

              建立網(wǎng)絡(luò)安全維護日志,記錄與安全性相關(guān)的信息及事件,有情況出現(xiàn)時便于跟蹤查詢。定期檢查日志,以便及時發(fā)現(xiàn)潛在的安全威脅。

              對于重要數(shù)據(jù)要及時進行備份,且對數(shù)據(jù)庫中存放的數(shù)據(jù),數(shù)據(jù)庫系統(tǒng)應(yīng)視其重要性提供不同級別的數(shù)據(jù)加密。

              安全實際上就是一種風(fēng)險管理。任何技術(shù)手段都不能保證1OO%的安全。但是,安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險。決定采用什么安全策略取決于系統(tǒng)的風(fēng)險要控制在什么程度范圍內(nèi)。

            【電子商務(wù)的安全策略】相關(guān)文章:

            電子商務(wù)安全策略探討08-18

            期貨投資的安全策略08-17

            淺談高中體育戶外運動安全策略08-17

            計算機網(wǎng)絡(luò)安全策略是什么09-27

            電子商務(wù)與稅收08-07

            什么是電子商務(wù)?08-13

            電子商務(wù)心得04-30

            電子商務(wù)專業(yè)《電子商務(wù)概論》教學(xué)改革探索08-18

            正確認(rèn)識電子商務(wù) 再談電子商務(wù)稅收08-18

            電子商務(wù)營銷方案08-12