電子商務信息安全論文(共3539字)

1、電子商務信息安全論文(共3539字)1電子商務安全威脅與需求1.1主要安全威脅電子商務建設主要面臨著賬戶安全威脅、交易安全威脅、 基礎網(wǎng)絡威脅、業(yè)務連續(xù)性威脅。(1) 賬戶安全威脅。賬戶安全是電子商務信息安全的基礎, 賬戶安全威脅主要來源于賬戶被盜與垃圾注冊。(2) 交易安全威脅?，F(xiàn)階段在電子商務交易過程中發(fā)生的 安全威脅主要包括惡意評價、交易欺詐、不良信息發(fā)布。(3) 基礎網(wǎng)絡威脅。電子商務是構建在互聯(lián)網(wǎng)上的交易平 臺，同樣面臨著ddos、端口掃描、密碼暴力破解、網(wǎng)站后門 等安全威脅。(4) 業(yè)務連續(xù)性威脅。在電子商務領域主要面臨著特有的 業(yè)務高彈性變化威脅，因為業(yè)務發(fā)展過快或網(wǎng)上促銷活動等

2、 原因，電子商務企業(yè)會面臨著大量客戶訪問超出現(xiàn)有系統(tǒng)設 計容量的局面，而中小企業(yè)受限于資金規(guī)模導致其無力建設 后備系統(tǒng)用于滿足無法預測的業(yè)務訪問量，最終影響電子商 務網(wǎng)站對外提供服務的連續(xù)性。1.2安全需求電子商務信息安全建設的需求主要來自于業(yè)務連續(xù)性、保 護賬戶和交易信息安全、電子商務網(wǎng)站自身的安全性。(1) 業(yè)務連續(xù)性是電子商務業(yè)務的第一要素，應采用防 ddos技術、系統(tǒng)彈性擴容技術來保障電子商務對外業(yè)務的連 續(xù)性。(2) 使用公共網(wǎng)絡的電子商務賬戶信息和在線交易中的信 息宜受保護，應采用加密技術、黑名單、防釣魚、數(shù)字簽名 技術來防止欺詐活動，保證賬戶和交易信息安全。(3) 電子商務網(wǎng)站自

3、身的安全性宜受保護，應采取檢測網(wǎng) 站漏洞、掛馬、端口安全、網(wǎng)站后門等安全手段，防密碼暴 力破解及管理員異地登錄預警等技術來保障系統(tǒng)的安全性。2電子商務信息安全的關鍵標準研制針對目前電子商務信息安全技術、管理、業(yè)務應用等領域 工作存在的界定不清、內容不全、深度不統(tǒng)一等問題，通過 技術標準、管理標準進行規(guī)范統(tǒng)一變得尤為重要。結合電子 商務實際情況，在電子商務信息技術、業(yè)務應用、安全管理 等方面標準研究的基礎上，主要進行以下標準研究。2. 1電子商務信息安全技術標準確立電子商務信息安全保障總體架構，為電子商務所涉及 的信息安全技術、信息業(yè)務應用安全、信息安全管理等方面 安全要求的實施提供指導。從需求

4、分析、方案設計、安全評 估、運行等方面對信息安全建設實施給予指導。2. 1. 1業(yè)務應用安全業(yè)務應用安全是指在物理安全、網(wǎng)絡安 全等安全環(huán)境的支持下，實現(xiàn)業(yè)務應用的安全目標，主要涉 及到服務器端與客戶端相應的安全服務。（1）服務器端的交易服務、數(shù)據(jù)服務、web服務、文件服 務等部件及其安全方面的屬性要求。交易服務及其安全屬性 要求，為了使電子交易安全可靠，必須建立一個安全、便捷 的電子商務應用環(huán)境，保證整個電子商務交易活動中信息的 安全性、匿名性和完整性，交易信息服務提供了安全、可靠 的電子交易在線/離線運算。數(shù)據(jù)服務及其安全屬性要求， 局域網(wǎng)中的一臺或多臺計算機及其數(shù)據(jù)庫管理系統(tǒng)軟件共 同構

5、成了數(shù)據(jù)庫服務，數(shù)據(jù)庫服務為客戶應用提供服務。這 些服務是查詢、更新、事務管理、索引、高速緩存、查詢優(yōu) 化、安全及多用戶存取控制等。通過傳輸層和應用層安全協(xié) 議、電子簽名、標識與鑒別、密碼技術、抗抵賴、內容安全、 訪問控制和pki等實現(xiàn)安全防護。web服務及其安全屬性要 求，web服務主要功能是提供信息傳輸與交換服務。主要解 決網(wǎng)絡通信和信息交換過程中的訪問控制、實體鑒別以及傳 輸過程中的信息機密性、完整性問題。文件服務及其安全屬 性要求，在計算機網(wǎng)絡中，以文件數(shù)據(jù)共享為目標，需要將 多臺計算機共享的文件存放于一臺計算機中。這臺計算機被 稱為文件服務器，文件服務器具有分時系統(tǒng)管理的全部功能,

6、能夠對全網(wǎng)統(tǒng)一管理，能夠提供網(wǎng)絡用戶訪問文件、目錄的 并發(fā)控制和安全保密措施。（2）客戶端的應用程序模型分類和安全方面的屬性要求。 客戶端的應用程序模型大致分為兩種：c/s （客戶端/服務器 模型）和b/s （瀏覽器/服務器模型）。客戶端的安全性主要 是指應用層次的安全性，主要通過用戶權限、角色分配來實 現(xiàn)。對于客戶端應用程序來說，通常需要通過公共密鑰基礎 設施(pki)為應用提供可靠的安全服務。2. 1.2信息安全建設實施電子商務信息安全建設流程可劃 分為6個階段:風險評估、需求分析、方案設計、測試、系 統(tǒng)安裝調試、正式運行等。(1) 風險評估。運用風險評估方法計算企業(yè)整體的資產(chǎn)價 值、弱點

7、、威脅發(fā)生的幾率及可能造成的影響等。評估時應 考慮下面的因素：信息安全可能造成的商業(yè)損失，并把損 失的潛在后果也考慮進來。在極為普遍的危害和采取的相 應措施的作用下，故障實際發(fā)生的可能性。(2) 需求分析。在項目的計劃階段，項目需求部門應與項 目建設部門共同討論信息系統(tǒng)的安全需求，明確重要的安全 需求點，安全需求分析應該作為項目需求分析報告的組成部 分。項目需求部門與項目建設部門應對系統(tǒng)進行風險分析, 考慮業(yè)務處理流程中的技術控制要求、業(yè)務系統(tǒng)及其相關在 線系統(tǒng)運行過程中的安全控制要求，在滿足相關法律、法規(guī)、 技術規(guī)范和標準等的約束下，確定系統(tǒng)的安全需求。對系 統(tǒng)安全應遵循適度保護的原則，需在

8、滿足以下基本要求的前 提下，實施與業(yè)務安全等級相符合的安全機制：通過必要的 技術手段建立適當?shù)陌踩芸貦C制，保證數(shù)據(jù)信息在處理、 存儲和傳輸過程中的完整性和安全性，防止數(shù)據(jù)信息被非法 使用、篡改和復制。實施必要的數(shù)據(jù)備份和恢復控制。實施 有效的用戶和密碼管理，能對不同級別的用戶進行有限授權, 防止非法用戶的侵入和破壞。系統(tǒng)的安全需求及其分析需 經(jīng)過項目組內部充分討論，項目需求方和項目建設方應對安 全需求及其分析的理解達成一致。(3) 方案設計。項目建設部門應根據(jù)確定的安全需求設計 系統(tǒng)安全技術方案，應滿足以下要求：系統(tǒng)安全技術方案要 滿足所有安全需求，并符合公安部、工信部和主管部門的法 規(guī)和標

9、準要求。系統(tǒng)安全技術方案應至少包括網(wǎng)絡安全設計、 操作系統(tǒng)和數(shù)據(jù)庫安全、應用軟件安全設計等部分。系統(tǒng)安 全技術方案涉及采用的安全產(chǎn)品，應符合國家有關法律法規(guī)。(4) 測試。信息系統(tǒng)安全功能測試在信息系統(tǒng)測試階段,應根據(jù)信息系統(tǒng)安全功能需求進行測試，確保所有設計的安 全功能均能得到落實和實現(xiàn)。在測試報告或相關文檔中應明 確說明檢查列表中各項安全功能的落實和實現(xiàn)情況。測試 過程的安全管理在信息系統(tǒng)開發(fā)測試過程中，對于來自業(yè)務 系統(tǒng)的數(shù)據(jù)要根據(jù)相關規(guī)定進行變形處理，禁止在開發(fā)或測 試環(huán)境中直接使用生產(chǎn)系統(tǒng)的密鑰和用戶密碼等重要數(shù)據(jù)。 測試環(huán)境要依據(jù)相關規(guī)定進行合適的管理和安全防護，并通 過相應的手段

10、確保與生產(chǎn)系統(tǒng)、開發(fā)系統(tǒng)隔離。(5) 系統(tǒng)安裝調試。在信息系統(tǒng)安裝部署時，應采取相應 措施確保系統(tǒng)安全功能的實現(xiàn)，對操作系統(tǒng)、數(shù)據(jù)庫、應用 系統(tǒng)等軟件的安裝部署和配置應該符合相應的安全規(guī)范和 標準。信息系統(tǒng)投產(chǎn)前應進行安全評估或審查，通過審查系 統(tǒng)設計文檔中的安全功能設計、系統(tǒng)測試文檔中的安全功能 測試，確保系統(tǒng)本身安全功能的實現(xiàn)。通過審核系統(tǒng)安裝與 配置過程或文檔，確保系統(tǒng)安全配置的落實與實現(xiàn)。(6) 正式運行。系統(tǒng)投入正式運行后，需清除系統(tǒng)中各種 臨時數(shù)據(jù)，進行管理權交接，開發(fā)方不得隨意更改安全策略 和系統(tǒng)配置。2. 2電子商務平臺安全管理標準通過總結現(xiàn)有電子商務交易過程中遇到的安全問題，經(jīng)過 提煉和深化，系統(tǒng)規(guī)定電子商務交易平臺安全管理類型，如 用戶安全管理、交易安全管理、信息安全管理、管理安全規(guī) 范等的系統(tǒng)規(guī)定。(1) 用戶安全管理：主要對電商企業(yè)賬戶體系的安全和用 戶信息的安全管理進行規(guī)范；對用戶注冊、用戶信息的使用、 用戶隱私保護、用戶發(fā)布信息的管理提供保護措施。(2) 交易安全管