電子商務的風險與管理

1、摘要隨著計算算機及網(wǎng)網(wǎng)絡的日日益發(fā)展展和普及及，網(wǎng)絡絡已經(jīng)成成為我們們生活的的一部分分。而電電子商務務的飛速速發(fā)展，使我們們越來越越感到網(wǎng)網(wǎng)絡技術(shù)術(shù)帶給我我們的好好處。但但是我們們不得不不面對這這樣的現(xiàn)現(xiàn)實，即即計算機機和網(wǎng)絡絡技術(shù)在在帶給我我們各種種便利的的同時，也帶來來了令人人頭痛的的安全問問題。該文基于于目前電電子商務務安全所所面臨的的各種風風險問題題，結(jié)合合當前的的一些風風險管理理方法，對電子子商務系系統(tǒng)安全全風險管管理進行行一些基基本的分分析和研研究，以以期對企企業(yè)電子子商務安安全風險險管理提提供一些些有價值值的借鑒鑒和參考考。關(guān)鍵詞：電子商商務安全全，風險險管理，風險識識別，風風險

2、控制制目錄TOC o 1-3 h z u HYPERLINK l _Toc226298860 前言 PAGEREF _Toc226298860 h 2 HYPERLINK l _Toc226298861 電子商務務中存在在的安全全風險 PAGEREF _Toc226298861 h 33 HYPERLINK l _Toc226298862 （1）網(wǎng)網(wǎng)絡環(huán)境境風險 PAGEREF _Toc226298862 h 44 HYPERLINK l _Toc226298863 （2）數(shù)數(shù)據(jù)存取取風險 PAGEREF _Toc226298863 h 44 HYPERLINK l _Toc226298864

3、 （3）網(wǎng)網(wǎng)上支付付風險 PAGEREF _Toc226298864 h 44 HYPERLINK l _Toc226298865 （4）信信息的截截獲和竊竊取 PAGEREF _Toc226298865 h 4 HYPERLINK l _Toc226298866 （5）信信息的篡篡改 PAGEREF _Toc226298866 h 4 HYPERLINK l _Toc226298867 （6）拒拒絕服務務 PAGEREF _Toc226298867 h 4 HYPERLINK l _Toc226298868 （7）系系統(tǒng)資源源失竊問問題 PAGEREF _Toc226298868 h 5 H

4、YPERLINK l _Toc226298869 （8）信信息的假假冒 PAGEREF _Toc226298869 h 5 HYPERLINK l _Toc226298870 （9）交交易的抵抵賴 PAGEREF _Toc226298870 h 5 HYPERLINK l _Toc226298871 （2）開開發(fā)和實實施階段段 PAGEREF _Toc226298871 h 6 HYPERLINK l _Toc226298872 （3）運運行階段段 PAGEREF _Toc226298872 h 6 HYPERLINK l _Toc226298873 電子商務務的風險險管理步步驟 PAGERE

5、F _Toc226298873 h 7 HYPERLINK l _Toc226298874 （1）風風險識別別 PAGEREF _Toc226298874 h 7 HYPERLINK l _Toc226298875 （2）風風險分析析 PAGEREF _Toc226298875 h 8 HYPERLINK l _Toc226298876 （3）風風險控制制 PAGEREF _Toc226298876 h 8 HYPERLINK l _Toc226298877 風險管理理對策 PAGEREF _Toc226298877 h 99 HYPERLINK l _Toc226298878 1、網(wǎng)絡絡安全

6、技技術(shù) PAGEREF _Toc226298878 h 122 HYPERLINK l _Toc226298879 1.1 操作系系統(tǒng)安全全 PAGEREF _Toc226298879 h 12 HYPERLINK l _Toc226298880 1.2 防火墻墻技術(shù) PAGEREF _Toc226298880 h 113 HYPERLINK l _Toc226298881 1.3 VPNN PAGEREF _Toc226298881 h 13 HYPERLINK l _Toc226298882 1.4 漏洞識識別與檢檢測系統(tǒng)統(tǒng) PAGEREF _Toc226298882 h 14 HYPER

7、LINK l _Toc226298883 2、數(shù)據(jù)據(jù)加密技技術(shù) PAGEREF _Toc226298883 h 144 HYPERLINK l _Toc226298884 3、身份份認證技技術(shù) PAGEREF _Toc226298884 h 155 HYPERLINK l _Toc226298885 （1）基基于口令令的認證證方式 PAGEREF _Toc226298885 h 115 HYPERLINK l _Toc226298886 （2）基基于安全全物品的的認證方方式PAGEREF _Toc226298886 h 155 HYPERLINK l _Toc226298887 （3）基基于生

8、物物特征的的認證方方式 PAGEREF _Toc226298887 h 166 HYPERLINK l _Toc226298888 4、數(shù)據(jù)據(jù)庫安全全機制 PAGEREF _Toc226298888 h 116 HYPERLINK l _Toc226298889 5、第三三方認證證CA PAGEREF _Toc226298889 h 177 HYPERLINK l _Toc226298890 結(jié)論 PAGEREF _Toc226298890 h 199 HYPERLINK l _Toc226298891 主要參考考文獻 PAGEREF _Toc226298891 h 220 HYPERLINK

9、 l _Toc226298892 謝辭 PAGEREF _Toc226298892 h 211前言電子商務務（Ellecttronnic Commmerrce，EC）是是指通過過網(wǎng)絡（尤其是是Intternnet）所進行行的買賣賣交易以以及相關(guān)關(guān)服務或或其他的的組織管管理活動動。交易易的安全全性能否否得到保保障是電電子商務務的核心心問題。近幾年年來，我我國的電電子商務務發(fā)展較較快，但但各種風風險也日日趨突出出。一般般來說，電子商商務中常常見的風風險可分分為經(jīng)濟濟風險、管理風風險、制制度風險險、技術(shù)術(shù)風險和和信息風風險。IIT技術(shù)術(shù)是實現(xiàn)現(xiàn)電子商商務的基基礎(chǔ)，分分析研究究其技術(shù)術(shù)風險是是保障電電

10、子商務務安全的的重要研研究課題題。為了促進進電子商商務的健健康發(fā)展展，研究究電子商商務中可可能存在在的風險險及相應應的控制制策略是是十分必必要的。本文分分析了電電子商務務中存在在的技術(shù)術(shù)風險及及其產(chǎn)生生的原因因，并在在此基礎(chǔ)礎(chǔ)上提出出了降低低電子商商務技術(shù)術(shù)風險的的相關(guān)安安全策略略及措施施。電子商務務中存在在的安全全風險由于網(wǎng)絡絡的復雜雜性、脆脆弱性、開放性性、共享享性和動動態(tài)性，使得任任何人都都可以自自由地接接入Innterrnett，從而而使以因因特網(wǎng)為為主要平平臺的電電子商務務的發(fā)展展面臨著著嚴峻的的安全問問題。一一般來說說，電子子商務普普遍存在在著以下下幾個安安全風險險：（1）網(wǎng)網(wǎng)絡環(huán)

11、境境風險網(wǎng)絡服務務器常遭遭受到黑黑客的襲襲擊，個個別網(wǎng)絡絡中的信信息系統(tǒng)統(tǒng)受到攻攻擊后無無法恢復復正常運運行；網(wǎng)網(wǎng)絡軟件件常常被被人篡改改或破壞壞；網(wǎng)絡絡中存儲儲或傳遞遞的數(shù)據(jù)據(jù)常常被被未經(jīng)授授權(quán)者篡篡改、增增刪、復復制或使使用。（2）數(shù)數(shù)據(jù)存取取風險由于數(shù)據(jù)據(jù)存取不不當所造造成的風風險。這這種風險險主要來來自于企企業(yè)內(nèi)部部。一是是未經(jīng)授授權(quán)的人人員進入入系統(tǒng)的的數(shù)據(jù)庫庫修改、刪除數(shù)數(shù)據(jù)；二二是企業(yè)業(yè)工作人人員操作作失誤，受其錯錯誤數(shù)據(jù)據(jù)的影響響而帶來來的風險險，其結(jié)結(jié)果必然然是使企企業(yè)效益益受到損損失，或或者是使使顧客利利益受到到損失。（3）網(wǎng)網(wǎng)上支付付風險網(wǎng)上支付付一直被被認為是是制約中中

12、國電子子商務發(fā)發(fā)展的最最大瓶頸頸，許多多企業(yè)和和個人擔擔心交易易的安全全性而不不愿使用用網(wǎng)上支支付。（4）信信息的截截獲和竊竊取這是指電電子商務務相關(guān)用用戶或外外來者未未經(jīng)授權(quán)權(quán)通過各各種技術(shù)術(shù)手段截截獲和竊竊取他人人的文電電 HYPERLINK / 內(nèi)容以獲獲取商業(yè)業(yè)機密。（5）信信息的篡篡改網(wǎng)絡攻擊擊者依靠靠各種技技術(shù)方法法和手段段對傳輸輸?shù)男畔⑾⑦M行中中途的篡篡改、刪刪除或插插入，并并發(fā)往目目的地，從而達達到破壞壞信息完完整性的的目的。（6）拒拒絕服務務拒絕服務務是指在在一定時時間內(nèi)，網(wǎng)絡系系統(tǒng)或服服務器服服務系統(tǒng)統(tǒng)的作用用完全失失效。其其主要原原因來自自黑客和和病毒的的攻擊以以及 HY

13、PERLINK /pc/ 計算算機硬件件的認為為破壞。（7）系系統(tǒng)資源源失竊問問題在網(wǎng)絡系系統(tǒng)環(huán)境境中，系系統(tǒng)資源源失竊是是常見的的安全威威脅。（8）信信息的假假冒信息的假假冒是指指當攻擊擊者掌握握了網(wǎng)絡絡信息數(shù)數(shù)據(jù) HYPERLINK / 規(guī)律律或解密密了商務務信息后后，可以以假冒合合法用戶戶或假冒冒信息來來欺騙其其它用戶戶。主要要表現(xiàn)形形式有假假冒客戶戶進行非非法交易易，偽造造電子郵郵件等。（9）交交易的抵抵賴交易抵賴賴包括發(fā)發(fā)信者事事后否認認曾經(jīng)發(fā)發(fā)送過某某條信息息；買家家做了定定單后不不承認；賣家賣賣出的商商品因價價格差而而不承認認原先的的交易等等。風險的管管理規(guī)則則針對電子子商務面面

14、臨的各各種安全全風險，電子商商務企業(yè)業(yè)不能被被動、消消極地應應付，而而應該主主動采取取措施維維護電子子商務系系統(tǒng)的安安全，并并監(jiān)視新新的威脅脅和漏洞洞。因此此，這就就需要制制定完整整高效的的電子商商務安全全風險管管理規(guī)則則。一般來說說，風險險管理規(guī)規(guī)則的制制定過程程有評估估、開發(fā)發(fā)和實施施以及運運行三個個階段。（1）評評估階段段該階段的的主要任任務是對對電子商商務的安安全現(xiàn)狀狀、要保保護的信信息、各各種資產(chǎn)產(chǎn)等進行行充分的的評估以以及一些些基本的的安全風風險識別別和分析析。對電子商商務安全全現(xiàn)狀的的評估是是制定風風險管理理規(guī)則的的基礎(chǔ)。對信息和和資產(chǎn)的的評估是是指對可可能遭受受損失的的相關(guān)信信

15、息和資資產(chǎn)進行行價值的的評估，以便確確定相適適應的風風險管理理規(guī)則，從而避避免投入入成本和和要保護護的信息息和資產(chǎn)產(chǎn)的嚴重重不匹配配。安全風險險識別要要求盡可可能地發(fā)發(fā)現(xiàn)潛在在的安全全風險，應收集集有關(guān)各各種威脅脅、漏洞洞、開發(fā)發(fā)和對策策的信息息。安全風險險分析是是確定風風險，收收集信息息，對可可能造成成的損失失進行評評價以估估計風險險的級別別，以便便做出明明智的決決策，從從而采取取措施來來規(guī)避安安全風險險。（2）開開發(fā)和實實施階段段該階段的的任務包包括風險險補救措措施開發(fā)發(fā)、風險險補救措措施測試試和風險險知識 HYPERLINK / 學學習。風險補補救措施施開發(fā)利利用評估估階段的的成果來來建

16、立一一個新的的安全管管理策略略，其中中涉及配配置管理理、修補補程序管管理、系系統(tǒng)監(jiān)視視與審核核等等。在完成對對風險補補救措施施的開發(fā)發(fā)后，即即進行安安全風險險補救措措施的測測試，在在測試過過程中，將按照照安全風風險的控控制效果果來評估估對策的的有效性性。（3）運運行階段段運行階段段的主要要任務包包括在新新的安全全風險管管理規(guī)則則下評估估新的安安全風險險。這個個過程實實際上是是變更管管理的過過程，也也是執(zhí)行行安全配配置管理理的過程程。運行階段段的第二二個任務務是對新新的或已已更改的的對策進進行穩(wěn)定定性測試試和部署署。這個個過程由由系統(tǒng)管管理、安安全管理理和網(wǎng)絡絡管理小小組來共共同實施施。以上風險

17、險管理規(guī)規(guī)則的三三個階段段可以用用下圖來來表示：圖1 風風險管理理規(guī)則的的三個階階段電子商務務的風險險管理步步驟風險管理理是識別別風險、分析風風險并制制定風險險管理計計劃的過過程。電電子商務務安全風風險的管管理和控控制方法法，它包包括風險險識別、風險分分析、風風險控制制以及風風險監(jiān)控控等四個個方面。（1）風風險識別別電子商務務系統(tǒng)的的安全要要求是通通過對風風險的系系統(tǒng)評估估而確認認的。為為了有效效管理電電子商務務安全風風險，識識別安全全風險是是風險管管理的第第一步。風險識別別是在收收集有關(guān)關(guān)各種威威脅、漏漏洞和相相關(guān)對策策等信息息的基礎(chǔ)礎(chǔ)上，識識別各種種可能對對電子商商務系統(tǒng)統(tǒng)造成潛潛在威脅脅

18、的安全全風險。風險識別別的手段段五花八八門，對對于電子子商務系系統(tǒng)的安安全來說說，風險險識別的的目標是是主要是是對電子子商務系系統(tǒng)的網(wǎng)網(wǎng)絡環(huán)境境風險、數(shù)據(jù)存存在風險險和網(wǎng)上上支付風風險進行行識別。需要注注意的是是，并非非所有的的電子商商務安全全風險都都可以通通過風險險識別來來進行管管理，風風險識別別只能發(fā)發(fā)現(xiàn)已知知的風險險或根據(jù)據(jù)已知風風險較容容易獲知知的潛在在風險。而對于于大部分分的未知知風險，則依賴賴于風險險分析和和控制來來加以解解決或降降低。（2）風風險分析析風險分析析是運用用分析、比較、評估等等各種定定性、定定量的方方法，確確定電子子商務安安全各風風險要素素的重要要性，對對風險排排序并

19、評評估其對對電子商商務系統(tǒng)統(tǒng)各方面面的可能能后果，從而使使電子商商務系統(tǒng)統(tǒng)項目實實施人員員可以將將主要精精力放在在對付為為數(shù)不多多的重要要安全風風險上，使電子子商務系系統(tǒng)的整整體風險險得到有有效的控控制。風風險分析析是一種種確定風風險以及及對可能能造成的的損失進進行評估估的方法法，它是是制定安安全措施施的依據(jù)據(jù)。風險分析析的目標標是：確確定風險險，對可可能造成成損壞的的潛在風風險進行行定性化化和定量量化，以以及最后后在 HYPERLINK /Economic/ 經(jīng)濟濟上尋求求風險損損失和對對風險投投入成本本的平衡衡。目前，風風險分析析主要采采用的方方法有：風險概概率/ HYPERLINK /

20、影響評估估矩陣，敏感性性分析，模擬等等。在進進行電子子商務安安全風險險分析時時，由于于各影響響因素量量化在現(xiàn)現(xiàn)實上的的困難，可根據(jù)據(jù)實際需需要，主主要采用用定性方方法為主主輔以少少量定量量方法相相結(jié)合來來進行風風險分析析，為制制定風險險管理制制度和風風險的控控制提供供 HYPERLINK / 理論上的的依據(jù)。（3）風風險控制制風險控制制就是選選擇和運運用一定定的風險險控制手手段，以以保障風風險降到到一個可可以接受受的水平平。風險險控制是是風險管管理中最最重要的的一個環(huán)環(huán)節(jié)，是是決定風風險管理理成敗的的關(guān)鍵因因素。電電子商務務安全風風險控制制的目標標在于改改變企業(yè)業(yè)電子商商務項目目所承受受的風險

21、險程度。一般來來說，風風險控制制方法有有兩類：第一類是是風險控控制措施施，比如如降低、避免、轉(zhuǎn)移風風險和損損失管理理等。在在電子商商務安全全風險管管理中，比較常常用的是是轉(zhuǎn)移風風險和損損失管理理。第二類為為風險補補償?shù)幕I籌資措施施，包括括保險與與自擔風風險。在在電子商商務安全全風險管理中，管理人人員需要要對風險險補償?shù)牡幕I資措措施進行行決策，即選擇擇保險還還是自擔擔風險。此外，風風險控制制 HYPERLINK / 方法的選選擇應當當充分考考慮相對對風險造造成損失失的成本本，當然然其它方方面的 HYPERLINK / 影影響也是是不容忽忽視的，如 HYPERLINK /company/ 企業(yè)業(yè)商

22、譽等等。對 HYPERLINK /dianzijixie/ 電子商商務安全全來說，其有效效可行的的風險控控制方法法是：建建立完整整高效的的降低風風險的安安全性解解決方案案，掌握握保障安安全性所所需的一一些基礎(chǔ)礎(chǔ)技術(shù)，并規(guī)劃劃好發(fā)生生特定安安全事故故時企業(yè)業(yè)應該采采取的解解決方案案。風險管理理對策由于電子子商務安安全的重重要性，所以部部署一個個完整有有效的電電子商務務安全風風險管理理對策顯顯得十分分迫切。制定電電子商務務安全風風險管理理對策目目的在于于消除潛潛在的威威脅和安安全漏洞洞，從而而降低電電子商務務系統(tǒng)環(huán)環(huán)境所面面臨的風風險。 HYPERLINK / 目前的電電子商務務安全風風險管理理對

23、策中中，較為為常用的的是縱深深防御戰(zhàn)戰(zhàn)略，所所謂縱深深防御戰(zhàn)戰(zhàn)略，就就是深層層安全和和多層安安全。通通過部署署多層安安全保護護，可以以確保當當其中一一層遭到到破壞時時，其它它層仍能能提供保保護電子子商務系系統(tǒng)資源源所需的的安全。比如，一個單單位外部部的防火火墻遭到到破壞，由于內(nèi)內(nèi)部防火火墻的作作用，入入侵者也也無法獲獲取單位位的敏感感數(shù)據(jù)或或進行破破壞。在在較為理理想的情情況下，每一層層均提供供不同的的對策以以免在不不同的層層中使用用相同的的攻擊方方法。下下圖為一一個有效效的縱深深防御策策略：圖2 有有效的縱縱深防御御策略下面就各各層的主主要防御御 HYPERLINK / 內(nèi)容從外外層到里里層

24、進行行簡要的的說明：（1）物理理安全物理安全全是整個個電子商商務系統(tǒng)統(tǒng)安全的的前提。制定電電子商務務物理安安全策略略的目的的在于保保護 HYPERLINK /pc/ 計算算機系統(tǒng)統(tǒng)、電子子商務服服務器等等各電子子商務系系統(tǒng)硬件件實體和和通信鏈鏈路免受受 HYPERLINK /lixue/ 自然災害害和人為為破壞造造成的安安全風險險。（2）周邊邊防御對 HYPERLINK /network/ 網(wǎng)絡周周邊的保保護能夠夠起到抵抵御外界界攻擊的的作用。電子商商務系統(tǒng)統(tǒng)應盡可可能安裝裝某種類類型的安安全設備備來保護護網(wǎng)絡的的每個訪訪問節(jié)點點。在技技術(shù)上來來說，防防火墻是是網(wǎng)絡周周邊防御御的最主主要的手手

25、段，電電子商務務系統(tǒng)應應當安裝裝一道或或多道防防火墻，以確保保最大限限度地降降低外界界攻擊的的風險，并利用用入侵檢檢測功能能來及時時發(fā)現(xiàn)外外界的非非法訪問問和攻擊擊。（3）網(wǎng)絡絡防御網(wǎng)絡防御御是對網(wǎng)網(wǎng)絡系統(tǒng)統(tǒng)環(huán)境進進行評估估，采取取一定措措施來抵抵御黑客客的攻擊擊，以確確保它們們得到適適當?shù)谋１Ｗo。就就目前來來說，網(wǎng)網(wǎng)絡安全全防御行行為是一一種被動動式的反反應行為為，而且且，防御御技術(shù)的的 HYPERLINK /fazhan/ 發(fā)展速度度也沒有有攻擊技技術(shù)發(fā)展展得那么么快。為為了提高高網(wǎng)絡安安全防御御能力，使網(wǎng)絡絡安全防防護系統(tǒng)統(tǒng)在攻擊擊與防護護的對抗抗中占據(jù)據(jù)主動地地位，在在網(wǎng)絡安安全防護護

26、系統(tǒng)中中，除了了使用被被動型安安全工具具（防火火墻、漏漏洞掃描描等）外外，也需需要采用用主動型型安全防防護措施施（如：網(wǎng)絡陷陷阱、入入侵取證證、入侵侵檢測、自動恢恢復等）。（4）主機機防御主機防御御是對系系統(tǒng)中的的每一臺臺主機進進行安全全評估，然后根根據(jù)評估估結(jié)果制制定相應應的對策策以限制制服務器器執(zhí)行的的任務。在主機機及其環(huán)環(huán)境中，安全保保護對象象包括用用戶 HYPERLINK 應用用環(huán)境中中的服務務器、客客戶機以以及其上上安裝的的操作系系統(tǒng)和應應用系統(tǒng)統(tǒng)。這些些應用能能夠提供供包括信信息訪問問、存儲儲、傳輸輸、錄入入等在內(nèi)內(nèi)的服務務。根據(jù)據(jù)信息保保障技術(shù)術(shù)框架，對主機機及其環(huán)環(huán)境的安安全保

27、護護首先是是為了建建立防止止有惡意意的內(nèi)部部人員攻攻擊的首首道防線線，其次次是為了了防止外外部人員員穿越系系統(tǒng)保護護邊界并并進行攻攻擊的最最后防線線。（5）應用用程序防防御作為一個個防御層層，應用用程序的的加固是是任何一一種安全全模型中中都不可可缺少的的一部分分。加強強保護操操作系統(tǒng)統(tǒng)安全只只能提供供一定程程度的保保護。因因此，電電子商務務系統(tǒng)的的開發(fā)人人員有責責任將安安全保護護融入到到應用程程序中，以便對對體系結(jié)結(jié)構(gòu)中應應用程序序可訪問問到的區(qū)區(qū)域提供供專門的的保護。應用程程序存在在于系統(tǒng)統(tǒng)的環(huán)境境中。（6）數(shù)據(jù)據(jù)防御對許多電電子商務務企業(yè)來來說，數(shù)數(shù)據(jù)就是是企業(yè)的的資產(chǎn)，一旦落落入競爭爭者

28、手中中或損壞壞將造成成不可挽挽回的損損失。因因此，加加強對電電子商務務交易及及相關(guān)數(shù)數(shù)據(jù)的防防護，對對電子商商務系統(tǒng)統(tǒng)的安全全和電子子商務項項目的正正常運行行具有重重要的現(xiàn)現(xiàn)實意義義電子商商務技術(shù)術(shù)風險控控制針對電子子商務中中潛在的的各類技技術(shù)風險險，筆者者提出利利用以下下技術(shù)手手段建立立一套完完整的風風險控制制體系，將電子子商務的的風險減減少到最最小。1、網(wǎng)絡絡安全技技術(shù)網(wǎng)絡安全全是電子子商務安安全的基基礎(chǔ)，一一個完整整的電子子商務應應該建立立在安全全的網(wǎng)絡絡基礎(chǔ)之之上。網(wǎng)網(wǎng)絡安全全技術(shù)涉涉及面較較廣，主主要包括括操作系系統(tǒng)安全全、防火火墻技術(shù)術(shù)、虛擬擬專用網(wǎng)網(wǎng)技術(shù)（VPNN）、漏漏洞識別別

29、與檢測測技術(shù)。1.1 操作系系統(tǒng)安全全操作系統(tǒng)統(tǒng)的安全全機制主主要有：過濾保保護、安安全檢測測保護以以及隔離離保護。（1）過過濾保護護分析所所有針對對受保護護對象的的訪問，過濾惡惡意攻擊擊以及可可能帶來來不安全全因素的的非法訪訪問。（2）安安全檢測測保護對對所有用用戶的操操作進行行分析，阻止那那些超越越權(quán)限的的用戶操操作以及及可能給給操作系系統(tǒng)帶來來不安全全因素的的用戶操操作。（3）離離保護在在支持多多進程和和多線程程的操作作系統(tǒng)中中，必須須保證同同時運行行的多個個進程和和線程之之間是相相互隔離離的，即即各個進進程和線線程分別別調(diào)用不不同的系系統(tǒng)資源源，且每每一個進進程和線線程都無無法判斷斷是

30、否還還有其他他的進程程或線程程在同時時運行。一般的的隔離保保護措施施有以下下4種：物理隔隔離不同同的進程程和線程程調(diào)用的的系統(tǒng)資資源在物物理上是是隔離的的；暫時隔隔離在特特殊需要要的時間間段內(nèi)，對某一一個或某某些進程程或線程程實施隔隔離，該該時間段段結(jié)束后后解除隔隔離；軟件隔隔離在軟軟件層面面上對各各個進程程的訪問問權(quán)限實實行控制制和限制制，以達達到隔離離的效果果；加密隔隔離采用用加密算算法對相相應的對對象進行行加密。1.2 防火墻墻技術(shù)防火墻是是將專用用網(wǎng)絡與與公共網(wǎng)網(wǎng)絡隔離離開來的的網(wǎng)絡節(jié)節(jié)點，由由硬件和和軟件組組成，其其主要功功能是通通過建立立網(wǎng)絡通通信的過過濾機制制，控制制和鑒別別出入

31、站站點的各各種訪問問，進而而有效地地提高交交易的安安全性。目前的的防火墻墻技術(shù)主主要包括括兩種類類型，第第一類是是包過濾濾技術(shù)，其運作作方式是是監(jiān)視通通過它的的數(shù)據(jù)流流，根據(jù)據(jù)防火墻墻管理事事先制定定的系統(tǒng)統(tǒng)安全政政策，選選擇性地地決定是是否讓這這些數(shù)據(jù)據(jù)通行；第二類類是代理理網(wǎng)關(guān)技技術(shù)，其其運作方方式是所所有要向向服務器器索取的的數(shù)據(jù)，都通過過代理服服務器來來索取。目前，防火墻墻技術(shù)的的最新發(fā)發(fā)展趨勢勢是分布布式和智智能化防防火墻技技術(shù)。分分布式防防火墻是是嵌入到到操作系系統(tǒng)內(nèi)核核中，對對所有的的信息流流進行過過濾與限限制；智智能化防防火墻利利用了統(tǒng)統(tǒng)計、記記憶、概概率和決決策等智智能技術(shù)術(shù)

32、，對網(wǎng)網(wǎng)絡執(zhí)行行訪問控控制。1.3 VPNN虛擬專用用網(wǎng)（VVPN）是依靠靠Intternnet服服務提供供商（IISP）和其他他網(wǎng)絡服服務提供供商（NNSP），在公公用網(wǎng)絡絡中建立立專用數(shù)數(shù)據(jù)通信信網(wǎng)絡的的技術(shù)。VPNN實現(xiàn)技技術(shù)主要要有：隧隧道技術(shù)術(shù)、虛電電路技術(shù)術(shù)和基于于MPLLS（Mullti-Prootoccol Labbel Swiitchhingg，多協(xié)協(xié)議標簽簽交換協(xié)協(xié)議）技技術(shù)?；贛PPLS技技術(shù)的VVPN通通過改善善和加速速數(shù)據(jù)包包處理提提高VPPN效率率，集隧隧道技術(shù)術(shù)和路由由技術(shù)優(yōu)優(yōu)點于一一身，組組網(wǎng)具有有極好的的靈活性性和擴展展性。用用戶只需需一條線線路接入入VP

33、NN網(wǎng)，便便可以實實現(xiàn)任何何節(jié)點之之間的直直接通信信。不過過基于MMPLSS技術(shù)的的VPNN技術(shù)本本身還有有一個成成熟的過過程，但但是它代代表了VVPN的的發(fā)展方方向。1.4 漏洞識識別與檢檢測系統(tǒng)統(tǒng)大部分管管理員采采用安全全漏洞掃掃描工具具對整個個系統(tǒng)進進行掃描描，了解解系統(tǒng)的的安全狀狀況，如如Miccrossoftt Baasellinee Seecurrityy Annalyyze.許多國國產(chǎn)殺毒毒軟件也也提供安安全測試試程序：將存在在的漏洞洞標示出出來，并并提供相相應的解解決方法法來指導導用戶進進行修補補。掃描描方式的的漏洞檢檢測工具具往往無無法得到到目標系系統(tǒng)的準準確信息息，因此此無

34、法準準確判斷斷目標系系統(tǒng)的安安全狀況況。模擬擬攻擊測測試是解解決這一一問題的的有效方方法，可可以準確確判斷目目標系統(tǒng)統(tǒng)是否存存在測試試的漏洞洞。但是是由于漏漏洞的多多樣性和和復雜性性，現(xiàn)有有的模擬擬攻擊測測試系統(tǒng)統(tǒng)發(fā)展緩緩慢。2、數(shù)據(jù)據(jù)加密技技術(shù)在網(wǎng)絡中中，計算算機的數(shù)數(shù)據(jù)以數(shù)數(shù)據(jù)包的的形式傳傳輸。為為了防止止信息被被竊取，應當對對發(fā)送的的全部信信息進行行加密。加密傳傳輸形式式是一種種將傳送送的內(nèi)容容變成一一些不規(guī)規(guī)則的數(shù)數(shù)據(jù)，只只有通過過正確的的密鑰才才可以恢恢復原文文的面貌貌。根據(jù)據(jù)密鑰的的特點，加密算算法分為為對稱密密鑰加密密算法（私鑰密密碼體制制）和非非對稱密密鑰加密密算法（公鑰密密碼

35、體制制）。目目前常用用的對稱稱密鑰加加密算法法有DEES（Datta EEncrrypttionn Sttanddardd）算法和和IDEEA（Intternnatiionaal DDataa Enncryyptiion Alggoriithmm）算法法。常用用的非對對稱密鑰鑰加密算算法有RRSA算算法和EEIGaamall算法。非對稱稱密鑰加加密算法法在實際際應用中中包括以以下幾種種安全技技術(shù)方式式：數(shù)字字摘要技技術(shù)，即即單向哈哈希函數(shù)數(shù)技術(shù)、數(shù)字簽簽名技術(shù)術(shù)、數(shù)字字證書技技術(shù)等。非數(shù)學的的加密理理論與技技術(shù)近年年來也發(fā)發(fā)展非常常迅速，成為繼繼傳統(tǒng)加加密方式式后的一一種新的的選擇：（1）信信

36、息隱藏藏（Infformmatiion Hiddingg）即信息息偽裝，也稱數(shù)數(shù)據(jù)隱藏藏（Datta HHidiing）、數(shù)字字水?。―iggitaal WWateermaarkiing），是將將秘密信信息秘密密地隱藏藏于另一一非機密密文件之之中，利用數(shù)數(shù)字化聲聲像信號號對于人人們的視視覺、聽聽覺的冗冗余，進行各各種時空空域和變變換域的的信息隱隱藏，從而實實現(xiàn)隱藏藏通信。主要以以灰度/彩色圖圖像、音音頻和視視頻信息息以及文文本作為為信息隱隱藏的載載體，代代表算法法有LSSB算法法和DCCT變換換域算法法。（2）量量子密碼碼（Quaantuum CCrypptoggrapphy）是以Heeise

37、enbeerg測測不準原原理和EEPR（EinnsteeinRRoseen）效應為為物理基基礎(chǔ)發(fā)展展起來的的一種密密碼技術(shù)術(shù)，真正實實現(xiàn)一次次一密碼碼，構(gòu)成理理論上不不可破譯譯的密碼碼體制。量子密密碼的研研究進展展順利，雖然還還有很多多問題需需要解決決，但某某些方面面尤其是是子密鑰鑰分發(fā)已已經(jīng)逐步步趨于實實用。3、身份份認證技技術(shù)網(wǎng)絡的虛虛擬性使使得要保保證每個個參與者者都能被被無誤地地識別，就必須須使用身身份認證證技術(shù)。在計算算機網(wǎng)絡絡中，現(xiàn)現(xiàn)有的用用戶身份份認證技技術(shù)基本本上可以以分為33類：（1）基基于口令令的認證證方式基于口令令的認證證方式是是最基本本的認證證方式，但是存存在嚴重重安全

38、隱隱患。安安全性完完全依賴賴于口令令，一旦旦口令泄泄漏，用用戶即被被冒充；而且用用戶選擇擇的口令令比較簡簡單，容容易被猜猜測。（2）基基于安全全物品的的認證方方式主要有電電子簽名名和認證證卡兩種種方式。電子簽簽名是電電子形式式的數(shù)據(jù)據(jù)，是與與數(shù)據(jù)電電文（電電子文件件、電子子信息）相聯(lián)系系的用于于識別簽簽名人的的身份和和表明簽簽名人認認可該數(shù)數(shù)據(jù)電文文內(nèi)容的的數(shù)據(jù)。目前廣廣泛應用用于電子子商務實實踐的電電子簽名名即數(shù)字字簽名，是通過過向第三三方的簽簽名認證證機構(gòu)提提出申請請，由機機構(gòu)進行行審查，頒發(fā)數(shù)數(shù)字證書書來取得得自己的的數(shù)字簽簽名。用用戶在發(fā)發(fā)送信息息時使用用自己的的私有密密鑰對信信息進行

39、行數(shù)字簽簽名，再再使用接接受方的的公共密密鑰將信信息進行行加密傳傳輸，接接收方使使用自己己的私有有密鑰解解密信息息，同時時使用發(fā)發(fā)送方的的公開簽簽名密鑰鑰核實信信息的數(shù)數(shù)字簽名名。智能能卡認證證方式具具有硬件件加密功功能，因因而具有有較高的的安全性性。進行行認證時時，用戶戶輸入個個人身份份識別碼碼（PIIN），智能卡卡認證PPIN成成功后，即可讀讀出卡中中的秘密密信息，與驗證證服務器器之間進進行認證證。（3）基基于生物物特征的的認證方方式以人體唯唯一的、可靠的的、穩(wěn)定定的生物物特征（如指紋紋、虹膜膜、人臉臉、掌紋紋、耳郭郭、聲音音）為依依據(jù)，利利用圖像像處理與與模式識識別技術(shù)術(shù)進行認認證?；?/p>

40、于密碼碼的認證證技術(shù)存存在密碼碼難以記記憶，容容易被黑黑客破譯譯的缺點點。而基基于生物物特征的的認證方方式具有有很好的的安全性性、可靠靠性和有有效性，正逐漸漸成為一一種新的的身份認認證方式式，特別別是近幾幾年來，全球生生物識別別技術(shù)的的飛速發(fā)發(fā)展為生生物認證證提供了了廣泛的的技術(shù)支支持。其其中，基基于人臉臉識別的的認證技技術(shù)已經(jīng)經(jīng)成為當當前的研研究熱點點，主要要方法有有基于幾幾何特征征的人臉臉識別方方法與基基于統(tǒng)計計的人臉臉識別方方法，并并且已有有產(chǎn)品投投入網(wǎng)絡絡安全領(lǐng)領(lǐng)域，如如Truue FFacee Cyyberr Waatchh.4、數(shù)據(jù)據(jù)庫安全全機制數(shù)據(jù)庫安安全最重重要的一一點就是是確

41、保只只授權(quán)給給有資格格的用戶戶訪問數(shù)數(shù)據(jù)庫的的權(quán)限，同時令令所有未未被授權(quán)權(quán)的人員員無法接接近數(shù)據(jù)據(jù)，這主主要通過過數(shù)據(jù)庫庫系統(tǒng)的的存取控控制機制制實現(xiàn)。存取控控制機制制主要包包括兩部部分：（1）定定義用戶戶權(quán)限，并將用用戶權(quán)限限登記到到數(shù)據(jù)字字典中。（2）合合法權(quán)限限檢查，每當用用戶發(fā)出出存取數(shù)數(shù)據(jù)庫的的操作請請求后，DBMMS查找找數(shù)據(jù)字字典，根根據(jù)安全全規(guī)則進進行合法法權(quán)限檢檢查。若若用戶的的操作請請求超出出了定義義的權(quán)限限，系統(tǒng)統(tǒng)將拒絕絕執(zhí)行此此操作。一旦數(shù)據(jù)據(jù)遭到破破壞，就就必須采采取補救救措施。建立嚴嚴格的數(shù)數(shù)據(jù)備份份與恢復復管理機機制是保保障數(shù)據(jù)據(jù)庫系統(tǒng)統(tǒng)安全的的有效手手段。數(shù)數(shù)

42、據(jù)備份份可以分分為2個層次次：硬件件級和軟軟件級。硬件級級的備份份是指用用冗余的的硬件來來保證系系統(tǒng)的連連續(xù)運行行。軟件件級的備備份指的的是將系系統(tǒng)數(shù)據(jù)據(jù)保存到到其他介介質(zhì)上，當出現(xiàn)現(xiàn)錯誤時時可以將將系統(tǒng)恢恢復到備備份時的的狀態(tài)，這種方方法可以以完全防防止邏輯輯損壞。5、第三三方認證證CA與采用其其他交易易方式相相比，采采用電子子商務交交易模式式的各方方還有更更多的風風險，這這些在電電子商務務中所特特有的風風險有：賣方在在網(wǎng)站上上對產(chǎn)品品進行不不實宣傳傳，欺詐詐行為的的風險；買方發(fā)發(fā)出惡意意訂單的的風險；交易一一方對電電子合同同否認的的風險；交易信信息傳送送風險，如信息息被竊、被修改改等風險險

43、。這些些風險的的存在，需要設設立第三三方認證證技術(shù)中中心，為為在網(wǎng)上上交易各各方交易易資料的的傳遞進進行加密密、驗證證和對交交易過程程進行監(jiān)監(jiān)察。CCA認證證技術(shù)中中心是一一個確保保信任的的權(quán)威實實體，它它的主要要職責是是頒發(fā)證證書，驗驗證用戶戶身份的的真實性性。任何何相信CCA的人人，按照照第三方方信任原原則，也也都應該該相信持持有證明明的用戶戶。CAA發(fā)放的的證書有有SSLL和SETT兩種。SSLL （Seccuree Soockeets Layyer）安全協(xié)議議又叫“安全套套接層協(xié)協(xié)議”，主要要用于提提高應用用程序之之間數(shù)據(jù)據(jù)的安全全系數(shù)，一般服服務于銀銀行對企企業(yè)或企企業(yè)對企企業(yè)的電電

44、子商務務。SEET協(xié)議議（Seecurre EElecctroonicc Trranssacttionn）位于應用用層，用用來保證證互聯(lián)網(wǎng)網(wǎng)上銀行行卡支付付交易安安全性，一般服服務于持持卡消費費、網(wǎng)上上購物等等。結(jié)論電子商務務的開展展以信息息技術(shù)為為基礎(chǔ)，如何解解決電子子商務中中存在的的安全問問題已成成為一個個迫在眉眉睫的課課題。電電子商務務風險是是不可能能完全消消除的，因為它它是與電電子商務務共生的的，是電電子商務務的必然然產(chǎn)物，但是，可以將將風險限限制在影影響最小小的范圍圍之內(nèi)。只有了了解風險險，才能能規(guī)避風風險。本本文從安安全風險險管理的的角度出出發(fā)，分分析了電電子商務務中可能能存在的的技術(shù)風風險，論論述了這這些風險險的控制制策略，希望對對企業(yè)開開展電子子商務活活動起到到一定的的積極作作用。一般來說說，風險險管理有有基本的的三個對對策，包包括管理理者采取取適當措措施來降降低風險險事故發(fā)發(fā)生的概概率；管管理者準準備并實實施一個個意外事