1 概述
目前,網(wǎng)上電子交易已經(jīng)隨著因特網(wǎng)的普及逐漸被人們所接受和應(yīng)用,網(wǎng)絡(luò)購(gòu)物、網(wǎng)上繳費(fèi)等方式極大的方便了人們的生活,越來(lái)越多的人開(kāi)始利用網(wǎng)絡(luò)來(lái)進(jìn)行交易。電子商務(wù)網(wǎng)站的有效運(yùn)作,依靠的是完全開(kāi)放的互聯(lián)網(wǎng),而這個(gè)網(wǎng)絡(luò)當(dāng)中的任何電腦之間、網(wǎng)絡(luò)之間都是互通的,安全和不安全的數(shù)據(jù)都可能在傳遞,各種風(fēng)險(xiǎn)隨時(shí)對(duì)電子商務(wù)的安全構(gòu)成威脅。電子商務(wù)正在規(guī);腿蚧髽I(yè)的發(fā)展在很大程度上都依賴(lài)于它,所以,電子商務(wù)網(wǎng)站的安全問(wèn)題必須得到有效的解決,才能保證它的正常運(yùn)轉(zhuǎn)。
2 電子商務(wù)網(wǎng)站的安全策略
電子商務(wù)依靠的是互聯(lián)網(wǎng),其核心和關(guān)鍵問(wèn)題就是交易的安全性。正是由于網(wǎng)絡(luò)本身的開(kāi)放性給網(wǎng)上交易帶來(lái)了種種危險(xiǎn),才要更加注重它的安全控制。電子商務(wù)網(wǎng)站的安全問(wèn)題可以從兩個(gè)方面進(jìn)行探討和分析,一是系統(tǒng)安全,二是數(shù)據(jù)安全,并且可以利用一些先進(jìn)的技術(shù)手段加以解決。
2.1系統(tǒng)安全
信息安全對(duì)于企業(yè)來(lái)說(shuō)很重要,而信息安全的前提是系統(tǒng)安全。系統(tǒng)安全主要包括網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和應(yīng)用系統(tǒng)3個(gè)方面。系統(tǒng)安全可以采用的技術(shù)手段有網(wǎng)絡(luò)隔離、訪問(wèn)控制、身份鑒別、數(shù)據(jù)加密、監(jiān)控評(píng)估等技術(shù)。
2.1.1網(wǎng)絡(luò)系統(tǒng)
網(wǎng)絡(luò)系統(tǒng)的安全問(wèn)題主要是由于網(wǎng)絡(luò)的開(kāi)放性造成的,解決問(wèn)題的關(guān)鍵是把網(wǎng)絡(luò)從開(kāi)放、自由的環(huán)境中分離出來(lái),使其變成可以控制和管理的獨(dú)立網(wǎng)絡(luò),就目前的技術(shù)發(fā)展來(lái)看,可以采用下列方法解決系統(tǒng)安全問(wèn)題。
1)系統(tǒng)隔離,就是將重要的網(wǎng)絡(luò)系統(tǒng)與其他系統(tǒng)分離,有物理隔離和邏輯隔離。按照網(wǎng)絡(luò)安全等級(jí)的不同可以將網(wǎng)絡(luò)合理劃分為多個(gè)互不連通的網(wǎng)絡(luò),使不同安全級(jí)別的網(wǎng)絡(luò)或設(shè)備不能相互訪問(wèn),從而達(dá)到安全隔離。也可以采用VLAN等網(wǎng)絡(luò)技術(shù)對(duì)業(yè)務(wù)網(wǎng)絡(luò)或辦公網(wǎng)絡(luò)實(shí)行邏輯上的隔離,劃分出不同的應(yīng)用子網(wǎng);
2)訪問(wèn)控制,通過(guò)設(shè)置有效合理的訪問(wèn)策略,對(duì)于不同區(qū)域的網(wǎng)絡(luò)資源實(shí)行訪問(wèn)控制,防止非法用戶訪問(wèn)受保護(hù)的資源,其主要解決的問(wèn)題就是網(wǎng)絡(luò)邊界的安全控制和網(wǎng)絡(luò)內(nèi)部資源的訪問(wèn)控制?梢园凑找欢ǖ脑瓌t根據(jù)需要對(duì)信息的流向進(jìn)行單向或雙向控制。能夠設(shè)置訪問(wèn)控制的網(wǎng)絡(luò)設(shè)備有很多,比如交換機(jī)、路由器,而最重要也是最有效的則是防火墻,它通常被布置在網(wǎng)絡(luò)的出入口處,對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)信息進(jìn)行有效的檢測(cè)和過(guò)濾,同時(shí)按照訪問(wèn)控制列表和安全政策對(duì)信息流進(jìn)行控制,允許合理有效的數(shù)據(jù)通過(guò),將不安全和不符合要求的數(shù)據(jù)拒之網(wǎng)外;
3)身份鑒定,對(duì)訪問(wèn)網(wǎng)絡(luò)的用戶進(jìn)行身份識(shí)別,通?梢允褂萌N方式對(duì)訪問(wèn)者進(jìn)行身份驗(yàn)證,一是訪問(wèn)者了解的安全信息,比如賬號(hào)、密碼、密鑰等;二是訪問(wèn)者提供的物件,比如訪問(wèn)磁卡、通用Ic卡、動(dòng)態(tài)口令卡等;三是訪問(wèn)者自身的特征信息,比如聲音、指紋、視網(wǎng)膜、筆跡等。身份鑒定的目的就是阻止非法用戶訪問(wèn)這些被加密的數(shù)據(jù),而加密是為了防止網(wǎng)絡(luò)數(shù)據(jù)被竊聽(tīng)、泄漏、篡改和破壞;4)安全監(jiān)測(cè),利用網(wǎng)絡(luò)設(shè)備的高級(jí)功能和技術(shù),通過(guò)分析來(lái)訪數(shù)據(jù)信息,找出未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問(wèn)和非法行為,包括對(duì)網(wǎng)絡(luò)系統(tǒng)的掃描、跟蹤、預(yù)警、阻斷、記錄等,從而將系統(tǒng)遭受的攻擊傷害減少到最低。除了網(wǎng)絡(luò)設(shè)備,還可利用一些專(zhuān)業(yè)的網(wǎng)絡(luò)掃描監(jiān)測(cè)系統(tǒng)來(lái)對(duì)付黑客和非法入侵,這些系統(tǒng)能夠主動(dòng)、實(shí)時(shí)、有效的識(shí)別出非法數(shù)據(jù)和用戶,并且通過(guò)網(wǎng)絡(luò)掃描能夠針對(duì)網(wǎng)絡(luò)設(shè)備的安全漏洞進(jìn)行檢測(cè)和分析,包括網(wǎng)絡(luò)服務(wù)、防火墻、路由器、郵件服務(wù)器、網(wǎng)站服務(wù)器等,從而識(shí)別那些可以被入侵者利用并非法進(jìn)入的網(wǎng)絡(luò)漏洞。網(wǎng)絡(luò)掃描系統(tǒng)對(duì)檢測(cè)到的漏洞信息形成詳細(xì)報(bào)告并提供改進(jìn)方案,使網(wǎng)絡(luò)管理人員能檢測(cè)和管理好安全風(fēng)險(xiǎn)。
2.1.2操作系統(tǒng)
操作系統(tǒng),實(shí)際上就是電腦管理控制程序,是管理計(jì)算機(jī)軟硬件資源的核心系統(tǒng),負(fù)責(zé)設(shè)備的管理、數(shù)據(jù)的存儲(chǔ)、信息的發(fā)送和各種系統(tǒng)資源的調(diào)度,它是各種應(yīng)用軟件的系統(tǒng)平臺(tái),具有通用性和易用性,操作系統(tǒng)的安全直接影響到應(yīng)用系統(tǒng)和數(shù)據(jù)的安全,一般分為應(yīng)用安全和系統(tǒng)掃描。
1)應(yīng)用安全,面向應(yīng)用選擇可靠的操作系統(tǒng),可以杜絕使用來(lái)歷不明的軟件。用戶可安裝操作系統(tǒng)保護(hù)與恢復(fù)軟件,并作相應(yīng)的備份;2)系統(tǒng)掃描,基于主機(jī)的安全評(píng)估系統(tǒng)是對(duì)系統(tǒng)的安全風(fēng)險(xiǎn)級(jí)別進(jìn)行劃分,并提供完整的安全漏洞檢查列表,通過(guò)不同版本的操作系統(tǒng)進(jìn)行掃描分析,對(duì)掃描漏洞自動(dòng)修補(bǔ)形成報(bào)告,保護(hù)應(yīng)用程序、數(shù)據(jù)免受盜用、破壞。
2.1.3應(yīng)用系統(tǒng)
1)文件的安全存儲(chǔ):利用各種加密手段,結(jié)合相應(yīng)的身份鑒定和密碼保護(hù)機(jī)制,使存儲(chǔ)在本地或者網(wǎng)絡(luò)上的重要文件處于安全存儲(chǔ)的狀態(tài),即便他人通過(guò)非法手段獲取到了文件或存儲(chǔ)設(shè)備,也難以取得文件里的內(nèi)容;
2)文件的安全傳遞:對(duì)通過(guò)網(wǎng)絡(luò)發(fā)送的文件進(jìn)行安全處理,比如加密、簽名、完整性鑒別等,使被傳送的文件只有指定的接收者通過(guò)相應(yīng)的安全鑒別機(jī)制才能解密并閱讀,避免了文件在傳送或存儲(chǔ)的過(guò)程當(dāng)中被截獲、篡改和破壞等;3)業(yè)務(wù)服務(wù)安全:主要面向業(yè)務(wù)管理和信息服務(wù)的安全需求。對(duì)于各種通用信息服務(wù),如WEB信息服務(wù)、FrP服務(wù)、電子郵件服務(wù)等服務(wù),采用相應(yīng)安全軟件系統(tǒng)進(jìn)行保護(hù),如安全郵件系統(tǒng)、WEB頁(yè)面保護(hù)等;對(duì)于各種業(yè)務(wù)信息可以配合專(zhuān)業(yè)管理信息系統(tǒng)軟件采取對(duì)信息內(nèi)容的安全保護(hù),防止外部非法侵入和內(nèi)部信息泄漏。
2.1.2數(shù)據(jù)安全
信息數(shù)據(jù)的安全主要包含了數(shù)據(jù)庫(kù)的安全和數(shù)據(jù)本身的安全,這兩個(gè)方面的安全問(wèn)題都必須得有相應(yīng)的安全措施,才能確保數(shù)據(jù)安全。
1)數(shù)據(jù)庫(kù)安全,目前很多企業(yè)使用的數(shù)據(jù)庫(kù)都是SQL Server或者ORACLE大型數(shù)據(jù)庫(kù),這些數(shù)據(jù)庫(kù)系統(tǒng)本身具備一定的安全性,安全級(jí)別可以滿足日常需求。但是由于數(shù)據(jù)庫(kù)十分重要,應(yīng)在此基礎(chǔ)上再采取一些安全措施,增加相應(yīng)安全組件,改良密碼策略,對(duì)數(shù)據(jù)庫(kù)實(shí)施分級(jí)管理并提供可靠的故障恢復(fù)機(jī)制,實(shí)現(xiàn)數(shù)據(jù)庫(kù)的訪問(wèn)、存取和加密控制。具體方法有安全數(shù)據(jù)庫(kù)系統(tǒng)、數(shù)據(jù)庫(kù)保密系統(tǒng)、數(shù)據(jù)庫(kù)掃描系統(tǒng)等;
2)數(shù)據(jù)安全,即存儲(chǔ)在數(shù)據(jù)庫(kù)中的數(shù)據(jù)本身的安全,相應(yīng)的保護(hù)措施有安裝反病毒軟件和防火墻軟件,建立一套可靠的數(shù)據(jù)備份與恢復(fù)系統(tǒng),定期對(duì)數(shù)據(jù)進(jìn)行備份,定期修改數(shù)據(jù)庫(kù)密碼,必要時(shí)可以對(duì)重要數(shù)據(jù)采取多層加密保護(hù)。
2.3交易安全
網(wǎng)上交易安全是用戶最關(guān)心的問(wèn)題,只有提供穩(wěn)定的安全保證,在線交易用戶才會(huì)具有安全感,才會(huì)覺(jué)得交易平臺(tái)可靠,電子商務(wù)網(wǎng)站才會(huì)具有廣闊的發(fā)展空間。
1)交易安全標(biāo)準(zhǔn),目前在電子商務(wù)中主要的安全標(biāo)準(zhǔn)有兩種:
應(yīng)用層的SET(安全電子交易)和會(huì)話層SSL(安全套層)協(xié)議。前者由信用卡機(jī)構(gòu)VISA及MasterCard提出的針對(duì)電子錢(qián)包、商場(chǎng)、認(rèn)證中心的安全標(biāo)準(zhǔn),SET的關(guān)鍵特征是信息的機(jī)密性、數(shù)據(jù)的可靠性、卡用戶賬號(hào)的鑒別、商人的鑒別,主要用于銀行等金融機(jī)構(gòu)。后者由NETSCAPE公司提出的針對(duì)數(shù)據(jù)的機(jī)密性、完整性、開(kāi)放性和身份確認(rèn)的安全協(xié)議,它可以保證數(shù)據(jù)不被竊取和破壞,此協(xié)議已經(jīng)成為WEB應(yīng)用安全標(biāo)準(zhǔn);
2)交易安全基礎(chǔ)體系:交易安全的基礎(chǔ)是現(xiàn)代密碼學(xué)技術(shù),主要取決去于加密方法和加密強(qiáng)度。加密分為單密鑰的對(duì)稱(chēng)加密體系和雙密鑰的非對(duì)稱(chēng)加密體系。兩者各有所長(zhǎng),對(duì)稱(chēng)密鑰具有加密效率高,但存在密鑰分發(fā)困難、管理不便的弱點(diǎn)。非對(duì)稱(chēng)密鑰加密速度慢,但便于密鑰分發(fā)管理。通常把兩者結(jié)合使用,以達(dá)到高效安全的目的;
3)交易安全的實(shí)現(xiàn),交易安全的實(shí)現(xiàn)主要是指交易雙方身份確認(rèn)、交易指令及數(shù)據(jù)加密傳輸、數(shù)據(jù)的完整性、防止雙方對(duì)交易結(jié)果的否認(rèn)等等。具體實(shí)現(xiàn)的途徑是交易各方具有相關(guān)身份證明,同時(shí)在SSL協(xié)議體系下完成交易過(guò)程中電子證書(shū)驗(yàn)證、數(shù)字簽名、指令數(shù)據(jù)的加密傳輸、交易結(jié)果確認(rèn)審計(jì)等。
3 結(jié)論
企業(yè)電子商務(wù)網(wǎng)站的安全,需要一個(gè)完整的綜合保障體系,要采用綜合防范的思路,從技術(shù)、管理、法律等多方面加以認(rèn)識(shí)和思考。安全實(shí)際上是一種風(fēng)險(xiǎn)管理,任何技術(shù)手段都不能夠保證百分之百的安全,但是安全技術(shù)可以降低系統(tǒng)遭到破壞和攻擊的風(fēng)險(xiǎn),在一定程度上保障數(shù)據(jù)的安全。電子商務(wù)正處于蓬勃發(fā)展時(shí)期,只有解決了電子商務(wù)中出現(xiàn)的各類(lèi)問(wèn)題,才能是電子商務(wù)系統(tǒng)更加安全。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:企業(yè)電子商務(wù)網(wǎng)站的安全策略
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083953294.html