電子商務(wù)安全事件精選(五篇)

發(fā)布時間：2023-09-18 16:09:30

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術(shù)，我們?yōu)槟鷾?zhǔn)備了不同風(fēng)格的5篇電子商務(wù)安全事件，期待它們能激發(fā)您的靈感。

篇1

關(guān)鍵字電子商務(wù) 網(wǎng)絡(luò)安全事件類型安全建議

1前言

隨著Internet的快速發(fā)展，電子商務(wù)已經(jīng)逐漸成為人們進行商務(wù)活動的新模式。越來越多的人通過Internet進行商務(wù)活動。電子商務(wù)的發(fā)展前景十分誘人，而其安全問題也變得越來越突出。近年來，網(wǎng)絡(luò)安全事件不斷攀升，電子商務(wù)金融成了攻擊目標(biāo)，以網(wǎng)頁篡改和垃圾郵件為主的網(wǎng)絡(luò)安全事件正在大幅攀升。國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（以下簡稱CNCERT/CC）作為接收國內(nèi)網(wǎng)絡(luò)安全事件報告的重要機構(gòu)，2005年上半年共收到網(wǎng)絡(luò)安全事件報告65679件，為2004年全年64686件還要多。在CNCERT/CC處理的網(wǎng)絡(luò)安全事件報告中，網(wǎng)頁篡改占45.91％，網(wǎng)絡(luò)仿冒占29%，其余為拒絕服務(wù)攻擊、垃圾郵件、蠕蟲、木馬等，2004年以來，我國面臨的網(wǎng)絡(luò)仿冒威脅正在逐漸加大，仿冒對象主要是金融網(wǎng)站和電子商務(wù)網(wǎng)站。數(shù)字顯示，電子商務(wù)等網(wǎng)站極易成為攻擊者的目標(biāo)，其安全防范有待加強。如何建立一個安全、便捷的電子商務(wù)應(yīng)用環(huán)境，對信息提供足夠的保護，已經(jīng)成為商家和用戶都十分關(guān)心的話題。

2影響電子商務(wù)發(fā)展的主要網(wǎng)絡(luò)安全事件類型

一般來說，對電子商務(wù)應(yīng)用影響較多、發(fā)生率較高的互聯(lián)網(wǎng)安全事件可以分為網(wǎng)頁篡改、網(wǎng)絡(luò)蠕蟲、拒絕服務(wù)攻擊、特羅伊木馬、計算機病毒、網(wǎng)絡(luò)仿冒等，而近幾年來出現(xiàn)的網(wǎng)絡(luò)仿冒（Phishing），已逐步成為影響電子商務(wù)應(yīng)用與發(fā)展的主要威脅之一。

2.1網(wǎng)絡(luò)篡改

網(wǎng)絡(luò)篡改是指將正常的網(wǎng)站主頁更換為黑客所提供的網(wǎng)頁。這是黑客攻擊的典型形式。一般來說，主頁的篡改對計算機系統(tǒng)本身不會產(chǎn)生直接的損失，但對電子商務(wù)等需要與用戶通過網(wǎng)站進行溝通的應(yīng)用來說，就意味著電子商務(wù)將被迫終止對外的服務(wù)。對企業(yè)網(wǎng)站而言，網(wǎng)頁的篡改，尤其是含有攻擊、丑化色彩的篡改，會對企業(yè)形象與信譽造成嚴(yán)重?fù)p害。

2.2網(wǎng)絡(luò)蠕蟲

網(wǎng)絡(luò)蠕蟲是指一種可以不斷復(fù)制自己并在網(wǎng)絡(luò)中傳播的程序。這種程序利用互聯(lián)網(wǎng)上計算機系統(tǒng)的漏洞進入系統(tǒng)，自我復(fù)制，并繼續(xù)向互聯(lián)網(wǎng)上的其它系統(tǒng)進行傳播。網(wǎng)絡(luò)蠕蟲的危害通常有兩個方面：1、蠕蟲在進入被攻擊的系統(tǒng)后，一旦具有控制系統(tǒng)的能力，就可以使得該系統(tǒng)被他人遠(yuǎn)程操縱。其危害一方面是重要系統(tǒng)會出現(xiàn)失密現(xiàn)象，另一方面會被利用來對其他系統(tǒng)進行攻擊。2、蠕蟲的不斷蛻變并在網(wǎng)絡(luò)上的傳播，可能導(dǎo)致網(wǎng)絡(luò)被阻塞的現(xiàn)象發(fā)生，從而致使網(wǎng)絡(luò)癱瘓，使得各種基于網(wǎng)絡(luò)的電子商務(wù)等應(yīng)用系統(tǒng)失效。

2.3拒絕服務(wù)攻擊

拒絕服務(wù)攻擊是指在互聯(lián)網(wǎng)上控制多臺或大量的計算機針對某一個特定的計算機進行大規(guī)模的訪問，使得被訪問的計算機窮于應(yīng)付來勢兇猛的訪問而無法提供正常的服務(wù)，使得電子商務(wù)這類應(yīng)用無法正常工作。

一般來說，這是黑客常用的一種行之有效的方法。如果所調(diào)動的攻擊計算機足夠多，則更難進行處置。尤其是被蠕蟲侵襲過的計算機，很容易被利用而成為攻擊源，并且這類攻擊通常是跨網(wǎng)進行的，加大了打擊犯罪的難度。

2.4特羅伊木馬

特羅伊木馬（簡稱木馬）是一種隱藏在計算機系統(tǒng)中不為用戶所知的惡意程序，通常用于潛伏在計算機系統(tǒng)中來與外界連接，并接受外界的指令。被植入木馬的計算機系統(tǒng)內(nèi)的所有文件都會被外界所獲得，并且該系統(tǒng)也會被外界所控制，也可能會被利用作為攻擊其它系統(tǒng)的攻擊源。很多黑客在入侵系統(tǒng)時都會同時把木馬植入到被侵入的系統(tǒng)中。

2.4網(wǎng)絡(luò)仿冒（Phishing）

Phishing又稱網(wǎng)絡(luò)仿冒、網(wǎng)絡(luò)欺詐、仿冒郵件或者釣魚攻擊等，是黑客使用欺詐郵件和虛假網(wǎng)頁設(shè)計來誘騙收件人提供信用卡帳號、用戶名、密碼、社會福利號碼等，隨后利用騙得的帳號和密碼竊取受騙者金錢。近年來，隨著電子商務(wù)、網(wǎng)上結(jié)算、網(wǎng)上銀行等業(yè)務(wù)在日常生活中的普及，網(wǎng)絡(luò)仿冒事件在我國層出不窮，諸如中國銀行網(wǎng)站等多起金融網(wǎng)站被仿冒。網(wǎng)絡(luò)仿冒已經(jīng)成為影響互聯(lián)網(wǎng)應(yīng)用，特別是電子商務(wù)應(yīng)用的主要威脅之一。

根據(jù)國際反仿冒郵件工作小組（Anti-Phishing Working Group，APWG）統(tǒng)計，2005年4月共有2854起仿冒郵件事件報告；從2004年7月至2005年4月，平均每月的仿冒郵件事件報告數(shù)量的遞增達(dá)率15%；僅在2005年4月，就共有79個各類機構(gòu)被仿冒。2005年上半年CNCERT/CC廣東分中心就處理了15多期的網(wǎng)絡(luò)仿冒事件。從這些數(shù)字可以看到，Phishing事件不僅數(shù)量多、仿冒范圍大，而且仍然在不斷增長。

網(wǎng)絡(luò)仿冒者為了逃避相關(guān)組織和管理機構(gòu)的打擊，充分利用互聯(lián)網(wǎng)的開放性，往往會將仿冒網(wǎng)站建立在其他國家，而又利用第三國的郵件服務(wù)器來發(fā)送欺詐郵件，這樣既便是仿冒網(wǎng)站被人舉報，但是關(guān)閉仿冒網(wǎng)站就比較麻煩，對網(wǎng)絡(luò)欺詐者的追查就更困難了，這是現(xiàn)在網(wǎng)絡(luò)仿冒犯罪的主要趨勢之一。

據(jù)統(tǒng)計，中國已經(jīng)成為第二大仿冒網(wǎng)站的屬地國，僅次于美國，而就目前CNCERT/CC的實際情況來看，已經(jīng)接到多個國家要求協(xié)助處理仿冒網(wǎng)站的合作請求。因此，需要充分重視網(wǎng)絡(luò)仿冒行為的跨國化。

3安全建議

隨著網(wǎng)絡(luò)應(yīng)用日益普及和更為復(fù)雜，網(wǎng)絡(luò)安全事件不斷出現(xiàn)，電子商務(wù)的安全問題日益突出，需要從國家相關(guān)法律建設(shè)的大環(huán)境到企業(yè)制定的電子商務(wù)網(wǎng)絡(luò)安全管理整體架構(gòu)的具體措施，才能有效保護電子商務(wù)的正常應(yīng)用與發(fā)展。

3.1不斷完善法律與政策依據(jù) 充分發(fā)揮應(yīng)急響應(yīng)組織的作用

目前我國對于互聯(lián)網(wǎng)的相關(guān)法律法規(guī)還較為欠缺，尤其是互聯(lián)網(wǎng)這樣一個開放和復(fù)雜的領(lǐng)域，相對于現(xiàn)實社會，其違法犯罪行為的界定、取證、定位都較為困難。因此，對于影響電子商務(wù)發(fā)展的基于互聯(lián)網(wǎng)的各類網(wǎng)絡(luò)安全事件的違法犯罪行為的立法，需要一個漫長的過程。

根據(jù)互聯(lián)網(wǎng)的體系結(jié)構(gòu)和網(wǎng)絡(luò)安全事件的特點，需要建立健全協(xié)調(diào)一致，快速反應(yīng)的各級網(wǎng)絡(luò)應(yīng)急體系。要制定有關(guān)管理規(guī)定，為網(wǎng)絡(luò)安全事件的有效處理提供法律和政策依據(jù)。

轉(zhuǎn)貼于互聯(lián)網(wǎng)應(yīng)急響應(yīng)組織是響應(yīng)并處理公共互聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全事件的組織，在我國，CNCERT/CC是國家級的互聯(lián)網(wǎng)應(yīng)急響應(yīng)組織，目前已經(jīng)建立起了全國性的應(yīng)急響應(yīng)體系；同時，CNCERT/CC還是國際應(yīng)急響應(yīng)與安全小組論壇（FIRST，F(xiàn)orum of Incident Response and Security Teams）等國際機構(gòu)的成員。

應(yīng)急響應(yīng)組織通過發(fā)揮其技術(shù)優(yōu)勢，利用其支撐單位，即國內(nèi)主要網(wǎng)絡(luò)安全廠商的行業(yè)力量，為相關(guān)機構(gòu)提供網(wǎng)絡(luò)安全的咨詢與技術(shù)服務(wù)，共同提高網(wǎng)絡(luò)安全水平，能有效減少各類的網(wǎng)絡(luò)事件的出現(xiàn)；通過聚集相關(guān)科研力量，研究相關(guān)技術(shù)手段，以及如何建立新的電子交易的信任體系，為電子商務(wù)等互聯(lián)網(wǎng)應(yīng)用的普及和順利發(fā)展提供前瞻性的技術(shù)研究方面具有積極意義。

對于目前跨國化趨勢的各類網(wǎng)絡(luò)安全事件，可以通過國際組織之間的合作，利用其協(xié)調(diào)機制，予以積極處理。事實上，從CNCERT/CC成立以來，已經(jīng)成功地處理了多起境外應(yīng)急響應(yīng)組織提交的網(wǎng)絡(luò)仿冒等安全事件協(xié)查請求，關(guān)閉了上百個各類仿冒網(wǎng)站；同時，CNCERT/CC充分發(fā)揮其組織、協(xié)調(diào)作用，成功地處理了國內(nèi)網(wǎng)頁篡改、網(wǎng)絡(luò)仿冒、木馬等網(wǎng)絡(luò)安全事件。

3.2建立整體的網(wǎng)絡(luò)安全架構(gòu) 切實保障電子商務(wù)的應(yīng)用發(fā)展

從各類網(wǎng)絡(luò)安全事件分析中我們看到，電子商務(wù)的網(wǎng)絡(luò)安全問題不是純粹的計算機安全問題，從企業(yè)的角度出發(fā)，應(yīng)該建立整體的電子商務(wù)網(wǎng)絡(luò)安全架構(gòu)，結(jié)合安全管理以及具體的安全保護、安全監(jiān)控、事件響應(yīng)和恢復(fù)等一套機制來保障電子商務(wù)的正常應(yīng)用。

3.2.1安全管理

安全管理主要是通過嚴(yán)格科學(xué)的管理手段以達(dá)到保護企業(yè)網(wǎng)絡(luò)安全的目的。內(nèi)容可包括安全管理制度的制定、實施和監(jiān)督，安全策略的制定、實施、評估和修改，相關(guān)人員的安全意識的培訓(xùn)、教育，日常安全管理的具體要求與落實等。

3.2.2安全保護

安全保護主要是指應(yīng)用網(wǎng)絡(luò)安全產(chǎn)品、工具和技術(shù)保護網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)和用戶。這種保護主要是指靜態(tài)保護，通常是一些基本的防護，不具有實時性，如在防火墻的規(guī)則中實施一條安全策略，禁止所有外部網(wǎng)用戶到內(nèi)部網(wǎng)Web服務(wù)器的連接請求，一旦這條規(guī)則生效，它就會持續(xù)有效，除非我們改變這條規(guī)則。這樣的保護能預(yù)防已知的一些安全威脅，而且通常這些威脅不會變化，所以稱為靜態(tài)保護。

3.2.3安全監(jiān)控/審計

安全監(jiān)控主要是指實時監(jiān)控網(wǎng)絡(luò)上正在發(fā)生的事情，這是任何一個網(wǎng)絡(luò)管理員都想知道的。審計一直被認(rèn)為是經(jīng)典安全模型的一個重要組成部分。審計是通過記錄通過網(wǎng)絡(luò)的所有數(shù)據(jù)包，然后分析這些數(shù)據(jù)包，幫助查找已知的攻擊手段、可疑的破壞行為，來達(dá)到保護網(wǎng)絡(luò)的目的。

安全監(jiān)控和審計是實時保護的一種策略，它主要滿足一種動態(tài)安全的需求。因為網(wǎng)絡(luò)安全技術(shù)在發(fā)展的同時，黑客技術(shù)也在不斷的發(fā)展，網(wǎng)絡(luò)安全不是一成不變的，也許今天對你來說安全的策略，明天就會變得不安全，因此我們應(yīng)該時刻關(guān)注網(wǎng)絡(luò)安全的發(fā)展動向以及網(wǎng)絡(luò)上發(fā)生的各種各樣的事情，以便及時發(fā)現(xiàn)新的攻擊，制定新的安全策略。可以這樣說，安全保護是基本，安全監(jiān)控和審計是其有效的補充，兩者的有效結(jié)合，才能較好地滿足動態(tài)安全的需要。

3.2.4事件響應(yīng)與恢復(fù)

當(dāng)安全事件發(fā)生后，對系統(tǒng)可能會造成不同程度的破壞，如網(wǎng)絡(luò)不能正常工作、系統(tǒng)數(shù)據(jù)被破壞等，這時，必須有一套機制能盡快恢復(fù)系統(tǒng)的正常應(yīng)用，因為攻擊既然已經(jīng)發(fā)生了，系統(tǒng)也遭到了破壞，這時只有讓系統(tǒng)以最快的速度運行起來才是最重要的，否則損失將更為嚴(yán)重。因此恢復(fù)在電子商務(wù)安全的整體架構(gòu)中也是不可缺少的組成部分。 4小結(jié)

Internet的快速發(fā)展，使電子商務(wù)逐漸進入人們的日常生活，而伴隨各類網(wǎng)絡(luò)安全事件的日益增加與發(fā)展，電子商務(wù)的安全問題也變得日益突出，建立一個安全、便捷的電子商務(wù)應(yīng)用環(huán)境，已經(jīng)成為商家和用戶密切關(guān)注的話題。

本文主要從目前深刻影響電子商務(wù)應(yīng)用與發(fā)展的幾種主要的網(wǎng)絡(luò)安全事件類型出發(fā)，闡述了電子商務(wù)的網(wǎng)絡(luò)安全問題，并從國家相關(guān)法制建設(shè)的大環(huán)境，應(yīng)急響應(yīng)組織的作用與意義，以及企業(yè)具體的電子商務(wù)網(wǎng)絡(luò)安全整體架構(gòu)等方面，給出一些建議與思考。

參考文獻

CNCERT/CC.“2005年上半年網(wǎng)絡(luò)安全工作報告”

CNCERT/CC上海分中心.“網(wǎng)絡(luò)欺詐的分析和研究”.2005年3月

篇2

電子商務(wù)的存在和發(fā)展，是以網(wǎng)絡(luò)技術(shù)的革新為前提。電子商務(wù)系統(tǒng)的構(gòu)建、運行及維護，都離不開技術(shù)的支持。同時，由于電子商務(wù)適合于各種大、小型企業(yè)，所以應(yīng)采取措施來保障電子商務(wù)網(wǎng)站的安全。

一、電子商務(wù)中存在安全的問題

（一）網(wǎng)絡(luò)信息安全方面

1.服務(wù)器的安全問題。電子商務(wù)服務(wù)器是電子商務(wù)的核心，安裝了大量的與電子商務(wù)有關(guān)的軟件和商家信息，并且服務(wù)器上的數(shù)據(jù)庫里有電子商務(wù)活動過程中的一些保密數(shù)據(jù)。因此服務(wù)器特別容易受到安全的威脅，并且一旦出現(xiàn)安全問題，造成的后果也是非常嚴(yán)重。

2.網(wǎng)絡(luò)信息的安全問題。非法用戶在網(wǎng)絡(luò)的傳輸上使用不正當(dāng)手法，非法攔截會話數(shù)據(jù)獲得合法用戶的有效信息，最終導(dǎo)致合法用戶的一些核心業(yè)務(wù)數(shù)據(jù)泄密或者是非法用戶對截獲的網(wǎng)絡(luò)數(shù)據(jù)進行一些惡意篡改，如增加、減少和刪除等操作，從而使信息失去真實性和完整性，導(dǎo)致合法用戶無法正常交易，還有一些非法用戶利用截獲的網(wǎng)絡(luò)數(shù)據(jù)包再次發(fā)送，惡意攻擊對方的網(wǎng)絡(luò)硬件和軟件。

3.網(wǎng)絡(luò)安全中的病毒問題。互聯(lián)網(wǎng)的出現(xiàn)為電腦病毒的傳播提供了最好的媒介，不少新病毒直接以互聯(lián)網(wǎng)作為自己的傳播途徑，電腦病毒問世10多年來，各種新型病毒及其變種迅速增加，不少新病毒直接以互聯(lián)網(wǎng)作為自己的傳播途徑，還有眾多病毒借助于互聯(lián)網(wǎng)傳播得更快，如何在電子商務(wù)領(lǐng)域如何有效防范病毒也是一個十分緊迫的問題。

（二）電子商務(wù)交易方面

1.交易身份的不確定。電子商務(wù)是一種全球各地廣泛的商業(yè)貿(mào)易活動在開放的網(wǎng)絡(luò)環(huán)境下，基于瀏覽器/服務(wù)器應(yīng)用方式，在買賣雙方不謀面的情況下進行各種商貿(mào)活動，實現(xiàn)消費者的網(wǎng)上購物、商戶之間的網(wǎng)上交易和在線電子支付以及各種商務(wù)活動、交易活動、金融活動和相關(guān)的綜合服務(wù)活動。正是基于這個特點攻擊者可以通過非法的手段盜竊合法用戶的身份信息，仿冒合法用戶的身份與他人進行交易。

2.交易協(xié)議安全性問題。企業(yè)和用戶在電子交易過程中的數(shù)據(jù)是以數(shù)據(jù)包的形式來傳送的，惡意攻擊者很容易對某個電子商務(wù)網(wǎng)站展開數(shù)據(jù)包攔截，甚至對數(shù)據(jù)包進行修改和假冒。TCP/IP協(xié)議是建立在可信的環(huán)境之下，缺乏相應(yīng)的安全機制，這種基于地址的協(xié)議本身就會泄露口令，根本沒有考慮安全問題；TCP/IP協(xié)議是完全公開的，其遠(yuǎn)程訪問的功能使許多攻擊者無須到現(xiàn)場就能夠得手，連接的主機基于互相信任的原則等這些性質(zhì)使網(wǎng)絡(luò)更加不安全。

二、加強電子商務(wù)網(wǎng)站的安全措施

我們從技術(shù)手段的角度，從系統(tǒng)安全和數(shù)據(jù)安全的不同層面來探索電子商務(wù)中出現(xiàn)的網(wǎng)絡(luò)安全新問題。

（一）信息系統(tǒng)安全

對于一個企業(yè)來說，信息的安全尤為重要，這種安全首先取決于系統(tǒng)的安全。系統(tǒng)安全主要包括網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和應(yīng)用系統(tǒng)三個層次。系統(tǒng)安全采用的技術(shù)和手段有冗余技術(shù)、網(wǎng)絡(luò)隔離技術(shù)、訪問控制技術(shù)、身份鑒別技術(shù)、加密技術(shù)、監(jiān)控審計技術(shù)、安全評估技術(shù)等。

1.網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)系統(tǒng)安全是網(wǎng)絡(luò)的開放性、無邊界性、自由性造成，安全解決的關(guān)鍵是把被保護的網(wǎng)絡(luò)從開放、無邊界、自由的環(huán)境中獨立出來，使網(wǎng)絡(luò)成為可控制、管理的內(nèi)部系統(tǒng)，由于網(wǎng)絡(luò)系統(tǒng)是應(yīng)用系統(tǒng)的基礎(chǔ)，網(wǎng)絡(luò)安全便成為首要新問題。解決網(wǎng)絡(luò)安全主要方式有如下幾種方法：

一是網(wǎng)絡(luò)冗余。它是解決網(wǎng)絡(luò)系統(tǒng)單點故障的重要辦法。對關(guān)鍵性的網(wǎng)絡(luò)線路、設(shè)備，通常采用雙備份或多備份的方式。網(wǎng)絡(luò)運行時雙方對運營狀態(tài)相互實時監(jiān)控并自動調(diào)整，當(dāng)網(wǎng)絡(luò)的一段或一點發(fā)生故障或網(wǎng)絡(luò)信息流量突變時能在有效時間內(nèi)進行切換分配，保證網(wǎng)絡(luò)正常的運行。

二是系統(tǒng)隔離。分為物理隔離和邏輯隔離，主要從網(wǎng)絡(luò)安全等級考慮劃分合理的網(wǎng)絡(luò)安全邊界，使不同安全級別的網(wǎng)絡(luò)或信息媒介不能相互訪問，從而達(dá)到安全目的。對業(yè)務(wù)網(wǎng)絡(luò)或辦公網(wǎng)絡(luò)采用VLAN技術(shù)和通信協(xié)議實行邏輯隔離劃分不同的應(yīng)用子網(wǎng)。

三是訪問控制。對于網(wǎng)絡(luò)不同信任域?qū)崿F(xiàn)雙向控制或有限訪問原則，使受控的子網(wǎng)或主機訪問權(quán)限和信息流向能得到有效控制。具體相對網(wǎng)絡(luò)對象而言需要解決網(wǎng)絡(luò)的邊界的控制和網(wǎng)絡(luò)內(nèi)部的控制，對于網(wǎng)絡(luò)資源來說保持有限訪問的原則，信息流向則可根據(jù)安全需求實現(xiàn)單向或雙向控制。訪問控制最重要的設(shè)備就是防火墻，它一般安置在不同安全域出入口處，對進出網(wǎng)絡(luò)的IP信息包進行過濾并按企業(yè)安全政策進行信息流控制，同時實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換、實時信息審計警告等功能，高級防火墻還可實現(xiàn)基于用戶的細(xì)粒度的訪問控制。

四是身份鑒別。是對網(wǎng)絡(luò)訪問者權(quán)限的識別，一般通過三種方式驗證主體身份，一是主體了解的秘密，如用戶名、口令、密鑰；二是主體攜帶的物品，如磁卡、IC卡、動態(tài)口令卡和令牌卡等；三是主體特征或能力，如指紋、聲音、視網(wǎng)膜、簽名等。加密是為了防止網(wǎng)絡(luò)上的竊聽、泄漏、篡改和破壞，保證信息傳輸安全，對網(wǎng)上數(shù)據(jù)使用加密手段是最為有效的方式。目前加密可以在三個層次來實現(xiàn)，即鏈路層加密、網(wǎng)絡(luò)層加密和應(yīng)用層加密。鏈路加密側(cè)重通信鏈路而不考慮信源和信宿，它對網(wǎng)絡(luò)高層主體是透明的。網(wǎng)絡(luò)層加密采用IPSEC核心協(xié)議，具有加密、認(rèn)證雙重功能，是在IP層實現(xiàn)的安全標(biāo)準(zhǔn)。通過網(wǎng)絡(luò)加密可以構(gòu)造企業(yè)內(nèi)部的虛擬專網(wǎng)（VPN），使企業(yè)在較少投資下得到安全較大的回報，并保證用戶的應(yīng)用安全。

五是安全監(jiān)測。采取信息偵聽的方式尋找未授權(quán)的網(wǎng)絡(luò)訪問嘗試和違規(guī)行為，包括網(wǎng)絡(luò)系統(tǒng)的掃描、預(yù)警、阻斷、記錄、跟蹤等，從而發(fā)現(xiàn)系統(tǒng)遭受的攻擊傷害。網(wǎng)絡(luò)掃描監(jiān)測系統(tǒng)作為對付電腦黑客最有效的技術(shù)手段，具有實時、自適應(yīng)、主動識別和響應(yīng)等特征，廣泛用于各行各業(yè)。網(wǎng)絡(luò)掃描是針對網(wǎng)絡(luò)設(shè)備的安全漏洞進行檢測和分析，包括網(wǎng)絡(luò)通信服務(wù)、路由器、防火墻、郵件、WEB服務(wù)器等，從而識別能被入侵者利用非法進入的網(wǎng)絡(luò)漏洞。網(wǎng)絡(luò)掃描系統(tǒng)對檢測到的漏洞信息形成具體報告，包括位置、具體描述和建議的改進方案，使網(wǎng)管能檢測和管理安全風(fēng)險信息。

2.操作系統(tǒng)

操作系統(tǒng)是管理計算機資源的核心系統(tǒng)，負(fù)責(zé)信息發(fā)送、管理設(shè)備存儲空間和各種系統(tǒng)資源的調(diào)度，它作為應(yīng)用系統(tǒng)的軟件平臺具有通用性和易用性，操作系統(tǒng)安全性直接關(guān)系到應(yīng)用系統(tǒng)的安全，操作系統(tǒng)安全分為應(yīng)用安全和安全漏洞掃描。

一是應(yīng)用安全。面向應(yīng)用選擇可靠的操作系統(tǒng)，可以杜絕使用來歷不明的軟件。用戶可安裝操作系統(tǒng)保護和恢復(fù)軟件，并作相應(yīng)的備份。

二是系統(tǒng)掃描。它基于主機的安全評估系統(tǒng)，是對系統(tǒng)的安全風(fēng)險級別進行劃分，并提供完整的安全漏洞檢查列表，通過不同版本的操作系統(tǒng)進行掃描分析，對掃描漏洞自動修補形成報告，保護應(yīng)用程序、數(shù)據(jù)免受盜用、破壞。

3.應(yīng)用系統(tǒng)

辦公系統(tǒng)文件（郵件）的安全存儲摘要：利用加密手段，配合相應(yīng)的身份鑒別和密鑰保護機制（IC卡、PCMCIA安全PC卡等），使得存儲于本機和網(wǎng)絡(luò)服務(wù)器上的個人和單位重要文件處于安全存儲的狀態(tài)，使得他人即使通過各種手段非法獲取相關(guān)文件或存儲介質(zhì)（硬盤等），也無法獲得相關(guān)文件的內(nèi)容。

文件（郵件）的安全傳送，對通過網(wǎng)絡(luò)（遠(yuǎn)程或近程）傳送給他人的文件進行安全處理（加密、簽名、完整性鑒別等），使得被傳送的文件只有指定的收件者通過相應(yīng)的安全鑒別機制（IC卡、PCMCIA PC卡）才能解密并閱讀，杜絕了文件在傳送或到達(dá)對方的存儲過程中被截獲、篡改等，主要用于信息網(wǎng)中的報表傳送、公文下發(fā)等。

業(yè)務(wù)系統(tǒng)的安全，主要面向業(yè)務(wù)管理和信息服務(wù)的安全需求。對通用信息服務(wù)系統(tǒng)（電子郵件系統(tǒng)、WEB信息服務(wù)系統(tǒng)、FTP服務(wù)系統(tǒng)等）采用基于應(yīng)用開發(fā)安全軟件，如安全郵件系統(tǒng)、WEB頁面保護等；對業(yè)務(wù)信息可以配合管理系統(tǒng)采取對信息內(nèi)容的審計稽查，防止外部非法信息侵入和內(nèi)部敏感信息泄漏。

（二）數(shù)據(jù)安全

數(shù)據(jù)安全牽涉到數(shù)據(jù)庫的安全和數(shù)據(jù)本身安全，針對兩者應(yīng)有相應(yīng)的安全辦法。

一是數(shù)據(jù)庫安全。大中型企業(yè)一般采用具有一定安全級別的SYBASE或ORACLE大型分布式數(shù)據(jù)庫，基于數(shù)據(jù)庫的重要性，應(yīng)在此基礎(chǔ)上開發(fā)一些安全辦法，增加相應(yīng)控件，對數(shù)據(jù)庫分級管理并提供可靠的故障恢復(fù)機制，實現(xiàn)數(shù)據(jù)庫的訪問、存取、加密控制。具體實現(xiàn)方法有安全數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)庫保密系統(tǒng)、數(shù)據(jù)庫掃描系統(tǒng)等。

二是數(shù)據(jù)安全。指存儲在數(shù)據(jù)庫數(shù)據(jù)本身的安全，相應(yīng)的保護辦法有安裝反病毒軟件，建立可靠的數(shù)據(jù)備份和恢復(fù)系統(tǒng)，某些重要數(shù)據(jù)甚至可以采取加密保護。

（三）網(wǎng)絡(luò)交易平臺的安全

網(wǎng)上交易安全位于系統(tǒng)安全風(fēng)險之上，在數(shù)據(jù)安全風(fēng)險之下。只有提供一定的安全保證，在線交易的網(wǎng)民才會具有安全感，電子商務(wù)網(wǎng)站才會具有發(fā)展的空間。

一是交易安全標(biāo)準(zhǔn)。目前在電子商務(wù)中主要的安全標(biāo)準(zhǔn)有兩種摘要：應(yīng)用層的SET（安全電子交易）和會話層SSL（安全套層）協(xié)議。前者由信用卡機構(gòu)VISA及MasterCard提出的針對電子錢包/商場/認(rèn)證中心的安全標(biāo)準(zhǔn)，主要用于銀行等金融機構(gòu)；后者由NETSCAPE公司提出針對數(shù)據(jù)的機密性/完整性/身份確認(rèn)/開放性的安全協(xié)議，事實上已成為WWW網(wǎng)絡(luò)的應(yīng)用安全標(biāo)準(zhǔn)。

二是交易安全基礎(chǔ)體系。交易安全基礎(chǔ)是現(xiàn)代密碼技術(shù)，依靠于加密方法和強度。加密分為單密鑰的對稱加密體系和雙密鑰的非對稱加密體系。兩者各有所長，對稱密鑰具有加密效率高，但存在密鑰分發(fā)困難、管理不便的弱點；非對稱密鑰加密速度慢，但便于密鑰分發(fā)管理。通常把兩者結(jié)合使用，以達(dá)到高效安全的目的。

三是交易安全的實現(xiàn)。交易安全的實現(xiàn)主要有交易雙方身份確認(rèn)、交易指令及數(shù)據(jù)加密傳輸、數(shù)據(jù)的完整性、防止雙方對交易結(jié)果的抵賴等等。具體實現(xiàn)的途徑是交易各方具有相關(guān)身份證實，同時在SSL協(xié)議體系下完成交易過程中電子證書驗證、數(shù)字簽名、指令數(shù)據(jù)的加密傳輸、交易結(jié)果確認(rèn)審計等。

隨著電子商務(wù)的發(fā)展，網(wǎng)上交易越來越頻繁，調(diào)用每項服務(wù)時需要用戶證實身份，也需要這些服務(wù)器向客戶證實他們自己的身份。而保障身份安全的最有效的技術(shù)就是PKI技術(shù)。PKI的應(yīng)用主要是在它的CA認(rèn)證技術(shù)。CA（Certification Authorty）是一個確保信任度的權(quán)威實體，主要職責(zé)是頒發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證實—證書，任何相信該CA的人，按照第三方信任原則，都應(yīng)當(dāng)相信持有證實的該用戶。CA也要采取一系列相應(yīng)的辦法來防止電子證書被偽造或篡改。構(gòu)建一個具有較強安全性的CA是至關(guān)重要的，這不僅和密碼學(xué)有關(guān)系，而且和整個PKI系統(tǒng)的構(gòu)架和模型有關(guān)。此外，靈活也是CA能否得到市場認(rèn)同的一個關(guān)鍵，它不需支持各種通用的國際標(biāo)準(zhǔn)，并能很好地和其他廠家的CA產(chǎn)品兼容。在不久的將來，PKI技術(shù)會在電子商務(wù)和網(wǎng)絡(luò)安全中得到更廣泛的應(yīng)用，從而真正保障用戶和商家的身份安全。

三、信息安全的發(fā)展方向

從歷史角度看，我國信息網(wǎng)絡(luò)安全探究歷經(jīng)了通信保密、數(shù)據(jù)保護兩個階段，正在進入網(wǎng)絡(luò)信息安全探究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個綜合、交叉的學(xué)科領(lǐng)域，它綜合利用了數(shù)學(xué)、物理、生化信息技術(shù)和計算機技術(shù)的諸多學(xué)科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案，從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展探究，各部分相互協(xié)同形成有機整體。

安全協(xié)議作為信息安全的重要內(nèi)容，其形式化方法分析始于80年代初，目前有基于狀態(tài)機、模態(tài)邏輯和代數(shù)工具的三種分析方法，但仍有局限性和漏洞，處于發(fā)展的提高階段。作為信息安全關(guān)鍵技術(shù)密碼學(xué)，近年來空前活躍，美、歐、亞各洲舉行的密碼學(xué)和信息安全學(xué)術(shù)會議頻繁。1976年美國學(xué)者提出的公開密鑰密碼體制，克服了網(wǎng)絡(luò)信息系統(tǒng)密鑰管理的困難，同時解決了數(shù)字簽名新問題，它是當(dāng)前探究的熱點。

篇3

關(guān)鍵詞：實踐教學(xué)；教學(xué)改革；教育質(zhì)量

中圖分類號：G642.4 文獻標(biāo)志碼：A 文章編號：1674-9324（2013）35-0039-02

伴隨著知識經(jīng)濟的興起，高等教育的歷史使命和人才培養(yǎng)目標(biāo)發(fā)生了巨大變化，創(chuàng)新教育成為各國教育改革的主題。為了適應(yīng)創(chuàng)新教育，培養(yǎng)創(chuàng)新型人才，教育教學(xué)的傳統(tǒng)方式必須變革[1]。中央和各級政府教育行政部門、各高等學(xué)校十分重視對大學(xué)生實踐和創(chuàng)新能力的培養(yǎng)，教育部把實踐教學(xué)作為高校本科教學(xué)工作水平評估的關(guān)鍵指標(biāo)之一，各高等學(xué)校采取切實有效措施，積極開展實踐教學(xué)改革，多渠道籌措經(jīng)費加大實驗室建設(shè)投入，極大地改善了實驗教學(xué)條件，對提高學(xué)生的實踐創(chuàng)新能力產(chǎn)生了積極影響[2]。

一、實踐教學(xué)體系概述

實踐教學(xué)指具有實踐性的教學(xué)活動。實踐教學(xué)存在于整個教學(xué)過程之中，包括理論實踐教學(xué)和社會實踐教學(xué)。要做好實踐教學(xué)工作，首先應(yīng)該建立并完善實踐教學(xué)體系，通常實踐教學(xué)體系分為實踐教學(xué)目標(biāo)體系、實踐教學(xué)內(nèi)容體系、實踐教學(xué)管理體系、實踐教學(xué)保障體系和實踐教學(xué)評價體系。實踐教學(xué)體系的建設(shè)應(yīng)該遵循以下幾個原則：

1.特色性原則：確立以素質(zhì)教育為核心，技術(shù)應(yīng)用能力培養(yǎng)為主線，應(yīng)變能力培養(yǎng)為關(guān)鍵，產(chǎn)學(xué)研結(jié)合為途徑，與時俱進的人才教育培養(yǎng)模式是實踐教學(xué)體系構(gòu)建中遵循的原則。

2.實用型原則：實踐教學(xué)體系的構(gòu)建，要充分體現(xiàn)專業(yè)崗位的要求，與專業(yè)崗位群發(fā)展緊密相關(guān)。以此為原則組成一個層次分明、分工明確的實踐教學(xué)體系。

3.混合型原則：混合型體現(xiàn)在教師類型的混合、理論教學(xué)和實踐教學(xué)的混合、教室與實驗室的混合等方面，淡化理論教學(xué)與實踐教學(xué)、專業(yè)教師與實踐指導(dǎo)教師、教室與實驗室的界限，打破原來按學(xué)科設(shè)置實驗室的傳統(tǒng)布局，對實踐教學(xué)設(shè)施進行重新整合，形成一體化混合實踐教學(xué)模式。

實踐教學(xué)體系的目標(biāo)是：以職業(yè)能力培養(yǎng)為主線，使學(xué)生獲得實踐知識、開闊眼界，豐富并活躍學(xué)生的思想，加深對理論知識的理解掌握，進而在實踐中對理論知識進行修正、拓展和創(chuàng)新。在確定具體課程實踐教學(xué)體系目標(biāo)的前提下，如何有針對性地設(shè)置具體的實踐教學(xué)內(nèi)容尤為重要。實踐教學(xué)的內(nèi)容是實踐教學(xué)目標(biāo)任務(wù)的具體化，將實踐教學(xué)環(huán)節(jié)通過合理配置，構(gòu)建成以技術(shù)應(yīng)用能力培養(yǎng)為主體，按基本技能、專業(yè)技能和綜合技術(shù)應(yīng)用能力等層次，循序漸進地安排實踐教學(xué)內(nèi)容，將實踐教學(xué)的目標(biāo)和任務(wù)具體落實到各個實踐教學(xué)環(huán)節(jié)中，讓學(xué)生在實踐教學(xué)中掌握必備的、完整的、系統(tǒng)的技能和技術(shù)[3]。

二、電子商務(wù)安全實踐教學(xué)內(nèi)容設(shè)置

電子商務(wù)安全課程是新興的邊緣交叉性課程，是在網(wǎng)絡(luò)安全的基礎(chǔ)上結(jié)合電子商務(wù)的領(lǐng)域的實際應(yīng)用發(fā)展而來的一門具有一定針對性的課程，也是電子商務(wù)專業(yè)學(xué)生的一門專業(yè)主干課程。考慮到經(jīng)營管理活動中計算機的普及和網(wǎng)絡(luò)通信的快速發(fā)展，該課程是作為21世紀(jì)大學(xué)生尤其是電子商務(wù)專業(yè)的學(xué)生應(yīng)該了解、掌握的一門學(xué)科，通過該課程的教學(xué)，學(xué)生初步了解電子商務(wù)安全的內(nèi)涵和電子商務(wù)支付系統(tǒng)的構(gòu)成，并且對網(wǎng)絡(luò)常見的攻擊手段、主要安全產(chǎn)品的功能、常用的電子支付工具等進行了解，以解決實際應(yīng)用中遇到的問題[4]。

1.實驗項目安排。本課程實踐教學(xué)部分主要讓學(xué)生對電子商務(wù)安全與支付在理論和實踐上有一個全面的認(rèn)識。要求學(xué)生通過大綱中的實驗設(shè)置，了解電子商務(wù)安全與支付的現(xiàn)實環(huán)境；了解電子商務(wù)客戶機和服務(wù)器的安全設(shè)置；熟悉基本的電子支付工具的使用，掌握數(shù)字證書的申請、安裝和使用流程；了解SSL證書的申請流程。針對本課程的培養(yǎng)目標(biāo)進行合理的實驗教學(xué)安排，具體實驗項目如表1所示。

2.實驗項目的具體內(nèi)容。實驗1：了解電子商務(wù)安全與支付的現(xiàn)實環(huán)境：通過本次實驗了解中國互聯(lián)網(wǎng)發(fā)展?fàn)顩r，特別是有關(guān)電子商務(wù)發(fā)展的現(xiàn)狀，認(rèn)真體會，結(jié)合自己課余所見的實際情況進行總結(jié)。實驗內(nèi)容：閱讀比較CNNIC最新的《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》中關(guān)于安全支付的數(shù)據(jù)及分析，了解中國電子商務(wù)發(fā)展的現(xiàn)狀。實驗2：電子商務(wù)客戶機安全：通過本次實驗了解電子商務(wù)客戶機存在的安全風(fēng)險及對應(yīng)的安全措施。實驗內(nèi)容：防病毒軟件的安裝和使用、IE對安全區(qū)的設(shè)置、檢測活動內(nèi)容、處理cookie。實驗3：中銀電子錢包及網(wǎng)上銀行：通過本次實驗了解電子錢包、電子信用卡在網(wǎng)上支付中的功能及使用過程。實驗內(nèi)容：中銀電子錢包的使用、個人網(wǎng)上銀行專業(yè)版的設(shè)置及使用。實驗4：個人數(shù)字證書：通過本次實驗了解數(shù)字證書的基本類型，個人數(shù)字證書的下載安裝。實驗內(nèi)容：個人數(shù)字證書的下載、安裝、查看、導(dǎo)入和導(dǎo)出。實驗5：SSL證書申請：通過本次實驗了解利用Microsoft IIS Web Server申請SSL證書的基本流程。實驗內(nèi)容：在Microsoft IIS上生成公私鑰對和證書請求、保存證書請求文件、安裝CA中心的根證書、安全Web Server證書。

電子商務(wù)安全是一門實踐性很強的課程，有難度且極具挑戰(zhàn)性，因此，電子商務(wù)安全的實踐教學(xué)應(yīng)該根據(jù)學(xué)生的實際情況酌情安排。筆者在幾年的課程教學(xué)過程中嘗試了一些改進本課程教學(xué)的方法。總結(jié)得出：最優(yōu)方式是讓學(xué)生置身于其中，讓學(xué)生積極參與其中，享受創(chuàng)造的樂趣。經(jīng)過對本實踐課程安排前后的對比發(fā)現(xiàn)，學(xué)生對本課程的興趣有極大提高，對理論教學(xué)部分的理解也大大加深。

參考文獻：

[1]曹鳳月.課堂實踐教學(xué)：高校實踐教學(xué)的基礎(chǔ)環(huán)節(jié)[J].中國勞動關(guān)系學(xué)院學(xué)報，2009，4（23）：106-109.

[2]鄭春龍，邵紅艷.以創(chuàng)新實踐能力培養(yǎng)為目標(biāo)的高校實踐教學(xué)體系的構(gòu)建與實施[J].中國高教研究，2007，（4）：85-86.

[3]朱正偉，劉東燕，何敏.加強高校實踐教學(xué)的探索與實踐[J].中國大學(xué)教育，2007，（2）：76-78.

篇4

[關(guān)鍵詞]企業(yè)電子商務(wù)；網(wǎng)絡(luò)安全體系；防火墻

[DOI]10.13939/ki.zgsc.2015.41.073

1 概述

隨著IT技術(shù)的飛速發(fā)展，企業(yè)對網(wǎng)絡(luò)越來越依賴，企業(yè)的運營方式、組織形式、商品交易的支付手段等正快速走向數(shù)字化。當(dāng)企業(yè)的商業(yè)化應(yīng)用與互聯(lián)網(wǎng)結(jié)合就形成了如今的電子商務(wù)形式。由于企業(yè)進行商品交易的活動是在互聯(lián)網(wǎng)上運行的，其業(yè)務(wù)的平臺或基礎(chǔ)是建立在互聯(lián)網(wǎng)上的網(wǎng)站，商業(yè)活動產(chǎn)生的數(shù)據(jù)需要通過互聯(lián)網(wǎng)進行傳輸，企業(yè)電子商務(wù)網(wǎng)站為客戶提供的商務(wù)服務(wù)、企業(yè)形象展示、品牌推介、產(chǎn)品交易、數(shù)據(jù)庫內(nèi)容及客戶賬號信息等數(shù)據(jù)均需要在相應(yīng)網(wǎng)站上進行存儲，網(wǎng)站運行在完全開放的網(wǎng)絡(luò)上必然會出現(xiàn)安全問題，如病毒入侵、黑客攻擊等，因此網(wǎng)絡(luò)安全問題也成了企業(yè)商務(wù)活動十分關(guān)注的問題。

2 企業(yè)電子商務(wù)網(wǎng)站網(wǎng)絡(luò)安全風(fēng)險

2.1 黑客攻擊

目前黑客對企業(yè)電子商務(wù)網(wǎng)站的攻擊方式主要有拒絕服務(wù)攻擊、網(wǎng)站后門攻擊、惡意腳本攻擊、跨站腳本攻擊、網(wǎng)頁篡改、信息炸彈、密碼破解等。這些攻擊的主要目的是獲取網(wǎng)站服務(wù)器的控制權(quán)，竊取系統(tǒng)中的數(shù)據(jù)和密碼，竊取用戶資金，破壞企業(yè)電子商務(wù)網(wǎng)站系統(tǒng)。

2.2 病毒入侵

目前全球已知病毒已近2億種，新病毒或病毒變體每天都在發(fā)現(xiàn)，病毒造成的危害越來越大，病毒入侵造成的破壞已成為企業(yè)電子商務(wù)活動的重大威脅，目前主要的病毒危害有“木馬病毒”、“網(wǎng)頁病毒”、“蠕蟲病毒”等。

2.3 系統(tǒng)或軟件漏洞

當(dāng)系統(tǒng)或軟件存在邏輯設(shè)計上的錯誤或設(shè)計者對安全的忽略時，系統(tǒng)或軟件就會存在安全漏洞。在企業(yè)電子商務(wù)網(wǎng)站上系統(tǒng)或軟件漏洞因各種原因是可能存在的，這對企業(yè)電子商務(wù)活動將造成非常大的危害，可能被不法分子惡意攻擊，他們可能輕易進入網(wǎng)站服務(wù)器系統(tǒng)，隨意修改和竊取用戶信息。

2.4 缺乏IT管理

企業(yè)對其電子商務(wù)網(wǎng)站或系統(tǒng)缺乏嚴(yán)格的管理，導(dǎo)致遭受攻擊和破壞。

3 企業(yè)電子商務(wù)網(wǎng)站網(wǎng)絡(luò)安全需求

3.1 網(wǎng)絡(luò)互聯(lián)和通信安全需求

提供靈活且高效的網(wǎng)絡(luò)通訊及信息服務(wù)的同時，抵御和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，并且提供跟蹤攻擊的手段。

3.2 服務(wù)器系統(tǒng)安全需求

對網(wǎng)絡(luò)和主機設(shè)備實行主動的漏洞檢測和安全評估，及時發(fā)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)中存在的安全漏洞；對關(guān)鍵的服務(wù)器操作系統(tǒng)進行安全加固，通過嚴(yán)格的用戶認(rèn)證、訪問控制和審計，防止黑客利用系統(tǒng)安全管理功能的不足進行非法訪問，同時避免內(nèi)部用戶的濫用。

3.3 應(yīng)用系統(tǒng)安全需求

建立好CA認(rèn)證系統(tǒng)，加強對關(guān)鍵應(yīng)用系統(tǒng)的用戶認(rèn)證和管理；建立企業(yè)級網(wǎng)絡(luò)防病毒措施，對病毒傳播的所有可能的入口進行嚴(yán)格控制，尤其防范病毒通過互聯(lián)網(wǎng)連接侵入內(nèi)部網(wǎng)絡(luò)。

3.4 業(yè)務(wù)系統(tǒng)的安全需求

訪問控調(diào)、數(shù)據(jù)安全、入侵檢測、來自網(wǎng)絡(luò)內(nèi)部其他系統(tǒng)的破壞。

3.5 安全管理需求

校園網(wǎng)絡(luò)需要建立完善的安全管理制度，加強對工作人員的安全知識和安全操作培訓(xùn)。

4 企業(yè)電子商務(wù)網(wǎng)站網(wǎng)絡(luò)安全體系總體結(jié)構(gòu)設(shè)計

4.1 VPN網(wǎng)絡(luò)子系統(tǒng)

VPN網(wǎng)絡(luò)是在電信公司提供的城域網(wǎng)上實現(xiàn)的。企業(yè)電子商務(wù)網(wǎng)站網(wǎng)絡(luò)采用獨立的VLAN。為了保障各用戶點不同的業(yè)務(wù)，可采用VLAN、MAC地址綁定、ACL訪問控制列表來實現(xiàn)安全控制。采用IPSEC組建VPN虛擬專用網(wǎng)，IPSecVPN技術(shù)建立從網(wǎng)點路由器到中心路由器的VPN隧道，該VPN隧道里主要傳輸?shù)氖瞧髽I(yè)電子商務(wù)網(wǎng)站中心主業(yè)務(wù)系統(tǒng)的數(shù)據(jù)。VPN網(wǎng)絡(luò)子系統(tǒng)實現(xiàn)各用戶點到中心多業(yè)務(wù)數(shù)據(jù)的安全可靠傳輸。

4.2 安全檢測子系統(tǒng)

在網(wǎng)絡(luò)的WWW服務(wù)器、Email服務(wù)器等各種服務(wù)器中使用網(wǎng)絡(luò)安全檢測子系統(tǒng)，實時跟蹤、監(jiān)視網(wǎng)絡(luò)，截獲互聯(lián)網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的WWW、Email、FTP、Telnet應(yīng)用的內(nèi)容，建立保存相應(yīng)記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容，及時向上級安全網(wǎng)絡(luò)中心報告，采取措施。利用專門的日志分析工具對保存在數(shù)據(jù)庫中的訪問日志進行統(tǒng)計并繪制統(tǒng)計圖，可以對訪問地址和流量進行分析，對于明顯的攻擊便可一目了然。

4.3 防火墻子系統(tǒng)

防火墻是一種網(wǎng)絡(luò)隔離控制技術(shù)，在企業(yè)電子商務(wù)網(wǎng)站網(wǎng)絡(luò)上安裝防火墻可將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進行隔離，同時對傳輸信息進行過濾。防火墻可按照網(wǎng)絡(luò)管理者設(shè)定的過濾規(guī)則允許或限制內(nèi)外網(wǎng)之間、計算機與網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸，只有經(jīng)授權(quán)的通信才能通過防火墻。

防火墻是企業(yè)電子商務(wù)網(wǎng)站整個安全系統(tǒng)的基礎(chǔ)和基本防護措施，通過防火墻的部署，解決全網(wǎng)的安全基礎(chǔ)問題。核心防火墻采用雙機設(shè)備方式工作。

4.4 入侵檢測子系統(tǒng)

入侵監(jiān)測子系統(tǒng)解決各個安全區(qū)域的“安全守衛(wèi)”工作。在企業(yè)電子商務(wù)網(wǎng)站網(wǎng)絡(luò)中采用入侵檢測技術(shù)，最好采用混合入侵檢測，從基于網(wǎng)絡(luò)的入侵檢測和基于主機的入侵檢測兩方面著手。

4.5 網(wǎng)絡(luò)防毒子系統(tǒng)

采用多層次的立體防護體系，對客戶端計算機、服務(wù)器、網(wǎng)關(guān)等均安裝相對應(yīng)的防病毒系統(tǒng)。在網(wǎng)站中心部署一臺防病毒服務(wù)器，設(shè)置集中控制系統(tǒng)。實現(xiàn)全網(wǎng)各個不同安全區(qū)域防病毒，做到統(tǒng)一升級，集中監(jiān)控查殺病毒以及客戶端PC機器的安全控制。采用“集中管控、層層防護、防殺結(jié)合”的策略。

4.6 漏洞掃描子系統(tǒng)

解決網(wǎng)絡(luò)安全問題，首先要清楚網(wǎng)絡(luò)中存在什么安全隱患。漏洞掃描技術(shù)可自動掃描遠(yuǎn)端或本地主機的安全薄弱點，并將掃描得到的信息以統(tǒng)計方式輸出，為網(wǎng)絡(luò)管理員提供分析和參考。漏洞掃描還可以確認(rèn)各種配置的正確性，避免網(wǎng)站遭受不必要的攻擊。

4.7 WSUS子系統(tǒng)

在內(nèi)網(wǎng)配置一臺WSUS服務(wù)器，用來做內(nèi)網(wǎng)的升級服務(wù)器和控制臺。在獨立的外網(wǎng)的WSUS服務(wù)器升級后，導(dǎo)出升級數(shù)據(jù)，將數(shù)據(jù)文件通過存儲介質(zhì)導(dǎo)入內(nèi)網(wǎng)的WSUS服務(wù)器上完成服務(wù)器的升級。

4.8 監(jiān)聽維護子系統(tǒng)

對網(wǎng)絡(luò)內(nèi)部的侵襲，可采用為網(wǎng)絡(luò)內(nèi)部的各個子網(wǎng)做一個具有一定功能的審計文件，為管理人員分析內(nèi)部網(wǎng)絡(luò)的運作狀態(tài)提供依據(jù)。

4.9 管理制度子系統(tǒng)

為保證各項安全措施的實施并真正發(fā)揮作用，針對每個安全層次，分別制訂相應(yīng)的可實施的規(guī)章制度。

4.10 備份恢復(fù)子系統(tǒng)

建立網(wǎng)絡(luò)系統(tǒng)良好的備份和恢復(fù)機制，可在設(shè)備出現(xiàn)故障或是網(wǎng)絡(luò)遭受攻擊時，能盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。數(shù)據(jù)容災(zāi)系統(tǒng)使用兩個存儲器，一個放置在本地，另一個放置在異地，在兩個存儲器之間建立復(fù)制關(guān)系。異地存儲器實時復(fù)制本地存儲器的關(guān)鍵數(shù)據(jù)。

4.11 數(shù)據(jù)加密技術(shù)

對內(nèi)外網(wǎng)之間交互的信息采用加密技術(shù)。

5 結(jié) 論

通過整體構(gòu)建、分層設(shè)計的方法，實現(xiàn)了企業(yè)電子商務(wù)網(wǎng)站網(wǎng)絡(luò)安全體系的設(shè)計。通過種種安全技術(shù)手段，為網(wǎng)絡(luò)提供了一個完整的網(wǎng)絡(luò)安全防御體系的解決方案；與此同時，還應(yīng)加強網(wǎng)絡(luò)的管理，建立有效、健全的管理體系，最終達(dá)到保護網(wǎng)絡(luò)信息系統(tǒng)安全性的目的。

參考文獻：

篇5

[關(guān)鍵詞]網(wǎng)絡(luò)安全事件安全對策

隨著網(wǎng)絡(luò)時代的到來，越來越多的人通過Internet進行商務(wù)活動。電子商務(wù)的發(fā)展前景十分誘人，而其安全問題也變得越來越突出。近年來，網(wǎng)絡(luò)安全事件不斷攀升，電子商務(wù)金融成了攻擊目標(biāo)，以網(wǎng)頁篡改和垃圾郵件為主的網(wǎng)絡(luò)安全事件正在大幅攀升。在國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/CC）2005處理的網(wǎng)絡(luò)安全事件報告中，網(wǎng)頁篡改占45.91％，網(wǎng)絡(luò)仿冒占29%，其余為拒絕服務(wù)攻擊、垃圾郵件、蠕蟲、木馬等。如何建立一個安全、便捷的電子商務(wù)應(yīng)用環(huán)境，對信息提供足夠的保護，已經(jīng)成為電子商務(wù)的所有參與者十分關(guān)心的話題。

一、電子商務(wù)中的主要網(wǎng)絡(luò)安全事件分析

歸納起來，對電子商務(wù)應(yīng)用影響較多、發(fā)生率較高的互聯(lián)網(wǎng)安全事件可以分為網(wǎng)頁篡改、網(wǎng)絡(luò)蠕蟲、拒絕服務(wù)攻擊、特羅伊木馬、計算機病毒、網(wǎng)絡(luò)仿冒等，網(wǎng)頁篡改、網(wǎng)絡(luò)仿冒（Phishing），逐步成為影響電子商務(wù)應(yīng)用與發(fā)展的主要威脅。

1.網(wǎng)頁篡改

網(wǎng)頁篡改是指將正常的網(wǎng)站主頁更換為黑客所提供的網(wǎng)頁。這是黑客攻擊的典型形式。一般來說，主頁的篡改對計算機系統(tǒng)本身不會產(chǎn)生直接的損失，但對電子商務(wù)等需要與用戶通過網(wǎng)站進行溝通的應(yīng)用來說，就意味著電子商務(wù)將被迫終止對外的服務(wù)。對企業(yè)網(wǎng)站而言，網(wǎng)頁的篡改，尤其是含有攻擊、丑化色彩的篡改，會對企業(yè)形象與信譽造成嚴(yán)重?fù)p害。

2.網(wǎng)絡(luò)仿冒（Phishing）

網(wǎng)絡(luò)仿冒又稱網(wǎng)絡(luò)欺詐、仿冒郵件或者釣魚攻擊等，是黑客使用欺詐郵件和虛假網(wǎng)頁設(shè)計來誘騙收件人提供信用卡賬號、用戶名、密碼、社會福利號碼等，隨后利用騙得的賬號和密碼竊取受騙者金錢。近年來，隨著電子商務(wù)、網(wǎng)上結(jié)算、網(wǎng)上銀行等業(yè)務(wù)在日常生活中的普及，網(wǎng)絡(luò)仿冒事件在我國層出不窮，諸如中國銀行網(wǎng)站等多起金融網(wǎng)站被仿冒。網(wǎng)絡(luò)仿冒已經(jīng)成為影響互聯(lián)網(wǎng)應(yīng)用，特別是電子商務(wù)應(yīng)用的主要威脅之一。

3.網(wǎng)絡(luò)蠕蟲

網(wǎng)絡(luò)蠕蟲是指一種可以不斷復(fù)制自己并在網(wǎng)絡(luò)中傳播的程序。這種程序利用互聯(lián)網(wǎng)上計算機系統(tǒng)的漏洞進入系統(tǒng)，自我復(fù)制，并繼續(xù)向互聯(lián)網(wǎng)上的其他系統(tǒng)進行傳播。蠕蟲的不斷蛻變并在網(wǎng)絡(luò)上的傳播，可能導(dǎo)致網(wǎng)絡(luò)被阻塞的現(xiàn)象發(fā)生，從而致使網(wǎng)絡(luò)癱瘓，使得各種基于網(wǎng)絡(luò)的電子商務(wù)等應(yīng)用系統(tǒng)失效。

4.拒絕服務(wù)攻擊(Dos)

拒絕服務(wù)攻擊是指在互聯(lián)網(wǎng)上控制多臺或大量的計算機針對某一個特定的計算機進行大規(guī)模的訪問，使得被訪問的計算機窮于應(yīng)付來勢兇猛的訪問而無法提供正常的服務(wù)，使得電子商務(wù)這類應(yīng)用無法正常工作。拒絕服務(wù)攻擊是黑客常用的一種行之有效的方法。如果所調(diào)動的攻擊計算機足夠多，則更難進行處置。尤其是被蠕蟲侵襲過的計算機，很容易被利用而成為攻擊源，并且這類攻擊通常是跨網(wǎng)進行的，加大了打擊犯罪的難度。

5.特羅伊木馬

特羅伊木馬（簡稱木馬）是一種隱藏在計算機系統(tǒng)中不為用戶所知的惡意程序，通常用于潛伏在計算機系統(tǒng)中來與外界聯(lián)接，并接受外界的指令。被植入木馬的計算機系統(tǒng)內(nèi)的所有文件都會被外界所獲得，并且該系統(tǒng)也會被外界所控制，也可能會被利用作為攻擊其他系統(tǒng)的攻擊源。很多黑客在入侵系統(tǒng)時都會同時把木馬植入到被侵入的系統(tǒng)中。

二、解決電子商務(wù)中網(wǎng)絡(luò)安全問題的對策研究

1.進一步完善法律與政策依據(jù)充分發(fā)揮應(yīng)急響應(yīng)組織的作用

我國目前對于互聯(lián)網(wǎng)的相關(guān)法律法規(guī)還較為欠缺，尤其是互聯(lián)網(wǎng)這樣一個開放和復(fù)雜的領(lǐng)域，相對于現(xiàn)實社會，其違法犯罪行為的界定、取證、定位都較為困難。因此，對于影響電子商務(wù)發(fā)展的基于互聯(lián)網(wǎng)的各類網(wǎng)絡(luò)安全事件的違法犯罪行為的立法，需要一個漫長的過程。根據(jù)互聯(lián)網(wǎng)的體系結(jié)構(gòu)和網(wǎng)絡(luò)安全事件的特點，需要建立健全協(xié)調(diào)一致，快速反應(yīng)的各級網(wǎng)絡(luò)應(yīng)急體系。要制定有關(guān)管理規(guī)定，為網(wǎng)絡(luò)安全事件的有效處理提供法律和政策依據(jù)。

互聯(lián)網(wǎng)應(yīng)急響應(yīng)組織是響應(yīng)并處理公共互聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全事件的組織，在我國，CNCERT/CC是國家級的互聯(lián)網(wǎng)應(yīng)急響應(yīng)組織，目前已經(jīng)建立起了全國性的應(yīng)急響應(yīng)體系；同時，CNCERT/CC還是國際應(yīng)急響應(yīng)與安全小組論壇（FIRST，F(xiàn)orumofIncidentResponseandSecurityTeams）等國際機構(gòu)的成員。應(yīng)急響應(yīng)組織通過發(fā)揮其技術(shù)優(yōu)勢，利用其支撐單位，即國內(nèi)主要網(wǎng)絡(luò)安全廠商的行業(yè)力量，為相關(guān)機構(gòu)提供網(wǎng)絡(luò)安全的咨詢與技術(shù)服務(wù)，共同提高網(wǎng)絡(luò)安全水平，能有效減少各類的網(wǎng)絡(luò)事件的出現(xiàn)；通過聚集相關(guān)科研力量，研究相關(guān)技術(shù)手段，以及如何建立新的電子交易的信任體系，為電子商務(wù)等互聯(lián)網(wǎng)應(yīng)用的普及和順利發(fā)展提供前瞻性的技術(shù)研究方面具有積極意義。

2.從網(wǎng)絡(luò)安全架構(gòu)整體上保障電子商務(wù)的應(yīng)用發(fā)展

網(wǎng)絡(luò)安全事件研究中看到，電子商務(wù)的網(wǎng)絡(luò)安全問題不是純粹的計算機安全問題，從企業(yè)的角度出發(fā)，應(yīng)該建立整體的電子商務(wù)網(wǎng)絡(luò)安全架構(gòu)，結(jié)合安全管理以及具體的安全保護、安全監(jiān)控、事件響應(yīng)和恢復(fù)等一套機制來保障電子商務(wù)的正常應(yīng)用。

安全監(jiān)控和審計是實時保護的一種策略，它主要滿足一種動態(tài)安全的需求。因為網(wǎng)絡(luò)安全技術(shù)在發(fā)展的同時，黑客技術(shù)也在不斷的發(fā)展，網(wǎng)絡(luò)安全不是一成不變的，也許今天對你來說安全的策略，明天就會變得不安全，因此我們應(yīng)該時刻關(guān)注網(wǎng)絡(luò)安全的發(fā)展動向,以及網(wǎng)絡(luò)上發(fā)生的各種各樣的事情，以便及時發(fā)現(xiàn)新的攻擊，制定新的安全策略。可以這樣說，安全保護是基本，安全監(jiān)控和審計是其有效的補充，兩者的有效結(jié)合，才能較好地滿足動態(tài)安全的需要。

事件響應(yīng)與恢復(fù)主要針對發(fā)生攻擊事件時相應(yīng)的應(yīng)急措施與恢復(fù)正常應(yīng)用的機制。就是當(dāng)攻擊發(fā)生時，能及時做出響應(yīng)，這需要建立一套切實有效、操作性強的響應(yīng)機制，及時防止攻擊的進一步發(fā)展。響應(yīng)是整個安全架構(gòu)中的重要組成部分，因為網(wǎng)絡(luò)構(gòu)筑沒有絕對的安全，安全事件的發(fā)生是不可能完全避免的，當(dāng)安全事件發(fā)生的時候，應(yīng)該有相應(yīng)的機制快速反應(yīng)，以便讓管理員及時了解攻擊情況，采取相應(yīng)措施修改安全策略，盡量減少并彌補攻擊的損失，防止類似攻擊的再次發(fā)生。當(dāng)安全事件發(fā)生后，對系統(tǒng)可能會造成不同程度的破壞，如網(wǎng)絡(luò)不能正常工作、系統(tǒng)數(shù)據(jù)被破壞等，這時，必須有一套機制能盡快恢復(fù)系統(tǒng)的正常應(yīng)用，因為攻擊既然已經(jīng)發(fā)生了，系統(tǒng)也遭到了破壞，這時只有讓系統(tǒng)以最快的速度運行起來才是最重要的，否則損失將更為嚴(yán)重。因此恢復(fù)在電子商務(wù)安全的整體架構(gòu)中也是不可缺少的組成部分。

三、結(jié)論

Internet的快速發(fā)展，使電子商務(wù)逐漸進入人們的日常生活，而伴隨各類網(wǎng)絡(luò)安全事件的日益增加與發(fā)展，電子商務(wù)的安全問題也變得日益突出，建立一個安全、便捷的電子商務(wù)應(yīng)用環(huán)境，解決好電子商務(wù)應(yīng)用與發(fā)展的網(wǎng)絡(luò)安全問題必將對保障和促進電子商務(wù)的快速發(fā)展起到良好的推動作用。

參考文獻:

[1]CNCERT/CC.2005年上半年網(wǎng)絡(luò)安全工作報告

[2]李衛(wèi):計算機網(wǎng)絡(luò)安全與管理.北京：清華大學(xué)出版社，2000

[3]李海泉:計算機網(wǎng)絡(luò)安全與加密技術(shù).北京：科學(xué)出版社，2001

其它優(yōu)質(zhì)范文

友情鏈接

電子商務(wù)
中國公共安全·市場版

電子商務(wù)安全事件精選(五篇)

篇1

篇2

篇3

篇4

篇5

其它優(yōu)質(zhì)范文

跨境電子商務(wù)供應(yīng)鏈管理研究

體育用品銷售中電子商務(wù)模式分析

計算機網(wǎng)絡(luò)安全在電子商務(wù)的應(yīng)用

推薦閱讀

推薦期刊

南北橋

紅外

中華民居

電子政務(wù)