电子商务安全风险管理

2024-12-22 版权声明 我要投稿

电子商务安全风险管理

电子商务安全风险管理 篇1

摘要:电子商务不仅改变了消费者的生活方式,同时也使得企业的交货方式和经营方式发生转变。但是电子商务与其他新生事物一样,既带来了巨大的机遇,也带来了许多不容忽视的风险,这些风险有待解决。电子商务风险管理成为电子商务发展的重要任务,因此要解决好电子商务的安全风险问题,针对问题的根源,采用一种综合防范的思路,从多方面去认识,寻找解决方法。

关键词:电子商务 风险管理 解决方法

随着开放的互联网络系统Internet的飞速发展,电子商务的应用和推广极大地改变了人们工作和生活方式,带来了无限的商机。然而,电子商务发展所依托的平台——互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展;此外,电子商务的发展还面临着严峻的内部风险,电子商务企业内部对安全问题的盲目和安全意识的淡薄,高层领导对电子商务的运作和安全管理重视程度不足,使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此,在考察电子商务运行环境、提供电子商务安全解决方案的同时,有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。

电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析,并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。

1.电子商务的内涵

1.1内涵

电子商务一词源于英文 Electronic Commerce或 Electronic Business,现已经成为当代社会的潮流,其含义有两个内容,其一,电子方式,其二,商贸活动,即整个商务过程的电子化、网络化和数字化,交易双方可以便捷却并不面对面地进行各种商贸活动,利用这种快速、低成本的电子通讯方式,它将覆盖与商务活动有关的方方面面。

针对人们对这个热词理解的不同,电子商务有广义和狭义之分。广义上说,电子商务是指利用一切电子方式所从事的贸易活动。电子方式指的是电子技术设备、电子技术工具及系统,包括早期的电报、电视、电话、传真、Email、广播、电子计算机、电信网络和当今的电子货币、信用卡、网银盾、信息基础设施及互联网等现代通信网络系统。贸易活动则指的是一系列市场经济活动,包括信息发布、询价报价、洽谈、签约、结算支付、商业交易、国内外贸易等等。由于信息技术快速发展和计算机网络的普及使电子商务得到广泛地运用,从狭义上讲,电子商务则是利用计算机网络进行的商务活动。

1.2分类

目前,电子商务按交易内容基本分为直接电子商务和间接电子商务两大类型。直接电子商务是指商家将服务产品和无形商品内容数字化,不需要某种特定物质形式的包装,直接在网上以电子形式传送给消费者,通过互联网或专用网直接实现交易。间接电子商务又称不完全的电子商务,指在网上进行的交易环节只能是订货、支付和部分的售后服务,而商品的配送还需依靠送货的运输系统等外部要素,即由专业的服务机构或现代物流配送公司去完成。

2.电子商务面临的安全风险

2.1互联网络的开放化带来的数据破坏风险

电子商务是以互联网络为平台的贸易新模式,它的一个最大特点是强调参加交易的各方和所合作的伙伴都要通过Internet密切结合起来,共同从事在阿络环境下的商业电子化应用。在电子商务环境下商务交易必须通过互联网络来进行,而互联网体系使用的是开放式的TCP/IP协议,它以广播的形式进行传播。容易受到计算机病毒、黑客的攻击,商业信息和数据易于搭截侦听、口令试探和窃取,给企业的数据信息安全带来极大威胁,如遭破坏或泄密,将会给电子企业、商户造成巨大的损失。

2.2系统软件安全漏洞带来的风险

由于现阶段广泛应用的主流操作系统和数据库管理系统是从国外引进直接使用的产品。核心技术还是使用引进的版本。这些系统安全性存在系统漏洞等不少危及信息安全的问题。系统软件安全漏洞带来的风险主要来自操作系统软件和数据库管理系统软件的安全漏洞。没有作系统的保护,就不可能有网络系统的安全,也不可能有应用软件信息处理的安全性。

2.3来自社会的外来入侵风险

电子商务容易被来自社会上的不法分子通过互联网络非法入侵,主要表现形式是黑客和病毒等对电子商务系统的文件和数据的篡改和破坏,是一种社会道德风险。黑客通过闯入他人计算机系统进行破坏,这些人利用电子商务系统和管理上的一些漏洞,进入计算机系统后,破坏或篡改重要数据,盗取机密与资源,控制他人的机器,清除记录。设置后门,给电子商务系统带来灾难性的后果。而计算机病毒是人为编写的一组程序,可以攻击电子商务系统的数据区、文件和内存,以致使计算机的硬件失灵,软件瘫痪。数据破坏,系统崩溃,给企业和商户造成无法挽回的巨大损失。

2.4电子商务本身内部监管漏洞带来的风险

电子商务本身如果缺乏约束机制,责权不明,管理混乱、安全管理制度不健全等是引起电子商务系统安全风险的头号风险根源。如果没有严格的可操作性的内部管理制度,容易造成当系统出现攻击行为或受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警,而且,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对系统的可控性与可审查性。

3.电子商务交易运行的风险

3.1信用风险

传统商务交易一般使用以纸为介质形式的手写签名或证明文件等方式来证明或确认商务的交易,应该说比较容易辨认真伪,操作显得比较容易。而在基于互联网络为交易平台的电子商务形式下,参与商业交易均在互联网上进行,双方并不存在与传统商业模式的见面、磋商、谈判、监证、签署文件等问题,这就需要通过一定的技术手段相互认证,如数据加密技术、数字签名、数字证书等技术来保证电子商务交易的安全。在电子商务环境下,由于电子报表、电子文件、电子合同等无纸介质的使用,无法使用传统的签字方式,从而在辨别真伪上存在新的风险,电子商务的成功与否取决于消费者对网上交易的信任程度,电子商务的信任风险实质是由网络交易的虚拟化造成的,首先是买方信用风险。在网络中个人可以任意伪造信息,可以伪造假信用卡骗取卖方商品。从而给卖方带来风险。然后是卖方信用风险,由于信息不对称的原因消费者不可能全部掌握商家商品信息。卖方商品信息不完全、不准确或商家过分诱导消费者从而误导消费者购买行为;另外,卖家单方面毁约。不履行交易,也会对买方造成损失。所以电子商务应用过程中遇到的信用风险问题,是值得关注的问题。

3.2法律风险

电子商务在交易过程中存在法律风险,由于电子商务是在网络间进行的,电子商务交易可以看作是无纸贸易,是一个虚拟环境的交易,当前对这些虚拟交易的法律监管却并不完善,这些问题使得电子商务认证、交易会有不受法律保护的风险。另外,电子商务贸易还存在知识产权的风险,网络是个开放的平台,资源在网络中的传播是畅通的。在网络中资源的共享性使得有知识产权的资源受保护的力度被降低,因此可能带来电子商务交易的知识产权纠纷等法律的风险问题。

3.3电子商务风险管理

电子商务安全的风险管理(Risk Management)是对电子商务系统的安全风险进行识别、衡量、分析,并在此基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。其本质就是防患于未然:事前加以消减和控制,事后积极响应和处理,为响应和处理所做的准备就是制订应急计划。

4.风险管理步骤

了解了电子商务存在的风险之后,需要对这些风险进行管理和控制。具体包括风险识别、风险分析、风险应对和风险监控4个过程。选择有效的手段,以尽可能降低成本,有计划地处理风险,以获得企业安全运作的经济保障。这就要求企业在日常经营过程中,应对可能发生的风险进行识别,预测各种风险发生后对资源及日常经营造成的消极影响,使企业能够顺利经营。

4.1 风险识别

对电子商务系统的安全而言,风险识别的目标主要是对电子商务系统的网络环境风险、数据存取风险和网上支付风险进行识别。识别风险的方法有很多,主要有:试验数据和结果、专家调查法、事件树分析法。电子商务风险识别最常用的一种方法就是收集各种曾经发生过的电子商务攻击事件(不仅局限于本企业),经过分析提取出若干特征,将其存储到“风险”库,作为识别潜在风险的参考。

4.2风险分析

风险分析的目的是确定每种风险对企业影响的大小,一般是对已经识别出来的电子商务风险进行量化估计。这里量化的概念主要指风险影响指标,风险概率以及风险值。技术安全是电子商务实现的基础,其重要性不言而喻,因此在该项目规划、计划阶段就应充分考虑。

4.3 风险应对(风险控制)

根据风险性质和企业对风险的承受能力制订相应的防范计划,即风险应对。确定风险的应对策略后,就可编制风险应对计划。电子商务的技术风险控制主要是针对网络环境风险、数据存取风险和网上支付风险制订风险应对策略,从硬件、软件两方面加强IT基础设施建设。

4.4风险监控

制定规划,实施保护措施,在保护措施实施的每一个阶段都要进行监控和跟踪。风险贯穿于电子商务项目的整个生命周期中,因而风险管理是个动态的、连续的过程。因此制订了风险防范计划后,还需要时刻监督风险的发展与变化情况。

5.风险管理规则的制定

5.1评估阶段

该阶段的主耍任务是对电子商务的安全现状、要保护的信息、各种资产等进行充分的评估以及一些基本的安全风险识别和分析。

对电子商务安全现状的评估是制定风险管理规则的基础。

对信息和资产的评估是指对可能遭受损失的相关信息和资产进行价值的评估,以便确定相适应的风险管理规则,从而避免投入成本和要保护的信息和资产的严重不匹配。

安全风险识别要求尽可能地发现潜在的安全风险,应收集有关各种威胁、漏洞、开发和对策的信息。

安全风险分析是确定风险,收集信息,对可能造成的损失进行评价以估计风险的级别,以便做出明智的决策,从而采取措施来规避安全风险。

5.2开发和实施阶段

该阶段的任务包括风险补救措施开发、风险补救措施测试和风险知识学习。风险补救措施开发利用评估阶段的成果来建立一个新的安全管理策略,其中涉 及配置管理、修补程序管理、系统监视与审核等等。

在完成对风险补救措施的开发后,即进行安全风险补救措施的测试,在测试过程中,将按照安全风险的控制效果来评估对策的有效性。

5.3运行阶段

运行阶段的主耍任务包括在新的安全风险管理规则下评估新的安全风险。这个过程实际上是变更管理的过程,也是执行安全配置管理的过程。运行阶段的第二个任务是对新的或已更改的对策进行稳定性测试和部署。这个 过程由系统管理、安全管理和网络管理小组来共同实施。

6.风险管理对策

由于电子商务安全的重要性,所以部署一个完整有效的电子商务安全风险管理对策显得十分迫切。制定电子商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞,从而降低电子商务系统环境所面临的风险。

6.1缩短电子商务项目周期,增加更多的项目选择

减轻电子商务风险的一个最简单的方法就是缩短电子商务项目周期,因为电子商务所面临的外界环境,如技术环境,竞争环境等变化太快,如果电子商务项目过大,即使你的项目本身成功了,但由于环境的改变,这个成功的电子商务项目未必能给企业带来原先设想的利益。

6.2自上而下的风险意识

很多的企业认为,电子商务项目是个技术项目,只需要相关的技术部门参与就可以了。有调查显示,大多数企业在进行电子商务化的过程中,缺乏高级管理层的重视,这也是电子商务项目成功率不高的原因。而对于成功的电子商务企业,往往在进行电子商务项目时,不仅受到企业决策层的高度关注,而且普通的员工也都非常清楚电子商务化的目标,这样自上而下的对于电子商务知识的.了解,也是这些公司成功运作电子商务的原因之一。所以对于将要从事电子商务的企业,不仅要让全体员工了解电子商务的知识,而且要了解电子商务的风险,要形成一个自上而下的全员参与、全员重视的风险意识。

6.3改变企业内部运作流程

现在仍有很多企业认为电子商务无非就是建一个网站,所以这些企业在从事电子商务时,往往会遭遇失败。电子商务给企业提供很好的机会改变其内部和外部商业运作流程,如果企业不改变其商业运作流程,而直接进入电子商务,不仅企业对电子商务的投资会失败而且会影响到整个企业的声誉。所以在企业加入电子商务行业前,一定要改造自己内部的运作流程,使之适应电子商务的要求。实行电子商务的商户,在内部管理制度上应健全相应的规章制度,例如:制定制度来规范和约束员工的行为,根据其工作的重要程度,确定该系统的安全等级。制订相应的机房出入管理制度对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。对操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围;制订完备的系统维护制度,对系统进行维护时。应采取数据保护措施。如数据备份等。另外制定人员激励机制也很重要,应建立人员雇用和解聘制度。及时对工作人员进行评价,制定奖惩制度,调动工作人员的工作责任感和积极性。

6.4滚动的战略计划

电子商务时代的不确定性和快速变化,使得详细的战略经营计划的作用越来越小。我们现在经常看到的是,电子商务企业有一个明确的五年计划,其中第一年计划较详细,而其他年份则是较粗略的,因为在这些计划实施的时间到来之前,环境可能已经发生变化了。这说明了确保五年目标具有相关性的滚动计划的十分必要的,应当定期修改计划来适应变化了的环境。当然,这种方法的实施也应具体问题具体分析,应当考虑各个企业所面临的具体环境而有所不同。

6.5降低成本与实现可持续发展

电子商务的发展是大势所趋,但电子商务在给企业带来机遇的同时也产生了新的风险。正如在所有的风险管理当中一样,我们考虑的是未来事件出现的不确定性和可能性;在电子商务中,这种不确定性甚至更大,这使得电子商务风险管理成为一项相当繁重的工作。因此要解决好电子商务的安全风险问题,应该针对问题的根源,采用一种综合防范的思路,从多方面去认识,寻找解决方法,这对加快我国电子商务的发展有着重要的意义。

6.6加强技术保证,确保电子商务信息的安全

针对电子商务依靠互联网络平台来开展的网络开放性的特点,特别是要针对互联网体系使用的是开放式的TCP/IP协议,给企业信息和数据安全带来的极大威胁的安全隐患。对如何保障企业的信息数据和重大商业机密,是确保开展电子商务的企业的重要技术保障和前提条件,只有高度重视电子商务的信息安全,才能保证其运行安全,这就需要有强大的技术安全保障措施,不但要制定完善的技术保障措施,更要严格执行制度,才能确保电子商务信息的安全。例如:我们在企业内部网和互联网之间要加一道防火墙,防止黑客或计算机病毒的袭击。保护企业内部网中的机密商业信息数据。另外,利用现有的信息新技术将数字签名技术应用于电子商务的身份认证,可以防止非法用户假冒身份,从而保证电子支付的安全,增强电子商务信息的安全保障措施是电子商务顺利开展的重要技术保障。

6.6.1加强电子商务网络安全的开发及运用

目前电子商务的运作涉及信息、资金、商业秘密等安全问题,由于其电子数据具有无形化的特征,而有关认证机制或者网上安全技术均不够完善,因此有必要对互联网进行本质上的重新设计,使其保证电子商务活动的正常进行,这涉及到多方面的技术应用,如防木马、防火墙、加密、认证等。面对电子商务网络安全威胁,必须采取各种各样的管理措施,满足商务交易运行的安全性。

6.6.2建立电子商务的信用保障体系

电子商务交易模式与其他交易模式相比具有更多的风险,然而引起这些风险的原因还在于带来这些风险的人的失信行为。消除这些风险的,需要一个第三方信用服务认证机构通过技术手段来帮助参与电子商务交易的各方提出解决方案,使风险降至最低。

6.6.3完善电子商务税收征管机制

首先,出台相应法律法规,扶持电子商务。我国应出台相关的法律法规,鼓励与扶持国内企业利用电子商务,并应坚持税收中性原则,使企业对市场行为和贸易方式的选择不受征税影响。其次,借助计算机网络,加快税收征管改革。现在,电子商务发展迅速,交易的无纸化使得税务机关必须改革以传统的以纸质凭据作为纳税依据的征管制度,以便税务机关稽查,做到税收无纸化,提高效率,从而适应电子商务发展的要求。最后,加强与银行等中介机构的信息确认,获取真实可靠的征管信息。税务机关应同银行等中介机构合作,通过联网获取企业在电子商务平台中交易的相关信息,对企业的资金流向实施有效监控,防止企业偷逃税。

6.7加强复合型人才的培养

实现电子商务环境是当今全球经济一体化、信息化时代的一种发展趋势,重视复合型人才的培养是电子商务成功与否的决定因素。所谓电子商务的复合型人才是指要求电子商务管理人员既要有计算机知识,还要有管理理论和商务、金融、法律等知识。对电子商务管理人员进行培训,通过学习现代电子网络技术,将经济、金融、法律、网络有机地结合。对商务交易、金融活动的网络化、数字化有比较深刻的认识,加深对电子商务环境下的风险认识和防范。从而提高员工适应电子商务的工作能力和创新能力,更好地开展电子商务这一新兴的贸易模式。

结论

电子商务的开展以信息技术为基础,如何解决电子商务中存在的安全问题已成为一个迫在眉睫的课题。电子商务风险是不可能完全消除的,因为它是与电子商务共生的,是电子商务的必然产物,但是,可以将风险限制在影响最小的范围之内。只有了解风险,才能规避风险。本文从安全风险管理的角度出发,分析了电子商务中可能存在的技术风险,论述了这些风险的控制策略,希望对企业开展电子商务活动起到一定的积极作用电子商务作为一种新的交易方式,已成为我国经贸发展领域的主流力量,并将成为国际经贸合作的主要平台。然而电子商务所存在的或将出现的风险问题是不可能完全消除的,它是伴随电子商务的产生而出现的必然产物。由于电子商务风险在不同的应用领域所产生的危害程度各不相同,所以电子商务风险管理的目标是将其存在的风险所造成的影响尽可能控制最小的范围之内。此外,无论是再好的安全措施也要有应对突发的安全问题的应急方案。最重要的是政府必须尽快制定并完善相关政策,适应高速发展的电子商务进程,确保电子商务交易的安全、透明、高效。

参考文献

[1]调查报告编委会.-:中国电子商务十二年调查报告[EB/OL].http://www.b2b.toocle.com,2009-10-12.

[2]贾建华,阚宏.国际贸易理论与实务[M].修订第四版.北京:首都经济贸易大学出版社,:143-147.

[3]邱新泉.电子商务风险与对策研究.信息技术,155-156

[3] 刘伟江,王勇。电子商务风险及控制策略[J].东北师范大学学报:哲学社会科学版,,(11)。

[5] 易珊,张学哲.电子商务安全策略分析.科技情报开发与经济.2004.5

[6] 郭学勤,陈怡.电子商务安全对策.计算机与数字工程..7 [7] 李晶.电子商务安全防范措施.安徽科技..4

[7]彭连刚. 电子商务及其安全问题探析. 长沙航空职业技术学院学报 , 2005, (02)

[8]专业文献资料wenku.baidu.com/view/4b48f37ca26925c52cc5bffd.html

电子商务安全风险管理 篇2

随着网络技术水平的不断提高, 以现在信息技术为根据的电子商务网络得到企业、个人和政府的青睐, 电子网络商务模式, 被认为当前促进当前经济增长的全新商务模式, 必将带动全球商务发展的重要变革。构建安全、便捷、完善的电子商务系统是当前的重中之重。

电子商务网络安全体系构建

1. 加强电子网络商务防火墙功能

防火墙功能是电子商务网络访问控制过程的第一道安全机制, 防火墙技术是一道综合性防护技术, 用于确保网络之间访问安全控制。电子商务网络通过网络防火墙控制, 可以使得电子商务网络体系最大程度的减少外部攻击。通过防火墙部署, 外部系统访问电子商务平台都要经过防火墙, 并且外部系统对电子商务平台内部网络访问时, 网络防火墙限制了外部网络访问的有限IP地址, 因此外部网络仅仅可以访问被允许的必要资源, 脱离电子商务业务的访问, 都将受到拒绝;同时电子商务网络防火墙对所有访问的外部网络进行监视, 监视的内容包含访问的内部信息资源内容、访问时间等, 防火墙通过建立访问日志信息, 可以推断外部危险攻击。罗新方, 韩晓蕊, 朱谦 (2008) 由于防火墙能够对进出的数据进行有选择的过滤。所以可以有效地避免对其进行的有意或无意的攻击.从而保证了专用私有网的安个。将包过滤防火墙与代理服务器结合起来使用是解决网络安全问题的一种非常有效的策略。电子商务网络防火墙通过对地址进行变换, 内部网络结构对外部不公开, 外部攻击的目标性不强。通过电子商务网络防火墙, 建立DMZ区域, 用于存放电子商务平台的服务器, 加强外部危险防御。

2. 加强电子商务网络用户认证和VPN技术

电子商务的网络公共资源的传递, 很难确保传递过程中是否会遇到拦截, 五不能确保是否利用身份和数据传递信息参数, 电子商务网络访问中, 对访问企业和个人的身份确定十分重要, 通过用户认证和审核, 可以确保信息资源的真假。用户认证和VPN技术则可以监视外部访问。

VPN技术, 即虚拟专用网, 他是它用于电子网络内部网或扩展的访问。张敏 (2006) VPN是用于Internet交易的一种专用网络, 它可以在两个系统之间建立安全的信道 (或隧道) 。用于电子数据交换 (EDI) 。在VPN中, 双方的数据通信量可大得多。而且通信的双方彼此都很熟悉, 因此可以使用复杂的专用加密和认证技术。通过VPN技术控制, 可以借助公用网络, 临时连接一个访问渠道, 这个渠道是安全和稳定的。VPN技术可以是电子商务平台与远程用户、合作伙伴等建立安全访问连接。VPN技术通过加密和认证, 建立电子商务网络扩展专用通道的数据传送, 非信任区域被VPN技术拒绝。

3. 加强电子商务入侵防御技术 (IPS)

电子商务入侵防御技术 (IPS) 主要作用是检测和拒绝服务攻击 (DDos) , 入侵防御技术是对电子商务网络防火墙的进一步完善, 该技术的外部攻击标准判断是建立在对访问服务器的数据流基础上, 他可以对网络边界点数据进行监视。对异类攻击行为进行统计, 判断攻击的基本规律, 如网络入侵进行阻断和控制。

电子商务入侵防御技术 (IPS) 是一种实施装置, 通过对电子商务平台访问者的网络数据流分析, 查询电子商务网络访问违规模式和未授权网络访问行为, 他通过集中控制台时间电子商务信息访问管理和检测, 并根据电子商务网络系统安全策略, 快速做出回应, 报警、跟踪、恢复、断网等。

4. 加强建立电子商务自防御网站防护体系

自防御网络防护体系能最大程度和最及时的应对新类型的攻击方式, 当前电子商务发展越来越成熟, 电子商务自防御网站防护体系建设是一种趋势。电子商务自防御网站防护体系建设内容包含事先、事中和事后防护机制建设, 通过对危险攻击的防御, 增强电子商务平台自我防御和修复功能。电子商务自防御体系的事先机制, 包含建立迅速和高效的扫描机制;建立知识库, 通过对电子商务网络应用漏洞和危害程序等自我学习, 实现自我修复。电子商务自防御体系的事中机制, 是建立对已经造成攻击和破坏的电子商务平台系统进行防护和恢复的机制, 电子商务自防御体系的事后机制, 通过攻击行为进行跟踪, 对攻击者的网络端口、攻击时间和攻击访问目的地进行全面记录和分析, 查找攻击来源。也为安全审计提供支持。

5. 加强电子商务网络信息安全机制。

加强电子网络安全机制建设, 包含网络安全加密机制, 数字签名机制, 访问控制机制, 数据完整性机制, 鉴别交换机制, 通信业务流填充机制, 路由控制和公证机制建设。网络信息安全问题, 关系着我国政治、经济、文化, 以及社会生活的全方面, 电子商务网络安全建设新技术也越开越多, 完全, 完善电子商务安全机制, 最终有利于形成一个有效的、安全的和稳健的电子商务安全系统。

结束语

电子商务是一个复杂系统工程, 电子商务在发展的同时, 也面临电子商务网络安全和风险的困扰, 电子商务网络技术问题对现实提出了要求。加强电子商务研究计算机网络安全的体系结构, 就是研究如何从管理和技术上, 确保电子商务网络安全得以完整和准确地实现, 电子商务网络安全需求得以全面准确的满足。

电子商务安全风险管理 篇3

关键词:电子商务;信息安全;运行环境;黑客;防火墙

【中图分类号】G710

一、电子商务的概念及优势

电子商务,就是利用计算机技术、网络技术和远程通信技术,实现整个商务过程中的电子化、数字化和网络化。它是将传统商务活动中物流、资金流、信息流的传递方式利用网络科技整合,将重要的信息与分布各地的客户、员工、经销商及供应商连接,创造更具有竞争力的经营优势。

电子商务的特点:第一,交易虚拟化。贸易双方从贸易磋商、签订合同到支付等,无需当面进行,均通过计算机互联网完成。第二,交易成本低,效率高。电子商务将传统的商务流程电子化、数字化,以电子流代替了实物流,减少了人力物力降低了成本。第三,交易透明化。减少了中间环节,使得生产者和消费者的直接交易成为可能。第四,电子商务提供了丰富的信息资源,提高了中小企业的竞争能力。

二、电子商务在企业管理中的重要地位

1、提升服务的个性化水平。运用电子商务这一先进的技术能够帮助企业手机大量的数据信息,并能依据商务数据的处理系统对企业客户的信息以及特点进行分析,提升企业服务的个性化水平。

2、提升决策水平。在对数据分析过程中能够快速提供独具针对性的服务项目,帮助企业成功地占据市场。对客户需求及市场发展进行准确的预测,帮助决策者制定科学合理的发展计划,提升决策水平。

3、完善并优化网站。企业电子商务的站点能够对其网站的消费者或浏览者的交易数据、浏览信息等进行分析,促进企业网站结构得到持续的完善,从而使企业的结构设计更为科学、合理,设置出独具人性化特征的链接以及布置网页,并依此将网站的浏览量提高。

4、提升客服水平。电子商务的站点功能,即客户的数据信息等是实时的、动态的,且能够进行智能分析,从而得到最后的客户群体的消费水平以及消费偏好等信息。这些信息能帮助企业实施针对性强的市场营销策略,提高企业的服务质量,建立良好的客户满意度。

三、电子商务面临的信息安全威胁

1、安全环境恶化。我国在很多硬件核心设备方面依然以进口采购为主要渠道,不能自主生产也意味着不能自主控制,除了生产技术、维护技术也相应依靠国外引进,这也就让国内的电子商务无法看到眼前的威胁以及自身软件的应付能力。

2、商务软件本身存在的漏洞:任何一种商务软件的程序都具有复杂性和编程多样性,程序越复杂漏洞出现的可能性越大。这样的漏洞加上操作系统本身存在的漏洞,再加上TCP/IP通信协议的先天安全缺陷,遭遇威胁的可能性随着计算机网络技术的不断普及而越来越大。

3、平台的自然物理威胁。由于电子商务通过网络传输进行,因此诸如电磁辐射干扰以及网络设备老化带来的传输缓慢甚至中断等自然威胁难以预测,而这些威胁将直接影响信息安全。此外,人为破坏商务系统硬件,篡改删除信息内容等行为,也会给企业造成损失。

4、黑客入侵。在诸多威胁中病毒是最不可控制的,其主要作用是损坏计算机文件,且具有繁殖功能。配合越来越便捷的网络环境,计算机病毒的破坏力与日俱增。而目前黑客所惯用的木马程序则更有目的性,本地计算机所记录的登录信息都会被木马程序篡改,从而造成信息之外的文件和资金遭窃。

5、网络协议、用户信息、电子商务网部安全性问题。企业和用户在电子交易过程中的数据是以数据包的形式来传送的,恶意攻击者很容易对某个电子商务网站展开数据包拦截,甚至对数据包进行修改和假冒。目前,最主要的电子商务形式是基于B/S(Browser/Server)结构的电子商务网站,用户使用浏览器登录网络进行交易。由于用户在登录时使用的有可能是公共计算机,如果计算机中存在恶意木马程序或病毒,这些用户的登录信息,就可能会有丢失的危险。有些企业建立的电子商务网站本身在设计制作时就存在一些安全隐患,服务器操作系统本身也会有漏洞,不法攻击者如果进入电子商务网站,大量用户信息及交易信息将被窃取。

四、电子商务信息安全的防范措施

1、针对病毒的技术。电子商务安全的最大威胁就是计算机病毒。对于病毒,多种预防措施的并行应用很重要,比如对全新计算机硬件、软件进行全面的检测;利用病毒查杀软件对文件进行实时的扫描;定期进行相关数据备份;服务器启动采取硬盘启动;相应网络目录和文件设置相应的访问权限等等。同时在病毒感染时保证文件的及时隔离。在计算机系统感染病毒的情况下,第一时间清除病毒文件并及时恢复系统。

2、防火墙应用。防火墙是已经成为目前最重要的网络防护设备。防火墙是在多个网络间实施访问控制的组件集合。其目的是在网络之间建立一个控制关卡,以“允许”、“拒绝”等选项口令对进出内部网的访问进行审查控制,以此来防止非法用户侵入,保护内部网络设备不被破坏,增强企业内部网络的安全性。

3、数据加密技术。加密技术是保证电子商务安全采用的主要安全措施。数据加密是把原始数据通过某种算法进行再组织,再传输在网络公共信道上。这样处理之后,当有人恶意接收时,由于没有密钥,非法接受者无法得到文件的原始数据而不能达到其非法目的。而合法接收者则可以利用密钥进行解密,得到最真实的原始数据。目前主流的加密体制分为私钥和公钥两大类:一般用公钥来进行加密,用私钥来进行签名;同时私钥用来解密,公钥用来验证签名。

4、CA安全认证。目前对于解决电子商务的安全问题,国际通行的做法是采用CA安全认证系统。CA认证中心是一个受绝大多数人信任的第三方机构,在电子商务中属于仲裁机构。在电子商务系统中,所有的實体数字证书都由CA证书授权中心分发且签名。

5、加强企业内部管理。有了技术保障,可以大大降低电子商务中客户信息的安全威胁。但是如果企业内部管理跟不上,安全设施便形同虚设。为了保障电子商务正常运行,企业要加强内部安全管理,建立系统维护制度,包括审批制度,维护方法、维护内容测试、维护文档编制的规范化制度,维护用机、测试数据域营运机器、实际数据的分割制度,源程序保管控制制度等。

建立信息系统的访问管理制度和操作流程,对员工进行有效地监管。提高员工的素质和品行。提升员工的心理契约,把核心人员及其下属的短期行为长期化,使他们更关注公司长远的发展,以此减少员工的流动性。加强企业员工之间的交流与沟通,创造积极且寻求进步的、支持性的企业文化,提高员工的自我效能和企业凝聚力。

参考文献

[1]连红军.初探电子商务对企业管理的影响[J].中国商贸,2011,(05)

电子政务信息安全和管理 篇4

一、电子政务顺利实施的核心问题

电子政务是一种全新的政府管理方式,是一个基于网络技术的综合性业务模式。建立电子政务系统参公众服务,必然要求这一系统必须是安全、可靠、抗灾难、可恢复的。计算机和计算机网络的共享、交互和快速为这种系统的建立提供了前提条件,互联网技术的迅速发展和广泛应用,又为电子政务系统不断走向开放互联提供了巨大推动力。随着电子政务信息化的不断发展,电子政务对于网络系统的依赖性越来越强,政务系统作为关系国计民生的重要部分,在安全方面尤为重要,而由于互联网的开放性和公共性带来的不安全因素,使信息安全问题成为保障电子政务顺利实施的核心问题。

二、电子政务信息安全面临的问题

电子政务网分为政务内网(涉密网)和政务外网(非涉密网),两网之间物理隔离,政务外网采取逻辑隔离与互联网联通。政府各部门大力推行的办公自动化、网络化、电子化、信息共享都以这些网络为支撑,以TCP/IPV4为传输协议,该协议为开放协议,从协议规划、服务模式、网络管理等方面均缺乏安全性设计,所以电子政务信息系统就存在着诸多的安全隐患。

1.网络安全规划的不到位,造成网络结构的不合理性。由于信息技术发展的历史原因和建设资金问题,我国电子政务网络的建设在规划上经常缺少前瞻性的安全规划,网络流量存在多个瓶颈, IP地址缺乏统一规划,广播流量可控性差,子网故障隔离性差,重要流量缺乏带宽管理和服务质量优先保证等一大堆问题。随着安全问题的不断出现,只能在运行过程中不停地修修补补。但是,这种修补只能解决暂时的问题,解决一个问题后,往往又有新问题出现。

2.关键核心技术还掌握,增加了我国基础信息网络和重要信息系统安全的隐患。我国对发达国家信息设备和信息技术存在很强的依赖性,信息化核心设备严重依赖国外,对引进技术和设备缺乏必要的信息管理和技术改造。尤其是在系统安全和安全协议的研究和应用方面与发达国家的差距很大。目前组成我国电子政务网络的计算机网络系统所用硬件、软件、操作系统、网管软件、各类应用系统、数据库、防火墙、网络接入设备、路由器、服务器基本上都是国外公司的产品,微机芯片都是INTEL系列,软件基本上是微软公司的产品,完全自主知识产权的产品基本没有。这些因素使我国的电子政务网络安全性能大大降低,我国的经济和社会发展面临着新的风险。

3.网络安全管理的混乱和规范化的管理制度相对滞后,造成很多管理安全漏洞。由于电子政务的网络是连接多个政务部门的广域网或城域网,需要各部门协调一致,共同维护整个网络平台的安全。但是,由于不同政府部门的信息技术人才和信息化水平的差异性,以及不同政府部门存在一些相关的利益和冲突,因此,很难做到安全管理的统一协调性,一旦发生安全事件,故障定位不准,追查事故源困难,责任问题牵扯不清,从而造成事件的破坏性后果更为严重。

4.安全意识淡薄。目前,在电子政务信息的安全问题上还存在不少认知盲区和制约因素。网络是新生事物,许多人一接触就忙着用于学习、工作和娱乐等,对网络信息的安全性无暇顾及,安全意识相当淡薄,对网络信息不安全的事实认识不足。与此同时,机关、事业单位注重的是网络效应,对安全领域的投入和管理远远不能满足安全防范的要求。总体上看,网络信息安全处于被动的封堵漏洞状态,从上到下普遍存在侥幸心理,没有形成主动防范、积极应对的全民意识,更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。

三、电子政务信息安全措施

1.设备的物理安全。物理层的安全设计应从三个方面考虑:环境安全、设备安全、线路安全。采取的措施包括:机房屏蔽,电源接地,布线隐蔽,防雷。根据中央保密委有关文件规定,凡是计算机同时具有内网和外网的应用需求,必须采取网络安全隔离技术,在计算机终端安装隔离卡或安装安全网闸,使内网与外网之间从根本上实现物理隔离,防止涉密信息通过外网泄漏。

2.信息的加密。电子政务应用涵盖政府内部办公和面对公众的信息服务两大方面。就政府内部办公而言,电子政务系统涉及到部门与部门之间、上下级之间、地区与地区间的公文流转,这些公文的信息往往涉及不宜公开的和有密级的内容。因此,在信息传递过程中,必须采取适当的加密方法对信息进行加密。可采用多种加密方式:a.基于IPsec的加密方式正被广泛采用,其优点显而易见:IPsec对应用系统透明且具有极强的安全性,这一点对于要开发庞大应用的电子政务来说,就显得极有好处了,应用系统开发商不必为数据传输过程中的加密做过多的考虑,易于部署和维护。b.采用VPN技术在公共数据网上进行内部信息的安全传输。其优点是只增加端设备避免了重复建设。c.采用公钥基础设施技术(PKI)为基础,以数据机密性、完整性、身份认证和行为的不可否认为安全目的为电子政务提供安全支持。

3.操作系统的安全性。网络安全的重要基础之一是安全的操作系统,因为所有的政务应用和安全措施都依赖操作系统提供底层支持。操作系统的漏洞或配置不当将有可能导致整个安全体系的崩溃。更危险的是,我们无法保证国外厂家的操作系统产品不存在后门。在操作系统安全方面,有两点是值得考虑的:一是采用具有自主知识产权且源代码对政府公开的产品;二是利用漏洞扫描工具定期检查系统漏洞和配置更改情况,及时发现问题。

4.数据备份与容灾。任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。

5.管理制度的完善。电子政务网络内部安全和外部安全一样重要,内部安全除了需要体系化的安全防御策略,还需要严格的、可操作性强的安全管理制度。制度的制订首先要规范,其次要强调制度的强制性、法规约束力和可操作性,同时进行安全宣传教育,增强安全意识的培养和信息安全知识的普及这样才能保证制度的真正贯彻和执行加强。

电子文档安全管理的研究及应用 篇5

【摘要】

随着企业信息化的快速发展,企业内部电子文档安全隐患问题日益突出,根据安全调查机构的数据显示,有超过85%的信息泄密来自于企业内部,追溯源头发现,电子信息的明文存储和无控流转是泄密事件频发的根本。本文通过开发一套电子文档安全管理系统,采用动态的加解密技术对“数据”与“内容”进行保护,防止企业内部信息泄露。

【关键词】

动态加密;三员管理;授权访问;流程审批

1、引言

随着信息化的高速发展,信息安全得到越来越多来自社会各界人士的关注和重视,相对以前传统的安全威胁,目前企业面对的是高级网络威胁,它能够有计划、有目标地采用各种手段渗透目标,对敏感数据的窃取往往是他们最直接的目的,这些都是传统网络边界安全难以应付的。不少企业的安全防护都是“重防外,轻防内”,网络安全技术出发点是解决对外防护的问题,对内防护十分薄弱,企业在制定和实施安全策略之间也有较大的差距。如何才能有效的把安全边界从企业外部扩展到企业内部网络的每一个节点,如何控制企业人员的主动或非主动的泄密行为,如何从源头上保证企业机密信息的安全?是目前信息安全要着力研究的问题。 在开放的互联网时代,需要新的安全理念和相应解决方案来应对新的挑战,这种新的安全理念和解决方案,应将信息安全保护的焦点聚集到安全核心本质,即“数据”与“内容”本身的安全。本文主要在分析电子文档存在的安全风险基础上,通过对现有电子文档安全防护技术的研究,提出一种基于电子文档全生命周期管理的电子文档安全管理思路和系统。该系统以市场需求为导向、以数据加密为基础、以使用者为对象,既延续内网信息共享的优势,又保证内部机密文件的安全。

2、电子文档的特点及安全风险

电子文档是指人们在社会活动中形成的,以计算机硬盘、光盘等化学磁性物理材料为载体的文字、图片材料。依赖计算机系统存取并可在通信网络上传输。它主要包括电子文书、电子信件、电子报表、电子图纸、纸质文本文档的电子版本等。电子文档区别于印刷品文档主要有以下四个特点:容易修改、容易删除、容易复制、容易损坏。

电子文档是企业体现数据流的主要表现,记载着大量的敏感信息,始终处于被浏览、复制、修改、打印过程中。通过网络,文件可以被转移和复制。因此,电子文档的安全环境是信息安全范畴的薄弱环节,是防范的重点。

在没有进行安全防护的环境下,电子文档将通过以下渠道被泄露:

1)内部网络:任何人可以通过内部网络获取任何文件。

2)外部网络:外部人员可以通过外部网络的合法或非法访问主机、或者通过电子邮件获取文件。

3)存储介质:任何人可以通过移动介质(如U盘)获取文件。

由于存在这些泄露渠道,在《信息系统安全等级保护基本要求》中通过用户角色、访问控制和介质管理等手段对电子文件进行控制,但仍然无法对文件的内容进行控制,文件内容的泄露成为整个信息安全的漏洞源头。

3、电子文档安全产品发展趋势

在电子文档越来越普及的过程中,很多企业管理人都有以下担扰:

(1)如何防止企业内部员工非法带走或者泄密公司的设计图纸、财务报表等重要资料?

(2)有没有这样的一把锁,文档一旦离开公司,就无法打开,让偷窥公司知识财产的竞争对手无可奈何?

(3)有没有这样的一个智能文档加密系统,只要超过授权期限,文档就会失效?

针对用户对电子文档安全管理的需求,目前国内外一些有实力的数据泄露防护厂商已经开始了电子文档安全技术防护的研究。从目前电子文档安全技术发展来看,电子文档安全产品主要有如下三类:第一类是国外技术产品,比较典型的是微软的RMS文档权限管理系统(主要针对word,excel,ppt等文件)以及EMC的文档管理系统;第二类是国内企业的DRM文档安全管理系统产品,这里既有进入较早的亿赛通、明朝万达、前沿科技等专业厂商产品,也有老牌信息安全厂商像天融信、启明星辰、中软等OEM或自主研发的文档安全产品;第三类是针对CAD、PDM等设计类应用的专用加密产品。

但从目前我国文档安全市场的发展来看,国外的产品由于文化理念、管理方式的差异,以及国家信息安全的考虑,导致其在国内市场的推广和实际应用效果并不理想。而国内产品更注重国内企业的企业文化,更加贴近不同客户群体的需求,由国内厂商提出的基于文件透明过滤驱动实现的自动加解密技术成为目前市场的主流产品,进一步推动了文档安全市场的.成熟和发展,文档数据安全防泄密也会随着各大厂商在这个领域的不断摸索而逐渐发展。

4、电子文档安全管理关键技术研究

美国的AirZip产品正式登陆中国,12月取得了公安部销售许可证,从其发布的技术白皮书得到文件加密控制与管理类产品的安全理论模型如下:

国内后来自主研发的相关产品都基本基于以上模型开发。一般电子文档安全管理系统应该包括身份认证、授权管理、数据保密和监控审计四个方面,并且,这四个方面应该是紧密结合、相互联动的统一平台,才能达到构建可信、可控和可管理的电子文档安全管理系统的效果。

身份认证是电子文档安全管理的基础,不确认实体的身份,进一步制定各种安全管理策略也就无从谈起。

授权管理是以身份认证为基础的,其主要对内部信息网络各种电子文档信息资源的使用进行授权,确定“谁”能够访问使用什么样的“资源和权限”。

数据保密是电子文档安全保护的核心,其实质是要对内网的电子文档进行全生命周期的有效管理,构建电子文档安全可控的使用、存储和交换环境,从而实现对电子文档的保密和数字知识产权的保护。由于信息和数据的应用系统和表现方式多种多样,所以要求数据保密技术必须具有通用性和应用无关性。

监控审计是电子文档安全不可缺少的辅助部分,可以实现对电子文档的访问进行实时监控,并在发生电子文档失泄密安全事件后实现有效的取证。

5、三江航天电子文档安全管理系统特点

《三江航天电子文档安全管理系统》是武汉三江航天网络通信有限公司采用航天系统工程指导思想,通过对电子文档安全管理需求和技术的充分研究后自主开发的产品,系统以数据标密为出发点,以电子文档全生命周期安全管理为目标,提供电子文档安全管控手段,实现电子文档在产生、分发、使用、销毁过程中的安全可控,为出现失泄密事件时的定位追踪、责任落实提供技术手段支撑。系统主要功能有身份认证、文档加密、文档授权、安全外发、水印保护、内容安全以及密级统计等核心功能,并遵循三权分离安全管理原则。系统的主要特点有:

(1)文档标密保护

系统对电子文档提供数字标密并生成电子标签功能。用户可按自定义密级在电子文档生成时候进行自主或审批定密标密。标密后的电子文档可识别电子文件创建单位、创建人、创建时间、秘密等级等信息,能够记录文件复制、打印和删除等行为。

(2)透明动态加密

系统采用底层文件驱动过滤技术,通过计算机底层操作系统实现对计算机本身及外围存储设备的数据进行严格的加解密控制。采用透明加解密技术,在不改变用户原有工作习惯和工作流程的情况下,对指定的应用程序和指定后缀的文件进行自动加解密密处理,大大提高系统运行性能。同时,通过灵活的加密策略的配置,完全达到用户对文件安全性和管理人性化的双重要求。

(3)授权访问控制

系统按文件和用户建立二维矩阵式的内部权限控制体系,提供了文件标准授权、文件向上授权和文件定向授权等多种授权方式,管理员可方便的对用户按文件类型进行只读、禁止截屏、禁止打印、剪贴板过滤、OLE对象过滤等授权。

(4)审批流程管理

结合企业电子文档实际使用环境,系统提供了特色化的审批流程管理功能。针对电子文档的定密、外发、打印等三个关键环节,在系统内嵌入了流程审批功能,方便单位对电子文档的全生命周期过程进行审批管理。

(5)外发打印控制

系统对电子文档的输出保护进行了特别设计。用户可对外发出的文件设置相应访问控制策略,并可设置超出使用范围后文档自动销毁功能。系统支持打印水印控制功能,可对用户的打印行为进行审批审计。

(6)安全保密管理

系统管理体系设计符合三员权限及职责的有效分离,保障体系协同运转的同时实现管理制约机制及监督机制,系统将角色划分为系统管理员、安全管理员、安全审计员三种角色,“三员”权限划分合理,“三员”之间相互制约,不存在超级管理员。

《三江航天电子文档安全管理系统》主要包括控制台、服务端以及客户端三部分。

服务器部署在公司内网中,在服务器上安装服务端软件并进行注册。由管理员在控制台上对服务器进行配置,在用户端上安装客户端软件,安装过程中会主动与服务器进行通信验证,如果为非法用户,禁止安装。该系统自身安全机制有:

(1)程序防卸载:系统为防止用户通过常规手段非法卸载客户端程序,提供卸载申请方式来进行客户端卸载。系统提供的卸载方式,都记录为日志,方便审计。

(2)文件防删除:系统为防止用户通过常规手段非法删除程序文件,保护文件的安全、完整性。对于系统关键文件,提供驱动进行保护,防止恶意破坏和删除。

(3)进程防关闭:系统防止用户通过常规手段非法结束客户端主程序,确保客户端的正常运行。提供驱动技术手段实现主进程防止恶意停止。

6、结束语

电子商务安全风险管理 篇6

电子政务信息安全风险评估方法研究

摘要:电子政务信息系统安全的重要性与日俱增,电子政务信息安全风险评估方法层出不穷.本文对目前主要的电子政务信息安全风险评估方法进行了综述性讨论,在分析了几种重要方法的.优、缺点的基础上,提出了基于主成分BP人工神经网络评估模型,将BP神经网络的动态学习性应用于复杂的电子政务信息安全评估.作 者:雷战波    胡安阳  作者单位:西安交通大学,陕西,西安,710049 期 刊:中国信息界   Journal:CHINA INFORMATION TIMES 年,卷(期):, “”(6) 分类号:X9 关键词:电子政务信息安全    动态评估    主成分分析    BP神经网络   

 

电子商务信息安全管理体系架构 篇7

关键词:电子商务,信息安全,管理体系,经济发展

0 引言

电子商务主要是应用现代信息技术在互联网的范围内进行一定程度的商业活动,其主要包括电子信息服务和电子交易等相关的活动。电子商务的信息安全对于电子商务经营的成败有着极为重要的影响,甚至可能造成整个电子商务相关范围内的信息出现泄露等安全隐患。

1 电子商务信息安全管理概述

电子商务主要是以相关的Internet网络作为基础性架构的相关活动,主要以交易双方作为主体方面,以银行的支付和阶段来作为其中的手段,将客户数据库作为依托的一种新型的商业模式。但是,电子商务的特点决定了其具有极大程度性的开放性和广泛性的特点,可能会受到来自世界各地的攻击。因此,电子商务的信息安全问题是影响电子商务活动正常开展的重要方面。电子商务信息安全方面主要存在着两个方面的重要隐患,其中一点是网络本身存在着一定的安全隐患,并且通过网络能够为其他的破坏行为创造一定的条件,这使得电子商务相关的信息安全问题发生地更加频繁。另外一种主要是电子商务信息安全管理中存在的遗漏方面的问题。在解决电子商务信息安全方面的方法上面,主要是使用信息安全技术。这些信息安全技术中主要涉及的是防火墙技术以及加密技术等。

电子商务的发展给人们的工作和生活带来了新的尝试和便利性,但并没有像人们想象的那样普及和深入,除其他因素外,一个很重要的原因就是电子商务的安全性,它成为阻碍电子商务发展的瓶颈。美国密执安大学一个调查机构通过对23000名因特网用户的调查显示,超过60%的人由于担心电子商务的安全问题而不愿进行网上购物。任何个人、企业或商业机构以及银行都不会通过一个不安全的网络进行商务交易,这样会导致商业机密信息或个人隐私的泄漏,从而导致巨大的利益损失。所以,研究和分析电子商务的安全性问题,特别是针对我国自己的国情,充分借鉴国外的先进技术和经验,开发和研究出具有独立知识产权的电子商务安全产品,这些都成为目前我国发展电子商务的关键。

另外,根据相关调查显示,目前大多数的信息安全违规的事件主要涉及到很多非技术性的问题上,其中分别为业务用户和非技术性活动等,都能够在不同程度上出现信息安全违规的事件。因此,总结因素发现,很多电子商务信息安全管理隐患出现的焦点在于管理不善。

2 电子商务信息安全管理体系架构

2.1 研究部门

在企业的电子商务信息安全管理体系中,涉及到很多的部门的日常经营和管理,其中研究部门、运营部门以及培训部门等都是重要的方面。研究部门主要需要负责的是建立安全问题相关的数据库,并且逐步建立起企业的电子商务信息安全的管理制度。研究部门的相关人员需要收集现有的一些已经产生的电子商务相关的安全问题以及一些解决办法,还需要针对企业从事电子商务操作的相关工作人员和客户进行信息安全方面的收集,并且能够有效形成起相关的有关专家方面的对话进而使得大多数的问题能够得到解决。研究部门的相关工作人员在收集完整信息之后,建立起一个存储数据库,并且能够实现相关数据和问题相连接的状态,进而保证相关的电子商务操作的工作人员在面对一些安全问题的过程中能够凭借一些有用的信息解决问题。最后,相关的工作人员还需要对于信息安全问题进行评价,并且将实际的评价过程和评价结果录入到电子商务信息安全管理的有关制度中,这样才能有效促进电子商务信息安全管理的有效发展。

2.2 培训部门

培训部门主要在电子商务信息安全管理中处于非常重要的地位,能够成为安全管理中的必不可少的因素之一。培训部门的重要工作职责在于对于企业内部的工作人员,特别是一些从事电子商务操作以及实施的相关人员在有关安全知识培训等方面进行有效的管理。因此,企业中的培训部门工作人员能够对于整个企业的经营负责,人力资源在任何一个企业的发展过程中都有着非常重要的作用。因此,培训部门在对于企业中人力资源的培训方面对于企业的发展有着非常重要的关系。尤其是针对一些电子商务相关的企业中,其中涉及到的一些信息安全等问题都需要企业内部的员工能够在自身的信息安全知识方面有着较高的自觉性。因此,培训部门能够对整个企业的相关电子商务信息安全管理取得极大的影响。另外,相关的培训部门的负责人员还需要定期对于企业中有业务来往的一些用户进行相关的知识培训和安全知识的传递,这样能够有效促进网络或者是电子商务交易等的安全和保密。

2.3 运营部门

企业中的运营部门主要是负责针对一些安全问题提供全天性的技术方面的支持,针对一些脆弱性和危险性的相关咨询活动。运营部门会针对一些发生的问题进行及时有效的回答,对于电子商务面临的信息安全威胁提出妥善的解决办法,还能够针对其发生的具体情况进行正确的帮助和指导。另外,对于一些可能存在的难以解决的问题,相关的工作人员可以提交给研究部门的相关专家来进行及时研究,使得一些难以解决的问题能够及时得到解决。除此之外,对于一些常见问题可以进行特殊性的标注,这样可以有效缩短问题解决的时间,提高工作效率。因此,电子商务信息安全管理运营部门相关的工作内容主要是针对一些可能发生的信息安全威胁提供及时的指导,尽量减少一些信息安全威胁对于整个企业电子商务运行产生的危害,促进企业的健康发展。总而言之,电子商务信息安全管理架构体系能够对于相关企业的电子商务信息安全进行妥善的保障,并且不断促进企业内部信息相关技术的开发和普及,有利于提升企业的综合竞争力。

3 结束语

企业中信息安全地发展问题涉及到的范围极广,其中在关于问题解决的方面需要以企业的电子业务对于人员的依赖程度为标准,进而确立有关企业信息安全健康发展的重要安全管理措施。另外,国际上对于电子商务信息安全管理方面的技术和制度程度上都优于我国的发展现状,因此我国可以适当借鉴国际上的先进经验,促进电子商务信息安全管理的健康发展。笔者主要分析了电子商务信息安全管理体系的相关问题,以期能够为促进电子商务安全发展提供建议。

参考文献

[1]张建,袁卫华,戚文静,张绍兰.电子商务信息系统安全管理体系PRS-ISMS的研究[J].数学的实践与认识.2010.

[2]杜勇,杜军,陈建英.电子商务信息安全人员的素质测评指标体系[J].系统工程理论与实践.2010.

[3]赵学丽.从管理的角度谈企业电子商务信息安全管理[J].中国商贸.2010.

电子商务安全风险管理 篇8

关键词:.NET;ASP;安全;注入式攻击

中图分类号: TP393文献标识码: A文章编号:1009-3044(2007)15-30676-03

The Research on Security of E-commerce Information Management System Based on .NET

HUANG Su-tao1, SHI Lei2, SUN Xin2

(1.The No.2 People’s Hospital of Bengbu, Bengbu 233000,China; 2.Anhui University of Finance and Economics, Bengbu 233030,China)

Abstract:At present, ASP.NET have been widely used in developing E-commerce project,as a part of Microsoft .NET framework is a popular development tools. In this article, it analyzed the security problem in E-commerce Information Management System, and indicated the deficiency of Asp technique used for the development of this system. Sql injection attack was mainly studied in this thesis, the realizing details and key technique of security in ASP.NET application program security and implementing tactics also was studied.

Key words:.NET;Asp;security;SQL injection attack

1 电子商务网站开发工具的比较

1.1 传统的开发工具Asp的缺陷

ASP(Active Serve Pages)技术曾经在Web应用系统中得到了很好的应用,但一般只在小型的Web应用系统中采用这种方案。随着Internet/Intranet的飞速发展,ASP技术的缺陷也就开始逐渐暴露,主要表现在:开发过程繁琐;不支持编程语言的全部功能;执行效率、安全性和扩展性比较差;入侵者可以通过ASP方便地入侵WebServer、窃取服务器上的文件、捕获Web数据库等系统的用户口令,甚至恶意删除服务器上的文件,造成系统损坏。

1.2 一种新的开发工具——ASP.NET

为了弥补以上ASP的一些缺点, 微软公司推出的一种Internet编程技术,即ASP.NET,它是Microsoft下一代.NET平台的动态网页技术。

1.2.1 ASP.NET的工作原理

ASP.NET是由支持它的服务器上的.NET Frame Work负责解释执行,当服务器接收到一个对某ASP+页面时,如果这是对该页面创建或修改后的第一次请求,. NET Frame Work就会把该页面中的程序语言内容先编译成MSIL( Microsoft Interme-diate Language),然后MSIL再被编译成机器码加以执行,最后将执行结果输出给浏览器。ASP+页面被编译成MSIL后,其执行代码以独立线程的方式一直存在于服务器内存中。以后对ASP+页面提出请求时,不需要重新编译,直到该页面被修改或Web应用程序重启动。

1.2.2 ASP.NET的优势

尽管客观上讲ASP.NET是ASP的升级版本,但是ASP.NET却不是ASP版本的简单升级,它所具有asp所不具有的优势,主要表现在:ASP. NET可以支持VB .C # JavaScript以及可以编译成MSIL的程序语言,真正提供了中层语音执行结构,允许各种语言的使用;执行速度较快,整体比较如下:ASP.NET网页第二次被浏览速度>ASP网页速度>ASP.NET网页第一次被浏览速度;ASP. NET通过ADO.NET技术可以访问数据库系统,ADO.NET提供的Data Grid等数据库元件可以直接和数据库联系,把数据库中的内容显示出来;ASP.NET中还引入了一种真正的组件模式,通过这种服务器端的控制以及事件触发,可以感觉到好像是在操作VB中“FORM”,这种ASP+中的新组件控制是宣告性质的,因此实际上只需写很少的代码,并且在很多情况下,可以完全不写任何代码。

此外,在服务器端控制和开发调试工具也有ASP所无法比拟的优点。

2 基于.net的电子商务网站的安全性分析

在众多的电子商务系统中,本文以网上书店系统为例,分析其中存在的安全性问题,这些安全性问题主要可以归纳:信息窃取,篡改参数,SQL注入式攻击。

2.1 信息窃取

客户在购买书籍之前肯定要根据网站要求填写一些相关信息(比如:详细地址,联系方式等),完成注册过程,在购买过程中也存在一些与数据和信息有联系的活动的发生。在ASP..NET应用中,几乎所有HTML页面的__VIEWSTATE隐藏域中都可以找到有关应用的信息,默认情况下,__VIEWSTATE数据将包含:(2)来自页面控件的动态数据。(2)开发者在VIEWSTATE中显式保存的数据。(3)上述数据的密码签字。由于__VIEWSTATE是BASE编码的, 所以常常被忽略, 但黑客可以方便地解码BASE64数据, 用不着花什么力气就可以得到__VIEWSTATE提供的详细资料。一旦这些数据被窃取,攻击者很有可能利用这些数据来从事一些非法活动。

2.2 篡改参数

用户输入的主要来源是HTML表单中提交的参数, 如果不能严格地验证这些参数的合法性,就有可能危及服务器的安全。下面的C#代码查询后端SQL SERVER数据库,假设ueser和password变量的值直接取自用户输入:

sql data Adapter my_query=new sql data adapter("select*from accounts where acc_user= ‘"+user+"’and acc_password='"+password+” ’,the_connection);从表面上看,这几行代码毫无问题,实际上却可能引来SQL注入式攻击。攻击者只要在user输入域中输入“OR 1=1”, 就可以顺利登录系统, 或者只要在查询之后加上适当的调用,就可以执行任意Shell命令:EXEC maser.xp_cmd shell(’shell command here’);

2.3 SQL注入式攻击

所谓SQL注入式攻击就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容被直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。

常见的SQL注入式攻击过程类包括:某个ASP. NET Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码;登录页面中输入的内容将直接用来构造动态的SQL命令,或者直接用作存储过程的参数;服务器执行查询或存储过程,将用户输入的身份信息和服务器中保存的身份信息进行对比;由于SQL命令实际上已被注入式攻击修改,已经不能真正验证用户身份,所以系统会错误地授权给攻击者。如果攻击者知道应用会将表单中输入的内容直接用于验证身份的查询,他就会尝试输入某些特殊的SQL字符串,篡改查询来改变其原来的功能,欺骗系统授予访问权限。系统环境不同,攻击者可能造成的损害也不同,这主要由应用访问数据库的安全权限决定。如果用户的账户具有管理员或其他比较高级的权限,攻击者就可能对数据库的表执行各种他想要做的操作,包括添加、删除或更新数据,甚至可能直接删除表。

3 Asp.net的安全技术在电子商务系统中的实现策略

3.1 Asp.net安全性的实现基础

一般包括:身份验证、授权和模拟等。身份验证是从客户端获取标识凭据,如用户名和密码,并验证那些凭据的过程。在身份得到验证后,授权进程将确定该身份是否可以访问给定资源。授权是确定是否应该授予某个标识对给定资源请求的访问权限类型。有两种基本方式来授予对给定资源的访问权限:文件授权和URI授权。

不论何种情况,如果启用了模拟,则 ASP.NET应用程序会模拟所收到的任何标记。当前模拟客户的ASP.NET应用程序依赖于NTFS目录和文件中的设置来允许客户获得访问权限或拒绝其访问,所以需要将应用程序文件所在磁盘的文件格式转化为NTFS,以便可以设置访问权限。

3.2 实现ASP. NE T的安全性的策略

ASP.NET 事实上是与 IIS 集成在一起实现安全管理的,如果在局域网内部,我们更适合选择使用IIS的集成验证方法.而如果在Internet上,IIS提供的安全性认证方式可能不能完全满足我们的要求,这时候我们通常选择自己的认证方式,如使用表单认证等.ASP.NET为我们提供了这些认证的基础设施(如Form Authentication, Passport Authentication 等等),使我们开发起来更加高效. 同时ASP.NET 的工作进程 ASPNET_WP.EXE 的运行模式使 Web服务器更加安全。

3.2.1 考虑使用Window身份验证

若用户账户是存储在外部数据库中,而不是存储在Windows NT域数据库或Active Directory中;需要支持通过Intranet进行身份验证。客户端使用Netscape Navigator或其他非Microsoft浏览器;需要获得客户明文密码;及其他考虑.一般不应考虑使用集成Windows身份验证.另外,选择集成Windows身份验证时,还应考虑以下问题:NTLM和Kerberos安全级别;代理问题:Internet使用;性能可伸缩性。

3.2.2 考虑使用Passport身份验证

Passport不仅提供身份验证服务,还提供包括配置文件管理和采购服务在内的其他服务.站点要与其他启用Passport的站点结合使用,同时您希望访问这些站点的用户能够进行单一登录,不想维护用户名和密码数据库都应考虑使用Passport 身份验证. 而如果希望使用已经存储在自己的数据库或 Active Directory 中的用户名和密码;(尽管有可能使用额外的代码将 Passport ID映射为用户账户);客户端是通过编程来访问站点的其他计算机;其他考虑等不应使用Passport身份验证。

3.2.3 考虑使用窗体的 (Cookie) 身份验证

使用这个提供程序会导致使用客户端重定向功能将未经身份验证的请求重定向到一个指定的 HTML 窗体。然后用户可以提供登录凭据,再将窗体回发给服务器。如果应用程序对该请求进行了身份验证(使用应用程序特定的逻辑),则 ASP.NET 将发出一个 cookie,其中包含凭据或用于再次获得客户端身份的关键字。以后发出的请求在请求头中将带有该 cookie,这意味着以后不需要再进行手动身份验证了。可以对照不同的来源(如,SQL 数据库或 Microsoft Exchange 目录)对这些凭据做自定义检查。此身份验证模块通常在您想将一个登录页面显示给用户的时候使用。

3.2.4 考虑使用证书身份验证情况

如果所保护的数据非常敏感,需要非常安全的解决方案,需要互相身份验证。希望第三方能够管理服务器和证书拥有者之间的关系,希望实现无缝的客户端交互,例如自动B2B交易。需要考虑使用证书身份验证.以下情况下,不应考虑使用证书身份验证:发布和管理客户端证书的成本超过了增加安全性所获得的价值;及其他考虑。

3.3 基于.NET的电子商务网站安全问题的解决方案

针对电子商务系统安全问题中所面临的信息窃取,篡改参数,注入式攻击等问题可采用以下的措施:

3.3.1 保护隐藏域的安全

针对黑客可以方便地解码BASE 64数据,得到-VIEWSTATE提供的详细资料,从而达到窃取用户资料的目的,我们有以下解决方案:

设置EnableViewStat MAC="true",启用--VIEWSTATE数据加密功能。然后,将 machine Key验证类型设置为DES,要求ASP.NET用 Triple DES对 称 加 密 算 法 加 密VIEWSTAT数据。

3.3.2 使用ASP.NET域验证器

用户输入的主要来源是HTML表单中提交的参数,如果不能严格验证这些参数的合法性,就有可能危及服务器的安全。域验证器是一种让ASP.NET开发者对域的值实施限制的机制,例如,限制用户输入的域值必须匹配特定的表达式。首先要禁止引号之类的特殊字符输入,更严格些,即限定输入域的内容必须属于某个合法字符的集合。

但是为每个输入域引入验证器还不能防范所有通过修改参数实施的攻击。在执行数值范围检查之时,还要指定正确的数据类型,也就是说,在使用ASP.NET的范围检查控件时,应当根据输入域要求的数据类型指定适当的Type属性,因为Type的默认值是String,要确保输入值确实是整数,正确的办法是将Type属性指定为Integer。

3.3.3 防止注入式攻击

针对注入式攻击,可以有如下的解决方案:

第一、对于动态构造SQL查询的场合,可以使用:替换单引号,防止攻击者修改SQL命令的含义;删除用户输入内容中的所有连字符,防止攻击者构造出类如“select* from Users where login="mas"and password=""之类的查询;对于用来执行查询的数据库账户,限制其权限。

第二、调用存储过程来执行所有的查询,使用Parameters集合。

SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外,它还使得数据库权限可以限制到只允许特定的存储过程执行,所有的用户输入必须遵循被调用的存储过程的安全上下文,这样就很难再发生注入式攻击。如果使用了Parameters集合,则不管恶意用户输入了什么字符,所输入的内容都将作为文本进行处理;还可以实施类型检查和长度检查,超出范围的字符值将触发异常。

第三、限制表单或查询字符串输入的长度。

如果用户的登录名字最多只有10个字符,那么不要认可表单中输入的10个以上的字符,这将大大增加攻击者在SQL命令中插入有害代码的难度。

第四、检查用户输入的合法性,确信输入的内容只包含合法的数据。

数据检查应当在客户端和服务器端都执行一一之所以要执行服务器端验证,是为了弥补客户端验证机制脆弱的安全性。 在客户端,攻击者完全有可能获得网页的源代码,修改验证合法性的脚本(或者直接删除脚本),然后将非法内容通过修改后的表单提交给服务器。因此,要保证验证操作确实已经执行,唯一的办法就是在服务器端也执行验证。你可以使用许多内建的验证对象,例如Regular Expression Validator,它们能够自动生成验证用的客户端脚本,当然你也可以插入服务器端的方法调用。如果找不到现成的验证对象,可以通过Custom Validate:自己创建一个。

第五、将用户登录名称、密码等数据加密保存。

加密用户输入的数据,然后再将它与数据库中保存的数据比较,这相当于对用户输入的数据进行了“消毒”处理,用户输入的数据不再对数据库有任何特殊的意义,从而也就防止了攻击者注入SQL命令。 System .Web. Security. Forms Authentication类有一个 Hash Password F or S to ring InConfig File,非常适合于对输入数据进行消毒处理。

第六、检查提取数据的查询所返回的记录数量。

如果程序只要求返回一个记录,但实际返回的记录却超过一行,那就当作出错处理。

参考文献:

[1]AndersonR,FrancisB.ASP.NET1.0高级编程[M].北京:清华大学出版社,2002.

[2]WorleyS.ASP.NET技术内幕[M].[s.l.]: New Riders Publishing, 2001.

[3]林煌章. ASP.NET程式设计基础篇[M].美国:微软出版社,2001.

[4]陈英学. ASP.NET完全入门[M].重庆:重庆出版社,2001.

注:本文为网友上传,旨在传播知识,不代表本站观点,与本站立场无关。若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:iwenmi@163.com

上一篇:魅力议论文下一篇:幼儿园中班数学优秀教案《数字宝宝》及教学反思

付费复制
文书易10年专业运营,值得您的信赖

限时特价:7.9元/篇

原价:20元
微信支付
已付款请点这里联系客服
欢迎使用微信支付
扫一扫微信支付
微信支付:
支付成功
已获得文章复制权限
确定
常见问题