電子商務(wù)系統(tǒng)的安全策略畢業(yè)論文

1、作者簽名: 指導(dǎo)教師簽名：日 期：_日 期：_畢業(yè)設(shè)計(jì)（論文）原創(chuàng)性聲明和使用授權(quán)說(shuō)明原創(chuàng)性聲明本人鄭重承諾：所呈交的畢業(yè)設(shè)計(jì)（論文），是我個(gè)人在指導(dǎo)教 師的指導(dǎo)下進(jìn)行的研究工作及取得的成果。 盡我所知，除文中特別加 以標(biāo)注和致謝的地方外，不包含其他人或組織已經(jīng)發(fā)表或公布過(guò)的研 究成果，也不包含我為獲得_及其它教育機(jī)構(gòu)的學(xué)位或?qū)W歷而使用過(guò)的材料。對(duì)本研究提供過(guò)幫助和做出過(guò)貢獻(xiàn)的個(gè)人或集體，均已在文中作了明確的說(shuō)明并表示了謝意使用授權(quán)說(shuō)明本人完全了解 _大學(xué)關(guān)于收集、保存、使用畢業(yè)設(shè)計(jì)（論文）的規(guī)定，即：按照學(xué)校要求提交畢業(yè)設(shè)計(jì)（論文）的印刷本和電 子版本；學(xué)校有權(quán)保存畢業(yè)設(shè)計(jì)（論文）的印刷本和

2、電子版，并提供 目錄檢索與閱覽服務(wù)；學(xué)校可以采用影印、縮印、數(shù)字化或其它復(fù)制 手段保存論文；在不以贏利為目的前提下，學(xué)?？梢怨颊撐牡牟糠?或全部?jī)?nèi)容。作者簽名： _ 日 期： _導(dǎo)師簽名:日期： 年 月學(xué)位論文原創(chuàng)性聲明本人鄭重聲明：所呈交的論文是本人在導(dǎo)師的指導(dǎo)下獨(dú)立進(jìn)行研究所取得的研究成果。除了文中特別加以標(biāo)注引用的內(nèi)容外， 本論文 不包含任何其他個(gè)人或集體已經(jīng)發(fā)表或撰寫(xiě)的成果作品。 對(duì)本文的研 究做出重要貢獻(xiàn)的個(gè)人和集體，均已在文中以明確方式標(biāo)明。本人完 全意識(shí)到本聲明的法律后果由本人承擔(dān)。作者簽名：日期：年月日學(xué)位論文版權(quán)使用授權(quán)書(shū)本學(xué)位論文作者完全了解學(xué)校有關(guān)保留、使用學(xué)位論文的規(guī)

3、定， 同意學(xué)校保留并向國(guó)家有關(guān)部門(mén)或機(jī)構(gòu)送交論文的復(fù)印件和電子版， 允許論文被查閱和借閱。本人授權(quán) _大學(xué)可以將本學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫(kù)進(jìn)行檢索，可以采用影印、縮印或掃描等復(fù)制手段保存和匯編本學(xué)位論文。涉密論文按學(xué)校規(guī)定處理。作者簽名：日期：年月日注意事項(xiàng)1.1. 設(shè)計(jì)（論文）的內(nèi)容包括：1 1）封面（按教務(wù)處制定的標(biāo)準(zhǔn)封面格式制作）2 2）原創(chuàng)性聲明3 3）中文摘要（ 300300 字左右）、關(guān)鍵詞4 4）外文摘要、關(guān)鍵詞5 5）目次頁(yè)（附件不統(tǒng)一編入）6 6）論文主體部分：引言（或緒論） 、正文、結(jié)論7 7）參考文獻(xiàn)8 8）致謝9 9）附錄（對(duì)論文支持必要時(shí)）2.2.論文字

4、數(shù)要求：理工類(lèi)設(shè)計(jì)（論文）正文字?jǐn)?shù)不少于 1 1 萬(wàn)字（不包括圖紙、 程序清單等），文科類(lèi)論文正文字?jǐn)?shù)不少于 1.21.2 萬(wàn)字。3.3. 附件包括：任務(wù)書(shū)、開(kāi)題報(bào)告、外文譯文、譯文原文（復(fù)印件） 。4.4. 文字、圖表要求：1 1）文字通順，語(yǔ)言流暢，書(shū)寫(xiě)字跡工整，打印字體及大小符合要求，無(wú)錯(cuò) 別字，不準(zhǔn)請(qǐng)他人代寫(xiě)2 2）工程設(shè)計(jì)類(lèi)題目的圖紙，要求部分用尺規(guī)繪制，部分用計(jì)算機(jī)繪制，所 有圖紙應(yīng)符合國(guó)家技術(shù)標(biāo)準(zhǔn)規(guī)范。 圖表整潔，布局合理，文字注釋必須使用工程 字書(shū)寫(xiě)，不準(zhǔn)用徒手畫(huà)3 3）畢業(yè)論文須用A4A4單面打印，論文5050頁(yè)以上的雙面打印4 4）圖表應(yīng)繪制于無(wú)格子的頁(yè)面上5 5）軟件工程

5、類(lèi)課題應(yīng)有程序清單，并提供電子文檔5.5. 裝訂順序1 1）設(shè)計(jì)（論文）2 2）附件：按照任務(wù)書(shū)、開(kāi)題報(bào)告、外文譯文、譯文原文（復(fù)印件）次序裝指導(dǎo)教師評(píng)閱書(shū)指導(dǎo)教師評(píng)價(jià)：一、撰寫(xiě)（設(shè)計(jì)）過(guò)程1 1、學(xué)生在論文（設(shè)計(jì)）過(guò)程中的治學(xué)態(tài)度、工作精神 優(yōu) 良 中 及格 不及格2 2、 學(xué)生掌握專(zhuān)業(yè)知識(shí)、技能的扎實(shí)程度優(yōu)良中及格不及格3 3、 學(xué)生綜合運(yùn)用所學(xué)知識(shí)和專(zhuān)業(yè)技能分析和解決問(wèn)題的能力優(yōu)良中及格不及格4 4、研究方法的科學(xué)性；技術(shù)線(xiàn)路的可行性；設(shè)計(jì)方案的合理性 優(yōu) 良 中 及格 不及格5 5、 完成畢業(yè)論文（設(shè)計(jì)）期間的出勤情況優(yōu)良中及格不及格二、論文（設(shè)計(jì)）質(zhì)量1 1、 論文（設(shè)計(jì)）的整體結(jié)構(gòu)

6、是否符合撰寫(xiě)規(guī)范？?jī)?yōu)良中及格不及格2 2、 是否完成指定的論文（設(shè)計(jì)）任務(wù)（包括裝訂及附件）？?jī)?yōu)良中及格不及格三、論文（設(shè)計(jì)）水平1 1、論文（設(shè)計(jì)）的理論意義或?qū)鉀Q實(shí)際問(wèn)題的指導(dǎo)意義 優(yōu) 良 中 及格 不及格2 2、 論文的觀念是否有新意？設(shè)計(jì)是否有創(chuàng)意？?jī)?yōu)良中及格不及格3 3、 論文（設(shè)計(jì)說(shuō)明書(shū)）所體現(xiàn)的整體水平優(yōu)良中及格不及格建議成績(jī)：優(yōu) 良 中 及格 不及格（在所選等級(jí)前的內(nèi)畫(huà)“ V”）指導(dǎo)教師：（簽名）單位：（蓋章）年 月 日評(píng)閱教師評(píng)閱書(shū)評(píng)閱教師評(píng)價(jià)：一、論文（設(shè)計(jì)）質(zhì)量1 1、 論文（設(shè)計(jì)）的整體結(jié)構(gòu)是否符合撰寫(xiě)規(guī)范？?jī)?yōu)良中及格不及格2 2、 是否完成指定的論文（設(shè)計(jì)）任務(wù)（包

7、括裝訂及附件）？?jī)?yōu)良中及格不及格二、論文（設(shè)計(jì)）水平1 1、論文（設(shè)計(jì)）的理論意義或?qū)鉀Q實(shí)際問(wèn)題的指導(dǎo)意義 優(yōu) 良 中 及格 不及格2 2、 論文的觀念是否有新意？設(shè)計(jì)是否有創(chuàng)意？?jī)?yōu)良中及格不及格3 3、 論文（設(shè)計(jì)說(shuō)明書(shū)）所體現(xiàn)的整體水平優(yōu)良中及格不及格建議成績(jī)：優(yōu) 良 中 及格 不及格（在所選等級(jí)前的內(nèi)畫(huà)“ V）評(píng)閱教師：（簽名）單位：（蓋章）年 月 日教研室（或答辯小組）及教學(xué)系意見(jiàn)教研室（或答辯小組）評(píng)價(jià)：一、答辯過(guò)程1 1畢業(yè)論文（設(shè)計(jì)）的基本要點(diǎn)和見(jiàn)解的敘述情況優(yōu) 良 中 及格 不及格2 2、 對(duì)答辯問(wèn)題的反應(yīng)、理解、表達(dá)情況優(yōu)良中及格不及格3 3、 學(xué)生答辯過(guò)程中的精神狀態(tài)優(yōu)良

8、中及格不及格二、論文（設(shè)計(jì)）質(zhì)量1 1論文（設(shè)計(jì)）的整體結(jié)構(gòu)是否符合撰寫(xiě)規(guī)范？?jī)?yōu)良中及格不及格2 2、是否完成指定的論文（設(shè)計(jì)）任務(wù)（包括裝訂及附件）？?jī)?yōu)良中及格不及格三、論文（設(shè)計(jì)）水平1 1論文（設(shè)計(jì)）的理論意義或?qū)鉀Q實(shí)際問(wèn)題的指導(dǎo)意義優(yōu) 良 中 及格 不及格2 2、 論文的觀念是否有新意？設(shè)計(jì)是否有創(chuàng)意？?jī)?yōu)良中及格不及格3 3、 論文（設(shè)計(jì)說(shuō)明書(shū)）所體現(xiàn)的整體水平優(yōu)良中及格不及格評(píng)定成績(jī)：優(yōu) 良 中 及格 不 及格教研室主任（或答辯小組組長(zhǎng)）：（簽名）年 月 日教學(xué)系意見(jiàn)：系主任：（簽名）年 月 日0 0內(nèi)容提要和關(guān)鍵詞 _1 13.13.1網(wǎng)絡(luò)級(jí)安全策略 _10103.23.2系統(tǒng)級(jí)

9、安全策略 _10103.33.3應(yīng)用級(jí)安全策略 _11113.43.4管理級(jí)安全策略 _11114 4結(jié)論 _12125 5參考文獻(xiàn) _1212內(nèi)容提要電子商務(wù)交易過(guò)程的安全問(wèn)題一直是制約電子商務(wù)其進(jìn)一步發(fā) 展的重要瓶頸，本文試圖從安全隱患的存在點(diǎn)、對(duì)應(yīng)的安全技術(shù)、安 全策略及措施等全方面進(jìn)行分析，結(jié)合網(wǎng)絡(luò)安全防護(hù)體系（PDRRPDRR模型，探討如何規(guī)劃電子商務(wù)系統(tǒng)的安全策略關(guān)鍵詞 電子商務(wù)、安全問(wèn)題、安全隱患、安全技術(shù)、安全策略及措施引言： 在全球信息化大勢(shì)所驅(qū)的影響下，電子商務(wù)被公認(rèn)為是未來(lái)ITIT最有潛力的新的增長(zhǎng)點(diǎn)。可以說(shuō)，電子商務(wù)將成為二十一世紀(jì)人類(lèi)信息世界的核心，成為構(gòu)筑二十一世紀(jì)

10、新型的經(jīng)濟(jì)貿(mào)易框架。而在 我國(guó)，隨著計(jì)算機(jī)與網(wǎng)絡(luò)基礎(chǔ)的普及與發(fā)展，電子商務(wù)發(fā)展迅猛，眾 多的信息技術(shù)企業(yè)、風(fēng)險(xiǎn)投資公司、生產(chǎn)流通企業(yè)紛紛開(kāi)展電子商務(wù) 業(yè)務(wù)。電子商務(wù)在提高商務(wù)效率、降低商務(wù)交易成本的同時(shí)，也遇到了 非常嚴(yán)峻的挑戰(zhàn)。如何在開(kāi)放的網(wǎng)絡(luò)上處理交易，保證傳輸數(shù)據(jù)的安 全成為電子商務(wù)能否普及的最重要的因素之一，電子商務(wù)交易過(guò)程的 安全問(wèn)題也一直是制約電子商務(wù)其進(jìn)一步發(fā)展的重要瓶頸。由于電子商務(wù)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全與商務(wù)安全的雙重要求， 使電子 商務(wù)安全的復(fù)雜程度比大多數(shù)計(jì)算機(jī)網(wǎng)絡(luò)更高，因此電子商務(wù)安全是 一個(gè)系統(tǒng)的安全工程，對(duì)電子商務(wù)系統(tǒng)的安全問(wèn)題需要從安全隱患的 存在點(diǎn)、對(duì)應(yīng)的安全技術(shù)、安

11、全策略及措施等全方面進(jìn)行分析，這樣 才能更好地促進(jìn)電子商務(wù)的發(fā)展。1 1電子商務(wù)的安全隱患電子商務(wù)是指交易者之間依托以因特網(wǎng) ( InternetInternet )為主的計(jì)算 機(jī)網(wǎng)絡(luò)平臺(tái)，按照一定標(biāo)準(zhǔn)或規(guī)則進(jìn)行各種商務(wù)活動(dòng)。電子商務(wù)的一 個(gè)重要技術(shù)特征是利用 計(jì)算機(jī)網(wǎng)絡(luò) 來(lái)傳輸和處理 商務(wù)信息 。從電子商 務(wù)的定義和特征上，我們不難看出電子商務(wù)具有以下的明顯特點(diǎn)：一是電子商務(wù)是建立在INTERNETINTERNET技術(shù)上，安全性受計(jì)算機(jī)網(wǎng)絡(luò) 自身的安全性影響二是電子商務(wù)是一種商貿(mào)活動(dòng)，傳遞的信息中包含敏感的用戶(hù)信 息和交易信息，這些信息的傳輸安全、完整性、抗否認(rèn)性、直接關(guān)系 著用戶(hù)的經(jīng)濟(jì)利益

12、。從電子商務(wù)交易數(shù)據(jù)流的分析，整個(gè)電子商務(wù)交易過(guò)程中，下列 四類(lèi)人員會(huì)對(duì)交易過(guò)程帶來(lái)安全隱患：1.1.外部滲入：未被授權(quán)使用計(jì)算機(jī)的人；包括通過(guò)病毒等形式進(jìn) 入系統(tǒng)。2.2.內(nèi)部滲入者：被授權(quán)使用計(jì)算機(jī)，但不能訪(fǎng)問(wèn)某些數(shù)據(jù)、程序 或資源，它包括：冒名頂替：使用別人的用戶(hù)名和口令進(jìn)行操作；隱蔽 用戶(hù)：逃避審計(jì)和訪(fǎng)問(wèn)控制的用戶(hù)；3.3.濫用職權(quán)者: :被授權(quán)使用計(jì)算機(jī)和訪(fǎng)問(wèn)系統(tǒng)資源，但濫用職權(quán) 者。4.4. 惡意的交易主體：惡意的商貿(mào)活動(dòng)欺騙者可能存在的安全隱患可以大致上分為物理安全隱患、系統(tǒng)安全隱患和信息安全隱患三大類(lèi):隱患類(lèi)型隱患特征表現(xiàn)形式物理安全隱患對(duì)計(jì)算機(jī)網(wǎng)絡(luò)與計(jì)算 機(jī)系統(tǒng)的物理裝備的

13、威脅，主要表現(xiàn)在自然 災(zāi)害、電磁輻射與惡劣 工作環(huán)境方面。通信干擾，危害信息注入，信號(hào)輻射，信號(hào)替換，惡劣操作環(huán)境系統(tǒng)安全隱患對(duì)計(jì)算機(jī)網(wǎng)絡(luò)與計(jì)算機(jī)系統(tǒng)可用性與可控性進(jìn)行攻擊。網(wǎng)絡(luò)被阻塞，黑客行為，非 法使用資源等，計(jì)算機(jī)病毒， 使得依賴(lài)于信息系統(tǒng)的管理 或控制體系陷于癱瘓。信息安全隱患對(duì)所處理的信息機(jī)密 性與完整性的威脅，主 要表現(xiàn)在加密方面。竊取信息，篡改信息，冒充信息，信息抵賴(lài)。2 2電子商務(wù)系統(tǒng)的安全層次從電子商務(wù)存在的安全隱患分析，我們可以將電子商務(wù)安全體系劃分為網(wǎng)絡(luò)級(jí)安全、系統(tǒng)級(jí)安全、應(yīng)用級(jí)安全、管理級(jí)安全四個(gè)層次，2.12.1 網(wǎng)絡(luò)級(jí)安全網(wǎng)絡(luò)級(jí)安全分為物理安全、 局域網(wǎng)及子網(wǎng)安全以

14、及訪(fǎng)問(wèn)控制、網(wǎng) 絡(luò)安全檢測(cè)。物理安全包括：1 1）環(huán)境安全，是對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi) 難保護(hù)；2 2）設(shè)備安全，包括設(shè)備的防盜、防毀、防電磁信息輻射泄露、 防止線(xiàn)路截獲、抗電磁干擾及電源保護(hù)等；3 3）媒體安全，包括媒體數(shù)據(jù)的安全及媒體本身的安全。訪(fǎng)問(wèn)控制是在內(nèi)外網(wǎng)之間設(shè)置防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離與訪(fǎng)問(wèn) 控制，是保護(hù)內(nèi)部網(wǎng)安全的最主要、同時(shí)也是最有效、最經(jīng)濟(jì)的措施 之一。2.22.2 系統(tǒng)級(jí)安全系統(tǒng)級(jí)安全基于網(wǎng)絡(luò)級(jí)安全之上， 是提供安全應(yīng)用的基礎(chǔ)，是指 系統(tǒng)（主機(jī)、服務(wù)器）安全（操作系統(tǒng)安全、病毒預(yù)防，安全檢測(cè)， 審計(jì)與監(jiān)控）和網(wǎng)絡(luò)運(yùn)行安全（備份與恢復(fù)） 。1.1. 網(wǎng)絡(luò)安全檢

15、測(cè) 網(wǎng)絡(luò)系統(tǒng)的安全性取決于系統(tǒng)中最薄弱的環(huán)節(jié)， 安全檢測(cè)可以及 時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)存在的漏洞或惡意的攻擊，而且能提供對(duì)網(wǎng)絡(luò)和系統(tǒng)攻擊 的敏感性，從而實(shí)現(xiàn)動(dòng)態(tài)和實(shí)時(shí)的安全控制。2.2. 病毒預(yù)防在網(wǎng)絡(luò)環(huán)境下，病毒有很強(qiáng)的威脅性和破壞力，因此，對(duì)病毒的 防范是網(wǎng)絡(luò)安全性建設(shè)中的重要一環(huán)。3.3. 審計(jì)與監(jiān)控審計(jì)是記錄用戶(hù)使用計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行所有活動(dòng)的過(guò)程， 它是提高 安全性的重要工具。它不僅能夠識(shí)別誰(shuí)訪(fǎng)問(wèn)了系統(tǒng)，還能指出系統(tǒng)正 被怎樣地使用。對(duì)于確定是否有網(wǎng)絡(luò)攻擊的情況，審計(jì)信息在確定問(wèn) 題和攻擊源上很重要。同時(shí)，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識(shí) 別問(wèn)題，并且它是后面階段事故處理的重要依據(jù)。4.4. 備份

16、與恢復(fù) 備份的目的是盡可能快地全盤(pán)恢復(fù)運(yùn)行計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù) 和系統(tǒng)信息。2.32.3 應(yīng)用級(jí)安全主要涉及到應(yīng)用系統(tǒng)信息傳輸?shù)陌踩?信息存儲(chǔ)的安全、對(duì)信息 內(nèi)容的審計(jì)以及鑒別與授權(quán)、用戶(hù)訪(fǎng)問(wèn)控制等。1.1. 信息傳輸安全(1)(1) 數(shù)據(jù)傳輸加密技術(shù)對(duì)傳輸中的數(shù)據(jù)流加密， 以防止未經(jīng)受權(quán)的用戶(hù)通過(guò)通信線(xiàn)路截 取網(wǎng)絡(luò)上的數(shù)據(jù)。(2)(2) 數(shù)據(jù)完整性鑒別技術(shù) 對(duì)動(dòng)態(tài)傳送的信息，許多協(xié)議確保信息完整性的方法是收錯(cuò)重 傳、丟棄后續(xù)包，但黑客的攻擊可以改變信息包內(nèi)部的內(nèi)容，所以應(yīng) 采取有效的措施來(lái)進(jìn)行完整性控制，具體實(shí)現(xiàn)足加密和校驗(yàn)。(3)(3) 抗否認(rèn)技術(shù)確保用戶(hù)不能否認(rèn)自己所做的行為， 同時(shí)提

17、供公證的手段來(lái)解決 可能出現(xiàn)的爭(zhēng)議， 包括對(duì)源和目的地雙方的證明，一般使用數(shù)字簽名， 它是采用一定的數(shù)據(jù)交換協(xié)議，使得通信雙方能夠滿(mǎn)足兩個(gè)條件：接 收方能夠鑒別發(fā)送方所宣稱(chēng)的身份，發(fā)送方以后不能否認(rèn)他發(fā)送過(guò)數(shù) 據(jù)這一事實(shí)。2.2. 數(shù)據(jù)存儲(chǔ)安全對(duì)數(shù)據(jù)信息的安全保護(hù)， 以數(shù)據(jù)庫(kù)的保護(hù)最為典型。而對(duì)功能文 件的保護(hù)，終端安全很重要。3.3. 信息的防泄露所有網(wǎng)絡(luò)活動(dòng)應(yīng)該有記錄， 這種記錄主要是針對(duì)用戶(hù)的。信息審 計(jì)系統(tǒng)能實(shí)時(shí)對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行內(nèi)容審計(jì)，以防止或追查可 能的泄密行為。4.4. 用戶(hù)訪(fǎng)問(wèn)控制 鑒別是訪(fǎng)問(wèn)控制的重要手段，是對(duì)網(wǎng)絡(luò)中的主體進(jìn)行驗(yàn)證的過(guò) 程。一般通過(guò)握手協(xié)議和數(shù)據(jù)加密進(jìn)

18、行。2.42.4 管理級(jí)安全面對(duì)網(wǎng)絡(luò)安全保密的脆弱性， 除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功 能，還應(yīng)加強(qiáng)網(wǎng)絡(luò)的安全管理，因?yàn)樵S多不安全因素恰恰反映在組織 管理和人員錄用等方面，這是網(wǎng)絡(luò)安全必須考慮的基本問(wèn)題，從統(tǒng)計(jì) 數(shù)字來(lái)看， 70%70%以上的網(wǎng)絡(luò)攻擊行為來(lái)自企業(yè)內(nèi)部。電子商務(wù)系統(tǒng)的四個(gè)安全層次實(shí)際上是密不可分的，相輔相成， 缺一不可。沒(méi)有網(wǎng)絡(luò)安全、系統(tǒng)安全作為基礎(chǔ)，應(yīng)用安全就猶如空中 樓閣，無(wú)從談起。沒(méi)有應(yīng)用安全保障，即使系統(tǒng)本身再安全，仍然無(wú)法達(dá)到電子商務(wù)所特有的安全要求。同樣，沒(méi)有健全的管理制度和執(zhí) 行力度，網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的安全也無(wú)法得到切實(shí)的保障。3 3電子商務(wù)系統(tǒng)的安全策略電子商務(wù)的

19、安全策略應(yīng)該以安全管理為中心， 四個(gè)基本點(diǎn)是保護(hù)、 監(jiān)控、響應(yīng)和恢復(fù)。這樣一種架構(gòu)機(jī)制囊括了從保護(hù)到在線(xiàn)監(jiān)控，到 響應(yīng)和恢復(fù)的各個(gè)方面，是一種層層防御的機(jī)制，即使第一道大門(mén)被 攻破了，還會(huì)有第二道、第三道大門(mén)，即使所有的大門(mén)都被攻破了， 還有恢復(fù)措施。安全管理是中心，它滲透到四個(gè)基本點(diǎn)中去，而這四個(gè)基本點(diǎn)各 占據(jù)電子商務(wù)安全的四個(gè)方面，即保護(hù)、監(jiān)控、響應(yīng)和恢復(fù)。1 1）保護(hù)：傳統(tǒng)安全概念的繼承，包括信息加密技術(shù)、訪(fǎng)問(wèn)控制技 術(shù)等等。2 2）監(jiān)控：從監(jiān)視、分析、審計(jì)信息網(wǎng)絡(luò)活動(dòng)的角度，發(fā)現(xiàn)對(duì)于信 息網(wǎng)絡(luò)的攻擊、破壞活動(dòng)，提供預(yù)警、實(shí)時(shí)響應(yīng)、事后分析和系統(tǒng)恢 復(fù)等方面的支持，使安全防護(hù)從單純的被動(dòng)

20、防護(hù)演進(jìn)到積極的主動(dòng)防 御。3 3）響應(yīng): : 在遭遇攻擊和緊急事件時(shí)及時(shí)采取措施， 包括調(diào)整系統(tǒng)的 安全措施、跟蹤攻擊源和保護(hù)性關(guān)閉服務(wù)和主機(jī)等。4 4）恢復(fù): : 評(píng)估系統(tǒng)受到的危害與損失， 恢復(fù)系統(tǒng)功能和數(shù)據(jù)， 啟動(dòng) 備份系統(tǒng)等。安全管理指導(dǎo)四個(gè)基本點(diǎn)的工作，四個(gè)基本點(diǎn)體現(xiàn)和完成安全管理的任務(wù)，它們相輔相成，構(gòu)成一個(gè)完整的體系，滿(mǎn)足電子商務(wù)安全 的整體需求。將四個(gè)安全策略基本點(diǎn)應(yīng)用在電子商務(wù)體系的四個(gè)安全層次上， 我們可以制定出對(duì)應(yīng)的安全策略：3.13.1網(wǎng)絡(luò)級(jí)安全策略措施類(lèi)別安全策略保護(hù)措施安裝防火墻，分隔不同安全級(jí)別的網(wǎng)絡(luò)從路由器到用戶(hù)各級(jí)建立完善的訪(fǎng)問(wèn)控制措施，加強(qiáng)授權(quán)管理和認(rèn)證監(jiān)

21、控措施安裝網(wǎng)絡(luò)管理工具，對(duì)網(wǎng)絡(luò)的運(yùn)行情況、通暢性實(shí)時(shí)監(jiān)控恢復(fù)措施在硬件設(shè)備、網(wǎng)絡(luò)鏈路上合理的冗余3.23.2系統(tǒng)級(jí)安全策略措施類(lèi)別安全策略保護(hù)措施保證網(wǎng)絡(luò)上的所有計(jì)算機(jī)都具有最新的病毒數(shù)據(jù)庫(kù)，定 期地升級(jí)軟件本身也很重要。加強(qiáng)主機(jī)本身的安全，做好安全配置，及時(shí)安裝安全補(bǔ) 丁程序，減少漏洞用各種系統(tǒng)漏洞檢測(cè)軟件定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描分 析，找出可能存在的安全隱患，并及時(shí)加以修補(bǔ)對(duì)敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施監(jiān)控措施建立詳細(xì)的安全審計(jì)日志，以便檢測(cè)并跟蹤入侵攻擊等恢復(fù)措施利用RAID5RAID5等數(shù)據(jù)存儲(chǔ)技術(shù)加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施3.33.3應(yīng)用級(jí)安全策略措施類(lèi)別安全策略保護(hù)措施在客戶(hù)端瀏覽器和電子商務(wù) WEBWEB服務(wù)器之間采用SSLSSL 協(xié)議建立安全鏈接，最好將瀏覽器缺省的 4040位加密強(qiáng) 度增加到128128位。采用CACA證書(shū)確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性。監(jiān)控措施要求應(yīng)用系統(tǒng)必須記錄足夠的審計(jì)信息恢復(fù)措施制定合理的數(shù)據(jù)庫(kù)備份策略3.43.4管理級(jí)安全策略措施類(lèi)別安全策略保護(hù)措施選擇比較復(fù)雜的密碼，每9090天更換一次密碼。對(duì)于所有接觸系統(tǒng)的人員，按其職責(zé)設(shè)定其訪(fǎng)問(wèn)系統(tǒng)的 最小權(quán)限。按照分級(jí)管理原則，嚴(yán)格