電子商務網(wǎng)站平臺安全性與評價方法（頁）

1、電子商務網(wǎng)站平臺安全性與評價方法學 院：數(shù)學與信息科學學院專 業(yè)：電子商務學生姓名：龐毅強學 號：201305404114評閱教師：劉建明完成日期：2015. 628內容摘要本文主要論述了電子商務系統(tǒng)的安全性問題，電子商務 的安全風險，從電子商務系統(tǒng)的安全技術，安全管理，法律 法規(guī)這三個方面實施電子商務的安全策略，及如何分析評價 電了商務系統(tǒng)的安全性。全文共分為六個部分：(1)序論，主要介紹電子商務安全問題的有關背景及 本文主要的安全與風險；(2)介紹了系統(tǒng)的安全原則；(3) 電子商務系的研究內容；(4)電子商務的安全分析；(5)電 子商務系統(tǒng)統(tǒng)的安全策略；(6)電子商務系統(tǒng)的安全評價方 法。

2、本文首先介紹電子商務的安全問題及由這些問題給電 子商務參與者所帶來的巨大危害和實施良好的電子商務系 統(tǒng)的安全策略的重要性，簡要介紹了一下世界其他國家的信 息安全評價的標準和文本主要的研究內容。接下來介紹系統(tǒng) 安全定義及系統(tǒng)安全的主要原則，電子商務系統(tǒng)的安全問題 和電子商務系統(tǒng)的安全風險。然后分析介紹電子商務系統(tǒng)的 主要安全問題，電子商務系統(tǒng)面臨的主要威脅，個人隱私保 護問題，電子商務系統(tǒng)面臨的阻斷服務攻擊問題。電子商務系統(tǒng)的安全策略，重點論述了電子商務系統(tǒng)的 主要安全策略，電子商務系統(tǒng)的安全技術策略，電子商務的 安全管理策略及法律法規(guī)建設。主要包括了加密技術，密鑰 管理技術，認證技術，安全協(xié)議

3、等。安全管理介紹了人員管 理，安全審計，安全保密，防病毒策略等。電子商務的安全評價方法，即：電子商務系統(tǒng)的安全性 需求與面臨的威脅方面；電子商務系統(tǒng)面臨的主要威脅與反 威脅技術；電子商務系統(tǒng)的安全技術與實施這些技術的工 具，通過對這三對關系進行分析與評價就可以確定電了商務 系統(tǒng)的安全性，并通過一個框架模型來說明如何評價一個電 子商務系統(tǒng)的安全性。本文重點介紹如何評價一個電子商務系統(tǒng)的安全性上， 以及如何制定和實施電子商務系統(tǒng)的安全策略，由于電子商 務系統(tǒng)的復雜性和涉及的因素比較多，本文主要從一些技術 的層面來怎么樣分析一個系統(tǒng)的安全性。本文的主要寫作目的是為了史好地了解電子商務系統(tǒng) 的安全性評

4、價方法，為了以后的學習和實踐提供有意的幫 助。主題詞：電子商務，安全策略，評價方法，安全管理，安全技術1序論1.1.背景簡介internet的發(fā)展和普及也促使以網(wǎng)絡為平臺的電子商 務的飛速發(fā)展。由于internet與生俱來的弱點：開放的網(wǎng) 絡體系給電子商務帶來了挑戰(zhàn)，那就是安全。安全問題一直 是制約電了商務發(fā)展的瓶頸。人們擔心口己的隱私泄露，擔 心自己的信用卡被別人盜用。從事電子商務公司同樣面臨著 巨大的交易風險，由于安全問題每年給全球帶來十幾億甚至 兒丨億美元的損失。因而電子商務的安全問題備受人們的關 注及其安全專家重視。因而安全技術不斷的得到發(fā)展的應 用。女口，加密技術，認證技術，安全認證

5、協(xié)議等。這些應用 極大的促進了電子商務的發(fā)展。電子商務系統(tǒng)的安全因素包括：有效性、機密性、完整 性、可靠性、審查能力，還有安全策略管理。因而衡量一個 電子商務系統(tǒng)的安全性應該從技術層面和安全管理方面著 手，兩者缺一不可。另外還要制定相應的法律法規(guī)，制定電 子商務安全問題的法律法規(guī)是電子商務發(fā)展的重要保障，只 有通過相應的立法才能夠阻止不法分子的違法犯罪行為。1.2. 國內外電子商務系統(tǒng)的安全策略和評價標準在安全策略方面主要從技術策略、安全管理策略、電子 商務法律法規(guī)等方面考慮。我國的電子商務安全技術還處在 初級發(fā)展階段且越來越成熟，但還是與國外的發(fā)達國家有很 大的差距，并且還沒有比較完善的立法

6、。在信息安全的標準中，眾多的標準化組織在安全需求服 務分析指導、安全技術機制開發(fā)、安全評估標準等方而制龍 了許多標準及草案。目前國外及安全標準主要有：美國tcsec（潔皮書）：該標準是美國國防部于1985年制 定的，為計算機安全產品的測試和方法，指導信息安全產品 的制造與應用。它將安全分為四個方面（安全政策、安全保 障和文檔、可說明性）和七個安全級別（從低到高依次d、c1、 c2、c3、bk b2、b3 和 a 級）。歐洲itsec： 1991年，西歐四國（英、法、德、荷）提 出了信息安全技術評價標準itse, itsec首次提出了信息安 全的保密性、完整性、可用性概念，把可信計算機概念提高

7、到可信信息技術層面來。他定義了從e0級到e6級等七個安 全等級和十種安全功能。iso安全體系結構標準：國際標準化組織iso公布了許 多安全評價標準。在安全體系結構方面，1989年iso制訂了 國際標準化is07498-2信息處理系統(tǒng)開放系統(tǒng)互連基本 參考模型第2部分安全體系結構。該標準提供了安全服 務與機制的一般描述，確定在參考模型內部可以提供這些服 務與機制。國內是等同采用的國際標準。公安部組織制定、國家質 量技術監(jiān)督局發(fā)布的國家標準gb17895-1999計算機信息系 統(tǒng)安全保護等級劃分準則與正式頒布與實施。該準則將信 息系統(tǒng)分為五個等級：口主保護級、系統(tǒng)審計保護級、安全 標記保護級、結構

8、化保護級和訪問驗證保護級。主要的安全 保護考核指標有身份認證、自主訪問控制、數(shù)據(jù)完整性、審 計等，這些指標涵蓋了不同級別的安全要求。2、系統(tǒng)的安全和原則2.1系統(tǒng)安全問題開放的系統(tǒng)必然與其所在的環(huán)境和其他系統(tǒng)發(fā)生信息 與能量的交換，因而必然存在信息盜用、信息欺騙、系統(tǒng)非 法入侵等一系列危機系統(tǒng)正常運行的問題，這就是系統(tǒng)的安 全問題。電子商務系統(tǒng)是開放的系統(tǒng)，他以網(wǎng)絡為基礎平臺和信 息傳遞載體，以計算機等設施為操作工具平臺，因而他的安 全問題涉及到電了商務系統(tǒng)的®個構件的安全問題，包括信 息系統(tǒng)的安全問題、計算機安全、操作安全、信息資源安全、 人事安全、實體安全等。同樣還包括管理和法律

9、方面等。電子商務系統(tǒng)是個復雜的系統(tǒng)，因而它涉及的因素非 常多，因而要保證電子商務系統(tǒng)的安全，就要保證承載電子 商務系統(tǒng)的其他系統(tǒng)的安全，還要研究它的安全問題，從系 統(tǒng)的觀點出發(fā)，分析各個子系統(tǒng)的安全要素，采用相應的安 全措施。2. 2系統(tǒng)安全的定義1、計算機系統(tǒng)的安全包括計算機網(wǎng)絡安全和商務交易 安全。計算機網(wǎng)絡安全的內容包括：計算機網(wǎng)絡設備安全、 計算機網(wǎng)絡系統(tǒng)安全、數(shù)據(jù)庫安全等。其特征是針對計算機 網(wǎng)絡本身可能存在的安全問題，實施網(wǎng)絡安全增強方案，以 保證計算機網(wǎng)絡自身的安全性為目標。商務交易安全則緊緊 圍繞傳統(tǒng)商務在網(wǎng)絡上應由存在的各種安全問題，在計算機 網(wǎng)絡安全的基礎上，保證電子商務的

10、正常進行。即實現(xiàn)電子 商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴 性。2、信息系統(tǒng)的安全更強調信息的安全系統(tǒng)，電子商務 系統(tǒng)要保證交易信息的安全性，如個人的信息、交易的信息安全。2.3、系統(tǒng)的安全原則1、適應性原則：安全策略就是在一定的條件下所采取 的安全措施。因而制定的安全策略定要和系統(tǒng)所在的環(huán)境 結合起來。2、動態(tài)性原則：一定時期制定的安全策略要隨系統(tǒng)的 環(huán)境變化而變化。3、簡單性原則：系統(tǒng)安全拓撲越復雜、采用軟件和設 備越多、用戶越多、提供的服務和協(xié)議越多，出現(xiàn)安全的漏 洞就越大。出現(xiàn)問題找出漏洞難度就越大。安全策略制定的 難度也就越大，因而在系統(tǒng)構件時一定要考慮系統(tǒng)的安全防

11、范問題，制定合理的盡量簡單的系統(tǒng)。4、系統(tǒng)性原則：系統(tǒng)的安全管理是個系統(tǒng)的工作， 要考慮系統(tǒng)的每一個環(huán)節(jié)。5、最小特權原則：它是系統(tǒng)安全中最基本的原則，系 統(tǒng)安全的根本口標是數(shù)據(jù)資料安全，而數(shù)據(jù)資料是由用戶自 己存取和維護的。最小特權原則限制了使用者對系統(tǒng)及數(shù)據(jù) 存取所需的最小權限，既保證了用戶能夠完成所操作的任 務，同時也確保了非法用戶或異常操作所造成的損失最小。3、電子商務系統(tǒng)的安全與風險電子商務系統(tǒng)安全指的是電子商務系統(tǒng)資源和信息資源 不受口然因素和認為因素的威脅和危害。電了商務系統(tǒng)的安 全強調的是電子商務系統(tǒng)運行的安全和交易的安全運行，即 保障計算機系統(tǒng)、配套設備、設施的安全、網(wǎng)絡的安

12、全、保 障運行環(huán)境的安全，以維護電子商務系統(tǒng)的安全運行；保障 交易雙方的安全，利益的安全。電子商務系統(tǒng)的安全反映了 電子商務對于系統(tǒng)故障、人為失誤、惡意攻擊破壞以及各種 非人為引起的系統(tǒng)服務中斷、信息泄露、竄改等破壞的抵抗 能力。電子商務有以下的安全需求：1、機密性2、完整性3、認證性4、不可抵賴性5、有效性4、電子商務系統(tǒng)的安全分析電子商務系統(tǒng)的安全策略主要是為了解決兩個問題：保 護商務網(wǎng)絡和它內部系統(tǒng)的完整性；以及保障客戶與商家之 間交易的安全。商家用來保護的工具主耍是防火墻。防火墻 是一種硬件和軟件相結合的系統(tǒng)，他只允許符合安全規(guī)則的 外部用戶可以訪問內部網(wǎng)絡。防火墻最初的設計目的是 i

13、nternet和內部網(wǎng)之間的具體的服務。然而防火墻只是防護 的一小部分。黑客使用一些工具很容易通過允許的端口進入 內部系統(tǒng)，因此防火墻形同虛設。一些病毒（如：紅色代碼, 蠕蟲病毒等）也能夠通過防火墻。因為他們是通過服務器的 系統(tǒng)的標準端口訪問系統(tǒng)。因而防火墻防護是非常有限的。交易的安全是增強消費者對電子商務消費信心的關鍵 因素。交易安全取決于企業(yè)保護隱私、信息的真實性、完整 性、有效性和處理信息阻塞的能力。電子商務迅速發(fā)展而臨的網(wǎng)絡安全的威脅，口益明顯， 網(wǎng)絡黑客、病毒、木馬等fi益盛行，我們要研究如何才能夠 實現(xiàn)網(wǎng)絡系統(tǒng)的安全，商務交易的安全的問題，保障網(wǎng)絡信 息的安全及個人隱私，信用卡的安

14、全。電了商務系統(tǒng)的安全問題：1、來自病毒的威脅；2、來自木馬的威脅；3、電子商務系 統(tǒng)的個人隱私問題；4、消費者的隱私問題；5、電子商務的安全策略電子商務系統(tǒng)是一個復雜的人機系統(tǒng)。它的安全策略的 制定也是一個綜合的系統(tǒng)工程，它不但要有可靠地安全技術 支持，同時它要有完善的管理策略和監(jiān)督制度。由于電子商 務系統(tǒng)是一個人機系統(tǒng)，因而必然具有社會性，所以還要相 應的法律法規(guī)來規(guī)范人們在電子商務交易中的行為規(guī)范和 準則。電子商務系統(tǒng)安全包括安全技術策略和管理安全策略。 電子商務系統(tǒng)的安全技術策略：1、電子商務系統(tǒng)屮的加密技術：對稱秘鑰加密和非對 稱秘鑰加密。2、密鑰管理技術：對稱秘鑰管理和公開秘鑰管理

15、。3、認證技術的應用：安全認證技術（數(shù)字摘要、數(shù)字 信封、數(shù)字簽名等），還有認證機構。4、安全協(xié)議的應用：a、安全套階層（ssl）協(xié)議；b、 安全電子交易協(xié)議。5、其他安全技術策略：防火墻技術，實現(xiàn)防火墻的主 要技術有，數(shù)據(jù)包過濾、應用網(wǎng)關和代理服務等；虛擬專用 網(wǎng)。電子商務系統(tǒng)的安全管理策略:1、電子商務系統(tǒng)的人員管理包括電子商務系統(tǒng)內部人 員的管理和電子商務系統(tǒng)外部人員的管理。2、電子商務系統(tǒng)的跟蹤與安全審核：a、系統(tǒng)跟蹤；b、 系統(tǒng)審核；c、系統(tǒng)稽核；3、電子商務的安全保密：a、絕密級；b、機密級；c、 秘密級；4、電子商務系統(tǒng)的日常維護包括系統(tǒng)的硬件保護（可管設備和不可管設備）和軟件保

16、護（支撐軟件維護和應用軟 件維護）；5、病毒防范（1）、安裝病毒軟件；（2）定期清理病毒;（3）、使用控制權限;（4）、提供防病毒的意識;6、電子商務系統(tǒng)安全管理的應急措施：a、瞬時恢復技 術；b、遠程磁盤鏡像技術；c、數(shù)據(jù)庫恢復技術；7、電子商務系統(tǒng)的法律法規(guī)建設，必要性：a、電子商 務交易安全的需要；b、電子商務交易安全支付的需要；8、法律法規(guī)保護涉及以下這些方面：用戶個人隱私、 加密和解密系統(tǒng)及安全認證的保護、計算機違法犯罪問題6、電子商務系統(tǒng)的安全評價方法我們知道電子商務系統(tǒng)是一個復雜的人機系統(tǒng)，它的安 全問題涉及的因素非常多，不僅僅是技術方面的，還受到社 會因素的影響和制約。因而對于

17、電子商務系統(tǒng)很難用量化的 指標去評價。本文從電子商務系統(tǒng)的安全需求與面臨的威脅 的關系，電子商務系統(tǒng)面臨的威脅與反威脅技術之間的關 系，及電了商務的安全技術與實現(xiàn)這些技術的方法z間的關 系方面來考察一個系統(tǒng)的安全性。通過對一個系統(tǒng)的這些關 系來分析和考察一個系統(tǒng)的安全性和安全漏洞。安全要素的評價標準可以分為三類：(1) 、高風險安全要素?？梢匀〉孟到y(tǒng)所有的訪問權限， 能夠訪問系統(tǒng)的全部資源信息?；蚩刂破茐南到y(tǒng)的運行。(2) 、中風險安全因素。能夠獲得一定的訪問權限，訪問 系統(tǒng)的-些資源信息，并可以進一步攻擊系統(tǒng)，或者存在致 命的潛在威脅。(3) 低風險因素。影響系統(tǒng)的止常運行。分析系統(tǒng)的安全需

18、求與面臨的威脅：a.訪問控制、b、隱私或機密性c、完整性d、身份認證e、 不可抵賴性f、可用性對系統(tǒng)安全需求的這些方面面臨的安全性的分析，使用 相關的評估軟件對相應的安全需求進行評估以確定他們是 否符合系統(tǒng)的安全需要，從而可以從系統(tǒng)的安全需要和面臨 的威脅方面確定系統(tǒng)的安全性和安全缺陷。從系統(tǒng)的威脅和反威脅技術方面評價：通過對系統(tǒng)的安 全需求和威脅的分析和安全評估軟件的評估，找到了系統(tǒng)不 同級別的威脅，然后會使用一些技術來處理這些威脅。主要 從以下幾個技術來分析評價：a、訪問控制和入侵技術b、防火墻技術c、加密計劃技術d、防病毒策略從系統(tǒng)的安全技術與實現(xiàn)這些技術工具方面分析評價:從評價電了商務系統(tǒng)的安全性，我們有必要分析電了商 務系統(tǒng)的主要部件和開發(fā)工具的安全特性。要保障電子商務 整個系統(tǒng)的安全，就要先保證電子商務系統(tǒng)各個部件的安 全，開發(fā)工具還要有良好的安全性。參考文獻1、林楓，電子商務安全技術與應用，北京航空航天大學出版社20112、楊堅爭，楊晨光 電子商務基礎與應用，西安電子科技大學出版社20103、瑪麗蓮戈林斯坦電子商務安全、風險與管理機械工業(yè)出版社20134、歐陽鋒,陳朝榮電子商