電子商務(wù)安全策劃書“任我游”公司

1、“任我游”公司 第七策劃小組策劃日期：2014-12-29 電子商務(wù)安全策劃書旅游電子商務(wù)隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的飛速發(fā)展，電子商務(wù)得到了廣泛的應(yīng)用，越來越多的企業(yè)和個人用戶依賴于電子商務(wù)的快捷、高效。旅游電子商務(wù)是以計算機網(wǎng)絡(luò)為基礎(chǔ)載體的，大量重要的身份信息、交易信息都需要在網(wǎng)上進行傳遞，在這樣的情況下，安全問題成為首要問題。 我國旅游業(yè)電子商務(wù)的現(xiàn)狀 在開放的網(wǎng)絡(luò)上處理交易，如何保證傳輸數(shù)據(jù)的安全成為旅游電子商務(wù)能否普及的最重要因素之一。調(diào)查公司曾對旅游電子商務(wù)的應(yīng)用前景進行過在線調(diào)查，當問到為什么不愿意在線購物時，絕大多數(shù)的人的問題是擔心遭到黑客的侵襲而導致信用卡信息丟失。因此，有一部分

2、人因擔心安全問題而不愿使用旅游電子商務(wù)，安全成為旅游電子商務(wù)發(fā)展中最大的障礙。旅游電商安全存在的問題電子商務(wù)的信息安全問題篡改信息，信息假冒，信息的截獲，虛假信息，信息丟失，信息傳遞過程中的破壞電子交易產(chǎn)生的法律問題在線交易主體及市場準入問題，網(wǎng)上無限財產(chǎn)保護問題，在線消費者權(quán)益和個人隱私保護問題電子商務(wù)的信息安全問題ABC黑客攻擊，信息篡改，信息泄露，信息假冒，信息截獲，虛假信息，信息丟失，信息中斷黑客攻擊C破壞性攻擊侵入A的電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標系統(tǒng)數(shù)據(jù)。案例：2012年3月，當當網(wǎng)賬戶集體被盜，余額被用于購買電子產(chǎn)品、金銀首飾等大額商品。當年6月13日，網(wǎng)名為“我是那個向日

3、葵”的微博用戶發(fā)布微博稱，其購進的10張面值500元當當網(wǎng)禮品卡，被盜充。2014年3月，當當網(wǎng)113位用戶賬戶余額被盜用，損失金額超過6萬元。而當當網(wǎng)對于用戶賬戶被盜第一時間均是撇清關(guān)系，在輿論壓力下才給以補償。信息篡改 改變信息流的次序，更改信息的內(nèi)容，如購買商品的出貨地址；刪除某個信息或信息的某些部分；在信息中插入一些信息，讓收方讀不懂或接受錯誤的信息。 2005年，一位前北京移動的乙方工程師，利用工作期間對移動網(wǎng)絡(luò)的熟悉和留下的后門，侵入北京移動神州行充值卡的數(shù)據(jù)庫，修改充值卡相關(guān)記錄，獲取充值金額，并在網(wǎng)上販賣盈利。信息泄露 交易雙方進行交易的內(nèi)容被第三方竊取或交易一方提供給另一方使

4、用的文件被第三方非法使用 2012年5月底，微博用戶挨踢客爆料1號店員工內(nèi)外勾結(jié)泄露客戶信息，90萬的用戶信息竟被以500元的價格叫賣。部分消費者不久后就遇到了賬戶余額被盜、電話詐騙等問題。之后1號店凍結(jié)用戶賬戶。1號店副總裁劉彤回應(yīng)：1號店在案發(fā)后已進行了內(nèi)部檢查，對系統(tǒng)、流程、權(quán)限進行了清理、升級，以杜絕日后類似事件的發(fā)生。被消費者質(zhì)疑“很沒有誠意”。直至2013年3月，仍有很多消費者稱1號店對那次信息泄露事件的處理很不到位，至今仍沒有得到應(yīng)有的補償。信息假冒（虛假信息） 虛開網(wǎng)站和商店，給用戶發(fā)電子郵件，收定貨單；偽造大量用戶，發(fā)電子郵件，窮盡商家資源，使合法用戶不能正常訪問網(wǎng)絡(luò)資源，使

5、有嚴格時間要求的服務(wù)不能及時得到響應(yīng)；偽造用戶，發(fā)大量的電子郵件，竊取商家的商品信息和用戶等信息。聊城男子收到一條內(nèi)容為“尊敬的用戶您好，您的手機號被快樂大本營節(jié)目后臺抽取為場外幸運號，您將獲得由蘋果公司贊助提供的79000元獎金和蘋果筆記本電腦一臺，請用電腦登陸網(wǎng)站www.huXXXXX.com，及時領(lǐng)取，您的驗證碼為XXXX?！钡亩绦牛撃凶影磳Ψ降奶崾具M行操作后被騙1500元?！叭挝矣巍惫镜默F(xiàn)狀 規(guī)模小資金不充裕涉及范圍廣分類不明確可以進行網(wǎng)站的日常管理和維護公司要求a、保證與客戶間信息往來的保密性及完整性b、保證與業(yè)務(wù)相關(guān)的信息存儲的保密性及完整性c、保證電子支付的安全性d、抵御黑客

6、入侵，減少網(wǎng)站受襲擊的幾率安全策略建立一套安全可靠的數(shù)據(jù)備份與恢復系統(tǒng)，定期對數(shù)據(jù)庫進行備份，定期修改數(shù)據(jù)庫密碼，必要時可以對重要數(shù)據(jù)采取多層加密保護。交易各方具有相關(guān)身份證明，同時在SSL協(xié)議體系下完成交易過程中的電子證書驗證、數(shù)字簽名、指令數(shù)據(jù)的加密傳輸、交易結(jié)果審計等。技術(shù)方法要求a，數(shù)字簽名，數(shù)字信封要求b，數(shù)字指紋技術(shù)，對稱與非對稱加密技術(shù)要求c，報文摘要，數(shù)字簽名，數(shù)字證書，安全套接層協(xié)議，安全電子交易協(xié)議要求d，防火墻技術(shù)，加密技術(shù)，漏洞掃描技術(shù)，入侵檢測技術(shù) 由于貴公司規(guī)模小、資金不充裕，雖然可以進行網(wǎng)站的日常管理和維護，但是主營業(yè)務(wù)的安全性較低。在有限的預算和適度的資源消耗下，貴公司期望有一種低成本、高效的解決方案，很簡單的實現(xiàn)安裝、接入和維護。推薦貴公司使用防火墻技術(shù)：H3C Secpath F100-E-G ，市場報價為￥20400；殺毒軟件：卡巴斯基全功能安全軟件2010（10用戶/年）市場報價：￥1280防火墻技術(shù)：H3C Secpath F100-E-G 高精度、高效率的入侵檢測引擎 實時的病毒防護 全面、及時的安全特征庫 殺毒軟件：卡巴斯基全功能安全軟件