時間:2023-09-22 09:42:57
序論:在您撰寫電子商務安全事件時,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導您走向新的創(chuàng)作高度。
關鍵字 電子商務 網(wǎng)絡安全 事件類型 安全建議
1前言
隨著Internet的快速發(fā)展,電子商務已經(jīng)逐漸成為人們進行商務活動的新模式。越來越多的人通過Internet進行商務活動。電子商務的發(fā)展前景十分誘人,而其安全問題也變得越來越突出。近年來,網(wǎng)絡安全事件不斷攀升,電子商務金融成了攻擊目標,以網(wǎng)頁篡改和垃圾郵件為主的網(wǎng)絡安全事件正在大幅攀升。國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心(以下簡稱CNCERT/CC)作為接收國內(nèi)網(wǎng)絡安全事件報告的重要機構(gòu),2005年上半年共收到網(wǎng)絡安全事件報告65679件,為2004年全年64686件還要多。在CNCERT/CC處理的網(wǎng)絡安全事件報告中,網(wǎng)頁篡改占45.91%,網(wǎng)絡仿冒占29%,其余為拒絕服務攻擊、垃圾郵件、蠕蟲、木馬等,2004年以來,我國面臨的網(wǎng)絡仿冒威脅正在逐漸加大,仿冒對象主要是金融網(wǎng)站和電子商務網(wǎng)站。數(shù)字顯示,電子商務等網(wǎng)站極易成為攻擊者的目標,其安全防范有待加強。如何建立一個安全、便捷的電子商務應用環(huán)境,對信息提供足夠的保護,已經(jīng)成為商家和用戶都十分關心的話題。
2影響電子商務發(fā)展的主要網(wǎng)絡安全事件類型
一般來說,對電子商務應用影響較多、發(fā)生率較高的互聯(lián)網(wǎng)安全事件可以分為網(wǎng)頁篡改、網(wǎng)絡蠕蟲、拒絕服務攻擊、特羅伊木馬、計算機病毒、網(wǎng)絡仿冒等,而近幾年來出現(xiàn)的網(wǎng)絡仿冒(Phishing),已逐步成為影響電子商務應用與發(fā)展的主要威脅之一。
2.1網(wǎng)絡篡改
網(wǎng)絡篡改是指將正常的網(wǎng)站主頁更換為黑客所提供的網(wǎng)頁。這是黑客攻擊的典型形式。一般來說,主頁的篡改對計算機系統(tǒng)本身不會產(chǎn)生直接的損失,但對電子商務等需要與用戶通過網(wǎng)站進行溝通的應用來說,就意味著電子商務將被迫終止對外的服務。對企業(yè)網(wǎng)站而言,網(wǎng)頁的篡改,尤其是含有攻擊、丑化色彩的篡改,會對企業(yè)形象與信譽造成嚴重損害。
2.2網(wǎng)絡蠕蟲
網(wǎng)絡蠕蟲是指一種可以不斷復制自己并在網(wǎng)絡中傳播的程序。這種程序利用互聯(lián)網(wǎng)上計算機系統(tǒng)的漏洞進入系統(tǒng),自我復制,并繼續(xù)向互聯(lián)網(wǎng)上的其它系統(tǒng)進行傳播。網(wǎng)絡蠕蟲的危害通常有兩個方面:1、蠕蟲在進入被攻擊的系統(tǒng)后,一旦具有控制系統(tǒng)的能力,就可以使得該系統(tǒng)被他人遠程操縱。其危害一方面是重要系統(tǒng)會出現(xiàn)失密現(xiàn)象,另一方面會被利用來對其他系統(tǒng)進行攻擊。2、蠕蟲的不斷蛻變并在網(wǎng)絡上的傳播,可能導致網(wǎng)絡被阻塞的現(xiàn)象發(fā)生,從而致使網(wǎng)絡癱瘓,使得各種基于網(wǎng)絡的電子商務等應用系統(tǒng)失效。
2.3拒絕服務攻擊
拒絕服務攻擊是指在互聯(lián)網(wǎng)上控制多臺或大量的計算機針對某一個特定的計算機進行大規(guī)模的訪問,使得被訪問的計算機窮于應付來勢兇猛的訪問而無法提供正常的服務,使得電子商務這類應用無法正常工作。
一般來說,這是黑客常用的一種行之有效的方法。如果所調(diào)動的攻擊計算機足夠多,則更難進行處置。尤其是被蠕蟲侵襲過的計算機,很容易被利用而成為攻擊源,并且這類攻擊通常是跨網(wǎng)進行的,加大了打擊犯罪的難度。
2.4特羅伊木馬
特羅伊木馬(簡稱木馬)是一種隱藏在計算機系統(tǒng)中不為用戶所知的惡意程序,通常用于潛伏在計算機系統(tǒng)中來與外界連接,并接受外界的指令。被植入木馬的計算機系統(tǒng)內(nèi)的所有文件都會被外界所獲得,并且該系統(tǒng)也會被外界所控制,也可能會被利用作為攻擊其它系統(tǒng)的攻擊源。很多黑客在入侵系統(tǒng)時都會同時把木馬植入到被侵入的系統(tǒng)中。
2.4網(wǎng)絡仿冒(Phishing)
Phishing又稱網(wǎng)絡仿冒、網(wǎng)絡欺詐、仿冒郵件或者釣魚攻擊等,是黑客使用欺詐郵件和虛假網(wǎng)頁設計來誘騙收件人提供信用卡帳號、用戶名、密碼、社會福利號碼等,隨后利用騙得的帳號和密碼竊取受騙者金錢。近年來,隨著電子商務、網(wǎng)上結(jié)算、網(wǎng)上銀行等業(yè)務在日常生活中的普及,網(wǎng)絡仿冒事件在我國層出不窮,諸如中國銀行網(wǎng)站等多起金融網(wǎng)站被仿冒。網(wǎng)絡仿冒已經(jīng)成為影響互聯(lián)網(wǎng)應用,特別是電子商務應用的主要威脅之一。
根據(jù)國際反仿冒郵件工作小組(Anti-Phishing Working Group,APWG)統(tǒng)計,2005年4月共有2854起仿冒郵件事件報告;從2004年7月至2005年4月,平均每月的仿冒郵件事件報告數(shù)量的遞增達率15%;僅在2005年4月,就共有79個各類機構(gòu)被仿冒。2005年上半年CNCERT/CC廣東分中心就處理了15多期的網(wǎng)絡仿冒事件。從這些數(shù)字可以看到,Phishing事件不僅數(shù)量多、仿冒范圍大,而且仍然在不斷增長。
網(wǎng)絡仿冒者為了逃避相關組織和管理機構(gòu)的打擊,充分利用互聯(lián)網(wǎng)的開放性,往往會將仿冒網(wǎng)站建立在其他國家,而又利用第三國的郵件服務器來發(fā)送欺詐郵件,這樣既便是仿冒網(wǎng)站被人舉報,但是關閉仿冒網(wǎng)站就比較麻煩,對網(wǎng)絡欺詐者的追查就更困難了,這是現(xiàn)在網(wǎng)絡仿冒犯罪的主要趨勢之一。
據(jù)統(tǒng)計,中國已經(jīng)成為第二大仿冒網(wǎng)站的屬地國,僅次于美國,而就目前CNCERT/CC的實際情況來看,已經(jīng)接到多個國家要求協(xié)助處理仿冒網(wǎng)站的合作請求。因此,需要充分重視網(wǎng)絡仿冒行為的跨國化。
3安全建議
隨著網(wǎng)絡應用日益普及和更為復雜,網(wǎng)絡安全事件不斷出現(xiàn),電子商務的安全問題日益突出,需要從國家相關法律建設的大環(huán)境到企業(yè)制定的電子商務網(wǎng)絡安全管理整體架構(gòu)的具體措施,才能有效保護電子商務的正常應用與發(fā)展。
3.1不斷完善法律與政策依據(jù) 充分發(fā)揮應急響應組織的作用
目前我國對于互聯(lián)網(wǎng)的相關法律法規(guī)還較為欠缺,尤其是互聯(lián)網(wǎng)這樣一個開放和復雜的領域,相對于現(xiàn)實社會,其違法犯罪行為的界定、取證、定位都較為困難。因此,對于影響電子商務發(fā)展的基于互聯(lián)網(wǎng)的各類網(wǎng)絡安全事件的違法犯罪行為的立法,需要一個漫長的過程。
根據(jù)互聯(lián)網(wǎng)的體系結(jié)構(gòu)和網(wǎng)絡安全事件的特點,需要建立健全協(xié)調(diào)一致,快速反應的各級網(wǎng)絡應急體系。要制定有關管理規(guī)定,為網(wǎng)絡安全事件的有效處理提供法律和政策依據(jù)。
轉(zhuǎn)貼于 互聯(lián)網(wǎng)應急響應組織是響應并處理公共互聯(lián)網(wǎng)網(wǎng)絡與信息安全事件的組織,在我國,CNCERT/CC是國家級的互聯(lián)網(wǎng)應急響應組織,目前已經(jīng)建立起了全國性的應急響應體系;同時,CNCERT/CC還是國際應急響應與安全小組論壇(FIRST,F(xiàn)orum of Incident Response and Security Teams)等國際機構(gòu)的成員。
應急響應組織通過發(fā)揮其技術優(yōu)勢,利用其支撐單位,即國內(nèi)主要網(wǎng)絡安全廠商的行業(yè)力量,為相關機構(gòu)提供網(wǎng)絡安全的咨詢與技術服務,共同提高網(wǎng)絡安全水平,能有效減少各類的網(wǎng)絡事件的出現(xiàn);通過聚集相關科研力量,研究相關技術手段,以及如何建立新的電子交易的信任體系,為電子商務等互聯(lián)網(wǎng)應用的普及和順利發(fā)展提供前瞻性的技術研究方面具有積極意義。
對于目前跨國化趨勢的各類網(wǎng)絡安全事件,可以通過國際組織之間的合作,利用其協(xié)調(diào)機制,予以積極處理。事實上,從CNCERT/CC成立以來,已經(jīng)成功地處理了多起境外應急響應組織提交的網(wǎng)絡仿冒等安全事件協(xié)查請求,關閉了上百個各類仿冒網(wǎng)站;同時,CNCERT/CC充分發(fā)揮其組織、協(xié)調(diào)作用,成功地處理了國內(nèi)網(wǎng)頁篡改、網(wǎng)絡仿冒、木馬等網(wǎng)絡安全事件。
3.2建立整體的網(wǎng)絡安全架構(gòu) 切實保障電子商務的應用發(fā)展
從各類網(wǎng)絡安全事件分析中我們看到,電子商務的網(wǎng)絡安全問題不是純粹的計算機安全問題,從企業(yè)的角度出發(fā),應該建立整體的電子商務網(wǎng)絡安全架構(gòu),結(jié)合安全管理以及具體的安全保護、安全監(jiān)控、事件響應和恢復等一套機制來保障電子商務的正常應用。
3.2.1安全管理
安全管理主要是通過嚴格科學的管理手段以達到保護企業(yè)網(wǎng)絡安全的目的。內(nèi)容可包括安全管理制度的制定、實施和監(jiān)督,安全策略的制定、實施、評估和修改,相關人員的安全意識的培訓、教育,日常安全管理的具體要求與落實等。
3.2.2安全保護
安全保護主要是指應用網(wǎng)絡安全產(chǎn)品、工具和技術保護網(wǎng)絡系統(tǒng)、數(shù)據(jù)和用戶。這種保護主要是指靜態(tài)保護,通常是一些基本的防護,不具有實時性,如在防火墻的規(guī)則中實施一條安全策略,禁止所有外部網(wǎng)用戶到內(nèi)部網(wǎng)Web服務器的連接請求,一旦這條規(guī)則生效,它就會持續(xù)有效,除非我們改變這條規(guī)則。這樣的保護能預防已知的一些安全威脅,而且通常這些威脅不會變化,所以稱為靜態(tài)保護。
3.2.3安全監(jiān)控/審計
安全監(jiān)控主要是指實時監(jiān)控網(wǎng)絡上正在發(fā)生的事情,這是任何一個網(wǎng)絡管理員都想知道的。審計一直被認為是經(jīng)典安全模型的一個重要組成部分。審計是通過記錄通過網(wǎng)絡的所有數(shù)據(jù)包,然后分析這些數(shù)據(jù)包,幫助查找已知的攻擊手段、可疑的破壞行為,來達到保護網(wǎng)絡的目的。
安全監(jiān)控和審計是實時保護的一種策略,它主要滿足一種動態(tài)安全的需求。因為網(wǎng)絡安全技術在發(fā)展的同時,黑客技術也在不斷的發(fā)展,網(wǎng)絡安全不是一成不變的,也許今天對你來說安全的策略,明天就會變得不安全,因此我們應該時刻關注網(wǎng)絡安全的發(fā)展動向以及網(wǎng)絡上發(fā)生的各種各樣的事情,以便及時發(fā)現(xiàn)新的攻擊,制定新的安全策略??梢赃@樣說,安全保護是基本,安全監(jiān)控和審計是其有效的補充,兩者的有效結(jié)合,才能較好地滿足動態(tài)安全的需要。
3.2.4事件響應與恢復
事件響應與恢復主要針對發(fā)生攻擊事件時相應的應急措施與恢復正常應用的機制。就是當攻擊發(fā)生時,能及時做出響應,這需要建立一套切實有效、操作性強的響應機制,及時防止攻擊的進一步發(fā)展。響應是整個安全架構(gòu)中的重要組成部分,因為網(wǎng)絡構(gòu)筑沒有絕對的安全,安全事件的發(fā)生是不可能完全避免的,當安全事件發(fā)生的時候,應該有相應的機制快速反應,以便讓管理員及時了解攻擊情況,采取相應措施修改安全策略,盡量減少并彌補攻擊的損失,防止類似攻擊的再次發(fā)生。
當安全事件發(fā)生后,對系統(tǒng)可能會造成不同程度的破壞,如網(wǎng)絡不能正常工作、系統(tǒng)數(shù)據(jù)被破壞等,這時,必須有一套機制能盡快恢復系統(tǒng)的正常應用,因為攻擊既然已經(jīng)發(fā)生了,系統(tǒng)也遭到了破壞,這時只有讓系統(tǒng)以最快的速度運行起來才是最重要的,否則損失將更為嚴重。因此恢復在電子商務安全的整體架構(gòu)中也是不可缺少的組成部分。 4小結(jié)
Internet的快速發(fā)展,使電子商務逐漸進入人們的日常生活,而伴隨各類網(wǎng)絡安全事件的日益增加與發(fā)展,電子商務的安全問題也變得日益突出,建立一個安全、便捷的電子商務應用環(huán)境,已經(jīng)成為商家和用戶密切關注的話題。
本文主要從目前深刻影響電子商務應用與發(fā)展的幾種主要的網(wǎng)絡安全事件類型出發(fā),闡述了電子商務的網(wǎng)絡安全問題,并從國家相關法制建設的大環(huán)境,應急響應組織的作用與意義,以及企業(yè)具體的電子商務網(wǎng)絡安全整體架構(gòu)等方面,給出一些建議與思考。
參考文獻
1
CNCERT/CC.“2005年上半年網(wǎng)絡安全工作報告”
2
CNCERT/CC上海分中心.“網(wǎng)絡欺詐的分析和研究”.2005年3月
3
關鍵詞:商業(yè)銀行;電子商務;風險管理
商業(yè)銀行從事金融業(yè)務面臨著市場風險、信用風險、以及操作風險等,而電子商務的出現(xiàn)則加劇了上述各類風險發(fā)生的可能性以及風險發(fā)生之后的破壞程度。2004年以來,我國面臨的網(wǎng)絡仿冒威脅正在逐漸加大,仿冒對象主要是金融網(wǎng)站和電子商務網(wǎng)站。2005年上半年共收到網(wǎng)絡安全事件報告65679件,超過2004年全年案件數(shù),商業(yè)銀行電子商務安全風險管理策略已成為理論與實踐中必須重視的課題。
一、信息安全管理的策略大體遵循事件驅(qū)動(技術和管理脫節(jié))-逐漸標準化(技術和管理逐漸結(jié)合)——安全風險管理(引入了風險分析)的發(fā)展路徑。
(一)以事件驅(qū)動的初級階段時期
19世紀70年代安全主要是指物理設備和環(huán)境的安全,人與計算機之間的交互主要局限在大型計算機上的啞終端,安全問題只涉及能訪問終端的少數(shù)人。安全管理策略處于初級階段,由事件驅(qū)動,沒有形成規(guī)范的管理流程。在此階段的前期,只重視技術手段。后期開始重視管理手段,但是技術和管理之間脫節(jié)。許多組織對信息安全制定了相應的規(guī)章和制度,但組織的信息安全管理基本上還處在一種靜態(tài)、局部、少數(shù)人負責、突擊式、事后糾正式的管理方式。
(二)標準化時期
企業(yè)開始將安全問題作為整體考慮,形成一套較為完整的安全管理策略,其中包括了安全管理的技術手段和管理制度(或稱運作管理)。幾乎所有從事電子商務的企業(yè)都擁有自己的安全策略,內(nèi)容也包括了技術手段、安全管理制度、人員安全教育等等,基本上形成體系,技術和管理手段綜合統(tǒng)一,但是安全風險分析還存在不足之處。
(三)安全風險管理策略時期
隨著電子商務安全管理發(fā)展到一個比較高的層次,安全管理策略也演進到安全風險管理階段。主要特點如下:
1.安全風險管理成為主流趨勢;在安全管理策略的演進過程中,技術和管理手段綜合統(tǒng)
一、又融入了風險管理的分析、防范策略,從而安全管理進入了安全風險管理時期。西方商業(yè)銀行已對安全風險管理形成共識。如安氏公司(is—One),認為信息安全問題最終將歸結(jié)為風險管理問題,風險管理方法是建立良性的安全技術和管理體系的依據(jù)和基礎。
2.安全風險管理的國際標準和各國的規(guī)范逐漸形成并趨于完善。國際上關于安全風險管理的標準有巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務風險管理原則》、英國標準協(xié)會制訂的BS7799等。各國也日益重視安全風險管理,制定了許多規(guī)范。例如美國貨幣監(jiān)理署(OCC)的《電子銀行最終規(guī)則》、香港金融管理局的《電子銀行服務的安全風險管理》等。中國銀行業(yè)監(jiān)督管理委員也于2006年頒布了《電子銀行業(yè)務管理辦法》,對國內(nèi)企業(yè)的電子商務安全風險管理給出了指導意見。
3.利用外部專業(yè)化機構(gòu)對金融機構(gòu)的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術風險,在相當程度上取決于采用的信息技術的先進程度,系統(tǒng)的設計開發(fā)水平,以及相關設施設備及其供應商的選擇等;銀行依靠傳統(tǒng)的風險管理機制已很難識別、監(jiān)測、控制和管理相關風險。同樣,監(jiān)管機構(gòu)也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監(jiān)控。因此,大部分國家都采用了依靠外部專業(yè)化機構(gòu)定期對電子銀行安全性進行評估的辦法,加強對電子銀行安全性和技術風險的管理和監(jiān)管。
4.在許多國家信息系統(tǒng)審計(IsAudit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。業(yè)界的IT風險分析師也成為一種職業(yè),專門從事電子商務的安全風險工作,從經(jīng)濟學的角度出發(fā)分析風險,充分衡量保持安全的代價和收益之間的關系,尋求用最小的代價實現(xiàn)最大的效用,在風險分析中也形成一套較為成熟的模式。
二、我國商業(yè)銀行電子商務安全風險管理策略的薄弱點
(一)系統(tǒng)管理思想缺乏
目前的電子商務安全風險管理策略,在全局上缺乏系統(tǒng)論理論的指導,在實際操作中受到多種多樣的安全攻擊時會不可避免地出現(xiàn)安全漏洞,無法形成一張全面有序的安全網(wǎng)絡。
實踐中被采用的安全風險管理策略,以及作為指導意見的規(guī)則規(guī)范,如《信息安全管理實務準則》(IS017799)、《信息技術安全性評估準則》(GB/T18336.1)、巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務風險管理原則》,盡管提出了比較全面的安全風險管理方案,層次上也比較清晰,但是還不足以作為一個風險防范系統(tǒng)。實踐中,電子商務組織是一個復雜的系統(tǒng)組織,電子商務的安全風險管理體系和過程也是個復雜的系統(tǒng)。系統(tǒng)論、控制論的思想在電子商務安全風險管理中是不可或缺的。
(二)風險分析的模型與方法不成熟,定量分析不足
電子商務模式自身的發(fā)展歷史也不過20幾年,在風險分析的定量技術上并不成熟;如BS7799中推薦的電子商務安全風險管理中實施風險評估時,往往將威脅發(fā)生的可能性定性劃分為幾個級別,將威脅所造成的影響也定性劃分為1~5級,實質(zhì)上是將一些按照概率發(fā)生的事件定義為不連續(xù)的幾個級別,在操作上易行,但造成了度量的不精確。在進行監(jiān)控和審計之后,也存在無法量化、對比的問題。
(三)忽視與原有的傳統(tǒng)風險管理策略的結(jié)合
本質(zhì)上,電子商務的安全風險無非是新興的商業(yè)模式對傳統(tǒng)的風險的改變,以及產(chǎn)生的在傳統(tǒng)風險控制領域暫時無法明晰的新風險;現(xiàn)有管理策略只從信息技術的角度、或者從偏重技術的角度看待問題,站在金融領域本身來分析研究較少。這種狀況導致了對電子商務安全風險管理的研究無法立足于一個比較高的層次;忽略了風險的整體性,只進行偏信息和技術的研究,導致了現(xiàn)有的電子商務安全風險管理策略與金融機構(gòu)原有的傳統(tǒng)業(yè)務風險管理策略存在差距。對于商業(yè)銀行而言,傳統(tǒng)金融業(yè)務的風險控制與電子商務的技術風險控制,兩個方面存在脫節(jié),同樣屬于商業(yè)銀行的風險,存在著不同的管理策略,導致多頭管理、資源浪費、機構(gòu)之間的扯皮,乃至缺位管理。
(四)風險管理策略無法依賴外部的信息安全管理行業(yè)
在發(fā)達國家,信息系統(tǒng)審計(IsAudit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。IT風險分析師也成為一種職業(yè),專門從事電子商務的安全風險工作。商業(yè)銀行采用依靠外部專業(yè)化機構(gòu)定期對電子銀行的安全性進行評估的辦法,提高對電子銀行安全性和技術風險的管理和監(jiān)管。而國內(nèi)初步建立了國家信息安全組織保障體系,制定和引進了一批重要的信息安全管理標準、法律法規(guī),風險評估工作得到了一定重視,但與發(fā)達國家成熟完善的外部信息安全管理行業(yè)仍有很大差距。
(五)風險管理策略中商業(yè)銀行的內(nèi)部風險控制能力薄弱
我國商業(yè)銀行目前均建立起統(tǒng)一的風險管理部門;但風險控制部門的職能、權限與花旗銀行等體制較為先進的銀行相比仍然存在較大差距,風險控制實質(zhì)上仍然分散在各個子部門;風險的評估、防范與控制實質(zhì)上完全依靠商業(yè)銀行的電子交易部門;風險管理部門、內(nèi)審稽核部門實質(zhì)上無法控制電子商務安全風險。例如,風險管理部門接受了電子交易部的風險控制報告,表面上履行的內(nèi)控審核的流程,但審核作用有限,無法完成電子商務安全風險管理中的監(jiān)控與審計環(huán)節(jié)。
三、商業(yè)銀行的電子商務安全風險管理策略的改進建議
(一)基于系統(tǒng)的思想構(gòu)建商業(yè)銀行電子商務安全風險管理策略框架
利用系統(tǒng)理論作為總體的指導思想,將電子商務安全風險管理策略本身當作一個開放的自適應系統(tǒng)。將商業(yè)銀行電子商務安全風險管理中的各個環(huán)節(jié)組成循環(huán)上升的系統(tǒng)。
在商業(yè)銀行電子商務安全風險控制的流程中,經(jīng)過信息安全的風險評估、資產(chǎn)識別和選擇、實施控制降低風險的措施、將風險控制在可接受的范圍內(nèi),然后進行監(jiān)控和審計;尤其重要的是把監(jiān)控和審計所得到的內(nèi)容作為新一輪風險分析輸入,從而開始新一輪的風險管理過程。商業(yè)銀行電子商務安全風險管理的各個步驟為動態(tài)的循環(huán)系統(tǒng)。每完成一個循環(huán),安全風險管理的有效性就上一個臺階,商業(yè)銀行的安全管理水平變得到了提高。新晨
(二)電子商務安全風險管理中定量分析中的改進思路
商業(yè)銀行可以借鑒成熟的傳統(tǒng)金融風險度量中的一些方法來改變電子商務安全風險管理中對資產(chǎn)進行粗略的優(yōu)先級別排序的方法。實踐中,商業(yè)銀行對操作風險的管理與對電子商務安全風險管理有其相似之處。巴塞爾委員會對商業(yè)銀行的操作風險的內(nèi)部計量法中規(guī)定,商業(yè)銀行內(nèi)部估計風險敞口指標、損失事件發(fā)生的概率、風險損失,巴塞爾委員會制定資本要求的轉(zhuǎn)換系數(shù);在度量損失的分布時,主要利用統(tǒng)計和精算技術。商業(yè)銀行應通過數(shù)據(jù)庫將威脅發(fā)生的頻率、威脅所造成的影響等精確記錄下來,利用現(xiàn)有的度量方法進行精確的風險定量分析的嘗試。
(三)將商業(yè)銀行電子商務安全風險納入商業(yè)銀行總體風險管理范疇
電子商務的存在和發(fā)展,是以網(wǎng)絡技術的革新為前提。電子商務系統(tǒng)的構(gòu)建、運行及維護,都離不開技術的支持。同時,由于電子商務適合于各種大、小型企業(yè),所以應采取措施來保障電子商務網(wǎng)站的安全。
一、電子商務中存在安全的問題
(一)網(wǎng)絡信息安全方面
1.服務器的安全問題。電子商務服務器是電子商務的核心,安裝了大量的與電子商務有關的軟件和商家信息,并且服務器上的數(shù)據(jù)庫里有電子商務活動過程中的一些保密數(shù)據(jù)。因此服務器特別容易受到安全的威脅,并且一旦出現(xiàn)安全問題,造成的后果也是非常嚴重。
2.網(wǎng)絡信息的安全問題。非法用戶在網(wǎng)絡的傳輸上使用不正當手法,非法攔截會話數(shù)據(jù)獲得合法用戶的有效信息,最終導致合法用戶的一些核心業(yè)務數(shù)據(jù)泄密或者是非法用戶對截獲的網(wǎng)絡數(shù)據(jù)進行一些惡意篡改,如增加、減少和刪除等操作,從而使信息失去真實性和完整性,導致合法用戶無法正常交易,還有一些非法用戶利用截獲的網(wǎng)絡數(shù)據(jù)包再次發(fā)送,惡意攻擊對方的網(wǎng)絡硬件和軟件。
3.網(wǎng)絡安全中的病毒問題。互聯(lián)網(wǎng)的出現(xiàn)為電腦病毒的傳播提供了最好的媒介,不少新病毒直接以互聯(lián)網(wǎng)作為自己的傳播途徑,電腦病毒問世10多年來,各種新型病毒及其變種迅速增加,不少新病毒直接以互聯(lián)網(wǎng)作為自己的傳播途徑,還有眾多病毒借助于互聯(lián)網(wǎng)傳播得更快,如何在電子商務領域如何有效防范病毒也是一個十分緊迫的問題。
(二)電子商務交易方面
1.交易身份的不確定。電子商務是一種全球各地廣泛的商業(yè)貿(mào)易活動在開放的網(wǎng)絡環(huán)境下,基于瀏覽器/服務器應用方式,在買賣雙方不謀面的情況下進行各種商貿(mào)活動,實現(xiàn)消費者的網(wǎng)上購物、商戶之間的網(wǎng)上交易和在線電子支付以及各種商務活動、交易活動、金融活動和相關的綜合服務活動。正是基于這個特點攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易。
2.交易協(xié)議安全性問題。企業(yè)和用戶在電子交易過程中的數(shù)據(jù)是以數(shù)據(jù)包的形式來傳送的,惡意攻擊者很容易對某個電子商務網(wǎng)站展開數(shù)據(jù)包攔截,甚至對數(shù)據(jù)包進行修改和假冒。TCP/IP協(xié)議是建立在可信的環(huán)境之下,缺乏相應的安全機制,這種基于地址的協(xié)議本身就會泄露口令,根本沒有考慮安全問題;TCP/IP協(xié)議是完全公開的,其遠程訪問的功能使許多攻擊者無須到現(xiàn)場就能夠得手,連接的主機基于互相信任的原則等這些性質(zhì)使網(wǎng)絡更加不安全。
二、加強電子商務網(wǎng)站的安全措施
我們從技術手段的角度,從系統(tǒng)安全和數(shù)據(jù)安全的不同層面來探索電子商務中出現(xiàn)的網(wǎng)絡安全新問題。
(一)信息系統(tǒng)安全
對于一個企業(yè)來說,信息的安全尤為重要,這種安全首先取決于系統(tǒng)的安全。系統(tǒng)安全主要包括網(wǎng)絡系統(tǒng)、操作系統(tǒng)和應用系統(tǒng)三個層次。系統(tǒng)安全采用的技術和手段有冗余技術、網(wǎng)絡隔離技術、訪問控制技術、身份鑒別技術、加密技術、監(jiān)控審計技術、安全評估技術等。
1.網(wǎng)絡系統(tǒng)。網(wǎng)絡系統(tǒng)安全是網(wǎng)絡的開放性、無邊界性、自由性造成,安全解決的關鍵是把被保護的網(wǎng)絡從開放、無邊界、自由的環(huán)境中獨立出來,使網(wǎng)絡成為可控制、管理的內(nèi)部系統(tǒng),由于網(wǎng)絡系統(tǒng)是應用系統(tǒng)的基礎,網(wǎng)絡安全便成為首要新問題。解決網(wǎng)絡安全主要方式有如下幾種方法:
一是網(wǎng)絡冗余。它是解決網(wǎng)絡系統(tǒng)單點故障的重要辦法。對關鍵性的網(wǎng)絡線路、設備,通常采用雙備份或多備份的方式。網(wǎng)絡運行時雙方對運營狀態(tài)相互實時監(jiān)控并自動調(diào)整,當網(wǎng)絡的一段或一點發(fā)生故障或網(wǎng)絡信息流量突變時能在有效時間內(nèi)進行切換分配,保證網(wǎng)絡正常的運行。
二是系統(tǒng)隔離。分為物理隔離和邏輯隔離,主要從網(wǎng)絡安全等級考慮劃分合理的網(wǎng)絡安全邊界,使不同安全級別的網(wǎng)絡或信息媒介不能相互訪問,從而達到安全目的。對業(yè)務網(wǎng)絡或辦公網(wǎng)絡采用VLAN技術和通信協(xié)議實行邏輯隔離劃分不同的應用子網(wǎng)。
三是訪問控制。對于網(wǎng)絡不同信任域?qū)崿F(xiàn)雙向控制或有限訪問原則,使受控的子網(wǎng)或主機訪問權限和信息流向能得到有效控制。具體相對網(wǎng)絡對象而言需要解決網(wǎng)絡的邊界的控制和網(wǎng)絡內(nèi)部的控制,對于網(wǎng)絡資源來說保持有限訪問的原則,信息流向則可根據(jù)安全需求實現(xiàn)單向或雙向控制。訪問控制最重要的設備就是防火墻,它一般安置在不同安全域出入口處,對進出網(wǎng)絡的IP信息包進行過濾并按企業(yè)安全政策進行信息流控制,同時實現(xiàn)網(wǎng)絡地址轉(zhuǎn)換、實時信息審計警告等功能,高級防火墻還可實現(xiàn)基于用戶的細粒度的訪問控制。
四是身份鑒別。是對網(wǎng)絡訪問者權限的識別,一般通過三種方式驗證主體身份,一是主體了解的秘密,如用戶名、口令、密鑰;二是主體攜帶的物品,如磁卡、IC卡、動態(tài)口令卡和令牌卡等;三是主體特征或能力,如指紋、聲音、視網(wǎng)膜、簽名等。加密是為了防止網(wǎng)絡上的竊聽、泄漏、篡改和破壞,保證信息傳輸安全,對網(wǎng)上數(shù)據(jù)使用加密手段是最為有效的方式。目前加密可以在三個層次來實現(xiàn),即鏈路層加密、網(wǎng)絡層加密和應用層加密。鏈路加密側(cè)重通信鏈路而不考慮信源和信宿,它對網(wǎng)絡高層主體是透明的。網(wǎng)絡層加密采用IPSEC核心協(xié)議,具有加密、認證雙重功能,是在IP層實現(xiàn)的安全標準。通過網(wǎng)絡加密可以構(gòu)造企業(yè)內(nèi)部的虛擬專網(wǎng)(VPN),使企業(yè)在較少投資下得到安全較大的回報,并保證用戶的應用安全。
五是安全監(jiān)測。采取信息偵聽的方式尋找未授權的網(wǎng)絡訪問嘗試和違規(guī)行為,包括網(wǎng)絡系統(tǒng)的掃描、預警、阻斷、記錄、跟蹤等,從而發(fā)現(xiàn)系統(tǒng)遭受的攻擊傷害。網(wǎng)絡掃描監(jiān)測系統(tǒng)作為對付電腦黑客最有效的技術手段,具有實時、自適應、主動識別和響應等特征,廣泛用于各行各業(yè)。網(wǎng)絡掃描是針對網(wǎng)絡設備的安全漏洞進行檢測和分析,包括網(wǎng)絡通信服務、路由器、防火墻、郵件、WEB服務器等,從而識別能被入侵者利用非法進入的網(wǎng)絡漏洞。網(wǎng)絡掃描系統(tǒng)對檢測到的漏洞信息形成具體報告,包括位置、具體描述和建議的改進方案,使網(wǎng)管能檢測和管理安全風險信息。
2.操作系統(tǒng)
操作系統(tǒng)是管理計算機資源的核心系統(tǒng),負責信息發(fā)送、管理設備存儲空間和各種系統(tǒng)資源的調(diào)度,它作為應用系統(tǒng)的軟件平臺具有通用性和易用性,操作系統(tǒng)安全性直接關系到應用系統(tǒng)的安全,操作系統(tǒng)安全分為應用安全和安全漏洞掃描。
一是應用安全。面向應用選擇可靠的操作系統(tǒng),可以杜絕使用來歷不明的軟件。用戶可安裝操作系統(tǒng)保護和恢復軟件,并作相應的備份。
二是系統(tǒng)掃描。它基于主機的安全評估系統(tǒng),是對系統(tǒng)的安全風險級別進行劃分,并提供完整的安全漏洞檢查列表,通過不同版本的操作系統(tǒng)進行掃描分析,對掃描漏洞自動修補形成報告,保護應用程序、數(shù)據(jù)免受盜用、破壞。
3.應用系統(tǒng)
辦公系統(tǒng)文件(郵件)的安全存儲摘要:利用加密手段,配合相應的身份鑒別和密鑰保護機制(IC卡、PCMCIA安全PC卡等),使得存儲于本機和網(wǎng)絡服務器上的個人和單位重要文件處于安全存儲的狀態(tài),使得他人即使通過各種手段非法獲取相關文件或存儲介質(zhì)(硬盤等),也無法獲得相關文件的內(nèi)容。
文件(郵件)的安全傳送,對通過網(wǎng)絡(遠程或近程)傳送給他人的文件進行安全處理(加密、簽名、完整性鑒別等),使得被傳送的文件只有指定的收件者通過相應的安全鑒別機制(IC卡、PCMCIA PC卡)才能解密并閱讀,杜絕了文件在傳送或到達對方的存儲過程中被截獲、篡改等,主要用于信息網(wǎng)中的報表傳送、公文下發(fā)等。
業(yè)務系統(tǒng)的安全,主要面向業(yè)務管理和信息服務的安全需求。對通用信息服務系統(tǒng)(電子郵件系統(tǒng)、WEB信息服務系統(tǒng)、FTP服務系統(tǒng)等)采用基于應用開發(fā)安全軟件,如安全郵件系統(tǒng)、WEB頁面保護等;對業(yè)務信息可以配合管理系統(tǒng)采取對信息內(nèi)容的審計稽查,防止外部非法信息侵入和內(nèi)部敏感信息泄漏。
(二)數(shù)據(jù)安全
數(shù)據(jù)安全牽涉到數(shù)據(jù)庫的安全和數(shù)據(jù)本身安全,針對兩者應有相應的安全辦法。
一是數(shù)據(jù)庫安全。大中型企業(yè)一般采用具有一定安全級別的SYBASE或ORACLE大型分布式數(shù)據(jù)庫,基于數(shù)據(jù)庫的重要性,應在此基礎上開發(fā)一些安全辦法,增加相應控件,對數(shù)據(jù)庫分級管理并提供可靠的故障恢復機制,實現(xiàn)數(shù)據(jù)庫的訪問、存取、加密控制。具體實現(xiàn)方法有安全數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)庫保密系統(tǒng)、數(shù)據(jù)庫掃描系統(tǒng)等。
二是數(shù)據(jù)安全。指存儲在數(shù)據(jù)庫數(shù)據(jù)本身的安全,相應的保護辦法有安裝反病毒軟件,建立可靠的數(shù)據(jù)備份和恢復系統(tǒng),某些重要數(shù)據(jù)甚至可以采取加密保護。
(三)網(wǎng)絡交易平臺的安全
網(wǎng)上交易安全位于系統(tǒng)安全風險之上,在數(shù)據(jù)安全風險之下。只有提供一定的安全保證,在線交易的網(wǎng)民才會具有安全感,電子商務網(wǎng)站才會具有發(fā)展的空間。
一是交易安全標準。目前在電子商務中主要的安全標準有兩種摘要:應用層的SET(安全電子交易)和會話層SSL(安全套層)協(xié)議。前者由信用卡機構(gòu)VISA及MasterCard提出的針對電子錢包/商場/認證中心的安全標準,主要用于銀行等金融機構(gòu);后者由NETSCAPE公司提出針對數(shù)據(jù)的機密性/完整性/身份確認/開放性的安全協(xié)議,事實上已成為WWW網(wǎng)絡的應用安全標準。
二是交易安全基礎體系。交易安全基礎是現(xiàn)代密碼技術,依靠于加密方法和強度。加密分為單密鑰的對稱加密體系和雙密鑰的非對稱加密體系。兩者各有所長,對稱密鑰具有加密效率高,但存在密鑰分發(fā)困難、管理不便的弱點;非對稱密鑰加密速度慢,但便于密鑰分發(fā)管理。通常把兩者結(jié)合使用,以達到高效安全的目的。
三是交易安全的實現(xiàn)。交易安全的實現(xiàn)主要有交易雙方身份確認、交易指令及數(shù)據(jù)加密傳輸、數(shù)據(jù)的完整性、防止雙方對交易結(jié)果的抵賴等等。具體實現(xiàn)的途徑是交易各方具有相關身份證實,同時在SSL協(xié)議體系下完成交易過程中電子證書驗證、數(shù)字簽名、指令數(shù)據(jù)的加密傳輸、交易結(jié)果確認審計等。
隨著電子商務的發(fā)展,網(wǎng)上交易越來越頻繁,調(diào)用每項服務時需要用戶證實身份,也需要這些服務器向客戶證實他們自己的身份。而保障身份安全的最有效的技術就是PKI技術。PKI的應用主要是在它的CA認證技術。CA(Certification Authorty)是一個確保信任度的權威實體,主要職責是頒發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)的網(wǎng)絡用戶電子身份證實—證書,任何相信該CA的人,按照第三方信任原則,都應當相信持有證實的該用戶。CA也要采取一系列相應的辦法來防止電子證書被偽造或篡改。構(gòu)建一個具有較強安全性的CA是至關重要的,這不僅和密碼學有關系,而且和整個PKI系統(tǒng)的構(gòu)架和模型有關。此外,靈活也是CA能否得到市場認同的一個關鍵,它不需支持各種通用的國際標準,并能很好地和其他廠家的CA產(chǎn)品兼容。在不久的將來,PKI技術會在電子商務和網(wǎng)絡安全中得到更廣泛的應用,從而真正保障用戶和商家的身份安全。
三、信息安全的發(fā)展方向
從歷史角度看,我國信息網(wǎng)絡安全探究歷經(jīng)了通信保密、數(shù)據(jù)保護兩個階段,正在進入網(wǎng)絡信息安全探究階段,現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡安全領域是一個綜合、交叉的學科領域,它綜合利用了數(shù)學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發(fā)展成果,提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡安全的方案,從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展探究,各部分相互協(xié)同形成有機整體。
安全協(xié)議作為信息安全的重要內(nèi)容,其形式化方法分析始于80年代初,目前有基于狀態(tài)機、模態(tài)邏輯和代數(shù)工具的三種分析方法,但仍有局限性和漏洞,處于發(fā)展的提高階段。作為信息安全關鍵技術密碼學,近年來空前活躍,美、歐、亞各洲舉行的密碼學和信息安全學術會議頻繁。1976年美國學者提出的公開密鑰密碼體制,克服了網(wǎng)絡信息系統(tǒng)密鑰管理的困難,同時解決了數(shù)字簽名新問題,它是當前探究的熱點。
[關鍵詞]Agent 電子商務實驗室 安全設計
電子商務實驗室旨在建立一個Internet環(huán)境下的電子商務模擬環(huán)境,實現(xiàn)情景教學。若想成功地部署電子商務實驗室,必須解決三個關鍵問題:高可用性、伸縮性和安全性。而安全性是其中最重要的環(huán)節(jié),因此本文主要對電子商務實驗室的安全性進行闡述。
一、電子商務實驗室的安全需求
本課題所設計的系統(tǒng)有七個實驗平臺組成,它們分別是:一般教學、B2C、C2C、B2B、物流實驗平臺,以及電子銀行和CA認證平臺。每個平臺相對獨立又有一定關聯(lián),如B2C業(yè)務流程的完成需要結(jié)合CA認證、電子銀行和物流管理等,因此不同平臺安全需求也是多方面的。如何保證實驗室系統(tǒng)交易的安全性、對個人信息提供機密性保障、認證交易雙方的合法身份、如何保證數(shù)據(jù)的完整性和交易的不可否認性等,是實驗室所需解決的核心問題。
二、電子商務實驗室安全解決方案
當前,電子商務系統(tǒng)設計的架構(gòu)大多采用B/S結(jié)構(gòu)。B/S環(huán)境中各種安全功能都由服務器集中實現(xiàn),因此服務器容易成為系統(tǒng)的安全瓶頸。服務器一旦被人入侵或出現(xiàn)問題,將對整個系統(tǒng)的安全造成嚴重的威脅。且不同子系統(tǒng)具有不同的安全需求,由服務器統(tǒng)一協(xié)調(diào)和處理它們之間的安全策略將大大加重服務器的負擔。
當前的大多數(shù)電子商務系統(tǒng)都采用了結(jié)合硬件防火墻、軟件防火墻和防病毒軟件等。這些措施只提供了被動的、有限的安全防范能力,并不能滿足多模塊、多子系統(tǒng)的電子商務實驗室的要求。并且這種解決方案缺少主動性和自我維護能力。
利用軟件Agent的智能處理能力來解決各模塊間的安全通信是一個很好的選擇,軟件Agent是一種計算機程序,具有反應性、自治性和目標性等特點,能夠獨立地跟環(huán)境進行交互或代表用戶完成給定的目標。它不僅能對各模塊的通信狀況進行高度監(jiān)控,而且各Agent能多層面的獨立實現(xiàn),各Agent之間也能相互協(xié)調(diào)、統(tǒng)一調(diào)度。
三、基于軟件Agent的電子商務實驗室安全設計
本人主持研究河北大學教改青年基金項目――基于LINUX的電子商務實驗室(項目編號為:0575),此實驗室服務器連接校園網(wǎng),校園網(wǎng)又和互聯(lián)網(wǎng)相連,因此服務器較容易成為被攻擊或入侵的對象,所以本系統(tǒng)利用Agent技術來提高實驗室的安全性。Agent可對用戶的請示進行過濾,減少用戶直接訪問實驗室服務器所帶來的安全風險,同時可更方便地實現(xiàn)一些動態(tài)的安全策略。
1.基于軟件Agent的安全設計模型
本實驗室的Agent體系設計是分層次、分等級的結(jié)構(gòu),層次或等級根據(jù)系統(tǒng)的功能來劃分,如圖1所示。
圖1 Agent的安全等級結(jié)構(gòu)
每個平臺由一個安全監(jiān)控Agent負責管理本平臺的安全,如有問題通知報警Agent,報警Agent會及時反饋給Agent安全管理中心的Agent進行相應處理,比如:退出登陸重新驗證身份等。身份認證Agent負責對訪問用戶進行身份驗證;授權Agent根據(jù)對已經(jīng)通過身份認證Agent的用戶進行授權,不同類型的登陸用戶授權策略不同,實驗的角色不同,授權的策略也不同,比如,B2C實驗中,一位剛剛初始化的Customer(學生登錄身份),授權內(nèi)容中將包括B2C的買方界面,并且授權Agent指示電子銀行模塊自動給實驗者初始資產(chǎn)一萬元作為實驗的資本,當然還有其他一些授權;跟蹤Agent將全程跟蹤用戶的操作并詳細記錄到日志文件。
2.軟件Agent的安全解決方案
移動Agent需要在不同的主機上遷移,實驗室服務器是LINUX環(huán)境,而客戶端往往是學生比較熟悉的windows操作環(huán)境,所以這里選擇跨平臺的J2EE開發(fā)本系統(tǒng)。J2EE不僅提供了一套安全機制,而且移動Agent中的許多功能在Java中有直接的對應實現(xiàn)。移動Agent狀態(tài)的移動可以用Java對象的串行化表示;Agent代碼的移動用字節(jié)碼傳遞和加載;Agent運行上下文可用方法的控制流表示等等,具體的方案有以下幾點:
(1)利用Java的字節(jié)碼驗證器保證Agent的正確性。字節(jié)碼驗證器可以檢測Agent的程序代碼是否被破壞,然后采取相應的措施。
(2)利用Java的類裝載器、命名空間和線程組來實現(xiàn)動態(tài)Agent的隔離??梢园褟牟煌瑏碓摧d入的類隔離到不同的命名空間中,一個Agent不可能用它自己的類冒名頂替另一Agent的類,這樣可以防止破壞性代碼訪問正常的代碼,從而保證了Agent之間的安全。另外,每當一個新Agent到達后,就為其建立一個線程組。任何執(zhí)行該Agent的線程其組號是相同的。那么,只要為這個線程組分配權限,即為該Agent分配了權限,就實現(xiàn)了Agent與主機的隔離。
(3)采用數(shù)字簽名和加密算法實現(xiàn)Agent的傳輸與驗證。系統(tǒng)對外來的Agent的身份進行數(shù)字簽名驗證,確定其是否為可信Agent。同時還可以利用Java加密擴展機制和Java安全套接字擴展機制結(jié)合來實現(xiàn)將Agent代碼數(shù)據(jù)進行壓縮后加密處理,經(jīng)過壓縮不僅降低了網(wǎng)絡流量,而且也大大增加了破譯該數(shù)據(jù)的難度。
3.軟件Agent的實現(xiàn)
本系統(tǒng)的軟件Agent的實現(xiàn)平臺采用Aglet。Aglet為開放源碼項目,用戶不用考慮侵權問題。Aglet完全由Java編寫,具有很高的移植性。Aglet包含了一個運行移動Agent的服務器和一套類庫,基于它開發(fā)者可以進一步開發(fā)各種Agent的應用。Aglet的系統(tǒng)架構(gòu)主要分為四個階段,如圖2所示。
圖2 Aglet系統(tǒng)架構(gòu)
當一個正在執(zhí)行的Aglet將自己送到遠程端口時,會對Aglet Runtime層發(fā)出請求,然后把Aglet的狀態(tài)與程序代碼序列化(serialized )成字節(jié)數(shù)組(byte array),若是請求成功,系統(tǒng)會將Aglet的執(zhí)行動作結(jié)束,然后將序列化數(shù)組傳送至ATCI(Agent Transport and Communication Interface)層處理。
Agent安全管理中心統(tǒng)一管理各個安全Agent的基本行為:如產(chǎn)生(Create)、復制(Clone)Agents ,或分派(Dispatch)Agents 到遠端工作站、召回(Retract)遠端的Agents,或暫停(Deactive)、喚醒(Active)Agents,以及移除(Dispose)Agents等,如圖3所示,不管是何種Agent均繼承Aglet類,可以通過覆蓋父類的方法來實現(xiàn)自己的“特殊要求”。
圖3 Agent的對象模型
各監(jiān)控Agent由管理中心分派到各個實驗平臺進行監(jiān)控,等客戶端做完實驗后正常退出,然后移除Agent監(jiān)控對象,如果出現(xiàn)安全問題,傳遞消息給報警Agent對象,再交由Agent管理中心負責進一步處理。
參考文獻:
[1]Jian Li,Guo-yin Zhang Gu, A Workflow System Based Architecture for Network Attack Resistant System,GCC2003, LNCS3032, pp.980~983,2004
關鍵詞:電子商務;網(wǎng)站開發(fā);安全策略;網(wǎng)站性能;網(wǎng)站部署
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2010) 09-0000-01
E-commerce Site Construction Safety Research and Practice
Guo Bin
(Hunan Xiangtan Education College,Xiangtan411100,China)
Abstract:With the network technology continues to progress and development,gave birth to the birth of electronic commerce,its high efficiency and low cost advantages to grow quickly.As a new e-commerce trading,enterprises and users use a more convenient and intuitive information exchange platform has gradually become a new impetus to economic growth.
How the advantages of internet to establish a secure operating environment,protection of trade for both information security,a depth of e-commerce process,a problem can not be ignored.
Keywords:Electronic commerce;Web development;Security policy;Site performance;Site deployment
近幾年,電子商務的蓬勃發(fā)展已經(jīng)成為經(jīng)濟增長的重要組成部分。作為一種新興的交易方式,電子商務效率高、成本低的運作優(yōu)勢已經(jīng)逐步得到公眾的認可。然而,作為借助網(wǎng)絡依托而產(chǎn)生的交易方式,網(wǎng)上的信息安全成為了制約電子商務發(fā)展的最大難題。因此,如何結(jié)合網(wǎng)絡安全措施,確保企業(yè)網(wǎng)上信息的完整性和交易客戶信息的私密性,是電子商務網(wǎng)絡平臺應該提供的最基本安全保障。建立起安全、便捷、友好的交易界面,增加產(chǎn)品信息的開放性,是電子商務走向繁榮的必經(jīng)之路。
一、電子商務網(wǎng)站建設過程中的安全性研究與實現(xiàn)
電子商務網(wǎng)站的建設不僅要考慮到企業(yè)信息的開放性,也要考慮到交易過程的私密性。借助計算機網(wǎng)絡提供的便捷服務,要建立在信息交互保密的基礎上,在網(wǎng)站的設計、開發(fā)和投入使用過程中只有解決了根本上運營保障問題,才能夠發(fā)揮電子商務強大的功能力量,成為企業(yè)與用戶雙向選擇的焦點所在。
(一)敏感字段的加密過程
任何一個電子商務網(wǎng)站,從根本上來講是一個信息交互的平臺,只有實現(xiàn)了信息傳輸?shù)陌踩Wo,才能夠完成電子商務網(wǎng)站的基本構(gòu)建。在網(wǎng)絡上的信息,要防止非法的肆意篡改,對于電子商務網(wǎng)站還包括了用戶之間交易時私密信息被竊取的風險,這些都是網(wǎng)絡數(shù)據(jù)傳輸中不可避免的問題,只有從信息安全技術手段上進行改進,對電子商務網(wǎng)站上的信息進行加密處理,才可能避免以上情況的發(fā)生,降低用戶因信息丟失造成損失的風險。采用敏感字段加密技術,對瀏覽器的客戶端采用數(shù)字安全證書認證的方式,對用戶的身份、信息和訪問級別進行識別,一方面保證了用戶信息的私密性,另一方面也保護了網(wǎng)站上信息的安全。此外,由于敏感字段被加密,即便出現(xiàn)了信息被截取或盜取的情況,也由于難以破解加密的密文,而免于重要信息的泄露風險。
(二)數(shù)據(jù)存儲與查詢的效率性
消費者對電子商務網(wǎng)站的訪問,大部分操作是以信息查詢?yōu)橹?提高網(wǎng)站信息的查詢效率和檢索信息的準確性,可以在極大程度上促進企業(yè)與消費者的交易成功率。每個消費者都有各自的消費主張和產(chǎn)品性能關注點,因此,電子商務網(wǎng)站就是要在數(shù)據(jù)存儲過程中盡量避免冗余信息的錄入,造成查詢效率低下,降低電子商務的功效性。因此,要嚴格遵守數(shù)據(jù)庫的設計規(guī)范,將網(wǎng)上的信息關鍵字與敏感字段系統(tǒng)的編輯起來,提高數(shù)據(jù)存儲空間的使用效率。
(三)硬件密鑰與身份確認
為了保護Web頁面信息的安全,應采取網(wǎng)頁內(nèi)嵌ActiveX控件的形式,結(jié)合硬件密鑰來共同工作,保護網(wǎng)頁信息與用戶發(fā)出信息的安全。在用戶瀏覽網(wǎng)站產(chǎn)生數(shù)據(jù)流的同時,可以啟動ActiveX的自動下載,也可以在客戶界面彈出詢問對話框,確認ActiveX的運行,提醒用戶網(wǎng)頁的保護狀態(tài)。硬件密鑰內(nèi)包含了用戶的私人信息,連接到Web頁面上,經(jīng)過認證后,就可以保證交易過程的順暢進行。
(四)部署安裝中的安全性實現(xiàn)
電子商務的技術支持基礎來源于計算機技術與網(wǎng)絡技術的結(jié)合,信息安全一直是一個此消彼長的過程,安全問題的不斷暴露,也促使了計算機安全與網(wǎng)絡技術的不斷成熟。一旦在基礎的支持技術出現(xiàn)了發(fā)展滯后的情況,就等于是在自身的網(wǎng)站建設上將問題暴露人前,給信息竊取提供了可乘之機。對服務器的監(jiān)控和服務器操作系統(tǒng)的安全升級,是整個網(wǎng)站部署安裝過程中的安全保障根本,同時限制用戶對服務器的訪問權限,杜絕賬戶劃分不適當帶來的用戶權限過大,帶來威脅網(wǎng)站服務器安全的情況發(fā)上。具體劃分為FTP組,MAIL組,DNS組等,他們之間沒有交叉,管理員帳戶只有一個,并且密碼每周需要更換,其他組用戶密碼也要定期更換,以防止密碼丟失。此外,也要分離各功能服務器獨立運轉(zhuǎn)系統(tǒng),預防某一功能故障而引發(fā)整個系統(tǒng)的崩潰。服務器與網(wǎng)絡的連接必然會遭受到網(wǎng)絡上病毒與漏洞的攻擊,要采用強大的殺毒軟件全面保護服務器系統(tǒng)內(nèi)部的安全,隔離病毒感染、及時修復、監(jiān)控系統(tǒng)漏洞。
二、結(jié)語
針對電子商務網(wǎng)絡信息傳輸?shù)奶攸c,分析了電子商務網(wǎng)站建設過程中的安全問題,在網(wǎng)站的基礎構(gòu)建過程中,重視信息安全的保護,提高電子商務應用的安全性。結(jié)合計算機技術與網(wǎng)絡技術的發(fā)展趨勢與技術支持方式,從數(shù)據(jù)加密、傳輸加密、電子簽名和數(shù)據(jù)庫安全等環(huán)節(jié)入手,全面提高電子商務網(wǎng)站的防攻擊抵抗能力,全面考慮網(wǎng)站開發(fā)和應用過程中可能遇到的各種安全問題,予以有效解決,打造一個安全、便捷的交易平臺,建造一個人性化的交易環(huán)境,為經(jīng)濟發(fā)展提供新的動力來源。
參考文獻:
[1]方美琪.電子商務概論[M].北京:清華人學出版社.2009:12-13
[2]賈偉.網(wǎng)絡與電子商務安全[M].北京:國防工業(yè)出版社.2009:23-24
[關鍵詞] 電子商務信息加密案例教學
目前電子商務安全問題已經(jīng)成為制約電子商務快速發(fā)展的障礙。因此,了解和掌握安全技術,已經(jīng)成為從事電子商務人員的必備知識。為此,目前很多高校電子商務專業(yè)都開設了《電子商務安全技術》課程。如何針對該課程的特點使學生掌握安全知識和技術,是教師在課程設計中最為重視的問題。筆者結(jié)合該課程的講授經(jīng)驗,從教學內(nèi)容、教學方法、實驗教學等方面進行了探索。
一、課程特點
《電子商務安全技術》課程是電子商務專業(yè)的專業(yè)課程。該課程的目標是要求學生在掌握基本概念和理論的基礎上,結(jié)合實際問題,在電子商務的實施中應用有關技術為具體商務過程的實現(xiàn)提供安全保障。該課程內(nèi)容非常龐雜且綜合性強,包括信息加密技術、計算機網(wǎng)絡安全技術、電子支付技術等。
該課程的突出問題是學習內(nèi)容多,課時少。僅計算機網(wǎng)絡安全技術一項內(nèi)容,就是一門獨立的課程。然而該課程安排課時為44學時。因此,在有限的學時內(nèi),不可能詳細講解所有內(nèi)容。為此,我們精心設計教學內(nèi)容和實驗,采用小組討論、案例教學等教學方法,取得了不錯的效果。
二、教學內(nèi)容設計
《電子商務安全技術》課程的教學內(nèi)容包括以下8個部分:電子商務安全概述、信息加密技術、計算機網(wǎng)絡安全技術、公鑰基礎設施(PKI)、電子支付技術、電子商務安全交易協(xié)議、安全電子商務應用、其他電子商務安全技術。教學內(nèi)容的設計原則如下:
1.重視信息加密技術。信息加密技術是其他技術的核心,是電子商務安全的基石。在教學過程中,應該把對稱加密和非對稱加密的原理、特點講透。對于對稱加密可首先以愷撒密碼、換位密碼算法為例來講解,這些算法簡單,學生理解起來較為容易。而對于非對稱加密算法,可以RSA算法為例來講解,讓學生能理解該算法的優(yōu)點和不足。學會了加密技術,在理解數(shù)字簽名、公鑰基礎設施等這些應用加密算法的技術時就會容易得多。
2.重視計算機網(wǎng)絡安全技術。電子商務是基于Internet網(wǎng)絡的商務模式,因此,電子商務的安全是以計算機網(wǎng)絡的安全性為基礎的。因此,在教學過程中,必須教導學生重視計算機網(wǎng)絡安全技術,必須掌握基本的網(wǎng)絡安全攻防體系、防火墻、虛擬專用網(wǎng)、入侵檢測系統(tǒng)等網(wǎng)絡安全的主要技術和解決方案。
3.加強流行技術和新技術的講解。電子商務安全相關的新技術不斷涌現(xiàn)。例如,在電子支付技術中,除了信用卡電子支付、電子支票、電子現(xiàn)金支付方法,比較流行的還有支付寶等第三方支付方法;隨著移動電子商務的流行,無線電子商務安全技術逐漸被人們所重視;信息隱藏技術、數(shù)字水印技術和數(shù)字版權保護等新技術已成為了非常熱門的話題。在教學中,可簡單介紹這些新技術,學生根據(jù)自己的興趣進一步跟蹤和探索。
三、教學方法
教學方式主要采用多媒體教學。在多媒體課件的設計上,主要以設置問題、討論解答的方式來引出各個知識點,以便激發(fā)學生的求知欲。提出問題后,可以組織學生分組討論,或者師生共同討論來給出問題的答案,并總結(jié)知識點。
根據(jù)教學內(nèi)容的不同,采用靈活多樣的教學方法,如小組討論、案例教學等。比如:在講解電子支付時,先在課前布置學生收集5個國內(nèi)電子商務網(wǎng)站的電子支付方式,而后在課堂上進行小組討論,結(jié)合實際情況來加深學生對知識點的掌握。在講解網(wǎng)絡防火墻技術時,收集某連鎖店網(wǎng)絡和九運會防火墻配置案例,讓學生更加直觀地理解防火墻的實際應用情況。
四、實驗內(nèi)容
實驗教學是為學生理解課程內(nèi)容而設計的。通過實驗教學的實施,使學生掌握課程內(nèi)容,以及電子商務安全技術的操作與配置方法。實驗設計的原則是:
1.強調(diào)基礎。結(jié)合學習內(nèi)容的各主要知識點來設計實驗。通過實驗,讓學生理解各知識點,并會加以運用。
2.既有驗證性實驗,也有設計性實驗。通過驗證性實驗,掌握各個技術。通過設計性實驗,綜合應用各種技術,培養(yǎng)學生解決實際問題的能力。
根據(jù)上述原則,我們設計了7個實驗,如下表所示。
其中實驗1屬于調(diào)查分析類,該實驗的目的是通過調(diào)查分析當前大型電子商務網(wǎng)站,掌握常用的安全措施。具體要求是了解2個國內(nèi)大型電子商務網(wǎng)站如eBay網(wǎng)、淘寶網(wǎng)的電子商務安全措施。
實驗2到實驗6是屬于操作性和驗證性的實驗。通過實際操作,理解課堂所學的理論知識,并進一步掌握各種電子商務安全技術的應用方法。實驗3中的防火墻、VPN、入侵檢測這三個內(nèi)容,由于課時的關系,可以把防火墻作為重點,其他兩個作為課下作業(yè)。
實驗7是設計某小型電子商務系統(tǒng)的安全解決方案,這是一個設計性實驗。該實驗需要綜合運用各種安全技術,并寫出方案報告。
五、學習效果
在教學實踐過程中,學生實驗報告、案例分析報告都撰寫得不錯。同時本課程很受學生歡迎,取得了令人滿意的教學效果。
參考文獻:
[1]張愛菊:電子商務安全技術[M].北京:清華大學出版社,2006
關鍵詞:實踐教學;教學改革;教育質(zhì)量
中圖分類號:G642.4 文獻標志碼:A 文章編號:1674-9324(2013)35-0039-02
伴隨著知識經(jīng)濟的興起,高等教育的歷史使命和人才培養(yǎng)目標發(fā)生了巨大變化,創(chuàng)新教育成為各國教育改革的主題。為了適應創(chuàng)新教育,培養(yǎng)創(chuàng)新型人才,教育教學的傳統(tǒng)方式必須變革[1]。中央和各級政府教育行政部門、各高等學校十分重視對大學生實踐和創(chuàng)新能力的培養(yǎng),教育部把實踐教學作為高校本科教學工作水平評估的關鍵指標之一,各高等學校采取切實有效措施,積極開展實踐教學改革,多渠道籌措經(jīng)費加大實驗室建設投入,極大地改善了實驗教學條件,對提高學生的實踐創(chuàng)新能力產(chǎn)生了積極影響[2]。
一、實踐教學體系概述
實踐教學指具有實踐性的教學活動。實踐教學存在于整個教學過程之中,包括理論實踐教學和社會實踐教學。要做好實踐教學工作,首先應該建立并完善實踐教學體系,通常實踐教學體系分為實踐教學目標體系、實踐教學內(nèi)容體系、實踐教學管理體系、實踐教學保障體系和實踐教學評價體系。實踐教學體系的建設應該遵循以下幾個原則:
1.特色性原則:確立以素質(zhì)教育為核心,技術應用能力培養(yǎng)為主線,應變能力培養(yǎng)為關鍵,產(chǎn)學研結(jié)合為途徑,與時俱進的人才教育培養(yǎng)模式是實踐教學體系構(gòu)建中遵循的原則。
2.實用型原則:實踐教學體系的構(gòu)建,要充分體現(xiàn)專業(yè)崗位的要求,與專業(yè)崗位群發(fā)展緊密相關。以此為原則組成一個層次分明、分工明確的實踐教學體系。
3.混合型原則:混合型體現(xiàn)在教師類型的混合、理論教學和實踐教學的混合、教室與實驗室的混合等方面,淡化理論教學與實踐教學、專業(yè)教師與實踐指導教師、教室與實驗室的界限,打破原來按學科設置實驗室的傳統(tǒng)布局,對實踐教學設施進行重新整合,形成一體化混合實踐教學模式。
實踐教學體系的目標是:以職業(yè)能力培養(yǎng)為主線,使學生獲得實踐知識、開闊眼界,豐富并活躍學生的思想,加深對理論知識的理解掌握,進而在實踐中對理論知識進行修正、拓展和創(chuàng)新。在確定具體課程實踐教學體系目標的前提下,如何有針對性地設置具體的實踐教學內(nèi)容尤為重要。實踐教學的內(nèi)容是實踐教學目標任務的具體化,將實踐教學環(huán)節(jié)通過合理配置,構(gòu)建成以技術應用能力培養(yǎng)為主體,按基本技能、專業(yè)技能和綜合技術應用能力等層次,循序漸進地安排實踐教學內(nèi)容,將實踐教學的目標和任務具體落實到各個實踐教學環(huán)節(jié)中,讓學生在實踐教學中掌握必備的、完整的、系統(tǒng)的技能和技術[3]。
二、電子商務安全實踐教學內(nèi)容設置
電子商務安全課程是新興的邊緣交叉性課程,是在網(wǎng)絡安全的基礎上結(jié)合電子商務的領域的實際應用發(fā)展而來的一門具有一定針對性的課程,也是電子商務專業(yè)學生的一門專業(yè)主干課程??紤]到經(jīng)營管理活動中計算機的普及和網(wǎng)絡通信的快速發(fā)展,該課程是作為21世紀大學生尤其是電子商務專業(yè)的學生應該了解、掌握的一門學科,通過該課程的教學,學生初步了解電子商務安全的內(nèi)涵和電子商務支付系統(tǒng)的構(gòu)成,并且對網(wǎng)絡常見的攻擊手段、主要安全產(chǎn)品的功能、常用的電子支付工具等進行了解,以解決實際應用中遇到的問題[4]。
1.實驗項目安排。本課程實踐教學部分主要讓學生對電子商務安全與支付在理論和實踐上有一個全面的認識。要求學生通過大綱中的實驗設置,了解電子商務安全與支付的現(xiàn)實環(huán)境;了解電子商務客戶機和服務器的安全設置;熟悉基本的電子支付工具的使用,掌握數(shù)字證書的申請、安裝和使用流程;了解SSL證書的申請流程。針對本課程的培養(yǎng)目標進行合理的實驗教學安排,具體實驗項目如表1所示。
2.實驗項目的具體內(nèi)容。實驗1:了解電子商務安全與支付的現(xiàn)實環(huán)境:通過本次實驗了解中國互聯(lián)網(wǎng)發(fā)展狀況,特別是有關電子商務發(fā)展的現(xiàn)狀,認真體會,結(jié)合自己課余所見的實際情況進行總結(jié)。實驗內(nèi)容:閱讀比較CNNIC最新的《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》中關于安全支付的數(shù)據(jù)及分析,了解中國電子商務發(fā)展的現(xiàn)狀。實驗2:電子商務客戶機安全:通過本次實驗了解電子商務客戶機存在的安全風險及對應的安全措施。實驗內(nèi)容:防病毒軟件的安裝和使用、IE對安全區(qū)的設置、檢測活動內(nèi)容、處理cookie。實驗3:中銀電子錢包及網(wǎng)上銀行:通過本次實驗了解電子錢包、電子信用卡在網(wǎng)上支付中的功能及使用過程。實驗內(nèi)容:中銀電子錢包的使用、個人網(wǎng)上銀行專業(yè)版的設置及使用。實驗4:個人數(shù)字證書:通過本次實驗了解數(shù)字證書的基本類型,個人數(shù)字證書的下載安裝。實驗內(nèi)容:個人數(shù)字證書的下載、安裝、查看、導入和導出。實驗5:SSL證書申請:通過本次實驗了解利用Microsoft IIS Web Server申請SSL證書的基本流程。實驗內(nèi)容:在Microsoft IIS上生成公私鑰對和證書請求、保存證書請求文件、安裝CA中心的根證書、安全Web Server證書。
電子商務安全是一門實踐性很強的課程,有難度且極具挑戰(zhàn)性,因此,電子商務安全的實踐教學應該根據(jù)學生的實際情況酌情安排。筆者在幾年的課程教學過程中嘗試了一些改進本課程教學的方法??偨Y(jié)得出:最優(yōu)方式是讓學生置身于其中,讓學生積極參與其中,享受創(chuàng)造的樂趣。經(jīng)過對本實踐課程安排前后的對比發(fā)現(xiàn),學生對本課程的興趣有極大提高,對理論教學部分的理解也大大加深。
參考文獻:
[1]曹鳳月.課堂實踐教學:高校實踐教學的基礎環(huán)節(jié)[J].中國勞動關系學院學報,2009,4(23):106-109.
[2]鄭春龍,邵紅艷.以創(chuàng)新實踐能力培養(yǎng)為目標的高校實踐教學體系的構(gòu)建與實施[J].中國高教研究,2007,(4):85-86.
[3]朱正偉,劉東燕,何敏.加強高校實踐教學的探索與實踐[J].中國大學教育,2007,(2):76-78.