商務(wù)公司的信息安全策略

　　商務(wù)公司的信息安全策略【1】

　　【文章摘要】如何建立一個安全、便捷的電子商務(wù)應(yīng)用環(huán)境，對信息提供足夠的保護(hù)，已經(jīng)成為十分關(guān)注的問題。

　　所以本文選擇對商務(wù)公司的網(wǎng)絡(luò)信息安全進(jìn)行研究分析，并給出相應(yīng)的對策，具有重要的現(xiàn)實意義。

　　【關(guān)鍵詞】

　　電子商務(wù);信息安全;技術(shù)

　　0 引言

　　由于Internet及其應(yīng)用在全球范圍內(nèi)的迅速普及，企業(yè)信息化建設(shè)也有了更進(jìn)一步的發(fā)展，電子商務(wù)使得企業(yè)信息系統(tǒng)更加的完善，也更加方便快捷的滿足了現(xiàn)在社會的需求。

　　因此，電子商務(wù)必將成為21世紀(jì)最先進(jìn)、最有效、最迅速、最全面的經(jīng)營交易方式。

　　但是與此同時，由于它的網(wǎng)絡(luò)普及性，又給企業(yè)信息系統(tǒng)帶來了更多的不安全因素，尤其是互聯(lián)網(wǎng)絡(luò)所固有的開放性與資源共享性，導(dǎo)致網(wǎng)上交易的安全性受到嚴(yán)重挑戰(zhàn)。

　　1 商務(wù)公司信息安全存在的問題分析

　　1.1 商務(wù)公司網(wǎng)絡(luò)交易信息的保密問題

　　一是傳輸過程中的數(shù)據(jù)截獲。

　　作為商務(wù)公司這樣一家以電子商務(wù)信息接受發(fā)布為主體的公司來說，電子商務(wù)系統(tǒng)中的數(shù)據(jù)在傳輸過程中很容易受到截獲。

　　攻擊者可能通過互連網(wǎng)、公共電話網(wǎng)、搭線或在電磁波輻射范圍內(nèi)安裝截收裝置等方式，截獲傳輸?shù)臋C密信息，或通過對信息量和流向等參數(shù)的分析，獲取有用的信息。

　　二是傳輸過程中的數(shù)據(jù)完整性破壞。

　　攻擊者可能從三個方面破壞信息的完整性：篡改，即改變信息流的次序，更改信息的內(nèi)容，如購買商品的出貨地址;刪除，即刪除某個消息或消息的某部分;插入，即在消息中插入一些信息。

　　因此，防止傳輸過程中的數(shù)據(jù)破壞是非常重要的。

　　三是跨平臺數(shù)據(jù)交換引起的數(shù)據(jù)丟失。

　　Internet的發(fā)展使電子商務(wù)由最初的單一的、普通的封閉式電子數(shù)據(jù)交換(EDI)系統(tǒng)，逐步向跨平臺的多信源電子商務(wù)互聯(lián)網(wǎng)轉(zhuǎn)變。

　　在同一個電子商務(wù)網(wǎng)絡(luò)中，可能同時存在多個操作系統(tǒng)，有多種型號的電腦設(shè)備，使用多種數(shù)據(jù)傳輸介質(zhì)，并要求同時支持多國語言。

　　如果平臺之間的兼容性存在問題，有可能導(dǎo)致電子商務(wù)系統(tǒng)中數(shù)據(jù)的丟失。

　　1.2 訪客身份驗證和信息真實性問題

　　一是交易身份的真實性。

　　交易者身份的真實性是指交易雙方確實是存在的，不是假冒的。

　　網(wǎng)上交易的雙方相隔很遠(yuǎn)，互不了解，要使交易成功，必須互相信任，確認(rèn)對方是真實存在的，對商家要考慮客戶是不是騙子，對客戶要考慮商店是不是黑店，是否有信譽。

　　所以，驗證交易者的身份也就勢在必行了。

　　二是黑客和商業(yè)間諜的攻擊。

　　攻擊者可以分為黑客和商業(yè)間諜。

　　黑客指利用不正當(dāng)?shù)氖侄胃`取計算機網(wǎng)絡(luò)系統(tǒng)的口令和密碼，從而非法進(jìn)入計算機網(wǎng)絡(luò)的人。

　　他們篡改用戶數(shù)據(jù)，搜索和盜竊私人文件，甚至破壞整個系統(tǒng)的信息，導(dǎo)致網(wǎng)絡(luò)癱瘓。

　　三是信息的有效性。

　　電子商務(wù)以電子形式取代了紙張，那么如何保證這種電子形式貿(mào)易信息的有效性則是開展電子商務(wù)的前提。

　　一旦簽訂交易協(xié)議后，這項交易就應(yīng)受到保護(hù)以防止被篡改或偽造。

　　交易的有效性在其價格、期限及數(shù)量作為協(xié)議一部分時尤為重要，必須保證貿(mào)易數(shù)據(jù)在確定價格、期限、數(shù)量以及確定時刻、地點時是有效的。

　　1.3 商務(wù)公司的數(shù)據(jù)加密的問題

　　一是信息的截獲和竊取。

　　如同上一節(jié)所提出的數(shù)據(jù)傳輸過程中的截獲相同，如果沒有采用加密措施或加密強度不夠，攻擊者可以通過互聯(lián)網(wǎng)，公共電話網(wǎng)等途徑推出有用信息，如消費者的銀行帳號，密碼以及企業(yè)的商業(yè)機密等。

　　二是信息的篡改。

　　當(dāng)攻擊者熟悉了網(wǎng)絡(luò)信息格式后，通過各種技術(shù)方法和手段對網(wǎng)絡(luò)傳輸?shù)男畔⑦M(jìn)行中途修改，并發(fā)往目的地，從而破壞信息的完整性，達(dá)到破壞雙方交易得目的。

　　三是信息的假冒。

　　當(dāng)攻擊者掌握了網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密了商務(wù)信息以后，可以假冒合法用戶或發(fā)送假冒信息來欺騙其他用戶。

　　主要有兩種方式：一種是偽造電子郵件。

　　另一種是假冒他人身份。

　　2 關(guān)于商務(wù)公司信息安全問題的對策

　　2.1 關(guān)于商務(wù)公司會員及產(chǎn)品信息保密性問題的對策

　　在電子商務(wù)中，傳送的文件則是通過數(shù)字簽名來證明當(dāng)事人身份和數(shù)據(jù)的真實有效性的。

　　數(shù)字簽名技術(shù)就是利用數(shù)據(jù)加解密技術(shù)、數(shù)據(jù)變換技術(shù)，根據(jù)某種協(xié)議來產(chǎn)生一個反映被簽署文件和簽署人特性的數(shù)字化簽名。

　　數(shù)字簽名涉及被簽署文件和簽署人兩個主體，密碼技術(shù)是數(shù)字簽名的技術(shù)基礎(chǔ)采用公開密鑰要比采用常規(guī)密鑰算法更容易實現(xiàn)。

　　將數(shù)字簽名技術(shù)應(yīng)用于商務(wù)公司的日常運營中，可以解決數(shù)據(jù)的否認(rèn)、偽造、篡改及冒充等問題。

　　2.2 關(guān)于訪客身份驗證和所得信息真實性問題的對策

　　一個是確認(rèn)信息發(fā)送者的身份;另一個是驗證信息的完整性，即確認(rèn)信息在傳送或存儲過程中未被篡改過。

　　認(rèn)證是為了防止有人對系統(tǒng)進(jìn)行主動攻擊的一種重要技術(shù)。

　　想要解決驗證信息和訪客的真實性問題，采用信息認(rèn)證技術(shù)就事在必行。

　　信息認(rèn)證技術(shù)包括了，數(shù)字簽名技術(shù)、身份認(rèn)證技術(shù)兩項。

　　2.2.1 采用數(shù)字簽名技術(shù)

　　數(shù)字簽名技術(shù)是電子商務(wù)交易中的一項非常重要的技術(shù)。

　　在電子商務(wù)中，完善的數(shù)字簽名技術(shù)應(yīng)具備簽字方不能抵賴、他人不能偽造、在公正人面前能夠驗證真?zhèn)文芰Α?/p>

　　如今被廣泛應(yīng)用的數(shù)字簽名技術(shù)主要主要包括以下三種：RSA簽名、DSS簽名和HASH簽名。

　　這三種方法可單獨使用，也可綜合在一起使用。

　　2.2.2 采用身份認(rèn)證技術(shù)

　　身份認(rèn)證機制包括兩部分，即數(shù)字證書(DC：Digital Certificate)和證書授權(quán)機構(gòu)(CA：Certificate Authority)。

　　電子商務(wù)證書就是這樣一種由權(quán)威機構(gòu)發(fā)放的用來證明身份的事物。

　　數(shù)字證書又稱數(shù)字憑證，是用電子手段來證實一個用戶身份和對網(wǎng)絡(luò)資源的訪問權(quán)限。

　　證書是一份文檔，它記錄了用戶的公開密鑰和其它身份信息，如名字和E-mail地址。

　　它是一個經(jīng)證書授權(quán)中心數(shù)字簽名的文件。

　　一般情況下，證書中還包括密鑰的有效時間、發(fā)證機關(guān)(證書授權(quán)中心)的名稱以及該證書的序列號等信息。

　　在網(wǎng)上的電子交易中，如果交易雙方都出示各自的數(shù)字證書，那么雙方都可不必對對方身份的真?zhèn)螕?dān)心。

　　數(shù)字證書有三種類型：個人數(shù)字證書、企業(yè)證書和軟件證書。

　　其中個人數(shù)字證書和企業(yè)證書是常用的證書。

　　大部分認(rèn)證中心提供前兩種證書。

　　2.3 關(guān)于商務(wù)公司數(shù)據(jù)加密問題的對策

　　2.3.1 采用單密鑰密碼體制

　　單鑰密碼體制又稱對稱密鑰加密，其特點是采用相同的加密算法并只交換共享的專用密鑰。

　　對于商務(wù)公司來說，因為他是以信息匯總和發(fā)布為主要經(jīng)營目的的商務(wù)網(wǎng)站，因此，他的日常信息處理量會很頻繁、很復(fù)雜、也很巨大。

　　所以，考慮這方面的問題我們應(yīng)該盡可能的減少公司的運營負(fù)荷及工作量。

　　2.3.2 采用雙鑰密碼體制

　　雙鑰密碼體制又稱非對稱密碼體制或公鑰體制，與對稱加密算法不同的是，使用公開密鑰算法時，密鑰被分解為一對，即公開密鑰或?qū)Ｓ妹荑�。

　　公開密鑰通過非保密方式向他人公開，而專用密鑰加以保存。

　　作為密鑰加密體制的另一種方法，雖然，在電子商務(wù)的公司中不是應(yīng)用的很廣泛，但是，如果作為像商務(wù)公司這樣要求信息保密性很高的企業(yè)，采用多元的，多方位的加密技術(shù)也是很有必要的。

　　這是一種只交換保密電文而不交換保密算法本身的方法，使用一對相互匹配的加解密密鑰，每個密鑰進(jìn)行單向的數(shù)據(jù)變換。

　　當(dāng)一個密鑰進(jìn)行加密時，只有相對應(yīng)的另一個密鑰才能解密。

　　2.3.3 采用虛擬專用網(wǎng)(VPN)技術(shù)

　　根據(jù)商務(wù)公司所出現(xiàn)的漏洞情況，除了以上的密鑰加密、身份認(rèn)證等技術(shù)外，在企業(yè)內(nèi)部建立局域網(wǎng)，并將它和英特網(wǎng)及虛擬專用網(wǎng)結(jié)合起來，也會很好的查補信息安全上的漏缺。

　　目前VPN主要采用三項技術(shù)來保證信息安全，而多VPN合作使用只是其中的一種方法。

　　電子商務(wù)中物流信息安全策略【2】

　　摘要：電子商務(wù)正在蓬勃發(fā)展，其最終目的是商品的流通，物流配送是電子商務(wù)不可缺少的重要環(huán)節(jié)，保證其信息安全至關(guān)重要。

　　本文論述物流在電子商務(wù)中的作用、實現(xiàn)過程，闡述影響物流信息安全的因素及防護(hù)策略，并用C語言編程詮釋數(shù)據(jù)加密技術(shù)的實現(xiàn)。

　　關(guān)鍵詞：電子商務(wù) 物流 信息安全 數(shù)據(jù)加密

　　當(dāng)今世界網(wǎng)絡(luò)，通信和信息技術(shù)飛速發(fā)展，Internet在全球迅速普及，使得商務(wù)空間發(fā)展到全球的規(guī)模，促進(jìn)企業(yè)組織改革自己的思維觀念、組織結(jié)構(gòu)、戰(zhàn)略方針和運行方式來適應(yīng)全球性的發(fā)展變化。

　　電子商務(wù)就是適應(yīng)以全球為市場而出現(xiàn)和發(fā)展起來的一種新的商貿(mào)模式，通過網(wǎng)絡(luò)技術(shù)快速而有效地進(jìn)行各種商務(wù)行為，即在商務(wù)運作的整個過程中實現(xiàn)交易無紙化、直接化。

　　電子商務(wù)可以使商家與供應(yīng)商，在全球市場上銷售產(chǎn)品;也可以讓用戶足不出戶在全球范圍內(nèi)選擇最佳商品，享受全過程的電子服務(wù)。

　　一、物流在電子商務(wù)流程中的作用

　　電子商務(wù)對象是整個交易過程，任何一筆交易都由信息流、商流、資金流和物流等四個基本部分組成。

　　開展電子商務(wù)的最終目的是為了解決信息流和資金流處理上的延遲，從而提高對物流過程管理的現(xiàn)代化水平，進(jìn)一步提高現(xiàn)代化物流速度。

　　物流做為網(wǎng)上電子交易的最后一個過程，執(zhí)行結(jié)果的好壞將對電子交易的成敗起著十分重要的作用，是實現(xiàn)電子商務(wù)的重要環(huán)節(jié)和基本保證。

　　電子商務(wù)必須有現(xiàn)代化的物流技術(shù)的支持，才能體現(xiàn)出其所具有的無可比擬的先進(jìn)性和優(yōu)越性，在最大限度上使交易雙方得到便利，獲得效益。

　　二、電子商務(wù)流程中物流的實現(xiàn)

　　在電子商務(wù)中，信息流、商流、資金流的處理可以通過計算機和網(wǎng)絡(luò)通信設(shè)備實現(xiàn)。

　　對于有形的商品和服務(wù)來說，物流仍然要由物理的方式進(jìn)行傳輸;對于無形的商品及服務(wù)如各種電子出版物、信息咨詢服務(wù)以及有價信息軟件等，可以直接通過網(wǎng)絡(luò)傳輸?shù)姆绞竭M(jìn)行電子化配送。

　　電子商務(wù)環(huán)境下的物流，通過機械化和自動化工具的應(yīng)用和準(zhǔn)確、及時的物流信息對物流過程的監(jiān)控，使物流的速度加快、準(zhǔn)確率提高，能有效地減少庫存，縮短生產(chǎn)周期。

　　三、電子商務(wù)中物流信息安全問題

　　物流正在向信息化、自動化、網(wǎng)絡(luò)化和智能化的方向發(fā)展，越來越依賴于網(wǎng)絡(luò)傳輸信息的安全性能。

　　由于Internet具有開放性和匿名性，其安全問題變得越來越突出。

　　物流信息在網(wǎng)絡(luò)傳輸過程中，經(jīng)常會遭到黑客的攔截、竊取、篡改、盜用、監(jiān)聽等惡意破壞，給商戶帶來重大損失。

　　以各種非法手段企圖入侵計算機網(wǎng)絡(luò)的黑客，其惡意攻擊構(gòu)成電子商務(wù)系統(tǒng)中網(wǎng)絡(luò)安全的最大威脅，已經(jīng)成為物流信息安全的最大隱患。

　　黑客攻擊經(jīng)常使用的手段有：

　　1、獲取口令

　　有三種方法：一是精心偽造一個登錄頁面，并嵌入到相關(guān)網(wǎng)頁上，當(dāng)商戶鍵入登錄信息(用戶名和密碼等)后，將這些信息傳送到黑客的主機，然后關(guān)閉頁面給出“系統(tǒng)故障”等提示，要求商戶重新登錄，此后才出現(xiàn)真正的登錄頁面。

　　二是通過網(wǎng)絡(luò)監(jiān)聽得到商戶口令，監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶賬號和口令，對LAN威脅巨大。

　　三是知道商戶賬號后利用一些專門軟件強行破解商戶口令。

　　2、郵件炸彈

　　用偽造的IP地址和電子郵件地址向商戶信箱發(fā)送無數(shù)封內(nèi)容相同的惡意郵件，擠滿郵箱，把正常郵件沖掉。

　　同時占用大量網(wǎng)絡(luò)資源，導(dǎo)致網(wǎng)路阻塞，甚至使電子郵件服務(wù)器癱瘓。

　　3、特洛伊木馬

　　在商戶的電腦中隱藏一個會在系統(tǒng)啟動時運行的程序，采用服務(wù)器/客戶機的運行方式，在上網(wǎng)時控制商戶電腦，竊取口令、瀏覽商戶的驅(qū)動器、修改商戶文件和登錄注冊表等。

　　4、誘敵深入

　　黑客編寫“合法”程序，上傳到FTP站點或提供給個人主頁誘導(dǎo)客戶。

　　當(dāng)客戶下載該軟件時，黑客的軟件一并進(jìn)入客戶的計算機上，跟蹤客戶的操作，記錄客戶輸入的每一個口令，發(fā)送到黑客指定的E-mail中。

　　5、尋找漏洞

　　尋找攻擊目標(biāo)的系統(tǒng)安全漏洞或安全弱點，以便獲取攻擊目標(biāo)系統(tǒng)的非法訪問權(quán)。

　　四、物流信息安全防護(hù)策略

　　合法商戶進(jìn)行網(wǎng)上查詢、交易雙方業(yè)務(wù)洽談、買方下訂單并得到賣方確認(rèn)、商品配送、售后服務(wù)、技術(shù)支持等在線操作時對商務(wù)數(shù)據(jù)的安全需求比較高，同時希望私有信息(口令、賬戶數(shù)據(jù)等)保密。

　　采用身份認(rèn)證和數(shù)據(jù)加密技術(shù)能夠保護(hù)商戶私人信息及商務(wù)數(shù)據(jù)在公共網(wǎng)絡(luò)上傳輸時不被竊聞、篡改、頂替及非法使用。

　　1、身份驗證

　　采用數(shù)字證書身份認(rèn)證加上口令認(rèn)證的雙因子身份認(rèn)證技術(shù)。

　　每個企業(yè)用戶應(yīng)該申請一張數(shù)字證書，上網(wǎng)進(jìn)行賬戶查詢時，網(wǎng)上銀行系統(tǒng)首先驗證該用戶數(shù)字證書是否合法，然后將查詢請求和口令一起發(fā)送給業(yè)務(wù)前置機，對口令再次進(jìn)行認(rèn)證。

　　當(dāng)服務(wù)器獲得用戶證書后，還要檢索該證書是否在廢止證書列表之中。

　　對于個人用戶，可以采用對口令加密的方式進(jìn)行身份驗證，不需要申請證書，比較方便。

　　2、數(shù)據(jù)加密

　　物流信息在網(wǎng)絡(luò)中傳輸時，通常不是以明文方式而是以密文的方式進(jìn)行通信傳輸。

　　因為以明文傳輸?shù)男畔��?shù)據(jù)，一旦被他人截獲會輕而易舉地被讀懂、竊取盜用及篡改，很難保證物流配送活動的機密性、可靠性和安全性。

　　下面利用C語言編程實現(xiàn)替換加密方法。

　　Caesar(愷撒)密碼是一種最古老的技術(shù)，將明文中每個字母替換為字母表中其后面固定數(shù)目位置的字母。

　　如要傳輸?shù)拿魑氖恰癐 am a teacher!”，經(jīng)過加密，密鑰為5，對方接收到的密文是“N fr f yjfhmjw!”，對第三方來說，這是毫無意義的一串字符，避免了泄密。

　　合法接收方進(jìn)行解密，又會得到“I am a teacher!”字符串。

　　加密算法代碼如下：

　　#include "string.h"

　　main()

　　{ int i,ld, newasc;

　　char mingwen[20], miwen[20], c;

　　strcpy(mingwen,"I am a teacher!"); /*明文*/

　　ld = strlen(mingwen);

　　for (i=0; i　　{ c =mingwen[i];

　　if (c>='A' && c<='Z')

　　{ newasc = c + 5; /*密鑰為5*/

　　if (newasc > 'Z')newasc = newasc - 26 ;

　　miwen[i] = newasc;}

　　else if (c>='a' && c<='z')

　　{ newasc = c + 5 ;

　　if (newasc >'z') newasc = newasc - 26;

　　miwen[i] = newasc ; }

　　else

　　miwen[i] =c;

　　}

　　for(i=0;i　　}

　　數(shù)據(jù)加密后傳輸，一定程度上保證了信息的安全性，密鑰的保密是很關(guān)鍵的。

　　否則，網(wǎng)絡(luò)攻擊者掌握加密、解密算法，又得到密鑰，對合法商戶會造成致命的損失。

　　因此加強對密鑰的管理，要貫穿于密鑰的整個生存期：密鑰的生成、驗證、傳遞、保管、使用和銷毀。

　　電子商務(wù)作為網(wǎng)絡(luò)時代的一種全新的交易模式，相對于傳統(tǒng)商務(wù)是一場革命。

　　電子商務(wù)的優(yōu)勢之一就是能大大簡化業(yè)務(wù)流程，降低企業(yè)運作成本。

　　而電子商務(wù)企業(yè)成本優(yōu)勢的建立和保持必須以可靠和高效的物流運作作為保證。

　　所以，加大力度防護(hù)物流信息的安全，大力發(fā)展現(xiàn)代化物流，電子商務(wù)才能得到更好的發(fā)展。

　　作者單位：渤海大學(xué)

　　參考文獻(xiàn)：

　　[1]曹淑艷.電子商務(wù)應(yīng)用基礎(chǔ)[M].北京：清華大學(xué)出版社，2005.9.

　　[2]神龍工作室.新手學(xué)上網(wǎng)[M].北京：人民郵電出版社，2003.9.

　　[3]林強,黃云森.電子商務(wù)基礎(chǔ)教程(第二版)[M].北京：清華大學(xué)出版社，2005.10.

　　企業(yè)電子商務(wù)網(wǎng)站的安全策略【3】

　　1 概述

　　目前，網(wǎng)上電子交易已經(jīng)隨著因特網(wǎng)的普及逐漸被人們所接受和應(yīng)用，網(wǎng)絡(luò)購物、網(wǎng)上繳費等方式極大的方便了人們的生活，越來越多的人開始利用網(wǎng)絡(luò)來進(jìn)行交易。

　　電子商務(wù)網(wǎng)站的有效運作，依靠的是完全開放的互聯(lián)網(wǎng)，而這個網(wǎng)絡(luò)當(dāng)中的任何電腦之間、網(wǎng)絡(luò)之間都是互通的，安全和不安全的數(shù)據(jù)都可能在傳遞，各種風(fēng)險隨時對電子商務(wù)的安全構(gòu)成威脅。

　　電子商務(wù)正在規(guī)�；�和全球化，企業(yè)的發(fā)展在很大程度上都依賴于它，所以，電子商務(wù)網(wǎng)站的安全問題必須得到有效的解決，才能保證它的正常運轉(zhuǎn)。

　　2 電子商務(wù)網(wǎng)站的安全策略

　　電子商務(wù)依靠的是互聯(lián)網(wǎng)，其核心和關(guān)鍵問題就是交易的安全性。

　　正是由于網(wǎng)絡(luò)本身的開放性給網(wǎng)上交易帶來了種種危險，才要更加注重它的安全控制。

　　電子商務(wù)網(wǎng)站的安全問題可以從兩個方面進(jìn)行探討和分析，一是系統(tǒng)安全，二是數(shù)據(jù)安全，并且可以利用一些先進(jìn)的技術(shù)手段加以解決。

　　2.1 系統(tǒng)安全

　　信息安全對于企業(yè)來說很重要，而信息安全的前提是系統(tǒng)安全。

　　系統(tǒng)安全主要包括網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和應(yīng)用系統(tǒng)3個方面。

　　系統(tǒng)安全可以采用的技術(shù)手段有網(wǎng)絡(luò)隔離、訪問控制、身份鑒別、數(shù)據(jù)加密、監(jiān)控評估等技術(shù)。

　　2.1.1 網(wǎng)絡(luò)系統(tǒng)

　　網(wǎng)絡(luò)系統(tǒng)的安全問題主要是由于網(wǎng)絡(luò)的開放性造成的，解決問題的關(guān)鍵是把網(wǎng)絡(luò)從開放、自由的環(huán)境中分離出來，使其變成可以控制和管理的獨立網(wǎng)絡(luò)，就目前的技術(shù)發(fā)展來看，可以采用下列方法解決系統(tǒng)安全問題。

　　1)系統(tǒng)隔離，就是將重要的網(wǎng)絡(luò)系統(tǒng)與其他系統(tǒng)分離，有物理隔離和邏輯隔離。

　　按照網(wǎng)絡(luò)安全等級的不同可以將網(wǎng)絡(luò)合理劃分為多個互不連通的網(wǎng)絡(luò)，使不同安全級別的網(wǎng)絡(luò)或設(shè)備不能相互訪問，從而達(dá)到安全隔離。

　　也可以采用VLAN等網(wǎng)絡(luò)技術(shù)對業(yè)務(wù)網(wǎng)絡(luò)或辦公網(wǎng)絡(luò)實行邏輯上的隔離，劃分出不同的應(yīng)用子網(wǎng);2)訪問控制，通過設(shè)置有效合理的訪問策略，對于不同區(qū)域的網(wǎng)絡(luò)資源實行訪問控制，防止非法用戶訪問受保護(hù)的資源，其主要解決的問題就是網(wǎng)絡(luò)邊界的安全控制和網(wǎng)絡(luò)內(nèi)部資源的訪問控制。

　　可以按照一定的原則根據(jù)需要對信息的流向進(jìn)行單向或雙向控制。

　　能夠設(shè)置訪問控制的網(wǎng)絡(luò)設(shè)備有很多，比如交換機、路由器，而最重要也是最有效的則是防火墻，它通常被布置在網(wǎng)絡(luò)的出入口處，對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)信息進(jìn)行有效的檢測和過濾，同時按照訪問控制列表和安全政策對信息流進(jìn)行控制，允許合理有效的數(shù)據(jù)通過，將不安全和不符合要求的數(shù)據(jù)拒之網(wǎng)外;3)身份鑒定，對訪問網(wǎng)絡(luò)的用戶進(jìn)行身份識別，通�？梢允褂萌�種方式對訪問者進(jìn)行身份驗證，一是訪問者了解的安全信息，比如賬號、密碼、密鑰等;二是訪問者提供的物件，比如訪問磁卡、通用IC卡、動態(tài)口令卡等;三是訪問者自身的特征信息，比如聲音、指紋、視網(wǎng)膜、筆跡等。

　　身份鑒定的目的就是阻止非法用戶訪問這些被加密的數(shù)據(jù)，而加密是為了防止網(wǎng)絡(luò)數(shù)據(jù)被竊聞、泄漏、篡改和破壞;4)安全監(jiān)測，利用網(wǎng)絡(luò)設(shè)備的高級功能和技術(shù)，通過分析來訪數(shù)據(jù)信息，找出未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問和非法行為，包括對網(wǎng)絡(luò)系統(tǒng)的掃描、跟蹤、預(yù)警、阻斷、記錄等，從而將系統(tǒng)遭受的攻擊傷害減少到最低。

　　除了網(wǎng)絡(luò)設(shè)備，還可利用一些專業(yè)的網(wǎng)絡(luò)掃描監(jiān)測系統(tǒng)來對付黑客和非法入侵，這些系統(tǒng)能夠主動、實時、有效的識別出非法數(shù)據(jù)和用戶，并且通過網(wǎng)絡(luò)掃描能夠針對網(wǎng)絡(luò)設(shè)備的安全漏洞進(jìn)行檢測和分析，包括網(wǎng)絡(luò)服務(wù)、防火墻、路由器、郵件服務(wù)器、網(wǎng)站服務(wù)器等，從而識別那些可以被入侵者利用并非法進(jìn)入的網(wǎng)絡(luò)漏洞。

　　網(wǎng)絡(luò)掃描系統(tǒng)對檢測到的漏洞信息形成詳細(xì)報告并提供改進(jìn)方案，使網(wǎng)絡(luò)管理人員能檢測和管理好安全風(fēng)險。

　　2.1.2 操作系統(tǒng)

　　操作系統(tǒng)，實際上就是電腦管理控制程序，是管理計算機軟硬件資源的核心系統(tǒng)，負(fù)責(zé)設(shè)備的管理、數(shù)據(jù)的存儲、信息的發(fā)送和各種系統(tǒng)資源的調(diào)度，它是各種應(yīng)用軟件的系統(tǒng)平臺，具有通用性和易用性，操作系統(tǒng)的安全直接影響到應(yīng)用系統(tǒng)和數(shù)據(jù)的安全，一般分為應(yīng)用安全和系統(tǒng)掃描。

　　1)應(yīng)用安全，面向應(yīng)用選擇可靠的操作系統(tǒng)，可以杜絕使用來歷不明的軟件。

　　用戶可安裝操作系統(tǒng)保護(hù)與恢復(fù)軟件，并作相應(yīng)的備份;2)系統(tǒng)掃描，基于主機的安全評估系統(tǒng)是對系統(tǒng)的安全風(fēng)險級別進(jìn)行劃分，并提供完整的安全漏洞檢查列表，通過不同版本的操作系統(tǒng)進(jìn)行掃描分析，對掃描漏洞自動修補形成報告，保護(hù)應(yīng)用程序、數(shù)據(jù)免受盜用、破壞。

　　2.1.3 應(yīng)用系統(tǒng)

　　1)文件的安全存儲：利用各種加密手段，結(jié)合相應(yīng)的身份鑒定和密碼保護(hù)機制，使存儲在本地或者網(wǎng)絡(luò)上的重要文件處于安全存儲的狀態(tài)，即便他人通過非法手段獲取到了文件或存儲設(shè)備，也難以取得文件里的內(nèi)容;2)文件的安全傳遞：對通過網(wǎng)絡(luò)發(fā)送的文件進(jìn)行安全處理，比如加密、簽名、完整性鑒別等，使被傳送的文件只有指定的接收者通過相應(yīng)的安全鑒別機制才能解密并閱讀，避免了文件在傳送或存儲的過程當(dāng)中被截獲、篡改和破壞等;3)業(yè)務(wù)服務(wù)安全：主要面向業(yè)務(wù)管理和信息服務(wù)的安全需求。

　　對于各種通用信息服務(wù)，如WEB信息服務(wù)、FTP服務(wù)、電子郵件服務(wù)等服務(wù)，采用相應(yīng)安全軟件系統(tǒng)進(jìn)行保護(hù)，如安全郵件系統(tǒng)、WEB頁面保護(hù)等;對于各種業(yè)務(wù)信息可以配合專業(yè)管理信息系統(tǒng)軟件采取對信息內(nèi)容的安全保護(hù)，防止外部非法侵入和內(nèi)部信息泄漏。

　　2.2 數(shù)據(jù)安全

　　信息數(shù)據(jù)的安全主要包含了數(shù)據(jù)庫的安全和數(shù)據(jù)本身的安全，這兩個方面的安全問題都必須得有相應(yīng)的安全措施，才能確保數(shù)據(jù)安全。

　　1)數(shù)據(jù)庫安全，目前很多企業(yè)使用的數(shù)據(jù)庫都是SQL Server或者ORACLE大型數(shù)據(jù)庫，這些數(shù)據(jù)庫系統(tǒng)本身具備一定的安全性，安全級別可以滿足日常需求。

　　但是由于數(shù)據(jù)庫十分重要，應(yīng)在此基礎(chǔ)上再采取一些安全措施，增加相應(yīng)安全組件，改良密碼策略，對數(shù)據(jù)庫實施分級管理并提供可靠的故障恢復(fù)機制，實現(xiàn)數(shù)據(jù)庫的訪問、存取和加密控制。

　　具體方法有安全數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)庫保密系統(tǒng)、數(shù)據(jù)庫掃描系統(tǒng)等;2)數(shù)據(jù)安全，即存儲在數(shù)據(jù)庫中的數(shù)據(jù)本身的安全，相應(yīng)的保護(hù)措施有安裝反病毒軟件和防火墻軟件，建立一套可靠的數(shù)據(jù)備份與恢復(fù)系統(tǒng)，定期對數(shù)據(jù)進(jìn)行備份，定期修改數(shù)據(jù)庫密碼，必要時可以對重要數(shù)據(jù)采取多層加密保護(hù)。

　　2.3 交易安全

　　網(wǎng)上交易安全是用戶最關(guān)心的問題，只有提供穩(wěn)定的安全保證，在線交易用戶才會具有安全感，才會覺得交易平臺可靠，電子商務(wù)網(wǎng)站才會具有廣闊的發(fā)展空間。

　　1)交易安全標(biāo)準(zhǔn)，目前在電子商務(wù)中主要的安全標(biāo)準(zhǔn)有兩種：應(yīng)用層的SET(安全電子交易)和會話層SSL(安全套層)協(xié)議。

　　前者由信用卡機構(gòu)VISA及MasterCard提出的針對電子錢包、商場、認(rèn)證中心的安全標(biāo)準(zhǔn)，SET的關(guān)鍵特征是信息的機密性、數(shù)據(jù)的可靠性、卡用戶賬號的鑒別、商人的鑒別，主要用于銀行等金融機構(gòu)。

　　后者由NETSCAPE公司提出的針對數(shù)據(jù)的機密性、完整性、開放性和身份確認(rèn)的安全協(xié)議，它可以保證數(shù)據(jù)不被竊取和破壞，此協(xié)議已經(jīng)成為WEB應(yīng)用安全標(biāo)準(zhǔn);2)交易安全基礎(chǔ)體系，交易安全的基礎(chǔ)是現(xiàn)代密碼學(xué)技術(shù)，主要取決去于加密方法和加密強度。

　　加密分為單密鑰的對稱加密體系和雙密鑰的非對稱加密體系。

　　兩者各有所長，對稱密鑰具有加密效率高，但存在密鑰分發(fā)困難、管理不便的弱點。

　　非對稱密鑰加密速度慢，但便于密鑰分發(fā)管理。

　　通常把兩者結(jié)合使用，以達(dá)到高效安全的目的;3)交易安全的實現(xiàn)，交易安全的實現(xiàn)主要是指交易雙方身份確認(rèn)、交易指令及數(shù)據(jù)加密傳輸、數(shù)據(jù)的完整性、防止雙方對交易結(jié)果的否認(rèn)等等。

　　具體實現(xiàn)的途徑是交易各方具有相關(guān)身份證明，同時在SSL協(xié)議體系下完成交易過程中電子證書驗證、數(shù)字簽名、指令數(shù)據(jù)的加密傳輸、交易結(jié)果確認(rèn)審計等。

　　3 結(jié)論

　　企業(yè)電子商務(wù)網(wǎng)站的安全，需要一個完整的綜合保障體系，要采用綜合防范的思路，從技術(shù)、管理、法律等多方面加以認(rèn)識和思考。

　　安全實際上是一種風(fēng)險管理，任何技術(shù)手段都不能夠保證百分之百的安全，但是安全技術(shù)可以降低系統(tǒng)遭到破壞和攻擊的風(fēng)險，在一定程度上保障數(shù)據(jù)的安全。

　　電子商務(wù)正處于蓬勃發(fā)展時期，只有解決了電子商務(wù)中出現(xiàn)的各類問題，才能是電子商務(wù)系統(tǒng)更加安全。

　　參考文獻(xiàn)

　　[1]洪國彬.電子商務(wù)安全與管理[M].北京：電子工業(yè)出版社，2006.

　　[2]賈偉.網(wǎng)絡(luò)與電子商務(wù)安全[M].北京：國防工業(yè)出版社，2006.

　　[3]張福德.電子商務(wù)安全認(rèn)證實用技術(shù)[M].北京：中國對外經(jīng)濟(jì)貿(mào)易出版社，2003.

【商務(wù)公司的信息安全策略】相關(guān)文章：

網(wǎng)絡(luò)與信息安全策略10-05

電子商務(wù)的安全策略10-05

檔案信息安全策略研究論文10-11

校園網(wǎng)信息安全策略10-05

高校教務(wù)檔案信息安全策略10-05

淺析遠(yuǎn)程網(wǎng)絡(luò)信息安全策略論文10-09

云計算下的網(wǎng)絡(luò)信息安全策略研究論文10-08

氣象信息網(wǎng)絡(luò)安全策略及技術(shù)10-05

檔案信息網(wǎng)絡(luò)化及安全策略10-05