电子商务安全与管理论文

电子商务安全与管理论文内容摘要：

击，目前已成为计算机网络所面临的重大威胁，无论个人、企业还是政府机构，只要进入计算机网络，都会感受到黑客带来的网络安全威胁。 大至国家机密，小到个人隐私，还有商业机密，都随时可能被黑客发现并窃取或公布。 黑客的攻击手段和方法多种多样，一般可以粗略的分为以下两种 ：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动 攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息，这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。 计算机病毒攻击 计算机病毒 (Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义为：“指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用，并且能自我复制的一组计算机指令或者程序代码。 ” 目前全球出现的数万种病毒按照基本类型划分，可归为引导型病毒、可执行文件病毒、宏病毒、混合病毒、特洛伊木马 型病毒和Inter 语言病毒等 6 种类型。 计算机病毒作为一种具有破坏性的程序，往往想尽可能将自身隐藏 9 起来，保护自己，但是病毒最根本的目的还是达到其破坏目的。 在某些特定条件被满足的前提下，病毒就会发作，这也就是病毒的破坏性。 有些病毒只是显示一些图片、放一段音乐或者开个玩笑，这类病毒属于良性病毒；而有些病毒则含有明确的目的性，像破坏数据、删除文件、格式化硬盘等，这类病毒属于恶性病毒。 计算机病毒的破坏行为体现了病毒的杀伤能力，病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能力。 安全产品使用不当 虽然不少网站采取了一些网络安全设备，但由于安全产品本身的问题或使用问题，这些产品并没有起到应有的作用。 很多厂商的安全产品对配置人员的技术背景要求很高，超出对普通网管人员的技术要求，尽管厂商在最初给用户做了正确的安装、配置，但是一旦系统改动，需要改动相关安全产品设置时，很容易产生很多安全问题。 电子商务交易信息传输过程中的安全问题 1. 信息机密性面临的威胁 —— 信息在传输过程中被窃取 2. 信息完整性面临的威胁 —— 信息在传输过程中被篡改、删除或插入 篡改 —— 改变信息流的次序，更改信息的内容。 删 除 —— 删除某个消息或消息的某些部分。 插入 —— 在消息中插入一些信息，让接收方读不懂或接收错误的信息。 3. 交易信息的可认证性面临的威胁 —— 抵赖做过的交易或传输的信 10 息 4. 交易双方身份真实性面临的威胁 —— 假冒他人身份 电子商务企业内部安全管理问题 网络安全管理制度问题 安全管理制度就是明确规定企业内部人员的权限与职责。 内部系统必须明确规定哪些人员可以进入和使用系统，以及具有何种权限，内部人员可以使用哪些 Inter 服务，建立详细的安全审计日志，以便检测并跟踪入侵攻击等。 不仅在管理上制定严格规范 ，还要从技术手段上实行全面保障。 硬件资源的安全管理问题 系统应采取有效措施，保证硬件资源的可用性，例如硬盘或网络连接设备不会在遭受来自本地或网上破坏时处于瘫痪状态，要求具备抵御破坏及发生灾难使其迅速恢复的能力。 要加强主机本身的安全，最好安全配置，即安装安全补丁程序，减少漏洞，要用各种系统漏洞检测软件，定期对网络系统进行扫描分析，找出可能存在的安全隐患，并及时加以修补，从路由器到用户各级建立完善的访问控制措施。 软件和数据的维护与备份安全管理问题 对于重要的软件系统和数据库， 首先应建立备份，其次应该保证软件和数据资源不被滥用和破坏，不会受到病毒的侵袭。 采用数据备份 11 和数据恢复措施，敏感的数据要建立必要的物理或逻辑隔离措施，对在公共网络上传输的敏感信息要进行强度的数据加密。 安装防病毒软件，加强内部网络整体防病毒措施。 电子商务安全法律保障问题 安全的电子商务仅靠单一的手段来保证是不会奏效的，必须依靠法律手段、管理手段和技术手段相结合，最终保护参与电子商务各方的利益。 法律法规的建设已经成为当代电子商务安全、顺利发展的必要条件。 开展电子商务需要在企业和企业之间、 政府和企业之间、企业和消费者之间、政府和政府之间明确各自需要遵守的法律义务和责任。 其主要涉及的法律主要有国际加密问题、网络连接问题、网络隐私问题、域名侵权纠纷问题、电子商务的税收问题，还有电子商务交易中提供参与方合法身份认证的 CA 中心涉及的法律问题，电子合同签订涉及的法律问题，交易后电子记录的证据力问题及网络知识产权的法律问题等。 电子商务安全支付问题 传统支付系统的安全问题是人所共知的，如可以伪造现金、可以伪造签名、可以拒付支票。 在电子商务环境下的网上支付过程中，同样会出现诸多安全问题。 ① 在通信线路上进行窃听，并滥用手机的数据； 12 ② 向经过授权的支付系统参与方发送伪造的消息，以破坏系统的正常运作来盗用交换的财产； ③ 不诚实的支付系统参与方，试图获取并滥用自己无权读取或使用的支付交易数据。 3 电子商务安全的保护措施 电子商务在如今这个飞速发展的社会存在着这么多的安全问题，我们就应从不同的方面采取措施使其安全得到保证。 Inter 基础设施安全 安全范围的建立 在制定网络安全策略的时候，用户必须定义一些程序，以保护网络，防止信息丢失或被破坏。 出于这种观点， 网络安全策略在实施整个用户组织安全策略方面起着重要的作用。 安全方案的重要部分是设置网络防火墙。 网络防火墙可监视通过网络传输的信息，并按照安全策略增加限制。 在任何网络的边界 (如专用网、内部网、外部网或 Inter 之间 )都可查找到边界路由器。 防火墙通常把内部网 (专用网 )和外部网 (公用网 )分离开。 网络安全策略的核心是控制网络传输和 用途。 网络安全策略标识网络资源和威胁，定义网络用途及职责，指出 违反安全策略时应采取的措施。 当用户推行网络安全策略时，网络应有防御边界，这个边界称为周边网络 (Perimeter Networks)。 13 周边网络 为了建立周边网络集合，必须指出 保护的计算机网络并定义保护它们的网络安全机制。 为了有一个成功的网络安全范围，防火墙必须是可信网络与不可信和不可知网络之间的所有通信的网络关。 每个网络可包含多周边网络，周边网络有最远周边、内部周边和最近周边三种类型。 注意多个内部周边与特定资源相关，如内部周边正好在防火墙里。 设置在内部和外部路由器之间的防火墙没提供额外的保护功能，但它却大大的减少了防火墙必须处理的传输量，增加了防火墙的性能。 从外部网络用户的观点看，防 火墙代表所有可进入可信网络的计算机，它定义了两个网络之间的所有通信都是必须经过的聚焦点或阻塞点。 最远周边网络是用户网络设施中最不安全的区域，这个区域一般都设置了路由器、防火墙和公用 Inter 服务器 (如 HTTP， FTP 和Gopher 服务器 )。 这是网络中最容易被访问的区域，因此它经常被袭击。 内部用户使用的敏感信息不可放在最远周边网络上。 下面介绍的预防措施将有助于避免敏感信息被盗或被破坏。 安全设计 周边网络和安全策略的设计需要考虑以下一些内容。 ① 了解敌人 了解敌人是指了解 袭击者或闯入者。 考虑谁将威胁用户的安全信息，并识别其动机，判断他们想做什么以及会给网络造成怎样的危害。 14 安全机制永远也不可能让用户执行未授权的任务，其目的是确保网络安全控制在袭击者的能力或动机之上。 ② 计算开销 安全机制总是要降低网络的方便性，特别是对于那些熟练的用户，安全机制增加延迟，增大管理和教育费用。 安全性要消耗重要的计算机资源并需要专用的硬件。 设计安全机制时，应了解其开销并估计安全机制的性能价格比。 为了做到这一点，用户必须明白机制本身的开销及实施的可能性。 如果。