电子商务网站平台安全性与评价方法.doc

电子商务网站平台安全性与评价方法 学 院：数学与信息科学学院 专 业：电子商务 学生姓名：庞毅强 学 号：201305404114 评阅教师：刘建明 完成日期：2015.6.28内容摘要本文主要论述了电子商务系统的安全性问题，电子商务的安全风险，从电子商务系统的安全技术，安全管理，法律法规这三个方面实施电子商务的安全策略，及如何分析评价电子商务系统的安全性。全文共分为六个部分：（1） 序论，主要介绍电子商务安全问题的有关背景及本文主要的安全与风险；（2）介绍了系统的安全原则；（3）电子商务系的研究内容；（4）电子商务的安全分析；（5）电子商务系统统的安全策略；(6)电子商务系统的安全评价方法。本文首先介绍电子商务的安全问题及由这些问题给电子商务参与者所带来的巨大危害和实施良好的电子商务系统的安全策略的重要性，简要介绍了一下世界其他国家的信息安全评价的标准和文本主要的研究内容。接下来介绍系统安全定义及系统安全的主要原则，电子商务系统的安全问题和电子商务系统的安全风险。然后分析介绍电子商务系统的主要安全问题，电子商务系统面临的主要威胁，个人隐私保护问题，电子商务系统面临的阻断服务攻击问题。电子商务系统的安全策略，重点论述了电子商务系统的主要安全策略，电子商务系统的安全技术策略，电子商务的安全管理策略及法律法规建设。主要包括了加密技术，密钥管理技术，认证技术，安全协议等。安全管理介绍了人员管理，安全审计，安全保密，防病毒策略等。电子商务的安全评价方法，即：电子商务系统的安全性需求与面临的威胁方面；电子商务系统面临的主要威胁与反威胁技术；电子商务系统的安全技术与实施这些技术的工具，通过对这三对关系进行分析与评价就可以确定电子商务系统的安全性，并通过一个框架模型来说明如何评价一个电子商务系统的安全性。本文重点介绍如何评价一个电子商务系统的安全性上，以及如何制定和实施电子商务系统的安全策略，由于电子商务系统的复杂性和涉及的因素比较多，本文主要从一些技术的层面来怎么样分析一个系统的安全性。本文的主要写作目的是为了更好地了解电子商务系统的安全性评价方法，为了以后的学习和实践提供有意的帮助。主题词：电子商务，安全策略，评价方法，安全管理，安全技术1. 序论1.1.背景简介Internet的发展和普及也促使以网络为平台的电子商务的飞速发展。由于 Internet与生俱来的弱点：开放的网络体系给电子商务带来了挑战，那就是安全。安全问题一直是制约电子商务发展的瓶颈。人们担心自己的隐私泄露，担心自己的信用卡被别人盗用。从事电子商务公司同样面临着巨大的交易风险，由于安全问题每年给全球带来十几亿甚至几十亿美元的损失。因而电子商务的安全问题备受人们的关注及其安全专家重视。因而安全技术不断的得到发展的应用。如，加密技术，认证技术，安全认证协议等。这些应用极大的促进了电子商务的发展。电子商务系统的安全因素包括：有效性、机密性、完整性、可靠性、审查能力，还有安全策略管理。因而衡量一个电子商务系统的安全性应该从技术层面和安全管理方面着手，两者缺一不可。另外还要制定相应的法律法规，制定电子商务安全问题的法律法规是电子商务发展的重要保障，只有通过相应的立法才能够阻止不法分子的违法犯罪行为。1.2.国内外电子商务系统的安全策略和评价标准在安全策略方面主要从技术策略、安全管理策略、电子商务法律法规等方面考虑。我国的电子商务安全技术还处在初级发展阶段且越来越成熟，但还是与国外的发达国家有很大的差距，并且还没有比较完善的立法。在信息安全的标准中，众多的标准化组织在安全需求服务分析指导、安全技术机制开发、安全评估标准等方面制定了许多标准及草案。目前国外及安全标准主要有：美国TCSEC(洁皮书）：该标准是美国国防部于1985年制定的，为计算机安全产品的测试和方法，指导信息安全产品的制造与应用。它将安全分为四个方面（安全政策、安全保障和文档、可说明性）和七个安全级别(从低到高依次D、C1、C2、C3、B1、B2、B3和A级）。欧洲ITSEC：1991年，西欧四国（英、法、德、荷）提出了信息安全技术评价标准ITSE，ITSEC首次提出了信息安全的保密性、完整性、可用性概念，把可信计算机概念提高到可信信息技术层面来。他定义了从E0级到E6级等七个安全等级和十种安全功能。ISO安全体系结构标准：国际标准化组织ISO公布了许多安全评价标准。在安全体系结构方面，1989年ISO制订了国际标准化ISO7498-2信息处理系统 开放系统互连 基本参考模型 第2部分 安全体系结构。该标准提供了安全服务与机制的一般描述，确定在参考模型内部可以提供这些服务与机制。国内是等同采用的国际标准。公安部组织制定、国家质量技术监督局发布的国家标准GB17895-1999计算机信息系统安全保护等级划分准则与正式颁布与实施。该准则将信息系统分为五个等级：自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。主要的安全保护考核指标有身份认证、自主访问控制、数据完整性、审计等，这些指标涵盖了不同级别的安全要求。2、 系统的安全和原则2.1系统安全问题开放的系统必然与其所在的环境和其他系统发生信息与能量的交换，因而必然存在信息盗用、信息欺骗、系统非法入侵等一系列危机系统正常运行的问题，这就是系统的安全问题。电子商务系统是开放的系统，他以网络为基础平台和信息传递载体，以计算机等设施为操作工具平台，因而他的安全问题涉及到电子商务系统的每个构件的安全问题，包括信息系统的安全问题、计算机安全、操作安全、信息资源安全、人事安全、实体安全等。同样还包括管理和法律方面等。电子商务系统是一个复杂的系统，因而它涉及的因素非常多，因而要保证电子商务系统的安全，就要保证承载电子商务系统的其他系统的安全，还要研究它的安全问题，从系统的观点出发，分析各个子系统的安全要素，采用相应的安全措施。2.2系统安全的定义1、计算机系统的安全包括计算机网络安全和商务交易安全。计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。商务交易安全则紧紧围绕传统商务在网络上应由存在的各种安全问题，在计算机网络安全的基础上，保证电子商务的正常进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。2、信息系统的安全更强调信息的安全系统，电子商务系统要保证交易信息的安全性，如个人的信息、交易的信息安全。2.3、系统的安全原则1、 适应性原则：安全策略就是在一定的条件下所采取的安全措施。因而制定的安全策略一定要和系统所在的环境结合起来。2、 动态性原则：一定时期制定的安全策略要随系统的环境变化而变化。3、 简单性原则：系统安全拓扑越复杂、采用软件和设备越多、用户越多、提供的服务和协议越多，出现安全的漏洞就越大。出现问题找出漏洞难度就越大。安全策略制定的难度也就越大，因而在系统构件时一定要考虑系统的安全防范问题，制定合理的尽量简单的系统。4、 系统性原则：系统的安全管理是一个系统的工作，要考虑系统的每一个环节。5、 最小特权原则：它是系统安全中最基本的原则，系统安全的根本目标是数据资料安全，而数据资料是由用户自己存取和维护的。最小特权原则限制了使用者对系统及数据存取所需的最小权限，既保证了用户能够完成所操作的任务，同时也确保了非法用户或异常操作所造成的损失最小。3、 电子商务系统的安全与风险 电子商务系统安全指的是电子商务系统资源和信息资源不受自然因素和认为因素的威胁和危害。电子商务系统的安全强调的是电子商务系统运行的安全和交易的安全运行，即保障计算机系统、配套设备、设施的安全、网络的安全、保障运行环境的安全，以维护电子商务系统的安全运行；保障交易双方的安全，利益的安全。电子商务系统的安全反映了电子商务对于系统故障、人为失误、恶意攻击破坏以及各种非人为引起的系统服务中断、信息泄露、窜改等破坏的抵抗能力。电子商务有以下的安全需求：1、机密性2、完整性 3、 认证性 4、 不可抵赖性5、 有效性4、 电子商务系统的安全分析 电子商务系统的安全策略主要是为了解决两个问题：保护商务网络和它内部系统的完整性；以及保障客户与商家之间交易的安全。商家用来保护的工具主要是防火墙。防火墙是一种硬件和软件相结合的系统，他只允许符合安全规则的外部用户可以访问内部网络。防火墙最初的设计目的是Internet和内部网之间的具体的服务。然而防火墙只是防护的一小部分。黑客使用一些工具很容易通过允许的端口进入内部系统，因此防火墙形同虚设。一些病毒（如：红色代码，蠕虫病毒等）也能够通过防火墙。因为他们是通过服务器的系统的标准端口访问系统。因而防火墙防护是非常有限的。交易的安全是增强消费者对电子商务消费信心的关键因素。交易安全取决于企业保护隐私、信息的真实性、完整性、有效性和处理信息阻塞的能力。电子商务迅速发展面临的网络安全的威胁，日益明显，网络黑客、病毒、木马等日益盛行，我们要研究如何才能够实现网络系统的安全，商务交易的安全的问题，保障网络信息的安全及个人隐私，信用卡的安全。电子商务系统的安全问题：1、 来自病毒的威胁；2、来自木马的威胁；3、电子商务系统的个人隐私问题；4、消费者的隐私问题；5、 电子商务的安全策略 电子商务系统是一个复杂的人机系统。它的安全策略的制定也是一个综合的系统工程，它不但要有可靠地安全技术支持，同时它要有完善的管理策略和监督制度。由于电子商务系统是一个人机系统，因而必然具有社会性，所以还要相应的法律法规来规范人们在电子商务交易中的行为规范和准则。电子商务系统安全包括安全技术策略和管理安全策略。电子商务系统的安全技术策略：1、 电子商务系统中的加密技术：对称秘钥加密和非对称秘钥加密。2、 密钥管理技术：对称秘钥管理和公开秘钥管理。3、 认证技术的应用：安全认证技术（数字摘要、数字信封、数字签名等），还有认证机构。4、 安全协议的应用：a、安全套阶层（SSL）协议；b、安全电子交易协议。5、 其他安全技术策略：防火墙技术，实现防火墙的主要技术有，数据包过滤、应用网关和代理服务等；虚拟专用网。电子商务系统的安全管理策略：1、 电子商务系统的人员管理包括电子商务系统内部人员的管理和电子商务系统外部人员的管理。2、 电子商务系统的跟踪与安全审核：a、系统跟踪；b、系统审核；c、系统稽核；3、 电子商务的安全保密：a、绝密级；b、机密级；c、秘密级；4、 电子商务系统的日常维护包括系统的硬件保护（可管设备和不可管设备）和软件保护（支撑软件维护和应用软件维护）；5、 病毒防范（1）、安装病毒软件；（2）定期清理病毒；（3）、使用控制权限；（4）、提供防病毒的意识；6、 电子商务系统安全管理的应急措施：a、瞬时恢复技术；b、远程磁盘镜像技术；c、数据库恢复技术；7、 电子商务系统的法律法规建设，必要性：a、电子商务交易安全的需要；b、电子商务交易安全支付的需要；8、 法律法规保护涉及以下这些方面：用户个人隐私、加密和解密系统及安全认证的保护、计算机违法犯罪问题6、 电子商务系统的安全评价方法我们知道电子商务系统是一个复杂的人机系统，它的安全问题涉及的因素非常多，不仅仅是技术方面的，还受到社会因素的影响和制约。因而对于电子商务系统很难用量化的指标去评价。本文从电子商务系统的安全需求与面临的威胁的关系，电子商务系统面临的威胁与反威胁技术之间的关系，及电子商务的安全技术与实现这些技术的方法之间的关系方面来考察一个系统的安全性。通过对一个系统的这些关系来分析和考察一个系统的安全性和安全漏洞。安全要素的评价标准可以分为三类：（1） 、高风险安全要素。可以取得系统所有的访问权限，能够访问系统的全部资源信息。或控制破坏系统的运行。（2） 、中风险安全因素。能够获得一定的访问权限，访问系统的一些资源信息，并可以进一步攻击系统，或者存在致命的潜在威胁。（3） 低风险因素。影响系统的正常运行。分析系统的安全需求与面临的威胁：A. 访问控制、B、隐私或机密性 C、完整性 D、身份认证 E、不可抵赖性 F、可用性对系统安全需求的这些方面面临的安全性的分析，使用相关的评估软件对相应的安全需求进行评估以确定他们是否符合系统的安全需要，从而可以从系统的安全需要和面临的威胁方面确定系统的安全性和安全缺陷。从系统的威胁和反威胁技术方面评价：通过对系统的安全需求和威胁的分析和安全评估软件的评估，找到了系统不同级别的威胁，然后会使用一些技术来处理这些威胁。主要从以下几个技术来分析评价：a、 访问控制和入侵技术b、 防火墙技术c、 加密计划技术d、 防病毒策略从系统的安全技术与实现这些技术工具方面分析评价：从评价电子商务系统的安全性，我们有必要分析电子商务系统的主要部件和开发工具的安全特性。要保障电子商务整个系统的安全，就要先保证电子商务系统各个部件的安全，开发工具还要有良好的安全性。参考文献1、 林枫，电子商务安全技术与应用，北京航空航天大学出版社 20112、 杨坚争，杨晨光 电子商务基础与应用，西安电子科技大学出版社 20103、 玛丽莲.戈林斯坦 电子商务安全、风险与管理 机械工业出版社 20134、 欧阳锋 ，陈朝荣电子商务技术 中国财政经济出版社5、 郭木兴 电子商务理论与技术 中国铁道出版社6、 薛华成 管理信息系统清华大学出版社 20127、 徐建敏，王莹 电子商务安全问题 河南大学大学报 8、 杨生强 电子商务系统安全体系研究 四川大学 20139、 卞保武，田长兰 电子商务系统安全技术手段网络经济10、 王纪平 电子商务法律法规清华大学出版社 11、 李建华，周荣，李丽华 基于SET协议的电子商务实现与分析12、 魏高 网络的安全管理科技情报开发与经济 2000年13、 沃里克.福特，迈克尔.鲍母 安全电子商务为数字签名和构造基础设施，人民邮电出版社 14、 王慧、刘强、范治平 电子商务的风险及安全管理，东北大学报15、 谢丹夏，电子商务的安全技术，北京大学