论文部分内容阅读
摘 要:随着经济科技的发展和时代的进步,电子商务日益影响着人们的生活。电子商务网站的开发设计是电子商务发展过程中的重要环节。保障电子商务网站开发设计中的信息安全是重中之重。
关键词:电子商务;网站开发;信息安全;方案机制
1 电子商务网站开发设计中常见的安全隐患
网络本身具备开放性的特点,虽然便于存储,易于修改,但同时也给电子商务的信息安全系统带来了诸多安全隐患。总的来说,目前在电子商务网络开发设计中主要存在以下几个方面的信息安全威胁:
1.1 电子商务网站中的信息安全问题,主要指信息在传输或存储中,由网络攻击者通过物理或逻辑的手段,私自对原有信息进行修改、截获、删减或是插入。被处理过的信息,不仅内容上会出现偏差,还有可能出现错误信息或信息遗失、账号丢失等问题。
1.2 除此之外,网络攻击者还可能盗用电子商务网站中的客户信息,身份冒充问题攻击者通过非法手段盗用合法用户的身份信息,破坏信息系统,冒用信息进行消费、欺诈等行为,利用用户信息获取非法利益。
1.3 电子商务网站的信息安全密切关系着网站的运行与利益。当信息安全受到危害时,极有可能导致网站瘫痪,业务信息资源受阻。若攻击者借机在网站中传输虚假信息,将很大程度上扰乱正常的资讯通道。
1.4 由于信息安全系统出现问题,用户信息一定程度上受到威胁,当用户对部分信息进行恶意否认时,且网站没有足够证据证明信息时,只能单方面承受损失。因此,网站所有者极有可能因为信息安全系统问题承担较大风险。
1.5 由于电子商务网站的信息都是由计算机终端进行操控的,而计算机本身也存在着安全隐患。如若不经注意,同样会威胁电子商务的信息安全。例如,计算机设备经过外界损坏,则很可能产生数据丢失、信息泄露等问题。除此之外,计算机系统由相关人员进行操控,出现问题时,如果不能明确责任,同样会危害电子商务网站的利益。
2 电子商务网站的安全机制
2.1 审计机制
审计机制是电子商务网络安全的保障。不僅可以对一些关键性的事件发生发展过程进行记录,帮助系统快速发现网站运行中出现的错误,及时找到危害信息安全的病因。还可以有效防止内部犯罪,在发生网络信息安全事故后,可以提供调查取证的基础。因此,审计机制应当具备防止非法删除和篡改的措施。
2.2 信息保护机制
所谓信息保护机制,主要涉及信息加密机制和信息隐藏机制两个方面。信息加密机制在网络攻击者进行攻击时,相当于给网站穿了一层保护衣。攻击者视角中的信息会因加密系统而改变,导致无法读懂信息,从而起到保护信息的作用。而信息隐藏机制的原理则是将关键性信息隐藏在信息库中,攻击者在进行网站攻击时,无法找出信息,大大保障了信息安全,同时保护了网络通信。
2.3 认证机制
认证机制是网络安全的根本,计算机设备之间必须互相认证对方身份,这样才能保证信息操作过程中对数据的精确控制。同时,电子商务网络也必须认证用户的身份,以保障用户进行正确合理的操作,系统进行准确合理的控制。
2.4 权力控制机制和存取控制机制
这两种机制是计算机主机系统必须具备的安全手段。系统必须在经过正确的认证之后,才能赋予用户操作信息的权力,除此之外,用户不可进行过多涉及。此类机制一般采用角色化的管理办法,系统将赋予不同角色不同的执行权利。
2.5 完整性保护机制
这种机制多用于防止非法修改。通过不同种类的密码组合,有效防止攻击者对网络信息进行非法篡改。除此之外,这类系统可以提供一项特殊的服务,即信息不可抵赖服务。也就是说,当信息源的完整性可以被验证却无法模仿时,信息获取方可以通过数字签名操控这种手段,第一时间认定信息的发送者。
2.6 业务填充机制
所谓业务填充机制就是指在网络终端业务空闲时随机发送与重要信息无关的随机数据,以此增加网络攻击者通过通信流量获得正确信息的难度,对破解密码产生更大的困难阻碍。
3 电子商务安全关键技术
电子商务网站开发过程中的信息网络安全问题是电子商务领域中不可忽视的问题。为了更好的保障信息安全,电子商务网络系统除了保障网络运行过程中的安全,还应当正色运用先进的技术来保障网站运行的安全,保障用户资料安全,维护网站切身利益。切实应用起来,有以下几种。
3.1 防火墙技术
防火墙技术通常包括数据包过滤和代理服务技术两种。相对而言,包过滤防火墙更被广泛应用,它的主要功能是检测功能,通过对每个数据包的头进行检查,通过防火墙对数据进行选择,对数据包的发送进行决策,这样大大减少了网站攻击者对网站安全产生的影响。除此之外,包过滤防火墙与代理服务器的配合使用,可以有效提升电子商务网站的安全性。当然,防火墙技术也存在着一定的局限性。此类技术应用起来只能对经由防火墙的攻击产生阻碍,面对网络内部用户对于网络的攻击却无能为力。除此之外,防火墙不但对数据的私密性产生不了保障,也无法保障网络不受病毒的侵害,它的作用仅限于保护电子商务企业内部网络运行不受入侵者损害。
3.2 虚拟专网技术(VPN)
虚拟专网技术,也称作VPN,这项技术包含了安全隧道技术、信息加密技术、用户认证技术、以及访问控制技术等。VPN的出现对电子商务网站运营产生了很大帮助。相对于其他类型的技术,VPN不仅花费的投资小,对各类网站的适应性强,应用起来更简单容易操作。VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网之间建立可靠的安全连接,并保证数据的安全传输。最终达到完全实现电子交易安全顺畅的目的。
3.3 各项数字技术
例如数字摘要技术、数字签名技术、数字时间戳技术、数字凭证技术以及智能卡技术等。其中,数字摘要技术用来检查接收到的文件是否曾被恶意修改,从而对相关数据的准确性和完整性起到保障作用。数字签名技术,是预防伪造签名的重要手段之一,可以对原始数据进行有效鉴别,防止错误数据产生。数字时间戳技术,用于提供电子文件发表时间的安全保护。数字凭证技术,也就是我们通常提到的数字证书,是一种通过电子手段来对用户身份进行验证、提供网络资源访问的权限的一种手段。智能卡技术具备严密的数据处理能力,可以对数字签名进行验证,防止伪造签名带来的损失,同时还具有提供读写数据和存储数据的能力。
4 总结
电子商务的兴起是数字化发展的必然过程,信息安全则是电子商务网站开发过程中的关键点。网络技术通常存在着诸多漏洞,保障信息安全就成了当前电子商务发展中的突出问题。企业应当运用先进的技术,制定有效的制度,才能保障电子商务网站的平稳发展,为电子商务网站的未来打下坚实的基础。
参考文献
[1]赵乃真.电子商务网站建设实例.清华大学出版社,2005:61.
[2]张浩.关于电子商务网站的数据库安全技术问题分析.吉林省经济管理干部学院学报,2012(01).
[3]袁亮.关于电子商务数据安全研究.科技信息(科技研究),2007(17).
[4]卢国志,刘忠诚.新编电子商务概论.北京:北京大学出版社,2O05:57-60.
关键词:电子商务;网站开发;信息安全;方案机制
1 电子商务网站开发设计中常见的安全隐患
网络本身具备开放性的特点,虽然便于存储,易于修改,但同时也给电子商务的信息安全系统带来了诸多安全隐患。总的来说,目前在电子商务网络开发设计中主要存在以下几个方面的信息安全威胁:
1.1 电子商务网站中的信息安全问题,主要指信息在传输或存储中,由网络攻击者通过物理或逻辑的手段,私自对原有信息进行修改、截获、删减或是插入。被处理过的信息,不仅内容上会出现偏差,还有可能出现错误信息或信息遗失、账号丢失等问题。
1.2 除此之外,网络攻击者还可能盗用电子商务网站中的客户信息,身份冒充问题攻击者通过非法手段盗用合法用户的身份信息,破坏信息系统,冒用信息进行消费、欺诈等行为,利用用户信息获取非法利益。
1.3 电子商务网站的信息安全密切关系着网站的运行与利益。当信息安全受到危害时,极有可能导致网站瘫痪,业务信息资源受阻。若攻击者借机在网站中传输虚假信息,将很大程度上扰乱正常的资讯通道。
1.4 由于信息安全系统出现问题,用户信息一定程度上受到威胁,当用户对部分信息进行恶意否认时,且网站没有足够证据证明信息时,只能单方面承受损失。因此,网站所有者极有可能因为信息安全系统问题承担较大风险。
1.5 由于电子商务网站的信息都是由计算机终端进行操控的,而计算机本身也存在着安全隐患。如若不经注意,同样会威胁电子商务的信息安全。例如,计算机设备经过外界损坏,则很可能产生数据丢失、信息泄露等问题。除此之外,计算机系统由相关人员进行操控,出现问题时,如果不能明确责任,同样会危害电子商务网站的利益。
2 电子商务网站的安全机制
2.1 审计机制
审计机制是电子商务网络安全的保障。不僅可以对一些关键性的事件发生发展过程进行记录,帮助系统快速发现网站运行中出现的错误,及时找到危害信息安全的病因。还可以有效防止内部犯罪,在发生网络信息安全事故后,可以提供调查取证的基础。因此,审计机制应当具备防止非法删除和篡改的措施。
2.2 信息保护机制
所谓信息保护机制,主要涉及信息加密机制和信息隐藏机制两个方面。信息加密机制在网络攻击者进行攻击时,相当于给网站穿了一层保护衣。攻击者视角中的信息会因加密系统而改变,导致无法读懂信息,从而起到保护信息的作用。而信息隐藏机制的原理则是将关键性信息隐藏在信息库中,攻击者在进行网站攻击时,无法找出信息,大大保障了信息安全,同时保护了网络通信。
2.3 认证机制
认证机制是网络安全的根本,计算机设备之间必须互相认证对方身份,这样才能保证信息操作过程中对数据的精确控制。同时,电子商务网络也必须认证用户的身份,以保障用户进行正确合理的操作,系统进行准确合理的控制。
2.4 权力控制机制和存取控制机制
这两种机制是计算机主机系统必须具备的安全手段。系统必须在经过正确的认证之后,才能赋予用户操作信息的权力,除此之外,用户不可进行过多涉及。此类机制一般采用角色化的管理办法,系统将赋予不同角色不同的执行权利。
2.5 完整性保护机制
这种机制多用于防止非法修改。通过不同种类的密码组合,有效防止攻击者对网络信息进行非法篡改。除此之外,这类系统可以提供一项特殊的服务,即信息不可抵赖服务。也就是说,当信息源的完整性可以被验证却无法模仿时,信息获取方可以通过数字签名操控这种手段,第一时间认定信息的发送者。
2.6 业务填充机制
所谓业务填充机制就是指在网络终端业务空闲时随机发送与重要信息无关的随机数据,以此增加网络攻击者通过通信流量获得正确信息的难度,对破解密码产生更大的困难阻碍。
3 电子商务安全关键技术
电子商务网站开发过程中的信息网络安全问题是电子商务领域中不可忽视的问题。为了更好的保障信息安全,电子商务网络系统除了保障网络运行过程中的安全,还应当正色运用先进的技术来保障网站运行的安全,保障用户资料安全,维护网站切身利益。切实应用起来,有以下几种。
3.1 防火墙技术
防火墙技术通常包括数据包过滤和代理服务技术两种。相对而言,包过滤防火墙更被广泛应用,它的主要功能是检测功能,通过对每个数据包的头进行检查,通过防火墙对数据进行选择,对数据包的发送进行决策,这样大大减少了网站攻击者对网站安全产生的影响。除此之外,包过滤防火墙与代理服务器的配合使用,可以有效提升电子商务网站的安全性。当然,防火墙技术也存在着一定的局限性。此类技术应用起来只能对经由防火墙的攻击产生阻碍,面对网络内部用户对于网络的攻击却无能为力。除此之外,防火墙不但对数据的私密性产生不了保障,也无法保障网络不受病毒的侵害,它的作用仅限于保护电子商务企业内部网络运行不受入侵者损害。
3.2 虚拟专网技术(VPN)
虚拟专网技术,也称作VPN,这项技术包含了安全隧道技术、信息加密技术、用户认证技术、以及访问控制技术等。VPN的出现对电子商务网站运营产生了很大帮助。相对于其他类型的技术,VPN不仅花费的投资小,对各类网站的适应性强,应用起来更简单容易操作。VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网之间建立可靠的安全连接,并保证数据的安全传输。最终达到完全实现电子交易安全顺畅的目的。
3.3 各项数字技术
例如数字摘要技术、数字签名技术、数字时间戳技术、数字凭证技术以及智能卡技术等。其中,数字摘要技术用来检查接收到的文件是否曾被恶意修改,从而对相关数据的准确性和完整性起到保障作用。数字签名技术,是预防伪造签名的重要手段之一,可以对原始数据进行有效鉴别,防止错误数据产生。数字时间戳技术,用于提供电子文件发表时间的安全保护。数字凭证技术,也就是我们通常提到的数字证书,是一种通过电子手段来对用户身份进行验证、提供网络资源访问的权限的一种手段。智能卡技术具备严密的数据处理能力,可以对数字签名进行验证,防止伪造签名带来的损失,同时还具有提供读写数据和存储数据的能力。
4 总结
电子商务的兴起是数字化发展的必然过程,信息安全则是电子商务网站开发过程中的关键点。网络技术通常存在着诸多漏洞,保障信息安全就成了当前电子商务发展中的突出问题。企业应当运用先进的技术,制定有效的制度,才能保障电子商务网站的平稳发展,为电子商务网站的未来打下坚实的基础。
参考文献
[1]赵乃真.电子商务网站建设实例.清华大学出版社,2005:61.
[2]张浩.关于电子商务网站的数据库安全技术问题分析.吉林省经济管理干部学院学报,2012(01).
[3]袁亮.关于电子商务数据安全研究.科技信息(科技研究),2007(17).
[4]卢国志,刘忠诚.新编电子商务概论.北京:北京大学出版社,2O05:57-60.