电子商务网站平台安全性与评价方法（页）

1、电子商务网站平台安全性与评价方法学 院：数学与信息科学学院专 业：电子商务学生姓名：庞毅强学 号：201305404114评阅教师：刘建明完成日期：2015. 628内容摘要本文主要论述了电子商务系统的安全性问题，电子商务 的安全风险，从电子商务系统的安全技术，安全管理，法律 法规这三个方面实施电子商务的安全策略，及如何分析评价 电了商务系统的安全性。全文共分为六个部分：(1)序论，主要介绍电子商务安全问题的有关背景及 本文主要的安全与风险；(2)介绍了系统的安全原则；(3) 电子商务系的研究内容；(4)电子商务的安全分析；(5)电 子商务系统统的安全策略；(6)电子商务系统的安全评价方 法。

2、本文首先介绍电子商务的安全问题及由这些问题给电 子商务参与者所带来的巨大危害和实施良好的电子商务系 统的安全策略的重要性，简要介绍了一下世界其他国家的信 息安全评价的标准和文本主要的研究内容。接下来介绍系统 安全定义及系统安全的主要原则，电子商务系统的安全问题 和电子商务系统的安全风险。然后分析介绍电子商务系统的 主要安全问题，电子商务系统面临的主要威胁，个人隐私保 护问题，电子商务系统面临的阻断服务攻击问题。电子商务系统的安全策略，重点论述了电子商务系统的 主要安全策略，电子商务系统的安全技术策略，电子商务的 安全管理策略及法律法规建设。主要包括了加密技术，密钥 管理技术，认证技术，安全协议

3、等。安全管理介绍了人员管 理，安全审计，安全保密，防病毒策略等。电子商务的安全评价方法，即：电子商务系统的安全性 需求与面临的威胁方面；电子商务系统面临的主要威胁与反 威胁技术；电子商务系统的安全技术与实施这些技术的工 具，通过对这三对关系进行分析与评价就可以确定电了商务 系统的安全性，并通过一个框架模型来说明如何评价一个电 子商务系统的安全性。本文重点介绍如何评价一个电子商务系统的安全性上， 以及如何制定和实施电子商务系统的安全策略，由于电子商 务系统的复杂性和涉及的因素比较多，本文主要从一些技术 的层面来怎么样分析一个系统的安全性。本文的主要写作目的是为了史好地了解电子商务系统 的安全性评

4、价方法，为了以后的学习和实践提供有意的帮 助。主题词：电子商务，安全策略，评价方法，安全管理，安全技术1序论1.1.背景简介internet的发展和普及也促使以网络为平台的电子商 务的飞速发展。由于internet与生俱来的弱点：开放的网 络体系给电子商务带来了挑战，那就是安全。安全问题一直 是制约电了商务发展的瓶颈。人们担心口己的隐私泄露，担 心自己的信用卡被别人盗用。从事电子商务公司同样面临着 巨大的交易风险，由于安全问题每年给全球带来十几亿甚至 儿丨亿美元的损失。因而电子商务的安全问题备受人们的关 注及其安全专家重视。因而安全技术不断的得到发展的应 用。女口，加密技术，认证技术，安全认证

5、协议等。这些应用 极大的促进了电子商务的发展。电子商务系统的安全因素包括：有效性、机密性、完整 性、可靠性、审查能力，还有安全策略管理。因而衡量一个 电子商务系统的安全性应该从技术层面和安全管理方面着 手，两者缺一不可。另外还要制定相应的法律法规，制定电 子商务安全问题的法律法规是电子商务发展的重要保障，只 有通过相应的立法才能够阻止不法分子的违法犯罪行为。1.2. 国内外电子商务系统的安全策略和评价标准在安全策略方面主要从技术策略、安全管理策略、电子 商务法律法规等方面考虑。我国的电子商务安全技术还处在 初级发展阶段且越来越成熟，但还是与国外的发达国家有很 大的差距，并且还没有比较完善的立法

6、。在信息安全的标准中，众多的标准化组织在安全需求服 务分析指导、安全技术机制开发、安全评估标准等方而制龙 了许多标准及草案。目前国外及安全标准主要有：美国tcsec（洁皮书）：该标准是美国国防部于1985年制 定的，为计算机安全产品的测试和方法，指导信息安全产品 的制造与应用。它将安全分为四个方面（安全政策、安全保 障和文档、可说明性）和七个安全级别（从低到高依次d、c1、 c2、c3、bk b2、b3 和 a 级）。欧洲itsec： 1991年，西欧四国（英、法、德、荷）提 出了信息安全技术评价标准itse, itsec首次提出了信息安 全的保密性、完整性、可用性概念，把可信计算机概念提高

7、到可信信息技术层面来。他定义了从e0级到e6级等七个安 全等级和十种安全功能。iso安全体系结构标准：国际标准化组织iso公布了许 多安全评价标准。在安全体系结构方面，1989年iso制订了 国际标准化is07498-2信息处理系统开放系统互连基本 参考模型第2部分安全体系结构。该标准提供了安全服 务与机制的一般描述，确定在参考模型内部可以提供这些服 务与机制。国内是等同采用的国际标准。公安部组织制定、国家质 量技术监督局发布的国家标准gb17895-1999计算机信息系 统安全保护等级划分准则与正式颁布与实施。该准则将信 息系统分为五个等级：口主保护级、系统审计保护级、安全 标记保护级、结构

8、化保护级和访问验证保护级。主要的安全 保护考核指标有身份认证、自主访问控制、数据完整性、审 计等，这些指标涵盖了不同级别的安全要求。2、系统的安全和原则2.1系统安全问题开放的系统必然与其所在的环境和其他系统发生信息 与能量的交换，因而必然存在信息盗用、信息欺骗、系统非 法入侵等一系列危机系统正常运行的问题，这就是系统的安 全问题。电子商务系统是开放的系统，他以网络为基础平台和信 息传递载体，以计算机等设施为操作工具平台，因而他的安 全问题涉及到电了商务系统的®个构件的安全问题，包括信 息系统的安全问题、计算机安全、操作安全、信息资源安全、 人事安全、实体安全等。同样还包括管理和法律

9、方面等。电子商务系统是个复杂的系统，因而它涉及的因素非 常多，因而要保证电子商务系统的安全，就要保证承载电子 商务系统的其他系统的安全，还要研究它的安全问题，从系 统的观点出发，分析各个子系统的安全要素，采用相应的安 全措施。2. 2系统安全的定义1、计算机系统的安全包括计算机网络安全和商务交易 安全。计算机网络安全的内容包括：计算机网络设备安全、 计算机网络系统安全、数据库安全等。其特征是针对计算机 网络本身可能存在的安全问题，实施网络安全增强方案，以 保证计算机网络自身的安全性为目标。商务交易安全则紧紧 围绕传统商务在网络上应由存在的各种安全问题，在计算机 网络安全的基础上，保证电子商务的

10、正常进行。即实现电子 商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖 性。2、信息系统的安全更强调信息的安全系统，电子商务 系统要保证交易信息的安全性，如个人的信息、交易的信息安全。2.3、系统的安全原则1、适应性原则：安全策略就是在一定的条件下所采取 的安全措施。因而制定的安全策略定要和系统所在的环境 结合起来。2、动态性原则：一定时期制定的安全策略要随系统的 环境变化而变化。3、简单性原则：系统安全拓扑越复杂、采用软件和设 备越多、用户越多、提供的服务和协议越多，出现安全的漏 洞就越大。出现问题找出漏洞难度就越大。安全策略制定的 难度也就越大，因而在系统构件时一定要考虑系统的安全防

11、范问题，制定合理的尽量简单的系统。4、系统性原则：系统的安全管理是个系统的工作， 要考虑系统的每一个环节。5、最小特权原则：它是系统安全中最基本的原则，系 统安全的根本口标是数据资料安全，而数据资料是由用户自 己存取和维护的。最小特权原则限制了使用者对系统及数据 存取所需的最小权限，既保证了用户能够完成所操作的任 务，同时也确保了非法用户或异常操作所造成的损失最小。3、电子商务系统的安全与风险电子商务系统安全指的是电子商务系统资源和信息资源 不受口然因素和认为因素的威胁和危害。电了商务系统的安 全强调的是电子商务系统运行的安全和交易的安全运行，即 保障计算机系统、配套设备、设施的安全、网络的安

12、全、保 障运行环境的安全，以维护电子商务系统的安全运行；保障 交易双方的安全，利益的安全。电子商务系统的安全反映了 电子商务对于系统故障、人为失误、恶意攻击破坏以及各种 非人为引起的系统服务中断、信息泄露、窜改等破坏的抵抗 能力。电子商务有以下的安全需求：1、机密性2、完整性3、认证性4、不可抵赖性5、有效性4、电子商务系统的安全分析电子商务系统的安全策略主要是为了解决两个问题：保 护商务网络和它内部系统的完整性；以及保障客户与商家之 间交易的安全。商家用来保护的工具主耍是防火墙。防火墙 是一种硬件和软件相结合的系统，他只允许符合安全规则的 外部用户可以访问内部网络。防火墙最初的设计目的是 i

13、nternet和内部网之间的具体的服务。然而防火墙只是防护 的一小部分。黑客使用一些工具很容易通过允许的端口进入 内部系统，因此防火墙形同虚设。一些病毒（如：红色代码, 蠕虫病毒等）也能够通过防火墙。因为他们是通过服务器的 系统的标准端口访问系统。因而防火墙防护是非常有限的。交易的安全是增强消费者对电子商务消费信心的关键 因素。交易安全取决于企业保护隐私、信息的真实性、完整 性、有效性和处理信息阻塞的能力。电子商务迅速发展而临的网络安全的威胁，口益明显， 网络黑客、病毒、木马等fi益盛行，我们要研究如何才能够 实现网络系统的安全，商务交易的安全的问题，保障网络信 息的安全及个人隐私，信用卡的安

14、全。电了商务系统的安全问题：1、来自病毒的威胁；2、来自木马的威胁；3、电子商务系 统的个人隐私问题；4、消费者的隐私问题；5、电子商务的安全策略电子商务系统是一个复杂的人机系统。它的安全策略的 制定也是一个综合的系统工程，它不但要有可靠地安全技术 支持，同时它要有完善的管理策略和监督制度。由于电子商 务系统是一个人机系统，因而必然具有社会性，所以还要相 应的法律法规来规范人们在电子商务交易中的行为规范和 准则。电子商务系统安全包括安全技术策略和管理安全策略。 电子商务系统的安全技术策略：1、电子商务系统屮的加密技术：对称秘钥加密和非对 称秘钥加密。2、密钥管理技术：对称秘钥管理和公开秘钥管理

15、。3、认证技术的应用：安全认证技术（数字摘要、数字 信封、数字签名等），还有认证机构。4、安全协议的应用：a、安全套阶层（ssl）协议；b、 安全电子交易协议。5、其他安全技术策略：防火墙技术，实现防火墙的主 要技术有，数据包过滤、应用网关和代理服务等；虚拟专用 网。电子商务系统的安全管理策略:1、电子商务系统的人员管理包括电子商务系统内部人 员的管理和电子商务系统外部人员的管理。2、电子商务系统的跟踪与安全审核：a、系统跟踪；b、 系统审核；c、系统稽核；3、电子商务的安全保密：a、绝密级；b、机密级；c、 秘密级；4、电子商务系统的日常维护包括系统的硬件保护（可管设备和不可管设备）和软件保

16、护（支撑软件维护和应用软 件维护）；5、病毒防范（1）、安装病毒软件；（2）定期清理病毒;（3）、使用控制权限;（4）、提供防病毒的意识;6、电子商务系统安全管理的应急措施：a、瞬时恢复技 术；b、远程磁盘镜像技术；c、数据库恢复技术；7、电子商务系统的法律法规建设，必要性：a、电子商 务交易安全的需要；b、电子商务交易安全支付的需要；8、法律法规保护涉及以下这些方面：用户个人隐私、 加密和解密系统及安全认证的保护、计算机违法犯罪问题6、电子商务系统的安全评价方法我们知道电子商务系统是一个复杂的人机系统，它的安 全问题涉及的因素非常多，不仅仅是技术方面的，还受到社 会因素的影响和制约。因而对于

17、电子商务系统很难用量化的 指标去评价。本文从电子商务系统的安全需求与面临的威胁 的关系，电子商务系统面临的威胁与反威胁技术之间的关 系，及电了商务的安全技术与实现这些技术的方法z间的关 系方面来考察一个系统的安全性。通过对一个系统的这些关 系来分析和考察一个系统的安全性和安全漏洞。安全要素的评价标准可以分为三类：(1) 、高风险安全要素。可以取得系统所有的访问权限， 能够访问系统的全部资源信息。或控制破坏系统的运行。(2) 、中风险安全因素。能够获得一定的访问权限，访问 系统的-些资源信息，并可以进一步攻击系统，或者存在致 命的潜在威胁。(3) 低风险因素。影响系统的止常运行。分析系统的安全需

18、求与面临的威胁：a.访问控制、b、隐私或机密性c、完整性d、身份认证e、 不可抵赖性f、可用性对系统安全需求的这些方面面临的安全性的分析，使用 相关的评估软件对相应的安全需求进行评估以确定他们是 否符合系统的安全需要，从而可以从系统的安全需要和面临 的威胁方面确定系统的安全性和安全缺陷。从系统的威胁和反威胁技术方面评价：通过对系统的安 全需求和威胁的分析和安全评估软件的评估，找到了系统不 同级别的威胁，然后会使用一些技术来处理这些威胁。主要 从以下几个技术来分析评价：a、访问控制和入侵技术b、防火墙技术c、加密计划技术d、防病毒策略从系统的安全技术与实现这些技术工具方面分析评价:从评价电了商务系统的安全性，我们有必要分析电了商 务系统的主要部件和开发工具的安全特性。要保障电子商务 整个系统的安全，就要先保证电子商务系统各个部件的安 全，开发工具还要有良好的安全性。参考文献1、林枫，电子商务安全技术与应用，北京航空航天大学出版社20112、杨坚争，杨晨光 电子商务基础与应用，西安电子科技大学出版社20103、玛丽莲戈林斯坦电子商务安全、风险与管理机械工业出版社20134、欧阳锋,陈朝荣电子商