基于敏感数据流电子商务安全体系资料

1、基于4揖数掂:电商=摘要随着电子商务的迅速发展对电子商务安全体系的研究也从广度和深度上不断拓展0本文从效率和实用的角度出发研究了基于敏感数据流的电子商务安全体系从客户机、信息传送和电子商务企业内部二个视角提出了相应方案。通过跟口际敏感数据流来构建安全体系既可以从全程保证所有敏感数据的安全又可以减掉各种不必要的安全投入0同时对高效的电子商务安全体系的构建特别是对中小电子商务企业安全体系的构建从理论建设上有现实的积极推动作用0关键词电子商务安全体系敏感数据流一、引言电子商务是伴随着网络计算而被人们所认识并随着互联网的发展而日蓬勃成长起来0可以说目刖电子商务已经成为全球最具活力的经济增长拉动力县里0

2、虽然随着2C08年金融危机的爆发全球经济目早气度迅速下降但作为世界商务领域重要力县里的电子商务却一枝独秀愈加显示出其蓬勃的生然而由于电子商务的的商业信息和财务信息成了众多不法分子觊觎商务企业(以下简称企的电子病导攻击并豕赛门铁克公司的全球2007年下半年全球平均算机受到攻击比上半子商务模式进行贸易的为电子商务最核心的问信网络、信息系统的安性、占兀整性、认证性、性和访问控制性等0二、电子商务面临的威电子商务的基础环境是由于计算机具有脆弱性性和不可控制性以及易佳几证、交易结算方式有根本性的差别这就命力0数据中有许多非常重要这使它自诞生之初就的目标0大多数的电子业)每天都要面临众多受不同程度的损失0

3、据互联网安全威胁报告,每天发现有6.19万台计年增长17%0在运用电过程中安全问题已成题它包括有效保障通全确保信息的保密不可否认性、不可拒绝胁计算机和Internet网络0Intbrnet网络具有开放电子商务交易对象、交均与传统的商务模式具使日电子商务的安全性体系也有基于对象的理的体系等等0在我比较快但整体发展水企业对电子商务的认识尽如人息多数的企业址这其中安全是一分了基于敏感数据流的安数据流来构建安全体系有敏感数据的安全又安全投入提高资源使1客户机的数据安全0户通过电子网络向企业那一刻起敏感数据便不仅是电子商务安全的务安全密不可分的重要考虑以下几个方面:Cookes0Cookies台匕目匕够

4、存储录信息和一些历史商务登录时提交给电子商务信息泄略的最彻底力、体系还有基于风险管国虽然电子商务发展平还是比较低大部分和实际的开展情况都不网站仅有主页和-mail地突出的问题0本文研究全体系通过跟际敏感既可以从全程保证所可以减掉各种不必要的用效率0从弟一个电子商务的客的电子设备发送信息的产生了0客户机的安全弟一步而且是电子商部分0客户机的安全应客户机信息、客户的登信息以方便客户再次服务器0避免这些敏感法就是关闭cookie功台匕目匕0但这有时会使打开一些浏览器既可以提供cookie用弟二方软件来管理coo活动内容0活动内容激发执行的代码包括Java脚本、VB脚本和Acti马病导的重要途径0插件

5、0它多半是与多但它会导致一些嵌入影行0病导0它的危害程序offic:e文档和各种程序等(5)物理安全0利用数字以有效保障敏感数据的墙、杀毒软件、下载补设置和使用等技术手段威胁0对于物理安全可以使用一些识别设备较小的代价提供比传统护0此类设备还有签名网页受到影响0大部分的管理功台匕目匕也可以利kie0是嵌入网页可以自动或Cookies、Java小程序、veX控件0他们是植入木媒体播放有关的程序音文件的恶息代码被执很大常通过E-miail、多种形式进行传播0证书技术、加密技术可安全0还应该通过防火丁和对各种软件的正确来最大程度减少其中的除了使用传统技术还如指纹设备可以通过密码登录强大得多的保识别器

6、、虹膜扫描器、掌纹扫描器等02信息传送安全0传送信息可以分为两类一类是非敏感信息另一类是敏感信息0非敏感信息包括客户的占八、击信息、查询和咨询信息以及一些操作信息0敏感信息则包括客户的银行账号、账户密码、重要的电子邮件和其他一些需要保密的信息0为了降低成本只对敏感信息的传送采取严格的安全措施这是企业必须做好的0对于重要的电子邮件大体可以分为两种解决方案:一种是端到端的安全电子邮件技术0应用比较广泛的端到端的安全电子邮件标准是PG和S/MME他们都采用了公开的RS/心钥体制加密算法基于以上标准的邮件系统大都采用了公钥基础设施PKI模式遵循了X.5：09证书标准0目刖已开发出基于EC(C加密算法的

7、安全邮件加密系统它有很好的、之，刖目早0端到端的安全电子邮件技术是对邮件内容进行加密和签名从而保证了电子邮件的安全性、占兀整性和不可否认性0另一种解决方案是传输层的安全电子D邮件技术它不仅台匕目匕对能对信头进行保密0但下是有要求的这种方是利用SSLSMT一附SSL.POP另的IP通道技术0对于其他通过万维网传以分为两种解决方案:即依据机密信息的秘密别然后将机密信息IDEA、RC4等算法加密后务器的公钥采用RS）算中0访问者只有在通过同等访问权限系统才密加密文件后传送给访较普遍它可在不对网提下根本解决网络安全的可用性和信息的占兀整案是SSL.技术它采用公加密体制可以保证两和兀整性及其认证0现邮件

8、内容进行保密也是这在某些应用环境案又有两种方式:一种一种是利用VPP1或者其他送的敏感信息大体可一种是存储加密技术等级设止文件的加密级用对称加密算法如DE(S、存储加密密钥用Web服法加密并附加在文件身份认证后并且具有台匕目匕用Weib服务器的私钥解问者0这一技术使用比络环境做特殊要求的刖的两大要求(网络服务性)0另一种常用的方开密钥和私人密钥两种个应用问通信的保密性行Web浏览器普遍将HTYP和SSL相结合来实现安全通信03电子商务企业内部的数据安全0当敏感数据进入企业服务器中他们将被解密然后再经过多次存储、再传送、分析等操作过程0这些处理将在企业内部进行这就涉及到企业内部的电子商务信息安全

9、0此时这些信息受到的攻击最多所以这里是信息安全最重要的环节和最主要的战场0敏感信息将分置于多个服务器和工作站中它将受到来自外部和内部的双重威胁这时要做好以下工作:基础性工作针对安全漏洞必须至少在这些计算机上及时安装各种软件的补丁程序这不仅包括操作系统也包括其他可台匕目匕有漏洞的软件0可台匕目匕的话应选用安全性较高的软硬件0针对各种病导感染必须至少在这些计算机上安装杀壬导软件及时升级病导库并止期查杀病导0由于计算机病毒对电子商务所信赖的网络环境有巨大的破坏力因此对网络计算机病导的防范是电子商务安全体系建设中极为重要的一环0针对木马病导和非法扫描等黑客攻击必须根据实际情况进行防火墙软硬件的安装和部

10、署并进行尽可台匕目匕严格的防火墙设置和防火墙的及时升级0对重要的数据、软件和计算机有备份措施0针对自然灾害、物理损坏、设备故障等要有容灾技术措施和快速恢复方案如使用RID技术、远程磁盘镜像技术或数据库复制技术等0环境、设备设施应符合相应的技术规范0加强性工作对敏感数据要进行加密存储和传送以确保其安全0加强重要计算机用户权限和数据存取权限及方式的管理如采用分级访问控制技术即通过PKI的认证安全服务对客户端用户提供的X.509证书进行合法性、有效期的验证再根据用户证书中的信息到该用户的访问权限从而决止是否允许该用户对某目录或文件的访问0通过它可以有效地维护系统的保密性、兀整性和可用性0还应使用安全

11、性高的文件系统设置高强度的口令并加强口令管理0加强日志管理防止日志被非法修改或清除加强安全审计和安全跟际措施0加强网络监控对网络异常流县里变化也要加以监控和分析0配备相应的入侵检测系统并制止相应的对0入侵检测系统的一个特征是具有基于规则的参考引擎因此需要在弟一时问更新模式数据库0可选工作采用web页面原始性鉴别技术0即对原始页面文件通过Hash算法生成数据摘要再对数据摘要用私钥进行加密0当Internet用户每次访问页面时对页面再生成数据摘要与解密的原数据摘要进行比对从而避免被入侵黑客修改的页面传给Internet用户的可能0加强共的管理以避免SMIB攻击0加强各类程序运行的管理以避免缓冲区溢

12、出等攻击0加强环境干扰的技术防范措施如对电磁辐射的防护等0加强重要计算机操作系统的安全性设置如采取屏保、痕迹销毁和操作失1口检测及报壑等技术0以上这些技术方面的措施应该尽县里实施但实施的程度要视自身情况区别对待0我们知道这些电子商务的安全措施是有成本的0安全度越高相应的投入和效率等方面的代价就越大0因此必须在可接受的安全和成本之问寻求相对平衡0从管理方面来讲也是如此0(一)管理方面0管理在电子商务安全体系中的地位并不次于技术方面甚至因为较容易出问题而显日更为重要0管理可以分为对企业的管理和对社会的管理0也就是说一方面企业必须就电子商务安全管理制止全面系统的规早制度这是主要方面0另一方面国豕也应

13、就此制止和兀善相应的法律法规01企业方面总体上必须参昭八、相关国乐安全管理标准来建立企业的信息安全管理体系，即明确包括信息安全管理的任务、目标、对象、原则、程序和方法在内的管理策略，然后可以遵循管理的般循环模式，即PDCA模式开展管理活动在物理安全方面，应通过安装门禁系统、监控系统等，加强对计算机系统、网络设备、通信线路等关键设备及信息的安全防范措施在人员安全方面，应通过人员审查、培训和权限管理，加强业务人员和专业人员的安全意识和安全能力，并明确安全责任。建立有领导层参加的安全管理论坛，建立提出信息安全建议的渠道，保持与业界的紧密联系电子商务的安全既是相对的，也是发展的没有一劳永逸的安全，要有电子商务的风险意识。为此，必须进行电子商务安全评估。可以参照国际上常用的安全成熟度模型，对计划布局和配置、运行过程进行评估。通过评估不仅可以了解本企业电子商务的安全状况，而且更重要的是可以发现一些隐含的安全问题，通过改进来提高安全程度2社会方面电子商务安全法制建务安全的立法是从1993年开始也颁布了许多关法规但是对电子商性的规范还不多对电尚处摸索阶1变0对我步加快针对电子商务安相关的电子支付制度、电子商务的顺利进行0征应