电子商务网络安全与控制

电子商务网络安全与控制

电子商务网络安全本质上是网络信息安全。这意味着电子商务网络系统的硬件、软件及其数据受到保护，而不是由于事故或恶意原因造成的损害、更改和泄露。该系统是连续的，不会中断网络服务。网络安全不仅仅是技术问题,也是一个管理问题,因此要解决网络安全问题,必须有综合的解决方案,才能全方位地对付各种不同的威胁和攻击,这样才能确保网络信息的保密性、完整性、可用性。因此,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。1、电子商务网络安全的不安全因素1.1网络技术和应用漏洞1.2人工因素2、电子商务网络安全技术的对策2.1网络管理员网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该帐户将被自动锁定。通过分析记录数据,可以发现可疑的网络活动,并采取措施预先阻止今后可能发生的入侵行为。2.2干扰性的防护远程终端和通信线路是安全的薄弱环节,对目前已有各种各样的端口保护专用设备,要选择符合实际需要的技术先进的产品。对于通信线路,应尽可能埋在地下,并且尽可能采用光缆,因为光缆不存在因各种电磁辐射引起的电磁泄漏,而且抗干扰性能极好。若采用电缆,要抑制和防止电磁泄漏。目前主要措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,可采用电磁屏蔽措施和干扰方式的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。2.3掩盖报文的传输路径防止不法分子通过流量和流向分析手段来确定攻击的目标。这类安全控制包括:掩盖通信的频度、掩盖报文的长度、掩盖报文的形式、掩盖报文的地址。具体方法是填充报文和改变传输路径。为掩盖报文地址,一般采用物理层的链路加密方式,为掩盖报文的形式,常采用带反馈的加密方式。2.4设置自适应的外墙技术防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障。如果内部网络要进入Internet,必须在内部网络与外部网络的接口处设置防火墙,在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入,确保内部网络中的数据安全。在具体应用防火墙技术时,还要考虑两个方面:首先,防火墙是不能防病毒的,工作站是病毒进入网络的主要途径,所以应该在工作站上安装防病毒软件。其次,防火墙技术的另外一个弱点在于数据在防火墙之间的更新,如果延迟太大将无法支持实时服务请求。2.5审计跟踪系统从计算机系统的处理能力方面对信息提供保护,它按照事先确定的规则决定主体对客体的访问是否合法。当一主体试图非法使用一个未经授权的资源时,访问控制机制将拒绝这一企图,并将这一事件报告给审计跟踪系统。审计跟踪系统将给出报警,并记人日志档案。对于文件和数据库设置安全属性,对其共享的程度予以划分,通过访问矩阵来限制用户的使用方式。2.6加密和解密密钥分为对称密钥加密技术和非对称密钥加密技术,对称密钥加密技术在发送方和接收方使用相同的密钥,对数据使用相同的密钥进行加密和解密,如DES加密算法。在非对称密钥技术中,数据加解密的双方使用不同的密钥,但两个密钥之间拥有一个特定的关系:可以使用其中一个密钥进行加密,使用另外一个密钥进行解密,如RSA加密算法。3、电子商务网络安全管理的对策3.1加强安全管理制定人员选拔、考察培养、工作责任制、相互制约机制、权限控制机制、奖惩机制等多个方面。对责任心不强的人员绝对不能留在与网络安全有关的岗位上。对特别重要的岗位要实行多人负责制。任何人不得拥有过大的访问权限。对违反网络安全规定的一切行为应坚决查处。3.2根据轻重程度划分不同的保密级别涉及信息保密、口令或密码保密、通信地址保密、日常管理和系统运行状况保密、工作日记保密等各个方面。对各类保密都需要慎重考虑,根据轻重程度划分好不同的保密级别,并制定出相应的保密措施。例如,信息的保密级别可分为:绝密级、机密级和敏感级三个等级,其中绝密级是重点保护对象,一般只限于企业高层人员掌握;机密级也要重点保护,它们一般只限业企业中层以上人员使用;敏感级信息(如新产品介绍、企业发展目标等)可以让企业全体人员甚至普通的网民浏览,但必须有保护程序,以防“黑客”入侵而遭破坏。3.3证券保管和控制非计算机的各种凭证、单据、帐簿、报表和文字资料,要视同有价证券一样妥善保管和严格控制;对于打印或复印的各种文件和资料,以及载有种类信息的磁盘、磁带和光盘等各种载体,都要按保密级分门别类妥善保管,并规定只能让有相应使用权限的人员使用,等等。3.4跟踪管理制度。在充分认识公司案件的过程对一个务实的企事业网络系统,必须建立信息交换的系统日志机制,用来记录系统运行的全过程,即操作日期和时间、操作方式、登录次数、运行时间长短、信息交换内容等等。这就是跟踪制度。在发生案件时,它可以为侦破工作提供非常有用的线索。此外对系统维护分析和故障恢复也起到重要的作用。审计制度是指经常对系统日志的检查和审核。它可以及时发现违反系统安全规则的行为和故意入侵系统的行为,以便及时处理,挽回损失或减少损失。3.5第一、美国监狱警察市年、月内山大学.林德尔,于描述“青少年犯罪,是一个狱该制度是企业网络系统能否保持长期安全、稳定运行的基本保证。应由专职的网络管理技术人员承担,为安全起见,其他任何人不得介入。主要做好硬件系统日常管理维护和软件系统日常管理维护两方面的工作。3.6定期清理,及时发布信息病毒在网络环境下具有极大的传染性和危害性,除了安装防病毒软件之外,还要有定期清理病毒、及时升级防病毒软件版本、及时通报病毒入侵信息等工作。此外,还可以将网络系统中易感染病毒的文件属性、权限加以限制,对各终端用户,只许他们具有只读权限,断绝病毒入侵的渠道,从而达到预防的目的。3.7工作人员的素质不高,对业务特殊性私定期进行计算机安全法律教育、职业道德教育和计算机安全技术教育。对关键岗位的人员进行定期考核。对网络系统的所有工作人员,都要进行不断的教育和系统地培训。从基层终端的操作员到系统管理员、从程序设计员到系统分析师、从软件维护到硬件维护的所有技术和管理人员,都要进行全面的安全保密教育、职业道德和法制教育,职业技术教育与培训。由于计算机技术发展变化很快,所有工作人员都要注重业务技术培训,要增长才干,及时掌握最新技术,不断提高工作准备效率、不断提高安全意识。1.2.1工作责任心不强,没有良好的工作态度,经常擅自离开工作岗位,使不法分子有机可乘,入室盗窃机密信息和破坏系统。1.2.2保密观念不强或不懂保密守则,随便让无关人员进入机房重地,随便向无关人员泄漏机密信息,随便