電子商務(wù)網(wǎng)站平臺(tái)安全性與評價(jià)方法（頁）

1、電子商務(wù)網(wǎng)站平臺(tái)安全性與評價(jià)方法學(xué) 院：數(shù)學(xué)與信息科學(xué)學(xué)院專 業(yè)：電子商務(wù)學(xué)生姓名：龐毅強(qiáng)學(xué) 號(hào)：201305404114評閱教師：劉建明完成日期：2015. 628內(nèi)容摘要本文主要論述了電子商務(wù)系統(tǒng)的安全性問題，電子商務(wù) 的安全風(fēng)險(xiǎn)，從電子商務(wù)系統(tǒng)的安全技術(shù)，安全管理，法律 法規(guī)這三個(gè)方面實(shí)施電子商務(wù)的安全策略，及如何分析評價(jià) 電了商務(wù)系統(tǒng)的安全性。全文共分為六個(gè)部分：(1)序論，主要介紹電子商務(wù)安全問題的有關(guān)背景及 本文主要的安全與風(fēng)險(xiǎn)；(2)介紹了系統(tǒng)的安全原則；(3) 電子商務(wù)系的研究內(nèi)容；(4)電子商務(wù)的安全分析；(5)電 子商務(wù)系統(tǒng)統(tǒng)的安全策略；(6)電子商務(wù)系統(tǒng)的安全評價(jià)方 法。

2、本文首先介紹電子商務(wù)的安全問題及由這些問題給電 子商務(wù)參與者所帶來的巨大危害和實(shí)施良好的電子商務(wù)系 統(tǒng)的安全策略的重要性，簡要介紹了一下世界其他國家的信 息安全評價(jià)的標(biāo)準(zhǔn)和文本主要的研究內(nèi)容。接下來介紹系統(tǒng) 安全定義及系統(tǒng)安全的主要原則，電子商務(wù)系統(tǒng)的安全問題 和電子商務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)。然后分析介紹電子商務(wù)系統(tǒng)的 主要安全問題，電子商務(wù)系統(tǒng)面臨的主要威脅，個(gè)人隱私保 護(hù)問題，電子商務(wù)系統(tǒng)面臨的阻斷服務(wù)攻擊問題。電子商務(wù)系統(tǒng)的安全策略，重點(diǎn)論述了電子商務(wù)系統(tǒng)的 主要安全策略，電子商務(wù)系統(tǒng)的安全技術(shù)策略，電子商務(wù)的 安全管理策略及法律法規(guī)建設(shè)。主要包括了加密技術(shù)，密鑰 管理技術(shù)，認(rèn)證技術(shù)，安全協(xié)議

3、等。安全管理介紹了人員管 理，安全審計(jì)，安全保密，防病毒策略等。電子商務(wù)的安全評價(jià)方法，即：電子商務(wù)系統(tǒng)的安全性 需求與面臨的威脅方面；電子商務(wù)系統(tǒng)面臨的主要威脅與反 威脅技術(shù)；電子商務(wù)系統(tǒng)的安全技術(shù)與實(shí)施這些技術(shù)的工 具，通過對這三對關(guān)系進(jìn)行分析與評價(jià)就可以確定電了商務(wù) 系統(tǒng)的安全性，并通過一個(gè)框架模型來說明如何評價(jià)一個(gè)電 子商務(wù)系統(tǒng)的安全性。本文重點(diǎn)介紹如何評價(jià)一個(gè)電子商務(wù)系統(tǒng)的安全性上， 以及如何制定和實(shí)施電子商務(wù)系統(tǒng)的安全策略，由于電子商 務(wù)系統(tǒng)的復(fù)雜性和涉及的因素比較多，本文主要從一些技術(shù) 的層面來怎么樣分析一個(gè)系統(tǒng)的安全性。本文的主要寫作目的是為了史好地了解電子商務(wù)系統(tǒng) 的安全性評

4、價(jià)方法，為了以后的學(xué)習(xí)和實(shí)踐提供有意的幫 助。主題詞：電子商務(wù)，安全策略，評價(jià)方法，安全管理，安全技術(shù)1序論1.1.背景簡介internet的發(fā)展和普及也促使以網(wǎng)絡(luò)為平臺(tái)的電子商 務(wù)的飛速發(fā)展。由于internet與生俱來的弱點(diǎn)：開放的網(wǎng) 絡(luò)體系給電子商務(wù)帶來了挑戰(zhàn)，那就是安全。安全問題一直 是制約電了商務(wù)發(fā)展的瓶頸。人們擔(dān)心口己的隱私泄露，擔(dān) 心自己的信用卡被別人盜用。從事電子商務(wù)公司同樣面臨著 巨大的交易風(fēng)險(xiǎn)，由于安全問題每年給全球帶來十幾億甚至 兒丨億美元的損失。因而電子商務(wù)的安全問題備受人們的關(guān) 注及其安全專家重視。因而安全技術(shù)不斷的得到發(fā)展的應(yīng) 用。女口，加密技術(shù)，認(rèn)證技術(shù)，安全認(rèn)證

5、協(xié)議等。這些應(yīng)用 極大的促進(jìn)了電子商務(wù)的發(fā)展。電子商務(wù)系統(tǒng)的安全因素包括：有效性、機(jī)密性、完整 性、可靠性、審查能力，還有安全策略管理。因而衡量一個(gè) 電子商務(wù)系統(tǒng)的安全性應(yīng)該從技術(shù)層面和安全管理方面著 手，兩者缺一不可。另外還要制定相應(yīng)的法律法規(guī)，制定電 子商務(wù)安全問題的法律法規(guī)是電子商務(wù)發(fā)展的重要保障，只 有通過相應(yīng)的立法才能夠阻止不法分子的違法犯罪行為。1.2. 國內(nèi)外電子商務(wù)系統(tǒng)的安全策略和評價(jià)標(biāo)準(zhǔn)在安全策略方面主要從技術(shù)策略、安全管理策略、電子 商務(wù)法律法規(guī)等方面考慮。我國的電子商務(wù)安全技術(shù)還處在 初級(jí)發(fā)展階段且越來越成熟，但還是與國外的發(fā)達(dá)國家有很 大的差距，并且還沒有比較完善的立法

6、。在信息安全的標(biāo)準(zhǔn)中，眾多的標(biāo)準(zhǔn)化組織在安全需求服 務(wù)分析指導(dǎo)、安全技術(shù)機(jī)制開發(fā)、安全評估標(biāo)準(zhǔn)等方而制龍 了許多標(biāo)準(zhǔn)及草案。目前國外及安全標(biāo)準(zhǔn)主要有：美國tcsec（潔皮書）：該標(biāo)準(zhǔn)是美國國防部于1985年制 定的，為計(jì)算機(jī)安全產(chǎn)品的測試和方法，指導(dǎo)信息安全產(chǎn)品 的制造與應(yīng)用。它將安全分為四個(gè)方面（安全政策、安全保 障和文檔、可說明性）和七個(gè)安全級(jí)別（從低到高依次d、c1、 c2、c3、bk b2、b3 和 a 級(jí)）。歐洲itsec： 1991年，西歐四國（英、法、德、荷）提 出了信息安全技術(shù)評價(jià)標(biāo)準(zhǔn)itse, itsec首次提出了信息安 全的保密性、完整性、可用性概念，把可信計(jì)算機(jī)概念提高

7、到可信信息技術(shù)層面來。他定義了從e0級(jí)到e6級(jí)等七個(gè)安 全等級(jí)和十種安全功能。iso安全體系結(jié)構(gòu)標(biāo)準(zhǔn)：國際標(biāo)準(zhǔn)化組織iso公布了許 多安全評價(jià)標(biāo)準(zhǔn)。在安全體系結(jié)構(gòu)方面，1989年iso制訂了 國際標(biāo)準(zhǔn)化is07498-2信息處理系統(tǒng)開放系統(tǒng)互連基本 參考模型第2部分安全體系結(jié)構(gòu)。該標(biāo)準(zhǔn)提供了安全服 務(wù)與機(jī)制的一般描述，確定在參考模型內(nèi)部可以提供這些服 務(wù)與機(jī)制。國內(nèi)是等同采用的國際標(biāo)準(zhǔn)。公安部組織制定、國家質(zhì) 量技術(shù)監(jiān)督局發(fā)布的國家標(biāo)準(zhǔn)gb17895-1999計(jì)算機(jī)信息系 統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則與正式頒布與實(shí)施。該準(zhǔn)則將信 息系統(tǒng)分為五個(gè)等級(jí)：口主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全 標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)

8、化保護(hù)級(jí)和訪問驗(yàn)證保護(hù)級(jí)。主要的安全 保護(hù)考核指標(biāo)有身份認(rèn)證、自主訪問控制、數(shù)據(jù)完整性、審 計(jì)等，這些指標(biāo)涵蓋了不同級(jí)別的安全要求。2、系統(tǒng)的安全和原則2.1系統(tǒng)安全問題開放的系統(tǒng)必然與其所在的環(huán)境和其他系統(tǒng)發(fā)生信息 與能量的交換，因而必然存在信息盜用、信息欺騙、系統(tǒng)非 法入侵等一系列危機(jī)系統(tǒng)正常運(yùn)行的問題，這就是系統(tǒng)的安 全問題。電子商務(wù)系統(tǒng)是開放的系統(tǒng)，他以網(wǎng)絡(luò)為基礎(chǔ)平臺(tái)和信 息傳遞載體，以計(jì)算機(jī)等設(shè)施為操作工具平臺(tái)，因而他的安 全問題涉及到電了商務(wù)系統(tǒng)的®個(gè)構(gòu)件的安全問題，包括信 息系統(tǒng)的安全問題、計(jì)算機(jī)安全、操作安全、信息資源安全、 人事安全、實(shí)體安全等。同樣還包括管理和法律

9、方面等。電子商務(wù)系統(tǒng)是個(gè)復(fù)雜的系統(tǒng)，因而它涉及的因素非 常多，因而要保證電子商務(wù)系統(tǒng)的安全，就要保證承載電子 商務(wù)系統(tǒng)的其他系統(tǒng)的安全，還要研究它的安全問題，從系 統(tǒng)的觀點(diǎn)出發(fā)，分析各個(gè)子系統(tǒng)的安全要素，采用相應(yīng)的安 全措施。2. 2系統(tǒng)安全的定義1、計(jì)算機(jī)系統(tǒng)的安全包括計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易 安全。計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括：計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等。其特征是針對計(jì)算機(jī) 網(wǎng)絡(luò)本身可能存在的安全問題，實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案，以 保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)。商務(wù)交易安全則緊緊 圍繞傳統(tǒng)商務(wù)在網(wǎng)絡(luò)上應(yīng)由存在的各種安全問題，在計(jì)算機(jī) 網(wǎng)絡(luò)安全的基礎(chǔ)上，保證電子商務(wù)的

10、正常進(jìn)行。即實(shí)現(xiàn)電子 商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴 性。2、信息系統(tǒng)的安全更強(qiáng)調(diào)信息的安全系統(tǒng)，電子商務(wù) 系統(tǒng)要保證交易信息的安全性，如個(gè)人的信息、交易的信息安全。2.3、系統(tǒng)的安全原則1、適應(yīng)性原則：安全策略就是在一定的條件下所采取 的安全措施。因而制定的安全策略定要和系統(tǒng)所在的環(huán)境 結(jié)合起來。2、動(dòng)態(tài)性原則：一定時(shí)期制定的安全策略要隨系統(tǒng)的 環(huán)境變化而變化。3、簡單性原則：系統(tǒng)安全拓?fù)湓綇?fù)雜、采用軟件和設(shè) 備越多、用戶越多、提供的服務(wù)和協(xié)議越多，出現(xiàn)安全的漏 洞就越大。出現(xiàn)問題找出漏洞難度就越大。安全策略制定的 難度也就越大，因而在系統(tǒng)構(gòu)件時(shí)一定要考慮系統(tǒng)的安全防

11、范問題，制定合理的盡量簡單的系統(tǒng)。4、系統(tǒng)性原則：系統(tǒng)的安全管理是個(gè)系統(tǒng)的工作， 要考慮系統(tǒng)的每一個(gè)環(huán)節(jié)。5、最小特權(quán)原則：它是系統(tǒng)安全中最基本的原則，系 統(tǒng)安全的根本口標(biāo)是數(shù)據(jù)資料安全，而數(shù)據(jù)資料是由用戶自 己存取和維護(hù)的。最小特權(quán)原則限制了使用者對系統(tǒng)及數(shù)據(jù) 存取所需的最小權(quán)限，既保證了用戶能夠完成所操作的任 務(wù)，同時(shí)也確保了非法用戶或異常操作所造成的損失最小。3、電子商務(wù)系統(tǒng)的安全與風(fēng)險(xiǎn)電子商務(wù)系統(tǒng)安全指的是電子商務(wù)系統(tǒng)資源和信息資源 不受口然因素和認(rèn)為因素的威脅和危害。電了商務(wù)系統(tǒng)的安 全強(qiáng)調(diào)的是電子商務(wù)系統(tǒng)運(yùn)行的安全和交易的安全運(yùn)行，即 保障計(jì)算機(jī)系統(tǒng)、配套設(shè)備、設(shè)施的安全、網(wǎng)絡(luò)的安

12、全、保 障運(yùn)行環(huán)境的安全，以維護(hù)電子商務(wù)系統(tǒng)的安全運(yùn)行；保障 交易雙方的安全，利益的安全。電子商務(wù)系統(tǒng)的安全反映了 電子商務(wù)對于系統(tǒng)故障、人為失誤、惡意攻擊破壞以及各種 非人為引起的系統(tǒng)服務(wù)中斷、信息泄露、竄改等破壞的抵抗 能力。電子商務(wù)有以下的安全需求：1、機(jī)密性2、完整性3、認(rèn)證性4、不可抵賴性5、有效性4、電子商務(wù)系統(tǒng)的安全分析電子商務(wù)系統(tǒng)的安全策略主要是為了解決兩個(gè)問題：保 護(hù)商務(wù)網(wǎng)絡(luò)和它內(nèi)部系統(tǒng)的完整性；以及保障客戶與商家之 間交易的安全。商家用來保護(hù)的工具主耍是防火墻。防火墻 是一種硬件和軟件相結(jié)合的系統(tǒng)，他只允許符合安全規(guī)則的 外部用戶可以訪問內(nèi)部網(wǎng)絡(luò)。防火墻最初的設(shè)計(jì)目的是 i

13、nternet和內(nèi)部網(wǎng)之間的具體的服務(wù)。然而防火墻只是防護(hù) 的一小部分。黑客使用一些工具很容易通過允許的端口進(jìn)入 內(nèi)部系統(tǒng)，因此防火墻形同虛設(shè)。一些病毒（如：紅色代碼, 蠕蟲病毒等）也能夠通過防火墻。因?yàn)樗麄兪峭ㄟ^服務(wù)器的 系統(tǒng)的標(biāo)準(zhǔn)端口訪問系統(tǒng)。因而防火墻防護(hù)是非常有限的。交易的安全是增強(qiáng)消費(fèi)者對電子商務(wù)消費(fèi)信心的關(guān)鍵 因素。交易安全取決于企業(yè)保護(hù)隱私、信息的真實(shí)性、完整 性、有效性和處理信息阻塞的能力。電子商務(wù)迅速發(fā)展而臨的網(wǎng)絡(luò)安全的威脅，口益明顯， 網(wǎng)絡(luò)黑客、病毒、木馬等fi益盛行，我們要研究如何才能夠 實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全，商務(wù)交易的安全的問題，保障網(wǎng)絡(luò)信 息的安全及個(gè)人隱私，信用卡的安

14、全。電了商務(wù)系統(tǒng)的安全問題：1、來自病毒的威脅；2、來自木馬的威脅；3、電子商務(wù)系 統(tǒng)的個(gè)人隱私問題；4、消費(fèi)者的隱私問題；5、電子商務(wù)的安全策略電子商務(wù)系統(tǒng)是一個(gè)復(fù)雜的人機(jī)系統(tǒng)。它的安全策略的 制定也是一個(gè)綜合的系統(tǒng)工程，它不但要有可靠地安全技術(shù) 支持，同時(shí)它要有完善的管理策略和監(jiān)督制度。由于電子商 務(wù)系統(tǒng)是一個(gè)人機(jī)系統(tǒng)，因而必然具有社會(huì)性，所以還要相 應(yīng)的法律法規(guī)來規(guī)范人們在電子商務(wù)交易中的行為規(guī)范和 準(zhǔn)則。電子商務(wù)系統(tǒng)安全包括安全技術(shù)策略和管理安全策略。 電子商務(wù)系統(tǒng)的安全技術(shù)策略：1、電子商務(wù)系統(tǒng)屮的加密技術(shù)：對稱秘鑰加密和非對 稱秘鑰加密。2、密鑰管理技術(shù)：對稱秘鑰管理和公開秘鑰管理

15、。3、認(rèn)證技術(shù)的應(yīng)用：安全認(rèn)證技術(shù)（數(shù)字摘要、數(shù)字 信封、數(shù)字簽名等），還有認(rèn)證機(jī)構(gòu)。4、安全協(xié)議的應(yīng)用：a、安全套階層（ssl）協(xié)議；b、 安全電子交易協(xié)議。5、其他安全技術(shù)策略：防火墻技術(shù)，實(shí)現(xiàn)防火墻的主 要技術(shù)有，數(shù)據(jù)包過濾、應(yīng)用網(wǎng)關(guān)和代理服務(wù)等；虛擬專用 網(wǎng)。電子商務(wù)系統(tǒng)的安全管理策略:1、電子商務(wù)系統(tǒng)的人員管理包括電子商務(wù)系統(tǒng)內(nèi)部人 員的管理和電子商務(wù)系統(tǒng)外部人員的管理。2、電子商務(wù)系統(tǒng)的跟蹤與安全審核：a、系統(tǒng)跟蹤；b、 系統(tǒng)審核；c、系統(tǒng)稽核；3、電子商務(wù)的安全保密：a、絕密級(jí)；b、機(jī)密級(jí)；c、 秘密級(jí)；4、電子商務(wù)系統(tǒng)的日常維護(hù)包括系統(tǒng)的硬件保護(hù)（可管設(shè)備和不可管設(shè)備）和軟件保

16、護(hù)（支撐軟件維護(hù)和應(yīng)用軟 件維護(hù)）；5、病毒防范（1）、安裝病毒軟件；（2）定期清理病毒;（3）、使用控制權(quán)限;（4）、提供防病毒的意識(shí);6、電子商務(wù)系統(tǒng)安全管理的應(yīng)急措施：a、瞬時(shí)恢復(fù)技 術(shù)；b、遠(yuǎn)程磁盤鏡像技術(shù)；c、數(shù)據(jù)庫恢復(fù)技術(shù)；7、電子商務(wù)系統(tǒng)的法律法規(guī)建設(shè)，必要性：a、電子商 務(wù)交易安全的需要；b、電子商務(wù)交易安全支付的需要；8、法律法規(guī)保護(hù)涉及以下這些方面：用戶個(gè)人隱私、 加密和解密系統(tǒng)及安全認(rèn)證的保護(hù)、計(jì)算機(jī)違法犯罪問題6、電子商務(wù)系統(tǒng)的安全評價(jià)方法我們知道電子商務(wù)系統(tǒng)是一個(gè)復(fù)雜的人機(jī)系統(tǒng)，它的安 全問題涉及的因素非常多，不僅僅是技術(shù)方面的，還受到社 會(huì)因素的影響和制約。因而對于

17、電子商務(wù)系統(tǒng)很難用量化的 指標(biāo)去評價(jià)。本文從電子商務(wù)系統(tǒng)的安全需求與面臨的威脅 的關(guān)系，電子商務(wù)系統(tǒng)面臨的威脅與反威脅技術(shù)之間的關(guān) 系，及電了商務(wù)的安全技術(shù)與實(shí)現(xiàn)這些技術(shù)的方法z間的關(guān) 系方面來考察一個(gè)系統(tǒng)的安全性。通過對一個(gè)系統(tǒng)的這些關(guān) 系來分析和考察一個(gè)系統(tǒng)的安全性和安全漏洞。安全要素的評價(jià)標(biāo)準(zhǔn)可以分為三類：(1) 、高風(fēng)險(xiǎn)安全要素?？梢匀〉孟到y(tǒng)所有的訪問權(quán)限， 能夠訪問系統(tǒng)的全部資源信息?；蚩刂破茐南到y(tǒng)的運(yùn)行。(2) 、中風(fēng)險(xiǎn)安全因素。能夠獲得一定的訪問權(quán)限，訪問 系統(tǒng)的-些資源信息，并可以進(jìn)一步攻擊系統(tǒng)，或者存在致 命的潛在威脅。(3) 低風(fēng)險(xiǎn)因素。影響系統(tǒng)的止常運(yùn)行。分析系統(tǒng)的安全需

18、求與面臨的威脅：a.訪問控制、b、隱私或機(jī)密性c、完整性d、身份認(rèn)證e、 不可抵賴性f、可用性對系統(tǒng)安全需求的這些方面面臨的安全性的分析，使用 相關(guān)的評估軟件對相應(yīng)的安全需求進(jìn)行評估以確定他們是 否符合系統(tǒng)的安全需要，從而可以從系統(tǒng)的安全需要和面臨 的威脅方面確定系統(tǒng)的安全性和安全缺陷。從系統(tǒng)的威脅和反威脅技術(shù)方面評價(jià)：通過對系統(tǒng)的安 全需求和威脅的分析和安全評估軟件的評估，找到了系統(tǒng)不 同級(jí)別的威脅，然后會(huì)使用一些技術(shù)來處理這些威脅。主要 從以下幾個(gè)技術(shù)來分析評價(jià)：a、訪問控制和入侵技術(shù)b、防火墻技術(shù)c、加密計(jì)劃技術(shù)d、防病毒策略從系統(tǒng)的安全技術(shù)與實(shí)現(xiàn)這些技術(shù)工具方面分析評價(jià):從評價(jià)電了商務(wù)系統(tǒng)的安全性，我們有必要分析電了商 務(wù)系統(tǒng)的主要部件和開發(fā)工具的安全特性。要保障電子商務(wù) 整個(gè)系統(tǒng)的安全，就要先保證電子商務(wù)系統(tǒng)各個(gè)部件的安 全，開發(fā)工具還要有良好的安全性。參考文獻(xiàn)1、林楓，電子商務(wù)安全技術(shù)與應(yīng)用，北京航空航天大學(xué)出版社20112、楊堅(jiān)爭，楊晨光 電子商務(wù)基礎(chǔ)與應(yīng)用，西安電子科技大學(xué)出版社20103、瑪麗蓮戈林斯坦電子商務(wù)安全、風(fēng)險(xiǎn)與管理機(jī)械工業(yè)出版社20134、歐陽鋒,陳朝榮電子商