web安全與電子商務

『壹』 國內外有哪些關於web安全的開發和研究，現水平如何

web安全 是未來主要的被攻擊對象，占安全威脅35%以上，目前最先進的技術是 AI Security 使用人工湖智能的方式去防禦不知道或已經知道的安全威脅，這方面國內只有兩家企業有這塊核心的技術，分別是：網路安全 與 中雲網安。為甚麼要用人工智慧去抵禦攻擊，不是人工智慧有多先進，而是黑客行為已經在使用 AI 人工智慧的方式在製造傳統無法抵禦與方法在攻擊比以往成百倍計算能力的攻擊行為，所有一切傳統的安全防範只要一擊必垮，所以，只有一物治一物，必須對症下葯才能防護得住 。

『貳』 電子商務安全主要包括網路安全與電商安全，網路安全有哪些主要技術

電子商務安全主要包括網路安全與電商安全，網路安全主要有以下幾方面主要技術：
一.虛擬網技術

虛擬網技術主要基於近年發展的區域網交換技術(ATM和乙太網交換）。交換技術將傳統的基於廣播的區域網技術發展為面向連接的技術。因此，網管系統有能力限制區域網通訊的范圍而無需通過開銷很大的路由器 網路層通訊可以跨越路由器，因此攻擊可以從遠方發起。IP協議族各廠家實現的不完善，因此，在網路層發現的安全漏洞相對更多，如IP sweep, teardrop, sync-flood, IP spoofing攻擊等。
二.防火牆技術
網路防火牆技術是一種用來加強網路之間訪問控制,防止外部網路用戶以非法手段通過外部網路進入內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互聯設備.它對兩個或多個網路之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網路之間的通信是否被允許,並監視網路運行狀態.
防火牆產品主要有堡壘主機,包過濾路由器,應用層網關(代理伺服器)以及電路層網關,屏蔽主機防火牆,雙宿主機等類型.
防火牆處於5層網路安全體系中的最底層,屬於網路層安全技術范疇.在這一層上,企業對安全系統提出的問題是:所有的IP是否都能訪問到企業的內部網路系統 如果答案是"是",則說明企業內部網還沒有在網路層採取相應的防範措施控制對系統的訪問 集中的安全管理
使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息，如Finger和DNS。 記錄和統計網路利用數據以及非法使用數據 Firewall可以記錄和統計通過Firewall的網路通訊，提供關於網路使用的統計數據，並且，Firewall可以提供統計數據，來判斷可能的攻擊和探測。 策略執行
5、選擇防火牆的要點
(1) 安全性：即是否通過了嚴格的入侵測試。
(2) 抗攻擊能力：對典型攻擊的防禦能力
(3) 性能：是否能夠提供足夠的網路吞吐能力
(4) 自我完備能力：自身的安全性，Fail-close
(5) 可管理能力：是否支持SNMP網管
(6) VPN支持
(7) 認證和加密特性
(8) 服務的類型和原理
(9)網路地址轉換能力
三.病毒防護技術
病毒歷來是信息系統安全的主要問題之一。由於網路的廣泛互聯，病毒的傳播途徑和速度大大加快。 病毒防護的主要技術如下：
(1) 阻止病毒的傳播。
在防火牆、代理伺服器、SMTP伺服器、網路伺服器、群件伺服器上安裝病毒過濾軟體。在桌面PC安裝病毒監控軟體。
(2) 檢查和清除病毒。
使用防病毒軟體檢查和清除病毒。
(3) 病毒資料庫的升級。
病毒資料庫應不斷更新，並下發到桌面系統。
4) 在防火牆、代理伺服器及PC上安裝Java及ActiveX控制掃描軟體，禁止未經許可的控制項下載和安裝。
四.入侵檢測技術
利用防火牆技術，經過仔細的配置，通常能夠在內外網之間提供安全的網路保護，降低了網路安全風險。
五.安全掃描技術

網路安全技術中，另一類重要技術為安全掃描技術。安全掃描技術與防火牆、安全監控系統互相配合能夠提供很高安全性的網路。
六. 認證和數宇簽名技術
認證技術主要解決網路通訊過程中通訊雙方的身份認可，數字簽名作為身份認證技術中的一種具體技術，同時數字簽名還可用於通信過程中的不可抵賴要求的實現。 認證技術將應用到企業網路中的以下方面： (1) 路由器認證，路由器和交換機之間的認證。 (2) 操作系統認證。操作系統對用戶的認證。 (3) 網管系統對網管設備之間的認證。 (4) VPN網關設備之間的認證。
(5) 撥號訪問伺服器與客戶間的認證。
(6) 應用伺服器(如Web Server)與客戶的認證。 (7) 電子郵件通訊雙方的認證。
七.VPN技術
1、 企業對VPN 技術的需求
企業總部和各分支機構之間採用internet網路進行連接，由於internet是公用網路，因此，必須保證其安全性。我們將利用公共網路實現的私用網路稱為虛擬私用網(VPN)。 因為VPN利用了公共網路，所以其最大的弱點在於缺乏足夠的安全性。企業網路接入到internet，暴露出兩個主要危險：
來自internet的未經授權的對企業內部網的存取。
當企業通過INTERNET進行通訊時，信息可能受到竊聽和非法修改。 完整的集成化的企業范圍的VPN安全解決方案，提供在INTERNET上安全的雙向通訊，以及透明的加密方案以保證數據的完整性和保密性。 企業網路的全面安全要求保證： 保密-通訊過程不被竊聽。
通訊主體真實性確認-網路上的計算機不被假冒。
八.應用系統的安全技術
在利用域名服務時，應該注意到以上的安全問題。
主要的措施有：
(1) 內部網和外部網使用不同的域名伺服器，隱藏內部網路信息。
(2) 域名伺服器及域名查找應用安裝相應的安全補丁。
(3) 對付Denial-of-Service攻擊，應設計備份域名伺服器。

但Web伺服器越來越復雜，其被發現的安全漏洞越來越多。為了防止Web伺服器成為攻擊的犧牲品或成為進入內部網路的跳板，我們需要給予更多的關心：
加強電子郵件系統的安全性，通常有如下辦法：
(1) 設置一台位於停火區的電子郵件伺服器作為內外電子郵件通訊的中轉站(或利用防火牆的電子郵件中轉功能)。所有出入的電子郵件均通過該中轉站中轉。
(2) 同樣為該伺服器安裝實施監控系統。
(3) 該郵件伺服器作為專門的應用伺服器，不運行任何其它業務(切斷與內部網的通訊)。
（4) 升級到最新的安全版本。

『叄』 什麼是WEB安全是網路安全么

網站安全
§1、網站安全概述
一、 常見的網站提供的服務：DNS SERVER，WEB SERVER，E-MAIL SERVER，FTP SERVER，此外網站還需要有個主伺服器（最好不要把網站的操作系統伺服器與上述的SERVER 放在一起）（不一定全對互聯網開放）
1、 這些常見的服務屬於TCP/IP協議棧，如果低層安全性被攻擊了，則高層安全成了空中樓閣。所以要進行安全分析（安全只是個動態的狀態）
2、 TCP/IP協議棧各層常見的攻擊（回憶TCP/IP各層結構圖）
（1）物理層：數據通過線傳輸是特點
威脅：監聽網線，sniffer軟體進行抓包，拓樸結構被電磁掃描攻破
保護：加密，流量填充等
（2）internet層：提供定址功能是其特點-----路由，IP,ICMP,ARP,RARP
威脅：IP欺騙(工具完成將數據包源地址IP改變)
保護：補丁、防火牆、邊界路由器設定
（3）傳輸層：控制主機間的信息流量-----TCP,UDP
威脅：DOS(圖)，DDOS，會話劫持等
保護：補丁、防火牆、開啟操作系統抗DDOS攻擊特性
（4）應用層：協議最多最難防
①SMTP協議：
威脅：郵件風暴（黑客給郵件伺服器不斷發木馬或病毒），企業用戶內網與外網採用同樣的郵箱名，郵件的中繼與轉發(圖)
保護：防病毒網關，郵件伺服器軟體及時打補丁
②FTP協議：
威脅：匿名用戶如果具有寫許可權，會上傳非法服務給FTP SERVER; 用戶名、口令在FTP客戶端與伺服器端之間是明文傳輸
保護：FTP數據存放於獨立分區，不允許匿名的FTP連接，上傳與下載位於不同的NTFS分區，FTP客戶端與伺服器端的通訊進行加密SSH
③HTTP協議：
威脅：Java script，CGI，ASP，ActiveX
保護：禁止這些不安全的控制項，殺毒軟體
④Telnet協議：
威脅：明文傳輸敏感數據
保護：加密
⑤SNMP協議：
威脅：public默認社區名，明文傳輸敏感信息
保護：將默認社區名改名，防火牆
⑥DNS協議：
威脅：DNS欺騙
保護：防火牆阻止，在DNS zone中設定成只允許幾個主機的zone傳輸
3、 網站業務流（電子商務與普通企業網站業務流不同，重點是認證）、採用的拓樸、防火牆體系結構、操作系統等的不同，受到的威脅也不同
二、 在網站業務流、採用的拓樸、防火牆體系結構、操作系統等體系結構確定的前提下，還存在的安全問題
1、未授權存取（匿名用戶具有寫許可權----IIS寫許可權掃描工具+桂林老兵可以完成）
2、竊取系統信息:帳號,銀行
3、破壞系統：破壞數據（刪除數據）
4、非法使用：利用FTP伺服器存放非法軟體
5、病毒木馬：不小心執行病毒、木馬
三、web站點典型安全漏洞
1、操作系統類：通用安全漏洞，各操作系統特有的安全漏洞
2、路由器等網路系統漏洞：如路由器、防火牆等的預設配置及配置錯誤（一部分邊界路由器有自動配置的功能，但這種自動配置功能必須手工開啟）（見校園網拓樸結構圖）
3、應用系統安全漏洞：協議漏洞
4、網路安全防護系統不健全：缺乏安全意識，缺少定期的安全檢測、安全監控
5、其它漏洞：易被欺騙，弱認證，對電郵隊服附件病毒及WEB瀏覽可能存在的惡意java/ActiveX小控制項進行有效控制。
正因為存在這些安全漏洞所以要制定安全策略。
§2、WEB站點安全策略
允許遠程執行CGI腳本，腳本中的bug會成為保護操作系統的漏洞;但如果限制CGI限製得過頭了，web使用起來不方便（安全是使用方便與安全配置之間的一個平衡點）
一、 安全策略定製原則：
1、風險分析：搞清站點屬於低端安全、中端安全、還是高端安全？易受哪些威脅？（默認配置）？根據威脅進行安全評估（使用啟明星辰的工具）
2、伺服器記錄原則：web伺服器會記錄它們收到的每一次連接（如果web server採用認證的方式還會記錄下用戶名），該用戶在此期間填寫的表格會被記錄下來，會對用戶構成威脅。
解決方案：web伺服器管理者可以查閱用戶資料，但無需打開(審計人員查管理員好些)
二、 配置web server的安全特性
1、用戶與站點建立連接的過程中可能會造成因域名欺騙而使得用戶得不到授權訪問及要求的信息或者把黑客當作合法用戶來允許其訪問
2、加強各伺服器的措施
①web server：主分區存放操作系統，web server放至另一分區;CGI腳本放至第三個NTFS分區;不以administrator身份運行web server（而以另一用戶身份運行web server）其餘見winnt站點解決方案
②ftp server：與web server不同分區，允許只讀訪問，進行訪問控制的設置（一般只對內網開放）
③電子郵件伺服器：安裝網路級電子郵件掃描軟體;禁掉中繼任何未授權用戶；設置垃圾郵件過濾及巨型郵件過濾條件
三、 排除站點中的安全漏洞，盡量減少安全漏洞
1、物理漏洞：未授權人員訪問引起的
2、軟體漏洞：由軟體應用程序的錯誤授權引起。首要規則----不輕易相信腳本、java applet
3、不兼容問題
4、缺乏安全策略
四、 監視控制出入web站點的出入情況
1、 Webtrends：查訪問次數最多的站點、最頻繁的用戶。它可以完成監控請求（如：sever訪問次數，用戶來自何處，伺服器上哪類信息被訪問、訪問的瀏覽器類型、用戶提交方式等）;它可以測算命中次數（可以確定出站點的命中次數----一個用戶詳細地讀站點時一次簡單的會話可以形成幾次命中;還可以通過站點上某個文件的訪問次數來確定站點訪問者的數目）
2、 入侵檢測系統：免費的snort
3、 傳輸更新：web三元素----HTTP協議，數據格式HTML，瀏覽器。三元素以HTML為中心，必須保持其更新

『肆』 安全電子商務交易協議有ssl和set兩種，各有哪些優缺點

SSL(Secure Socket Layer)

SSL協議是由首先發表的網路資料安全傳輸協定,其首要目的是在兩個通信間提供秘密而可靠的連接。該協議由兩層組成，底層是建立在可靠的傳輸協議(例如：TCP)上的是SSL的記錄層，用來封裝高層的協議。SSL握手協議准許伺服器端與客戶端在開始傳輸數據前，能夠通過特定的加密演算法相互鑒別。SSL的先進之處在於它是一個獨立的應用協議，其它更高層協議能夠建立在SSL協議上。

目前大部分的Web
Server及Browser大多支持SSL的資料加密傳輸協定。因此，可以利用這個功能，將部分具有機密性質的網頁設定在加密的傳輸模式，如此即可避免資料在網路上傳送時被其他人竊聽。

SSL是利用公開密鑰的加密技術(RSA)來作為用戶端與主機端在傳送機密資料時的加密通訊協定。目前，大部分的Web
Server及Browser都廣泛使用SSL 技術。

SET(Secure Electronic Transaction)

SET是IBM、信用卡國際組織(VISA/MasterCard)以及相關廠商針對網路電子交易共同制定的安全協議，它運用了RSA安全的公鑰加密技術，具有資料保密性、資料完整性、資料來源可辨識性及不可否認性，是用來保護消費者在Internet持卡付款交易安全中的標准。SET
1.0版於1997年6月正式問世。現在，SET已成為國際上所公認的在Internet電子商業交易中的安全標准。

SET協議用在安全電子銀行卡的支付系統中，使用客戶端的瀏覽器，應用於從商業站點到商業銀行中。網上銀行使用已經存在的程序和設備通過確認信用卡，清算客戶銀行戶頭完成交易。SET協議則通過隱藏信用卡號來保證整個支付過程的安全。所以，SET必須保證信用卡持有者與銀行在現存系統和網路上，能夠保持持續的聯系。SET協議為在不同的系統中使用信用卡創建了一套完整的解決辦法。可靠的身份驗證使SET成為一個非常好的在線支付系統。它使交易中每個合法參與者能夠擁有一個合理的身份，而對持卡者的身份驗證是由銀行來進行的。當然這其中還包括其它服務，比如：身份認證、客戶服務等。這是建立另外一個可靠的用戶連接的方法。同時可以方便在發生糾紛時進行仲裁。

SET與SSL都是做消費者的認證工作的，也就是說不僅全球數據網購物站需要在認證單位進行認證，消費者也必須從認證機構獲取認證。

SET是由Electronic Wallet(電子錢包)、Merchant Server(商店端服務機)、Payment
Gateway(付款轉接站)和Certification Authority(認證中心)組成的，它們構成了Internet
上符合SET標準的信用卡授權交易。

一般來說，在開放式網路上進行金融交易以SSL及SET交易協定為主，其中又以
SET被國際公認為最安全的。有鑒於此，VISA/MASTER在1997年6月提出了名為電子交易(SET：Secure Electronic
Transaction)的網路交易安全規格，這個規格基本上也是利用與SSL同樣的大數值編碼技術，來保證資料保密與使用者認證的工作。

目前信用卡的安全交易標准SET仍在進行前期建設。在該系統尚未正式運作前，消費者在網路上利用信用卡進行購物時，仍須承擔信用卡資料被盜用的風險。

敏感性資料在傳遞過程中被竊聽，交易資料在傳遞過程中被篡改，交易的雙方身份被假冒，完全相同的訂單重復送出，這些問題即使對於目前SET安全交易標准來說仍舊有一定困難。利用WWW給用戶提供機密性的資料時更多的會使用User
Profile、SSL或CA，以避免資料在網路上傳送時被其他人竊聽。
SSL（Secure Sockets Layer 安全套接層）

SSL及其繼任者傳輸層安全(Transport Layer
Security，TLS)是為網路通信提供安全及數據完整性的一種安全協議。TLS與SSL在傳輸層對網路連接進行加密。

SSL (Secure Socket
Layer)為Netscape所研發，用以保障在Internet上數據傳輸之安全，利用數據加密(Encryption)技術，可確保數據在網路上之傳輸過程中不會被截取及竊聽。目前一般通用之規格為40
bit之安全標准，美國則已推出128 bit之更高安全標准，但限制出境。只要3.0版本以上之I.E.或Netscape瀏覽器即可支持SSL。

當前版本為3.0。它已被廣泛地用於Web瀏覽器與伺服器之間的身份認證和加密數據傳輸。
SSL協議位於TCP/IP協議與各種應用層協議之間，為數據通訊提供安全支持。SSL協議可分為兩層：
SSL記錄協議(SSL Record Protocol)：它建立在可靠的傳輸協議(如TCP)之上，為高層協議提供數據封裝、壓縮、加密等基本功能的支持。
SSL握手協議(SSL Handshake
Protocol)：它建立在SSL記錄協議之上，用於在實際的數據傳輸開始前，通訊雙方進行身份認證、協商加密演算法、交換加密密鑰等。

SET協議為電子交易提供了許多保證安全的措施。它能保證電子交易的機密性，數據完整性，交易行為的不可否認性和身份的合法性。SET協議設計的證書中包括：銀行證書及發卡機構證書、支付網關證書和商家證書。

(1)保證客戶交易信息的保密性和完整性

SET協議採用了雙重簽名技術對SET交易過程中消費者的支付信息和訂單信息分別簽名，使得商家看不到支付信息，只能接收用戶的訂單信息;而金融機構看不到交易內容，只能接收到用戶支付信息和帳戶信息，從而充分保證了消費者帳戶和定購信息的安全性。

(2)確保商家和客戶交易行為的不可否認性

SET協議的重點就是確保商家和客戶的身份認證和交易行為的不可否認性。其理論基礎就是不可否認機制，採用的核心技術包括X.509電子證書標准，數字簽名，報文摘要，雙重簽名等技術。

(3)確保商家和客戶的合法性

SET協議使用數字證書對交易各方的合法性進行驗證。通過數字證書的驗證，可以確保交易中的商家和客戶都是合法的，可信賴的。

電商網站要實現SSL協議即https加密訪問，需要到合法第三方CA機構申請SSL證書，必須是第三方合法CA，比如沃通CA等，自簽名SSL證書不能保證電商網站的數據安全。

『伍』 電子商務安全定義概念是什麼

電子商務安全是指指導安全電子交易的原則，允許通過互聯網購買和銷售商品和服務，但有適當的協議為相關人員提供安全保障。成功的在線業務取決於客戶對公司擁有電子商務安全基礎的信任。

電子商務安全要求包括四個方面：

（1）數據傳輸的安全性。對數據傳輸的安全性需求即是保證在公網上傳送的數據不被第三方竊取。對數據的安全性保護是通過採用數據加密（包括秘密密鑰加密和公開密鑰加密）來實現的，數字信封技術是結合秘密密鑰加密和公開密鑰加密技術實現的保證數據安全性的技術。

（2）數據的完整性。對數據的完整性需求是指數據在傳輸過程中不被篡改。數據的完整性是通過採用安全的散列函數和數字簽名技術來實現的。雙重數字簽名可以用於保證多方通信時數據的完整性。

（3）身份驗證。由於網上的通信雙方互不見面，必須在交易時（交換敏感信息時）確認對方等真實身份；在涉及到支付時，還需要確認對方的賬戶信息是否真實有效。身份認證是採用口令字技術、公開密鑰技術或數字簽名技術和數字證書技術來實現的。

（4）交易的不可抵賴。網上交易的各方在進行數據傳輸時，必須帶有自身特有的、無法被別人復制的信息，以保證交易發生糾紛時有所對證。這是通過數字簽名技術和數字證書技術來實現的。

(5)web安全與電子商務擴展閱讀：

保護電子商務或在線商店的5種最佳方式

1.選擇安全的電子商務平台

正如他們所說，「掌握基本知識，其餘部分將落實到位。」構建安全電子商務網站的第一步是使用安全平台。有很多開源和專有的電子商務平台可供選擇最適合您的電子商務平台。但是，超過三分之二的活躍電子商務網站都在使用Magento或WordPress WooCommerce。

無論您決定使用哪個平台，請確保您的伺服器符合PCI合規性要求。在伺服器上運行PCI掃描以驗證您是否符合要求。此外，請確保您運行的是最新版本的軟體。每當有新補丁可用時，請確保立即安裝。

2.實施SSL證書

在保護在線交易時，SSL是事實上的標准。SSL證書在存儲和傳輸時驗證用戶的身份並加密數據。實施SSL對於電子商務網站在最終用戶系統和您的網站之間建立安全連接至關重要。對於精通技術的買家，地址欄中帶有HTTPS的掛鎖圖標是提供個人詳細信息和信用卡信息的必要先決條件。如果消費者認為供應商正在盡一切可能保護他們的交易，他們更有可能與他們做生意。

3.考慮雙因素身份驗證

被盜或受損的用戶憑據是導致Web安全漏洞的常見原因。有多種「網路釣魚」方法可以竊取或猜測有效的用戶憑據並損害在線商店的安全性。這就是需要成熟的用戶認證機制的地方。它是保護您的在線商店免受黑客攻擊的基礎。

許多電子商務網站正在實施雙因素身份驗證（2FA），以便為其在線商店增加額外的安全保障。雙因素身份驗證是一種安全流程，其中有效用戶需要提供兩種識別方式，一種通常是用戶名/密碼組合，而第二種方式通常是實時生成的代碼，並發送到由用戶。黑客可能會破解密碼，但他們無法竊取此代碼，通常會在短時間後過期。

4.使用虛擬專用網路

在處理金融交易時，在使用公共網路時要非常小心。通過公共網路傳輸的數據很容易被惡意用戶攔截。在這種情況下，VPN服務可以派上用場。它通過加密連接將您連接到安全的非現場伺服器，這可防止第三方在您和伺服器之間插入自身。

如果您擔心傳統VPN服務所涉及的成本，那麼您可以選擇基於SSL的VPN來降低成本。OpenVPN是一個受歡迎的選擇，它提供了一個基於社區的開源版本，您可以免費使用。

5.教育客戶和員工

用戶需要對影響客戶數據的法律和政策進行培訓。因此，要教育您的客戶以及您的員工，了解您的信息安全實踐。讓他們知道您如何保護客戶的信用卡信息，以及他們應該如何做到以保證財務信息的安全。

突出顯示組織的數據安全最佳實踐，並告訴他們不要通過電子郵件，文本或聊天通信來披露敏感數據。您的員工還必須接受有關保證客戶數據安全所需的操作的培訓。指導您的員工嚴格遵守強制性安全協議和政策，以保護您的企業免受潛在的法律後果。

參考資料：網路——電子商務安全體系

『陸』 關於電子商務論文《電子商務的安全與管理》

電子商務的安全策略

摘要：

關鍵詞：

電子商務在功能上要求實現實時帳戶信息查詢。這就使電子商務系統必須在物理上與生產系統要有連接，這對於電子商務系統的安全性提出了更高的要求，必須保證外部網路（internet）用戶不能對生產系統構成威脅。為此，需要全方位地制定系統的安全策略。

就整個系統而言，安全性可以分為四個層次，如圖1所示

1．網路節點的安全

2．通訊的安全性

3．應用程序的安全性

4．用戶的認證管理

圖1：安全性四個層次結構
其中2、3、4層是通過操作系統和web伺服器軟體實現，網路節點的安全性依靠防火牆保證，我們應該首先保證網路節點的安全性。

一、網路節點的安全

1．防火牆

防火牆是在連接internet和intranet保證安全最為有效的方法，防火牆能夠有效地監視網路的通信信息，並記憶通信狀態，從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能，制定正確的安全策略，將能提供一個安全、高效的intranet系統。

2．防火牆安全策略

應給予特別注意的是，防火牆不僅僅是路由器、堡壘主機或任何提供網路安全的設備的組合，它是安全策略的一個部分。安全策略建立了全方位的防禦體系來保護機構的信息資源，這種安全策略應包括：規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施，以及管理制度等。所有有可能受到網路攻擊的地方都必須以同樣安全級別加以保護。僅設立防火牆系統，而沒有全面的安全策略，那麼防火牆就形同虛設。

3．安全操作系統

防火牆是基於操作系統的。如果信息通過操作系統的後門繞過防火牆進入內部網，則防火牆失效。所以，要保證防火牆發揮作用，必須保證操作系統的安全。只有在安全操作系統的基礎上，才能充分發揮防火牆的功能。在條件許可的情況下，應考慮將防火牆單獨安裝在硬體設備上。

二、通訊的安全

1．數據通訊

通訊的安全主要依靠對通信數據的加密來保證。在通訊鏈路上的數據安全，一定程度上取決於加密的演算法和加密的強度。 電子商務系統的數據通信主要存在於：

（1）客戶瀏覽器端與電子商務web伺服器端的通訊；

（2）電子商務web伺服器與電子商務資料庫伺服器的通訊；

（3）銀行內部網與業務網之間的數據通訊。其中（3）不在本系統的安全策略范圍內考慮。

2．安全鏈路

在客戶端瀏覽器和電子商務web伺服器之間採用ssl協議建立安全鏈接，所傳遞的重要信息都是經過加密的，這在一定程度上保證了數據在傳輸過程中的安全。目前採用的是瀏覽器預設的4o位加密強度，也可以考慮將加密強度增加到128位。 為在瀏覽器和伺服器之間建立安全機制，ssl首先要求伺服器向瀏覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權機構（ca中心）簽發。瀏覽器要驗征伺服器證書的正確性，必須事先安裝簽發機構提供的基礎公共密鑰（pki）。建立ssl鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立ssl鏈接時客戶只需用戶下載該站點的伺服器證書（下載可以在訪問之前或訪問時）。驗證此證書是合法的伺服器證書通過後利用該證書對稱加密演算法（rsa）與伺服器協商一個對稱演算法及密鑰，然後用此對稱演算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。

三、應用程序的安全性

即使正確地配置了訪問控制規則，要滿足計算機系統的安全性也是不充分的，因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數；程序員忘記檢查邊界條件，特別是處理字元串的內存緩沖時；程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行，而不是只有有限的指令子集在特權模式下運 行，其他的部分只有縮小的許可；程序員從這個特權程序使用范圍內建立一個資源，如一個文件和目錄。不是顯式地設置訪問控制（最少許可），程序員認為這個預設的許可是正確的。

這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一 些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字元串來實現的。程序不檢查輸入字元串長度。假的輸入字元串常常是可執行的命令，特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如，緩沖溢出攻擊可以向系統中增加一個用戶並賦予這個用戶特權。 訪問控制系統中沒有什麼可以檢測到這些問題。只有通過監視系統並尋找違反安全策略的行為，才能發現象這些問題一樣的錯誤。

四、用戶的認證管理

1．身份認證

電子商務企業用戶身份認證可以通過伺服器ca證書與ic卡相結合實現的。ca證書用來認證伺服器的身份，ic卡用來認證企業用戶的身份。個人用戶由於沒有提供交易功能，所以只採用id號和密碼口令的身份確認機制。

2．ca證書

要在網上確認交易各方的身份以及保證交易的不可否認性，需要一份數字證書進行驗證，這份數字證書就是ca證書，它由認證授權中心（ca中心）發行。ca中心一般是社會公認的可靠組織，它對個人、組織進行審核後，為其發放數字證書，證書分為伺服器證書和個人證書。建立ssl安全鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立ssl鏈接時客戶只需用戶下載該站點的伺服器證書（下載可以在訪問之前或訪問時進行）。

五、安全管理

為了確保系統的安全性，除了採用上述技術手段外，還必須建立嚴格的內部安全機制。

對於所有接觸系統的人員，按其職責設定其訪問系統的最小許可權。

按照分級管理原則，嚴格管理內部用戶帳號和密碼，進入系統內部必須通過嚴格的身份確認，防止非法佔用、冒用合法用戶帳號和密碼。

建立網路安全維護日誌，記錄與安全性相關的信息及事件，有情況出現時便於跟蹤查詢。定期檢查日誌，以便及時發現潛在的安全威脅。

對於重要數據要及時進行備份，且對資料庫中存放的數據，資料庫系統應視其重要性提供不同級別的數據加密。

安全實際上就是一種風險管理。任何技術手段都不能保證1oo％的安全。但是，安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。

『柒』 電子商務安全是指什麼

簡單說就是計算機網路安全和商務交易安全。
網路安全從其本質上來講就是網路上的信息安全。它涉及的領域相當廣泛。這是因為在目前的公用通信網路中存在著各種各樣的安全漏洞和威脅。從廣義來說，凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論，都是網路安全所要研究的領域，包括物理安全、網路安全、傳輸安全、應用安全、用戶安全。
電子商務安全要素體現在：
信息的機密性：密碼技術
信息的完整性：散列函數
數據輸入時的意外差錯或欺詐行為，可能導致貿易各方信息的差異；
數據傳輸過程中的信息丟失、重復、差異；
黑客對信息的篡改和假冒
完整性一般可通過提取消息文摘獲得，包括兩方面：
數據傳輸的完整性
完整性檢查、上下文檢查：內容的差異和語法規則
信息的有效性：電子文檔的法律確認
認證性：身份確認
信息的不可抵賴性：數字簽名
不可修改性：完整性
部分告知：交易與支付的部分分離
另行確認
系統的可靠性
計算機失效、程序錯誤、傳輸錯誤、硬體故障、系統軟體錯誤、計算機病毒、自然災害等

電子商務安全技術主要有：
密碼技術
加密技術是保證電子商務安全的重要手段，是信息安全的核心。
密鑰管理技術
最棘手的問題：分發和存儲
數字簽名：公鑰加密技術
網路安全技術
操作系統安全、防火牆技術、VPN、漏洞檢測、審核技術等

『捌』 簡述電子商務安全的重要性

電子商務安全的重要性：電子商務安全研究的主要內容涉及到安全電子商內務的體系結構、現代容密碼技術、數字簽名技術、身份和信息認證技術、防火牆技術、虛擬專用網路、Web安全協議、安全電子郵件系統、防治病毒技術、網路入侵檢測方法、證書管理、公鑰基礎設施、數字水印技術、數字版權保護技術，安全電子商務支付機制、安全電子商務交易協議、在線電子銀行系統和交易系統的安全，以及安全電子商務應用等。最主要的還是一下這三大安全問題。
一、保護網路安全：
網路安全是為保護商務各方網路端系統之間通信過程的安全性。
二、保護應用安全：保護應用安全，主要是針對特定應用(如Web伺服器、網路支付專用軟體系統)所建立的安全防護措施，它獨立於網路的任何其他安全防護措施。雖然有些防護措施可能是網路安全業務的一種替代或重疊，如Web瀏覽器和Web伺服器在應用層上對網路支付結算信息包的加密，都通過IP層加密，但是許多應用還有自己的特定安全要求。
三、保護系統安全：保護系統安全，是指從整體電子商務系統或網路支付系統的角度進行安全防護，它與網路系統硬體平台、操作系統、各種應用軟體等互相關聯。

『玖』 安全在電子商務中有什麼地位和作用

隨著信息技術、網路技術和Internet的飛速發展，電子商務成為越來越多的人關注的焦點。電子商務使得人們可以在網上通過建立網站樹立自己的形象，發布自己的產品信息，宣傳產品廣告，提供售後服務，甚至可以提供網上交談、電子合同簽訂、電子交易和資金結算等。但是，事物的發展都存在兩面性，一方面電子商務給我們帶來了便利，同時在進行電子商務活動時，需要在Internet上傳輸消費者和商家的一些機密信息，如用戶信用卡、商家用戶信息和訂購信息等，而這些信息一直是網路非法入侵者或黑客的攻擊目標。如何保證電子商務安全，如何對敏感信息和個人信息提供機密性保障、認證交易雙方的合法身份以及數據的完整性和交易的不可否認性，已經成為電子商務發展的瓶頸，對這些問題的擔心也是導致很多人不願意進行網上購物和支付的主要要原因。
所以在當代電子商務盛行的時代，確寶電子商務的安全是非常有必要的。