電子商務的安全策略

1. 電子商務安全的措施

適當設置防護措施可以降低或防止來自現實的威脅。在通信安全、計算機安全、物理安全、人事安全、管理安全和媒體安全方面均可採取一定的措施，整個系統的安全取決於系統中最薄弱環節的安全水平，這就需要從系統設計上進行全面的考慮，折中選取。電子商務中的安全措施包括有下述幾類：
(1)保證交易雙方身份的真實性：
常用的處理技術是身份認證，依賴某個可信賴的機構(CA認證中心)發放證書，並以此識別對方。目的是保證身份的精確性，分辨參與者身份的真偽，防止偽裝攻擊。
(2)保證信息的保密性：
保護信息不被泄露或被披露給未經授權的人或組織，常用的處理技術是數據加密和解密，其安全性依賴於使用的演算法和密鑰長度。常見的加密方法有對稱式密鑰加密技術(如DES演算法)和公開密鑰加密技術(如RSA演算法)。(3)保證信息的完整性：
常用數據雜湊等技術來實現。通過散列演算法來保護數據不被未授權者(非法用戶)建立、嵌入、刪除、篡改、重放。典型的散列演算法為美國國家安全局開發的單向散列演算法之一。
(4)保證信息的真實性：
常用的處理手段是數字簽名技術。目的是為了解決通信雙方相互之間可能的欺詐，如發送用戶對他所發送信息的否認、接收用戶對他已收到信息的否認等，而不是對付未知的攻擊者，其基礎是公開密鑰加密技術。目前，可用的數字簽名演算法較多，如RSA數字簽名、ELGamal數字簽名等。
(5)保證信息的不可否認性：
通常要求引入認證中心(CA)進行管理，由CA發放密鑰，傳輸的單證及其簽名的備份發至CA保存，作為可能爭議的仲裁依據。
(6)保證存儲信息的安全性：
規范內部管理，使用訪問控制許可權和日誌，以及敏感信息的加密存儲等。

2. 京東電子商務平台的安全策略

常用語，抄就是你平時襲經常用到的話術語句。
用語一個行業里，或者說是在客服系統平台，客服人員要和訪客進行聊天，在接待很多訪客的時候，一個人的打字速度和精力都是有限的，所以為了應付更多的訪客，就會需要有一個常用語作為輔助，當訪客問出的問題，常用語知識庫裡面會自動檢索到，或者說裡面有這么一個答案，那麼你就可以直接點擊回復，而不用自己去思考這個問題，再組織語言打出來回復，節省了很多時間。這就是常用語的用處。
所以，樂盈通客服系統的常用語功能，應該也是實現這樣的一個應用於快速回復的場景，提高客服的工作效率和專業態度。

3. 電子商務安全要素有哪些

電子商務安全要素有以下四點：

1、有效性、真實性

有效性、真實性是指能對信息、實體的有效性。真實性進行鑒別，電子商務作為貿易的一種形式，其信息的有效性和真實性將直接關繫到個人、企業和國家的經濟利益和聲譽。如何保證這種電子貿易信息的有效性和真實性成了經營電子商務的前提。

2、機密性

機密性是指保證信息不會泄漏給非授權人或實體電子商務作為一種貿易手段，其信息是個人、企業或國家的商業機密。網路交易必須保證發送者和接受者之間交換信息的保密性，而電子商務建立在一個較為開放的網路環境上，商業保密就成為電子商務全面推廣應用的重點保護對象。

3、數據的完整性

數據的完整性要求防止數據非授權的輸入、修改、刪除或破壞，保證數據的一致性信息的完整性將影響到貿易各方的交易和經營策略，保持這種完整性是電子商務應用的基礎，數據輸入時的意外差錯或欺詐行為可能導致貿易各方信息的差異。數據傳輸過程中的信息丟失、信息重發或信息傳送次序的差異也會導致貿易各方信息不相同。

4、可靠性、不可抵賴性

可靠性是要求保證合法用戶對信息和資源的使用不會遭到不正當的拒絕；不可抵賴性是要求建立有效的責任機制，防止實體否認其行為在互聯網上每個人都是匿名的，原發方字發送數據後不能抵賴；接收方在接收數據後也不能抵賴。在無紙化的電子商務方式下，通過手寫簽名和印章進行貿易方的鑒別已經不可能。

4. 電子商務安全方面的措施有哪些

電子商復務系統的安全重點主要基制於以下兩個方面：

(1)系統安全性：指系統的穩定性和抗攻擊能力，以及在受到攻擊或系統出現軟、硬體故障後的系統恢復能力。

(2)數據安全性：是指保持數據的一致性、完整性，和使用許可權的可控制性等。數據安全性包含以下幾個方面：

①數據的機密性。任何人不能看到其無權看到的信息；其中，比普通加密方式更進一步的是，任何人都不能看到或修改其行政管理概念上的許可權無權獲得的數據(數據加密)，這將更符合實際的要求。

②數據的完整性。對發出的數據只有完整到達，才能被完全確認，否則數據不能被認可。

③不可抵賴性。對任何人已經發出的信息，能夠根據信息本身確定數據只能由該人發出，並能確定發出時間等重要信息。

5. 簡述電子商務安全性的要求

從安全和信任關系來看，在傳統交易過程中，買賣雙方是面對面的版，因此很容易保證交易權過 程的安全性和建立起信任關系。但在電子商務過程中，買賣雙方是通過網路來聯系的，彼此遠 隔千山萬水，由於英特網既不安全，也不可信，因而建立交易雙方的安全和信任關系相當困 難。電子商務交易雙方(銷售者和消費者)都面臨不同的安全威脅。

6. 電子商務常用的安全措施

就整個系統而言，安全性可以分為四個層次
1．網路節點的安全
2．通訊的安全性
3．程序的安全性
4．用戶的認證管理
其中2、3、4層是通過操作系統和Web伺服器軟體實現，網路節點的安全性依靠防火牆保證，我們應該首先保證網路節點的安全性。
一、網路節點的安全
1．防火牆
防火牆是在連接Internet和Intranet保證安全最為有效的，防火牆能夠有效地監視網路的通信信息，並記憶通信狀態，從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能，制定正確的安全策略，將能提供一個安全、高效的Intranet系統。
2．防火牆安全策略
應給予特別注意的是，防火牆不僅僅是路由器、堡壘主機或任何提供網路安全的設備的組合，它是安全策略的一個部分。安全策略建立了全方位的防禦體系來保護機構的信息資源，這種安全策略應包括：規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施，以及管理制度等。所有有可能受到網路攻擊的地方都必須以同樣安全級別加以保護。僅設立防火牆系統，而沒有全面的安全策略，那麼防火牆就形同虛設。
3．安全操作系統
防火牆是基於操作系統的。如果信息通過操作系統的後門繞過防火牆進入內部網，則防火牆失效。所以，要保證防火牆發揮作用，必須保證操作系統的安全。只有在安全操作系統的基礎上，才能充分發揮防火牆的功能。在條件許可的情況下，應考慮將防火牆單獨安裝在硬體設備上。
二、通訊的安全
1．數據通訊
通訊的安全主要依靠對通信數據的加密來保證。在通訊鏈路上的數據安全，一定程度上取決於加密的演算法和加密的強度。 電子商務系統的數據通信主要存在於：
（1）客戶瀏覽器端與電子商務WEB伺服器端的通訊；
（2）電子商務WEB伺服器與電子商務資料庫伺服器的通訊；
（3）銀行內部網與業務網之間的數據通訊。其中（3）不在本系統的安全策略范圍內考慮。

2．安全鏈路
在客戶端瀏覽器和商務WEB伺服器之間採用SSL協議建立安全鏈接，所傳遞的重要信息都是經過加密的，這在一定程度上保證了數據在傳輸過程中的安全。採用的是瀏覽器預設的4O位加密強度，也可以考慮將加密強度增加到128位。 為在瀏覽器和伺服器之間建立安全機制，SSL首先要求伺服器向瀏覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權機構（CA中心）簽發。瀏覽器要驗征伺服器證書的正確性，必須事先安裝簽發機構提供的基礎公共密鑰（PKI）。建立SSL鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書（下載可以在訪問之前或訪問時）。驗證此證書是合法的伺服器證書通過後利用該證書對稱加密演算法（RSA）與伺服器協商一個對稱演算法及密鑰，然後用此對稱演算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。
三、程序的安全性
即使正確地配置了訪問控制規則，要滿足機系統的安全性也是不充分的，因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數；程序員忘記檢查邊界條件，特別是處理字元串的內存緩沖時；程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行，而不是只有有限的指令子集在特權模式下運 行，其他的部分只有縮小的許可；程序員從這個特權程序使用范圍內建立一個資源，如一個文件和目錄。不是顯式地設置訪問控制（最少許可），程序員認為這個預設的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一 些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字元串來實現的。程序不檢查輸入字元串長度。假的輸入字元串常常是可執行的命令，特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如，緩沖溢出攻擊可以向系統中增加一個用戶並賦予這個用戶特權。 訪問控制系統中沒有什麼可以檢測到這些。只有通過監視系統並尋找違反安全策略的行為，才能發現象這些問題一樣的錯誤。
四、用戶的認證管理
1．身份認證
電子商務用戶身份認證可以通過伺服器CA證書與IC卡相結合實現的。CA證書用來認證伺服器的身份，IC卡用來認證企業用戶的身份。個人用戶由於沒有提供交易功能，所以只採用ID號和密碼口令的身份確認機制。
2．CA證書
要在網上確認交易各方的身份以及保證交易的不可否認性，需要一份數字證書進行驗證，這份數字證書就是CA證書，它由認證授權中心（CA中心）發行。CA中心一般是公認的可靠組織，它對個人、組織進行審核後，為其發放數字證書，證書分為伺服器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書（下載可以在訪問之前或訪問時進行）。
五、安全管理
為了確保系統的安全性，除了採用上述技術手段外，還必須建立嚴格的內部安全機制。
對於所有接觸系統的人員，按其職責設定其訪問系統的最小許可權。
按照分級管理原則，嚴格管理內部用戶帳號和密碼，進入系統內部必須通過嚴格的身份確認，防止非法佔用、冒用合法用戶帳號和密碼。
建立安全維護日誌，記錄與安全性相關的信息及事件，有情況出現時便於跟蹤查詢。定期檢查日誌，以便及時發現潛在的安全威脅。
對於重要數據要及時進行備份，且對資料庫中存放的數據，資料庫系統應視其重要性提供不同級別的數據加密。
安全實際上就是一種風險管理。任何技術手段都不能保證1OO％的安全。但是，安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。

7. 電子商務網站 安全策略

期待中。。
但是這些好像是公司的機密，不會告訴你太詳細，只能告訴你一個大框

8. 電子商務有哪些安全要素

（1）可靠性

可靠性是指電子商務系統的可靠程度，是指為防止由於計算機失效、程序錯誤、傳輸錯誤、硬體故障、系統軟體錯誤、計算機病毒和自然災害等所產生的潛在威脅，採取了一系列的控制和預防措施來防止數據信息資源不受到破壞的可靠程度。

（2）真實性

真實性是指商務活動中交易者身份的真實性，確保交易雙方確實是存在的，不是假冒的。網上交易的雙方相隔很遠，互不了解，要使交易成功，必須互相信任，確認對方是真實的。能否方便而又可靠地確認交易雙方身份的真實性，是順利進行電子商務交易的前提。

（3）機密性

機密性是指交易過程中必須保留信息不會泄露給非授權的人或實體。電子商務的交易信息直接代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來保守機密的；而電子商務則建立在一個較為開放的網路環境上，商業保密就成為電子商務全面推廣的重要屏障。因此要預防非法的信息存取和信息在傳輸過程中被非法竊取，確保只有合法用戶才能看到數據，防止泄密事件。

（4）完整性

完整性是指數據在輸入、輸出和傳輸過程中，要求能保證數據的一致性，防止數據非授權建立、修改和破壞。電子商務簡化了貿易過程，減少了認為的干預，但同時也帶來了需要維護商業信息完整、統一的問題。由於數據輸入時的意外差錯或欺詐行為，可能導致貿易各方信息的差異。此外數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息不相同。信息的完整性將影響到貿易各方的交易和經營策略，保持這種完整性是電子商務應用的基礎。

（5）有效性

電子商務以電子形式取代了紙張，那麼如何保證這種電子形式貿易信息為交易各方共同認可是開展電子商務的前提。電子商務作為一種新的貿易形勢，其信息的有效性將直接關繫到個人、企業或國家的經濟利益和聲譽。一旦簽訂交易後，這項交易就應受到保護，以防止被篡改或偽造。交易的有效性在其價格、期限及數量作為協議一部分時尤為重要。

（6）不可抵賴性

電子商務可能直接關繫到貿易雙方的商業交易，如何確定將要進行的交易方正是所期望的貿易方這一問題，則是保證電子商務順利進行的關鍵。在電子商務方式下，通過手寫簽名和印章是不可能的。因此要求在交易信息中為參與交易的個人、企業或國家提供可靠的標識，使原發送方在發送數據後不能抵賴；接收方在接收數據後也不能抵賴。

（7）內部網的嚴密性

企業的內部網一方面有著大量需要保密的信息，另一方面傳遞著企業內部的大量指令，控制著企業的業務流程。企業內部網一旦被惡意侵入，可能給企業帶來極大的混亂與損失。保證內部網不被非法侵入，也是開展電子商務的企業應著重考慮的一個安全問題。

9. 電子商務安全策略的內容

轉：電子商務按交易主體一般分為四種：B2B、B2C、B2B2C、C2C。企業電子商務主要指前兩種。按交易對象而言，B2B主要進行實物產品交易，而B2C除實物產品外還進行數字產品交易。影響電子商務贏利主要涉及三個方面：即成本收益、敏感性和風險。

成本收益
成本收益也叫盈虧平衡，就是說企業建設電子商務網站所帶來的成本和收益，成本主要指：設備投資所需費用：這包括以各種方式接入網際網路所必須的各種設備的費用和使用網際網路時所需要的各種類型的終端、微機、工作站、伺服器等的費用。通訊成本：指為傳輸信息所付的資費。維護費：這包括網路管理人員的工資和其他消費品的費用。

收益指電子商務的實施而得到的可大致進行定量分析的開銷節約。主要包括降低庫存成本所獲收益，對於一般商業企業，庫存成本大約為銷售2%，如果把原料的庫存和半成品的庫存加上去，則可能更高達銷售額的6%～30%。電子商務的解決方案可將此成本減少10%。電子商務處理單證的費用是原來書面形式的1/10。實行電子商務後，企業可以通過網際網路搜集信息，進行集中采購，從而減少了管理成本，節約了差旅費。也堵塞了采購過程中的一些漏洞。有資料表明，全球EDI通常可為企業節省5%—10%的采購成本。有研究表明使用互聯網做廣告媒體進行網上促銷活動，可增加10倍銷量，而成本只有傳統廣告及郵寄廣告的1/10。間接收益，這包括實行電子商務之後業務管理改善及更有效的為客戶服務所獲得的收益。

敏感性因素

影響電子商務盈利的敏感性因素主要有技術、資金和管理。

1.技術。先進的技術是保證電子商務順利運行的前提，網路技術的迅猛發展是導致電子商務出現的直接原因。企業建設電子商務所需的技術分為前期的技術建設和運營後隨技術發展狀況而做的技術革新與追加。絕大多數電子商務企業並不進行技術的先期開發，而只是對成熟技術的引進利用。這就使電子商務技術具有普及性和趨同性的特點。技術的創新能夠降低成本,率先採用新技術的企業能夠在短期內提高收益,但其他企業會在很短時間內跟進。並且由於電子商務技術具有普及性及趨同性，因此技術對電子商務企業的盈利敏感度不大。

2.資金。投資於電子商務的資金包括先期開發資金和後期維護所需資金。電子商務企業先期投入的固定成本比較大，後期維護的費用比較小。電子商務硬體建成之後，固定成本對於其運營來講是無關成本，只有後期的維護費用對企業的順利運營有影響，由於這部分資金較小，電子商務企業一般都能及時支付，故資金對於電子商務企業的盈利影響也不大。

3.管理。企業實行電子商務後，後期的運作是包括產、供、銷、資金支付等所有方面的系統工程。盈利與否、盈利大小都與管理有直接關系。同樣的基礎設施與技術，同樣的起點，有的企業穩健發展，有的企業卻連連虧損。這里，管理是決定電子商務企業興衰成敗的決定因素。

風險

任何投資項目都面臨著各種各樣的不確定性因素，電子商務也不例外。而且電子商務的收益具有不同於一般項目的特性：估算性。即電子商務的收益一般只能通過主觀分析比較得到，例如減少多少書面作業量，提高多少信息准確度，改善多少與客戶的關系等，不可能計算的很清楚。即電子商務的收益只能在電子商務項目建成之後從其運作過程中所能節省的成本中體現出來。

以上兩個特性增加了電子商務企業收益的風險性。同時，由於網路經濟的快速發展，新技術變革日新月異，使電子商務企業要獲得生存發展必須在信息和技術兩個方面跟上整個行業的發展，稍微落後即遭淘汰，這更增加了電子商務企業的風險性。

增強贏利的關鍵：成本、收益、風險的管理

由以上的分析可以看出，增強企業電子商務的盈利性，要從成本、收益、風險等方面的管理入手，降低成本和風險，提高收入。

降低成本

嚴格成本控制，降低運營成本。曾經有一段時間，「先壯大，後盈利」的思想被信奉為電子商務的經營哲學，為贏得顧客，網站花費巨額資金在電視台的黃金時間播放廣告，贊助大型音樂會，提高知名度。這時成本控制的思想已被狂熱的電子商務追求者們遠遠拋在腦後，以致成本過高，導致回收期過長，據IDG調查結果顯示，美國很多新電子商務網路獲得一個網上購物顧客成本為80美元，而大多數電子商務網站毛利只有5%左右，這就意味著一個顧客要買1600美元商品才能持平營銷成本，更要用3～4年時間才能把投向該顧客的成本收回來。在來自投資人的盈利壓力越來越大的情況下，緊縮開支，控製成本是電子商務網站走出死亡陰影的必由之路。

對企業的內外部資源進行優化組合，將摩擦成本降到最低。企業開展電子商務並不是一個孤立的環節，要達到降低成本的目的，前提條件是要保證上游企業和下游企業在信息化方面的跟進，從而形成一個良好的循環鏈，達到節省大量中間成本，提高工作效率的目的。(1)就企業內部而言，應加強企業資源計劃(ERP)系統的實施，藉助計算機集成系統(CIMS)和計算機輔助設計(CAD)連接研發、生產、供應、營銷、服務等環節，實現對人力、財力、物力和技術等內部資源的優化組合。(2)就企業外部而言，應加強企業間的供應鏈管理，密切企業與供應商、銷售商的聯系，跟蹤技術、客戶、市場，確保對市場變化的及時了解和迅速反應。具體來講，生產實物產品的電子商務企業可以採用商務運營部門與銷售部門相脫離的雙鏈運籌策略：銷售部門專心做銷售，而商務運營部門不僅要負責定單處理、產品儲運等物流供貨任務，同時將生產計劃、物資采購等供貨的前提環節也合並進來，使商務運營中心能夠按照市場需求及供求情況去安排生產、采購配件、合理安排庫存，最終實現及時供貨，提升銷售渠道和客戶對企業的滿意度。
改善企業組織結構，降低管理成本。傳統的組織結構主要有U型和M型，現實的組織實踐中絕大多數企業採用的就是這兩類組織結構形式。這兩種不同的組織結構中有一個共同的特點，即在決策層與作業層間存在中間管理層。但網路技術的普及和發展使企業組織機構的存在基礎發生巨大的變化，電子商務技術的發展使信息處理效率大幅提高，企業網路內每一終端都可以同時獲得全面的數據與信息，各種計算機輔助手段的應用使中層管理人員的作用日見勢微，網路技術使企業高層管理人員通過網路系統，低成本的及時過濾各個基層機構形成的原始信息。因此企業應及時調整其組織結構，採用扁平化的組織結構方式來適應新興電子商務經營方式，以減少中層管理人員，提高效率，降低企業內部管理成本。

提高收入增加收益

經營數字產品的電子商務企業應採用差別價格的定價方式充分挖掘電子商務的優勢，提高收益。傳統產品由於大規模生產具有趨同的特性，且無法獲得不同消費者的偏好，只能對產品實行統一定價方式，或針對不同階層、地區採用有限差別價格定價模式。網路技術的發展，數字產品可大規模量身定製的特性使完全差別價格定價模式的兩個基本條件得以實現，即實現了產品差異化，同時也滿足了能獲得不同消費者的偏好。這就使電子商務企業可依據消費者的個人喜好對產品收取最高價格，獲取統一定價模式下所不能獲得的「消費者剩餘」收益。

積極建立網上銷售渠道，強化網路宣傳，樹立企業自身品牌形象，擴大銷售量。經營數字產品的電子商務企業還可以採用捆綁式銷售方法(捆綁式銷售是指將兩件或更多的產品按固定的比例包裝在一起銷售)提高銷售量。

減少風險

大企業和小企業在發展電子商務中所面臨的風險是不同的，所以企業是否發展電子商務要根據自身情況而定，決不能隨波逐流，一哄而上。目前情況來看，大企業發展電子商務更具優勢，這是因為：大型企業一般經過多年發展，具備了成熟的管理體系，主要的業務流程比較規范。大型企業具備完善的銷售渠道。大型企業具備品牌優勢比較容易吸引顧客。對這些企業來講，導入電子商務只是將原來的資源統一整合配置到新的主業上的過程。海爾集團從2000年4月18日電子商務平台開始運行以來，到9月份止，其B2B就已實現了12億元人民幣的交易額，業績不俗。從近兩年電子商務的發展速度來推測，海爾在2001年電子商務的交易額還會有一大幅度增長。中小企業無上述優勢，抵抗風險的能力也較差，建設電子商務的前期應進行嚴格的財務評價，以盈利為投資取捨的基準，應從自身現實出發，積極與大企業開展生產、經營、資本、技術等多方面的協作，加入到電子商務所形成的大規模供應鏈中去，融入到商務發展的潮流中去，從中汲取經驗。內部購買力低，而無必要上電子商務的小型企業可以考慮從一家ASP供應商那裡租賃網路平台，既滿足自身需要，又可節省費用。

10. 電子商務安全措施有哪些

就整個系統而言，安全性可以分為四個層次
．網路節點的安全
2．通訊的安全性
3．程序的安全性
4．用戶的認證管理
其中2、3、4層是通過操作系統和Web伺服器軟體實現，網路節點的安全性依靠防火牆保證，我們應該首先保證網路節點的安全性。
一、網路節點的安全
1．防火牆
防火牆是在連接Internet和Intranet保證安全最為有效的，防火牆能夠有效地監視網路的通信信息，並記憶通信狀態，從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能，制定正確的安全策略，將能提供一個安全、高效的Intranet系統。
2．防火牆安全策略
應給予特別注意的是，防火牆不僅僅是路由器、堡壘主機或任何提供網路安全的設備的組合，它是安全策略的一個部分。安全策略建立了全方位的防禦體系來保護機構的信息資源，這種安全策略應包括：規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施，以及管理制度等。所有有可能受到網路攻擊的地方都必須以同樣安全級別加以保護。僅設立防火牆系統，而沒有全面的安全策略，那麼防火牆就形同虛設。
3．安全操作系統
防火牆是基於操作系統的。如果信息通過操作系統的後門繞過防火牆進入內部網，則防火牆失效。所以，要保證防火牆發揮作用，必須保證操作系統的安全。只有在安全操作系統的基礎上，才能充分發揮防火牆的功能。在條件許可的情況下，應考慮將防火牆單獨安裝在硬體設備上。
二、通訊的安全
1．數據通訊
通訊的安全主要依靠對通信數據的加密來保證。在通訊鏈路上的數據安全，一定程度上取決於加密的演算法和加密的強度。 電子商務系統的數據通信主要存在於：
（1）客戶瀏覽器端與電子商務WEB伺服器端的通訊；
（2）電子商務WEB伺服器與電子商務資料庫伺服器的通訊；
（3）銀行內部網與業務網之間的數據通訊。其中（3）不在本系統的安全策略范圍內考慮。

2．安全鏈路
在客戶端瀏覽器和商務WEB伺服器之間採用SSL協議建立安全鏈接，所傳遞的重要信息都是經過加密的，這在一定程度上保證了數據在傳輸過程中的安全。採用的是瀏覽器預設的4O位加密強度，也可以考慮將加密強度增加到128位。 為在瀏覽器和伺服器之間建立安全機制，SSL首先要求伺服器向瀏覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權機構（CA中心）簽發。瀏覽器要驗征伺服器證書的正確性，必須事先安裝簽發機構提供的基礎公共密鑰（PKI）。建立SSL鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書（下載可以在訪問之前或訪問時）。驗證此證書是合法的伺服器證書通過後利用該證書對稱加密演算法（RSA）與伺服器協商一個對稱演算法及密鑰，然後用此對稱演算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。
三、程序的安全性
即使正確地配置了訪問控制規則，要滿足機系統的安全性也是不充分的，因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數；程序員忘記檢查邊界條件，特別是處理字元串的內存緩沖時；程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行，而不是只有有限的指令子集在特權模式下運 行，其他的部分只有縮小的許可；程序員從這個特權程序使用范圍內建立一個資源，如一個文件和目錄。不是顯式地設置訪問控制（最少許可），程序員認為這個預設的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一 些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字元串來實現的。程序不檢查輸入字元串長度。假的輸入字元串常常是可執行的命令，特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如，緩沖溢出攻擊可以向系統中增加一個用戶並賦予這個用戶特權。 訪問控制系統中沒有什麼可以檢測到這些。只有通過監視系統並尋找違反安全策略的行為，才能發現象這些問題一樣的錯誤。
四、用戶的認證管理
1．身份認證
電子商務用戶身份認證可以通過伺服器CA證書與IC卡相結合實現的。CA證書用來認證伺服器的身份，IC卡用來認證企業用戶的身份。個人用戶由於沒有提供交易功能，所以只採用ID號和密碼口令的身份確認機制。
2．CA證書
要在網上確認交易各方的身份以及保證交易的不可否認性，需要一份數字證書進行驗證，這份數字證書就是CA證書，它由認證授權中心（CA中心）發行。CA中心一般是公認的可靠組織，它對個人、組織進行審核後，為其發放數字證書，證書分為伺服器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書（下載可以在訪問之前或訪問時進行）。
五、安全管理
為了確保系統的安全性，除了採用上述技術手段外，還必須建立嚴格的內部安全機制。
對於所有接觸系統的人員，按其職責設定其訪問系統的最小許可權。
按照分級管理原則，嚴格管理內部用戶帳號和密碼，進入系統內部必須通過嚴格的身份確認，防止非法佔用、冒用合法用戶帳號和密碼。
建立安全維護日誌，記錄與安全性相關的信息及事件，有情況出現時便於跟蹤查詢。定期檢查日誌，以便及時發現潛在的安全威脅。
對於重要數據要及時進行備份，且對資料庫中存放的數據，資料庫系統應視其重要性提供不同級別的數據加密。
安全實際上就是一種風險管理。任何技術手段都不能保證1OO％的安全。但是，安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。