㈠ 電子商務安全的內容包括
電子商務安全包括備份技術、密碼技術、認證技術以及訪問控制技術等。
1.備份技術。所謂資料庫備份與恢復方案,目的是在資料庫系統故障並且短時間內難以恢復時,用存儲在備份介質中的數據將資料庫還原到備份時的狀態。
2.認證技術。認證技術可以阻止不擁有系統授權的用戶非法破壞敏感機密的數據,是資料庫管理系統為防止各種假冒攻擊安全策略。 3.訪問控制技術。訪問控制方案有三種,分別叫做自主存取控制(DAC)、強制存取控制(MAC)和基於角色的存取控制(RBAC)。當用戶對資料庫進行訪問時,系統會根據用戶的級別與許可權來判定此操作是允許的或者禁止的,從而達到保護敏感數據不被泄露或者篡改的目的。
4.審計技術。這種有效機制可以在最大程度上保證資料庫管理系統的信息安全。有兩種審計方式:用戶審計和系統審計。
5.加密技術。資料庫管理系統的加密以欄位為最小單位進行,加密和解密通常是通過對稱密碼機制的密鑰來實現。
㈡ 電子商務安全要素有哪些
電子商務安全要素有以下四點:
1、有效性、真實性
有效性、真實性是指能對信息、實體的有效性。真實性進行鑒別,電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關繫到個人、企業和國家的經濟利益和聲譽。如何保證這種電子貿易信息的有效性和真實性成了經營電子商務的前提。
2、機密性
機密性是指保證信息不會泄漏給非授權人或實體電子商務作為一種貿易手段,其信息是個人、企業或國家的商業機密。網路交易必須保證發送者和接受者之間交換信息的保密性,而電子商務建立在一個較為開放的網路環境上,商業保密就成為電子商務全面推廣應用的重點保護對象。
3、數據的完整性
數據的完整性要求防止數據非授權的輸入、修改、刪除或破壞,保證數據的一致性信息的完整性將影響到貿易各方的交易和經營策略,保持這種完整性是電子商務應用的基礎,數據輸入時的意外差錯或欺詐行為可能導致貿易各方信息的差異。數據傳輸過程中的信息丟失、信息重發或信息傳送次序的差異也會導致貿易各方信息不相同。
4、可靠性、不可抵賴性
可靠性是要求保證合法用戶對信息和資源的使用不會遭到不正當的拒絕;不可抵賴性是要求建立有效的責任機制,防止實體否認其行為在互聯網上每個人都是匿名的,原發方字發送數據後不能抵賴;接收方在接收數據後也不能抵賴。在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已經不可能。
㈢ 電子商務安全是指什麼
簡單說就是計算機網路安全和商務交易安全。
網路安全從其本質上來講就是網路上的信息安全。它涉及的領域相當廣泛。這是因為在目前的公用通信網路中存在著各種各樣的安全漏洞和威脅。從廣義來說,凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論,都是網路安全所要研究的領域,包括物理安全、網路安全、傳輸安全、應用安全、用戶安全。
電子商務安全要素體現在:
信息的機密性:密碼技術
信息的完整性:散列函數
數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異;
數據傳輸過程中的信息丟失、重復、差異;
黑客對信息的篡改和假冒
完整性一般可通過提取消息文摘獲得,包括兩方面:
數據傳輸的完整性
完整性檢查、上下文檢查:內容的差異和語法規則
信息的有效性:電子文檔的法律確認
認證性:身份確認
信息的不可抵賴性:數字簽名
不可修改性:完整性
部分告知:交易與支付的部分分離
另行確認
系統的可靠性
計算機失效、程序錯誤、傳輸錯誤、硬體故障、系統軟體錯誤、計算機病毒、自然災害等
電子商務安全技術主要有:
密碼技術
加密技術是保證電子商務安全的重要手段,是信息安全的核心。
密鑰管理技術
最棘手的問題:分發和存儲
數字簽名:公鑰加密技術
網路安全技術
操作系統安全、防火牆技術、VPN、漏洞檢測、審核技術等
㈣ 電子商務安全法律制度主要有哪些
電子商務,Electronic Commerce,通常是指是在全球各地廣泛的商業貿易活動中,在網際網路開放的網路環境下,基於瀏覽器/伺服器應用方式,買賣雙方不謀面地進行各種商貿活動,實現消費者的網上購物、商戶之間的網上交易和在線電子支付以及各種商務活動、交易活動、金融活動和相關的綜合服務活動的一種新型的商業運營模式。"
2所謂的客戶關系管理就是為企業提供全方位的管理視角;賦予企業更完善的客戶交流能力,最大化客戶的收益率。
3網路營銷(On-line Marketing或E-Marketing)就是以國際互聯網路為基礎,利用數字化的信息和網路媒體的交互性來輔助營銷目標實現的一種新型的市場營銷方式。
4電子商務產生發展的條件:電子商務的出現,打破了以往傳統商務模式下的時間和空間的界限,改變了原有企業的格局、原有的價值體系、原有的經營模式,甚至改變了企業的形式。電子商務對商品的價格也帶來了深刻的影響。主要包括:電子商務降低采購成本;電子商務實現無庫存生產;電子商務實現營銷成本下降;電子商務降低企業組織管理費用以及電子商務降低交易費用。
5簡述電子商務法的基本原則:
一、中立原則
電子商務法的基本目標,歸結起來就是要在電子商務活動中,建立公平的交易規則。這是商法的交易安全原則在電子商務法上的必然反映。電子商務既是一種新的交易手段,同時又是一個新興產業。面對其中所蘊涵的,深不可測的巨大利益的誘惑,可以說沒有哪個企業是無動於衷的。各種利益集團、各種技術,以及各個利益主體都想參與其中,在這個無比廣闊的舞台上施展才華,謀取便利。其具體參與者有硬體製造商、軟體開發商、信息提供商、消費者、商家等等,不一而足。而要達到各方利益的平衡,實現公平的目標,就有必要做到如下幾點:
(1)技術中立。電子商務法對傳統的口令法、以及非對稱性公開密鑰法,以及生物鑒別法等認證方法,都不可厚此薄彼,產生任何歧視性要求。同時,還要給未來技術的發展留下法律空間,而不能停止於現狀,以至閉塞賢路。譬如新計算機的問世、新一代高速網路的出現等,都將考驗電子商務法的技術中立性。這是在總結了傳統書面法律要求的經驗教訓,而得出的方針。當然,該原則在具體實施時,會遇到許多困難。而克服這些具體困難的過程,也就是技術中立原則實現的過程。
(2)媒介中立。媒介中立與技術中立緊密聯系,二者都具有較強的客觀性,並且一定的傳輸技術,與相應的媒介之間是互為前提的。媒介中立,是中立原則在各種通訊媒體上的具體表現,所不同的是,技術中立側重於訊息的控制和利用手段:而媒介中立則著重於訊息依賴的載體。後者更接近於材料科學。從傳統的通訊行業劃分來看,不同的媒體可能分屬於不同的產業部門,如無線通訊、有線通訊、電視、廣播、增殖網路等。而電子商務法,則應以中立的原則來對待這些媒介體,允許各種媒介根據技術和市場的發展規律而相互融合,互相促進。只有這樣,才能使各種資源得到充分的利用,從而避免人為的行業壟斷,活媒介壟斷。開放性網際網路的出現,正好為各種媒介發揮其作用提供了理想的環境,達到興利除弊,共生共榮。
(3)實施中立。是指在電子商務法與其他相關法律的實施上,不可偏廢;在本國電子商務活動與跨國際性電子商務活動的法律待遇上,應一視同仁。特別是不能將傳統書面環境下的法律規范(如書面、簽名、原件等法律要求)的效力,放置於電子商務法之上,而應中立對待,根據具體環境特徵的需求,來決定法律的實施。如果說前述技術中立和媒介中立,反映了電子商務法對技術方案和媒介方式的規范,具有較強的客觀性。而對電子商務法的中立實施,則更偏重於主觀性。電子商務法如同其他規范一樣,其適用離不開當事人的遵守與司法機關的適用。
(4)同等保護。此點是實施中立原則在電子商務交易主體上的延伸。電子商務法對商家與消費者,國內當事人與國外當事人等,都應盡量做到同等保護。因為電子商務市場本身是國際性的,在現代通訊技術條件下,割裂的、封閉的電子商務市場是無法生存生存的。
一言以蔽之,電子商務法上的中立原則,著重反映了商事交易的公平理念。其具體實施將全面展現在當事人所依託於開放性、兼容性、國際性的網路與協議,而進行的商事交易之中。
二、自治原則
允許當事人以協議方式訂立其間的交易規則,是交易法的基本屬性。因而,在電子商務法的立法與司法過程中,都要以自治原則為指導,為當事人全面表達與實現自己的意願,預留充分的空間,並提供確實的保障。譬如以《示範法》第四條為例,就規定了當事人可以協議變更的條款。其內在含義是:除了強制性的法律規范外,其餘條款均可由當事人自行協商制定。其實,《示範法》中的強行規范不僅從數量上很少,僅四條之多,而且其目的也僅在於消除傳統法律為電子商務發展所造成的障礙,為當事人在電子商務領域里充分行使其意思自治而創造條件。換言之,《示範法》的任意性條款,從正面確定權利,以鼓勵其意思自治,而強制性條款,則從反面摧毀傳統法律羈絆,使法律適應電子商務活動的特徵,更好的保障其自治意思的實現。可以說是一正、一反,殊途同歸。
三、安全原則
保障電子商務的安全進行,既是電子商務法的重要任務,又是其基本原則之一。電子商務以其高效、快捷的特性,在各種商事交易形式中脫穎而出,具有強大的生命力。而這種高效、快捷的交易工具。必須以安全為其前提,它不僅需要技術上的安全措施,同時,也離不開法律上的安全規范。譬如,電子商務法確認強化(安全)電子簽名的標准 ,規定認證機構的資格及其職責等具體的制度,都是為了在電子商務條件下,形成一個較為安全的環境,至少其安全程度應與傳統紙面形式相同。電子商務法從對數據電訊效力的承認,以消除電子商務運行方式的法律上的不確定性,以至於根據電子商務活動中現代電子技術方案應用的成熟經驗,而建立起反映其特點的操作性規范,其中都貫穿了安全原則和理念。
㈤ 電子商務安全的內容包括哪些方面
電子商務安全,包括的內容有:
備份技術
目的是在資料庫系統故障並且短時間內難以恢復時,用存回儲在備答份介質中的數據將資料庫還原到備份時的狀態。
認證技術
資料庫管理系統為防止各種假冒攻擊安全策略。
當用戶對資料庫進行訪問時,系統會根據用戶的級別與許可權來判定此操作是允許的或者禁止的,從而達到保護敏感數據不被泄露或者篡改的目的。
審計技術
保證資料庫管理系統的信息安全。有兩種審計方式:用戶審計和系統審計。
加密技術
加密和解密通常是通過對稱密碼機制的密鑰來實現。
㈥ 電子商務安全類型有哪些
電子商務系統必須具備有效性、機密性、完整性、認證性、不可抵賴性等五個內安全要素。
安全防範對策是容
(1)完善各項管理制度包括:建全法律法規、建立組織機構及人員管理制度、保密制度、跟蹤審計制度、系統維護制度、病毒防範制度、應急措施等。
(2)技術對策包括:網路安全檢測設備、建立安全的防火牆體系、不間斷電源的良好使用、建立認證中心,並進行數字證書的認證和發放、加強數據加密、較強的防入侵措施、嚴格的訪問控制、通信流的控制、合理的鑒別機制、保護傳輸線路安全、開發各種具有較高安全性的訪問設備、數據完整性的控制、埠保護,還有安全檢測、審查和跟蹤等技術對策。
㈦ 目前電子商務安全法律制度主要有哪些
1電子商務,Electronic Commerce,通常是指是在全球各地廣泛的商業貿易活動中,在網際網路開放的網路環境下,基於瀏覽器/伺服器應用方式,買賣雙方不謀面地進行各種商貿活動,實現消費者的網上購物、商戶之間的網上交易和在線電子支付以及各種商務活動、交易活動、金融活動和相關的綜合服務活動的一種新型的商業運營模式。"
2所謂的客戶關系管理就是為企業提供全方位的管理視角;賦予企業更完善的客戶交流能力,最大化客戶的收益率。
3網路營銷(On-line Marketing或E-Marketing)就是以國際互聯網路為基礎,利用數字化的信息和網路媒體的交互性來輔助營銷目標實現的一種新型的市場營銷方式。
4電子商務產生發展的條件:電子商務的出現,打破了以往傳統商務模式下的時間和空間的界限,改變了原有企業的格局、原有的價值體系、原有的經營模式,甚至改變了企業的形式。電子商務對商品的價格也帶來了深刻的影響。主要包括:電子商務降低采購成本;電子商務實現無庫存生產;電子商務實現營銷成本下降;電子商務降低企業組織管理費用以及電子商務降低交易費用。
5簡述電子商務法的基本原則:
一、中立原則
電子商務法的基本目標,歸結起來就是要在電子商務活動中,建立公平的交易規則。這是商法的交易安全原則在電子商務法上的必然反映。電子商務既是一種新的交易手段,同時又是一個新興產業。面對其中所蘊涵的,深不可測的巨大利益的誘惑,可以說沒有哪個企業是無動於衷的。各種利益集團、各種技術,以及各個利益主體都想參與其中,在這個無比廣闊的舞台上施展才華,謀取便利。其具體參與者有硬體製造商、軟體開發商、信息提供商、消費者、商家等等,不一而足。而要達到各方利益的平衡,實現公平的目標,就有必要做到如下幾點:
(1)技術中立。電子商務法對傳統的口令法、以及非對稱性公開密鑰法,以及生物鑒別法等認證方法,都不可厚此薄彼,產生任何歧視性要求。同時,還要給未來技術的發展留下法律空間,而不能停止於現狀,以至閉塞賢路。譬如新計算機的問世、新一代高速網路的出現等,都將考驗電子商務法的技術中立性。這是在總結了傳統書面法律要求的經驗教訓,而得出的方針。當然,該原則在具體實施時,會遇到許多困難。而克服這些具體困難的過程,也就是技術中立原則實現的過程。
(2)媒介中立。媒介中立與技術中立緊密聯系,二者都具有較強的客觀性,並且一定的傳輸技術,與相應的媒介之間是互為前提的。媒介中立,是中立原則在各種通訊媒體上的具體表現,所不同的是,技術中立側重於訊息的控制和利用手段:而媒介中立則著重於訊息依賴的載體。後者更接近於材料科學。從傳統的通訊行業劃分來看,不同的媒體可能分屬於不同的產業部門,如無線通訊、有線通訊、電視、廣播、增殖網路等。而電子商務法,則應以中立的原則來對待這些媒介體,允許各種媒介根據技術和市場的發展規律而相互融合,互相促進。只有這樣,才能使各種資源得到充分的利用,從而避免人為的行業壟斷,活媒介壟斷。開放性網際網路的出現,正好為各種媒介發揮其作用提供了理想的環境,達到興利除弊,共生共榮。
(3)實施中立。是指在電子商務法與其他相關法律的實施上,不可偏廢;在本國電子商務活動與跨國際性電子商務活動的法律待遇上,應一視同仁。特別是不能將傳統書面環境下的法律規范(如書面、簽名、原件等法律要求)的效力,放置於電子商務法之上,而應中立對待,根據具體環境特徵的需求,來決定法律的實施。如果說前述技術中立和媒介中立,反映了電子商務法對技術方案和媒介方式的規范,具有較強的客觀性。而對電子商務法的中立實施,則更偏重於主觀性。電子商務法如同其他規范一樣,其適用離不開當事人的遵守與司法機關的適用。
(4)同等保護。此點是實施中立原則在電子商務交易主體上的延伸。電子商務法對商家與消費者,國內當事人與國外當事人等,都應盡量做到同等保護。因為電子商務市場本身是國際性的,在現代通訊技術條件下,割裂的、封閉的電子商務市場是無法生存生存的。
一言以蔽之,電子商務法上的中立原則,著重反映了商事交易的公平理念。其具體實施將全面展現在當事人所依託於開放性、兼容性、國際性的網路與協議,而進行的商事交易之中。
二、自治原則
允許當事人以協議方式訂立其間的交易規則,是交易法的基本屬性。因而,在電子商務法的立法與司法過程中,都要以自治原則為指導,為當事人全面表達與實現自己的意願,預留充分的空間,並提供確實的保障。譬如以《示範法》第四條為例,就規定了當事人可以協議變更的條款。其內在含義是:除了強制性的法律規范外,其餘條款均可由當事人自行協商制定。其實,《示範法》中的強行規范不僅從數量上很少,僅四條之多,而且其目的也僅在於消除傳統法律為電子商務發展所造成的障礙,為當事人在電子商務領域里充分行使其意思自治而創造條件。換言之,《示範法》的任意性條款,從正面確定權利,以鼓勵其意思自治,而強制性條款,則從反面摧毀傳統法律羈絆,使法律適應電子商務活動的特徵,更好的保障其自治意思的實現。可以說是一正、一反,殊途同歸。
三、安全原則
保障電子商務的安全進行,既是電子商務法的重要任務,又是其基本原則之一。電子商務以其高效、快捷的特性,在各種商事交易形式中脫穎而出,具有強大的生命力。而這種高效、快捷的交易工具。必須以安全為其前提,它不僅需要技術上的安全措施,同時,也離不開法律上的安全規范。譬如,電子商務法確認強化(安全)電子簽名的標准 ,規定認證機構的資格及其職責等具體的制度,都是為了在電子商務條件下,形成一個較為安全的環境,至少其安全程度應與傳統紙面形式相同。電子商務法從對數據電訊效力的承認,以消除電子商務運行方式的法律上的不確定性,以至於根據電子商務活動中現代電子技術方案應用的成熟經驗,而建立起反映其特點的操作性規范,其中都貫穿了安全原則和理念。
我國電子商務的發展已經達到中等發達國家水平,因為(1)中國有近3億網民,(2)網上零售已達到100億
㈧ 電子商務的安全體系都包括哪些
硬體系統安全措施
㈨ 電子商務安全包括哪些方面
在正確看待電子商務的安全問題時,有幾個觀念值得注意:
其一,安全是一個系統的概念。安全問題不僅僅是個技術性的問題,不僅僅只涉及到技術,更重要的還有管理,而且它還與社會道德、行業管理以及人們的行為模式都緊密地聯系在一起了。
其二,安全是相對的。房子的窗戶上只有一塊玻璃,一般說來這已經很安全,但是如果非要用石頭去砸,那就不安全了。我們不會因為石頭能砸碎玻璃而去懷疑它的安全性,因為大家都有一個普遍的認識:玻璃是不能砸的,有了窗玻璃就可以保證房子的安全。同樣,不要追求一個永遠也攻不破的安全技術,安全與管理始終是聯系在一起的。也就是說安全是相對的,而不是絕對的,如果要想以後的網站永遠不受攻擊,不出安全問題是很難的,我們要正確認識這個問題。
其三,安全是有成本和代價的。無論是現在國外的B-to-B還是B-to-C,都要考慮到安全的代價和成本的問題。如果只注重速度就必定要以犧牲安全來作為代價,如果能考慮到安全速度就得慢一點,把安全性保障得更好一些,當然這與電子商務的具體應用有關。如果不直接牽涉到支付等敏感問題,對安全的要求就低一些;如果牽涉到支付問題對安全的要求就要高一些,所以安全是有成本和代價的。...在正確看待電子商務的安全問題時,有幾個觀念值得注意:
其一,安全是一個系統的概念。安全問題不僅僅是個技術性的問題,不僅僅只涉及到技術,更重要的還有管理,而且它還與社會道德、行業管理以及人們的行為模式都緊密地聯系在一起了。
其二,安全是相對的。房子的窗戶上只有一塊玻璃,一般說來這已經很安全,但是如果非要用石頭去砸,那就不安全了。我們不會因為石頭能砸碎玻璃而去懷疑它的安全性,因為大家都有一個普遍的認識:玻璃是不能砸的,有了窗玻璃就可以保證房子的安全。同樣,不要追求一個永遠也攻不破的安全技術,安全與管理始終是聯系在一起的。也就是說安全是相對的,而不是絕對的,如果要想以後的網站永遠不受攻擊,不出安全問題是很難的,我們要正確認識這個問題。
其三,安全是有成本和代價的。無論是現在國外的B-to-B還是B-to-C,都要考慮到安全的代價和成本的問題。如果只注重速度就必定要以犧牲安全來作為代價,如果能考慮到安全速度就得慢一點,把安全性保障得更好一些,當然這與電子商務的具體應用有關。如果不直接牽涉到支付等敏感問題,對安全的要求就低一些;如果牽涉到支付問題對安全的要求就要高一些,所以安全是有成本和代價的。作為一個經營者,應該綜合考慮這些因素;作為安全技術的提供者,在研發技術時也要考慮到這些因素。
其四,安全是發展的、動態的。今天安全明天就不一定很安全,因為網路的攻防是此消彼長、道高一尺、魔高一丈的事情,尤其是安全技術,它的敏感性、競爭性以及對抗性都是很強的,這就需要不斷地檢查、評估和調整相應的安全策略。沒有一勞永逸的安全,也沒有一蹴而就的安全。
㈩ 電子商務安全措施有哪些
就整個系統而言,安全性可以分為四個層次
.網路節點的安全
2.通訊的安全性
3.程序的安全性
4.用戶的認證管理
其中2、3、4層是通過操作系統和Web伺服器軟體實現,網路節點的安全性依靠防火牆保證,我們應該首先保證網路節點的安全性。
一、網路節點的安全
1.防火牆
防火牆是在連接Internet和Intranet保證安全最為有效的,防火牆能夠有效地監視網路的通信信息,並記憶通信狀態,從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet系統。
2.防火牆安全策略
應給予特別注意的是,防火牆不僅僅是路由器、堡壘主機或任何提供網路安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防禦體系來保護機構的信息資源,這種安全策略應包括:規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網路攻擊的地方都必須以同樣安全級別加以保護。僅設立防火牆系統,而沒有全面的安全策略,那麼防火牆就形同虛設。
3.安全操作系統
防火牆是基於操作系統的。如果信息通過操作系統的後門繞過防火牆進入內部網,則防火牆失效。所以,要保證防火牆發揮作用,必須保證操作系統的安全。只有在安全操作系統的基礎上,才能充分發揮防火牆的功能。在條件許可的情況下,應考慮將防火牆單獨安裝在硬體設備上。
二、通訊的安全
1.數據通訊
通訊的安全主要依靠對通信數據的加密來保證。在通訊鏈路上的數據安全,一定程度上取決於加密的演算法和加密的強度。 電子商務系統的數據通信主要存在於:
(1)客戶瀏覽器端與電子商務WEB伺服器端的通訊;
(2)電子商務WEB伺服器與電子商務資料庫伺服器的通訊;
(3)銀行內部網與業務網之間的數據通訊。其中(3)不在本系統的安全策略范圍內考慮。
2.安全鏈路
在客戶端瀏覽器和商務WEB伺服器之間採用SSL協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。採用的是瀏覽器預設的4O位加密強度,也可以考慮將加密強度增加到128位。 為在瀏覽器和伺服器之間建立安全機制,SSL首先要求伺服器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(CA中心)簽發。瀏覽器要驗征伺服器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰(PKI)。建立SSL鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的伺服器證書通過後利用該證書對稱加密演算法(RSA)與伺服器協商一個對稱演算法及密鑰,然後用此對稱演算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。
三、程序的安全性
即使正確地配置了訪問控制規則,要滿足機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字元串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運 行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個預設的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一 些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字元串來實現的。程序不檢查輸入字元串長度。假的輸入字元串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶並賦予這個用戶特權。 訪問控制系統中沒有什麼可以檢測到這些。只有通過監視系統並尋找違反安全策略的行為,才能發現象這些問題一樣的錯誤。
四、用戶的認證管理
1.身份認證
電子商務用戶身份認證可以通過伺服器CA證書與IC卡相結合實現的。CA證書用來認證伺服器的身份,IC卡用來認證企業用戶的身份。個人用戶由於沒有提供交易功能,所以只採用ID號和密碼口令的身份確認機制。
2.CA證書
要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是CA證書,它由認證授權中心(CA中心)發行。CA中心一般是公認的可靠組織,它對個人、組織進行審核後,為其發放數字證書,證書分為伺服器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時進行)。
五、安全管理
為了確保系統的安全性,除了採用上述技術手段外,還必須建立嚴格的內部安全機制。
對於所有接觸系統的人員,按其職責設定其訪問系統的最小許可權。
按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法佔用、冒用合法用戶帳號和密碼。
建立安全維護日誌,記錄與安全性相關的信息及事件,有情況出現時便於跟蹤查詢。定期檢查日誌,以便及時發現潛在的安全威脅。
對於重要數據要及時進行備份,且對資料庫中存放的數據,資料庫系統應視其重要性提供不同級別的數據加密。
安全實際上就是一種風險管理。任何技術手段都不能保證1OO%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。