電子商務安全策略研究

『壹』 電子商務信息安全與策略畢業論文怎麼寫

指出電子商務信息中的安全問題，再一一提出自己的建議和解決辦法就好了，這是論文或者答辯時中鵬給出的一點模式建議

『貳』 電子商務安全威脅及防範措施分別是什麼

1、未進行操作系統相關安全配置

不論採用什麼操作系統，在預設安裝的條件下都會存在一些安全問題，只有專門針對操作系統安全性進行相關的和嚴格的安全配置，才能達到一定的安全程度。千萬不要以為操作系統預設安裝後，再配上很強的密碼系統就算作安全了。網路軟體的漏洞和「後門」是進行網路攻擊的首選目標。

2、未進行CGI程序代碼審計

如果是通用的CGI問題，防範起來還稍微容易一些，但是對於網站或軟體供應商專門開發的一些CGI程序，很多存在嚴重的CGI問題，對於電子商務站點來說，會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。

3、拒絕服務（DoS，DenialofService）攻擊

隨著電子商務的興起，對網站的實時性要求越來越高，DoS或DDoS對網站的威脅越來越大。以網路癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈，破壞性更大，造成危害的速度更快，范圍也更廣，而襲擊者本身的風險卻非常小，甚至可以在襲擊開始前就已經消失得無影無蹤，使對方沒有實行報復打擊的可能。

4、安全產品使用不當

雖然不少網站採用了一些網路安全設備，但由於安全產品本身的問題或使用問題，這些產品並沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高，超出對普通網管人員的技術要求，就算是廠家在最初給用戶做了正確的安裝、配置，但一旦系統改動，需要改動相關安全產品的設置時，很容易產生許多安全問題。

5、缺少嚴格的網路安全管理制度

網路安全最重要的還是要思想上高度重視，網站或區域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網路安全制度與策略是真正實現網路安全的基礎。

6、竊取信息

由於未採用加密措施，數據信息在網路上以明文形式傳送，入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規律和格式，進而得到傳輸信息的內容，造成網上傳輸信息泄密。

7、篡改信息

當入侵者掌握了信息的格式和規律後，通過各種技術手段和方法，將網路上傳送的信息數據在中途修改，然後再發向目的地。這種方法並不新鮮，在路由器或網關上都可以做此類工作。

8、假冒

由於掌握了數據的格式，並可以篡改通過的信息，攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。

9、惡意破壞

由於攻擊者可以接入網路，則可能對網路中的信息進行修改，掌握網上的機要信息，甚至可以潛入網路內部，其後果是非常嚴重的。

安全對策

1、保護網路安全。

保護網路安全的主要措施如下：全面規劃網路平台的安全策略，制定網路安全的管理措施，使用防火牆，盡可能記錄網路上的一切活動，注意對網路設備的物理保護，檢驗網路平台系統的脆弱性，建立可靠的識別和鑒別機制。

2、保護應用安全。

應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網路支付等應用的安全性。

3、保護系統安全。

在安裝的軟體中，如瀏覽器軟體、電子錢包軟體、支付網關軟體等，檢查和確認未知的安全漏洞。技術與管理相結合，使系統具有最小穿透風險性。如通過諸多認證才允許連通，對所有接入數據必須進行審計，對系統用戶進行嚴格安全管理。建立詳細的安全審計日誌，以便檢測並跟蹤入侵攻擊等。

4、加密技術

加密技術為電子商務採取的基本安全措施，交易雙方可根據需要在信息交換的階段使用。加密技術分為兩類，即對稱加密和非對稱加密。

5、認證技術。

用電子手段證明發送者和接收者身份及其文件完整性的技術，即確認雙方的身份信息在傳送或存儲過程中未被篡改過。包括數字簽名、數字證書。

6、電子商務的安全協議。

電子商務的運行還有一套完整的安全協議，有SET、SSL等。

(2)電子商務安全策略研究擴展閱讀

從電子商務的含義及發展歷程可以看出電子商務具有如下基本特徵：

1、普遍性。電子商務作為一種新型的交易方式，將生產企業、流通企業以及消費者和政府帶入了一個網路經濟、數字化生存的新天地。

2、方便性。在電子商務環境中，人們不再受地域的限制，客戶能以非常簡捷的方式完成過去較為繁雜的商業活動。如通過網路銀行能夠全天候地存取賬戶資金、查詢信息等，同時使企業對客戶的服務質量得以大大提高。在電子商務商業活動中，有大量的人脈資源開發和溝通，從業時間靈活，完成公司要求，有錢有閑。

3、整體性。電子商務能夠規范事務處理的工作流程，將人工操作和電子信息處理集成為一個不可分割的整體，這樣不僅能提高人力和物力的利用率，也可以提高系統運行的嚴密性。

4、安全性。在電子商務中，安全性為一個至關重要的核心問題，它要求網路能提供一種端到端的安全解決方案，如加密機制、簽名機制、安全管理、存取控制、防火牆、防病毒保護等等，這與傳統的商務活動有著很大的不同。

5、協調性。商業活動本身為一種協調過程，它需要客戶與公司內部、生產商、批發商、零售商間的協調。在電子商務環境中，它更要求銀行、配送中心、通信部門、技術服務等多個部門的通力協作，電子商務的全過程往往是一氣呵成的。

『叄』 電子商務安全策略的內容

轉：電子商務按交易主體一般分為四種：B2B、B2C、B2B2C、C2C。企業電子商務主要指前兩種。按交易對象而言，B2B主要進行實物產品交易，而B2C除實物產品外還進行數字產品交易。影響電子商務贏利主要涉及三個方面：即成本收益、敏感性和風險。

成本收益
成本收益也叫盈虧平衡，就是說企業建設電子商務網站所帶來的成本和收益，成本主要指：設備投資所需費用：這包括以各種方式接入網際網路所必須的各種設備的費用和使用網際網路時所需要的各種類型的終端、微機、工作站、伺服器等的費用。通訊成本：指為傳輸信息所付的資費。維護費：這包括網路管理人員的工資和其他消費品的費用。

收益指電子商務的實施而得到的可大致進行定量分析的開銷節約。主要包括降低庫存成本所獲收益，對於一般商業企業，庫存成本大約為銷售2%，如果把原料的庫存和半成品的庫存加上去，則可能更高達銷售額的6%～30%。電子商務的解決方案可將此成本減少10%。電子商務處理單證的費用是原來書面形式的1/10。實行電子商務後，企業可以通過網際網路搜集信息，進行集中采購，從而減少了管理成本，節約了差旅費。也堵塞了采購過程中的一些漏洞。有資料表明，全球EDI通常可為企業節省5%—10%的采購成本。有研究表明使用互聯網做廣告媒體進行網上促銷活動，可增加10倍銷量，而成本只有傳統廣告及郵寄廣告的1/10。間接收益，這包括實行電子商務之後業務管理改善及更有效的為客戶服務所獲得的收益。

敏感性因素

影響電子商務盈利的敏感性因素主要有技術、資金和管理。

1.技術。先進的技術是保證電子商務順利運行的前提，網路技術的迅猛發展是導致電子商務出現的直接原因。企業建設電子商務所需的技術分為前期的技術建設和運營後隨技術發展狀況而做的技術革新與追加。絕大多數電子商務企業並不進行技術的先期開發，而只是對成熟技術的引進利用。這就使電子商務技術具有普及性和趨同性的特點。技術的創新能夠降低成本,率先採用新技術的企業能夠在短期內提高收益,但其他企業會在很短時間內跟進。並且由於電子商務技術具有普及性及趨同性，因此技術對電子商務企業的盈利敏感度不大。

2.資金。投資於電子商務的資金包括先期開發資金和後期維護所需資金。電子商務企業先期投入的固定成本比較大，後期維護的費用比較小。電子商務硬體建成之後，固定成本對於其運營來講是無關成本，只有後期的維護費用對企業的順利運營有影響，由於這部分資金較小，電子商務企業一般都能及時支付，故資金對於電子商務企業的盈利影響也不大。

3.管理。企業實行電子商務後，後期的運作是包括產、供、銷、資金支付等所有方面的系統工程。盈利與否、盈利大小都與管理有直接關系。同樣的基礎設施與技術，同樣的起點，有的企業穩健發展，有的企業卻連連虧損。這里，管理是決定電子商務企業興衰成敗的決定因素。

風險

任何投資項目都面臨著各種各樣的不確定性因素，電子商務也不例外。而且電子商務的收益具有不同於一般項目的特性：估算性。即電子商務的收益一般只能通過主觀分析比較得到，例如減少多少書面作業量，提高多少信息准確度，改善多少與客戶的關系等，不可能計算的很清楚。即電子商務的收益只能在電子商務項目建成之後從其運作過程中所能節省的成本中體現出來。

以上兩個特性增加了電子商務企業收益的風險性。同時，由於網路經濟的快速發展，新技術變革日新月異，使電子商務企業要獲得生存發展必須在信息和技術兩個方面跟上整個行業的發展，稍微落後即遭淘汰，這更增加了電子商務企業的風險性。

增強贏利的關鍵：成本、收益、風險的管理

由以上的分析可以看出，增強企業電子商務的盈利性，要從成本、收益、風險等方面的管理入手，降低成本和風險，提高收入。

降低成本

嚴格成本控制，降低運營成本。曾經有一段時間，「先壯大，後盈利」的思想被信奉為電子商務的經營哲學，為贏得顧客，網站花費巨額資金在電視台的黃金時間播放廣告，贊助大型音樂會，提高知名度。這時成本控制的思想已被狂熱的電子商務追求者們遠遠拋在腦後，以致成本過高，導致回收期過長，據IDG調查結果顯示，美國很多新電子商務網路獲得一個網上購物顧客成本為80美元，而大多數電子商務網站毛利只有5%左右，這就意味著一個顧客要買1600美元商品才能持平營銷成本，更要用3～4年時間才能把投向該顧客的成本收回來。在來自投資人的盈利壓力越來越大的情況下，緊縮開支，控製成本是電子商務網站走出死亡陰影的必由之路。

對企業的內外部資源進行優化組合，將摩擦成本降到最低。企業開展電子商務並不是一個孤立的環節，要達到降低成本的目的，前提條件是要保證上游企業和下游企業在信息化方面的跟進，從而形成一個良好的循環鏈，達到節省大量中間成本，提高工作效率的目的。(1)就企業內部而言，應加強企業資源計劃(ERP)系統的實施，藉助計算機集成系統(CIMS)和計算機輔助設計(CAD)連接研發、生產、供應、營銷、服務等環節，實現對人力、財力、物力和技術等內部資源的優化組合。(2)就企業外部而言，應加強企業間的供應鏈管理，密切企業與供應商、銷售商的聯系，跟蹤技術、客戶、市場，確保對市場變化的及時了解和迅速反應。具體來講，生產實物產品的電子商務企業可以採用商務運營部門與銷售部門相脫離的雙鏈運籌策略：銷售部門專心做銷售，而商務運營部門不僅要負責定單處理、產品儲運等物流供貨任務，同時將生產計劃、物資采購等供貨的前提環節也合並進來，使商務運營中心能夠按照市場需求及供求情況去安排生產、采購配件、合理安排庫存，最終實現及時供貨，提升銷售渠道和客戶對企業的滿意度。
改善企業組織結構，降低管理成本。傳統的組織結構主要有U型和M型，現實的組織實踐中絕大多數企業採用的就是這兩類組織結構形式。這兩種不同的組織結構中有一個共同的特點，即在決策層與作業層間存在中間管理層。但網路技術的普及和發展使企業組織機構的存在基礎發生巨大的變化，電子商務技術的發展使信息處理效率大幅提高，企業網路內每一終端都可以同時獲得全面的數據與信息，各種計算機輔助手段的應用使中層管理人員的作用日見勢微，網路技術使企業高層管理人員通過網路系統，低成本的及時過濾各個基層機構形成的原始信息。因此企業應及時調整其組織結構，採用扁平化的組織結構方式來適應新興電子商務經營方式，以減少中層管理人員，提高效率，降低企業內部管理成本。

提高收入增加收益

經營數字產品的電子商務企業應採用差別價格的定價方式充分挖掘電子商務的優勢，提高收益。傳統產品由於大規模生產具有趨同的特性，且無法獲得不同消費者的偏好，只能對產品實行統一定價方式，或針對不同階層、地區採用有限差別價格定價模式。網路技術的發展，數字產品可大規模量身定製的特性使完全差別價格定價模式的兩個基本條件得以實現，即實現了產品差異化，同時也滿足了能獲得不同消費者的偏好。這就使電子商務企業可依據消費者的個人喜好對產品收取最高價格，獲取統一定價模式下所不能獲得的「消費者剩餘」收益。

積極建立網上銷售渠道，強化網路宣傳，樹立企業自身品牌形象，擴大銷售量。經營數字產品的電子商務企業還可以採用捆綁式銷售方法(捆綁式銷售是指將兩件或更多的產品按固定的比例包裝在一起銷售)提高銷售量。

減少風險

大企業和小企業在發展電子商務中所面臨的風險是不同的，所以企業是否發展電子商務要根據自身情況而定，決不能隨波逐流，一哄而上。目前情況來看，大企業發展電子商務更具優勢，這是因為：大型企業一般經過多年發展，具備了成熟的管理體系，主要的業務流程比較規范。大型企業具備完善的銷售渠道。大型企業具備品牌優勢比較容易吸引顧客。對這些企業來講，導入電子商務只是將原來的資源統一整合配置到新的主業上的過程。海爾集團從2000年4月18日電子商務平台開始運行以來，到9月份止，其B2B就已實現了12億元人民幣的交易額，業績不俗。從近兩年電子商務的發展速度來推測，海爾在2001年電子商務的交易額還會有一大幅度增長。中小企業無上述優勢，抵抗風險的能力也較差，建設電子商務的前期應進行嚴格的財務評價，以盈利為投資取捨的基準，應從自身現實出發，積極與大企業開展生產、經營、資本、技術等多方面的協作，加入到電子商務所形成的大規模供應鏈中去，融入到商務發展的潮流中去，從中汲取經驗。內部購買力低，而無必要上電子商務的小型企業可以考慮從一家ASP供應商那裡租賃網路平台，既滿足自身需要，又可節省費用。

『肆』 求《電子商務安全技術的研究》畢業論文

電子商務安全技術的分析與研究

[摘 要] 本文首先介紹了電子商務安全的現狀，分析了存在的主要問題，然後從網路安全技術、數據加密技術、用戶認證技術等方面介紹了主要的電子安全技術，並提出了一個合理的電子商務安全體系架構。

[關鍵詞] 電子商務電子支付 安全技術

一、引言
隨著網路技術和信息技術的飛速發展，電子商務得到了越來越廣泛的應用，越來越多的企業和個人用戶依賴於電子商務的快捷、高效。它的出現不僅為Internet的發展壯大提供了一個新的契機，也給商業界注入了巨大的能量。但電子商務是以計算機網路為基礎載體的，大量重要的身份信息、會計信息、交易信息都需要在網上進行傳遞，在這樣的情況下，安全性問題成為首要問題。

二、目前電子商務存在的安全性問題
1.網路協議安全性問題：目前，TCP/IP協議是應用最廣泛的網路協議，但由於TCP/IP本身的開放性特點，企業和用戶在電子交易過程中的數據是以數據包的形式來傳送的，惡意攻擊者很容易對某個電子商務網站展開數據包攔截，甚至對數據包進行修改和假冒。
2.用戶信息安全性問題：目前最主要的電子商務形式是基於B/S(Browser/Server)結構的電子商務網站，用戶使用瀏覽器登錄網路進行交易，由於用戶在登錄時使用的可能是公共計算機，如網吧、辦公室的計算機等情況，那麼如果這些計算機中有惡意木馬程序或病毒，這些用戶的登錄信息如用戶名、口令可能會有丟失的危險。
3.電子商務網站的安全性問題：有些企業建立的電子商務網站本身在設計製作時就會有一些安全隱患，伺服器操作系統本身也會有漏洞，不法攻擊者如果進入電子商務網站，大量用戶信息及交易信息將被竊取，給企業和用戶造成難以估量的損失。

三、電子商務安全性要求
1.服務的有效性要求：電子商務系統應能防止服務失敗情況的發生，預防由於網路故障和病毒發作等因素產生的系統停止服務等情況，保證交易數據能准確快速的傳送。
2.交易信息的保密性要求：電子商務系統應對用戶所傳送的信息進行有效的加密，防止因信息被截取破譯，同時要防止信息被越權訪問。
3.數據完整性要求：數字完整性是指在數據處理過程中，原來數據和現行數據之間保持完全一致。為了保障商務交易的嚴肅和公正，交易的文件是不可被修改的，否則必然會損害一方的商業利益。
4.身份認證的要求：電子商務系統應提供安全有效的身份認證機制，確保交易雙方的信息都是合法有效的，以免發生交易糾紛時提供法律依據。

四、電子商務安全技術措施
1.數據加密技術。對數據進行加密是電子商務系統最基本的信息安全防範措施．其原理是利用加密演算法將信息明文轉換成按一定加密規則生成的密文後進行傳輸，從而保證數據的保密性。使用數據加密技術可以解決信息本身的保密性要求。數據加密技術可分為對稱密鑰加密和非對稱密鑰加密。
(1)對稱密鑰加密(SecretKeyEncryption)。對稱密鑰加密也叫秘密/專用密鑰加密，即發送和接收數據的雙方必須使用相同的密鑰對明文進行加密和解密運算。它的優點是加密、解密速度快，適合於對大量數據進行加密，能夠保證數據的機密性和完整性；缺點是當用戶數量大時，分配和管理密鑰就相當困難。
(2)非對稱密鑰加密(PublicKeyEncryption)。非對稱密鑰加密也叫公開密鑰加密，它主要指每個人都有一對惟一對應的密鑰:公開密鑰(簡稱公鑰)和私人密鑰(簡稱私鑰)公鑰對外公開，私鑰由個人秘密保存，用其中一把密鑰來加密，就只能用另一把密鑰來解密。非對稱密鑰加密演算法的優點是易於分配和管理，缺點是演算法復雜，加密速度慢。
(3)復雜加密技術。由於上述兩種加密技術各有長短，目前比較普遍的做法是將兩種技術進行集成。例如信息發送方使用對稱密鑰對信息進行加密，生成的密文後再用接收方的公鑰加密對稱密鑰生成數字信封，然後將密文和數字信封同時發送給接收方，接收方按相反方向解密後得到明文。
2.數字簽名技術。數字簽名是通過特定密碼運算生成一系列符號及代碼組成電子密碼進行簽名，來代替書寫簽名或印章，對於這種電子式的簽名還可進行技術驗證，其驗證的准確度是一般手工簽名和圖章的驗證所無法比擬的。數字簽名技術可以保證信息傳送的完整性和不可抵賴性。
3.認證機構和數字證書。由於電子商務中的交易一般不會有使用者面對面進行，所以對交易雙方身份的認定是保障電子商務交易安全的前提。認證機構是一個公立可信的第三方，用以證實交易雙方的身份，數字證書是由認證機構簽名的包括公開密鑰擁有者身份信息以及公開密鑰的文件。在交易支付過程中，參與方必須利用認證中心簽發的數字證書來證明自己的身份。
4.使用安全電子交易協議(SET:Secure Electronic Transactions)。是由VISA 和MasterCard兩大信用卡組織指定的標准。SET用於劃分與界定電子商務活動中各方的權利義務關系，給定交易信息傳送流程標准。SET協議保證了電子商務系統的保密性、完整性、不可否認性和身份的合法性。

五、結束語
電子商務是國民經濟和社會信息化的重要組成部分，而安全性則是關系電子商務能否迅速發展的重要因素。電子商務的安全是一個復雜系統工程，僅從技術角度防範是遠遠不夠的，還必須完善電子商務方面的立法，以規范飛速發展的電子商務現實中存在的各類問題，從而引導和促進電子商務又好又快地發展。

參考文獻:
[1]覃 征 李順東:電子商務概論[M].北京:高等教育出版社，2002.06．
[2]余小兵:淺談電子商務中的安全問題[J].科技咨詢導報，2007.02
[3]曾鳳生:電子商務安全需求及防護策略[J].資料庫及信息管理，2007.06

僅供參考，請自借鑒

希望對您有幫助。

『伍』 電子商務的安全策略包括哪些內容

推薦你去「同徽電子商務研究中心」網站上看看，這上面都是關於電子商務相關的新聞及知識，評論，以及發展趨勢等。你多看看，相信對你有用。
我就是一直收藏著，用得著就翻出來看看。挺好。

『陸』 分析企業在制定電子商務安全策略時應考慮哪些問題

1.計算機安全
計算機是一種硬體設備，硬體設備難免出現故障，一旦出現，將會影響電子商務系統的運行。非凡是計算機的硬碟，一旦損壞，數據就會丟失，損失就無法挽回，需要對計算機硬體和數據進行備份。計算機系統安全主要是考慮提高用於電子商務系統的計算機硬體可靠性和穩定性。

2.網路安全
網路是用戶進行數據交換，信息傳遞的主要途徑。通過網路，用戶可以訪問網路中不同的計算機系統。網路安全主要是考慮限制用戶對用於電子商務系統的計算機的訪問許可權，防止未授權的用戶對系統的訪問以及越權訪問。

3.數據安全
在網路上傳遞的數據假如不採用任何安全措施，就會受到各種各樣的攻擊，如數據被截獲，甚至數據被惡意篡改和破壞。數據安全主要是考慮防止數據被截獲或截獲後被破譯，以及防止數據被惡意篡改和破壞。

4.應用安全
在網路環境下，計算機病毒猖獗，假如不加防範，就輕易導致應用軟體被病毒感染，程序被非法入侵和破壞，系統的功能受到限制。更嚴重的是導致系統不能正常工作，數據和信息丟失。應用安全主要是考慮防止應用軟體被各種病毒非法入侵和破壞。

5.電子商務交易安全問題
電子商務交易過程中，商家要發布產品信息，確認訂購信息，收貨款；客戶要獲取產品信息，傳遞訂購信息，支付貨款。買賣雙方都存在安全問題，其中主要包括交易信息安全、支付安全和誠信安全。

『柒』 求一篇《淺析我國電子商務安全現狀與應對策略》論文

你好，可以給我一個郵箱嗎，我上圖書館資源資料庫搜索的以下文章，我把他們發給你

四篇文章題名為：

《電子商務安全管理的現狀及其對策》

《我國電子商務安全防範的現狀及解決途徑》

《我國電子商務安全現狀及防範對策探討》

《淺析我國電子商務安全現狀》

希望對你有幫助~

知道 舉手之勞團隊 隊長：曉斌

『捌』 電子商務安全策略的基本原則

一、網路節點的安全 1．防火牆 防火牆是在連接Internet和Intranet保證安全最為有效的方法，防火牆能夠有效地監視網路的通信信息，並記憶通信狀態，從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能，制定正確的安全策略，將能提供一個安全、高效的Intranet系統。 2．防火牆安全策略 應給予特別注意的是，防火牆不僅僅是路由器、堡壘主機或任何提供網路安全的設備的組合，它是安全策略的一個部分。安全策略建立了全方位的防禦體系來保護機構的信息資源，這種安全策略應包括：規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施，以及管理制度等。所有有可能受到網路攻擊的地方都必須以同樣安全級別加以保護。僅設立防火牆系統，而沒有全面的安全策略，那麼防火牆就形同虛設。 3．安全操作系統 防火牆是基於操作系統的。如果信息通過操作系統的後門繞過防火牆進入內部網，則防火牆失效。所以，要保證防火牆發揮作用，必須保證操作系統的安全。只有在安全操作系統的基礎上，才能充分發揮防火牆的功能。在條件許可的情況下，應考慮將防火牆單獨安裝在硬體設備上。
二、通訊的安全 1．數據通訊 通訊的安全主要依靠對通信數據的加密來保證。在通訊鏈路上的數據安全，一定程度上取決於加密的演算法和加密的強度。 電子商務系統的數據通信主要存在於： （1）客戶瀏覽器端與電子商務WEB伺服器端的通訊； （2）電子商務WEB伺服器與電子商務資料庫伺服器的通訊； （3）銀行內部網與業務網之間的數據通訊。其中（3）不在本系統的安全策略范圍內考慮。 2．安全鏈路 在客戶端瀏覽器和電子商務WEB伺服器之間採用SSL協議建立安全鏈接，所傳遞的重要信息都是經過加密的，這在一定程度上保證了數據在傳輸過程中的安全。
目前採用的是瀏覽器預設的4O位加密強度，也可以考慮將加密強度增加到128位。 為在瀏覽器和伺服器之間建立安全機制，SSL首先要求伺服器向瀏覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權機構（CA中心）簽發。瀏覽器要驗征伺服器證書的正確性，必須事先安裝簽發機構提供的基礎公共密鑰（PKI）。建立SSL鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。
三、應用程序的安全性 即使正確地配置了訪問控制規則，要滿足計算機系統的安全性也是不充分的，因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種
形式：程序員忘記檢查傳送到程序的入口參數；程序員忘記檢查邊界條件，特別是處理字元串的內存緩沖時；程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行，而不是只有有限的指令子集在特權模式下運 行，其他的部分只有縮小的許可；程序員從這個特權程序使用范圍內建立一個資源，如一個文件和目錄。不是顯式地設置訪問控制（最少許可），程序員認為這個預設的許可是正確的。 這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一 些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字元串來實現的。程序不檢查輸入字元串長度。假的輸入字元串常常是可執行的命令，特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如，緩沖溢出攻擊可以向系統中增加一個用戶並賦予這個用戶特權。 訪問控制系統中沒有什麼可以檢測到這些問題。只有通過監視系統並尋找違反安全策略的行為，才能發現象這些問題一樣的錯誤。
四、用戶的認證管理 1．身份認證 電子商務企業用戶身份認證可以通過伺服器CA證書與IC卡相結合實現的。CA證書用來認證伺服器的身份，IC卡用來認證企業用戶的身份。個人用戶由於沒有提供交易功能，所以只採用ID號和密碼口令的身份確認機制。 2．CA證書 要在網上確認交易各方的身份以及保證交易的不可否認性，需要一份數字證書進行驗證，這份數字證書就是CA證書，它由認證授權中心（CA中心）發行。CA中心一般是社會公認的可靠組織，它對個人、組織進行審核後，為其發放數字證書，證書分為伺服器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書。
五、安全管理 為了確保系統的安全性，除了採用上述技術手段外，還必須建立嚴格的內部安全機制。 對於所有接觸系統的人員，按其職責設定其訪問系統的最小許可權。 按照分級管理原則，嚴格管理內部用戶帳號和密碼，進入系統內部必須通過嚴格的身份確認，防止非法佔用、冒用合法用戶帳號和密碼。 建立網路安全維護日誌，記錄與安全性相關的信息及事件，有情況出現時便於跟蹤查詢。定期檢查日誌，以便及時發現潛在的安全威脅

『玖』 電子商務網站 安全策略

期待中。。
但是這些好像是公司的機密，不會告訴你太詳細，只能告訴你一個大框

『拾』 電子商務的安全策略包括哪些

一、網路節點的安全

1.防火牆

防火牆是在連接Internet和Intranet保證安全最為有效的方法，防火牆能夠有效地監視網路的通信信息，並記憶通信狀態，從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能，制定正確的安全策略，將能提供一個安全、高效的Intranet系統。

2.防火牆安全策略

應給予特別注意的是，防火牆不僅僅是路由器、堡壘主機或任何提供網路安全的設備的組合，它是安全策略的一個部分。安全策略建立了全方位的防禦體系來保護機構的信息資源，這種安全策略應包括：規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施，以及管理制度等。所有有可能受到網路攻擊的地方都必須以同樣安全級別加以保護。僅設立防火牆系統，而沒有全面的安全策略，那麼防火牆就形同虛設。

3.安全操作系統

防火牆是基於操作系統的。如果信息通過操作系統的後門繞過防火牆進入內部網，則防火牆失效。所以，要保證防火牆發揮作用，必須保證操作系統的安全。只有在安全操作系統的基礎上，才能充分發揮防火牆的功能。在條件許可的情況下，應考慮將防火牆單獨安裝在硬體設備上。

二、通訊的安全

1.數據通訊

通訊的安全主要依靠對通信數據的加密來保證。在通訊鏈路上的數據安全，一定程度上取決於加密的演算法和加密的強度。電子商務系統的數據通信主要存在於：

(1)客戶瀏覽器端與電子商務WEB伺服器端的通訊;

(2)電子商務WEB伺服器與電子商務資料庫伺服器的通訊;

(3)銀行內部網與業務網之間的數據通訊。其中(3)不在本系統的安全策略范圍內考慮。

2.安全鏈路

在客戶端瀏覽器和電子商務WEB伺服器之間採用SSL協議建立安全鏈接，所傳遞的重要信息都是經過加密的，這在一定程度上保證了數據在傳輸過程中的安全。目前採用的是瀏覽器預設的4O位加密強度，也可以考慮將加密強度增加到128位。為在瀏覽器和伺服器之間建立安全機制，SSL首先要求伺服器向瀏覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權機構(CA中心)簽發。瀏覽器要驗征伺服器證書的正確性，必須事先安裝簽發機構提供的基礎公共密鑰(PKI)。建立SSL鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的伺服器證書通過後利用該證書對稱加密演算法(RSA)與伺服器協商一個對稱演算法及密鑰，然後用此對稱演算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。

三、應用程序的安全性

即使正確地配置了訪問控制規則，要滿足計算機系統的安全性也是不充分的，因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件，特別是處理字元串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行，而不是只有有限的指令子集在特權模式下運行，其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源，如一個文件和目錄。不是顯式地設置訪問控制(最少許可)，程序員認為這個預設的許可是正確的。

這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字元串來實現的。程序不檢查輸入字元串長度。假的輸入字元串常常是可執行的命令，特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如，緩沖溢出攻擊可以向系統中增加一個用戶並賦予這個用戶特權。訪問控制系統中沒有什麼可以檢測到這些問題。只有通過監視系統並尋找違反安全策略的行為，才能發現象這些問題一樣的錯誤。

四、用戶的認證管理

1.身份認證

電子商務企業用戶身份認證可以通過伺服器CA證書與IC卡相結合實現的。CA證書用來認證伺服器的身份，IC卡用來認證企業用戶的身份。個人用戶由於沒有提供交易功能，所以只採用ID號和密碼口令的身份確認機制。

2.CA證書

要在網上確認交易各方的身份以及保證交易的不可否認性，需要一份數字證書進行驗證，這份數字證書就是CA證書，它由認證授權中心(CA中心)發行。CA中心一般是社會公認的可靠組織，它對個人、組織進行審核後，為其發放數字證書，證書分為伺服器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時進行)。

五、安全管理

為了確保系統的安全性，除了採用上述技術手段外，還必須建立嚴格的內部安全機制。

對於所有接觸系統的人員，按其職責設定其訪問系統的最小許可權。

按照分級管理原則，嚴格管理內部用戶帳號和密碼，進入系統內部必須通過嚴格的身份確認，防止非法佔用、冒用合法用戶帳號和密碼。

建立網路安全維護日誌，記錄與安全性相關的信息及事件，有情況出現時便於跟蹤查詢。定期檢查日誌，以便及時發現潛在的安全威脅。

對於重要數據要及時進行備份，且對資料庫中存放的數據，資料庫系統應視其重要性提供不同級別的數據加密。

安全實際上就是一種風險管理。任何技術手段都不能保證1OO%的安全。但是，安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。