㈠ 急需電子商務論文一篇,題目隨便。3000字以上。
你自己可以去看下(電子商務評論)裡面的論文文獻參考下唄
㈡ 電子商務安全畢業論文
你可以去論文服務聯盟看看,我跟我同學就是在這里寫的,感覺還挺不錯的額,所以推薦你去看看,應該能幫你的!
㈢ 急求電子商務論文一篇 要求 3000字左右 有摘要 有參考文獻 謝謝
[摘要]電子商務的發展,既引發經濟理論,經濟結構,經濟增長等方面的變革,也引發企業作業模式,組織結構和政企關系等方面的變革,並直接導致消費者,勞動者和投資者經濟活動觀念的改變。發展電子商務不僅僅是技術問題,更是關繫到國民經濟和社會發展的重大問題,對生產力的發展,產業結構改善以至整個國民經濟素質的提高,都具有十分重要的意義。經過幾年實踐,我國電子商務發展迅猛,並且越來越走向務實,但是,對於像我國這樣的發展中國家,怎樣順應世界經濟發展潮流,結合國情,積極穩妥地加快電子商務建設,是擺在我們面前的迫切需要解決的問題。特別在加入WTO,實行更加開放的發展戰略的情況下,這個問題顯得更加重要。本文就我國電子商務發展的基本原則和發展模式問題,進行一些初步的探討。
關鍵詞:電子商務模式 電子商務原則
一、我國發展電子商務的基本原則
發展電子商務要立足實際,因地制宜,以應用為重點,堅持效益優先,制定有限目標,體現實際效果。筆者認為,我國發展電子商務必須遵循以下五個方面的基本原則。
1、引進與創新有機結合的原則
全球化與開放性是電子商務發展的趨勢和特徵,特別是我國已經入世,必須按照國際規則和國際慣例辦事,因此,要結合我國的實際,積極引進與借鑒發達國家的做法經驗,並進行中國化的改造和創新,為我所用,創造出符合實際的發展道路。與美國相比,我國電子商務起步在時間上雖然差不多,但是電子化和信息化的基礎設施、企業條件與支撐環境差別很大。例如美國擁有良好的全國性商業批發體系、高速公路運輸網路和電子支付信用體系,因此,美國可以發展許多B to C(商家與消費者之間)網站,而這一點我國是不具備的。又如美國各個市場幾乎都形成幾個大型企業存在的格局,這些企業規模大,而且實現了完整的ERP系統,只要通過網路將兩邊的企業聯結起來,就可以實現B to B (商家之間)電子商務。而中國企業規模比較小,絕大部分沒有ERP 系統,中國的B to B如果按照美國的模式就無法成功。
電子商務發展在世界范圍內都是剛剛開始,其發展速度極為迅速,傳統的商業模式正不斷地被新的商業模式所代替,無論什麼模式都不具有固定性和成熟性。對於任何國家來說,都有一個探索與創新的問題,這也為我國加快和跨越發展提供了難得的機遇。我們要大膽進行創新,積極探索符合實際的商業模式,壯大企業的市場競爭能力,以適應全球化的激烈競爭。
2、商務與電子有機結合的原則
在電子商務中,電子是手段,商務是核心。網路服務商和電子商務廠商,要適應企業的商務選擇和利益判斷,防止過度技術化傾向,避免追求表面的商務「電子化」而忽視商務活動本身的需求。我國最早涉足電子商務的一般是IT企業,它們利用技術上的優勢建立起電子商務系統,然後開始銷售傳統的產品。由於IT企業沒有成熟的商業渠道和商業經驗,並受制於網路支付、配送和網民數量等因素,到目前為止真正贏利的電子商務網站極少。這都是沒有以「商務」為核心的結果。因此,要把電子與商務有機地結合起來,以商務應用為根本,信息技術和信息網路要立足於為傳統產業服務,促進傳統產業結構的優化與升級;傳統企業要積極發展新的商業模式,適應信息革命的要求。
3、務實與跨越有機結合的原則
要根據我國目前的商務需求、技術手段和經濟環境實際,制訂發展電子商務的規劃和計劃,確定切實可行的商務模式,設計和開發實用有效的技術解決方案,在現有條件下最大限度地推動企業管理水平和經營效益的提高;另一方面,要著眼未來的發展需求和趨勢,以世界眼光和戰略思維,推出創新的電子商務體系,能夠跨越的大膽跨越,以適應全球電子商務發展的需要。
我國未完成工業化就開始進行信息化,面臨工業化和信息化同時發展的雙重任務,這與已經完成工業化並步入信息社會的發達國家有很大不同。這既是一個嚴峻的挑戰,也為我們發揮後發優勢,實現跨越式發展提供了可能和機遇。首先,信息技術和信息網路的開放性、易用性保證其具有廣泛的適用性,多樣化的信息傳遞方式提高信息服務平台,使幾乎所有企業都可以發展不同層次的電子商務;其次,電子商務可以促進粗放經濟向集約經濟的轉變,轉換經濟的增長方式,擴大經濟規模,提高經濟質量。因此,我們要主動抓住機遇和迎接挑戰,按照跨越式發展的思路,加快推進電子商務的發展,實現中央提出的「以信息化帶動工業化,實現生產力跨越式發展」的戰略目標。
㈣ 電子商務安全問題探討的論文
電子商務安全技術的分析與研究
[摘 要] 本文首先介紹了電子商務安全的現狀,分析了存在的主要問題,然後從網路安全技術、數據加密技術、用戶認證技術等方面介紹了主要的電子安全技術,並提出了一個合理的電子商務安全體系架構。
[關鍵詞] 電子商務電子支付 安全技術
一、引言
隨著網路技術和信息技術的飛速發展,電子商務得到了越來越廣泛的應用,越來越多的企業和個人用戶依賴於電子商務的快捷、高效。它的出現不僅為Internet的發展壯大提供了一個新的契機,也給商業界注入了巨大的能量。但電子商務是以計算機網路為基礎載體的,大量重要的身份信息、會計信息、交易信息都需要在網上進行傳遞,在這樣的情況下,安全性問題成為首要問題。
二、目前電子商務存在的安全性問題
1.網路協議安全性問題:目前,TCP/IP協議是應用最廣泛的網路協議,但由於TCP/IP本身的開放性特點,企業和用戶在電子交易過程中的數據是以數據包的形式來傳送的,惡意攻擊者很容易對某個電子商務網站展開數據包攔截,甚至對數據包進行修改和假冒。
2.用戶信息安全性問題:目前最主要的電子商務形式是基於B/S(Browser/Server)結構的電子商務網站,用戶使用瀏覽器登錄網路進行交易,由於用戶在登錄時使用的可能是公共計算機,如網吧、辦公室的計算機等情況,那麼如果這些計算機中有惡意木馬程序或病毒,這些用戶的登錄信息如用戶名、口令可能會有丟失的危險。
3.電子商務網站的安全性問題:有些企業建立的電子商務網站本身在設計製作時就會有一些安全隱患,伺服器操作系統本身也會有漏洞,不法攻擊者如果進入電子商務網站,大量用戶信息及交易信息將被竊取,給企業和用戶造成難以估量的損失。
三、電子商務安全性要求
1.服務的有效性要求:電子商務系統應能防止服務失敗情況的發生,預防由於網路故障和病毒發作等因素產生的系統停止服務等情況,保證交易數據能准確快速的傳送。
2.交易信息的保密性要求:電子商務系統應對用戶所傳送的信息進行有效的加密,防止因信息被截取破譯,同時要防止信息被越權訪問。
3.數據完整性要求:數字完整性是指在數據處理過程中,原來數據和現行數據之間保持完全一致。為了保障商務交易的嚴肅和公正,交易的文件是不可被修改的,否則必然會損害一方的商業利益。
4.身份認證的要求:電子商務系統應提供安全有效的身份認證機制,確保交易雙方的信息都是合法有效的,以免發生交易糾紛時提供法律依據。
四、電子商務安全技術措施
1.數據加密技術。對數據進行加密是電子商務系統最基本的信息安全防範措施.其原理是利用加密演算法將信息明文轉換成按一定加密規則生成的密文後進行傳輸,從而保證數據的保密性。使用數據加密技術可以解決信息本身的保密性要求。數據加密技術可分為對稱密鑰加密和非對稱密鑰加密。
(1)對稱密鑰加密(SecretKeyEncryption)。對稱密鑰加密也叫秘密/專用密鑰加密,即發送和接收數據的雙方必須使用相同的密鑰對明文進行加密和解密運算。它的優點是加密、解密速度快,適合於對大量數據進行加密,能夠保證數據的機密性和完整性;缺點是當用戶數量大時,分配和管理密鑰就相當困難。
(2)非對稱密鑰加密(PublicKeyEncryption)。非對稱密鑰加密也叫公開密鑰加密,它主要指每個人都有一對惟一對應的密鑰:公開密鑰(簡稱公鑰)和私人密鑰(簡稱私鑰)公鑰對外公開,私鑰由個人秘密保存,用其中一把密鑰來加密,就只能用另一把密鑰來解密。非對稱密鑰加密演算法的優點是易於分配和管理,缺點是演算法復雜,加密速度慢。
(3)復雜加密技術。由於上述兩種加密技術各有長短,目前比較普遍的做法是將兩種技術進行集成。例如信息發送方使用對稱密鑰對信息進行加密,生成的密文後再用接收方的公鑰加密對稱密鑰生成數字信封,然後將密文和數字信封同時發送給接收方,接收方按相反方向解密後得到明文。
2.數字簽名技術。數字簽名是通過特定密碼運算生成一系列符號及代碼組成電子密碼進行簽名,來代替書寫簽名或印章,對於這種電子式的簽名還可進行技術驗證,其驗證的准確度是一般手工簽名和圖章的驗證所無法比擬的。數字簽名技術可以保證信息傳送的完整性和不可抵賴性。
3.認證機構和數字證書。由於電子商務中的交易一般不會有使用者面對面進行,所以對交易雙方身份的認定是保障電子商務交易安全的前提。認證機構是一個公立可信的第三方,用以證實交易雙方的身份,數字證書是由認證機構簽名的包括公開密鑰擁有者身份信息以及公開密鑰的文件。在交易支付過程中,參與方必須利用認證中心簽發的數字證書來證明自己的身份。
4.使用安全電子交易協議(SET:Secure Electronic Transactions)。是由VISA 和MasterCard兩大信用卡組織指定的標准。SET用於劃分與界定電子商務活動中各方的權利義務關系,給定交易信息傳送流程標准。SET協議保證了電子商務系統的保密性、完整性、不可否認性和身份的合法性。
五、結束語
電子商務是國民經濟和社會信息化的重要組成部分,而安全性則是關系電子商務能否迅速發展的重要因素。電子商務的安全是一個復雜系統工程,僅從技術角度防範是遠遠不夠的,還必須完善電子商務方面的立法,以規范飛速發展的電子商務現實中存在的各類問題,從而引導和促進電子商務又好又快地發展。
參考文獻:
[1]覃 征 李順東:電子商務概論[M].北京:高等教育出版社,2002.06.
[2]余小兵:淺談電子商務中的安全問題[J].科技咨詢導報,2007.02
[3]曾鳳生:電子商務安全需求及防護策略[J].資料庫及信息管理,2007.06
僅供參考,請自借鑒。
希望對您有幫助。
㈤ 電子商務中的安全問題(論文)
我的畢設也是關於電子商務的
㈥ 急求一篇關於電子商務交易安全的研究的論文,3000字以上
電子商務交易安全的研究
,3000字以上
好 的
㈦ 3000字電子商務論文
到我空間仔細找找看。在非論文類里找找!
㈧ 有關電子商務風險及其安全管理的畢業論文
論文要想寫好,寫出色,先確定題目,一定要和老師商量,因為你喜歡的並不一定是老師喜歡的,然後把要寫作的論點確定了,然後再找資料選擇論據證明你的論點是正確的。最後給老師列個大綱看一下確定框架,同意了在開始著手寫。
你的電子商務風險及其安全管理方面論文准備往什麼方向寫,選題老師審核通過了沒,有沒有列個大綱讓老師看一下寫作方向?
老師有沒有和你說論文往哪個方向寫比較好?寫論文之前,一定要寫個大綱,這樣老師,好確定了框架,避免以後論文修改過程中出現大改的情況!!
學校的格式要求、寫作規范要注意,否則很可能發回來重新改,你要還有什麼不明白或不懂可以問我,希望你能夠順利畢業,邁向新的人生。
1,論文應該是單一主題還是面面俱到?
大學生碰到的第一個誘惑是想在論文里寫很多東西。比如有個學生對文學感興趣,他第一個念頭就是給論文起一個《今日文學》這樣的標題。如果迫不得已要縮小范圍,他會選擇《從戰後到70年代的西班牙文學》。
這類論文是非常危險的。這種題目會讓即使是成熟得多的研究者們也直撓頭的。對一個20多歲的大學生來說這是不可能完成的挑戰。它要麼會變成各種名字和主流觀點的簡單羅列,要麼對原始材料的引用會有失偏頗(這常常是由於省略了不該省略的東西引起的)。1961年,當代作家岡薩羅·托蘭特·巴雷斯特寫了一本《當代西班牙文學面面觀》(瓜德拉瑪版),然而,如果這是一篇博士論文的話,人們是一定會把它斃了的,雖然它厚達幾百頁。它被指責出於疏忽或者無知而沒有提到一些被認為非常重要的人物的名字,或者他有時會花一整個章節來寫一些「不怎麼樣」的作家,而對於一些被認為是「重要人物」的則只給了寥寥數筆。當然,我們知道該作者的歷史學識以及批評能力都是得到認可的,所以這些遺漏或者比例失調都是有意為之,對某個人物避而不談比為他洋洋灑灑地寫上一整頁更能夠說明問題。不過如果同樣的事情發生在一個二十二歲的大學生身上,誰又能保證他的沉默背後不是別有用心呢?或者他的避而不談是因為會在其他地方花上幾頁紙來討論這個問題?或者這個作者到底知不知道應該怎樣寫啊?
寫這種論文的學生常常會向評審委員會的成員抱怨說他們沒看懂自己的意思,但是那些成員實際上「無法」看懂他的意思,所以一篇面面俱到的論文常常被看作是傲慢的表現。並不是說(論文中所體現的)學術上的傲慢就一定要被否定掉,我們甚至可以說但丁是個糟糕的詩人,但必須至少先寫個300頁,對但丁的文本進行深入的分析之後才能說。而這些在一片面面俱到的論文中是看不到的。正因為這樣,對於一個大學生來說,與其寫什麼《從戰後到70年代的西班牙文學》,還不如選一個更切實際的低調一點的題目。
我可以很直接地告訴你什麼才是好題目,它並不是《阿爾代科阿的小說》,而是《「天堂鳥」的兩種不同版本》。聽上去是不是有點無趣?可能吧,不過那會是更加有趣的挑戰。
只要好好想一想你就會看到歸根到底這是一個如何討巧的問題。如果寫一篇關於四十年的文學的面面俱到的論文,學生將會面對各種可能的反對聲音。如果有個提案人或者評審委員會的成員正好想要標榜自己知道某個不太知名的作家,如果那個學生正好又沒有把那個作家包括在論文內,他將如何面對前者的發難呢?只要每個評審委員會的成員在看目錄時都發現了三個沒有被提到的人,那個學生就將在一頓猛烈的轟炸中變得臉色慘白,他的論文頓時好像變成了屁話連篇。相反的,如果學生認真地選擇一個范圍很小的題目,他就只需要牢牢把握住一份評審委員會大多數成員都不知道的材料就可以了。我並不是在兜售什麼下三濫的伎倆,這的確是一種伎倆,但並不低俗,而且它很管用。只要學位申請人以「專家」的面目出現在不如他專業的公眾面前,而且看得出為了成為專家他是花了一番心血的,這樣佔一點便宜是無可厚非的。
在這兩種極端之間(也就是寫四十年文學史的面面俱到的論文以及兩種文本之間區別這樣嚴格的單一主題論文)存在著許多中間形式。比如我們可以寫《四十年代先鋒派文學家的經歷》或者《胡安·貝內特和桑切斯·菲爾羅西奧對地理的文學處理》,甚至《卡洛斯·埃德蒙多·德·奧利,埃杜瓦多·奇恰羅以及格羅里亞·富埃爾特斯:三位後島嶼詩人的異同》。
我們來看一下一本小冊子上的一段話,雖然那是科學領域的,但它所給出的建議適用於所有學科:
比如說,《地質學》這個題目就太寬泛了。《火山學》是地質學的一個分支,但是也太大了。《墨西哥的火山》是個不錯的著手點,但是同樣不夠深入。我們把范圍在縮小一點就有可能引出非常有價值的研究了:《波波卡萊佩伊爾火山的歷史》(科爾特斯的征服者中的某人可能在1591年登上過那裡,直到1702年它都沒有猛烈噴發過)。一個范圍更小,所涉及年份更少的題目是《帕里庫丁火山的誕生和死亡》(它的生命僅僅從1943年2月20日延續到了到1952年3月4日)。
好吧,我還是推薦最後一個題目。因為到了這個地步,只要申請人能夠對那座不幸的火山知無不言,言無不盡就可以了。
很久以前,有個學生跑來跟我說他要寫一篇題為《當代思想中的符號》的論文。這樣的論文是不可能的。連我也不知道「符號」到底指的是什麼,實際上這個詞在不同的作者那裡具有不同的意思,有時,兩個作者會用它來表達意思完全相反的兩件東西。我們只要考慮一下形式邏輯學家或者數學家所理解的「符號」,它們是沒有意義的,在計算公式中占據特定位置,具有特定功能的東西(比如代數公式中的a,b,x,y神馬的),而其他一些作者則可能把它們看做充滿了模稜兩可含義的東西,比如夢中出現的那些圖像,它們可能指一棵樹,或者性器官,或者想要長大的願望等等。所以,我們怎麼能把這個作為論文的題目呢?我們必須分析當代文化中所有關於符號的理論,列出它們的共同點和不同點,在它們的不同點里尋找所有作者和理論共有的基本的單一概念,看一下這些不同在不同理論中是否是不相容的。沒有當代的哲學家,語言學家或者心理分析學家能夠令人滿意地解決這個問題。一個初出茅廬的大學生,即使他早慧也只不過接受了最多六七年的成年人的教育,他又怎麼能夠完成這樣的研究呢?最多又是一個像托蘭特·巴雷斯那樣有失偏頗的東西了。或者他會提出自己的關於符號的理論,而把前人所說的東西晾在一邊,下一節我們還要再來說說這種做法值得商榷的地方。我和這個學生交談了一會兒,我建議他可以寫弗洛伊德和榮格的符號,他需要忘記其他各種觀點,專心考慮上面的兩個作者。可惜這個學生不懂德語(關於語言的問題我們會在第五節談到)。最後我們決定將題目定為《皮爾士,弗萊和榮格的符號概念》,論文將討論這三位分別是哲學家,評論家和心理分析家的不同作者那裡的三個用同一個詞表示的不同概念。由於他們用了同一個詞結果造成了混亂,常常有人把其中一位的概念安到另一個人身上。在文章的最後,作為假設的結論,這個學生試圖在這些同名異義的概念間尋找平衡,找出它們的相似點。他還提到了一些自己所知道的其他作者,但表示因為論文篇幅所限就無法對他們更多展開了。這樣,雖然他的論文只提到了作者X,Y,Z,但沒有人能夠指責他沒有考慮作者K。也沒有人能指摘他對引述的那些其他作者不夠詳細,因為那是在論文的結尾處順帶說一下的,而論文的主體是討論題目中所出現的那三位作者。
現在我們看到了論文不必非要恪守單一主題,一篇面面俱到的論文也可以變得中規中矩,讓所有人都接受。
需要指出的是,「單一」這個詞的意思比我們在這里所用的要多得多。一篇單一論文只涉及一個主題,與「XXX的歷史」或者一本手冊或者一本網路全書完全相反。從這個意義上來說,《中世紀作家的「顛倒的世界」這個主題》應該也是一個單一主題。它涉及許多作家,但全都是圍繞一個具體的主題(從他們想像的假設到所舉的例子,悖論和寓言,比如在天上飛的魚,在水裡游的鳥神馬的)。看上去這是一個理想的單一主題。但事實上,為了寫這樣一篇論文,我們需要討論所有與這個主題有關的作者,特別是那些沒有得到公認的不知名作者。所以這個題目還是要被歸在「具有單一主題的面面俱到式論文」中,它是很難寫的,需要准備無數的材料。如果有人一定要寫的話,我建議把題目改成《卡洛林王朝時期的詩人的「顛倒的世界」這個主題》,范圍一縮小,我們就知道該到哪兒不該到哪兒去尋找材料了。
當然,面面俱到的論文寫起來更加有勁,畢竟花一兩年甚至更長的時間研究一位作家顯得很無聊。但是我們要明白,寫一篇嚴格意義上的單一主題的論文並不意味著在視角上不能做到面面俱到。寫一篇關於阿爾德科阿的小說的論文需要我們深入了解西班牙的現實主義,我們還需要讀桑切斯·菲爾羅西奧或者加西亞·奧爾特拉諾,需要研究阿爾德科阿度過的美洲小說以及古典文學。只有把作者放到全景當中我們才能理解和詮釋他。但是把全景用作背景和繪出一幅全景的圖畫是兩回事。前者只是以一片田野和一條河流作為背景畫了一幅騎士的肖像,後者則要畫許多田野,山谷和河流。我們必須要改變技法,或者用攝影的術語來說,改變焦距。從單一作者的角度出發拍攝的全景是有點失焦的,不完整的和劣質的。
最後我們要記住下面這個基本結論:范圍越小,干起活來就越是省心和安心。單一主題由於面面俱到,論文看起來最好像是隨筆,而不是歷史或者網路全書。
㈨ 求一篇3000字的電子商務論文有要求的
論文寫作,先不說內容,首先格式要正確,一篇完整的論文,題目,摘要(中英文),目錄,正文(引言,正文,結語),致謝,參考文獻。規定的格式,字體,段落,頁眉頁腳,開始寫之前,都得清楚的,你的論文算是寫好了五分之一。
然後,選題,你的題目時間寬裕,那就好好考慮,選一個你思考最成熟的,可以比較多的閱讀相關的參考文獻,從裡面獲得思路,確定一個模板性質的東西,照著來,寫出自己的東西。如果時間緊急,那就隨便找一個參考文獻,然後用和這個參考文獻相關的文獻,拼出一篇,再改改。
正文,語言必須是學術的語言。一定先列好提綱,這就是框定每一部分些什麼,保證內容不亂,將內容放進去,寫好了就。
參考文獻去中國知網搜索,校園網免費下載。
不懂可追問
合適請採納
給你一份,見附件
供參考
㈩ 關於電子商務論文《電子商務的安全與管理》
電子商務的安全策略
摘要:
關鍵詞:
電子商務在功能上要求實現實時帳戶信息查詢。這就使電子商務系統必須在物理上與生產系統要有連接,這對於電子商務系統的安全性提出了更高的要求,必須保證外部網路(internet)用戶不能對生產系統構成威脅。為此,需要全方位地制定系統的安全策略。
就整個系統而言,安全性可以分為四個層次,如圖1所示
1.網路節點的安全
2.通訊的安全性
3.應用程序的安全性
4.用戶的認證管理
圖1:安全性四個層次結構
其中2、3、4層是通過操作系統和web伺服器軟體實現,網路節點的安全性依靠防火牆保證,我們應該首先保證網路節點的安全性。
一、網路節點的安全
1.防火牆
防火牆是在連接internet和intranet保證安全最為有效的方法,防火牆能夠有效地監視網路的通信信息,並記憶通信狀態,從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的intranet系統。
2.防火牆安全策略
應給予特別注意的是,防火牆不僅僅是路由器、堡壘主機或任何提供網路安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防禦體系來保護機構的信息資源,這種安全策略應包括:規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網路攻擊的地方都必須以同樣安全級別加以保護。僅設立防火牆系統,而沒有全面的安全策略,那麼防火牆就形同虛設。
3.安全操作系統
防火牆是基於操作系統的。如果信息通過操作系統的後門繞過防火牆進入內部網,則防火牆失效。所以,要保證防火牆發揮作用,必須保證操作系統的安全。只有在安全操作系統的基礎上,才能充分發揮防火牆的功能。在條件許可的情況下,應考慮將防火牆單獨安裝在硬體設備上。
二、通訊的安全
1.數據通訊
通訊的安全主要依靠對通信數據的加密來保證。在通訊鏈路上的數據安全,一定程度上取決於加密的演算法和加密的強度。 電子商務系統的數據通信主要存在於:
(1)客戶瀏覽器端與電子商務web伺服器端的通訊;
(2)電子商務web伺服器與電子商務資料庫伺服器的通訊;
(3)銀行內部網與業務網之間的數據通訊。其中(3)不在本系統的安全策略范圍內考慮。
2.安全鏈路
在客戶端瀏覽器和電子商務web伺服器之間採用ssl協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。目前採用的是瀏覽器預設的4o位加密強度,也可以考慮將加密強度增加到128位。 為在瀏覽器和伺服器之間建立安全機制,ssl首先要求伺服器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(ca中心)簽發。瀏覽器要驗征伺服器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰(pki)。建立ssl鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立ssl鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的伺服器證書通過後利用該證書對稱加密演算法(rsa)與伺服器協商一個對稱演算法及密鑰,然後用此對稱演算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。
三、應用程序的安全性
即使正確地配置了訪問控制規則,要滿足計算機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字元串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運 行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個預設的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一 些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字元串來實現的。程序不檢查輸入字元串長度。假的輸入字元串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶並賦予這個用戶特權。 訪問控制系統中沒有什麼可以檢測到這些問題。只有通過監視系統並尋找違反安全策略的行為,才能發現象這些問題一樣的錯誤。
四、用戶的認證管理
1.身份認證
電子商務企業用戶身份認證可以通過伺服器ca證書與ic卡相結合實現的。ca證書用來認證伺服器的身份,ic卡用來認證企業用戶的身份。個人用戶由於沒有提供交易功能,所以只採用id號和密碼口令的身份確認機制。
2.ca證書
要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是ca證書,它由認證授權中心(ca中心)發行。ca中心一般是社會公認的可靠組織,它對個人、組織進行審核後,為其發放數字證書,證書分為伺服器證書和個人證書。建立ssl安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立ssl鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時進行)。
五、安全管理
為了確保系統的安全性,除了採用上述技術手段外,還必須建立嚴格的內部安全機制。
對於所有接觸系統的人員,按其職責設定其訪問系統的最小許可權。
按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法佔用、冒用合法用戶帳號和密碼。
建立網路安全維護日誌,記錄與安全性相關的信息及事件,有情況出現時便於跟蹤查詢。定期檢查日誌,以便及時發現潛在的安全威脅。
對於重要數據要及時進行備份,且對資料庫中存放的數據,資料庫系統應視其重要性提供不同級別的數據加密。
安全實際上就是一種風險管理。任何技術手段都不能保證1oo%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。