电子商务的安全策略

1. 电子商务安全的措施

适当设置防护措施可以降低或防止来自现实的威胁。在通信安全、计算机安全、物理安全、人事安全、管理安全和媒体安全方面均可采取一定的措施，整个系统的安全取决于系统中最薄弱环节的安全水平，这就需要从系统设计上进行全面的考虑，折中选取。电子商务中的安全措施包括有下述几类：
(1)保证交易双方身份的真实性：
常用的处理技术是身份认证，依赖某个可信赖的机构(CA认证中心)发放证书，并以此识别对方。目的是保证身份的精确性，分辨参与者身份的真伪，防止伪装攻击。
(2)保证信息的保密性：
保护信息不被泄露或被披露给未经授权的人或组织，常用的处理技术是数据加密和解密，其安全性依赖于使用的算法和密钥长度。常见的加密方法有对称式密钥加密技术(如DES算法)和公开密钥加密技术(如RSA算法)。(3)保证信息的完整性：
常用数据杂凑等技术来实现。通过散列算法来保护数据不被未授权者(非法用户)建立、嵌入、删除、篡改、重放。典型的散列算法为美国国家安全局开发的单向散列算法之一。
(4)保证信息的真实性：
常用的处理手段是数字签名技术。目的是为了解决通信双方相互之间可能的欺诈，如发送用户对他所发送信息的否认、接收用户对他已收到信息的否认等，而不是对付未知的攻击者，其基础是公开密钥加密技术。目前，可用的数字签名算法较多，如RSA数字签名、ELGamal数字签名等。
(5)保证信息的不可否认性：
通常要求引入认证中心(CA)进行管理，由CA发放密钥，传输的单证及其签名的备份发至CA保存，作为可能争议的仲裁依据。
(6)保证存储信息的安全性：
规范内部管理，使用访问控制权限和日志，以及敏感信息的加密存储等。

2. 京东电子商务平台的安全策略

常用语，抄就是你平时袭经常用到的话术语句。
用语一个行业里，或者说是在客服系统平台，客服人员要和访客进行聊天，在接待很多访客的时候，一个人的打字速度和精力都是有限的，所以为了应付更多的访客，就会需要有一个常用语作为辅助，当访客问出的问题，常用语知识库里面会自动检索到，或者说里面有这么一个答案，那么你就可以直接点击回复，而不用自己去思考这个问题，再组织语言打出来回复，节省了很多时间。这就是常用语的用处。
所以，乐盈通客服系统的常用语功能，应该也是实现这样的一个应用于快速回复的场景，提高客服的工作效率和专业态度。

3. 电子商务安全要素有哪些

电子商务安全要素有以下四点：

1、有效性、真实性

有效性、真实性是指能对信息、实体的有效性。真实性进行鉴别，电子商务作为贸易的一种形式，其信息的有效性和真实性将直接关系到个人、企业和国家的经济利益和声誉。如何保证这种电子贸易信息的有效性和真实性成了经营电子商务的前提。

2、机密性

机密性是指保证信息不会泄漏给非授权人或实体电子商务作为一种贸易手段，其信息是个人、企业或国家的商业机密。网络交易必须保证发送者和接受者之间交换信息的保密性，而电子商务建立在一个较为开放的网络环境上，商业保密就成为电子商务全面推广应用的重点保护对象。

3、数据的完整性

数据的完整性要求防止数据非授权的输入、修改、删除或破坏，保证数据的一致性信息的完整性将影响到贸易各方的交易和经营策略，保持这种完整性是电子商务应用的基础，数据输入时的意外差错或欺诈行为可能导致贸易各方信息的差异。数据传输过程中的信息丢失、信息重发或信息传送次序的差异也会导致贸易各方信息不相同。

4、可靠性、不可抵赖性

可靠性是要求保证合法用户对信息和资源的使用不会遭到不正当的拒绝；不可抵赖性是要求建立有效的责任机制，防止实体否认其行为在互联网上每个人都是匿名的，原发方字发送数据后不能抵赖；接收方在接收数据后也不能抵赖。在无纸化的电子商务方式下，通过手写签名和印章进行贸易方的鉴别已经不可能。

4. 电子商务安全方面的措施有哪些

电子商复务系统的安全重点主要基制于以下两个方面：

(1)系统安全性：指系统的稳定性和抗攻击能力，以及在受到攻击或系统出现软、硬件故障后的系统恢复能力。

(2)数据安全性：是指保持数据的一致性、完整性，和使用权限的可控制性等。数据安全性包含以下几个方面：

①数据的机密性。任何人不能看到其无权看到的信息；其中，比普通加密方式更进一步的是，任何人都不能看到或修改其行政管理概念上的权限无权获得的数据(数据加密)，这将更符合实际的要求。

②数据的完整性。对发出的数据只有完整到达，才能被完全确认，否则数据不能被认可。

③不可抵赖性。对任何人已经发出的信息，能够根据信息本身确定数据只能由该人发出，并能确定发出时间等重要信息。

5. 简述电子商务安全性的要求

从安全和信任关系来看，在传统交易过程中，买卖双方是面对面的版，因此很容易保证交易权过 程的安全性和建立起信任关系。但在电子商务过程中，买卖双方是通过网络来联系的，彼此远 隔千山万水，由于英特网既不安全，也不可信，因而建立交易双方的安全和信任关系相当困 难。电子商务交易双方(销售者和消费者)都面临不同的安全威胁。

6. 电子商务常用的安全措施

就整个系统而言，安全性可以分为四个层次
1．网络节点的安全
2．通讯的安全性
3．程序的安全性
4．用户的认证管理
其中2、3、4层是通过操作系统和Web服务器软件实现，网络节点的安全性依靠防火墙保证，我们应该首先保证网络节点的安全性。
一、网络节点的安全
1．防火墙
防火墙是在连接Internet和Intranet保证安全最为有效的，防火墙能够有效地监视网络的通信信息，并记忆通信状态，从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能，制定正确的安全策略，将能提供一个安全、高效的Intranet系统。
2．防火墙安全策略
应给予特别注意的是，防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源，这种安全策略应包括：规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。
3．安全操作系统
防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网，则防火墙失效。所以，要保证防火墙发挥作用，必须保证操作系统的安全。只有在安全操作系统的基础上，才能充分发挥防火墙的功能。在条件许可的情况下，应考虑将防火墙单独安装在硬件设备上。
二、通讯的安全
1．数据通讯
通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全，一定程度上取决于加密的算法和加密的强度。 电子商务系统的数据通信主要存在于：
（1）客户浏览器端与电子商务WEB服务器端的通讯；
（2）电子商务WEB服务器与电子商务数据库服务器的通讯；
（3）银行内部网与业务网之间的数据通讯。其中（3）不在本系统的安全策略范围内考虑。

2．安全链路
在客户端浏览器和商务WEB服务器之间采用SSL协议建立安全链接，所传递的重要信息都是经过加密的，这在一定程度上保证了数据在传输过程中的安全。采用的是浏览器缺省的4O位加密强度，也可以考虑将加密强度增加到128位。 为在浏览器和服务器之间建立安全机制，SSL首先要求服务器向浏览器出示它的证书，证书包括一个公钥，由一家可信证书授权机构（CA中心）签发。浏览器要验征服务器证书的正确性，必须事先安装签发机构提供的基础公共密钥（PKI）。建立SSL链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时）。验证此证书是合法的服务器证书通过后利用该证书对称加密算法（RSA）与服务器协商一个对称算法及密钥，然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。
三、程序的安全性
即使正确地配置了访问控制规则，要满足机系统的安全性也是不充分的，因为编程错误也可能引致攻击。程序错误有以下几种形式：程序员忘记检查传送到程序的入口参数；程序员忘记检查边界条件，特别是处理字符串的内存缓冲时；程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行，而不是只有有限的指令子集在特权模式下运 行，其他的部分只有缩小的许可；程序员从这个特权程序使用范围内建立一个资源，如一个文件和目录。不是显式地设置访问控制（最少许可），程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一 些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令，特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如，缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。 访问控制系统中没有什么可以检测到这些。只有通过监视系统并寻找违反安全策略的行为，才能发现象这些问题一样的错误。
四、用户的认证管理
1．身份认证
电子商务用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份，IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能，所以只采用ID号和密码口令的身份确认机制。
2．CA证书
要在网上确认交易各方的身份以及保证交易的不可否认性，需要一份数字证书进行验证，这份数字证书就是CA证书，它由认证授权中心（CA中心）发行。CA中心一般是公认的可靠组织，它对个人、组织进行审核后，为其发放数字证书，证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时进行）。
五、安全管理
为了确保系统的安全性，除了采用上述技术手段外，还必须建立严格的内部安全机制。
对于所有接触系统的人员，按其职责设定其访问系统的最小权限。
按照分级管理原则，严格管理内部用户帐号和密码，进入系统内部必须通过严格的身份确认，防止非法占用、冒用合法用户帐号和密码。
建立安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询。定期检查日志，以便及时发现潜在的安全威胁。
对于重要数据要及时进行备份，且对数据库中存放的数据，数据库系统应视其重要性提供不同级别的数据加密。
安全实际上就是一种风险管理。任何技术手段都不能保证1OO％的安全。但是，安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。

7. 电子商务网站 安全策略

期待中。。
但是这些好像是公司的机密，不会告诉你太详细，只能告诉你一个大框

8. 电子商务有哪些安全要素

（1）可靠性

可靠性是指电子商务系统的可靠程度，是指为防止由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒和自然灾害等所产生的潜在威胁，采取了一系列的控制和预防措施来防止数据信息资源不受到破坏的可靠程度。

（2）真实性

真实性是指商务活动中交易者身份的真实性，确保交易双方确实是存在的，不是假冒的。网上交易的双方相隔很远，互不了解，要使交易成功，必须互相信任，确认对方是真实的。能否方便而又可靠地确认交易双方身份的真实性，是顺利进行电子商务交易的前提。

（3）机密性

机密性是指交易过程中必须保留信息不会泄露给非授权的人或实体。电子商务的交易信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来保守机密的；而电子商务则建立在一个较为开放的网络环境上，商业保密就成为电子商务全面推广的重要屏障。因此要预防非法的信息存取和信息在传输过程中被非法窃取，确保只有合法用户才能看到数据，防止泄密事件。

（4）完整性

完整性是指数据在输入、输出和传输过程中，要求能保证数据的一致性，防止数据非授权建立、修改和破坏。电子商务简化了贸易过程，减少了认为的干预，但同时也带来了需要维护商业信息完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息不相同。信息的完整性将影响到贸易各方的交易和经营策略，保持这种完整性是电子商务应用的基础。

（5）有效性

电子商务以电子形式取代了纸张，那么如何保证这种电子形式贸易信息为交易各方共同认可是开展电子商务的前提。电子商务作为一种新的贸易形势，其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。一旦签订交易后，这项交易就应受到保护，以防止被篡改或伪造。交易的有效性在其价格、期限及数量作为协议一部分时尤为重要。

（6）不可抵赖性

电子商务可能直接关系到贸易双方的商业交易，如何确定将要进行的交易方正是所期望的贸易方这一问题，则是保证电子商务顺利进行的关键。在电子商务方式下，通过手写签名和印章是不可能的。因此要求在交易信息中为参与交易的个人、企业或国家提供可靠的标识，使原发送方在发送数据后不能抵赖；接收方在接收数据后也不能抵赖。

（7）内部网的严密性

企业的内部网一方面有着大量需要保密的信息，另一方面传递着企业内部的大量指令，控制着企业的业务流程。企业内部网一旦被恶意侵入，可能给企业带来极大的混乱与损失。保证内部网不被非法侵入，也是开展电子商务的企业应着重考虑的一个安全问题。

9. 电子商务安全策略的内容

转：电子商务按交易主体一般分为四种：B2B、B2C、B2B2C、C2C。企业电子商务主要指前两种。按交易对象而言，B2B主要进行实物产品交易，而B2C除实物产品外还进行数字产品交易。影响电子商务赢利主要涉及三个方面：即成本收益、敏感性和风险。

成本收益
成本收益也叫盈亏平衡，就是说企业建设电子商务网站所带来的成本和收益，成本主要指：设备投资所需费用：这包括以各种方式接入因特网所必须的各种设备的费用和使用因特网时所需要的各种类型的终端、微机、工作站、服务器等的费用。通讯成本：指为传输信息所付的资费。维护费：这包括网络管理人员的工资和其他消费品的费用。

收益指电子商务的实施而得到的可大致进行定量分析的开销节约。主要包括降低库存成本所获收益，对于一般商业企业，库存成本大约为销售2%，如果把原料的库存和半成品的库存加上去，则可能更高达销售额的6%～30%。电子商务的解决方案可将此成本减少10%。电子商务处理单证的费用是原来书面形式的1/10。实行电子商务后，企业可以通过因特网搜集信息，进行集中采购，从而减少了管理成本，节约了差旅费。也堵塞了采购过程中的一些漏洞。有资料表明，全球EDI通常可为企业节省5%—10%的采购成本。有研究表明使用互联网做广告媒体进行网上促销活动，可增加10倍销量，而成本只有传统广告及邮寄广告的1/10。间接收益，这包括实行电子商务之后业务管理改善及更有效的为客户服务所获得的收益。

敏感性因素

影响电子商务盈利的敏感性因素主要有技术、资金和管理。

1.技术。先进的技术是保证电子商务顺利运行的前提，网络技术的迅猛发展是导致电子商务出现的直接原因。企业建设电子商务所需的技术分为前期的技术建设和运营后随技术发展状况而做的技术革新与追加。绝大多数电子商务企业并不进行技术的先期开发，而只是对成熟技术的引进利用。这就使电子商务技术具有普及性和趋同性的特点。技术的创新能够降低成本,率先采用新技术的企业能够在短期内提高收益,但其他企业会在很短时间内跟进。并且由于电子商务技术具有普及性及趋同性，因此技术对电子商务企业的盈利敏感度不大。

2.资金。投资于电子商务的资金包括先期开发资金和后期维护所需资金。电子商务企业先期投入的固定成本比较大，后期维护的费用比较小。电子商务硬件建成之后，固定成本对于其运营来讲是无关成本，只有后期的维护费用对企业的顺利运营有影响，由于这部分资金较小，电子商务企业一般都能及时支付，故资金对于电子商务企业的盈利影响也不大。

3.管理。企业实行电子商务后，后期的运作是包括产、供、销、资金支付等所有方面的系统工程。盈利与否、盈利大小都与管理有直接关系。同样的基础设施与技术，同样的起点，有的企业稳健发展，有的企业却连连亏损。这里，管理是决定电子商务企业兴衰成败的决定因素。

风险

任何投资项目都面临着各种各样的不确定性因素，电子商务也不例外。而且电子商务的收益具有不同于一般项目的特性：估算性。即电子商务的收益一般只能通过主观分析比较得到，例如减少多少书面作业量，提高多少信息准确度，改善多少与客户的关系等，不可能计算的很清楚。即电子商务的收益只能在电子商务项目建成之后从其运作过程中所能节省的成本中体现出来。

以上两个特性增加了电子商务企业收益的风险性。同时，由于网络经济的快速发展，新技术变革日新月异，使电子商务企业要获得生存发展必须在信息和技术两个方面跟上整个行业的发展，稍微落后即遭淘汰，这更增加了电子商务企业的风险性。

增强赢利的关键：成本、收益、风险的管理

由以上的分析可以看出，增强企业电子商务的盈利性，要从成本、收益、风险等方面的管理入手，降低成本和风险，提高收入。

降低成本

严格成本控制，降低运营成本。曾经有一段时间，“先壮大，后盈利”的思想被信奉为电子商务的经营哲学，为赢得顾客，网站花费巨额资金在电视台的黄金时间播放广告，赞助大型音乐会，提高知名度。这时成本控制的思想已被狂热的电子商务追求者们远远抛在脑后，以致成本过高，导致回收期过长，据IDG调查结果显示，美国很多新电子商务网络获得一个网上购物顾客成本为80美元，而大多数电子商务网站毛利只有5%左右，这就意味着一个顾客要买1600美元商品才能持平营销成本，更要用3～4年时间才能把投向该顾客的成本收回来。在来自投资人的盈利压力越来越大的情况下，紧缩开支，控制成本是电子商务网站走出死亡阴影的必由之路。

对企业的内外部资源进行优化组合，将摩擦成本降到最低。企业开展电子商务并不是一个孤立的环节，要达到降低成本的目的，前提条件是要保证上游企业和下游企业在信息化方面的跟进，从而形成一个良好的循环链，达到节省大量中间成本，提高工作效率的目的。(1)就企业内部而言，应加强企业资源计划(ERP)系统的实施，借助计算机集成系统(CIMS)和计算机辅助设计(CAD)连接研发、生产、供应、营销、服务等环节，实现对人力、财力、物力和技术等内部资源的优化组合。(2)就企业外部而言，应加强企业间的供应链管理，密切企业与供应商、销售商的联系，跟踪技术、客户、市场，确保对市场变化的及时了解和迅速反应。具体来讲，生产实物产品的电子商务企业可以采用商务运营部门与销售部门相脱离的双链运筹策略：销售部门专心做销售，而商务运营部门不仅要负责定单处理、产品储运等物流供货任务，同时将生产计划、物资采购等供货的前提环节也合并进来，使商务运营中心能够按照市场需求及供求情况去安排生产、采购配件、合理安排库存，最终实现及时供货，提升销售渠道和客户对企业的满意度。
改善企业组织结构，降低管理成本。传统的组织结构主要有U型和M型，现实的组织实践中绝大多数企业采用的就是这两类组织结构形式。这两种不同的组织结构中有一个共同的特点，即在决策层与作业层间存在中间管理层。但网络技术的普及和发展使企业组织机构的存在基础发生巨大的变化，电子商务技术的发展使信息处理效率大幅提高，企业网络内每一终端都可以同时获得全面的数据与信息，各种计算机辅助手段的应用使中层管理人员的作用日见势微，网络技术使企业高层管理人员通过网络系统，低成本的及时过滤各个基层机构形成的原始信息。因此企业应及时调整其组织结构，采用扁平化的组织结构方式来适应新兴电子商务经营方式，以减少中层管理人员，提高效率，降低企业内部管理成本。

提高收入增加收益

经营数字产品的电子商务企业应采用差别价格的定价方式充分挖掘电子商务的优势，提高收益。传统产品由于大规模生产具有趋同的特性，且无法获得不同消费者的偏好，只能对产品实行统一定价方式，或针对不同阶层、地区采用有限差别价格定价模式。网络技术的发展，数字产品可大规模量身定制的特性使完全差别价格定价模式的两个基本条件得以实现，即实现了产品差异化，同时也满足了能获得不同消费者的偏好。这就使电子商务企业可依据消费者的个人喜好对产品收取最高价格，获取统一定价模式下所不能获得的“消费者剩余”收益。

积极建立网上销售渠道，强化网络宣传，树立企业自身品牌形象，扩大销售量。经营数字产品的电子商务企业还可以采用捆绑式销售方法(捆绑式销售是指将两件或更多的产品按固定的比例包装在一起销售)提高销售量。

减少风险

大企业和小企业在发展电子商务中所面临的风险是不同的，所以企业是否发展电子商务要根据自身情况而定，决不能随波逐流，一哄而上。目前情况来看，大企业发展电子商务更具优势，这是因为：大型企业一般经过多年发展，具备了成熟的管理体系，主要的业务流程比较规范。大型企业具备完善的销售渠道。大型企业具备品牌优势比较容易吸引顾客。对这些企业来讲，导入电子商务只是将原来的资源统一整合配置到新的主业上的过程。海尔集团从2000年4月18日电子商务平台开始运行以来，到9月份止，其B2B就已实现了12亿元人民币的交易额，业绩不俗。从近两年电子商务的发展速度来推测，海尔在2001年电子商务的交易额还会有一大幅度增长。中小企业无上述优势，抵抗风险的能力也较差，建设电子商务的前期应进行严格的财务评价，以盈利为投资取舍的基准，应从自身现实出发，积极与大企业开展生产、经营、资本、技术等多方面的协作，加入到电子商务所形成的大规模供应链中去，融入到商务发展的潮流中去，从中汲取经验。内部购买力低，而无必要上电子商务的小型企业可以考虑从一家ASP供应商那里租赁网络平台，既满足自身需要，又可节省费用。

10. 电子商务安全措施有哪些

就整个系统而言，安全性可以分为四个层次
．网络节点的安全
2．通讯的安全性
3．程序的安全性
4．用户的认证管理
其中2、3、4层是通过操作系统和Web服务器软件实现，网络节点的安全性依靠防火墙保证，我们应该首先保证网络节点的安全性。
一、网络节点的安全
1．防火墙
防火墙是在连接Internet和Intranet保证安全最为有效的，防火墙能够有效地监视网络的通信信息，并记忆通信状态，从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能，制定正确的安全策略，将能提供一个安全、高效的Intranet系统。
2．防火墙安全策略
应给予特别注意的是，防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源，这种安全策略应包括：规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。
3．安全操作系统
防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网，则防火墙失效。所以，要保证防火墙发挥作用，必须保证操作系统的安全。只有在安全操作系统的基础上，才能充分发挥防火墙的功能。在条件许可的情况下，应考虑将防火墙单独安装在硬件设备上。
二、通讯的安全
1．数据通讯
通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全，一定程度上取决于加密的算法和加密的强度。 电子商务系统的数据通信主要存在于：
（1）客户浏览器端与电子商务WEB服务器端的通讯；
（2）电子商务WEB服务器与电子商务数据库服务器的通讯；
（3）银行内部网与业务网之间的数据通讯。其中（3）不在本系统的安全策略范围内考虑。

2．安全链路
在客户端浏览器和商务WEB服务器之间采用SSL协议建立安全链接，所传递的重要信息都是经过加密的，这在一定程度上保证了数据在传输过程中的安全。采用的是浏览器缺省的4O位加密强度，也可以考虑将加密强度增加到128位。 为在浏览器和服务器之间建立安全机制，SSL首先要求服务器向浏览器出示它的证书，证书包括一个公钥，由一家可信证书授权机构（CA中心）签发。浏览器要验征服务器证书的正确性，必须事先安装签发机构提供的基础公共密钥（PKI）。建立SSL链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时）。验证此证书是合法的服务器证书通过后利用该证书对称加密算法（RSA）与服务器协商一个对称算法及密钥，然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。
三、程序的安全性
即使正确地配置了访问控制规则，要满足机系统的安全性也是不充分的，因为编程错误也可能引致攻击。程序错误有以下几种形式：程序员忘记检查传送到程序的入口参数；程序员忘记检查边界条件，特别是处理字符串的内存缓冲时；程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行，而不是只有有限的指令子集在特权模式下运 行，其他的部分只有缩小的许可；程序员从这个特权程序使用范围内建立一个资源，如一个文件和目录。不是显式地设置访问控制（最少许可），程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一 些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令，特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如，缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。 访问控制系统中没有什么可以检测到这些。只有通过监视系统并寻找违反安全策略的行为，才能发现象这些问题一样的错误。
四、用户的认证管理
1．身份认证
电子商务用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份，IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能，所以只采用ID号和密码口令的身份确认机制。
2．CA证书
要在网上确认交易各方的身份以及保证交易的不可否认性，需要一份数字证书进行验证，这份数字证书就是CA证书，它由认证授权中心（CA中心）发行。CA中心一般是公认的可靠组织，它对个人、组织进行审核后，为其发放数字证书，证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时进行）。
五、安全管理
为了确保系统的安全性，除了采用上述技术手段外，还必须建立严格的内部安全机制。
对于所有接触系统的人员，按其职责设定其访问系统的最小权限。
按照分级管理原则，严格管理内部用户帐号和密码，进入系统内部必须通过严格的身份确认，防止非法占用、冒用合法用户帐号和密码。
建立安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询。定期检查日志，以便及时发现潜在的安全威胁。
对于重要数据要及时进行备份，且对数据库中存放的数据，数据库系统应视其重要性提供不同级别的数据加密。
安全实际上就是一种风险管理。任何技术手段都不能保证1OO％的安全。但是，安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。