㈠ 电子商务安全的内容包括
电子商务安全包括备份技术、密码技术、认证技术以及访问控制技术等。
1.备份技术。所谓数据库备份与恢复方案,目的是在数据库系统故障并且短时间内难以恢复时,用存储在备份介质中的数据将数据库还原到备份时的状态。
2.认证技术。认证技术可以阻止不拥有系统授权的用户非法破坏敏感机密的数据,是数据库管理系统为防止各种假冒攻击安全策略。 3.访问控制技术。访问控制方案有三种,分别叫做自主存取控制(DAC)、强制存取控制(MAC)和基于角色的存取控制(RBAC)。当用户对数据库进行访问时,系统会根据用户的级别与权限来判定此操作是允许的或者禁止的,从而达到保护敏感数据不被泄露或者篡改的目的。
4.审计技术。这种有效机制可以在最大程度上保证数据库管理系统的信息安全。有两种审计方式:用户审计和系统审计。
5.加密技术。数据库管理系统的加密以字段为最小单位进行,加密和解密通常是通过对称密码机制的密钥来实现。
㈡ 电子商务安全要素有哪些
电子商务安全要素有以下四点:
1、有效性、真实性
有效性、真实性是指能对信息、实体的有效性。真实性进行鉴别,电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业和国家的经济利益和声誉。如何保证这种电子贸易信息的有效性和真实性成了经营电子商务的前提。
2、机密性
机密性是指保证信息不会泄漏给非授权人或实体电子商务作为一种贸易手段,其信息是个人、企业或国家的商业机密。网络交易必须保证发送者和接受者之间交换信息的保密性,而电子商务建立在一个较为开放的网络环境上,商业保密就成为电子商务全面推广应用的重点保护对象。
3、数据的完整性
数据的完整性要求防止数据非授权的输入、修改、删除或破坏,保证数据的一致性信息的完整性将影响到贸易各方的交易和经营策略,保持这种完整性是电子商务应用的基础,数据输入时的意外差错或欺诈行为可能导致贸易各方信息的差异。数据传输过程中的信息丢失、信息重发或信息传送次序的差异也会导致贸易各方信息不相同。
4、可靠性、不可抵赖性
可靠性是要求保证合法用户对信息和资源的使用不会遭到不正当的拒绝;不可抵赖性是要求建立有效的责任机制,防止实体否认其行为在互联网上每个人都是匿名的,原发方字发送数据后不能抵赖;接收方在接收数据后也不能抵赖。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已经不可能。
㈢ 电子商务安全是指什么
简单说就是计算机网络安全和商务交易安全。
网络安全从其本质上来讲就是网络上的信息安全。它涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域,包括物理安全、网络安全、传输安全、应用安全、用户安全。
电子商务安全要素体现在:
信息的机密性:密码技术
信息的完整性:散列函数
数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异;
数据传输过程中的信息丢失、重复、差异;
黑客对信息的篡改和假冒
完整性一般可通过提取消息文摘获得,包括两方面:
数据传输的完整性
完整性检查、上下文检查:内容的差异和语法规则
信息的有效性:电子文档的法律确认
认证性:身份确认
信息的不可抵赖性:数字签名
不可修改性:完整性
部分告知:交易与支付的部分分离
另行确认
系统的可靠性
计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒、自然灾害等
电子商务安全技术主要有:
密码技术
加密技术是保证电子商务安全的重要手段,是信息安全的核心。
密钥管理技术
最棘手的问题:分发和存储
数字签名:公钥加密技术
网络安全技术
操作系统安全、防火墙技术、VPN、漏洞检测、审核技术等
㈣ 电子商务安全法律制度主要有哪些
电子商务,Electronic Commerce,通常是指是在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。"
2所谓的客户关系管理就是为企业提供全方位的管理视角;赋予企业更完善的客户交流能力,最大化客户的收益率。
3网络营销(On-line Marketing或E-Marketing)就是以国际互联网络为基础,利用数字化的信息和网络媒体的交互性来辅助营销目标实现的一种新型的市场营销方式。
4电子商务产生发展的条件:电子商务的出现,打破了以往传统商务模式下的时间和空间的界限,改变了原有企业的格局、原有的价值体系、原有的经营模式,甚至改变了企业的形式。电子商务对商品的价格也带来了深刻的影响。主要包括:电子商务降低采购成本;电子商务实现无库存生产;电子商务实现营销成本下降;电子商务降低企业组织管理费用以及电子商务降低交易费用。
5简述电子商务法的基本原则:
一、中立原则
电子商务法的基本目标,归结起来就是要在电子商务活动中,建立公平的交易规则。这是商法的交易安全原则在电子商务法上的必然反映。电子商务既是一种新的交易手段,同时又是一个新兴产业。面对其中所蕴涵的,深不可测的巨大利益的诱惑,可以说没有哪个企业是无动于衷的。各种利益集团、各种技术,以及各个利益主体都想参与其中,在这个无比广阔的舞台上施展才华,谋取便利。其具体参与者有硬件制造商、软件开发商、信息提供商、消费者、商家等等,不一而足。而要达到各方利益的平衡,实现公平的目标,就有必要做到如下几点:
(1)技术中立。电子商务法对传统的口令法、以及非对称性公开密钥法,以及生物鉴别法等认证方法,都不可厚此薄彼,产生任何歧视性要求。同时,还要给未来技术的发展留下法律空间,而不能停止于现状,以至闭塞贤路。譬如新计算机的问世、新一代高速网络的出现等,都将考验电子商务法的技术中立性。这是在总结了传统书面法律要求的经验教训,而得出的方针。当然,该原则在具体实施时,会遇到许多困难。而克服这些具体困难的过程,也就是技术中立原则实现的过程。
(2)媒介中立。媒介中立与技术中立紧密联系,二者都具有较强的客观性,并且一定的传输技术,与相应的媒介之间是互为前提的。媒介中立,是中立原则在各种通讯媒体上的具体表现,所不同的是,技术中立侧重于讯息的控制和利用手段:而媒介中立则着重于讯息依赖的载体。后者更接近于材料科学。从传统的通讯行业划分来看,不同的媒体可能分属于不同的产业部门,如无线通讯、有线通讯、电视、广播、增殖网络等。而电子商务法,则应以中立的原则来对待这些媒介体,允许各种媒介根据技术和市场的发展规律而相互融合,互相促进。只有这样,才能使各种资源得到充分的利用,从而避免人为的行业垄断,活媒介垄断。开放性因特网的出现,正好为各种媒介发挥其作用提供了理想的环境,达到兴利除弊,共生共荣。
(3)实施中立。是指在电子商务法与其他相关法律的实施上,不可偏废;在本国电子商务活动与跨国际性电子商务活动的法律待遇上,应一视同仁。特别是不能将传统书面环境下的法律规范(如书面、签名、原件等法律要求)的效力,放置于电子商务法之上,而应中立对待,根据具体环境特征的需求,来决定法律的实施。如果说前述技术中立和媒介中立,反映了电子商务法对技术方案和媒介方式的规范,具有较强的客观性。而对电子商务法的中立实施,则更偏重于主观性。电子商务法如同其他规范一样,其适用离不开当事人的遵守与司法机关的适用。
(4)同等保护。此点是实施中立原则在电子商务交易主体上的延伸。电子商务法对商家与消费者,国内当事人与国外当事人等,都应尽量做到同等保护。因为电子商务市场本身是国际性的,在现代通讯技术条件下,割裂的、封闭的电子商务市场是无法生存生存的。
一言以蔽之,电子商务法上的中立原则,着重反映了商事交易的公平理念。其具体实施将全面展现在当事人所依托于开放性、兼容性、国际性的网络与协议,而进行的商事交易之中。
二、自治原则
允许当事人以协议方式订立其间的交易规则,是交易法的基本属性。因而,在电子商务法的立法与司法过程中,都要以自治原则为指导,为当事人全面表达与实现自己的意愿,预留充分的空间,并提供确实的保障。譬如以《示范法》第四条为例,就规定了当事人可以协议变更的条款。其内在含义是:除了强制性的法律规范外,其余条款均可由当事人自行协商制定。其实,《示范法》中的强行规范不仅从数量上很少,仅四条之多,而且其目的也仅在于消除传统法律为电子商务发展所造成的障碍,为当事人在电子商务领域里充分行使其意思自治而创造条件。换言之,《示范法》的任意性条款,从正面确定权利,以鼓励其意思自治,而强制性条款,则从反面摧毁传统法律羁绊,使法律适应电子商务活动的特征,更好的保障其自治意思的实现。可以说是一正、一反,殊途同归。
三、安全原则
保障电子商务的安全进行,既是电子商务法的重要任务,又是其基本原则之一。电子商务以其高效、快捷的特性,在各种商事交易形式中脱颖而出,具有强大的生命力。而这种高效、快捷的交易工具。必须以安全为其前提,它不仅需要技术上的安全措施,同时,也离不开法律上的安全规范。譬如,电子商务法确认强化(安全)电子签名的标准 ,规定认证机构的资格及其职责等具体的制度,都是为了在电子商务条件下,形成一个较为安全的环境,至少其安全程度应与传统纸面形式相同。电子商务法从对数据电讯效力的承认,以消除电子商务运行方式的法律上的不确定性,以至于根据电子商务活动中现代电子技术方案应用的成熟经验,而建立起反映其特点的操作性规范,其中都贯穿了安全原则和理念。
㈤ 电子商务安全的内容包括哪些方面
电子商务安全,包括的内容有:
备份技术
目的是在数据库系统故障并且短时间内难以恢复时,用存回储在备答份介质中的数据将数据库还原到备份时的状态。
认证技术
数据库管理系统为防止各种假冒攻击安全策略。
当用户对数据库进行访问时,系统会根据用户的级别与权限来判定此操作是允许的或者禁止的,从而达到保护敏感数据不被泄露或者篡改的目的。
审计技术
保证数据库管理系统的信息安全。有两种审计方式:用户审计和系统审计。
加密技术
加密和解密通常是通过对称密码机制的密钥来实现。
㈥ 电子商务安全类型有哪些
电子商务系统必须具备有效性、机密性、完整性、认证性、不可抵赖性等五个内安全要素。
安全防范对策是容
(1)完善各项管理制度包括:建全法律法规、建立组织机构及人员管理制度、保密制度、跟踪审计制度、系统维护制度、病毒防范制度、应急措施等。
(2)技术对策包括:网络安全检测设备、建立安全的防火墙体系、不间断电源的良好使用、建立认证中心,并进行数字证书的认证和发放、加强数据加密、较强的防入侵措施、严格的访问控制、通信流的控制、合理的鉴别机制、保护传输线路安全、开发各种具有较高安全性的访问设备、数据完整性的控制、端口保护,还有安全检测、审查和跟踪等技术对策。
㈦ 目前电子商务安全法律制度主要有哪些
1电子商务,Electronic Commerce,通常是指是在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。"
2所谓的客户关系管理就是为企业提供全方位的管理视角;赋予企业更完善的客户交流能力,最大化客户的收益率。
3网络营销(On-line Marketing或E-Marketing)就是以国际互联网络为基础,利用数字化的信息和网络媒体的交互性来辅助营销目标实现的一种新型的市场营销方式。
4电子商务产生发展的条件:电子商务的出现,打破了以往传统商务模式下的时间和空间的界限,改变了原有企业的格局、原有的价值体系、原有的经营模式,甚至改变了企业的形式。电子商务对商品的价格也带来了深刻的影响。主要包括:电子商务降低采购成本;电子商务实现无库存生产;电子商务实现营销成本下降;电子商务降低企业组织管理费用以及电子商务降低交易费用。
5简述电子商务法的基本原则:
一、中立原则
电子商务法的基本目标,归结起来就是要在电子商务活动中,建立公平的交易规则。这是商法的交易安全原则在电子商务法上的必然反映。电子商务既是一种新的交易手段,同时又是一个新兴产业。面对其中所蕴涵的,深不可测的巨大利益的诱惑,可以说没有哪个企业是无动于衷的。各种利益集团、各种技术,以及各个利益主体都想参与其中,在这个无比广阔的舞台上施展才华,谋取便利。其具体参与者有硬件制造商、软件开发商、信息提供商、消费者、商家等等,不一而足。而要达到各方利益的平衡,实现公平的目标,就有必要做到如下几点:
(1)技术中立。电子商务法对传统的口令法、以及非对称性公开密钥法,以及生物鉴别法等认证方法,都不可厚此薄彼,产生任何歧视性要求。同时,还要给未来技术的发展留下法律空间,而不能停止于现状,以至闭塞贤路。譬如新计算机的问世、新一代高速网络的出现等,都将考验电子商务法的技术中立性。这是在总结了传统书面法律要求的经验教训,而得出的方针。当然,该原则在具体实施时,会遇到许多困难。而克服这些具体困难的过程,也就是技术中立原则实现的过程。
(2)媒介中立。媒介中立与技术中立紧密联系,二者都具有较强的客观性,并且一定的传输技术,与相应的媒介之间是互为前提的。媒介中立,是中立原则在各种通讯媒体上的具体表现,所不同的是,技术中立侧重于讯息的控制和利用手段:而媒介中立则着重于讯息依赖的载体。后者更接近于材料科学。从传统的通讯行业划分来看,不同的媒体可能分属于不同的产业部门,如无线通讯、有线通讯、电视、广播、增殖网络等。而电子商务法,则应以中立的原则来对待这些媒介体,允许各种媒介根据技术和市场的发展规律而相互融合,互相促进。只有这样,才能使各种资源得到充分的利用,从而避免人为的行业垄断,活媒介垄断。开放性因特网的出现,正好为各种媒介发挥其作用提供了理想的环境,达到兴利除弊,共生共荣。
(3)实施中立。是指在电子商务法与其他相关法律的实施上,不可偏废;在本国电子商务活动与跨国际性电子商务活动的法律待遇上,应一视同仁。特别是不能将传统书面环境下的法律规范(如书面、签名、原件等法律要求)的效力,放置于电子商务法之上,而应中立对待,根据具体环境特征的需求,来决定法律的实施。如果说前述技术中立和媒介中立,反映了电子商务法对技术方案和媒介方式的规范,具有较强的客观性。而对电子商务法的中立实施,则更偏重于主观性。电子商务法如同其他规范一样,其适用离不开当事人的遵守与司法机关的适用。
(4)同等保护。此点是实施中立原则在电子商务交易主体上的延伸。电子商务法对商家与消费者,国内当事人与国外当事人等,都应尽量做到同等保护。因为电子商务市场本身是国际性的,在现代通讯技术条件下,割裂的、封闭的电子商务市场是无法生存生存的。
一言以蔽之,电子商务法上的中立原则,着重反映了商事交易的公平理念。其具体实施将全面展现在当事人所依托于开放性、兼容性、国际性的网络与协议,而进行的商事交易之中。
二、自治原则
允许当事人以协议方式订立其间的交易规则,是交易法的基本属性。因而,在电子商务法的立法与司法过程中,都要以自治原则为指导,为当事人全面表达与实现自己的意愿,预留充分的空间,并提供确实的保障。譬如以《示范法》第四条为例,就规定了当事人可以协议变更的条款。其内在含义是:除了强制性的法律规范外,其余条款均可由当事人自行协商制定。其实,《示范法》中的强行规范不仅从数量上很少,仅四条之多,而且其目的也仅在于消除传统法律为电子商务发展所造成的障碍,为当事人在电子商务领域里充分行使其意思自治而创造条件。换言之,《示范法》的任意性条款,从正面确定权利,以鼓励其意思自治,而强制性条款,则从反面摧毁传统法律羁绊,使法律适应电子商务活动的特征,更好的保障其自治意思的实现。可以说是一正、一反,殊途同归。
三、安全原则
保障电子商务的安全进行,既是电子商务法的重要任务,又是其基本原则之一。电子商务以其高效、快捷的特性,在各种商事交易形式中脱颖而出,具有强大的生命力。而这种高效、快捷的交易工具。必须以安全为其前提,它不仅需要技术上的安全措施,同时,也离不开法律上的安全规范。譬如,电子商务法确认强化(安全)电子签名的标准 ,规定认证机构的资格及其职责等具体的制度,都是为了在电子商务条件下,形成一个较为安全的环境,至少其安全程度应与传统纸面形式相同。电子商务法从对数据电讯效力的承认,以消除电子商务运行方式的法律上的不确定性,以至于根据电子商务活动中现代电子技术方案应用的成熟经验,而建立起反映其特点的操作性规范,其中都贯穿了安全原则和理念。
我国电子商务的发展已经达到中等发达国家水平,因为(1)中国有近3亿网民,(2)网上零售已达到100亿
㈧ 电子商务的安全体系都包括哪些
硬件系统安全措施
㈨ 电子商务安全包括哪些方面
在正确看待电子商务的安全问题时,有几个观念值得注意:
其一,安全是一个系统的概念。安全问题不仅仅是个技术性的问题,不仅仅只涉及到技术,更重要的还有管理,而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起了。
其二,安全是相对的。房子的窗户上只有一块玻璃,一般说来这已经很安全,但是如果非要用石头去砸,那就不安全了。我们不会因为石头能砸碎玻璃而去怀疑它的安全性,因为大家都有一个普遍的认识:玻璃是不能砸的,有了窗玻璃就可以保证房子的安全。同样,不要追求一个永远也攻不破的安全技术,安全与管理始终是联系在一起的。也就是说安全是相对的,而不是绝对的,如果要想以后的网站永远不受攻击,不出安全问题是很难的,我们要正确认识这个问题。
其三,安全是有成本和代价的。无论是现在国外的B-to-B还是B-to-C,都要考虑到安全的代价和成本的问题。如果只注重速度就必定要以牺牲安全来作为代价,如果能考虑到安全速度就得慢一点,把安全性保障得更好一些,当然这与电子商务的具体应用有关。如果不直接牵涉到支付等敏感问题,对安全的要求就低一些;如果牵涉到支付问题对安全的要求就要高一些,所以安全是有成本和代价的。...在正确看待电子商务的安全问题时,有几个观念值得注意:
其一,安全是一个系统的概念。安全问题不仅仅是个技术性的问题,不仅仅只涉及到技术,更重要的还有管理,而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起了。
其二,安全是相对的。房子的窗户上只有一块玻璃,一般说来这已经很安全,但是如果非要用石头去砸,那就不安全了。我们不会因为石头能砸碎玻璃而去怀疑它的安全性,因为大家都有一个普遍的认识:玻璃是不能砸的,有了窗玻璃就可以保证房子的安全。同样,不要追求一个永远也攻不破的安全技术,安全与管理始终是联系在一起的。也就是说安全是相对的,而不是绝对的,如果要想以后的网站永远不受攻击,不出安全问题是很难的,我们要正确认识这个问题。
其三,安全是有成本和代价的。无论是现在国外的B-to-B还是B-to-C,都要考虑到安全的代价和成本的问题。如果只注重速度就必定要以牺牲安全来作为代价,如果能考虑到安全速度就得慢一点,把安全性保障得更好一些,当然这与电子商务的具体应用有关。如果不直接牵涉到支付等敏感问题,对安全的要求就低一些;如果牵涉到支付问题对安全的要求就要高一些,所以安全是有成本和代价的。作为一个经营者,应该综合考虑这些因素;作为安全技术的提供者,在研发技术时也要考虑到这些因素。
其四,安全是发展的、动态的。今天安全明天就不一定很安全,因为网络的攻防是此消彼长、道高一尺、魔高一丈的事情,尤其是安全技术,它的敏感性、竞争性以及对抗性都是很强的,这就需要不断地检查、评估和调整相应的安全策略。没有一劳永逸的安全,也没有一蹴而就的安全。
㈩ 电子商务安全措施有哪些
就整个系统而言,安全性可以分为四个层次
.网络节点的安全
2.通讯的安全性
3.程序的安全性
4.用户的认证管理
其中2、3、4层是通过操作系统和Web服务器软件实现,网络节点的安全性依靠防火墙保证,我们应该首先保证网络节点的安全性。
一、网络节点的安全
1.防火墙
防火墙是在连接Internet和Intranet保证安全最为有效的,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。
2.防火墙安全策略
应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
3.安全操作系统
防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网,则防火墙失效。所以,要保证防火墙发挥作用,必须保证操作系统的安全。只有在安全操作系统的基础上,才能充分发挥防火墙的功能。在条件许可的情况下,应考虑将防火墙单独安装在硬件设备上。
二、通讯的安全
1.数据通讯
通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全,一定程度上取决于加密的算法和加密的强度。 电子商务系统的数据通信主要存在于:
(1)客户浏览器端与电子商务WEB服务器端的通讯;
(2)电子商务WEB服务器与电子商务数据库服务器的通讯;
(3)银行内部网与业务网之间的数据通讯。其中(3)不在本系统的安全策略范围内考虑。
2.安全链路
在客户端浏览器和商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。采用的是浏览器缺省的4O位加密强度,也可以考虑将加密强度增加到128位。 为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。建立SSL链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。
三、程序的安全性
即使正确地配置了访问控制规则,要满足机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运 行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一 些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。 访问控制系统中没有什么可以检测到这些。只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。
四、用户的认证管理
1.身份认证
电子商务用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。
2.CA证书
要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。CA中心一般是公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。
五、安全管理
为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。
对于所有接触系统的人员,按其职责设定其访问系统的最小权限。
按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。
建立安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。定期检查日志,以便及时发现潜在的安全威胁。
对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。
安全实际上就是一种风险管理。任何技术手段都不能保证1OO%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。