电子商务系统的安全管理
- 格式:pptx
- 大小:114.30 KB
- 文档页数:21


哩孑商莠
电子商务系统安呈的解决方案 .. ・宫晓曼滕荣华谢晓燕江西经济管理干部学院 本论文受到江西社科院规划项目的资助,编号为05sh237,课题名为 电子政务的发展研究 [摘要] 随着电子商务这一新的商务模式逐渐为社会各界所接受并应用,电子商务系统安全日益成为电子商务发展过程中的一 个“瓶颈”。如何建立一个安全本文,便捷的电子商务应用环境,已成为人们热切关注的焦点。本文分别从管理和技术的角度阐述了 解决电子商务系统安全的方法 [关键词]电子商务 系统安全安全对策安全技术 2003年2月初 美国一名计算机黑客攻破了一家负责代理商 家处理信用卡交易业务的企业数据库.致使万事达、维萨、运通 这世界三大信用卡组织的800多万用户的信用卡信息被盗用.造 成几千万美元的损失.构成有史以来最大的信用卡资料泄密事件。 世界上最大的、最安全的信用卡组织的账户信息都被泄密,可见 网络黑客有多么可怕。如何如何建立一个安全的电子商务应用环 境.对信息提供足够的保护.已成为人们热切关注的焦点。下面 分别从管理和技术的角度阐述了解决电子商务系统安全的方法。 一、电子商务信息安全的管理 要实现电子商务系统安全.仅有技术上的安全是不行的。首 先必须制定一套完备的网络安全管理条例 才能从根本上杜绝不 安全事件的发生。就象我们常讲的先要从体制上抓起。我们可以 建立以下的安全管理制度。 1提高对网络信息安全重要性的认识 信息技术的发展.使网络逐渐渗透到社会的各个领域.在未来 的军事和经济竞争与对抗中.因网络的崩溃而促成全部或局部的失 败.决非不可能。我们在思想上要把信息资源共享与信息安全防护 有机统一起来.树立维护信息安全就是保生存、促发展的观念。 2.开展网络安全立法和执法 是要加快立法进程 健全法律体系。自1 973年世界上第一 部保护计算机安全法问世以来.各国与有关国际组织相继制定了 系列的网络安全法规。我国也陆续颁布了很多网络安全法规。 这些法规对维护网络安全发挥了重要作用.但不健全之处还有许 多。一是应该结合我国实际.吸取和借鉴国外网络信息安全立法 的先进经验.对现行法律体系进行修改与补充.使法律体系更加科 学和完善:二是要执法必严.违法必纠。要建立有利于信息安全案 件诉讼与公 检 法机关办案的制度,提高执法的效率和质量。 3抓紧网络安全基础设施建设 个网络信息系统 不管其设置有多少道防火墙.加了多少 级保护或密码 只要其芯片 中央处理器等计算机的核心部件以 及所使用的软件是别人设计生产的 就没有安全可言:这正是我 国网络信息安全的致命弱点。国民经济要害部门的基础设施要通 过建设一系列的信息安全基础设施来实现。为此 需要建立中国 的公开密钥基础设施、信息安全产品检测评估基础设施、应急响 应处理基础设施等。 4.把好网络建设立项关 我国网络建设立项时的安全评估工作没有得到应有重视.这 给出现网络安全问题埋下了伏笔。在对网络的开放性、适应性、成 熟性,先进性、灵活性,易操作性、可扩充性综合把关的同时 在 立项时更应注重对网络的可靠性,安全性评估.力争将安全隐患 杜绝于立项、决策阶段。 5注重网络建设的规范化 没有统一的技术规范.局部性的网络就不能互连、互通、互 动.没有技术规范也难以形成网络安全产业规模。目前.国际上 出现许多关于网络安全的技术规范、技术标准.目的就是要在统 的网络环境中保证信息的绝对安全。我们应从这种趋势中得到 启示.在同国际接轨的同时.拿出既符合国情又顺应国际潮流的 技术规范。 二、电子商务网络安全技术 有了制度.就有了根基。电子商务信息安全在很大程度上依 赖于技术的完善.这些技术包括:密码技术、鉴别技术、访问控 制技术.信息流控制技术、数据保护技术、软件保护技术、病毒 检测及清除技术、内容分类识别和过滤技术、网络隐患扫描技术、 系统安全监测报警与审计技术等。 1防火墙技术 防火墙(Firewal『)是近年来发展的最重要的安全技术.它的 主要功能是加强网络之间的访问控制.防止外部网络用户以非法 手段通过外部网络进入内部网络(被保护网络)。它对两个或多个 网络之间传输的数据包和链接方式按照一定的安全策略对其进行 检查.来决定网络之间的通信是否被允许.并监视网络运行状态。 简单防火墙技术可以在路由器上实现.而专用防火墙提供更加可 靠的网络安全控制方法。防火墙技术主要有包过滤技术、代理服 务技术与状态监控技术。 2.加密技术 数据加密被认为是最可靠的安全保障形式 它可以从根本上 满足信息完整性的要求.是~种主动安全防范策略。密钥加密技 术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在 加密与解密过程中使用相同的密钥加以控制 它的保密度主要取 决于对密钥的保密。它的特点是数字运算量小.加密速度快.弱 点是密钥管理困难.一旦密钥泄露,将直接影响到信息的安全。非
科技信息
浅谈电子商务交易安茔管理策略
景德镇高等专科学校彭津琳周珊珊金恩涛
[摘要]近年来随着互联网技术的迅速发展,基于网络和多媒体技术的电子商务也在迅速的发展,使得网络购物在人们生活中占据
越来越重要的地位。而网络交易安全问题则成为A-4r3最为关注的一个问题。网络交易安全涉及社会的方方面面,不仅仅是一堵防
火墙或是一个电子签名就能解决的问题,需要有综合的网络交易安全管理策略。
[关键词]电子商务 网络交易安全安全管理策略
1、网络交易可能出现的风险 对网络交易整个流程进行考察,找出交易过程中可能会出现的各
种风险,分析其危害性,指引出交易过程中存在的安全隐患和漏洞,从
而在制定网络交易安全策略的时候能有的放矢。
1.1在线交易主体的市场准人问题 在现实生活中,任何从事营利性事业的主体都必须进行工商登记,
在取得资格后才能从事相关的商务活动。而在电子商务环境下,任何
人只需要利用汁算机网络发布信息,就能够与他人完成交易。在这过
程中,买卖双方甚至可能是不是真实存在都不得而知。所以电子商务
交易安全首先要解决交易主体的真实性问题,这方面工作需要相关的
管理部门出台相关的制度和政策。
1.2信息风险 从买卖双方自身的角度观察,网络交易中的信息风险来源于用户
以合法身份进入系统后,买卖双方都可能在网络上发布虚假的供求信
息,或以过期的信息冒充现在的信息,以骗取对方的钱款或货物。虚假
信息包含有与事实不符和夸大事实两个方面。虚假事实可能是所宣传
的商品或服务本身的性能、质量、技术标准等,也可能是政府批文、权威
机构的检验证明、荣誉证书、统计资料等,还可能是不能兑现的允诺。
例如,有些网络公司急于扩大自身影响,引起公众注意,网络广告使用
“中国第一”、“全球最好”等浮夸的词语。有的甚至在网络广告发布过
程中,违反有关法律和规章中的强制性规定,将含有淫秽、迷信、恐怖、
暴力等不健康的内容直接在网上发布。
1. 电子商务中,SSL协议主要用于:
A. 数据加密
B. 数据压缩
C. 数据备份
D. 数据恢复
2. 下列哪项不是电子商务安全的主要威胁?
A. 病毒攻击
B. 网络钓鱼
C. 数据备份
D. 拒绝服务攻击
3. 在电子商务中,数字签名主要用于:
A. 数据加密
B. 身份验证
C. 数据压缩
D. 数据恢复
4. 下列哪项技术可以有效防止SQL注入攻击?
A. 使用防火墙
B. 使用参数化查询
C. 使用数据加密
D. 使用数据备份
5. 电子商务网站的安全漏洞可能导致:
A. 数据丢失
B. 数据泄露
C. 数据篡改
D. 以上都是
6. 下列哪项是电子商务中的身份验证方法?
A. 密码
B. 生物识别
C. 双因素认证
D. 以上都是
7. 在电子商务中,HTTPS协议比HTTP协议更安全,因为:
A. 它使用SSL/TLS加密
B. 它使用数据压缩
C. 它使用数据备份
D. 它使用数据恢复
8. 下列哪项是电子商务中的数据加密技术?
A. AES
B. RSA C. DES
D. 以上都是
9. 电子商务网站的安全审计主要目的是:
A. 发现安全漏洞
B. 提高网站性能
C. 增加网站流量
D. 减少网站成本
10. 下列哪项是电子商务中的访问控制技术?
A. 角色基础访问控制
B. 强制访问控制
C. 自主访问控制
D. 以上都是
11. 在电子商务中,防止跨站脚本攻击(XSS)的有效方法是:
A. 输入验证
B. 输出编码
C. 使用内容安全策略
D. 以上都是
12. 下列哪项是电子商务中的安全协议?
一、前言
随着互联网的普及和发展,电子商务已成为企业开展业务的重要手段。然而,电子商务在给企业带来便利的同时,也带来了网络安全风险。为了保障企业电子商务的顺利进行,防范网络安全风险,特制定本制度。
二、制度目标
1. 保障企业电子商务系统的正常运行,确保数据安全、传输安全和应用安全。
2. 建立健全网络安全管理体系,提高企业员工的安全意识。
3. 规范网络安全事件的处理流程,降低网络安全事件对企业的影响。
三、组织机构与职责
1. 成立网络安全管理领导小组,负责制定网络安全管理制度、指导网络安全工作、协调各部门间的网络安全工作。
2. 设立网络安全管理部门,负责网络安全日常管理、安全事件处理、安全意识培训等工作。
3. 各部门负责人为网络安全第一责任人,负责本部门网络安全工作。
四、安全管理制度
1. 人员管理制度
(1)加强对员工网络安全意识的教育和培训,提高员工网络安全防范能力。
(2)建立健全员工网络安全责任制,明确各部门、各岗位的网络安全职责。
2. 系统安全管理制度
(1)对服务器、网络设备等进行定期安全检查,确保系统安全稳定运行。
(2)采用防火墙、入侵检测系统等安全产品,防范网络攻击。
(3)对操作系统、应用程序等进行及时更新和补丁安装,修复已知安全漏洞。
3. 数据安全管理制度
(1)对重要数据进行加密存储和传输,防止数据泄露。
(2)建立健全数据备份制度,定期进行数据备份,确保数据安全。 4. 保密制度
(1)明确企业内部信息的安全等级,对敏感信息进行加密存储和传输。
(2)对涉密人员进行保密教育,加强保密意识。
5. 跟踪审计制度
(1)建立网络安全事件跟踪审计机制,对网络安全事件进行实时监控。
(2)对网络安全事件进行详细记录,为事件处理提供依据。
6. 网络安全事件处理制度
(1)建立网络安全事件报告制度,及时报告网络安全事件。
(2)对网络安全事件进行分类处理,确保事件得到及时解决。