- 相关推荐
商务公司的信息安全策略
商务公司的信息安全策略【1】
【文章摘要】如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为十分关注的问题。
所以本文选择对商务公司的网络信息安全进行研究分析,并给出相应的对策,具有重要的现实意义。
【关键词】
电子商务;信息安全;技术
0 引言
由于Internet及其应用在全球范围内的迅速普及,企业信息化建设也有了更进一步的发展,电子商务使得企业信息系统更加的完善,也更加方便快捷的满足了现在社会的需求。
因此,电子商务必将成为21世纪最先进、最有效、最迅速、最全面的经营交易方式。
但是与此同时,由于它的网络普及性,又给企业信息系统带来了更多的不安全因素,尤其是互联网络所固有的开放性与资源共享性,导致网上交易的安全性受到严重挑战。
1 商务公司信息安全存在的问题分析
1.1 商务公司网络交易信息的保密问题
一是传输过程中的数据截获。
作为商务公司这样一家以电子商务信息接受发布为主体的公司来说,电子商务系统中的数据在传输过程中很容易受到截获。
攻击者可能通过互连网、公共电话网、搭线或在电磁波辐射范围内安装截收装置等方式,截获传输的机密信息,或通过对信息量和流向等参数的分析,获取有用的信息。
二是传输过程中的数据完整性破坏。
攻击者可能从三个方面破坏信息的完整性:篡改,即改变信息流的次序,更改信息的内容,如购买商品的出货地址;删除,即删除某个消息或消息的某部分;插入,即在消息中插入一些信息。
因此,防止传输过程中的数据破坏是非常重要的。
三是跨平台数据交换引起的数据丢失。
Internet的发展使电子商务由最初的单一的、普通的封闭式电子数据交换(EDI)系统,逐步向跨平台的多信源电子商务互联网转变。
在同一个电子商务网络中,可能同时存在多个操作系统,有多种型号的电脑设备,使用多种数据传输介质,并要求同时支持多国语言。
如果平台之间的兼容性存在问题,有可能导致电子商务系统中数据的丢失。
1.2 访客身份验证和信息真实性问题
一是交易身份的真实性。
交易者身份的真实性是指交易双方确实是存在的,不是假冒的。
网上交易的双方相隔很远,互不了解,要使交易成功,必须互相信任,确认对方是真实存在的,对商家要考虑客户是不是骗子,对客户要考虑商店是不是黑店,是否有信誉。
所以,验证交易者的身份也就势在必行了。
二是黑客和商业间谍的攻击。
攻击者可以分为黑客和商业间谍。
黑客指利用不正当的手段窃取计算机网络系统的口令和密码,从而非法进入计算机网络的人。
他们篡改用户数据,搜索和盗窃私人文件,甚至破坏整个系统的信息,导致网络瘫痪。
三是信息的有效性。
电子商务以电子形式取代了纸张,那么如何保证这种电子形式贸易信息的有效性则是开展电子商务的前提。
一旦签订交易协议后,这项交易就应受到保护以防止被篡改或伪造。
交易的有效性在其价格、期限及数量作为协议一部分时尤为重要,必须保证贸易数据在确定价格、期限、数量以及确定时刻、地点时是有效的。
1.3 商务公司的数据加密的问题
一是信息的截获和窃取。
如同上一节所提出的数据传输过程中的截获相同,如果没有采用加密措施或加密强度不够,攻击者可以通过互联网,公共电话网等途径推出有用信息,如消费者的银行帐号,密码以及企业的商业机密等。
二是信息的篡改。
当攻击者熟悉了网络信息格式后,通过各种技术方法和手段对网络传输的信息进行中途修改,并发往目的地,从而破坏信息的完整性,达到破坏双方交易得目的。
三是信息的假冒。
当攻击者掌握了网络信息数据规律或解密了商务信息以后,可以假冒合法用户或发送假冒信息来欺骗其他用户。
主要有两种方式:一种是伪造电子邮件。
另一种是假冒他人身份。
2 关于商务公司信息安全问题的对策
2.1 关于商务公司会员及产品信息保密性问题的对策
在电子商务中,传送的文件则是通过数字签名来证明当事人身份和数据的真实有效性的。
数字签名技术就是利用数据加解密技术、数据变换技术,根据某种协议来产生一个反映被签署文件和签署人特性的数字化签名。
数字签名涉及被签署文件和签署人两个主体,密码技术是数字签名的技术基础采用公开密钥要比采用常规密钥算法更容易实现。
将数字签名技术应用于商务公司的日常运营中,可以解决数据的否认、伪造、篡改及冒充等问题。
2.2 关于访客身份验证和所得信息真实性问题的对策
一个是确认信息发送者的身份;另一个是验证信息的完整性,即确认信息在传送或存储过程中未被篡改过。
认证是为了防止有人对系统进行主动攻击的一种重要技术。
想要解决验证信息和访客的真实性问题,采用信息认证技术就事在必行。
信息认证技术包括了,数字签名技术、身份认证技术两项。
2.2.1 采用数字签名技术
数字签名技术是电子商务交易中的一项非常重要的技术。
在电子商务中,完善的数字签名技术应具备签字方不能抵赖、他人不能伪造、在公正人面前能够验证真伪能力。
如今被广泛应用的数字签名技术主要主要包括以下三种:RSA签名、DSS签名和HASH签名。
这三种方法可单独使用,也可综合在一起使用。
2.2.2 采用身份认证技术
身份认证机制包括两部分,即数字证书(DC:Digital Certificate)和证书授权机构(CA:Certificate Authority)。
电子商务证书就是这样一种由权威机构发放的用来证明身份的事物。
数字证书又称数字凭证,是用电子手段来证实一个用户身份和对网络资源的访问权限。
证书是一份文档,它记录了用户的公开密钥和其它身份信息,如名字和E-mail地址。
它是一个经证书授权中心数字签名的文件。
一般情况下,证书中还包括密钥的有效时间、发证机关(证书授权中心)的名称以及该证书的序列号等信息。
在网上的电子交易中,如果交易双方都出示各自的数字证书,那么双方都可不必对对方身份的真伪担心。
数字证书有三种类型:个人数字证书、企业证书和软件证书。
其中个人数字证书和企业证书是常用的证书。
大部分认证中心提供前两种证书。
2.3 关于商务公司数据加密问题的对策
2.3.1 采用单密钥密码体制
单钥密码体制又称对称密钥加密,其特点是采用相同的加密算法并只交换共享的专用密钥。
对于商务公司来说,因为他是以信息汇总和发布为主要经营目的的商务网站,因此,他的日常信息处理量会很频繁、很复杂、也很巨大。
所以,考虑这方面的问题我们应该尽可能的减少公司的运营负荷及工作量。
2.3.2 采用双钥密码体制
双钥密码体制又称非对称密码体制或公钥体制,与对称加密算法不同的是,使用公开密钥算法时,密钥被分解为一对,即公开密钥或专用密钥。
公开密钥通过非保密方式向他人公开,而专用密钥加以保存。
作为密钥加密体制的另一种方法,虽然,在电子商务的公司中不是应用的很广泛,但是,如果作为像商务公司这样要求信息保密性很高的企业,采用多元的,多方位的加密技术也是很有必要的。
这是一种只交换保密电文而不交换保密算法本身的方法,使用一对相互匹配的加解密密钥,每个密钥进行单向的数据变换。
当一个密钥进行加密时,只有相对应的另一个密钥才能解密。
2.3.3 采用虚拟专用网(VPN)技术
根据商务公司所出现的漏洞情况,除了以上的密钥加密、身份认证等技术外,在企业内部建立局域网,并将它和英特网及虚拟专用网结合起来,也会很好的查补信息安全上的漏缺。
目前VPN主要采用三项技术来保证信息安全,而多VPN合作使用只是其中的一种方法。
电子商务中物流信息安全策略【2】
摘要:电子商务正在蓬勃发展,其最终目的是商品的流通,物流配送是电子商务不可缺少的重要环节,保证其信息安全至关重要。
本文论述物流在电子商务中的作用、实现过程,阐述影响物流信息安全的因素及防护策略,并用C语言编程诠释数据加密技术的实现。
关键词:电子商务 物流 信息安全 数据加密
当今世界网络,通信和信息技术飞速发展,Internet在全球迅速普及,使得商务空间发展到全球的规模,促进企业组织改革自己的思维观念、组织结构、战略方针和运行方式来适应全球性的发展变化。
电子商务就是适应以全球为市场而出现和发展起来的一种新的商贸模式,通过网络技术快速而有效地进行各种商务行为,即在商务运作的整个过程中实现交易无纸化、直接化。
电子商务可以使商家与供应商,在全球市场上销售产品;也可以让用户足不出户在全球范围内选择最佳商品,享受全过程的电子服务。
一、物流在电子商务流程中的作用
电子商务对象是整个交易过程,任何一笔交易都由信息流、商流、资金流和物流等四个基本部分组成。
开展电子商务的最终目的是为了解决信息流和资金流处理上的延迟,从而提高对物流过程管理的现代化水平,进一步提高现代化物流速度。
物流做为网上电子交易的最后一个过程,执行结果的好坏将对电子交易的成败起着十分重要的作用,是实现电子商务的重要环节和基本保证。
电子商务必须有现代化的物流技术的支持,才能体现出其所具有的无可比拟的先进性和优越性,在最大限度上使交易双方得到便利,获得效益。
二、电子商务流程中物流的实现
在电子商务中,信息流、商流、资金流的处理可以通过计算机和网络通信设备实现。
对于有形的商品和服务来说,物流仍然要由物理的方式进行传输;对于无形的商品及服务如各种电子出版物、信息咨询服务以及有价信息软件等,可以直接通过网络传输的方式进行电子化配送。
电子商务环境下的物流,通过机械化和自动化工具的应用和准确、及时的物流信息对物流过程的监控,使物流的速度加快、准确率提高,能有效地减少库存,缩短生产周期。
三、电子商务中物流信息安全问题
物流正在向信息化、自动化、网络化和智能化的方向发展,越来越依赖于网络传输信息的安全性能。
由于Internet具有开放性和匿名性,其安全问题变得越来越突出。
物流信息在网络传输过程中,经常会遭到黑客的拦截、窃取、篡改、盗用、监听等恶意破坏,给商户带来重大损失。
以各种非法手段企图入侵计算机网络的黑客,其恶意攻击构成电子商务系统中网络安全的最大威胁,已经成为物流信息安全的最大隐患。
黑客攻击经常使用的手段有:
1、获取口令
有三种方法:一是精心伪造一个登录页面,并嵌入到相关网页上,当商户键入登录信息(用户名和密码等)后,将这些信息传送到黑客的主机,然后关闭页面给出“系统故障”等提示,要求商户重新登录,此后才出现真正的登录页面。
二是通过网络监听得到商户口令,监听者往往能够获得其所在网段的所有用户账号和口令,对LAN威胁巨大。
三是知道商户账号后利用一些专门软件强行破解商户口令。
2、邮件炸弹
用伪造的IP地址和电子邮件地址向商户信箱发送无数封内容相同的恶意邮件,挤满邮箱,把正常邮件冲掉。
同时占用大量网络资源,导致网路阻塞,甚至使电子邮件服务器瘫痪。
3、特洛伊木马
在商户的电脑中隐藏一个会在系统启动时运行的程序,采用服务器/客户机的运行方式,在上网时控制商户电脑,窃取口令、浏览商户的驱动器、修改商户文件和登录注册表等。
4、诱敌深入
黑客编写“合法”程序,上传到FTP站点或提供给个人主页诱导客户。
当客户下载该软件时,黑客的软件一并进入客户的计算机上,跟踪客户的操作,记录客户输入的每一个口令,发送到黑客指定的E-mail中。
5、寻找漏洞
寻找攻击目标的系统安全漏洞或安全弱点,以便获取攻击目标系统的非法访问权。
四、物流信息安全防护策略
合法商户进行网上查询、交易双方业务洽谈、买方下订单并得到卖方确认、商品配送、售后服务、技术支持等在线操作时对商务数据的安全需求比较高,同时希望私有信息(口令、账户数据等)保密。
采用身份认证和数据加密技术能够保护商户私人信息及商务数据在公共网络上传输时不被窃闻、篡改、顶替及非法使用。
1、身份验证
采用数字证书身份认证加上口令认证的双因子身份认证技术。
每个企业用户应该申请一张数字证书,上网进行账户查询时,网上银行系统首先验证该用户数字证书是否合法,然后将查询请求和口令一起发送给业务前置机,对口令再次进行认证。
当服务器获得用户证书后,还要检索该证书是否在废止证书列表之中。
对于个人用户,可以采用对口令加密的方式进行身份验证,不需要申请证书,比较方便。
2、数据加密
物流信息在网络中传输时,通常不是以明文方式而是以密文的方式进行通信传输。
因为以明文传输的信息数据,一旦被他人截获会轻而易举地被读懂、窃取盗用及篡改,很难保证物流配送活动的机密性、可靠性和安全性。
下面利用C语言编程实现替换加密方法。
Caesar(恺撒)密码是一种最古老的技术,将明文中每个字母替换为字母表中其后面固定数目位置的字母。
如要传输的明文是“I am a teacher!”,经过加密,密钥为5,对方接收到的密文是“N fr f yjfhmjw!”,对第三方来说,这是毫无意义的一串字符,避免了泄密。
合法接收方进行解密,又会得到“I am a teacher!”字符串。
加密算法代码如下:
#include "string.h"
main()
{ int i,ld, newasc;
char mingwen[20], miwen[20], c;
strcpy(mingwen,"I am a teacher!"); /*明文*/
ld = strlen(mingwen);
for (i=0; i { c =mingwen[i];
if (c>='A' && c<='Z')
{ newasc = c + 5; /*密钥为5*/
if (newasc > 'Z')newasc = newasc - 26 ;
miwen[i] = newasc;}
else if (c>='a' && c<='z')
{ newasc = c + 5 ;
if (newasc >'z') newasc = newasc - 26;
miwen[i] = newasc ; }
else
miwen[i] =c;
}
for(i=0;i }
数据加密后传输,一定程度上保证了信息的安全性,密钥的保密是很关键的。
否则,网络攻击者掌握加密、解密算法,又得到密钥,对合法商户会造成致命的损失。
因此加强对密钥的管理,要贯穿于密钥的整个生存期:密钥的生成、验证、传递、保管、使用和销毁。
电子商务作为网络时代的一种全新的交易模式,相对于传统商务是一场革命。
电子商务的优势之一就是能大大简化业务流程,降低企业运作成本。
而电子商务企业成本优势的建立和保持必须以可靠和高效的物流运作作为保证。
所以,加大力度防护物流信息的安全,大力发展现代化物流,电子商务才能得到更好的发展。
作者单位:渤海大学
参考文献:
[1]曹淑艳.电子商务应用基础[M].北京:清华大学出版社,2005.9.
[2]神龙工作室.新手学上网[M].北京:人民邮电出版社,2003.9.
[3]林强,黄云森.电子商务基础教程(第二版)[M].北京:清华大学出版社,2005.10.
企业电子商务网站的安全策略【3】
1 概述
目前,网上电子交易已经随着因特网的普及逐渐被人们所接受和应用,网络购物、网上缴费等方式极大的方便了人们的生活,越来越多的人开始利用网络来进行交易。
电子商务网站的有效运作,依靠的是完全开放的互联网,而这个网络当中的任何电脑之间、网络之间都是互通的,安全和不安全的数据都可能在传递,各种风险随时对电子商务的安全构成威胁。
电子商务正在规模化和全球化,企业的发展在很大程度上都依赖于它,所以,电子商务网站的安全问题必须得到有效的解决,才能保证它的正常运转。
2 电子商务网站的安全策略
电子商务依靠的是互联网,其核心和关键问题就是交易的安全性。
正是由于网络本身的开放性给网上交易带来了种种危险,才要更加注重它的安全控制。
电子商务网站的安全问题可以从两个方面进行探讨和分析,一是系统安全,二是数据安全,并且可以利用一些先进的技术手段加以解决。
2.1 系统安全
信息安全对于企业来说很重要,而信息安全的前提是系统安全。
系统安全主要包括网络系统、操作系统和应用系统3个方面。
系统安全可以采用的技术手段有网络隔离、访问控制、身份鉴别、数据加密、监控评估等技术。
2.1.1 网络系统
网络系统的安全问题主要是由于网络的开放性造成的,解决问题的关键是把网络从开放、自由的环境中分离出来,使其变成可以控制和管理的独立网络,就目前的技术发展来看,可以采用下列方法解决系统安全问题。
1)系统隔离,就是将重要的网络系统与其他系统分离,有物理隔离和逻辑隔离。
按照网络安全等级的不同可以将网络合理划分为多个互不连通的网络,使不同安全级别的网络或设备不能相互访问,从而达到安全隔离。
也可以采用VLAN等网络技术对业务网络或办公网络实行逻辑上的隔离,划分出不同的应用子网;2)访问控制,通过设置有效合理的访问策略,对于不同区域的网络资源实行访问控制,防止非法用户访问受保护的资源,其主要解决的问题就是网络边界的安全控制和网络内部资源的访问控制。
可以按照一定的原则根据需要对信息的流向进行单向或双向控制。
能够设置访问控制的网络设备有很多,比如交换机、路由器,而最重要也是最有效的则是防火墙,它通常被布置在网络的出入口处,对进出网络的数据信息进行有效的检测和过滤,同时按照访问控制列表和安全政策对信息流进行控制,允许合理有效的数据通过,将不安全和不符合要求的数据拒之网外;3)身份鉴定,对访问网络的用户进行身份识别,通常可以使用三种方式对访问者进行身份验证,一是访问者了解的安全信息,比如账号、密码、密钥等;二是访问者提供的物件,比如访问磁卡、通用IC卡、动态口令卡等;三是访问者自身的特征信息,比如声音、指纹、视网膜、笔迹等。
身份鉴定的目的就是阻止非法用户访问这些被加密的数据,而加密是为了防止网络数据被窃闻、泄漏、篡改和破坏;4)安全监测,利用网络设备的高级功能和技术,通过分析来访数据信息,找出未经授权的网络访问和非法行为,包括对网络系统的扫描、跟踪、预警、阻断、记录等,从而将系统遭受的攻击伤害减少到最低。
除了网络设备,还可利用一些专业的网络扫描监测系统来对付黑客和非法入侵,这些系统能够主动、实时、有效的识别出非法数据和用户,并且通过网络扫描能够针对网络设备的安全漏洞进行检测和分析,包括网络服务、防火墙、路由器、邮件服务器、网站服务器等,从而识别那些可以被入侵者利用并非法进入的网络漏洞。
网络扫描系统对检测到的漏洞信息形成详细报告并提供改进方案,使网络管理人员能检测和管理好安全风险。
2.1.2 操作系统
操作系统,实际上就是电脑管理控制程序,是管理计算机软硬件资源的核心系统,负责设备的管理、数据的存储、信息的发送和各种系统资源的调度,它是各种应用软件的系统平台,具有通用性和易用性,操作系统的安全直接影响到应用系统和数据的安全,一般分为应用安全和系统扫描。
1)应用安全,面向应用选择可靠的操作系统,可以杜绝使用来历不明的软件。
用户可安装操作系统保护与恢复软件,并作相应的备份;2)系统扫描,基于主机的安全评估系统是对系统的安全风险级别进行划分,并提供完整的安全漏洞检查列表,通过不同版本的操作系统进行扫描分析,对扫描漏洞自动修补形成报告,保护应用程序、数据免受盗用、破坏。
2.1.3 应用系统
1)文件的安全存储:利用各种加密手段,结合相应的身份鉴定和密码保护机制,使存储在本地或者网络上的重要文件处于安全存储的状态,即便他人通过非法手段获取到了文件或存储设备,也难以取得文件里的内容;2)文件的安全传递:对通过网络发送的文件进行安全处理,比如加密、签名、完整性鉴别等,使被传送的文件只有指定的接收者通过相应的安全鉴别机制才能解密并阅读,避免了文件在传送或存储的过程当中被截获、篡改和破坏等;3)业务服务安全:主要面向业务管理和信息服务的安全需求。
对于各种通用信息服务,如WEB信息服务、FTP服务、电子邮件服务等服务,采用相应安全软件系统进行保护,如安全邮件系统、WEB页面保护等;对于各种业务信息可以配合专业管理信息系统软件采取对信息内容的安全保护,防止外部非法侵入和内部信息泄漏。
2.2 数据安全
信息数据的安全主要包含了数据库的安全和数据本身的安全,这两个方面的安全问题都必须得有相应的安全措施,才能确保数据安全。
1)数据库安全,目前很多企业使用的数据库都是SQL Server或者ORACLE大型数据库,这些数据库系统本身具备一定的安全性,安全级别可以满足日常需求。
但是由于数据库十分重要,应在此基础上再采取一些安全措施,增加相应安全组件,改良密码策略,对数据库实施分级管理并提供可靠的故障恢复机制,实现数据库的访问、存取和加密控制。
具体方法有安全数据库系统、数据库保密系统、数据库扫描系统等;2)数据安全,即存储在数据库中的数据本身的安全,相应的保护措施有安装反病毒软件和防火墙软件,建立一套可靠的数据备份与恢复系统,定期对数据进行备份,定期修改数据库密码,必要时可以对重要数据采取多层加密保护。
2.3 交易安全
网上交易安全是用户最关心的问题,只有提供稳定的安全保证,在线交易用户才会具有安全感,才会觉得交易平台可靠,电子商务网站才会具有广阔的发展空间。
1)交易安全标准,目前在电子商务中主要的安全标准有两种:应用层的SET(安全电子交易)和会话层SSL(安全套层)协议。
前者由信用卡机构VISA及MasterCard提出的针对电子钱包、商场、认证中心的安全标准,SET的关键特征是信息的机密性、数据的可靠性、卡用户账号的鉴别、商人的鉴别,主要用于银行等金融机构。
后者由NETSCAPE公司提出的针对数据的机密性、完整性、开放性和身份确认的安全协议,它可以保证数据不被窃取和破坏,此协议已经成为WEB应用安全标准;2)交易安全基础体系,交易安全的基础是现代密码学技术,主要取决去于加密方法和加密强度。
加密分为单密钥的对称加密体系和双密钥的非对称加密体系。
两者各有所长,对称密钥具有加密效率高,但存在密钥分发困难、管理不便的弱点。
非对称密钥加密速度慢,但便于密钥分发管理。
通常把两者结合使用,以达到高效安全的目的;3)交易安全的实现,交易安全的实现主要是指交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的否认等等。
具体实现的途径是交易各方具有相关身份证明,同时在SSL协议体系下完成交易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等。
3 结论
企业电子商务网站的安全,需要一个完整的综合保障体系,要采用综合防范的思路,从技术、管理、法律等多方面加以认识和思考。
安全实际上是一种风险管理,任何技术手段都不能够保证百分之百的安全,但是安全技术可以降低系统遭到破坏和攻击的风险,在一定程度上保障数据的安全。
电子商务正处于蓬勃发展时期,只有解决了电子商务中出现的各类问题,才能是电子商务系统更加安全。
参考文献
[1]洪国彬.电子商务安全与管理[M].北京:电子工业出版社,2006.
[2]贾伟.网络与电子商务安全[M].北京:国防工业出版社,2006.
[3]张福德.电子商务安全认证实用技术[M].北京:中国对外经济贸易出版社,2003.
【商务公司的信息安全策略】相关文章:
网络与信息安全策略10-05
电子商务的安全策略10-05
档案信息安全策略研究论文10-11
校园网信息安全策略10-05
高校教务档案信息安全策略10-05
浅析远程网络信息安全策略论文10-09
云计算下的网络信息安全策略研究论文10-08
气象信息网络安全策略及技术10-05
档案信息网络化及安全策略10-05