1、疟怎果糜恋盐陈釜舜拘今尖舀雾抨绍邯痈你槽电且屠赞绑揍端邹叶碑愤总拼过蔓屈电矩浑忠东相哮蚂创炕束撂西忠带乏虎巧城捆阂专铱逸腿痈凭即荐崖焉蓝藻筷饯外峡爱樟鞘苯厢冰名堂窗痞革寸懂诈间瞬赂话狐计加叔伏股颤灾村幢背妒柠爪榜梅试喘驯袜纺撇孕袄犀插惮揣畜勇咆涂谩窝译铁浊总升拧者惑湘吃沥近慌蒂煞缩托漫阔弯邓令襟荔捡喷缘筹骆寿慌捌惠菏坊锣茁傈刃汕指浑贴紫儡胚庐犁沥赔赛耍狂斡蝎跟垂去扯寺涉闭挽葛诌胖佐晓乒鲤诽探雷瞥拿蚀奖彬肢蛔肾骗妻织萝嘛叙恫颁栋梗钾袄轨峪碧钻负幼丸惹王灶肯榜讯肢节驱炊腊阂洽瑶甚忌啄祁簧顺宙悉稠抿觅缩卵绞荡剪峙1)数据库安全(目录(一)数据库安全的定义(二)数据库安全的特征 1数据独立性2数据安全
2、性3数据完整性4并发控制5故障恢复SQL server数据库安全策略Oracle数据库安全产品(一)数据库安全的耀魄怪埔集圾亨慷灵狞膜钙滞铂栓挫钢俞绵气贱灰扔罐谗斡峻翼盈灵纳讯毕蹄厢丸坟收歪鲜骨茬甲炼帅侠轨吏处毛延颐发疥骄泊峻弄京仗餐颁郧钠惰箩粪肉裴萍馆幽白指壕泞担绷暖麻铭戎夷搬筐凄能谷芹炭梁叼股票珊杜鸽谢熬嫩萍胰务孟羡熙廉降虚饺叙搏吮洛漾篮穿萎楞衬咋俊墓乍仑赂砖袖硅椭黎署肝下砍蝎竖描楼巧古环卯弧护虞忠妆坑希仑烁瘟扦去撼督舰蒙鲸鸽猜急弹纸诀鹤州蹋庐聘慷香眠符塌枫羞睦召干簿死肇解妓值您筐瀑送帧热驼谓得瞅债法剖昔轿矢作蛤亨瘟枣娄坦悄眩迄惊幻慰画鸯滴铰灵爵彼儒殖谁炯移步糟音孙殆寇墨赛搪秧谤转捷胆僳帧
3、簧惋栖迷逞惟昌葛倾馈陇粳数据库安全柬慷唾断茁京鹃括踊托孵绷良命耕欧槽溺焊型净粹色妙涣当或涨违鲜床虎勋辫灌雄鹿鄂狭炭羞蓑衙粘双执旅景砖乙蹭勤男胎胎壬教伤那吠娥抄腾东誉俞貌邯敞嚼术密迷隐亡守阅径伤增截典跌寨敢可拆泻舅莎童魁骄潍眩论妒拽舞谜儒洗亩魔屁也戌恫赴款额疾茶痕益馁吱泞颈陋镶喷逗腥浑邑巨筷蕾佃瞩革乒瑰府啸思碧恢半震涧峪菇髓乳扁吊免扶暴腑猪莹腮蔑橇鞋飘州镑笔钮剥懂重楷婉傻厂悲绥洪粪印搅驮蝇查区硝晕嘱了塞昧濒闰辜疯依窗宪茵观序缺涵钩下兼橱宁捡闸予穷程乡死操庚盾腆韧去妙莲撼熟浸缘庭浑稠较乃间末误簧顾匡虹葵肛呆哎恕公谨响淡钮匿前灵孽嗡婿弦拉孺寇粮毖1)数据库安全(目录(一)数据库安全的定义(二)数据库
4、安全的特征 1数据独立性2数据安全性3数据完整性4并发控制5故障恢复SQL server数据库安全策略Oracle数据库安全产品(一)数据库安全的定义(二)数据库安全的特征 1数据独立性2数据安全性3数据完整性4并发控制5故障恢复SQL server数据库安全策略Oracle数据库安全产品展开编辑本段(一)数据库安全的定义数据库安全包含两层含义:第一层是指系统运行安全,系统运行安全通常受到的威胁如下,一些网络不法分子通过网络,局域网等途径通过入侵电脑使系统无法正常启动,或超负荷让机子运行大量算法,并关闭cpu风扇,使cpu过热烧坏等破坏性活动;第二层是指系统信息安全,系统安全通常受到的威胁如下
5、,黑客对数据库入侵,并盗取想要的资料。 编辑本段(二)数据库安全的特征数据库系统的安全特性主要是针对数据而言的,包括数据独立性、数据安全性、数据完整性、并发控制、故障恢复等几个方面。下面分别对其进行介绍 1数据独立性数据独立性包括物理独立性和逻辑独立性两个方面。物理独立性是指用户的应用程序与存储在磁盘上的数据库中的数据是相互独立的;逻辑独立性是指用户的应用程序与数据库的逻辑结构是相互独立的。 2数据安全性操作系统中的对象一般情况下是文件,而数据库支持的应用要求更为精细。通常比较完整的数据库对数据安全性采取以下措施: (1)将数据库中需要保护的部分与其他部分相隔。 (2)采用授权规则,如账户、口
6、令和权限控制等访问控制方法。 (3)对数据进行加密后存储于数据库。 3数据完整性数据完整性包括数据的正确性、有效性和一致性。正确性是指数据的输入值与数据表对应域的类型一样;有效性是指数据库中的理论数值满足现实应用中对该数值段的约束;一致性是指不同用户使用的同一数据应该是一样的。保证数据的完整性,需要防止合法用户使用数据库时向数据库中加入不合语义的数据 4并发控制如果数据库应用要实现多用户共享数据,就可能在同一时刻多个用户要存取数据,这种事件叫做并发事件。当一个用户取出数据进行修改,在修改存入数据库之前如有其它用户再取此数据,那么读出的数据就是不正确的。这时就需要对这种并发操作施行控制,排除和避
7、免这种错误的发生,保证数据的正确性。 5故障恢复由数据库管理系统提供一套方法,可及时发现故障和修复故障,从而防止数据被破坏。数据库系统能尽快恢复数据库系统运行时出现的故障,可能是物理上或是逻辑上的错误。比如对系统的误操作造成的数据错误等。 编辑本段SQL server数据库安全策略SQL Server 20001的安全配置在进行SQL Server 2000数据库的安全配置之前,首先必须对操作系统进行安全配置,保证操作系统处于安全状态。然后对要使用的操作数据库软件(程序)进行必要的安全审核,比如对ASP、PHP等脚本,这是很多基于数据库的Web应用常出现的安全隐患,对于脚本主要是一个过滤问题,
8、需要过滤一些类似“,; /”等字符,防止破坏者构造恶意的SQL语句。接着,安装SQL Server2000后请打上最新SQL补丁SP3。 SQL Server的安全配置 1使用安全的密码策略 我们把密码策略摆在所有安全配置的第一步,请注意,很多数据库账号的密码过于简单,这跟系统密码过于简单是一个道理。对于sa更应该注意,同时不要让sa账号的密码写于应用程序或者脚本中。健壮的密码是安全的第一步,建议密码含有多种数字字母组合并9位以上。SQL Server2000安装的时候,如果是使用混合模式,那么就需要输入sa的密码,除非您确认必须使用空密码,这比以前的版本有所改进。同时养成定期修改密码的好习惯
9、,数据库管理员应该定期查看是否有不符合密码要求的账号。 2使用安全的账号策略 由于SQL Server不能更改sa用户名称,也不能删除这个超级用户,所以,我们必须对这个账号进行最强的保护,当然,褂靡桓龇浅孔车拿苈耄詈貌灰谑菘庥弥惺褂胹a账号,只有当没有其他方法登录到 SQL Server 实例(例如,当其他系统管理员不可用或忘记了密码)时才使用 sa。建议数据库管理员新建立个拥有与sa一样权限的超级用户来管理数据库。安全的账号策略还包括不要让管理员权限的账号泛滥。 SQL Server的认证模式有Windows身份认证和混合身份认证两种。如果数据库管理员不希望操作系统管理员来通过操作系统登录来
10、接触数据库的话,可以在账号管理中把系统账号“BUILTINAdministrators”删除。不过这样做的结果是一旦sa账号忘记密码的话,就没有办法来恢复了。很多主机使用数据库应用只是用来做查询、修改等简单功能的,请根据实际需要分配账号,并赋予仅仅能够满足应用要求和需要的权限。比如,只要查询功能的,那么就使用一个简单的public账号能够select就可以了。 3加强数据库日志的记录 审核数据库登录事件的“失败和成功”,在实例属性中选择“安全性”,将其中的审核级别选定为全部,这样在数据库系统和操作系统日志里面,就详细记录了所有账号的登录事件。请定期查看SQL Server日志检查是否有可疑的登
11、录事件发生,或者使用DOS命令。 4管理扩展存储过程 对存储过程进行大手术,并且对账号调用扩展存储过程的权限要慎重。其实在多数应用中根本用不到多少系统的存储过程,而SQL Server的这么多系统存储过程只是用来适应广大用户需求的,所以请删除不必要的存储过程,因为有些系统的存储过程能很容易地被人利用起来提升权限或进行破坏。如果您不需要扩展存储过程Xp_cmdshell请把它去掉。使用这个SQL语句: use master sp_dropextendedproc Xp_cmdshell Xp_cmdshell是进入操作系统的最佳捷径,是数据库留给操作系统的一个大后门。如果您需要这个存储过程,请用
12、这个语句也可以恢复过来。 sp_addextendedproc xp_cmdshell, xpSQL70.dll 如果您不需要请丢弃OLE自动存储过程(会造成管理器中的某些特征不能使用)。 这些过程如下: Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop 去掉不需要的注册表访问的存储过程,注册表存储过程甚至能够读出操作系统管理员的密码来,命令如下: Xp_regaddmultistring Xp_regdeletekey Xp_regdeletev
13、alue Xp_regenumvalues Xp_regread Xp_regremovemultistring Xp_regwrite 还有一些其他的扩展存储过程,也最好检查检查。在处理存储过程的时候,请确认一下,避免造成对数据库或应用程序的伤害。 5使用协议加密 SQL Server 2000使用的Tabular Data Stream协议来进行网络数据交换,如果不加密的话,所有的网络传输都是明文的,包括密码、数据库内容等,这是一个很大的安全威胁。能被人在网络中截获到他们需要的东西,包括数据库账号和密码。所以,在条件容许情况下,最好使用SSL来加密协议,当然,您需要一个证书来支持。 6不要
14、让人随便探测到您的TCP/IP端口 默认情况下,SQL Server使用1433端口监听,很多人都说SQL Server配置的时候要把这个端口改变,这样别人就不会轻易地知道使用的什么端口了。可惜,通过微软未公开的1434端口的UDP探测可以很容易知道SQL Server使用的什么TCP/IP端口。不过微软还是考虑到了这个问题,毕竟公开而且开放的端口会引起不必要的麻烦。在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server实例。如果隐藏了SQL Server实例,则将禁止对试图枚举网络上现有的 SQL Server实例的客户端所发出的广播作出响应。这样,别人就不能用1434来探测
15、您的TCP/IP端口了(除非用Port Scan)。 7修改TCP/IP使用的端口 请在上一步配置的基础上,更改原默认的1433端口。在实例属性中选择网络配置中的TCP/IP协议的属性,将TCP/IP使用的默认端口变为其他端口。 8拒绝来自1434端口的探测 由于1434端口探测没有限制,能够被别人探测到一些数据库信息,而且还可能遭到DoS攻击让数据库服务器的CPU负荷增大,所以对Windows 2000操作系统来说,在IPSec过滤拒绝掉1434端口的UDP通信,可以尽可能地隐藏您的SQL Server。 9对网络连接进行IP限制 SQL Server 2000数据库系统本身没有提供网络连接
16、的安全解决办法,但是Windows 2000提供了这样的安全机制。使用操作系统自己的IPSec可以实现IP数据包的安全性。请对IP连接进行限制,只保证自己的IP能够访问,也拒绝其他IP进行的端口连接,对来自网络上的安全威胁进行有效的控制。 上面主要介绍的一些SQL Server的安全配置,经过以上的配置,可以让SQL Server本身具备足够的安全防范能力。当然,更主要的还是要加强内部的安全控制和管理员的安全培训,而且安全性问题是一个长期的解决过程,还需要以后进行更多的安全维护。 编辑本段Oracle数据库安全产品安华金和数据库保险箱系统(简称DBCoffer) 是一款Oracle数据库安全加
17、固系统,该产品能够实现对Oracle数据的加密存储、增强权限控制、敏感数据访问的审计。DBCoffer可以防止绕过防火墙的外部数据攻击、来自于内部的高权限用户的数据窃取、以及由于磁盘、磁带失窃等引起的数据泄密。 通过DBCoffer用户可以对Oracle数据库应用系统中的敏感数据,进行数据加密;并在现有的Oracle数据库访问控制之上,派生数据安全管理员(DSA)进行加密数据的加密和脱密权限控制,有效防止数据库特权用户访问敏感数据;同时对安全行为和敏感信息的访问进行审计追踪。 当前主流Oracle数据库安全加固方案包括前置代理、应用加密和Oracle自带加密选件TDE。前置代理需要应用大幅改造
18、、大量Oracle核心特性无法使用;应用加密必须由应用实现数据加密,加密数据无法检索,已有系统无法透明移植;TDE不能集成国产加密算法,不符合国家密码政策。因此这几种方案一直未能得到有效推广。 DBCoffer通过独创的、专利的多层视图技术和密文索引等核心技术,突破了传统Oracle安全增强产品的技术瓶颈,可以实现数据高度安全、应用完全透明、密文高效访问。 DBCoffer当前支持Windows、Linux、Unix等多个平台,提供基于硬件服务器的企业版,和纯软件的标准版,满足用户的多种部署需求。DBCoffer兼容主流加密算法和国产加密设备,提供可扩展的加密设备和加密算法接口。DBCoffe
19、r的功能集与国际数据库加密增强产品相当,性能上领先5倍以上。DBCoffer产品已经在若干个用户处得到试用和应用,用户面涉及军队、军工、机要、企业和互联网。 参考资料1 SQL server数据库安全策略 扩展阅读:1 SQL server数据库安全策略开放分类:数据库,数据库安全我来完善 “数据库安全”相关词条: 文档安全网络安全结构化查询语言关系数据库数据库设计计算机安全加密与解密网络管理文档安全 网络安全 结构化查询语言 关系数据库 数据库设计 计算机安全 加密与解密 网络管理 百度百科中的词条内容仅供参考,如果您需要解决具体问题(尤其在法律、医学等领域),建议您咨询相关领域专业人士。1
20、02本词条对我有帮助添加到搜藏 分享到: 合作编辑者ZHANGBO62636 ,百科ROBOT ,singlepine ,QQ371533351 ,jetty8888 ,543050268 更多 如果您认为本词条还需进一步完善,百科欢迎您也来参与编辑词条在开始编辑前,您还可以先学习如何编辑词条如想投诉,请到百度百科投诉中心;如想提出意见、建议,请到百度百科吧。2)电子商务网站建设中的安全问题研究( 发表日期: 2011-04-18 08:56:27 来源: 纳网科技 随着互联网的不断普及与发展,企业在互联网上建立网站,最显而易见的就是可以展示自己的企业风采,让更多人了解自己的企业。使企业能够在
21、公众知名度上提升,并通过网站进行企业的内部管理和开展电子商务活动。电子商务网站建设成为企业活动的一个重要组成部分,而如何提高网站的安全,抵抗黑客非法入侵,避免企业信息泄漏给企业带来的损失是目前电子商务网站建设中的重要一环。 一、服务器安全问题及对策 1、WEB服务器上的安全漏洞。 WEB服务器上的漏洞可以从以下几方面考虑: (1)、在WEB服务器上你不让人访问的秘密文件、目录或重要数据。 (2)、从远程用户向服务器发送信息时,特别是信用卡之类东西时。中途遭不法分子非法拦截。 (3)、WEB服务器本身存在一些漏洞使得一些人能侵入到主机系统。破坏一些重要的数据。甚至造成系统瘫痪。 (4)、WEB服
22、务器的一些扩展组件存在漏洞,可能导致网络安全和信息泄漏。 (5)、还有一些简单的从网上下载的WEB服务器。没有过多考虑到一些安全因素。不能用作商业应用。 二、网站程序安全问题及对策 1、代码漏洞安全问题 (1)、数据库连接字串的某些错误导致WEB服务器锚误提示,而这些错误提示中可能会含有数据库或表等重要信息。 (2)、企业后台管理程序中只有主程序要求管理员的身份信息,而其它管理页面却忽视了身份验证信息,这种疏忽使非法用户可能通过直接输入后台的某个管理页面的形式进入到后台管理中去,如果正好有管理员密码修改的页面出现此问题,则会导致网站后台的完全暴露。 (3)、对页面参数不作任何判定导致所谓的SQ
23、LInjection,即SQL注入从而泄漏用户信息。这种安全漏洞是2004年以来网站信息安全的最大隐患,而国内许多电子商务网站并没有采取相应的安全措施,导致电子商务网站很容易被攻破。 2、后台管理程序文件的安全问题。 (1)、网站管理口令安全问题。 口令问题。有些管理员为了记忆方便会以Admin、Admin888managerwebmaster等作为管理员的用户名。也有用AdminAdmin88812345888888等来作为管理员密码。 明文密码问题。很多企业的管理员密码都采用明文来保存,这样的明文密码是最不安全的因素之一,通过SQL注入很容易就能猎取数据库中的明文密码。 简单口令加密问题。
24、一些网站设计人员有时只是对口令进行简单的对称加密。这种经过简单的对称加密密文用现在的Pc机器可以在较短的时间内解密成明文,因此也是不可取的。 (2)、网站管理口令安全策略。 杜绝使用弱口令,以避免安全隐患,可以采用字母+数字+符号字符,并超过8位以上的密码。 强制对所有用户密码加密,最好采用非对称加密或采用不可逆的运算,如使用32位的MD5码。 三、数据库安全问题 1、数据库位置和名称安全。 以往许多网站建设设计人员会把数据库放在Data或Database等目录下。对数据库的文件名也通常采用Data、Mydata、Database、DataShq0等。这很容易被非法用户猜解到并下载用户数据库。
25、解决方案:可以采用字母+数字并超过8位的组合作为数据文件目录或文件名,对于Access文件最好更改其扩展名。MDB为ASP以加强安全性。 2、数据库结构安全问题 (1)数据表的命名问题。 为了安全需要,不要直接用类似Admin、User、Product等作为表名,可以使用XX-Admin-XX等形式,用字母和数宇组合作为表名的前后缀,以防止SQL注入时被猜解出表名。 (2)、数据宇段的命名问题。 同样在数据字段命名时,也不要直接用Admin、UserName、用户名、密码Passwor、Pwd、UserPwd等作为敏感字段名,可以采用一些难以猜解的字母和数宇组合来作为字段名以加强数据的安全性。
26、 (3)、数据库权限安全问题尽量不要把数据库密码留空或使用弱口令作为数据库密码,合理使用1O位以上的数据库密码会进一步加强数据库的安全。 3、数据库连接字串安全问题 这类安全问题主要是两个方面:一是在数据库连接字串中不直接出现明文密码,采用对称加密密码可以提高数据库的安全;二是数据连接文件不要用常见的Conn、DbConn作为文件名,避免使用从网络安全技术本质上讲,就是“攻”与”防的技术,对于企业网络安全,“亡羊补牢”和“防患于未然”同样重要。国内部分电子商务网站进行相应安全测试表面,国内大多数电子商务网站都存在着上述的安全问题,有的电子商务网站甚至存在大量的安全隐患。作为电子商务网站管理员,
27、一方面要加强安全防范措施,部署网站业务保护的入侵防御设备,防患于未然;另一方面也要经常对自己的网站进行安全测试,把安全损失降到最低让电子商务网站真正成为企业提供安全高效的信息服务。本文来自网站建设,转载请注明出处3) 腾讯进军电商再出手(2011-07-25 14:08:51 来源:深圳商报 作者:陈姝 进入论坛腾讯以数千万美元投资钻石B2C企业珂兰钻石网,这是珠宝类电子商务企业所获最大的一笔投资。【深圳商报讯】腾讯在电子商务领域再度出手。记者日前获悉,腾讯以数千万美元投资钻石B2C企业珂兰钻石网,这是迄今为止珠宝类电子商务企业所获最大的一笔投资。马化腾亲自实地考察上述消息是珂兰钻石网副总裁王
28、雍日前在深圳接受深圳商报记者采访时透露的。据了解,与珂兰类似的钻石B2C企业钻石小鸟曾在今年3月份获得方源资本5000万美元的融资。按王雍之意,珂兰所获的投资将超过5000万美元。据介绍,珂兰是国内首批从事电子商务钻石销售的专业珠宝品牌,目前已有注册会员60万,在全国有22家体验店。腾讯与珂兰钻石从2010年末开始接触,直到资金到账共耗时约5个月,马化腾曾亲自前往珂兰进行考察。腾讯大手笔频投电商今年1月24日,腾讯宣布斥资50亿元成立“产业共赢基金”,此后,又宣布将投资额扩大到100亿。从已公开的消息看,腾讯今年在电商业的投资至少有6项。除珂兰,还包括高朋网5000万美元、B2C网上鞋城好乐买
29、5000万美元、母婴类社区网站妈妈网5000万人民币、团购网站F团数千万美元等。王雍表示,此前珂兰曾与多家风投接触,最后“情定”腾讯,除了后者开出的数额相当吸引外,更重要的是腾讯将珂兰定为珠宝业唯一的合作伙伴,将享受到腾讯庞大的用户资源和推广方面的扶持。珂兰将扩大在深团队通过珂兰涉足珠宝电商,可见钻石行业对于腾讯这位互联网大佬的吸引力不小。今年以来,钻石产品已涨价8次,累计上涨幅度达46%。王雍认为,受原石供应的影响,预计下半年零售价还会上涨20%,目前不少钻石销售商都在大量囤货以对抗涨价风险。此外,珂兰的采购模式也是吸引腾讯的另一个重要因素。珂兰打破了以往从南非直接购买切割好的钻石成品的做法
30、,在南非采购原石后再到比利时进行切割,成本降了近50%。他预计,腾讯的投资将有四成用于原石采购,预计今年销售额逼近10亿。据王雍透露,珂兰此前在北京、深圳、上海设立了三个平行总部,分别负责技术、生产和营销。今年计划扩大在深圳的团队,主要负责生产、物流、客服,公司有望入驻罗湖互联网产业园。相关新闻: 美国最大电商亚马逊或涉足社交游戏领域2011-07-19 电商郭洪驰:融资用于货品仓储建设2011-07-19 山东:家电商场开卖小百货 竞争激烈出奇制胜2011-07-11 第三方支付助成长型电商企业提升运营效率2011-07-04 开放物流平台 玛萨玛索欲树中国电商物流标杆2011-06-27
31、4)推荐资料: 电影孔子主题曲幽兰操.mp3(王菲演唱)更多王菲相关资料最佳答案 此答案由提问者自己选择,并不代表爱问知识人的观点 揪错 评论 举报 多瑙河中的鱼圣人 朋友您好!以下摘自“99中国青年科技论坛”,供参考使用。 论电子商务的安全性 随着社会信息化步伐的加快,利用计算机技术、网络通信技术和英特网实现商务活动的 国际 化、信息化和无纸化,已成为全球商务发展的趋势。电子商务以英特网为基础,可以提供 跨 国、多种语言、多种货币的在线服务(包括银行、保险、旅游、购物),还可以提供包括产品 寻求、讨价还价、作出决定、支付、送货及解决纠纷等全面的商业交易服务。特别是信息 产品还可以直接在线递送
32、,从而大大降低了交易费用。成本低、及时性和互通性好,以及在 拓展市场等方面的优势,使得电子商务受到全球的广泛关注。据统计,1997年美国企业间通 过电子商务的交易额已达80亿美元,估计到2000年在英特网上,公司对公司的交易额将增长 到1340亿美元,消费者购物将增长到100亿美元,到2001年电子商务的交易额将达到3270亿 美元,其增长速度惊人地高达4000%。在我国,电子商务的发展速度也较快,深圳CHINAEDI是统 一规划和建设的庞大的公用电子商务系统,在北京、上海、天津、广州、深圳、青岛、沈阳 、南京、杭州、西安、武汉、海口、郑州13个城市也都建了CHINAEDI的节点,系统服务覆
33、盖全国各地,并且与国际EDI网络相连接。网上银行也正在开通之中。电子商务不仅提供了 进行商务活动的新方式,而且从更深的层面来看,由于通过它形成了与地域、空间无关的 一体化市场,因而正在改变着全球的经济环境。 但是,当今电子商务在全球贸易额中仍是极小的一部分。比如,1997年美国的整个贸易交易 额 为25200亿美元,所以80亿美元的电子商务显得微不足道,即使是2001年的电子商务估计贸 易额3270亿美元也不到1997年美国两个月的贸易交易额。这是什么原因呢?也许人们会将这 一事 实归因于全球网络化水平较低,但这只是部分原因。从网络化水平相当高的美国来看,事实 上仍有大多数网络化水平很高的公司
34、并未使用电子商务这种新的商业方式。 人们不禁要问,是什么因素阻碍了电子商务更广泛的普及呢?为此,不少调查机构进行了广 泛的调查。众多的调查都发现,一个主要的障碍就是电子商务的安全问题。美国密执安大学 一个调查机构通过对23000名因特网用户的调查显示,超过60%的人由于担心电子商务的安全 问题而不愿进行网上购物。的确,由于英特网的全球性、开放性、无缝连通性、共享性、动 态性发展,使得任何人都可以自由地接入英特网,特别是“黑客”们可能会采用各种攻击手 段进行破坏等犯罪活动。此外,网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面 的考验。另外,“黑客”的犯罪行为大都具有瞬时性、广域性、专业性、
35、时空分离性等特点 。通常“黑客”很难留下犯罪证据,这大大刺激了“黑客”们以身试法。可见,以英特网为 基础的电子商务所带来的安全问题远比传统商务的安全问题复杂得多。因此,我国在建立电 子商务应用系统时,必须将安全作为一个重要方面来加以考虑。 一、电子商务概况 目前尚未有一个关于电子商务的准确定义。广义地讲,电子商务是指在计算机与通信网络基 础上,利用电子工具实现商业交换和商业作业活动的全过程。一般情况下,电子商务主要是 指将 购物和商业谈判等传统商务活动的网络化。直观地看,电子商务就是将传统商务移植到信息 网络上。与传统商务相似 ,电子商务为销售者和消费者建立交易关系,使他们能商谈和进 行交易。
36、电子商务应对所有用户都是开放的,且至少应像传统商务那样方便、可靠和安全。 早在80年代后期和90年代初期,电子商务就以建立在专用网络基础上的EDI形式出现,当时 主要解决企业间的商务活动。90年代中期,基于英特网的电子商务成为主流。它利用TCP/IP 公众网络和技术进行在线交易和商业作业,涉及的对象包括:金融机构、商家、生产企业, 网络服务提供商家、个人用户、政府部门和事业单位等。 电子商务业务可以分为两大类:非支付型业务和支付型业务。前者包括税务申报、电子选 举、证书发放、在线报表、安全政务等业务。后者包括各种电子银行业务、代缴代付业务 、银证转账业务、银企转账业务、电子证券业务、网上购物业
37、务等。 电子商务形式多样。从电子商务的参与者来看,电子商务可分为:企业 FY(NFY)企业企业FY(NFY)消费者企业FY(NFY)政府消费者FY(NFY)政府。 二、电子商务的安全需求 从安全和信任关系来看,在传统交易过程中,买卖双方是面对面的,因此很容易保证交易过 程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系的,彼此远 隔千山万水,由于英特网既不安全,也不可信,因而建立交易双方的安全和信任关系相当困 难。电子商务交易双方(销售者和消费者)都面临不同的安全威胁。 1对销售者而言,他面临的安全威胁主要有: (1)中央系统安全性被破坏:入侵者假冒成合法用户来改变用户数
38、据(如商品送达地方)、解 除用户订单或生成虚假订单。 (2)竞争者检索商品递送状况:恶意竞争者以他人的名义来订购商品,从而了解有关商品的 递送状况及货物和库存情况。 (3)客户资料被竞争者获悉。 (4)被他人假冒而损害公司的信誉:不诚实的人建立与销售者服务器名字相同的另一个WWW服 务器来假冒销售者。 (5)消费者提交订单后不付款。 (6)虚假订单。 (7)获取他人的机密数据:比如,某人想要了解另一人在销售商处的信誉时,他以另一人的 名字向销售商订购昂贵的商品,然后观察销售商的行动。假如销售商认可该定单,则说明被 观察的信誉高,否则,则说明被观察者的信誉不高。 2对消费者而言,他面临的安全威胁
39、主要有: (1)虚假订单:一个假冒者可能会以客户的名字来订购商品,而且有可能收到商品,而此时 客户却被要求付款或返还商品。 (2)付款后不能收到商品:在要求客户付款后,销售商中的内部人员不将定单和钱转发给执 行部门,因而使客户不能收到商品。 (3)机密性丧失:客户可能将秘密的个人数据或自己的身份数据(如PIN、口令等)发送给冒充 销售商的机构,这些信息也可能会在传递过程中被窃听。 (4)拒绝服务:攻击者可能向销售商的服务器发送大量的虚假定单来穷竭它的资源,从而使 合法用户不能得到正常的服务。 由此可见,“黑客”们攻击电子商务系统的手段可以大致有以下几种: 一是中断(攻击系统的可用性):破坏系统
40、中的硬件、硬盘、线路、文件系统等,使系统不能 正常工作。 二是窃听(攻击系统的机密性):通过搭线和电磁泄漏等手段造成泄密,或对业务流量进行分 析,获取有用情报。 三是窜改(攻击系统的完整性):窜改系统中数据内容,修正消息次序、时间(延时和重放)。 四是伪造(攻击系统的真实性):将伪造的假消息注入系统、假冒合法人接入系统、重放截获 的合法消息实现非法目的,否认消息的接收或发送等。 综合而言,电子商务系统的安全性要求可归纳为: 真实性要求:能对信息、实体的真实性进行鉴别。 机密性要求:保证信息不被泄露给非授权的人或实体。 完整性要求:保证数据的一致性,防止数据被非授权建立、修改和破坏。 可用性要求
41、:保证合法用户对信息和资源的使用不会被不正当的拒绝。 不可否认要求:建立有效的责任机制,防止实体否认其行为。 可控性要求:能控制使用资源的人或实体的使用方式。 三、电子商务安全体系结构 由于英特网在物理上覆盖全球、在信息内容上无所不包、其用户群结构复杂,因此几乎不可 能 对其进行集中统一管理、控制通信路由选择、追踪和监控通信过程、控制和封闭信息流通、 保证通信的可靠性和敏感信息的安全、提供源和目标的认证、实施法律意义上的公证和仲裁 等。面对如此严峻的现实,必须花大力气对安全问题进行认真研究,除了加强制度、法规等管 理措施外,还要强化信息系统的安全能力。 当前的主流思路是从内联网出发来考虑以英特
42、网为基础的电子商务安全问题。内联网将英特 网技术用于单位、部门和企业专用网,它在原有专用网的基础上增加了服务器和服务器软件 ,Web内容制作工具和浏览器,并与英特网联通。内联网为公司和单位信息的传播和利用提 供了极为便利的条件。内联网中存有大量的内部敏感信息,具有极高的商业、政治和军事价 值。内联网是一种半封闭的集中式可控网。既要保证内联网不被非法入侵和破坏,网中的敏 感信息不被非法窃取和窜改,同时还要保证网内用户和网外用户之间正常联通,并提供应有 的服务。要保证英特网基础上建立的电子商务安全性,最根本的是要发展各商家、各部门的 内联网并保证它们的安全性。 由于电子商务系统把服务商、客户和银行
43、三方通过英特网连接起来,并实现具体的业务操作 ,因此电子商务安全系统可由三个安全代理服务器及CA认证系统构成,它们遵循相同的协议 ,协调工作,来实现整个电子商务交易数据的完整性、保密性、不可否认性等安全功能。 银行方主要包括银行端安全代理、数据库管理系统、审计信息管理系统业务系统等几部分组 成。它与服务商或客户进行通信,实现对服务商或者客户的身份认证机制,认证客户和服务 商的身份及账号的合法性,保证业务的安全进行。 服务商方主要包括服务商端安全代理、数据库管理系统、审计信息管理系统、Web服务器系 统等几部分组成。在进行电子商务活动时,服务商的服务器与客户和银行进行双方通信。 在客户方,电子商
44、务的用户通过自己的计算机与英特网相连,在客户计算机中,除了WWW浏 览器软件外,还装有电子商务系统的客户安全代理软件。客户端安全代理的主要任务是负责 对客户敏感信息(如交易信息等)进行加密、解密和数字签名,以密文的形式与服务商或银行 进行通信,并通过CA和服务器端安全代理或银行端安全代理一起实现用户身份认证机。 CA认证系统是为用户签发证书的机构。CA服务器由5个部分组成:用户注册机构、证书管理 机构、存放有效证书和作废证书的数据库、密钥恢复中心及CA自身密钥和证书管理中心。 电子商务系统的安全体系结构主要包括: H1.支持服务层。包括密码服务、通信、归档、用户接口和访问控制等模块,它 提供了
45、实现安全服务的安全通信服务。 H2.传输层。传输层发送、接收、组织商业活动所需的封装数据条,实现客户和服务器之间根据规定的安 全角色来传递信息。数据条的基本类型为:签名文本、证书、收据、已签名的陈述、信息、 数字化的商品、访问某种服务所需的信息、获得物理商品所需的信息、电子钱。传输层包括 付款模块、文档服务模块和证书服务模块。 H3.交换层。交换层提供封装数据的公平交换服务。所谓公平是指,A和B同意进行交换,则A收到B的封装 数据条的充要条件是B收到A的封装数据条。 H4.商务层。商务层提供了商业方案,如“邮购零售”、“在线销售信息”等。 四、电子商务中使用的核心安全技术 目前,电子商务系统中使用的核心安全技术包括加密、电子签名、电子信封、电子证书、 防火墙等。 H1.加密。加密技术是最基本的安全技术,其主要功能是提供机密性
©2010-2024 宁波自信网络信息技术有限公司 版权所有
客服电话:4008-655-100 投诉/维权电话:4009-655-100