序論:在您撰寫電子商務(wù)安全事件時�����,參考他人的優(yōu)秀作品可以開闊視野��,小編為您整理的7篇范文���,希望這些建議能夠激發(fā)您的創(chuàng)作熱情�����,引導(dǎo)您走向新的創(chuàng)作高度�。
第1篇
關(guān)鍵字 電子商務(wù) 網(wǎng)絡(luò)安全 事件類型 安全建議
1前言
隨著Internet的快速發(fā)展��,電子商務(wù)已經(jīng)逐漸成為人們進行商務(wù)活動的新模式��。越來越多的人通過Internet進行商務(wù)活動��。電子商務(wù)的發(fā)展前景十分誘人�����,而其安全問題也變得越來越突出�。近年來,網(wǎng)絡(luò)安全事件不斷攀升��,電子商務(wù)金融成了攻擊目標��,以網(wǎng)頁篡改和垃圾郵件為主的網(wǎng)絡(luò)安全事件正在大幅攀升�����。國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(以下簡稱CNCERT/CC)作為接收國內(nèi)網(wǎng)絡(luò)安全事件報告的重要機構(gòu)��,2005年上半年共收到網(wǎng)絡(luò)安全事件報告65679件��,為2004年全年64686件還要多�。在CNCERT/CC處理的網(wǎng)絡(luò)安全事件報告中,網(wǎng)頁篡改占45.91%����,網(wǎng)絡(luò)仿冒占29%,其余為拒絕服務(wù)攻擊�、垃圾郵件、蠕蟲�����、木馬等,2004年以來�,我國面臨的網(wǎng)絡(luò)仿冒威脅正在逐漸加大,仿冒對象主要是金融網(wǎng)站和電子商務(wù)網(wǎng)站�����。數(shù)字顯示�,電子商務(wù)等網(wǎng)站極易成為攻擊者的目標,其安全防范有待加強�。如何建立一個安全、便捷的電子商務(wù)應(yīng)用環(huán)境����,對信息提供足夠的保護,已經(jīng)成為商家和用戶都十分關(guān)心的話題��。
2影響電子商務(wù)發(fā)展的主要網(wǎng)絡(luò)安全事件類型
一般來說��,對電子商務(wù)應(yīng)用影響較多��、發(fā)生率較高的互聯(lián)網(wǎng)安全事件可以分為網(wǎng)頁篡改��、網(wǎng)絡(luò)蠕蟲���、拒絕服務(wù)攻擊���、特羅伊木馬����、計算機病毒�、網(wǎng)絡(luò)仿冒等�,而近幾年來出現(xiàn)的網(wǎng)絡(luò)仿冒(Phishing),已逐步成為影響電子商務(wù)應(yīng)用與發(fā)展的主要威脅之一�。
2.1網(wǎng)絡(luò)篡改
網(wǎng)絡(luò)篡改是指將正常的網(wǎng)站主頁更換為黑客所提供的網(wǎng)頁。這是黑客攻擊的典型形式��。一般來說�,主頁的篡改對計算機系統(tǒng)本身不會產(chǎn)生直接的損失,但對電子商務(wù)等需要與用戶通過網(wǎng)站進行溝通的應(yīng)用來說�,就意味著電子商務(wù)將被迫終止對外的服務(wù)。對企業(yè)網(wǎng)站而言�����,網(wǎng)頁的篡改���,尤其是含有攻擊���、丑化色彩的篡改����,會對企業(yè)形象與信譽造成嚴重損害�����。
2.2網(wǎng)絡(luò)蠕蟲
網(wǎng)絡(luò)蠕蟲是指一種可以不斷復(fù)制自己并在網(wǎng)絡(luò)中傳播的程序��。這種程序利用互聯(lián)網(wǎng)上計算機系統(tǒng)的漏洞進入系統(tǒng)���,自我復(fù)制�����,并繼續(xù)向互聯(lián)網(wǎng)上的其它系統(tǒng)進行傳播���。網(wǎng)絡(luò)蠕蟲的危害通常有兩個方面:1、蠕蟲在進入被攻擊的系統(tǒng)后�,一旦具有控制系統(tǒng)的能力,就可以使得該系統(tǒng)被他人遠程操縱��。其危害一方面是重要系統(tǒng)會出現(xiàn)失密現(xiàn)象,另一方面會被利用來對其他系統(tǒng)進行攻擊����。2、蠕蟲的不斷蛻變并在網(wǎng)絡(luò)上的傳播��,可能導(dǎo)致網(wǎng)絡(luò)被阻塞的現(xiàn)象發(fā)生���,從而致使網(wǎng)絡(luò)癱瘓���,使得各種基于網(wǎng)絡(luò)的電子商務(wù)等應(yīng)用系統(tǒng)失效�。
2.3拒絕服務(wù)攻擊
拒絕服務(wù)攻擊是指在互聯(lián)網(wǎng)上控制多臺或大量的計算機針對某一個特定的計算機進行大規(guī)模的訪問,使得被訪問的計算機窮于應(yīng)付來勢兇猛的訪問而無法提供正常的服務(wù)��,使得電子商務(wù)這類應(yīng)用無法正常工作���。
一般來說�����,這是黑客常用的一種行之有效的方法�����。如果所調(diào)動的攻擊計算機足夠多��,則更難進行處置�。尤其是被蠕蟲侵襲過的計算機,很容易被利用而成為攻擊源�,并且這類攻擊通常是跨網(wǎng)進行的,加大了打擊犯罪的難度���。
2.4特羅伊木馬
特羅伊木馬(簡稱木馬)是一種隱藏在計算機系統(tǒng)中不為用戶所知的惡意程序��,通常用于潛伏在計算機系統(tǒng)中來與外界連接�����,并接受外界的指令�����。被植入木馬的計算機系統(tǒng)內(nèi)的所有文件都會被外界所獲得���,并且該系統(tǒng)也會被外界所控制,也可能會被利用作為攻擊其它系統(tǒng)的攻擊源����。很多黑客在入侵系統(tǒng)時都會同時把木馬植入到被侵入的系統(tǒng)中�����。
2.4網(wǎng)絡(luò)仿冒(Phishing)
Phishing又稱網(wǎng)絡(luò)仿冒���、網(wǎng)絡(luò)欺詐、仿冒郵件或者釣魚攻擊等����,是黑客使用欺詐郵件和虛假網(wǎng)頁設(shè)計來誘騙收件人提供信用卡帳號、用戶名��、密碼�、社會福利號碼等����,隨后利用騙得的帳號和密碼竊取受騙者金錢。近年來�����,隨著電子商務(wù)���、網(wǎng)上結(jié)算����、網(wǎng)上銀行等業(yè)務(wù)在日常生活中的普及,網(wǎng)絡(luò)仿冒事件在我國層出不窮����,諸如中國銀行網(wǎng)站等多起金融網(wǎng)站被仿冒。網(wǎng)絡(luò)仿冒已經(jīng)成為影響互聯(lián)網(wǎng)應(yīng)用���,特別是電子商務(wù)應(yīng)用的主要威脅之一��。
根據(jù)國際反仿冒郵件工作小組(Anti-Phishing Working Group��,APWG)統(tǒng)計�����,2005年4月共有2854起仿冒郵件事件報告����;從2004年7月至2005年4月�����,平均每月的仿冒郵件事件報告數(shù)量的遞增達率15%��;僅在2005年4月,就共有79個各類機構(gòu)被仿冒��。2005年上半年CNCERT/CC廣東分中心就處理了15多期的網(wǎng)絡(luò)仿冒事件���。從這些數(shù)字可以看到��,Phishing事件不僅數(shù)量多�����、仿冒范圍大�����,而且仍然在不斷增長����。
網(wǎng)絡(luò)仿冒者為了逃避相關(guān)組織和管理機構(gòu)的打擊��,充分利用互聯(lián)網(wǎng)的開放性�,往往會將仿冒網(wǎng)站建立在其他國家��,而又利用第三國的郵件服務(wù)器來發(fā)送欺詐郵件�,這樣既便是仿冒網(wǎng)站被人舉報���,但是關(guān)閉仿冒網(wǎng)站就比較麻煩,對網(wǎng)絡(luò)欺詐者的追查就更困難了����,這是現(xiàn)在網(wǎng)絡(luò)仿冒犯罪的主要趨勢之一。
據(jù)統(tǒng)計�����,中國已經(jīng)成為第二大仿冒網(wǎng)站的屬地國���,僅次于美國�,而就目前CNCERT/CC的實際情況來看�,已經(jīng)接到多個國家要求協(xié)助處理仿冒網(wǎng)站的合作請求。因此���,需要充分重視網(wǎng)絡(luò)仿冒行為的跨國化�。
3安全建議
隨著網(wǎng)絡(luò)應(yīng)用日益普及和更為復(fù)雜��,網(wǎng)絡(luò)安全事件不斷出現(xiàn)�����,電子商務(wù)的安全問題日益突出,需要從國家相關(guān)法律建設(shè)的大環(huán)境到企業(yè)制定的電子商務(wù)網(wǎng)絡(luò)安全管理整體架構(gòu)的具體措施�,才能有效保護電子商務(wù)的正常應(yīng)用與發(fā)展。
3.1不斷完善法律與政策依據(jù) 充分發(fā)揮應(yīng)急響應(yīng)組織的作用
目前我國對于互聯(lián)網(wǎng)的相關(guān)法律法規(guī)還較為欠缺�����,尤其是互聯(lián)網(wǎng)這樣一個開放和復(fù)雜的領(lǐng)域����,相對于現(xiàn)實社會,其違法犯罪行為的界定��、取證�、定位都較為困難。因此�,對于影響電子商務(wù)發(fā)展的基于互聯(lián)網(wǎng)的各類網(wǎng)絡(luò)安全事件的違法犯罪行為的立法,需要一個漫長的過程��。
根據(jù)互聯(lián)網(wǎng)的體系結(jié)構(gòu)和網(wǎng)絡(luò)安全事件的特點�,需要建立健全協(xié)調(diào)一致,快速反應(yīng)的各級網(wǎng)絡(luò)應(yīng)急體系�。要制定有關(guān)管理規(guī)定,為網(wǎng)絡(luò)安全事件的有效處理提供法律和政策依據(jù)���。
轉(zhuǎn)貼于 互聯(lián)網(wǎng)應(yīng)急響應(yīng)組織是響應(yīng)并處理公共互聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全事件的組織���,在我國,CNCERT/CC是國家級的互聯(lián)網(wǎng)應(yīng)急響應(yīng)組織����,目前已經(jīng)建立起了全國性的應(yīng)急響應(yīng)體系;同時���,CNCERT/CC還是國際應(yīng)急響應(yīng)與安全小組論壇(FIRST�����,F(xiàn)orum of Incident Response and Security Teams)等國際機構(gòu)的成員���。
應(yīng)急響應(yīng)組織通過發(fā)揮其技術(shù)優(yōu)勢,利用其支撐單位�����,即國內(nèi)主要網(wǎng)絡(luò)安全廠商的行業(yè)力量�����,為相關(guān)機構(gòu)提供網(wǎng)絡(luò)安全的咨詢與技術(shù)服務(wù)�,共同提高網(wǎng)絡(luò)安全水平�����,能有效減少各類的網(wǎng)絡(luò)事件的出現(xiàn)�����;通過聚集相關(guān)科研力量�����,研究相關(guān)技術(shù)手段�,以及如何建立新的電子交易的信任體系�,為電子商務(wù)等互聯(lián)網(wǎng)應(yīng)用的普及和順利發(fā)展提供前瞻性的技術(shù)研究方面具有積極意義。
對于目前跨國化趨勢的各類網(wǎng)絡(luò)安全事件��,可以通過國際組織之間的合作��,利用其協(xié)調(diào)機制�,予以積極處理。事實上�����,從CNCERT/CC成立以來,已經(jīng)成功地處理了多起境外應(yīng)急響應(yīng)組織提交的網(wǎng)絡(luò)仿冒等安全事件協(xié)查請求����,關(guān)閉了上百個各類仿冒網(wǎng)站�;同時,CNCERT/CC充分發(fā)揮其組織��、協(xié)調(diào)作用����,成功地處理了國內(nèi)網(wǎng)頁篡改、網(wǎng)絡(luò)仿冒����、木馬等網(wǎng)絡(luò)安全事件。
3.2建立整體的網(wǎng)絡(luò)安全架構(gòu) 切實保障電子商務(wù)的應(yīng)用發(fā)展
從各類網(wǎng)絡(luò)安全事件分析中我們看到�����,電子商務(wù)的網(wǎng)絡(luò)安全問題不是純粹的計算機安全問題����,從企業(yè)的角度出發(fā),應(yīng)該建立整體的電子商務(wù)網(wǎng)絡(luò)安全架構(gòu)�,結(jié)合安全管理以及具體的安全保護、安全監(jiān)控、事件響應(yīng)和恢復(fù)等一套機制來保障電子商務(wù)的正常應(yīng)用�����。
3.2.1安全管理
安全管理主要是通過嚴格科學(xué)的管理手段以達到保護企業(yè)網(wǎng)絡(luò)安全的目的��。內(nèi)容可包括安全管理制度的制定��、實施和監(jiān)督���,安全策略的制定����、實施����、評估和修改,相關(guān)人員的安全意識的培訓(xùn)�、教育,日常安全管理的具體要求與落實等��。
3.2.2安全保護
安全保護主要是指應(yīng)用網(wǎng)絡(luò)安全產(chǎn)品�、工具和技術(shù)保護網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)和用戶����。這種保護主要是指靜態(tài)保護����,通常是一些基本的防護�,不具有實時性,如在防火墻的規(guī)則中實施一條安全策略�,禁止所有外部網(wǎng)用戶到內(nèi)部網(wǎng)Web服務(wù)器的連接請求���,一旦這條規(guī)則生效�,它就會持續(xù)有效����,除非我們改變這條規(guī)則。這樣的保護能預(yù)防已知的一些安全威脅��,而且通常這些威脅不會變化��,所以稱為靜態(tài)保護�����。
3.2.3安全監(jiān)控/審計
安全監(jiān)控主要是指實時監(jiān)控網(wǎng)絡(luò)上正在發(fā)生的事情��,這是任何一個網(wǎng)絡(luò)管理員都想知道的。審計一直被認為是經(jīng)典安全模型的一個重要組成部分���。審計是通過記錄通過網(wǎng)絡(luò)的所有數(shù)據(jù)包���,然后分析這些數(shù)據(jù)包,幫助查找已知的攻擊手段����、可疑的破壞行為,來達到保護網(wǎng)絡(luò)的目的�����。
安全監(jiān)控和審計是實時保護的一種策略��,它主要滿足一種動態(tài)安全的需求����。因為網(wǎng)絡(luò)安全技術(shù)在發(fā)展的同時,黑客技術(shù)也在不斷的發(fā)展�,網(wǎng)絡(luò)安全不是一成不變的,也許今天對你來說安全的策略�,明天就會變得不安全,因此我們應(yīng)該時刻關(guān)注網(wǎng)絡(luò)安全的發(fā)展動向以及網(wǎng)絡(luò)上發(fā)生的各種各樣的事情�,以便及時發(fā)現(xiàn)新的攻擊����,制定新的安全策略����。可以這樣說��,安全保護是基本���,安全監(jiān)控和審計是其有效的補充,兩者的有效結(jié)合�,才能較好地滿足動態(tài)安全的需要。
3.2.4事件響應(yīng)與恢復(fù)
事件響應(yīng)與恢復(fù)主要針對發(fā)生攻擊事件時相應(yīng)的應(yīng)急措施與恢復(fù)正常應(yīng)用的機制�����。就是當攻擊發(fā)生時��,能及時做出響應(yīng)����,這需要建立一套切實有效、操作性強的響應(yīng)機制�,及時防止攻擊的進一步發(fā)展�����。響應(yīng)是整個安全架構(gòu)中的重要組成部分����,因為網(wǎng)絡(luò)構(gòu)筑沒有絕對的安全����,安全事件的發(fā)生是不可能完全避免的,當安全事件發(fā)生的時候��,應(yīng)該有相應(yīng)的機制快速反應(yīng)��,以便讓管理員及時了解攻擊情況�,采取相應(yīng)措施修改安全策略,盡量減少并彌補攻擊的損失��,防止類似攻擊的再次發(fā)生��。
當安全事件發(fā)生后���,對系統(tǒng)可能會造成不同程度的破壞�����,如網(wǎng)絡(luò)不能正常工作�、系統(tǒng)數(shù)據(jù)被破壞等,這時��,必須有一套機制能盡快恢復(fù)系統(tǒng)的正常應(yīng)用�,因為攻擊既然已經(jīng)發(fā)生了,系統(tǒng)也遭到了破壞���,這時只有讓系統(tǒng)以最快的速度運行起來才是最重要的����,否則損失將更為嚴重��。因此恢復(fù)在電子商務(wù)安全的整體架構(gòu)中也是不可缺少的組成部分�。 4小結(jié)
Internet的快速發(fā)展�,使電子商務(wù)逐漸進入人們的日常生活,而伴隨各類網(wǎng)絡(luò)安全事件的日益增加與發(fā)展����,電子商務(wù)的安全問題也變得日益突出,建立一個安全�����、便捷的電子商務(wù)應(yīng)用環(huán)境,已經(jīng)成為商家和用戶密切關(guān)注的話題��。
本文主要從目前深刻影響電子商務(wù)應(yīng)用與發(fā)展的幾種主要的網(wǎng)絡(luò)安全事件類型出發(fā)����,闡述了電子商務(wù)的網(wǎng)絡(luò)安全問題,并從國家相關(guān)法制建設(shè)的大環(huán)境�,應(yīng)急響應(yīng)組織的作用與意義,以及企業(yè)具體的電子商務(wù)網(wǎng)絡(luò)安全整體架構(gòu)等方面���,給出一些建議與思考�。
參考文獻
1
CNCERT/CC.“2005年上半年網(wǎng)絡(luò)安全工作報告”
2
CNCERT/CC上海分中心.“網(wǎng)絡(luò)欺詐的分析和研究”.2005年3月
3
第2篇
關(guān)鍵詞:商業(yè)銀行���;電子商務(wù)�;風(fēng)險管理
商業(yè)銀行從事金融業(yè)務(wù)面臨著市場風(fēng)險��、信用風(fēng)險�����、以及操作風(fēng)險等�,而電子商務(wù)的出現(xiàn)則加劇了上述各類風(fēng)險發(fā)生的可能性以及風(fēng)險發(fā)生之后的破壞程度。2004年以來,我國面臨的網(wǎng)絡(luò)仿冒威脅正在逐漸加大���,仿冒對象主要是金融網(wǎng)站和電子商務(wù)網(wǎng)站�。2005年上半年共收到網(wǎng)絡(luò)安全事件報告65679件�����,超過2004年全年案件數(shù)�,商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略已成為理論與實踐中必須重視的課題。
一��、信息安全管理的策略大體遵循事件驅(qū)動(技術(shù)和管理脫節(jié))-逐漸標準化(技術(shù)和管理逐漸結(jié)合)——安全風(fēng)險管理(引入了風(fēng)險分析)的發(fā)展路徑���。
(一)以事件驅(qū)動的初級階段時期
19世紀70年代安全主要是指物理設(shè)備和環(huán)境的安全����,人與計算機之間的交互主要局限在大型計算機上的啞終端���,安全問題只涉及能訪問終端的少數(shù)人。安全管理策略處于初級階段�,由事件驅(qū)動,沒有形成規(guī)范的管理流程���。在此階段的前期��,只重視技術(shù)手段�����。后期開始重視管理手段�,但是技術(shù)和管理之間脫節(jié)。許多組織對信息安全制定了相應(yīng)的規(guī)章和制度�,但組織的信息安全管理基本上還處在一種靜態(tài)、局部���、少數(shù)人負責��、突擊式����、事后糾正式的管理方式����。
(二)標準化時期
企業(yè)開始將安全問題作為整體考慮,形成一套較為完整的安全管理策略����,其中包括了安全管理的技術(shù)手段和管理制度(或稱運作管理)。幾乎所有從事電子商務(wù)的企業(yè)都擁有自己的安全策略,內(nèi)容也包括了技術(shù)手段�����、安全管理制度��、人員安全教育等等��,基本上形成體系����,技術(shù)和管理手段綜合統(tǒng)一,但是安全風(fēng)險分析還存在不足之處�����。
(三)安全風(fēng)險管理策略時期
隨著電子商務(wù)安全管理發(fā)展到一個比較高的層次����,安全管理策略也演進到安全風(fēng)險管理階段。主要特點如下:
1.安全風(fēng)險管理成為主流趨勢���;在安全管理策略的演進過程中����,技術(shù)和管理手段綜合統(tǒng)
一��、又融入了風(fēng)險管理的分析�����、防范策略���,從而安全管理進入了安全風(fēng)險管理時期���。西方商業(yè)銀行已對安全風(fēng)險管理形成共識。如安氏公司(is—One)����,認為信息安全問題最終將歸結(jié)為風(fēng)險管理問題,風(fēng)險管理方法是建立良性的安全技術(shù)和管理體系的依據(jù)和基礎(chǔ)��。
2.安全風(fēng)險管理的國際標準和各國的規(guī)范逐漸形成并趨于完善��。國際上關(guān)于安全風(fēng)險管理的標準有巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務(wù)風(fēng)險管理原則》�����、英國標準協(xié)會制訂的BS7799等����。各國也日益重視安全風(fēng)險管理��,制定了許多規(guī)范��。例如美國貨幣監(jiān)理署(OCC)的《電子銀行最終規(guī)則》��、香港金融管理局的《電子銀行服務(wù)的安全風(fēng)險管理》等��。中國銀行業(yè)監(jiān)督管理委員也于2006年頒布了《電子銀行業(yè)務(wù)管理辦法》��,對國內(nèi)企業(yè)的電子商務(wù)安全風(fēng)險管理給出了指導(dǎo)意見���。
3.利用外部專業(yè)化機構(gòu)對金融機構(gòu)的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術(shù)風(fēng)險�,在相當程度上取決于采用的信息技術(shù)的先進程度,系統(tǒng)的設(shè)計開發(fā)水平��,以及相關(guān)設(shè)施設(shè)備及其供應(yīng)商的選擇等����;銀行依靠傳統(tǒng)的風(fēng)險管理機制已很難識別、監(jiān)測����、控制和管理相關(guān)風(fēng)險��。同樣����,監(jiān)管機構(gòu)也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監(jiān)控����。因此�,大部分國家都采用了依靠外部專業(yè)化機構(gòu)定期對電子銀行安全性進行評估的辦法,加強對電子銀行安全性和技術(shù)風(fēng)險的管理和監(jiān)管�����。
4.在許多國家信息系統(tǒng)審計(IsAudit)作為一種信息技術(shù)服務(wù)被廣泛提供�,許多知名的咨詢公司都提供類似的信息審計服務(wù)。業(yè)界的IT風(fēng)險分析師也成為一種職業(yè)���,專門從事電子商務(wù)的安全風(fēng)險工作�,從經(jīng)濟學(xué)的角度出發(fā)分析風(fēng)險����,充分衡量保持安全的代價和收益之間的關(guān)系,尋求用最小的代價實現(xiàn)最大的效用����,在風(fēng)險分析中也形成一套較為成熟的模式��。
二�����、我國商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略的薄弱點
(一)系統(tǒng)管理思想缺乏
目前的電子商務(wù)安全風(fēng)險管理策略�����,在全局上缺乏系統(tǒng)論理論的指導(dǎo)��,在實際操作中受到多種多樣的安全攻擊時會不可避免地出現(xiàn)安全漏洞���,無法形成一張全面有序的安全網(wǎng)絡(luò)。
實踐中被采用的安全風(fēng)險管理策略�����,以及作為指導(dǎo)意見的規(guī)則規(guī)范��,如《信息安全管理實務(wù)準則》(IS017799)����、《信息技術(shù)安全性評估準則》(GB/T18336.1)��、巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務(wù)風(fēng)險管理原則》���,盡管提出了比較全面的安全風(fēng)險管理方案,層次上也比較清晰����,但是還不足以作為一個風(fēng)險防范系統(tǒng)��。實踐中�����,電子商務(wù)組織是一個復(fù)雜的系統(tǒng)組織����,電子商務(wù)的安全風(fēng)險管理體系和過程也是個復(fù)雜的系統(tǒng)。系統(tǒng)論�����、控制論的思想在電子商務(wù)安全風(fēng)險管理中是不可或缺的����。
(二)風(fēng)險分析的模型與方法不成熟�,定量分析不足
電子商務(wù)模式自身的發(fā)展歷史也不過20幾年����,在風(fēng)險分析的定量技術(shù)上并不成熟;如BS7799中推薦的電子商務(wù)安全風(fēng)險管理中實施風(fēng)險評估時��,往往將威脅發(fā)生的可能性定性劃分為幾個級別�����,將威脅所造成的影響也定性劃分為1~5級����,實質(zhì)上是將一些按照概率發(fā)生的事件定義為不連續(xù)的幾個級別,在操作上易行�,但造成了度量的不精確。在進行監(jiān)控和審計之后�����,也存在無法量化�、對比的問題。
(三)忽視與原有的傳統(tǒng)風(fēng)險管理策略的結(jié)合
本質(zhì)上�,電子商務(wù)的安全風(fēng)險無非是新興的商業(yè)模式對傳統(tǒng)的風(fēng)險的改變,以及產(chǎn)生的在傳統(tǒng)風(fēng)險控制領(lǐng)域暫時無法明晰的新風(fēng)險;現(xiàn)有管理策略只從信息技術(shù)的角度���、或者從偏重技術(shù)的角度看待問題�����,站在金融領(lǐng)域本身來分析研究較少���。這種狀況導(dǎo)致了對電子商務(wù)安全風(fēng)險管理的研究無法立足于一個比較高的層次;忽略了風(fēng)險的整體性�����,只進行偏信息和技術(shù)的研究��,導(dǎo)致了現(xiàn)有的電子商務(wù)安全風(fēng)險管理策略與金融機構(gòu)原有的傳統(tǒng)業(yè)務(wù)風(fēng)險管理策略存在差距�。對于商業(yè)銀行而言��,傳統(tǒng)金融業(yè)務(wù)的風(fēng)險控制與電子商務(wù)的技術(shù)風(fēng)險控制��,兩個方面存在脫節(jié)��,同樣屬于商業(yè)銀行的風(fēng)險�,存在著不同的管理策略,導(dǎo)致多頭管理、資源浪費����、機構(gòu)之間的扯皮,乃至缺位管理��。
(四)風(fēng)險管理策略無法依賴外部的信息安全管理行業(yè)
在發(fā)達國家�,信息系統(tǒng)審計(IsAudit)作為一種信息技術(shù)服務(wù)被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務(wù)���。IT風(fēng)險分析師也成為一種職業(yè)���,專門從事電子商務(wù)的安全風(fēng)險工作。商業(yè)銀行采用依靠外部專業(yè)化機構(gòu)定期對電子銀行的安全性進行評估的辦法���,提高對電子銀行安全性和技術(shù)風(fēng)險的管理和監(jiān)管���。而國內(nèi)初步建立了國家信息安全組織保障體系,制定和引進了一批重要的信息安全管理標準��、法律法規(guī)�,風(fēng)險評估工作得到了一定重視,但與發(fā)達國家成熟完善的外部信息安全管理行業(yè)仍有很大差距��。
(五)風(fēng)險管理策略中商業(yè)銀行的內(nèi)部風(fēng)險控制能力薄弱
我國商業(yè)銀行目前均建立起統(tǒng)一的風(fēng)險管理部門;但風(fēng)險控制部門的職能����、權(quán)限與花旗銀行等體制較為先進的銀行相比仍然存在較大差距,風(fēng)險控制實質(zhì)上仍然分散在各個子部門�����;風(fēng)險的評估�����、防范與控制實質(zhì)上完全依靠商業(yè)銀行的電子交易部門�����;風(fēng)險管理部門�����、內(nèi)審稽核部門實質(zhì)上無法控制電子商務(wù)安全風(fēng)險��。例如�����,風(fēng)險管理部門接受了電子交易部的風(fēng)險控制報告���,表面上履行的內(nèi)控審核的流程��,但審核作用有限����,無法完成電子商務(wù)安全風(fēng)險管理中的監(jiān)控與審計環(huán)節(jié)����。
三、商業(yè)銀行的電子商務(wù)安全風(fēng)險管理策略的改進建議
(一)基于系統(tǒng)的思想構(gòu)建商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略框架
利用系統(tǒng)理論作為總體的指導(dǎo)思想����,將電子商務(wù)安全風(fēng)險管理策略本身當作一個開放的自適應(yīng)系統(tǒng)。將商業(yè)銀行電子商務(wù)安全風(fēng)險管理中的各個環(huán)節(jié)組成循環(huán)上升的系統(tǒng)��。
在商業(yè)銀行電子商務(wù)安全風(fēng)險控制的流程中���,經(jīng)過信息安全的風(fēng)險評估����、資產(chǎn)識別和選擇�、實施控制降低風(fēng)險的措施��、將風(fēng)險控制在可接受的范圍內(nèi)�,然后進行監(jiān)控和審計�����;尤其重要的是把監(jiān)控和審計所得到的內(nèi)容作為新一輪風(fēng)險分析輸入��,從而開始新一輪的風(fēng)險管理過程�。商業(yè)銀行電子商務(wù)安全風(fēng)險管理的各個步驟為動態(tài)的循環(huán)系統(tǒng)。每完成一個循環(huán)����,安全風(fēng)險管理的有效性就上一個臺階,商業(yè)銀行的安全管理水平變得到了提高���。新晨
(二)電子商務(wù)安全風(fēng)險管理中定量分析中的改進思路
商業(yè)銀行可以借鑒成熟的傳統(tǒng)金融風(fēng)險度量中的一些方法來改變電子商務(wù)安全風(fēng)險管理中對資產(chǎn)進行粗略的優(yōu)先級別排序的方法��。實踐中��,商業(yè)銀行對操作風(fēng)險的管理與對電子商務(wù)安全風(fēng)險管理有其相似之處����。巴塞爾委員會對商業(yè)銀行的操作風(fēng)險的內(nèi)部計量法中規(guī)定�����,商業(yè)銀行內(nèi)部估計風(fēng)險敞口指標�、損失事件發(fā)生的概率、風(fēng)險損失����,巴塞爾委員會制定資本要求的轉(zhuǎn)換系數(shù);在度量損失的分布時�,主要利用統(tǒng)計和精算技術(shù)。商業(yè)銀行應(yīng)通過數(shù)據(jù)庫將威脅發(fā)生的頻率���、威脅所造成的影響等精確記錄下來�����,利用現(xiàn)有的度量方法進行精確的風(fēng)險定量分析的嘗試���。
(三)將商業(yè)銀行電子商務(wù)安全風(fēng)險納入商業(yè)銀行總體風(fēng)險管理范疇
第3篇
電子商務(wù)的存在和發(fā)展,是以網(wǎng)絡(luò)技術(shù)的革新為前提�����。電子商務(wù)系統(tǒng)的構(gòu)建���、運行及維護���,都離不開技術(shù)的支持�����。同時�����,由于電子商務(wù)適合于各種大�����、小型企業(yè)�,所以應(yīng)采取措施來保障電子商務(wù)網(wǎng)站的安全���。
一��、電子商務(wù)中存在安全的問題
(一)網(wǎng)絡(luò)信息安全方面
1.服務(wù)器的安全問題���。電子商務(wù)服務(wù)器是電子商務(wù)的核心,安裝了大量的與電子商務(wù)有關(guān)的軟件和商家信息,并且服務(wù)器上的數(shù)據(jù)庫里有電子商務(wù)活動過程中的一些保密數(shù)據(jù)��。因此服務(wù)器特別容易受到安全的威脅�����,并且一旦出現(xiàn)安全問題���,造成的后果也是非常嚴重。
2.網(wǎng)絡(luò)信息的安全問題��。非法用戶在網(wǎng)絡(luò)的傳輸上使用不正當手法�,非法攔截會話數(shù)據(jù)獲得合法用戶的有效信息,最終導(dǎo)致合法用戶的一些核心業(yè)務(wù)數(shù)據(jù)泄密或者是非法用戶對截獲的網(wǎng)絡(luò)數(shù)據(jù)進行一些惡意篡改�����,如增加�、減少和刪除等操作,從而使信息失去真實性和完整性�,導(dǎo)致合法用戶無法正常交易,還有一些非法用戶利用截獲的網(wǎng)絡(luò)數(shù)據(jù)包再次發(fā)送��,惡意攻擊對方的網(wǎng)絡(luò)硬件和軟件�����。
3.網(wǎng)絡(luò)安全中的病毒問題?;ヂ?lián)網(wǎng)的出現(xiàn)為電腦病毒的傳播提供了最好的媒介,不少新病毒直接以互聯(lián)網(wǎng)作為自己的傳播途徑�,電腦病毒問世10多年來,各種新型病毒及其變種迅速增加����,不少新病毒直接以互聯(lián)網(wǎng)作為自己的傳播途徑,還有眾多病毒借助于互聯(lián)網(wǎng)傳播得更快�,如何在電子商務(wù)領(lǐng)域如何有效防范病毒也是一個十分緊迫的問題。
(二)電子商務(wù)交易方面
1.交易身份的不確定��。電子商務(wù)是一種全球各地廣泛的商業(yè)貿(mào)易活動在開放的網(wǎng)絡(luò)環(huán)境下�����,基于瀏覽器/服務(wù)器應(yīng)用方式����,在買賣雙方不謀面的情況下進行各種商貿(mào)活動,實現(xiàn)消費者的網(wǎng)上購物�����、商戶之間的網(wǎng)上交易和在線電子支付以及各種商務(wù)活動、交易活動�����、金融活動和相關(guān)的綜合服務(wù)活動�����。正是基于這個特點攻擊者可以通過非法的手段盜竊合法用戶的身份信息�����,仿冒合法用戶的身份與他人進行交易��。
2.交易協(xié)議安全性問題��。企業(yè)和用戶在電子交易過程中的數(shù)據(jù)是以數(shù)據(jù)包的形式來傳送的���,惡意攻擊者很容易對某個電子商務(wù)網(wǎng)站展開數(shù)據(jù)包攔截,甚至對數(shù)據(jù)包進行修改和假冒�。TCP/IP協(xié)議是建立在可信的環(huán)境之下,缺乏相應(yīng)的安全機制���,這種基于地址的協(xié)議本身就會泄露口令�����,根本沒有考慮安全問題����;TCP/IP協(xié)議是完全公開的,其遠程訪問的功能使許多攻擊者無須到現(xiàn)場就能夠得手���,連接的主機基于互相信任的原則等這些性質(zhì)使網(wǎng)絡(luò)更加不安全��。
二�����、加強電子商務(wù)網(wǎng)站的安全措施
我們從技術(shù)手段的角度�,從系統(tǒng)安全和數(shù)據(jù)安全的不同層面來探索電子商務(wù)中出現(xiàn)的網(wǎng)絡(luò)安全新問題�����。
(一)信息系統(tǒng)安全
對于一個企業(yè)來說���,信息的安全尤為重要�����,這種安全首先取決于系統(tǒng)的安全���。系統(tǒng)安全主要包括網(wǎng)絡(luò)系統(tǒng)��、操作系統(tǒng)和應(yīng)用系統(tǒng)三個層次����。系統(tǒng)安全采用的技術(shù)和手段有冗余技術(shù)�����、網(wǎng)絡(luò)隔離技術(shù)�、訪問控制技術(shù)���、身份鑒別技術(shù)�、加密技術(shù)�、監(jiān)控審計技術(shù)、安全評估技術(shù)等�。
1.網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)系統(tǒng)安全是網(wǎng)絡(luò)的開放性����、無邊界性���、自由性造成,安全解決的關(guān)鍵是把被保護的網(wǎng)絡(luò)從開放�、無邊界、自由的環(huán)境中獨立出來���,使網(wǎng)絡(luò)成為可控制�、管理的內(nèi)部系統(tǒng)���,由于網(wǎng)絡(luò)系統(tǒng)是應(yīng)用系統(tǒng)的基礎(chǔ)�,網(wǎng)絡(luò)安全便成為首要新問題�。解決網(wǎng)絡(luò)安全主要方式有如下幾種方法:
一是網(wǎng)絡(luò)冗余。它是解決網(wǎng)絡(luò)系統(tǒng)單點故障的重要辦法���。對關(guān)鍵性的網(wǎng)絡(luò)線路����、設(shè)備�����,通常采用雙備份或多備份的方式����。網(wǎng)絡(luò)運行時雙方對運營狀態(tài)相互實時監(jiān)控并自動調(diào)整���,當網(wǎng)絡(luò)的一段或一點發(fā)生故障或網(wǎng)絡(luò)信息流量突變時能在有效時間內(nèi)進行切換分配,保證網(wǎng)絡(luò)正常的運行�����。
二是系統(tǒng)隔離�����。分為物理隔離和邏輯隔離����,主要從網(wǎng)絡(luò)安全等級考慮劃分合理的網(wǎng)絡(luò)安全邊界����,使不同安全級別的網(wǎng)絡(luò)或信息媒介不能相互訪問,從而達到安全目的�����。對業(yè)務(wù)網(wǎng)絡(luò)或辦公網(wǎng)絡(luò)采用VLAN技術(shù)和通信協(xié)議實行邏輯隔離劃分不同的應(yīng)用子網(wǎng)�����。
三是訪問控制。對于網(wǎng)絡(luò)不同信任域?qū)崿F(xiàn)雙向控制或有限訪問原則�,使受控的子網(wǎng)或主機訪問權(quán)限和信息流向能得到有效控制。具體相對網(wǎng)絡(luò)對象而言需要解決網(wǎng)絡(luò)的邊界的控制和網(wǎng)絡(luò)內(nèi)部的控制�����,對于網(wǎng)絡(luò)資源來說保持有限訪問的原則��,信息流向則可根據(jù)安全需求實現(xiàn)單向或雙向控制���。訪問控制最重要的設(shè)備就是防火墻����,它一般安置在不同安全域出入口處����,對進出網(wǎng)絡(luò)的IP信息包進行過濾并按企業(yè)安全政策進行信息流控制,同時實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換�����、實時信息審計警告等功能�����,高級防火墻還可實現(xiàn)基于用戶的細粒度的訪問控制。
四是身份鑒別����。是對網(wǎng)絡(luò)訪問者權(quán)限的識別,一般通過三種方式驗證主體身份�,一是主體了解的秘密,如用戶名��、口令��、密鑰�����;二是主體攜帶的物品���,如磁卡、IC卡����、動態(tài)口令卡和令牌卡等;三是主體特征或能力�,如指紋���、聲音、視網(wǎng)膜���、簽名等�。加密是為了防止網(wǎng)絡(luò)上的竊聽�����、泄漏��、篡改和破壞�����,保證信息傳輸安全���,對網(wǎng)上數(shù)據(jù)使用加密手段是最為有效的方式�����。目前加密可以在三個層次來實現(xiàn)���,即鏈路層加密��、網(wǎng)絡(luò)層加密和應(yīng)用層加密����。鏈路加密側(cè)重通信鏈路而不考慮信源和信宿���,它對網(wǎng)絡(luò)高層主體是透明的�����。網(wǎng)絡(luò)層加密采用IPSEC核心協(xié)議�,具有加密�����、認證雙重功能�����,是在IP層實現(xiàn)的安全標準�。通過網(wǎng)絡(luò)加密可以構(gòu)造企業(yè)內(nèi)部的虛擬專網(wǎng)(VPN),使企業(yè)在較少投資下得到安全較大的回報����,并保證用戶的應(yīng)用安全。
五是安全監(jiān)測�。采取信息偵聽的方式尋找未授權(quán)的網(wǎng)絡(luò)訪問嘗試和違規(guī)行為,包括網(wǎng)絡(luò)系統(tǒng)的掃描�����、預(yù)警��、阻斷��、記錄����、跟蹤等,從而發(fā)現(xiàn)系統(tǒng)遭受的攻擊傷害�����。網(wǎng)絡(luò)掃描監(jiān)測系統(tǒng)作為對付電腦黑客最有效的技術(shù)手段�����,具有實時�����、自適應(yīng)、主動識別和響應(yīng)等特征���,廣泛用于各行各業(yè)����。網(wǎng)絡(luò)掃描是針對網(wǎng)絡(luò)設(shè)備的安全漏洞進行檢測和分析����,包括網(wǎng)絡(luò)通信服務(wù)、路由器����、防火墻、郵件���、WEB服務(wù)器等����,從而識別能被入侵者利用非法進入的網(wǎng)絡(luò)漏洞�����。網(wǎng)絡(luò)掃描系統(tǒng)對檢測到的漏洞信息形成具體報告,包括位置�����、具體描述和建議的改進方案���,使網(wǎng)管能檢測和管理安全風(fēng)險信息。
2.操作系統(tǒng)
操作系統(tǒng)是管理計算機資源的核心系統(tǒng)�����,負責信息發(fā)送�����、管理設(shè)備存儲空間和各種系統(tǒng)資源的調(diào)度���,它作為應(yīng)用系統(tǒng)的軟件平臺具有通用性和易用性�,操作系統(tǒng)安全性直接關(guān)系到應(yīng)用系統(tǒng)的安全��,操作系統(tǒng)安全分為應(yīng)用安全和安全漏洞掃描���。
一是應(yīng)用安全����。面向應(yīng)用選擇可靠的操作系統(tǒng),可以杜絕使用來歷不明的軟件��。用戶可安裝操作系統(tǒng)保護和恢復(fù)軟件�����,并作相應(yīng)的備份�����。
二是系統(tǒng)掃描�。它基于主機的安全評估系統(tǒng),是對系統(tǒng)的安全風(fēng)險級別進行劃分�,并提供完整的安全漏洞檢查列表,通過不同版本的操作系統(tǒng)進行掃描分析�����,對掃描漏洞自動修補形成報告��,保護應(yīng)用程序����、數(shù)據(jù)免受盜用���、破壞。
3.應(yīng)用系統(tǒng)
辦公系統(tǒng)文件(郵件)的安全存儲摘要:利用加密手段�����,配合相應(yīng)的身份鑒別和密鑰保護機制(IC卡���、PCMCIA安全PC卡等),使得存儲于本機和網(wǎng)絡(luò)服務(wù)器上的個人和單位重要文件處于安全存儲的狀態(tài)��,使得他人即使通過各種手段非法獲取相關(guān)文件或存儲介質(zhì)(硬盤等)��,也無法獲得相關(guān)文件的內(nèi)容�。
文件(郵件)的安全傳送,對通過網(wǎng)絡(luò)(遠程或近程)傳送給他人的文件進行安全處理(加密���、簽名�、完整性鑒別等)��,使得被傳送的文件只有指定的收件者通過相應(yīng)的安全鑒別機制(IC卡����、PCMCIA PC卡)才能解密并閱讀�,杜絕了文件在傳送或到達對方的存儲過程中被截獲����、篡改等,主要用于信息網(wǎng)中的報表傳送���、公文下發(fā)等�����。
業(yè)務(wù)系統(tǒng)的安全����,主要面向業(yè)務(wù)管理和信息服務(wù)的安全需求����。對通用信息服務(wù)系統(tǒng)(電子郵件系統(tǒng)、WEB信息服務(wù)系統(tǒng)��、FTP服務(wù)系統(tǒng)等)采用基于應(yīng)用開發(fā)安全軟件�,如安全郵件系統(tǒng)、WEB頁面保護等�;對業(yè)務(wù)信息可以配合管理系統(tǒng)采取對信息內(nèi)容的審計稽查,防止外部非法信息侵入和內(nèi)部敏感信息泄漏�����。
(二)數(shù)據(jù)安全
數(shù)據(jù)安全牽涉到數(shù)據(jù)庫的安全和數(shù)據(jù)本身安全,針對兩者應(yīng)有相應(yīng)的安全辦法�����。
一是數(shù)據(jù)庫安全�����。大中型企業(yè)一般采用具有一定安全級別的SYBASE或ORACLE大型分布式數(shù)據(jù)庫�,基于數(shù)據(jù)庫的重要性��,應(yīng)在此基礎(chǔ)上開發(fā)一些安全辦法����,增加相應(yīng)控件,對數(shù)據(jù)庫分級管理并提供可靠的故障恢復(fù)機制��,實現(xiàn)數(shù)據(jù)庫的訪問���、存取����、加密控制。具體實現(xiàn)方法有安全數(shù)據(jù)庫系統(tǒng)����、數(shù)據(jù)庫保密系統(tǒng)、數(shù)據(jù)庫掃描系統(tǒng)等�����。
二是數(shù)據(jù)安全��。指存儲在數(shù)據(jù)庫數(shù)據(jù)本身的安全�����,相應(yīng)的保護辦法有安裝反病毒軟件�����,建立可靠的數(shù)據(jù)備份和恢復(fù)系統(tǒng)�,某些重要數(shù)據(jù)甚至可以采取加密保護。
(三)網(wǎng)絡(luò)交易平臺的安全
網(wǎng)上交易安全位于系統(tǒng)安全風(fēng)險之上����,在數(shù)據(jù)安全風(fēng)險之下。只有提供一定的安全保證,在線交易的網(wǎng)民才會具有安全感���,電子商務(wù)網(wǎng)站才會具有發(fā)展的空間����。
一是交易安全標準��。目前在電子商務(wù)中主要的安全標準有兩種摘要:應(yīng)用層的SET(安全電子交易)和會話層SSL(安全套層)協(xié)議�。前者由信用卡機構(gòu)VISA及MasterCard提出的針對電子錢包/商場/認證中心的安全標準,主要用于銀行等金融機構(gòu)���;后者由NETSCAPE公司提出針對數(shù)據(jù)的機密性/完整性/身份確認/開放性的安全協(xié)議���,事實上已成為WWW網(wǎng)絡(luò)的應(yīng)用安全標準。
二是交易安全基礎(chǔ)體系���。交易安全基礎(chǔ)是現(xiàn)代密碼技術(shù),依靠于加密方法和強度�����。加密分為單密鑰的對稱加密體系和雙密鑰的非對稱加密體系�����。兩者各有所長,對稱密鑰具有加密效率高����,但存在密鑰分發(fā)困難、管理不便的弱點�����;非對稱密鑰加密速度慢���,但便于密鑰分發(fā)管理�。通常把兩者結(jié)合使用�,以達到高效安全的目的。
三是交易安全的實現(xiàn)��。交易安全的實現(xiàn)主要有交易雙方身份確認����、交易指令及數(shù)據(jù)加密傳輸、數(shù)據(jù)的完整性��、防止雙方對交易結(jié)果的抵賴等等���。具體實現(xiàn)的途徑是交易各方具有相關(guān)身份證實�����,同時在SSL協(xié)議體系下完成交易過程中電子證書驗證��、數(shù)字簽名����、指令數(shù)據(jù)的加密傳輸、交易結(jié)果確認審計等�����。
隨著電子商務(wù)的發(fā)展�����,網(wǎng)上交易越來越頻繁���,調(diào)用每項服務(wù)時需要用戶證實身份,也需要這些服務(wù)器向客戶證實他們自己的身份����。而保障身份安全的最有效的技術(shù)就是PKI技術(shù)。PKI的應(yīng)用主要是在它的CA認證技術(shù)。CA(Certification Authorty)是一個確保信任度的權(quán)威實體�����,主要職責是頒發(fā)證書�����、驗證用戶身份的真實性����。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證實—證書,任何相信該CA的人�,按照第三方信任原則,都應(yīng)當相信持有證實的該用戶��。CA也要采取一系列相應(yīng)的辦法來防止電子證書被偽造或篡改��。構(gòu)建一個具有較強安全性的CA是至關(guān)重要的�����,這不僅和密碼學(xué)有關(guān)系�,而且和整個PKI系統(tǒng)的構(gòu)架和模型有關(guān)。此外��,靈活也是CA能否得到市場認同的一個關(guān)鍵,它不需支持各種通用的國際標準����,并能很好地和其他廠家的CA產(chǎn)品兼容。在不久的將來���,PKI技術(shù)會在電子商務(wù)和網(wǎng)絡(luò)安全中得到更廣泛的應(yīng)用�����,從而真正保障用戶和商家的身份安全���。
三、信息安全的發(fā)展方向
從歷史角度看���,我國信息網(wǎng)絡(luò)安全探究歷經(jīng)了通信保密�����、數(shù)據(jù)保護兩個階段���,正在進入網(wǎng)絡(luò)信息安全探究階段,現(xiàn)已開發(fā)研制出防火墻�����、安全路由器�、安全網(wǎng)關(guān)、黑客入侵檢測���、系統(tǒng)脆弱性掃描軟件等�。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個綜合��、交叉的學(xué)科領(lǐng)域�����,它綜合利用了數(shù)學(xué)����、物理、生化信息技術(shù)和計算機技術(shù)的諸多學(xué)科的長期積累和最新發(fā)展成果�����,提出系統(tǒng)的�、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案,從安全體系結(jié)構(gòu)��、安全協(xié)議、現(xiàn)代密碼理論�、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展探究,各部分相互協(xié)同形成有機整體����。
安全協(xié)議作為信息安全的重要內(nèi)容,其形式化方法分析始于80年代初��,目前有基于狀態(tài)機�、模態(tài)邏輯和代數(shù)工具的三種分析方法,但仍有局限性和漏洞���,處于發(fā)展的提高階段�。作為信息安全關(guān)鍵技術(shù)密碼學(xué)����,近年來空前活躍,美���、歐�、亞各洲舉行的密碼學(xué)和信息安全學(xué)術(shù)會議頻繁�。1976年美國學(xué)者提出的公開密鑰密碼體制,克服了網(wǎng)絡(luò)信息系統(tǒng)密鑰管理的困難���,同時解決了數(shù)字簽名新問題���,它是當前探究的熱點。
第4篇
[關(guān)鍵詞]Agent 電子商務(wù)實驗室 安全設(shè)計
電子商務(wù)實驗室旨在建立一個Internet環(huán)境下的電子商務(wù)模擬環(huán)境���,實現(xiàn)情景教學(xué)����。若想成功地部署電子商務(wù)實驗室��,必須解決三個關(guān)鍵問題:高可用性���、伸縮性和安全性�����。而安全性是其中最重要的環(huán)節(jié)�,因此本文主要對電子商務(wù)實驗室的安全性進行闡述��。
一�、電子商務(wù)實驗室的安全需求
本課題所設(shè)計的系統(tǒng)有七個實驗平臺組成,它們分別是:一般教學(xué)����、B2C�、C2C���、B2B�、物流實驗平臺����,以及電子銀行和CA認證平臺。每個平臺相對獨立又有一定關(guān)聯(lián)��,如B2C業(yè)務(wù)流程的完成需要結(jié)合CA認證��、電子銀行和物流管理等���,因此不同平臺安全需求也是多方面的��。如何保證實驗室系統(tǒng)交易的安全性��、對個人信息提供機密性保障�����、認證交易雙方的合法身份���、如何保證數(shù)據(jù)的完整性和交易的不可否認性等�,是實驗室所需解決的核心問題����。
二、電子商務(wù)實驗室安全解決方案
當前����,電子商務(wù)系統(tǒng)設(shè)計的架構(gòu)大多采用B/S結(jié)構(gòu)�����。B/S環(huán)境中各種安全功能都由服務(wù)器集中實現(xiàn)����,因此服務(wù)器容易成為系統(tǒng)的安全瓶頸。服務(wù)器一旦被人入侵或出現(xiàn)問題�����,將對整個系統(tǒng)的安全造成嚴重的威脅��。且不同子系統(tǒng)具有不同的安全需求,由服務(wù)器統(tǒng)一協(xié)調(diào)和處理它們之間的安全策略將大大加重服務(wù)器的負擔�。
當前的大多數(shù)電子商務(wù)系統(tǒng)都采用了結(jié)合硬件防火墻、軟件防火墻和防病毒軟件等�����。這些措施只提供了被動的�、有限的安全防范能力,并不能滿足多模塊��、多子系統(tǒng)的電子商務(wù)實驗室的要求�。并且這種解決方案缺少主動性和自我維護能力。
利用軟件Agent的智能處理能力來解決各模塊間的安全通信是一個很好的選擇���,軟件Agent是一種計算機程序����,具有反應(yīng)性���、自治性和目標性等特點���,能夠獨立地跟環(huán)境進行交互或代表用戶完成給定的目標。它不僅能對各模塊的通信狀況進行高度監(jiān)控����,而且各Agent能多層面的獨立實現(xiàn)�,各Agent之間也能相互協(xié)調(diào)��、統(tǒng)一調(diào)度�。
三、基于軟件Agent的電子商務(wù)實驗室安全設(shè)計
本人主持研究河北大學(xué)教改青年基金項目――基于LINUX的電子商務(wù)實驗室(項目編號為:0575)���,此實驗室服務(wù)器連接校園網(wǎng)���,校園網(wǎng)又和互聯(lián)網(wǎng)相連,因此服務(wù)器較容易成為被攻擊或入侵的對象����,所以本系統(tǒng)利用Agent技術(shù)來提高實驗室的安全性�。Agent可對用戶的請示進行過濾,減少用戶直接訪問實驗室服務(wù)器所帶來的安全風(fēng)險�����,同時可更方便地實現(xiàn)一些動態(tài)的安全策略�����。
1.基于軟件Agent的安全設(shè)計模型
本實驗室的Agent體系設(shè)計是分層次、分等級的結(jié)構(gòu)�����,層次或等級根據(jù)系統(tǒng)的功能來劃分��,如圖1所示�����。
圖1 Agent的安全等級結(jié)構(gòu)
每個平臺由一個安全監(jiān)控Agent負責管理本平臺的安全���,如有問題通知報警Agent���,報警Agent會及時反饋給Agent安全管理中心的Agent進行相應(yīng)處理,比如:退出登陸重新驗證身份等����。身份認證Agent負責對訪問用戶進行身份驗證;授權(quán)Agent根據(jù)對已經(jīng)通過身份認證Agent的用戶進行授權(quán)����,不同類型的登陸用戶授權(quán)策略不同,實驗的角色不同�,授權(quán)的策略也不同�,比如���,B2C實驗中��,一位剛剛初始化的Customer(學(xué)生登錄身份)����,授權(quán)內(nèi)容中將包括B2C的買方界面����,并且授權(quán)Agent指示電子銀行模塊自動給實驗者初始資產(chǎn)一萬元作為實驗的資本,當然還有其他一些授權(quán)�����;跟蹤Agent將全程跟蹤用戶的操作并詳細記錄到日志文件��。
2.軟件Agent的安全解決方案
移動Agent需要在不同的主機上遷移�����,實驗室服務(wù)器是LINUX環(huán)境��,而客戶端往往是學(xué)生比較熟悉的windows操作環(huán)境�,所以這里選擇跨平臺的J2EE開發(fā)本系統(tǒng)。J2EE不僅提供了一套安全機制���,而且移動Agent中的許多功能在Java中有直接的對應(yīng)實現(xiàn)�。移動Agent狀態(tài)的移動可以用Java對象的串行化表示���;Agent代碼的移動用字節(jié)碼傳遞和加載���;Agent運行上下文可用方法的控制流表示等等,具體的方案有以下幾點:
(1)利用Java的字節(jié)碼驗證器保證Agent的正確性����。字節(jié)碼驗證器可以檢測Agent的程序代碼是否被破壞,然后采取相應(yīng)的措施���。
(2)利用Java的類裝載器�、命名空間和線程組來實現(xiàn)動態(tài)Agent的隔離�����?��?梢园褟牟煌瑏碓摧d入的類隔離到不同的命名空間中���,一個Agent不可能用它自己的類冒名頂替另一Agent的類��,這樣可以防止破壞性代碼訪問正常的代碼�����,從而保證了Agent之間的安全��。另外��,每當一個新Agent到達后�����,就為其建立一個線程組��。任何執(zhí)行該Agent的線程其組號是相同的��。那么��,只要為這個線程組分配權(quán)限��,即為該Agent分配了權(quán)限����,就實現(xiàn)了Agent與主機的隔離。
(3)采用數(shù)字簽名和加密算法實現(xiàn)Agent的傳輸與驗證�����。系統(tǒng)對外來的Agent的身份進行數(shù)字簽名驗證��,確定其是否為可信Agent�。同時還可以利用Java加密擴展機制和Java安全套接字擴展機制結(jié)合來實現(xiàn)將Agent代碼數(shù)據(jù)進行壓縮后加密處理,經(jīng)過壓縮不僅降低了網(wǎng)絡(luò)流量�,而且也大大增加了破譯該數(shù)據(jù)的難度。
3.軟件Agent的實現(xiàn)
本系統(tǒng)的軟件Agent的實現(xiàn)平臺采用Aglet�。Aglet為開放源碼項目,用戶不用考慮侵權(quán)問題���。Aglet完全由Java編寫��,具有很高的移植性���。Aglet包含了一個運行移動Agent的服務(wù)器和一套類庫,基于它開發(fā)者可以進一步開發(fā)各種Agent的應(yīng)用����。Aglet的系統(tǒng)架構(gòu)主要分為四個階段,如圖2所示�����。
圖2 Aglet系統(tǒng)架構(gòu)
當一個正在執(zhí)行的Aglet將自己送到遠程端口時,會對Aglet Runtime層發(fā)出請求���,然后把Aglet的狀態(tài)與程序代碼序列化(serialized )成字節(jié)數(shù)組(byte array)����,若是請求成功����,系統(tǒng)會將Aglet的執(zhí)行動作結(jié)束,然后將序列化數(shù)組傳送至ATCI(Agent Transport and Communication Interface)層處理�����。
Agent安全管理中心統(tǒng)一管理各個安全Agent的基本行為:如產(chǎn)生(Create)�����、復(fù)制(Clone)Agents ���,或分派(Dispatch)Agents 到遠端工作站�����、召回(Retract)遠端的Agents�,或暫停(Deactive)����、喚醒(Active)Agents,以及移除(Dispose)Agents等�,如圖3所示,不管是何種Agent均繼承Aglet類����,可以通過覆蓋父類的方法來實現(xiàn)自己的“特殊要求”。
圖3 Agent的對象模型
各監(jiān)控Agent由管理中心分派到各個實驗平臺進行監(jiān)控��,等客戶端做完實驗后正常退出�,然后移除Agent監(jiān)控對象,如果出現(xiàn)安全問題�����,傳遞消息給報警Agent對象����,再交由Agent管理中心負責進一步處理。
參考文獻:
[1]Jian Li,Guo-yin Zhang Gu, A Workflow System Based Architecture for Network Attack Resistant System,GCC2003, LNCS3032, pp.980~983,2004
第5篇
關(guān)鍵詞:電子商務(wù);網(wǎng)站開發(fā);安全策略;網(wǎng)站性能;網(wǎng)站部署
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2010) 09-0000-01
E-commerce Site Construction Safety Research and Practice
Guo Bin
(Hunan Xiangtan Education College,Xiangtan411100,China)
Abstract:With the network technology continues to progress and development,gave birth to the birth of electronic commerce,its high efficiency and low cost advantages to grow quickly.As a new e-commerce trading,enterprises and users use a more convenient and intuitive information exchange platform has gradually become a new impetus to economic growth.
How the advantages of internet to establish a secure operating environment,protection of trade for both information security,a depth of e-commerce process,a problem can not be ignored.
Keywords:Electronic commerce;Web development;Security policy;Site performance;Site deployment
近幾年,電子商務(wù)的蓬勃發(fā)展已經(jīng)成為經(jīng)濟增長的重要組成部分。作為一種新興的交易方式,電子商務(wù)效率高����、成本低的運作優(yōu)勢已經(jīng)逐步得到公眾的認可。然而,作為借助網(wǎng)絡(luò)依托而產(chǎn)生的交易方式,網(wǎng)上的信息安全成為了制約電子商務(wù)發(fā)展的最大難題��。因此,如何結(jié)合網(wǎng)絡(luò)安全措施,確保企業(yè)網(wǎng)上信息的完整性和交易客戶信息的私密性,是電子商務(wù)網(wǎng)絡(luò)平臺應(yīng)該提供的最基本安全保障����。建立起安全、便捷�、友好的交易界面,增加產(chǎn)品信息的開放性,是電子商務(wù)走向繁榮的必經(jīng)之路。
一�、電子商務(wù)網(wǎng)站建設(shè)過程中的安全性研究與實現(xiàn)
電子商務(wù)網(wǎng)站的建設(shè)不僅要考慮到企業(yè)信息的開放性,也要考慮到交易過程的私密性。借助計算機網(wǎng)絡(luò)提供的便捷服務(wù),要建立在信息交互保密的基礎(chǔ)上,在網(wǎng)站的設(shè)計��、開發(fā)和投入使用過程中只有解決了根本上運營保障問題,才能夠發(fā)揮電子商務(wù)強大的功能力量,成為企業(yè)與用戶雙向選擇的焦點所在�。
(一)敏感字段的加密過程
任何一個電子商務(wù)網(wǎng)站,從根本上來講是一個信息交互的平臺,只有實現(xiàn)了信息傳輸?shù)陌踩Wo,才能夠完成電子商務(wù)網(wǎng)站的基本構(gòu)建。在網(wǎng)絡(luò)上的信息,要防止非法的肆意篡改,對于電子商務(wù)網(wǎng)站還包括了用戶之間交易時私密信息被竊取的風(fēng)險,這些都是網(wǎng)絡(luò)數(shù)據(jù)傳輸中不可避免的問題,只有從信息安全技術(shù)手段上進行改進,對電子商務(wù)網(wǎng)站上的信息進行加密處理,才可能避免以上情況的發(fā)生,降低用戶因信息丟失造成損失的風(fēng)險�。采用敏感字段加密技術(shù),對瀏覽器的客戶端采用數(shù)字安全證書認證的方式,對用戶的身份、信息和訪問級別進行識別,一方面保證了用戶信息的私密性,另一方面也保護了網(wǎng)站上信息的安全�����。此外,由于敏感字段被加密,即便出現(xiàn)了信息被截取或盜取的情況,也由于難以破解加密的密文,而免于重要信息的泄露風(fēng)險�。
(二)數(shù)據(jù)存儲與查詢的效率性
消費者對電子商務(wù)網(wǎng)站的訪問,大部分操作是以信息查詢?yōu)橹?提高網(wǎng)站信息的查詢效率和檢索信息的準確性,可以在極大程度上促進企業(yè)與消費者的交易成功率����。每個消費者都有各自的消費主張和產(chǎn)品性能關(guān)注點,因此,電子商務(wù)網(wǎng)站就是要在數(shù)據(jù)存儲過程中盡量避免冗余信息的錄入,造成查詢效率低下,降低電子商務(wù)的功效性��。因此,要嚴格遵守數(shù)據(jù)庫的設(shè)計規(guī)范,將網(wǎng)上的信息關(guān)鍵字與敏感字段系統(tǒng)的編輯起來,提高數(shù)據(jù)存儲空間的使用效率��。
(三)硬件密鑰與身份確認
為了保護Web頁面信息的安全,應(yīng)采取網(wǎng)頁內(nèi)嵌ActiveX控件的形式,結(jié)合硬件密鑰來共同工作,保護網(wǎng)頁信息與用戶發(fā)出信息的安全����。在用戶瀏覽網(wǎng)站產(chǎn)生數(shù)據(jù)流的同時,可以啟動ActiveX的自動下載,也可以在客戶界面彈出詢問對話框,確認ActiveX的運行,提醒用戶網(wǎng)頁的保護狀態(tài)�����。硬件密鑰內(nèi)包含了用戶的私人信息,連接到Web頁面上,經(jīng)過認證后,就可以保證交易過程的順暢進行��。
(四)部署安裝中的安全性實現(xiàn)
電子商務(wù)的技術(shù)支持基礎(chǔ)來源于計算機技術(shù)與網(wǎng)絡(luò)技術(shù)的結(jié)合,信息安全一直是一個此消彼長的過程,安全問題的不斷暴露,也促使了計算機安全與網(wǎng)絡(luò)技術(shù)的不斷成熟�����。一旦在基礎(chǔ)的支持技術(shù)出現(xiàn)了發(fā)展滯后的情況,就等于是在自身的網(wǎng)站建設(shè)上將問題暴露人前,給信息竊取提供了可乘之機����。對服務(wù)器的監(jiān)控和服務(wù)器操作系統(tǒng)的安全升級,是整個網(wǎng)站部署安裝過程中的安全保障根本,同時限制用戶對服務(wù)器的訪問權(quán)限,杜絕賬戶劃分不適當帶來的用戶權(quán)限過大,帶來威脅網(wǎng)站服務(wù)器安全的情況發(fā)上。具體劃分為FTP組,MAIL組,DNS組等,他們之間沒有交叉,管理員帳戶只有一個,并且密碼每周需要更換,其他組用戶密碼也要定期更換,以防止密碼丟失���。此外,也要分離各功能服務(wù)器獨立運轉(zhuǎn)系統(tǒng),預(yù)防某一功能故障而引發(fā)整個系統(tǒng)的崩潰��。服務(wù)器與網(wǎng)絡(luò)的連接必然會遭受到網(wǎng)絡(luò)上病毒與漏洞的攻擊,要采用強大的殺毒軟件全面保護服務(wù)器系統(tǒng)內(nèi)部的安全,隔離病毒感染����、及時修復(fù)、監(jiān)控系統(tǒng)漏洞���。
二����、結(jié)語
針對電子商務(wù)網(wǎng)絡(luò)信息傳輸?shù)奶攸c,分析了電子商務(wù)網(wǎng)站建設(shè)過程中的安全問題,在網(wǎng)站的基礎(chǔ)構(gòu)建過程中,重視信息安全的保護,提高電子商務(wù)應(yīng)用的安全性�。結(jié)合計算機技術(shù)與網(wǎng)絡(luò)技術(shù)的發(fā)展趨勢與技術(shù)支持方式,從數(shù)據(jù)加密、傳輸加密�����、電子簽名和數(shù)據(jù)庫安全等環(huán)節(jié)入手,全面提高電子商務(wù)網(wǎng)站的防攻擊抵抗能力,全面考慮網(wǎng)站開發(fā)和應(yīng)用過程中可能遇到的各種安全問題,予以有效解決,打造一個安全��、便捷的交易平臺,建造一個人性化的交易環(huán)境,為經(jīng)濟發(fā)展提供新的動力來源���。
參考文獻:
[1]方美琪.電子商務(wù)概論[M].北京:清華人學(xué)出版社.2009:12-13
[2]賈偉.網(wǎng)絡(luò)與電子商務(wù)安全[M].北京:國防工業(yè)出版社.2009:23-24
第6篇
[關(guān)鍵詞] 電子商務(wù)信息加密案例教學(xué)
目前電子商務(wù)安全問題已經(jīng)成為制約電子商務(wù)快速發(fā)展的障礙�。因此,了解和掌握安全技術(shù),已經(jīng)成為從事電子商務(wù)人員的必備知識�����。為此,目前很多高校電子商務(wù)專業(yè)都開設(shè)了《電子商務(wù)安全技術(shù)》課程。如何針對該課程的特點使學(xué)生掌握安全知識和技術(shù),是教師在課程設(shè)計中最為重視的問題��。筆者結(jié)合該課程的講授經(jīng)驗,從教學(xué)內(nèi)容�����、教學(xué)方法�����、實驗教學(xué)等方面進行了探索����。
一����、課程特點
《電子商務(wù)安全技術(shù)》課程是電子商務(wù)專業(yè)的專業(yè)課程。該課程的目標是要求學(xué)生在掌握基本概念和理論的基礎(chǔ)上,結(jié)合實際問題,在電子商務(wù)的實施中應(yīng)用有關(guān)技術(shù)為具體商務(wù)過程的實現(xiàn)提供安全保障�。該課程內(nèi)容非常龐雜且綜合性強,包括信息加密技術(shù)、計算機網(wǎng)絡(luò)安全技術(shù)�、電子支付技術(shù)等。
該課程的突出問題是學(xué)習(xí)內(nèi)容多,課時少�。僅計算機網(wǎng)絡(luò)安全技術(shù)一項內(nèi)容,就是一門獨立的課程��。然而該課程安排課時為44學(xué)時�。因此,在有限的學(xué)時內(nèi),不可能詳細講解所有內(nèi)容��。為此,我們精心設(shè)計教學(xué)內(nèi)容和實驗,采用小組討論�、案例教學(xué)等教學(xué)方法,取得了不錯的效果。
二���、教學(xué)內(nèi)容設(shè)計
《電子商務(wù)安全技術(shù)》課程的教學(xué)內(nèi)容包括以下8個部分:電子商務(wù)安全概述���、信息加密技術(shù)、計算機網(wǎng)絡(luò)安全技術(shù)�、公鑰基礎(chǔ)設(shè)施(PKI)、電子支付技術(shù)���、電子商務(wù)安全交易協(xié)議���、安全電子商務(wù)應(yīng)用、其他電子商務(wù)安全技術(shù)���。教學(xué)內(nèi)容的設(shè)計原則如下:
1.重視信息加密技術(shù)�����。信息加密技術(shù)是其他技術(shù)的核心,是電子商務(wù)安全的基石�����。在教學(xué)過程中,應(yīng)該把對稱加密和非對稱加密的原理���、特點講透����。對于對稱加密可首先以愷撒密碼�����、換位密碼算法為例來講解,這些算法簡單,學(xué)生理解起來較為容易�����。而對于非對稱加密算法,可以RSA算法為例來講解,讓學(xué)生能理解該算法的優(yōu)點和不足��。學(xué)會了加密技術(shù),在理解數(shù)字簽名����、公鑰基礎(chǔ)設(shè)施等這些應(yīng)用加密算法的技術(shù)時就會容易得多�����。
2.重視計算機網(wǎng)絡(luò)安全技術(shù)。電子商務(wù)是基于Internet網(wǎng)絡(luò)的商務(wù)模式,因此,電子商務(wù)的安全是以計算機網(wǎng)絡(luò)的安全性為基礎(chǔ)的�����。因此,在教學(xué)過程中,必須教導(dǎo)學(xué)生重視計算機網(wǎng)絡(luò)安全技術(shù),必須掌握基本的網(wǎng)絡(luò)安全攻防體系�����、防火墻����、虛擬專用網(wǎng)、入侵檢測系統(tǒng)等網(wǎng)絡(luò)安全的主要技術(shù)和解決方案�����。
3.加強流行技術(shù)和新技術(shù)的講解�����。電子商務(wù)安全相關(guān)的新技術(shù)不斷涌現(xiàn)����。例如,在電子支付技術(shù)中,除了信用卡電子支付�����、電子支票�、電子現(xiàn)金支付方法,比較流行的還有支付寶等第三方支付方法;隨著移動電子商務(wù)的流行,無線電子商務(wù)安全技術(shù)逐漸被人們所重視;信息隱藏技術(shù)�����、數(shù)字水印技術(shù)和數(shù)字版權(quán)保護等新技術(shù)已成為了非常熱門的話題�����。在教學(xué)中,可簡單介紹這些新技術(shù),學(xué)生根據(jù)自己的興趣進一步跟蹤和探索��。
三���、教學(xué)方法
教學(xué)方式主要采用多媒體教學(xué)����。在多媒體課件的設(shè)計上,主要以設(shè)置問題��、討論解答的方式來引出各個知識點,以便激發(fā)學(xué)生的求知欲����。提出問題后,可以組織學(xué)生分組討論,或者師生共同討論來給出問題的答案,并總結(jié)知識點。
根據(jù)教學(xué)內(nèi)容的不同,采用靈活多樣的教學(xué)方法,如小組討論��、案例教學(xué)等�。比如:在講解電子支付時,先在課前布置學(xué)生收集5個國內(nèi)電子商務(wù)網(wǎng)站的電子支付方式,而后在課堂上進行小組討論,結(jié)合實際情況來加深學(xué)生對知識點的掌握。在講解網(wǎng)絡(luò)防火墻技術(shù)時,收集某連鎖店網(wǎng)絡(luò)和九運會防火墻配置案例,讓學(xué)生更加直觀地理解防火墻的實際應(yīng)用情況����。
四、實驗內(nèi)容
實驗教學(xué)是為學(xué)生理解課程內(nèi)容而設(shè)計的�。通過實驗教學(xué)的實施,使學(xué)生掌握課程內(nèi)容,以及電子商務(wù)安全技術(shù)的操作與配置方法。實驗設(shè)計的原則是:
1.強調(diào)基礎(chǔ)��。結(jié)合學(xué)習(xí)內(nèi)容的各主要知識點來設(shè)計實驗�。通過實驗,讓學(xué)生理解各知識點,并會加以運用。
2.既有驗證性實驗,也有設(shè)計性實驗�。通過驗證性實驗,掌握各個技術(shù)。通過設(shè)計性實驗,綜合應(yīng)用各種技術(shù),培養(yǎng)學(xué)生解決實際問題的能力�。
根據(jù)上述原則,我們設(shè)計了7個實驗,如下表所示。
其中實驗1屬于調(diào)查分析類,該實驗的目的是通過調(diào)查分析當前大型電子商務(wù)網(wǎng)站,掌握常用的安全措施�����。具體要求是了解2個國內(nèi)大型電子商務(wù)網(wǎng)站如eBay網(wǎng)�����、淘寶網(wǎng)的電子商務(wù)安全措施。
實驗2到實驗6是屬于操作性和驗證性的實驗��。通過實際操作,理解課堂所學(xué)的理論知識,并進一步掌握各種電子商務(wù)安全技術(shù)的應(yīng)用方法�����。實驗3中的防火墻��、VPN�����、入侵檢測這三個內(nèi)容,由于課時的關(guān)系,可以把防火墻作為重點,其他兩個作為課下作業(yè)����。
實驗7是設(shè)計某小型電子商務(wù)系統(tǒng)的安全解決方案,這是一個設(shè)計性實驗。該實驗需要綜合運用各種安全技術(shù),并寫出方案報告�。
五、學(xué)習(xí)效果
在教學(xué)實踐過程中,學(xué)生實驗報告�、案例分析報告都撰寫得不錯。同時本課程很受學(xué)生歡迎,取得了令人滿意的教學(xué)效果���。
參考文獻:
[1]張愛菊:電子商務(wù)安全技術(shù)[M].北京:清華大學(xué)出版社,2006
第7篇
關(guān)鍵詞:實踐教學(xué);教學(xué)改革;教育質(zhì)量
中圖分類號:G642.4 文獻標志碼:A 文章編號:1674-9324(2013)35-0039-02
伴隨著知識經(jīng)濟的興起��,高等教育的歷史使命和人才培養(yǎng)目標發(fā)生了巨大變化��,創(chuàng)新教育成為各國教育改革的主題��。為了適應(yīng)創(chuàng)新教育�,培養(yǎng)創(chuàng)新型人才,教育教學(xué)的傳統(tǒng)方式必須變革[1]�����。中央和各級政府教育行政部門����、各高等學(xué)校十分重視對大學(xué)生實踐和創(chuàng)新能力的培養(yǎng),教育部把實踐教學(xué)作為高校本科教學(xué)工作水平評估的關(guān)鍵指標之一�,各高等學(xué)校采取切實有效措施,積極開展實踐教學(xué)改革��,多渠道籌措經(jīng)費加大實驗室建設(shè)投入�����,極大地改善了實驗教學(xué)條件��,對提高學(xué)生的實踐創(chuàng)新能力產(chǎn)生了積極影響[2]。
一����、實踐教學(xué)體系概述
實踐教學(xué)指具有實踐性的教學(xué)活動。實踐教學(xué)存在于整個教學(xué)過程之中��,包括理論實踐教學(xué)和社會實踐教學(xué)�����。要做好實踐教學(xué)工作�����,首先應(yīng)該建立并完善實踐教學(xué)體系�,通常實踐教學(xué)體系分為實踐教學(xué)目標體系、實踐教學(xué)內(nèi)容體系��、實踐教學(xué)管理體系��、實踐教學(xué)保障體系和實踐教學(xué)評價體系����。實踐教學(xué)體系的建設(shè)應(yīng)該遵循以下幾個原則:
1.特色性原則:確立以素質(zhì)教育為核心,技術(shù)應(yīng)用能力培養(yǎng)為主線����,應(yīng)變能力培養(yǎng)為關(guān)鍵��,產(chǎn)學(xué)研結(jié)合為途徑,與時俱進的人才教育培養(yǎng)模式是實踐教學(xué)體系構(gòu)建中遵循的原則�����。
2.實用型原則:實踐教學(xué)體系的構(gòu)建��,要充分體現(xiàn)專業(yè)崗位的要求�,與專業(yè)崗位群發(fā)展緊密相關(guān)。以此為原則組成一個層次分明�����、分工明確的實踐教學(xué)體系�����。
3.混合型原則:混合型體現(xiàn)在教師類型的混合�����、理論教學(xué)和實踐教學(xué)的混合�、教室與實驗室的混合等方面���,淡化理論教學(xué)與實踐教學(xué)、專業(yè)教師與實踐指導(dǎo)教師����、教室與實驗室的界限,打破原來按學(xué)科設(shè)置實驗室的傳統(tǒng)布局����,對實踐教學(xué)設(shè)施進行重新整合,形成一體化混合實踐教學(xué)模式��。
實踐教學(xué)體系的目標是:以職業(yè)能力培養(yǎng)為主線���,使學(xué)生獲得實踐知識���、開闊眼界,豐富并活躍學(xué)生的思想���,加深對理論知識的理解掌握�����,進而在實踐中對理論知識進行修正���、拓展和創(chuàng)新����。在確定具體課程實踐教學(xué)體系目標的前提下��,如何有針對性地設(shè)置具體的實踐教學(xué)內(nèi)容尤為重要�。實踐教學(xué)的內(nèi)容是實踐教學(xué)目標任務(wù)的具體化��,將實踐教學(xué)環(huán)節(jié)通過合理配置���,構(gòu)建成以技術(shù)應(yīng)用能力培養(yǎng)為主體��,按基本技能���、專業(yè)技能和綜合技術(shù)應(yīng)用能力等層次,循序漸進地安排實踐教學(xué)內(nèi)容��,將實踐教學(xué)的目標和任務(wù)具體落實到各個實踐教學(xué)環(huán)節(jié)中�,讓學(xué)生在實踐教學(xué)中掌握必備的、完整的��、系統(tǒng)的技能和技術(shù)[3]����。
二����、電子商務(wù)安全實踐教學(xué)內(nèi)容設(shè)置
電子商務(wù)安全課程是新興的邊緣交叉性課程�����,是在網(wǎng)絡(luò)安全的基礎(chǔ)上結(jié)合電子商務(wù)的領(lǐng)域的實際應(yīng)用發(fā)展而來的一門具有一定針對性的課程�,也是電子商務(wù)專業(yè)學(xué)生的一門專業(yè)主干課程?�?紤]到經(jīng)營管理活動中計算機的普及和網(wǎng)絡(luò)通信的快速發(fā)展���,該課程是作為21世紀大學(xué)生尤其是電子商務(wù)專業(yè)的學(xué)生應(yīng)該了解�����、掌握的一門學(xué)科�����,通過該課程的教學(xué)�,學(xué)生初步了解電子商務(wù)安全的內(nèi)涵和電子商務(wù)支付系統(tǒng)的構(gòu)成,并且對網(wǎng)絡(luò)常見的攻擊手段��、主要安全產(chǎn)品的功能�����、常用的電子支付工具等進行了解��,以解決實際應(yīng)用中遇到的問題[4]����。
1.實驗項目安排��。本課程實踐教學(xué)部分主要讓學(xué)生對電子商務(wù)安全與支付在理論和實踐上有一個全面的認識���。要求學(xué)生通過大綱中的實驗設(shè)置���,了解電子商務(wù)安全與支付的現(xiàn)實環(huán)境;了解電子商務(wù)客戶機和服務(wù)器的安全設(shè)置�;熟悉基本的電子支付工具的使用,掌握數(shù)字證書的申請�、安裝和使用流程;了解SSL證書的申請流程�。針對本課程的培養(yǎng)目標進行合理的實驗教學(xué)安排,具體實驗項目如表1所示。
2.實驗項目的具體內(nèi)容�。實驗1:了解電子商務(wù)安全與支付的現(xiàn)實環(huán)境:通過本次實驗了解中國互聯(lián)網(wǎng)發(fā)展狀況,特別是有關(guān)電子商務(wù)發(fā)展的現(xiàn)狀���,認真體會�,結(jié)合自己課余所見的實際情況進行總結(jié)��。實驗內(nèi)容:閱讀比較CNNIC最新的《中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》中關(guān)于安全支付的數(shù)據(jù)及分析���,了解中國電子商務(wù)發(fā)展的現(xiàn)狀��。實驗2:電子商務(wù)客戶機安全:通過本次實驗了解電子商務(wù)客戶機存在的安全風(fēng)險及對應(yīng)的安全措施�。實驗內(nèi)容:防病毒軟件的安裝和使用�����、IE對安全區(qū)的設(shè)置����、檢測活動內(nèi)容、處理cookie����。實驗3:中銀電子錢包及網(wǎng)上銀行:通過本次實驗了解電子錢包��、電子信用卡在網(wǎng)上支付中的功能及使用過程�����。實驗內(nèi)容:中銀電子錢包的使用�、個人網(wǎng)上銀行專業(yè)版的設(shè)置及使用��。實驗4:個人數(shù)字證書:通過本次實驗了解數(shù)字證書的基本類型�,個人數(shù)字證書的下載安裝。實驗內(nèi)容:個人數(shù)字證書的下載�、安裝、查看�����、導(dǎo)入和導(dǎo)出��。實驗5:SSL證書申請:通過本次實驗了解利用Microsoft IIS Web Server申請SSL證書的基本流程����。實驗內(nèi)容:在Microsoft IIS上生成公私鑰對和證書請求����、保存證書請求文件、安裝CA中心的根證書、安全Web Server證書�。
電子商務(wù)安全是一門實踐性很強的課程,有難度且極具挑戰(zhàn)性���,因此�,電子商務(wù)安全的實踐教學(xué)應(yīng)該根據(jù)學(xué)生的實際情況酌情安排�����。筆者在幾年的課程教學(xué)過程中嘗試了一些改進本課程教學(xué)的方法���?����?偨Y(jié)得出:最優(yōu)方式是讓學(xué)生置身于其中����,讓學(xué)生積極參與其中�����,享受創(chuàng)造的樂趣����。經(jīng)過對本實踐課程安排前后的對比發(fā)現(xiàn)����,學(xué)生對本課程的興趣有極大提高����,對理論教學(xué)部分的理解也大大加深。
參考文獻:
[1]曹鳳月.課堂實踐教學(xué):高校實踐教學(xué)的基礎(chǔ)環(huán)節(jié)[J].中國勞動關(guān)系學(xué)院學(xué)報�,2009,4(23):106-109.
[2]鄭春龍���,邵紅艷.以創(chuàng)新實踐能力培養(yǎng)為目標的高校實踐教學(xué)體系的構(gòu)建與實施[J].中國高教研究����,2007���,(4):85-86.
[3]朱正偉��,劉東燕,何敏.加強高校實踐教學(xué)的探索與實踐[J].中國大學(xué)教育�����,2007,(2):76-78.
