網(wǎng)絡(luò)安全電子商務(wù)技術(shù)論文(2)
網(wǎng)絡(luò)安全電子商務(wù)技術(shù)論文篇二
電子商務(wù)網(wǎng)絡(luò)安全技術(shù)
[摘要] 電子商務(wù)的發(fā)展前景十分誘人,而其安全問(wèn)題也是變得越來(lái)越突出,如何建立一個(gè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境,對(duì)信息提供足夠的保護(hù),已經(jīng)成為商家和用戶都十分關(guān)心的話題。
[關(guān)鍵詞] 安全管理 監(jiān)控 審計(jì) 安全構(gòu)架
電子商務(wù)是通過(guò)電子方式處理和傳遞數(shù)據(jù),包括文本、聲音和圖像,它涉及許多方面的活動(dòng),包括貨物電子貿(mào)易和服務(wù)、在線數(shù)據(jù)傳遞、電子資金劃撥、電子證券交易、電子貨運(yùn)單證、商品拍賣(mài)、合作設(shè)計(jì)和工程、在線資料、公共產(chǎn)品獲得等內(nèi)容。電子商務(wù)的發(fā)展勢(shì)頭非常驚人,但它的產(chǎn)值在全球生產(chǎn)總值中卻只占極小的一部分,原因就在于電子商務(wù)的安全問(wèn)題,美國(guó)密執(zhí)安大學(xué)的一個(gè)調(diào)查機(jī)構(gòu)通過(guò)對(duì)23000名因特網(wǎng)用戶的調(diào)查顯示:超過(guò)60%的人由于擔(dān)心電子商務(wù)的安全問(wèn)題而不愿意進(jìn)行網(wǎng)上購(gòu)物。因此,從傳統(tǒng)的基于紙張的貿(mào)易方式向電子化的貿(mào)易方式轉(zhuǎn)變過(guò)程中,如何建立一個(gè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境,對(duì)信息提供足夠的保護(hù),已經(jīng)成為影響到電子商務(wù)健康發(fā)展的關(guān)鍵性課題。
一、與網(wǎng)絡(luò)安全相關(guān)的因素
網(wǎng)絡(luò)安全從本質(zhì)上講就是網(wǎng)絡(luò)上信息的安全,包括靜態(tài)信息的存儲(chǔ)安全和信息的傳輸安全。從廣義上講,凡是涉及網(wǎng)絡(luò)上信息的保密性、完整心、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。因此為保證網(wǎng)絡(luò)的安全,必須保證一下四個(gè)方面的安全:
1.運(yùn)行系統(tǒng)的安全;
2.網(wǎng)絡(luò)上系統(tǒng)信息的安全;
3.網(wǎng)絡(luò)上信息傳播安全;
4.網(wǎng)絡(luò)上信息內(nèi)容的安全。
為了保證這些方面的安全,大家通常會(huì)使用一些網(wǎng)絡(luò)安全產(chǎn)品,如防火墻、、數(shù)字簽名等,這些安全產(chǎn)品和技術(shù)的使用樂(lè)意從一定程度上滿足網(wǎng)絡(luò)安全需求,但不能滿足整體的安全需求,因?yàn)樗鼈冎荒鼙Wo(hù)特定的某一方面的,而對(duì)于網(wǎng)絡(luò)系統(tǒng)來(lái)講,它需要的是一個(gè)整體的安全策略,這個(gè)策略不僅包括安全保護(hù),它還應(yīng)該包括安全管理、實(shí)時(shí)監(jiān)控、響應(yīng)和恢復(fù)措施,因?yàn)槟壳皼](méi)有絕對(duì)的安全,無(wú)論你的網(wǎng)絡(luò)系統(tǒng)布署的如何周密,你的系統(tǒng)總會(huì)有被攻擊和攻破的可能,而這時(shí)你會(huì)怎么半呢?采用一些恢復(fù)措施,幫助你在最短的時(shí)間使網(wǎng)絡(luò)系統(tǒng)恢復(fù)正常工作恐怕是最主要的了。因此在構(gòu)筑你的網(wǎng)絡(luò)安全解決方案中一定要注重一個(gè)整體的策略,下面我們將介紹一種整體的安全構(gòu)架。
二、電子商務(wù)安全的整體構(gòu)架
我們介紹的電子商務(wù)構(gòu)架概括為“一個(gè)中心,四個(gè)基本點(diǎn)”。一個(gè)中心就是以安全管理為中心,四個(gè)基本點(diǎn)是保護(hù)、監(jiān)控、響應(yīng)和恢復(fù)。這樣一種構(gòu)架機(jī)制囊括了從保護(hù)到在線監(jiān)控,到響應(yīng)和恢復(fù)的各個(gè)方面,是一種層層防御的機(jī)制,因此這種構(gòu)架可以為用戶構(gòu)筑一個(gè)整體的安全方案。
1.安全管理。安全管理就是通過(guò)一些管理手段來(lái)達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。它所包含的內(nèi)容有安全管理制度的制定、實(shí)施和監(jiān)督,安全策略的制定、實(shí)施、評(píng)估和修改,以及對(duì)人員的安全意識(shí)的培訓(xùn)、教育等。
2.保護(hù)。保護(hù)就是采用一些網(wǎng)絡(luò)安全產(chǎn)品、工具和技術(shù)保護(hù)網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)和用戶。這種保護(hù)可以稱(chēng)作靜態(tài)保護(hù),它通常是指一些基本防護(hù),不具有實(shí)時(shí)性,因此我們就可以在防火墻的規(guī)則中加入一條,禁止所有從外部網(wǎng)用戶到內(nèi)部網(wǎng)WEB服務(wù)器的連接請(qǐng)求,這樣一旦這條規(guī)則生效,它就會(huì)持續(xù)有效,除非我們改變了這條規(guī)則。這樣的保護(hù)可以預(yù)防已知的一些安全威脅,而且通常這些威脅不會(huì)變化,所以稱(chēng)為靜態(tài)保護(hù)。
3.監(jiān)控/審計(jì)。監(jiān)控就是實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)上正在發(fā)生的事情,這是任何一個(gè)網(wǎng)絡(luò)管理員都想知道的,審計(jì)一直被認(rèn)為是經(jīng)典安全模型的一個(gè)重要組成部分。審計(jì)是通過(guò)記錄下通過(guò)網(wǎng)絡(luò)的所有數(shù)據(jù)包,然后分析這些數(shù)據(jù)包,幫助你查找已知的攻擊手段,可疑的破壞行為,來(lái)達(dá)到保護(hù)網(wǎng)絡(luò)的目的。
監(jiān)控和審計(jì)是實(shí)時(shí)保護(hù)的一種策略,它主要滿足一種動(dòng)態(tài)安全的需求。因?yàn)榫W(wǎng)絡(luò)安全技術(shù)在發(fā)展的同時(shí),黑客技術(shù)也在不斷的發(fā)展,因此網(wǎng)絡(luò)安全不是一層不變的,也許今天對(duì)你來(lái)說(shuō)安全的策略,明天就會(huì)變得不安全,因此我們應(yīng)該時(shí)刻關(guān)注網(wǎng)絡(luò)安全的發(fā)展動(dòng)向以及網(wǎng)絡(luò)上發(fā)生的各種各樣的事情,以便及時(shí)發(fā)現(xiàn)新的攻擊,制定新的安全策略。有些人可能會(huì)認(rèn)為這樣就不需要基本的安全保護(hù),這種想法是錯(cuò)誤的,因?yàn)榘踩Wo(hù)是基本,監(jiān)控和審計(jì)是其有效的補(bǔ)充,只有這兩者有效結(jié)合,才能夠滿足動(dòng)態(tài)安全的需要。
4.響應(yīng)。響應(yīng)就是當(dāng)攻擊正在發(fā)生時(shí),能夠及時(shí)做出響應(yīng),職向管理員報(bào)告,或者自動(dòng)阻斷連接等,防止攻擊進(jìn)一步的發(fā)生。響應(yīng)是整個(gè)安全架構(gòu)中的重要組成部分,為什么呢?因?yàn)榧词鼓愕木W(wǎng)絡(luò)構(gòu)筑的相當(dāng)安全,攻擊或非法事件也是不可避免的要發(fā)生的,所以當(dāng)攻擊或非法事件發(fā)生的時(shí)候,應(yīng)該有一種機(jī)制對(duì)此做出反應(yīng),以便讓管理員及時(shí)了解到什么時(shí)候網(wǎng)絡(luò)遭到了攻擊,攻擊的行為是什么樣的,攻擊結(jié)果如何,應(yīng)該采取什么樣的措施來(lái)修補(bǔ)安全策略,彌補(bǔ)這次攻擊的損失,以及防止此類(lèi)攻擊再次發(fā)生。
5.恢復(fù)。當(dāng)入侵發(fā)生后,對(duì)系統(tǒng)贊成了一定有破壞,如網(wǎng)絡(luò)不能正常工作、系統(tǒng)數(shù)據(jù)被破壞等,這時(shí),必須有一套機(jī)制來(lái)及時(shí)恢復(fù)系統(tǒng)正常工作,因此恢復(fù)電子商務(wù)安全的整體架構(gòu)中也是不可少的一個(gè)組成部分。恢復(fù)是歸終措施,因?yàn)楣艏热灰呀?jīng)發(fā)生了,系統(tǒng)也遭到了破壞,這時(shí)只有讓系統(tǒng)以最快的速度運(yùn)行起來(lái)才是最重要的,否則損失將更為嚴(yán)重。
三、安全架構(gòu)的工作機(jī)制
在這處安全架構(gòu)中,五個(gè)方面是如何協(xié)調(diào)工作的呢?下面將以一個(gè)例子一介紹。假設(shè)有一個(gè)黑客欲攻擊一內(nèi)部網(wǎng),這個(gè)內(nèi)部網(wǎng)整體安全架構(gòu)就如前面介紹的一樣,那么現(xiàn)在讓我們來(lái)看看這個(gè)安全架構(gòu)是如何工作來(lái)抵制黑客的。
1.當(dāng)這處黑客開(kāi)始缶內(nèi)部網(wǎng)發(fā)起攻擊的時(shí)候 ,在內(nèi)部網(wǎng)的最外面有一個(gè)保護(hù)屏障,如果保護(hù)屏障可以制止黑客進(jìn)入內(nèi)部網(wǎng),那么內(nèi)部網(wǎng)就不可能受到黑客的破壞,別的機(jī)制不用起作用,這時(shí)網(wǎng)絡(luò)的安全得以保證。
2.黑客通過(guò)繼續(xù)努力,可能獲得了進(jìn)入內(nèi)部網(wǎng)的權(quán)力,也就是說(shuō)他可能欺騙了保護(hù)機(jī)制而進(jìn)入內(nèi)部網(wǎng),這時(shí)監(jiān)控/審計(jì)機(jī)制開(kāi)始起作用,監(jiān)控/審計(jì)機(jī)制能夠在線看到發(fā)生在網(wǎng)絡(luò)上的事情,它們能夠識(shí)別出這種攻擊,如發(fā)現(xiàn)可疑人員進(jìn)入網(wǎng)絡(luò),這樣它們就會(huì)給響應(yīng)機(jī)制一些信息,響應(yīng)機(jī)制根據(jù)監(jiān)控/審計(jì)結(jié)果來(lái)采取一些措施,職立刻斷開(kāi)斷開(kāi)這條連接、取消服務(wù)、查找黑客通過(guò)何種手段進(jìn)入網(wǎng)絡(luò)等等,來(lái)達(dá)到保護(hù)網(wǎng)絡(luò)的目的。
3.黑客通過(guò)種種努力,終于進(jìn)入了內(nèi)部網(wǎng),如果一旦黑客對(duì)系統(tǒng)進(jìn)行了破壞,這時(shí)及時(shí)恢復(fù)系統(tǒng)可用將是最主要的事情了,這樣恢復(fù)機(jī)制就是必須的了,當(dāng)系統(tǒng)恢復(fù)完畢后,又是新一輪的安全保護(hù)開(kāi)始了。
四、結(jié)束語(yǔ)
電子商務(wù)領(lǐng)域的安全問(wèn)題一直是備受關(guān)注的問(wèn)題,因此如何更好的解決這個(gè)問(wèn)題是推進(jìn)電子商務(wù)更好更快發(fā)展的動(dòng)力。但是因?yàn)榘踩珕?wèn)題是不斷發(fā)展變化的,所以解決安全問(wèn)題的手段也會(huì)不斷變化,但變化中有不變,所以應(yīng)用這種架構(gòu)來(lái)保證電子商務(wù)的安全無(wú)疑是有效的。
看了“網(wǎng)絡(luò)安全電子商務(wù)技術(shù)論文”的人還看:
2.計(jì)算機(jī)網(wǎng)絡(luò)安全方面的論文