① 電子商務安全定義概念是什麼
電子商務安全定義:由於電子商務是在開放的網上進行的貿易,大量的商務信息計算機上存放,傳輸,從而形成信息傳輸風險 ,交易信用風險,管理方面的風險,法律方面的風險等各種風險,為了對付這種風險,從而形成了電子商務安全體系。
電子商務安全要求包括四個方面:
1、數據傳輸的安全性。對數據傳輸的安全性需求即是保證在公網上傳送的數據不被第三方竊取。對數據的安全性保護是通過採用數據加密(包括秘密密鑰加密和公開密鑰加密)來實現的,數字信封技術是結合秘密密鑰加密和公開密鑰加密技術實現的保證數據安全性的技術。
2、數據的完整性。對數據的完整性需求是指數據在傳輸過程中不被篡改。數據的完整性是通過採用安全的散列函數和數字簽名技術來實現的。雙重數字簽名可以用於保證多方通信時數據的完整性。
3、身份驗證。由於網上的通信雙方互不見面,必須在交易時(交換敏感信息時)確認對方等真實身份;在涉及到支付時,還需要確認對方的賬戶信息是否真實有效。身份認證是採用口令字技術、公開密鑰技術或數字簽名技術和數字證書技術來實現的。
4、交易的不可抵賴。網上交易的各方在進行數據傳輸時,必須帶有自身特有的、無法被別人復制的信息,以保證交易發生糾紛時有所對證。這是通過數字簽名技術和數字證書技術來實現的。
(1)web安全與電子商務擴展閱讀:
電子商務系統安全系統結構包括以下部分:
1、基本加密演算法;
2、以基本加密演算法為基礎的CA體系以及數字信封、數字簽名等基本安全技術;
3、以基本加密演算法、安全技術、CA體系為基礎的各種安全應用協議。
② 如何保證Web伺服器安全
不但企業的門戶網站被篡改、資料被竊取,而且還成為了病毒與木馬的傳播者。有些Web管理員採取了一些措施,雖然可以保證門戶網站的主頁不被篡改,但是卻很難避免自己的網站被當作肉雞,來傳播病毒、惡意插件、木馬等等。筆者認為,這很大一部分原因是管理員在Web安全防護上太被動。他們只是被動的防禦。為了徹底提高Web伺服器的安全,筆者認為,Web安全要主動出擊。具體的來說,需要做到如下幾點。一、在代碼編寫時就要進行漏洞測試 現在的企業網站做的越來越復雜、功能越來越強。不過這些都不是憑空而來的,是通過代碼堆積起來的。如果這個代碼只供企業內部使用,那麼不會帶來多大的安全隱患。但是如果放在互聯網上使用的話,則這些為實現特定功能的代碼就有可能成為攻擊者的目標。筆者舉一個簡單的例子。在網頁中可以嵌入SQL代碼。而攻擊者就可以利用這些SQL代碼來發動攻擊,來獲取管理員的密碼等等破壞性的動作。有時候訪問某些網站還需要有某些特定的控制項。用戶在安裝這些控制項時,其實就有可能在安裝一個木馬(這可能訪問者與被訪問者都沒有意識到)。 為此在為網站某個特定功能編寫代碼時,就要主動出擊。從編碼的設計到編寫、到測試,都需要認識到是否存在著安全的漏洞。筆者在日常過程中,在這方面對於員工提出了很高的要求。各個員工必須對自己所開發的功能負責。至少現在已知的病毒、木馬不能夠在你所開發的插件中有機可乘。通過這層層把關,就可以提高代碼編寫的安全性。二、對Web伺服器進行持續的監控 冰凍三尺、非一日之寒。這就好像人生病一樣,都有一個過程。病毒、木馬等等在攻擊Web伺服器時,也需要一個過程。或者說,在攻擊取得成功之前,他們會有一些試探性的動作。如對於一個採取了一定安全措施的Web伺服器,從攻擊開始到取得成果,至少要有半天的時間。如果Web管理員對伺服器進行了全天候的監控。在發現有異常行為時,及早的採取措施,將病毒與木馬阻擋在門戶之外。這種主動出擊的方式,就可以大大的提高Web伺服器的安全性。 筆者現在維護的Web伺服器有好幾十個。現在專門有一個小組,來全天候的監控伺服器的訪問。平均每分鍾都可以監測到一些試探性的攻擊行為。其中99%以上的攻擊行為,由於伺服器已經採取了對應的安全措施,都無功而返。不過每天仍然會遇到一些攻擊行為。這些攻擊行為可能是針對新的漏洞,或者採取了新的攻擊方式。在伺服器上原先沒有採取對應的安全措施。如果沒有及時的發現這種行為,那麼他們就很有可能最終實現他們的非法目的。相反,現在及早的發現了他們的攻擊手段,那麼我們就可以在他們採取進一步行動之前,就在伺服器上關掉這扇門,補上這個漏洞。 筆者在這里也建議,企業用戶在選擇互聯網Web伺服器提供商的時候,除了考慮性能等因素之外,還要評估服務提供商能否提供全天候的監控機制。在Web安全上主動出擊,及時發現攻擊者的攻擊行為。在他們採取進一步攻擊措施之前,就他們消除在萌芽狀態。 三、設置蜜罐,將攻擊者引向錯誤的方向 在軍隊中,有時候會給軍人一些偽裝,讓敵人分不清真偽。其實在跟病毒、木馬打交道時,本身就是一場無硝煙的戰爭。為此對於Web伺服器採取一些偽裝,也能夠將攻擊者引向錯誤的方向。等到供給者發現自己的目標錯誤時,管理員已經鎖定了攻擊者,從而可以及早的採取相應的措施。筆者有時候將這種主動出擊的行為叫做蜜罐效應。簡單的說,就是設置兩個伺服器。其中一個是真正的伺服器,另外一個是蜜罐。現在需要做的是,如何將真正的伺服器偽裝起來,而將蜜罐推向公眾。讓攻擊者認為蜜罐伺服器才是真正的伺服器。要做到這一點的話,可能需要從如下幾個方面出發。 一是有真有假,難以區分。如果要瞞過攻擊者的眼睛,那麼蜜罐伺服器就不能夠做的太假。筆者在做蜜罐伺服器的時候,80%以上的內容都是跟真的伺服器相同的。只有一些比較機密的信息沒有防治在蜜罐伺服器上。而且蜜罐伺服器所採取的安全措施跟真的伺服器事完全相同的。這不但可以提高蜜罐伺服器的真實性,而且也可以用來評估真實伺服器的安全性。一舉兩得。 二是需要有意無意的將攻擊者引向蜜罐伺服器。攻擊者在判斷一個Web伺服器是否值得攻擊時,會進行評估。如評估這個網站的流量是否比較高。如果網站的流量不高,那麼即使被攻破了,也沒有多大的實用價值。攻擊者如果沒有有利可圖的話,不會花這么大的精力在這個網站伺服器上面。如果要將攻擊者引向這個蜜罐伺服器的話,那麼就需要提高這個蜜罐伺服器的訪問量。其實要做到這一點也非常的容易。現在有很多用來交互流量的團隊。只要花一點比較小的投資就可以做到這一點。 三是可以故意開一些後門讓攻擊者來鑽。作為Web伺服器的管理者,不僅關心自己的伺服器是否安全,還要知道自己的伺服器有沒有被人家盯上。或者說,有沒有被攻擊的價值。此時管理者就需要知道,自己的伺服器一天被攻擊了多少次。如果攻擊的頻率比較高,管理者就高興、又憂慮。高興的是自己的伺服器價值還蠻大的,被這么多人惦記著。憂慮的是自己的伺服器成為了眾人攻擊的目標。就應該抽取更多的力量來關注伺服器的安全。四、專人對Web伺服器的安全性進行測試 俗話說,靠人不如靠自己。在Web伺服器的攻防戰上,這一個原則也適用。筆者建議,如果企業對於Web服務的安全比較高,如網站伺服器上有電子商務交易平台,此時最好設置一個專業的團隊。他們充當攻擊者的角色,對伺服器進行安全性的測試。這個專業團隊主要執行如下幾個任務。 一是測試Web管理團隊對攻擊行為的反應速度。如可以採用一些現在比較流行的攻擊手段,對自己的Web伺服器發動攻擊。當然這個時間是隨機的。預先Web管理團隊並不知道。現在要評估的是,Web管理團隊在多少時間之內能夠發現這種攻擊的行為。這也是考驗管理團隊全天候跟蹤的能力。一般來說,這個時間越短越好。應該將這個時間控制在可控的范圍之內。即使攻擊最後沒有成功,Web管理團隊也應該及早的發現攻擊的行為。畢竟有沒有發現、與最終有沒有取得成功,是兩個不同的概念。 二是要測試伺服器的漏洞是否有補上。畢竟大部分的攻擊行為,都是針對伺服器現有的漏洞所產生的。現在這個專業團隊要做的就是,這些已發現的漏洞是否都已經打上了安全補丁或者採取了對應的安全措施。有時候我們都沒有發現的漏洞是無能為力,但是對於這些已經存在的漏洞不能夠放過。否則的話,也太便宜那些攻擊者了。
③ 如何解決電子商務的安全問題
電子商務是互聯網應用的重要趨勢之一,也是國際金融貿易中越來越重要的經營模式之一,以後會逐漸地成為我們經濟生活中一個重要的部分,安全是保證電子商務健康有序發展的關鍵因素,也是目前大家十分關注的話題,下面將就電子商務發展中的幾個熱點問題,談談個人的看法。 一、怎麼看待安全與發展的關系 談到安全與發展兩者之間的關系時,許多人都會認為安全更重要,而實際上在信息化發展的過程中,發展自始至終都應是放在第一位的,因為沒有發展安全就無從談起,沒有發展就是最大的不安全。 從國內外的情況來看,電子商務發展的速度太快,致使其安全技術和安全管理跟不上,這是一個越來越突出的問題。電子商務的快速發展需要業界,特別是信息安全業快速地作出反應,否則安全方面的問題將會制約它的發展。現在不僅僅是發展中國家,就連美國這樣的發達國家,電子商務在很多領域還是沒有像其它傳統的商務那樣發達,一個重要的原因就是安全問題。這就需要信息安全業的同行作出不懈的努力,不要因為安全問題而制約了電子商務的發展。 二、如何看待電子商務的安全問題 在正確看待電子商務的安全問題時,有幾個觀念值得注意: 其一,安全是一個系統的概念。安全問題不僅僅是個技術性的問題,不僅僅只涉及到技術,更重要的還有管理,而且它還與社會道德、行業管理以及人們的行為模式都緊密地聯系在一起了。 其二,安全是相對的。房子的窗戶上只有一塊玻璃,一般說來這已經很安全,但是如果非要用石頭去砸,那就不安全了。我們不會因為石頭能砸碎玻璃而去懷疑它的安全性,因為大家都有一個普遍的認識:玻璃是不能砸的,有了窗玻璃就可以保證房子的安全。同樣,不要追求一個永遠也攻不破的安全技術,安全與管理始終是聯系在一起的。也就是說安全是相對的,而不是絕對的,如果要想以後的網站永遠不受攻擊,不出安全問題是很難的,我們要正確認識這個問題。 其三,安全是有成本和代價的。無論是現在國外的B-to-B還是B-to-C,都要考慮到安全的代價和成本的問題。如果只注重速度就必定要以犧牲安全來作為代價,如果能考慮到安全速度就得慢一點,把安全性保障得更好一些,當然這與電子商務的具體應用有關。如果不直接牽涉到支付等敏感問題,對安全的要求就低一些;如果牽涉到支付問題對安全的要求就要高一些,所以安全是有成本和代價的。作為一個經營者,應該綜合考慮這些因素;作為安全技術的提供者,在研發技術時也要考慮到這些因素。 其四,安全是發展的、動態的。今天安全明天就不一定很安全,因為網路的攻防是此消彼長、道高一尺、魔高一丈的事情,尤其是安全技術,它的敏感性、競爭性以及對抗性都是很強的,這就需要不斷地檢查、評估和調整相應的安全策略。沒有一勞永逸的安全,也沒有一蹴而就的安全。 三、社會上對電子商務的需求有哪些 電子商務是用電子化的方式實現傳統商務的模式或者說對傳統商務的革命,它的發展需要以下幾個必備的條件。 其一,對電子商務的發展要有廣泛的認同。無論是現在的銀行、證券也好還是傳統的物物交換,社會認同是交易得以實現的基礎。對電子商務的發展也必須有廣泛的認同。 其二,電子商務的交易模式不能被假冒。也就是說必須要有足夠的安全保障。 其三,能真正節省開支。人類從最原始的物物交換到一般等價物、到信用體制等等都是在不斷地降低交易成本,如果我們引進電子商務不但不能減少成本,反而會使成本增加,就不會得到社會的認同。 其四,要求方便易用,這一點十分重要。目前我國電子商務發展的發展過程中最致命就是使用不方便。 其五,要能滿足社會大眾的商業心態。它可以是「實名制」也可以是「隱名」的(當然現在也正討論怎麼使存款「實名制」),原來的金融體系或經濟體系的優勢就在於既可以是「實名」的也可以是「隱名」的,所以發展電子商務時也要考慮這個問題,否則用戶就沒有選擇,其發展就會受到阻礙。 社會對電子商務安全的需求簡單歸納起來主要有以下幾點: 1.信息要求真實和完整。因為無論中國人還是外國人,都會覺得「隔山買牛」是一件心裡沒底的事情,因此都希望電子商務上的信息是真實的、完整的。 2.所有交易不能夠抵賴,否則,生意就沒法做了。這不但需要用道德和法律進行約束,更需要相關技術進行保障。如果總是發生扯皮或糾紛,再好的電子商務也會因此而黃掉。 3.支付和交易必須是安全而可靠的。目前,如何保障支付和交易的安全可靠是一個全球性問題,電子商務要有大的發展,就必須管好這些瓶頸。 4.用戶或商家的身份在網路上能夠被准確地識別。如果不能准確識別交易雙方的身份,發生糾紛時就無法進行有效的仲裁。 5.能夠保護個人隱私。對個人隱私的保護現在越來越受到重視,以前我們可能不太看重這個問題。越是開放,越是信息化,個人隱私越重要。 四、對電子商務現狀的看法 現在,電子商務網站的經營很熱鬧,但其實也很艱難。根據我們了解的情況,我國的電子商務雖然收益不佳的現狀有望改觀,但技術和管理方面的問題還依然存在,安全隱患仍令人擔憂。 從技術上看:首先是數據傳輸的速度太慢;第二是沒有安全、可靠的結賬方式,這嚴重製約著電子商務的發展;第三是IT技術的發展速度太快,商務模式的形成和人們使用習慣的養成都需要一定的時間,雖然技術不斷發展,但社會對技術的認同是有階段的,這使得用戶和經營者都難以消化,難以跟上這種快速發展的步伐;第四是難以及時處理用戶的有關問題,開通一個網站,如果一段時間以後用戶的反饋多了,網路的速度就會慢下來,這也許是線路本身的問題,但也存在技術處理的問題,目前尚沒有解決的良策。第五是在安全保障上,難以防範現在的網路犯罪,特別是黑客的攻擊。 從管理上看,存在的主要問題有:1)國內電子商務網站的數目太少、瀏覽電子商務網站的用戶數量沒有期望的那麼多;2)電子商務網站的經營收益遠低於預期,使有網路泡沫之虞;3)缺乏能適應中國國情的市場技巧。現在的電子商務網站動作的市場方式基本上是照搬美國的,在造勢上不無奢華,但在收效上卻無殷實,不充分考慮中國人的商業行為和方式,恐怕是難以成功的。4)網站運營成本太高。由於運行成本居高不下,再好的商業模式也不堪重負。5)收費困難。除BtoB稍好一點外,BtoC電子商務一直沒有找到方便可行的收費方式。 從安全上看,電子商務的隱患,令人擔憂,主要表現在: 1.網路信息安全在全球還沒有形成一個完整的體系,我國也不例外。雖然有關電子商務安全的產品數量不少,但真正通過認證的卻相當少。近兩年,有將近20家有關電子商務安全的產品申請認證,但最後通過的非常少,這主要是因為不少安全措施是從網上「down」下來的,另外,不少電子商務安全技術的廠商對網路技術很熟悉,但是對安全技術普通了解得較少,因而他們很難開發出真正實用的、安全性足用的安全技術和產品。 2.安全技術的強度普遍不夠。國外有關電子商務的安全技術,雖然其結構或加密技術等都不錯,但這種演算法(無論是對稱的還是非對稱的)受到了外國密碼政策的限制,因此強度普遍不夠。這種技術用在B-to-C方面還勉強可行,但用在B-to-B上就顯然不夠。 3.電子商務網站的安全管理存在很大隱患,普遍難以經受黑客的攻擊。這個問題應當引起高度重視,國內電子商務網站被攻擊的事件較少並不表示是牢不可破,而是網站本身很小,沒有多少可攻的價值。 4.電子商務僅僅局限於商務信息領域而沒有深入真正的電子商務領域,這些因素的存在必將影響我國電子商務進一步的發展。 五、關於面向社會服務的CA中心 現在大家都在關注CA中心,從國外的發展看,認證應該是第三方的,政府幹預最好少一些,只需作些必要的引導。在我國,最大的問題是多人過早地把CA認證看作是一種產業,把它當作生意來做,而過少地考慮到應該擔負的責任。其實,面向社會服務的CA中心必須達到一定的要求。首先要看建設單位是否具備管理能力,以及責任和義務是否很明確,一旦證書出了問題,各方的責任是否清楚;其次是看技術能力和運行條件,CA要為社會服務,能否保證安全可信,運轉有效;這需要專門的技術能力和安全完整的網上認證技術體系。比如在炒股票時,如果認證的周期太長,別人已經成交了,你這里還堵著,那肯定不行。第三是看是否有足夠的財力支持。沒有數千萬乃至上億的投入,是無法面向社會提供可信賴的CA服務。第四是看整個CA系統和設施是否安全。總之,CA中心能否提供安全可靠的服務,不能僅憑自身的宣傳,而是要通過「國家信息安全認證」。到目前為止已經通過認證的只有一家,還有其它幾家也正在審查之中。主要的問題不在於能否發出證書,而在於能否保障證書的使用者的利益。 六、如何看待電子商務網站受到的攻擊 剛才我們提到過黑客的問題,黑客的威力到底有多大? 目前,我國網站所受到黑客的攻擊,還不能與美國的相提並論,因為我們的用戶數、規模和級別還是處在很初級的階段。如果遇到類似於DDOS的攻擊時應該引起注意,但不必很驚慌,因為在目前的情況下,一個電子商務網站停一兩天所受的損失不是很大,畢竟業務量和交易額都還不大。從以往遭遇過的攻擊中我們可以得到以下幾點啟示: 1.純技術難以防範原始攻擊方式。如果我們按照西方人的思維方式去思考,不斷的追求和更新安全技術,防火牆可以做得非常強,但如果黑客不去竊取信息或數據,而只是去阻塞網站,這種非常野蠻的攻擊方式用單純的技術是很難解決的,而要靠管理或其它的方法去防範。美國電子商務網站遭受那麼大規模的攻擊,雖然有技術方面的原因,但總的看來還是一個管理的問題,這里的管理包括網站的經營者要如何防止自己的網站被攻擊,上網的用戶如何保證自己的機器不會無辜地被別人利用,現在網上的安全補丁很多,但很少有人真正用它或不知道怎麼去用。所以,在信息化發展的初期,管理比技術顯得更為重要。 2.病毒比一般攻擊更可怕。現在的病毒(包括惡性代碼)破壞性越來越大。現在電子商務上的交易都是非時間敏感性的項目,所以時效性並不太突出,可怕的是病毒對數據的破壞。 3.從目前的情況看,危及電子商務的首先是病毒或惡意代碼;然後是內部人員濫用計算資源,對此國外強調的比較多,國內強調的比較少,隨著技術人員流動性增大,道德也有待提高;第三是黑客攻擊;第四是用戶數據的泄漏;第五是假冒的交易。 七、關於電子商務需要的安全技術與產品 目前,國內市場需要較大的網路安全產品還是防火牆,從國內外采購的數量來看,防火牆均居於首位的;其次是通信保密設備;第三是現在電子商務裡面應用最多的客戶機伺服器中的安全模式;第四是區域網或廣域網上的安全技術;第五是web安全技術;第六是災難恢復技術,從銀行和金融界的一些情況看,大家對這方面的重視還不夠,普遍的電子商務網站對災難恢復考慮得都不是很好,這也是迫切需要的。 八、制約我國電子商務發展的主要因素 制約我國電子商務的因素主要有:其一是商業信息化程度太低;其二是交易過程不規范;其三是信用制度不健全;其四是技術發展太快,沒有一定的穩定過程;其五是出現問題後客戶去找誰負責。由於有關電子商務的立法和管理剛剛開始,有人開玩笑說「電子商務目前是個『三無』行業:無法可依、無安全可言、無規可循」,當然這只有一定的道理,我國政府對電子商務的管理已經報上議事日程,各個部門都在抓緊制定推進電子商務的政策。 九、加快電子商務發展的建議 對電子商務發展的建議簡單地講是「兩高一低」,即:1)不斷提高服務的安全性,否則會制約電子商務的發展;成為發展的瓶頸;2)提高通訊的速度,否則電子商務就成了純粹的電子廣告而無法將商場搬到裡面,許多東西我們無法看到,也更談不上交易;3)降低成本,這不僅僅是降低硬體成本,特別是要降低通訊成本。因為電子商務發展的目的本來就是為了降低交易成本,交易成本反而高了就不正常。許多人都認為花那麼大的投入去搞電子商務還不如去面對面地談生意,打個電話許多貨就發過來了,用不著去識別身份什麼的。 電子商務安全管理的基本趨勢似乎可用:「誰經營、誰負責」六個字來概括,也可以說是誰管理誰負責。這就強調業界要自律,要對安全問題承擔責任。
以上回答你滿意么?
④ 安全在電子商務中有什麼地位和作用
隨著信息技術、網路技術和Internet的飛速發展,電子商務成為越來越多的人關注的焦點。電子商務使得人們可以在網上通過建立網站樹立自己的形象,發布自己的產品信息,宣傳產品廣告,提供售後服務,甚至可以提供網上交談、電子合同簽訂、電子交易和資金結算等。但是,事物的發展都存在兩面性,一方面電子商務給我們帶來了便利,同時在進行電子商務活動時,需要在Internet上傳輸消費者和商家的一些機密信息,如用戶信用卡、商家用戶信息和訂購信息等,而這些信息一直是網路非法入侵者或黑客的攻擊目標。如何保證電子商務安全,如何對敏感信息和個人信息提供機密性保障、認證交易雙方的合法身份以及數據的完整性和交易的不可否認性,已經成為電子商務發展的瓶頸,對這些問題的擔心也是導致很多人不願意進行網上購物和支付的主要要原因。
所以在當代電子商務盛行的時代,確寶電子商務的安全是非常有必要的。
⑤ 電子商務安全主要包括網路安全與電商安全,網路安全有哪些主要技術
電子商務安全主要包括網路安全與電商安全,網路安全主要有以下幾方面主要技術:
一.虛擬網技術
虛擬網技術主要基於近年發展的區域網交換技術(ATM和乙太網交換)。交換技術將傳統的基於廣播的區域網技術發展為面向連接的技術。因此,網管系統有能力限制區域網通訊的范圍而無需通過開銷很大的路由器 網路層通訊可以跨越路由器,因此攻擊可以從遠方發起。IP協議族各廠家實現的不完善,因此,在網路層發現的安全漏洞相對更多,如IP sweep, teardrop, sync-flood, IP spoofing攻擊等。
二.防火牆技術
網路防火牆技術是一種用來加強網路之間訪問控制,防止外部網路用戶以非法手段通過外部網路進入內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互聯設備.它對兩個或多個網路之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網路之間的通信是否被允許,並監視網路運行狀態.
防火牆產品主要有堡壘主機,包過濾路由器,應用層網關(代理伺服器)以及電路層網關,屏蔽主機防火牆,雙宿主機等類型.
防火牆處於5層網路安全體系中的最底層,屬於網路層安全技術范疇.在這一層上,企業對安全系統提出的問題是:所有的IP是否都能訪問到企業的內部網路系統 如果答案是"是",則說明企業內部網還沒有在網路層採取相應的防範措施控制對系統的訪問 集中的安全管理
使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息,如Finger和DNS。 記錄和統計網路利用數據以及非法使用數據 Firewall可以記錄和統計通過Firewall的網路通訊,提供關於網路使用的統計數據,並且,Firewall可以提供統計數據,來判斷可能的攻擊和探測。 策略執行
5、選擇防火牆的要點
(1) 安全性:即是否通過了嚴格的入侵測試。
(2) 抗攻擊能力:對典型攻擊的防禦能力
(3) 性能:是否能夠提供足夠的網路吞吐能力
(4) 自我完備能力:自身的安全性,Fail-close
(5) 可管理能力:是否支持SNMP網管
(6) VPN支持
(7) 認證和加密特性
(8) 服務的類型和原理
(9)網路地址轉換能力
三.病毒防護技術
病毒歷來是信息系統安全的主要問題之一。由於網路的廣泛互聯,病毒的傳播途徑和速度大大加快。 病毒防護的主要技術如下:
(1) 阻止病毒的傳播。
在防火牆、代理伺服器、SMTP伺服器、網路伺服器、群件伺服器上安裝病毒過濾軟體。在桌面PC安裝病毒監控軟體。
(2) 檢查和清除病毒。
使用防病毒軟體檢查和清除病毒。
(3) 病毒資料庫的升級。
病毒資料庫應不斷更新,並下發到桌面系統。
4) 在防火牆、代理伺服器及PC上安裝Java及ActiveX控制掃描軟體,禁止未經許可的控制項下載和安裝。
四.入侵檢測技術
利用防火牆技術,經過仔細的配置,通常能夠在內外網之間提供安全的網路保護,降低了網路安全風險。
五.安全掃描技術
網路安全技術中,另一類重要技術為安全掃描技術。安全掃描技術與防火牆、安全監控系統互相配合能夠提供很高安全性的網路。
六. 認證和數宇簽名技術
認證技術主要解決網路通訊過程中通訊雙方的身份認可,數字簽名作為身份認證技術中的一種具體技術,同時數字簽名還可用於通信過程中的不可抵賴要求的實現。 認證技術將應用到企業網路中的以下方面: (1) 路由器認證,路由器和交換機之間的認證。 (2) 操作系統認證。操作系統對用戶的認證。 (3) 網管系統對網管設備之間的認證。 (4) VPN網關設備之間的認證。
(5) 撥號訪問伺服器與客戶間的認證。
(6) 應用伺服器(如Web Server)與客戶的認證。 (7) 電子郵件通訊雙方的認證。
七.VPN技術
1、 企業對VPN 技術的需求
企業總部和各分支機構之間採用internet網路進行連接,由於internet是公用網路,因此,必須保證其安全性。我們將利用公共網路實現的私用網路稱為虛擬私用網(VPN)。 因為VPN利用了公共網路,所以其最大的弱點在於缺乏足夠的安全性。企業網路接入到internet,暴露出兩個主要危險:
來自internet的未經授權的對企業內部網的存取。
當企業通過INTERNET進行通訊時,信息可能受到竊聽和非法修改。 完整的集成化的企業范圍的VPN安全解決方案,提供在INTERNET上安全的雙向通訊,以及透明的加密方案以保證數據的完整性和保密性。 企業網路的全面安全要求保證: 保密-通訊過程不被竊聽。
通訊主體真實性確認-網路上的計算機不被假冒。
八.應用系統的安全技術
在利用域名服務時,應該注意到以上的安全問題。
主要的措施有:
(1) 內部網和外部網使用不同的域名伺服器,隱藏內部網路信息。
(2) 域名伺服器及域名查找應用安裝相應的安全補丁。
(3) 對付Denial-of-Service攻擊,應設計備份域名伺服器。
但Web伺服器越來越復雜,其被發現的安全漏洞越來越多。為了防止Web伺服器成為攻擊的犧牲品或成為進入內部網路的跳板,我們需要給予更多的關心:
加強電子郵件系統的安全性,通常有如下辦法:
(1) 設置一台位於停火區的電子郵件伺服器作為內外電子郵件通訊的中轉站(或利用防火牆的電子郵件中轉功能)。所有出入的電子郵件均通過該中轉站中轉。
(2) 同樣為該伺服器安裝實施監控系統。
(3) 該郵件伺服器作為專門的應用伺服器,不運行任何其它業務(切斷與內部網的通訊)。
(4) 升級到最新的安全版本。
⑥ 電子商務活動中,用戶怎樣進行安全防護
1、保護網路安全。
制定網路安全的管理措施,使用防火牆,盡可能記錄網路上的一切活動,注意對網路設備的物理保護,檢驗網路平台系統的脆弱性,建立可靠的識別和鑒別機制。
2、保護應用安全。
應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網路支付等應用的安全性。
3、保護系統安全。
在安裝的軟體中,如瀏覽器軟體、電子錢包軟體、支付網關軟體等,檢查和確認未知的安全漏洞。技術與管理相結合,使系統具有最小穿透風險性。
4、加密技術
加密技術為電子商務採取的基本安全措施,交易雙方可根據需要在信息交換的階段使用。
(6)web安全與電子商務擴展閱讀
電子商務的所有活動都需要安全體系的有力支持,缺乏嚴格的制度對硬體、軟體、資料庫、密碼和用戶許可權進行科學管理,因而發生安全意外或為某些內部人員造成可乘之機。
電子商務網路系統的安全威脅主要為以下幾個方面:即軟體系統存在潛在安全隱患、安全產品使用不當、缺少嚴格的網路安全管理制度。
保證交易數據的安全性是電子商務的關鍵問題。由於網路本身所具有的開放性特點,電子商務面臨著各種各樣的威脅,這對電子商務的安全性提出了更高的要求。
⑦ 如何保障Web伺服器安全
今天壹基比小喻給大家講解一些對伺服器的安全保護的具體措施,希望大家可以用到。
1從基礎做起,做好基礎防護。
首先將伺服器上所有包含了敏感數據的磁碟分區都轉換成NTFS格式的。其次不論是Windows還是Linux,任何操作系統都有漏洞,及時的打上補丁避免漏洞被蓄意***利用,是伺服器安全最重要的保證之一。再次將所有的反病毒軟體及時更新,同時在伺服器和桌面終端上運行反病毒軟體。這些軟體還應該配置成每天自動下載最新的病毒資料庫文件。可以為Exchange Server安裝反病毒軟體。這個軟體掃描所有流人的電子郵件,尋找被感染了的附件,當它發現有病毒時,會自動將這個被感染的郵件在到達用戶以前隔離起來。
2 設置防火牆並關閉不需要的服務和埠。
防火牆是網路安全的一個重要組成部分,通過過濾不安全的服務而降低風險。防火牆同時可以保護網路免受基於路由的***,如IP選項中的源路由***和ICMP重定向中的重定向路徑
首先,確保防火牆不會向外界開放超過必要的任何IP地址。至少要讓一個IP地址對外被使用來進行所有的互聯網通訊。如果還有DNS注冊的Web伺服器或是電子郵件伺服器,它們的IP地址也許需要通過防火牆對外界可見。其次,伺服器操作系統在安裝時,會啟動一些不需要的服務,這樣不僅會佔用系統的資源,還會增加系統的安全隱患。對於一段時間內完全不會用到的服務,可以完全關閉;對於期間要使用的伺服器,也應該關閉不需要的服務,如Telnet等。另外,還要關掉沒有必要開的TCP埠。例如,TCP/IP埠80用於HTTP通訊,因此大多數人可能並不想堵掉這個埠。但是,一般不會用埠81,因此它應該被關掉。我們可以在Intemet上找到每個埠使用用途的歹U表。對照列表我們可以很清楚的關閉一些不常用的埠。
3 SQL SERVER的安全防護。
首先要使用Windows身份驗證模式,在任何可能的時候,都應該對指向SQL Server的連接要求Windows身份驗證模式。它通過限制對Microsoft Windows用戶和域用戶帳戶的連接,保護SQL Server免受大部分Intemet工具的侵害,而且,伺服器也將從Windows安全增強機制中獲益,例如更強的身份驗證協議以及強制的密碼復雜眭和過期時間。另外,憑證委派在多台伺服器間橋接憑證的能力地只能在Windows身份驗證模式中使用。在客戶端,Windows身份驗證模式不再需要存儲密碼。存儲密碼是使用標准SQL Server登錄的應用程序的主要漏洞之一。其次分配—個強健的sa密碼,sa帳戶應該擁有一個強健的密碼,即使在配置為要求Windows身份驗證的伺服器上也該如此。這將保證在以後伺服器被重新配置為混合模式身份驗證時,不會出現空白或脆弱的sa。
4 做好數據的備份並保護好備份磁帶。
首先定期對伺服器進行備份,為防止未知的系統故障或用戶不小心的非法操作,必須對系統進行安全備份。除了對全系統進行每月一次的備份外,還應對修改過的數據進行及時的備份。同時,應該將修改過的重要系統文件存放在不同伺服器上,以便出現系統崩潰時(通常是硬碟出錯),可以及時地將系統恢復到正常狀態。通常情況下,備份工作都是在大約晚上10:00或者更晚開始的,而結束時間也在午夜時分。整個備份過程的時間長短主要取決於要備份數據的多少。但是如果深夜有人偷竊備份好的磁帶,這樣的時間將是最好的時機。為了避免這樣的人為事件,我們可以通過對磁帶進行密碼保護,對備份程序進行加密,從而加密這些數據。其次,可以將備份程序完成的時間定在第二日的上班時間內。這樣一來,可以避免人為盜竊備份磁帶所帶來的損失。因為磁帶在備份沒有結束被強行帶走的話,磁帶上的數據也毫無價值。
數據如此重要,做好安全措施是必不可少的。無論是伺服器還是系統,文件還是資料庫,都應該做好數據保護。數據備份方面小編推薦大家使用多備份。多備份有3種備份模式給大家選擇:託管、插件、客戶端。Linux,unix,windows系統的用戶可以選擇多備份客戶端來備份,客戶端是高級備份模式,支持防火牆內的備份,TB級數據備份,指定文件恢復等數十種高級功能。而文件和資料庫的內容可以選擇託管或是插件來備份,操作過程也是簡單易懂。備份時間及頻率方面更是讓用戶覺得貼心不過了。
如果你對數據視為寶物,就用多備份吧!
⑧ 如何保證Web伺服器安全
一、在代碼編寫時就要進行漏洞測試。
二、對Web伺服器進行持續的監控。
三、設置蜜罐,將攻擊者引向錯誤的方向。
四、專人對Web伺服器的安全性進行測試。
⑨ 電子商務安全威脅及防範措施分別是什麼
1、未進行操作系統相關安全配置
不論採用什麼操作系統,在預設安裝的條件下都會存在一些安全問題,只有專門針對操作系統安全性進行相關的和嚴格的安全配置,才能達到一定的安全程度。千萬不要以為操作系統預設安裝後,再配上很強的密碼系統就算作安全了。網路軟體的漏洞和「後門」是進行網路攻擊的首選目標。
2、未進行CGI程序代碼審計
如果是通用的CGI問題,防範起來還稍微容易一些,但是對於網站或軟體供應商專門開發的一些CGI程序,很多存在嚴重的CGI問題,對於電子商務站點來說,會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。
3、拒絕服務(DoS,DenialofService)攻擊
隨著電子商務的興起,對網站的實時性要求越來越高,DoS或DDoS對網站的威脅越來越大。以網路癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈,破壞性更大,造成危害的速度更快,范圍也更廣,而襲擊者本身的風險卻非常小,甚至可以在襲擊開始前就已經消失得無影無蹤,使對方沒有實行報復打擊的可能。
4、安全產品使用不當
雖然不少網站採用了一些網路安全設備,但由於安全產品本身的問題或使用問題,這些產品並沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高,超出對普通網管人員的技術要求,就算是廠家在最初給用戶做了正確的安裝、配置,但一旦系統改動,需要改動相關安全產品的設置時,很容易產生許多安全問題。
5、缺少嚴格的網路安全管理制度
網路安全最重要的還是要思想上高度重視,網站或區域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網路安全制度與策略是真正實現網路安全的基礎。
6、竊取信息
由於未採用加密措施,數據信息在網路上以明文形式傳送,入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規律和格式,進而得到傳輸信息的內容,造成網上傳輸信息泄密。
7、篡改信息
當入侵者掌握了信息的格式和規律後,通過各種技術手段和方法,將網路上傳送的信息數據在中途修改,然後再發向目的地。這種方法並不新鮮,在路由器或網關上都可以做此類工作。
8、假冒
由於掌握了數據的格式,並可以篡改通過的信息,攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。
9、惡意破壞
由於攻擊者可以接入網路,則可能對網路中的信息進行修改,掌握網上的機要信息,甚至可以潛入網路內部,其後果是非常嚴重的。
安全對策
1、保護網路安全。
保護網路安全的主要措施如下:全面規劃網路平台的安全策略,制定網路安全的管理措施,使用防火牆,盡可能記錄網路上的一切活動,注意對網路設備的物理保護,檢驗網路平台系統的脆弱性,建立可靠的識別和鑒別機制。
2、保護應用安全。
應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網路支付等應用的安全性。
3、保護系統安全。
在安裝的軟體中,如瀏覽器軟體、電子錢包軟體、支付網關軟體等,檢查和確認未知的安全漏洞。技術與管理相結合,使系統具有最小穿透風險性。如通過諸多認證才允許連通,對所有接入數據必須進行審計,對系統用戶進行嚴格安全管理。建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊等。
4、加密技術
加密技術為電子商務採取的基本安全措施,交易雙方可根據需要在信息交換的階段使用。加密技術分為兩類,即對稱加密和非對稱加密。
5、認證技術。
用電子手段證明發送者和接收者身份及其文件完整性的技術,即確認雙方的身份信息在傳送或存儲過程中未被篡改過。包括數字簽名、數字證書。
6、電子商務的安全協議。
電子商務的運行還有一套完整的安全協議,有SET、SSL等。
(9)web安全與電子商務擴展閱讀
從電子商務的含義及發展歷程可以看出電子商務具有如下基本特徵:
1、普遍性。電子商務作為一種新型的交易方式,將生產企業、流通企業以及消費者和政府帶入了一個網路經濟、數字化生存的新天地。
2、方便性。在電子商務環境中,人們不再受地域的限制,客戶能以非常簡捷的方式完成過去較為繁雜的商業活動。如通過網路銀行能夠全天候地存取賬戶資金、查詢信息等,同時使企業對客戶的服務質量得以大大提高。在電子商務商業活動中,有大量的人脈資源開發和溝通,從業時間靈活,完成公司要求,有錢有閑。
3、整體性。電子商務能夠規范事務處理的工作流程,將人工操作和電子信息處理集成為一個不可分割的整體,這樣不僅能提高人力和物力的利用率,也可以提高系統運行的嚴密性。
4、安全性。在電子商務中,安全性為一個至關重要的核心問題,它要求網路能提供一種端到端的安全解決方案,如加密機制、簽名機制、安全管理、存取控制、防火牆、防病毒保護等等,這與傳統的商務活動有著很大的不同。
5、協調性。商業活動本身為一種協調過程,它需要客戶與公司內部、生產商、批發商、零售商間的協調。在電子商務環境中,它更要求銀行、配送中心、通信部門、技術服務等多個部門的通力協作,電子商務的全過程往往是一氣呵成的。