1、摘要隨著計算機及網(wǎng)絡(luò)的日益發(fā)展和普及，網(wǎng)絡(luò)已經(jīng)成為我們生活的一部分。而電子商務(wù)的飛速發(fā)展，使我們越來越感到網(wǎng)絡(luò)技術(shù)帶給我們的好處。但是我們不得不面對這樣的現(xiàn)實，即計算機和網(wǎng)絡(luò)技術(shù)在帶給我們各種便利的同時，也帶來了令人頭痛的安全問題。該文基于目前電子商務(wù)安全所面臨的各種風(fēng)險問題，結(jié)合當(dāng)前的一些風(fēng)險管理方法，對電子商務(wù)系統(tǒng)安全風(fēng)險管理進(jìn)行一些基本的分析和研究，以期對企業(yè)電子商務(wù)安全風(fēng)險管理提供一些有價值的借鑒和參考。 關(guān)鍵詞： 電子商商務(wù)安全全，風(fēng)險險管理，風(fēng)風(fēng)險識別別，風(fēng)險險控制目錄TOC o 1-3 h z u HYPERLINK l _Toc226298860 前言 PAGEREF _Toc

2、226298860 h 2 HYPERLINK l _Toc226298861 電子商務(wù)中中存在的的安全風(fēng)風(fēng)險 PAGEREF _Toc226298861 h 3 HYPERLINK l _Toc226298862 （1）網(wǎng)絡(luò)絡(luò)環(huán)境風(fēng)風(fēng)險 PAGEREF _Toc226298862 h 4 HYPERLINK l _Toc226298863 （2）數(shù)據(jù)據(jù)存取風(fēng)風(fēng)險 PAGEREF _Toc226298863 h 4 HYPERLINK l _Toc226298864 （3）網(wǎng)上上支付風(fēng)風(fēng)險 PAGEREF _Toc226298864 h 4 HYPERLINK l _Toc226298865

3、（4）信息息的截獲獲和竊取取 PAGEREF _Toc226298865 h 4 HYPERLINK l _Toc226298866 （5）信息息的篡改改 PAGEREF _Toc226298866 h 4 HYPERLINK l _Toc226298867 （6）拒絕絕服務(wù) PAGEREF _Toc226298867 h 4 HYPERLINK l _Toc226298868 （7）系統(tǒng)統(tǒng)資源失失竊問題題 PAGEREF _Toc226298868 h 5 HYPERLINK l _Toc226298869 （8）信息息的假冒冒 PAGEREF _Toc226298869 h 5 HYPER

4、LINK l _Toc226298870 （9）交易易的抵賴賴 PAGEREF _Toc226298870 h 5 HYPERLINK l _Toc226298871 （2）開發(fā)發(fā)和實施施階段 PAGEREF _Toc226298871 h 6 HYPERLINK l _Toc226298872 （3）運行行階段 PAGEREF _Toc226298872 h 6 HYPERLINK l _Toc226298873 電子商務(wù)的的風(fēng)險管管理步驟驟 PAGEREF _Toc226298873 h 7 HYPERLINK l _Toc226298874 （1）風(fēng)險險識別 PAGEREF _Toc22

5、6298874 h 7 HYPERLINK l _Toc226298875 （2）風(fēng)險險分析 PAGEREF _Toc226298875 h 8 HYPERLINK l _Toc226298876 （3）風(fēng)險險控制 PAGEREF _Toc226298876 h 8 HYPERLINK l _Toc226298877 風(fēng)險管理對對策 PAGEREF _Toc226298877 h 9 HYPERLINK l _Toc226298878 1、網(wǎng)絡(luò)安安全技術(shù)術(shù) PAGEREF _Toc226298878 h 12 HYPERLINK l _Toc226298879 1.1 操操作系統(tǒng)統(tǒng)安全 PAG

6、EREF _Toc226298879 h 12 HYPERLINK l _Toc226298880 1.2 防防火墻技技術(shù) PAGEREF _Toc226298880 h 13 HYPERLINK l _Toc226298881 1.3 VVPN PAGEREF _Toc226298881 h 13 HYPERLINK l _Toc226298882 1.4 漏漏洞識別別與檢測測系統(tǒng) PAGEREF _Toc226298882 h 14 HYPERLINK l _Toc226298883 2、數(shù)據(jù)加加密技術(shù)術(shù) PAGEREF _Toc226298883 h 14 HYPERLINK l _To

7、c226298884 3、身份認(rèn)認(rèn)證技術(shù)術(shù) PAGEREF _Toc226298884 h 15 HYPERLINK l _Toc226298885 （1）基于于口令的的認(rèn)證方方式 PAGEREF _Toc226298885 h 15 HYPERLINK l _Toc226298886 （2）基于于安全物物品的認(rèn)認(rèn)證方式式 PAGEREF _Toc226298886 h 15 HYPERLINK l _Toc226298887 （3）基于于生物特特征的認(rèn)認(rèn)證方式式 PAGEREF _Toc226298887 h 16 HYPERLINK l _Toc226298888 4、數(shù)據(jù)庫庫安全機機制

8、PAGEREF _Toc226298888 h 16 HYPERLINK l _Toc226298889 5、第三方方認(rèn)證CCA PAGEREF _Toc226298889 h 17 HYPERLINK l _Toc226298890 結(jié)論 PAGEREF _Toc226298890 h 199 HYPERLINK l _Toc226298891 主要參考文文獻(xiàn) PAGEREF _Toc226298891 h 20 HYPERLINK l _Toc226298892 謝辭 PAGEREF _Toc226298892 h 211前言電子商務(wù)（Electronic Commerce，EC）是指通過

9、網(wǎng)絡(luò)（尤其是Internet） 所進(jìn)行的買賣交易以及相關(guān)服務(wù)或其他的組織管理活動。交易的安全性能否得到保障是電子商務(wù)的核心問題。近幾年來，我國的電子商務(wù)發(fā)展較快，但各種風(fēng)險也日趨突出。一般來說，電子商務(wù)中常見的風(fēng)險可分為經(jīng)濟風(fēng)險、管理風(fēng)險、制度風(fēng)險、技術(shù)風(fēng)險和信息風(fēng)險。IT技術(shù)是實現(xiàn)電子商務(wù)的基礎(chǔ)，分析研究其技術(shù)風(fēng)險是保障電子商務(wù)安全的重要研究課題。為了促進(jìn)電電子商務(wù)務(wù)的健康康發(fā)展，研研究電子子商務(wù)中中可能存存在的風(fēng)風(fēng)險及相相應(yīng)的控控制策略略是十分分必要的的。本文文分析了了電子商商務(wù)中存存在的技技術(shù)風(fēng)險險及其產(chǎn)產(chǎn)生的原原因，并并在此基基礎(chǔ)上提提出了降降低電子子商務(wù)技技術(shù)風(fēng)險險的相關(guān)關(guān)安全策策略

10、及措措施。電子商務(wù)中中存在的的安全風(fēng)風(fēng)險由于網(wǎng)絡(luò)的的復(fù)雜性性、脆弱弱性、開開放性、共共享性和和動態(tài)性性，使得任任何人都都可以自自由地接接入Innterrnett，從而而使以因因特網(wǎng)為為主要平平臺的電電子商務(wù)務(wù)的發(fā)展展面臨著著嚴(yán)峻的的安全問問題。一一般來說說，電子子商務(wù)普普遍存在在著以下下幾個安安全風(fēng)險險：（1）網(wǎng)絡(luò)絡(luò)環(huán)境風(fēng)風(fēng)險網(wǎng)絡(luò)服務(wù)器器常遭受受到黑客客的襲擊擊，個別別網(wǎng)絡(luò)中中的信息息系統(tǒng)受受到攻擊擊后無法法恢復(fù)正正常運行行；網(wǎng)絡(luò)絡(luò)軟件常常常被人人篡改或或破壞；網(wǎng)絡(luò)中中存儲或或傳遞的的數(shù)據(jù)常常常被未未經(jīng)授權(quán)權(quán)者篡改改、增刪刪、復(fù)制制或使用用。（2）數(shù)據(jù)據(jù)存取風(fēng)風(fēng)險由于數(shù)據(jù)存存取不當(dāng)當(dāng)所造成成的

11、風(fēng)險險。這種種風(fēng)險主主要來自自于企業(yè)業(yè)內(nèi)部。一一是未經(jīng)經(jīng)授權(quán)的的人員進(jìn)進(jìn)入系統(tǒng)統(tǒng)的數(shù)據(jù)據(jù)庫修改改、刪除除數(shù)據(jù)；二是企企業(yè)工作作人員操操作失誤誤，受其其錯誤數(shù)數(shù)據(jù)的影影響而帶帶來的風(fēng)風(fēng)險，其其結(jié)果必必然是使使企業(yè)效效益受到到損失，或或者是使使顧客利利益受到到損失。（3）網(wǎng)上上支付風(fēng)風(fēng)險網(wǎng)上支付一一直被認(rèn)認(rèn)為是制制約中國國電子商商務(wù)發(fā)展展的最大大瓶頸，許許多企業(yè)業(yè)和個人人擔(dān)心交交易的安安全性而而不愿使使用網(wǎng)上上支付。（4）信息息的截獲獲和竊取取這是指電子子商務(wù)相相關(guān)用戶戶或外來來者未經(jīng)經(jīng)授權(quán)通通過各種種技術(shù)手手段截獲獲和竊取取他人的的文電 HYPERLINK / 內(nèi)內(nèi)容以獲獲取商業(yè)業(yè)機密。（5）信

12、息息的篡改改網(wǎng)絡(luò)攻擊者者依靠各各種技術(shù)術(shù)方法和和手段對對傳輸?shù)牡男畔⑦M(jìn)進(jìn)行中途途的篡改改、刪除除或插入入，并發(fā)發(fā)往目的的地，從從而達(dá)到到破壞信信息完整整性的目目的。（6）拒絕絕服務(wù)拒絕服務(wù)是是指在一一定時間間內(nèi)，網(wǎng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)或服務(wù)務(wù)器服務(wù)務(wù)系統(tǒng)的的作用完完全失效效。其主主要原因因來自黑黑客和病病毒的攻攻擊以及及 HYPERLINK /pc/ 計算機硬硬件的認(rèn)認(rèn)為破壞壞。（7）系統(tǒng)統(tǒng)資源失失竊問題題在網(wǎng)絡(luò)系統(tǒng)統(tǒng)環(huán)境中中，系統(tǒng)統(tǒng)資源失失竊是常常見的安安全威脅脅。（8）信息息的假冒冒信息的假冒冒是指當(dāng)當(dāng)攻擊者者掌握了了網(wǎng)絡(luò)信信息數(shù)據(jù)據(jù) HYPERLINK / 規(guī)律或解解密了商商務(wù)信息息后，可可以假冒

13、冒合法用用戶或假假冒信息息來欺騙騙其它用用戶。主主要表現(xiàn)現(xiàn)形式有有假冒客客戶進(jìn)行行非法交交易，偽偽造電子子郵件等等。（9）交易易的抵賴賴交易抵賴包包括發(fā)信信者事后后否認(rèn)曾曾經(jīng)發(fā)送送過某條條信息；買家做做了定單單后不承承認(rèn)；賣賣家賣出出的商品品因價格格差而不不承認(rèn)原原先的交交易等。風(fēng)險的管理理規(guī)則針對電子商商務(wù)面臨臨的各種種安全風(fēng)風(fēng)險，電電子商務(wù)務(wù)企業(yè)不不能被動動、消極極地應(yīng)付付，而應(yīng)應(yīng)該主動動采取措措施維護(hù)護(hù)電子商商務(wù)系統(tǒng)統(tǒng)的安全全，并監(jiān)監(jiān)視新的的威脅和和漏洞。因因此，這這就需要要制定完完整高效效的電子子商務(wù)安安全風(fēng)險險管理規(guī)規(guī)則。一般來說，風(fēng)風(fēng)險管理理規(guī)則的的制定過過程有評評估、開開發(fā)和實實

14、施以及及運行三三個階段段。（1）評估估階段該階段的主主要任務(wù)務(wù)是對電電子商務(wù)務(wù)的安全全現(xiàn)狀、要要保護(hù)的的信息、各各種資產(chǎn)產(chǎn)等進(jìn)行行充分的的評估以以及一些些基本的的安全風(fēng)風(fēng)險識別別和分析析。對電子商務(wù)務(wù)安全現(xiàn)現(xiàn)狀的評評估是制制定風(fēng)險險管理規(guī)規(guī)則的基基礎(chǔ)。對信息和資資產(chǎn)的評評估是指指對可能能遭受損損失的相相關(guān)信息息和資產(chǎn)產(chǎn)進(jìn)行價價值的評評估，以以便確定定相適應(yīng)應(yīng)的風(fēng)險險管理規(guī)規(guī)則，從從而避免免投入成成本和要要保護(hù)的的信息和和資產(chǎn)的的嚴(yán)重不不匹配。安全風(fēng)險識識別要求求盡可能能地發(fā)現(xiàn)現(xiàn)潛在的的安全風(fēng)風(fēng)險，應(yīng)應(yīng)收集有有關(guān)各種種威脅、漏漏洞、開開發(fā)和對對策的信信息。安全風(fēng)險分分析是確確定風(fēng)險險，收集集信息

15、，對對可能造造成的損損失進(jìn)行行評價以以估計風(fēng)風(fēng)險的級級別，以以便做出出明智的的決策，從從而采取取措施來來規(guī)避安安全風(fēng)險險。（2）開發(fā)發(fā)和實施施階段該階段的任任務(wù)包括括風(fēng)險補補救措施施開發(fā)、風(fēng)風(fēng)險補救救措施測測試和風(fēng)風(fēng)險知識識 HYPERLINK / 學(xué)習(xí)。風(fēng)險補補救措施施開發(fā)利利用評估估階段的的成果來來建立一一個新的的安全管管理策略略，其中中涉及配配置管理理、修補補程序管管理、系系統(tǒng)監(jiān)視視與審核核等等。在完成對風(fēng)風(fēng)險補救救措施的的開發(fā)后后，即進(jìn)進(jìn)行安全全風(fēng)險補補救措施施的測試試，在測測試過程程中，將將按照安安全風(fēng)險險的控制制效果來來評估對對策的有有效性。（3）運行行階段運行階段的的主要任任務(wù)包

16、括括在新的的安全風(fēng)風(fēng)險管理理規(guī)則下下評估新新的安全全風(fēng)險。這這個過程程實際上上是變更更管理的的過程，也也是執(zhí)行行安全配配置管理理的過程程。運行階段的的第二個個任務(wù)是是對新的的或已更更改的對對策進(jìn)行行穩(wěn)定性性測試和和部署。這這個過程程由系統(tǒng)統(tǒng)管理、安安全管理理和網(wǎng)絡(luò)絡(luò)管理小小組來共共同實施施。以上風(fēng)險管管理規(guī)則則的三個個階段可可以用下下圖來表表示：圖1 風(fēng)險險管理規(guī)規(guī)則的三三個階段段電子商務(wù)的的風(fēng)險管管理步驟驟風(fēng)險管理是是識別風(fēng)風(fēng)險、分分析風(fēng)險險并制定定風(fēng)險管管理計劃劃的過程程。電子子商務(wù)安安全風(fēng)險險的管理理和控制制方法，它它包括風(fēng)風(fēng)險識別別、風(fēng)險險分析、風(fēng)風(fēng)險控制制以及風(fēng)風(fēng)險監(jiān)控控等四個個方面

17、。（1）風(fēng)險險識別電子商務(wù)系系統(tǒng)的安安全要求求是通過過對風(fēng)險險的系統(tǒng)統(tǒng)評估而而確認(rèn)的的。為了了有效管管理電子子商務(wù)安安全風(fēng)險險，識別別安全風(fēng)風(fēng)險是風(fēng)風(fēng)險管理理的第一一步。風(fēng)險識別是是在收集集有關(guān)各各種威脅脅、漏洞洞和相關(guān)關(guān)對策等等信息的的基礎(chǔ)上上，識別別各種可可能對電電子商務(wù)務(wù)系統(tǒng)造造成潛在在威脅的的安全風(fēng)風(fēng)險。風(fēng)險識別的的手段五五花八門門，對于于電子商商務(wù)系統(tǒng)統(tǒng)的安全全來說，風(fēng)風(fēng)險識別別的目標(biāo)標(biāo)是主要要是對電電子商務(wù)務(wù)系統(tǒng)的的網(wǎng)絡(luò)環(huán)環(huán)境風(fēng)險險、數(shù)據(jù)據(jù)存在風(fēng)風(fēng)險和網(wǎng)網(wǎng)上支付付風(fēng)險進(jìn)進(jìn)行識別別。需要要注意的的是，并并非所有有的電子子商務(wù)安安全風(fēng)險險都可以以通過風(fēng)風(fēng)險識別別來進(jìn)行行管理，風(fēng)風(fēng)險識別

18、別只能發(fā)發(fā)現(xiàn)已知知的風(fēng)險險或根據(jù)據(jù)已知風(fēng)風(fēng)險較容容易獲知知的潛在在風(fēng)險。而而對于大大部分的的未知風(fēng)風(fēng)險，則則依賴于于風(fēng)險分分析和控控制來加加以解決決或降低低。（2）風(fēng)險險分析風(fēng)險分析是是運用分分析、比比較、評評估等各各種定性性、定量量的方法法，確定定電子商商務(wù)安全全各風(fēng)險險要素的的重要性性，對風(fēng)風(fēng)險排序序并評估估其對電電子商務(wù)務(wù)系統(tǒng)各各方面的的可能后后果，從從而使電電子商務(wù)務(wù)系統(tǒng)項項目實施施人員可可以將主主要精力力放在對對付為數(shù)數(shù)不多的的重要安安全風(fēng)險險上，使使電子商商務(wù)系統(tǒng)統(tǒng)的整體體風(fēng)險得得到有效效的控制制。風(fēng)險險分析是是一種確確定風(fēng)險險以及對對可能造造成的損損失進(jìn)行行評估的的方法，它它是制

19、定定安全措措施的依依據(jù)。風(fēng)險分析的的目標(biāo)是是：確定定風(fēng)險，對對可能造造成損壞壞的潛在在風(fēng)險進(jìn)進(jìn)行定性性化和定定量化，以以及最后后在 HYPERLINK /Economic/ 經(jīng)濟濟上尋求求風(fēng)險損損失和對對風(fēng)險投投入成本本的平衡衡。目前，風(fēng)險險分析主主要采用用的方法法有：風(fēng)風(fēng)險概率率/ HYPERLINK / 影響評估估矩陣，敏敏感性分分析，模模擬等。在在進(jìn)行電電子商務(wù)務(wù)安全風(fēng)風(fēng)險分析析時，由由于各影影響因素素量化在在現(xiàn)實上上的困難難，可根根據(jù)實際際需要，主主要采用用定性方方法為主主輔以少少量定量量方法相相結(jié)合來來進(jìn)行風(fēng)風(fēng)險分析析，為制制定風(fēng)險險管理制制度和風(fēng)風(fēng)險的控控制提供供 HYPERLIN

20、K / 理論上的的依據(jù)。（3）風(fēng)險險控制風(fēng)險控制就就是選擇擇和運用用一定的的風(fēng)險控控制手段段，以保保障風(fēng)險險降到一一個可以以接受的的水平。風(fēng)風(fēng)險控制制是風(fēng)險險管理中中最重要要的一個個環(huán)節(jié)，是是決定風(fēng)風(fēng)險管理理成敗的的關(guān)鍵因因素。電電子商務(wù)務(wù)安全風(fēng)風(fēng)險控制制的目標(biāo)標(biāo)在于改改變企業(yè)業(yè)電子商商務(wù)項目目所承受受的風(fēng)險險程度。一般來說，風(fēng)險控制方法有兩類：第一類是風(fēng)風(fēng)險控制制措施，比比如降低低、避免免、轉(zhuǎn)移移風(fēng)險和和損失管管理等。在在電子商商務(wù)安全全風(fēng)險管管理中，比比較常用用的是轉(zhuǎn)轉(zhuǎn)移風(fēng)險險和損失失管理。第二類為風(fēng)風(fēng)險補償償?shù)幕I資資措施，包包括保險險與自擔(dān)擔(dān)風(fēng)險。在在電子商商務(wù)安全全風(fēng)險管理中，管管理人

21、員員需要對對風(fēng)險補補償?shù)幕I籌資措施施進(jìn)行決決策，即即選擇保保險還是是自擔(dān)風(fēng)風(fēng)險。此外，風(fēng)險險控制 HYPERLINK / 方方法的選選擇應(yīng)當(dāng)當(dāng)充分考考慮相對對風(fēng)險造造成損失失的成本本，當(dāng)然然其它方方面的 HYPERLINK / 影影響也是是不容忽忽視的，如如 HYPERLINK /company/ 企業(yè)商譽譽等。對 HYPERLINK /dianzijixie/ 電子商務(wù)務(wù)安全來來說，其其有效可可行的風(fēng)風(fēng)險控制制方法是是：建立立完整高高效的降降低風(fēng)險險的安全全性解決決方案，掌掌握保障障安全性性所需的的一些基基礎(chǔ)技術(shù)術(shù)，并規(guī)規(guī)劃好發(fā)發(fā)生特定定安全事事故時企企業(yè)應(yīng)該該采取的的解決方方案。風(fēng)險管理對

22、對策由于電子商商務(wù)安全全的重要要性，所所以部署署一個完完整有效效的電子子商務(wù)安安全風(fēng)險險管理對對策顯得得十分迫迫切。制制定電子子商務(wù)安安全風(fēng)險險管理對對策目的的在于消消除潛在在的威脅脅和安全全漏洞，從從而降低低電子商商務(wù)系統(tǒng)統(tǒng)環(huán)境所所面臨的的風(fēng)險。 HYPERLINK / 目前的電子子商務(wù)安安全風(fēng)險險管理對對策中，較較為常用用的是縱縱深防御御戰(zhàn)略，所所謂縱深深防御戰(zhàn)戰(zhàn)略，就就是深層層安全和和多層安安全。通通過部署署多層安安全保護(hù)護(hù)，可以以確保當(dāng)當(dāng)其中一一層遭到到破壞時時，其它它層仍能能提供保保護(hù)電子子商務(wù)系系統(tǒng)資源源所需的的安全。比比如，一一個單位位外部的的防火墻墻遭到破破壞，由由于內(nèi)部部防火

23、墻墻的作用用，入侵侵者也無無法獲取取單位的的敏感數(shù)數(shù)據(jù)或進(jìn)進(jìn)行破壞壞。在較較為理想想的情況況下，每每一層均均提供不不同的對對策以免免在不同同的層中中使用相相同的攻攻擊方法法。下圖圖為一個個有效的的縱深防防御策略略： 圖2 有效效的縱深深防御策策略下面就各層層的主要要防御 HYPERLINK / 內(nèi)內(nèi)容從外外層到里里層進(jìn)行行簡要的的說明：（1）物理理安全物理安全是是整個電電子商務(wù)務(wù)系統(tǒng)安安全的前前提。制制定電子子商務(wù)物物理安全全策略的的目的在在于保護(hù)護(hù) HYPERLINK /pc/ 計算機系系統(tǒng)、電電子商務(wù)務(wù)服務(wù)器器等各電電子商務(wù)務(wù)系統(tǒng)硬硬件實體體和通信信鏈路免免受 HYPERLINK /lix

24、ue/ 自然然災(zāi)害和和人為破破壞造成成的安全全風(fēng)險。（2）周邊防御對 HYPERLINK /network/ 網(wǎng)絡(luò)周邊邊的保護(hù)護(hù)能夠起起到抵御御外界攻攻擊的作作用。電電子商務(wù)務(wù)系統(tǒng)應(yīng)應(yīng)盡可能能安裝某某種類型型的安全全設(shè)備來來保護(hù)網(wǎng)網(wǎng)絡(luò)的每每個訪問問節(jié)點。在在技術(shù)上上來說，防防火墻是是網(wǎng)絡(luò)周周邊防御御的最主主要的手手段，電電子商務(wù)務(wù)系統(tǒng)應(yīng)應(yīng)當(dāng)安裝裝一道或或多道防防火墻，以以確保最最大限度度地降低低外界攻攻擊的風(fēng)風(fēng)險，并并利用入入侵檢測測功能來來及時發(fā)發(fā)現(xiàn)外界界的非法法訪問和和攻擊。（3）網(wǎng)絡(luò)防御網(wǎng)絡(luò)防御是是對網(wǎng)絡(luò)絡(luò)系統(tǒng)環(huán)環(huán)境進(jìn)行行評估，采采取一定定措施來來抵御黑黑客的攻攻擊，以以確保它它們得到到

25、適當(dāng)?shù)牡谋Ｗo(hù)。就就目前來來說，網(wǎng)網(wǎng)絡(luò)安全全防御行行為是一一種被動動式的反反應(yīng)行為為，而且且，防御御技術(shù)的的 HYPERLINK /fazhan/ 發(fā)展速度度也沒有有攻擊技技術(shù)發(fā)展展得那么么快。為為了提高高網(wǎng)絡(luò)安安全防御御能力，使使網(wǎng)絡(luò)安安全防護(hù)護(hù)系統(tǒng)在在攻擊與與防護(hù)的的對抗中中占據(jù)主主動地位位，在網(wǎng)網(wǎng)絡(luò)安全全防護(hù)系系統(tǒng)中，除除了使用用被動型型安全工工具（防防火墻、漏漏洞掃描描等）外外，也需需要采用用主動型型安全防防護(hù)措施施（如：網(wǎng)絡(luò)陷陷阱、入入侵取證證、入侵侵檢測、自自動恢復(fù)復(fù)等）。（4）主機防御主機防御是是對系統(tǒng)統(tǒng)中的每每一臺主主機進(jìn)行行安全評評估，然然后根據(jù)據(jù)評估結(jié)結(jié)果制定定相應(yīng)的的對策以

26、以限制服服務(wù)器執(zhí)執(zhí)行的任任務(wù)。在在主機及及其環(huán)境境中，安安全保護(hù)護(hù)對象包包括用戶戶 HYPERLINK 應(yīng)用環(huán)境境中的服服務(wù)器、客客戶機以以及其上上安裝的的操作系系統(tǒng)和應(yīng)應(yīng)用系統(tǒng)統(tǒng)。這些些應(yīng)用能能夠提供供包括信信息訪問問、存儲儲、傳輸輸、錄入入等在內(nèi)內(nèi)的服務(wù)務(wù)。根據(jù)據(jù)信息保保障技術(shù)術(shù)框架，對對主機及及其環(huán)境境的安全全保護(hù)首首先是為為了建立立防止有有惡意的的內(nèi)部人人員攻擊擊的首道道防線，其其次是為為了防止止外部人人員穿越越系統(tǒng)保保護(hù)邊界界并進(jìn)行行攻擊的的最后防防線。（5）應(yīng)用用程序防防御作為一個防防御層，應(yīng)應(yīng)用程序序的加固固是任何何一種安安全模型型中都不不可缺少少的一部部分。加加強保護(hù)護(hù)操作系系

27、統(tǒng)安全全只能提提供一定定程度的的保護(hù)。因因此，電電子商務(wù)務(wù)系統(tǒng)的的開發(fā)人人員有責(zé)責(zé)任將安安全保護(hù)護(hù)融入到到應(yīng)用程程序中，以以便對體體系結(jié)構(gòu)構(gòu)中應(yīng)用用程序可可訪問到到的區(qū)域域提供專專門的保保護(hù)。應(yīng)應(yīng)用程序序存在于于系統(tǒng)的的環(huán)境中中。（6）數(shù)據(jù)據(jù)防御對許多電子子商務(wù)企企業(yè)來說說，數(shù)據(jù)據(jù)就是企企業(yè)的資資產(chǎn)，一一旦落入入競爭者者手中或或損壞將將造成不不可挽回回的損失失。因此此，加強強對電子子商務(wù)交交易及相相關(guān)數(shù)據(jù)據(jù)的防護(hù)護(hù)，對電電子商務(wù)務(wù)系統(tǒng)的的安全和和電子商商務(wù)項目目的正常常運行具具有重要要的現(xiàn)實實意義電電子商務(wù)務(wù)技術(shù)風(fēng)風(fēng)險控制制針對電子商商務(wù)中潛潛在的各各類技術(shù)術(shù)風(fēng)險，筆筆者提出出利用以以下技術(shù)術(shù)

28、手段建建立一套套完整的的風(fēng)險控控制體系系，將電電子商務(wù)務(wù)的風(fēng)險險減少到到最小。1、網(wǎng)絡(luò)安安全技術(shù)術(shù)網(wǎng)絡(luò)安全是是電子商商務(wù)安全全的基礎(chǔ)礎(chǔ)，一個個完整的的電子商商務(wù)應(yīng)該該建立在在安全的的網(wǎng)絡(luò)基基礎(chǔ)之上上。網(wǎng)絡(luò)絡(luò)安全技技術(shù)涉及及面較廣廣，主要要包括操操作系統(tǒng)統(tǒng)安全、防防火墻技技術(shù)、虛虛擬專用用網(wǎng)技術(shù)術(shù)（VPPN）、漏漏洞識別別與檢測測技術(shù)。1.1 操操作系統(tǒng)統(tǒng)安全操作系統(tǒng)的的安全機機制主要要有：過過濾保護(hù)護(hù)、安全全檢測保保護(hù)以及及隔離保保護(hù)。（1）過濾濾保護(hù)分分析所有有針對受受保護(hù)對對象的訪訪問，過過濾惡意意攻擊以以及可能能帶來不不安全因因素的非非法訪問問。（2）安全全檢測保保護(hù)對所所有用戶戶的操作

29、作進(jìn)行分分析，阻阻止那些些超越權(quán)權(quán)限的用用戶操作作以及可可能給操操作系統(tǒng)統(tǒng)帶來不不安全因因素的用用戶操作作。（3）離保保護(hù)在支支持多進(jìn)進(jìn)程和多多線程的的操作系系統(tǒng)中，必必須保證證同時運運行的多多個進(jìn)程程和線程程之間是是相互隔隔離的，即即各個進(jìn)進(jìn)程和線線程分別別調(diào)用不不同的系系統(tǒng)資源源，且每每一個進(jìn)進(jìn)程和線線程都無無法判斷斷是否還還有其他他的進(jìn)程程或線程程在同時時運行。一一般的隔隔離保護(hù)護(hù)措施有有以下44種：物理隔離離 不同的的進(jìn)程和和線程調(diào)調(diào)用的系系統(tǒng)資源源在物理理上是隔隔離的；暫時隔離離 在特殊殊需要的的時間段段內(nèi)，對對某一個個或某些些進(jìn)程或或線程實實施隔離離，該時時間段結(jié)結(jié)束后解解除隔離離

30、；軟件隔離離 在軟件件層面上上對各個個進(jìn)程的的訪問權(quán)權(quán)限實行行控制和和限制，以以達(dá)到隔隔離的效效果；加密隔離離 采用加加密算法法對相應(yīng)應(yīng)的對象象進(jìn)行加加密。1.2 防防火墻技技術(shù)防火墻是將將專用網(wǎng)網(wǎng)絡(luò)與公公共網(wǎng)絡(luò)絡(luò)隔離開開來的網(wǎng)網(wǎng)絡(luò)節(jié)點點，由硬硬件和軟軟件組成成，其主主要功能能是通過過建立網(wǎng)網(wǎng)絡(luò)通信信的過濾濾機制，控控制和鑒鑒別出入入站點的的各種訪訪問，進(jìn)進(jìn)而有效效地提高高交易的的安全性性。目前前的防火火墻技術(shù)術(shù)主要包包括兩種種類型，第第一類是是包過濾濾技術(shù)，其其運作方方式是監(jiān)監(jiān)視通過過它的數(shù)數(shù)據(jù)流，根根據(jù)防火火墻管理理事先制制定的系系統(tǒng)安全全政策，選選擇性地地決定是是否讓這這些數(shù)據(jù)據(jù)通行；第

31、二類類是代理理網(wǎng)關(guān)技技術(shù)，其其運作方方式是所所有要向向服務(wù)器器索取的的數(shù)據(jù)，都都通過代代理服務(wù)務(wù)器來索索取。目目前，防防火墻技技術(shù)的最最新發(fā)展展趨勢是是分布式式和智能能化防火火墻技術(shù)術(shù)。分布布式防火火墻是嵌嵌入到操操作系統(tǒng)統(tǒng)內(nèi)核中中，對所所有的信信息流進(jìn)進(jìn)行過濾濾與限制制；智能能化防火火墻利用用了統(tǒng)計計、記憶憶、概率率和決策策等智能能技術(shù)，對對網(wǎng)絡(luò)執(zhí)執(zhí)行訪問問控制。1.3 VVPN虛擬專用網(wǎng)網(wǎng)（VPPN）是是依靠IInteerneet服務(wù)務(wù)提供商商（ISSP）和和其他網(wǎng)網(wǎng)絡(luò)服務(wù)務(wù)提供商商（NSSP），在在公用網(wǎng)網(wǎng)絡(luò)中建建立專用用數(shù)據(jù)通通信網(wǎng)絡(luò)絡(luò)的技術(shù)術(shù)。VPPN實現(xiàn)現(xiàn)技術(shù)主主要有：隧道技技術(shù)、

32、虛虛電路技技術(shù)和基基于MPPLS（Mullti-Prootoccol Labbel Swiitchhingg，多協(xié)協(xié)議標(biāo)簽簽交換協(xié)協(xié)議）技技術(shù)?；贛PPLS技技術(shù)的VVPN通通過改善善和加速速數(shù)據(jù)包包處理提提高VPPN效率率，集隧隧道技術(shù)術(shù)和路由由技術(shù)優(yōu)優(yōu)點于一一身，組組網(wǎng)具有有極好的的靈活性性和擴展展性。用用戶只需需一條線線路接入入VPNN網(wǎng)，便便可以實實現(xiàn)任何何節(jié)點之之間的直直接通信信。不過過基于MMPLSS技術(shù)的的VPNN技術(shù)本本身還有有一個成成熟的過過程，但但是它代代表了VVPN的的發(fā)展方方向。 1.4 漏漏洞識別別與檢測測系統(tǒng)大部分管理理員采用用安全漏漏洞掃描描工具對對整個系系統(tǒng)

33、進(jìn)行行掃描，了了解系統(tǒng)統(tǒng)的安全全狀況，如如Miccrossoftt Baasellinee Seecurrityy Annalyyze.許多國國產(chǎn)殺毒毒軟件也也提供安安全測試試程序：將存在在的漏洞洞標(biāo)示出出來，并并提供相相應(yīng)的解解決方法法來指導(dǎo)導(dǎo)用戶進(jìn)進(jìn)行修補補。掃描描方式的的漏洞檢檢測工具具往往無無法得到到目標(biāo)系系統(tǒng)的準(zhǔn)準(zhǔn)確信息息，因此此無法準(zhǔn)準(zhǔn)確判斷斷目標(biāo)系系統(tǒng)的安安全狀況況。模擬擬攻擊測測試是解解決這一一問題的的有效方方法，可可以準(zhǔn)確確判斷目目標(biāo)系統(tǒng)統(tǒng)是否存存在測試試的漏洞洞。但是是由于漏漏洞的多多樣性和和復(fù)雜性性，現(xiàn)有有的模擬擬攻擊測測試系統(tǒng)統(tǒng)發(fā)展緩緩慢。2、數(shù)據(jù)加加密技術(shù)術(shù)在網(wǎng)絡(luò)中，

34、計計算機的的數(shù)據(jù)以以數(shù)據(jù)包包的形式式傳輸。為為了防止止信息被被竊取，應(yīng)應(yīng)當(dāng)對發(fā)發(fā)送的全全部信息息進(jìn)行加加密。加加密傳輸輸形式是是一種將將傳送的的內(nèi)容變變成一些些不規(guī)則則的數(shù)據(jù)據(jù)，只有有通過正正確的密密鑰才可可以恢復(fù)復(fù)原文的的面貌。根根據(jù)密鑰鑰的特點點，加密密算法分分為對稱稱密鑰加加密算法法（私鑰鑰密碼體體制）和和非對稱稱密鑰加加密算法法（公鑰鑰密碼體體制）。目目前常用用的對稱稱密鑰加加密算法法有DEES（Datta EEncrrypttionn Sttanddardd） 算法和和IDEEA（Intternnatiionaal DDataa Enncryyptiion Alggoriithmm）

35、算法法。常用用的非對對稱密鑰鑰加密算算法有RRSA算算法和EEIGaamall算法。非非對稱密密鑰加密密算法在在實際應(yīng)應(yīng)用中包包括以下下幾種安安全技術(shù)術(shù)方式：數(shù)字摘摘要技術(shù)術(shù)，即單單向哈希希函數(shù)技技術(shù)、數(shù)數(shù)字簽名名技術(shù)、數(shù)數(shù)字證書書技術(shù)等等。非數(shù)學(xué)的加加密理論論與技術(shù)術(shù)近年來來也發(fā)展展非常迅迅速，成成為繼傳傳統(tǒng)加密密方式后后的一種種新的選選擇：（1）信息息隱藏（Infformmatiion Hiddingg） 即信息息偽裝，也稱數(shù)數(shù)據(jù)隱藏藏（Datta HHidiing）、數(shù)字字水?。―iggitaal WWateermaarkiing），是將將秘密信信息秘密密地隱藏藏于另一一非機密密文件之之

36、中，利用數(shù)數(shù)字化聲聲像信號號對于人人們的視視覺、聽聽覺的冗冗余，進(jìn)行各各種時空空域和變變換域的的信息隱隱藏，從而實實現(xiàn)隱藏藏通信。主主要以灰灰度/彩色圖圖像、音音頻和視視頻信息息以及文文本作為為信息隱隱藏的載載體，代代表算法法有LSSB算法法和DCCT變換換域算法法。（2）量子子密碼（Quaantuum CCrypptoggrapphy） 是以Heeiseenbeerg測測不準(zhǔn)原原理和EEPR（Einnsteein Rossen）效應(yīng)為為物理基基礎(chǔ)發(fā)展展起來的的一種密密碼技術(shù)術(shù)，真正實實現(xiàn)一次次一密碼碼，構(gòu)成理理論上不不可破譯譯的密碼碼體制。量量子密碼碼的研究究進(jìn)展順順利，雖雖然還有有很多問問

37、題需要要解決，但但某些方方面尤其其是子密密鑰分發(fā)發(fā)已經(jīng)逐逐步趨于于實用。3、身份認(rèn)認(rèn)證技術(shù)術(shù)網(wǎng)絡(luò)的虛擬擬性使得得要保證證每個參參與者都都能被無無誤地識識別，就就必須使使用身份份認(rèn)證技技術(shù)。在在計算機機網(wǎng)絡(luò)中中，現(xiàn)有有的用戶戶身份認(rèn)認(rèn)證技術(shù)術(shù)基本上上可以分分為3類：（1）基于于口令的的認(rèn)證方方式基于口令的的認(rèn)證方方式是最最基本的的認(rèn)證方方式，但但是存在在嚴(yán)重安安全隱患患。安全全性完全全依賴于于口令，一一旦口令令泄漏，用用戶即被被冒充；而且用用戶選擇擇的口令令比較簡簡單，容容易被猜猜測。（2）基于于安全物物品的認(rèn)認(rèn)證方式式主要有電子子簽名和和認(rèn)證卡卡兩種方方式。電電子簽名名是電子子形式的的數(shù)據(jù)，是

38、是與數(shù)據(jù)據(jù)電文（電電子文件件、電子子信息）相相聯(lián)系的的用于識識別簽名名人的身身份和表表明簽名名人認(rèn)可可該數(shù)據(jù)據(jù)電文內(nèi)內(nèi)容的數(shù)數(shù)據(jù)。目目前廣泛泛應(yīng)用于于電子商商務(wù)實踐踐的電子子簽名即即數(shù)字簽簽名，是是通過向向第三方方的簽名名認(rèn)證機機構(gòu)提出出申請，由由機構(gòu)進(jìn)進(jìn)行審查查，頒發(fā)發(fā)數(shù)字證證書來取取得自己己的數(shù)字字簽名。用用戶在發(fā)發(fā)送信息息時使用用自己的的私有密密鑰對信信息進(jìn)行行數(shù)字簽簽名，再再使用接接受方的的公共密密鑰將信信息進(jìn)行行加密傳傳輸，接接收方使使用自己己的私有有密鑰解解密信息息，同時時使用發(fā)發(fā)送方的的公開簽簽名密鑰鑰核實信信息的數(shù)數(shù)字簽名名。智能能卡認(rèn)證證方式具具有硬件件加密功功能，因因而具有

39、有較高的的安全性性。進(jìn)行行認(rèn)證時時，用戶戶輸入個個人身份份識別碼碼（PIIN），智智能卡認(rèn)認(rèn)證PIIN成功功后，即即可讀出出卡中的的秘密信信息，與與驗證服服務(wù)器之之間進(jìn)行行認(rèn)證。 （3）基于于生物特特征的認(rèn)認(rèn)證方式式以人體唯一一的、可可靠的、穩(wěn)穩(wěn)定的生生物特征征（如指指紋、虹虹膜、人人臉、掌掌紋、耳耳郭、聲聲音）為為依據(jù)，利利用圖像像處理與與模式識識別技術(shù)術(shù)進(jìn)行認(rèn)認(rèn)證。基基于密碼碼的認(rèn)證證技術(shù)存存在密碼碼難以記記憶，容容易被黑黑客破譯譯的缺點點。而基基于生物物特征的的認(rèn)證方方式具有有很好的的安全性性、可靠靠性和有有效性，正正逐漸成成為一種種新的身身份認(rèn)證證方式，特特別是近近幾年來來，全球球生物

40、識識別技術(shù)術(shù)的飛速速發(fā)展為為生物認(rèn)認(rèn)證提供供了廣泛泛的技術(shù)術(shù)支持。其其中，基基于人臉臉識別的的認(rèn)證技技術(shù)已經(jīng)經(jīng)成為當(dāng)當(dāng)前的研研究熱點點，主要要方法有有基于幾幾何特征征的人臉臉識別方方法與基基于統(tǒng)計計的人臉臉識別方方法，并并且已有有產(chǎn)品投投入網(wǎng)絡(luò)絡(luò)安全領(lǐng)領(lǐng)域，如如Truue FFacee Cyyberr Waatchh.4、數(shù)據(jù)庫庫安全機機制數(shù)據(jù)庫安全全最重要要的一點點就是確確保只授授權(quán)給有有資格的的用戶訪訪問數(shù)據(jù)據(jù)庫的權(quán)權(quán)限，同同時令所所有未被被授權(quán)的的人員無無法接近近數(shù)據(jù)，這這主要通通過數(shù)據(jù)據(jù)庫系統(tǒng)統(tǒng)的存取取控制機機制實現(xiàn)現(xiàn)。存取取控制機機制主要要包括兩兩部分：（1）定義義用戶權(quán)權(quán)限，并并將

41、用戶戶權(quán)限登登記到數(shù)數(shù)據(jù)字典典中。（2）合法法權(quán)限檢檢查，每每當(dāng)用戶戶發(fā)出存存取數(shù)據(jù)據(jù)庫的操操作請求求后，DDBMSS查找數(shù)數(shù)據(jù)字典典，根據(jù)據(jù)安全規(guī)規(guī)則進(jìn)行行合法權(quán)權(quán)限檢查查。若用用戶的操操作請求求超出了了定義的的權(quán)限，系系統(tǒng)將拒拒絕執(zhí)行行此操作作。一旦數(shù)據(jù)遭遭到破壞壞，就必必須采取取補救措措施。建建立嚴(yán)格格的數(shù)據(jù)據(jù)備份與與恢復(fù)管管理機制制是保障障數(shù)據(jù)庫庫系統(tǒng)安安全的有有效手段段。數(shù)據(jù)據(jù)備份可可以分為為2個層次次：硬件件級和軟軟件級。硬硬件級的的備份是是指用冗冗余的硬硬件來保保證系統(tǒng)統(tǒng)的連續(xù)續(xù)運行。軟軟件級的的備份指指的是將將系統(tǒng)數(shù)數(shù)據(jù)保存存到其他他介質(zhì)上上，當(dāng)出出現(xiàn)錯誤誤時可以以將系統(tǒng)統(tǒng)恢復(fù)

42、到到備份時時的狀態(tài)態(tài)，這種種方法可可以完全全防止邏邏輯損壞壞。5、第三方方認(rèn)證CCA與采用其他他交易方方式相比比，采用用電子商商務(wù)交易易模式的的各方還還有更多多的風(fēng)險險，這些些在電子子商務(wù)中中所特有有的風(fēng)險險有：賣賣方在網(wǎng)網(wǎng)站上對對產(chǎn)品進(jìn)進(jìn)行不實實宣傳，欺欺詐行為為的風(fēng)險險；買方方發(fā)出惡惡意訂單單的風(fēng)險險；交易易一方對對電子合合同否認(rèn)認(rèn)的風(fēng)險險；交易易信息傳傳送風(fēng)險險，如信信息被竊竊、被修修改等風(fēng)風(fēng)險。這這些風(fēng)險險的存在在，需要要設(shè)立第第三方認(rèn)認(rèn)證技術(shù)術(shù)中心，為為在網(wǎng)上上交易各各方交易易資料的的傳遞進(jìn)進(jìn)行加密密、驗證證和對交交易過程程進(jìn)行監(jiān)監(jiān)察。CCA認(rèn)證證技術(shù)中中心是一一個確保保信任的的權(quán)威

43、實實體，它它的主要要職責(zé)是是頒發(fā)證證書，驗驗證用戶戶身份的的真實性性。任何何相信CCA的人人，按照照第三方方信任原原則，也也都應(yīng)該該相信持持有證明明的用戶戶。CAA發(fā)放的的證書有有SSLL和SETT兩種。SSSL （Seccuree Soockeets Layyer）安全協(xié)議又又叫“安全套套接層協(xié)協(xié)議”，主要要用于提提高應(yīng)用用程序之之間數(shù)據(jù)據(jù)的安全全系數(shù)，一一般服務(wù)務(wù)于銀行行對企業(yè)業(yè)或企業(yè)業(yè)對企業(yè)業(yè)的電子子商務(wù)。SET協(xié)議（Secure Electronic Transaction）位于應(yīng)用層層，用來來保證互互聯(lián)網(wǎng)上上銀行卡卡支付交交易安全全性，一一般服務(wù)務(wù)于持卡卡消費、網(wǎng)網(wǎng)上購物物等。結(jié)論電子商務(wù)的的開展以以信息技技術(shù)為基基礎(chǔ)，如如何解決決電子商商務(wù)中存存在的安安全問題題已成為為一個迫迫在眉睫睫的課題題。電子子商務(wù)風(fēng)風(fēng)險是不不可能完完全消除除的，因因為它是是與電子子商務(wù)共共生的，是是電子商商務(wù)的必必然產(chǎn)物物，但是是，可以以將風(fēng)險險限制在在影響最最小的范范圍之內(nèi)內(nèi)。只有有了解風(fēng)風(fēng)險，才才能規(guī)避避風(fēng)險。本本文從安安全風(fēng)險險管理的的角度出出發(fā)，分分析了電電子商務(wù)務(wù)中可能