电子商务安全案例及分析电子商务安全案例及分析.doc

甘肃政法学院 本科生实验报告 （六） 姓名: 学院:信息工程学院 专业:信息管理与信息工程学院 班级:2013级信息管理与信息系统本科班 实验课程名称:电子商务安全 实验日期: 2015 年 6 月 19 日 指导教师及职称: 实验成绩: 开课时间： 2014-2015学年 二 学期 甘肃政法学院实验管理中心印制 实验题目 电子商务安全案例及分析 小组合作 否 姓名 班级 13信管班 学 号 201381020125 一、实验目的 某商务网站系统结构 如上图所示，是某商务网站系统结构，请为该网站设计安全策略与机制（1、2任选1例分析）： 设计该网站安全体系，并阐明不同安全技术与安全机制工作的层面与原理 认真分析上图中的系统结构，论述，如何保证该商务网站的信息安全，WEB服务器安全、数据库安全？（可以从以下几个方面分析，论述：访问控制、防火墙设置、系统入侵检测等） 二．实验环境 实验室网络环境 三、实验内容与步骤 认真分析上图中的系统结构，论述，如何保证该商务网站的信息安全，WEB服务器安全、数据库安全？（可以从以下几个方面分析，论述：访问控制、防火墙设置、系统入侵检测等） 实验过程与分析 1、保证信息安全 1）针对病毒的技术：作为电子商务安全的最大威胁，对于计算机病毒的防范市重中之重。对于病毒，处理态度应该以预防为主，查杀为辅。因为病毒的预防工作在技术层面上臂查杀要更为简单。多种预防措施的并行应用很重要，比如对全新计算机硬件、软件进行全面的检测；利用病毒查杀软件对文件进行实时的扫描；定期进行相关数据备份；服务器启动采取硬盘启动；相应网络目录和文件设置相应的访问权限等等。同时在病毒感染时保证文件的及时隔离。 在计算机系统感染病毒的情况下，第一时间清除病毒文件并及时恢复系统。而在清除病毒时也要注意尽可能找出病毒宿主程序；防止文件型病毒感染其他程序，防止清除过程中删除有用文件等等。 2）防火墙应用：经过几年的发展和推广，防火墙是已经成为目前最重要的网络防护设备。防火墙是在多个网络间实施访问控制的组件集合。其目的是在网络之间建立一个控制关卡，以“允许”、“拒绝”等选项口令对进出内部网的访问进行审查控制，以此来防止非法用户侵入，保护内部网络设备不被破坏，增强企业内部网络的安全性。 3）数据加密技术的引入：数据加密（Data encrypt）是把原始数据通过某种算法进行再组织，再传输在网络公共信道上。这样处理之后，当有人恶意接收时，由于没有密钥，非法接受者无法得到文件的原始数据而不能达到其非法目的。而合法接收者则可以利用密钥进行解密，得到最真实的原始数据。 数据加密技术在一定程度上保证了文件数据的私密性，让非法接受者窃取文件后无法应用。不过密匙的必威体育官网网址又成了另一难题，非法接收者可能会通过破译方法获取密钥。因此，为了最大程度上降低密匙被破译的危险，需要建立一套严密的密钥管理机制。一方面要提高相关工作人员的职业素养，另一方面要加长密钥数位的长度。密钥越长越安全。不过越长的密匙所导致的加密和解密的时间自然也就越长，这样就会影响数据传输的效率。因此，用多长多复杂的密匙需要根据公司和商务内容的具体情况和对安全级别要求的不同程度来选择。 目前主流的加密体制分为私钥和公钥两大类：相对来说，公钥加密体制为双钥或非对称加密体制，接收方不能进行篡改伪造加密的数据，这样就为数据的必威体育官网网址、完整和不可否认性加上了保险。尽管有诸多好处，但目前能够兼容不同公司不同商务活动形式的公钥并不多，不兼容的公钥加密会严重影响电子商务的交易效率。 4）CA安全认证：目前对于解决电子商务的安全问题，国际通行的做法是采用CA安全认证系统。CA认证中心是一个受绝大多数人信任的第三方机构，在电子商务中属于仲裁机构。在电子商务系统中，所有的实体数字证书都由CA证书授权中心分发且签名。 5）虚拟私有网技术：虚拟私有网（VPN）使用的是开放公共信道，并通过附加协议处理，向用户提供的虚拟私有网络。虚拟私有网的实现过程使用了安全隧道技术、信息加密技术等众多技术。其中安全隧道技术是核心技术，它使用加密与封装相结合的技术对用户数据进行安全保护。 6）可控的自主产品：相关信息产品国产化对于我们企业的商务安全乃至对于我们的互联网发展来说都是极其重要的，自主信息产品的成功研发并广泛应用是信息安全的根本。基于自主核心技术的信息安全技术下，进行相关产品的研发与实际应用必须加强。要将这一课题发展成为一个产业，且是一个独立自主的产业，只有这样才能建立独立自主的信息安全环境。 在这方面，除了相关企业要加强研发，应用企业要加强合作意识之外，国家也要制定相关政策，加大这方面自主知识产权产品的投入，拖入包括资金技术和人力等多方面。 2、WEB服务器的安全　 1）