电子商务信息安全论文

前言：想要写出一篇引人入胜的文章？我们特意为您整理了电子商务信息安全论文范文，希望能给你带来灵感和参考，敬请阅读。

1电子商务安全威胁与需求

1.1主要安全威胁

电子商务建设主要面临着账户安全威胁、交易安全威胁、基础网络威胁、业务连续性威胁。

（1）账户安全威胁。账户安全是电子商务信息安全的基础，账户安全威胁主要来源于账户被盗与垃圾注册。

（2）交易安全威胁。现阶段在电子商务交易过程中发生的安全威胁主要包括恶意评价、交易欺诈、不良信息。

（3）基础网络威胁。电子商务是构建在互联网上的交易平台，同样面临着DDoS、端口扫描、密码暴力破解、网站后门等安全威胁。

（4）业务连续性威胁。在电子商务领域主要面临着特有的业务高弹性变化威胁，因为业务发展过快或网上促销活动等原因，电子商务企业会面临着大量客户访问超出现有系统设计容量的局面，而中小企业受限于资金规模导致其无力建设后备系统用于满足无法预测的业务访问量，最终影响电子商务网站对外提供服务的连续性。

1.2安全需求

电子商务信息安全建设的需求主要来自于业务连续性、保护账户和交易信息安全、电子商务网站自身的安全性。

（1）业务连续性是电子商务业务的第一要素，应采用防DDoS技术、系统弹性扩容技术来保障电子商务对外业务的连续性。

（2）使用公共网络的电子商务账户信息和在线交易中的信息宜受保护，应采用加密技术、黑名单、防钓鱼、数字签名技术来防止欺诈活动，保证账户和交易信息安全。

（3）电子商务网站自身的安全性宜受保护，应采取检测网站漏洞、挂马、端口安全、网站后门等安全手段，防密码暴力破解及管理员异地登录预警等技术来保障系统的安全性。

2电子商务信息安全的关键标准研制

针对目前电子商务信息安全技术、管理、业务应用等领域工作存在的界定不清、内容不全、深度不统一等问题，通过技术标准、管理标准进行规范统一变得尤为重要。结合电子商务实际情况，在电子商务信息技术、业务应用、安全管理等方面标准研究的基础上，主要进行以下标准研究。

2.1电子商务信息安全技术标准

确立电子商务信息安全保障总体架构，为电子商务所涉及的信息安全技术、信息业务应用安全、信息安全管理等方面安全要求的实施提供指导。从需求分析、方案设计、安全评估、运行等方面对信息安全建设实施给予指导。

2.1.1业务应用安全业务应用安全是指在物理安全、网络安全等安全环境的支持下，实现业务应用的安全目标，主要涉及到服务器端与客户端相应的安全服务。

（1）服务器端的交易服务、数据服务、Web服务、文件服务等部件及其安全方面的属性要求。交易服务及其安全属性要求，为了使电子交易安全可靠，必须建立一个安全、便捷的电子商务应用环境，保证整个电子商务交易活动中信息的安全性、匿名性和完整性，交易信息服务提供了安全、可靠的电子交易在线/离线运算。数据服务及其安全属性要求，局域网中的一台或多台计算机及其数据库管理系统软件共同构成了数据库服务，数据库服务为客户应用提供服务。这些服务是查询、更新、事务管理、索引、高速缓存、查询优化、安全及多用户存取控制等。通过传输层和应用层安全协议、电子签名、标识与鉴别、密码技术、抗抵赖、内容安全、访问控制和PKI等实现安全防护。Web服务及其安全属性要求，Web服务主要功能是提供信息传输与交换服务。主要解决网络通信和信息交换过程中的访问控制、实体鉴别以及传输过程中的信息机密性、完整性问题。文件服务及其安全属性要求，在计算机网络中，以文件数据共享为目标，需要将多台计算机共享的文件存放于一台计算机中。这台计算机被称为文件服务器，文件服务器具有分时系统管理的全部功能，能够对全网统一管理，能够提供网络用户访问文件、目录的并发控制和安全保密措施。

（2）客户端的应用程序模型分类和安全方面的属性要求。客户端的应用程序模型大致分为两种：C/S（客户端/服务器模型）和B/S（浏览器/服务器模型）。客户端的安全性主要是指应用层次的安全性，主要通过用户权限、角色分配来实现。对于客户端应用程序来说，通常需要通过公共密钥基础设施（PKI）为应用提供可靠的安全服务。

2.1.2信息安全建设实施电子商务信息安全建设流程可划分为6个阶段:风险评估、需求分析、方案设计、测试、系统安装调试、正式运行等。

（1）风险评估。运用风险评估方法计算企业整体的资产价值、弱点、威胁发生的几率及可能造成的影响等。评估时应考虑下面的因素：①信息安全可能造成的商业损失，并把损失的潜在后果也考虑进来。②在极为普遍的危害和采取的相应措施的作用下，故障实际发生的可能性。

（2）需求分析。在项目的计划阶段，项目需求部门应与项目建设部门共同讨论信息系统的安全需求，明确重要的安全需求点，安全需求分析应该作为项目需求分析报告的组成部分。①项目需求部门与项目建设部门应对系统进行风险分析，考虑业务处理流程中的技术控制要求、业务系统及其相关在线系统运行过程中的安全控制要求，在满足相关法律、法规、技术规范和标准等的约束下，确定系统的安全需求。②对系统安全应遵循适度保护的原则，需在满足以下基本要求的前提下，实施与业务安全等级相符合的安全机制：通过必要的技术手段建立适当的安全管控机制，保证数据信息在处理、存储和传输过程中的完整性和安全性，防止数据信息被非法使用、篡改和复制。实施必要的数据备份和恢复控制。实施有效的用户和密码管理，能对不同级别的用户进行有限授权，防止非法用户的侵入和破坏。③系统的安全需求及其分析需经过项目组内部充分讨论，项目需求方和项目建设方应对安全需求及其分析的理解达成一致。

（3）方案设计。项目建设部门应根据确定的安全需求设计系统安全技术方案，应满足以下要求：系统安全技术方案要满足所有安全需求，并符合公安部、工信部和主管部门的法规和标准要求。系统安全技术方案应至少包括网络安全设计、操作系统和数据库安全、应用软件安全设计等部分。系统安全技术方案涉及采用的安全产品，应符合国家有关法律法规。

（4）测试。①信息系统安全功能测试在信息系统测试阶段，应根据信息系统安全功能需求进行测试，确保所有设计的安全功能均能得到落实和实现。在测试报告或相关文档中应明确说明检查列表中各项安全功能的落实和实现情况。②测试过程的安全管理在信息系统开发测试过程中，对于来自业务系统的数据要根据相关规定进行变形处理，禁止在开发或测试环境中直接使用生产系统的密钥和用户密码等重要数据。测试环境要依据相关规定进行合适的管理和安全防护，并通过相应的手段确保与生产系统、开发系统隔离。

（5）系统安装调试。在信息系统安装部署时，应采取相应措施确保系统安全功能的实现，对操作系统、数据库、应用系统等软件的安装部署和配置应该符合相应的安全规范和标准。信息系统投产前应进行安全评估或审查，通过审查系统设计文档中的安全功能设计、系统测试文档中的安全功能测试，确保系统本身安全功能的实现。通过审核系统安装与配置过程或文档，确保系统安全配置的落实与实现。

（6）正式运行。系统投入正式运行后，需清除系统中各种临时数据，进行管理权交接，开发方不得随意更改安全策略和系统配置。

2.2电子商务平台安全管理标准

通过总结现有电子商务交易过程中遇到的安全问题，经过提炼和深化，系统规定电子商务交易平台安全管理类型，如用户安全管理、交易安全管理、信息安全管理、管理安全规范等的系统规定。

（1）用户安全管理：主要对电商企业账户体系的安全和用户信息的安全管理进行规范；对用户注册、用户信息的使用、用户隐私保护、用户信息的管理提供保护措施。

（2）交易安全管理：主要对电商企业在交易过程中遇到的如商品质量问题、物流安全问题、交易欺诈问题、评价体系等进行规定；以保障消费者权益，建立健全的网上交易信誉体系。

（3）信息安全管理：重点对电商企业在信息的、传输、管理、存储、控制等进行规定。

（4）管理安全规范：重点对电商企业在安全管理中的人员配备、工作流设置、管理制度上做规定。

作者：颜鹰 李宁 单位：中国计量学院 浙江省标准化研究院