時間:2023-09-22 09:42:57
序論:在您撰寫電子商務安全事件時,參考他人的優秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發您的創作熱情,引導您走向新的創作高度。
關鍵字 電子商務 網絡安全 事件類型 安全建議
1前言
隨著Internet的快速發展,電子商務已經逐漸成為人們進行商務活動的新模式。越來越多的人通過Internet進行商務活動。電子商務的發展前景十分誘人,而其安全問題也變得越來越突出。近年來,網絡安全事件不斷攀升,電子商務金融成了攻擊目標,以網頁篡改和垃圾郵件為主的網絡安全事件正在大幅攀升。國家計算機網絡應急技術處理協調中心(以下簡稱CNCERT/CC)作為接收國內網絡安全事件報告的重要機構,2005年上半年共收到網絡安全事件報告65679件,為2004年全年64686件還要多。在CNCERT/CC處理的網絡安全事件報告中,網頁篡改占45.91%,網絡仿冒占29%,其余為拒絕服務攻擊、垃圾郵件、蠕蟲、木馬等,2004年以來,我國面臨的網絡仿冒威脅正在逐漸加大,仿冒對象主要是金融網站和電子商務網站。數字顯示,電子商務等網站極易成為攻擊者的目標,其安全防范有待加強。如何建立一個安全、便捷的電子商務應用環境,對信息提供足夠的保護,已經成為商家和用戶都十分關心的話題。
2影響電子商務發展的主要網絡安全事件類型
一般來說,對電子商務應用影響較多、發生率較高的互聯網安全事件可以分為網頁篡改、網絡蠕蟲、拒絕服務攻擊、特羅伊木馬、計算機病毒、網絡仿冒等,而近幾年來出現的網絡仿冒(Phishing),已逐步成為影響電子商務應用與發展的主要威脅之一。
2.1網絡篡改
網絡篡改是指將正常的網站主頁更換為黑客所提供的網頁。這是黑客攻擊的典型形式。一般來說,主頁的篡改對計算機系統本身不會產生直接的損失,但對電子商務等需要與用戶通過網站進行溝通的應用來說,就意味著電子商務將被迫終止對外的服務。對企業網站而言,網頁的篡改,尤其是含有攻擊、丑化色彩的篡改,會對企業形象與信譽造成嚴重損害。
2.2網絡蠕蟲
網絡蠕蟲是指一種可以不斷復制自己并在網絡中傳播的程序。這種程序利用互聯網上計算機系統的漏洞進入系統,自我復制,并繼續向互聯網上的其它系統進行傳播。網絡蠕蟲的危害通常有兩個方面:1、蠕蟲在進入被攻擊的系統后,一旦具有控制系統的能力,就可以使得該系統被他人遠程操縱。其危害一方面是重要系統會出現失密現象,另一方面會被利用來對其他系統進行攻擊。2、蠕蟲的不斷蛻變并在網絡上的傳播,可能導致網絡被阻塞的現象發生,從而致使網絡癱瘓,使得各種基于網絡的電子商務等應用系統失效。
2.3拒絕服務攻擊
拒絕服務攻擊是指在互聯網上控制多臺或大量的計算機針對某一個特定的計算機進行大規模的訪問,使得被訪問的計算機窮于應付來勢兇猛的訪問而無法提供正常的服務,使得電子商務這類應用無法正常工作。
一般來說,這是黑客常用的一種行之有效的方法。如果所調動的攻擊計算機足夠多,則更難進行處置。尤其是被蠕蟲侵襲過的計算機,很容易被利用而成為攻擊源,并且這類攻擊通常是跨網進行的,加大了打擊犯罪的難度。
2.4特羅伊木馬
特羅伊木馬(簡稱木馬)是一種隱藏在計算機系統中不為用戶所知的惡意程序,通常用于潛伏在計算機系統中來與外界連接,并接受外界的指令。被植入木馬的計算機系統內的所有文件都會被外界所獲得,并且該系統也會被外界所控制,也可能會被利用作為攻擊其它系統的攻擊源。很多黑客在入侵系統時都會同時把木馬植入到被侵入的系統中。
2.4網絡仿冒(Phishing)
Phishing又稱網絡仿冒、網絡欺詐、仿冒郵件或者釣魚攻擊等,是黑客使用欺詐郵件和虛假網頁設計來誘騙收件人提供信用卡帳號、用戶名、密碼、社會福利號碼等,隨后利用騙得的帳號和密碼竊取受騙者金錢。近年來,隨著電子商務、網上結算、網上銀行等業務在日常生活中的普及,網絡仿冒事件在我國層出不窮,諸如中國銀行網站等多起金融網站被仿冒。網絡仿冒已經成為影響互聯網應用,特別是電子商務應用的主要威脅之一。
根據國際反仿冒郵件工作小組(Anti-Phishing Working Group,APWG)統計,2005年4月共有2854起仿冒郵件事件報告;從2004年7月至2005年4月,平均每月的仿冒郵件事件報告數量的遞增達率15%;僅在2005年4月,就共有79個各類機構被仿冒。2005年上半年CNCERT/CC廣東分中心就處理了15多期的網絡仿冒事件。從這些數字可以看到,Phishing事件不僅數量多、仿冒范圍大,而且仍然在不斷增長。
網絡仿冒者為了逃避相關組織和管理機構的打擊,充分利用互聯網的開放性,往往會將仿冒網站建立在其他國家,而又利用第三國的郵件服務器來發送欺詐郵件,這樣既便是仿冒網站被人舉報,但是關閉仿冒網站就比較麻煩,對網絡欺詐者的追查就更困難了,這是現在網絡仿冒犯罪的主要趨勢之一。
據統計,中國已經成為第二大仿冒網站的屬地國,僅次于美國,而就目前CNCERT/CC的實際情況來看,已經接到多個國家要求協助處理仿冒網站的合作請求。因此,需要充分重視網絡仿冒行為的跨國化。
3安全建議
隨著網絡應用日益普及和更為復雜,網絡安全事件不斷出現,電子商務的安全問題日益突出,需要從國家相關法律建設的大環境到企業制定的電子商務網絡安全管理整體架構的具體措施,才能有效保護電子商務的正常應用與發展。
3.1不斷完善法律與政策依據 充分發揮應急響應組織的作用
目前我國對于互聯網的相關法律法規還較為欠缺,尤其是互聯網這樣一個開放和復雜的領域,相對于現實社會,其違法犯罪行為的界定、取證、定位都較為困難。因此,對于影響電子商務發展的基于互聯網的各類網絡安全事件的違法犯罪行為的立法,需要一個漫長的過程。
根據互聯網的體系結構和網絡安全事件的特點,需要建立健全協調一致,快速反應的各級網絡應急體系。要制定有關管理規定,為網絡安全事件的有效處理提供法律和政策依據。
轉貼于 互聯網應急響應組織是響應并處理公共互聯網網絡與信息安全事件的組織,在我國,CNCERT/CC是國家級的互聯網應急響應組織,目前已經建立起了全國性的應急響應體系;同時,CNCERT/CC還是國際應急響應與安全小組論壇(FIRST,Forum of Incident Response and Security Teams)等國際機構的成員。
應急響應組織通過發揮其技術優勢,利用其支撐單位,即國內主要網絡安全廠商的行業力量,為相關機構提供網絡安全的咨詢與技術服務,共同提高網絡安全水平,能有效減少各類的網絡事件的出現;通過聚集相關科研力量,研究相關技術手段,以及如何建立新的電子交易的信任體系,為電子商務等互聯網應用的普及和順利發展提供前瞻性的技術研究方面具有積極意義。
對于目前跨國化趨勢的各類網絡安全事件,可以通過國際組織之間的合作,利用其協調機制,予以積極處理。事實上,從CNCERT/CC成立以來,已經成功地處理了多起境外應急響應組織提交的網絡仿冒等安全事件協查請求,關閉了上百個各類仿冒網站;同時,CNCERT/CC充分發揮其組織、協調作用,成功地處理了國內網頁篡改、網絡仿冒、木馬等網絡安全事件。
3.2建立整體的網絡安全架構 切實保障電子商務的應用發展
從各類網絡安全事件分析中我們看到,電子商務的網絡安全問題不是純粹的計算機安全問題,從企業的角度出發,應該建立整體的電子商務網絡安全架構,結合安全管理以及具體的安全保護、安全監控、事件響應和恢復等一套機制來保障電子商務的正常應用。
3.2.1安全管理
安全管理主要是通過嚴格科學的管理手段以達到保護企業網絡安全的目的。內容可包括安全管理制度的制定、實施和監督,安全策略的制定、實施、評估和修改,相關人員的安全意識的培訓、教育,日常安全管理的具體要求與落實等。
3.2.2安全保護
安全保護主要是指應用網絡安全產品、工具和技術保護網絡系統、數據和用戶。這種保護主要是指靜態保護,通常是一些基本的防護,不具有實時性,如在防火墻的規則中實施一條安全策略,禁止所有外部網用戶到內部網Web服務器的連接請求,一旦這條規則生效,它就會持續有效,除非我們改變這條規則。這樣的保護能預防已知的一些安全威脅,而且通常這些威脅不會變化,所以稱為靜態保護。
3.2.3安全監控/審計
安全監控主要是指實時監控網絡上正在發生的事情,這是任何一個網絡管理員都想知道的。審計一直被認為是經典安全模型的一個重要組成部分。審計是通過記錄通過網絡的所有數據包,然后分析這些數據包,幫助查找已知的攻擊手段、可疑的破壞行為,來達到保護網絡的目的。
安全監控和審計是實時保護的一種策略,它主要滿足一種動態安全的需求。因為網絡安全技術在發展的同時,黑客技術也在不斷的發展,網絡安全不是一成不變的,也許今天對你來說安全的策略,明天就會變得不安全,因此我們應該時刻關注網絡安全的發展動向以及網絡上發生的各種各樣的事情,以便及時發現新的攻擊,制定新的安全策略。可以這樣說,安全保護是基本,安全監控和審計是其有效的補充,兩者的有效結合,才能較好地滿足動態安全的需要。
3.2.4事件響應與恢復
事件響應與恢復主要針對發生攻擊事件時相應的應急措施與恢復正常應用的機制。就是當攻擊發生時,能及時做出響應,這需要建立一套切實有效、操作性強的響應機制,及時防止攻擊的進一步發展。響應是整個安全架構中的重要組成部分,因為網絡構筑沒有絕對的安全,安全事件的發生是不可能完全避免的,當安全事件發生的時候,應該有相應的機制快速反應,以便讓管理員及時了解攻擊情況,采取相應措施修改安全策略,盡量減少并彌補攻擊的損失,防止類似攻擊的再次發生。
當安全事件發生后,對系統可能會造成不同程度的破壞,如網絡不能正常工作、系統數據被破壞等,這時,必須有一套機制能盡快恢復系統的正常應用,因為攻擊既然已經發生了,系統也遭到了破壞,這時只有讓系統以最快的速度運行起來才是最重要的,否則損失將更為嚴重。因此恢復在電子商務安全的整體架構中也是不可缺少的組成部分。 4小結
Internet的快速發展,使電子商務逐漸進入人們的日常生活,而伴隨各類網絡安全事件的日益增加與發展,電子商務的安全問題也變得日益突出,建立一個安全、便捷的電子商務應用環境,已經成為商家和用戶密切關注的話題。
本文主要從目前深刻影響電子商務應用與發展的幾種主要的網絡安全事件類型出發,闡述了電子商務的網絡安全問題,并從國家相關法制建設的大環境,應急響應組織的作用與意義,以及企業具體的電子商務網絡安全整體架構等方面,給出一些建議與思考。
參考文獻
1
CNCERT/CC.“2005年上半年網絡安全工作報告”
2
CNCERT/CC上海分中心.“網絡欺詐的分析和研究”.2005年3月
3
關鍵詞:商業銀行;電子商務;風險管理
商業銀行從事金融業務面臨著市場風險、信用風險、以及操作風險等,而電子商務的出現則加劇了上述各類風險發生的可能性以及風險發生之后的破壞程度。2004年以來,我國面臨的網絡仿冒威脅正在逐漸加大,仿冒對象主要是金融網站和電子商務網站。2005年上半年共收到網絡安全事件報告65679件,超過2004年全年案件數,商業銀行電子商務安全風險管理策略已成為理論與實踐中必須重視的課題。
一、信息安全管理的策略大體遵循事件驅動(技術和管理脫節)-逐漸標準化(技術和管理逐漸結合)——安全風險管理(引入了風險分析)的發展路徑。
(一)以事件驅動的初級階段時期
19世紀70年代安全主要是指物理設備和環境的安全,人與計算機之間的交互主要局限在大型計算機上的啞終端,安全問題只涉及能訪問終端的少數人。安全管理策略處于初級階段,由事件驅動,沒有形成規范的管理流程。在此階段的前期,只重視技術手段。后期開始重視管理手段,但是技術和管理之間脫節。許多組織對信息安全制定了相應的規章和制度,但組織的信息安全管理基本上還處在一種靜態、局部、少數人負責、突擊式、事后糾正式的管理方式。
(二)標準化時期
企業開始將安全問題作為整體考慮,形成一套較為完整的安全管理策略,其中包括了安全管理的技術手段和管理制度(或稱運作管理)。幾乎所有從事電子商務的企業都擁有自己的安全策略,內容也包括了技術手段、安全管理制度、人員安全教育等等,基本上形成體系,技術和管理手段綜合統一,但是安全風險分析還存在不足之處。
(三)安全風險管理策略時期
隨著電子商務安全管理發展到一個比較高的層次,安全管理策略也演進到安全風險管理階段。主要特點如下:
1.安全風險管理成為主流趨勢;在安全管理策略的演進過程中,技術和管理手段綜合統
一、又融入了風險管理的分析、防范策略,從而安全管理進入了安全風險管理時期。西方商業銀行已對安全風險管理形成共識。如安氏公司(is—One),認為信息安全問題最終將歸結為風險管理問題,風險管理方法是建立良性的安全技術和管理體系的依據和基礎。
2.安全風險管理的國際標準和各國的規范逐漸形成并趨于完善。國際上關于安全風險管理的標準有巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》、英國標準協會制訂的BS7799等。各國也日益重視安全風險管理,制定了許多規范。例如美國貨幣監理署(OCC)的《電子銀行最終規則》、香港金融管理局的《電子銀行服務的安全風險管理》等。中國銀行業監督管理委員也于2006年頒布了《電子銀行業務管理辦法》,對國內企業的電子商務安全風險管理給出了指導意見。
3.利用外部專業化機構對金融機構的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術風險,在相當程度上取決于采用的信息技術的先進程度,系統的設計開發水平,以及相關設施設備及其供應商的選擇等;銀行依靠傳統的風險管理機制已很難識別、監測、控制和管理相關風險。同樣,監管機構也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監控。因此,大部分國家都采用了依靠外部專業化機構定期對電子銀行安全性進行評估的辦法,加強對電子銀行安全性和技術風險的管理和監管。
4.在許多國家信息系統審計(IsAudit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。業界的IT風險分析師也成為一種職業,專門從事電子商務的安全風險工作,從經濟學的角度出發分析風險,充分衡量保持安全的代價和收益之間的關系,尋求用最小的代價實現最大的效用,在風險分析中也形成一套較為成熟的模式。
二、我國商業銀行電子商務安全風險管理策略的薄弱點
(一)系統管理思想缺乏
目前的電子商務安全風險管理策略,在全局上缺乏系統論理論的指導,在實際操作中受到多種多樣的安全攻擊時會不可避免地出現安全漏洞,無法形成一張全面有序的安全網絡。
實踐中被采用的安全風險管理策略,以及作為指導意見的規則規范,如《信息安全管理實務準則》(IS017799)、《信息技術安全性評估準則》(GB/T18336.1)、巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》,盡管提出了比較全面的安全風險管理方案,層次上也比較清晰,但是還不足以作為一個風險防范系統。實踐中,電子商務組織是一個復雜的系統組織,電子商務的安全風險管理體系和過程也是個復雜的系統。系統論、控制論的思想在電子商務安全風險管理中是不可或缺的。
(二)風險分析的模型與方法不成熟,定量分析不足
電子商務模式自身的發展歷史也不過20幾年,在風險分析的定量技術上并不成熟;如BS7799中推薦的電子商務安全風險管理中實施風險評估時,往往將威脅發生的可能性定性劃分為幾個級別,將威脅所造成的影響也定性劃分為1~5級,實質上是將一些按照概率發生的事件定義為不連續的幾個級別,在操作上易行,但造成了度量的不精確。在進行監控和審計之后,也存在無法量化、對比的問題。
(三)忽視與原有的傳統風險管理策略的結合
本質上,電子商務的安全風險無非是新興的商業模式對傳統的風險的改變,以及產生的在傳統風險控制領域暫時無法明晰的新風險;現有管理策略只從信息技術的角度、或者從偏重技術的角度看待問題,站在金融領域本身來分析研究較少。這種狀況導致了對電子商務安全風險管理的研究無法立足于一個比較高的層次;忽略了風險的整體性,只進行偏信息和技術的研究,導致了現有的電子商務安全風險管理策略與金融機構原有的傳統業務風險管理策略存在差距。對于商業銀行而言,傳統金融業務的風險控制與電子商務的技術風險控制,兩個方面存在脫節,同樣屬于商業銀行的風險,存在著不同的管理策略,導致多頭管理、資源浪費、機構之間的扯皮,乃至缺位管理。
(四)風險管理策略無法依賴外部的信息安全管理行業
在發達國家,信息系統審計(IsAudit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。IT風險分析師也成為一種職業,專門從事電子商務的安全風險工作。商業銀行采用依靠外部專業化機構定期對電子銀行的安全性進行評估的辦法,提高對電子銀行安全性和技術風險的管理和監管。而國內初步建立了國家信息安全組織保障體系,制定和引進了一批重要的信息安全管理標準、法律法規,風險評估工作得到了一定重視,但與發達國家成熟完善的外部信息安全管理行業仍有很大差距。
(五)風險管理策略中商業銀行的內部風險控制能力薄弱
我國商業銀行目前均建立起統一的風險管理部門;但風險控制部門的職能、權限與花旗銀行等體制較為先進的銀行相比仍然存在較大差距,風險控制實質上仍然分散在各個子部門;風險的評估、防范與控制實質上完全依靠商業銀行的電子交易部門;風險管理部門、內審稽核部門實質上無法控制電子商務安全風險。例如,風險管理部門接受了電子交易部的風險控制報告,表面上履行的內控審核的流程,但審核作用有限,無法完成電子商務安全風險管理中的監控與審計環節。
三、商業銀行的電子商務安全風險管理策略的改進建議
(一)基于系統的思想構建商業銀行電子商務安全風險管理策略框架
利用系統理論作為總體的指導思想,將電子商務安全風險管理策略本身當作一個開放的自適應系統。將商業銀行電子商務安全風險管理中的各個環節組成循環上升的系統。
在商業銀行電子商務安全風險控制的流程中,經過信息安全的風險評估、資產識別和選擇、實施控制降低風險的措施、將風險控制在可接受的范圍內,然后進行監控和審計;尤其重要的是把監控和審計所得到的內容作為新一輪風險分析輸入,從而開始新一輪的風險管理過程。商業銀行電子商務安全風險管理的各個步驟為動態的循環系統。每完成一個循環,安全風險管理的有效性就上一個臺階,商業銀行的安全管理水平變得到了提高。新晨
(二)電子商務安全風險管理中定量分析中的改進思路
商業銀行可以借鑒成熟的傳統金融風險度量中的一些方法來改變電子商務安全風險管理中對資產進行粗略的優先級別排序的方法。實踐中,商業銀行對操作風險的管理與對電子商務安全風險管理有其相似之處。巴塞爾委員會對商業銀行的操作風險的內部計量法中規定,商業銀行內部估計風險敞口指標、損失事件發生的概率、風險損失,巴塞爾委員會制定資本要求的轉換系數;在度量損失的分布時,主要利用統計和精算技術。商業銀行應通過數據庫將威脅發生的頻率、威脅所造成的影響等精確記錄下來,利用現有的度量方法進行精確的風險定量分析的嘗試。
(三)將商業銀行電子商務安全風險納入商業銀行總體風險管理范疇
電子商務的存在和發展,是以網絡技術的革新為前提。電子商務系統的構建、運行及維護,都離不開技術的支持。同時,由于電子商務適合于各種大、小型企業,所以應采取措施來保障電子商務網站的安全。
一、電子商務中存在安全的問題
(一)網絡信息安全方面
1.服務器的安全問題。電子商務服務器是電子商務的核心,安裝了大量的與電子商務有關的軟件和商家信息,并且服務器上的數據庫里有電子商務活動過程中的一些保密數據。因此服務器特別容易受到安全的威脅,并且一旦出現安全問題,造成的后果也是非常嚴重。
2.網絡信息的安全問題。非法用戶在網絡的傳輸上使用不正當手法,非法攔截會話數據獲得合法用戶的有效信息,最終導致合法用戶的一些核心業務數據泄密或者是非法用戶對截獲的網絡數據進行一些惡意篡改,如增加、減少和刪除等操作,從而使信息失去真實性和完整性,導致合法用戶無法正常交易,還有一些非法用戶利用截獲的網絡數據包再次發送,惡意攻擊對方的網絡硬件和軟件。
3.網絡安全中的病毒問題。互聯網的出現為電腦病毒的傳播提供了最好的媒介,不少新病毒直接以互聯網作為自己的傳播途徑,電腦病毒問世10多年來,各種新型病毒及其變種迅速增加,不少新病毒直接以互聯網作為自己的傳播途徑,還有眾多病毒借助于互聯網傳播得更快,如何在電子商務領域如何有效防范病毒也是一個十分緊迫的問題。
(二)電子商務交易方面
1.交易身份的不確定。電子商務是一種全球各地廣泛的商業貿易活動在開放的網絡環境下,基于瀏覽器/服務器應用方式,在買賣雙方不謀面的情況下進行各種商貿活動,實現消費者的網上購物、商戶之間的網上交易和在線電子支付以及各種商務活動、交易活動、金融活動和相關的綜合服務活動。正是基于這個特點攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易。
2.交易協議安全性問題。企業和用戶在電子交易過程中的數據是以數據包的形式來傳送的,惡意攻擊者很容易對某個電子商務網站展開數據包攔截,甚至對數據包進行修改和假冒。TCP/IP協議是建立在可信的環境之下,缺乏相應的安全機制,這種基于地址的協議本身就會泄露口令,根本沒有考慮安全問題;TCP/IP協議是完全公開的,其遠程訪問的功能使許多攻擊者無須到現場就能夠得手,連接的主機基于互相信任的原則等這些性質使網絡更加不安全。
二、加強電子商務網站的安全措施
我們從技術手段的角度,從系統安全和數據安全的不同層面來探索電子商務中出現的網絡安全新問題。
(一)信息系統安全
對于一個企業來說,信息的安全尤為重要,這種安全首先取決于系統的安全。系統安全主要包括網絡系統、操作系統和應用系統三個層次。系統安全采用的技術和手段有冗余技術、網絡隔離技術、訪問控制技術、身份鑒別技術、加密技術、監控審計技術、安全評估技術等。
1.網絡系統。網絡系統安全是網絡的開放性、無邊界性、自由性造成,安全解決的關鍵是把被保護的網絡從開放、無邊界、自由的環境中獨立出來,使網絡成為可控制、管理的內部系統,由于網絡系統是應用系統的基礎,網絡安全便成為首要新問題。解決網絡安全主要方式有如下幾種方法:
一是網絡冗余。它是解決網絡系統單點故障的重要辦法。對關鍵性的網絡線路、設備,通常采用雙備份或多備份的方式。網絡運行時雙方對運營狀態相互實時監控并自動調整,當網絡的一段或一點發生故障或網絡信息流量突變時能在有效時間內進行切換分配,保證網絡正常的運行。
二是系統隔離。分為物理隔離和邏輯隔離,主要從網絡安全等級考慮劃分合理的網絡安全邊界,使不同安全級別的網絡或信息媒介不能相互訪問,從而達到安全目的。對業務網絡或辦公網絡采用VLAN技術和通信協議實行邏輯隔離劃分不同的應用子網。
三是訪問控制。對于網絡不同信任域實現雙向控制或有限訪問原則,使受控的子網或主機訪問權限和信息流向能得到有效控制。具體相對網絡對象而言需要解決網絡的邊界的控制和網絡內部的控制,對于網絡資源來說保持有限訪問的原則,信息流向則可根據安全需求實現單向或雙向控制。訪問控制最重要的設備就是防火墻,它一般安置在不同安全域出入口處,對進出網絡的IP信息包進行過濾并按企業安全政策進行信息流控制,同時實現網絡地址轉換、實時信息審計警告等功能,高級防火墻還可實現基于用戶的細粒度的訪問控制。
四是身份鑒別。是對網絡訪問者權限的識別,一般通過三種方式驗證主體身份,一是主體了解的秘密,如用戶名、口令、密鑰;二是主體攜帶的物品,如磁卡、IC卡、動態口令卡和令牌卡等;三是主體特征或能力,如指紋、聲音、視網膜、簽名等。加密是為了防止網絡上的竊聽、泄漏、篡改和破壞,保證信息傳輸安全,對網上數據使用加密手段是最為有效的方式。目前加密可以在三個層次來實現,即鏈路層加密、網絡層加密和應用層加密。鏈路加密側重通信鏈路而不考慮信源和信宿,它對網絡高層主體是透明的。網絡層加密采用IPSEC核心協議,具有加密、認證雙重功能,是在IP層實現的安全標準。通過網絡加密可以構造企業內部的虛擬專網(VPN),使企業在較少投資下得到安全較大的回報,并保證用戶的應用安全。
五是安全監測。采取信息偵聽的方式尋找未授權的網絡訪問嘗試和違規行為,包括網絡系統的掃描、預警、阻斷、記錄、跟蹤等,從而發現系統遭受的攻擊傷害。網絡掃描監測系統作為對付電腦黑客最有效的技術手段,具有實時、自適應、主動識別和響應等特征,廣泛用于各行各業。網絡掃描是針對網絡設備的安全漏洞進行檢測和分析,包括網絡通信服務、路由器、防火墻、郵件、WEB服務器等,從而識別能被入侵者利用非法進入的網絡漏洞。網絡掃描系統對檢測到的漏洞信息形成具體報告,包括位置、具體描述和建議的改進方案,使網管能檢測和管理安全風險信息。
2.操作系統
操作系統是管理計算機資源的核心系統,負責信息發送、管理設備存儲空間和各種系統資源的調度,它作為應用系統的軟件平臺具有通用性和易用性,操作系統安全性直接關系到應用系統的安全,操作系統安全分為應用安全和安全漏洞掃描。
一是應用安全。面向應用選擇可靠的操作系統,可以杜絕使用來歷不明的軟件。用戶可安裝操作系統保護和恢復軟件,并作相應的備份。
二是系統掃描。它基于主機的安全評估系統,是對系統的安全風險級別進行劃分,并提供完整的安全漏洞檢查列表,通過不同版本的操作系統進行掃描分析,對掃描漏洞自動修補形成報告,保護應用程序、數據免受盜用、破壞。
3.應用系統
辦公系統文件(郵件)的安全存儲摘要:利用加密手段,配合相應的身份鑒別和密鑰保護機制(IC卡、PCMCIA安全PC卡等),使得存儲于本機和網絡服務器上的個人和單位重要文件處于安全存儲的狀態,使得他人即使通過各種手段非法獲取相關文件或存儲介質(硬盤等),也無法獲得相關文件的內容。
文件(郵件)的安全傳送,對通過網絡(遠程或近程)傳送給他人的文件進行安全處理(加密、簽名、完整性鑒別等),使得被傳送的文件只有指定的收件者通過相應的安全鑒別機制(IC卡、PCMCIA PC卡)才能解密并閱讀,杜絕了文件在傳送或到達對方的存儲過程中被截獲、篡改等,主要用于信息網中的報表傳送、公文下發等。
業務系統的安全,主要面向業務管理和信息服務的安全需求。對通用信息服務系統(電子郵件系統、WEB信息服務系統、FTP服務系統等)采用基于應用開發安全軟件,如安全郵件系統、WEB頁面保護等;對業務信息可以配合管理系統采取對信息內容的審計稽查,防止外部非法信息侵入和內部敏感信息泄漏。
(二)數據安全
數據安全牽涉到數據庫的安全和數據本身安全,針對兩者應有相應的安全辦法。
一是數據庫安全。大中型企業一般采用具有一定安全級別的SYBASE或ORACLE大型分布式數據庫,基于數據庫的重要性,應在此基礎上開發一些安全辦法,增加相應控件,對數據庫分級管理并提供可靠的故障恢復機制,實現數據庫的訪問、存取、加密控制。具體實現方法有安全數據庫系統、數據庫保密系統、數據庫掃描系統等。
二是數據安全。指存儲在數據庫數據本身的安全,相應的保護辦法有安裝反病毒軟件,建立可靠的數據備份和恢復系統,某些重要數據甚至可以采取加密保護。
(三)網絡交易平臺的安全
網上交易安全位于系統安全風險之上,在數據安全風險之下。只有提供一定的安全保證,在線交易的網民才會具有安全感,電子商務網站才會具有發展的空間。
一是交易安全標準。目前在電子商務中主要的安全標準有兩種摘要:應用層的SET(安全電子交易)和會話層SSL(安全套層)協議。前者由信用卡機構VISA及MasterCard提出的針對電子錢包/商場/認證中心的安全標準,主要用于銀行等金融機構;后者由NETSCAPE公司提出針對數據的機密性/完整性/身份確認/開放性的安全協議,事實上已成為WWW網絡的應用安全標準。
二是交易安全基礎體系。交易安全基礎是現代密碼技術,依靠于加密方法和強度。加密分為單密鑰的對稱加密體系和雙密鑰的非對稱加密體系。兩者各有所長,對稱密鑰具有加密效率高,但存在密鑰分發困難、管理不便的弱點;非對稱密鑰加密速度慢,但便于密鑰分發管理。通常把兩者結合使用,以達到高效安全的目的。
三是交易安全的實現。交易安全的實現主要有交易雙方身份確認、交易指令及數據加密傳輸、數據的完整性、防止雙方對交易結果的抵賴等等。具體實現的途徑是交易各方具有相關身份證實,同時在SSL協議體系下完成交易過程中電子證書驗證、數字簽名、指令數據的加密傳輸、交易結果確認審計等。
隨著電子商務的發展,網上交易越來越頻繁,調用每項服務時需要用戶證實身份,也需要這些服務器向客戶證實他們自己的身份。而保障身份安全的最有效的技術就是PKI技術。PKI的應用主要是在它的CA認證技術。CA(Certification Authorty)是一個確保信任度的權威實體,主要職責是頒發證書、驗證用戶身份的真實性。由CA簽發的網絡用戶電子身份證實—證書,任何相信該CA的人,按照第三方信任原則,都應當相信持有證實的該用戶。CA也要采取一系列相應的辦法來防止電子證書被偽造或篡改。構建一個具有較強安全性的CA是至關重要的,這不僅和密碼學有關系,而且和整個PKI系統的構架和模型有關。此外,靈活也是CA能否得到市場認同的一個關鍵,它不需支持各種通用的國際標準,并能很好地和其他廠家的CA產品兼容。在不久的將來,PKI技術會在電子商務和網絡安全中得到更廣泛的應用,從而真正保障用戶和商家的身份安全。
三、信息安全的發展方向
從歷史角度看,我國信息網絡安全探究歷經了通信保密、數據保護兩個階段,正在進入網絡信息安全探究階段,現已開發研制出防火墻、安全路由器、安全網關、黑客入侵檢測、系統脆弱性掃描軟件等。但因信息網絡安全領域是一個綜合、交叉的學科領域,它綜合利用了數學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發展成果,提出系統的、完整的和協同的解決信息網絡安全的方案,從安全體系結構、安全協議、現代密碼理論、信息分析和監控以及信息安全系統五個方面開展探究,各部分相互協同形成有機整體。
安全協議作為信息安全的重要內容,其形式化方法分析始于80年代初,目前有基于狀態機、模態邏輯和代數工具的三種分析方法,但仍有局限性和漏洞,處于發展的提高階段。作為信息安全關鍵技術密碼學,近年來空前活躍,美、歐、亞各洲舉行的密碼學和信息安全學術會議頻繁。1976年美國學者提出的公開密鑰密碼體制,克服了網絡信息系統密鑰管理的困難,同時解決了數字簽名新問題,它是當前探究的熱點。
[關鍵詞]Agent 電子商務實驗室 安全設計
電子商務實驗室旨在建立一個Internet環境下的電子商務模擬環境,實現情景教學。若想成功地部署電子商務實驗室,必須解決三個關鍵問題:高可用性、伸縮性和安全性。而安全性是其中最重要的環節,因此本文主要對電子商務實驗室的安全性進行闡述。
一、電子商務實驗室的安全需求
本課題所設計的系統有七個實驗平臺組成,它們分別是:一般教學、B2C、C2C、B2B、物流實驗平臺,以及電子銀行和CA認證平臺。每個平臺相對獨立又有一定關聯,如B2C業務流程的完成需要結合CA認證、電子銀行和物流管理等,因此不同平臺安全需求也是多方面的。如何保證實驗室系統交易的安全性、對個人信息提供機密性保障、認證交易雙方的合法身份、如何保證數據的完整性和交易的不可否認性等,是實驗室所需解決的核心問題。
二、電子商務實驗室安全解決方案
當前,電子商務系統設計的架構大多采用B/S結構。B/S環境中各種安全功能都由服務器集中實現,因此服務器容易成為系統的安全瓶頸。服務器一旦被人入侵或出現問題,將對整個系統的安全造成嚴重的威脅。且不同子系統具有不同的安全需求,由服務器統一協調和處理它們之間的安全策略將大大加重服務器的負擔。
當前的大多數電子商務系統都采用了結合硬件防火墻、軟件防火墻和防病毒軟件等。這些措施只提供了被動的、有限的安全防范能力,并不能滿足多模塊、多子系統的電子商務實驗室的要求。并且這種解決方案缺少主動性和自我維護能力。
利用軟件Agent的智能處理能力來解決各模塊間的安全通信是一個很好的選擇,軟件Agent是一種計算機程序,具有反應性、自治性和目標性等特點,能夠獨立地跟環境進行交互或代表用戶完成給定的目標。它不僅能對各模塊的通信狀況進行高度監控,而且各Agent能多層面的獨立實現,各Agent之間也能相互協調、統一調度。
三、基于軟件Agent的電子商務實驗室安全設計
本人主持研究河北大學教改青年基金項目――基于LINUX的電子商務實驗室(項目編號為:0575),此實驗室服務器連接校園網,校園網又和互聯網相連,因此服務器較容易成為被攻擊或入侵的對象,所以本系統利用Agent技術來提高實驗室的安全性。Agent可對用戶的請示進行過濾,減少用戶直接訪問實驗室服務器所帶來的安全風險,同時可更方便地實現一些動態的安全策略。
1.基于軟件Agent的安全設計模型
本實驗室的Agent體系設計是分層次、分等級的結構,層次或等級根據系統的功能來劃分,如圖1所示。
圖1 Agent的安全等級結構
每個平臺由一個安全監控Agent負責管理本平臺的安全,如有問題通知報警Agent,報警Agent會及時反饋給Agent安全管理中心的Agent進行相應處理,比如:退出登陸重新驗證身份等。身份認證Agent負責對訪問用戶進行身份驗證;授權Agent根據對已經通過身份認證Agent的用戶進行授權,不同類型的登陸用戶授權策略不同,實驗的角色不同,授權的策略也不同,比如,B2C實驗中,一位剛剛初始化的Customer(學生登錄身份),授權內容中將包括B2C的買方界面,并且授權Agent指示電子銀行模塊自動給實驗者初始資產一萬元作為實驗的資本,當然還有其他一些授權;跟蹤Agent將全程跟蹤用戶的操作并詳細記錄到日志文件。
2.軟件Agent的安全解決方案
移動Agent需要在不同的主機上遷移,實驗室服務器是LINUX環境,而客戶端往往是學生比較熟悉的windows操作環境,所以這里選擇跨平臺的J2EE開發本系統。J2EE不僅提供了一套安全機制,而且移動Agent中的許多功能在Java中有直接的對應實現。移動Agent狀態的移動可以用Java對象的串行化表示;Agent代碼的移動用字節碼傳遞和加載;Agent運行上下文可用方法的控制流表示等等,具體的方案有以下幾點:
(1)利用Java的字節碼驗證器保證Agent的正確性。字節碼驗證器可以檢測Agent的程序代碼是否被破壞,然后采取相應的措施。
(2)利用Java的類裝載器、命名空間和線程組來實現動態Agent的隔離。可以把從不同來源載入的類隔離到不同的命名空間中,一個Agent不可能用它自己的類冒名頂替另一Agent的類,這樣可以防止破壞性代碼訪問正常的代碼,從而保證了Agent之間的安全。另外,每當一個新Agent到達后,就為其建立一個線程組。任何執行該Agent的線程其組號是相同的。那么,只要為這個線程組分配權限,即為該Agent分配了權限,就實現了Agent與主機的隔離。
(3)采用數字簽名和加密算法實現Agent的傳輸與驗證。系統對外來的Agent的身份進行數字簽名驗證,確定其是否為可信Agent。同時還可以利用Java加密擴展機制和Java安全套接字擴展機制結合來實現將Agent代碼數據進行壓縮后加密處理,經過壓縮不僅降低了網絡流量,而且也大大增加了破譯該數據的難度。
3.軟件Agent的實現
本系統的軟件Agent的實現平臺采用Aglet。Aglet為開放源碼項目,用戶不用考慮侵權問題。Aglet完全由Java編寫,具有很高的移植性。Aglet包含了一個運行移動Agent的服務器和一套類庫,基于它開發者可以進一步開發各種Agent的應用。Aglet的系統架構主要分為四個階段,如圖2所示。
圖2 Aglet系統架構
當一個正在執行的Aglet將自己送到遠程端口時,會對Aglet Runtime層發出請求,然后把Aglet的狀態與程序代碼序列化(serialized )成字節數組(byte array),若是請求成功,系統會將Aglet的執行動作結束,然后將序列化數組傳送至ATCI(Agent Transport and Communication Interface)層處理。
Agent安全管理中心統一管理各個安全Agent的基本行為:如產生(Create)、復制(Clone)Agents ,或分派(Dispatch)Agents 到遠端工作站、召回(Retract)遠端的Agents,或暫停(Deactive)、喚醒(Active)Agents,以及移除(Dispose)Agents等,如圖3所示,不管是何種Agent均繼承Aglet類,可以通過覆蓋父類的方法來實現自己的“特殊要求”。
圖3 Agent的對象模型
各監控Agent由管理中心分派到各個實驗平臺進行監控,等客戶端做完實驗后正常退出,然后移除Agent監控對象,如果出現安全問題,傳遞消息給報警Agent對象,再交由Agent管理中心負責進一步處理。
參考文獻:
[1]Jian Li,Guo-yin Zhang Gu, A Workflow System Based Architecture for Network Attack Resistant System,GCC2003, LNCS3032, pp.980~983,2004
關鍵詞:電子商務;網站開發;安全策略;網站性能;網站部署
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2010) 09-0000-01
E-commerce Site Construction Safety Research and Practice
Guo Bin
(Hunan Xiangtan Education College,Xiangtan411100,China)
Abstract:With the network technology continues to progress and development,gave birth to the birth of electronic commerce,its high efficiency and low cost advantages to grow quickly.As a new e-commerce trading,enterprises and users use a more convenient and intuitive information exchange platform has gradually become a new impetus to economic growth.
How the advantages of internet to establish a secure operating environment,protection of trade for both information security,a depth of e-commerce process,a problem can not be ignored.
Keywords:Electronic commerce;Web development;Security policy;Site performance;Site deployment
近幾年,電子商務的蓬勃發展已經成為經濟增長的重要組成部分。作為一種新興的交易方式,電子商務效率高、成本低的運作優勢已經逐步得到公眾的認可。然而,作為借助網絡依托而產生的交易方式,網上的信息安全成為了制約電子商務發展的最大難題。因此,如何結合網絡安全措施,確保企業網上信息的完整性和交易客戶信息的私密性,是電子商務網絡平臺應該提供的最基本安全保障。建立起安全、便捷、友好的交易界面,增加產品信息的開放性,是電子商務走向繁榮的必經之路。
一、電子商務網站建設過程中的安全性研究與實現
電子商務網站的建設不僅要考慮到企業信息的開放性,也要考慮到交易過程的私密性。借助計算機網絡提供的便捷服務,要建立在信息交互保密的基礎上,在網站的設計、開發和投入使用過程中只有解決了根本上運營保障問題,才能夠發揮電子商務強大的功能力量,成為企業與用戶雙向選擇的焦點所在。
(一)敏感字段的加密過程
任何一個電子商務網站,從根本上來講是一個信息交互的平臺,只有實現了信息傳輸的安全保護,才能夠完成電子商務網站的基本構建。在網絡上的信息,要防止非法的肆意篡改,對于電子商務網站還包括了用戶之間交易時私密信息被竊取的風險,這些都是網絡數據傳輸中不可避免的問題,只有從信息安全技術手段上進行改進,對電子商務網站上的信息進行加密處理,才可能避免以上情況的發生,降低用戶因信息丟失造成損失的風險。采用敏感字段加密技術,對瀏覽器的客戶端采用數字安全證書認證的方式,對用戶的身份、信息和訪問級別進行識別,一方面保證了用戶信息的私密性,另一方面也保護了網站上信息的安全。此外,由于敏感字段被加密,即便出現了信息被截取或盜取的情況,也由于難以破解加密的密文,而免于重要信息的泄露風險。
(二)數據存儲與查詢的效率性
消費者對電子商務網站的訪問,大部分操作是以信息查詢為主,提高網站信息的查詢效率和檢索信息的準確性,可以在極大程度上促進企業與消費者的交易成功率。每個消費者都有各自的消費主張和產品性能關注點,因此,電子商務網站就是要在數據存儲過程中盡量避免冗余信息的錄入,造成查詢效率低下,降低電子商務的功效性。因此,要嚴格遵守數據庫的設計規范,將網上的信息關鍵字與敏感字段系統的編輯起來,提高數據存儲空間的使用效率。
(三)硬件密鑰與身份確認
為了保護Web頁面信息的安全,應采取網頁內嵌ActiveX控件的形式,結合硬件密鑰來共同工作,保護網頁信息與用戶發出信息的安全。在用戶瀏覽網站產生數據流的同時,可以啟動ActiveX的自動下載,也可以在客戶界面彈出詢問對話框,確認ActiveX的運行,提醒用戶網頁的保護狀態。硬件密鑰內包含了用戶的私人信息,連接到Web頁面上,經過認證后,就可以保證交易過程的順暢進行。
(四)部署安裝中的安全性實現
電子商務的技術支持基礎來源于計算機技術與網絡技術的結合,信息安全一直是一個此消彼長的過程,安全問題的不斷暴露,也促使了計算機安全與網絡技術的不斷成熟。一旦在基礎的支持技術出現了發展滯后的情況,就等于是在自身的網站建設上將問題暴露人前,給信息竊取提供了可乘之機。對服務器的監控和服務器操作系統的安全升級,是整個網站部署安裝過程中的安全保障根本,同時限制用戶對服務器的訪問權限,杜絕賬戶劃分不適當帶來的用戶權限過大,帶來威脅網站服務器安全的情況發上。具體劃分為FTP組,MAIL組,DNS組等,他們之間沒有交叉,管理員帳戶只有一個,并且密碼每周需要更換,其他組用戶密碼也要定期更換,以防止密碼丟失。此外,也要分離各功能服務器獨立運轉系統,預防某一功能故障而引發整個系統的崩潰。服務器與網絡的連接必然會遭受到網絡上病毒與漏洞的攻擊,要采用強大的殺毒軟件全面保護服務器系統內部的安全,隔離病毒感染、及時修復、監控系統漏洞。
二、結語
針對電子商務網絡信息傳輸的特點,分析了電子商務網站建設過程中的安全問題,在網站的基礎構建過程中,重視信息安全的保護,提高電子商務應用的安全性。結合計算機技術與網絡技術的發展趨勢與技術支持方式,從數據加密、傳輸加密、電子簽名和數據庫安全等環節入手,全面提高電子商務網站的防攻擊抵抗能力,全面考慮網站開發和應用過程中可能遇到的各種安全問題,予以有效解決,打造一個安全、便捷的交易平臺,建造一個人性化的交易環境,為經濟發展提供新的動力來源。
參考文獻:
[1]方美琪.電子商務概論[M].北京:清華人學出版社.2009:12-13
[2]賈偉.網絡與電子商務安全[M].北京:國防工業出版社.2009:23-24
[關鍵詞] 電子商務信息加密案例教學
目前電子商務安全問題已經成為制約電子商務快速發展的障礙。因此,了解和掌握安全技術,已經成為從事電子商務人員的必備知識。為此,目前很多高校電子商務專業都開設了《電子商務安全技術》課程。如何針對該課程的特點使學生掌握安全知識和技術,是教師在課程設計中最為重視的問題。筆者結合該課程的講授經驗,從教學內容、教學方法、實驗教學等方面進行了探索。
一、課程特點
《電子商務安全技術》課程是電子商務專業的專業課程。該課程的目標是要求學生在掌握基本概念和理論的基礎上,結合實際問題,在電子商務的實施中應用有關技術為具體商務過程的實現提供安全保障。該課程內容非常龐雜且綜合性強,包括信息加密技術、計算機網絡安全技術、電子支付技術等。
該課程的突出問題是學習內容多,課時少。僅計算機網絡安全技術一項內容,就是一門獨立的課程。然而該課程安排課時為44學時。因此,在有限的學時內,不可能詳細講解所有內容。為此,我們精心設計教學內容和實驗,采用小組討論、案例教學等教學方法,取得了不錯的效果。
二、教學內容設計
《電子商務安全技術》課程的教學內容包括以下8個部分:電子商務安全概述、信息加密技術、計算機網絡安全技術、公鑰基礎設施(PKI)、電子支付技術、電子商務安全交易協議、安全電子商務應用、其他電子商務安全技術。教學內容的設計原則如下:
1.重視信息加密技術。信息加密技術是其他技術的核心,是電子商務安全的基石。在教學過程中,應該把對稱加密和非對稱加密的原理、特點講透。對于對稱加密可首先以愷撒密碼、換位密碼算法為例來講解,這些算法簡單,學生理解起來較為容易。而對于非對稱加密算法,可以RSA算法為例來講解,讓學生能理解該算法的優點和不足。學會了加密技術,在理解數字簽名、公鑰基礎設施等這些應用加密算法的技術時就會容易得多。
2.重視計算機網絡安全技術。電子商務是基于Internet網絡的商務模式,因此,電子商務的安全是以計算機網絡的安全性為基礎的。因此,在教學過程中,必須教導學生重視計算機網絡安全技術,必須掌握基本的網絡安全攻防體系、防火墻、虛擬專用網、入侵檢測系統等網絡安全的主要技術和解決方案。
3.加強流行技術和新技術的講解。電子商務安全相關的新技術不斷涌現。例如,在電子支付技術中,除了信用卡電子支付、電子支票、電子現金支付方法,比較流行的還有支付寶等第三方支付方法;隨著移動電子商務的流行,無線電子商務安全技術逐漸被人們所重視;信息隱藏技術、數字水印技術和數字版權保護等新技術已成為了非常熱門的話題。在教學中,可簡單介紹這些新技術,學生根據自己的興趣進一步跟蹤和探索。
三、教學方法
教學方式主要采用多媒體教學。在多媒體課件的設計上,主要以設置問題、討論解答的方式來引出各個知識點,以便激發學生的求知欲。提出問題后,可以組織學生分組討論,或者師生共同討論來給出問題的答案,并總結知識點。
根據教學內容的不同,采用靈活多樣的教學方法,如小組討論、案例教學等。比如:在講解電子支付時,先在課前布置學生收集5個國內電子商務網站的電子支付方式,而后在課堂上進行小組討論,結合實際情況來加深學生對知識點的掌握。在講解網絡防火墻技術時,收集某連鎖店網絡和九運會防火墻配置案例,讓學生更加直觀地理解防火墻的實際應用情況。
四、實驗內容
實驗教學是為學生理解課程內容而設計的。通過實驗教學的實施,使學生掌握課程內容,以及電子商務安全技術的操作與配置方法。實驗設計的原則是:
1.強調基礎。結合學習內容的各主要知識點來設計實驗。通過實驗,讓學生理解各知識點,并會加以運用。
2.既有驗證性實驗,也有設計性實驗。通過驗證性實驗,掌握各個技術。通過設計性實驗,綜合應用各種技術,培養學生解決實際問題的能力。
根據上述原則,我們設計了7個實驗,如下表所示。
其中實驗1屬于調查分析類,該實驗的目的是通過調查分析當前大型電子商務網站,掌握常用的安全措施。具體要求是了解2個國內大型電子商務網站如eBay網、淘寶網的電子商務安全措施。
實驗2到實驗6是屬于操作性和驗證性的實驗。通過實際操作,理解課堂所學的理論知識,并進一步掌握各種電子商務安全技術的應用方法。實驗3中的防火墻、VPN、入侵檢測這三個內容,由于課時的關系,可以把防火墻作為重點,其他兩個作為課下作業。
實驗7是設計某小型電子商務系統的安全解決方案,這是一個設計性實驗。該實驗需要綜合運用各種安全技術,并寫出方案報告。
五、學習效果
在教學實踐過程中,學生實驗報告、案例分析報告都撰寫得不錯。同時本課程很受學生歡迎,取得了令人滿意的教學效果。
參考文獻:
[1]張愛菊:電子商務安全技術[M].北京:清華大學出版社,2006
關鍵詞:實踐教學;教學改革;教育質量
中圖分類號:G642.4 文獻標志碼:A 文章編號:1674-9324(2013)35-0039-02
伴隨著知識經濟的興起,高等教育的歷史使命和人才培養目標發生了巨大變化,創新教育成為各國教育改革的主題。為了適應創新教育,培養創新型人才,教育教學的傳統方式必須變革[1]。中央和各級政府教育行政部門、各高等學校十分重視對大學生實踐和創新能力的培養,教育部把實踐教學作為高校本科教學工作水平評估的關鍵指標之一,各高等學校采取切實有效措施,積極開展實踐教學改革,多渠道籌措經費加大實驗室建設投入,極大地改善了實驗教學條件,對提高學生的實踐創新能力產生了積極影響[2]。
一、實踐教學體系概述
實踐教學指具有實踐性的教學活動。實踐教學存在于整個教學過程之中,包括理論實踐教學和社會實踐教學。要做好實踐教學工作,首先應該建立并完善實踐教學體系,通常實踐教學體系分為實踐教學目標體系、實踐教學內容體系、實踐教學管理體系、實踐教學保障體系和實踐教學評價體系。實踐教學體系的建設應該遵循以下幾個原則:
1.特色性原則:確立以素質教育為核心,技術應用能力培養為主線,應變能力培養為關鍵,產學研結合為途徑,與時俱進的人才教育培養模式是實踐教學體系構建中遵循的原則。
2.實用型原則:實踐教學體系的構建,要充分體現專業崗位的要求,與專業崗位群發展緊密相關。以此為原則組成一個層次分明、分工明確的實踐教學體系。
3.混合型原則:混合型體現在教師類型的混合、理論教學和實踐教學的混合、教室與實驗室的混合等方面,淡化理論教學與實踐教學、專業教師與實踐指導教師、教室與實驗室的界限,打破原來按學科設置實驗室的傳統布局,對實踐教學設施進行重新整合,形成一體化混合實踐教學模式。
實踐教學體系的目標是:以職業能力培養為主線,使學生獲得實踐知識、開闊眼界,豐富并活躍學生的思想,加深對理論知識的理解掌握,進而在實踐中對理論知識進行修正、拓展和創新。在確定具體課程實踐教學體系目標的前提下,如何有針對性地設置具體的實踐教學內容尤為重要。實踐教學的內容是實踐教學目標任務的具體化,將實踐教學環節通過合理配置,構建成以技術應用能力培養為主體,按基本技能、專業技能和綜合技術應用能力等層次,循序漸進地安排實踐教學內容,將實踐教學的目標和任務具體落實到各個實踐教學環節中,讓學生在實踐教學中掌握必備的、完整的、系統的技能和技術[3]。
二、電子商務安全實踐教學內容設置
電子商務安全課程是新興的邊緣交叉性課程,是在網絡安全的基礎上結合電子商務的領域的實際應用發展而來的一門具有一定針對性的課程,也是電子商務專業學生的一門專業主干課程。考慮到經營管理活動中計算機的普及和網絡通信的快速發展,該課程是作為21世紀大學生尤其是電子商務專業的學生應該了解、掌握的一門學科,通過該課程的教學,學生初步了解電子商務安全的內涵和電子商務支付系統的構成,并且對網絡常見的攻擊手段、主要安全產品的功能、常用的電子支付工具等進行了解,以解決實際應用中遇到的問題[4]。
1.實驗項目安排。本課程實踐教學部分主要讓學生對電子商務安全與支付在理論和實踐上有一個全面的認識。要求學生通過大綱中的實驗設置,了解電子商務安全與支付的現實環境;了解電子商務客戶機和服務器的安全設置;熟悉基本的電子支付工具的使用,掌握數字證書的申請、安裝和使用流程;了解SSL證書的申請流程。針對本課程的培養目標進行合理的實驗教學安排,具體實驗項目如表1所示。
2.實驗項目的具體內容。實驗1:了解電子商務安全與支付的現實環境:通過本次實驗了解中國互聯網發展狀況,特別是有關電子商務發展的現狀,認真體會,結合自己課余所見的實際情況進行總結。實驗內容:閱讀比較CNNIC最新的《中國互聯網絡發展狀況統計報告》中關于安全支付的數據及分析,了解中國電子商務發展的現狀。實驗2:電子商務客戶機安全:通過本次實驗了解電子商務客戶機存在的安全風險及對應的安全措施。實驗內容:防病毒軟件的安裝和使用、IE對安全區的設置、檢測活動內容、處理cookie。實驗3:中銀電子錢包及網上銀行:通過本次實驗了解電子錢包、電子信用卡在網上支付中的功能及使用過程。實驗內容:中銀電子錢包的使用、個人網上銀行專業版的設置及使用。實驗4:個人數字證書:通過本次實驗了解數字證書的基本類型,個人數字證書的下載安裝。實驗內容:個人數字證書的下載、安裝、查看、導入和導出。實驗5:SSL證書申請:通過本次實驗了解利用Microsoft IIS Web Server申請SSL證書的基本流程。實驗內容:在Microsoft IIS上生成公私鑰對和證書請求、保存證書請求文件、安裝CA中心的根證書、安全Web Server證書。
電子商務安全是一門實踐性很強的課程,有難度且極具挑戰性,因此,電子商務安全的實踐教學應該根據學生的實際情況酌情安排。筆者在幾年的課程教學過程中嘗試了一些改進本課程教學的方法。總結得出:最優方式是讓學生置身于其中,讓學生積極參與其中,享受創造的樂趣。經過對本實踐課程安排前后的對比發現,學生對本課程的興趣有極大提高,對理論教學部分的理解也大大加深。
參考文獻:
[1]曹鳳月.課堂實踐教學:高校實踐教學的基礎環節[J].中國勞動關系學院學報,2009,4(23):106-109.
[2]鄭春龍,邵紅艷.以創新實踐能力培養為目標的高校實踐教學體系的構建與實施[J].中國高教研究,2007,(4):85-86.
[3]朱正偉,劉東燕,何敏.加強高校實踐教學的探索與實踐[J].中國大學教育,2007,(2):76-78.
