商務(wù)安全論文范文
前言:我們精心挑選了數(shù)篇優(yōu)質(zhì)商務(wù)安全論文文章,供您閱讀參考。期待這些文章能為您帶來啟發(fā),助您在寫作的道路上更上一層樓。
第1篇
(一)數(shù)據(jù)的私有性和安全性
如果不采用特別的保護措施,包括電子郵件等在internet中開放傳輸?shù)臄?shù)據(jù)都可能被第三者監(jiān)視和閱讀。考慮到巨大的傳輸量和難以計數(shù)的傳輸途徑,想任意竊聽一組數(shù)據(jù)傳輸是不可能,但是一些設(shè)置在web服務(wù)器的黑客程序卻可以查找和收集特定類型的數(shù)據(jù),這些數(shù)據(jù)包括信用卡、存款的賬號和相應(yīng)的口令。同時,因為internet的開放性設(shè)計,數(shù)據(jù)私有性和安全性還包括數(shù)據(jù)傳輸之外的問題,例如:連入internet的數(shù)據(jù)存儲網(wǎng)絡(luò)驅(qū)動器的安全性。所以,任何存儲在web服務(wù)器上的數(shù)據(jù)必須采取保護措施。
(二)數(shù)據(jù)的完整性
對完整性的安全威脅也叫主動搭線竊取。當未經(jīng)授權(quán)方改變了信息流時就構(gòu)成了對完整性的安全威脅。未保護的銀行交易很易受到對完整性的攻擊。當然,破壞了完整性也就意味著破壞了保密性,因為能改變信息的竊取者肯定能閱讀此信息。完整性和保密性間的差別在于:對保密性的安全威脅是指某人看到了他不應(yīng)看到的信息。而對完整性的安全威脅是指某人改動了關(guān)鍵的傳輸。破壞他人網(wǎng)站就是破壞完整性的例子。破壞他人網(wǎng)站是指以電子方式破壞某個網(wǎng)站的網(wǎng)頁。破壞他人網(wǎng)站的行為相當于破壞他人財產(chǎn)或在公共場所涂鴉。當某人用自己的網(wǎng)頁替換某個網(wǎng)站的正常內(nèi)容時,就說發(fā)生了破壞他人網(wǎng)站的行為。由于internct的開放體系,如果具備了特定的知識和工具,則完全可以更改傳輸中的數(shù)據(jù)。同時,要采取適當?shù)拇嫒≡L問控制,以保證數(shù)據(jù)存取系統(tǒng)的安全。在電子商務(wù)中務(wù)必保存數(shù)據(jù)最初的格式和內(nèi)容。
(三)認證
在猖獗的網(wǎng)絡(luò)欺詐或者反悔中,網(wǎng)絡(luò)交易者隱身在電腦屏幕背后,身份難以識別的問題是其重要淵源。建立有效的網(wǎng)上交易身份認證機制,提升交易雙方的信用度是有效控制網(wǎng)絡(luò)欺詐的重要途徑,對于電子商務(wù)的健康發(fā)展有著重要作用。交易方的信用問題已經(jīng)成為制約電子商務(wù)發(fā)展的重要瓶頸之一。在現(xiàn)實社會中,即便有著諸多因素的制約,仍然普遍地存在著信用缺乏的現(xiàn)象,建立完善的信用機制已經(jīng)成為社會各界的共識。在電子商務(wù)的具體實現(xiàn)中,首先要確認當前的通訊、交易和存取要求是合法的。例如,internet中的計算機系統(tǒng)的身份是其由IP地址確認的。黑客通過IP欺騙,使用虛假的IP地址,從而達到隱瞞自己身份盜用他人身份的目的。在日常電子郵件的使用中可以很容易地發(fā)匿名郵件,或者使用不真實的郵件用戶名。因此,在電子商務(wù)中必須建立嚴格的身份認證機制,以確保參加交易各方的身份真實有效。
(四)不可否認性
不可否認主要包含數(shù)據(jù)的原始記錄和發(fā)送記錄,確認數(shù)據(jù)已經(jīng)完成發(fā)送和接收,防止接收用戶更改原始記錄,防止用戶在已經(jīng)收到數(shù)據(jù)以后否認收到數(shù)據(jù),并拖延自己的下一步工作。為了保證交易過程的可操作性,必須采取可靠的方法確保交易過程的真實性,保證參加電子交易的各方承認交易過程的合法性。
簡言之,在internet上實現(xiàn)電子商務(wù)面臨的任務(wù):(1)私有性,即保證只有發(fā)送者和接收者可以接觸到信息;(2)完整性,即信息在傳輸過程中未經(jīng)任何改動;(3)身份認證,即接收方可以確信信息來自發(fā)信者,而不是第三者冒名發(fā)送,發(fā)送方可以確信接收方的身份是真實的,而不至于發(fā)往與交易無關(guān)的第三方;(4)不可否認性,在交易數(shù)據(jù)發(fā)送完成以后,雙方都不能否認自己曾經(jīng)發(fā)出或接收過信息。
電子商務(wù)面臨的上述問題主要是由對系統(tǒng)的非法入侵造成的。首先是網(wǎng)絡(luò)黑客,他們通過發(fā)現(xiàn)web服務(wù)器、操作系統(tǒng)或者主頁部件在配置方面的漏洞,攻擊網(wǎng)絡(luò)系統(tǒng)。其次是內(nèi)部入侵,這主要是由企業(yè)IT部門的員工造成的,保護網(wǎng)絡(luò)的物理安全(如主控機房)及嚴格的口令管理制度,是防范該類問題的關(guān)鍵。還有惡意代碼(如計算機病毒),它們在企業(yè)的傳播會給電子商務(wù)系統(tǒng)造成嚴重的損失。另外,值得關(guān)注的是計算機系統(tǒng)本身的問題,例如,由于電源造成的系統(tǒng)宕機,以及廣域網(wǎng)絡(luò)的通訊,這些都會直接造成服務(wù)的突然中止,影響電子商務(wù)的形象。我們還應(yīng)關(guān)注系統(tǒng)管理方面的問題,有時電子商務(wù)出現(xiàn)的問題既非黑客也非系統(tǒng)本身的毛病,而是源于對敏感數(shù)據(jù)處理不善或者是安全系統(tǒng)(如防火墻)的不正確配置。用戶的身份認證是計算機系統(tǒng)安全的基礎(chǔ)工作,數(shù)字簽名加密等技術(shù)在這里可以充分起到作用。
二、電子商務(wù)安全系統(tǒng)關(guān)鍵技術(shù)
(一)ssLVPN技術(shù)
SSL(安全套接層)協(xié)議是一種在Internet上保證發(fā)送信息安全的通用協(xié)議。它處于應(yīng)用層。SSL用公鑰加密通過SSL連接傳輸?shù)臄?shù)據(jù)來工作。SSL協(xié)議指定了在應(yīng)用程序協(xié)議(如HTTP、Telnet和FTP等)和TCP/IP協(xié)議之間進行數(shù)據(jù)交換的安全機制,為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器認證以及可選的客戶機認證。SSL協(xié)議包括握手協(xié)議、記錄協(xié)議以及警告協(xié)議三部分。握手協(xié)議負責確定用于客戶機和服務(wù)器之間的會話加密參數(shù)。記錄協(xié)議用于交換應(yīng)用數(shù)據(jù)。警告協(xié)議用于在發(fā)生錯誤時終止兩個主機之間的會話。
VPN(虛擬專用網(wǎng))則主要應(yīng)用于虛擬連接網(wǎng)絡(luò),它可以確保數(shù)據(jù)的機密性并且具有一定的訪問控制功能。VPN是一項非常實用的技術(shù),它可以擴展企業(yè)的內(nèi)部網(wǎng)絡(luò),允許企業(yè)的員工、客戶以及合作伙伴利用Internet訪問企業(yè)網(wǎng),而成本遠遠低于傳統(tǒng)的專線接人。過去,VPN總是和IPSec聯(lián)系在一起,因為它是VPN加密信息實際用到的協(xié)議。IPSec運行于網(wǎng)絡(luò)層,IPSeeVPN則多用于連接兩個網(wǎng)絡(luò)或點到點之間的連接。所謂的SSLVPN,其實是YPN設(shè)備廠商為了與IPsecVPN區(qū)別所創(chuàng)造出來的名詞,指的是使用者利用瀏覽器內(nèi)建的SecureSocketLayer封包處理功能,用瀏覽器連回公司內(nèi)部SSLVPN服務(wù)器,然后透過網(wǎng)絡(luò)封包轉(zhuǎn)向的方式,讓使用者可以在遠程計算機執(zhí)行應(yīng)用程序,讀取公司內(nèi)部服務(wù)器數(shù)據(jù)。它采用標準的安全套接層(ssL)對傳輸中的數(shù)據(jù)包進行加密,從而在應(yīng)用層保護了數(shù)據(jù)的安全性。高質(zhì)量的SSLVPN解決方案可保證企業(yè)進行安全的全局訪問。在不斷擴展的互聯(lián)網(wǎng)Web站點之間、遠程辦公室、傳統(tǒng)交易大廳和客戶端間,SSLVPN克服了IPSecVPN的不足,用戶可以輕松實現(xiàn)安全易用、無需客戶端安裝且配置簡單的遠程訪問,從而降低用戶的總成本并增加遠程用戶的工作效率。而同樣在這些地方,設(shè)置傳統(tǒng)的IPSecVPN非常困難,甚至是不可能的,這是由于必須更改網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)和防火墻設(shè)置。(二)加密技術(shù)
數(shù)據(jù)加密技術(shù)作為一項基本技術(shù),是電子商務(wù)的基石,是電子商務(wù)最基本的信息安全防范措施。其實質(zhì)是對信息進行重新編碼,從而達到隱藏信息內(nèi)容,使非法用戶無法獲取真實信息的一種技術(shù)手段,確保數(shù)據(jù)的保密性。基于加/解密所使用的密鑰是否相同,可分為對稱加密和非對稱加密兩類。
(1)對稱加密。對稱加密的加密密鑰和解密密鑰相同,即在發(fā)送方和接收方進行安全通信之前,商定一個密鑰,用這個密鑰對傳輸數(shù)據(jù)進行加密、解密。對稱加密的突出特點是加解密速度快,效率高,適合對大量數(shù)據(jù)加密。缺點是密鑰的傳輸與交換面臨安全問題,且若和大量用戶通信時,難以安全管理大量密鑰。目前,常用的對稱加密算法有DES、3DES、IDEA、Blowfish等。其中,DES(DataEncryptionStandard)算法由IBM公司設(shè)計,是迄今為止應(yīng)用最廣泛的一種算法,也是一種最具代表性的分組加密體制。DES是一種對二元數(shù)據(jù)進行加密的算法,數(shù)據(jù)分組長度為64bit,密文分組長度也是64bit,沒有數(shù)據(jù)擴展,密鑰長度為64bit,其中有8bit奇偶校驗,有效密鑰長度為56bit。加密過程包括16輪的加密迭代,每輪都采用一種乘積密碼方式(代替和移位)。DES整個體制是公開的,系統(tǒng)的安全性全靠密鑰的保密。DES算法的入口參數(shù)有3個:Key、Data、Mode。其中,Key為8個字節(jié)共64位,是DES算法的工作密鑰。Data也是8個字節(jié)64位,是需被加密或解密的數(shù)據(jù)。Mode為DES的工作方式,分為加密或解密兩種。DES算法的步驟為:如Mode為加密,則用Key去對數(shù)據(jù)進行加密,生成Data的密碼形式(64位)作為DES輸出結(jié)果。如Mode為解密,則用Key去把密碼形式的數(shù)據(jù)Data解密,還原為Data的明碼形式(64位)作為DES的輸出結(jié)果。DES是一種世界公認的較好的加密算法,具有較高的安全性,到目前為止除了用窮舉搜索法對DES算法進行攻擊外,尚未發(fā)現(xiàn)更有效的方法。
(2)非對稱加密。非對稱加密的最大特點是采用兩個密鑰將加密和解密能力分開。一個公開作為加密密鑰;一個為用戶專用,作為解密密鑰,通信雙方無需事先交換密鑰就可進行保密通信。而要從公開的公鑰或密文分析出明文或密鑰,在計算上是不可行的。若以公開鑰作為加密密鑰,以用戶專用鑰作為解密密鑰,則可實現(xiàn)多個用戶加密的信息只能由一個用戶解讀。反之,以用戶專用鑰作為加密密鑰而以公開鑰作為解密密鑰,則可實現(xiàn)由一個用戶加密的消息而使多個用戶解讀,前者可用于保密通信,后者可用于數(shù)字簽字。非對稱加密體制的出現(xiàn)是密碼學史上劃時代的事件,為解決計算機信息網(wǎng)中的安全提供了新的理論技術(shù)基礎(chǔ)。其優(yōu)點是很好地解決了對稱加密中密鑰數(shù)量過多難以管理的不足,且保密性能優(yōu)于對稱加密算法;缺點是算法復雜,加密速度不是很理想。
目前,RSA算法是最著名且應(yīng)用最廣泛的公鑰算法,其安全性基于模運算的整數(shù)因子分解的困難性。
算法內(nèi)容簡要描述如下:①獨立選取兩大素數(shù)p和q,計算n=p×q;其歐拉函數(shù)值z=(p-1)×(q-1)。②隨機選一整數(shù)e,1≤e由于RSA涉及大數(shù)計算,無論是硬件或軟件實現(xiàn)的效率都比較低,不適用對長的明文加密,常用來對密鑰加密,即與對稱密碼體制結(jié)合使用。
(三)網(wǎng)上交易身份認證機制
網(wǎng)上交易身份認證對于建立電子商務(wù)業(yè)界的信用機制起著重要作用,因此如何確認網(wǎng)上交易者的身份便成為諸多電子商務(wù)網(wǎng)站迫切希望解決的問題。
(1)在目前網(wǎng)絡(luò)法律制度還不健全的時代,自律機制非常重要,網(wǎng)絡(luò)交易的有效性和真實性在一定程度上能夠反映這個國家的信用機制的完善程度。相對而言,國外的電子商務(wù)信用體系相對較高,其交易身份認證多與信用卡等銀行信用記錄掛鉤,而我國則更多的是通過手機和身份證等方式進行。
(2)一些網(wǎng)上交易平臺為了幫助交易雙方打消顧慮,順利進行交易,提供第三方介入的支付方式,以保護雙方的合法利益,這種機制對于維護網(wǎng)上交易的誠信起到了很好的作用。
(3)電子郵件在電子商務(wù)交易中對子商務(wù)交易者的身份認證機制起著重要作用。電子郵件一旦重復則易造成無法注冊,甚至很多網(wǎng)站要求用戶兩次輸入有效的電子郵件以進行確認,以確保之后的所有信息能夠順利進行,所有的網(wǎng)站均將用戶的電子郵件作為聯(lián)系用戶和確認用戶諸多信息的重要聯(lián)系方式,其便捷性毋庸置疑。但是,在電子郵件收費的模式基本上發(fā)展前景不甚明朗的今天其有效性和真實性還值得商榷。
(4)用戶注冊中所提交的資料即身份認證過程中會涉及到很多可以列為用戶隱私權(quán)保護的信息,因此,在進行身份認證時還需要考慮隱私權(quán)保護問題。現(xiàn)在幾乎所有的電子商務(wù)網(wǎng)站上都有隱私權(quán)法律聲明,或者在用戶填寫過程中就通過鏈接的形式彈出窗口聲明用戶的這些資料將被用于那些用途。盡管如此,由于網(wǎng)絡(luò)上沒有絕對的安全,如果由于技術(shù)上的原因?qū)е掠脩舻纳矸菡J證資料泄露給他人,甚至被他人用于牟利或者其他非法目的,網(wǎng)站是否應(yīng)該承擔責任、應(yīng)該承擔什么樣的責任,也是身份認證機制應(yīng)該考慮的問題。
電子商務(wù)的安全問題是利害攸關(guān)的,安全遭到破壞會使他人信息泄露或?qū)е滦畔E用。電子商務(wù)安全策略必須明確保密、完整、不可否認的要求。總之,如何建立電子商務(wù)安全策略,并逐步完善這個策略,需要政府、電子商務(wù)企業(yè)、學者等的共同努力,任重而道遠。
第2篇
電子商務(wù)可以增加銷售額并降低成本的優(yōu)勢,使得政府與企業(yè)都十分重視并推動電子商務(wù)的建設(shè)和發(fā)展。電子商務(wù)發(fā)展到今天,主要問題在于時空的分離導致了安全問題的出現(xiàn),信息的安全性是當前發(fā)展電子商務(wù)最迫切需要解決的問題之一。研究和分析電子商務(wù)的安全性問題,特別是針對企業(yè)自身情況,充分借鑒以往電子商務(wù)系統(tǒng)開發(fā)的先進技術(shù)和經(jīng)驗,開發(fā)出符合企業(yè)特殊的電子商務(wù)系統(tǒng),已經(jīng)成為目前發(fā)展電子商務(wù)的關(guān)鍵,而安全體系的構(gòu)建顯得尤為重要。
2電子商務(wù)的主要安全要素
目前電子商務(wù)工程正在全國迅速發(fā)展。實現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動過程中系統(tǒng)的安全性,即應(yīng)保證在基于Internet的電子交易轉(zhuǎn)變的過程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來看,傳統(tǒng)的買賣雙方是面對面的,因此較容易保證交易過程的安全性和建立起信任關(guān)系。但在電子商務(wù)過程中,買賣雙方是通過網(wǎng)絡(luò)來聯(lián)系,由于距離的限制,因而建立交易雙方的安全和信任關(guān)系相當困難。時空的分離導致了安全問題的出現(xiàn),電子商務(wù)交易雙方(銷售者和消費者)都面臨安全威脅,電子商務(wù)的安全要素主要體現(xiàn)在以下幾個方面:
2.1信息真實性、有效性
電子商務(wù)以電子形式取代了紙張,如何保證這種電子形式的貿(mào)易信息的有效性和真實性則是開展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性和真實性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。
2.2信息機密性
電子商務(wù)作為貿(mào)易的一種手段,其信息直接廠代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的,商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。
3.3信息完整性
電子商務(wù)簡化了貿(mào)易過程,減少了人為的干預,同時也帶來維護商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能導致貿(mào)易各方信息的差異。此外,數(shù)據(jù)傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿(mào)易各方信息的不同。因此,電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲及電子商務(wù)完整性檢查的正確和可靠。
3.4信息可靠性、不可抵賴性和可鑒別性
可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^;不可否認要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預防抵賴行為的發(fā)生。
在無紙化的電子商務(wù)方式下,通過手寫簽名和印章進行貿(mào)易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識。在1nternet上每個人都是匿名的,電子商務(wù)系統(tǒng)應(yīng)充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴;接收方在接收數(shù)據(jù)后也不能抵賴。
3電子商務(wù)安全系統(tǒng)
網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易能順利進行,要求電子商務(wù)平臺要穩(wěn)定可靠,能不中斷地提供服務(wù)。任何系統(tǒng)的中斷,如硬件、軟件錯誤,網(wǎng)絡(luò)故障、病毒等都可能導致電子商務(wù)系統(tǒng)不能正常工作,而使貿(mào)易數(shù)據(jù)在確定的時刻和地點的有效性得不到保證,往往會造成巨大的經(jīng)濟損失。
所以就整個電子商務(wù)安全系統(tǒng)而言,安全性可以劃分為四個層次,
1)網(wǎng)絡(luò)節(jié)點的安全
2)通訊的安全性
3)應(yīng)用程序的安全性
4)用戶的認證管理
其中2、3、4是通過操作系統(tǒng)和Web服務(wù)器軟件實現(xiàn),而網(wǎng)絡(luò)節(jié)點的安全性依靠防火墻保證,我們應(yīng)該首先保證網(wǎng)絡(luò)節(jié)點的安全性。
3.1網(wǎng)絡(luò)節(jié)點的安全
防火墻是一種由計算機硬件和軟件的組合,使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān),從而保護內(nèi)部網(wǎng)免受非法用戶的侵入,它其實就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)(通常指局域網(wǎng)或城域網(wǎng))隔開的屏障。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊,為電子商務(wù)的施展提供個相對更安全的平臺。
防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息,并記憶通信狀態(tài),從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet系統(tǒng)。應(yīng)給予特別注意的是,防火墻不僅僅是路由器、堡壘主機或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合,它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構(gòu)的信息資源,這種安全策略應(yīng)包括:規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護措施,以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級別加以保護。僅設(shè)立防火墻系統(tǒng),而沒有全面的安全策略,那么防火墻就形同虛設(shè)。
3.2通訊的安全
在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接,所傳遞的重要信息都是經(jīng)過加密的,這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強度,也可以考慮將加密強度增加到128位。為在瀏覽器和服務(wù)器之間建立安全機制,SSL首先要求服務(wù)器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權(quán)機構(gòu)(CA中心)簽發(fā)。瀏覽器要驗征服務(wù)器證書的正確性,必須事先安裝簽發(fā)機構(gòu)提供的基礎(chǔ)公共密鑰(PKI)。建立SSL鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務(wù)器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的服務(wù)器證書通過后利用該證書對稱加密算法(RSA)與服務(wù)器協(xié)商一個對稱算法及密鑰,然后用此對稱算法加密傳輸?shù)拿魑摹4藭r瀏覽器也會出進入安全狀態(tài)的提示。
3.3應(yīng)用程序的安全性
即使正確地配置了訪問控制規(guī)則,要滿足計算機系統(tǒng)的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數(shù);程序員忘記檢查邊界條件,特別是處理字符串的內(nèi)存緩沖時;程序員忘記最小特權(quán)的基本原則。整個程序都是在特權(quán)模式下運行,而不是只有有限的指令子集在特權(quán)模式下運行,其他的部分只有縮小的許可;程序員從這個特權(quán)程序使用范圍內(nèi)建立一個資源,如一個文件和目錄。不是顯式地設(shè)置訪問控制(最少許可),程序員認為這個缺省的許可是正確的。
這些缺點都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來騙特權(quán)程序做一些它本來不應(yīng)該做的事情。緩沖溢出攻擊就是通過給特權(quán)程序輸入一個過長的字符串來實現(xiàn)的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執(zhí)行的命令,特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙摹@纾彌_溢出攻擊可以向系統(tǒng)中增加一個用戶并賦予這個用戶特權(quán)。訪問控制系統(tǒng)中沒有什么可以檢測到這些問題。只有通過監(jiān)視系統(tǒng)并尋找違反安全策略的行為,才能發(fā)現(xiàn)象這些問題一樣的錯誤。
3.4用戶的認證管理
1)身份認證
電子商務(wù)企業(yè)用戶身份認證可以通過服務(wù)器CA證書與IC卡相結(jié)合實現(xiàn)的。CA證書用來認證服務(wù)器的身份,IC卡用來認證企業(yè)用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID號和密碼口令的身份確認機制。
2)CA證書
要在網(wǎng)上確認交易各方的身份以及保證交易的不可否認性,需要一份數(shù)字證書進行驗證,這份數(shù)字證書就是CA證書,它由認證授權(quán)中心(CA中心)發(fā)行。認證中心(CA)就是承擔網(wǎng)上安全交易認證服務(wù),能簽發(fā)數(shù)字證書,并能確認用戶身份的服務(wù)機構(gòu)。認證中心通常是企業(yè)性的服務(wù)機構(gòu),主要任務(wù)是受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核后,為其發(fā)放數(shù)字證書,證書分為服務(wù)器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務(wù)器證書(下載可以在訪問之前或訪問時進行)。
3)安全套接層SSL協(xié)議
安全套接層SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。
SSL通過數(shù)字簽名和數(shù)字證書來實行身份驗證,數(shù)字證書是從認證機構(gòu)(CA,CertificateAuthority)獲得的,通常包含有唯一標識證書所有者的名稱、唯一標識證書者的名稱、證書所有者的公開密鑰、證書者的數(shù)字簽名、證書的有效期及證書的序列號等。在用數(shù)字證書對雙方的身份驗證后,雙方就可以用保密密鑰進行安全的會話了。
SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前,協(xié)商加密算法、連接密鑰并認證通信雙方,從而為應(yīng)用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應(yīng)用協(xié)議(如Http、Ftp、Telnet等)以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩浴?/p>
SSL協(xié)議握手流程由兩個階段組成:服務(wù)器認證和用戶認證。
①服務(wù)器認證
客戶端向服務(wù)器發(fā)送一個“Hello”信息,以便開始一個新的會話連接;服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰,如需要則服務(wù)器在響應(yīng)客戶的“Hello”信息時將包含生成主密鑰所需的信息;客戶根據(jù)收到的服務(wù)器響應(yīng)信息,產(chǎn)生一個主密鑰,并用服務(wù)器的公開密鑰加密后傳給服務(wù)器;服務(wù)器恢復該主密鑰,并返回給客戶一個用主密鑰認證的信息,以此讓客戶認證服務(wù)器。這樣通過主密鑰引出的密鑰對一系列數(shù)據(jù)進行加密來認證服務(wù)器,從而建立安全的通信通道。
②用戶認證
經(jīng)認證的服務(wù)器發(fā)送一個提問給客戶,客戶則返回數(shù)字簽名后的提問和其公開密鑰,從而向服務(wù)器提供認證。SSL協(xié)議支持各種加密算法,實現(xiàn)簡單,獨立于應(yīng)用層協(xié)議,且被大部分瀏覽器和Web服務(wù)器內(nèi)置,便于在電子交易中應(yīng)用。但SSL是一個面向連接的協(xié)議,起初并不是為了支持電子商務(wù)而設(shè)計的,只能提供交易中客戶與服務(wù)器間的雙方認證,在涉及多方的電子交易中,SSL協(xié)議不能協(xié)調(diào)各方面的安全傳輸和信任關(guān)系。為此,開發(fā)出了在網(wǎng)絡(luò)應(yīng)用層中專為電子商務(wù)而設(shè)計的SET協(xié)議。
4安全管理
為了確保系統(tǒng)的安全性,除了采用上述技術(shù)手段外,還必須建立嚴格的內(nèi)部安全機制。對于所有接觸系統(tǒng)的人員,按其職責設(shè)定其訪問系統(tǒng)的最小權(quán)限。按照分級管理原則,嚴格管理內(nèi)部用戶帳號和密碼,進入系統(tǒng)內(nèi)部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶帳號和密碼。
建立網(wǎng)絡(luò)安全維護日志,記錄與安全性相關(guān)的信息及事件,有情況出現(xiàn)時便于跟蹤查詢。定期檢查日志,以便及時發(fā)現(xiàn)潛在的安全威脅。
對于重要數(shù)據(jù)要及時進行備份,且對數(shù)據(jù)庫中存放的數(shù)據(jù),數(shù)據(jù)庫系統(tǒng)應(yīng)視其重要性提供不同級別的數(shù)據(jù)加密。
第3篇
【關(guān)鍵詞】:電子商務(wù)信息安全網(wǎng)絡(luò)
人類社會進入20世紀70年代以來,以微電子技術(shù)為基礎(chǔ)的計算機技術(shù)和通信技術(shù)取得了長足的進展,并滲透到經(jīng)濟和社會的各個領(lǐng)域,從而引起了世界范圍內(nèi)的新技術(shù)創(chuàng)新浪潮。信息化建設(shè)受到各國政府的高度重視,1991年美國提出"信息高速公路"的設(shè)想,1993年正式實施"國家信息基礎(chǔ)結(jié)構(gòu):行動計劃";1978年法國制定了一項有關(guān)"促進社會信息化的計劃",從那以后,法國政府不斷推進信息革命,每年投入50億美元巨款改進通信設(shè)備;早在1983年,我國政府就把發(fā)展信息技術(shù)納入了國家總體科技論文發(fā)展戰(zhàn)略規(guī)劃中,1999年,我國政府上網(wǎng)工程迅速推進,國家信息化戰(zhàn)略、數(shù)字化產(chǎn)品發(fā)展戰(zhàn)略、電子商務(wù)發(fā)展框架也都在加緊研究、制定中。目前全球的計算機社會擁有量迅速增加,互聯(lián)網(wǎng)用戶呈幾何級數(shù)增長,新的經(jīng)濟消費觀正在逐步形成。電子商務(wù)的社會基礎(chǔ)已經(jīng)形成。Internet技術(shù)的應(yīng)用普及為電子商務(wù)奠定了基礎(chǔ)條件,萬維網(wǎng)及相關(guān)技術(shù)的推出開創(chuàng)了電子商務(wù)應(yīng)用的新局面,基于Internet的網(wǎng)絡(luò)環(huán)境建設(shè)是開創(chuàng)電子商務(wù)市場的前提,安全保障等核心技術(shù)的實用化是電子商務(wù)成功的保證,商貿(mào)活動的信息網(wǎng)絡(luò)化加快了電子商務(wù)的發(fā)展進程,各種解決方案的推出標志著電子商務(wù)即將進入實用化階段。
從技術(shù)的角度看,電子商務(wù)的發(fā)展經(jīng)歷了啟蒙階段、商業(yè)化階段、社會化階段,并開始步入智能化時代。回顧企業(yè)信息化和電子商務(wù)的發(fā)展過程,從最初各部門用數(shù)據(jù)庫管理本部門的數(shù)據(jù),通過辦公自動化(OA)實現(xiàn)企業(yè)內(nèi)部辦公文檔傳遞,到建立統(tǒng)一的ERP系統(tǒng)為管理決策提供信息,通過CRM和SCM將企業(yè)和客戶、供應(yīng)商等整個供應(yīng)鏈上的各個環(huán)節(jié)聯(lián)系起來,再到以服務(wù)形式提供各式應(yīng)用,通過第三方ASP實現(xiàn)企業(yè)應(yīng)用服務(wù)的外包,這實際上就是一個從數(shù)據(jù)、信息到服務(wù)的縱向發(fā)展過程。互聯(lián)網(wǎng)應(yīng)用的發(fā)展也是這樣,從最初企業(yè)間使用EDI交換數(shù)據(jù),Email通訊傳遞簡單的信息,到通過門戶網(wǎng)站、搜索引擎獲取所需信息,與世界各地的人在BBS上交流信息,再到如今的通過社會網(wǎng)絡(luò)SNS拓展自己的交際圈,社會化程度越來越高。隨著信息技術(shù)和互聯(lián)網(wǎng)技術(shù)的普及和深入應(yīng)用,電子商務(wù)正在以前所未有的速度發(fā)展,以其方便性和靈活性向傳統(tǒng)商務(wù)模型提出了挑戰(zhàn)。互聯(lián)網(wǎng)的飛速發(fā)展,使得傳統(tǒng)的商業(yè)模式產(chǎn)生了深刻的變化,在相當程度上改變著人們的日常生活習慣。基于網(wǎng)絡(luò)的電子商務(wù)作為一種全新的商業(yè)模式,已經(jīng)得到了快速的發(fā)展,但網(wǎng)絡(luò)交易的安全問題始終是阻礙電子商務(wù)全面發(fā)展的巨大障礙。因此采用先進的網(wǎng)絡(luò)信息安全防范技術(shù),為電子商務(wù)提供完整的安全保障體系,進而推動電子商務(wù)高速發(fā)展。1.電子商務(wù)信息安全要素互聯(lián)網(wǎng)是一個完全開放的網(wǎng)絡(luò),任何一臺計算機、任何一個網(wǎng)絡(luò)都可以與之聯(lián)接,并借助互聯(lián)網(wǎng)信息,進行各種網(wǎng)上商務(wù)活動。同時,也給那些別有用心的組織或個人提供了竊取別人的各種機密如消費者的銀行賬號、密碼,甚至妨礙或毀壞他人網(wǎng)絡(luò)系統(tǒng)運行等各種機會。影響電子商務(wù)信息安全要素主要有系統(tǒng)的可靠性,交易的真實性,資料的安全性,資料的完整性,交易的不可抵賴性等。概括起來,電子商務(wù)面臨的安全威脅主要有以下幾方面。
1.1系統(tǒng)的中斷與癱瘓。網(wǎng)絡(luò)故障、操作失誤、應(yīng)用程序出錯、硬件故障、系統(tǒng)軟件設(shè)計不完善以及計算機病毒都有可能導致系統(tǒng)不能正常工作。如在劃撥貨款的過程中突然出現(xiàn)網(wǎng)絡(luò)中斷等。1.2信息被竊取。電子商務(wù)作為一種全新的貿(mào)易形式,其通訊的信息直接代表著個人、企業(yè)或國家的利益。攻擊者可能通過因特網(wǎng)、公共電話網(wǎng)、搭線或在電磁波輻射范圍內(nèi)安裝截收裝置等方式,截獲傳輸?shù)臋C密信息,或通過對信息流量和流向、通信頻度和長度等參數(shù)分析,推斷出有用的信息、如消費者的銀行賬號、密碼等。1.3信息被篡改。攻擊者可能從三個方面破壞信息的完整性。1)篡改。改變信息流的次序,更改信息的內(nèi)容。2)刪除。刪除某個消息或消息中的某些部分。3)插入。在信息中插入一些其它干擾信息,讓收方讀不懂或接收錯誤的信息。腦知識與技術(shù)1.4信息被偽造。1)虛開網(wǎng)站和商店,給用戶發(fā)電子郵件,接受訂單。2)偽造大量用戶,發(fā)電子郵件,窮盡商家資源、使合法用戶不能正常訪問網(wǎng)絡(luò)資源。3)冒充他人身份,進行消費和栽贓等。1.5對交易行為進行抵賴或不承認。1)發(fā)信者事后否認曾經(jīng)發(fā)送過某條消息或內(nèi)容。2)收信者事后否認曾經(jīng)收到過某條消息或內(nèi)容。3)購買者不承認確認了的訂單。4)商家賣出的商品因價格差而不承認原有的交易。2.電子商務(wù)中的信息安全防范技術(shù)
2.1數(shù)據(jù)加密技術(shù)加密技術(shù)是一種主動的信息安全防范措施,其原理是利用一定的加密算法,將明文轉(zhuǎn)換成為無意義的密文,阻止非法用戶理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性。按加密密鑰與解密密鑰的對稱性可分為對稱型加密、不對稱型加密、不可逆加密。在網(wǎng)絡(luò)安全技術(shù)中,加密技術(shù)是保障信息安全最關(guān)鍵和最基本的技術(shù)手段和理論基礎(chǔ),但是由于大部分數(shù)據(jù)加密算法都源于美國,且受到美國出口管制法的限制,無法在互聯(lián)網(wǎng)上大規(guī)模使用,從而限制了以加密技術(shù)為基礎(chǔ)網(wǎng)絡(luò)安全解決方案的應(yīng)用。2.2密鑰管理技術(shù)密鑰管理包括確保所產(chǎn)生的密鑰具有必要的屬性,把密鑰提前通知給需要它的特定系統(tǒng),確保密鑰按要求得到保護以阻止暴露和/或替代。其中,對稱密鑰管理是基于共同保守秘密來實現(xiàn)的,采用對稱加密技術(shù)的雙方必須保證采用的是相同的密鑰,要保證彼此密鑰的交換是安全可靠的,同時還要設(shè)定防止密鑰泄漏和更改密鑰的程序。使用公開密鑰的交易雙方可以使用證書(公開密鑰證書)來交換公開密鑰。國際電聯(lián)指定的X509對37福建電腦2008年第11期數(shù)字證書進行了定義,數(shù)字證書能夠起到標識交易雙方的作用,是目前電子商務(wù)廣泛使用的技術(shù)之一。2.3身份認證技術(shù)網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書。要建立安全的電子商務(wù)系統(tǒng),必須首先建立一個穩(wěn)固、健全的數(shù)字證書和認證中心(CA)。數(shù)字簽名是利用數(shù)字技術(shù)實現(xiàn)在網(wǎng)絡(luò)傳送文件時,附加個人標記,完成傳統(tǒng)意義上手書簽名或印章的作用,以表示確認、負責、經(jīng)手等。使用數(shù)字簽名可以保證交易中的認證性和不可否認性。數(shù)字簽名可以防范:接收方偽造、發(fā)送者或接收者否認、第三方冒充、接收方篡改。常見的數(shù)字簽名技術(shù)有:RSA數(shù)字簽名、DSA數(shù)字簽名、橢圓曲線數(shù)入侵檢測技術(shù)通常通過基于應(yīng)用的監(jiān)控技術(shù)、基于主機的監(jiān)控技術(shù)、基于目標的監(jiān)控技術(shù)和基于網(wǎng)絡(luò)的監(jiān)控技術(shù)四種檢測技術(shù)來抵御攻擊。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。認證機制是保護電子商務(wù)安全的第一條防線。任何一個在架構(gòu)設(shè)計上、代碼開發(fā)中以及認證的實現(xiàn)時所出現(xiàn)的小的漏洞或不足,都有可能使電子商務(wù)處在被攻擊的風險中。因此,加強對認證攻擊的充分認識和了解,并在系統(tǒng)開發(fā)時選擇合適的防御措施,就可以從根本上對某些攻擊進行有效的屏蔽,減少后期頻繁維護所付出的代價,達到事半功倍的效果。2.4網(wǎng)絡(luò)安全掃描技術(shù)安全掃描技術(shù)是對網(wǎng)絡(luò)的各個環(huán)節(jié)提供可靠的分析結(jié)果,并為系統(tǒng)管理員提供可靠性和安全性分析報告等。包括端口掃描技術(shù)和漏洞掃描技術(shù)等。2.5病毒防范技術(shù)計算機病毒實際上就是一種在計算機系統(tǒng)運行過程中能夠?qū)崿F(xiàn)傳染和侵害計算機系統(tǒng)的功能程序。病毒經(jīng)過系統(tǒng)穿透或違反授權(quán)攻擊成功后,攻擊者通常要在系統(tǒng)中植入木馬或邏輯炸彈等程序,為以后攻擊系統(tǒng)、網(wǎng)絡(luò)提供方便條件。網(wǎng)絡(luò)防病毒技術(shù)的具體實現(xiàn)方法包括對網(wǎng)絡(luò)服務(wù)器中的文件進行頻繁的掃描和監(jiān)測,工作站上采用防病毒芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。2.6電子認證技術(shù)為了保證電子商務(wù)安全因素的順利實現(xiàn),在電子商務(wù)中使用了基于公鑰體系的安全系統(tǒng)。基于公鑰體系的加密系統(tǒng)是按對生成的,每對密鑰由公鑰和私鑰組成,實際應(yīng)用中,公鑰是以證書性質(zhì)存放的,一個最基本而又是最關(guān)鍵的問題是公鑰的分發(fā),也就是證書的分發(fā),如果證書不能得到有效安全的分發(fā),所有的上層應(yīng)用軟件就不能得到安全的保障,解決問題的方法就是建立認證機構(gòu)體系CA。2.7防火墻技術(shù)防火墻(Firewall)是近年來發(fā)展最重要的安全技術(shù),它是通過對網(wǎng)絡(luò)作拓撲結(jié)構(gòu)和服務(wù)類型上的隔離來加強網(wǎng)絡(luò)安全的一種手段,核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。它所保護的對象是網(wǎng)絡(luò)中有明確閉合邊界的一個網(wǎng)塊,而它所防范的對象是來自被保護網(wǎng)塊外部的安全威脅。目前的防火墻分為兩大類,一類是簡單的包過濾技術(shù),它是在網(wǎng)絡(luò)層對數(shù)據(jù)包實施有選擇的通過。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯,檢查數(shù)據(jù)流中每個數(shù)據(jù)包后,根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的TCP端口和TCP鏈路狀態(tài)等因素來確定是否允許數(shù)據(jù)包通過。另一類是應(yīng)用網(wǎng)管和服務(wù)器,其顯著的優(yōu)點是較容易提供細顆粒度的存取控制,其可針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議及數(shù)據(jù)過濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報告。通過應(yīng)用防火墻技術(shù),可以做到通過過濾不安全的服務(wù),極大地提高網(wǎng)絡(luò)安全和減少網(wǎng)絡(luò)中主機的風險。但防火墻是一種基于網(wǎng)絡(luò)邊界的被動安全技術(shù),對內(nèi)部未授權(quán)訪問難以有效控制,因此較適合于內(nèi)部網(wǎng)絡(luò)相對獨立,且與外部網(wǎng)絡(luò)的互連途徑有限、網(wǎng)絡(luò)服務(wù)種類相對集中的網(wǎng)絡(luò)。2.8入侵檢測技術(shù)入侵檢測技術(shù)是一種利用入侵者留下的痕跡,如試圖登錄的失敗記錄等信息來有效地發(fā)現(xiàn)來自外部或內(nèi)部的非法入侵的技術(shù)。它以探測與控制為技術(shù)本質(zhì),起著主動防御的作用,是網(wǎng)絡(luò)安全中極其重要的部分。
3.企業(yè)實現(xiàn)電子商務(wù)的安全策略安全問題是企業(yè)應(yīng)用電子商務(wù)最擔心的問題,如何保障電子商務(wù)活動的安全,一直是電子商務(wù)的核心研究領(lǐng)域。作為一個安全的電子商務(wù)系統(tǒng),必須采用相應(yīng)的網(wǎng)絡(luò)安全策略。安全策略包括網(wǎng)絡(luò)安全問題的總原則、對安全使用的要求以及如何保障網(wǎng)絡(luò)的安全運行。3.1制定安全策略時首先確定的最重要的原則拒絕訪問明確準許以外的所有服務(wù)。當前一些電子商務(wù)企業(yè)的安全策略存在兩個誤區(qū):首先,企業(yè)所采取的操作系統(tǒng)的標準安全策略存在問題,這一標準安全策略只能提供一道脆弱的防線,很容易被攻破;其次,為滿足多種安全需求,許多企業(yè)以零碎的方式實施節(jié)點式解決方案,這雖然對電子商務(wù)的某些領(lǐng)域提供了有限的保護,但同時使系統(tǒng)管理更為復雜。阻止外來系統(tǒng)入侵只是電子商務(wù)安全的一個方面。成功的電子商務(wù)安全策略,必須涵蓋身份識別與認證、隱私與欺騙控制、管理與審計等傳統(tǒng)領(lǐng)域。3.2安全策略制定時還應(yīng)注意的問題3.2.1將需保護的對象分類,確定需保護的資源及其保護級別;規(guī)定可以訪問資源的實體和可執(zhí)行的動作;規(guī)定審計功能,記錄用戶活動及資源使用情況。3.2.2系統(tǒng)的安全應(yīng)從物理上、技術(shù)上、管理制度上以及安全教育上全方位采取措施,相互彌補和完善,盡可能地排除安全漏洞。3.2.3根據(jù)企業(yè)的實際需要確定內(nèi)部網(wǎng)的服務(wù)類型,規(guī)定內(nèi)部用戶和外部用戶能夠使用的服務(wù)種類,建立網(wǎng)管站,并制定出切實可行的安全管理制度。此外還需完善電子商務(wù)企業(yè)內(nèi)部安全管理體制,增強相關(guān)人員的安全意識。
4.結(jié)束語電子商務(wù)尚是一個機遇和挑戰(zhàn)共存的新領(lǐng)域,這種挑戰(zhàn)不僅來源于傳統(tǒng)的習慣,來源于計劃經(jīng)濟體制和市場經(jīng)濟體制的沖突,更來源于對可使用的安全技術(shù)的信賴。企業(yè)在應(yīng)用電子商務(wù)時,應(yīng)采取一系列的安全技術(shù)和安全策略。這種種安全措施的采用,一定能保證企業(yè)進行安全的電子商務(wù)活動。
參考文獻:
1.韓磊石松:淺談電子商務(wù)中信息安全問題[J].臨沂師范學院學報,2001;(8):136-139
2.黃發(fā)文:計算機網(wǎng)絡(luò)安全技術(shù)初探[J].計算機應(yīng)用研究,2002(5):46-48
3.林柏鋼.網(wǎng)絡(luò)與信息安全教程[M].機械工業(yè)出版社,2005.
4.曹淑艷.電子商務(wù)應(yīng)用基礎(chǔ)[M].北京:清華大學出版社,2002.
