电子商务安全体系架构技术方面
技术方面是本文所要阐述的主要方面,因为它能够依靠企业自
身的努力来达到令人满意的安全保障效果。目前,关于电子商务安全体系的研究比
较多,有基于层次的体系,也有基于对象的体系,还有基于风险管理的体系,等
等。在我国,虽然电子商务发展比较快,但整体发展水平还是比较低,大部分企业
对电子商务的认识和实际的开展情况都不尽如人意,多数的企业网站仅有主页和
E―mail 地址,这其中安全是十分突出的问题。本文研究了基于敏感数据流的安全
体系,通过跟踪敏感数据流来构建安全体系,既可以从全程保证所有敏感数据的安
全,又可以减掉各种不必要的安全投入,提高资源使用效率。
1 客户机的数据安全。从第一个电子商务的客户通过电子网络向企业的电子
设备发送信息的那一刻起,敏感数据便产生了。客户机的安全不仅是电子商务安全
的第一步,而且是电子商务安全密不可分的重要部分。客户机的安全应考虑以下几
个方面:
(1)Cookies。Cookies 能够存储客户机信息、客户的登录信息和一些历史商务
信息,以方便客户再次登录时提交给电子商务服务器。避免这些敏感信息泄露的最
彻底力、法就是关闭 cookie 功能。但这有时会使打开一些网页受到影响。大部分
浏览器既可以提供 cookie 的管理功能,也可以利用第三方软件来管理 cookie。
(2)活动内容。活动内容是嵌入网页可以自动或激发执行的代码,包括
Cookies、Java 小程序、Java 脚本、VB 脚本和 ActiveX 控件。他们是植入木马病
毒的重要途径。
(3)插件。它多半是与多媒体播放有关的程序,但它会导致一些嵌入影音文件
的恶意代码被执行。
(4)病毒。它的危害程序很大,常通过 E-mail、office 文档和各种程序等多种
形式进行传播。
(5)物理安全。利用数字证书技术、加密技术可以有效保障敏感数据的安全。
还应该通过防火墙、杀毒软件、下载补丁和对各种软件的正确设置和使用等技术手
段来最大程度减少其中的威胁。对于物理安全,除了使用传统技术,还可以使用一
些识别设备,如指纹设备可以通过较小的代价提供比传统密码登录强大得多的保
护。此类设备还有签名识别器、虹膜扫描器、掌纹扫描器等。