基于四层网络安全结构的电子商务

【前言】基于四层网络安全结构的电子商务由文秘帮小编整理而成，但愿对你的学习工作带来帮助。(2)通讯的安全 (3)应用程序的安全 (4)用户的认证管理 其中(2)、(3)、(4)层是通过操作系统和web服务器软件实现的，网络节点的安全性依靠防火墙保证，我们应该首先保证网络节点的安全性。 1 网络节点的安全 1.1 防火墙 防火墙是在连接internet和intranet保证安全最为有...

摘要：构筑安全电子商务信息环境是网络时展到一定阶段的“瓶颈”性课题。本文侧重讨论了基于四层网络安全结构中的电子商务。

关键词：安全；电子商务；证书；系统；服务器；防火墙；用户；安全性

电子商务在功能上要求实现实时账户信息查询。这就使电子商务系统必须在物理上与生产系统要有连接，这对于电子商务系统的安全性提出了更高的要求，必须保证外部网络（internet）用户不能对生产系统构成威胁。为此，需要全方位地制定系统的安全策略。

就整个系统而言，安全性可以分为四个层次：

(1)网络节点的安全

(2)通讯的安全

(3)应用程序的安全

(4)用户的认证管理

其中(2)、(3)、(4)层是通过操作系统和web服务器软件实现的，网络节点的安全性依靠防火墙保证，我们应该首先保证网络节点的安全性。

1 网络节点的安全

1.1 防火墙

防火墙是在连接internet和intranet保证安全最为有效的方法，防火墙能够有效地监视网络的通信信息，并记忆通信状态，从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能，制定正确的安全策略，将能提供一个安全、高效的intranet系统。

1.2 防火墙安全策略

应给予特别注意的是，防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源，这种安全策略应包括：规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及管理制度等。所有有可能受到网络攻击的地方都必须以同样的安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。

1.3 安全操作系统

防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网，则防火墙失效。所以，要保证防火墙发挥作用，必须保证操作系统的安全。只有在安全操作系统的基础上，才能充分发挥防火墙的功能。在条件许可的情况下，应考虑将防火墙单独安装在硬件设备上。

2 通讯的安全

2.1 数据通讯

通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全，一定程度上取决于加密的算法和加密的强度。

2.2 安全链路

在客户端浏览器和电子商务web服务器之间采用ssl协议建立安全链接，所传递的重要信息都是经过加密的，这在一定程度上保证了数据在传输过程中的安全。为在浏览器和服务器之间建立安全机制，ssl首先要求服务器向浏览器出示它的证书，证书包括一个公钥，由一家可信证书授权机构（ca中心）签发。

验证个人证书是为了验证来访者的合法身份。而单纯地想建立ssl链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时）。验证此证书是合法的服务器证书通过后利用该证书对称加密算法（rsa）与服务器协商一个对称算法及密钥，然后用此对称算法加密传输的明文。此时浏览器也会出现进入安全状态的提示。

3 应用程序的安全

即使正确地配置了访问控制规则，要满足计算机系统的安全性也是不充分的，因为编程错误也可能引致攻击。

4 用户的认证管理

4.1 身份认证

电子商务企业用户身份认证可以通过服务器ca证书与ic卡相结合实现。ca证书用来认证服务器的身份，ic卡用来认证企业用户的身份。个人用户由于没有提供交易功能，所以只采用id号和密码口令的身份确认机制。

4.2 ca证书

要在网上确认交易各方的身份以及保证交易的不可否认性，需要一份数字证书进行验证，这份数字证书就是ca证书，它由认证授权中心（ca中心）发行。ca中心一般是社会公认的可靠组织，它对个人、组织进行审核后，为其发放数字证书，证书分为服务器证书和个人证书。建立ssl安全链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯地想建立ssl链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时进行）。

5 安全管理

为了确保系统的安全性，除了采用上述技术手段外，还必须建立严格的内部安全机制。

对于所有接触系统的人员，按其职责设定其访问系统的最小权限。

按照分级管理原则，严格管理内部用户账号和密码，进入系统内部必须通过严格的身份确认，防止非法占用、冒用合法用户账号和密码。

建立网络安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询。定期检查日志，以便及时发现潜在的安全威胁。

对于重要数据要及时进行备份，且对数据库中存放的数据，数据库系统应视其重要性提供不同级别的数据加密。

安全实际上就是一种风险管理。任何技术手段都不能保证100％的安全。但是，安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。

参考文献

[1]屈云波.电子商务[M].北京：企业管理出版社，1999.

[2]赵立平.电子商务概论[M].上海：复旦大学出版社，2000.

[3]赵战生.我国信息安全及其技术研究[J].中国信息导报.1999,（8）：5-7.

[4]郭晓苗.Internet上的信息安全保护技术[J].现代图书情报技术.2000,（3）：50-51.

[5]吉俊虎.网络和网络安全刍议[J].中国信息导报.1989,（9）：23-24.

[6]郭炎华.网络信息与信息安全探析[J].情报杂志.2001,（4）：44-45.

[7]林聪榕.世界主要国家信息安全的发展动向[J].中国信息导报.2001,（1）：58-59.