2011年软考系统分析师整理资料：网络安全(17)

 　　二十.电子商务网络安全问题的对策

　　电子商务的一个重要技术特征是利用计算机技术来传输和处理商业信息。因此，电子商务安全问题的对策从整体上可分为计算机网络安全措施和商务交易安全措施两大部分。

　　1.计算机网络安全措施

　　计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面，各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。

　　(一)保护网络安全。

　　网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下：

　　(1)全面规划网络平台的安全策略。

　　(2)制定网络安全的管理措施。

　　(3)使用防火墙。

　　(4)尽可能记录网络上的一切活动。

　　(5)注意对网络设备的物理保护。

　　(6)检验网络平台系统的脆弱性。

　　(7)建立可靠的识别和鉴别机制。

　　(二)保护应用安全。

　　保护应用安全，主要是针对特定应用(如Web服务器、网络支付专用软件系统)所建立的安全防护措施，它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠，如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密，都通过IP层加密，但是许多应用还有自己的特定安全要求。

　　由于电子商务中的应用层对安全的要求最严格、最复杂，因此更倾向于在应用层而不是在网络层采取各种安全措施。

　　虽然网络层上的安全仍有其特定地位，但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。

　　(三)保护系统安全。

　　保护系统安全，是指从整体电子商务系统或网络支付系统的角度进行安全防护，它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施：

　　(1)在安装的软件中，如浏览器软件、电子钱包软件、支付网关软件等，检查和确认未知的安全漏洞。

　　(2)技术与管理相结合，使系统具有最小穿透风险性。如通过诸多认证才允许连通，对所有接入数据必须进行审计，对系统用户进行严格安全管理。

　　(3)建立详细的安全审计日志，以便检测并跟踪入侵攻击等。