|
知识路径: > 电子商务信息安全 > 电子商务信息安全威胁与防范 > 电子商务安全策略 >
|
被考次数:1次
被考频率:低频率
总体答错率:56%  
知识难度系数:
|
由 软考在线 用户真实做题大数据统计生成
|
相关知识点:15个
|
|
|
|
电子商务安全策略是提供安全服务的一套准则,它定义了系统要实现的安全目标和实现这些安全目标的途径。电子商务安全策略的内容应该有别于技术方案。安全策略是原则性的并且不涉及具体细节,对于整个组织提供全局性指导,为具体的安全措施和规定提供一个全局性框架。
|
|
|
电子商务安全策略主要包括电子商务安全技术及安全管理两部分内容。安全技术为电子商务安全提供基本的技术支持,安全管理为电子商务安全提供严格的组织与管理制度。
|
|
|
|
(1)计算机及网络安全技术。计算机和网络是开展电子商务活动的基础,因此计算机和网络安全是保障电子商务安全的基础。计算机和网络安全技术涉及的内容很多,包括计算机硬件安全、软件安全、操作系统安全、数据库安全、防火墙技术、虚拟专网技术、入侵检测技术、漏洞检测技术和病毒防范技术等。
|
|
|
(2)信息加密技术。信息加密技术是实现电子商务交易安全保密性、完整性、不可抵赖性、身份可认证性的基础。信息加密技术主要有单钥密码体制和公开密钥密码体制两大类。单钥密码体制中加密密钥和解密密钥相同,算法简单、速度快,但密钥发布与管理安全性较低;公开密钥密码体制中加密密钥和解密密钥不同,分为公钥和私钥,公钥用于加密,私钥用于解密。相对于单钥密码体制,公开密钥密码体制的密钥便于管理,安全性更高,但算法复杂,速度慢,实际应用中普遍采用两种体制相结合的方式。典型的单钥密码体制和公开密钥密码体制算法分别是DES算法和RSA算法。
|
|
|
(3)数字摘要和数字签名技术。数字摘要技术用于验证信息的完整性,应用信息加密技术生成数字签名,表明签署者身份,签署者承认所签署的文件内容,保证交易的真实性和有效性。如果当事双方关于签名的真伪发生争执,能够由公正的第三方仲裁机构通过验证签名来确认其真伪,有效防止交易抵赖和伪造行为的发生。
|
|
|
(4)认证中心(Certificate Authority, CA)。认证中心是一个权威的、受信任的第三方机构,其核心职能是发放和管理数字证书,用于证明和确认交易参与者的身份,保证电子商务交易过程中身份可认证性。认证中心以数字证书的方式为采用公开密钥的用户分发公开密钥,承担公钥体系中公钥的合法性检验等任务。为了建立信任关系,认证中心用它的私钥对数字证书进行签名,防止数字证书的伪造和篡改,从而保证了认证信息的完整性和数字证书的权威性,并且认证中心不能否认自己所颁发的证书。
|
|
|
(5)安全协议。信息加密技术、数字摘要和数字签名技术、认证中心等电子商务安全技术如何与电子商务交易的各参与方充分地结合起来,以保证安全、有序、快捷地完成交易流程,需要安全交易协议规范各方的行为与各种技术的应用。电子商务安全协议主要有SSL协议和SET协议。
|
|
|
|
电子商务是一个复杂的系统,涉及很多参与角色和活动环节。因此,电子商务的安全除了靠安全技术保障外,还必须加强监管,建立健全相应的安全管理制度,有相关的法律法规作保障。
|
|
|
(1)交易安全管理制度。交易安全管理制度主要是为电子商务活动提供安全交易环境,制定相应管理制度和策略,提高信用,规避风险,保证商务活动的公平、公开和公正。
|
|
|
(2)风险管理与控制机制。通过风险管理与控制机制的建立能够对潜在风险及其发生的可能性进行分析,从而及时有效地实施应对策略来规避风险。风险管理与控制是一个封闭的连续过程。首先是主动检查系统内外工作环境,找出潜在风险。其次是对潜在风险及其发生的可能性进行分析,在此基础上对可分配的资源进行评估,制定评估计划与实施方案,并予以实现。最后利用实现过程中所获得的监控信息对风险管理的计划与控制进行调整。应对风险要考虑成本效益的问题,应当认真研究和制定风险管理与控制机制,正确把握投入的度,以最小的投入,获得最大的效益。
|
|
|
(3)运行、维护和安全监控管理制度。建立日常的电子商务系统运行、维护和安全监控管理制度,定期检查系统日志,对系统的日常工作情况进行记录与监控。特别要对关系系统安全的重大相关事件、操作状况和运行情况进行记录,以便分析查找发现问题,及时妥善解决问题。
|
|
|
(4)授权、访问控制策略和责任。授权是指赋予本体(用户、终端、程序等)对客体(数据、程序等)的支配权利,即规定了谁可以对谁进行什么操作。例如,规定某个文件只能由特定人员阅读或修改;人事记录只能由人事部职员进行新增和修改,并且只能由人事部职员、执行经理以及该记录所属于的那个人阅读;在多级安全系统中,只有所持的许可证级别等于或高于相关密级的人员,才有权访问该密级中的信息等。这些安全策略的描述也对各类防护措施提出了要求。在计算机和通信系统中,主要是以一种被称为“访问控制策略”的系统安全策略反映出来的。访问控制策略隶属于系统安全策略,它迫使在计算机系统和网络中自动地执行授权。例如,基于身份的策略,该策略允许或者拒绝执行对明确区分的个体或群体进行访问;基于任务的策略,它是基于身份的策略的一种变形,它给每一个体分配任务,并基于这些任务来使用授权规则;多等级策略,它是基于信息敏感性的等级以及工作人员许可证等级而制定的一般规则的策略。支撑所有安全控制策略的一个根本原则是责任。受到安全策略制约的任何个体在执行任务时,需要对他们的行动负责。
|
|
|
(5)人员管理制度。人员管理在电子商务安全管理中处于非常重要的地位,管理的对象包括在职人员和离职人员,管理的内容包括无意的操作失误、有意的攻击与破坏、错误的判断等。内部人员对系统攻击的危害性及发现的难度要远远大于外部人员,因此如何防止系统内部人员对电子商务系统有意的攻击与破坏是重中之重。制定严格的管理制度,加强教育和监督,明确职责和权限,严禁越权操作和使用。建立离职人员的审计和监督制度,杜绝因人员的离职给单位造成不必要的损失。建立在职人员个人情况(特别是经济状况、工作业绩、道德品行等)档案,及时了解在职人员的思想和工作状况,防止蓄意破坏情况的发生。另外,还要在人员录用、安全教育、岗前培训等方面制定相应的管理制度,消除安全隐患,杜绝安全漏洞,防患于未然。
|
|
|
(6)保密制度。建立安全保密制度,加强工作人员的安全教育,提高安全意识。严格执行信息披露制度,保证企业的有价值信息、关键性商务运作信息、客户私人信息以及内部重要信息等不被泄露。
|
|
|
(7)病毒防范机制。建立病毒的检测与防范机制,通过采用网络防火墙、防病毒软件、控制访问权限等技术和措施,增强安全意识,严格制度管理。认真执行病毒的检测与清理、系统漏洞检查等制度,杜绝安全隐患,防患于未然。
|
|
|
(8)安全计划、应急机制和灾难恢复机制。任何系统都会受到自然灾害或者是人为灾害的影响,使系统处于不安全或者不稳定的状态。因此,需要制定安全计划、应急机制和灾难恢复措施。评估系统薄弱环节,防止和减少系统风险。制定完善的安全解决方案,在系统出现突发性事故或不安全事故发生的情况下,能够尽快排除故障,恢复系统正常运行,最大限度地减少损失。制定灾难恢复措施,经常对重要数据进行备份。采用数据恢复技术,以便灾难发生时,能够及时恢复与使用数据。
|
|
|