電子商務安全事件精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們為您準備了不同風格的5篇電子商務安全事件，期待它們能激發您的靈感。

篇1

關鍵字 電子商務 網絡安全 事件類型 安全建議

1前言

隨著Internet的快速發展，電子商務已經逐漸成為人們進行商務活動的新模式。越來越多的人通過Internet進行商務活動。電子商務的發展前景十分誘人，而其安全問題也變得越來越突出。近年來，網絡安全事件不斷攀升，電子商務金融成了攻擊目標，以網頁篡改和垃圾郵件為主的網絡安全事件正在大幅攀升。國家計算機網絡應急技術處理協調中心（以下簡稱CNCERT/CC）作為接收國內網絡安全事件報告的重要機構，2005年上半年共收到網絡安全事件報告65679件，為2004年全年64686件還要多。在CNCERT/CC處理的網絡安全事件報告中，網頁篡改占45.91％，網絡仿冒占29%，其余為拒絕服務攻擊、垃圾郵件、蠕蟲、木馬等，2004年以來，我國面臨的網絡仿冒威脅正在逐漸加大，仿冒對象主要是金融網站和電子商務網站。數字顯示，電子商務等網站極易成為攻擊者的目標，其安全防范有待加強。如何建立一個安全、便捷的電子商務應用環境，對信息提供足夠的保護，已經成為商家和用戶都十分關心的話題。

2影響電子商務發展的主要網絡安全事件類型

一般來說，對電子商務應用影響較多、發生率較高的互聯網安全事件可以分為網頁篡改、網絡蠕蟲、拒絕服務攻擊、特羅伊木馬、計算機病毒、網絡仿冒等，而近幾年來出現的網絡仿冒（Phishing），已逐步成為影響電子商務應用與發展的主要威脅之一。

2.1網絡篡改

網絡篡改是指將正常的網站主頁更換為黑客所提供的網頁。這是黑客攻擊的典型形式。一般來說，主頁的篡改對計算機系統本身不會產生直接的損失，但對電子商務等需要與用戶通過網站進行溝通的應用來說，就意味著電子商務將被迫終止對外的服務。對企業網站而言，網頁的篡改，尤其是含有攻擊、丑化色彩的篡改，會對企業形象與信譽造成嚴重損害。

2.2網絡蠕蟲

網絡蠕蟲是指一種可以不斷復制自己并在網絡中傳播的程序。這種程序利用互聯網上計算機系統的漏洞進入系統，自我復制，并繼續向互聯網上的其它系統進行傳播。網絡蠕蟲的危害通常有兩個方面：1、蠕蟲在進入被攻擊的系統后，一旦具有控制系統的能力，就可以使得該系統被他人遠程操縱。其危害一方面是重要系統會出現失密現象，另一方面會被利用來對其他系統進行攻擊。2、蠕蟲的不斷蛻變并在網絡上的傳播，可能導致網絡被阻塞的現象發生，從而致使網絡癱瘓，使得各種基于網絡的電子商務等應用系統失效。

2.3拒絕服務攻擊

拒絕服務攻擊是指在互聯網上控制多臺或大量的計算機針對某一個特定的計算機進行大規模的訪問，使得被訪問的計算機窮于應付來勢兇猛的訪問而無法提供正常的服務，使得電子商務這類應用無法正常工作。

一般來說，這是黑客常用的一種行之有效的方法。如果所調動的攻擊計算機足夠多，則更難進行處置。尤其是被蠕蟲侵襲過的計算機，很容易被利用而成為攻擊源，并且這類攻擊通常是跨網進行的，加大了打擊犯罪的難度。

2.4特羅伊木馬

特羅伊木馬（簡稱木馬）是一種隱藏在計算機系統中不為用戶所知的惡意程序，通常用于潛伏在計算機系統中來與外界連接，并接受外界的指令。被植入木馬的計算機系統內的所有文件都會被外界所獲得，并且該系統也會被外界所控制，也可能會被利用作為攻擊其它系統的攻擊源。很多黑客在入侵系統時都會同時把木馬植入到被侵入的系統中。

2.4網絡仿冒（Phishing）

Phishing又稱網絡仿冒、網絡欺詐、仿冒郵件或者釣魚攻擊等，是黑客使用欺詐郵件和虛假網頁設計來誘騙收件人提供信用卡帳號、用戶名、密碼、社會福利號碼等，隨后利用騙得的帳號和密碼竊取受騙者金錢。近年來，隨著電子商務、網上結算、網上銀行等業務在日常生活中的普及，網絡仿冒事件在我國層出不窮，諸如中國銀行網站等多起金融網站被仿冒。網絡仿冒已經成為影響互聯網應用，特別是電子商務應用的主要威脅之一。

根據國際反仿冒郵件工作小組（Anti-Phishing Working Group，APWG）統計，2005年4月共有2854起仿冒郵件事件報告；從2004年7月至2005年4月，平均每月的仿冒郵件事件報告數量的遞增達率15%；僅在2005年4月，就共有79個各類機構被仿冒。2005年上半年CNCERT/CC廣東分中心就處理了15多期的網絡仿冒事件。從這些數字可以看到，Phishing事件不僅數量多、仿冒范圍大，而且仍然在不斷增長。

網絡仿冒者為了逃避相關組織和管理機構的打擊，充分利用互聯網的開放性，往往會將仿冒網站建立在其他國家，而又利用第三國的郵件服務器來發送欺詐郵件，這樣既便是仿冒網站被人舉報，但是關閉仿冒網站就比較麻煩，對網絡欺詐者的追查就更困難了，這是現在網絡仿冒犯罪的主要趨勢之一。

據統計，中國已經成為第二大仿冒網站的屬地國，僅次于美國，而就目前CNCERT/CC的實際情況來看，已經接到多個國家要求協助處理仿冒網站的合作請求。因此，需要充分重視網絡仿冒行為的跨國化。

3安全建議

隨著網絡應用日益普及和更為復雜，網絡安全事件不斷出現，電子商務的安全問題日益突出，需要從國家相關法律建設的大環境到企業制定的電子商務網絡安全管理整體架構的具體措施，才能有效保護電子商務的正常應用與發展。

3.1不斷完善法律與政策依據 充分發揮應急響應組織的作用

目前我國對于互聯網的相關法律法規還較為欠缺，尤其是互聯網這樣一個開放和復雜的領域，相對于現實社會，其違法犯罪行為的界定、取證、定位都較為困難。因此，對于影響電子商務發展的基于互聯網的各類網絡安全事件的違法犯罪行為的立法，需要一個漫長的過程。

根據互聯網的體系結構和網絡安全事件的特點，需要建立健全協調一致，快速反應的各級網絡應急體系。要制定有關管理規定，為網絡安全事件的有效處理提供法律和政策依據。

轉貼于 互聯網應急響應組織是響應并處理公共互聯網網絡與信息安全事件的組織，在我國，CNCERT/CC是國家級的互聯網應急響應組織，目前已經建立起了全國性的應急響應體系；同時，CNCERT/CC還是國際應急響應與安全小組論壇（FIRST，Forum of Incident Response and Security Teams）等國際機構的成員。

應急響應組織通過發揮其技術優勢，利用其支撐單位，即國內主要網絡安全廠商的行業力量，為相關機構提供網絡安全的咨詢與技術服務，共同提高網絡安全水平，能有效減少各類的網絡事件的出現；通過聚集相關科研力量，研究相關技術手段，以及如何建立新的電子交易的信任體系，為電子商務等互聯網應用的普及和順利發展提供前瞻性的技術研究方面具有積極意義。

對于目前跨國化趨勢的各類網絡安全事件，可以通過國際組織之間的合作，利用其協調機制，予以積極處理。事實上，從CNCERT/CC成立以來，已經成功地處理了多起境外應急響應組織提交的網絡仿冒等安全事件協查請求，關閉了上百個各類仿冒網站；同時，CNCERT/CC充分發揮其組織、協調作用，成功地處理了國內網頁篡改、網絡仿冒、木馬等網絡安全事件。

3.2建立整體的網絡安全架構 切實保障電子商務的應用發展

從各類網絡安全事件分析中我們看到，電子商務的網絡安全問題不是純粹的計算機安全問題，從企業的角度出發，應該建立整體的電子商務網絡安全架構，結合安全管理以及具體的安全保護、安全監控、事件響應和恢復等一套機制來保障電子商務的正常應用。

3.2.1安全管理

安全管理主要是通過嚴格科學的管理手段以達到保護企業網絡安全的目的。內容可包括安全管理制度的制定、實施和監督，安全策略的制定、實施、評估和修改，相關人員的安全意識的培訓、教育，日常安全管理的具體要求與落實等。

3.2.2安全保護

安全保護主要是指應用網絡安全產品、工具和技術保護網絡系統、數據和用戶。這種保護主要是指靜態保護，通常是一些基本的防護，不具有實時性，如在防火墻的規則中實施一條安全策略，禁止所有外部網用戶到內部網Web服務器的連接請求，一旦這條規則生效，它就會持續有效，除非我們改變這條規則。這樣的保護能預防已知的一些安全威脅，而且通常這些威脅不會變化，所以稱為靜態保護。

3.2.3安全監控/審計

安全監控主要是指實時監控網絡上正在發生的事情，這是任何一個網絡管理員都想知道的。審計一直被認為是經典安全模型的一個重要組成部分。審計是通過記錄通過網絡的所有數據包，然后分析這些數據包，幫助查找已知的攻擊手段、可疑的破壞行為，來達到保護網絡的目的。

安全監控和審計是實時保護的一種策略，它主要滿足一種動態安全的需求。因為網絡安全技術在發展的同時，黑客技術也在不斷的發展，網絡安全不是一成不變的，也許今天對你來說安全的策略，明天就會變得不安全，因此我們應該時刻關注網絡安全的發展動向以及網絡上發生的各種各樣的事情，以便及時發現新的攻擊，制定新的安全策略。可以這樣說，安全保護是基本，安全監控和審計是其有效的補充，兩者的有效結合，才能較好地滿足動態安全的需要。

3.2.4事件響應與恢復

事件響應與恢復主要針對發生攻擊事件時相應的應急措施與恢復正常應用的機制。就是當攻擊發生時，能及時做出響應，這需要建立一套切實有效、操作性強的響應機制，及時防止攻擊的進一步發展。響應是整個安全架構中的重要組成部分，因為網絡構筑沒有絕對的安全，安全事件的發生是不可能完全避免的，當安全事件發生的時候，應該有相應的機制快速反應，以便讓管理員及時了解攻擊情況，采取相應措施修改安全策略，盡量減少并彌補攻擊的損失，防止類似攻擊的再次發生。

當安全事件發生后，對系統可能會造成不同程度的破壞，如網絡不能正常工作、系統數據被破壞等，這時，必須有一套機制能盡快恢復系統的正常應用，因為攻擊既然已經發生了，系統也遭到了破壞，這時只有讓系統以最快的速度運行起來才是最重要的，否則損失將更為嚴重。因此恢復在電子商務安全的整體架構中也是不可缺少的組成部分。 4小結

Internet的快速發展，使電子商務逐漸進入人們的日常生活，而伴隨各類網絡安全事件的日益增加與發展，電子商務的安全問題也變得日益突出，建立一個安全、便捷的電子商務應用環境，已經成為商家和用戶密切關注的話題。

本文主要從目前深刻影響電子商務應用與發展的幾種主要的網絡安全事件類型出發，闡述了電子商務的網絡安全問題，并從國家相關法制建設的大環境，應急響應組織的作用與意義，以及企業具體的電子商務網絡安全整體架構等方面，給出一些建議與思考。

參考文獻

1

CNCERT/CC.“2005年上半年網絡安全工作報告”

2

CNCERT/CC上海分中心.“網絡欺詐的分析和研究”.2005年3月

3

篇2

電子商務的存在和發展，是以網絡技術的革新為前提。電子商務系統的構建、運行及維護，都離不開技術的支持。同時，由于電子商務適合于各種大、小型企業，所以應采取措施來保障電子商務網站的安全。

一、電子商務中存在安全的問題

（一）網絡信息安全方面

1.服務器的安全問題。電子商務服務器是電子商務的核心，安裝了大量的與電子商務有關的軟件和商家信息，并且服務器上的數據庫里有電子商務活動過程中的一些保密數據。因此服務器特別容易受到安全的威脅，并且一旦出現安全問題，造成的后果也是非常嚴重。

2.網絡信息的安全問題。非法用戶在網絡的傳輸上使用不正當手法，非法攔截會話數據獲得合法用戶的有效信息，最終導致合法用戶的一些核心業務數據泄密或者是非法用戶對截獲的網絡數據進行一些惡意篡改，如增加、減少和刪除等操作，從而使信息失去真實性和完整性，導致合法用戶無法正常交易，還有一些非法用戶利用截獲的網絡數據包再次發送，惡意攻擊對方的網絡硬件和軟件。

3.網絡安全中的病毒問題。互聯網的出現為電腦病毒的傳播提供了最好的媒介，不少新病毒直接以互聯網作為自己的傳播途徑，電腦病毒問世10多年來，各種新型病毒及其變種迅速增加，不少新病毒直接以互聯網作為自己的傳播途徑，還有眾多病毒借助于互聯網傳播得更快，如何在電子商務領域如何有效防范病毒也是一個十分緊迫的問題。

（二）電子商務交易方面

1.交易身份的不確定。電子商務是一種全球各地廣泛的商業貿易活動在開放的網絡環境下，基于瀏覽器/服務器應用方式，在買賣雙方不謀面的情況下進行各種商貿活動，實現消費者的網上購物、商戶之間的網上交易和在線電子支付以及各種商務活動、交易活動、金融活動和相關的綜合服務活動。正是基于這個特點攻擊者可以通過非法的手段盜竊合法用戶的身份信息，仿冒合法用戶的身份與他人進行交易。

2.交易協議安全性問題。企業和用戶在電子交易過程中的數據是以數據包的形式來傳送的，惡意攻擊者很容易對某個電子商務網站展開數據包攔截，甚至對數據包進行修改和假冒。TCP/IP協議是建立在可信的環境之下，缺乏相應的安全機制，這種基于地址的協議本身就會泄露口令，根本沒有考慮安全問題；TCP/IP協議是完全公開的，其遠程訪問的功能使許多攻擊者無須到現場就能夠得手，連接的主機基于互相信任的原則等這些性質使網絡更加不安全。

二、加強電子商務網站的安全措施

我們從技術手段的角度，從系統安全和數據安全的不同層面來探索電子商務中出現的網絡安全新問題。

（一）信息系統安全

對于一個企業來說，信息的安全尤為重要，這種安全首先取決于系統的安全。系統安全主要包括網絡系統、操作系統和應用系統三個層次。系統安全采用的技術和手段有冗余技術、網絡隔離技術、訪問控制技術、身份鑒別技術、加密技術、監控審計技術、安全評估技術等。

1.網絡系統。網絡系統安全是網絡的開放性、無邊界性、自由性造成，安全解決的關鍵是把被保護的網絡從開放、無邊界、自由的環境中獨立出來，使網絡成為可控制、管理的內部系統，由于網絡系統是應用系統的基礎，網絡安全便成為首要新問題。解決網絡安全主要方式有如下幾種方法：

一是網絡冗余。它是解決網絡系統單點故障的重要辦法。對關鍵性的網絡線路、設備，通常采用雙備份或多備份的方式。網絡運行時雙方對運營狀態相互實時監控并自動調整，當網絡的一段或一點發生故障或網絡信息流量突變時能在有效時間內進行切換分配，保證網絡正常的運行。

二是系統隔離。分為物理隔離和邏輯隔離，主要從網絡安全等級考慮劃分合理的網絡安全邊界，使不同安全級別的網絡或信息媒介不能相互訪問，從而達到安全目的。對業務網絡或辦公網絡采用VLAN技術和通信協議實行邏輯隔離劃分不同的應用子網。

三是訪問控制。對于網絡不同信任域實現雙向控制或有限訪問原則，使受控的子網或主機訪問權限和信息流向能得到有效控制。具體相對網絡對象而言需要解決網絡的邊界的控制和網絡內部的控制，對于網絡資源來說保持有限訪問的原則，信息流向則可根據安全需求實現單向或雙向控制。訪問控制最重要的設備就是防火墻，它一般安置在不同安全域出入口處，對進出網絡的IP信息包進行過濾并按企業安全政策進行信息流控制，同時實現網絡地址轉換、實時信息審計警告等功能，高級防火墻還可實現基于用戶的細粒度的訪問控制。

四是身份鑒別。是對網絡訪問者權限的識別，一般通過三種方式驗證主體身份，一是主體了解的秘密，如用戶名、口令、密鑰；二是主體攜帶的物品，如磁卡、IC卡、動態口令卡和令牌卡等；三是主體特征或能力，如指紋、聲音、視網膜、簽名等。加密是為了防止網絡上的竊聽、泄漏、篡改和破壞，保證信息傳輸安全，對網上數據使用加密手段是最為有效的方式。目前加密可以在三個層次來實現，即鏈路層加密、網絡層加密和應用層加密。鏈路加密側重通信鏈路而不考慮信源和信宿，它對網絡高層主體是透明的。網絡層加密采用IPSEC核心協議，具有加密、認證雙重功能，是在IP層實現的安全標準。通過網絡加密可以構造企業內部的虛擬專網（VPN），使企業在較少投資下得到安全較大的回報，并保證用戶的應用安全。

五是安全監測。采取信息偵聽的方式尋找未授權的網絡訪問嘗試和違規行為，包括網絡系統的掃描、預警、阻斷、記錄、跟蹤等，從而發現系統遭受的攻擊傷害。網絡掃描監測系統作為對付電腦黑客最有效的技術手段，具有實時、自適應、主動識別和響應等特征，廣泛用于各行各業。網絡掃描是針對網絡設備的安全漏洞進行檢測和分析，包括網絡通信服務、路由器、防火墻、郵件、WEB服務器等，從而識別能被入侵者利用非法進入的網絡漏洞。網絡掃描系統對檢測到的漏洞信息形成具體報告，包括位置、具體描述和建議的改進方案，使網管能檢測和管理安全風險信息。

2.操作系統

操作系統是管理計算機資源的核心系統，負責信息發送、管理設備存儲空間和各種系統資源的調度，它作為應用系統的軟件平臺具有通用性和易用性，操作系統安全性直接關系到應用系統的安全，操作系統安全分為應用安全和安全漏洞掃描。

一是應用安全。面向應用選擇可靠的操作系統，可以杜絕使用來歷不明的軟件。用戶可安裝操作系統保護和恢復軟件，并作相應的備份。

二是系統掃描。它基于主機的安全評估系統，是對系統的安全風險級別進行劃分，并提供完整的安全漏洞檢查列表，通過不同版本的操作系統進行掃描分析，對掃描漏洞自動修補形成報告，保護應用程序、數據免受盜用、破壞。

3.應用系統

辦公系統文件（郵件）的安全存儲摘要：利用加密手段，配合相應的身份鑒別和密鑰保護機制（IC卡、PCMCIA安全PC卡等），使得存儲于本機和網絡服務器上的個人和單位重要文件處于安全存儲的狀態，使得他人即使通過各種手段非法獲取相關文件或存儲介質（硬盤等），也無法獲得相關文件的內容。

文件（郵件）的安全傳送，對通過網絡（遠程或近程）傳送給他人的文件進行安全處理（加密、簽名、完整性鑒別等），使得被傳送的文件只有指定的收件者通過相應的安全鑒別機制（IC卡、PCMCIA PC卡）才能解密并閱讀，杜絕了文件在傳送或到達對方的存儲過程中被截獲、篡改等，主要用于信息網中的報表傳送、公文下發等。

業務系統的安全，主要面向業務管理和信息服務的安全需求。對通用信息服務系統（電子郵件系統、WEB信息服務系統、FTP服務系統等）采用基于應用開發安全軟件，如安全郵件系統、WEB頁面保護等；對業務信息可以配合管理系統采取對信息內容的審計稽查，防止外部非法信息侵入和內部敏感信息泄漏。

（二）數據安全

數據安全牽涉到數據庫的安全和數據本身安全，針對兩者應有相應的安全辦法。

一是數據庫安全。大中型企業一般采用具有一定安全級別的SYBASE或ORACLE大型分布式數據庫，基于數據庫的重要性，應在此基礎上開發一些安全辦法，增加相應控件，對數據庫分級管理并提供可靠的故障恢復機制，實現數據庫的訪問、存取、加密控制。具體實現方法有安全數據庫系統、數據庫保密系統、數據庫掃描系統等。

二是數據安全。指存儲在數據庫數據本身的安全，相應的保護辦法有安裝反病毒軟件，建立可靠的數據備份和恢復系統，某些重要數據甚至可以采取加密保護。

（三）網絡交易平臺的安全

網上交易安全位于系統安全風險之上，在數據安全風險之下。只有提供一定的安全保證，在線交易的網民才會具有安全感，電子商務網站才會具有發展的空間。

一是交易安全標準。目前在電子商務中主要的安全標準有兩種摘要：應用層的SET（安全電子交易）和會話層SSL（安全套層）協議。前者由信用卡機構VISA及MasterCard提出的針對電子錢包/商場/認證中心的安全標準，主要用于銀行等金融機構；后者由NETSCAPE公司提出針對數據的機密性/完整性/身份確認/開放性的安全協議，事實上已成為WWW網絡的應用安全標準。

二是交易安全基礎體系。交易安全基礎是現代密碼技術，依靠于加密方法和強度。加密分為單密鑰的對稱加密體系和雙密鑰的非對稱加密體系。兩者各有所長，對稱密鑰具有加密效率高，但存在密鑰分發困難、管理不便的弱點；非對稱密鑰加密速度慢，但便于密鑰分發管理。通常把兩者結合使用，以達到高效安全的目的。

三是交易安全的實現。交易安全的實現主要有交易雙方身份確認、交易指令及數據加密傳輸、數據的完整性、防止雙方對交易結果的抵賴等等。具體實現的途徑是交易各方具有相關身份證實，同時在SSL協議體系下完成交易過程中電子證書驗證、數字簽名、指令數據的加密傳輸、交易結果確認審計等。

隨著電子商務的發展，網上交易越來越頻繁，調用每項服務時需要用戶證實身份，也需要這些服務器向客戶證實他們自己的身份。而保障身份安全的最有效的技術就是PKI技術。PKI的應用主要是在它的CA認證技術。CA（Certification Authorty）是一個確保信任度的權威實體，主要職責是頒發證書、驗證用戶身份的真實性。由CA簽發的網絡用戶電子身份證實—證書，任何相信該CA的人，按照第三方信任原則，都應當相信持有證實的該用戶。CA也要采取一系列相應的辦法來防止電子證書被偽造或篡改。構建一個具有較強安全性的CA是至關重要的，這不僅和密碼學有關系，而且和整個PKI系統的構架和模型有關。此外，靈活也是CA能否得到市場認同的一個關鍵，它不需支持各種通用的國際標準，并能很好地和其他廠家的CA產品兼容。在不久的將來，PKI技術會在電子商務和網絡安全中得到更廣泛的應用，從而真正保障用戶和商家的身份安全。

三、信息安全的發展方向

從歷史角度看，我國信息網絡安全探究歷經了通信保密、數據保護兩個階段，正在進入網絡信息安全探究階段，現已開發研制出防火墻、安全路由器、安全網關、黑客入侵檢測、系統脆弱性掃描軟件等。但因信息網絡安全領域是一個綜合、交叉的學科領域，它綜合利用了數學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發展成果，提出系統的、完整的和協同的解決信息網絡安全的方案，從安全體系結構、安全協議、現代密碼理論、信息分析和監控以及信息安全系統五個方面開展探究，各部分相互協同形成有機整體。

安全協議作為信息安全的重要內容，其形式化方法分析始于80年代初，目前有基于狀態機、模態邏輯和代數工具的三種分析方法，但仍有局限性和漏洞，處于發展的提高階段。作為信息安全關鍵技術密碼學，近年來空前活躍，美、歐、亞各洲舉行的密碼學和信息安全學術會議頻繁。1976年美國學者提出的公開密鑰密碼體制，克服了網絡信息系統密鑰管理的困難，同時解決了數字簽名新問題，它是當前探究的熱點。

篇3

關鍵詞：實踐教學；教學改革；教育質量

中圖分類號：G642.4 文獻標志碼：A 文章編號：1674-9324（2013）35-0039-02

伴隨著知識經濟的興起，高等教育的歷史使命和人才培養目標發生了巨大變化，創新教育成為各國教育改革的主題。為了適應創新教育，培養創新型人才，教育教學的傳統方式必須變革[1]。中央和各級政府教育行政部門、各高等學校十分重視對大學生實踐和創新能力的培養，教育部把實踐教學作為高校本科教學工作水平評估的關鍵指標之一，各高等學校采取切實有效措施，積極開展實踐教學改革，多渠道籌措經費加大實驗室建設投入，極大地改善了實驗教學條件，對提高學生的實踐創新能力產生了積極影響[2]。

一、實踐教學體系概述

實踐教學指具有實踐性的教學活動。實踐教學存在于整個教學過程之中，包括理論實踐教學和社會實踐教學。要做好實踐教學工作，首先應該建立并完善實踐教學體系，通常實踐教學體系分為實踐教學目標體系、實踐教學內容體系、實踐教學管理體系、實踐教學保障體系和實踐教學評價體系。實踐教學體系的建設應該遵循以下幾個原則：

1.特色性原則：確立以素質教育為核心，技術應用能力培養為主線，應變能力培養為關鍵，產學研結合為途徑，與時俱進的人才教育培養模式是實踐教學體系構建中遵循的原則。

2.實用型原則：實踐教學體系的構建，要充分體現專業崗位的要求，與專業崗位群發展緊密相關。以此為原則組成一個層次分明、分工明確的實踐教學體系。

3.混合型原則：混合型體現在教師類型的混合、理論教學和實踐教學的混合、教室與實驗室的混合等方面，淡化理論教學與實踐教學、專業教師與實踐指導教師、教室與實驗室的界限，打破原來按學科設置實驗室的傳統布局，對實踐教學設施進行重新整合，形成一體化混合實踐教學模式。

實踐教學體系的目標是：以職業能力培養為主線，使學生獲得實踐知識、開闊眼界，豐富并活躍學生的思想，加深對理論知識的理解掌握，進而在實踐中對理論知識進行修正、拓展和創新。在確定具體課程實踐教學體系目標的前提下，如何有針對性地設置具體的實踐教學內容尤為重要。實踐教學的內容是實踐教學目標任務的具體化，將實踐教學環節通過合理配置，構建成以技術應用能力培養為主體，按基本技能、專業技能和綜合技術應用能力等層次，循序漸進地安排實踐教學內容，將實踐教學的目標和任務具體落實到各個實踐教學環節中，讓學生在實踐教學中掌握必備的、完整的、系統的技能和技術[3]。

二、電子商務安全實踐教學內容設置

電子商務安全課程是新興的邊緣交叉性課程，是在網絡安全的基礎上結合電子商務的領域的實際應用發展而來的一門具有一定針對性的課程，也是電子商務專業學生的一門專業主干課程。考慮到經營管理活動中計算機的普及和網絡通信的快速發展，該課程是作為21世紀大學生尤其是電子商務專業的學生應該了解、掌握的一門學科，通過該課程的教學，學生初步了解電子商務安全的內涵和電子商務支付系統的構成，并且對網絡常見的攻擊手段、主要安全產品的功能、常用的電子支付工具等進行了解，以解決實際應用中遇到的問題[4]。

1.實驗項目安排。本課程實踐教學部分主要讓學生對電子商務安全與支付在理論和實踐上有一個全面的認識。要求學生通過大綱中的實驗設置，了解電子商務安全與支付的現實環境；了解電子商務客戶機和服務器的安全設置；熟悉基本的電子支付工具的使用，掌握數字證書的申請、安裝和使用流程；了解SSL證書的申請流程。針對本課程的培養目標進行合理的實驗教學安排，具體實驗項目如表1所示。

2.實驗項目的具體內容。實驗1：了解電子商務安全與支付的現實環境：通過本次實驗了解中國互聯網發展狀況，特別是有關電子商務發展的現狀，認真體會，結合自己課余所見的實際情況進行總結。實驗內容：閱讀比較CNNIC最新的《中國互聯網絡發展狀況統計報告》中關于安全支付的數據及分析，了解中國電子商務發展的現狀。實驗2：電子商務客戶機安全：通過本次實驗了解電子商務客戶機存在的安全風險及對應的安全措施。實驗內容：防病毒軟件的安裝和使用、IE對安全區的設置、檢測活動內容、處理cookie。實驗3：中銀電子錢包及網上銀行：通過本次實驗了解電子錢包、電子信用卡在網上支付中的功能及使用過程。實驗內容：中銀電子錢包的使用、個人網上銀行專業版的設置及使用。實驗4：個人數字證書：通過本次實驗了解數字證書的基本類型，個人數字證書的下載安裝。實驗內容：個人數字證書的下載、安裝、查看、導入和導出。實驗5：SSL證書申請：通過本次實驗了解利用Microsoft IIS Web Server申請SSL證書的基本流程。實驗內容：在Microsoft IIS上生成公私鑰對和證書請求、保存證書請求文件、安裝CA中心的根證書、安全Web Server證書。

電子商務安全是一門實踐性很強的課程，有難度且極具挑戰性，因此，電子商務安全的實踐教學應該根據學生的實際情況酌情安排。筆者在幾年的課程教學過程中嘗試了一些改進本課程教學的方法。總結得出：最優方式是讓學生置身于其中，讓學生積極參與其中，享受創造的樂趣。經過對本實踐課程安排前后的對比發現，學生對本課程的興趣有極大提高，對理論教學部分的理解也大大加深。

參考文獻：

[1]曹鳳月.課堂實踐教學：高校實踐教學的基礎環節[J].中國勞動關系學院學報，2009，4（23）：106-109.

[2]鄭春龍，邵紅艷.以創新實踐能力培養為目標的高校實踐教學體系的構建與實施[J].中國高教研究，2007，（4）：85-86.

[3]朱正偉，劉東燕，何敏.加強高校實踐教學的探索與實踐[J].中國大學教育，2007，（2）：76-78.

篇4

[關鍵詞]企業電子商務；網絡安全體系；防火墻

[DOI]10.13939/ki.zgsc.2015.41.073

1 概 述

隨著IT技術的飛速發展，企業對網絡越來越依賴，企業的運營方式、組織形式、商品交易的支付手段等正快速走向數字化。當企業的商業化應用與互聯網結合就形成了如今的電子商務形式。由于企業進行商品交易的活動是在互聯網上運行的，其業務的平臺或基礎是建立在互聯網上的網站，商業活動產生的數據需要通過互聯網進行傳輸，企業電子商務網站為客戶提供的商務服務、企業形象展示、品牌推介、產品交易、數據庫內容及客戶賬號信息等數據均需要在相應網站上進行存儲，網站運行在完全開放的網絡上必然會出現安全問題，如病毒入侵、黑客攻擊等，因此網絡安全問題也成了企業商務活動十分關注的問題。

2 企業電子商務網站網絡安全風險

2.1 黑客攻擊

目前黑客對企業電子商務網站的攻擊方式主要有拒絕服務攻擊、網站后門攻擊、惡意腳本攻擊、跨站腳本攻擊、網頁篡改、信息炸彈、密碼破解等。這些攻擊的主要目的是獲取網站服務器的控制權，竊取系統中的數據和密碼，竊取用戶資金，破壞企業電子商務網站系統。

2.2 病毒入侵

目前全球已知病毒已近2億種，新病毒或病毒變體每天都在發現，病毒造成的危害越來越大，病毒入侵造成的破壞已成為企業電子商務活動的重大威脅，目前主要的病毒危害有“木馬病毒”、“網頁病毒”、“蠕蟲病毒”等。

2.3 系統或軟件漏洞

當系統或軟件存在邏輯設計上的錯誤或設計者對安全的忽略時，系統或軟件就會存在安全漏洞。在企業電子商務網站上系統或軟件漏洞因各種原因是可能存在的，這對企業電子商務活動將造成非常大的危害，可能被不法分子惡意攻擊，他們可能輕易進入網站服務器系統，隨意修改和竊取用戶信息。

2.4 缺乏IT管理

企業對其電子商務網站或系統缺乏嚴格的管理，導致遭受攻擊和破壞。

3 企業電子商務網站網絡安全需求

3.1 網絡互聯和通信安全需求

提供靈活且高效的網絡通訊及信息服務的同時，抵御和發現網絡攻擊，并且提供跟蹤攻擊的手段。

3.2 服務器系統安全需求

對網絡和主機設備實行主動的漏洞檢測和安全評估，及時發現操作系統和數據庫系統中存在的安全漏洞；對關鍵的服務器操作系統進行安全加固，通過嚴格的用戶認證、訪問控制和審計，防止黑客利用系統安全管理功能的不足進行非法訪問，同時避免內部用戶的濫用。

3.3 應用系統安全需求

建立好CA認證系統，加強對關鍵應用系統的用戶認證和管理；建立企業級網絡防病毒措施，對病毒傳播的所有可能的入口進行嚴格控制，尤其防范病毒通過互聯網連接侵入內部網絡。

3.4 業務系統的安全需求

訪問控調、數據安全、入侵檢測、來自網絡內部其他系統的破壞。

3.5 安全管理需求

校園網絡需要建立完善的安全管理制度，加強對工作人員的安全知識和安全操作培訓。

4 企業電子商務網站網絡安全體系總體結構設計

4.1 VPN網絡子系統

VPN網絡是在電信公司提供的城域網上實現的。企業電子商務網站網絡采用獨立的VLAN。為了保障各用戶點不同的業務，可采用VLAN、MAC地址綁定、ACL訪問控制列表來實現安全控制。采用IPSEC組建VPN虛擬專用網，IPSecVPN技術建立從網點路由器到中心路由器的VPN隧道，該VPN隧道里主要傳輸的是企業電子商務網站中心主業務系統的數據。VPN網絡子系統實現各用戶點到中心多業務數據的安全可靠傳輸。

4.2 安全檢測子系統

在網絡的WWW服務器、Email服務器等各種服務器中使用網絡安全檢測子系統，實時跟蹤、監視網絡，截獲互聯網上傳輸的內容，并將其還原成完整的WWW、Email、FTP、Telnet應用的內容，建立保存相應記錄的數據庫。及時發現在網絡上傳輸的非法內容，及時向上級安全網絡中心報告，采取措施。利用專門的日志分析工具對保存在數據庫中的訪問日志進行統計并繪制統計圖，可以對訪問地址和流量進行分析，對于明顯的攻擊便可一目了然。

4.3 防火墻子系統

防火墻是一種網絡隔離控制技術，在企業電子商務網站網絡上安裝防火墻可將內部網絡與外部網絡進行隔離，同時對傳輸信息進行過濾。防火墻可按照網絡管理者設定的過濾規則允許或限制內外網之間、計算機與網絡之間的數據傳輸，只有經授權的通信才能通過防火墻。

防火墻是企業電子商務網站整個安全系統的基礎和基本防護措施，通過防火墻的部署，解決全網的安全基礎問題。核心防火墻采用雙機設備方式工作。

4.4 入侵檢測子系統

入侵監測子系統解決各個安全區域的“安全守衛”工作。在企業電子商務網站網絡中采用入侵檢測技術，最好采用混合入侵檢測，從基于網絡的入侵檢測和基于主機的入侵檢測兩方面著手。

4.5 網絡防毒子系統

采用多層次的立體防護體系，對客戶端計算機、服務器、網關等均安裝相對應的防病毒系統。在網站中心部署一臺防病毒服務器，設置集中控制系統。實現全網各個不同安全區域防病毒，做到統一升級，集中監控查殺病毒以及客戶端PC機器的安全控制。采用“集中管控、層層防護、防殺結合”的策略。

4.6 漏洞掃描子系統

解決網絡安全問題，首先要清楚網絡中存在什么安全隱患。漏洞掃描技術可自動掃描遠端或本地主機的安全薄弱點，并將掃描得到的信息以統計方式輸出，為網絡管理員提供分析和參考。漏洞掃描還可以確認各種配置的正確性，避免網站遭受不必要的攻擊。

4.7 WSUS子系統

在內網配置一臺WSUS服務器，用來做內網的升級服務器和控制臺。在獨立的外網的WSUS服務器升級后，導出升級數據，將數據文件通過存儲介質導入內網的WSUS服務器上完成服務器的升級。

4.8 監聽維護子系統

對網絡內部的侵襲，可采用為網絡內部的各個子網做一個具有一定功能的審計文件，為管理人員分析內部網絡的運作狀態提供依據。

4.9 管理制度子系統

為保證各項安全措施的實施并真正發揮作用，針對每個安全層次，分別制訂相應的可實施的規章制度。

4.10 備份恢復子系統

建立網絡系統良好的備份和恢復機制，可在設備出現故障或是網絡遭受攻擊時，能盡快地恢復數據和系統服務。數據容災系統使用兩個存儲器，一個放置在本地，另一個放置在異地，在兩個存儲器之間建立復制關系。異地存儲器實時復制本地存儲器的關鍵數據。

4.11 數據加密技術

對內外網之間交互的信息采用加密技術。

5 結 論

通過整體構建、分層設計的方法，實現了企業電子商務網站網絡安全體系的設計。通過種種安全技術手段，為網絡提供了一個完整的網絡安全防御體系的解決方案；與此同時，還應加強網絡的管理，建立有效、健全的管理體系，最終達到保護網絡信息系統安全性的目的。

參考文獻：

篇5

[關鍵詞]網絡安全事件安全對策

隨著網絡時代的到來，越來越多的人通過Internet進行商務活動。電子商務的發展前景十分誘人，而其安全問題也變得越來越突出。近年來，網絡安全事件不斷攀升，電子商務金融成了攻擊目標，以網頁篡改和垃圾郵件為主的網絡安全事件正在大幅攀升。在國家計算機網絡應急技術處理協調中心（CNCERT/CC）2005處理的網絡安全事件報告中，網頁篡改占45.91％，網絡仿冒占29%，其余為拒絕服務攻擊、垃圾郵件、蠕蟲、木馬等。如何建立一個安全、便捷的電子商務應用環境，對信息提供足夠的保護，已經成為電子商務的所有參與者十分關心的話題。

一、電子商務中的主要網絡安全事件分析

歸納起來，對電子商務應用影響較多、發生率較高的互聯網安全事件可以分為網頁篡改、網絡蠕蟲、拒絕服務攻擊、特羅伊木馬、計算機病毒、網絡仿冒等，網頁篡改、網絡仿冒（Phishing），逐步成為影響電子商務應用與發展的主要威脅。

1.網頁篡改

網頁篡改是指將正常的網站主頁更換為黑客所提供的網頁。這是黑客攻擊的典型形式。一般來說，主頁的篡改對計算機系統本身不會產生直接的損失，但對電子商務等需要與用戶通過網站進行溝通的應用來說，就意味著電子商務將被迫終止對外的服務。對企業網站而言，網頁的篡改，尤其是含有攻擊、丑化色彩的篡改，會對企業形象與信譽造成嚴重損害。

2.網絡仿冒（Phishing）

網絡仿冒又稱網絡欺詐、仿冒郵件或者釣魚攻擊等，是黑客使用欺詐郵件和虛假網頁設計來誘騙收件人提供信用卡賬號、用戶名、密碼、社會福利號碼等，隨后利用騙得的賬號和密碼竊取受騙者金錢。近年來，隨著電子商務、網上結算、網上銀行等業務在日常生活中的普及，網絡仿冒事件在我國層出不窮，諸如中國銀行網站等多起金融網站被仿冒。網絡仿冒已經成為影響互聯網應用，特別是電子商務應用的主要威脅之一。

網絡仿冒者為了逃避相關組織和管理機構的打擊，充分利用互聯網的開放性，往往會將仿冒網站建立在其他國家，而又利用第三國的郵件服務器來發送欺詐郵件，這樣既便是仿冒網站被人舉報，但是關閉仿冒網站就比較麻煩，對網絡欺詐者的追查就更困難了，這是現在網絡仿冒犯罪的主要趨勢之一。

3.網絡蠕蟲

網絡蠕蟲是指一種可以不斷復制自己并在網絡中傳播的程序。這種程序利用互聯網上計算機系統的漏洞進入系統，自我復制，并繼續向互聯網上的其他系統進行傳播。蠕蟲的不斷蛻變并在網絡上的傳播，可能導致網絡被阻塞的現象發生，從而致使網絡癱瘓，使得各種基于網絡的電子商務等應用系統失效。

4.拒絕服務攻擊(Dos)

拒絕服務攻擊是指在互聯網上控制多臺或大量的計算機針對某一個特定的計算機進行大規模的訪問，使得被訪問的計算機窮于應付來勢兇猛的訪問而無法提供正常的服務，使得電子商務這類應用無法正常工作。拒絕服務攻擊是黑客常用的一種行之有效的方法。如果所調動的攻擊計算機足夠多，則更難進行處置。尤其是被蠕蟲侵襲過的計算機，很容易被利用而成為攻擊源，并且這類攻擊通常是跨網進行的，加大了打擊犯罪的難度。

5.特羅伊木馬

特羅伊木馬（簡稱木馬）是一種隱藏在計算機系統中不為用戶所知的惡意程序，通常用于潛伏在計算機系統中來與外界聯接，并接受外界的指令。被植入木馬的計算機系統內的所有文件都會被外界所獲得，并且該系統也會被外界所控制，也可能會被利用作為攻擊其他系統的攻擊源。很多黑客在入侵系統時都會同時把木馬植入到被侵入的系統中。

二、解決電子商務中網絡安全問題的對策研究

隨著網絡應用日益普及和更為復雜，網絡安全事件不斷出現，電子商務的安全問題日益突出，需要從國家相關法律建設的大環境到企業制定的電子商務網絡安全管理整體架構的具體措施，才能有效保護電子商務的正常應用與發展。

1.進一步完善法律與政策依據充分發揮應急響應組織的作用

我國目前對于互聯網的相關法律法規還較為欠缺，尤其是互聯網這樣一個開放和復雜的領域，相對于現實社會，其違法犯罪行為的界定、取證、定位都較為困難。因此，對于影響電子商務發展的基于互聯網的各類網絡安全事件的違法犯罪行為的立法，需要一個漫長的過程。根據互聯網的體系結構和網絡安全事件的特點，需要建立健全協調一致，快速反應的各級網絡應急體系。要制定有關管理規定，為網絡安全事件的有效處理提供法律和政策依據。

互聯網應急響應組織是響應并處理公共互聯網網絡與信息安全事件的組織，在我國，CNCERT/CC是國家級的互聯網應急響應組織，目前已經建立起了全國性的應急響應體系；同時，CNCERT/CC還是國際應急響應與安全小組論壇（FIRST，ForumofIncidentResponseandSecurityTeams）等國際機構的成員。應急響應組織通過發揮其技術優勢，利用其支撐單位，即國內主要網絡安全廠商的行業力量，為相關機構提供網絡安全的咨詢與技術服務，共同提高網絡安全水平，能有效減少各類的網絡事件的出現；通過聚集相關科研力量，研究相關技術手段，以及如何建立新的電子交易的信任體系，為電子商務等互聯網應用的普及和順利發展提供前瞻性的技術研究方面具有積極意義。

2.從網絡安全架構整體上保障電子商務的應用發展

網絡安全事件研究中看到，電子商務的網絡安全問題不是純粹的計算機安全問題，從企業的角度出發，應該建立整體的電子商務網絡安全架構，結合安全管理以及具體的安全保護、安全監控、事件響應和恢復等一套機制來保障電子商務的正常應用。

安全管理主要是通過嚴格科學的管理手段以達到保護企業網絡安全的目的。內容可包括安全管理制度的制定、實施和監督，安全策略的制定、實施、評估和修改，相關人員的安全意識的培訓、教育，日常安全管理的具體要求與落實等。

安全保護主要是指應用網絡安全產品、工具和技術保護網絡系統、數據和用戶。這種保護主要是指靜態保護，通常是一些基本的防護，不具有實時性，如在防火墻的規則中實施一條安全策略，禁止所有外部網用戶到內部網Web服務器的連接請求，一旦這條規則生效，它就會持續有效，除非我們改變這條規則。這樣的保護能預防已知的一些安全威脅，而且通常這些威脅不會變化，所以稱為靜態保護。

安全監控和審計是實時保護的一種策略，它主要滿足一種動態安全的需求。因為網絡安全技術在發展的同時，黑客技術也在不斷的發展，網絡安全不是一成不變的，也許今天對你來說安全的策略，明天就會變得不安全，因此我們應該時刻關注網絡安全的發展動向,以及網絡上發生的各種各樣的事情，以便及時發現新的攻擊，制定新的安全策略。可以這樣說，安全保護是基本，安全監控和審計是其有效的補充，兩者的有效結合，才能較好地滿足動態安全的需要。

事件響應與恢復主要針對發生攻擊事件時相應的應急措施與恢復正常應用的機制。就是當攻擊發生時，能及時做出響應，這需要建立一套切實有效、操作性強的響應機制，及時防止攻擊的進一步發展。響應是整個安全架構中的重要組成部分，因為網絡構筑沒有絕對的安全，安全事件的發生是不可能完全避免的，當安全事件發生的時候，應該有相應的機制快速反應，以便讓管理員及時了解攻擊情況，采取相應措施修改安全策略，盡量減少并彌補攻擊的損失，防止類似攻擊的再次發生。當安全事件發生后，對系統可能會造成不同程度的破壞，如網絡不能正常工作、系統數據被破壞等，這時，必須有一套機制能盡快恢復系統的正常應用，因為攻擊既然已經發生了，系統也遭到了破壞，這時只有讓系統以最快的速度運行起來才是最重要的，否則損失將更為嚴重。因此恢復在電子商務安全的整體架構中也是不可缺少的組成部分。

三、結論

Internet的快速發展，使電子商務逐漸進入人們的日常生活，而伴隨各類網絡安全事件的日益增加與發展，電子商務的安全問題也變得日益突出，建立一個安全、便捷的電子商務應用環境，解決好電子商務應用與發展的網絡安全問題必將對保障和促進電子商務的快速發展起到良好的推動作用。

參考文獻:

[1]CNCERT/CC.2005年上半年網絡安全工作報告

[2]李衛:計算機網絡安全與管理.北京：清華大學出版社，2000

[3]李海泉:計算機網絡安全與加密技術.北京：科學出版社，2001