海尔电子商务系统的安全问题研究文档格式.docx
《海尔电子商务系统的安全问题研究文档格式.docx》由会员分享,可在线阅读,更多相关《海尔电子商务系统的安全问题研究文档格式.docx(10页珍藏版)》请在冰豆网上搜索。
2.2海尔电子商务系统的建设5
2.3海尔国内电子商务系统分为以下几个系统5
3.电子商务存在的安全技术问题及其产生的原因6
3.1海尔电子商务存在的安全问题6
3.2如何看待海尔电子商务的安全问题7
3.3触发海尔电子商务安全问题的原因8
4.海尔集团电子商务系统安全问题解决方案9
4.1系统平台级的安全实现9
4.2海尔集团网络平台安全措施9
4.3海尔集团的系统安全性10
4.4海尔集团.VPN系统的实现10
5.总结11
参考文献12
中文摘要
企业电子商务系统通过Internet把涉及企业商务活动的各方有机地联系起来,对企业固有的经营思想和管理模式产生了强烈冲击。
电子商务系统不但是企业宣传产品、销售产品、进行售后服务的窗口,而且还是树立企业形象的前沿,面对这种全新的商务交易方式,企业应当充分认清电子商务系统中存在的安全问题,并采取相应措施确保在线商务过程的安全。
随着电子商务这一新的商务模式逐渐为社会各界所接受并应用,电子商务系统安全日益成为电子商务发展过程中的一个“瓶颈”。
如何建立一个安全本文、便捷的电子商务应用环境,已成为人们热切关注的焦点。
本文通过研究海尔公司网站来探讨解决电子商务系统安全的方法。
关键词:
电子商务系统安全安全要求海尔安全技术问题解决
引言:
电子商务系统(ElectronicCommerceSystem,ECS)将传统的商务过程转移到Internet平台上来,它是参与电子商务活动的各方,包括生产企业或商家、消费者、银行或金融机构、政府等,利用计算机网络平台来实现商务活动的信息系统。
其目标是利用计算机网络技术实现在线交易的全过程。
1.电子商务系统安全的要求
1.1电子商务的安全要求
从事电子商务的人员,无论买方还是卖方,所关心的安全问题主要是对方是否是存在的、真实的,购买过程中一些隐私性的数据是否存在泄漏的风险,企业的服务器是否会受到攻击而瘫痪等等。
这些与电子商务安全相关的问题一般包括一下几个方面:
1.交易的真实性。
所谓交易的真实性是指在交易开始前,买卖双方能够辨别对方的身份是真实的。
2.交易的保密性。
交易的保密性是指交易双方的信息在网络传输或者存储时不被他人窃取。
3.交易的完整性。
交易的完整性则指交易数据在传输过程中不会被恶意或意外地改变、毁坏。
4.不可抵赖性。
不可抵赖性也称不可否认性,主要指交易双方不能否认彼此之间的信息交流。
1.2电子商务系统的安全要求
总的来讲,电子商务系统的安全要求体现在两个主要方面,一个是计算机网络安全,还有一个就是商务安全。
1、计算机网络安全。
从本质上来讲,计算机网络安全就是计算机网络系统中的硬件、软件、数据受到保护,不会因为偶然或恶意的原因而遭到破坏、更改、泄露,系统能够连续正常工作,其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性目标,它是电子商务系统安全的前提和基础。
2、商务安全。
商务安全紧紧围绕传统商务活动在Internet上应用时产生的各种安全问题,在计算机网络安全的基础上实现电子商务信息的保密性、交易信息的完整性和一致性、交易者身份的真实性和不可伪装性、交易的不可抵赖性。
商务安全是电子商务交易过程中最核心和最关键的问题。
1.3电子商务系统的安全体系
1.3.1OSI安全体系结构
国际标准化组织(ISO)制定的OSI安全体系就够是研究设计计算机网络系统以及评估和改进现有系统的理论依据。
OSI安全体系结构定义了安全服务、安全机制、安全管理的功能,并给出了OSI网络层次、安全服务和安全机制之间的逻辑关系。
OSI规定了5种标准的安全服务,包括如下:
1.对象认证安全服务。
2.访问控制服务。
3.数据保密服务。
4.数据完整性服务。
5.防抵赖安全服务。
OSI安全服务是通过安全机制来实现的。
OSI定义了8种安全机制:
加密机制、数字签名机制、访问控制机制、数据完整性机制、认证交换机制、业务流填充机制、路由控制机制和公正机制。
1.3.2电子商务系统的安全体系
结合ISO关于系统安全体系的描述,可以给出电子商务系统安全体系的基本结构。
如图1。
人文社会环境
图1
2.海尔电子商务系统的现状
2.1海尔集团简介
海尔集团的电子商务系统的建立和运行考虑到了国际背景下同行的运作,同时还考虑到海尔自身的经营的特点以及所处的环境,这样才便设计和建立具有海尔特色,体现对顾客“真诚到永远”的理念。
2000年3月10日,在业务流程重组的基础上,海尔投资成立了电子商务有限公司,并向各大公司进行公开招标,正式启动电子商务工程。
于2000年3月正式启动的电子商务工程,包括B2B电子商务和B2C电子商务两部分。
B2C电子商务主要是为搭建应用Internet技术而开发的,以现代网络经济为核心,以直接消费者为对象的产品分销系统,包括和两个网站。
从而促进海尔零售业务在线交易额的快速增长,并满足个人用户的个性化要求。
2.2海尔电子商务系统的建设
实现电子商务应用系统,能够使企业的服务环境和水平再上一个新的台阶,又可以使企业立足于传统市场,发展无限空间的网络市场。
建立具有高速、快捷、方便的通信和信息服务才能使人们更快速的了解企业的信息,提高企业的运营效率。
依据海尔集团的经营目标和策略,结合企业信息系统的现状,本着总体规划、逐步建设、安全可靠、分步实施、滚动发展的原则。
目前海尔电子商务正在不断的完善的项目有两个:
第一、面向消费者的BTOC的电子商务活动,包括网上销售、网上咨询建议、网上顾客服务。
第二、面向海尔的上下游产业将重点开展B2B。
目标降低企业的采购成本、物流成本,提高物流速度和对市场需求的响应速度,提高海尔集团在国内国际的竞争力。
涉及的范围包括海尔的分供方、海尔的经销商、海尔的产品服务商。
2.3海尔国内电子商务系统分为以下几个系统
1.商流与产品事业部之间的网上采购与供应链管理
2.产品事业部与物流本部的零部件采购公司的网上采购与供应。
3.海尔物流本部的零部件采购公司与海尔集团所有外部供应商的网上采购和供应系统。
虽然海尔电子商务系统的建设从2000年就开始不断的改进,但是,由于技术等原因的限制,导致海尔的电子商务系统的建设还没有完善,尚存在不少的安全问题。
3.电子商务存在的安全技术问题及其产生的原因
在海尔电子商务网站的整个运作过程中,全面临各种安全问题,也是普遍网站会存在的安全问题。
我们依据实际考察海尔网站,确定出各种可能出现的安全问题,并分析其原因和不同程度的危害性,找出海尔网站电子商务中可能潜在的安全隐患和安全漏洞,从而运用相关的电子商务安全的技术来加以控制和管理。
3.1海尔电子商务存在的安全问题
中国同世界其他国家一样,面临黑客攻击、网络病毒等违法犯罪活动的严重威胁。
中国是世界上黑客攻击的主要受害国之一。
据不完全统计,2009年中国被境外控制的计算机IP地址达100多万个;
被黑客篡改的网站达4.2万个;
被“飞客”蠕虫网络病毒感染的计算机每月达1800万台,约占全球感染主机数量的30%。
典型的电子商务安全问题包括:
安全漏洞、病毒感染、黑客攻击、网络仿冒以及来自其他方面的各种不可预测的风险。
海尔网站也不例外,2009年海尔门下的分网站—海尔家居,受到挂马网站的攻击,导致被感染木马病毒,盗取账号密码的风险。
1.安全漏洞
在近几年来,计算机系统的安全漏洞越来越多。
安全漏洞的大量存在,使得目前电子商务的安全形势趋于严峻。
例如:
Windows惊现高危漏洞,新图片病毒能攻击所有用户。
该漏洞可能发生在所有的Windows操作系统上,如IE浏览器、Office软件等,在拥护浏览特定的JPG格式图片时,会导致缓冲区溢出,进而执行病毒攻击代码,包括格式化硬盘、删除文件等。
2.病毒感染
我国计算机病毒感染率自2001年以为就一起处于较高的水平。
主要就是蠕虫等病毒在网上的猖獗传播。
蠕虫主要是利用系统的漏洞过行自动传播复制,由于传播过程中产生巨大的扫描或其他攻击流量,从而使网络流量急剧上升,造成网络访问速度变慢甚至瘫痪,这对依赖于网络的电子商务是一个严重的威胁。
3.黑客攻击
黑客攻击主要表现在网页篡改和僵尸网络两方面。
从2001年日本首相小泉纯一郎参拜靖国神社以来,该神社的网页就断断续续遭到黑客的攻击,有时一分钟内就遭到90万次的围攻。
僵尸网络也称Bitnet。
Bot是robot的简写,通常是指可以自动地执行定义的功能,可以被预定义的命令控制,具有一定人工智能的程序。
它可以通过溢出漏洞攻击、蠕虫邮件、网络共享、口令猜测、p2p软件等途径进入用户主机。
一旦用户主机被植入Bot,就主动和互联网上的一台或多台控制节点取得联系,进而自动接收黑客通过这些控制点发送的控制命令,这些受害主机和控制服务器就组成了BotNet。
4.网络仿冒
网络仿冒在国际上通称为Phishing,在我国也称为网络欺诈、网络仿冒或者是网络钓鱼。
它通常是通过仿冒正规的网站来欺瞒诱骗用户提供各种个人信息,如银行帐户和口令等。
甚至干脆通过在假网页或者诱饵邮件中嵌入恶意代码的手段给用户计算机植入木马来直接骗取个人信息。
从国内外的情况来看,电子商务发展的速度太快,致使其安全技术和安全管理跟不上,这是一个越来越突出的问题。
电子商务的快速发展需要业界,特别是信息安全业快速地作出反应,否则安全方面的问题将会制约它的发展。
现在不仅仅是发展中国家,就连美国这样的发达国家,电子商务在很多领域还是没有像其它传统的商务那样发达,一个重要的原因就是安全问题。
这就需要信息安全业的同行作出不懈的努力,不要因为安全问题而制约了电子商务的发展。
目前,我国网络支付的技术手段尚不成熟,安全通用的电子货币尚处于研制认证阶段,在目前信用卡消费未占主导的情况下,网络分销的现金交割只能靠用户事前(后)交费才能完成。
网络分销成了一种“网上订货,网下付款”的四不像交易方式,极大影响了网络分销的效率。
即便凭信用卡实现网上支付,对消费者、对企业均有一个安全保障的问题。
据调查资料显示,有52%的网络用户认为目前网上购物的最大问题是没有安全方便的网上付款方式。
3.2如何看待海尔电子商务的安全问题
如何看待海尔电子商务的安全问题,以下几个观点值得注意:
1.安全是一个系统的概念。
安全问题不仅仅是个技术性的问题,不仅仅只涉及到技术,更重要的还有管理,而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起了。
2.安全是相对的。
简言之,就是不要追求一个永远也攻不破的安全技术,安全与管理始终是联系在一起的。
也就是说安全是相对的,而不是绝对的,如果要想以后的网站永远不受攻击,不出安全问题是很难的,我们要正确认识这个问题。
3.安全是有成本和代价的。
无论是现在国外的BTB还是BTC,都要考虑到安全的代价和成本的问题。
如果只注重速度就必定要以牺牲安全来作为代价,如果能考虑到安全速度就得慢一点,把安全性保障得更好一些,当然这与电子商务的具体应用有关。
如果不直接牵涉到支付等敏感问题,对安全的要求就低一些;
如果牵涉到支付问题对安全的要求就要高一些,所以安全是有成本和代价的。
作为一个经营者,应该综合考虑这些因素;
作为安全技术的提供者,在研发技术时也要考虑到这些因素。
4.安全是发展的、动态的。
今天安全明天就不一定很安全,因为网络的攻防是此消彼长、道高一尺、魔高一丈的事情,尤其是安全技术,它的敏感性、竞争性以及对抗性都是很强的,这就需要不断地检查、评估和调整相应的安全策略。
没有一劳永逸的安全,也没有一蹴而就的安全。
3.3触发海尔电子商务安全问题的原因
从上面的安全问题中我们可以看出,海尔只要在网络进行营销,安全问题就不容忽视。
它不仅影响了网络业务的正常运转,扰乱了网络秩序,还会造成许多直接或间接的经济损失。
为了尽可能避免安全损失,首先要了解造成这些问题的症结所在。
概括起来有两个方面:
先天原因和后天原因。
1.先天原因
海尔电子商务的实现依赖于网络,没有网络的存在,海尔网络营销无从谈起。
但是电子商务却是继网络之后才出现的,是网络发展过程中的产物。
所以当初网络的建立仅考虑了网络不会因为局部故障而影响信息的传输这个问题,并没有顾及电子商务安全,这样它的全球性、开放性和共享性就使得电子商务过程中传输的信息安全存在先天不足,黑客们就可以利用公共的网络环境,传播各种病毒等。
随着各种网络应用工具的传播,黑客己经大众化了,目前我国发生的“黑客事件”,大多属于低层次的攻击事件。
但我们基本上还是无能为力,无从防范。
1999年4月26日的CIH病毒的爆发,就使中国4万多台电脑不能正常运行,大多数电脑的C盘数据被毁坏。
中国民航的20多台电脑被感染,其中,关于1999年下半年的航班时刻表的数据也被破坏,工作人员4个多月的辛苦付之一旦。
国内很多企业的数据都或多或少的被破坏,黑客攻击在一定程度上影响了电子商务的发展。
2.后天原因
从国家法律、法规的大环境下,网络营销规范问题也是海尔集团面临的最大的一个外部问题之一。
网络营销规范是网络营销活动的各种标准、协议、技术范本、政府文件、法律文书等的集合,其中标准最为重要。
网络营销相关规范的完备程度是影响网络营销发展的基本因素,它为网络营销的有序开展提供了技术上的解决手段。
规范在国外网络营销的发展中得到了相当的重视,特别是网络营销
安全方面普遍存在规范先行的情况。
一方面,由于我国信息技术发展与发达国家尚有一定差距,因此网络营销相关规范的制定工作相对薄弱。
目前除了一些电子数据标准及部分相关网络标准是从国际相应标准等同或等效转换外,由我国自主制定直接与网络营销相关的标准几乎为零;
另一方面,企业参与性不强。
与信息技术发达国家相比,我国企业参与网络营销标准的制定工作存在显著的差距。
我国的信息技术及信息产品制造企业基本上没有这方面的尝试。
网络营销的规范大致包括:
基础规范、安全规范、操作规范和电子数据交换规范等几个部分。
网络营销基础规范包括计算机基础规范、基础通信规范、网络规范等;
网络营销操作规范包括电子合同、电子支付、智能卡等方面;
电子数据交换规范包括与电子数据交换有关的基础、管理、报文、单证、代码等方面的规范;
网络营销的安全规范包括加密、认证等方面。
4.海尔集团电子商务系统安全问题解决方案
电子商务的发展,历经内部信息交流与分享、国际合作、乃至网上电子交易。
除了提高人们的认识、建立相应的法律法规、注重网络建设,事实上电子商务的成败及它是否能够得以普及最关键的因素是它是否安全可靠。
对电子商务前景的在线调查显示,人们在线购物最担心的是遭到黑客侵袭而导致信用卡信息丢失,毕竞谁也不希望为别人付帐。
因此网络安全性的高低往往在第一时间便决定了网上电子交易是否可行。
由于海尔电子商务系统与公网相联,必须具备完善的网络安全设计,即:
防火墙和VPN此外还有日常安全管理等措施。
在本系统中采用自主开发的NetEye2.0防火墙。
网络防病毒系统建议采用瑞星的网络版防病毒软件。
4.1系统平台级的安全实现
海尔电子商务系统平台级的安全设计是最基本的安全措施之一,系统级安全设计是直接抵御黑客及病毒侵入的屏障,它包含主机及操作系统的安全性,网络防火墙的安全设计,网络防病毒设计,建立电子商务B2B系统的VPN等基本安全设计。
4.2海尔集团网络平台安全措施
海尔集团所采用的广域网络设备普遍是Cisco设备,在Cisco的CiscoIOS软件中有许多支持安全性的特征,包括两个方面:
建立有效的安全政策和CiscoIOS安全性的特征。
以下是海尔集团制定的安全政策:
有效的安全政策能确保网络资产得到保护,防止蓄意的破坏和不适当的访问而造成的损失。
这些资产包括所有的网络主机(包括主机的操作系统、网络应用程序和数据)、所有的网络设备(例如路由器)和所有的网络数据(经网络传输的数据)。
通过采用多种方式的且相互交叉的安全措施,来保证系统安全。
Cisco的安全体系可提供一个模块化的可扩展性的安全系统。
通过选择适当的CiscoIOS安全特征,可以建立起一个有效综合的网络安全政策。
因此这里就要求仔细地评估你的网络需要何种安全特征。
应用系统的特性应该决定安全政策,而不是安全政策决定应用系统的操作。
通过在选择安全方法前先定义好安全政策,可以避免在系统投入使用后重新设计选用安全的措施。
安全政策必须以文本的方式制定下来。
因为公司组织结构可能会经常变动,安全政策应该能够系统地更新以适应公司组织的新的应用、技术的变化和资源的重新分配。
此外网络安全更多的是通过防火墙和VPN技术来保障和实现。
4.3海尔集团的系统安全性
海尔集团的系统安全性从三方面得到保证:
(1)网络安全:
系统中配置有网络防火墙和网络会话检测防护,以保证网络安全。
(2)系统安全:
系统中还加入了CA的UnicenterTNG、eTrustAccessControl和eTrustIntrusionProtection组成的系统安全解决方案。
CA的Unicenter,TNG可提供对电子商务基础设施的管理,包括有保证的服务质量(QoS)、Internet安全性、存储管理和服务台。
eTrust是端对端的电子商务解决方案,eTrustAccessControl访问控制技术可制定政策,防止发生XX的系统访问。
eTrustIntrusionProtection入侵探测技术则结合能阻止袭击和滥用的监视和报警功能。
(3)支付安全:
银行的支付网关支持SET、SSL协议。
海尔的B2C电子商务网站设计方案能够紧密结合用户的需求;
采用开放性体系结构,可与原有系统集成,并为系统扩展留有接口,可扩展性强;
同时采用了业界公认的电子商务解决方案的供应商CAJasmineii平台,具有先进性;
采用多层安全技术,具有安全可靠性;
采用可视化技术,使用户界面友好,实现了可视化操作;
采用CA的神经网络技术,使决策、分析智能化。
4.4海尔集团.VPN系统的实现
海尔集团与其在各地的销售网点应采用基于IPsec的VPN系统,IPsec的一个优点是它的查验和安全性功能与它的密钥管理系统松散耦合,如果未来的密钥管理系统发生变化,IPsec的安全机制不需要进行修改。
4.4.1海尔集团.VPN系统的基本结构
VPN系统的实现分为个人用户拨号访问接入和基于Internet的网络接入两种方式,在本系统中大部分网点都是通过拨号联接Internet的应用模式,因此暂不考虑局域网接入VPN的应用模式,随着应用的不断扩展与完善,我们将在以后的应用中支持该种应用。
4.4.2实现海尔集团VPN的技术手段
目前,许多国外ISP均提供VPN解决方案,但是目前国内提供该服务的ISP是很少的。
在海尔集团.的VPN系统建设方案中,本公司建议采用独立于ISP的解决方案,此方案要比基于ISP的方案更安全,而且,并不与基于ISP的方式发生冲突。
在不依赖于ISP的VPN解决方案中也有两种解决方案,即:
某些专业厂商可提供专门的VPN解决方案,如:
Shiva;
还有一些路由器厂商或防火墙厂商在其产品中附加了VPN功能,如:
Cisco等。
无论是基于路由器还是防火墙的产品均会对其主要功能造成较大的影响,及路由和包过滤的效率下降,况且采用VPN技术本身就会对Internet的带宽要求较高,当Interent的链路负载过大,线路不稳定时采用基于Router或firewall的VPN方案会对日常工作造成较大影响,因此,为保证更好的Qos本公司建议采用专门的VPN解决方案,而且,采用专有的VPN技术和设备在管理维护和未来扩充方面更方便。
为保证海尔集团.企业Intranet的内部信息的安全,还应在两端Internet接口配置防火墙系统,在本系统中建议采用一台NetEye作为防火墙系统。
一般情况下防火墙应置于路由器和VPN网关之间。
建议海尔集团的电子商务VPN系统能够在统一的面向全集团的数字神经系统建设规划中,作为一项重要的安全措施共同完成。
5.总结
经历了几年的时间,海尔的电子商务系统建设相对比较完善;
电子商务系统的安全问题也显示出来了,但也得到及时的弥补。
当然,现在的结果还不是最好的,还有很大的改善空间。
如果按照电子商务系统的安全的标准来建设的话,使交易的真实性、保密性、完整性、不可抵赖性更加的完善,这样的电子商务系统将会为海尔公司赢得未来发展趋势的有利条件;
也为海尔电子商务平台发展为面向全球的电子商务公用平台,建立面向全世界用户的B2C电子商务平台而打下坚实的基础。
参考文献
①吴洋.电子商务安全方法研究[D].天津:
天津大学,2006.
②李艳.电子商务信息安全策略研究[J].甘肃科技,2005(6).
③成卫青,龚俭.网络安全评估[J].计算机工程,2003
(2).
④甘悦.浅议电子商务信息安全体系的构建[J].西北成人教育学报,2007
(2).
⑤周明,黄元江,李建设.电子商务中的安全技术研究[J].株洲工学院学报,2005
(1).
⑥张娟.电子商务网络安全技术探究[J].甘肃科技纵横,2005(4).
⑦赵乃真.电子商务技术与应用[M].北京:
中国铁道出版社,2003.
⑧常连定,赵刚.我国电子商务发展存在的问题及应对策略[J].科技情报开发与经济,2005(10).
⑨刘延焕,王华庆.金融干部网上银行知识读本[M].北京:
中国金融出版社,2005
课程论文成绩评定表
指导老师评语:
成绩评定:
指导教师签名:
年月日
升级会员 