《电子商务中的网络安全问题研究 毕业论文.doc》由会员分享,可在线阅读,更多相关《电子商务中的网络安全问题研究 毕业论文.doc(28页珍藏版)》请在三一文库上搜索。
1、毕业论文(设计)题 目: 电子商务中的网络安全问题研究 系部名称: 经济管理系 专业班级: 信管082 学生姓名: * 学 号: 指导教师: 教师职称: 2012年5月28日 摘 要在二十一世纪中,电子商务已经成为一切经济活动不可或缺的组成元素,但安全问题始终是影响电子商务发展的瓶颈,要保证电子商务的顺利发展,就必须高度重视安全问题;而网络安全更是研究的重点。本文首先介绍了课题的研究背景,总结了国内外电子商务网络安全研究现状;其次,对电子商务网络安全做了简要概述;提出了电子商务网络安全的五个要素:有效性和真实性、机密性和隐私权、数据的完整性、可靠性和不可抵赖性、审查能力;然后,针对电子商务网络
2、安全问题中的核心问题进行分析,设计了电子商务网络安全评价的指标,提出了对电子商务网络安全进行评价的一种可行性方法模糊综合评价法;最后,本文给出了一套完整的网络安全防范措施,以保证电子商务能够顺利进行。 关键字:电子商务,电子商务网络安全,安全技术,安全管理,评价方法Network security issues in electronic commerce researchAbstractIn the twenty-first century, e-commerce has become an essential component of all economic activity eleme
3、nt, but the safety issue is always the bottleneck affecting the development of electronic commerce, to ensure the smooth development of e-commerce, we must attach great importance to security issues, and networksafety is the focus of the study. This paper first introduces the research background, su
4、mmarizes the status of e-commerce network security at home and abroad; Secondly, e-commerce network security provides a brief overview; five elements: the validity and authenticity of the security of e-commerce network security, confidentiality and privacy, data integrity, reliability and non-repudi
5、ation, review of capacity; then, the core issue in e-commerce network security issues for analysis, design e-commerce network security evaluation index is proposed for electronic Business network security evaluation of a feasible method - fuzzy comprehensive evaluation method; Finally, this paper pr
6、esents a complete set of network security measures to ensure that e-commerce can be carried out smoothly.Keywords:E-commerce Network Security Security Technology Security Management Evaluation Methods目 录1 引言11.1 选题研究的背景11.2 选题研究的意义11.3 国内外电子商务网络安全研究现状21.3.1 国际电子商务网络安全研究现状21.3.2 国内电子商务网络安全研究现状32 电子商务
7、网络安全概述42.1 电子商务网络安全的内容42.2 电子商务安全要素43 电子商务中网络安全问题63.1 电子商务主要存在的网络安全问题63.1.1 信息泄露63.1.2 身份仿冒63.1.3 木马威胁73.1.4 其他威胁83.2 引起电子商务网络安全问题的根本原因84 电子商务中的网络安全评价方法104.1 电子商务安全评价指标体系建立104.2 电子商务网络安全模糊综合评价法104.3 模糊综合评价法的数学模型114.4 安全评价的实现115 电子商务网络的安全措施155.1 电子商务网络安全的技术对策155.1.1 防火墙的介绍155.1.2 数字签名155.1.3 CA安全认证系统
8、165.2 电子商务网络安全的管理策略175.3 加强国家的安全立法工作176 案例197 结束语21致谢22参考文献23III1 引言1.1 选题研究的背景在全球范围内,基于互联网的电子商务(Electronic Commerce)正以空前的速度迅猛发展,当我们在享受互联网给生活带来的这些好处的时候,网络的安全问题,早已变成电子商务的重大难题,给电子商务企业的发展带来了极大的阻碍,一方面由于Internet与生俱来的弱点开放的网络体系,使其极易受到黑客的攻击或有组织的群体的入侵;另一方面由于系统内部人员的不规范使用和恶意破坏,使得网络安全危机四伏,因此使依赖于电子商务而存在的整个社会变得十分
9、脆弱, 病毒、陷门、隐通道、拒绝服务、偷听、欺骗、口令攻击、路由攻击、中继攻击、会话窃取等都可能突破网络防线,引发这样或那样的社会问题,甚至使整个社会陷入瘫痪状态。电子商务的网络安全问题一直受到人们的关注和安全专家的重视,因而安全技术不断地得到发展的应用,如:加密技术,防火墙,安全认证协议等。这些技术的应用极大的促进了电子商务的发展。随着技术的发展,无论在软件上还是硬件上都为电子商务的发展提供了良好的安全保证和发展环境。虽然一些电子商务的安全技术都制定了相应的安全标准,但是就整个系统而言,这还远远不够。其次,在电子商务网络安全方面,人们往往从技术方面考虑,而往往忽略了安全管理,其实安全管理比技
10、术更重要。另外,制定电子商务方面的法律法规是电子商务安全健康发展的必不可少的保证,我们国家目前在这一方面还很落后。因此,必须制定科学的安全策略、重视管理和技术的运用,为电子商务的发展创造良好的环境。1.2 选题研究的意义随着网络时代的到来,越来越多的人通过Internet进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出。近年来,网络安全事件不断攀升,电子商务金融成了攻击目标,以信息泄露、病毒威胁和身份仿冒为主的网络安全问题正在大幅攀升,这些网络安全问题不仅会对企业的形象与信誉造成严重的损害,还会使企业和客户的财产遭到非法用户的窃取。任何个人、企业或商业机构以及银行若通过一
11、个不安全的网络进行商务交易,会导致商业机密信息或个人隐私的泄漏,从而导致巨大的利益损失。所以,研究和分析电子商务的安全性问题,特别是针对我国自己的国情,充分借鉴国外的先进技术和经验,开发和研究出具有独立知识产权的电子商务安全产品,对我国目前发展电子商务至关重要。综上所述,选择这一课题进行研究就有很深的实际和理论意义。1.3 国内外电子商务网络安全研究现状1.3.1 国际电子商务网络安全研究现状世界各国对电子商务网络安全问题研究的发展是相当重视的,在电子商务网络安全方面普遍存在标准先行的情况。如美国政府很早就研究密码技术并使其标准化,从1977年公布的数据加密标准DES开始,就由美国国家标准技术
12、研究院(NIST)制定了一系列有关密码技术的联邦信息处理标准(FIPS),在技术规范的前提下,对密码产品进行严格的检验。美国开发了虹膜个人识别系统,微软公司宣布把生物认证技术添加到自己的视窗操作系统中。美国许多大企业已经在建立自己的PKI系统。例如,VeriSign是最大的公共,也是最早广泛推广PKI并兼公共CA的公司之一。VeriSign除了是公认的最可信公共CA之一,还提供专用PKI工具,包括称为OnSite的证书颁发服务,这项服务充当了本地CA,而且连接到了VeriSign的公共CAEntrustTechnologies的Entrust/Authority产品系列以其自动密钥管理的工具而
13、著称。这对于内部的CA操作非常有意义,并且可以通过减少与CA的手工交互操作来降低PKI的某些实际成本。第一代防火墙技术几乎与路由器同时出现,采用了包过滤技术。1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙应用层防火墙(代理防火墙)的初步结构。1992年,USC信息科学院的BobBraden开发出了基于动态包过滤技术的第四代防火墙,后来演变为目前所说的状态监视技术。1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙是1998年,NAI公司推出了一种自适应代理
14、技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义。高级应用代理的研究,克服速度和安全性之间的矛盾,可以称之为第五代防火墙。世界万维网联盟制定了一种数据标准扩展标记语言XML(ExtensibleMarkup Language)是世界万维网联盟制定的一种数据标准。其数据传输方案是:根据XML数据安全标准,把加密或签名后的密文信息加入原XML文档中,与原XML文档一起传输。这种传输方式,在加密和签名算法可靠的前提下,可以实现XML文档细粒度的加密和签名,不存在数据安全的问题。1.3.2 国内电子商务网络安全研究现状 我国虽然在电子商务网
15、络安全方面起步晚,重视程度和投入不如美国、日本等发达国家,但近年来,对其认识已有了很大提高,目前已经或正在进入网络信息安全的研究阶段,已经制定了国家、行业信息安全管理的政策、法律、法规,按照国家通用准则建立了代表国家对信息安全产品、信息技术和信息系统安全性以及信息安全服务实施公正性评测的技术职能机构中国国家信息安全测评认证中心和行业中心,建立了支撑网络信息安全研究的国家重点实验室和部门实验室。在2004年的8月,一直在国际上广泛应用的密码算法MD5被中国密码专家山东大学的王小云教授所破解。王小云教授的研究成果作为密码学领域的重大发现宣告了固若金汤的世界通行密码标准MD5大厦轰然倒塌,引发了密码
16、学界的轩然大波。密码学界认为“MD5被破解了,即将从应用中淘汰”。2005年2月王小云教授又破解了美国在电子商务领域中广泛使用的SHA1密码算法。国内的阿里巴巴和淘宝网都是使用“支付宝”来确保用户的交易安全。支付宝网站采用了先进的128位SSL加密技术(参照国内银行网站的普遍做法),确保用户在支付宝页面上输入的任何信息可以安全传送到支付宝,而不用担心有人会通过网络窃取自己的敏感信息。“支付宝账户”有两个密码,一个是登录密码,用于登录账户,查看账目等一般性操作;另一个是支付密码,凡是牵涉到资金流转的过程,都需要使用支付密码。缺少任何一个密码,都不能使资金发生流转。同时,同一天内系统只允许密码输入
17、出错两次,第三次密码输入出错,系统将自动锁定该账户,三个小时后才会自动解除锁定。“支付宝账户”提现时,系统将检查用户登记的银行账户姓名是否与用户的认证姓名一致,否则不予提现。通过支付宝交易,买家收到货后卖家才能收到货款,整个交易过程中,货和款都很安全。为了提升会员的安全,防止账号密码被木马程序或病毒窃取,淘宝推出安全控件,该安全控件实现了对关键数据进行SSL加密,可以有效防止木马截取键盘记录。总之,中国的网络信息安全事业得到了很大的发展,但是面临的困难和需要解决的问题依然很多。2 电子商务网络安全概述2.1 电子商务网络安全的内容电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因
18、此, 电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。计算机网络安全与电子商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。没有商务交易安
19、全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。2.2 电子商务安全要素由于电子商务是在Internet环境下进行的商务活动,交易的安全性、可靠性和匿名性一直是人们在交易活动中最为关切的问题。因此,为了保证电子商务整个交易活动的安全顺利的进行。电子商务系统必须具备以下几个安全要素: (1)有效性和真实性有效性和真实性要求电子商务系统能对信息、交易实体的有效性和真实性进行鉴别。电子商务以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉
20、。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。(2)机密性和隐私权机密性要求信息不被泄漏给非授权的人或实体,隐私权是个人信息不被泄漏的权利。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的(尤其Internet是更为开放的网络),维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取
21、。(3)数据的完整性 数据的完整性要求在保护数据以防止未经授权的增删、修改或替代的同时,保证数据的一致性。电子商务简化了贸易过程,减少了人为的干预,同时也带来了维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止在数据传送过程中信息的丢失和重复,并保证信息传送次序的统一。(4)可靠性和不可抵赖性可靠性要求电
22、子商务系统能够保证合法用户对信息资源的使用不会被不正当的拒绝;不可抵赖性要求电子商务系统能建立有效的责任机制,防止实体否认其行为。电子商务可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方,这一问题是保证电子商务顺利进行的关键。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的“白纸黑字”。在无纸化的电子商务方式下,通过 手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识,以保
23、证发送方发送数据后也不能抵赖。 (5)审查能力根据机密性和完整性的要求,能利用电子商务交易系统日志文件对数据结果进行审查、追踪。3 电子商务中网络安全问题3.1 电子商务主要存在的网络安全问题在电子商务中,网络安全性是必须考虑的核心问题。信息泄露、身份仿冒、木马威胁等都在威胁着电子商务的健康、顺利发展。 由此引发的一系列安全问题迫切需要有效的解决方案。3.1.1 信息泄露电子商务中的信息泄露表现为贸易双方的相关信息,如商业机密、用户信息等被攻击者窃取。攻击者获取信息的方式主要有两种,一是窃听,信息在网络传送过程中,攻击者可在传输信道上对数据进行非法截获、监听,获取通信中的敏感信息,造成网上传输
24、信息泄露。二是通过攻击数据库服务器,即利用WEB程序或网络数据库的缺陷,通过多种技术手段,绕过网站系统、WEB程序或网络数据库的安全限制,直接从网站中获取机密信息13。凡客“金卡”事件就是明显的信息泄露问题20,随着移动互联网时代的到来,信息泄露显然不是一个新话题。作为一名普通消费者,电话、地址以及所购货物的金额等详细信息被一览无余,也因此埋下被欺骗的隐患,自我保护意识稍微薄弱的民众皆可能正中该骗局的下怀。对此,很多喜欢网购的人们感到不安的同时亦不禁疑惑,第三方怎么会那么准确的知道自己的身份信息?很多人纷纷向凡客求证,信息泄露的渠道是什么?然而凡客方面负责人表示,这应该是有其他泄密渠道,但尚没
25、有确凿证据。与此同时上述负责人亦向消费者澄清,凡客根本没有金卡这个产品,顾客应加强个人信息的保护意识,遇到类似骗局可以登录官网确认。用户信息泄露一般有两种情况:一是技术泄密,数据库被盗取了,这是最大的一个;第二种就是快递公司泄密,但一般前者更多。因此,一方面运用电子商务的企业必须加强自己电子商务网站的安全,防止自己的数据库被盗;另一方面以凡客为代表的电商们需要与物流方面建立相关的规范体系制约,无论如何都要保证用户的信息不被泄露。3.1.2 身份仿冒攻击者通过窃听、攻击数据库可以获取商务活动者的用户信息,这些重要的个人信息就可能被非法盗用。攻击者利用合法用户的身份信息与他人开展贸易,获取非法利益
26、,从而破坏贸易的可靠性,影响贸易者的信誉13。国反钓鱼网站联盟发布最新月报,2010年4月,联盟受理并暂停域名解析的钓鱼网站为1785个,七成“钓鱼”网站仿冒淘宝网,以淘宝网为代表的电子商务网站依然是网络钓鱼的重点仿冒对象,在联盟公布的处理结果中,仿冒淘宝网的钓鱼网站投诉高达1322个,占到被处理钓鱼网站的74%,其他依次为腾讯225个、工行125个。据中国互联网络信息中心(CNNIC)联合国家互联网应急中心(CNCERT)最新发布的2011年中国网民网络信息安全状况调查报告显示,2011年,超过九成的网民遇到过网络钓鱼,在遭遇过网络钓鱼事件的网民中,4500万网民蒙受了经济损失,占网民总数的
27、11.9%。来自国外的调查数据显示,在2010年RSA的一项调查中,只有5%的消费者表示他们曾经被网络钓鱼欺骗。现在,这一比例增加了近6倍,2011年达到29%。 CNCERT年初公布的数据显示,目前国内网络钓鱼给网民造成的损失已经达到了76亿元。仿冒欺诈钓鱼类网站对网民危害极大,而创建这些欺诈钓鱼网站的成本却非常低廉。只需换换IP、换换域名,内容可以直接从正常网站复制粘贴。具体到针对证券、股票、理财等财经领域的钓鱼网站,这些网站以所谓高收益、黑马、潜力股推荐等手法,欺骗网民注册会员,轻则骗取会费,重则血本无归。这些钓鱼网站的服务器大多托管在国外。所以,选择理财产品等信息时,最好访问正规的银行
28、、证券公司的网站。面对日益复杂的钓鱼欺诈,目前不少网站已经在首页底部安装了第三方网站资质认证,网民应首先通过第三方权威机构的网站资质信息(企业登记信息、网站域名注册信息等)来判断网站的真实身份,以规避网络风险。网民在应用电子商务时应养成查看网站资质信息的使用习惯。在国家加强域名信息准确性治理后,域名注册信息更能反映网站的真实资质信息。对于网络操作,不要轻易相信各种所谓的中奖信息;不要轻易透露自己的个人信息,尤其是银行账号、个人身份信息等重要数据;需要登录网上银行或者电子商务网站时,应直接在网址栏填写正确的网站地址,最好不要使用检索页搜索网站。其实,单一的查封域名、停止网站运营等手段并不能彻底杜
29、绝假冒钓鱼网站。反钓鱼网站联盟相关负责人表示,治本之策还在于提高网民的安全防范意识和技能,同时商家和各种支付系统要对用户负责,自身具有很好的配套措施。3.1.3 木马威胁有许多黑客工具可以远程控制、检查、监控目标用户的有信息。它们能够使用目标设备(PC)像合法用户一样向网络发送信息,因而有很大的欺骗性,往往能够得逞而不被发现。有一些商业性的工具也具有这种功能。黑客可以从一些网站上免费下载这些木马程序,当然它也有好的一面,系统管理员使用这些工具远程控制众多的工作站,因而也成为系统管理员管理众多工作站的有力工具。它的不利的一方面是一些人把它用于邪恶的目的,如:欺骗,修改数据,窃听等。这些工具很容易
30、通过email被安装到目标用户的电脑上。攻击者可以完全控制被攻击者的电脑系统,可以修改和删除文件,可以移动鼠标,可以运行任何程序。这种程序对电子商务系统的威胁要比病毒严重的多,与因特网连接的电子商务系统对这种攻击还缺乏有效的防护措施。电子商务系统的运营者要采取策略和措施加强对客户端的安全防护。一些木马程序可以破坏任何类型的加密系统,它在数据还没有被加密以前能够捕获要加密的数据信息。即使知道了这类工具的源代码,要设计能够检测这种攻击的过滤工具是也非常困难的,防御这些攻击的机制总是被动的。病毒对电子商务系统的威胁可以被看作是恶作剧,它仅仅干扰电子商务系统的运作,应被归类为阻断服务(denialof
31、 service)的工具,然而木马程序和一些具有木马程序同样功能的商业工具则是电子商务系统最大的威胁,木马程序能够使黑客伪装成合法的客户因而很难对付。黑客可以假冒合法客户发送商品订单,而电子商务系统服务器并不能区分它的真假。密码保护、客户端服务器之间的通信加密、公私钥加密机制都是徒劳的,在传递的数据信息被加密以前,木马程序就能使黑客看到这些信息的明文,这严重威胁电子商务的网络安全。3.1.4 其他威胁电子商务除了面临信息泄露、木马威胁、身份仿冒等这些方面的威胁,一些偶然因素对其安全性也会构成威胁,如突发自然灾害造成的商务活动中断、操作人员的不慎重所导致的信息泄露等。3.2 引起电子商务网络安全
32、问题的根本原因引起电子商务网络安全问题产生的主要问题有以下几项:(1)网络信息技术及网络安全设备绝大多数是西方发明的,由于国内外环境的差异,国外的网络安全产品在一定程度上并不适合在国内使用;另外,我国网络信息系统中所用的安全设备、技术大多数是陈旧落后的,关键时候根本就不起安全防范作用。(2) 数据库管理系统安全具有脆弱性,数据库管理系统主要通过用户的登录验证、用户的权限、数据的使用权限以及审计功能提供安全性能。但是黑客通过探访工具强行登录和越权使用数据库的数据,有可能带来巨大的损失。(3)配置的错误和疏忽,由于网络系统本身的复杂性,配置防火墙是一件相当复杂的事情。在没有更好的辅助工具出现之前,
33、缺乏训练的网络管理员很有可能发生配置错误,给黑客造成可乘之机。在系统配置时过于宽容,或者由于对某些服务的安全性了解不够而没有限制或禁止这些不安全的服务,或者对于某些节点的访问要求给予太多的权力,都会给安全带来危害。(4)安全管理不力,在国内的多数计算机网络,都缺少经过正规教育和训练的专职的网络安全管理员,缺少网络安全管理的技术规范,没有定期的安全测试和检查,更没有安全监控。甚至有许多网络已经运行多年了,而系统管理员和用户的登录名字和口令还是缺省状态未予改动,这给黑客们了一个可乘之机。4 电子商务中的网络安全评价方法4.1 电子商务安全评价指标体系建立 电子商务系统是一个复杂的系统,既有硬件,又
34、有软件,既有外部影响,又有内部因素,而且许多方面是相互制约的。综合考虑影响电子商务安全的各种因素,建立以下的网络安全评价指标体系。如图4-1所示。电子商务的网络安全评价指标体系系统安全网络通信安全物理安全安全技术措施 用户身份验证 应用软件防破坏措施操作系统数据库访问控制措施数据异地备份防盗措施防火防水措施防雷措施加密技术访问控制措施审计跟踪措施防病毒措施防黑客措施安全审计功能服务器备份系统操作日志恢复技术对策图4-1电子商务网络安全评价指标4.2 电子商务网络安全模糊综合评价法根据电子商务系统的定义,该系统各要素间相互融合,内、外环境动态变化,其安全受到来自各方面的影响。电子商务系统安全是一
35、种很难量化的概念,这里可以把系统的“性能”与“安全”做一个简单的对比。针对网络吞吐量、主机的运算速度、数据库的容量指标等这类性能问题,用户可以根据自己的业务要求、资金条件等方面考虑取舍。系统性能的高低在一定程度上可以通过量化指标来表现。换句话说,系统性能的提高,用户虽然摸不到,但却是可以看到的。而“安全”就是一个非常难于量化的指标,真正是一个看不见摸不着的东西。 因此安全问题很容易表面上受到重视,而实际上没有真正得到重视。“什么事情也没有”实际上就是安全的最高境界。但是,“什么事情也没有”也正是导致忽视安全问题的原因所在。实际上,安全就是防范潜在的危机。因此,必须通过科学的评价方法,对电子商务
36、系统的安全做出正确的评价,从而对系统安全在整体上有一个感性认识。由于安全损失包含许多不能成为受控对象的未知或模糊因素,因而可以采用模糊逻辑的数学模型,如很多、很少、较大等术语或抽象数额的数值尺度来表示。4.3 模糊综合评价法的数学模型模糊综合评价是以模糊数学为基础,应用模糊关系合成原理,将一些边界不清,不易定量因素定量化、进行综合评价的一种方法。一般来说,完成模糊综合评价要经过以下几个步骤: 第一,给出评价指标的因素集F=f1,f2,f3,,fn;第二,确定各个评价指标的权重W=(w1,w2,wn),并且=1;第三,给出评语等级集E=e1,e2.en;第四,根据评语集给出评估表,获取模糊信息,
37、建立模糊矩阵 R= 第五,分别对各指标进行评价,得出评价结果B,记作B=(b1,b2,bn),B=W*R=(w1,w2,wn)* ;评价结果B是评价集E上的模糊集,可以通过加权平均法对评价结果进一步处理来得出一个直观的解释或明确的评价。加权平均法以各评价等级ej的隶属度bj为权系数,取各ej的加权平均值作为评价结果:eo=,e0作为评价结果。若评价集E中各元素没有数量化,使用该方法时,应首先将各ej数量化7。 4.4 安全评价的实现第一,给出评价指标的因素集F=f1,f2,fn;由表4-2可以看到,电子商务安全评价指标是由一级指标和二级指标组成的,每个一级指标是由若干个二级指标组成,这若干个二
38、级指标构成了每个一级指标的因素集;各个一级指标构成了总体的因素集。第二,确定各个评价指标权重W=(w1,w2,wn),并且=1见表4-2;表4-2电子商务安全评价指标及其权重分配一级指标一级指标权重二级指标二级指标权重安全技术措施(F1)0.3防病毒措施0.2防黑客措施0.25安全审计功能0.15服务器备分0.15系统操作日至0.15恢复技术对策0.1网络通信安全(F2)0.3加密技术0.3访问控制措施0.4审计跟踪措施0.3系统安全(F3)0.3操作系统数据库访问控制措施0.25用户身份验证0.2应用软件防破坏措施0.2数据库系统状态监控设施0.2数据异地备分0.15物理安全(F4)0.1防
39、盗措施0.4防水防火措施0.3防雷措施0.3第三,给出评语等级集E=e1,e2,en;令E为评语集,即E=满意,较满意,不太满意,很不满意;第四,根据评语集给出评估表,获取模糊信息,建立模糊矩阵;R=在确定了评判小组之后,评判专家可以根据评语等级对各因素进行评价。例如,对“防病毒措施”进行评价后,有20%的人认为满意,40的人认为较满意,20的人认为不太满意,20的人认为很不满意,因此对“防病毒措施”的评价结果是(0.2,0.4,0.2,0.2)。类似可以得到其他单因素的评价结果m1, 见表4-3;表4-3各单因素评价结果一级指标一级指标权重二级指标二级指标权重评语集满意较满意不太满意很不满意
40、安全技术措施(F1)0.3防病毒措施0.20.20.40.20.2防黑客措施0.250.10.30.40.2安全审计功能0.150.30.50.10.1服务器备分0.150.20.40.30.1系统操作日志0.150.10.30.40.2恢复技术对策0.10.20.50.10.2网络通信安全(F2)0.3加密技术0.30.30.40.20.1访问控制措施0.40.10.50.20.2审计跟踪措施0.30.30.20.20.3系统安全(F3)0.3操作系统数据库访问控制措施0.250.40.20.30.1用户身份鉴别0.20.40.20.20.1应用软件防破坏措施0.20.40.20.20.2数
41、据库系统状态监控设施0.20.30.30.20.2数据异地备份0.150.40.30.10.2物理安全(F4)0.1防盗措施0.40.40.30.20.1防水防火措施0.30.50.20.20.1防雷措施0.30.60.20.10.1由表可以得出各个一级指标的模糊矩阵为:R1=,R2=,R3=R4=;第五,分别对各指标进行评价;首先对安全技术措施(F1)进行评价:F1=防病毒措施,防黑客措施,安全审计功能,服务器备分,系统操作日至,恢复技术对策;W1=0.2 0.25 0.15 0.15 0.15 0.1;R1=;B1=W1*R1= 0.2 0.25 0.15 0.15 0.15 0.1* =
42、0.2 0.25 0.25 0.2; 将结果归一化处理得:B1=(0.22 0.28 0.28 0.22)。同理可得,网络信息安全(F2),系统安全(F3),物理安全(F4)的评价结果为: B2=0.25 0.33 0.17 0.25, B3=0.28 0.22 0.28 0.22 , B4=0.4 0.3 0.2 0.1。将上述所得评价矩阵综合起来,可得F安全技术措施,网络通信安全,系统安全,物理安全 与B之间的模糊评价矩阵为:R=根据表可知:安全技术措施,网络通信安全,系统安全,物理安全的权重为:0.3,0.3,0.3,0.1,即W=0.3 0.3 0.3 0.1 所以,B1=W*R=0.
43、28 0.3 0.28 0.25 归一化得B=0.25 0.27 0.25 0.23。 按加权平均法,将评价等级数量化为:E=1,2,3,4,于是综合评价结果等级为: e0=2.46介于较满意和不太满意之间,而且更接近于较满意。5 电子商务网络的安全措施5.1 电子商务网络安全的技术对策5.1.1 防火墙的介绍防火墙是一个保护装置,它是一个或一组网络设备装置,目的就是保护内部网的访问。防火墙可以安装在两个组织结构的内部网与外部网的Ieternet之间,同时在多个组织结构的内部网和Internet之间也会起到同样的保护作用。它主要的保护就是加强外部Internet对内部网的访问控制,它的主要任务
44、是允许特别的连接通过,也可以阻止其它不允许的连接。防火墙只是网络安全策略的一部分,它通过少数几个良好的监控位置来进行内部网与Internet的连接。防火墙的核心功能主要是包过滤。其中入侵检测、控制管理规则过滤、监控及电子邮件过滤这些功能都是基于封包过滤技术的。防火墙主要解决以下问题:(1)防火墙可以过滤不安全的服务而降低风险,如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护的网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络;防火墙同时可以保护网络免受基于路由的攻击,如IP选项的源路由攻击和ICMC重定向中的重定向路径,防火墙可以拒绝所有以上类型攻击的豹纹并通知防火墙管理
45、员。(2)当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息,这是因为所有的访问都经过防火墙,防火墙能够记录下这些访问并作出日志记录。(3)防火墙能够防止内部信息的外泄,通过利用防火墙对内部网络的划分,可以实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。(4)被拦阻时能够通过声音或闪烁图标给用户报警提示。5.1.2 数字签名在现实世界里,为了证明对某一个文件负责,我们常在该文件上签名。在电子商务中,相类似的机制就是数字签名,数字签名主要是为了预防交易抵赖行为。数字签名(Digital Signature)是密钥加密和信息摘要相结合的技术,可以保证信息的完整性和不可否认性6。数字签名的过程如下:发送方用自己的私钥对信息摘要加密;发送方将加密后的信息摘要与原文一起发送;接收方用发送方的公钥对收到的加密摘要进行解密;接收方对收到的原文用Hash算法得到接收方的信息摘要;将解密后的摘要与接收方的信息摘要对比,相同说明信息完整且发送