电子商务安全策略分析与实现.doc

《电子商务安全策略分析与实现.doc》由会员分享，可在线阅读，更多相关《电子商务安全策略分析与实现.doc（3页珍藏版）》请在三一办公上搜索。

1、E-commerce Security Policy Analysis and ImplementationXin CUIComputer Institute, Shan Dong University of Technology, Zibo, ChinaAbstract: Along with the information technology in the field of business and trade in a wide range of applications using computer technology, network communication technolo

2、gy and the business activities of internationalization, information and paperless has became all business development of a trend. E-commerce is changing peoples life and the development process of the whole society, trade network will cause people to management mode, work and life style, and managem

3、ent of the comprehensive innovation mode of thinking, etc. In trade and business fields, the development of E-commerce is changing the traditional way of trade, cutting trading procedures, improving work efficiency. To establish a safe transaction platform of e-commerce, design the network security

4、threats to network security policy. Treatise include network security access control configured ACL and CBAC Context-Based Access Control to protect the internal network and limited restrictions on access to external networks Certification Authority in certificate of service, configuring security of

5、 Web Server, Safe access configuration of Web Server based on SSL. Keywords: e-commerce; network security; certificate services; server security; information; ACL电子商务安全策略分析与实现崔鑫山东理工大学计算机学院，淄博，中国，255049【摘要】随着信息技术在贸易和商业领域的广泛应用，利用计算机技术、网络通信技术和因特网实现商务活动的国际化、信息化和无纸化，已成为商务发展的一大趋势。电子商务正在改变着人们的生活以及整个社会的发展进程

6、，贸易网络将引起人们对管理模式、工作和生活方式，乃至经营管理思维方式等等的综合革新。对贸易和商业领域来说，电子商务的发展正在改变着传统的贸易方式，缩减交易程序，提高办事效率。要建立一个安全的电子商务交易平台，必须设计应对网络安全威胁的网络安全策略。论文给出了方案中网络安全配置访问控制ACL和基于上下文访问控制CBAC来保护内部网络、限制外部网络的有限访问，CA证书服务，Web服务器的安全，基于SSL的Web服务器安全访问配置策略等。【关键词】电子商务; 网络安全; 证书服务; 服务器安全; 信息化; 访问控制列表1 引言电子商务的基础是信息化和网络化，但电子商务发展至今，阻碍其发展的关键因素还

7、是安全问题。因为其赖以生存的基础是网络，现在交易的双方不再是面对面的，而是被时空、距离所阻隔，因此其安全问题更为重要。电子商务从最初发展开始，就非常重视安全，但它仍摆脱不了网络带给它的安全问题。目前，电子商务过程中主要采用的安全技术有数字签名技术、认证技术、安全认证协议等，这些技术的组合应用构成了电子商务的安全技术体系。本设计方案倾向于更多地涉及到保证电子商务网络安全，通过对电子商务网络可能受到的威胁来源进行分析，并为之做出一一对应的防护措施，从而保障电子商务网络安全。2 访问控制列表2.1 访问控制列表技术标准ACL只能过滤第三层信息，基于数据包的源地址过滤数据包。而扩展ACL可以过滤第三层

8、和第四层信息。基于源地址IP地址和目的IP地址，协议(如ICMP，IP，OSPF，UDP等)以及协议信息如TCP或UDP端口号来过滤数据包，所以常用扩展ACL保障网络安全。2.2 基于上下文的访问控制基于上下文的访问控制协议即CBAC，通过检查通过防火墙的流量来发现和管理TCP和UDP的会话状态信息。这些状态信息被用来在防火墙访问列表创建临时通道。通过在流量方向上配置列表。接口方向需要检查，同指定了检查的起始。CBAC只对制定的协议进行检查。对于这些协议，只要数据包经过已配置检查的接口，那么无论它们从那个方向通过防火墙都将被检查。进入防火墙的数据包只会在其第一次通过接口的入站ACL时才会被检查

9、。如果数据包被ACL拒绝，数据包会被简单的丢掉并且不会被CBAC检查。2.3 基于上下文访问控制的实现 下面用CBAC分析和配置来保护内部网络的安全，本配置来保护公司内部网络的安全，同时允许外部网络对内部网络210.44.176.0/24的网络进行有限的访问，其中210.44.176.76假设为企业对外服务器。192.168.1.2为企业内部服务器不允许外网对其访问。在路由器上配置访问控制列表来保护内部网络，设置如下： router(config)#access-list 101 permit ip 210.44.175.0 0.0.0.255 any router(config)#acces

10、s-list 101 deny ip any any router(config)#int fa0/1router(config-if)#ip access-group 101 in接下来我们在fa0/1接口上配置外出方向上的访问列表，该列表能有效的阻止除icmp消息外的其它数据流从接口Fa0/1进入内部网络。配置如下：router(config)# access-list 102 permit icmp any any echo-replyrouter(config)# access-list 102 permit icmp any any packet-too-bigrouter(conf

11、ig)# access-list 102 permit icmp any any time-exceededrouter(config)# access-list 102 permit icmp any any unreachablerouter(config)# access-list 102 deny ip any any router(config)# int fa0/1router(config-if)# ip access-group 102 out 现在在210.44.176.0网络上配置访问列表其命令如下router(config)#access-list 103 permit

12、ip 210.44.176.0 0.0.0.255 any router(config)#access-list 103 deny ip any any router(config)#int fa0/0router(config-if)#ip access-group 103 in 企业网对外服务器的设置router(config)#access-list 104 permit udp any host 210.44.176.76 eq domainrouter(config)#access-list 104 permit tcp any host 210.44.176.76 eq 53rou

13、ter(config)#access-list 104 permit tcp any host 210.44.176.76 eq ftp router(config)#access-list 104 permit tcp any host 210.44.176.76 eq smtprouter(config)#access-list 104 permit tcp any host 210.44.176.76 eq wwwrouter(config)#access-list 104 permit tcp 210.44.176.0 0.0.255.255 host 210.44.176.76 po

14、p3router(config)# access-list 104 permit icmp any any echo-replyrouter(config)# access-list 104 permit icmp any any packet-too-bigrouter(config)# access-list 104 permit icmp any any time-exceededrouter(config)# access-list 104 permit icmp any any unreachablerouter(config)# access-list 104 deny ip an

15、y any router(config)# int fa0/0router(config-if)# ip access-group 104 out 该配置面临最大威胁的s0/0端口 ,它直接与外网相连,在其配置一个访问列表以使外网的主机不容易假冒我们内部网络的地址IP欺骗得简单防护，如过滤非公有地址访问内部网络，过滤自己内部网络地址。3 电子商务CA证书由以下几步实现，首先安装证书颁发机构即创建一个独立的根CA，其次服务器端证书的获得与安装即获得WEB站点数字证书和安装WEB站点数字证书，最后是CA证书服务即申请证书、颁发证书、导入浏览器证书等。4 Web安全访问设置4.1 基于SSL的Web

16、安全访问设置SSL运行在TCP/IP层之上、应用层之下，为应用程序提供加密数据通道，它采用了RC4、MD5以及RSA等加密算法，。同时，相应开发了HTTPS协议并内置于其浏览器中，它使用默认端口443，而不是像HTTP那样使用端口80来和TCP/IP进行通信。HTTPS协议使用SSL在发送方把原始数据进行加密，然后在接受方进行解密，加密和解密需要发送方和接受方通过交换共知的密钥来实现，因此，所传送的数据不容易被网络黑客截获和解密。在实际应用中，基于SSL的Web安全涉及Web服务器和浏览器对SSL的支持。目前大多数Web服务器都支持SSL，如S等；大多数浏览器也都支SSL。在浏览器与服务器之间

17、建立SSL连接，必须具备如下条件：需要从可信任的证书颁发机构获取服务器证书。必须在服务器上安装服务器证书。在服务器上设置SSL选项。客户端必须同服务器信任同一证书颁发机构。4.2 Web服务器的安全配置Web服务器创建好之后，还需要进行适当的管理才能使用户的信息安全有效地被其他访问者访问。像启动内容失效、内容分级设置、安全与权限设置、安全认证、IP地址及域名限制等。5 结束语 网络安全作为电子商务运营的基础，其重要性不言而喻。本设计方案可以广泛地运用于中小企业园区网等相关领域，有着较好的应用前景。致谢感谢在此期间帮助过我的各位同事，也非常感谢参考文献涉及的各位作者所给出的提示和帮助。Refer

18、ences (参考文献)1 Zhang Jian-biao, Research on campus network secure architecture, Computer Engineering and Design , vol28 , No20 , 0Ct20072 SHI Guang , Summarization on network security technology, Transducer and Micro system Technologies, Vol.26, 20073 ZHOU Xing, WANG Guo-an, ZHANG Zhen ,The Applicati

19、on of Access Control List in Network Layer, Journal of Henan University , vol.34, No.34 GU Guofei，SHEN Jianli，WANG Peng，ZHANG Shiyong，A Campus Network Security Solution Based on Six-layer Security Architecture ，Computer Engineering，Vol.28 Supplementary Issue5 ZENG Kuang-Yi,YANG Jia-Hai，Towards the Optimization of Access Control List，Journal of Software，Vol.18,No.4,April 20076 LIU Xin-hong, GUO Fu-tian, XU De-li, ZHANG Xin, Application of access control technology in Intranet，Journal of DAQING Petroleum Institute，Vol. 30 No. 6 Dec. 2006作者简介崔鑫 ，女，山东临邑，硕士，山东理工大学计算机学院。