电子商务安全策划书
第七策划小组
策划日期:2014-12-29
1
目录
一、 引言 ................................................................................................. 1 二、 目前旅游电子商务市场的安全现状及存在的问题; ................ 2 三、 “任我游”公司的现状及主营业务中面临的安全问题; ........ 4 四、 针对“任我游”公司的要求设计合理且可行的安全策略,包括
针对每个要求所使用到的电子商务安全技术方法; ............... 5
五、 根据 “任我游”的现状,选择适合的安全产品; ................... 6 六、 结束语........................................................................................... 10
一、 引言
随着网络技术和信息技术的飞速发展,电子商务得到了广泛的应用,越来越多的企业和个人用户依赖于电子商务的快捷、高效。它的出现不仅为Internet的发展壮大提供了一个新的契机,也给商业界注入了巨大的能量。电子商务在旅游业的应用和普及,使旅游者可直接通过网络进行旅游活动的信息查询、线路安排、票务酒店预定等,足不出户即可获得关于旅游地的详细资料。由于Internet的用户以年轻、高收入人群居多,是非常有潜力的旅游市场,因此,在Internet成为了旅游宣传和旅游产品销售的有效渠道。近几年的统计数据显示我国在线旅游市场在整个业态中所占的比重已经出现性的增长。但旅游电子商务是以计算机网络为基础载体的,大量重要的身份信息、交易信息都需要在网上进行传递,在这样的情况下,安全问题成为首要问题。
1
二、 目前旅游电子商务市场的安全现状及存在的问题;
1) 安全现状:
在开放的网络上处理交易,如何保证传输数据的安全成为旅游电子商务能否普及的最重要因素之一。调查公司曾对旅游电子商务的应用前景进行过在线调查,当问到为什么不愿意在线购物时,绝大多数的人的问题是担心遭到黑客的侵袭而导致信用卡信息丢失。因此,有一部分人因担心安全问题而不愿使用旅游电子商务,安全成为旅游电子商务发展中最大的障碍。
2) 存在的问题:
电子商务的信息安全问题:黑客攻击,信息篡改,信息泄露,信息假冒,信息截获,虚假信息,信息丢失,信息中断
A C B 黑客攻击:C破坏性攻击侵入A的电脑系统、盗窃系统保密信息、破坏目标系统数据。
2012年3月,当当网账户集体被盗,余额被用于购买电子产品、金银首饰等大额商品。当年6月13日,网名为“我是那个向日葵”的微博用户发布微博称,其购进的10张面值500元\"当当网礼品卡\",被盗充。2014年3月,当当网113位用户账户余额被盗用,损失金额超过6万元。而当当网对于用户账户被盗第一时间均是撇清关系,在压力下才给以补偿。
2
信息篡改:改变信息流的次序,更改信息的内容,如购买商品的出货地址;删除某个信息或信息的某些部分;在信息中插入一些信息,让收方读不懂或接受错误的信息。
2005年,一位前北京移动的乙方工程师,利用工作期间对移动网络的熟悉和留下的后门,侵入北京移动神州行充值卡的数据库,修改充值卡相关记录,获取充值金额,并在网上贩卖盈利。
信息泄露:交易双方进行交易的内容被第三方窃取或交易一方提供给另一方使用的文件被第三方非法使用。
2012年5月底,微博用户挨踢客爆料1号店员工内外勾结泄露客户信息,90万的用户信息竟被以500元的价格叫卖。部分消费者不久后就遇到了账户余额被盗、电话诈骗等问题。之后1号店冻结用户账户。1号店副总裁刘彤回应:1号店在案发后已进行了内部检查,对系统、流程、权限进行了清理、升级,以杜绝日后类似事件的发生。被消费者质疑“很没有诚意”。直至2013年3月,仍有很多消费者称1号店对那次信息泄露事件的处理很不到位,至今仍没有得到应有的补偿。
信息假冒(虚假信息):虚开网站和商店,给用户发电子邮件,收定货单;伪造大量用户,发电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应;伪造用户,发大量的电子邮件,窃取商家的商品信息和用户等信息。
聊城男子收到一条内容为“尊敬的用户您好,您的手机号被《快乐大本营》节目后台抽取为场外幸运号,您将获得由苹果公司赞助提供的79000元奖金和苹果笔记本电脑一台,请用电脑登陆网站www.huXXXXX.com,及时领取,您的验证码为XXXX。”的短信,该男子按对方的提示进行操作后被骗1500元。
信息截获:攻击者可能通过互联网、公共电话网或在电磁波辐射范围内安装装置等方式,截获机密信息,或通过对信息流量和流向、通信频度和长度等参数的分析,获取有用信息,如消费者的账号、密码等。
3
信息中断(信息丢失):A在给B传输信息的过程中,由于C的破坏或网络问题,信息不能传给B。
电子交易安全产生的法律问题:在线交易主体及市场准入问题,网上无限财产保护问题,在线消费者权益和个人隐私保护问题
三、 “任我游”公司的现状及主营业务中面临的安全问题;
1) 公司现状:
规模小、资金不充裕、涉及范围广、分类不明确、可以进行网站的日常管理和维护、公司主营业务的安全性较低
2) 主营业务中面临的安全问题:
交易环境的安全性、交易对象的安全性、交易过程的安全性、支付的安全性。
由于互联网的全球性、开放性、无缝联通性、共享性和动态性,所以任何人都可以自由的介入互联网。而旅游电子商务只考虑了互联网的方便性与开放性,极易导致客户预定的信息在互联网上传输的过程中丢失、被篡改和个人信息泄露,也可能导致收到的并不是客户的信息。其次,在信息存储过程中,安全技术强度不够,使得互联网络非常脆弱,极易受到黑客的攻击或有组织的入侵,也会由于系统内部不规范使用和恶意的破坏,使网络系统遭到破坏。同时,酒店预订和航班预订都是在网上进行交易,没有安全可靠的结账方式,所以极易导致客户在支付过程中,由于互联网的原因,造成支付失败或者客户
4
支付成功但公司并未收到支付成功的结果。
解决方案:贵公司可以运用数字签名和信息摘要来证实一个信息是否被篡改,一个数字证书可以确认一个发送数字签字信息人的身份,双重加密可以实行在线付款,而不让卖方看到银行卡卡号。
网络系统的安全问题主要是由于网络的开放性造成的,解决问题的关键是把网络从开放、自由的环境中分离出来,使其变成可以控制和管理的网络,就目前的技术发展来看,可以采用系统隔离、访问控制、身份鉴定、安全监测等方法解决系统安全问题。
四、 针对“任我游”公司的要求设计合理且可行的安全策略,包括针对每个要求所使用到的电子商务安全技术方法;
要求:
a 保证与客户间信息往来的保密性及完整性; b 保证与业务相关的信息存储的保密性及完整性; c 保证电子支付的安全性;
d 抵御黑客入侵,减少网站受袭击的几率 安全策略:
建立一套安全可靠的数据备份与恢复系统,定期对数据库进行备份,定期修改数据库密码,必要时可以对重要数据采取多层加密保护。
交易各方具有相关身份证明,同时在SSL协议体系下完成交易过程中的电子证书验证、数字签名、指令数据的加密传输、交易结果审计等。
5
安全技术方法:
要求a,数字签名,数字信封
要求b,数字指纹技术,对称与非对称加密技术
要求c,报文摘要,数字签名,数字证书,安全套接层协议,安全电子交易协议
要求d,防火墙技术,加密技术,漏洞扫描技术,入侵检测技术
五、 根据 “任我游”的现状,选择适合的安全产品;
公司现状:规模小、资金不充裕、可以进行网站的日常管理和维护、公司主营业务的安全性较低
1) 防火墙技术:H3C Secpath F100-E-G 报价:¥20400
防火墙类型 产品型号 产品类型 下一代防火墙 Secpath F100-E-G 小型企业级,中小型企业级 硬件参数 SDRAM内存 FLASH内存 固定接口 扩展插槽 1GB 256M 1个配置口(CON) 6GE 2个MIM插槽,可通过该插槽扩展网络接口 网络与软件 支持协议 支持HTTP、FTP、SMTP、POP3协议 VPN(虚拟专用网络) 支持VPN功能 NAT(网络地址转换) 支持NAT功能 入侵检测 防火墙性能 Dos、日志管理、IDS 安全区域划分 可以防御Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、6
ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描、SYN Flood、UPD Flood、ICMP Flood等多种恶意攻击 基础和扩展的访问控制列表 基于时间段的访问控制列表 动态包过滤 ASPF应用层报文过滤 静态和动态黑名单功能 MAC和IP绑定功能 基于MAC的访问控制列表 支持802.1q VLAN 透传 Portal认证 RADIUS认证 HWTACACS认证 PKI /CA(X,509格式)认证 域认证 CHAP验证 PAP验证 其它参数 电源电压 最大功率 100VAC~240VAC;50/60Hz 46W 认证标准 在有限的预算和适度的资源消耗下,贵公司期望有一种低成本、高效的解决方案,很简单的实现安装、接入和维护。
SecPath F100-E-G不但可以提供传统的基础安全功能,如状态检测、NAT、VPN、链路负载均衡等;同时通过统一的软件平台和处理引擎,SecPath F100-E-G有效整合防火墙、入侵防御、应用层流量识别与控制、防病毒功能,为用户提供一体化的应用安全防护。
高精度、高效率的入侵检测引擎。采用H3C公司自主知识产权的FIRST(基于精确状态的全面检测)引擎。FIRST引擎集成了多项检测技术,实现了基于精确状态的全面检测,具有极高的入侵检测精度;同时,FIRST引擎采用了并行检测技术,软、硬件可灵活适配,
7
大大提高了入侵检测的效率。
实时的病毒防护。采用Kaspersky公司的流引擎查毒技术,从而迅速、准确查杀网络流量中的病毒等恶意代码。
全面、及时的安全特征库。通过多年经营与积累,H3C公司拥有业界资深的攻击特征库团队,同时配备有专业的攻防实验室,紧跟网络安全领域的最新动态,从而保证特征库的及时准确更新。
2) 杀毒软件:卡巴斯基全功能安全软件2010(10用户/年) 报价:1280元 运行环境 Windows XP sp2以上版本/Vista 保护资金和隐私信息安全 保护银行账号密码安全 防御黑客劫持计算机 功能模块 保护文件免受黑客损毁功能强化 保护计算机运行平稳 保护无线上网安全 病毒、木马、蠕虫以及其它恶意软件、间谍软件和广告软件 Rootkits、bootkits 以及其它复杂威胁 防御范围 键盘记录器,截屏恶意软件和网络等的隐私盗窃行为 通过僵尸网络和非法方式来劫持计算机 零日攻击,快速传播的新型威胁 网页挂马,网络攻击和黑客入侵
8
深入保护企业、数据和声誉 通过共享存储防止恶意软件传播 E启用移动访问和安全 BYOD 优势 简化移动管理,节省时间和资金 强大的控制工具有助于实施安全策略 针对即时保护进行预配置 卡巴斯基的安全支付技术,能够保护用户在线网银操作中涉及的信用卡信息或银行账号安全。其中包括专门的“安全浏览”模式,将用户的在线支付行为同其它在线行为隔离开来,并检查交易网站的真实性。在线支付技术还会自动评估用户计算机是否包含潜在漏洞。为了进一步增强安全性,安全支付模式还配备了安全键盘,让用户通过屏幕上的键盘输入信用卡号和密码,避免键盘记录恶意软件通过物理键盘窃取用户输入的机密信息。
9
六、 结束语
电子商务已成为较为重要的商务活动模式,随着电子商务的不断发展,全球的经济政治和法律都会受到影响,而其安全问题也随之变得更加重要和突出。为保证电子商务的安全,新的安全技术将不断出现,而为了对电子商务攻击成功,攻击者也将采取新的攻击手段、技术和方法,两者之间的斗争将长期存在下去。电子商务将在攻击与击的斗争中不断发展。本文从电子商务安全出述了贵公司在旅游电子商务中面临的安全威胁,以及其安全体系,全面、系统地对关键技术进行了研究与分析,为贵公司实施旅游电子商务提供参考和借鉴。
10