电子商务网站安全设计

电子商务网站安全设计（精选12篇）

电子商务网站安全设计 第1篇

关键词：电子商务,网络安全,信息加密

1 引言

随着计算机技术和网络的飞速发展和普及,管理信息系统已进入企业和政府中。企业建立了自己的门户网站以及电子商务系统,并且结合企业内部组织形式的内部管理系统;政府也建立了自己的门户网站,建立了电子政务系统等等。随着政府、企业对系统的要求越来越高,系统的复杂度就变得越来越大,系统使用的资源也越来越多。许多关于企业或政府的内部敏感信息都放到了数据库当中,因此,各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题,越来越引起人们的高度重视。数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要。其中,最常用的安全技术便是基于用户身份的授权系统,对不同的人员授予的权限不同,不同权限的人允许访问的信息也不一样。因此,如何通过用户授权系统有效地保证系统的安全,实现数据的保密性、完整性和有效性,已经成为业界人士探索研究的重要课题之一。

2 安全问题现状

2.1 常见的安全缺陷和漏洞

下面介绍一些电子商务网站中常见的安全缺陷,以及怀有恶意的用户是如何利用这些漏洞来完成违反安全的行为。

(1)输出输入验证,存在的漏洞包括,在超文本标记语言(HTML)输出流中使用未经验证的输入,使用用于生成SQL查询的未经验证的输入,使用输入文件名、URL或用户名进行安全决策等,这些漏洞有可能导致缓冲区溢出泄漏敏感信息、跨站点脚本攻击、SQL注入攻击、标准化攻击。

(2)缓冲区溢出,当应用程序或进程将数据存储到内存的缓冲区时,如果所要存储的数据超出了内存缓冲区的固定长度或者能处理的最大容量的时候,多余的信息可能存储到相邻的缓冲区中,从而使得缓冲区存储的正确数据遭到破坏,从而造成相关进程的突然中止,进而导致整个应用的崩溃,通常会导致拒绝服务攻击。

(3)明文传输,这个是一个非常大的漏洞的。因为应用的网络架构中大量使用了交换机和集线器,每一个线路的信息交互都可以被检测,用明文传输的话,敏感信息都可以通过网络检测工具截取并还原,所有的网络传输信息都会被获取。

(4)认证失效,造成认证失效的原因是认证机制的配置不正确和凭证管理的缺陷,其对应用认证的威胁包括密码修改、密码遗失、账户数字升级和证书问题等。对于存在这类漏洞的应用,攻击者通过操作凭证(如使用用户密码、密钥、会话Cookie和安全令牌等)冒充用户,发起对程序的攻击。

(5)访问控制的失效,访问控制决定了通过认证的用户访问系统资源的权限,因此访问控制的失效将导致敏感资源的泄漏。问题直接归咎于未能实施应用特定的安全策略以及未能在应用设计阶段实施必要的策略。安全策略提供并决定了采用什么样的措施来应对指定事件的规则和条件,如果规则不足或遗漏、条件或前提无效、规则自相矛盾,安全策略就无法实施指定的安全规则。

对于威胁应用程序的漏洞还有很多,因此如果在系统设计的时候没有充分地认识到这些威胁的话,就会给系统留下很多安全隐患,应对违反安全应用事件的时候就会变得力不从心。

2.2 安全组件和安全框架

企业应用程序中面临的安全缺陷和安全漏洞远比上面的要多,可以将这些安全威胁进行分类处理,然后针对每一种安全威胁,制定相应的策略来防范。比如要解决明文传输的问题,通过可以对传输明文进行加密,并且使用加密的传输通道来传输数据,对明文加密是一个组件,可以应用各种的加密方法,如对称加密,3DES,AES的加密方式,也可以使用非对称加密的方法或者数字摘要等形式来加密。对加密传输的方法来说也是通过一个组件,比如应用了X509协议的HTTPS的传输方法,使用数字证书来验证信息的有效性和完整性。

一个安全系统,需要有各种各样的安全组件来提供各种策略的实现,来应对各种可能出现的安全威胁。实际上,从大型企业应用诞生的那一天起,安全问题就一直困扰着程序员,因此,许多的设计师、工程师不断地研究和测试这些安全组件确保它们能够正确地运行。当设计和开发方法不断地提高,设计模式成为了现在软件工程中很重要一个元素,在前人大量实践的基础上,应用安全也有了自己的设计模式。安全框架也就应运而生,安全框架是根据经过实践检验的最佳实践构建的系统安全保护组件工具或者机制。因此安全框架是对系统的安全威胁,提出相应的解决方案,没有语言的限制,没有平台的限制,只要有安全威胁出现的地方,安全框架就会有相应的策略来解决。

安全框架的出现并不是偶然的,因为越来越多的应用需要考虑到安全问题,如果没有相应的策略和支持,项目开发的进度势必会有所阻碍,加大了设计人员和开发人员的难度,加大了项目的成本和风险,并且安全级别也有划分,从而又加大了系统的复杂性。安全框架是根据实践检验的最佳实践构建的系统安全保护组件工具或者机制,它的出现,有效地解决了开发中遇到的问题,在一定程度上降低了项目的风险,也降低了项目开发的难度。

3 用户权限系统的设计与实现

本系统适用于企业内部系统逻辑层的对象权限控制管理。在业务逻辑层存在很多复杂的对象操作,需要对资源进行权限的分配,对用户进行权限的管理和约束,用户权限安全模块不能影响整个系统访问的性能,要保证业务逻辑模块的完整性,需要日志记录,方便安全人员的审计,要确保这个安全模块可以灵活地配置,维护起来尽量容易,配置信息要使用RDBMS来储存。因此有必要设计一个灵活配置的用户权限管理系统,对权限和用户信息进行灵活配置,对业务逻辑代码尽量透明。

在Web表现层,业务逻辑层和数据访问层中,常见的问题是缺少对Web表现层和业务逻辑层之间的保护,存在的威胁可能有数据注入、跨站脚本、越权访问、不安全的数据传输或存储、会话盗用、认证失效、访问控制失效、策略失效、审计失效。面对这些威胁,需要做输入验证、资源访问验证、用户验证、失效验证、安全日志纪录。

3.1 设计方案

该开发项目使用Java的开发语言,基于Spring的框架,通过对系统需求的分析,对安全控制模块设计,使用Acegi安全框架是一个很好的选择。使用Acegi安全框架的优点是表现层开发和业务逻辑层开发可以分开,只需要有一份权限的分配文档,就可以灵活地对安全模块的组件进行重构或升级,当Acegi安全框架更新版本时,可以很容易地升级安全框架。在选择Acegi安全框架技术来构建安全模块后,维护人员可以很好地重新划分权限。系统在投入使用或后续的应用开发的过程中,权限的配置通常发生改变,即使需要重写安全模块,系统的业务逻辑无需对代码进行改动。

Acegi是基于Spring Framework的声明式安全框架,它通过在Spring的应用上下文中配置一系列的Bean来完成安全设置,利用Spring提供的依赖注入和IoC编程方式来提供声明式安全访问控制的功能。它提供了强大灵活的企业级安全服务,如完善的认证和授权机制,Http资源访问控制,Method调用访问控制,Access Control List(ACL)基于对象实例的访问控制,Yale Central Authentication Service(CAS)耶鲁单点登录,X509认证,Channel Security频道安全管理,并集成了目前Web应用程序流行容器的认证适配器。

因此,设计方案使用Spring框架下的安全框架Acegi,来构建该安全控制模块,使用MySql的数据库作为数据认证源提供者,同时使用缓存EhCache来提高系统性能。

3.1.1 数据库设计

安全模块一共使用3个表,分别是Users表、储存用户的登录信息和账号是否是激活的状态;Authorities表,储存的是用户对应的角色信息,用户名引用用户表的信息,还有一个对每一个表项惟一标识的约束;Webresdb表,储存URL资源的权限配置信息。

数据库表的设计和联系ER如图1所示:

3.1.2 模块结构

安全模块主要由3个部分组成,最核心的是权限的管理组件,其中包括认证组件、授权组件、安全控制组件、以及认证源交互组件,另外两个分别是安全审计组件和认证源操作组件。安全控制模块的示意图如图2所示。

3.2 实现方案

3.2.1 权限管理组件

权限管理组件是安全模块中的核心部分。通过对系统业务逻辑的分析,业务逻辑的编程模式主要使用Spring MVC,系统的敏感资源均属于Web资源,是可直接使用URL去获得的资源。因此可基于角色的安全策略来构建这个模块,主要考虑有:首先基于角色的管理策略系统开销相对较小;其次基于角色管理策略实现相对的容易,维护的时候较为方便。在Acegi安全框架下,实现对Web资源的保护以及基于角色权限管理的较好办法,是使用基于过滤器的过滤链。

在权限管理的前端,使用浏览器内置的HTTP Basic机制作为获得用户信息的方法,使用Basic64的编码来对用户信息进行编码。后台的数据存放在数据库表当中,需要的时候从数据库调出来,为了提高模块的效率,系统设计了缓存机制。

安全控制组件主要的工作是,将对敏感资源的访问请求拦截下来,然后加载认证组件,授权评估组件,对请求者进行审查后,确定是否允许访问。这里系统使用了Acegi的拦截器机制,先后调用了(1)HttpSessionContextIntegrationFilter,与HTTP Session进行交互,获得session中相关的安全认证信息,然后放到Security Context的对象中,当过滤器退出的时候相关的安全对象也会注销;(2)BasicProcessingFilter,负责完成用户的认证,当用户访问的目标Web资源受到保护时,如果用户已经在HTTP请求头信息中提供了认证信息的话,BasicProcessingFilter会调用相关的认证管理器,如果不成功,或者用户无法提供凭证信息,而目标资源又是敏感资源的话,就会发送消息给浏览器弹出对话框,要求进行用户认证;(3)ExceptionTranslationFilter,负责接收在认证期间出现的异常消息,比如认证失败的异常;(4)FilterInvocationInterceptor,负责对已经认证了的用户进行授权的工作。

认证组件,主要是通过构造UsernamePasswordAuthenticationToken对象,和已经实现了的AuthenticationEntryPoint接口来验证,用户的输入的信息和系统存储的信息是否相同从而完成认证,系统使用HTTP Basic的方式来获得用户输入的资料。系统使用数据库来存储权限信息,通过对表Users和表Authorities的读取,获得用户的信息。通过对UserDetailsService接口的实现类,完成用户验证和用户信息的加载,针对系统的需求,使用Acegi的内置类JdbcDaoImpl实现对Users和Authorities的访问就可以了。在系统的后续开发中,如果用户密码需要使用加密的话,Acegi有内置的工具完成,只要把数据库中密码字段的值转换为加密值即可,同时需要把用户信息读取方式转换成新的认证接口数据源。

授权组件,系统采用事前评估的授权策略,就是在要访问敏感资源之前,系统必须先检查请求者的身份和权限,检查通过的请求方可访问敏感资源。授权组件首先拦截访问,然后去查看目标资源的角色要求,如果没有权限的要求,则授权组件退出;如果有权限要求的话,系统接着检验这个用户有什么权限,如果用户没有登录,则要求用户登录认证,同时抛出异常;如果认证通过,则审查权限是否符合,如果符合则允许访问资源,否则拒绝访问请求。

根据需求,系统设计中将目标资源的权限信息使用数据库来存储,由于目标资源的权限信息需要频繁的访问,因此,设计为使用缓存来减轻数据库的负担。Acegi并没有内置的数据库装载实现类,因此构建了缓存组件,该组件负责管理权限信息的缓存池,实现了权限信息的高速内存管理。为此系统实现FilterInvocationDefinitionSource接口,该接口继承Spring自带的JdbcDaoSupport类,通过模仿JdbcDaoImpl可以很好地与数据库进行交互,通过构造虚拟数据源使得授权组件能够正确地识别,同时使用缓存来储存从数据库取回的数据。

3.2.2 认证源操作组件

认证源,主要指的是安全框架使用的3个数据库表:Users表、Authorities表和Webresdb表。其中User表和Authorities表存储的是用户资料,Webresdb表负责储存系统敏感资源权限,系统开发Web接口来对其进行管理,集成到业务层中。使用Acegi框架,对系统其他部分的耦合度相当小,当安全框架应用到项目中后,要进行二次开发,再次集成或者维护,开发难度也较硬编码方式低很多。

3.2.3 安全审计组件

在安全系统中,除了要完成认证和授权以外,通常还需要对安全事件进行审计,若出现安全问题,通过对以往日志的审计,找出安全漏洞以及非法访问者的信息,因此安全系统中有必要集成安全审计组件。

在JavaEE中,对日志的功能支持得很完善,系统可通过Log4j日志处理组件来记录整个系统运行时候的状态。系统基于Log4j组件构建系统安全日志管理组件。该组件可工作在两种模式,分别是DEBUG模式和RELEASE模式。在开发调试阶段,可使用DEBUG模式,记录所有的调试日志信息,在系统发布后,正式运行阶段,该组件可调整为仅记录特定认证和授权事件,以减少日志存储空间和管理难度。设计中使用两个Acegi内置的认证和授权监听器,分别是org.acegisecurity.event.authentication.LoggerListener和org.acegisecurity.event.authorization.LoggerListener。基于Log4j和两个LoggerListener构建了安全审计组件。

4 总结

电子商务网站安全模块使用了Acegi安全框架,实践表明,使用Acegi安全框架来开发安全应用是非常便利的。在Acegi实现内部,大量的最佳实践编程被应用到其中,比如采用过滤器链和AOP拦截器拦截客户请求、领域驱动设计的应用、策略架构模式、观察者模式等。从应用开发和Acegi的使用角度来考虑,开发者只需要借助Spring配置文件同Acegi相关的受管Bean,敏捷的Acegi安全框架为企业应用程序的快速、高质量开发奠定了坚实的基础。

参考文献

[1]William Stallings.密码学与网络安全:原理与实践.第四版,电子工业出版社,2006.

[2]黎小红.基于Spring框架应用的权限控制系统的研究和实现.计算机与信息应用,2006,(11):4-7.

[3]Chris Richardson.Untangling enterprise Java.ACM Queue.June2006.

[4]王晓超.Web安全架构的分析与实现.北京邮电大学硕士论文,2006.

电子商务网站设计 第2篇

一、知识

1．易趣竞拍网属于C to C 网站

2．直接为企业间提电子商务活动平台的网站称为Bto B网站

3．网桥工作在OSI参考模型中的数据链路层

4．在身份认证中，证书的发行单位是认证授权机构

5．在TCP/IP 协议集中，保证数据传输可靠性和完整性的协议是TCP

6．路由器工作在OSI参考模型中有网络层

7．电子商务网站从业务定位来讲，属于ICP和ASP

8．从并行粒度角度考虑，负载均衡系统可分为3类

9．关于电子商务网站目标的说法中，正确的是受教育水平越高，越容易成为Internet 用户

10．要同地页面显示的内容超过三屏，为了方便访问者浏览，应当采用页面内部链接

11．在网页设计过程中，向下拖动页面是增加页面尺寸的方法之一，但原则是不要让访问者拖动页面超过3屏

12．在下列网络安全备份方式中，恢复时间最短的是完全备份

13．设计网站时不常用的装饰风格是浏览性装饰风格

14．用来保证信用卡支付安全的技术是代理服务器

15．不属于网络资源客体的是通信线路

16．支付网关主要用来保护银行内部网络

17．包过滤防火墙一般安装在路由器中

18．下列操作系统中不属于网络操作系统的是Windows98

19．确定网页关键字可不考虑的因素是地方方言

20．保证电子商务完全和公正的机构CA

21．网页的可视化设计原则包括：1页面内容是每页的焦点

2、Web页面的布局要简洁、清晰

3、应当注意页面平衡

4、全局导航或局部导航所占空间应当大一些

22．Web从Web服务器方面和浏览器方面受到的威胁主要来自．操作系统存在安全漏洞；Web服务器的安全漏洞；服务器端脚本的安全漏洞和客户端脚本的安全漏洞

23．设计网站时，常用的装饰风格有：1．组织性装饰风格2．功能性装饰风格3．完整性装饰风格

24．WWW也称万维网，它包含HTTP协议、WWW服务器、客户机等几个方面

25．目前在网上购物常用的电子支付方式有：信用卡、银行转帐

26．防火墙的类型包括：数据包过滤、应用级网关、复合型防火墙。

27．下列各项中不属于基于网络的入侵检测系统（IDS）的特点是：依赖于主机的操作系统、实时性差

28．数字证书类型包括：服务器证书、邮件证书、CA证书。

29．建立网站时要采用一定的链接结构，可采用的基本方式有：星状链接结构、树状链接结构

30．电子商务交易的安全包括：对交易双方身份的认证、保障交易信息的保密性、保障交

易信息的完整性、防止攻击者通过网络对网站和设备的攻击。

31．电子证书包括：个人证书、服务器证书、邮件证书、CA证书。

32．载发电子商务网站时，软件选择主要指选择：操作系统、服务器程序、数据库管理系统、安全软件、开发软件。

33．活动服务器页面（ASP）应用程序的突出特点有：可以完全同HTML集成、面向对象和易于用ActiveX组件扩展、对客户端没有特别要求，只要一个浏览器就行

34．给网站定位时，网站的主题：要新颖、定位要专、要与从事的业务相关。

35．电子商务中采用的安全保障技术主要有：防火墙技术、身份认证与加密技术、HTTPS和SSL协议。

36．网站需求分析包括：业务流程分析、竞争性分析、用户分析。

37．属于数据库物理设计的内容有：定义表的索引、定义视图、定义查询。

38．常见的页面可视化设计的方法与技术有：层叠样式表、表格布局、框架布局。

39．网站系统安全备份的方式有：完全备份、增量备份、随机备份、差量备份

40．基于客户服务器模式的数据库有：DB2和Sybase。

二、分析

41．当网站服务功能和运行效率满足不了需要时，就要对网站进行维护（错）

42．网站建设总体上可划分为两个阶段：网站设计和网站开发。(对)

43．目前支持SQL—Server运行有网络系统是Wnidows NT（对）

44．当前使用的IP地址由8个字节组成。每个IP地址包含两部分：网络系统号和主机号。(错)

45．在建立网站的目录结构时，最好的做法是按栏目内容建立子目录（对）

46．建立一个完整的电子商务网站，必须组建一个与Internet 相连接的内部网络。(对)

47．页面主体应当放在页面中央（错）

48．HTML与XML的主要区别是：前者着重描述Web页面的内容，后者着重描述Web页面的显示格式。(错)

49．入网访问控制是防止非法访问的第一道防线（对）

50．网站接入Internet的方式包括：拔号、专线、有线电视接入、虚拟主机和主机托管等方式。(对)

51．与电子现金相比，信用卡支付的优点是允许透支（对）

52．企业建立电子商务网站通常有两个目的：其一是信息发布及塑造企业形象，其二是从事商务活动。(对)

53．一个完备的入侵监测系统一定是基于主机和基于网络两种方式兼备的（对）

54．研究网站链接结构的目的在于用最好的链接使得浏览最有效率。(错)

55．一个企业欲建设一个具有独特性的和有竞争力的电子商务网站，应当用不同的组件和部分构建自己的系统（对）

56．目前常见的数据库产品基本上可分为两种：基于文件操作模式的和基于客户/服务器模式的。(对)

57．可视化设计最重要的是设计装饰风格（错）

58．电子商务系统的安全包括网络安全、交易安全和系统安全。(对)

59．ICP是基础网络运营商（错）

60．电子商务网站的升级包含三种形式：后台升级、用户界面升级以及全面升级。(对)

61．什么是拍卖网站：拍卖网站不是经营产品，而是以拍卖的形式为网上客户提供相互交易的场所。

62．单证也称商贸单证，它是指所有商贸文件、票据、凭证和许可证的总称。

63．什么是应用服务提供商：应用服务提供商是以提供各种应用软件以及相关服务为主的运营商。

64．所谓页面平衡是以页面中心为支点，页面的上、下、左、右在份量上应当给人经匀称的感觉，不会使人感觉到页面的某些地方特别拥挤，而有的地方又特别空旷。

65．什么是虚拟主机：虚拟主机是指通过使用特殊的软件硬件技术，把一台计算机主机分成一若干台“虚拟”的主机，每个虚拟主机都有独立的域名和IP地址，具有完整的Internet服务器功能。

66．访问控制是通过一组机制来控制不同级别主体，对受保护的网络资源客体的不同级别的授权访问。

67．什么是访问控制：访问控制是通过一组机制来控制不同级别主体，对受保护的网络资源客体的不同级别的授权访问。

68．支付网关位于Internet和银行专网之间，将不安全的Internet上的交易信息传给安全的银行专网，起到隔离和保护专网的系统。

三、运用

69．在选择路由器、交换机等网络设备时应掌握的原则和应用注意的问题。

在选择路器、交换机网络等设备时

（1）应当掌握的原则是：既要注重采用先进的技术，也要考虑实际的情况，避免由于系统设备的不配套而使设备性能未能充分发挥，造成投资的浪费。

（2）应当注意的问题有：端口数目；支持协议；端口速率；背板带宽。）

70．如何从网站的功能角度对电子商务网站进行分类

从网站功能角度，可将电子商务网站公为以下五类

（1）商务信息见网站；（2）商品信息展示及交易网站；（3）拍卖网站；（4）电子商务服务网站；（5）购物比较网站。

71．电子商务应用软件中广告管理模块应具有的特点。

广告管理模块应当具有如下特点：（1）为管理用户提供方便友好的人机界面，具有多方面的管理功能。（2）方便的广告位置及尺寸设置。（3）自动统计各广告发布的时间段和时间长度。（4）提供管理员界面。（5）提供用户界面

72．电子商务网站升级内容

网站升级内容包括有硬件升级和软件升级。

硬件升级包括：（1）对网站的各种服务器的处理能力的存储容量进行升级和扩容；（2）对内部网络的升级

软件升级包括：（1）网站系统软件和支撑软件的升级；（3）网站结构的调整升级；（3）网站应用软件的改造和升级。

73．网站接入Internet的方式

（1）拨号方式；（2）专线方式；（3）有线电视网方式；（4）虚拟主机方式；（5）主机托管

方式

74．网站接入Internet的方式

（1）拨号方式；（2）专线方式；（3）有线电视网方式；（4）虚拟主机方式；（5）主机托管方式

75．根据服务器用途和功能，在选择服务器进，应当考察哪些技术指标？

（1）处理能力；（2）内存容量；（3）外存容量；（4）系统总线速度；（5）外部总线速度（6）系统可靠性和容错能力

76．根据服务器用途和功能，在选择服务器进，应当考察哪些技术指标？

（1）处理能力；（2）内存容量；（3）外存容量；（4）系统总线速度；（5）外部总线速度（6）系统可靠性和容错能力

77．在电子商务网站分析与设计中，对目标进行分析的主要内容。

（1）待售品是否定位在计算机用户；（2）是否定位在平均收入水平之上的人士；（3）是否定位在平均教育水平之上的人士；（4）面向男士还是女士购买或使用；（5）目标市场在Internet上是否易于识别和送达；（6）在做出购买决策前是否需要观察、试用或触摸；（7）待售品属于高技术还是低技术；（8）待售品是否是全球的（9）待售品是便宜还是昂贵；（11）Internet是否能降低待售品市场营销、交货和支持的成本结构；（12）目标市场的国家、地区或城市的技术环境是否优良。

78．电子商务网站设计的内容

电子商务网站设计包括以下内容：

（1）网站系统分析及设计。确定网站的建立目标；网站的需求分析；网站的内容和功能设计；网站的信息结构设计；可视化设计；后台处理功能设计。

（2）网站实现设计。网站开发中的实现设计，包括软硬件实现方案设计。网站安全设计。

（3）网站实施设计。对网站开发相关问题的考虑；如何对网站进行管理、维护和升级

79．把网站登记到搜索引擎时选择关键字的几项原则

（1）要从检索者的角度出发来设想，他们会采用什么样的关键字进行搜索。

（2）关键字必须是与网站主题和内容相关的，通常是某行业或某领域中的通用词汇。

（3）对于人们的一些习惯用语也应当考虑作为关键字。

（4）对于表述相同或相近意思的同义词或近义词也考虑作为关键字。

（5）也同进准备中、英文两套关键字。

80．电子商务网站维护的内容。

（1）维护网站的层次结构和既有的设计风格。在需要增加或删除某些页面时必须全盘考虑，不能破坏整体的良好结构。

（2）及时更新、整理网站的内容以保证网站内容的实效性，对那些时效性强、变化快的内容，必须做到定期更新，保证用户看到的内容都是及时、有效的。

（3）检查并保证链接的有效性。任何一个网站都包含有指向**站点的链接，这些链接是不断变化的必须维护链接的有效性

（4）及时对用户意见进行反馈并作相应的改进。电子商务网站的根本宗旨是为用户提供优质、高效的服务，因此必须本着全心全意为用户服务的原则，对于用户对网站的任何批评和建议要认真听取，及时回应，并采取相应的措施。

（5）随时监控网站的运行状况。网站上直接与用户打交道的是各种服务器，它们的运行善

校园电子商务网站的设计 第3篇

关键字：电子商务 电子商务网站 校园电子商务 系统设计

【分类号】TP393.092

引 言

电子商务是网络在适应这种以全球为市场的变化形式下出现和发展起来的。电子商务，Electronic Commerce，通常是指在全球各地广泛的商业贸易活动中，在因特网开放的网络环境下，基于浏览器/服务器应用方式，买卖双方不谋面地进行各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。她正在快速的改变人们的生活方式。

以下是根据CNNIC（中国互联网络信息中心）公布的中国互联网普及率及B2C电子商务发展报告来进一步分析目前的网上购物的现状

一个电子商务网站的功能是非常强大的，例如淘宝等，除了有强大的产品宣传及销售外还能对客户的购买范围及购买力进行分析，实时的为客户进行产品推荐，提供资讯服务。同时，电子商务还能实现强大的货币支付功能，除了传统的银行支付外，还根据人们的生活状况推出了各种理財服务。电子商务网站必须具备与客户之间的强大的交互功能，能及时的为客户提供服务，能支持客户购物后的产品评价及退换货功能。最后，也是最重要的就是系统的安全性保障，在整个网站设计中我们必须要对客户的个人信息要进行SSL加密，数据库加密和见面间数据传递加密及用户和密码加密。

系统设计

1 现状及可行性分析

校园电子商务从商业运作模式来看类似于一般电子商务，都是通过网络进行商品、服务或信息的交换。但与一般电子商务相比较，校园电子商务除了具有跨时空、数字化、公开、透明等一般特征外，还有其独到的特色。

1.1 优良的网络环境

高校既是知识密集的地方，也是电脑普及率最高的地方之一，大部分学校为了便利学生的学习与生活人都建有内部的局域网，校园网站可以24小时全天候开放服务，而且网络使用费用很便宜、局域网将高校内大部分部门、机构、宿舍等联结起来，以达到信息资源传输与共享、提高效率、优化组合的目的。此外，高校拥有较多的先进实验室，为学生开展电子商务模拟操作和实际操作提供了良好环境。

1.2 稳定的消费群体

大学校园里稳定的学生、教师客户群是别人无法复制的。大学生有许多共同的兴趣和消费倾向，消费商品较单一。每年万千上万学生的流动又为校园电子商务注入了新鲜血液。大学校园里的消费群体素质较高，容易接受新生事物，特别是学生年龄一般在18-25岁左右，正处在求知欲旺盛的阶段，是开展电子商务的主力军。

1.3 安全的支付体系

网络安全和支付风险是电子商务发展的两大障碍，校园网通常采用防火墙系统与互联网和外联网链接，从而保证了网络系统的安全。校园电子商务的支付系统通常采用校园“一卡通”进行小额支付，从而避免或降低了在互联网上用银行信用卡或借记卡支付出现卡号被盗的风险。

1.4 方便的物流配送

师生们居住非常集中，就在那几平方公里的校园内，使物流的配送准确、及时，成本大大降低。大多数高校在学校的大力支持和帮助下，通过贫困生勤工助学的方式解决了传统电子商务物流配送中的“最后一英里”的问题，同时也推动了校园电子商务的发展。

2 网站主体设计

2.1配送及支付方式设计

本网站主要以市内各高校为客户群，实施人、财、物流、信息流等方面的统一经营。利用网站平台进入集中管理、分散销售的特点，在各个学校设立相应的连锁货物存储网点，根据学生下单的校园地址，自动将定单下发给所在位置的网点为学生出货。充分发挥其规模效应。

货物配送采取送货上门、自取货两种方式。

支付采用货到付款、在线支付、刷卡消费（限自取货用户）三种方式。

2.2 网站功能设计

2.2.1 产品的分类查询及分类框架结构；

所有产品根据类别不同放在不同的页面，在首页通过运用框架设置好导航及超链接，利用导航框架保障用户在网站中随意溜达且不“迷路”。

.2.2.2 产品筛选及购物车功能；

网站要满足用户在繁多的同类产品中快速找到自己想要的产品的筛选功能。也要考虑到一个用户购买多件物品时已选物品的存储功能等。

2.2.3 会员注册、登录功能；

会员注册包括学生身份注册、教师身份注册、其它身份注册，设置会员账号及密码，同时为更好的保障用户的信息安全，用户注册时需进行密码高级口令及绑定手机等设置；

根据消费月累计确定会员等级。最低级享受普通服务（送货上门、货到付款等），最高级可享受诸如一月一次免费宿舍网络检修之类的待遇；

同一个用户名可以满足在一个IP地址上一个星期内免登录的功能，大大提高用户的购买效率及下单成功率。

2.2.4 订单的生成、查询、修改、处理功能；

用户选好商品后，点击提交自动生成订单，根据用户取货地址将定单派发到不同的网点。若用户未完成订单，可以提供一定的时间考虑，在这期间用户可以对生成的订单进行查询、修改等操作。同时提供部分商品无理由退单申请。

2.2.5 预约及自主取货功能

所有产品均提供预约功能，同学、老师们可以利用下课时间进行产品预约，可定时送货上门。同时也提供自主取货功能。

2.2.6 评价功能

用户根据购买商品的使用情况可对商品进行实际评价，以供其他用户参考。

结论

本文旨在对校园电子商务网站的建设研究。电子商务是一个发展潜力巨大的市场，具有诱人的发展前景。电子商务中的电子商务网站系统、电子商务网站服务器与电子商务网站购物过程，是电子商务技术的核心内容，广泛深入地研究各种电子商务购物过程，研究实现电子商务网站购物过程的应用软件和各种现代化电子支付工具具有十分重要的实际意义。开展电子商务网站建设，还要深入研究电子商务网站的安全、保密、认证等高新技术。只要用心做服务，将最新技术引进我们的商务服务中来，我们将会胜券在握！

参考文献

1、电子商务网站 百度百科

2、《网页设计与制作》

主编：伍云辉 代建华 出版 2012年2月

电子科技大学出版社

3、2014年第33次中国互联网张发展状况统计报告

电子商务网站安全问题研究 第4篇

关键词：电子商务,网站安全

0 引言

随着互联网的不断普及与发展,电子商务网站建设成为企业活动的一个重要组成部分,如何提高网站的安全,抵抗黑客非法入侵,避免企业信息泄漏是目前电子商务网站建设中的重要一环。为了确保电子商务活动的健康发展和正常进行,除了应加大对黑客和计算机犯罪的打击力度外,加强电子商务网站自身的安全防护也是非常重要的。

1 电子商务网站安全存在的问题

电子商务网站存在的安全问题是多方面的。从网站内部看,网站计算机硬件、通信设备的实物安全、操作系统、网络协议、数据库系统等技术安全,都会影响到网站的安全运行。从网站外部看,网络黑客、入侵者、计算机病毒也是危害电子商务网站安全的重要因素。电子商务网站安全存在的问题主要有以下两个方面。

1.1 网站硬件安全存在的问题

硬件系统是指企业网站赖以生存的计算机硬件设备。如果硬件设备发生故障,轻则使网站无法运行,重则使整个设备瘫痪,造成巨大的经济损失。

1.1.1 硬件使用环境存在问题

电源的稳定性会直接影响到企业的运行和安全,因此要特别注意电源持续稳定;空气湿度过高易使电子元件失灵或存储设备丢失数据;水的长时间浸泡容易使得各种绝缘层腐蚀、脱落而引发短路;进水易使主机设备烧毁;温度过高或过低都会使得系统异常。

1.1.2 硬件接触存在问题

第一,硬件实物隔离存在风险,没有专门的企业网站室;有的企业没有网站硬件接触限制制度或者有制度但执行不力,造成企业网站硬件接触混乱。

1.2 网站系统运行面临的安全隐患

网络安全是一环扣一环,网站、服务器、Internet都是其中的一环,它们相互影响,如果网站含有木马程序,不仅会危及到网站本身,还会危及网站服务器;服务器上安全配置出现漏洞,附属在服务器上的网站也不能自保;网站和服务器都没问题,黑客使用DdoS入侵,让Internet带宽消耗殆尽,网站就无法向外提供服务。

1.2.1 破解网站登录口令

现在的网站都是使用动态语言编写的,如ASP、PHP等,无论使用哪种动态语言编写网站,都有可能存在这样那样的漏洞。破解网站登录口令方法很多,主要有以下三种。

(1)源代码分析。源代码分析破解口令的方法有两种情况,第一种是将登录用户和密码直接存储在源代码中,入侵者访问页面完整源代码,就可以找到用户名和密码;第二种是将用户名和密码存储在数据库中,然后与客户端浏览器中输入的内容进行比较。如果客户端输入的信息在数据库中找到符合条件的记录存在,就会允许本次登录成功地进入下个页面。

(2)使用软件破解。现在有很多专门针对网站登录进行破解的软件,如Webcracker、AccessDiver(简称AD)等。

(3)使用注入破解。对数据库文件进行注入是常见的入侵方法,由于数据库文件中基本上都存储了网站管理员用户名和密码,所以,一旦注入成功后,登录口令破解将不成问题。

1.2.2 网站植入木马入侵

很多人使用“一句话木马”进行网站入侵。“一句话木马”分为服务端和客户端:服务端就是入侵者用来插入到asp文件中的语句(不仅仅是以asp为后缀的数据库文件),该语句将会触发接受入侵者通过客户端提交的数据,执行并完成相应操作;客户端是指一个网页文件,用来向服务端提交控制数据,提交的数据通过服务端构成完整的asp功能语句并执行,也就生成需要的asp木马文件,进而取得服务器的Webshell了。

1.2.3 网站漏洞入侵

ShopEx是网络购物软件与技术服务全面提供商,提供了从购物软件到相应配套服务以及深层次的电子商务技术服务。在ShopEx网站程序中,“/shop/npsout_reply.php”这个文件有一个严重漏洞存在,即“'npsout_root_path'”参数缺少过滤符,用户可以指定远程服务器上的任意文件作为包含对象,进而导致能够以WEB权限执行任意PHP代码,入侵者通过批量入侵策略,找到漏洞网站,上传PHP木马,进行网站入侵。

1.2.4 网站数据库入侵

数据库的安全对于服务器来说非常重要,通过注入SQL数据库就可以得到服务器的控制权限,得到管理员用户名和密码等重要信息。数据库的后缀名一般为MDB,入侵者在入侵网站时先用站点探测器查找整个网站是否存在MDB文件,如果有并可以下载,那么入侵成功就有很大可能性。

(1)利用500错误入侵。在访问网站时,制造500错误,在桌面上右键单击“Internet Explorer”图标,弹出菜单选“属性”,在打开窗口切换到“高级”选项卡,清空其中“显示友好HTTP错误信息”项的勾选状态,单击“确定”按钮应用设置并关闭IE浏览器,再次打开IE浏览器并访问错误网页,利用显示的提示信息找到网站的数据库文件名和路径,然后进行数据库文件的下载,再打开数据库文件获得管理员用户名和密码。

(2)利用关键字下载数据库。如果网站的数据库文件名未作任何修改,只要能够知道数据库路径,入侵人员就可以直接使用IE的下载功能将其下载到本地进行破解。搜索关键词“转到父目录”找的任意一个具有相应设计漏洞的网站,如果看到“DataBase”这个目录,通常这个目录会用于存储数据库文件,然后将所需数据库下载到本地。

(3)使用NBSI入侵。在网络中有大量针对数据库文件进行探测的工具,通过它们可以快速地在网站的大量文件中找到需要的数据库文件路径。

1.2.5 网站服务器入侵

服务器就是提供各种服务的计算机,作为网站服务的运行平台,针对服务器的攻击层次要深过网站的攻击,如果取得服务器的控制权,那么其中的大量网站也就随之被入侵了。服务器在网络安全方面的薄弱点在于提供的服务越多,防护体系就越难做到完善。

(1) CC攻击。CC (Challenge Collapsar)攻击对于中小型企业服务器效果显著,从单台计算机利用大量的代理服务器资源,向服务器的网站发起强大的连续攻击,通过进行数据库的大量访问,给服务器的CPU和内存资源的耗用带来沉重的负担,进而达到网站拒绝响应。如果配置得当,可以在很短时间内让一个网站无法访问,进而使得服务器的资源也受到较大的影响。

(2) DdoS攻击。DdoS(Distributed Denial of Service,分布式拒绝访问)攻击可以让一个大型服务器群很快出现访问故障。DdoS攻击主要通过很多“僵尸主机”向受害主机发送大量看似合法的网络包,攻击网络包涌向受害主机,把合法用户的网络包淹没,造成网络阻塞或服务器资源耗尽进而导致拒绝访问。

(3)服务器漏洞攻击。攻击者先使用扫描工具对目标计算机进行漏洞扫描,然后再使用相应的漏洞工具进行攻击。“冲击波”和微软MS08-067漏洞攻击就是典型的例子。一旦攻击成功,攻击者不但可以远程控制用户电脑,还可以盗取用户机密文件、网银账号密码等,进而导致用户程序崩溃和系统崩溃。

2 加强电子商务网站安全对策

2.1 加强网站硬件系统的管理

2.1.1 加强硬件使用环境的防护

为了让网络会计信息系统的硬件安全运行,可以采用以下措施:1)保证机房的温度、湿度达到相关标准;2)设备间应采用UPS不间断电源,防止停电造成网络通信中断;3)防辐射和电磁波干扰,安装加密卡或完成部分固化的软件保密算法;4)将重要数据采用远程备份。

2.1.2 加强硬件接触制度防范

(1)建立专门的企业网站机房,加强网站机房安全保卫工作;

(2)网站机房全天都应安排管理员值班,对进入机房的人员进行登记,防止非机房人员随便进入机房;

(3)网站机房必须安装报警系统,并有相应的补救措施和应急机制,能在发生事故时迅速恢复系统。

2.2 加强安全技术系统防护

2.2.1 防火墙技术

防火墙在内部网与外部网之间构造保护屏障,所有的内部网和外部网之间的连接都必须经过此保护层,并由它进行检查和连接。只有被授权的通信才能通过防火墙,从而使内部网络与外部网络在一定意义下隔离,防止非法入侵、非法使用系统资源、执行安全管制措施。

2.2.2 入侵检测系统

入侵检测系统能够监视和跟踪系统、事件、安全记录和系统日志,以及网络中的数据包,识别出任何不希望有的活动,在入侵者对系统发生危害前,检测到入侵攻击,并利用报警与防护系统进行报警、阻断等响应。入侵检测一般有特征检测和异常检测两种检测方法。

2.2.3 网络漏洞扫描

网络漏洞扫描器是一个漏洞和风险评估工具,用于发现、发掘和报告安全隐患和可能被黑客利用的网络安全漏洞。网络漏洞扫描器分为内部扫描和外部扫描两种工作方式。

2.2.4 加强网站登录口令技术防范

首先进行强密码设置。弱密码设置会使入侵者易于破解而得以访问计算机和网络,而强密码则难以破解,即使是密码破解软件也难以在短时间内办到。其次,为了防范入侵者绕过密码验证,在程序中增加过滤输入的单引号,这样,在输入含单引号的密码时,这些代码就会返回给入侵者“不能输入带有’的字符”这样的对话框。最后,不要将登录用户名和密码直接储存在源代码中。

2.2.5“一句话木马”技术防范

可以从两方面进行:一是隐藏网站的数据库,不让攻击者知道数据库文件的链接地址,这就需要管理员在网页程序中查被暴库漏洞,在数据库连接文件中加入容错代码等。二是要防止用户提交的数据未过滤漏洞,通过对用户提交的数据过滤,替换一些危险的代码。

2.2.6 网站数据库技术防范

(1)本机数据库安全防范。如果能够控制服务器,打开“Internet信息服务(IIS)管理器”菜单,在打开的对话框中右键单击数据库文件(db.mdb),在弹出的菜单中选择“属性”,在弹出对话框中,勾选“重定向到URL”项,并在“重定向”栏中输入当前的网址(或任意网址),这样就不会执行db.mdb这个数据库文件的下载。

(2)购买空间的安全防范。就是将数据库文件上传的购买空间,不把数据库放在可以直接访问的Web目录之内,而把数据库放在Web目录之外,可以说是比较保险的一种方法。

2.2.7 服务器安全配置

为防止服务器发生意外或受到意外攻击而导致大量重要的数据丢失,服务器一般都采用许多重要的安全保护技术来确保其安全,可以从以下几个方面入手。

(1)安装补丁。服务器安装好以后,第一件事就是打补丁,并且以后每天检测是否有新的补丁下载。

(2)安装杀毒软件。安装杀毒软件是最好的病毒防和清理措施,它可以让计算机避免很多问题的产生。特别要注意的是杀毒软件要在无毒的环境中安装,安装完毕后,及时进行病毒库的更新,定期访问杀毒软件网站了解最新的病毒报告,对新病毒及时采取防护措施。

(3)权限设制。权限有两种:一种是NTFS(安全)权限,另一种是共享权限。对于数据库来讲,“安全”权限非常重要,优秀的权限设置可以极大地增强服务器的安全性能。为了保证数据安全必须将所有分区都使用NTFS文件系统,这样才能使用相应的NTFS权限,进而实现各种安全特性。

(4)删除LAN设置。如果服务器只面向Internet,那么,就应该删除局域网方面的所有设置,这样可以减小一部分风险。

3 结语

随着互联网的不断普及与发展,企业电子商务网站得到越来越快的发展,网站在给企业带来巨大经济利益的同时,也面临着诸多安全隐患。分析电子商务网站存在哪些安全隐患,研究采用哪些措施加强网站的安全防护,是网站工作人员始终要面临的问题,也是信息技术研究人员研究的方向之一。

参考文献

[1]田俊华.网络信息系统安全策略[J].西安工程科技学院学报,2003(4):330-333.

[2]刘泽敏.浅谈网络信息安全[J].赤峰学院学报(自然科学版),2009,25(3):139-140.

[3]张东生.计算机网络安全技术与防范策略探析[J].电脑编程技巧与维护,2011(2):103-105.

电子商务网站设计论文 第5篇

电子商务网站设计论文【1】

摘要:企业在因特网上建立自己的网站和主页,让众多的上网者了解企业的有关情况,起到宣传自己,提高影响力的目的。

建立网站的方式,主要有虚拟主机和宽带接入两种方式。

虚拟主机是在指已有的大型综合网站上租用一块空间放置企业自己的主页,适用于要求不高的企业。

关键词:电子商务网站设计

一、电子商务网站系统分析与设计

电子商务网站既要处理企业对企业之间、企业同消费者之间大量复杂而零散的数据和信息,又要保证数据和信息传输的安全性,因此与普通的网站相比在数据处理和传输方面要求更高,流程也更加复杂。

因此,我们必须要使系统满足以下原则:

(1)系统的可靠性:系统的数据对企业是至关重要的,在任何情况下保证数据的完整性、正确性和可恢复性是网站设计的前提;

(2)系统的安全性:网络给我们带来便利的同时也带给我们更多的烦恼,黑客和病毒的侵袭随时会对系统产生致命的破坏,因此网站设计时必须采取足够的措施,保证系统的安全;

(3)系统的经济性与可扩展性:高性价比是一个网站的重要指标,设计网站时要处理好系统的整体优化与重复建设的矛盾,保证系统的可扩展性。

随着信息量的增加和应用功能的扩充,系统的软硬件也必须逐步扩展,要确保系统对升级换代的适应能力;

(4)系统的开放性:电子商务网站只是企业整个商务体系中的一部分,它可能是企业的第一个系统,但决不应该是最后的一个。

因此,它必须设计成支持开放性、符合相关技术标准的系统,使其能与原有系统协调工作,并与将来新建系统相互兼容;个性化是目前电子商务软件开发的焦点。

雅虎让用户自己设定个人首页。

亚马逊网站可以向购买同一本书的客户推荐别人同时还购买了其它什么样的书籍。

戴尔网站使用成熟的分析软件,通过不同渠道收集的数据来预测客户行为和偏好。

一家网上销售自行车的网站使用相应的软件给相似的用户来提供建议,推荐符合个人口味的自行车。

研究表明,具有个性化服务的网站比没有此项功能的网站可以更有效地增加销售额。

目前对商家来说最大的挑战是如何决定个性化的内容。

满足了上面的这些原则,就要具体来设计它了,对于网页的设计我想大家应该是比较熟悉了,但是电子商务网站设计起来可不是那么的简单,我们现在来看看它的设计步骤和设计原则:

(1)确定网站的主题和风格:这个几乎是所有在制作网站前都必须要做的事情。

网站主页的风格是浏览者对整个网站的普遍的感觉,是主页的版式、色调及图文组合的高度抽象。

而网站的创意则是在设计之前对内容的选择和表现形式运用的思考,力求个性的发挥,可以反映出制作者的水平。

(2)网站功能模块的规划:一个网站设计得成功与否,很大程度上决定于设计者的规划水平,规划网站就像设计师设计大楼一样,图纸设计好了,才能建成一座漂亮的楼房。

网站规划包含的内容很多,如网站的结构、栏目的设置、网站的风格、颜色搭配、版面布局、文字图片的运用等,你只有在制作网页之前把这些方面都考虑到了,才能在制作时驾轻就熟,胸有成竹。

也只有如此制作出来的网页才能有个性、有特色,具有吸引力。

(3)制作软件的选取:现在用的比较多的就是网页三剑客了,这套软件用起来还是非常的方便的,分别是Dreamweaver、Flash和Fire-works,当然他们的版本都是8.0的,制作的过程可能还会用到其他的一些辅助软件,如Photoshop等。

二、电子商务网站设计中需要注意的问题

1、交易的信用问题。

当前,从事电子商务的网站很多,淘宝、易趣等等。

各个电子商务交易平台均有自己的信用体制,无非就是:中介模式、网站模式、担保模式和委托模式。

以淘宝和易趣为例,如果使用现金通过邮局汇款或者使用银行转帐的方式进行交易,因为交易都是先款后货,所以极有可能商品到手后感觉与网站上描述的多少有区别,更多的时被骗的感觉。

这也是电子商务步履蹒跚发展缓慢的主要原因之一。

如何更好的确保交易双方满意交易逐渐成为人们关注的问题。

以淘宝和易趣为例,淘宝网可以使用支付宝进行交易,易趣可以使用安付通交易。

交易时,货款先支付在支付宝或安付通,收货满意后才从支付宝或安付通付钱给卖家,不必跑邮局、银行汇款以及网上在线支付,方便简单,极大程度上提高了交易双方的信用问题,应该可以保证双方的交易。

但是,假如你买30元的物品,邮资15元,货到后发现破损或者其它问题不满意,以致退换,邮资又15,恐怕加起所有的钱可以在本地买到新的商品了,不是一手钱一手货就没有了交易的感觉。

其实,除了使用类似支付宝、安付通等来提高交易双方的信用问题以外,仍然需要交易双方都能保持一个平和、宽容的心态来对待交易。

2、交易的安全问题。

短信陷阱、短信诈骗、假银行、后门程序、黑客木马、注入漏洞等不良影响的出现,严重影响了交易的安全性。

在淘宝、易趣网站上经过很简单的查询,你会发现有很多的商品(新)比现在的商场或网上报价低几成,其发布的网站也煞有其事,查询ip地址所在地:福建泉州居多。

这不得不使人联想到短信诈骗和网上诈骗的案件。

如果使用邮局汇款怕早晚石沉大海,而假银行的出现、黑客木马也使得银行转帐极有可能落得双手空空。

而电子商务网站的目的只有一个,就是盈利、盈利还是盈利,只要完成交易就可从中“渔利”,往往忽视了对卖买双方信息真实性的核实。

虽然,支付宝和安付通在极大程度上能够提高交易双方的信用,提高交易的安全性,但针对交易双方提供的信息的真实性以及交易的满意程度还缺乏一整套科学、规范、成熟的监管机制,因此而产生的经济纠纷可想而知会多么漫长。

三、网站风格和创意设计

网站的整体风格及其创意设计是人们最希望掌握,也是最难以掌握的。

其难点在于没有一个固定的模式可以参照和模仿。

如果要设计和普通网站有区别的站点,则必须要研究网站的整体风格及其创意设计。

风格(Style)是抽象的,是指站点的整体形象给浏览者的综合感受;风格是独特的,是一个站点不同于其他网站的地方,或者色彩、或者技术、或者交互性;风格是有人性的,通过网站的外表、内容、文字和交流,可以概括一个网站的个性,情绪。

设计网站的整体风格可以采用下列做法:将你的标志Logo尽可能出现在每个页面上;突出你的标准色彩;突出你的标准字体;使用明朗上口的宣传标语;创建一个站点的特有的`符号或图标等。

创意(Idea)是网站生存的关键,作为网站设计人员,一定要有好的创意来源。

创意是传达信息的一种特别方式,它是思考的结果,也是现有要素的重新组合。

比如,IP电话、在线书店、电子社区、在线拍卖等。

参考文献:

[1]陆永祯、孙云龙.用ASP和SQL Server 实现网站管理[J].鞍山钢铁学院学报,,25(3):197-199.

[2]Schneider RD著,李小译.规划与建立高性能的SQL Server数据库[M].北京机械工业出版社,.

[3]成先海.数据库基础与应用SQL Server 2000[M].北京机械工业出版社,.

电子商务网站的规划与设计【2】

[摘要] 电子商务网站是企业开展电子商务活动的重要平台，本文阐述了电子商务网站应规划内容，网站的设计原则、和应该具有的主要功能模块。

[关键词] 电子商务 网站规划内容 设计原则 功能模块

电子商务就是利用先进的电子技术进行商务活动的总称。

它是通过网络、使用先进的信息处理工具，利用计算机这种载体，将买卖双方的商务信息、产品信息、销售信息、服务信息以及电子支付等活动，用相互认同的交易标准来实现。

进行电子商务活动的平台是电子商务网站。

电子商务网站在企业的电子商务体系中有着重要的作用，网站内容规划是否合理、设计的好坏、推广的成败，直接关系企业实施电子商务能否成功。

一、电子商务网站规划的内容

电子商务网站视觉设计的策略 第6篇

6条策略。

关键词：电子商务；视觉设计；策略

1 电子商务网站视觉设计的作用

注意力经济（The Economy of Attention）这一概念是由美国人Michael H.Goldhaber在1997年发表的《注意力购买者》一文中首先提出的。他认为，在当今社会，信息非但不是稀缺资源，相反是过剩的，而相对于过剩的信息，人们的注意力才是非常稀缺的。商品只有被消费者注意到，才有可能被购买，对于电子商务这种营销模式而言，要想让自己的商品在浩如烟海的商品中被消费者所注意或购买，都离不开电子商务网站的视觉设计。可以说，在电子商务竞争逐渐激烈的情况下，网站视觉设计的作用是十分巨大的。有人甚至说对于电商而言：视觉就是销量。这种说法虽然有点绝对，但是没有好的视觉设计，肯定是会影响消费者对商品的注意，从而影响销量的。

2 电子商务贸易模式与传统购物方式比较

网上购物和实体购物都是产生在商家和消费者之间的商品（或服务）的贸易行为，二者既有共性又有各自的优势和劣势。实体店购物的主要优点是可以亲临现场，直接面对商家和商品，在决定购买前，商品是看得见且摸得着的，并且可以将商品的所有细节都了解得比较清晰、完整，并且还可以就一些自己不太确定的相关问题和商家面对面沟通，做到心中比较有把握。而网络购物面对的只是商品的图片和文字介绍，商家也不可能将商品的每个细节都展示出来，而商品图片的色彩又受到拍摄所用的器材、环境、用户所用的显示器不同等因素的影响，所以，消费者最后看到的商品色彩会和实物有所差别，同一款商品不同的消费者也可能会有所不同；其次，由于页面的限制，用来描述商品的文字不可能非常详细和全面，另外，文字描述（例如服装的大小尺寸）有时也会有一些与实际不是特别吻合的情况发生。所以，网购下订单时，消费者心里多少会有一些忐忑不安，不知道买到的东西和自己想象中的是否完全一样。不过，网络购物也有许多较之传统实体店购物所不具备的优点，比如随时随地、足不出户、节省时间、明码标价，甚至可以边购物边听音乐、网上聊天等等，这些特性尤其对年轻人特别有吸引力。

3 电子商务网站视觉设计的策略

通过上面的分析，我们知道网购虽然有许多的优点，但是也存在许多自身难以克服的缺点和不足，面对这些缺点和不足，应该积极从各个方面去弥补这些不足，以增强电商的竞争力，比如，一贯坚持商品的好品质、合理的价格、周到完善的服务、有效的宣传等等。除此之外，还可以从电子商务网站视觉设计本身入手，想方设法赢得消费者的青睐和信任，顺利完成从浏览到支付的转化。具体来说，我认为至少可以从以下几个方面去做：

3.1 热情友善——让消费者感到自己被重视与尊重

美国汽车推销大五乔伊·吉拉德曾说过：“顾客不仅来买商品，而且还买态度、买感情”。[1]按照美国心理学家亚伯拉罕·马斯洛的观点，人类需求像阶梯一样从低到高按层次分为五种，分别是：生理需求、安全需求、社交需求、尊重需求和自我实现需求。尊重需求是属于人类需求中较高层次的心理需求。在商业贸易领域中，无论是实体店还是网店，应该让消费者一进入店中，马上感受到顾客至上、热情友善的氛围。在实体店购物，有经验的售货员总是会热情主动、面带微笑地送上礼貌的问侯：“您好！请问您想买点什么？”，“阿姨，我看你逛得很累了，要不先在我这里休息一会吧，买不买东西不要紧的。”这些礼貌的语言和热情的行为，会很快让消费者对店铺产生好感、拉近销售人员和消费者之间的距离。网络购物形式虽然不能像实体店铺一样在门口站着一个人热情礼貌地问候消费者，但是依然可以在店铺的视觉设计上让消费者感受到店家的热情和尊重。比如，在店铺上方的店招设计上，要让消费者感受到一种亲和力，加上诸如“您好！欢迎光临×××的店铺”“我是×××客服，有什么问题尽管问我，我会竭诚为您服务！”“希望你购物愉快！”“于千万人之中，我们能相遇，这是一种缘分”等等。其次，对消费者的尊重应体现于每个页面和细节，而不仅仅在首页装装样子，比如，在宝贝详情面的设计中，也要处处为消费者着想，尽力把消费者关心的问题都通过视觉的形式表达出来。最后，其实一个条理清晰、美观实用的店铺设计本身，就是对消费者的一种尊重。网络上不乏这样的店铺，设计简陋随便、内容堆砌，还在显眼的位置写上诸如“本店本小利薄，不接受任何形式的议价、包邮！”“喜欢差评的请绕道！”“喜欢议价的MM请慎入”等让人反感的文字，这种做法无异于将顾客往外赶，消费者自然会对这类店铺敬而远之了。

3.2 导向清晰——让消费者快速找到自己想要的信息

相信不少网购者都有这样的经历：通过搜索页发现了一个自己感兴趣的商品，可是当点击琏接进到该商品的网店，想全面、详细地了解一下该店铺的商品的时候，发现网店结构和布局十分混乱，网购者进去后找不着北，只好赶快逃了出来。造成这种现象的主要原因是网站页面结构安排不合理、导向不清晰。有的电子商务网站售卖的商品数量庞大，种类繁多，更要注意这一点，在做网站规划的时候，就要设计好网站的布局和商品分类，做到简洁清晰、一目了然，能让消费者快速找到自己想要的信息。另外，在商品详情页或二、三级子页面中，也要做好导航设计，不能让消费者进入子页面后，必须要回到页面顶部或者多次返回才能回到商品分类页面，这样会让消费者感到疲惫或者失去耐心，造成流量的跳失。为了避免这种情况，可以在页面顶部、侧面或页面底部都要设计好回到主页面的导航栏。如果页面信息量多、页面较长，设计成浮动形式的导航栏也是不错的选择。

3.3 简便快捷——为消费者提供方便快捷的网购体验

要想让消费者感受到简便快捷的购物体验，首先要有一个设计合理、简洁明快的网站结构，这有利于消费者轻松找到自己想要了解的信息；其次，对网站所使用的图片和文字也要符合电子商务网站设计的要求。主要有以下三个方面：第一，网站所使用的图片文件不能太大。我们知道，图片的大小和图片的尺寸和精度有关，尺寸越大、精度越高的图片越清晰，但是占用的空间也越大，反之，尺寸越小、精度越低的图片越不清晰，但是占用的空间也越小。网络购物的形式，因为是通过浏览器加载、通过网络传输这些图片信息的，而网络传输的速度又受到网速和带宽的影响，虽然现在的网速和带宽相比以前有了很大幅度的提升，但是过大的图片依然不利于网络传输。尺寸大而精度高的图片，会严重影响网页加载的速度，漫长的等待会让消费者失去耐心，造成潜在顾客的流失。但是，也不能光顾及图片传输的速度，而忽略了图片的质量。因为，精度过低的图片，图片的清晰度会大大下降，商品的品质得不到很好的体现，甚至会在消费者心中造成品质低劣的印象。所以，在电子商务网站的图片处理时，要在图片质量和图片大小之间找到一个平衡点。第二，控制尺寸大的图片的数量。一般来说，可以在首页的视觉中心的位置放置重要信息或重点推荐的商品大图。但是要严格控制大图的数量，不光有利于网页加载的速度，其实也有利用增强页面的面积对比和变化。第三，少用图形化文字。能够用纯文本的地方就用纯文本，而图形化的文字也会增加网页的负荷。

3.4 严谨专业——让消费者对商品和服务产生信任感

阿里巴巴集团董事局主席马云在淘宝十周年的卸任演讲上曾反复提到“信任”这个词，他特别指出：阿里巴巴本来是没有可能成功的，因为员工、买家与卖家的信任，让阿里巴巴成为了第一大电商平台。对于电商，马去也表示：互联网上做生意，必须要信任，电子商务最终要的，就是信任。[1]商派（Shopex）董事长兼CEO李钟伟也曾说过：“信任消费将成为商业未来的主导”。电商只有建立了信任，才能不断获得新的消费者及重复购买。当然，很多因素会影响到消费者对电商的信任，如商品的质量、服务、口碑等，由于消费者是通过网页来获取对商品（或服务）的信息的，所以，最终消费者对于电商信任感的建立离不开视觉接受这一前提。网页设计师必须通过精心的页面设计，让消费者感觉到自己访问的是一个对自己产品十分严谨而专业的商家，从而对商家的产品产生信任感。有很多视觉设计的方法能帮助在消费者心中建立信任感：如添加正式规范的品牌徽标、美观的图文版式、清晰明了的商品细节、客观真实的商品介绍、专业的商品结构、功能、使用等方面的图解等等。另外，一定要注意，不要用一些看不清、粗制滥造、制作随便的图片，这样会让消费者觉得该商家是一个外行或新手，当然也就不会购买商品了。总之，记住信任来自正规，规范、精致、充满美感的设计，总是能给消费者带去极具品质感的感觉，对于网页视觉设计而言，这是让消费者产生依任的关键。

3.5 轻松愉悦——让消费者提供愉悦的精神体验

大型商业卖场和实体店铺总是会通过漂亮的店铺装修、灯光、装饰品等手段来营造舒适的购物环境，网店的“装修”其实有相同的作用和要求。谁也不愿意在一个过于严肃和压抑的环境里作长时间的停留。对于网店而言，要想让消费者感到轻松愉悦，可以从色彩、图形及版式设计、小图标、适当的交互等方面入手。特别是色彩的设计，一定要注意搭配组合的效果，应该让人感到舒适明快，过多的深色或过于强烈的大面积色彩对比，则会让人产生压抑或疲劳的感觉。除此之外，也可以配上轻松动听的背景音乐。

3.6 信息量适度——避免消费者产生疲劳和厌烦情绪

有的商家认为，消费者好不容易进到网店了，所以应该尽可能地把有关店铺和商品的大量信息都展现出来，好让消费者更多地了解自己的商品和服务。可是，这样做可能适得其反。因为，网页每个页面的空间有限的，它所承载的信息量也是有限的。可多的信息堆砌，会让置身其中的人无所适从，事实上，一个人也不可能在短时间内记住那么大量的信息。所以，在电商网页设计中，要注意页面信息量要适度，避免消费者产生疲劳甚至厌烦的情绪。

参考文献：

[1]恒盛杰电商资讯.电商视觉营销11条商规[M].北京：机械工业出版社，2016：106，24.

[2]王晖.网页设计那些事儿[M].北京：人民邮电出版社，2015.

[3]张洋，杨峰，文庭孝.电子商务网站设计研究[J].高校图书馆工作，2005，25（3）：14-17.

电子商务网站安全控制技术探索 第7篇

一、电子商务网站安全的重要性

电子商务是以互联网为活动平台的电子交易, 它是继电子贸易 (EDI) 之后的新一代电子数据交换形式。计算机网络的发展与普及, 直接带动电子商务的发展。因此计算机网络安全的要求更高, 涉及面更广, 不但要求防治病毒, 还要提高系统抵抗外来非法黑客入侵的能力, 还要提高对远程数据传输的保密性, 避免在传输途中遭受非法窃取, 以保证系统本身安全性, 如服务器自身稳定性, 增强自身抵抗能力, 杜绝一切可能让黑客入侵的渠道等等。

二、电子商务网站的安全控制技术研究

(一) 保障系统安全。在电子商务中, 网络安全一般包括以下两个方面:

1. 信息保密的安全。

交易中的商务信息均有保密的要求。如信用卡的帐号和用户名被人知悉, 就可能被盗用, 订货和付款的信息被竞争对手获悉, 就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。

2. 交易者身份的安全。

网上交易的双方很可能素昧平生, 相隔千里。要使交易成功, 首先要能确认对方的身份, 对商家要考虑客户端不能是骗子, 而客户也会考虑网上的商店是否是黑店。因此能方便而可靠地确认对方身份是交易的前提。

对于一个企业来说, 信息的安全尤为重要, 这种安全首先取决于系统的安全。系统安全主要包括网络系统、操作系统和应用系统三个层次。系统安全采用的技术和手段有冗余技术、网络隔离技术、访问控制技术、身份鉴别技术、加密技术、监控审计技术、安全评估技术等。

(1) 网络系统。网络系统安全是网络的开放性、无边界性、自由性造成, 安全解决的关键是把被保护的网络从开放、无边界、自由的环境中独立出来, 使网络成为可控制、管理的内部系统, 由于网络系统是应用系统的基础, 网络安全便成为首要问题。解决网络安全主要方式有:网络冗余、系统隔离、访问控制、身份鉴别、安全监测

(2) 操作系统。操作系统是管理计算机资源的核心系统, 负责信息发送、管理设备存储空间和各种系统资源的调度, 它作为应用系统的软件平台具有通用性和易用性, 操作系统安全性直接关系到应用系统的安全, 操作系统安全分为应用安全和安全漏洞扫描。

(3) 应用系统。办公系统文件 (邮件) 的安全存储:利用加密手段, 配合相应的身份鉴别和密钥保护机制 (IC卡、PCMCIA安全PC卡等) , 使得存储于本机和网络服务器上的个人和单位重要文件处于安全存储的状态, 使得他人即使通过各种手段非法获取相关文件或存储介质 (硬盘等) , 也无法获得相关文件的内容。

文件 (邮件) 的安全传送:对通过网络 (远程或近程) 传送给他人的文件进行安全处理 (加密、签名、完整性鉴别等) , 使得被传送的文件只有指定的收件者通过相应的安全鉴别机制 (IC卡、PCMCIA PC卡) 才能解密并阅读, 杜绝了文件在传送或到达对方的存储过程中被截获、篡改等, 主要用于信息网中的报表传送、公文下发等。

业务系统的安全:主要面向业务管理和信息服务的安全需求。对通用信息服务系统 (电子邮件系统、WEB信息服务系统、FTP服务系统等) 采用基于应用开发安全软件, 如安全邮件系统、WEB页面保护等;对业务信息可以配合管理系统采取对信息内容的审计稽查, 防止外部非法信息侵入和内部敏感信息泄漏。

(二) 数据安全。

数据安全牵涉到数据库的安全和数据本身安全, 针对两者应有相应的安全措施。数据库安全大中型企业一般采用具有一定安全级别的SYBASE或ORACLE大型分布式数据库, 基于数据库的重要性, 应在此基础上开发一些安全措施, 增加相应控件, 对数据库分级管理并提供可靠的故障恢复机制, 实现数据库的访问、存取、加密控制。具体实现方法有安全数据库系统、数据库保密系统、数据库扫描系统等。

数据安全指存储在数据库数据本身的安全, 相应的保护措施有安装反病毒软件, 建立可靠的数据备份与恢复系统, 某些重要数据甚至可以采取加密保护。

(三) 网络交易平台的安全。

网上交易安全位于系统安全风险之上, 在数据安全风险之下。只有提供一定的安全保证, 在线交易的网民才会具有安全感, 电子商务网站才会具有发展的空间。

三、小结

电子商务的基础平台是互联网, 电子商务发展的核心和关键问题就是交易的安全性。由于Internet本身的开放性, 使网上交易面临了种种危险, 因此加强电子商务网站安全控制十分必要。

参考文献

[1]高冲.企业电子商务网站的安全策略[J].科技传播.2012, 03.

[2]党安静.论企业电子商务网站的安全控制[J].科技信息.2008 (09) .

[3]刘建兰, 黄云.胡淑红, 论企业电子商务网站的安全控制[J].企业经济.2006 (10) .

电子商务网站与安全性分析 第8篇

1 电子商务网站

电子商务是基于因特网的发展, 通过使用数字化地电子技术手段而进行商品的交易的一种商业活动。要实现电子商务, 首先就要建立电子商务网站。目前, 电子商务的网站需要有买方和卖方的在线交流、在线下单以及网银支付等商务活动并通过因特网来进行这些活动数据的传输。它可以为客户提供产品介绍、商品交易、商品形象展示等多种页面信息, 这些信息的传播无可避免的要运用到涵盖范围最广的互联网, 但是因为互联网是一个公开度高且存在安全漏洞的网络, 通过其传输的数据和资料很有可能遭到内外部的攻击和篡改, 因此, 如何保障电子商务过程中网站传输数据和信息的安全性和保密性, 如何保证交易数据和信息的可用性和完整性以及交易的不可否认性是电子商务行业需要长期进行的挑战。

2 电子商务网站的安全因素

电子商务网站的安全体系由物理、网络和数据三方面的安全性组成:

第一, 物理安全是指电子商务网站存放服务器的机房必须要符合国家规定。当前大部分电子商务网站存放服务器的机房布局不够规范, 对于网站安全极其重要的密码系统同其他的安全系统之间没有明确的隔离, 防盗、防火的装置也都不很完善, 监控技术落后。

第二, 网站安全是电子商务网络安全的核心, 当前, 随着大型电子商务网站如京东、淘宝等的兴起, 在给企业和社会带来巨大经济利益的同时, 也给企业的IT部门带来了更多的安全隐患, 恶意的脚本攻击、病毒攻击和木马入侵等诸多问题层出不穷。

第三, 数据安全包括数据的存储和数据的传输两个部分。电子商务网站每天都需要处理大量的包括商品和资料和客户的信息等等的数据, 这对于企业来说是至关重要的。企业采用最先进的诸如SQL等数据库来存储数据, 然而黑客和网络犯罪者则会针对这些高安全性的数据存储和传输系统进行攻击, 通过蠕虫和木马等程序攻击网站的安全系统, 导致数据的丢失和破坏。

3 电子商务网站的安全防范策略

3.1 数字签0415财产保险公司成本管理名

在书面的文件上签名是传统商务活动中对文件进行确认的主要手段, 在电子商务网站中采用数字签名的技术, 可以保证信息在传输过程中的完整性和完整性, 同时, 因为签名是对发送者进行身份认证的方式, 发送的信息在发送者发送后都没有进行过修改, 所以利用数字签名可以方便购买者的在线支付, 解决电子商务网站中存在的如身份验证和确定交易者身份等问题。

3.2 防火墙的设置

防火墙是可以对网络进行隔离控制的一种技术, 它可以通过控制内外部网络之间的信息交流和访问尺度, 防止黑客对重要的信息进行更改和损坏。防火可能是专门的硬件也可能是专门的软件, 管理者通过设定防火墙的过滤原则, 对内外部网络或者是电脑和网络之间进行的数据传递进行允许或限制, 只有被授权的数据传递才能顺利地通过防火墙, 保证了内外部网络的安全。

3.3 对恶意软件进行防护

目前, 恶意软件在全球范围以每天增加超过10万种的速度增长, 他们中的三分之二都是木马程序, 一旦木马程序植入到电子商务网站, 该网站的信息和数据就有可能丢失, 因此, 针对类似恶意软件的攻击, 应该要在主机和网络的边界对电子商务网站的安全防范进行加固, 减少恶意软件的攻击次数和程度。

3.4 加密技术的应用

同秘钥进行加密的技术一样, 对数据进行加密的密码体制由对称加密与非对称加密两部分组成。在电子商务过程中, 远程通信和网内通信所传输的信息和数据都应该被严密保护, 根据管理的级别, 其对应的信息和数据也应该进行相信的部分加密或全程加密。

3.5 系统容灾备份技术

在电子商务活动中, 如何保证数据的安全是最为重要的, 因此, 除了上述所说的防范措施外, 在发生如天灾人祸等意外事故时, 网站必须要能容灾和恢复系统。容灾包括数据和应用两方面的容灾, 数据容灾方面, 可以通过使用两个异地的存储器, 通过建立两者间的复制关系, 将备份的重要数据和资料存储在不同的地方;应用容灾方面则是指在异地建立一套备份的应用系统, 该系统应该和本地的系统相同, 两套系统的交互则通过运用网络心跳包来实现, 通过设置, 在当地系统遭到灾难时, 可以由备用系统直接并迅速地接受该系统的应用, 其业务运行也由备用系统全权承担。

4 结语

要构建一个安全的完整的可靠的电子商务网站是非常复杂的, 只有在分析了电子商务网站安全隐患的前提下, 通过分析和归纳一套完整有效的解决措施, 才能最大限度的保障网站的安全和稳定, 为保证电子商务交易过程中的数据和信息安全提供帮助, 为推动电子商务的进一步发展和完善提供指导。

参考文献

[1]廖革元, 邬芝权, 电子商务网站安全分析与防范对策[J].电子商务, 2012 (2) :135, 136.[1]廖革元, 邬芝权, 电子商务网站安全分析与防范对策[J].电子商务, 2012 (2) :135, 136.

[2]章俊, 电子商务网站技术安全性探讨[J].廊坊师范学院学报, 2011 (6) :38, 39[2]章俊, 电子商务网站技术安全性探讨[J].廊坊师范学院学报, 2011 (6) :38, 39

电子商务网站安全设计 第9篇

1.1 硬件条件跟不上网站发展需要

电子商务网站的服务器通常由工作组或部门级的PC Server来担当, 有的还采用PC机或直接租用网络服务商提供的空间, 数据库服务器和Web服务器合二为一, 直接挂在因特网上, 在这种情形下如果受到恶意攻击, Web服务器和数据库则会同时受到损坏, 而一旦攻击者取得服务器的最高管理员权限, 所有的数据将会被窃取或篡改。

1.2 操作系统单一

电子商务网站一般采用Windows系列的操作系统, 极少采用LINUX操作系统, 基本上不采用UNIX系统。由于Windows系列的操作系统在当今的计算机操作系统中使用比例极高, 系统的漏洞很容易被发现, 一部分系统漏洞会被攻击者直接用来编制蠕虫病毒, 系统极易受到攻击。

1.3 数据库本身不完善

电子商务网站通常采用的DBMS系统, 主要有DBF、Excel、ACCESS、MYSQL、MS SQL Server系统等, 其中DBF、Excel、ACCESS、MYSQL系统都是很容易被整体复制或解密的。MS SQL Server虽然属于大型关系型DBMS, 但由于被大量用户采用, 它的缺陷和漏洞也就容易被发现, 很容易被攻击者取得SA的权限, 数据库内所有的数据不但被攻击者一览无余, 攻击者还可以通过建立自己的数据库帐户, 获得帐户sysadmin的数据库管理员的角色。另外, 攻击者还可以通过执行MS SQL Server中的xp_cmdshell存储过程来运行Windows环境下的程序, 如同在自己的服务器中一样建立自己的用户, 添加、更改、删除文件, 启动、停止服务, 更改网站的内容等, 网站没有任何的安全性。

2 电子商务网站数据库安全问题产生的原因

2.1 各种方式对数据库的攻击

在一个开放的网络环境中, 由于存在着网络协议、操作系统等多方面的安全漏洞, 因此通过网络对数据库进行各种方式的攻击成为网络数据库系统安全的主要隐患。

2.2 数据库系统自身的安全漏洞

(1) 入侵者可以任意地执行系统指令, 从而得到操作系统的管理权限。通过执行系统指令可以得到系统的控制管理权限, 进而直接威胁服务器操作系统的安全, 甚至让整个服务器完全处于瘫痪状态, 使其无法进行正常工作。

(2) 数据库所采取的安全检查措施级别远低于操作系统和网络的安全检查措施的级别。数据库应用系统通常同操作系统的最高管理员系统紧密相关, 更难正确地配置和保护。

(3) 软件风险。软件未及时打上操作系统补丁, 脆弱的服务和不安全的默认配置等。

3 电子商务网站数据库安全问题的解决对策

3.1 硬件方面的改进措施

3.1.1 采用性能可靠的硬件

保证物理层安全的主要方法一是采用性能可靠的硬件, 二是采用冗余容错技术, 比如双多机集群系统、磁盘冗余阵列、双多冗余通讯线路等。特别要保证中心服务器的安全。在电子商务系统和外部网络之间建立防火墙, 系统的服务器、邮件服务器、数据库服务器等放在防火墙内, 对外公开使用的放在防火墙外, 只有经过授权的外网用户才能通过防火墙, 进入到内网系统获取信息。另外, 使用拥有安全机制的网络设备也是应该考虑的选择, 比如许多交换机、路由器等都有安全机制, 能实现访问控制和权限管理等。

3.1.2 增加不直接连接网络的独立数据库服务器

增加一台不直接与因特网连接的普通计算机作为独立的数据库服务器。电子商务网站在数据库方面的要求比较低, 完全可以选用性能比较稳定的、有较大内存的PC机作为独立的数据库服务器。如果攻击者要攻击数据库服务器, 则首先要取得Web服务器的控制权, 再利用Web服务器作为跳板才能攻击数据库服务器, 这样数据库服务器被攻击的机率就要小得多。另外, 还可以租用第三方服务商提供Web服务的电子商务网站。虽然Web服务器不受经营者控制, 但数据库服务器是独立的并受经营者控制的, 所以可以自行设置安全措施而不受限制, 因此也可提高安全性。

3.2 软件方面的改进

3.2.1 增加操作系统与Web服务器的安全性

对于网络数据库运行所依赖的计算机系统和网络来说, 最主要的安全威胁来自病毒侵犯, 对此, 外围层中应避免病毒利用网络平台隐藏、扩散及破坏整个系统的运行, 采用防、杀、管相结合的综合治理方法, 可采用VPN技术构筑网络数据库系统的虚拟专用网, 保证网络路由的接入安全及信息的传输安全, 通过防火墙技术, 实现网间隔离和网段间隔离, 保证网络边界安全, 确保系统免受病毒等非法入侵的危害。其次, 就是通过加密, 防止数据在传输过程中被监听或篡改。SQL Server2000使用的Tabular Data Stream协议来进行网络数据交换, 如果不加密的话, 所有的网络传输都是明文的, 包括密码、数据库内容等等, 这是一个很大的安全威胁, 能被人在网络中截获到他们需要的东西, 包括数据库帐号和密码。所以, 在条件容许的情况下最好使用SSL来加密协议, 当然这需要一个证书来支持。

3.2.2 提高数据库自身的安全

(1) 数据库系统软件的选择。避免选用DBF、Excel、ACCESS等类软件。MS SQL Server属于大型的关系型数据库, 性能上能满足使用要求, 但是在使用时要及时打好补丁程序, 这样被攻击机会就比较小。

(2) 数据库软件的部署要求。首先要求数据库服务器对外部即Web服务器开放最少的端口。例如, 一台标准的MS SQL Server服务器对Web服务器只开放1433端口, 把其余不必要的端口全部屏蔽掉。其次是修改数据库系统的服务端口。如将MS SQL Server的服务端口由1433改成别的端口, 增加攻击软件对数据库服务器的服务端口的扫描难度。一旦系统安装完成后, 再给所有的帐户设定一个强健的口令, 若条件允许, 还可以在使用过程中定期或不定期更改口令。另外再建立一个帐户, 赋予这个帐户系统管理员角色, 并禁用或修改默认的系统管理员的帐户。如MS SQL Server可以在帐户建立完成后配置成只支持Win-dows身份验证, 这样就可以禁用SA帐户, 使得攻击者无法通过破解SA的口令而登录到数据库中。

3.3 做好数据库备份与恢复

建立严格的数据备份与恢复管理机制是保障所有电子商务网站数据库系统安全的有效手段。数据备份不仅要保证备份数据的完整性, 而且要建立详细的备份数据档案。系统恢复时如果使用不完整或日期不正确的备份数据都会破坏系统数据库的完整性, 导致严重的后果。针对不同数据库的实际情况, SQL Server 2000提出了3种主要的备份策略:只备份数据库, 备份数据库和事务日志, 增量备份。一般说来, 对数据库进行备份, 应综合使用3种备份策略, 普通的电子商务网站数据库的备份策略如下:根据系统运行的实际情况, 周期性地进行全面数据库的备份。

4 结束语

电子商务网站的数据库安全问题是近年来倍受关注的问题, 确保其安全是一个系统工程。以上所介绍的方法各有长短, 开发电子商务网站人员应该选择性地使用。这些方法也不是绝对安全的, 还需要网站管理者进一步研究, 以确保电子商务工作的顺利开展。

参考文献

[1]刘晓东.基于Web的网络数据库安全技术研究[D].武汉:武汉理工大学, 2003.

[2]贺斌.身份认证理论与技术[J].长江大学学报, 2004 (1) .

[3]李忠哗.数据库的几种安全控制方法[J].张家口师专学报, 2003 (3) .

[4]林柏钢.网络与信息安全教程[M].北京:机械工业出版社, 2004.

电子商务网站安全设计 第10篇

1 电子商务系统中存在的安全问题

1.1 卖方面临的安全威胁

卖方面临的安全威胁主要有:

(1) 竞争者获知客户的各种资料。

(2) 买方提交订单后却不给卖方支付相应的款项。

(3) 买方生成虚假订单。

(4) 第三方如果冒充它人的名义来买商品, 从而了解有关商品的货物的库存的基本情况或递送状况。

(5) 通过建立与卖方服务器名字相同的另一个服务器来假冒卖同样的东西, 因此会被第三方假冒而损害公司的名声和信誉, 对公司造成不良影响。

(6) 第三方假冒充成合法用户来改变用户数据或生成虚假订单、解除用户订单, 从而破坏中央系统安全性。

1.2 买方面临的安全威胁

买方面临的安全威胁主要有:

(1) 在买方买商品时, 通过网络将应付金额转到卖方帐户, 而卖方某些人员恶意不将订单和钱转给发货的人, 使得买方迟迟收不到所买商品。

(2) 第三方可能会冒充客户的名字来订购商品, 如果假冒者收到商品, 而假冒的合法客户却被要求买单或返还商品。

(3) 在互联网上也存在不正当竞争的商家, 为了挤占对方的服务器资源, 他们会制造发送大量的虚假订单, 使对方不能进行正常的交易服务。

(4) 买方在进行交易时, 要将自己的一些资料发送给卖方, 在这个过程中, 可能自己的一些资料被第三方窃取。

2 电子商务安全问题的对策

基于上述原因, 我们必须采用行之有效的方法和手段来保证电子商务系统的安全运行, 从而保证电子商务涉及到金融、企业商家等各个方面的利益。

2.1 采取技术手段, 保障网络安全

电子商务健康有序发展的保障是网络的安全技术, 对安全性技术的研究也慢慢成为了计算机技术中普遍关注的课题。要解决开放式的互联网在信息交换中存在的信息安全方面的脆弱性, 就是为网络的各个层次都制定了相应的安全协议和相应的安全技术, 从而保证了计算机网络的安全, 也就保证电子商务的安全性。电子商务中的安全性技术主要有以下几种:

(1) 安全认证技术

安全认证技术的作用主要有两方面:一是对发送信息方的身份的确认, 另一方面是验证信息在发送过程或存储过程中是否有被修改过, 也就是信息的完整性的验证。

(2) 信息加密技术

信息加密技术是计算机网络安全中的重要核心技术, 信息加密技术就是发送方使用加密密钥, 通过加密设备或算法, 将信息加密后发送出去, 接收方收到密文后, 用解密密钥将密文解密, 恢复成明文, 如果在发送过程中, 即使被窃取, 也只是得到无法理解的密文, 从而确保数据的保密性。

目前, 获得广泛应用的两种加密技术是对称密钥加密体制和非对称密钥加密体制。常用的对称密钥加密算法有:由瑞士联邦理工学院的IDEA算法和美国国家标准局提出DES算法等等。常用的非对称加密密钥算法有美国国家标准和技术协会的SHA算法和麻省理工学院的RSA算法等等。

(3) 安全认证协议

目前, 电子商务中经常使用的由Netscape开发的现在广泛应用的安全套接层SSL协议和安全电子交易SET协议。

(1) 安全套接层 (SSL) 协议。SSL协议是建立在在网络传输层上, 它使用的是不对称加密技术来保证信息传递过程中信息的安全性和完整性, 可以支持128位的加。它还可以使在进行会话的双方进行对方身份的识别。这种技术保证了浏览器和网站服务器之间的安全连接。目前, 我国的工商银行和招商银行采用了这种的加协议进行电子交易。

(2) 安全电子交易 (SET) 协议。安全电子交易是一种新的交易模型, 它是基于信用卡支付模式而设计的, 保证了信用卡进行的在线交易的安全。主要保证了用户、商家、银行之间在进行交易时它们的数据的机密性、数据完整性和身份的正当性及防抵赖性。在进行电子交易时, SET协议是使用双重签名, 所以它就有效地保证了各个参与方的信息的相互隔离, 在这种情况下, 商家只能看到使用信用卡的一方进行购买的产品的订单数据, 而银行方面只能看到持卡人的信用卡使用信息。因此正是有了这个协议, 使我们以前只能在商场使用的信用卡, 现在在网络上能方便安全地使用。

2.2 积极推进电子商务立法

除以上的网络安全技术方面的研究之外, 我国政府也要加强对电子商务的研究, 要加快立法进程, 建立规范电子商务法律框架, 健全电子商务法律体系, 使电子商务实现合理、合法化、公开化。这样就可以保障进行电子交易的各方面的利益, 而且还可有利于电子商务的快速健康发展、促进国民经济建设。

3 网站的营销策略

下面我们从以下几方面介绍如何进行网络营销推广。

3.1 网店的初步优化

进行网站优化是作为个人商务网站营销的第一步, 也是营销的是关键步骤。只有进行了网站优化, 才能进行下一步的网络推广, 而且没有优化的站点缺少推广的意义。需要进行初步优化的几个方面是:

(1) 首页的内容必须是完整的, 并且推广目标明确。

(2) 网站的字体要普通大众化, 让人一目了然, 不能用特殊的字体。

(3) 网站的导航清晰明确, 让用户使用方便。

(4) 用户能方便快速找到和店主的联系方法, 写清楚邮箱和手机号或是固定电话、QQ等通信方式。

(5) 网页的长度适度, 浏览器的兼容问题也要考虑进去。

3.2 网店的流量统计分析

网站的流量是根据自己的客户群体, 使用流量分析器来实现对网站访问量的统计、用户所在地的分析、关键字分析、在线用户数量统计、客户信息统计。这些信息能给我们的推广信息提供强有力的支持, 通过这个分析, 我们能对访问量和访问群体做出科学有力的评估。我们能明确访问网店的客户群体的很多特征, 了解客户群体的访问时间、他们在什么地方、通过哪些方式来访问。通过这些精准的数字我们就能有针对性的推广。就能把财力和精力用在关键的地方, 才能做到事半功倍。

3.3 网店的全面优化

网店优化的基础打好之后, 我们要根据前面统计的数据做网店的全面优化。

我们从以下几点进行全面优化:网店的商品价值、网店的结构、网店的动画图片、网店的导航条、网店的界面设计、网店的代码优化、网店的交互性设计。

3.4 网店的全面推广

在网店的全面优化之后, 我们就可以进行真正网店推广了。网店的推广工作, 我们可以结合各种网络营销的手段和方法。比如通过多渠道发送电子邮件、到各大贴吧发贴、通过文字链接扩大宣传力度、利用中文类网址方便记忆, 通过网络广告宣传, 利用搜索引擎排名, 还有就是通过传统宣传方式等等。

3.5 营销效果的评估与控制

经过推广之后每隔一段时期, 要看看推广效果, 可以通过推广的效果来洞晰推广手段, 并且根据推广策略的运用不断地改进推广手段。可以通过利润、自已输入关键字进行分析、还可以通过每天的点击量、访问来源等方式来评估。从而选择更加适合自己的网络推广方式。

除此之外, 我们还必须有明确的推广目标及详细的经费预算作为推广的前提。再加上以上几点, 我相信您的网店能为你赚取更大的利益。

参考文献

[1]黄鹤.浅析计算机网络安全策略[J].科技信息 (学术研究) , 2007.

电子商务网站安全设计 第11篇

摘要:本文对电子商务网站的总体设计及网站互联网接入方式进行详细阐述，以保证企业在建立的网站上顺利开展电子商务活动。

关键词：中小企业 电子商务 网站设计 网站建设

0 引言

电子商务网站是指一个企业在互联网上建立的站点，是企业开展电子商务的基础设施和信息平台，是实施电子商务的公司或商家与服务对象之间的交互界面。开展电子商务活动必须从网站建设抓起，通过网站把企业的商务需求、营销方法和网络技术很好地集成在一起。而网站建设是一项复杂的工程，如何进行电子商务网站建设是中小企业面临的主要问题。本文从网站的总体设计及互联网接入方式的选择着手，对中小企业电子商务网站建设作一定的探讨。

1 电子商务网站的总体设计

网站的总体设计要考虑到网站全局，对网站建设的目的与目标，网站的结构、功能、风格和创意等问题作精心的策划，设计出一个令企业和访问者满意、能提高企业竞争力、为企业产生效益的电子商务网站。

1.1 网站建设目的与目标的确定 建设电子商务网站，必须确定网站建设的目的，也就是要回答为什么要建立电子商务网站。建站目的明确很重要，它关系着整个网站建设的主导思想和页面设计时所突出的内容及版面风格。网站建设的目的一般可以分为：开展B2B交易、B2C交易；开展网上购物业务；用于企业形象建设；拓展企业联系渠道；作为服务性网站以及其他应用目的等。

网站建设的基本目标是：网站建成后，人们能够通过浏览器访问该网站或通过该网站访问其他不同的网站，进行一定的信息交互，查询产品信息、下订单、资金确认、物流运输等，进而完成一次商务活动的全过程。此外，一般企业建站还有其他目标，如发布企业产品、服务信息，介绍企业历史及成就，网上市场调查，开展网络营销，网上客户服务，逐渐实施电子商务等。

1.2 网站结构的设计 为了使访问者方便快速地查找所需要的信息以及便于网站运行后内容的更新和维护，必须对网站的目录结构和链接结构进行设计。①为了在内容更新和维护中节省大量的时间和精力，设计网站目录结构时应注意以下几点：一是不要将所有文件都存放在根目录下，否则会造成文件管理混乱和上传速度慢；二是按栏目内容建立子目录，例如，可以按产品介绍、价格、在线订单、反馈联系等建立相应目录；三是每个主目录下都建立独立的images目录，以方便图片的管理；四是目录的层次不要太深，如果目录层次超过三层就不方便维护管理了；五是不要使用中文目录和过长的目录，而且尽量使用意义明确的目录。②网站的链接结构是指页面之间相互链接的拓扑结构。网站的链接结构的目的是: 用最少的链接，使得浏览最有效率。建立网站的链接结构有两种基本方式：一是树状链接结构；二是星状链接结构。在网站设计中，最好的办法是首页和一级页面之间用星状链接结构，一级和二级页面之间用树状链接结构，超过三级的使用导航条。使浏览者既可以方便快速地达到自己需要的页面，又可以清晰地知道自己的位置。

1.3 网站功能的确定 电子商务网站的主要功能包括企业形象宣传；产品和服务项目展示；商品和服务订购；转账与支付、运输；信息搜索与查询；客户信息管理；销售业务信息管理；新闻发布、供求信息发布等。在进行网站功能设计时，首先应该考虑的因素是你需要在网上展示、出售哪些产品，而且这些产品必须是容易在网上交易且产品配送比较易于实现；其次是你的目标用户是哪些，而且这些用户必须经常上网并光顾你的网站；再次是其他同类网站的功能设计情况。网站功能的设计取决于网站的目标和规模，所以在进行网站功能设计时，首先要确定网站的目标和规模，在此基础上再决定网站应该具有哪些功能，从而才能符合网站实际需求。

1.4 网站风格和创意的问题 网站的整体风格及其创意设计是人们最希望掌握，也是最难以掌握的。其难点在于没有一个固定的模式可以参照和模仿。设计网站的整体风格可以采用下列做法：将你企业的标志尽可能出现在每个页面上，突出你的标准色彩，突出你的标准字体，使用明朗上口的宣传标语，创建一个站点的特有的符号或图标等。创意是网站生存的关键，作为网站设计人员，一定要有好的创意来源。创意是传达信息的一种特别方式，它是思考的结果，也是现有要素的重新组合。比如，IP 电话、在线书店、电子社区、在线拍卖等。

2 网站互联网接入方式选择

2.1 选择合适的互联网服务提供商（ISP） ISP是向广大用户提供互联网接入业务、信息业务和增值业务的电信运营商。目前，国内有很多家ISP提供互联网接入服务。如何在众多的ISP中进行选择呢？选择ISP时主要考虑以下因素：①可靠性：无故障运行时间长短、对灾难性故障恢复情况等；②性能：网络基础性能、出入口带宽等；③规模：自己网络规模大小、用户数量多少等；④信誉：在用户中的信誉、在同行中知名度等；⑤独立性：是独立组建还是租用其它的ISP的相关设备；⑥安全性：管理严密性、黑客事件、入侵事件等。

2.2 选择ISP的网络服务方式

2.2.1 虚拟主机：虚拟主机是采用特殊的软硬件技术把一台完整的服务器主机分成若干个主机（将真实主机的硬盘空间分成若干份，租给不同的用户），把一台主机分成一台台“虚拟”的主机，每一台被分割的主机都具有独立的域名和共享的IP地址（通过设置不同的端口号来对应不同的域名），共享真实主机的CPU、RAM、应用软件等，具有完整的Internet服务器功能。从外界看来，每一台虚拟主机和一台独立的主机的表现完全一样，其浏览方式、感受到的速度与浏览其它网站没有区别，和一台真实独立主机的功能几乎完全一样。采用虚拟主机方式建立网站具有投资小，建立速度快，安全可靠，无须软硬件配置及投资，无须拥有技术支持等特点。用户不需要负担软硬件以及昂贵的网络通讯费用，也不需要聘请专业网络管理人员对硬件、操作系统及通信线路进行维护，只需对自己的信息进行远程维护，从而大幅度降低企业网站建设成本，不失为中小型企业在电子商务起步时期的理想方案。但是，由于多个不同的站点共享一台服务器的所有资源，会存在许多不安全和不稳定的因素。

2.2.2 服务器托管：服务器托管是用户将自己的独立服务器寄放在ISP的机房，借助ISP的基础设施来实现接入Internet，除网络设施和配置外，日常系统维护由ISP提供，主机维护和数据传输由企业自己完成。主机托管服务提供了可靠的独立的服务器、合理的收费、强大的功能、不间断的技术支持。这种方式不计通讯量和访问次数，也不需申请专用线路和搭建复杂的网络环境，因此也就节省了大量的初期投资及日常维护的费用。这种方式特别适用于有大量数据需要通过因特网进行传递，以及大量信息需要发布的单位。

2.2.3 租用网页空间：租用网页空间是一种和虚拟主机类似而更为简单的方法，向ISP申请一个虚拟域名（实为一个超级链接），将自己的网页寄放在ISP的主机上，用户可以自行上传、维护网页内容，自行发布网页信息。

一般来说，租用网页空间费用较虚拟主机更为低廉。但这种方式主要以静态网页的形式介绍企业、展示产品、收发电子邮件等等，主页空间容量小，网页中对象单一，浏览不稳定，功能简单，不支持动态网页，不能进行实时的数据处理，特别是网站的管理很不方便。

总之，在建立电子商务网站时，必须高度重视网站的总体设计和网站的硬件建设，建立一个结构合理、内容丰富、功能完善、和谐美丽、方便快捷的网站，以吸引更多的浏览者访问该网站，企业才能够通过该网站顺利地开展电子商务活动，提高企业的竞争力，为企业带来良好的经济效益。

参考文献:

[1]王宇川.电子商务网站规划与建设[M].北京:机械工业出版社.2007.8.

[2]张劲珊.电子商务基础[M].北京：中国物资出版社.2006.1.

电子商务网站安全设计 第12篇

随着互联网技术的发展,电子商务已经逐渐成为人们进行商务活动的新模式。越来越多的人通过互联网进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。

电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此,电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。

1 电子商务网站安全威胁

当许多传统的商务方式应用在互联网上时,便会带来许多源于安全方面的问题,不少公司都已经推出了相应的软、硬件产品。由于电子商务的形式多种多样,涉及的安全问题各不相同,但在互联网上的电子商务交易过程中,最核心和最关键的问题就是交易的安全性。一般来说商务安全中普遍存在着以下几种安全隐患:

(1)窃取信息

由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。

(2)篡改信息

当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。

(3)假冒

由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。

(4)恶意破坏

由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。

因此,电子商务的安全交易主要保证以下四个方面:

(1)信息保密性

交易中的商务信息均有保密的要求。如信用卡的账号和用户名等不能被他人知悉,因此在信息传播中一般均有加密的要求。

(2)交易者身份的确定性

网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。

(3)不可否认性

由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。因此电子交易通信过程的各个环节都必须是不可否认的。

(4)不可修改性

交易的文件是不可被修改的,否则也必然会损害一方的商业利益。因此电子交易文件也要能做到不可修改,以保障商务交易的严肃和公正。

2 电子商务网安全措施

近年来,针对电子交易安全的要求,IT业界与金融行业一起,推出不少有效的安全交易标准和技术。主要的协议标准有:

(1)安全超文本传输协议(S-HTTP):依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。

(2)安全套接层协议(SSL):由Netscape公司提出的安全交易协议,提供加密、认证服务和报文的完整性。SSL被用于Netscape Communicator和Microsoft IE浏览器,以完成需要的安全交易操作。

(3)安全交易技术协议(STT):由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft在互联网Explorer中采用这一技术。

所有这些安全交易标准中,SET标准以推广利用信用卡支付网上交易,而广受各界瞩目,它将成为网上交易安全通信协议的工业标准,有望进一步推动互联网电子商务市场。

3 电子商务安全技术

这里将介绍EC应用过程中主要采用的几种安全技术及其相关标准规范。

3.1 加密技术

加密技术是EC采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。目前,加密技术分为两类,即对称加密和非对称加密。

(1)对称加密/对称密钥加密/专用密钥加密

在对称加密方法中,对信息的加密和解密都使用相同的密钥。使用对称加密方法将简化加密的处理,每个贸易方都不必彼此研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。对称加密技术存在着在通信的贸易方之间确保密钥安全交换的问题。

(2)非对称加密/公开密钥加密

在非对称加密体系中,密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对机密性的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛发布,但它只对应于生成该密钥的贸易方。

3.2 数字签名

数字签名的主要方式是:报文的发送方从报文文本中生成一个128 位的散列值(或报文摘要)。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128 位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。ISO/IEC JTC1 已在起草有关的国际标准规范。该标准的初步题目是“信息技术安全技术带附件的数字签名方案”,它由概述和基于身份的机制两部分构成。

3.3 E-mail安全协议

E-mail是互联网上主要的信息传输手段,也是EC应用的主要途径之一。但它并不具备很强的安全防范措施。互联网工程任务组(IEFT)为扩充电子邮件的安全性能已起草了相关的规范。

PEM PEM是增强互联网电子邮件隐秘性的标准草案,它在互联网电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能,允许使用公开密钥和专用密钥的加密方式,并能够支持多种加密工具。对于每个电子邮件报文可以在报文头中规定特定的加密算法、数字鉴别算法、散列功能等安全措施。PEM是通过互联网传输安全性商务邮件的非正式标准。

3.4 互联网主要的安全协议

SSL SSL(安全槽层)协议是由Netscape公司研究制定的安全协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性,并采用X.509 的数字证书实现鉴别。该协议已成为事实上的工业标准,并被广泛应用于互联网的服务器产品和客户端产品中。

3.5 UN/EDIFACT的安全

EDI是EC最重要的组成部分,是国际上广泛采用的自动交换和处理商业信息和管理信息的技术。UN/EDIFACT报文是唯一的国际通用的EDI标准。利用互联网进行EDI已成为人们日益关注的领域, 保证EDI的安全成为主要解决的问题。UN/EDIFACT的安全措施主要是通过集成式和分离式两种途径来实现。集成式的途径是通过在UN/EDIFACT报文结构中使用可选择的安全头段和安全尾段来保证报文内容的完整性、报文来源的鉴别和不可抵赖性;而分离式途径则是通过发送3 种特殊的UN/EDIFACT报文(即AU TCK、KEYMAN和CIPHER来达到保障安全的目的。

3.6 安全电子交易规范(SET)

SET向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Visa国际组织和万事达组织共同制定的一个能保证通过开放网络(包括互联网)进行安全资金支付的技术标准。参与该标准研究的还有微软公司、IBM公司、Netscape公司、RSA公司等。SET主要由3 个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET1.0 版已经公布并可应用于任何银行支付服务。

4 结语

网站信息安全技术在电子商务系统中的作用非常重要,它守护着商家和客户的重要机密,维护着商务系统的信誉和财产,同时为服务方和被服务方提供极大的方便,因此,只有采取了必要和恰当的技术手段才能充分提高电子商务系统的可用性和可推广性。

参考文献

[1]张东生.计算机网络安全技术与防范策略探析[J].电脑编程技巧与维护,2011.

[2]王凤领.计算机网络安全技术与防范策略探析[J].计算机安全,2010.