时间:2023-09-22 09:42:57
序论:在您撰写电子商务安全事件时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
关键字 电子商务 网络安全 事件类型 安全建议
1前言
随着Internet的快速发展,电子商务已经逐渐成为人们进行商务活动的新模式。越来越多的人通过Internet进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出。近年来,网络安全事件不断攀升,电子商务金融成了攻击目标,以网页篡改和垃圾邮件为主的网络安全事件正在大幅攀升。国家计算机网络应急技术处理协调中心(以下简称CNCERT/CC)作为接收国内网络安全事件报告的重要机构,2005年上半年共收到网络安全事件报告65679件,为2004年全年64686件还要多。在CNCERT/CC处理的网络安全事件报告中,网页篡改占45.91%,网络仿冒占29%,其余为拒绝服务攻击、垃圾邮件、蠕虫、木马等,2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。数字显示,电子商务等网站极易成为攻击者的目标,其安全防范有待加强。如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。
2影响电子商务发展的主要网络安全事件类型
一般来说,对电子商务应用影响较多、发生率较高的互联网安全事件可以分为网页篡改、网络蠕虫、拒绝服务攻击、特罗伊木马、计算机病毒、网络仿冒等,而近几年来出现的网络仿冒(Phishing),已逐步成为影响电子商务应用与发展的主要威胁之一。
2.1网络篡改
网络篡改是指将正常的网站主页更换为黑客所提供的网页。这是黑客攻击的典型形式。一般来说,主页的篡改对计算机系统本身不会产生直接的损失,但对电子商务等需要与用户通过网站进行沟通的应用来说,就意味着电子商务将被迫终止对外的服务。对企业网站而言,网页的篡改,尤其是含有攻击、丑化色彩的篡改,会对企业形象与信誉造成严重损害。
2.2网络蠕虫
网络蠕虫是指一种可以不断复制自己并在网络中传播的程序。这种程序利用互联网上计算机系统的漏洞进入系统,自我复制,并继续向互联网上的其它系统进行传播。网络蠕虫的危害通常有两个方面:1、蠕虫在进入被攻击的系统后,一旦具有控制系统的能力,就可以使得该系统被他人远程操纵。其危害一方面是重要系统会出现失密现象,另一方面会被利用来对其他系统进行攻击。2、蠕虫的不断蜕变并在网络上的传播,可能导致网络被阻塞的现象发生,从而致使网络瘫痪,使得各种基于网络的电子商务等应用系统失效。
2.3拒绝服务攻击
拒绝服务攻击是指在互联网上控制多台或大量的计算机针对某一个特定的计算机进行大规模的访问,使得被访问的计算机穷于应付来势凶猛的访问而无法提供正常的服务,使得电子商务这类应用无法正常工作。
一般来说,这是黑客常用的一种行之有效的方法。如果所调动的攻击计算机足够多,则更难进行处置。尤其是被蠕虫侵袭过的计算机,很容易被利用而成为攻击源,并且这类攻击通常是跨网进行的,加大了打击犯罪的难度。
2.4特罗伊木马
特罗伊木马(简称木马)是一种隐藏在计算机系统中不为用户所知的恶意程序,通常用于潜伏在计算机系统中来与外界连接,并接受外界的指令。被植入木马的计算机系统内的所有文件都会被外界所获得,并且该系统也会被外界所控制,也可能会被利用作为攻击其它系统的攻击源。很多黑客在入侵系统时都会同时把木马植入到被侵入的系统中。
2.4网络仿冒(Phishing)
Phishing又称网络仿冒、网络欺诈、仿冒邮件或者钓鱼攻击等,是黑客使用欺诈邮件和虚假网页设计来诱骗收件人提供信用卡帐号、用户名、密码、社会福利号码等,随后利用骗得的帐号和密码窃取受骗者金钱。近年来,随着电子商务、网上结算、网上银行等业务在日常生活中的普及,网络仿冒事件在我国层出不穷,诸如中国银行网站等多起金融网站被仿冒。网络仿冒已经成为影响互联网应用,特别是电子商务应用的主要威胁之一。
根据国际反仿冒邮件工作小组(Anti-Phishing Working Group,APWG)统计,2005年4月共有2854起仿冒邮件事件报告;从2004年7月至2005年4月,平均每月的仿冒邮件事件报告数量的递增达率15%;仅在2005年4月,就共有79个各类机构被仿冒。2005年上半年CNCERT/CC广东分中心就处理了15多期的网络仿冒事件。从这些数字可以看到,Phishing事件不仅数量多、仿冒范围大,而且仍然在不断增长。
网络仿冒者为了逃避相关组织和管理机构的打击,充分利用互联网的开放性,往往会将仿冒网站建立在其他国家,而又利用第三国的邮件服务器来发送欺诈邮件,这样既便是仿冒网站被人举报,但是关闭仿冒网站就比较麻烦,对网络欺诈者的追查就更困难了,这是现在网络仿冒犯罪的主要趋势之一。
据统计,中国已经成为第二大仿冒网站的属地国,仅次于美国,而就目前CNCERT/CC的实际情况来看,已经接到多个国家要求协助处理仿冒网站的合作请求。因此,需要充分重视网络仿冒行为的跨国化。
3安全建议
随着网络应用日益普及和更为复杂,网络安全事件不断出现,电子商务的安全问题日益突出,需要从国家相关法律建设的大环境到企业制定的电子商务网络安全管理整体架构的具体措施,才能有效保护电子商务的正常应用与发展。
3.1不断完善法律与政策依据 充分发挥应急响应组织的作用
目前我国对于互联网的相关法律法规还较为欠缺,尤其是互联网这样一个开放和复杂的领域,相对于现实社会,其违法犯罪行为的界定、取证、定位都较为困难。因此,对于影响电子商务发展的基于互联网的各类网络安全事件的违法犯罪行为的立法,需要一个漫长的过程。
根据互联网的体系结构和网络安全事件的特点,需要建立健全协调一致,快速反应的各级网络应急体系。要制定有关管理规定,为网络安全事件的有效处理提供法律和政策依据。
转贴于 互联网应急响应组织是响应并处理公共互联网网络与信息安全事件的组织,在我国,CNCERT/CC是国家级的互联网应急响应组织,目前已经建立起了全国性的应急响应体系;同时,CNCERT/CC还是国际应急响应与安全小组论坛(FIRST,Forum of Incident Response and Security Teams)等国际机构的成员。
应急响应组织通过发挥其技术优势,利用其支撑单位,即国内主要网络安全厂商的行业力量,为相关机构提供网络安全的咨询与技术服务,共同提高网络安全水平,能有效减少各类的网络事件的出现;通过聚集相关科研力量,研究相关技术手段,以及如何建立新的电子交易的信任体系,为电子商务等互联网应用的普及和顺利发展提供前瞻性的技术研究方面具有积极意义。
对于目前跨国化趋势的各类网络安全事件,可以通过国际组织之间的合作,利用其协调机制,予以积极处理。事实上,从CNCERT/CC成立以来,已经成功地处理了多起境外应急响应组织提交的网络仿冒等安全事件协查请求,关闭了上百个各类仿冒网站;同时,CNCERT/CC充分发挥其组织、协调作用,成功地处理了国内网页篡改、网络仿冒、木马等网络安全事件。
3.2建立整体的网络安全架构 切实保障电子商务的应用发展
从各类网络安全事件分析中我们看到,电子商务的网络安全问题不是纯粹的计算机安全问题,从企业的角度出发,应该建立整体的电子商务网络安全架构,结合安全管理以及具体的安全保护、安全监控、事件响应和恢复等一套机制来保障电子商务的正常应用。
3.2.1安全管理
安全管理主要是通过严格科学的管理手段以达到保护企业网络安全的目的。内容可包括安全管理制度的制定、实施和监督,安全策略的制定、实施、评估和修改,相关人员的安全意识的培训、教育,日常安全管理的具体要求与落实等。
3.2.2安全保护
安全保护主要是指应用网络安全产品、工具和技术保护网络系统、数据和用户。这种保护主要是指静态保护,通常是一些基本的防护,不具有实时性,如在防火墙的规则中实施一条安全策略,禁止所有外部网用户到内部网Web服务器的连接请求,一旦这条规则生效,它就会持续有效,除非我们改变这条规则。这样的保护能预防已知的一些安全威胁,而且通常这些威胁不会变化,所以称为静态保护。
3.2.3安全监控/审计
安全监控主要是指实时监控网络上正在发生的事情,这是任何一个网络管理员都想知道的。审计一直被认为是经典安全模型的一个重要组成部分。审计是通过记录通过网络的所有数据包,然后分析这些数据包,帮助查找已知的攻击手段、可疑的破坏行为,来达到保护网络的目的。
安全监控和审计是实时保护的一种策略,它主要满足一种动态安全的需求。因为网络安全技术在发展的同时,黑客技术也在不断的发展,网络安全不是一成不变的,也许今天对你来说安全的策略,明天就会变得不安全,因此我们应该时刻关注网络安全的发展动向以及网络上发生的各种各样的事情,以便及时发现新的攻击,制定新的安全策略。可以这样说,安全保护是基本,安全监控和审计是其有效的补充,两者的有效结合,才能较好地满足动态安全的需要。
3.2.4事件响应与恢复
事件响应与恢复主要针对发生攻击事件时相应的应急措施与恢复正常应用的机制。就是当攻击发生时,能及时做出响应,这需要建立一套切实有效、操作性强的响应机制,及时防止攻击的进一步发展。响应是整个安全架构中的重要组成部分,因为网络构筑没有绝对的安全,安全事件的发生是不可能完全避免的,当安全事件发生的时候,应该有相应的机制快速反应,以便让管理员及时了解攻击情况,采取相应措施修改安全策略,尽量减少并弥补攻击的损失,防止类似攻击的再次发生。
当安全事件发生后,对系统可能会造成不同程度的破坏,如网络不能正常工作、系统数据被破坏等,这时,必须有一套机制能尽快恢复系统的正常应用,因为攻击既然已经发生了,系统也遭到了破坏,这时只有让系统以最快的速度运行起来才是最重要的,否则损失将更为严重。因此恢复在电子商务安全的整体架构中也是不可缺少的组成部分。 4小结
Internet的快速发展,使电子商务逐渐进入人们的日常生活,而伴随各类网络安全事件的日益增加与发展,电子商务的安全问题也变得日益突出,建立一个安全、便捷的电子商务应用环境,已经成为商家和用户密切关注的话题。
本文主要从目前深刻影响电子商务应用与发展的几种主要的网络安全事件类型出发,阐述了电子商务的网络安全问题,并从国家相关法制建设的大环境,应急响应组织的作用与意义,以及企业具体的电子商务网络安全整体架构等方面,给出一些建议与思考。
参考文献
1
CNCERT/CC.“2005年上半年网络安全工作报告”
2
CNCERT/CC上海分中心.“网络欺诈的分析和研究”.2005年3月
3
关键词:商业银行;电子商务;风险管理
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统
一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法依赖外部的信息安全管理行业
在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。新晨
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴
电子商务的存在和发展,是以网络技术的革新为前提。电子商务系统的构建、运行及维护,都离不开技术的支持。同时,由于电子商务适合于各种大、小型企业,所以应采取措施来保障电子商务网站的安全。
一、电子商务中存在安全的问题
(一)网络信息安全方面
1.服务器的安全问题。电子商务服务器是电子商务的核心,安装了大量的与电子商务有关的软件和商家信息,并且服务器上的数据库里有电子商务活动过程中的一些保密数据。因此服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果也是非常严重。
2.网络信息的安全问题。非法用户在网络的传输上使用不正当手法,非法拦截会话数据获得合法用户的有效信息,最终导致合法用户的一些核心业务数据泄密或者是非法用户对截获的网络数据进行一些恶意篡改,如增加、减少和删除等操作,从而使信息失去真实性和完整性,导致合法用户无法正常交易,还有一些非法用户利用截获的网络数据包再次发送,恶意攻击对方的网络硬件和软件。
3.网络安全中的病毒问题。互联网的出现为电脑病毒的传播提供了最好的媒介,不少新病毒直接以互联网作为自己的传播途径,电脑病毒问世10多年来,各种新型病毒及其变种迅速增加,不少新病毒直接以互联网作为自己的传播途径,还有众多病毒借助于互联网传播得更快,如何在电子商务领域如何有效防范病毒也是一个十分紧迫的问题。
(二)电子商务交易方面
1.交易身份的不确定。电子商务是一种全球各地广泛的商业贸易活动在开放的网络环境下,基于浏览器/服务器应用方式,在买卖双方不谋面的情况下进行各种商贸活动,实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动。正是基于这个特点攻击者可以通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的身份与他人进行交易。
2.交易协议安全性问题。企业和用户在电子交易过程中的数据是以数据包的形式来传送的,恶意攻击者很容易对某个电子商务网站展开数据包拦截,甚至对数据包进行修改和假冒。TCP/IP协议是建立在可信的环境之下,缺乏相应的安全机制,这种基于地址的协议本身就会泄露口令,根本没有考虑安全问题;TCP/IP协议是完全公开的,其远程访问的功能使许多攻击者无须到现场就能够得手,连接的主机基于互相信任的原则等这些性质使网络更加不安全。
二、加强电子商务网站的安全措施
我们从技术手段的角度,从系统安全和数据安全的不同层面来探索电子商务中出现的网络安全新问题。
(一)信息系统安全
对于一个企业来说,信息的安全尤为重要,这种安全首先取决于系统的安全。系统安全主要包括网络系统、操作系统和应用系统三个层次。系统安全采用的技术和手段有冗余技术、网络隔离技术、访问控制技术、身份鉴别技术、加密技术、监控审计技术、安全评估技术等。
1.网络系统。网络系统安全是网络的开放性、无边界性、自由性造成,安全解决的关键是把被保护的网络从开放、无边界、自由的环境中独立出来,使网络成为可控制、管理的内部系统,由于网络系统是应用系统的基础,网络安全便成为首要新问题。解决网络安全主要方式有如下几种方法:
一是网络冗余。它是解决网络系统单点故障的重要办法。对关键性的网络线路、设备,通常采用双备份或多备份的方式。网络运行时双方对运营状态相互实时监控并自动调整,当网络的一段或一点发生故障或网络信息流量突变时能在有效时间内进行切换分配,保证网络正常的运行。
二是系统隔离。分为物理隔离和逻辑隔离,主要从网络安全等级考虑划分合理的网络安全边界,使不同安全级别的网络或信息媒介不能相互访问,从而达到安全目的。对业务网络或办公网络采用VLAN技术和通信协议实行逻辑隔离划分不同的应用子网。
三是访问控制。对于网络不同信任域实现双向控制或有限访问原则,使受控的子网或主机访问权限和信息流向能得到有效控制。具体相对网络对象而言需要解决网络的边界的控制和网络内部的控制,对于网络资源来说保持有限访问的原则,信息流向则可根据安全需求实现单向或双向控制。访问控制最重要的设备就是防火墙,它一般安置在不同安全域出入口处,对进出网络的IP信息包进行过滤并按企业安全政策进行信息流控制,同时实现网络地址转换、实时信息审计警告等功能,高级防火墙还可实现基于用户的细粒度的访问控制。
四是身份鉴别。是对网络访问者权限的识别,一般通过三种方式验证主体身份,一是主体了解的秘密,如用户名、口令、密钥;二是主体携带的物品,如磁卡、IC卡、动态口令卡和令牌卡等;三是主体特征或能力,如指纹、声音、视网膜、签名等。加密是为了防止网络上的窃听、泄漏、篡改和破坏,保证信息传输安全,对网上数据使用加密手段是最为有效的方式。目前加密可以在三个层次来实现,即链路层加密、网络层加密和应用层加密。链路加密侧重通信链路而不考虑信源和信宿,它对网络高层主体是透明的。网络层加密采用IPSEC核心协议,具有加密、认证双重功能,是在IP层实现的安全标准。通过网络加密可以构造企业内部的虚拟专网(VPN),使企业在较少投资下得到安全较大的回报,并保证用户的应用安全。
五是安全监测。采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络扫描监测系统作为对付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征,广泛用于各行各业。网络扫描是针对网络设备的安全漏洞进行检测和分析,包括网络通信服务、路由器、防火墙、邮件、WEB服务器等,从而识别能被入侵者利用非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成具体报告,包括位置、具体描述和建议的改进方案,使网管能检测和管理安全风险信息。
2.操作系统
操作系统是管理计算机资源的核心系统,负责信息发送、管理设备存储空间和各种系统资源的调度,它作为应用系统的软件平台具有通用性和易用性,操作系统安全性直接关系到应用系统的安全,操作系统安全分为应用安全和安全漏洞扫描。
一是应用安全。面向应用选择可靠的操作系统,可以杜绝使用来历不明的软件。用户可安装操作系统保护和恢复软件,并作相应的备份。
二是系统扫描。它基于主机的安全评估系统,是对系统的安全风险级别进行划分,并提供完整的安全漏洞检查列表,通过不同版本的操作系统进行扫描分析,对扫描漏洞自动修补形成报告,保护应用程序、数据免受盗用、破坏。
3.应用系统
办公系统文件(邮件)的安全存储摘要:利用加密手段,配合相应的身份鉴别和密钥保护机制(IC卡、PCMCIA安全PC卡等),使得存储于本机和网络服务器上的个人和单位重要文件处于安全存储的状态,使得他人即使通过各种手段非法获取相关文件或存储介质(硬盘等),也无法获得相关文件的内容。
文件(邮件)的安全传送,对通过网络(远程或近程)传送给他人的文件进行安全处理(加密、签名、完整性鉴别等),使得被传送的文件只有指定的收件者通过相应的安全鉴别机制(IC卡、PCMCIA PC卡)才能解密并阅读,杜绝了文件在传送或到达对方的存储过程中被截获、篡改等,主要用于信息网中的报表传送、公文下发等。
业务系统的安全,主要面向业务管理和信息服务的安全需求。对通用信息服务系统(电子邮件系统、WEB信息服务系统、FTP服务系统等)采用基于应用开发安全软件,如安全邮件系统、WEB页面保护等;对业务信息可以配合管理系统采取对信息内容的审计稽查,防止外部非法信息侵入和内部敏感信息泄漏。
(二)数据安全
数据安全牵涉到数据库的安全和数据本身安全,针对两者应有相应的安全办法。
一是数据库安全。大中型企业一般采用具有一定安全级别的SYBASE或ORACLE大型分布式数据库,基于数据库的重要性,应在此基础上开发一些安全办法,增加相应控件,对数据库分级管理并提供可靠的故障恢复机制,实现数据库的访问、存取、加密控制。具体实现方法有安全数据库系统、数据库保密系统、数据库扫描系统等。
二是数据安全。指存储在数据库数据本身的安全,相应的保护办法有安装反病毒软件,建立可靠的数据备份和恢复系统,某些重要数据甚至可以采取加密保护。
(三)网络交易平台的安全
网上交易安全位于系统安全风险之上,在数据安全风险之下。只有提供一定的安全保证,在线交易的网民才会具有安全感,电子商务网站才会具有发展的空间。
一是交易安全标准。目前在电子商务中主要的安全标准有两种摘要:应用层的SET(安全电子交易)和会话层SSL(安全套层)协议。前者由信用卡机构VISA及MasterCard提出的针对电子钱包/商场/认证中心的安全标准,主要用于银行等金融机构;后者由NETSCAPE公司提出针对数据的机密性/完整性/身份确认/开放性的安全协议,事实上已成为WWW网络的应用安全标准。
二是交易安全基础体系。交易安全基础是现代密码技术,依靠于加密方法和强度。加密分为单密钥的对称加密体系和双密钥的非对称加密体系。两者各有所长,对称密钥具有加密效率高,但存在密钥分发困难、管理不便的弱点;非对称密钥加密速度慢,但便于密钥分发管理。通常把两者结合使用,以达到高效安全的目的。
三是交易安全的实现。交易安全的实现主要有交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的抵赖等等。具体实现的途径是交易各方具有相关身份证实,同时在SSL协议体系下完成交易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等。
随着电子商务的发展,网上交易越来越频繁,调用每项服务时需要用户证实身份,也需要这些服务器向客户证实他们自己的身份。而保障身份安全的最有效的技术就是PKI技术。PKI的应用主要是在它的CA认证技术。CA(Certification Authorty)是一个确保信任度的权威实体,主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证实—证书,任何相信该CA的人,按照第三方信任原则,都应当相信持有证实的该用户。CA也要采取一系列相应的办法来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅和密码学有关系,而且和整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,并能很好地和其他厂家的CA产品兼容。在不久的将来,PKI技术会在电子商务和网络安全中得到更广泛的应用,从而真正保障用户和商家的身份安全。
三、信息安全的发展方向
从历史角度看,我国信息网络安全探究历经了通信保密、数据保护两个阶段,正在进入网络信息安全探究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域,它综合利用了数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展探究,各部分相互协同形成有机整体。
安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。作为信息安全关键技术密码学,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制,克服了网络信息系统密钥管理的困难,同时解决了数字签名新问题,它是当前探究的热点。
[关键词]Agent 电子商务实验室 安全设计
电子商务实验室旨在建立一个Internet环境下的电子商务模拟环境,实现情景教学。若想成功地部署电子商务实验室,必须解决三个关键问题:高可用性、伸缩性和安全性。而安全性是其中最重要的环节,因此本文主要对电子商务实验室的安全性进行阐述。
一、电子商务实验室的安全需求
本课题所设计的系统有七个实验平台组成,它们分别是:一般教学、B2C、C2C、B2B、物流实验平台,以及电子银行和CA认证平台。每个平台相对独立又有一定关联,如B2C业务流程的完成需要结合CA认证、电子银行和物流管理等,因此不同平台安全需求也是多方面的。如何保证实验室系统交易的安全性、对个人信息提供机密性保障、认证交易双方的合法身份、如何保证数据的完整性和交易的不可否认性等,是实验室所需解决的核心问题。
二、电子商务实验室安全解决方案
当前,电子商务系统设计的架构大多采用B/S结构。B/S环境中各种安全功能都由服务器集中实现,因此服务器容易成为系统的安全瓶颈。服务器一旦被人入侵或出现问题,将对整个系统的安全造成严重的威胁。且不同子系统具有不同的安全需求,由服务器统一协调和处理它们之间的安全策略将大大加重服务器的负担。
当前的大多数电子商务系统都采用了结合硬件防火墙、软件防火墙和防病毒软件等。这些措施只提供了被动的、有限的安全防范能力,并不能满足多模块、多子系统的电子商务实验室的要求。并且这种解决方案缺少主动性和自我维护能力。
利用软件Agent的智能处理能力来解决各模块间的安全通信是一个很好的选择,软件Agent是一种计算机程序,具有反应性、自治性和目标性等特点,能够独立地跟环境进行交互或代表用户完成给定的目标。它不仅能对各模块的通信状况进行高度监控,而且各Agent能多层面的独立实现,各Agent之间也能相互协调、统一调度。
三、基于软件Agent的电子商务实验室安全设计
本人主持研究河北大学教改青年基金项目――基于LINUX的电子商务实验室(项目编号为:0575),此实验室服务器连接校园网,校园网又和互联网相连,因此服务器较容易成为被攻击或入侵的对象,所以本系统利用Agent技术来提高实验室的安全性。Agent可对用户的请示进行过滤,减少用户直接访问实验室服务器所带来的安全风险,同时可更方便地实现一些动态的安全策略。
1.基于软件Agent的安全设计模型
本实验室的Agent体系设计是分层次、分等级的结构,层次或等级根据系统的功能来划分,如图1所示。
图1 Agent的安全等级结构
每个平台由一个安全监控Agent负责管理本平台的安全,如有问题通知报警Agent,报警Agent会及时反馈给Agent安全管理中心的Agent进行相应处理,比如:退出登陆重新验证身份等。身份认证Agent负责对访问用户进行身份验证;授权Agent根据对已经通过身份认证Agent的用户进行授权,不同类型的登陆用户授权策略不同,实验的角色不同,授权的策略也不同,比如,B2C实验中,一位刚刚初始化的Customer(学生登录身份),授权内容中将包括B2C的买方界面,并且授权Agent指示电子银行模块自动给实验者初始资产一万元作为实验的资本,当然还有其他一些授权;跟踪Agent将全程跟踪用户的操作并详细记录到日志文件。
2.软件Agent的安全解决方案
移动Agent需要在不同的主机上迁移,实验室服务器是LINUX环境,而客户端往往是学生比较熟悉的windows操作环境,所以这里选择跨平台的J2EE开发本系统。J2EE不仅提供了一套安全机制,而且移动Agent中的许多功能在Java中有直接的对应实现。移动Agent状态的移动可以用Java对象的串行化表示;Agent代码的移动用字节码传递和加载;Agent运行上下文可用方法的控制流表示等等,具体的方案有以下几点:
(1)利用Java的字节码验证器保证Agent的正确性。字节码验证器可以检测Agent的程序代码是否被破坏,然后采取相应的措施。
(2)利用Java的类装载器、命名空间和线程组来实现动态Agent的隔离。可以把从不同来源载入的类隔离到不同的命名空间中,一个Agent不可能用它自己的类冒名顶替另一Agent的类,这样可以防止破坏性代码访问正常的代码,从而保证了Agent之间的安全。另外,每当一个新Agent到达后,就为其建立一个线程组。任何执行该Agent的线程其组号是相同的。那么,只要为这个线程组分配权限,即为该Agent分配了权限,就实现了Agent与主机的隔离。
(3)采用数字签名和加密算法实现Agent的传输与验证。系统对外来的Agent的身份进行数字签名验证,确定其是否为可信Agent。同时还可以利用Java加密扩展机制和Java安全套接字扩展机制结合来实现将Agent代码数据进行压缩后加密处理,经过压缩不仅降低了网络流量,而且也大大增加了破译该数据的难度。
3.软件Agent的实现
本系统的软件Agent的实现平台采用Aglet。Aglet为开放源码项目,用户不用考虑侵权问题。Aglet完全由Java编写,具有很高的移植性。Aglet包含了一个运行移动Agent的服务器和一套类库,基于它开发者可以进一步开发各种Agent的应用。Aglet的系统架构主要分为四个阶段,如图2所示。
图2 Aglet系统架构
当一个正在执行的Aglet将自己送到远程端口时,会对Aglet Runtime层发出请求,然后把Aglet的状态与程序代码序列化(serialized )成字节数组(byte array),若是请求成功,系统会将Aglet的执行动作结束,然后将序列化数组传送至ATCI(Agent Transport and Communication Interface)层处理。
Agent安全管理中心统一管理各个安全Agent的基本行为:如产生(Create)、复制(Clone)Agents ,或分派(Dispatch)Agents 到远端工作站、召回(Retract)远端的Agents,或暂停(Deactive)、唤醒(Active)Agents,以及移除(Dispose)Agents等,如图3所示,不管是何种Agent均继承Aglet类,可以通过覆盖父类的方法来实现自己的“特殊要求”。
图3 Agent的对象模型
各监控Agent由管理中心分派到各个实验平台进行监控,等客户端做完实验后正常退出,然后移除Agent监控对象,如果出现安全问题,传递消息给报警Agent对象,再交由Agent管理中心负责进一步处理。
参考文献:
[1]Jian Li,Guo-yin Zhang Gu, A Workflow System Based Architecture for Network Attack Resistant System,GCC2003, LNCS3032, pp.980~983,2004
关键词:电子商务;网站开发;安全策略;网站性能;网站部署
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 09-0000-01
E-commerce Site Construction Safety Research and Practice
Guo Bin
(Hunan Xiangtan Education College,Xiangtan411100,China)
Abstract:With the network technology continues to progress and development,gave birth to the birth of electronic commerce,its high efficiency and low cost advantages to grow quickly.As a new e-commerce trading,enterprises and users use a more convenient and intuitive information exchange platform has gradually become a new impetus to economic growth.
How the advantages of internet to establish a secure operating environment,protection of trade for both information security,a depth of e-commerce process,a problem can not be ignored.
Keywords:Electronic commerce;Web development;Security policy;Site performance;Site deployment
近几年,电子商务的蓬勃发展已经成为经济增长的重要组成部分。作为一种新兴的交易方式,电子商务效率高、成本低的运作优势已经逐步得到公众的认可。然而,作为借助网络依托而产生的交易方式,网上的信息安全成为了制约电子商务发展的最大难题。因此,如何结合网络安全措施,确保企业网上信息的完整性和交易客户信息的私密性,是电子商务网络平台应该提供的最基本安全保障。建立起安全、便捷、友好的交易界面,增加产品信息的开放性,是电子商务走向繁荣的必经之路。
一、电子商务网站建设过程中的安全性研究与实现
电子商务网站的建设不仅要考虑到企业信息的开放性,也要考虑到交易过程的私密性。借助计算机网络提供的便捷服务,要建立在信息交互保密的基础上,在网站的设计、开发和投入使用过程中只有解决了根本上运营保障问题,才能够发挥电子商务强大的功能力量,成为企业与用户双向选择的焦点所在。
(一)敏感字段的加密过程
任何一个电子商务网站,从根本上来讲是一个信息交互的平台,只有实现了信息传输的安全保护,才能够完成电子商务网站的基本构建。在网络上的信息,要防止非法的肆意篡改,对于电子商务网站还包括了用户之间交易时私密信息被窃取的风险,这些都是网络数据传输中不可避免的问题,只有从信息安全技术手段上进行改进,对电子商务网站上的信息进行加密处理,才可能避免以上情况的发生,降低用户因信息丢失造成损失的风险。采用敏感字段加密技术,对浏览器的客户端采用数字安全证书认证的方式,对用户的身份、信息和访问级别进行识别,一方面保证了用户信息的私密性,另一方面也保护了网站上信息的安全。此外,由于敏感字段被加密,即便出现了信息被截取或盗取的情况,也由于难以破解加密的密文,而免于重要信息的泄露风险。
(二)数据存储与查询的效率性
消费者对电子商务网站的访问,大部分操作是以信息查询为主,提高网站信息的查询效率和检索信息的准确性,可以在极大程度上促进企业与消费者的交易成功率。每个消费者都有各自的消费主张和产品性能关注点,因此,电子商务网站就是要在数据存储过程中尽量避免冗余信息的录入,造成查询效率低下,降低电子商务的功效性。因此,要严格遵守数据库的设计规范,将网上的信息关键字与敏感字段系统的编辑起来,提高数据存储空间的使用效率。
(三)硬件密钥与身份确认
为了保护Web页面信息的安全,应采取网页内嵌ActiveX控件的形式,结合硬件密钥来共同工作,保护网页信息与用户发出信息的安全。在用户浏览网站产生数据流的同时,可以启动ActiveX的自动下载,也可以在客户界面弹出询问对话框,确认ActiveX的运行,提醒用户网页的保护状态。硬件密钥内包含了用户的私人信息,连接到Web页面上,经过认证后,就可以保证交易过程的顺畅进行。
(四)部署安装中的安全性实现
电子商务的技术支持基础来源于计算机技术与网络技术的结合,信息安全一直是一个此消彼长的过程,安全问题的不断暴露,也促使了计算机安全与网络技术的不断成熟。一旦在基础的支持技术出现了发展滞后的情况,就等于是在自身的网站建设上将问题暴露人前,给信息窃取提供了可乘之机。对服务器的监控和服务器操作系统的安全升级,是整个网站部署安装过程中的安全保障根本,同时限制用户对服务器的访问权限,杜绝账户划分不适当带来的用户权限过大,带来威胁网站服务器安全的情况发上。具体划分为FTP组,MAIL组,DNS组等,他们之间没有交叉,管理员帐户只有一个,并且密码每周需要更换,其他组用户密码也要定期更换,以防止密码丢失。此外,也要分离各功能服务器独立运转系统,预防某一功能故障而引发整个系统的崩溃。服务器与网络的连接必然会遭受到网络上病毒与漏洞的攻击,要采用强大的杀毒软件全面保护服务器系统内部的安全,隔离病毒感染、及时修复、监控系统漏洞。
二、结语
针对电子商务网络信息传输的特点,分析了电子商务网站建设过程中的安全问题,在网站的基础构建过程中,重视信息安全的保护,提高电子商务应用的安全性。结合计算机技术与网络技术的发展趋势与技术支持方式,从数据加密、传输加密、电子签名和数据库安全等环节入手,全面提高电子商务网站的防攻击抵抗能力,全面考虑网站开发和应用过程中可能遇到的各种安全问题,予以有效解决,打造一个安全、便捷的交易平台,建造一个人性化的交易环境,为经济发展提供新的动力来源。
参考文献:
[1]方美琪.电子商务概论[M].北京:清华人学出版社.2009:12-13
[2]贾伟.网络与电子商务安全[M].北京:国防工业出版社.2009:23-24
[关键词] 电子商务信息加密案例教学
目前电子商务安全问题已经成为制约电子商务快速发展的障碍。因此,了解和掌握安全技术,已经成为从事电子商务人员的必备知识。为此,目前很多高校电子商务专业都开设了《电子商务安全技术》课程。如何针对该课程的特点使学生掌握安全知识和技术,是教师在课程设计中最为重视的问题。笔者结合该课程的讲授经验,从教学内容、教学方法、实验教学等方面进行了探索。
一、课程特点
《电子商务安全技术》课程是电子商务专业的专业课程。该课程的目标是要求学生在掌握基本概念和理论的基础上,结合实际问题,在电子商务的实施中应用有关技术为具体商务过程的实现提供安全保障。该课程内容非常庞杂且综合性强,包括信息加密技术、计算机网络安全技术、电子支付技术等。
该课程的突出问题是学习内容多,课时少。仅计算机网络安全技术一项内容,就是一门独立的课程。然而该课程安排课时为44学时。因此,在有限的学时内,不可能详细讲解所有内容。为此,我们精心设计教学内容和实验,采用小组讨论、案例教学等教学方法,取得了不错的效果。
二、教学内容设计
《电子商务安全技术》课程的教学内容包括以下8个部分:电子商务安全概述、信息加密技术、计算机网络安全技术、公钥基础设施(PKI)、电子支付技术、电子商务安全交易协议、安全电子商务应用、其他电子商务安全技术。教学内容的设计原则如下:
1.重视信息加密技术。信息加密技术是其他技术的核心,是电子商务安全的基石。在教学过程中,应该把对称加密和非对称加密的原理、特点讲透。对于对称加密可首先以恺撒密码、换位密码算法为例来讲解,这些算法简单,学生理解起来较为容易。而对于非对称加密算法,可以RSA算法为例来讲解,让学生能理解该算法的优点和不足。学会了加密技术,在理解数字签名、公钥基础设施等这些应用加密算法的技术时就会容易得多。
2.重视计算机网络安全技术。电子商务是基于Internet网络的商务模式,因此,电子商务的安全是以计算机网络的安全性为基础的。因此,在教学过程中,必须教导学生重视计算机网络安全技术,必须掌握基本的网络安全攻防体系、防火墙、虚拟专用网、入侵检测系统等网络安全的主要技术和解决方案。
3.加强流行技术和新技术的讲解。电子商务安全相关的新技术不断涌现。例如,在电子支付技术中,除了信用卡电子支付、电子支票、电子现金支付方法,比较流行的还有支付宝等第三方支付方法;随着移动电子商务的流行,无线电子商务安全技术逐渐被人们所重视;信息隐藏技术、数字水印技术和数字版权保护等新技术已成为了非常热门的话题。在教学中,可简单介绍这些新技术,学生根据自己的兴趣进一步跟踪和探索。
三、教学方法
教学方式主要采用多媒体教学。在多媒体课件的设计上,主要以设置问题、讨论解答的方式来引出各个知识点,以便激发学生的求知欲。提出问题后,可以组织学生分组讨论,或者师生共同讨论来给出问题的答案,并总结知识点。
根据教学内容的不同,采用灵活多样的教学方法,如小组讨论、案例教学等。比如:在讲解电子支付时,先在课前布置学生收集5个国内电子商务网站的电子支付方式,而后在课堂上进行小组讨论,结合实际情况来加深学生对知识点的掌握。在讲解网络防火墙技术时,收集某连锁店网络和九运会防火墙配置案例,让学生更加直观地理解防火墙的实际应用情况。
四、实验内容
实验教学是为学生理解课程内容而设计的。通过实验教学的实施,使学生掌握课程内容,以及电子商务安全技术的操作与配置方法。实验设计的原则是:
1.强调基础。结合学习内容的各主要知识点来设计实验。通过实验,让学生理解各知识点,并会加以运用。
2.既有验证性实验,也有设计性实验。通过验证性实验,掌握各个技术。通过设计性实验,综合应用各种技术,培养学生解决实际问题的能力。
根据上述原则,我们设计了7个实验,如下表所示。
其中实验1属于调查分析类,该实验的目的是通过调查分析当前大型电子商务网站,掌握常用的安全措施。具体要求是了解2个国内大型电子商务网站如eBay网、淘宝网的电子商务安全措施。
实验2到实验6是属于操作性和验证性的实验。通过实际操作,理解课堂所学的理论知识,并进一步掌握各种电子商务安全技术的应用方法。实验3中的防火墙、VPN、入侵检测这三个内容,由于课时的关系,可以把防火墙作为重点,其他两个作为课下作业。
实验7是设计某小型电子商务系统的安全解决方案,这是一个设计性实验。该实验需要综合运用各种安全技术,并写出方案报告。
五、学习效果
在教学实践过程中,学生实验报告、案例分析报告都撰写得不错。同时本课程很受学生欢迎,取得了令人满意的教学效果。
参考文献:
[1]张爱菊:电子商务安全技术[M].北京:清华大学出版社,2006
关键词:实践教学;教学改革;教育质量
中图分类号:G642.4 文献标志码:A 文章编号:1674-9324(2013)35-0039-02
伴随着知识经济的兴起,高等教育的历史使命和人才培养目标发生了巨大变化,创新教育成为各国教育改革的主题。为了适应创新教育,培养创新型人才,教育教学的传统方式必须变革[1]。中央和各级政府教育行政部门、各高等学校十分重视对大学生实践和创新能力的培养,教育部把实践教学作为高校本科教学工作水平评估的关键指标之一,各高等学校采取切实有效措施,积极开展实践教学改革,多渠道筹措经费加大实验室建设投入,极大地改善了实验教学条件,对提高学生的实践创新能力产生了积极影响[2]。
一、实践教学体系概述
实践教学指具有实践性的教学活动。实践教学存在于整个教学过程之中,包括理论实践教学和社会实践教学。要做好实践教学工作,首先应该建立并完善实践教学体系,通常实践教学体系分为实践教学目标体系、实践教学内容体系、实践教学管理体系、实践教学保障体系和实践教学评价体系。实践教学体系的建设应该遵循以下几个原则:
1.特色性原则:确立以素质教育为核心,技术应用能力培养为主线,应变能力培养为关键,产学研结合为途径,与时俱进的人才教育培养模式是实践教学体系构建中遵循的原则。
2.实用型原则:实践教学体系的构建,要充分体现专业岗位的要求,与专业岗位群发展紧密相关。以此为原则组成一个层次分明、分工明确的实践教学体系。
3.混合型原则:混合型体现在教师类型的混合、理论教学和实践教学的混合、教室与实验室的混合等方面,淡化理论教学与实践教学、专业教师与实践指导教师、教室与实验室的界限,打破原来按学科设置实验室的传统布局,对实践教学设施进行重新整合,形成一体化混合实践教学模式。
实践教学体系的目标是:以职业能力培养为主线,使学生获得实践知识、开阔眼界,丰富并活跃学生的思想,加深对理论知识的理解掌握,进而在实践中对理论知识进行修正、拓展和创新。在确定具体课程实践教学体系目标的前提下,如何有针对性地设置具体的实践教学内容尤为重要。实践教学的内容是实践教学目标任务的具体化,将实践教学环节通过合理配置,构建成以技术应用能力培养为主体,按基本技能、专业技能和综合技术应用能力等层次,循序渐进地安排实践教学内容,将实践教学的目标和任务具体落实到各个实践教学环节中,让学生在实践教学中掌握必备的、完整的、系统的技能和技术[3]。
二、电子商务安全实践教学内容设置
电子商务安全课程是新兴的边缘交叉性课程,是在网络安全的基础上结合电子商务的领域的实际应用发展而来的一门具有一定针对性的课程,也是电子商务专业学生的一门专业主干课程。考虑到经营管理活动中计算机的普及和网络通信的快速发展,该课程是作为21世纪大学生尤其是电子商务专业的学生应该了解、掌握的一门学科,通过该课程的教学,学生初步了解电子商务安全的内涵和电子商务支付系统的构成,并且对网络常见的攻击手段、主要安全产品的功能、常用的电子支付工具等进行了解,以解决实际应用中遇到的问题[4]。
1.实验项目安排。本课程实践教学部分主要让学生对电子商务安全与支付在理论和实践上有一个全面的认识。要求学生通过大纲中的实验设置,了解电子商务安全与支付的现实环境;了解电子商务客户机和服务器的安全设置;熟悉基本的电子支付工具的使用,掌握数字证书的申请、安装和使用流程;了解SSL证书的申请流程。针对本课程的培养目标进行合理的实验教学安排,具体实验项目如表1所示。
2.实验项目的具体内容。实验1:了解电子商务安全与支付的现实环境:通过本次实验了解中国互联网发展状况,特别是有关电子商务发展的现状,认真体会,结合自己课余所见的实际情况进行总结。实验内容:阅读比较CNNIC最新的《中国互联网络发展状况统计报告》中关于安全支付的数据及分析,了解中国电子商务发展的现状。实验2:电子商务客户机安全:通过本次实验了解电子商务客户机存在的安全风险及对应的安全措施。实验内容:防病毒软件的安装和使用、IE对安全区的设置、检测活动内容、处理cookie。实验3:中银电子钱包及网上银行:通过本次实验了解电子钱包、电子信用卡在网上支付中的功能及使用过程。实验内容:中银电子钱包的使用、个人网上银行专业版的设置及使用。实验4:个人数字证书:通过本次实验了解数字证书的基本类型,个人数字证书的下载安装。实验内容:个人数字证书的下载、安装、查看、导入和导出。实验5:SSL证书申请:通过本次实验了解利用Microsoft IIS Web Server申请SSL证书的基本流程。实验内容:在Microsoft IIS上生成公私钥对和证书请求、保存证书请求文件、安装CA中心的根证书、安全Web Server证书。
电子商务安全是一门实践性很强的课程,有难度且极具挑战性,因此,电子商务安全的实践教学应该根据学生的实际情况酌情安排。笔者在几年的课程教学过程中尝试了一些改进本课程教学的方法。总结得出:最优方式是让学生置身于其中,让学生积极参与其中,享受创造的乐趣。经过对本实践课程安排前后的对比发现,学生对本课程的兴趣有极大提高,对理论教学部分的理解也大大加深。
参考文献:
[1]曹凤月.课堂实践教学:高校实践教学的基础环节[J].中国劳动关系学院学报,2009,4(23):106-109.
[2]郑春龙,邵红艳.以创新实践能力培养为目标的高校实践教学体系的构建与实施[J].中国高教研究,2007,(4):85-86.
[3]朱正伟,刘东燕,何敏.加强高校实践教学的探索与实践[J].中国大学教育,2007,(2):76-78.
