电子商务系统安全的需求分析
    从电子商务系统与一般信息系统的共性与区别我们可以看出，电子商务系统除了面临一般信息系统所涉及的安全威胁之外，由于其包含众多有关企业商业数据以及电子支付相关数据，因此它更容易成为不法分子攻击的目标，其安全性需求普遍高于一般的信息系统。
    传统的信息系统所面临的威胁包括:硬件、操作系统、网络、中间件、数据库、应用程序、Web 应用等设计实现漏洞、配置错误等引发的各种攻击，包括病毒、木马、恶意代码、SQL 注入、跨站脚本、分布式拒绝服务攻击、中间人攻击等，导致基础设施及数据的完整性、机密性和可用性遭受破坏。
    在计算机网络方面，目前互联网上使用的网络协议TCP/IP本身并非专为安全通信而设计，所以网络系统存在大量安全稳患和成胁。网络入侵者一般会采用预攻击探测、窃听等搜集目标的信息，然后利用担绝服务攻击或分布式拒绝服务攻击技术阻碍计算机网络的正常服务，或使用堆栈溢出等远程网络层漏洞攻击手段进入被攻击的目标获得管理员权限，并任意篡改数据。
    在操作系统方面，由于现代操作系统的代码庞大，从而不同程度上都存在一些安全漏洞。一些广泛应用的操作系统，如UNIX 、Windows ，其安全漏洞更是难以计数。另一方面，系统管理员或使用人员对复杂的操作系统和其自身的安全防护技术了解不够，配置不当也会造成系统安全隐患。
    在数据库方面，数据库是信息和数据存放的基础和平台，但由于其本身过于庞大和复杂，存在各种可能的诸如用户权限管理、文件权限管理、数据保密等方面的安全隐患和安全漏洞，所以其安全问题也一直是数据库管理人员最头疼的问题。
    在应用软件方面，应用软件在开发时的编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数:程序员忘记检查边界条件，特别是处理字符串的内存缓冲时，程序员忘记最小特权的基本原则。这些程序错误都有可能会被黑客周到攻击计算机系统的行为中。
    通过上述分析，电子商务系统的基础设施安全需求包括如下方面:
    (1)计算机硬件的安全性与可靠性
    计算机硬件是核心基础软件以及上层应用的执行体，它的安全性与可靠性直接关系到整个电子商务系统的可用性。硬件的安全性与可靠性除了依赖于硬件产品的品质，还需要关注数据中心或机房的安全性，例如防雷、防电、防火、防水、温度控制、湿度控制、不间断电源、冗余线路等，通过硬件安全防护措施确保基础设施硬件的稳定可靠。
    (2) 计算机网络的安全性
    由于电子商务系统往往通过互联网与外部连接，通过局域网与内部信息系统连接，因此计算机网络的安全性对于电子商务系统而言尤为重要。通过防火墙、入侵检测、防病毒、防分布式拒绝服务攻击、虚拟局域网、虚拟专用网、堡垒主机等技术手段，对网络设置安全域，通过边界控制与纵深防御，对网络环境进行净化处理。
    (3)操作系统的安全性
    操作系统是电子商务系统的基础软件，它的稳定可靠性与安全性直接关系到上层服务软件与应用软件的安全性。通过补丁升级、开启安全策略、实施安全加固、实施访问控制等手段，确保操作系统稳定可靠运衍，防止攻击者通过系统漏洞实施提前攻击。
    (4) 数据库的安全性
    数据库是企业各类数据的集中存储地，也是企业的核心资产，数据的安全性直接关系到企业的生存。通过合理规划数据库模式、实施访问控制机制、落实数据连续性策略、数据库安全加固等手段，确保数据岸自身及数据库中数据的机密性、完整性和可用性。
    (5) 应用软件的安全性
    应用软件是电子商务系统业务逻辑的核心，也是电子商务系统中最为关键的一环。通常而言，应用软件由于开发人员技术水平、开发周期约束、编程语言自身漏洞、协议漏洞等因素，往往成为最容易攻击和渗透的脆弱点，因此，通过代码静态与动态分析、安全编码、最佳编程实践等方式，提升代码质量，预防常见安全漏洞。
    电子商务系统在一般信息系统面临的威胁之外，更需要关注电子交易的安全。电子交易的安全则是指通过一系列的措施保证交易过程的真实可靠、完整、不可否认和机密。与基础设施安全相比，电子交易安全更侧重于交易过程。
    电子交易普遍存在着以下安全隐患：
    (1)信息窃取
    当数据信息在网络上以明文形式或弱加密形式传送时，攻击者可以在数据包经过的网关或路由器上截获传送的信息。通过多次窃取和分析，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输的交易信息的泄密。
    (2) 信息篡改
    当攻击者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。
    (3)身份假冒
    当攻击者掌握了网上交易数据的格式后，就可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信怠。
    (4) 交易的否认
    由于商情的千变万化，交易一旦达成是不能被否认的；否则必然会损害交易一方的利益。
    通过上述分析，电子商务系统中的电子交易安全需求包括以下几个方面。
    (1)交易的真实性
    所谓交易的真实性是指交易开始前，买卖双方能够辨别对方的身份是真实的。由于电子商务在网络上进行，买卖双方实际上都是在和虚拟的对手进行交易，该过程存在的潜在风险是:对方的真实身份是否与其在网络上声称的一致，是否存在诈骗的可能。网络上进行电子商务的买卖双方可能远隔千里、甚至跨越国境，在这种情况下辨别交易对方的真实性就显得尤为重要。
    交易的真实性涉及到电子商务系统中的认证。认证实际上类似于传统交易中的"中人"或者"保人"交易的双方都可能对对方不信任，但是只要他们都信任证书中心CA ，而CA 证实双方的身份，那么买卖双方就可以取得彼此的信任。同时，认证不是没有依据的，需要一定的证据加以证明，电子交易过程中的这种证据就是一些信息(例如密码、电子签名等）。
    (2) 交易的完整性
    交易的完整性则是指交易数据在传输过程中不会被恶意或意外地改变、毁坏。交易的保密性尽管能够保证交易数据传输中不被窃取，但是不能保证传输中可能发生某种意外或者非授权情况下的破坏，同时也难以保证数据传输的顺序统一。而完整性对交易中的敏感数据是非常重要的，例如扣款过程中扣款需要在交易双方的资金账户上进行操作，如果交易不完整而只在一方账户上进行了操作，那么结果是难以预料的。
    (3)交易的保密性
    交易的保密性也称为交易的隐私性，是指交易双方的信息在网络传输或者存储中不被他人窃取。传统的交易活动中，敏感性的数据例如商务合同、信用卡号码、交易机密等可以通过文件的封装或者可靠途径传递，以此来保证数据的安全。商在开放的互联网上，由于TCP/IP 协议采用IP 报文交换的方式，因而存在数据被窃取的可能。所以，电子交易过程中保证交易数据的隐秘，就显得尤为重要。
    电子商务交易的保密性主要通过"数据不被窃取、窃取不被破译"的思路来保证的。具体而言"数据不被窃取"是通过像防火墙、IPSec 等手段实现，而"窃取不被破译"则主要利用了各种数据加密手段，例如DES 、RSA 等。
    (4) 交易的不可抵赖性
    不可抵赖性也称为不可否认性，主要指交易双方不能否认彼此之间的信息交流。传统的交易过程中，尽管双方可能不见面，例如邮购过程是很难抵赖的，因为有足够的证据(例如邮购的单据、凭证等)证晓买方或者卖方的行为。而网络上的交易，则可能出现这种情况，例如目前国内常见的"送货上门、货到付款"扣除道德原因，确实很难找出证据证明某笔订单确实是否是买方的。电子交易的不可抵赖性不像传统交易那样通过"白纸黑字"的签字、盖章加以确认，但采取了类似的思路，通过电子签名加以确认。电子交易的安全和电子商务基础设施安全是一个整体，不能割裂开来分别考虑。基础设施的安全是电子交易安全的基础，不能设想电子交易过程在一个漏泪百出的环境中存在安全性。同时，电子交易的安全是信息基础设施安全的延伸，它是在传统密码学、信息系统安全基础上，针对电子交易过程特有的要求，通过在网络、认证等方面增添相关的技术措施实现的。所以，在设计电子商务系统的安全系统时，应当从基础设施和电子交易两个层次出发，不能偏废。在电子商务系统设计阶段，对于主机、数据岸、操作系统和其他系统软件，要充分考虑到这些系统是否是安全的，能否抵赖潜在的戒胁。在设计商务应用软件时，也要考虑到如何能够保证交易过程是可靠、可信的。
    另外，电子商务系统的安全威胁不仅来自外部，绕计资料表明，更多的威胁是来自电子商务企业的内部，是由于企业内部安全管理的措施不到位造成的。因此，在考虑电子商务系统的安全设计时，不能单纯地将其作为一个技术问题，也要同步考虑相关的安全策略、安全管理问题。只有将软、硬措施都考虑到，才能尽可能减少电子商务系统的安全风险。这是在电子商务系统安全设计中需要注意的一个问题。
    在了解电子商务系统的安全需求之后，需要对电子商务系统所面临的风险进行分析和评估。决定电子离务系统敏感性等级的因素有两个：第一个是事故的直接后果。第二个应考虑的因素是政治上和企业的敏感性。风险评估流程如图8-2 所示。

    资产识别与估价是针对企业现有信息系统及资产的识别，这是任何一个企业在进行信息安全评估所必须要做的基础性工作。通过识别每一个企业资产，可以有效地针对威胁和影响进行建模分析。
    威胁识别与评价可参考表8-1 所示。

    详细的风险评估活动如表8-3 所示。

    通过分析以下因素，可以定义电子商务系统的安全需求:需要保护的资源、资源面临的威胁以及威胁发生的几率。通过风险分析，可以确定安全规划的范围。安全规划首先需要定义规划的范围，以指明规划能够处理哪些风险。规划范围准确地限定了安全规划将处理电子商务系统中的哪个区域。设计安全方案之前，企业必须定义规划的范围，以指明将来的安全方案准备处理哪些风险。