电子商务的安全-一个生命周期的方法【外文翻译】.doc

1、外文翻译ECOMMERCESECURITYALIFECYCLEAPPROACHDEPARTMENTOFCOMPUTERSCIENCEANDENGINEERING,JADAVPURUNIVERSITYSENGUPTA,CMAZUMDARANDMSBARIKABSTRACTTHERAPIDEVOLUTIONOFCOMPUTINGANDCOMMUNICATIONTECHNOLOGIESANDTHEIRSTANDARDIZATIONSHAVEMADETHEBOOMINECOMMERCEPOSSIBLELOWERINGOFTHECOSTOFOPERATION,INCREASEINTHESPEEDOFTR

2、ANSACTIONS,ANDEASYGLOBALREACHTOCUSTOMERSANDVENDORSHAVEBEENTHEREASONSFORTHEOVERWHELMINGPOPULARITYOFTHISNEWWAYOFCOMMERCETHISARTICLEEXAMINESTHEISSUESRELATEDTOTHESECURITYOFTHEASSETSANDTRANSACTIONSINTHEECOMMERCECOMPONENTSANDACTIVITIESSINCELARGEPUBLICMONEYISINVOLVEDINTHETRANSACTIONS,THEROLEOFINFORMATIONSE

3、CURITYANDPRIVACYISNOTEXAGGERATEDINTHISKINDOFBUSINESSAFTEREXAMININGTHETECHNOLOGIESUSEDINECOMMERCE,THEARTICLEGOESONTOIDENTIFYTHESECURITYREQUIREMENTOFECOMMERCESYSTEMSFROMPERCEIVEDTHREATSANDVULNERABILITIESTHENECOMMERCESECURITYISVIEWEDASANENGINEERINGMANAGEMENTPROBLEMANDALIFECYCLEAPPROACHISPUTFORWARDHOWTH

4、EECOMMERCESYSTEMSCANBEMADESECUREUSINGTHELIFECYCLEAPPROACHISOUTLINEDTHERELEVANTSTANDARDSANDLAWSAREALSODISCUSSEDINTHEPERSPECTIVEOFECOMMERCETHEARTICLECLOSESWITHSOMEFUTURERESEARCHDIRECTIONSANDCONCLUSIONS1INTRODUCTIONTOECOMMERCETOMANYPEOPLE,THETERMELECTRONICCOMMERCEKALAKOTABMALICIOUSCODESCSERVERSIDEMASQU

5、ERADING32COMMUNICATIONCHANNELTHREATSACONFIDENTIALITYTHREATSBINTEGRITYTHREATCAVAILABILITYTHREATS33SERVERTHREATSAWEBSERVERTHREATSBCOMMERCESERVERTHREATSCDATABASETHREATSDCOMMONGATEWAYINTERFACETHREATSEPASSWORDHACKING4SECURITYPOLICYTHEFIRSTSTEPINSECURINGANECOMMERCEVENTUREISTOFORMULATEWRITTENSECURITYPOLICI

6、ESWHICHCLEARLYDEFINETHEREQUIREMENTSFOREACHCOMPONENTOFTHESYSTEMHUMAN,TECHNOLOGICAL,LEGALANDHOWTHEYINTERACTANORGANIZATIONSSECURITYPOLICYDEFINESITSPOSITIONONTHEPROTECTIONOFITSPHYSICALANDITASSETSITIDENTIFIESTHEPHYSICALANDINTELLECTUALPROPERTYASSETSTHATAREMOSTVALUABLEFORTHECONTINUEDSUCCESSOFTHECOMPANY,AND

7、SPECIFIESHOWTHEYSHOULDBEPROTECTEDTHESECURITYPOLICYMAYCOVERISSUESLIKE1WHATSERVICETYPESEG,WEB,FTP,SMTPUSERSMAYHAVEACCESSTO2WHATCLASSESOFINFORMATIONEXISTWITHINTHEORGANIZATIONANDWHICHSHOULDBEENCRYPTEDBEFOREBEINGTRANSMITTED3WHATCLIENTDATADOESTHEORGANIZATIONHOLDHOWSENSITIVEISITHOWISITTOBEPROTECTEDWHATCLAS

8、SOFEMPLOYEESMAYHAVEREMOTEACCESSTOTHECORPORATENETWORK1ROLESANDRESPONSIBILITIESOFMANAGERSANDEMPLOYEESINIMPLEMENTINGTHESECURITYPOLICY2HOWSECURITYBREACHESARETOBERESPONDEDTOTHESECURITYPOLICYSHOULDALSOCONSIDERPHYSICALASPECTSOFNETWORKSECURITYFOREXAMPLE,1WHOHASACCESSTOTHECORPORATESERVER2ISITINALOCKEDENVIRON

9、MENTORKEPTINANOPENOFFICE3WHATISTHEPROCEDUREFORDETERMININGWHOSHOULDBEGIVENACCESSTHESECURITYPOLICYREGULATESTHEACTIVITIESOFEMPLOYEESJUSTASMUCHASITDEFINESHOWITINFRASTRUCTUREWILLBECONFIGUREDTHEPOLICYSHOULDINCLUDEDETAILSONHOWITISTOBEENFORCEDANDHOWINDIVIDUALRESPONSIBILITIESAREDETERMINEDFORITTOBEEFFECTIVE,T

10、HEPOLICYNEEDSREGULARTESTINGANDREVIEWTOJUDGETHESECURITYMEASURESTHEREVIEWPROCESSNEEDSTOTAKEINTOACCOUNTANYCHANGESINTECHNOLOGYORBUSINESSPRACTICESWHICHMAYHAVEANINFLUENCEUPONSECURITYLASTLY,THEPOLICYITSELFNEEDSTOBEREGARDEDASALIVINGDOCUMENTWHICHWILLBEUPDATEDATSETINTERVALSTOREFLECTTHEEVOLVINGWAYSINWHICHTHEBU

11、SINESS,CUSTOMERSANDTECHNOLOGYINTERACT5SECURITYINFRASTRUCTURESTHESECURITYINFRASTRUCTUREISTHEIMPLEMENTATIONOFTHESECURITYPOLICYTHESECURITYINFRASTRUCTUREISTHETECHNOLOGYWHICHISCHOSENTOSECURETHEEBUSINESSANDTHERULESBYWHICHITOPERATESSOMEEXAMPLESOFTHISINCLUDE1ENFORCINGPASSWORDAGINGANDEXPIRATION2ENFORCINGTHEC

12、OMPLEXITYOFPASSWORDS3BLOCKINGPROHIBITEDOUTBOUNDCONNECTIONSFROMTHEFIREWALL4REQUIRINGDIGITALCERTIFICATESTOAUTHENTICATEREMOTEACCESSCONNECTIONSTOANORGANIZATIONSNETWORK5REQUIRINGBADGESFORPHYSICALACCESSTOBUILDING6REQUIRINGALLPHYSICALACCESSTOSERVERSTOBERECORDEDINAWRITTENLOGAGAIN,THESECURITYINFRASTRUCTUREEN

13、TAILSMANAGINGTHEBEHAVIOROFBOTHITANDHUMANRESOURCESITSHOULDBEREGULARLYPOLICED1WHOCHECKSWRITTENLOGS2HOWOFTENAREFIREWALLREPORTSCHECKEDFINALLY,ITMUSTBEENFORCEDTHEPENALTIESFORBREACHESOFTHESECURITYPOLICYMUSTBEMADECLEARTOALLEMPLOYEESANDPARTNERSANDMUSTBEENFORCEDIFPOLICYREQUIREMENTSAREBROKENORIGNORED7CONCLUSI

14、ONELECTRONICCOMMERCEISGROWINGRAPIDLYANUMBEROFTECHNOLOGIESHAVECONVERGEDTOFACILITATETHEPROLIFERATIONOFECOMMERCETHERAPIDADVANCESINCOMPUTERTECHNOLOGYCOUPLEDWITHRAPIDACCELERATIONINCOMMUNICATIONNETWORKSANDTHEDEVELOPMENTOFSOPHISTICATEDSOFTWAREHAVEREVOLUTIONIZEDTHEWAYBUSINESSISDONEHOWEVER,THISISNOTSUFFICIEN

15、TTOPROLIFERATEECOMMERCEAPPLICATIONSPROPERMANAGEMENTOFENTERPRISEINFORMATIONSECURITYRESOURCESISTHENEEDOFTHEHOURWEHAVE,INTHISPAPER,PUTFORTHASECURITYENGINEERINGLIFECYCLEAPPROACHTOMANAGETHEINFORMATIONRESOURCESOFANENTERPRISESOTHATEBUSINESSCANBECARRIEDOUTSECURELYWITHPROPERUNDERSTANDINGOFBUSINESSNEEDSANDMAN

16、AGEMENTOFENTERPRISEINFORMATIONSECURITYRESOURCES,ECOMMERCEWILLMATUREPROFUSELYANDWILLIMMENSELYBENEFITEVERYINDIVIDUAL译文电子商务的安全一个生命周期的方法计算机科学工程系贾达沃普尔大学SENGUPTA,CMAZUMDARANDMSBARIK摘要计算机的演化，通信技术和写作技术的快速发展都已经使得电子商务繁荣发展起来。降低运作的成本、增加交易的速度，并且更加容易的获得全球的客户和供应商已经成为这种贸易的新途径全面受欢迎的原因。本文将研究的问题是有关于在电子商务组件和活动时所产生的资产和交

17、易的安全问题。由于大型的公共资金参与了交易，在这种商业种类中信息安全和隐私的作用是并不夸张的。在研究出用于电子商务的技术后，该文将继续从潜在的威胁和漏洞中识别商务系统中的安全需求。电子商务安全是被看作一种工程管理问题和一个生命周期方法而被提出。如何将电子商务系统安全的用于生命周期方法将被表述出来。从电子商务的角度上来看，也对有关的标准和法律进行了讨论。本文的最后也分析了一些关于未来的研究方向和结论。1电子商务的介绍对于许多人来说，电子商务一词（KALAKOTAB即时性的结果C开放性和可访问D丧失抵押品信息E全球化F新的商业模式3威胁电子商务安全需求定义电子商务的安全需求是通过检查整个过程来进行

18、学习的，开始是与消费者，而结束是与商业服务器。考虑每个逻辑链路中的“商业链”，这个资产必须被保护并且确保电子商务的客户端计算机的安全，这个信息在通信途径中运用，网络和电子商务服务器包括任何硬件都将连接到服务器。当电信作为主要的资产之一被保护时，电讯的联系不仅仅是会在电脑中和电子商务的安全中被关注，举个例子，如果电讯的联系被安全的保护，但没有采取任何安全措施，却被实施到另外的客户端计算机或电子商务和网络服务器，那么通讯的安全性将不再存在。31客户端的威胁A活动内容B恶意代码C服务器端的伪装32沟通渠道的威胁A保密性的威胁B完整构成威胁可用性构成威胁33服务器的威胁AWEB服务器的威胁BCOMME

19、RCE服务器的威胁C数据库威胁D公共网关接口的威胁密码被窃取4安全政策首先第一步就是要保护电子商务合资企业，制定书面安全政策从而能够清楚的定义每个系统组件的需求（人力，技术，法律）和它们如何相互作用。一个组织在它所保护的物理和IT资产立场上进行安全政策的定义。它确定了物理和知识产权资产，是公司的持续成功中最有价值的，并且指定它们应该如何保护。安全策略可包括如下几个问题（1）哪些服务类型（例如，网页，FTP，SMTP）的用户可以访问（2）在组织内，什么样的信息课程存在着，并在传输前，应该加密哪个（3）机构持有什么客户数据。它有多么敏感它是如何被保护的什么种类的员工可以远程访问公司网络（1）经理的

20、角色和责任跟员工实施安全政策（2）安全漏洞如何回应安全政策也应该考虑到网络安全的物理方面。例如（1）谁能够访问到公司的服务器（2）它是在一个上锁的环境中还是在放在一个开放的办公室里（3）谁应获得访问程序，程序确定什么这个安全政策规范员工的活动仅仅只是定义IT基础设施将如何被配置。这个政策应该包括如何被强制执行和个人责任应该如何被决定的详情等问题。它是有效的，这个政策需要定期测试和审查去判断它的安全措施。这个审查过程需要考虑到在技术上或者可能有一个安全上影响的商业行为任何的变化。最后，该政策自己需要被认为，作为一个在业务、客户和技术交流上更新设定的时间间隔去反映不断变化的方法的活的文件。5安全基

21、础设施安全基础设施就是实施安全政策。它是一种通过经营选择安全的电子商务和规则的技术。包括以下几个例子（1）执行密码老化和过期（2）执行复杂的密码（3）从防火墙中禁止封锁出站的连接（4）需要数字证书去去验证远程访问连接到一个组织的网络（5）需要徽章的物理访问建设（6）要求所有物理访问服务器记录在书面日志上同样，安全基础设施需要管理的IT和人力资源行为。它应该经常性的保护。（1）谁检查书面记录（2）多久防火墙才检查报告最后，它必须被强制执行。违反安全策略的责罚必须清楚对于所有的员工和合作伙伴并且必须强制执行如果政策要求被破坏或者忽视。7总结电子商务正在迅速的增长。多项技术已被融合，更加的促进了电子商务的发展。电脑技术的快速发展，再加上在通信网络上和先进的软件发展上的促进作用，已经彻底改变了其经营方式，然而，这个在电子商务应用上是不被需要的。在本文中，一个企业提出一个“安全工程生命周期”的方式来管理信息资源，确保电子商务能够安全的进行。随着业务需求的正确理解和企业信息资源安全的管理，电子商务将非常的成熟并且使每一个人都获得利益。