电子商务网站安全方案
前提
随着信息化的浪潮席卷全球,传统的商务模式越来越受到巨大的冲击。越来越多的企业和个人消费者,在 Internet 开放的网络环境下,基于浏览器 / 服务器应用方式,实现消费者地网上购物、商户之间的网上交易和在线电子支付的一种新型的商业运营模式----电子商务。更由于电子商务本身的开放性、全球 性、低成本、高效率等特征,使得它不仅仅是一种新的贸易形式,它不仅会改变企业本身的生产、经营、管理活动,而且将影响到整个社会的经济运行与机构。
电子商务将传统的商务流程电子化、数字化,一方面以电子流代替了实物流、资金流,可以大量减少人力、物力,降低了成本;另一方面突破了时间和空间的限制,使得交易活动可以在任何时间、任何地点进行,从而大大的提高了效率。
电子商务在现代社会占据如此重要的地位,而Internet自身的开放性、广泛性和匿名性,给电子商务带来诸多的安全隐患:
中小型B2C电子商务网站
特点:
1、商品品种较少,或者比较单一。
2、交易金额较低。
3、交易量不大,单个用户购买频率低。
4、发生随机性高,门槛要求低。
主要解决问题:
1、网站身份的验证:保证用户访问的是一个安全,真实的商户网站,防止非法用户冒充真的网站骗取钱款。
2、交易数据加密:防止泄漏重要财务信息,尤其是有些数字商品,本身就是数字形式,一旦被别人窃听,将造成直接损失。
3、交易数据验证:防止交易数据在传输过程被人篡改。
4、交易数据的不可抵赖性:保证交易的全过程,能够被记录并作为审计依据。
5、操作的简易性:由于用户偶尔使用一次该类型网站,过份复杂和繁琐的安全操作,会使用户产生厌烦情绪,甚至影响用户购买,如何保证即安全又方便,是同样重要的问题。
解决方案如下图:
说明:
只需要在中小型B2C电子商务网站上安装: 全球信SSL专业版(QuickSSL Premium)即可实现。通过安装QuickSSL Premium,可以实现:
1、用户和网站之间的数据采用128/256位加密,防止数据传输过程中有人监听。
2、网站身份的验证,通过GeoTrust专有的网站签章技术,保证该签章是不能被复制和假冒的,同时还能自动生成一个实时的日期和时间戳。
3、简单易用,用户务须安装任何其他的软件,和专业知识就可以安全的使用网站服务。
4、GeoTrust是业界第2大的且发展速度最快的证书颁发机构,通过国际著名的GeoTrust品牌可以提升客户对网站的信赖度。
5、安装简单,单根证书,无需级联安装。
6、兼容99%以上的浏览器和Web服务器
大型电子商务网站、银行、金融网站
特点:
1、商品品种多,内容大而全。
2、交易金额较高,资金流动大。
3、交易量大,用户操作次数频繁。
4、客户群固定,用户对安全性要求高。
主要解决问题:
1、网站身份的验证:保证用户访问的是一个安全,真实的商户网站,防止非法用户冒充真的网站骗取钱款以及用户帐户信息。
2、交易数据加密:防止泄漏重要财务信息,帐户信息,交易数据信息被人窃听、盗用。
3、交易数据的不可抵赖性:保证交易的全过程,能够被记录并作为审计依据。
4、用户身份的验证:能够查证用户的真实身份,联系信息,财务信用,对网上交易能做数据签名,保证交易数据的完整性、真实性、不可抵赖性。
5、交易数据完整性:敏感、机密、重要的数据在传递过程中,防止被人篡改。
解决方案如下图:
说明:
在网站服务器(集群)端安装 全球信SSL企业版(True Business ID),同时为客户分配个人证书(My Credential)。这样可以实现:
1、用户和网站之间的数据采用128/256位加密,防止数据传输过程中有人监听。
2、网站身份的验证,通过GeoTrust True Business ID专有的网站签章技术,保证该签章是不能被复制和假冒的,同时还能在签章上显示网站的名称,并自动生成一个实时的日期和时间戳。而且True Business ID证书审核了网站的书面资料,具有最高的可信度和安全性。
3、简单易用,用户务须安装任何其他的软件,和专业知识就可以安全的使用网站服务,用户的个人证书可以通过USB TOKEN方式,使用极为方便
4、通过个人证书,能够有效验证用户帐号,查证用户的身份信息和个人信用,并对交易数据做数字签名,保证交易内容不可抵赖。
5、GeoTrust是业界第2大的且发展速度最快的证书颁发机构,通过国际著名的GeoTrust品牌可以提升客户对网站的信赖度。
5、安装简单,单根证书,无需级联安装。
6、兼容99%以上的浏览器和Web服务器,而且True Business ID支持最新的浏览器分级功能。
前提
随着信息化的浪潮席卷全球,传统的商务模式越来越受到巨大的冲击。越来越多的企业和个人消费者,在 Internet 开放的网络环境下,基于浏览器 / 服务器应用方式,实现消费者地网上购物、商户之间的网上交易和在线电子支付的一种新型的商业运营模式----电子商务。更由于电子商务本身的开放性、全球 性、低成本、高效率等特征,使得它不仅仅是一种新的贸易形式,它不仅会改变企业本身的生产、经营、管理活动,而且将影响到整个社会的经济运行与机构。
电子商务将传统的商务流程电子化、数字化,一方面以电子流代替了实物流、资金流,可以大量减少人力、物力,降低了成本;另一方面突破了时间和空间的限制,使得交易活动可以在任何时间、任何地点进行,从而大大的提高了效率。
电子商务在现代社会占据如此重要的地位,而Internet自身的开放性、广泛性和匿名性,给电子商务带来诸多的安全隐患:
| • | 身份认证: 由于非法用户可以伪造、假冒商户网站和买家身份,因此登录到商户网站的用户无法知道他们所登录的网站是否是可信的商户网站,商户网站也无法验证登录到网站 上的买家是经过认证的合法用户,非法用户可以借机进行破坏。而 整个网上电子商务是在商户(用户)和用户(商户)互不见面的情况下,通过 Internet 和网络技术完成的,需要确认彼此的真实身份,保证交易全过程的安全进行。 |
| • | 信息的真实性: 交易各方在平台上发布的信息、交易谈判信息和电子化交易合同等是否是真实的信息,由于 Internet 的匿名性,使得一些投机分子可以提交一些虚假的信息,达到欺骗的行为; |
| • | 信息的不可抵赖性: 对于信息发布、交易谈判、交易合同签署、交易平台的信息提供等关键交易步骤,一旦有一方予以否认,另一方没有已签名的记录作为仲裁的依据 。 |
| • | 信息的机密性: 买家向商户网站上船的财务信息和其他一些机密资料有可能在传递过程中被非法用户截取。 |
| • | 信息的完整性: 敏感、机密信息和数据在用户和网站的传递是可能被非法用户恶意篡改,造成用户的重大损失。 |
中小型B2C电子商务网站
特点:
1、商品品种较少,或者比较单一。
2、交易金额较低。
3、交易量不大,单个用户购买频率低。
4、发生随机性高,门槛要求低。
主要解决问题:
1、网站身份的验证:保证用户访问的是一个安全,真实的商户网站,防止非法用户冒充真的网站骗取钱款。
2、交易数据加密:防止泄漏重要财务信息,尤其是有些数字商品,本身就是数字形式,一旦被别人窃听,将造成直接损失。
3、交易数据验证:防止交易数据在传输过程被人篡改。
4、交易数据的不可抵赖性:保证交易的全过程,能够被记录并作为审计依据。
5、操作的简易性:由于用户偶尔使用一次该类型网站,过份复杂和繁琐的安全操作,会使用户产生厌烦情绪,甚至影响用户购买,如何保证即安全又方便,是同样重要的问题。
解决方案如下图:
说明:
只需要在中小型B2C电子商务网站上安装: 全球信SSL专业版(QuickSSL Premium)即可实现。通过安装QuickSSL Premium,可以实现:
1、用户和网站之间的数据采用128/256位加密,防止数据传输过程中有人监听。
2、网站身份的验证,通过GeoTrust专有的网站签章技术,保证该签章是不能被复制和假冒的,同时还能自动生成一个实时的日期和时间戳。
3、简单易用,用户务须安装任何其他的软件,和专业知识就可以安全的使用网站服务。
4、GeoTrust是业界第2大的且发展速度最快的证书颁发机构,通过国际著名的GeoTrust品牌可以提升客户对网站的信赖度。
5、安装简单,单根证书,无需级联安装。
6、兼容99%以上的浏览器和Web服务器
大型电子商务网站、银行、金融网站
特点:
1、商品品种多,内容大而全。
2、交易金额较高,资金流动大。
3、交易量大,用户操作次数频繁。
4、客户群固定,用户对安全性要求高。
主要解决问题:
1、网站身份的验证:保证用户访问的是一个安全,真实的商户网站,防止非法用户冒充真的网站骗取钱款以及用户帐户信息。
2、交易数据加密:防止泄漏重要财务信息,帐户信息,交易数据信息被人窃听、盗用。
3、交易数据的不可抵赖性:保证交易的全过程,能够被记录并作为审计依据。
4、用户身份的验证:能够查证用户的真实身份,联系信息,财务信用,对网上交易能做数据签名,保证交易数据的完整性、真实性、不可抵赖性。
5、交易数据完整性:敏感、机密、重要的数据在传递过程中,防止被人篡改。
解决方案如下图:
说明:
在网站服务器(集群)端安装 全球信SSL企业版(True Business ID),同时为客户分配个人证书(My Credential)。这样可以实现:
1、用户和网站之间的数据采用128/256位加密,防止数据传输过程中有人监听。
2、网站身份的验证,通过GeoTrust True Business ID专有的网站签章技术,保证该签章是不能被复制和假冒的,同时还能在签章上显示网站的名称,并自动生成一个实时的日期和时间戳。而且True Business ID证书审核了网站的书面资料,具有最高的可信度和安全性。
3、简单易用,用户务须安装任何其他的软件,和专业知识就可以安全的使用网站服务,用户的个人证书可以通过USB TOKEN方式,使用极为方便
4、通过个人证书,能够有效验证用户帐号,查证用户的身份信息和个人信用,并对交易数据做数字签名,保证交易内容不可抵赖。
5、GeoTrust是业界第2大的且发展速度最快的证书颁发机构,通过国际著名的GeoTrust品牌可以提升客户对网站的信赖度。
5、安装简单,单根证书,无需级联安装。
6、兼容99%以上的浏览器和Web服务器,而且True Business ID支持最新的浏览器分级功能。
