二、软件开发设计与程序编码

　　2.1软件开发设计

　　电子商务安全管理软件系统采用了模块化的设计理念，遵循J2EE的开发标准，充分利用了J2EE程序开发过程中所涉及到的开放源代码的应用软件。整个软件系统是在Tomcat5.5.9条件下进行的研发，开发工具选用的是Eclipse3.1，MySQL4.1提供了数据库支持。此外，还使用了诸如Spring，Hibernate，Struts，Dom4j，Log4j等免费软件和技术。从软件设计与软件开发的角度看，电子商务安全管理软件系统的设计规划遵循了如下设计原则：

　　（1）电子商务安全管理软件封装了许多功能强大、易于使用的软件功能模块，对于统一安全接口标准研究十分必要。

　　（2）软件的开发大量采用组件化、J2EE技术，独立于操作系统与数据库系统。软件内部的模块大量采用Bean，进行业务逻辑的封装，可以方便利于网络层的请求响应调用。

　　（3）系统采用XML文件格式来响应业务请求，这样可以实现系统逻辑各层之间良好的通讯和接口。

　　（4）全面考虑电子商务安全的各种需求,设计统一的标准化的软件结构,使各种网络安全技术运行在软件框架之下,共同保护电子交易安全。

　　（5）提供开放的API接口,这样使其他公司的软件产品可以轻易的集成到这个软件系统平台上。

　　2.2程序编码

　　安全代理：安全代理模块就像一个数据采集器；在电子商务安全控制中心中分析的所有HTTP信息都是通过安全代理模块采集的。此外，安全代理模块还负责在分析后将反应结果返回给用户。开发安全代理模块所使用技术：ServletFilter。

　　（1）认证授权模块。身份验证和授权认证模块提供一种基于JAAS体系结构的认证解决方案。身份认证是用户或计算设备用来验证身份的过程，即确定一个实体或个人是否就是它所宣称的实体或个人。授权确定了已认证的用户是否能够访问他们所请求的资源或者执行他们所请求执行的操作。

　　（2）数据过滤模块。数据过滤模块实现两种分析算法：模式匹配算法和行为建模算法。一种是基于误用检测算法的模式匹配，另一种是基于异常检测算法的行为建模。

　　（3）协议过滤模块。根据电子商务网站管理员的人工配置和HTTP协议细节执行协议过滤算法，针对于安全数据中出现的冗余信息、检测出的缺失信息，以及异常信息分别进行安全分析，并且触发相应的'安全动作。

　　（4）安全监控模块根据安全分析的结果与事先定义的安全动作，模块采用相应的指定动作。此外，这个模块将向安全代理模块发送动作指令。如果发现黑的客入侵，就随时触发“拒绝”动作，然后发送警告给应用程序的管理员。同时，将恶意的入侵请求存入到数据库作为入侵分析的日志文件。因此，攻击者将会收到一个出错页面或者请求被禁止的页面。

　　（5）应用监控。应用监控模块主要实现了对于访问电子商务应用程序、安全代理模块的应用配置和应用监控功能。实现了应用程序和电子商务安全管理软件系统的动态配置、实时监控电子商务安全管理软件系统的响应速度。

　　（6）加密解密模块。加密解密技术对于用户要传输的信息进行加密操作，可以有效地保护信息的安全。加密解密模块的实现方案使用平台通用开发包JCE(JavaTMCryptographyExtension)，它的加密解密算法的强度较高，算法灵活，适应于多种平台，从而使得用户的敏感信息可以得到更好的保护。提供完善的加密解密服务接口，提供密钥管理功能，包括密钥存储、检索和密钥自动更新的功能，提高密钥的安全性和保密措施。

　　（7）日志管理模块。日志管理模块的总体实现方案基于开放源代码项目—Log4j，主要实现了为电子商务安全管理软件系统的功能模块生成统一格式的日志信息，对产生的运行日志、安全日志进行统一的日志管理，针对不同来源的日志将其保存到不同的日志文件。

　　电子商务安全论文 篇8

　　摘要：随着互联网的发展和普及，计算机开始走入家家户户，在此背景下，以淘宝为代表的一批电子商务企业开始蓬勃发展。然而作为新兴行业，电子商务的发展还不够完善，电子商务的信息安全问题还需要进一步探讨和解决。本文将详细介绍电子商务信息安全的定义及主要的信息安全问题，提出信息安全的目标，并详细介绍现有的信息安全技术。