电子商务应用能够从质量、成本和处理速度等方面来改善企业的经营,随之而来的是信息资源的安全性问题。协同商务平台作为电子商务应用的一个实例,同样有必要对其所面临的潜在安全威胁进行深入的分析,进而提出相应的解决方案来保障系统安全地运行。信息系统中的安全性问题主要包含身份认证服务、访问控制服务、数据保密服务、数据完整牲服务和不可否认服务等几个方面。90年代以来出现的基于角色的访问控制(RBAC)策略,通过引入角色的概念,将用户映射为在一个组织中的某种角色,把访问权限授权给相应的角色,根据用户拥有的角色进行访问授权与控制,有效整合了传统访问控制技术的优势,又克服了它们的不足,使得制订和执行保护策略的过程更加灵活,也简化了管理员的管理工作。在电子商务应用中,常常涉及到口令、订单等敏感数据的传输,因此必须考虑数据的机密性、完整性和不可抵赖性等方面。 本文以协同商务平台为实例,详细分析了电子商务应用系统中的安全性需求,并给出了相关的解决方案。身份认证采用基于Forms的认证方式,可以得到最大的灵活性。系统中不保存明文口令而是保存用户口令的散列值和一个随机值,以此来增强系统抗字典攻击的能力。访问控制方面采用了基于RBAC的访问控制模型,使用角色继承来解决不同类型的企业之间角色集冲突的问题,并提供了一个图形化的角色管理工具来简化管理员的工作;采用前端控制器模式来保护电子商务应用系统中的普通Web页面和Web服务,采用这种模式可以使系统具有更好的可维护性。为了实现数据完整性,需要采用数字签名技术,在Web环境中可以使用CAPICOM组件实现数字签名。