電子商務安全問題畢業(yè)論文

1、<p><b>　　摘要</b></p><p>　　隨著互聯(lián)網(wǎng)的全面普及，基于互聯(lián)網(wǎng)的電子商務也應運而生，并在近年獲得了巨大的發(fā)展，成為一種全新的商務模式，被許多的經(jīng)濟專家認為是新的經(jīng)濟增長點，作為一種全新的商務模式，它有很大的發(fā)展前途，同時，這種電子商務模式對于管理水平、信息傳遞技術都提出了更高的要求，其中安全體系的構建又顯得有為重要。如何建立一個安全、便捷的電子商務應用環(huán)境，

2、對于信息提供足夠的保護，是商家和用戶都十分關注的話題。安全問題已成為電子商務的核心問題。本文將對電子商務安全問題做一個基本的探討。</p><p>　　建立電子商務活動的技術標準也是至關重要的。在電子商務試點階段，實行稅費優(yōu)惠政策也有利于電子商務的推廣。此外，微軟公司和Visa機構也共同研究制定了一種類似于SSL的協(xié)議，這就是PCT（專用通信技術）。該協(xié)議只是對SSL進行少量的改進。</p><

3、;p>　　關鍵詞：防火墻技術 安全支付 安全論證 安全協(xié)議 </p><p>　　第一章 電子商務安全概述</p><p>　　隨著信息技術在貿(mào)易和商業(yè)領域的廣泛，利用通信技術和因特網(wǎng)實現(xiàn)商務活動的國際化、信息化和無紙化，已成為21世紀各國商務的一大趨勢。電子商務正是為了適應這種以全球為市場的的變化而出現(xiàn)的和發(fā)展起來的，它是當今發(fā)展最快的領域之一，同時也為全球的發(fā)展帶來新的增

4、長點。電子商務正在改變著人們的生活以及整個社會的發(fā)展進程，貿(mào)易網(wǎng)絡將引起人們對管理模式、工作和生活方式，乃至經(jīng)營管理思維方式等等的綜合革新。對貿(mào)易和商業(yè)領域來說，電子商務的發(fā)展正在改變著傳統(tǒng)的貿(mào)易方式，縮減交易程序，提高辦事效率?，F(xiàn)在，許多網(wǎng)站都提供有“商城”，供網(wǎng)民在網(wǎng)上購物?？梢哉f，電子商務應用將越來越普及。然而，隨著Internet逐漸發(fā)展成為電子商務的最佳載體，互聯(lián)網(wǎng)具有充分開放，不設防護的特點使加強電子商務的安全日益緊迫，只有

5、在全球范圍建立一套人們能充分信任的安全保障制度，確保信息的真實性、可靠性和保密性，才能夠打消人們的顧慮，放心的參與電子商務。否則，電子商務的發(fā)展將失去其支撐點。 要加強電子商務的安全，需要本身采取更為嚴格的管理措施，需要國家建立健全制度，更需要有的先進的安全技術。 在電子商務的交易中，經(jīng)濟信息</p><p>　　電子商務環(huán)境存在的安全隱患</p><p>　　2.1.電子

6、商務信息安全現(xiàn)狀　　當前，電子商務所面臨的信息安全現(xiàn)狀不容樂觀。所據(jù)美國界權威雜志《信息安全雜志》披露，從事電子商務的比一般企業(yè)承擔著更大的信息風險。其中,前者遭黑客攻擊的比例高出一倍，感染病毒、惡意代碼的可能性高出9%，被非法入侵的頻率高出10%，而被詐騙的可能性更是比一般企業(yè)高出2.2倍。　　調查顯示，近年來，我國發(fā)生的通過網(wǎng)絡進行的電子商務犯罪多達200起，造成上億元的損失。網(wǎng)民對網(wǎng)上交易的最大擔心莫過于支付信息的安全問題，超

7、過八成的網(wǎng)民對網(wǎng)上交易的安全性表示擔憂。信息安全問題成為困擾網(wǎng)上交易的一大難題。我國的信息安全已經(jīng)歷了通信保密、機數(shù)據(jù)保護兩個發(fā)展階段，現(xiàn)正處于網(wǎng)絡信息安全研究階段。通過、吸收、消化等手段，已逐步掌握了部分網(wǎng)絡安全和電子商務安全技術，進行了安全操作系統(tǒng)、多級安全數(shù)據(jù)庫的研制探索，但由于沒有掌握系統(tǒng)核心技術，使得要開發(fā)出有自主知識產(chǎn)權的信息產(chǎn)品困難重重，而基于國外具體產(chǎn)品開發(fā)出的安全系統(tǒng)則難以完全杜絕安全漏洞或“后門”。在借鑒國外先進技術

8、的基礎上，國內(nèi)一些企業(yè)也研制開發(fā)出一些安全產(chǎn)品，如防火墻、黑客入侵檢測系統(tǒng)、電子商務安全交易系統(tǒng)、安全路由器</p><p>　　2.2.電子商務企業(yè)對網(wǎng)絡信息安全意識不強 　　國內(nèi)不少電子商務企業(yè)對網(wǎng)絡信息安全意識不強。無論在建網(wǎng)立項、規(guī)劃設計上，還是在網(wǎng)絡運行管理和使用中，更多的是考慮效益、方便、快捷，而把安全、保密、抗攻擊放在了次要地位，出現(xiàn)了諸如對網(wǎng)絡實用性要求多，對系統(tǒng)安全性論證少；對網(wǎng)絡設備投資多，

9、對安全設施投入少；在操作技能培訓上用時多，在安全防范知識的普及與提高上用時少的短期行為。 隨著信息技術在貿(mào)易和商業(yè)領域的廣泛，利用機技術、通信技術和因特網(wǎng)實現(xiàn)商務活動的國際化、信息化和無紙化，已成為各 國商務的一大趨勢。商務正是為了適應這種以全球為市場的的變化而出現(xiàn)的和發(fā)展起來的，它是當今發(fā)展最快的領域之一，同時也為全球的發(fā)展帶來新的增長點。電子商務正在改變著人們的生活以及整個社會的發(fā)展進程，貿(mào)易網(wǎng)絡將引起人們對管理模式、工作

10、和生活方式，乃至經(jīng)營管理思維方式等等的綜合革新。對貿(mào)易和商業(yè)領域來說，電子商務的發(fā)展正在改變著傳統(tǒng)的貿(mào)易方式，縮減交易程序，提高辦事效率?，F(xiàn)在，許多網(wǎng)站都提供有“商城”，供網(wǎng)民在網(wǎng)上購物?？梢哉f，電子商務應用將越來越普及。然而，隨著Internet逐漸發(fā)展成為電子商務的最佳</p><p>　　2.3.電子商務信息安全面臨的威脅2.3.1　電子商務信息存儲安全隱患　　信息存儲安全是指電子商務信息在靜態(tài)存放中的

11、安全。其信息安全隱患主要包括：非授權調用信息和篡改信息。企業(yè)的Intranet與Internet聯(lián)接后，電子商務的信息存儲安全面臨著內(nèi)部和外部兩方面的隱患：　　（1）內(nèi)部隱患。主要是企業(yè)的用戶故意或無意的非授權調用電子商務信息或未經(jīng)許可隨意增加、刪除、修改電子商務信息?！　。?）外部隱患。主要是外部人員私自闖入企業(yè)Intranet，對電子商務信息故意或無意的非授權調用或增加、刪除、修改。隱患的主要來源有：競爭對手的惡意闖入、信息間諜

12、的非法闖入以及黑客的騷擾闖入。2.3.2　電子商務信息傳輸安全隱患　　信息傳輸安全是指電子商務運行過程中，物流、資金流匯成信息流后動態(tài)傳輸過程中的安全。其安全隱患主要包括： 　?。?）竊取商業(yè)秘密；　?。?）攻擊網(wǎng)站；　　（3）網(wǎng)上詐騙；　　（4）否認發(fā)出信息。2.3.3　電子商務交易雙方的信息安全隱患　　傳統(tǒng)商務活動是面對面進行的，交易雙方能較容易地建立信任感并產(chǎn)生安全感。而電子商務是買賣雙方通過Internet的信息

13、</p><p>　　電子商務交易存在的安全隱患</p><p>　　3.1.電子商務交易雙方的信息安全隱患　　傳統(tǒng)商務活動是面對面進行的，交易雙方能較容易地建立信任感并產(chǎn)生安全感。而電子商務是買賣雙方通過Internet的信息流動來實現(xiàn)商品交換的，信息技術手段使不法之徒有機可乘，這就使得電子商務的交易雙方在安全感和信任程度等方面都存在疑慮。電子商務的交易雙方都面臨著信息安全的威脅?！?/p>

14、?。?）賣方面臨的信息安全威脅。例如，假冒合法用戶名義改變商務信息內(nèi)容，致使電子商務活動中斷，造成商家名譽和用戶利益等方面的受損；惡意競爭者冒名訂購商品或侵入網(wǎng)絡內(nèi)部以獲取營銷信息和客戶信息；信息間諜通過技術手段竊取商業(yè)秘密；黑客入侵并攻擊服務器，產(chǎn)生大量虛假訂單擠占系統(tǒng)資源，令其無法響應正常的業(yè)務操作。　?。?）買方面臨的信息安全威脅。如用戶身份證明信息被攔截竊用，以致被要求付帳或返還商品；域名信息被監(jiān)聽和擴散，被迫接收許多無用信息

15、甚至個人隱私被泄露；發(fā)送的商務信息不完整或被篡改，用戶無法收到商品；受虛假廣告信息誤導購買假冒偽劣商品或被騙錢財；遭黑客破壞，計算機設備發(fā)生故障導致信息丟失。 </p><p>　　3.2.電子商務對信息安全的需求 　?。?）信息的保密性。電子商務作為貿(mào)易的一種手段，其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文

16、來達到保守機密的目的。電子商務則建立在一個開放的網(wǎng)絡環(huán)境（Internet）上，維護商業(yè)機密是電子商務全面推廣的重要保障。因此，要預防非法的信息存取和信息在傳輸過程中被非法竊取。保密性一般通過密碼技術對傳輸?shù)男畔⑦M行加密處理來實現(xiàn)?！　。?）信息的完整性。商務簡化了貿(mào)易過程，減少了人為的干預，同時也帶來維護貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的。數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能會導致貿(mào)易各方信息的差異。另外,數(shù)據(jù)傳輸過程中信息的丟失、信

17、息重復或信息傳送的次序差異也會導致貿(mào)易各方信息的不同。因此，貿(mào)易各方信息的完整性將到貿(mào)易各方的交易和經(jīng)營策略，保持貿(mào)易各方信息的完整性是電子商務的基礎。一般可通過提取信息摘要的方式來保持信息的完整性?！　。?）信息的真實性。只有信息流、資金流、物流的有效轉換，才能保證電子商務的順利實現(xiàn)，而這一切是以信息的真實性為基礎。信息的真實性一方面是指網(wǎng)上交易雙方提供</p><p>　　電子商務網(wǎng)絡安全策略和保護措施以及

18、實現(xiàn)技術</p><p>　　4.1.網(wǎng)絡節(jié)點的安全4.1.1防火墻 防火墻是在連接Internet和Intranet保證安全最為有效的，防火墻能夠有效地監(jiān)視網(wǎng)絡的通信信息，并記憶通信狀態(tài)，從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能，制定正確的安全策略，將能提供一個安全、高效的Intranet系統(tǒng)。4.1.2防火墻安全策略 應給予特別注意的是，防火墻不僅僅是路由器、堡壘主機

19、或任何提供網(wǎng)絡安全的設備的組合，它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構的信息資源，這種安全策略應包括：規(guī)定的網(wǎng)絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護措施，以及管理制度等。所有有可能受到網(wǎng)絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統(tǒng)，而沒有全面的安全策略，那么防火墻就形同虛設。 3．安全操作系統(tǒng)防火墻是基于操作系統(tǒng)的。如果信息通過操作系統(tǒng)的后門繞過防火墻進入內(nèi)部

20、網(wǎng)，則防火墻失效。所以，要保證防火墻發(fā)揮作用，必須保證操作系統(tǒng)的安全。只有在安全操作系統(tǒng)的基礎上，才能充分發(fā)揮防火墻的功能。在條件許可的情況下，應考慮將防火墻單獨安裝在硬件設</p><p>　　4.2.通訊的安全 4.2.1數(shù)據(jù)通訊 通訊的安全主要依靠對通信數(shù)據(jù)的加密來保證。在通訊鏈路上的數(shù)據(jù)安全，一定程度上取決于加密的算法和加密的強度。 電子商務系統(tǒng)的數(shù)據(jù)通信主要存在于：（1）客戶瀏覽器端與電子商

21、務WEB服務器端的通訊；（2）電子商務WEB服務器與電子商務數(shù)據(jù)庫服務器的通訊；（3）銀行內(nèi)部網(wǎng)與業(yè)務網(wǎng)之間的數(shù)據(jù)通訊。其中（3）不在本系統(tǒng)的安全策略范圍內(nèi)考慮。4.2.2安全鏈路 在客戶端瀏覽器和商務WEB服務器之間采用SSL協(xié)議建立安全鏈接，所傳遞的重要信息都是經(jīng)過加密的，這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。采用的是瀏覽器缺省的4O位加密強度，也可以考慮將加密強度增加到128位。 為在瀏覽器和服務器之間建立安全機

22、制，SSL首先要求服務器向瀏覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權機構（CA中心）簽發(fā)。瀏覽器要驗征服務器證書的正確性，必須事先安裝簽發(fā)機構提供的基礎公共密鑰（PKI）。建立SSL鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶</p><p>　　4.3.程序的安全性 即使正確地配置了訪問控制

23、規(guī)則，要滿足機系統(tǒng)的安全性也是不充分的，因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數(shù)；程序員忘記檢查邊界條件，特別是處理字符串的內(nèi)存緩沖時；程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行，而不是只有有限的指令子集在特權模式下運 行，其他的部分只有縮小的許可；程序員從這個特權程序使用范圍內(nèi)建立一個資源，如一個文件和目錄。不是顯式地設置訪問控制（最少許可），程序員認為這個缺省的許可是正確

24、的。這些缺點都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來騙特權程序做一 些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字符串來實現(xiàn)的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執(zhí)行的命令，特權程序可以執(zhí)行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如，緩沖溢出攻擊可以向系統(tǒng)中增加一個用戶并賦予這個用戶特權。 訪問控制系統(tǒng)中沒有什么可以檢測到這些。只有通過監(jiān)視系統(tǒng)并尋找違反安全策略的

25、行為，才能發(fā)現(xiàn)象這些問題一樣的錯誤。 </p><p>　　4.4.用戶的認證管理4.4.1 身份認證 電子商務用戶身份認證可以通過服務器CA證書與IC卡相結合實現(xiàn)的。CA證書用來認證服務器的身份，IC卡用來認證企業(yè)用戶的身份。個人用戶由于沒有提供交易功能，所以只采用ID號和密碼口令的身份確認機制。4.4.2 CA證書 要在網(wǎng)上確認交易各方的身份以及保證交易的不可否認性，需要一份數(shù)字證書進

26、行驗證，這份數(shù)字證書就是CA證書，它由認證授權中心（CA中心）發(fā)行。CA中心一般是公認的可靠組織，它對個人、組織進行審核后，為其發(fā)放數(shù)字證書，證書分為服務器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書（下載可以在訪問之前或訪問時進行）。</p><p><

27、;b>　　4.5.安全管理</b></p><p>　　為了確保系統(tǒng)的安全性，除了采用上述技術手段外，還必須建立嚴格的內(nèi)部安全機制。對于所有接觸系統(tǒng)的人員，按其職責設定其訪問系統(tǒng)的最小權限。按照分級管理原則，嚴格管理內(nèi)部用戶帳號和密碼，進入系統(tǒng)內(nèi)部必須通過嚴格的身份確認，防止非法占用、冒用合法用戶帳號和密碼。建立安全維護日志，記錄與安全性相關的信息及事件，有情況出現(xiàn)時便于跟蹤查詢。定期檢查日志，

28、以便及時發(fā)現(xiàn)潛在的安全威脅。對于重要數(shù)據(jù)要及時進行備份，且對數(shù)據(jù)庫中存放的數(shù)據(jù)，數(shù)據(jù)庫系統(tǒng)應視其重要性提供不同級別的數(shù)據(jù)加密。安全實際上就是一種風險管理。任何技術手段都不能保證1OO％的安全。但是，安全技術可以降低系統(tǒng)遭到破壞、攻擊的風險。決定采用什么安全策略取決于系統(tǒng)的風險要控制在什么程度范圍內(nèi)。</p><p>　　第五章 電子商務采用的主要的安全技術及其標準規(guī)范

29、 5.1.防火墻技術 防火墻就是在網(wǎng)絡邊界上建立相應的網(wǎng)絡通信監(jiān)控系統(tǒng),用來保障計算機網(wǎng)絡的安全,它是一種控制技術,既可以是一種軟件產(chǎn)品,又可以制作或嵌入到某種硬件產(chǎn)品中。從邏輯上講,防火墻是起分隔、限制、的作用。實際上,防火墻是加強Intranet (內(nèi)部網(wǎng))之間安全防御的一個或一組系統(tǒng),它由一組硬件設備(包括路由器、服務器)及相應軟件構成。所有來自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過防火墻。這樣,防火

30、墻就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統(tǒng)間進行信息交換等安全的作用。防火墻是網(wǎng)絡安全策略的有機組成部分,它通過控制和監(jiān)測網(wǎng)絡之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡安全的有效管理。從總體上看,防火墻應該具有以下五大基本功能:(1)過濾進、出網(wǎng)絡的數(shù)據(jù);(2)管理進、出網(wǎng)絡的訪問行為;(3)封堵某些禁止行為;(4)記錄通過防火墻的信息和活動;(5)對網(wǎng)絡攻擊進行檢測和告警。新一代的防火墻產(chǎn)品一般運用了以下技術：5.1.

31、1 透明的訪問方式。 </p><p>　　5.2. 數(shù)據(jù)加密技術 在商務中，信息加密技術是其它安全技術的基礎，加密技術是指通過使用代碼或密碼將某些重要信息和數(shù)據(jù)從一個可以理解的明文形式變換成一種復雜錯亂的、不可理解的密文形式（即加密），在線路上傳送或在數(shù)據(jù)庫中存儲，其他用戶再將密文還原成明文（即解密），從而保障信息數(shù)據(jù)的安全性。 數(shù)據(jù)加密的很多，常用的有兩大類。一種是對稱加密。一種是非對稱密

32、鑰加密。對稱加密也叫秘密密鑰加密。發(fā)送方用密鑰加密明文，傳送給接收方，接收方用同一密鑰解密。其特點是加密和解密使用的是同一個密鑰。典型的代表是美國國家安全局的DES。它是IBM于1971年開始研制，1977年美國標準局正式頒布其為加密標準，這種方法使用簡單，加密解密速度快，適合于大量信息的加密。但存在幾個：第一，不能保證也無法知道密鑰在傳輸中的安全。若密鑰泄漏，黑客可用它解密信息，也可假冒一方做壞事。第二，假設每對交易方用不同的密鑰，N

33、對交易方需要N*(N-1)/2個密鑰，難于管理。第三，不能鑒別數(shù)據(jù)的完整性。 非對稱密鑰加密也叫公開密鑰加密。公鑰加密法是在對數(shù)據(jù)加解密時，使用不同的密鑰，在通信雙方各具有兩把密鑰，</p><p>　　5.3.其它加密技術</p><p>　　此外，安裝防病毒的軟件并定期執(zhí)行檢測，使用數(shù)字簽名技術和數(shù)字證書等等，都是加強電子商務安全的重要技術措施。當然，任何一個安全產(chǎn)品或技術都

34、不會提供永遠和絕對的安全，因為網(wǎng)絡在變化，應用在變化，入侵和破壞的手段也在變化，只有技術的不斷進步才是真正的出路。</p><p><b>　　謝辭</b></p><p>　　最后感謝在本人的論文編寫過程中對其進行指導建議的張吉平老師。</p><p>　　本篇論文以當代電子商務的一些安全隱患和解決方法進行了一些簡單的論證和闡述。在21世紀

35、當中，電子商務必將成為我們工作生活當中不可或缺的一個環(huán)節(jié)，我們的生活和工作也會將圍繞在電子商務的周圍，到那時電子商務的安全必將成為我們的重要的心病，所以電子商務的安全是時下的當務之急，我們務必將它當做一門專業(yè)的課題拿到課堂上面探討。本人論文略述淺顯，不祥之處希望大家提出寶貴意見。</p><p><b>　　參考文獻</b></p><p>　　1 瞿裕忠.電子商務

36、開發(fā)技術[Ｍ]. 北京：高等出版社，20002 龔儉.機網(wǎng)絡安全導論[Ｍ]. 南京：東南大學出版社，20003 李旭華.計算機病毒機制與防范技術 [M].重慶：重慶大學出版社，20024　王茜，楊德禮.電子商務的安全體系結構及技術研究[J]. 計算機工程，2003(1)5　徐雪梅．淺談保障電子商務活動中的信息安全［Ｊ］．情報開發(fā)與經(jīng)濟，2003</p><p>　　6　曾強．電子商務的理論與實戰(zhàn)——