汤翔毕业论文——电子商务安全问题研究.doc

滨江学院 毕业论文（设计）题 目 电子商务安全问题研究 院 系_ 专 业 信息管理与信息系统 学生姓名 汤 翔 学 号 指导教师_ _张 翚_ 职 称_ 讲 师_ 二 年 月 日目录1. 电子商务的概说1.1 电子商务的概论1.2 电子商务的特点2. 电子商务信息的安全要素2.1 信息的保密性2.2 信息的完整性2.3 信息的认证性2.4 信息的有效性3. 电子商务面临的安全问题3.1 计算机网络的安全3.1.1计算机系统安全3.1.2拒绝服务3.1.3 伪造连接系统化3.2 电子商务交易中存在的安全问题 3.2.1信息安全问题 3.2.2 网上银行的安全问题 3.2.3 信息威胁 4 电子商务的安全防范措施 4.1国内外商务安全解决方案 4.1.1 IBM公司解决方案 4.1.2清华得实公司的webst b2b4.2保证计算机安措全施 4.2.1防火墙技术 4.2.2入侵检测系统 4.2.3数据签名技术 4.2.4身份认证4.3电子商务中网络隐私安全的保护 4.31加强网络安全管理 4.3.2开展网络安全立法和执法 4.3.3企业内部的管理策略 4.3.4实行诚信认证 4.3.5加快信息安全人才培养5 结论参考文献 7电子商务安全问题研究汤翔南京信息工程大学信息管理与信息系统专业，南京 210045摘要：电子商务成为全球经济发展的重要推动力，安全问题是我国的电子商务发展中一个重要的制约因素。美国著名未来学家阿尔温托夫勒说过：“电脑网络的建立和普及将彻底改变人类生存及生活的模式，控制与掌握网络的人就是未来命运的主宰。谁掌握了信息，控制了网络，谁就拥有整个世界。”如何建立一个安全、便捷的电子商务应用环境，对信息提供足够的保护，是商家和用户都十分关注的话题。本文从电子商务的现状出发关键词：电子商务：网络安全1 电子商务的概论1.1 电子商务的基本概念电子商务是指通过互联网进行销售商品、提供服务等的经营活动。对于电子商务有人喜欢用e-business这个词表达，也有人喜欢用e-commerce这个词表述，e-business比e-commerce所包含的内容广泛些。例如，企业通过互联网销售笔记本电脑，企业通过互联网为客服提供软件下载服务等。1.2 电子商务的特点1.2.1 商务性电子商务最基本的特点为商务性，即提供买、卖交易的服务、手段和机会。网上购物提供一种客服所需要的方便途径。因而，电子商务对任何规模的企业而言，都是一种机遇。1.2.2虚拟性电子商务系统都是建立在网络之上的，冲破传统商务的时空限制，形成一个跨越全球的虚拟市场，任何一个企业都可以利用这个虚拟市场向全世界推销自己的产品。但是如果客户对交易安全缺乏把握，就不敢在网上进行买卖。因此，电子商务系统的安全性是必须考虑的核心问题。1.2.3 集成性 电子商务是一种新兴产物，其中用到了大量的新技术，除了计算机技术和网络技术，电子商务还涉及新的管理思想、管理方法、安全技术、自动识别技术和标准化技术，还涉及到物流活动中应用的机械化、自动化和自能化技术。 电子商务的集成性，还在于事物处理的整体性和统一性，它能规范事务处理的工作流程，将工人操作和电子信息处理集成一个不可分割的整体。2 电子商务信息的安全要素2.1 信息的保密性 商务数据的保密性是指信息在网络上传输或存储的过程中不被他人窃取、不被泄密给未经授权的人和组织，或者经过加密伪装后，使未经授权者无法了解其内容2.2 信息的完整性 信息完整性是指信息在输入和传输的过程中，不被非法授权修改和破坏，保证数据的一致性。 保证信息完整性需要防止数据的丢失、重复及保证传送秩序的一致。保证各种数据的完整性是电子商务应用的基础。数据的完整性被破坏可能导致贸易双方信息的差异，将影响贸易各方的交易顺利完成，甚至造成纠纷。2.3 信息的认证性商务对象的认证性或真实性是对网络两端的使用者在通信之前相互确认对方的身份，保证交易方确实存在，而并非有人假冒。2.4 信息的不可拒绝性商务服务的不可拒绝性或称可靠性是保证授权用户在正常访问信息和资源是不被拒绝，即为用户提供稳定可靠的服务3 电子商务面临的安全问题3.1 计算机网络安全计算机网络设备，电子商务依赖计算机系统的正常运行得以开展业务，网络设备本身的物理故障，将导致电子商务无法正常进行；网络恶意攻击，使得网络被破坏、导致系统瘫痪；安全产品使用不当，虽然在进行电子商务交易前采用了一些网络安全设备（如防火墙、杀毒软件等），但由于安全产品本身的问题或者使用的不当，导致这些产品不能起到应有的作用3.1.1计算机系统安全 目前服务器常用操作系统有三类：Unix、linux、windows等这些操作系统都是符合C2级安全级别的操作系统。但是都存在不少漏洞，如果对这些漏洞不了解，不采取相应的措施，就会使操作系统完全暴露给入侵者。3.1.2拒绝服务 指攻击者向因特网的服务器不停地发送大量分组，使因特网或服务器无法提供正常的服务3.1.3伪造连接初始化 攻击者重放以前已被记录的合法连接初始化序列，或者伪造身份而企图建立连接3.2 电子商务交易中存在的安全问题交易隐患是困扰电子商务正常健康交易的最大障碍。在交易过程中，常存在以下隐患。假冒问题，攻击者通过非法手段盗用合法用户的身份信息，仿冒合法用户的身份与他人进行交易，进行信息欺诈与信息破坏，从而获得非法利益;在电子商务世界里谁为交易双方的纠纷进行公证3.2.1信息安全问题 1.信息的截获和窃取如果没有采用加密措施或加密强度不够，电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获得商业机密。2信息的假冒信息的假冒是指当攻击者掌握了网络信息数据规律或解密了商务信息后，可以假冒合法用户或假冒信息来欺骗其他用户。主要表现形式有假冒客户进行交易3信息的篡改在电子商务中表现为商业信息的真实性和完整性的问题。当攻击者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传输的信息数据在中途篡改，然后再发向目的地，破坏数据的真实性和完整性。3.2.2网上银行的安全问题 对于网上银行，银行界最关系的问题就是安全问题了。传统的安全措施主要是利用防火墙来管理，然而在金融在线交易下，防火墙仍有不足之处。网上银行基本上是一个开放的环境，任何一个网上银行账户的客户均可合法进入。3.2.3信用威胁交易者否认参加过交易，如买方提交订单后不付款，或者输入虚假银行资料使卖方不能提款；用户付款后，卖方没有把商品发送到客户手中，使客户蒙受损失4 电子商务的安全的防范措施4.1 国内外的商务安全解决方案4.1.1 IBM公司解决方案 根据不同用户的需求，IBM提供了多种系列的服务器，包括RS/6000系列、S/390系列、AS/400系列、Netfruity700系列及pc服务器等 在软件方面，IBM提供了电子商务整体解决方案-commerce point。Commerce point主要包括电子商城的软件net commerce，建立认证中心的软件registry for set 。在基于set的电子付款解决方案中，有提供消费者使用的电子钱包的软件 commerce point wallet，为商家建立电子收款机的软件commerce point etill ，以及付款处理器使用的付款网关commerce point gateway4.1.2清华得实公司的webst b2b 从理论上讲，电子商务主要可分为两大类型：B2b方式-企业与企业之间分为两大类型。B2c方式-持卡消费者与商务之间网上购物。在中国目前的Internet 应用现状下，一对多的b2b电子商务模式将会迅速崛起，成为主导模式并很快创造出实际效益。本方案以webst安全管理平台为主要技术手段，从b2b电子商务的模型定义出发，分析其存在的安全风险，提供各个层次的安全解决方案，可作为b2b电子商务的安全解决方案的参考模型4.2 保证计算机的安全措施 4.2.1防火墙技术 防火墙是加强itternet和itternet之间安全防范的、由硬件设备和软件系统组成的、在外部网和内部网之间的界面上构成的保护层。防火墙是网络安全的屏障，可以强化网络安全策略，对网络存取和访问进行监控审计，防止内部信息的外泄。防火墙的安全技术包括过滤技术、代理、网络地址转换（NAT）等多种技术。实现防火墙的方式也多种多样。先进的防火墙产品功能越来越强大，正逐渐将网关与安全系统合二为一4.2.2入侵检测系统入侵检测主要检测和识别系统中未授权或异常现象，利用审计记录，入侵检测系统应能识别出任何不希望有的活动，这就要求对不希望的活动加以限定，一旦出现就能自动地检测。入侵检测技术的第一条防线是接入控制，第二条防线的检测。4.2.3数字签名技术 数字签名是实现认证的重要工具，如在网络中的密钥分配、电子安全交易等方面都有重要的应用。可以解决伪造、篡改、冒充、抵赖等问题。数字签名的加密解密过程和私有密钥的加密解密过程正好相反。数字签名用的是发送方的密钥对，发送方用自己的私有密钥进行加密，接收方用发送方的公开密钥进行解密。这是一个一对多的关系：任何拥有发送方公开密钥的人都可以验证数字签名的正确性。而私有密钥的加密解密则使用的是接收方的密钥对，这是多对一的关系：任何知道接收人才能对信息解密。在实际应用工程中，通常一个用户拥有两个密钥对，一个密钥对用来对数字签名进行加密解密，另一个密钥对私有密钥进行加密解密。这种方式提供了更高的安全性 如果第三方冒充发送方发出了一个文件，因为接受方在对数字签名进行验证时使用的是发送方的公开密钥，只要第三方不知道发送方的私有密钥，密钥出来的数字签名和经过计算的数字签名必然是不相同的。这就提供了一个确认发送方身份和数据完整性验证方法。4.3.4 身份认证 身份认证是判明和确认贸易双方真实身份的重要环节，也是电子商务交易过程中最薄弱的环节。根据在认证中采用因素的多少，可以分为单因素认证、双因素认证、多因素认证等方法。1、身份认证的单因素法最简单的方法就是口令。2、基于智能卡的用户身份认证机制属于双因素法，它结合了基础认证方式中第一种和第二种方法。3.一次口令机制这是最安全的身份认证机制，即每次用户登录系统时口令互不相同。4.3完善电子商务体制4.3.1加强网络安全管理为了电子签名能证实电子文件的合法性国家颁布了电子签名法。在危害计算机信息系统有害数据的防治方面的法规有计算机病毒防治管理办法、计算机信息系统安全保护条例、计算机病毒防治管理办法、计算机病毒防治产品评级准则。与电子商务安全方面有关的法规还有：计算机信息系统安全保护条例、计算机信息网络国际联网管理暂行规定、计算机信息网络国际联网安全保护管理办法等。建立信息安全领导机构，有效统一、协调和研究未来趋势，明确责任，规范岗位职责，制定有效防范措施，并且严把用户入网关4.3.2开展网络安全立法和执法网络安全立法要吸取和借鉴国外网络信息安全立法的先进经验，结合我国国情对现行法律体系进行修改与补充，使法律体系更加科学和完善。要建立有利于信息安全案件诉讼与公、检、法机关办案的制度，提高执法效率和质量。要对违犯国家法律法规，对计算机信息存储系统、应用程序或传输的数据进行删除、修改、增加、干扰的行为依法惩处。加强计算机的伦理道德和安全教育，同时还要解决电子商务信息文件所谓法律证据的可采性和证明里。积极展开立法研究，确保电子信息的安全性。法律是电子商务安全的基石，企业内部管理是其健康发展的前提保障，而计算机技术在这两部分的促进下，对电子商务安全管理的提高是必然结果。只有在法律提供者、安全需求者、计算机学家和产品供应者的共同努力下，才能创造一个安全的系统环境，促进电子商务的发展。 4.3.3企业内部的管理策略 安全方案的实现，离不开管理，所谓“三分技术、七分管理”。管理问题追其根源，还是企业的意思问题，安全意识的加强和培育是需要政府和行业主管单位、安全厂商和用户自身的共同努力来实现。它的基本原则是：要求发生在系统内的所有行为的是有定义行为，并且符合程序控制的要求，所有行为的发生都有审计记录，管理的有效性，可以解决许多技术层次解决不了的安全问题4.3.4实行诚信认证 实行诚信认证，提高企业的信誉，提高网名的购物信心，从而促进消费。4.3.5加快信息安全人才培养 通过各种形式选拔责任心强、讲原则守纪律、了解市场并懂得基本网络知识和安全知识的人员。对于重要业务，尤其是企业机密文件及用户资料的业务不要安排一个人单独管理，应实行两人或多人相互制约的机制；重要业务操作人员及交易安全等职务的任期有限；对于网络访问权限设定应保证不同业务的人员有不同的访问权限5结束语 本文分析了目前电子商务的安全需求，使用的安全技术及仍存在的问题，并指出了与电子商务安全有关的协议技术使用范围及其优缺点，但必须强调说明的是，电子商务的安全运行，仅从技术角度防范是远远不够的，还必须完善电子商务立法，以规范飞速发展的电子商务现实中存在的各类问题，从而引导和促进我国电子商务快速健康发展 为此，我们必须加快建设有关的电子商务安全系统。这将是一个综合性的、涉及全社会的系统工程。具体而言，我们