电子商务安全技术论述

电子商务安全技术论述系 别 经济管理系 专 业 物流专业 年 级 2010 级 学生姓名 学 号 指导教师 The security technology of electronic commerce Department Department of Economic Management Subject logistics management Grade Grade 2010 Name Student ID 目录摘要 .Abstract .前言 .1第一章 商务安全中普遍存在的几种安全隐患 .21.1 窃取信息 .21.2 篡改信息 .21.3 信息假冒 .21.4 信息破坏.22.电子商务信息安全中的其它问题.22.1 内部安全 . .32.2 恶意代码 .32.3 可靠性差 .32.4 技术人才短缺 .312.5 Web 服务器的保护意识差.3第二章 电子商务中的网络信息安全管理 .42.电子商务中的网络信息安全管理.42.2 为了加强企业电子商务的信息安全，提出如下建议.4第三章 有效的安全交易标准和技术.7结论 .8总结与体会 .9致谢 .10参考文献.11电子商务安全技术论述摘要Internet 的迅速发展使电子商务应运而生，对电子商务可以有狭义和广义两种理解：作为在线销售的电子商务；作为现有业务扩展的电子商务。电子商务具有许多优势，譬如高效率、低成本；同时，电子商务也会提供各种各样的机会，因为中小型公司和太公司站在相同的起跑线上但迄今为止，真正开始实施电子商务的企业还不多，绝大多数企业还在持观望态度，电子商务通远远谈不上普及。这其中的原因主要有以下三个点：(1)人的因素；(2)立法问题；(3)安全问题。其中信息安全问题可以说是电子商务活动的最大障碍，电子商务信息安全是制约电子商务建设与发展的首要问题和核心问题 。关键词 ：信息安全，信息安全管，理安全隐患，安全标准，安全技术The security technology of electronic commerce Abstractwith the fast development of Internet e-business emerge as the times require, on the electronic commerce can have broad sense and narrow sense two kinds of understanding: as e-commerce online sales; as the existing e-commerce business expansion. Electronic commerce has many advantages, such as high efficiency, low cost; at the same time, the electronic commerce will also provide a variety of opportunities for small and medium-sized companies, and so the company stand on the same starting line but so far, really started to implement e-commerce enterprises are not many, the vast majority of enterprises are still wait-and-see attitude, e-commerce Tong yuan far from popularization. The reason mainly has the following three points: (1) human factors; (2) the legislation; (3) safety problems. The information security problem may say is the biggest obstacle to e-commerce, the e-commerce information security is the primary problem and the core problem of restricting the construction and development of electronic commerce. Keywords：Information security, information security, physical security, security standard, security technology 前言Internet 所 具 有 的 开 放 性 是 电 子 商 务 方 便 快 捷 、 广 泛 传 播 的 基 础 ， 而 开 放 性 本 身 又 会 使网上交易面临种种危险。一个真正的电子商务系统并非单纯意味着一个商家和用户之间开展交易的界面，而应该是利用 Web 技术使 Web 站点与公司的后端数据库系统相连接，向客户提供有关产品的库存、发货情况以及账款状况的实时信息，从而实现在电子时空中完成现实生活中的交易活动。这种新的完整的电子商务系统可以将内部网与 Internet连接，使小到本企业的商业机密、商务活动的正常运转，大至国家的政治、经济机密都将面临网上黑客与病毒的严峻考验。因此，安全性始终是电子商务的核心和关键问题。第一章：商务安全中普遍存在的几种安全隐患1：商务安全中普遍存在的几种安全隐患1.1 窃取信息信息在传输过程中未采用相应的加密措施或加密强度不够导致数据信息在网络上以明文或近乎明文的形式传送。入侵者在数据包经过的设备或线路上采用截获方法截获正在传送的信息通过对窃取数据参数的分析比对找到信息的格式和规律进而得到传输信息的内容,导致消费者消费信息,账号密码和企业商业机密等信息的外泄.。1.2 篡改信息当入侵者掌握了信息的格式和规律后,通过各种技术方法和手段对网络传输中的信息进行截获修改再发至原先指定目的地,从而破坏信息的真实性。入侵者通过改变信息流的次序,更改信息的内容,删除信息的某些部分,甚至在信息中插入一些附加内容,使接收方做出错误的判断与决策。1.3 信息假冒由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以进一步冒充合法用户获取和发送信息,而远端接受方或发送方通常不易分辨。常见的方式有伪造用户和商户的收定货单据,套取或修改相关程序的使用权限等。1.4 信息破坏由于攻击者已侵入网络,已获得对网络中信息的修改权限,如其对网络中现有机要信息进行修改乃至于删除,其后果是非常严重的。2.电子商务信息安全中的其它问题2.1 内部安全最近的调查表明， 至少有 75% 的信息安全问题来自内部，在信用卡和商业诈骗中，内部人员所占的比例最大；2.2 恶意代码它们将继续对所有的网络系统构成威胁， 并且，其数量将随着 Internet 的发展和编程环境的丰富而增多，扩散起来也更加便利，因此，造成的破坏也就越大；2.3 可靠性差目前，Internet 主干网和 DNS 服务器的可靠性还远远不能满足人们的要求， 而绝大部分拨号 PPP 连接质量并不可靠，且速度很慢；2.4 技术人才短缺由于 Internet 和网络购物都是在近几年得到了迅猛的发展，因而，许多地方都缺乏足够的技术人才来处理其中遇到的各种问题， 尤其是网络购物具有 24 x 7（ 每天 24 小时，每周 7 天都能工作） 的要求，因而迫切需要有一大批专业技术人员对其进行管理。如果说加密技术是电子交易安全的“ 硬件” ，那么人才问题则可以说是“ 软件” 。从某种意义上讲，软件的问题解决起来可能更不容易，因此，技术人才的短缺可能成为阻碍网络购物发展的一个重要因素。2.5 Web 服务器的保护意识差在交易过程中对数据进行保护只是保证交易安全的一个方面。由于交易的信息均存储在服务器上，因此，即使保密信息被客户端接收之后，也必须对存储在服务器中的数据进行保护。目前，Web 服务器是黑客们最喜欢攻击的目标。因此， 建议尽量不要将Web 服务和连接到任何内部网络，而且要定期对数据进行备份， 以便于服务器被攻击之后对数据进行恢复。当然，这毕竟有些不太现实，现在许多流行的 Web 应用都需要 Web 服务器与公司的数据库进行交互式操作， 这就要求服务器必须与公司内部网络相连，而这个连接也就成为黑客们从 Web 站点侵入企业内部网络的一条通路。虽然防火墙技术有助于对 web 站点进行保护，但商家却很少安装防火墙或对其缺乏有效的维护，因而没有对 Web 服务器进行很好的保护，这是商家的 Web 站点尤其要引起注意的地方。第二章：电子商务中的网络信息安全管理2.1：电子商务中的网络信息安全管理电子商务要健康有序地发展，就像传统商务一样，也必须有相应的法律法规作后盾。商务过程中不可避免地会产生一些矛盾，电子商务也一样。 电子商务信息安全管理实践表明，大多数安全问题是由于管理不善造成的。安全管理是一项系统工程，不仅涉及到企业的组织架构、信息技术、人员素质等各个方面，还牵扯到国家法律和商业规则。企业内部存在着诸多影响信息安全的因素：改变 IT 系统不等于改变企业的信息安全管理，要使企业信息尽可能的安全，必须在技术投入的基础上融入人在管理方面的智慧，同时，不仅要防外，更要防内，即对组织内部人员的管理。 故“三分技术，七分管理”阐述了信息安全的本质。 2.2：为了加强企业电子商务的信息安全，提出如下建议： 1.提高网络安全防范意识现在许多企业没有意识到互联网的易受攻击性，盲目相信国外的加密软件，对于系统的访问权限和密钥缺乏有力度的管理。这样的系统一旦受到攻击将十分脆弱，其中的机密数据得不到应有的保护。据调查，目前国内 90的网站存在安全问题，其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小，不会成为黑客的攻击目标，如此态度，网络安全更是无从谈起。应该定期由公司或安全管理小组承办信息安全讲座，只有提高网络安全防范意识，才能有效的减少信息安全事故的发生。 2.建立电子商务安全管理组织体系一个完整的信息安全管理体系首先应建立完善的组织体系。即建立由行政领导、IT 技术主管、信息安全主管、系统用户代表和安全顾问组成的安全决策机构。其职责是建立管理框架，组织审批安全策略、安全管理制度，指派安全角色，分配安全职责，并检查安全职责是否已被正确履行，核准新信息处理设施的启用、组织安全管理专题会等。还应建立由网络管理员、系统管理员、安全管理员、用户管理员等组成的安全执行机构。该机构负责起草网络系统的安全策略、执行批准后的安全策略、日常的安全运行和维护、定期的培训和安全检查等。如果需要，还可建立安全顾问机构。安全顾问机构可聘请信息安全专家担任系统安全顾问，负责提供安全建议，特别是在安全事故或违反安全策略事件发生后，可以被安全决策机构指定负责事故(事件)调查，并为安全策略评审和评估提供意见。 3.制定符合机构安全需求的信息安全策略电子商务交易过程中，需要明确的安全策略主要包括客户认证策略、加密策略、日常维护策略、防病毒策略等安全技术方案的选择。安全执行机构应根据本信息网络的实际情况制定相应的信息安全策略，策略中应明确安全的定义、目标、范围和管理责任，并制定安全策略的实施细则。安全策略文档要由安全决策机构审查、批准，并发布和传达给所有人的安全策略，还应由安全决策机构定期进行有效性审查和评估：在发生重大的安全事故、发现新的脆弱性、组织体系或技术上发生变更时，应重新进行安全策略的审查和评估。 4.人员安全的管理和培训 参与网上交易的经营管理人员在很大程度上支配着企业的命运，他们承担着防范网络犯罪的任务。而计算机网络犯罪同一般犯罪不同的是，他们具有智能性、隐蔽性、连续性、高效性的特点，因而，加强对有关人员的管理变得十分重要。首先，在人员录用时应做好人员鉴别，人员录用或人员职位调整时，一般要签署保密协议。当人员到期离开或协议到期、工作终止时，要审查保密协议。其次，对有关人员进行上岗培训，建立人员培训计划，定期组织安全策略和规程方面的培训。第三，落实工作责任制，在岗位职责中明确本岗位执行安全政策的常规职责和本岗位保护特定资产、执行特定安全过程或活动的特别职责，对违反网上交易安全规定的人员要进行及时的处理。第四，贯彻网上交易安全运作基本原则，包括职责分离、双人负责、任期有限、最小权限、个人可信赖性等。 5.增强法律意识，促进电子商务立法 面对电子商务这种新型的贸易形式，我国目前尚无专门法规可依，使得部分违法犯罪人员没有得到应有的惩罚。近几年里，国家加强了这方面的投入。在全国性的立法文件中， 合同法的部分条款可以看作是针对电子商务的立法。此外，广东省制定的广东省电子交易管理条例这个地方性的法规可以看作是对加快我国电子商务立法的有益探索。 中华人民共和国电子签名法是对主要用于电子商务活动，电子政务等其他应用应该有新的适用法规。 尽管在电子商务信息安全立法方面取得了一些成就，但总的来说，我国的电子商务立法还很不健全，对电子商务活动的安全保护缺少直接性；相关立法比较分散，而且效力不高；对新出现的情况缺乏适应能力；立法速度慢。这些都需要电子商务企业和国家有关部门不断探索，共同促进电子商务信息安全的法制环境建设。第三章：有效的安全交易标准和技术近年来，针对电子交易安全的要求，IT 业界与金融行业一起，推出不少有效的安全交易标准和技术。主要的协议标准有： 数字摘要:又称安全 Hash 编码法。该编码法采用单向 Hash 函数将需加密的明文摘要成一串 128bit 的密文,这一串密文亦称为数字指纹,具有固定的长度,并且不同的明文摘要其密文结果是不一样的,而同样的明文其摘要保持一致。数字签名:数字签名是将数字摘要,公用密钥算法两种加密方法结合使用。它的主要方式是报文的发送方从报文文本中生成一个 128 位的散列值(或报文摘要)，发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名,然后这个数字签名将作为报文的附件和报文一起发送给报文的接收方。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。数字时间戳:是对交易文件的时间信息所采取的安全措施，该网上安全服务项目,由专门的机构提供。时间戳是一个经加密后形成的凭证文档,它包括:需加时间戳的文件的摘要,数字时间戳服务收到文件的日期和时间,数字时间戳服务的数字签名。数字证书:数字证书又称为数字凭证,是用电子手段来证实一个用户的身份和对网络资源的访问权限,主要有个人凭证,企业(服务器)凭证,软件(开发者)凭证三种。身份认证技术：在网络上通过一个具有权威性和公正性的第三方机构认证中心,将申请用户的标识信息(如姓名,身份证号等)与他的公钥捆绑在一起,用于在网络上验证确定其用户身份。结论在计算机互联网络上实现的电子商务交易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。安全是电子商务的核心和灵魂，没有计算机网络安全作为基础,商务交易安全犹如空中楼阁,无从谈起；没有商务安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。而电子商务相应的实现技术和各种协议，正是安全得以实现的保证。一个完善的电子商务系统在保证其计算机网络硬件平台和系统软件平台安全的基础上，应该还具备以下特点：强大的加密保证；使用者和数据的识别和鉴别；存储和加密数据的保密；联网交易和支付的可靠；方便的密钥管理；数据的完整、防止抵赖。电子商务对计算机网络安全与商务安全的双重要求，使电子商务安全的复杂程度比大多数计算机网络更高，因此，电子商务安全应作为安全工程来管理，而不是解决方案来实施。总结与体会网络安全主要是指计算机和网络本身可能存在的安全问题,也就是要保障电子商务平台的可用性和安全性。作为一个成功的电子商务系统，首先要消除客户对交易过程中安全问题的担心才能够吸引用户通过 WEB 购买产品和服务。使用者担心在网络上传输的信用卡及个人资料被截取，或者是不幸遇到“黑店” ，信用卡资料被不正当运用；而特约商店也担心收到的是被盗用的信用卡号码，或是交易不认账，还有可能因网络不稳定或是应用软件设计不良导致被黑客侵入所引发的损失。由于