电子商务安全论文

中州大学经济贸易学院2010级电子商务专业电子商务安全论文1浅谈电子商务在安全上存在的问题与解决方法 目录一、绪论（一）电子商务安全及其现状国际商会将电子商务定义为：电子商务是指实现整个贸易过程中各阶段的贸易活动的电子化。从涵盖范围方面可以定义为：交易各方以电子交易方式而进行的任何形式的商业交易；从技术方面可以定义为：电子商务是一种多技术的集合体，包括交换数据，获自动捕获数据等。电子商务涵盖的业务包括：信息交换，不是通过当面交换或直接面谈方式售前售后服务，销售，电子支付，运输，组建虚拟企业，公司和贸易伙伴可以共同拥有和运营的共享的商业方法等。2002年世界电子商务交易额超1万亿元。在我国，2003年抗击非典的过程中，电子商务在畅通商业信息流方面，第一次发挥了显著作用，广交会上电子商务的作用日益突出，这些都为我国电子商务的进一步普及，起到了积极推动作用。2003年，中国已成为世界第五大国际贸易国。中国经济的高速发展，为电子商务发展提供了良好的经济环境，中国进一步对外开放，中国经济将与各国经济更加紧密地依存，这些都为电子商务的发展提供了巨大的市场机会。但是，作为一个刚刚完成从计划经济向市场经济转型过程的发展中国家，中国发展电子商务还面临很多的困难和问题。最突出的问题是安全问题，这不仅在我国，对世界电子商务的发展也是最主要的问题。（二）论文构成及研究内容本论文主要从电子商务网站的安全隐患、网站安全现状、网站安全的措施与解决方案等方面进行探讨，尤其对于网站安全的一些防范方法的介绍，以促进人们对电子商务网络安全防范技术的了解。实现电子商务的关键是要保证商务活动过程中的安全性，即保证基于互联网的电子交易过程与传统交易的方式一样安全可靠。42二、电子商务所面临的安全威胁（一）信息保密交易中的商务信息有保密的要求。如信用卡的账号和用户名被人知悉，就可能被盗用，订货和付款的信息被竞争对手获悉，就可能丧失商机。因此，在电子商务的信息传播中一般均有加密的要求，以防止非法的信息存取和信息在传输过程中被非法窃取。（二）假冒他人身份由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性,这种身份的不确定性极大地威胁着电子商务的安全,入侵者可以利用这种不确定性冒充他人身份通过发布命令、调阅文件等手段来欺骗合法用户。（三）交易不可抵赖不同于传统的交易方式那样通过手写签名和印章进行贸易方的鉴别，电子商务的通过网络来完成交易。如何确定要交易的贸易方，正是进行交易所期待的贸易方，这一问题则是保证电子商务顺利进行的关键。因此要在交易信息的传输过程中为参与交易的个人、企业和国家提供可靠标识（四）伪造电子邮件电子邮件的收件人、发件人、发送时间、邮件标题、邮件内容都是可以为造的，不法分子会利用伪造文件进行欺诈以谋取私利，所以这也成了电子商务重大的安全威胁。（五）截获或篡改传输信息不法分子会通过以下几种方式截取、篡改传输信息：(1)截取：通过安装在互联网、公共电话网以及电磁波辐射范围内的接收装置来获得机密信息。(2)参数分析：对信息的流量、流向和长度等参数进行专业分析，从而获得有用信息。(3)改变信息流的次序和内容，如贸易商品的出货地址；或在信息流中插入其他信息，让对方无法解读或接收错误信息，更为严重的攻击行为将会删除全部或部分重要信息。3三、电子商务存在的问题（一）电子商务环境安全问题电子商务环境安全包括计算机系统安全、数据安全、网络安全和应用安全。1．计算机安全计算机是一种硬件设备，硬件设备难免出现故障，一旦出现，将会影响电子商务系统的运行。特别是计算机的硬盘，一旦损坏，数据就会丢失，损失就无法挽回，需要对计算机硬件和数据进行备份。计算机系统安全主要是考虑提高用于电子商务系统的计算机硬件可靠性和稳定性。2.网络安全网络是用户进行数据交换，信息传递的主要途径。通过网络，用户可以访问网络中不同的计算机系统。网络安全主要是考虑限制用户对用于电子商机的访问权限，防止未授权的用户对系统的访问以及越权访问。3.数据安全在网络上传递的数据如果不采用任何安全措施，就会受到各种各样的攻击，如数据被截获，甚至数据被恶意篡改和破坏。数据安全主要是考虑防止数据被截获或截获后被破译，以及防止数据被恶意篡改和破坏。4.应用安全在网络环境下，计算机病毒猖獗，如果不加防范，就容易导致应用软件被病毒感染，程序被非法入侵和破坏，系统的功能受到限制。更严重的是导致系统不能正常工作，数据和信息丢失。应用安全主要是考虑防止应用软件被各种病毒非法入侵和破坏。(二)电子商务交易安全问题电子商务交易过程中，商家要发布产品信息，确认订购信息，收货款；客户要获取产品信息，传递订购信息，支付货款。买卖双方都存在安全问题，其中主要包括交易信息安全、支付安全和诚信安全。1.交易信息安全交易信息包括商家的产品信息和订单确认信息、客户的订单信息。交易信息具有机密性，不能被篡改。交易信息安全主要是防止交易信息被截获或截获后被破译，以及防止数据被恶意篡改和破坏。2.支付安全支付信息主要是客户的银行帐号、交易金额、以及个人识别码（PIN）和电子货币信息。支付过程中必须保证这些信息的安全。同时，对商家来说，可能存在虚假定单，假冒者以客户名义订购货物，而要求客户付款；对客户来说，可能存在欺骗性网站，盗取客户敏感信息，导致资金被窃取。如何保证客户支付信息安全以及买卖双方身份的真实性，是支付安全主要考虑的问题。3.诚信安全当电子商务的交易信息和支付信息有了安全保障，也并不能让买卖双方放心从事网上交易。我们知道电子商务的在线支付形式有电子现金、电子支票、信用卡支付。但是采用这几种方式，都要求客户先付款，商家再发货。这样客户的付款以后，会担心收不到货物或者收到劣质的货物。如果是先发货，然后付款，那么商家会担心客户是否会付款。因此，诚信安全也是影响电子商务支付型业务快速发展的问题。5四、电子商务安全体系面临电子商务的安全威胁，想要满足电子商务的安全要求，必须从政策法规、管理、技术这三个层次采取有效措施，从而对电子商务提供全面而有效的保护。（一）加强电子商务法律体系的建设为了保证电子商务的安全交易，全世界各国都加强了法律法规建设，利用司法力量，规范电子商务的交易行为。联合国于2001年审议通过了《电子签章示范法》成为国际上关于电子签章重要的立法文件，而我国于2005年4月1日已正式实施《电子签名法》，这使网上交易活动中直接在网上签署的合同有了法律保证。我国颁布或修改的一些有关电子商务的还有《商标法》和《着作权法》等，但这些并不全面，我国目前继续制定的有关电子商务的法律法规主要有以下三点：(1)有关买卖双方身份认证的办法：由于电子商务是在网络上进行，买卖双方互不相识，所以需要通过一定的手段相互认证。伴随着电子商务市场的急剧扩大，制定这方面的法律法规迫在眉睫(2)有关电子合同的合法程序：电子合同与一般的商业合同有所不同，它具有一定的风险，电子合同是保护电子商务安全交易的重要保证。目前我国急需通过建立法律法规来确定和认可通过电子手段形成的合同规则和范式。(3)有关电子支付：（二）加强网络安全1.防火墙技术防火墙通常是在私有网络与公共网络之间的界面上构造的一个保护层，被认为是一种访问控制机制。而防火墙技术是防范非法攻击的有力措施。最简单和最常用的防火墙是包过滤防火墙，安装防火墙时，网络管理员需要对防火墙进行设置，以确定接受或拒绝某种类型数据的传输。而实现防火墙技术的主要途径是：数据包过滤、应用网关和代理服务。2.VPN技术VPN指虚拟私有网，它的内涵是，使用开放的公共信道，通过附加的协议处理，向用户提供的虚拟私有网。VPN是一种新兴技术，它与信用卡交易和客户6发送订单交易不同，在VPN中，双方的数据通信量大得多，而且通信双方彼此都很熟悉。VPN实现过程使用了安全隧道技术、信息加密技术、用户认证技术等，而其中安全隧道技术使用加密与封装相结合的技术对用户数据进行安全保护，是实现VPN的核心技术。3.网络反病毒技术网络在不断地发展，而病毒也随之发展、进化，计算机病毒具有不可估量的破坏力和威胁性，所以说，病毒防范也是加强网络安全建设的重要环节。网络反病毒技术三部曲：第一步预防：这是首要环节，所以十分重要，其主要指利用自身常驻系统内存，优先获得系统控制权，从而达到对系统中是否有病毒存在的正确判断以及严密监视。防患于未然，提前做好计算机的防毒工作。第二步检测：通俗地讲就是判断出计算机病毒的技术，它是消毒的前提条件。第三步杀毒：病毒在不断地更新、发展，所以必须相应的开发出删除病毒程序并恢复原文见的软件，进而达到杀毒的目的。网络反病毒技术这三部的发展是网络反病毒技术的关键所在。（三）交易安全1.加密技术加密技术是指采用某种算法把原始数据进行再组织，然后在网络的公共信道上进行传输，非法接收者因不掌握正确的密匙，无法通过解密得到原始数据，而合法的接受者因掌握正确的密匙，可以通过解密过程得到原始数据。保证电子商务安全的最重要的一点就是使用加密技术对敏感的信息进行加密。而密匙可以用来保证电子商务的完整性、保密性、不可否认性、真实性。2.认证技术数字认证是用电子方式证明信息发送者和接收者的身份、文件的完整性，甚至数据媒体的有效性。信息认证是保证信息安全而采取的重要措施。认证是验证用户在系统上合法性和权限的过程，是为了防止有人对系统进行主动地攻击。认证机构是开展电子商务的基础，如果认证机构不安全或发放证书不具权威性，则网上交易根本无法进行。在电子交易的各个环节，交易的各方面都需要验证对方证书的有效性，从而解决相互信任的问题。3.CA中心CA中心是一个电子认证机构，为交易的当事人进行信任担保，以帮助双方建立信任，促成交易，为电子商务的发展提供了组织安全保证。CA的基本功能是生成保管符合安全认证协议要求的密匙、数字证书（DC）及其数字签名；对DC和数字签名进行验证；对DC进行管理，其中证书的撤销管理是重点97同时实施自动管理；建立应用接口，特别是支付接口，实现安全支付。DC用来证明网上参与交易的各方身份，而CA的功能是增强网上交易各方的相互信任，大大地降低了交易中存在的风险，从而提高了网上交易的安全性。电子商务业务系统构架基于CA体系的安全基础上。基本加密技术与CA证书技术共同构成电子商务安全基础。8五、电子商务安全问题的对应安全技术(一)数据加密技术由于交易信息在传输过程中有可能遭到侵犯者的窃听而失去机密性，加密技术是电子商务采取的主要保密安全措施，是最常用的保密安全手段。加密技术也就是利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原(解密)。加密包括两个元素：算法和密钥。密钥和算法对加密同等重要。密钥加密技术的密码体制分为对称密钥体制和公共密钥体制两种。相应地，对数据加密的技术分为两类，即对称加密和非对称加密。对称加密以数据加密标准（DES，DataEncryptionStandard）算法为典型代表，非对称加密技术通常以RSA（RivestShamiradleman）算法为代表。(二)数字签名对信息进行加密只解决了信息保密问题，而防止他人对传输的信息进行篡改或破坏，保证信息的完整性，以及保证信息发送者对发送信息的不可抵赖性，需要采用其它的手段，这一手段就是数字签名。在电子商务系统中，数字签名技术有着特别重要的地位，数据签名技术能够保证：信息除发送方和接收方外不被其他人窃取；信息在传输过程中不被篡改；发送方对于自己发送的信息不能抵赖。目前的数字签名是建立在公共密钥体制基础上，它是公用密钥加密技术的另一类应用。数字签名与书面文件签名有相同之处，采用数字签名，也能确认以下两点：信息是由签名者发送的；信息自签发后到收到为止未曾作过任何修改。应用广泛的数字签名方法主要有三种，即：RSA签名、DSS签名和Hash签名。这三种算法可单独使用，也可综合在一起使用。（三）数字证书在公共密钥体制中，私钥只有信息发送者知道，而与之匹配的公钥是公开的，它能保证传输信息的机密性，但没有解决公钥的分发方式。数字签名保证了信息是由签名者发送的以及信息自签发后到收到为止未曾作过任何修改，但不能保证签名者身份的真实性。因此需要有一种措施来管理公钥分发，保证公钥以及与公钥有关的实体身份信息的真实性。这一措施就是数字证书。数字证书是一般由具有权威性、可信任性的第三方机构即认证机构(crtificateAuthority,CA）所颁发。数字证书是公共密钥体制中的密钥管理媒介，并将公钥和实体身份信息绑定在一起，并包含认证机构的数字签名。数字证书在电子商务中用于公钥的分发、传递，证明电子商务实体身份与公钥相匹配。以上安全技术、加密技术是电子商务交易安全的基础技术，用于对信息的加密，保证信息的机密性。数字签名和数字信封技术应用了加密技术，建立在公共密钥体制基础上，。数字签名用于对信息进行数字签名，保证信息的完整性和不可抵赖性。数字信封用于对信息进行封装，保证信息只有指定的接收者才能看到。电子证书是对加密技术和数字签名进行支持的技术，用于管理公钥分发，保证公钥以及与公钥有