【电子商务的安全问题及对策研究5400字（论文）】

电子商务的安全问题及对策研究目录TOC\o"1-3"\h\u1452第一章绪论 123113第二章电子商务安全的概述 112827第三章电子商务安全案例分析 217557第四章电子商务安全存在的问题 3119064.1网络信息安全法律法规的不健全 3325404.2安全建设考虑不全面 3191594.3高层的网络安全人才短缺 3135644.4商务信息安全问题 315548第五章技术和管理层面上的建议对策 421465.1技术层面上的建议 472825.1.1防火墙技术 4235925.1.2加密技术 4180535.2安全管理层面防治措施 5295375.2.1提高公众电子商务的安全意识 6121995.2.2健全法律，严格执法 624118第六章结论 725748参考文献 8第一章绪论随着互联网的发展，个人终端技术的发展，电子商务越来越出现在人们的生活和工作中，这种新型的商务模式具有便捷、高效、低成本的特点。与此同时，这种新的商业模式对管理水平、信息传输技术提出了更高的要求，其中安全的重要性尤为突出。电子商务是通过电信网络进行电子支付，获取信息产品或交付实物产品的承诺。与传统的商业模式相比，电子商务具有高效、便携、低成本等优点。电子商务的发展给人们的工作和生活带来了新的尝试和便利，但却没有人们想象的那么普及和深刻。其重要的原因就是由于电子商务交易平台的虚拟性和匿名性，使得电子商务的安全问题成为阻碍电子商务发展的瓶颈。本文在介绍电子商务安全威胁和安全隐患的基础上，给出了电子商务中所涉及到的主要技术，并针对电子商务安全现状，给出相应的对策和建议。第二章电子商务安全的概述电子商务是以计算机网络为基础，以电子方式为手段，在法律的范围内，实现信息、商品交换的业务过程。电子商务的主体包括消费者、商家、提供电子支付的银行和由双方信任的第三方认证机构。它们通过一个开放的互联网相互连接。电子商务过程是高度集成的信息流、资金流、物流、信贷流和业务流。电子商务安全整体上可以分为两部分：计算机网络安全和商业交易安全。计算机网络安全内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全。企业交易安全是指计算机网络安全，基于电子交易和电子支付等业务活动的顺利进行的保障。计算机网络安全和商业交易安全是一个整体，缺一不可。没有安全的计算机网络环境作为基础，商业交易安全只是空谈，没有商业交易安全的保障，即使拥有绝对安全的网络环境，也不能满足电子商务本身的安全要求。第三章电子商务安全案例分析随着网络的迅速发展不断有用户投诉密码被更改，邮箱邮件被别人收走。还有的栏目信息被入侵者修改，换成莫名其妙的内容，更猖狂的是，该入侵者居然公然加了一个自己的帐号，并将其设置为管理员。经本站安全技术人员C检查，其网站至少存在2个致命漏洞，一个中等程度的漏洞和若干个配置错误。其中一个致命漏洞在于RPC程序中的一个守护进程。该守护进程的漏洞在Internet上发布已经有半年，但管理员既没有对该进程的程序打补丁，也没有关掉该服务。实际上这个服务是没有必要打开的。这个守护进程中存在一个缓冲区溢出错误，并且有黑客针对该错误写了一段攻击程序，公布在黑客BBS上。该攻击程序通过缓冲区溢出错误可以使入侵者在这台机器上用任何身份执行任何指令。该溢出发生的时候这个守护进程程序报错，这表明入侵者的确是利用这个漏洞进入系统的。该网站上的另一个中等程度的漏洞是finger服务，该服务暴露了这台机器的用户名。本站安全技术人员通过修改系统初始化文件和修补漏洞的工作以后，有效地防止了以后同类现象发生。该网站的运行没有出现过有关安全的投诉。此类问题未能得到很好的解决，更多的用户的权益受到侵害。由于电子商务是建立在开放的、自由的Internet平台上的,其安全的脆弱性阻碍了电子商务的发展.因此,要发展电子商务就必须解决安全问题,就必须要能保证电子商务的机密性、完整性、有效性、真实性以及不可否认性。为应对电子商务出现的各种安全问题，电子商务安全技术虽然已经取得了一定的成绩，但是电子商务要真正成为一种主导的商务模式，还必须在其安全技术上有更大的发展和突破。

第四章电子商务安全存在的问题4.1网络信息安全法律法规的不健全面对网络信息盗窃、盗窃、信息攻击和破坏、信息污染和软件盗版的猖獗，色情信息泛滥。人们呼吁加强网络立法，网络的发展需要法律的支持和保护。世界各国都必须制定相关的法律法规。网络毕竟是一个新生事物，人们对其知之不多，传统交易方式中具有法律效用的原始合同、签名等如何在电子介质中应用，再加之网络技术的发展日新月异，国家相关法律的制定难以跟上网络的高速发展，使得对一些网络违法、纠纷出现后电子形态的证据如何被法庭所接受、犯罪行为的认定和惩罚缺乏更细致的法律依据。4.2安全建设考虑不全面国内建网、联网的速度很快，但网络安全技术和产品的应用却很慢。目前，对于我国大多数中小企业来说，防火墙是防止外部非法入侵的唯一手段，但它只是整体安全战略的一部分。一整套安全系统必须是全方位、多层次的。由防火墙造成的安全错误给用户，让他们忽略了操作系统、网络系统、应用系统和其他软件的安全缺陷，忽略了合理地建立、设置、维护防火墙，忽略了周密地制订应强制执行的安全政策，忽略了全面地考虑、实施安全策略。4.3高层的网络安全人才短缺我国专门从事计算机安全问题研究的部门、单位和高校很少，这造成了我国信息安全方面的技术人才十分缺乏，计算机人员以及计算机管理人员缺少必备的安全知识。在落实网络安全基本措施中有一条：一旦发现安全漏洞，就应在防火墙中安装最新的安全修补程序，这是极为关键的。但由于人才缺乏导致大多数管理人员甚至还不知道什么是安全修补程序。4.4商务信息安全问题在早期的电子交易中，曾采用过一些简单的安全措施。例如在线交易中，最关键的数据如信用卡号和交易金额与手机告知，防止泄露，网上交易再用其他方式确认交易，以确保其真实性和不可否认性。这些方法不仅操作不便，而且有一定的局限性，无法达到其真正的安全性。信息在传输过程中不使用适当的加密措施或加密强度不够，导致数据在网络上以明文或接近明文的形式传输。入侵者截获信息被拦截装置通过截获的数据传输，通过对被盗的数据参数的对比分析，找到信息的格式和规律，进而得到传输信息的内容，导致消费者消费信息、账号密码和企业商业机密等信息的外泄。第五章技术和管理层面上的建议对策5.1技术层面上的建议5.1.1防火墙技术防火墙在网络间建立安全屏障，先封闭所有信息流，再审查要求通过信息，符合条件就通过。1.包过滤技术在网络层根据系统设定的安全策略决定是否让数据包通过，在内部网络和外部网络之间选择性地包过滤，核心是安全策略即过滤算法设计。可以识别和丢弃带欺骗性源IP地址的包，DNS的数据包过滤规则、电子邮件的数据包过滤规则,能使网络通信更安全。对每个IP包的字段都被检查源地址、目的地址、协议、端口等识别和丢弃带欺骗性源IP地址的包。2.状态监控技术通过它建立的每个连接都被跟踪，并根据需要在过滤器规则中动态添加或更新。在网络层完成所有必要的包过滤和网络服务代理防火墙功能。例如，允许先前经过身份验证的连接继续与被授权的服务通信。基本上，防火墙用于确定数据包的状态，以便记录信息，包括包请求的应用、连接的持续时间、连接请求所生成的内部和外部系统。通过对网络访问过程的记录和生成日志，对日志进行统计分析，利用资源分析，跟踪和监测异常现象。5.1.2加密技术在过去，用户为了防止信用卡的号码被窃取到，一般是通过电话订货，然后使用用户的信用卡进行付款。现在人们开始用RSA（一种公开/私有密钥）的加密技术，提高信用卡交易的安全性，从而使电子商务走向实用成为可能。目前广泛应用的加密技术有：1.公共密钥和私用密钥信息交换的过程是贸易方甲生成一对密钥并将其中一把作为公开密钥公开；得到公开密钥的贸易方乙对信息加密后再发给贸易方甲：贸易方甲用另一把专用密钥对加密信息解密。具有数字凭证身份人员的公共密钥在网上查到或请对方发信息将公共密钥传给对方，保证传输信息的保密和安全。由于对每次信息交换都生成了唯一一把密钥，因此各贸易方就不再需要对密钥进行维护和担心密钥的泄露或过期。这种方式的另一优点是即使泄露了一把密钥也只将影响一笔交易，而不会影响到贸易双方之间所有的交易关系。这种方式还提供了贸易伙伴间发布对称密钥的一种安全途径。2.数字摘要也称安全Hash编码法。将需加密的明文“摘要”成一串密文亦称数字指纹，有固定长度且不同明文摘要成密文结果不同，而同样明文摘要必定一致。这串摘要成为验证明文是否真身的“指纹”。3.数字签名将数字摘要、公用密钥算法两种加密方法结合。在书面文件上签名是确认文件的手段。采用非对称加密算法,实现方式为:发送方从报文文本中生成一个128位的散列值,并用自己的私有密钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接受方;报文的接受方首先从接受到的原始报文中计算出128位的散列值,再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接受方就能确认该数字签名是发送方的。4.数字时间戳电子交易中文件签署日期和签名是防止交易文件被伪造和篡改的关键性内容，数字时间戳服务能提供电子文件发表时间的安全保护。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务（DTS）是网络安全服务项目，由专门的机构提供。时间戳是一个经加密后形成的凭证文档。

3.1.3认证技术（C2B）安全认证的作用是进行信息认证。信息认证是确认信息发送者的身份，验证信息完整性，确认信息在传送或存储过程中未被篡改。1.数字证书数字凭证、数字标识，用电子手段证实用户身份及对网络资源的访问权限，可控制被查看的数据库，提高总体保密性。交易支付过程中，参与各方必须利用认证中心签发的数字证书证明身份。利用电子手段来证实一个用户的身份及用户对网络资源的访问权限。它包括用户的姓名、公共密钥、公共密钥的有效期、颁发数字证书的CA、数字证书的序列号以及用户本人的数字签名。任何信用卡持有人只有申请到相应的数字证书,才能参加网上的电子商务交易。2.安全认证机构电子商务授权机构也称电子商务认证中心。无论是数字时间戳服务还是数字证书发放，都需要有权威性和公正性的第三方完成。CA是承担网上安全交易认证服务、签发数字证书并确认用户身份的企业性服务机构，受理数字证书的申请、签发及对数字证书管理。5.2安全管理层面防治措施防范电子商务网络犯罪是一个系统工程，不仅需要人们提高防范电子商务网络犯罪的意识，加强防范电子商务网络犯罪的制度建设，而且。还需要技术上不断更新和完善，为此，需要做好以下几方面的工作。5.2.1提高公众电子商务的安全意识信息安全意识是指人们在互联网的进程中，重视信息安全意识水平，发现影响网络安全行为的敏感度，维护网络安全的主动性。加强上网人员的信息安全意识，让员工认识到，互联网的网络信息安全是电子商务的正常、高效运行的基础，是保障企业、公民和国家利益的重要前提，从而建立网上交易，一个思想。主要采取以下措施：一是通过大众传播媒介，普遍获取电子商务安全知识，提高用户意识。二是积极组织研讨会和培训班，培训电子商务网络营销安全管理人员。5.2.2健全法律，严格执法要积极开展电子商务立法的各项准备工作，循序渐进、突出重点、先易后难，先单项后综合，在实践中摸索，在发展中完善，针对不同的法律问题，提出新的解决方案，制定相应的法律法规。目前我国在电子商务法律法规方面还有很多缺失，不能有效地保护公众的合法权益，给一些犯罪分子带来了可乘之机。我国立法部门应加快立法进程，吸取和借鉴国外网络信息安全立法的先进经验，使电子商务安全管理走上法制化轨道。使网络控制、信息控制、信息资源管理和防止泄密有法可依，并得到技术上的支撑。健全电子商务安全标准认证和质量检测机制，由国家主管部门组织制定有关电子商务安全条例规定，并发挥职能部门的监管作用。通过建立电子商务安全法规体系，规范和维持网络的正常运行。第六章结论我国电子商务仍处在起步阶段，还存在着应用范围不广、水平不高和安全威胁等问题，对我国实现全面建设小康社会的宏伟目标具有十分重要的意义。虽然电子商务安全保护的新技术越来越多，但现有的新技术无法形成有效、安全、系统的电子商务安全体系。构建一个完全基于客户需求，从最先进的网站建设平台，用最有价值的网络来推进网络营销的最佳、最安全的解决方案。因此，要防范电子交易的风险，保护双方当事人的利益。电子商务应充分利用信息技术，培育和发展良好的竞争环境，增强企业参与综合竞争的能力，立足于供应链、信息交换和技术创新的战略联盟。参考文献[1]张建兵,程财军.电子商务安全问题探析[J].现代商贸工业,2009,21(23):253-254.[2]王大飞.移动电子商务安全研究[D].武汉理工大学,2011.[3]李岩,宋朝.电子商务安全现状及对策研究[J].学理论,2011(006):81-82.[4]申淑杰.电子商务安全现状及对策探讨[J].科学咨询,2011(3):13-14.[5]张娅妮.电子商务网络安全问题的现状与防范措施[J].计算机安全,2013(4):75-78.[6]许宁宁.电子商务安全的现状和趋势[J].中国电子商务,2010(1):39-40.[7]董纪阳.移动商务的安全问题研究[J].中国管理信息化,2011(21):77-79.[8]刘小红如何构建整合模式电子商务网站CA中心[J]，北京：计算机工程与应用，2001.22P67-68[9]贾晶等编著信息系统的安全与保密[M]，北京：清华大学出版社，2000.12[10]刘