《试谈电子商务的安全问题.docx》由会员分享,可在线阅读,更多相关《试谈电子商务的安全问题.docx(21页珍藏版)》请在三一办公上搜索。
1、毕业综合作业浅析电子商务的安全问题选题类型: 毕业论文 学生姓名: 杨斌 学 号: 20080303119 系 部: 管理与信息系 专 业: 计算机应用 班 级: 计应081 指导老师: 武玉坤 讲师 浙江绍兴提交时间:2011年4月摘 要电子商务作为一种新型的商业模式,近几年得到了迅猛的发展, 然而电子商务的安全现状不容乐观, 安全问题成为制约电子商务发展的瓶颈。要规范电子商务存在的各类问题,需从技术、法律、制度等方面入手。文章讨论了电子商务应用中所存在的安全问题,探讨了电子商务安全解决方案 关键词 电子商务 安全问题 安全技术AbstractAs a new business model,
2、 electronic commerce has been at the high speed of development in recent years. However, the security of electronic commerce which has limited its growth is not optimistic. We need to take measures to standardize the security problems in electronic commerce in the way of technology, law and institut
3、ion. This article discusses the security issues in electronic commerce and the way to solve it.Keywords electronic commerce security problems security technology目 录摘 要iAbstractii第1章 绪 论1第2章 电子商务面临的危险22.1 网络环境安全问题22.2 系统安全问题22.3 交易者身份安全问题22.3.1 卖方信息安全威胁22.3.2 买方信息安全威胁32.4 信息安全问题32.4.1 信息窃取32.4.2 身份的不
4、确定32.4.3 拒绝服务42.4.4 假冒4第3章 电子商务的安全防范措施53.1 信息的保密性53.2 信息的访问控制53.3 防火墙技术53.4 入侵检测系统63.5 数据加密技术63.6 数字签名73.7 电子证书73.8 启用安全认证系统83.9 安全电子交易协议83.10 交易内容的不可否认性93.11 生物测定学技术93.11.1 指纹识别93.11.2 视网膜识别93.11.3 虹膜识别93.11.4 面部特征识别103.11.5 语音识别10第4章 电子商务模型和它的安全体系技术114.1 传统的商务模式114.2 商务电子化系统的构筑124.3 系统安全框架134.3.1
5、客户端的安全134.3.2 传输中的安全144.3.3 服务器端的安全性14致 谢15结束语16参考文献17第1章 绪 论随着信息技术在贸易和商业领域的广泛应用,利用计算机技术、网络通信技术和因特网实现商务活动的国际化、信息化和无纸化,已成为各国商务发展的一大趋势。基于互联网的电子商务应运而生。电子商务是以计算机网络为基础,以电子化方式为手段,以商务活动为核心,在法律许可范围内进行的商务活动方式。它把原来传统的销售、购物渠道移到互联网上来,打破国家与地区有形无形的壁垒,实现交易方式的全球化、网络化和个性化。狭义的电子商务(E-Commerce)主要是指利用因特网进行的商务活动。广义的电子商务(
6、E-Business)则是指所有利用因特网电子工具从事的商务活动。电子商务业务可以分为两大类:非支付型业务和支付型业务。前者包括税务申报、电子选 举、证书发放、在线报表、安全政务等业务。后者包括各种电子银行业务、代缴代付业务 、银证转账业务、银企转账业务、电子证券业务、网上购物业务等。电子商务的安全,包括网络系统的安全、信息传递过程中的安全、信息储存的安全、交易款项和标的物的安全等许多方面,设计计算机系统和通信网络的软硬件技术、加密技术、数字认证技术、生物测定技术等专业知识,也包括了安全制度的建立、安全意识的培养教育等管理范畴。第2章 电子商务面临的危险由于网络的全球化、开放性、共享性等特点,
7、 电子商务面临诸多安全问题。2.1 网络环境安全问题一般来说,计算机网络安全问题是计算机系统自身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面,计算机系统硬件和通信设施极易遭受自然环境的影响(如温度、湿度、电磁场等)以及自然灾害和人为(包括故意破坏和非故意破坏)的物理破坏;另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击;同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作,造成计算机网络系统内信息的损坏、丢失和安全事故。网络安全是电子商务系统安全的基础,涉及的方面较广,如防火墙技术、网络监控、网络隐患扫描及各种反黑客技术等。2.2 系统安全问题对
8、于任何一个系统来说,安全都是相对的。作为网站的管理者要始终保持清醒的头脑,针对出现的隐患和问题不断研究新的安全措施。对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对公共网络上传输的敏感信息要进行强度的数据加密;安装防病毒软件,加强内部网的整体防病毒措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。2.3 交易者身份安全问题2.3.1 卖方信息安全威胁卖方面临的信息安全威胁主要有:恶意竞争者茂名订购商品或侵入网络内部以获取营销信息和客户信息;假冒合法用户名已改变商务信息内容,致使电子商务活动中断,造成商家名誉和用户利益等方面的受损;信息间谍通过技术手段窃取商业秘密;黑客入侵并攻击服务器
9、,产生大量虚假订单挤占系统资源,令其无法响应正常的业务操作。2.3.2 买方信息安全威胁买方面临的信息安全威胁主要有:发送的商务信息不完整或被篡改,用户无法收到商品;用户身份证明信息被拦截窃用,以致被要求付账或返还商品;域名信息被监听和扩散,被迫接受许多无用信息甚至个人隐私被泄露;受虚假广告信息误导购买假冒伪劣商品或被骗钱财;遭黑客破坏,计算机设备发生故障导致信息丢失。2.4 信息安全问题信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。在电子商务中信息安全问题主要包括信息窃取、身份的不确定、拒绝服
10、务、假冒、病毒的感染。2.4.1 信息窃取在信息传送的过程中,由于信息没有采用加密措施,调制解调器之间的信息以明文的形式传送,入侵者使用相同的调制解调器就可以截获所传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成传输信息的泄漏。在电子商务中信息的泄漏表现为商业机密的泄漏,主要包括两个方面:交易双方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。2.4.2 身份的不确定由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息,仿
11、冒合法用户的身份与他人进行交易,以破坏交易,败坏被假冒一方的声誉或盗窃被假冒一方的交易成果等,从而获得非法收入。如果不进行身份识别,交易的一方可以不为自己的行为负责任,对其进行否认,相互欺诈。进行身份识别后,交易双方就可防止相互猜疑的情况。2.4.3 拒绝服务拒绝服务是指攻击者可能向销售商的服务器发送大量的虚假定单来挤占他的资源,使合法接入的信息、业务或其他资源受到阻碍,从而使合法用户不能得到正常的服务。例如使一个业务被滥用而使其他用户不能正常工作。拒绝服务是目前为止尚无有效措施予以阻止的攻击方法. 拒绝服务攻击有两类:一是向网络或主机发送大量非法或无效的请求,使其消耗可用资源却无法继续提供正
12、常的网络服务. 二是利用操作系统、软件、网络协议、网络服务等的安全漏洞,通过网站发送特制的数据请求,使网络应用服务器崩溃而停止服务。2.4.4 假冒不诚实的人建立了与销售者服务器名字相同的另一个服务器来假冒销售者;以虚假订单获取他人的机密数据,比如,某人想要了解另一个人在销售商处的信誉时,他以另一个人的名字向销售商订购昂贵的商品,然后观察销售商的行动,假如销售商认可该定单,则说明这个观察者的信誉高,否则,则说明这个观察者的信誉不高。第3章 电子商务的安全防范措施为确保电子商务系统的安全性,首先应从技术上作好安全防范工作,从技术上加强安全防范,主要应从以下措施:3.1 信息的保密性信息的保密性是
13、指电子商务参与的一方或各方希望保密的产品信息、价格信息、客户信息、订单信息等商务信息,以及银行账号、信用卡卡号、账户密码等金融财务信息,以及其他个人不愿意公开的隐私信息,无论在交易前、交易中,还是在交易后都不被他人窃取、偷听、偷看等。信息的保密性可以采用加密等技术手段来实现。3.2 信息的访问控制访问控制是指对网络系统和各种信息设置不同的权限,根据正常业务需要容许相关人员访问必要的信息,而其他无关人员则不被容许访问。最常用的是采用用户名/口令进行身份验证,还可以采用路由器、防火墙以及VPN、VLAN、等技术对物理网络进行一定的逻辑划分。访问控制最大的难点不在于怎样防范黑客的进攻,而在于如何建立
14、并有效实施一套安全访问制度体系。3.3 防火墙技术防火墙是指一个由硬件设备或软件、或软硬件组合而成的,在内部网与外部网之间构造的保护屏障。所有的内部网和外部网之间的连接都必须经过此保护层,并由它进行检查和连接。只有被授权的通信才能通过防火墙,从而使内部网络与外部网络在一定意义下隔离,防止非法入侵、非法使用系统资源、执行安全管制措施。防火墙基本分为两类:包过滤和基于代理的防火墙。包过滤防火墙对数据包进行分析、选择,依据系统内事先设定的过滤逻辑来确定是否允许该数据包通过。包过滤器只能结合源地址、目标地址和端口号才能起作用,如果攻击者攻破了包过滤防火墙,整个网络就公开了。代理防火墙又称为应用层网关防
15、火墙,能够将网络通信链路分为两段,使内部网与Internet 不直接通信,而是使用代理服务器作为数据转发的中转站,只有那些被认为可信赖的数据才允许通过。代理防火墙比包过滤防火墙慢,当网站访问量较大时会影响上网速度;代理防火墙在设立和维护规则集时比较复杂,有时会导致错误配置和安全漏洞。目前市场上最新的防火墙产品集成了代理和包过滤技术,提供了管理数据段和实现高吞吐速度的解决方案。这些混合型的设备在安全要求比吞吐速度有更高要求时,能实行代理验证服务,在需要高速度时,它们能灵活地采用包过滤规则作为保护方法。3.4 入侵检测系统和防火墙的被动防御不一样,入侵检测系统是主动式的安全防范。入侵检测技术就是在
16、计算机网络系统中设置若干个关键点来收集信息,并将信息传送到检测系统进行分析,以判断网络中是否有非法入侵行为,若发现入侵,会及时反应,包括切断网络连接,记录事件和报警等,以保证资源不被非法使用和访问。入侵检测系统有两种检测网安全的办法,一种是基于主机型,另一种是基于网络型。基于主机型的入侵检测系统主要检测网络用户对特定主机的访问,查看是否有各种可疑现象发生:有没有未经授权的访问,有没有异常端口或协议在连接或试图连接,主机上的文件或数据有没有被破坏,等等。基于网络的入侵检测系统会监控网络上的关键点,如防火墙、交换机上行口等,观察是否有异常数据包发生。如果发现了各种问题,入侵检测系统会立即报警,并通
17、知相应的安全系统及时作出反应。3.5 数据加密技术对数据进行加密是电子商务系统最基本的信息安全防范措施。其原理是利用加密算法将信息明文转换成按一定加密规则生成的密文后进行传输,从而保证数据的保密性。使用数据加密技术可以解决信息本身的保密性要求。数据加密技术可分为对称密钥加密和非对称密钥加密。对称加密指的是加密和解密的密钥是相同的,又称为单一密钥加密。目前最有名的对称加密算法是美国国家标准局提出DES(Data Encryption Standard) 算法。对称加密算法的优点是加密、解密速度快,适合于对大量数据进行加密,能够保证数据的机密性和完整性;而最大的问题是密钥的传递可能会导致泄密。因为
18、双方使用同一个密码,因此使用时需要一方把密码传递给另一方,如果传递过程中,密钥数据被他人窃取或复制,那么密码窃取者就可以对加密后传递的密文进行解密,从而导致泄密。非对称密钥加密也叫公开密钥加密,它主要指每个人都有一对唯一对应的密钥:公开密钥(简称公钥)和私人密钥(简称私钥)。公钥对外公开,私钥由个人秘密保存,用其中一把密钥来加密,就只能用另一把密钥来解密。非对称密钥加密算法的优点是易于分配和管理,缺点是算法复杂,加密速度慢。一般用公钥来进行加密,用私钥来进行签名;同时私钥用来解密,公钥用来验证签名。算法的加密强度主要取决于选定的密钥长度。目前常用的非对称加密算法有:麻省理工学院的RSA 算法、
19、美国国家标准和技术协会的SHA 算法等。由于上述两种加密技术各有长短,目前比较普遍的做法是将两种技术进行集成,例如信息发送方使用对称密钥对信息进行加密,生成的密文后再用接收方的公钥加密对称密钥生成数字信封,然后将密文和数字信封同时发送给接收方,接收方按相反方向解密后得到明文。3.6 数字签名 数字签名用来保证信息传输过程中信息的完整和提供信息发送者的身份认证和不可抵赖性。使用公开密钥算法是实现数字签名的主要技术。使用公开密钥算法实现数字签名技术,类似于公开密钥加密技术。它有两个密钥:一个是签名密钥,它必须保持秘密,因此称为私有密钥,简称私钥;另一个是验证密钥,它是公开的,因此称为公开密钥,简称
20、公钥。公开密钥算法的运算速度比较慢,因此可使用安全的单向散列函数对要签名的信息进行摘要处理,减小使用公开密钥算法的运算量。3.7 电子证书证书签发机构CA(Certificate Authority)是提供身份验证的第三方机构,由一个或多个用户信任的组织实体构成。,核实某个用户的真实身份以后,签发一份报文给该用户,以此作为网上证明身份的依据。这个报文称为电子证书,包括:惟一标识证书所有者的名称、惟一标识证书签发者的名称、证书所有者的公开密钥、证书签发者的数字签名、证书的有效期及证书的序列号等。电子证书能够起到标识贸易方的作用,是目前电子商务广泛采用的技术之一。3.8 启用安全认证系统企业电子商
21、务网站的安全除网站本身硬件和软件的安全外,还应包括传输信息的安全。对一些重要的的传输信息,应保证信息在传输过程中不被他人窃取、偷看或修改。因此,应在网站服务器中启用安全认证系统。安全认证系统对重要的信息采用密码技术进行加密,使它成为一种不可理解的密文。接收方收到密文后再对它进行解密,将密文还原成原来可理解的形式。目前,在电子商务中普遍采用SSL安全协议。SSL 安全协议主要提供三方面的服务:(1) 认证用户和服务器,使得它们能够确信数据将被发送到正确的客户机和服务器上。(2) 加密数据以隐藏被传送的数据。维护数据的完整性,确保数据在传输过程中不被改变。3.9 安全电子交易协议SET协议是专为电
22、子商务系统设计的。SET主要使用电子认证技术,其认证过程使用RSA和DES算法,因此,可以为电子商务提供很强的安全保护。它位于应用层,其认证体系十分完善,能实现多方认证。在SET的实现中,消费者帐户信息对商家来说是保密的。SET协议使用保证商家并不知道客户的银行支付帐号有关的信息,同时银行也不知道具体的订购内容。 SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证,这对于需要支付货币的交易来讲是至关重要的。SET将建立一种能在Internet上安全使用银行卡购物的标准。安全电子交易规范是一种为基于信用卡而进行的电子交易提供安全措施的规则,在电子商务交易过程中,SET 协议采用了数字
23、信封和数字签名技术来保证各参与方信息的相互隔离,使商家只能看到持卡人的订购数据,而银行只能取得持卡人的信用卡信息,保证了传递信息的机密性,数据的完整性和不可抵赖性。所以它是一种能广泛应用于Internet上的安全电子付款协议,它能够将普遍应用的信用卡的使用场所从目前的商店扩展到消费者家里,扩展到消费者个人计算机中。SET以推广利用信用卡支付网上交易而广受各界瞩目,它将成为网上交易安全通信协议的标准,有望进一步推动Internet电子商务市场。3.10 交易内容的不可否认性不可否认性指的是有效防止通信或交易双方对已进行的业务的否认。我们不仅要在管理体制上通过教育和法律强制手段防范抵赖现象的发生,
24、更要有技术手段来检验证明交易的参与者确实作出了有关的表示或承诺,并且这个证明过程应该具有公信力,能够被各方接受,并得到法律的认可和保护。数字签名和传统的书写签名一样,是交易参与者对交易过程中各种表示、承诺和合约内容的法律确认。3.11 生物测定学技术生物测定学技术广泛应用于各种门禁安全等领域,在电子商务领域也作为身份认证的一项手段得到了应用。3.11.1 指纹识别使用指纹识别技术首先必须对使用对象进行扫描采样,选取手指头上一定数量的点,将这些点的纹路切线方向的角度数据记录在电脑系统中,也可以存入在个人身份信息智能卡(ID卡)中。由于理论上任何两个人的指纹都不相同,因此可以将现场扫描的数据和电脑
25、数据进行对比,从而确定身份。3.11.2 视网膜识别视网膜识别时通过对人体眼球底部血管分布图像的扫描,然后用电脑进行分析判断,来识别对象身份的一种技术。它需要被识别对象走到识别仪的镜头前,贴住镜头,眼睛盯住里面的一个小点看,这样计算机就能扫描下人的视网膜图像。它最大的麻烦事需要摘掉眼镜,包括隐形眼镜,给人带来不便。因此,它正在逐步被另一项眼睛识别技术所取代,这就是虹膜识别。3.11.3 虹膜识别虹膜识别是通过对眼球表面角膜的色彩扫描分析,能够识别对象的身份。这项技术可能是罪精确的生物测定学技术。它的好处是被测对象不用走到镜头跟前眼睛贴住往里面看,只需要站在镜头前不超过一米的地方,通过红外线,一
26、起回扫描下你的虹膜影像,同时不用狭窄叼你的眼睛或隐形眼镜,非常方便。3.11.4 面部特征识别面部特征是指人的眼眶的距离、鼻子的长度、下巴的长度等。利用摄像机对这些面部特征进行扫描,得到一组数据,构成一个模板。通过现场采集数据模板的比对,可以核实一个人的身份。它的优点是对被测人的干扰小,甚至可以在人群中搜索对象,而且基础数据可以通过身份证、驾驶证等证件上面的照片采集,缺点是误差较大,而且无法辨别整形后的同一个人。3.11.5 语音识别语音识别技术经常应用于电话交易中,比如通过电话订购飞机票等。由于每个人的声音特征各不相同,因此可以利用这一点确认人们的身份。语音识别技术容易实现,但是设备需要经过
27、“训练”,以“记住”你的声音。进行语音识别时周围环境要保持安静。如果被测人感冒或喉咙嘶哑,可能会出现误差。第4章 电子商务模型和它的安全体系技术4.1 传统的商务模式传统的商务流程是全手工、混乱的、不透明的,客户和供货商业务流程如图1所示。图1 传统的商务流程传统的商务媒介是电话、传真、文件夹和资料柜等,所有的业务流程是手动的。当公司业务达到一定量时,会需要保存大量的文件资料。众多的业务将使得整个业务流程不流畅、头绪众多,这也必然使得商业运作人员增多,查核历史记录也很困难。要理顺这些关系,使用ASP(application server productor)是一种明智的选择。这种新型商务模式的
28、简要模型如图2所示。图2 新型商务模式在此模式中,ASP提供商业消息的发布,记录交易的全部业务活动,并且根据当前的交易步骤,将需要处理的业务信息发至负责下一业务的人员,使整个业务的操作流程自动进行,加快了业务处理的速度,缩短了交易的周期。因为ASP方有业务数据的记录,所以用户可以方便地对历史业务记录和业务的运行情况进行查询。4.2 商务电子化系统的构筑如图3所示:图3 系统模型传真服务器将客户方的传真数字化。语音服务器将客户方的留言数字化。在这样一个系统中并未摒弃传统的商务模式,却使整个商务过程数字化、流水化、透明化,大大缩短了业务的操作时间,实现了资源的最大配置。4.3 系统安全框架关于系统
29、安全,我们大致分客户端的安全、数据传输过程中的安全和服务器端的安全三个方面进行讨论。4.3.1 客户端的安全对客户端用户的签别方法目前最常用的有三种:1. 对用户的鉴别和授权:对用户的鉴别是对网络中的主体进行验证的过程,通常从三个方面验证主体身份:一是只有该主体了解的秘密,如口令、密钥;二是主体携带的物品,如智能卡和令牌卡;三是主体具有的独一无二的特征或能力,如指纹、声音、视网膜等,保证信息的独立和安全。2. 数字签名技术。3. 电子证书。4.3.2 传输中的安全1. 数据加数技术,其中包括DES算法、RAS算法和SHA算法。2. 安全协议,目前最常用的是SSL协议和SET协议。4.3.3 服
30、务器端的安全性1. 系统安全:系统安全指主机和服务器的安全,主要包括反病毒、系统安全检测、入侵检测(监控)。2. 网络运行安全:网络运行安全指要具备必须的针对突发事件的应急措施,如数据的备份和恢复等。3. 局域网或子网的安全:局域网或子网的安全主要是访问控制和网络安全检测。致 谢在论文完成之际,我要特别感谢我的指导老师武玉坤老师的热情关怀和悉心指导。在我撰写论文的过程中,武玉坤老师倾注了大量的心血,无论是在论文的选题、构思和资料的收集方面,还是在论文的研究方法以及成文定稿方面,我都得到了武玉坤老师无私的帮助,特别是他广博的学识、深厚的学术素养、严谨的治学精神和一丝不苟的工作作风使我终生受益,在
31、此表示真诚地感谢和深深的谢意。在论文的写作过程中,也得到了许多同学的宝贵建议,在此一并致以诚挚的谢意。结束语电子商务的安全是一个复杂系统工程,仅从技术角度防范是远远不够的,还必须完善电子商务方面的立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。参考文献1杨英梅:我国电子商务的安全问题及安全的环境构建.中国商贸.2010年2蒋萍:浅谈电子商务的安全问题及技术防范.中国高新科技企业.2009年73吴宝殿:电子商务安全问题研究.2009年84兰富军:基于电子商务的安全问题及对策的研究.商场现代化.2009年2月5刘叶飞 赵德安 单正娅:电子商务安全的探讨.中国安全科学学报.2006年6贺亚林 余旆旆 黄伟:浅析电子商务系统的安全问题. 软件导刊.2010年7高建华:电子商务安全技术分析与研究.计算机与数字工程2007(2)8谢红燕: 电子商务的安全问题及对策研究.哈尔滨商业大学学报(自然科学版) 2007(6)9张慧:数字签名在电子商务中的应用.湖北教育学院学报,2005(2)10 沈宏,曹莹:一种新型的电子商务模型和它的安全体系结构. 计算机时代2003年第8期
