电子商务安全724385

《电子商务安全724385》由会员分享，可在线阅读，更多相关《电子商务安全724385（11页珍藏版）》请在装配图网上搜索。

1、专科毕业设计（论文）题目：电子商务安全 目录摘 要4一、电子商务信息安全现状4主要面临的安全问题4（一）、电子商务安全问题的产生。41、在线交易主体虚拟化带来的安全问题42、虚假信息的发布带来的安全问题53、过低的信用度带来的安全问题54、网络欺诈的存在带来的安全问题55、电子合同取代书面合同过程中带来的安全问题56、网上电子支付过程带来的安全问题57、产品交付过程带来的安全问题58、网络消费者维权时引发的安全问题59、网络恶意攻击者的破坏活动带来的安全问题5（二）网络环境安全问题5（三）系统安全问题6（四） 交易者身份安全问题61、卖方面临的信息安全威胁主要有62、买方面临的信息安全威胁主要

2、有6三、电子商务的安全保障6（一） 建立完善的信用体系6（二）开发电子商务的信息安全技术71.电子商务的主要安全技术。72、数字签名。73、数字时间戳。74、数字证书。85、防火墙技术。8（三）构建电子商务安全控制的框架和制订电子商务标准及法律法规。通过安全的控制和电子商务标准的推行，有利于解决电子商务的安全性和可靠性问题。8（四）用户的认证管理81、 身份认证。82、 CA证书。93、 安全套接层SSL协议。9四、立法分析及对策9（一）建立网络防护应急反应机制。9（二）出台严厉保护制度。10（三）加强C4ISR保密系统建设。10总结10参考文献：11致 谢12电子商务安全有关问题探讨摘 要内

3、容：电子商务所面临的信息安全现状不容乐观。虚假交易、假冒行为、合同诈骗、网上拍卖哄抬标的、侵犯消费者合法权益等各种违法违规行为屡屡发生，这些现象在很大程度上制约了我国电子商务乃至全球电子商务快速、健康的发展。本文电子商务安全通过描写电子商务现状、主要面临的安全问题去写，而后通过现状和问题做出相应的措施。一、电子商务信息安全现状 现如今，网上购物已经成为普通消费者的购物选择之一，逐渐成为消费的主流。截至2007年6月，我国互联网用户已经从2001年的2650万户激增到目前的162亿户，仅次于美国211亿户的网民规模，位居世界第二。可见网上购物拥有很大的一批消费群。在网购盛行的时代，理智的消费者已

4、经逐渐意识到，网上购物为我们带来方便的同时，由于网络安全问题，也带给我们更多危险的可能。电子商务所面临的信息安全现状不容乐观。所据美国网络界权威杂志信息安全杂志披露，从事电子商务的企业比一般企业承担着更大的信息风险。其中,前者遭黑客攻击的比例高出一倍，感染病毒、恶意代码的可能性高出9%，被非法入侵的频率高出10%，而被诈骗的可能性更是比一般企业高出2.2倍作为网上购物核心环节的“支付环节”，其安全性、便捷性是买卖双方都想追求的目标。电子商务交易的信用危机也悄然袭来，虚假交易、假冒行为、合同诈骗、网上拍卖哄抬标的、侵犯消费者合法权益等各种违法违规行为屡屡发生，这些现象在很大程度上制约了我国电子商

5、务乃至全球电子商务快速、健康的发展。主要面临的安全问题（一）、电子商务安全问题的产生。1、在线交易主体虚拟化带来的安全问题在电子商务环境下，任何人不经登记就可以借助计算机网络发出或接受网络信息，并通过一定程序与其他人达成交易。虚拟主体的存在使电子商务交易安全受到严重威胁。2、虚假信息的发布带来的安全问题当用户以合法身份进入系统后，买卖双方都可能在网络上发布虚假的供求信息，或以过期的信息冒充现在的信息，以骗取对方的钱款或货物。 3、过低的信用度带来的安全问题低信用度的买方带来的安全问题：低信用度的买方，可能存恶意透支或使用伪造的信用卡骗取卖方货物或存在拖延货款行为，卖方需要为此承担风险。低信用度

6、的买方带来的安全问题：卖方不能按质、按量、按时寄送消费者购买的货物，或者不能完全履行与集团购买者签订的合同，造成买方的风险。低信用度的买卖双方都存在抵赖的情况。 4、网络欺诈的存在带来的安全问题在电子交易活动中频繁欺诈用户这是网络骗子们常用的骗术，利用电子商务进行欺诈已经成为一种新型犯罪活动，目前这种网上欺诈也已经成为国际性的难题。 5、电子合同取代书面合同过程中带来的安全问题在在线交易情形下，交易双方的所有信息都是以电子化的形式存储于计算机硬盘或其他电子介质中，这些记录不仅容易被涂擦、删改、复制、遗失，而且不能脱离其记录工具(计算机)而作为证据独立存在。由此而引发诸多方面的安全问题 6、网上

7、电子支付过程带来的安全问题完电子商务的网上支付通过信用卡支付和虚拟银行的电子资金划拨来完成。而实现这一过程涉及网络银行与网络交易客户之间的协议、网络银行与网站之间的合作协议以及安全保障问题。 7、产品交付过程带来的安全问题有形货物的在线交易中物流配送环节引发的一些特殊问题及无形的信息产品在交付中对于其权利的移转、退货、交付的完成等带来的安全问题。 8、网络消费者维权时引发的安全问题在线市场的虚拟性和开放性以及网上购物的便捷性都使消费者保护成为突出的问题。比如质量问题，退赔、修理困难问题等。 9、网络恶意攻击者的破坏活动带来的安全问题包括系统穿透、违反授权原则、植入、通信监听、通信干扰、中断、拒

8、绝服务、否认等。 （二）网络环境安全问题一般来说，计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面，计算机系统硬件和通信设施极易遭受自然环境的影响（如温度、湿度、电磁场等）以及自然灾害和人为（包括故意破坏和非故意破坏）的物理破坏；另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击；同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作，造成计算机网络系统内信息的损坏、丢失和安全事故。网络安全是电子商务系统安全的基础，涉及的方面较广，如防火墙技术、网络监控、网络隐患扫描及各种反黑客技术等，其中最重要的就是防火墙技术。防火墙

9、的主要功能是加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络侵入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查，来决定网络之间的通信是否被允许，并监视网络运行状态。简单防火墙技术可以在路由器上实现，而专用防火墙提供更加可靠的网络安全控制方法。（三）系统安全问题对于任何一个系统来说，安全都是相对的。作为网站的管理者要始终保持清醒的头脑，针对出现的隐患和问题不断研究新的安全措施。对敏感的设备和数据要建立必要的物理或逻辑隔离措施；对在公共网络上传输的敏感信息要进行强度的数据加密；安装防病毒软件，加强内部网的整体防病毒措施；建立详细的安

10、全审计日志，以便检测并跟踪入侵攻击等。（四） 交易者身份安全问题 1、卖方面临的信息安全威胁主要有恶意竞争者冒名订购商品或侵入网络内部以获取营销信息和客户信息；假冒合法用户名义改变商务信息内容，致使电子商务活动中断，造成商家名誉和用户利益等方面的受损；信息间谍通过技术手段窃取商业秘密；黑客入侵并攻击服务器，产生大量虚假订单挤占系统资源，令其无法响应正常的业务操作。2、买方面临的信息安全威胁主要有发送的商务信息不完整或被篡改，用户无法收到商品；用户身份证明信息被拦截窃用，以致被要求付帐或返还商品；域名信息被监听和扩散，被迫接收许多无用信息甚至个人隐私被泄露；受虚假广告信息误导购买假冒伪劣商品或被

11、骗钱财；遭黑客破坏，计算机设备发生故障导致信息丢失。 三、电子商务的安全保障（一） 建立完善的信用体系建立信用体系作为完善市场经济体系的一项重要内容逐渐得到了更多部门和企业的关注。各地都逐渐出台了一些关于信用体系建设的法律和规范。这些法规的先后出台，提出了依法披露、合法征集、信用服务、失信惩戒、信用管理等推动以中小企业为主体的社会信用体系建设的一系列设想和指导意见，在政府立法规范信用征信领域做了一些探索，电子商务作为一种商业活动，信用同样是其存在和发展的基础。因为电子商务对信用体系的需求最强，没有信用体系支持的电子商务风险极高；而在电子商务的基础上又很容易建立信用体系，电子商务的信息流、资金流

12、、物流再加上电子签章四者相互呼应交叉形成一个整体，在这个整体之上，只要稍加整合分析，进行技术处理，就可以建立信用体系，并且该信用体系对电子商务是可控的。（二）开发电子商务的信息安全技术 年的探索，电子商务安全防范策略从最初的商务信息保密性发展到商务信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻、防、测、控、管、评”等多方面的基础理论和实施技术。目前，电子商务安全领域已经形成了9大核心技术，它们是：密码技术、身份验证技术、访问控制技术、防火墙技术、安全内核技术、网络反病毒技术、信息泄露防治技术、网络安全漏洞扫描技术、入侵检测技术。 1.电子商务的主要安全技术。1.加密技术。加密技术解

13、决了传送信息的保密问题，可分对称加密和非对称加密。对称加密是一种传统的信息认证方法,通过信息交换的双方共同约定一个口令或一组密码，建立一个通信双方共享的密钥。通信的甲方将要发送的信息用私钥加密后传给乙方，乙方用相同的私钥解密后获得甲方传递的信息。对称加密采用的主要加密算法有DES数据加密标准、三重DES,IDEA,和AES（高级加密算法）等。其最大优势是加/解密速度快, 适合于对大数据量进行加密,但密钥管理困难。非对称加密又称公开密钥加密，它使用一把公开发布的公开密钥和一把只能由生成密钥对的贸易方掌握的私用密钥来分别完成加密和解密操作。如贸易的甲方生成一对密钥并将其中的一把作为公开密钥向其他贸

14、易方公开；得到该公开密钥的贸易的方乙使用该密钥对信息进行加密后发送给甲方；甲方再用自己保存的另一把私用密钥对加密信息进行解密。公钥密码技术是密码技术核心，主要采用的算法有RSA算法、DSS/DSA算法和ECC算法。优点是机制灵活，但加密和解密速度慢。2、数字签名。数字签名解决了而防止他人对传输的文件进行破坏，以及如何确定发信人的身份的问题。数字签名与书面文件签名有相同功效，它代表了文件的特征，文件如果发生改变，数字签字的值也将发生变化，不同的文件将得到不同的数字签字。数字签名是采用双重加密的方法，通过流程：A、被发送文件用 SHA编码加密产生128 bit的数字摘要；B、发送方用自己的私用密钥

15、对摘要再加密，形成数字签名；C、将原文和加密的摘要同时传给对方；D、对方用发送方的公共密钥对摘要解密，同时对收到的文件用SHA编码加密产生又一摘要；E、将解密后的摘要和收到的文件在接收方重新加密产生的摘要互对比。最终实现了防伪、防抵赖。 3、数字时间戳。数字时间戳服务提供了对电子文件发表时间的安全保护，由专门的机构提供。时间戳是一个经加密后形成的凭证文档，它包括需加时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签字三个部分。时间戳形成的流程为:用户将需要加时间戳的文件用HASH编码加密形成摘要，然后将该摘要发送到DTS；DTS在加人了收到文件摘要的日期和时间信息后再对该文件加密(

16、数字签名)，然后送回用户。数字时间戳是由认证单位DTS来加的，以DTS收到文件的时间为依据。 4、数字证书。数字证书是由CA认证中心签发的，用电子手段来证实一个用户的身份和对网络资源的访问权限的凭证。CA认证中心是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。数字证书为电子签名相关各方提供真实、可靠验证的公众服务，解决电子商务活动中交易参与各方身份、资信的认定，维护交易活动的安全，从根本上保障电子商务交易活动顺利进行。在网上的电子交易中，如双方出示了各自的数字证书，就可用它来进行安全交易操作了。 5、防火墙技术。网络防火墙技术作为内部网络与外部网络之间的第一道安全屏

17、障，是最先受到人们重视的网络安全技术，它可以阻止对信息资源的非法访问,也可以使用防火墙阻止专利信息从企业的网络上被非法输出，是最适合于相对独立的与外部网络互连途径有限、网络服务种类相对集中的单一网络。防火墙有两个基本准则:一是未被允许的就是禁止的；二是未被禁止的就是允许的。基于该准则, 防火墙应转发所有信息流, 然后逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境, 可为用户提供更多的服务。 （三）构建电子商务安全控制的框架和制订电子商务标准及法律法规。通过安全的控制和电子商务标准的推行，有利于解决电子商务的安全性和可靠性问题。 电子商务给企业、消费者和社会所带来的收益是不可估量的

18、。特别是电子商务以其高效、低成本的优势，必将成为新兴的商业运作模式，推动着全球经济的快速发展。而商务信息的安全问题始终是电子商务的核心，是阻碍电子商务广泛应用的最大问题。电子商务的安全问题是能够通过综合运用各类电子商务安全技术，并不断改进和完善，加之建立健全电子商务的安全机制和相应的法律法规，推行电子商务的国际化标准而得以解决。 强化交易安全保护的法律制度国务院颁布的关于加快电子商务发展的若干意见，确立了我国发展电子商务的指导思想和基本原则，明确了发展方向和战略重点。全社会电子商务的应用意识不断增强，对电子商务在国民经济和社会发展中重要作用的认识进一步提高，形成了发展电子商务的良好社会氛围。（

19、四）用户的认证管理1、 身份认证。电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现。CA证书用来认证服务器的身份, IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。2、 CA证书。要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它

20、对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书。3、安全套接层SSL协议。安全套接层SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(CA,Certificate Authority)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书发布者

21、的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如Ht2tp、Ftp、Telnet等)以保证应用层数据传输的安全性。SSL协议握手流程由两个阶段组成:服务器认证和用户认证。 四、立法分析及对策在联合国电子商务示范法制定之后，一些国际组织与国家纷纷合作，制订各种法律规范，形成了国际电子商务立法的高速发展期，其成果主要体现在四个方面：1. WTO的三大突破性

22、协议 2. 国际性组织加快制定电子商务指导性交易规则。3. 地区性组织积极制定各项电子商务的政策4世界各国积极制订电子商务的法律法规全社会电子商务的应用意识不断增强，对电子商务在国民经济和社会发展中重要作用的认识进一步提高，形成了发展电子商务的良好社会氛围。例如：韩国将信息安全视为关系国防安全的重大战略问题，加大信息保障系统管理力度，加快信息安全系统建设步伐。（一）建立网络防护应急反应机制。网络攻击具有突发性和毁灭性，只有建立应急反应机制，才能提高网络防护的快速反应能力。韩国军队为适应现代化信息安全保密的要求，建立以参谋本部为中心，以国防情报本部、指挥通信司令部以及各军种网络管理部门为主干，横

23、联国家信息保护中心，纵联全军各级部队的信息战预警体系。韩军在国防部设立“网络情况室”，建立由国防部统一管理、24小时不间断值守的全军网络安全值班监视系统。师以上各级指挥机关组建有国防信息通信网预防入侵机构。（二）出台严厉保护制度。韩国国防部为从根源上杜绝国防电子信息泄漏，完善信息化条件下的军事保密体系，采用为中央控制计算机安装认证管理系统、为各种资料及辅助存储装置加密、隐藏复制标志、防止非法拷贝等新技术，在全军建立并颁布实行电子信息防泄露安全对策。利用中央认证管理系统，限制在非认可微机用户联接；改进文件拟定者和管理者的电脑口令，禁止在非认可电脑上使用软件；对软盘和电脑中的资料加密，使其只能在指

24、定电脑中判读；对电子邮件资料加密，使系统具备跟踪识别泄露者姓名的功能；非法拷贝时将显示第一个泄露者的个人情况。（三）加强C4ISR保密系统建设。为切实有效地保护国防信息网络安全，韩国军队花费数千亿韩元开发和引进了防火墙、安全认证、持续管理、网络监控、网络安全预警以及清除网络病毒等有关网络安全方面的技术和装备，相继建立了按不同类别和等级实施层次管理的国防信息网合成控制系统、全军统一的合成控制防病毒联网系统，以及军民联合覆盖全国的网络安全预警检测系统等一系列国防信息保护体系，使其国防信息网络安全得到了进一步加强。韩国国防部目前正在建立自动化防病毒系统，系统建成后，用户收到病毒警报时，无需手工操作，

25、就能即刻自动传播系统病毒信息并做出处理。为及时发现并应对军队计算机网络遭受“黑客”或病毒攻击，韩军在国防部、陆海空三军本部等高层指挥机关构筑24小时联合安全管制系统，并逐步将该系统配备至旅级部队。该系统可不间断跟踪进入国防计算机网络的各种信息，及时发现并捕捉病毒信息，采取适当措施阻止非法用户接近，探测合法用户的非法行为，阻断计算机病毒。总结电子商务是以互联网为活动平台的电子交易，计算机网络的发展与普及,直接带动电子商务的发展。创造良好的电子商务环境是发展的趋势！参考文献：1徐雪梅浅谈保障电子商务活动中的信息安全2祁明电子商务安全与保密北京：高等教育出版社，3徐汉超计算机网络安全与数据完整性技术

26、北京：北京电子工业出版社,4 瞿裕忠.电子商务应用开发技术. 北京：高等教育出版社，5佚名.解析电子商务安全 致 谢 非常感谢班主任、；栗小苏老师以及在坐的各位评委老师在我大学的最后学习阶段毕业设计阶段给自己的指导，从最初的定题，到手机资料，到写作、修改，到论文的定稿，他们给了我耐心的指导和无私的帮助，为了指导我们的毕业论文，他们放弃了自己的休息时间，他们的这种无私奉献的敬业精神令人敬佩，在此我想他们表示诚挚的谢意。同时，感谢所有任课老师和所有的同学在这两年来给我的指导和帮助，是他们教会了我的专业知识，教会了我如何学习，教会了我如何做人。正是由于他们，我才能在各方面取得显著的进步，在此向他们表示由衷的谢意，并祝所有的老师培养出越来越多的优秀人才，桃李满天下！