电子商务网络信息安全-本科论文.doc

《电子商务网络信息安全-本科论文.doc》由会员分享，可在线阅读，更多相关《电子商务网络信息安全-本科论文.doc（15页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、中国某某某某学校学生毕业设计(论文)题 目： 电子商务网络信息安全 姓 名 ： 00000 班级、学号 ： 0000班、0000号 系 (部) ： 经济管理系 专 业 ： 电子商务 指导教师 ： 00000 开题时间 ： 2009-03-29 完成时间 ： 2009-11-03 2009 年 11月 03 日13目 录毕业设计任务书1毕业设计成绩评定表2答辩申请书3-5正文6-16答辩委员会表决意见17答辩过程记录表18课 题 电子商务网络信息安全 一、 课题(论文)提纲1电子商务网络信息概述2电子商务网络信息安全的发展状况2.1电子商务网络信息的安全要求2.2早期电子商务关于网络信息实施的安

2、全措施3目前电子商务网络信息存在的信息安全问题3.1计算机网络的安全3.2商务交易的安全3.3法律法规的不完善4针对目前电子商务网络信息安全问题的对策4.1加强电子商务网络安全的防范建设4.2保障电子商务网络交易的安全措施4.3完善电子商务信息安全的法律法规环境性措施二、内容摘要近几年来,电子商务作为一种便捷的商务形式在我国飞速发展起来,但同时也面临很多安全方面的问题。本文就我国电子商务所面临的安全问题进行分析并提出相应的解决办法和对策三、 参考文献1刘红军等. 电子商务技术教程M . 北京. 机械工业出版社,2006. 1.2牛荣. 电子商务信息安全J . 商场现代化,2008 ,1.3刘培

3、德. 电子商务的安全要求及其保障措施J.山东经济,2005 ,5.4孙维佳;论欧盟电子商务消费者权益保护制度D;中国政法大学;2004年.5马天驰;网格环境下移动进程的安全性支持研究D;浙江大学;2004年.电子商务网络信息安全0000中文摘要：近几年来,电子商务作为一种便捷的商务形式在我国飞速发展起来,但同时也面临很多安全方面的问题。本文就我国电子商务所面临的安全问题进行分析并提出相应的解决办法和对策关键词：电子商务；网络信息；信息安全问题；信息安全对策引言：电子商务是网络化的新型经济活动，正以前所未有的速度迅猛发展着，已经成为主要发达国家增强经济竞争力，赢得全球资源配置优势的有效手段。通过

4、电子商务人们不再是面对面的、看着实实在在的货物、靠纸介质单据(包括现金)进行买卖交易，而是通过网络，通过网上琳琅满目的商品信息、完善的物流配送系统和方便安全的资金结算系统进行交易(买卖)。事实上,电子商务并非是一种刚诞生的事物。早在本世纪70年代，电子数据交换(EDI)和电子资金传送(EFT)作为企业间电子商务应用的系统是电子商务早期雏形。多年来，大量的银行、航空公司、连锁店及制造业单位已建立了供方和客户间的电子通信和处理关系。这种方式加快了供方处理速度，有助于实现最优化管理，使得操作更有效率，并提高了对客户服务的质量，但早期的解决方式都是建立在大量功能单一的专用软硬件设施的基础上，因此使用价

5、格极为昂贵，仅大型企业才会利用。此外，早期网络技术的局限也限制了应用范围的扩大和水平的提高。1电子商务网络信息概述所谓电子商务 ( Electronic Commerce, EC) 就是借助于公共网络,如 Internet 或开放式计算机网络 (Open Computer Network) 进行网上交易,快速而又有效地实现各种商务活动过程的电子化、网络化、直接化。这种商务过程包括商品和服务交易的各个环节,如广告、商品购买、产品推销、信息咨询、商务洽谈、金融服务、商品的支付等商业交易活动2电子商务网络信息安全的发展状况2.1电子商务网络信息的安全要求电子商务发展的核心和关键问题是交易的安全性。由

6、于Internet本身的开放性，使网上交易面临了种种危险，也由此提出了相应的安全控制要求。信息保密性交易中的商务信息有保密的要求。如信用卡的帐号和用户名被人知悉，就可能被盗用，订货和付款的信息被竞争对手获悉，就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。完整性电子商务极大地简化了传统贸易过程,减少了人为的干预,同时也伴随着贸易各方商业信息的完整、统一问题。由于数据录入时不合法或非法的行为,可能导致贸易数据的差异。信息在传输的过程中也有可能造成信息的丢失、重复或次序的差异。因此要预防对信息的各种非法操作,保证数据在传送的过程中完整性。交易者身份的确定性网上交易的双方很可能素昧平生

7、，相隔千里。要使交易成功，首先要能确认对方的身份，对商家而言要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个弄虚作假的黑店。因此能方便而可靠地确认对方身份是交易的前提。不可否认性由于商情的千变万化，交易一旦达成是不能被否认的。否则必然会损害一方的利益。不可修改性交易的文件是不可被修改的，如其能改动文件内容，那么交易本身便是不可靠的，客户或商家可能会因此而蒙受损失。因此电子交易文件也要能做到不可修改，以保障交易的严肃和公正。2.2早期电子商务关于网络信息实施的安全措施在电子商务实施初期，曾采用过一些简易的安全措施，这些措施包括： (1) 部分告知(Partial Order)：即在网上交

8、易中将最关键的数据如信用卡号码及成交数额等略去，然后再用电话告之，以防泄密。 (2) 另行确认(Order Confirmation)：即当在网上传输交易信息之后，再用电子邮件对交易作确认，才认为有效。 (3) 在线服务(Online Service)：为了保证信息传输的安全，用企业提供的内部网来提供联机服务。 3目前电子商务网络信息还存在的安全问题 电子商务是实现整个贸易过程中各阶段贸易活动的电子化。公众是电子商务的对象,信息技术是实现电子商务的基础,电子商务实施的前提是信息的安全保障。信息安全性的含义主要是信息的完整性、可用性、保密性和可靠性。因此电子商务活动中的信息安全问题主要体现在:3

9、.1计算机网络的安全 (1)安全协议问题。目前安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。 (2)信息的安全问题。非法用户在网络的传输上,通过不正当手段,非法拦截会话数据获得合法用户的有效信息,最终导致合法用户的一些核心业务数据泄密;或者是非法用户对截获的网络数据进行一些恶意篡改,如增加、减少和删除等操作,从而使信息失去真实性和完整性,导致合法用户无法正常交易;还有一些非法用户利用截获的网络数据包再次发送,恶意攻击对方的网络硬件和软件。 (3)防病毒问题。电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出

10、现又为病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。 (4)服务器的安全问题。电子商务服务器是电子商务的核心,安装了大量的与电子商务有关的软件和商家信息,并且服务器上的数据库里有企业的一些敏感数据,如价格、成本等,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果也是非常严重的。目前为止服务器的安全问题尚无有效措施予以阻止。主要表现在: 非法用户向网络或主机发送大量非法或无效的请求,使其消耗可用资源却无法继续提供正常的网络服务; 利用操作系统、软件、网络协议、网络服务等的安全漏洞,通过网站发送

11、特制的数据请求,使网络应用服务器崩溃而停止服务。3.2商务交易的安全 (1)身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的身份与他人进行交易,从而获得非法收入。 (2)交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。 (3)交易的修改问题。交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公正。3.3

12、法律法规的不完善从法律角度考虑，电子商务安全认证是指进行商务活动双方资料/产品的真实性和资料/产品的安全性。电子商务和传统商务一样，是一种严肃的社会行为，为了从法律上保证购销双方的权益，电子商务双方必须以真实的身份进入市场、提供真实的资料/产品。这就是电子商务的真实性。正因为是真实的资料/产品，电子商务双方在对方没有授权可公开资料的情况下就有义务为对方的资料/产品保密，这就是电子商务的安全性。电子商务安全认证系统的建设首先是电子商务法的制定。没有法律的保护，其他有关电子商务安全认证系统只能是空头支票。根据可靠消息，我国正在加紧电子商务法的立法，并以提交正在进行的两会审议。政府的这一行为无疑将促

13、进我国电子商务的健康发展。目前,基于Internet 的电子商务应用还不成熟,许多内外部环境还不够完善,相应的法律、法规,相关的标准还都没有建立,跨部门、跨地区的协调存在较大问题。4针对目前电子商务网络信息安全问题的对策4.1加强电子商务网络安全的防范建设4.1.1 数据加密 加密技术是电子商务中采用的主要安全措施,交易双方可根据需要在信息交换阶段使用。在一个加密过程中有两个基本元素:算法和密钥。加密过程就是根据一定的算法,将可理解的数据(明文)与一串数字(密钥)相结合,从而产生不可理解的密文的过程,主要加密技术是: (1)常规密钥密码加密。所谓常规密钥密码加密,即加密密钥与解密密钥是相同的。

14、在早期的常规密钥密码体制中,典型的有代替密码,其原理可以用一个例子来说明:字母 A,B,C,D,W,X,Y,Z的 自然顺序保持不变,但使之与 D,E,F,G,Z,A,B,C 分别对应 (即相差3个字符)。 若明文为WELL则对应的密文为 ZHOO (此时密钥为3)。 由于英文字母中各字母出现的频度早已有人进行过统计,所以根据字母频度表可以很容易对这种代替密码进行破译。 (2)对称密文加密。对称密钥加密又称为秘密密钥加密,即收发双方采用相同的密钥来进行加密和解密。对称密钥加密的最大优点是加解密速度快,适合于进行大量数据加密,(3)非对称密钥加密。非对称密钥加密也称为公开密钥加密,每个用户有一对密

15、钥: 一个用于加密,一个用于解密,两把密钥实际上是两个很大的质数。其中,加密密钥(公钥)可以在网络服务器、报刊等场合公开,而解密密钥(私钥)则属用户的私有密钥,由公开的加密密钥导出私有的解密密钥在技术上是不可实现的。 与对称密钥加密相比,采用非对称密钥加密方式密钥管理较方便,且保密性比较强。 4.1.2数字签名在书面文件上签名是确认文件的一种手段，签名的作用有两点，一是因为自己的签名难以否认，从而确认了文件已签署这一事实；二是因为签名不易仿冒，从而确定了文件是真的这一事实。数字签名与书面文件签名有相同之处，采用数字签名，也能确认以下两点：a. 信息是由签名者发送的。b. 信息在传输过程中未曾作

16、过任何修改。这样数字签名就可用来防止电子信息因易被修改而有人作伪；或冒用别人名义发送信息；或发出（收到）信件后又加以否认等情况发生。 4.1.3数字时间戳交易文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。数字时间戳服务（DTS）是网上安全服务项目，由专门的机构提供。时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分：1）需加时间戳的文件的摘要(digest)，2）DTS收到文件的日期和时间，3）DTS的数字签名。 4.1.4数字凭证数字凭证又称为数字证书，是用电子手段来证实一个用户的身份和对网络资源的

17、访问的权限。在网上的电子交易中，如双方出示了各自的数字凭证，并用它来进行交易操作，那么双方都可不必为对方身份的真伪担心。数字凭证可用于电子邮件、电子商务、群件、电子基金转移等各种用途4.1.5 防火墙技术现有的防火墙技术包括两大类:数据包过滤和代理服务技术。其中,最简单和最常用的是包过滤防火墙,它检查接受到的每个数据包的头,以决定该数据包是否发送到目的地。由于防火墙能够对进出的数据进行有选择的过滤,所以可以有效地避兔对其进行的有意或无意的攻击,从而保证了专用私有网的安全。将包过滤防火墙与代理服务器结合起来使用是解决网络安全问题的一种非常有效的策略。4.2保障电子商务网络交易的安全措施4.2.1

18、身份验证技术 (1)认证系统。网上安全交易的基础是数字证书。数字证书类似于现实生活中的身份证,用于在网络上鉴别个人或组织的真实身份。数字证书的颁发机构叫做 Certificate Authority,通常简称为 CA。要建立安全的电子商务系统,首先必须建立一个稳固、健全的 CA,否则,一切网上的交易都没有安全保障。 (2)SSL协议。SSL协 议 (Secure Socket Layer,安全套接层)主要目的是解决 TCP/IP 协议不能确认用户身份的问题,在 Socket 上使用非对称的加密技术,以保证网络通信服务的安全性。SSL协议易于实现。 SSL协议还是最值得信赖的协议。但是由于 SS

19、L协 议当初并不是为支持电子商务而设计的,所以在电子商务系统的应用中还存在很多弊端,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成,SSL协 议并不能协调各方间的安全传输和信任关系。 (3)SET协 议。SET (Secure Electronic Transaction) 安全电子交易协议是用于 Internet 上的以信用卡为基础的电子支付系统协议。主要应用于B/C模式中保障支付信息的安全性。SET协 议提供对消费者、商户和银行的认证,协议本身比较复杂,设计比较严格,安全性高,确保电子交易的机密性、数据完整性、身份的合法性和抗否

20、认性,特别是保证了不会将持卡人的信用卡号泄露给商户。其核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。它的交易规范成为了未来电子商务发展的方向。4.2.2认证中心在电子交易中，无论是数字时间戳服务（DTS）还是数字凭证(Digital ID)的发放,都不是靠交易的双方自己能完成的,而需要有一个具有权威性和公正性的第三方(third party)来完成。认证中心（CA）就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。认证中心通常是企业性的服务机构，主要任务是受理数字凭证的申请、签发及对数字凭证的管理。认证中心依据认证操作规定(CPS：Certif

21、ication Practice Statement)来实施服务操作。4.3完善电子商务信息安全的法律法规环境性措施4.3.1构造我国完善的电子商务体系积极参与国际合作,融合国际电子商务框架,构造适合中国国情的电子商务体系。作为一个主权国家,为了维护国家的利益和经济安全,在电子商务相关技术方面注重自主知识产权技术的开发,不能全部依赖 进口。因此,必须加大投资力度,重点支持电子商务技术的研发工作。4.3.2加强法律法规建设针对利用信息高科技和信息系统等新型犯罪的现象,政府部门应尽快组织力量,结合电子商务的客观需要,对现有的与电子商务相关的法律法规,利用法律与犯罪作斗争。如对:中华人民共和国刑法、

22、全国人大常委会关于互联网安全的决定、合同法、著作权法等进行修改。在这些法律中,可以适当增加对网络犯罪处罚的条款,增加对网络作品著作权保护的条款;对电子商务发展中急需解决的有关问题,如:在电子支付、税收管理,安全认证、网络与信息安全、知识产权保护、消费者权益保护等可由相关主管部门先制定部门规章,必要时,由国务院发布行政法规,再按程序上升为法律。加快网络基础设施建设,推动企业信息化进程加强相关领域应用基础对应的技术科学研究及应用研究是在信息领域及信息安全领域取得 创新 和 可持续发展 的直接动力。信息基础设施是电子商务发展的物质基础和载体。发展信息基础设施需要多种学科和人才的支持、政府和业界的共同努力,尤其是政府的大力投资和宏观调控。参考文献：1刘红军. 电子商务技术教程M . 北京. 机械工业出版社,2006.2牛荣. 电子商务信息安全J . 商场现代化,2008 ,13刘培德. 电子商务的安全要求及其保障措施J . 山东经济,2005 ,54孙维佳;论欧盟电子商务消费者权益保护制度D;中国政法大学;2004年5马天驰;网格环境下移动进程的安全性支持研究D;浙江大学;2004年