《《精编》试谈电子商务的安全问题》由会员分享,可在线阅读,更多相关《《精编》试谈电子商务的安全问题(21页珍藏版)》请在金锄头文库上搜索。
1、毕业综合作业浅析电子商务的安全问题选题类型: 毕业论文 学生姓名: 杨斌 学 号: 20080303119 系 部: 管理与信息系 专 业: 计算机应用 班 级: 计应081 指导老师: 武玉坤 讲师 浙江绍兴提交时间:2011年4月摘 要电子商务作为一种新型的商业模式,近几年得到了迅猛的发展, 然而电子商务的安全现状不容乐观, 安全问题成为制约电子商务发展的瓶颈。要规范电子商务存在的各类问题,需从技术、法律、制度等方面入手。文章讨论了电子商务应用中所存在的安全问题,探讨了电子商务安全解决方案 关键词 电子商务 安全问题 安全技术AbstractAs a new business model,
2、 electronic commerce has been at the high speed of development in recent years. However, the security of electronic commerce which has limited its growth is not optimistic. We need to take measures to standardize the security problems in electronic commerce in the way of technology, law and institut
3、ion. This article discusses the security issues in electronic commerce and the way to solve it.Keywords electronic commerce security problems security technology目 录摘 要iAbstractii第1章 绪 论1第2章 电子商务面临的危险22.1 网络环境安全问题22.2 系统安全问题22.3 交易者身份安全问题22.3.1 卖方信息安全威胁22.3.2 买方信息安全威胁32.4 信息安全问题32.4.1 信息窃取32.4.2 身份的不
4、确定32.4.3 拒绝服务42.4.4 假冒4第3章 电子商务的安全防范措施53.1 信息的保密性53.2 信息的访问控制53.3 防火墙技术53.4 入侵检测系统63.5 数据加密技术63.6 数字签名73.7 电子证书73.8 启用安全认证系统83.9 安全电子交易协议83.10 交易内容的不可否认性93.11 生物测定学技术93.11.1 指纹识别93.11.2 视网膜识别93.11.3 虹膜识别93.11.4 面部特征识别103.11.5 语音识别10第4章 电子商务模型和它的安全体系技术114.1 传统的商务模式114.2 商务电子化系统的构筑124.3 系统安全框架134.3.1
5、客户端的安全134.3.2 传输中的安全144.3.3 服务器端的安全性14致 谢15结束语16参考文献17第1章 绪 论随着信息技术在贸易和商业领域的广泛应用,利用计算机技术、网络通信技术和因特网实现商务活动的国际化、信息化和无纸化,已成为各国商务发展的一大趋势。基于互联网的电子商务应运而生。电子商务是以计算机网络为基础,以电子化方式为手段,以商务活动为核心,在法律许可范围内进行的商务活动方式。它把原来传统的销售、购物渠道移到互联网上来,打破国家与地区有形无形的壁垒,实现交易方式的全球化、网络化和个性化。狭义的电子商务(E-Commerce)主要是指利用因特网进行的商务活动。广义的电子商务(
6、E-Business)则是指所有利用因特网电子工具从事的商务活动。电子商务业务可以分为两大类:非支付型业务和支付型业务。前者包括税务申报、电子选 举、证书发放、在线报表、安全政务等业务。后者包括各种电子银行业务、代缴代付业务 、银证转账业务、银企转账业务、电子证券业务、网上购物业务等。电子商务的安全,包括网络系统的安全、信息传递过程中的安全、信息储存的安全、交易款项和标的物的安全等许多方面,设计计算机系统和通信网络的软硬件技术、加密技术、数字认证技术、生物测定技术等专业知识,也包括了安全制度的建立、安全意识的培养教育等管理范畴。第2章 电子商务面临的危险由于网络的全球化、开放性、共享性等特点,
7、 电子商务面临诸多安全问题。2.1 网络环境安全问题一般来说,计算机网络安全问题是计算机系统自身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面,计算机系统硬件和通信设施极易遭受自然环境的影响(如温度、湿度、电磁场等)以及自然灾害和人为(包括故意破坏和非故意破坏)的物理破坏;另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击;同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作,造成计算机网络系统内信息的损坏、丢失和安全事故。网络安全是电子商务系统安全的基础,涉及的方面较广,如防火墙技术、网络监控、网络隐患扫描及各种反黑客技术等。2.2 系统安全问题对
8、于任何一个系统来说,安全都是相对的。作为网站的管理者要始终保持清醒的头脑,针对出现的隐患和问题不断研究新的安全措施。对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对公共网络上传输的敏感信息要进行强度的数据加密;安装防病毒软件,加强内部网的整体防病毒措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。2.3 交易者身份安全问题2.3.1 卖方信息安全威胁卖方面临的信息安全威胁主要有:恶意竞争者茂名订购商品或侵入网络内部以获取营销信息和客户信息;假冒合法用户名已改变商务信息内容,致使电子商务活动中断,造成商家名誉和用户利益等方面的受损;信息间谍通过技术手段窃取商业秘密;黑客入侵并攻击服务器
9、,产生大量虚假订单挤占系统资源,令其无法响应正常的业务操作。2.3.2 买方信息安全威胁买方面临的信息安全威胁主要有:发送的商务信息不完整或被篡改,用户无法收到商品;用户身份证明信息被拦截窃用,以致被要求付账或返还商品;域名信息被监听和扩散,被迫接受许多无用信息甚至个人隐私被泄露;受虚假广告信息误导购买假冒伪劣商品或被骗钱财;遭黑客破坏,计算机设备发生故障导致信息丢失。2.4 信息安全问题信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。在电子商务中信息安全问题主要包括信息窃取、身份的不确定、拒绝服
10、务、假冒、病毒的感染。2.4.1 信息窃取在信息传送的过程中,由于信息没有采用加密措施,调制解调器之间的信息以明文的形式传送,入侵者使用相同的调制解调器就可以截获所传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成传输信息的泄漏。在电子商务中信息的泄漏表现为商业机密的泄漏,主要包括两个方面:交易双方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。2.4.2 身份的不确定由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息,仿
11、冒合法用户的身份与他人进行交易,以破坏交易,败坏被假冒一方的声誉或盗窃被假冒一方的交易成果等,从而获得非法收入。如果不进行身份识别,交易的一方可以不为自己的行为负责任,对其进行否认,相互欺诈。进行身份识别后,交易双方就可防止相互猜疑的情况。2.4.3 拒绝服务拒绝服务是指攻击者可能向销售商的服务器发送大量的虚假定单来挤占他的资源,使合法接入的信息、业务或其他资源受到阻碍,从而使合法用户不能得到正常的服务。例如使一个业务被滥用而使其他用户不能正常工作。拒绝服务是目前为止尚无有效措施予以阻止的攻击方法. 拒绝服务攻击有两类:一是向网络或主机发送大量非法或无效的请求,使其消耗可用资源却无法继续提供正
12、常的网络服务. 二是利用操作系统、软件、网络协议、网络服务等的安全漏洞,通过网站发送特制的数据请求,使网络应用服务器崩溃而停止服务。2.4.4 假冒不诚实的人建立了与销售者服务器名字相同的另一个服务器来假冒销售者;以虚假订单获取他人的机密数据,比如,某人想要了解另一个人在销售商处的信誉时,他以另一个人的名字向销售商订购昂贵的商品,然后观察销售商的行动,假如销售商认可该定单,则说明这个观察者的信誉高,否则,则说明这个观察者的信誉不高。第3章 电子商务的安全防范措施为确保电子商务系统的安全性,首先应从技术上作好安全防范工作,从技术上加强安全防范,主要应从以下措施:3.1 信息的保密性信息的保密性是
13、指电子商务参与的一方或各方希望保密的产品信息、价格信息、客户信息、订单信息等商务信息,以及银行账号、信用卡卡号、账户密码等金融财务信息,以及其他个人不愿意公开的隐私信息,无论在交易前、交易中,还是在交易后都不被他人窃取、偷听、偷看等。信息的保密性可以采用加密等技术手段来实现。3.2 信息的访问控制访问控制是指对网络系统和各种信息设置不同的权限,根据正常业务需要容许相关人员访问必要的信息,而其他无关人员则不被容许访问。最常用的是采用用户名/口令进行身份验证,还可以采用路由器、防火墙以及VPN、VLAN、等技术对物理网络进行一定的逻辑划分。访问控制最大的难点不在于怎样防范黑客的进攻,而在于如何建立
14、并有效实施一套安全访问制度体系。3.3 防火墙技术防火墙是指一个由硬件设备或软件、或软硬件组合而成的,在内部网与外部网之间构造的保护屏障。所有的内部网和外部网之间的连接都必须经过此保护层,并由它进行检查和连接。只有被授权的通信才能通过防火墙,从而使内部网络与外部网络在一定意义下隔离,防止非法入侵、非法使用系统资源、执行安全管制措施。防火墙基本分为两类:包过滤和基于代理的防火墙。包过滤防火墙对数据包进行分析、选择,依据系统内事先设定的过滤逻辑来确定是否允许该数据包通过。包过滤器只能结合源地址、目标地址和端口号才能起作用,如果攻击者攻破了包过滤防火墙,整个网络就公开了。代理防火墙又称为应用层网关防
15、火墙,能够将网络通信链路分为两段,使内部网与Internet 不直接通信,而是使用代理服务器作为数据转发的中转站,只有那些被认为可信赖的数据才允许通过。代理防火墙比包过滤防火墙慢,当网站访问量较大时会影响上网速度;代理防火墙在设立和维护规则集时比较复杂,有时会导致错误配置和安全漏洞。目前市场上最新的防火墙产品集成了代理和包过滤技术,提供了管理数据段和实现高吞吐速度的解决方案。这些混合型的设备在安全要求比吞吐速度有更高要求时,能实行代理验证服务,在需要高速度时,它们能灵活地采用包过滤规则作为保护方法。3.4 入侵检测系统和防火墙的被动防御不一样,入侵检测系统是主动式的安全防范。入侵检测技术就是在计算机网络系统中设置若干个关键点来收集信息,并将信息传送到检测系统进行分析,以判断网络中是否有非法入侵行为,若发现入侵,会及时反应,包括切断网络连接,记录事件和报警等,以保证资源不被非法使用和访问。入侵检测系统有两种检测网安全的办法,一种是基于主机型,另一种是基于网络型。基于主机型的入侵检测系统主要检测网络用户对特定主机的访问,查看是否有
