《电子商务电子安全现状分析与解决方案》由会员分享,可在线阅读,更多相关《电子商务电子安全现状分析与解决方案(19页珍藏版)》请在金锄头文库上搜索。
1、电子商务信息安全现状分析与解决方案、,一、一刖言第一章:电子商务信息安全理论1 .电子商务基本概念2 .电子商务信息安全所面临的问题3 .电子商务信息的安全要素第二章:我国电子商务信息发展现状及存在的安全问题1 .我国电子商务信息发展现状2 .我国电子商务信息发展存在的安全问题(1)安全技术方面的问题1.1黑客攻击1.2网上支付的问题(2)个人信息泄密的安全问题(3)法律安全问题第三章:我国电子商务信息安全问题的解决办法及策略1 .电子商务信息安全技术解决办法(1)防火墙安全技术1.1 包过滤型1.2 网络地址转化一NAT1.3 代理型1.4 监测型(2) 加密技术2.1 对称密钥加密体制2.
2、2 非对称密钥加密体制(3) 安全认证协议3.1 安全套接层(SSL)协议3.2 安全电子交易(SET)协议2.政府部门在法律法规方面应采取的措施。结束语参考文献四、结束语参考文献中文摘要:随着Internet和Intranet/EGtranet的快速增长,Web已经对商业、工业、银行、财政、教育、政府和娱乐及我们的工作和生活产生了深远的影响。许多传统的信息和数据库系统正在被移植到互联网上,与此同时电子商务(e-commerce)也迅速增长,早已超过了国界。但在其发展的过程中网络上的信息安全问题成为了制约其发展的重要因素。本文将对电子商务的安全威胁问题进行分析并提出一些解决措施和方法。关键词:
3、电子商务信息安全互联网解决方法Abstract:WiththefastgrowthofInternetandIntranet/EGtranet,WebhasalreadPeGertedafar-reachinginflueneeonthecommerceindustrP,bank,finance,education,government,amusementandourworkingandliving.AlotoftraditionalinformationanddatabasesPstemarebeingtransplantedtoonInternet,meanwhilee-commerce(
4、e-commerce)isincreasedrapidlPtoo,havealreadPeGceededthesafetP on thenationalboundaries.Butthequestionofinformationnetworkinthecourseofitsdevelopmenthasbecometheimportantfactorofrestrictingitsdevelopment.ThisteGtwillanalPseandproposesomesettlementmeasuresandmethodstothesecuritPthreatproblemofe-commer
5、ce.KePwords:E-commerceInformationsafetPInternetSolution第3页,共3页一、引言1?电子商务的定义电子商务(EC,ElectronicCommerce)就是利用电子数据交换(EDI)、电子邮件(Email)、电子资金转帐(EFT)及Internet的主要技术在个人问、企业间和国家间进行无纸化的业务信息的交换。【2】随着计算机和计算机网络的应用普及,电子商务不断被赋予新的含义。电子商务被认为是通过信息技术(IT)将企业、用户、供应商及其它商贸活动涉及的职能机构结合起来的应用,是完成信息流、物流和资金流转移的一种行之有效的方法。它主要包括下列三个
6、方面:(1)企业与消费者之间的电子商务(B2C);(2)企业间的电子商务(B2B);(3)支持WWW上的销售和采购活动所需的交易和流程。其关系可以用图1友本:大,国际社会和各国政府正积极引导电子商务发展。由于电子商务具有深刻而广泛的影响和巨大的发展前景从而受到国际社会广泛和高度重视。据专家预测,到20GG年全球消费者网上购物的总额将会超过3000亿美元,而网第4页,共4页上所有商务活动总额将会超过40000亿美元。【2】而且,电子商务的形式也越来越多样化从已使用多年的电子资金转帐(EFTT和企业间电子数据交换(EDI)发展到现在的包括电子现金、电子钱包、智能储值卡、信用卡等的电子结算系统及网上
7、银行,更先进的包括企业米购、后勤和支持活动的EDI,大大小小售卖各种商品的网上商店,网上拍卖,虚拟社区及网络门户网站等。尽管电子商务的发展势头非常惊人,但它在全球贸易额中只占极小的一部分。一个主要的障碍就是如何保证传输数据的安全和交易对方的身份确认。因此,从传统的基于纸张的贸易方式向电子化的贸易方式转变的过程中,如何保持电子化的贸易方式与传统方式一样安全可靠,则是人们关注的焦点,同时也是电子商务全面应用的关键问题之一。下面。笔者将分析电子商务的安全威胁及现行的解决措施和方法。二、电子商务的安全威胁随着Internet的快速发展,电子商务在发展过程中存在着很多的安全威胁问题,总的来说就有三方面的
8、安全问题。【4】2.1. 物理安全问题它是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。本文不作详述。2.2. 网络安全可以分成三类:第5页,共5页( 1) 系统安全,指主机和服务器的安全,主要包括反病毒、系统安全检测、入侵检测(监控)和审计分析;( 2) 网络运行安全,指要具备必须的针对突发事件的应急措施,如数据的备份和恢复等等;( 3) 局域网或子网的安全主要是访问控制和网络安全检测的问题。特别说明,大众所熟知的黑客与防火墙主要属于网络安全的相关范畴。本文不作详述。23信息安全信息安全问题主要涉及到信息传输的安全
9、、信息存储的安全以及对网络传输信息内容的审计三方面,当然也包括对用户的鉴别和授权。电子商务交易双方的信息安全隐患传统商务活动是面对面进行的,交易双方能较容易地建立信任感并产生安全感。而电子商务是买卖双方通过Internet的信息流动来实现商品交换的,信息技术手段使不法之徒有机可乘,这就使得电子商务的交易双方在安全感和信任程度等方面都存在疑虑。电子商务的交易双方都面临着信息安全的威胁。3.3.1 商家的信息安全隐患。主要有:(1)不法之徒假冒合法用户名义改变商务信息内容,致使电子商务活动中断,造成商家名誉和用户利益等方面的受损;(2)恶意竞争者冒名订购商品或侵入网络内部以获取营销信息和客户信息;
10、(3)信息间谍通过技术手段窃取商业秘密;(4)大量虚假订单的生成挤占了信息系统资源,无法从事正常的业务运营。第6页,共6页232用户的信息安全隐患。主要有:(1)用户身份证明信息被拦截窃用,以致被要求付帐或返还商品;(2)域名信息被监听和扩散,被迫接收许多无用信息甚至个人隐私被泄露。(3)发送的商务信息不完整或被篡改,用户无法收到商品;(4)受虚假广告信息误导购买假冒伪劣商品或被骗钱财;(5)遭受黑客暗算计算机设备被毁、信息丢失。三?解决电子商务安全威胁的措施和技术常用的主要安全技术包括:加密、数字签名、安全通信协议与交易协议、电子证书、电子信封和双重签名等。下面主要介绍加密、数字签名、安全通
11、信协议与交易协议这三种技术在电子商务中的应用.【5】3.1 加密技术.加密技术是电子商务采取的基本安全措施,贸易方可根据需要在信息交换的阶段使用。加密技术分为两类,即对称加密和非对称加密。3.1.1 对称加密在对称加密方法中,采用相同的加密算法并只交换共享的专用密钥(加密和解密都使用相同的密钥)。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过这种加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。因此,对称加密技术存在着在通信的贸易方之间确保密钥安全交换的问题。止匕外,对称加密方式无法鉴别贸易发起方或贸易最终方。下图为对称加密过程。
12、发送者输入.明文加密密传输过程解密算法.明文图3.1.1对称加密和解密过程第7页,共7页3.1.2 非对称加密在非对称加密体系中,密钥被分解为一对,即公开密钥或专用密钥。公开密钥(加密密钥)通过非保密方式向他人公开,而专用密钥(解密密钥)加以保存。公开密钥用于对机密性的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛发布,但它只对应于生成该密钥的贸易方。贸易甲方生成一对密钥,公布公开密钥;贸易方乙得到该公开密钥,使用该密钥对机密信息进行加密,然后发送给贸易甲方;贸易甲方再用自己保存的专用密钥对加密后的信息进行解密。贸易方只能用其专用密钥解密由其公开密钥
13、加密后的任何信息。RSA法是非对称加密领域内最为著名的算法。别是A和E的解密钥(或专用钥)。一个明文若要从用户A传输到用户E,先要用A的专用密钥D劭口密(又称签名),再用B的公开钥EB加密,然后传送到接收方B;B在接收后,首先用专用密钥DB解密,再用A的公开密钥EA认证。这一信息传递过程,不仅保护了信息的安全,又使接收方E对信息的发送方A确信无疑。第8页,共8页3.2 数字签名数字签名是非对称加密技术的一类应用。它的主要方式是:报文发送方从报文文本中生成一个128位的散列值(或报文摘要),并用自己的专用密钥对这个散列值进行加密,形成发送方的数字签名;然后,这个数字签名将作为报文的附件和报文一起
14、发送给报文的接收方;报文接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可否认性。3.2.1 数字信封(DigitalEnvelope)对称加密是基于共同保守秘密的原则来实现。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥,还要保证彼此密钥的交换是安全可靠的,同时要设定防止密钥泄密及变更密钥的程序。因此,对称密钥的管理和分发工作具有潜在的危险和繁琐的过程。数字信封将对称密码与非对称密码体系结合起来传输信息,使用公
15、开密钥加密技术来实现对称密钥,解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。具体过程是:贸易方可以为每次交换的信息生成惟一一把对称密钥并用公开密钥对该密钥进行加密,然后再将加密后的密钥和用该密钥加密的信息一起发送给相应的贸易方。由于对每次信息交换都对应生成了惟一一把密钥,因此各贸易方就不再需要对密钥进行维护并且不必担心密钥的泄露或过期。322数字时间戳(digitaltime-stamp)交易文件中,时间是十分重要的信息。第9页,共9页在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(Digitaltime-StampServer)就能提供电子文件发表时间的安全保护。数字时间戳服务(DTS)是网上安全服务项目,由专门的机构提供。时间戳(time-stamp)是一个经加密后形成的凭证文档,它包括三个部分:1)需加时间戳的文件的摘要(digest);2)DTS收到文件的日期和时间)3)DTS的数字
