现代电子商务中网上交易安全危机及防范措施.doc

酒 泉 职 业 技 术 学 院 毕 业 论 文（设计） 2008 级 电子商务 专业 题 目： 现代电子商务中网上交易的安全危机和防范措施 毕业时间： 2011年6月 学生姓名： 何 艳 妮 指导教师： 秦 兴 军 班 级： 08电子商务班 二〇一〇年十一月三十日 酒泉职业技术学院 2011 届各专业 毕业论文（设计）成绩评定表 姓名 何艳妮 班级 08电子商务班 专业 电子商务 指导教师第一次指导意见 指导教师第二次指导意见 指导教师第三次指导意见 指导教师评语及评分 成绩： 签字（盖章） 年 月 日 答辩小组评价意见及评分 成绩： 签字（盖章） 年 月 日 教学系毕业实践环节指导小组意见 签字（盖章） 年 月 日 学院毕业实践环节指导委员会审核意见 签字（盖章） 年 月 日 说明：1、以上各栏必须按要求逐项填写.。2、此表附于毕业论文 (设计)封面之后。 现代电子商务中网上交易的安全危机和防范措施 [摘要] 在二十一世纪中，电子商务已经成为一切经济活动不可或缺的组成元素，成为推动企业发展的核心力量，它的地位和作用已经很难撼动，但安全问题始终是影响电子商务发展的瓶颈。大量的事实证明，要保证电子商务的顺利发展，就必须高度重视安全问题。本文首先介绍了目前电子商务中存在的安全问题，并分析其产生的原因，最后针对其原因提出了防治措施。 ［关键词］ 电子商务；网上交易；安全问题；防范措施 一、电子商务存在的安全问题及其产生的原因 电子商务交易主要有三个重要环节：一是提供电子商务的企业内部网络，二是交易平台，三是平台用户。在整个运作过程中，会面临各种安全问题。分析电子商务的安全问题，就要依据实际考察结果，确定各种可能出现的安全问题，分析其原因和不同程度的危害性，找出电子商务中潜在的安全隐患和安全漏洞，从而有针对性地运用相关的电子商务安全技术来加以控制和管理。 （一）电子商务的安全问题 典型的电子商务安全问题包括：安全漏洞、病毒感染、黑客攻击、网络仿冒以及来自其他方面的各种不可预测的风险。 1.安全漏洞 在近几年来，计算机系统的安全漏洞越来越多。安全漏洞的大量存在，使得目前电子商务的安全形势趋于严峻。例如：Windows惊现高危漏洞，新图片病毒能攻击所有用户。该漏洞可能发生在所有的Windows操作系统上，如IE浏览器、Office软件等，在用户浏览特定的JPG格式图片时，会导致缓冲区溢出，进而执行病毒攻击代码，包括格式化硬盘、删除文件等。 2.病毒感染 （1）蠕虫病毒 1987年出现，这是一种能迅速大规模繁殖的病毒，其繁殖的速度可达300台/月，在危害网络的数据千计的计算机病毒中“蠕虫病毒”造成的危害最大。 （2）病毒邮件 电子邮件是互联网的一项基本而普遍的功能。企业实施电子商务频繁使用的信息传递工具。然而，某些病毒制造者也看中了深受人们喜欢的电子邮件，并将其作为传播病毒的重要手段。 （3）公开发放的病毒 在计算机网络中有一种“共享软件”，它是由计算机用户免费使用、复制以及分享的软件。如果计算机病毒以这种方式公开发布，就可进入各种领域，并进入各个计算机网络，对计算机网络造成极大的危害。 3.黑客攻击 黑客攻击主要表现在网页篡改和僵尸网络两个方面。僵尸网络通常是指可以自动地执行定义的功能，可以被预定义的命令控制，具有一定人工智能的程序。它可以通过溢出漏洞攻击、蠕虫邮件、网络共享、口令猜测、P2P软件等途径进入用户主机。一旦用户主机被植入代码，就主动和互联网上的一台或多台控制节点取得联系，进而自动接收黑客通过这些控制点发送的控制命令，这些受害主机和控制服务器就组成了僵尸网络。 4.网络仿冒 网络仿冒也称为网络欺诈、网络仿冒或者是网络钓鱼。它通常是通过仿冒正规的网站来欺瞒诱骗用户提供各种个人信息，如银行帐户和口令等。甚至干脆通过在假网页或者诱饵邮件中嵌入恶意代码的手段给用户计算机植入木马来直接骗取个人信息。 （二）触发电子商务安全问题的原因 电子商务的安全不仅影响了网络业务的正常运转，扰乱了网络秩序，还会造成许多直接或者间接的经济损失。为了尽可能避免安全损失，首先要了解造成这些问题的症结所在。概括起来有两个方面：先天原因和后天原因。 1.先天原因 电子商务的实现依赖于网络，又是在网络发展过程中发展起来的，但当初在建立网络时仅考虑到网络会不会因为局部故障而影响信息的传输这个问题，并没有预计和顾及到电子商务的安全正因为网络的全球性、开放性和共享性才使得电子商务过程中传输的信息安全存在先天不足，黑客们才有了利用公共的网络环境传播各种病毒。 2.后天原因 它又可以细分为管理、人和技术三方面。首先是管理上的欠缺，现代化的企业信息建设强调七分管理三分技术，在电子商务安全中也不例外。但是目前从事电子商务的企业多数都欠缺管理，由于拒绝服务攻击在目前还没有十分有效的技术解决方案，所以特别强调安全管理的重要性。其次是黑客的攻击，由于目前还缺乏对网络犯罪有效的反击和跟踪手段，黑客对网站恶意攻击同样是威胁电子商务安全的一个原因。大量的网页被篡改事件实际上都是黑客发泄情感的结果。当然有些国家或者企业也会故意攻击网站，以触发安全问题用来研究新的安全防范措施。最后是软件的漏洞，很多已经开发出来的软件会存在各种各样的漏洞，这就给了攻击者可乘之机，通过这些软件的漏洞，黑客可以编写代码传播病毒等。同时软件开发人员为了方便，通常也会在软件里留下“后门”，这也是导致安全问题的一个原因。 二、电子商务安全防范措施 随着电子商务的日益发展，安全问题也显得越加迫切，面临的考验也愈加严峻，安全问题成为电子商务最为中心的问题之一。电子商务的安全包含商业信息安全和系统安全两个方面，影响商业安全的因素主要来自人为的窃取、冒用、黑客的攻击和病毒的破坏等。影响系统的安全的因素主要指电子交易系统和因特网的安全。保证电子商务活动的安全不仅限于技术方面，更涉及法律税收、经营管理、文化等社会方方面面。 （一）信息的安全性及其提升方法 1.加密技术 （1）对称密钥密码体制 凯撒密码通过对字母移位的方式进行加密，这是一种典型的对称加密算法。其算法是：如果密钥为3，将26个英文字母顺序不变，但使a，b，c，……，z分别对应d，e，f，……，c。如果明文为day，那么密文就是gdb。解密算法是加密算法的逆运算，即字母位置向前移动3位，并一一对应。但此种算法由于字母出现频率的高低容易被破解，并且只有26个字母，容易被穷举法分析得出密钥。 　　对称加密体制中，加密密钥与解密密钥相同。因此，密钥的保护尤为重要，如果第三方截获该密钥就会造成信息失密。在对称加密算法中，可以保障的只有信息的保密性。而无信息的完整性等其他性能。 　 （2）非对称密钥密码体制 与对称密钥密码体制相对应，非对称加密算法中，加密密钥与解密密钥不同。这对密钥在密钥生成过程中同时产生。在使用时，该对密钥持有人将其中一个密钥公开，而将另一密钥作为私有密钥加以保密，前者称为公钥，后者称为私钥。任何持有公钥的人都可加密信息，但不能解密自己加密的密文，只有密钥持有者可以用私钥对收到的经过公钥加密的信息解密。由于在非对称密钥密码体制所使用的两个不同的密码中有一个需要向所有期望同密钥持有者进行安全通信的人随意公开，所以该密码体制又被称为公钥密码体制。 （3）Hash函数 Hash，一般翻译做“散列”，也有直接音译为“哈希”的，就是把任意长度的输入，通过散列算法，变换成固定长度的输出，该输出就是散列值。犹如人类的指纹，每个不同的文件偶有不同的hash值。因此，一旦文件稍微改变，文件的Hash值将完全不同。由此可以鉴别信息的完整性。Hash函数的特征主要有两个：强碰撞自由和计算的单向性。由于强碰撞自由可以鉴别文件的完整性。但由于计算不可逆，在计算前应保存好文件原本，在发送信息时将文件与其被加密的Hash值同时发送。 　 （4）数字签名 在现代社会里，电子邮件和网络上的文件传输已经成为生活的一部分。邮件的安全问题就日益突出了，大家都知道在Internet上传输的数据是不加密的。如果你自己不保护自己的信息，第三者就会轻易获得你的隐秘。另一个问题就是信息认证，如何让收信人确信邮件没有被第三者篡改，就需要数字签名技术。 2．数据认证机制 作为一个安全的电子商务系统还必须有权威的认证机构，以保证交易双方身份的真实性，信息发送或接收方对已发送的和已接收的信息不能否认。这就需要所有参与方都信任的第三方（公证方）提供认证信息，以证实交易双方的身份，以及信息的完整性、数据源、时间和数据目的地正确性。 （二）通信网络的安全与防范 保证因特网安全性的有效方法就是防火墙技术，防火墙控制着所有外来的通信以及从受到保护的网络往外发的通信。 因特网的安全机制是基于包过滤的防火墙系统。随着IP地址认证的广泛使用，这种认证也成为导致TCP/IP系统中最严重的缺陷之一。在这种设计中，攻击者采用IP Soofing (IP欺骗)的办法将自己的非法包伪装成使用“友好”的包，进而侵入用户内部网络系统。因此，传统的包过滤技术既缺乏效率又容易产生安全漏洞。为实现安全、效率上的双向突破，基于连接的动态包过滤技术应运而生。基于连接的动态包过滤技术在规则检查包时，不仅将其看成是独立的单元，而且还考虑其关联性，跟踪通过防火墙的网络连接，记录下包的连接状态，连接以后的包则无须再通过规则检查，只需检查状态表中该包所属的连接记录即可，可以使具有相同连接状态的包避免了重复检查。实时的连接状态监控技术，可以在状态表中通过记录的连线状态因素加以分析、识别，增强系统的安全性。 除了使用防火墙外，重视人为因素、定期培训、提高用户的防范意识，也是不容忽视的。 （三）电子支付安全 电子支付系统是电子商务的特定安全需求。电子支付系统通常指任何货币与商品或服务的交换的网络服务，因特网上的支付交易就是实行一系列相关的协议。目前大多数提出的因特网支付系统都是在线的，常用的支付手段是信用卡。针对信用卡交易安全，MasterCard公司、Visa国际公司和微软连手推出因特网上的安全信用卡交易服务，发布了相应的安全电子交易（SET）协议，其中规定了信用卡持卡人用其信用卡通过因特网进行付费的方法，这套机制的后台有一个证书颁发的基本结构，提供对X.509证书的支持。 三、总结论述 电子商务作为一种全新的业务和服务方式，在为全球用户提供了丰富的商务信息、简捷的交易过程和低廉的交易成本的同时，也把人们引进了安全陷阱。要保证电子商务的正常运作，就必须高度重视安全问题，就必须关注电子商务的安全防治措施和技术。电子商务安全对计算机网络安全与商务安全提出了双重要求，其复杂程度比大多数计算机网络都高。在电子商务的建设过程中涉及到许多安全技术问题，制定安全技术规则和实施安全技术手段不仅可以推动安全技术的发展，同时也促进安全的电子商务体系的形成。任何一个安全技术都不会提供永远和绝对的安全，因为网络在变化，应用在变化，入侵和破坏的手段也在变化，只有技术的不断进步才是真正的安全保障。 [参考文献] 1.劳帼龄.《电子商务的安全技术》[J].中国水利水电出版社，2007 2.李琪、钟诚.《电子商务安全》[J].重庆大学出版社，2007 4.李广建.《电子商务技术》[J].北京师范大学网络教育学院，2005 5.神州信息技术网.《电子商务网络安全解决方案》 6.张爱菊、熊平、朱平、陆安生等.《电子商务安全技术》[J].清华大学出版社，2006