电子商务信息安全毕业论文.doc

南京交通职业技术学院毕 业 论 文论文题目： 浅谈电子商务信息安全 系 部： 信息工程系 专业名称： 应用电子技术 班 级： 05401 学 号： 52 姓 名： 袁 凯 指导教师： 孙红梅 完成时间： 2010 年 5 月 12 日 浅谈电子商务信息安全摘要：信息安全技术在电子商务系统中的作用非常重要，它守护着商家和客户的重要机密，维护着商务系统的信誉和财产，同时为服务方和被服务方提供极大的方便，因此，只有采取了必要和恰当的技术手段才能充分提高电子商务系统的可用性和可推广性。关键词： 电子商务；信息安全；网络安全；防护措施discusses the electronic commerce information security shallowlyabstract:the information security technology is important in electronic commerce systems function, it is protecting the business and the customer important secret, is defending business systems prestige and the property, meanwhile to serve fang he to serve the side to provide enormous convenient, therefore, only then has adopted essential and the appropriate technological means can enhance electronic commerce systems usability fully and may the promotion.key words: electronic commerce; information security; network security; protective measure目 录前 言31 电子商务信息的概述31.1 我国电子商务信息发展环境分析31.2 电子商务信息安全发展策略42 电子商务信息的安全技术的分析与研究52.1 目前电子商务信息存在的安全性问题52.2 电子商务信息安全性要求62.3 电子商务信息安全技术措施62.3.1.数据加密技术62.3.2数字签名技术72.3.3认证机构和数字证书72.3.4使用安全电子交易协议(set:secure electronic transactions)73 电子商务环境下的商业秘密保护及立法策略73.1 电子商务环境下的商业秘密保护的特点73.2 电子商务的发展使商业秘密立法更显迫切83.3 电子商务的发展为商业秘密立法提供了契机93.3.1向国际通行做法靠近，注意与国际相协调93.3.2注意与相关法律的协调93.3.3考虑电子商务信息发展的特点10结束语11参考文献12致 谢13前 言随着网络技术和信息技术的飞速发展，电子商务得到了越来越广泛的应用,越来越多的企业和个人用户依赖于电子商务的快捷、高效。1它的出现不仅为internet的发展壮大提供了一个新的契机，也给商业界注入了巨大的能量。但电子商务是以计算机网络为基础载体的，大量重要的身份信息、会计信息、交易信息都需要在网上进行传递，在这样的情况下，安全性问题成为首要问题。本文首先介绍了电子商务安全的现状,分析了存在的主要问题,然后从网络安全技术、数据加密技术、用户认证技术等方面介绍了主要的电子安全技术,并提出了一个合理的电子商务安全体系架构。1 电子商务信息的概述电子商务的安全性并不是一个独立的概念，它是由计算机安全性，尤其是计算机网络安全性发展而来的。因为电子商务就是利用计算机网络的信息来交换实现电子交易，所以凡是涉及到计算机网路的安全问题无疑对于电子商务都有着重要的意义。随着信息技术日新月异的发展,人类正在进入以网络为主的信息时代,基于internet开展的电子商务已逐渐成为人们进行商务活动的新模式,越来越多的企业和个人通过internet进行商务活动,电子商务的发展前景十分诱人。但电子商务的安全问题变得越来越突出,如何建立一个安全、便捷的电子商务应用环境,保证整个商务活动中信息的安全性,使基于internet的电子交易方式与传统交易方式一样安全可靠,已经成为当前的热门话题。1.1 我国电子商务信息发展环境分析(1) 企业信息化建设环境： 企业作为电子商务的主体，其信息化程度是电子商务运行的基础。目前，我国企业大多处于转型阶段，现代企业制度尚未普遍建立，企业信息化的进展并不令人满意。2目前我国已经上网的企业不到企业总数的1%。在1，5000家国有大中型企业中，大约只有10%实现了企业信息化或运用信息手段比较好。大约有70%左右的企业拥有一定的信息手段或着手向实现企业信息化的方向努力，大约20%的企业只有少量的计算机，而且只从事单机工作。在1000余万家中小企业中，只有极少的一部分拥有现代化的信息手段。(2) 政策与法律环境：总的说来，我国的信息化政策还不够完善，尤其体现在电子商务方面，有关的政策不够明朗，相应的法律、法规，相关的标准还不够完善，跨部门、跨地区的协调存在较大问题。因为参与电子商务的不仅仅是交易双方，更重要的涉及工商行政管理、海关、保险、财税、银行等众多部门和不同地区、不同国家，这就需要有统一的法律、政策框架，以及跨部门、跨地区的强有力的综合协调组织，才能促进电子商务的蓬勃发展。(3) 金融电子化建设： 金融体系是商务活动的基础保证。电子商务的支付与结算需要电子化金融体系的密切配合。目前我国金融服务极其电子化水平比较落后，跨区域、跨银行的电子支付系统还未建立，网上支付、结算等问题很大程度上阻碍了我国电子商务发展的进程。例如，上海新华书店在互联网上发布了图书信息，收到大量国外的订单，但是由于国内的电子支付手段没有建立，生意无法成交，造成了不小的经济损失。加快建立银行间、银行与企业间资金清算和金融管理信息系统，使企业能够随时随地方便地使用电子支付，实时完成电子交易已经是势在必行。(4) 安全保证系统：电子商务中的信息安全与一般情况下所说的信息安全有一定的区别。它除了具有一般信息的含义外，还具有金融业和商业信息的特征。因此，电子商务的运作，涉及多方面的安全问题，如资金安全、信息安全、货物安全、商业秘密等。它要求电子商务比传统的有纸贸易更安全、更可靠，这个问题直接关系到电子交易各方的利益，而目前网上安全技术及其认证机制均不完善，许多银行现有的技术防范措施显然不能适应大规模电子交易的需要。这也是普通消费者对电子商务持观望态度的重要原因。 同时，电子商务的安全问题，不仅涉及技术问题，也涉及管理问题和法律问题。我国电子商务的管理标准尚未系统确定，法律对于电子商务违法交易行为的认定还处于摸索阶段。所以，必须高度重视电子商务中的安全问题。1.2 电子商务信息安全发展策略 (1)提高对电子商务信息的意识 电子商务是使商务活动由以物为中心变为以信息为中心，可以极大地提高商务效率，降低成本，减少商务活动中人、财、物的消耗，有利于整个社会商品生产的集约化和高效率。企业需要从战略上认识到企业信息化的必要性、可能性和良好的效益，充分运用信息手段，在运用中进一步了解和掌握它，不断收到实际效益，进而增强推进信息化的信心，政府也要为企业信息化做好组织工作，制定好发展规划。 (2)加快金融电子化进程 电子商务发展离不开金融电子化，只有可靠的电子支付方式，才能够保证电子商务 的顺利进行。在金融电子化的过程中，要对网上电子货币发行确定统一的在线支付程序，在安全保障标准、客户私人信息保密、银行信用等级评定等方面制定统一标准。同时，中央银行应将核心职能定位在为电子商务活动进行网上在线电子支付提供更多更完善的法律保障及政策支持，对电子货币发行主体和网上电子支付结算主体的资格认证等方面，为电子商务加速发展提供良好的政策环境。 (3)建立完善的安全保证系统a. 防火墙技术b. 虚拟专网技术(vpn)c. 数据加密技术加密技术是保证电子商务系统安全所采用的最基本的安全措施d. 安全认证技术e. 选择合适的电子商务安全协议 2 电子商务信息的安全技术的分析与研究2.1 目前电子商务信息存在的安全性问题(1)网络协议安全性问题：目前，tcp/ip协议是应用最广泛的网络协议，但由于 tcp/ip本身的开放性特点，企业和用户在电子交易过程中的数据是以数据包的形式来传 送的，恶意攻击者很容易对某个电子商务网站展开数据包拦截，甚至对数据包进行修改和假冒。 (2)用户信息安全性问题：目前最主要的电子商务形式是基于b/s(browser/server)结构的电子商务网站，用户使用浏览器登录网络进行交易，由于用户在登录时使用的可能是公共计算机，如网吧、办公室的计算机等情况，那么如果这些计算机中有恶意木马程序或病毒，这些用户的登录信息如用户名、口令可能会有丢失的危险。 (3)电子商务网站的安全性问题：有些企业建立的电子商务网站本身在设计制作时就会有一些安全隐患，服务器操作系统本身也会有漏洞，不法攻击者如果进入电子商务网站，大量用户信息及交易信息将被窃取，给企业和用户造成难以估量的损失。 2.2 电子商务信息安全性要求(1)服务的有效性要求：电子商务系统应能防止服务失败情况的发生，预防由于网络故障和病毒发作等因素产生的系统停止服务等情况，保证交易数据能准确快速的传送。 (2)交易信息的保密性要求：电子商务系统应对用户所传送的信息进行有效的加密，防止因信息被截取破译，同时要防止信息被越权访问。 (3)数据完整性要求：数字完整性是指在数据处理过程中，原来数据和现行数据之间保持完全一致。为了保障商务交易的严肃和公正，交易的文件是不可被修改的，否则必然会损害一方的商业利益。 (4)身份认证的要求：电子商务系统应提供安全有效的身份认证机制，确保交易双方的信息都是合法有效的，以免发生交易纠纷时提供法律依据。 2.3 电子商务信息安全技术措施2.3.1.数据加密技术对数据进行加密是电子商务系统最基本的信息安全防范措施其原理是利用加密算法将信息明文转换成按一定加密规则生成的密文后进行传输，从而保证数据的保密性。使用数据加密技术可以解决信息本身的保密性要求。数据加密技术可分为对称密钥加密和非对称密钥加密。 (1)对称密钥加密(secretkeyencryption)。对称密钥加密也叫秘密/专用密钥加密，即发送和接收数据的双方必须使用相同的密钥对明文进行加密和解密运算。它的优点是加密、解密速度快，适合于对大量数据进行加密，能够保证数据的机密性和完整性；缺点是当用户数量大时，分配和管理密钥就困难。 (2)非对称密钥加密(publickeyencryption)。非对称密钥加密也叫公开密钥加密，它主要指每个人都有一对惟一对应的密钥:公开密钥(简称公钥)和私人密钥(简称私钥)公钥对外公开，私钥由个人秘密保存，用其中一把密钥来加密，就只能用另一把密钥来解密。管理缺点是算法复杂，加密速度慢。 (3)复杂加密技术。由于上述两种加密技术各有长短，目前比较普遍的做法是将两种技术进行集成。例如信息发送方使用对称密钥对信息进行加密，生成的密文后再用接收方的公钥加密对称密钥生成数字信封，然后将密文和数字信封同时发送给接收方，接收方按相反方向解密后得到明文。 2.3.2数字签名技术数字签名是通过特定密码运算生成一系列符号及代码组成电子密码进行签名，来代替书写签名或印章，对于这种电子式的签名还可进行技术验证，其验证的准确度是一般手工签名和图章的验证所无法比拟的。3数字签名技术可以保证信息传送的完整性和不可抵赖性。 2.3.3认证机构和数字证书由于电子商务中的交易一般不会有使用者面对面进行，所以对交易双方身份的认定是保障电子商务交易安全的前提。认证机构是一个公立可信的第三方，用以证实交易双方的身份，数字证书是由认证机构签名的包括公开密钥拥有者身份信息以及公开密钥的文件。 2.3.4使用安全电子交易协议(set:secure electronic transactions)是由visa 和mastercard两大信用卡组织指定的标准。set用于划分与界定电子商务活动中各方的权利义务关系，给定交易信息传送流程标准。set协议保证了电子商务系统的保密性、完整性、不可否认性和身份的合法性。3 电子商务环境下的商业秘密保护及立法策略3.1 电子商务环境下的商业秘密保护的特点 商业秘密保护的难度增大电子商务环境是一种技术环境，它以数据库技术和网络技术为依托，使得包括商业秘密在内的企业信息电子化、网络化成为现实；同时，商业秘密的电子化、网络化，使得网络成为泄露商业秘密4的重要 渠道，从而增大了商业秘密保护的难度。 电子商务是在互联网上运作的，而互联网的开放性和共享性，决定了它的易受攻击性。网络信息安全主要来自电脑黑客、网络软件、计算机病毒等的威胁。如在电子商务软件方面，前段时间闹得沸沸扬扬的intel公司的奔腾的“序列号”功能，其初衷是为了在电子商务交易中对交易者身份提供唯一的识别，使电子商务更加可靠，但实际上却可能导致用户信息在用户毫不知情的情况下被窃取；微软也已承认其在windows中存在两个外部接人密匙，类似的密匙对电子商务中的商务秘密构成了潜在的威胁。我国计算机行业由于主体水平条件所限，目前许多电脑核心部件还要依赖国外，这不利于电子商务中的商业秘密保护。 企业信息共享影响商业秘密的安全。电子商务环境要求企业间及企业内部实现信息共享，以提高企业的竞争力。以网络技术和数据库技术为基础的电子商务技术，使得企业信息的内外部共享成为可能。企业信息共享包括企业信息外部共享和内部共享两个方面，其中外部共享是指企业与商业伙伴以及其他相关部门进行信息交流和共享，内部共 享是指基于企业内部网的内部员工信息共享。企业信息共享带来了企业创新力和竞争力的提高，但同时也造成了包括商业秘密在内的企业信息的多点接触，从而使得企业商业秘密处于一种不安全状态 。3.2 电子商务的发展使商业秘密立法更显迫切 电子商务环境下，商业秘密保护出现的新问题，使现有法律显得不足。从现行有关商业秘密立法的情况看，存在下列不足：6在调整范围上，有关法律法规有很大的局限性。如反不正当竞争法的适用范围仅限于“经营者与经营者”之间，对职工侵犯本单位商业秘密的行为，缺乏明确规定；在程序法方面，没有程序性的规定，可操作性不强。如对商业秘密纠纷能否通过仲裁解决，商业秘密诉讼的级别管辖等问题，均没有明确的规定。过于分散，规定不具体。如对行政、司法禁令规定得就不具体，包括禁令的条件、种类、作出禁令的时间都没有具体规定。保护力度不够。虽然有了刑事责任规范，但缺乏民事责任规范 ，不足以保护商业秘密权利人的利益。近年来，随着电子商务的发展，使得商业秘密侵权深入到了网络环境，网络商业秘密侵权案件时有发生，著名的苹果计算机公司状告他人在互联网上发布了公司尚未正式推出的双处理器系统和新型的apple pro鼠标，侵害了公司的商业机密就是一例2。由于网络环境下的商业秘密侵权手段和保护方式都出现了新的特点，使得现有法律的适用性显得不足，迫切需要进行商业秘密立法。同时地区性的商业秘密保护法也已制定一些，目前已有北美自由贸易协定、安第斯条约，欧盟也有制定商业秘密法令的计划。在这一背景下，考虑到我国已经加入 wto及电子商务的勃兴，我国企业将更多地参与到国际贸易中，这就要求我国企业清楚地了解国外保护商业秘密的规则，同时也要求国内立法，为我国企业的商业秘密提供充分保护。 3.3 电子商务的发展为商业秘密立法提供了契机电子商务的核心是“数据信息”。在构成电子商务的三种“流”(信息流、资金流和物流)中，“信息流”是最基本的。而 “信息流”中的相当大一部分是“数据信息”，它属于企业的商业秘密。电子商务作为一种新兴的商务模式，对其运作中所涉及的商秘密问题作出规范，一方面可使我国的商业秘密立法从一开始就体现出鲜明的时代特征，同时也能保证立法的弹性。另一方面，对于电子商务中的商业秘密问题，各国立法均不成熟，我国借助这一契机进行商业秘密立法，起点较高，这对于我国企业与国外企业展开公平竞争是十分有利的。 3.3.1向国际通行做法靠近，注意与国际相协调(1)降低立法成本，体现与国际立法相协调。目前世界上许多国家在商业秘密保护方面已经立法，如美国有统一商业秘密法，加拿大有统一商业秘密法草案等等。这些立法不但有法律规定，而且有大量的案例、成熟的理论体系和丰富的经验，我们可以借鉴。这样既可以降低立法成本，也体现了与国际立法相协调。 (2)适应国际立法协调的趋势i电子商务技术的超越国界性，使全球经济一体化的步伐加快，知识产权保护在国际上更趋向统一。商业秘密主要是企业的经营信息和技术信息，这使得其与商务贸易有着天然的、更为紧密的联系。所以，在国际立法协调的大趋势下，商业秘密立法应顺应国际化趋势，充分考虑国际协调。 3.3.2注意与相关法律的协调 (1)与民法通则相协调5。民法通则对制定商业秘密法具有重要的指导意义。民法通则中规定的基本原则，如诚实信用、公平交易等，应是制定 (2)与反不正当竞争法相协调。我国有关商业秘密的法律问题，目前主要是在反不正当竞争法中进行规定的，但这部法律主要是调整经营者与经营者之间的关系，对于涉及商业秘密的其他许多社会关系，如经营者与职工之间的保密关系，管理部门、商业中介部门与企业的保密关系等，均未作出具体规定。同时，该法对商业秘密的保护是从禁止不正当竞争的消极角度着眼的，既缺乏对商业秘密权属的确定，也缺乏商业秘密能否构成一项实在的民事权利及其权利性质的界定等。此外，在法律责任上，该法仅规定了行政处罚条款 ，没有全面的救济规定。因此，仍需一部独立的商业秘密法，对商业秘密作出全面的保护规定。 (3)与知识产权法相协调。商业秘密因其保护对象的宽泛，往往会与版权法、专利法、商标法等知识产权法交织在一起。因此，拟制定的商业秘密法应注意和这几部知识产权法相协调。首先，与版权法相协调。版权只保护“思想”的表达形式，而不 延及“思想”本身。3.3.3考虑电子商务信息发展的特点体现商业秘密法7的时代特征由于电子商务代表了未来商务的发展模式，商业秘密法要充分考虑其特点。具体来讲，应注意： (1)电子商务的国际性，要求该法应体现国际协调性。 (2)该法要体现电子商务的技术性。与传统的商务相比，电子商务的运作更加依赖于技术，因而出现了更多的技术问题，法律应对其加以规范。 体现商业秘密法的自身特点