电子商务信息安全论文.doc

电 子 科 技 大 学 毕 业 设 计 说 明 书（ 论 文 ）论文题目： 电子商务中的信息安全学习中心： 电子科技大学网络教育蚌埠学习中心指导老师： 乔刚 职 称： 讲师 学生姓名： 杨超 学 号: V110880094201006专 业： 电子商务电子科技大学网络教育学院制2013年 5月 5日电 子 科 技 大 学毕业设计（论文）任务书题目： 电子商务中的信息安全任务与要求：浅谈电子商务信息中存在的问题，以及进一步开展研究 的见解与建议 时 间： 2013 年 9 月 1 日 至 2013 年 11 月 30 日 共 13 周学习中心： 电子科技大学网络教育蚌埠学习中心学生姓名： 杨超 学 号： V110880094201006专 业： 电子商务指导单位或教研室： 安徽电子信息职业技术学院指导教师：乔 刚 职 称： 讲 师电子科技大学网络教育学院制2013年 10月 15日毕业设计(论文)进度计划表日 期工 作 内 容执 行 情 况指导教师签 字9.19. 13选题阶段9.1410.7撰写初稿阶段10.810.15文稿“初审”阶段10.1611.6文稿修改阶段11.711.17文稿“二审”阶段11.1811.30评审、答辩阶段教师对进度计划实施情况的总评 签名 年 月 日 本表作评定学生平时成绩的依据之一。电子商务中的信息安全摘要当今信息化社会中，电子商务在现实生活中的地位越来越重大，随之而来的各方面的问题就随之出现。更严重的是关于电子商务的安全性问题。现在病毒越来越先进，在电子商务进行中，我们要更加注意信息安全的问题。电子商务作为一种全新的商务模式,它有很大的发展前途, 且随之而来的安全问题也越来越突出, 如何建立一个安全、 便捷的电于商务应用环境, 对信息提供足够的保护, 是商家和用户都十分关注的话题。安全问题己成为电子商务的核心问题。分析了电子商务中存在的安全问题, 并阐述目前解决电子商务安全隐患的主要安全技术及相关策略。本文先介绍了电子商务的基本概念及其安全方面的一些知识。继而概述了电子商务出现后，企业信息系统的变化与发展，针对电子商务出现后企业信息系统的安全问题和现行的方法。关键词： 电子商务 信息安全 安全问题 AbstractTodays computerized society, electronic commerce in reality the status of the more important, along with the various problems resulted. more seriously about e-commerce security issues. the viruses more sophisticated, on electronic commerce conducted, we should pay more attention to information security.Electronic commerce as a new business model, it has a lot of possibilities, and the consequent sense of security has become more prominent, how to build a safe, convenient to use electricity in the business environment of information to provide adequate protection, and the user is concerned about the subject. Security issues of electronic commerce has become the core issues. the analysis of e-commerce in the security problems and solve on e-commerce is the chief safety technology and related policy.The first to introduce electronic commerce of the basic concept and its safety knowledge. they outline the electronic commerce appeared, the enterprise information system changes and developments in e-commerce, a corporate information systems, security and the existing method.Key Word: e-commerce Information security Safety problems目录一、电子商务的概念及特点7（一）电子商务的概念7（二）电子商务的特点 7二、电子商务信息安全现状及发展趋势8（一） 电子商务信息安全现状8（二）电子商务信息安全问题发展趋势8三、主要面临的安全问题9（一）网络环境安全问题9（二）系统安全问题9 （三）交易者身份安全问题9四、电子商务的安全保障9（一）建立完善的信用体系10（二）开发电子商务的信息安全技术10（三）构建良好的电子商务环境10（四）强化交易安全保护的法律制度10五、立法分析及对策7（一）建立网络防护应急反应机制11（二）出台严厉保护制度 11（三）加强C4ISR保密系统建设11（四） 数据加密12（五）数字签名12（六）数字证书3结 束 语 14谢 辞 15参考文献16一、电子商务的概念及特点（一）电子商务的概念电子商务至今仍没有一个很清晰的概念。各国政府、学者、企业人士都根据自己所处的地位和对电子商务的参与程度，给出了许多表述不同的定义。参考以往的国内的一些学士和专家的观点，将电子商务的定义归纳为广义的电子商务和狭义的电子商务。广义的电子商务（ElectronicBusiness,EB）是指交易当事人或参与人利用计算机技术和网络技术等现代信息技术进行的各类商务活动，包括货物贸易、服务贸易和知识产权贸易。也可以理解为利用各种信息技术对整个商务活动实现电子化1。狭义的电子商务定义仅仅将通过Internet进行的商务活动归属于电子商务。主要是指利用网络与计算机进行钱和物的交易2。（二）电子商务的特点电子商务将传统商业活动中物流、资金流、信息流的传递方式利用网络科技整合，企业将重要的信息以全球信息网、企业内部网（Internet）或外联网（Ex-tranet）直接与分布各地的客户、员工、经销商及供应商连接，创造更具竞争力的经营优势3。与传统的商务活动相比，电子商务具有以下特点：1、交易网络化交易过程均通过计算机互联网络完成，整个交易完全虚拟化。整个交易都在网络这个虚拟的环境中进行。2、交易成本低电子商务实行“无纸贸易”，可减少90%的文件处理费用。使用国际互联网进行信息传递的成本相对于信件、电话、传真的成本低很多，同时缩短时间及减少重复的数据录入也降低了信息成本。3、交易覆盖面广因特网几乎遍及全球的各个角落，电子商务可以使企业能够更加经济地经营地理上极为分散的狭小的目标市场。4、交易效率高电子商务基于网络技术，克服了传统贸易方式费用高、易出错、处理速度慢等缺点，极大地缩短了交易时间，使整个交易非常快捷与方便。5、交易功能全面电子商务可以全面支持不同类型的用户实现不同层次的商务目标，如发布电子商情、在线洽谈、建立虚拟商场或网上银行等。6、交易透明化买卖双方从交易的洽谈、签约以及货款的支付、交货通知等整个交易过程都在网络上进行。通畅、快捷的信息传输可以保证各种信息之间相互核对，可以防止伪造信息的流通。二、电子商务信息安全现状及发展趋势（一）电子商务信息安全现状电子商务无疑是近几年来使用频率最高的词汇之一，现如今，网上购物已经成为普通消费者的购物选择之一，逐渐成为消费的主流。电子商务是在公开的网上进行的，支付信息、订货信息、谈判信息、机密的商务往来文件等大量商务信息在计算机系统中存放、传输和处理，由于计算机信息有共享和易于扩散等特性，它在处理、存储、传输和使用上有着严重的脆弱性，易被干扰、滥用、遗漏和丢失，甚至被泄露、窃取、篡改、冒充和破坏，还可能受到计算机病毒感染，这使得电子商务安全问题面临着严重的威胁，电子商务所面临的信息安全现状不容乐观。（二）电子商务信息安全问题发展趋势我国于1995年起发展电子商务安全产业，其信息安全研究经历了通信保密、计算机数据保护两个发展阶段，市场也从小到大逐步发展起来，虽已初具规模但仍不成熟。近年来，我国因特网用户激增，至今已超过130万，而不少企业更是拥有自己的独立网站，网络交易热潮随之而来。根据CNNIC发布的中国互联网络热点调查报告中显示：网上购物大军达到2000万人，在全体互联网网民中，有过购物经历的网民占近20%的比例。因为Internet自身的开放性，安全事故和黑客事件时有发生，据公安部的资料,利用计算机网络进行的各类违法行为在中国以每年30%的速度递增，更有媒介报道,中国95%的与Internet相连的网络管理中心遭到过境内外黑客的攻击或侵入,由此可见，随着电子商务日益普及,电子商务安全问题显得异常突出,安全隐患已成为电子商务发展的严重阻碍,解决安全问题已成为我国电子商务正常发展的当务之急。三、主要面临的安全问题（一）网络环境安全问题一般来说，计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面，计算机系统硬件和通信设施极易遭受自然环境的影响（如温度、湿度、电磁场等）以及自然灾害和人为（包括故意破坏和非故意破坏）的物理破坏；另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击；同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作，造成计算机网络系统内信息的损坏、丢失和安全事故。网络安全是电子商务系统安全的基础，涉及的方面较广，如防火墙技术、网络监控、网络隐患扫描及各种反黑客技术等，其中最重要的就是防火墙技术。防火墙的主要功能是加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络侵入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查，来决定网络之间的通信是否被允许，并监视网络运行状态。简单防火墙技术可以在路由器上实现，而专用防火墙提供更加可靠的网络安全控制方法。（二）系统安全问题对于任何一个系统来说，安全都是相对的。作为网站的管理者要始终保持清醒的头脑，针对出现的隐患和问题不断研究新的安全措施。对敏感的设备和数据要建立必要的物理或逻辑隔离措施；对在公共网络上传输的敏感信息要进行强度的数据加密；安装防病毒软件，加强内部网的整体防病毒措施；建立详细的安全审计日志，以便检测并跟踪入侵攻击等。（三）交易者身份安全问题卖方面临的信息安全威胁主要有：恶意竞争者冒名订购商品或侵入网络内部以获取营销信息和客户信息；假冒合法用户名义改变商务信息内容，致使电子商务活动中断，造成商家名誉和用户利益等方面的受损；信息间谍通过技术手段窃取商业秘密；黑客入侵并攻击服务器，产生大量虚假订单挤占系统资源，令其无法响应正常的业务操作。买方面临的信息安全威胁主要有：发送的商务信息不完整或被篡改，用户无法收到商品；用户身份证明信息被拦截窃用，以致被要求付帐或返还商品；域名信息被监听和扩散，被迫接收许多无用信息甚至个人隐私被泄露；受虚假广告信息误导购买假冒伪劣商品或被骗钱财；遭黑客破坏，计算机设备发生故障导致信息丢失。四、电子商务的安全保障（一）建立完善的信用体系建立信用体系作为完善市场经济体系的一项重要内容逐渐得到了更多部门和企业的关注。各地都逐渐出台了一些关于信用体系建设的法律和规范。这些法规的先后出台，提出了依法披露、合法征集、信用服务、失信惩戒、信用管理等推动以中小企业为主体的社会信用体系建设的一系列设想和指导意见，在政府立法规范信用征信领域做了一些探索，电子商务作为一种商业活动，信用同样是其存在和发展的基础。因为电子商务对信用体系的需求最强，没有信用体系支持的电子商务风险极高；而在电子商务的基础上又很容易建立信用体系，电子商务的信息流、资金流、物流再加上电子签章四者相互呼应交叉形成一个整体，在这个整体之上，只要稍加整合分析，进行技术处理，就可以建立信用体系，并且该信用体系对电子商务是可控的。（二）开发电子商务的信息安全技术我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域,它综合利用了数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。目前电子商务的安全性已是当前人们普遍关注的焦点,它正处于研究和发展阶段,并带动了论证理论、密钥管理等研究。由于计算机运算速度的不断提高,各种密码算法面临着新的密码体制,如量子密码、DNA密码、混沌理论等密码新技术出处于探索之中。在我国,信息网络安全技术的研究和产品开发虽处于起步阶段,有大量的工作需要我们去研究、开发和探索,但我们相信在不久的将来,会走出一条有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。（三）构建良好的电子商务环境电子认证、在线支付、现代物流、信用等电子商务支撑体系建设全面展开，初具规模，呈现出支撑体系建设与电子商务应用相互促进、协调发展的新局面。近20家电子认证机构获得电子认证服务许可，在电子商务和电子政务应用中开展了电子认证及数字签名应用服务。近20家商业银行开办网络银行业务，第三方在线支付平台不断涌现，在线支付业务稳步上升。（四）强化交易安全保护的法律制度国务院颁布的关于加快电子商务发展的若干意见，确立了我国发展电子商务的指导思想和基本原则，明确了发展方向和战略重点。全社会电子商务的应用意识不断增强，对电子商务在国民经济和社会发展中重要作用的认识进一步提高，形成了发展电子商务的良好社会氛围。五、立法分析及对策在联合国电子商务示范法制定之后，一些国际组织与国家纷纷合作，制订各种法律规范，形成了国际电子商务立法的高速发展期，其成果主要体现在四个方面：WTO的三大突破性协议；国际性组织加快制定电子商务指导性交易规则；地区性组织积极制定各项电子商务的政策；世界各国积极制订电子商务的法律法规。全社会电子商务的应用意识不断增强，对电子商务在国民经济和社会发展中重要作用的认识进一步提高，形成了发展电子商务的良好社会氛围。例如：韩国将信息安全视为关系国防安全的重大战略问题，加大信息保障系统管理力度，加快信息安全系统建设步伐。（一）建立网络防护应急反应机制。网络攻击具有突发性和毁灭性，只有建立应急反应机制，才能提高网络防护的快速反应能力。韩国军队为适应现代化信息安全保密的要求，建立以参谋本部为中心，以国防情报本部、指挥通信司令部以及各军种网络管理部门为主干，横联国家信息保护中心，纵联全军各级部队的信息战预警体系。韩军在国防部设立“网络情况室”，建立由国防部统一管理、24小时不间断值守的全军网络安全值班监视系统。师以上各级指挥机关组建有国防信息通信网预防入侵机构。（二）出台严厉保护制度。韩国国防部为从根源上杜绝国防电子信息泄漏，完善信息化条件下的军事保密体系，采用为中央控制计算机安装认证管理系统、为各种资料及辅助存储装置加密、防止非法拷贝等新技术，在全军建立并颁布实行电子信息防泄露安全对策。利用中央认证管理系统，限制在非认可微机用户联接；改进文件拟定者和管理者的电脑口令，禁止在非认可电脑上使用软件；对软盘和电脑中的资料加密，使其只能在指定电脑中判读；对电子邮件资料加密，使系统具备跟踪识别泄露者姓名的功能；非法拷贝时将显示第一个泄露者的个人情况。（三）加强C4ISR保密系统建设。为切实有效地保护国防信息网络安全，韩国军队花费数千亿韩元开发和引进了防火墙、安全认证、持续管理、网络监控、网络安全预警以及清除网络病毒等有关网络安全方面的技术和装备，相继建立了按不同类别和等级实施层次管理的国防信息网合成控制系统、全军统一的合成控制防病毒联网系统，以及军民联合覆盖全国的网络安全预警检测系统等一系列国防信息保护体系，使其国防信息网络安全得到了进一步加强。韩国国防部目前正在建立自动化防病毒系统，系统建成后，用户收到病毒警报时，无需手工操作，就能即刻自动传播系统病毒信息并做出处理。为及时发现并应对军队计算机网络遭受“黑客”或病毒攻击，韩军在国防部、陆海空三军本部等高层指挥机关构筑24小时联合安全管制系统，并逐步将该系统配备至旅级部队。该系统可不间断跟踪进入国防计算机网络的各种信息，及时发现并捕捉病毒信息，采取适当措施阻止非法用户接近，探测合法用户的非法行为，阻断计算机病毒。（四）数字加密加密技术是电子商务采取的主要安全措施, 贸易方可根据需要在信息交换的阶段使用。目前加密技术分为对称加密和非对称加密两类。对称加密技术是在对信息的加密和解密中都使用相同的密钥, 由此存在着通信的贸易方之间要确保密钥安全交换的问题。此外无法鉴别贸易发起方或贸易最终方。非对称加密又称为公钥加密, 密钥被分解成为一对。 这对密钥中的一把作为公开密钥(加密密钥) , 通过非保密方式向他人公开, 而另一把则作为私有密钥(解密密钥)加以保存。 私钥只能由生成密钥对的贸易方掌握, 公钥可广泛发布, 但它只对应于生成该密钥的贸易方。在电子商务实际应用中, 结合两种加密方法的优点, 对于密钥管理、 密钥交换、 数字签名和认证等涉及信息较少且比较重要的情况, 使用公钥加密系统进行加密, 而对于信息量大和安全性要求不是很高的情况, 使用对称加密系统不失为一种两全其美的方法。 在实际应用中,也可采用对称加密系统加密文件, 采用公开密钥加密系统加密密钥(又称会话密钥) , 这就是混合加密系统3, 它即有对称加密的速度, 又有非对称加密的灵活性的算法, 能较好的解决运算速度问题和密钥分配管理问题。在混合加密系统中 ( 如图 1 所示) , 采用DES算法作为对称加密系统标准, 公钥加密系统使用 RSA加密算法, 形成电子商务环境下的混合加密方法。可以综合发挥两种加密体制的优点, 即 DES的高速简便性和 RSA密钥管理的方便性和安全性, 即保证了数据安全, 同时又提高了加密和解密的速度。（五）数字签名当数据(可能是一个文件, 一个程序或一段文字等) 从 A 传送到 B 时, 加密可以保证只有拥有密钥者(B)才可读取这段段信息, 实现了安全性编程中内容的保密性要求, 但安全性编辑还要求具有不可篡改性, 身份的确定性(B能确认数据确实是 A发过来的) , 以及不可否认性( 发生纠纷时, B 能证明数据确实是由 A 发来的) , 这些都可由数字签名4来实现。 其实, 数字签名是公开密钥加密技术的另一类应用, 它的基本步骤是: 发送者 A用其秘钥 SKA对报文 M进行运算, 将结果 DSKA(M) 和 M一起传送给接收者 B。B 用已经的 A 的公钥 PKA 得出EPKA(DSKA(M) ) =M , 如果 M=M , 签名的真实性就得到了验证。在 Java 中使用数字签名, 由类 java.security.signature 来处理数字签名, 共方法有如下的 6类:(1) keyPairGenerator() 产生签名密钥;(2) getInstance () 指出算法和提供者 (可选) ;(3) initSign()和 initVerify() 用于初始化签名对象, initSign()采用私钥, initVerify()采用公钥;(4) update() 一旦签名对象初始化完毕, 就可以用此方法将数据传送给它;(5) sign() 如正在进行签名, 则此方法会返回用方法 update()传送给签名对象的数据的签名结果;(6) verify()如是要验证数据而不是进行签名, 则要调用此方法。（六） 数字证书为了保证商务交易, 支付活动的真实可靠,需要一种机制来验证活动中各方的真实身份。因此, 数字证书成为了公钥体制用于大规模安全电子商务的最基本的要素。它含有掌握相应密钥的持证者的确切身份, 唯一标识证书所有者 (即贸易方) 的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字数字签名、证书的有效期及证书的序列号等 5。证书发布者一般称为证书管理机构( CA) , 它是贸易各方都信赖的机构。贸易伙伴间可以使用数字证书来交换公钥, 而且数字证书能够起到标识贸易方的作用, 是目前电子商务广泛采用的技术之一。CA 是提供身份验证的第三方机构, 由一个或多个用户信任的组织实体组成。如持卡人要与商家通信, 就要从公共媒体上获得了商家的公钥, 但持卡人无法确定商家不是冒充的,于是持卡人请求 CA 对商家认证。CA 对商家进行调查, 验证和鉴别后, 将包含商家公钥的证书传给持卡人。 同样, 商家也可对持卡人进行验证。数字证书的主要功能是保存公钥和某个人或机构的对应关系。 可用 J2SDK提供的 keytool 工具来创建数字证书。结 束 语感悟：通过这次毕业设计，使我得到了一次用专业知识和专业技能去分析问题、解决问题全面系统的锻炼。我了解到，信息安全是电子商务的核心和灵魂。在电子商务领域里，信息安全问题一直是备受关注的问题，如何更好地解决这个问题是推进电子商务更好更快发展的动力。但是，因为安全性问题是不断发展变化的，所以解决安全问题的手段也要不断适应这种变化。目前，就电子商务信息安全虽然在技术、立法、政策等方面采取了适当的措施，取得了一定的成效，但尚未能形成一个有效地、安全的电子商务安全系统，因此，仍需要加大力度来研究和探索电子商务信息安全综合性的保障措施，进而为电子商务建立一个安全、高效的商务环境。本文通过调查分析