毕业论文-浅谈电子商务中网络安全技术.doc

毕业设计（论文）题目 浅谈电子商务中网络安全技术 院系名称 xxxxxxx系 班 级 xxxxxxxxxx 学生姓名 xxxx 学 号 xxxxxxxxx 指导教师 xxxxxx 答辩教师 时 间 2014年2月8日 XXXXXX学院毕业论文 中文摘要摘 要近年来，随着通讯技术、网络技术的迅速发展促使电子商务技术应运而生。电子商务具有高效率、低成本的特性，为中小型公司提供各种各样的商机而迅速普及。电子商务主要依托Internet平台完成交易过程中双方的身份、资金等信息的传输。由于Internet的开放性、共享性、无缝连通性，使得电子商务信息安全面临着威胁：如截获和窃取用户机密的信息。篡改网络传输途中的信息，破坏信息的完整性。假冒合法用户或发送假冒信息来欺骗用户。交易抵赖否认交易行为等。因此，电子商务技术的推广，很大程度依赖信息安全技术的完善和提高。电子商务是互联网应用的重要趋势之一，也是国际金融贸易中越来越重要的经营模式之一。但目前全球通过电子商务渠道完成的贸易额仍只是同期全球贸易额中的一小部分，安全问题始终是制约其发展的一个重要环节。所以，只有解决了电子商务的安全问题，才能保证电子商务的正常运行。本论文主要阐述了电子商务可采用加密技术、数字签名和数字证书技术、防火墙技术等来提高电子商务信息安全系数，并对今后电子商务信息技术的发展提出了一些见解。关键词：电子商务，安全技术，防范措施XXXXXX毕业论文 ABSTRACTABSTRACTIn recent years, with the rapid development of communication technology, network technology makes electronic commerce technology emerge as the times require. E-commerce has the properties of high efficiency, low cost, provide a variety of opportunities for small and medium-sized companies and the rapid popularization. Transmission of both e-commerce relies on Internet platform to complete the transaction process identity, funds and other information. Since opening, the sharing of Interneet, seamless connectivity, makes the information security of electronic commerce under threat: if 1) intercepted and theft of confidential information. 2) tamper with network transmission way of information, damage to the integrity of information. 3) pseudo-legal users or send fake information to deceive users. 4) trade disavowing denied transactions. Therefore, the promotion of electronic commerce technology, and the improvement is largely dependent on the information security technology.Electronic commerce is one of the important trend of Internet application, is also the international financial and trade becomes more and more important in the mode of. But the volume of trade at present through the global e-commerce channels still just completed over the same period a small part of the global trade, security is always an important link of restricting its development. Therefore, only the electronic commerce security problem solved, to ensure the normal operation of electronic commerce. This paper mainly elaborated the electronic commerce can use encryption technology, digital signature and digital certificate technology, firewall technology to improve e-commerce information security coefficient, and put forward some views on the development of information technology in electronic commerce.Keywords: Electronic Commerce,information safety, countermeasureXXXXXX学院毕业论文 目录目 录中文摘要英文摘要1绪论11.1 电子商务信息安全的概述11.2 电子商务的主要安全要素22电子商务信息安全存在的问题4 2.1 计算机网络安全威胁42.2 商务交易安全威胁52.3计算机网络与商务交易给电子商务带来的安全问题53电子商务中信息安全技术7 3.1 防火墙技术73.2 数据加密技术73.3 电子商务的安全协议73.4 安全认证技术84电子商务的信息安全技术解决方案10 4.1 技术措施104.2 管理措施105结论12 致谢13参考文献14XXXXXX学院毕业论文 1 绪论1 绪论随着信息技术在贸易和商业领域的广泛应用，利用计算机技术、网络通信技术和因特网实现商务活动的国际化、信息化和无纸化，已成为各国商务发展的一大趋势。电子商务正是为了适应这种以全球为市场的变化而出现的和发展起来的，它是当今社会发展最快的领域之一，同时也为全球的经济发展带来新的增长点。对贸易和商业领域来说，电子商务的发展正在改变着传统的贸易方式，缩减交易程序，提高办事效率。现在，许多网站都提供有“商城”，供网民在网上购物。可以说，电子商务是最佳载体。而互联网具有充分开放，不设防护的特点使加强电子商务的安全问题日益紧迫，只有在全球范围建立一套人们能充分信任的安全保障制度，才能确保信息的真实性、可靠性和保密性。要加强电子商务的安全，需要企业本身采取更为严格的管理措施，需要国家建立健全法律制度，更需要有科学的先进的安全技术。因此，电子商务的安全性主要是网络平台的安全和交易信息的安全。而网络平台的安全是指网络操作系统对抗网络攻击、病毒，使网络系统连续稳定的运行。 常用的保护措施有防火墙技术、网络入侵检测技术、网络防毒技术。可以用数据加密、数字签名、数字证书、ssl、set安全协议等技术来保护。1.1 电子商务信息安全的概述1.1.1 电子商务的定义电子商务源于英文Electronic Commerce , 简写EC。电子商务是指通过信息网络以电子数据信息流通的方式在全世界范围内进行并完成的各种商务活动、交易活动、金融活动和相关的综合、服务活动。其内容包含两个方面，一是电子方式，二是商贸活动。是利用简单、快捷、低成本的电子通讯方式，买卖双方不谋面地进行各种商贸活动。电子商务可以通过多种电子通讯方式来完成。电子商务主要含概了三个方面的内容：一是政府贸易管理的电子化，即采用网络技术实现数据和资料的处理、传递和储存；二是企业级电子商务，即企业间利用计算机技术和网络技术实现和供货商、用户之间的商务活动；三是电子购物，即企业通过网络为个人提供的服务及商业行为。按照这种思想，电子商务可以分成两大类：一类是企业与企业之间的电子商务（B to B），另一类是企业与个人之间的电子商务（B to C）。后者亦即我们所说的网上购物或在线购物。从贸易活动的角度分析，电子商务分为两个层次，较低层次的电子商务如电子商情、电子贸易、电子合同等；最完整的也是最高级的电子商务应该是利用Internet网络能够进行全部的贸易活动，即在网上将信息流、商流、资金流和部分的物流完整地实现，也就是说，你可以从寻找客户开始，一直到洽谈、订货、在线付（收）款、开据电子发票以至到电子报关、电子纳税等通过Internet一并完成。1.1.2 电子商务安全的含义与特点电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。计算机网络安全就不说了.在Internet上的电子商务交易过程中，最核心和最关键的问题就是交易的安全性。对于电子商务安全的认识应该注意以下几个特点:安全不仅仅是安全管理部门的事情。电子商务安全具有全面性、普遍性。安全是一个系统概念。安全是相对的,发展变化的。安全是有代价的。电子商务安全必须有如下三个特征:保密性(Confidentiality)。完整性（Integrity）。可用性（Availability）。1.2 电子商务的主要安全要素目前电子商务工程正在全国迅速发展，实现电子商务的关键是要保证商务活动过程中系统的安全性，即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看，传统的买卖双方是面对面的，因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中，买卖双方是通过网络来联系，由于距离的限制，因而建立交易双方的安全和信任关系相当困难。电子商务交易双方（销售者和消费者）都面临安全威胁。电子商务的安全要素主要体现在以下几个方面：信息的有效性与真实性电子商务以电子形式取代了纸张，如何保证这种电子形势的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务座位贸易的一种形式，其信息的有效性和真实性直接关系到个人、企业和国家的经济利益和声誉。信息机密性电子商务最为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的，商业防泄密是电子商务全面推广应用的重要保障。信息的完整性电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是EC应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。可靠性/不可抵赖性/鉴别电子商务可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证EC顺利进行的关键。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的白纸黑字。在无纸化的EC方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。审查能力根据机密性和完整性的要求，应对数据审查的结果进行记录。不可抵赖性电子商务可能直接关系到贸易双方的商业交易，如何确定将要进行的交易方正是所期望的贸易方这一问题，则是保证电子商务顺利进行的关键。在电子商务方式下，通过手写签名和印章是不可能的。因此要求在交易信息中为参与交易的个人、企业或国家提供可靠的标识，使原发送方在发送数据后不能抵赖；接收方在接收数据后也不能抵赖。内部网的严密性企业的内部网一方面有着大量需要保密的信息，另一方面传递着企业内部的大量指令，控制着企业的业务流程。企业内部网一旦被恶意侵入，可能给企业带来极大的混乱与损失。保证内部网不被非法侵入，也是开展电子商务的企业应着重考虑的一个安全问题。13XXXXX学院毕业论文 2 电子商务信息安全存在的问题2 电子商务信息安全存在的问题电子商务简单的说就是利用Internet进行的交易活动，电子商务=“电子”+“商务”，从电子商务的定义可以了解电子商务的安全也就相应的分为两个方面的安全：一方面是“电子”方面的安全，就是电子商务的开展必须利用Internet来进行，而Internet本身也属于计算机网络，所以电子商务的第一个方面的安全就是计算机网络的安全，它包括计算机网络硬件的安全与计算机网络软件的安全，计算机网络存在着很多安全威胁，也就给电子商务带来了安全威胁；另一方面是“商务”方面的安全，是把传统的商务活动在Internet上开展时，由于Internet存着很多安全隐患给电子商务带来了安全威胁，简称为“商务交易安全威胁”。这两个方面的安全威胁也就给电子商务带来了很多安全问题。 2.1 计算机网络安全威胁 电子商务包含“三流”：信息流、资金流、物流，“三流”中以信息流为核心为最重要，电子商务正是通过信息流为带动资金流、物流的完成。电子商务跟传统商务的最重要的区别就是以计算机网络来传递信息，促进信息流的完成。计算机网络的安全必将影响电子商务中的“信息流”的传递，势必影响电子商务的开展。计算机网络存在以下安全威胁： 黑客攻击黑客攻击是指黑客非法进入网络，非法使用网络资源。随着互联网的发展，黑客攻击也是经常发生，防不胜防，黑客利用网上的任何漏洞和缺陷修改网页、非法进入主机、窃取信息等进行相关危害活动。2003年，仅美国国防部的“五角大楼”就受到了了230万次对其网络的尝试性攻击。从这里可以看出，目前黑客攻击已成为了电子商务中计算机网络的重要安全威胁。计算机病毒的攻击病毒是能够破坏计算机系统正常进行，具有传染性的一段程序。随着互联网的发展，病毒利用互联网，使得病毒的传播速度大大加快，它侵入网络，破坏资源，成为了电子商务中计算机网络的又一重要安全威胁。拒绝服务攻击拒绝服务攻击（DoS）是一种破坏性的攻击，它是一个用户采用某种手段故意占用大量的网络资源，使系统没有剩余资源为其他用户提供服务的攻击。目前具有代表性的拒绝服务攻击手段包括SYN flood、ICMP flood、UDP flood等。随着互联网的发展，拒绝服务攻击成为了网络安全中的重要威胁。 2.2 商务交易安全威胁把传统的商务活动在Internet上进行，由于Internet本身的特点，存在着很多安全威胁，给电子商务带来了安全问题。Internet的产生源于计算机资源共享的需求，具有很好的开放性，但正是由于它的开放性，使它产生了更严重的安全问题。Internet存在以下安全隐患：开放性开放性和资源共享是Internet最大的特点，但它的问题却不容忽视的。正是这种开放性给电子商务带来了安全威胁。缺乏安全机制的传输协议TCP/IP协议是建立在可信的环境之下，缺乏相应的安全机制，这种基于地址的协议本身就会泄露口令，根本没有考虑安全问题；TCP/IP协议是完全公开的，其远程访问的功能使许多攻击者无须到现场就能够得手，连接的主机基于互相信任的原则等这些性质使网络更加不安全。软件系统的漏洞随着软件系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的存在。如cookie程序、JAVA应用程序、IE浏览器等这些软件与程序都有可能给我们开展电子商务带来安全威胁。 信息电子化电子化信息的固有弱点就是缺乏可信度，电子信息是否正确完整是很难由信息本身鉴别的，而且在Internet传递电子信息，存在着难以确认信息的发出者以及信息是否被正确无误地传递给接收方的问题。2.3 计算机网络与商务交易给电子商务带来的安全问题a.信息泄露在电子商务中表现为商业机密的泄露，以上计算机网络安全威胁与Internet的安全隐患可能使得电子商务中的信息泄漏，主要包括两个方面： 交易一方进行交易的内容被第三方窃取。 交易一方提供给另一方使用的文件第三方非法使用。b.篡改正是由于以上计算机网络安全威胁与Internet的安全隐患，电子的交易信息在网络上传输的过程中，可能被他人非法地修改、删除或重放（指只能使用一次的信息被多次使用），这样就使信息失去了真实性和完整性。c.身份识别正是由于电子商务交易中交易两方通过网络来完成交易，双方互不见面、互不认识，计算机网络的安全威胁与Internet的安全隐患，也可能使得电子商务交易中出现交易身份伪造的问题。d.信息破坏计算机网络本身容易遭到一些恶意程序的破坏，如计算机病毒、特洛伊木马程序、逻辑炸弹等，导致电子商务中的信息在传递过程被破坏。e.破坏信息的有效性电子商务中的交易过程中是以电子化的信息代替纸面信息，这些信息我们也必须保证它的时间的有效与本身信息的有效，必须能确认该信息确是由交易一方签发的，计算机网络安全威胁与Internet的安全隐患，使得我们很难保证电子商务中的信息有效性。f.泄露个人隐私 隐私权是参与电子商务的个人非常关心的一个问题。参与到电子商务中的个人就必须提供个人信息，计算机网络安全威胁与Internet的安全隐患有可能导致个人信息泄露，破坏到个人隐私。XXXXXX学院毕业论文 3 电子商务中信息安全技术3 电子商务中信息安全技术3.1 防火墙技术防火墙是指隔离在本地网络与外界之间的一道防御设施，是这一类防范措施的总称。它能够限制他人进入内部网络，过滤掉不安全服务和非法用户；允许内部网的一部分主机被外部网访问，另一部分被保护起来；限定内部网的用户对互联网上特殊站点的访问；为监视互联网安全提供方便。对于我们营造安全的电子商务环境目前最安全的方法就是利用双防火墙双服务器方式。3.2 数据加密技术数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥，可用同一加密算法，将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据，称为解密。数据加密被认为是最可靠的安全保障形式，它可以从根本上满足信息完整性的要求，是一种主动安全防范策略。 密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在加密与解密过程中使用相同的密钥加以控制，它的保密度主要取决于对密钥的保密。它的特点是数字运算量小，加密速度快，弱点是密钥管理困难，一旦密钥泄露，将直接影响到信息的安全。非对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制，加密密钥是公开的，解密密钥是保密的。它的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。算法的核心是运用一种特殊的数学函数单向陷门函数。即从个方向求值是容易的，但其逆向计算却很困难，从而在实际上成为不可能。3.3 电子商务的安全协议3.3.1 (SSL)安全套接层协议SSL主要用于提高应用程序之间的数据的安全系数，保证任何安装了安全套接层的客户和服务器之间事务安全的协议，该协议向基于TCPIP的客户服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。 SSL安全协议主要提供三方面的服务。是用户和服务器的安全保证，使得用户与服务器能够确信数据将被发送到正确的客户机和服务器上。客户机与服务器都有各自的识别号，由公开密钥编排。为了验证用户，安全套接层协议要求在握手交换数据中作数字认证，以此来确保用户的合法性；二是加密数据以隐藏被传递的数据。安全套接层协议采用的加密技术既有对称密钥，也有公开密钥，在客户机和服务器交换数据之前，先交换SSL初始握手信息。在SSL握手信息中采用了各种加密技术，以保证其机密性与数据的完整性，并且经数字证书鉴别：三是维护数据的完整性。安全套接层协议采用Hash函数和机密共享的方法来提供完整的信息服务，建立客户机与服务器之间的安全通道，使所有经过安全套接层协议处理的业务能全部准确无误地到达目的地。3.3.2 (SET)安全电子交易公告SET为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证。SET已成为全球网络的工业标准。SET安全协议主要对象包括：消费者(包括个人和团体)，按照在线商店的要求填写定货单，用发卡银行的信用卡付款；在线商店，提供商品或服务，具备使用相应电子货币的条件；收单银行，通过支付网关处理消费者与在线商店之间的交易付款；电子货币发行公司以及某些兼有电子货币发行的银行。负责处理智能卡的审核和支付；认证中心，负责确认交易对方的身份和信誉度，以及对消费者的支付手段认证。SET协议规范技术范围包括：加密算法的应用，证书信息与对象格式，购买信息和对象格式，认可信息与对象格式。SET协议要达到五个目标：保证电子商务参与者信息的相应隔离；保证信息在互联网上安全传输，防止数据被黑客或被内部人员窃取；解决多方认证问题；保证网上交易的实时性，使所有的支付过程都是在线的；效仿BDZ贸易的形式，规范协议和消息格式，促使不同厂家开发的软件具有兼容性与交互操作功能，并且可以运行在不同的硬件和操作系统平台上。3.4 安全认证技术利用基本加密技术还只能保证电子商务中信息的保密性，为了营造安全的电子商务环境，我们还必须保证电子商务中的信息的完整性，通信的不可抵赖、不可否认，交易各方身份的认证，信息的有效性，这就得利用以基本加密技术为基础开发的安全认证手段： 利用数字信封技术保证电子商务中信息的保密性。利用以Hash函数为核心的数字摘要技术来保证电子商务中信息的完整性。 建立CA认证体系给电子商务交易各方发放数字证书，保证电子商务中交易各方身份的认证。在电子商务中，为了使众多的认证机构 CA(Certification Authority)具有一个开放的标准，使以之间能够互联、互相认证，实现安全的CA管理，这就需要建立公钥基础设施 (Public Key Infrastructure，简称PKI)。利用数字时间戳来保证电子商务中信息的有效性。利用数字签名技术来保证电子商务中的通信的不可抵赖、不可否认，信息的有效性。数字加密是非对称加密技术的一类应用。数字签名是用来保证文档的真实性、有效性的一种措施如同出示手写签名一样。将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。通过数字签名能够实现对原始报文的鉴别与验证，保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。数字签名机制提供了一种鉴别方法，保证了网络数据的完整性和真实性。德州科技职业学院毕业论文 4 电子商务信息安全技术解决方案4 电子商务信息安全技术解决方案4.1 技术措施 a.加密技术数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥，可用同一加密算法，将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据，称为解密。数据加密被认为是最可靠的安全保障形式，它可以从根本上满足信息完整性的要求，是一种主动安全防范策略。 b.数字签名和数字证书 数字签名。数字签名是用来保证文档的真实性、有效性的一种措施如同出示手写签名一样。数字签名机制提供了一种鉴别方法，保证了网络数据的完整性和真实性。数字证书。数字证书就是标志网络用户身份信息的一系列数据，用来在网络直用中识别通讯各方的身份，其作用类似于现实生活中的身份证。c.防火墙技术。防火墙主要功能是建立网络之间的个安全屏障，从而起到内部网络与外部公网的隔离，加强网络之间的访问控制，防止外部网络用户以非法手段进入内部网络。4.2 管理措施 提高网络信息安全意识。以有效方式、途径在全社会普及网络安全知识，提高公民的网络安全意识并在思想上把信息资源共享与信息安全防护有机统一起来，树立维护信息安全就是保生存、促发展的观念。加强网络安全管理。建立信息安全领导机构，有效统一、协调和研究未来趋势，制定宏观政策，实施重大决定。严格执行中华人民共和国计算机信息系统安全保护条例与计算机信息网络安全保护管理办法，明确责任、规范岗位职责、制定有效防范措施，并严把用户入网关、合理设置访问权限等。 加快网络安全专业人才的培养。加大对有良好基础的科研教育基地的支持和投入，加强与国外的经验技术交流，及时掌握国际上最先进的安全防范手段和技术措施，加强对内部人员的网络安全培训，使高素质的人才在高水平的教研环境中迅速成长和提高。开展网络安全立法和执法。吸取和借鉴国外网络信息安全立法的先进经验，结合我国国情对现行法律体系进行修改与补充，使法律体系更加科学和完善，并建立有利于信息安全案件诉讼与公、检、法