电子商务中网上交易的安全问题及防范的研究与实现.doc

电子商务中网上交易的安全问题及防范的研究与实现林海凤（学号：074C3Z2011）摘要:随着互联网的不断发展,电子商务正在不断地融入人们的生活,并引起正越来越多人的关注。然而,Intenet所具有的开放性是电子商务方便快捷、广泛传播的基础，而开放性本身又会使网上交易面临种种危险。安全问题始终是电子商务的核心问题。那么我们如何来做到让网络能够提供足够方便的同时而又能确保足够的安全呢。关键字:电子商务 安全问题 防范措施电子商务源于英文electronic commerce，简写为ec。顾名思义，其内容包含两方面，一是电子方式，二是商贸活动。也就是说电子商务系指交易当事人或参与人利用现代信息技术和计算机网络（主要是因特网）所进行的各类商业活动，包括货物贸易、服务贸易和知识产权贸易。所以说现代电子商务之所以能蓬勃发展，这与高速发展的计算机网络技术是离不开的。然而,一个真正的电子商务系统并非单纯意味着一个商家和用户之间开展交易的界面，而应该是利用Web技术使Web站点与公司的后端数据库系统相连接，向客户提供有关产品的库存、发货情况以及账款状况的实时信息，从而实现在电子时空中完成现实生活中的交易活动。这种新的完整的电子商务系统可以将内部网与Internet连接，使小到本企业的商业机密、商务活动的正常运转，大至国家的政治、经济机密都将面临网上黑客与病毒的严峻考验。因此，安全性始终是电子商务的核心和关键问题。 那么电子商务的安全问题，总体来说可分为二部分：一是网络安全，二是商务安全。计算机网络安全的内容包括：计算机网络设备安全，计算机网络系统安全，数据库安全，工作人员和环境等。其特点是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕传统商务在Internet上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。即实现电子商务的保密性，完整性，可鉴别性，不可伪造性和不可依赖性。一、网络安全问题 计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面，计算机系统硬件和通信设施极易遭受自然环境的影响（如温度、湿度、电磁场等）以及自然灾害和人为（包括故意破坏和非故意破坏）的物理破坏；另一方面计算机内的软件资源和数据易受到非法的窃取、复制、修改和破坏等攻击；同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作，造成计算机网络系统内信息的损坏、丢失和安全事故。二、计算机网络安全我们如何来构建一个全方位的计算机网络安全体系结构? 一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术，防病毒技术,在攻击者和受保护的数据间建立多道严密的安全防线，最大程度地增加了攻击的难度，来确保计算机数据安全。 而我们在实施网络安全防范措施时，首先要加强计算机本身的安全，做好安全配置，及时安装安全补丁程序，减少漏洞；从路由器到用户各级建立完善的访问控制措施，安装防火墙，加强授权管理和认证；利用RAID5等数据存储技术加强数据备份和恢复措施。 对敏感的设备和数据要建立必要的物理或逻辑隔离措施；并要及时对重要数据进行备份。对在公共网络上传输的敏感信息要进行数据加密；安装防病毒软件，加强内部网的整体防病毒措施；建立详细的安全审计日志，以便检测并跟踪入侵攻击等。 网络安全技术是伴随着网络的诞生而出现的，近几年频繁出现的安全事故引起了各国计算机安全界的高度重视，计算机网络安全技术也得到很大的提高，如安全核心系统、VPN安全隧道、身份认证、网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术这些技术从不同层次加强了计算机网络的整体安全性。互联网已经日渐融入到人类社会的各个方面中，正所谓道高一尺魔高一丈，网络防护与网络攻击之间的斗争也将更加激烈。这就对网络安全技术提出了更高的要求。未来的网络安全技术将会涉及到计算机网络的各个层次中，但围绕电子商务安全的防护技术将在未来中成为重点研究对像，如身份认证，授权检查，数据安全，通信安全等技术将对电子商务安全提供安全保障。并使电子商务环境更安全。三、商务安全想成为一个成功的电子商务系统，首先要消除客户对交易过程中安全问题的担忧，才能够吸引用户通过WEB购买产品或服务。消费者担心在网络上输入的信用卡及个人资料被盗用，使信用卡等个人资料被不正当使用，给消费者带来经济方面的损失。而商家也在担心同样的问题。因为他们无法得知所接到的消费请求是否是真实客户发出的。还有可能因网络不稳定或是应用软件设计不良导致被黑客入侵所引发的损失。由于在消费者、商家甚至与金融单位之间，权责关系还未彻底理清，以及每一家电子商场或商店的支付系统所使用的安全控件都不尽相同，于是造成使用者有无所适从的感觉，担忧也随之加剧。因此，电子商务顺利开展的核心和关键问题是保证交易的安全性，这是网上交易的基础，也是电子商务技术的难点。 用户对于安全的需求主要包括以下几下方面： 1.信息的保密性。交易中的商务信息均有保密的要求。如银行卡的账号或是用户个人信息就可能被盗用；定货和付款信息被竞争对手获悉，这不仅会在经济上造成损失，也会使商家丧失商机。因此在电子商务中的信息一般都要进行加密。 2.交易者身份的确定性。网上交易不同于传统的交易，我们无法对双方的身份进行现场确认，而且交易双方很可能素昧平生，相隔千里。因此要使交易能够成功，首先要想办法确认对方的身份。对商家而言，要考虑客户端是否是骗子，而客户也会担心网上的商店是否是黑店。因此，能方便而可靠地确认对方身份是交易的前提。 3.交易的不可否认性。交易一旦达成，是不能被否认的，否则必然会损害一方的利益。因此电子交易过程中通信的各个环节都必须是不可否认的。 4.交易内容的完整性。交易的文件是不可以被修改的，否则就会给交易双方带来损失。 5.访问控制。设置不同的访问权限，让有不同的权限的用户得到的资源与服务有所区别，用户只能访问系统中授权和指定的资源，无授权系统资源将被拒绝访问。 四、电子商务安全交易标准近年来，针对电子交易安全的要求，经过多年的争论，推出不少有效的安全交易标准和技术。主要的协议标准有： 1.安全超文本传输协议（SHTTP）：依靠对密钥的加密，保障Web站点间的交易信息传输的安全性。 2.安全套接层协议（SSL）：由Netscape公司提出的安全交易协议，提供加密、认证服务和报文的完整性。SSL被用于Netscape Communicator 和Microsoft IE浏览器，以完成需要的安全交易操作。 3.安全交易技术协议（STT，Secure Transaction Technology）：由Microsoft公司提出，STT将认证和解密在浏览器中分离开，用以提高安全控制能力。Microsoft在 Internet Explorer中采用这一技术。 4.安全电子交易协议（SET，Secure Electronic Transaction）:1996年6月，由IBM、MasterCard International 、 Visa International、 Microsoft、Netscape、GTE、 VeriSign、SAIC、Terisa就共同制定的标准SET发布公告，并于1997年5月底发布了SET Specification Version1.0，它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数字签名等。五、商务安全的CA认证怎样解决电子商务安全问题呢？国际通行的做法是采用CA安全认证体系。CA（Certificate Authority）是证书授权机构。在电子商务系统中，所有实体的证书都是由证书授权中心即CA中心分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA机构应包括两大部门：一是审核授权部门，它负责对证书申请者进行资格审查，决定是否同意给该申请者发放证书，并承担因审核错误引起的一切后果，因此它应由能够承担这些责任的机构担任；另一个是证书操作部门，负责为已授权的申请者制作、发放和管理证书，并承担因操作运营所产生的一切后果，包括失密和为没有获得授权者发放证书等，它可以由审核授权部门自己担任，也可委托给第三方担任。 CA体系主要解决几大问题：1.解决网络身份证的认证以保证交易各方身份是真实的；2.解决数据传输的安全性以保证在网络中流动的数据没有受到破坏或篡改；3.解决交易的不可抵赖性以保证对方在网上说的话是真实的。 但我们需要注意的是，CA认证中心并不是安全机构，而是一个发放认证的机构，相当于身份的”公证处”。因此，企业开展电子商务不仅要依托于CA认证机构，还需要一个专业机构作为外援来解决配置什么安全产品、怎样设置安全策略等问题。也就是要解决计算机系统的安全配置问题。但是说如果单纯依靠某个单项电子商务安全技术是不够的，还必须与其他安全措施综合使用才能为用户提供更为可靠的电子商务安全基石。六、相关法制方面的健全 1、加强社会信用机制建设。法律为保障网上支付必须推动社会信用制度的建立。发达国家对个人的信用有着很高的要求，并通过一系列公开透明的制度来维护和保障信用制度体系。我国目前在对信用概念内涵的理解、信用信息公开的方式和程度、信用服务企业的市场发展程度，以及对失信者的惩戒制度方面都还十分落后，甚至存在空白。我国的信用制度还很不健全。应及时着手网上支付信用机制的建设，建立个人社会信用体系，及时收集和反馈用户信息并做出相应解决方案，促进用户建立网络信用。2、加强对网上银行和第三方支付机构等相关组织的监管。加强电子商务行业的监管，规范市场主体行为。首先要加强对网络银行的监管：网上银行不同于传统银行，应该制定新的准入条件，加强对客户开户的监管，落实责任审查客户资料等信息，明确网上银行业务终止条件、清算办法等，制定电子货币退出机制，规范电子货币市场；其次要加强对第三方支付机构的监管，要让第三方支付机构受银监会监督，第三方无权动用客户资金，必须确保资金安全和支付的效率。七、管理方面加强 而在管理方面，由于网上支付涉及到许多部门和机构，通常来说，电子商务的网上支付系统是融购物流程、支付工具、安全技术、认证体系、信用体系以及现在有的金融体系为一体的综合大系统。因此，统一而先进的管理和规范就显得尤为重要。例如，各家银行应该尽快制定统一的互联网支付标准以及尽快为互联网用户提供统一的接口。另外还要建立一个在系统操作过程中的完善的管理制度。支付的过程尽管是在计算机和网络上自动进行的，但总离不开人的介入。从世界范围内的经验可以知道，银行系统资金不安全或者各类诈骗活动的发生，不是技术不安全造成的，而是制度上的缺陷所出现的。因此严格的管理制度建设就非常重要。八、 结束语 我国的电子商务近年来发展很快，但是有关的安全保障还未建立起来。这已经成为影响我国电子商务发展的一个障碍。为此，我们必须加快建设有关的电子商务安全系统。这将是一个综合性的、涉及全社会的系统工程。具体而言，我们要从法律上承认电子通讯记录的效力，给电子商务以法律保障；我们要加强对计算机网络系统的安全技术的研究，给电子商务以技术保障；我们还要尽快建立电子商务认证体系，给电子商务以组织保障。而且，我们还应该加强国际合作，使电子商务真正发挥其应有的作用。惟有如此，我们才能顺应时代潮流，推动我国经济的发展；也惟有如此，我们才能在经济全球化的今天，参与到国际竞争中去，并进而赢得竞