电子商务论文.doc

湖南农业大学课程论文学 院： 东方科技学院 班 级：计算机二班姓 名： 张帅 学 号：201241903214课程论文题目：电子商务系统安全分析的原则分析课程名称：电子商务网站建设与完整实例评阅成绩：评阅意见：成绩评定教师签名：日期： 年 月 日电子商务系统安全分析的原则分析摘要:随着电子商务的普及，基于互联网的电子商务也应运而生，并在近年来获得了巨大的发展，成为一种全新的商务模式，被许多经济专家认为是新的经济增长点。作为一种全新的商务模式，它有很大的发展前途，同时，这种电子商务模式对管理水平、信息传递技术都提出了更高的要求，其中安全体系的构建又显得尤为重要。如何建立一个安全、便捷的电子商务应用环境，对信息提供足够的保护，是商家和用户都十分关注的话题。安全问题已经成为电子商务的核心问题。关键词:电子商务安全问题完善措施法律法规引言 随着开放的互联网络系统Internet的飞速发展，电子商务的应用和推广极大了改变了人们工作和生活方式，带来了无限的商机。然而，电子商务发展所依托的平台互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展；此外，电子商务的发展还面临着严峻的内部风险，电子商务企业内部对安全问题的盲目和安全意识的淡薄，高层领导对电子商务的运作和安全管理重视程度不足，使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此，在考察电子商务运行环境、提供电子商务安全解决方案的同时，有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析，并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。1电子商务面临的安全问题 由于网络的复杂性和脆弱性，以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说，电子商务普遍存在着以下几个安全风险：1.1信息的截获和窃取 这是指电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获取商业机密。1.2信息的篡改 网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入，并发往目的地，从而达到破坏信息完整性的目的。1.3拒绝服务 拒绝服务是指在一定时间内，网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的认为破坏。1.4系统资源失窃问题 在网络系统环境中，系统资源失窃是常见的安全威胁。1.5信息的假冒 信息的假冒是指当攻击者掌握了网络信息数据规律或解密了商务信息后，可以假冒合法用户或假冒信息来欺骗其它用户。主要表现形式有假冒客户进行非法交易，伪造电子邮件等。1.6交易的抵赖 交易抵赖包括发信者事后否认曾经发送过某条信息；买家做了定单后不承认；卖家卖出的商品因价格差而不承认原先的交易等。1.7身份识别 如果不进行身份识别，第三方就有可能假冒交易一方的身份，以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等，进行身份识别后，交易双方就可防止相互猜疑的情况。1.8电脑病毒问题 电脑病毒问世十几年来，各种新型病毒及其变种迅速增加，互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径，还有众多病毒借助干网络传播得更快，动辄造成数百亿美元的经济损失。1.9黑客问题 随着各种应用工具的传播，黑客己经大众化了,不像过去那样非电脑高手不能成为黑客。曾经大闹雅虎网站的黑手党男孩就没有受过什么专门训练，只是向网友下载了几个攻击软件并学会了如何使用，就在互联网上大干了一场。2. 电子商务采用的主要安全技术2.1防火墙 防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供一个相对更安全的平台。防火墙是在连接Internet和Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。2.2通讯的安全 在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。验证个人证书是为了验证来访者的合法身份,而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。2.3应用程序的安全性 即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。 这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现像这些问题一样的错误2.4用户的认证管理2.4.1身份认证 电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。2.4.2CA证书 要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书。2.4.3安全套接层SSL协议 安全套接层SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(CA,CertificateAuthority)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。 SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如Ht2tp、Ftp、Telnet等)以保证应用层数据传输的安全性。SSL协议握手流程由两个阶段组成:服务器认证和用户认证。3. 电子商务安全需要进一步完善的配套措施 电子商务要真正成为一种主导的商务模式,尤其对发展中的中国来说,发展电子商务,就必须从以下几个方面来完善配套措施: 3.1突破关键技术受制于人的瓶颈。 3.2我国应尽快对电子商务的有关细则进行立法。 3.3大力开发大型商务网站,发展与之相配套的物流公司。 3.4为了确保系统的安全性,除了采用技术手段外,还必须建立严格的内部安全机制。 3.5建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。 3.6对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。 安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。4企业防范电子商务风险的对策4.1加强技术开发，防范信息技术风险 随着互联网应用的日益普及，电子商务将成为未来主流的运作模式，网络也必将成为企业主要数据传输和信息交换的平台，数据隐私和完整性也开始受到威胁。一旦受到攻击，轻则业务瘫痪，重则数据丢失，损失难以估计。因此，网络安全和信息安全是保障网上交易正常进行的关键。网络环境下的电子商务的安全决非某一个或一类安全产品所能完全奏效，而是必须要有一个系统的、完全的解决方案。对此，我们可以从防火墙技术、信息加密技术、身份认证技术等技术方面来加强电子商务系统的安全性，防范电子商务信息技术风险。3.1.1防火墙技术提高企业数据安全 防火墙技术决定了哪些内部服务可以被外界访问，哪些外部服务可以被内部人员访问，从而保护内部网资源免遭非法入侵，也能防止来自外部互联网的破坏。防火墙的目的是提供安全保护、控制和鉴别出入站点的各种访问。它建立起网络通信的控制过滤机制，从而有效保证交易的安全。为了将私有网络从公共网络中分离出来并保护起来，主要可以采用如下两种形式的防火墙:网络层防火墙；应用层防火墙。防火墙通常采用路由器作为通信保安设备。在这个设计中，受保护的是与路由器连接的本地网，所有的通信只允许从本地网流向远程用户或远程网，不允许外地用户注册到本地网。所以企业在互联网和内部网之间加一道防火墙来保护内部网中的商业信息数据。这样，即使某个“黑客”能突破防护进入到文件服务器，他也无法进入到受保护的本地网中，这就起到了很好的安全作用。 现有的防火墙主要有：包过滤型、代理服务器型、复合型以及其他类型。随着计算机网络技术的突飞猛进，网络安全的问题已经日益突出地摆在企业的面前。调查显示，目前在互联网上大约有将近20%以上的用户曾经遭受过黑客的困扰。尽管黑客如此猖獗，但网络安全问题至今仍没有能够引起足够的重视，更多的用户认为网络安全问题离自己尚远，这一点从大约有40%以上的用户特别是企业级用户没有安装防火墙(Firewall)便可以窥见一斑，而所有的问题都在向大家证明一个事实，大多数的黑客入侵事件都是由于未能正确安装防火墙而引发的。Internet的发展给企业带来了革命性的改革和开放，企业正努力通过利用它来提高市场反应速度和办事效率，以便更具竞争力。企业通过Internet，可以从异地取回重要数据，同时又要面对Internet开放带来的数据安全的新挑战和新危险：即客户、销售商、移动用户、异地员工和内部员工的安全访问；以及保护企业的机密信息不受黑客和工业间谍的入侵。4.1.2信息加密技术保障企业信息传输安全 所谓数据加密，就是对信息进行重新编码，从而达到隐藏信息内容、使非法用户无法获取信息真实内容的一种技术手段，它是企业电子商务中采取的主要安全措施根据密钥的特点，加密算法可分为对称密钥加密和非对称密钥加密两种对称加密法的加密及解密速度快，但密钥的分配和管理困难；非对称加密其密钥的分配和管理容易，但算法较复杂，加密及解密速度慢在实际应用中应将两种加密技术结合起来以实现最佳安全性能。 企业加密技术分析： 加密含有用来以数学方式转化报文的双重密码就是密钥。在这种情况下即使一则信息就是通过密码算数对数据进行转化，使之成为没有正确密钥任何人都无法读懂的报文。因此加密技术成为企业保护信息安全的主要方法。企业通过加密技术来来提高商业机密的安全性，同时在互联网上更能发挥电子商务的优势。4.1.3认证技术保证企业网上交易安全 随着Internet的发展,信息技术被引入到商贸活动中,产生了电子商务。企业或个人利用网络环境进行和开展商务活动,通过网络进行交易信息传递、完成商品交易活动并以此达到企业经营目标或个人消费行为的实现过程,称为电子商务交易过程。 电子商务交易过程是电子商务活动的重要组成环节,是企业或个人利用网络环境完成传统交易中商品的所有权和价值的转移过程,整个过程又包括谈判、订货、签约、支付、合同履行过程等,同传统的贸易方式一样,会经历以下四个阶段,即交易前的准备阶段、商务洽谈及签约阶段、交易办理及合同履行与索赔阶段。由于网络环境的开放性、信息传递的快捷性,电子支付手段的应用,大大丰富和提高了商品交易的营销宣传,扩大了贸易范围、增加了贸易伙伴参与、沟通和交易机会,使企业的经营范围扩大,商务效率和效益提高。但电子商务带来效益的同时,也伴随着全新的商业风险,即存在交易,总会有风险存在。 认证技术是保证网上交易安全的一项重要技术，主要包括身份认证和信息认证。前者用于确认信息发送者身份，后者用于验证信息的完整性，即确认信息在传递或存储过程中没有被篡改过，进而保证通信双方的不可抵赖性和信息的完整性。在某些情况下，信息认证显得比信息保密更为重要。例如，买卖双方发生交易时，可能交易的具体内容并不需要保密，但是交易双方应当能够确认是对方发送或接受了这些信息，同时接受方还能确认接受的信息在通信过程中没有被修改过或替换。因此，在这种情况下，信息认证将处于首要的地位。4.2建立健全信用体制，防范信用风险 我国电子商务环境下的信用管理体系的建设，可以从整个社会的宏观管理和企业自身的微观管理两个方面入手。就整个社会的宏观管理而言，可以通过建立健全整个社会的信用体系，发挥政府建立、监督信用的权威性，加强行业自律，完善电子商务法律法规等方面来加强管理；就企业自身的微观管理而言，可以通过改善企业内部机构管理，加强企业诚信价值观培养等方面，进一步加强我国电子商务环境下的信用管理。 （1）整个社会的宏观管理 首先，要建立健全社会信用体系。建立健全社会信用体系是解决电子商务信用问题的重要前提条件之一。社会信用是一个由政府信用、企业信用、中介信用和个人信用组成的综合体系，电子商务信用是整个信用环境的一个表现，因此，解决电子商务的信用问题，必须加速我国社会信用体系的建设，加大对不守信企业的处罚力度。特别是在经济进入全球化过程中，信用已成为进入国际市场的通行证。电子商务的信用是构建在整个市场经济的基础之上的。因此，规范市场经济大环境，将会从根本上促进电子商务信用的改善。其次，要充分发挥政府在电子商务信用监管中的作用。政府有关部门可根据客观、中立、公正的原则，整合国税、地税、统计、工商、质监、金融等系统中涉及企业信用的信息资源，建立在线信用信息数据库，可通过提供信用查询、公示企业守信或诚信信息、受理信用的投诉、受理信用的异议等服务，来管理电子商务信用环境11。此外，政府也可以设立一些具体机构对电子商务的信用进行监督，建立和完善政府对电子商务的评级制度，加强电子商务信用体系建设。再次，应该加强行业自律。企业所在的行业自身应当加强信用的行业自律，反对采用一切不正当的手段进行行业内竞争，自觉维护用户的合法权益，严守用户信息秘密，不利用用户提供的信息从事任何与向用户做出的承诺无关的活动，不利用技术或其他掌握的优势侵犯消费者或用户的合法权益等，建议各行业应逐步制定出行业电子商务的行为规范准则。 最后，应完善电子商务法律法规。我国市场法制建设还不健全，尤其是电子商务法律法规很不完善，缺乏明确的法律法规对电子商务进行规范，加大了电子商务活动的风险。因此，我国要推动电子商务的快速发展，解决电子商务信用问题，最迫切的是要尽快健全电子商务的相关法律法规，明确参与电子商务各方的法律责任，遏制交易商和服务商的不良行为和不法行为，为电子商务信用设立底线。 （2）企业自身的微观管理 一方面，企业要加强企业内部管理。企业要防范电子商务环境下的信用风险，必须强化内部管理，具体来说要做到以下几方面：建立电子交易信用风险管理部门，负责客户资料的搜集和档案管理；制定严密的贸易合约；建立合理的物流配送网络和分销中心；建立对合同期内的应收账款管理；定期检测交易系统的安全；维护并定期更新信息，建立快速回应系统。另一方面，企业还应建立企业信用文化。在企业内部推行全面综合的信用管理理念，建立企业信用管理文化，这是解决企业信用风险的最有效办法。企业文化是在企业内部形成的一种价值观和行为规范的模式，企业文化的创立与传递，主要是通过员工们分享对企业中发生事件的理解而进行的，把个人的目标同化于组织目标，把建立共同的价值观当成管理上的重要任务，对员工的理想追求进行引导。共有价值观一旦形成，就会对组织成员的行为产生诱导和集体精神的感染。当员工共享他们对信用管理的信念时，实际上就变成了这个企业的特性，从而在潜移默化中建设了企业信用文化。4.3建立完善的安全管理制度，防范管理风险 各企业可以结合自己网络系统的安全需要，与实际工作环境、工作业务流程和自己的安全技术特点密切联系，制订相应的安全管理制度。一般来说，企业为防范电子商务风险而制定的安全管理制度。 （1）系统日常维护制度 对于企业的电子商务系统来说，网络系统的日常维护主要针对企业内部网进行日常管理与维护，这是企业网管的一项繁重的任务。企业的网络管理员首先要对物理设备进行维护。物理设备的安全是其他安全性措施的基础，如果物理设备遭到严重破坏，那么其他安全措施、手段将无从谈起。系统管理员除了必须做好机房防火、防盗、防水、防雷等各项安全防范工作，确保网络系统物理设备的安全外，还必须做好经常性的操作系统、数据库系统的备份工作，有条件的必须将备份数据存放于不同地点的多个介质上，以防物理设备遭到严重破坏时，能够在新设备上恢复操作系统及数据12。此外，必须建立意外事故处理流程及应急措施实施方案，常备系统故障时的替代措施及恢复系统所必须的软件、文件，编制企业计算机网络系统的运行记录，及时掌握全网运行状态。 （2）信息保密制度 网上交易时涉及企业的市场、生产、财务、供应等多方面的机密，必须实行严格的保密制度。首先，保密制度需要很好地划分信息的安全级别，确定安全防范重点，并提出相应的保障措施。其次，保密工作的另一个重要的问题是对密钥的管理。大量的交易必然使用大量的密钥，控钥管理贯穿于密钥的产生、传递和销毁的全过程。再次，口令安全管理