电子商务的风险与防范设计.doc

电子商务的风险与防范引 论互联网的飞速发展和计算机的普及，使电子商务被全世界、全社会的人们所关注和青睐，它改变了原来的交易形式，也影响了传统的生产经营模式，使企业间的交易机会大大增加，并且使企业成本明显，使企业效益显著提高。然而，电子商务的安全性限制了它的发展，其推进中的最大障碍就是它的安全问题。1电子商务的概念电子商务是指利用互联网进行商务活动。对电子商务概念的把握，我们应从广义和狭义两个方面了解，广义的电子商务（Electronic Business,EB）是各行各业的各种业务的电子化、网络化，这些业务活动不光是企业内部的商务活动，而且还包括企业间的商务活动。广义的电子商务不仅仅只是把硬件和软件相结合，还是把买家、卖家、厂商和合作伙伴在内部网、外部网和公共网上利用网络技术与现有的系统结合起来进行商业贸易活动的综合系统。狭义的电子商务（Electronic Commerce,EC)，也称电子交易，主要是指人们利用电子化的手段在网上进行的以商品交换为中心的各种商务交易活动。 对电子商务概念的理解还可以从“现代信息技术”和“商务”来考虑。可以说，电子商务就是“现代信息技术”和“商务”它们两个相互重叠的部分，它们的之间的关系可以用下图表示：现代信息技术商务电子商务2电子商务所面临的安全问题 随着电子商务的快速发展，其所面临的风险也变得越来越多。因为电子商务是一种刚刚兴起的商业模式，人们对它并不熟悉，并且交易的双方又不见面，再加上一些媒体对计算机网络的负面报道等，对电子商务的安全性人们充满疑虑。确实，电子商务面临着严重的安全问题，只有了解了这些问题，我们才能更好地利用电子商务，电子商务行业才能蓬勃发展。2.1网络安全问题2.1.1黑客攻击 黑客攻击就是指黑客运用非法手段进入网络，并且非法使用网络上的资源。黑客常用入侵手段一般有下面几个：（1）口令攻击。口令攻击是网络攻击最常用的方法，也是大多数黑客开始网络攻击的第一步。黑客首先通过常规服务进入系统或监视网络通信，使用扫面工具获取目标主机的有用信息。而后，通过多次试验和推断该用户和他的亲人朋友的姓名、出生年月以及电话号码或其他的线索等，以获取进入计算机网络系统的密码，从而侵入系统，进行袭击活动。（2）服务攻击。黑客所采用的服务攻击手段一般有以下几种：使目标主机建立大量的连接。向远程主机发送大量的数据包。使用即时消息，以非常快的速度用大量的消息“轰炸”某一个特定的用户，使目标主机的缓冲区溢出，黑客趁机提升权限，获取信息或执行任意一个程序。利用网络软件和网络服务存在的安全漏洞。把病毒通过网络向有该漏洞的计算机传播，从而致使目标主机感染病毒，可能使遭受攻击的主机系统崩溃，使不法侵入者达到其目的。（3）欺骗。欺骗是指一个攻击者一般会用一个假身份在网络上与你交互，以获取他们想要的机密信息。常见的有伪装和会话劫持。2.1.2计算机病毒计算机病毒通过非法入侵计算机，将自己附着在其他程序上，等该程序开始启动时，病毒就会进入系统中，继而进行大范围扩散。计算机如果感染上病毒的话，就会使系统的运行效率下降，或者使部分文件丢失，或者造成系统死机、甚至使计算机硬件烧毁。当前，计算机活性病毒达数千种。传统的计算机病毒是依靠软盘传播，而在网络条件下，病毒大部分是通过网络或电子邮件传播的，侵入网络的计算机病毒能使网络资源遭到破坏，使网络不能正常进行工作，更有甚者可能使网络瘫痪。2.1.3拒绝服务当计算机有权对网络资源进行访问却不能获得访问时，或者当服务器很长时间不能正常的提供服务时，这时，就发生了拒绝服务。典型的如“邮件炸弹”，当该病毒攻击用户之后，在非常短的时间内，就会有大量没用的电子邮件发送到用户计算机上，这样就会致使这些受到攻击的用户的系统功能丧失，甚至使整个网络瘫痪。2.2电子商务面临的安全隐患2.2.1在网络的传输过程中信息被截获 攻击者会通过互联网、公共电话网、搭线方式等方式，获取传输的机密信息，当信息流在传输过程中没有采用任何加密措施或者是加密强度不够时，；或者攻击者通过截取信息数据，之后分析所截取的数据，推断出比较敏感的信息，例如用户的银行账号、密码、出生年月等等。2.2.2篡改传输的文件 攻击者可能从三个方面破坏信息的完整性：（1）篡改。更改信息流的顺序或改变信息的内容，例如资金的支付方式、收货人的地址等。（2）删除。删除某一个消息或消息的某些部分等。(3)插入。在消息中插入一些误导性的信息，让接收方不能读出该消息或者是直接让接受方接受错误的消息。2.2.3假冒他人身份（1）冒充主机欺骗合法主机及合法用户。（2）伪造网络控制程序，获取或更改用户的权限、口令、密钥等机密信息。（3）接管合法的用户，对系统进行攻击，占用合法用户的资源。2.2.4不承认或抵赖已经做过的交易（1）发件人事后不承认发出了一条消息或内容。（2）收件人事后不承认收到了一条消息或内容。（3）买方确认了订单却不承认。（4）商家不承认原有的交易。3触发电子商务安全问题的原因我们从上面的安全问题中可以看出，它不是个别现象，只要网络存在，就不能忽视安全问题。它不仅影响了正常的网络交易，扰乱了正常的网络秩序，而且造成各种各样的的经济损失。为了尽可能地避免安全问题带来的损失，首先我们要知道是什么原因导致了这些安全问题。总结起来大概有两个部分，即网络的先天性因素和人为、社会等的后天性因素。3.1先天原因电子商务的实现依赖于网络，如果没有网络的存在，就无法谈及电子商务。可以说，电子商务就是网络发展的一个产物，它依附于网络的存在而存在。当初的网络设计者只考虑了网络不会因为某些故障而影响传输信息等这些问题，并没有考虑到电子商务会存在风险等一系列的安全问题，这样由于网络的开放性、全球性和共享性就致使了电子商务在进行交易的过程中信息传输的安全性存在先天不足，使信息在传递时会有很大风险，黑客就可以利用网络传播各种病毒等，使网上交易面临着各种危险。3.2后天原因在现代化的企业建设中强调三分技术七分管理，同样适用于电子商务的安全问题。但是，目前从事电子商务的企业大部分都缺乏管理，因此也给电子商务带来了影响。其次，是黑客的恶意攻击，因为目前对网络犯罪的反击和跟踪手段还很缺乏，所以黑客对网站的恶意攻击也是威胁电子商务安全的一个重要因素。最后，许多已经开发出来的软件有许多漏洞，这就给攻击者了一个机会，通过这些软件漏洞，攻击者就可以编写病毒代码传播到目标主机上。除了以上所提的原因，还有法律和信用这两方面的因素。法律方面，网上交易虽然是超前的、先进的、很有前途的，但必须清楚地认识到，目前关于电子商务的法律条文还很少，因此在法律方面电子商务还存在风险。信用方面，在传统交易时，交易双方可以直接面对面进行，信用风险比较容易控制。由于是网上贸易，物流与资金流在空间和时间上都是分开的，如果没有信用担保，网上交易是非常困难的。再加上网上交易，交易双方很难进行面对面交流，信用的风险就难以控制。这些问题都严重的影响了电子商务的发展，并且目前网络上病毒越来越厉害，而且传播的速度非常快，所以为了使电子商务快速的发展，我们就必须要要采取相应的防范措施。4电子商务安全的防范措施4.1技术措施4.1.1防火墙技术防火墙是网络安全策略的一部分，它可以有效管理内部网络和外部网络之间的信息交换和访问，它就像是设置在网络之间的权限，它能允许主机用户同意的人和信息进入，同时拒绝不同意的人和信息，可以尽可能的阻止不法侵入者的入侵。它还可以尽最大限度的对外部屏蔽网络内部的信息，从而来实现对网络的安全保护。其基本原理如下图所示：内部网络防火墙路由器Internet4.1.2数据加密技术数据加密技术是实现信息保密性的一种最基本的安全技术。简单一点地说，所谓加密就是把明文伪装成密文以隐藏它真正的内容，即将明文X伪装成密文Y，使除合法接受者以外的人不能看到它。其加密过程如下图所示：密钥加密加密后的信息（密文）源信息（明文）互联网解密后的信息（明文）加密后的信息（密文）密钥解密4.1.3认证技术（1）数字签名所谓的数字签名，就是一段别人无法伪造的数字串，这段数字串是只有发送的一方才能产生的，同时它也是所发送信息的真实性的有效证明。数字签名技术广泛用于识别发送方不可否认服务，接受方不可否认服务也是结合数字签名技术来实现的。（2）数字信封数字信封是用密码技术的手段保证规定的收信人才能阅读信的内容。在数字信封中，信息发送方采用对称密钥对原文进行加密，然后再将这个对称密钥用接收方的公开密钥进行加密，然后把它和信息一起发送给接收方，接收方收到后，先用对应的私有密钥打开数字信封，然后得到对称密钥，最后使用对称密钥打开信息。（3）数字时间戳 时间，对于电子交易文件来说，是一个非常重要的信息。数字时间戳技术就是对电子交易文件签署的日期及时间进行安全性保护和有效证明的技术。采用数字时间戳技术加密的书面文件上的时间不是由签署人自己写上的，而是由专门的认证机构来加入的，并以认证机构收到文件的时间为依据。（4）数字证书 数字证书是用电子手段来证实一个用户的身份和对网络资源访问的权限。在网上的电子交易中，如果双方出示了他们的数字证书，并用它来进行交易操作，那么双方都可不必为对方身份的真实性而担心。4.1.4安全电子交易协议SET协议是专门为电子商务系统而研发的。SET不仅对客户信用卡进行认证，又对商家身份的进行认证，这对于要支付货币的交易来讲是非常重要的。4.2管理措施安全管理措施通常是以制度的形式表现出来，这些制度包括保密制度，人员管理制度，系统维护制度，信息告知制度，法律制度等。（1）保密制度 不论对于哪个致力于电子商务行业的企业，他们都会有大量的机密信息，例如公司资金的流动状况，企业的进度计划，公司客户的信息等等，这些信息对一个企业来说是至关重要的。对于这些机密信息的访问权限问题，企业都必须做出明确的界定并形成条文规定下来。（2）人员管理制度 人是电子商务交易中最主要的参与者，因此为了保证交易的安全进行，就对从事网络管理的人员提出了较高的职业道德要求。这些人必须要经过非常严格的选拔，应具备较高的素质，有过硬的相关技术，并能认真负责的完成工作。在工作过程中应不断地要求工作人员学习先进的理论技术，并对他们加强电子商务安全的培训，提高他们的网络安全意识。（3）系统维护制度系统维护主要是硬件和软件的日常管理与维护。网络管理员应定期对设备和线路进行管理，并及时对重要数据进行备份，另外还要对应用软件进行及时、严格控制。（4） 信息告知制度 在交易过程中，为了防止不法侵入者对信息的破坏，交易双方可以事先将交易的一些重要信息告知对方，增加电子商务交易双方的知情权，这样可以有效降低电子商务交易中的风险。（5）法律制度由于电子商务是一个新生事物，很多法律法规还不够完善，甚至还有许多电子商务方面是空白的，这在实践中引起了很多的问题。虽然电子商务近几年来发展很迅速，但相比而言其仍属于新生事物，目前规范电子商务的相关的法律法规还是极为有限的。我们应该吸收外国的先进经验，尽快出台一系列关于电子商务的法律法规，为我国电子商务的健康快速发展提供有力保障。还有就是我们可以利用刑法打击网络犯罪，加大法制的宣传力度，提高人们的网络安全意识，还有就是立法机构应努力制定出符合电子商务的客观要求的法律法规。5结束语电子商务的核心问题就是其安全问题。虽然随着信息技术的不断进步以及电子交易方式的多样性，电子商务存在的安全问题越来越多，并且愈来愈严重，但电子商务前进的脚步并不会因为这些问题的存在而停止不前。为了保证电子商务系统的安全可靠,需满足以下两点：第一，必须保证有一个