90浅谈电子商务安全隐患的防范措施研究-叶智慧

- 11 -东北财经大学网络教育本科毕业论文浅谈电子商务安全隐患的防范措施研究作 者叶智慧学籍批次0509学习中心河南洛阳奥鹏层 次专升本专 业电子商务指导教师王征内 容 摘 要（选题动机）随着社会信息化步伐的不断加快，电子商务活动日益广泛，网络交易所存在的安全隐患不断增多，严重制约了电子商务的更快发展，如何解决和防范电子商务安全问题，已经成为了网络商务活动的重中之重。为了利用所学专业知识，积极探讨电子商务的安全发展，为网络商务活动的安全防范工作提供有益的帮助，从而决定选择了电子商务安全方向题目。（中心思想）根据当前电子商务发展现状以及存在的较多安全隐患问题，坚持从安全隐患特征入手进行认真分析，对照电子商务实际需求，结合当前安全防范措施，从而按技术防范和管理防范两个方面入手，提出了以加强安全防范工作，以便有效应对电子商务安全隐患问题，为电子商务的健康发展提供了有益的理论探讨。（段落大意）第一部分：电子商务发展现状及存在的安全隐患问题；第二部分：安全隐患的中断、窃听、窜改、伪造等主要特征；第三部分：电子商务活动对安全的主要需求；第四部分：推进电子商务健康发展，应从技术和管理两个方面加强理性应对和安全防范。（个人新观点） 推进电子商务健康发展，就需要重视和解决发展所带来的安全隐患问题，要实事求是地查找原因，辨证地分析根源和特征，从而制定有效的防范措施，确保电子商务活动健康有序发展。 关键词：（关键词文字） 安全隐患 安全需求 安全防范目 录一、当前电子商务所面临的安全隐患2（一）销售者2（二）消费者3二、电子商务的安全需求3三、电子商务安全隐患主要特征4四、电子商务的安全防范措施4五、结语10电子商务安全方向电子商务安全隐患的防范措施研究随着社会信息化步伐的加快，利用计算机技术、网络通信技术和英特网实现商务活动的国际化、信息化和无纸化，成本低、及时性和互通性好，以及在 拓展市场等方面的优势，使得电子商务受到全球的广泛关注。电子商务不仅提供了进行商务活动的新方式，而且从更深的层面来看，由于通过它形成了与地域、空间无关的一体化市场，因而正在改变着全球的经济环境。 但是，当今电子商务在全球贸易额中仍是极小的一部分，从网络化水平相当高的美国来看，事实上仍有大多数网络化水平很高的公司并未使用电子商务这种新的商业方式。人们不禁要问，是什么因素阻碍了电子商务更广泛的普及呢?为此，不少调查机构进行了广泛的调查。美国密执安大学一个调查机构通过对23000名因特网用户的调查显示，超过60%的人由于担心电子商务的安全问题而不愿进行网上购物。的确，由于英特网的全球性、开放性、无缝连通性、共享性、动态性发展，使得任何人都可以自由地接入英特网，特别是“黑客”们可能会采用各种攻击手段进行破坏等犯罪活动。此外，网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。可见，以英特网为基础的电子商务所带来的安全问题远比传统商务的安全问题复杂得多。一、电子商务的安全隐患从安全和信任关系来看，在电子商务过程中，买卖双方是通过网络来联系的，电子商务交易双方(销售者和消费者)都面临不同的安全威胁，其主要威胁主要存在以下几个方面：（一）销售者（1）中央系统安全性被破坏：入侵者假冒成合法用户来改变用户数据(如商品送达地方)、解除用户订单或生成虚假订单。 （2）竞争者检索商品递送状况：恶意竞争者以他人的名义来订购商品，从而了解有关商品的递送状况及货物和库存情况。 （3）客户资料被竞争者获悉。 （4）被他人假冒而损害公司的信誉：不诚实的人建立与销售者服务器名字相同的另一个WWW服务器来假冒销售者。（5）消费者提交订单后不付款。（6）虚假订单。（7）获取他人的机密数据：比如，某人想要了解另一人在销售商处的信誉时，他以另一人的 名字向销售商订购昂贵的商品，然后观察销售商的行动。假如销售商认可该定单，则说明被 观察的信誉高，否则，则说明被观察者的信誉不高。（二）消费者（1）虚假订单：一个假冒者可能会以客户的名字来订购商品，而且有可能收到商品，而此时 客户却被要求付款或返还商品。 （2）付款后不能收到商品：在要求客户付款后，销售商中的内部人员不将定单和钱转发给执 行部门，因而使客户不能收到商品。 （3）机密性丧失：客户可能将秘密的个人数据或自己的身份数据(如PIN、口令等)发送给冒充 销售商的机构，这些信息也可能会在传递过程中被窃听。 （4）拒绝服务：攻击者可能向销售商的服务器发送大量的虚假定单来穷竭它的资源，从而使 合法用户不能得到正常的服务。二、电子商务的安全需求 为此，确保电子商务系统的安全性，实现电子商务的真实性、机密性、完整性、可用性、不可否认、可控性，就需要满足以下几方面要求：1、对信息、实体的真实性进行鉴别；2、保证信息不被泄露给非授权的人或实体；3、保证数据的一致性，防止数据被非授权建立、修改和破坏；4、保证合法用户对信息和资源的使用不会被不正当的拒绝；5、建立有效的责任机制，防止实体否认其行为；6、能控制使用资源的人或实体的使用方式。三、电子商务安全隐患主要特征当前，电子商务安全问题主要来自“黑客”的安全攻击，“黑客”们攻击电子商务系统的手段可以大致有以下几种：（一）是中断(攻击系统的可用性)：破坏系统中的硬件、硬盘、线路、文件系统等，使系统不能 正常工作。（二）是窃听(攻击系统的机密性)：通过搭线和电磁泄漏等手段造成泄密，或对业务流量进行分 析，获取有用情报。（三）是窜改(攻击系统的完整性)：窜改系统中数据内容，修正消息次序、时间(延时和重放)。（四）是伪造(攻击系统的真实性)：将伪造的假消息注入系统、假冒合法人接入系统、重放截获的合法消息实现非法目的，否认消息的接收或发送等。四、电子商务的安全防范措施由于电子商务涉及到金融、企业商家等各个方面的利益，为保证电子商务的安全性，在制定电子商务安全防范措施时，就必需切合电子商务系统安全需求，具体应从以下几个方面着手：（一）技术措施为确保电子商务系统的安全性，首先应从技术上作好安全防范工作，从技术上加强安全防范，主要应从以下措施： 1.信息加密技术利用信息加密技术，把要传递的信息在传递时按照一定的规则将其转变为错乱的内容即加密，在对方接收时，再通过解密程序将乱码清除，即可得到原来的完整的信息，这一过程就是解密。这样，第三方即使截取了信息，也无法获悉其中的内容。在电子商务中，为了实现电子信息的保密性，就必须实现该信息对除特定收信人以外的任何人都是不可读取的。加密的目的就是要提高系统及数据的安全性、保密性和完整性，防止秘密数据被外部破解。2.数字签名技术利用数字签名技术，通过密码算法对数据进行加、解密交换，把Hash函数和公钥算法结合起来，可以在提供数据完整性的同时保证数据的真实性。完整性保证传输的数据没有被修改，而真实性则保证是由确定的合法者产生的Hash，而不是由其他人假冒。把这两种机制结合起来就可以产生数字签名。数字签名采用了双重加密的方法来实现防伪造、防抵赖。3.防火墙技术利用防火墙技术，在内部网与外部网之间的界面上构造一个保护层并强制所有的连接都必须经过此保护层，在此进行检查和连接。只有被授权的通信才能通过此保护层，从而保护内部网资源免遭非法入侵。这样，加强了网络之间的访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络即被保护网络，有效防止黑客利用不安全的服务对传输数据和信息进行攻击，阻止未授权的用户对信息资源的非法访问，甚至是对网络实施检查，决定网络之间的通信权限，监视网络的进行状态。在选择防火墙的使用时，也要考虑诸多原则，包括网络结构、业务应用系统需求、用户及通信流量规模方面的需求以及可靠性、可用性和易用性等方面的需求。4.数字证书利用数字证书技术，用来惟一确认安全电子商务交易双方身份的工具。由于它由证书管理中心做了数字签名，因此任何第三方都无法修改证书的内容。任何信用卡持有人只有申请到相应的数字证书，才能参加安全电子商务的网上交易。对于电子商务来说，如果没有签名和认证技术的支持，则不可能进行真正意义上的电子商务，电子交易单证必须防假冒、可验证、防抵赖。5.病毒防范技术从事网上交易的企业和个人都应当注重病毒防范技术，排除病毒的干扰。因此，防范计算机病毒，避免计算机系统遭受病毒的侵袭，及时清除计算机病毒将病毒危害降低到最低程度是反病毒技术刻不容缓的任务。一般我们要给自己的计算机安装防病毒软件，认真执行病毒定期清理制度，并设置控制权限，通过建立系统保护机制，来预防、检测和消除病毒，谨慎打开陌生地址的电子邮件，还要高度警惕网络陷阱。6.安全电子交易协议SET协议是专为电子商务系统设计的。SET主要使用电子认证技术，其认证过程使用RSA和DES算法，因此，可以为电子商务提供很强的安全保护。它位于应用层，其认证体系十分完善，能实现多方认证。在SET的实现中，消费者帐户信息对商家来说是保密的。SET协议使用保证商家并不知道客户的银行支付帐号有关的信息，同时银行也不知道具体的订购内容。 SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证，这对于需要支付货币的交易来讲是至关重要的。SET将建立一种能在Internet上安全使用银行卡购物的标准。安全电子交易规范是一种为基于信用卡而进行的电子交易提供安全措施的规则，在电子商务交易过程中，SET 协议采用了数字信封和数字签名技术来保证各参与方信息的相互隔离，使商家只能看到持卡人的订购数据，而银行只能取得持卡人的信用卡信息，保证了传递信息的机密性，数据的完整性和不可抵赖性。所以它是一种能广泛应用于Internet上的安全电子付款协议，它能够将普遍应用的信用卡的使用场所从目前的商店扩展到消费者家里，扩展到消费者个人计算机中。SET以推广利用信用卡支付网上交易而广受各界瞩目，它将成为网上交易安全通信协议的标准，有望进一步推动Internet电子商务市场。（二）管理措施在加强技术防范的同时，必须进一步完善安全管理措施特别时包括人员管理制度，保密制度，系统维护制度，法律制度以及应急措施等。1.人员管理制度人是电子商务活动中的主要参与者，对于像网络管理员这样的人员，需要具备相当的职业道德和丰富的专业知识。必须经过严格选拔，认真落实工作责任，并彻底贯彻电子商务安全运作基本原则。我国需要大批信息安全人才来适应新的网络安全保护形势。高素质的人才只有在高水平的研究教育环境中迅速成长，才能在高素质的队伍保障中不断提高。应该加大对有良好基础的科研教育基地的支持和投入，多出人才。在人才培养中，要注重加强与国外的经验技术交流，及时掌握国际上最先进的安全防范措施，确保在较高层次上处于主动地位，要加强对内部人员的网络安全培训，防止堡垒从内部攻破。2.保密制度从事电子商务工作的企业，内部会涉及很多保密信息，如客户隐私、公司财务状况、生产、密钥等，哪些是公司普通员工可以访问的，哪些是可以让客户随意访问的，哪些又是高级员工才能访问的，这些都应该通过保密制度明确规定下来。保密制度需要很好地划分信息的安全级别，确定安全防范重点，并提出相应的保密措施。3.系统维护制度系统维护制度主要包括硬件和软件的日常管理与维护：（1）我们通常所说的系统硬件是指通信中的服务器和客户机、通信通道以及通信通道上的网络设备。目前我们只能通过手工操作来检查通信双方的状态。对于网络设备的维护我们一般采取在网络设备上安装相应的网管软件，通过这些软件实现自动管理和维护。（2）而我们所说的软件是指能实现一定功能的计算机指令的集合，按照其所起的作用的不同可分为操作系统和应用软件两类。对于操作系统，我们一般通过定期清理日志文件和临时文件、定期整理文件系统、检测服务器上的活动状态和用户注册数、处理运行中的死机情况等来进行维护。而对于应用软件的管理和维护工作主要是进行版本控制。4.法律制度电子商务是一个新生事物，很多方面都不同于传统商务，与传统的法律规范体系也存在着诸多的不相容之处，而且，传统的法律规范体系中还有许多电子商务方面的空白。这一情况已经在实践中引起了不少的问题。我国的电子商务是近年才发展起来的，目前规范电子商务的相关的法律法规极为有限。在法律的层次上，只有1997年中华人民共和国刑法和1999年中华人民共和国合同法对相关问题作了简单规定。我国应大力加强电子商务法制化建设，制订专门的电子商务法，对电子商务当事人的权利义务、电子合同法律关系、电子签名、电子认证、网上知识产权的保护、电子支付等问题进行专门规定，使之适应电子商务发展的需要。在刑法中，对电子商务领域的犯罪进行规定。从而在法律上，为电子商务提供一个良好的发展环境。5.应急措施应急措施是指在计算机灾难事件发生时，利用应急计划、辅助软件和应急设施，排除故障和灾难，保障电子商务系统继续运行或紧急恢复所需要的策略。在启动电子商务业务之初，就必须制定交易安全计划和应急的方案，以防范于未然。一旦发生意外，有备无患，可最大限度地减少经济损失，尽快恢复系统的正常运行，保证交易的正常进行。大量的事实证明，电子商务作为一种全新的业务，在为全球用户提供了丰富的商务信息、简捷的交易过程和低廉的交易成本的同时，也使人们在网上交易面临种种的危险。要保证电子商务的正常运作，就必须高度重视电子商务的安全问题，就必须关注电子商务的安全防范措施和技术。因为电子商务的安全问题不仅关系到个人的资金安全、商家的货物安全，还涉及到国家的经济安全、国家经济秩序的稳定问题。安全问题将是电子商务成功与否的关键所在，也是致命所在。安全性也已成为电子商务发展的至关重要的问题。五、结语安全是电子商务的核心和灵魂，没有安全保障的电子商务应用只是虚伪的炒作或欺骗，任何独立的个人或团体都不会愿意让自己的敏感信息在不安全的电子商务流程中传输。电子商务的安全问题是电子商务的核心问题，随着电子商务的发展，电子交易手段更加多样化，安全问题会变得更