电子商务系统建设过程中的信息安全问题

1、摘要当今信息化社会中，电子商务在现实生活中的地位越来越重大，随之而来的各方面的问题就随之出现。更严重的是关于电子商务的安全性问题。现在病毒越来越先进，在电子商务进行中，我们要更加注意信息安全的问题。电子商务作为一种全新的商务模式,它有很大的发展前途, 且随之而来的安全问题也越来越突出, 如何建立一个安全、 便捷的电于商务应用环境, 对信息提供足够的保护, 是商家和用户都十分关注的话题。安全问题己成为电子商务的核心问题。分析了电子商务中存在的安全问题, 并阐述目前解决电子商务安全隐患的主要安全技术及相关策略。本文先介绍了电子商务的基本概念及其安全方面的一些知识。继而概述了电子商务出现后，企业信息

2、系统的变化与发展，针对电子商务出现后企业信息系统的安全问题和现行的方法。关键词： 电子商务 信息安全 安全问题 AbstractToday's computerized society, electronic commerce in reality the status of the more important, along with the various problems resulted. more seriously about e-commerce security issues. the viruses more sophisticated, on electronic

3、commerce conducted, we should pay more attention to information security.Electronic commerce as a new business model, it has a lot of possibilities, and the consequent sense of security has become more prominent, how to build a safe, convenient to use electricity in the business environment of infor

4、mation to provide adequate protection, and the user is concerned about the subject. Security issues of electronic commerce has become the core issues. the analysis of e-commerce in the security problems and solve on e-commerce is the chief safety technology and related policy.The first to introduce

5、electronic commerce of the basic concept and its safety knowledge. they outline the electronic commerce appeared, the enterprise information system changes and developments in e-commerce, a corporate information systems, security and the existing method.e-commerce Information security Safety problem

6、s目录摘要IAbstractII1绪论11.1电子商务综述11.1.1电子商务的概念11.2电子商务业务发展趋势21.2.1用户数量和交易额较快攀升21.2.2竞争加剧，导致市场快速走向成熟21.2.3多模式融合与创新，尽显资源优势21.2.4收费是必然，但是还需待以时日21.2.5国际化趋势明显32电子商务系统的安全性问题32.1电子商务安全32.2 电子商务中存在的两大类安全问题42.2.1 网络安全问题42.2.2 商务安全问题42.2.3 目前电子商务中存在的主要安全问题42.3电子商务安全保障的措施52.3.1技术上的安全措施52.3.2管理上的安全措施62.3.3法律上的安全保障6

7、3电子商务系统的安全对策63.1技术方面63.1.1使用新的加密技术63.1.2使用入侵检测和高可靠的容侵技术73.2管理方面73.3法律方面84 商务交易安全的设计94.1 数据加密94.2 数字签名104.3 数字证书115总结11文献12致谢131绪论1.1电子商务综述1.1.1电子商务的概念电子商务定义电子商务是指交易双方通过计算机网络所进行的所有交易活动，即通过交易发生实物性商品(如服装、家用电器等)所有权的转移，或实现了服务性商品(如金融服务、网络信息咨询服务等)的有偿消费(提供)。其实质就是贸易活动各环节的电子化、网络化，即利用电子信息技术和计算机网络来解决扩大宣传、降低成本、增

8、加价值、创造商机和销售产品及提供服务的商务活动。(1)B2B电子商务定义 B2B(Business to Business ，企业对企业)电子商务是企业与企业之间通过互联网进行产品、服务及信息的交换。B2B是电子商务按交易对象分类中的一种，即表示商业机构对消费者的电子商务。这种形式的电子商务是在企业与企业之间进行的。一般以信息发布与撮合为主，主要是建立商家之间的桥梁。(2)C2C电子商务定义C2C(Customer to Customer，消费者对消费者)电子商务模式，是指网络服务提供商利用计算机和网络技术，提供有偿或无偿使用的电子商务平台和交易程序，允许交易双方(主要为个人用户)在其平台上独

9、立开展以竞价、议价为主的在线交易模式。(3)B2C电子商务定义 B2C(Business to Customer，企业对消费者)电子商务模式，是指网站的所有者(暂称为网站方)直接面对客户，把商品销售给客户，属于零售，所谓自己建站，自己卖。从商品的流向看，B2C的商品是上游供应商网站客户。资金的流向，绝大部分情况都是用户网站上游供应商;发票也都是由网站给用户开出，不管是普通发票，还是增值税票。1.2电子商务业务发展趋势1.2.1用户数量和交易额较快攀升未来5年之内中国C2C电子商务市场的用户数量将会进一步增长，交易额将会持续增长。各项环境的改善，使得网络购物的优势进一步凸现，越来越多的人将进行网

10、络购物，金额交易额也有较大的提高。预计到2010年中国C2C电子商务市场的注册用户数将达到7200万人，其中活跃用户数将达到2700万人，交易额将可能达到1100亿。1.2.2竞争加剧，导致市场快速走向成熟如前所属，中国C2C竞争相当激烈。随着进入者的增多，竞争将会更加剧烈。主要表现为资金的大量投入，竞争将产生两方面的结果。一方面，竞争机制实现优胜劣汰。一些C2C网站逐步完善自身的管理和服务，为交易双方提供良好的交易环境，积累了庞大的顾客基础，形成明显的网络经济效应;而一些小网站则不堪重负，逐渐退出市场。另一方面，市场的竞争吸引了各界的极大关注，培育了人们网上交易的习惯，加深参与度，给C2C市

11、场带来繁荣。1.2.3多模式融合与创新，尽显资源优势在目前情况下，B2C型网站也会到C2C网站经营，同时B2C网站本身也常常采取联营招租的形式，而企业交易平台的厂商也可能进入零售或者个人电子商务市场。各种电子商务模式(B2B，B2C和C2C)相互融合，尤其是B2C和C2C的界限逐渐模糊，竞争与合作同在，充分发挥资源互补优势，尽显市场经济的活力。1.2.4收费是必然，但是还需待以时日即使目前中国的C2C电子商务市场以免费为主流，并且这种主流至少还将延续几年的时间。但是收费是必然的趋势，现在只是个时间的问题。收费至少产生以下两方面效应:一方面，能提高网上经营的诚信度，只要交费，像随意开店、靠虚假交

12、易骗取诚信积分等现象将大有好转;另一方面，网站一旦拥有费用来源，便可以很好地加强和稳定网站的各方面建设，包括员工在职培训、企业文化建设、识产权保护、顾客关系管理等，壮大网站成长的力量。1.2.5国际化趋势明显这里的国际化主要表现为:一是资本的国际化;二是交易的国际化。中国C2C电子商务无疑具有极好的市场发展前景和潜力，这将吸引各种国外投资资金的大规模进入;另一方面，互联网开放、无时空限制的特点将有利促进国际贸易的发展，促进商品在不同国度之间的流通。2电子商务系统的安全性问题2.1电子商务安全有了网络才有电子商务, 电子商务的发展依赖于网络的发展。在电子商务迅速发展的同时,虚拟银行、 虚拟企业、

13、 网上商店、 网上购物、 网上支付等一大批网络交易词语令我们耳熟能详, 但这些电子商务模式却都与 网络 有关,没有了网络安全也就不存在电子商务的安全。网络安全是指通过采用各种技术和管理措施, 保护网络系统中的硬件、 软件不被破坏, 保护系统中数据的可用性、 完整性和保密性, 从而确保网络的正常运行不中断。网络数据的安全问题从其本质上讲也就是网络上的信息安全。电子商务安全是一个系统概念, 不仅与计算机系统结构有关, 还与电子商务应用的环境、 人员素质和社会因素有关。包括电子商务系统硬件安全、 电子商务系统软件安全、 电子商务系统运行安全等。电子商务的安全问题是由计算机安全性、 网络安全性发展而来

14、的。包括交易的安全和数据信息的安全及系统运行的可靠性。其中交易的安全又是电子商务发展的核心和关键问题。2.2 电子商务中存在的两大类安全问题2.2.1 网络安全问题现在随着互联网技术的发展, 网络安全成了新的安全研究热点。网络安全就是如何保证网络上存储和传输的信息的安全性。网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁, 概括来说网络安全的内容包括:计算机网络设备安全、 计算机网络系统安全、 数据库安全等2.2.2 商务安全问题商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上, 如何保障电子商务过程的顺利进行。即实现电

15、子商务的保密性、 完整性、 可鉴别性、 不可伪造性和不可抵赖性。网上交易日益成为新的商务模式, 基于网络资源的电子商务交易已为大众接受,人们在享受网上交易带来的便捷的同时, 交易的安全性备受关注, 网络所固有的开放性与资源共享性导致网上交易的安全性受到严重威胁。所以在电子商务交易过程中, 保证交易数据的安全是电子商务系统的关键。2.2.3 目前电子商务中存在的主要安全问题( 1) 对合法用户的身份冒充。攻击者通过非法手段盗用合法用户的身份信息, 仿冒合法用户的身份与他人进行交易, 从而获得非法利益。( 2) 对信息的窃取。攻击者在网络的传输信道上, 通过物理或逻辑的手段, 对数据进行非法的截获

16、与监听, 从而得到通信中敏感的信息。如典型的 虚拟盗窃 能从因特网上窃取那些粗心用户的信用卡账号, 还能以欺骗的手法进行产品交易, 甚至能洗黑钱。( 3) 对信息的篡改。攻击者有可能对网络上的信息进行截获后篡改其内容, 如修改消息次序、 时间, 注入伪造消息等, 从而使信息失去真实性和完整性。( 4) 拒绝服务。攻击者使合法接入的信息、 业务或其他资源受阻。( 5) 对发出的信息予以否认。某些用户可能对自己发出的信息进行恶意的否认, 以推卸自己应承担的责任。( 6) 信用威胁。交易者否认参加过交易, 如买方提交订单后不付款,或者输入虚假银行资料使卖方不能提款; 用户付款后, 卖方没有把商品发送

17、到客户手中, 使客户蒙受损失。( 7) 电脑病毒。电脑病毒问世十几年来, 各种新型病毒及其变种迅速增加, 互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助于网络传播得更快, 动辄造成数百亿美元的经济损失。如, CIH 病毒的爆发几乎在瞬间给网络上数以万计的计算机以沉重打击。2.3电子商务安全保障的措施为了提高电子商务的安全行，需要方方面面的参与和努力，可从以下三个大的方面来综合考虑，即技术措施、管理措施、法律措施。2.3.1技术上的安全措施电子商务的信息安全在很大程度上依赖于技术的完善，这些技术包括：加密技术、认证技术、访问控制技术、信息流

18、控制技术、数据保护技术、软件保护技、病毒检测及清除技术、内容分类识别和过滤技术 网络隐患扫描技术 系统安全监测报警与审计技术等，而其中最主要的是加密技术以及身份认证技术。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥，可用同一加密算法，将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据进行解密。认证是防止主动攻击的重要技术，对于开放环境中的各种信息系统的安全性有重要作用。认证的主要技术是：第一，实体认证，即验证信息的发送者是真的，而不是冒充的：第二，信息认证，即验证信息的完整性。计算机安全技术本身的发展就存在一个时滞的问题。病毒的

19、感染、黑客的侵袭更使人们对计算机的安全性，特别是网络上电子商务运行的安全性产生怀疑。这种情况对电子商务的推行造成了极为不利的影响。这就需要一只精干的安全技术研究队伍，集中力量尽快解决电子商务的安全技术问题，包括密码技术、认证技术、访问控制技术等，并能够随着计算机和电子商务技术的发展而不断改进这些技术2.3.2管理上的安全措施在管理方面，缺乏约束机制，责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等是引起系统安全风险的根源。首先在管理高层要引起对电子商务安全的足够重视，促成管理人员同相关的技术人员一起制定企业内部、外部网络安全规划和标准。其次要制定详细的安全行为规范，在加强基础设施安全管理

20、的同时加强相关人员的管理。健全相应的规章制度来规范和约束员工的行为，包括各种硬软件设备使用和维护权限的管理办法，网络系统登录和使用的安全保障管理办法，数据维护和备份的管理规定等。通过合理分工，把整个系统管理的权限分散通过加强监督，确保电子商务系统管理的安全、高效。2.3.3法律上的安全保障电子商务交易涉及消费者、企业、政府，市场容量巨大，仅依靠安全技术无法完全解决其安全问题，还需要建立和完善信用体系及电子商务的法律法规体系，明确各自需要遵守的法律义务和责任，才能有效规范电子商务中的安全隐患。这就需要电子商务交易各方合法身份证的法律、保护交易者个人及交易数据的法律、电子商务中电子合同合法性及如何

21、进行认证的法律、网络知识产权保护的法律等相关法律规则 目前联合国贸易法委员会已制订了一套有关电子商务的法律范本，为电子商务的发展奠定了法律基础。3电子商务系统的安全对策3.1技术方面 3.1.1使用新的加密技术 加强密码技术的研究与开发加密技术是信息交换安全的基础，通过数据加密、消息摘要、数字签名及密钥交换等技术实现了数据机密性、 数据完整性、 不可否认性和用户身份真实性等安全机制，从而保证了电子商务系统中信息交换的安全。 密码技术可以分为二类：对称加密算法、非对称加密算法。对称加密技术主要用于数据的加密,目前我国电子商务系统中使用的对称加密技术主要是 DES 算法，它的密钥只有 56位，利用

22、当前的网格计算可以在短期内破解，因此必须在我国电子商务中推广更好的3DES或ASE算法；非对称加密技术主要用于数据加密、数字签名、密钥交换等方面,电子商务系统安全中的许多技术都是建立在非对称加密技术的基础之上的，目前我国电子商务系统中使用的非对称加密技术主要是RSA算法，它的缺点是密钥比较长，造成运算复杂，很难在智能卡和移动设备上使用， 目前在国外已经开始使用更好的ECC（椭圆曲线公钥加密）算法来代替 RSA 算法，在我国电子商务系统中也应使用ECC加密技术，以提高电子商务的安全性。 3.1.2使用入侵检测和高可靠的容侵技术 目前大家十分重视网络病毒的防护，一般网络客户都安装了杀毒软件，但是大

23、家对网络攻击不够重视，特别是企业。据统计，在电子商务系统中由网络入侵造成的经济损失要远远超出因病毒而造成的经济损失。入侵检测通过对网络用户的行为信息进行采集、分析和过滤，及时准确地向系统的管理者发出警报，它是目前维护网络安全的重要技术之一。高可靠的容侵是通过将机密信息按照某种算法分拆成若干个组成部分，只获取机密信息的一个组成部分或几个是不能还原成有意义的内容，如此将每一个部分保存在不同的堡垒主机中，采取这样一种工作方式将保证即使系统中的部分主机被入侵者控制也不会泄密。随着黑客技术的发展和我国黑客群体的增加，网络入侵（攻击）越来越多,由此造成的经济损失和影响也越来越大，因此为了保证电子商务系统的

24、正常运作，必须使用入侵检测技术和高可靠的容侵技术,这是提高我国电子商务系统安全的重要途径之一。 3.2管理方面 （1）加强人员管理 实践证明，绝大部分安全与保密问题是由内部人员造成。而且我国的高新技术产业有一个特点，就是人员流动非常频繁，公司内的员工跳槽的频度非常高，所以尤其需要注意加强人员管理。对关键岗位人员的录用一定要加强人事审查，录用后要明确岗位和责任范围，签订保密协定，定期进行培训，尽量保持关键岗位员工的相对稳定。 （2）加强交易密码管理 目前网络攻击的最终目的是通过各种途径非法获得交易密码，然后通过此密码合法进入系统进行非法操作。为了避免交易密码被非法盗取，我们可以采取如下措施。 1

25、）由专门安全人员集中随机生成字符与数字相结合的交易密码，并对其进行严格的测量以判定随机性； 2）增加交易密码的长度（不少于 8 位） ，定期更换交易密码； 3）采用一定的保密手段传递和分发交易密码； 4）在关键部门（系统管理、密码生成）采用指纹识别等技术进行身份认证。 （3）加强监管，建立各种有关的合理制度 必须加强监管，建立各种有关的合理制度，并加强严格监督，如建立交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查等。在这方面，主要充分发挥政府有关部门、企业的主要领导、信息服务商的作用。 3.3法律方面 在电子商务系统中，传统交易下所产生的纠纷及风险并

26、没有随着高科技的发展而消失，相反网络的虚拟性、流动性、隐匿性对交易安全及消费者权益保护提出了更多的挑战，因此制定相应的法律法规来约束互联网用户的行为是电子商务系统的基础。我国政府十分重视电子商务系统的法律法规的制定，目前制定的有关法律法规有中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际互联网管理暂行规定、中华人民共和国计算机信息网络国际互联网络安全保护管理办法、电子签名法等,它们直接约束了计算机安全和电子商务系统的安全。这些法律法规在电子商务系统中发挥着重大的作用，但是这些已经制订的法律法规在实际操作过程中还有很多不够完善的地方，如交易过程中商家提供虚假信息、侵害消

27、费者的隐私、纠纷问题等都没得到很好的解决，还需要建立健全相应的法律法规，设立专门机构对电子商系统的进行有效的管理。4 商务交易安全的设计在电子商务交易安全保密防护措施中, 密码技术被用于信息加密、 信息认证、 身份认证和密钥管理, 是保证电子商务交易信息安全的重要手段。 密码技术是对信息进行重新编码, 隐藏信息内容, 使非法用户无法获取信息真实内容的一种技术手段, 通过不同的加密机制和加密算法实现对信息的保密和防止信息伪造。4.1 数据加密加密技术是电子商务采取的主要安全措施, 贸易方可根据需要在信息交换的阶段使用。目前加密技术分为对称加密和非对称加密两类。对称加密技术是在对信息的加密和解密中

28、都使用相同的密钥, 由此存在着通信的贸易方之间要确保密钥安全交换的问题。此外无法鉴别贸易发起方或贸易最终方。非对称加密又称为公钥加密, 密钥被分解成为一对。 这对密钥中的一把作为公开密钥(加密密钥) , 通过非保密方式向他人公开, 而另一把则作为私有密钥(解密密钥)加以保存。 私钥只能由生成密钥对的贸易方掌握, 公钥可广泛发布, 但它只对应于生成该密钥的贸易方。在电子商务实际应用中, 结合两种加密方法的优点, 对于密钥管理、 密钥交换、 数字签名和认证等涉及信息较少且比较重要的情况, 使用公钥加密系统进行加密, 而对于信息量大和安全性要求不是很高的情况, 使用对称加密系统不失为一种两全其美的方

29、法。 在实际应用中,也可采用对称加密系统加密文件, 采用公开密钥加密系统加密密钥(又称会话密钥) , 这就是混合加密系统3, 它即有对称加密的速度, 又有非对称加密的灵活性的算法, 能较好的解决运算速度问题和密钥分配管理问题。在混合加密系统中 ( 如图 1 所示) , 采用DES算法作为对称加密系统标准, 公钥加密系统使用 RSA加密算法, 形成电子商务环境下的混合加密方法。可以综合发挥两种加密体制的优点, 即 DES的高速简便性和 RSA密钥管理的方便性和安全性, 即保证了数据安全, 同时又提高了加密和解密的速度。4.2 数字签名当数据(可能是一个文件, 一个程序或一段文字等) 从 A 传送

30、到 B 时, 加密可以保证只有拥有密钥者(B)才可读取这段段信息, 实现了安全性编程中内容的保密性要求, 但安全性编辑还要求具有不可篡改性, 身份的确定性(B能确认数据确实是 A发过来的) , 以及不可否认性( 发生纠纷时, B 能证明数据确实是由 A 发来的) , 这些都可由数字签名4来实现。 其实, 数字签名是公开密钥加密技术的另一类应用, 它的基本步骤是: 发送者 A用其秘钥 SKA对报文 M进行运算, 将结果 DSKA(M) 和 M一起传送给接收者 B。B 用已经的 A 的公钥 PKA 得出EPKA(DSKA(M) ) =M , 如果 M=M , 签名的真实性就得到了验证。在 Java

31、 中使用数字签名, 由类 java.security.signature 来处理数字签名, 共方法有如下的 6类:(1) keyPairGenerator() 产生签名密钥;(2) getInstance () 指出算法和提供者 (可选) ;(3) initSign()和 initVerify() 用于初始化签名对象, initSign()采用私钥, initVerify()采用公钥;(4) update() 一旦签名对象初始化完毕, 就可以用此方法将数据传送给它;(5) sign() 如正在进行签名, 则此方法会返回用方法 update()传送给签名对象的数据的签名结果;(6) verify

32、()如是要验证数据而不是进行签名, 则要调用此方法。4.3 数字证书为了保证商务交易, 支付活动的真实可靠,需要一种机制来验证活动中各方的真实身份。因此, 数字证书成为了公钥体制用于大规模安全电子商务的最基本的要素。它含有掌握相应密钥的持证者的确切身份, 唯一标识证书所有者 (即贸易方) 的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字数字签名、证书的有效期及证书的序列号等 5。证书发布者一般称为证书管理机构( CA) , 它是贸易各方都信赖的机构。贸易伙伴间可以使用数字证书来交换公钥, 而且数字证书能够起到标识贸易方的作用, 是目前电子商务广泛采用的技术之一。CA 是提供身份验证的第三方机构, 由一个或多个用户信任的组织实体组成。如持卡人要与商家通信, 就要从公共媒体上获得了商家的公钥, 但持卡人无法确定商家不是冒充的,于是持卡人请求 CA 对商家认证。CA 对商家进行调查, 验证和鉴别后, 将包含商家公钥的证书传给持卡人。 同样, 商家也可对持卡人进行验证。数字证书的主要功能是保存公钥和某个人或机构的对应关系。 可用 J2SDK提供的 keytool 工具来创建数字证书。5总结当今社会中，电子商务在社会中扮演的角色越来越重要