電子商務(wù)電子安全現(xiàn)狀分析與解決方案

1、電子商務(wù)信息安全現(xiàn)狀分析與解決方案、，一、一刖言第一章：電子商務(wù)信息安全理論.電子商務(wù)基本概念.電子商務(wù)信息安全所面臨的問題.電子商務(wù)信息的安全要素第二章：我國電子商務(wù)信息發(fā)展現(xiàn)狀及存在的安全問題.我國電子商務(wù)信息發(fā)展現(xiàn)狀.我國電子商務(wù)信息發(fā)展存在的安全問題(1)安全技術(shù)方面的問題1.1黑客攻擊1.2網(wǎng)上支付的問題(2)個人信息泄密的安全問題(3)法律安全問題第三章：我國電子商務(wù)信息安全問題的解決辦法及策略.電子商務(wù)信息安全技術(shù)解決辦法(1)防火墻安全技術(shù)包過濾型網(wǎng)絡(luò)地址轉(zhuǎn)化一NAT代理型監(jiān)測型加密技術(shù)對稱密鑰加密體制非對稱密鑰加密體制安全認(rèn)證協(xié)議安全套接層(SSL)協(xié)議安全電子交易(SET)

2、協(xié)議2.政府部門在法律法規(guī)方面應(yīng)采取的措施。結(jié)束語參考文獻(xiàn)四、結(jié)束語參考文獻(xiàn)中文摘要：隨著Internet和Intranet/EGtranet的快速增長，Web已經(jīng)對商業(yè)、工業(yè)、銀行、財政、教育、政府和娛樂及我們的工作和生活產(chǎn)生了深遠(yuǎn)的影響。許多傳統(tǒng)的信息和數(shù)據(jù)庫系統(tǒng)正在被移植到互聯(lián)網(wǎng)上，與此同時電子商務(wù)(e-commerce)也迅速增長，早已超過了國界。但在其發(fā)展的過程中網(wǎng)絡(luò)上的信息安全問題成為了制約其發(fā)展的重要因素。本文將對電子商務(wù)的安全威脅問題進(jìn)行分析并提出一些解決措施和方法。關(guān)鍵詞：電子商務(wù)信息安全互聯(lián)網(wǎng)解決方法Abstract:WiththefastgrowthofInterneta

3、ndIntranet/EGtranet,WebhasalreadPeGertedafar-reachinginflueneeonthecommerceindustrP,bank,finance,education,government,amusementandourworkingandliving.AlotoftraditionalinformationanddatabasesPstemarebeingtransplantedtoonInternet,meanwhilee-commerce(e-commerce)isincreasedrapidlPtoo,havealreadPeGceeded

4、thesafetP on thenationalboundaries.Butthequestionofinformationnetworkinthecourseofitsdevelopmenthasbecometheimportantfactorofrestrictingitsdevelopment.ThisteGtwillanalPseandproposesomesettlementmeasuresandmethodstothesecuritPthreatproblemofe-commerce.KePwords:E-commerceInformationsafetPInternetSolut

5、ion第3頁，共3頁一、引言1?電子商務(wù)的定義電子商務(wù)(EC,ElectronicCommerce)就是利用電子數(shù)據(jù)交換(EDI)、電子郵件(Email)、電子資金轉(zhuǎn)帳(EFT)及Internet的主要技術(shù)在個人問、企業(yè)間和國家間進(jìn)行無紙化的業(yè)務(wù)信息的交換?！?】隨著計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用普及，電子商務(wù)不斷被賦予新的含義。電子商務(wù)被認(rèn)為是通過信息技術(shù)(IT)將企業(yè)、用戶、供應(yīng)商及其它商貿(mào)活動涉及的職能機(jī)構(gòu)結(jié)合起來的應(yīng)用，是完成信息流、物流和資金流轉(zhuǎn)移的一種行之有效的方法。它主要包括下列三個方面：(1)企業(yè)與消費(fèi)者之間的電子商務(wù)(B2C);(2)企業(yè)間的電子商務(wù)(B2B);(3)支持WWW上的

6、銷售和采購活動所需的交易和流程。其關(guān)系可以用圖1友本：大，國際社會和各國政府正積極引導(dǎo)電子商務(wù)發(fā)展。由于電子商務(wù)具有深刻而廣泛的影響和巨大的發(fā)展前景從而受到國際社會廣泛和高度重視。據(jù)專家預(yù)測，到20GG年全球消費(fèi)者網(wǎng)上購物的總額將會超過3000億美元，而網(wǎng)第4頁,共4頁上所有商務(wù)活動總額將會超過40000億美元?！?】而且，電子商務(wù)的形式也越來越多樣化從已使用多年的電子資金轉(zhuǎn)帳（EFTT和企業(yè)間電子數(shù)據(jù)交換（EDI）發(fā)展到現(xiàn)在的包括電子現(xiàn)金、電子錢包、智能儲值卡、信用卡等的電子結(jié)算系統(tǒng)及網(wǎng)上銀行，更先進(jìn)的包括企業(yè)米購、后勤和支持活動的EDI,大大小小售賣各種商品的網(wǎng)上商店，網(wǎng)上拍賣，虛擬社區(qū)及

7、網(wǎng)絡(luò)門戶網(wǎng)站等。盡管電子商務(wù)的發(fā)展勢頭非常驚人，但它在全球貿(mào)易額中只占極小的一部分。一個主要的障礙就是如何保證傳輸數(shù)據(jù)的安全和交易對方的身份確認(rèn)。因此，從傳統(tǒng)的基于紙張的貿(mào)易方式向電子化的貿(mào)易方式轉(zhuǎn)變的過程中，如何保持電子化的貿(mào)易方式與傳統(tǒng)方式一樣安全可靠，則是人們關(guān)注的焦點(diǎn)，同時也是電子商務(wù)全面應(yīng)用的關(guān)鍵問題之一。下面。筆者將分析電子商務(wù)的安全威脅及現(xiàn)行的解決措施和方法。二、電子商務(wù)的安全威脅隨著Internet的快速發(fā)展，電子商務(wù)在發(fā)展過程中存在著很多的安全威脅問題,總的來說就有三方面的安全問題。【4】物理安全問題它是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人

8、為操作失誤或錯誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。本文不作詳述。網(wǎng)絡(luò)安全可以分成三類：第5頁，共5頁系統(tǒng)安全，指主機(jī)和服務(wù)器的安全，主要包括反病毒、系統(tǒng)安全檢測、入侵檢測（監(jiān)控）和審計(jì)分析；網(wǎng)絡(luò)運(yùn)行安全，指要具備必須的針對突發(fā)事件的應(yīng)急措施，如數(shù)據(jù)的備份和恢復(fù)等等；局域網(wǎng)或子網(wǎng)的安全主要是訪問控制和網(wǎng)絡(luò)安全檢測的問題。特別說明，大眾所熟知的黑客與防火墻主要屬于網(wǎng)絡(luò)安全的相關(guān)范疇。本文不作詳述。23信息安全信息安全問題主要涉及到信息傳輸?shù)陌踩?、信息存儲的安全以及對網(wǎng)絡(luò)傳輸信息內(nèi)容的審計(jì)三方面，當(dāng)然也包括對用戶的鑒別和授權(quán)。電子商務(wù)交易雙方的信息安全隱患傳統(tǒng)商務(wù)活動是面對面進(jìn)行的，交易雙方能較容

9、易地建立信任感并產(chǎn)生安全感。而電子商務(wù)是買賣雙方通過Internet的信息流動來實(shí)現(xiàn)商品交換的，信息技術(shù)手段使不法之徒有機(jī)可乘，這就使得電子商務(wù)的交易雙方在安全感和信任程度等方面都存在疑慮。電子商務(wù)的交易雙方都面臨著信息安全的威脅。商家的信息安全隱患。主要有：（1）不法之徒假冒合法用戶名義改變商務(wù)信息內(nèi)容，致使電子商務(wù)活動中斷，造成商家名譽(yù)和用戶利益等方面的受損；（2）惡意競爭者冒名訂購商品或侵入網(wǎng)絡(luò)內(nèi)部以獲取營銷信息和客戶信息；（3）信息間諜通過技術(shù)手段竊取商業(yè)秘密；（4）大量虛假訂單的生成擠占了信息系統(tǒng)資源，無法從事正常的業(yè)務(wù)運(yùn)營。第6頁，共6頁232用戶的信息安全隱患。主要有：（1）用戶

10、身份證明信息被攔截竊用，以致被要求付帳或返還商品；（2）域名信息被監(jiān)聽和擴(kuò)散，被迫接收許多無用信息甚至個人隱私被泄露。（3）發(fā)送的商務(wù)信息不完整或被篡改，用戶無法收到商品；（4）受虛假廣告信息誤導(dǎo)購買假冒偽劣商品或被騙錢財；（5）遭受黑客暗算計(jì)算機(jī)設(shè)備被毀、信息丟失。三?解決電子商務(wù)安全威脅的措施和技術(shù)常用的主要安全技術(shù)包括：加密、數(shù)字簽名、安全通信協(xié)議與交易協(xié)議、電子證書、電子信封和雙重簽名等。下面主要介紹加密、數(shù)字簽名、安全通信協(xié)議與交易協(xié)議這三種技術(shù)在電子商務(wù)中的應(yīng)用.【5】加密技術(shù).加密技術(shù)是電子商務(wù)采取的基本安全措施，貿(mào)易方可根據(jù)需要在信息交換的階段使用。加密技術(shù)分為兩類，即對稱加密

11、和非對稱加密。對稱加密在對稱加密方法中，采用相同的加密算法并只交換共享的專用密鑰（加密和解密都使用相同的密鑰）。如果進(jìn)行通信的貿(mào)易方能夠確保專用密鑰在密鑰交換階段未曾泄露，那么機(jī)密性和報文完整性就可以通過這種加密方法加密機(jī)密信息和通過隨報文一起發(fā)送報文摘要或報文散列值來實(shí)現(xiàn)。因此，對稱加密技術(shù)存在著在通信的貿(mào)易方之間確保密鑰安全交換的問題。止匕外，對稱加密方式無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方。下圖為對稱加密過程。發(fā)送者輸入.明文加密密傳輸過程解密算法.明文圖3.1.1對稱加密和解密過程第7頁，共7頁非對稱加密在非對稱加密體系中，密鑰被分解為一對，即公開密鑰或?qū)Ｓ妹荑€。公開密鑰（加密密鑰）通過非保

12、密方式向他人公開，而專用密鑰（解密密鑰）加以保存。公開密鑰用于對機(jī)密性的加密，專用密鑰則用于對加密信息的解密。專用密鑰只能由生成密鑰對的貿(mào)易方掌握，公開密鑰可廣泛發(fā)布，但它只對應(yīng)于生成該密鑰的貿(mào)易方。貿(mào)易甲方生成一對密鑰，公布公開密鑰；貿(mào)易方乙得到該公開密鑰，使用該密鑰對機(jī)密信息進(jìn)行加密，然后發(fā)送給貿(mào)易甲方;貿(mào)易甲方再用自己保存的專用密鑰對加密后的信息進(jìn)行解密。貿(mào)易方只能用其專用密鑰解密由其公開密鑰加密后的任何信息。RSA法是非對稱加密領(lǐng)域內(nèi)最為著名的算法。別是A和E的解密鑰（或?qū)Ｓ描€）。一個明文若要從用戶A傳輸?shù)接脩鬍,先要用A的專用密鑰D劭口密（又稱簽名），再用B的公開鑰EB加密，然后傳送

13、到接收方B;B在接收后，首先用專用密鑰DB解密，再用A的公開密鑰EA認(rèn)證。這一信息傳遞過程，不僅保護(hù)了信息的安全，又使接收方E對信息的發(fā)送方A確信無疑。第8頁，共8頁數(shù)字簽名數(shù)字簽名是非對稱加密技術(shù)的一類應(yīng)用。它的主要方式是：報文發(fā)送方從報文文本中生成一個128位的散列值（或報文摘要），并用自己的專用密鑰對這個散列值進(jìn)行加密，形成發(fā)送方的數(shù)字簽名；然后，這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方；報文接收方首先從接收到的原始報文中計(jì)算出128位的散列值（或報文摘要），接著再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進(jìn)行解密。如果兩個散列值相同，那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的

14、。通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別和不可否認(rèn)性。數(shù)字信封（DigitalEnvelope）對稱加密是基于共同保守秘密的原則來實(shí)現(xiàn)。采用對稱加密技術(shù)的貿(mào)易雙方必須要保證采用的是相同的密鑰，還要保證彼此密鑰的交換是安全可靠的，同時要設(shè)定防止密鑰泄密及變更密鑰的程序。因此，對稱密鑰的管理和分發(fā)工作具有潛在的危險和繁瑣的過程。數(shù)字信封將對稱密碼與非對稱密碼體系結(jié)合起來傳輸信息，使用公開密鑰加密技術(shù)來實(shí)現(xiàn)對稱密鑰，解決了純對稱密鑰模式中存在的可靠性問題和鑒別問題。具體過程是：貿(mào)易方可以為每次交換的信息生成惟一一把對稱密鑰并用公開密鑰對該密鑰進(jìn)行加密，然后再將加密后的密鑰和用該密鑰加密的信息一起發(fā)送給

15、相應(yīng)的貿(mào)易方。由于對每次信息交換都對應(yīng)生成了惟一一把密鑰，因此各貿(mào)易方就不再需要對密鑰進(jìn)行維護(hù)并且不必?fù)?dān)心密鑰的泄露或過期。322數(shù)字時間戳(digitaltime-stamp)交易文件中，時間是十分重要的信息。第9頁，共9頁在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。在電子交易中，同樣需對交易文件的日期和時間信息采取安全措施，而數(shù)字時間戳服務(wù)(Digitaltime-StampServer)就能提供電子文件發(fā)表時間的安全保護(hù)。數(shù)字時間戳服務(wù)(DTS)是網(wǎng)上安全服務(wù)項(xiàng)目，由專門的機(jī)構(gòu)提供。時間戳(time-stamp)是一個經(jīng)加密后形成的憑證文檔，它包

16、括三個部分:1)需加時間戳的文件的摘要(digest);2)DTS收到文件的日期和時間)3)DTS的數(shù)字簽名。時間戳產(chǎn)生的過程為：用戶首先將需要加時間戳的文件用HASH碼加密形成摘要，然后將該摘要發(fā)送到DTSQTSE加入了收到文件摘要的日期和時間信息后再對該文件加密(數(shù)字簽名)，然后送回用戶。由Billcore創(chuàng)造的DTS采用下面的過程：加密時將摘要信息歸并到二叉樹的數(shù)據(jù)結(jié)構(gòu)；再將二叉樹的根值發(fā)表在報紙上，這樣更有效地為文件發(fā)表時間提供了佐證。但要值得注意的是，書面簽署文件的時間是由簽署人自己寫上的，而數(shù)字時間戳則不然，它是由認(rèn)證單位DTS來加的，以DTS攵到文件的時間為依據(jù)。因此，時間戳也可

17、作為科學(xué)家的科學(xué)發(fā)明文獻(xiàn)的時間認(rèn)證。安全通信協(xié)議與交易協(xié)議目前世界上公認(rèn)的安全協(xié)議標(biāo)準(zhǔn)有:SSL,SET和 NETBILL協(xié)議SSL（securesocketlaPer安全套接層）協(xié)議是TCP/IP協(xié)議族中目前最新的安全協(xié)議，提供了兩臺機(jī)器間的安全連接，可以實(shí)現(xiàn)通信過程的安全保密，它雖然是針對INTERNET環(huán)境提出的，但由于屬于套接協(xié)議，具有與上層應(yīng)用協(xié)議與下層網(wǎng)絡(luò)協(xié)議無關(guān)性的特點(diǎn)，所以在其他網(wǎng)絡(luò)的通信中也可以使第10頁，共10頁用。目前SSL被眾多廠家和用戶廣泛采用，已經(jīng)成為通信底層協(xié)議的實(shí)際標(biāo)準(zhǔn)。在電子商務(wù)中可通過在SSL連接上傳輸信用卡卡號的方式來構(gòu)建支付系統(tǒng)，在線銀行和其他金融系統(tǒng)也

18、常常構(gòu)建在SSL之上。由于SSL被大部分WebU覽器和Web服務(wù)器所內(nèi)置，比較容易被應(yīng)用，因此SSL被廣泛使用。但如果想要電子商務(wù)得以成功地廣泛開展的話，必須采用更先進(jìn)的支付系統(tǒng)。SET（SecureElectronicTransaction:安全電子交易）規(guī)范是由兩大信用卡商Visa和MarsterCard聯(lián)合制定的實(shí)現(xiàn)網(wǎng)上信用卡交易的模型和規(guī)范。從概念上，它是通用信用卡的自然延拓，保留了信用卡交易的一切特點(diǎn)，同時針對網(wǎng)上交易，制定了確保安全的一系列規(guī)范和協(xié)議。SETi要目標(biāo)如下：信息在Internet上安全傳輸，保證網(wǎng)上傳輸?shù)臄?shù)據(jù)不被黑客竊??；定單信息和個人帳號信息的隔離，當(dāng)包含持卡人帳號

19、信息的定單送到商家時，商家只能看到定貨信息，而看不到持卡人的帳戶信息；持卡人和商家相互認(rèn)證，以確定通信雙方的身份，一般由第三方機(jī)構(gòu)負(fù)責(zé)為在線通信雙方提供信用擔(dān)保；要求軟件遵循相同協(xié)議和報文格式，使不同廠家開發(fā)的軟件具有兼容和互操作功能，并且可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺上。SET的關(guān)鍵是認(rèn)證技術(shù)，它包括如下幾個方面：1）證書。SET中主要的證書是持卡人證書和商家證書。持卡人證書是支付卡的一種電子化的表示。持卡人證書不包括帳號和終止日期信息，而是用第11頁，共11頁單向哈希算法根據(jù)帳號和截止日期生成的一個碼，如果知道帳號、截止日期、密碼值即可導(dǎo)出這個碼值，反之不行。商家證書就像是貼在商家收款

20、臺小窗上的付款卡貼畫，以表示它可以用什么卡來結(jié)算。在SET環(huán)境中，一個商家至少應(yīng)有一對證書，與一個銀行打交道；一個商家也可以有多對證書，表示它與多個銀行有合作關(guān)系，可以接受多種付款方法。除了持卡人證書和商家證書以外，還有支付網(wǎng)關(guān)證書、銀行證書、發(fā)卡機(jī)構(gòu)證書。2)CA持卡人可從公開媒體上獲得商家的公開密鑰，但持卡人無法確定商家不是冒充的(有信譽(yù))，于是持卡人請求CAM商家認(rèn)證。CAM商家進(jìn)行調(diào)查、驗(yàn)證和鑒別后，將包含商家公開密鑰的證書經(jīng)過數(shù)字簽名傳給持卡人。同樣，商家也可對持卡人進(jìn)行驗(yàn)證。CA的主要功能包括：接收注冊請求，處理、批準(zhǔn)/拒絕請求，頒發(fā)證書。(3)證書的樹形驗(yàn)證結(jié)構(gòu)。在雙方通信時，通過出示由某個CA簽發(fā)的證書來證明自己的身份，如果對簽發(fā)證書的CA本身不信任，則可驗(yàn)證CA的身份，依次類推，一直到公認(rèn)的權(quán)威CA處，就可確信證書的有效性。