1、2電子商務(wù)的安全問題作者:日期:成績學(xué)年論文題 目 電子商務(wù)的安全問題學(xué)生姓名專業(yè)班級學(xué) 號指導(dǎo)教師完成日期學(xué)年論文 I學(xué)年論文 摘要隨著信息技術(shù)的快速發(fā)展，企業(yè)在網(wǎng)絡(luò)上建立自己的電子商務(wù)平臺已經(jīng)成為大勢所 趨。目前，國內(nèi)很多企業(yè)都根據(jù)各自的實(shí)際情況構(gòu)建了電子商務(wù)平臺系統(tǒng)。電子商務(wù)平 臺系統(tǒng)是一種以數(shù)據(jù)庫為基礎(chǔ)的，利用網(wǎng)絡(luò)來宣傳單位產(chǎn)品和服務(wù)的窗口，也是進(jìn)行網(wǎng) 絡(luò)銷售的平臺。在電子商務(wù)系統(tǒng)數(shù)據(jù)庫中存儲的信息的量越來越大，信息的價(jià)值也越來 越高，并且在新的網(wǎng)絡(luò)環(huán)境中，攻擊方式層出不窮，尤其以電子郵件、特洛伊木馬、文 件共享等為傳播途徑的混合型病毒愈演愈烈，因此電子商務(wù)平臺的安全問題已經(jīng)成為系統(tǒng)中

2、急需解決的問題。關(guān)鍵詞：電子商務(wù)信息安全安全技術(shù)AbstractWith the rapid developme nt of in formatio n tech no logy, en terprise n etwork to build their own e-commerce platform has become a trend. At prese nt, many domestic en terprises are built in accorda nee with their actual e-commerce platform. E-commerce platform is a

3、database-based, using the n etwork to promote products and services, window un its, but also a platform for n etwork market ing. In the e-commerce system database, the amount of information stored in the growing, the value of information is also increasingly higher, and there are many ways to attack

4、 others in the new n etwork en vir onment, especially the E-mail, Troja n horses, and other docume nts with the shared tran smissionway mixed-type virus inten sified, so the safety of e-commerce platform has become a system of urge ntly problems.Keywords： E-commerce In formati onal securitySecure te

5、ch no logy學(xué)年論文學(xué)年論文目 錄 TOC o 1-5 h z 摘 要 I HYPERLINK l bookmark4 o Current Document Abstract II HYPERLINK l bookmark8 o Current Document 電子商務(wù)信息安全現(xiàn)存的隱患 1（一）通信隱患1（二）交易隱患2電子商務(wù)的安全技術(shù) 3（一） 防火墻技術(shù)3（二） 數(shù)據(jù)加密技術(shù)4結(jié)束語 5參考文獻(xiàn) 6學(xué)年論文 i學(xué)年論文 #一、電子商務(wù)信息安全現(xiàn)存的隱患（一）通信隱患電子商務(wù)在In ternet上的發(fā)展的主要障礙是安全問題。由于In ternet建設(shè)之初并未考慮到現(xiàn)在的商業(yè)應(yīng)用

6、，因此在網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)傳輸?shù)陌踩詥栴}上考慮較少，可以說 無法適應(yīng)和滿足商業(yè)信息服務(wù)的顯示要求。如在網(wǎng)絡(luò)上進(jìn)行商務(wù)活動(dòng)要求交易的快捷、 方便、安全，消費(fèi)者可以隨時(shí)了解自己的賬戶上的資金情況等等，除需要一系列的安全 保障措施支持外，還要立法的角度規(guī)范電子商務(wù)從業(yè)者的行為和電子商務(wù)的活動(dòng)內(nèi)容。 由于In ternet的商業(yè)價(jià)值早已被商家看好，各種電子商務(wù)應(yīng)用鋪天蓋地，像電子商務(wù)商 場的網(wǎng)絡(luò)銀行陸續(xù)問世，但迄今為止，各種網(wǎng)上購物和面向社會的電子商務(wù)活動(dòng)一直是 雷聲大雨點(diǎn)小，絕大多數(shù)消費(fèi)者仍然處于觀望之中，使得電子商務(wù)的發(fā)展落后與消費(fèi)者 的需求，主要原因是安全隱患比比皆是，嚴(yán)重的制約了電子商務(wù)的正常進(jìn)

7、行。由于早些年In ternet并無商業(yè)目的，只是為了便于異地研究機(jī)構(gòu)共享計(jì)算資源，具 有充分的開放性和透明度。當(dāng)初使用TCP/IP協(xié)議及源代碼的開放與共享策略，在當(dāng)時(shí)的 條件下也是合理的，而如今要In ternet服務(wù)商業(yè)領(lǐng)域，從事安全性要求很高的電子商務(wù) 活動(dòng)，就有一定的難度了。主要存在的安全隱患表現(xiàn)在如下方面：系統(tǒng)癱瘓?jiān)撾[患破壞系統(tǒng)的有效性。如網(wǎng)絡(luò)故障，操作錯(cuò)誤，應(yīng)用程序錯(cuò)誤，硬件故障，系 統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒都能導(dǎo)致系統(tǒng)不能正常工作。因而，要對此錯(cuò)誤隱患所帶來的 潛在威脅嚴(yán)加控制和預(yù)防，以確保貿(mào)易數(shù)據(jù)的正確性，有效性和一致性。2受竊聽二十米該隱患破壞系統(tǒng)的機(jī)密性。電子商務(wù)系統(tǒng)是用于商

8、業(yè)貿(mào)易的一種手段，包含的信息 直接代表著個(gè)人、企業(yè)獲國家的商業(yè)機(jī)密。比如，在傳統(tǒng)紙面貿(mào)易過程中，商業(yè)秘密信 息都是通過郵寄封裝密封信件交郵政部門傳遞，或通過可靠的信息渠道發(fā)送商業(yè)保溫來 達(dá)到保守的商業(yè)秘密。傳統(tǒng)通信方式是通過技術(shù)和制定相應(yīng)的法律法規(guī)保障信息在傳遞 過程中的安全性問題，有效性是由第三方服務(wù)企業(yè)提供安全保證的。在電子商務(wù)時(shí)代， 信息傳遞在公用網(wǎng)絡(luò)上，要預(yù)防信息失密或認(rèn)為破壞，任務(wù)是非常繁重的，因?yàn)?，任?人都可以通過搭載和電磁泄漏等手段使信息泄露，或通過對業(yè)務(wù)流量的分析獲取有價(jià)值的商業(yè)情報(bào)等一切損害系統(tǒng)機(jī)密性的安全隱患。3信息被篡改該隱患破壞系統(tǒng)的完整性。通過電子商務(wù)系統(tǒng)進(jìn)行網(wǎng)上電

9、子交易，減少了人工干預(yù)， 簡化了貿(mào)易過程，提高了貿(mào)易效率。但不容忽視的一個(gè)問題是，也帶來了維護(hù)貿(mào)易更放 商業(yè)信息的完整性、統(tǒng)一的問題。由于數(shù)據(jù)在輸入時(shí)的意外差錯(cuò)或惡意的欺詐行為，可 能導(dǎo)致貿(mào)易各方信息的偏差與數(shù)據(jù)的差異，可能的隱患就是信息被篡改了，導(dǎo)致了數(shù)據(jù) 出錯(cuò)。學(xué)年論文 學(xué)年論文 另外，數(shù)據(jù)在傳輸過程中信息丟失、信息重復(fù)或信息傳送次序的差異也會導(dǎo)致貿(mào)易 各方所得到的信息的不同，從而造成誤解。毛一個(gè)房信息的完整性將影響到貿(mào)易各方的 交易活動(dòng)和經(jīng)營策略，保持貿(mào)易各方信息的完整性是電子商務(wù)的應(yīng)用前提。因此，要預(yù) 防對商業(yè)信息的隨意生成，修改和刪除，防止數(shù)據(jù)在傳送過程中，信息的對視和重復(fù)， 保證信

10、息傳送次序的統(tǒng)一。4偽造信息該隱患破壞系統(tǒng)的可靠性，真實(shí)性。電子商務(wù)應(yīng)用合計(jì)到交易各方的商業(yè)利益，如 何確定交易一方正在同自己所期望的貿(mào)易方進(jìn)行交易，如何確認(rèn)對方的真實(shí)身份？這些問題是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。在傳統(tǒng)紙面商業(yè)貿(mào)易中，貿(mào)易雙方通過在直面交 易合同，契約或貿(mào)易單據(jù)等書面文件形式固定貿(mào)易對象，通過手書簽名或印鑒蓋章來保 證日后的貿(mào)易糾紛的法律效力。確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。 這也就是人們常說的“白紙黑字”5抵賴信息該隱患破壞交易的有效性，法律地位，需要系統(tǒng)具備審查能力，杜絕抵賴行為的 發(fā)生。當(dāng)貿(mào)易一方發(fā)現(xiàn)交易行為對自己不利時(shí)，否認(rèn)電子交易行為，這就是我們常說

11、的 交易不可抵賴性。在證券交易中，假設(shè)某股民以每股30元的交割購買了 10手（1000股）“銀廣夏”股票后，這時(shí)行情突發(fā)變化，急劇下跌，轉(zhuǎn)眼之間該股票每股價(jià)格跌倒 26元，于是股民否認(rèn)前期的購買行為，請問這允許嗎？顯然，交易行為無法抵賴，返回?zé)o效。如何做到這點(diǎn)呢，這就需要系統(tǒng)具備這種交易記錄審查能力， 是交易的任何一方都 無法否認(rèn)自己的交易行為，無法抵賴，系統(tǒng)則根據(jù)記錄在案的審計(jì)記錄拒絕抵賴行為的 發(fā)生。（二）交易隱患傳統(tǒng)貿(mào)易活動(dòng)中，買賣雙方的交易時(shí)直接面對面進(jìn)行的，彼此之間很容易建立起信 任關(guān)系，并通過現(xiàn)行的國家法律法規(guī)保證交易過程的合法性與安全性。但在電子商務(wù)系 統(tǒng)上進(jìn)行交易，情況就不同了

12、，買賣雙方是通過網(wǎng)絡(luò)來聯(lián)系的，即時(shí)交易各方遠(yuǎn)隔千山 萬水也能狗進(jìn)行交易，關(guān)鍵是怎樣才能建立交易雙方的彼此信任與確保交易的安全，這 就相當(dāng)困難了。參與電子商務(wù)交易的各方（銷售方和購買方）都面臨不同形式和不同程 度的安全威脅。1.銷售方存在的安全隱患交易系統(tǒng)遭到非法破壞非法入侵這假冒合法用戶的名義擅自改變用戶的商業(yè)數(shù)據(jù)（如商品送達(dá)地址、訂貨單上的訂貨內(nèi)容等）、解除用戶訂單或生成虛假用戶訂單。競爭對手檢索到商品遞送狀況惡意競爭者以非法手段進(jìn)入系統(tǒng)，以他人的名義訂購商品，從而了解有關(guān)商品的物流配送狀況及貨物的庫存狀況。客戶資料被競爭對手非法截獲 競爭對手通過不正當(dāng)?shù)氖侄?，獲取客戶資料，影響企業(yè)營銷方案

13、的實(shí)施和拉走客戶。被他人假冒而損害公司的信譽(yù)競爭對手或其他不良企圖的人，通過建立與銷售.方服務(wù)器相同名字的另一個(gè)服務(wù)器來假冒銷售者，損害銷售者的信譽(yù)。虛假訂單惡意消費(fèi)者故意搗亂，肆意提交原本就子虛烏有的訂單，攻擊服務(wù)器。獲取他人機(jī)密數(shù)據(jù)比如某某人想要了解另一個(gè)人在銷售商那里的信譽(yù)時(shí)，他就以另一個(gè)人的名字向銷售商定一系列價(jià)格昂貴的商品，然后觀察銷售商的反應(yīng)。加入， 銷售商認(rèn)可核準(zhǔn)訂單有效，則說明被觀察的對象信譽(yù)較高，否則，則說明被觀察者的信 譽(yù)不高。2購買方存在的安全隱患虛假訂單的困擾假冒訂貨者可能會以某個(gè)消費(fèi)者的名義在網(wǎng)上訂購商品，而且有可能收到送貨上門的商品，此時(shí)客戶可能被要求付款或返還商品

14、。付款收不到的商品消費(fèi)者下過訂單并付完款以后，由于銷售商的種種原因，使得消費(fèi)者不能及時(shí)收到商品，可能有是有如泥牛入海，一去不復(fù)返。機(jī)密信息的失竊客戶在網(wǎng)上是電子商務(wù)系統(tǒng)進(jìn)行交易時(shí)，有可能將自己個(gè)人的數(shù)據(jù)或身份鑒別數(shù)據(jù)（如賬號、口令密碼等）發(fā)送給冒充銷售商欺騙，這些信息也可能 會在傳遞過程中被人隨意解惑，造成失竊。請求服務(wù)遭拒絕當(dāng)銷售方的銷售服務(wù)器被攻擊者發(fā)送大量的虛假訂單好進(jìn)系統(tǒng)資源時(shí)，使得很多的合法用戶無法享受正常的服務(wù)，而總是提示系統(tǒng)忙。二、電子商務(wù)的安全技術(shù)在電子商務(wù)的交易中，經(jīng)濟(jì)信息、資金都要通過網(wǎng)絡(luò)傳輸，交易雙方的身份也需要 認(rèn)證，因此，電子商務(wù)的安全性主要是網(wǎng)絡(luò)平臺的安全和交易信息

15、的安全口。在這里我 想重點(diǎn)談?wù)劮阑饓夹g(shù)和數(shù)據(jù)加密技術(shù)。（一）防火墻技術(shù)防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分，它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和 訪問行為來實(shí)現(xiàn)對網(wǎng)絡(luò)安全的有效管理。從總體上看，防火墻應(yīng)該具有以下五大基本功 能：（1）過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)：（2）管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；（3）封堵某些禁止行為; （4）記錄通過防火墻的信息內(nèi)容和活動(dòng)；f5）對網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警。目前的防火墻主要有兩種類型。其一是包過濾型防火墻；它一般由路由器實(shí)現(xiàn)，故 也被稱為包過濾路由器。它在網(wǎng)絡(luò)層對進(jìn)入和出去內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析，一般 檢查數(shù)據(jù)包的IP源地址、IP目標(biāo)地址、TCP端口號、ICMP消息

16、類型，并按照信息過濾 規(guī)則進(jìn)行篩選若符合規(guī)則，則允許該數(shù)據(jù)包通過防火墻進(jìn)入內(nèi)部網(wǎng)，否則進(jìn)行報(bào)警或 通知管理員，并且丟棄該包。這樣一來，路由器能根據(jù)特定的內(nèi)容允許或拒絕流動(dòng)的數(shù) 據(jù)，如：Telnet服務(wù)器在TCP的23號端口監(jiān)聽遠(yuǎn)程連接，若管理員想阻塞所有進(jìn)入的 Telnet連接，過濾規(guī)則只需設(shè)為丟棄所有的 TCP端口號為23的數(shù)據(jù)包。采用這種技術(shù)的防火墻速度快，實(shí)現(xiàn)方便，但由于它是通過IP地址來判斷數(shù)據(jù)包是否允許通過，沒有 基于用戶的認(rèn)證，而IP地址可以偽造成可信任的外部主機(jī)地址，另外它不能提供日志， 這樣一來就無法發(fā)現(xiàn)黑客的攻擊紀(jì)錄。其二是應(yīng)用級防火墻；大多數(shù)的應(yīng)用級防火墻產(chǎn) 品使用的是應(yīng)用

17、代理機(jī)制，內(nèi)置了代理應(yīng)用程序，可用代理服務(wù)器作內(nèi)部網(wǎng)和In ternet之間的的轉(zhuǎn)換。若外部網(wǎng)的用戶要訪問內(nèi)部網(wǎng)，它只能到達(dá)代理服務(wù)器，若符合條件， 代理服務(wù)器會到內(nèi)部網(wǎng)取出所需的信息，轉(zhuǎn)發(fā)出去。同樣道理，內(nèi)部網(wǎng)要訪問In ternet，也要通過代理服務(wù)器的轉(zhuǎn)接，這樣能監(jiān)控內(nèi)部用戶訪問In ternet 這類防火墻能詳細(xì)記錄所有的訪問紀(jì)錄，但它不允許內(nèi)部用戶直接訪問外部，會使速度變慢。且需要對每一 個(gè)特定的In ternet服務(wù)安裝相應(yīng)的代理服務(wù)器軟件，用戶無法使用未被服務(wù)器支持的服 務(wù)。防火墻雖然能對外部網(wǎng)絡(luò)的功擊實(shí)施有效的防護(hù)，但對來自內(nèi)部網(wǎng)絡(luò)的功擊卻無能為力。網(wǎng)絡(luò)安全單靠防火墻是不夠的，

18、還需考慮其它技術(shù)和非技術(shù)的因素，如信息加密 技術(shù)、制訂法規(guī)、提高網(wǎng)絡(luò)管理使用人員的安全意識等。就防火墻本身來看，包過濾技 術(shù)和代理訪問模式等都有一定的局限性，因此人們正在尋找更有效的防火墻，如加密路 由器、“身份證”、安全內(nèi)核等。但實(shí)踐證明，防火墻仍然是網(wǎng)絡(luò)安全中最成熟的一種 技術(shù)。(二)數(shù)據(jù)加密技術(shù)2加密技術(shù)用于網(wǎng)絡(luò)安全通常有二種形式，即面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)。面向網(wǎng)絡(luò)的加密技術(shù)通常工作在網(wǎng)絡(luò)層或傳輸層，使用經(jīng)過加密的數(shù)據(jù)包傳送，認(rèn)證網(wǎng)絡(luò)路由及其他網(wǎng)絡(luò)協(xié)議所需的信息，從而保證網(wǎng)絡(luò)的連通性和可用性不受損害。面向網(wǎng)絡(luò)應(yīng)用服務(wù)的加密技術(shù)使用則是目前較為流行的加密技術(shù)的使用方法，例如使用kerberos服務(wù)的tel net， nfs，rlogio n等，以及用作電子郵件加密的 peru (privacy enhancedail)和PgP fpretty goodprivacy)。這一類加密技術(shù)的優(yōu)點(diǎn)在于實(shí)現(xiàn)相對較為簡 單，不需要對電子信息f數(shù)據(jù)包)所經(jīng)過的網(wǎng)絡(luò)的安全性能提出特殊要求，對電子郵件數(shù) 據(jù)實(shí)現(xiàn)了端到端的安全保障。常用的加密技術(shù)有以下幾種：1數(shù)字摘要(digital digest)這一加密方法亦稱安全 Hash編碼法，由Ron Rivest所設(shè)計(jì)。該編碼法采用單向Hash 函數(shù)將需加密的明文“摘要”成一串128bit的密文，這一串密文亦稱為數(shù)字指紋(Finger