网络金融与电子支付期末论文解析.docx
《网络金融与电子支付期末论文解析.docx》由会员分享,可在线阅读,更多相关《网络金融与电子支付期末论文解析.docx(10页珍藏版)》请在冰豆网上搜索。
网络金融与电子支付期末论文解析
网络金融与电子支付期末论文
题目浅谈电子商务交易陷阱及安全防范措施
学院名称经济管理学院
指导教师
班级
学号
学生姓名
2015年12月17日
浅谈电子商务交易陷阱及安全防范措施
刘媛媛
[摘要]在当今社会,全球经济的发展伴随着电子商务的发展,电子商务在经济生活中的地位牢固而不可撼动,但是与此同时,电子商务交易中的安全问题也变得越来越突出。
由于电子商务是一种全新的商务活动方式,人们对其比较生疏,而且交易双方互不相见,再加上一些媒体对计算机“黑客”“神乎其神”的报道,也使人们对电子商务的安全性充满疑惑。
如何建立一个安全、便捷的电子商务应用环境,对交易信息提供足够的保护,已经成为商家和用户都十分关心的问题。
本文首先介绍了电子商务安全问题的构成和基本需求,其次说明目前电子商务中存在的安全问题;最后提出相应的安全防范措施。
[关键词]电子商务安全问题安全防范措施网上交易
1、电子商务安全问题的构成和基本需求
电子商务发展的核心和关键问题是交易的安全性。
为了保护网上交易过程中交易双方的合法权益,人们针对电子商务系统所面临的主要威胁,对其安全性提出了具体的要求。
1.1、网络安全
一般认为,计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击三个方面。
1、黑客攻击
黑客攻击是指黑客非法进入网络,非法使用网络资源。
例如,通过网络监听获取网上用户的账号和密码;非法获取网上传输的数据;通过隐蔽通道进行非法活动等。
(1)口令攻击。
口令攻击是网上攻击最常用的方法,也是大多数黑客开始网络攻击的第一步。
黑客首先通过进入系统的常规服务或对网络通信进行监视,使用扫描工具获取主机的有用信息。
然后,反复试验和推测用户及其亲属的名字、生日、电话号码等,获取进入计算机网络系统的口令,以求侵入系统,从事袭击活动。
(2)服务攻击。
黑客所采用的服务攻击手段主要有四种:
①使目标主机建立大量的连接。
因为目标主机要为每次网络连接提供网络资源,所以当连接速率足够高、连接数量足够多时就会使目标主机的网络资源耗尽,从而导致主机瘫痪、重新启死机或黑(蓝)屏。
②向远程主机发送大量的数据包。
③利用即时消息功能,以极快的速度用无数的消息“轰炸”某个特定用户,使目标主机缓冲区溢出,黑客伺机提升权限,获取信息或执行任意程序。
④利用网络软件在实现协议时的漏洞,向目标主机发送特定格式的数据包,从而导致目标主机瘫痪。
(3)IP欺骗。
IP欺骗是适用于TCP/IP环境的一种复杂的技术攻击,它伪造他人的源地址,让一台计算机来扮演另一台计算机,借以达到蒙混过关的目的。
2、计算机病毒
计算机病毒,是指编制或者在计算机程序中插入破坏计算机功能或者毁坏数据、影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
计算机病毒是通过非法侵入来扩散的,计算机病毒程序把自己附着在其他程序上,等这些程序运行时,病毒就进入到系统中,进而大面积扩散。
3、拒绝服务攻击
拒绝服务攻击即攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。
其实对网络宽带进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够给目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。
1.2、电子商务对安全控制的要求
1、内部网的严密性
企业的内部网上一方面有着大量需要保密的信息,另一方面传递着企业内部的大量指令,控制着企业的业务流程。
因此保证内部网不被侵入或把侵入后的损失限制在一定范围,是开展电子商务时应着重考虑的一个问题。
2、完整性
(1)信息的完整性。
(2)数据和交易的完整性。
数据的完整性是指确保传输中的或存储中的数据未遭受XX的篡改和破坏;交易的完整性是指电子交易完成了交易的全部逻辑,实现了交易的全部功能,不存在单边账现象,同时交易各阶段中的数据是完整的。
3、保密性
电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密,均有保密的要求。
敏感信息不能披露给第三方,一旦被恶意获取,将造成极大的危害。
信息发送和接受要求在安全的通道进行,保证通信双方的信息保密。
交易的参与方在信息交换过程中没有被窃听的危险。
非参与方不能获取交易的信息。
4、不可修改性
交易的文件是不可被修改的。
因此,必须有相应的技术来防止电子交易文件被修改,以保证交易中的严肃与公正。
5、交易者身份的确定性
只有信息流、资金流、物流的有效转换,才能保证电子商务的顺利实现,而这一切均以信息的真实性为基础。
双方应该在交换信息之前通过各种方法获取对方的证书,并以此识别交易对方的身份不能被假冒或伪装,以有效鉴别确定交易方的身份。
6、交易的无争议和不可抵赖性
数据发送者对自己所发送数据的内容和事实不可否认;数据接受者在确实接收到数据后,对已经接收到的数据的事实不可否认。
7、有效性
电子商务要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的,
8、授权合法性
安全管理人员能够控制用户的权限,分配或终止用户的访问、操作、接入等权利,授权用户的访问不能被拒绝。
2、目前电子商务中存在的安全问题
电子商务面临的安全威胁主要有以下四个方面:
(1)在网络的传输过程中信息被截获
(2)篡改传输的文件
①篡改②删除③插入
(3)假冒他人身份
①伪造电子邮件和用户,虚开网站和商店②假冒他人身份
(4)不承认或抵赖已经做过的交易
(5)恶意破坏
3、电子商务安全防范措施
3.1防火墙措施
防火墙是指设置在不同网络或网络安全域之间的一系列部件组合。
防火墙安全保障技术主要是为了保护与互联网相连的企业内部网络或单独节点。
在逻辑上它是一个限制器,也是一个分析器,能有效地监控内部网和Internet之间的活动,保证内部网络的安全。
(1)防火墙的基本功能
①防火墙是网络安全的屏障
②防火墙可以强化网络安全策略
③对网络存取和访问进行监控审计
④防止内部信息外泄
⑤向客户发布信息
⑥防火墙的抗攻击能力
(2)防火墙的局限性
①不能阻止来自内部的破坏
②不能保护绕过它的连接
③无法完全防止新出现的网络威胁
④不能防止病毒
⑤不具备实时监控入侵的能力
⑥通常工作在网络层,无法检测和防御最新的拒绝服务攻击及蠕虫病毒的攻击
3.2数据加密技术
3.2.1对称式密钥加密技术
基于私有密钥体制采用了对称加密算法,即信息交换双方共同约定一个密钥。
通信的甲方将要发送信息用私钥加密后传给乙方,乙方用相同的私钥解密后获得甲方传递的信息。
对称加密算法有多种,最常用的是DES算法。
对称加密示意图
3.2.1.1对称式密钥加密技术的优缺点
优点:
对称式密钥加密技术具有加密速度快、保密度高等优点。
缺点:
(1)要求提供一条安全的渠道使通讯双方在首次通讯时协商一个共同的密钥。
(2)密钥的数目将快速增长而变得难于管理。
(3)对称加密算法一般不提供信息完整性的鉴别
3.2.2公开密钥加密技术
公开密钥加密体系采用的是非对称加密算法。
使用公开密钥算法需要两个密钥:
公开密钥和私有密钥。
具体是指发送方用接收方的公钥对需传递的信息加密,接收方收到信息后用自己的私钥对信息进行解密。
公开密钥体制常用的加密算法是RSA算法
使用公钥加密和对应的私钥解密的示意图
3.2.2.1公开密钥加密技术的优缺点
优点:
密钥少而便于管理;不需要采用秘密的通道和复杂的协议来传送密钥
缺点:
速度慢(适合对少量数据进行加解密)
3.3认证技术
3.3.1数字信封
数字信封对需要的信息的加密用对称密钥加密法;但密钥不先由双方确定,而是在加密前由发送方随机产生;用此随机产生的对称密钥对信息进行加密,然后将此对称密钥用接收方的公开密钥加密,准备定点加密发送给接收方。
接收方收到信息后,用自己的私人密钥解密,打开数字信封,取出随机产生的对称密钥,用此对称密钥再对所收到的密钥解密,得到原来的信息,保证信息的安全,又提高了速度。
3.3.2数字签名
数字签名和验证过程示意图
3.3.2.1数字签名的运作步骤如下:
(1)发送方首先用哈希函数,将需要传送的消息转换成报文摘要。
(2)发送方采用自己的私有密钥对报文摘要进行加密,形成数字签名。
(3)发送方把加密后的数字签名附加在要发送的报文后面,传递给接收方。
(4)接受方使用发送方的公有密钥对数字签名进行解密,得到发送方形成的报文摘要。
(5)接收方用哈希函数将接收到的报文转换成报文摘要,与发送方形成的报文摘要相比较,若相同,说明文件在传输过程中没有被破坏。
3.3.3数字证书
数字证书又称数字凭证,用电子手段来证实一个用户的身份和对网络资源的访问权限,是一种数字标识,提供的是网络身份证明。
3.3.3.1认证机构CA
电子商务认证机构(CA)是为了解决电子商务中交易参与各方身份及资信的认定,维护交易活动的安全,从根本上保障电子商务交易活动顺利进行而设立的机构,负责发放和管理数字证书。
3.4安全技术协议
3.4.1安全套接层协议(SSL)
SSL是Netscape公司率先采用的一种网络安全协议,它能把在网页和服务器之间传输的数据加密。
这种加密措施能够防止资料在传输过程中被窃取。
因此采用SSL协议传输密码和信用卡号等敏感信息以及身份认证信息是一种比较理想的选择。
SSL可以被理解成一条受密码保护的通道。
通道的安全性取决于协议中采用的加密算法。
目前SSL协议标准已经成为网络上保密通信的一种工业标准,在C/S和B/S的构架下都有广泛的应用。
3.4.2安全电子交易协议(SET)
SET是美国Visa和MasterCard两大信用卡组织等联合于1997年5月31日推出的用于电子商务的行业规范,其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范,目的是为了保证网络交易的安全。
SET妥善地解决了信用卡在电子商务交易中的交易协议、信息保密、资料完整以及身份认证等问题。
SET已获得IETF标准的认可,是电子商务的发展方向。
4、总结论述
如今,电子商务已经成为一切经济活动中乃至我们生活中不可或缺的组成元素,成为推动企业发展的核心力量。
而归根究底,电子商务安全问题才是电子商务顺利发展的一个关键,解决电子商务安全问题最重要的是技术,而问题总是不断变化的,威胁也不是一成不变的,所以我们只有在技术不断创新,才能赶上世界的变化和电商的发展,为人们创建一个安全便捷的电商世界。
[参考文献]
[1]李广建:
《电子商务技术》,北京师范大学网络教育学院,2005年1月。
[2]李洪心:
《电子商务概论》,东北财经大学出版社,2014年8月。
[3]瞿彭志:
《网络金融与电子支付》,北京化学工业出版社,2014年8月。
[4]神州信息技术网:
《电子商务网络安全解决方案》。
[5]劳帼龄:
《电子商务的安全技术》,中国水利水电出版社,2007年9月,第一版。