电子商务信息安全.docx
《电子商务信息安全.docx》由会员分享,可在线阅读,更多相关《电子商务信息安全.docx(26页珍藏版)》请在冰豆网上搜索。
电子商务信息安全
电子商务信息安全
————————————————————————————————作者:
————————————————————————————————日期:
毕业论文中文摘要
电子商务中的信息安全技术研究
摘要:
随着互联网的发展,电子商务已经逐渐融入到政治、经济和社会文化之中,成为社会经济和生活的重要组成部分。
网络技术的不断完善与普及,电子商务的发展前景是非常远大的,但在其发展中却也存在很多不利因素。
电子商务中存在问题的不断出现,信息安全方面的重要性日益凸显。
本文通过对当前电子商务信息安全的现状进行分析,研究发现其存在的问题;再通过重点深入的了解当前电子商务中运用的信息安全技术,查找这些技术的缺陷所在;分析中国银行网上银行成功运用安全技术保障信息安全的实例;提出电子商务信息安全建设的注意事项,并对存在的问题提出解决方案。
最后以信息安全技术为主导提出电子商务信息安全体系建设的新思路,展望信息安全技术的发展趋势,并从安全协议,法律制度等角度对信息安全建设进行分析,使之与技术相结合,从而促进电子商务的信息安全体系建设。
关键词:
电子商务信息安全安全技术对策研究
毕业论文外文摘要
TitleInformationSecurityTechnologyResearchofE-commerce
Abstract
WiththedevelopmentoftheInternet,e-commercehasgraduallyintegratedintothepolitical,economicandsocio-cultural.e-commercehasbecomeanimportantpartofthesocio-economicandlife.Networktechnologycontinuestoimprovewiththepopularityofe-commercedevelopmentprospectsareveryambitious,initsdevelopment,butalsotherearemanynegativefactors.Problemsemerginge-commerce,theimportanceofinformationsecurityhasbecomeincreasinglyprominent.
Inthispaper,theanalysisofthestatusquoofthecurrente-commerceinformationsecurityanditsproblems,thestudythroughthefocusofin-depthunderstandingofthecurrentuseofe-commerceinformationsecuritytechnology,findwheretheproblemlies;analysisofthesuccessfuluseofonlinebankingExamplesofsecuritytechnologytoprotectinformationsecurity;proposedtheconstructionofe-businessinformationsecurityprecautions,andtheproblemswithsolutions.Putforwardnewideasfore-commerceinformationsecuritysystemastheleadinginformationsecuritytechnologyandlookingforwardtothedevelopmenttrendofinformationsecuritytechnology,Andanalyzedfromtheperspectiveofthesecurityagreement,thelegalsystem,combiningwiththetechnology,Soastopromotee-commerceinformationsecuritysystem.
Keywords:
electroniccommerce;Informationsecurity;Securitytechnology;CountermeasureResearch
1绪论
1.1电子商务中信息安全技术研究的背景
电子商务是计算机信息技术开发与运用的产物,是人类科技、经济、文化发展的结晶,代表了未来经济发展的方向。
面对滚滚而来的电子商务浪潮,如何建立电子商务的信息安全机制,保障电子商务良性发展,是当前面临的一个非常重要的问题。
进入21世纪以来,随着全球经济一体化和信息化的高速发展,电子商务也在我国迅速发展,同时使得电子商务活动中的信息安全问题成为首要解决的问题。
各类诈骗、虚假信息充斥着整个网络,企业及个人在电子商务交易中屡屡受骗,黑客事件和安全事故时有发生。
电子商务的发展受到了严重的影响。
与传统商务相比,电子商务通常是买卖双方是不直接见面的,因此参与交易的双方的信息安全必须得到保证,而这就需要安全技术的支撑,建立生疏可靠的消费体系和权益得到保障的运作方式,绝不是一件简单的事。
想要确保电子商务信息安全在当今流行的电子网上交易中得到保障,在这方面我们与国外的差距是非常大的,在差距中寻找不足,我们认识到,安全技术是主要方面。
因此,建设电子商务信息安全体系,积极配合行业其他体系建设,不断的进行电子商务的创新与突破显得尤为重要。
1.2电子商务中信息安全技术应用的意义
电子商务作为一种现代流通方式,具有成本低,效率高,范围广,服务群体大的特点。
因此其发展前景是非常远大的,但在其发展中却也存在很多不利因素,本文对电子商务存在的问题进行了分析探讨,指出以下几个重要的因素供大家参考。
大家都说安全技术是电子商务的基石。
应当看到,电子商务不是空中楼阁,它在很大程度上是基于传统经济方式和交易环境的,无论是电子商务的哪种交易方式,安全技术的支撑是必不可少的,是维护电子商务长足发展的基础。
我国电子商务在各方面与国际电子商务还存在一定的差距,这种差距主要是安全技术上和安全体系模式上的,一个残缺的安全技术体系是无法保证电子商务的顺畅运行的。
我们在保持自身诚信的同时,更需要大力的发展信息安全技术,建设信息安全体系,不断的进行电子商务信息安全技术的创新与突破。
在现有的电子商务网站上存在着大量的关于信息安全的问题。
通过对信息安全技术的研究,发现信息安全体系对于电子商务的发展有着非常重要的作用:
1)信息安全体系是电子商务发展的前提;2)信息安全体系是电子商务运行的基石;3)信息安全体系是电子商务的一种重要资源;4)信息安全体系是电子商务盈利的有力保证;5)信息安全体系是电子商务达到规模经济的捷径。
因此,目前对电子商务中信息安全技术应用进行研究有着重要的意义。
1.3国内外电子商务与信息安全的发展状况
2012年1月16日,中国互联网络信息中心(CNNIC)在京发布《第29次中国互联网络发展状况统计报告》,根据CNNIC发布的《中国互联网络热点调查报告》中显示:
网上购物大军达到6465万人,年增长高达24.8%。
在全体互联网网民中,有过购物经历的网民占近20%的比例。
据CNNIC发布的《互联网发展及安全状况热点数据》显示:
35.2%网民对目前的互联网安全状况感到不满。
电子商务是互联网应用发展的必然趋势,也是国际金融贸易中越来越重要的经营模式,以后它还会逐渐地成为我们经济生活中一个重要部分。
但同时我们也看到,我国的电子商务还处于发展的初级阶段还有很长的路要走,从而信息安全是保证电子商务健康有序发展的关键因素。
美国是世界上目前电子商务规模最大的国家,其电子商务的应用领域和规模都远远领先于其他国家,在全球所有电子交易额中目前大约有50%以上都发生在美国。
不仅如此,美国还拥有全球商业网络的90%。
在电子商务信息安全技术方面,美国也是先行一步,长期的积累和不断的创新,使得美国在安全技术方面遥遥领先。
欧洲许多国家的电子商务相对于美国起步比较晚,但经过几年的发展也已经颇具规模。
在欧盟的七个国家中,英国和德国的电子商务处于领先地位;在亚洲,日本、韩国、印度都在电子商务方面也紧跟美国的步伐,发展迅速。
美国、英国、德国以及日本、韩国、印度等国以及电子商务仍处在发展中的我国虽然在电子商务方面取得了很大的发展,虽然各个厂商和网站普遍采用目前较为先进的信息安全技术,但是信息安全受到威胁和破坏的案例时有发生。
各国的电子商务网站(如美国yahoo)频频受到黑客攻击,并陷入瘫痪,各种间谍软件、网页仿冒诈骗以及信用卡诈骗等事件层出不穷,使得电子商务的发展受到了严重的阻扰。
因此,如何从信息安全的角度保证电子商务的顺利发展,是目前国内外急需解决的问题。
2电子商务和信息安全技术
2.1电子商务
电子商务通常是指是在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于B/S(浏览器/服务器)应用方式,买卖双方在互不谋面地情况下进行各种商贸活动,实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。
电子商务有以下几个重要的特性:
(1)普遍性:
电子商务作为一种新型的交易方式,将生产企业、流通企业以及消费者和政府部门带入了一个网络经济、数字化生存的新天地。
(2)方便性:
在电子商务环境中,人们不再受地域的限制,客户能以非常简捷的方式完成过去较为繁杂的商务活动,如通过网络银行能够全天候地存取账户资金、查询信息等,同时使企业对客户的服务质量得以大大提高。
(3)整体性:
电子商务能够规范事务处理的工作流程,将人工操作和电子信息处理集成为一个不可分割的整体,这样不仅能提高人力和物力的利用率,也可以提高系统运行的严密性。
(4)协调性:
商务活动本身是一种协调过程,它需要客户与公司内部、生产商、批发商、零售商间的协调,在电子商务环境中,它更要求银行、配送中心、通讯部门、技术服务等多个部门的通力协作,电子商务的全过程往往是一气呵成的。
(5)集成性:
电子商务以计算机网络为主线,对商务活动的各种功能进行了高度的集成,同时也对参加商务活动的商务主体各方进行了高度的集成。
高度的集成性使电子商务进一步提高了效率。
(6)安全性:
在电子商务中,安全性是一个至关重要的核心问题,它要求网络能提供一种端到端的安全解决方案,如加密机制、签名机制、安全管理、存取控制、防火墙、防病毒保护等等,从而保证电子商务中的信息安全。
本文认为,安全性是保证电子商务其他特性的基础,只有实现了电子商务的信息安全,才能使电子商务顺利畅通的运行,保证参与进来的各个社会群体的利益,这是电子商务能够协调消费群体与企业的前提。
当电子商务的安全性得到保证,就能使电子商务的集成性顺利实现,进一步的提高电子商务的效率。
2.2信息安全技术
电子商务中的信息安全问题不断出现,信息安全技术成为世人关注的重点。
无论是商家,企业还是学者,政府,都对信息安全技术有了较为深刻的认识。
中国工程院院士李德毅认为,信息安全技术是指保证己方正常获取、传递、处理和利用信息,而不被无权享用的他方获取和利用己方信息的一系列技术的统称。
它认为信息安全技术与其他技术有着类似之处,就是为信息安全服务的技术,无论从各种理论上,还是从各种现实的硬软件技术,都是以保护信息的安全为目的。
在北京“中国信息安全技术与发展战略”高层研讨会上,何德全院士指出,信息安全技术其实是一个广义概念,是涉及到从计算机到安全协议,从硬件技术到软件技术,从行业规划到产品认证等多个层面的,用以保护信息安全的技术总称。
综合学者的认识,本文认为信息安全技术是主要用于管理和保障信息安全所采用的各种技术的总称。
它主要是应用计算机科学、通信技术以及信息隐藏技术等来来存储、维护和保护信息以及信息系统安全。
主要包括传认证和访问控制技术、密码技术、数字签名技术、数字水印技术以及防火墙技术等。
信息安全技术在保护信息安全方面的作用:
图1-1信息安全技术的作用
由上图可以看出,信息安全技术是保护信息安全的中坚环节,是保证信息安全的最基本力量。
在电子商务中广泛应用信息安全技术,在预防上,能够达到预防风险,消除威胁隐患;在信息流动过程中,能够实现检测危害信息,地址未授权信息进入;一旦信息收到破坏,能够做到恢复原有数据,校正错误信息。
可见,信息安全技术可以从头到尾的保护电子商务中的信息流,加快信息技术的创新和应用,必对电子商务的发展起到良好的推动作用。
2.3电子商务与信息安全技术的关系
随着电子商务的进一步推广和应用,信息安全的滞后对其发展的制约越来越明显。
特别是各大知名购物网络购物平台安全漏洞出现后,是企业和消费者都受到了不同程度的损失,严重影响了电子商务的信誉。
信息安全的重要性对电子商务活动的影响越来越受到人们的关注。
信息安全是电子商务的保障,是电子商务运作的重要部分,是信息流、资金流和商流最终实现的根本保证。
电子商务的整个运作过程就是信息流、资金流、商流和物流的流动过程,其优势体现在信息资源的充分共享和运作方式的高效率上,其信息的安全性不言而喻,一旦出现问题,所有的工作等于零。
由于电子商务信息系统存在一定的脆弱性,面对各种人为的、非人为的、恶意的、非恶意的、内部的或外部的威胁,商务信息在使用、传输和存储过程中以及消费者的个人信息接收和确认过程中,很容易受到干扰、滥用丢失、窃取、篡改和破坏。
因此必须建立严格的电子商务信息安全体系。
信息安全技术就是建立电子商务信息安全体系最强有力的支撑,缺少了信息安全技术,安全体系便无从谈起,那么电子商务给消费者带来的购物便捷便等于零,消费者必然会转向他们认为的更安全的传统消费模式。
信息安全技术直接的影响电子商务企业的竞争力,影响电子商务的发展。
因此信息安全技术就成了电子商务信息安全的基本保障,是电子商务顺利发展的基石。
3我国电子商务中信息安全技术应用现状
3.1我国电子商务的发展历程
我国计算机应用已有近60年的历史,但是电子商务仅有不到20年。
1987年9月20日,中国的第一封电子邮件越过长城,通向了世界,揭开了中国使用互联网的序幕。
我国的电子商务发展,大致经历了以下几个阶段:
(一)起步期:
1990-1993年,电子数据交换时代,成为中国电子商务的起步期,这是中国开展EDI的电子商务应用阶段。
(二).雏形期:
1993-1997年,政府领导组织开展金关、金卡、金税的“三金工程”阶段,为电子商务发展期打下坚实基础。
1993年成立国务院副总理为主席的国民经济信息化联席会议及其办公室,相继组织了金关、金卡、金税等"三金工程",取得了重大进展。
1996年1月成立国务院国家信息化工作领导小组,由副总理任组长,20多个部委参加,统一领导组织中国信息化建设。
1996年,全桥网与因特网正式开通。
1997年,信息办组织有关部门起草编制中国信息化规划。
1997年,中国第一家垂直互联网公司诞生浙江网盛科技股份有限公司。
1997年4月在深圳召开全国信息化工作会议,各省开始制订本省包含电子商务在内的信息化建设规划。
1997年,广告主开始使用网络广告。
1997年4月以来,中国商品订货系统(CGOS)开始运行。
(三)发展期:
1998-2000年,互联网电子商务发展阶段。
1998年3月,中国第一笔互联网网上交易成功。
1998年10月,国家经贸委与信息产业部联合宣布启动以电子贸易为主要内容的"金贸工程",它是一项推广网络化应用、开发电子商务在经贸流通领域的大型应用试点工程。
1999年3月8848等B2C网站正式开通,网上购物进入实际应用阶段.1999年兴起政府上网、企业上网,电子政务、网上纳税、网上教育,远程诊断等广义电子商务开始启动,并已有试点,并进入实际试用阶段。
(四)稳定期:
2000-2009年,电子商务逐渐以从传统产业B2B为主体,标志着电子商务已经进入可持续性发展的稳定期。
(五)成熟期:
3G的蓬勃发展促使全网全程的电子商务V5时代成型。
我国的电子商务虽然有了长足的进步,但是与美国和欧洲这些老牌电子商务强国
相比,还有这很大的差距,还需要政府与广大参与者不断的努力,使我国的电子商务发展更上一层楼。
3.2信息安全技术在电子商务领域的应用现状和实例分析
电子商务的快速发展,为了保护电子商务的信息安全,信息安全技术得到了广泛的推广和应用。
这些信息安全技术有着时代的先进性和技术上的先进性,对电子商务的信息安全保护起到了一定的作用。
为电子商务的发展做出了一定的贡献。
3.2.1目前电子商务信息安全技术研究主要侧重方面
(一)认证技术:
所谓认证,就是要求进入网络或服务器的用户要求验证其身份。
目前应用最多的是数字认证技术:
是以数字证书为核心的加密技术。
可以对网络上传输的信息进行加密和解密、数字签名和数字认证,确保网上传递信息的安全性,完整性。
使用了数字证书,即使您在网上发送的信息在网上被他人截获,甚至丢失了您的个人账户、密码等信息,仍能保证您的账户、资金安全。
验证身份的基本方法是用户账号,还可以采用人体的生理特征,如指纹、眼底纹等。
在互联网上,为了加强身份认证,引进了证书的概念。
证书是个人身份或站点的数字证明,是数字化的身份证或护照。
所谓访问控制,就是规定主体对客体的访问限制。
访问控制与用户身份认证密切相关,即确定该合法用户在系统中对哪类信息有什么样的访问权限。
认证体系结构一般为如下结构:
图3-1认证体系结构图
(二)密码技术。
所谓密码技术,就是保护重要的信息,不让别人读懂的一种手段。
密码技术包括加密和解密两个方面。
加密是将原始信息进行数学变换成不可读懂信息的过程。
解密是加密的逆过程。
密码技术有两个要素:
算法和密钥。
密码技术分为对称密码和非对称密码技术。
对称密码技术即发送方与接受方使用同一个密钥取加密和解密报文。
此密钥必须为发送者和接收者所共享,且不允许公开。
因此发送和接收地位是对称的。
对称密钥加密技术具有效率高的特点,即可用较短的密钥长度,较简单的算法,较少的系统投入完成较好的加密效果。
非对称密码技术即信息的加密和解密采用不同的密钥,一把密钥用来加密信息,而另外一把密钥则用以将信息还原。
在网络上的通讯者每人都拥有两把密钥:
一把公开让所有人知道公钥,一把自己秘密保存密钥。
非对称加密体制:
图3-2非对称密码技术流程示意图
(三)数字签名技术。
数字签名是由非对称密码技术研发得来,用以证明一个信息的来源和内容的真实性。
在网络上,通讯者之间无法彼此确认对方的身份,数字签名可被用来验证传送者的身份。
接收者可确保某一信息确实是由传送者所送出,没有被更改过,而传送者也无法否认。
(四)数字水印技术:
是将一些标识信息(即数字水印)直接嵌入数字载体(包括多媒体、文档、软件等)当中,但不影响原载体的使用价值,也不容易被人的知觉系统(如视觉或听觉系统)觉察或注意到。
通过这些隐藏在载体中的信息,可以达到确认内容创建者、购买者、传送隐秘信息或者判断载体是否被篡改等目的。
(五)防火墙技术:
防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。
防火墙最初是针对Internet网络不安全因素所采取的一种保护措施。
防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户XX的访问。
它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。
防火墙技术主要分以下几个种类:
包过滤防火墙、状态/动态检测防火墙、应用程序代理防火墙、NAT、个人防火墙。
3.2.2信息安全技术应用实例分析
随着银行业务及网络规模的不断扩大,重要时期信息安全面临着严峻的考验。
而中国银行在信息安全技术的成功运用下,从整体信息流的流通过程入手,从基本上实现了及时发现银行网上银行业务系统的安全隐患,防止来自内部和外部的恶意攻击事件。
并及时进行应急响应与安全事件处理,为银行业务提供才、全程保护,增强了中国银行网上银行系统的抗风险能力,防止系统发生重大事件。
接下来就以中国银行为例,分析其在信息安全技术的成功运用:
图3-5电子银行信息安全技术应用分析实例图
由上图可见,中国银行的网上银行在开展电子业务的过程中,利用密码技术和认证技术来确认用户的身份,阻止非法者的进入,同时为用户解决仿造站点问题;采用水印技术确保机要文件和内部信息的安全;在传递电子邮件和在线支付/转账时利用数字签名技术对信息进行加密,防止信息伪造,篡改;另外,采用防火墙技术,为网上银行的内部网络提供安全保障。
中国银行网上银行从业务开始到服务结束,都有信息安全技术的参与,在每个环节利用不同的信息安全技术,充分发挥了各个信息安全技术的特点,成功的为信息的流通实现了保驾护航。
3.3信息安全技术在电子商务领域的应用中存在的问题
众所周知,我国各大银行的信息安全体系是比较先进和完善的,但是这并没能完全的保证其用户的信息安全。
2004年12月08日,中国银行发布声明,7日下午有不法分子制作了该行的假网站,外观与真网站非常相似。
而在此前,已有一个与中国工商银行网站十分相似的网站开始运行。
12月11日网上又发现了一个假银联网站。
假的银联网站主页上有着与中国银联一模一样的标志和相关的动画,同时网页的底栏还有各商业银行的信用卡标志。
这些假网站都有自己的服务器,同时仿照银行的验证系统要求用户输入验证信息,而用户的验证信息发送错误信息到银行真正的服务器,再返回错误的信息给用户。
而假网站的服务器将盗取的姓名、账号、密码和持卡银行等信息据为己有,盗取用户的钱财。
中国反钓鱼网站联盟正式发布的2011年9月月报。
月报显示:
9月1日至9月30日期间,联盟秘书处(中国互联网络信息中心)共认定并停止域名解析的钓鱼网站数量达971个。
截至9月30日,联盟秘书处累计收到反钓鱼网站投诉近8700例,其中共认定并处理了7301个涉嫌网络钓鱼的网站。
月报指出,9月份仿冒淘宝网骗取用户钱财的钓鱼网站比例大幅上扬,分别较7、8月份增长了235.4%和207.4%,而假冒QQ中奖和仿冒腾讯官方网站骗取用户信息的钓鱼网站比例基本没有下降。
各种事实表明,我国的电子商务信息安全体系仍然存在漏洞,信息安全技术应用仍有待加强。
目前我国电子商务中主要存在的信息安全问题,如下图所示:
图3-6电子商务中存在的信息安全问题
通过对我国电子商务中主要存在的信息安全问题进行分析,并针对我国电子商务中主要用到的信息安全技术研究,主要发现现有技术有一下缺陷:
(一)、密码技术
密码技术有着自己较为狭窄的适用领域:
私钥的使用位置固定、使用环境相对安全;信任结构简单、稳定;对认证速度要求较高(如VPN应用);有明显的离线认证要求(如“代码签名”)。
不适用领域:
信任关系复杂,有明显的变动性;私钥使用环境不安全(比如在单位的公用机,网吧等);需要高级的安全功能(比如匿名签名,团体签名,长期可验证的签名等)。
在协调产生密钥的过程中,任何有关密钥产生的信息都必须保证不会被窃听,一旦密钥被第三者取得或算出,则会引起泄密。
升级会员 