电子商务网络信息安全问题论文.docx
《电子商务网络信息安全问题论文.docx》由会员分享,可在线阅读,更多相关《电子商务网络信息安全问题论文.docx(9页珍藏版)》请在冰豆网上搜索。
电子商务网络信息安全问题论文
中国某某某某学校
学生毕业设计(论文)
题目:
电子商务网络信息安全问题
姓名:
0000
班级、学号:
00000班、0000号
系(部):
经济管理系
专业:
电子商务
指导教师:
00000
开题时间:
2009-3-10
完成时间:
2009-11-10
2009年11月10日
目录
毕业设计任务书…………………………………………………1
毕业设计成绩评定表……………………………………………2
答辩申请书……………………………………………………3-4
正文……………………………………………………………5-18
答辩委员会表决意见……………………………………………19
答辩过程记录表…………………………………………………20
课题电子商务网络信息安全问题
一、课题(论文)提纲
0.引言
1.电子商务信息安全现状
2.电子商务信息安全面临的威胁
2.1黑客的攻击
2.2计算机病毒的危害
2.3垃圾邮件泛滥
2.4严重的网络漏洞
2.5硬件安全问题
3.电子商务信息安全的防范措施
3.1防火墙技术
3.2入侵检测技术
3.3病毒防范技术
3.4漏洞扫描技术
3.5加密技术
3.6硬件安全措施
4.结束语
5.参考文献
二、内容摘要
电子商务是一种新兴商务形式,在全球内已掀起热潮,但它在安全方面所面临的问题,已成为制约其发展的关键因素。
本文简要地分析了电子商务活动中存在的几种信息安全隐患问题,并探讨了几种安全防范措施。
三、参考文献
[1]蔡自兴:
浅析网络信息安全技术[J].企业技术开发,2006,
(1)
[2]丁胜.计算机网络安全[J].科技资讯,2006(8)
[3]祁明.电子商务安全与保密[M].北京:
高等教育出版社,2006.
[4]黎连业.防火墙及其应用技术[M].北京:
清华大学出版社,2004.
[5]蔡立军.网络安全技术[M].北京:
清华大学出版社,2006.
电子商务网络信息安全问题
00000
中文摘要:
电子商务是一种新兴商务形式,但它在安全方面所面临的问题,已成为制约其发展的关键因素。
本文简要地分析了电子商务活动中存在的几种信息安全隐患问题,并探讨了几种安全防范措施。
关键词:
电子商务;信息安全现状;黑客;计算机病毒;防火墙;漏洞扫描技术
0.引言
随着信息技术和计算机网络的迅猛发展,电子商务也随之产生,并在全球内飞速发展。
电子商务(EC)是英文“ElectronicCommerce”的中译文,它指的是通过简单、快捷、低成本的电子通信方式,买卖双方不谋面地进行的各种商务活动。
电子商务的发展正在改变着人们的生活以及整个社会的发展进程,贸易网络将引起人们对管理模式、工作和生活方式,乃至经营管理思维方式等等的综合革新。
对贸易和商业领域来说,电子商务的发展正在改变着传统的贸易方式,缩减交易程序,提高办事效率。
但是,由于互联网具有开放性特点,网上黑客的侵袭、网络的数据盗窃、病毒的传播等网络信息安全问题也日益严重,并制约了电子商务的发展。
网络信息安全已成为人们关注的焦点,因此,建立一个安全可靠的电子商务应用环境,确保网络信息的真实性、可靠性和保密性,已经成为影响电子商务发展的关键性课题。
1.电子商务信息安全现状
根据CNNIC发布的《中国互联网络热点调查报告》中显示:
网上购物大军达到2000万人,在全体互联网网民中,有过购物经历的网民占近20%的比例。
由此可见,随着社会信息化步伐的不断加快,电子商务活动也日益广泛。
但由于电子商务活动是以Internet为交易平台,其信息所面临的安全威胁也很大。
据有关调查,计算机犯罪案件逐年递增,犯罪学家预言未来信息化社会犯罪的形式将主要是计算机网络犯罪。
我国自1986年深圳发生第一起计算机犯罪案件以来,计算机犯罪呈直线上升趋势,犯罪手段也日趋技术化、多样化,犯罪领域也不断扩展,许多计算机犯罪形式在互联网上都能找到影子,而且其危害性已远远超过传统犯罪。
计算机犯罪的犯罪主体大多是掌握了计算机和网络技术的专业人士,甚至一些原为计算机及网络技术和信息安全技术专家的职业人员也挺而走险,其犯罪所采用的手段则更趋专业化。
他们洞悉网络的缺陷与漏洞,运用丰富的电脑及网络技术,借助四通八达的网络,对网络及各种电子数据、资料等信息发动进攻,进行破坏,给个人和企业等带来了不同程度的信息安全问题。
信息安全是指由于各种原因引起的信息泄露、信息丢失、信息篡改、信息虚假、信息滞后、信息不完善等,以及由此带来的风险。
具体的表现有:
窃取商业机密;泄漏商业机密;篡改交易信息,破坏信息的真实性和完整性;接收或发送虚假信息,破坏交易、盗取交易成果;伪造交易信息;非法删除交易信息;交易信息丢失等。
如果信息被非法窃取或泄露可能给有关企业和个人带来严重的后果和巨大的经济损失。
如果不能及时得到准确、完备的信息,企业和个人就无法对交易进行正确的分析和判断,无法做出符合理性的决策。
非法删除交易信息和交易信息丢失可能导致经济纠纷,给交易的一方或多方造成经济损失。
据美国独立研究机构波莱蒙研究所(PonemonInstitute)统计数据显示,2008年来自17个国家的43家大型公司有4200条到113000条客户记录丢失,其造成的损失约为1亿5千万元人民币。
并曾表示,2007年企业在数据丢失时的平均损失是,每条记录大约202美元。
而2005年该公司同类性质调查的结果是每条记录损失138美元,2006年的调查结果是182美元,2007则是197美元,3年间每条记录损失费用增长,且呈逐年递增趋势。
2.电子商务信息安全面临的威胁
网络安全的威胁来自很多方面,这些威胁可以宏观的分为人为因素和自然因素,它们都可对通信安全构成威胁。
攻击可分为被动攻击和主动攻击。
被动攻击主要威胁信息的保密性,常见的被动手段有偷窃和分析;主动攻击则意在篡改系统中所含信息,或者改变系统的状态和操作。
因此主动攻击主要威胁信息的完整性、可用性和真实性。
常见的主动攻击手段有冒充、篡改、抵赖等。
目前,网络信息面临的威胁主要表现在以下几个方面:
2.1黑客的攻击
资源共享和信息安全一直作为一对矛盾而存在着,计算机网络资源共享的进一步加强,随之而来的信息安全问题也日益突出。
网上黑客为了达到个人目的对Intenet的攻击越来越激烈。
黑客利用系统中的安全漏洞非法进入他人计算机系统,盗取他人信息、或破坏他人计算机系统,对网络构成极大威胁。
黑客攻击分为主动攻击和被动攻击两种。
主动攻击是指攻击者通过有选择的中断、伪造数据流或数据流的一部分以达到其非法目的。
被动攻击是指攻击者通过监听网络上传递的信息流,对信息流进行分析,从而获取有用信息。
网站遭受黑客破坏的事例不胜枚举,如据某媒体报道:
2008年5月18日,犯罪嫌疑人杨某非法侵入昆山红十字会网站,在消息中填写自己拥有的银行卡卡号和户名,企图以赈灾募捐名义敛取钱财;5月25日,湖南省红十字会透露,一些网络黑客偷偷地潜入了省红十字会网站,将上面的慈善账号改为了诈骗的银行账号,6名涉案人员全部被抓获。
这是继地震网站被黑之后,又一次在社会上造成恶劣影响的公益网站被黑客攻击事件。
2.2计算机病毒的危害
病毒与计算机相伴而生,它是通过某种途径潜伏在计算机程序里专门用来破坏计算机正常工作,具有高级技巧的程序。
病毒并不是独立存在,而是寄生在其他程序之中,它具有隐蔽性、潜伏性、传染性和极大的破坏性。
随着计算机在社会生活各个领域的广泛运用,计算机病毒攻击与防范技术也在不断拓展。
据报道,世界各国遭受计算机病毒感染和攻击的事件屡屡发生,严重地干扰了正常的人类社会生活,给计算机网络和系统带来了巨大的潜在威胁和破坏。
同时随着网际互联网的迅猛发展,电子邮件成为人们相互交流最常使用的工具,于是它也成电子邮件型病毒的重要载体。
安天实验室对2005~2009年上半年同期计算机病毒疫情进行了全方位的分析与统计,自2005上半年至2009上半年病毒数量分别为12万个、15万个、23万个、132万个、265万个病毒的发展态式呈稳定上升的趋势,并且在原有病毒种类基础上,不断的出现新的分类,如盗号木马、web木马、利用漏洞病毒等,给个人用户、大型企业、学校、政府部门等都带来了不同程度的经济损失。
随着计算机应用的发展,防范计算机病毒越来越受到世界各国的高度重视。
2.3垃圾邮件泛滥
随着互联网的发展和电脑的普及,电子邮件成为了我们日常生活的一个部分,企业在利用互联网进行电子商务的时候,电子邮件的使用也是最基础的电子商务应用服务。
但是,随着电子邮件的日益增多,垃圾邮件问题也愈演愈烈。
在一份关于电子邮件的调查中显示,2008年第一季度全球所发送的所有电子邮件中,垃圾邮件的比例达到了92.3%,它给我们带的经济损失也达到了一个不可思议的地步。
垃圾邮件是正常邮件的附属产物,也是各种商务、经济活动在互联网络上非一种正常的表现形态。
垃圾邮件的传播蔓延,严重侵害了电子邮件用户通信利益,影响了电子邮件服务正常运营秩序,危害了互联网安全和社会稳定,已经成为互联网一大公害。
2.4严重的网络漏洞
网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。
据相关数据表明,2008年,用漏洞发起攻击的行为占到90%以上,而2009年上半年,微软操作系统接连被发现两个“零日”漏洞.5月31日,江民反病毒中心监测发现,微软DirectShow漏洞在播放某些经过特殊构造的QuickTime媒体文件时,可能导致远程任意代码执行.7月8日,微软确认视频处理组件DirectShow存在MPEG零日漏洞,江民反病毒中心监测发现大量网站被黑客攻陷,利用该漏洞进行网页挂马.除了微软最新漏洞之外,网页挂马者最青睐的漏洞还包括RealPlayer、Flash暴风影音这些最常用的播放软件漏洞.RealPlayer从2008年起就成为骇客挂马的最常用漏洞之一,暴风影音在今年4月30日被首次发现零日漏洞,该漏洞存在于暴风影音ActiveX控件中,该控件存在远程缓冲区溢出漏洞,利用该漏洞,黑客可以制作恶意网页,用于完全控制浏览者的计算机或传播恶意软件.江民反病毒中心监测发现数百个恶意网页利用暴风影音零日漏洞挂马,该漏洞还间接导致了一场江苏等六省断网的黑客内斗事件.另外,软件还存在“后门”,它是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,如果“后门”一旦被洞开,使用这些软件的企业将面临很大的风险。
2.5硬件安全问题
谈到网络信息安全问题,人们总是会把他们的注意力集中到黑客、病毒或其它涉及到软件方面的威胁,而忽略了计算机的硬件安全给我们带来的信息威胁。
随着网上购物、在线支付和数码拍照的流行,个人电脑中保存的私人信息越来越多,如银行密码、信用卡号、私人邮件等。
通常我们认为只要把不要的文件删除再清空回收站后,别人就无法看到被删除的资料。
但事实却并非如此,我们很难想到,当我们把不要的硬盘丢弃或交还给电脑生产商作回收处理时,有人可以很容易的从废旧的电脑上恢复被我们删除的信息。
当不法分子利用专业软件获取我们的私人信息后,再将这些信息卖给图谋不轨的人,将给我们带来的恶劣后果是难以想象的。
3.电子商务信息安全的防范措施
3.1防火墙技术
网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术。
防火墙一般位于网络的边界上,按照一定的安全策略,对两个或多个网络之间的数据包和连接方式进行检查,来决定对网络之间的通信采取何种动作,比允许,拒绝,或者转换。
其中被保护的网络通常称为内部网络,其它称为外部网络。
使用防火墙,可以有效地控制内部网络和外部网络之间的访问和数据传输,防止外部网络用户以非法手段通过外部网络进入内部网络访问内部网络资源,并过滤不良信息。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,从而保证了内部网络信息的安全。
在学校内,校园网是进行科研和教学活动的场所。
一些不法分子为了窃取他人的科研成果,频繁的入侵和攻击校园网。
为了保护校园网上科研活动和教学任务的正常进行,在校园网和外网间设置放火墙是保护校园网免受外来攻击的是一种重要的手段。
学校的防火墙安全配置策略一般要做到以下几点:
(1)允许外部用户连接到校园网中的一台WEB服务器;
(2)保证作为防火墙的主机安全、禁止外部用户使用Telnet、FTP等基本服务访问内部主机。
(3)隐蔽内部网络结构,保证校园内部用户可以通过仅有的一个合法IP地址连接Internet。
同时要求许可校校园内部用户使用包括E-MAIL、WWW浏览、FIP等所有Internet上的服务。
(4)对可以访问Internet的校园用户进行限制,仅允许特定用户的IP地址可以访问外部网络,对内部用户实施口令认证、用户权限控制、流量控制、IP和MAC。
地址绑定、防止IP地址欺骗,同时也可以提供审计和记录内部网络用户使用情况。
(5)具备IP地址转换能力。
为了实现以上功能并且保障网络最大安全校园网要选择屏蔽子网体系结构的网络防火墙配置。
把校园网中能给我们提供各种信息服务的服务器如公众Web服务器、邮件服务器、外部DNS服务器等置于一个逻辑区域非设防区DMZ,DMZ是一内外网都能自由访问的区域。
DMZ与Internet之间设置了路由器、包过滤防火墙、代理服务器,DMZ与内网之间也设有防火墙。
这种设置具有较好的灵活性,可以禁止用户访问没有得到特别允许的设备。
外部用户通过路由器、包过滤防火墙、代理服务器、WWW服务器、发送邮件访问,所以可以很好的阻止其访问未经许可的内部资源。
内部用户也可以有限制的访问Internet资源。
这种配置首先要保证服务器的安全,还要考虑系统安全,主要是账号和文件系统安全,最好关闭服务器不必要的服务与端口,增加软件防火火墙和入侵检测系统。
通过实时检测对服务器的访问对非法访问进行拦截。
3.2.入侵检测技术
入侵检测被认为是防火墙之后的第二道安全闸门,它是指在不影响网络性能的情况下通过在计算机网络或计算机系统的关键点采集信息并进行分析,从中检测网络或系统中是否有违反安全策略的行为和被攻击的迹象。
网络入侵检测系统会分析出网络上出现的黑客攻击事件,及时将这种联机猎杀或阻断。
也可以配合防火墙的设置,由入侵检测系统自动动态修改防火墙的存取规则,拒绝来自这个IP后续联机动作。
所谓“猎杀“就是在服务器中设定一个陷阱,如有意打开一个端口,用检测系统对其进行24小时的严防检测,当黑客尝试通过此端口入侵时,入侵检测系统就会及时对该黑客实现封锁。
入侵检测系统一般分为基于主机、基于网络和基于网关的入侵检测系统。
基于主机的入侵检测系统通过监视与分析主机的审计记录来检测入侵。
能否及时采集到审计记录是这类系统的弱点之一,入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。
基于网络的入侵检测系统通过在共享网段上对通信数据的侦听采集数据,分析可疑现象。
这类系统不需要主机提供严格的审计,对主机资源消耗少,并可以提供对网络通用的保护而无需顾及异构主机的不同架构。
基于网关的入侵检测系统将新一代的高速网络与高速交换技术结合起来,通过对网关中相关信息的提取提供对整个信息基础设施的保护。
3.3病毒防范技术
随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大的威胁。
当计算机感染上病毒后,轻则使系统工作效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏。
因此,我们在使用电脑的时候要注重病毒的防范,排除病毒的干扰。
首先,要给自己的计算机安装防病毒软件,定期或不定期的进行病毒清理,并及时升级杀毒软件,上网时开启杀毒软件全部监控。
其次,要经常对计算机进行漏洞扫描,及时下载最新系统安全漏洞补丁,从根源上杜绝黑客利用系统漏洞攻击用户计算机的病毒。
另外,用户不要在计算机上安装网络上下载的XX的软件,在打开通过局域网共享及共享软件下载的文件或软件程序之前,最好先进行病毒查杀,以免导致中毒。
病毒防范的措施还有很多,如上网浏览时,不要随便点击不安全陌生网站、不要轻易打开陌生的邮件、在使用移动介质(如:
U盘、移动硬盘等)之前,先进行病毒查杀等。
3.4漏洞扫描技术
网络系统漏洞往往是外来攻击的主要目标,漏洞扫描技术就是对计算机系统或网络设备进行安全检测,提前发现安全隐患或系统漏洞,同时给出漏洞报告,指导计算机用户采用系统软件升级或关闭相关服务等手段避免受到这些攻击。
漏洞扫描系统分为网络扫描系统、主机扫描系统和数据扫描系统三种。
网络扫描系统主要依靠安全漏洞库对服务器、路由器、防火墙、操作系统和网络应用进程等进行基于网络层面的安全扫描。
主机扫描系统主要是针对操作系统内部问题进行更深入的扫描,它可弥补网络扫描系统只通过网络检查系统安全的不足;数据库扫描系统是一种专门针对数据库进行安全漏洞检查的扫描器,其主要功能是找出不良的密码设定、过期密码设定、关闭未使用的账号、侦测登录攻击行为等。
预防漏洞除了漏洞扫描技术外,还可以安装漏洞补丁。
补丁是软件开发商用来修补漏洞的程序,是降低漏洞危害最直接的办法。
根据美国软件工程研究所估算,如果系统能够及时安装合适的软件补丁,可以避免95%以上的网络入侵。
要有效降低或规避这些风险,一是靠智能化、自动化的补丁管理功能,自动完成补丁的通知和安装。
二要无缝关联漏洞检测结果,方便没有安装代理软件的终端进行安全加固。
三要提供二次开发接口给IPS、SOC等其它安全产品进行联动。
去年榕基推出的风险管理系统RJ-RMS,就是国内首款能与漏洞管理系统进行完全联动的产品,自动对各种主流操作系统和应用程序的软件缺陷,以及系统的错误配置进行修复。
还可以对终端设备的外设使用、软件运行、接入和联网等进行全局监视,并提供报警及阻断机制,从而更加全面地提升信息系统的主动防御水平。
3.5加密技术
在电子商务活动中,信息安全是保障电子商务实施的前提。
在保障信息安全各种功能特性的诸多技术中,密码技术是信息安全的核心和关键技术,通过数据加密技术,可以在一定程度上提高数据传输的机密性,保证传输数据的完整性。
目前,电子商务中广泛采用的数据加密技术主要有以下几种:
(1)数字签名。
无论是政治、军事、外交等领域的文件、命令和条约,还是人们日常生活中的书信以及商业中的契约等,都离不开用手书写的签名或印章,以便在法律上能认证、核准、生效。
但随着电子商务的发展,数字签名应运而生。
数字签名实际是附加在信息上并随着信息一起传送的一串代码,接收者只有用发送者的公钥才能解密被加密的摘要。
在电子商务安全保密系统中,数字签名技术有着特别重要的地位,它可以防止:
电子信息因易于修改而有人作伪;冒用别人名义发送信息;发出(收到)信件后又加以否认。
(2)数字证书。
数字证书用于证实一个用户的身份和对网络资源的访问权限,数字证书的内部格式通常包含惟一标识证书所有者和发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及序列号等。
在电子交易中,如果双方都出示了各自的数字证书,并用它们进行交易操作,那么双方就不必为对方身份的真实性而担心。
如工商银行2003年推出了获得国家专利的客户证书USBkey(U盾)。
从技术角度看.u盾是用于网上银行电子签名和数字认证的工具,它内置微型智能卡处理器,采用1024位非对称密钥算法对数据进行加密、解密和数字签名.确保网上交易的保密性、真实性、完整性和不可否认性。
它顺利地解决了当前网银密码泄漏的问题。
有了硬件数字证书的应用,即使你的密码泄漏了。
没有证书,黑客还是不能够使用你的帐户。
这就保障了用户在使用网上银行时个人信息的安全性,同时也促进了网上的银行的发展。
(3)数字信封。
数字信封是用密码技术保证只有规定的收信人才能阅读信的内容。
在数字信封中,信息发送方使用随机产生的对称密码对信息进行加密,再利用RSA算法对该密码进行加密,那么被RSA算法加密的密码部分称之为数字信封。
采用数字信封技术后,即使加密文件被他人非法截获,由于截获者无法得到发送方的通信密钥,而不可能对文件进行解密,从而保证信息的安全。
3.6硬件安全措施
我们在生活中对电脑的依赖与日俱增,而电脑更新换代的速率也越来越快,这给犯罪人员的可乘之机也愈来愈多。
要想保证我们在废弃的电脑上所遗留的私人信息的安全,唯一的方法就是彻底销毁硬盘,不给犯罪分子任何窃取、利用私人信息的机会。
由于硬盘是电脑中较容易损坏的配件,我们除了保证旧的电脑上的信息安全,还要注意正在使用的电脑的硬件的保养,以防止硬盘损坏而给我们造成的数据丢失。
其措施有:
硬盘在工作时不能突然关机;尽量不要频繁开关机,暂时不用时,干脆用屏幕保护或休眠;防止灰尘进入和温度过高;定期整理硬盘上的信息和对硬盘进行杀毒等。
4.结束语
安全是电子商务的核心和灵魂,没有安全保障的电子商务应用只是虚伪的炒作或欺骗,任何独立的个人或团体都不会愿意让自己的重要信息在不安全的电子商务流程中传输。
随着电子商务的发展,电子交易手段更加多样化,安全问题会变得更加重要和突出。
因此,网络应用,安全为本。
作为一个安全的电子商务系统,首先必须有一个安全、可靠的通信网络,以保证交易信息安全迅速地传递;其次必须保证数据库服务器绝对安全,防止黑客闯入网络盗取信息。
要逐步掌握电子商务安全的核心技术,不但在技术方面在保障电子商务的安全,还要从社会角度多方面多层次去构建电子商务的安全保障体系,它包括管理机构、法律、技术、经济等方面。
作为从事电子商务业与个人更注重最新安全技术的使用,更要加强安全方面的管理,做到防范于未然。
只有构建一个内容丰富、快速有效、安全可靠的电子商务系统,才能真正实现电子商务,消除客户对安全的担心,使电子商务蒸蒸日上,使企业对内实行高效管理,对外提高竞争力,使我国的电子商务安全现状得到进一步的改善,为我国电子商务的真正发展构筑一道牢不可破的坚固屏障。
参考文献:
[1]蔡自兴:
浅析网络信息安全技术[J].企业技术开发,2006,
(1)
[2]丁胜.计算机网络安全[J].科技资讯,2006(8)
[3]祁明.电子商务安全与保密[M].北京:
高等教育出版社,2006.
[4]黎连业.防火墙及其应用技术[M].北京:
清华大学出版社,2004.
[5]蔡立军.网络安全技术[M].北京:
清华大学出版社,2006.
升级会员 