提高电子商务安全性的对策.docx

1、提高电子商务安全性的对策提高电子商务安全性的对策山 东 英 才 学 院毕 业 论 文（设 计） 论文（设计）题目： 提高电子安全性的对策 二级学院： 商学院 学科专业： 电子商务 学 号： 姓 名： 班 级： 指导教师： 论文提交时间： 2012.05.19 山东英才学院教务处制 2012年5月15日毕业论文（设计）内容介绍论文（设计）题 目提高电子商务安全性的对策选题时间2012.05.11完成时间2012.05.19论文（设计）字数8000关 键 词网络 电子商务 安全性 对策论文（设计）题目的来源、理论和实践意义：随着信息时代的来临，网络服务的高速发展。电子商务已经逐渐成为人们进行商务活

2、动的新模式。越来越多的人通过网络进行商务活动。但电子商务的安全现状显然满足不了日益增长的需求现状，电子商务的安全性成为一个约束电子商务发展的重要因素。本文根据国际电子商务的安全性现状进行了总结与剖析，对电子商务存在的问题以及对这些问题的解决提供了一些建议和意见。相信随着科技的不断进步，电子商务的不断发展，电子商务安全性能够得到提高，为电子商务的发展保驾护航。论文（设计）的主要内容及创新点：本文主要是根据国际和我国电子商务发展现状，对电子商务的重要性、电子商务的安全现状、电子商务存在的安性问题以及针对这些安全性问题采取的措施进行了总结和剖析，并对电子商务安全性发展提出了一些值得思考和建设的问题。

3、电子商务安全不仅是要堵，也要导。提高公民的诚信、安全意识。立法机关也应该根据电子商务发展的不同阶段进行法律的不断完善。附：论文（设计）本人签名： 樊向阳 2012年 05 月 19 日提高电子商务安全性的对策摘 要：随着信息时代的来临，网络服务的高速发展。电子商务已经逐渐成为人们进行商务活动的新模式。越来越多的人通过网络进行商务活动。可以说电子商务的发展前景十分诱人，然而其安全问题也变得越来越值得担忧，严重阻碍了电子商务的发展和普及。如何营造一个安全的、放心的电子商务环境，已经成为各行业用户们都十分关注的问题。本文简要分析了电子商务的安全现状及其安全要素，从电子商务所面临的安全威胁及其因素出发

4、，介绍了电子商务网络的安全体系及原则，进而提出提高电子商务安全性的对策。 关键字：网络 电子商务 安全性 对策 一、引言： 虽然电子商务目前还不是交易模式的主流模式，但电子商务的市场发展潜力巨大，因为：一方面，潜在消费者的发展速度惊人。据联合国贸发会议2010年电子商务发展报告显示，到2010年底，全球英特网用户已达20亿之众。在中国，据中国互联网信息中心(CNNIC)最新的调查报告显示，截止2011年6月底，上网用户已达到6.5亿，他们中的一部分已是电子商务的消费者，而更多的则是这个快速发展市场的潜在消费者。另一方面，电子商务交易额快速增长。2010年仅淘宝网的年交易就突破4.5万亿，201

5、1上半年达到2.98万亿。当今世界，除电子商务市场以外，其他任何市场都难有如此高的交易数额，因此，其市场前景极为可观。 综上可知电子商务发展的形势可人，电子商务这一模式也变得越来也重要，所以其安全问题更值得我们关注，可以说其安全性已经成为影响其成败的关键因素。因此本文对提高电子商务安全性及对策进行研究和探讨。二、电子商务安全现状据统计，仅2009年上半年挂载木马网页数量累计达2.9亿个，共11.2亿人次网民访问挂载木马，2010年元旦三天就新增电脑病毒50万。病毒的数量不仅增速变快，智能型，病毒变种更新速度快已经成为现在的一个特征。而且服务器成为重点攻击目标。2011年各大网站纷纷被“拖库”，

6、数亿条用户信息被公开。相对单个的计算机来说，服务器就是个宝库。客户端防范越严密时，服务器可能会被列入攻击目标。目前新木马并不多更多的是变种木马，反病毒软件更新升级很快，所以病毒存活时间变的短了，因此病毒投放者不再投放单一病毒，而是通过下载器来进行投放，可以自动从指定的网址上下载新病毒，并进行自动更新，永远也无法将其杀绝。病毒投放者利用病毒木马技术进行网络盗窃、咋骗活动等活动进行网络犯罪的事件明显增多，电子商务网络犯罪也呈现出大众化，公开化的趋势。骗术仍将层出不穷。金山毒霸安全中心在分析传播规律时发现，一些早已可以查杀的病毒总在不断造成较多感染。大量病毒正在趋于灰色化：即破坏性越来越不明显，比如

7、锁定主页，添加浏览器书签和推广互联网软件。中毒用户在清除失败时，会觉得破坏并不严重，而对病毒采取姑息态度。传播方式也有显著的变化，过去传播病毒主要通过网络进行。目前随着移动介质的不断增加，储存介质已经成为电子商务网络病毒感染率上升的主要原因。病毒、木马通过AUTORN.inf文件自动执行介质中的病毒、木马程序，进而感染用户的计算机系统。网络病毒给电子商务造成的损失继续增加，据调查显示，浏览器配置被修改，损坏或丢失数据，系统的使用受限，网络无法使用，密码被盗等都给电子商务造成严重的破坏后果。2006年的“熊猫烧香”病毒利用蠕虫病毒的传播能力和多种传播渠道帮助木马传播。攫取非法经济利益，给被感染的

8、用户带来重大的损失。继“熊猫烧香”之后，复合型病毒大量出现，如：仇英、艾妮等病毒。同时，利用病毒、木马技术传播垃圾邮件和进行网络攻击。破坏的事件呈上升趋势，这些事件无不影响电子商务安全运行环境，所以对于解决电子商务安全问题势在必行。三、电子商务存在的安全问题电子商务安全问题主要有：网络协议安全性问题、用户信息安全性问题、电子商务网站的安全性问题。它们的表现形式有： （一）信息窃取、篡改与破坏电子的交易信息在网络上传输的过程中，可能被他人非法修改、删除或被多次使用，这样就使信息失去了真实性和完整性。包括网络硬件和软件的问题而导致信息传递的丢失与谬误；以及一些恶意程序的破坏而导致电子商务信息遭到破

9、坏。 （二）身份假冒 在电子商务交易过程中如果不进行身份识别，第三方就有可能假冒交易一方的身份，以破坏交易，败坏被假冒一方的声誉或盗窃被假冒一方的交易成果等。 （三）诚信安全问题这个问题也是制约电子商务发展的一个重大阻碍，电子商务的支付形式有电子支票、电子钱包、电子现金、信用卡支付等。但是采用这几种支付方式，都要求消费者先付款，然后商家再发货。所以会给用户心理造成一种不适感，影响电子商务的正常发展。 （四）交易抵赖有些用户可能对自己发出的信息进行恶意的否认，以推卸自己应承担的责任。电子商务的交易应该同传统的交易一样具有不可抵赖性。交易抵赖包括多个方面，如发信者事后否认曾经发送过某条信息或内容，

10、收信者事后否认曾经收到过某条消息或内容，购买者做了定货单不承认，商家卖出的商品因价格差而不承认原有的交易等。这就对用户以后使用网络交易时造成一种不信赖感。 （五）病毒感染 病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”我国计算机病毒主要就是蠕虫等病毒在网上的猖獗传播。蠕虫主要是利用系统的漏洞进行自动传播复制，从而使网络流量急剧上升，造成网络访问速度变慢甚至瘫痪。 （六）黑客黑客一词，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。但到了今天，黑客一词已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的家伙。他

11、们会摧毁整个计算机系统，窃取或者损害保密数据，修改网页，甚至最终导致业务的中断。 （七）特洛伊木马程序特洛伊木马是一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无察觉的情况下，让攻击者获得了远程访问和控制系统的权限。特洛伊可以删除数据，将自身的复本发送给电子邮件地址簿中的收件人，以及开启计算机进行其他攻击。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中，诱使粗心的用户在自己的机器上运行。最常见的情况是，上当的用户要么从不正规的网站下载和运行了带恶意代码的软件，要么不小心点击了带恶意代码的邮件附件。 （八）恶意破坏程序网站提供一些软件应用(例如ActiveX和Java Applet)，由

12、于这些应用非常便于下载和运行，从而提供了一种造成损害的新工具。恶意破坏程序是指会导致不同程度的破坏的软件应用或者Java小程序。一个恶意破坏程序可能只会损坏一个文件，也可能损坏大部分计算机系统。 （九）网络攻击目前已经出现的各种类型的网络攻击通常被分为三类：探测式攻击，访问攻击和拒绝服务(DOS)攻击。探测式攻击实际上是信息采集活动，黑客们通过这种攻击搜集网络数据，用于以后进一步攻击网络。通常，软件工具(例如探测器和扫描器)被用于了解网络资源情况，寻找目标网络、主机和应用中的潜在漏洞。例如一种专门用于破解密码的软件，这种软件是为网络管理员而设计的，管理员可以利用它们来帮助那些忘记密码的员工，或

13、者发现那些没有告诉任何人自己的密码就离开了公司的员工的密码。但这种软件如果被错误的人使用，就将成为一种非常危险的武器。访问攻击用于发现身份认证服务、文件传输协议(FTP)功能等网络领域的漏洞，以访问电子邮件帐号、数据库和其他保密信息。DOS攻击可以防止用户对于部分或者全部计算机系统的访问。它们的实现方法通常是：向某个连接到企业网络或者互联网的设备发送大量的杂乱的或者无法控制的数据，从而让正常的访问无法到达该主机。更恶毒的是分布式拒绝服务攻击(DDOS)，在这种攻击中攻击者将会危及多个设备或者主机的安全。四、提高电子商务安全性的对策提高电子商务的安全性主要包括：提高网络安全性和提高商务安全性。

14、（一）网络安全电子商务网络安全主要是指计算机和网络本身可能存在的安全问题，也就是要保障电子商务平台的可用性和安全性，其内容包括计算机物理安全、系统安全、数据库安全、网络服务安全等。 在保证网络安全上，硬件设备的冗余、在线修复技术、防火墙、入侵检测系统、防病毒系统等都是经常采用的对策。 1、硬件设备的冗余通常指通过多重备份来增加系统的可靠性。冗余技术主要体现在电源、硬盘冗余（单卡双盘的镜象技术、双卡双盘技术或者配置阵列卡等）、内存冗余、冗余网卡、冗余总线/通道几个方面。关当系统发生故障时，冗余配置的部件介入并承担故障部件的工作，由此减少系统的故障时间。即当某一设备发生损坏时，它可以自动作为后备式

15、设备替代该设备。键部件的冗余设计对电子商务计算机的可靠运行具有重要的意义。 2、 在线修复技术电子商务服务通常是724小时连续的，在工作时一般不允许中途停机。因此，在冗余设计保证服务计算机不因小故障而失效的前提下，还应具备在线修复手段，能及时排除出现的故障，确保处于正常运行状态，为电子商务提供服务。一般依靠以下技术实现：故障部件隔离、故障部件可带电插拔、部件的在线配置技术，实现对硬盘、外设插卡、电源、风扇的热插拔与在线修复等。 3、防火墙防火墙是一种安全有效的防范技术，是访问控制机制、安全策略和防入侵措施。从狭义上来讲，防火墙是指安装了防火墙软件的主机或路由器系统；从广义上讲，防火墙还包括了整

16、个网络的安全策略和安全行为。它是通过在网络边界上建立起来的相应的网络安全监测系统来隔离内部和外部网络，以确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部网络服务，阻挡外部网络的入侵。防火墙是在两个网络通信时执行的一种访问控制尺度，它能允许“同意”的人和数据进入内部网络，同时将“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问内部网络。如果不通过防火墙，内部网络的人就无法访问外部网络，外部网络上的人也无法和内部网络的人进行通信。防火墙的应用可以有效的减少黑客的入侵及攻击，为电子商务的施展提供个相对更安全的平台。 4、入侵检测系统防火墙守护着网络的边界，保护网络不受外部攻击。

17、然而，一旦攻击者穿透或绕过防火墙后，无论网络内部发生了什么变化，防火墙都无法发现。此时，就可以用到入侵检测系统来维护网络内部的稳定了。入侵检测系统（简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。它是一个能够读取和解释路由器、防火墙、服务器和其他网罗设备的日志文件内容的特殊工具。入侵检测对防火墙后面的网络行为进行实时监控，能进一步增强安全。 5、防病毒系统 防病毒软件最重要的是“防”，有些杀毒软件纯粹是下载病毒库，扫描的时候就用病毒库对照，看有病毒就杀。但是如果病

18、毒库里没有，它就没办法了。这样总是迟一步。现在的云技术就是依靠网络，直接在服务器的病毒库对比，这就比较快了。另外对系统的监控要强，发现有病毒及时处理，以前有款杀毒软件，当它提示有病毒的时候，系统已经中毒了，杀还杀不掉，所以说防病毒软件重要的不是能杀多少病毒，而是能把病毒拒之门外，及时发现及时处理 (二)商务安全电子商务的商务安全则主要指商务交易在网络这种媒介中出现的安全问题，包括防止商务信息被窃取，篡改，伪造以及交易行为被抵赖，也就是要实现电子商务的保密性、完整性、真实性和不可抵赖性。 保证电子商务的商务安全的主要技术有：数据加密技术、数字签名技术以及电子商务认证中心（CA） 1、数据加密技术

19、在电子商务中，数据加密技术是其他安全技术的基础，也是最主要的安全措施，贸易方可根据需要在信息交换的阶段使用。目前，加密技术分为两类，即对称加密和非对称加密。(1)对称加密。对称加密又称为私钥加密，是应用较早的加密算法，技术成熟。在对称加密算法中，数据发信方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。对称加密方式存在的一个

20、问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享同一把专用密钥，贸易双方的任何信息都是通过这把密钥加密后传送给对方的。 (2)非对称加密。非对称密钥加密也叫公开密钥加密，它主要指每个人都有一对唯一对应的密钥：公钥加密法是在对数据加解密时，使用不同的密钥，通信双方各具有两把密钥，即一把公钥和一把密钥。公钥对外界公开，私钥自己保管，用公钥加密的信息，只能用对应的私钥解密。非对称密钥加密算法的优点是易于分配和管理，缺点是算法复杂，加密速度慢。一般用公钥来进行加密，用私钥来进行签名；同时私钥用来解密，公钥用来验证签名。算法的加密强度主要取决于选定的密钥长度。为了充分发挥对称和非对称加密体制各自的

21、优点，在实际应用中通常将这两种加密体制结合在一起使用，比如：利用DES来加密信息，而采用RSA来传递对称加密体制中的密钥。 2、数字签名技术在确保信息完整性方面，数字签名技术占据着不可替代的位置。目前数字签名的应用主要有数字摘要、数字签名和数字时间戳技术。 (1)数字摘要。数字摘要是对一条原始信息进行单向哈希（Hash）函数变换运算得到的一个长度一定的摘要信息。原始信息都与之分别对应，不同的原始信息必然得到一个不同的摘要。若信息的完整性遭到破坏，信息就无法通过原始摘要信息的验证，成为无效信息，信息接收者便可以选择不再信任该信息。(2)数字签名。数字签名是公开密钥加密技术的一类应用。数据签名技术

22、是通过密码技术实现电子交易安全的形象说法,是电子签名的主要实现形式。它力图解决互联网交易面临的几个根本问题:数据保密、数据不被篡改、交易方能互相验证身份、交易发起方对自己的数据不能否认。其具体过程为：文件的发送方从文件中生成一个数字摘要，用自己的私钥对这个数字摘要进行加密，从而形成数字签名。这个被加密的数字签名文件作为附件和原始文件一起发送给接收者。接收方收到信息后就用发送方的公开密钥对摘要进行解密，如果解出了正确的摘要，即该摘要可以确认原始文件没有被更改过。“数字签名”是目前电子商务、电子政务中应用最普遍、技术最成熟、可操作性最强的一种电子签名方法。 (3)数字时间戳。交易行为中，时间是十分

23、重要的信息。在电子交易中，需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳技术是对数字文件或交易信息进行日期签署的一项第三方服务。加盖数字时间戳后的信息不能进行伪造、篡改和抵赖，并为信息提供了可靠的时间信息以备查用。提高了电子商务交易的安全性。3.数字证书数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式。可用电子方式证明信息发送者和接收者的身份、文件的完整性，甚至数据媒体的有效性。它是由一个由权威机构-CA机构，又称为证书授权（Certificate Authority）中心发行的，

24、人们可以在网上用它来识别对方的身份。它是一个经证书授权中心数据签名的包含公开密钥拥有者信息以及公开密钥的文件。，数字认证技术有着有广阔的应用前景，它将直接影响电子商务的发展。 4、电子商务认证中心CA(CertificateAuthority)是数字证书认证中心的简称，是指发放、管理、废除数字证书的机构。CA的作用是检查证书持有者身份的合法性，并签发证书（在证书上签字），以防证书被伪造或篡改，以及对证书和密钥进行管理。认证中心是检验管理密钥是否具有真实性的第三方，它是一个权威机构，专门验证交易双方的身份。验证的方法是接受个人、商家、银行等涉及交易的实体申请数字证书，核实情况，批准或拒绝申请，颁

25、发数字证书。认证中心除了检验外，还具有管理、搜索和验证证书等职能。认证中心，负责审核用户的真实身份并对此提供证明，而不介入具体的认证过程，从而缓解了可信第三方的系统瓶颈问题，而且只须管理每个用户的一个公开密钥，大大降低了密钥管理的复杂性，这些优点使得非对称密钥认证系统可用于用户众多的大规模网络系。5、安全认证协议目前电子商务中经常使用的有安全套接层SSL(Secure Sockets Layer)协议和安全电子交易SET(Secure Electronic Transaction)协议两种安全认证协议。安全套接层(SSL)协议。安全套接层协议是在Internet基础上提供的一种保证私密性的安全

26、协议。它能使客户/服务器应用之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选择对客户进行认证。SSL协议要求建立在可靠的传输层协议之上。它是与应用层协议独立无关的。目的是为用户提供Internet和企业内联网的安全通信服务。SSL协议在应用层收发数据前，协商加密算法，连接密钥并认证通信双方，从而为应用层提供了安全的传输通道；在该通道上可透明加载任何高层应用协议(如HTTP、FTP、TELNET等)以保证应用层数据传输的安全性。SSL协议握手流程由两个阶段组成：服务器认证和用户认证。SSL采用了公开密钥和专有密钥两种加密：在建立连接过程中采用公开密钥；在会话过程中使用专有密钥。加密的类

27、型和强度则在两端之间建立连接的过程中判断决定。它保证了客户和服务器间事务的安全性。6、安全电子交易(SET)协议为了克服SSL安全协议的缺点，满足电子交易持续不断地增加的安全要求，并为了达到交易安全及合乎成本效益的市场要求，VISA国际组织及其他公司如Master Card、IBM等共同制定了安全电子交易（SET：Secure Electronic Transactions）协议。这是一个为在线交易而设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证，这对于需要支付货币的交易来讲是至关重要的。SET协议保证了电子交易的机密性、数

28、据完整性、身份的合法性和防抵赖性，且SET协议采用了双重签名来保证各参与方信息的相互隔离，使商家只能看到持卡人的订购数据，而银行只能取得持卡人的信用卡信息。所以它是一种能广泛应用于Internet上的安全电子付款协议，它能够将普遍应用的信用卡的使用场所从目前的商店扩展到消费者家里，扩展到消费者个人计算机中。由于设计合理，SET协议得到了许多大公司和消费者的支持，己成为全球网络的工业标准，其交易形态正成为未来电子商务的规范。 (三)其他安全 1、法律保障电子商务的技术设计是先进的、超前的，具有强大的生命力。但同时也必须清楚地认识到，在目前的法律上是找不到或很少有现成的条文来保护电子商务交易中的交

29、易方式的，在网上交易可能会承担由于法律滞后而造成的安全风险。由于电子商务各项活动首先是一种商品的交易，因此安全问题应当通过相关法律加以保护，必须保证电子合同和数字签名的法律地位、签约双方对电子合同的认可、电子合同的不可否认或修改,确保电子合同能够得以实施。 2、道德的规范 伦理学认为，道德的作用机制主要有两方面；一是社会的道德舆论；二是主体的道德良心。后者作为一种内在机制，使得其能够自主自觉地选择正确的道德行为；对于自己的不道德行为，则能够予以内心的谴责而产生羞愧，从而纠正、放弃道德上错误的行为取向。由于电子商务中交易双方不是直接面对面的特点,传统交易过程中屡屡出现的欺诈行为势必会对电子商务产

30、生安全方面的影响。所以,电子商务的健康发展有赖于社会道德规范的建立和完善，主体的道德良心约束机制尤为重要。 3、完善的管理策略由于电子商务交易系统是一个人机高度综合的系统,除了网络的安全之外,管理人员的管理也是非常重要的,而且是起决定性作用的因素。因此,对整个系统的管理权限的分配和监督、管理人员的培训和考核、道德和业务水平的培养都必须制定出一套完整的规章制度,以利于培养管理人员敬业爱岗的精神。五、总结 本文介绍了电子商务当前发展的现状以及所面临的安全问题，指出了解决这些问题的具体方法，分析了目前电子商务领域安全性对策上的主要技术及意见，但还必须强调的是电子商务的安全运行需从多方面入手，仅在技术

31、角度防范是远远不够的。安全只是相对的，而不是绝对的。因此，为进一步促进电子商务体系的完善和行业的健康快速发展，必须在实际运用中解决电子商务中出现的各类问题，使电子商务系统相对更安全。与电子商务技术永远都在不断往前发展一样，安全策略也永远都不会有一个终极版本，它必定会在业界人士的不断努力下，越来越趋于成熟、趋于完善。 参考文献1（美）埃弗雷姆.特白思戴维.金,杰李等著王理平张晓峰译:电子商务 管理新视角(第 2版).电子工业出版社,2005.09 2杨坚争著:电子商务基础与应用(第五版).西安电子科技大学出版社,2007.073管有庆 董晓燕著：电子商务安全技术.北京邮电大学出版社.2009.1

32、04王琘杭著：网络世界中电子商务的安全问题淡析.2010.015蒋汉生等著：电子商务安全导论.辽宁教育出版社.2008.056杜文宏著：我国电子商务道德伦理问题思考.2011.027陈文等著：我国电子商务发展中的法律障碍及对策.2010.07毕业论文（设计）成绩评议指导教师意见（包括选题的意义，资料收集或实验方法、数据处理等方面的能力，论证或实验是否合理，主要观点或结果是否正确，有何独到的见解或新的方法，基础理论、专业知识的掌握程度及写作水平等）：成绩： 指导教师签名： 年 月 日评阅人意见： 评阅人签名： 年 月 日答辩小组意见： 成绩： 答辩小组负责人签名： 年 月 日学院审核意见：负责人签名：（公章）年 月 日