电子商务中的信息安全问题-论文.doc

1、中国某某某某学校学生毕业设计(论文)题 目： 电子商务中的信息安全问题 姓 名 ： 0000 班级、学号 ： 0000班、0000号 系 (部) ： 经济管理系 专 业 ： 电子商务 指导教师 ： 00000 开题时间： 2009-1-1 完成时间： 2009-11-2 2009 年 11 月 2 日目 录毕业设计任务书1毕业设计成绩评定表2答辩申请书3-5正文6-21答辩委员会表决意见22答辩过程记录表23课 题 电子商务中的信息安全问题 一、 课题(论文)提纲0.引言1.电子商务信息安全概述1.1电子商务信息安全的定义 1.2产生电子商务信息安全问题的背景1.3电子商务信息安全面临的威胁2

2、.电子商务中的信息安全问题 2.1网络安全问题 2.1.1计算机病毒攻击 2.1.2黑客恶意入侵2.2信息安全问题2.2.1信息泄露及篡改2.2.2交意双方抵赖问题3.提高电子商务信息安全的对策3.1信息的加密技术3.2身份的认证技术3.3防火墙的基本技术3.4防病毒系统4.结语注意：提纲基本要求写到二级标题二、内容摘要电子商务对人类社会经济产生了重大影响，在创造巨大经济效益的同时，也从根本上改变了整个社会商务活动发展进程。我国电子商务在曲折进程中，已有很大程度的发展,同时也存在诸多问题。本文客观地分析了电子商务信息安全存在的问题及电子商务中的基本安全技术，对加快电子商务的发展步伐提出了一些重

3、要思考。三、 参考文献1尚建成.电子商务基础M.高等教育出版社出版.2000.92杨晋.现代电子商务安全技术研究J网络安全技术与应用.2007.（01）3黄京华.电子商务教程M.清华大学出版社.2006.4翟才喜.杨敬杰.电子商务M东北.财经大学出版社.2002.25姚立新.新世纪商务.电子商务的知识发展与运作M.中国发展出版社.1999.浅析我国电信行业人力资源管理的问题及对策000中文摘要：电子商务对人类社会经济产生了重大影响，在创造巨大经济效益的同时，也从根本上改变了整个社会商务活动发展进程。我国电子商务在曲折进程中，已有很大程度的发展,同时也存在诸多问题。本文客观地分析了电子商务信息安

4、全存在的问题及电子商务中的基本安全技术，对加快电子商务的发展步伐提出了一些重要思考。关键词：电子商务；信息安全；信息管理0.引言随着互联网的不断发展,电子商务作为网络和商业结合的产物,正在靠近人们的生活,越来越引起更多人的关注。然而,由于互联网的开放性和匿名性,不可避免的存在许多安全隐患。信息在计算机系统中存放、传输和处理，所以如果不能很好地解决信息安全问题，电子商务的发展肯定会受到影响。在电子商务中,安全性是必须考虑的核心问题,要求网络能够提供安全的解决方案。1.电子商务信息安全概述1.1电子商务信息安全的定义我们讲电子商务信息安全，指如何保障电子商务信息系统内信息的安全它是指信息处理系统建

5、立和采用的技术和管理的安全保护防止信息被故意的或偶然的非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制和泄露，即确保信息的保密性、完整性、可用性、可控性。 1.2产生电子商务信息安全问题的背景电子商务自诞生之日起，安全问题就像幽灵一样如影随形而至，成为制约其进步发展的重要因素，由于INTERNET的开放性和其他各种因素的影响，在进行电子商务活动时，需要通过INTERNET传输消费者和商家的一些机密信息，如用户信用卡号、商家用户信息和订购信息等，而这些信息一直是网络非法入侵或黑客的攻击目标，如何保证电子商务的安全，如何对敏感的信息和个人信息提供机密性保障、认证交易双方的合法身份，保证数据的完

6、整性和交易的不可否认性等，是电子商务发展中迫切需要解决的问题。1.3电子商务信息安全面临的安全威胁虽然电子商务得到了初步的应用，但是用户对电子交易安全性的担忧正在严重地阻碍着电子商务的发展。电子商务作为一种新兴的商业模式能否顺利实施，其核心是成功解决电子商务中的安全威胁。归纳起来，信息常常会受到如下安全威胁： (1)信息机密性面临的威胁信息在传输过程中被窃取 如果没有采用加密措施或加密强度不够，攻击者可以通过互联网、公共电话网、搭线、在电磁波辐射范围内安装截收装置等方式，截获传输的机密推出如消费者的银行账号、密码及企业的商业机密等有用信息。攻击者还可以利用虚假电子商务网站或者假冒在线支付系统实

7、施诈骗、盗窃用户机密信息。 (2)信息完整性面临的威胁信息在传输过程中的篡改、删除或插入 当攻击者熟悉网络信息格式以后，通过各种技术方法和手段对网络传输的信息进行选择修改，并发往目的地，从而破坏信息的完整性。这种破坏手段主要有三个方面。篡改改变信息流的次序，更改信息的内容，如购买商品的出货地址、交货日期等删除删除某个消息或消息的某些部分，如买方的联系方式等；插入在消息中插入一些信息，让接收方读不懂或接收错误的信息，如商品的价格等。 (3)交易信息的可认证性面临的威胁抵赖做过的交易如发送者否认曾经发送过某条信息或内容、接收者事后否认曾经收到过某条消息或内容、购买者做了订货而不承认、商家卖出的商品

8、因价格差而不承认原有的交易等。 (4)交易双方身份真实性面临的威胁假冒他人身份当攻击者掌握网络信息数据规律或解密商务信息以后，可以假冒合法用户或发送假信息来欺骗其他用户，主要有两种方式。一种是伪造，即伪造电子邮件，虚开网站和商店，给用户发电子邮件，收货单, 窃取商家的商品信息和用户信用等信息。伪造大量用户，发电子邮件，穷尽商家资源，使合法用户不能正常访问网络资源，对有严格时间要求的服务不能及时得到响应。另外一种为冒充领导发布命令调阅密件，旨充他人消费、栽赃；冒充主机欺骗合法之机及合法用户。冒充网络控制程序，套取或修改使用权限、通行密码密等信息；接管合法用户，欺骗系统，使用合法用户的资源。2.电

9、子商务中的信息安全问题2.1网络安全问题电子商务的网络安全主要是指计算机和网络本身可能存在的安全问题，也就是要保障电子商务平台的可用性和安全性，其内容包括计算机物理安全、系统安全、网络服务安全等。 网络安全是电子商务的基础。为了保证电子商务交易能顺利进行，要求电子商务平台要稳定可靠，能不中断地提供服务。任何系统的中断，如硬件、软件错误，网络故障、病毒等都可能导致电子商务系统不能正常工作，而使贸易数据在确定的时刻和地点的有效性得不到保证，往往会造成巨大的经济损失。 2.1.1计算机病毒攻击“计算机病毒”是人为编制的具有很强破坏和感染力的计算机程序。它能通过某种迭径潜伏在计算机存贮介质(或程序)里

10、，当达到某种条件时即被激活。它以修改其他程序的方法将自己的精确拷贝或者可能演化的形式放人其他程序中，从而感染它们，对计算机资源进行破坏。计算机病毒是专门用来破坏计算机正常工作, 具有高级技巧的程序, 它具有隐蔽性、潜伏性、传染性和极大的破坏性。病毒一般存在于下例事项中：一是热点事件。病毒制造者充分利用热点事件或热点人物引诱用户上当。江民反病毒研究中心监测到，一个假冒证券公司“首放”()的网站通过竞价排名的形式被排在搜索引擎的显要位置，引起众多网名的注目,该网站网名与真首放证券网站网址（）相似，用户通过搜索引擎点击进入后会感染“证券大盗”病毒，该病毒能盗取用户的证券交易号码，从而操纵用户的账号进

11、行证券买卖。二是网络漏洞。一些病毒是利用“WMF漏洞”制作的恶意图片，嵌到各种网页，当存在漏洞的系统访问这种页面时，就会自动下载恶意的木马（如广告、盗号、后门等）。三是网页脚本。网页脚本病毒目前多数充当为木马下载器，利用IE漏洞自动下载病毒并自动运行，被嵌入的网页多数是被黑的网站。江民反病毒中心监测到，一个最新出现的恶意网站伪装成联想主页，通过恶意脚本程序，利用多种IE漏洞种植木马病毒，并散布联想集团和腾讯公司联合赠送QQ币的虚假消息，诱使更多用户访问该网站造成感染。让人感到吃惊的是，该恶意网站的域名看起来竟然与联想官方网站没有任何差别！假联想网站 ，而联想网站的地址是 ，其中仅有字母L和数字

12、1的区别，而小写的L和1是如此的相近，单凭肉眼几乎难以分辨。其它还有假工行网站 ，而真的工行网站是 ，也是一个字母之差，再就是假中国银行网站、假农业银行网站都已经出现此类假网站利用操作系统的漏洞，在用户点击后先从后台下载一些恶意代码，然后假网站迅速跳转到真网站页面，没有仔细看地址栏的人根本觉察不到发生了任何变化。假联想网站就是通过撒布联想集团和腾讯公司联合赠送QQ币的虚假消息，在用户访问该网站时，两秒之内迅速跳转到真联想网站页面上去的。四是垃圾电子邮件。电子邮件已成为安装后门（木马）和其他有害程序以帮助潜在入侵者入侵网络的有效途径。电子邮箱每天都在接收着不同的邮件，当我们不小心打开的是染毒的垃

13、圾邮件，电脑可能在不上心就中毒了，因此，我们最好不要打开那种来历不明的邮件。随着网络技术的不断发展,网络空间的广泛运用, 病毒的种类急剧增加.目前全世界的计算机活体病毒达1.4 万多种, 平均每隔20 分钟产生一个新病毒, 其传播途径不仅经过软盘、硬盘传播, 还可以通过网络的电子邮件和下载软件中传播。病毒通过网络传播比以往通过软硬盘传播方式具有速度更快、影响更广、损失更大等特点。2.1.2黑客恶意入侵黑客指利用不正当的手段窃取计算机网络系统的口令和密码, 从而非法进入计算机网络的人。他们篡改用户数据, 搜索和盗窃私人文件, 甚至破坏整个系统的信息, 导致网络瘫痪。目前, 世界上有20 多万个黑

14、客网站, 其攻击方法达几千种之多, 已超过现有的计算机病毒种类。每当一种新的攻击手段产生, 便能在一周内传遍世界, 对计算机网络造成各种破坏。黑客非法入侵的方式，简单说来，非法入侵的方式可粗略分为4种：扫描端口，通过已知的系统Bug攻入主机。种植木马，利用木马开辟的后门进入主机。采用数据溢出的手段，迫使主机提供后门进入主机。利用某些软件设计的漏洞，直接或间接控制主机。黑客入侵的主要方式是前两种，尤其是利用一些流行的黑客工具，通过第一种方式攻击主机的情况最多、也最普遍；而对后两种方式来说，只有一些手段高超的黑客才利用，波及面并不广泛。例如“网络钓鱼”是黑客窃取网名信息的主要手段“网络钓鱼”是一种

15、利用网络骗取用户个人信息的程序。黑客通常利用这种程序假扮成享有信誉的公司，如银行或在线商店等，以此向用户索要账户名及密码等信息。据新华社报道，微软、谷歌、雅虎和美国在线等公司旗下的电子邮箱遭遇黑客“网络钓鱼”，至少3万邮箱账户信息失窃。据了解，微软旗下Hotmail电子邮箱1万个账户信息10月1日在一家计算机专业网站上被曝光。随后网上又出现一份包含2万个电子邮箱账户地址及密码的清单，这些邮箱的服务商包括微软、谷歌、雅虎和美国在线。“网络钓鱼”的问题正在日渐凸显，根据国际行业组织反钓鱼工作组的数据，2008年6月新建的独立钓鱼网站就高达4.9084万个。2.2.信息安全问题2.2.1 信息泄露及

16、篡改信息泄漏在电子商务中表现为商业机密的泄漏，主要包括两个方面：一信息被窃取，交易双方进行交易的内容被第三方窃取；二信息机密性丧失，交易一方提供给另一方使用的文件被第三方非法使用。客户可能将秘密的个人数据或自己的身份数据(如PIN、口令等)发送给冒充 销售商的机构，这些信息也可能会在传递过程中被窃听。如“虚假中奖信息”事件。犯罪分子首先冒充国内知名的游戏、购物、娱乐等大型网站或经营单位，向网站用户发送虚假中奖信息，谎称当事人中了大奖，并提供一个和该网站网址非常相似的网址链接，要求当事人上网确认。一旦用户点击该链接，就会登录到诈骗者制作的假网站，按提示进行操作，就会显示当事人确实中奖了，并要求当

17、事人打网站上留的“客服电话”，咨询领奖事宜。打通电话后，骗子就会冒充网站工作人员，以奖品邮寄费、奖金个人所得税、账户保险费等要求当事人向其指定的银行账户汇款。 篡改在电子商务中表现为商业信息的真实性和完整性的问题。电子的交易信息在网络上传输的过程中，可能被他人非法修改、删除或重改，这样就使信息失去了真实性和完整性。譬如，某位网民可能从来没有进入过某个站点，却被记录成曾经进入可能从来没有存取过某个档案，却被记录成曾经存取。第二个值得注意的问题是残缺记录的传播。记录的残缺、不推确、不完整，可能会造成判断的储颇,如本来不是盗窃者变成了盗窃者，或侵害个人隐私。2.2.2交意双方抵赖问题电子商务可能直接

18、关系到贸易双方的商业交易，如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题，是保证电子商务顺利进行的关键。在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易交易所的书面文件上的手写签名或印章来鉴别贸易伙伴，确定合同、契约、交易所的可靠性，并预防抵赖行为的发生。在电子商务方式下，通过手写签名和印章进行双方的鉴别已是不可能的了。因此，要求在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识，使原发送方在发送数据后不能抵赖,接收方在接收数据后也不能抵赖。某些用户可能对自己发出的信息进行恶意的否认，以推卸自己应承担的责任。以下是他们常用的手段之一虚假订单：一个假冒者可能会以

19、客户的名字来订购商品，而且有可能收到商品，假冒者事后否认曾经做了订货单。而此时，客户却被要求付款或返还商品。 付款后不能收到商品：一是在要求客户付款后，销售商中的内部人员不将定单和钱转发给执行部门，因而使客户不能收到商品。二就是发布引人注目的出售信息，吸引买家，然后以最快的速度将钱骗到手，立马走人；而付了钱的买家则什么也得不到。一般吸引人最好的办法就是标上不寻常的低价。如“低价引诱”类案件。犯罪分子自己建立电子商务网站或依附“阿里巴巴”、“淘宝”、“易趣”等知名购物网站，向不特定群体随意散布虚假商品信息，以低价引诱顾客，同时以减少手续费、支付时间长、交易便捷等借口尽量劝说受害人不要通过“支付宝

20、”等方式支付，直接将现金存入指定账户。 3.提高电子商务信安全的对策3.1 信息的加密技术所谓加密，就是把称为“明文”的可读信息转换成“密文”的过程；而解密则是把“密文”恢复为“明文”的过程。它是利用数学或物理手段，对电子信息在传输过程中和存储中进行保护，以防止泄漏的技术。加密使信息改变，攻击者无法读懂信息的内容从而保护信息。通信过程中的加密主要是采用密码，在数字通信中可利用计算机采用加密法，改变负载信息的数码结构。密码算法是指用于隐藏和显露信息的可计算过程，通常算法越复杂，结果密文越安全。在加密技术中，密钥是必不可少的，密钥是使密码算法按照一种特定方式运行并产生特定密文的值。通常采用对称密钥

21、加密技术、非对称密钥的方式。使用加密算法就能够保护信息安全使之不被窃取、不被篡改或破坏。目前世界上最流行的几种加密体制和加密算法有：RSA算法“MD5加密”、“SHA-1加密”、“RSA加密”等。非对称密钥：RSA算法RSA算法是目前最流行的公钥密码算法，它使用长度可以变化的密钥。RSA是第一个既能用于数据加密也能用于数字签名的算法。RSA算法的原理如下： 随机选择两个大质数p和q，p不等于q，计算N=pq 选择一个大于1小于N的自然数e，e必须与(p-1)(q-1)互素 用公式计算出d：de = 1 (mod (p-1)(q-1) 销毁p和q最终得到的N和e就是“公钥”，d就是“私钥”，发送

22、方使用N去加密数据，接收方只有使用d才能解开数据内容。 RSA的安全性依赖于大数分解，小于1024位的N已经被证明是不安全的，而且由于RSA算法进行的都是大数计算，使得RSA最快的情况也比DES慢上好几倍，这也是RSA最大的缺陷，因此它通常只能用于加密少量数据或者加密密钥。需要注意的是，RSA算法的安全性只是一种计算安全性，绝不是无条件的安全性，这是由它的理论基础决定的。因此，在实现RSA算法的过程中，每一步都应尽量从安全性方面考虑。有些人自己写算法进行数据加密，殊不知这也算产生了安全隐患，通常个人无法写出高强度的加密算法，入侵者如果稍加分析便能破译，一般高技术的加密算法我们都要经过加密软件的

23、处理的，这样才保障信息的安全性。像大浪狗就是经常见到的一种加密软件，它有功能如下：首创“安全文件夹”功能：普通文件夹升级为自动加密的安全文件夹，其内容加密并能防止非授权访问与恶意删除，使用方法与普通文件夹相同，简单易用。 自动伸展式保险箱：独特加密空间，保险箱的容量大小可以根据用户使用自动伸展。可制作自解密文件：可以将文件、文件夹加密成自解密文件，根据口令解密更多安全防护和方便快捷的功能，而且界面更加友好。功能如下：（1）智能密码钥匙识别用户身份：使用标准USB接口的大狼狗智能密码钥匙并输入正确口令，用户才能开启使用电脑。（2）磁盘保险箱：独特加密空间，保护用户机密隐私，使用方法与普通磁盘相同

24、，简单易用。（3）“数字信封”方式加密：可以对电脑上任何文件或文件夹进行加密，还可为密件指定一个或多个解密信息加密技术是信息安全的核心技术。它可以解决信息安全问题使得如何保护之不被窃取、不被篡改或破坏。当今像电子商务、电子现金、数字货币、网络银行等各种网络业务的快速的兴起。信息安全问题越来越受到人们的重视。加密技术已经渗透进了整个信息时代，任何人都不可避免地要接触到。银行卡、登录计算机的口令、电子邮件的账号密码无一例外地跟加密技术紧紧联系在一起。3.2身份的认证技术身份认证就是在交易过程中判明和确认贸易双方的真实身份，由于非法用户可以伪造、假冒电子商务网站和用户的身份，因此登录到电子商务应用系

25、统的客户无法知道他们所登录的网站是否是可信的电子商务网站，电子商务网站也无法验证登录到网站上的客户是否是经过认证的合法用户，非法用户可以借机进行破坏。 这是目前网上交易过程中最薄弱的环节。某些非法用户常采用窃取口令、修改或伪造、阻断服务等方式对网上交易系统进行攻击，阻止系统资源的合法管理和使用。为解决这个安全问题，初步形成了一套完整的安全解决方案，即被广泛采用的公钥基础设施（ PKI） 体系结构。PKI 体系结构采用证书管理公钥，通过第三方的可信机构CA，把用户的公钥和用户的其他标识信息（ 如名称、e-mail、身份证号等） 捆绑在一起，在Internet 网上验证用户的身份，PKI 体系结构

26、把公钥密码和对称密码结合起来，在Internet 网上实现密钥的自动管理， 保证网上数据的机密性、完整性。认证系统的基本原理，利用RSA 公开密钥算法在密钥自动管理、数字签名、身份识别等方面的特性，可建立一个为用户的公开密钥提供担保的可信的第三方认证系统。这个可信的第三方认证系统也称为CA，CA 为用户发放电子证书，用户之间利用证书来保证信息安全性和双方身份的合法性。身份认证的方式可以很好的解决交易中双方交易抵赖的问题3.3防火墙的基本技术防火墙（Firewall）是近年来发展的最重要的安全技术，它的主要功能是加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络（被保护网

27、络）。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查，来决定网络之间的通信是否被允许，并监视网络运行状态。防火墙的安全策略有两条。一是“凡是未被准许的就是禁止的”。防火墙先是封闭所有信息流，然后审查要求通过的信息，符合条件的就让通过；二是“凡是未被禁止的就是允许的”，防火墙先是转发所有的信息，然后再逐项剔除有害的内容，被禁止的内容越多，防火墙的作用就越大。网络是动态发展的，安全策略的制定不应建立在静态的基础之上。在制定防火墙安全规则时，应符合“可适应性的安全管理”模型的原则，即：安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。防火墙可以抵御电子邮件病毒、漏洞

28、攻击、威胁。有句话说的好木马是永远走在杀毒软件和防火墙的前面的,上网必须安装一个好的防火墙,如金山 江民等 都行。3.3防病毒系统在网络环境下，计算机病毒具有更大的威胁和破坏力，它破坏的往往不是单独的计算机和系统而可能是整个网络系统。有效地防范网络病毒的破坏对网络系统安全及电子商务的安全运作具合十分重要意义。因此必须采取多方面的防治措施，网络防病毒技术主要包括顶防病毒、检测病毒、消除病毒等。一般情况下我们要对电脑安装防病毒的软件来防病毒的入侵。杀毒软件主要就两部分组成，一是扫描部分，扫描系统中的硬件和软件是否存在盗号木马或其它危害性病毒。二是病毒库部分，它是用来存放各种病毒的特征码的，每个病毒

29、都有自己的特征码，杀毒软件就是根据特征码来查找病毒的，不然你想啊，那么多的病毒，杀毒软件怎么去判断呢？所以我们平时所说的升级杀毒软件升级，其实升级的就是病毒库。防止黑客入侵必须要下载安装防毒和杀毒能力强的正版安全软件，开启自动更新病毒库和网页防木马功能，定期进行全盘查杀病毒。还要时不时的观察有没有系统漏洞经常升级和更新。对存在的软件漏洞及时打补丁。像江名、卡巴、瑞星等等，都是一些知名的杀病软件.还有不要随意打开陌生人的信件，不点击可疑QQ、MSN信息，输入密码时尽量使用软键盘，不要用浏览器保存账号和密码自动登录，从网上下载软件后首先要用反病毒、木马软件扫描，确定无疑后再使用。4.结语 信息安全

30、是电子商务发展的基础，随着电子商务的发展，通过各种网络的交易手段也会更加多样化，安全问题变得更加突出。一个网络信息系统，不管其设置有多少道防火墙，加了多少级保护或密码，只要其芯片、中央处理器等计算机的核心部件以及所使用的软件是别人设计生产的，就没有安全可言；这正是我国网络信息安全的致命弱点。国民经济要害部门的基础设施要通过建设一系列的信息安全基础设施来实现。如果说加密技术是电子交易安全的“ 硬件”，那么人才问题则可以说是“ 软件”。因此，我国需要大批信息安全人才来适应新的网络安全保护形势。应该加大对有良好基础的科研教育基地的支持和投入，多出人才，多出成果。在人才培养中，要注重加强与国外的经验技术交流，及时掌握国际上最先进的安全防范手段和技术措施，确保在较高层次上处于主动。要加强对内部人员的网络安全培训，防止堡垒从内部攻破。参考文献:1尚建成.电子商务基础M.高等教育出版社出版.2000.92杨晋.现代电子商务安全技术研究J网络安全技术与应用.2007.（01）3黄京华.电子商务教程M.清华大学出版社.2006.4翟才喜.杨敬杰.电子商务M东北.财经大学出版社.2002.25姚立新.新世纪商务.电子商务的知识发展与运作M.中国发展出版社.1999.18