电子商务安全技术相关研究结课论文正文本科毕业设计论文.docx
《电子商务安全技术相关研究结课论文正文本科毕业设计论文.docx》由会员分享,可在线阅读,更多相关《电子商务安全技术相关研究结课论文正文本科毕业设计论文.docx(35页珍藏版)》请在冰点文库上搜索。
电子商务安全技术相关研究结课论文正文本科毕业设计论文
结课论文
电子商务安全技术相关研究
E-commercesecuritytechnologyresearch
摘要
随着计算机时代的发展,基于网络和多媒体技术的电子商务逐渐成为人们进行商务活动的新模式。
所谓电子商务是指政府、企业和个人利用现代电子计算机与网络技术实现交换和行政管理的全过程;它是一种基于互联网,以交易双方为主体,以银行电子支付和结算为手段,以客户数据为依托的全新电子商务模式。
本质是建立一种全社会的“网络计算环境”或“数字神经系统”,以实现信息资源在国民经济和大众生活中的全方位应用。
信息技术和计算机网络的迅猛发展使电子商务得到了极大的推广,然而由于互联网的开放性,电子商务的安全性问题也越来越多,当前,电子商务中网络安全问题产生的主要原因有:
黑客袭击、软件漏洞、网络缺陷和技术管理欠缺等,其中的关键问题是电子商务企业本身的安全管理问题。
本文就电子商务的现状、安全隐患进行了简单的分析;就电子商务的安全技术进行了重点研究和介绍。
关键词:
电子商务现状;安全问题;安全技术
Abstract
Withthedevelopmentofthecomputerage,electroniccommercebasedonnetworkandmultimediatechnologygraduallybecomeanewmodeofbusinessactivitieshavebeenconducted.E-commercereferstothegovernment,enterprisesandindividualsusingmoderncomputerandnetworktechnologyexchangeandthewholeprocessofadministrativemanagement;ItisakindofbasedontheInternet,inordertotradebothpartiesasthemainbody,bymeansofbankelectronicpaymentandsettlement,basedonthecustomerdataofthenewe-commercemodel.Essenceisakindofthewholesocietytoestablishthenetworkcomputingenvironment"or"digitalnervesystem",inordertorealizetheinformationresourcesinthenationaleconomyandthecomprehensiveapplicationofpubliclife.
Therapiddevelopmentofinformationtechnologyandcomputernetworkmakee-commercegotagreatpromotion,however,duetotheopennessoftheInternet,electroniccommercesecurityproblemalsomoreandmore,atpresent,themainreasonforthenetworksecurityproblemsine-commerceare:
hackerattacks,softwarebugs,defectsandnetworkmanagementandtechnology,etc.,whichisthekeyproblemofe-commerceenterprisesafetymanagementitself.Inthispaper,thepresentsituationofelectroniccommerce,securityhiddendangerhascarriedonthesimpleanalysis;Astothestudyonthesecuritytechnologyofelectroniccommerceandtheintroduction.
Keywords:
electroniccommercepresentsituation;Securityissues;Securitytechnology
一、绪论
(一)研究背景、意义
1.研究背景
随着互联网的迅猛发展,人们的生活方式发生了重大改变,相应的经济社会也受到了巨大的影响。
在商业贸易领域,因为网络的飞速发展,产生了电子商务这样的一种贸易方式。
但也正是因为网络的特殊性,电子商务在发展的过程中产生了许多安全性问题,这对电子商务的发展带来了一定的冲击性。
Internet是一个互相连通的自由空间,因此有一些人会因为某些目的攻击电子商务网站。
比如盗窃资金、商业打击、恶作剧等,导致某些企业的电子商务网站贸易交流受损、服务暂停,甚至出现资金被盗的现象。
据相关统计表明,美国每年因为网络安全问题在经济上造成的损失就达数百亿美元,而国内的情况也不容乐观。
因此,当我们享受互联网带给我们的生活带来便利时,网络的安全性问题也逐渐成为电子商务发展的重大问题,给电子商务企业的发展带来了极大的阻碍。
所以,计算机网络安全是电子商务发展过程中所面临的巨大挑战和问题。
电子商务企业必须从维护顾客利益和自身利益出发,做好安全防范和自身安全管理工作,才能得到持续快速的发展。
2.研究意义
对于企业来说,电子商务和EPR系统就像战场上的前线和后方,两者密切相关。
比如,企业内部通过网上商城获取用户订单后,能够立刻将订单信息传递至内部的EPR系统,用以采购、计算、财务、进销存软件等各部门之间组织协调,核算库存、资金和销售,倘若前端商城系统与后台ERP系统脱节,就会导致信息流和数据相对封闭、独立,无法流通、整合,电子商务平台获得的订单信息、市场信息无法传递至后台ERP系统,前后台信息完全脱节。
这样的后果便是企业的信息流、资金流、物流不能够有机统一,数据的一致性、完整性和准确性在进销存软件不能得到保证,中小企业内部之间重复着冗余的工作,不能对用户需求作出迅速及时的响应,工作效率下降、运营成本上升,有百害而无一利。
所以,企业的电子商务网上商城和ERP系统的整合对接迫不及待、不容忽视。
正因为现如今电子商务在人们生活中已占有不可替代的作用,且一旦电子商务的安全性受到威胁,所损的不仅是企业,更是普通大众。
所以电子商务的安全技术问题更应值得我们关注!
我们要了解威胁电子商务安全的因素,掌握保证电子商务安全的相关技术,这样才能保证网络的安全,确保人们的正常生活。
(二)国内外电子商务安全研究现状
1.国际电子商务安全研究现状
美国政府认为:
电子商务的发展是未来世纪世界经济发展的一个重要推动力,甚至可以与200年前的工业革命对经济发展的促进媲美。
目前美国电子商务的应用领域与规模远远超过其他国家,1998年其网上交易额达170亿美元。
2002年全美国网上销售和服务的营业额高达3270美元,网上电子交易4年内为美国国民收入净增长100-200亿美元,节约5%-15%的成本。
从1999年1月1日起,美国要求联邦政府所有对外采购均采用电子商务方式,这一举措被认为是“将美电子商务推上了高速列车”。
日本在1996年投入3.2亿日元,推动电子商务有关计划,1998年企业对消费者的电子商务市场为650亿日元,约是美国的3%,2003年达到3.16万亿日元,即在5年内增长50倍。
1995年5月美日两国发表联合声明,对关税、税收、隐私权、身份确认等问题提出了一些原则看法,强调了两个经济大国在电子商务方面进行磋商与合作的重要性,表明两国意欲通过他们在世界经济中的地位与影响,联手制定电子商务全球框架。
1997年12月欧盟与美国发表了有关电子商务的联合宣言,与美国就全球电子商务指导原则达成协议,承诺建立“无关税电子空间”(Duty-FreeCyberePace)。
2.我国电子商务安全研究现状
电子商务是我国信息化建设的重要组成部分。
20世纪90年代以来,以电子商务为核心的信息化在我国迅速发展。
总体说来,我国电子商务发展经历了如下几个阶段:
(1)1990-1993年,EDI应用起步阶段:
1991年9月,国务院电子信息系统推广应用办公室牵头,发起成立“中国促进EDI应用协调小组”,随后又成立了“中国EDIFACT委员会”。
在对贸易程序简化和规范化的基础上,开展了典型应用试点,标志着电子商务实验在我国开展。
(2)1993-1998年,电子商务概念、技术推广阶段:
1993年起,我国政府决定实施以“三金工程”为代表的国民经济信息化的重大工程项目,标志着电子商务在我国纵深应用的开展。
1996年2月,中国国际电子商务中心(CIECC)成立。
由中国国际电子商务中心承建并运营的中国国际电子商务网,是国家“金关工程”的骨干网络,是我国外经贸专用网络。
1996年9月,中国电子进出口总公司成为中国国际电子商务网的第一个用户。
1996年9月,中国金桥信息网(CHINAGBN)向社会提供Internet接入服务。
1997年,中国公用计算机互联网(CHINANET)、中国科技网(CSTNET)、中国教育和科研计算机网(CERNET)、中国金桥信息网(CHINAGBN)实现了互连互通。
1998年,国家经贸委与信息产业部联合启动以电子贸易为主要内容的“金贸工程”,以推广网络和电子商务在经贸流通领域的应用。
(3)1999-2000年,进入互联网电子商务实施发展阶段:
中国电子商务开始进入以探索并推出大型电子商务项目为特征的新时期。
这主要得益于以下三个因素:
网民数量急剧增加;境内外风险投资大量介入;人们对应用与发展电子商务的认识水平有所提高。
从总体上看,中国电子商务己经从宣传和启动阶段,开始进入实施阶段。
1999年尤其是进入下半年以后,中国的ICP和isP等网络服务商们开始大举进入电子商务领域,新的电子商务网站和新的电子商务项目猛然间急剧增加,令人目不暇接,几乎每天都有各类电子商务信息与咨询网站、网上商店、网上商场、网上邮购、网上拍卖等站点诞生。
电子商务发展地域也在迅速扩大,从原先几乎局限于北京,上海,深圳,广州等极少数城市,开始向沿海及东部、中部各大城市发展。
1999年中国电子商务的主角已经变成了电子商务企业、电子商务网站和致力于电子商务项目的机构。
1999年的发展表明,中国电子商务己经开始由表及里,从虚到实,从宣传、启蒙和推广进入到了广泛而务实的发展阶段。
(4)2000年至今,电子商务进入快速发展阶段:
进入2000年以来,电子商务发展发展迅速,网民数量逐渐增多。
不少网上商城、网上服务开始盈利。
随着各大银行陆续推出网上银行、个人银行业务,基于电子支付的真正的电子商务走入生活。
然而,物流配送体系不完善,商业信用度低,信息的安全问题、特别是资金流问题尤为突出,电子商务的普遍应用还有不少问题需要解决。
(三)研究方法,途径
1.相关资料、文献的收集
通过在图书馆进行对文献的查阅;在网络上进行相应资料的查找;在杂志等相关报刊进行参考;结合老师课上讲解的内容和课件等方式,收集了近些年有关电子商务安全技术的理论研究与实践经验,了解最新的理论研究方法和相关结论。
2.数据分析、归纳和案例分析
对搜集到的数据进行分析、归纳,并结合相关案例分析,最后总结汇总。
二、电子商务安全概述
(一)电子商务安全的内容
电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。
因此,电子商务安全从整体上可分为两大部分:
计算机网络安全和商务交易安全。
计算机网络安全的内容包括:
计算机网络设备安全、计算机网络系统安全、数据库安全等。
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,保障电子商务过程的顺利进行。
即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。
(二)电子商务安全隐患
如图2.1为电子商务安全从整体上的分类:
图2.1
1.内部人员滥用计算机资源
内部人员对系统资源具有一定权限,如果内部人员职业道德水平不高,管理制度又不严格,就可能出现内部人员滥用计算机资源。
据调查,目前的安全性事件中,来自内部人员的破坏占50%以上。
内部人员除了破坏电子交易的可控性和机密性之外,还可能造成假冒交易,危害极大。
2.外部攻击
电子支付吸引了网上为数众多的不法之徒利用Internet或主机系统的漏洞偷窃合法用户的支付信息或电子资金。
就统计数据看外部攻击比内部攻击情况出现得要少,但外部攻击可能造成的损失是难以预测的,而且由于许多外部攻击行为没有被发觉使统计数据不全面,因而对外部攻击的防范不可疏忽。
3.交易抵赖
交易抵赖包括多个方面,如发信者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条消息或内容;购买者做了定货单不承认;商家卖出的商品因价格差而不承认原有的交易等。
4.病毒或恶意代码
主要危害是破坏系统中的数据,造成数据丢失或系统无法正常工作,从而危及电子商务的完整性和有效性。
5.新鲜的截获或窃取
如果没有采用加密措施或加密强度不够,攻击者可能通过互联网、公共电话网、搭线、电磁波辐射范围内安装接收装置或在数据包通过的网关和路由器上截获数据等方式,获取传输的机密信息,或通过对信息流量和流向、通信频度和长度等参数的分析,推导出有用信息,如消费者的银行帐号、密码以及企业的商业机密等。
6.信息的篡改
当攻击者熟悉了网络信息格式以后,通过各种技术方法和手段对网络传输的信息进行中途修改后,再发往目的地,从而破坏信息的完整性。
这种破坏手段主要有三个方面:
(1)篡改:
改变信息流的次序、更改信息内容如购买商品的出货地址。
(2)删除:
删除某个息或消息的某些部分。
(3)插入:
在消息中插入一些信息,让接收方读不懂或接收错误信息。
7.信息假冒
当攻击者掌握了网络信息数据规律或解密了商务信息以后,可以假冒合法用户或发送假冒信息来欺骗其他用户。
主要有两种方式:
一种方式是伪造电子邮件。
通过这种方式攻击者可以虚开网站和商店,给用户发电子邮件,收定货单;可以伪造大量用户,发电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应;可以伪造用户发大量的电子邮件,窃取商家的商品信息和用户的信用卡等信息。
另外一种方式为假冒他人身份,例如冒充领导发布命令、调阅密件;冒充他人消费、栽赃;冒充主机欺骗合法主机及合法用户;冒充网络控制程序、窃取或修改使用权限、通行字、密钥等信息;冒充合法用户、欺骗系统、占用合法用户的资源等。
(三)电子商务安全要素
计算机安全问题主要分为三类:
一是、实体的安全性。
实体安全包括环境安全、设备安全和媒体安全,它是用来保证硬件和软件的安全。
二是、运行环境的安全性。
运行安全包括风险分析、审计跟踪、备份与恢复和应急,它用来保证计算机能在良好的环境里持续工作。
三是、信息的安全性,信息安全包括操作系统安全、数据库安全、网络安全、防病毒、访问控制、加密、认证,它用来保障信息不会被非法阅读、修改和泄露。
以下具体的介绍各安全要素:
1.数据的私有性和安全性
如果不采用特别的保护措施,包括电子邮件等在Internet中开放传输的数据都可能被第三者监视和阅读。
考虑到巨大的传输量和难以计数的传输途径,想任意窃听一组数据传输是不可能的,但是一些设置在节触web服务器的黑客程序却可以查找和收集特定类型的数据。
这些数据包括信用卡、存款的帐号和相应的口令。
2.数据的完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。
由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。
此外数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同.贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。
3.通讯、交易和存取要求的合法性
例如Internet的计算机系统的身份是其由IP地址确认的,黑客通过IP欺骗,使用虚假的IP地址,从而达到隐瞒自己身份盗用他人身份的目的。
4.不可抵赖性
电子商务直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证电子商务顺利进行的关键。
在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。
因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识,确保交易过程的真实性,保证参加电子交易的各方承认交易过程的合法性。
5.审查能力
根据机密性和完整性的要求,应对数据审查的结果进行记录。
6.可控性
能控制使用资源的人或实体的使用方式。
7.认证性
认证性是指网络两端的使用者在沟通之前相互确认对方的身份。
在电子商务中,认证性一般都通过证书机构CA和证书来实现。
8.不可拒绝性
商务服务的不可拒绝性又叫有效性或可用性,是保证授权用户在正常访问信息和资源时不被拒绝,即保证为用户提供稳定的服务。
9.匿名性
匿名性指发送者匿名性、接收者匿名性、发送者与接收者之间的无连接性。
其包含三个方面含义:
信息分离、防勾结和匿名度。
其中,匿名度是将匿名性从绝对隐藏、可能暴露、到暴露分为若个等级,用来衡量网络支付协议所达到的匿名程度。
10.原子性
原子性是指整个支付协议(一般包括初始化阶段、订购阶段、支付阶段、清算阶段等)看作一个事务,保证要么全部执行,要么全部取消。
三、电子商务安全问题案例分析
(一)案例一:
电子签名法首次用于庭审
1.案例内容
北京市民杨某状告韩某借钱不还,并将自己的手机交给法庭,以手机短信作为韩某借钱的证据。
但手机短信能否成为法庭认定事实的依据?
2005年6月3日,海淀法院3名法官合议审理了这起《电子签名法》出台后的第一案。
2004年1月,杨先生结识了女孩韩某。
同年8月27日,韩某发短信给杨先生,向他借钱应急,短信中说:
“我需要5000,刚回北京做了眼睛手术,不能出门,你汇到我卡里”。
杨先生随即将钱汇给了韩某。
一个多星期后,杨先生再次收到韩某的短信,又借给韩某6000元。
因都是短信来往,两次汇款杨先生都没有索要借据。
此后,因韩某一直没提过借款的事,而且又再次向杨先生借款,杨先生产生了警惕,于是向韩某催要。
但一直索要未果,于是起诉至海淀法院,要求韩某归还其11000元钱,并提交了银行汇款单存单两张。
但韩某却称这是杨先生归还以前欠她的欠款。
为此,在庭审中,杨先生在向法院提交的证据中,除了提供银行汇款单存单两张外,还提交了自己使用的号码为“1391166XXXX”的飞利浦移动电话一部,其中记载了部分短信息内容。
如:
2004年8月27日15:
05,“那就借点资金援助吧”。
2004年8月27日15:
13,“你怎么这么实在!
我需要五千,这个数不大也不小,另外我昨天刚回北京做了个眼睛手术,现在根本出不了门口,见人都没法见,你要是资助就得汇到我卡里!
”等韩某发来的18条短信内容。
韩某的代理人在听完短信内容后,否认发送短信的手机号码属于韩某,并质疑短信的真实。
法官提醒他,在前次开庭时,法官曾当着双方拨打了该手机号码,接听者正是韩某本人。
韩某也承认,自己从去年七八月份开始使用这个手机号码。
法院经审理认为,依据《最高人民法院关于民事诉讼证据的若干规定》中的关于承认的相关规定,1391173XXXX”的移动电话号码是否由韩女士使用,韩女士在第一次庭审中明确表示承认,故法院确认该号码系韩女士使用。
依据2005年4月1日起施行的《中华人民共和国电子签名法》中的规定,“电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
数据电文是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。
”移动电话短信息即符合电子签名、数据电文的形式。
同时移动电话短信息能够有效的表现所载内容并可供随时调取查用;能够识别数据电文的发件人、收件人以及发送、接收的时间。
经本院对杨先生提供的移动电话短信息生成、储存、传递数据电文方法的可靠性;保持内容完整性方法的可靠性;用以鉴别发件人方法的可靠性进行审查,可以认定该移动电话短信息内容作为证据的真实性。
根据证据规则的相关规定,录音录像及数据电文可以作为证据使用,但数据电文可以直接作为认定事实的证据,还应有其它书面证据相佐证。
通过韩女士向杨先生发送的移动电话短信息内容中可以看出:
2004年8月27日韩女士提出借款5000元的请求并要求杨先生将款项汇入其卡中,2004年8月29日韩女士向杨先生询问款项是否存入,2004年8月29日中国工商银行个人业务凭证中显示杨先生给韩女士汇款5000元;2004年9月7日韩女士提出借款6000元的请求,2004年8月29日韩女士向杨先生询问款项是否汇入。
2004年9月8日中国工商银行个人业务凭证中显示杨先生给韩女士汇款6000元。
2004年9月15日至2005年1月韩女士屡次向杨先生承诺还款。
杨先生提供的通过韩女士使用的号码发送的移动电话短信息内容中载明的款项往来金额、时间与中国工商银行个人业务凭证中体现的杨先生给韩女士汇款的金额、时间相符,且移动电话短信息内容中亦载明了韩女士偿还借款的意思表示,两份证据之间相互印证,可以认定韩女士向杨先生借款的事实。
据此,杨先生所提供的手机短信息可以认定为真实有效的证据,证明事实真相,本院对此予以采纳,对杨先生要求韩女士偿还借款的诉讼请求予以支持。
2.分析、得出结论
在本案中,针对主要证据——手机短信息,法官根据电子签名法第八条的规定及相关规定审查了该证据的真实性,在确定能够确认信息来源、发送时间以及传输系统基本可靠的情况、文件内容基本完整的情况下,同时又没有相反的证据足以否定这些证据的证明力的情况下,认可了这些手机短信息的证据力。
在电子签名法出台之前,可以说有很多类似的案例,主要是针对电子邮件能否作为证据的,由于缺乏直接的法律规定,为此上海高院还专门出台了相关的解释,这种情况随着电子签名法的出台得到了根本的改变。
本案是我国电子签名法实施后,法院依据电子签名法裁判的第一起案例,意义重大,意味着我国的电子签名法真正开始走入司法程序,数据电文、电子签名、电子认证的法律效力得到了根本的保障,通过电子签名法的实施,基本上所有与信息化有关的活动在法律的层面都有了自己相应的判断标准。
通过这个案例我也更加明白了付媛老师课上给我们讲的数字签名的意义,虽然并不是我们手写的,但是一旦发生了,也就产生了法律效应。
并且通过这个案例使我明白了电子商务的安全问题不只发生在计算机中,也会发生在手机这样的通讯工具中,我们除了要加强对技术的管理,更要加强警惕、加强自我保护的意识,遇到欺骗时不要心急,一定要懂得从正当途径捍卫自己的权利和利益,加强自己的法律意识。
这个案例的发生不仅让我们知道了一种新的电子商务安全问题,更可以通过这次教训激励我们要用不停止对电子商务安全技术的研究。
(二)案例二:
淘宝“错价门”引发争议
1.案例内容
互联网上从来不乏标价1元的商品。
几年前,淘宝网上大量商品标价1元,引发网民争先恐后哄抢,但是之后许多订单被淘宝网取消。
随后
升级会员 