1、学年论文题目:电子商务的信息安全研究学生姓名:王 静 学号:101906020112系 别:经济管理系 专业:工商管理 指导老师:张勇 成绩评定:河北大学工商学院2013 年 6 月摘要近年来,随着因特网的普及日渐迅速,电子商务已经开始融入人们的日常生活中,网上订货、网上缴费等众多电子交易方式为人们创造了便利高效的生活方式,越来越多的人开始使用电子商务来传递各种信息,并进行各种交易。同时,由于电子商务具有传统商务不具备的优势,如高效、便携、低成本等,电子商务被越来越多的企业利用,电子商务也因此成为促进国家经济发展的一种重要力量。但在电子商务的发展过程中,逐渐暴露出很多问题,这些问题已成为制约电
2、子商务发展的重要因素,其中信息安全问题是众多问题中最重要、最核心的问题。为了促进电子商务更好的发展,更好的为国民经济的发展服务,解决电子商务中的信息安全问题便成了关键性的问题。本文从电子商务信息安全的基本观点和原理出发,先介绍了电子商务的基本概念,特点及安全方面的一些知识,继而概述了电子商务信息安全现状,然后针对这一现状作出分析,并根据存在的问题,改进现行的信息系统,采取保障我国电子商务信息安全的技术措施,旨在通过保证信息系统的机密性、完整性、可靠性和可用性来管理和保护信息资产,通过方针、原则、程序、组织结构和软件功能来确定控制方式并实施控制,组织按照这一体系框架管理信息安全风险,可持续提高管
3、理的有效性和不断提高自身的信息安全管理水平,降低信息安全对业务持续发展造成的风险,最终保证整体目标的有效实现,并利用信息技术创造新的战略发展机遇。关键词:电子商务,信息安全,安全技术- 1 -目录摘 要-I第一章 绪论-2第二章 电子商务及电子商务信息安全概述-22.1 电子商务的基本概念及特点-22.1.1 电子商务的概念-22.1.2 电子商务的特点-22.1.3 电子商务的系统构成-32.2 电子商务中的安全性问题-32.2.1 信息安全问题概述-32.2.2 电子商务安全要素-42.2.3 电子商务安全体系结构-4第三章 电子商务的安全问题分析-53.1 电子商务信息安全现状-53.2
4、 安全问题的来源-53.3 对电子商务的安全性需求-6第四章 保障我国电子商务信息安全的技术措施-64.1 数据加密策略-64.2 防火墙技术-64.3 身份验证技术-74.4 虚拟专用网(VPN) -74.5 电子商务认证中心(CA,Certificate Authority) -7第五章 总结- -7- 2 -第一章 绪论随着 Internet 的不断发展,世界范围内掀起了一股电子商务热潮。许多国家政府部门对电子商务的发展十分重视,把这场以电子商务为标志的信息化革命与十九世纪以蒸汽机为标志的工业化革命相提并论。然而不安全事件的不断发生,使人们对电子商务的安全性心存质疑,电子商务的安全问题也
5、变得越来越突出,信息安全已不可否认的成为阻碍电子商务发展的一个重要因数。因此,分析与研究电子商务中的安全性问题不仅具有特别重要的理论价值和实用价值,而且具有重要的现实意义。第二章 电子商务及电子商务信息安全概述2.1 电子商务的基本概念及特点20 世纪 90 年代以来,随着 Internet 的迅速发展,其踪迹已经遍布企业、科研机构、商场、学校乃至家庭的每个角落。这说明电子商务作为一种新型的交易方式,为企业、消费者和政府建立了一种网络经济环境,人们不再受地域的限制,能够以快捷的方式完成繁杂的商务活动,以规范的工作流程提高人、财、物的利用率。2.1.1 电子商务的概念电子商务作为一个完整的概念出
6、现仅有几年的时间,中外学者、专家都从不同角度提出不同的定义。按照美国国防部电子商务办公室、电子商务信息中心所下的定义,电子商务是使用电子数据交换(EDI:Electronic Data Interchange) 、电子邮件、电子公告牌、传真、电子资金转移(EFT:Electronic Funds Transfer)及其他类似手段,实现“无纸”的商务信息交换。还有另外一种不同的定义,将电子商务的定义归纳为广义的电子商务和狭义的电子商务:广义的电子商务(Electronic Business,EB)是指交易当事人或参与人利用计算机技术和网络技术等现代信息技术进行的各类商务活动,包括货物贸易、服务贸
7、易和知识产权贸易。也可以理解为利用各种信息技术对整个商务活动实现电子化。而狭义的电子商务定义仅仅将通过 Internet 进行的商务活动归属于电子商务。主要是指利用网络与计算机进行钱和物的交易。虽然以上定义各不相同,但实质上都是在计算机和通信网络基础上,利用电子工具进行的在线交易或相关作业活动,包括为行政部门、企事业单位、金融机构、商家和个人等提供各种在线服务。2.1.2 电子商务的特点电子商务将传统商业活动中物流、资金流、信息流的传递方式利用网络科技整合,企业将重要的信息以全球信息网、企业内部网(Internet)或外联网(Extranet)直接与分布各地的客户、员工、经销商及供应商连接,创
8、造更具竞争力的经营优势。与传统的商务活动相比,电子商务具有以下特点:(1)交易网络化交易过程均通过计算机互联网络完成,整个交易完全虚拟化。整个交易都在网络这个虚拟的环境中进行。(2)交易成本低电子商务实行“无纸贸易” ,可减少 90%的文件处理费用。使用国际互联网进行信息传递的成本相对于信件、电话、传真的成本低很多,同时缩短时间及减少重复的数据录入也降低了信息成本。(3)交易覆盖面广- 3 -因特网几乎遍及全球的各个角落,电子商务可以使企业能够更加经济地经营地理上极为分散的狭小的目标市场。(4)交易效率高电子商务基于网络技术,克服了传统贸易方式费用高、易出错、处理速度慢等缺点,极大地缩短了交易
9、时间,使整个交易非常快捷与方便。(5)交易功能全面电子商务可以全面支持不同类型的用户实现不同层次的商务目标,如发布电子商情、在线洽谈、建立虚拟商场或网上银行等。(6)交易透明化买卖双方从交易的洽谈、签约以及货款的支付、交货通知等整个交易过程都在网络上进行。通畅、快捷的信息传输可以保证各种信息之间相互核对,可以防止伪造信息的流通。2.1.3 电子商务的系统构成根据电子商务的特点,可以对其进行如图的层次划分:应用层传输层存储层系统层系统层:是指电子商务的系统支撑和总体结构。例如:电子硬件设备、网络结构,操作系统以及相互之间的结合方式等等。存储层:主要考虑数据的存储模式和存储安全问题,为电子商务中的
10、数据存储、检索、更新等需求提供服务。传输层:负责电子商务中数据传输过程,是电子商务中安全性最薄弱的环节。应用层:为贸易双方提供的电子服务及应用程序。例如:网上书店、自动取款机中的程序系统等。2.2 电子商务中的安全性问题2.2.1 信息安全问题概述目前,电子商务系统中安全问题是一个非常流行的概念。电子商务的一个重要技术- 4 -特征是利用 IT 技术来传输和处理商业信息。因此,电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的俄安全问题,实施网络安全增强方案,以保
11、证计算机网络自身安全性为目标。商务交易安全则紧紧围绕传统商务在互联网上应用时产生的各种安全问题,在计算机网络安全的基础上,保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。计算机网络安全与电子商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。没有商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。2.2.2 电子商务安全要素电子商务安全要素涉及面广,在使用电子商务的过程中主要的安全要素包括以下几个方面:(1)真实性真实性是指网络交易双方身份信息和交易
12、信息要真实有效。双方交换信息之前通过数字签名、身份认证以及数字证书来辨别参与者身份的真伪,防止伪装攻击。交易时,对提供的交易信息也要保证其真实性,防止欺骗交易行为。(2)保密性电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家商业信息,有些可能已经是商业机密。电子商务建立在开放的网络环境之上,并且功能越是强大的电子商务系统,其开放性越大,在这样的开放环境下,如何维护商业机密是电子商务全面推广应用的重要保障。信息的保密性要求信息在传输过程或存储中不被他人窃取。(3)不可否认性在无纸化的电子商务模式下,通过手写签名和印章进行贸易方的鉴别已是不可能了。因此,要在交易信息的传输过程中为参与交
13、易的个人、企业或国家提供可靠的标识,这种标志信息用来保证信息的发送方不能否认已发送的信息,接收方不能否认已收到的信息,身份的不否认性常采用数字签名来实现。(4)可靠性可靠性是指防止计算机失效、程序出错、传输错误、自然灾害等引起的计算机信息失效或失误。保证存储在介质上的信息的正确性。(5)及时性及时性是指防止延迟或拒绝服务,及时性安全威胁的目的就在于破坏正常的计算机处理或完全拒绝服务。在电子商务中,延迟一个消息或删除一个消息会带来灾难性的后果。(6)完整性电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息完整性和统一性的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易
14、各方信息的不同。完整性包括信息传输和存储两方面。在存储时,要防止非法篡改和破坏网站上的信息。在传输的过程中,接收端受到的信息与发送的信息完全一样,说明在传输过程中信息没有遭到破坏。(7)不可拒绝性不可拒绝性又称有效性,可用性。是保证授权用户在正常访问信息和资源时不被拒绝,既保证为用户提供稳定的服务。2.2.3 电子商务安全体系结构- 5 -电子商务的安全控制体系结构是保证电子商务中数据安全的一个完整的逻辑结构,由 5 个部分组成,电子商务安全体系由网络服务层、加密技术层、安全认证层、交易协议层、应用系统层组成。从层次结构中可看出,下层是上层的基础,为上层提供技术支持;上层是下层的扩展与递进。各
15、层次之间相互依赖、相互关联构成统一整体。各层通过控制技术的递进实现电子商务系统的安全。电子商务系统是依赖网络实现的商务系统,需要利用 Internet 基础设施和标准,所以构成电子商务安全框架的底层是网络服务层。它是各种电子商务应用系统的基础,并提供信息传送的载体和用户接入的手段及安全通信服务,保证网络最基本的运行安全。网络服务层是电子商务系统基本、灵活的网络服务平台.为确保电子商务系统全面安全,必须建立完善的加密技术和认证机制。加密技术是保证电子商务系统安全所采用的最基本的安全措旋,它用于满足电子商务对保密性的需求。安全认证层中的认证技术是保证电子商务安全的又一必要手段,它对加密技术层中提供
16、的多种加密算法进行综合运用,进一步满足电子商务对完整性、抗否认性、可靠性的要求。在电子商务安全框架体系中,加密技术层、安全认证层、安全协议层,即专为电子交易数据的安全而构筑。其中,安全协议层是加密技术层和安全认证层的安全控制技术的综合运用和完善。 它为电子商务安全交易提供保障机制和交易标准。第三章 我国电子商务的发展及现状3.1 电子商务信息安全现状现如今,网上购物已经成为普通消费者的购物选择之一,逐渐成为消费的主流。截至 2007 年 6 月,我国互联网用户已经从 2001 年的 2650 万户激增到目前的 162 亿户,仅次于美国 211 亿户的网民规模,位居世界第二。可见网上购物拥有很大
17、的一批消费群。在网购盛行的时代,理智的消费者已经逐渐意识到,网上购物为我们带来方便的同时,由于网络安全问题,也带给我们更多危险的可能。电子商务所面临的信息安全现状不容乐观。所据美国网络界权威杂志信息安全杂志披露,从事电子商务的企业比一般企业承担着更大的信息风险。其中,前者遭黑客攻击的比例高出一倍,感染病毒、恶意代码的可能性高出 9%,被非法入侵的频率高出 10%,而被诈骗的可能性更是比一般企业高出 2.2 倍作为网上购物核心环节的“支付环节” ,其安全性、便捷性是买卖双方都想追求的目标。电子商务交易的信用危机也悄然袭来,虚假交易、假冒行为、合同诈骗、网上拍卖哄抬标的、侵犯消费者合法权益等各种违
18、法违规行为屡屡发生,这些现象在很大程度上制约了我国电子商务乃至全球电子商务快速、健康的发展。3.2 安全问题的来源(1)对合法用户的身份冒充。以不法手段盗用合法用户的身份资料,仿冒合法用户的身份与他人进行交易,从而获得非法利益。(2)对信息的窃取。攻击者在网络的传输信道上。通过物理或逻辑的手段,对数据进行非法的截获与监听,从而得到通信中敏感的信息。如典型的“虚拟盗窃”能从因特网上窃取那些粗心用户的信用卡账号,还能以欺骗的手法进行产品交易,甚至能洗黑钱。(3)对信息的篡改。攻击者有可能对网络上的信息进行截获后篡改其内容,如修改消息次序、时间,注人伪造消息等,从而使信息失去真实性和完整性。(4)拒
19、绝服务。攻击者使合法接入的信息、业务或其他资源受阻。(5)对发出的信息予以否认某些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。- 6 -(6)信用威胁。交易者否认参加过交易,如买方提交订单后不付款,或者输人虚假银行资料使卖方不能提款 I 用户付款后。卖方没有把商品发送到客户手中,使客户蒙受损失。(7)电脑病毒。电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。如,CIH 病毒的爆发几乎在瞬间给网络上数以万计的计算机以沉重打击
20、。3.3 对电子商务的安全性需求(1)服务的有效性需求:电子商务系统应能防止服务失败情况的发生,预防由于网络故障和病毒发作等因素产生的系统停止服务等情况,保证交易数据能准确快速的传送。(2)交易信息的保密性需求:电子商务系统应对用户所传送的信息进行有效的加密,防止因信息被截取破译,同时要防止信息被越权访问。(3)数据完整性需求:数字完整性是指在数据处理过程中,原来数据和现行数据之间保持完全一致。为了保障商务交易的严肃和公正,交易的文件是不可被修改的,否则必然会损害一方的商业利益。(4)身份认证的需求:电子商务系统应提供安全有效的身份认证机制,确保交易双方的信息都是合法有效的,以免发生交易纠纷时
21、提供法律依据。第四章 保障我国电子商务信息安全的技术措施4.1 数据加密策略加密技术是电子商务的最基本措施,最初主要用于保证数据在存储和传输过程中的保密性。随着电子商务的发展,对数据完整性以及身份鉴定技术提出了新的要求,数字签名、身份认证就是为了适应这种需要在密码学中派生出来的新技术和新应用。加密技术是一种主动的信息安全防范策略,利用一定的加密算法,将明文转换成毫无意义的密文。阻止非法用户理解原始数据,从而确保数据的保密性。比较广泛使用的加密技术有两种:一种是对称密钥加密体制,一种是非对称密钥加密体制。他们的区别在于密钥的类型不同。(1)对称密钥加密体制对称密钥加密,又称私钥加密(Secret
22、 Key Encryption) ,即数据加密和解密采用的都是同一个密钥,因而其安全性依赖于所持有密钥的安全性,其最大的优点是速度快,适合于对大数据量进行加密,最大的缺点是在大量用户的情况下密钥答理复杂,而且无法完成身份认证等功能,不便于应用于网络开放的环境中。(2)非对称密钥加密体制非对称密钥加密,又称公钥加密(Public Key Encryption),数据加密和解密采用不同的密钥,需要使用一对密钥来分别完成加密和解密操作。在非对称密钥加密体制中密钥被分解为一对。密钥对生成后,公开密钥以非密保方式对外公开,只对应于生成该密钥的发布者,私有密钥则保存在密钥发布者手里。4.2 防火墙技术它是
23、目前一种最重要的网络防护设备。防火墙是在 Internet 与 Extranet 之间实施安全防范的系统,可以被认为是一种访问控制机制,根据网络决策人员及网络专家共同决定本网络的安全策略,确定哪些内部服务允许外部访问,以及允许哪些外部服务访问- 7 -内部服务。它是提供信息安全服务、实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,同时也是一个分析器,有效地控制了 Internet 和Internet 之间的任何活动,保证了内部网络的安全。4.3 身份验证技术(1)认证系统网上安全交易的基础是数字证书。数字证书类似于现实生活中的身份证,用于在网络上鉴别个人或组织的真实身份
24、。数字证书的颁发机构叫做 Certificate Authority,通常简称为 CA。要建立安全的电子商务系统,首先必须建立一个稳固、健全的 CA,否则,一切网上的交易都没有安全保障。(2)SSL 协议SSL 协议(Secure Socket,Layer,安全套接层)主要目的是解决 TCP/IP 协议不能确认用户身份的问题,在 Socket 上使用非对称的加密技术,以保证网络通信服务的安全性。SSL 协议易于实现。SSL 协议还是最值得信赖的协议。(3)SET 协议SET(Secure Electronic Transaction)安全电子交易协议是用于 Internet 上的以信用卡为基础
25、的电子支付系统协议。主要应用于 B/C 模式中保障支付信息的安全性。SET 协议提供对消费者、商户和银行的认证,协议本身比较复杂,设计比较严格,安全性高,确保电子交易的机密性、数据完整性、身份的合法性和抗否认性,特别是保证了不会将持卡人的信用卡号泄露给商户。其核心技术主要有公开密匙加密、电子数字签名、电子安全证书等。它的交易规范成为了未来电子商务发展的方向。4.4 虚拟专用网(VPN) 这是用于 Internet 交易的一种专用网络,它可以在两个系统之间建立安全的信道(或隧道) ,用于电子数据交换(EDI) 。它与信用卡交易和客户发送订单交易不同,因为在 VPN 中,双方的数据通信量要大得多,
26、而且通信的双方彼此都很熟悉。这意味着可以使用复杂的专用加密和认证技术,只要通信的双方默认即可,没有必要为所有的 VPN进行统一的加密和认证。现有的或正在开发的数据隧道系统可以进一步增加 VPN 的安全性,因而能够保证数据的保密性和可用性。4.5 电子商务认证中心(CA,Certificate Authority) 实行网上安全支付是顺利开展电子商务的前提,建立安全的认证中心(CA)则是电子商务的中心环节。建立 CA 的目的是加强数字证书和密钥的管理工作,增强网上交易各方的相互信任,提高网上购物和网上交易的安全,控制交易的风险,从而推动电子商务的发展。 第五章 总结信息安全是电子商务的核心和灵魂
27、。在电子商务领域里,信息安全问题一直是备受关注的问题,如何更好地解决这个问题是推进电子商务更好更快发展的动力。但是,因为安全性问题是不断发展变化的,所以解决安全问题的手段也要不断适应这种变化。目前,就电子商务信息安全虽然在技术、立法、政策等方面采取了适当的措施,取得了一定的成效,但尚未能形成一个有效地、安全的电子商务安全系统,因此,仍需要加大力度来研究和探索电子商务信息安全综合性的保障措施,进而为电子商务建立一个安全、高效的商务环境。- 8 -参考文献1扈健丽.电子商务概论M.北京:北京理工大学出版社,20102才书训.电子商务概论.沈阳:东北大学出版社,20073丁荣荣.电子商务的信息安全技
28、术J .赤峰学院学报(自然科学版) , 20104丁学君.电子商务中的信息安全问题及其对策J .计算机安全,20095韩鹏,卫学文.浅谈电子商务中的网络信息安全J.现代商业,20106戴伟.电子商务信息安全讨论J.科学技术,20097邓春,龙珺.电子商务中的信息安全问题J.审计与理财,20108胡世锋.电子商务信息安全问题解析J.中国商贸,20109张爱菊.电子商务安全技术M.北京:清华大学出版社,200610程少丽.电子商务的信息安全研究J.电脑知识与技术,201011刘琼.电子商务信息安全及对策研究J.知识经济,200912郑康.电子商务与信息安全J.商场现代化,200913陈东娅.电子商务的信息安全研究J.商场现代化, 200914徐雪梅浅谈保障电子商务活动中的信息安全 科技情报开发与经济,2003()15祁明电子商务安全与保密 北京:高等教育出版社,200116徐汉超计算机网络安全与数据完整性技术 北京:北京电子工业出版社,199917瞿裕忠.电子商务应用开发技术. 北京:高等教育出版社,2000
