網(wǎng)絡(luò)金融與電子支付期末論文

1、網(wǎng)絡(luò)金融與電子支付期末論文題 目淺談電子商務(wù)交易陷阱及安全防范措施學(xué)院名稱 經(jīng)濟管理學(xué)院 指導(dǎo)教師 班 級 學(xué) 號 學(xué)生姓名 2015年12月 17日目錄1、電子商務(wù)安全問題的構(gòu)成和基本需求11.1、網(wǎng)絡(luò)安全11.2、電子商務(wù)對安全控制的要求22、目前電子商務(wù)中存在的安全問題33、電子商務(wù)安全防范措施33.1防火墻措施33.2數(shù)據(jù)加密技術(shù)43.2.1對稱式密鑰加密技術(shù)43.2.2公開密鑰加密技術(shù)53.3認證技術(shù)53.3.1數(shù)字信封53.3.2數(shù)字簽名63.3.3數(shù)字證書63.4安全技術(shù)協(xié)議73.4.1安全套層協(xié)議（SSL）73.4.2安全電子交易協(xié)議（SET）74、總結(jié)論述7參考文獻8淺談電子

2、商務(wù)交易陷阱及安全防范措施劉媛媛摘要在當(dāng)今社會，全球經(jīng)濟的發(fā)展伴隨著電子商務(wù)的發(fā)展，電子商務(wù)在經(jīng)濟生活中的地位牢固而不可撼動，但是與此同時，電子商務(wù)交易中的安全問題也變得越來越突出。由于電子商務(wù)是一種全新的商務(wù)活動方式，人們對其比較生疏，而且交易雙方互不相見，再加上一些媒體對計算機“黑客”“神乎其神”的報道，也使人們對電子商務(wù)的安全性充滿疑惑。如何建立一個安全、便捷的電子商務(wù)應(yīng)用環(huán)境，對交易信息提供足夠的保護，已經(jīng)成為商家和用戶都十分關(guān)心的問題。本文首先介紹了電子商務(wù)安全問題的構(gòu)成和基本需求，其次說明目前電子商務(wù)中存在的安全問題；最后提出相應(yīng)的安全防范措施。關(guān)鍵詞 電子商務(wù) 安全問題 安全防范

3、措施 網(wǎng)上交易 1、電子商務(wù)安全問題的構(gòu)成和基本需求電子商務(wù)發(fā)展的核心和關(guān)鍵問題是交易的安全性。為了保護網(wǎng)上交易過程中交易雙方的合法權(quán)益，人們針對電子商務(wù)系統(tǒng)所面臨的主要威脅，對其安全性提出了具體的要求。1.1、網(wǎng)絡(luò)安全一般認為，計算機網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自黑客攻擊、計算機病毒和拒絕服務(wù)攻擊三個方面。1、黑客攻擊黑客攻擊是指黑客非法進入網(wǎng)絡(luò)，非法使用網(wǎng)絡(luò)資源。例如，通過網(wǎng)絡(luò)監(jiān)聽獲取網(wǎng)上用戶的賬號和密碼；非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)；通過隱蔽通道進行非法活動等。（1）口令攻擊。口令攻擊是網(wǎng)上攻擊最常用的方法，也是大多數(shù)黑客開始網(wǎng)絡(luò)攻擊的第一步。黑客首先通過進入系統(tǒng)的常規(guī)服務(wù)或?qū)W(wǎng)絡(luò)通信進行監(jiān)視，使

4、用掃描工具獲取主機的有用信息。然后，反復(fù)試驗和推測用戶及其親屬的名字、生日、電話號碼等，獲取進入計算機網(wǎng)絡(luò)系統(tǒng)的口令，以求侵入系統(tǒng)，從事襲擊活動。（2）服務(wù)攻擊。黑客所采用的服務(wù)攻擊手段主要有四種：使目標主機建立大量的連接。因為目標主機要為每次網(wǎng)絡(luò)連接提供網(wǎng)絡(luò)資源，所以當(dāng)連接速率足夠高、連接數(shù)量足夠多時就會使目標主機的網(wǎng)絡(luò)資源耗盡，從而導(dǎo)致主機癱瘓、重新啟死機或黑（藍）屏。向遠程主機發(fā)送大量的數(shù)據(jù)包。利用即時消息功能，以極快的速度用無數(shù)的消息“轟炸”某個特定用戶，使目標主機緩沖區(qū)溢出，黑客伺機提升權(quán)限，獲取信息或執(zhí)行任意程序。利用網(wǎng)絡(luò)軟件在實現(xiàn)協(xié)議時的漏洞，向目標主機發(fā)送特定格式的數(shù)據(jù)包，從而

5、導(dǎo)致目標主機癱瘓。（3）IP欺騙。IP欺騙是適用于TCP/IP環(huán)境的一種復(fù)雜的技術(shù)攻擊，它偽造他人的源地址，讓一臺計算機來扮演另一臺計算機，借以達到蒙混過關(guān)的目的。2、計算機病毒計算機病毒，是指編制或者在計算機程序中插入破壞計算機功能或者毀壞數(shù)據(jù)、影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。計算機病毒是通過非法侵入來擴散的，計算機病毒程序把自己附著在其他程序上，等這些程序運行時，病毒就進入到系統(tǒng)中，進而大面積擴散。3、拒絕服務(wù)攻擊拒絕服務(wù)攻擊即攻擊者想辦法讓目標機器停止提供服務(wù)，是黑客常用的攻擊手段之一。其實對網(wǎng)絡(luò)寬帶進行的消耗性攻擊只是拒絕服務(wù)攻擊的一小部分，只要能夠給目標造成

6、麻煩，使某些服務(wù)被暫停甚至主機死機，都屬于拒絕服務(wù)攻擊。1.2、電子商務(wù)對安全控制的要求1、內(nèi)部網(wǎng)的嚴密性企業(yè)的內(nèi)部網(wǎng)上一方面有著大量需要保密的信息，另一方面?zhèn)鬟f著企業(yè)內(nèi)部的大量指令，控制著企業(yè)的業(yè)務(wù)流程。因此保證內(nèi)部網(wǎng)不被侵入或把侵入后的損失限制在一定范圍，是開展電子商務(wù)時應(yīng)著重考慮的一個問題。2、完整性（1）信息的完整性。（2）數(shù)據(jù)和交易的完整性。數(shù)據(jù)的完整性是指確保傳輸中的或存儲中的數(shù)據(jù)未遭受未經(jīng)授權(quán)的篡改和破壞；交易的完整性是指電子交易完成了交易的全部邏輯，實現(xiàn)了交易的全部功能，不存在單邊賬現(xiàn)象，同時交易各階段中的數(shù)據(jù)是完整的。3、保密性電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著個人

7、、企業(yè)或國家的商業(yè)機密，均有保密的要求。敏感信息不能披露給第三方，一旦被惡意獲取，將造成極大的危害。信息發(fā)送和接受要求在安全的通道進行，保證通信雙方的信息保密。交易的參與方在信息交換過程中沒有被竊聽的危險。非參與方不能獲取交易的信息。4、不可修改性交易的文件是不可被修改的。因此，必須有相應(yīng)的技術(shù)來防止電子交易文件被修改，以保證交易中的嚴肅與公正。5、交易者身份的確定性只有信息流、資金流、物流的有效轉(zhuǎn)換，才能保證電子商務(wù)的順利實現(xiàn)，而這一切均以信息的真實性為基礎(chǔ)。雙方應(yīng)該在交換信息之前通過各種方法獲取對方的證書，并以此識別交易對方的身份不能被假冒或偽裝，以有效鑒別確定交易方的身份。6、交易的無爭

8、議和不可抵賴性數(shù)據(jù)發(fā)送者對自己所發(fā)送數(shù)據(jù)的內(nèi)容和事實不可否認；數(shù)據(jù)接受者在確實接收到數(shù)據(jù)后，對已經(jīng)接收到的數(shù)據(jù)的事實不可否認。7、有效性電子商務(wù)要對網(wǎng)絡(luò)故障、操作錯誤、應(yīng)用程序錯誤、硬件故障、系統(tǒng)軟件錯誤及計算機病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時刻、確定的地點是有效的，8、授權(quán)合法性安全管理人員能夠控制用戶的權(quán)限，分配或終止用戶的訪問、操作、接入等權(quán)利，授權(quán)用戶的訪問不能被拒絕。2、目前電子商務(wù)中存在的安全問題電子商務(wù)面臨的安全威脅主要有以下四個方面：（1）在網(wǎng)絡(luò)的傳輸過程中信息被截獲（2）篡改傳輸?shù)奈募鄹?刪除 插入（3）假冒他人身份偽造電子郵件和用戶，虛開網(wǎng)站和

9、商店 假冒他人身份（4）不承認或抵賴已經(jīng)做過的交易（5）惡意破壞3、電子商務(wù)安全防范措施3.1防火墻措施防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件組合。防火墻安全保障技術(shù)主要是為了保護與互聯(lián)網(wǎng)相連的企業(yè)內(nèi)部網(wǎng)絡(luò)或單獨節(jié)點。在邏輯上它是一個限制器，也是一個分析器，能有效地監(jiān)控內(nèi)部網(wǎng)和Internet之間的活動，保證內(nèi)部網(wǎng)絡(luò)的安全。（1）防火墻的基本功能防火墻是網(wǎng)絡(luò)安全的屏障防火墻可以強化網(wǎng)絡(luò)安全策略對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計防止內(nèi)部信息外泄向客戶發(fā)布信息防火墻的抗攻擊能力（2）防火墻的局限性不能阻止來自內(nèi)部的破壞不能保護繞過它的連接無法完全防止新出現(xiàn)的網(wǎng)絡(luò)威脅不能防止病毒不具備實時監(jiān)

10、控入侵的能力通常工作在網(wǎng)絡(luò)層，無法檢測和防御最新的拒絕服務(wù)攻擊及蠕蟲病毒的攻擊3.2數(shù)據(jù)加密技術(shù)3.2.1對稱式密鑰加密技術(shù) 基于私有密鑰體制采用了對稱加密算法，即信息交換雙方共同約定一個密鑰。通信的甲方將要發(fā)送信息用私鑰加密后傳給乙方，乙方用相同的私鑰解密后獲得甲方傳遞的信息。對稱加密算法有多種，最常用的是DES算法。對稱加密示意圖3.2.1.1對稱式密鑰加密技術(shù)的優(yōu)缺點優(yōu)點：對稱式密鑰加密技術(shù)具有加密速度快、保密度高等優(yōu)點。缺點：（1）要求提供一條安全的渠道使通訊雙方在首次通訊時協(xié)商一個共同的密鑰。（2）密鑰的數(shù)目將快速增長而變得難于管理。（3）對稱加密算法一般不提供信息完整性的鑒別3.2

11、.2公開密鑰加密技術(shù)公開密鑰加密體系采用的是非對稱加密算法。使用公開密鑰算法需要兩個密鑰:公開密鑰和私有密鑰。具體是指發(fā)送方用接收方的公鑰對需傳遞的信息加密，接收方收到信息后用自己的私鑰對信息進行解密。公開密鑰體制常用的加密算法是RSA算法使用公鑰加密和對應(yīng)的私鑰解密的示意圖 3.2.2.1公開密鑰加密技術(shù)的優(yōu)缺點優(yōu)點：密鑰少而便于管理；不需要采用秘密的通道和復(fù)雜的協(xié)議來傳送密鑰缺點：速度慢（適合對少量數(shù)據(jù)進行加解密）3.3認證技術(shù)3.3.1數(shù)字信封數(shù)字信封對需要的信息的加密用對稱密鑰加密法；但密鑰不先由雙方確定，而是在加密前由發(fā)送方隨機產(chǎn)生；用此隨機產(chǎn)生的對稱密鑰對信息進行加密，然后將此對稱

12、密鑰用接收方的公開密鑰加密，準備定點加密發(fā)送給接收方。接收方收到信息后，用自己的私人密鑰解密，打開數(shù)字信封，取出隨機產(chǎn)生的對稱密鑰，用此對稱密鑰再對所收到的密鑰解密，得到原來的信息，保證信息的安全，又提高了速度。3.3.2數(shù)字簽名數(shù)字簽名和驗證過程示意圖3.3.2.1數(shù)字簽名的運作步驟如下：（1）發(fā)送方首先用哈希函數(shù)，將需要傳送的消息轉(zhuǎn)換成報文摘要。（2）發(fā)送方采用自己的私有密鑰對報文摘要進行加密，形成數(shù)字簽名。（3）發(fā)送方把加密后的數(shù)字簽名附加在要發(fā)送的報文后面，傳遞給接收方。（4）接受方使用發(fā)送方的公有密鑰對數(shù)字簽名進行解密，得到發(fā)送方形成的報文摘要。（5）接收方用哈希函數(shù)將接收到的報文轉(zhuǎn)

13、換成報文摘要，與發(fā)送方形成的報文摘要相比較，若相同，說明文件在傳輸過程中沒有被破壞。3.3.3數(shù)字證書數(shù)字證書又稱數(shù)字憑證，用電子手段來證實一個用戶的身份和對網(wǎng)絡(luò)資源的訪問權(quán)限，是一種數(shù)字標識，提供的是網(wǎng)絡(luò)身份證明。3.3.3.1認證機構(gòu)CA電子商務(wù)認證機構(gòu)(CA)是為了解決電子商務(wù)中交易參與各方身份及資信的認定，維護交易活動的安全，從根本上保障電子商務(wù)交易活動順利進行而設(shè)立的機構(gòu)，負責(zé)發(fā)放和管理數(shù)字證書。3.4安全技術(shù)協(xié)議3.4.1安全套接層協(xié)議（SSL） SSL是Netscape公司率先采用的一種網(wǎng)絡(luò)安全協(xié)議，它能把在網(wǎng)頁和服務(wù)器之間傳輸?shù)臄?shù)據(jù)加密。這種加密措施能夠防止資料在傳輸過程中被竊

14、取。因此采用SSL協(xié)議傳輸密碼和信用卡號等敏感信息以及身份認證信息是一種比較理想的選擇。SSL可以被理解成一條受密碼保護的通道。通道的安全性取決于協(xié)議中采用的加密算法。目前SSL協(xié)議標準已經(jīng)成為網(wǎng)絡(luò)上保密通信的一種工業(yè)標準,在C/S和B/S的構(gòu)架下都有廣泛的應(yīng)用。3.4.2安全電子交易協(xié)議（SET）SET是美國Visa和MasterCard兩大信用卡組織等聯(lián)合于1997年5月31日推出的用于電子商務(wù)的行業(yè)規(guī)范，其實質(zhì)是一種應(yīng)用在Internet上、以信用卡為基礎(chǔ)的電子付款系統(tǒng)規(guī)范，目的是為了保證網(wǎng)絡(luò)交易的安全。SET妥善地解決了信用卡在電子商務(wù)交易中的交易協(xié)議、信息保密、資料完整以及身份認證等問題。SET已獲得IETF標準的認可，是電子商務(wù)的發(fā)展方向。4、總結(jié)論述如今，電子商務(wù)已經(jīng)成為一切經(jīng)濟活動中乃至我們生活中不可或缺的組成元素，成為推動企業(yè)發(fā)展的核心力量。而歸根究底，電子商務(wù)安全問題才是電子商務(wù)順利發(fā)展的一個關(guān)鍵，解決電子商務(wù)安全問題最重要的是技術(shù)，而