【電子商務(wù)的安全問題及對策研究5400字（論文）】

電子商務(wù)的安全問題及對策研究目錄TOC\o"1-3"\h\u1452第一章緒論 123113第二章電子商務(wù)安全的概述 112827第三章電子商務(wù)安全案例分析 217557第四章電子商務(wù)安全存在的問題 3119064.1網(wǎng)絡(luò)信息安全法律法規(guī)的不健全 3325404.2安全建設(shè)考慮不全面 3191594.3高層的網(wǎng)絡(luò)安全人才短缺 3135644.4商務(wù)信息安全問題 315548第五章技術(shù)和管理層面上的建議對策 421465.1技術(shù)層面上的建議 472825.1.1防火墻技術(shù) 4235925.1.2加密技術(shù) 4180535.2安全管理層面防治措施 5295375.2.1提高公眾電子商務(wù)的安全意識 6121995.2.2健全法律，嚴(yán)格執(zhí)法 624118第六章結(jié)論 725748參考文獻(xiàn) 8第一章緒論隨著互聯(lián)網(wǎng)的發(fā)展，個人終端技術(shù)的發(fā)展，電子商務(wù)越來越出現(xiàn)在人們的生活和工作中，這種新型的商務(wù)模式具有便捷、高效、低成本的特點。與此同時，這種新的商業(yè)模式對管理水平、信息傳輸技術(shù)提出了更高的要求，其中安全的重要性尤為突出。電子商務(wù)是通過電信網(wǎng)絡(luò)進(jìn)行電子支付，獲取信息產(chǎn)品或交付實物產(chǎn)品的承諾。與傳統(tǒng)的商業(yè)模式相比，電子商務(wù)具有高效、便攜、低成本等優(yōu)點。電子商務(wù)的發(fā)展給人們的工作和生活帶來了新的嘗試和便利，但卻沒有人們想象的那么普及和深刻。其重要的原因就是由于電子商務(wù)交易平臺的虛擬性和匿名性，使得電子商務(wù)的安全問題成為阻礙電子商務(wù)發(fā)展的瓶頸。本文在介紹電子商務(wù)安全威脅和安全隱患的基礎(chǔ)上，給出了電子商務(wù)中所涉及到的主要技術(shù)，并針對電子商務(wù)安全現(xiàn)狀，給出相應(yīng)的對策和建議。第二章電子商務(wù)安全的概述電子商務(wù)是以計算機網(wǎng)絡(luò)為基礎(chǔ)，以電子方式為手段，在法律的范圍內(nèi)，實現(xiàn)信息、商品交換的業(yè)務(wù)過程。電子商務(wù)的主體包括消費者、商家、提供電子支付的銀行和由雙方信任的第三方認(rèn)證機構(gòu)。它們通過一個開放的互聯(lián)網(wǎng)相互連接。電子商務(wù)過程是高度集成的信息流、資金流、物流、信貸流和業(yè)務(wù)流。電子商務(wù)安全整體上可以分為兩部分：計算機網(wǎng)絡(luò)安全和商業(yè)交易安全。計算機網(wǎng)絡(luò)安全內(nèi)容包括：計算機網(wǎng)絡(luò)設(shè)備安全、計算機網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全。企業(yè)交易安全是指計算機網(wǎng)絡(luò)安全，基于電子交易和電子支付等業(yè)務(wù)活動的順利進(jìn)行的保障。計算機網(wǎng)絡(luò)安全和商業(yè)交易安全是一個整體，缺一不可。沒有安全的計算機網(wǎng)絡(luò)環(huán)境作為基礎(chǔ)，商業(yè)交易安全只是空談，沒有商業(yè)交易安全的保障，即使擁有絕對安全的網(wǎng)絡(luò)環(huán)境，也不能滿足電子商務(wù)本身的安全要求。第三章電子商務(wù)安全案例分析隨著網(wǎng)絡(luò)的迅速發(fā)展不斷有用戶投訴密碼被更改，郵箱郵件被別人收走。還有的欄目信息被入侵者修改，換成莫名其妙的內(nèi)容，更猖狂的是，該入侵者居然公然加了一個自己的帳號，并將其設(shè)置為管理員。經(jīng)本站安全技術(shù)人員C檢查，其網(wǎng)站至少存在2個致命漏洞，一個中等程度的漏洞和若干個配置錯誤。其中一個致命漏洞在于RPC程序中的一個守護(hù)進(jìn)程。該守護(hù)進(jìn)程的漏洞在Internet上發(fā)布已經(jīng)有半年，但管理員既沒有對該進(jìn)程的程序打補丁，也沒有關(guān)掉該服務(wù)。實際上這個服務(wù)是沒有必要打開的。這個守護(hù)進(jìn)程中存在一個緩沖區(qū)溢出錯誤，并且有黑客針對該錯誤寫了一段攻擊程序，公布在黑客BBS上。該攻擊程序通過緩沖區(qū)溢出錯誤可以使入侵者在這臺機器上用任何身份執(zhí)行任何指令。該溢出發(fā)生的時候這個守護(hù)進(jìn)程程序報錯，這表明入侵者的確是利用這個漏洞進(jìn)入系統(tǒng)的。該網(wǎng)站上的另一個中等程度的漏洞是finger服務(wù)，該服務(wù)暴露了這臺機器的用戶名。本站安全技術(shù)人員通過修改系統(tǒng)初始化文件和修補漏洞的工作以后，有效地防止了以后同類現(xiàn)象發(fā)生。該網(wǎng)站的運行沒有出現(xiàn)過有關(guān)安全的投訴。此類問題未能得到很好的解決，更多的用戶的權(quán)益受到侵害。由于電子商務(wù)是建立在開放的、自由的Internet平臺上的,其安全的脆弱性阻礙了電子商務(wù)的發(fā)展.因此,要發(fā)展電子商務(wù)就必須解決安全問題,就必須要能保證電子商務(wù)的機密性、完整性、有效性、真實性以及不可否認(rèn)性。為應(yīng)對電子商務(wù)出現(xiàn)的各種安全問題，電子商務(wù)安全技術(shù)雖然已經(jīng)取得了一定的成績，但是電子商務(wù)要真正成為一種主導(dǎo)的商務(wù)模式，還必須在其安全技術(shù)上有更大的發(fā)展和突破。

第四章電子商務(wù)安全存在的問題4.1網(wǎng)絡(luò)信息安全法律法規(guī)的不健全面對網(wǎng)絡(luò)信息盜竊、盜竊、信息攻擊和破壞、信息污染和軟件盜版的猖獗，色情信息泛濫。人們呼吁加強網(wǎng)絡(luò)立法，網(wǎng)絡(luò)的發(fā)展需要法律的支持和保護(hù)。世界各國都必須制定相關(guān)的法律法規(guī)。網(wǎng)絡(luò)畢竟是一個新生事物，人們對其知之不多，傳統(tǒng)交易方式中具有法律效用的原始合同、簽名等如何在電子介質(zhì)中應(yīng)用，再加之網(wǎng)絡(luò)技術(shù)的發(fā)展日新月異，國家相關(guān)法律的制定難以跟上網(wǎng)絡(luò)的高速發(fā)展，使得對一些網(wǎng)絡(luò)違法、糾紛出現(xiàn)后電子形態(tài)的證據(jù)如何被法庭所接受、犯罪行為的認(rèn)定和懲罰缺乏更細(xì)致的法律依據(jù)。4.2安全建設(shè)考慮不全面國內(nèi)建網(wǎng)、聯(lián)網(wǎng)的速度很快，但網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品的應(yīng)用卻很慢。目前，對于我國大多數(shù)中小企業(yè)來說，防火墻是防止外部非法入侵的唯一手段，但它只是整體安全戰(zhàn)略的一部分。一整套安全系統(tǒng)必須是全方位、多層次的。由防火墻造成的安全錯誤給用戶，讓他們忽略了操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)和其他軟件的安全缺陷，忽略了合理地建立、設(shè)置、維護(hù)防火墻，忽略了周密地制訂應(yīng)強制執(zhí)行的安全政策，忽略了全面地考慮、實施安全策略。4.3高層的網(wǎng)絡(luò)安全人才短缺我國專門從事計算機安全問題研究的部門、單位和高校很少，這造成了我國信息安全方面的技術(shù)人才十分缺乏，計算機人員以及計算機管理人員缺少必備的安全知識。在落實網(wǎng)絡(luò)安全基本措施中有一條：一旦發(fā)現(xiàn)安全漏洞，就應(yīng)在防火墻中安裝最新的安全修補程序，這是極為關(guān)鍵的。但由于人才缺乏導(dǎo)致大多數(shù)管理人員甚至還不知道什么是安全修補程序。4.4商務(wù)信息安全問題在早期的電子交易中，曾采用過一些簡單的安全措施。例如在線交易中，最關(guān)鍵的數(shù)據(jù)如信用卡號和交易金額與手機告知，防止泄露，網(wǎng)上交易再用其他方式確認(rèn)交易，以確保其真實性和不可否認(rèn)性。這些方法不僅操作不便，而且有一定的局限性，無法達(dá)到其真正的安全性。信息在傳輸過程中不使用適當(dāng)?shù)募用艽胧┗蚣用軓姸炔粔?，?dǎo)致數(shù)據(jù)在網(wǎng)絡(luò)上以明文或接近明文的形式傳輸。入侵者截獲信息被攔截裝置通過截獲的數(shù)據(jù)傳輸，通過對被盜的數(shù)據(jù)參數(shù)的對比分析，找到信息的格式和規(guī)律，進(jìn)而得到傳輸信息的內(nèi)容，導(dǎo)致消費者消費信息、賬號密碼和企業(yè)商業(yè)機密等信息的外泄。第五章技術(shù)和管理層面上的建議對策5.1技術(shù)層面上的建議5.1.1防火墻技術(shù)防火墻在網(wǎng)絡(luò)間建立安全屏障，先封閉所有信息流，再審查要求通過信息，符合條件就通過。1.包過濾技術(shù)在網(wǎng)絡(luò)層根據(jù)系統(tǒng)設(shè)定的安全策略決定是否讓數(shù)據(jù)包通過，在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間選擇性地包過濾，核心是安全策略即過濾算法設(shè)計?？梢宰R別和丟棄帶欺騙性源IP地址的包，DNS的數(shù)據(jù)包過濾規(guī)則、電子郵件的數(shù)據(jù)包過濾規(guī)則,能使網(wǎng)絡(luò)通信更安全。對每個IP包的字段都被檢查源地址、目的地址、協(xié)議、端口等識別和丟棄帶欺騙性源IP地址的包。2.狀態(tài)監(jiān)控技術(shù)通過它建立的每個連接都被跟蹤，并根據(jù)需要在過濾器規(guī)則中動態(tài)添加或更新。在網(wǎng)絡(luò)層完成所有必要的包過濾和網(wǎng)絡(luò)服務(wù)代理防火墻功能。例如，允許先前經(jīng)過身份驗證的連接繼續(xù)與被授權(quán)的服務(wù)通信?；旧?，防火墻用于確定數(shù)據(jù)包的狀態(tài)，以便記錄信息，包括包請求的應(yīng)用、連接的持續(xù)時間、連接請求所生成的內(nèi)部和外部系統(tǒng)。通過對網(wǎng)絡(luò)訪問過程的記錄和生成日志，對日志進(jìn)行統(tǒng)計分析，利用資源分析，跟蹤和監(jiān)測異?，F(xiàn)象。5.1.2加密技術(shù)在過去，用戶為了防止信用卡的號碼被竊取到，一般是通過電話訂貨，然后使用用戶的信用卡進(jìn)行付款?，F(xiàn)在人們開始用RSA（一種公開/私有密鑰）的加密技術(shù)，提高信用卡交易的安全性，從而使電子商務(wù)走向?qū)嵱贸蔀榭赡?。目前廣泛應(yīng)用的加密技術(shù)有：1.公共密鑰和私用密鑰信息交換的過程是貿(mào)易方甲生成一對密鑰并將其中一把作為公開密鑰公開；得到公開密鑰的貿(mào)易方乙對信息加密后再發(fā)給貿(mào)易方甲：貿(mào)易方甲用另一把專用密鑰對加密信息解密。具有數(shù)字憑證身份人員的公共密鑰在網(wǎng)上查到或請對方發(fā)信息將公共密鑰傳給對方，保證傳輸信息的保密和安全。由于對每次信息交換都生成了唯一一把密鑰，因此各貿(mào)易方就不再需要對密鑰進(jìn)行維護(hù)和擔(dān)心密鑰的泄露或過期。這種方式的另一優(yōu)點是即使泄露了一把密鑰也只將影響一筆交易，而不會影響到貿(mào)易雙方之間所有的交易關(guān)系。這種方式還提供了貿(mào)易伙伴間發(fā)布對稱密鑰的一種安全途徑。2.數(shù)字摘要也稱安全Hash編碼法。將需加密的明文“摘要”成一串密文亦稱數(shù)字指紋，有固定長度且不同明文摘要成密文結(jié)果不同，而同樣明文摘要必定一致。這串摘要成為驗證明文是否真身的“指紋”。3.數(shù)字簽名將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合。在書面文件上簽名是確認(rèn)文件的手段。采用非對稱加密算法,實現(xiàn)方式為:發(fā)送方從報文文本中生成一個128位的散列值,并用自己的私有密鑰對這個散列值進(jìn)行加密,形成發(fā)送方的數(shù)字簽名;然后,將這個數(shù)字簽名作為報文的附件和報文一起發(fā)送給報文的接受方;報文的接受方首先從接受到的原始報文中計算出128位的散列值,再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進(jìn)行解密。如果兩個散列值相同,那么接受方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。4.數(shù)字時間戳電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關(guān)鍵性內(nèi)容，數(shù)字時間戳服務(wù)能提供電子文件發(fā)表時間的安全保護(hù)。在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。在電子交易中，同樣需對交易文件的日期和時間信息采取安全措施，而數(shù)字時間戳服務(wù)就能提供電子文件發(fā)表時間的安全保護(hù)。數(shù)字時間戳服務(wù)（DTS）是網(wǎng)絡(luò)安全服務(wù)項目，由專門的機構(gòu)提供。時間戳是一個經(jīng)加密后形成的憑證文檔。

3.1.3認(rèn)證技術(shù)（C2B）安全認(rèn)證的作用是進(jìn)行信息認(rèn)證。信息認(rèn)證是確認(rèn)信息發(fā)送者的身份，驗證信息完整性，確認(rèn)信息在傳送或存儲過程中未被篡改。1.數(shù)字證書數(shù)字憑證、數(shù)字標(biāo)識，用電子手段證實用戶身份及對網(wǎng)絡(luò)資源的訪問權(quán)限，可控制被查看的數(shù)據(jù)庫，提高總體保密性。交易支付過程中，參與各方必須利用認(rèn)證中心簽發(fā)的數(shù)字證書證明身份。利用電子手段來證實一個用戶的身份及用戶對網(wǎng)絡(luò)資源的訪問權(quán)限。它包括用戶的姓名、公共密鑰、公共密鑰的有效期、頒發(fā)數(shù)字證書的CA、數(shù)字證書的序列號以及用戶本人的數(shù)字簽名。任何信用卡持有人只有申請到相應(yīng)的數(shù)字證書,才能參加網(wǎng)上的電子商務(wù)交易。2.安全認(rèn)證機構(gòu)電子商務(wù)授權(quán)機構(gòu)也稱電子商務(wù)認(rèn)證中心。無論是數(shù)字時間戳服務(wù)還是數(shù)字證書發(fā)放，都需要有權(quán)威性和公正性的第三方完成。CA是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書并確認(rèn)用戶身份的企業(yè)性服務(wù)機構(gòu)，受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書管理。5.2安全管理層面防治措施防范電子商務(wù)網(wǎng)絡(luò)犯罪是一個系統(tǒng)工程，不僅需要人們提高防范電子商務(wù)網(wǎng)絡(luò)犯罪的意識，加強防范電子商務(wù)網(wǎng)絡(luò)犯罪的制度建設(shè)，而且。還需要技術(shù)上不斷更新和完善，為此，需要做好以下幾方面的工作。5.2.1提高公眾電子商務(wù)的安全意識信息安全意識是指人們在互聯(lián)網(wǎng)的進(jìn)程中，重視信息安全意識水平，發(fā)現(xiàn)影響網(wǎng)絡(luò)安全行為的敏感度，維護(hù)網(wǎng)絡(luò)安全的主動性。加強上網(wǎng)人員的信息安全意識，讓員工認(rèn)識到，互聯(lián)網(wǎng)的網(wǎng)絡(luò)信息安全是電子商務(wù)的正常、高效運行的基礎(chǔ)，是保障企業(yè)、公民和國家利益的重要前提，從而建立網(wǎng)上交易，一個思想。主要采取以下措施：一是通過大眾傳播媒介，普遍獲取電子商務(wù)安全知識，提高用戶意識。二是積極組織研討會和培訓(xùn)班，培訓(xùn)電子商務(wù)網(wǎng)絡(luò)營銷安全管理人員。5.2.2健全法律，嚴(yán)格執(zhí)法要積極開展電子商務(wù)立法的各項準(zhǔn)備工作，循序漸進(jìn)、突出重點、先易后難，先單項后綜合，在實踐中摸索，在發(fā)展中完善，針對不同的法律問題，提出新的解決方案，制定相應(yīng)的法律法規(guī)。目前我國在電子商務(wù)法律法規(guī)方面還有很多缺失，不能有效地保護(hù)公眾的合法權(quán)益，給一些犯罪分子帶來了可乘之機。我國立法部門應(yīng)加快立法進(jìn)程，吸取和借鑒國外網(wǎng)絡(luò)信息安全立法的先進(jìn)經(jīng)驗，使電子商務(wù)安全管理走上法制化軌道。使網(wǎng)絡(luò)控制、信息控制、信息資源管理和防止泄密有法可依，并得到技術(shù)上的支撐。健全電子商務(wù)安全標(biāo)準(zhǔn)認(rèn)證和質(zhì)量檢測機制，由國家主管部門組織制定有關(guān)電子商務(wù)安全條例規(guī)定，并發(fā)揮職能部門的監(jiān)管作用。通過建立電子商務(wù)安全法規(guī)體系，規(guī)范和維持網(wǎng)絡(luò)的正常運行。第六章結(jié)論我國電子商務(wù)仍處在起步階段，還存在著應(yīng)用范圍不廣、水平不高和安全威脅等問題，對我國實現(xiàn)全面建設(shè)小康社會的宏偉目標(biāo)具有十分重要的意義。雖然電子商務(wù)安全保護(hù)的新技術(shù)越來越多，但現(xiàn)有的新技術(shù)無法形成有效、安全、系統(tǒng)的電子商務(wù)安全體系。構(gòu)建一個完全基于客戶需求，從最先進(jìn)的網(wǎng)站建設(shè)平臺，用最有價值的網(wǎng)絡(luò)來推進(jìn)網(wǎng)絡(luò)營銷的最佳、最安全的解決方案。因此，要防范電子交易的風(fēng)險，保護(hù)雙方當(dāng)事人的利益。電子商務(wù)應(yīng)充分利用信息技術(shù)，培育和發(fā)展良好的競爭環(huán)境，增強企業(yè)參與綜合競爭的能力，立足于供應(yīng)鏈、信息交換和技術(shù)創(chuàng)新的戰(zhàn)略聯(lián)盟。參考文獻(xiàn)[1]張建兵,程財軍.電子商務(wù)安全問題探析[J].現(xiàn)代商貿(mào)工業(yè),2009,21(23):253-254.[2]王大飛.移動電子商務(wù)安全研究[D].武漢理工大學(xué),2011.[3]李巖,宋朝.電子商務(wù)安全現(xiàn)狀及對策研究[J].學(xué)理論,2011(006):81-82.[4]申淑杰.電子商務(wù)安全現(xiàn)狀及對策探討[J].科學(xué)咨詢,2011(3):13-14.[5]張婭妮.電子商務(wù)網(wǎng)絡(luò)安全問題的現(xiàn)狀與防范措施[J].計算機安全,2013(4):75-78.[6]許寧寧.電子商務(wù)安全的現(xiàn)狀和趨勢[J].中國電子商務(wù),2010(1):39-40.[7]董紀(jì)陽.移動商務(wù)的安全問題研究[J].中國管理信息化,2011(21):77-79.[8]劉小紅如何構(gòu)建整合模式電子商務(wù)網(wǎng)站CA中心[J]，北京：計算機工程與應(yīng)用，2001.22P67-68[9]賈晶等編著信息系統(tǒng)的安全與保密[M]，北京：清華大學(xué)出版社，2000.12[10]劉