企業(yè)電子商務(wù)安全問(wèn)題分析-電子商務(wù)畢業(yè)論文

企業(yè)電子商務(wù)安全問(wèn)題分析---電子商務(wù)畢業(yè)論文文檔視界企業(yè)電子商務(wù)安全問(wèn)題分析---電子商務(wù)畢業(yè)論文企業(yè)電子商務(wù)安全問(wèn)題分析---電子商務(wù)畢業(yè)論文電子商務(wù)課程結(jié)課論文--------企業(yè)電子商務(wù)安全問(wèn)題分析隨著電子信息技術(shù)的迅速普及和廣泛應(yīng)用,電子商務(wù)以其快速、便利等優(yōu)點(diǎn)越來(lái)越遭到社會(huì)的認(rèn)可。電子商務(wù)的發(fā)展前景特別誘人,但商業(yè)信息的安全仍然是電子商務(wù)的首要問(wèn)題。本文從實(shí)現(xiàn)電子商務(wù)安全性的基本框架出發(fā),對(duì)電子商務(wù)中的各種安全技術(shù)進(jìn)行了分析,以討論一種有效、安全的實(shí)現(xiàn)電子商務(wù)的途徑。一、我國(guó)電子商務(wù)現(xiàn)狀根據(jù)CNNIC發(fā)布的（中國(guó)互聯(lián)網(wǎng)絡(luò)熱門調(diào)查報(bào)告）中顯示：網(wǎng)上購(gòu)物大軍到達(dá)2000萬(wàn)人，在全體互聯(lián)網(wǎng)網(wǎng)民中，有過(guò)購(gòu)物經(jīng)歷的網(wǎng)民占近20%的比例。根據(jù)國(guó)家信息化辦公室公布的數(shù)據(jù)，目前仍有60%的中小企業(yè)的信息化程度處于初級(jí)階段。因而，電子商務(wù)是互聯(lián)網(wǎng)應(yīng)用發(fā)展的必然趨勢(shì)，也是國(guó)際金融貿(mào)易中越來(lái)越重要的經(jīng)營(yíng)形式，以后它還會(huì)逐步地成為我們經(jīng)濟(jì)生活中一個(gè)重要部分。但同時(shí)我們也看到，我國(guó)的電子商務(wù)還處于了發(fā)展的初級(jí)階段還有很長(zhǎng)的路要走，進(jìn)而安全是保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素。根據(jù)調(diào)查顯示，目前電子商務(wù)安全主要存在的問(wèn)題是：(1)計(jì)算機(jī)網(wǎng)絡(luò)安全(2)商品的品質(zhì)(3)商家的誠(chéng)信(4)貨款的支付(5)商品的遞送(6)買賣糾紛處理(7)網(wǎng)站售后服務(wù)以上問(wèn)題能夠歸結(jié)為兩大部分：計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全。計(jì)算機(jī)網(wǎng)絡(luò)安全與商務(wù)交易安全實(shí)際上是密不可分的，兩者相輔相成，缺一不可。電子商務(wù)的一個(gè)重要技術(shù)特征是利用IT技術(shù)來(lái)傳輸和處理商業(yè)信息。沒(méi)有計(jì)算機(jī)網(wǎng)絡(luò)安全作為基礎(chǔ)，商務(wù)交易安全就如同海市蜃樓，無(wú)從談起。沒(méi)有商務(wù)交易安全保障，即便計(jì)算機(jī)網(wǎng)絡(luò)本身再安全，仍然無(wú)法到達(dá)電子商務(wù)所特有的安全要求。只要解決好以上的矛盾，電子商務(wù)才能保證又快又好的發(fā)展。二、網(wǎng)絡(luò)安全技術(shù)策略電子商務(wù)的安全問(wèn)題，能夠歸結(jié)兩大類問(wèn)題：一是支付安全，二是認(rèn)證安全。1、支付安全由于網(wǎng)絡(luò)天生的不安全性，十分是其網(wǎng)上支付領(lǐng)域有著各種各樣的交易風(fēng)險(xiǎn)。但無(wú)論是何種風(fēng)險(xiǎn)，其根本原因都是由于登錄密碼或支付密碼泄露造成的?！?〕密碼管理問(wèn)題大部分公司和個(gè)人遭到網(wǎng)絡(luò)攻擊的主要原因是密碼政策管理不善。大多數(shù)用戶使用的密碼都是字典中可查到的普通單詞姓名或者其他簡(jiǎn)單的密碼。有86%的用戶在所有網(wǎng)站上使用的都是同一個(gè)密碼或者有限的幾個(gè)密碼。很多攻擊者還會(huì)直接使用軟件強(qiáng)力破解一些安全性弱的密碼。因而，因而建議用戶使用復(fù)雜的密碼，降低被病毒破譯密碼的可能性，提高計(jì)算機(jī)系統(tǒng)的安全性。需要注意：一是密碼不要設(shè)置為姓名、普通單詞一、電話號(hào)碼、生日等簡(jiǎn)單密碼;二是結(jié)合字母、數(shù)字、大小寫共組密碼;三是密碼位數(shù)應(yīng)盡量大于9位。〔2〕網(wǎng)絡(luò)病毒、木馬問(wèn)題現(xiàn)今流行的很多木馬病毒都是專門用于竊取網(wǎng)上銀行密碼而編制的。木馬會(huì)監(jiān)視lE閱讀器正在訪問(wèn)的網(wǎng)頁(yè)，假如發(fā)現(xiàn)用戶正在登錄個(gè)人銀行，直接進(jìn)行鍵盤記錄輸入的帳號(hào)、密碼，或者彈出偽造的登錄對(duì)話框，誘騙用戶輸入登錄密碼和支付密碼.然后通過(guò)郵件將竊取的信息發(fā)送出去。因而，需要做好本身電腦的日常安全維護(hù)，注意下面幾點(diǎn):一是經(jīng)常給電腦系統(tǒng)升級(jí)，二是安裝殺毒軟件、防火墻，經(jīng)常升級(jí)和殺毒，三在平常上網(wǎng)是盡量不上一些小型網(wǎng)站，選大型網(wǎng)站，知名度比擬高的網(wǎng)站，避免網(wǎng)站掛有病毒、木馬造成中毒，四盡量不要在公共電腦上使用本人的有關(guān)資金的帳戶和密碼，五有條件的情況下，在初裝系統(tǒng)后確認(rèn)電腦安全的后，給本人的電腦做上備份，在使用資金帳戶前做一次系統(tǒng)恢復(fù)?！?〕釣魚平臺(tái)“網(wǎng)絡(luò)釣魚〞攻擊者利用欺騙性的電子郵件和偽造的Web站點(diǎn)來(lái)進(jìn)行詐騙活動(dòng)，如將本人偽裝成知名銀行、在線零售商和信譽(yù)卡公司等可信的品牌。受騙者往往會(huì)泄露本人的財(cái)務(wù)數(shù)據(jù)，如信譽(yù)卡號(hào)、賬戶號(hào)和口令等。因而，在登錄支付資金時(shí)，應(yīng)注意：一是確認(rèn)該網(wǎng)能否是官方網(wǎng)站，二是仔細(xì)核對(duì)該網(wǎng)的域名能否正確，注意小寫“1〞與“L〞、“0〞與“O〞等情況，三保證良好的上網(wǎng)習(xí)慣，珍藏常用的網(wǎng)址，減少網(wǎng)上鏈接?！?〕硬件數(shù)字認(rèn)證在電子商務(wù)體系構(gòu)建的過(guò)渡時(shí)期，道高一尺，魔高一丈。各類病毒層出不窮，木馬也在天天更新，今天這種技術(shù)安全，明天就不一定安全。因而，數(shù)字證書的引入是在線支付安全問(wèn)題的最終解決方案之一。網(wǎng)上支付不安全，選擇網(wǎng)下加以彌補(bǔ)。以工商銀行2003年推出并獲得國(guó)家專利的客戶證書USBkey(U盾)為例。從技術(shù)角度看.u盾是用于網(wǎng)上銀行電子簽名和數(shù)字認(rèn)證的工具，它內(nèi)置微型智能卡處理器，采用1024位非對(duì)稱密鑰算法對(duì)數(shù)據(jù)進(jìn)行加密、解密和數(shù)字簽名.確保網(wǎng)上交易的保密性、真實(shí)性、完好性和不可否認(rèn)性。它順利地解決了當(dāng)前網(wǎng)銀密碼泄漏的問(wèn)題。有了硬件數(shù)字證書的應(yīng)用，即便你的密碼泄漏了。沒(méi)有證書，黑客還是不能夠使用你的帳戶。動(dòng)態(tài)電子密碼的應(yīng)用可以以確保電子銀行帳號(hào)的安全?，F(xiàn)行的有兩種方式，一種是在使用時(shí)查看當(dāng)前的動(dòng)態(tài)電子密碼。另一種是臨時(shí)通過(guò)綁定手機(jī)、密寶等通信工具，向帳戶所在銀行申請(qǐng)臨時(shí)密碼。由于具有較強(qiáng)的時(shí)效性，進(jìn)而保障帳戶資金的安全。還有其它消極的防護(hù)措施。如某些網(wǎng)上銀行交易金額限制，單次為300元，每日限額為3000元。主要是為了降低電子支付交易風(fēng)險(xiǎn).但在一定程度上會(huì)給大額交易帶來(lái)不便。這種措施其實(shí)治標(biāo)不治本。2、認(rèn)證安全電子商務(wù)為了保證網(wǎng)絡(luò)上傳遞信息的安全，通常采用加密的方法。但這是不夠的，怎樣確定交易雙方的身份，怎樣獲得通訊對(duì)方的公鑰并且相信此公鑰是由某個(gè)身份確定的人擁有的，解決方法就是找一個(gè)大家共同信任的第三方，即認(rèn)證中心(CertificateAuthority，CA)頒發(fā)電子證書。用戶之間利用證書來(lái)保證安全性和雙方身份的合法性，只要確定身份后，交易的糾紛，才得到有效的裁決?？傊娮由虅?wù)的安全是個(gè)非常復(fù)雜的問(wèn)題，它的保障機(jī)制必須是有機(jī)的，多層次的，需要有企業(yè)管理方面，技術(shù)支持方面的協(xié)調(diào)來(lái)實(shí)現(xiàn)。它是一個(gè)系統(tǒng)有機(jī)的整體，不僅需要計(jì)算機(jī)網(wǎng)絡(luò)安全的保證，也需要商務(wù)交易安全上的保障，更需要管理上的進(jìn)步，才能確保電子商務(wù)的安全。同時(shí)我國(guó)在電子商務(wù)技術(shù)性較為落后，必須加強(qiáng)具有自主產(chǎn)權(quán)的信息安全產(chǎn)品的研究，注意加強(qiáng)信息安全人才的培養(yǎng)，多方共同努力建立科學(xué)的電子商務(wù)安全機(jī)制，才能為我國(guó)的電子商務(wù)又快又好的發(fā)展保駕護(hù)行。三、對(duì)電子商務(wù)活動(dòng)安全性的要求(1)服務(wù)的有效性要求。電子商務(wù)系統(tǒng)應(yīng)能防止服務(wù)失敗情況的發(fā)生,預(yù)防由于網(wǎng)絡(luò)故障和病毒發(fā)作等因素產(chǎn)生的系統(tǒng)停止服務(wù)等情況,保證交易數(shù)據(jù)能準(zhǔn)確快速的傳送。(2)交易信息的保密性要求。電子商務(wù)系統(tǒng)應(yīng)對(duì)用戶所傳送的信息進(jìn)行有效的加密,防止因信息被截取破譯,同時(shí)要防止信息被越權(quán)訪問(wèn)。(3)數(shù)據(jù)完好性要求。數(shù)字完好性是指在數(shù)據(jù)處理經(jīng)過(guò)中,原來(lái)數(shù)據(jù)和現(xiàn)行數(shù)據(jù)之間保持完全一致。為了保障商務(wù)交易的嚴(yán)肅和公正,交易的文件是不可被修改的,否則必然會(huì)損害一方的商業(yè)利益。(4)身份認(rèn)證的要求。電子商務(wù)系統(tǒng)應(yīng)提供安全有效的身份認(rèn)證機(jī)制,確保交易雙方的信息都是合法有效的,以免發(fā)生交易糾紛時(shí)提供法律根據(jù)。四、電子商務(wù)的主要安全要素(1)信息真實(shí)性、有效性。電子商務(wù)以電子形式取代了紙張,怎樣保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開(kāi)展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。(2)信息機(jī)密性。電子商務(wù)作為貿(mào)易的一種手段,其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)到達(dá)保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的,商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。(3)信息完好性。電子商務(wù)簡(jiǎn)化了貿(mào)易經(jīng)過(guò),減少了人為的干涉,同時(shí)也帶來(lái)維護(hù)商業(yè)信息的完好、統(tǒng)一的問(wèn)題。由于數(shù)據(jù)輸入時(shí)的意外過(guò)失或欺詐行為,可能導(dǎo)致貿(mào)易各方信息的差異。此外,數(shù)據(jù)傳輸經(jīng)過(guò)中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。因而,電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲(chǔ)及電子商務(wù)完好性檢查的正確和可靠。(4)信息可靠性、可鑒別性和不可抵賴性?？煽啃砸蠹词悄鼙ＷC合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^;不可否認(rèn)要求即是能建立有效的責(zé)任機(jī)制,防止實(shí)體否認(rèn)其行為;可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過(guò)在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來(lái)鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。在無(wú)紙化的電子商務(wù)方式下,通過(guò)手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因而,要在交易信息的傳輸經(jīng)過(guò)中為介入交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。在internet上每個(gè)人都是匿名的,電子商務(wù)系統(tǒng)應(yīng)充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴;接收方在接收數(shù)據(jù)后也不能抵賴。五、電子商務(wù)采用的主要安全技術(shù)1.網(wǎng)絡(luò)節(jié)點(diǎn)的安全防火墻是一種由計(jì)算機(jī)硬件和軟件的組合,使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān),進(jìn)而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入,它其實(shí)就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)(通常指局域網(wǎng)或城域網(wǎng))隔開(kāi)的屏障。防火墻的應(yīng)用能夠有效的減少黑客的入侵及攻擊,為電子商務(wù)的發(fā)揮提供一個(gè)相對(duì)更安全的平臺(tái)。防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息,并記憶通信狀態(tài),進(jìn)而作出允許/拒絕等正確的判定。通過(guò)靈敏有效地運(yùn)用這些功能,制定正確的安全策略,將能提供一個(gè)安全、高效的Intranet系統(tǒng)。應(yīng)給予十分注意的是,防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合,它是安全策略的一個(gè)部分。安全策略建立了全方位的防御體系來(lái)保護(hù)機(jī)構(gòu)的信息資源,這種安全策略應(yīng)包括:規(guī)定的網(wǎng)絡(luò)訪問(wèn)、服務(wù)訪問(wèn)、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護(hù)措施,以及管理制度等。所有有可能遭到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級(jí)別加以保護(hù)。僅設(shè)立防火墻系統(tǒng),而沒(méi)有全面的安全策略,那么防火墻就形同虛設(shè)。2.通訊的安全在客戶端閱讀器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接,所傳遞的重要信息都是經(jīng)過(guò)加密的,這在一定程度上保證了數(shù)據(jù)在傳輸經(jīng)過(guò)中的安全。目前采用的是閱讀器缺省的40位加密強(qiáng)度,可以以考慮將加密強(qiáng)度增加到128位。為在閱讀器和服務(wù)器之間建立安全機(jī)制,SSL首先要求服務(wù)器向閱讀器出示它的證書,證書包括一個(gè)公鑰,由一家可信證書受權(quán)機(jī)構(gòu)(CA中心)簽發(fā)。閱讀器要驗(yàn)征服務(wù)器證書的正確性,必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰(PKI)。驗(yàn)證個(gè)人證書是為了驗(yàn)證來(lái)訪者的合法身份,而單純的想建立SSL鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書(下載能夠在訪問(wèn)之前或訪問(wèn)時(shí))。驗(yàn)證此證書是合法的服務(wù)器證書通過(guò)后利用該證書對(duì)稱加密算法(RSA)與服務(wù)器協(xié)商一個(gè)對(duì)稱算法及密鑰,然后用此對(duì)稱算法加密傳輸?shù)拿魑?。此時(shí)閱讀器也會(huì)出進(jìn)入安全狀態(tài)的提示。[]3.應(yīng)用程序的安全性即便正確地配置了訪問(wèn)控制規(guī)則,要知足計(jì)算機(jī)系統(tǒng)的安全性也是不充分的,由于編程錯(cuò)誤可以能引致攻擊。程序錯(cuò)誤有下面幾種形式:程序員忘記檢查傳送到程序