_網絡金融與電子支付期末論文題 目淺談電子商務交易陷阱及安全防范措施學院名稱 經濟管理學院 指導教師 班 級 學 號 學生姓名 2015年12月 17日目錄1、電子商務安全問題的構成和基本需求11.1、網絡安全11.2、電子商務對安全控制的要求22、目前電子商務中存在的安全問題33、電子商務安全防范措施33.1防火墻措施33.2數據加密技術43.2.1對稱式密鑰加密技術43.2.2公開密鑰加密技術53.3認證技術53.3.1數字信封53.3.2數字簽名63.3.3數字證書63.4安全技術協議73.4.1安全套層協議（SSL）73.4.2安全電子交易協議（SET）74、總結論述7參考文獻8精品資料淺談電子商務交易陷阱及安全防范措施劉媛媛摘要在當今社會，全球經濟的發展伴隨著電子商務的發展，電子商務在經濟生活中的地位牢固而不可撼動，但是與此同時，電子商務交易中的安全問題也變得越來越突出。由于電子商務是一種全新的商務活動方式，人們對其比較生疏，而且交易雙方互不相見，再加上一些媒體對計算機“黑客”“神乎其神”的報道，也使人們對電子商務的安全性充滿疑惑。如何建立一個安全、便捷的電子商務應用環境，對交易信息提供足夠的保護，已經成為商家和用戶都十分關心的問題。本文首先介紹了電子商務安全問題的構成和基本需求，其次說明目前電子商務中存在的安全問題；最后提出相應的安全防范措施。關鍵詞 電子商務 安全問題 安全防范措施 網上交易 1、電子商務安全問題的構成和基本需求電子商務發展的核心和關鍵問題是交易的安全性。為了保護網上交易過程中交易雙方的合法權益，人們針對電子商務系統所面臨的主要威脅，對其安全性提出了具體的要求。1.1、網絡安全一般認為，計算機網絡系統的安全威脅主要來自黑客攻擊、計算機病毒和拒絕服務攻擊三個方面。1、黑客攻擊黑客攻擊是指黑客非法進入網絡，非法使用網絡資源。例如，通過網絡監聽獲取網上用戶的賬號和密碼；非法獲取網上傳輸的數據；通過隱蔽通道進行非法活動等。（1）口令攻擊。口令攻擊是網上攻擊最常用的方法，也是大多數黑客開始網絡攻擊的第一步。黑客首先通過進入系統的常規服務或對網絡通信進行監視，使用掃描工具獲取主機的有用信息。然后，反復試驗和推測用戶及其親屬的名字、生日、電話號碼等，獲取進入計算機網絡系統的口令，以求侵入系統，從事襲擊活動。（2）服務攻擊。黑客所采用的服務攻擊手段主要有四種：使目標主機建立大量的連接。因為目標主機要為每次網絡連接提供網絡資源，所以當連接速率足夠高、連接數量足夠多時就會使目標主機的網絡資源耗盡，從而導致主機癱瘓、重新啟死機或黑（藍）屏。向遠程主機發送大量的數據包。利用即時消息功能，以極快的速度用無數的消息“轟炸”某個特定用戶，使目標主機緩沖區溢出，黑客伺機提升權限，獲取信息或執行任意程序。利用網絡軟件在實現協議時的漏洞，向目標主機發送特定格式的數據包，從而導致目標主機癱瘓。（3）IP欺騙。IP欺騙是適用于TCP/IP環境的一種復雜的技術攻擊，它偽造他人的源地址，讓一臺計算機來扮演另一臺計算機，借以達到蒙混過關的目的。2、計算機病毒計算機病毒，是指編制或者在計算機程序中插入破壞計算機功能或者毀壞數據、影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。計算機病毒是通過非法侵入來擴散的，計算機病毒程序把自己附著在其他程序上，等這些程序運行時，病毒就進入到系統中，進而大面積擴散。3、拒絕服務攻擊拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務，是黑客常用的攻擊手段之一。其實對網絡寬帶進行的消耗性攻擊只是拒絕服務攻擊的一小部分，只要能夠給目標造成麻煩，使某些服務被暫停甚至主機死機，都屬于拒絕服務攻擊。1.2、電子商務對安全控制的要求1、內部網的嚴密性企業的內部網上一方面有著大量需要保密的信息，另一方面傳遞著企業內部的大量指令，控制著企業的業務流程。因此保證內部網不被侵入或把侵入后的損失限制在一定范圍，是開展電子商務時應著重考慮的一個問題。2、完整性（1）信息的完整性。（2）數據和交易的完整性。數據的完整性是指確保傳輸中的或存儲中的數據未遭受未經授權的篡改和破壞；交易的完整性是指電子交易完成了交易的全部邏輯，實現了交易的全部功能，不存在單邊賬現象，同時交易各階段中的數據是完整的。3、保密性電子商務作為貿易的一種手段，其信息直接代表著個人、企業或國家的商業機密，均有保密的要求。敏感信息不能披露給第三方，一旦被惡意獲取，將造成極大的危害。信息發送和接受要求在安全的通道進行，保證通信雙方的信息保密。交易的參與方在信息交換過程中沒有被竊聽的危險。非參與方不能獲取交易的信息。4、不可修改性交易的文件是不可被修改的。因此，必須有相應的技術來防止電子交易文件被修改，以保證交易中的嚴肅與公正。5、交易者身份的確定性只有信息流、資金流、物流的有效轉換，才能保證電子商務的順利實現，而這一切均以信息的真實性為基礎。雙方應該在交換信息之前通過各種方法獲取對方的證書，并以此識別交易對方的身份不能被假冒或偽裝，以有效鑒別確定交易方的身份。6、交易的無爭議和不可抵賴性數據發送者對自己所發送數據的內容和事實不可否認；數據接受者在確實接收到數據后，對已經接收到的數據的事實不可否認。7、有效性電子商務要對網絡故障、操作錯誤、應用程序錯誤、硬件故障、系統軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防，以保證貿易數據在確定的時刻、確定的地點是有效的，8、授權合法性安全管理人員能夠控制用戶的權限，分配或終止用戶的訪問、操作、接入等權利，授權用戶的訪問不能被拒絕。2、目前電子商務中存在的安全問題電子商務面臨的安全威脅主要有以下四個方面：（1）在網絡的傳輸過程中信息被截獲（2）篡改傳輸的文件篡改 刪除 插入（3）假冒他人身份偽造電子郵件和用戶，虛開網站和商店 假冒他人身份（4）不承認或抵賴已經做過的交易（5）惡意破壞3、電子商務安全防范措施3.1防火墻措施防火墻是指設置在不同網絡或網絡安全域之間的一系列部件組合。防火墻安全保障技術主要是為了保護與互聯網相連的企業內部網絡或單獨節點。在邏輯上它是一個限制器，也是一個分析器，能有效地監控內部網和Internet之間的活動，保證內部網絡的安全。（1）防火墻的基本功能防火墻是網絡安全的屏障防火墻可以強化網絡安全策略對網絡存取和訪問進行監控審計防止內部信息外泄向客戶發布信息防火墻的抗攻擊能力（2）防火墻的局限性不能阻止來自內部的破壞不能保護繞過它的連接無法完全防止新出現的網絡威脅不能防止病毒不具備實時監控入侵的能力通常工作在網絡層，無法檢測和防御最新的拒絕服務攻擊及蠕蟲病毒的攻擊3.2數據加密技術3.2.1對稱式密鑰加密技術 基于私有密鑰體制采用了對稱加密算法，即信息交換雙方共同約定一個密鑰。通信的甲方將要發送信息用私鑰加密后傳給乙方，乙方用相同的私鑰解密后獲得甲方傳遞的信息。對稱加密算法有多種，最常用的是DES算法。對稱加密示意圖3.2.1.1對稱式密鑰加密技術的優缺點優點：對稱式密鑰加密技術具有加密速度快、保密度高等優點。缺點：（1）要求提供一條安全的渠道使通訊雙方在首次通訊時協商一個共同的密鑰。（2）密鑰的數目將快速增長而變得難于管理。（3）對稱加密算法一般不提供信息完整性的鑒別3.2.2公開密鑰加密技術公開密鑰加密體系采用的是非對稱加密算法。使用公開密鑰算法需要兩個密鑰:公開密鑰和私有密鑰。具體是指發送方用接收方的公鑰對需傳遞的信息加密，接收方收到信息后用自己的私鑰對信息進行解密。公開密鑰體制常用的加密算法是RSA算法使用公鑰加密和對應的私鑰解密的示意圖 3.2.2.1公開密鑰加密技術的優缺點優點：密鑰少而便于管理；不需要采用秘密的通道和復雜的協議來傳送密鑰缺點：速度慢（適合對少量數據進行加解密）3.3認證技術3.3.1數字信封數字信封對需要的信息的加密用對稱密鑰加密法；但密鑰不先由雙方確定，而是在加密前由發送方隨機產生；用此隨機產生的對稱密鑰對信息進行加密，然后將此對稱密鑰用接收方的公開密鑰加密，準備定點加密發送給接收方。接收方收到信息后，用自己的私人密鑰解密，打開數字信封，取出隨機產生的對稱密鑰，用此對稱密鑰再對所收到的密鑰解密，得到原來的信息，保證信息的安全，又提高了速度。3.3.2數字簽名數字簽名和驗證過程示意圖3.3.2.1數字簽名的運作步驟如下：（1）發送方首先用哈希函數，將需要傳送的消息轉換成報文摘要。（2）發送方采用自己的私有密鑰對報文摘要進行加密，形成數字簽名。（3）發送方把加密后的數字簽名附加在要發送的報文后面，傳遞給接收方。（4）接受方使用發送方的公有密鑰對數字簽名進行解密，得到發送方形成的報文摘要。（5）接收方用哈希函數將接收到的報文轉換成報文摘要，與發送方形成的報文摘要相比較，若相同，說明文件在傳輸過程中沒有被破壞。3.3.3數字證書數字證書又稱數字憑證，用電子手段來證實一個用戶的身份和對網絡資源的訪問權限，是一種數字標識，提供的是網絡身份證明。3.3.3.1認證機構CA電子商務認證機構(CA)是為了解決電子商務中交易參與各方身份及資信的認定，維護交易活動的安全，從根本上保障電子商務交易活動順利進行而設立的機構，負責發放和管理數字證書。3.4安全技術協議3.4.1安全套接層協議（SSL） SSL是Netscape公司率先采用的一種網絡安全協議，它能把在網頁和服務器之間傳輸的數據加密。這種加密措施能夠防止資料在傳輸過程中被竊取。因此采用SSL協議傳輸密碼和信用卡號等敏感信息以及身份認證信息是一種比較理想的選擇。SSL可以被理解成一條受密碼保護的通道。通道的安全性取決于協議中采用的加密算法。目前SSL協議標準已經成為網絡上保密通信的一種工業標準,在C/S和B/S的構架下都有廣泛的應用。3.4.2安全電子交易協議（SET）SET是美國Visa和MasterCard兩大信用卡組織等聯合于1997年5月31日推出的用于電子商務的行業規范，其實質是一種應用在Internet上、以信用卡為基礎的電子付款系統規范，目的是為了保證網絡交易的安全。SET妥善地解決了信用卡在電子商務交易中的交易協議、信息保密、資料完整以及身份認證等問題。SET已獲得IETF標準的認可，是電子商務的發展方向。4、總結論述如今，電子商務已經成為一切經濟活動中乃至我們生活中不可或缺的組成元素，成為推動企業發展的核心力量。而歸根究底，電子商務安全問題才是電子商務順利發展的一個關鍵，解決電子商務安全問題最重要的是技術，而問題總是不斷變化的，威脅也不是一成不變的，所以我們只有在技術不斷創新，