中国某某某某学校学生毕业设计(论文)
题目:电子商务中的信息安全问题
姓名:0000
班级、学号:0000班、0000号
系(部) :经济管理系
专业:电子商务
指导教师:00000
开题时间:2009-1-1
完成时间:2009-11-2
2009 年11 月2 日
目录
课题电子商务中的信息安全问题一、课题(论文)提纲
二、内容摘要
三、参考文献
浅析我国电信行业人力资源管理的问题及对策
000
中文摘要:电子商务对人类社会经济产生了重大影响,在创造巨大经济效益的同时,也从根本上改变了整个社会商务活动发展进程。我国电子商务在曲折进程中,已有很大程度的发展,同时也存在诸多问题。本文客观地分析了电子商务信息安全存在的问题及电子商务中的基本安全技术,对加快电子商务的发展步伐提出了一些重要思考。
关键词:电子商务;信息安全;信息管理
0.引言
随着互联网的不断发展,电子商务作为网络和商业结合的产物,正在靠近人们的生活,越来越引起更多人的关注。然而,由于互联网的开放性和匿名性,不可避免的存在许多安全隐患。信息在计算机系统中存放、传输和处理,所以如果不能很好地解决信息安全问题,电子商务的发展肯定会受到影响。在电子商务中,安全性是必须考虑的核心问题,要求网络能够提供安全的解决方案。
1.电子商务信息安全概述
1.1电子商务信息安全的定义
我们讲电子商务信息安全,指如何保障电子商务信息系统内信息的安全它是指信息处理系统建立和采用的技术和管理的安全保护防止信息被故意的或偶然的非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制和泄露,即确保信息的保密性、完整性、可用性、可
控性。
1.2产生电子商务信息安全问题的背景
电子商务自诞生之日起,安全问题就像幽灵一样如影随形而至,成为制约其进步发展的重要因素,由于INTERNET的开放性和其他各种因素的影响,在进行电子商务活动时,需要通过INTERNET传输消费者和商家的一些机密信息,如用户信用卡号、商家用户信息和订购信息等,而这些信息一直是网络非法入侵或黑客的攻击目标,如何保证电子商务的安全,如何对敏感的信息和个人信息提供机密性保障、认证交易双方的合法身份,保证数据的完整性和交易的不可否认性等,是电子商务发展中迫切需要解决的问题。
1.3电子商务信息安全面临的安全威胁
虽然电子商务得到了初步的应用,但是用户对电子交易安全性的担忧正在严重地阻碍着电子商务的发展。电子商务作为一种新兴的商业模式能否顺利实施,其核心是成功解决电子商务中的安全威胁。归纳起来,信息常常会受到如下安全威胁:
(1)信息机密性面临的威胁——信息在传输过程中被窃取
如果没有采用加密措施或加密强度不够,攻击者可以通过互联网、公共电话网、搭线、在电磁波辐射范围内安装截收装置等方式,截获传输的机密推出如消费者的银行账号、密码及企业的商业机密等有用信息。攻击者还可以利用虚假电子商务网站或者假冒在线支付系统实施诈骗、盗窃用户机密信息。
(2)信息完整性面临的威胁——信息在传输过程中的篡改、删除或插入
当攻击者熟悉网络信息格式以后,通过各种技术方法和手段对网络传输的信息进行选择修改,并发往目的地,从而破坏信息的完整性。这种破坏手段主要有三个方面。
篡改——改变信息流的次序,更改信息的内容,如购买商品的出货地址、交货日期等
删除——删除某个消息或消息的某些部分,如买方的联系方式等;
插入——在消息中插入一些信息,让接收方读不懂或接收错误的信息,如商品的价格等。
(3)交易信息的可认证性面临的威胁——抵赖做过的交易
如发送者否认曾经发送过某条信息或内容、接收者事后否认曾经收到过某条消息或内容、购买者做了订货而不承认、商家卖出的商品因价格差而不承认原有的交易等。
(4)交易双方身份真实性面临的威胁——假冒他人身份
当攻击者掌握网络信息数据规律或解密商务信息以后,可以假冒合法用户或发送假信息来欺骗其他用户,主要有两种方式。一种是
伪造,即伪造电子邮件,虚开网站和商店,给用户发电子邮件,收货单, 窃取商家的商品信息和用户信用等信息。伪造大量用户,发电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,对有严格时间要求的服务不能及时得到响应。另外一种为冒充领导发布命令调阅密件,旨充他人消费、栽赃;冒充主机欺骗合法之机及合法用户。冒充网络控制程序,套取或修改使用权限、通行密码密等信息;接管合法用户,欺骗系统,使用合法用户的资源。
2.电子商务中的信息安全问题
2.1网络安全问题
电子商务的网络安全主要是指计算机和网络本身可能存在的安全问题,也就是要保障电子商务平台的可用性和安全性,其内容包括计算机物理安全、系统安全、网络服务安全等。
网络安全是电子商务的基础。为了保证电子商务交易能顺利进行,要求电子商务平台要稳定可靠,能不中断地提供服务。任何系统的中断,如硬件、软件错误,网络故障、病毒等都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
2.1.1计算机病毒攻击
“计算机病毒”是人为编制的具有很强破坏和感染力的计算机程序。它能通过某种迭径潜伏在计算机存贮介质(或程序)里,当达到某种条件时即被激活。它以修改其他程序的方法将自己的精确拷贝或者
可能演化的形式放人其他程序中,从而感染它们,对计算机资源进行破坏。计算机病毒是专门用来破坏计算机正常工作, 具有高级技巧的程序, 它具有隐蔽性、潜伏性、传染性和极大的破坏性。病毒一般存在于下例事项中:
一是热点事件。病毒制造者充分利用热点事件或热点人物引诱用户上当。江民反病毒研究中心监测到,一个假冒证券公司“首放”(https://www.doczj.com/doc/c117125120.html,)的网站通过竞价排名的形式被排在搜索引擎的显要位置,引起众多网名的注目,该网站网名与真首放证券网站网址(https://www.doczj.com/doc/c117125120.html,)相似,用户通过搜索引擎点击进入后会感染“证券大盗”病毒,该病毒能盗取用户的证券交易号码,从而操纵用户的账号进行证券买卖。
二是网络漏洞。一些病毒是利用“WMF漏洞”制作的恶意图片,嵌到各种网页,当存在漏洞的系统访问这种页面时,就会自动下载恶意的木马(如广告、盗号、后门等)。
三是网页/脚本。网页/脚本病毒目前多数充当为木马下载器,利用IE漏洞自动下载病毒并自动运行,被嵌入的网页多数是被黑的网站。江民反病毒中心监测到,一个最新出现的恶意网站伪装成联想主页,通过恶意脚本程序,利用多种IE漏洞种植木马病毒,并散布"联想集团和腾讯公司联合赠送QQ币"的虚假消息,诱使更多用户访问该网站造成感染。让人感到吃惊的是,该恶意网站的域名看起来竟然与联想官方网站没有任何差别!假联想网站https://www.doczj.com/doc/c117125120.html, ,而联想网站的地址是
https://www.doczj.com/doc/c117125120.html, ,其中仅有字母L和数字1的区别,而小写的L和1是如此的相近,单凭肉眼几乎难以分辨。其它还有假工行网站https://www.doczj.com/doc/c117125120.html, ,而真的工行网站是https://www.doczj.com/doc/c117125120.html, ,也是一个字母之差,再就是假中国银行网站、假农业银行网站都已经出现此类假网站利用操作系统的漏洞,在用户点击后先从后台下载一些恶意代码,然后假网站迅速跳转到真网站页面,没有仔细看地址栏的人根本觉察不到发生了任何变化。假联想网站就是通过撒布"联想集团和腾讯公司联合赠送QQ币"的虚假消息,在用户访问该网站时,两秒之内迅速跳转到真联想网站页面上去的。
四是垃圾电子邮件。电子邮件已成为安装后门(木马)和其他有害程序以帮助潜在入侵者入侵网络的有效途径。电子邮箱每天都在接收着不同的邮件,当我们不小心打开的是染毒的垃圾邮件,电脑可能在不上心就中毒了,因此,我们最好不要打开那种来历不明的邮件。
随着网络技术的不断发展,网络空间的广泛运用, 病毒的种类急剧增加.目前全世界的计算机活体病毒达 1.4 万多种, 平均每隔20 分钟产生一个新病毒, 其传播途径不仅经过软盘、硬盘传播, 还可以通过网络的电子邮件和下载软件中传播。病毒通过网络传播比以往通过软硬盘传播方式具有速度更快、影响更广、损失更大等特点。
2.1.2黑客恶意入侵
黑客指利用不正当的手段窃取计算机网络系统的口令和密码, 从而非法进入计算机网络的人。他们篡改用户数据, 搜索和盗窃私人
文件, 甚至破坏整个系统的信息, 导致网络瘫痪。目前, 世界上有20 多万个黑客网站, 其攻击方法达几千种之多, 已超过现有的计算机病毒种类。每当一种新的攻击手段产生, 便能在一周内传遍世界, 对计算机网络造成各种破坏。
黑客非法入侵的方式,简单说来,非法入侵的方式可粗略分为4种:
扫描端口,通过已知的系统Bug攻入主机。
种植木马,利用木马开辟的后门进入主机。
采用数据溢出的手段,迫使主机提供后门进入主机。
利用某些软件设计的漏洞,直接或间接控制主机。
黑客入侵的主要方式是前两种,尤其是利用一些流行的黑客工具,通过第一种方式攻击主机的情况最多、也最普遍;而对后两种方式来说,只有一些手段高超的黑客才利用,波及面并不广泛。例如“网络钓鱼”是黑客窃取网名信息的主要手段
“网络钓鱼”是一种利用网络骗取用户个人信息的程序。黑客通常利用这种程序假扮成享有信誉的公司,如银行或在线商店等,以此向用户索要账户名及密码等信息。据新华社报道,微软、谷歌、雅虎和美国在线等公司旗下的电子邮箱遭遇黑客“网络钓鱼”,至少3万邮箱账户信息失窃。据了解,微软旗下Hotmail电子邮箱1万个账户信息10月1日在一家计算机专业网站上被曝光。随后网上又出现一份包含2万个电子邮箱账户地址及密码的清单,这些邮箱的服务商包括微软、谷歌、雅虎和美国在线。
“网络钓鱼”的问题正在日渐凸显,根据国际行业组织反钓鱼工作组的数据,2008年6月新建的独立钓鱼网站就高达4.9084万个。
2.2.信息安全问题
2.2.1 信息泄露及篡改
信息泄漏在电子商务中表现为商业机密的泄漏,主要包括两个方面:一信息被窃取,交易双方进行交易的内容被第三方窃取;二信息机密性丧失,交易一方提供给另一方使用的文件被第三方非法使用。客户可能将秘密的个人数据或自己的身份数据(如PIN、口令等)发送给冒充销售商的机构,这些信息也可能会在传递过程中被窃听。如“虚假中奖信息”事件。犯罪分子首先冒充国内知名的游戏、购物、娱乐等大型网站或经营单位,向网站用户发送虚假中奖信息,谎称当事人中了大奖,并提供一个和该网站网址非常相似的网址链接,要求当事人上网确认。一旦用户点击该链接,就会登录到诈骗者制作的假网站,按提示进行操作,就会显示当事人确实中奖了,并要求当事人打网站上留的“客服电话”,咨询领奖事宜。打通电话后,骗子就会冒充网站工作人员,以奖品邮寄费、奖金个人所得税、账户保险费等要求当事人向其指定的银行账户汇款。
篡改在电子商务中表现为商业信息的真实性和完整性的问题。电子的交易信息在网络上传输的过程中,可能被他人非法修改、删除或重改,这样就使信息失去了真实性和完整性。譬如,某位网民可能从来没有进入过某个站点,却被记录成曾经进入可能从来没有存取过某个档案,却被记录成曾经存取。第二个值得注意的问题是残缺记录的
传播。记录的残缺、不推确、不完整,可能会造成判断的储颇,如本来不是盗窃者变成了盗窃者,或侵害个人隐私。
2.2.2交意双方抵赖问题
电子商务可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题,是保证电子商务顺利进行的关键。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易交易所的书面文件上的手写签名或印章来鉴别贸易伙伴,确定合同、契约、交易所的可靠性,并预防抵赖行为的发生。在电子商务方式下,通过手写签名和印章进行双方的鉴别已是不可能的了。因此,要求在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识,使原发送方在发送数据后不能抵赖,接收方在接收数据后也不能抵赖。某些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。以下是他们常用的手段之一
虚假订单:一个假冒者可能会以客户的名字来订购商品,而且有可能收到商品,假冒者事后否认曾经做了订货单。而此时,客户却被要求付款或返还商品。
付款后不能收到商品:一是在要求客户付款后,销售商中的内部人员不将定单和钱转发给执行部门,因而使客户不能收到商品。二就是发布引人注目的出售信息,吸引买家,然后以最快的速度将钱骗到手,立马走人;而付了钱的买家则什么也得不到。一般吸引人最好的办法就是标上不寻常的低价。如“低价引诱”类案件。犯罪分子自己建立电子商务网站或依附“阿里巴巴”、“淘宝”、“易趣”等知名购物网站,向
不特定群体随意散布虚假商品信息,以低价引诱顾客,同时以减少手续费、支付时间长、交易便捷等借口尽量劝说受害人不要通过“支付宝”等方式支付,直接将现金存入指定账户。
3.提高电子商务信安全的对策
3.1 信息的加密技术
所谓加密,就是把称为“明文”的可读信息转换成“密文”的过程;而解密则是把“密文”恢复为“明文”的过程。它是利用数学或物理手段,对电子信息在传输过程中和存储中进行保护,以防止泄漏的技术。加密使信息改变,攻击者无法读懂信息的内容从而保护信息。
通信过程中的加密主要是采用密码,在数字通信中可利用计算机采用加密法,改变负载信息的数码结构。密码算法是指用于隐藏和显露信息的可计算过程,通常算法越复杂,结果密文越安全。在加密技术中,密钥是必不可少的,密钥是使密码算法按照一种特定方式运行并产生特定密文的值。通常采用对称密钥加密技术、非对称密钥的方式。使用加密算法就能够保护信息安全使之不被窃取、不被篡改或破坏。目前世界上最流行的几种加密体制和加密算法有:"RSA算法"“MD5加密”、“SHA-1加密”、“RSA加密”等。
非对称密钥:RSA算法
RSA算法是目前最流行的公钥密码算法,它使用长度可以变化的密钥。RSA是第一个既能用于数据加密也能用于数字签名的算法。
RSA算法的原理如下:
随机选择两个大质数p和q,p不等于q,计算N=pq
选择一个大于1小于N的自然数e,e必须与(p-1)×(q-1)互素用公式计算出d:d×e = 1 (mod (p-1)×(q-1))
销毁p和q
最终得到的N和e就是“公钥”,d就是“私钥”,发送方使用N去加密数据,接收方只有使用d才能解开数据内容。
RSA的安全性依赖于大数分解,小于1024位的N已经被证明是不安全的,而且由于RSA算法进行的都是大数计算,使得RSA最快的情况也比DES慢上好几倍,这也是RSA最大的缺陷,因此它通常只能用于加密少量数据或者加密密钥。需要注意的是,RSA算法的安全性只是一种计算安全性,绝不是无条件的安全性,这是由它的理论基础决定的。因此,在实现RSA算法的过程中,每一步都应尽量从安全性方面考虑。
有些人自己写算法进行数据加密,殊不知这也算产生了安全隐患,通常个人无法写出高强度的加密算法,入侵者如果稍加分析便能破译,一般高技术的加密算法我们都要经过加密软件的处理的,这样才保障信息的安全性。像大浪狗就是经常见到的一种加密软件,它有功能如下:
首创“安全文件夹”功能:普通文件夹升级为自动加密的安全文件夹,其内容加密并能防止非授权访问与恶意删除,使用方法与普通文件夹相同,简单易用。
自动伸展式保险箱:独特加密空间,保险箱的容量大小可以根据用户使用自动伸展。