毕业论文-电子商务安全的策略.doc
《毕业论文-电子商务安全的策略.doc》由会员分享,可在线阅读,更多相关《毕业论文-电子商务安全的策略.doc(24页珍藏版)》请在三一文库上搜索。
1、摘要20世纪90年代,随着信息化的浪潮席卷全球,传统的商务模式越来越受到巨大的冲击。越来越多的企业和个人消费者,在 Internet 开放的网络环境下,基于浏览器 / 服务器应用方式,实现消费者地网上购物、商户之间的网上交易和在线电子支付的一种新型的商业运营模式-电子商务。电子商务将传统的商务流程电子化、数字化,一方面以电子流代替了实物流、资金流,可以大量减少人力、物力,降低了成本;另一方面突破了时间和空间的限制,使得交易活动可以在任何时间、任何地点进行,从而大大的提高了效率。 电子商务网络在给企业带来便利和机遇的同时,也面临安全方面的重大挑战,电子商务网络安全是一个复杂的系统问题。本文主要从
2、电子商务网络的安全隐患、电子商务网站安全现状、网络支付安全的措施与解决方案等方面进行探讨。实现电子商务的关键是要保证商务活动过程中系统的安全性,即保证基于互连网的电子交易过程与传统交易的方式一样安全可靠。总之,如何建立电子商务网络安全的策略,并逐步完善这个策略,需要政府、电子商务企业、学者等的共同努力,任重而道远。关键词: 电子商务网络, 网络安全,网络支付ABSTRACTThe 20th century, 90 years, With the tide of global information across ,The traditional business model is the hu
3、ge impact. More and more enterprises and individual consumers, In the Internet open network environment, Based on the browser/server application, To realize consumer shopping online、The online transactions between merchants and on-line electronic payment of a new business modelE-business. E-business
4、 make traditional business processes electronic、digital, Hand in the material flow and other instead of flow, Can reduce manpower and material resources, Reduce the cost; On the other hand through the space and time limit, Trading activities may at any time and any place, Thus greatly improve the ef
5、ficiency.E-business network in bringing convenience and opportunities at the same time, also faces challenges of security, E-business network security is a complex system. This article mainly from the electronic commerce network security hidden danger, e-commerce security situation, network security
6、 measures and payment solutions, etc are discussed. Electronic commerce is the key to ensure business process system security, that is based on Internet electronic transaction process and the traditional trade in the same manner as safe and reliable.Keyword: E-business network, Network security , On
7、line payment目录摘要1ABSTRACT2第1章 绪论41.1电子商务发展的背景41.2 论文构成及研究内容5第2章 电子商务存在的安全性问题62.1电子商务安全的主要问题62.2电子商务安全问题的具体表现62.3电子商务安全技术措施7第三章 电子商务网络安全策略103.1WEB服务器上的安全漏洞103.2 网站程序安全问题及对策103.3 网站的通用保护方法113.4 中小型B2C电子商务网站安全策略123.5 大型电子商务网站、银行、金融网站安全策略13第四章 网络安全的解决措施154.1 入侵检测系统方案154.2 网络安全的治理15第五章 网络安全的主要技术175.1 网络安
8、全论证与防火墙175.2 数据加密17结 论22致谢23参考文献24第1章 绪论1.1电子商务发展的背景随着信息化的浪潮席卷全球,传统的商务模式越来越受到巨大的冲击。越来越多的企业和个人消费者,在 Internet 开放的网络环境下,基于浏览器 / 服务器应用方式,实现消费者地网上购物、商户之间的网上交易和在线电子支付的一种新型的商业运营模式-电子商务。更由于电子商务本身的开放性、全球性、低成本、高效率等特征,使得它不仅仅是一种新的贸易形式,它不仅会改变企业本身的生产、经营、管理活动,而且将影响到整个社会的经济运行与机构。电子商务将传统的商务流程电子化、数字化,一方面以电子流代替了实物流、资金
9、流,可以大量减少人力、物力,降低了成本;另一方面突破了时间和空间的限制,使得交易活动可以在任何时间、任何地点进行,从而大大的提高了效率。电子商务在现代社会占据如此重要的地位,而Internet自身的开放性、广泛性和匿名性,给电子商务带来诸多的安全隐患: 身份认证: 由于非法用户可以伪造、假冒商户网站和买家身份,因此登录到商户网站的用户无法知道他们所登录的网站是否是可信的商户网站,商户网站也无法验证登录到网站 上的买家是经过认证的合法用户,非法用户可以借机进行破坏。而 整个网上电子商务是在商户(用户)和用户(商户)互不见面的情况下,通过 Internet 和网络技术完成的,需要确认彼此的真实身份
10、,保证交易全过程的安全进行。 信息的真实性: 交易各方在平台上发布的信息、交易谈判信息和电子化交易合同等是否是真实的信息,由于 Internet 的匿名性,使得一些投机分子可以提交一些虚假的信息,达到欺骗的行为; 信息的不可抵赖性: 对于信息发布、交易谈判、交易合同签署、交易平台的信息提供等关键交易步骤,一旦有一方予以否认,另一方没有已签名的记录作为仲裁的依据 。 信息的机密性: 买家向商户网站上船的财务信息和其他一些机密资料有可能在传递过程中被非法用户截取。 信息的完整性: 敏感、机密信息和数据在用户和网站的传递是可能被非法用户恶意篡改,造成用户的重大损失。在传统面对面式的交易过程中,安全性
11、系建立在实体的基础上。以在百货公司进行消费为例,由于客户可以见到实际的商品及处理过程,因此他们不会认为将信用卡交付店员进行结帐有任何不妥的地方,因为客户可清楚的看到其信用卡并没有遭到第三者盗用。然而在虚拟的网络商务环境下,由于缺乏眼见为凭的先天限制加上网络安全性的漏洞,客户不可避免地会衍生出相当的疑虑而裹足不前。网络安全的问题,实不容忽视。随着互联网的不断普及与发展.作为一个企业,在互联网上建立自己的网站,最显而易见的就是可以向世界展示自己的企业风采,让更多人了解自己的企业.使企业能够在公众知名度上有一定的提升,并通过网站进行企业的内部管理和开展电子商务活动。因此,电子商务网站成为企业活动的一
12、个重要组成部分,而如何提高网络的安全,抵抗黑客非法入侵,避免企业信息泄漏给企业带来的损失是目前电子商务网络安全建设中的重要一环。1.2 论文构成及研究内容本论文主要从电子商务网站的安全隐患、网站安全现状、网站安全的措施与解决方案、电子商务发展等方面进行探讨,尤其对于网站安全和网络支付安全的考虑,应注意的一些防范方法的介绍,以促进人们对电子商务网络安全防范技术的了解。实现电子商务的关键是要保证商务活动过程中系统的安全性,即保证基于互连网的电子交易过程与传统交易的方式一样安全可靠。 第2章 电子商务存在的安全性问题2.1电子商务安全的主要问题1网络协议安全性问题:由于TCP/IP本身的开放性,企业
13、和用户在电子交易过程中的数据是以数据包的形式来传送的,恶意攻击者很容易对某个电子商务网站展开数据包拦截,甚至对数据包进行修改和假冒。 2用户信息安全性问题:目前最主要的电子商务形式是基于B/S(Browser/Server)结构的电子商务网站,用户使用浏览器登录网络进行交易,由于用户在登录时使用的可能是公共计算机,那么如果这些计算机中有恶意木马程序或病毒,这些用户的登录信息如用户名、口令可能会有丢失的危险。 3电子商务网站的安全性问题:有些企业建立的电子商务网站本身在设计制作时就会有一些安全隐患,服务器操作系统本身也会有漏洞,不法攻击者如果进入电子商务网站,大量用户信息及交易信息将被窃取。2.
14、2电子商务安全问题的具体表现1信息窃取、篡改与破坏。电子的交易信息在网络上传输的过程中,可能会被他人非法修改、删除或重放,从而使信息失去了真实性和完整性。包括网络硬件和软件的问题而导致信息传递的丢失与谬误;以及一些恶意程序的破坏而导致电子商务信息遭到破坏。 2身份假冒。如果不进行身份识别,第三方就有可能假冒交易一方的身份,以破坏交易,败坏被假冒一方的声誉或盗窃被假冒一方的交易成果等。 3诚信安全问题。电子商务的在线支付形式有电子支票、电子钱包、电子现金、信用卡支付等。但是采用这几种支付方式,都要求消费者先付款,然后商家再发货。因此,诚信安全也是影响电子商务快速发展的一个重要问题。 4交易抵赖。
15、电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。交易抵赖包括多个方面,如发信者事后否认曾经发送过某条信息或内容,收信者事后否认曾经收到过某条消息或内容,购买者做了定货单不承认,商家卖出的商品因价格差而不承认原有的交易等。 5病毒感染。各种新型病毒及其变种迅速增加,不少新病毒直接利用网络作为自己的传播途径。我国计算机病毒主要就是蠕虫等病毒在网上的猖獗传播。蠕虫主要是利用系统的漏洞进行自动传播复制,由于传播过程中产生巨大的扫描或其他攻击流量,从而使网络流量急剧上升,造成网络访问速度变慢甚至瘫痪。 6黑客。黑客指的是一些以获得对其
16、他人的计算机或者网络的访问权为乐的计算机爱好者。而其他一些被称为“破坏者(cracker)”的黑客则怀有恶意,他们会摧毁整个计算机系统,窃取或者损害保密数据,修改网页,甚至最终导致业务的中断。一些业余水平的黑客只会在网上寻找黑客工具,在不了解这些工具的工作方式和它们的后果的情况下使用这些工具。 7特洛伊木马程序。特洛伊木马程序简称特洛伊,是破坏性代码的传输工具。特洛伊表面上看起来是无害的或者有用的软件程序,例如计算机游戏,但是它们实际上是“伪装的敌人”。特洛伊可以删除数据,将自身的复本发送给电子邮件地址簿中的收件人,以及开启计算机进行其他攻击。只有通过磁盘,从互联网上下载文件,或者打开某个电子
17、邮件附件,将特洛伊木马程序复制到一个系统,才可能感染特洛伊。无论是特洛伊还是病毒并不能通过电子邮件本身传播它们只可能通过电子邮件附件传播。 8恶意破坏程序。网站提供一些软件应用(例如ActiveX和JavaApplet),由于这些应用非常便于下载和运行,从而提供了一种造成损害的新工具。恶意破坏程序是指会导致不同程度的破坏的软件应用或者Java小程序。一个恶意破坏程序可能只会损坏一个文件,也可能损坏大部分计算机系统。9网络攻击。目前已经出现的各种类型的网络攻击通常被分为三类:探测式攻击,访问攻击和拒绝服务(DoS)攻击。探测式攻击实际上是信息采集活动,黑客们通过这种攻击搜集网络数据,用于以后进一
18、步攻击网络。通常,软件工具(例如探测器和扫描器)被用于了解网络资源情况,寻找目标网络、主机和应用中的潜在漏洞。例如一种专门用于破解密码的软件,这种软件是为网络管理员而设计的,管理员可以利用它们来帮助那些忘记密码的员工,或者发现那些没有告诉任何人自己的密码就离开了公司的员工的密码。但这种软件如果被错误的人使用,就将成为一种非常危险的武器。访问攻击用于发现身份认证服务、文件传输协议(FTP)功能等网络领域的漏洞,以访问电子邮件帐号、数据库和其他保密信息。DoS攻击可以防止用户对于部分或者全部计算机系统的访问。它们的实现方法通常是:向某个连接到企业网络或者互联网的设备发送大量的杂乱的或者无法控制的数
19、据,从而让正常的访问无法到达该主机。更恶毒的是分布式拒绝服务攻击(DDoS),在这种攻击中攻击者将会危及多个设备或者主机的安全。2.3电子商务安全技术措施 电子商务的安全性策略可分为两大部分:一部分是计算机网络安全,第二部分是商务交易安全。电子商务中的安全性技术主要有以下几种: 1数据加密技术。对数据进行加密是电子商务系统最基本的信息安全防范措施。其原理是利用加密算法将信息明文转换成按一定加密规则生成的密文后进行传输,从而保证数据的保密性。使用数据加密技术可以解决信息本身的保密性要求。数据加密技术可分为对称密钥加密和非对称密钥加密。 对称密钥加密(SecretKeyEncryption)。对称
20、密钥加密也叫秘密/专用密钥加密,即发送和接收数据的双方必须使用相同的密钥对明文进行加密和解密运算。它的优点是加密、解密速度快,适合于对大量数据进行加密,能够保证数据的机密性和完整性;缺点是当用户数量大时,分配和管理密钥就相当困难。目前常用的对称加密算法有:美国国家标准局提出DES算法、由瑞士联邦理工学院的IDEA算法等。 非对称密钥加密(PublicKeyEncryption)。非对称密钥加密也叫公开密钥加密,它主要指每个人都有一对唯一对应的密钥:公开密钥(简称公钥)和私人密钥(简称私钥)公钥对外公开,私钥由个人秘密保存,用其中一把密钥来加密,就只能用另一把密钥来解密。非对称密钥加密算法的优点
21、是易于分配和管理,缺点是算法复杂,加密速度慢。一般用公钥来进行加密,用私钥来进行签名;同时私钥用来解密,公钥用来验证签名。算法的加密强度主要取决于选定的密钥长度。目前常用的非对称加密算法有:麻省理工学院的RSA算法、美国国家标准和技术协会的SHA算法等。 复杂加密技术。由于上述两种加密技术各有长短,目前比较普遍的做法是将两种技术进行集成。向解密后得到明文。 2数字签名技术。数字签名是通过特定密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证所无法比拟的。数字签名技术可以保证信息传送的完整性和不可
22、抵赖性。 3认证机构和数字证书。所谓CA认证机构,它是采用PKI(Public Key Infrastructure)公开密钥基础架构技术,利用数字证书、非对称和对称加密算法、数字签名、数字信封等加密技术,建立起安全程度极高的加解密和身份认证系统,确保电子交易有效、安全地进行,从而使信息除发送方和接收方外,不被其他方知悉(保密性);保证传输过程中不被篡改(完整性和一致性);发送方确信接收方不是假冒的;发送方不能否认自己的发送行为(不可抵赖性)。电子商务安全性的解决,大大地推动了电子商务的发展。在电子交易中,无论是数字时间戳服务还是数字证书的发放,都不是靠交易双方自己能完成的,而需要有一个具有权
23、威性和公正性的第三方来完成。CA认证机构作为权威的、可信赖的、公正的第三方机构,提供网络身份认证服务,专门负责发放并管理所有参与网上交易的实体所需的数字证书。4安全认证协议。目前电子商务中经常使用的有安全套接层SSL(Secure Sockets Layer)协议和安全电子交易SET(Secure Electronic Transaction)协议两种安全认证协议。 安全套接层(SSL)协议。SSL协议是Netscape公司在网络传输层之上提供的一种基于RSA和保密密钥的用于浏览器和Web服务器之间的安全连接技术。SSL协议是一个保证任何安装了安全套接层的客户和服务器间事务安全的协议,该协议向
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 毕业论文 电子商务 安全 策略
链接地址:https://www.31doc.com/p-3942553.html