电子商务的信息安全研究

学年论文题目：电子商务的信息安全研究学生姓名：王静学号：101906020112系别：经济管理系专业：工商管理指导老师：张勇成绩评定：-1-河北大学工商学院2013年6月摘要近年来,随着因特网的普及日渐迅速，电子商务已经开始融入人们的日常生活中，网上订货、网上缴费等众多电子交易方式为人们创造了便利高效的生活方式，越来越多的人开始使用电子商务来传递各种信息，并进行各种交易。同时，由于电子商务具有传统商务不具备的优势，如高效、便携、低成本等，电子商务被越来越多的企业利用，电子商务也因此成为促进国家经济发展的一种重要力量。但在电子商务的发展过程中，逐渐暴露出很多问题，这些问题已成为制约电子商务发展的重要因素，其中信息安全问题是众多问题中最重要、最核心的问题。为了促进电子商务更好的发展，更好的为国民经济的发展服务，解决电子商务中的信息安全问题便成了关键性的问题。本文从电子商务信息安全的基本观点和原理出发，先介绍了电子商务的基本概念，特点及安全方面的一些知识，继而概述了电子商务信息安全现状，然后针对这一现状作出分析，并根据存在的问题，改进现行的信息系统，采取保障我国电子商务信息安全的技术措施，旨在通过保证信息系统的机密性、完整性、可靠性和可用性来管理和保护信息资产，通过方针、原则、程序、组织结构和软件功能来确定控制方式并实施控制，组织按照这一体系框架管理信息安全风险，可持续提高管理的有效性和不断提高自身的信息安全管理水平，降低信息安全对业务持续发展造成的风险，最终保证整体目标的有效实现，并利用信息技术创造新的战略发展机遇。关键词：电子商务，信息安全，安全技术-1-目录摘要---------------------------------------------------------------I第一章绪论-------------------------------------------------2第二章电子商务及电子商务信息安全概述-----------------------22.1电子商务的基本概念及特点----------------------------22.1.1电子商务的概念----------------------------------22.1.2电子商务的特点----------------------------------22.1.3电子商务的系统构成------------------------------32.2电子商务中的安全性问题------------------------------32.2.1信息安全问题概述--------------------------------32.2.2电子商务安全要素--------------------------------42.2.3电子商务安全体系结构----------------------------4第三章电子商务的安全问题分析-------------------------------53.1电子商务信息安全现状--------------------------------53.2安全问题的来源--------------------------------------5-2-3.3对电子商务的安全性需求------------------------------6第四章保障我国电子商务信息安全的技术措施-------------------64.1数据加密策略----------------------------------------64.2防火墙技术------------------------------------------64.3身份验证技术----------------------------------------74.4虚拟专用网（VPN）---------------------------------74.5电子商务认证中心（CA，CertificateAuthority）-----7第五章总结-------------------------------------------------7第一章绪论随着Internet的不断发展，世界范围内掀起了一股电子商务热潮。许多国家政府部门对电子商务的发展十分重视，把这场以电子商务为标志的信息化革命与十九世纪以蒸汽机为标志的工业化革命相提并论。然而不安全事件的不断发生，使人们对电子商务的安全性心存质疑，电子商务的安全问题也变得越来越突出，信息安全已不可否认的成为阻碍电子商务发展的一个重要因数。因此，分析与研究电子商务中的安全性问题不仅具有特别重要的理论价值和实用价值，而且具有重要的现实意义。第二章电子商务及电子商务信息安全概述2.1电子商务的基本概念及特点20世纪90年代以来，随着Internet的迅速发展，其踪迹已经遍布企业、科研机构、商场、学校乃至家庭的每个角落。这说明电子商务作为一种新型的交易方式，为企业、消费者和政府建立了一种网络经济环境，人们不再受地域的限制，能够以快捷的方式完成繁杂的商务活动，以规范的工作流程提高人、财、物的利用率。2.1.1电子商务的概念电子商务作为一个完整的概念出现仅有几年的时间，中外学者、专家都从不同角度-3-提出不同的定义。按照美国国防部电子商务办公室、电子商务信息中心所下的定义，电子商务是使用电子数据交换（EDI:ElectronicDataInterchange）、电子邮件、电子公告牌、传真、电子资金转移（EFT:ElectronicFundsTransfer）及其他类似手段，实现“无纸”的商务信息交换。还有另外一种不同的定义，将电子商务的定义归纳为广义的电子商务和狭义的电子商务：广义的电子商务（ElectronicBusiness,EB）是指交易当事人或参与人利用计算机技术和网络技术等现代信息技术进行的各类商务活动，包括货物贸易、服务贸易和知识产权贸易。也可以理解为利用各种信息技术对整个商务活动实现电子化。而狭义的电子商务定义仅仅将通过Internet进行的商务活动归属于电子商务。主要是指利用网络与计算机进行钱和物的交易。虽然以上定义各不相同，但实质上都是在计算机和通信网络基础上，利用电子工具进行的在线交易或相关作业活动，包括为行政部门、企事业单位、金融机构、商家和个人等提供各种在线服务。2.1.2电子商务的特点电子商务将传统商业活动中物流、资金流、信息流的传递方式利用网络科技整合，企业将重要的信息以全球信息网、企业内部网（Internet）或外联网（Extranet）直接与分布各地的客户、员工、经销商及供应商连接，创造更具竞争力的经营优势。与传统的商务活动相比，电子商务具有以下特点：（1）交易网络化交易过程均通过计算机互联网络完成，整个交易完全虚拟化。整个交易都在网络这个虚拟的环境中进行。（2）交易成本低电子商务实行“无纸贸易”，可减少90%的文件处理费用。使用国际互联网进行信息传递的成本相对于信件、电话、传真的成本低很多，同时缩短时间及减少重复的数据-4-录入也降低了信息成本。（3）交易覆盖面广因特网几乎遍及全球的各个角落，电子商务可以使企业能够更加经济地经营地理上极为分散的狭小的目标市场。（4）交易效率高电子商务基于网络技术，克服了传统贸易方式费用高、易出错、处理速度慢等缺点，极大地缩短了交易时间，使整个交易非常快捷与方便。（5）交易功能全面电子商务可以全面支持不同类型的用户实现不同层次的商务目标，如发布电子商情、在线洽谈、建立虚拟商场或网上银行等。（6）交易透明化买卖双方从交易的洽谈、签约以及货款的支付、交货通知等整个交易过程都在网络上进行。通畅、快捷的信息传输可以保证各种信息之间相互核对，可以防止伪造信息的流通。2.1.3电子商务的系统构成根据电子商务的特点，可以对其进行如图的层次划分：-5-系统层：是指电子商务的系统支撑和总体结构。例如：电子硬件设备、网络结构，操作系统以及相互之间的结合方式等等。存储层：主要考虑数据的存储模式和存储安全问题，为电子商务中的数据存储、检索、更新等需求提供服务。传输层：负责电子商务中数据传输过程，是电子商务中安全性最薄弱的环节。应用层：为贸易双方提供的电子服务及应用程序。例如：网上书店、自动取款机中的程序系统等。2.2电子商务中的安全性问题2.2.1信息安全问题概述目前，电子商务系统中安全问题是一个非常流行的概念。电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此，电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的应用层传输层存储层系统层-6-俄安全问题，实施网络安全增强方案，以保证计算机网络自身安全性为目标。商务交易安全则紧紧围绕传统商务在互联网上应用时产生的各种安全问题，在计算机网络安全的基础上，保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。计算机网络安全与电子商务交易安全实际上是密不可分的，两者相辅相成，缺一不可。没有计算机网络安全作为基础，商务交易安全就犹如空中楼阁，无从谈起。没有商务交易安全保障，即使计算机网络本身再安全，仍然无法达到电子商务所特有的安全要求。2.2.2电子商务安全要素电子商务安全要素涉及面广，在使用电子商务的过程中主要的安全要素包括以下几个方面：（1）真实性真实性是指网络交易双方身份信息和交易信息要真实有效。双方交换信息之前通过数字签名、身份认证以及数字证书来辨别参与者身份的真伪，防止伪装攻击。交易时，对提供的交易信息也要保证其真实性，防止欺骗交易行为。（2）保密性电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家商业信息，有些可能已经是商业机密。电子商务建立在开放的网络环境之上，并且功能越是强大的电子商务系统，其开放性越大，在这样的开放环境下，如何维护商业机密是电子商务全面推广应用的重要保障。信息的保密性要求信息在传输过程或存储中不被他人窃取。（3）不可否认性在无纸化的电子商务模式下，通过手写签名和印章进行贸易方的鉴别已是不可能了。因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识，这种标志信息用来保证信息的发送方不能否认已发送的信息，接收方不能否认已收到的-7-信息，身份的不否认性常采用数字签名来实现。（4）可靠性可靠性是指防止计算机失效、程序出错、传输错误、自然灾害等引起的计算机信息失效或失误。保证存储在介质上的信息的正确性。（5）及时性及时性是指防止延迟或拒绝服务，及时性安全威胁的目的就在于破坏正常的计算机处理或完全拒绝服务。在电子商务中，延迟一个消息或删除一个消息会带来灾难性的后果。（6）完整性电子商务简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息完整性和统一性的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的不同。完整性包括信息传输和存储两方面。在存储时，要防止非法篡改和破坏网站上的信息。在传输的过程中，接收端受到的信息与发送的信息完全一样，说明在传输过程中信息没有遭到破坏。（7）不可拒绝性不可拒绝性又称有效性，可用性。是保证授权用户在正常访问信息和资源时不被拒绝，既保证为用户提供稳定的服务。2.2.3电子商务安全体系结构电子商务的安全控制体系结构是保证电子商务中数据安全的一个完整的逻辑结构，由5个部分组成，电子商务安全体系由网络服务层、加密技术层、安全认证层、交易协议层、应用系统层组成。从层次结构中可看出，下层是上层的基础，为上层提供技术支持；上层是下层的扩展与递进。各层次之间相互依赖、相互关联构成统一整体。各层通过控制技术的递进实现电子商务系统的安全。电子商务系统是依赖网络实现的商务系-8-统，需要利用Internet基础设施和标准，所以构成电子商务安全框架的底层是网络服务层。它是各种电子商务应用系统的基础，并提供信息传送的载体和用户接入的手段及安全通信服务