2010级子商务王伟论文.doc

电子商务安全技术探讨 2010级电子商务 王伟 摘 要：随着Internet、计算机技术、网络技术的发展，出现了一种新兴的商务模式——电子商务。随着电子商务的飞速发展，安全成为制约其发展的关键。 　　关键词：电子商务 安全 密码 数字签名 协议 网络安全 交易安全 　　电子商务是指政府、企业和个人利用现代电子计算机与网络技术实现商业交换和行政管理的全过程；它是一种基于互联网，以交易双方为主体，以银行电子支付和结算为手段，以客户数据为依托的全新商务模式。本质是建立一种全社会的“网络计算环境”或“数字化神经系统”，以实现信息资源在国民经济和大众生活中的全方位应用。 　　一、从安全上看，电子商务的现状 　　1.网络信息安全在全球还没有形成一个完整的体系，我国也不例外。 　　2.安全技术的强度普遍不够。国外有关电子商务的安全技术，虽然其结构或加密技术等都不错，但受到了外国密码政策的限制，因此强度普遍不够。 　　3.电子商务网站的安全管理存在很大隐患，普遍难以经受黑客的攻击。 　　4.电子商务仅仅局限于商务信息领域而没有深入真正的电子商务领域，这些因素的存在必将影响我国电子商务进一步的发展。 　　二、电子商务安全性要求 　　从传统商业与电子商务的不同特点来看，要满足电子商务的安全性要求，至少要有下面几个问题需要解决： 　　1.交易前交易双方身份的认证问题。电子商务是建立在互联网络平台上的虚拟空间中的商务活动，交易的双方只能通过数据、符号、信号等进行判断、选择，具体的商业行为也依靠电子信号和数据的交流，交易的当事人再也无法用传统商务中的方法来保障交易的安全。 　　2.交易中电子合同的法律效力问题以及完整性保密性问题。 　　3.交易后电子记录的证据力问题。在英美法系，传闻证据规则限制了电子记录的证据力。在我国，诉讼法中并未对电子记录的证据力作出明确规定，甚至也没有将其单列出来作为证据的一种。 　　三、网络安全技术及解决思路 　　计算机网络安全的特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。其问题有： 　　1.未进行操作系统相关安全配置。不论采用什么操作系统，在缺省安装的条件下都会存在一些安全问题，只有专门针对操作系统安全性进行相关的和严格的安全配置，才能达到一定的安全程度。千万不要以为操作系统缺省安装后，再配上很强的密码系统就算作安全了。 　　2.未进行CGI程序代码审计。如果是通用的CGI问题，防范起来还稍微容易一些，但是对于网站或软件供应商专门开发的一些CGI程序，很多存在严重的CGI问题，对于电子商务站点来说，会出现恶意攻击者冒用他人账号进行网上购物等严重后果。 　　3.拒绝服务（DoS，Denial of Service）攻击。随着电子商务的兴起，对网站的实时性要求越来越高，DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈，破坏性更大，造成危害的速度更快，范围也更广，而袭击者本身的风险却非常小，甚至可以在袭击开始前就已经消失得无影无踪，使对方没有实行报复打击的可能。 　　4.安全产品使用不当。虽然不少网站采用了一些网络安全设备，但由于安全产品本身的问题或使用问题，这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高，超出对普通网管人员的技术要求，就算是厂家在最初给用户做了正确的安装、配置，但一旦系统改动，需要改动相关安全产品的设置时，很容易产生许多安全问题。 　　5.缺少严格的网络安全管理制度。网络安全最重要的还是要思想上高度重视，网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。 　　分析计算机网络安全面临的问题本人提出的解决思路有： 　　1.加强主机本身的安全，做好安全配置，及时安装安全补丁程序，减少漏洞。 　　2.要用各种系统漏洞检测软件定期对网络系统进行扫描分析，找出可能存在安全隐患，并及时加以修补。 　　3.从路由器到用户各级建立完善的访问控制措施，安装防火墙，加强授权管理和认证。 　　4.利用RAID5等数据存储技术加强数据备份和恢复措施。 　　5.对敏感的设备和数据要建立必要的物理或逻辑隔离措施。 　　6.对在公共网络上传输的敏感信息要进行强度的数据加密。 　　7.建立详细的安全审计日志，以便检测并跟踪入侵攻击等。 　　四、电子商务交易安全面临的问题及解决思路 　　一般来说商务安全中普遍存在着以下几种安全隐患： 　　1. 窃取信息。由于未采用加密措施，数据信息在网络上以明文形式传送，入侵者在数据包经过的网关或路由器上可