1、1福建师范大学毕 业 论 文题目: 现代电子商务中网上交易的安全危机和防范措施学习中心: 河北衡水奥鹏学习中心 专 业: 计算机科学与技术 年 级: 0909 学 号: 200909590711 学生姓名: 夏笠 导师姓名: 王平 2011 年 7 月 1 日装订线装订线2现代电子商务中网上交易的安全危机和防范措施内容摘要: 随着计算机网络在人类生活领域中的广泛 应用, 针对计算机网络的攻击事件也随之增加。网络已经无所不在的影响着社会的政治、经济、文化、 军事、意识形态和社会生活等各个方面。同时在全球范围内, 针对重要信息资源和网络基础设施的入侵行为和企图入侵行为的数量仍在持续不断增加,网络攻
2、击与入侵行为对国家安全、经济和社会生活造成了极大的威胁。计算机病毒不断地通过网络产生和传播,计算机网络被不断地非法入侵,重要情报、 资料被窃取,网上交易密码被窃取,甚至造成网络系统的瘫痪等等,诸如此类的事件已给政府及企业造成了巨大的损失,甚至危害到国家的安全。网络安全已成为世界各国当今共同关注的焦点,网络安全。的重要性是不言而喻的,因此,对漏洞的了解及防范也相对重要起来。在我的这篇论文里,将综合概括一些过去、现有的网络和系统漏洞,就几种常 见的和最新出现的漏洞及其特征进行详细的说明,并就此进一步展开对这些漏洞的防范措施的具体介绍,使大家认识并了解这些漏洞的危害,从而更好的保护自己的计算机。关键
3、词: 电子商务;网上交易; 计算机网络安全; 安全漏洞 ;防范措施电子商务通常是指是在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。网上交易主要是在网络的虚拟环境上进行的交易,类似与显示世界当中的商店,差别是利用电子商务的各种手段,达成从买到卖的过程的虚拟交易过程。怎么看待电子商务的安全问题?安全不是一个纯技术的概念,没有绝对的安全。安全是有成本和代价的,要采取安全措施不光会带来不方便的地
4、方,可能会带来成本和代价。在 2000 年中国人民银行出了一本信息安全保障的规范,里面明确提到在人民银行这个系统建设里面,应该投入10的经费。这是国内第一个行业主管部门发布明确的定额,10。系统的重要性不一样,有的需要投入 15甚至 50的经费,有的可能只能投入百分之几,而且可能有很多的电子商务网站投入远远不到 10,甚至很多安全措施都没有跟上去。安全是发展的、动态的。包括病毒、攻击措施,不可能一蹴而就。电子商务的安全支付方式,根据支付者和付款接受者之间是否有直接的通信可以分为直接支付和间接支付。根据银行中是否有帐号可以分为基于帐户的支付和基于代币的3支付,基于帐号的电子支付又可分为基于信用卡
5、支付和电子支票支付,基于代币的电子支付又成为电子现金或数字现金。是否必须与第三方进行在线联系还可以分为在线支付和离线支付。基于信用卡的支付方式采用的协议主要有两种:SSL 和 SET。目前我国的应用得到最广泛的就是基于信用卡的电子支付方式,中国银行的网上银行使用的是 SET 协议,招商银行的一卡通是 SSL 协议。在我们国家电子政务里面坚决采用 SSL,能不能得到国家和银行的支持这也是一个问题,有它的局限性。CA 问题也是安全性问题,是电子商务里面解决可信问题的关键设施。在我们国家建立 CA 的时候,会出现好多问题。CA 建设我们国家现在已经建了 40 多个,有人说 80 几个,地方的、政府的
6、、行业的。很多 CA 认为很多问题,没有和银行结合起来,没有得到银行的认可。中国电子商务标准化方面很缺乏。国家没有电子商务关于 CA 的要求等等,包括信息的披露等等。CA 设备的安全性,现在国家的设备或者是自己研发,或者地方采购的,电子商务网站也好,用户也好,怎么样对设备的安全性进行验证,采取国家安全机构的检测的产品,这样放心一点。电子商务方面技术方面缺乏统一规范,影响互联互通。国际标准一万七千多个,IF 的标准有三千多个,真正在电子商务里面的标准远远不够,还需要开发。标准不仅应该先行,还应该铺路。标准是游戏规则,你先制定标准你就掌握了主动权,以后银行也好,交易也好,造成的影响非常大。管理方面
7、,容易政出多门,造成管理混乱。法律法规不够健全。电子签章法没有出台,网上出了问题,出现邮件攻击怎么办,出现责任怎么办?安全方面是主要的问题。安全保证措施也是一个问题,跟直接投入跟相应的技术措施有关系,跟成本也有关系。我们不可能用比我们的资产价值更高的代价来做安全保护。比如网站上信用卡号被盗,这方面谁来负主要责任?这方面的法律法规如果有相应规定,应该负连带责任,对安全保护措施的问题一定要负相应责任。最后,提高服务的安全性,否则会影响电子商务的发展,或者成为发展的瓶颈。提高通信的速度,否则电子商务就成了纯粹的电子广告而无法将商场搬到里面,许多东西我们无法看到,也更谈不上交易。降低成本,包括硬件成本
8、、通信成本核计算成本。现在这个社会信息技术、通信技术的重要特征是大设备为小设备服务。电子商务管理体系应具备的特点:与经济体制的一致性,与信息安全保密管理的一致性,与经济安全监督的一致性,与信用体制的一致性。希望政府在电子商务的作用:政策引导、密码控制、交易监督, (根)CA 的管理标准制定。国家应该有相关的电子商务 CA 管理中心,充分发挥政府在电子商务发展中的主导作用,以小政府、大社会的方式规范和管理 CA 的发展,在电子商务的建设和采购中务必考虑安全因素,加强各部门之间的协调和配合。在信息时代,信息可以帮助团体或个人,使他们受益,同样,信息也可以用来对他们构成威胁,造成破坏。因此网络安全包
9、括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其4不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有治理方面的问题,两方面相互补充,缺一不可。一、计算机网络安全的概念国际标准化组织将“计算机安全”定义为:“为数据处理系统建立和采取的技术和治理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏” 。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。计算机网络安全
10、的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的熟悉和要求也就不同。从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾难、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有治理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。二、计算机网络
11、安全现状计算机网络安全是指网络系统的硬、软件及系统中的数据受到保护,不受偶然或恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。在 Internet 网络上,因互联网本身没有时空和地域的限制,每当有一种新的攻击手段产生,就能在一周内传遍全世界,这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。蠕虫、后门、Rootkits、DOS 和 Sniffer 是大家熟悉的几种黑客攻击手段。但这些攻击手
12、段却都体现了它们惊人的威力,时至今日,有愈演愈烈之势。这几类攻击手段的新变种,与以前出现的攻击方法相比,更加智能化,攻击目标直指互联网基础协议和操作系统层次。从 Web 程序的控制程序到内核级Rootlets。黑客的攻击手法不断升级翻新,向用户的信息安全防范能力不断发起挑战。三、计算机网络安全的防范措施1、加强内部网络治理人员以及使用人员的安全意识很多计算机系统常用口令来控制对系统资源的访问,这是防病毒进程中,最轻易和最经济的方法之一。网络治理员和终端操作员根据自己的职责权限,选择不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。在网络上,软件的安装和治理方式是十分关
13、键的,它不仅关系到网络维护治理的效率和质量,而5且涉及到网络的安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个 NT 服务器上,并可下载和散布到所有的目的机器上,由网络治理员集中设置和治理,它会与操作系统及其它安全措施紧密地结合在一起,成为网络安全治理的一部分,并且自动提供最佳的网络病毒防御措施。当计算机病毒对网上资源的应用程序进行攻击时,这样的病毒存在于信息共享的网络介质上,因此就要在网关上设防,在网络前端进行杀毒。2、网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的非凡网络互联设备。它对两个
14、或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被答应,并监视网络运行状态。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。3、安全加密技术加密技术的出现为全球电子商务提供了保证,从而使基于 Internet 上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是 21 世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即
15、加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。4、网络主机的操作系统安全和物理安全措施防火墙作为网络的第一道防线并不能完全保护内部网络,必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线,用来遭受攻击之后进行系统恢复。在防火墙和主机安全措施之
16、后,是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息,作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规则判定是否有入侵事件发生,假如有入侵发生,则启动应急处理措施,并产生警告信息。而且,系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源。总之,网络安全是一个综合性的课题,涉及技术、治理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。为此建立有中国特色的网络安全体系,需要国家政策和法规
17、的支持及集团联合研究开发。安全与6反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。参考文献:1 、 计算机网络吴功宜编著,清华大学出版社, 2003.1 2 、 计算机网络 (第四版) , Andrew S.Tanenbaum 著,清华大学出版社, 2004.8 3 、 数据通信与网络技术 (第 2 版) (英文影印版) , Forouzan B A., 清华大学出版社4 、 TCP/IP 协议与网络编程任泰明,西安电子科技大学出版社,2004 年5 、 局域网组建与维护袁连海 董文,人民邮电出版社,2004 年 6 、 网络管理标准教程刘晓晖 出版社:人民邮电出版社,2002 年7 、 网络服务器配置与应用 (第 2 版) ,钟小平、张金石,人民邮电出版社,2004 年