電子商務信息安全畢業(yè)論文.doc

南京交通職業(yè)技術學院畢 業(yè) 論 文論文題目： 淺談電子商務信息安全 系 部： 信息工程系 專業(yè)名稱： 應用電子技術 班 級： 05401 學 號： 52 姓 名： 袁 凱 指導教師： 孫紅梅 完成時間： 2010 年 5 月 12 日 淺談電子商務信息安全摘要：信息安全技術在電子商務系統(tǒng)中的作用非常重要，它守護著商家和客戶的重要機密，維護著商務系統(tǒng)的信譽和財產，同時為服務方和被服務方提供極大的方便，因此，只有采取了必要和恰當?shù)募夹g手段才能充分提高電子商務系統(tǒng)的可用性和可推廣性。關鍵詞： 電子商務；信息安全；網(wǎng)絡安全；防護措施Discusses the electronic commerce information security shallowlyAbstract:The information security technology is important in electronic commerce systems function, it is protecting the business and the customer important secret, is defending business systems prestige and the property, Meanwhile to serve Fang He to serve the side to provide enormous convenient, Therefore, Only then has adopted essential and the appropriate technological means can enhance electronic commerce systems usability fully and may the promotion.Key words: Electronic commerce; Information security; Network security; Protective measure目 錄前 言31 電子商務信息的概述31.1 我國電子商務信息發(fā)展環(huán)境分析31.2 電子商務信息安全發(fā)展策略42 電子商務信息的安全技術的分析與研究52.1 目前電子商務信息存在的安全性問題52.2 電子商務信息安全性要求62.3 電子商務信息安全技術措施62.3.1.數(shù)據(jù)加密技術62.3.2數(shù)字簽名技術72.3.3認證機構和數(shù)字證書72.3.4使用安全電子交易協(xié)議(SET:Secure Electronic Transactions)73 電子商務環(huán)境下的商業(yè)秘密保護及立法策略73.1 電子商務環(huán)境下的商業(yè)秘密保護的特點73.2 電子商務的發(fā)展使商業(yè)秘密立法更顯迫切83.3 電子商務的發(fā)展為商業(yè)秘密立法提供了契機93.3.1向國際通行做法靠近，注意與國際相協(xié)調93.3.2注意與相關法律的協(xié)調93.3.3考慮電子商務信息發(fā)展的特點10結束語11參考文獻12致 謝13前 言隨著網(wǎng)絡技術和信息技術的飛速發(fā)展，電子商務得到了越來越廣泛的應用,越來越多的企業(yè)和個人用戶依賴于電子商務的快捷、高效。1它的出現(xiàn)不僅為Internet的發(fā)展壯大提供了一個新的契機，也給商業(yè)界注入了巨大的能量。但電子商務是以計算機網(wǎng)絡為基礎載體的，大量重要的身份信息、會計信息、交易信息都需要在網(wǎng)上進行傳遞，在這樣的情況下，安全性問題成為首要問題。本文首先介紹了電子商務安全的現(xiàn)狀,分析了存在的主要問題,然后從網(wǎng)絡安全技術、數(shù)據(jù)加密技術、用戶認證技術等方面介紹了主要的電子安全技術,并提出了一個合理的電子商務安全體系架構。1 電子商務信息的概述電子商務的安全性并不是一個獨立的概念，它是由計算機安全性，尤其是計算機網(wǎng)絡安全性發(fā)展而來的。因為電子商務就是利用計算機網(wǎng)絡的信息來交換實現(xiàn)電子交易，所以凡是涉及到計算機網(wǎng)路的安全問題無疑對于電子商務都有著重要的意義。隨著信息技術日新月異的發(fā)展,人類正在進入以網(wǎng)絡為主的信息時代,基于Internet開展的電子商務已逐漸成為人們進行商務活動的新模式,越來越多的企業(yè)和個人通過Internet進行商務活動,電子商務的發(fā)展前景十分誘人。但電子商務的安全問題變得越來越突出,如何建立一個安全、便捷的電子商務應用環(huán)境,保證整個商務活動中信息的安全性,使基于Internet的電子交易方式與傳統(tǒng)交易方式一樣安全可靠,已經(jīng)成為當前的熱門話題。1.1 我國電子商務信息發(fā)展環(huán)境分析(1) 企業(yè)信息化建設環(huán)境： 企業(yè)作為電子商務的主體，其信息化程度是電子商務運行的基礎。目前，我國企業(yè)大多處于轉型階段，現(xiàn)代企業(yè)制度尚未普遍建立，企業(yè)信息化的進展并不令人滿意。2目前我國已經(jīng)上網(wǎng)的企業(yè)不到企業(yè)總數(shù)的1%。在1，5000家國有大中型企業(yè)中，大約只有10%實現(xiàn)了企業(yè)信息化或運用信息手段比較好。大約有70%左右的企業(yè)擁有一定的信息手段或著手向實現(xiàn)企業(yè)信息化的方向努力，大約20%的企業(yè)只有少量的計算機，而且只從事單機工作。在1000余萬家中小企業(yè)中，只有極少的一部分擁有現(xiàn)代化的信息手段。(2) 政策與法律環(huán)境：總的說來，我國的信息化政策還不夠完善，尤其體現(xiàn)在電子商務方面，有關的政策不夠明朗，相應的法律、法規(guī)，相關的標準還不夠完善，跨部門、跨地區(qū)的協(xié)調存在較大問題。因為參與電子商務的不僅僅是交易雙方，更重要的涉及工商行政管理、海關、保險、財稅、銀行等眾多部門和不同地區(qū)、不同國家，這就需要有統(tǒng)一的法律、政策框架，以及跨部門、跨地區(qū)的強有力的綜合協(xié)調組織，才能促進電子商務的蓬勃發(fā)展。(3) 金融電子化建設： 金融體系是商務活動的基礎保證。電子商務的支付與結算需要電子化金融體系的密切配合。目前我國金融服務極其電子化水平比較落后，跨區(qū)域、跨銀行的電子支付系統(tǒng)還未建立，網(wǎng)上支付、結算等問題很大程度上阻礙了我國電子商務發(fā)展的進程。例如，上海新華書店在互聯(lián)網(wǎng)上發(fā)布了圖書信息，收到大量國外的訂單，但是由于國內的電子支付手段沒有建立，生意無法成交，造成了不小的經(jīng)濟損失。加快建立銀行間、銀行與企業(yè)間資金清算和金融管理信息系統(tǒng)，使企業(yè)能夠隨時隨地方便地使用電子支付，實時完成電子交易已經(jīng)是勢在必行。(4) 安全保證系統(tǒng)：電子商務中的信息安全與一般情況下所說的信息安全有一定的區(qū)別。它除了具有一般信息的含義外，還具有金融業(yè)和商業(yè)信息的特征。因此，電子商務的運作，涉及多方面的安全問題，如資金安全、信息安全、貨物安全、商業(yè)秘密等。它要求電子商務比傳統(tǒng)的有紙貿易更安全、更可靠，這個問題直接關系到電子交易各方的利益，而目前網(wǎng)上安全技術及其認證機制均不完善，許多銀行現(xiàn)有的技術防范措施顯然不能適應大規(guī)模電子交易的需要。這也是普通消費者對電子商務持觀望態(tài)度的重要原因。 同時，電子商務的安全問題，不僅涉及技術問題，也涉及管理問題和法律問題。我國電子商務的管理標準尚未系統(tǒng)確定，法律對于電子商務違法交易行為的認定還處于摸索階段。所以，必須高度重視電子商務中的安全問題。1.2 電子商務信息安全發(fā)展策略 (1)提高對電子商務信息的意識 電子商務是使商務活動由以物為中心變?yōu)橐孕畔橹行?，可以極大地提高商務效率，降低成本，減少商務活動中人、財、物的消耗，有利于整個社會商品生產的集約化和高效率。企業(yè)需要從戰(zhàn)略上認識到企業(yè)信息化的必要性、可能性和良好的效益，充分運用信息手段，在運用中進一步了解和掌握它，不斷收到實際效益，進而增強推進信息化的信心，政府也要為企業(yè)信息化做好組織工作，制定好發(fā)展規(guī)劃。 (2)加快金融電子化進程 電子商務發(fā)展離不開金融電子化，只有可靠的電子支付方式，才能夠保證電子商務 的順利進行。在金融電子化的過程中，要對網(wǎng)上電子貨幣發(fā)行確定統(tǒng)一的在線支付程序，在安全保障標準、客戶私人信息保密、銀行信用等級評定等方面制定統(tǒng)一標準。同時，中央銀行應將核心職能定位在為電子商務活動進行網(wǎng)上在線電子支付提供更多更完善的法律保障及政策支持，對電子貨幣發(fā)行主體和網(wǎng)上電子支付結算主體的資格認證等方面，為電子商務加速發(fā)展提供良好的政策環(huán)境。 (3)建立完善的安全保證系統(tǒng)A. 防火墻技術B. 虛擬專網(wǎng)技術(VPN)C. 數(shù)據(jù)加密技術加密技術是保證電子商務系統(tǒng)安全所采用的最基本的安全措施D. 安全認證技術E. 選擇合適的電子商務安全協(xié)議 2 電子商務信息的安全技術的分析與研究2.1 目前電子商務信息存在的安全性問題(1)網(wǎng)絡協(xié)議安全性問題：目前，TCP/IP協(xié)議是應用最廣泛的網(wǎng)絡協(xié)議，但由于 TCP/IP本身的開放性特點，企業(yè)和用戶在電子交易過程中的數(shù)據(jù)是以數(shù)據(jù)包的形式來傳 送的，惡意攻擊者很容易對某個電子商務網(wǎng)站展開數(shù)據(jù)包攔截，甚至對數(shù)據(jù)包進行修改和假冒。 (2)用戶信息安全性問題：目前最主要的電子商務形式是基于B/S(Browser/Server)結構的電子商務網(wǎng)站，用戶使用瀏覽器登錄網(wǎng)絡進行交易，由于用戶在登錄時使用的可能是公共計算機，如網(wǎng)吧、辦公室的計算機等情況，那么如果這些計算機中有惡意木馬程序或病毒，這些用戶的登錄信息如用戶名、口令可能會有丟失的危險。 (3)電子商務網(wǎng)站的安全性問題：有些企業(yè)建立的電子商務網(wǎng)站本身在設計制作時就會有一些安全隱患，服務器操作系統(tǒng)本身也會有漏洞，不法攻擊者如果進入電子商務網(wǎng)站，大量用戶信息及交易信息將被竊取，給企業(yè)和用戶造成難以估量的損失。 2.2 電子商務信息安全性要求(1)服務的有效性要求：電子商務系統(tǒng)應能防止服務失敗情況的發(fā)生，預防由于網(wǎng)絡故障和病毒發(fā)作等因素產生的系統(tǒng)停止服務等情況，保證交易數(shù)據(jù)能準確快速的傳送。 (2)交易信息的保密性要求：電子商務系統(tǒng)應對用戶所傳送的信息進行有效的加密，防止因信息被截取破譯，同時要防止信息被越權訪問。 (3)數(shù)據(jù)完整性要求：數(shù)字完整性是指在數(shù)據(jù)處理過程中，原來數(shù)據(jù)和現(xiàn)行數(shù)據(jù)之間保持完全一致。為了保障商務交易的嚴肅和公正，交易的文件是不可被修改的，否則必然會損害一方的商業(yè)利益。 (4)身份認證的要求：電子商務系統(tǒng)應提供安全有效的身份認證機制，確保交易雙方的信息都是合法有效的，以免發(fā)生交易糾紛時提供法律依據(jù)。 2.3 電子商務信息安全技術措施2.3.1.數(shù)據(jù)加密技術對數(shù)據(jù)進行加密是電子商務系統(tǒng)最基本的信息安全防范措施其原理是利用加密算法將信息明文轉換成按一定加密規(guī)則生成的密文后進行傳輸，從而保證數(shù)據(jù)的保密性。使用數(shù)據(jù)加密技術可以解決信息本身的保密性要求。數(shù)據(jù)加密技術可分為對稱密鑰加密和非對稱密鑰加密。 (1)對稱密鑰加密(SecretKeyEncryption)。對稱密鑰加密也叫秘密/專用密鑰加密，即發(fā)送和接收數(shù)據(jù)的雙方必須使用相同的密鑰對明文進行加密和解密運算。它的優(yōu)點是加密、解密速度快，適合于對大量數(shù)據(jù)進行加密，能夠保證數(shù)據(jù)的機密性和完整性；缺點是當用戶數(shù)量大時，分配和管理密鑰就困難。 (2)非對稱密鑰加密(PublicKeyEncryption)。非對稱密鑰加密也叫公開密鑰加密，它主要指每個人都有一對惟一對應的密鑰:公開密鑰(簡稱公鑰)和私人密鑰(簡稱私鑰)公鑰對外公開，私鑰由個人秘密保存，用其中一把密鑰來加密，就只能用另一把密鑰來解密。管理缺點是算法復雜，加密速度慢。 (3)復雜加密技術。由于上述兩種加密技術各有長短，目前比較普遍的做法是將兩種技術進行集成。例如信息發(fā)送方使用對稱密鑰對信息進行加密，生成的密文后再用接收方的公鑰加密對稱密鑰生成數(shù)字信封，然后將密文和數(shù)字信封同時發(fā)送給接收方，接收方按相反方向解密后得到明文。 2.3.2數(shù)字簽名技術數(shù)字簽名是通過特定密碼運算生成一系列符號及代碼組成電子密碼進行簽名，來代替書寫簽名或印章，對于這種電子式的簽名還可進行技術驗證，其驗證的準確度是一般手工簽名和圖章的驗證所無法比擬的。3數(shù)字簽名技術可以保證信息傳送的完整性和不可抵賴性。 2.3.3認證機構和數(shù)字證書由于電子商務中的交易一般不會有使用者面對面進行，所以對交易雙方身份的認定是保障電子商務交易安全的前提。認證機構是一個公立可信的第三方，用以證實交易雙方的身份，數(shù)字證書是由認證機構簽名的包括公開密鑰擁有者身份信息以及公開密鑰的文件。 2.3.4使用安全電子交易協(xié)議(SET:Secure Electronic Transactions)是由VISA 和MasterCard兩大信用卡組織指定的標準。SET用于劃分與界定電子商務活動中各方的權利義務關系，給定交易信息傳送流程標準。SET協(xié)議保證了電子商務系統(tǒng)的保密性、完整性、不可否認性和身份的合法性。3 電子商務環(huán)境下的商業(yè)秘密保護及立法策略3.1 電子商務環(huán)境下的商業(yè)秘密保護的特點 商業(yè)秘密保護的難度增大電子商務環(huán)境是一種技術環(huán)境，它以數(shù)據(jù)庫技術和網(wǎng)絡技術為依托，使得包括商業(yè)秘密在內的企業(yè)信息電子化、網(wǎng)絡化成為現(xiàn)實；同時，商業(yè)秘密的電子化、網(wǎng)絡化，使得網(wǎng)絡成為泄露商業(yè)秘密4的重要 渠道，從而增大了商業(yè)秘密保護的難度。 電子商務是在互聯(lián)網(wǎng)上運作的，而互聯(lián)網(wǎng)的開放性和共享性，決定了它的易受攻擊性。網(wǎng)絡信息安全主要來自電腦黑客、網(wǎng)絡軟件、計算機病毒等的威脅。如在電子商務軟件方面，前段時間鬧得沸沸揚揚的Intel公司的奔騰的“序列號”功能，其初衷是為了在電子商務交易中對交易者身份提供唯一的識別，使電子商務更加可靠，但實際上卻可能導致用戶信息在用戶毫不知情的情況下被竊??；微軟也已承認其在Windows中存在兩個外部接人密匙，類似的密匙對電子商務中的商務秘密構成了潛在的威脅。我國計算機行業(yè)由于主體水平條件所限，目前許多電腦核心部件還要依賴國外，這不利于電子商務中的商業(yè)秘密保護。 企業(yè)信息共享影響商業(yè)秘密的安全。電子商務環(huán)境要求企業(yè)間及企業(yè)內部實現(xiàn)信息共享，以提高企業(yè)的競爭力。以網(wǎng)絡技術和數(shù)據(jù)庫技術為基礎的電子商務技術，使得企業(yè)信息的內外部共享成為可能。企業(yè)信息共享包括企業(yè)信息外部共享和內部共享兩個方面，其中外部共享是指企業(yè)與商業(yè)伙伴以及其他相關部門進行信息交流和共享，內部共 享是指基于企業(yè)內部網(wǎng)的內部員工信息共享。企業(yè)信息共享帶來了企業(yè)創(chuàng)新力和競爭力的提高，但同時也造成了包括商業(yè)秘密在內的企業(yè)信息的多點接觸，從而使得企業(yè)商業(yè)秘密處于一種不安全狀態(tài) 。3.2 電子商務的發(fā)展使商業(yè)秘密立法更顯迫切 電子商務環(huán)境下，商業(yè)秘密保護出現(xiàn)的新問題，使現(xiàn)有法律顯得不足。從現(xiàn)行有關商業(yè)秘密立法的情況看，存在下列不足：6在調整范圍上，有關法律法規(guī)有很大的局限性。如反不正當競爭法的適用范圍僅限于“經(jīng)營者與經(jīng)營者”之間，對職工侵犯本單位商業(yè)秘密的行為，缺乏明確規(guī)定；在程序法方面，沒有程序性的規(guī)定，可操作性不強。如對商業(yè)秘密糾紛能否通過仲裁解決，商業(yè)秘密訴訟的級別管轄等問題，均沒有明確的規(guī)定。過于分散，規(guī)定不具體。如對行政、司法禁令規(guī)定得就不具體，包括禁令的條件、種類、作出禁令的時間都沒有具體規(guī)定。保護力度不夠。雖然有了刑事責任規(guī)范，但缺乏民事責任規(guī)范 ，不足以保護商業(yè)秘密權利人的利益。近年來，隨著電子商務的發(fā)展，使得商業(yè)秘密侵權深入到了網(wǎng)絡環(huán)境，網(wǎng)絡商業(yè)秘密侵權案件時有發(fā)生，著名的蘋果計算機公司狀告他人在互聯(lián)網(wǎng)上發(fā)布了公司尚未正式推出的雙處理器系統(tǒng)和新型的Apple Pro鼠標，侵害了公司的商業(yè)機密就是一例2。由于網(wǎng)絡環(huán)境下的商業(yè)秘密侵權手段和保護方式都出現(xiàn)了新的特點，使得現(xiàn)有法律的適用性顯得不足，迫切需要進行商業(yè)秘密立法。同時地區(qū)性的商業(yè)秘密保護法也已制定一些，目前已有北美自由貿易協(xié)定、安第斯條約，歐盟也有制定商業(yè)秘密法令的計劃。在這一背景下，考慮到我國已經(jīng)加入 WTO及電子商務的勃興，我國企業(yè)將更多地參與到國際貿易中，這就要求我國企業(yè)清楚地了解國外保護商業(yè)秘密的規(guī)則，同時也要求國內立法，為我國企業(yè)的商業(yè)秘密提供充分保護。 3.3 電子商務的發(fā)展為商業(yè)秘密立法提供了契機電子商務的核心是“數(shù)據(jù)信息”。在構成電子商務的三種“流”(信息流、資金流和物流)中，“信息流”是最基本的。而 “信息流”中的相當大一部分是“數(shù)據(jù)信息”，它屬于企業(yè)的商業(yè)秘密。電子商務作為一種新興的商務模式，對其運作中所涉及的商秘密問題作出規(guī)范，一方面可使我國的商業(yè)秘密立法從一開始就體現(xiàn)出鮮明的時代特征，同時也能保證立法的彈性。另一方面，對于電子商務中的商業(yè)秘密問題，各國立法均不成熟，我國借助這一契機進行商業(yè)秘密立法，起點較高，這對于我國企業(yè)與國外企業(yè)展開公平競爭是十分有利的。 3.3.1向國際通行做法靠近，注意與國際相協(xié)調(1)降低立法成本，體現(xiàn)與國際立法相協(xié)調。目前世界上許多國家在商業(yè)秘密保護方面已經(jīng)立法，如美國有統(tǒng)一商業(yè)秘密法，加拿大有統(tǒng)一商業(yè)秘密法草案等等。這些立法不但有法律規(guī)定，而且有大量的案例、成熟的理論體系和豐富的經(jīng)驗，我們可以借鑒。這樣既可以降低立法成本，也體現(xiàn)了與國際立法相協(xié)調。 (2)適應國際立法協(xié)調的趨勢i電子商務技術的超越國界性，使全球經(jīng)濟一體化的步伐加快，知識產權保護在國際上更趨向統(tǒng)一。商業(yè)秘密主要是企業(yè)的經(jīng)營信息和技術信息，這使得其與商務貿易有著天然的、更為緊密的聯(lián)系。所以，在國際立法協(xié)調的大趨勢下，商業(yè)秘密立法應順應國際化趨勢，充分考慮國際協(xié)調。 3.3.2注意與相關法律的協(xié)調 (1)與民法通則相協(xié)調5。民法通則對制定商業(yè)秘密法具有重要的指導意義。民法通則中規(guī)定的基本原則，如誠實信用、公平交易等，應是制定 (2)與反不正當競爭法相協(xié)調。我國有關商業(yè)秘密的法律問題，目前主要是在反不正當競爭法中進行規(guī)定的，但這部法律主要是調整經(jīng)營者與經(jīng)營者之間的關系，對于涉及商業(yè)秘密的其他許多社會關系，如經(jīng)營者與職工之間的保密關系，管理部門、商業(yè)中介部門與企業(yè)的保密關系等，均未作出具體規(guī)定。同時，該法對商業(yè)秘密的保護是從禁止不正當競爭的消極角度著眼的，既缺乏對商業(yè)秘密權屬的確定，也缺乏商業(yè)秘密能否構成一項實在的民事權利及其權利性質的界定等。此外，在法律責任上，該法僅規(guī)定了行政處罰條款 ，沒有全面的救濟規(guī)定。因此，仍需一部獨立的商業(yè)秘密法，對商業(yè)秘密作出全面的保護規(guī)定。 (3)與知識產權法相協(xié)調。商業(yè)秘密因其保護對象的寬泛，往往會與版權法、專利法、商標法等知識產權法交織在一起。因此，擬制定的商業(yè)秘密法應注意和這幾部知識產權法相協(xié)調。首先，與版權法相協(xié)調。版權只保護“思想”的表達形式，而不 延及“思想”本身。3.3.3考慮電子商務信息發(fā)展的特點體現(xiàn)商業(yè)秘密法7的時代特征由于電子商務代表了未來商務的發(fā)展模式，商業(yè)秘密法要充分考慮其特點。具體來講，應注意： (1)電子商務的國際性，要求該法應體現(xiàn)國際協(xié)調性。 (2)該法要體現(xiàn)電子商務的技術性。與傳統(tǒng)的商務相比，電子商務的運作更加依賴于技術，因而出現(xiàn)了更多的技術問題，法律應對其加以規(guī)范。 體現(xiàn)商業(yè)秘密法的自身特點