畢業(yè)論文-----電子商務(wù)安全的策略-

1、<p><b>　　摘要</b></p><p>　　20世紀(jì)90年代，隨著信息化的浪潮席卷全球，傳統(tǒng)的商務(wù)模式越來(lái)越受到巨大的沖擊。越來(lái)越多的企業(yè)和個(gè)人消費(fèi)者，在 Internet 開放的網(wǎng)絡(luò)環(huán)境下，基于瀏覽器 / 服務(wù)器應(yīng)用方式，實(shí)現(xiàn)消費(fèi)者地網(wǎng)上購(gòu)物、商戶之間的網(wǎng)上交易和在線電子支付的一種新型的商業(yè)運(yùn)營(yíng)模式----電子商務(wù)。電子商務(wù)將傳統(tǒng)的商務(wù)流程電子化、數(shù)字化，一方面以電子流

2、代替了實(shí)物流、資金流，可以大量減少人力、物力，降低了成本；另一方面突破了時(shí)間和空間的限制，使得交易活動(dòng)可以在任何時(shí)間、任何地點(diǎn)進(jìn)行，從而大大的提高了效率。</p><p>　　電子商務(wù)網(wǎng)絡(luò)在給企業(yè)帶來(lái)便利和機(jī)遇的同時(shí)，也面臨安全方面的重大挑戰(zhàn)，電子商務(wù)網(wǎng)絡(luò)安全是一個(gè)復(fù)雜的系統(tǒng)問(wèn)題。本文主要從電子商務(wù)網(wǎng)絡(luò)的安全隱患、電子商務(wù)網(wǎng)站安全現(xiàn)狀、網(wǎng)絡(luò)支付安全的措施與解決方案等方面進(jìn)行探討。實(shí)現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動(dòng)

3、過(guò)程中系統(tǒng)的安全性，即保證基于互連網(wǎng)的電子交易過(guò)程與傳統(tǒng)交易的方式一樣安全可靠。</p><p>　　總之，如何建立電子商務(wù)網(wǎng)絡(luò)安全的策略，并逐步完善這個(gè)策略，需要政府、電子商務(wù)企業(yè)、學(xué)者等的共同努力，任重而道遠(yuǎn)。</p><p>　　關(guān)鍵詞: 電子商務(wù)網(wǎng)絡(luò), 網(wǎng)絡(luò)安全,網(wǎng)絡(luò)支付</p><p><b>　　ABSTRACT</b></p

4、><p>　　The 20th century, 90 years, With the tide of global information across ,The traditional business model is the huge impact. More and more enterprises and individual consumers, In the Internet open network

5、 environment, Based on the browser/server application, To realize consumer shopping online、The online transactions between merchants and on-line electronic payment of a new business model——E-business. E-business make tra

6、ditional business processes electronic、digital, Hand in the material flow and</p><p>　　E-business network in bringing convenience and opportunities at the same time, also faces challenges of security, E-busi

7、ness network security is a complex system. This article mainly from the electronic commerce network security hidden danger, e-commerce security situation, network security measures and payment solutions, etc are discusse

8、d. Electronic commerce is the key to ensure business process system security, that is based on Internet electronic transaction process and the traditional trade</p><p>　　Keyword: E-business network, Network

9、security , Online payment</p><p><b>　　目錄</b></p><p><b>　　摘要1</b></p><p>　　ABSTRACT2</p><p><b>　　第1章 緒論4</b></p><p>　

10、　1.1電子商務(wù)發(fā)展的背景4</p><p>　　1.2 論文構(gòu)成及研究?jī)?nèi)容5</p><p>　　第2章 電子商務(wù)存在的安全性問(wèn)題6</p><p>　　2.1電子商務(wù)安全的主要問(wèn)題6</p><p>　　2.2電子商務(wù)安全問(wèn)題的具體表現(xiàn)6</p><p>　　2.3電子商務(wù)安全技術(shù)措施7</p&g

11、t;<p>　　第三章 電子商務(wù)網(wǎng)絡(luò)安全策略10</p><p>　　3.1WEB服務(wù)器上的安全漏洞10</p><p>　　3.2 網(wǎng)站程序安全問(wèn)題及對(duì)策10</p><p>　　3.3 網(wǎng)站的通用保護(hù)方法11</p><p>　　3.4 中小型B2C電子商務(wù)網(wǎng)站安全策略12</p><p>

12、　　3.5 大型電子商務(wù)網(wǎng)站、銀行、金融網(wǎng)站安全策略13</p><p>　　第四章 網(wǎng)絡(luò)安全的解決措施15</p><p>　　4.1 入侵檢測(cè)系統(tǒng)方案15</p><p>　　4.2 網(wǎng)絡(luò)安全的治理15</p><p>　　第五章 網(wǎng)絡(luò)安全的主要技術(shù)17</p><p>　　5.1 網(wǎng)絡(luò)安全論證與防火墻

13、17</p><p>　　5.2 數(shù)據(jù)加密17</p><p><b>　　結(jié) 論22</b></p><p><b>　　致謝23</b></p><p><b>　　參考文獻(xiàn)24</b></p><p><b>　　第1章 緒論&l

14、t;/b></p><p>　　1.1電子商務(wù)發(fā)展的背景</p><p>　　隨著信息化的浪潮席卷全球，傳統(tǒng)的商務(wù)模式越來(lái)越受到巨大的沖擊。越來(lái)越多的企業(yè)和個(gè)人消費(fèi)者，在 Internet 開放的網(wǎng)絡(luò)環(huán)境下，基于瀏覽器 / 服務(wù)器應(yīng)用方式，實(shí)現(xiàn)消費(fèi)者地網(wǎng)上購(gòu)物、商戶之間的網(wǎng)上交易和在線電子支付的一種新型的商業(yè)運(yùn)營(yíng)模式----電子商務(wù)。更由于電子商務(wù)本身的開放性、全球性、低成本、高效率

15、等特征，使得它不僅僅是一種新的貿(mào)易形式，它不僅會(huì)改變企業(yè)本身的生產(chǎn)、經(jīng)營(yíng)、管理活動(dòng)，而且將影響到整個(gè)社會(huì)的經(jīng)濟(jì)運(yùn)行與機(jī)構(gòu)。電子商務(wù)將傳統(tǒng)的商務(wù)流程電子化、數(shù)字化，一方面以電子流代替了實(shí)物流、資金流，可以大量減少人力、物力，降低了成本；另一方面突破了時(shí)間和空間的限制，使得交易活動(dòng)可以在任何時(shí)間、任何地點(diǎn)進(jìn)行，從而大大的提高了效率。</p><p>　　電子商務(wù)在現(xiàn)代社會(huì)占據(jù)如此重要的地位，而Internet自身的開

16、放性、廣泛性和匿名性，給電子商務(wù)帶來(lái)諸多的安全隱患： </p><p>　　身份認(rèn)證： 由于非法用戶可以偽造、假冒商戶網(wǎng)站和買家身份，因此登錄到商戶網(wǎng)站的用戶無(wú)法知道他們所登錄的網(wǎng)站是否是可信的商戶網(wǎng)站，商戶網(wǎng)站也無(wú)法驗(yàn)證登錄到網(wǎng)站 上的買家是經(jīng)過(guò)認(rèn)證的合法用戶，非法用戶可以借機(jī)進(jìn)行破壞。而 整個(gè)網(wǎng)上電子商務(wù)是在商戶（用戶）和用戶（商戶）互不見(jiàn)面的情況下，通過(guò) Internet 和網(wǎng)絡(luò)技術(shù)完成的，需要確認(rèn)彼此的真

17、實(shí)身份，保證交易全過(guò)程的安全進(jìn)行。 </p><p>　　信息的真實(shí)性： 交易各方在平臺(tái)上發(fā)布的信息、交易談判信息和電子化交易合同等是否是真實(shí)的信息，由于 Internet 的匿名性，使得一些投機(jī)分子可以提交一些虛假的信息，達(dá)到欺騙的行為； </p><p>　　信息的不可抵賴性： 對(duì)于信息發(fā)布、交易談判、交易合同簽署、交易平臺(tái)的信息提供等關(guān)鍵交易步驟，一旦有一方予以否認(rèn)，另一方?jīng)]有已

18、簽名的記錄作為仲裁的依據(jù) 。 </p><p>　　信息的機(jī)密性： 買家向商戶網(wǎng)站上船的財(cái)務(wù)信息和其他一些機(jī)密資料有可能在傳遞過(guò)程中被非法用戶截取。 </p><p>　　信息的完整性： 敏感、機(jī)密信息和數(shù)據(jù)在用戶和網(wǎng)站的傳遞是可能被非法用戶惡意篡改，造成用戶的重大損失。</p><p>　　在傳統(tǒng)面對(duì)面式的交易過(guò)程中，安全性系建立在實(shí)體的基礎(chǔ)上。以在百貨公司進(jìn)

19、行消費(fèi)為例，由于客戶可以見(jiàn)到實(shí)際的商品及處理過(guò)程，因此他們不會(huì)認(rèn)為將信用卡交付店員進(jìn)行結(jié)帳有任何不妥的地方，因?yàn)榭蛻艨汕宄目吹狡湫庞每ú](méi)有遭到第三者盜用。然而在虛擬的網(wǎng)絡(luò)商務(wù)環(huán)境下，由于缺乏眼見(jiàn)為憑的先天限制加上網(wǎng)絡(luò)安全性的漏洞，客戶不可避免地會(huì)衍生出相當(dāng)?shù)囊蓱]而裹足不前。網(wǎng)絡(luò)安全的問(wèn)題，實(shí)不容忽視。</p><p>　　隨著互聯(lián)網(wǎng)的不斷普及與發(fā)展.作為一個(gè)企業(yè)，在互聯(lián)網(wǎng)上建立自己的網(wǎng)站，最顯而易見(jiàn)的就是可以

20、向世界展示自己的企業(yè)風(fēng)采，讓更多人了解自己的企業(yè).使企業(yè)能夠在公眾知名度上有一定的提升，并通過(guò)網(wǎng)站進(jìn)行企業(yè)的內(nèi)部管理和開展電子商務(wù)活動(dòng)。因此，電子商務(wù)網(wǎng)站成為企業(yè)活動(dòng)的一個(gè)重要組成部分，而如何提高網(wǎng)絡(luò)的安全，抵抗黑客非法入侵，避免企業(yè)信息泄漏給企業(yè)帶來(lái)的損失是目前電子商務(wù)網(wǎng)絡(luò)安全建設(shè)中的重要一環(huán)。</p><p>　　1.2 論文構(gòu)成及研究?jī)?nèi)容</p><p>　　本論文主要從電子商務(wù)網(wǎng)站

21、的安全隱患、網(wǎng)站安全現(xiàn)狀、網(wǎng)站安全的措施與解決方案、電子商務(wù)發(fā)展等方面進(jìn)行探討，尤其對(duì)于網(wǎng)站安全和網(wǎng)絡(luò)支付安全的考慮，應(yīng)注意的一些防范方法的介紹，以促進(jìn)人們對(duì)電子商務(wù)網(wǎng)絡(luò)安全防范技術(shù)的了解。</p><p>　　實(shí)現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動(dòng)過(guò)程中系統(tǒng)的安全性，即保證基于互連網(wǎng)的電子交易過(guò)程與傳統(tǒng)交易的方式一樣安全可靠。</p><p>　　第2章 電子商務(wù)存在的安全性問(wèn)題</p

22、><p>　　2.1電子商務(wù)安全的主要問(wèn)題 </p><p>　　1．網(wǎng)絡(luò)協(xié)議安全性問(wèn)題：由于TCP/IP本身的開放性，企業(yè)和用戶在電子交易過(guò)程中的數(shù)據(jù)是以數(shù)據(jù)包的形式來(lái)傳送的，惡意攻擊者很容易對(duì)某個(gè)電子商務(wù)網(wǎng)站展開數(shù)據(jù)包攔截，甚至對(duì)數(shù)據(jù)包進(jìn)行修改和假冒。  2．用戶信息安全性問(wèn)題：目前最主要的電子商務(wù)形式是基于B/S（Browser/Server）結(jié)構(gòu)的電子商務(wù)網(wǎng)

23、站，用戶使用瀏覽器登錄網(wǎng)絡(luò)進(jìn)行交易，由于用戶在登錄時(shí)使用的可能是公共計(jì)算機(jī)，那么如果這些計(jì)算機(jī)中有惡意木馬程序或病毒，這些用戶的登錄信息如用戶名、口令可能會(huì)有丟失的危險(xiǎn)。  3．電子商務(wù)網(wǎng)站的安全性問(wèn)題：有些企業(yè)建立的電子商務(wù)網(wǎng)站本身在設(shè)計(jì)制作時(shí)就會(huì)有一些安全隱患，服務(wù)器操作系統(tǒng)本身也會(huì)有漏洞，不法攻擊者如果進(jìn)入電子商務(wù)網(wǎng)站，大量用戶信息及交易信息將被竊取。</p><p>　　2.2電子商務(wù)安

24、全問(wèn)題的具體表現(xiàn)</p><p>　　1．信息竊取、篡改與破壞。電子的交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^(guò)程中，可能會(huì)被他人非法修改、刪除或重放，從而使信息失去了真實(shí)性和完整性。包括網(wǎng)絡(luò)硬件和軟件的問(wèn)題而導(dǎo)致信息傳遞的丟失與謬誤；以及一些惡意程序的破壞而導(dǎo)致電子商務(wù)信息遭到破壞。  2．身份假冒。如果不進(jìn)行身份識(shí)別，第三方就有可能假冒交易一方的身份，以破壞交易，敗壞被假冒一方的聲譽(yù)或盜竊被假冒一方的交易成果

25、等。 3．誠(chéng)信安全問(wèn)題。電子商務(wù)的在線支付形式有電子支票、電子錢包、電子現(xiàn)金、信用卡支付等。但是采用這幾種支付方式，都要求消費(fèi)者先付款，然后商家再發(fā)貨。因此，誠(chéng)信安全也是影響電子商務(wù)快速發(fā)展的一個(gè)重要問(wèn)題。 4．交易抵賴。電子商務(wù)的交易應(yīng)該同傳統(tǒng)的交易一樣具有不可抵賴性。有些用戶可能對(duì)自己發(fā)出的信息進(jìn)行惡意的否認(rèn)，以推卸自己應(yīng)承擔(dān)的責(zé)任。交易抵賴包括多個(gè)方面，如發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過(guò)某條信息或內(nèi)容，收信者事后否認(rèn)曾經(jīng)收

26、到過(guò)某條消息或內(nèi)容，購(gòu)買者做了定貨單不承認(rèn)，商家賣出的商品因價(jià)格差而不承認(rèn)原有的交易等。 5．病毒感染。各種新型病毒及其變種迅速增加，不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播途徑。我國(guó)計(jì)算</p><p>　　9．網(wǎng)絡(luò)攻擊。目前已經(jīng)出現(xiàn)的各種類型的網(wǎng)絡(luò)攻擊通常被分為三類：探測(cè)式攻擊，訪問(wèn)攻擊和拒絕服務(wù)（DoS）攻擊。探測(cè)式攻擊實(shí)際上是信息采集活動(dòng)，黑客們通過(guò)這種攻擊搜集網(wǎng)絡(luò)數(shù)據(jù)，用于以后進(jìn)一步攻擊網(wǎng)絡(luò)。通常，

27、軟件工具（例如探測(cè)器和掃描器）被用于了解網(wǎng)絡(luò)資源情況，尋找目標(biāo)網(wǎng)絡(luò)、主機(jī)和應(yīng)用中的潛在漏洞。例如一種專門用于破解密碼的軟件，這種軟件是為網(wǎng)絡(luò)管理員而設(shè)計(jì)的，管理員可以利用它們來(lái)幫助那些忘記密碼的員工，或者發(fā)現(xiàn)那些沒(méi)有告訴任何人自己的密碼就離開了公司的員工的密碼。但這種軟件如果被錯(cuò)誤的人使用，就將成為一種非常危險(xiǎn)的武器。訪問(wèn)攻擊用于發(fā)現(xiàn)身份認(rèn)證服務(wù)、文件傳輸協(xié)議（FTP）功能等網(wǎng)絡(luò)領(lǐng)域的漏洞，以訪問(wèn)電子郵件帳號(hào)、數(shù)據(jù)庫(kù)和其他保密信息。Do

28、S攻擊可以防止用戶對(duì)于部分或者全部計(jì)算機(jī)系統(tǒng)的訪問(wèn)。它們的實(shí)現(xiàn)方法通常是：向某個(gè)連接到企業(yè)網(wǎng)絡(luò)或者互聯(lián)網(wǎng)的設(shè)備發(fā)送大量的雜亂的或者無(wú)法控制的數(shù)據(jù)，從而讓正常的訪問(wèn)無(wú)法到達(dá)該主機(jī)。更惡毒的是分布式拒絕服務(wù)攻擊（DDoS），在這種攻擊中攻擊者將會(huì)危及多個(gè)設(shè)備或者主機(jī)的安全。</p><p>　　2.3電子商務(wù)安全技術(shù)措施</p><p>　　電子商務(wù)的安全性策略可分為兩大部分：一部分是計(jì)算機(jī)網(wǎng)

29、絡(luò)安全，第二部分是商務(wù)交易安全。電子商務(wù)中的安全性技術(shù)主要有以下幾種：  　　1．?dāng)?shù)據(jù)加密技術(shù)。對(duì)數(shù)據(jù)進(jìn)行加密是電子商務(wù)系統(tǒng)最基本的信息安全防范措施。其原理是利用加密算法將信息明文轉(zhuǎn)換成按一定加密規(guī)則生成的密文后進(jìn)行傳輸，從而保證數(shù)據(jù)的保密性。使用數(shù)據(jù)加密技術(shù)可以解決信息本身的保密性要求。數(shù)據(jù)加密技術(shù)可分為對(duì)稱密鑰加密和非對(duì)稱密鑰加密。  　　對(duì)稱密鑰加密（Secret Key Encrypt

30、ion）。對(duì)稱密鑰加密也叫秘密/專用密鑰加密，即發(fā)送和接收數(shù)據(jù)的雙方必須使用相同的密鑰對(duì)明文進(jìn)行加密和解密運(yùn)算。它的優(yōu)點(diǎn)是加密、解密速度快，適合于對(duì)大量數(shù)據(jù)進(jìn)行加密，能夠保證數(shù)據(jù)的機(jī)密性和完整性；缺點(diǎn)是當(dāng)用戶數(shù)量大時(shí)，分配和管理密鑰就相當(dāng)困難。目前常用的對(duì)稱加密算法有：美國(guó)國(guó)家標(biāo)準(zhǔn)局提出DES算法、由瑞士聯(lián)邦理工學(xué)院的IDEA算法等。  　　非對(duì)稱密鑰加密（Public Key Encryption）。非

31、對(duì)稱密鑰加密也叫公開密鑰加密，它主要指每個(gè)人都有一對(duì)唯一對(duì)應(yīng)的密鑰：公開密鑰（簡(jiǎn)稱公鑰）和私人密鑰（簡(jiǎn)稱私鑰）公鑰對(duì)外公開，私鑰由個(gè)人秘密</p><p>　　4．安全認(rèn)證協(xié)議。目前電子商務(wù)中經(jīng)常使用的有安全套接層SSL（Secure Sockets Layer）協(xié)議和安全電子交易SET（Secure Electronic Transaction）協(xié)議兩種安全認(rèn)證協(xié)議。 　　安全套接層（SSL）協(xié)議。SSL協(xié)議

32、是Netscape公司在網(wǎng)絡(luò)傳輸層之上提供的一種基于RSA和保密密鑰的用于瀏覽器和Web服務(wù)器之間的安全連接技術(shù)。SSL協(xié)議是一個(gè)保證任何安裝了安全套接層的客戶和服務(wù)器間事務(wù)安全的協(xié)議，該協(xié)議向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。目的是為用戶提供Internet和企業(yè)內(nèi)聯(lián)網(wǎng)的安全通信服務(wù)。SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前，協(xié)商加密算法，連接密鑰并認(rèn)證通信雙方，從而為應(yīng)用層提供了

33、安全的傳輸通道；在該通道上可透明加載任何高層應(yīng)用協(xié)議（如HTTP、FTP、TELNET等）以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩?。SSL協(xié)議握手流程由兩個(gè)階段組成：服務(wù)器認(rèn)證和用戶認(rèn)證。SSL采用了公開密鑰和專有密鑰兩種加密：在建立連接過(guò)程中采用公開密鑰；在會(huì)話過(guò)程中使用專有密鑰。加密的類型和強(qiáng)度則在兩端之間建立</p><p>　　第三章 電子商務(wù)網(wǎng)絡(luò)安全策略</p><p>　　電子商務(wù)網(wǎng)站建設(shè)

34、中首要的問(wèn)題是網(wǎng)站W(wǎng)EB服務(wù)器的使用，通常情況下，開展電子商務(wù)的企業(yè)會(huì)采用自建服務(wù)器方案來(lái)完成電子商務(wù)的各項(xiàng)功能，因此為了電子商務(wù)網(wǎng)站的特殊需要企業(yè)會(huì)自己租用通信專線，架設(shè)WEB服務(wù)器。</p><p>　　3.1WEB服務(wù)器上的安全漏洞</p><p>　　WEB服務(wù)器上的漏洞可以從以下幾方面考慮：</p><p>　　(1)、在WEB服務(wù)器上你不讓人訪問(wèn)的秘密文

35、件、目錄或重要數(shù)據(jù)。</p><p>　　(2)、從遠(yuǎn)程用戶向服務(wù)器發(fā)送信息時(shí)，特別是信用卡之類東西時(shí).中途遭不法分子非法攔截。</p><p>　　(3)、WEB服務(wù)器本身存在一些漏洞使得一些人能侵入到主機(jī)系統(tǒng).破壞一些重要的數(shù)據(jù).甚至造成系統(tǒng)癱瘓。</p><p>　　(4)、WEB服務(wù)器的一些擴(kuò)展組件存在漏洞，可能導(dǎo)致網(wǎng)絡(luò)安全和信息泄漏。</p>

36、<p>　　(5)、還有一些簡(jiǎn)單的從網(wǎng)上下載的WEB服務(wù)器.沒(méi)有過(guò)多考慮到一些安全因素.不能用作商業(yè)應(yīng)用。</p><p>　　因此，不管是配置服務(wù)器.還是在編寫網(wǎng)站程序時(shí)都要注意系統(tǒng)的安全性。盡量堵住任何存在的漏洞.創(chuàng)造安全的環(huán)境。</p><p>　　3.2 網(wǎng)站程序安全問(wèn)題及對(duì)策</p><p>　　電子商務(wù)網(wǎng)站程序的安全是許多企業(yè)忽視的問(wèn)題，也是

37、嚴(yán)重導(dǎo)致企業(yè)信息泄漏的最主要的途徑之一。</p><p><b>　　代碼漏洞安全問(wèn)題：</b></p><p>　　產(chǎn)生這種漏洞的主要原因是網(wǎng)站程序代碼編寫的不完善造成的.而這種不完善的代碼極有可能會(huì)暴露網(wǎng)站的數(shù)據(jù)庫(kù)或后臺(tái)管理等重要的安全信息(下文均以ASP為例)。</p><p>　　(1)、數(shù)據(jù)庫(kù)連接字串的某些錯(cuò)誤導(dǎo)致WEB服務(wù)器錨誤提示

38、，而這些錯(cuò)誤提示中可能會(huì)含有數(shù)據(jù)庫(kù)或表等重要信息。</p><p>　　(2)、企業(yè)后臺(tái)管理程序中只有主程序要求管理員的身份信息，而其它管理頁(yè)面卻忽視了身份驗(yàn)證信息，這種疏忽使非法用戶可能通過(guò)直接輸入后臺(tái)的某個(gè)管理頁(yè)面的形式進(jìn)入到后臺(tái)管理中去，如果正好有管理員密碼修改的頁(yè)面出現(xiàn)此問(wèn)題，則會(huì)導(dǎo)致網(wǎng)站后臺(tái)的完全暴露。</p><p>　　(3)、對(duì)頁(yè)面參數(shù)不作任何判定導(dǎo)致所謂的SQL Inje

39、ction，即SQL注入從而泄漏用戶信息。這種安全漏洞是2004年以來(lái)網(wǎng)站信息安全的最大隱患，而國(guó)內(nèi)許多電子商務(wù)網(wǎng)站并沒(méi)有采取相應(yīng)的安全措施，導(dǎo)致電子商務(wù)網(wǎng)站很容易被攻破。</p><p>　　后臺(tái)管理程序文件的安全問(wèn)題：</p><p>　　現(xiàn)在大多數(shù)企業(yè)采用后臺(tái)管理的方式對(duì)電子商務(wù)網(wǎng)站進(jìn)行管理，電子商務(wù)網(wǎng)站后臺(tái)的入口安全是很多企業(yè)忽視的問(wèn)題。比如許多電子商務(wù)網(wǎng)站后臺(tái)入口通常會(huì)采用Adm

40、in.asp、Iogin.asp、Iogout.asp等常見(jiàn)形式.也有的網(wǎng)站竟然在網(wǎng)面上鏈接出管理入口，這樣，非法用戶很容易就能找到網(wǎng)站的后臺(tái)管理入口，成為電子商務(wù)網(wǎng)站安全的重大隱患對(duì)于以上安全問(wèn)題的解決方法是更改網(wǎng)站的后臺(tái)入口路徑.最好是設(shè)定一個(gè)不易被猜解到的目錄和文件名，同時(shí)盡可能不要在前臺(tái)頁(yè)面上暴露出后臺(tái)的管理入口。弱口令和口令加密安全問(wèn)題。盡管大多數(shù)企業(yè)認(rèn)識(shí)到了口令的安全問(wèn)題，但還是有不少的企業(yè)忽視了這個(gè)問(wèn)題。</p>

41、;<p>　　(1)、網(wǎng)站管理口令安全問(wèn)題。</p><p>　?、偃蹩诹顔?wèn)題。有些管理員為了記憶方便.會(huì)以Admin、Admin888managerwebmaster等作為管理員的用戶名.同樣，也有用AdminAdmin88812345888888等來(lái)作為管理員密碼，數(shù)據(jù)庫(kù)以sA為用戶名，留空密碼等，這些弱口令是很容易被黑客猜測(cè)到的。</p><p>　?、诿魑拿艽a問(wèn)題。很

42、多企業(yè)的管理員密碼都采用明文來(lái)保存，這樣的明文密碼是最不安全的因素之一，通過(guò)SQL注入很容易就能獵取數(shù)據(jù)庫(kù)中的明文密碼。 </p><p>　?、酆?jiǎn)單口令加密問(wèn)題。一些網(wǎng)站設(shè)計(jì)人員有時(shí)只是對(duì)口令進(jìn)行簡(jiǎn)單的對(duì)稱加密.這種經(jīng)過(guò)簡(jiǎn)單的對(duì)稱加密密文用現(xiàn)在的Pc機(jī)器可以在較短的時(shí)間內(nèi)解密成明文，因此也是不可取的。</p><p>　　(2)、網(wǎng)站管理口令安全策略。</p><

43、;p>　?、俣沤^使用弱口令，以避免安全隱患，可以采用字母+數(shù)字+符號(hào)字符，并超過(guò)8位以上的密碼。</p><p>　?、趶?qiáng)制對(duì)所有用戶密碼加密，最好采用非對(duì)稱加密或采用不可逆的運(yùn)算，如使用32位的MD5碼。</p><p>　　3.3 網(wǎng)站的通用保護(hù)方法</p><p>　　針對(duì)黑客威脅，網(wǎng)絡(luò)安全管理員采取各種手段增強(qiáng)服務(wù)器的安全，確保WWW服務(wù)的正常運(yùn)行。象

44、在Internet上的Email、ftp等服務(wù)器一樣，可以用如下的方法來(lái)對(duì)WWW服務(wù)器進(jìn)行保護(hù)： </p><p>　　安全配置: 關(guān)閉不必要的服務(wù)，最好是只提供WWW服務(wù)，安裝操作系統(tǒng)的最新補(bǔ)丁，將WWW服務(wù)升級(jí)到最新版本并安裝所有補(bǔ)丁，對(duì)根據(jù)WWW服務(wù)提供者的安全建議進(jìn)行配置等，這些措施將極大提供WWW服務(wù)器本身的安全。 </p><p>　　防火墻: 安裝必要的防火墻，阻止各種掃描工

45、具的試探和信息收集，甚至可以根據(jù)一些安全報(bào)告來(lái)阻止來(lái)自某些特定IP地址范圍的機(jī)器連接，給WWW服務(wù)器增加一個(gè)防護(hù)層，同時(shí)需要對(duì)防火墻內(nèi)的網(wǎng)絡(luò)環(huán)境進(jìn)行調(diào)整，消除內(nèi)部網(wǎng)絡(luò)的安全隱患。 　　 </p><p>　　漏洞掃描: 使用商用或免費(fèi)的漏洞掃描和風(fēng)險(xiǎn)評(píng)估工具定期對(duì)服務(wù)器進(jìn)行掃描，來(lái)發(fā)現(xiàn)潛在的安全問(wèn)題，并確保由于升級(jí)或修改配置等正常的維護(hù)工作不會(huì)帶來(lái)安全問(wèn)題。 　　 </p><p>　　入

46、侵檢測(cè)系統(tǒng): 利用入侵檢測(cè)系統(tǒng)（IDS）的實(shí)時(shí)監(jiān)控能力，發(fā)現(xiàn)正在進(jìn)行的攻擊行為及攻擊前的試探行為，記錄黑客的來(lái)源及攻擊步驟和方法。 　　 </p><p>　　這些安全措施都將極大提供WWW服務(wù)器的安全，減少被攻擊的可能性。</p><p>　　3.4 中小型B2C電子商務(wù)網(wǎng)站安全策略</p><p>　　中小型B2C電子商務(wù)網(wǎng)站的特點(diǎn)： </p>&

47、lt;p>　　1、商品品種較少，或者比較單一。 </p><p>　　2、交易金額較低。 </p><p>　　3、交易量不大，單個(gè)用戶購(gòu)買頻率低。 </p><p>　　4、發(fā)生隨機(jī)性高，門檻要求低。 </p><p>　　中小型B2C電子商務(wù)網(wǎng)站主要解決問(wèn)題： </p><p>　　1、網(wǎng)站身份的驗(yàn)證：保證用

48、戶訪問(wèn)的是一個(gè)安全，真實(shí)的商戶網(wǎng)站，防止非法用戶冒充真的網(wǎng)站騙取錢款。 </p><p>　　2、交易數(shù)據(jù)加密：防止泄漏重要財(cái)務(wù)信息，尤其是有些數(shù)字商品，本身就是數(shù)字形式，一旦被別人竊聽(tīng)，將造成直接損失。 </p><p>　　3、交易數(shù)據(jù)驗(yàn)證：防止交易數(shù)據(jù)在傳輸過(guò)程被人篡改。 </p><p>　　4、交易數(shù)據(jù)的不可抵賴性：保證交易的全過(guò)程，能夠被記錄并作為審計(jì)依

49、據(jù)。 </p><p>　　5、操作的簡(jiǎn)易性：由于用戶偶爾使用一次該類型網(wǎng)站，過(guò)份復(fù)雜和繁瑣的安全操作，會(huì)使用戶產(chǎn)生厭煩情緒，甚至影響用戶購(gòu)買，如何保證即安全又方便，是同樣重要的問(wèn)題。 </p><p><b>　　解決方案如下圖：</b></p><p><b>　　說(shuō)明：</b></p><p>

50、;　　只需要在中小型B2C電子商務(wù)網(wǎng)站上安裝：全球信SSL專業(yè)版（Quick SSL Premium）即可實(shí)現(xiàn)。通過(guò)安裝Quick SSL Premium，可以實(shí)現(xiàn)： </p><p>　　1、用戶和網(wǎng)站之間的數(shù)據(jù)采用128/256位加密，防止數(shù)據(jù)傳輸過(guò)程中有人監(jiān)聽(tīng)。 </p><p>　　2、網(wǎng)站身份的驗(yàn)證，通過(guò)GeoTrust專有的網(wǎng)站簽章技術(shù)，保證該簽章是不能被復(fù)制和假冒的，同時(shí)還能

51、自動(dòng)生成一個(gè)實(shí)時(shí)的日期和時(shí)間戳。 </p><p>　　3、簡(jiǎn)單易用，用戶務(wù)須安裝任何其他的軟件，和專業(yè)知識(shí)就可以安全的使用網(wǎng)站服務(wù)。 </p><p>　　4、GeoTrust是業(yè)界第2大的且發(fā)展速度最快的證書頒發(fā)機(jī)構(gòu)，通過(guò)國(guó)際著名的GeoTrust品牌可以提升客戶對(duì)網(wǎng)站的信賴度。 </p><p>　　5、安裝簡(jiǎn)單，單根證書，無(wú)需級(jí)聯(lián)安裝。 </p>

52、<p>　　6、兼容99%以上的瀏覽器和Web服務(wù)器</p><p>　　3.5 大型電子商務(wù)網(wǎng)站、銀行、金融網(wǎng)站安全策略</p><p>　　大型電子商務(wù)網(wǎng)站、銀行、金融網(wǎng)站 特點(diǎn)： </p><p>　　1、商品品種多，內(nèi)容大而全。 </p><p>　　2、交易金額較高，資金流動(dòng)大。 </p><p&g

53、t;　　3、交易量大，用戶操作次數(shù)頻繁。 </p><p>　　4、客戶群固定，用戶對(duì)安全性要求高。 </p><p>　　大型電子商務(wù)網(wǎng)站、銀行、金融網(wǎng)站主要解決問(wèn)題： </p><p>　　1、網(wǎng)站身份的驗(yàn)證：保證用戶訪問(wèn)的是一個(gè)安全，真實(shí)的商戶網(wǎng)站，防止非法用戶冒充真的網(wǎng)站騙取錢款以及用戶帳戶信息。 </p><p>　　2、交易數(shù)據(jù)加

54、密：防止泄漏重要財(cái)務(wù)信息，帳戶信息，交易數(shù)據(jù)信息被人竊聽(tīng)、盜用。 </p><p>　　3、交易數(shù)據(jù)的不可抵賴性：保證交易的全過(guò)程，能夠被記錄并作為審計(jì)依據(jù)。 </p><p>　　4、用戶身份的驗(yàn)證：能夠查證用戶的真實(shí)身份，聯(lián)系信息，財(cái)務(wù)信用，對(duì)網(wǎng)上交易能做數(shù)據(jù)簽名，保證交易數(shù)據(jù)的完整性、真實(shí)性、不可抵賴性。 </p><p>　　5、交易數(shù)據(jù)完整性：敏感、機(jī)密、

55、重要的數(shù)據(jù)在傳遞過(guò)程中，防止被人篡改。 </p><p><b>　　解決方案如下圖：</b></p><p>　　說(shuō)明：在網(wǎng)站服務(wù)器（集群）端安裝全球信SSL企業(yè)版（True Business ID）,同時(shí)為客戶分配個(gè)人證書（My Credential）。這樣可以實(shí)現(xiàn)： </p><p>　　1、用戶和網(wǎng)站之間的數(shù)據(jù)采用128/256位加密，

56、防止數(shù)據(jù)傳輸過(guò)程中有人監(jiān)聽(tīng)。 </p><p>　　2、網(wǎng)站身份的驗(yàn)證，通過(guò)GeoTrust True Business ID專有的網(wǎng)站簽章技術(shù)，保證該簽章是不能被復(fù)制和假冒的，同時(shí)還能在簽章上顯示網(wǎng)站的名稱，并自動(dòng)生成一個(gè)實(shí)時(shí)的日期和時(shí)間戳。而且True Business ID證書審核了網(wǎng)站的書面資料，具有最高的可信度和安全性。 </p><p>　　3、簡(jiǎn)單易用，用戶務(wù)須安裝任何其他的

57、軟件，和專業(yè)知識(shí)就可以安全的使用網(wǎng)站服務(wù)，用戶的個(gè)人證書可以通過(guò)USB TOKEN方式，使用極為方便 </p><p>　　4、通過(guò)個(gè)人證書，能夠有效驗(yàn)證用戶帳號(hào)，查證用戶的身份信息和個(gè)人信用，并對(duì)交易數(shù)據(jù)做數(shù)字簽名，保證交易內(nèi)容不可抵賴。 </p><p>　　5、GeoTrust是業(yè)界第2大的且發(fā)展速度最快的證書頒發(fā)機(jī)構(gòu)，通過(guò)國(guó)際著名的GeoTrust品牌可以提升客戶對(duì)網(wǎng)站的信賴度。

58、</p><p>　　6、兼容99%以上的瀏覽器和Web服務(wù)器，而且True Business ID支持最新的瀏覽器分級(jí)功能。 </p><p>　　第四章 網(wǎng)絡(luò)安全的解決措施</p><p>　　4.1 入侵檢測(cè)系統(tǒng)方案</p><p>　　入侵檢測(cè)系統(tǒng)（IDS）概念</p><p>　　1980年，James P.

59、Anderson 第一次系統(tǒng)闡述了入侵檢測(cè)的概念，并將入侵行為分為外部滲透、內(nèi)部滲透和不法行為三種，還提出了利用審計(jì)數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想[1]。即其之后,1986年Dorothy E.Denning提出實(shí)時(shí)異常檢測(cè)的概念[2]并建立了第一個(gè)實(shí)時(shí)入侵檢測(cè)模型，命名為入侵檢測(cè)專家系統(tǒng)（IDES），1990年，L.T.Heberlein等設(shè)計(jì)出監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測(cè)系統(tǒng)，NSM(Network Security Monitor)。自此之后

60、，入侵檢測(cè)系統(tǒng)才真正發(fā)展起來(lái)。</p><p>　　Anderson將入侵嘗試或威脅定義為：潛在的、有預(yù)謀的、未經(jīng)授權(quán)的訪問(wèn)信息、操作信息、致使系統(tǒng)不可靠或無(wú)法使用的企圖。而入侵檢測(cè)的定義為[4]：發(fā)現(xiàn)非授權(quán)使用計(jì)算機(jī)的個(gè)體（如“黑客”）或計(jì)算機(jī)系統(tǒng)的合法用戶濫用其訪問(wèn)系統(tǒng)的權(quán)利以及企圖實(shí)施上述行為的個(gè)體。執(zhí)行入侵檢測(cè)任務(wù)的程序即是入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)也可以定義為：檢測(cè)企圖破壞計(jì)算機(jī)資源的完整性，真實(shí)性和可

61、用性的行為的軟件。</p><p>　　入侵檢測(cè)系統(tǒng)執(zhí)行的主要任務(wù)包括[3]：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn)；識(shí)別、反映已知進(jìn)攻的活動(dòng)模式，向相關(guān)人士報(bào)警；統(tǒng)計(jì)分析異常行為模式；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；審計(jì)、跟蹤管理操作系統(tǒng)，識(shí)別用戶違反安全策略的行為。入侵檢測(cè)一般分為三個(gè)步驟：信息收集、數(shù)據(jù)分析、響應(yīng)。 </p><p><b>　　入侵檢測(cè)的目的：<

62、;/b></p><p><b>　?。?）識(shí)別入侵者；</b></p><p>　　（2）識(shí)別入侵行為；</p><p>　?。?）檢測(cè)和監(jiān)視以實(shí)施的入侵行為；</p><p>　?。?）為對(duì)抗入侵提供信息，阻止入侵的發(fā)生和事態(tài)的擴(kuò)大；</p><p>　　4.2 網(wǎng)絡(luò)安全的治理</

63、p><p>　　SSL VPN介紹與安全性研究</p><p>　　VPN 是一項(xiàng)非常實(shí)用的技術(shù),它可以擴(kuò)展企業(yè)的內(nèi)部網(wǎng)絡(luò),近期,傳統(tǒng)的IPSec VPN 出現(xiàn)了客戶端不易配置等問(wèn)題,相對(duì)而言,SSL VPN作為一種全新的技術(shù)正在被廣泛關(guān)注,SSL利用內(nèi)置在每個(gè)Web瀏覽器中的加密和驗(yàn)證功能,并與安全網(wǎng)關(guān)相結(jié)合,提供安全遠(yuǎn)程訪問(wèn)企業(yè)應(yīng)用的機(jī)制,這樣,遠(yuǎn)程移動(dòng)用戶可以輕松訪問(wèn)公司內(nèi)部B/S和C/

64、S應(yīng)用及其他核心資源。 </p><p>　　什么是SSL VPN</p><p>　　SSL VPN是指應(yīng)用層的VPN,基于HTTPS來(lái)訪問(wèn)受保護(hù)的應(yīng)用。目前常見(jiàn)的SSL VPN方案有兩種:直路方式和旁路方式。直路方式中,當(dāng)客戶端需要訪問(wèn)一應(yīng)用服務(wù)器時(shí),首先,客戶端和SSL VPN網(wǎng)關(guān)通過(guò)證書互相驗(yàn)證雙方;其次,客戶端和SSL VPN網(wǎng)關(guān)之間建立SSL 通道;然后,SSL VPN 網(wǎng)關(guān)作

65、為客戶端的代理和應(yīng)用服務(wù)器之間建立TCP 連接,在客戶端和應(yīng)用服務(wù)器之間轉(zhuǎn)發(fā)數(shù)據(jù)。旁路方式與直路不同的是,為了減輕在進(jìn)行SSL加解密時(shí)的運(yùn)行負(fù)擔(dān),也可以獨(dú)立出SSL加速設(shè)備,在SSL VPN Server 接收到HTTPS 請(qǐng)求時(shí)將SSL加密的過(guò)程交給SSL加速設(shè)備來(lái)處理,當(dāng)SSL加速設(shè)備處理完之后再將數(shù)據(jù)轉(zhuǎn)發(fā)給SSL VPN Server 。 </p><p>　　SSL VPN的安全性</p>

66、<p>　　保密性就是對(duì)抗對(duì)手的被動(dòng)攻擊,保證信息不泄漏給未經(jīng)授權(quán)的人。由于使用的是SSL協(xié)議,該協(xié)議是介于 HTTP層及TCP 層的安全協(xié)議。傳輸?shù)膬?nèi)容是經(jīng)過(guò)加密的。SSL VPN通過(guò)設(shè)置不同級(jí)別的用戶,設(shè)置不同級(jí)別的權(quán)限來(lái)屏蔽非授權(quán)用戶的訪問(wèn)。用戶的設(shè)置可以有設(shè)置帳戶、使用證書、Radius機(jī)制等不同的方式。SSL數(shù)據(jù)加密的安全性由加密算法來(lái)保證,各家公司的算法可能都不一樣。黑客想要竊聽(tīng)網(wǎng)絡(luò)中的數(shù)據(jù),就要能夠解開這些加密算

67、法后的數(shù)據(jù)包。 </p><p>　　完整性就是對(duì)抗對(duì)手主動(dòng)攻擊,防止信息被未經(jīng)授權(quán)的篡改。由于 SSL VPN 一般在 GATEWAY 上或者在防火墻后面,把企業(yè)內(nèi)部需要被授權(quán)外部訪問(wèn)的內(nèi)部應(yīng)用注冊(cè)到 SSL VPN上,這樣對(duì)于GATEWAY來(lái)講,需要開通 443 這樣的端口到SSL VPN即可,而不需要開通所有內(nèi)部的應(yīng)用的端口,如果有黑客發(fā)起攻擊也只能到SSL VPN這里,攻擊不到內(nèi)部的實(shí)際應(yīng)用。 </

68、p><p>　　可用性就是保證信息及信息系統(tǒng)確實(shí)為授權(quán)使用者所用。前面已經(jīng)提到,對(duì)于SSL VPN要保護(hù)的后臺(tái)應(yīng)用,可以為其設(shè)置不同的級(jí)別,只有相應(yīng)級(jí)別的用戶才可以訪問(wèn)到其對(duì)應(yīng)級(jí)別的資源,從而保證了信息的可用性。 </p><p>　　可控性就是對(duì)信息及信息系統(tǒng)實(shí)施安全監(jiān)控。SSL VPN作為一個(gè)安全的訪問(wèn)連接建立工具,所有的訪問(wèn)信息都要經(jīng)過(guò)這個(gè)網(wǎng)關(guān),所以記錄日志對(duì)于網(wǎng)關(guān)來(lái)說(shuō)非常重要。不僅要記

69、錄日志,還要提供完善的超強(qiáng)的日志分析能力,才能幫助管理員有效地找到可能的漏洞和已經(jīng)發(fā)生的攻擊,從而對(duì)信息系統(tǒng)實(shí)施監(jiān)控。 </p><p>　　加強(qiáng)計(jì)算機(jī)應(yīng)急反應(yīng)分隊(duì)建設(shè)</p><p>　　應(yīng)成立自動(dòng)化系統(tǒng)安全支援分隊(duì)，以解決計(jì)算機(jī)防御性的有關(guān)問(wèn)題。早在1994年，美國(guó)軟件工程學(xué)院就成立了計(jì)算機(jī)應(yīng)急反應(yīng)分隊(duì)。</p><p>　　第五章 網(wǎng)絡(luò)安全的主要技術(shù)</

70、p><p>　　5.1 網(wǎng)絡(luò)安全論證與防火墻</p><p>　　一、網(wǎng)絡(luò)安全認(rèn)證的分類</p><p><b>　　1、身份認(rèn)證</b></p><p>　　當(dāng)系統(tǒng)的用戶要訪問(wèn)系統(tǒng)資源時(shí)要求確認(rèn)是否是合法的用戶，這就是身份認(rèn)證。常采用用戶名和口令等最簡(jiǎn)易方法進(jìn)行用戶身份的認(rèn)證識(shí)別。</p><p>

71、<b>　　2、報(bào)文認(rèn)證</b></p><p>　　主要是通信雙方對(duì)通信的內(nèi)容進(jìn)行驗(yàn)證，以保證報(bào)文由確認(rèn)的發(fā)送方產(chǎn)生、報(bào)文傳到了要發(fā)給的接受方、傳送中報(bào)文沒(méi)被修改過(guò)。</p><p><b>　　3、訪問(wèn)授權(quán)</b></p><p>　　主要是確認(rèn)用戶對(duì)某資源的訪問(wèn)權(quán)限。</p><p><

72、b>　　4、數(shù)字簽名</b></p><p>　　數(shù)字簽名是一種使用加密認(rèn)證電子信息的方法，其安全性和有用性主要取決于用戶私匙的保護(hù)和安全的哈希函數(shù)。數(shù)字簽名技術(shù)是基于加密技術(shù)的，可用對(duì)稱加密算法、非對(duì)稱加密算法或混合加密算法來(lái)實(shí)現(xiàn)。</p><p><b>　　二、放火墻技術(shù)</b></p><p>　　防火墻是網(wǎng)絡(luò)訪問(wèn)控制

73、設(shè)備，用于拒絕除了明確允許通過(guò)之外的所有通信數(shù)據(jù)，它不同于只會(huì)確定網(wǎng)絡(luò)信息傳輸方向的簡(jiǎn)單路由器，而是在網(wǎng)絡(luò)傳輸通過(guò)相關(guān)的訪問(wèn)站點(diǎn)時(shí)對(duì)其實(shí)施一整套訪問(wèn)策略的一個(gè)或一組系統(tǒng)。大多數(shù)防火墻都采用幾種功能相結(jié)合的形式來(lái)保護(hù)自己的網(wǎng)絡(luò)不受惡意傳輸?shù)墓?，其中最流行的技術(shù)有靜態(tài)分組過(guò)濾、動(dòng)態(tài)分組過(guò)濾、狀態(tài)過(guò)濾和代理服務(wù)器技術(shù)，它們的安全級(jí)別依次升高，但具體實(shí)踐中既要考慮體系的性價(jià)比，又要考慮安全兼顧網(wǎng)絡(luò)連接能力。此外，現(xiàn)今良好的防火墻還采用了VPN

74、、檢視和入侵檢測(cè)技術(shù)。</p><p>　　防火墻的安全控制主要是基于IP地址的，難以為用戶在防火墻內(nèi)外提供一致的安全策略；而且防火墻只實(shí)現(xiàn)了粗粒度的訪問(wèn)控制，也不能與企業(yè)內(nèi)部使用的其他安全機(jī)制（如訪問(wèn)控制）集成使用；另外，防火墻難于管理和配置，由多個(gè)系統(tǒng)（路由器、過(guò)濾器、代理服務(wù)器、網(wǎng)關(guān)、保壘主機(jī)）組成的防火墻，管理上難免有所疏忽。 </p><p><b>　　5.2 數(shù)據(jù)加

75、密</b></p><p>　　在傳統(tǒng)支付系統(tǒng)中,偽造現(xiàn)金、偽造簽名、拒付支票等是商品交易中的風(fēng)險(xiǎn)。在電子支付系統(tǒng)中,由于知道私鑰的任何人都能以買方的身份產(chǎn)生數(shù)字簽名,連續(xù)購(gòu)買行為之間的關(guān)系可以被跟蹤出來(lái),電子數(shù)字文檔復(fù)制不影響原文檔,所以,電子支付系統(tǒng)存在著與傳統(tǒng)支付系統(tǒng)類似的風(fēng)險(xiǎn),而且風(fēng)險(xiǎn)可能更大。</p><p>　　加密技術(shù)是電子商務(wù)安全的一項(xiàng)基本技術(shù),它是認(rèn)證技術(shù)的基

76、礎(chǔ)。采用加密技術(shù)對(duì)信息進(jìn)行加密,是最常見(jiàn)的安全手段。加密技術(shù)是一種主動(dòng)的信息安全防范措施,其原理是利用一定的加密算法,將明文轉(zhuǎn)換成為無(wú)意義的密文,阻止非法用戶理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性。目前,在電子商務(wù)中,獲得廣泛應(yīng)用的兩種加密技術(shù)是對(duì)稱密鑰加密體制(私有密鑰加密體制)和非對(duì)稱密鑰加密體制(公開密鑰加密體制)。它們的主要區(qū)別在于所使用的加密和解密的密碼是否相同。</p><p>　　對(duì)數(shù)據(jù)進(jìn)行有效加密與解

77、密,稱為密碼技術(shù),即數(shù)據(jù)機(jī)密性技術(shù)。其目的是為了隱蔽數(shù)據(jù)信息,將明文偽裝成密文,使機(jī)密性數(shù)據(jù)在網(wǎng)絡(luò)上安全地傳遞而不被非法用戶截取和破譯。偽裝明文的操作稱為加密,合法接收者將密文恢復(fù)出原明文的過(guò)程稱為解密,非法接收者將密文恢復(fù)出原明文的過(guò)程稱為破譯。密碼是明文和加密密鑰相結(jié)合,然后經(jīng)過(guò)加密算法運(yùn)算的結(jié)果。加密包括兩個(gè)元素,加密算法和密鑰。加密時(shí)所使用的信息變換規(guī)則稱為加密算法,是用來(lái)加密的數(shù)學(xué)函數(shù),一個(gè)加密算法是將普通的文本(或者可以理解

78、的信息)與一串字符串即密鑰結(jié)合運(yùn)算,產(chǎn)生不可理解的密文的步驟。密鑰是借助一種數(shù)學(xué)算法生成的,它通常是由數(shù)字、字母或特殊符號(hào)組成的一組隨機(jī)字符串,是控制明文和密文變換的唯一關(guān)鍵參數(shù)。對(duì)于相同的加密算法,密鑰的位數(shù)越多,破譯的難度就越大,安全性就越好。目前,電子商務(wù)通信中常用的有私有(對(duì)稱)密鑰加密法和公開(非對(duì)稱)密鑰加密法。</p><p><b>　　私有密鑰加密法</b></p&g

79、t;<p>　　私有密鑰加密法的定義：私有密鑰加密,指在計(jì)算機(jī)網(wǎng)絡(luò)上甲、乙兩用戶之間進(jìn)行通信時(shí),發(fā)送方甲為了保護(hù)要傳輸?shù)拿魑男畔⒉槐坏谌礁`取,采用密鑰A對(duì)信息進(jìn)行加密而形成密文M并發(fā)送給接收方乙,接收方乙用同樣的一把密鑰A對(duì)收到的密文M進(jìn)行解密,得到明文信息,從而完成密文通信目的的方法。這種信息加密傳輸方式,就稱為私有密鑰加密法。上述加密法的一個(gè)最大特點(diǎn)是,信息發(fā)送方與信息接收方均需采用同樣的密鑰,具有對(duì)稱性,所以私有密

80、鑰加密又稱為對(duì)稱密鑰加密。</p><p>　　私有密鑰加密法使用過(guò)程: 具體到電子商務(wù),很多環(huán)節(jié)要用到私有密鑰加密法。例如,在兩個(gè)商務(wù)實(shí)體或兩個(gè)銀行之間進(jìn)行資金的支付結(jié)算時(shí),涉及大量的資金流信息的傳輸與交換。這里以發(fā)送方甲銀行與接收方乙銀行的一次資金信息傳輸為例,來(lái)描述應(yīng)用私有密鑰加密法的過(guò)程:銀行甲借助專業(yè)私有密鑰加密算法生成私有密鑰A,并且復(fù)制一份密鑰A借助一個(gè)安全可靠通道(如采用數(shù)字信封)秘密傳遞給銀行乙

81、;銀行甲在本地利用密鑰A把信息明文加密成信息密文;銀行甲把信息密文借助網(wǎng)絡(luò)通道傳輸給銀行乙;銀行乙接受信息密文;銀行乙在本地利用一樣的密鑰A把信息密文解密成信息明文。這樣銀行乙就知道銀行甲的資金轉(zhuǎn)賬通知單的內(nèi)容,結(jié)束通信。</p><p>　　私有密鑰加密法常用算法: 世界上一些專業(yè)組織機(jī)構(gòu)研發(fā)了許多種私有密鑰加密算法,比較著名的有DES算法及其各種變形、國(guó)際數(shù)據(jù)加密算法IDEA 等。DES算法由美國(guó)國(guó)家標(biāo)準(zhǔn)局提

82、出, 1977年公布實(shí)施,是目前廣泛采用的私有密鑰加密算法之一,主要應(yīng)用于銀行業(yè)中的電子資金轉(zhuǎn)賬、軍事定點(diǎn)通信等領(lǐng)域,比如電子支票的加密傳送。經(jīng)過(guò)20多年的使用,已經(jīng)發(fā)現(xiàn)DES很多不足之處,隨著計(jì)算機(jī)技術(shù)進(jìn)步,對(duì)DES的破解方法也日趨有效,所以更安全的高級(jí)加密標(biāo)準(zhǔn)AES將會(huì)替代DES成為新一代加密標(biāo)準(zhǔn)。</p><p>　　私有密鑰加密法優(yōu)缺點(diǎn): 私有密鑰加密法的主要優(yōu)點(diǎn)是運(yùn)算量小,加解密速度快,由于加解密應(yīng)用同

83、一把密鑰而應(yīng)用簡(jiǎn)單。在專用網(wǎng)絡(luò)中由于通信各方相對(duì)固定、所以應(yīng)用效果較好。但是,私有密鑰加密技術(shù)也存在著以下一些問(wèn)題:一是分發(fā)不易。由于算法公開,其安全性完全依賴于對(duì)私有密鑰的保護(hù)。因此,密鑰使用一段時(shí)間后就要更換,而且必須使用與傳遞加密文件不同的途徑來(lái)傳遞密鑰,即需要一個(gè)傳遞私有密鑰的安全秘密渠道,這樣秘密渠道的安全性是相對(duì)的,通過(guò)電話通知、郵寄軟盤、專門派人傳送等方式均存在一些問(wèn)題。二是管理復(fù)雜,代價(jià)高昂。私有密鑰密碼體制用于公眾通信

84、網(wǎng)時(shí),每對(duì)通信對(duì)象的密鑰不同,必須由不被第三者知道的方式,事先通知對(duì)方。隨著通信對(duì)象的增加,公眾通信網(wǎng)上的密碼使用者必須保存所有通信對(duì)象的大量的密鑰。這種大量密鑰的分配和保存,是私有密鑰密碼體制存在的最大問(wèn)題。三是難以進(jìn)行用戶身份的認(rèn)定。采用私有密鑰加密法實(shí)現(xiàn)信息傳輸,只是解決了數(shù)據(jù)的機(jī)密性問(wèn)題,并不能認(rèn)證信息發(fā)送者的身份。若密鑰被泄露,如被非法獲取者猜出,則加密信息就可能被破譯,攻擊者還可用非法截取到的密鑰,以合法身份發(fā)送偽造信息。在

85、電子商務(wù)中,有可能存在欺騙,別</p><p><b>　　公開密鑰加密法</b></p><p>　　公開密鑰加密法定義與應(yīng)用原理: 公開密鑰加密法是針對(duì)私有密鑰加密法的缺陷而提出來(lái)的。是電子商務(wù)應(yīng)用的核心密碼技術(shù)。所謂公開密鑰加密,就是指在計(jì)算機(jī)網(wǎng)絡(luò)上甲、乙兩用戶之間進(jìn)行通信時(shí),發(fā)送方甲為了保護(hù)要傳輸?shù)拿魑男畔⒉槐坏谌礁`取,采用密鑰A對(duì)信息進(jìn)行加密而形成密文M并

86、發(fā)送給接收方乙,接收方乙用另一把密鑰B對(duì)收到的密文M進(jìn)行解密,得到明文信息完密文通信目的的方法。由于密鑰A、密鑰B這兩把密鑰中其中一把為用戶私有,另一把對(duì)網(wǎng)絡(luò)上的大眾用戶是公開的,所以這種信息加密傳輸方式,就稱為公開密鑰加密法。與私有(對(duì)稱)密鑰加密法的加密和解密用同一把密鑰的原理不同,公開密鑰加密法的加密與解密所用密鑰是不同的,不對(duì)稱,所以公開私有密鑰加密法又稱為非對(duì)稱密鑰加密法。</p><p>　　公開密鑰

87、加密法的應(yīng)用原理是:借助密鑰生成程序生產(chǎn)密鑰A與密鑰B,這兩把密鑰在數(shù)學(xué)上相關(guān),對(duì)稱作密鑰對(duì)。用密鑰對(duì)其中任何一個(gè)密鑰加密時(shí),可以用另一個(gè)密鑰解密,而且只能用此密鑰對(duì)其中的另一個(gè)密鑰解密。在實(shí)際應(yīng)用中,某商家可以把生成的密鑰A與密鑰B做一個(gè)約定,將其中一把密鑰如密鑰A保存好,只有商家自己知道并使用,不與別人共享,叫作私人密鑰;將另一把密鑰即密鑰B則通過(guò)網(wǎng)絡(luò)公開散發(fā)出去,誰(shuí)都可以獲取一把并能應(yīng)用,屬于公開的共享密鑰,叫做公開密鑰。如果一個(gè)

88、人選擇并公布了他的公鑰,其他任何人都可以用這一公鑰來(lái)加密傳送給那個(gè)人的消息。私鑰是秘密保存的,只有私鑰的所有者才能利用私鑰對(duì)密文進(jìn)行解密,而且非法用戶幾乎不可能從公鑰推導(dǎo)出私鑰。存在下面兩種應(yīng)用情況:一是任何一個(gè)收到商家密鑰B 的客戶,都可以用此密鑰B 加密信息,發(fā)送給這個(gè)商家,那么這些加密信息就只能被這個(gè)商家的私人密鑰A解密。實(shí)現(xiàn)保密性。二是商家利用自己的私人密鑰A對(duì)要發(fā)送的信息進(jìn)行加密進(jìn)成密文信息,發(fā)送給商業(yè)合作伙伴,那么這個(gè)加密信

89、息就只能被公開密鑰B解密。這樣,由于只能應(yīng)用公開密鑰B解密,根據(jù)數(shù)學(xué)相關(guān)關(guān)系可以斷定密文的形成一定是運(yùn)用了私人密</p><p>　　公開密鑰加密法使用過(guò)程: 具體到電子商務(wù),很多環(huán)節(jié)要用到公開密鑰加密法,例如在網(wǎng)絡(luò)銀行客戶與銀行進(jìn)行資金的支付結(jié)算操作時(shí),就涉及大量的資金流信息的安全傳輸與交換。以客戶甲與乙網(wǎng)絡(luò)銀行的資金信息傳輸為例,來(lái)描述應(yīng)用公開密鑰加密法在兩種情況下的使用過(guò)程。首先,網(wǎng)絡(luò)銀行乙通過(guò)公開密鑰加密

90、法的密鑰生成程序,生成自己的私人密鑰A與公開密鑰B并數(shù)學(xué)相關(guān),私人密鑰A由網(wǎng)絡(luò)銀行乙自己獨(dú)自保存,而公開密鑰B 已經(jīng)通過(guò)網(wǎng)絡(luò)某種應(yīng)用形式(如數(shù)字證書)分發(fā)給網(wǎng)絡(luò)銀行的眾多客戶,當(dāng)然客戶甲也擁有一把網(wǎng)絡(luò)銀行乙的公開密鑰B。</p><p>　　1、客戶甲傳送一“支付通知”給網(wǎng)絡(luò)銀行乙,要求“支付通知”在傳送中是密文,并且只能由網(wǎng)絡(luò)銀行乙解密知曉,從而實(shí)現(xiàn)了定點(diǎn)保密通信。客戶甲利用獲得的公開密鑰B 在本地對(duì)“支付通知

91、”明文進(jìn)行加密,形成“支付通知”密文,通過(guò)網(wǎng)絡(luò)將密文傳輸給網(wǎng)絡(luò)銀行乙。網(wǎng)絡(luò)銀行乙收到“支付通知”密文后,發(fā)現(xiàn)只能用自己的私人密鑰A進(jìn)行解密形成“支付通知”明文,斷定只有自己知曉“支付通知”的內(nèi)容,的確是發(fā)給自己的。</p><p>　　2、網(wǎng)絡(luò)銀行乙在按照收到的“支付通知”指令完成支付轉(zhuǎn)賬服務(wù)后, 必須回送客戶甲“支付確認(rèn)”,客戶甲在收到“支付確認(rèn)”后,斷定只能是網(wǎng)絡(luò)銀行乙發(fā)來(lái)的,而不是別人假冒的,將來(lái)可作支付憑

92、證,從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)銀行業(yè)務(wù)行為的認(rèn)證,網(wǎng)絡(luò)銀行不能隨意否認(rèn)或抵賴。網(wǎng)絡(luò)用戶乙在按照客戶甲的要求完成相關(guān)資金轉(zhuǎn)賬后,準(zhǔn)備一個(gè)“支付確認(rèn)”明文,在本地利用自己的私人密鑰A對(duì)“支付確認(rèn)”明文進(jìn)行加密,形成“支付確認(rèn)”密文,通過(guò)網(wǎng)絡(luò)將密文傳輸給客戶甲?？蛻艏资盏健爸Ц洞_認(rèn)”密文后,雖然自己有許多密鑰,有自己的,也有別人的,卻發(fā)現(xiàn)只能用獲得的網(wǎng)絡(luò)銀行乙的公開密鑰B 進(jìn)行解密,形成“支付確認(rèn)”明文,由于公開密鑰B 只能解密由私人密鑰A加密的密文,而

93、私人密鑰A只有網(wǎng)絡(luò)銀行乙所有,因此客戶甲斷定這個(gè)“支付確認(rèn)”只能是網(wǎng)絡(luò)銀行乙發(fā)來(lái)的,不是別人假冒的,可作支付完成的憑證。</p><p>　　公開密鑰加密法算法: 當(dāng)前最著名、應(yīng)用最廣泛的公開密鑰系統(tǒng)是RSA (取自三個(gè)創(chuàng)始人的名字的第一個(gè)字母)算法。目前電子商務(wù)中大多數(shù)使用公開密鑰加密法進(jìn)行加解密和數(shù)字簽名的產(chǎn)品和標(biāo)準(zhǔn)使用的都是RSA算法。RSA算法是基于大數(shù)的因子分解,而大數(shù)的因子分解是數(shù)學(xué)上的一個(gè)難題,其難

94、度隨數(shù)的位數(shù)加多而提高。</p><p>　　公開密鑰加密法優(yōu)缺點(diǎn): 優(yōu)點(diǎn)是可以在不安全的媒體上通信雙方交換信息,不需共享通用密鑰,用于解密的私鑰不需發(fā)往任何地方,公鑰在傳遞與發(fā)布過(guò)程中即使被截獲,由于沒(méi)有與公鑰相匹配的私鑰,截獲公鑰也沒(méi)有意義。能夠解決信息的否認(rèn)與抵賴問(wèn)題,身份認(rèn)證較為方便。密鑰分配簡(jiǎn)單,公開密鑰可以像電話號(hào)碼一樣,告訴每一個(gè)網(wǎng)絡(luò)成員,商業(yè)伙伴需要好好保管的只是一個(gè)私人密鑰。而且密鑰的保存量比起

95、私人密鑰加密少得多,管理較為方便。最大的缺陷就在于它的加解密速度。</p><p><b>　　兩種加密法的比較:</b></p><p>　　通過(guò)DES算法和RSA算法的比較說(shuō)明公開密鑰加密法和私有密鑰加密法的區(qū)別:在加密、解密的處理效率方面, DES算法明顯優(yōu)于RSA 算法, 即DES算法快得多;在密鑰的分發(fā)與管理方面, RSA算法比DES算法更加優(yōu)越;在安全性方

96、面,只要密鑰夠長(zhǎng),如112b密鑰的DES算法和1024b的RSA算法的安全性就很好,目前還沒(méi)找到在可預(yù)見(jiàn)的時(shí)間內(nèi)破譯它們的有效方法;在簽名和認(rèn)證方面,DES算法從原理上不可能實(shí)現(xiàn)數(shù)字簽名和身份認(rèn)證,但RSA算法能夠方便容易的進(jìn)行數(shù)字簽名和身份認(rèn)證。</p><p>　　基于以上比較的結(jié)果可以看出,私有密鑰加密法與公開密鑰加密法各有長(zhǎng)短,公開密鑰加密在簽名認(rèn)證方面功能強(qiáng)大,而私有密鑰加密在加/解密速度方面具有很大優(yōu)

97、勢(shì)。為了充分發(fā)揮對(duì)稱加密法和非對(duì)稱加密法各自的優(yōu)點(diǎn),在實(shí)際應(yīng)用中通常將這兩種加密法結(jié)合在一起使用,比如:利用DES來(lái)加密信息,而采用RSA 來(lái)傳遞對(duì)稱加密體制中的密鑰。這樣不僅數(shù)據(jù)信息的加解密速度快,同時(shí)保障了密鑰傳遞的安全性。數(shù)據(jù)加密技術(shù)是信息安全的基本技術(shù),在網(wǎng)絡(luò)中使用的越來(lái)越廣泛。針對(duì)不同的業(yè)務(wù)要求可以設(shè)計(jì)或采取不同的加密技術(shù)及實(shí)現(xiàn)方式。另外還要注意的是,數(shù)據(jù)加密技術(shù)所討論的安全性只是暫時(shí)的,因此還要投入對(duì)密碼技術(shù)新機(jī)制、新理論的

98、研究才能滿足不斷增長(zhǎng)的信息安全需求。</p><p><b>　　結(jié) 論</b></p><p>　　隨著現(xiàn)在計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)應(yīng)用在現(xiàn)在社會(huì)的各個(gè)領(lǐng)域，網(wǎng)絡(luò)安全問(wèn)題已經(jīng)成為不可回避的現(xiàn)實(shí)，在色彩繽紛的Internet的背后，病毒的泛濫、黑客的攻擊、日益猖狂的網(wǎng)絡(luò)犯罪、個(gè)人隱私的泄漏，已經(jīng)嚴(yán)重影響了正常的網(wǎng)絡(luò)系統(tǒng)運(yùn)行。因此，人們開始意識(shí)到了抵御病毒侵?jǐn)_，防范黑客

99、攻擊保障操作系統(tǒng)和個(gè)人數(shù)據(jù)安全的重要性。本文主要通過(guò)論述了網(wǎng)絡(luò)安全的分析、傳播方式、破壞性。主要有以下的幾個(gè)建議來(lái)解決網(wǎng)絡(luò)安全。一是從單機(jī)到網(wǎng)絡(luò)的各個(gè)方面的安全性機(jī)制（防火墻、加密設(shè)備和其他的許多相關(guān)部件都有著重要的作用）。二是網(wǎng)絡(luò)安全有基于內(nèi)因和外因兩個(gè)反面，內(nèi)因的解決方案相對(duì)比較簡(jiǎn)單，可通過(guò)合理配置網(wǎng)絡(luò)權(quán)限、加強(qiáng)管理的手段來(lái)解決。對(duì)于公共網(wǎng)絡(luò)來(lái)說(shuō)，由于其開放性的特點(diǎn)，外部的非法入侵和破壞比較難于控制，通常利用安裝放火墻的方法解決。而

100、放火墻的配置問(wèn)題對(duì)防火墻本身有著最直接和最重要的影響。網(wǎng)絡(luò)安全問(wèn)題中，它扮演重要的角色。</p><p><b>　　致謝</b></p><p>　　本論文是在導(dǎo)師xx輔導(dǎo)員的悉心指導(dǎo)下完成的。導(dǎo)師淵博的專業(yè)知識(shí)，嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度，精益求精的工作作風(fēng)，誨人不倦的高尚師德，嚴(yán)以律己、寬以待人的崇高風(fēng)范，樸實(shí)無(wú)華、平易近人的人格魅力對(duì)我影響深遠(yuǎn)。不僅使我樹立了遠(yuǎn)大的學(xué)術(shù)目

101、標(biāo)、掌握了基本的研究方法，還使我在此次畢業(yè)設(shè)計(jì)過(guò)程中我也學(xué)到了許多了關(guān)于電子商務(wù)方面的知識(shí)。本論文從選題到完成，每一步都是在導(dǎo)師的指導(dǎo)下完成的，傾注了導(dǎo)師大量的心血。在此，謹(jǐn)向?qū)煴硎境绺叩木匆夂椭孕牡母兄x！</p><p>　　光陰荏苒，日月如梭，在xx大學(xué)的四年學(xué)習(xí)時(shí)間即將過(guò)去。在漫長(zhǎng)的人生旅程中，四年時(shí)間并不算長(zhǎng)，但對(duì)我而言，是磨礪青春、揮灑書生意氣的四年，也是承受師恩、增長(zhǎng)才干、提高學(xué)識(shí)的四年。畢業(yè)后我將

102、重新投入到火熱的工作和事業(yè)中。在此，謹(jǐn)對(duì)培育我的母校、教導(dǎo)我的老師、幫助我的同學(xué)們致予最誠(chéng)摯的謝意和敬意。 </p><p><b>　　參考文獻(xiàn)</b></p><p>　　[1]李文景《網(wǎng)絡(luò)管理原理及技術(shù)》人民郵電出版社.</p><p>　　[2]余紹軍,彭銀香. 電子商務(wù)安全與數(shù)據(jù)加密技術(shù)淺析[ J ].中國(guó)管理信息化(綜合版)

103、, 2007, (04).</p><p>　　[3]王俊杰. 電子商務(wù)安全問(wèn)題及其應(yīng)對(duì)策略[ J ]. 特區(qū)經(jīng)濟(jì),2007, 07).</p><p>　　[4]秦昌友. 淺析電子商務(wù)的安全技術(shù)[ J ]. 蘇南科技開發(fā),2007, (08).</p><p>　　[5]吳德佩,趙丹. 電子商務(wù)的安全問(wèn)題及技術(shù)手段[ J ]. 光盤技術(shù), 2007, (05).&

104、lt;/p><p>　　[6]JOHN. Password in the computer network technology[ J ]. Information security and secrecy of communications, 2006,(10).</p><p>　　[7]黃京華.《電子商務(wù)教程》，清華大學(xué)出版社，2006年.</p><p>　　[