首页
会员中心
到顶部
到尾部
计算机

电子商务系统中的Web安全

时间:2020/10/27 9:19:52  作者:  来源:  查看:0  评论:0
内容摘要: 1 本课题所涉及的问题在国内(外)的研究现状综述1.1 课题背景简介        自上世纪九十年代初我国接入Internet以来,短短十几年的发展历程,我国上网用户的总人数,1997年第一次调查结果为62万人,去年年底上升至1...

 1 本课题所涉及的问题在国内(外)的研究现状综述

1.1 课题背景简介
        自上世纪九十年代初我国接入Internet以来,短短十几年的发展历程,我国上网用户的总人数,1997年第一次调查结果为62万人,去年年底上升至1.11亿人。互联网的迅速普及,更让国内电子商务的发展水到渠成。但是,在电子商务快速发展的同时,网络安全的问题也始终笼罩在它的头上。从最新的互联网安全威胁报告看:大约有16%的攻击是针对电子商务的,这表明攻击者正从以出名为目的转向以获得经济利益为目的。保证安全,已是整个电子商务系统的当务之急、人心所向。而无论是B2B还是B2C,Web都是它们最初的也是最基本的界面,由此Web的安全问题便突显出来,它也是整个网络安全首当其冲的要害问题。
        何谓Web,通常指的是WWW(World Wide Web)的简称,Web最初是以开发一个人类知识为目标,并为某一项目的协作者提供相关信息及交流思想的途径。Web采用了C/S的软件体系结构,为了发布信息的通用性,Web依赖于共同的寻址句法,共同的协议集,数据格式的协商处理。由于Web的开放性、灵活性以及其空前广泛的应用,Web站点的建立日渐增加。同时,从国际WWW安全小组CERT(Comouter Emergency Response Team)的统计资料看,Internet中与Web相关的安全事故也呈上升趋势。为此,W3组织、各大学、研究机构以及一些公司为了保证Web的安全性,从各种途径对其进行了广泛的研究。
        何谓电子商务,电子商务指的是利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动。电子商务的高效率和低成本使得越来越多的企业参与这种商业交易模式,推动全球经济发展,成为世界经济发展的趋势。1995年,全球电子商务贸易总额才5亿美元,到2005年,电子商务规模达到2万多亿美元。由此可见,电子商务具有广阔的应用前景,是网络技术应用的全新发展方向。Internet本身所具有饿开放性、全球性、低成本、高效率的特点,成为电子商务的内在特征,并使得电子商务大大超越了作为一种新的贸易形式所具有的价值,它不仅会改变企业本身的生产、经营、管理活动,而且将影响到整个社会的经济运行与结构。电子商务是一项社会化的系统工程,其发展受到信息化基础、安全支付、信用体系、配送环节和法律环境等诸多因素的影响,信息技术的飞速发展使得电子商务的模式也在不断发生着变化。
        从技术的角度看,电子商务经历了传统电子商务、电子数据交换和Web电子商务三大阶段,现在正处于基于Web服务的电子商务阶段。由于电子商务系统的复杂性,它所暴露的安全隐患是显而易见的,也是一直备受人们的关注的问题,如何才能进一步改善当前的电子商务安全环境,提高电子商务交易的安全性和可靠性,唯有通过深入研究当前基于Web的电子商务应用的整个安全体系架构,主要从最易受到安全威胁的几个方面来做更进一步的完善和改进,才是研究当前Web电子商务安全的意义所在。
1.2 可行性分析
        针对Web安全在电子商务系统中的重要性,与此相关的研究也在不断的发展和深入,结合电子商务对于Web安全的特定要求,尤其是从应用安全的角度,一系列安全技术研究及其具体措施正在得到不断的改进和完善。利用这些已有的技术研究成果,可以在一定程度上对现今电子商务系统中Web安全起到较好的保护作用,而且对提高电子商务系统的整体安全性也是至关重要的。
1.3 调研报告   
        首先,从Web安全的角度来看,由于Web系统设计的最高目标是考虑如何使各种服务软件尽可能地到达无缝连接,还有在系统设计当初也没考虑其安全问题,使得对Web 安全的的研究困难重重。另外,Web环境的以下特点也使得研究变得复杂化:与所在的位置无关、无状态性、代码和用户的移动性、通信双方互为陌生或不可信。
        保护Web服务软件极其主机环境的安全,首先要认清其主要威胁或可能的脆弱点。Web安全的根本威胁来自复杂性、访问控制、可说明性和审计。
        其次,从电子商务的安全需求来看,电子商务系统所面临的安全威胁主要有4种,即信息窃取、信息修改、身份假冒、信息抵赖等。为了要抵御上述安全威胁,所采取的安全措施必须满足加密、身份认证、数字签名、数据完整性和不可抵赖性等安全需求。
        身份认证:在进行交易前,首先必须确认对方的身份,以防止参与交易方的身份被假冒。身份认证技术通过验证被认证对象的一个或多个参数的有效性,来证实被认证对象身份是否有效的一个过程。
        访问控制:对不同的信息资源和用户设定不同的权限,系统根据每个访问者的身份确定他的访问权限,保证只允许授权的用户访问授权的资源。
        数据的隐秘性:对敏感信息进行加密,即使别人截获数据也无法得到其内容,确保敏感信息不会泄露给非授权方。
        数据的完整性:传送过程中能够验证受到信息是否完整,防止蓄意修改。
        不可抵赖性:交易一旦达成,发送方不能否认自己的发送行为,接收方则不能否认他所收的信息。
1.4 文献综述
   电子商务活动中Web安全问题.  张振国,张楠
    集团经济研究,2004(12) 
    从最新的互联网安全威胁报告看:大约有16%的攻击是针对电子商务的,这表明攻击者正从以出名为目的转向以获得经济利益为目的。保证安全,已是整个电子商务系统的当务之急、人心所向。而无论是B2B还是B2C,Web都是它们最初的也是最基本的界面,由此Web的安全问题便突显出来,它也是整个网络安全首当其冲的要害问题。
   电子商务的安全问题. 向剑文,余辰,李锋,何炎祥
计算机应用,2001.7
首先,谈到了电子商务的安全因素,主要从保密性、完整性、即需性、可靠性/不可抵赖性/鉴别这几方面加以了叙述。然后介绍了电子商务的安全威胁,主要是电子商务链中最重要的三个环节,包括客户端、通信信道、电子商务服务器这三个方面。最后简单介绍了电子商务的安全体系结构。
电子商务安全系统研究.  聂广礼
 科技情报开发与经济,2005(16)
首先简要分析了在电子商务系统中存在的安全隐患,以及针对这些隐患的安全,然后着重分析了保障电子商务系统安全所采取的方法,介绍了加密系统及利用加密方法针对安全需求所采取的各种安全措施。
电子商务的安全技术架构. 周贤善
 孝感学院学报,2005(11)
    从电子商务系统对安全性的需求出发,探讨了电子商务安全技术体系结构,主要从认证性、保密性和不可否认性的机制.电子商务系统的关键是保证交易数据和密码
技术、认证技术、防火墙技术和VPN技术方面论述了保证电子信息的完整性、可程的安全性,Internet本身的开放性使电子商务系统面临着各种各样的安全威胁。因此对其安全性要求很高,要求电子商务系统具备:防止交易信息被非法截获或读取的保密性、防止交易过程被跟踪的匿名性、防止交易信息丢失并保证信息传递次序统一的完整性、防止假冒身份在网上交易、诈骗的可靠性、防止交易各方对已做交易无法抵赖的抗否认性以及原子性等安全需求。
 
Web安全技术综述.  杨波,朱秋萍
武汉大学学报,2002(10)
其中主要讲到Web服务器的安全问题,分别从服务器的配置问题、Root的设置、SSI(Server Side Include)问题、认证和鉴权、脚本问题这几方面来阐述目前Web服务器所存在的安全漏洞。对Web服务器安全影响最大的是服务器的配置问题,不合理的系统配置有时会产生致命的安全问题,然后举例从基于UNIX操作系统平台的Web服务器—APACHE服务器来说明如何对它进行正确的配置才能保证服务器的安全。
 
   Web安全问题.  罗铁坚,徐海智,董占球
计算机应用, 2004(4)
本文主要讨论了Web体系结构的特点与其安全问题的关系,列举了Web饿安全风险,并给出对Web攻击的方法的分类,通过一个攻击例子的分析,说明Web安全问题的复杂性。讨论了对Web服务软件及其主机环境安全的根本威胁,最后指出目前研究Web安全问题的不足之处,提出一种可能的研究方法和途径。
 
电子商务系统的安全性.  于鹏
中国科技信息, 2006(1)
主要讨论了电子商务系统中Web通信的安全问题及如何确保其安全性的一些应用技术,其中着重介绍了密码技术的应用问题:利用密码技术可以把计算机重要信息经过加密从源端发送到目的端后解密还原为原文。计算机加密/ 解密技术是公认的能担当计算机信息的保密性和真实性的最有效的工具。常见的加密方法有传统的密钥密码方法和公开的密钥密码方法两大类,分别以DES和RSA算法为代表。
 
电子商务系统的安全问题及对策.  冯昊
 重庆广播电视大学学报,2005(12)
 主要介绍了电子商务安全的解决方案,先从电子商务应用层面来解决和提高其安全性,主要应用的安全技术有数据加密技术、数据信封、数字摘要、数字签名。再从网络层的角度,通过采用安全通信协议,如SSL协议,。以及对于电子商务具体应用的专门的安全电子交易协议SET。
 
Dynamic load balancing on Web-server systems . CARDELLINI J,COLAJANNI M,IEEE Internet Computing , May 1999
Abstract: Trust management is a hot topic of Web security research in
Recent years. In this paper, the emerging of trust management is presented.Its concepts and modles are described in detail,and several
typical trust management systems and trust valuation modles are introduced.The existitng problems of current works and future research
 
direction are discussed.
 
  Study on Security of Electronic Commerce System .  ZHANG LI.
     Journal  of  Anyang  University, Novermeber  2004
    Abstract: Today’s enterprises are facing intense competition. Being a business as well as a competition method.electronic commerce is adopted by many enterprises to excel in this information era. This paper analyzes the business circumstance and the enterprises responses, and how EC helps enterprises maintain their competitive advantages. It then presents a common in frastructure model of EC for today’s modern enterprises.
 
The Researchon Modern Enterprisesp Electronic Commerce Infrastructure
ZHANG Xin-rui,CHEN Li . Management Department of USST. 2000(9)
Abstract:Today’s enterprise are facing intense competition.Being a business  as well as a competition method, electronic commerce is adopted by many enterprises to excel in this information era. This paper analyzes the business circumstance and the enterprises responses, and how EC helps enterprises maintain their competitive advantages. It then presents a common infrastructure model of EC for today’s modern enterprises.  
      
2.设计(论文)要解决的问题和拟采用的研究方法
2.1 论文框架
 
第一章 序言
1.1课题背景简介
1.2可行性分析
1.3调研报告
1.4 文献综述                              
 
第二章 电子商务系统概述                       
        电子商务是指采用数字化电子方式进行商务数据交换和开展商务业务活动。从系统的角度来看,电子商务是一个集成的信息系统,由支持商务活动的各种电子技术手段的集合而成。从应用的角度看,它是一个复杂的应用系统,面向用户提供各种商业经营和管理服务,直接实现电子商务的多种功能。电子商务系统是涉及商务活动的各方,包括商店、消费者、银行或金融机构、信息公司或证券公司和政府等,利用计算机网络技术全面实现在线交易电子化的过程。电子商务系统的关键在于完全实现在线支付功能。所以为了顺利完成整个交易过程,需要建立电子商务服务系统、通用的电子交易支付方法和机制,还要确实保证参加交易各方和所有合作伙伴都能够安全可靠地进行全部商业活动。
1.   电子商务系统的框架结构
        一个完整的电子商务系统框架:最低层是网络基础设施,包括了电信网Internet等网络通信平台,依次从下到上建立起各种应用服务,如WWW服务、安全论证服务、商务服务等,最高层是电子商务应用,直接为用户提供具体应用服务和解决方案。 
2.   电子商务体系结构(如下图)
        从电子商务系统内部结构来看,电子商务系统是一个多层结构(如下图)。一般将其划分为四层结构:
        底层是网络及操作系统层(Network OS Services),主要提供硬件及底层的一些支持。
        第二层是基础服务层(Infrastructure Services),主要包括开发工具、组件技术、数据库支持、安全及系统管理等一般信息系统都具备的部分。
        第三层是应用服务层(Application Services),主要包括应用通信、事务处理、数据库连接等一些公用的应用支持。
        第四层是电子商务应用及解决方案层,主要包括电子市场、电子银行等适合各专业领域的电子商务应用服务。
 
3.电子商务系统模块化结构(如下图)
用结构化方法分析和研究电子商务系统,一般将其划分为六个子系统:
  (1)基本支持子系统:由计算机及网络通信设备、各种系统软件组成,实现Internet功能,提供系统最基本的支持平台。
  (2)数据管理子系统:商品数据管理、客户数据管理等。                      
  (3)安全认证子系统:数据安全、Intranet安全、外部非法用户的入侵检测、身份验证等。
  (4)购物子系统:商品陈列、分类查询、购物车等。
  (5)支付子系统:电子货币支付、各种折扣、银行结算。
  (6)物流管理子系统:商品即时配送、有关商家的联络、客户反馈等。
        由以上分析可见,电子商务系统是一个动态的应用系统,由于其本身的复杂性,虽然随着网络技术的发展和有关政策法规的逐渐完善,不断更新技术,使电子商务系统的功能在更加完善和成熟,但依旧暴露出种种安全问题,这些安全问题的存在将严重影响电子商务的进一步普及和发展,在下一章中我们将重点探讨电子商务系统中存在的安全问题。
                   
第三章   电子商务系统中的Web安全
        要了解电子商务的安全需求,需要考查从客户端到电子商务服务器的整个过程。在考查“电子商务链”时,为保证安全的电子商务所必须保护的部分包括客户端、通信信道和电子商务服务器。而无论是B2B还是B2C电子商务网站模式,Web都是它们最基本的界面,下面我们就从Web客户端、Web通信信道和Web服务器这三个部分来分析电子商务所面临的安全性问题。
1.   对Web服务器的安全威胁
        客户端、Internet和服务器的电子商务链上第三个环节是服务器,也是很重要的一个环节。对企图破坏或非法获取信息的人来说,服务器有很多弱点可被利用。其中一个入口是Web服务器及其软件。
大多数计算机上所运行的Web服务器可在不同权限下运行。在大多数情况下,Web服务器提供的是在低权限下能完成的普通服务和任务。如果Web服务器在高权限下运行,破坏者就可利用Web服务器的能力执行高权限的指令。另外,当Web服务器要求你输入用户名和口令时,其安全性也会大打折扣。当你访问同一Web服务器上受保护区域内的多个页面时,用户名和口令就可能被泄露。因为Web是无状态的,记录用户名和口令的最方便的方式就是将用户的保密信息存在他计算机上的cookie里,这样服务器就可以请求计算机发出cookie的方式来请求得到确认。这时会出现麻烦,因为cookie信息可能是以不安全的方式传输,从而被窃取者复制。
 
2.   对Web通信信道的安全威胁
        (1)对保密性的安全威胁:保密是在大众媒体上最常提及的一种安全威胁。开展电子商务的一个很大安全威胁就是敏感信息或个人信息被窃。人们在使用Web的时候,自己的信息始终在不断的暴露之中。其中包括你的IP地址和所用的浏览器,这也是破坏保密性的例子。有的网站提供一种“匿名浏览”的服务,可使你所访问的网站看不到你的个人信息,其工作原理是将网站地址放在你要访问的URL地址前,这就使得其他网站只能看到该网站的信息而不是你的信息。
        (2)对完整性的安全威胁:对完整性的安全威胁也叫主动搭线窃取。当未经授权方改变了信息流是就构成了对完整性的安全威胁。未保护的银行交易很易受到对完整性的攻击。当然,破坏了完整性也就意味着破坏了保密性,因为能改变信息的窃取者肯定能阅读此信息。完整性和保密性间的差别在于:对保密性的安全威胁是指某人看到了他不应看到的信息,而对完整性的安全威胁是指某人改动了关键的传输。破坏他人网站就是破坏完整性的例子。破坏他人网站是指以电子方式破坏某个网站的网页。破坏他人网站的行为相当于破坏他人财产或在公共场所涂鸦。当某人用自己的网页替换某个网站的正常内容时,就说发生了破坏他人网站的行为。 
 
3.   对Web客户端的安全威胁
   在人们的日常生活中,常忽略客户端存在的危险,其实在Web服务器与Web客户端的连接中,不但Web服务器存在着各种危险,Web客户端也同样存在着各种危险,这些危险不仅会对客户端主机产生影响,对用户也会产生影响。对于最终用户而言,危险通常和个人隐私有关,如个人的信用卡信息,以及个人的社会保险号码等重要信息。了解客户端所存在的危险的知识,可有效地保护用户,保护客户端主机,保护与客户端主机相关的所有其他计算机,等等。通常对于Web客户端的安全威胁主要来自不同形式的活动内容:
        何谓活动内容,是指在页面上嵌入的对用户透明的程序,它可完成一些小动作。它有多种形式,最知名的活动内容形式主要有Java小程序、ActiveX控件、JavaScript和VBScript.当你浏览一个带有活动内容的Web页面是,小应用程序会随你所看到页面自动下载下来,并开始在你的计算机上运行。这时就存在一个问题,企图破坏客户端的人可将带有破坏性的页面放入表面看起来完全无害的Web页面,也就是通常说的“木马攻击”。它可以立即运行并破坏你的计算机,窃取计算机上的保密信息,并将这些信息发送给它的Web服务器,构成保密性侵害。通过Web页面潜入的恶意程序可以窃取存在cookie里的信用卡卡号、用户名、口令等重要信息,甚至破坏客户端上的文件。
 
        第四章   针对电子商务系统中Web安全问题的相关解决对策
结合毕业论文的实际研究内容,同时在相关文献的基础上,就如何有效解决电子商务中Web应用的安全问题做相关的分析研究,进一步完善当前电子商务系统中Web应用的安全环境,主要涉及以下几方面内容:
1.电子商务安全环境分析
2.对Web客户端的主要威胁研究分析
3.对Web服务器的主要威胁研究分析
4.对Web通信的主要威胁研究分析
5. 从应用的角度,对电子商务系统中Web安全主要涉及的以上三方面内容逐个提出较有效解决方案及相应措施。
 
2.2 毕业论文课题拟采用的研究方法:
        电子商务系统中Web的安全性需要从两方面考虑,一是从网络安全的角度,保护网络安全是为保护商务各方网络端系统之间通信过程的安全性,也就是保证Web通信的安全性,从机密性、完整性、认证性和访问控制性这几个重要因素加以分析研究。二是从应用安全的角度,主要是为了保护Web服务器和Web客户端之间的安全,由于电子商务中的应用层对安全的要求最严格、最复杂,因此研究如何保护电子商务系统应用层的安全是本课题的关键。
        从保证信息的保密性和存取控制出发,用SSL这样的安全协议来保障Web的安全。
从Web服务程序或浏览器程序出发,针对其程序漏洞或错误进行修改或对Web服务程序进行一些必要的配置以提高其安全性。
 
3.本课题需要重点研究的、关键的问题及解决的思路
        本毕业论文课题结合电子商务系统中对Web应用的特殊要求,重点研究Web应用安全问题的几个主要方面,并对具体解决措施做相应的研究分析,涉及内容如下:
1.       电子商务安全环境分析           
2. 对Web客户端的主要威胁研究分析
3. 对Web服务器的主要威胁研究分析
4. 对Web通信的主要威胁研究分析
5.  从应用的角度,对电子商务系统中Web安全主要涉及的以上三方面内容逐个提出较有效的解决方案及相应措施
 
4.完成本课题所必须的工作条件(如工具书、实验设备或实验环境条件、某类市场调研、计算机辅助设计条件等等)及解决的办法
        结合我自身专业所学基础与毕业论文课题之间的联系,同时广泛收集大量相关的文献资料,利用互连网广阔的信息渠道和丰富的网络资源,比如搜索一些国外最新的研究成果资料,从一些网络论坛上摘录大量与本课题相关的研究评论,积累了很多有用的信息,对开展本课题的研究及最终完成论文起了很大的作用。
  已收集的文献资料如下:
 [1] 电子商务活动中的Web安全问题 .  张振国,张楠 .   集团经济研究,  2004(12)   
 [2] 电子商务技术发展综述 .  汪勇,熊前兴 .  武汉大学科技学报, 2005.12 
 [3] Web安全问题.  罗铁坚,徐海智,董占球.  计算机应用, 2000.4
 [4] Web安全、维护及其服务器的管理.  归元计算机工作室.  机械工业出版社, 2000.7
 [5] 网络安全管理 . 信息管理系列委员会. 中国人民大学出版社, 2001.7
 [6] 基于Web的信息安全服务解决方案探析 . 王舜燕,甘罗,孙雄英 .  武汉工大学学报  2005
 [7] Web服务器的安全问题及对策 . 左新玲 .  微电脑世界.  2005
 [8] 电子商务体系结构及系统设计 . 覃征.  西安交通大学出版社,  2001  
 [9] 电子商务的安全体系结构及技术研究 .  杨德礼,王茜 . 计算机工程,  2003
 [10]电子商务的安全问题和相应措施 .  樊晋宁.  科技情报开发与经济,  2004
[11]电子商务安全问题及措施研究.  彭银香,白贞武. 大众科技,  2005(11)
 [12]电子商务的安全问题 . 向剑文,余辰,李锋,何炎祥.  计算机应用,   2001.7
 [13]电子商务安全性和性能权衡研究.  邓锦江,陈德仁 . 浙江大学学报 , 2003.3
 [14]发展电子商务必须注重解决电子商务安全问题. 周娜.  船舶工业技术经济信息, 2005
 [15]电子商务系统安全性研究 . 沈华锋.  技术网络论坛,  2005
 [16]Visual basic.net Web application McCraw  Cassidy W,Shapton D  
  Hill companies Inc ,  2002  
 [17]Dynamic load balancing on Web-server systems . CARDELLINI J,COLAJANNI M,YU  P .  IEEE Internet Computing , May 1999
[18] Dynamic load balancing on Web-server systems . CARDELLINI J,COLAJANNI M,IEEE Internet Computing , May 1999
 [19]The ins and outs of Web site outages .LIGHTMAN A.  Red Herring , 1999.3
[20] The Researchon Modern Enterprisesp Electronic Commerce Infrastructure
ZHANG Xin-rui,CHEN Li . Management Department of USST, 2000(9)
 
5.设计(论文)完成进度计划
第1-3周:课题研究、资料收集,完成开题报告
第4-6周:结合课题开展毕业实习
第7-11周:实验研究
第12-13周:完成论文初稿
第14-16周:完成论文终稿并答辩
 

Tags:电子商务



相关评论
广告联系QQ:45157718 点击这里给我发消息 电话:13516821613 杭州余杭东港路118号雷恩国际科技创新园  网站技术支持:黄菊华互联网工作室 浙ICP备06056032号