搜索
《电子商务概论》第3章电子商务系统的安全广东广播电视大学工程技术系何丰如2005.2第3章电子商务系统的安全第3章电子商务系统的安全3.1电子商务系统安全问题概述3.2电子商务系统网络安全管理基本对策3.3电子商务安全手段3.4计算机病毒及网络黑客的防范第3章电子商务系统的安全第3章电子商务系统的安全随着电子商务的迅速发展,电子商务系统的安全已受到来自计算机病毒、电脑黑客、计算机网络系统自身脆弱性等各方面的严峻挑战。因此如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,是商家和用户十分关心的重大问题。本章将着重介绍电子商务系统安全的概念、安全控制要求、网络安全管理对策、常用安全手段和防范措施等内容。第3章电子商务系统的安全3.1电子商务系统安全问题概述3.1.1电子商务系统安全性的基本概念3.1.2电子商务系统的安全控制要求3.1.3危害电子商务系统安全的主要因素跳到下一节返回本章首页第3章电子商务系统的安全3.1.1电子商务系统安全性的基本概念1、问题的提出由于电子商务是在公开的网上进行的,支付、订货、谈判等信息和机密的商务往来文件等大量商务信息在计算机系统中存放、传输和处理,所以,交易的安全性是电子商务发展的核心和关键问题。保证商务信息的安全是进行电子商务应用的前提。第3章电子商务系统的安全3.1.1电子商务系统安全性的基本概念2、电子商务系统安全涉及的因素虽然电子商务系统的形式多种多样,涉及的安全问题也是方方面面,但主要有以下因素应加以考虑:(1)物理安全是指保护计算机主机硬件和物理线路的安全,保证其自身的可靠性和为系统提供基本安全机制。影响物理安全的重要因素:火灾、自然灾害、辐射、硬件故障、搭线窃听、盗窃、偷窃、和超负荷。第3章电子商务系统的安全3.1.1电子商务系统安全性的基本概念2、电子商务系统安全涉及的因素(2)网络安全是指网络层面的安全。相对于单机,计算机网络不安全的因素更多。原因:因为理论上网络上的计算机有可能被网上任何一台主机攻击或插入物理网络攻击;大部分的Internet协议没有进行安全性设计;网络服务器程序经常需要用超级用户特权来执行。第3章电子商务系统的安全3.1.1电子商务系统安全性的基本概念2、电子商务系统安全涉及的因素(3)系统软件安全是指保护软件和资料不会被窜改、泄露、破坏、非法复制(包括有意或无意)。系统软件安全的目标是使计算机系统逻辑上安全,使系统中的信息存取、处理和传输满足系统安全策略的要求。系统软件安全可分为:操作系统安全、数据库安全、网络软件安全、应用软件安全。第3章电子商务系统的安全3.1.1电子商务系统安全性的基本概念2、电子商务系统安全涉及的因素(4)人员管理安全主要是要防止内部人员的攻击。包括:雇员的素质、敏感岗位的身份识别、安全培训、安全检查等人员管理安全问题。(5)电子商务安全立法通过健全法律制度和完善法律体系,来保证合法网上交易的权益,同时对破坏合法网上交易权益的行为进行依法严惩。电子商务立法是对电子商务犯罪的约束。利用国家机器进行安全立法,体现与犯罪行为斗争的国家意志。返回本节第3章电子商务系统的安全3.1.2电子商务系统的安全控制要求电子商务发展的核心和关键问题是交易的安全性,由于Internet的开放性,使网上交易面临种种危险,因此提出了相应的安全控制要求,主要有:1、有效性电子商务用电子形式代替了纸张,如何保证这种无纸贸易的有效性是开展电子商务的前提。即应采取各种措施,确保贸易资料在确定的时刻、确定的地点是有效的。第3章电子商务系统的安全3.1.2电子商务系统的安全控制要求2、保密性电子商务作为贸易的一种手段,其中一些信息直接代表着个人、企业或国家的商业机密。因此在电子商务信息的传播中一般都有保密的要求。维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传播过程中被非法窃取。3、合法性网上交易各方的工作要符合可适用的法律和法规。第3章电子商务系统的安全3.1.2电子商务系统的安全控制要求4、完整性电子商务虽然简化了贸易过程、减少了人为干预,同时也带来维护贸易各方商业信息的完整、统一的问题。贸易各方信息的完整性将影响到贸易各方的交易和经营策略。因此确保贸易各方信息的完整性是电子商务应用的基础。要预防对信息的随意生成、修改和删除,同时要防止资料传输过程中信息的丢失和重复,以保证信息传送次序的统一。第3章电子商务系统的安全3.1.2电子商务系统的安全控制要求5、交易者身份的确定性要使网上交易能够成功,首先要能确认对方的身份,即交易的双方必须确实存在。既要考虑商家不要受客户欺骗,也要考虑客户不要被商家欺骗。因此,能方便和可靠地确认对方的身份是交易的前提。6、不可修改性指在电子商务活动中,交易的文件是不可修改的,否则就会使另一方蒙受损失。因此,电子交易文件应能做到不可修改,以保证交易的严肃性和公正性。第3章电子商务系统的安全3.1.2电子商务系统的安全控制要求7、不可否认(或不可抵赖)性在传统纸面贸易中,贸易双方通过在合同、单据、契约等书面文件上签字、盖印等手段来鉴别贸易伙伴,确定这些单据的可靠性并预防抵赖行为的发生。在无纸化电子商务环境中,交易一旦达成应该具有不可否认和不可抵赖性,否则会损害另一方的利益。因此,在电子商务的交易通信过程的各个环节中,都必须是不可否认的。这就要求在交易信息的传输过程中,为参与交易的个人、企业或国家提供可靠的标识。返回本节第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素1、问题的提出由于电子商务主要是依托计算机网络来进行的,计算机网络技术的发展促进了电子商务的发展,同时也使电子商务系统的安全问题日益复杂和突出。由于计算机网络资源的共享性和开放性,增加了网络安全的脆弱和复杂性,也增加了网络受威胁和攻击的可能性。因此,对电子商务的不安全性因素分析,主要依据是对网络交易整个运作过程可能出现的各种安全隐患和安全漏洞,使其安全管理有的放矢。第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素2、电子商务的安全威胁在传统交易过程中,买卖双方是面对面的,因此很容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系的,甚至彼此远隔千山万水,因而建立交易双方的安全和信任关系相当困难。电子商务交易双方(销售者和购买者)都面临不同的安全威胁。第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素3、销售者面临的安全威胁(1)中央系统安全性被破坏:入侵者假冒成合法用户来改变用户数据(如商品送达地址)、解除用户订单或生成虚假订单。(2)竞争者检索商品递送状况:恶意竞争者以他人的名义来订购商品,从而了解有关商品的递送状况和货物的库存情况。(3)客户资料被竞争者获悉第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素3、销售者面临的安全威胁(4)被他人假冒而损害公司的信誉:不诚实的人建立与销售者服务器名字相同的另一个服务器来假冒销售者。(5)消费者提交订单后不付款(6)提供虚假订单(7)获取他人的机密数据第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素4、购买者面临的安全威胁(1)虚假订单一个假冒者可能会以某客户的名字来订购商品,而且有可能收到商品,而此时这一客户却被要求付款或返还商品。(2)付款后不能收到商品在要求客户付款后,销售商中的内部人员不将定单和钱转发给执行部门,因而使客户不能收到商品。第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素4、购买者面临的安全威胁(3)机密性丧失客户有可能将秘密的个人数据或自己的身份数据(如账号、口令等)发送给冒充销售商的机构,这些信息也可能会在传递过程中被窃取。(4)拒绝服务攻击者可能向销售商的服务器发送大量的虚假定单来穷竭它的资源,从而使合法用户不能得到正常的服务。第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素5、网络硬件的不安全因素计算机进行网络通信时,主要涉及到的网络硬件设施有:通信线路、调制解调器、网络接口、终端、转换器、处理机等。这些部件的不安全因素主要有:(1)通信监视(2)非法终端(3)注入非法信息(4)线路干扰(5)运行中断(6)服务干扰(7)病毒入侵第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素6、网络软件的不安全因素网络软件的不安全因素主要涉及以下几方面:(1)操作系统:几乎所有的操作系统都有安全上的漏洞。利用这些安全漏洞,网络黑客可以对其进行攻击。(2)网络协议:TCP/IP等网络协议并非专为安全通信而设计,故会带来安全隐患。(3)网络软件:网络软件的安全隐患以及软件操作上的失误都有可能导致交易信息传递的丢失和错误。第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素7、工作人员的不安全因素人员管理常常是网络安全管理中最薄弱的环节,这需要从管理制度上来弥补技术上的不足,以保证网络的安全性。工作人员的不安全因素具体表现在以下几方面:(1)规章制度不健全造成认为泄密事故。(2)业务不熟悉、误操作或不遵守操作规程而造成泄密。(3)保密观念不强,不懂保密规则,随便泄漏机密。(4)熟悉系统的人员故意改动软件,非法获取或窜改信息。(5)恶意破坏网络系统和设备(6)利用硬件的故障部位和软件的错误非法访问系统,或对各部分进行破坏。第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素8、电子商务的风险类型从整个电子商务系统着手分析,可以将电子商务的安全问题归类为下面四类风险:即信息传输风险、信用风险、管理风险和法律方面的风险。第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素9、信息传输风险(1)信息丢失交易信息的丢失,可能有三种情况:一是因为线路问题造成信息丢失;二是因为安全措施不当而丢失信息;三是在不同的操作平台上转换操作不当而丢失信息。(2)篡改数据攻击者未经授权进人网络交易系统,使用非法手段,删除、修改、重发某些重要信息,破坏数据的完整性,损害他人的经济利益,或干扰对方的正确决策,造成网上交易的信息传输风险。第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素9、信息传输风险(3)信息传递过程中的破坏信息在网上传递时,要经过多个环节和渠道。由于计算机技术发展迅速,原有的病毒防范技术、加密技术、防火墙技术等始终存在着被新技术攻击的可能性。计算机病毒的侵袭、黑客非法侵入、线路窃听等很容易使重要数据在传递过程中泄露,威胁电子商务交易的安全。此外,各种外界的物理性干扰,如通信线路质量较差、地理位置复杂、自然灾害等,都可能影响到数据的真实性和完整性。第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素9、信息传输风险(4)冒名偷窥“黑客”为了获取重要的商业秘密、资源和信息,常常采用IP地址盗用的手段进行欺骗攻性击。(5)虚假信息从买卖双方自身的角度观察,网上交易中的信息传输风险还可能来源于用户以合法身份进人系统后,买卖双方都可能在网上发布虚假的供求信息,或以过期的信息冒充现在的信息,以骗取对方的钱款或货物。现在还没有很好的解决信息鉴别的办法。第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素9、信息传输风险(3)信息丢失交易信息的丢失,可能有三种情况:一是因为线路问题造成信息丢失;二是因为安全措施不当而丢失信息;三是在不同的操作平台上转换操作不当而丢失信息。第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素10、交易信用风险交易的不可抵赖性是电子商务中的一个至关重要的问题。在网络交易过程中,客户进入交易中心,买卖双方签订合同,交易中心不但要监督买方按时付款,还要监督卖方按时按要求供货。这些环节都存在大量的交易信用风险。此外,由于交易双方采用电子方式进行谈判、结帐,使一些犯罪分子的欺诈行为更容易得逞,对网络交易的安全构成巨大的威胁。交易信用风险主要来自三方面:(1)来自卖方的信用风险对于个人消费者来说,可能在网络上使用信用卡进行支付时恶