第七章电子商务安全和法律问题.pptVIP

南京工业大学管理科学与工程学院 潘郁教授 第七章电子商务安全和法律问题 8.1 电子商务安全问题 8.2 电子商务体系结构 8.3 电子商务的安全体系 8.4 电子商务的安全要素 8.5 电子商务的安全技术 8.1电子商务安全问题 电子商务信息必须通过计算机网络进行传输； 在网络上传输的信息需要进行加密； 进行商务活动的双方必须得到信息加密技术以及交易的安全 电子商务中的安全隐患 （1）信息的截获和窃取。如果没有采用加密措施或加密强度不够，攻击者可能通过互联网、公共电话网、搭线、电磁波辐射范围内安装截收装置或在数据包通过的网关和路由器上截获数据等方式，获取输出的机密信息，或通过对信息流量和流向、通信频度和长度等参数的分析，推导出有用信息，如消费者的银行账号、密码等。 （2）信息的篡改。当攻击者熟悉了网络信息格式以后，通过各种方法和手段对网络传输的信息进行修改，并发往目的地，从而破坏信息的完整性。这种破坏手段主要有三个方面： 插入：在信息中插入一些内容，使得接收方读不懂或接收错误的信息； 篡改：改变信息流的次序，更改信息的内容，如更改资金划拨方向等； 删除：删除某个消息或消息的某些部分。 （3）信息的假冒。当攻击者掌握了网络信息数据规律或解密了商务信息以后，可以假冒合法用户或发送假冒信息来欺骗其他用户，主要有两种方式： 伪造电子邮件：虚开网站和电子商店，给网上用户发电子邮件，收定货单；伪造大量用户，发电子邮件，穷尽商家服务器的资源，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应； 假冒他人身份：如冒充领导发布指示、调阅机密文件；冒充他人消费、栽赃；冒充主机欺骗合法主机及合法用户；冒充网络控制程序，套取或修改使用权限、保密字、密钥等信息；接管合法用户，欺骗系统，占用合法用户的资源。 （4）交易抵赖。交易抵赖包括多个方面，如发信者事后否认曾经发送过某条信息或内容；收信者事后否认曾经收到过某条消息或内容；商家卖出的商品因价格差而不承认原有的交易。在现实生活中经常发生的恶意抵赖同样会在网络上发生。 8.2　电子商务体系结构 8.3　电子商务的安全体系 8.4　电子商务的安全要素 （1） 有效性 在电子商务活动中，电子合同代替了传统的纸张合同，保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。因此, 电子商务需要对网络故障、操作错误、应用程序错误、硬件故障、计算机病毒及黑客攻击破坏等所产生的潜在威胁加以控制和预防，以保证贸易数据在某个时刻、某个执行点是有效的。 （2） 机密性 电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。与传统的纸张贸易不同的是，电子商务是建立在一个较为开放的Internet网络环境上的，维护商业机密是电子商务全面推广应用的重要条件。因此，必须要预防非法的信息存取和信息在传输过程中被非法窃取，保证信息的机密性。 （3） 完整性 由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中信息的丢失、重复或传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是电子商务应用的基础。因此，要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复，并保证信息传送次序的统一。 （4） 不可否认性 电子商务直接关系到贸易双方的商业交易，如何确定要进行交易的贸易方正是进行交易所期望的贸易方？在传统贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴，确定合同、契约、单据的可靠性并预防抵赖行为的发生，即“白纸黑字”。在无纸化的电子商务方式下，通过手写签名和印章进行贸易方的鉴别是不太可能的。因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。 8.5　电子商务的安全技术 网络安全技术 加密技术 数字签名 认证中心CA（Certification Authority）和数字证书 * *