电子商务安全管理 作者 秦成德 第1章 电子商务安全概述.pptVIP

1.3.2电子商务网络的安全 3） 黑客的恶意攻击。所谓黑客，现在一般泛指计算机信息系统的非法入侵者。无论是个人、企业、还是政府机构，只要进入计算机网络，都会感受到黑客带来的网络安全威胁。大到国家机密，小至个人隐私，以及商业秘密，在任何时间都有可能被黑客发现并公布。黑客的攻击手段和方法多种多样，一般可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一种是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击都能对计算机网络造成极大的危害，并导致机密数据的泄漏。 4） 软件的漏洞和“后门”。随着计算机系统的日益复杂，要对一个软件特别是大型系统或应用软件进行全面彻底的测试已经变得越来越不可能了。虽然在设计与开发一个大型软件的过程中可以进行某些测试，但总是会或多或少的留下某些缺陷和漏洞，这些缺陷可能在很长时间内也发现不了，而只有当被利用或某种特定的条件得到满足时，才会显现出来。 1.3.2电子商务网络的安全 5） 网络协议的安全漏洞。网络服务一般都是通过各种的协议完成的，因此网络协议的安全性是网络安全的一个重要方面。如果网络通信协议存在安全漏洞，那么敌手就有可能不用攻破密码体制就能获得所需要的信息或服务。值得指出的是，网络协议的安全性是很难得到绝对保证的。目前，协议安全性的保证通常有两种方式：一种是用形式化方法来证明一个协议是安全的；另一种是设计者用经验来分析协议的安全性。人们希望用形式化方法来证明，但一般的协议安全性也是不可判定的，所以对复杂的通信协议的安全性，目前主要采用找漏洞分析的方法。毫无疑问，这种方法有很大的局限性。实践证明，目前Internet提供的一些常用服务所使用的协议，例如，Telnet、FTP和HTTP协议，在安全方面都存在一定的缺陷。当今许多黑客攻击得逞就是利用了这些协议的安全漏洞。实际上，网络协议的漏洞是当今Internet面临的一个严重安全问题。 6） 计算机病毒的攻击。计算机病毒作为一种具有破坏性的程序，通常会想尽一切手段将自身隐藏起来，保护自己；但是病毒最根本的目的还是造成破坏，在某些特定条件得到满足时，病毒就会发作，这也就是病毒的破坏性。 1.3.3电子交易的安全需求 1） 机密性。电子商务作为一种贸易手段，其包含的信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来保护其商业机密的。电子商务是建立在一个较为开放的网络环境上的（尤其Internet 是更为开放的网络），维护商业机密是电子商务全面推广应用的重要保障。因此，要预防一些非法的信息存取和信息在传输过程中被非法窃取。机密性一般是通过密码技术来对需要传输的信息进行加密处理来实现。 2） 完整性。电子商务简化了贸易过程，减少了贸易过程中人为的干预，同时也带来需要维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中由于信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将会影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是电子商务应用的基础。因此，要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复，并保证信息传送次序的统一。完整性一般可通过提取信息消息摘要的方式来获得。 1.3.3电子交易的安全需求 3） 认证性。由于网络电子商务交易系统的特殊性，企业或个人的交易通常都是在虚拟的网络环境中进行，所以对个人或企业实体身份进行确认成了电子商务中很重要的一个环节。对人或实体的身份进行鉴别，为身份的真实性提供保证，即交易双方能够在相互不见面的情况下确认对方的身份。这意味着当某人或实体声称具有某个特定的身份时，鉴别服务将提供一种方法来验证其声明的正确性，一般都通过证书机构CA和证书来实现。 4） 不可抵赖性。电子商务可能直接关系到贸易双方的商业交易，如何确定要进行交易的贸易方正是进行交易所期望的贸易方，这一问题则是保证电子商务顺利进行的关键。在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴，确定合同、契约、单据的可靠性并预防抵赖行为的发生。也就是人们常说的白纸黑字。在无纸化的电子商务方式下，已不可能通过手写签名和印章来进行贸易方的鉴别。因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。不可抵赖性可通过对发送的消息进行数字签名来获取。 1.3.3电子交易的安全需求 5） 有效性。电子商务以电子形式取代了纸张，如何保证这种电子形式的贸易信息的有效性是开展电子商务的前提。电子商务作为贸易的一种形式，其信息的有效性将直接关系到