第四章 电子商务的关键技术四章 电子商务的关键技术第四章 电子商务的关键技术第四章 电子商务的关键技术.ppt

第四章电子商务的关键技术 安全概述 这里的安全是指企业的信息网络软硬件系统的安全并保证企业合法的正常的网络使用（网络访问、信息传输等等）。 凡企业的资产（包括知识产权）受到未授权的或非正常的访问、使用、修改或破坏，称为安全威胁。 主要涉及下列四方面的内容： 保密： 完整： 即需服务： D. 信息网络软硬件系统安全： 电子商务的安全问题具体到电子商务，其 安全问题涉及到: 商务整个过程 分为如下四个方面： (像“解放军的超限电子战，不对称作战”） A)、对客户机（用户端）的安全威胁： 当用户浏览网页并执行页面上的某些活动程序时，这些程序常常下载到客户机上运行，并能读取、更改客户机的数据资源。如果这样的程序是恶意的，就会造成用户客户机上的信息泄露。（如，动态页面中java小程序，ActiveX控件，如特洛伊木马程序，Cookie个人信息泄漏等） 电子邮件带病毒的附件。（宏病毒、Happy99、CIH等） 这些常叫 “隐蔽信息”（即附在信息中的信息）。 B)、对通信信道的安全威胁 电子商务的通信信道其实就是连接客户和企业厂商的中间通信网络，即Internet，所以就是Internet的安全问题。 目前的Internet开放性很强，自由，信息传送并无专用固定网络路径，反过来安全性就较差了（TCP/IP的缺陷）。 C)、对企业后台服务器的安全威胁 即对企业后台开展电子商务的服务器进行攻击，修改、破坏甚至瘫痪服务器，造成企业电子商务活动不能进行。 对网站进行直接攻击。如黑客修改网站页面，信手涂鸦，转换链接等。（中美黑客大战） D)、交易者身份及网络行为的不确定威胁 电子商务作为一种新的商务交易方式，并借助网络进行，交易的手段与传统的商务有很多的不同，交易者可以利用当前电子商务技术和环境的不完善和不成熟造成交易对方的损失。 电子商务中的安全隐患可以分为以下几类： 信息的篡改、信息的截获和窃取、信息的假冒、信息的中断、交易抵赖。 电子商务中的安全隐患可分下几类： 1）信息的截获和窃取。 如果没有采用加密措施或加密强度不够，攻击者可能通过互联网、公共电话网、搭线、电磁波辐射范围内安装截收装置或在数据包通过的网关和路由器上届截获数据等方式，获取输的机密信息。 或通过对信息流量和流向、通信频度和长度等参数的分析，推出有用信息，如消费者的银行帐号、密码以及企业的商业机密等。 2）信息的篡改。 当攻击者熟悉了网络信息格式以后，通过各种技术方法和手段对网络传输的信息进行中途修改，并发往目的地，从而破坏信息的完整性。 这种破坏手段主要有三个方面： 篡改－改变信息流的次序，更改信息的内容，如购买商品的出货地址；删除－删除某个消息或消息的某些部分；插入－在消息中插入一些信息，让收方读不懂或接收错误的信息。 3）信息假冒。 当攻击者掌握了网络信息数据规律或解密了商务信息以后，可以假冒合法用户或发送假冒信息来欺骗其他用户。 主要有两种方式。 一是伪造电子邮件，虚开网站和商店，给用户发电子邮件，收定货单；伪造大量用户，发电子邮件，穷尽商家资源，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应。 伪造用户，发大量的电子邮件，窃取商家的商品信息和用户信用等信息。 另外一种为假冒他人身份，如冒充领导发布命令、调阅密件；冒充他人消费、栽赃；冒充主机欺骗合法主机及合法用户； 冒充网络控制程序，套取或修改使用权限、通行字、密钥等信息；接管合法用户，欺骗系统，占用合法用户的资源。 4）交易抵赖。 交易抵赖包括多个方面，如发信者事后否认曾经发送过某条信息或内容；收信者事后否认曾经收到过某条消息或内容； 购买者做了定货单不承认；商家卖出的商品因价格差而不承认原有的交易。 电子商务安全需求 电子商务面临的威胁的出现导致了对电子商务安全的需求，也是真正实现一个安 全电子商务系统所要求做到的各个方面，主要包括机密性、完整性、认证性、不可抵赖性和有效性。 1)机密性。 电子商务作为交易的一种手段，其信息直接代表着个人、企业或国家的商业机密。 传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。 电子商务是建立在一个较为开放的网络环境上的（尤其Internet 是更为开放的网络），维护商业机密是电子商务全面推广应用的重要保障。 因此，要预防非法的信息存取和信息在传输过程中被非法窃取。机密性一般通过 密码技术来对传输的信息进行加密处理来实现。 2）完整性。 电子商务简化了贸易