chap3 电子商务的安全问题.docVIP

第3章 电子商务的安全问题 电子商务的技术基础是计算机网络技术，特别是Internet技术，由于的开放性和共享性给电子商务的发展带来了极大的安全隐患,解决安全性和保密性的问题,是当前电子商务所面对的主要问题。 保密性(Confidentiality)电子商务贸易信息直接代表着个人、企业或国家的商业机密。维护商业机密是电子商务全面推广应用的重要保障要在数据传输过程和存储过程中采用加密技术,使数据不被别人窃取、泄露、篡改和破坏。 完整性(Integrity)电子商务简化了贸易的中间过程,但是由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。 可用性(Authentication)主要体现在识别机制上,对实体的某些参数进行有效性验证,确认使用者的身份,交易合同、契约、或贸易单据的可靠性,预防抵赖行为的发生。因此,要在交易信息的传输过程中为交易的个人、企业或国家提供可靠的标识。 80年代末才引起关注，90年代在国外获得了飞速的发展。近几年频繁出现的安全事故引起了各国计算机安全界高度重视，计算机网络安全技术也因此出现了日新月异的变化。安全核心系统、VPN安全隧道、身份认证、网络底层加密和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。 ? 互联网已经日渐融入到人类社会的各个方面中，网络防护与网络攻击之间的斗争也将更加激烈。这就对网络安全技术提出了更高的要求。未来的网络安全技术将会涉及到计算机网络的各个层次中，但围绕电子商务安全的防护技术将在未来几年中成为重点，如身份认证、授权检查、数据安全、通信安全等将对电子商务安全产生决定性影响。 3.1.1 电子商务的安全威胁 电子商务的安全威胁来自电子商务系统的各个层面。主要是作为电子商务基础的网络系统、开展电子商务的系统平台和该平台之上的电子商务应用系统。 一、网络系统的安全网络系统是 ? 不论采用什么操作系统，在缺省安装的条件下都会存在一些安全问题，只有专门针对操作系统安全性进行相关的和严格的安全配置，才能达到一定的安全程度。千万不要以为操作系统缺省安装后，再配上很强的密码系统就算做安全了。网络软件的漏洞和 “后门” 是进行网络攻击的首选目标。 2． 拒绝服务(DoS，Denial of Service)攻击 随着电子商务的兴起，对网站的实时性要求越来越高，DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈，破坏性更大，造成危害的速度更快、范围也更广，而袭击者本身的风险却非常小，甚至可以在袭击开始前就已经消失得无影无踪，使对方没有实行报复打击的可能。例如“电子邮件炸弹”，它的表现形式是用户在很短的时间内收到大量无用的电子邮件，从而影响正常业务的运行。严重时会使系统关机，网络瘫痪。2000年2月美国“雅虎”、“亚马逊”受攻击事件就证明了这一点。 3．黑客侵袭 即黑客非法进人网络非法使用网络资源，例如通过网络监听获取网上用户的账号和密码；非法获取网上传输的数据；通过隐蔽通道进行非法活动：采用匿名用户访问进行攻击；突破防火墙等。 4．计算机病毒的侵袭 当前，活性病毒达3000多种，计算机病毒侵入网络，对网络资源进行破坏，使网络不能正常工作，甚至造成整个网络的瘫痪。 5．安全产品使用不当 ? 虽然不少网站采用了一些网络安全设备，但由于安全产品本身的问题或使用问题，这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高，超出对普通网管人员的技术要求，就算是厂家在最初给用户做了正确的安装、配置，但一旦系统改动，需要改动相关安全产品的设置时，很容易产生许多安全问题。 6．缺少严格的网络安全管理制度 网络安全最重要的还是要思想上高度重视，网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。 7．中国特色的安全中国发展中国家我们的网络安全系统具有一些独具特色的安全。技术被动性引起的安全我们的芯片基本依赖于进口，即使是自己开发的芯片也需要到国外加工。只有当我国的半导体和微电子技术取得突破性进展之后，才能从根本摆脱这种受制于人的状态。再者，新技术的引入也可能带来安全问题。攻击者可能用现有的技术去研究新技术发现新技术的脆弱点。引入新技术时，并不都有合适的安全特性。尤其是在安全问题还没有被认识，没有被解决之前，产品就进入市场，情况就