03电子商务的安全管理.pptVIP

网络“黑客”常用的攻击手段 中断（攻击系统的可用性）：破坏系统中的硬件、硬盘、线路、文件系统等，使系统不能正常工作； 窃听（攻击系统的机密性）：通过搭线和电磁泄漏等手段造成泄密，或对业务流量进行分析，获取有用情报。 窜改（攻击系统的完整性）：窜改系统中数据内容，修正消息次序、时间（延时和重放）； 伪造（攻击系统的真实性）：将伪造的假消息注入系统、假冒合法人接入系统、重放截获的合法消息实现非法目的，否认消息的接收或发送等； 轰炸（攻击系统的健壮性）：用数百条消息填塞某人的E—mail信箱也是一种在线袭扰的方法。 防范非法入侵的技术措施 网络安全检测设备：对访问者进行监督控制，一旦发现有异常情况，马上采取应对措施，防止非法入侵者进一步攻击 访问设备:通过给访问者提供智能卡，通过智能卡的信息来控制用户使用 防火墙（firewall）：它通过对访问者进行过滤，可以使系统限定什么人在什么条件下可以进入自己网络系统。非法入侵者入侵时，就必须采用IP地址欺骗技术才能进入系统，但增加了入侵的难度。 安全工具包:安全工具包主要是提供一些信息加密和保证系统安全的软件开发系统。用户可以在这些安全工具包的基础上进行二次开发，开发自己的安全系统。 习 题 1．请解决下面概念：电子商务安全、客户认证、个人隐私、黑客 2．为什么说电子商务的安全问题非常重要？ 3．电子商务的安全威胁主要有哪些？ 4．如何解决电子商务的安全问题？ * 电子商务（3） 第三章 电子商务安全管理 第一节 电子商务的安全要求 第二节 电子商务的安全管理方法 第三节 防止非法入侵 第一节 电子商务的安全要求 一、电子商务的安全问题 二、电子商务的安全管理 电子商务的安全问题 电子商务交易带来的安全威胁 销售者面临威胁 购买者面临威胁 电子商务的安全风险来源 信息传输风险 信用风险 管理方面的风险 法律方面的风险 销售者面临威胁 中央系统安全性被破坏：入侵者假冒成合法用户来改变用户数据（如商品送达地址）、解除用户订单或生成虚假订单。 竞争者检索商品递送状况：恶意竞争者以他人的名义来订购商品，可了解有关商品的递送和货物的库存情况。 客户资料被竞争者获悉:侵犯隐私、客户被抢 被他人假冒而损害公司的信誉：不诚实的人建立与销售者服务器名字相同的另一个服务器来假冒销售者。 消费者提交订单后不付款:尝试性购买，不方便 虚假订单:尝试性 获取他人的机密数据 购买者面临威胁 虚假订单：假冒者可能会以客户的名字来订购商品，而且有可能收到商品，而此时客户却被要求付款或返还商品。 付款后不能收到商品：在要求客户付款后，销售商中的内部人员不将定单和钱转发给执行部门，使客户不能收到商品。 机密性丧失：客户有可能将秘密的个人数据或自己的身份数据（如帐号、口令等）发送给冒充销售商的机构，这些信息也可能会在传递过程中被窃取。 拒绝服务：攻击者可能向销售商的服务器发送大量的虚假定单来穷竭它的资源，从而使合法用户不能得到正常的服务。 信息传输风险 信息传输风险含义 指进行网上交易时，因传输的信息失真或者信息被非法的窃取、篡改和丢失，而导致网上交易的不必要损失 信息传输风险来源 冒名偷窃:如“黑客”为了获取重要的商业秘密、资源和信息，常常采用源IP地址欺骗攻击。 篡改数据:攻击者未经授权进入网络交易系统，使用非法手段，删除、修改、重发某些重要信息，破坏数据的完整性，损害他人的经济利益，或干扰对方的正确决策，造成网上交易的信息传输风险。 信息传输风险 信息丢失:可能有三种情况：一是因为线路问题造成信息丢失；二是因为安全措施不当而丢失信息；三是在不同的操作平台上转换操作不当而丢失信息。 信息传递过程中的破坏:信息在网络上传递时，要经过多个环节。计算机技术发展迅速，原有的病毒防范技术、加密技术、防火墙技术等存在着被新技术攻击的可能性。 虚假信息:从买卖双方自身的角度观察，网上交易中的信息传输风险还可能来源于用户以合法身份进入系统后，买卖双方都可能在网上发布虚假的供求信息，或以过期的信息冒充现在的信息，以骗取对方的钱款或货物。 对比：传统有形，可留下痕迹；网上容易修改、无痕迹 信用风险 信用风险来源 来自买方的信用风险:对于个人消费者来说，可能在网络上使用信用卡进行支付时恶意透支，或使用伪造的信用卡骗取卖方的货物行为；对于集团购买者来说，存在拖延货款的可能，卖方需要为此承担风险。 来自卖方的信用风险:卖方不能按质、按量、按时寄送消费者购买的货物，或者不能完全履行与集团购买者签定的合同，造成买方的风险。 买卖双方都存在抵赖的情况。 信用风险特点 传统可以面对面，控制风险；网上交易时空分离，环节分离，更加依赖信用体系，同时信用体系也更加脆弱 管理方