电子商务安全威胁及解决方法.docVIP

电子商务安全威胁及解决方法 　　1988年11月3日，美国数千名计算机系统操作员和系统管理员上班后都发现计算机系统不工作了。不幸的是，这次灾难只是计算机系统受到攻击的漫长历史的开始，这类攻击已经延续到今天的电子商务时代，也影响到了电子商务的发展。在这里，我们从CNNIC发布的《第十三次中国互联网络发展状况调查报告》中摘取一些信息，以便使读者对我国的网络发展有一些感性的认识。 　　用户认为，目前网上交易存在的最大问题是： 　　◆产品质量、售后服务及厂商信用得不到保障（42.1％） 　　◆安全性得不到保障（28.1％） 　　◆送货不及时（7.5％） 　　可见，安全问题还是电子商务交易中的大问题，必须得到很好的解决。 　　 　　一、电子商务的安全威胁 　　 　　安全专家通常把计算机安全分成三类，即保密、完整和即需。保密是指防止未授权的数据暴露并确保数据源的可靠性；完整是防止未经授权的数据修改；即需是防止延迟和拒绝服务。计算机安全中最知名的领域是保密。新闻媒体上每个月都会有非法进入政府计算机或用偷来的信用卡号订购商品的报道。任何个人、企业或商业机构以及银行都不会通过一个不安全的网络进行商务交易，一旦遭到攻击,就会导致商业机密信息或个人隐私的泄漏,从而造成巨大的损失。 　　1、对知识产权的安全威胁。互联网广泛应用后，对知识产权的安全威胁比以前严重多了，甚至有很多人在做出侵权的行为后并不知道自己已经构成了威胁。这主要有两个原因：首先，网络信息非常容易复制，无论是否受到版权保护；其次，很多人不了解保护知识产权方面的版权规定。如前段时间，百度受到香港几家唱片公司的诉讼，原因是百度提供了其旗下若干歌手MP3的下载链接。域名抢注、域名变异和域名窃取是与知识产权保护有关的三个问题。 　　（1）域名抢注。是指用别人公司的商标来注册一个域名，以期商标所有者付巨资赎回域名。 　　（2）域名变异。是指某人注册著名域名的错误拼写的域名来骗走不知情的顾客。顾客一个小的错误拼写就会进入其他网站。 　　（3）域名窃取。是指非域名所有者变更了某个域名的所有??就属于域名窃取。通常这种情况的发生均是人为的。这种欺骗客户的手段大胆而拙劣。 　　2、对客户机的安全威胁。对客户机的威胁主要来自活动内容，是指在页面上嵌入的对用户透明的程序，它可完成一些动作。由于活动内容是可以在客户机上运行的程序，它就有可能破坏客户机。因此活动内容给客户机带来了严重的安全威胁。活动内容有多种形式，最知名的活动内容形式包括cookies、Java小应用程序、JavaScript、VBScript和ActiveX控件，另外还有图片、浏览器插件和电子邮件附件。 　　（1）cookie是web站点用来存储用户相关信息的一种工具。当访问者进入一个web站点时，该站点向访问者的计算机发送一个小型的文本文件（cookie），以便当下次再访问该站点时，以前存储的信息能够被快速载入。正是通过一个特点可以潜入的有恶意的程序可使通常存在cookie里的信用卡号、用户名和口令等信息泄密。有恶意的活动内容利用cookie可将客户机端的文件泄密，甚至破坏存储在客户机上的文件。 　　（2）Java小应用程序随页面下载下来，只要浏览器兼容Java，它就可在客户机上运行，这就意味着非常可能发生破坏安全的问题。 　　（3）ActiveX控件是一些软件组件和对象，可以将其插入到web网页或其他应用程序中。当浏览器下载了嵌有ActiveX控件的页面时，它就可在客户机上运行了。Shockwave是用于动画和娱乐控制的浏览器插件程序。ActiveX控件的安全威胁是：一旦下载后，它就能像计算机上的其他程序一样执行，能访问包括操作系统代码在内的所有系统资源，这就会对客户机的安全构成威胁。 　　3、对通信信道的安全威胁。互联网是客户机连到服务器上的传输信道，互联网最初建立的主要目的不是为了安全传输，而是提供冗余传输，既防止一个或多个通信线路被切断。在互联网上传输的信息，从起始节点到目标节点之间的路径是随机选择的，到达之前会通过很多中间节点，根本就无法保证信息传输时的安全。 　　（1）对完整性的安全威胁。也叫主动搭线窃听，当未经授权方改变了信息流时就构成了对完整性的威胁。破坏他人网站就是破坏完整性的例子 　　（2）对即需性的安全威胁。也叫拒绝服务安全威胁，其目的是破坏正常的计算机处理或完全拒绝处理。例如：将网站访问速度大大降低，就会影响访问该网站人群的数量，对于一些即时性交易，会产生毁灭性的打击。 　　（3）对保密性的安全威胁。看到了不应看到的信息。在通信信道截取保密信息加以破解。 　　4、对服务器的安全威胁。客户机、互联网和服务器的电子商务链上第三个环节是服务器。对企图破坏或非法获取信息的人来说