电子商务安全导论的重要知识点.docVIP

电子商务安全导论的重要知识点 电子商务涉案主客体关系 B2B模式：这些经电子商务系统关系的企业、机构一般是确定和可信的，数量也较有限。随着网络商务，尤其是因特网上的商务发展，这些介入电子商务的企业数量剧增，理论上是无限的，因此也增加了不确定性。 B2C模式：零售商在网上开设店面、陈列商品、标出价格、说明服务，消费者在网上选择商品、提出要求、支付贷款、快递送货或上门取货等。 C2C模式：个人用户之间可以使用个人网站等来交换数据，或进行二手商品的拍卖，这也是广义电子商务的一种，可能以后会多起来。 B2G模式：政府有关部门直接或间接影响电子商务的操作，如认证、鉴权机构的管理，海关、税收的处理，标准的制订和修改等，更不用说政府在法规、政策推动方面的重要作用。 电子商务技术要素组成 网络 应用软件 硬件 几种常见的电子商务模式 大字报/告示牌模式 在线黄页簿模式 电脑空间上的小册子模式 虚拟百货店模式 预订/订购模式 广告推销模式 为什么数据的安全是自身独有的？ 一个电子商务系统必然要存储大量的商务数据，这是其运转的核心。一旦发生数据丢失或损坏，后果不堪设想。尤其这些数据大部分是商业秘密，一旦泄露，将造成不可挽回的损失。 为什么交易的安全是自身独有的？ 在我们的日常生活中，进行一次交易必须办理一定的手续，由双方签发各种收据凭证，并签名盖章以作为法律凭据。但在电子商务中，交易在网上进行，双方甚至不会见面，那么一旦一方反悔，另一方怎样能够向法院证明合同呢？这就需要一个网上认证机构对每一笔业务进行认证，以确保交易的安全，避免恶意欺诈。 电子商务系统可能遭受的几种攻击 系统穿透：未经授权人通过一定手段假冒合法用户接入系统，对文件进行篡改、窃取机密信息，非法使用资源等。 违反授权原则：一个被授权进入系统做某件事的用户，在系统中做未经授权的其他事情。表面看来这是系统内部误用或滥用的问题，但这种威胁与外部穿透有关联。 植入：在系统穿透或违反授权攻击成功后，入侵者常要在系统中植入一种能力，为其以后攻击系统提供方便条件。 通信监视：这是一种在通信过程中从信道进行搭线窃听的方式。 通信窜扰：攻击者对通信数据或通信过程进行干预，对完整性进行攻击，篡改系统中的数据内容，修改消息次序、时间（延时或重放），注入伪造信息。 中断：对可用性进行攻击，破坏系统中的硬件、硬盘、线路、文件系统等，使系统不能正常工作，破坏信息和网络资源。 拒绝服务：指合法接入信息、业务或其他资源受阻。 否认：一个实体进行某种通信或交易活动，稍后否认曾进行过这一活动，不管这种行为是有意的还是无意的，一旦出现再要解决双方的争执就不太容易了。 病毒：由于Internet的开放性，病毒在网络上的传播比以前快了许多，而且Internet的出现又促进了病毒制造者间的交流，使新病毒层出不穷，杀伤力也大有提高。 电子商务安全的中心内容 商务数据的机密性：是指信息在网络上传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容。 商务数据的完整性：是保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被更改。 商务对象的认证性：是指网络两端的使用者在沟通之前相互确认对方的身份，保证身份的正确性，分辨参与者所声称身份的真伪，防止伪装攻击。 商务服务的不可否认性：是指信息的发送方不能否认已发送的信息，接受方不能否认已收到的信息，这是一种法律有效性要求。 商务服务的不可拒绝性：保证授权用户在正常访问信息和资源时不被拒绝，即保证为用户提供稳定的服务。 访问的控制性：是指在网络上限制和控制通信链路对主机系统和应用的访问：用于保护计算机系统的资源（信息、计算和通信资源）不被未经授权人或以未授权方式接入、使用、修改、破坏、发出指令或植入程序等。 产生电子商务安全威胁的原因 在因特网上传输的信息，从起始结点到目标结点之间的路径是随机选择的，此信息在到达最终目标之前会通过许多中间结点，在任一结点，信息都可能被窃取、篡改或删除。 Internet的安全漏洞 Internet各环节的安全漏洞 外界攻击，Internet安全的类型 截断信息：破坏A与B的计算机网络系统部分资源（包括切断通信线路、毁坏硬件等），达到截断（中断）A与B信息联系。 伪造：伪造信息源A的信息，制造假身份，发送伪造信息给B，即以伪造、假冒身份发送信息。 篡改：截取A到B的信息，经篡改后，再发至B。 接入：是一种被动攻击，利用软件提取Internet上的数据，其目的是： 非法直接获取信息或破解机密信息 进行流量分析，不是直接获得信息内容，而且对信息的流动情况进行分析：信息的方向与频率、发送地点等，可得到间接情报。 局域网服务和相互信任的主机的安全漏洞 设备或软件的复杂性带来的安