一、简要论述当前电子商务的安全隐患和防范措施.docVIP

PAGE 23 - 浙江大学远程教育学院 本科生计算机信息安全 离线作业 专业：信息管理与信息系统（07春） 姓名：燕锐 学号：L20760024818 二○一○年一月 一、简要论述当前电子商务的安全隐患和防范措施。 答：（一）电子商务的安全隐患 从安全和信任关系来看，在电子商务过程中，买卖双方是通过网络来联系的，电子商务交易双方(销售者和消费者)都面临不同的安全威胁，其主要威胁主要存在以下几个方面： 1、销售者 （1）中央系统安全性被破坏：入侵者假冒成合法用户来改变用户数据(如商品送达地方)、解除用户订单或生成虚假订单。 （2）竞争者检索商品递送状况：恶意竞争者以他人的名义来订购商品，从而了解有关商品的递送状况及货物和库存情况。 （3）客户资料被竞争者获悉。 （4）被他人假冒而损害公司的信誉：不诚实的人建立与销售者服务器名字相同的另一个WWW服务器来假冒销售者。 （5）消费者提交订单后不付款。 （6）虚假订单。 （7）获取他人的机密数据：比如，某人想要了解另一人在销售商处的信誉时，他以另一人的名字向销售商订购昂贵的商品，然后观察销售商的行动。假如销售商认可该定单，则说明被 观察的信誉高，否则，则说明被观察者的信誉不高。 2、消费者 （1）虚假订单：一个假冒者可能会以客户的名字来订购商品，而且有可能收到商品，而此时 客户却被要求付款或返还商品。 （2）付款后不能收到商品：在要求客户付款后，销售商中的内部人员不将定单和钱转发给执 行部门，因而使客户不能收到商品。 （3）机密性丧失：客户可能将秘密的个人数据或自己的身份数据(如PIN、口令等)发送给冒充销售商的机构，这些信息也可能会在传递过程中被窃听。 （4）拒绝服务：攻击者可能向销售商的服务器发送大量的虚假定单来穷竭它的资源，从而使 合法用户不能得到正常的服务。 （二）电子商务的安全防范措施 由于电子商务涉及到金融、企业商家等各个方面的利益，为保证电子商务的安全性，在制定电子商务安全防范措施时，就必需切合电子商务系统安全需求，具体应从以下几个方面着手： 1、技术措施 为确保电子商务系统的安全性，首先应从技术上作好安全防范工作，从技术上加强安全防范，主要应从以下措施： （1）信息加密技术 利用信息加密技术，把要传递的信息在传递时按照一定的规则将其转变为错乱的内容即加密，在对方接收时，再通过解密程序将乱码清除，即可得到原来的完整的信息，这一过程就是解密。这样，第三方即使截取了信息，也无法获悉其中的内容。在电子商务中，为了实现电子信息的保密性，就必须实现该信息对除特定收信人以外的任何人都是不可读取的。加密的目的就是要提高系统及数据的安全性、保密性和完整性，防止秘密数据被外部破解。 （2）数字签名技术 利用数字签名技术，通过密码算法对数据进行加、解密交换，把Hash函数和公钥算法结合起来，可以在提供数据完整性的同时保证数据的真实性。完整性保证传输的数据没有被修改，而真实性则保证是由确定的合法者产生的Hash，而不是由其他人假冒。把这两种机制结合起来就可以产生数字签名。数字签名采用了双重加密的方法来实现防伪造、防抵赖。 （3）防火墙技术 利用防火墙技术，在内部网与外部网之间的界面上构造一个保护层并强制所有的连接都必须经过此保护层，在此进行检查和连接。只有被授权的通信才能通过此保护层，从而保护内部网资源免遭非法入侵。这样，加强了网络之间的访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络即被保护网络，有效防止黑客利用不安全的服务对传输数据和信息进行攻击，阻止未授权的用户对信息资源的非法访问，甚至是对网络实施检查，决定网络之间的通信权限，监视网络的进行状态。在选择防火墙的使用时，也要考虑诸多原则，包括网络结构、业务应用系统需求、用户及通信流量规模方面的需求以及可靠性、可用性和易用性等方面的需求。 （4）数字证书 利用数字证书技术，用来惟一确认安全电子商务交易双方身份的工具。由于它由证书管理中心做了数字签名，因此任何第三方都无法修改证书的内容。任何信用卡持有人只有申请到相应的数字证书，才能参加安全电子商务的网上交易。对于电子商务来说，如果没有签名和认证技术的支持，则不可能进行真正意义上的电子商务，电子交易单证必须防假冒、可验证、防抵赖。 （5）病毒防范技术 从事网上交易的企业和个人都应当注重病毒防范技术，排除病毒的干扰。因此，防范计算机病毒，避免计算机系统遭受病毒的侵袭，及时清除计算机病毒将病毒危害降低到最低程度是反病毒技术刻不容缓的任务。一般我们要给自己的计算机安装防病毒软件，认真执行病毒定期清理制度，并设置控制权限，通过建立系统保护机制，来预防、检测和消除病毒，谨慎打开陌生地址的电子邮