3电子商务信息安全.PDF

第3 章 电子商务信息安全 3.1 电子商务信息安全威胁与防范 3.1.1 信息安全概述 1．信息安全的定义 信息安全是一个广泛而抽象的概念，不同领域、不同角度对其概念的阐述都会有所 不同。建立在网络基础之上的现代信息系统，对于信息安全的定义是：保护信息系统的 硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证 信息系统能够连续、可靠、正常地运行。在商业和经济领域，信息安全主要强调的是削 减并控制风险，保持业务操作的连续性，并将风险造成的损失和影响降低到最低程度。 2 ．信息安全面临的威胁 信息安全面临的威胁主要包括信息截取和窃取、信息篡改、信息假冒、信息抵赖。 1 （）信息截取和窃取 攻击者可能通过搭线窃听、安装数据截收装置等方式获取传输的机密信息，或通过 对信息流量和流向、通信频度和长度等参数的分析，推出有用信息，如消费者的银行账 号、密码以及企业的商业机密等。 2 （）信息篡改 攻击者可能通过各种技术方法和手段对网络传输的信息进行中途修改，破坏信息的 完整性。信息篡改主要表现为三种方式。 ① 篡改：改变信息流的次序，更改信息的内容。 ② 删除：删除某个消息或消息的某些部分。 ③ 插入：在消息中插入一些信息，让接收方读不懂或接收错误的信息。 3 （）信息假冒 当攻击者掌握了网络信息数据规律或解密了商务信息以后，可以假冒合法用户或发 送假冒信息来欺骗其他用户，如冒充竞争对手发布虚假信息；冒充网络控制程序，套取 或修改使用权限、通行字、密钥等信息；冒充合法用户行使授权等。 4 （）信息抵赖 信息抵赖涉及多个方面，如发信者事后否认曾经发送过某条信息或内容；收信者事 后否认曾经收到过某条信息或内容；购买者发了订货信息却不承认；销售者卖出商品却 因价格差而不承认原有交易等。 第 3 章 电子商务信息安全 85 3 ．信息安全需求 信息安全面临的威胁，带来信息安全需求。在电子商务活动中，信息安全需求涉及 保密性、完整性、不可否认性、身份可认证性、可用性和可控性。 1 （）保密性 保密性也称为机密性，是指网络中的信息不被非授权的实体（包括用户和进程等） 获取与使用。 2 （）完整性 完整性是指数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不 被修改、不被破坏和丢失的特性。 3 （）不可否认性 它也称为不可抵赖性，是指在信息交换过程中，确信参与方的真实同一性，即所有 参与者都不能否认和抵赖曾经完成的操作和承诺。例如信息发送方不能否认发送过的信 息，信息接收方不能否认接收过的信息。 4 （）身份可认证性 身份可认证性就是通过安全认证技术实现对信息交流双方身份真实性的确认，保证 交易对象的身份真实性。电子商务活动过程中，信息交流双方互不见面，确认对方的真 实身份，是电子商务交易活动过程中保证交易安全的重要环节。 5 （）可用性 可用性是指对信息或资源的期望使用能力，即可授权实体或用户访问并按要求使用 信息的特性。简单地说，就是保证信息在需要时能为授权者所用，防止由于主、客观因 素造成的系统拒绝服务。 6 （）可控性 可控性是指人们对信息的传播路径、范围及其内容所具有的控制能力，即不允许不 良内容通过公共网络进行传输，使信息在合法用户的掌控之中。 3.1.2 电子商务安全体系 电子商务的交易过程面临着信息截取和窃取、信息篡改、信息假冒、信息抵赖等威 胁，对电子商务的交易信息安全提出了保密性、完整性、不可否认性、身份可认证性、 可用性和可控性的安全需求。如何实现和保证电子商务的安全需求，从组织、技术、管 理以及法律等多方面入手，构建全方位的电子商务安全体系，全面采取电子商务安全防 范措施是关键。 电子商务的安全性研究从整体上可分为两大部分：计算机网络安全和商务交易 安全。 1．计算机网络安全 常见的计算机网络安全威胁有： 86 电子商务设计师教程（第2 版