电子商务安全974知识分享.ppt

第四章 电子商务安全 4.1 电子商务安全要求 4.2 电子商务的商务安全 4.3 电子商务的技术安全 4.4 电子商务的社会安全因素 4.1 电子商务安全要求 4.1.1 电子商务安全的表象 4.1.2 电子商务安全需求 4.1.3 电子商务安全的范畴与划分 4.1.1 电子商务安全的表象 在信息经济的发展过程中，我们越来越依赖于网络。 随着经济信息化进程的加快，计算机网络上的破坏活动也随之猖獗起来，已对经济秩序、经济建设、国家信息安全构成严重威胁。 2000年2月8日到10日，一伙神通广大的神秘黑客在三天的时间里接连袭击了互联网上包括雅虎、美国有限新闻等在内的五个最热门的网站，导致世界五大网站连连瘫痪。 2000年9月， Western Union公司的15000张信用卡被窃取，致使该商务网站不得不关闭5天。 同年12月，creditcards.corn网站被窃取了55000张信用卡，其中的25000张信用卡号码在网上公诸于众。 消费者对网上交易的网络安全缺乏信心，使得越来越多消费者不愿在网上购物。 3. 不可抵赖性 不可抵赖性，是指商业信息的发送方和接收方均不得否认已发或已收的信息。 这就需要利用数字签名和身份认证等技术确认对方身份。一经确认，双方就不得否认自己的交易行为。 4. 即需性 即需性，是指保证合法用户对商业信息及时获取并保证服务不会遭到不正当的拒绝。 系统的即需性遭到破坏，系统处理信息的速度会非常慢，从而影响电子商务的正常运行。 计算机失效、程序错误、硬件故障、系统软件故障、计算机病毒等都会对电子商务的即需性造成影响。 4.1.3 电子商务安全的范畴与划分 1. 卖方 (销售者)面临的安全威胁 中央系统安全性被破坏 竞争者的威胁 客户资料被竞争者获悉 假冒的威胁 信用的威胁 获取他人的机密数据 2. 买方(消费者)面临的安全威胁 虚假订单 付款后不能收到商品 机密性丧失 拒绝服务 4.2 电子商务的商务安全 4.2.1 电子商务的商务安全与传统商务安全的区别 4.2.2 电子商务商务安全的应对策略 4.2.1 电子商务的商务安全与传统商务安全的区别 1. 信息方面 冒名偷窃 篡改数据 信息丢失 虚假信息 信息传递过程中的破坏 2.信用方面 来自买方的信用风险 来自卖方的信用风险 买卖双方都有存在抵赖的情况 3. 管理方面 交易流程管理风险 人员管理风险 交易技术管理风险 4. 法律方面 无法保证合法交易的风险 法律的事后完善所带来的风险 4.2.2 电子商务商务安全的应对策略 1.在技术上加强电子商务安全管理 网络安全和信息安全是保障网上交易正常进行的关键。 从防火墙技术、信息加密技术、身份认证等技术方面来加强电子商务系统的安全性。 2.在管理上加强电子商务安全管理 调查发现，通常对数据的最严重的威胁都来自于我们认识的人。为此，很多网络安全专家都认为，大部分攻击都是由员工发起的。从这种意义上，我们最需要的是不是技术，而是一套完整的管理体制。 必须加强监管，建立各种有关的合理制度，并加强严格监督。 要充分发挥政府有关部门、企业的主要领导、信息服务商的作用。 3.在法律上加强电子商务安全管理 通过健全法律制度和完善法律体系来保证合法网上交易的权益，对破坏合法网上交易权益的行为进行立法严惩。 关于这一点，我们将在第七章再作具体介绍。 4.3 电子商务的技术安全 4.3.1 电子商务技术安全隐患 4.3.2 电子商务系统安全体系 4.3.3 常用电子商务安全技术和手段 4.3.1 电子商务技术安全隐患 1. 系统闯入 是指未授权的人利用操作系统或者安全管理的漏洞，通过一定的手段闯入到系统内部，获取普通用户没有的权力，实现对用户信息的篡改、窃取和非法使用。 早期的闯入者只是做些修改网页之类近似于恶作剧的破坏。 随着电子商务的发展，入侵者通过盗取服务器上存放有关产品、客户和交易等信息，获得巨大的经济利益已成为其主要目的。 入侵者在闯入系统的同时还可能在系统中埋下木马、陷门等病毒来破坏其正常工作。 2. 服务拒绝攻击 服务拒绝攻击（Denial of Service，DoS），简单来说，是通过电子手段，以网站或者网络瘫痪为目的的袭击。 由于电子商务对网站的实时性要求越来越高，服务拒绝攻击对电子商务的威胁也就越来越大。 虽然这种攻击不能使攻击者直接获得有用的信息，但是它可以大大削弱被攻击者在客户心中的可信度。 我们常见的服务拒绝攻击有：死亡之ping（ping of death）、UDP洪水（UDP flood）、Land攻击、电子邮件炸弹等。 3. 身份仿冒 对用户身份进行仿冒，借此来破