第九章：电子商务安全管理.pptVIP

第九章电子商务安全管理;案例：世纪末的“二月黑客潮”;;;销售者面临的安全威胁

中央系统安全性被破坏

入侵者假冒成合法用户来改变用户数据(如商品送达地址)、解除用户订单或生成虚假订单。

竞争者检索商品递送状况

恶意竞争者以他人的名义来订购商品，从而了解有关商品的递送状况和货物的库存情况。

客户资料被竞争者获悉：侵犯隐私、客户被抢

被他人假冒而损害公司的信誉

不诚实的人建立与销售者服务器名字相同的另一个服务器来假冒销售者。

消费者提交订单后不付款

提供虚假订单

被他人试探，丢失商业机密;消费者面临的安全威胁;（二）、电子商务的安全风险来源

1、网络系统自身的安全风险

（1）物理实体的安全风险。设备故障、电源故障、电磁泄漏导致、信息失密、搭线窃听、自然灾害。

（2）计算机软件系统风险；

（3）网络协议的安全漏洞；

（4）黑客的恶意攻击；

（5）计算机病毒攻击。

;2、信息传输风险

冒名偷窃

篡改数据

攻击者未经授权进人网络交易系统，使用非法手段，删除、修改、重发某些重要信息，破坏数据的完整性，损害他人的经济利益，或干扰对方的正确决策，造成网上交易的信息传输风险。

信息丢失

因线路问题、安全措施不当、不同的操作平台上转换操作不当等丢失信息。

信息传递过程中的破坏

病毒的侵袭、黑客非法侵入、线路窃听等很容易使重要数据在传递过程中泄露，威胁电子商务交易的安全。此外，各种外界的物理性干扰，如通信线路质量较差、地理位置复杂、自然灾害等，都可能影响到数据的真实性和完整性。

虚假信息

对比：传统有形，可留下痕迹；网上容易修改、无痕迹。

;3、交易信用风险

买方的信用风险

个人消费者信用卡恶意透支，或使用伪造的信用卡骗取卖方的货物；集团购买者，存在拖延货款的可能，卖方需要为此承担风险。

卖方的信用风险

卖方不能按质、按量、按时寄送消费者购买的货物，或者不能完全履行与集团购买者签订的合同，造成买方的风险。

买卖双方都存在抵赖的情况

网上交易时，物流与资??流在空间上和时间上是分离的，再加上网上交易一般是跨越时空的，交易双方很难面对面地交流，信用的风险就很难控制。这就要求网上交易双方必须有良好的信用，而且有一套有效的信用机制降低信用风险。;4、管理风险

交易流程管理风险

在网络商品中介交易的过程中，买卖双方签订合同，交易中心不仅要监督买方按时付款，还要监督卖方按时提供符合合同要求的货物。

人员管理风险

近年来我国计算机犯罪大都呈现内部犯罪的趋势，如：招募新人潜入竞争对手，或利用不正当方式收买企业网络交易管理人员，窃取企业的用户识别码、密码、传递方式以及相关的机密文件资料。

交易技术管理风险

网络交易技术管理的漏洞也带来较大的交易风险。有些操作系统的某些用户是无口令的，如匿名访问，利用远程登陆命令登陆这些无口令用户，允许被信任用户不需要口令就可以进人系统，然后把自己升级为超级用户。;5、法律风险

法律滞后而无法保证合法交易的权益所造成的风险，如通过网络达成交易合同，可能因为法律条文还没有承认数字化合同的法律效力而面临失去法律保护的危险。

法律的事后完善所带来的风险。即在原来法律条文没有明确规定下而进行了网上交易，在后来颁布新的法律条文下却属于违法经营，从而造成巨大损失。

;二、电子商务安全交易的要求;物理实体安全措施

（自然灾害防范等）;第二节电子商务安全技术;三、身份和信息认证技术

（一）、身份认证

就是在交易过程中判明和确认贸易双方的真实身份。

危险：某些非法用户采用窃取口令、修改或伪造等方式对网上交易系统进行攻击，阻止系统资源的合法管理和使用。

功能：

可信性:信息的来源是可信。

完整性:要求在传输过程中保证其完整性。

不可抵赖性:要求信息的发送方不能否认自己所发出的信息。

访问控制:拒绝非法用户访问系统资源，合法用户只能访问系统授权和指定的资源。;（二）、信息认证

网络传输过程中信息的保密性问题。

要求：

对敏感的文件进行加密，这样即使别人截获文件也无法得到其内容。

保证数据的完整性，防止截获人在文件中加入其他信息。

对数据和信息的来源进行验证，以确保发信人的身份。

实现：采用秘密密钥加密系统(SecretKeyEncryption)、公开密钥加密系统(PublicKeyEncryption)或者两者相结合的方式。为保证信息来源的确定性，可以采用加密的数字签名方式来实现，因为数字签名是唯一的而