电子商务概论第4章电子商务安全讲述.ppt

第4章 电子商务安全 电子商务安全的现状 美国每年因电子商务安全问题所造成的经济损失达75亿美元，电子商务企业的电脑安全受到侵犯的比例从1997年的49%升到1999年的54%。一家大公司网络联机通信服务公司的主干网出现重大故障，40万用户被迫中断联络40小时。 从 1993年起，黑客在中国的活动就没有停止过。在1997年以后，黑客入侵活动日益猖獗，逐步转向电子商务领域，国内各大网络几乎都不同程度地遭到黑客的攻击。 在传统交易过程中，买卖双方是面对面的，因此很容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中，买卖双方是通过网络来联系的，彼此远隔千山万水，由于因特网既不安全，也不可信，因而建立交易双方的安全和信任关系相当困难。电子商务交易双方都面临不同的安全威胁。 电子商务存在安全威胁的主要原因 电子商务的运作环境 时空的阻隔带来了一系列的安全问题 管理不善带来了一系列的安全问题 法律和制度等不可控因素带来安全问题 电子商务安全概述 电子商务的安全问题 电子商务的安全策略 电子商务安全问题的类型 买方面临的安全威胁 （1）虚假订单：一个假冒者可能会以客户的名字来订购商品，而且有可能收到商品，而此时客户却被要求付款或返还商品。 （2）付款后不能收到商品：在要求客户付款后，销售商中的内部人员不将订单和钱转发给执行部门，因而使客户不能收到商品。 （3）机密性丧失：客户有可能将秘密的个人数据或自己的身份数据（如PIN，口令等）发送给冒充销售商的机构，这些信息也可能会在传递过程中被窃听。 （4）拒绝服务：攻击者可能向销售商的服务器发送大量的虚假定单来挤占它的资源，从而使合法用户不能得到正常的服务。 卖方面临的安全威胁 （1）系统中心安全性被破坏：入侵者假冒成合法用户来改变用户数据（如商品送达地址）、解除用户订单或生成虚假订单。 （2）竞争者的威胁：恶意竞争者以他人的名义来订购商品，从而了解有关商品的递送状况和货物的库存情况。 （3）商业机密的安全：客户资料被竞争者获悉。 （4）假冒的威胁：不诚实的人建立与销售者服务器名字相同的另一个www服务器来假冒销售者；虚假订单；获取他人的机密数据，比如，某人想要了解另一人在销售商处的信誉时，他以另一人的名字向销售商订购昂贵的商品，然后观察销售商的行动，假如销售商认可该定单，则说明彼观察者的信誉高，否则，则说明被观察者的信誉不高。 （5）信用的威胁：买方提交订单后不付款 解决电子商务安全问题的策略 安全电子交易的基本要求 1.身份的可认证性 身份的可认证性是指交易双方在进行交易前应能鉴别和确认对方的身份。在传统的交易中，交易双方往往是面对面进行活动的，这样很容易确认对方的身份。即使开始不熟悉、不能确信对方，也可以通过对方的签名、印章、证书等一系列有形的身份凭证来鉴别他的身份。另外，在传统的交易中如果是采用电话进行通信，也可以通过声音信号来识别对方身份。 2.信息的必威体育官网网址性 信息的必威体育官网网址性是指对交换的信息进行加密保护，使其在传输过程或存储过程中不被他人所识别。在传统的贸易中，一般都是通过面对面的信息交换，或者通过邮寄封装的信件或可靠的通信渠道发送商业报文，达到保守商业机密的目的。而电子商务是建立在一个开放的网络环境下，当交易双方通过Internet交换信息时，因为Internet是一个开放的公用互联网络，如果不采取适当的必威体育官网网址措施，那么其他人就有可能知道他们的通信内容；另外，存储在网络 的文件信息如果不加密的话，也有可能被黑客窃取。 3.信息的完整性 信息的完整性指确保信息在传输过程中的一致性，并且不被未经授权者所篡改，也称不可修改性。上面所讨论的信息必威体育官网网址性，是针对网络面临的被动攻击一类威胁而提出的安全需求，但它不能避免针对网络所采用的主动攻击一类的威胁。所谓被动攻击，就是不修改任何交易信息，但通过截获、窃取、观察、监听、分析数据流和数据流式获得有价值的情报。而主动攻击就是篡改交易信息，破坏信息的完整性和有效性，以达到非法的目的。 例如，在电子贸易中，乙给甲发了如下一份报文：“请给丁汇100元钱。乙”。报文在报发过程中经过了丙之手，丙就把“丁”改为“丙”。这样甲收到后就成了“请给丙汇100元钱。乙”，结果是丙而不是丁得到了100元钱。当乙得知丁未收到钱时就去问甲，甲出示有乙签名的报文，乙发现报文被篡改了。 4.不可抵赖性 交易的不可抵赖性是指交易双方在网上交易过程的每个环节都不可否认其所发送和收到的交易信息，又称不可否认性。由于商情千变万化，交易合同一旦达成就不能抵赖。在传统的贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章，确定合同、契约、单据的可靠性并预防抵赖行为的发生，这也就是人们常说的“白纸黑字”。 5.不可伪造