0电子商务安全管理.ppt

Copyright By Hmx,1997-2000 E-mail:Huangminxue@126.com Web: 电子商务（网络营销）（10） 武汉大学商学院 第十讲 电子商务安全管理 第一节 电子商务的安全要求 第二节 电子商务的安全管理方法 第三节 防止非法入侵 案例：世纪末的“二月黑客潮” 2月8日到10日，一伙神通广大的神秘黑客在三天的时间里接连袭击了互联网上包括雅虎、美国有线新闻等在内的五个最热门的网站，造成这些网站瘫痪长达数个小时 “拒绝服务”。不停发送垃圾信息来阻止正常访问 1999年6月，eBay网站因遭黑客袭击而瘫痪了整整 22个小时，从而使公司的股值在五天的时间内损失了26%！去年11月，该网站在三天的时间内因遭黑客袭击再次瘫痪4 个多小时。此后，公司被迫投资1800万美元用于改善网络的安全运作。 克林顿认为电子商务安全问题影响网络发展 第一节 电子商务的安全要求 电子商务安全吗？ 网上交易合法利益能得到保护吗？ 传统安全管理措施在网上能发挥作用吗？ 传统交易的安全保障 身份确认 》工商管理登记（地理位置） 》身份证，见面（会面），身份不可否认性、不易否认性 交易保护 》合同不可否认性（白纸黑字，字迹，公章） 》有效性（第三方公证，鉴定） 》合法权益保护（法律保护，属地原则） 》单证传输（有形） 》银行支付（结算，中介） 》货物运输（有形） 网上销售者面临威胁 中央系统安全性被破坏：入侵者假冒成合法用户来改变用户数据（如商品送达地址）、解除用户订单或生成虚假订单。 竞争者检索商品递送状况：恶意竞争者以他人的名义来订购商品，可了解有关商品的递送和货物的库存情况。 客户资料被竞争者获悉。侵犯隐私、客户被抢 被他人假冒而损害公司的信誉：不诚实的人建立与销售者服务器名字相同的另一个服务器来假冒销售者。 消费者提交订单后不付款。尝试性购买，不方便 虚假订单。尝试性 获取他人的机密数据。 网上购买者面临威胁 虚假订单：假冒者可能会以客户的名字来订购商品，而且有可能收到商品，而此时客户却被要求付款或返还商品。 付款后不能收到商品：在要求客户付款后，销售商中的内部人员不将定单和钱转发给执行部门，使客户不能收到商品。 机密性丧失：客户有可能将秘密的个人数据或自己的身份数据（如帐号、口令等）发送给冒充销售商的机构，这些信息也可能会在传递过程中被窃取。 拒绝服务：攻击者可能向销售商的服务器发送大量的虚假定单来穷竭它的资源，从而使合法用户不能得到正常的服务。 网上交易的安全问题 传统交易特点 》可以面对面，单证的有形，交易封闭，容易建立信任 网上交易的潜在隐患 》交易双方的虚拟性，远程性（非面对面）=》缺乏信任 》信息传输的开放性（非封闭）=》攻击可能性增大 》交易参与方庞杂（容易出现问题）=》难以控制 》网上单证的数字化（非有形）=》容易无痕迹修改 产生交易风险 》信息传输风险、信用风险、管理风险以及法律方面风险 信息传输风险 信息传输风险含义 》指进行网上交易时，因传输的信息失真或者信息被非法的窃取、篡改和丢失，而导致网上交易的不必要损失 信息传输风险类型 》冒名偷窃。如“黑客”为了获取重要的商业秘密、资源和信息，常常采用源IP地址欺骗攻击。 》篡改数据。攻击者未经授权进入网络交易系统，使用非法手段，删除、修改、重发某些重要信息，破坏数据的完整性，损害他人的经济利益，或干扰对方的正确决策，造成网上交易的信息传输风险。 信息传输风险 》信息丢失。可能有三种情况：一是因为线路问题造成信息丢失；二是因为安全措施不当而丢失信息；三是在不同的操作平台上转换操作不当而丢失信息。 》信息传递过程中的破坏。信息在网络上传递时，要经过多个环节。计算机技术发展迅速，原有的病毒防范技术、加密技术、防火墙技术等存在着被新技术攻击的可能性。 》虚假信息。从买卖双方自身的角度观察，网上交易中的信息传输风险还可能来源于用户以合法身份进入系统后，买卖双方都可能在网上发布虚假的供求信息，或以过期的信息冒充现在的信息，以骗取对方的钱款或货物。 对比：传统有形，可留下痕迹；网上容易修改、无痕迹 信用风险 信用风险来源 》来自买方的信用风险。对于个人消费者来说，可能在网络上使用信用卡进行支付时恶意透支，或使用伪造的信用卡骗取卖方的货物行为；对于集团购买者来说，存在拖延货款的可能，卖方需要为此承担风险。 》来自卖方的信用风险。卖方不能按质、按量、按时寄送消费者购买的货物，或者不能完全履行与集团购买者签定的合同，造成买方的风险。 》买卖双方都存在抵赖的情况。 信用风险特点 》传统可以面对面，控制风险；网上交易时空分离，环节分离，更加依赖信用体系，同时信用体系也更加脆弱 管理方面的风险 网上交易管理风险是指由于交易流程管理、人员管理、