學習目標:
1.電子商務面臨的主要安全威脅.
2.電子商務對安全的基本要求.
3.電子商務常用的資料加密技術.
4.電子商務的認證體系.
和set的流程和工作原理.
目前,阻礙電子商務廣泛應用的首要問題就是安全問題。從整體上看,電子商務安全包括計算機網路安全和商務交易安全兩大部分。計算機網路安全是指利用網路管理控制和技術措施,保證在乙個網路環境裡,資訊資料的機密性、完整性及可使用性受到保護。
對網路安全技術的研究,始於20世紀70年代中後期,由於出現了較嚴重的計算機犯罪和其他網路安全問題,因此少數國家開始研究和採取一些措施。所以,網路安全技術遠遠落後於網路應用技術的發展水平。
1、計算機安全問題
計算機是電子商務活動中所使用的重要工具,因此計算機的安全對於電子商務安全具有很重要的影響,如何保證計算機的安全也就成為電子商務安全中所需(要)重點關注的問題。
安全專家通常把計算機安全分成三類:保密、完整和即需。保密是指防止未經授權的資料暴露並確保資料來源的可靠性;完整是防止未經授權的資料修改;即需是防止延遲或拒絕服務。
計算機安全中最知名的領域是保密,新聞**上每個月都會有非法進入**計算機或用偷來的信用卡號訂購商品的報道。相對來說完整所受的安全威脅較少,因此大眾對這個領域比較陌生。如果一封電子郵件的內容被篡改成完全相反的意思,這就是對完整性的破壞。
對即需性破壞的案例很多,而且頻繁發生。延遲乙個訊息或消除它有時會帶來災難性的後果。
2、網路安全問題
網路安全所遭受到的攻擊可以分為四類:
(1)中斷:指系統的部分元件遭到破壞或使其不能發揮作用,例如切斷系統主機對外的網路連線使其無法使用,這是對系統的可用性做攻擊。
(2)介入:指未經授權者授權取得系統的資源,其中的未經授權者可以是一台計算機、乙個人,或是一組程式,例如,利用軟體竊取網路上傳送的機密資料,就是對資料機密性的攻擊。
(3)篡改:指系統資源被未經授權的人所取得、乃至篡改內容,例如在網路上傳送的訂單遭到任意改變,是對資料的正確性的攻擊。
(4)假造:指未經授權者授權將假造資料放入系統中,這是對資料的真實性的攻擊,如在網路上假造身份證明檔案以假冒他人。
而網路安全的隱患主要表現在以下四個方面:
(1)開放性。開放性和資源共享是internet最大的特點,也是其優點,但它的問題卻不容忽視。因為,當甲使用者可以輕易地訪問乙使用者的計算機時,如果不採取任何安全措施,乙使用者也可以同樣方便地訪問甲使用者的計算機。
internet上連線的計算機是如此之多,這種開放性所帶來的隱患確實不容忽視。
(2)傳輸協議。internet採用tcp/ip傳輸協議,這種協議本身並沒有採取任何措施來保護傳輸內容不被竊取。tcp/ip協議是一種包交換網路,各個資料報在網路上都是透明傳輸的,可能經過不同的網路,並由那些網路上的路由器**,才能到達目的計算機。
而tcp/ip協議本身沒有考慮安全傳輸,很多應用程式,如telnet、ftp等,甚至使用明文來傳輸非常敏感的口令資料。
(3)作業系統。internet底層的作業系統是unix,unix的誕生並不是出於商業目的,所以其源**是公開的,這樣就很容易被發現漏洞,給internet使用者帶來安全問題。例如木馬程式主要就是利用作業系統的漏洞展開攻擊的。
木馬程式是指乙個程式表面上在執行乙個任務,實際上卻在執行另乙個任務。黑客的木馬程式事先已經以某種方式潛入你的機器,並在適當的時候啟用,潛伏在後台監視系統中執行,它同一般程式一樣,能實現一定的功能。例如,拷貝、刪除檔案、格式化硬碟、傳送電子郵件。
典型的木馬程式可以竊取別人在網路上的賬號和口令,它有時在使用者合法的登入前偽造一登入現場,提示使用者輸入賬號和口令,然後將賬號和口令儲存至乙個檔案中,顯示登入錯誤,然後退出木馬程式。這是使用者以為自己輸錯了,再試一次時,已經是正常的登入了,使用者也就不會有懷疑。其實,木馬程式已完成了任務,躲到一邊去了。
(4)資訊電子化。與傳統的書面信函相比,電子化資訊的固有弱點就是缺乏可信度,因為電子資訊是否正確完整是很難由資訊本身來鑑別的,另外電子資訊還存在著難以確認資訊的發出者以及資訊是否被正確無誤地傳遞給接收方的問題。
電子商務的安全不僅僅是狹義上的網路安全,比如防病毒、防黑客、入侵檢測等等,從廣義上講還包括交易安全,從這種意義上來說,電子商務的安全涵蓋面比一般的網路安全要廣泛得多,其要求也就超過了網路安全的要求範圍。
首先電子商務的安全是乙個複雜的管理問題。管理公司內部的網路環境很複雜,當把企業網與internet相連時,效能、安全、可管理性等方面就面臨挑戰。
其次,電子商務安全是乙個技術安全問題。電子商務應由合法的系統進行確認和支援。檔案上的數字簽字在法庭上與書面簽字具有同等效力。
電子商務是通過資訊網路傳輸商務資訊和進行**的,與傳統的有紙**相比減少了直接的票據傳遞和確認等商業活動,因此要求電子商務比有紙**更安全,更可靠。這首先需要技術上的保證,如電子簽名等技術手段的使用。
再次,電子商務安全是乙個法律問題,電子商務安全問題的真正解決需要通過法律的完善來加以保證。
電子商務安全的基本要求體現在以下幾個方面:
1、有效性、真實性。
有效性、真實性就是能對資訊和實體進行鑑別。電子商務以電子形式取代了紙張,如何保證這種電子形式的**資訊的有效性和真實性則是開展電子商務的前提。電子商務作為**的一種形式,其資訊的有效性和真實性將直接關係到個人、企業或國家的經濟利益和聲譽。
因此,要對網路故障、操作錯誤、應用程式錯誤、硬體故障、系統軟體錯誤及計算機病毒所產生的潛在威脅加以控制和預防,以保證**資料在確定的時刻、確定的地點的真實有效。
2、機密性。
機密性要求即是能保證資訊不被洩露給非授權的人或實體。在利用網路進行的交易中,必須保證傳送者和接收者之間所交換(的)資訊的機密性。電子商務作為**的一種手段,其資訊直接代表著個人、企業或國家的商業機密。
傳統的紙面**都是通過郵寄封裝的信件或通過可靠的通訊渠道傳送商業報文來達到保守機密目的的。電子商務是建立在乙個開放的網路環境上的,防止商業洩密是電子商務全面推廣應用的重要保障。因此,要預防非法的資訊訪問和資訊在傳輸過程中被非法竊取,確保只有合法使用者才能看到資料,防止洩密事件。
3、資料的完整性。
完整性要求即(是)能保證資料的一致性,防止資料被非授權訪問修改和破壞。電子商務簡化了**過程,減少了人為的干預,同時也帶來維護商業資訊的完整統一的問題。由於資料輸入時的意外差錯或欺詐行為,可能導致**各方資訊的差異。
此外,資料傳輸過程中資訊的丟失、資訊重複或資訊傳送的次序差異也會導致**各方資訊的不同。而**各方資訊的完整性將影響到**各方的交易和經營策略,保持**各方資訊的完整性是電子商務應用的基礎。因此,要預防對資訊的隨意修改和刪除,同時要防止資料傳送過程中資訊的丟失和重複,並保證資訊傳送順序的統一。
4、可靠性、不可抵賴性和可控性。
可靠性要求即是能保證合法使用者對資訊和資源的使用不會被不正當地拒絕;不可抵賴性要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或實體的使用方式。電子商務直接關係到**雙方的商業交易,如何確定要進行交易的**對方這一問題則是保證電子商務順利進行的關鍵。在傳統的紙面**中,**雙方通過在交易合同、契約或**單據等書面檔案上手寫簽名或印章來鑑別**夥伴,確定合同、契約、單據的可靠性並預防抵賴行為的發生。
這也就是人們常說的「白紙黑字」,一旦交易開展後便不可撤銷。交易中的任何一方都不得否認其在該交易中的作用。
而在無紙化的電子商務方式下,通過手寫簽名和印章進行**方的鑑別已是不可能的。因此,要在交易資訊的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識,以保證資料傳送方在傳送資料後不能抵賴;資料接收方在接收資料後也不能抵賴。為了進行業務交易,各方還必須能夠對另一方的身份進行鑑別,一旦雙方就某項交易簽訂合同後,這項交易就應受到保護以防止被篡改或偽造。
1、完善各項管理制度
安全管理制度是用文字形式對各項安全要求所作的規定,企業在參與電子商務初期,就應當形成一套完整的、適應於網路環境的安全管理制度,這些制度應當包括:
(1)人員管理制度。保障計算機系統的安全,首先要從體制和管理上下功夫,要建立完善的安全管理的體制和制度,建立一套行之有效的安全管理措施和手段。
(2)保密制度。建立完善的保密體系,提出相應的保密措施,加強對金鑰的管理。
(3)跟蹤審計制度。跟蹤是指企業建立網路交易系統日誌機制,記錄系統執行的全過程,審計包括對系統日誌的檢查、審核,以便及時發現故意入侵系統行為的記錄和違反系統安全要求的記錄等等。
(4)系統維護制度。包括軟硬體的日常維護工作,做好資料備份工作。
(5)病毒防範制度。要有較強的病毒防範意識,要安裝防病毒軟體,注意不開啟來自陌生位址的電子郵件,建立病毒清理制度等。
(6)應急措施。在緊急事故發生時,利用各項應急措施來保障計算機資訊系統繼續執行或緊急恢復,如採用瞬時複製技術、遠端磁碟映象技術和資料庫恢復技術等。
2、技術對策
技術對策指通過各種產品和技術來保證網路的安全。如:
(1)網路安全檢測裝置,如可以通過網路安全監控系統找出安全隱患,提供堵住安全漏洞所必須的校正方案,監控各種變化情況,從而使使用者可以找出經常發生問題的根源所在;
(2)開發各種具有較高安全性的訪問裝置,如安全磁碟、智慧卡等;
(3)通過認證中心進行證書的認證和發放;
(4)保護傳輸線路安全,傳輸線路應有露天保護措施或埋於地下,並要求遠離各種輻射源,以減少由於電磁干擾引起的資料錯誤;
(5)要有較強的防入侵措施,利用報警系統檢測違反安全規程的行為,對在規定次數內不正確的安全密碼使用者,網路系統可以採取行動鎖住該終端並報警;
(6)加強資料加密的工作,網路中的資料加密方式有鏈路加密、節點加密和端對端加密等方式;
(7)進行嚴格的訪問控制,當一主體試圖非法使用乙個未經授權的資源時,訪問控制機制將拒絕這一企圖;
(8)建立合理的鑑別機制,包括報文鑑別、數字簽名和終端識別技術,以便查明某乙個實體身份;
(9)進行通訊流的控制,使網路中的資料流量比較平衡,以防止破壞者通過分析網路中的某一路徑的資訊流量和流向來判斷某事件的發生;
電子商務安全相關技術附稿
資訊保密性 交易中的商務資訊均有保密的要求。如信用卡的賬號和使用者名稱等不能被他人知悉,因此在資訊傳播中一般均有加密的要求。資訊完整性 是指資訊在輸入和傳輸的過程中,不被非法授權修改和破壞,保證資料的一致性。保證資訊完整性需要防止資料的丟失 重複及保證傳送秩序的一致。保證各種資料的完整性是電子商務應...
電子商務技術基礎練習
電子科技大學中山學院電子商務專業 電子商務技術基礎 課程練習作業 姓名得分 一 選擇題 40分,每題2分 1 以下選項中不屬於電子郵件主要特點的是 a 可以訪問遠端計算機 b 低 c 速度快 d 可傳送多 2 關於計算機主機組成的說法正確的是 a 由cpu和儲存器組成 b 由cpu和記憶體儲器組成 ...
電子商務技術比賽規程
電子商務技術比賽分為3部分內容 網路營銷 交易和知識測試。1 網路營銷。利用賽會提供的計算機 攝影器材 自帶 商品收納箱 工作台等裝置,在 廣東省中職學校電子商務教學實訓平台 以下簡稱教學實訓平台 上,完成比賽指定的網路營銷任務,即 店鋪申請與裝修 商品拍攝 處理 商品描述 上傳 商品分類 論壇營銷...