电子商务安全
电子商务安全概述
案例:
A.在使用www时,你在连续不断地暴露自己的信息,其中包括你的IP地址和所用的浏览器。
B.某人非法进入银行系统将自己账户上的信息由“取”改为“存”,获取非法收入;或者将电子邮件的收件地址添加一个字母,导致邮件传输失败。
(1)什么是计算机安全?计算机系统安全主要包括哪些内容?
(2)电子商务的安全威胁主要涉及哪些方面?
分析如下:
(1) 计算机安全:国际标准化组织(ISO)将计算机安全定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶尔和恶意的原因而遭到破坏、更改和泄露。”此概念偏重于静态信息保护。如果注重于动态意义描述可以将“计算机安全”定义为:“计算机的硬件、软件和数据受到保护,不因偶尔和恶意的原因而遭到破坏、更改和泄露,系统连续正常运行。”
计算机系统安全主要包含以下五个方面的内容。
1) 系统设备安全
系统硬件设备是电子商务赖以存在的物理基础,它包括机房、机房内的各种设备和网络通信线路等,以及系统的物理条件及设施的安全标准、硬件的安装及配置等。系统设施安全即电子商务实体安全,就是指保护这些计算机硬件设备和物理线路的安全,保证其自身的可靠性和为系统提供基本安全前提。
在系统设计和施工中,要符合相关国家和国际标准,设备选型要满足安全性要求:必须优先考虑人和网络设备不受电、火灾和雷击的侵害,并努力防止和减少人为操作失误或者错误以及设备被盗、被毁、非法使用、电磁干扰、线路截获等侵害机会,同时还要考虑
可靠的系统和数据的恢复机制,对关键的设备和通信线路采用必要的冗余配置。常用的安全技术有系统备份、系统加密等。
2) 网络结构安全
电子商务系统网络拓扑结构的不同设计决定了网络系统的结构安全。系统设计时有必要将公开服务器(Web、DNS、E-mail等)和外网及内部其他业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许常通信的数据包到达相应主机,其他的请求服务在到达主机之前就应该遭到拒绝,从而确保网络系统的保密性、完整性和可用性。常用的安全措施有防火墙、防病毒软件、入侵检测等。
3) 系统平台安全
系统平台安全是指整个系统软件、应用软件和硬件平台防止意外和抵抗侵害的能力。系统软件是电子商务的核心驱动力,它指挥着电子商务的运作。系统软件主要包括操作系统、数据库系统和网络管理系统等;应用软件包括电子商务相关业务处理软件、服务软件等。用户不但要选用尽可能可靠的系统软件、应用软件和硬件平台,并对操作系统进行安全配置,保护系统软件和应用软件不被非法复制、不受病毒的侵害等,必须加强登陆过程的认证和操作权限的限制。
4) 网络数据安全
在电子商务系统资源中,最重要的资源是数据。数据安全是电子商务安全的核心,电子商务必须对数据的产生、处理、传输、管理和利用全过程实施保护,才有可能确保数据的保密性、完整性、不可修改性和不可否认性。数据安全包括网络信息的数据安全,数据库系统的安全,敏感数据的传输、存储和访问等。
数据安全也是电子商务安全中最难实现的部分,其中网络数据备份时一项重要措施。网络备份时对整个网络系统的一套备份体系,需要能够完成网络文件的备份和恢复、网络数据库的备份和恢复、网络系统的灾难性恢复、网络任务管理等功能。对于电子商务站点要特别注意保证各种数据的备份。
5) 系统管理安全
电子商务管理安全是网络中安全最重要的部分,是指从管理制度的设计和执行过程中,有效保护电子商务系统资源和信息不受侵害。为了提高对系统的可控性与可审查性,当系统受到攻击或其他
安全威胁时,系统应进行实时的检测、监控、报告与预警;当事故发生后,应能够提供攻击行为的追踪线索及破案依据。
为此,电子商务系统必须通过管理制度,落实对系统中访问活动的多层次记录,以及时发现非法入侵行为。如果电子商务系统中责权不明、安全管理制度不健全或者制度缺乏可操作性,都会引起系统安全管理方面的问题。
(2) 电子商务安全威胁涉及的方面如下。
1.计算机网络系统的安全威胁
1) 系统层安全性漏洞
由于电子商务系统的运作必须以计算机系统层的软硬件为基础,因此计算机系统层所使用的硬件设备、软件系统、数据库及网络整体结构中的安全漏洞将直接造成电子商务中的安全隐患。
2) 数据安全性威胁
(1)跨平台数据交换引起的数据丢失:Internet的发展使电子商务由最初的基于专线和增值网的封闭式电子数据交换(EDI)系统,逐步向跨平台的多信源电子商务万维网转变。在同一个电子商务网络中,可能同时存在多个操作系统,有多种型号的电脑设备,使用多种数据传输介质,并要求同时支持多国语言。如果平台之间的兼容性存在问题,有可能导致电子商务系统中的数据丢失。
(2)意外情况造成的数据破坏:如果对意外情况造成的损失没有充分的估计和完备的补救措施,那么意外情况造成的数据破坏时不可避免的。而数据破坏将对整个电子商务系统的稳定性和安全性造成威胁。
(3)传输过程中的数据截获:电子商务系统中的数据在传输过程中可能受到截获。攻击者可能通过互联网、公共电话网、搭线或在电磁波辐射范围内安装接收装置等方式,截获传输的机密信息,或通过对信息量和流向、通信频度和长度等参数的分析,获取有用的信息,如消费者的银行账号、密码等。
(4)传输过程中的数据完整性破坏:攻击者可能从中断、篡改、删除、插入和伪造等方面破坏信息的完整性。中断使系统不能正常工作;篡改,即改变信息流的次序,更改原始数据和信息的内容,如更改购买商品的出货地址等,影响客户信誉;删除,即删除某个
消息或消息的某部分;插入,即在消息中插入一些信息;伪造直接破坏真实性,使电子交易合法性受到挑战。
3) 计算机病毒的危害
从理论上来说,由于任何计算机系统和网络都要薄弱点,因此可以针对这些薄弱点设计出各式各样的病毒,没有一种计算机系统能够幸免于病毒的攻击。计算机病毒的危害可以分为对计算机的危害和对计算机网络的危害两个方面。
(1)病毒对计算机的危害:破坏磁盘文件分配表,使用户在磁盘上的信息丢失;将非法数据输入操作系统或修改破坏文件的数据;影响内存常驻程序的正常执行;在磁盘上产生虚假坏分区,从而破坏有关的程序或数据文件;更改或从新写入磁盘的卷标号;不断反复传染复制,造成存储空间减少,并影响系统运行效率;对整个磁盘或磁盘上的特定磁道进行格式化。如:引导区病毒、文件型病毒、宏病毒等。
(2)病毒对网络的主要危害:病毒程序通过“自我复制”传染正在运行的其他程序,并与正常运行的程序争夺计算机资源;病毒程序可冲毁存储器中的大量数据,致使计算机其他用户的数据蒙受损失,病毒不仅侵害所使用的计算机系统,而且侵害与该系统联网的其他计算机系统;病毒程序可导致计算机为核心的网络失灵。如:脚本病毒、蠕虫等。
4) “黑客”的攻击
电子商务起步不久,安全性措施尚不完善,是网络黑客攻击的焦点。黑客往往利用电子商务系统中的种种安全性漏洞,窃取和破坏系统数据,甚至修改系统,对整个系统的正常运作造成严重的危害。因此,一个成功的电子商务系统必须能有效的防止人为侵害。
2.商务交易的安全威胁
1) 交易销售方面临的威胁
对销售者而言,所面临的安全威胁主要有如下几项。
竞争者检索商品递送状况,恶意竞争者以他人的名义来订购商品,从而了解有关商品的递送状况和货物的库存情况,这样客户资料就被竞争者获悉。
被他人假冒而损害公司的信誉,不诚实的人建立与销售者服务器名字相同的另一个服务器来假冒销售者。
获取他人的机密数据,比如:某人想要了解另一个人在销售商处的信誉时,他以另一个人的名字向销售商订购昂贵的商品,然后观察销售商的行动。
消费者提交订单后不付款,或者使用信用卡进行支付时恶意透支、使用伪造的信用卡骗取货物等。
2) 交易购买方面临的威胁
对购买者而言,所面临的安全威胁主要有如下几个方面。
虚假订单。一个假冒者可能会以客户的名字来订购商品,而且有可能收到商品,从此时客户却被要求付款或返还商品。
付款后不能按质、按量、按时收到商品。在要求客户付款后,销售商中的内部人员不将订单和钱转发给执行部门,因而使客户不能收到商品。
机密性丧失。客户有可能将秘密的个人数据或自己的身份数据发送给冒充销售商的机构,这些信息也可能会在传递过程中被窃取。
拒绝服务。攻击者可能向销售商的服务器发送大量的虚假订单来穷竭它的资源,从而使合法用户不能得到正常的服务。
3) 交易双方面临的威胁
由于没有可靠的安全机制保证,交易双方否认现象时有发生。例如,发信者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条信息或内容;购买者作了订货单不承认;商家收到订货单不承认,等等,不论这种行为是有意还是无意,但双方争执在网上解决难度较大,不正当竞争威胁加剧。
姓名:丁海玲
班级:2009级物流管理三班
学号:[1**********]6