文档介绍:电子商务系统安全概述
安全问题成为阻碍网上交易发展的首要问题
第三方:截取、盗用信用信息
对方:抵赖交易
电子商务中存在的安全隐患和威胁
安全隐患源于网络平台:因特网(),采用TCP/IP使不同网络、不同计算机之间实现通信。
的安全隐患
访问共享资源的权限
TCP/IP:透明传输,路由器转发
数据在传输过程中可能会遭到IP窥探、同步信号淹没、TCP会话劫持、复位与结束信号攻击等威胁。
UNIX,开源,漏洞,用户带来安全问题。
电子信息的真实性、正确性、完整性
带给电子商务的安全威胁:
非法入侵者的侵入,造成商务信息被篡改、盗窃或丢失;
商业机密在传输过程中被第三方窃取、篡改和破坏;
虚假身份的交易对象及虚假订单、合同;
贸易对象的抵赖(如拒绝承认双方已商定的价格、数量、订单、合同,拒绝承认收到的货款或商品等);
由于计算机系统故障对交易过程和商业信息安全所造成的破坏。
电子商务的安全性需求
信息不被非授权的人或实体窃取(无论是无意的还是恶意的)。防止入侵者侵入系统;信息的加密传输。
数据不被非授权建立、修改和破坏。预防信息被随意生成、修改和删除;防止数据传送过程中丢失和重复。
发送方不可否认已经发送的信息,接收方不可否认已经收到的信息。交易参与者的可靠标识与交易过程数据的捆绑(认证、签名)。
交易参与者身份的真实性。反假冒,交易参与者必须持有可靠标识。
电子商务系统的可靠性,指由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒和自然灾害等所产生的潜在威胁状态下,而仍能确保系统安全、可靠。保证计算机系统的安全是保证电子商务系统数据传输、数据存储及电子商务完整性检查的正确和可靠的根基。
保密信息(银行)、自动化业务流程
安全管理
对电子商务人员安全工作的规范和准则
(1) 人员管理制度
人员选拔制度
工作责任制
考核制度
(2) 保密制度
划分信息的安全防范重点
提出相应的保密措施
加强密钥管理(产生、传递、销毁、更换)
(3) 跟踪、审计、稽核制度
跟踪:日志机制,记录系统运行过程
审计:对系统日志的检查、审核,监控和捕捉各种安全事件,发现入侵行为和违规记录,保存、维护和管理系统日志。
稽核:判断商务活动的合理性和安全性
(4) 系统的日常维护制度
软硬件的日常维护
数据备份
(1) 利用网络安全检测设备,实施安全监控
SAFE suite(网络安全监控系统) : 安全隐患的查找和校正,变化情况的监控
(2) 较高安全性的访问设备(支持身份认证、购买授权及实际和虚拟访问控制,如安全磁盘、智能卡等)
(3) 建立安全的防火墙体系
网络分组过滤
(4) 数据加密
选择加密方式以及实现加密的网络协议
密钥的分配及管理
(5) 数据完整性的控制(原发性、一致性、顺序)
(6) 认证中心的建立
证书的使用
(7) 鉴别机制(对方实体身份的验证)
报文鉴别、数字签名或终端识别
(8) 通信流的控制
持续地传送伪随机数据
填充报文和改变传输路径