文档介绍:第8章电子商务的安全
电子商务的核心问题是交易的安全性,这是网上交易的基础,也是电子商务技术的难点。近年来,已采用和制定了一系列的方法来解决网上交易的安全性问题。本章主要讲述如下内容:
电子商务的安全问题
电子商务的安全管理
电子商务的安全管理方法
防止非法入侵的技术措施
常用的安全电子交易手段
相关案例分析
11/10/2017
邢台职业技术学院计算机网络教研室
在传统交易过程中,买卖双方是面对面的,因此很容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系的,而且彼此远隔千山万水。由于因特网既不安全,也不可信,因而建立交易双方的安全和信任关系相当困难。电子商务交易双方(销售者和购买者)都面临不同的安全威胁。
11/10/2017
邢台职业技术学院计算机网络教研室
网络“黑客”攻击电子商务系统常用的手段
1.“黑客”的概念
“黑客(Hacker)”源于英语动词Hack,意为“劈,砍”,引申为“辟出,开辟”,进一步的意思是“干了一件非常漂亮的工作”。今天的“黑客”可分为两类:一类是骇客,他们只想引人注目,证明自己的能力,在进入网络系统后,不会去破坏系统,或者仅仅会做一些无伤大雅的恶作剧,他们追求的是从侵入行为本身获得巨大的成功的满足。另一类是窃客,他们的行为带有强烈的目的性。早期的“黑客”主要是窃取国家情报、科研情报,而现在的“黑客”的目标大部分瞄准了银行的资金和电子商务的整个交易过程。
11/10/2017
邢台职业技术学院计算机网络教研室
2. “黑客”的攻击手段
“黑客”们攻击电子商务系统的手段可以大致归纳为:
(1) 中断(攻击系统的可用性):破坏系统中的硬件、硬盘、线路、文件系统等,使系统不能正常工作;
(2) 窃听(攻击系统的机密性):通过搭线和电磁泄漏等手段造成泄密,或对业务流量进行分析,获取有用情报;
(3) 篡改(攻击系统的完整性):篡改系统中数据内容,修正消息次序、时间(延时和重放);
(4) 伪造(攻击系统的真实性):将伪造的假消息注入系统、假冒合法人接入系统、重放截获的合法消息实现非法目的,否认消息的接收或发送等;
(5) 轰炸(攻击系统的健壮性):用数百条消息填塞某人的E-mail信箱也是一种在线袭扰的方法。
11/10/2017
邢台职业技术学院计算机网络教研室
从整个电子商务系统着手分析,可以将电子商务的安全问题,归类为下面四类风险,即信息传输风险、信用风险、管理风险以及法律方面风险。
信息传输风险是指进行网上交易时,因传输的信息失真或者信息被非法窃取、篡改和丢失,而导致网上交易的不必要损失。从技术上看,网上交易的信息传输风险主要来自冒名偷窃、篡改数据、信息丢失、信息传递过程中的破坏、虚假信息等五个方面。
信用风险主要包括来自买方的信用风险、来自卖方的信用风险以及买卖双方都存在抵赖的情况等三个方面。
11/10/2017
邢台职业技术学院计算机网络教研室
网上交易管理风险是指由于交易流程管理、人员管理、交易技术管理的不完善所带来的风险。
在目前的法律上还是找不到现成的条文保护网络交易中的交易方式,因此还存在法律方面的风险。一方面,在网上交易可能会承担由于法律滞后而无法保证合法交易的权益所造成的风险,如通过网络达成交易合同,可能因为法律条文还没有承认数字化合同的法律效力而面临失去法律保护的危险。另一方面,在网上交易可能承担由于法律的事后完善所带来的风险,即在原来法律条文没有明确规定下而进行的网上交易,在后来颁布新的法律条文下属于违法经营所造成的损失,如一些电子商务公司在开通网上证券交易服务一段时间后,国家颁布新的法律条文规定只有证券公司才可以从事证券交易服务,从而剥夺了电子商务服务公司提供网上证券交易服务的资格,给这些电子中间商经营造成巨大损失。
11/10/2017
邢台职业技术学院计算机网络教研室
电子商务的安全控制要求
信息保密性、交易者身份的确定性、不可否认性、不可修改性。
安全超文本传输协议(S-HTTP) 、安全套接层协议(SSL:Secure Sockets Layer) 、安全电子交易协议(SET:Secure Electronic Transaction) 、安全交易技术协议(STT:Sec