第3章电子商务的安全问题 电子商务的技术基础是计算机网络技术,特别是 Internet技术,由于 Internet的开放性和共享性,给电子商务的发展带来了极大的安全隐患,解决 安全性和保密性的问题,是当前电子商务所面对的一个主要问题。 3.1电子商务安全概述 计算机网络安全是计算机安全概念在网络环境下的扩展,我国专家对计算 机安全的定义为:计算机系统的硬件、软件、数据受到保护,不因偶然的或恶 意的原因而泄露、更改和破坏,系统能连续正常运行 计算机安全可以从三个方面来衡量,即保密性、完整性、可用性。 保密性( confidentiality):是指电子商务的贸易信息直接代表着个人、企 业或国家的商业机密。维护商业机密是电子商务全面推广应用的重要保障,要 在数据传输过程和存储过程中采用加密技术,使数据不被别人非法窃取、泄露
第 3 章 电子商务的安全问题 电子商务的技术基础是计算机网络技术,特别是 Internet 技术,由于 Internet 的开放性和共享性,给电子商务的发展带来了极大的安全隐患,解决 安全性和保密性的问题,是当前电子商务所面对的一个主要问题。 3.1 电子商务安全概述 计算机网络安全是计算机安全概念在网络环境下的扩展,我国专家对计算 机安全的定义为:计算机系统的硬件、软件、数据受到保护,不因偶然的或恶 意的原因而泄露、更改和破坏,系统能连续正常运行。 计算机安全可以从三个方面来衡量,即保密性、完整性、可用性。 保密性(Confidentiality):是指电子商务的贸易信息直接代表着个人、企 业或国家的商业机密。维护商业机密是电子商务全面推广应用的重要保障,要 在数据传输过程和存储过程中采用加密技术,使数据不被别人非法窃取、泄露
篡改和破坏 完整性( Integrity):是指电子商务简化了贸易的中间过程,但是由于数据 输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输 过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的 不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易 各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修 改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序 的统一。 可用性( Authentication):主要体现在识别机制上,对实体的某些参数进行 有效性验证,确认使用者的身份,交易合同、契约、或贸易单据的可靠性,预防抵 赖行为的发生。因此,要在交易信息的传输过程中为交易的个人、企业或国家提 供可靠的标识 网络安全技术是伴随着网络的诞生而出现的,但直到20世纪80年代末才 引起关注,90年代在国外获得了飞速的发展。近几年频繁出现的安全事故引起 了各国计算机安全界高度重视,计算机网络安全技术也因此出现了日新月异的 变化。安全核心系统、VPN安全隧道、身份认证、网络底层加密和网络入侵主
篡改和破坏。 完整性(Integrity):是指电子商务简化了贸易的中间过程,但是由于数据 输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输 过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的 不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易 各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修 改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序 的统一。 可用性(Authentication):主要体现在识别机制上,对实体的某些参数进行 有效性验证,确认使用者的身份,交易合同、契约、或贸易单据的可靠性,预防抵 赖行为的发生。因此,要在交易信息的传输过程中为交易的个人、企业或国家提 供可靠的标识。 网络安全技术是伴随着网络的诞生而出现的,但直到 20 世纪 80 年代末才 引起关注,90 年代在国外获得了飞速的发展。近几年频繁出现的安全事故引起 了各国计算机安全界高度重视,计算机网络安全技术也因此出现了日新月异的 变化。安全核心系统、VPN 安全隧道、身份认证、网络底层加密和网络入侵主
动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整 体安全性。 互联网已经日渐融入到人类社会的各个方面中,网络防护与网络攻击之间 的斗争也将更加激烈。这就对网络安全技术提出了更高的要求。未来的网络安 全技术将会涉及到计算机网络的各个层次中,但围绕电子商务安全的防护技术 将在未来几年中成为重点,如身份认证、授权检查、数据安全、通信安全等将 对电子商务安全产生决定性影响 3.1.1电子商务的安全威胁 电子商务的安全威胁来自电子商务系统的各个层面。主要是作为电子商务 基础的网络系统、开展电子商务的系统平台和该平台之上的电子商务应用系统 、网络系统的安全威胁 网络系统的主要安全威胁是网络操作系统、黑客攻击、计算机病毒和拒绝 服务、安全产品及管理等。 1.网络操作系统相关安全配置
动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整 体安全性。 互联网已经日渐融入到人类社会的各个方面中,网络防护与网络攻击之间 的斗争也将更加激烈。这就对网络安全技术提出了更高的要求。未来的网络安 全技术将会涉及到计算机网络的各个层次中,但围绕电子商务安全的防护技术 将在未来几年中成为重点,如身份认证、授权检查、数据安全、通信安全等将 对电子商务安全产生决定性影响。 3.1.1 电子商务的安全威胁 电子商务的安全威胁来自电子商务系统的各个层面。主要是作为电子商务 基础的网络系统、开展电子商务的系统平台和该平台之上的电子商务应用系统。 一、网络系统的安全威胁 网络系统的主要安全威胁是网络操作系统、黑客攻击、计算机病毒和拒绝 服务、安全产品及管理等。 1. 网络操作系统相关安全配置
不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只 有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安 全程度。千万不要以为操作系统缺省安装后,再配上很强的密码系统就算做安 全了。网络软件的漏洞和“后门”是进行网络攻击的首选目标 2.拒绝服务(DoS, Denial of Service)攻击 随着电子商务的兴起,对网站的实时性要求越来越高,DoS或DoS对网站 的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争 方式都来得更强烈,破坏性更大,造成危害的速度更快、范围也更广,而袭击 者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对 方没有实行报复打击的可能。例如“电子邮件炸弹”,它的表现形式是用户在很 短的时间内收到大量无用的电子邮件,从而影响正常业务的运行。严重时会使 系统关机,网络瘫痪。2000年2月美国“雅虎”、“亚马逊”受攻击事件就证明 了这一点。 3.黑客侵袭 即黑客非法进人网络非法使用网络资源,例如通过网络监听获取网上用户 的账号和密码:非法获取网上传输的数据;通过隐蔽通道进行非法活动:采用
不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只 有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安 全程度。千万不要以为操作系统缺省安装后,再配上很强的密码系统就算做安 全了。网络软件的漏洞和 “后门” 是进行网络攻击的首选目标。 2. 拒绝服务(DoS,Denial of Service)攻击 随着电子商务的兴起,对网站的实时性要求越来越高,DoS 或 DDoS 对网站 的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争 方式都来得更强烈,破坏性更大,造成危害的速度更快、范围也更广,而袭击 者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对 方没有实行报复打击的可能。例如“电子邮件炸弹”,它的表现形式是用户在很 短的时间内收到大量无用的电子邮件,从而影响正常业务的运行。严重时会使 系统关机,网络瘫痪。2000 年 2 月美国“雅虎”、“亚马逊”受攻击事件就证明 了这一点。 3.黑客侵袭 即黑客非法进人网络非法使用网络资源,例如通过网络监听获取网上用户 的账号和密码;非法获取网上传输的数据;通过隐蔽通道进行非法活动:采用
匿名用户访问进行攻击:突破防火墙等 4.计算机病毒的侵袭 当前,活性病毒达3000多种,计算机病毒侵入网络,对网络资源进行破坏, 使网络不能正常工作,甚至造成整个网络的瘫痪 5.安全产品使用不当 虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使 用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的 技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用 户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时 很容易产生许多安全问题 6.缺少严格的网络安全管理制度 网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要 用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真 正实现网络安全的基础 7.中国特色的安全威胁 中国作为发展中国家,在IT基础技术和管理上的弱势使我们的网络安全系
匿名用户访问进行攻击;突破防火墙等。 4.计算机病毒的侵袭 当前,活性病毒达 3000 多种,计算机病毒侵入网络,对网络资源进行破坏, 使网络不能正常工作,甚至造成整个网络的瘫痪。 5.安全产品使用不当 虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使 用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的 技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用 户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时, 很容易产生许多安全问题。 6.缺少严格的网络安全管理制度 网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要 用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真 正实现网络安全的基础。 7.中国特色的安全威胁 中国作为发展中国家,在 IT 基础技术和管理上的弱势使我们的网络安全系