電子商務(wù)技術(shù)第四章第一節(jié)

第四章電子商務(wù)安全基礎(chǔ)知識案例一：一名網(wǎng)絡(luò)管理員自行開設(shè)了一家訂票網(wǎng)站“長春鐵路在線”的網(wǎng)站，以定票的名義從事網(wǎng)絡(luò)欺騙。免費(fèi)贈送QQ幣：登陸該網(wǎng)站，發(fā)現(xiàn)該網(wǎng)站從網(wǎng)頁布局到域名，都仿冒騰訊公司的QQ網(wǎng)站設(shè)立，讓用戶以為是騰訊官方進(jìn)行的市場促銷活動。當(dāng)用戶按照該網(wǎng)站的提示填入自己的QQ號碼后，該網(wǎng)站甚至?xí)棾鲆粋€假冒的QQ軟件系統(tǒng)信息窗口，讓用戶誤以為自己真獲得了騰訊公司贈送的QQ幣。同時，該網(wǎng)站還提示說：“恭喜您！您成功獲得5個QQ幣，但是還沒有被激活。馬上把下面這個地址發(fā)給您QQ上的五位朋友點(diǎn)擊來激活吧。誘騙用戶把這個虛假信息傳遞給自己的QQ好友。目的：該網(wǎng)站為了提高自己的網(wǎng)絡(luò)全球排名、獲取商業(yè)利益的伎倆。

ALEXA提供的資料，一個星期內(nèi)，該騙子網(wǎng)站的全球排名從80000多位上升到了2000多位。根據(jù)業(yè)內(nèi)權(quán)威人士分析，每天受騙登陸該網(wǎng)站的人數(shù)可達(dá)數(shù)十萬。類似的網(wǎng)絡(luò)詐騙行為在西方歐美國家已經(jīng)成為威脅用戶安全的一種主流詐騙手段，單單信用卡用戶每年遭受的損失就有數(shù)十億美元，因此用戶一定不能掉以輕心。

案例二：

黃群威編造、故意傳播虛假恐怖信息案2003年4月，注冊名為“zzzzxxxxzz”的用戶，在“西路網(wǎng)”［］論壇發(fā)表標(biāo)題為“絕對可靠內(nèi)部消息，上海隱瞞了大量非典病例”一文，IP地址為［54］。西路當(dāng)值安全監(jiān)控員刪除該文章時，點(diǎn)擊率為945次；案例三：證券大盜

2004年11月，四川廣漢的投資者陳先生，在毫不知情的情況下，其賬戶中的股票“動力源”被賣掉，并以8.33元買入了陽光發(fā)展，給他造成了上萬元的損失。陳先生詢問開戶營業(yè)部——華西證券廣漢營業(yè)部，才知道原來這是網(wǎng)絡(luò)病毒“證券大盜”搞的鬼。

參見：《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報告（2010/6）》半年有59.2%的網(wǎng)民在使用互聯(lián)網(wǎng)過程中遇到過病毒或木馬攻擊，遇到該類不安全事件的網(wǎng)民規(guī)模達(dá)到2.5億人。2010年上半年，有30.9%的網(wǎng)民賬號或密碼被盜過，網(wǎng)絡(luò)安全的問題仍然制約著中國網(wǎng)民深層次的網(wǎng)絡(luò)應(yīng)用發(fā)展。

89.2%的電子商務(wù)網(wǎng)站訪問者擔(dān)心訪問假冒網(wǎng)站；而他們?nèi)绻麩o法獲得該網(wǎng)站進(jìn)一步的確認(rèn)信息，86.9%的人會選擇退出交易?；ヂ?lián)網(wǎng)向商務(wù)交易型應(yīng)用的發(fā)展，急需建立更加可信、可靠的網(wǎng)絡(luò)環(huán)境。電子商務(wù)安全問題的原因先天原因網(wǎng)絡(luò)的全球性、開放性和共享性使得電子商務(wù)傳輸過程中的信息安全存在先天不足。后天原因管理——美國90%的IT企業(yè)對黑客的攻擊準(zhǔn)備不足。人——黑客攻擊技術(shù)——軟件漏洞、后門耐克網(wǎng)站被黑客篡改一電子商務(wù)安全的重要性一、電子商務(wù)安全的重要性1.保證商務(wù)信息的安全是進(jìn)行電子商務(wù)的前提2.保障網(wǎng)上購物、交易、結(jié)算等電子商務(wù)各環(huán)節(jié)的安全問題是促進(jìn)電子商務(wù)更快發(fā)展的關(guān)鍵。一、電子商務(wù)安全的重要性3.電子商務(wù)的安全問題集中在：信息泄露、篡改、身份識別、信息破壞。主要來自以下幾個方面：（1）冒名偷竊：hacker為了獲得一些商業(yè)機(jī)密資源和信息，通常采用源IP地址欺騙攻擊。（2）篡改數(shù)據(jù)：攻擊者未經(jīng)授權(quán)進(jìn)入EC系統(tǒng)，使用非法手段刪除、修改、重發(fā)某些重要信息，破壞數(shù)據(jù)的完整性，損害他人利益。一、電子商務(wù)安全的重要性主要來自以下幾個方面：（3）信息丟失：三種情況下可能丟失信息，一是由于線路問題造成信息丟失，如電源斷電、通信線路斷開等；二是安全措施不錄導(dǎo)致丟失數(shù)據(jù)信息，如信息在傳遞過程中未加密，被hacker修改、刪除了；三是不同的操作平臺上轉(zhuǎn)換操作從而丟失信息。（4）信息傳遞出問題：信息在傳遞的過程中，可能由于線路質(zhì)量較差，水災(zāi)、火災(zāi)等問題而出現(xiàn)問題，或者被hacker搭線竊聽致使重要數(shù)據(jù)泄露。二電子商務(wù)安全的內(nèi)容二、電子商務(wù)安全的內(nèi)容1．電子商務(wù)系統(tǒng)硬件安全2.電子商務(wù)系統(tǒng)軟件安全3.電子商務(wù)系統(tǒng)運(yùn)行安全4.電子商務(wù)安全立法5.電子商務(wù)信息的安全三電子商務(wù)面臨的安全威脅電子商務(wù)安全概念與特點(diǎn)電子商務(wù)的一個重要技術(shù)特征是利用IT技術(shù)來傳輸和處理商業(yè)信息，因此，電子商務(wù)安全從整體上可分為兩大部分：計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全。計(jì)算機(jī)網(wǎng)絡(luò)安全

計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括：計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等。其特征是針對計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題，實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案，以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全為目標(biāo)。商務(wù)交易安全商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時產(chǎn)生的各種安全問題，在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，保障以電子交易和電子支付為核心的電子商務(wù)的順利進(jìn)行。即實(shí)現(xiàn)電子商務(wù)保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等。

同時，電子商務(wù)安全又有它自身的特殊性，即以電子交易安全和電子支付安全為核心，有更復(fù)雜的機(jī)密性概念，更嚴(yán)格的身份認(rèn)證功能，對不可拒絕性有新的要求，需要有法律依據(jù)性和貨幣直接流通性特點(diǎn)，還要網(wǎng)絡(luò)設(shè)有的其他服務(wù)(如數(shù)字時間戳服務(wù))等。電子商務(wù)安全與網(wǎng)絡(luò)安全信息安全互聯(lián)網(wǎng)安全網(wǎng)絡(luò)安全密碼安全電子商務(wù)安全四大特性

1．電子商務(wù)安全是一個系統(tǒng)概念

電子商務(wù)安全問題不僅僅是個技術(shù)性的問題，更重要的是管理問題，而且它還與社會道德、行業(yè)管理以及人們的行為模式都緊密地聯(lián)系在一起。2．電子商務(wù)安全是相對的

安全是相對的，而不是絕對的，要想以后的網(wǎng)站永遠(yuǎn)不受攻擊、不出安全問題是不可能的。3．電子商務(wù)安全是有代價的

如果只注重速度，就必定要以犧牲安全來作為代價；如果要考慮到安全，速度就得慢一點(diǎn),如果不直接牽涉到支付等敏感問題，對安全的要求就可以低一些；如果牽涉到支付問題，對安全的要求就要高一些，所以安全是有成本和代價的。4．電子商務(wù)安全是發(fā)展的、動態(tài)的

今天安全，明天就不一定安全，沒有一勞永逸的安全，也沒有一蹴而就的安全。三、電子商務(wù)面臨的安全威脅1.計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險（開放性、傳輸協(xié)議、操作系統(tǒng)、信息電子化）（1）物理安全問題——通信安全——輻射安全（電傳打印機(jī)）（2）網(wǎng)絡(luò)安全問題（3）網(wǎng)絡(luò)病毒的威脅（4）黑客攻擊（5）電子商務(wù)網(wǎng)站自身的安全問題（加密技術(shù)、認(rèn)證技術(shù)、安全認(rèn)證技術(shù)）電子商務(wù)面臨的安全威脅對客戶機(jī)的安全威脅1、動態(tài)內(nèi)容2、相關(guān)技術(shù)或機(jī)制(1)cookie(2)郵件通訊簿(3)信息隱蔽對通信信道的安全威脅對通信信道的安全威脅1、搭線竊聽2、IP欺騙3、IP源端路由選擇4、目標(biāo)掃描對服務(wù)器的安全威脅1、WWW服務(wù)器2、數(shù)據(jù)庫服務(wù)器3、CGI4、ASP5、郵件炸彈6、溢出攻擊7、口令破譯安全隱患(一）

硬件的安全隱患；

操作系統(tǒng)安全隱患；“后門”

網(wǎng)絡(luò)協(xié)議的安全隱患；

數(shù)據(jù)庫系統(tǒng)安全隱患；

計(jì)算機(jī)病毒；

管理疏漏，內(nèi)部作案；

重應(yīng)用，輕安全。安全隱患(二）由于非法用戶可以偽造、假冒電子商務(wù)網(wǎng)站和用戶的身份。敏感信息和交易數(shù)據(jù)在傳輸過程中有可能被惡意篡改。網(wǎng)上交易行為一旦被進(jìn)行交易的一方所否認(rèn)，另一方?jīng)]有已簽名的記錄來作為仲裁的依據(jù)。威脅最大的“網(wǎng)絡(luò)釣魚”式攻擊假冒網(wǎng)站郵件欺騙木馬病毒中國銀行網(wǎng)站中國銀行的假冒域名是，多一個英文字母f；中國工商銀行網(wǎng)站中國工商銀行域名是，與，也只是“1”和“i”一字之差；中國農(nóng)業(yè)銀行網(wǎng)站中國農(nóng)業(yè)銀行域名是以垃圾郵件的形式大量發(fā)送欺詐性郵件，這些郵件多以中獎、顧問、對賬等內(nèi)容引誘用戶在郵件中填入金融賬號和密碼，或是以各種緊迫的理由要求收件人登錄某網(wǎng)頁提交用戶名、密碼、身份證號、信用卡號等信息，繼而盜竊用戶資金。國內(nèi)第一例中文混合型病毒“重要文件”冒充一家購物網(wǎng)站郵件迷惑用戶，危害僅是可能將盜取個別用戶網(wǎng)絡(luò)銀行賬號和網(wǎng)絡(luò)游戲密碼等敏感信息。

黑客攻擊的分類被動攻擊主動攻擊攻、防、測、控、管、評源點(diǎn)終點(diǎn)正常狀態(tài)攻擊者偽造篡改中斷截獲被動攻擊主動攻擊主動攻擊主動攻擊攻擊對象網(wǎng)絡(luò)恐怖分子（黑客）、信息戰(zhàn)部隊(duì)現(xiàn)在“黑客”一詞在信息安全范疇內(nèi)的普遍含意是特指對電腦系統(tǒng)的非法侵入者。黑客(hacker)：對技術(shù)的局限性有充分認(rèn)識，具有操作系統(tǒng)和編程語言方面的高級知識，熱衷編程，查找漏洞，表現(xiàn)自我。他們不斷追求更深的知識，并公開他們的發(fā)現(xiàn)，與其他人分享；主觀上沒有破壞數(shù)據(jù)的企圖。駭客（cracker）：以破壞系統(tǒng)為目標(biāo)。“紅客”honker：中國的一些黑客自稱“紅客”honker。美國警方：把所有涉及到"利用"、"借助"、"通過"或"阻撓"計(jì)算機(jī)的犯罪行為都定為hacking。計(jì)算機(jī)網(wǎng)絡(luò)犯罪

計(jì)算機(jī)網(wǎng)絡(luò)犯罪與傳統(tǒng)的犯罪相比有許多不同的特點(diǎn)：危害性：犯罪后果嚴(yán)重。成本低，傳播快，范圍廣。知識性：智慧型白領(lǐng)犯罪，年輕、專業(yè)化。隱蔽性：偵破與取證困難；證據(jù)的可修改性。廣域性、跨國性：作案場所不受地理區(qū)域的限制。集中在機(jī)密信息系統(tǒng)和金融系統(tǒng)兩方面。三、電子商務(wù)面臨的安全威脅2.電子商務(wù)交易風(fēng)險（1）在線交易主體的市場準(zhǔn)入；（2）信息風(fēng)險；（3）信用風(fēng)險；（4）網(wǎng)上欺詐犯罪；（5）電子合同問題；（6）電子支付問題；（7）在線消費(fèi)者保護(hù)問題；（8）電子商務(wù)中產(chǎn)品交付問題；（9）電子商務(wù)中虛擬財產(chǎn)的保護(hù)問題三、電子商務(wù)面臨的安全威脅3.管理風(fēng)險（1）人員管理；（2）網(wǎng)絡(luò)交易技術(shù)管理在人員管理方面，主要是工作人員職業(yè)道德不高，或是離職人員在系統(tǒng)中沒有及時清除。交易過程中的管理、人員管理如：交易過程中，要監(jiān)督買方按時付款、賣方按時提供符合合同要求的貨物。三、電子商務(wù)面臨的安全威脅4.政策法律風(fēng)險主要涉及的法律有：CA中心的法律、保護(hù)個人隱私、個人秘密的法律、電子合同法、EC的消費(fèi)者權(quán)益保護(hù)法、網(wǎng)絡(luò)知識產(chǎn)權(quán)保護(hù)法我國電子商務(wù)安全現(xiàn)狀在我國,電子商務(wù)安全方面的基礎(chǔ)設(shè)施也比較薄弱。電子商務(wù)安全技術(shù)及手段還不完善和規(guī)范化,兼容性和實(shí)用性存在許多不足。很多的電子商務(wù)網(wǎng)站(包括電子支付)的安全機(jī)制還依賴于瀏覽器和Web服務(wù)器提供的SSL安全協(xié)議,使得電子商務(wù)中和電子交易和支付系統(tǒng)成為網(wǎng)絡(luò)犯罪活動的新目標(biāo)。同時,信息安全的立法仍然跟不上信息技術(shù)的快速發(fā)展。建立一套法律政策體系,保證電子交易雙方能按照共同的規(guī)則進(jìn)行交易,對發(fā)展電子商務(wù)是完