电子商务安全思考题

1.归纳总结电子商务应用中常见的安全问题

1)信息的截获和窃取

如果没有采用加密措施或加密强度不够，攻击者可能通过互联网、公共电话网、搭线、电磁波辐射范围内安装截收装置或在数据包通过的网关和路由器上截获数据等方式，获取输出机密信息，或通过对信息流量和流向、通信频度和长度等参数的分析，推出有用信息，如消费者的银行帐号、密码以及企业的商业机密等。

2)信息的篡改

当攻击者熟悉了网络信息格式以后，通过各种技术方法和手段对网络传输的信息进行中途修改，并发往目的地，从而破坏信息的完整性。这种破坏手段主要有三个方面：（增、删、改）篡改：改变信息流的次序，更改信息的内容，如购买商品的出货地址；删除：删除某个消息或消息的某些部分；插入：在消息中插入一些信息，让收方读不懂或接收错误的信息。

3)信息假冒

当攻击者掌握了网络信息数据规律或解密了商务信息以后，可以假冒合法用户或发送假冒信息来欺骗其他用户，主要有两种方式。一是伪造电子邮件，虚开网站和商店，收定货单；伪造大量用户，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应；窃取商家的商品信息和用户信用等信息。另外一种为假冒他人身份，如冒充领导发布命令、调阅密件；冒充他人消费、栽赃；冒充主机欺骗合法主机及合法用户；冒充网络控制程序，套取或修改使用权限、通行字、密钥等信息；接管合法用户，欺骗系统，占用合法用户的资源。

4)交易抵赖

交易抵赖包括多个方面，如发信者事后否认曾经发送过某条信息或内容；收信者事后否认曾经收到过某条消息或内容；购买者做了定货单不承认；商家卖出的商品因价格差而不承认原有的交易。

另外信息处理环节中也存在一些不安全因素：表现在数据输入、处理、传输等环节。

计算机信息系统自身的脆弱性：计算机本身操作系统、网络系统、数据库系统都存在脆弱性。其他不安全因素：人为或管理上的因素。

2. 电子商务的安全体系结构分为哪几部分？

一个完整的电子商务安全体系应有安全基础设施层、加密技术层、安全认证层、安全协议层、交易协议层、应用系统层及电子商务政策法规和安全管理等8个部分组成。

3. 为什么将电子商务安全分为网络安全和交易安全两大部分？

电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此，电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。

计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。

商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。

计算机网络安全与商务交易安全实际上是密不可分的，两者相辅相成，缺一不可。没有计算机网络安全作为基础，商务交易安全就犹如空中楼阁，无从谈起。没有商务交易安全保障，即使计算机网络本身再安全，仍然无法达到电子商务所特有的安全要求。

4.上网了解电子商务安全研究的新动向

随着网络在中国的发展和普及，网络黑客频传，网站业者人人自危，这些并不是空穴来风。事实上，几乎所有国家都受到过黑客们的攻击，而且随着科技的进步，计算机犯罪正成上升趋势。2001年1月30日1点钟左右，263网络集团的ISP业务页面、IDC资料信息港页面等几乎在同一时刻被黑客攻击。

目前许多最具危害性的计算机犯罪都拥有共同的特点：即绕过密码保护以获得对信息或资金的访问权限。就企业、电子商务而言，最机密的应用、文件及系统则需要更高层次的保护措施。而网络用户的不断增加，对网络的攻击和资源的窃取越来越多，相关的政务机密、商务机密资源的散失，不可避免地给政府、企事业单位带来了损失，因此网络的安全保护变得尤为重要。1998年CSI/FBI调查显示，有关计算机犯罪，21%的威胁来至外国政府，48%来至竞争对手，72%来至独立的黑客，同时有89%是来自心怀不满的内部职员。

我国的网络是脆弱的。除缺少具有自主知识产权的芯片、应用系统、数据库、防火墙等关键产品外，意识、技术、管理等方面的问题也是导致网络出现安全漏洞的主要原因。在我国，大多数网站还没有采取安全措施，或仅采取了比较简单的安全防范措施，大多数网站在制定日志保留、安全审计、病毒防护、身份认证等安全技术措施方面不到位，尚未建立完善的安全防御体系。一旦遭到黑客攻击，往往束手无策。造成这一状况的主要原因是各网站负责人的安全防范意识不够，没有在网络安全防护方面进行相应的投入。

互联网的安全主要分为网络运行安全和信息安全两部分。信息安全的关键基础在于确切地了解谁正在访问您的最机密的网络信息资产。不幸的是，事实证明，建立在静态的、可重用口令之上的安全机制非常容易被黑客攻破，此外，某些代价很高且极具破坏性的信息安全漏洞都来自内部的攻击，同时Internet与公共的和专用的基础设施相混合，来自企业外部的攻击在近年来也迅速增加。另外，信息安全的另一个方面“后门”问题容易被人忽视。如同核原料既可以提供能源，也可以制造原子弹，计算机“后门”可以成为信息时代一种毁灭性的武器。通过\"后门\"，可以从任何一台计算机登录一个信息整体系统，窃取数据，或散布电脑病毒，对信息安全构成极大的威胁。如今，如何安全的连接Internet，如何保护重要信息免受黑客、竞争者和内部不满人员的破坏，如何安全的连接其他组织和分支机构，如何确保仅通过单点认证就能够进行信息访问，都是网络安全所必须面对的更重要的问题。与此同时，保护网络安全与允许经过授权的个人进行访问也已成为网络安全所必须解决的一对尖锐矛盾。面对上述种种问题，一般的传统的网络安全技术能解决吗？答案自然是否定的。

目前，常用的网络安全技术主要有：身份认证技术，访问控制技术，密码技术，防火墙技术，VPN技术。其中身份认证技术是其他安全技术的基础，

会话加密、防火墙、虚拟专用网VPN的数字证书等技术都是信息安全解决方案的一部份。虽然每种技术都旨在加强某一方面的信息安全，包括限制访问或防止机密数据被截获，但没有一种技术的设计目标是解决最具危害性的信息犯罪的基本安全问题。而使用身份认证技术特别是强大的双因素身份认证系统替代基本的密码安全机制，才能够解决由密码泄露导致的入侵问题。因此，双因素身份认证系统将成为网络信息安全市场新一轮焦点和新的趋势。