《电子商务概论》第四章_电子商务安全技术讲解
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(1)网络安全检测设备
预防为主是防范黑客的基本指导思想。利 用网络从事交易的单位或个人,有条件的话, 应当加强对黑客行为的网络监控。
(2)防火墙(具体见下一节)
(3)安全工具包
全面的网络安全技术,应包括反病毒、入 侵检测、安全认证、加密、防火墙五个环节。 安全工具包正是努力从这五个环节上解决安全 问题,实现全面的网络安全。
5、系统的可靠性 系统的可靠性是指计算机及网络系统的硬 件和软件工作的可靠性,是否会因为计算机故 障或意外原因(如停电)造成信息错误、失效或 丢失。提高系统可靠性主要是要选择质量好、 可靠性高的硬件和软件产品,还要配置良好的 备用电源和防雷设施,系统维护人员要经常对 系统进行保养和维护,不可带故障运行等。
返回章首
§2 电子商务的安全技术
一、防火墙
(一)含义、功能
一般的电子商务系统都包括企业内部的 Intranet。但是Intranet与Internet连接以后, 如果不加限制,Internet上的每一个用户都可 能访问企业内部网,这就使黑客有机可乘,能 够轻而易举地侵入企业网,非法访问企业网的 内部资源。因此,在企业内部网与外部网之间 设置一道安全屏障的意义就非常重要。
当这些方法不能奏效时,黑客们便借助各 种软件工具,利用破解程序分析这些信息,进 行口令破解,进而实施攻击。
(2)服务攻击
黑客所采用的服务攻击手段主要有四种:
①和目标主机建立大量的连接。
②向远程主机发送大量的数据包。
③以极快的速度用无数的消息“轰炸”某 个特定用户 。
④利用网络软件在实现协议时的漏洞,向 目标主机发送特定格式的数据包,从而导致主 机瘫痪。
(4)计算机病毒
计算机病毒是指编制或者在计算机程序中 插入的破坏计算机功能或者毁坏数据,影响计 算机使用,并能自我复制的一组计算机指令或 者程序代码。
一台计算机感染上病毒后,轻则系统运行 效率下降,部分文件丢失。重则造成系统死机, 计算机硬件烧毁。
3、防范黑客的技术措施
比较常用的防范黑客的技术措施是网络安 全检测设备、防火墙和安全工具包软件。
(二)交易中的威胁
1、假冒的威胁
(1)假冒卖方。第三人建立与供应方服务
器名字相同的另一个WWW服务器来假冒供应方;
(2)假冒买方。一个假冒者可能会以客户
的名义来订购商品,而且假冒者有可能收到商 品,此时客户却被要求付款或返还商品;
(3)恶意竞争。恶意竞争者以他人的名义
来订购商品,从而了解有关商品的递送状况和 货物的库存情况。
另一类黑客是窃客。他们的行为带有强烈
的目的性。早期的这些黑客主要是窃取国家情 报、科研情报,而现在的这些黑客的目标大部 分瞄准了银行的资金和电子商务的整个交易过 程。
2、网络黑客常用的攻击手段
(1)口令攻击
黑客首先对网络通信进行监视,使用扫描 工具获取目标主机的有用信息。然后,反复试 验和推测用户及其亲属的名字、生日、电话号 码等,获取进入计算机网络系统的口令,以求 侵入系统,从事袭击活动。
3、信息的不可否认性
信息的不可否认性是指信息的发送方不可 否认已经发送的信息,接收方也不可否认已经 收到的信息。例如因市场价格的上涨,卖方否 认收到订单的日期或完全否认收到订单;再如 网上购物者订货后,不能谎称不是自己订的货 等。
4、交易者身份的真实性
交易者身份的真实性是指交易双方是确实 存在的,不是假冒的。
1、信息的保密性
信息的保密性是指信息在存储、传输和处 理过程中,不被他人窃取(无论是无意的还是恶 意的)。要保证信息的保密性,需要防止入侵者 侵入系统;对商务机密(如信用卡信息等)要先 经过加密处理,再送到网络传输。
2、信息的完整性
信息的完整性包括信息在存储中不被篡改 和破坏,以及在传输过程中收到的信息和原发 送信息的一致性。前面提到的信息的加密处理 只能保证信息不被第三方看到,不能保证信息 不被篡改。信息的完整性要求系统能够识别信 息是否被篡改或破坏,从而决定是否使用信息。
(三)法律方面的风险
电子商务的技术设计是先进的、超前的, 具有强大的生命力。但在网上交易可能会承担
由于法律滞后而造成的风险。
此外,还存在其他方面的不可预测的风险。
二、电子商务的安全性要求
电子商务的安全性需求可以分为两个方面, 一方面是对计算机及网络系统安全性的要求; 另一方面是对电子商务信息安全的要求。
(3)电子邮件轰炸
方法是让用户在很短的时间内收到大量的 电子邮件,这样使得用户系统的正常业务不能 开展,系统功能丧失,严重时会使系统关机, 甚至使整个网络瘫痪。
还有一种邮件是在直接夹带或在附件中夹 带破坏性执行程序,用户不小心沾染了这类邮 件或附件,就会自动启动这个程序,带来不可 预测的严重后果。
Biblioteka Baidu
(3)买卖双方都存在抵赖情况。买方提交
订单后不付款;卖方在收款后不发货。
3、信息传递中的风险
信息在网络上传递时,要经过多个环节和 渠道。由于计算机技术发展迅速,计算机病毒 的侵袭、黑客非法侵入、线路窃听等很容易使 重要数据在传递过程中泄露,威胁电子商务交 易的安全。
4、管理方面的风险
严格管理是降低网络交易风险的重要保证, 特别是在网络商品中介交易的过程中,客户进 入交易中心,买卖双方签订合同,交易中心不 仅要监督买方按时付款,还要监督卖方按时提 供符合合同要求的货物。在这些环节上,都存 在大量的管理问题。防止此类问题的风险需要 有完善的制度设计,形成一套相互关联、相互 制约的制度群。
2、信用的威胁
信用风险来自三个方面:
(1)来自买方的信用风险。对于个人消费
者来说,可能存在在网络上使用信用卡进行支 付时恶意透支,或使用伪造的信用卡骗取卖方 的货物行为;对于集团购买者来说,存在拖延 货款的可能。
(2)来自卖方的信用风险。卖方不能按质、
按量、按时送寄消费者购买的货物,或者不能 完全履行与集团购买者签订的合同,造成买方 的风险。
第四章 电子商务安全技术
本章要点:
§1 概述 §2 电子商务的安全技术 §3 数字证书与CA认证 §4 电子商务安全交易标准
§1 概 述
一、电子商务的安全威胁
(一)来自黑客的威胁
1、黑客的基本概念
黑客(Hacker)可分为两类:
一类是骇客。他们只想引人注目,证明自
己的能力,在进入网络系统后,不会去破坏系 统,或仅仅会做一些无伤大难的恶作剧。他们 追求的是从侵入行为本身获得巨大成功的满足。
预防为主是防范黑客的基本指导思想。利 用网络从事交易的单位或个人,有条件的话, 应当加强对黑客行为的网络监控。
(2)防火墙(具体见下一节)
(3)安全工具包
全面的网络安全技术,应包括反病毒、入 侵检测、安全认证、加密、防火墙五个环节。 安全工具包正是努力从这五个环节上解决安全 问题,实现全面的网络安全。
5、系统的可靠性 系统的可靠性是指计算机及网络系统的硬 件和软件工作的可靠性,是否会因为计算机故 障或意外原因(如停电)造成信息错误、失效或 丢失。提高系统可靠性主要是要选择质量好、 可靠性高的硬件和软件产品,还要配置良好的 备用电源和防雷设施,系统维护人员要经常对 系统进行保养和维护,不可带故障运行等。
返回章首
§2 电子商务的安全技术
一、防火墙
(一)含义、功能
一般的电子商务系统都包括企业内部的 Intranet。但是Intranet与Internet连接以后, 如果不加限制,Internet上的每一个用户都可 能访问企业内部网,这就使黑客有机可乘,能 够轻而易举地侵入企业网,非法访问企业网的 内部资源。因此,在企业内部网与外部网之间 设置一道安全屏障的意义就非常重要。
当这些方法不能奏效时,黑客们便借助各 种软件工具,利用破解程序分析这些信息,进 行口令破解,进而实施攻击。
(2)服务攻击
黑客所采用的服务攻击手段主要有四种:
①和目标主机建立大量的连接。
②向远程主机发送大量的数据包。
③以极快的速度用无数的消息“轰炸”某 个特定用户 。
④利用网络软件在实现协议时的漏洞,向 目标主机发送特定格式的数据包,从而导致主 机瘫痪。
(4)计算机病毒
计算机病毒是指编制或者在计算机程序中 插入的破坏计算机功能或者毁坏数据,影响计 算机使用,并能自我复制的一组计算机指令或 者程序代码。
一台计算机感染上病毒后,轻则系统运行 效率下降,部分文件丢失。重则造成系统死机, 计算机硬件烧毁。
3、防范黑客的技术措施
比较常用的防范黑客的技术措施是网络安 全检测设备、防火墙和安全工具包软件。
(二)交易中的威胁
1、假冒的威胁
(1)假冒卖方。第三人建立与供应方服务
器名字相同的另一个WWW服务器来假冒供应方;
(2)假冒买方。一个假冒者可能会以客户
的名义来订购商品,而且假冒者有可能收到商 品,此时客户却被要求付款或返还商品;
(3)恶意竞争。恶意竞争者以他人的名义
来订购商品,从而了解有关商品的递送状况和 货物的库存情况。
另一类黑客是窃客。他们的行为带有强烈
的目的性。早期的这些黑客主要是窃取国家情 报、科研情报,而现在的这些黑客的目标大部 分瞄准了银行的资金和电子商务的整个交易过 程。
2、网络黑客常用的攻击手段
(1)口令攻击
黑客首先对网络通信进行监视,使用扫描 工具获取目标主机的有用信息。然后,反复试 验和推测用户及其亲属的名字、生日、电话号 码等,获取进入计算机网络系统的口令,以求 侵入系统,从事袭击活动。
3、信息的不可否认性
信息的不可否认性是指信息的发送方不可 否认已经发送的信息,接收方也不可否认已经 收到的信息。例如因市场价格的上涨,卖方否 认收到订单的日期或完全否认收到订单;再如 网上购物者订货后,不能谎称不是自己订的货 等。
4、交易者身份的真实性
交易者身份的真实性是指交易双方是确实 存在的,不是假冒的。
1、信息的保密性
信息的保密性是指信息在存储、传输和处 理过程中,不被他人窃取(无论是无意的还是恶 意的)。要保证信息的保密性,需要防止入侵者 侵入系统;对商务机密(如信用卡信息等)要先 经过加密处理,再送到网络传输。
2、信息的完整性
信息的完整性包括信息在存储中不被篡改 和破坏,以及在传输过程中收到的信息和原发 送信息的一致性。前面提到的信息的加密处理 只能保证信息不被第三方看到,不能保证信息 不被篡改。信息的完整性要求系统能够识别信 息是否被篡改或破坏,从而决定是否使用信息。
(三)法律方面的风险
电子商务的技术设计是先进的、超前的, 具有强大的生命力。但在网上交易可能会承担
由于法律滞后而造成的风险。
此外,还存在其他方面的不可预测的风险。
二、电子商务的安全性要求
电子商务的安全性需求可以分为两个方面, 一方面是对计算机及网络系统安全性的要求; 另一方面是对电子商务信息安全的要求。
(3)电子邮件轰炸
方法是让用户在很短的时间内收到大量的 电子邮件,这样使得用户系统的正常业务不能 开展,系统功能丧失,严重时会使系统关机, 甚至使整个网络瘫痪。
还有一种邮件是在直接夹带或在附件中夹 带破坏性执行程序,用户不小心沾染了这类邮 件或附件,就会自动启动这个程序,带来不可 预测的严重后果。
Biblioteka Baidu
(3)买卖双方都存在抵赖情况。买方提交
订单后不付款;卖方在收款后不发货。
3、信息传递中的风险
信息在网络上传递时,要经过多个环节和 渠道。由于计算机技术发展迅速,计算机病毒 的侵袭、黑客非法侵入、线路窃听等很容易使 重要数据在传递过程中泄露,威胁电子商务交 易的安全。
4、管理方面的风险
严格管理是降低网络交易风险的重要保证, 特别是在网络商品中介交易的过程中,客户进 入交易中心,买卖双方签订合同,交易中心不 仅要监督买方按时付款,还要监督卖方按时提 供符合合同要求的货物。在这些环节上,都存 在大量的管理问题。防止此类问题的风险需要 有完善的制度设计,形成一套相互关联、相互 制约的制度群。
2、信用的威胁
信用风险来自三个方面:
(1)来自买方的信用风险。对于个人消费
者来说,可能存在在网络上使用信用卡进行支 付时恶意透支,或使用伪造的信用卡骗取卖方 的货物行为;对于集团购买者来说,存在拖延 货款的可能。
(2)来自卖方的信用风险。卖方不能按质、
按量、按时送寄消费者购买的货物,或者不能 完全履行与集团购买者签订的合同,造成买方 的风险。
第四章 电子商务安全技术
本章要点:
§1 概述 §2 电子商务的安全技术 §3 数字证书与CA认证 §4 电子商务安全交易标准
§1 概 述
一、电子商务的安全威胁
(一)来自黑客的威胁
1、黑客的基本概念
黑客(Hacker)可分为两类:
一类是骇客。他们只想引人注目,证明自
己的能力,在进入网络系统后,不会去破坏系 统,或仅仅会做一些无伤大难的恶作剧。他们 追求的是从侵入行为本身获得巨大成功的满足。