电子商务安全管理

第九章电子商务安全管理

重点内容：

1.理解电子商务的安全要求

2.理解电子商务目前在安全问题方面的现状

第一节电子商务的安全要求

一、电子商务的安全问题

1.电子商务交易带来的安全威胁包括销售者面临威胁和购买者面临威胁。

2.电子商务的安全风险来源包括信息传输风险；信用风险；管理方面的风险；法律方面的风险。

信息传输风险指进行网上交易时，因传输的信息失真或者信息被非法的窃取、篡改和丢失，而导致网上交易的不必要损失。

信用风险来自买方的信用风险:对于个人消费者来说，可能在网络上使用信用卡进行支付时恶意透支，或使用伪造的信用卡骗取卖方的货物行为；对于集团购买者来说，存在拖延货款的可能，卖方需要为此承担风险。来自卖方的信用风险:卖方不能按质、按量、按时寄送消费者购买的货物，或者不能完全履行与集团购买者签定的合同，造成买方的风险。买卖双方都存在抵赖的情况。

管理方面的风险包括网上交易管理风险即由于交易流程管理、人员管理、交易技术管理的不完善所带来的风险。交易流程管理风险:在网络商品中介交易的过程中，买卖双方签定合同后，交易中心不仅要监督买方按时付款，还要监督卖方按时提供符合合同要求的货物。人员管理风险:内部犯罪，竞争对手还利用企业招募新人的方式潜入该企业，窃取企业的识别码、密码机密资料交易技术管理风险:无口令用户、升级超级用户（微软）

法律方面的风险，法律上还是找不到现成的条文保护网络交易中的交易方式造成风险。

二、电子商务的安全管理

（一）电子商务的安全要求包括有效性、机密性、完整性、真实性和不可抵赖性。

有效性:电子商务以电子形式取代了纸张，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和

预防，以保证贸易数据在确定的时间、确定的地点是有效的。

机密性:作为贸易的一种手段，电子商务的信息直接代表着个人、企业或国家的商业机密。要预防非法的信息存取和信息在传输过程中被非法窃取。

完整性:电子商务简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息的完整、统一的问题。要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复。

真实性和不可抵赖性的鉴别:交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。

（二）电子商务安全管理思路

1.技术方面的考虑:如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等；

2.制度方面的考虑:建立各种有关的合理制度，并加强严格监督，如建立交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。

3.法律政策与法律保障:如尽快出台电子证据法、电子商务法、网上消费者权益法等。这方面，主要发挥立法部门和执法部门的作用

第二节电子商务的安全管理方法

一、客户认证技术

客户认证(Client Authentication，CA)是基于用户的客户端主机IP地址的一种认证机制，它允许系统管理员为具有某一特定IP地址的授权用户定制访问权限。特点:CA与IP地址相关，对访问的协议不做直接的限制。服务器和客户端无需增加、修改任何软件。系统管理员可以决定对每个用户的授权、允许访问的服务器资源、应用程序、访问时间以及允许建立的会话次数等等。

二、安全管理制度包括人员管理制度、保密制度、跟踪、审计、稽核制度、网络系统的日常维护制度、病毒防范制度和人员管理制度。

三、法律制度

电子商务涉及法律问题包括合同的执行、赔偿、个人隐私、资金安全、知识产权保护、税收等诸问题难以解决。

美国保证电子商务安全的相关法律，原则：采取非限制性、面向市场的做法，

即颁布实施的法律是保护电子商务发展，而不是限制电子商务的发展。

消费者权益保护的法律制度：个人隐私信息可能被商家掌握和非法利用；消费者退货问题；跨越国界物。禁止商家利用消费者的个人隐私信息进行商业活动；起诉商家时可以用消费者本国相关法律起诉、

我国保证电子商务安全的相关法律

现行法规:

1991 年5 月24 日，国务院第八十三次常委会议通过了《计算机软件保护条例》

1994 年2 月18 日，国务院令第147 号发布了《中华人民共和国计算机信息系统安全保护条例》

1997 年10 月1 日起我国实行的新刑法，第一次增加了计算机犯罪的罪名存在问题:立法主要集中在涉及信息技术领域的计算机立法和网络安全方面立法，对于涉及交易本身的商法和民法还缺乏相应具体规定

努力方向:一方面尽快完善现有市场的法律体系建设；另一方面，要针对新市场、新问题提出新法案。

第三节防止非法入侵

一、网络“黑客”常用的攻击手段

“黑客(Hacker)”源于英语动词Hack，意为“劈，砍”，引申为“辟出，开辟”，进一步的意思是“干了一件非常漂亮的工作”。在本世纪早期的麻省理工学院校园侵语中，“黑客”则有“恶作剧”之意，尤指手法巧妙、技术高明的恶作剧。

黑客”常用的攻击手段包括中断（攻击系统的可用性）：破坏系统中的硬件、硬盘、线路、文件系统等，使系统不能正常工作；窃听（攻击系统的机密性）：通过搭线和电磁泄漏等手段造成泄密，或对业务流量进行分析，获取有用情报。窜改（攻击系统的完整性）：窜改系统中数据内容，修正消息次序、时间（延时和重放）；伪造（攻击系统的真实性）：将伪造的假消息注入系统、假冒合法人接入系统、重放截获的合法消息实现非法目的，否认消息的接收或发送等；轰炸（攻击系统的健壮性）：用数百条消息填塞某人的E—mail信箱也是一种在线袭扰的方法。

二、防范非法入侵的技术措施

1.网络安全检测设备：对访问者进行监督控制，一旦发现有异常情况，马上采取应对措施，防止非法入侵者进一步攻击；

2.访问设备:通过给访问者提供智能卡，通过智能卡的信息来控制用户使用；

3.防火墙（firewall）：它通过对访问者进行过滤，可以使系统限定什么人在什么条件下可以进入自己网络系统。非法入侵者入侵时，就必须采用IP地址欺骗技术才能进入系统，但增加了入侵的难度。

4.安全工具包:安全工具包主要是提供一些信息加密和保证系统安全的软件开发系统。用户可以在这些安全工具包的基础上进行二次开发，开发自己的安全系统。

习题

1．请解决下面概念：电子商务安全、客户认证、个人隐私、黑客

2．为什么说电子商务的安全问题非常重要？

3．电子商务的安全威胁主要有哪些？

4．如何解决电子商务的安全问题？