|
|
|
|
|
信息安全是一个广泛而抽象的概念,不同领域、不同角度对其概念的阐述都会有所不同。建立在网络基础之上的现代信息系统,对于信息安全的定义是:保护信息系统的硬件、软件及相关数据,使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行。在商业和经济领域,信息安全主要强调的是削减并控制风险,保持业务操作的连续性,并将风险造成的损失和影响降低到最低程度。
|
|
|
|
|
|
信息安全面临的威胁主要包括信息截取和窃取、信息篡改、信息假冒、信息抵赖。
|
|
|
|
|
|
攻击者可能通过搭线窃听、安装数据截收装置等方式获取传输的机密信息,或通过对信息流量和流向、通信频度和长度等参数的分析,推理出有用信息,如消费者的银行账号、密码以及企业的商业机密等。
|
|
|
|
|
|
攻击者可能通过各种技术方法和手段对网络传输的信息进行中途修改,破坏信息的完整性。信息篡改主要表现为三种方式。
|
|
|
|
|
|
|
|
(3)插入。在消息中插入一些信息,让接收方读不懂或接收错误的信息。
|
|
|
|
|
|
当攻击者掌握了网络信息数据规律或解密了商务信息以后,可以假冒合法用户或发送假冒信息来欺骗其他用户,如冒充竞争对手发布虚假信息;冒充网络控制程序,套取或修改使用权限、通行字、密钥等信息;冒充合法用户行使授权等。
|
|
|
|
|
|
信息抵赖涉及多个方面,如信息发送者事后否认曾经发送过某条信息或内容;信息接收者事后否认曾经收到过某条信息或内容;购买者发了订货信息却不承认;销售者卖出商品却因价格差而不承认原有交易等。
|
|
|
|
|
|
信息安全面临的威胁,带来信息安全需求。在电子商务活动中,信息安全需求涉及保密性、完整性、不可否认性、身份可认证性、可用性和可控性。
|
|
|
|
(1)保密性。保密性也称为机密性,是指网络中的信息不被非授权的实体(包括用户和进程等)获取与使用。
|
|
|
|
(2)完整性。完整性是指数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
|
|
|
|
(3)不可否认性。不可否认性也称为不可抵赖性,是指在信息交换过程中,确信参与方的真实同一性,即所有参与者都不能否认和抵赖曾经完成的操作和承诺。例如信息发送方不能否认发送过的信息,信息接收方不能否认接收过的信息。
|
|
|
|
(4)身份可认证性。身份可认证性是指通过安全认证技术实现对信息交流双方身份真实性的确认,保证交易对象的身份真实性。电子商务活动过程中,信息交流双方互不见面,确认对方的真实身份,是电子商务交易活动过程中保证交易安全的重要环节。
|
|
|
|
(5)可用性。可用性是指对信息或资源的期望使用能力,即可授权实体或用户访问并按要求使用信息的特性。简单地说,就是保证信息在需要时能为授权者所用,防止由于主、客观因素造成的系统拒绝服务。
|
|
|
|
(6)可控性。可控性是指人们对信息的传播路径、范围及其内容所具有的控制能力,即不允许不良内容通过公共网络进行传输,使信息在合法用户的掌控之中。
|
|
|
