|
电子商务的交易过程面临着信息截取和窃取、信息篡改、信息假冒、信息抵赖等威胁,对电子商务的交易信息安全提出了保密性、完整性、不可否认性、身份可认证性、可用性和可控性的安全需求。如何实现和保证电子商务的安全需求,从组织、技术、管理以及法律等多方面入手,构建全方位的电子商务安全体系,全面采取电子商务安全防范措施是关键。
|
|
|
电子商务的安全性研究从整体上可分为两大部分:计算机网络安全和商务交易安全。
|
|
|
|
|
(1)黑客攻击。黑客非法进入网络,非法使用网络资源。例如,通过网络监听获取网上用户的账号和密码,非法获取网上传输的数据,破坏防火墙等。
|
|
|
(2)计算机病毒。计算机病毒侵入网络,破坏资源,使网络不能正常工作,甚至造成网络瘫痪。
|
|
|
(3)拒绝服务。典型的拒绝服务如“电子邮件炸弹”,它的破坏方式是让用户在很短的时间内收到大量的无用邮件,从而影响正常业务,严重时造成系统关闭、网络瘫痪等。
|
|
|
(4)身份窃取。用户的身份在通信时被他人非法截取。
|
|
|
(5)非授权访问。对网络设备及信息资源进行非正常使用或越权使用。
|
|
|
(6)冒充合法用户。利用各种假冒或欺骗手段非法获取合法用户资源的使用权限,以达到占用合法用户资源的目的。
|
|
|
(7)数据窃取。非法用户截取通信网络中的某些重要信息。
|
|
|
(8)物理安全。网络的物理安全是整个网络系统安全的前提,包括计算机、网络设备的功能失常,电源故障,由于电磁泄漏引起的信息失密,搭线窃听等,还有自然灾害的威胁(如雷电、地震、火灾等),操作失误(如删除文件、格式化硬盘、线路拆除等),都是造成计算机网络不安全的因素。
|
|
|
(9)软件的漏洞和“后门”。程序设计者为了后期便于维护或是疏漏,在操作系统、应用软件设计时往往会留有一些安全漏洞或“后门”,这也是网络安全的主要威胁之一。例如,大家熟悉的Windows操作系统、UNIX操作系统几乎都存在或多或少的安全漏洞,众多的各类服务器、浏览器、一些桌面软件等都被发现过存在安全隐患。
|
|
|
(10)网络协议的安全漏洞。网络安全协议也会产生漏洞,成为黑客攻击的目标。如一些路由协议漏洞、DNS协议漏洞、ARP协议漏洞等都对网络安全造成了威胁。
|
|
|
计算机网络安全是一个复杂和多面性的问题,除上述讲到的影响网络安全的因素外,计算机犯罪等人为因素都会使网络面临安全威胁。解决这些问题,涉及很多的网络安全技术,如防火墙技术、虚拟专用网技术、各种反黑客技术和漏洞检测技术等。此外,网络行为的规范化管理及安全意识也是很重要的方面。
|
|
|
|
在电子商务交易活动过程中,交易双方(商家和消费者)都面临不同的安全威胁。
|
|
|
|
.中央系统安全性被破坏。例如入侵者假冒合法用户改变用户数据(如商品送达的地方)、解除用户订单或生成虚假订单等。
|
|
|
.竞争者检索商品递送状况。例如恶意竞争者以他人名义订购商品,了解有关商品的递送状况、货物和库存情况等。
|
|
|
.被他人假冒。例如假冒销售者建立与真实销售者服务器名字相同的另一个服务器,进而造成可能的损害,使公司信誉受到损失等。
|
|
|
|
|
.虚假订单。例如假冒者可能会以客户的名字订购商品,客户却被要求付款或返还商品等。
|
|
|
.付款后不能收到商品。例如在要求客户付款后,恶意销售商可能不供给客户商品等。
|
|
|
.机密性丧失。例如客户可能将个人身份等秘密数据(如PIN、口令等)发送给冒充销售商的机构,或是在信息传递的过程中被假冒者窃听等。
|
|
|
电子商务交易过程中交易双方面临各种安全威胁,解决其安全问题涉及多种安全技术及其应用,包括加密技术、认证技术、电子商务安全协议等。
|
|
|
|
电子商务安全涉及的计算机网络安全和商务交易安全,二者相辅相成,缺一不可。电子商务安全体系反映了电子商务安全涉及的内容和相关技术,其结构如下图所示。
|
|
|
|
|
电子商务安全体系由网络服务层、加密技术层、安全认证层、安全协议层、应用系统层组成。
|
|
|
在电子商务安全体系结构层次中,下层是上层的基础,为上层提供技术支持;上层是下层的扩展与递进。层次之间相互依赖、相互关联构成统一整体。每一层通过各自的安全控制技术,实现各层的安全策略,保证电子商务系统的安全。
|
|
|
网络服务层为电子商务系统提供基本、灵活的网络服务,是各种电子商务应用系统的基础,提供信息传送的载体和用户接入的手段。通过Internet网络层的安全机制(如入侵检测、安全扫描、防火墙等技术)保证网络层的安全。
|
|
|
加密技术层、安全认证层和安全协议层确保电子商务交易安全。加密技术是保证电子商务交易安全所采用的最基本的安全措施,它用于满足电子商务对保密性的需求。安全认证层对加密技术层中提供的多种加密算法进行综合运用,进一步满足电子商务对完整性、不可抵赖性等要求。安全协议层是加密技术层和安全认证层的安全控制技术的综合运用和完善,为电子商务安全交易提供保障机制和交易标准。
|
|
|