第一章电子商务安全概述

电子商务安全与支付技术第一章电子商务安全概述1.1电子商务及其安全重要性1.2电子商务的安全需求1.3电子商务的安全概述1.4电子商务系统的安全性要求1.5电子商务的保障学习目标了解电子商务面临的安全问题掌握电子商务系统安全的构成要素了解电子商务安全的主要需求理解电子商务安全保障手段引例——eBay在中国溃败之因据中国互联网络信息中心《2010年中国网上购物调查报告》截止2011年1月北京、上海和广州三大城市共有C2C网上购物消费者304万人，淘宝成为用户首选购物网站。根据购物金额计算的2010年度中国C2C三大城市的用户市场份额，淘宝为81.9%，eBay易趣为15.4%。eBay易趣PK淘宝，前者败在安全之上，是不是淘宝就不再面临安全问题？如果不是，到底还有哪些安全问题需要电子商务来面对？1.1.1电子商务的含义宏观视角微观视角电子商务的书面定义所谓电子商务(ElectronicCommerce)是利用计算机技术、网络技术和远程通信技术所进行的商务活动。电子商务的具体含义是指进行电子商务交易的供需双方都是商家(或企业、公司)，他们借助Internet的技术或各种商务网络平台，完成商务交易的过程；这些过程包括：发布供求信息，订货及确认订货，支付过程及票据的签发、传送和接收，确定配送方案并监控配送过程等。电子商务的产生基础电子商务最早产生于20世纪60年代，发展于20世纪90年代。产生和发展的社会基础是：（1）政府的支持与推动。（2）计算机的广泛应用。（3）网络的普及和成熟。（4）完善的网络服务。电子商务的发展过程电子商务的发展分为两个阶段，即始于20世纪80年代中期EDI电子商务和始于90年代初期Internet电子商务。1．80年代～90年代基于EDI的电子商务电子通信的方式增值网络VANEDI电子商务技术仅局限在先进国家和地区以及大型的企业范围内应用2．90年代以来基于因特网的电子商务开放的网络通信方式Internet的网络环境开放的网络电子银行安全的在线支付技术也适合中小型的企业应用1.1.2电子商务安全的现状电子商务的安全问题日益受到重视黑客的威胁上升计算机网络病毒给电子商务造成的损失继续增加电子商务金融系统的安全缺乏保障电子商务安全保障措施尚待加强1.1.3电子商务安全与支付的重要性电子商务作为一种全新的商务形式，为全球客户提供了更简捷的交易方法和更低廉的交易成本。然而，安全问题仍然是阻碍其发展的最大障碍。1999年7月，当中国互联网络中心第一次对热点问题“用户认为目前网上购物最大的问题”进行问卷调查时，30%的网民认为安全性是网上购物的最大问题，七年后，即2006年7月的调查显示，网民不进行网上交易的原因中，担心交易安全性得不到保障的仍然高达61.5%。很明显，网上交易的安全问题是电子商务发展中不容忽视的问题。交易安全保障是保证现代经济正常运作的重要基础和支点。现阶段电子商务之所以推广有困难，关键问题是电子支付安全问题没有得到很好地解决。电子支付风险的有效控制，将会从根本上扭转这种状况。1.1.4解决电子商务安全问题的重要意义保证电子商务的正常运作，必须高度重视安全问题安全问题是网络交易成功与否的关键所在，也是致命所在。因为网络交易的安全问题不仅关系到的个人的资金安全、商家的货物安全，还关系到国家的经济安全，国家经济秩序的稳定问题。我们无法想像一个安全得不到保障的网络交易世界会是一个什么样的情形。所以，对于网络交易的安全问题绝不可以等闲视之，必须把它提到重要的议事日程。只有这样，才能促进电子商务的更快发展。1.2.1电子商务面临的安全威胁安全问题的提出影响电子商务广泛应用的首要问题：安全问题电子商务安全与网络安全网络安全漏洞多网页篡改、网页仿冒总之:不是一堵防火墙或一个电子签名能解决1.2.2电子商务涉及的安全问题商家可能面临的安全问题系统破坏——遭受攻击或自然破坏恶意订单——竞争对手或客户资料泄露——客户资料泄露客户可能面临的安全问题虚假订单收不到货机密性丧失——个人信息可能被泄露拒绝服务——合法用户得不到服务银行可能面临的安全问题中断——攻击系统的可能性窃听——攻击系统的机密性篡改——攻击系统的完整性伪造——攻击系统的真实性电子商务涉及安全的概括信息的安全问题冒名窃听篡改数据信息丢失信息传递出问题信用的安全问题来自买方的安全问题来自卖方的安全问题买卖双方都存在抵赖的情况安全的法律保障问题技术先进超前、法律滞后安全的管理问题中介管理问题人员管理安全管理员安全管理规范1.3.1电子商务系统安全概述电子商务系统安全的构成1.3.2系统实体安全所谓实体安全：保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面：环境安全、设备安全和媒体安全。环境安全受灾防护区域防护设备安全设备防盗设备防毁防止电磁信息泄露防止线路截获抗电磁干扰电源保护媒体安全媒体的安全媒体的防盗媒体的防毁媒体的数据安全媒体数据的防盗媒体数据的销毁媒体数据的防毁1.3.3系统运行安全所谓运行安全：是指为保障系统功能的实现，提供一套安全措施来保护信息处理过程的安全系统运行安全的组成：风险分析审计跟踪备份与恢复应急风险分析系统设计前的风险分析——潜在的安全隐患系统试运行前的风险分析——设计的安全漏洞系统运行期的风险分析——运行的安全漏洞系统运行后的风险分析——系统的安全漏洞审计跟踪记录和跟踪各系统状态的变化实现对各种安全事故系统的定位保持、维护和管理审计日志备份与恢复提供场点内高速度、大容量自动的数据存储、备份和恢复提供场点外的数据存储、备份和恢复提供对系统设备的备份应急应急计划辅助软件紧急事件或安全事故发生时的影响分析应急计划的概要设计或详细制定应急计划的测试与完善应急措施提供实时应急设施提供非实时应急设施1.3.4信息安全所谓信息安全：是指防止信息财产被故意地或偶然地非授权泄露、更改、破坏或使信息被非法的系统辨识、控制，即信息安全要确保信息的完整性、保密性、可用性和可控性。信息安全的组成操作系统安全数据库安全网络安全病毒防护安全访问控制安全加密鉴别操作系统安全操作系统安全是指要对电子商务系统的硬件和软件资源实行有效的控制，为所管理的资源提供相应的安全保护。操作系统安全包括：安全操作系统操作系统安全部件数据库安全安全数据库系统数据库系统安全部件网络安全网络安全管理安全网络系统网络系统安全部件病毒防护安全计算机病毒是指编制或在计算机程序中插入的破坏计算机功能、毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或程序代码。包括：单机系统病毒防护和网络系统病毒防护访问控制安全出入控制——主要用于阻止非授权用户进入机构或组织存储控制——主要是提供主体访问客体时的存储控制加密加密设备——实现对数据的加密密钥管理——提供对密钥的管理来加强信息安全鉴别身份鉴别——主要用于阻止非授权用户对系统资源的访问完整性鉴别——主要用于证实信息内容未被非法修改或遗漏不可否认性鉴别——证实发送方所发送的信息确实被接收方接收了，证实接收方接收到的信息确实是发送方发送的网络安全所涉及的各个方面硬件安全软件安全安全手段安全设计系统（主机、服务器）安全反病毒系统安全检测审计分析网络运行安全备份与恢复应急局域网、子网安全访问控制（防火墙）网络安全检测1.4.1系统安全性要求1.5.1电子商务的安全保障技术措施信息加密技术数字签名技术TCP/IP服务防火墙的构造选择管理措施人员管理制度保密制度跟踪，审计制度系统维护制度数据容灾制度病毒防范制度应急措施法律环境电子商务的发展依靠法律的保障通过法律条文保护电子商务目前法律：计算机犯罪律法、计算机安全法规、隐私保护、网络知识产权保护、电子合同相关法规小结1.电子商务面临的安全问题2.电子商务系统安全的构成要素3.电子商务安全的主要需求4.电子商务安全保障手段