第3章 电子商务系统的安全.ppt

1、第三章电子商务系统安全，3.1电子商务系统安全概述，3.2电子商务系统网络安全管理基本对策，3.3电子商务安全手段，3.4计算机病毒和网络黑客防范演习，3.1电子商务系统安全概述，3.1.1电子商务系统安全基本概念，3.1.2电子商务系统安全控制要求，3.1.3危害电子商务系统安全的主要因素，3.1.1电子商务系统安全基本概念。随着电子商务的快速发展，电子商务系统的安全性受到了计算机病毒、计算机黑客和计算机网络系统自身脆弱性的严重挑战。因此，如何建立一个安全便捷的电子商务应用环境，为信息提供充分的保护，是企业和用户非常关心的一个重大问题。本章将重点介绍电子商务系统安全的概念、安全控制要求、网络

2、安全管理对策、常见的安全手段和防范措施。3.1.1电子商务系统安全的基本概念，1。这个问题引起了2。电子商务系统安全涉及的因素返回3.1，1。所提出的问题是，由于电子商务是在开放的互联网上进行的，支付、订购、谈判等信息，以及大量的商业信息如保密的商业交易文件都是在计算机系统中存储、传输和处理的，因此交易安全是电子商务发展的核心和关键问题。确保商业信息的安全是电子商务应用的前提。返回3.1.1，2。电子商务系统安全涉及的因素。虽然电子商务系统形式多样，涉及到各种安全问题，但应考虑以下因素：(1)物理安全(2)网络安全(3)系统软件安全(4)人员管理安全(5)电子商务安全立法，返回3.1.1。影响

3、人身安全的重要因素：火灾、自然灾害、辐射、硬件故障、窃听、盗窃、盗窃和过载。返回2，(2)网络安全是指网络层面的安全。与单台计算机相比，计算机网络中存在更多的不安全因素。原因：网络上的计算机可能会受到网络上任何主机的攻击或插入物理网络进行攻击；大多数互联网协议不是为安全而设计的。网络服务器程序通常需要由超级用户执行。返回2，(3)系统软件安全是指保护软件和数据不被篡改、泄露、破坏或非法复制(包括有意或无意)。系统软件安全的目标是使计算机系统在逻辑上安全，并使系统中的信息访问、处理和传输满足系统安全策略的要求。系统软件安全可分为操作系统安全、数据库安全、网络软件安全和应用软件安全。返回2、(4)

4、人员管理安全，主要是防止内部人员的攻击。包括：员工素质、敏感岗位识别、安全培训、安全检查等人员管理安全问题。2、(5)电子商务安全立法，通过完善法律体系和完善法律制度，确保网上交易的合法权益，同时严厉惩处损害网上交易合法权益的行为。电子商务立法是对电子商务犯罪的一种约束。利用国家机制进行安全立法反映了国家打击犯罪行为的意愿。2.3.1.2电子商务系统的安全控制要求，电子商务发展的核心和关键问题是交易的安全性。由于互联网的开放性，网上交易面临着各种各样的危险，因此提出了相应的安全控制要求。主要包括：1 .有效性2。保密性。合法性。诚信5。交易者身份的确定性。不可逆性7。不可否认性(或不可否认性)

5、，返回到3 . 1 . 1。有效性。电子商务使用电子形式代替纸张。如何保证这种无纸贸易的有效性是发展电子商务的前提。也就是说，应该采取各种措施来确保交易信息在特定的时间和地点是有效的。，返回到3.1.2，2。保密，电子商务是一种贸易手段，有些信息直接代表了个人、企业或国家的商业秘密。因此，在电子商务信息的传播中，通常需要保密。保守商业秘密是电子商务全面普及和应用的重要保证。因此，有必要防止在传播过程中非法获取信息和非法窃取信息。返回3.1.2，3。合法性，网上交易各方的工作应遵守适用的法律法规。返回到3.1.2，4。诚信，虽然电子商务简化了交易过程，减少了人为干预，但它也带来了维护交易各方商业

6、信息的完整性和统一性的问题。交易各方信息的完整性将影响交易各方的交易和经营策略。因此，确保贸易各方信息的完整性是电子商务应用的基础。防止信息的随机生成、修改和删除，防止数据传输过程中信息的丢失和重复，从而保证信息传输顺序的统一。返回3.1.2，5。交易者身份的确定性，为了使网上交易成功，我们必须首先能够确认对方的身份，也就是说，交易双方必须真正存在。不仅要考虑商家不应该被顾客欺骗，还要考虑顾客不应该被商家欺骗。因此，方便可靠地确认对方的身份是交易的前提。返回3.1.2，6。不可修改性，即在电子商务活动中，交易文件是不可修改的，否则对方将遭受损失。因此，电子交易文件应该是不可更改的，以确保交易的

7、严肃性和公平性。返回到3.1.2，7。不可否认性。在传统的纸张贸易中，双方通过签署和盖章诸如合同、文件和合同等书面文件来识别贸易伙伴，确定这些文件的可靠性并防止拒绝的发生。在无纸电子商务环境下，交易一旦达成，就应该是不可否认和不可否认的，否则会损害对方的利益。因此，电子商务交易沟通过程中的每个环节都必须是不可否认的。这就要求在交易信息传输过程中对参与交易的个人、企业或国家进行可靠的识别。返回3.1.2，3.1.3危及电子商务系统安全的主要因素，1。提出的问题。电子商务的安全威胁。卖家面临的安全威胁。买家面临的安全威胁。网络硬件的不安全因素。网络软件的不安全因素。员工的不安全因素。电子商务的风险

8、类型。信息传播风险。交易信用风险。管理风险。法律风险。计算机病毒和黑客攻击的风险14环境的不安全因素15。电子商务安全管理的思考，回到3.1。1。问题，由于电子商务主要是通过计算机网络进行的，计算机网络技术的发展促进了电子商务的发展，同时也使得电子商务系统的安全问题日益复杂和突出。由于计算机网络资源的共享性和开放性，增加了网络安全的脆弱性和复杂性，也增加了网络受到威胁和攻击的可能性。因此，对电子商务不安全因素的分析主要是基于网上交易整个操作过程中可能出现的各种安全隐患和漏洞，从而使其安全管理有针对性。返回3.1.3，2。电子商务的安全威胁，在传统的交易过程中，买卖双方是面对面的，因此很容易保证

9、交易过程的安全并建立信任关系。然而，在电子商务的过程中，买卖双方通过网络联系在一起，甚至在钱山彼此相距甚远，因此很难建立双方之间的安全和信任关系。电子商务交易的双方(卖方和买方)都面临着不同的安全威胁。返回3.1.3，3。卖方面临的安全威胁，(1)中央系统的安全性被破坏，(2)竞争对手搜索货物的交付状态，(3)竞争对手获知客户信息，(4)声誉3、退货(2)竞争者搜索商品的交货状态，而恶意竞争者以他人的名义订购商品，从而了解商品的交货状态和库存状态。返回3，(4)公司的声誉因被他人伪造而受损，不诚实的人建立另一个与卖方服务器同名的服务器来假冒卖方。返回3，4。买方面临的安全威胁，(1)虚假订单，

10、(2)付款后未能收到货物，(3)失去保密性，(4)拒绝服务，退货3.1.3，(1)虚假订单，伪造者可能以客户的名义订购货物，并可能收到货物，但该客户此时需要付款或退货。退货4，(2)付款后，无法收到货物。在要求客户付款后，卖方的内部人员没有将订单和款项转交给执行部门，从而使客户无法收到货物。返回4，(3)失去保密性，客户可能会发送机密的个人数据或自己的身份数据(如账号、密码等)。)提供给冒充卖方的机构，并且该信息也可能在传输过程中被窃取。(4)拒绝服务，攻击者可能向卖方服务器发送大量虚假订单，耗尽其资源，使合法用户无法获得正常服务。4，5。网络硬件的不安全因素。当计算机相互通信时，涉及的主要网

11、络硬件设施有：通信线路、调制解调器、网络接口、终端、转换器、处理器等。这些组件的不安全因素主要包括：(1)通信监控；(2)非法终端；(3)注入非法信息；(4)线路干扰；(5)操作中断；(6)服务干扰；(7)病毒入侵，返回3 . 1 . 3；(6)网络软件的不安全因素，主要涉及以下几个方面：(1)操作系统：几乎所有的操作都利用这些安全漏洞，网络黑客可以攻击它们。(2)网络协议：TCP/IP等网络协议不是为安全通信而设计的，会带来安全隐患。(3)网络软件：网络软件的安全隐患和软件运行中的错误可能导致交易信息传输的丢失和错误。3.1.3，7。人员的不安全因素，人员管理往往是网络安全管理中最薄弱的环节

12、，这就需要从管理系统上弥补技术上的不足，以保证网络安全。员工的不安全因素主要体现在以下几个方面：(1)不完善的规章制度导致了泄密的思想。(2)业务不熟悉、误操作或不符合操作程序，导致泄漏。(3)保密观念不强，不了解保密规则，随意泄露秘密。(四)熟悉系统的人员故意变更软件，非法获取或者篡改信息。(5)恶意破坏网络系统和设备(6)非法访问系统或利用硬件故障部分和软件错误破坏各部分。返回3.1.3，8。电子商务的风险类型。从整个电子商务系统的分析来看，电子商务的安全问题可以分为以下四类风险：信息传递风险、信用风险、管理风险和法律风险。返回3.1.3，9。信息传输风险，(1)信息丢失，(2)数据篡改，

13、(3)信息传输过程中的损坏，(4)冒名窥视，(5)虚假信息，返回3.1.3，(1)信息丢失，交易信息丢失，可能有三种情况：一是因线路问题造成的信息丢失；第二，信息因安全措施不当而丢失；第三，由于不同操作平台上的转换操作不当，信息会丢失。返回9、(2)篡改数据，攻击者擅自进入网上交易系统，使用非法手段，删除、修改和重新发送一些重要信息，损害数据的完整性，损害他人的经济利益，或者干扰对方的正确决策，造成网上交易的信息传递风险。返回9，(3)信息传播过程中的损害，当信息在互联网上传播时，它必须经过多个环节和渠道。由于计算机技术的飞速发展，原有的病毒防范技术、加密技术和防火墙技术总是有被新技术攻击的可

14、能。计算机病毒、黑客、窃听等的入侵。在传输过程中容易泄露重要数据，威胁电子商务交易的安全。此外，各种外部物理干扰，如通信线路质量差、地理位置复杂、自然灾害等。可能会影响数据的真实性和完整性。返回9，(4)假装偷看，“黑客”经常通过窃取IP地址进行欺骗和攻击，以获取重要的商业秘密、资源和信息。从买卖双方的角度来看，网上交易中信息传递的风险也可能来自于这样一个事实，即在用户以合法身份进入系统后，买卖双方都可能在互联网上发布虚假的供求信息，或者以过时的信息冒充当前的信息，以骗取对方的金钱或货物。目前，信息认证还没有很好的解决方案。9，10。交易信用风险，交易的不可否认性是电子商务中的一个关键问题。在

15、网上交易过程中，客户进入交易中心，买卖双方签订合同。交易中心不仅要监督买方按时付款，还要监督卖方按时按要求供货。这些环节存在着大量的交易信用风险。此外，由于交易双方都使用电子手段进行协商和结算，一些犯罪分子更容易在欺诈中得逞，这对网上交易的安全性构成了极大的威胁。交易信用风险主要来自三个方面：(1)卖方的信用风险；(2)买方的信用风险；(3)买卖双方均有违约，返回3 . 1 . 3；(1)卖方的信用风险，对于个人消费者来说，可能在网上使用信用卡进行支付时恶意透支，或者使用伪造的信用卡骗取卖方的货物；对于团体买家来说，有可能延迟付款，卖家需要为此承担风险。退货10、(2)信用风险来自买方，卖方不

16、能在质量、数量和时间上交付消费者所购买的货物，或不能完全履行与集团买方签订的合同，造成买方的风险。退货10，(3)买卖双方都有拒付。在传统交易中，双方可以直接面对面交易，信用风险易于控制。在网上交易中，物流和资金流在空间和时间上是分离的。另外，网上交易一般跨越时间和空间，双方难以面对面沟通，信用风险难以控制。这就要求网上交易双方都要有良好的信用和有效的信用机制来降低信用风险。10，11。管理风险。经过多年的发展，传统交易已经有了相对完善的控制机制和规范的管理。但是，网上交易只经历了很短的时间，还存在很多漏洞，因此我们应该加强对其管理，规范交易。管理风险主要包括：(1)交易过程管理风险；(2)人

17、员管理风险；(3)交易技术管理风险，返回3 . 1 . 3；(1)交易过程管理风险。在网上商品中介交易过程中，买卖双方签订合同，交易中心不仅要监督买方按时付款，还要监督卖方按时提供符合合同要求的商品。在这些环节中，存在着很多管理问题。如果管理不好，不可避免地会造成巨大的潜在风险。因此，需要完善的系统设计来形成一套相互关联、相互制约的系统群。退货11、(2)人事管理风险，人事管理往往是网上交易安全管理中最薄弱的环节。近年来，我国大多数计算机犯罪呈现出内部犯罪的趋势，这主要是由于工作人员的职业道德低下和安全教育管理不严造成的。一些竞争对手还通过招募新人潜入企业，或以不正当手段收买企业网络交易经理，窃取企业的用户识别码、密码、传输方式及相关机密文件。回报11、(3)交易技术管理风险，而网络交易技术管理的漏洞也带来更大的交易风险。某些操作系统的某些用户是无密码的，例如匿名访问，使用远程登录命令登录到这些无密码的用户，允许受信任的用户在没有密码的情况下进入系统，然后将自己升级为超级用户。法律风险，网上交易系统技