一章電子商務(wù)安全概述

電子商務(wù)安全與支付技術(shù)第一章電子商務(wù)務(wù)安全概概述1.1電電子商務(wù)務(wù)及其安安全重要要性1.2電電子商務(wù)務(wù)的安全全需求1.3電電子商務(wù)務(wù)的安全全概述1.4電電子商務(wù)務(wù)系統(tǒng)的的安全性性要求1.5電電子商務(wù)務(wù)的保障障學(xué)習(xí)目標(biāo)標(biāo)了解電子子商務(wù)面面臨的安安全問題題掌握電子子商務(wù)系系統(tǒng)安全全的構(gòu)成成要素了解電子子商務(wù)安安全的主主要需求求理解電子子商務(wù)安安全保障障手段引例———eBay在中中國潰敗敗之因據(jù)中國互互聯(lián)網(wǎng)絡(luò)絡(luò)信息中中心《2010年中國國網(wǎng)上購購物調(diào)查查報(bào)告》》截止2011年1月月北京、、上海和和廣州三三大城市市共有C2C網(wǎng)網(wǎng)上購物物消費(fèi)者者304萬人，，淘寶成成為用戶戶首選購購物網(wǎng)站站。根據(jù)據(jù)購物金金額計(jì)算算的2010年年度中國國C2C三大城城市的用用戶市場場份額，，淘寶為為81..9%，，eBay易趣趣為15.4%%。eBay易趣PK淘寶寶，前前者敗在在安全之之上，是是不是淘淘寶就不不再面臨臨安全問問題？如如果不是是，到底底還有哪哪些安全全問題需需要電子子商務(wù)來來面對？？1.1..1電電子商商務(wù)的含含義宏觀視角角微觀視角角電子商務(wù)務(wù)的書面面定義所謂電子子商務(wù)((ElectronicCommerce)是是利用計(jì)計(jì)算機(jī)技技術(shù)、網(wǎng)網(wǎng)絡(luò)技術(shù)術(shù)和遠(yuǎn)程程通信技技術(shù)所進(jìn)進(jìn)行的商商務(wù)活動動。電子商務(wù)務(wù)的具體體含義是是指進(jìn)行行電子商商務(wù)交易易的供需需雙方都都是商家家(或企企業(yè)、公公司)，，他們借借助Internet的技術(shù)術(shù)或各種種商務(wù)網(wǎng)網(wǎng)絡(luò)平臺臺，完成成商務(wù)交交易的過過程；這這些過程程包括：：發(fā)布供供求信息息，訂貨貨及確認(rèn)認(rèn)訂貨，，支付過過程及票票據(jù)的簽簽發(fā)、傳傳送和接接收，確確定配送送方案并并監(jiān)控配配送過程程等。電子商務(wù)務(wù)的產(chǎn)生生基礎(chǔ)電子商務(wù)務(wù)最早產(chǎn)產(chǎn)生于20世紀(jì)紀(jì)60年年代，發(fā)發(fā)展于20世紀(jì)紀(jì)90年年代。產(chǎn)生和發(fā)發(fā)展的社社會基礎(chǔ)礎(chǔ)是：（1）政政府的的支持與與推動。。（2）計(jì)計(jì)算機(jī)機(jī)的廣泛泛應(yīng)用。。（3）網(wǎng)網(wǎng)絡(luò)的的普及和和成熟。。（4）完完善的的網(wǎng)絡(luò)服服務(wù)。電子商務(wù)務(wù)的發(fā)展展過程電子商務(wù)務(wù)的發(fā)展展分為兩兩個(gè)階段段，即始始于20世紀(jì)80年代代中期EDI電電子商務(wù)務(wù)和始于于90年年代初期期Internet電電子商務(wù)務(wù)。1．80年代～～90年年代基于于EDI的電子子商務(wù)電子通信信的方式式增增值網(wǎng)絡(luò)絡(luò)VANEDI電電子商務(wù)務(wù)技術(shù)僅僅局局限在先先進(jìn)國家家和地區(qū)區(qū)以及大大型的企企業(yè)范圍圍內(nèi)應(yīng)用用2．90年代以以來基于于因特網(wǎng)網(wǎng)的電子子商務(wù)開放的網(wǎng)網(wǎng)絡(luò)通信信方式Internet的網(wǎng)網(wǎng)絡(luò)環(huán)境境開開放的網(wǎng)網(wǎng)絡(luò)電子子銀行安安全全的在線線支付技技術(shù)也也適合合中小型型的企業(yè)業(yè)應(yīng)用1.1..2電子子商務(wù)安安全的現(xiàn)現(xiàn)狀電子商務(wù)務(wù)的安全全問題日日益受到到重視黑客的威威脅上升升計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)病毒毒給電子子商務(wù)造造成的損損失繼續(xù)續(xù)增加電子商務(wù)務(wù)金融系系統(tǒng)的安安全缺乏乏保障電子商務(wù)務(wù)安全保保障措施施尚待加加強(qiáng)1.1..3電子子商務(wù)安安全與支支付的重重要性電子商務(wù)務(wù)作為一一種全新新的商務(wù)務(wù)形式，，為全球球客戶提提供了更更簡捷的的交易方方法和更更低廉的的交易成成本。然然而，安安全問題題仍然是是阻礙其其發(fā)展的的最大障障礙。1999年7月月，當(dāng)中中國互聯(lián)聯(lián)網(wǎng)絡(luò)中中心第一一次對熱熱點(diǎn)問題題“用戶戶認(rèn)為目目前網(wǎng)上上購物最最大的問問題”進(jìn)進(jìn)行問卷卷調(diào)查時(shí)時(shí)，30%的網(wǎng)網(wǎng)民認(rèn)為為安全性性是網(wǎng)上上購物的的最大問問題，七七年后，，即2006年年7月的的調(diào)查顯顯示，網(wǎng)網(wǎng)民不進(jìn)進(jìn)行網(wǎng)上上交易的的原因中中，擔(dān)心心交易安安全性得得不到保保障的仍仍然高達(dá)達(dá)61..5%。。很明顯顯，網(wǎng)上上交易的的安全問問題是電電子商務(wù)務(wù)發(fā)展中中不容忽忽視的問問題。交易安全全保障是是保證現(xiàn)現(xiàn)代經(jīng)濟(jì)濟(jì)正常運(yùn)運(yùn)作的重重要基礎(chǔ)礎(chǔ)和支點(diǎn)點(diǎn)。現(xiàn)階階段電子子商務(wù)之之所以推推廣有困困難，關(guān)關(guān)鍵問題題是電子子支付安安全問題題沒有得得到很好好地解決決。電子子支付風(fēng)風(fēng)險(xiǎn)的有有效控制制，將會會從根本本上扭轉(zhuǎn)轉(zhuǎn)這種狀狀況。1.1..4解決決電子商商務(wù)安全全問題的的重要意意義保證電子子商務(wù)的的正常運(yùn)運(yùn)作，必必須高度度重視安安全問題題安全問問題是網(wǎng)網(wǎng)絡(luò)交易易成功與與否的關(guān)關(guān)鍵所在在，也是是致命所所在。因因?yàn)榫W(wǎng)絡(luò)絡(luò)交易的的安全問問題不僅僅關(guān)系到到的個(gè)人人的資金金安全、、商家的的貨物安安全，還還關(guān)系到到國家的的經(jīng)濟(jì)安安全，國國家經(jīng)濟(jì)濟(jì)秩序的的穩(wěn)定問問題。我我們無法法想像一一個(gè)安全全得不到到保障的的網(wǎng)絡(luò)交交易世界界會是一一個(gè)什么么樣的情情形。所所以，對對于網(wǎng)絡(luò)絡(luò)交易的的安全問問題絕不不可以等等閑視之之，必須須把它提提到重要要的議事事日程。。只有這這樣，才才能促進(jìn)進(jìn)電子商商務(wù)的更更快發(fā)展展。1.2..1電子商務(wù)務(wù)面臨的的安全威威脅安全問題題的提出出影響電子子商務(wù)廣廣泛應(yīng)用用的首要要問題：：安全問問題電子商務(wù)務(wù)安全與與網(wǎng)絡(luò)安安全網(wǎng)絡(luò)安全全漏洞多多網(wǎng)頁篡改改、網(wǎng)頁仿仿冒總之:不不是一堵堵防火墻墻或一個(gè)個(gè)電子簽簽名能解解決1.2..2電子子商務(wù)涉涉及的安安全問題題商家可能能面臨的的安全問問題系統(tǒng)破壞壞——遭遭受攻擊擊或自然然破壞壞惡意訂單單——競競爭對手手或客戶戶資料泄露露——客客戶資料料泄露客戶可能能面臨的的安全問問題虛假訂單單收不到貨貨機(jī)密性喪喪失———個(gè)人信信息可能能被泄露露拒絕服務(wù)務(wù)——合合法用戶戶得不到到服務(wù)銀行可能能面臨的的安全問問題中斷———攻擊系系統(tǒng)的可可能性竊聽———攻擊系系統(tǒng)的機(jī)機(jī)密性篡改———攻擊系系統(tǒng)的完完整性偽造———攻擊系系統(tǒng)的真真實(shí)性電子商務(wù)務(wù)涉及安安全的概概括信息的安安全問題題冒名竊聽聽篡改數(shù)據(jù)據(jù)信息丟失失信息傳遞遞出問題題信用的安安全問題題來自買方方的安全全問題來自賣方方的安全全問題買賣雙方方都存在在抵賴的的情況安全的法法律保障障問題技術(shù)先進(jìn)進(jìn)超前、、法律滯滯后安全的管管理問題題中介管理理問題人員管理理安全管理理員安全管理理規(guī)范1.3..1電電子商商務(wù)系統(tǒng)統(tǒng)安全概概述電子商務(wù)務(wù)系統(tǒng)安安全的構(gòu)構(gòu)成1.3..2系統(tǒng)統(tǒng)實(shí)體安安全所謂實(shí)體體安全：：保護(hù)計(jì)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)設(shè)備備、設(shè)施施以及其其他媒體體免遭地地震、水水災(zāi)、火火災(zāi)等環(huán)環(huán)境事故故以及人人為操作作失誤或或錯誤及及各種計(jì)計(jì)算機(jī)犯犯罪行為為導(dǎo)致的的破壞過過程。它主要包包括三個(gè)個(gè)方面：：環(huán)境安全全、設(shè)備備安全和和媒體安安全。環(huán)境安全全受災(zāi)防護(hù)護(hù)區(qū)域防護(hù)護(hù)設(shè)備安全全設(shè)備防盜盜設(shè)備防毀毀防止電磁磁信息泄泄露防止線路路截獲抗電磁干干擾電源保護(hù)護(hù)媒體安全全媒體的安安全媒體的防防盜媒體的防防毀媒體的數(shù)數(shù)據(jù)安全全媒體數(shù)據(jù)據(jù)的防盜盜媒體數(shù)據(jù)據(jù)的銷毀毀媒體數(shù)據(jù)據(jù)的防毀毀1.3..3系統(tǒng)統(tǒng)運(yùn)行安安全所謂運(yùn)行行安全：：是指為為保障系系統(tǒng)功能能的實(shí)現(xiàn)現(xiàn)，提供供一套安安全措施施來保護(hù)護(hù)信息處處理過程程的安全全系統(tǒng)運(yùn)行行安全的的組成：：風(fēng)險(xiǎn)分析析審計(jì)跟蹤蹤備份與恢恢復(fù)應(yīng)急風(fēng)險(xiǎn)分析析系統(tǒng)設(shè)計(jì)計(jì)前的風(fēng)風(fēng)險(xiǎn)分析析——潛潛在的安安全隱患患系統(tǒng)試運(yùn)運(yùn)行前的的風(fēng)險(xiǎn)分分析———設(shè)計(jì)的的安全漏漏洞系統(tǒng)運(yùn)行行期的風(fēng)風(fēng)險(xiǎn)分析析——運(yùn)運(yùn)行的安安全漏洞洞系統(tǒng)運(yùn)行行后的風(fēng)風(fēng)險(xiǎn)分析析——系系統(tǒng)的安安全漏洞洞審計(jì)跟蹤蹤記錄和跟跟蹤各系系統(tǒng)狀態(tài)態(tài)的變化化實(shí)現(xiàn)對各各種安全全事故系系統(tǒng)的定定位保持、維維護(hù)和管管理審計(jì)計(jì)日志備份與恢恢復(fù)提供場點(diǎn)點(diǎn)內(nèi)高速速度、大大容量自自動的數(shù)數(shù)據(jù)存儲儲、備份份和恢復(fù)復(fù)提供場點(diǎn)點(diǎn)外的數(shù)數(shù)據(jù)存儲儲、備份份和恢復(fù)復(fù)提供對系系統(tǒng)設(shè)備備的備份份應(yīng)急應(yīng)急計(jì)劃劃輔助軟軟件緊急事件件或安全全事故發(fā)發(fā)生時(shí)的的影響分分析應(yīng)急計(jì)劃劃的概要要設(shè)計(jì)或或詳細(xì)制制定應(yīng)急計(jì)劃劃的測試試與完善善應(yīng)急措施施提供實(shí)時(shí)時(shí)應(yīng)急設(shè)設(shè)施提供非實(shí)實(shí)時(shí)應(yīng)急急設(shè)施1.3..4信息息安全所謂信息息安全：：是指防防止信息息財(cái)產(chǎn)被被故意地地或偶然然地非授授權(quán)泄露露、更改改、破壞壞或使信信息被非非法的系系統(tǒng)辨識識、控制制，即信信息安全全要確保保信息的的完整性性、保密密性、可可用性和和可控性性。信息安全全的組成成操作系統(tǒng)統(tǒng)安全數(shù)據(jù)庫安安全網(wǎng)絡(luò)安全全病毒防護(hù)護(hù)安全訪問控制制安全加密鑒別操作系統(tǒng)統(tǒng)安全操作系統(tǒng)統(tǒng)安全是是指要對對電子商商務(wù)系統(tǒng)統(tǒng)的硬件件和軟件件資源實(shí)實(shí)行有效效的控制制，為所所管理的的資源提提供相應(yīng)應(yīng)的安全全保護(hù)。。操作系統(tǒng)統(tǒng)安全包包括：安全操作作系統(tǒng)操作系統(tǒng)統(tǒng)安全部部件數(shù)據(jù)庫安安全安全數(shù)據(jù)據(jù)庫系統(tǒng)統(tǒng)數(shù)據(jù)庫系系統(tǒng)安全全部件網(wǎng)絡(luò)安全全網(wǎng)絡(luò)安全全管理安全網(wǎng)絡(luò)絡(luò)系統(tǒng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)安全部部件病毒防護(hù)護(hù)安全計(jì)算機(jī)病病毒是指指編制或或在計(jì)算算機(jī)程序序中插入入的破壞壞計(jì)算機(jī)機(jī)功能、、毀壞數(shù)數(shù)據(jù)、影影響計(jì)算算機(jī)使用用、并能能自我復(fù)復(fù)制的一一組計(jì)算算機(jī)指令令或程序序代碼。。包括：單單機(jī)系統(tǒng)統(tǒng)病毒防防護(hù)和網(wǎng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)病毒防防護(hù)訪問控制制安全出入控制制——主主要用于于阻止非非授權(quán)用用戶進(jìn)入入機(jī)構(gòu)或或組織存儲控制制——主主要是提提供主體體訪問客客體時(shí)的的存儲控控制加密加密設(shè)備備——實(shí)實(shí)現(xiàn)對數(shù)數(shù)據(jù)的加加密密鑰管理理——提提供對密密鑰的管管理來加加強(qiáng)信息息安全鑒別身份鑒別別——主主要用于于阻止非非授權(quán)用用戶對系系統(tǒng)資源源的訪問問完整性鑒鑒別———主要用用于證實(shí)實(shí)信息內(nèi)內(nèi)容未被被非法修修改或遺遺漏不可否認(rèn)認(rèn)性鑒別別——證證實(shí)發(fā)送送方所