電子商務(wù)技術(shù)第四章第一節(jié)

第四章電子商務(wù)安全基礎(chǔ)知識(shí)案例一：一名網(wǎng)絡(luò)管理員自行開(kāi)設(shè)了一家訂票網(wǎng)站“長(zhǎng)春鐵路在線(xiàn)”的網(wǎng)站，以定票的名義從事網(wǎng)絡(luò)欺騙。免費(fèi)贈(zèng)送QQ幣：登陸該網(wǎng)站，發(fā)現(xiàn)該網(wǎng)站從網(wǎng)頁(yè)布局到域名，都仿冒騰訊公司的QQ網(wǎng)站設(shè)立，讓用戶(hù)以為是騰訊官方進(jìn)行的市場(chǎng)促銷(xiāo)活動(dòng)。當(dāng)用戶(hù)按照該網(wǎng)站的提示填入自己的QQ號(hào)碼后，該網(wǎng)站甚至?xí)棾鲆粋€(gè)假冒的QQ軟件系統(tǒng)信息窗口，讓用戶(hù)誤以為自己真獲得了騰訊公司贈(zèng)送的QQ幣。同時(shí)，該網(wǎng)站還提示說(shuō)：“恭喜您！您成功獲得5個(gè)QQ幣，但是還沒(méi)有被激活。馬上把下面這個(gè)地址發(fā)給您QQ上的五位朋友點(diǎn)擊來(lái)激活吧。誘騙用戶(hù)把這個(gè)虛假信息傳遞給自己的QQ好友。目的：該網(wǎng)站為了提高自己的網(wǎng)絡(luò)全球排名、獲取商業(yè)利益的伎倆。

ALEXA提供的資料，一個(gè)星期內(nèi)，該騙子網(wǎng)站的全球排名從80000多位上升到了2000多位。根據(jù)業(yè)內(nèi)權(quán)威人士分析，每天受騙登陸該網(wǎng)站的人數(shù)可達(dá)數(shù)十萬(wàn)。類(lèi)似的網(wǎng)絡(luò)詐騙行為在西方歐美國(guó)家已經(jīng)成為威脅用戶(hù)安全的一種主流詐騙手段，單單信用卡用戶(hù)每年遭受的損失就有數(shù)十億美元，因此用戶(hù)一定不能掉以輕心。

案例二：

黃群威編造、故意傳播虛假恐怖信息案2003年4月，注冊(cè)名為“zzzzxxxxzz”的用戶(hù)，在“西路網(wǎng)”［］論壇發(fā)表標(biāo)題為“絕對(duì)可靠?jī)?nèi)部消息，上海隱瞞了大量非典病例”一文，IP地址為［54］。西路當(dāng)值安全監(jiān)控員刪除該文章時(shí)，點(diǎn)擊率為945次；案例三：證券大盜

2004年11月，四川廣漢的投資者陳先生，在毫不知情的情況下，其賬戶(hù)中的股票“動(dòng)力源”被賣(mài)掉，并以8.33元買(mǎi)入了陽(yáng)光發(fā)展，給他造成了上萬(wàn)元的損失。陳先生詢(xún)問(wèn)開(kāi)戶(hù)營(yíng)業(yè)部——華西證券廣漢營(yíng)業(yè)部，才知道原來(lái)這是網(wǎng)絡(luò)病毒“證券大盜”搞的鬼。

參見(jiàn)：《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告（2010/6）》半年有59.2%的網(wǎng)民在使用互聯(lián)網(wǎng)過(guò)程中遇到過(guò)病毒或木馬攻擊，遇到該類(lèi)不安全事件的網(wǎng)民規(guī)模達(dá)到2.5億人。2010年上半年，有30.9%的網(wǎng)民賬號(hào)或密碼被盜過(guò)，網(wǎng)絡(luò)安全的問(wèn)題仍然制約著中國(guó)網(wǎng)民深層次的網(wǎng)絡(luò)應(yīng)用發(fā)展。

89.2%的電子商務(wù)網(wǎng)站訪(fǎng)問(wèn)者擔(dān)心訪(fǎng)問(wèn)假冒網(wǎng)站；而他們?nèi)绻麩o(wú)法獲得該網(wǎng)站進(jìn)一步的確認(rèn)信息，86.9%的人會(huì)選擇退出交易?；ヂ?lián)網(wǎng)向商務(wù)交易型應(yīng)用的發(fā)展，急需建立更加可信、可靠的網(wǎng)絡(luò)環(huán)境。電子商務(wù)安全問(wèn)題的原因先天原因網(wǎng)絡(luò)的全球性、開(kāi)放性和共享性使得電子商務(wù)傳輸過(guò)程中的信息安全存在先天不足。后天原因管理——美國(guó)90%的IT企業(yè)對(duì)黑客的攻擊準(zhǔn)備不足。人——黑客攻擊技術(shù)——軟件漏洞、后門(mén)耐克網(wǎng)站被黑客篡改一電子商務(wù)安全的重要性一、電子商務(wù)安全的重要性1.保證商務(wù)信息的安全是進(jìn)行電子商務(wù)的前提2.保障網(wǎng)上購(gòu)物、交易、結(jié)算等電子商務(wù)各環(huán)節(jié)的安全問(wèn)題是促進(jìn)電子商務(wù)更快發(fā)展的關(guān)鍵。一、電子商務(wù)安全的重要性3.電子商務(wù)的安全問(wèn)題集中在：信息泄露、篡改、身份識(shí)別、信息破壞。主要來(lái)自以下幾個(gè)方面：（1）冒名偷竊：hacker為了獲得一些商業(yè)機(jī)密資源和信息，通常采用源IP地址欺騙攻擊。（2）篡改數(shù)據(jù)：攻擊者未經(jīng)授權(quán)進(jìn)入EC系統(tǒng)，使用非法手段刪除、修改、重發(fā)某些重要信息，破壞數(shù)據(jù)的完整性，損害他人利益。一、電子商務(wù)安全的重要性主要來(lái)自以下幾個(gè)方面：（3）信息丟失：三種情況下可能丟失信息，一是由于線(xiàn)路問(wèn)題造成信息丟失，如電源斷電、通信線(xiàn)路斷開(kāi)等；二是安全措施不錄導(dǎo)致丟失數(shù)據(jù)信息，如信息在傳遞過(guò)程中未加密，被hacker修改、刪除了；三是不同的操作平臺(tái)上轉(zhuǎn)換操作從而丟失信息。（4）信息傳遞出問(wèn)題：信息在傳遞的過(guò)程中，可能由于線(xiàn)路質(zhì)量較差，水災(zāi)、火災(zāi)等問(wèn)題而出現(xiàn)問(wèn)題，或者被hacker搭線(xiàn)竊聽(tīng)致使重要數(shù)據(jù)泄露。二電子商務(wù)安全的內(nèi)容二、電子商務(wù)安全的內(nèi)容1．電子商務(wù)系統(tǒng)硬件安全2.電子商務(wù)系統(tǒng)軟件安全3.電子商務(wù)系統(tǒng)運(yùn)行安全4.電子商務(wù)安全立法5.電子商務(wù)信息的安全三電子商務(wù)面臨的安全威脅電子商務(wù)安全概念與特點(diǎn)電子商務(wù)的一個(gè)重要技術(shù)特征是利用IT技術(shù)來(lái)傳輸和處理商業(yè)信息，因此，電子商務(wù)安全從整體上可分為兩大部分：計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全。計(jì)算機(jī)網(wǎng)絡(luò)安全

計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括：計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫(kù)安全等。其特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問(wèn)題，實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案，以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全為目標(biāo)。商務(wù)交易安全商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時(shí)產(chǎn)生的各種安全問(wèn)題，在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，保障以電子交易和電子支付為核心的電子商務(wù)的順利進(jìn)行。即實(shí)現(xiàn)電子商務(wù)保密性、完整性、可鑒別性、不可偽造性和不可抵賴(lài)性等。

同時(shí)，電子商務(wù)安全又有它自身的特殊性，即以電子交易安全和電子支付安全為核心，有更復(fù)雜的機(jī)密性概念，更嚴(yán)格的身份認(rèn)證功能，對(duì)不可拒絕性有新的要求，需要有法律依據(jù)性和貨幣直接流通性特點(diǎn)，還要網(wǎng)絡(luò)設(shè)有的其他服務(wù)(如數(shù)字時(shí)間戳服務(wù))等。電子商務(wù)安全與網(wǎng)絡(luò)安全信息安全互聯(lián)網(wǎng)安全網(wǎng)絡(luò)安全密碼安全電子商務(wù)安全四大特性

1．電子商務(wù)安全是一個(gè)系統(tǒng)概念

電子商務(wù)安全問(wèn)題不僅僅是個(gè)技術(shù)性的問(wèn)題，更重要的是管理問(wèn)題，而且它還與社會(huì)道德、行業(yè)管理以及人們的行為模式都緊密地聯(lián)系在一起。2．電子商務(wù)安全是相對(duì)的

安全是相對(duì)的，而不是絕對(duì)的，要想以后的網(wǎng)站永遠(yuǎn)不受攻擊、不出安全問(wèn)題是不可能的。3．電子商務(wù)安全是有代價(jià)的

如果只注重速度，就必定要以犧牲安全來(lái)作為代價(jià)；如果要考慮到安全，速度就得慢一點(diǎn),如果不直接牽涉到支付等敏感問(wèn)題，對(duì)安全的要求就可以低一些；如果牽涉到支付問(wèn)題，對(duì)安全的要求就要高一些，所以安全是有成本和代價(jià)的。4．電子商務(wù)安全是發(fā)展的、動(dòng)態(tài)的

今天安全，明天就不一定安全，沒(méi)有一勞永逸的安全，也沒(méi)有一蹴而就的安全。三、電子商務(wù)面臨的安全威脅1.計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)（開(kāi)放性、傳輸協(xié)議、操作系統(tǒng)、信息電子化）（1）物理安全問(wèn)題——通信安全——輻射安全（電傳打印機(jī)）（2）網(wǎng)絡(luò)安全問(wèn)題（3）網(wǎng)絡(luò)病毒的威脅（4）黑客攻擊（5）電子商務(wù)網(wǎng)站自身的安全問(wèn)題（加密技術(shù)、認(rèn)證技術(shù)、安全認(rèn)證技術(shù)）電子商務(wù)面臨的安全威脅對(duì)客戶(hù)機(jī)的安全威脅1、動(dòng)態(tài)內(nèi)容2、相關(guān)技術(shù)或機(jī)制(1)cookie(2)郵件通訊簿(3)信息隱蔽對(duì)通信信道的安全威脅對(duì)通信信道的安全威脅1、搭線(xiàn)竊聽(tīng)2、IP欺騙3、IP源端路由選擇4、目標(biāo)掃描對(duì)服務(wù)器的安全威脅1、WWW服務(wù)器2、數(shù)據(jù)庫(kù)服務(wù)器3、CGI4、ASP5、郵件炸彈6、溢出攻擊7、口令破譯安全隱患(一）

硬件的安全隱患；

操作系統(tǒng)安全隱患；“后門(mén)”

網(wǎng)絡(luò)協(xié)議的安全隱患；

數(shù)據(jù)庫(kù)系統(tǒng)安全隱患；

計(jì)算機(jī)病毒；

管理疏漏，內(nèi)部作案；

重應(yīng)用，輕安全。安全隱患(二）由于非法用戶(hù)可以偽造、假冒電子商務(wù)網(wǎng)站和用戶(hù)的身份。敏感信息和交易數(shù)據(jù)在傳輸過(guò)程中有可能被惡意篡改。網(wǎng)上交易行為一旦被進(jìn)行交易的一方所否認(rèn)，另一方?jīng)]有已簽名的記錄來(lái)作為仲裁的依據(jù)。威脅最大的“網(wǎng)絡(luò)釣魚(yú)”式攻擊假冒網(wǎng)站郵件欺騙木馬病毒中國(guó)銀行網(wǎng)站中國(guó)銀行的假冒域名是，多一個(gè)英文字母f；中國(guó)工商銀行網(wǎng)站中國(guó)工商銀行域名是，與，也只是“1”和“i”一字之差；中國(guó)農(nóng)業(yè)銀行網(wǎng)站中國(guó)農(nóng)業(yè)銀行域名是以垃圾郵件的形式大量發(fā)送欺詐性郵件，這些郵件多以中獎(jiǎng)、顧問(wèn)、對(duì)賬等內(nèi)容引誘用戶(hù)在郵件中填入金融賬號(hào)和密碼，或是以各種緊迫的理由要求收件人登錄某網(wǎng)頁(yè)提交用戶(hù)名、密碼、身份證號(hào)、信用卡號(hào)等信息，繼而盜竊用戶(hù)資金。國(guó)內(nèi)第一例中文混合型病毒“重要文件”冒充一家購(gòu)物網(wǎng)站郵件迷惑用戶(hù)，危害僅是可能將盜取個(gè)別用戶(hù)網(wǎng)絡(luò)銀行賬號(hào)和網(wǎng)絡(luò)游戲密碼等敏感信息。

黑客攻擊的分類(lèi)被動(dòng)攻擊主動(dòng)攻擊攻、防、測(cè)、控、管、評(píng)源點(diǎn)終點(diǎn)正常狀態(tài)攻擊者偽造篡改中斷截獲被動(dòng)攻擊主動(dòng)攻擊主動(dòng)攻擊主動(dòng)攻擊攻擊對(duì)象網(wǎng)絡(luò)恐怖分子（黑客）、信息戰(zhàn)部隊(duì)現(xiàn)在“黑客”一詞在信息安全范疇內(nèi)的普遍含意是特指對(duì)電腦系統(tǒng)的非法侵入者。黑客(hacker)：對(duì)技術(shù)的局限性有充分認(rèn)識(shí)，具有操作系統(tǒng)和編程語(yǔ)言方面的高級(jí)知識(shí)，熱衷編程，查找漏洞，表現(xiàn)自我。他們不斷追求更深的知識(shí)，并公開(kāi)他們的發(fā)現(xiàn)，與其他人分享；主觀(guān)上沒(méi)有破壞數(shù)據(jù)的企圖。駭客（cracker）：以破壞系統(tǒng)為目標(biāo)。“紅客”honker：中國(guó)的一些黑客自稱(chēng)“紅客”honker。美國(guó)警方：把所有涉及到"利用"、"借助"、"通過(guò)"或"阻撓"計(jì)算機(jī)的犯罪行為都定為hacking。計(jì)算機(jī)網(wǎng)絡(luò)犯罪

計(jì)算機(jī)網(wǎng)絡(luò)犯罪與傳統(tǒng)的犯罪相比有許多不同的特點(diǎn)：危害性：犯罪后果嚴(yán)重。成本低，傳播快，范圍廣。知識(shí)性：智慧型白領(lǐng)犯罪，年輕、專(zhuān)業(yè)化。隱蔽性：偵破與取證困難；證據(jù)的可修改性。廣域性、跨國(guó)性：作案場(chǎng)所不受地理區(qū)域的限制。集中在機(jī)密信息系統(tǒng)和金融系統(tǒng)兩方面。三、電子商務(wù)面臨的安全威脅2.電子商務(wù)交易風(fēng)險(xiǎn)（1）在線(xiàn)交易主體的市場(chǎng)準(zhǔn)入；（2）信息風(fēng)險(xiǎn)；（3）信用風(fēng)險(xiǎn)；（4）網(wǎng)上欺詐犯罪；（5）電子合同問(wèn)題；（6）電子支付問(wèn)題；（7）在線(xiàn)消費(fèi)者保護(hù)問(wèn)題；（8）電子商務(wù)中產(chǎn)品交付問(wèn)題；（9）電子商務(wù)中虛擬財(cái)產(chǎn)的保護(hù)問(wèn)題三、電子商務(wù)面臨的安全威脅3.管理風(fēng)險(xiǎn)（1）人員管理；（2）網(wǎng)絡(luò)交易技術(shù)管理在人員管理方面，主要是工作人員職業(yè)道德不高，或是離職人員在系統(tǒng)中沒(méi)有及時(shí)清除。交易過(guò)程中的管理、人員管理如：交易過(guò)程中，要監(jiān)督買(mǎi)方按時(shí)付款、賣(mài)方按時(shí)提供符合合同要求的貨物。三、電子商務(wù)面臨的安全威脅4.政策法律風(fēng)險(xiǎn)主要涉及的法律有：CA中心的法律、保護(hù)個(gè)人隱私、個(gè)人秘密的法律、電子合同法、EC的消費(fèi)者權(quán)益保護(hù)法、網(wǎng)絡(luò)知識(shí)產(chǎn)權(quán)保護(hù)法我國(guó)電子商務(wù)安全現(xiàn)狀在我國(guó),電子商務(wù)安全方面的基礎(chǔ)設(shè)施也比較薄弱。電子商務(wù)安全技術(shù)及手段還不完善和規(guī)范化,兼容性和實(shí)用性存在許多不足。很多的電子商務(wù)網(wǎng)站(包括電子支付)的安全機(jī)制還依賴(lài)于瀏覽器和Web服務(wù)器提供的SSL安全協(xié)議,使得電子商務(wù)中和電子交易和支付系統(tǒng)成為網(wǎng)絡(luò)犯罪活動(dòng)的新目標(biāo)。同時(shí),信息安全的立法仍然跟不上信息技術(shù)的快速發(fā)展。建立一套法律政策體系,保證電子交易雙方能按照共同的規(guī)則進(jìn)行交易,對(duì)發(fā)展電子商務(wù)是完