《电子商务概论》第三章要点Word格式.docx
《《电子商务概论》第三章要点Word格式.docx》由会员分享,可在线阅读,更多相关《《电子商务概论》第三章要点Word格式.docx(40页珍藏版)》请在冰豆网上搜索。
教学难点与重点:
电子商务安全的影响因素
电子商务安全手段
重点名词:
物理安全、网络安全、防火墙、信息加密技术、数字签名、对称加密、非对称加密、数字时间戳
第一节电子商务系统安全问题概述
安全问题是电子商务发展的首要问题。
计算机病毒的破坏、黑客的侵袭、密码的泄漏、内部人员作案等均构成电子商务对电子商务网络系统的威胁,成为电子商务推广中的最大障碍。
安全问题的解决有赖于人们对电子商务系统安全性的高度重视和采取切实可行的对策。
一、电子商务系统安全性的基本概念
电子商务系统的安全性并不是一个孤立的概念,它是由计算机安全性,尤其是计算机网络安全性发展而来的。
由于电子商务是利用计算机网络的信息交换来实现电子交易的,所以凡是涉及到计算机网络的安全问题无疑对于电子商务都有着重要的意义。
当然,电子商务的安全也存在着自身的特点。
电子商务系统的形式多种多样,涉及的安全问题方方面面,很难给出一个固定的模式,但无论怎样,一个电子商务系统的安全问题,主要应考虑以下几点:
1.物理安全
物理安全是指保护计算机主机硬件和物理线路的安全,保证其自身的可靠性和为系统提供基本安全机制。
影响物理安全的主要因素有火灾及自然灾害、辐射、硬件故障、偷窃和超负荷等等。
2.网络安全
网络安全是指网络层面的安全。
把计算机连到网络上就会多出一个新的安全威胁,即网络计算机能被网上的任一台主机攻击或插入物理网络攻击,且网络软件业引入新的威胁,大部分Internet软件协议没有进行安全性的设计,且网络服务器程序经常超级用户特权来执行,这便造成诸多安全问题。
如:
信息在网络中传输时的安全问题、网络上的服务器对外提供的服务及其设置的安全问题等。
3.系统软件安全
系统软件安全是指保护软件和资料免遭或有意的非授权泄漏、修改、破坏和非法复制。
系统软件安全的目标使计算机系统逻辑上安全,主要是使系统中信息的存取、处理和传输满足系统安全策略的要求,以保护信息财富。
根据计算机软件系统的组成,软件安全可分为操作系统安全、数据库安全、网络软件安全和应用软件安全。
全可分为操作系统安全、数据库安全、网络软件安全和应用软件安全。
4.人员管理安全
任何一个电子商务系统安全存量的确定一方面要考虑如何防止外部对本网的攻击,另一方面也要考虑如何防止内部人员的攻击,即人员管理问题。
后者在某种程度上,其复杂性和难度要远远超过前者。
所以,敏感岗位的身份识别、安全培训和安全检查等人员管理安全问题就成为电子商务系统安全问题的一个重要环节。
5.电子商务安全立法
电子商务安全立法是对电子商务犯罪的约束,它是利用国际机器,通过安全立法,体现于犯罪斗争的国家意志。
二、电子商务系统的安全控制要求
电子商务发展的核心和关键问题是交易的安全性。
由于Internet本身的开放性,使网上交易面临了种种危险,也由此提出了相应的安全控制要求。
这些安全控制要求构成了电子商务系统主要的安全要素。
1.有效性
电子商务以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。
电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益。
因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易资料在确定的时刻、确定的地点是有效的。
2.保密性
电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。
因此在电子商务的信息传播中一般均有保密的要求。
交易中的商务信息如被泄漏,其后果将不堪设想。
如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款等信息被竞争对手获悉,就可能丧失商机。
3.完整性
电子商务简化了贸易过程,减少了人为干预,同时也带来维护容易个方商业信息的完整、统一的问题。
由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。
贸易各方信息的完整性将影响到贸易各方面的交易和经营策略,保持贸易各方面信息的完整性是电子商务应用的基础。
4.交易者身份的确定性
网上交易的双方很可能素味平生,相隔千里。
要使交易成功,首先要能确认对方的身份,商家要考虑客户端不能是骗子,而客户也会担心网上的商店是一个玩弄欺诈的黑店。
因此能方便而可能地确认对方身份是交易的前提。
5.不可否认性
在传统的纸面贸易中,贸易双方通过在交易合同或贸易单据等书面文件上手写签名或印章来贸易伙伴,确定合同、单据的可靠性并预防抵赖行为的发生。
6.不可修改性
交易的文件是不可被修改的,如上例所举的订购大豆。
公会单位在收到订单后,发现大豆价大幅上涨了,如其能改动文件内容,将订购数10吨改为1吨,则可大幅收益,那么订货单位可能就会因此而蒙受损失。
因此电子交易文件也要能做到不可修改,以保障交易的严肃和公正。
7.合法性
网上交易各方的工作要符合可适用的法律法规。
三、危害电子商务系统安全性和主要因素
我们知道,电子商务的运作是以计算机网络为依托而进行的。
计算机网络技术的发展使得电子商务的应用范围日益广泛与深入,同时也使电子商务系统的安全问题日益复杂和突出。
由于计算机网络资源的共享性和可扩充性,增加了网络安全的脆弱性和复杂性,也增加了网络受威胁和攻击的可能性,无疑也使电子商务系统的安全受到极大程度的挑战。
因此,对电子商务系统的不安全性因素分析,主要是依据对网络交易整个运作过程的考察,确定计算机网络中可能出现的各种安全隐患和安全漏洞,从而使电子商务系统的安全管理有的放矢。
1.网络硬件的不安全因素
一个计算机网络进行通讯时,一般要通过通信线路、调制解调器、网络接口、终端、转换器和处理机等部件。
网络硬件的安全令人担忧,通过通讯线路和交换系统互联的网络是窃密者、非法分子威胁的目标。
网络部件的不安全因素主要有:
(1)通讯监视
(2)非法终端
(3)注入非法信息
(4)线路干扰
(5)运行中断
(6)服务干扰
(7)病毒入侵
2.网络软件的不安全因素
(1)操作系统
(2)网络协议
(3)网络软件
3.工作人员的不安全因素
工作人员的不安全因素具体表现现在以下几个方面:
(1)保密观念
(2)业务部熟练
(3)因规章制度不健全
(4)素质差
(5)熟悉系统的工作人员
(6)担任系统操作的人员
(7)利益硬件的故障部位
(8)利用窃取系统的光盘、磁盘、磁带或纸带
4.交易信用的风险因素
交易双方采用电子方式谈判、结帐、这就使一些犯罪分子的欺诈行为更容易得逞,对网络交易的安全性构成巨大的威胁。
交易信用的风险主要来自三个方面:
(1)来自买方的信用风险。
(2)来自卖方的信用风险。
(3)买卖双方都存在抵赖的情况。
5.计算机病毒和黑客攻击
计算机病毒和黑客攻击是困扰当今计算机网络正常运转的两大难题,是威胁计算机安全的不可忽视的重要因素。
6.法律方面的风险因素
电子商务的技术设计是先进的、超前的、具有强大的生命力。
但必须清楚地认识到,在目前的法律上的是找不到完备的条文保护网络交易之中的教育方式的,在网上交易可能会承担由于法律风险。
7.环境的不安全因素
除了上述因素之外,还有环境因素威胁着网络的安全,如地震、火灾、水灾、风灾等自然灾害或断电等事故。
第二节电子商务系统网络安全管理基本对策
电子商务系统中的网络安全管理需要一个完整的综合保障体系。
根据我国的实际和国外的经验,应当从技术、管理、法律等方面入手,采取行之有效的综合解决的办法和措施,才可能真正实现电子商务的安全运作。
一、技术对策主要有:
设置虚拟专用网、使用安全访问设备、防火墙技术、网络防毒、信息加密存储通信、身份认证、访问控制、授权等。
下面分别进行简要讨论(但只有技术措施并不能完全保证网上交易的安全)。
1、设置虚拟专用网VPN
VPN(VirtualPrivateNetworks)是构建在公用网络(如Internet)基础设施之上的专用网络,也是在Internet上用于电子交易的一种专用网络,它可以在两个系统之间建立安全信道。
在VPN中交易双方相互比较熟悉,彼此之间数据通信量很大。
在VPN中使用比较复杂的专用加密和认证技术,极大地提高了电子商务的安全,是进行电子商务比较理想的一种形式。
设置VPN的关键技术:
对数据包进行加密,并在互联网上创建一个专用加密隧道,其它系统或用户就不能访问在这个通道上传输的数据。
VPN的组成结构如下图所示:
2、保护传输线路安全
露天线路要有保护措施。
远离各种辐射源。
集线器和调制解调器应放在受监视的地方。
定期检查线路。
3、采用端口保护设备
在利用电话拨号交换网的计算机网络中,远程终端和通信线路是安全的薄弱环节,故端口保护成为网络安全的一个重要问题。
最简单的方法是不用时拔下插头或断掉电源,此外是利用各种端口保护设备。
4、使用安全访问设备
使用智能卡、安全磁盘、安全认证卡等安全访问设备,它们相当于给Web安全又加了一道保险。
5、路由选择机制
Ø
由信息发送者选择特殊路由
由网络安全控制机构通过调整路由表,限制某些不安全的通路。
6、隐蔽信道
公开信道是为合法信息流提供传输的通道,而隐蔽信道则采用特殊编码,使秘密信息流可以逃避常规安全控制机构的检测,在普通系统中形成一个秘密的传输通道,传给未授权者。
7、防火墙:
防火墙是一种将内部网与公众网如Internet分开的隔离技术。
8、信息加密机制:
信息加密是网络中采用的最基本的安全技术。
它是采用数学方法对原始信息(称为“明文”)进行再组织而形成“密文”在网络上传输。
涉及信息、密匙、算法。
9、访问控制:
是按照事先确定的规则决定主体对客体的访问是否合法。
它包括:
权限控制;
日志记录;
文件和数据库设置安全属性(如只读、读/写、可修改、可执行、共享程度等)。
10、鉴别机制:
鉴别是为每一个通信方查明另一个实体身份和特权的过程。
其方式有:
报文鉴别;
数字签名;
终端识别技术等。
11、数据完整性机制:
传输数据完整性控制包括:
正确的发送方/接收方;
数据无丢失/误送;
时序正确等。
12、审计追踪机制:
审计记录追踪,记录每
升级会员 