第11章 电子商务安全及风险防范 电子商务理论与实务课件.pptVIP

第十一章电子商务安全及风险防范 第一节 电子商务的安全问题与需求 一、电子商务面临的安全问题 众所周知，Internet是一个完全开放的网络，任何一台计算机、任何一个网络都可以与之连接，并借助Internet发布信息，获取与共享各种网站的信息资源，发送E-mail与开展网上办公，进行各种网上商务活动，即电子商务，方便了政府、企业与个人的现代事务处理，直接带动一个网络经济时代的到来。 发展到现在，通过总结归类，电子商务面临的主要安全隐患有如下5个方面。 (1) 系统的中断与瘫痪。网络故障、操作错误、应用程序错误、硬件故障、系统软件错误以及计算机病毒都能导致系统不能正常工作，因而要对此所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。 (2) 信息被窃取。电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家部门的商业机密。电子商务是建立在一个较为开放的网络环境上的，维护商业机密是电子商务全面推广应用的重要保障。因此，要预防通过搭线和电磁泄漏等手段造成的信息泄露，或对业务流量进行分析从而获取有价值的商业情报等一切损害系统机密性的行为。 (3) 信息被篡改。电子商务简化了贸易过程，大多是自动化与网络化的，减少了人为的干预，同时也带来了维护贸易各方商业信息(如电子支票)的完整和统一问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会影响贸易各方的交易和经营策略。因此，保持贸易各方信息的完整性是电子商务应用的基础。 (4) 信息被伪造。电子商务可能直接关系到贸易双方的商业交易，如何确定网上远程交易方真正是所期望的贸易方，即有效身份认证是保证电子商务顺利进行的关键。 (5) 对交易行为抵赖。当贸易一方发现交易行为对自己不利时，当利益刺激到一定程度时，就有可能否认电子交易行为。 二、电子商务的安全需求 针对以上所述的在电子商务开展过程中可能出现的安全问题，为保证电子商务流程的安全、可靠，考虑到电子商务过程中涉及的客户、商家、银行、CA认证中心等商务各方各自的安全需要，电子商务的安全需求可总结分类如下： (1) 保证网络上相关数据流的必威体育官网网址性。 (2) 保证网络上相关商务数据不被随意篡改，即保证相关电子商务信息的完整性。 (3) 保证电子商务各方身份的认定。 (4) 保证电子商务行为发生的事实及发生内容的不可抵赖性。 (5) 保证电子商务系统运行的稳定、可靠、快捷，做好数据备份与灾难恢复等工作，并保证一定的商务处理速度。在电子商务中，网上订单处理、网络支付结算等都需要快捷、安全的处理速度，否则客户就可能没有耐心等待而选择直接去传统商城购物。一些特殊的电子商务领域，如网络证券，没有良好的数据备份或快捷的网上交割速度，就可能给股民带来很大的损失。 第二节 电子商务安全的技术措施 一、电子商务交易方自身网络安全保障技术 为了维护电子商务交易者内部网络的安全，可以采取以下四种技术。 1. 用户账号管理和网络杀毒技术 获取合法的账号即密码是黑客攻击网络系统最常见的手法。因此，用户账号的安全管理措施不仅包括技术层面上的安全支持，即针对用户账号完整性的技术，包括用户分组管理(对不同的成员赋予不同的权限)、单一登录密码制度(用户在企业计算机网络中任何地方都使用同一个用户名和密码)、用户认证(结合多种手段，如电话号码、IP地址、用户使用时间等精确确认用户)，还需要在企业信息管理的政策方面有相应的措施，即划分不同的用户级别、制定密码政策(如密码的长度、难度、定期更换、组成规则)、对职员的流动进行管理以及对职员进行计算机及网络安全教育。只有综合运用多种措施，才能最大限度地保护用户账号与密码。 在网络环境下，计算机病毒更危险，破坏力也更大，它破坏的往往不是单独的计算机和系统，而是整个网络范围。有效地防止网络病毒的破坏对网络系统安全及电子商务发展均有非常重要的意义。 2. 防火墙技术 防火墙是由软件和硬件设备(一般是计算机或路由器)组成的，处于企业内部网和外部网之间，用于加强内外之间安全的一个或一组系统。在互联网上通过防火墙来完成进出企业内部网和外部网检查的功能。防火墙迫使所有的连接都必须通过它来完成，通过对往来数据来源或目的、数据格式或内容进行审查来决定是否允许数据进出，也可以避免内外网之间的直接联系，即限制非法用户进入企业内部往来，过滤不符合规定的数据或限制提供/接受的服务类型，可以对网络威胁状况进行分析判断，达到保护内部网络安全的目的。见图11-1。 图11-1 一般数据加密模型图 3. 虚拟专网技术 与专用线路相比，普通线路接入互联网是非常危险的，这是因为进行路由时不知道数据包会通往何处，而且若在该路由器上复制了数据包