电子商务概论.4.pptVIP

第四章 电子商务的安全 （一）安全的概念、类型、安全威胁与安全措施 计算机安全就是保护企业资产不受未经授权的访问、使用、篡改或破坏。迄今主要有两大类的安全：物理安全和逻辑安全。物理安全是指可触及的保护设备，如警铃、保卫、防火门、安全栅栏、保险箱、防爆建筑物等。使用非物理手段对资产进行保护称为逻辑安全。对计算机资产带来危险的任何行动或对象都称为安全威胁。 计算机安全可分成三类，即必威体育官网网址、完整和即需。必威体育官网网址是指防止未授权的数据暴露并确保数据源的可靠性；完整是防止未经授权的数据修改；即需是防止延迟或拒绝服务。 安全措施是指识别、降低或消除安全威胁的物理或逻辑步骤的总称。根据资产的重要性不同，相应的安全措施也有多种。如果保护资产免受安全威胁的成本超过所保护资产的价值，我们就认为对这种资产的安全风险很低或不可能发生。 （二）安全策略 要保护自己的电子商务资产，所有组织都要有一个明确的安全策略。安全策略是明确描述对所需保护的资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些不可接受等的书面描述。安全策略一般要陈述物理安全、网络安全、访问授权、病毒保护、灾难恢复等内容，这个策略会随时间而变化，公司负责安全的人员必须定期修改安全策略。 制定安全策略时，首先要确定保护的内容（如保护信用卡号不被窃听）；再确定谁有权访问系统的哪些部分，不能访问哪些部分；然后确定有哪些资源可用来保护这些资产。安全小组了解了上述信息后，制定出书面的安全策略。最后要提供资源保证来开发或购买实现企业安全策略所需的软硬件和物理防护措施。例如，如果安全策略要求不允许未经授权访问顾客信息（包括信用卡号和信用历史），这时就必须开发一个软件来为电子商务客户提供端到端的安全保证，或采购一个可实现这个安全策略的软件或协议。 虽然很难实现或根本不可能实现绝对的安全，但完全可构造一些障碍来阻止绝大多数的入侵者。如果一个电子窃贼进行未经授权活动的成本超过了进行这个非法活动所获得的价值，这就大大降低了非法活动发生的概率。 综合安全意味着将所有安全措施协同起来以防止未经授权的资产暴露、破坏或修改。安全策略必须包含着对安全问题的多方面考虑因素。安全策略一般要包含以下内容： 认证：谁想访问电子商务网站？ 访问控制：允许谁登录电子商务网站并访问它？ 必威体育官网网址：谁有权利查看特定的信息？ 数据完整性：允许谁修改数据，不允许谁修改数据？ 审计：在何时由何人导致了何事？ （三）对知识产权的安全威胁 版权是对表现的保护，一般包括对文学和音乐作品、戏曲和舞蹈作品、绘画和雕塑作品、电影和其他视听作品以及建筑作品的保护；知识产权是思想的所有权和对思想的实际或虚拟表现的控制权。所有作品创作出后就得到法律的保护。没有明确的版权声明的作品也受到法律的保护。 互联网广泛应用后，对知识产权的安全威胁比以前严重多了，这主要有两个原因：首先，网络的信息非常容易复制，无论它是否受到版权保护；其次，很多人不了解保护知识产权方面的版权规定。互联网上每天都会发生许多无意或有意侵犯版权的案件。 尽管在互联网出现前版权法已经生效了，但互联网使出版商的版权保护工作变得更为复杂了。要查找文字材料的未经授权复制非常容易，但查找被盗用、剪辑和非法使用在页面上的照片就比较困难了。 过去几年里出现了大量有关知识产权和网络域名的争论。因抢注域名而公堂相见的数量也在不断上升。抢注域名是指用别人公司的商标来注册一个域名，以期商标所有者付巨资赎回域名。 （四）保护知识产权 保护数字化的知识产权和保护传统的知识产权不同。传统的知识产权（如文字作品、艺术和音乐等）主要通过国内法律甚至国际法来保护。数字知识产权（包括网站上的艺术图形、图标和音乐）也受到法律保护。虽然这些法律起到了威慑作用，但并不能阻止侵犯知识产权的行为发生，无法提供可靠的跟踪罪犯侵犯知识产权的有效方法。数字化的知识产权所面临的困境是如何在网站上发表知识产权作品同时又能保护这些作品。迄今为止，绝对的保护是不现实的，但有些措施可提供一定程度的保护。 世界知识产权组织（WPO）一直在推进和监督国际数字化版权的问题。也有些公司为数字化版权持有人提供第一、二代的保护产品。美国信息技术协会（ITAA）发表的“电脑空间知识产权保护”提出了一些解决方案，包括：主机名阻塞、包过滤和代理服务器。互联网服务提供商（ISP）可用IP阻塞、包过滤或代理服务器来阻止某个违法网站的访问。但这些方法无法防止未经版权所有者允许的盗窃，也无法进行资产识别。 还有些方法有希望能保护数字化作品，例如软件测量、数字化水印