请讲解一些电子商务安全的重要概念

[名词解释关于财务管理的一些概念]财务管理是基于企业再生产过程中客观存在的财务活动和关系而产生的，是组织企业资金活动、处理企业同各方面的财务关系的一项经济管理工作，是企业管理的重要组成部分。你这指...+阅读

请讲解一些电子商务安全的重要概念

电子商务安全问题及措施研究 2005年第11期（总第85期） -------------------------------------------------------------------------------- 彭银香，白贞武（湖南经济管理干部学院，湖南长沙 410004）【摘要】电子商务在改变人们的商务模式的同时，安全问题也成为人们日益关注的重点。文章分析了电子商务应用中所存在的问题，并从计算机网络安全、商务交易安全出发，提出了电子商务应采取的主要安全措施。【关键词】电子商务；网络安全；交易安全；加密；认证；协议【中图分类号】 TP393 【文献标识码】 A 【文章编号】 1008-1151(2005)11-0162-02 【收稿日期】2005-08-05 【作者简介】彭银香（1972—），女，湖南邵阳人，湖南经济管理干部学院讲师，研究方向：网络安全，电子商务。随着Internet的发展，电子商务已经逐渐成为人们进行商务活动的新模式。相对于传统商务模式，电子商务具有便捷、高效的特点与优点。但目前全球通过电子商务渠道完成的贸易额仍只是同期全球贸易额中的一小部分。究其原因，电子商务是一个复杂的系统工程，它的实现还依赖于众多从社会问题到技术问题的逐步解决与完善。其中，电子商务安全是制约电子商务发展的一个核心和关键问题，电子商务安全技术也成为各界关注和研究的热点。

一、电子商务安全问题保证交易数据的安全是电子商务系统的关键。由于Internet本身的开放性，使电子商务系统面临着各种各样的安全威胁。目前电子商务主要存在的安全隐患有以下几个方面：

（1）对合法用户的身份冒充。攻击者通过非法手段盗用合法用户的身份信息，仿冒合法用户的身份与他人进行交易，从而获得非法利益。

（2）对信息的窃取。攻击者在网络的传输信道上，通过物理或逻辑的手段，对数据进行非法的截获与监听，从而得到通信中敏感的信息。

（3）对信息的篡改。攻击者有可能对网络上的信息进行截获后篡改其内容，如修改消息次序、时间，注入伪造消息等，从而使信息失去真实性和完整性。

（4）拒绝服务。攻击者使合法接入的信息、业务或其他资源受阻，例如使一个业务口被滥用而使其他用户不能正常工作。

（5）对发出的信息予以否认。某些用户可能对自己发出的信息进行恶意的否认，以推卸自己应承担的责任。

（6）非法入侵和病毒攻击。计算机网络会经常遭受非法的入侵攻击以及计算机病毒的破坏。电子商务的一个重要技术特征是利用计算机技术来传输和处理商业信息。因此，电子商务安全从整体上可分为计算机网络安全和商务交易安全两大部分。

二、计算机网络安全措施计算机网络安全的内容包括计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面，各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。

（一）保护网络安全。网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下：

（1）全面规划网络平台的安全策略。

（2）制定网络安全的管理措施。

（3）使用防火墙。

（4）尽可能记录网络上的一切活动。

（5）注意对网络设备的物理保护。

（6）检验网络平台系统的脆弱性。

（7）建立可靠的识别和鉴别机制。

（二）保护应用安全。保护应用安全，主要是针对特定应用（如Web服务器、网络支付专用软件系统）所建立的安全防护措施，它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠，如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密，都通过IP层加密，但是许多应用还有自己的特定安全要求。由于电子商务中的应用层对安全的要求最严格、最复杂，因此更倾向于在应用层而不是在网络层采取各种安全措施。虽然网络层上的安全仍有其特定地位，但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。

（三）保护系统安全。保护系统安全，是指从整体电子商务系统或网络支付系统的角度进行安全防护，它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施：

（1）在安装的软件中，如浏览器软件、电子钱包软件、支付网关软件等，检查和确认未知的安全漏洞。

（2）技术与管理相结合，使系统具有最小穿透风险性。如通过诸多认证才允许连通，对所有接入数据必须进行审计，对系统用户进行严格安全管理。

（3）建立详细的安全审计日志，以便检测并跟踪入侵攻击等。

三、商务交易安全措施商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。各种商务交易安全服务都是通过安全技术来实现的，主要包括加密技术、认证技术和电子商务安全协...

简述电子商务安全性的要求

从安全和信任关系来看，在传统交易过程中，买卖双方是面对面的，因此很容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中，买卖双方是通过网络来联系的，彼此远隔千山万水，由于英特网既不安全，也不可信，因而建立交易双方的安全和信任关系相当困难。电子商务交易双方（销售者和消费者）都面临不同的安全威胁。�

1.对销售者而言，他面临的安全威胁主要有：�

(1)中央系统安全性被破坏：入侵者假冒成合法用户来改变用户数据（如商品送达地方）、解除用户订单或生成虚假订单。�

(2)竞争者检索商品递送状况：恶意竞争者以他人的名义来订购商品，从而了解有关商品的递送状况及货物和库存情况。�

(3)客户资料被竞争者获悉。�

(4)被他人假冒而损害公司的信誉：不诚实的人建立与销售者服务器名字相同的另一个WWW服务器来假冒销售者。�

(5)消费者提交订单后不付款。�

(6)虚假订单。�

(7)获取他人的机密数据：比如，某人想要了解另一人在销售商处的信誉时，他以另一人的名字向销售商订购昂贵的商品，然后观察销售商的行动。假如销售商认可该定单，则说明被观察的信誉高，否则，则说明被观察者的信誉不高。�

2.对消费者而言，他面临的安全威胁主要有：�

(1)虚假订单：一个假冒者可能会以客户的名字来订购商品，而且有可能收到商品，而此时客户却被要求付款或返还商品。�

(2)付款后不能收到商品：在要求客户付款后，销售商中的内部人员不将定单和钱转发给执行部门，因而使客户不能收到商品。�

(3)机密性丧失：客户可能将秘密的个人数据或自己的身份数据（如PIN、口令等）发送给冒充销售商的机构，这些信息也可能会在传递过程中被窃听。�