电子商务安全.pptx

《电子商务安全.pptx》由会员分享，可在线阅读，更多相关《电子商务安全.pptx（461页珍藏版）》请在咨信网上搜索。

电子商务安全与支付（第二版）面向21世纪创新型电子商务专业系列第第1 1章章 电子商务安全概述电子商务安全概述电子商务安全与支付电子商务安全与支付(第二版第二版)课程教学课程教学PPTPPT电子商务及其系统构成电子商务及其系统构成1.1电子商务电子商务安全威胁安全威胁1.2电子商务安全电子商务安全1.3电子商务电子商务安全的保障安全的保障1.4本章目录本章目录3.51.1.1电子商子商务的的定定义1.1电子商务及其系统构成电子商务及其系统构成1电子商子商务的定的定义随着随着电子技子技术和因特网（和因特网（Internet，又称国，又称国际互互联网）的网）的发展，展，信息技信息技术作作为工具被引入商工具被引入商贸活活动中，中，产生了生了电子商子商务（ElectronicCommerce，EC；ElectronicBusiness，EB）。）。通俗地通俗地说，电子商子商务就是在就是在计算机网算机网络（主要指（主要指Internet）的平）的平台上，按照一定台上，按照一定标准开展的商准开展的商务活活动。当企。当企业将它的主要将它的主要业务通通过企企业内部网（内部网（Intranet）、企）、企业外部网（外部网（Extranet）以及）以及Internet与企与企业的的职员、客、客户、供、供销商以及合作伙伴直接相商以及合作伙伴直接相连时，其中其中发生的各种活生的各种活动就是就是电子商子商务。电子商子商务的定的定义有多种有多种说法。下面是一些法。下面是一些组织、政府、公司、学、政府、公司、学术团体等体等总结的的较为全全面的定面的定义。1.1电子商务及其系统构成电子商务及其系统构成（1）联合国合国经济合作和合作和发展展组织（OECD）在有关）在有关电子子商商务的的报告中告中对电子商子商务（EC）的定）的定义是：是：电子商子商务是是发生在开放网生在开放网络上的包含企上的包含企业之之间（BusinesstoBusiness）、企）、企业和消和消费者之者之间（BusinesstoConsumer）的商）的商业交易。交易。（2）联合国国合国国际贸易法律委易法律委员会（会（UNITRAL）对电子商子商务的定的定义是：是：电子商子商务是采用是采用电子数据交子数据交换（EDI）和其）和其他通信方式增他通信方式增进国国际贸易的易的职能。能。（3）全球信息基）全球信息基础设施委施委员会（会（GIIC）电子商子商务工作委工作委员会会报告草案中告草案中对电子商子商务的定的定义是：是：电子商子商务是运用是运用电子通信作子通信作为手段的手段的经济活活动，通，通过这种方式人种方式人们可以可以对带有有经济价价值的的产品和服品和服务进行宣行宣传、购买和和结算。算。这种交易的方式不受地理种交易的方式不受地理位置、位置、资金多少或零售渠道的所有金多少或零售渠道的所有权影响，公有私有企影响，公有私有企业、公、公司、政府司、政府组织、各种社会、各种社会团体、一般公民、企体、一般公民、企业家都能自由地家都能自由地参加广泛的参加广泛的经济活活动，其中包括，其中包括农业、林、林业、渔业、工、工业、私、私营和政府的服和政府的服务业。电子商子商务能使能使产品在世界范品在世界范围内交易并向内交易并向消消费者提供多种多者提供多种多样的的选择。1.1电子商务及其系统构成电子商务及其系统构成（4）国）国际标准化准化组织（ISO/IEC）关于）关于EB谅解解备忘忘录对EB的的定定义是：是：电子商子商务（EB）是企）是企业之之间、企、企业与消与消费者之者之间信信息内容与需求交息内容与需求交换的一种通用的一种通用术语。（5）IBM公司的公司的电子商子商务（E-Business）概念：在网）概念：在网络计算算机机环境下的商境下的商业化化应用，不用，不仅仅是硬件和是硬件和软件的件的结合，也不合，也不仅仅是我是我们通常意通常意义下下强调交易的狭交易的狭义的的电子商子商务（E-Commerce），而是把），而是把买方、方、卖方、厂商及其合作伙伴在因特方、厂商及其合作伙伴在因特网（网（Internet）、企）、企业内部网（内部网（Intranet）和企）和企业外部网外部网（Extranet）结合起来的合起来的应用。它同用。它同时强调这三部分是有三部分是有层次次的：只有先建立良好的的：只有先建立良好的Intranet，建立好比，建立好比较完善的完善的标准和各准和各种信息基种信息基础设施，才能施，才能顺利利扩展到展到Extranet，最后，最后扩展到展到E-Commerce。1.1电子商务及其系统构成电子商务及其系统构成（6）HP公公司司提提出出电子子商商务（EC）、电子子业务（EB）、电子子消消 费（EC）和和 电 子子 化化 世世 界界 的的 概概 念念。电 子子 商商 务（E-Commerce）的的定定义是是：通通过电子子化化手手段段来来完完成成商商业贸易易活活动的的一一种种方方式式。电子子商商务使使我我们能能够以以电了了交交易易为手手段段完完成成物物品品和和服服务等等的的交交换，是是商商家家和和客客户之之间的的联系系纽带。它它包包括括两两种种基基本本形形式式：商商家家之之间的的电子子商商务和和商商家家与与最最终消消费者者之之间的的电子子商商务。电子子业务（E-Business）的的定定义是是：一一种种新新型型的的业务开开展展手手段段，通通过基基于于Internet的的信信息息结构构，使使得得公公司司、供供应商商、合合作作伙伙伴伴和和客客户之之间，利利用用电子子业务共共享享信信息息。电子子业务不不仅能能够有有效效地地增增强现有有业务进程程的的实施施，而而且且能能够对市市场等等动态因因素素做做出出快快速速响响应并并及及时调整整当当前前业务进程程。更更重重要要的的是是，电子子业务本本身身也也为企企业创造造出出了了更更多多、更更新新的的业务运运作作模模式式。电子子消消费（E-Consume）的的定定义是是：人人们使使用用信信息息技技术进行行娱乐、学学习、工工作作、购物物等等一一系系列列活活动，使使家家庭庭的的娱乐方方式式越越来越多地从来越多地从传统电视向向Internet转变。1.1电子商务及其系统构成电子商务及其系统构成1.1电子商务及其系统构成电子商务及其系统构成（7）通用）通用电气公司（气公司（GE）对电子商子商务的定的定义是：是：电子商子商务是是通通过电子方式子方式进行商行商业交易，分交易，分为企企业与企与企业间的的电子商子商务、企企业与消与消费者之者之间的的电子商子商务。企。企业与企与企业间的的电子商子商务以以EDI为核心技核心技术，以增，以增值网（网（VAN）和因特网（）和因特网（Internet）为主要手主要手段，段，实现企企业间业务流程的流程的电子化，配合企子化，配合企业内部的内部的电子化生子化生产管理系管理系统，提高企，提高企业从生从生产、库存到流通（包括物存到流通（包括物资和和资金）金）各个各个环节的效率。企的效率。企业与消与消费者之者之间的的电子商子商务以以Internet为主主要服要服务提供手段，提供手段，实现公众消公众消费和服和服务提供方式以及相关付款提供方式以及相关付款方式的方式的电子化。子化。1.1电子商务及其系统构成电子商务及其系统构成（8）美同政府在其全球）美同政府在其全球电子商子商务纲要中指出：要中指出：电子商子商务是通是通过Internet进行的各行的各项商商务活活动，包括广告、交易、，包括广告、交易、支付、服支付、服务等活等活动，全球，全球电子商子商务将会涉及世界各国。将会涉及世界各国。总结起来，可以起来，可以这样说：从宏：从宏观上上讲，电子商子商务是是计算机网算机网络的又一次革命，是通的又一次革命，是通过电了手段建立一种新的了手段建立一种新的经济秩序，秩序，它不它不仅涉及涉及电子技子技术和商和商业交易本身，而且涉及交易本身，而且涉及诸如金融、如金融、税税务、教育等社会其他、教育等社会其他层面。从微面。从微观角度角度说，电子商子商务是指是指各种具有商各种具有商业活活动能力的能力的实体（生体（生产企企业、商、商贸企企业、金融、金融机构、政府机构、个人消机构、政府机构、个人消费者等）利用网者等）利用网络和先和先进的数字化的数字化传媒技媒技术进行的各行的各项商商业贸易活易活动。1.1.21.1.2电子商务的电子商务的内涵内涵1.1电子商务及其系统构成电子商务及其系统构成（1）电子商子商务的本的本质是是“商商务”，是在，是在“电子子”基基础上的商上的商务。“商商务”解决做什么的解决做什么的问题，而，而“电子子”则解决怎么做的解决怎么做的问题。对于高科技的于高科技的应用是用是电子商子商务的手段和效果，而非目的。的手段和效果，而非目的。（2）电子商子商务的前提是商的前提是商务信息化。信息化。计算机算机应用和信息化建用和信息化建设是是其基其基础。它不只是在网上。它不只是在网上销售商品，售商品，还应和企和企业内部管理、售后内部管理、售后服服务支持等支持等结合起来，合起来，这样的的连接必接必须依靠企依靠企业管理信息化。管理信息化。（3）电子商子商务的核心是人。的核心是人。电子商子商务是一个社会系是一个社会系统，它的中心，它的中心必然是人。必然是人。电子商子商务的出的出发点和点和归宿是商宿是商务，商，商务的中心是人或的中心是人或人的集合。人的集合。电子工具的系子工具的系统化化应用也只能靠人。用也只能靠人。电子商子商务涉及的涉及的人人员目前可以分目前可以分为三三类：第一：第一类是技是技术人人员，他，他们主要主要负责电子子商商务系系统的的实现和技和技术支持；第二支持；第二类是商是商务人人员，他，他们主要主要负责各种商各种商务活活动具体具体业务的的处理；第三理；第三类是中高是中高级管理人管理人员，他，他们的的职责是是电子商子商务战略略规划、划、业务流程管理、安全管理等。流程管理、安全管理等。1.1.21.1.2电子商务的电子商务的内涵内涵1.1电子商务及其系统构成电子商务及其系统构成（4）电子商子商务是是对传统商商务的改良而不是革命。从本的改良而不是革命。从本质上来上来说，电子商子商务并没有脱离并没有脱离传统商商务的的业务流程，而是将流程，而是将传统商商务赖以生存的以生存的实物市物市场交易移到了虚交易移到了虚拟的网的网络空空间，在，在传统环境下开展商境下开展商务活活动的关的关键因素仍然不可缺少。因素仍然不可缺少。（5）电子工具必定是子工具必定是现代化的。所代化的。所谓现代化工具是指当代技代化工具是指当代技术成熟、先成熟、先进、高效、低成本、安全、可靠和方便操作的、高效、低成本、安全、可靠和方便操作的电子子工具。工具。（6）对象的象的变化也是至关重要的。以往的商化也是至关重要的。以往的商务活活动主要是主要是针对实物商品物商品进行的商行的商务活活动，电子商子商务则首先要将首先要将实物的商品物的商品虚虚拟化，形成信息化化，形成信息化(数字化和多媒体化数字化和多媒体化)的虚的虚拟商品，商品，进而而对虚虚拟商品商品进行整理、行整理、储存、加工存、加工传输。1.1.3电子商子商务的特征的特征1.1电子商务及其系统构成电子商务及其系统构成1.电子商子商务的技的技术特征主要包括：特征主要包括：（1）信息化。）信息化。电子商子商务是以信息技是以信息技术为基基础的商的商务活活动，它的，它的进行必行必须通通过计算机网算机网络系系统来来实现电子化信息的交子化信息的交换和和传输。电子商子商务的的发展是与信息技展是与信息技术的的发展密切相关，正是信息技展密切相关，正是信息技术的的发展推展推动了了电子商子商务的的发展。展。2）虚）虚拟化。化。电子商子商务是在数字化的虚是在数字化的虚拟电子市子市场（ElectronicMarketplace)进行的。行的。电子商子商务不受物理不受物理时空概念的限制。空概念的限制。（3）集成性。）集成性。电子商子商务是一种新是一种新兴产物，其中用到了大量新技物，其中用到了大量新技术，但并不是但并不是说新技新技术的出的出现就必然就必然导致老致老设备的死亡。互的死亡。互联网的真网的真实商商业价价值在于在于协调新老技新老技术，使用，使用户能更加行之有效地利用已能更加行之有效地利用已有的有的资源和技源和技术，更加有效地完成他，更加有效地完成他们的任的任务。1.1电子商务及其系统构成电子商务及其系统构成（4）可）可扩展性。要使展性。要使电子商子商务在在变化的商化的商业环境里正常运境里正常运行，必行，必须保保证其可其可扩展性。展性。电子商子商务中，耗中，耗时仅2min的重新的重新启启动也可能也可能导致大量客致大量客户流失，因而可流失，因而可扩展性极其重要。展性极其重要。1998年日本年日本长野冬奥会的官方万野冬奥会的官方万维网网节点的使用率是有史以点的使用率是有史以来基于互来基于互联网网应用中最高的，在短短的用中最高的，在短短的16天，天，该节点就接受点就接受了将近了将近6亿5千万次千万次访问。全球体育迷将数以百万。全球体育迷将数以百万计的信息直的信息直接通接通过体育迷体育迷电子子邮件件节点点发给运运动员，而与此同，而与此同时，还成成交了交了600多万笔交易。多万笔交易。这些惊人的数字些惊人的数字说明，随着技明，随着技术的日的日新月异，新月异，电子商子商务的可的可扩展性将不会成展性将不会成为瓶瓶颈所在。所在。1.1电子商务及其系统构成电子商务及其系统构成（5）安全性。安全性是）安全性。安全性是电子商子商务中的核心中的核心问题。缺乏安全的。缺乏安全的电子商子商务不可能吸引不可能吸引顾客，企客，企业和企和企业的交易更是如此，也的交易更是如此，也会限制企会限制企业运用运用计算机网算机网络传递商商业信息。欺信息。欺骗、窃听、病、窃听、病毒和非法入侵等攻毒和非法入侵等攻击行行为都无都无时无刻不在威无刻不在威胁着着电子商子商务，要求要求电子商子商务经营者提供一种端到端的安全解决方案。安全者提供一种端到端的安全解决方案。安全技技术包括加密解密机制、包括加密解密机制、认证技技术、安全交易、安全交易协议、计算机算机网网络系系统的安全管理（存取管理、防火的安全管理（存取管理、防火墙、安全服、安全服务器等）。器等）。目前，有代表性的安全目前，有代表性的安全电子交易子交易协议主要有安全套接主要有安全套接层（SSL）和安全）和安全电子交易（子交易（SET）等。）等。电子商子商务安全技安全技术的的发展和展和标准的制定，逐步使准的制定，逐步使电子商子商务企企业能能够建立起安全的建立起安全的电子商子商务环境。境。（6）系）系统性。性。电子商子商务系系统的的实施必施必须考考虑企企业外的合作伙外的合作伙伴或政府，必伴或政府，必须规划如何加入到已有的划如何加入到已有的电子商子商务系系统中。中。1.1电子商务及其系统构成电子商务及其系统构成2.电子商子商务的的应用特征主要包括：用特征主要包括：（1）商）商务性。性。电子商子商务最基本的最基本的应用特性用特性为商商务性，即提供性，即提供买、卖交易的服交易的服务、手段和机会。网上、手段和机会。网上购物提供一种客物提供一种客户所需所需要的方便途径。因而，要的方便途径。因而，电子商子商务对任何任何规模的企模的企业而言，都是而言，都是一种机遇。一种机遇。（2）服）服务性。性。电子商子商务时代企代企业越来越重越来越重视客客户的需求，的需求，这种需求不种需求不仅仅是是产品的，同品的，同时必然包括服必然包括服务的。互的。互联网网应用使用使得企得企业能自能自动处理商理商务过程，并不再像以往那程，并不再像以往那样强调公司内部公司内部的分工。企的分工。企业通通过将客将客户服服务过程移至互程移至互联网上，使客网上，使客户能以能以一种一种较过去去简捷的方式捷的方式获得服得服务。显而易而易见，电子商子商务提供的提供的客客户服服务具有一个明具有一个明显的特性：便利。例如比利的特性：便利。例如比利时的塞拉的塞拉银行，行，通通过电子商子商务，使得客，使得客户能全天候地存取能全天候地存取资金金账户，快速及，快速及时地地阅览相关利率信息，使得服相关利率信息，使得服务质量大量大为提高。提高。1.1电子商务及其系统构成电子商务及其系统构成（3）协调性。商性。商务活活动是一种需要各方是一种需要各方协调的的过程，程，许多多组织都提供了交互式的都提供了交互式的协议，电子商子商务活活动可以在可以在这些些协议上完成。上完成。（4）社会性。从宏）社会性。从宏观上上讲，电子商子商务是是计算机网算机网络的第二次革的第二次革命，是在通命，是在通过电子手段建立一个新的子手段建立一个新的经济秩序。它不秩序。它不仅涉及到涉及到电子技子技术和商和商业交易本身，交易本身，还涉及到涉及到诸如金融、税如金融、税务、教育等、教育等社会其他社会其他层面，以及使用面，以及使用电子虚子虚拟市市场的法律和的法律和竞争争规则形成形成等。等。电子商子商务的的发展和展和应用是一个社会性的系用是一个社会性的系统工程，缺少一工程，缺少一个个环节都都势必影响它的必影响它的发展，如展，如电子商子商务交易的税收等敏感交易的税收等敏感问题。（5）全球性。）全球性。Internet是一个公共开是一个公共开发的平台，根据美国互的平台，根据美国互联网网协会的定会的定义，互，互联网是一种网是一种“组织松散、国松散、国际合作的互合作的互联网网络”，是一种由，是一种由TCPIP组织起来的国起来的国际互互联网网络。电子商子商务面面对的是一个全球性的是一个全球性统一的一的电子虚子虚拟市市场。它。它为企企业跨国跨国发展展提供了平等的提供了平等的竞争机会。争机会。1.1电子商务及其系统构成电子商务及其系统构成1.1.4电子商子商务系系统构成构成1.电子商子商务系系统的分的分类（1）按照商品交易）按照商品交易过程完整程度分程完整程度分类：可以将：可以将电子商子商务分分为完全完全电子商子商务和不完全和不完全电子商子商务。（2）按照使用网）按照使用网络的的类型来分型来分类：基于基于EDI的的电子商子商务。基于。基于Internet的的电子商子商务。基于。基于Intranet的的电子商子商务。（3）按照交易）按照交易对象分象分类：企企业对企企业的的电子商子商务(BusinesstoBusiness，B2B)企企业对消消费者的者的电子商子商务(BusinesstoConsumer，B2C)企企业对政府的政府的电子商子商务(BusinesstoGovernment，B2G)，消消费者者对政府的政府的电子商子商务(ConsumertoGovernment，C2G)消消费者者对消消费者的者的电子商子商务(ConsumertoConsumer，C2C)1.1电子商务及其系统构成电子商务及其系统构成2.电子商子商务系系统的基本的基本组成成电子商子商务系系统的基本的基本组成有成有计算机网算机网络、用、用户、配送中心、配送中心、认证中心、中心、银行、商家等，如行、商家等，如图1.1所示所示1.2电子商务安全电子商务安全1.2.1电子商子商务安全概述安全概述1电子商子商务安全的表安全的表现（1）信息安全）信息安全信息安全是指由于各种原因引起的信息泄露、信息信息安全是指由于各种原因引起的信息泄露、信息丢失、信息失、信息篡改、信息虚假、信息滞后、信息不完善等，以及由此改、信息虚假、信息滞后、信息不完善等，以及由此带来的来的风险。（2）交易安全）交易安全交易安全是指交易安全是指电子商子商务交易交易过程中存在的各种不安全因素，包括程中存在的各种不安全因素，包括交易的确交易的确认、产品和服品和服务的提供、的提供、产品和服品和服务的的质量、价款的支量、价款的支付等方面的付等方面的问题。（3）财产安全安全财产安全是指由于各种原因造成安全是指由于各种原因造成电子商子商务参与者面参与者面临的的财产等等经济利益利益风险。财产安全往往是安全往往是电子商子商务安全安全问题的最的最终形式，也形式，也是信息安全是信息安全问题和交易安全和交易安全问题的后果。的后果。1.2电子商务安全电子商务安全2.电子商子商务网上交易的安全性网上交易的安全性（1）机密性）机密性机密性是指保机密性是指保证信息信息为授授权者享用而不泄露者享用而不泄露给未未经授授权者者。（2）完整性）完整性完整性是指保完整性是指保证只有被授只有被授权的各方，能的各方，能够修改修改计算机系算机系统的有的有价价值的内容和的内容和传输的信息，修改包括的信息，修改包括对信息的信息的书写、改写、改变状状态、删除、除、创建、延建、延时或重放。或重放。（3）可用性）可用性可用性是指保可用性是指保证信息和信息系信息和信息系统随随时为授授权者提供服者提供服务，而不，而不会出会出现非授非授权者者滥用却用却对授授权者拒者拒绝服服务的情况。的情况。（4）可）可认证性性认证是指提供是指提供对通信中通信中对等等实体和数据来源的体和数据来源的鉴别。（5）抗抵）抗抵赖性性抗抵抗抵赖是指防止参与某次通信交是指防止参与某次通信交换的任何一方事后否的任何一方事后否认本次通本次通信或通信的内容信或通信的内容。1.2电子商务安全电子商务安全1.2.2电子商子商务安全安全现状状1.电子商子商务的安全的安全问题日益受到重日益受到重视2.黑客的威黑客的威胁上升上升3.计算机网算机网络病毒病毒给电子商子商务造成的造成的损失失继续增加增加（1）木）木马病毒爆炸性增病毒爆炸性增长，变种数量快速增加。种数量快速增加。（2）网）网络病毒病毒传播方式播方式发生生变化。化。（3）网）网络病毒病毒给电子商子商务造成的造成的损失失继续增加。增加。4电子商子商务金融系金融系统的安全缺乏保障的安全缺乏保障5电子商子商务安全保障措施尚待加安全保障措施尚待加强电子商子商务的安全性是由的安全性是由计算机的安全性，特算机的安全性，特别是是计算机网算机网络的安的安全性全性发展而来的。安全展而来的。安全问题是是电子商子商务系系统所要解决的核心所要解决的核心问题。电子商子商务对网网络及及计算机算机应用系用系统提出了提出了许多安全要求，只有建多安全要求，只有建立起科学、合理的安全体系立起科学、合理的安全体系结构，才能保构，才能保证电子商子商务交易的安全交易的安全实施。施。1.3电子商务安全威胁电子商务安全威胁1.3.1Internet的安全威的安全威胁（1）系）系统穿透。指未授穿透。指未授权人通人通过一定手段一定手段对电子商子商务系系统的的认证性（真性（真实性）性）进行攻行攻击，假冒合法用，假冒合法用户接入企接入企业内部系内部系统，篡改文件、窃取机密信息、非法使用改文件、窃取机密信息、非法使用资源等。一般采取源等。一般采取伪装或装或利用系利用系统的薄弱的薄弱环节（如（如绕过检测控制）、窃取情控制）、窃取情报(如口令如口令)等方式等方式实现。（2）违反授反授权。指一个。指一个获授授权进入系入系统做某件事的用做某件事的用户，在，在系系统中从事未中从事未经授授权的其他活的其他活动。表面看来。表面看来这是系是系统内部的内部的误用或用或滥用用问题，实际上上这种威种威胁与外部穿透有关与外部穿透有关联。一个攻。一个攻击者可以通者可以通过猜猜测口令方式接入一个非特口令方式接入一个非特许用用户账号，号，进而利用而利用系系统的薄弱的薄弱环节，取得特，取得特许接入系接入系统权，从而，从而严重危及系重危及系统的的安全安全。1.3电子商务安全威胁电子商务安全威胁（3）植入。一般在系）植入。一般在系统穿透或穿透或违反授反授权攻攻击成功后，入侵者成功后，入侵者常要在系常要在系统中植入一种能力，如向系中植入一种能力，如向系统中注入病毒、蛀虫、特中注入病毒、蛀虫、特洛伊木洛伊木马程序、陷程序、陷门、逻辑炸炸弹等，等，为以后的攻以后的攻击提供方便。提供方便。例如攻例如攻击者可在系者可在系统中植入一种表面上是文字中植入一种表面上是文字处理理软件的木件的木马程序，程序，该程序能将所有程序能将所有编辑文档复制存入一个文档复制存入一个隐蔽的文件蔽的文件夹中，中，供攻供攻击者者检索。索。（4）通信）通信监视。这是通是通过搭搭线或或电磁泄漏等磁泄漏等对系系统的机密性的机密性进行攻行攻击，造成泄密，或，造成泄密，或获知知业务流量，从流量，从获知的知的业务流量中流量中分析出有用情分析出有用情报。侦察察卫星、星、监视卫星、星、预警警卫星、星、预警警飞机、机、装有大型装有大型综合孔径雷达的高空气球、无合孔径雷达的高空气球、无线微型微型传感器都可用于感器都可用于截截获和跟踪信息和跟踪信息。1.3电子商务安全威胁电子商务安全威胁（5）通信）通信窜扰。攻。攻击者者对通信数据或通信通信数据或通信过程程进行干行干预，对系系统的完整性的完整性进行攻行攻击，篡改系改系统中的数据，修正消息次序、中的数据，修正消息次序、时间（延（延时或重放），注入或重放），注入伪造消息。造消息。（6）中断。）中断。对系系统的可用性的可用性进行攻行攻击，破坏系，破坏系统中的硬中的硬盘、线路、文件系路、文件系统等，使系等，使系统不能正常工作，不能正常工作，毁坏信息和网坏信息和网络资源。高能量源。高能量电磁脉冲磁脉冲发射射设备可以摧可以摧毁附近建筑中的附近建筑中的电于器件，于器件，有些有些电子生物可以吞噬子生物可以吞噬电子器件。子器件。（7）拒）拒绝服服务。指合法接入数据接口、。指合法接入数据接口、业务口或其他口或其他资源受源受阻，例如，一个、阻，例如，一个、业务口被故意口被故意滥用而使其他用用而使其他用户不能正常接不能正常接入；入；Internet的一个地址被大量垃圾信息阻塞等。的一个地址被大量垃圾信息阻塞等。（8）否）否认。即一个。即一个实体体进行某种通信或交易活行某种通信或交易活动后却否后却否认曾曾进行行这一活一活动。不管。不管这种行种行为是有意的是有意的还是无意的，双方一旦是无意的，双方一旦出出现类似争似争执再要解决就不太容易了再要解决就不太容易了。1.3电子商务安全威胁电子商务安全威胁1.3.2Intranet范范围内的安全内的安全问题1恶意代意代码2物理的和基物理的和基础构造上的威构造上的威胁3黑客的威黑客的威胁4电子子间谍的窃取的窃取5职员的的报复复6Intranet的安全性的安全性弱点弱点在建立起一个在建立起一个Intranet并在其上使用安全程序并在其上使用安全程序时，请注意它可注意它可能会有能会有许多安全性弱点。下面列多安全性弱点。下面列举主要的两个：主要的两个：（1）口令系）口令系统。（2）TCPIP协议。1.3电子商务安全威胁电子商务安全威胁1.3.3网网络攻攻击1脆弱脚本攻脆弱脚本攻击2Web欺欺骗(1)Web页面的欺面的欺诈。(2)CGI(CommonGatewayInterface，通用网关接口，通用网关接口)欺欺骗。3网网络协议攻攻击4IP欺欺骗5远程攻程攻击6缓冲区溢出冲区溢出攻攻击1.3电子商务安全威胁电子商务安全威胁1.3.4电子交易子交易环境的安全性境的安全性问题传统商商务活活动都在一个切都在一个切实存在的存在的场所所进行，例如在行，例如在办公室、商公室、商场、银行行营业厅等等场所所进行。行。电子商子商务活活动则不同，交易的不同，交易的进行行没有一个切没有一个切实的的场所，而是在虚所，而是在虚拟的的Internet上上进行，行，电子商子商务的交易的交易环境安全，很大程度上指的就是境安全，很大程度上指的就是Internet的安全，而的安全，而Internet的安全主要反映在客的安全主要反映在客户机和服机和服务器的安全上器的安全上。1.3电子商务安全威胁电子商务安全威胁1客客户机的安全性机的安全性问题在活在活动的的Web内容出内容出现前，前，页面是静面是静态的，静的，静态页面是以面是以Web标准准页面描述面描述语言言HTML编制的，其作用只是制的，其作用只是显示内容并提供到其示内容并提供到其他他页的的链接。在活接。在活动内容广泛内容广泛应用后，用后，这个状况就个状况就发生了生了变化。化。活活动内容是指在内容是指在页面上嵌入的面上嵌入的对用用户透明的程序，它可完成一些透明的程序，它可完成一些动作。作。为Web页面提供活面提供活动内容的方式，包括内容的方式，包括图形文件和形文件和Web浏览器插器插件。而件。而图形文件中可能包含一些形文件中可能包含一些隐含嵌入指令，含嵌入指令，这些指令有合法些指令有合法的也有非法、的也有非法、恶意的，当客意的，当客户机下机下载了了这些些图形文件并运行它形文件并运行它们时，它，它们内含的内含的恶意指令将会破坏客意指令将会破坏客户机系机系统。Web浏览器插件器插件用于解用于解释或或执行嵌入在下行嵌入在下载图形、声音或其他形、声音或其他对象中的指令，象中的指令，这也涉及也涉及恶意指令运行的意指令运行的问题。1.3电子商务安全威胁电子商务安全威胁2服务器的安全性问题对企图破坏或非法获取信息的人来说，服务器有很多弱点可被利用，下面详细介绍三个。（1）Web服务器的安全性漏洞。大多数计算机上所运行的Web服务器可在不同权限下运行。高权限提供了更大的灵活性，允许程序运行所有指令，并可以不受限制地访问系统的各个部分（包括高敏感的特权区域）。相对而言，低权限是在所运行程序的周围设置了一层逻辑栅栏，防止程序运行全部指令，只允许程序访问一些计算机中不是很敏感的区域。安全规则是为程序提供完成工作所需的最低权限。为用户设置账号和口令的系统管理员需要很高权限，在Unix系统里称之为超级用户(Root)，他有权进入系统里的敏感数据区并进行修改。Web服务程序如果以高权限状态运行，就构成对Web服务器的安全威胁。在大多数情况下，Web服务程序提供的是能完成普通服务和任务的低权限。如果Web服务程序在高权限下运行，破坏者就可利用Web服务器的高权限状态执行恶意的指令，从而造成安全隐患。1.3电子商务安全威胁电子商务安全威胁（2）通用网关接口的安全性漏洞。）通用网关接口的安全性漏洞。前面已前面已讲过通用网关接口通用网关接口(CGI)可以可以实现从从Web服服务器到另一个器到另一个程序（如数据程序（如数据库程序）的信息程序）的信息传输。CGI和接收它所和接收它所传输数据的数据的程序程序为网网页提供了活提供了活动内容。例如，内容。例如，访问者要了解最喜者要了解最喜爱的运的运动队的比分，只需在网的比分，只需在网页上的列表框里填人最喜上的列表框里填人最喜欢的运的运动队的名字的名字和和“比分比分”字字样，然后提交，然后提交，CGI程序就会程序就会寻找所找所选运运动队的最的最新比分，然后把比分放到一个网新比分，然后把比分放到一个网页上并将此新网上并将此新网页发给用用户的的浏览器。器。CGI是一种程序，如果是一种程序，如果滥用就会用就会带来安全威来安全威胁。同。同Web服服务器一器一样，CGI脚本能以高脚本能以高权限状限状态运行。因此，能自由运行。因此，能自由访问系系统资源的有源的有恶意的意的CGI程序就能程序就能够使系使系统失效，甚至失效，甚至调用、用、删除除系系统程序或程序或顾客的保密信息（包括用客的保密信息（包括用户名和口令）名和口令）。1.3电子商务安全威胁电子商务安全威胁（3）其他程序的安全性漏洞。）其他程序的安全性漏洞。Web服服务器的攻器的攻击还可能来自服可能来自服务器上所运行的程序。通器上所运行的程序。通过客客户机机传输给Web服服务器或直接器或直接驻留在服留在服务器上的器上的Java或或C+程序程序经常需要使用常需要使用缓存。存。缓存是指定存放从文件或数据存是指定存放从文件或数据库中中读取的数据取的数据的的单独的内存区域，在独的内存区域，在处理理输入和入和输出操作出操作时就需要用到就需要用到缓存，存，因因为计算机算机处理文件信息的速度比从理文件信息的速度比从输入入设备上上读取信息或将信取信息或将信息写到息写到输出出设备上的速度快得多，所以上的速度快得多，所以缓存就用作数据存就用作数据进出的出的临时存放区。例如，可把即将存放区。例如，可把即将处理的数据理的数据库信息放在信息放在缓存中，等所存中，等所有信息都有信息都进入入计算机内存后，算机内存后，处理器操作和分析所需的数据就都理器操作和分析所需的数据就都准准备好了。好了。缓存的安全存的安全问题在于向在于向缓存存发送数据的程序可能会出送数据的程序可能会出错，导致致缓存溢出，溢出的数据可能存溢出，溢出的数据可能进入到指定区域之外。通常入到指定区域之外。通常情况下情况下这是由程序中的是由程序中的错误引起的，但有引起的，但有时这种种错误是有意的。是有意的。不不论有意有意还是无意是无意这都会都会导致非常致非常严重的安全后果重的安全后果。1.3.5电子交易子交易过程中的安全性程中的安全性问题1电子交易的主体子交易的主体对象象在在电子商子商务环境中，境中，电子交易所涉及的主体子交易所涉及的主体对象主要有：象主要有：（1）客）客户或持卡人或持卡人(CardHolder)：指：指电子交易中的消子交易中的消费者，他者，他持有可在网上持有可在网上进行消行消费的一种或几种信用卡。的一种或几种信用卡。（2）发卡机构（卡机构（Issuer）：指信用卡的）：指信用卡的发卡金融机构，它卡金融机构，它为消消费者建立者建立账号并号并发行信用卡，并要求持卡人遵守使用信用卡的有行信用卡，并要求持卡人遵守使用信用卡的有关关规定（包括安全、支付授定（包括安全、支付授权等）。等）。（3）商家（）商家（Merchant）：即商品或服）：即商品或服务提供者，它可以是从事提供者，它可以是从事传统产业的供的供应商，也可以是是新商，也可以是是新兴产业中的信息或服中的信息或服务提供商。提供商。（4）受卡行（）受卡行（Acquirer）：即商家的开）：即商家的开户银行，行，负责处理信用理信用卡的授卡的授权和支付。和支付。（5）支付网关（）支付网关（PaymentGateway）：是一个由受卡行）：是一个由受卡行(或指或指定的第三方机构定的第三方机构)操作的操作的设备，是金融，是金融专用网与用网与Internet的接口，的接口，用来用来处理商家的支付信息（包括客理商家的支付信息（包括客户的支付命令等）。的支付命令等）。1.3电子商子商务安全威安全威胁2电子交易子交易过程程一个典型的一个典型的电子交易子交易过程是程是这样的：的：（1）持卡人通）持卡人通过浏览器器查看网上商看网上商户建立的建立的购物中心主物中心主页上上发布的商品。布的商品。（2）持卡人在网站上将要）持卡人在网站上将要购买的商品添加到的商品添加到“购物物车”。（3）持卡人在）持卡人在该商商户站点站点输入一个入一个订单，包括商品名称、，包括商品名称、单价、价、总额、送、送货地址等内容。地址等内容。（4）持卡人）持卡人选择付款方式，即指定要用来付款的支付卡，如付款方式，即指定要用来付款的支付卡，如银行行发行的借行的借记卡、信用卡或卡、信用卡或电子子现金。金。（5）持卡人将）持卡人将订单和付款指令和付款指令发给商商户。（6）商）商户将持卡人的将持卡人的账号信息号信息发送到持卡人的开送到持卡人的开户银行行验证。（7）商）商户接收接收订单。（8）商）商户按按订单要求将要求将货发给持卡人。持卡人。（9）商）商户与持卡人开与持卡人开户银行行结清清货款。款。1.3电子商子商务安全威安全威胁1.3电子商子商务安全威安全威胁3电子交易双方面子交易双方面临的安全威的安全威胁对于商于商务交易而言，交易交易而言，交易对象的可靠性和交易象的可靠性和交易过程的程的安全性直接关系到交易的成功与否。安全性直接关系到交易的成功与否。电子商子商务活活动进行的行的场所是因特网，而因特网的安全性及交易双方的所是因特网，而因特网的安全性及交易双方的身份身份认证目前目前还需需进一步加一步加强，因而，因而电子商子商务交易双交易双方建立安全和信任关系相当困方建立安全和信任关系相当困难。电子商子商务交易双方交易双方（销售者和消售者和消费者）都面者）都面临不同的安全威不同的安全威胁。1.3电子商子商务安全威安全威胁对商商户而言，面而言，面临的安全威的安全威胁主要有：主要有：（1）中央系）中央系统安全性被破坏；入侵者假冒合法用安全性被破坏；入侵者假冒合法用户来改来改变用用户数据（如商品送达地址）、解除客数据（如商品送达地址）、解除客户订单或生成虚假或生成虚假订