电子商务安全的概念、技术概念介绍

思政元素1

思政元素2

【任务描述】

雅鹿公司电子商务部的小王从事电子商务部的安全专员工作。电子商务部总监要求小王了解国内电子商务安全的现状，并重点使用百度搜索引擎查找相关信息。

【任务分析】

了解电子商务安全隐患和威胁、电子商务安全隐患的防范措施；理解电子商务安全的中心内容；掌握电子商务安全体系的具体内容。

【知识准备】

1.电子商务安全的概念

电子商务安全就是保护电子商务系统里物理化和电子化的资产，防止未经授权的访问、使用、篡改或破坏。电子商务安全的中心内容是为用户提供稳定的服务，保证商务数据的完整性。

2.电子商务安全技术的概念

电子商务系统中使用的安全技术包括网络安全技术、信息加密技术、数字签名技术、密钥管理技术、安全认证技术、防火墙技术以及相关的安全协议标准等。电子商务安全技术的组成如图1-3 所示。

图1-3　电子商务安全技术的组成

【任务实现】

1.电子商务安全面临的严峻形势

1）电子商务安全体系结构不完整

电子商务是在开放的互联网上进行的贸易，大量的商务信息在计算机上存放和传输，其系统属于一个中央系统，把服务提供商以及客户、银行有效地联系在一起。目前，电子商务信息传输、交易信用、平台管理、法律规范等方面的安全防护体系还不健全。

利用电子商务安全体系结构来解决电子商务系统的安全问题，目前电子商务安全体系由下至上分别是安全协议层、安全认证层、加密技术层、网络安全层四层。电子商务系统面对日益复杂的安全问题，需要电子商务安全体系结构不断完善功能，为电子商务活动保驾护航。

2）电子商务管理体制不健全

目前虽然我国政府已将电子商务的管理提上日程，逐渐建立并制定了有关的电子商务法规和政策，为我国电子商务的发展提供了基本的法律保障，但某些方面仍不成熟。例如，如何引入电子签名、数字签名等管理方式保障信息的安全？在交易过程中，如何明确双方的责任？如何保障信息不泄露？这些方面都有待进一步加强和完善。

3）电子商务安全产品不过硬

目前市场上有关电子商务安全的产品数量不少，但真正通过国际和国家安全认证的却相当少。另外，拥有自主知识产权的安全技术和产品很少。目前构成我国信息基础设施的网络、硬件、软件等产品几乎都建立在以美国为首的少数几个发达国家的核心信息技术之上。中兴公司芯片事件再一次提醒我们，高新技术产品要有创新，才能有话语权。

4）多种威胁交织，频繁出现

电子商务安全面临的安全威胁主要来源于以下3个方面：

（1）非人为、自然力造成的数据丢失、设备失效、线路阻断。

（2）人为但属于操作人员无意的失误造成的数据丢失。

（3）来自外部和内部的恶意攻击和入侵。这种因素是当前电子商务安全所面临的最大威胁，极大地影响了电子商务的顺利发展。

电子商务安全的威胁如图1-4所示。

图1-4　电子商务安全的威胁

上述安全威胁，根据针对电子商务系统的攻击手段，可归纳为以下几种：

（1）中断：采取破坏硬件、线路或文件系统等方式，阻断用户访问，攻击系统的可用性。

（2）窃取：采取搭线、电磁窃取和分析业务流量等方式获取有用信息，攻击系统的机密性。

（3）篡改：结合其他手段修改秘密文件或核心内容，攻击内容的完整性。

（4）伪造：伪造假身份接入系统，假冒合法人接入系统，破坏消息的接收和发送，攻击系统的真实性。

（5）恶意攻击：采取施放电子邮件炸弹等方式，攻击系统的健壮性和容载能力。

黑客攻击方式如图1-5所示。

图1-5　黑客攻击方式

2.电子商务安全基础知识

电子商务安全分为实体安全（又称物理安全）、运行安全、信息安全。其结构如图1-6所示。

图1-6　电子商务安全的结构

1）实体安全

实体安全是保护计算机设备、设施及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施、过程。实体安全是电子商务安全的最基本保障，是整个安全系统不可缺少的组成部分。

（1）实体安全的主要内容。

①环境安全：主要是对电子商务系统所在的环境实施安全保护，如区域保护和灾难保护。(www.xing528.com)

②设备安全：对电子商务系统的设备进行安全保护，主要包括设备的防盗、防毁、防电磁信息辐射泄露、防止线路截获、抗电磁干扰及进行电源保护等。

③数据安全：电子商务系统中存放着大量机密敏感的数据，这些数据是电子商务企业运营时的重要信息。数据安全是指对电子商务数据实施安全存储、安全删除和安全销毁，防止数据被非法复制。

（2）实体安全的常见不安全因素。

①自然灾害（如地震、火灾、水灾等）、物理损坏（如硬盘损坏、设备使用寿命到期、外力致损等）、设备故障（如停电断电、电磁干扰等）。

a.特点：突发性、自然性、非针对性。

b.破坏性：对电子商务信息的完整性和可用性威胁最大。

c.解决方法：采取各种防护措施，随时备份数据等。

②电磁辐射（监听微机操作过程）、乘虚而入（如合法用户进入安全进程之后半途离开）、痕迹泄露（如密码、密钥等保管不善，被非法用户获得）等。

a.特点：隐蔽性、人为实施的故意性、信息的无意泄露性。

b.破坏性：破坏电子商务信息的保密性。

c.解决方法：采取辐射防护、设置密码、隐藏销毁等手段。

③操作失误（如偶然删除文件、格式化硬盘、拆毁线路等）、意外疏漏（如系统掉电、“死机”等）。

a.特点：人为实施的无意性、非针对性。

b.破坏性：破坏电子商务信息的完整性和可用性。

c.解决方法：状态检测、报警确认、应急恢复等。

（3）防止信息在空间上扩散的措施。

①对机房及重要信息的存储、收发部门进行屏蔽处理。

②对本地网、局域网传输线路传导辐射进行抑制。

③对终端设备辐射进行防范。

④一般采取的措施：订购设备时应选取低辐射产品；采取主动式的干扰设备，用干扰机破坏窃取信息的行为。

2）运行安全

运行安全即为保障系统功能的安全实现，提供一套安全措施来保护信息处理过程的安全。其主要由3个部分组成：风险分析、审计跟踪、备份与恢复。

（1）风险分析。其是指对系统进行动态分析、测试、跟踪并记录系统的运行，以发现系统运行期的安全漏洞；对系统进行静态分析，以发现系统潜在的威胁，并对系统的脆弱性作出分析。

（2）审计跟踪。其是指记录和跟踪系统各种状态的变化，保存、维护和管理审计日志，如记录对系统故意入侵的行为。

（3）备份与恢复。其是指对系统设备和系统数据的备份和恢复；在紧急事件或安全事故发生时，提供保障电磁系统继续运行或紧急恢复所需要的策略。

3）信息安全

信息安全即指防止信息被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制，也就是要确保信息的完整性、保密性、可用性和可控性。

信息安全主要由7部分组成：操作系统安全、数据库安全、网络安全、病毒防护、访问控制、数据加密和身份识别。

3.电子商务活动中的安全隐患

在电子商务活动中，主要存在以下几种安全隐患：

（1）信息在网络传输过程中被截获。攻击者可能通过互联网、公共电话网，以搭线或在电磁波辐射范围内安装截收装置等方式，截获传输的机密信息，或通过对信息流量、流向、通信频率和长度等参数的分析，推断出有用信息、如消费者的银行账号、密码等。

（2）传输的文件被篡改。攻击者可能从三方面破坏信息的完整性，如表1-1所示。

表1-1　破坏信息完整性的攻击方法

（3）假冒他人身份。冒充他人身份包括冒充领导发布命令、调阅文件；冒充他人消费，栽赃；冒充主机欺骗合法主机及合法用户；冒充网络控制程序，套取或修改使用权限、密钥等信息；接管合法用户，欺骗系统，占用合法用户的资源。

（4）伪造电子邮件。伪造电子邮件包括虚开网站和商店，给用户发电子邮件，收购货单；伪造大量用户，发电子邮件，穷尽商家资源，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应；伪造用户，发大量的电子邮件，窃取商家的商品信息和用户信用等信息。

（5）抵赖行为。抵赖行为包括发送信息者事后否认曾经发送过某内容；收到信息者事后否认曾经收到过某消息或内容；购买者发出订货单后不承认；商家卖出的商品后因价格不满意而不承认原有的交易。

4.电子商务安全理念

电子商务安全是一个系统概念，不仅是技术性问题，也是管理性问题，其具体技术和管理方面的内容如图1-7所示。

图1-7　电子商务安全在技术和管理方面的内容

1）电子商务安全重在管理

近几年电子商务安全案例分析表明：电子商务企业缺乏针对内部人员的系统安全管理体制，是导致网络交易过程中信息泄密的主要原因。电子商务安全问题，与法律、道德和人的因素紧密地联系在一起，只有全面协调地发展，才能建立一个安全的电子商务系统。

2）电子商务安全重在防范

电子商务安全是相对的，没有一劳永逸的安全技术。电子商务安全是发展的、动态的。安全技术具有很强的敏感性、竞争性和对抗性，需要不断地检查、评估和调整相应的安全策略。

5.电子商务安全的发展趋势

电子商务安全正在由目前的信息交易等单一环节、线上与线下结合的模式向集成电子认证、在线交易、在线支付、物流和信用服务一体化的方向发展，呈现出全程电子商务安全的发展态势。

【动手做一做】

在搜索引擎中，搜索以下关于电子商务安全的关键词，并对相关知识加以整理：主动攻击、被动攻击、SSH、SSL、VNP、PKI、IDS、IPS、网络钓鱼、信息安全特征。