第四章电子商务安全技术本章要点：§1概述一、电子商务的安全威胁（一）来自黑客的威胁1、黑客的基本概念黑客(Hacker)可分为两类：一类是骇客。他们只想引人注目，证明自己的能力，在进入网络系统后，不会去破坏系统，或仅仅会做一些无伤大难的恶作剧。他们追求的是从侵入行为本身获得巨大成功的满足。另一类黑客是窃客。他们的行为带有强烈的目的性。早期的这些黑客主要是窃取国家情报、科研情报，而现在的这些黑客的目标大部分瞄准了银行的资金和电子商务的整个交易过程。2、网络黑客常用的攻击手段（1）口令攻击黑客首先对网络通信进行监视，使用扫描工具获取目标主机的有用信息。然后，反复试验和推测用户及其亲属的名字、生日、电话号码等，获取进入计算机网络系统的口令，以求侵入系统，从事袭击活动。当这些方法不能奏效时，黑客们便借助各种软件工具，利用破解程序分析这些信息，进行口令破解，进而实施攻击。（2）服务攻击黑客所采用的服务攻击手段主要有四种：①和目标主机建立大量的连接。②向远程主机发送大量的数据包。③以极快的速度用无数的消息“轰炸”某个特定用户。④利用网络软件在实现协议时的漏洞，向目标主机发送特定格式的数据包，从而导致主机瘫痪。（3）电子邮件轰炸方法是让用户在很短的时间内收到大量的电子邮件，这样使得用户系统的正常业务不能开展，系统功能丧失，严重时会使系统关机，甚至使整个网络瘫痪。还有一种邮件是在直接夹带或在附件中夹带破坏性执行程序，用户不小心沾染了这类邮件或附件，就会自动启动这个程序，带来不可预测的严重后果。（4）计算机病毒计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。一台计算机感染上病毒后，轻则系统运行效率下降，部分文件丢失。重则造成系统死机，计算机硬件烧毁。3、防范黑客的技术措施比较常用的防范黑客的技术措施是网络安全检测设备、防火墙和安全工具包软件。（1）网络安全检测设备预防为主是防范黑客的基本指导思想。利用网络从事交易的单位或个人，有条件的话，应当加强对黑客行为的网络监控。（2）防火墙（具体见下一节）（3）安全工具包全面的网络安全技术，应包括反病毒、入侵检测、安全认证、加密、防火墙五个环节。安全工具包正是努力从这五个环节上解决安全问题，实现全面的网络安全。（二）交易中的威胁1、假冒的威胁（1）假冒卖方。第三人建立与供应方服务器名字相同的另一个WWW服务器来假冒供应方；（2）假冒买方。一个假冒者可能会以客户的名义来订购商品，而且假冒者有可能收到商品，此时客户却被要求付款或返还商品；（3）恶意竞争。恶意竞争者以他人的名义来订购商品，从而了解有关商品的递送状况和货物的库存情况。2、信用的威胁信用风险来自三个方面：（1）来自买方的信用风险。对于个人消费者来说，可能存在在网络上使用信用卡进行支付时恶意透支，或使用伪造的信用卡骗取卖方的货物行为；对于集团购买者来说，存在拖延货款的可能。（2）来自卖方的信用风险。卖方不能按质、按量、按时送寄消费者购买的货物，或者不能完全履行与集团购买者签订的合同，造成买方的风险。（3）买卖双方都存在抵赖情况。买方提交订单后不付款；卖方在收款后不发货。3、信息传递中的风险信息在网络上传递时，要经过多个环节和渠道。由于计算机技术发展迅速，计算机病毒的侵袭、黑客非法侵入、线路窃听等很容易使重要数据在传递过程中泄露，威胁电子商务交易的安全。4、管理方面的风险严格管理是降低网络交易风险的重要保证，特别是在网络商品中介交易的过程中，客户进入交易中心，买卖双方签订合同，交易中心不仅要监督买方按时付款，还要监督卖方按时提供符合合同要求的货物。在这些环节上，都存在大量的管理问题。防止此类问题的风险需要有完善的制度设计，形成一套相互关联、相互制约的制度群。（三）法律方面的风险电子商务的技术设计是先进的、超前的，具有强大的生命力。但在网上交易可能会承担由于法律滞后而造成的风险。此外，还存在其他方面的不可预测的风险。二、电子商务的安全性要求电子商务的安全性需求可以分为两个方面，一方面是对计算机及网络系统安全性的要求；另一方面是对电子商务信息安全的要求。1、信息的保密性信息的保密性是指信息在存储、传输和处理过程中，不被他人窃取(无论是无意的还是恶意的)。要保证信息的保密性，需要防止入侵者侵入系统；对商务机密(如信用卡信息等)要先经过加密处理，再送到网络传输。2、信息的完整性信息的完整性包括信息在存储中不被篡改和破坏，以及在传输过程中收到的信息和原发送信息的一致性。前面提到的信息的加密处理只能保证信息不被第三方看到，不能保证信息不被篡改。信息的完整性要求系统能够识别信息是否被篡改或破坏，从而决定是否使用信息。3、信息的不可否认性信息的不可否认性是指信息的发送方不可否认已经发送的信