1、数据传输安全隐患。
电子商务是在开放的互联网上进行的贸易,大量的商务信息在计算机和网络上上存放、传输,从而形成信息传输风险。因此措施可以通过采用数据加密(包括秘密密钥加密和公开密钥加密)来实现的,数字信封技术是结合密钥加密和公开密钥加密技术实现的。
2、数据完整性的安全隐患。
数据的完整性安全隐患是指数据在传输过程中被篡改。因此确保数据不被篡改的措施可以通过采用安全的散列函数和数字签名技术来实现的。双重数字签名可以用于保证多方通信时数据的完整性。
3、身份验证的安全隐患。
网上通信双方互不见面,在交易或交换敏感信息时确认对方等真实身份以及确认对方的账户信息的真实与否,为身份验证的安全隐患。解决措施可以通过采用口令技术、公开密钥技术或数字签名技术和数字证书技术来实现的。
4、交易抵赖的安全隐患。
网上交易的各方在进行数据传输时,当发生交易后交易双方不认可为本人真实意愿的表达而产生的抵赖安全隐患。措施为交易时必须有自身特有的、无法被别人复制的信息,以保证交易发生纠纷时有所对证,可以通过数字签名技术和数字证书技术来实现的。
扩展资料:
电子商务分类:
1、企业对企业的电子商务(B2B);
2、企业对消费者的电子商务(B2C);
3、企业对政府的电子商务(B2G);
4、消费者对政府的电子商务(C2G);
5、消费者对消费者的电子商务(C2C);
6、企业、消费者、代理商三者相互转化的电子商务(ABC);
7、以消费者为中心的全新商业模式(C2B2S);
8、以供需方为目标的新型电子商务(P2D)。
参考资料来源:百度百科-电子商务安全体系
参考资料来源:百度百科-电子商务
一、电子商务的网络系统安全
电子商务系统是依赖网络实现的商务系统,需要利用Internet基础设施和标准,所以构成电子商务安全框架的底层是网络服务层,它提供信息传送的载体和用户接入的手段,是各种电子商务应用系统的基础,为电子商务系统提供了基本、灵活的网络服务。
电子商务网络系统安全问题包括以下几个方面:
1、网络部件的不安全因素。
2、软件不安全因素。
3、工作人员的不安全因素。
4、自然环境因素。
二、电子商务的电子支付系统安全
众所周知,基于Internet平台的电子商务支付系统由于涉及到客户、商家、银行及认证部门等多方机构,以及它们之间可能的资金划拨,所以客户和商家在进行网上交易时必须充分考虑其系统的安全。
目前网上支付中面临的主要安全问题有以下几方面:
1、支付账号和密码等隐私支付信息在网络传送过程中被窃取或盗用。
2、支付金额被更改。
3、不能有效验证收款人的身份。
三、电子商务认证系统安全
1、信息泄漏
在电子商务中表现为商业机密的泄漏,主要包括两个方面:交易双方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。如信用卡的账号和用户名被人获悉,就可能被盗用。
2、篡改
在电子商务中表现为商业信息的真实性和完整性的问题。电子的交易信息在网络上传输的过程中,可能被他人非法修改、删除或重改,这样就使信息失去了真实性和完整性。
假如两公司签订了一份由一公司向另一公司供应原料的合同,若赶上原料价格上涨,供货方公司篡改价格将使自己大幅受益,而采购公司将蒙受损失。
3、身份识别
在网络交易中如果不进行身份识别,第三方就有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等,进行身份识别后,交易双方就可防止相互猜疑的情况。
4、蓄意否认事实
由于商情的千变万化,商务合同一旦签订就不能被否认,否则必然会损害一方的利益。因此,电子商务就提出了相应的安全控制要求。
1、电子商务中面临的法律安全问题。随着国际信息化、网络化进化的不断发展,在电子商务领域利用计算机网络进行犯罪的案件与日俱增,其犯罪的花样和手段不断翻新。
2、电子合同中的法律问题。电子商务合同的订立是在不同地点的计算机系统之间完成的。许多国家的法律要求必须有书面形式的交易单证作为证明交易有效和作为交易的证据;否则,这种合同属于无效合同。
关于电子合同能否视为书面合同,并取得与书面文件同等的效力,是各国法律尚未解决的问题,与传统书面文件相比,电子文件有一定的不稳定性,一些来自外界的对计算机网络的干扰,都可能造成信息的丢失、损坏、更改。
3、银行电子化服务的法律问题。银行是电子支付和结算的最终执行者,起着联结买卖双方的纽带作用,但对一些从事电子货币业务的银行来说,犯罪分子伪造电子货币,给银行带来了直接经济损失。
4、电子资金转账的法律问题。电子资金转账的法律是个特殊问题,但是我国现行的《票据法》并不承认经过数字签名认证的非纸质的电子票据支付和结算方式。并且支付不可撤消,付款人或第三人不能要求撤消已经完成的电子资金转账。
5、电子商务中的知识产权保护问题。电子商务活动中交易的客体及交易的行为经常涉及传统的知识产权领域。
6、电子商务中的消费者权益保护问题。电子商务等新的交易方式给消费者权益保护带来各种新的维权问题。随着科技进步,新产品的大量出现,消费知识滞后的矛盾也更加突出。
四、电子商务的安全措施
适当设置防护措施可以降低或防止来自现实的威胁。在通信安全、计算机安全、物理安全、人事安全、管理安全和媒体安全方面均可采取一定的措施,整个系统的安全取决于系统中最薄弱环节的安全水平,这就需要从系统设计上进行全面的考虑,折中选取。
电子商务中的安全措施包括有下述几类:
1、保证交易双方身份的真实性:
常用的处理技术是身份认证,依赖某个可信赖的机构(CA认证中心)发放证书,并以此识别对方。目的是保证身份的精确性,分辨参与者身份的真伪,防止伪装攻击。
2、保证信息的保密性:
保护信息不被泄露或被披露给未经授权的人或组织,常用的处理技术是数据加密和解密,其安全性依赖于使用的算法和密钥长度。常见的加密方法有对称式密钥加密技术(如DES算法)和公开密钥加密技术(如RSA算法)。
3、保证信息的完整性:
常用数据杂凑等技术来实现。通过散列算法来保护数据不被未授权者(非法用户)建立、嵌入、删除、篡改、重放。典型的散列算法为美国国家安全局开发的单向散列算法之一。
4、保证信息的真实性:
常用的处理手段是数字签名技术。目的是为了解决通信双方相互之间可能的欺诈,如发送用户对他所发送信息的否认、接收用户对他已收到信息的否认等,而不是对付未知的攻击者,其基础是公开密钥加密技术。目前,可用的数字签名算法较多,如RSA数字签名、ELGamal数字签名等。
5、保证信息的不可否认性:
通常要求引入认证中心(CA)进行管理,由CA发放密钥,传输的单证及其签名的备份发至CA保存,作为可能争议的仲裁依据。
6、保证存储信息的安全性:
规范内部管理,使用访问控制权限和日志,以及敏感信息的加密存储等。
参考资料来源:人民网-电子商务发展趋势
本回答被网友采纳◆ 窃取信息
由于未采用加密措施,调制解调器之间的信息以明文形式传送,入侵者使用相同的调制解调器就可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
◆ 篡改信息
当人侵者掌握了信息的格式和规律之后,通过各种方式,在原网络的调制解调器之间增加两个相同类型的调制解调器,将通过的数据在中间修改,然后发向另一端。这种方法并不新鲜,在一个路由器或者网关上都可以做这种工作
◆ 假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户及送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
◆ 恶意玻坏
由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入两边的网络内部,其后果是非常严重的。
因此,电子商务的安全交易主要保证以下四个方面:
(1)、信息保密性交易中的商务信息均有保密的要求。如信用卡的账号和用户名等不能被他人知悉,因此次信息传播中一般均有加密的要求。
(2)、交易者身份的确定性。
网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。
(3)、不可否认性
由于商情的千变万亿,交易一旦达成是不能被否认的。否则必然会损害一方的利益。例如订购黄金,订货时金价较低,但收到订单后,金价上涨了,如收单方能只认收到订单的实际时间,甚至否认收到订单的事实,则订货方就会蒙受损失。因此电子交易通信过程的各个环节都必须是不可否认的。
(4)、不可修改性
交易的文件是不可被修改的,加上例所举的订购黄金。收单方在收到订单后,发现金价大幅上涨了,如其能改动文件内容,将订购数1吨改为1克,则可大幅受益,那么订货方可能就会因此而蒙受损失。因此电子交易文件也要能做到不可修改,以保障交易的严肃和公正。
3、 电子商务中的安全措施
在早期的电子交易中,曾采用过一些简易的安全措施。包括:
(1)、部分告知(Partial Order):即在网上交易中将最关键的数据如信用卡号码及成交数额等略去,然后再用电话告之,以访泄密。
(2)、另行确认(Order Confirmation):即当在网上传输交易信息之后,应再用电子邮件对交易作确认,才认为有效;
除了以上两种,还有其它一些方法,这些方法均有一定的局限性,且操作麻烦,不能实现真正的安全可靠性。
近年来,针电子交易安全的要求,IT业界与金融行业一起,推出不少有效的安全交易标准。主要有:
(l)、安全超文本传输协议(S-HTTP):依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。
(2)、安全套接层协议(SSL:Secure Sockets Layer):由Netscape公司提出的安全交易协议, 提供加密、认证服务和报文完整性。SSL被用于Netscape Communicator 和 Microsoft IE 浏览器,用以完成需要的安全交易操作。
(3)、安全交易技术协议(STT:Secure Transaction Technology) :由Microsoft 公司提出,STT 将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft 在 Internet Explorer 中采用这一技术。
(4)、安全电子交易协议(SET: Secure Electronic Transaction):1996年6月,由IBM 、MasterCard International 、Visa International 、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa 共同制定的标准 SET正式公告,并于 1997年5月底发布了SET Specification Version 1.0 ,它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。关于 SET 的具体情况,将会在下文中详细介绍。
所有这些安全交易标准中、“安全电子交易” SET(Secure Electronic Transaction)标准以推广利用信用卡支付网上交易而广受各界瞩目,它将成为网上交易安全通讯协定的产业标准,有望进一步推动Internet 上电子商业市场本回答被网友采纳
(1)网络软件、通信协议的缺陷和漏洞:目前Internet上95%的数据流使用的是TCP/IP协议,而TCP/IP协议是完全开放的,其设计之初没有考虑安全问题。恶意攻击者可以很容易地窃取、更换、假冒数据包。
(2)计算机病毒的危害。由于计算机系统和网络存在缺陷和漏洞,可以针对这些缺陷和漏洞设计出各式各样的病毒。病毒的入侵导致计算机系统的瘫痪,程序和数据的严重破坏,使网络的效率和作用大大降低,使许多功能无法使用或不敢使用。
(3)“黑客”的攻击。“黑客”是指那些偷偷地、未经许可就打入别人计算机系统的计算机罪犯。随着网络的飞速发展,“黑客”的攻击事件不断发生。他们以各种方式有选择地破坏信息的有效性和完整性。
(4)对交易信息进行抵赖。交易者为推卸自己的责任对交易信息进行修改,否认报文的接收或发送等。否认交易行为,损害了对方的利益,造成了交易者对电子商务安全的不信任。
电子商务安全隐患的解决策略
1.解决计算机网络安全的主要措施
针对计算机网络本身可能存在的问题, 采用防火墙技术、VPN(虚拟专用网)技术、反病毒技术等,以阻止“黑客”入侵,保证计算机网络自身的安全,使网络系统连续稳定的运行。
(1)防火墙技术:防火墙技术是用来加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进人内部网络。防火墙是阻止非授权的用户闯入内部网络的一道障碍。
(2)VPN(虚拟专用网)技术:虚拟专用网是利用不可靠的公共网络(通常是Internet)作为信息的传输媒介,通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全性能。它可以在两个系统之间建立安全信道,进行电子数据交换,从而在很大程度上保证了数据的安全传输。
(3)反病毒技术:反病毒技术分为预防病毒技术、检测病毒技术和杀灭病毒技术。预防病毒技术通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。检测病毒技术是通过对网络用户的行为进行采集,结合计算机病毒的特征来进行分析判断,及时准确地向系统的管理者发出病毒警报的技术。而消毒技术则是通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文件的软件。
2.保证商务交易信息安全的主要措施
(1)信息加密技术。信息加密技术保证电子商务安全最基本的防范措施,利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的机密性。主要有对称加密技术和非对称加密技术。
(2)认证技术。认证是判明和确认交易双方真实身份的重要环节,是开展电子商务的重要条件。认证技术主要包括数字摘要、数字签名、数字证书、数字时间戳、数字信封、智能卡认证和生物认证等技术。
(3)SSL安全协议。SSL是一种安全通信协议,主要用来保护信息传输的完整性和机密性。
(4)SET交易协议。SET是一种安全电子交易协议,主要用于Internet上的以信用卡为基础的电子支付系统,提供对消费者、商户和银行的认证。
3.加强电子商务的法律法规建设
为保证电子商务系统的安全,还需在网络管理和法律法规两方面采取积极的安全措施。在网络安全管理方面,我们既要防外也应防内。要加强信息安全的管理,提高电子商务网站后台管理人员的安全意识,针对信息存储的不安全因素采取适当的防范措施,如设置合适的不间断电源解决硬件的电源故障;及时弥补软件漏洞;经常升级防毒、杀毒软件。同时应制定严格的管理制度,防止内部人员因操作不当或故意破坏等行为的发生。