《电子商务网站建设与管理》-第9章电子商务网站的安全

9.1电子商务网站安全基础9.1.1电子商务网站安全的定义

21世纪，随着互联网的全面普及，基于互联网的电子商务应运而生，近年来获得了迅速的发展。电子交易开始融入人们的日常生活中，网上订货、网上缴费等众多电子交易方式为人们创造了便利高效的生活方式，越来越多的人开始使用电子商务网站来传递各种信息，并进行各种交易。作为一种全新的商务模式，它对企业治理水平、信息传递技术都提出了更高要求，其中电子商务网站的安全控制显得尤为重要。因此，必须重视电子商务系统中的系统安全、数据安全、网络交易平台的安全。只有安全、可靠的交易网络，才能保证交易信息安全、迅速地传递，才能保证数据库服务器的正常运行。下一页返回9.1电子商务网站安全基础

从发展趋势来看，电子商务正在形成全球性的发展潮流。电子商务的存在和发展，以网络技术的革新为前提。电子商务系统的构建、运行及维护，都离不开技术的支持。同时，因为电子商务适合于各种大、小型企业，更应充分考虑如何保证电子商务网站的安全。9.1.2电子商务网站安全隐患网上电子交易不可避免地涉及许多保密信息，如买家、卖家个人信息、交易信息、产品信息等，不可避免地带来了安全上的巨大隐患；由于网上电子交易是建立在互联网和网络技术基础之上，且由于互联网的开放性、广泛性和匿名性，给网上交易带来很多安全隐患。（1）身份认证。（2）信息的真实性。（3）信息的机密性。下一页上一页返回9.1电子商务网站安全基础（4）信息的完整性。（5）信息的不可抵赖性。（6）无法建立诚信的交易环境。（7）非法入侵和病毒攻击。9.1.3电子商务网站安全措施1.网站安全技术各种电子商务网站安全措施都是通过安全技术来实现的，主要包括加密技术、认证技术和电子商务安全协议等。（1）加密技术。加密技术是电子商务采取的基本安全措施，交易双方可根据需要在信息交换的阶段使用，加密技术分为对称加密和非对称加密两类。下一页上一页返回9.1电子商务网站安全基础（2）认证技术。认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术，即确认双方的身份信息在传送或存储过程中未被篡改过。（3）电子商务的安全协议。除上文提到的各种安全技术之外，电子商务的运行还有一套完整的安全协议。目前，比较成熟的协议有SET、SSL等。2.中小型B2C电子商务网站安全中小型B2C电子商务网站的特点通常是：商品品种较少，或者比较单一；交易金额较低；交易量不大，单个用户购买频率低；发生随机性高，门槛要求低。因此，主要解决问题包括以下几个。（1）网站身份的验证。（2）交易数据加密。下一页上一页返回9.1电子商务网站安全基础（3）交易数据验证。防止交易数据在传输过程被人篡改。（4）交易数据的不可抵赖性。保证交易的全过程能够被记录并作为审计依据。（5）操作的简易性。3.大型电子商务网站、银行、金融网站大型电子商务网站特点是：商品品种多，栏目大而全；交易金额较高，资金流动大；交易量大，用户操作次数频繁；客户群固定，用户对安全性要求高。因此，主要解决问题包括以下几个。（1）网站身份的验证。（2）交易数据加密。（3）交易数据的不可抵赖性。下一页上一页返回9.1电子商务网站安全基础（4）用户身份的验证。（5）交易数据完整性。敏感、机密、重要的数据在传递过程中，防止被人篡改。上一页返回9.2电子商务网站的主要威胁9.2.1电子商务安全的基本要求电子商务发展的核心总是交易的安全性，由于互联网本身的开放性，使网上交易面临着种种危险，也由此提出了相应的安全控制要求。电子商务安全的基本要求，主要包括：机密性、完整性、可用性、可认证性和抗抵赖性。9.2.2电子商务安全的现状电子商务（ElectronicCommerce，EC），是计算机信息技术开发与运用的产物，是人类科技、经济、文化发展的结晶，代表了未来经济发展的方向。下一页返回9.2电子商务网站的主要威胁

电子商务是一个系统的、有机的整体，不仅需要计算机网络安全的保证，也需要商务交易安全上的保障，更需要管理上的进步，这样才能确保电子商务的安全。根据CNNIC发布的《中国互联网络热点调查报告》中显示：我国网上购物大军达到2000万人，在全体互联网网民中，有过购物经历的网民占近20%的比例。根据国家信息化办公室公布的数据，目前仍有60%的中小企业的信息化程度处于初级阶段。因此，电子商务是互联网应用发展的必然趋势，也是国际金融贸易中越来越重要的经营模式，以后它还会逐渐地成为人们经济生活中一个重要部分。但同时也看到，我国的电子商务还处于发展的初级阶段，还有很长的路要走，从而安全是保证电子商务健康有序发展的关键因素。下一页上一页返回9.2电子商务网站的主要威胁根据调查显示，目前电子商务安全主要存在的问题有以下几个。（1）计算机网络安全；（2）商品的品质；（3）商家的诚信；（4）货款的支付；（5）商品的递送；（6）买卖纠纷处理；（7）网站售后服务。下一页上一页返回9.2电子商务网站的主要威胁9.2.3电子商务面临的若干安全威胁电子商务依赖于互联网，因此互联网所面临的安全威胁，也同样是电子商务所面临的威胁。如果把网络系统的运转看成是一种信息的流动，则正常情况下，信息从信息源（如文件或某个网站）流向目标（如文件或用户），网络系统所面临的若干安全威胁如下。1.系统的中断2.信息的截获和窃取3.信息的篡改4.信息的伪造5.交易抵赖6.计算机病毒上一页返回9.3电子商务网站的保障体系9.3.1电子商务安全的特点1.电子商务安全是一个系统概念2.电子商务安全是相对的3.电子商务安全是有代价的4.电子商务安全是发展的、动态的9.3.2电子商务安全的技术基础电子商务安全是信息安全的上层应用，它包括的技术范围比较广，主要分为密码技术、网络安全技术和PKI数字认证技术三大类。下一页返回9.3电子商务网站的保障体系1.密码技术现代社会对信息安全的需求大部分可以通过密码技术来实现，密码技术是信息安全的核心技术，主要包括加密、签名认证和密钥管理三大技术。2.网络安全技术网络安全是电子商务安全的基础，一个完整的电子商务系统，应建立在安全的网络基础设施之上。网络安全技术所涉及的方面比较广，如操作系统安全、防火墙技术、虚拟专用网（VPN）技术、各种反黑客技术和漏洞检测技术等各种网络安全防范技术。当前在电子商务领域应用最广泛的是防火墙技术、虚拟专用网技术和入侵检测技术。下一页上一页返回9.3电子商务网站的保障体系3.PKI数字认证技术

PKI是公钥基础设施PublicKeyInfrastructure的英文缩写，PKI技术是普适性的安全基础设施，是利用公钥算法原理和技术为网上通信提供通用安全服务的基础设施。它为电子商务、电子政务、网上银行、证券等提供一整套安全基础平台。

PKI的核心元素是数字证书，其核心执行者是认证机构。有关数字证书服务的应用实施是广泛开展电子商务的基本前提，电子商务的深入开展离不开数字证书技术和认证机构的正确督导。认证技术是信息安全理论与技术的一个重要方面，也是电子商务安全的主要实现技术。采用认证技术可以直接满足身份认证、信息完整性、不可否认和不可修改等多项网上交易的安全需求，较好地避免了网上交易面临的假冒、篡改、抵赖、伪造等种种威胁。认证技术主要涉及身份认证和报文认证两方面。下一页上一页返回9.3电子商务网站的保障体系9.3.3电子商务的安全保障体系1.电子商务安全三种因素电子商务安全，涉及人（people）、过程（procedure）及技术（technology）三种因素。2.电子商务安全的四个环节电子商务安全包括保护（protect）、检测（detect）、反应（react）及恢复（restore）四个环节，简称为PDRR。（1）保护。保护就是采用一些网络安全产品、工具和技术，保护网络系统、数据和用户。这种保护可以称作静态保护，它通常是指一些基本防护，不具有实时性，如在安全策略中规定不允许外部用户访问内部的Web服务器，因此我们可以在防火墙的规则中加入一条，禁止所有外部用户到内部Web服务器的连接请示。一旦这条规则生效，它就会持续有效，除非我们改变了这条规则，这样的保护可以预防已知的一些安全威胁，而且通常这些威胁不会变化，所以称为静态保护。下一页上一页返回9.3电子商务网站的保障体系（2）检测。检测就是实时监控系统的安全状态，它是实时保护的一种策略，主要满足一种动态安全的需求。网络安全技术在发展的同时，黑客技术也在不断发展，因此网络安全不是一成不变的，也许今天对你来说是安全的策略，明天就会变得不安全，因此我们应该时刻关注网络安全的发展动向以及网络上发生的各种各样的事情，以便及时发现新的攻击，制定新的安全策略。有些人可能会认为这样就不需要基本的安全保护，这种想法是错误的，因为安全保护是基本，检测是其有效的补充，只有两者有效结合，才能够满足动态安全的需要。下一页上一页返回9.3电子商务网站的保障体系（3）反应。反应就是当攻击正在发生时，能够及时做出响应，如向管理员报告，或者自动阻断连接等，防止攻击进一步的发生，将安全事件的影响降低到最小范围。反应是整个安全架构中的重要组成部分，因为即使你的网络构筑相当安全，攻击或非法事件也是不可避免，所以当攻击或非法事件发生的时候，应该有一种机制对此做出反应，以便让管理员及时了解到什么时候网络遭到了攻击，攻击的行为是什么样的，攻击的结果如何，应该采取什么样的措施来修补安全策略，弥补