登陆注册
6116800000036

第36章 1 电子交易的安全需求

通过本章的学习,让学生学习电子交易的安全需求和安全威胁以及电子商务的安全体系角色构成。具体目标如下:

1.了解电子交易的安全需求和安全威胁。

2.了解防火墙技术、VPN技术、病毒防范技术和安全检测技术。

3.了解密码学的相关知识,理解加密技术。

4.理解认证技术,了解认证机构(CA)的主要职能,了解数字证书的格式并尝试使用数字证书进行网络安全通信。

5.理解SSL协议和SET协议的相关知识,了解如何利用这两个协议来保证交易安全,了解公钥基础设施(PKI)。

网络安全、电子商务安全案例

案例1

1988年11月2日,美国康奈尔大学学生罗伯特·莫瑞斯将自己编写的蠕虫程序传到互联网,蠕虫病毒程序具有很强的自我复制功能,快速向整个互联网蔓延。罗伯特·莫瑞斯开始以为它是无害的程序,但该程序以惊人的速度袭击了庞大的互联网。当发现情况不妙时,他本人对此已无法控制。蠕虫病毒程序造成大量数据被破坏,整个经济损失估计达9 600万美元。这次“互联网”事件极大地震惊了网络安全人员和其他专业人员,为网络安全敲响了警钟,使网络安全成为最迫切的研究课题。

案例2

1999年在西方国家大爆发的Melissa(又称为“梅丽莎”或者美丽杀手)是一种Word97宏病毒,专门针对微软的电子邮件服务器Ms Exchange和电子邮件收发系统Outlook。该病毒利用Outlook全域地址表来获取信箱地址信息,并自动给表中前50个信箱发送电子邮件,并在其后附加一个被感染的文件List.doc,内含大量的色情网址。该病毒会在每台被感染的电脑上重复这样的动作,在短时间内形成连锁反应,产生大量的电子邮件垃圾,造成邮件服务器严重阻塞以致最后瘫痪。用户可以手工在注册表中添加类似病毒感染的表项,避免病毒的传染,或者在发送电子邮件时不要启动Word文字处理系统。“梅丽莎”当年造成了超过8 000万美元的经济损失。

案例3

2006年与2007年交替之际,一名为“熊猫烧香”的计算机病毒在互联网上掀起轩然大波。从2006年12月首次出现,短短一个多月,病毒已迅速在全国蔓延,受害用户至少上百万,计算机反病毒公司的热线电话关于该病毒的咨询和求助一直不断,互联网上到处是受害者无奈的求助、怨恨、咒骂,电脑里到处是“熊猫烧香”的图标,重要文件被破坏,局域网彻底瘫痪,病毒造成的损失无法估量。

据“熊猫烧香”制作者李俊交代,他于2006年10月16日编写了“熊猫烧香”病毒,并在网上广泛传播,并且还以自己出售和由他人代卖的方式,在网络上将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,导致该病毒的各种变种在网上大面积传播,对互联网用户计算机安全造成了严重威胁。李俊还于2003年编写了“武汉男生”病毒,2005年编写了“武汉男生2005”病毒及“QQ尾巴”病毒。另外,本案另有几个重要犯罪嫌疑人雷磊、王磊等通过改写、传播“熊猫烧香”等病毒,构建“僵尸网络”,通过盗窃各种游戏和QQ账号等方式非法牟利。

案例4

2007年2月9日,一名姓魏的女受害人到邳州市公安局经侦大队报案,称今年1月自己通过好友介绍认识了贾某,贾某向其介绍“GoldMoney”网络投资理财,投资8个月回报率可达500%以上,另外发展人员还可以获得10%~15%的直接推荐奖。魏某当即投入现金2.8万元交给贾某。第二天,贾某即交给魏某840元返利款,魏某非常高兴。可是好景不长,几天后当魏某再次向贾某要返利款时,贾某就开始以种种理由拒付,后来一直避而不见。魏某觉得被骗了,于是报了案。

随后,徐州市公安局经侦支队与邳州市公安局迅速成立专案组,经过侦查,警方初步摸清了这个传销组织的基本情况。这个组织的骨干成员主要由安徽、湖南等地社会闲散人员组成,涉案人员达1 000余人。集团租用境外服务器,建立“GoldMoney”英文网站,然后依托网站向受害人许诺极高的回报率,以发展下线骗取钱财。

近年来,各国的政治、军事、经济、社会、文化和人民生活等各方面都越来越依赖于网络。而利用网络安全的脆弱性,黑客在网上的攻击活动每年也以几何级数增长。他们把网络的各种漏洞和缺陷作为靶子,无孔不入,或者修改网页进行恶作剧,或者非法进入主机破坏程序,或者闯入银行网络转移资金,或者窃取网上信息兴风作浪,或者进行电子邮件骚扰,或者释放病毒使网络陷于瘫痪等。政府、军事、邮电和金融网络更是他们攻击的主要目标。据统计,美国金融界由于计算机犯罪造成的金额损失每年均接近百亿美元。

在电子商务发展的过程中,有一个令所有想在网上从事交易的人们非常震惊的消息:网络音乐零售商CD Universe被一名自称来自俄罗斯,名叫马克·西蒙的电脑黑客“黑”了一次,他从站点上盗走了30万名用户的信用卡资料,并在敲诈10万美元不成的情况下,将至少2.5万个信用卡账号通过网络站点泄漏出去。据马克·西蒙交代,他经常把偷来的信用卡资料卖给互联网聊天室,或卖给交换失窃信用卡的特殊地下网站。在敲诈事件发生的同时,他已经使用了其中的一些信用卡取钱购物。这个事件使CD Universe不得不向用户交代,给其业务带来重大的影响。

凯文·米特尼克是世界上最臭名昭著的电脑黑客,在网上作案时间长达15年之久,他运用诱骗和诈骗来的计算机口令、密码,如入无人之境一样,大肆闯入摩托罗拉、太阳、诺基亚等公司的计算机系统,盗走了上述公司的资料和软件,导致这些公司的经济损失高达3亿美元,而这些公司直接花在新的安全网络上的费用就要数百万美元。美国FBI曾调动精兵强将,跟踪追捕凯文·米特尼克3年多,都未有线索。一直到1995年,凯文·米特尼克非法闯入一位叫捷托拉·希姆克拉的计算机科学家的电脑,FBI才在这位科学家的协助下,逮捕了这位在网络世界从事黑客生涯时间最长、危害性最大的“江洋大盗”。

此外,在黑客众多的攻击行为中,将受害公司的主页改得面目全非是最令公司尴尬的事。尤其是对那些大企业的网站或门户网站来说,哪怕偶尔有一次主页被篡改或破坏,都会给企业带来不可估量的损失。与此同时,我国电子商务、金融系统的网络犯罪事件也屡屡发生,犯罪金额每年呈明显上升趋势。近几年网络窃取行为主要有:口令滥用(32%)、篡改数据(18%)、篡改程序(12%)、破坏数据(12%)、变更输出信息(10%)、不正确回叫结果(9%)。目前大约30%的窃取攻击很难监测到。

由于电子商务处理或传输的是交易信息和资金信息,对其攻击可能获得巨大的利益,同时对个人客户、企业客户、银行等会造成很大的损失,因此,对于电子商务系统的安全必须加以重视和研究,提高其安全性,电子商务才能真正获得发展。

随着电子商务在全球范围内的迅猛发展,电子商务中的网络安全问题也日渐突出。中国互联网络信息中心(CNNIC)发布的“中国互联网络发展状况统计报告”指出,在电子商务方面,一半以上的用户最关心的是交易是否安全可靠。由此可见,电子商务中的网络安全问题是实现电子商务的关键。

7.1.1 电子商务的安全威胁

电子商务系统从技术上来讲,主要面临着以下几种安全威胁:

1.信息的截获和窃取

如果没有采用加密措施或加密强度不够,攻击者就可能通过互联网上安装截收装置或在数据包通过的网关和路由器上截获数据等方式,获取传输的机密信息,或通过对信息流量和流向、通信频度和长度等参数进行分析,获取有用的信息,如消费者的银行账号、密码以及企业的商业机密等。

2.信息的篡改

当攻击者了解了网络的信息格式以后,通过各种方法和手段对网络传输的信息进行中途修改,并发往目的地,从而破坏信息的完整性。

3.信息假冒

当攻击者掌握了网络信息数据规律或解密了商务信息以后,可以假冒合法的用户使用系统资源或发送假冒信息来欺骗其他用户。信息假冒主要有两种方式:一种是伪造电子邮件,另一种是假冒他人身份。

4.交易抵赖

交易抵赖行为包括许多情况,如发信者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条消息或内容;购买者发了订货单却不承认;商家收到货款却给予否认或卖出的商品因价格差而不承认原有的交易。

7.1.2 电子商务的安全要求

电子商务面临的威胁导致了人们对电子商务安全的需求,安全电子商务系统要求做到以下几个方面:

1.机密性

电子商务作为贸易的一种手段,建立在一个开放的网络环境上,其信息直接包含着个人、企业或国家的商业机密。因此,维护商业机密是电子商务全面推广的保障。为了预防信息在传输过程中被非法篡改、假冒和存取,一般通过加密技术对传输的信息进行处理来实现对数据的保护。

2.鉴别性

电子商务交易是在虚拟的网络环境中进行的,交易双方可能互不相识,也可能来自不同的国家或地区,若要保证交易双方身份的真实可靠,就需要有一种措施能够对双方的身份进行鉴别。即当某人或实体声称具有某个特定的身份时,鉴别服务将提供一种方法来验证其声明的正确性。一般通过证书机构CA(Certification Authority)和证书解决身份的认证问题。

3.完整性

与传统贸易相比,电子商务减少了许多人为的干预,但同时也带来如何确保贸易各方商业信息的完整性和统一性的问题。一般可以通过提取消息摘要的方式来验证信息的完整性,从而确保在电子交易过程中,信息即不被修改和删除,也不会丢失和重复。

4.有效性

电子商务以电子票据的形式取代了传统商务中的实际票据,但是网络故障、主机故障、操作错误、计算机病毒都有可能造成电子票据的失效,因此,确保电子票据的有效性是开展电子商务的前提。有效性要求电子票据及贸易数据在确定的时刻、确定的地点是有效的。

5.不可抵赖性

在传统贸易中,双方通过在合同、契约等书面文件上手写签名或加盖印章来约束交易双方,防止抵赖行为的发生。在电子交易中通过对发送的消息进行数字签名来实现交易的不可抵赖性。

7.1.3 电子商务安全体系的角色构成

电子商务系统通过Internet把服务商、客户和银行三方连接起来,实现具体的业务操作,电子商务安全系统除了三方的安全代理服务器外,还应该包含CA认证系统,它们遵循相同的协议,协调工作,以实现整个电子商务交易数据的安全、完整、身份验证和不可抵赖等功能。电子商务的安全体系结构包括下列几个角色:

1.银行

银行方面主要包括银行端安全代理、数据库管理系统、审计信息管理系统、业务系统等部分,它与服务商或客户进行通信,实现对服务商或客户账号合法性的认证,保证业务的安全进行。

2.服务商

服务商主要包括服务商安全代理、数据库管理系统、审计信息管理系统、Web服务器系统等部分。在进行电子商务活动时,服务商的服务器与客户和银行进行通信。

3.客户

在客户方,电子商务的用户通过自己的计算机与Internet相连,在客户计算机中,除了WWW浏览器软件外,还装有电子商务系统的客户安全代理软件。客户端安全代理的主要任务是负责对客户敏感信息(如交易信息)进行加密、解密和数字签名,以密文的形式与服务商或银行进行通信,并通过CA和服务器端安全代理或银行安全代理一起实现用户身份认证。

4.认证机构

认证机构是为用户签发证书的机构。认证机构的服务器由五部分组成:用户注册机构、证书管理机构、存放有效证书和作废证书的数据库、密钥恢复中心以及认证机构自身密钥和证书管理中心。

同类推荐
  • 谜语故事(语文新课标课外必读第六辑)

    谜语故事(语文新课标课外必读第六辑)

    国家教育部颁布了最新《语文课程标准》,统称新课标,对中、小学语文教学指定了阅读书目,对阅读的数量、内容、质量以及速度都提出了明确的要求,这对于提高学生的阅读能力,培养语文素养,陶冶情操,促进学生终身学习和终身可持续发展,对于提高广大人民的文学素养具有极大的意义。
  • 防火与安全常识手册(校园安全常识手册)

    防火与安全常识手册(校园安全常识手册)

    防火与安全常识手册是校园安全常识手册系列之一:校园本应是一个幽雅、舒适、宁静、安全的教育场所。但是意外事故、校园暴力、两性问题、偷窃等问题却层出不穷地发生在各个校园角落中,这些问题不得不让我们去深思、探讨。《校园安全常识手册》通过简单易懂的图解,使《校园安全常识手册》更加通俗易懂,增加了趣味性,是《校园安全常识手册》更加生动形象。
  • 明智权变的故事

    明智权变的故事

    本套丛书图文并茂,格调高雅,具有很强的系统性、代表性、趣味性和可读性,是中小学生培养阅读与写作能力的配套系列读物,非常适合广大中小学生学习和收藏,也是各级图书馆收藏的最佳版本。
  • 必学的数学智力

    必学的数学智力

    数学是研究数量、结构、变化以及空间模型等概念的一门学科,是透过抽象化和逻辑推理的使用,在计数、计算、量度和对物体形状及运动的观察中产生的一门学科。基础数学知识的学习与运用是个人与团体生活中不可缺少的一个重要组成部分。然而,对于这样一门重要的学科,一些同学却视为畏途,兴趣淡漠,这使一些教师、家长乃至专家、学者大伤脑筋。事实上,“兴趣是最好的老师”,对任何事物,只要有了兴趣,就能产生学习钻研的冲动,就能取得理想的效果。兴趣是打开科学大门的钥匙,中小学生对数学不感兴趣的根本原因是没有体会到蕴含于数学之中的奇趣和美妙。
  • 中华美德:神勇果敢

    中华美德:神勇果敢

    神勇果敢应理解为两方面内容:神勇和果敢。神勇,有无比勇猛,神勇无敌的意思;果敢,形容人处事当机立断,有敢作敢为的意味在里面。神勇果敢,是中华民族传统美德的一种体现。从某种意义上讲,是智慧与勇气并存,胆略与正气常在,勇而并非“莽”,“敢”而未必“闯”。
热门推荐
  • 天空的味道

    天空的味道

    很远很远的地方,很高很高的天空,很么很美的梦想,谢谢你都愿意把他们给予我。
  • Child of Storm

    Child of Storm

    本书为公版书,为不受著作权法限制的作家、艺术家及其它人士发布的作品,供广大读者阅读交流。
  • 尘世尘

    尘世尘

    无常之世,尘世之尘。Weallsuffer,nobodycansurvive.
  • 再见,不败的恋人

    再见,不败的恋人

    哥伦布说地球是圆的,找到一个方向不停的走,只要你的信心足够,总会有那一天,遇见你心中的爱人。可是,如果她遇见的那个人不够聪明,两个人永远的错失,那该怎么办呢?总以为足够幸福了,剩下的只要坚守住这场幸福就够了,却想不到幸福之所以令人觉得珍贵,是因为太难得。
  • 步入中医美容之门

    步入中医美容之门

    本书为已经取得国际美容师和国际营养师执照的专家根据亲身体验和祖传方法编写而成,详尽地讲述了中医美容的特点、原理与方法。本书适于广大爱美人士、中医美容爱好者及美容院从业者阅读参考。
  • 腹黑竹马在眼前:恶魔,请滚蛋

    腹黑竹马在眼前:恶魔,请滚蛋

    他是不可一世的傲娇校草,她是呆萌萝莉。小时候。“彦哥哥,晴晴好喜欢你哦~~~”某傲娇;“点点点。”长大后。“风澈,风澈,我是你的大粉丝!!!爱你一万年~~~”某腹黑;“原来你的爱可以那么容易说出口。”“什么意思啊?”呆萌萝莉一脸懵逼。“小时候你是怎么对我说的?”“额。。。我忘记了。”“哦?”“唔——”---“谁让睡我房间的!”呆萌萝莉要抗议!某腹黑:”我乐意。”“gun”“老婆,你这么急不可耐?地板还是沙发?”
  • 世界之外零检讨书

    世界之外零检讨书

    我一直都在按照自己的固有想法圈内办事为什么不思考思考圈外的知识呢或许吧
  • 妃倾天下,娘子你别跑

    妃倾天下,娘子你别跑

    天生异象天女出世,是破而后立还是彻底覆灭十万年前的预言是否会实现?清冷的他、冷酷的他、忧郁的他、热情如火的他、强势霸道的他她该如何选择十万年前的隐秘究竟是什么,她穿越而来究竟又该如何选择?作者第一次写文,不喜勿喷。
  • 中国改革发展的理论与实践探索

    中国改革发展的理论与实践探索

    本书收录了《对马克思所有制理论的系统研究》、《制度变迁的三个假说及其验证》、《人口原论》、《生态文明建设中的“绿色GDP”核算模式选择》等多篇文章。
  • 祭血坛

    祭血坛

    窗开处,冷风入,春寒难寝思君意。燃青灯,照罗衣,金丝织起鸳鸯梦。江水碧,血未寒,夜月煮酒念红衫。酒温热,稻花香,醉卧舟头意何归。一盏灯,一柄剑,一曲离殇两行泪。祭血坛,血祭坛,英雄冢亦葬花地。滴血人生,充满了悲欢离合、恩怨情仇;或喜或怒、无论他是多么的形意无常、不可理喻却都逃不出一个“情”字。亲情,爱情,友情你珍惜它,它便珍惜你。