【正文】 早期的“黑客”主要是竊取國家情報(bào)、科研情報(bào)，而現(xiàn)在的這些“黑客”的目標(biāo)大部分瞄準(zhǔn)了銀行的資金和電子商務(wù)的整個(gè)交易過程。此部分網(wǎng)址、密碼不在 Inter上公開，只限中層以上使用。 ? 用戶所持有的某個(gè)秘密信息 (硬件 )， 即用戶必須持有合法的隨身攜帶的物理介質(zhì) ， 例如智能卡中存儲(chǔ)用戶的個(gè)人化參數(shù) ， 以及訪問系統(tǒng)資源時(shí)必須要有的智能卡 。如網(wǎng)上證券交易、網(wǎng)上藥店。 2/26/2023 7 電子商務(wù)理論 信息傳輸風(fēng)險(xiǎn) ? 信息傳輸風(fēng)險(xiǎn)含義 ? 指進(jìn)行網(wǎng)上交易時(shí)，因傳輸?shù)男畔⑹д婊蛘咝畔⒈环欠ǖ母`取、篡改和丟失，而導(dǎo)致網(wǎng)上交易的不必要損失。 ? 信息傳輸風(fēng)險(xiǎn)來源 ? 冒名偷竊 :如“黑客”為了獲取重要的商業(yè)秘密、資源和信息，常常采用源 IP地址欺騙攻擊。 返回本節(jié) 2/26/2023 12 電子商務(wù)理論 電子商務(wù)的安全管理 ? 電子商務(wù)的安全要求 ? 電子商務(wù)安全管理思路 2/26/2023 13 電子商務(wù)理論 電子商務(wù)的安全要求 ? 有效性 :電子商務(wù)以電子形式取代了紙張 ， 要對(duì)網(wǎng)絡(luò)故障 、操作錯(cuò)誤 、 應(yīng)用程序錯(cuò)誤 、 硬件故障 、 系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防 ， 以保證貿(mào)易數(shù)據(jù)在確定的時(shí)間 、 確定的地點(diǎn)是有效的 。 ? 用戶所具有的某些生物學(xué)特征 ， 如指紋 、 聲音 、 DNA圖案 、 視網(wǎng)膜掃描等等 ， 這種認(rèn)證方案一般造價(jià)較高 ， 多半適用于保密程度很高的場合 。 ? 秘密級(jí) :如公司簡介、新產(chǎn)品介紹及訂貨方式等。 2/26/2023 31 電子商務(wù)理論 網(wǎng)絡(luò)“黑客”常用的攻擊手段 ? 中斷 （ 攻擊系統(tǒng)的可用性 ） ：破壞系統(tǒng)中的硬件 、 硬盤 、線路 、 文件系統(tǒng)等 ， 使系統(tǒng)不能正常工作； ? 竊聽 （ 攻擊系統(tǒng)的機(jī)密性 ） ：通過搭線和電磁泄漏等手段造成泄密 ， 或?qū)I(yè)務(wù)流量進(jìn)行分析 ， 獲取有用情報(bào) 。 ? 竊客 ，他們的行為帶有強(qiáng)烈的目的性。此部分網(wǎng)址、密碼不在 Inter上公開，只限于高層掌握 ? 機(jī)密級(jí) :如公司的日常管理情況、會(huì)議通知等。 ? 訪問控制 :拒絕非法用戶訪問系統(tǒng)資源，合法用戶只能訪問系統(tǒng)授權(quán)和指定的資源 2/26/2023 18 電子商務(wù)理論 身份認(rèn)證 ? 方式 : ? 用戶所知道的某個(gè)秘密信息 ， 如用戶知道自己的口令 。 ? 法律調(diào)整風(fēng)險(xiǎn) :在原來法律條文沒有明確規(guī)定下而進(jìn)行的網(wǎng)上交易，在后來頒布新的法律條文下屬于違法經(jīng)營所造成的損失。 ? 拒絕服務(wù)： 攻擊者可能向銷售商的服務(wù)器發(fā)送大量的虛假定單來窮竭它的資源 ， 從而使合法用戶不能得到正常的服務(wù) 。 ? 篡改數(shù)據(jù) :攻擊者未經(jīng)授權(quán)進(jìn)入網(wǎng)絡(luò)交易系統(tǒng)，使用非法手段，刪除、修改、重發(fā)某些重要信息，破壞數(shù)據(jù)的完整性，損害他人的經(jīng)濟(jì)利益，或干擾對(duì)方的正確決策，造成網(wǎng)上交易的信息傳輸風(fēng)險(xiǎn)。 ? 機(jī)密性 :作為貿(mào)易的一種手段 ， 電子商務(wù)的信息直接代表著個(gè)人 、 企業(yè)或國家的商業(yè)機(jī)密 。 ? 混合方式 。此部分網(wǎng)址、密碼在 Inter上公開，供消費(fèi)者瀏覽，但必須有保護(hù)程序，防止“黑客”入侵。 ? 竄改 （ 攻擊系統(tǒng)的完整性 ） ：竄改系統(tǒng)中數(shù)據(jù)內(nèi)容 ， 修正消息次序 、 時(shí)間 （ 延時(shí)和重放 ） ； ? 偽造 （ 攻擊系統(tǒng)的真實(shí)性 ） ：將偽造的假消息注入系統(tǒng) 、假冒合法人接入系統(tǒng) 、 重放截獲的合法消息實(shí)現(xiàn)非法目的 ， 否認(rèn)消息的接收或發(fā)送等； ? 轟炸 （ 攻擊系統(tǒng)的健壯性 ） ：用數(shù)百條消息填塞某人的E— mail信箱也是一種在線襲擾的方法 。他們追求的是從侵入行為本身獲得巨大的成功的滿足。 返回本節(jié) 2/26/2023 21 電子商務(wù)理論 安 全 管 理 制 度 ? 人員管理制度 ? 保密制度 ? 跟蹤、審計(jì)、稽核