【正文】 、人、過(guò)程三個(gè)因素，也需要從保護(hù)、檢測(cè)、反應(yīng)及恢復(fù)四個(gè)環(huán)節(jié)去控制，這樣才能保證電子商務(wù)的安全，促進(jìn)電子商務(wù)持續(xù)健康發(fā)展。 ④ 恢復(fù) ? 恢復(fù)是當(dāng)入侵事件發(fā)生后，把系統(tǒng)恢復(fù)到原來(lái)的正確狀態(tài)，或者比原來(lái)更安全的狀態(tài)，這對(duì)電子商務(wù)交易的正常開展是非常重要。 ② 檢測(cè) ? 檢測(cè)就是實(shí)時(shí)監(jiān)控系統(tǒng)的安全狀態(tài)，是實(shí)時(shí)保護(hù)的一種策略，主要滿足一種動(dòng)態(tài)安全的需求。一般采用一些網(wǎng)絡(luò)安全產(chǎn)品、工具和技術(shù)保護(hù)網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)。 電子商務(wù)安全架構(gòu) 武漢科技大學(xué)管理學(xué)院信息管理系 （ 2）電子商務(wù)安全措施 ? 電子商務(wù)安全包括保護(hù)（ protect）、檢測(cè)（ detect）、反應(yīng)（ react）及恢復(fù)（ restore）四個(gè)環(huán)節(jié)，簡(jiǎn)稱為 PDRR。電子商務(wù)系統(tǒng)不恰當(dāng)?shù)脑O(shè)計(jì)，安全性設(shè)計(jì)的欠缺，計(jì)算機(jī)系統(tǒng)自身的漏洞都會(huì)成為安全問(wèn)題的隱患。在這些過(guò)程中，應(yīng)有嚴(yán)格的操作手冊(cè)和制度來(lái)規(guī)范各種操作，避免各種不規(guī)范的行為的產(chǎn)生。人作為一種實(shí)體在電子商務(wù)交易中存在，則必然對(duì)電子商務(wù)的安全產(chǎn)生重要的影響。 電子商務(wù)安全架構(gòu) 保護(hù) protect 恢復(fù) restore 檢測(cè) detect 反應(yīng) react 人 過(guò)程 技術(shù) 圖 電子商務(wù)安全架構(gòu) 武漢科技大學(xué)管理學(xué)院信息管理系 電子商務(wù)安全涉及人（ people）、過(guò)程（ procedure）及技術(shù)（ technology）三種因素。 電子商務(wù)的安全性需求 武漢科技大學(xué)管理學(xué)院信息管理系 （ 1）電子商務(wù)安全因素 ? 電子商務(wù)建立在互聯(lián)網(wǎng)技術(shù)的基礎(chǔ)上，但又不是孤立的依賴于互聯(lián)網(wǎng)技術(shù)，在電子商務(wù)的開展過(guò)程中，還需要社會(huì)環(huán)境、管理環(huán)境提供相應(yīng)的保障。 （ 4）完整性 要求能保證只有授權(quán)的各方能夠修改計(jì)算機(jī)系統(tǒng)的有價(jià)值的內(nèi)容和傳輸?shù)臄?shù)據(jù)，防止數(shù)據(jù)被非授權(quán)者建立、修改和破壞。 （ 2）有效性 對(duì)網(wǎng)絡(luò)故障、操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻、確定的地點(diǎn)是有效的，要求電子商務(wù)系統(tǒng)能夠保證隨時(shí)提供穩(wěn)定的網(wǎng)絡(luò)服務(wù)。這意味著，在雙方進(jìn)行交易之前，首先要確認(rèn)對(duì)方的身份，確保交易雙方的身份不能被假冒或偽裝。電子商務(wù)安全的基本要求主要包括真實(shí)性、有效性、機(jī)密性、完整性和不可抵賴性。 電子商務(wù)的安全問(wèn)題 武漢科技大學(xué)管理學(xué)院信息管理系 ? 電子商務(wù)安全的核心和關(guān)鍵是電子交易的安全性。主要有兩種方式： ① 信息的偽造② 假冒身份 （ 5）交易抵賴 ? 交易雙方進(jìn)行了某種通信或交易活動(dòng)，但當(dāng)參與一方事后發(fā)現(xiàn)交易行為對(duì)自己不利時(shí)，就有可能不承認(rèn)獲抵賴已經(jīng)做過(guò)的交易。如圖 （ e）所示。例如，某人可能修改數(shù)據(jù)庫(kù)中的數(shù)值，修改程序使之完成額外的任務(wù)或修改正在傳送的數(shù)據(jù)。 （ 3）信息的篡改 ? 如果非授權(quán)實(shí)體不但截取了資源，而且還對(duì)其進(jìn)行了修改，則這種攻擊就是篡改。這里的實(shí)體可以是一個(gè)人、一個(gè)程序或一個(gè)計(jì)算機(jī)系統(tǒng)。 （ 2）信息的截獲和竊取 ? 信息在傳輸過(guò)程中被某些非授權(quán)實(shí)體所截獲和竊取。 電子商務(wù)的安全問(wèn)題 武漢科技大學(xué)管理學(xué)院信息管理系 電子商務(wù)的安全問(wèn)題 信息源 接收方 （ a） 正常信息流 （ c） 截取 （ d） 修改 （ e） 偽造 （ b） 中斷 圖 安全威脅的類型 武漢科技大學(xué)管理學(xué)院信息管理系 （ 1）系統(tǒng)的中斷 ? 由于操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤、網(wǎng)絡(luò)故障以及計(jì)算機(jī)病毒等惡意攻擊導(dǎo)致系統(tǒng)不能正常工作。 電子商務(wù)依賴于互聯(lián)網(wǎng)，因而互聯(lián)網(wǎng)所面臨的威脅，也同樣是電子商務(wù)所面臨的威脅。武漢科技大學(xué)管理學(xué)院信息管理系 電子商務(wù)安全概述 網(wǎng)絡(luò)安全保障技術(shù) 電子商務(wù)的認(rèn)證技術(shù) 防火墻技術(shù)及應(yīng)用 第 7章 電子商務(wù)安全技術(shù) 武漢科技大學(xué)管理學(xué)院信息管理系 電子商務(wù)的安全問(wèn)題 電子商務(wù)的安全性需求 電子商務(wù)安全架構(gòu) 電子商務(wù)安全概述 武漢科技大學(xué)管理學(xué)院信息管理系 互聯(lián)網(wǎng)是一個(gè)完全開放的網(wǎng)絡(luò)，任何一臺(tái)計(jì)算機(jī)、任何一個(gè)網(wǎng)絡(luò)都可與之相連，并利用互聯(lián)網(wǎng)發(fā)布信息，獲取與共享網(wǎng)絡(luò)資源，或進(jìn)行各種網(wǎng)上商務(wù)活動(dòng)，直接促成了一個(gè)網(wǎng)絡(luò)經(jīng)濟(jì)時(shí)代的到來(lái)。但是這種開放式的信息交換、資源共享和分布方式增加了網(wǎng)絡(luò)的脆弱性和易受攻擊性。如果把網(wǎng)絡(luò)系統(tǒng)的運(yùn)轉(zhuǎn)看成是一種信息的流動(dòng)（如電子商務(wù)中的信息流或資金流），則正常情況下，信息從信息源（如網(wǎng)站或文件）流向目標(biāo)（如用戶或文件），這種正常的信息流如圖 （ a）所示。如圖 （ b）所示。如圖 （ c）所示。例如，在網(wǎng)絡(luò)中為得到數(shù)據(jù)而對(duì)程序或數(shù)據(jù)進(jìn)行的非法拷貝、電話線上的竊取、以太網(wǎng)上對(duì)數(shù)據(jù)包的嗅探等。如圖 （ d）所示。 電子商務(wù)的安全問(wèn)題 武漢科技大學(xué)管理學(xué)院信息管理系 （ 4）信息的偽造或假冒 ? 非授權(quán)實(shí)體偽造計(jì)算機(jī)系統(tǒng)中的實(shí)體或信息。 ? 在電子商務(wù)中，由于交易非面對(duì)面進(jìn)行，如果安全措施不完善，無(wú)法對(duì)信息發(fā)送者或者接收者的身份進(jìn)行驗(yàn)證，那么入侵者就有可能潛入企業(yè)的內(nèi)部網(wǎng)絡(luò)，冒充合法用戶發(fā)送或者是接收信息，從而給合法用戶造成商務(wù)損失。交易抵賴包括多個(gè)方面，如發(fā)送方事后否認(rèn)曾經(jīng)發(fā)送過(guò)某個(gè)信息或內(nèi)容；收信方事后否認(rèn)曾經(jīng)收到過(guò)某個(gè)信息或內(nèi)容；購(gòu)買者做了訂貨單不承認(rèn)；商家賣出的商品因價(jià)格差而不承認(rèn)原有的交易。針對(duì)上述在電子商務(wù)開展過(guò)程中可能發(fā)生的問(wèn)題，為了保證電子商務(wù)整個(gè)交易過(guò)程中的安全性和可靠性，由此提出了相應(yīng)的安全控制要求。 （ 1）真實(shí)性 對(duì)交易各方身份真實(shí)性的確認(rèn)是電子交易中的首要安全需求。目前，網(wǎng)上對(duì)客戶、商家、銀行、