⑴ 简述电子商务安全性的要求
在传统交易中,买卖双方面对面交流,这使得交易的安全性和信任关系得以容易地建立。然而,在电子商务中,由于网络的不可靠性,买卖双方相隔甚远,安全和信任关系的建立变得尤为艰难。销售者和消费者都面临着不同的安全威胁。
对于销售者而言,主要的安全威胁包括:中央系统安全性被破坏,入侵者可能假冒合法用户改变用户数据、解除订单或生成虚假订单;竞争者可能检索商品递送状况,以了解商品的递送情况及货物和库存情况;客户资料可能被竞争者获悉;假冒者可能利用销售者服务器名字建立相似的网站以损害公司的信誉;消费者可能提交订单后不付款;虚假订单可能造成误导;获取他人机密数据也可能发生,如有人利用他人的名字订购商品来评估其信誉。
对于消费者而言,主要的安全威胁包括:虚假订单可能导致消费者收到商品后被要求付款或返还商品;付款后未能收到商品的情况,可能是由于销售商内部人员未将订单和钱转发给相关部门;机密性丧失,即客户将个人数据或身份数据发送给假冒销售商的机构,这些信息可能在传递过程中被窃听;拒绝服务,攻击者向销售商服务器发送大量虚假订单,导致合法用户无法获得正常服务。
黑客们攻击电子商务系统的方式主要有:中断系统可用性,破坏硬件、硬盘、线路、文件系统等;窃听系统机密性,通过搭线和电磁泄漏等手段造成泄密或分析业务流量;窜改系统完整性,篡改数据内容,修正消息顺序、时间;伪造系统真实性,将伪造消息注入系统、假冒合法人接入系统、重放合法消息以实现非法目的,否认消息的接收或发送。
综合而言,电子商务系统的安全性要求可归纳为:真实性要求,能对信息、实体的真实性进行鉴别;机密性要求,保证信息不被泄露给非授权的人或实体;完整性要求,保证数据的一致性,防止数据被非授权建立、修改和破坏;可用性要求,保证合法用户对信息和资源的使用不会被不正当的拒绝;不可否认要求,建立有效的责任机制,防止实体否认其行为;可控性要求,能控制使用资源的人或实体的使用方式。