作为电子商务的基础——Internet为人类交换信息,促进科学、技术、文化、教育、生产的发展,提高现代人的生活质量提供了极大的便利。信息在现代社会中的地位和作用越来越重要,每个人的生活都与信息的产生、存储、处理和传递密切相关。由于网络的全球性、开放性、无缝连通性、共享性、动态性发展,使得任何人都可以自由地接入Internet。恶意者可能会采用各种攻击手段进行破坏活动,包括试图穿透别人的系统、窃取重要情报、破坏别人的信箱、散布破坏性信息、制造信息垃圾、进行网络欺诈、施放网络病毒、发动黑客战等。Internet一方面成为人们离不开的信息工具,同时也成为公开的攻击对象和目标。
电子商务面临的安全威胁是指信息的可用性、机密性、完整性和系统资源的合法使用受到破坏的行为或事件。电子商务系统的安全威胁不仅来自外部,也来自于内部。面临的基本安全威胁有4种,即信息泄露、完整性破坏、拒绝服务和非法使用。这些威胁的实现途径和方法主要有窃听、假冒、病毒、旁路控制、业务流分析和工作人员疏忽等。针对具体的电子商务系统,应从每一个环节分析可能面临的安全威胁,这些威胁包括主动攻击、被动攻击、病毒、社会工程、无线网络接入以及火、洪水等自然灾害。其中有些安全威胁是偶然的,如操作人员的失误以及火、洪水、电磁风暴等自然灾害;有些威胁是恶意的,如欺骗、黑客、病毒、逻辑炸弹、木马、偷窃信息/数据和蓄意破坏等。图10-1显示了电子商务系统可能受到的安全威胁。电子商务面临的技术性安全威胁已经在第1章和第6章中进行了分析,本章重点介绍电子商务所面临的非技术性安全威胁。
图10-1 来自不同方面的安全威胁
虽然电子商务中使用的安全技术与一般信息系统基本相同,但是在安全策略、安全管理等非技术方面存在很大的差异。虽然很多信息系统使用相同的技术(包括安全技术),面临着同样的安全威胁,但是有的系统屡次受到病毒的破坏和黑客的攻击而瘫痪,而有的系统却能够安全正常运行。因此,信息安全问题不仅仅是技术问题,还有许多非技术的因素影响着系统的安全。
国家标准《信息系统安全等级保护测评过程指南》中将信息安全的测评指标分成两大类,即安全技术与安全管理。其中安全技术包括物理安全、网络安全、主机安全、应用安全和数据安全,安全管理包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。(www.xing528.com)
因此,对于电子商务来说,仅仅从技术角度对安全威胁进行分析和分类是不够的。对安全威胁也必须从非技术的观点进行研究。非技术的安全威胁主要表现在以下几个方面:
●人为盗窃、破坏设备等行为。
●密码和密钥管理不善,造成泄露。
●制度漏洞,如安全管理制度不健全、责任不明确、操作流程不清晰等。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
