第1章 电子商务安全导论

本章要点

● 了解电子商务安全的基本概念与安全现状。

● 掌握电子商务面临的安全威胁及安全需求。

● 了解电子商务中常用的安全技术。

● 掌握电子商务安全体系结构。

● 了解电子商务的安全服务及相关安全协议。

引例

电商Gearbest被曝泄露信息:含数百万用户信息和订单数据

2019年3月15日,美国科技媒体TechCrunch报道,安全研究员Noam Rotem在进行网络扫描时,发现一个没有密码保护的Elasticsearch服务器,可直接访问,每周都会暴露数百万条记录,包括客户数据、订单和付款记录。由于没有密码保护,任何人都可通过这个服务器搜索数据。调查显示,这个数据库来自Gearbest,是中国环球易购(Globalegrow)旗下的自营网站。

Rotem在VPNMentor上发布了其调查报告。报告称,该数据库泄露的数据包括:

● 订单数据:购买的产品、邮寄地址与邮编、用户姓名、电子邮件地址、电话号码。

● 支付与收据信息:订单号、支付类型、支付详情、电子邮件地址、名称、IP地址。

● 用户信息:姓名、地址、生日、电话号码、电子邮件地址、IP地址、身份证号码及护照信息、账户密码等。

Rotem在报告中声称其在3月初发现这个不安全的数据库,泄露的记录约有150万条。这些数据并没有什么加密措施,有些甚至完全没有加密。他表示,这些泄露的信息不仅侵犯了客户隐私,还可能危及世界上特定地区的客户。例如,购买一些私密产品,可能会在某些国家引起法律问题,甚至可能会被判刑。

此外,Rotem还在同一IP地址上发现了一个单独的基于Web的数据库管理系统,利用这个系统,可以操纵或破坏Gearbest母公司环球易购所运行的数据库。Gearbest总部位于深圳,位列全球250强网站之一,服务于华硕、华为、英特尔和联想等顶级品牌。该公司在欧洲也拥有大量业务,在西班牙、波兰、捷克等国设有仓库,而这些国家都适用欧盟数据保护和隐私法。任何违反欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)的企业都有可能面临最多相当于全球年营收4%的罚款。

事实上,这已经是Gearbest近年来发生的第二起安全事故了。2017年12月,Gearbest也曾因为撞库攻击而导致账号信息泄露。

电子商务(Electronic Commerce)是指政府、企业和个人利用现代电子计算机与网络技术实现商业交换的全过程。它是一种基于互联网,以交易双方为主体,以银行电子支付结算为手段,以客户数据为依托的全新商务模式。电子商务的参与者包括企业、消费者和中介机构等。它的本质是建立一种全社会的“网络计算环境”或“数字化神经系统”,以实现资源在国民经济和大众生活中的全方位应用。

时至今日,电子商务已经逐渐深入人们的日常生活中,越来越多的人通过互联网进行电子商务活动。电子商务的发展给人们的工作和生活带来了新的体验和更多便利,前景十分诱人,也为人们带来了无限商机。但仍有许多商业机构对电子商务持观望态度,主要原因是对网上运作的安全问题存有疑虑。在竞争激烈的市场环境下,电子商务的一些信息属于商业机密,一旦信息失窃,企业的损失将不可估量。因此,在运用电子商务模式进行贸易的过程中,安全问题就成为电子商务最核心的问题。电子商务安全包括有效保障通信网络和信息系统的安全,确保信息的真实性、保密性、完整性、不可否认性和不可更改性等方面。

本章主要介绍电子商务安全概念,以及电子商务面临的安全威胁、安全特点、安全环境、安全技术、安全体系结构和安全服务及安全协议等。