第1章 電子商務安全導論

本章要點

● 了解電子商務安全的基本概念與安全現狀。

● 掌握電子商務面臨的安全威脅及安全需求。

● 了解電子商務中常用的安全技術。

● 掌握電子商務安全體系結構。

● 了解電子商務的安全服務及相關安全協議。

引例

電商Gearbest被曝泄露信息：含數百萬用戶信息和訂單數據

2019年3月15日，美國科技媒體TechCrunch報道，安全研究員Noam Rotem在進行網絡掃描時，發現一個沒有密碼保護的Elasticsearch服務器，可直接訪問，每周都會暴露數百萬條記錄，包括客戶數據、訂單和付款記錄。由于沒有密碼保護，任何人都可通過這個服務器搜索數據。調查顯示，這個數據庫來自Gearbest，是中國環球易購（Globalegrow）旗下的自營網站。

Rotem在VPNMentor上發布了其調查報告。報告稱，該數據庫泄露的數據包括：

● 訂單數據：購買的產品、郵寄地址與郵編、用戶姓名、電子郵件地址、電話號碼。

● 支付與收據信息：訂單號、支付類型、支付詳情、電子郵件地址、名稱、IP地址。

● 用戶信息：姓名、地址、生日、電話號碼、電子郵件地址、IP地址、身份證號碼及護照信息、賬戶密碼等。

Rotem在報告中聲稱其在3月初發現這個不安全的數據庫，泄露的記錄約有150萬條。這些數據并沒有什么加密措施，有些甚至完全沒有加密。他表示，這些泄露的信息不僅侵犯了客戶隱私，還可能危及世界上特定地區的客戶。例如，購買一些私密產品，可能會在某些國家引起法律問題，甚至可能會被判刑。

此外，Rotem還在同一IP地址上發現了一個單獨的基于Web的數據庫管理系統，利用這個系統，可以操縱或破壞Gearbest母公司環球易購所運行的數據庫。Gearbest總部位于深圳，位列全球250強網站之一，服務于華碩、華為、英特爾和聯想等頂級品牌。該公司在歐洲也擁有大量業務，在西班牙、波蘭、捷克等國設有倉庫，而這些國家都適用歐盟數據保護和隱私法。任何違反歐盟《通用數據保護條例》（General Data Protection Regulation，GDPR）的企業都有可能面臨最多相當于全球年營收4%的罰款。

事實上，這已經是Gearbest近年來發生的第二起安全事故了。2017年12月，Gearbest也曾因為撞庫攻擊而導致賬號信息泄露。

電子商務（Electronic Commerce）是指政府、企業和個人利用現代電子計算機與網絡技術實現商業交換的全過程。它是一種基于互聯網，以交易雙方為主體，以銀行電子支付結算為手段，以客戶數據為依托的全新商務模式。電子商務的參與者包括企業、消費者和中介機構等。它的本質是建立一種全社會的“網絡計算環境”或“數字化神經系統”，以實現資源在國民經濟和大眾生活中的全方位應用。

時至今日，電子商務已經逐漸深入人們的日常生活中，越來越多的人通過互聯網進行電子商務活動。電子商務的發展給人們的工作和生活帶來了新的體驗和更多便利，前景十分誘人，也為人們帶來了無限商機。但仍有許多商業機構對電子商務持觀望態度，主要原因是對網上運作的安全問題存有疑慮。在競爭激烈的市場環境下，電子商務的一些信息屬于商業機密，一旦信息失竊，企業的損失將不可估量。因此，在運用電子商務模式進行貿易的過程中，安全問題就成為電子商務最核心的問題。電子商務安全包括有效保障通信網絡和信息系統的安全，確保信息的真實性、保密性、完整性、不可否認性和不可更改性等方面。

本章主要介紹電子商務安全概念，以及電子商務面臨的安全威脅、安全特點、安全環境、安全技術、安全體系結構和安全服務及安全協議等。