第1章 电子商务安全导论

本章要点

● 了解电子商务安全的基本概念与安全现状。

● 掌握电子商务面临的安全威胁及安全需求。

● 了解电子商务中常用的安全技术。

● 掌握电子商务安全体系结构。

● 了解电子商务的安全服务及相关安全协议。

引例

电商Gearbest被曝泄露信息：含数百万用户信息和订单数据

2019年3月15日，美国科技媒体TechCrunch报道，安全研究员Noam Rotem在进行网络扫描时，发现一个没有密码保护的Elasticsearch服务器，可直接访问，每周都会暴露数百万条记录，包括客户数据、订单和付款记录。由于没有密码保护，任何人都可通过这个服务器搜索数据。调查显示，这个数据库来自Gearbest，是中国环球易购（Globalegrow）旗下的自营网站。

Rotem在VPNMentor上发布了其调查报告。报告称，该数据库泄露的数据包括：

● 订单数据：购买的产品、邮寄地址与邮编、用户姓名、电子邮件地址、电话号码。

● 支付与收据信息：订单号、支付类型、支付详情、电子邮件地址、名称、IP地址。

● 用户信息：姓名、地址、生日、电话号码、电子邮件地址、IP地址、身份证号码及护照信息、账户密码等。

Rotem在报告中声称其在3月初发现这个不安全的数据库，泄露的记录约有150万条。这些数据并没有什么加密措施，有些甚至完全没有加密。他表示，这些泄露的信息不仅侵犯了客户隐私，还可能危及世界上特定地区的客户。例如，购买一些私密产品，可能会在某些国家引起法律问题，甚至可能会被判刑。

此外，Rotem还在同一IP地址上发现了一个单独的基于Web的数据库管理系统，利用这个系统，可以操纵或破坏Gearbest母公司环球易购所运行的数据库。Gearbest总部位于深圳，位列全球250强网站之一，服务于华硕、华为、英特尔和联想等顶级品牌。该公司在欧洲也拥有大量业务，在西班牙、波兰、捷克等国设有仓库，而这些国家都适用欧盟数据保护和隐私法。任何违反欧盟《通用数据保护条例》（General Data Protection Regulation，GDPR）的企业都有可能面临最多相当于全球年营收4%的罚款。

事实上，这已经是Gearbest近年来发生的第二起安全事故了。2017年12月，Gearbest也曾因为撞库攻击而导致账号信息泄露。

电子商务（Electronic Commerce）是指政府、企业和个人利用现代电子计算机与网络技术实现商业交换的全过程。它是一种基于互联网，以交易双方为主体，以银行电子支付结算为手段，以客户数据为依托的全新商务模式。电子商务的参与者包括企业、消费者和中介机构等。它的本质是建立一种全社会的“网络计算环境”或“数字化神经系统”，以实现资源在国民经济和大众生活中的全方位应用。

时至今日，电子商务已经逐渐深入人们的日常生活中，越来越多的人通过互联网进行电子商务活动。电子商务的发展给人们的工作和生活带来了新的体验和更多便利，前景十分诱人，也为人们带来了无限商机。但仍有许多商业机构对电子商务持观望态度，主要原因是对网上运作的安全问题存有疑虑。在竞争激烈的市场环境下，电子商务的一些信息属于商业机密，一旦信息失窃，企业的损失将不可估量。因此，在运用电子商务模式进行贸易的过程中，安全问题就成为电子商务最核心的问题。电子商务安全包括有效保障通信网络和信息系统的安全，确保信息的真实性、保密性、完整性、不可否认性和不可更改性等方面。

本章主要介绍电子商务安全概念，以及电子商务面临的安全威胁、安全特点、安全环境、安全技术、安全体系结构和安全服务及安全协议等。