在 Internet开展的初期,其各種協議的設計都是以連通和數據傳輸為目的的,安全性並沒有放在重要的位置來考慮。資源共享、快速、便捷是 Internet迅速开展的原因,而這種開放性決定了基於 Internet的網絡信息系統在安全方面存在先天不足。

例如,在 Internet上的信息是以數據包的形式傳送的,這些數據包好比是一封封的平信,它們按照目的地址寄往某個地方,如果不知道目的地址具體對應哪台主機,就只發送到其所在的局域網,再由局域網將該數據包廣播發送(通常採用以太網或令牌網技術的局域網都是廣播式的局域網),這樣局域網中的所有主機都能收到這個數據包。在一般情況下,如果其他主機發現這個數據包不是發送給它的,就會拒絕接收,但是對於別有用心的人來說,他可能會設置他的主機能接收所有的數據包,無論是不是發給他的,並查看這些數據包中的內容,甚至對其中的內容進行篡改再轉發出去。

如果把 Internet系統的運轉看成是一種信息的流動,則在正常情況下,信息是從信息源流向信息目的。而攻擊者可以破壞這種正常的信息流動,攻擊者對網絡系統的威脅可歸納為四種類型:中斷、截獲、篡改和偽造。

1.中斷(interruption)

中斷是指發送方無法發送信息,或者發送的信息無法到達接收方。例如攻擊者對發送方進行拒絕服務攻擊,或者切斷其線路連接,使其無法给予服務,破壞其可用性。

2.截獲(interception)

截獲是指攻擊者從網絡上竊聽他人的通信內容,破壞信息的機密性,是一種被動攻擊。

纂改(modification)

篡改是指攻擊者故意篡改線路上傳輸的報文,破壞消息的完整性。

4.偽造(fabrication)

偽造是指攻擊者偽造信息在網絡上傳送,這是對報文真實性或身份認證機制的攻擊。偽造分為兩種情況,一是偽造消息(如偽造電子郵件,騙取用戶匯款或騙取用戶輸入賬號、密碼到偽造者的網站等)。二是偽造身份,如發送一條消息聲稱自己是某人,由此可見,偽造身份是顺利获得偽造認證消息實現的。

除了上述4種信息傳輸面臨的安全威脅外,電子商務活動還會面臨另一種安全威脅—抵賴。

5.抵賴(repudiation)

當交易的一方發現交易行為對自己不利時,或當利益刺激到一定程度時,就有可能否認交易行為,這稱為抵賴或否認。交易抵賴包括發送方的抵賴和接收方的抵賴兩種情況,如發送方發了某個訂貨請求後聲稱自己沒發過,或接收方收到某個訂貨請求後聲稱自己沒收到。