第1章 电子商务安全概述课件.pptVIP

本章要点 电子商务面临的四大安全威胁：信息的截获和窃取、篡改交易信息、假冒商家或客户和商家抵赖交易。 电子商务的六大安全需求：机密性、完整性、认证性、不可抵赖性、不可拒绝性、访问控制性。 电子商务主要面临的主要攻击：中断、窃听、篡改和伪造等。 电子商务安全涉及到密码安全技术、网络安全技术、PKI技术三大基本技术。 电子商务安全系统的结构体系 电子商务三层安全服务规范：网络层、传输层和应用层安全服务。 电子商务安全概念与特点 电子商务的基本两素： 互联网或EDI 商务交易或者生产经营活动 安全是相对于危险的，或者说，安全是免于危险的一种状态。进一步解释为：“客观上不存在威胁，主观上不存在恐惧”。 电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。 计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是以保证计算机网络自身的安全性为目标。 商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障以电子交易和电子支付为核心的电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。 计算机网络安全和商务交易安全实际上是密不可分的，两者相辅相成，缺一不可。 安全概念基本关系 从等级上来说，从下至上有密码安全、局域网安全、互联网安全和信息安全之分，电子商务安全属于信息安全的范畴。 电子商务安全四大特性 电子商务面临的安全威胁 信息的截获和窃取 互联网、公共电话网、搭线、电磁波辐射、网关和路由器 信息的篡改 篡改、删除、插入 信息假冒 伪造电子邮件、假冒他人身份 交易抵赖 消费者面临的威胁 虚假订单 付款后不能收到商品 机密性丧失 拒绝服务 电子货币丢失 电子商务服务器面临的特殊的安全威胁 系统中心安全性被破坏 竞争者的威胁 商业机密的安全 假冒的威胁 信用的威胁 电子商务安全问题产生的原因 黑客的攻击——目前，世界上有20多万个黑客网站，攻击方法成千上万。 管理的欠缺——网站或系统的严格管理是企业、机构及用户免受攻击的重要措施。 网络的缺陷——因特网的共享性和开放性使网上信息安全存在先天不足。 软件的漏洞或“后门”——操作系统和应用软件往往存在漏洞或“后门”。 人为的触发——基于信息战和对他国监控的考虑，个别国家或组织有意识触发网络信息安全问题。 电子商务的安全需求 一、机密性 机密性（Confidentiality）又叫保密性，是指信息在传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容。 机密性一般通过密码技术来对保密的信息进行加密处理来实现。 二、完整性 完整性（Integrity）又叫真确性，是保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被更改。 完整性一般可通过提取信息消息摘要的方式来获得。 三、认证性 认证性（Authentication）是指网络两端的使用者在沟通之前相互确认对方的身份。 在电子商务中，认证性一般都通过证书机构CA和证书来实现。 四、不可抵赖性 不可抵赖性又叫不可否认性（Non-repudiation），是指信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息，这是一种法律有效性要求。 不可抵赖性可通过对发送的消息进行数字签名来获得。 五、不可拒绝性 商务服务的不可拒绝性（Denial of service）又叫有效性，或可用性。是保证授权用户在正常访问信息和资源时不被拒绝，即保证为用户提供稳定的服务。 六、访问控制性 访问控制性（Access control）是指在网络上限制和控制通信链路对主机系统和应用的访问；用于保护计算机系统的资源（信息、计算和通信资源）不被未经授权人或未授权方式接入、使用、修改、破坏、发出指令或值入程序等。 电子商务安全基础技术 密码技术 密码技术是信息安全的核心技术，主要包括加密、签名认证和密钥管理三大技术。 加密技术是实现信息的保密性的一种重要手段。所谓加密就是使用数学方法来重新组织数据，使得除了合法的接受者外，任何其他人要想恢复原先的“报文”或读懂变化后的“报文”非常困难。 签名认证技术是保证信息的真实性的一种重要手段。其目的有两个：一是验证信息的发送者是否是冒充的；二是验证信息的完整性。 密钥管理包括密钥的产生、存储、装入、分配、保护、丢失、销毁以及保密等内容。其中分配和存储是最棘手的问题。 网络安全技术 网络安全是电子商务安全的基础，包括：操作系统安全、防火墙技术、虚拟专用网VPN技术、各种反黑客技术和漏洞检测技术等。 PKI技术 PKI（Public Key Infr