第4章电子商务安全课件.pptVIP

本章导读 随着信息技术日新月异的发展，人类正在进入以网络为主的信息时代，基于Internet开展的电子商务已逐渐成为人们进行商务活动的新模式。越来越多的人通过Internet进行商务活动，电子商务的发展前景十分诱人，但随之而来的是其安全问题也变得越来越突出。如何建立一个安全、便捷的电子商务应用环境，保证整个商务过程中信息的安全性，使基于Internet的电子交易方式与传统交易方式一样安全可靠，已经成为在电子商务应用中所关注的重要技术问题。如何采取高效安全的措施保证电子商务的顺利展开，解决电子商务中存在的一系列问题，是电子商务良好运作的基础和关键因素。本章首先从分析电子商务面临的各种安全性威胁出发，讨论了基于Internet进行的电子商务活动提出的安全需求。在此基础上，就目前业界用于电子商务一些基本安全保密技术、电子商务交易安全措施和安全协议计算机病毒防范措施进行了介绍。 章首案例 罗伯特“蠕虫侵袭Internet事件” 1988年11月2日美国康奈尔大学(Cornell University)年仅23岁的学生罗伯特·莫瑞斯(Robert T·Morris, Jr.)在自己的计算机上，用远程命令将自己编写的蠕虫(Worm)程序送进Internet，希望这个“无害”的蠕虫程序可以慢慢地渗透到政府与研究机构的网络中，并且悄悄地待在那里，不为人知。然而，由于莫瑞斯在他的程序编制中犯了一个小错误，结果这个蠕虫程序疯狂地不断复制自己，并向整个Internet迅速蔓延。在1988年11月2日至11月3日的一夜之间，袭击了庞大的Internet上约6200台VAX系列小型机和Sun工作站，300多个大学、议院和研究中心都发布了关于蠕虫攻击的报告，DCA的一位发言人宣称，蠕虫不仅攻击了Arpanet系统，而且攻击了军用的MILNET网中的几台主机，大量数据被破坏，整个经济损失估计达9600万美元 案例思考： 结合以上案例和本章内容，讨论：企业在开展电子商务过程中将面临着哪些安全问题？如何防范？ 4.1 电子商务安全概述 4.1.1 电子商务的安全问题 1．安全问题的产生 (1) 系统穿透。 (2) 违反授权原则。 (3) 植入。 (4) 通信监视。 (5) 通信干扰。 (6) 中断。 (7) 拒绝服务。 (8) 否认。 2．电子商务的安全隐患 (1) 数据被非法截获、读取或者修改。 (2) 冒名顶替和否认行为。 (3) 一个网络的用户未经授权访问了另一个网络。 (4) 计算机病毒。 4.1.2 电子商务交易双方所面临的安全威胁 1．对商家而言，面临的安全威胁主要有： (1) 中央系统安全性被破坏。 (2) 竞争者检索商品递送状况。 (3) 客户资料被竞争者获悉。 (4) 被他人假冒而损害公司的信誉。 (5) 消费者提交订单后不付款。 (6) 虚假订单。 (7) 获取他人的机密数据。 2．对消费者而言，面临的安全威胁主要有： (1) 虚假订单。一个假冒者可能会以消费者的名字来订购商品，而且有可能收到商品，而此时客户却被要求付款或返还商品。 (2) 付款后不能收到商品。在要求客户付款后，销售商中的内部人员不将订单和钱转发给执行部门，因而使消费者不能收到商品。 (3) 机密性丧失。消费者有可能将秘密的个人数据或自己的身份数据(如PIN、口令等)发送给冒充商家的机构，这些信息则可能会在传递过程中被窃取。 (4) 拒绝服务。攻击者可能向商家的服务器发送大量的虚假订单来穷竭它的资源，从而使合法用户不能得到正常的服务。 4.1.3 电子商务交易的安全需求 1．真实性 2．有效性 3．信息的保密性 4．完整性 5．交易者身份的确认 6．不可抵赖性 7．身份的可认证性 8．不可修改性 9．合法性 4.1.4 计算机网络系统的安全 1．物理实体的安全 (1) 设备的功能失常。 (2) 电源故障。 (3) 由于电磁泄漏引起的信息失密 (4) 搭线窃听。 2．自然灾害的威胁 3．黑客的恶意攻击 4．软件的漏洞和“后门” 5．网络协议的安全漏洞 6．计算机病毒的攻击 (1) 攻击系统数据区。 (2) 攻击文件。 (3) 攻击内存。 (4) 干扰系统运行。 (5) 速度下降。 (6) 攻击磁盘。 (7) 扰乱屏幕显示。 (8) 键盘。 (9) 喇叭。 (10) 攻击CMOS。 (11) 干扰打印机。 4.2 电子商务安全技术 4.2.1 加密码技术 1．加密技术 密码技术包括密码设计、密码分析、密钥管理、验证技术等内容。密码设计的基本思想是伪装信息，使局外人不能理解信息的真正含义，而局内人却能够理解伪装信息的本来含义。其中，密码设计的中心内容就是数据加密和解密的方法。所谓“加密”，简单地说，就是使用数学的方法将原始信息(明文)重新组织与变换成只有授