第8章 安全电子商务的技术基础课件.pptVIP

第8章 安全电子商务的技术基础  8.1 电子商务安全概述 8.2 计算机网络安全技术基础 8.3 信息安全与加密技术 8.4 电子商务的认证技术 8.5 电子商务支付安全协议 思考题 8.1 电子商务安全概述 8.1.1 电子商务安全的现状 8.1.2 安全电子商务的基本要求 8.1.3 电子商务安全交易体系 8.1.4 网络安全的级别及其分类 8.1.5 计算机网络面临的安全性威胁 8.1.1 电子商务安全的现状 开展电子商务，安全性已成为一个参与电子商务的参与者不得不考虑的一个非常关键的因素。 随着计算机应用的普及和信息经济时代的到来，以及电子商务的快速发展，当前，很多产业都对计算机网络特别是因特网产生了高度的依赖性，在西方发达国家更加明显。虽然电子商务的应用带来了效率的提高，其优点是不言而喻的，但是，对因特网的高度依赖性又使得各个经济实体非常脆弱，一旦计算机网络受到攻击，经济实体就不能正常运转，给其带来巨大损失，如果某个大银行的计算机网络瘫痪，则影响面更广，对社会经济带来很大的负面影响。当前，随着经济信息化的加快，计算机网络上黑客的破坏活动也越来越多、越来越恶劣，计算机网络上的病毒也越来越多，越来越猖獗。黑客（Hacker）和计算机病毒（Computer Virus）对当前的经济秩序甚至对国家的信息安全都构成了严重的威胁。 最近几年来，在美国，计算机网络犯罪呈现快速增长势头，给美国经济造成的损失也在不断快速增长；在我国，自从1993年开通因特网使用以来，黑客在我国的活动从来就没有停止过。 8.1.2 安全电子商务的基本要求 综合来看，一个安全的电子商务系统应该具有以下一些安全方面的要素。 信息的保密性 数据传输的保密性，是为了防止数据被窃听，这可以通过对传输数据进行加密处理;数据存储的保密性，主要通过系统的访问控制来实现。 信息的完整性和真实性 信息的完整性就是要保证计算机系统上的数据和信息处于一种一致性和未受损坏的状态，也就是说信息不会因有意或无意的事件而被改变或丢失;能否方便而又可靠地鉴别出参与电子交易双方身份的真实性，是进行电子商务交易的前提。 信息的可用性和有效性 保证数据的可用性，首先要保证数据是完整的，其次还要保证系统是正常运转的，使得网络上不会出现严重的拥挤现象，以免用户请求数据时，数据不能够及时地传输过来。 不可抵赖性 不可抵赖性，简单地说，就是在电子交易中，当一条信息发送或被接收后，应该保证信息的收发双方都有足够的证据来证明对该消息的操作行为确实发生了，并能够确定收发双方的真实身份，这样，就可以保证，在由于交易发生纠纷时，能够拿出客观的证据，能够对证。 访问控制 访问控制服务是控制与限定网络用户对主机应用和网络服务的访问。 8.1.3 电子商务安全交易体系 电子商务安全交易体系结构如下图： 8.1.4 网络安全的级别及其分类 美国国防部的橙皮书即可信任计算机标准评价准则 ，多年以来一直是评价多用户主机和小型机操作系统的主要方法,其他的子系统，例如网络系统和数据库管理系统等，也一直是用橙皮书来进行解释评估的 可信任计算机系统评估准则将计算机系统安全等级分为4类7个等级，它们分别是D、C1、C2、B1、B2、B3和A1。 D类系统的安全性要求最低，属于非安全保护类，它不能用于多用户环境下的重要信息处理。D类只有一个级别。 C类系统为用户能定义访问控制要求的自主型保护类，C类还划分成两个安全子级别：C1和C2。 C1级别安全保护的缺点是用户能够直接访问操作系统的超级用户，C1级不能控制进入系统用户的访问级别，因此，用户可以将系统中的数据任意移动，并且还可以控制系统的配置。C2级系统要求用户定义访问控制，通过注册认证、对用户启动系统、打开文件的权限检查，防止非法用户与越权访问信息资源的安全保护。 B类系统属于强制型安全保护类，即用户不能够分配权限，只能由网络管理员为用户分配权限。B类系统还可以划分为3个子安全级别，即B1、B2和B3。 A1级又被称为验证设计级，是当前橙皮书中最高的安全级别。A1级系统要求提供的安全服务功能与B3级系统基本一致。A1级系统在安全审计、安全测试和安全的配置管理等方面提出了更高的要求，它包括了一个严格的设计、控制和验证过程。 8.1.5 计算机网络面临的安全性威胁 　　计算机网络上的通信一般面临以下四种威胁： 截获 就是指攻击者从网络上窃听到网络中传输的信息。 中断 就是指攻击者有意中断信息在网络上的正常传输。 伪造 就是指攻击者伪造信息在网上进行传输。 篡改 就是指攻击者故意篡改网络上传输的信息。 　　以上网络可能面临的威胁可以划分为两大