4.1电子支付安全.ppt

电子商务概论 主编:赵燕平 国家教育部十一五规划教材 参加编写的编委 第1章 赵燕平，刘科成（英国Reading大学） 第2章 陈翔，刘军丽，赵燕平 第3章 赵燕平，商建云 第4章 陈翔，刘军丽（中国劳动关系学院） 第5章 刘瑞红 第6章 陈翔，刘军丽 第7章 商建云(7.1)左秀峰(7.2,7.3)邢郁丽(7.4) 第8章 赵燕平，张薇 以及感谢北京理工大学管理与经济学院 08110502班刘海军等同学 购买图书：高等教育出版社，2008 本章内容概览 本章学习目标与知识点： 掌握电子商务中面临的危险，电子商务的安全要素，以及各种电子商务安全技术；了解相关的密码与加密技术，掌握公开密钥体系，数字信封、数字签名和数字水印技术等与电子商务认证和安全保障有关的技术支撑点，和互联网知识产权的保护问题；进一步了解电子商务认证中心（CA）与数字证书，数字时间戳、 第4章 电子商务的安全机制 第4章 电子商务的安全机制 第4章 电子商务的安全机制 第4章 电子商务的安全机制 第4章 电子商务的安全机制 第4章 电子商务的安全机制 4.1 电子商务安全 尽管电子商务的发展前景非常诱人，但如何建立一个安全可靠的应用环境，已成为商家必须考虑的问题。客观地说，没有任何一个网络能够完全免受安全的困扰，依据美国金融时报曾做过的统计，平均每20秒钟就有一个网络遭到入侵。信息的安全、资金的安全、直接影响着个人、企业乃至国家的经济利益。如何建立一个安全、便捷的电子商务应用环境对信息提供足够的保护，已经成为影响到电子商务健康发展的关键性课题。 4.1.1 电子商务中面临的危险 1．电子商务的交易安全问题 （1）信息窃取 通过的网关和路由器上截获数据，推出有用信息，如消费者的银行账号、密码以及企业的商业机密等 在网上购物或接受信息反馈的邮件时，一些被称为“网络钓鱼”欺诈案件也经常发生 “网络钓鱼”者还会利用一些网络技术四处传播木马病毒，窃取电脑机密，或者搭建虚假电子商务网站、伪造成你曾经购物的著名电子商务网站实施欺诈行为，诱骗你将账号输入到他们提供的另一个看上去和著名网站一样的网站上去，骗取你的账号和密码，并盗走你的资金 （2）信息篡改 当攻击者熟悉了网络信息格式以后，通过各种技术方法和手段对网络传输的信息进行中途修改，并发往目的地，从而破坏信息的完整性。这种破坏手段主要有三个方面 ： 篡改——改变信息流的次序，更改信息的内容，如购买商品的出货地址； 删除——删除某个消息或消息的某些部分； 插入——在消息中插入一些信息．让收方读不到或接收错误的信息。 （3）信息假冒 当攻击者掌握了网络信息数据规律或解密了商务信息以后，可以假冒合法用户或发送假冒信息来欺骗其他用户．主要通过两种方式。 一是伪造电子邮件，虚开网站和商店，给用户发电子邮件，收订货单；伪造用户，窃取商家的商品信息和用户信用等信息。 另外一种为假冒他人身份，如冒充领导发布命令、调阅密件；冒充他人消费、栽赃；冒充主机欺骗合法主机及合法用户；冒充网络控制程序，套取或修改使用权限、通行字、密钥等信息；接管合法用户，欺骗系统，占用合法用户的资源。 （4）交易抵赖 交易抵赖包括多个方面 如发信者事后否认曾经发送过某条信息或内容； 收信者事后后否认曾经收到过某条消息或内容； 购买者不承认订货单； 商家卖出的商品因价格差而不承认原有的交易。 2．电子商务的计算机系统安全问题 （1）物理安全问题 物理安全包括主机硬件和物理线路的安全问题 如火灾及自然灾害、硬件故障、辐射、搭线窃听、盗用、偷窃、超负荷等等 他们使用各种高性能的协议分析仪和信道监测器通过电磁辐射搭线窃听，对详细信息流进行分析，就可以得到口令、ID及账户等重要信息。 检查系统所处位置，对进入设备的人员或无关人员都进行如下限制和防范。 对物理安全需做如下防范 禁止外来人接近重要数据源； 阅读操作手册、登录指令、配置信息和系统信息； 拷贝和拿走磁带、可移动硬盘、光盘或软盘等存储介质； 攻击处理品；将笔记本电脑接入内部网络上；在工作站前面访问系统控制台； 阅读或拿走打印稿；观看和改变电话等设备，即攻击网络和电话线； 在铜缆、光缆、红外线或网络介质上接入网络传输系统等事情，特别要对未授权用户加以阻止。 （2）网络安全问题 非授权访问尝试 假冒主机或用户 对信息完整性进行攻击 对服务的干扰 其他网络攻击 （3）主机系统安全问题 主机操作系统层面的安全，如系统目录设置、账号口令设置、安全管理设置问题等 防止未授权存取 防止越权使用 防止泄密 防止用户拒绝系统的管理 防止系统完整