电子商务交易安全精品.pptVIP

第5章 电子商务交易安全 第5章 电子商务交易安全 2009年4月24日，瑞星公司市场总监马刚在接受采访时称,木马已经成为互联网的最大威胁,虽然该公司的绞杀计划初见成效,但木马问题不可能在短时间内得以解决。 瑞星公司近日公布的一项安全报告从数量上阐释了这个产业的庞大。该报告称,2009年1月至3月,互联网上出现的”挂马”网页累计达1.9亿多个,平均每天有589万余人次网民访问这些网页,累计有8亿人次网民遭木马攻击。 ?? 据金山毒霸“云安全”中心检测数据数据显示，2008年，中国新增计算机病毒、木马数量呈爆炸式增长，总数量已突破千万。 病毒制造者的“逐利性”依旧没有改变，网页挂马、漏洞攻击成为黑客获利的主要渠道。 近年重大病毒及损失代价 据美联社报道,为应对每日数以百万计的网络攻击和欺诈,美国联邦政府正在积极寻找黑客高手,这次不是为了抓捕他们而是向他们支付费用保护国家网络。（2009.4.20） 网络安全企业 5.1 电子商务安全概述 一、电子商务安全问题 网民2007年下半年网络安全问题发生的频次 电子商务安全隐患及防范措施 电子商务安全不单是技术问题 例如：27岁的赖某利用“木马”程序，一个月内从他人网上银行账户中盗走6000余元，判处其有期徒刑一年零六个月，缓刑两年，并处罚金12000元。 　　 二、电子商务的安全体系 （一） 计算机网络系统的安全问题 2、自然灾害的威胁 各种自然灾害、风暴、泥石流、建筑物破坏、火灾、水灾、空气污染等对计算机网络系统都构成强大的威胁。 3、黑客的恶意攻击 所谓黑客，现在一般泛指计算机信息系统的非法入侵者。 主动攻击：它以各种方式有选择地破坏信息的有效性和完整性； 被动攻击：它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。 4、软件的漏洞和“后门” 5、网络协议的安全漏洞 6、计算机病毒的攻击 （二）计算机网络系统的安全管理制度 1、保密制度 绝密级：不在因特网上公开，只限高层管理人员掌握； 机密级：只限公司中层管理人员以上使用； 秘密级：在因特网上公开，供消费者浏览，但必须有保护程序防止黑客侵入； 2、网络系统的日常维护 硬件的日常管理和维护 软件的日常管理和维护 数据备份制度 用户管理 3．病毒防范制度 安装防病毒软件 不打开陌生电子邮件 认真执行病毒定期清理制度 控制权限 高度警惕网络陷阱 （三）电子商务交易安全问题 2．买方面临的问题 (1)付款后不能收到商品 (2)机密性丧失 (3)拒绝服务 3．信息传输问题 (1)冒名偷窃 (2)篡改数据 (3)信息丢失 (4)信息传递过程中的破坏 (5)虚假信息 4．信用问题 (1)来自买方的信用问题 (2)来自卖方的信用风险 (3)买卖双方都存在抵赖的情况 （四）电子商务交易的安全控制要求 电子商务系统应该提供交易双方进行身份鉴别的机制。一般可以通过数字签名和数字证书相结合的方式实现用户身份的验证，证实交易双方都是他们所声称的那个人。 2、信息的保密性（加密） 要对敏感重要的商业信息或个人信息进行加密，即使别人截获或窃取了数据，也无法识别信息的真实内容，这样就可以使商业机密或有价值的个人信息难以被泄露。 3、信息的完整性 （数字签名） 4、信息不可否认性 （数字签名） 在电子交易通信过程的各个环节中都必须是不可否认的，即交易一旦达成，发送方不能否认他发送的信息，接收方则不能否认他所收到的信息。这在交易系统中十分重要。 5.2 电子商务安全技术 一、数据加密技术 （二）密码体制的分类 1、通用密码体制（对称式密码体制） 定义： 在对数据加密的过程中，使用同样的密匙进行加密和解密的密码体制，也称“传统密码体制”。 通用密码体制加密过程 通用密码体制实例（一） 通用密码体制举例（二 ） 简单多表式密码加密 要求： 1）在首次通信前，双方必须通过除网络以外的另外途径传递统一的密钥。 2）当通信对象增多时，密码使用者要保存所有通信对象的密钥。 3）对称加密是建立在共同保守秘密的基础之上的，在管理和分发密钥过程中，任何一方的泄密都会造成密钥的失效，存在着潜在的危险和复杂的管理难度。 2、公开密钥体制（非对称式密码体制） 定义：它需要使用一对密钥来分别完成加密和解密操作，一个公开发布，称为公开密钥（Public-Key），用于加密；另一个由用户自己秘密保存，称为私有密钥（Private-Key）