第4章-电子商务安全技术要点.ppt

引导案例：关于安全的几个小例子 【案例一】一个不明文件引发的损失 2011年5月14日，山东的张女士在网上购买了一款打折的名牌皮包，卖家通过聊天工具发来一个压缩文件，要求确认款型。张女士打开压缩文件时看到系统提示“该文件损坏”，当时并没有在意，重新回到购物网站上进行付款操作。蹊跷的是，500元钱却被打入了另一个陌生账户名下。 大家想一想，张女士的钱究竟去哪儿了？ 引导案例：关于安全的几个小例子 【案例二】你汇款了吗？ 2011年6月，云南的李先生在网上搜到一个冒牌的旅行网站，订了两张从云南到上海的机票。在该网站“客服”热情的咨询服务后，李先生听信对方的话，直接将2000元购票款汇到了对方的银行账户中，后来却被告知汇款系统已冻结，需要再次汇款才能解封，李先生于是又汇出2000元。可是最终李先生既没有得到机票，也没有收回票款，一共被骗4000元。 大家想一想，正规的支付网站和钓鱼网站有哪些区别呢？ 引导案例：关于安全的几个小例子 【案例三】天猫分期购 引导案例：关于安全的几个小例子 【案例四】各类投票 第4章 电子商务安全技术 4.1 电子商务安全的基本要求 基本安全问题举例 电子商务安全问题不仅仅是阻止或响应网络攻击和入侵。 例：如果某用户连入营销网站服务器以获得一些产品信息，而作为回报，用户被要求填写一张表单来提供一些统计资料和个人信息。在这种情况下，会产生哪些安全问题呢？ 从用户角度来看： 用户如何确定网络服务器的所有者和操作者是合法的公司呢？ 用户如何知道网页和表格不包含一些恶意或危险的代码与内容呢？ 用户如何知道网站服务器的拥有者不会将其提供的个人信息泄露给其他人呢？ 9.1 电子商务安全的基本要求 从公司角度来看： 公司如何知道用户不会试图闯入网络服务器或者修改网站网页和内容呢？ 公司如何知道用户不会试图干扰网站服务从而使得其他用户无法访问呢？ 从用户和公司双方面来看： 用户和公司如何知道网络连接中不会遭到第三方的在线窃听呢？ 用户和公司如何知道服务器和用户浏览器之间传递的信息不会在中途被修改呢？ 4.1 电子商务安全的基本要求 电子商务的安全问题 电子商务交易带来的安全威胁 电子商务的安全风险来源网络系统自身安全风险、信息传输风险、信用风险、管理风险、法律风险 电子商务安全的基本要求 认证性 保密性 完整性 不可否认性 其他安全要求：有效性、可用性、合法性 第4章 电子商务安全与管理 4.2 电子商务安全体系架构 电子商务安全体系框架 4.2 电子商务安全体系架构 电子商务安全交易体系 4.2 电子商务安全体系架构 电子商务安全交易体系 第4章 电子商务安全与管理 4.3 电子商务安全技术 交易方自身网络安全保障技术 用户账号管理和网络杀毒技术 防火墙技术 虚拟专网技术 入侵检测技术 电子商务信息传输安全保障技术 密码技术（加密技术） 数字签名（采用数字摘要技术） 身份和信息认证技术 身份认证 信息认证 认证机构认证 电子商务安全支付技术 SSL安全协议 SET安全协议 4.3.1 交易方自身网络安全保障技术 用户账号管理和网络杀毒技术 用户账号安全措施：技术层面：用户分组管理、单一登录密码制、用户认证；政策方面：划分用户级别、制定密码政策、职员安全教育。 网络杀毒（防病毒）技术：分布式杀毒技术：建立在集中式管理基础上；病毒源监控技术：将所有病毒堵截在网络入口处；数字免疫系统技术：自动进行病毒检测和分析，自动监视计算机和网络中的可疑行为；主动内核技术：已经开发出的各种网络防病毒手段，从源程序级嵌入到操作系统或网络系统内核中的技术。 4.3.1 交易方自身网络安全保障技术 防火墙技术 防火墙：由软件和硬件设备（计算机或路由器）组合而成，处于企业内部网和外部网之间，用于加强内外之间安全防范的一个或一组系统。网络级防火墙：主要是用来防止整个网络出现外来非法入侵。应用级防火墙：从应用程序来进行接入控制。通常使用应用网关或代理服务器来区分各种应用。例如，可以只允许通过访问万维网的应用，而阻止FTP应用的通过。 防火墙技术在网络安全防护方面存在的不足：不能防止内部攻击；不能防止未经过防火墙的攻击；不能取代杀毒软件 ；不易防止反弹端口木马攻击。 4.3.1 交易方自身网络安全保障技术 虚拟专网技术 虚拟专网：VPN，是指利用隧道技术把两个或多个专业网络通过公共网（通常指Internet）安全地连接到一起，组成虚拟的统一的专用网的技术。 功能：- 数据保密，利用加密算法处理传输信息，窃听者无法解密；- 信息验证，保证信息完整性和发送方的真实性；- 身份认证，只有容许的用户能够加入VPN；- 访问控制，不同用户不同访问权限。