第4章电子商务安全解析.pptVIP

第4章 电子商务安全技术 4.1 电子商务安全概述 4.2 计算机网络安全技术 4.3加密技术 4.4安全认证技术 学习目标: 1）了解电子商务对安全的基本需求。 2）理解防火墙的功能与技术。 3）掌握数据加密原理与技术。 4）掌握电子商务的基本认证技术。 5）了解数字证书的申请过程。 6）理解SSL和SET的工作原理。 4.1.1 电子商务安全的内容 重点(1)计算机网络安全：计算机网络设备安全、计算机网络系统安全、数据库安全等。 (2)商务交易安全：实现电子商务信息的保密性、完整性、认证性和不可否认性。 4.1 电子商务安全概述 计算机网络安全与商务交易安全实际上是密不可分的，两者相辅相成，缺一不可。没有计算机网络安全作为基础，商务交易安全就犹如空中楼阁，无从谈起。没有商务交易安全保障，即使计算机网络本身再安全，仍然无法达到电子商务所特有的安全要求. 电子商务安全模型图 4.1 电子商务安全概述 4.1.2电子商务主要的安全要素 (1)保密性：保证数据在公共因特网上传输的过程中不被第三方监视和窃取。 重点4.1 电子商务安全概述 (2)完整性 ：保证数据公共因特网上传输的数据不被篡改。 (3)身份认证性：EC活动中，交易的双方或多方常常需要交换一些敏感信息，这就要确认对方的帐号是否真实有效。 (4)交易的不可抵赖性 ：EC交易的各方在进行数据传输时，必须带有自身特有的、无法被别人复制的信息，以防发送方否认和抵赖曾经发送过该信息，确保交易发生纠纷时有所对证 (5) 系统的可靠性:z是指防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失效或失误。保证存储在介质上的信息的正确性。 4.1.3电子商务的安全管理 1．保密制度 绝密级：网址、密码不在因特网上公开，只限高层管理人员掌握 机密级：只限公司中层管理人员以上使用 秘密级：在因特网上公开，供消费者浏览，但必须防止黑客侵入 2．网络系统的日常维护制度 （1）硬件的日常管理和维护 （2）软件的日常维护和管理 （3）数据备份制度。 （4）用户管理 3．病毒防范制度 （1）给电脑安装防病毒软件 （2）不打开陌生电子邮件 （3）认真执行病毒定期清理制度 （4）控制权限 （5）高度警惕网络陷阱 4.1.4 电子商务中存在的安全隐患 一、企业内部计算机系统的安全隐患： (1)系统硬件、软件出现故障； (2)意外事故对系统的破坏； (3)外来病毒攻击计算机系统； (4)没有好的备份系统导致数据丢失； (5)业务人员的误操作； (6)人为蓄意破坏。 重点三、电子商务交易中的安全隐患 (1)信息截获和窃取 (2)信息篡改：篡改，删除，插入 (3)信息假冒：虚开网站和商店，伪造用户，假冒他人身份。 (4）非法侵入 (5)交易的抵赖 重点 二、Internet的开放性带来的安全隐患： (1)外部非法用户潜入系统进行破坏； (2)网络病毒的攻击； (3)互联网本身固有风险的影响。 重点（1）中断：是指系统资源遭到破坏或不能合用。 [这是可用性的攻击。] 4.1.5计算机网络的安全攻击的种类 （2）截取：是指未授权的实体得到了资源的访问权 [这是对保密性的攻击。] （3）修改：是指未授权的实体不仅得到了访问权， 而且还窜改了资源。[这是对完整性的攻击] （4）捏造：是指未授权的实体向系统中插入伪造的 对象。[这是对真实性的攻击。] 网络侵袭者的主要种类 间谍（商业间谍及其他间谍）。 盗窃犯。 破坏者。 寻求刺激者。 “记录”追求者。 低级失误和偶然事件。 重点电子商务中的安全措施包括有下述几类： （1）保证交易双方身份的真实性：常用的处理技术是身份认证，依赖某个可信赖的机构（CA认证中心）发放证书，并以此识别对方。目的是保证身份的精确性，分辨参与者身份的真伪，防止伪装攻击。 （2）保证信息的保密性：保护信息不被泄露或被披露给未经授权的人或组织，常用的处理技术是数据加密和解密，其安全性依赖于使用的算法和密钥长度。常见的加密方法有对称式密钥加密技术（如DES算法）和公开密钥加密技术（如RSA算法）。 （3）保证信息的完整性：常用数据杂凑等技术来实现。通过散列算法来保护数据不被未授权者（非法用户）建立、嵌入、删除、篡改、重放。典型的散列算法为美国国家安全局开发的单向散列算法之一。 4.1.6 电子商务安全措施 （4）保证信息的真实性：常用的处理手段是数字签名技术。目的是为了解决通信双方相互之间可能的欺诈，如发送用户对他所发送信息的否认、接收用户对他已收到信息的否认等，而不是对付未知的攻击者，其基础是公开密钥加密技术。目前，可用的数字签名算法较多，如RSA数字签名、ELGamal数字签名等。