第九章电子商务的安全性.ppt

计算机网络安全 第九章 电子商务的安全性 电子商务的安全需求 电子商务的SSL、SET协议 基于SSL协议Web服务器构建 浦发银行移动证书的申请与WPKI技术 第九章 电子商务的安全性 9.1 电子商务的安全需求 9.1.1 电子商务安全的概念 随着因特网的飞速发展与广泛应用，电子商务的应用前景变得越来越诱人，同时它的安全问题也变得日益严重。 电子商务的核心是通过信息网络技术来传递商业信息和进行网络交易，电子商务系统是一个计算机系统，其安全性是一个系统的概念，不仅与计算机系统结构有关，还与电子商务应用的环境、人员素质和社会因素有关。 9.1.1 电子商务安全的概念 1) 电子商务系统硬件(物理)安全 指保护计算机系统硬件的安全，包括计算机的电器特性、防电防磁以及计算机网络设备的安全，受到物理保护而免于破坏、丢失等，保证其自身的可靠性和为系统提供基本安全机制。 2) 电子商务系统软件安全 指保护软件和数据不被篡改、破坏和非法复制。主要是使系统中信息的存取、处理和传输满足系统安全策略的要求。软件安全可分为操作系统安全、数据库安全、网络软件安全、通信软件安全和应用软件安全。 9.1.1 电子商务安全的概念 3) 电子商务系统运行安全 指保护系统能连续正常地运行。 4) 电子商务交易安全 是为了保障电子商务交易的顺利进行，实现电子商务交易的私有性、完整性、可鉴别性和不可否认性等。 5) 电子商务安全立法 是对电子商务犯罪的约束，利用国家机器，通过安全立法，体现与犯罪斗争的国家意志。 9.1.2 电子商务的安全问题 电子商务的交易双方都面临着安全威胁。 企业面临的安全威胁主要包括：黑客破坏电子商务系统的安全体制，通过假冒合法用户来修改用户数据(例如用户订单)；恶意的竞争者通过各种非法的手段，获得企业的商业机密(例如客户资料)，或是以他人的名义来订购商品，刺探企业的商品信息(例如库存状况)；消费者在提交商品订单后，拒不付款或否认曾订购过该商品；黑客通过建立与企业站点相同的虚假站点，获取消费者的机密数据(例如信用卡号)。 9.1.2 电子商务的安全问题 消费者面临的安全威胁主要包括：假冒者以消费者的名义来购买商品，而消费者被要求付款或是返还商品；消费者的机密数据(例如信用卡号)被发送给假冒的销售者，或是数据在传输的过程中被窃听；销售商中的内部人员截留订单或货款，致使消费者在付款后没有得到商品；黑客向商家的服务器发送大量虚假订单占用资源，致使合法的用户无法得到正常的服务。 9.1.2 电子商务的安全问题 电子商务的安全性是实施中的技术难点，解决这些问题的关键是要保障数据安全。电子商务的安全性主要包括以下几个方面： 1、系统的可靠性 2、交易的真实性 3、数据的安全性 4、数据的完整性 5、交易的不可抵赖性。 9.1.2 电子商务的安全问题 1) 系统的可靠性 系统的可靠性就是电子商务系统的可靠性，它是指为防止计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒与自然灾害等所产生的潜在威胁，通过控制与预防等来确保系统安全可靠。 电子商务系统的安全是保证数据传输与存储，以及进行电子商务完整性检查的基础。系统的可靠性可以通过网络安全技术来实现。 9.1.2 电子商务的安全问题 2) 交易的真实性 交易的真实性是指商务活动中交易者身份的真实性，也就是要确定交易双方是真实存在的。交易可以完成的前提条件是互相信任，确认对方的身份是否可信。 身份认证通常采用公钥加密技术、数字签名技术、数字证书技术来实现。 9.1.2 电子商务的安全问题 3) 数据的安全性 指在交易过程中数据传输的安全性，要保证信息不会泄露给非授权的人或实体。电子商务建立在一个较为开放的环境中，商业保密成为电子商务全面推广的重要障碍。因此，要保证信息在传输过程中不被非法窃取，确保只有合法用户才能看到数据。 数据传输安全性的保护通过数据加密技术来实现。 9.1.2 电子商务的安全问题 4) 数据的完整性 指要求数据在传输或存储过程中不会受到非法修改、删除或重放，要确保信息的顺序完整性和内容完整性。由于数据输入时的意外差错或欺诈行为，以及数据传输过程中信息丢失、重复或传送的次序差异，都有可能导致贸易各方收到的信息不一致。信息的完整性将影响到贸易各方的交易与经营策略。 数据完整性的保护通过安全散列函数与数字签名技术来实现。 9.1.2 电子商务的安全问题 5) 交易的不可抵赖性 用来保证收、发双方不能对已发送或接收的信息予以否认。 不可抵赖性包括： 源点不可抵赖，使信息发送者事后无法否认发送了信息。 接收不可抵赖，使信息收方无法抵赖接收到了信息。 回执不可抵赖，使发送责任回执的各个环节均无法推卸其应负的责任。 9.1.2 电子商务的安全