电商概论 c4 电子商务安全.ppt

第四章 电子商务安全 本章的主要内容： ●第一节 电子商务安全概述 ●第二节 加密技术 ●第三节 认证技术 ●第四节 电子商务安全交易协议 本章要点 1. 电子商务的安全威胁 2. 电子商务的安全需求 3. 电子商务安全保障体系 4. 加密技术 5. 认证技术 6. 数字签名原理 7. 电子商务安全交易协议 电子商务安全从整体上分为两大部分：计算机网络安全和商务交易安全。 前者：计算机网络的设备、系统、数据库的安全。 后者：在前者的基础上实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。 第一节 电子商务安全概述 ● 一、 电子商务的安全威胁 ● 二、 电子商务的安全性需求 ● 三、 电子商务安全的保障体系 一、电子商务的安全威胁 1.信息传输风险 是指进行网上交易时，因传输的信息失真或者信息被非法窃取、篡改和丢失，而导致网上交易的不必要损失。 （1）冒名偷窃 （2）篡改数据 （3）信息丢失 （4）信息传递过程中的破坏 （5）虚假信息 一、电子商务的安全威胁 2．信用风险 主要来自三个方面： 第一，来自买方的信用风险。对于个人消费者来说，可能在网络上使用信用卡进行支付时恶意透支，或使用伪造的信用卡骗取卖方的货物；对于集团来说，存在拖延货款的可能，卖方需要为此承担风险。 第二，来自卖方的信用风险。卖方不能按质、按量、按时寄送消费者购买的货物，或者不能完全履行与集团签订的购买合同，造成买方的风险。 第三，买卖双方都存在抵赖的情况。 一、电子商务的安全威胁 3．管理方面的风险 首先，在网络商品中介交易的过程中，客户进入交易中心，买卖双方签订合同，交易中心不仅要监督买方按时付款，还要监督卖方按时提供符合合同要求的货物。在这些环节上都存在大量的管理风险。 其次，人员管理常常是网上交易安全管理上的最薄弱的环节，计算机犯罪大都呈现内部犯罪。 第三，网络交易技术管理的漏洞也带来较大的交易风险。如一些匿名的FTP，允许telnet登陆无口令用户的系统。 一、电子商务的安全威胁 4.法律方面的风险 一方面，在网上交易可能会承担由于法律滞后而无法保证合法交易的权益造成的风险。 另一方面，在网上交易可能承担由于法律的事后完善所带来的风险。 二、电子商务的安全性需求 在电子商务过程中，买卖双方是通过网络来联系的，因而建立交易双方的安全和信任关系相当困难。电子商务交易双方(销售者和消费者)都面临不同的安全威胁。 1．销售者面临的安全威胁主要有： 　（1）中央系统安全性被破坏：入侵者假冒成合法用户来改变用户数据(如商品送达地方)、解 除用户订单或生成虚假订单。 　（2）竞争者检索商品递送状况：恶意竞争者以他人的名义来订购商品，从而了解有关商品的 递送状况及货物和库存情况。 　（3）客户资料被竞争者获悉。 　　 （4）被他人假冒而损害公司的信誉：不诚实的人建立与销售者服务器名字相同的另一个WWW服 务器来假冒销售者。 （5）消费者提交订单后不付款。 （6）虚假订单。 （7）获取他人的机密数据：比如，某人想要了解另一人在销售商处的信誉时，他以另一人的 名字向销售商订购昂贵的商品，然后观察销售商的行动。假如销售商认可该定单，则说明被 观察的信誉高，否则，则说明被观察者的信誉不高。 2．消费者面临的安全威胁主要有： 　　 （1）虚假订单：假冒者以客户的名字来订购商品，而且有可能收到商品，而客户却被要求付款或返还商品。 　　 （2）付款后不能收到商品：在要求客户付款后，销售商中的内部人员不将定单和钱转发给执 行部门，因而使客户不能收到商品。 　　 （3）机密性丧失：客户可能将秘密的个人数据或自己的身份数据(如PIN、口令等)发送给冒充 销售商的机构，这些信息也可能会在传递过程中被窃听。 　　 （4）拒绝服务：攻击者可能向销售商的服务器发送大量的虚假定单来穷竭它的资源，从而使 合法用户不能得到正常的服务。 “黑客”们攻击电子商务系统的手段有以下几种： 　　 一是中断(攻击系统的可用性)：破坏系统中的硬件、硬盘、线路、文件系统等，使系统不能 正常工作。 　　 二是窃听(攻击系统的机密性)：通过搭线和电磁泄漏等手段造成泄密，或对业务流量进行分 析，获取有用情报。 　　 三是窜改(攻击系统的完整性)：窜改系统中数据内容，修正消息次序、时间(延时和重放)。 　　 四是伪造(攻击系统的真实性)：将伪造的假消息注入系统、假冒合法人接入系统、重放截获 的合法消息实现非法目的，否认消息的接收