第五讲电子商务的安全讲解.ppt

第五讲 电子商务的安全 由于非法入侵者的侵入，造成商务信息被篡改、盗窃或丢失； 商业机密在传输过程中被第三方获悉，甚至被恶意窃取、篡改和破坏； 虚假身份的交易对象及虚假订单、合同； 贸易对象的抵赖(如拒绝承认双方已商定的价格、数量、订单、合同，拒绝承认收到的货款或商品等)； 由于计算机、网络系统故障对交易过程和商业信息安全所造成的破坏。 1）身份的可认证性 身份的可认证性，又称鉴别服务，是对贸易双方的身份进行鉴别，为身份的真实性提供保证。 认证性一般是通过认证机构和证书来实现的。 2）信息的机密性 信息的机密性又称保密性，是指信息在产生、传送、处理和存贮过程中不泄露给非授权的个人或组织。 机密性一般是通过加密技术对信息进行加密处理来实现的。经过加密处理后的密文信息，即使被非授权者截取，也由于非授权者无法解密而不能了解其内容。 1) 包过滤防火墙 网络上传输的每个数据包头都会包含一些特定信息，如源地址、目标地址、所用的端口号和协议类型等标志。数据包过滤技术就是根据每个数据包头内的标志来确定是否允许该数据包通过防火墙，其中过滤的依据是系统内设置的过滤规则。 非对称加密算法实现机密信息交换的基本过程是：甲方生成一对密钥并将其中的一把作为公用密钥向其他方公开，得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方；甲方再用自己的私钥对加密后的信息进行解密。甲方只能用其专用密钥解密由其公用密钥加密后的任何信息。 Hash杂凑函数又叫散列函数。它是将任意长度的数字串M映射成一个较短的固定长度的数字串H，用H＝h(M)表示。 数字指纹是在原产品中嵌入与用户有关的信息，嵌入的内容对不同的购买者是不同的，当发行商发现侵权行为后，可根据嵌入的数字指纹来跟踪非法拷贝的源头，对盗版者进行指控，从而达到版权保护和威慑的作用。 认证中心（Certification Authority，简称CA）是基于Internet平台建立的一个公正的、有权威性的、独立的、受信赖的组织机构，主要负责数字证书的发行、管理以及认证等服务，以保证网上业务安全可靠地进行。 认证机制。SET要求所有参与交易各方均必须先申请数字证书以识别身份，而SSL只有商家的服务器需要认证，客户端的认证是可选择的。 设置成本。希望申请SET交易者除必须申请数字证书之外，还必须在计算机上安装符合SET规格的电子钱包软件，而SSL交易无需另外安装软件。 网络协议层次。SET协议位于应用层，对其他各层也有涉及。SET中规范了整个商务的活动流程。持卡人、商家、支付网关、结算中心、认证中心之间的信息流的加密、认证，SET协议都制定了严密的标淮；SSL是基于传输层的通用安全协议，它只占电子商务体系中的一部分，可以看作是对数据传输的那部分的技术规范。 安全性。SET的安全性比SSL高，SSL的安全范围只限于持卡人到商家的信息交换。 采用率。SET的成本较高，目前SSL的普及率较高。 政府应致力于营造良好的社会信用环境，强化对企业电子商务的信用监管，探索电子商务信用体系的相关立法，积极开展对电子商务企业，包括电子商务平台服务商、信息服务类网站、电子商务交易商等的征信和评级工作，制定和实施电子商务企业信用标识证制度等 。 (1) 构建网上信用评估模型。企业信用部门在电子商务交易之前，首先应评估客户信用，可以根据客户的财务报表进行评估，或开发出适合本行业特点和本企业特征的信用评估系统。 (2) 加强网上客户档案管理。企业应对赊销客户的档案进行定期审查，根据客户信用信息的变化，及时调整信用额度。 (3) 建立合理的应收账款回收机制。企业内部的信用部门负责追收账款，采取多种方式（如定期追收、外部力量、法律手段等）以防止坏账。 (1) 加快信用服务体系建设。建立科学、合理、权威、公正的信用服务机构；建立健全相关部门信用信息资源的共享机制，建设在线信用信息服务平台，实现信用数据的动态采集、处理、交换；严格信用监督和失信惩戒机制，逐步形成既符合中国国情又与国际接轨的信用服务体系。 (2) 建立并完善电子商务国家标准规范体系。提高标准化意识，充分调动各方面积极性，抓紧研究制订电子商务的标准规范体系；在互联互通、促进流通方面，积极采用国际标准；鼓励企业为主体，联合高校和其他科研机构研究制订电子商务关键标准和规范，参与国际标准制订，大力推进电子商务标准化进程。 (3) 加快建立统一的电子商务信用体系平台。建立社会信用制度和电子商务市场信用体系平台，规范