004第四章：电子商务安全探究.pptx

第四章：电子商务安全 学习目的 通过本章的学习，了解电子商务面临的安全威胁、安全需求及安全保障；理解主要信息安全基本技术的原理及安全特性；掌握主要的电子商务安全协议流程及安全特性。 1 学些目的、重点、难点 学习重点 典型的电子商务安全协议 学习难点 信息安全技术原理 神秘的“黑客” 浙江有一家网络直销公司,经营电子商务，自2008年11月起就开始笼罩在一种恐慌,甚至恐惧的气氛里，人人心神不宁。公司财务在对账时发现网上货款丢失66126元；2008年12月2日，该公司账上又有2万多元人民币神秘丢失；2009年1月5日至6日，丢失人民币224734元。公安机关对此案经过初步调查,发现是有“黑客”入侵了该公司的电子商务系统。 后来,经过公安机关大半年的缜密侦查,犯罪嫌疑人终于落网了。根据犯罪嫌疑人的交代,其通过该公司电子商务系统的漏洞,彻底破解了整个系统,获得了系统源码,最后通过系统转账一次次地盗取该企业的资金。 2 开篇案例 3 电子商务安全的基本概念 信息安全 电子支付安全 信息化技术迅速普及为电子商务的迅猛发展提供了技术上的保障。然而，信息化技术自身存在脆弱性却也为电子商务的参与方带来了巨大的安全威胁。通过对电子商务基本流程的风险分析，其主要威胁包括以下情况： 灾难性事故 黑客攻击 恶意代码攻击 网络钓鱼 内部行为 4 一、电子商务安全的基本概念 1.1 电子商务的安全威胁 1.2 电子商务的安全需求 卖　方 买　方 银　行 系统可用 系统可用 系统可用 订单信息不被篡改 订单信息不被篡改 传输信息不被泄露、篡改 买方信息真实 卖方信息真实 系统数据不被篡改 发货后及时付款 提交订单后及时收货 系统数据严格授权访问 订单信息真实 付款安全 远程客户请求业务不被否认 系统严格授权访问 个人信息不被泄露 远程客户身份真实 交易中严格的责任认定及补偿 交易中严格的责任认定及补偿 交易中严格的责任认定及补偿 5 一、电子商务安全的基本概念 电子商务的安全来源于交易过程中各参与方的利益需求，分析电子商务的交易过程可以发现，其典型的参与方包括卖方、买方及银行，其基本安全需求如下表所示： 1.3 电子商务的安全保障 电子商务的安全保障是一个综合保障系统，需要采用综合防范的方法，从技术、管理、信用和法律等方面进行综合考虑，通过借鉴先进国家的经验，紧密结合我国的实际，逐步建立起行之有效的电子商务安全保障体系。 技术方面 管理方面 信用方面 法律方面 6 一、电子商务安全的基本概念 2.1 密码技术 密码技术是解决计算机与通信安全问题的重要技术之一。它实现了消息内容对除发送者和接受者之外的所有人保密。除此之外，密码系统也可提供对消息的鉴别性、完整性、不可否认性的验证。常用的密码的技术有以下几种： 对称密码体制 非对密码体制 综合密码技术—数字信封技术 7 二、信息安全 2.2 认证技术 认证也叫鉴别，用于确保一个信息的来源或消息本身被正确地标识，同时确保该标识没有被伪造。 认证技术是电子商务安全的一个主要实现技术。它很好地解决了身份认证、信息完整性、不可否认性及真实有效性。 主要的认证实现技术包括以下几种： 数字摘要 消息验证码 数字签名 数字时间戳 身份认证 数字证书 Kerberos规范 PKI安全体系 8 二、信息安全 2.3 访问控制技术 访问控制是在保障授权用户能够获取所需资源的同时拒绝非授权用户的安全机制。其基本工作原理是在用户身份认证和授权之后，访问控制机制将根据预设的规则对用户访问某种资源进行控制，只有规则允许的菜可以访问。 访问控制通常有三种策略：自主访问控制，强制访问控制，基于角色的访问控制。 9 二、信息安全 主体 参考监视器 鉴别与身份验证子系统 审计子系统 授权数据库 客体 2.4 VPN技术 VPN（Visual Private Net 虚拟专用网）是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网的安全、稳定的隧道。其与一般互联网的区别在于隧道的建立，数据包经过加密后，按隧道协议进行封装，确保安全性。 VPN据业务用途可分为三类：Access VPN，Intranet VPN 和Extranet VPN。 VPN的优点有：廉价的协同办公、广泛的支持、可信赖的安全性、保护内网机器 10 二、信息安全 2.5 防火墙技术 防火墙是设置在被保护网络和外部网络之间的一道屏障，防止发生不可预测的、潜在破坏性的侵入，确保内部网的安全和内网外的连通。 防火墙在技术上分为：包过滤（Packet filtering）防火墙、应用代理网关防火墙、状态检测防火墙、复合型防火墙。 防火墙的缺点有：无法防范不经过防火墙的攻击、无法防范病毒文件的传播、无法防止数据驱动式攻击、无法