第4章电子商务安全技术.pptVIP

第四章 电子商务安全技术 本章介绍电子商务系统安全的概念、基本要求、常用的安全技术以及主要的安全标准 内容提要 4.1电子商务的安全概念 4.2加密学基础 4.3电子商务安全协议技术 4.4电子商务的安全框架 4.1电子商务的安全概念 电子商务的安全威胁 电子商务的安全需求 电子商务安全技术 电子商务的安全威胁 电脑犯罪: 50个国家有信息恐怖组织,计算机 犯罪增长率152%,银行抢劫案件 减少，英国网络解密专家小组,美 国第三方密钥管理,……… 巨大损失: 66万美元/每次计算机犯罪, 26美 元/每次抢劫，国防，银行，证券 网络战争: 中美网络之战 电子商务安全 网络面临的不安全因素越来越多 向CERT(计算机紧急反应组，最早由卡内基.梅隆大学建议成立)报告的计算机攻击事件 电子商务安全 攻击方式越来越多 美国CSI(计算机安全局)2000年报告： 11%金融诈骗； 17％的数据或者网络破坏 20％的专有数据盗窃 25％的外部入侵 27％的拒绝服务 71%的内部人员未经授权访问 85％的病毒攻击 电子商务安全 1、攻击手段越来越平民化，技术要求越来越低 原因：广泛传播的免费入侵工具和代码 2、安全性和易用性之间的矛盾 3、安全性受到的市场压力（软件开发商只注意产品特性而忽视安全特性） 4、安全的系统问题：各个环节都可以是被攻击的对象 电子商务安全 常见的安全问题： 常见的安全问题： 1）电子伪装（换IP） 电子伪装是指某人装成他人或者将某个网站 最优秀的虚拟浏览器：捍卫绝对隐私!.htm 电子商务安全 2）垃圾邮件： 垃圾邮件小知识： 英文又称为：Spam。Spam 是美国的一种肉质罐头，由Hormel公司生产。而作为垃圾代名词的来源是Monty Python 的著名的歌曲 spam-loving vikings sketch。1994年12月开始指代垃圾邮件。（新世纪国庆：美国食品节，SPARM） 垃圾邮件就是那些你并不希望收到，并且你也没有订阅过，但却被人利用电子邮件的特点强行塞入你的邮箱的商业广告，产品介绍，发财之道等内容的电子邮件。垃圾邮件一次发给很多人，在Internet上同时传送很多副本。通常归为两类：强行塞入的商业邮件和大体积邮件炸弹。 电子商务安全 电子商务安全 利用垃圾邮件（未经证实，PCONLINE 2003.01.13报道）： 03年，美国媒体报道，美国政府利用垃圾邮件狂轰乱炸伊拉克政府官员的邮箱，要求他们提供信息给联合国特别小组哪里隐藏有大规模杀伤性武器，以及采取行动保护自己的家人云云。 搞笑：是美国很多的私人网站纷纷发表声明表示愿意提供反垃圾邮件的技术支援，如果伊拉克官方向他们寻求帮助的话 电子商务安全 3）拒绝访问－人海战术 起因：2001.4.1海南撞机事件：4月1日上午，美国一架军用侦察机在中国海南岛东南海域上空活动时，撞毁中方对其进行跟踪监视的一架军用飞机。事发后，美机未经中方允许，擅自侵入中国领空，并降落在海南陵水军用机场 2002年中美黑客战争.doc 电子商务安全 电子商务需要考虑的基本安全问题 对于用户： 如何确保该网站服务器是由合法公司拥有并运作 用户如何才能知道网页中的表格和内容不包含恶意代码或者危险内容 用户如何才能知道自己提供的信息不被提供给别的机构和人员 对于公司： 如何才能知道用户不会入侵服务器并更改内容 如何才能知道在服务器和浏览器传递过程中不被更改 电子商务安全 其他安全问题： 认证：登陆到一个网站如何确保它不是假的，收到一封邮件如何确保是署名者发出的。 授权：某人或者某程序经过认证后是否有权访问相应的资源或者特定数据 审查：当个人、程序访问网站、数据库时，其相关信息是否已经记录到日志中。审查可以帮助管理人员追踪特定的操作。 完整性：数据受到保护，而不会在传输、存储过程中被偶然破坏或者有意变更。 可获得性：授权用户可以顺利的访问需要的资源 防抵赖：需要签名 电子商务法律环境 1、我国电子商务的主要法规问题 ※电子商务操作规范 1）电子合同成立的形式及效力 2）数字签字、认证及公共钥匙设施 3）电子支付 4）电子邮件广告 5）电子商务特定区域 电子商务法律环境 ※电子商务的安全法规 1）用户隐私权 2）加密和解密系统 3）安全性认证 4）计算机犯罪 ※信息基础设施和市场准入法规 1）电信市场的有效竞争 2）政府与服务商的角色 3）三网融合 电子商务法律环境 ※电子商务中的知识产权保护 1）网上著作权 2）网上商标的保护 ※司法管辖及法律