第7章电子商务的安全2.ppt

邢台职业技术学院计算机网络教研室 * 第7章 电子商务的安全 电子商务的核心问题是交易的安全性，这是网上交易的基础，也是电子商务技术的难点。近年来，已采用和制定了一系列的方法来解决网上交易的安全性问题。本章主要讲述如下内容： 电子商务的安全问题 电子商务的安全管理 电子商务的安全管理方法 防止非法入侵的技术措施 常用的安全电子交易手段 * 案例1 加拿大12岁男童协助黑客攻陷加政府网站 新华网10月28日电 据美国科技博客Gizmodo报道，一名年仅12岁的男童在2012年加拿大魁北克的一次学生抗议活动中，帮助黑客组织“匿名者”对部分加拿大的政府网站进行了DDoS攻击。 据报道，该名男童在11岁时成功获取了包括蒙特利尔警察局、魁北克公共卫生研究院及魁北克国民议会网站的管理员凭据，并将其转交给黑客组织“匿名者”。随后，该男童获得了一批电脑游戏作为“酬劳”。 据当地法院透露，参与此次DDoS攻击的其他黑客已经被捕，该名男童提供给黑客组织的信息为DDoS攻击提供了便利。这名5年级学生将于下个月被法庭宣判。? * 7.1电子商务的安全问题 7.1.1电子商务交易带来的安全威胁 在传统交易过程中，买卖双方是面对面的，因此很容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中，买卖双方是通过网络来联系的，而且彼此远隔千山万水。由于因特网既不安全，也不可信，因而建立交易双方的安全和信任关系相当困难。电子商务交易双方(销售者和购买者)都面临不同的安全威胁。 1．销售者面临威胁 2．购买者面临威胁 * 7.1电子商务的安全问题 7.1.2电子商务的安全风险来源 从整个电子商务系统着手分析，可以将电子商务的安全问题，归类为下面五类风险，即信息传输风险、信用风险、管理风险、法律方面风险以及网络系统自身的安全风险。 1．信息传输风险 信息传输风险是指进行网上交易时，因传输的信息失真或者信息被非法窃取、篡改和丢失，而 导致网上交易的不必要损失。从技术上看，网上交易的信息传输风险主要来自冒名偷窃、篡改数据、信息丢失、信息传递过程中的破坏、 虚假信息等五个方面。 2．信用风险 信用风险主要包括来自买方的信用风险、来自卖方的信用风险以及买卖双方都存在抵赖的情况等三个方面 。 * 7.1电子商务的安全问题 3．管理方面的风险 网上交易管理风险是指由于交易流程管理、人员管理、交易技术管理的不完善所带来的风险。 4．法律方面的风险 一方面，在网上交易可能会承担由于法律滞后而无法保证合法交易的权益所造成的风险，如通过网络达成交易合同，可能因为法律条文还没有承认数字化合同的法律效力而面临失去法律保护的危险。另一方面，在网上交易可能承担由于法律的事后完善所带来的风险，即在原来法律条文没有明确规定下而进行的网上交易，在后来颁布新的法律条文下属于违法经营所造成的损失。 5. 网络系统自身的安全风险 物理实体的安全风险、计算机软件系统风险、黑客的恶意攻击等。 * 7.2 电子商务安全技术 7.2.1 客户认证技术 7.2.2 信息传输安全保障技术 7.2.3 交易方自身网络安全保障技术 7.2.4 电子商务支付安全技术 * 7.2 电子商务安全技术 7.2.1客户认证技术 客户认证(Client Authentication，CA)是基于用户的客户端主机IP地址的一种认证机制，它允许系统管理员为具有某一特定IP地址的授权用户定制访问权限。CA与IP地址相关，对访问的协议不做直接的限制。服务器和客户端无需增加、修改任何软件。系统管理员可以决定对每个用户的授权、允许访问的服务器资源、应用程序、访问时间以及允许建立的会话次数等等。 * 7.2 电子商务安全技术 1．身份认证 身份认证就是在交易过程中判明和确认贸易双方的真实身份，这是目前网上交易过程中最薄弱的环节。认证机构或信息服务商应当提供可信性、完整性、不可抵赖性、访问控制等认证功能。 一般来说，用户身份认证可通过三种基本方式或其组合方式来实现：①用户所知道的某个秘密信息，例如用户知道自己的口令。②用户所持有的某个秘密信息(硬件)，即用户必须持有合法的随身携带的物理介质，例如智能卡中存储用户的个人化参数，以及访问系统资源时必须要有的智能卡。③用户所具有的某些生物学特征，如指纹、声音、DNA图案、视网膜扫描等等。 * 7.2 电子商务安全技术 2．信息认证 信息认证是对网络传输过程中信息的保密性提出保证，能够做到如下几点：①对敏感的文件进行加密，这样即使别人截获文件也无法得到其内容。②保证数据的完整性，防止截获人在文件中加入其他信息。③对数据和信息的来源进行验证，以确保发信