第十四节 电子商务安全.ppt

第十四章 电子商务安全 周 伟 博士 主要内容 电子商务的安全问题 防火墙技术 数据加密技术 数据完整性技术 认证技术 安全协议机制 电子商务的安全问题 电子商务面临的安全挑战 电子商务的安全需求 电子商务的安全措施 电子商务面临的安全挑战 系统故障 网络故障、操作错误、应用程序错误、硬件故障、系统软件错误以及计算机病毒都能导致电子商务系统不能正常工作。因而要对此所产生潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。 信息被截获 电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家部门的商业机密。电子商务是建立在一个较为开放的网络环境上的，维护商业机密是电子商务全面失推广应用重要保障。因此，要预防通过搭线和电磁泄露等手段造成信息泄露，或对业务流量进行分析，从而获取有价值的商业情报等一切损害系统机密性的行为。 信息被篡改 电子商务通过对贸易过程的标准化，使之大多成为自动化与网络化的，从而减少了人为因素的干预，同时也带来维护贸易各方商业信息如电子支票的完整、统一问题。数据传输过程中信息丢失、信息重复或信息传送的次序差异也会影响贸易各方的交易和经营策略，保持贸易各方信息的完整性是电子商务应用的基础。信息被篡改的主要方式有：改变信息次序、内容；删除部分信息；插入额外信息，使接受方无法接受正确信息等方式。 电子商务面临的安全挑战 伪造信息 电子商务可能直接关系到贸易双方的商业交易，如何确定网上的远程交易方正是所期望的贸易方，即有效身份认证，这一问题则是保证电子商务顺利进行的关键。伪造信息有以下几种方式：虚假网站；伪造用户；假冒交易方进行交易等等。 对交易行为的抵赖 当贸易一方发现交易行为对自己不利时，或当利益刺激到一定程度时，就有可能否认电子交易行为。因此，要求网上交易系统具备审查能力，以使交易的任何一方不能抵赖已经发生的交易行为。 电子商务的安全需求 身份的真实性。 信息的完整性，即保证相关电子商务信息不被篡改。 信息的保密性。 不可抵赖性。 系统的可靠性。 电子商务的安全措施 电子商务业务流程中涉及各方身份的认证。如建立第三方公正的认证机构、使用X.509数字签名和数字证书实现对交易各方的认证，证实其身份的合法性、真实性。 电子商务相关数据流内容的保密性。使用相关的加密算法对电子商务流数据进行加密，以防止未被授权的非法第三者获取消息的真正含义。如采用DES私有密钥加密、RSA公开密钥加密、数字信封等保密手段。 电子商务的安全措施 电子商务数据流内容的完整性。如使用数字指纹（即数字摘要）算法以确认电子商务流信息如电子合同的完整性。 保证对电子商务行为和内容的不可否认性。当交易双方因电子商务出现异议、纠纷时，采服某种技术手段提供足够充分的证据来迅速辨别纠纷中的是非。例如采用数字签名、数字指纹、数字时间戳等技术并配合认证机构来实现其不可否认性。 电子商务的安全措施 处理多方贸易业务中的多边安全认证问题。这种多边安全认证的关系可以通过双重数字签名等技术来实现，如SET安全支付机制。 电子商务系统中应用软件、支撑的网络平台的正常运行。保证电子商务专有应用软件的可靠运行，支撑网络平台的畅通无阻和正常运行，防止网络病毒和黑客的攻击，防止商务处理的故意延缓，防止网络通道的故意堵塞等是实现安全电子商务的基础。例如采用网络防火墙技术、用户与资源分级控制管理机制、网络通道流量监控软件、网络防病毒软件等方法。 电子商务的安全措施 政府支持相关管理机构的建立和电子商务法律的制定。建立第三方的公正管理和认证机构，并尽快完成相关电子商务的法律制定，利用法律来保证电子商务的安全进行。 防火墙技术 网络平台系统的构成及其主要安全威胁 网络系统的安全措施 防火墙（Firewall）技术 系统的构成及安全威胁 系统的构成及安全威胁 网络堵塞 破坏客户的即需电子商务服务如网络支付，截断相关信息的流动，如切断通信线路、毁坏硬件、病毒瘫痪软件系统、冗余信息堵塞支付网关通道等。 信息伪造 伪造客户或商家的相关信息，假冒身份以骗取财物。 系统构成及安全威胁 信息篡改： 为达到某种目的对相关商务信息如电子合同进行非经许可的篡改。 非法介入 利用特殊软件工具提取Internet上通信的数据，以期破解信息；或对信息的流动情况进行分析，如信息传送的方向、发送地点等，得到间接情报，为其他目的服务；或非法进入系统或数据库，进行破坏、拷贝等。 网络系统的安全措施 保护网络安全 保护应用的安全 保护系统安全 防火墙（Firewall）技术