电子商务安全-第1章.pptVIP

电子商务安全 主编：肖德琴 2009/1/18 主 要 内 容 第1章 电子商务安全概述 第2章 电子商务加密技术 第3章 电子商务签名技术 第4章 电子商务认证技术 第5章 电子商务安全协议 第6章 电子商务网络安全 第7章 电子商务管理安全 第8章 电子商务基础设施 第9章 移动商务安全 第10章 行业商务安全 第11章 电子商务安全标准与法规 第1章 电子商务安全概述 1.1电子商务面临的安全威胁 1.2电子商务面临的主要攻击 1.3电子商务安全内涵 1.4电子商务安全体系 1.1电子商务面临的安全威胁 电子商务（Electronic Commerce）是指政府、企业和个人利用现代电子计算机与网络技术实现商业交换和行政管理的全过程，是一种基于互联网，以交易双方为主体，以银行电子支付和结算为手段，以客户数据为依托的全新商务模式。 安全威胁可分为如下几类：信息截获和窃取、信息篡改、信息假冒、交易抵赖 1.1.1电子商务消费者面临的安全威胁 在电子商务活动中，消费者面临的威胁有： （1）虚假订单。一个假冒者可能会以客户的名字来订购商品，而且有可能收到商品，而此时客户却被要求付款或返还商品。 （2）付款后不能收到商品。在要求客户付款后，销售商中的内部人员不将订单和钱转发给执行部门，因而使客户不能收到商品 （3）机密性丧失。客户有可能将秘密的个人数据或自己的身份数据（如PIN，口令等）发送给冒充销售商的机构，这些信息也可能会在传递过程中被窃听。 （4）拒绝服务。攻击者可能向销售商的服务器发送大量的虚假定单来挤占它的资源，从而使合法用户不能得到正常的服务。 （5）电子货币丢失。可能是物理破坏，或者被偷窃，这通常会给用户带来不可挽回的损失。 1.1.2电子商务商家面临的安全威胁 除普通的安全威胁外，电子商务服务器通常还面临如下一些特殊的安全威胁： （1）系统中心安全性被破坏。入侵者假冒成合法用户来改变用户数据（如商品送达地址）、解除用户订单或生成虚假订单等。 （2）竞争者威胁。恶意竞争者以他人的名义来订购商品，从而了解有关商品的递送状况和货物的库存情况。 （3）商业机密安全。客户资料被竞争者获悉。 （4）假冒威胁。不诚实的人建立与销售者服务器名字相同的另一个www服务器来假冒销售者；虚假订单；获取他人的机密数据，比如，某人想要了解另一人在销售商处的信誉时，他以另一人的名字向销售商订购昂贵的商品，然后观察销售商的行动，假如销售商认可该定单，则说明彼观察者的信誉高，否则，则说明被观察者的信誉不高。 （5）信用威胁。买方提交订单后不付款。 1.2电子商务面临的主要攻击 威胁电子商务安全的主要人员有黑客、攻击者、非法使用者与过失者。电子商务交易双方面临的威胁看来，攻击方法主要有四种： ①检查单IP包（包括TCP、UDP）首部即可发觉的攻击，如winnuke、ping of death、land.c、部分OS detection、source routing等； ②检查单IP包，但同时要检查数据段信息才能发觉的攻击，如利用CGI漏洞，缓存溢出攻击等； ③通过检测发生频率才能发觉的攻击，如端口扫描、SYN Flood、smurf攻击等； ④利用分片进行的攻击，如teadrop，nestea，jolt等。 1.2电子商务面临的主要攻击 攻击电子商务系统的手段可以大致也有四种： （1）中断。攻击系统的可用性，破坏系统中的硬件、硬盘、线路、文件系统等，使系统不能正常工作。 （2）窃听。攻击系统的机密性，通过搭线和电磁泄漏等手段造成信息泄密，或对业务流量进行分析，获取有用情报。 （3）篡改。攻击系统的完整性，篡改系统中数据内容，修正消息次序、时间。 （4）伪造。攻击系统的认证性，将伪造的假消息注入系统、假冒合法人接入系统、重放截获合法消息实现非法目的，否认消息的接收或发送等。 1.3电子商务安全内涵 电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。 计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。 商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障以电子交易和电子支付为核心的电子商务过程的顺利进行。 计算机网络安全与商务交易安全实际上是密不可分的，两者相辅相成，缺一不可。 1.3电子商务安全内涵 从安全等级来说，从下至上有计算机密码安全、局域网安全、互联网安全和信息安全之分，而电子商务安全属于信息安全的范畴，涉及到信息的机密性、完整性、认证性等方面。同时，电子商务安全又有它自身的特殊性，即以电子交易安全和电子支付安全为核心，有更复杂的机密