电子商务安全技术要领.ppt

电 子 商 务 4 电子商务安全技术 4、电子商务安全技术 4.1 电子商务安全的基本概念 4.2 防火墙 4.3 加密与验证 4.4 数字证书 4.5 常用的电子商务安全协议 4.6 安全管理制度 4、电子商务安全技术 了解电子商务安全中的常见问题及对策； 掌握电子商务安全的主要技术，防火墙、加密和验证、数字证书； 了解电子商务安全协议，SSL和SET的比较； 4.1 电子商务安全的基本概念 电子商务安全现状 以前：初级电子商务，电子商务系统因为还没有与内部网连接，也就没有涉及太多安全问题 现在： Web站点与公司内部网和后端数据库系统相连接。 4.1 电子商务安全的基本概念 电子商务安全现状 2000年2月8日到10日，一伙神通广大的神秘黑客在三天的时间里接连袭击了互联网上包括雅虎、美国有限新闻等在内的五个最热门的网站，导致世界五大网站连连瘫痪。 2003年2月，电脑“黑客” 攻入一个专门为商店和银行处理信用卡交易的服务器系统，窃取了万事达、维萨等信用卡组织的约800万张信用卡资料。 2005年6月，由于信息安全漏洞，为万事达、维萨和美国运通卡等主要信用卡服务的一个数据处理中心网络被黑客程序侵入。恶意黑客窃取了美国约４０００万信用卡账户的资料。 2009年8月，美国惊现最大信用卡信息盗窃案，1.3亿张卡被盗。三名黑客从网络支付系统，哈纳福兄弟连锁超市和7-11便利店偷取了大量客户银行卡信息。 4.1 电子商务安全的基本概念 常见的攻击手段 报文窃听（Packet Sniffers） IP欺骗（IP Spoofing） 服务拒绝（Denial of Service） 密码攻击（Password Attacks） …… 4.1 电子商务安全的基本概念 报文窃听（Packet Sniffers） 报文窃听是一种软件应用，该应用利用一种处于无区别模式的网络适配卡捕获通过某个冲突域的所有网络分组。 可以轻易通过解码工具（sniffers/netxray等）获得敏感信息（用户密码等）。 4.1 电子商务安全的基本概念 IP欺骗（IP Spoofing） IP欺骗是指网络内部或外部的黑客模仿一台可靠计算机会话（IP协议头中源IP地址欺骗） IP欺骗通常会引发其他的攻击——DoS。 4.1 电子商务安全的基本概念 DoS（服务拒绝，Deny of Service） DoS就是攻击者通过不断向你的设备发送请求，使你的网络设备资源耗尽，从而崩溃，它阻止合法用户获得网络服务。DOS是最容易实施的攻击行为。 DDoS（Distributed Deny of Service）攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。 4.1 电子商务安全的基本概念 密码攻击（Password Attacks） 穷举法与字典穷举法 密码文件破译法 4.1 电子商务安全的基本概念 电子商务应用面临的危险： 4.1 电子商务安全的基本概念 电子商务应用面临的危险： 4.1 电子商务安全的基本概念 电子商务的安全性要求 信息的保密性 信息的完整性 信息的有效性 信息的不可抵赖性 交易身份的真实性 系统的可靠性 4.1 电子商务安全的基本概念 信息的保密性 包括两个方面的内容： 交易双方进行交易的内容不被第三方窃取 交易一方提供给另一方使用的文件不被第三方使用 4.1 电子商务安全的基本概念 信息的完整性 信息传输过程中的信息丢失、信息重组或传送次序混乱 信息被他人恶意修改 4.1 电子商务安全的基本概念 信息的有效性 在电子商务过程中，一旦交易签订，交易就受到保护，因此必须保证交易签订时相关贸易数据在价格、期限、数量以及确定时刻、地点时是有效的。 4.1 电子商务安全的基本概念 信息的不可抵赖性 由于交易平台的虚拟化，必须保证交易信息的传播过程中参与交易的个人、企业或国家提供可靠的标识，使双方对发出或接收到的数据不能抵赖。 4.1 电子商务安全的基本概念 交易身份的真实性 交易双方确实存在，不能假冒他人身份。 4.1 电子商务安全的基本概念 系统的可靠性 是指防止计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒和自然灾害等所产生的潜在威胁，并加以控制和预防，确保系统的可靠性。 4.1 电子商务安全的基本概念 诸多的安全性要求，应该如何实现？ 信息的保密性 信息的完整性 信息的有效性 信息的不可抵赖性 交易身份的真实性 系统的可靠性 4.1 电子商务安全的基本概念 电子商务安全的保障 法律法规保障 信息安全管理制度保障 信息技术保障 4.1 电子商务安全的基本概念 在法律上加强电子商务安全管理 通过健全法律制度和完善法律体系来保证合法网上交易的权益，对破坏合法网上交易权益的行为进行立法严惩。 4.1 电子商务安