电子商务概论教案——电子商务安全技术.doc

第六章 电子商务安全技术 随着Internet的发展，电子商务已经成为人们进行商务活动的新模式。电子商务的发展给人们的工作和生活带来了新的尝试和便利，也带来了无限商机，前景十分诱人。但是，很多商业机构对网上运作的安全问题存在忧虑。在竞争激烈的市场环境下，电子商务的一些信息可能属于商业机密，一旦信息失窃，企业的损失将不可估量。因此，在运用电子商务模式进行贸易活动的过程中，安全问题就成为最核心的问题，也是电子商务得以顺利进行的保障。电子商务安全包括有效保障通信网络、信息系统的安全，确保信息的真实性、保密性、完整性、不可否认性和不可更改性等。 本章数字签名技术数字时间戳技术Internet非法获取信息的次数和数量与Internet本身一样都在快速增长，病毒、黑客等成为与Internet一样流行的词汇。据统计，网络数据被窃取和破坏造成的直接经济损失每年至少有几十亿美元。 电子商务中的安全隐患主要体现在下列几方面（1）信息的窃取如果没有采加密措施或加密强度不够，攻击者（2）信息的篡改当攻击者了网络信息格式以后，通过各种技术方法和手段对网络传输的信息中途修改，发往目的地，从而破坏信息的完整性。这种破坏手段主要有三个方面：篡改改变信息流的次序，更改信息的内容，如购买商品的货地址；删除删除某个消息或消息的某些部分插入在消息中插入一些信息，让收方读不懂或接收错误的信息。（3）信息假冒当攻击者掌握了网络信息数据规律或解密了商务信息以后，可以冒合法用户或主要有两种方式一是伪造电子邮件，虚开网站给用户发电子邮件，收订货单；伪造大量用户，发电子邮件耗尽商家资源，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应；伪造用户，发大量的电子邮件，窃取商家的商品信息和用户信用等信息。另外一种为假冒他人身份，如冒充领导发布命令、调阅密件；冒充他人消费、栽赃；冒充主机欺骗合法用户；冒充网络控制程序，套取或修改使用权限、密钥等信息；接管合法用户，欺骗系统，占用合法用户的资源。（4）交易抵赖交易抵赖包括多个方面，如发事后否认曾经发送过某条信息或内容；事后否认曾经收到过某条消息或内容；购买者做了定货单不承认；商家卖出的商品因价格差而不承认原有的交易。 商务信息直接代表着个人、企业或国家的商业秘密，传统的纸面贸易都是通过邮寄封装的信件，或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个开放的网络环境上的，维护商业机密是电子商务全面推广应用的重要保障。因此要预防非法的信息存取和信息在传输过程中被非法窃取。 保密性主要是使信息发送和接收在安全的通道进行，保证通信双方的信息保密；交易的参与方在信息交换过程中没有被窃听的危险；非参与方不能获取交易的信息。信息加密和防火墙技术主要解决这方面的问题。 2.正确性和完整性。 信息的正确性和完整性问题要从两方面来考虑。一方面是非人为因素，如因传输介质损坏而引起的信息丢失、错误等。这类问题通常通过校验来解决，一旦校验出错误，接收方可向发送方请求重发。另一方面则是人为因素，主要是指非法用户对信息的恶意篡改。这方面的安全性也是由信息加密和提取信息的数字摘要来保证的，因为如果无法破译信息，也就很难篡改。 3.身份的确定性 由于电子商务交易系统的特殊性，交易通常都是在虚拟的网络环境中进行的，要使交易成功，首先要能确认对方的身份，所以对各主体进行身份认证成了电子商务中十分重要的一个环节，这意味着当交易主体在不见面的情况下声称具有某个特定的身份时，需要有身份鉴别服务提供一种方法来验证其声明的正确性，一般通过认证机构和数字证书来实现。 4.不可抵赖性 在传统贸易中，贸易双方通过在合同或贸易单据等书面文件上手写签名或印章来鉴别对方身份，确定合同、单据的可靠性，并预防抵赖行为的发生。采用电子商务后，用电子方式谈判、签约、结算，因此要在交易信息的传输过程中为交易主体提供可靠的标识，防止抵赖行为的发生。可通过对发送的消息进行数字签名来解决这个问题。 因此，要安全地开展电子商务活动，针对信息的真实性、完整性、保密性和身份的认证，以及交易的不可抵赖性，必须采取一系列的网络安全和交易安全措施和技术。 6.2网络安全技术 网络安全技术是伴随着网络的生而出现的，但直到80年代末才引起关注，90年代网络防护与网络攻击之间的斗争加激烈。频繁出现的安全引起了各国计算机安全的高度重视，计算机网络安全技术也因此出现了日新月异的变化越来越高深复杂的安全技术从不同层次加强了计算机网络的整体安全性。Firewall）是Internet上广泛应用的一种安全措施的形象说法。它是指两个网络之间执行访问控制策略（允许、拒绝、检测）的一系列部件的组合，包含硬件和软件，目的是保护网络不被他人侵扰。如图6-1所示。 图6-1防火墙的概念 防火墙是不同网络之