电子商务安全概论.pptVIP

电子商务安全技术;电子商务的重要性;什么是电子商务？;较低层次的电子商务如电子商情、电子贸易、电子合同等；最完整的也是最高级的电子商务应该是利用INTENET网络能够进行全部的贸易活动，即在网上将信息流、商流、资金流和部分的物流完整地实现。 电子商务涉及多个方面，除了买家、卖家外，还要有银行或金融机构、政府机构、认证机构、配送中心等机构的加入才行。 由于参与电子商务中的各方在物理上是互不谋面的，因此整个电子商务过程并不是物理世界商务活动的翻版，网上银行、在线电子支付等条件和数据加密、电子签名等技术在电子商务中发挥着重要的不可或缺的作用，交易活动存在很大的风险。 ;制约电子商务发展的关键问题;第一章 电子商务安全概论;电子商务安全需求;电子商务系统遭攻击实例;电子商务安全要素;机密性 EC作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。EC建立在开放的网络环境（如Internet）上，维护商业机密是EC全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。 ;完整性 由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是EC应用的基础。因此，要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。 ;可靠性 可靠性是指防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失效或失误。保证存储在介质上的信息的正确性。 ;不可否认性 在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴，确定合同、契约、单据等的可靠性并预防抵赖行为的发生。这也就是人们常说的白纸黑字。在无纸化的E电子商务模式下，通过手写签名和印章进行贸易方的鉴别已是不可能的。因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识，这种标志信息用来保证信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息，身份的不可否认性常采用数字签名来实现。 ;电子商务安全保障;计算机网络安全;防火墙 防火墙是保护企业保密数据和保护网络设施免遭破坏的主要手段之一，可用于防止未授权的用户访问企业内部网，也可用于防止企业内部的保密数据未经授权而发出。即使企业内部网络与因特网相连，也可用防火墙管理用户对内部网中某些部分的访问，保护敏感信息或保密信息。 ;虚拟专用网 虚拟专用网VPN(Virtual Private Networks)是企业内部网在Internet上的延伸，通过一个专用的通道来创建一个安全的专用连接，从而可将远程用户、企业分支机构、公司的业务合作伙伴等与公司的内部网连接起来，构成一个扩展的企业内部网。 虚拟专用网是企业常用的一种安全解决方案，它利用不可靠的公用互联网作为信息传输媒介，通过附加的安全隧道，用户认证和访问控制等技术，实现与专用网相类似的安全性能。 对于商务网站来说，它是一种理想的性价比较高的安全防护手段，既可以为企业提供类似专用网的安全性，同时又可以为企业节约成本。 ;入侵检测技术 入侵检测是继防火墙之后的又??道防线。防火墙只能对黑客的攻击实施被动防御，一旦黑客攻入系统内部，则没有切实的防护策略，而入侵检测系统则是针对这种情况而提出的又一道防线。 单纯的防火墙技术暴露出明显的不足和弱点，如无法解决安全后门问题；不能阻止网络内部攻击，而调查发现，50％以上的攻击都来自内部； 不能提供实时入侵检测能力； 对于病毒等束手无策等。 ;;;;;;;对电子商务交易系统常用的攻击手段 第一类是信息收集型攻击，主要采用刺探、扫描和监听技术。 第二类是利用型攻击，利用操作系统、网络服务协议、系统软件、数据库的漏洞进行攻击。包括口令猜测、特洛伊木马、缓冲区溢出。 第三类是拒绝服务攻击，拒绝服务目的在于使系统瘫痪，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。 ;电子商务安全体系结构 电子商务安全是一个系统工程，单纯的技术或者任何一个方面都无法达到理想的安全级别。电子商务安全既是计算机和网络的安全，又是管理的安全。 ;电子商务安全体系结构图;我国电子商务安全现状