第4章 电子商务安全(未修改).pptVIP

第4章 电子商务安全 随着电子商务的迅速发展,电子商务系统的安全已受到来自计算机病毒、电脑黑客、计算机网络自身的脆弱性等各方面的严峻挑战。因此如何建立一个安全、便捷的电子商务应用环境，对信息提供足够的保护，是商家和用户十分关心的重大问题。 任务1 电子商务安全概述 阶段1.电子商务安全威胁 1.卖方面临的安全威胁 （1）中央系统安全性破坏 （2）竞争对手检索商品递送状况和货物的库存情况 （3）被他人假冒而损害公司信誉 （4）买反提交订单后不付款 （5）获取他人的机密数据 2.买方面临的安全问题 （1）付款后不能收到商品 （2）机密性丧失 （3）拒绝服务 3.信息传输问题 （1）冒名偷窃 （2） 任务1 电子商务安全概述 1.电子商务安全威胁的类别 （1） 信息的截获和窃取: 由于没采用加密措施，数据信息在网络上以明文的形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析，找到信息的规律和格式，进而得到传输信息的内容。 （2） 信息的篡改：入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络中传送的信息数据在中途修改，然后再发向目的地。信息的篡改有如下三种方式： 篡改：改变信息流的次序，更改信息的内容。 删除：除去某个消息或消息的某些部分。 插入：在信息中插入一些信息，让接收方读不懂或接收到错误的信息。 （3） 假冒信息：掌握了数据的格式后，可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者获取信息，远端用户通常很难分辨。 （4） 交易抵赖：由于电子商务在无纸化条件下进行，信息的发送方在发送信息后或接收方在接收信息后否认已有的操作。 电子商务安全的基本要求主要体现在以下几个方面 （1） 保密性：保证个人的、专用的高度敏感信息的机密。 （2） 认证性：确认通信双方的身份合法。 （3） 完整性：保证所有存储和管理的信息不被篡改。 （4） 可访问性：保证系统数据和服务能由合法人员访问。 （5） 防御性：能阻挡不希望的信息或黑客的访问。 （6） 不可否认性：防止通信或交易双方对已进行业务的否认。 电子商务安全结构的层次 电子商务安全技术是电子商务技术体系的重要组成部分。一个安全的电子商务体系结构如图6-1所示。 任务2 网络安全保障技术 一个密码体制由明文、密文、密钥与加密运算四个基本要素构成。如图6-2所示为明文加密解密过程。 DES算法的一般过程，如图6-3所示 RSA算法具有如下特点： ●密钥管理简单 (网上每个用户仅保有一个密钥，且不需密钥配送)。 ●便于数字签名。 ●可靠性较高 (取决于分解大素数的难易程度)。 ●算法复杂，加密/解密速度慢, 难于实现。 数字签名的功能如下： (1) 接收方能够确认发送方的签名，但不能伪造。 (2) 发送方发出签过名的信息后，不能再否认。 (3) 接收方对接收到的签名信息也不能否认。 (4) 一旦接收方出现争执，仲裁者可有充足的证据进行评判。 任务3 网络认证系统 1.网络认证的目的和基本功能 （1） 网络认证的目的：验证信息发送者的真实性，此为实体认证，包括信源、信宿等的认证和识别；验证信息的完整性，此为消息的认识、验证数据在传送或存储的过程中是否被篡改、重做或延迟等。 （2） 网络认证的基本功能 ① 可信性:信息的来源是可信的，即信息接收者能够确认所获得的信息不是由冒充者发出的。 ② 完整性：要求信息在传输过程中保证其完整性，即信息接收者能够确认所获得信息在传输过程中没被修改、延迟和替换等。 ③ 不可抵赖性：要求信息发送方不能否认自己所发出的信息，同样，信息的接收方也不能否认收到的信息。 ④ 访问控制：拒绝非法用户访问系统资源，合法用户只能访问系统授权和指定的资源。