中南民族大学-陈传红老师电子商务安全讲义-第1章--电子商务安全概述.pptVIP

(1)电子商务技术安全体系 电子商务技术安全体系： 系统应用层、安全协议层、安全认证层、加密技术层、网络安全层 (1)电子商务技术安全 加密解密技术 加密技术是信息安全技术中的一个重要的组成部分。它可以保护传送的信息安全。但是加密系统不能区分拥有同样加密密钥的用户是合法用户还是攻击者。所以，从某种程度上说，加密本身能提供安全保障，还必须完善加密密钥和系统的一个整体控制 数字签名技术 在现实生活里，书信或文件是根据亲笔签名或印章来证明具真实性的，在网络世界里，我们希望产生出能够代表签名者和文件之间关联性的数字代号。通过数字签名技术可以确认当事人的身份，起到了签名或盖章的作用，签字方不能够抵赖。以后我们还会学习到，通过数字签名技术也能够帮助我们鉴别信息自签发后到收到为止是否被篡改过。这就使得他人通过伪造而达到改变信息的内容 数字时间戳 在电子交易中，时间和签名同等重要。数字时间戳技术是数字签名技术一种变种的应用。由DTS（Digital Time-Stamp）服务机构提供的电子商务安全服务项目，专门用于证明信息的发送时间 验证技术 验证是在远程通信中获得信任的手段，是安全服务中最为基本的内容，因为必须通过可靠的验证来进行访问控制，决定谁有权接受或修改信息，增强责任性以及实现不可否认服务。 验证常用的三种基本方式是口令方式、标记方式、人体生物学特征方式 数字证书技术 数字证书就是标志网络用户身份信息的一系列数据，用于证明某一主体（如个人用户、服务器等）的身份以及其公钥的合法性的一种权威性的电子文档。它由权威公正的第三方机构，即CA中心签发，类似于现实生活中的身份证 防火墙技术 防火墙是软件、硬件的结合，在需要保护的网络同可能带来安全威胁的互联网或其他网络之间建立一层保护，防火墙是边界安全产品，防火墙内的网络叫可信网络；以外的网络叫不可信网络。经过合理设置的防火墙是一种必需的安全设备。 防火墙对于以下几个方面不能起到“防火”的作用： 不能阻止攻击者使用一个允许的连接攻击； 不能保证不受内部用户的攻击 (1)电子商务技术安全 (1)电子商务技术安全 智能卡技术 人们利用智能卡（即你所拥有的）来降低攻击者猜出密码的风险。但是智能卡也有其漏洞，即不能防止对系统漏洞进行攻击，而且成本问题也成为制约其发展的关键的因素 防病毒技术 防病毒软件如果设置合理，那么可以降低系统遭受恶意攻击的机会。不过，防病毒只能保护系统免受恶意程序攻击，却不能避免使用合法程序访问系统的攻击者的攻击。同时也不能防护一些用户对不应该访问的文件进行访问的越权攻击。 入侵检测技术 入侵检测是对防火墙的一个合理补充，帮助系统对付网络攻击，扩展管理员的安全管理能力和范围，提高信息安全基础结构的完整性。但是没有哪种入侵检测系统是百分百安全的，毕竟他们不能取代优秀的安全程序和操作，也不能检测出合法用户对信息的非正常访问 (1)电子商务技术安全 生物统计系统 生物统计是利用你所具备的来认证，其中包括多种类型的验证：如指纹、眼膜、语音等。每种方法都需要特定的设备，而且设备必须非常精确才可以检测出是否假冒。同时，这些读取仪器的费用和相关人员的接受问题也需要考虑 2）电子商务安全管理与安全教育 安全管理： 硬件设施管理 交易网站安全管理 从业人员管理 交易监督管理 在线信誉管理 安全教育 从业人员安全管理教育 消费者安全知识普及 ? 安全担忧成阻碍用户使用网上支付的重要原因。30.4%的非网上支付用户是因为感觉不安全、担心资金被盗而不使用网上支付，还有 11.8%的非网上支付用户是担心账户信息泄漏。 ? 用户安全意识不足，仅一半网上支付用户关注网上支付安全问题。52.8%的网上支付用户关注网上支付的安全问题，还有 47.2%的用户对网上支付安全问题表示非常不关注或较不关注。此外，有57.6%的用户表示不知道保障网上支付安全的办法。 ? 用户对透露个人信息警惕性高，对即时通信链接防范意识不强。当接到电话称退款，需要告知自己的姓名、账户或手机验证码信息时，只有 2.9%的用户愿意透露信息。当用户使用即时通信工具遇到对方发来的不明链接时，有5%的用户会直接点击。 中国网络支付安全状况报告 （2012 年10月） 中国互联网络信息中心 （CNNIC） 3)电子商务安全立法 （1）.保障交易各方身份认证的法律 电子交易的各方都需要拥有和证明自己的合法身份，通过设立在交易参与方之外的，第三方的公正机构（CA中心）可以达成这样的目标，即取得由数字证书认证中心签发的数字化的证书，在交易的各个环节，交易的各方都可以检验对方数字证书的有效性。 （