(电子商务安全)第1章电子商务安全概述.ppt

电子商务安全 制作：王 鑫 第1章 电子商务安全概述 任务驱动 资源共享、快速、便捷是电子商务迅速发展的原因，而这种基于Internet网络的开放性使电子商务在安全方面先天不足。现在，电子商务的安全问题越来越突出，已经成为制约电子商务快速发展的障碍。如何保障电子商务活动的安全，一直是电子商务研究的核心问题。 过本章学习，学生应该能理解电子商务安全的基本概念，了解电子商务面临的安全问题，掌握电子商务的基本安全需求，熟悉电子商务安全的基础知识，并能够说明电子商务安全管理的基本思路和方法。 第1章 电子商务安全概述 本章内容 1.1电子商务安全概念及特点 1.2 电子商务面临的安全问题 1.3电子商务的安全需求 1.4电子商务安全基础 1.5电子商务安全管理 1.1 电子商务安全概念及特点 电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此，电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。 计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全为目标。 商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，保障以电子交易和电子支付为核心的电子商务过程的顺利进行。即实现电子商务保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。 1.1 电子商务安全概念及特点 电子商务安全具有如下四大特性： 1．电子商务安全是一个系统概念 2．电子商务安全是相对的 3．电子商务安全是有代价的 4．电子商务安全是发展的、动态的 1.2 电子商务面临的安全问题 1.2.1电子商务网络系统自身的安全问题 1．物理实体的安全问题 ⑴设备的机能失常 ⑵电源故障 ⑶由于电磁泄漏引起的信息失密 ⑷搭线窃听 ⑸自然灾害 2．计算机软件系统潜在的安全问题 3．网络协议的安全漏洞 4．黑客的恶意攻击 5．计算机病毒攻击 6．安全产品使用不当 1.2 电子商务面临的安全问题 1.2.2电子商务交易信息传输过程中的安全问题 ⑴信息机密性面临的威胁——信息在传输过程中被窃取 ⑵信息完整性面临的威胁——信息在传输过程中被篡改、删除或插入 ⑶交易信息的可认证性面临的威胁——抵赖做过的交易或传输的信息 ⑷交易双方身份真实性面临的威胁——假冒他人身份 1.2 电子商务面临的安全问题 1.2.3电子商务企业内部安全管理问题 ⑴网络安全管理制度问题 ⑵硬件资源的安全管理问题 ⑶软件和数据的维护与备份安全管理问题 1.2.4电子商务安全法律保障问题 主要涉及的法律主要有国际加密问题、网络链接问题、网络隐私问题、域名侵权纠纷问题、电子商务的税收问题，还有电子商务交易中提供参与方合法身份认证的CA中心涉及的法律问题，电子合同签订涉及的法律问题，交易后电子记录的证据力问题及网络知识产权涉及的法律问题等。 1.2 电子商务面临的安全问题 1.2.5电子商务的信用安全问题 1.2.6电子商务安全支付问题 ⑴在通信线路上进行窃听，并滥用收集的数据(如信用卡号等)。 ⑵向经过授权的支付系统参与方发送伪造的消息，以破坏系统的正常运作来盗用交换的财产(如商品、现金等)。 ⑶不诚实的支付系统参与方，试图获取并滥用自己无权读取或使用的支付交易数据。 1.3 电子商务的安全需求 电子商务面临的威胁导致了对电子商务安全的需求。真正实现一个安全电子商务系统所要求做到的各个方面主要包括：机密性、完整性、认证性、不可抵赖性、不可拒绝性、访问控制性等安全需求，如图1-2所示。 1.3 电子商务的安全需求 1．机密性 机密性(Confidentiality)又叫保密性，是指信息在传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容。机密性一般通过密码技术对保密的信息进行加密处理来实现。电子商务的信息几乎都有加密的要求，如信用卡号、用户名和密码、订货信息、付款……这些信息被人窃取后，会造成直接经济损失，或者贻误商机。 2．完整性 完整性(Integrity)又叫真确性，是保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被更改。完整性一般可通过提取信息消息摘要的方式来获得。 1.3 电子商务的安全需求 3．认证性 认证性(Authentication)是指网络两端的使用者在沟通之前相互确认对方的身份。在电子商务中，认证性一般都通过证书机构CA和证书来实现。 4．不可抵赖性 不可抵赖性又叫不可否认性(Non-repudiation)，是指信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息，这是一种法律有效性要求。不