第一章篇电子商务信息安全概述.pptVIP

电子商务信息安全技术 主讲人:代春艳 daichunyan@ctbu.edu.cn;本课程是电子商务专业本科生的一门重要的专业核心必修课程。该课程从技术角度出发，讲授构建和实施安全电子商务系统所必需的基本理论、方法和技术。主要内容包括网络安全技术、密码技术、身份认证技术、电子商务安全协议、网络安全支付技术、移动商务安全技术、电子商务安全防范体系以及一些典型的电子商务系统解决方案等。 通过本课程的学习，使同学木们正确理解电子商务安全的重要性以及电子商务安全所面临的问题；熟悉信息加密、数字签名、身份认证、系统防御、病毒防治等电子商务安全技术。;课程成绩评定办法;实验成绩评定标准;第一章 电子商务信息安全概述;1.1电子商务信息安全概况; 随着电子商务在全球范围内的迅猛发展，电子商务中的安全问题日渐突出，安全事故经常出现。 2000年2月7日至2月9日 ，黑客攻击美国几大主要网上站点 2004年4月30日爆发的震荡电脑病毒“震荡波”横扫全世界 ; ;从网络安全角度考察，电子商务面临的主要安全威胁有以下几种： 1．物理实体引发的安全问题 （1）设备的功能失常。 （2）电源故障。 （3）由于电磁泄漏引起的信息失密。 （4）搭线窃听。 2．自然灾害的威胁 3．黑客的恶意攻击 4．软件的漏洞和“后门” 5．网络协议的安全漏洞 6．计算机病毒和蠕虫的攻击;从交易者角度考察，买方和卖方分别面临的安全威胁有： 1．卖方（销售者）面临的安全威胁： （1）系统中心安全性被破坏 （2）竞争者的威胁 （3）商业机密的安全 （4）假冒的威胁 （5）信用的威胁;2．买方（消费者）面临的安全威胁： （1）虚假订单 （2）付款后收不到商品 （3）机密性丧失 （4）拒绝服务 ;电子商务在Internet实现了“物流、信息流、资金流”三者的统一，流动的是金钱和财富（信息）。金钱和财富刺激着有人去冒险，不管安全技术发展到何等完善的地步，对安全的威胁永远存在。因此，对电子商务的安全威胁应时刻警惕。;1.1.3电子商务的安全需求;1.2电子商务信息安全研究的主要内容;网络安全的内容包括：网络设备安全、网络系统安全、数据库安全等。其??征是针对网络本身可能存在的安全问题，实施网络安全增强方案，以保证网络自身的安全为目标。;商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在网络安全的基础上，保障以电子交易和电子支付为核心的电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可认证性、不可拒绝性、不可伪造性和不可抵赖性。;网络安全与商务交易安全实际上是密不可分的，两者相辅相成，缺一不可。没有网络安全作为基础，商务交易安全就犹如空中楼阁，无从谈起。没有商务交易安全保障，即使网络本身再安全，仍然无法达到电子商务所特有的安全要求。电子商务安全是以网络安全为基础。但是，电子商务安全与网络安全又是有区别的;首先，网络不可能绝对安全，在这种情况下，还需要运行安全的电子商务。其次，即使网络绝对安全，也不能保障电子商务的安全。电子商务安全除了基础要求之外，还有特殊要求。 从安全等级来说，从下至上有密码安全、局域网安全、互联网安全和信息安全之分，而电子商务安全属于信息安全的范畴，涉及信息的机密性、完整性、认证性等方面。这几个安全概念之间的关系如图 1-1 所示。;信息安全;电子商务安全具有如下四大特性： 1.电子商务安全是一个系统概念 2.电子商务安全是相对的 3.电子商务安全是有代价的 4.电子商务安全是发展的、动态的;1.2.2电子商务的安全技术基础;（1）密码技术 现代社会对信息安全的需求大部分可以通过密码技术来实现。密码技术是信息安全的核心技术。它主要包括加密、签名认证和密钥管理三大技术。;加密技术是实现信息的保密性的一种重要手段。利用加密技术可以达到对电子商务安全的需求，保证商务交易的机密性、完整性、真实性和不可否认性等。通常信息加密的途径是通过密码技术实现的，密码技术是保护信息的保密性、完整性、可用性的有力手段，它可以在一种潜在不安全的环境中保证通信及存储数据的安全，密码技术还可以有效地用于报文认证、数字签名等，以防止种种电子欺骗。可以说，加密技术是认证技术及其他许多安全技术的基础，也是信息安全的核心技术;签名认证技术是保证信息的真实性的一种重要手段。其目的有两个：一是验证信息的发送者是否是冒充的；二是验证信息的完整性，即验证信息在传送或存储过程中未被篡改等。密钥管理包括密钥的产生、存储、装入、分配、保护、丢失、销毁以及保密等内容。其中分配和存储是最棘手的问题。;密钥管理不仅影响系统的安全性，而且涉及系统的可靠性、有效性和经济性。当然，密钥管理过程中也不可能避免物理上、人事上、规程上等一些问题。在用密码技术保护的现代信息系统的安全性