第8章电子商务全技术.docxVIP

第8章 电子商务安全技术 Company Logo 案例导入 淘宝网1元“错价门”事件电子商务安全不容忽视   中国IDC评述网2009年09月14日报道：互联网上从来不乏标价1元的商品。近日，淘宝网上大量商品标价1元，引发网民争先恐后哄抢，但是之后许多订单被淘宝网取消。随后，淘宝网发布公告称，此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称：“服务器可能被攻击，已联系技术紧急处理。”这起“错价门”事件发生至今已有两周，导致“错价门”的真实原因依然是个谜，但与此同时，这一事件暴露出来的电子商务安全问题不容小觑。 资料来源: 作者略有删减 8.1 电子商务安全概况 8.1.1 电子商务安全概念与特点 1. 电子商务安全的定义 电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。 包括计算机的网络设备安全、计算机网络系统安全、数据库安全 主要保证电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性 Company Logo 案例导入 2.电子商务安全特点 电子商务安全是一个系统概念 电子商务安全是相对的 电子商务安全是有代价的 电子商务安全是发展的、动态的 Company Logo 案例导入 1．对客户机的安全威胁 动态网页有多种形式，最著名的动态网页形式包括JavaScript和VBScript、Java Applet和ActiveX控件等 1）cookies 2）邮件通讯簿 3) 信息隐蔽 2．对通信信道的安全威胁 (1）搭线窃听 （2）IP欺骗 （3）IP源端路由选择 （4）目标扫描 Company Logo 3．对服务器的安全威胁 Company Logo （1）WWW服务器 （2）数据库服务器 （3）CGI （4）ASP （5）邮件炸弹 （6）溢出攻击 （7）口令破译 8.1.3 电子商务安全要素 Company Logo 保密性 完整性 认证性 不可抵赖性 不可拒绝性 访问控制性 电子商务安全核心 Company Logo 1．保密性 商务数据的保密性（Confidentiality）是指信息在网络上传输或存储的过程中不被他人窃取、不被泄露给未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容。 2．完整性 商务数据的完整性（Integrity）是指保护数据的一致性，防止数据被未授权者修改、建立、嵌入、删除、重复发送或由于其他原因使原始数据被更改。 Company Logo 3．认证性 商务对象的认证性(Authentication)或称真实性是指网络两端的使用者在通信之前相互确认对方的身份，保证交易方确实存在，而并非有人假冒。 4．不可否认性 商务服务的不可否认性(Non-repudiation)或称不可抵赖性是指信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息，这是一种法律有效性要求。 5．不可拒绝性 商务服务的不可拒绝性(Denial of service)或称可靠性是指保证授权用户在正常访问信息和资源时不被拒绝，即为用户提供稳定可靠的服务。 6．访问控制性 访问控制性(Access control)或称可控性规定了主体访问客体的操作权力限制，以及限制进入物理区域(出入控制)和限制使用计算机系统和计算机存储数据的过程(存取控制)。包括人员限制、数据标识、权限控制、控制类型和风险分析等。 Company Logo 8.2.1 电子商务安全框架 一个安全的电子商务系统应构建以策略为指导、技术为基础、管理为核心的安全框架。在安全策略指导下，建立统一的安全管理平台，提供全面的安全服务，形成一个互为协作的统一体，使整个系统覆盖从物理通信到网络、系统平台直至数据和应用平台的各个层面的安全需求，从而形成完整的电子商务安全框架。 Company Logo 1.安全策略 可采用的安全策略一般有: (1)物理结构:同因特网物理隔离，同内部局域网逻辑隔离。 (2)敏感信息:链路加密、文件加密传输、重要数据加密存储。 (3)安全认证:建立PKI/CA系统和授权管理。 (4)适度安全防护:从技术安全中选择适当防护措施。 (5)安全管理与审计:加强安全审计，建立统一的安全管理平台。 Company Logo 2.安全框架 (1）物理与线路传输安全框架 (2)网络安全防御框架 (3)主机与系统安全框架 (4)数据与应