极速互联苏瑞——电子都商务安全技术第一讲.pptVIP

一、电子商务的安全性问题 1、信息安全问题 （1）信息的截获和窃取 ：银行帐号、密码以及商业机密等 （2）篡改:删除/插入 （3）伪造电子邮件 （4）假冒他人身份 （5）信息丢失 2、信用安全问题 主要涉及交易抵赖 (1)发信者事后否认曾经发送过某条消息或内容 (2)收信者事后否认曾经收到过某条消息或内容 (3)购买者做了订货单不承认 (4)商家卖出的商品因价格差而不承认原有的交易 3、安全的管理问题 4、安全的法律问题 5、电脑病毒及黑客问题 （二）安全问题对电子商务的影响 （1）严重打击消费者对电子商务的信心 （2）造成运营商巨大的经济损失 （3）涉及的地域范围广 （4）威胁个人及组织的资金安全、货物安全和信誉安全 4、真实性(authenticity) 数字签名、数字证书 5、信息的完整性(integrity) 数字摘要、时间戳 6、存储信息的安全性 （二）安全交易标准和技术 Web Server处于防火墙内 （1）保护那些易受攻击的服务 （2）控制对特殊站点的访问 （3）集中化的安全管理 （4）对网络访问进行记录和统计 （2）包过滤防火墙：逻辑简单、价格便宜、易于安装和 使用、网络性能和透明性好。 应用网关技术工作原理 4.2.3 防火墙的安全策略及局限性 1、防火墙的安全策略 只有防火墙所定义的合法访问才被允许通过 （1） 一切未被允许的就是禁止的（安全性能高，用户使用 的范围受限） （2）一切未被禁止的就是允许的（安全性能低，但更灵活） 2、防火墙的局限性 （1）不能阻止来自内部的攻击 （2）不能保护绕过它的连接 （3）无法阻止新出现的网络威胁 （4）不能防止病毒防护（病毒可通过FTP或其他工具传入） 4.3 数据加密技术 4.3.1 数据加密、解密基本过程 对称密钥加密(Symmetric Cryptography) 非对称密钥加密(Asymmetric Cryptography) 计算机网络安全：计算机网络设备/系统安全、数据库安 全等 商务交易安全：围绕传统商务在互联网络上应用时产生的 各种安全问题 参考： 电子商务安全技术第一讲 4.1 电子商务安全 4.1.1 电子商务的安全性问题 电子商务安全 破坏完整性 1、授权合法性:安全管理人员能够控制用户的权限、分配或终止用户的访问、操作、接入等权利，被授权用户的访问不能被拒绝。 2、不可抵赖性(non-repudiation) 4.1.2 电子商务对安全的基本要求 数字签名、CA证书 3、机密性(confidentiality):信息发送和接收是在安全的通道进行，保证通信双方的信息保密。 加密技术 防火墙技术、口令 交易信息 交易方身份 4.1.3 电子商务交易安全措施 （一）交易安全技术 （1）身份认证：确定贸易伙伴的真实性 （2）数据加密和解密：保证电子单证的保密性 （3）数字摘要技术 ：保证电子单证内容的完整性 （4）数字签名技术：保证电子单证的真实性 （5）CA认证 ：不可抵赖性 (6)时间戳、消息的流水作业号：保证被传输的业务单 证不会丢失 （1）安全超文本传输协议（S-HTTP） 保障WEB站点间的交易信息传输的安全性 （2）安全套接层协议（SSL， Secure Sockets Layer ） 提供加密、认证服务和保证报文的完整性 （Netscape） (3) 安全电子交易协议（SET，Secure Electronic Transaction 信用卡网上交易安全，提高网络支付服务的质量 / 4.2 防火墙技术 4.2.1 防火墙的含义及其分类 1、防火墙（Firewall）：指 Internet上广泛应用的一种安全措施，是指设置在互联网(Internet)与内部网(Intranet)之间系统，通过控制内外网络间信息的流动，提高内部网络的安全性。 防火墙可以阻止外界对内部资源的非法访问，也可以防止内部对外部的不安全访问。