电子商务安全和电子支付培训讲义.pptVIP

电子商务安全与电子支付;电子商务系统遭攻击实例;网络安全现状;;;;;;;盗窃肉鸡的商业价值;;本章要点;第一章 电子商务安全与电子支付概论;电子商务的重要性;什么是电子商务？;较低层次的电子商务如电子商情、电子贸易、电子合同等；最完整的也是最高级的电子商务应该是利用INTENET网络能够进行全部的贸易活动，即在网上将信息流、商流、资金流和部分的物流完整地实现。 电子商务涉及多个方面，除了买家、卖家外，还要有银行或金融机构、政府机构、认证机构、配送中心等机构的加入才行。 由于参与电子商务中的各方在物理上是互不谋面的，因此整个电子商务过程并不是物理世界商务活动的翻版，网上银行、在线电子支付等条件和数据加密、电子签名等技术在电子商务中发挥着重要的不可或缺的作用，交易活动存在很大的风险。 ;安全概念基本关系;电子商务安全包括：;电子商务安全要素;电子商务安全要素;访问控制性（Access control）是指在网络上限制和控制通信链路对主机系统和应用的访问；用于保护计算机系统的资源（信息、计算和通信资源）不被未经授权人或未授权方式接入、使用、修改、破坏、发出指令或值入程序等。;机密性 EC作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。EC建立在开放的网络环境（如Internet）上，维护商业机密是EC全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。 ;完整性 完整性（Integrity）又叫真确性，是保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被更改。 完整性一般可通过提取信息消息摘要的方式来获得。 。 ;可靠性 可靠性是指防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失效或失误。保证存储在介质上的信息的正确性。 ;不可否认性 在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴，确定合同、契约、单据等的可靠性并预防抵赖行为的发生。这也就是人们常说的白纸黑字。在无纸化的E电子商务模式下，通??手写签名和印章进行贸易方的鉴别已是不可能的。因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识，这种标志信息用来保证信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息，身份的不可否认性常采用数字签名来实现。 ;电子商务安全保障;计算机网络安全;防火墙 防火墙是保护企业保密数据和保护网络设施免遭破坏的主要手段之一，可用于防止未授权的用户访问企业内部网，也可用于防止企业内部的保密数据未经授权而发出。即使企业内部网络与因特网相连，也可用防火墙管理用户对内部网中某些部分的访问，保护敏感信息或保密信息。 ;虚拟专用网 虚拟专用网VPN(Virtual Private Networks)是企业内部网在Internet上的延伸，通过一个专用的通道来创建一个安全的专用连接，从而可将远程用户、企业分支机构、公司的业务合作伙伴等与公司的内部网连接起来，构成一个扩展的企业内部网。 虚拟专用网是企业常用的一种安全解决方案，它利用不可靠的公用互联网作为信息传输媒介，通过附加的安全隧道，用户认证和访问控制等技术，实现与专用网相类似的安全性能。 对于商务网站来说，它是一种理想的性价比较高的安全防护手段，既可以为企业提供类似专用网的安全性，同时又可以为企业节约成本。 ;入侵检测技术 入侵检测是继防火墙之后的又一道防线。防火墙只能对黑客的攻击实施被动防御，一旦黑客攻入系统内部，则没有切实的防护策略，而入侵检测系统则是针对这种情况而提出的又一道防线。 单纯的防火墙技术暴露出明显的不足和弱点，如无法解决安全后门问题；不能阻止网络内部攻击，而调查发现，50％以上的攻击都来自内部； 不能提供实时入侵检测能力； 对于病毒等束手无策等。 ;电子商务交易安全的要求, 概括起来说, 主要是指保障数据信息的认证性、机密性、完整性、可靠性等。具体包括: 如何确定通信中贸易伙伴的真实性, 保证身份的可认证性; 如何保证电子单证的机密性, 防范电子单证的内容被第三方读取; 如何保证被传输的业务单证不会丢失, 或者发送方可以察觉所发单证的丢失; 如何保证电子单证内容的真实性、准确性和完整性; 如何保证存储信息的安全性; 如何对数据信息进行审查并将审查的结果进行记录。 ;信息加密技术 密码技术，对称密码体制，非对称密码体制。（AES加密标准、RSA公钥密码体制和椭圆曲线密码系统）;;;SSL：安全套接层协议是美国网景公司（Netscape）在1994 年提出的基于WEB 应用的安全协议，它包括服务器认证、客户认证（可选）、S S L 链路上的数据完整性和SSL 链路上的数据保密性