授课教师蒋晶.pptVIP

第三章 电子商务系统的安全 本章学习目标 第3章 电子商务系统的安全 3.1 电子商务系统安全问题概述 3.2 电子商务系统网络安全管理基本对策 3.3 电子商务安全手段 3.4 计算机病毒及网络黑客的防范 3.1 电子商务系统安全问题概述 3.1.1 电子商务系统安全性的基本概念 3.1.2 电子商务系统的安全控制要求 3.1.3 危害电子商务系统安全的主要因素 3.1.1 电子商务系统安全性的基本概念 3.1.3 危害电子商务系统安全的主要因素 一、问题的提出 计算机网络技术的发展促进了电子商务的发展，同时也使电子商务系统的安全问题日益复杂和突出。由于计算机网络资源的共享性和开放性，增加了网络安全的脆弱和复杂性，也增加了网络受威胁和攻击的可能性。 二、电子商务的安全威胁 在传统交易过程中，买卖双方是面对面的，因此很容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中，买卖双方是通过网络来联系的，甚至彼此远隔千山万水，因而建立交易双方的安全和信任关系相当困难。电子商务交易双方(销售者和购买者)都面临不同的安全威胁。 三、危害安全的主要因素 危害安全的主要因素有7个：网络硬件的不安全因素、网络软件的不安全因素、工作人员的不安全因素、交易信用的风险因素、计算机病毒和黑客攻击、法律方面的风险因素、环境的不安全因素。 六、电子商务安全管理的思路 网上交易安全管理，应当跳出单纯从技术角度寻求解决办法的思路，采用综合防范的思路，从技术、管理、法律等方面综合思考。建立一个完整的网络交易安全体系，至少从三个方面考虑，并且三者缺一不可。 3.2 电子商务系统网络安全管理基本对策 3.2.1 技术对策 3.2.2 管理对策 3.3.3 构造电子商务交易安全的保障体系 3.2.1 技术对策 3.2.2 管理对策 3.2.3 构造电子商务交易安全的保障 3.3 电子商务的安全手段 3.3.1 电子商务系统防火墙 3.3.2 电子商务信息加密 3.3.3 电子商务数字签名 3.3.4 电子商务身份认证 3.3.5 电子商务数字时间戳 3.3.6 电子商务数字证书 3.3.1 电子商务系统防火墙 3.3.3 电子商务数字签名 1.数字签名的原理 （1）数字签名的产生过程： （2）检验数字签名的过程： 2.数字签名的作用 在保证信息的完整性和不可否认性。 3.数字签名与手书签名的区别 签名是模拟的，因人而异；数字签名是数字的（0和1的数字串），因消息而异。 3.3.4 电子商务的身份认证 1.电子商务身份认证的必要性 采取一定的措施使交易双方能互相确认对方的身份，才能放心的开展电子商务活动。 2.电子商务身份认证的目标 ① 保证信息来源的可信（并非假冒）； ② 传输过程的完整性（没有被修改、延迟、替换）； ③ 收发双方的不可抵赖性； ④访问控制（拒绝非法用户访问系统资源，合法用户只能访问系统授权和指定的资源）。 3.电子商务身份认证的基本方式 ① 人体生物学特征方式： ② 口令方式： ③ 标记方式： 3.3.5 电子商务的数字时间戳 1.数字时间戳的必要性 在书面合同中，文件签署的日期和签名一样都十分重要。是防止文件被伪造和篡改的关键性内容。 2.电子商务数字时间戳服务的提供 由专门的机构提供。是一个加密后形成的凭证文档， 3.数字时间戳产生的过程 用户将需要加时间戳的文件用Hash函数形成摘要；将摘要发送到服务机构；机构对摘要加上时间后进行数字签名并发送给原用户；原用户可以把它发送给接收者。 3.3.6 电子商务的数字证书 1.概述 在电子商务中，所谓数字证书，是一个由使用数字证书的用户群所公认和信任的权威机构（即CA）签署了其数字签名的信息集合。 2.认证机构CA 一个受法律承认的权威机构。采用PKI（Public Key Infrastructure）公开密钥基础架构技术，专门提供网络身份认证服务，负责签发和管理数字证书，且具有权威性和公正性的第三方信任机构。 3.认证机构（CA）中心的职能 接收注册请求，处理、批准或拒绝请求，核发和管理用户的数字证书；负责证书的检索、撤消、验证、数据库备份、保证证书和密钥服务器的安全。 4.CA认证系统组成及功能 目前CA认证系统主要由以下三部分组成： （1）在客户端面向证书用户的数字证书申请、查询和下载系统； （2）在CA端由CA管理员对证书申请进行审批的证书授权系统； （3）在CA控制台，签发用户证书的证书签发系统。 5.数字证书 目前又称为数字标识。是一个经证书授权机构数字签名的数字信息文件。它提供了一种在Internet上身份验证的方式，用来标志和证明网络通信双方的身份。 6.数字证书包含的内容 数字证书包含以下一些内容： ① 证书的版本信息； ② 证书的序列号