第三讲电子商务安全管理与法律问题.pptVIP

第三讲 第4章后两节+第5章 第三节 防止非法入侵 一、网络“黑客”常用的攻击手段 二、防范非法入侵的技术措施 网络“黑客”常用的攻击手段 “黑客”的概念 “黑客(Hacker)”源于英语动词Hack，意为“劈，砍”，引申为“辟出，开辟”，进一步的意思是“干了一件非常漂亮的工作”。在本世纪早期的麻省理工学院校园侵语中，“黑客”则有“恶作剧”之意，尤指手法巧妙、技术高明的恶作剧。 “黑客”类型 骇客，他们只想引人注目，证明自己的能力，在进入网络系统后，不会去破坏系统，或者仅仅会做一些无伤大雅的恶作剧。他们追求的是从侵入行为本身获得巨大的成功的满足。 窃客，他们的行为带有强烈的目的性。早期的“黑客”主要是窃取国家情报、科研情报，而现在的这些“黑客”的目标大部分瞄准了银行的资金和电子商务的整个交易过程。 网络“黑客”常用的攻击手段 中断（攻击系统的可用性）：破坏系统中的硬件、硬盘、线路、文件系统等，使系统不能正常工作； 窃听（攻击系统的机密性）：通过搭线和电磁泄漏等手段造成泄密，或对业务流量进行分析，获取有用情报。 窜改（攻击系统的完整性）：窜改系统中数据内容，修正消息次序、时间（延时和重放）； 伪造（攻击系统的真实性）：将伪造的假消息注入系统、假冒合法人接入系统、重放截获的合法消息实现非法目的，否认消息的接收或发送等； 轰炸（攻击系统的健壮性）：用数百条消息填塞某人的E—mail信箱也是一种在线袭扰的方法。 防范非法入侵的技术措施 网络安全检测设备：对访问者进行监督控制，一旦发现有异常情况，马上采取应对措施，防止非法入侵者进一步攻击 访问设备:通过给访问者提供智能卡，通过智能卡的信息来控制用户使用 防火墙（firewall）：它通过对访问者进行过滤，可以使系统限定什么人在什么条件下可以进入自己网络系统。非法入侵者入侵时，就必须采用IP地址欺骗技术才能进入系统，但增加了入侵的难度。 安全工具包:安全工具包主要是提供一些信息加密和保证系统安全的软件开发系统。用户可以在这些安全工具包的基础上进行二次开发，开发自己的安全系统。 第四节 电子签名 1 电子签名概述 2 电子签名的基本原理 电子签名概述 一、签名概述 二、电子签名的特征 三、电子签名与数字签名 签名概述 1.法律意义－代表了个人的真实意愿表示，并且经过个人承诺（通过了各种形式的签名） 2.属性－原则上由本人签字，并且自身受签名的文件约束【签字的独特性和排他性】 电子签名的特征 1. 含义－可用以证明数据电文发出者的身份并表明签署者承认该数据电文包含的内容，在法律上有着对等的权利和义务 2.作用－确认身份、确认信息来源、信息完整性、确认安全性、作为证据等 3.特有属性 非直观性 特殊认证性 更改隐蔽性 不安全性 电子签名与数字签名 1.电子签名分类 广义－包括一切能够识别当事人身份、表明签字者确认文件内容并且受其约束的技术手段/狭义－常指数字签名，专指以非对称密钥加密（Asymmetric Cryptography，即为公开密钥加密）方法生成的数字串 夹在中间的－强化电子签名 2.“电子签名”－“以数字形式所附或在逻辑上与电子记录有联系的任何字母、文字、数字或其他符号，并且执行或采纳电子签名是 3.早期的电子签名－数字签名是唯一的方式和手段，明确规定采用非对称系统和哈希函数 4.现行的电子签名方式：基于PKI（Public Key Infrastructure）的公钥密码技术的电子签名；以生物特征统计学为基础的识别标识；手印、声音印记或视网膜扫描的识别；能识别发件人身份的密码代号、密码或个人识别码PIN；基于量子力学的计算机等。（常用的为PKI） （PKI（Public Key Infrastructure ）是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。用户可利用PKI平台提供的服务进行安全的电子交易，通信和互联网上的活动。 ） 5.强化电子签名属性： 独特性－签名者为特定目的使用 识别性－可客观识别签名者的身份 可靠性－安全、不易被伪造或破解 关联性－签名能识别电文是否经过更改 6.我国采取“可靠的电子签名”，基本上就是强化的电子签名，其满足的条件包括：制作数据为电子签名人专有、仅有电子签名人控制、签署后对电子点名的修改能够被发现、签署后对数据电文的内容和形式修改能够被发现。 电子签名的基本原理 1 电子签名的实现技术 2