《电子商务概论》第8章安全.pptx

第八章 电子商务安全案 例2016年12月10日晚，一个消息迅速传播开来，一个12G数据包正在黑市流通，其中内容涉及千万用户的用户名、密码、身份证号码、电话号码、邮箱、QQ号，该数据包来源于京东。11日凌晨，京东迅速对此事件作出回应，发表声明称，其信息安全部门根据报道内容初步判断，数据源于2013年Struts 2的安全漏洞问题。虽然当时迅速完成系统修复，也进行了安全升级的提示，但因部分用户未能及时升级账号安全，存在一定风险。这并不是京东第一次遭遇数据泄露事件。2015年，京东也曾被曝出大量用户隐私信息泄露，多名用户被骗走金额达数百万元。直至一年后，京东才公布调查结果，称是3名物流人员通过物流流程掌握了9313条用户数据。仅是9313条用户数据的泄露，其涉案金额就高达数百万元。这次千万用户数据泄露，造成的结果让人担忧。实际上，用户信息泄露事件屡见不鲜，多集中出现于电商及支付平台。当当、支付宝、12306都曾出现过类似信息泄露事件。如今网络购物发达，电商和支付平台与消费者生活息息相关，其平台所需个人信息较多，自然也成为信息小偷重点“关照”对象。思考：京东电商平台为什么会遭遇用户数据泄露？如何保障电子商务交易安全？ 电子商务安全技术目 录电子商务安全认知电子商务安全交易0301028.1电子商务安全认知一、电子商务安全含义广义狭义12电子商务安全是指在整个电子商务流程中的信息安全，即信息在采集、存储、处理、传播和运用过程中得到良好保护的状态，包括网络信息的存储安全和信息的传输安全两个方面。电子商务安全包括电子商务系统的硬件安全、软件安全、运行安全以及电子商务立法、电子商务信用环境等，它不仅与计算机系统结构有关，还与电子商务应用的环境、人员素质和社会因素有关。二、电子商务安全要素信息的机密性1信息认证26可控性3用户身份认证、数字签名5不可抵赖性4可靠性三、电子商务安全威胁12信息的截获和盗取系统的中断63黑客攻击交易抵赖54信息的伪造信息的篡改四、电子商务体系结构电子商务安全体系结构 电子商务安全技术8.2一、电子商务安全技火墙的功能（一）防火墙防火墙的安全策略防火墙的技术防火墙应用的局限性（二）病毒防范技术网络反病毒技术计算机病毒的概念计算机病毒的防护措施（三）入侵检测技术入侵检测技术的工作原理什么是入侵检测入侵检测技术的实现方法非对称加密对称加密12对称加密技术(Symmetric Encryption)又称为常规密钥加密、私钥或单钥密钥加密，即信息的发送方和接收方使用同一个密钥对信息数据进行加密和解密的技术。非对称加密技术(Unsymmetric Encryption）又称为公开密钥加密，是指分别使用公开密钥(加密密钥)和私有密钥(解密密钥)完成信息的加密和解密的加密技术。（四）数据加密技术（五）数字摘要技术 数字摘要技术的实现过程（六）数字签名技术 数字签名技术的实现过程（七）数字证书数字证书分类数字证书功能数字证书的安装 电子商务安全协议8.3一、安全套接层（SSL)安全协议安全套接层（secure socket layer，SSL)协议是由Netscape公司研究制定的安全协议，主要用于提高应用程序之间数据的安全性。该协议向基于TCP/IP的客户机/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查，在SSL握手信息中采用了DES(对称加密算法）、MD5(信息摘要法）等加密技术来实现机密性和数据完整性，并采用X.509国际标准的数字证书实现鉴别。该协议已成为事实上的工业标准，并被广泛应用于Internet和Intranet的服务器产品和客户端产品中。（1）客户将购买信息发往商家（2）商家将信息转发给银行（3）银行验证客户信息的合法性（4）银行通知商家付款成功（5）商家通知客户购买成功（一）SSL协议下的交易模式交易步骤（二）基于SSL协议的交易模式的问题SSL协议本身问题SSL协议的缺陷是只能保证传输过程的安全，而无法知道在传输过程中是否受到窃听，黑客可借此破译经SSL协议加密的数据商家信用问题SSL协议运行的基础是商家对客户信息保密的承诺。客户的信息首先传到商家，商家审阅后再传到银行，这样客户资料的安全性便受到威胁。二、安全电子交易（SET）安全协议SET协议由SET业务描述、SET程序员指南和SET协议描述三个文件组成，为基于信用卡进行电子化交易的应用提供了实现安全措施的规则。在SET中采用了双重签名技术，支付信息和订单信息是分别签署的，这样保证了商家看不到支付信息，而只能看到订单信息。支付指令中包括了交易ID、交易金额、信用卡数据等信息，这些涉及与银行业务相关的保密数据对支付网关是不保