第五章电子商务安全技术.pptx

第五章 电子商务安全技术1、电子商务安全概述 2、电子商务安全机制3、电子商务安全认证4、电子商务安全协议 1、电子商务安全概述 据权威机构调查表明，目前国内企业发展电子商务的最大顾虑是网上交易的安全问题。 1、电子商务安全概述1.1 电子商务的安全问题（1）问题的提出 措施数据加密 数字签名、加密、认证等 防火墙计算机病毒防治措施 1.1 电子商务的安全问题（2）电子商务的安全隐患（安全问题） 问题数据被非法截获、读取或者修改 冒名顶替和否认行为 一个网络的用户未经授权访问了另一个网络 计算机病毒 1.2 电子商务的安全需求电子商务的安全需求包括两方面：电子交易的安全需求计算机网络系统的安全1.2 电子商务的安全需求1、电子交易的安全需求（1）身份的可认证性 在双方进行交易前，首先要能确认对方的身份，要求交易双方的身份不能被假冒或伪装。（2）信息的保密性 要对敏感重要的商业信息进行加密，即使别人截获或窃取了数据，也无法识别信息的真实内容，这样就可以使商业机密信息难以被泄露。 请给丙汇100元请给丁汇100元乙甲请给丁汇100元请给丙汇100元丙1.2 电子商务的安全需求1、电子交易的安全需求（3）信息的完整性 交易各方能够验证收到的信息是否完整，即信息是否被人篡改过，或者在数据传输过程中是否出现信息丢失、信息重复等差错。 1.2 电子商务的安全需求1、电子交易的安全需求（4）不可抵赖性 在电子交易通信过程的各个环节中都必须是不可否认的，即交易一旦达成，发送方不能否认他发送的信息，接收方则不能否认他所收到的信息。 （5）不可伪造性 电子交易文件也要能做到不可修改 1.2 电子商务的安全需求2. 计算机网络系统的安全一般计算机网络系统普遍面临的安全问题：（1）物理实体的安全 （2）自然灾害的威胁 （3）黑客的恶意攻击 （4）软件的漏洞和“后门” （5）网络协议的安全漏洞 （6）计算机病毒的攻击 1.2 电子商务的安全需求2. 计算机网络系统的安全（1）物理实体的安全 设备的功能失常电源故障 由于电磁泄漏引起的信息失密 搭线窃听 1.2 电子商务的安全需求2. 计算机网络系统的安全（2）自然灾害的威胁 各种自然灾害、风暴、泥石流、建筑物破坏、火灾、水灾、空气污染等对计算机网络系统都构成强大的威胁。1.2 电子商务的安全需求2. 计算机网络系统的安全（3）黑客的恶意攻击 所谓黑客，现在一般泛指计算机信息系统的非法入侵者。 黑客的攻击手段和方法多种多样，一般可以粗略的分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。 1.2 电子商务的安全需求2. 计算机网络系统的安全（4）软件的漏洞和“后门” （5）网络协议的安全漏洞 （6）计算机病毒的攻击 计算机病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。” ——《中华人民共和国计算机信息系统安全保护条例》1.2 电子商务的安全需求2. 计算机网络系统的安全（6）计算机病毒的攻击 计算机病毒的破坏目标和攻击部位： 攻击系统数据区攻击文件攻击内存 干扰系统运行 计算机速度下降 攻击磁盘扰乱屏幕显示 干扰键盘操作 使计算机的喇叭发出响声 攻击CMOS 干扰打印机 1.3 电子商务基本安全技术 1、加密技术 2、认证技术3、安全电子交易协议4、黑客防范技术5、虚拟专网技术6、反病毒技术1.3 电子商务基本安全技术 1、加密技术 加密技术是认证技术及其他许多安全技术的基础。 “加密”，简单地说，就是使用数学的方法将原始信息（明文）重新组织与变换成只有授权用户才能解读的密码形式（密文）。而“解密”就是将密文重新恢复成明文。1.3 电子商务基本安全技术 1、加密技术 对称密码体制加密密钥与解密密钥是相同的。密钥必须通过安全可靠的途径传递。由于密钥管理成为影响系统安全的关键性因素，使它难以满足系统的开放性要求。 非对称密码体制把加密过程和解密过程设计成不同的途径，当算法公开时，在计算上不可能由加密密钥求得解密密钥，因而加密密钥可以公开，而只需秘密保存解密密钥即可。 1.3 电子商务基本安全技术 2. 认证技术 认证的功能 采用认证技术可以直接满足身份认证、信息完整性、不可否认和不可修改等多项网上交易的安全需求，较好地避免了网上交易面临的假冒、篡改、抵赖、伪造等种种威胁。 1.3 电子商务基本安全技术 2. 认证技术 身份认证：用于鉴别用户身份 实现方式用户所知道的某种秘密信息用户持有的某种秘密信息（硬件） 用户所具有的某些生物学特征 报文认证：用于保证通信双方的不可抵赖性和信息完整