第2章电子商务系统的安全需求.pptxVIP

第2章 电子商务系统的安全需求 ;2.1 安全问题的产生 2.2 交易环境的安全性 2.3 交易对象和交易过程的安全性 2.4 网上支付的安全需求 ;本章学习目标; 传统商务是在现实物理世界中真实地进行的商务活动，其过程可以简单地分为查询、订货和交易三个环节。;(1) 客户在Internet上查询自己想购买的商品 (2) 客户输入订单 (3) 商家向客户提供所购商品信息 (4) 客户在确认上述信息后，用电子钱包或其他方式付款;(5) 信用卡号码经加密后发送到相应银行 如果信用卡信息经银行检验后遭到拒绝或不予授权，说明客户的信用卡不足以支付本次消费金额或已过期。 这时客户还可以从电子钱包中选出其他信用卡，重复上述过程。;(6) 如果经银行证明客户信用卡有效授权，商家就可以准备付货。同时，商家留下整个交易过程中发生的财务数据，并且出示一份电子收据给消费者。 (7) 销售商店就按照订单通过邮政系统或配送中心送货。;恶者对电子商务系统的主要威胁有： 系统穿透 (2) 违反授权原则 (3) 植入 (4) 通信监视 (5) 通信干扰 (6) 中断 (7) 拒绝服务 (8) 否认 ;2.2 交易环境的安全性;;客户机的任务是： (1) 制作一个请求（通常在单击某个链接点时启动）。 (2) 将请求发送给某个服务器。 (3) 通过对直接图像适当解码，呈交HTML文档和传递各种文件给相应的观察器（Viewer），把请求所得的结果报告给你。;基本功能： 检索查询功能 文件服务功能 (3) 热表管理 (4) 建立自己的主页（Home Page） (5) 提供其他Internet服务 ;2.2.2 客户机的安全性 1．活动内容 活动内容是指在页面上嵌入的对用户透明的程序，它可完成一些动作。 活动内容有多种形式，最知名的活动内容形式包括Java小应用程序、ActiveX控件、JavaScript和VBScript。 ;2．Java、Java小应用程序和JavaScript Java是Sun微系统公司开发的一种高级程序设计语言。 Java是一种真正的面向对象的语言. JavaScript是网景公司（Netscape）开发的一种脚本语言，它支持页面设计者创建活动内容。 ;3．ActiveX控件 ActiveX是一个对象（称作控件），它含有由页面设计者放在页面来执行特定任务的程序. ;4．图形文件、插件和电子函件的附件 图形文件、浏览器插件和电子函件附件均有可存储可执行的内容。 这就意味着带这种图形的任何页面都是潜在的安全威胁，因为嵌在图形中的代码可能会破坏计算机. ;2.2.3 通信信道的安全性 1．对保密性的安全威胁 2．对完整性的安全威胁 3．对即需性的安全威胁;2.3 交易对象和交易过程的安全性; 一个典型的电子交易过程是这样的如图2-2所示; 电子商务交易双方（销售者和消费者）都面临不同的安全威胁。 1．对销售者而言，他面临的安全威胁主要有： (1)中央系统安全性被破坏 (2) 竞争者检索商品递送状况 (3) 客户资料被竞争者获悉;(4) 被他人假冒而损害公司的信誉 (5) 消费者提交订单后不付款 (6) 虚假订单 (7) 获取他人的机密数据 ;2．对消费者而言，他面临的安全威胁主要有： (1)虚假订单 (2) 付款后不能收到商品 (3) 机密性丧失 (4) 拒绝服务 ;3．黑客们攻击电子商务系统的手段可以大致可归纳为： (1)中断（攻击系统的可用性） (2) 窃听（攻击系统的机密性） (3) 篡改（攻击系统的完整性） (4) 伪造（攻击系统的真实性） ;4．网上进行电子交易的安全性要求可归纳为： (1)真实性要求 (2) 有效性要求 (3) 机密性要求 (4) 完整性要求 (5) 不可抵赖要求 ;2.4 网上支付的安全需求; 可将支付定义为：为清偿商品交换和劳务活动引起的债权债务关系，由银行所提供的金融服务业务。 ; 支付与信用的关系十分密切，一定的信用关系与信用制度是支付体系得以建立与完善的基础，同时，支付体系的完善和发展也能促进信用体系的进一步发展。 ;1．支付承诺 2．对违法者的惩罚 3．信用积累制度 4．身份认证; 支付的全过程可分为两个层次。 一层是商业银行为广大客户提供金融服务时所产生的支付往来与结算，是支付系统的下层支付服务系统。 另一层是中央银行为商业银行提供支付资金清算服务时所产生的支付与清算，是支付系统中的上层资金清算系统。 ; 本章所讨论的电子商务网上支付系统是建立在这些现存的支付清算