电子商务安全需求与应对措施.pptxVIP

第3章 电子商务安全;电子商务安全概述 电子商务的安全需求 电子商务安全技术与措施 电子商务安全认证机制 案例;3.1.1电子商务的安全威胁 3.1.2国内电子商务安全现状 3.1.3电子商务安全对策; 在传统交易过程中，买卖双方是面对面的，因此很容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中，买卖双方是通过网络来联系的，彼此远隔千山万水，由于因特网既不安全，也不可信，因而建立交易双方的安全和信任关系相当困难。电子商务交易双方都面临不同的安全威胁。;电子商务存在安全威胁的主要原因： ;卖方(销售者)面临的安全威胁 ;买方(消费者)面临的安全威胁 ;中断(攻击系统的可用性)：破坏系统中的硬件、硬盘、线路、文件系统等，使系统不能正常工作； 窃听(攻击系统的机密性)：通过搭线与电磁泄漏等手段造成泄密，或对业务流量进行分析，获取有用情报； 篡改(攻击系统的完整性)：篡改系统中数据内容，修正消息次序、时间(延时和重放) ； 伪造(攻击系统的真实性)：将伪造的假消息注入系统，假冒合法人介入系统、重放截获的合法消息实现非法目的,否认消息的接入和发送等。; 近年来，国内电子商务得到了蓬勃发展，但由于技术不完善和管理不到位，安全隐患还很突出。;电子商务中存在的主要安全问题 ;以上问题可以归结为两大部分：计算机网络安全和商务交易安全。 计算机网络安全与商务交易安全实际上是密不可分的，两者相辅相成，缺一不可。 没有计算机网络安全作为基础，商务交易安全就犹如空中楼阁，无从谈起。 没有商务交易安全保障，即使计算机网络本身再安全，仍然无法达到电子商务所特有的安全要求。; 由于网络天生的不安全性，特别是其网上支付领域有着各种各样的交易风险。但无论是何种风险，其根本原因都是由于登录密码或支付密码泄露造成的。 密码管理问题 网络病毒、木马问题 钓鱼平台 硬件数字认证; 2013年4月，金山网络公开发布了《2012年度计算机病毒及钓鱼网站统计报告》。金山毒霸安全中心统计2012年共捕获病毒样本总量超过4200万个，比上一年增长41.4%。病毒感染超过2.3亿台次，比2011年下降14%。;金山公布的2012年度十大病毒：; 电子商务为了保证网络上传递信息的安全，通常采用加密的方法。但这是不够的，如何确定交易双方的身份，如何获得通讯对方的公钥并且相信此公钥是由某个身份确定的人拥有的，解决方法就是找一个大家共同信任的第三方，即认证中心(Certificate Authority，CA)颁发电子证书。用户之间利用证书来保证安全性和双方身份的合法性，只有确定身份后，交易的纠纷，才得到有效的裁决。 ; 电子商务安全对策是为了应对电子商务交易中，面临的各种安全威胁而采取的管理和技术对策。 ;1.完善各项管理制度;2.技术对策;3.2.1电子交易的安全需求 3.2.2计算机网络系统的安全; 电子商务安全问题的核心和关键是电子交易的安全性，因此，下面首先讨论在Internet上进行商务交易过程中的安全问题。由于Internet本身的开放性以及目前网络技术发展的局限性，使网上交易面临着种种安全性威胁，也由此提出了相应的安全控制要求。; 身份的可认证性是指交易双方在进行交易前应能鉴别和确认对方的身份。 在传统的交易中，交易双方往往是面对面进行活动的，这样很容易确认对方的身份。即使开始不熟悉、不能确信对方，也可以通过对方的签名、印章、证书等一系列有形的身份凭证来鉴别他的身份。 另外，在传统的交易中如果是采用电话进行通信，也可以通过声音信号来识别对方身份。 ;信息的保密性是指对交换的信息进行加密保护，使其在传输过程或存储过程中不被他人所识别。 在传统的贸易中，一般都是通过面对面的信息交换，或者通过邮寄封装的信件或可靠的通信渠道发送商业报文，达到保守商业机密的目的。 电子商务是建立在一个开放的网络环境下，当交易双方通过Internet交换信息时，因为Internet是一个开放的公用互联网络，如果不采取适当的保密措施，那么其他人就有可能知道他们的通信内容； 另外，存储在网络 的文件信息如果不加密的话，也有可能被黑客窃取。 ;信息的完整性指确保信息在传输过程中的一致性，并且不被未经授权者所篡改，也称不可修改性。 上面所讨论的信息保密性，是针对网络面临的被动攻击一类威胁而提出的安全需求，但它不能避免针对网络所采用的主动攻击一类的威胁。 所谓被动攻击，就是不修改任何交易信息，但通过截获、窃取、观察、监听、分析数据流和数据流式获得有价值的情报。 而主动攻击就是篡改交易信息，破坏信息的完整性和有效性，以达到非法的目的。; 例如，在电子贸易中，??给甲发了如下一份报文：“请给丁汇100元钱。乙”。报文在报发过程中经过了丙之手，丙就把“丁”