电子商务的安全体系.pptVIP

SET交易分以下三个阶段进行： 购买请求阶段 用户与商家确定所用支付方式的细节 支付认定阶段 商家与银行核实，随着交易的进展，他们将得到付款 收款阶段 商家向银行出示所有交易的细节，然后银行以适当方式转移货款 用户只和第一阶段交易有关，银行与第二、三阶段有关，而商家与三个阶段都要发生关系。每个阶段都涉及到RSA对数据加密，以及RSA数字签名。因此，使用SET协议，在一次交易中要完成多次加密与解密操作。具体SET标准信息详见。 第四章 电子商务的安全威胁和安全措施 通过本章的学习，首先要了解计算机有哪些安全问题，然后分析存在服务器、通讯信道、客户机、及版权和知识产权的安全威胁和相应的安全措施。学习本章的内容不在于掌握很深的技术问题，重点在于树立电子商务的安全意识，以及如何保护自己的电子商务系统。 第一节 概述 一、计算机安全的定义 1、安全主要有两大类：物理安全和逻辑安全。物理安全是指可触及的保护设备，如警铃、保卫、防火门、安全栅栏、保险箱、防爆建筑物等。逻辑安全是指对资产进行保护使用的非物理手段。 2、计算机安全就是保护企业的信息资产不受未经授权的访问、使用、篡改或破坏。 3、计算机安全可分成三类，即保密、完整和即需。 (1)保密是指防止未授权的数据暴露并确保数据源的可靠性。 保密与保护隐私的区别： 保密是防止未经授权的信息泄漏；保密需要使用复杂的物理和逻辑安全技术。 保护隐私是保护个人不被曝光的权利；保护隐私需要借助法律。 (2)完整是防止未经授权的数据修改。对完整性的安全威胁也叫主动搭线窃听。当未经授权改变了信息流时就构成了对完整性的安全威胁。 完整性和保密性的区别是： 对保密性的安全威胁是指某人看到了他不该看的信息。 对完整性的安全威胁是指某人改动了传输的关键信息。 (3)即需是防止延迟或拒绝服务，对即需性的安全威胁也叫延迟安全威胁或拒绝安全威胁，其目的是破坏正常的计算机处理或者完全拒绝处理。 二、为了保护计算机的安全不受侵害必须制定相应的安全策略及安全措施 1、安全策略 安全策略是对所需保护的资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些行为不可接受等的书面描述。 安全策略一般要陈述物理安全、网络安全、访问授权、病毒保护、灾难恢复等内容，这个策略会随时间而变化，公司负责安全的人员必须定期修改安全策略。 安全策略一般包含以下内容： （1）认证：谁想访问电子商务网站？ （2）访问控制：允许谁登录电子商务网站并访问它？ （3）保密：谁有权利查看特定的信息？ （4）数据完整性：允许谁修改数据，不允许谁修改数据？ （5）审计：在何时由何人导致了何事？ 2、安全措施 安全措施是指识别、降低或消除安全威胁的物理或逻辑步骤的总称。 根据资产的重要性不同，我们应该制定相应的安全措施。如果保护资产免受安全威胁的成本超过所保护资产的价值，我们就认为这种资产的安全风险很低或不可能发生。 对于容易经常发生的安全问题，我们的保护措施及相应的花费是非常值得的，如果我们花同样的钱来对那些不经常发生的威胁进行保护是不值得的。 第三节对通讯信道的安全威胁及防护措施 保护电子商务的通道各种服务 一、交易的保密 1、加密 有关信息加密技术的基本概念 密码学：研究将文字转化为可见的但看不出意义的字符串的科学。 信息隐蔽：不让人看见文字。 明文（消息）：被加密的消息。 密文（密报）：利用密码将明文变换成的另一种形式。 加密：就是把明文通过一定的算法变换成只有知道密钥的人才能看懂的密文再发送出去的变换过程。 解密：加密的逆过程，即由密文恢复出原明文的过程。 加密算法：对明文进行加密时所采用的一组规则。 解密算法：接收者对密文进行解密时所采用的一组规则。 密钥：使加密和解密算法按照一种特定方式运行并产生特定密文的值。 密匙的长度：密钥的长度是指密钥的位数。密文的破译实际上是黑客经过长时间的测试密钥，破获密钥后解开密文。怎样才能使加密系统牢固，让黑客们难以破获密钥呢？这就是要使用长密钥。例如一个16位的密钥有65536（2的16次方）种不同的密钥，顺序猜测65536种密钥对于计算机来说很容易。如果是100位的密钥，计算机猜测的时间就需要几个世纪了。 按密钥和相关加密程序类型把加密分为三类：散列编码、非对称加密和对称加密。 （1）散列编码。散列编码是用散列算法求出某个信息的散列值（摘要）的过程。散列值相当于信息的指纹，因它对每条信息都是唯一的，如果散列算法设计得好，由两个不同信息计算出同一散列值的概率非常小。散列编码对于判别信息是否在传输时被改变非常方便。若信息被改变，原散列值就会与接收者所收信息计算出