电子商务安全教案.docVIP

衡阳师范学院 经济与法律系 《电子商务安全管理》教案  电子商务安全概论 教学目的：了解电子商务的基本概念；掌握电子商务安全的基本要求；掌握电子商务面临的安全威胁；掌握电子商务安全架构。 教学重点：电子商务安全的基本要求。 教学难点：电子商务面临的安全威胁。 教学方法：讲授、问题讨论 教学课时：3课时 随着Internet的发展，电子商务已经成为人们进行商务活动的新模式。电子商务的发展给人们的工作和生活带来了新的尝试和便利，也带来了无限商机，前景十分诱人。但是，很多商业机构对网上运作的安全问题存在忧虑。在竞争激烈的市场环境下，电子商务的一些信息可能属于商业机密，一旦信息失窃，企业的损失将不可估量。因此，在运用电子商务模式进行贸易活动的过程中，安全问题就成为最核心的问题，也是电子商务得以顺利进行的保障。电子商务安全包括有效保障通信网络、信息系统的安全，确保信息的真实性、保密性、完整性、不可否认性和不可更改性等。 本章重点介绍： 1.1电子商务安全概述 1.1.1 Internet的产生源于计算机资源共享的需求。由于它良好的开放性，信息资源的丰富性以及与传统贸易方式和专业增值网络（VAN）相比相对低廉的费用，使企业越来越青睐Internet。现在，通过Intranet（企业内部网）、Extranet（企业外部网）和Internet把贸易合作伙伴联系起来进行商务活动已经成为一种时尚。正是由于Internet的开放性，使它产生了更严重的安全问题。 电子商务中的安全隐患主要体现在下列几方面： （1）信息的窃取 如果没有采取加密措施或加密强度不够，攻击者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密。 （2）信息的篡改 当攻击者掌握了网络信息格式和规律以后，通过各种技术方法和手段对网络传输的信息在中途修改，然后发往目的地，从而破坏信息的完整性。这种破坏手段主要有三个方面： 1）篡改——改变信息流的次序，更改信息的内容，如购买商品的发货地址； 2）删除——删除某个消息或消息的某些部分； 3）插入——在消息中插入一些信息，让接收方读不懂或接收错误的信息。 （3）信息的假冒 当攻击者掌握了网络信息数据规律或解密了商务信息以后，可以冒充合法用户发送假冒的信息或主动窃取信息。主要有两种方式：一是伪造电子邮件，虚开网站给用户发电子邮件，收订货单；伪造大量用户，发电子邮件耗尽商家资源，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应；伪造用户，发大量的电子邮件，窃取商家的商品信息和用户信用等信息。另外一种为假冒他人身份，如冒充领导发布命令、调阅密件；冒充他人消费、栽赃；冒充主机欺骗合法用户；冒充网络控制程序，套取或修改使用权限、密钥等信息；接管合法用户，欺骗系统，占用合法用户的资源。 （4）交易的抵赖 交易抵赖包括多个方面，如发送方事后否认曾经发送过某条信息或内容；接收方事后否认曾经收到过某条消息或内容；购买者做了定货单不承认；商家卖出的商品因价格差而不承认原有的交易等。 由于电子商务是在开放的网络上进行的，支付信息、订货信息、谈判信息、机密的商务往来文件等大量商务信息在计算机系统中存放、传输和处理，因此，导致了对电子商务安全的需求，保证商务信息的安全是进行电子商务的前提。 1.1.2 要保证电子商务活动的安全可靠，真正实现一个安全的电子商务系统，一般来说，电子商务安全有以下需求： 1.保密性 商务信息直接代表着个人、企业或国家的商业秘密，传统的纸面贸易都是通过邮寄封装的信件，或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个开放的网络环境上的，维护商业机密是电子商务全面推广应用的重要保障。因此要预防非法的信息存取和信息在传输过程中被非法窃取。 保密性主要是使信息发送和接收在安全的通道进行，保证通信双方的信息保密；交易的参与方在信息交换过程中没有被窃听的危险；非参与方不能获取交易的信息。信息加密和防火墙技术主要解决这方面的问题。 2.正确性和完整性。 信息的正确性和完整性问题要从两方面来考虑。一方面是非人为因素，如因传输介质损坏而引起的信息丢失、错误等。这类问题通常通过校验来解决，一旦校验出错误，接收方可向发送方请求重发。另一方面则是人为因素，主要是指非法用户对信息的恶意篡改。这方面的安全性也是由信息加密和提取信息的数字摘要来保证的，因为如果无法破译信息，也就很难篡改。 3.身份的确定性 由于电子商务交易系统的特殊性，交易通常都是在虚拟的网络环境中进行的，要使交易成功，首先要能确认对方的身份，所以对各主体进行身份认证成了电子商务中十分重要的一个环节，这意味着当交易主体在不见面的情况下声称具有某个特定的身份