第六章电子商务安全选读.ppt

朱晓峰版权所有 第六章 电子商务安全 第一节 电子商务安全概述 第二节 电子商务的核心安全技术 第三节 电子商务的安全认证 第四节 电子商务的安全协议 第五节 电子商务安全的实现 第一节 概述 一、问题的提出 二、电子商务问题的类型 三、电子商务的安全要素 四、电子商务问题的策略 一、问题的提出 1、电子商务安全的现状 2、电子商务安全的原因 1、电子商务安全现状 黑客日益猖獗 损失日益巨大 防范相对软弱 解决刻不容缓 2、电子商务安全原因 2、电子商务安全的原因 1）电子商务对网络的高度依赖 2）网络本身过于开放 3）电子商务安全技术的缺陷 二、电子商务安全问题的类型 电子商务的安全从大体上可分为两大部分： 计算机网络本身的安全 商务交易信息的安全 二、电子商务安全问题的类型 1．硬件问题。硬件的安全性主要是相关硬件和物理连线的安全性问题，主要因素有自然灾害、硬件故障、电源和通讯线路被切断或被搭线窃听所造成的数据泄漏等。 2．协议问题。协议的安全性主要是由于许多网络协议没有进行安全方面的设计，以利于众多厂商的协议能够相互通讯和相互兼容。这在给户带来好处的同时，也埋下了安全的隐患。 3．操作系统问题。由于网络中各种各样的主机使用的操作系统和网操作系统也不相同，某种操作系统的安全漏洞可以造成网络的安全问题，从而达到拒绝服务的目的。 二、电子商务安全问题的类型 4、拒绝服务 通过删除某一网络上传送的所有数据包，使得网络拒绝为用户服务，还可以通过邮件炸弹的方法使系统性能降低或崩溃，从而达到拒绝服务的目的。 以网络瘫痪为目标的攻击，效果破坏性很大，造成危害的速度更快、范围也更广，而攻击者本身的风险却非常小，甚至可以在袭击开始前就已经消失的无影无踪，使得受害者没有实行打击报复的机会。 二、电子商务安全问题的类型 5。数据被侦听 由于未采取加密的措施，数据信息在网络上以“明文”的形式传送，则人侵者在数据包经过的网关或路由器上可以通过非法手段截取网络上传送的数据包，在多次窃取和分析后，然后再通过分析判断，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息的泄密。这种方法是网上间谍常用的手段之一。 二、电子商务安全问题的类型 6、伪造和篡改 网络上的服务器可能被任一台联网计算机所攻击，当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的数据包中的信息，在中途进行修改，使得数据包不能到达预期的目标或改变数据包中原有的内容。 7、假冒 由于掌握了数据的格式，并可以篡改通过的信息，攻击者往往会冒充为合法的用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨。攻击者还可以利用安全体制所允许的操作对系统或同络进行攻击和破坏。 二、电子商务安全问题的类型 8、安全措施 有些用户在建立自己的网站时，为了节省开支，往往会放弃了一些安全机制的设置和实现，以适应于使网络有更高的开放性的要求。 9 、人员因素 有些企业对网站的建设特别重视，而对网络的管理和安全重视的程度不够，没有一套安全管理的规章制度，从而容易对网络的安全造成危害。有大量的事实说明网络的安全问题是由内部引起的。 二、电子商务安全问题的类型 10、其他问题 由于电子商务的主要形式就是通过网络进行数据的传输、资金的划拨等来实现的，因此数据的必威体育官网网址性、数据的完整性、数据的不可修改性和不可否认性等方面的问题自然成为交易各方最关注的问题。 注： 由于电子商务对计算机网络安全与商务安全有双重的要求，这就使得电子商务安全的复杂程度比大多数的计算机网络系统的要求更高，所以电子商务安全应作为一项安全工程而不仅仅作为一个解决方案来实施。 三、电子商务的安全要素 1、有效性、真实性 2、机密性 3、数据的完整性 4、可靠性和不可抵赖性 1、有效性、真实性 有效性、真实性即是能对信息、实体的有效性、真实性进行鉴别。 　 2、机密性 机密性要求即是能保证信息不被泄露给非授权的人或实体。　　 3、数据的完整性 完整性要求即是能保证数据的一致性，防止数据被非授权建立、修改和彼坏。 （1）数据传输的完整性 （2）数据存储的完整性 （3）完整性检查 4、可靠性和不可抵赖性 可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝； 不可否认要求即是能建立有效的责任机制，防止实体否认其行为； 可控性要求即是能控制使用资源的人或实体的使用方式。 四、电子商务安全策略 1、完善的管理策略