第4章电子商务的安全威胁和安全措施.pptVIP

第四章 电子商务的安全威胁和安全措施;通过本章的学习，首先要了解计算机有哪些安全问题，然后分析存在服务器、通讯信道、客户机、及版权和知识产权的安全威胁和相应的安全措施。学习本章的内容不在于掌握很深的技术问题，重点在于树立电子商务的安全意识，以及如何保护自己的电子商务系统。; 第一节 概述;(1)必威体育官网网址是指防止未授权的数据暴露并确保数据源的可靠性。 必威体育官网网址与保护隐私的区别： 必威体育官网网址是防止未经授权的信息泄漏；必威体育官网网址需要使用复杂的物理和逻辑安全技术。 保护隐私是保护个人不被曝光的权利；保护隐私需要借助法律。 (2)完整是防止未经授权的数据修改。对完整性的安全威胁也叫主动搭线窃听。当未经授权改变了信息流时就构成了对完整性的安全威胁。 完整性和必威体育官网网址性的区别是： 对必威体育官网网址性的安全威胁是指某人看到了他不该看的信息。 对完整性的安全威胁是指某人改动了传输的关键信息。 ;(3)即需是防止延迟或拒绝服务，对即需性的安全威胁也叫延迟安全威胁或拒绝安全威胁，其目的是破坏正常的计算机处理或者完全拒绝处理。 ;二、为了保护计算机的安全不受侵害必须制定相应的安全策略及安全措施 1、安全策略 安全策略是对所需保护的资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些行为不可接受等的书面描述。 安全策略一般要陈述物理安全、网络安全、访问授权、病毒保护、灾难恢复等内容，这个策略会随时间而变化，公司负责安全的人员必须定期修改安全策略。 ;安全策略一般包含以下内容： （1）认证：谁想访问电子商务网站？ （2）访问控制：允许谁登录电子商务网站并访问它？ （3）必威体育官网网址：谁有权利查看特定的信息？ （4）数据完整性：允许谁修改数据，不允许谁修改数据？ （5）审计：在何时由何人导致了何事？;2、安全措施 安全措施是指识别、降低或消除安全威胁的物理或逻辑步骤的总称。 根据资产的重要性不同，我们应该制定相应的安全措施。如果保护资产免受安全威胁的成本超过所保护资产的价值，我们就认为这种资产的安全风险很低或不可能发生。 对???容易经常发生的安全问题，我们的保护措施及相应的花费是非常值得的，如果我们花同样的钱来对那些不经常发生的威胁进行保护是不值得的。 ;第三节对通讯信道的安全威胁及防护措施 ;加密：就是把明文通过一定的算法变换成只有知道密钥的人才能看懂的密文再发送出去的变换过程。 解密：加密的逆过程，即由密文恢复出原明文的过程。 加密算法：对明文进行加密时所采用的一组规则。 解密算法：接收者对密文进行解密时所采用的一组规则。 ;密钥：使加密和解密算法按照一种特定方式运行并产生特定密文的值。 密匙的长度：密钥的长度是指密钥的位数。密文的破译实际上是黑客经过长时间的测试密钥，破获密钥后解开密文。怎样才能使加密系统牢固，让黑客们难以破获密钥呢？这就是要使用长密钥。例如一个16位的密钥有65536（2的16次方）种不同的密钥，顺序猜测65536种密钥对于计算机来说很容易。如果是100位的密钥，计算机猜测的时间就需要几个世纪了。; 按密钥和相关加密程序类型把加密分为三类：散列编码、非对称加密和对称加密。 （1）散列编码。散列编码是用散列算法求出某个信息的散列值（摘要）的过程。散列值相当于信息的指纹，因它对每条信息都是唯一的，如果散列算法设计得好，由两个不同信息计算出同一散列值的概率非常小。散列编码对于判别信息是否在传输时被改变非常方便。若信息被改变，原散列值就会与接收者所收信息计算出的散列值不匹配。;假定信息是内有客户地址和结算信息的采购订单。由散列函数计算出散列值后，就将此值附加到这条信息上。当商家收到采购订单及附加的信息摘要后，就用此信息（不含附加的信息摘要）计算出一个信息摘要。如果商家所计算出的信息摘要同信息所附的信息摘要匹配，商家就知道此信息没有被篡改，即闯入者未曾更改商品数量和送货地址；如果闯入者更改了信息，商家计算出的信息摘要就同客户计算并随订单发来的信息摘要不同。 ;散列算法是单向函数，即无法根据散列值得到原信息。一个散列值只能用于同另一个散列值的比较。散列算法有以下特征：不需要密钥，其生成的信息摘要无法还原成原始信息，其工作原理的算法和信息都是公开的，而且散列冲突也很少发生。;(2)对称加密。又称私有密钥加密，它只用一个密钥对信息进行加密和解密。 例1。假设你想通过Internet给你表妹送条秘密消息，于是你打算对其进行加密。你通过一种复杂的方式将其变为不规则码的加密信息，除了你的表妹没有人能把它解释成可以读懂的文件，而她之所以能把它读懂，也只是因为你给了她一个解密方法，可以用它把加密的消息变得规则，恢复它的真实面貌。 ;你用的加密方法是：把原信息中的字母按字母表的顺序依次向后移动3