电子商务安全教学课件PT.ppt

第五章电子商务安全技术 电子商务安全概述 电子商务安全关键技术 电子商务安全解决方案 电子商务安全面临的挑战 电子商务迅速发展 根据中国互联网络信息中心（CNNIC）发布的“中国互联网络发展状况统计报告（2000/1），在电子商务方面，52.26％的用户最关心的是交易的安全可靠性。由此可见，电子商务的安全问题是实现电子商务的关键之所在。 电子商务安全的体系结构 电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全 计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标 商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行 计算机网络安全与商务交易安全实际上是密不可分的，两者相辅相成，缺一不可 网络安全的基本要求 一个没有安全措施的网络模型 计算机网络安全体系结构 一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全。 利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术，在攻击者和受保护的资源间建立多道严密的安全防线，极大地增加了恶意攻击的难度。 实施网络安全防范措施 使用访问控制权限机制实现数据的访问控制 对日志以及敏感数据和信息进行加密存储 当使用WWW服务器支持电子商务活动时，注意数据的备份和恢复，并采用防火墙技术保护内部网络的安全性 良好的用户管理机制，向授权用户提供利用Internet/Intranet访问关键业务信息的权限，同时阻止未经授权的用户的访问 提供全面实时的病毒防护和防恶意代码保护，主动截获潜伏于电子邮件以及远程或本地文件中的病毒。 防止恶意袭击，保护与Internet连接的系统不受恶意代码的破坏。其功能包括实时的袭击干预、自动探测、阻止和通知各类恶意袭击的内容 实时入侵探测，保证网络周边的安全性 商务交易安全 对网络的被动攻击和主动攻击 电子商务安全威胁 信息的截获和窃取 如果没有采用加密措施或加密强度不够，攻击者可能通过互联网、公共电话网、搭线、电磁波辐射范围内安装截收装置或在数据包通过的网关和路由器时截获数据等方式，获取传输中的机密信息，或通过对信息流量和流向、通信频度和长度等参数的分析，推出有用信息。 电子商务安全威胁 (续) 信息的篡改 当攻击者熟悉了网络信息格式以后，通过各种技术方法和手段对网络传输的信息进行中途修改，并发往目的地，从而破坏信息的完整性。这种破坏手段主要有三个方面： (1)篡改--改变信息流的次序，更改信息的内容，如要求付款的银行帐号；(2)删除--删除某个消息或消息的某些部分；(3)插入--在消息中插入一些信息，让收方读不懂或接收错误的信息。 电子商务安全威胁 (续) 信息假冒 当攻击者掌握了网络信息数据规律或解密了商务信息以后，可以假冒合法用户或发送假冒信息来欺骗其他用户，主要有两种方式 （1）伪造电子邮件：虚开网站和商店，给用户发电子邮件，收定货单；伪造大量用户，发电子邮件，穷尽商家资源，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应；伪造用户，发大量的电子邮件，窃取商家的商品信息等。 （2）假冒他人身份：如冒充领导发布命令、调阅密件；冒充他人消费、栽赃；冒充主机欺骗合法主机及合法用户；冒充网络控制程序，套取或修改使用权限、通行字、密钥等信息；接管合法用户，欺骗系统，占用合法用户的资源 电子商务安全威胁 (续) 交易抵赖 交易抵赖包括多个方面： (1)发信者事后否认曾经发送过某条消息或内容； (2)收信者事后否认曾经收到过某条消息或内容； (3)购买者做了订货单不承认； (4)商家卖出的商品因价格差而不承认原有的交易。 电子商务对安全的基本要求 电子商务安全需求 机密性(confidentiality):预防信息在传输过程中被非法窃取。一般通过密码技术对传输的信息进行加密处理实现。 完整性(integrity):预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。完整性一般可通过提取信息消息摘要的加密技术来获得。 认证性(authenticity) ：对个人或企业实体进行身份确认。对身份的认证一般都通过证书机构CA和证书来实现。 不可抵赖性(non-repudiation):不可抵赖性可通过对发送的消息进行数字签名来获取。 电子交易的安全技术 身份认证：确