第八章电子商务系统的安全.ppt

第八章 电子商务系统的安全 第一节 电子商务的安全问题 一、电子商务安全概况 1.Windows操作系统的安全漏洞越来越多 2.网络安全隐患严重 3.网络病毒活动猖獗 4.“网络钓鱼”（Phishing）式欺诈活动明显增多，网页（站）篡改事件上升 5.投资诈骗已成一大害 6.身份被盗财产损失惊人 第一节 电子商务的安全问题 在网络时代，天上掉下来的馅饼很可能是陷阱。中国互联网络信息中心近期发布的报告显示，今年上半年，遭遇过病毒或木马攻击的网民高达2亿多人，占网民总数将近一半，另有1.21亿网民遭遇过账号或密码被盗，其中很多网络攻击行为都来自“钓鱼”网站。“钓鱼”网站的假冒对象遍及网上银行、电子购物网站、电视节目网站、火车票订票网站等，可谓无孔不入、防不胜防。 ——新华网 2011.11.06 第一节 电子商务的安全问题 第一节 电子商务的安全问题 二、电子商务的安全隐患 电子商务安全整体上可分为计算机网络安全和商务交易安全两大部分。 电子商务中的安全隐患： 1.信息的篡改 2.信息的截取和窃取 3.信息的假冒 4.信息的中断 5.交易抵赖 计算机网络的安全威胁 信息间谍的恶意闯入 怀有恶意用户的闯入 闲散用户的好奇闯入 用户的恶性破坏。 网络的内部威胁 内部用户有意的安全威胁 无意用户的安全威胁 商务交易信息传输的安全威胁 对网上信息的监听 对用户身份的仿冒 对网络上信息的篡改 对发出信息予以否认 对信息进行重发 第一节 电子商务的安全问题 三、电子商务的安全需求 1.交易身份的真实性 服务器的真实性、交易双方身份的 真实性 2.信息完整性 通信过程必须保证数据完整。 3.信息一致性 保证数据传输过程中不会被篡改。即使发生了数据篡改，接收方也应能够及时检测出。 4.信息必威体育官网网址性 通信内容只有特定方才能够了解。 5.信息可鉴别性 指通信双方能够识别对方的真实身份，而不会被假冒和欺骗。 6.信息不可否认性 指数据的发送方无法否认数据传输行为 第一节 电子商务的安全问题 四、网民的自我保护措施 （一）网络欺诈手法 1.发送电子邮件，以虚假信息引诱用户中圈套； 2.建立假冒网上银行、网上证券网站，骗取用户账号和密码实施盗窃； 3.利用虚假的电子商务进行诈骗； 4.利用木马和黑客技术等手段窃取用户信息后实施盗窃； 5.利用用户弱口令等漏洞破解、猜测用户账号和密码。 四、网民的自我保护措施 四、网民的自我保护措施 （二）防护措施 1.提高安全意识，及时升级电脑杀毒软件并定期杀毒； 2.谨慎打开陌生邮件； 3.注意辨别网银站点； 4.账号密码尽量复杂，不同场合使用不同的密码； 5.使用较为权威的第三方支付； 6.不要轻易尝试点击卖家通过ＭＳＮ／ＱＱ或Ｅ－ｍａｉｌ等方式提供给你的交易链接； 7.在网购时尽量采用具有安全功能的浏览器，这样可以有效屏蔽钓鱼网站； 8.选择知名网购网站，如淘宝、当当网、卓越等； ……………. 第二节 电子商务的安全技术 一、加密技术 加密包含两个元素：加密算法和密钥。加密算法就是用基于数学计算方法与一串数字（密钥）对普通的文本（信息）进行编码，产生不可理解的密文的一系列步骤。 密钥是用来对文本进行编码和解码的数字。 第二节 电子商务的安全技术 一、加密技术 一个简单的加密方法是把英文字母按字母表的顺序编号作为明文，将密钥定为17，加密算法为将明文加上密钥17，就得到一个密码表。 例如，将英文信息“This is a secret. ”加密后得到密文。解密算法则是将密文减去密钥17，得到明文，再翻译成对应的字母和符号。 第二节 电子商务的安全技术 二、认证技术 身份认证 信息认证 通过认证机构认证 （一）身份认证 1.密码的方式： 使用身份标识码加密码来进行安全防范，如用户口令； 2.物理载体的方式： 使用证件、钥匙、卡等有形载体认证身份； 3.生物特征身份识别方式： 使用指纹、手指血管纹、面像、唇纹、视网膜、虹膜、DNA、语音等生物特征来识别人身份。 每一种身份识别技术都有其优点和缺点，都不可能达到百分之百的完美程度。 （三）通过认证机构认证 通常在网上担任身份认证和信息认证的认证机构是认证中心CA(Certification Anthority)。 CA是一个可信的第三方认证机构，也可以说是一个证书机构，负责颁发公钥证书并对这些证书进行管理，提供客户认证业务； CA具有权威性、公证性和可信赖性。 认证中心的职能： 证书发放 证书更新 证书撤消 证书验证 （三）通过认证机构认证 在实际运作中，认证中心可由大家都信任的一方担当: 例如在客户、商家、银行三角关系中，客户使用的是由