第四章电子商务交易安全.docxVIP

第四章 电子商务交易安全 要求：了解电子商务安全现状及威胁，理解电子商务安全要素与安全体系，理解和掌握数字加密、数字摘要、数字签名、数字证书、数字信封、数字时间戳等概念和安全技术，理解SSL、SET等电子商务安全协议的原理及应用。 主要内容：电子商务安全现状、安全威胁、安全要素和安全体系；数据加密、数字摘要、数字签名、数字证书、数字信封、数字时间戳、防火墙等电子商务安全技术；SSL协议与SET协议等电子商务安全协议。 第一节 电子商务安全概述 一、电子商务安全现状 基于Internet的电子商务在安全上无疑会受到严重威胁，电子商务交易的安全性问题将是实现电子商务的关键。目前电子商务的安全隐患主要表现在以下几个方面。 1．安全漏洞 安全漏洞是指在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。 2．病毒危害 根据《中华人民共和国计算机信息系统安全保护条例》中的定义，计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机病毒具有危害性、寄生性、传染性、潜伏性和隐蔽性等特性。 3．黑客袭击 黑客是Hacker的音译，原意是指有造诣的电脑程序设计者。现在则专指那些利用自己掌握的电脑技术，偷阅、篡改或窃取他人机密数据资料，或利用网络进行犯罪的人。 4．网络仿冒 网络仿冒又称网络欺诈、仿冒邮件或者钓鱼攻击等，是不法分子使用欺诈邮件和虚假网页设计来诱骗收件人提供信用卡帐号、用户名、密码或其他有价值的个人信息，随后利用骗得的帐号和密码窃取受骗者金钱。 二、电子商务安全威胁 在电子商务过程中，买卖双方通过网络来联系，受到距离的限制，因而产生安全感和建立信任关系相当困难。交易双方都面临安全威胁。 1．卖方面临的安全威胁 （1）系统中心安全性被破坏。 （2）竞争者的威胁。 （3）商业机密的安全。 （4）假冒的威胁。 （5）信用的威胁。 2．买方面临的安全威胁 （1）虚假订单。 （2）付款后不能收到商品。 （3）机密性丧失。 （4）拒绝服务。 3．黑客攻击电子商务系统的手段 （1）中断（攻击系统的可用性）。 （2）窃听（攻击系统的机密性）。 （3）篡改（攻击系统的完整性）。 （4）伪造（攻击系统的真实性）。 三、电子商务安全要素 电子商务安全是一个复杂的系统问题，在电子商务交易的过程中会涉及以下几方面的安全要素： 1．可靠性 可靠性是指电子商务系统的可靠性，电子商务系统的基础是计算机系统，其可靠性是指防止由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒和自然灾害等所产生的潜在威胁，而加以控制和预防，以确保系统的安全可靠。 2．真实性 真实性是指商务活动中交易者身份的真实性，即是交易双方确实存在的，不是假冒的。 3．机密性 机密性是指交易过程中必须保证信息不会泄露给非授权的人或实体。 4．匿名性 电子商务系统应确保交易的匿名性，防止交易过程被跟踪，保证交易过程中不把用户的个人信息泄露给未知的或不可信的个体，确保合法用户的隐私不被侵犯。 5．完整性 完整性是指数据在输入和传输过程中，要求能保证数据的一致性，防止数据被非授权建立、修改和破坏。 6．有效性 交易的有效性在其价格、期限及数量作为协议一部分时尤为重要。接收方可以证实所接收的数据是原发送方发出的；而原发送方也可以证实只有指定的接收方才能接收。 7．不可抵赖性 在电子商务方式下，通过手写签名和印章进行双方的鉴别已是不可能的了。因此，要求在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识，使原发送方在发送数据后不能抵赖，接收方在接收数据后也不能抵赖。 四、电子商务安全体系 电子商务的安全主要包括通信安全和交易安全两个方面，其中交易安全是电子商务系统所特有的安全要求。 1．通信安全 针对通信协议中最常出现的安全威胁，可以实施相应的安全协议用于实现网络通信的安全。 通信安全中通常采用的防护措施有： （1）网络安全检测设备； （2）防火墙； （3）防入侵措施，入侵检测系统，分布式入侵检测系统； （4）端口保护； （5）路由选择机制，阻止不合适的IP访问等； （6）通信流控制； （7）木马病毒防范措施。 2．交易安全 电子商务中身份的确认和安全通信十分重要，同时，为了在用户、商家和银行之间能够实现资金流动，需要一个安全的电子交易协议。通常采用的防护措施有： （1）浏览器/服务器软件（支持SSL）； （2）安全电子交易协议（SET）； （3）商业软件（支持电子支付）。 3．电子商务安全体系的层次结构 电子商务的安全体系结构是保证电子商务中数据安全的一个完整的逻辑结构，同时它也为交易过程的安全提供了基本保障。电子商务的安全体系层次结构如