《《精编》电子商务系统安全与安全技术》由会员分享,可在线阅读,更多相关《《精编》电子商务系统安全与安全技术(99页珍藏版)》请在金锄头文库上搜索。
1、第七章电子商务安全体系 第七章电子商务安全体系 7 1电子商务系统安全概述7 2电子商务的安全技术 7 1电子商务系统安全概述 7 1 1电子商务中存在的安全隐患和威胁Internet的安全隐患主要表现在以下四个方面 1 开放性2 传输协议TCP IP 协议本身没有采取任何措施来保护传输内容不被窃取 数据在传输过程中可能会遭到IP窥探 同步信号淹没 TCP会话劫持 复位与结束信号攻击等威胁 3 操作系统漏洞4 信息电子化的可信度 Internet安全隐患给电子商务带来如下安全威胁 商务信息被篡改 盗窃或丢失 商业机密在传输过程中被第三方获悉 甚至被恶意窃取 篡改和破坏 冒充虚假身份的交易对象及
2、虚假订单 合同 贸易对象的抵赖 由于计算机系统故障对交易过程和商业信息安全所造成的破坏 7 1 2电子商务的安全性需求1 保密性 保证信息不会被非授权的人或实体窃取 防止入侵者侵入系统 对商务机密 如信用卡信息等 要先经过加密处理 再送到网络传输 2 完整性 完整性是指数据在输入和传输过程中 要求能保证数据的一致性 防止数据被非授权建立 修改和破坏 同时要防止数据传送过程中丢失和重复 以保证信息传送次序的统一 3 不可抵赖性 信息的不可抵赖性是指信息的发送方不可否认已经发送的信息 接收方也不可否认已经收到的信息 4 真实性 指商务活动中交易者身份的真实性 亦即是交易双方确实是存在的 不是假冒的
3、 前提 5 可靠性 指电子商务系统的可靠性 指由于计算机失效 程序错误 传输错误 硬件故障 系统软件错误 计算机病毒和自然灾害等所产生的潜在威胁状态下 而仍能确保系统安全 可靠 6 内部网的严密性 7 1 3安全管理1 电子商务系统安全的管理对策企业应当制定网络交易系统安全管理制度包括 1 人员管理制度 严格电子商务人员选拔 落实工作责任制 落实考核制度 2 保密制度 划分信息的安全防范重点 提出相应的保密措施 并加强对密钥的管理 密钥管理必须贯穿于密钥的产生 传递和销毁的全过程 3 跟踪 审计 稽核制度 4 系统的日常维护制度 5 病毒防范制度 6 应急措施 灾难恢复 硬件的恢复 数据的恢复
4、 2 网络安全的技术对策 1 网络安全检测设备 实施安全监控 SAFEsuite网络安全监控系统 2 开发各种具有较高安全性的访问设备 用于支持身份认证 小批量购买授权及实际和虚拟访问控制 如安全磁盘 智能卡等 3 建立安全的防火墙体系 4 加强数据加密的工作 5 数据完整性的控制 包括数据是否来自正确的发送方而非假冒者 接收的内容与发送时是否一致 数据有无重复接收等 6 建立认证中心 并建立证书的认证与发放 7 建立合理的鉴别机制 在对等实体间交换认证信息 以检验和确认对等实体的合法性 鉴别机制可以采用报文鉴别 也可以采用数字签名或终端识别等多种方式 8 通信流的控制 传送伪随机数据 填充报
5、文和改变传输路径 此外 还有保护传输线路安全 访问控制 路由选择机制 端口保护 安全检测 审查和跟踪等措施 3 电子商务安全的法律保护电子商务安全主要涉及的法律要素有 1 有关认证 CA 中心的法律 必须由国家法律来规定CA中心的设立程序和设立资格以及必须承担的法律义务和责任 也必须由法律来规定由何部门来对CA中心进行监管 2 有关保护个人隐私 个人秘密的法律 3 有关电子合同的法律 对数字签名 电子商务凭证的合法性予以确认 4 有关电子商务的消费者权益保护法 5 有关网络知识产权保护的法律 案例 IKEA公司域名被抢注 原告英特艾基系统有限公司上诉 其在世界29个国家和地区拥有以 IKEA
6、命名的大型经营家具和家居用品的专卖店1983年在中国获得 IKEA IKEA及图形组合商标和中文 宜家 的注册商标在90多个国家和地区注册了 IKEA IKEA及图形组合商标 案例 IKEA公司域名被抢注 当该公司准备在中国互联网上注册宜自己拥有的注册商标 IKEA 未标志的域名时 发现被告北京国网信息有限责任公司已经先注册了域名 其抢注的三级域名ikea与原告的注册商标 IKEA 比较 二者读音 文字外形 字母组合 消费者呼叫方式等方面完全相同所以被告抢注的域名是对原告已经使用多年具有独创性的注册商标公然的仿冒 案例 IKEA公司域名被抢注 1998年原告在中国支付的广告费用600万人民币1
7、999年为1700万人民币被告抢注域名后 长期空置没有使用 其行为违反了 保护工业产权巴黎公约 的原则立场 与 中华人民共和国民法通则 第4条规定的诚实信用原则冲突 应属不正当竞争行为 案例 IKEA公司域名被抢注 原告诉至法院 请求法院判令被告立即停止使用和注销 域名由被告承担案件的诉讼费用 案例 IKEA公司域名被抢注 被告辨称我公司域名系经过中国政府授权的中国互联网络信息中心依法审查批准注册的应受法律保护我公司注册的 ikea 主页准备在因特网开展语音信箱服务 ikea 含义是I和Kea的结合 分别代表Internet和一种鹦鹉的含义 案例 IKEA公司域名被抢注 被告辨称我公司并不知道
8、原告的商标 ikea 何谈抄袭和模仿域名和商标是两种完全不同的客体 对商标的保护并不能延伸到域名上我公司基于自己的创意注册域名 并不违法法律规定 请求法院依法驳回原告全部诉讼请求 案例 IKEA公司域名被抢注 经审理查明 原告英特艾基系统有限公司是注册商标 IKEA 的注册权人 该商标起源于1947年瑞典农场主IngovarKampargd的独创设计原告已经在90多个国家和地区注册了 IKEA IKEA及图形组合商标该注册商标已经有几十年的历史 且其法律状态及使用从未间断 案例 IKEA公司域名被抢注 经审理查明 1999年原告在世界范围内投入的 IKEA 商标的宣传和推广费用为三亿七千三百万
9、美元1983年原告在商品中国和商品国际上分别了注册了 IKEA IKEA及图形组合商标和中文 宜家 的注册商标1998年原告先后在上海和北京开设了以 IKEA 为标志的大型家居专卖店 案例 IKEA公司域名被抢注 经审理查明 1997 11 19 被告在中国互联网络申请注册了 域名原告提出证据证明被告出注册 域名外 还注册了philips omega polo等世界知名品牌或商品的域名 且均空置未在互联网上使用对原告提供的证据 原告未提供其他的反驳证据 案例 IKEA公司域名被抢注 法院认为 原告英特艾基系统有限公司是注册商标 IKEA 的注册权人原告已经在90多个国家和地区注册了 IKEA
10、IKEA及图形组合商标该 且其法律状态及使用从未间断因此应认定 IKEA 未驰名商标 案例 IKEA公司域名被抢注 法院认为 被告将原告的 IKEA 驰名商标作为域名使用 容易误导消费者认为该域名的注册人是 IKEA 驰名商标的持有人或与其有某种合作关系被告客观上利用了附着于该驰名商标上的良好信誉 且由于域名在因特网上使用的唯一性 使得该驰名商标注册权人在因特网上行使该商标权收到妨碍故认定被告的上述行为对该驰名商标的注册权人的商标专用权构成了侵害 案例 IKEA公司域名被抢注 法院认为 被告对大量知名品牌或商标的待价而沽的非善意的注册行为的主观动机十分明显 故被告的行为违反了公平竞争 诚实信用
11、的基本原则 构成了不正当竞争 案例 IKEA公司域名被抢注 法院认定 被告不仅违反了 中国互联网络域名注册暂行管理办法 的有关规定 还有悖 保护工业产权巴黎公约 的精神和 中华人民共和国反不正当竞争法 的基本原则 侵害了原告的作为驰名商标权人的合法权益 应承担相应的民事法律责任 判决 被告注册的域名 无效 应立即停止使用并于判决生效后十日内撤销该域名 7 2电子商务的安全技术 7 2 1防火墙技术1 防火墙的基本概念计算机网络的防火墙是一个由软件和硬件设备组合而成的 在内部网和外部网之间的构造的保护屏障 只有被允许的通信才能通过防火墙 从而起到内部网与外部网的隔离 可以限制外部用户对内部网络的
12、访问和内部用户对外部网络的访问 它控制所有内部网与外部网之间的数据流量 防止企业内部信息流入Internet 控制外部有害信息流入Intranet 防火墙还能执行安全策略 记录可疑事件 防火墙的基本概念 所谓防火墙 就是在内部网与外部网之间的界面上构造一个保护层 并强制所有的连接都必须经过此保护层 在此进行检查和连接 只有被授权的通信才能通过此保护层 从而保护内部网及外部的访问 图7 1防火墙系统示意图 防火墙是一种安全有效的防范技术 是访问控制机制 安全策略和防入侵的措施 狭义 防火墙是指安装了防火墙软件的主机或路由器系统 广义 防火墙还包括了整个网络的安全策略和安全行为 防火墙的安全策略有
13、两种 1 凡是没有被列为允许访问的服务都是被禁止的 2 凡是没有被列为禁止访问的服务都是被允许的 2 防火墙的构成防火墙主要包括安全操作系统 过滤器 网关 域名服务和E mail处理等五部分 如图7 2所示 有的防火墙可能在网关两侧设置两个内 外过滤器 外过滤器保护网关不受攻击 网关提供中继服务 辅助过滤器控制业务流 而内过滤器在网关被攻破后提供对内部网络的保护 图7 2防火墙的构成 2 防火墙的构成 防火墙的主要目的是控制数据组 只允许合法流通过 它要对内域网和Internet之间传递的每一数据组进行干预 过滤器则执行由防火墙管理机构制定的一组规则 检验各数据组决定是否允许放行 这些规则按I
14、P地址 端口号码和各类应用等参数确定 单纯靠IP地址的过滤规则是不安全的 因为一个主机可以用改变IP源地址来蒙混过关 3 防火墙的优点 1 保护那些易受攻击的服务 过滤那些不安全的服务 只有预先被允许的服务才能通过防火墙 2 控制对特殊站点的访问 防火墙能控制对特殊站点的访问 如有些主机能被外部网络访问而有些则要被保护起来 防止不必要的访问 3 集中化的安全管理 可以将所有修改过的软件和附加的安全软件都放在防火墙上集中管理 而不使用防火墙 就必须将所有软件分散到各个主机上 4 对网络访问进行记录和统计 4 防火墙的类型主要可分为包过滤型和应用网关型两种 包过滤型可以动态检查通过防火墙的TCP
15、IP报文头中的报文类型 源IP地址 目标IP地址 源端口号等信息 与预先保存的清单进行对照 按预定的安全策略决定哪些报文可以通过防火墙 哪些报文不可以通过防火墙 包过滤防火墙的优点 价格较低 对用户透明 并且对网络性能的影响很小 包过滤不需要用户和密码来登录 速度快而且易于维护 不能从访问记录中发现黑客的攻击记录 图7 3包过滤型防火墙的工作原理 应用网关型使用代理技术 在内部网与外部网之间建立一个单独的子网 该子网有一个代理主机 通过路由器和网关分别与内 外网连接 代理访问主机对外部和内部用户的网络服务请求进行认证 对于合法用户的服务请求 代理服务主机则连接内部网与外部网 自己作为通信的中介
16、 外部用户只能获得经过代理的内部网服务 从而保护内部网络资源不受侵害 代理服务器技术是的优点在于可以将被保护的网络内部结构屏蔽起来 增强网络的安全性能 同时可用于实施较强的数据流监控 过滤 记录和报告等功能 图7 4应用网关型防火墙的工作原理 7 2 2加密技术例子 打仗 代码如下1 前进2 固守3 撤兵4 求援密钥 夜来风雨声 花落知多少指示密文 风 7 2 2加密技术明文 打算隐蔽起来的消息原文 可以直接理解其意义 密文 利用密码将明文变换成的另一种隐蔽的形式 不经解密不能理解其意义 加密 就是把明文通过一定的算法变换为只有知道密钥的人才能看懂的密文再发送出去的变换过程 解密 加密的逆过程 即由密文恢复出原明文的过程 加密算法 对明文进行加密时所采用的一组规则 密钥 加密和解密算法的操作通常都是在一组数据的控制下进行的 这组数据叫密钥 密码 明文和加密密钥相结合 然后经过加密算法运算的结果 C EK m 密钥只能由通信双方来掌握 而加密算法是可以公开的 密钥位数越长 存在密钥数越多 安全性越好 密文 密钥 明文 7 2 2加密技术传统的密码加密体制 恺撒密码明文 ABCDEFGHI
