《第4章 电子商务安全》由会员分享,可在线阅读,更多相关《第4章 电子商务安全(67页珍藏版)》请在金锄头文库上搜索。
1、1 第4章电子商务安全 2 4 1电子商务安全概述 4 2电子商务风险与安全隐患 4 3电子商务安全技术 内容提要 3 4 1 1电子商务安全内涵 电子商务安全从整体上可分为两大部分 计算机网络安全和商务交易安全 两者相辅相成 缺一不可 计算机网络安全的内容包括 计算机网络设备安全 计算机网络系统安全 数据库安全等 其特征是针对计算机网络本身可能存在的安全问题 实施网络安全增强方案 以保证计算机网络自身的安全性为目标 商务交易安全紧紧围绕传统商务在互联网络上应用时产生的各种安全问题 在计算机网络安全的基础上 如何保障电子商务过程的顺利进行 即实现电子商务的保密性 完整性 可鉴别性 不可伪造性和
2、不可抵赖性 4 4 1 2电子商务安全的基本原则 安全是一个系统的概念 安全是相对的 安全是有成本和代价的 安全是发展的 动态的 安全隐患有大有小 应分轻重缓急 5 4 1 3电子商务安全的发展概况 通信保密阶段 20世纪40 70年代 计算机系统安全阶段 20世纪70 80年代 网络信息系统安全阶段 20世纪90年代以后 6 4 2 1电子商务安全面临的风险 1 信息传输风险 指进行网上交易时 因传输的信息失真或者信息被非法窃取篡改或丢失 所造成网上交易的不必要损失 客户面临的风险销售商面临的风险企业自身面临的风险 7 4 2 1电子商务安全面临的风险 2 信用风险来自买方的信用风险 对于个
3、人消费者来说 可能在网络上使用信用卡进行支付时恶意透支 或使用伪造的信用卡骗取卖方的货物行为 对于集团购买者来说 存在拖延货款的可能 卖方需要为此承担风险 来自卖方的信用风险 卖方不能按质 按量 按时寄送消费者购买的货物 或者不能完全履行与集团购买者签订的合同 造成买方的风险 买卖双方都存在抵赖 8 4 2 1电子商务安全面临的风险 3 管理风险 交易流程管理风险人员管理风险网络交易技术管理的漏洞 9 4 2 2电子商务安全隐患 伪装 未进行安全配置 未进行CGI程序审计 使用安全产品不当 缺少安全制度 黑客攻击 计算机病毒 拒绝服务 网络钓鱼 搭线窃听 电子商务安全隐患 10 为什么网络安全
4、如此重要 Externalaccess nowgranted Areapplications andnetwork secure 信息资本 Enterprise Network 没有边界没有中央管理是开放的 标准的没有审计记录 INTERNET 4 2 3电子商务安全要求 11 安全不单是技术问题 机构与管理法律与法规经济实力技术与人才 4 2 3电子商务安全要求 12 机密性完整性认证性不可抵赖性有效性 4 2 3电子商务安全要求 13 信息的保密性 电子商务系统应该对主要信息进行保护 阻止非法用户获取和理解原始数据 2 数据完整性 电子商务系统应该提供对数据进行完整性认证的手段 确保网络上
5、的数据在传输过程中没有被篡改 3 用户身份验证 电子商务系统应该提供通讯双方进行身份鉴别的机制 4 授权 电子商务系统需要控制不同的用户谁能够访问网络上的信息并且能够进行何种操作 4 2 3电子商务安全要求 14 5 数据原发者鉴别 电子商务系统应能提供对数据原发者的鉴别 确保所收到的数据确实来自原发者 这个要求可以通过数据完整性及数字签名相结合的方法来实现 6 数据原发者的不可抵赖和不可否认性 电子商务系统应能提供数据原发者不能抵赖自己曾做出的行为 也不能否认曾经接到对方的信息 这在交易系统中十分重要 7 合法用户的安全性 合法用户的安全性是指合法用户的安全性不受到危害和侵犯 电子商务系统和
6、电子商务的安全管理体系应该实现系统对用户身份的有效确认 对私有密匙和口令的有效保护 对非法攻击的有效防范等 8 网络和数据的安全性 电子商务系统应能提供网络和数据的安全 保护硬件资源不被非法占有 软件资源免受病毒的侵害 4 2 3电子商务安全要求 15 电子商务安全构架 交易安全技术安全应用协议SET SSL安全认证手段数字签名 CA体系基本加密算法对称和非对称密算法 安全管理体系 网络安全技术病毒防范身份识别技术防火墙技术分组过滤和代理服务等 法律 法规 政策 4 3 1电子商务安全技术 16 4 3 2计算机网络安全技术 计算机网络的潜在安全隐患企业内部计算机系统面临的风险Internet
7、本身的不安全性对企业内部信息系统带来的潜在风险从纯技术角度上来看 存在着薄弱性 17 在实施网络安全防范措施时要考虑以下几点 加强主机本身的安全 做好安全配置 及时安装安全补丁程序 减少漏洞 用各种系统漏洞检测软件定期对网络系统进行扫描分析 找出可能存在的安全隐患 并及时加以修补 从路由器到用户各级建立完善的访问控制措施 安装防火墙 加强授权管理和认证 4 3 2计算机网络安全技术 18 利用数据存储技术加强数据备份和恢复措施 对敏感的设备和数据要建立必要的物理或逻辑隔离措施 对在公共网络上传输的敏感信息要进行数据加密 安装防病毒软件 加强内部网的整体防病毒措施 建立详细的安全审计日志 以便检
8、测并跟踪入侵攻击等 4 3 2计算机网络安全技术 19 1 病毒防范技术2 身份识别技术3 防火墙技术4 虚拟专用网技术 VirtualPrivateNetwork VPN 4 3 2计算机网络安全技术 常用技术 20 1 病毒防范技术 网络病毒的威胁一是来自文件下载 二是网络化趋势 措施安装防病毒软件 加强内部网的整体防病毒措施 加强数据备份和恢复措施 对敏感的设备和数据要建立必要的物理或逻辑隔离措施等 21 布署和管理防病毒软件布署一种防病毒的实际操作一般包括以下步骤 1 制定计划 了解在你所管理的网络上存放的是什么类型的数据和信息 2 调查 选择一种能满足你的要求并且具备尽量多的前面所提
9、到的各种功能的防病毒软件 3 测试 在小范围内安装和测试所选择的防病毒软件 确保其工作正常并且与现有的网络系统和应用软件相兼容 22 4 维护 管理和更新系统确保其能发挥预计的功能 并且可以利用现有的设备和人员进行管理 下载病毒特征码数据库更新文件 在测试范围内进行升级 彻底理解这种防病毒系统的重要方面 5 系统安装 在测试得到满意结果后 就可以将此种防病毒软件安装在整个网络范围内 23 Packet Switched LeasedLine Workgroup 广域网 INTERNET 局域网 远程工作站 网络防毒手段 24 2 身份识别技术 口令标记方法生物特征法 25 认证的主要手段 对用
10、户拥有的东西进行鉴别 如IC卡等对用户的生物特征进行鉴别 如指纹 视网膜血管分布等对用户所知道的进行鉴别 如口令等 26 3 防火墙技术 1 基本概念防火墙是一种将内部网和公众网如Internet分开的方法 它能限制被保护的网络与互联网络之间 或者与其他网络之间进行的信息存取 传递操作 防火墙可以作为不同网络或网络安全域之间信息的出入口 能根据企业的安全策略控制出入网络的信息流 且本身具有较强的抗攻击能力 27 什么是防火墙 防火墙 在被保护网络和Internet之间 或者和其它网络之间限制访问的软件和硬件的组合 防火墙 28 设计防火墙的准则 一切未被允许的就是禁止的防火墙应封锁所有信息流
11、然后对希望提供的服务逐项开放 这种方法可以创造十分安全的环境 但用户使用的方便性 服务范围受到限制 一切未被禁止的就是允许的防火墙转发所有信息流 然后逐项屏蔽有害的服务 这种方法构成了更为灵活的应用环境 可为用户提供更多的服务 但在日益增多的网络服务面前 网管人员的疲于奔命可能很难提供可靠的安全防护 29 防火墙的主要功能 能做什么 安全把关网络活动统计内部隔离 不能做什么 不能防范内部入侵不能防范新的威胁控制粒度粗 30 防火墙的功能保护数据的完整性 可依靠设定用户的权限和文件保护来控制用户访问敏感性信息 可以限制一个特定用户能够访问信息的数量和种类 保护网络的有效性 有效性是指一个合法用户
12、如何快速 简便地访问网络的资源 保护数据的机密性 加密敏感数据 31 防火墙的基本原理 数据过滤 一个设备采取的有选择地控制来往于网络的数据流的行动 数据包过滤可以发生在路由器或网桥上 屏蔽路由器 32 防火墙的基本原理 续 代理服务 代理服务是运行在防火墙主机上的应用程序或服务器程序 它在幕后处理所有Internet用户和内部网之间的通讯以代替直接交谈 代理服务 33 一个典型的防火墙构成 无人区 防火墙 34 构筑防火墙需考虑的主要因素 你的公司要控制什么或要保护什么你的公司要控制或要保护到什么程度财政预算技术问题 屏蔽路由器还是代理服务器 35 4 虚拟专用网技术 VirtualPriv
13、ateNetwork VPN 虚拟专用网是用于Internet电子交易的一种专用网络 它可以在两个系统之间建立安全的通道 非常适合于电子数据交换 EDI 在虚拟专用网中交易双方比较熟悉 而且彼此之间的数据通信量很大 只要交易双方取得一致 在虚拟专用网中就可以使用比较复杂的专用加密和认证技术 这样就可以提高电子商务的安全性 VPN可以支持数据 语音及图像业务 其优点是经济 便于管理 方便快捷地适应变化 但也存在安全性低 容易受到攻击等问题 36 加密数据加密技术从技术上的实现分为在软件和硬件两方面 按作用不同 数据加密技术主要分为数据传输 数据存储 数据完整性的鉴别以及密钥管理技术这四种 在网络
14、应用中一般采取两种加密形式 对称密钥和公开密钥 采用何处加密算法则要结合具体应用环境和系统 而不能简单地根据其加密强度来作出判断 4 3 3交易安全技术 加密技术 37 什么是加密 加密 加密是指对数据进行编码使其看起来毫无意义 同时仍保持可恢复的形式 4 3 3交易安全技术 加密技术 密码体制的分类 根据发展史 古典密码和近现代密码 根据加解密算法所使用的密钥是否相同 对称密钥密码体制和非对称密钥密码体制 古典密码实例 希腊密码 二维字母编码查表 公元前2世纪 明文 HELLO 密文 2315313134 古典密码实例 凯撒密码 公元前50年 公元前50年 古罗马的凯撒大帝在高卢战争中采用的
15、加密方法 凯撒密码算法就是把每个英文字母向前推移K位 ABCDEFG XYZDEFGHIJ ABC 明文 JiangxiNormalUniversity 密文 mldqjalqrupdoxqlyhuvlwb K 3 古典密码实例 若将字母编号a z对应为1 26凯撒变换c m k modnn 26 案例 在用户钥为cat的vigenere密码中 加密明文vigenerecipher的过程如下 n 26 明文M vigenerecipher工作钥K catcatcatcatca密文C xizgnxtevkpagr每个3字母组中的1 2 3字母分别移动 mod26 2个 0个 和19个位置 明文M
16、 theobjectof工作钥K whenIntheco密文C poIbjwxjxqttw既t移动22个位置 密钥如果是more 密文是什么 换位密码 根据一定的规则重新安排明文字母 使之成为密文 例1 假定有一个密钥是type的列换位密码 我们把明文canyoubelieveher写成4行4列矩阵 密文 yevrnbeecoleaulh 4 2 1单钥密码体系 单钥密码体系 One keyCryptosystem 还有许多名称 如私有密钥体系 Privatekey 传统密钥体系 ClassicalKey 对称密钥体系 SymmetricKey 秘密密钥体系 Secret Key 共享密钥体系 SharedKey 等等 单钥密码体系顾名思义即发送方与接收方使用同一个密钥去加密和解密报文 此密钥必须为发送者和接收者所共享且不允许公开 因此发送和接收地位是对称的 单钥加密解密机制 在这种技术中 加密方和解密方除必须保证使用同一种加密算法外 还需要共享同一个密钥 Key 由于加密和解密使用同一个密钥 所以 如果第三方获取该密钥就会造成失密 因此 网络中N个用户之间进行加密通信时 需要N N
