《第七章 电子商务的安全》由会员分享,可在线阅读,更多相关《第七章 电子商务的安全(9页珍藏版)》请在金锄头文库上搜索。
1、第七章第七章电子商务安全电子商务安全教学内容教学内容7.1 电子商务安全需求7.1.1 电子商务面临的威胁7.1.2 电子商务的安全性要求7.2 电子商务安全技术7.2.1 加密技术7.2.2 认证技术7.2.3 安全协议7.2.4 防火墙技术7.3 电子商务安全管理7.3.1 机构制度管理7.3.2 风险制度管理7.3.3 法律制度管理7.3.4 安全提示教学目的教学目的1. 了解电子商务面临的安全威胁和电子商务安全管理的政策与法规。2. 理解电子商务安全管理。3. 熟悉电子商务安全的目标。4. 掌握实现电子商务安全的相关技术。教学重点教学重点1. 电子商务安全的目标2. 实现电子商务安全的
2、相关技术教学难点教学难点1. 实现电子商务安全的相关技术教学方法教学方法讲授法、探究法、案例法课时数课时数4 课时引例1:如何避免网络钓鱼攻击获取客户信息根据英国的一互联网监测公司Netcraft声称,2006年3月12日,中国一家银行的服务器被网络骗子用做网络钓鱼(phishing)网站的主机,以复制美国一些银行和网络零售商的顾客资料。这是银行网络首次被犯罪分子用来偷取另一银行顾客资料的攻击事件。攻击中发出的电子邮件是伪装成摩根大通网上银行的调查,邮件中谎称用户只要填写账号和个人信息后,会收到20美元的辛苦费。那么什么是网络钓鱼攻击?如何识别垃圾邮件及假冒邮件?在发送和接收邮件时应该注意什么
3、?引例2:如何预防病毒的危害2006年12月初,我国互联网上大规模爆发“熊猫烧香”病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。卡通化外表的病毒,隐 电电子商子商务务概概论论 教案教案 藏着巨大的传染力,短短几个月, “熊猫烧香”病毒给成千上万个人用户、网吧及企业局域网用户,造成直接和间接损失超过1亿元。如何预防计算机病毒和网络病毒呢?第一节第一节 电子商务的安全目标电子商务的安全目标电子商务的安全问题主要体现在安全技术问题、法律问题、复杂的管理问题这三方面。一、电子商务面临的威胁一、电子商务面临的威胁(一)个人电脑面临的威胁在个人上网时,通常会遇到的威胁有以下几种:被
4、他人盗取用户密码、信用卡账号等;计算机系统被木马攻击;用户在浏览网页时,被恶意程序进行攻击;个人计算机受计算机病毒感染;被黑客攻击等。(二)网络安全威胁1黑客攻击2搭线窃听3伪装身份4信息泄密、篡改、销毁5间谍软件袭击6网络钓鱼二、电子商务二、电子商务安全性要求安全性要求1信息的保密性2信息的完整性3信息的不可否认性4交易者身份的真实性5系统的可靠性第二节第二节 电子商务安全技术电子商务安全技术一、一、加密技术加密技术 加密技术是利用技术手段把原始信息变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)信息。原始信息通常称为“明文” , 电电子商子商务务概概论论 教案教案 加密后
5、的信息通常称为“密文” 。加密技术包括两个元素:算法和密钥。算法是将明文与一串字符(密钥)结合起来,进行加密运算后形成密文。密钥是在明文转换为密文或将密文转换为明文的算法中输入的一串字符,它可以是数字、字母、词汇或语句。由此可见,在加密和解密过程中,都涉及信息(明文、密文) 、密钥(加密密钥、解密密钥)和算法(加密算法、解密算法)这 3 项内容。常用的现代加密体制有两种:对称加密体制和非对称加密体制。(一)对称加密体制 1对称加密体制的工作过程图 7.1 对称加密体制的工作过程2对称加密体制的优点与缺点对称加密体制具有算法简单,系统开销小;加密数据效率高,速度快的优点;适合加密大量数据。但是在
6、发送、接收数据之前,对称加密体制需要产生大量的密钥,所以管理密钥会有一定的难度;第二,在网络通信中,密钥难以共享;即密钥的分发是对称加密体制中最薄弱、风险最大的环节,而且无法实现数字签名和身份验证;3对称加密体制的算法目前,比较常用的对称密钥算法有 DES(data encryption standard,数据加密标准)。DES 算法是一个对称的分组加密算法。(二)非对称加密体制 1非对称加密体制的工作过程图 7.2 非对称加密体制的工作过程 电电子商子商务务概概论论 教案教案 2非对称加密体制的优点与缺点非对称加密体制在网络中容易实现密钥管理,只要管理好自己的私钥就可以;便于进行数字签名和身
7、份认证,从而保证数据的不可抵赖性;不必记忆大量的密钥,发放方只要得到可靠的接收方的公开密钥就可以给接收方发送信息。然而非对称加密算法实现过程较复杂,加密数据的速度和效率较低,对大报文加密困难。3非对称加密体制的算法目前,非对称加密体制的算法使用最多的是 RSA。RSA 是 1978 年由R.L.Rivest、A.Shamir 和 L.Adleman 设计的非对称加密方法,算法以发明者名字的首字母来命名。它是第一个既可用于加密,也可用于数字签名的算法。一般来说,RSA 只用于少量数据加密,在互联网中广泛使用的电子邮件和文件加密软件 PGP(pretty good privacy)就是将 RSA
8、作为传送会话密钥和数字签名的标准算法。(三)对称加密体系与非对称加密体系的对比 表 7.1 对称加密体系和非对称加密体系的对比比 较 项 目对称加密体制非对称加密体制代表算法DESRSA密钥数目单一密钥密钥是成对的密钥种类密钥是秘密的一个私有,一个公开密钥管理简单,但不好 管理需要数字证书及可靠的第 三者相对速度非常快慢主要用途大量数据加密数字签名或密钥分配的加 密(四)对称加密体系与非对称加密体系的结合 二、认证技术二、认证技术 (一)身份认证概述 实现身份认证的物理基础主要有以下 3 种。 用户所知道的(something the user knows) 。 电电子商子商务务概概论论 教案
9、教案 用户所拥有的(something the user possesses) 。 用户的特征(something the user is or how he/she behaves) 。(二)消息认证概述 1消息摘要2数字签名图 7.3 数字签名原理示意图3数字时间戳三、安全协议三、安全协议 (一)传输层安全协议SSL SSL 将对称密码技术和公开密码技术相结合,可以实现如下 3 个通信目标:秘密性、完整性、认证性。图 7.4 支持 SSL 协议的锁形安全标志(二)应用层安全协议SET 电电子商子商务务概概论论 教案教案 图 7.5 SET 协议的交易流程(三)SSL 协议与 SET 协议的
10、比较表 7.2 SSL 协议和 SET 协议的对比对比项 SSL 协议SEL 协议参与方客户、商家和网上银行客户、商家、支付网关、认证中心和网上银 行软件费 用已被大部分浏览器和服务 器所内置,因此可直接投入 使用,无需额外的附加软件 费用必须在银行网络、商家服务器、客户机上安 装相应的软件,因此增加了许多附加软件费用便捷性SSL 在使用过程中无需在 客户端安装电子钱包,因此 操作简单;每天交易有限额 规定,因此不利于购买大宗 商品;支付迅速,几秒钟便 可完成支付SET 协议在使用中必须使用电子钱包等进行 付款,因此在使用前,必须先下载电子钱包等 软件,因此操作复杂,耗费时间;每天交易无 限额
11、,利于购买大宗商品;由于存在着验证过 程,因此支付缓慢,有时还不能完成交易安全性只有商家的服务器需要认 证,客户端认证则是有选择 的;缺少对商家的认证,因 此客户的信用卡号等支付信 息有可能被商家泄露安全需求高,因此所有参与交易的成员 客户、商家、支付网关、网上银行都必须先申 请数字证书来认证身份;保证了商家的合法性, 并且客户的信用卡号不会被窃取,替消费者保 守了更多的秘密,使其购物和支付更加放心四、防火墙技术四、防火墙技术 防火墙实际上是一种隔离技术,是指一种将内部网和公众访问网(如互联网)分开的方法。第三节第三节 电子商务的安全管理电子商务的安全管理一、机构制度管理一、机构制度管理 (一
12、)认证机构 1认证机构的功能2CA 的国内外发展状况 (二)数字证书 1数字证书的定义 电电子商子商务务概概论论 教案教案 图 7.6 中国数字认证网的数字证书2数字证书的分类从数字证书的应用角度来看,数字证书可以分为以下几种:服务器证书、电子邮件证书、客户端证书。3数字证书的应用二、风险制度管理二、风险制度管理 电子商务风险管理就是跟踪、评估、监测和管理商务整个过程中所形成的电子商务风险,尽力避免电子商务风险给企业造成的经济损失、商业干扰以及商业信誉丧失等,以确保企业电子商务的顺利进行。三、法律制度管理三、法律制度管理 2004 年 8 月 28 日全国人大常委会第十一次会议通过了中华人民共
13、和国电子签名法 。签名法是我国推进电子商务发展,扫除电子商务发展障碍的重要步骤。该法被认为是中国首部真正电子商务法意义上的立法。2005 年 1 月 28 日中华人民共和国信息产业部第十二次部务会议审议通过电子认证服务管理办法 ,自 2005 年 4 月 1 日起施行。2009 年 4 月,央行、银监会、公安部和国家工商总局联合发布关于加强银行卡安全管理预防和打击银行卡犯罪的通知 ,国家监管部门开始真正着 电电子商子商务务概概论论 教案教案 手加强第三方支付企业的监管。2010 年 6 月 1 日国家工商总局出台的网络商品交易及有关服务行为管理暂行办法明确规定,通过网络从事商品交易及有关服务行
14、为的自然人,应提交其姓名和地址等真实身份信息。2010 年 6 月 21 日中国人民银行出台了非金融机构支付服务管理办法 ,要求第三方支付公司必须在 2011 年 9 月 1 日前申请取得支付业务许可证 ,且全国性公司注册资本最低为 1 亿元。该办法的出台意在规范当前发展迅猛的第三方支付行业。四、安全提示四、安全提示针对个人用户常用的 Windows 操作系统,对用户日常操作予以提示。(1)必须安装防火墙和杀毒软件。(2)创造一个伪造的、无实际权利的管理员(Administrator)用户。(3)禁止所有磁盘自动运行。(4)不双击 U 盘。(5)经常检查开机启动项。(6)经常备份重要数据。(7
15、)隐私文件要加密。(8)使用复杂的密码。(9)不要随便接收文件。归纳与提高 通过本章的学习,使我们明白在计算机互联网络上实现的电子商务交易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。一个完善的电子商务系统在保证其计算机网络硬件平台和系统软件平台安全的基础上,还应具备:强大的加密系统,使用者和数据的识别和鉴别,联网交易和支付的可靠,方便的密钥管理,数据的完整、防止抵赖,以及电子商务对 电电子商子商务务概概论论 教案教案 计算机网络安全与商务安全的双重要求,使电子商务安全的复杂程度比大多数计算机网络更高。因此,电子商务安全的技术水平的提高、管理制度的完善、法律制度的健全是一个长期不懈的重任。
