《电子商务——第4章:电子商务安全》由会员分享,可在线阅读,更多相关《电子商务——第4章:电子商务安全(14页珍藏版)》请在金锄头文库上搜索。
1、桂林工学院南宁分院桂林工学院南宁分院 经济管理系教案首页经济管理系教案首页授课授课 章节章节第 4 章:电子商务安全4.1 电子商务安全需求4.2 电子商务的商务安全 授课授课 日期日期2008 年 5 月 19 日授课班级06 市场营销(1、2、3)班教教 学学 目目 的的通过本章学习,了解电子商务系统目前存在的安全威胁,认 清电子商务的安全性要求,掌握电子商务的安全体系的方法。教学教学 重点重点(1)电子商务系统的安全威胁。 (2)电子商务的安全性要求和安全体系。 教学教学 难点难点如何掌握各种安全防范技术的方法。时间分配教教 学学 提提 纲纲点名:重点点经常不来上课的 (5 分钟)4.1
2、 电子商务系统的安全要求(教师讲课 30 分钟) 4.1.1 电子商务系统的安全威胁 4.1.2 电子商务的安全性要求 4.1.3 电子商务的安全体系 4.2 电子商务的商务安全 (教师讲课 20 分钟)(教师讲课 20 分钟) 上网演示 (10 分钟)课课 后后 小小 结结推荐推荐 书目书目电子商务概论方真、张明明,大连理工大学出版社,2003.8。 电子商务法律规范梅绍祖,清华大学出版社。 网络营销曲学军主编,大连理工大学出版社。 网络安全薛伟主编,东北财经大学出版社。 电子商务与物流梅绍祖,人民邮电出版社。 电子商务概论陈月波,清华大学出版社 电子商务概论桂海进,中国商业出版社 实用电子
3、商务概论赵林度,人民邮电出版社4.1 电子商务安全要求 4.1.1 电子商务安全的表象随着经济信息化进程的加快,计算机网络上的破坏活动也随之猖獗起来,已对经济秩序、经济建设、国家信息安全构成严重威胁。在信息经济的发展过程中,我们越来越依赖于网络。 消费者对网上交易的网络安全缺乏信心,使得越来越多消费者不愿在网上购物。用最新的电子商务安全方面的案例,见另外一个网络安全文件夹。4.1.2 电子商务安全需求1. 保密性 保密性,是指商业信息在传输过程或存储中不被泄漏。通过对相应的信息进行加密来保证用户信息不被盗取。通过在必要的结点设置防火墙可以防止非法用户对网络资源的不正当的存取。 2. 完整性 完
4、整性,是指商业信息在传输和存储中保证数据一致性 。电子伪装是最常见的破坏信息完整性的技术。所谓电子伪装,就是在网络上某人伪装成他人或者是某个网站伪装成另一个网站 。3. 不可抵赖性 不可抵赖性,是指商业信息的发送方和接收方均不得否认已发或已收的信息。这就需要利用数字签名和身份认证等技术确认对方身份。一经确认,双方就不得否认自己的交易行为。4. 即需性 即需性,是指保证合法用户对商业信息及时获取并保证服务不会遭到不正当的拒绝。系统的即需性遭到破坏,系统处理信息的速度会非常慢,从而影响电子商务的正常运行。 计算机失效、程序错误、硬件故障、系统软件故障、计算机病毒等都会对电子商务的即需性造成影响。
5、4.1.3 电子商务安全的范畴与划分1. 卖方 (销售者)面临的安全威胁 中央系统安全性被破坏竞争者的威胁客户资料被竞争者获悉假冒的威胁信用的威胁获取他人的机密数据 2. 买方(消费者)面临的安全威胁 虚假订单付款后不能收到商品机密性丧失拒绝服务 4.2 电子商务的商务安全 4.2.1 电子商务的商务安全与传统商务安全的区别 1. 信息方面 冒名偷窃篡改数据信息丢失虚假信息信息传递过程中的破坏2.信用方面来自买方的信用风险来自卖方的信用风险买卖双方都有存在抵赖的情况3. 管理方面交易流程管理风险人员管理风险交易技术管理风险4. 法律方面无法保证合法交易的风险法律的事后完善所带来的风险4.2.2
6、 电子商务商务安全的应对策略 1.在技术上加强电子商务安全管理网络安全和信息安全是保障网上交易正常进行的关键。从防火墙技术、信息加密技术、身份认证等技术方面来加强电子商务系统的安全性。2.在管理上加强电子商务安全管理调查发现,通常对数据的最严重的威胁都来自于我们认识的人。为此,很多网络安全专家都认为,大部分攻击都是由员工发起的。从这种意义上,我们最需要的是不是技术,而是一套完整的管理体制。必须加强监管,建立各种有关的合理制度,并加强严格监督。要充分发挥政府有关部门、企业的主要领导、信息服务商的作用。3.在法律上加强电子商务安全管理 通过健全法律制度和完善法律体系来保证合法网上交易的权益,对破坏
7、合法网上交易权益的行为进行立法严惩。关于这一点,我们将在第七章再作具体介绍。桂林工学院南宁分院桂林工学院南宁分院 经济管理系教案首页经济管理系教案首页授课授课 章节章节4.3 电子商务的技术安全 4.4 电子商务的社会安全因素 4.5 小结和习题与思考 授课授课 日期日期2008 年 5 月 26 日授课班级06 市场营销(1、2、3)班教教 学学 目目 的的通过本章学习,了解电子商务系统目前存在的安全威胁,认 清电子商务的安全性要求,掌握电子商务的安全体系的方法。教学教学 重点重点4.3.3 常用电子商务安全技术和手段教学教学 难点难点1. 加密技术时间分配教教 学学 提提 纲纲点名:重点点
8、经常不来上课的 (5 分钟) 4.3 电子商务的技术安全 (教师讲课 30 分钟) 上网演示 (15 分钟) 4.4 电子商务的社会安全因素 (教师讲课 30 分钟) 4.5 小结和习题与思考 (教师讲课 20 分钟)课课 后后 小小 结结推荐推荐 书目书目电子商务概论方真、张明明,大连理工大学出版社,2003.8。 电子商务法律规范梅绍祖,清华大学出版社。 网络营销曲学军主编,大连理工大学出版社。 网络安全薛伟主编,东北财经大学出版社。 电子商务与物流梅绍祖,人民邮电出版社。4.3 电子商务的技术安全4.3.1 电子商务技术安全隐患 1. 系统闯入是指未授权的人利用操作系统或者安全管理的漏洞
9、,通过一定的手段闯入到系统内部,获取普通用户没有的权力,实现对用户信息的篡改、窃取和非法使用。早期的闯入者只是做些修改网页之类近似于恶作剧的破坏。 随着电子商务的发展,入侵者通过盗取服务器上存放有关产品、客户和交易等信息,获得巨大的经济利益已成为其主要目的。入侵者在闯入系统的同时还可能在系统中埋下木马、陷门等病毒来破坏其正常工作。 2. 服务拒绝攻击 服务拒绝攻击(Denial of Service,DoS) ,简单来说,是通过电子手段,以网站或者网络瘫痪为目的的袭击。由于电子商务对网站的实时性要求越来越高,服务拒绝攻击对电子商务的威胁也就越来越大。虽然这种攻击不能使攻击者直接获得有用的信息,
10、但是它可以大大削弱被攻击者在客户心中的可信度。我们常见的服务拒绝攻击有:死亡之 ping(ping of death) 、UDP 洪水(UDP flood) 、Land 攻击、电子邮件炸弹等。 3. 身份仿冒 对用户身份进行仿冒,借此来破坏交易,损害被假冒方的信誉或者盗取其交易成果等。我们在利用网络进行交易时一定要进行身份认证。 4. 计算机病毒 它具有传染性、破坏性、隐蔽性、潜伏性、不可预见性等特点。计算机病毒正在从传统的感染单个文件,单个系统转向网络化发展。对于利用计算机及网络进行交易的电子商务参与者来说,计算机病毒势必会成为他们巨大的技术隐患。 4.3.2 电子商务系统安全体系 电子商务
11、安全分为计算机网络安全和商务交易安全计算机网络安全:是指计算机网络设备安全、计算机网络系统安全、数据库安全,其特征是针对计算机网络本身可能存在的安全问题实施网络安全增强方案,保证计算机网络自身的安全。商务交易安全:是指在计算机网络安全的基础上,如何保证电子商务过程的顺利进行,即实现保密性、完整性、不可抵赖性等要求。主要技术有:加密技术、认证技术、安全协议等。 (建立电子商务安全体系也应从这两个方面入手,其结构如图 41 所示 )4.3.3 常用电子商务安全技术和手段 1. 加密技术 加密技术,就是采用合适的加密算法(实际上是一种数学方法)把原始信息(称为“明文”)转换成一些晦涩难懂的或者偏离信
12、息原意的信息(称为“密文”) ,从而达到保障信息安全目的的过程。加密系统包括信息(明文和密文) 、密钥(加密密钥和解密密钥) 、算法(加密算法和解密算法)三个组成部分。例如:将英文字母 a、b、c、d、e、fx、y、z 分别对应变换为c、d、e、f、g、hz、a、b,即字母顺序保持不变,但使之分别与相差 2 个字母的字母相对应。若现在有明文“hello”,则按照该加密算法和密钥,对应密文为“jgnnq”2. 认证技术 身份认证身份认证是在交易过程中判明和确认贸易双方真实身份的。身份认证可以帮助商家确认对方身份,进而放心地开展电子商务。当交易双方发生纠纷时,身份认证还可以为仲裁提供有利的证据。
13、身份认证的常用方法主要有三种基本方式 : 用户口令 用户持有物 用户的某些生物学特征 信息认证它是用于验证信息的完整性,即确认信息在传递或存储过程中没有被篡改过,进而保证通信双方的不可抵赖性和信息的完整性。常采取数字签名技术进行信息的安全认证。数字签名主要是建立在公开密钥体制和报文分解函数(MDF) 的基础上。其过程为: 报文的发送方利用报文分解函数(目前常见的是单向 Hash 函数)生成一个 128 位的数字摘要; 发送方用自己的私人密钥对这个摘要摘要进行加密来形成发送方的数字签名; 然后,该数字签名将作为附件和报文一起发送给接收方; 报文的接收方首先从接收到的原始报文中计算出 128 位的
14、摘要; 接着用发送方的公开密钥来对报文附加的数字签名解密; 最后判断两个数字摘要是否相同。如果相同,那么接收方就能确认该数字签名是发送方的,而且报文在传输过程中没有被修改或替换过。如果不同,则表明该信息可能在传输过程中被篡改。数字签名技术可以保证信息传送的完整性和不可抵赖性。 当破坏者截获信息后,只要他对报文作一个字节的改动,接收方就会在最后验证数字摘要时出错而发现这次篡改;就算破坏者改动报文后计算出新的摘要,但他不知道发送方的私钥,无法生成有效的数字签名,还是无法实现篡改。 如果发送方否认这一次信息的传输,那么接收方就可以用收到报文和数字签名来反驳。3. 安全协议 安全套接层协议 安全套接层
15、(SSL,Secure Sockets Layer)协议是对计算机之间会话加密的协议,主要用于 Web 浏览器与 Web 服务器之间的身份认证和加密数据传输,可以对信用卡和个人信息提供较强的安全保护。SSL 协议是工作在网络的传输层中,所以它可以用于加密任何基于 TCPIP 的应用,如 HTTP、Telnet、FTP 等。SSL 协议包括了两个子协议:SSL 握手协议(SSL handshake protocol)和 SSL 记录协议(SSL record protocol)。 4. 反病毒技术 病毒的检测 检测计算机病毒,就是要到病毒寄生场所去检查,发现异常情况,并进而验明“正身”,确认计算机病毒的存在。对计算机病毒的检测分为对内存的检测和对磁盘的检测。(病毒静态时存储于磁盘中,激活时驻留在内存中)检测的原理主要包括比较法、搜索法、计算机病毒特征字的识别法、分析法。 病毒的清除 手工清除的方法;先由人工分析病毒传染的方法,然后再加以程序化,让清毒程序去完成清病毒的工作;在每个可执行文件中追加一部分用于恢复的信息,当被病毒感染后,这些信息可以帮助快速去除病毒,恢复文件的原状态;利用软件自动分析一个文件的原始备份和被病毒感染后的拷贝,通过简单的人工指导或根本不用人工干预,该软件会自动产生清除这种病毒的源程序,并可自动产生可执行程序。 病毒的
