《电子商务安全讲座》由会员分享,可在线阅读,更多相关《电子商务安全讲座(37页珍藏版)》请在金锄头文库上搜索。
1、电子商务安全讲座,范兴昌,2009中国国内贸易额335353亿元,国内电子商务整体市场年交易额则仅有33,278亿元。也就是说电子商务在国内贸易额中仍是极小的一部分 人们不禁要问,是什么因素阻碍了电子商务更广泛的普及呢?为此,不少调查机构进行了广 泛的调查。众多的调查都发现,一个主要的障碍就是电子商务的安全问题。,第一节 电子商务安全概述,由于有关电子商务的立法和管理刚刚开始,有人开玩笑说“电子商务目前是个三无行业:无法可依、无安全可言、无规可循”,当然这只有一定的道理,我国政府对电子商务的管理已经报上议事日程,各个部门都在抓紧制定推进电子商务的政策。,一、电子商务交易带来的安全问题,1. 销
2、售者面临的威胁: 中央系统安全性被破坏。 客户资料被竞争者获悉。 被他人假冒而损害公司的信誉。 消费者提交定单后不付款。,2.购买者面临的威胁:付款后不能收到商品。 机密性丧失。 拒绝服务。,二、网络黑客攻击电子商务系统常用手段,中断、介入、篡改、假造。,三、为什么网络传输不安全,External access,now granted.,Are applications,and network,secure?,信息资本,Enterprise,Network,没有边界 没有中央管理 是开放的、标准的 没有审计记录,INTERNET,四、电子商务安全风险来源,信息传输风险: 冒名窃听。 篡改数据。
3、 信息丢失。 信息传递过程中的破坏。,信用风险: 来自买方的信用风险。 来自卖方的信用风险。 买卖双方都存在抵赖的情况。,管理方面的风险: 交易流程管理风险。 人员管理风险。 网络交易技术管理的漏洞也带来较大的交易风险。,法律方面的风险:,五、电子商务的安全控制要求,信息的保密性。 交易者身份的确定性。 不可否认性。 不可修改性,解决电子商务安全的主要策略,技术控制 政策、法律、守则、管理,政策、法律、守则、管理,Internet 防火墙,加密、授权、认证,审计、监督,技术控制,现在,网络欺诈案件数量呈逐年上升趋势,专家建议,为增加电子商务交易的信息透明度,防止网络购物欺诈,必须制定严格的电子
4、商务企业市场准入制度。2008年,国家工商总局表态,网上开店要办理工商营业执照,北京将首先试点,今后将在全国范围内推广。,消费者在获得中奖信息时一定要擦亮眼睛,基本上来路不明的信息都可归为欺诈一类。在机器中安装安全防护软件,可免受远离钓鱼网站欺骗。重要的是,不要相信保证金、开包费这种费用,在汇款之前提高警惕,不给骗子可乘之机。,消费者在网上购物时,首先要选择正规的电子商务平台,在货到时一定要当面验货,如果感觉商品严重不符或非常不满意,可以当即跟店家联系,并拒绝签收,这要比事后再进行退换容易得多。,其次,虽然网上店铺的信誉度、顾客评价等信息也能作假,但如果回帖数量足够多而且都不重复,还是有一定参
5、考价值,很多都是真实有效的。最后,可以在下订单前通过聊天软件跟店主充分沟通,询问商品信息,比如是否有自己想要货品的规格、颜色,能否提供发票等信息,以此把风险降到最低,第二节 电子商务主要安全技术,虚拟专用网 加密技术 数字签名 数字证书 数字水印 身份认证 防火墙,一、虚拟专用网(VPN),虚拟专用网络是指在其他地点通过公共互联网建立一个安全的“私人网络”。使用VPN的企业允许员工远程办公,并连接到他们的公司网络。简单地说,当您不是在您的办公室,而又需要使用您的公司资源,您需要做的是拨号网络和连接到您的公司网络,通过它您可以使用所有资源就像在办公室一样。,二、信息加密技术,1对称密钥密码体制
6、对称密钥密码体制的特点是加密密钥和解密密钥是相同的或可以相互推导。 凯撒密码 word 密钥4 密文: asvh,对称密角加密体制存在的问题,(1)通信双方的密钥安全交换问题 加密方必须使用安全途径将密钥传输 给解密方。 (2)多密钥分发与管理问题 当通信一方与N个用户通信,就需要N个密钥 (3)无法满足互不相识的人进行私人谈话的保密要求。 (4)难以解决数字签名问题,2非对称密钥密码体制 非对称密钥密码体制又称公开密钥密码体制。 一对密钥 公钥、私钥 用公钥加密,私钥解开 用私钥加密 ,公钥解开 私钥不发布,公钥发布,非对称密钥加密和对称密钥加密比较,对称密钥加密 密钥长度短 运算速度快 密
7、钥个数一个 密钥分配困难 可用于数据加密和消息的认证 无法满足互不相识的人之间进行私人谈话时的保密性需求,非对称密钥加密 密钥长度长 运算速度慢 密钥个数两个 密钥分配简单 可以完成数字签名和实现保密通信 可满足互不相识的人之间进行私人谈话时的保密性需求,在实际应用中可利用两种加密方式的优点。 1.采用对称加密方式来加密文件的内容; 2.采用非对称加密方式来加密密钥 混合加密系统,较好地解决了运算速度问题和密钥分配管理问题。,3.数字信封,数字信封的形成:,数字信封的解除,三、数字鉴名,数字鉴名(Digital signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。应用广
8、泛的数字签名的方法主要有三种:RSA签名、DSS签名和Hash签名。 Hash签名是最主要的数字签名方法,也称之为数字摘要法或数字指纹法。,数字签名,发送方私钥,四、数字证书与CA认证,1数字证书(Digital Certificate 或Digital ID) 数字证书采用公私钥密码体制,每个用户拥有一把仅为本人所掌握的私钥,用它进行信息解密和数字签名;同时拥有一把公钥,并可以对外公开,用于信息加密和签名验证。 数字证书可用于:发送安全电子邮件、访问安全站点、网上证券交易、网上采购招标、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。,2数字证书的内容
9、数字证书包括以下内容如图所示 : 证书拥有者的姓名; 证书拥有者的公钥; 公钥的有限期; 颁发数字证书的单位; 颁发数字证书单位的数字签名; 数字证书的序列号等。,数字水印(Digital Watermarking)技术是将一些标识信息(即数字水印)直接嵌入数字载体当中(包括多媒体、文档、软件等)或是间接表示(修改特定区域的结构),且不影响原载体的使用价值,也不容易被探知和再次修改。但可以被生产方识别和辨认。通过这些隐藏在载体中的信息,可以达到确认内容创建者、购买者、传送隐秘信息或者判断载体是否被篡改等目的。数字水印是信息隐藏技术的一个重要研究方向。 数字水印是实现版权保护的有效办法,是信息隐
10、藏技术研究领域的重要分支。,五、数字水印,数字水印的应用领域,1.数字作品的知识产权保护 2.商务交易中的票据防伪 3.证件真伪鉴别,六、身份认证,认证机构或信息服务商应当提供如下认证功能: (1)可信性 (2)完整性 (3)不可抵赖性 (4)访问控制,身份认证的方式,用户身份认证可通过三种基本方式或其组合方式来实现。 (1)用户所知道的某个秘密信息,例如用户知道自己的口令。 (2)用户所持有的某个秘密信息(硬件),即用户必须持有合法的随身携带的物理介质。 (3)用户所具有的某些生物学特征,如指纹、声音、DNA图案、视网膜血管分布扫描等。 用户身份认证的最简单的方法就是口令。系统事先保存每个用
11、户的二元组信息,进入系统时用户输入二元组信息,系统将保存的用户信息和用户输入的信息相比较,从而判断用户身份的合法性。,生物识别技术,.,口令加密,对口令进行加密传输是一种改进的方法。 最安全的身份认证机制是采用一次性口令机制,即每次用户登录系统时口令互不相同,主要有两种实现方式。第一种采用“请求响答”方式。第二种方法采用“时钟同步”机制。 Kerberos协议是一种共享秘密的验证协议,因为用户和密钥分配中心都知道用户的密码。,七、 防火墙,通常意义上的防火墙: 不同安全级别的网络或安全域之间的唯一通道 只有被防火墙策略明确授权的通信才可以通过 系统自身具有高安全性和高可靠性,注意区分个人防火墙
12、、病毒防火墙,防火墙是位于两个(或多个)网络间,实施网络间访问控制的一组组件的集合。防火墙的英文名为“FireWall”,它是最重要的网络防护设备之一。,1、基本概念,防火墙在网络中的位置,安装防火墙后的网络,DMZ是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。 通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。这样,不管是外部还是内部与对外服务器交换信息数据也要通过防火墙,实现了真正意义上的保护。,防火墙在网络中的位置,DMZ区(demilitarized zone,也称非军事区),电子商务安全中还需解决的问题 (1)没有一种电子商务安全的完整解决方案和完整模型与体系结构。 (2)尽管大多数方案都使用了公钥密码,但多方安全受到的关注远远不够。没有建立一种解决争议的决策程序。 (3)客户的匿名性和隐私尚未得到充分的考虑。,
