《电子商务安全教学课件作者张波01电子商务安全导论课件幻灯片》由会员分享,可在线阅读,更多相关《电子商务安全教学课件作者张波01电子商务安全导论课件幻灯片(26页珍藏版)》请在金锄头文库上搜索。
1、第1章 电子商务安全导论 学习目的 了解电子商务安全的基本概念与安全现状; 掌握电子商务面临的安全威胁及安全需求; 了解电子商务中常用的安全技术; 掌握电子商务安全体系结构; 了解电子商务的安全服务及相关安全协议。,引例 淘宝网1元“错价门”事件-电子商务安全不容忽视 中国IDC评述网2009年09月14日报道:互联网上从来不乏标价1元的商品。近日,淘宝网上大量商品标价1元,引发网民争先恐后哄抢,但是之后许多订单被淘宝网取消。随后,淘宝网发布公告称,此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称:“服务器可能被攻击,已联系技术紧急处理。”这起“错价门
2、”事件发生至今已有两周,导致“错价门”的真实原因依然是个谜,但与此同时,这一事件暴露出来的电子商务安全问题不容小觑。 资料来源: http:/ 作者略有删减,电子商务(Electronic Commerce)是指政府、企业和个人利用现代电子计算机与网络技术实现商业交换和行政管理的全过程;它是一种基于互联网,以交易双方为主体,以银行电子支付结算为手段,以客户数据为依托的全新商务模式。电子商务的参与者包括企业、消费者和中介机构等。它的本质是建立一种全社会的“网络计算环境”或“数字化神经系统”,以实现资源在国民经济和大众生活中的全方位应用。 本章主要介绍电子商务安全概念,以及电子商务面临的安全威胁、
3、安全特点、安全环境、安全技术、安全体系结构和安全服务及安全协议等。,1.1 电子商务安全概况 近年来,网络技术和电子商务迅猛发展,人们在网络上进行从日常生活用品、书籍、到计算机、房产交易以及股票炒作、资金运作、旅游等活动剧增。网络安全问题成为人们一直关注的话题。电子商务安全的重要性已不言而喻。安全问题是电子商务推进中的最大路障。营造信誉良好、安全可靠的交易环境才能让众多的企业和消费者支持电子商务,否则消费者不信任网上交易,企业没有把握在网上营销,电子商务便只能是“水中花、镜中月”。尽管政府以及一些企业已意识到这一问题,但因为一直缺乏一个安全保护的完整概念,所以很多人在安全认知上仅限于对防火墙的
4、了解,而防火墙只是安全保护的一个方面,绝不等于全部,这也正是实施了防火墙的网络仍有漏洞存在的原因所在。 电子商务安全是一个不容忽视、涉及范围极广的社会问题,这些问题将长期存在,并时刻干扰电子商务的正常健康运行,希望有越来越多的企业和个人加入到关心电子商务安全的行列中来,共同营造电子商务的安全环境,为开创电子商务的未来献计献策。,1.1.1 电子商务安全概念与特点 1. 电子商务安全的定义 电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息,因此,电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。 计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库
5、安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全为目标。 商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,保障以电子交易和电子支付为核心的电子商务的顺利进行。即实现电子商务保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等。,计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。没有商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。 电子商务安全是以网络安全为基础。但是,电子商务安
6、全与网络安全又是有区别的。首先,网络不可能绝对安全,在这种情况下,还需要运行安全的电子商务。其次,即使网络绝对安全,也不能保障电子商务的安全。电子商务安全除了基础要求之外,还有特殊要求。,从安全等级来说,从下至上有计算机密码安全、局域网安全、互联网安全和信息安全之分,而电子商务安全属于信息安全的范畴,涉及信息的机密性、完整性、认证性等方面。这几个安全概念之间的关系如图11所示。同时,电子商务安全又有它自身的特殊性,即以电子交易安全和电子支付安全为核心,有更复杂的机密性概念,更严格的身份认证功能,对不可拒绝性有新的要求,需要有法律依据性和货币直接流通性特点,还要网络设有的其他服务(如数字时间戳服
7、务)等。,图11 电子商务安全基本关系示意图,2电子商务安全特点 (1)电子商务安全是一个系统概念 (2)电子商务安全是相对的 (3)电子商务安全是有代价的 (4)电子商务安全是发展的、动态的,1.1.2 电子商务面临的安全威胁 要了解电子商务的安全威胁,需要考查从客户机到电子商务服务器的整个过程。在考查“电子商务链”上每个逻辑链条时,可以看出必须保护的资产包括客户机、在通信信道上传输的消息、WWW和电子商务服务器(包括服务器端所有的硬件)等。 1对客户机的安全威胁 (1)动态网页内容 (2)相关技术或机制 1)cookie 2)邮件通讯簿 3)信息隐蔽,2对通信信道的安全威胁 (1)搭线窃听
8、 (2)IP欺骗 (3)IP源端路由选择 (4)目标扫描 3对服务器的安全威胁 (1)WWW服务器 (2)数据库服务器 (3)CGI (4)ASP (5)邮件炸弹 (6)溢出攻击 (7)口令破译,1.1.3 电子商务安全要素 面临的威胁导致了对电子商务安全的需求。电子商务安全要素是电子商务系统的中心内容,电子商务安全的要素有:机密性、完整性、认证性、不可抵赖性、不可拒绝性、访问控制性,如图1-2所示。,图1-2 电子商务的安全要素,1.2 电子商务安全体系 1.2.1 电子商务安全框架 一个安全的电子商务系统应构建以策略为指导、技术为基础、管理为核心的安全框架。在安全策略指导下,建立统一的安全
9、管理平台,提供全面的安全服务,形成一个互为协作的统一体,使整个系统覆盖从物理通信到网络、系统平台直至数据和应用平台的各个层面的安全需求,从而形成完整的电子商务安全框架。 安全策略是电子商务安全系统的灵魂与核心,任何可靠地安全系统框架都是构建在各种安全策略与安全技术基础上的,而电子商务的安全框架正是为了实现各种技术的集成。,1.安全策略 可采用的安全策略一般有: (1)物理结构:同因特网物理隔离,同内部局域网逻辑隔离。 (2)敏感信息:链路加密、文件加密传输、重要数据加密存储。 (3)安全认证:建立PKI/CA系统和授权管理。 (4)适度安全防护:从技术安全中选择适当防护措施。 (5)安全管理与
10、审计:加强安全审计,建立统一的安全管理平台。,2.安全框架 (1)物理与线路传输安全框架 (2)网络安全防御框架 (3)主机与系统安全框架 (4)数据与应用安全框架 (5)统一安全管理框架,1.2.2 电子商务安全体系结构 电子商务安全框架是保证电子商务中数据安全的一个完整的逻辑结构,由五个部分组成,如表11所示。 在表11中,电子商务安全体系结构由网络服务层、加密技术层、安全认证层、安全协议层、应用系统层组成。,表1-1 电子商务安全体系结构,1.2.3 电子商务安全基础环境 电子商务安全基础环境是指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用
11、软件等互相关联。 电子商务安全基础环境包括行政管理、基于网络设施的基本安全防御、基于PKI的CA安全认证、数据加密、容难备份、统一安全管理等基础环境。,1.行政管理 (1)核心设备的密码由双人管理。核心设备如服务器、存储器、交换机、路由器等。 (2)对用户的注册、退网、用网等有严格的管理规章制度。 (3)对数据交换中心核心信息的增加、删除和备份要严格实行登记制度。 (4)对系统的运行要有监控和应急处理措施,特别是门户网站的24小时监控、预警和快速恢复。 (5)网络中心机房的屏蔽技术,要经当地保密部门测试和认可。 (6)网络中心机房的双路供电和不间断电源条件应满足实际需要。,2.基于网络设施的基
12、本安全防御系统 (1)防火墙 (2)入侵检测系统(IDS) (3)病毒防护 (4)漏洞扫描 (5)物理隔离 (6)链路加密和VPN (7)入网认证与审计 3.基于PKI的CA安全认证 包括电子身份认证、授权、密码管理、密钥管理、可信任时间戳管理等。建立认证授权中心,对公众网络用户实行安全证书发放、入网认证、授权服务和管理。,4.数据加密 数字加密是利用数学算法将明文转变为不可能理解的密文和反过来将密文转变为可理解形式的明文的方法、手段和理论的一门科学。利用数字加密可以将敏感信息加密并通过一种并不安全的途径传递,只有指定的收件人才能解读原始信息。 对基础数据和核心数据实行加密处理,当用户欲访问数
13、据库时除了入网认证、服务器权限管理、磁盘目录属性管理和文件读/写权限管理之外,对数据库的记录、记录字段增加读、改、写权限并进行加密处理,无权读(或写)的用户不能看到数据库中任何数据,即使数据被窃也无泄密之险。,5.容灾备份 容灾备份中心是电子商务不可缺少的组成部分,是确保电子商务信息安全和在灾难性故障发生时无间断服务的重要措施。 容灾备份中心的主要功能有:定期备份数据交换中心的数据;在灾难性故障发生的时候临时提供服务。容灾备份中心的主要设备包括:服务器、交换机、路由器和大容量光盘存储器。 6.统一安全管理 多数的电子商务系统涉及大量的网络设备、主机设备、安全设备以及其他设施和人员,对安全的要求
14、较高,造成管理的复杂度很高。某些分散的管理降低了管理的效率和效果。所以需要建立一个统一的安全管理平台,对整个网络进行统一的安全管理。,1.3 电子商务安全技术 电子商务安全是信息安全的上层应用,它包括的技术范围比较广,主要分为网络安全技术、密码技术、安全协议、PKI(Public Key Infrastructure,公钥基础设施)技术四大类。实际上安全协议和PKI技术都是源于密码技术。 1.3.1密码技术 1.加密技术 2.密钥管理技术 3.数字签名,1.3.2网络安全技术 网络安全是电子商务安全的基础,一个完整的电子商务系统应建立在安全的网络基础设施之上。网络安全所涉及到的方面比较多,如操
15、作系统安全、防火墙技术、VPN(Virtual Pager NetWork;虚拟专用网)技术和各种反黑客技术和漏洞检测技术等其中最重要的就是防火墙技术。 1.3.3安全协议 安全协议是许多分布式系统安全的基础,是电子商务系统运行的安全通信标准。目前国际上流行的电子商务所采用的协议主要包括以下几个方面。 1.电子支付协议 2.安全HTTP(S-HTTP) 超文本传输协议 3.安全电子邮件协议,还有用于公对公交易的Internet EDI(UNEDIFACT)协议,它将贸易、运输、保险、银行和海关等行业的信息,用一种国际公认的标准格式,形成结构化的事务处理的报文数据格式,通过计算机通信网络,使各有
16、关部门、公司与企业之间进行数据交换与处理,并完成以贸易为中心的全部业务过程。 此外,也可以在Internet上建设虚拟专网,利用VPN为企业、政府提供一些基本的安全服务如企业、政府间的公文、报表传送、电子报税业务等。这些协议分别在不同的协议层上进行,在Internet上提供安全的电子商务服务。,1.3.4 PKI技术 PKI(Public Key Infrastructure)是利用公钥算法原理和技术为网上通信提供通用安全服务的基础设施。它为电子商务、电子政务、网上银行证券等提供一整套安全基础平台。 PKI采用证书管理公钥,通过第三方的可信机构CA,把用户的公钥和用户的其他标识信息捆绑在一起,在Internet网上验证用户的身份,PKI把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的机密性、完整性。 PKI的核心元素是数字证书,核心执行者是认证机构。数字证书服务的应用和实施是广泛开展电子商务的前提,电子商务的深入开展离不开数字证
