《电子商务概论教学课件作者刘鹤第5章节电子商务安全课件幻灯片》由会员分享,可在线阅读,更多相关《电子商务概论教学课件作者刘鹤第5章节电子商务安全课件幻灯片(49页珍藏版)》请在金锄头文库上搜索。
1、第5章 电子商务安全,学习内容:,本章学习要点:,电子商务数据传输安全保障技术包括数据加密、加密算法、数字签名、VPN等;还须掌握用户身份识别与认证技术。,电子商务安全的概念、特点、安全威胁与安全要求、安全保障体系以及账号管理、网络杀毒和防火墙等交易方自身网络安全保障技术。,基于SSL和SET的电子商务支付安全技术原理与流程。,重点 难点,重点掌握,了解,难点,引例,南京法院总结网络诈骗四术:购物及交友花样多 曾经在网上被骗钱?如何识破网上支付骗局?发现上当如何处置?2011年6月13日,南京市中级人民法院根据以往审理案件,总结出“网络诈骗四术”:互联网上竞拍及购物诈骗,网银、信用卡诈骗,虚假
2、股票或投资理财“钓鱼”网站诈骗,网上交友、征婚诈骗。 2009年,南京全市法院共受理各类型诈骗案件242件、涉案人数达382人,到了2010年,上述两数升至437件、592人,案件数量同比上升81%,涉案人数同比上升55%,增幅明显。其中,利用网络进行诈骗的犯罪增多,高科技手段频现,手段层出不穷,更趋于隐蔽。 类型一:互联网上竞拍及购物诈骗 一些行骗人会建立“山寨版”电子商务网站,或通过大型电子商务网发布“超低价”、“走私货”、“免税货”、“违禁品”等虚假商品销售信息,以低价吸引网民上当。还有一些行骗人会在网站上搞六合彩赌博网站、淫秽色情网站链接,引诱网民点击进入,交纳注册费,一旦注册成功,手
3、机话费就被扣除。此外,游戏网站向玩家派送“中奖”信息,让玩家汇邮费、税费,买的东西和寄来的东西“货不对版”等,都是诈骗的常见招式。,类型二:网银、信用卡诈骗 “网络上所谓二代身份证生成器随处可见,只要知道他人的身份资料,就可以直接生成以假乱真的二代身份证复印件,再用这些资料去骗领信用卡”,韩亮表示,有不少案件的犯罪分子都是从网络上购买他人身份资料。 类型三:虚假股票或投资理财“钓鱼”网站诈骗 一些犯罪分子开设虚假网站,声称向股民有偿推荐优质股票、诱导股民交费“入会”、代理炒股等,骗取事主钱财。事主要么轻信虚假消息,股票被“套牢”,要么把钱汇入嫌疑人账号后,对方就再也联系不上了。 类型四:网上交
4、友、征婚诈骗 犯罪分子利用网络,刊登个人条件优越的交友信息,吸引事主上当,在通过网络和电话沟通中,用“甜言蜜语”诱惑事主,后以“生病”、“车祸”、“被查扣”、“新店开张”等各种理由让事主垫付钱财。 作为网上消费的网民,一定要了解卖家和商品价格,对于没有固定地址、电话的卖家,不要轻易进行交易;一定要妥善保存自己的身份信息、银行卡密码等;对于推荐股票或投资理财的“钓鱼”信息不要“上钩”;交友社交一旦发现被骗及时报警;再就是要增强安全意识,学习安全技术,提高网络识骗防骗能力,保障自身网络活动安全无忧。 资料来源:中国新闻网. http:/ 电子商务安全概述,5.1.1电子商务安全的概念与特点 电子商
5、务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。 1.计算机网络安全 包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全为目标。,2.商务交易安全 紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,保障以电子交易和电子支付为核心的电子商务的顺利进行。即实现电子商务保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等 。,计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈
6、起。没有商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。,3.电子商务安全与网络安全 电子商务安全是以网络安全为基础。但是,电子商务安全与网络安全又是有区别的。它是以电子交易安全和电子支付安全为核心,有更复杂的机密性概念,更严格的身份认证功能,对不可拒绝性有新的要求,需要有法律依据性和货币直接流通性特点,还要网络设有的其他服务(如数字时间戳服务)等。 从安全等级来说,从下至上有计算机密码安全、局域网安全、互联网安全和信息安全之分,而电子商务安全属于信息安全的范畴,涉及信息的机密性、完整性、认证性等方面。这几个安全概念之间的关系如图5-1所示。,4.电子商务安全
7、的重要性体现 (1)电子商务安全是吸引更多社会公众和经济主体投身电子商务的保证 (2)电子商务安全是帮助市场游戏规则顺利实施的前提 (3)电子商务安全是电子虚拟市场交易顺利发展的保证 (4)电子商务安全与国家经济安全相关,5.电子商务安全的特点 (1)电子商务安全的整体性 (2)电子商务安全的相对性 (3)电子商务安全的技术性 (4)电子商务安全的社会性 (5)电子商务安全的动态性,5.1.2电子商务的安全威胁与要求,1.卖方面临威胁 (1)中央系统安全性被破坏 (2)竞争者检索商品递送状况 (3)被他人假冒而损害公司的信誉 (5)其他威胁 (4)获取他人的机密数据,2.买方面临威胁 (1)虚
8、假订单 (2)付款后不能收到商品 (3)机密性丧失 (4)拒绝服务,(1)信息传输风险 (2)信用风险 (4)法律风险 (3)管理风险,(1)商务数据的机密性 (2)商务数据的完整性 (3)商务对象的认证性 (4)商务服务的不可否认性 (5)商务服务的不可拒绝性 (6)访问的控制性,4.安全控制要求,3.威胁来源分析,5.1.3电子商务安全保障体系 电子商务安全保障应遵循综合防范的原则,从技术、管理、法律三方面入手,建立健全以信息安全、网络安全为目标,加密技术、认证技术为核心,安全电子交易制度为基础的,具有自主知识产权的电子商务安全保障体系。,5.2 电子商务交易方自身网络安全保障技术,5.2
9、.1 用户账号管理技术 用户账号的安全管理不仅包括技术层面的安全支持,还需要在企业信息管理的政策方面有相应的措施。对于用户的密码要注意一些方面: (1)复杂性 (2)密码长度 (3)定期更改密码,5.2.2 网络杀毒技术 (1)集中式管理、分布式杀毒 (2)应用数据库技术和LDAP技术 (3)多引擎技术支持 (4)从入口处拦截病毒 (5)整体全面的解决方案 (6)个性化、客户化定制 (7)扩展性、融合性趋势 (8)远程安装或分发安装,5.2.3防火墙技术 防火墙就是在网络边界上建立相应的网络通信监控系统,用来保障计算机网络的安全,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬
10、件产品中。所有来自Internet的传输信息或发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。 实现防火墙技术的主要途径有:分组过滤和代理服务。,在具体应用防火墙技术时,还要考虑到两个方面: 一是防火墙是不能防病毒的,尽管有不少的防火墙产品声称其具有这个功能。 二是防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题,如果延迟太大将无法支持实时服务请求。并且,防火墙采用滤波技术,滤波通常使网络的性能降低50%以上,如果为了改善网络性能而购置高速路由器,又会大大提高经济预算。,5.3电子商务数据传输安全保障技术
11、,5.3.1什么是数据加密 加密技术是网络安全技术的基石。数据加密又称密码学,它是一门历史悠久的技术,指通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文。 在网络系统中,一般的数据加密可以在通信的三个层次来实现:,链路 加密,节点 加密,端到端 加密,5.3.2两种不同的加密算法,非对称加密,对称加密,5.3.3解决数据传输完整性问题:数字签名 1关于数字签名 所谓“数字签名”就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证而无法比拟的(如图
12、5-4所示)。,图 5-4 数字签名的基本原理,2数字签名的应用,数字摘要,数字签名,数字时间戳,数字签名机制提供了一种鉴别方法,以解决银行、电子贸易中的如下问题: 身份认证。收方通过发方的电子签名能够确认发方的确切身份,但无法伪造。 保密。双方的通信内容高度保密,第三方无从知晓。 完整性。通信的内容无法被篡改。 不可抵赖。发方一旦将电子签字的信息发出,就不能再否认。 值得说明的是,数字签名与数据加密完全独立。数据可以只签名或只加密,也可既签名又加密,当然,也可以既不签名也不加密。,5.3.4数据加密和认证技术在电子商务中的综合应用虚拟私人网(VPN技术) 1关于VPN技术 虚拟私人网,又称为
13、虚拟专用网(VPN,Virtual Private Network),是指利用开放的公共网络资源建立私有传输通路,将远程的分支机构,商业伙伴,移动办公人员等连接起来,并且提供安全的端到端的数据通信的一种技术。 它有两层含义: 第一,它是“虚拟的” ;第二,它是“专用的”。,VPN技术具有以下优点: (1)企业专网的构建成本和使用费用大幅降低 (2)网络架构弹性大,可扩充性好且灵活性高 (3)管理维护方便、容易且轻松 (4)良好的安全保障 VPN可以弥补现有企业局域网的局限性,将网络连线范围低成本地予以扩充,使异地分公司、移动工作者、远程用户、客户、合作伙伴都能连上企业内部网。它不但可以降低服务
14、成本,缩减长途通信费用,减少硬件投入,简化长期的广域网的维护、运作,而且可以确保网络上数据传输的安全性。,2VPN的安全技术 (1) 隧道技术 (2) 加解密技术 (3) 密钥管理技术 (4) 使用者与设备身份认证技术 3VPN与电子商务 一般来说,VPN在电子商务中有三种解决方案,分别是远程访问VPN、企业内部VPN和企业外部VPN。,5.4 电子商务交易用户身份识别与认证技术,电子商务安全的第一道防线就是身份识别与认证(如图5-5所示)。,图5-5 身份认证的地位,5.4.1 什么是CA认证 电子商务认证授权机构(CA, Certificate Authority),也称为电子商务认证中心
15、,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。 CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。 CA是证书的签发机构,它是PKI的核心。 CA 也拥有一个证书(内含公钥)和私钥。 如果用户想得到一份属于自己的证书,他应先向 CA 提出申请。 如果一个用户想鉴别另一个证书的真伪,他就用 CA 的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。,5.4.2 CA认证的过程 一个典型的CA系统包括安全服务器、注册机构RA、CA服务器、LDAP(
16、轻量级目录访问协议,Lightweight Directory Access Protocol)目录服务器和数据库服务器等(如图5-6所示)。,图5-6 典型的CA中心流程,1CA中心的主要功能 (1)证书的颁发 (2)证书的更新 (3)证书的查询 (4)证书验证 (5)证书的作废 (6)证书的归档 (7)提供密钥托管和密钥恢复服务,2CA中心的分级结构,图5-7 CA中心的分级结构,5.4.3 数字证书的内容和验证 1数字证书的概念 数字证书就是网络通信中标志通信各方身份信息的一系列数据,提供了一种在互联网上验证身份的方式,其作用类似于现实生活中的身份证。它是由一个权威公正的第三方机构CA机构(也称证书授权中心)发行的证书,人们可以在交往中用它来识别对方的身份。 数字证书可用于:发送安全电子邮件、访问安全站点、网上证券交易、网上招标采购、网上办公、网上保险、网上税务、网上签约和网上银
