项目10电子商务安全技术.ppt

项目十 电子商务安全技术,10.1任务一 了解电子商务安全问题,任务引导 大连富伸服装有限公司是一家从事服装生产与销售的公司。公司拥有德国杜克普，日本重机、兄弟、百福等国际一流特种设备和最先进整烫设备，主要从事国外品牌西装贴牌加工生产和“卡落佳（KALLCA）”品牌男装系列服饰产品的设计、生产和销售。产品主要外销北美、南美、西欧、东亚等国家和地区。公司一直坚持品牌经营发展战略和走国内高级精品男装服饰的发展方向。自从2008年全球金融危机发生后，在看到同行企业纷纷试水电子商务并获得了竞争优势，为了扩大企业影响和降低销售成本，大连富伸服装有限公司决定开展电子商务。在企业拓展一系列电子商务业务中，相关人员因电子商务的安全问题产生了忧虑.,10.1任务一 了解电子商务安全问题,任务说明 随着Internet的发展，电子商务已经逐渐成为人们进行商务活动的新模式。相对于传统商务模式，电子商务具有便捷、高效等特点。但目前全球通过电子商务渠道完成的贸易额只是同期全球贸易额中的一小部分。究其原因，电子商务是一个复杂的系统工程，它的实现还依赖众多从社会问题到技术问题的逐步解决与完善。其中，电子商务安全是制约电子商务发展的一个核心和关键问题，电子商务安全技术也成为各界关注和研究的热点。 通过本次任务主要了解电子商务的安全问题；掌握电子商务对安全的要求；掌握电子商务的信息安全协议。,10.1任务一 了解电子商务安全问题,10.1.1电子商务系统安全的概念 电子商务系统硬件安全。硬件安全是指保护计算机系统硬件（包括外部设备）的安全，保证其自身的可靠性和为系统提供基本安全机制。 电子商务系统软件安全。软件安全是指保护软件（系统软件、应用软件）和数据不被篡改、破坏和非法复制。系统软件安全的目的是使计算机系统逻辑上安全，主要是使系统中信息存取、处理和传输满足系统安全策略的要求。 电子商务系统运行安全。运行安全是指保护系统能连续和正常地运行。 电子商务安全立法。电子商务安全立法是对电子商务犯罪的约束，它是利用国家机器，通过安全立法，体现与犯罪行为斗争的国家意志。,10.1任务一 了解电子商务安全问题,10.1.2电子商务安全技术 防火墙技术 数字证书 信息加密技术,10.1任务一 了解电子商务安全问题,10.1.3电子商务安全协议 安全套接层协议 安全套接层协议的概念 安全套接层协议（Secure Sockets Layer，SSL）是由网景(Netscape)公司1994年推出的一种安全通信协议，其主要目的就是要解决Internet上信息传输的安全问题。它是在Internet基础上提供的一种保证私密性的安全协议，保证客户/服务器之间通信信息的真实性、完整性和保密性。SSL协议包括SSL记录协议和SSL握手协议。该协议位于TCP/IP协议与各种应用层协议之间，在应用层协议通信之前就已经完成加密算法、通信密钥和认证工作，在此之后应用层协议所传送的数据都会被加密。,10.1任务一 了解电子商务安全问题,10.1.3电子商务安全协议 安全套接层协议 SSL协议提供的安全服务 认证性。 保密性 完整性 SSL的应用 SSL的典型应用主要有两个方面：一是客户端，如浏览器等；一个是服务器端，如Web服务器和应用服务器等。,10.1任务一 了解电子商务安全问题,10.1.3电子商务安全协议 安全套接层协议 SSL的优缺点 首先，SSL可保证信息的真实性、完整性和保密性，但由于SSL不对应用层的消息进行数字签名，因此，不能提供交易的不可否认性。所以SSL并没有实现电子支付所要求的保密性、完整性，而且多方互相认证也是很困难的。 其次，在电子商务交易过程中，按照SSL协议，客户购买的信息首先发往商家，商家再将信息转发银行，银行验证客户信息的合法性后，通知商家付款成功，商家再通知客户购买成功，将商品寄送客户。在流程中可以看到，SSL协议有利于商家而不利于客户，客户资料的安全性受到威胁。在电子商务的开始阶段，由于参与电子商务的公司大都是一些大公司，信誉较高，这个问题没有引起人们的重视。随着电子商务参与的厂商迅速增加，SSL协议的缺点完全暴露出来。,10.1任务一 了解电子商务安全问题,10.1.3电子商务安全协议 安全电子交易协议 安全电子交易协议的概念 安全电子交易（Secure Electronic Transaction，SET）协议是由Visa和Master Card两大信用卡公司联合多家网络公司共同制定的应用于Internet上的以银行卡为基础进行在线交易安全标准。SET协议是在应用层的网络标准协议，它采用公钥密码体制和X.509数字证书标准，主要使用的技术包括：对称密钥加密、公共密钥加密、Hash算法、数字签名以及公共密钥授权机制等。它同时兼顾了顾客、商家、银行等多方面的利益，具有安全的网络支付功能，保障网上购物信息的安全性。在电子商务应用中，由于SET提供了消费者、商家和银行之间的认证，商家只能得到消费者的订购信息而银行只能获得有关支付信息，确保了交易数据的安全、完整和可靠。它是目前公认的信用卡/借记卡网上交易的国际安全标准。它与SSL协议相比，在最大的优点是不向无关人员泄露任何信息。,10.1任务一 了解电子商务安全问题,10.1.3电子商务安全协议 安全电子交易协议 SET协议运行的目标 信息在Internet上的安全传输，防止被黑客或被内部人员窃取。 订单信息与个人账号信息的隔离。将包括消费者账号信息的订单送到商家时，商家只能看到订货信息，而看不到消费者的账号信息。 解决多方认证问题，确保交易数据的安全性、完整可靠性和交易的不可否认性。 保证网上交易的实时性，使所有支付都是在线的。 规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作性，并且可以运行于不同的硬件和操作系统平台上。,10.1任务一 了解电子商务安全问题,10.1.3电子商务安全协议 安全电子交易协议 采用安全电子交易协议交易的流程,10.1任务一 了解电子商务安全问题,10.1.4正确看待企业开展电子商务业务的安全问题 安全是一个系统的概念。 安全是相对的。 安全是有成本和代价的。 安全是发展的、动态的。,10.1任务一 了解电子商务安全问题,任务实施： 大连富伸服装有限公司开展电子商务业务的安全策略分析,10.1任务一 了解电子商务安全问题,拓展练习 问答题 通过互联网开展电子商务存在的安全问题有哪些？ 哪些技术手段可以保证电子商务的安全？ 比较SSL协议与SET协议的优缺点？ 操作题 自2011年4月份以来，包括索尼、任天堂、美国中情局等一系列的重要企业和机构遭遇攻击。2011年6月21日，台湾明基企业旗下的网站.tw遭到黑客攻击，其服务器被植入了一个文本文件。这意味着黑客已经取得了明基服务器的权限，可以进行诸如：植入木马病毒、窃取储存在服务器上的用户资料等危险操作。根据瑞星公司发布的企业安全报告，在中国大陆，有高达90%的企业内网（仅计算与互联网连通的企业网络）被成功侵入过至少一次。其中遇到恶意代码（病毒和木马等）侵入的比例占 50%，黑客攻击和渗透占43%，钓鱼网站攻击和其它形式安全事件占7%。上网查找资料，了解是什么原因导致了这类事件的屡屡发生，如何防范这类事件的发生？,10.2任务二 防火墙技术(Firewall)的应用,任务引导 小张经常在网上购物，情人节马上要到了，打算给正在热恋中的女友买份厚礼，可一直迟迟没有购买，为什么？因为他在某杂志上看到最近有一些木马特别厉害，竟然可以盗取个人网上银行的账号和密码，他怕自己的账号和密码也被盗呀。 “IP、IC、IQ卡，统统告诉我密码”这句经典的台词，不再是一句玩笑的话了，QQ密码、网游账号，特别是我们上网购物时需要输入的银行卡号和密码，都已经成为黑客窃取的目标。如2010年出现的木马“尖峰洞”及其变种，就可以盗取个人网上银行账号和密码；还有“密码结巴”这款国内有名的专业盗号木马，就可以轻松获取用户的密码，并自动发送到指定的邮箱里。面对日益猖獗的木马，我们应该怎么办呢?,10.2任务二 防火墙技术(Firewall)的应用,任务说明 作为普通的电脑用户，我们除了提高防范意识外，最主要的还是要安装一款病毒防火墙，它可以防止各种网络攻击，彻底阻断病毒、木马、后门程序以及间谍软件对用户账号、密码及隐私信息的窃取，对网上办公、上网娱乐、网络购物时的安全，提供非常大的保障。 本次实训通过安装和配置瑞星防火墙，了解防火墙的功能，掌握其安装和配置的方法。,10.2任务二 防火墙技术(Firewall)的应用,10.2.1防火墙的概念,10.2任务二 防火墙技术(Firewall)的应用,10.2.2防火墙的功能 保护数据的完整性 保护网络的有效性 保护数据的机密性,10.2任务二 防火墙技术(Firewall)的应用,10.2.3防火墙的主要类型 包过滤防火墙 代理服务防火墙 应用网关防火墙,10.2任务二 防火墙技术(Firewall)的应用,10.2.4防火墙的优点 防火墙是网络安全的屏障。 在防火墙上可以很方便地监视网络的安全性，并产生报警。 防火墙是审计和记录互联网使用量的一个最佳地方。 防火墙可以强化网络安全策略。,10.2任务二 防火墙技术(Firewall)的应用,10.2.5防火墙的缺点 限制有用的网络服务。 防火墙无法防范那些不通过防火墙的攻击。 防火墙一般无法解决内部人员的攻击问题。 防火墙无法完全防止新出现的网络威胁。 防火墙不能防范病毒。,10.2任务二 防火墙技术(Firewall)的应用,任务实施 瑞星防火墙的安装与配置,10.2任务二 防火墙技术(Firewall)的应用,拓展练习 问答题 防火墙设置在何处？防火墙技术有哪些类型？ 防火墙的功能有哪些？ 简述防火墙的优缺点？ 操作题 上网了解目前市场上比较流行的防火墙软件，下载其中一款免费软件，在计算机上进行安装与设置。 上网查询哪些端口是常见木马所默认开放的端口，根据具体情况采取相应的操作。,10.3任务三 防病毒技术的应用,任务引导 小于是一家知名门户网站的维护人员，最近用户反映访问该网站，杀毒软件总是提示有病毒。经排查，排除了黑客攻破网站，上传病毒文件；查出是小于用于维护网站的计算机中病毒。小于在维护网站的时候，上传文件将病毒传到服务器中，导致部分用户感染病毒，影响了网站的正常访问，造成用户流失。 小张是一名大学教师，这段时间他遇到了一件离奇的怪事。打开Word文件时，常用的Word文件怎么打也打不开，双击弹出提示框：“版本冲突：无法打开高版本的Word文档”。再仔细看时，文件夹里竟然有两个名字一模一样的Word文件。后经查实，小张的电脑中了 “Word文档杀手”病毒。当用户误点了经过伪装的病毒后，病毒就开始发作，先是将硬盘里面所有的Word文档建立一个列表，然后逐一将这些Word文件删除，导致所有Word文档神秘失踪。小于、小张该如何防范这些不安全风险？,10.3任务三 防病毒技术的应用,任务说明 我们在享受互联网带来最大利益的同时，也承受来自互联网的安全风险，许多病毒都是通过Internet文件下载和电子邮件文件传播的。经常相互使用的U盘、光盘复制文件，这些存储介质都可能成为病毒传播的载体。 通过本次任务熟悉在计算机上安装和配置防病毒软件，熟悉防病毒软件的使用技巧，提高使用防病毒软件的水平，减少计算机感染病毒的机会。,10.3任务三 防病毒技术的应用,10.3.1计算机病毒的特征 感染性 可触发性 欺骗性 破坏性 潜伏性 隐蔽性,10.3任务三 防病毒技术的应用,10.3.2计算机病毒的分类 按照计算机病毒的寄生部位或传染对象分类 磁盘引导区传染的计算机病毒 操作系统传染的计算机病毒 可执行程序传染的计算机病毒 按照寄生方式分类 引导型病毒会去改写（即一般所说的“感染”）磁盘上的引导扇区（BOOT SECTOR）的内容，U盘或硬盘都有可能感染病毒。 文件型病毒主要以感染文件扩展名为.com、.exe等可执行程序为主。,10.3任务三 防病毒技术的应用,10.3.3计算机病毒传播途径 通过不可移动的计算机硬件设备进行传播，这些设备通常有计算机的专用ASIC芯片和硬盘等。 通过移动存储设备来传播。这些设备包括软盘、磁盘、U盘、移动硬盘等。 通过计算机网络进行传播。随着互联网的风靡，给病毒的传播又增加了新的途径，并将成为第一传播途径。互联网主要有两种传播渠道，一是文件下载，二是电子邮件。 通过点对点通信系统和无线通道传播。这些通讯工具通常有腾讯QQ、MSN和手机等移动通讯设备。 10.3.4计算机病毒的防治 计算机病毒的防治要从防毒、查毒、杀毒三方面进行。,10.3任务三 防病毒技术的应用,任务实施 瑞星杀毒软件的安装与配置,10.3任务三 防病毒技术的应用,拓展练习 问答题 简述计算机病毒的特征？ 简述计算机病毒的分类？ 你在使用计算机过程中遇到过哪些病毒？表现特征如何？如何处理？ 如何防范网络病毒？ 操作题 查找、下载一款杀毒软件，并对它进行体验，写出体验报告？,10.4任务四 数据加密技术的应用,任务引导 小于是大连富伸服装有限公司的销售员，由于业务的需要，经常与国外客户联系，并通过多种网络通信方式传递信息，使用最多的是电子邮箱。在网上看到深圳龙岗区一外贸公司用于外贸业务联系的邮箱被非法入侵，汇款账号被更改，外商货款汇到“黑客”账户。小于开始担忧自己电子邮件的安全，因为小张和国外客户之间的电子邮件涉及客户信息、企业商业信息和银行账号等信息，如果这些信息泄露将给企业带来很大损失和不可估量的影响。此时，小于积极地为自己的计算机安装了杀毒软件，并及时更新病毒库，但是他还是非常希望能找到一种应用技术使得他发送的邮件信息能够被保护，并且能确保对方接收到邮件是自己发送的，而不是别人冒名发送的。,10.4任务四 数据加密技术的应用,任务说明 互联网是一个自由、开放的网络，在这种环境下开展电子商务活动，保护交易信息的安全显得尤为重要。交易信息的安全包括在网络环境下交易信息不被他人看到，交易信息在传递过程中不被他人篡改，一旦交易双方有相关交易行为产生就不能抵赖等。 通过本次任务了解电子商务信息安全的要求，掌握数据加密技术；熟练使用PGP软件对电子邮件进行加密和解密。,10.4任务四 数据加密技术的应用,10.4.1电子商务信息安全要求 交易者身份的真实性 信息传输的保密性 交易文件的完整性 信息的不可否认性,10.4任务四 数据加密技术的应用,10.4.2数据加密技术 加密技术概述 加密技术的概念:信息加密技术就是采用数学方法对原始信息进行再组织，使得加密后在网络上公开传输的内容对于非法接收者来说成为无意义的文字。而对于合法的接收者，因为其掌握正确的密钥，可以通过解密过程得到原始数据。,10.4任务四 数据加密技术的应用,10.4.1电子商务信息安全要求 加密技术的术语 明文（Cleartext）：最初要发送的原始信息。 密文（Ciphertext）：被加密信息转换后得到的信息。 加密（Encryption）：将明文转换为密文的过程。基于数学方法的程序和保密的密钥对信息进行编码，把计算机数据变成一堆杂乱无章难以理解的字符串。 解密（Decryption）：加密的逆过程，将密文转换为明文的过程。 算法（Algorithm）：加密或解密时所采用的一组规则。 密钥（Key）：在加密（或解密）过程中使用的可变参数称为密钥。,10.4任务四 数据加密技术的应用,10.4.1电子商务信息安全要求 数据加密技术 对称密钥加密,10.4任务四 数据加密技术的应用,10.4.1电子商务信息安全要求 数据加密技术 非对称密钥加密,10.4任务四 数据加密技术的应用,10.4.3数字摘要,10.4任务四 数据加密技术的应用,10.4.4数字签名 数字签名的概念 数字签名是指信息发送方对要发送的信息或摘要用发送者的私钥加密，然后传送给接收者。 数字签名的作用 核对信息发送方身份认证。 验证信息的完整性。 防止交易中的抵赖行为。,10.4任务四 数据加密技术的应用,10.4.4数字签名 数字签名的方法 RSA签名。RSA签名算法最大的方便是没有密钥分配问题。 DSS签名。DSS数字签名是由美国国家标准化研究院和国家安全局共同开发的，它是由美国政府颁布实施的，主要用于跟美国政府有业务往来的公司，其他公司则较少使用。 Hash签名。Hash签名又称为数字摘要法、数字指纹法，它是最主要的数字签名方法。 RSA签名的过程,10.4任务四 数据加密技术的应用,10.4.5数字时间戳 数字时间戳的概念 数字时间戳用来证明信息的收发时间，它是一个经加密后形成的凭证文档，包括三个部分：需要加盖时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签名。 数字时间戳的产生过程,10.4任务四 数据加密技术的应用,任务实施 加密软件PGP的使用,10.4任务四 数据加密技术的应用,拓展练习 问答题 电子商务对信息安全有哪些要求？ 简述对称密钥系统和非对称密钥系统的概念、优点、缺点？ 在对文件进行数字签名时，为什么要将文件的明文也一同发送给对方？ 操作题 利用PGP软件的功能实现电子邮件的加密传输。,10.5任务五 身份认证技术的应用,任务引导 在当前复杂的业务环境中，管理用户和访问不再是一项简单的任务。用户的角色已经不仅仅是传统的企业用户，而是得到了扩展业务客户、供应商和合作伙伴都成了企业不可或缺的一部分。业务合作伙伴之间需要一种预先假定的、协商一致的信任关系才能开展业务交易。 随着网络的迅猛发展，电子商务已越来越走近消费者生活。某些犯罪活动往往是建立电子商务网站，或是在比较知名、大型的电子商务网站上，如“易趣”、“淘宝”、“阿里巴巴”等，发布虚假的商品销售信息，以所谓“超低价”、“免税”、“走私货”、“慈善义卖”的名义出售各种产品，或以次充好、以走私货充行货，很多人在低价的诱惑下上当受骗。网上交易多是异地交易，通常需要汇款。不法分子一般要求消费者先付部分款，再以各种理由诱骗消费者付余款或者其他各种名目的款项，得到钱款或被识破时，就立即切断与消费者的联系。针对这种网络欺诈手法，我们要采取何种防范措施呢？,10.5任务五 身份认证技术的应用,任务说明 “在互联网上，没人知道你是一条狗”（On the Internet, Nobody knows youre a dog）是一句互联网上的常用语，身份的认证是电子商务开展的起点。数字证书就是网络通信中标志通信各方身份信息的一系列数据，其作用类似于生活中的身份证。 通过本次任务了解认证技术、认证中心；掌握数字证书的申请、使用、注销等操作，掌握数字证书的具体应用。,10.5任务五 身份认证技术的应用,10.5.1认证技术的概述 电子商务交易安全在技术上要解决两大问题：安全传输和身份认证。数据加密能够解决网络通信中的信息保密问题，但是不能验证网络通信对方身份的真实性。因此，数据加密仅解决了网络安全问题的一半，另一半需要身份认证解决。认证技术是电子商务安全技术的一个重要组成部分，应用在网络通信时，通过验证被认证对象的属性，通信双方相互确认身份的真实性。为了切实保障网上交易和支付的安全，目前形成的解决方案就是建立完整的电子商务安全认证体系，其核心就是数字证书和认证中心。通过认证机构来认证买卖双方的身份，是保证网络交易安全的重要措施。,10.5任务五 身份认证技术的应用,10.5.2数字证书 数字证书概述 数字证书（Dig