第1章_电子商务安全概述.ppt

信息安全技术 电子商务安全 课程目的与任务 通过本课程的学习 对信息安全与加密 及电子商务安全的概念有较全面的了解 掌握在安全网络环境下构建电子商务安全实用技术 并能具体应用于电子商务的实践中 电子商务安全技术 课程的要求 理解和掌握电子商务安全的基本概念 理论 技术与体系结构 通过课堂学习 课后复习与习题作业相结合 加深对所学的电子商务安全知识的理解 并能掌握电子商务安全实用技术 电子商务安全技术 教材 管有庆 王晓军 董小燕 电子商务安全技术 第二版 北京邮电大学出版社 2009 主要参考书 1 沈昌祥 信息安全导论 北京 电子工业出版社 2009 2 唐四薪 电子商务安全 北京 清华大学出版社 2013 3 WilliamStallingsr 密码编码学与网络安全 唐明等译 北京 电子工业出版社 2015 考核标准 本课程采用闭卷考试总成绩 平时成绩 30 考试成绩 70 希望大家都能得到好成绩 答疑安排 周二上午第2大节在圆楼308房间等待大家的光临电子邮件答疑 电子商务系办公室 电子商务安全技术 第1章电子商务安全概述第2章密码学基础第3章电子商务安全技术第4章电子商务中的认证技术第5章电子商务支付系统第6章移动电子商务安全第7章安全电子交易协议第8章万维网安全及万维网服务安全 第1章电子商务安全概述 1 1电子商务的基本概念 1 2电子商务安全概念与需求 1 3电子商务安全体系结构 电子商务安全技术 1 1电子商务的基本概念 因特网的发展过程 1969年 两强对立 美国建立ARPANET1986年 学术界加入研究成立NSFNET 美国国家科学基金网 1987年 网络上主机已超过一万台走入商业化1990年 internet WWW兴起中国互联网发展现状中国互联网发展信息中心 1 1电子商务的基本概念 截至2015年6月 我国网民规模达6 68亿 半年共计新增网民1894万人 互联网普及率为48 8 较2014年底提升了0 9个百分点 整体网民规模增速继续放缓 互联网对个人生活方式的影响进一步深化 互联网 行动计划的出台 互联网将在云计算 物联网及大数据等应用 带动传统产业的变革和创新 互联网 相关政策的支持 促进网络购物快速发展 互联网 概念 旨在通过互联网带动传统零售 物流快递 交通 生产制造等其他行业升级转型商务部发布的 互联网 流通 行动计划 网络购物在实现消费拉动经济增长 移动网购 跨境网购和农村网购等将成为新的增长点 多样化的移动支付方式重塑用户消费习惯3D打印 无人机送货 虚拟试衣等技术的研发和完善 提升用户体验 1 1电子商务的基本概念 ElectronicCommerce ElectronicBusiness E commerce E business E trade EC 电子 商务 电子是手段 商务是结果电子商务是以因特网为媒介 以商品交易双方为主体 以银行电子支付与结算为手段的全新商务模式 1 1 1电子商务内容1 1 2电子商务分类1 1 3电子商务架构1 1 4电子商务意义 生活中的电子商务实例 实例1 网上订购CD实例2 网上订花实例3 网上交易 中国音像信息中心网站主页 上海正广和网上购物中心主页 阿里巴巴商务网站主页 1 1 1电子商务内容 网上商业信息服务如 网上商店的商品信息网络银行的金融服务信息电子购物和交易如 在网上商店选购商品电子银行与金融交易服务如 在网络银行进行帐务处理 电子商务必须面对的四大层面 信息流采用电子信息交换 解决好信息流的问题 将是电子商务成功的关键资金流一个真正的商务过程的完成 必须靠资金的转移来实现物流商品转移安全假冒 欺诈 抵赖 泄密 1 信息流 信息流主要是传递消费者的订单资料 其中包含消费者的数据 收件人 收件地址 收件时间 以及订购的产品信息 产品名称 数量 信息流发生在消费者 电子商务网站 以及产品的发货中心 网络消费者 电子商务网站 发货中心 消费者上网订购并提供付款资料 订单资料 2 资金流 资金流主要处理电子商务中的付款机制 所传递的资料主要为消费者的付款资料 而此资料必须保证安全性及正确性 因此必须配合加密及认证技术来完成 资金流主要发生在电子商务网站及金融机构之间 电子商务网站 确认消费者付款资料 请款 金融机构 3 物流 物流处理实体的货物运送 倘若所销售的是数字化的产品 将没有实际的物流 若是实体货物 则物流是电子商务三流程之中 成本最高的部分 物流会发生在发货中心及消费者之间 网络消费者 发货中心 货品送达客户 电子商务的流程 网络消费者 电子商务网站 发货中心 金融机构 1 消费者上网订购并提供付款资料 2 确认付款 5 请款 3 订单资料 4 货品送达客户 信息流 资金流 物流 4 安全 网络虽有传递快速 方便 成本低廉的好处 但网络资料的安全性却也比较令人担忧把在网络上传递的资料加密 即可解决网络资料安全性的问题 身份认证则是让没有面对面的交易双方 具有交易对象身份的确认以及交易的不可否认性 1 1 2电子商务分类 企业间的电子商务 B2B 企业通过计算机网络向它的供应商进行采购与付款企业与消费者之间的电子商务 B2C 许多大型的网络商店 所出售的商品一应俱全政府与企业之间的电子商务 G2B 政府将采购 通过网上竞价方式进行招标 企业也要通过电子商务的方式进行投标政府与消费者之间的电子商务 G2C 社会福利金的支付 个人所得税的征收 电子商务按照应用群体的角度进行分类 1 1 3电子商务架构 1 1 3电子商务架构 底层是网络基础平台是信息传送的载体和用户接入手段 它包括各种各样的网络传输平台 网络传输设备和网络接入方式等中间层是电子商务基础平台 1 基本加密算法层 2 基本安全技术层 3 安全协议层第三层是各种各样的电子商务业务 应用 系统包括支付型业务系统和非支付型业务系统 电子商务业务系统中主要是支付型业务系统 三层框架 1 1 4电子商务意义 全球化电子商务能够让商家向全球范围内的客户提供商品 也可以让客户在全球范围内选购商品电子商务实现在线销售 在线购物 在线支付 使商家和企业能及时跟踪顾客的购物趋势成本降低省去了中间环节 通过高效的信息传递手段 使得网上业务的运行成本大大降低商家和企业可以利用电子商务 同合作伙伴保持密切的联系 改善合作关系 1 1 4电子商务意义 商家和企业可以利用电子商务在网上广泛传播自己的独特形象通过电子商务可以促使商家和企业内部之间的信息交流 内部与外部的信息交流 及时得到各种信息 保证决策的科学性和及时性 1 2电子商务安全概念与需求 1 2 1安全层面1 2 2安全威胁1 2 3安全需求 电子商务的安全与其他计算机应用系统的安全一样 是一个完整的安全体系结构 它包含了从物理硬件到人员管理的各个方面 任何一个方面的缺陷都将在一定程度上影响整个电子商务系统的安全性 1 2 2安全威胁 在一个调查报告中 调研样本中有3526位网民未使用过网上银行 在分析其不使用网上银行的原因时发现 排在最前的因素是网民担心交易安全问题 56 1 2014年国内和国际网络信息安全大事件 国内事件携程信息 安全门 事件敲响网络消费安全警钟小米800万用户数据泄露快递公司官网遭入侵泄露1400万用户快递数据130万考研用户信息被泄露12306网站超13万用户数据遭泄露 国际事件1 微软正式停止对XP系统技术支持2 iCloud曝安全漏洞苹果陷入 艳照门 事件3 摩根大通银行被黑8300万客户信息泄露4 2000万韩国人信用卡信息被盗 1 2 2安全威胁 目前电子商务发展面临的主要问题之一是如何保障电子商务交易过程中的安全性 交易的安全是网上贸易的基础和保障 同时也是电子商务技术的难点交易安全是电子商务系统所特有的安全要求 在交易过程中 消费者和商家面临的安全威胁通常有 虚假定单 假冒者以客户名义订购商品 而要求客户付款或返还商品付款后收不到商品商家发货后 得不到付款 1 2 2安全威胁 机密性丧失PIN或口令在传输过程中丢失 商家的定单确认信息被窜改电子货币丢失可能是物理破坏 或者被偷窃 这个通常会给用户带来不可挽回的损失非法存取指未经授权者进入计算机系统中 存取数据的情形 或合法授权者另有其他目的地使用系统侵入攻击者在入侵系统后离去 并为日后的攻击行为预留管道 如 木马病毒 1 2 2安全威胁 通信监听攻击者无须入侵系统即可窃取到机密信息 欺诈攻击者伪造数据或通信程序以窃取机密信息 例如 安装伪造的服务器系统以欺骗使用者主动泄漏机密 拒绝服务攻击者造成合法使用者存取信息时被拒绝的情况 否认交易双方之一方在交易后 否认该交易曾经发生 或曾授权进行此交易的事实 1 2 3安全需求 因特网本身的开放性及目前网络技术发展的局限性导致网上交易面临着种种安全性威胁 交易与支付安全问题可归结为如下几个核心问题 可靠性 保密性 完整性 抗否认性 匿名性 原子性和有效性 1 2 3安全需求 1 可靠性传统交易 交易双方主要是面对面进交易行活动的 易于身份验证电子商务模式 网上进行交易的双方大多素昧平生电子商务首要的安全需求 保证身份的可认证性 确保交易双方身份信息的可靠 防止攻击者以假冒身份在网上进行交易和诈骗 1 2 3安全需求 2 保密性传统的交易面对面地进行敏感信息的交换通过专用 封闭的安全通信信道进行交换 利用保险柜保存机密文件 电子商务模式电子商务是建立在开放的网络环境上电子商务系统的最根本的安全需求 维护敏感信息的机密性 保证敏感信息的安全传输和存储 实现方法 加密 1 2 3安全需求 3 完整性电子商务系统应防止对交易信息的篡改 防止数据传输过程中交易信息的丢失和重复 并保证信息传递次序的统一 当网络面临主动攻击时 攻击者通过篡改或部分删除交易过程中发送的信息 破坏信息的完整性 使交易的双方蒙受损失 例如 用户A 截取 C的邮购地址 A的邮购地址 网上书店 1 2 3安全需求 4 不可否认性传统交易交易双方通过在书面文件上手写签名方式确定书面文件的可靠性 预防抵赖行为的发生 电子商务模式无纸化的电子交易无法通过传统的 白纸黑字 方式防止交易参与方的抵赖行为 不可否认性需求保证电子交易过程中的各个环节都必须是不可否认的 1 2 3安全需求 5 匿名性电子商务系统应确保交易的匿名性 防止交易过程被跟踪 保证交易过程中不把用户的个人信息泄露给未知的或不可信的个体 确保合法用户的隐私不被侵犯 6 原子性原子性包括 钱原子性 moneyatomicity 商品原子性 goodsatomicity 确认发送原子性 certifieddeliveryatomicity 原子性是满足商品交易的要求之一 1 2 3安全需求 7 有效性电子商务系统应有效防止系统延迟或拒绝服务情况的发生保证交易数据在确定的时刻 确定的地点是有效的 1 3电子商务安全体系结构 电子商务安全系统结构组成 由网络服务层加密技术层安全认证层交易协议层商务应用系统层等5个层次组成 电子商务的安全体系结构是保证电子商务中数据安全的一个完整的逻辑结构 同时它也为交易过程的安全提供了基本保障 电子商务安全体系结构图 网络安全 交易安全 1 3电子商务安全体系结构 电子商务安全问题可归结为网络安全和商务交易安全这两个方面 计算机网络安全和商务交易安全是密不可分的 两者相辅相成 缺一不可 1 3 1网络安全 网络服务层提供网络安全1 3 1交易安全加密技术层 安全认证层 交易协议层 商务系统层满足电子商务所特有的安全要求 商务交易安全 1 3 1网络安全 网络服务层也提供计算机网络安全 计算机网络安全主要包括 计算机网络的物理安全 计算机网络系统安全和数据库安全等 计算机网络安全采用的主要安全技术有 防火墙技术 加密技术 漏洞扫描技术 入侵检测技术 反病毒技术和安全审计技术等 用以保证计算机网络自身的安全 1 3 1网络安全 1 防火墙技术 1 3 1网络安全 2 加密技术数据加密技术可以用来保护网络系统中包括用户数据在内的所有数据流 3 漏洞扫描技术漏洞扫描是自动检测远端或本地主机安全漏洞的技术 4 入侵检测技术入侵检测技术通过获取网络上的所有报文 并对报文进行分析处理 1 3 1网络安全 5 反病毒技术反病毒技术大体分为 病毒检测病毒清除病毒免疫病毒预防6 安全审计技术 1 3 2交易安全 交易安全是针对传统商务在因特网上运用时产生的各种安全问题而设计的一套安全技术 目的是在计算机网络安全的基础上确保电子商务过程的顺利进行 加密技术层 安全认证层和交易协议层一起构成电子商务交易安全 1 3 2交易安全 商务交易过程的特点 参与方通过网络进行的商务活动彼此通常是互不见面在交易过程中必然会涉及到用户的一些敏感信息 1 3 2交易安全 1 加密技术层加密技术是电子商务最基本的安全措施 在目前技术条件下 加密技术通常分为对称加密和非对称加密两类 1