第1章电子商务安全概述.ppt

电子商务安全 制作 王鑫 对外经贸大学出版社 第1章电子商务安全概述 任务驱动资源共享 快速 便捷是电子商务迅速发展的原因 而这种基于Internet网络的开放性使电子商务在安全方面先天不足 现在 电子商务的安全问题越来越突出 已经成为制约电子商务快速发展的障碍 如何保障电子商务活动的安全 一直是电子商务研究的核心问题 过本章学习 学生应该能理解电子商务安全的基本概念 了解电子商务面临的安全问题 掌握电子商务的基本安全需求 熟悉电子商务安全的基础知识 并能够说明电子商务安全管理的基本思路和方法 第1章电子商务安全概述 本章内容1 1电子商务安全概念及特点1 2电子商务面临的安全问题1 3电子商务的安全需求1 4电子商务安全基础1 5电子商务安全管理 1 1电子商务安全概念及特点 电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息 因此 电子商务安全从整体上可分为两大部分 计算机网络安全和商务交易安全 计算机网络安全的内容包括 计算机网络设备安全 计算机网络系统安全 数据库安全等 其特征是针对计算机网络本身可能存在的安全问题 实施网络安全增强方案 以保证计算机网络自身的安全为目标 商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题 在计算机网络安全的基础上 保障以电子交易和电子支付为核心的电子商务过程的顺利进行 即实现电子商务保密性 完整性 可鉴别性 不可伪造性和不可抵赖性 1 1电子商务安全概念及特点 电子商务安全具有如下四大特性 1 电子商务安全是一个系统概念2 电子商务安全是相对的3 电子商务安全是有代价的4 电子商务安全是发展的 动态的 1 2电子商务面临的安全问题 1 2 1电子商务网络系统自身的安全问题1 物理实体的安全问题 设备的机能失常 电源故障 由于电磁泄漏引起的信息失密 搭线窃听 自然灾害2 计算机软件系统潜在的安全问题3 网络协议的安全漏洞4 黑客的恶意攻击5 计算机病毒攻击6 安全产品使用不当 1 2电子商务面临的安全问题 1 2 2电子商务交易信息传输过程中的安全问题 信息机密性面临的威胁 信息在传输过程中被窃取 信息完整性面临的威胁 信息在传输过程中被篡改 删除或插入 交易信息的可认证性面临的威胁 抵赖做过的交易或传输的信息 交易双方身份真实性面临的威胁 假冒他人身份 1 2电子商务面临的安全问题 1 2 3电子商务企业内部安全管理问题 网络安全管理制度问题 硬件资源的安全管理问题 软件和数据的维护与备份安全管理问题1 2 4电子商务安全法律保障问题主要涉及的法律主要有国际加密问题 网络链接问题 网络隐私问题 域名侵权纠纷问题 电子商务的税收问题 还有电子商务交易中提供参与方合法身份认证的CA中心涉及的法律问题 电子合同签订涉及的法律问题 交易后电子记录的证据力问题及网络知识产权涉及的法律问题等 1 2电子商务面临的安全问题 1 2 5电子商务的信用安全问题1 2 6电子商务安全支付问题 在通信线路上进行窃听 并滥用收集的数据 如信用卡号等 向经过授权的支付系统参与方发送伪造的消息 以破坏系统的正常运作来盗用交换的财产 如商品 现金等 不诚实的支付系统参与方 试图获取并滥用自己无权读取或使用的支付交易数据 1 3电子商务的安全需求 电子商务面临的威胁导致了对电子商务安全的需求 真正实现一个安全电子商务系统所要求做到的各个方面主要包括 机密性 完整性 认证性 不可抵赖性 不可拒绝性 访问控制性等安全需求 如图1 2所示 1 3电子商务的安全需求 1 机密性机密性 Confidentiality 又叫保密性 是指信息在传送或存储的过程中不被他人窃取 不被泄露或披露给未经授权的人或组织 或者经过加密伪装后 使未经授权者无法了解其内容 机密性一般通过密码技术对保密的信息进行加密处理来实现 电子商务的信息几乎都有加密的要求 如信用卡号 用户名和密码 订货信息 付款 这些信息被人窃取后 会造成直接经济损失 或者贻误商机 2 完整性完整性 Integrity 又叫真确性 是保护数据不被未授权者修改 建立 嵌入 删除 重复传送或由于其他原因使原始数据被更改 完整性一般可通过提取信息消息摘要的方式来获得 1 3电子商务的安全需求 3 认证性认证性 Authentication 是指网络两端的使用者在沟通之前相互确认对方的身份 在电子商务中 认证性一般都通过证书机构CA和证书来实现 4 不可抵赖性不可抵赖性又叫不可否认性 Non repudiation 是指信息的发送方不能否认已发送的信息 接收方不能否认已收到的信息 这是一种法律有效性要求 不可抵赖性可通过对发送的消息进行数字签名来获得 1 3电子商务的安全需求 5 不可拒绝性商务服务的不可拒绝性 DenialofService 又叫有效性 或可用性 是保证授权用户在正常访问信息和资源时不被拒绝 即保证为用户提供稳定的服务 6 访问控制性访问控制性 AccessControl 是指在网络上限制和控制通信链路对主机系统和应用的访问 用于保护计算机系统的资源 信息 计算和通信资源 不被未经授权人或未授权方式接入 使用 修改 破坏 发出指令或植入程序等 1 4电子商务安全基础 1 4 1电子商务安全基础技术1 密码技术现代社会对信息安全的需求大部分可以通过密码技术来实现 密码技术是信息安全的核心技术 它主要包括加密 签名认证和密钥管理三大技术 2 网络安全技术网络安全是电子商务安全的基础 一个完整的电子商务系统应建立在安全的网络基础设施之上 网络安全技术所涉及的方面比较广 如操作系统安全 防火墙技术 虚拟专用网VPN技术 各种反黑客技术和漏洞检测技术等各种网络安全防范技术 当前在电子商务领域应用最广泛的是防火墙技术 虚拟专用网技术和入侵检测技术 3 PKI技术PKI是公钥基础设施PublicKeyInfrastructure的英文缩写 PKI技术是普适性的安全基础设施 是利用公钥算法原理和技术为网上通信提供通用安全服务的基础设施 它为电子商务 电子政务 网上银行证券等提供一整套安全基础平台 1 4电子商务安全基础 1 4 2电子商务安全体系结构电子商务安全技术体系结构是保证电子商务中数据安全的一个完整的逻辑结构 由网络服务层 加密技术层 安全认证层 安全协议层 应用系统层组成 从图1 3中的层次结构可以看出 下层是上层的基础 为上层提供技术支持 上层是下层的扩展与递进 各层次之间相互依赖 相互关联构成统一整体 各层通过控制技术的递进 实现电子商务系统的安全 电子商务系统是依赖网络实现的商务系统 需要利用Internet基础设施和标准 所以构成电子商务安全框架的底层是网络服务层 它提供信息传送的载体和用户接入的手段 是各种电子商务应用系统的基础 为电子商务系统提供了基本 灵活的网络服务 1 4电子商务安全基础 1 4 3电子商务安全服务规范1 网络层安全服务标准2 传输层的安全服务 安全套接层协议 SecuritySocketLayer SSL 安全套接层协议 SecuritySocketLayer SSL 3 应用层安全服务 安全超文本传输协议 安全电子交易协议 Kerberos协议 S MIME和PGP 其他实用电子支付协议 1 5电子商务安全管理 1 5 1电子商务安全管理的思路所谓电子商务的安全管理 就是通过一个完整的综合保障体系 规避电子商务交易过程的风险 包括信息传输风险 信用风险 管理风险 法律风险 网上支付风险等 以保证网上交易的顺利进行 电子商务安全性问题是虚拟的电子商务市场环境中的首要问题 其一 电子商务交易与传统商务交易一样都需要遵循市场竞争规则 它保证电子商务交易的公平 公正和公开 如果无法保证电子商务市场交易的安全 可能导致非法的交易或者损害合法交易的利益 使虚拟的市场规则无法贯彻执行 所以电子商务安全问题是保证市场游戏规则顺利实施的前提 其二 实施电子商务交易的目的是降低交易成本 如果电子商务交易安全性无法得到保证 造成合法交易双方利益的损失 即意味着交易成本更高或者可能导致交易双方为规避风险选择传统的更安全的交易方式 这样势必制约电子商务市场的发展 所以电子商务安全问题是保证电子商务交易市场顺利发展的前提 因此 确保电子商务交易安全是电子商务市场要解决的首要问题和基本问题 这需要各方配合加强对网上交易安全性的监管 1 5电子商务安全管理 1 5 2电子商务安全管理方法1 电子商务安全技术 电子商务交易方自身网络安全保障技术为了维护电子商务交易者内部网络的安全性可以采取以下4种不同的技术 用户账号管理和网络杀毒技术 防火墙技术 虚拟专网技术 入侵检测技术 1 5电子商务安全管理 电子商务信息传输安全保障技术要保证电子商务信息传输过程中的机密性和完整性 一般采用加密技术和数字摘要技术来实现 身份和信息认证技术安全认证技术是保证电子商务交易安全的一项重要技术 安全认证主要包括身份认证和交易信息认证 前者用于鉴别用户身份 保证交易双方身份的真实性 后者用于保证通信双方的不可抵赖性和交易信息的完整性 电子商务安全支付技术在电子商务中如何才能进行安全的网上支付 是用户 商家及金融机构 银行与发卡机构 最为关注的问题之一 1 5电子商务安全管理 2 电子商务安全管理制度 人员管理制度 保密制度 跟踪 审计 稽核制度 网络系统的日常维护制度 硬件的日常管理和维护 软件的日常管理和维护 数据备份制度 1 5电子商务安全管理 病毒防范制度 给自己的计算机安装防病毒软件 不打开陌生地址的电子邮件 认真执行病毒定期清理制度 控制权限 高度警惕网络陷阱 应急措施 瞬时复制技术 远程磁盘镜像技术 数据库恢复技术 1 5电子商务安全管理 3 电子商务安全法律制度市场经济是法治经济 电子商务的发展需要建设和完善相关的