第2章电子商务安全面临的问题及解决方法

1、第2章电子商务安全面临的问题及解决方法 第2章 信息安全技术n2.1电子商务安全面临的主要问题n n2.2电子商务安全整体解决方法 2.1电子商务安全面临的主要问题n涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域 n2.1.1网络信息安全目标 n2.1.2网络信息系统中的威胁与对策 2.1.1网络信息安全目标（1）保密性（Confidentiality）（2）完整性（Integrity）（3）可用性（Availability）（4）不可否认性（Non-Repudiation）（5）可控性（Controllability） 指网络系统的硬件、软件及

2、其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断，即在信息采集、存储、处理、传播和运用过程中保障电子信息的有效性。 2.1.1网络信息安全目标1.系统安全指网络设备的硬件、操作系统和应用软件的安全：n1）数据库系统出现运行故障时，如何保证系统的平稳切换、交易方资料信息的真实完整和通信数据在确定的空间、时间安全有效。n2）预防计算机病毒的侵害，及时排除潜在的威胁。n3）确保网络系统的安全，防范非法入侵者窃取客户的资料、改变用户的数据和获取他人的机密数据等。 2.1.1网络信息安全目标2.信息传输安全信息正常传输2.1.1网络信息安全目

3、标2.信息传输安全（1）截取信息（攻击系统的可用性）2.1.1网络信息安全目标2.信息传输安全（2）窃听信息（攻击系统的保密性）2.1.1网络信息安全目标2.信息传输安全（3）窜改信息（攻击系统的完整性）2.1.1网络信息安全目标2.信息传输安全（4）伪造信息（攻击系统的真实性）2.1.1网络信息安全目标n3.信息存储安全n网络中非法用户可以通过猜测用户口令或窃取口令的方法，或设法绕过网络安全认证系统来冒充合法用户，非法查看、下载、修改、删除未授权访问的信息，使用未授权的网络服务。而信息存储安全就是指如何保证静态存储在联网计算机中的信息不会被未授权的网络用户非法使用 2.1.1网络信息安全目标

4、n4.交易双方身份真实n电子商务是贸易双方的商业交易，在无纸化的电子商务中，采用相关技术来鉴别贸易伙伴、确定交易合同或单据的可靠性，预防抵赖行为的发生 2.1.2 网络信息系统中的威胁与对策 1.电子商务交易双方（销售方和消费方）可能存在的威胁及对策n（1）对销售方的威胁 n1）中央系统安全性破坏n2）竞争者检索商品递送状况n3）客户资料被竞争者获悉n4）被他人假冒而损害公司信誉n5）消费方提交订单后不付款n6）虚假订单n7）获取他人机密 2.1.2 网络信息系统中的威胁与对策 1.电子商务交易双方（销售方和消费方）可能存在的威胁及对策n（2）对消费方的威胁n1）虚假订单n2）付款后收不到商品

5、n3）丧失机密性n4）拒绝服务 2.1.2 网络信息系统中的威胁与对策 1.电子商务交易双方（销售方和消费方）可能存在的威胁及对策 销售方对策：在从事电子商务过程中，要能够鉴别消费方的身份的真实性，确信消费者对商品或服务付款的能力；同时当消费方收到商品或得到服务却说没有收到商品或服务时，销售方能出示有效证据，使用有效的解决机制来解决争端，防止销售方提供的服务被破坏 2.1.2 网络信息系统中的威胁与对策 1.电子商务交易双方（销售方和消费方）可能存在的威胁及对策 消费方对策：在从事电子商务过程中，要对销售方的身份进行鉴别，以确认要进行交易的对方是合法的；要保证自己的机密信息和个人隐私不被泄漏给

6、非授权人；要采用有效的争议解决机制，一旦消费方为商品付款后没收到商品，或收到错误的商品时，消费方能出示有效的证据，利用争议解决机制来解决争议 2.1.2 网络信息系统中的威胁与对策 2.在Internet中可能存在的网络攻击（1）服务器攻击（application dependent attack）是指对为网络提供某种服务的服务器发起的攻击，造成该网络的“拒绝服务”，使网络工作不能正常进行（2）非服务器攻击（application independent attack）不针对某项具体应用服务，而是针对网络层等底层协议进行的 2.1.2 网络信息系统中的威胁与对策 3.网络安全漏洞与对策 （1）

7、网络协议安全漏洞 （2）防火墙安全漏洞 （3）口令漏洞 （4）操作系统的安全漏洞 （5）陷门。一般是在程序或系统设计时插入的一小段程序，用来测试这个模块或将来为程序员提供一些方便所使用的。陷门一旦被有心人士利用，将会带来严重的安全问题。比如，利用陷门可以在程序中建立秘密通道，植入一些隐蔽的病毒程序 2.1.2 网络信息系统中的威胁与对策 3.网络安全漏洞与对策 对策：主动的了解本系统的计算机硬件与操作系统、网络硬件与网络软件、数据库管理系统、应用软件以及网络通信协议可能存在的安全问题，利用各种软件与测试工具主动检测网络可能存在的各种安全漏洞，并及时提出对策与补救措施 2.1.2 网络信息系统中

8、的威胁与对策 4.网络内部威胁与对策n网络内部可能存在的威胁有： n1）有意或无意地泄露网络用户或网络管理员的密码或口令n2）绕过防火墙，私自和外部网络连接，造成系统安全漏洞n3）越权查看、修改和删除系统文件、应用程序及数据n4）越权修改网络系统配置，造成网络工作不正常的。 2.1.2 网络信息系统中的威胁与对策 4.网络内部威胁与对策 对策：一方面可通过管理软件随时监控网络运行状态与用户工作状态，对重要的资源使用状态进行记录和审记；另一方面应指定和不断完善网络使用和管理制度，加强用户培训和管理 2.1.2 网络信息系统中的威胁与对策 5.网络病毒及对策6.黑客攻击 指涉及阻扰计算机系统正常进

9、行，或利用和通过计算机系统进行犯罪的行为 2.2电子商务安全整体解决方法 电子商务一般是通过Internet网络进行，为了提高电子商务活动的安全性，除了采用先进的网络安全技术外，还必须具备有效的信息安全机制，这就是电子商务安全交易体系. 2.2.1电子商务安全体系概述 2.2.2电子商务安全解决方法 2.2.1电子商务安全体系概述 n该体系包括五个层次n系统应用层、安全协议层、安全认证层、加密技术层、网络安全层 n如图所示2.2.2 电子商务安全解决方法n加密解密技术n加密技术是信息安全技术中的一个重要的组成部分。它可以保护传送的信息安全。但是加密系统不能区分拥有同样加密密钥的用户是合法用户还

10、是攻击者。所以，从某种程度上说，加密本身能提供安全保障，还必须完善加密密钥和系统的一个整体控制 n2.数字签名技术n在现实生活里，书信或文件是根据亲笔签名或印章来证明具真实性的，在网络世界里，我们希望产生出能够代表签名者和文件之间关联性的数字代号。通过数字签名技术可以确认当事人的身份，起到了签名或盖章的作用，签字方不能够抵赖。以后我们还会学习到，通过数字签名技术也能够帮助我们鉴别信息自签发后到收到为止是否被篡改过。这就使得他人通过伪造而达到改变信息的内容 n数字时间戳n在电子交易中，时间和签名同等重要。数字时间戳技术是数字签名技术一种变种的应用。由DTS（Digital Time-Stamp）

11、服务机构提供的电子商务安全服务项目，专门用于证明信息的发送时间 n验证技术n验证是在远程通信中获得信任的手段，是安全服务中最为基本的内容，因为必须通过可靠的验证来进行访问控制，决定谁有权接受或修改信息，增强责任性以及实现不可否认服务。n验证常用的三种基本方式是口令方式、标记方式、人体生物学特征方式 n数字证书技术n数字证书就是标志网络用户身份信息的一系列数据，用于证明某一主体（如个人用户、服务器等）的身份以及其公钥的合法性的一种权威性的电子文档。它由权威公正的第三方机构，即CA中心签发，类似于现实生活中的身份证 n防火墙技术n防火墙是软件、硬件的结合，在需要保护的网络同可能带来安全威胁的互联网

12、或其他网络之间建立一层保护，防火墙是边界安全产品，防火墙内的网络叫可信网络；以外的网络叫不可信网络。经过合理设置的防火墙是一种必需的安全设备。n防火墙对于以下几个方面不能起到“防火”的作用：n不能阻止攻击者使用一个允许的连接攻击；n不能保证不受内部用户的攻击。n智能卡技术n人们利用智能卡（即你所拥有的）来降低攻击者猜出密码的风险。但是智能卡也有其漏洞，即不能防止对系统漏洞进行攻击，而且成本问题也成为制约其发展的关键的因素 n防病毒技术n防病毒软件如果设置合理，那么可以降低系统遭受恶意攻击的机会。不过，防病毒只能保护系统免受恶意程序攻击，却不能避免使用合法程序访问系统的攻击者的攻击。同时也不能防护一些用户对不应该访问的文件进行访问的越权攻击。 n入侵检测技术n入侵检测是对防火墙的一个合理补充，帮助系统对付网络攻击，扩展管理员的安全管理能力和范围，提高信息安全基础结构的完整性。但是没有哪种入