电子商务安全概述课件

电子商务安全制作：王鑫对外经贸大学出版社电子商务安全制作：王鑫对外经贸大学出版社1第1章电子商务安全概述任务驱动资源共享、快速、便捷是电子商务迅速发展的原因，而这种基于Internet网络的开放性使电子商务在安全方面先天不足。现在，电子商务的安全问题越来越突出，已经成为制约电子商务快速发展的障碍。如何保障电子商务活动的安全，一直是电子商务研究的核心问题。过本章学习，学生应该能理解电子商务安全的基本概念，了解电子商务面临的安全问题，掌握电子商务的基本安全需求，熟悉电子商务安全的基础知识，并能够说明电子商务安全管理的基本思路和方法。第1章电子商务安全概述任务驱动2第1章电子商务安全概述本章内容1.1电子商务安全概念及特点1.2电子商务面临的安全问题1.3电子商务的安全需求1.4电子商务安全基础1.5电子商务安全管理第1章电子商务安全概述本章内容31.1电子商务安全概念及特点电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此，电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全为目标。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，保障以电子交易和电子支付为核心的电子商务过程的顺利进行。即实现电子商务保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。1.1电子商务安全概念及特点电子商务的一个重要技术特征是41.1电子商务安全概念及特点电子商务安全具有如下四大特性：1．电子商务安全是一个系统概念2．电子商务安全是相对的3．电子商务安全是有代价的4．电子商务安全是发展的、动态的1.1电子商务安全概念及特点电子商务安全具有如下四大特性51.2电子商务面临的安全问题1.2.1电子商务网络系统自身的安全问题1．物理实体的安全问题⑴设备的机能失常⑵电源故障⑶由于电磁泄漏引起的信息失密⑷搭线窃听⑸自然灾害2．计算机软件系统潜在的安全问题3．网络协议的安全漏洞4．黑客的恶意攻击5．计算机病毒攻击6．安全产品使用不当1.2电子商务面临的安全问题1.2.1电子商务网络系统自61.2电子商务面临的安全问题1.2.2电子商务交易信息传输过程中的安全问题⑴信息机密性面临的威胁——信息在传输过程中被窃取⑵信息完整性面临的威胁——信息在传输过程中被篡改、删除或插入⑶交易信息的可认证性面临的威胁——抵赖做过的交易或传输的信息⑷交易双方身份真实性面临的威胁——假冒他人身份1.2电子商务面临的安全问题1.2.2电子商务交易信息传71.2电子商务面临的安全问题1.2.3电子商务企业内部安全管理问题⑴网络安全管理制度问题⑵硬件资源的安全管理问题⑶软件和数据的维护与备份安全管理问题1.2.4电子商务安全法律保障问题主要涉及的法律主要有国际加密问题、网络链接问题、网络隐私问题、域名侵权纠纷问题、电子商务的税收问题，还有电子商务交易中提供参与方合法身份认证的CA中心涉及的法律问题，电子合同签订涉及的法律问题，交易后电子记录的证据力问题及网络知识产权涉及的法律问题等。

1.2电子商务面临的安全问题1.2.3电子商务企业内部安81.2电子商务面临的安全问题1.2.5电子商务的信用安全问题1.2.6电子商务安全支付问题⑴在通信线路上进行窃听，并滥用收集的数据(如信用卡号等)。⑵向经过授权的支付系统参与方发送伪造的消息，以破坏系统的正常运作来盗用交换的财产(如商品、现金等)。⑶不诚实的支付系统参与方，试图获取并滥用自己无权读取或使用的支付交易数据。

1.2电子商务面临的安全问题1.2.5电子商务的信用安全91.3电子商务的安全需求电子商务面临的威胁导致了对电子商务安全的需求。真正实现一个安全电子商务系统所要求做到的各个方面主要包括：机密性、完整性、认证性、不可抵赖性、不可拒绝性、访问控制性等安全需求，如图1-2所示。1.3电子商务的安全需求电子商务面临的威胁导致了对电子商务101.3电子商务的安全需求1．机密性机密性(Confidentiality)又叫保密性，是指信息在传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容。机密性一般通过密码技术对保密的信息进行加密处理来实现。电子商务的信息几乎都有加密的要求，如信用卡号、用户名和密码、订货信息、付款……这些信息被人窃取后，会造成直接经济损失，或者贻误商机。2．完整性完整性(Integrity)又叫真确性，是保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被更改。完整性一般可通过提取信息消息摘要的方式来获得。1.3电子商务的安全需求1．机密性111.3电子商务的安全需求3．认证性认证性(Authentication)是指网络两端的使用者在沟通之前相互确认对方的身份。在电子商务中，认证性一般都通过证书机构CA和证书来实现。4．不可抵赖性不可抵赖性又叫不可否认性(Non-repudiation)，是指信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息，这是一种法律有效性要求。不可抵赖性可通过对发送的消息进行数字签名来获得。1.3电子商务的安全需求3．认证性121.3电子商务的安全需求5．不可拒绝性商务服务的不可拒绝性(DenialofService)又叫有效性，或可用性，是保证授权用户在正常访问信息和资源时不被拒绝，即保证为用户提供稳定的服务。6．访问控制性访问控制性(AccessControl)是指在网络上限制和控制通信链路对主机系统和应用的访问；用于保护计算机系统的资源(信息、计算和通信资源)不被未经授权人或未授权方式接入、使用、修改、破坏、发出指令或植入程序等。1.3电子商务的安全需求5．不可拒绝性131.4电子商务安全基础1.4.1电子商务安全基础技术1．密码技术现代社会对信息安全的需求大部分可以通过密码技术来实现。密码技术是信息安全的核心技术。它主要包括加密、签名认证和密钥管理三大技术。2．网络安全技术网络安全是电子商务安全的基础，一个完整的电子商务系统应建立在安全的网络基础设施之上。网络安全技术所涉及的方面比较广，如操作系统安全、防火墙技术、虚拟专用网VPN技术、各种反黑客技术和漏洞检测技术等各种网络安全防范技术。当前在电子商务领域应用最广泛的是防火墙技术、虚拟专用网技术和入侵检测技术。3．PKI技术PKI是公钥基础设施PublicKeyInfrastructure的英文缩写，PKI技术是普适性的安全基础设施，是利用公钥算法原理和技术为网上通信提供通用安全服务的基础设施。它为电子商务、电子政务、网上银行证券等提供一整套安全基础平台。1.4电子商务安全基础1.4.1电子商务安全基础技术141.4电子商务安全基础1.4.2电子商务安全体系结构电子商务安全技术体系结构是保证电子商务中数据安全的一个完整的逻辑结构，由网络服务层、加密技术层、安全认证层、安全协议层、应用系统层组成。从图1-3中的层次结构可以看出，下层是上层的基础，为上层提供技术支持；上层是下层的扩展与递进。各层次之间相互依赖、相互关联构成统一整体。各层通过控制技术的递进，实现电子商务系统的安全。电子商务系统是依赖网络实现的商务系统，需要利用Internet基础设施和标准，所以构成电子商务安全框架的底层是网络服务层，它提供信息传送的载体和用户接入的手段，是各种电子商务应用系统的基础，为电子商务系统提供了基本、灵活的网络服务。1.4电子商务安全基础1.4.2电子商务安全体系结构151.4电子商务安全基础1.4.3电子商务安全服务规范1．网络层安全服务标准2．传输层的安全服务⑴安全套接层协议(SecuritySocketLayer，SSL)。⑴安全套接层协议(SecuritySocketLayer，SSL)。3．应用层安全服务⑴安全超文本传输协议⑵安全电子交易协议⑶Kerberos协议⑷S∕MIME和PGP⑸其他实用电子支付协议1.4电子商务安全基础1.4.3电子商务安全服务规范161.5电子商务安全管理1.5.1电子商务安全管理的思路所谓电子商务的安全管理，就是通过一个完整的综合保障体系，规避电子商务交易过程的风险(包括信息传输风险、信用风险、管理风险、法律风险、网上支付风险等)，以保证网上交易的顺利进行。电子商务安全性问题是虚拟的电子商务市场环境中的首要问题。其一，电子商务交易与传统商务交易一样都需要遵循市场竞争规则——它保证电子商务交易的公平、公正和公开。如果无法保证电子商务市场交易的安全，可能导致非法的交易或者损害合法交易的利益，使虚拟的市场规则无法贯彻执行，所以电子商务安全问题是保证市场游戏规则顺利实施的前提；其二，实施电子商务交易的目的是降低交易成本。如果电子商务交易安全性无法得到保证，造成合法交易双方利益的损失，即意味着交易成本更高或者可能导致交易双方为规避风险选择传统的更安全的交易方式，这样势必制约电子商务市场的发展。所以电子商务安全问题是保证电子商务交易市场顺利发展的前提。因此，确保电子商务交易安全是电子商务市场要解决的首要问题和基本问题，这需要各方配合加强对网上交易安全性的监管。1.5电子商务安全管理1.5.1电子商务安全管理的思路171.5电子商务安全管理1.5.2电子商务安全管理方法1．电子商务安全技术⑴电子商务交易方自身网络安全保障技术为了维护电子商务交易者内部网络的安全性可以采取以下4种不同的技术：①用户账号管理和网络杀毒技术；②防火墙技术；③虚拟专网技术；④入侵检测技术。1.5电子商务安全管理1.5.2电子商务安全管理方法181.5电子商务安全管理⑵电子商务信息传输安全保障技术要保证电子商务信息传输过程中的机密性和完整性，一般采用加密技术和数字摘要技术来实现。⑶身份和信息认证技术安全认证技术是保证电子商务交易安全的一项重要技术。安全认证主要包括身份认证和交易信息认证。前者用于鉴别用户身份，保证交易双方身份的真实性，后者用于保证通信双方的不可抵赖性和交易信息的完整性。⑷电子商务安全支付技术在电子商务中如何才能进行安全的网上支付，是用户、商家及金融机构(银行与发卡机构)最为关注的问题之一。1.5电子商务安全管理⑵电子商务信息传输安全保障技术191.5电子商务安全管理2．电子商务安全管理制度⑴人员管理制度⑵保密制度⑶跟踪、审计、稽核制度⑷网络系统的日常维护制度①硬件的日常管理和维护。②软件的日常管理和维护。③数据备份制度。1.5电子商务安全管理2．电子商务安全管理制度201.5电子商务安全管理⑸病毒防范制度①给自己的计算机安装防病毒软件。②不打开陌生地址的电子邮件。③认真执行病毒定期清理制度。④控制权限。⑤高度警惕网络陷阱。⑹应急措施①瞬时复制技术。②远程磁盘镜像技术。③数据库恢复技术。1.5电子商务安全管理⑸病毒防范制度211.5电子商务安全管理3．电子商务安全法律制度市场经济是法治经济，电子商务的发展需要建设和完善相关的法律体系。虽然技术专家已从技术角度开发了许多保证电子商务交易安全顺利进行的技术保障措施，但仍难以完全保障网上交易的安全性，因此使许多企业和消费者对网络上交易的安全心存疑虑。他们担心合同的执行、赔偿、个人隐私、资金安全、知识产权保护、税收等诸问题难以解决，从而妨碍他们积极参与网上交易。因此，研究与制定网上法律，采取相应的法律保障措施势在必行。目前，各国政府正在加大法律调整的研究力度，纷纷出台各种法律法规，规范网上交易行为。1.5电子商务安全管理3．电子商务安全法律制度22电子商务安全制作：王鑫对外经贸大学出版社电子商务安全制作：王鑫对外经贸大学出版社23第1章电子商务安全概述任务驱动资源共享、快速、便捷是电子商务迅速发展的原因，而这种基于Internet网络的开放性使电子商务在安全方面先天不足。现在，电子商务的安全问题越来越突出，已经成为制约电子商务快速发展的障碍。如何保障电子商务活动的安全，一直是电子商务研究的核心问题。过本章学习，学生应该能理解电子商务安全的基本概念，了解电子商务面临的安全问题，掌握电子商务的基本安全需求，熟悉电子商务安全的基础知识，并能够说明电子商务安全管理的基本思路和方法。第1章电子商务安全概述任务驱动24第1章电子商务安全概述本章内容1.1电子商务安全概念及特点1.2电子商务面临的安全问题1.3电子商务的安全需求1.4电子商务安全基础1.5电子商务安全管理第1章电子商务安全概述本章内容251.1电子商务安全概念及特点电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此，电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全为目标。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，保障以电子交易和电子支付为核心的电子商务过程的顺利进行。即实现电子商务保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。1.1电子商务安全概念及特点电子商务的一个重要技术特征是261.1电子商务安全概念及特点电子商务安全具有如下四大特性：1．电子商务安全是一个系统概念2．电子商务安全是相对的3．电子商务安全是有代价的4．电子商务安全是发展的、动态的1.1电子商务安全概念及特点电子商务安全具有如下四大特性271.2电子商务面临的安全问题1.2.1电子商务网络系统自身的安全问题1．物理实体的安全问题⑴设备的机能失常⑵电源故障⑶由于电磁泄漏引起的信息失密⑷搭线窃听⑸自然灾害2．计算机软件系统潜在的安全问题3．网络协议的安全漏洞4．黑客的恶意攻击5．计算机病毒攻击6．安全产品使用不当1.2电子商务面临的安全问题1.2.1电子商务网络系统自281.2电子商务面临的安全问题1.2.2电子商务交易信息传输过程中的安全问题⑴信息机密性面临的威胁——信息在传输过程中被窃取⑵信息完整性面临的威胁——信息在传输过程中被篡改、删除或插入⑶交易信息的可认证性面临的威胁——抵赖做过的交易或传输的信息⑷交易双方身份真实性面临的威胁——假冒他人身份1.2电子商务面临的安全问题1.2.2电子商务交易信息传291.2电子商务面临的安全问题1.2.3电子商务企业内部安全管理问题⑴网络安全管理制度问题⑵硬件资源的安全管理问题⑶软件和数据的维护与备份安全管理问题1.2.4电子商务安全法律保障问题主要涉及的法律主要有国际加密问题、网络链接问题、网络隐私问题、域名侵权纠纷问题、电子商务的税收问题，还有电子商务交易中提供参与方合法身份认证的CA中心涉及的法律问题，电子合同签订涉及的法律问题，交易后电子记录的证据力问题及网络知识产权涉及的法律问题等。

1.2电子商务面临的安全问题1.2.3电子商务企业内部安301.2电子商务面临的安全问题1.2.5电子商务的信用安全问题1.2.6电子商务安全支付问题⑴在通信线路上进行窃听，并滥用收集的数据(如信用卡号等)。⑵向经过授权的支付系统参与方发送伪造的消息，以破坏系统的正常运作来盗用交换的财产(如商品、现金等)。⑶不诚实的支付系统参与方，试图获取并滥用自己无权读取或使用的支付交易数据。

1.2电子商务面临的安全问题1.2.5电子商务的信用安全311.3电子商务的安全需求电子商务面临的威胁导致了对电子商务安全的需求。真正实现一个安全电子商务系统所要求做到的各个方面主要包括：机密性、完整性、认证性、不可抵赖性、不可拒绝性、访问控制性等安全需求，如图1-2所示。1.3电子商务的安全需求电子商务面临的威胁导致了对电子商务321.3电子商务的安全需求1．机密性机密性(Confidentiality)又叫保密性，是指信息在传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容。机密性一般通过密码技术对保密的信息进行加密处理来实现。电子商务的信息几乎都有加密的要求，如信用卡号、用户名和密码、订货信息、付款……这些信息被人窃取后，会造成直接经济损失，或者贻误商机。2．完整性完整性(Integrity)又叫真确性，是保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被更改。完整性一般可通过提取信息消息摘要的方式来获得。1.3电子商务的安全需求1．机密性331.3电子商务的安全需求3．认证性认证性(Authentication)是指网络两端的使用者在沟通之前相互确认对方的身份。在电子商务中，认证性一般都通过证书机构CA和证书来实现。4．不可抵赖性不可抵赖性又叫不可否认性(Non-repudiation)，是指信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息，这是一种法律有效性要求。不可抵赖性可通过对发送的消息进行数字签名来获得。1.3电子商务的安全需求3．认证性341.3电子商务的安全需求5．不可拒绝性商务服务的不可拒绝性(DenialofService)又叫有效性，或可用性，是保证授权用户在正常访问信息和资源时不被拒绝，即保证为用户提供稳定的服务。6．访问控制性访问控制性(AccessControl)是指在网络上限制和控制通信链路对主机系统和应用的访问；用于保护计算机系统的资源(信息、计算和通信资源)不被未经授权人或未授权方式接入、使用、修改、破坏、发出指令或植入程序等。1.3电子商务的安全需求5．不可拒绝性351.4电子商务安全基础1.4.1电子商务安全基础技术1．密码技术现代社会对信息安全的需求大部分可以通过密码技术来实现。密码技术是信息安全的核心技术。它主要包括加密、签名认证和密钥管理三大技术。2．网络安全技术网络安全是电子商务安全的基础，一个完整的电子商务系统应建立在安全的网络基础设施之上。网络安全技术所涉及的方面比较广，如操作系统安全、防火墙技术、虚拟专用网VPN技术、各种反黑客技术和漏洞检测技术等各种网络安全防范技术。当前在电子商务领域应用最广泛的是防火墙技术、虚拟专用网技术和入侵检测技术。3．PKI技术PKI是公钥基础设施PublicKeyInfrastructure的英文缩写，PKI技术是普适性的安全基础设施，是利用公钥算法原理和技术为网上通信提供通用安全服务的基础设施。它为电子商务、电子政务、网上银行证券等提供一整套安全基础平台。1.4电子商务安全基础1.4.1电子商务安全基础技术361.4电子商务安全基础1.4.2电子商务安全体系结构电子商务安全技术体系结构是保证电子商务中数据安全的一个完整的逻辑结构，由网络服务层、加密技术层、安全认证层、安全协议层、应用系统层组成。从图1-3中的层次结构可以看出，下层是上层的基础，为上层提供技术支持；上层是下层的扩展与递进。各层次之间相互依赖、相互关联构成统一整体。各层通过控制技术的递进，实现电子商务系统的安全。电子商务系统是依赖网络实现的商务系统，需要利用Internet基础设施和标准，所以构成电子商务安全框架的底层是网络服务层，它提供信息传送的载体和用户接入的手段，是各种电子商务应用系统的基础，为电子商务系统提供了基本、灵活的网络服务。1.4电子商务安全基础1.4.2电子商务安全体系结构371.4电子商务安全基础1.4.3电子商务安全服务规范1．网络层安全服务标准2．传输层的安全服务⑴安全套接层协议(SecuritySocketLayer，SSL)。⑴安全套接层协议(SecuritySocketLayer，SSL)。3．应用层安全服务⑴安全超文本传输协议⑵安全电子交易协议⑶Kerberos协议⑷S∕MIME和PGP⑸其他实用电子支付协议1.4电子商务安全基础1.4.3电子商务安全服务规范381.5电子商务安全管理1.5.1电子商务安全管理的思路所谓电子商务的安全管理，就是通过一个完整的综合保障体系，规避电子商务交易过程的风险(包括信息传输风险、信用风险、管理风险、法律风险、网上支付风险等)，以保证网上交易的顺利进行。电子商务安全性问题是虚拟的电子商务市场环境中的首要问题。其一，电子商务交易与传统商务交易一样都需要遵循市场竞争规则——它保证电子商务交易的公平、公正和公开。如果无法保证电子商务市场交易的安全，可能导致非法的交易或者损害合法交易的利益，使虚拟的市场规则无法贯彻执行，所以电子商务安全问题是保证市场游戏规则顺利实施的前提；其二，实施电子商务交易的目的是降低交易成本。如果电子商务交易安全性无法得到保证，造成合法交易双方利益的损失，即意味着交易成本更高或者可能导致交易双方为规避风险选择传统的更安全的交易方式，这样势必制约电子商务市场的发展。所以电子商务安全问题是保证电子商务交易市场顺利发展的前提。因此，确保电子商务交易安全是电子商务市场要解决的首要问题和基本问题，这需要各方配合加强对网上交易安全性的监管。1.5电子商务安全管理1.5.1电子