第5章+电子商务的安全性.ppt

1、电 子 商 务,第五章 电子商务的安全性,第一节 电子商务的安全概述,第二节 电子商务的安全性技术,第三节 电子商务的安全管理,第四节 电子商务安全的法律法规,第一节 电子商务的安全概述,电子商务的发展前景十分诱人，但其安全问题也变得日趋突出。电子商务是基于计算机互联网的交易行为，商家和顾客的许多交易信息如订货信息、支付信息、机密的商务往来文件等大量信息在计算机网络系统中存储、传输和处理，而互联网又是一个高度开放性的网络，通过互联网非法获取信息的次数和数量在快速增长，它面临着越来越严重的威胁和攻击。 电子商务活动借助于通信网络或者计算机网络传递商务信息，网络还成为部分交易标的（如数字化产品或服

2、务等）的传递渠道。 能否确保信息安全和网络系统正常运转成为电子商务成败的关键。,电子商务的安全问题,一、电子商务的安全问题,从技术上看，电子商务面临的安全问题主要来自以下几个方面： 安全漏洞、计算机病毒、黑客攻击、网络仿冒、信用风险。,网站或系统的严格管理是降低电子商务风险的重要保证，很多企业、机构及用户的网站或系统都疏于这方面的管理；人员管理是电子商务安全管理上薄弱的环节。,（一）电子商务安全的技术问题,（二）电子商务安全的管理问题,电子商务交易安全的法律保护问题，涉及到两个基本方面：第一，电子商务交易首先是一种商品交易，其安全问题应当通过民商法加以保护；第二，电子商务交易是通过计算机及其网

3、络而实现的，其安全与否依赖于计算机及其网络自身的安全程度。我国目前上述两个方面的法律制度尚不完善。,（三）电子商务安全的法律保障问题,一、电子商务的安全问题,二、触发电子商务安全问题的原因,人的因素 网络的因素 管理的因素 技术的因素 其他因素,三、电子商务的安全要求,第二节 电子商务的安全性技术,一、加密技术,（一）加密技术的概念,加密技术的原理是利用加密算法，将明文转换成为无意义的密文，从而阻止非法用户获取和理解原始数据。明文变为密文的过程称为加密，由密文还原为明文的过程称为解密，加密和解密的规则称为密码算法。在加密和解密的过程中，由加密者和解密者使用的加解密可变参数叫做密钥。,加密作为保

4、障数据安全的一种方式，起源于公元前2000年，也就是4000年前。 近代加密技术主要应用在近200年来的战争中。 第二次世界大战中密码电报机Enigma。 英国数学家、被称为计算机之父之一的艾伦图灵终于破解了德国人的密码，从而为盟军二战的胜利奠定了基础。,一、加密技术,加密技术的由来,一、加密技术,（二）划分加密技术的类型,1私钥加密体制,2公钥加密体制,公钥加密体制，又称非对称密钥加密，其加密密钥与解密密钥不同。其基本思想是：每个用户拥有两个密钥，一个可通过密钥分布中心公开发布，即公开密钥，一个由用户自己秘密保存，即私有密钥。若用公钥加密信息，只有与其对应的私钥才能解密；反之，若用私钥加密信

5、息，也只有用相应的公钥才能解密。,私钥加密体制，又称对称密钥加密，即加密与解密时使用相同的密码。其主要思想是：用一个约定的加密函数和秘密密钥加密明文，用逆函数和同一把密钥来解密密文，还原为原来的明文。,1.对称加密算法,所谓对称加密，指的是加密和解密的密钥是相同的，又称为单一密钥加密法。,一、加密技术,2.非对称加密算法,非对称加密算法在加密的过程中使用一对密钥，而不像对称加密只使用一个单独的密钥。一对密钥中一个用于加密，另一个用来解密。如用A加密，则用B解密；反之如果用B加密，则要用A解密。 为了避免密钥传递导致的泄密，非对称加密算法采用另外一种密码管理机制，那就是公钥私钥机制。,一、加密技

6、术,非对称加密示意图,一、加密技术,非对称加密实现加密传送功能,一、加密技术,非对称加密实现发送者身份认证,一、加密技术,既实现加密又确认发送者身份认证,X的私钥,一、加密技术,由于接收者用Y的公钥解密时可以得知邮件一定是用Y的私钥加密的，而Y的私钥只有他自己拥有，因此我们可以利用这一过程来确认发送者的身份。 实际上验证身份时很少对发送的全文进行加密，而通常只对正文的哈希值（数字摘要）进行加密，这样加解密速度快，效率高，且可以验证传递信息的完整性，这就是我们后面要介绍的数字签名。,一、加密技术,一、加密技术,（三）加密算法,1私钥加密算法数据加密标准,2公钥加密算法RSA算法,DES算法将输入

7、的明文分成64位数据组块进行加密，密钥长度为64位，有效长度为56位（其他8位用于奇偶校验）。其加密过程大致分三步：初始置换、16轮迭代变换和逆置换。,RSA是1977年由美国麻省理工学院的三位教授Ronald Rivest、Adi Shamir、Leonard Adleman联合发明的，所以把三位教授姓氏的首位字母结合起来，称其为RSA加密算法。,二、数字签名技术,数字签名是目前电子商务中应用最普遍、可操作性很强的一种电子签名方法，它是通过某种密码运算生成一系列符号及代码组成电子密码进行签名，来代替书写签名或印章。数字签名技术以加密技术为基础，其核心是采用加密技术来实现对报文的数字签名。,（

8、一）数字签名概念,哈希（HASH）函数,哈希函数是一种单向函数，常用的算法有MD2、MD5、SHA-1等，它满足以下条件： 1. 已知x，可以导出yf（x），这里f（x）就是哈希函数， y是哈希函数的值，一般yx，且从y难以反向导出x； 2. 相同的x值，其y值一定相同；不相同的x值，哪怕只有一个bit的改变，其y值必不相同。,二、数字签名技术,数字摘要,数字摘要（Digital Digest），是特指以MD5或SHA-1算法生成的128位长的哈希值，被广泛应用于数字签名（电子签名）中。,二、数字签名技术,哈希函数的应用,要确认文档内容是否被修改过，只要效验前后两次的哈希值即可。,二、数字签名

9、技术,二、数字签名技术,（二）数字签名的工作过程,数字签名（电子签名）,数字签名就是信息发送者先给自己将要发送的正文内容做一个数字摘要，然后用自己的私钥给这个数字摘要加密，这个加密以后的数字摘要就是数字签名。 接收者收到传递的正文以后，再计算一次数字摘要，同时用发送者的公钥打开传来的加密数字摘要，两者进行对比，如果两个数字摘要相同，则可以肯定收到的是发送者的原件，因为用公钥打开的数字摘要只有用发送者自己私钥才能生成，就好象发送者自己在文本上签过字一样，所以把它称作数字签名。,二、数字签名技术,三、认证技术,（一）客户认证技术,1身份认证,2信息认证,生物测定学技术,指纹识别（Fingerpri

10、nt Scanning） 视网膜识别（Retina Recognition） 虹膜识别（Iris Recognition） 面部特征识别（Facel Recognition） 语音识别（Voice Recognition）,三、认证技术,三、认证技术,（二）数字证书,1数字证书的概念和组成,2数字证书的类型,（1）个人身份证书 （2）企业身份证书 （3）服务器身份证书 （4）企业代码签名证书 （5）个人代码签名证书,数字证书是通过第三方权威认证有效地进行网上身份认证，帮助各个实体识别对方身份和表明自身的身份，具有真实性和防抵赖功能。,三、认证技术,（三）安全认证机构,1认证中心,2认证中心的层

11、次结构,认证中心的层次结构由根CA、品牌CA、区域性CA以及持卡人CA、商家CA、支付网关CA四个层次构成。,认证中心是承担网上安全交易认证服务，能签发数字证书，并能确认用户身份的服务机构。, 认证中心的功能, 国内外主要认证机构,三、认证技术,四、防火墙技术,（一）防火墙的基本类型,1、包过滤型防火墙,2、代理服务型防火墙,3、状态监视器防火墙,防火墙的“停火区”,四、防火墙技术,四、防火墙技术,（二）防火墙的体系结构,1、双重宿主主机体系结构,2、被屏蔽主机体系结构,3、被屏蔽子网体系结构,四、防火墙技术,（三）防火墙的功能,1、防火墙是网络安全的屏障,2、防火墙可以强化网络安全策略,3、

12、对网络存取和访问进行监控审计,、防止内部信息的外泄,五、虚拟专用网技术,（一）虚拟专用网（VPN）的概念,1、VPDN,2、Intranet VPN,3、Extranet VPN,（二）VPN的分类,通过总部网络防火墙和远程用户的计算机或分公司的网络防火墙两边进行了设置，两者之间以隧道协议加密的方式通过Internet来传递数据，好象是在Internet上建立了一个安全的隧道，我们称之为虚拟专用网（VPN，Virtual Private Network）。 由于数据在Internet上是加密传送的，所以即使数据包被人截取，他人也无从知道传递的真实信息。,VPN示意图,五、虚拟专用网技术,五、虚

13、拟专用网技术,（三）VPN的安全协议,1、点对点隧道协议,2、第二层隧道协议,3、IP安全协议,、SOCKs V5,五、虚拟专用网技术,（四）VPN的安全性,1、用户认证,2、进行设备确认，建立安全隧道,3、使用安全策略,第三节 电子商务的安全管理,电子商务的安全管理,一、人员管理制度,二、保密制度,（二）落实工作责任制,（三）贯彻电子商务安全运作基本原则,（一）严格选拔网上交易和网络管理人员,信息的安全级别一般可分为三级：绝密级（如公司经营状况报告、订出货价格、公司的发展规划等）；机密级（如公司的日常管理情况、会议通知等）；秘密级（如公司简介、新产品介绍及订货方式等）。,电子商务的安全管理,

14、三、跟踪、审计、稽核制度,运行安全中的审计跟踪，就是要对电子商务系统进行人工或自动的审计跟踪，保存审计记录和维护详尽的审计日志。审计跟踪涉及三个方面的安全功能：记录和跟踪各种系统状态的变化；实现对各种安全事故的定位；保存、维护和管理审计日志。,电子商务的安全管理,四、系统维护制度,（二）软件的日常管理和维护,（一）硬件的日常管理和维护,五、数据备份制度,运行安全中的备份与恢复，就是要提供对系统设备和系统数据的备份与恢复。对系统数据进行备份和恢复所使用的介质可以是磁介质、纸介质、光碟、缩微载体等。,电子商务的安全管理,六、病毒防范制度,（二）不打开陌生地址的电子邮件,（三）定期清理病毒制度,（一

15、）安装防病毒软件,（四）控制权限,（五）警惕网络陷阱,电子商务的安全管理,七、应急措施,应急措施是指在计算机灾难事件发生时，利用应急计划、辅助软件和应急设施，排除灾难和故障，保障计算机信息系统继续运行或紧急恢复正常运行。在启动电子商务业务之初，就必须制定交易安全计划和应急方案。,第四节 电子商务安全的法律法规,一、电子商务安全性方面的法规问题,（一）用户隐私权,（二）加密和解密系统,（三）安全性认证,（四）计算机犯罪,二、当前我国电子商务安全的法律法规,（一）我国涉及交易安全的法律法规,（二）我国涉及计算机安全的法律法规,（三）我国保护计算机网络安全的法律法规,三、加快电子商务安全的法律法规建设,（一）电子商务安全的法律法规建设步骤,（二）健全电子商务安全的法律法规,（1）请解释概念：加密技术、数字签名、数字证书、防火墙、VPN,（2）请问电子商务的安全要求有哪些？,（3）请问应当建立哪些电子商务安全管理制度？,（4）如何解决电子商