7-第七章电子商务安全体系

第七章电子商务安全体系1第七章电子商务安全体系第七章电子商务安全体系2第七章电子商务安全体系7.1电子商务系统安全概述7.2电子商务的安全技术第七章电子商务安全体系37.1电子商务系统安全概述7.1.1电子商务中存在的安全隐患和威胁Internet的安全隐患主要表现在以下四个方面：1．开放性2．传输协议TCP/IP，协议本身没有采取任何措施来保护传输内容不被窃取。数据在传输过程中可能会遭到IP窥探、同步信号淹没、TCP会话劫持、复位与结束信号攻击等威胁。3．操作系统漏洞4．信息电子化的可信度第七章电子商务安全体系4Internet安全隐患给电子商务带来如下安全威胁：●商务信息被篡改、盗窃或丢失；●商业机密在传输过程中被第三方获悉，甚至被恶意窃取、篡改和破坏；●冒充虚假身份的交易对象及虚假订单、合同；●贸易对象的抵赖●由于计算机系统故障对交易过程和商业信息安全所造成的破坏。第七章电子商务安全体系57.1.2电子商务的安全性需求1．保密性：保证信息不会被非授权的人或实体窃取。防止入侵者侵入系统；对商务机密(如信用卡信息等)要先经过加密处理，再送到网络传输。2．完整性：完整性是指数据在输入和传输过程中，要求能保证数据的一致性，防止数据被非授权建立、修改和破坏。同时要防止数据传送过程中丢失和重复，以保证信息传送次序的统一。3．不可抵赖性：信息的不可抵赖性是指信息的发送方不可否认已经发送的信息，接收方也不可否认已经收到的信息。第七章电子商务安全体系64．真实性：指商务活动中交易者身份的真实性，亦即是交易双方确实是存在的，不是假冒的。前提。5．可靠性：指电子商务系统的可靠性，指由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒和自然灾害等所产生的潜在威胁状态下，而仍能确保系统安全、可靠。6．内部网的严密性：第七章电子商务安全体系77.1.3安全管理1．电子商务系统安全的管理对策企业应当制定网络交易系统安全管理制度包括：(1)人员管理制度。①严格电子商务人员选拔；②落实工作责任制；③落实考核制度。(2)保密制度。划分信息的安全防范重点，提出相应的保密措施，并加强对密钥的管理。密钥管理必须贯穿于密钥的产生、传递和销毁的全过程。(3)跟踪、审计、稽核制度。(4)系统的日常维护制度。(5)病毒防范制度。(6)应急措施。灾难恢复：硬件的恢复，数据的恢复第七章电子商务安全体系82．网络安全的技术对策(1)网络安全检测设备，实施安全监控。SAFEsuite网络安全监控系统。(2)开发各种具有较高安全性的访问设备，用于支持身份认证、小批量购买授权及实际和虚拟访问控制，如安全磁盘、智能卡等。(3)建立安全的防火墙体系。(4)加强数据加密的工作。(5)数据完整性的控制，包括数据是否来自正确的发送方而非假冒者，接收的内容与发送时是否一致，数据有无重复接收等。第七章电子商务安全体系9(6)建立认证中心，并建立证书的认证与发放。(7)建立合理的鉴别机制。在对等实体间交换认证信息，以检验和确认对等实体的合法性。鉴别机制可以采用报文鉴别，也可以采用数字签名或终端识别等多种方式。(8)通信流的控制。传送伪随机数据、填充报文和改变传输路径。此外，还有保护传输线路安全、访问控制、路由选择机制、端口保护、安全检测、审查和跟踪等措施。第七章电子商务安全体系103．电子商务安全的法律保护电子商务安全主要涉及的法律要素有：(1)有关认证(CA)中心的法律。必须由国家法律来规定CA中心的设立程序和设立资格以及必须承担的法律义务和责任，也必须由法律来规定由何部门来对CA中心进行监管。(2)有关保护个人隐私、个人秘密的法律。(3)有关电子合同的法律。对数字签名、电子商务凭证的合法性予以确认。(4)有关电子商务的消费者权益保护法。(5)有关网络知识产权保护的法律。第七章电子商务安全体系11案例：IKEA公司域名被抢注原告英特艾基系统有限公司上诉：其在世界29个国家和地区拥有以“IKEA”命名的大型经营家具和家居用品的专卖店1983年在中国获得“IKEA”、IKEA及图形组合商标和中文“宜家”的注册商标在90多个国家和地区注册了“IKEA”、IKEA及图形组合商标第七章电子商务安全体系12案例：IKEA公司域名被抢注当该公司准备在中国互联网上注册宜自己拥有的注册商标“IKEA”未标志的域名时，发现被告北京国网信息有限责任公司已经先注册了域名“ikea.com.cn”其抢注的三级域名ikea与原告的注册商标“IKEA”比较，二者读音、文字外形、字母组合、消费者呼叫方式等方面完全相同所以被告抢注的域名是对原告已经使用多年具有独创性的注册商标公然的仿冒第七章电子商务安全体系13案例：IKEA公司域名被抢注1998年原告在中国支付的广告费用600万人民币1999年为1700万人民币被告抢注域名后，长期空置没有使用，其行为违反了《保护工业产权巴黎公约》的原则立场，与《中华人民共和国民法通则》第4条规定的诚实信用原则冲突，应属不正当竞争行为第七章电子商务安全体系14案例：IKEA公司域名被抢注原告诉至法院，请求法院判令被告立即停止使用和注销“ikea.com.cn”域名由被告承担案件的诉讼费用第七章电子商务安全体系15案例：IKEA公司域名被抢注被告辨称我公司域名系经过中国政府授权的中国互联网络信息中心依法审查批准注册的应受法律保护我公司注册的“ikea”主页准备在因特网开展语音信箱服务“ikea”含义是I和Kea的结合，分别代表Internet和一种鹦鹉的含义第七章电子商务安全体系16案例：IKEA公司域名被抢注被告辨称我公司并不知道原告的商标“ikea”，何谈抄袭和模仿域名和商标是两种完全不同的客体，对商标的保护并不能延伸到域名上我公司基于自己的创意注册域名，并不违法法律规定。请求法院依法驳回原告全部诉讼请求第七章电子商务安全体系17案例：IKEA公司域名被抢注经审理查明：原告英特艾基系统有限公司是注册商标“IKEA”的注册权人，该商标起源于1947年瑞典农场主IngovarKampargd的独创设计原告已经在90多个国家和地区注册了“IKEA”、IKEA及图形组合商标该注册商标已经有几十年的历史，且其法律状态及使用从未间断第七章电子商务安全体系18案例：IKEA公司域名被抢注经审理查明：1999年原告在世界范围内投入的“IKEA”商标的宣传和推广费用为三亿七千三百万美元1983年原告在商品中国和商品国际上分别了注册了“IKEA”、IKEA及图形组合商标和中文“宜家”的注册商标1998年原告先后在上海和北京开设了以“IKEA”为标志的大型家居专卖店第七章电子商务安全体系19案例：IKEA公司域名被抢注经审理查明：1997.11.19，被告在中国互联网络申请注册了“ikea.com.cn”域名原告提出证据证明被告出注册“ikea.com.cn”域名外，还注册了philips/omega/polo等世界知名品牌或商品的域名，且均空置未在互联网上使用对原告提供的证据，原告未提供其他的反驳证据第七章电子商务安全体系20案例：IKEA公司域名被抢注法院认为：原告英特艾基系统有限公司是注册商标“IKEA”的注册权人原告已经在90多个国家和地区注册了“IKEA”、IKEA及图形组合商标该，且其法律状态及使用从未间断因此应认定“IKEA”未驰名商标第七章电子商务安全体系21案例：IKEA公司域名被抢注法院认为：被告将原告的“IKEA”驰名商标作为域名使用，容易误导消费者认为该域名的注册人是“IKEA”驰名商标的持有人或与其有某种合作关系被告客观上利用了附着于该驰名商标上的良好信誉。且由于域名在因特网上使用的唯一性，使得该驰名商标注册权人在因特网上行使该商标权收到妨碍故认定被告的上述行为对该驰名商标的注册权人的商标专用权构成了侵害。第七章电子商务安全体系22案例：IKEA公司域名被抢注法院认为：被告对大量知名品牌或商标的待价而沽的非善意的注册行为的主观动机十分明显，故被告的行为违反了公平竞争、诚实信用的基本原则，构成了不正当竞争。第七章电子商务安全体系23案例：IKEA公司域名被抢注法院认定：被告不仅违反了《中国互联网络域名注册暂行管理办法》的有关规定，还有悖《保护工业产权巴黎公约》的精神和《中华人民共和国反不正当竞争法》的基本原则，侵害了原告的作为驰名商标权人的合法权益，应承担相应的民事法律责任。判决：被告注册的域名“ikea.com.cn”无效，应立即停止使用并于判决生效后十日内撤销该域名第七章电子商务安全体系247.2电子商务的安全技术7.2.1防火墙技术1．防火墙的基本概念计算机网络的防火墙是一个由软件和硬件设备组合而成的、在内部网和外部网之间的构造的保护屏障。只有被允许的通信才能通过防火墙，从而起到内部网与外部网的隔离，可以限制外部用户对内部网络的访问和内部用户对外部网络的访问。它控制所有内部网与外部网之间的数据流量，防止企业内部信息流入Internet；控制外部有害信息流入Intranet。防火墙还能执行安全策略，记录可疑事件。第七章电子商务安全体系25防火墙的基本概念所谓防火墙，就是在内部网与外部网之间的界面上构造一个保护层，并强制所有的连接都必须经过此保护层，在此进行检查和连接。只有被授权的通信才能通过此保护层，从而保护内部网及外部的访问。第七章电子商务安全体系26图7-1防火墙系统示意图外部WWW客户内部客户机E-mail服务器Web服务器防火墙数据库InternetIntranetInternetIntranetE-Mail服务器Web服务器内部客户机数据库外部WWW客户防火墙第七章电子商务安全体系27防火墙是一种安全有效的防范技术，是访问控制机制、安全策略和防入侵的措施。狭义：防火墙是指安装了防火墙软件的主机或路由器系统；广义：防火墙还包括了整个网络的安全策略和安全行为。防火墙的安全策略有两种：(1)凡是没有被列为允许访问的服务都是被禁止的。(2)凡是没有被列为禁止访问的服务都是被允许的。第七章电子商务安全体系282．防火墙的构成防火墙主要包括安全操作系统、过滤器、网关、域名服务和E-mail处理等五部分，如图7-2所示。有的防火墙可能在网关两侧设置两个内、外过滤器，外过滤器保护网关不受攻击，网关提供中继服务，辅助过滤器控制业务流，而内过滤器在网关被攻破后提供对内部网络的保护。第七章电子商务安全体系29图7-2防火墙的构成E-mail处理域名服务代理认证Socks网关过滤器安全操作系统内部网InternetE-mail姓名/地址询问高级协议访问IP级数据组防火墙2．防火墙的构成第七章电子商务安全体系30防火墙的主要目的是控制数据组，只允许合法流通过。它要对内域网和Internet之间传递的每一数据组进行干预。过滤器则执行由防火墙管理机构制定的一组规则，检验各数据组决定是否允许放行。这些规则按IP地址、端口号码和各类应用等参数确定。单纯靠IP地址的过滤规则是不安全的，因为一个主机可以用改变IP源地址来蒙混过关。第七章电子商务安全体系313．防火墙的优点(1)保护那些易受攻击的服务。过滤那些不安全的服务，只有预先被允许的服务才能通过防火墙。(2)控制对特殊站点的访问。防火墙能控制对特殊站点的访问。如有些主机能被外部网络访问而有些则要被保护起来，防止不必要的访问。(3)集中化的安全管理。可以将所有修改过的软件和附加的安全软件都放在防火墙上集中管理；而不使用防火墙，就必须将所有软件分散到各个主机上。(4)对网络访问进行记录和统计。第七章电子商务安全体系324．防火墙的类型主要可分为包过滤型和应用网关型两种。包过滤型可以动态检查通过防火墙的TCP/IP报文头中的报文类型、源IP地址、目标IP地址、源端口号等信息，与预先保存的清单进行对照，按预定的安全策略决定哪些报文可以通过防火墙，哪些报文不可以通过防火墙。包过滤防火墙的优点：价格较低，对用户透明，并且对网络性能的影响很小，包过滤不需要用