第8章电子商务安全

第8章电子商务安全学习目标1．了解电子商务安全现状、面临的威胁及电子商务安全内容相关知识；2．掌握加密技术、认证技术、防火墙、数字证书及认证中心等电子商务安全技术相关知识；3．了解黑客与病毒防范相关知识；4．熟悉电子商务安全网络协议相关知识；5．掌握电子商务安全管理相关知识。导入案例年度网站安全报告：26%电商网站存高危漏洞8.1电子商务安全概述在电子商务得益于网络快速信息传输而兴起和发展的同时，病毒泛滥、黑客入侵、Web站点被攻击的现象亦日益严重，计算机犯罪日益猖獗，高水平技术人员的犯罪已经严重影响到电子商务等行业的安全;信息安全问题越来越受到专家、技术人员和管理层的高度重视；电子商务信息安全是指电子商务全过程信息化状态和信息技术体系不受外来的威胁与侵害;本章从技术角度和管理机制两方面讨论电子商务安全防护问题。国防部网站开通第一个月遭230多万次攻击2009年8月20日零时国防部网站www.mod.gov.cn上线试运行.国防部网站总编辑季桂林：“国防部网站从上线试运行第一天开始，就受到大量的、不间断的攻击。第一个月受到的攻击达230多万次，包括侵入式攻击和阻塞式攻击，第一周的攻击最为密集。8.1.2电子商务面临的安全问题1．计算机网络安全问题（1）物理实体的安全（2）系统的漏洞和“后门”（3）网络协议的安全漏洞（4）计算机病毒的攻击（5）黑客的恶意攻击2．电子交易安全问题（1）电子商务交易平台的安全问题（2）交易双方的信用问题（3）电子支付安全问题8.1.3电子商务安全问题带来的威胁1、信息泄露2、信息篡改3、身份识别4、信息破坏5、交易抵赖6、隐私泄露8.1.4电子商务安全要求信息的保密性；信息的完整性；交易各方身份的认证；信息的有效性；信息的不可抵赖性、不可否认性；隐私权的保护。8.1.5电子商务安全重要性1．安全是电子商务系统的基本要求2．安全是电子商务发展的关键中国互联网络信息中心（CNNIC）发布的“中国互联网络发展状况统计报告”显示，在使用网络购物的用户中，52.26％的用户最关心的是交易的安全可靠性；非网络购物的用户不使用网络购物的三大主要原因是“不会使用”、“不安全”、“没有必要，不需要”，所占比例分别为22.5%，21.2%，19.6%。8.1.6电子商务安全体系1．电子商务安全技术2．社会道规范3．法律体系4．安全管理体系8.2电子商务安全技术8.2.1加密技术加密技术是电子商务采取的主要安全保密措施，是信息安全技术的核心，用于保证电子商务中数据的保密性、完整性、真实性和非抵赖服务。8.2.1加密技术1、信息加密概念加密系统由四个组成部分：（1）未加密的报文，也称明文；（2）加密后的报文，也称密文；（3）加密解密设备或算法；（4）加密解密的密钥。8.2.1加密技术信息验证广泛采用的技术：秘密密钥(私钥)加密系统(PrivateKeyEncryption)公开密钥(公钥)加密系统(PublicKeyEncryption)两者相结合的方式1．对称加密技术密文发送端明文加密网络传输接收端密文明文密钥A解密密钥A2．非对称加密技术密文发送端明文加密网络传输接收端密文明文私钥B解密密钥A3．数字签名数字签名（DigitalSignature）是公开密钥加密技术的一种应用，是指用发送方的私有密钥加密报文摘要，然后将其与原始的信息附加在一起，合称为数字签名。Hash算法原文摘要摘要对比？摘要Internet发送端Hash算法数字签名发送者私钥加密数字签名发送者公钥解密原文接收端8.2.2认证技术认证技术是指交易系统中交易参与者之间的安全身份认证，是实现电子商务交易系统身份可认证性和不可抵赖性的关键技术。认证技术是整个信息安全体系的基础认，证技术主要用于信息认证，确认信息发送者的身份，防止假冒；验证信息的完整性，即确认信息在传送或存储过程中未被篡改过。认证技术主要包括身份认证和消息认证。1．消息认证认证解密安全传输通道非授权者信道消息发送端认证加密加密密钥消息接收端2．身份认证（1）口令识别法口令机制又称作通行字机制，它是最广泛研究和使用的身份鉴别法。口令验证的识别过程：①用户将口令传送给计算机；②计算机完成口令单向函数值的计算；③计算机把单向函数值和机器存储的值比较。（2）签名识别法签名识别，也被称为签名力学辨识，源于每个人都有自己独特的书写风格。签名鉴定分为在线签名鉴定和离线签名鉴定两种。前者是通过手写板采集书写人的签名样本，除了采集书写点的坐标外，有的系统还采集压力、握笔的角度等数据;后者是通过扫描仪输入签名样本。显然，离线签名比较容易伪造，识别的难度也比较大。而在线签名由于有动态信息，不容易伪造.（3）指纹识别技术识别指纹主要从两个方面展开：总体特征和局部特征。总体特征是指那些用人眼直接就可以观察到的特征。包括纹形、模式区、核心点、三角点和纹数等。局部特征是指指纹上节点的特征，这些具有某种特征的节点称为细节特征或特征点。（4）语音识别技术语音识别技术，也被称为自动语音识别AutomaticSpeechRecognition（ASR），就是让机器通过识别和理解过程把语音信号转变为相应的文本或命令的高技术。（5）生物识别技术①手掌几何学识别②视网膜识别③虹膜识别④面部识别⑤DNA识别⑥静脉识别⑦步态识别⑧人脸识别8.2.3防火墙1．访问控制信息及资源访问控制决策部件访问控制实施部件访问请求端提交访问请求请求决策提出访问请求2．防火墙（1）防火墙的分类从实现原理上分，防火墙的技术包括四大类：网络级防火墙（也叫包过滤型防火墙）、应用级网关、电路级网关和规则检查防火墙。（2）防火墙的功能①网络安全的屏障②强化网络安全策略③监控审计④防止内部信息的外泄⑤数据包过滤⑥网络IP地址转换⑦虚拟专用网络⑧日志记录与事件通知8.2.4数字证书与认证中心1．数字证书“数字证书”作为网上交易双方真实身份证明的依据，是一个经证书授权中心（CA）数字签名的、包含证书申请者（公开密钥拥有者）个人信息及其公开密钥的文件。基于公开密钥体制（PKI）的数字证书是电子商务安全体系的核心，用途是利用公共密钥加密系统来保护与验证公众的密钥，由可信任的、公正的权威机构CA颁发。2．认证中心CA（CertificationAuthority）认证中心是在电子交易中承担网上安全交易认证服务、签发数字证书、确认用户身份等工作并具有权威性和公正性的第三方服务机构，它是保证电子商务交易安全进行的一个不可缺少的重要环节。认证中心是进行网上安全电子交易认证服务、签发数字证书、确认用户身份的服务机构。商户认证中心（MerchantCA）持卡人认证中心（CardholderCA）支付网关认证中心（PaymentGatewayCA）根认证中心（RootCA）品牌认证中心（BrandCA）区域性认证中心（Geo-politicalCA）持卡人支付网关商户8.3电子商务安全技术协议这些协议主要有：公钥体系结构PKI、安全超文本传输协议（S－HTTP）、安全套接层协议（SSL协议）、安全电子交易协议（SET协议）、3-Dsecure协议、IPSec协议和虚拟专用网VPN等。8.4黑客与病毒防范技术“黑客”的基本概念“黑客(Hacker)”源于英语动词Hack。是指一些掌握计算机、网络核心技术和利用计算机系统里面的BUG，非法进入别人的计算机，网络系统的人。“黑客”可分为两类。•骇客：他们只想引人注目，证明自己的能力，在进入网络系统后，不会去破坏系统，或者仅仅会做一些无伤大雅的恶作剧。他们追求的是从侵入行为本身获得巨大的成功的满足；•窃客：他们的行为带有强烈的目的性。早期的这些“黑客”主要是窃取国家情报、科研情报，而现在的这些“黑客”的目标大部分瞄准了银行的资金和电子商务的整个交易过程。网络“黑客”常用的攻击手段①获取口令②电子邮件③木马④诱入法⑤系统漏洞（3）黑客防范措施①屏蔽可以IP地址②过滤信息包④经常升级系统版本⑤及时备份重要数据⑥使用加密机制传输数据⑦使用防火墙技术⑧安全工具包或软件2．病毒与防治方法病毒是一种人为编制的程序或指令集合，这种程序能潜伏在计算机系统中，并通过自我复制传播和扩散，在一定条件下被激活，给计算机带来故障和破坏。病毒的防治方法：（1）树立病毒防范意识，从思想上重视计算机病毒要从思想上重视计算机病毒可能会给计算机安全运行带来的危害。（2）安装正版的杀毒软件和防火墙，并及时升级到最新版本（3）及时对系统和应用程序进行升级。（4）把好入口关。（5）不要随便登录不明网站、黑客网站或色情网站。（6）养成经常备份重要数据的习惯。（7）养成使用计算机的良好习惯。（8）要学习和掌握一些必备的相关知识。8.5电子商务安全管理8.5.1电子商务安全管理原则1．预防为主，重在控制2．全员参与，动态管理3．多人负责，任期有限4．职责清晰，分工明确8.5.2电子商务安全管理策略1．风险评估，代价平衡的原则2．适应灵活，容易操作的原则3．标准规范，整体高效的原则4．均衡防护，应急恢复的原则8.5.3电子商务安全的管理措施1．提高网络安全防范意识2．建立电子商务安全管理组织体系3．建立电子商务安全管理制度4．电子商务安全的法制建设策略8.5.4电子商务安全管理制度1．人员管理制度（1）严格安全管理人员的甄选（2）全方位的安全知识培训（3）落实工作责任制（4）贯彻电子商务安全运作基本原则4．网络系统的日常维护制度（1）硬件的日常管理和维护1）网络设备①运用管理软件进行管理②手动检查，人工管理2）服务器管理3）通信线路（2）软件的日常管理和维护1）支撑软件2）应用软件（3）数据备份制度6．病毒防范制度（1）安装杀毒软件（2）认真执行病毒定期清理制度（3）控制权限（4）高度警惕网络陷阱7．应急措施指在计算机灾难事件（即紧急事件或安全事故）发生时，利用应急计划、辅助软件和应急设施，排除灾难和故障，保障计算机信息系统继续运行或紧急恢复。（1）瞬时复制技术（2）远程磁盘镜像技术（3）数据库恢复技术一、选择题1．在电子商务信息安全要求中，信息在传输过程中或存储中不被他人窃取指的是（）。A．信息的保密性B．信息的完整性C．信息的不可否认性D．交易者身份的真实性2．加密后的内容称为（）。A．密钥B．算法C．密文D．明文3．用户识别方法不包括（）。A．根据用户知道什么来判断B．根据用户拥有什么来判断C．根据用户地址来判断D．根据用户是什么来判断4．以下身份认证技术中，属于生物特征识别技术的有（）。A．数字签名识别法B．指纹识别法C．语音识别法D．头盖骨的轮廓识别法ACCBCD5．触发电子商务安全问题的原因有（）。A．黑客的攻击B．管理的欠缺C．网络的缺陷D．软件的漏洞6．病毒防范制度包括的内容有（）。A．为自己的电脑安装防病毒软件B．不打开陌生地址的电子邮件C．认真执行病毒定期清理制度D．高度警惕网络陷阱7．下面属于不安全口令的有（）。A．使用用户名作为口令B．使用自己或者亲友的生日作为口令C．使用学号或者身份证号码等作为口令D．使用常用的英文单词做作口令8．认证中心的主要作用有（）。A．证书的颁发B．证书的查询C．证书的归档D．证书的作废E．证书的更新ABCDABCDABCDABCDE思考题1.用户身份认证的有哪几种基本方式？2.什么是防火墙（Firewall）？防火墙组成有哪几部分？3.客户认证CA主要包括哪几方面内容？各自功能是什么？4.什么是数字签名？具备哪些能力？5.网络环境的安全管理制度包括哪几方面？6.为什么要设立客户认证机构CA？主要进行哪些业务？7.什么是生物特征身份识别技术？TheEnd!