大工13秋《电子商务》辅导资料七

《电子商务(diàn zǐ shānɡ wù)》辅导(fǔdǎo)资料(zīliào)七主题：第五(dì wǔ)章电子商务中的安全(ānquán)技术（第1—3节）学习时间： 2013年11月11日－11月17日
内容：
第五章电子商务中的安全技术
这周我们将学习第五章中的第1—3节，这部分重点介绍电子商务系统的安全问题和安全措施、电子商务系统安全交易的标准等；下面整理出的理念框架供同学们学习。

第一节电子商务系统的安全问题
一、电子商务系统面临的主要威胁：
系统穿透：未授权人通过一定手段对认证性进行攻击，假冒合法者接入系统或篡改文件，或窃取机密信息，或非法使用资源等。

系统穿透一般采取伪装或利用系统薄弱环节等方式实现。

违反授权规则：一个授权进入系统“做某事件”的用户，在系统中进行未经授权的其他事情，表面上看起来是系统内部的误用或滥用问题，但这种威胁与外部穿透有关联。

植入：一般(yībān)在系统穿透或违反授权攻击成功后，入侵者要再系统中植入一种能力，为以后攻击提供方便条件，如向系统中注入病毒、陷阱等来破坏系统正常工作。

通信(tōng xìn)监视：这是一种在通信过程中从信道进行搭线窃听的方式，通过搭线和电磁(diàncí)泄漏对机密性进行攻击，造成泄漏，或对业务流量进行分析，获取有用情报。

侦察卫星、监视卫星、隐身飞机等均可用于截获(jiéhuò)和跟踪信息。

通信(tōng xìn)干扰：攻击者对通信数据或通信过程进行干扰，对完整性进行攻击，篡改系统中的数据，修改消息次序、时间，注入伪造信息。

中断：对可用性进行攻击，迫害系统中得硬件，使系统不能正常工作，破坏信息和网络资源。

拒绝服务：指合法接入信息、业务或其他资源受阻。

否认：一个实体进行某种通信或交易活动，稍候否认进行过这一活动，不管这种行为是否有意的亥时无意的，一旦出现再要解决双方的争执就不容易了。

二、电子商务系统的安全需求：
1.保密性要求
2.完整性要求(yāoqiú)
3.不可否认要求(yāoqiú)
4.交易者身份(shēn fen)的真实性
5.有效性要求(yāoqiú)
6.系统(xìtǒng)的可靠性
第二节电子商务系统的安全措施
一、电子商务提供的安全服务：
主要包括：鉴别服务、访问控制服务、机密性服务、不可否认服务等。

二、数据安全
1、数据加密是确保电子商务系统中数据的安全性、真实性和完整性的重
要手段。

明文—源信息，密文—为保护明文，将其通过某种方式交换成局外人难以识别的另一种形式。

2、密钥是有数字、字符胡特殊符号组成的字符串，它可以控制加密解密
过程。

密钥的长度是指密钥的位数。

3、加密算法是指把加密解密变换处理过程抽象成数学函数。

正向为加密
函数，反向为解密函数。

4、对称密钥系统(xìtǒng)：密钥系统又称对称密钥系统，它使用相同的密
钥加密和解密，发送者和接收者有相同的密钥。

三、网络安全
在网络安全方面，当前的主流思路是从企业(qǐyè)内联网出发来考虑以因特网为
基础(jīchǔ)的电子商务安全问题。

内联网(lián wǎnɡ)是一种半封闭的集中式可控网。

1、网路安全(ānquán)规划
⊗威胁评估：与网络连通性有关的安全威胁主要有：非授权访问、信息泄漏、
拒绝访问。

⊗分布式控制：实现网络安全的一种方法是将一个大型网络中各段的责任和控制权分配给单位内部的一些小组。

⊗编制网络安全策略：
一个网络安全策略文件应该包括：
网络用户的安全责任；
系统管理员的安全责任；
正确使用网络资源；
检测到安全问题时的策略。

2、防火墙技术
⊗防火墙：是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在(qiánzài)的破坏性的侵入。

⊗防火墙的实质(shízhì)：包含一对矛盾或称机制，一方面限制数据流通，另一方面它又允许数据流通。

⊗防火墙的分类(fēn lèi)：
根据防范的方式和侧重点不同(bù tónɡ)，防火墙分2类：数据包过滤型（通常(tōngcháng)安装在路由器上）和应用网关型（通常安装在工作站上）。

3、应用系统安全
⊗计算机系统安全
⊗安全性管理（用户账号管理、用户组管理、口令维护、超级用户管理）
4、数字签名
⊗概念：传统上采用的是手书签字或印章，是模拟的，因人而已；数字签名是0和1的数字串，因消息而已。

⊗组成部分：签字算法和验证算法。

常用的数字签名体制：RSA签名体制、ELGamal签名体制等
5、认证与身份证明
⊗身份认证系统组成：示证者、验证者、攻击者。

⊗认证的主要方法：双重认证、数字证书、智能卡、安全电子交易协议。

第三节安全电子交易(jiāoyì)标准
一、安全电子交易(jiāoyì)标准：
⊗安全超文本传输(chuán shū)协议（S-HTTP）：用密钥来加密，以保障Web站点
上的信息的安全。

即S-HTTP支持(zhīchí)超文本传输协议（HTTP），为Web文档
提供(tígōng)安全和鉴别，保证数据的安全。

⊗安全套接层协议（SSL）：是保证Web站点之间通信信道的安全，面向网络协议栈的底层通道进行安全监控。

⊗安全多媒体协议Internet邮件扩展协议（S/MIME）：依赖密钥对保证电子邮件安全传输。

⊗安全电子交易协议（SET）：是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的。

SET交易分为三个阶段：购买请求阶段、支付认
定阶段、受款阶段。

本周要求(yāoqiú)掌握(zhǎngwò)的内容(nèiróng)如下：
基本概念：系统穿透、违反(wéifǎn)授权规则、植入、数字签名、防火墙等。

基本(jīběn)理念：电子商务面临的主要威胁、电子商务提供的安全服务、安全电子交易的标准。

练习：
1、电子商务面临的主要威胁有哪些？
2、电子商务中安全电子交易都遵循哪些标准？
1、下面属于电子商务的安全服务的是（）。

A、访问控制
B、不可否认
C、鉴别
D、机密性
2、身份认证系统的组成（）。

A、验证者
B、示证者
C、攻击者
D、防御者
练习(liànxí)参考答案：
1. 系统(xìtǒng)穿透、违反授权(shòuquán)规则、植入、通信(tōng xì
n)监视、通信(tōng xìn)干扰、中断、拒绝服务、否认
2. 安全超文本传输协议、安全套接层协议、安全电子交易协议、安全多媒
体协议Internet邮件扩展协议
1.ABCD
2.ABC
内容总结
（1）《电子商务》辅导资料七
主题：第五章电子商务中的安全技术（第1—3节）
学习时间： 2013年11月11日－11月17日
内容：
第五章电子商务中的安全技术
这周我们将学习第五章中的第1—3节，这部分重点介绍电子商务系统的安全问题和安全措施、电子商务系统安全交易的标准等（2）Ä分布式控制：实现网络安全的一种方法是将一个大型网络中各段的责任和控制权分配给单位内部的一些小组。