01第一章 电子商务安全概述

1.2 电子商务的几种安全技术
数字签名 数字签名(Digital Signature)是公开密钥加密技术的一种应用，是指用发 送方的私有密钥加密报文摘要，然后将其与原始的信息附加在一起， 合称为数字签名。
1.2.2 网络安全技术
网络安全是电子商务安全的基础，一个完整的电子商务系统应建立在安全的 网络基础设施之上。
防火墙
防火墙是建立在通信技术和信息安全技术之上．它用于在网络之间建立一个 安全屏障，根据指定的策略对网络数据进行过滤、分析和审计，并对各种攻击
提供有效的防范。主要用于Internet接入和专用网与公用网之间的安全连接。
VPN
VPN也是一项保证网络安全的技术之一，它是指在公共网络中建立一个专用网 络，数据通过建立好的虚拟安全通道在公共网络中传播。使用VPN有节省成本、 提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后企 业网络发展的趋势。
1.2 电子商务的几种安全技术
电子商务安全是信息安全的上层应用，主要分为网络安全技术、密码 技术、安全协议、PKI(Public Key Infrastructure，公钥基础设施) 技术四大类。
1.2.1 密码技术
加密技术是保证电子商务安全的重要手段，是信息安全的核心技术。 它主要包括加密、签名认证和密钥管理三大技术。 加密技术
电子商务的参与者
包括企业、消费者和中介机构等
1.1 电子商务安全概况
1.1.1 电子商务安全概念与特点
电子商务的一个重要技术特征是利用IT技术来传输和处理商业 信息，因此，电子商务安全从整体上可分为两大部分：计算机网络安 全和商务交易安全。
计算机网络安全
计算机网络安全的内容包括：计算机网络设备安全、计算机网 络系统安全、数据库安全等。其特征是针对计算机网络本身可能存 在的安全问题，实施网络安全增强方案，以保证计算机网络自身的 安全为目标。
加密技术是保证电子商务安全的重要手段。所谓加密就是使用数学方法来 重新组织数据，使得除了合法的接收者外，任何其他人要想恢复原先的 “报文”或读懂变化后的“报文”是非常困难的。
密钥管理技术
密钥管理包括密钥的产生、存储、装入、分配、保护、丢失、销毁以及 保密等内容。其中分配和存储是最棘手的问题。密钥管理不仅影响系统的 安全性，而且涉及到系统的可靠性、有效性和经济性．在用密码技术保护 的现代信息系统的安全性主要取决于对密钥的保护，而不是对算法或硬件 本身的保护，即密码算法的安全性完全寓于密钥之中。
1.2 电子商务的几种安全技术
1.2.3 安全协议
安全协议是许多分布式系统安全的基础，是电子商务系统运行的安全 通信标准。目前国际上流行的电子商务所采用的协议主要包括以下4个 方面。 电子支付协议 电子支付作为电子商务中最重要的内容，目前已经出现了很多的电 子支付协议．根据人们在现实生活中常见的有基于卡的支付协议、 基于支票的支付协议和基于现金的支付协议。著名的有： FirstVirtual、SSI、SET、iKP、NetBill、E-Cash等。 安全HTTP(S-HTTP) 安全电子邮件协议(如PEM、S／MIME等) 用于公对公交易的Internet EDI(UN／EDIFACT) 此外，也可以在Internet上建设虚拟专网，利用VPN为企业、政府 提供一些基本的安全服务如企业、政府间的公文、报表传送、电子 报税业务等。这些协议分别在不同的协议层上进行，在Internet上 提供安全的电子商务服务。
1.1 电子商务安全概况
不可否认性 商务服务的不可否认性(Non-repudiation)或称不可抵赖性是指信息 的发送方不能否认已发送的信息，接收方不能否认已收到的信息， 这是一种法律有效性要求． 不可拒绝性 商务服务的不可拒绝性(Denial of service)或称可靠性是保证授权 用户在正常访问信息和资源时不被拒绝，即为用户提供稳定可靠的 服务。 访问控制性 访问控制性(Access control)或称可控性规定了主体访问客体的操 作权力限制，以及限制进入物理区域(出入控制)和限制使用计算机 系统和计算机存储数据的过程(存取控制)．包括人员限制、数据标 识、权限控制、控制类型和风险分析等。 注:电子商务除了以上六个主要的安全要素外，还有匿名性服务（隐 匿参与者身份、保护个人或组织隐私）等要素，以及一些特殊环境 的特殊要素。
1995年联合 公共准则CC
1991年美国联邦 准则FC
1995年英国 BS7799
1999年CC 成为国际标准
2000年 ISO7799
思考题
什么是电子商务安全？电子商务安全有何特点？ 电子商务面临哪些安全威胁？ 简述电子商务的安全要素。 与电子商务相关的安全技术有哪些？ 试述电子商务安全体系结构。 简介与电子商务安全相关的标准
电子商务安全问题不仅仅是个技术性的问题，更重要的是管理问题，而且 它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起。
2．电子商务安全是相对的
安全是相对的，而不是绝对的，要想以后的网站永远不受攻击、不出安全 问题是不可能的。
3．电子商务安全是有代价的
如果只注重速度，就必定要以牺牲安全来作为代价；如果要考虑到安全， 速度就得慢一点, 如果不直接牵涉到支付等敏感问题，对安全的要求就可 以低一些；如果牵涉到支付问题，对安全的要求就要高一些，所以安全是 有成本和代价的。
wk.baidu.comOGO
1.3 电子商务安全体系结构
电子商务安全体系结构是保证电子商务中数据安全的一个完整的 逻辑结构，由五个部分组成： 应用系统层 安全协议层 安全认证层 包括：保密性，完整性，匿名性，抗否认性，有效性， 可靠性等； 包括：Netbill协议，SET协议，SSL协议等； 包括：数字摘要，数字签名，数字凭证，CA认证等；
1.2 电子商务的几种安全技术
1.2.4 PKI技术
PKI(公开密钥基础设施)是利用公钥算法原理和技术为网上通信提 供通用安全服务的基础设施。它为电子商务、电子政务、网上银行证 券等提供一整套安全基础平台。 PKI采用证书管理公钥，即结合X．509标准中的鉴别框架 (Authentication Framework)来实现密钥管理．通过CA把用户的公钥 及其他标识信息捆绑在一起，在Internet上验证用户的身份，保证网上 数据的保密性和完整性。 PKI的核心元素是数字证书，其核心执行者是认证机构。有关数字 证书服务的应用，实施是广泛开展电子商务的基本前提，电子商务的 深入开展离不开数字证书技术和认证机构的正确督导。
商务交易安全
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的 各种安全问题，在计算机网络安全的基础上，保障以电子交易和电 子支付为核心的电子商务的顺利进行。即实现电子商务保密性、 完整性、可鉴别性、不可伪造性和不可抵赖性等。
1.1 电子商务安全概况
电子商务安全与网络安全
信息安全 互联网安全 网络安全 密码安全
LOGO
电子商务安全
第一章电子商务安全概述
本章主要内容
本章主要介绍电子商务安全概念的核心内涵，以及当前电子商 务的安全环境，即面临的威胁、安全要素、安全技术、安全体系结 构和安全相关标准等。
电子商务的概念
电子商务(Electronic Commerce)是指政府、企业和个人利用现 代电子计算机与网络技术实现商业交换和行政管理的全过程；它是 一种基于互联网，以交易双方为主体，以银行电子支付结算为手段， 以客户数据为依托的全新商务模式。
1.1 电子商务安全概况
1.1.3 电子商务安全要素
保密性、完整性、认证性、不可否认性、不可拒绝性和访问控制性． 保密性 商务数据的保密性（Confidentiality）是指信息在网络上传输或存 储的过程中不被他人窃取、不被泄露给未经授权的人或组织，或者 经过加密伪装后，使未经授权者无法了解其内容。 完整性 商务数据的完整性（Integrity）是指保护数据的一致性，防止数 据被未授权者修改、建立、嵌入、删除、重复发送或由于其他原因 使原始数据被更改。 认证性 商务对象的认证性(Authentication)或称真实性是指网络两端的使用 者在通信之前相互确认对方的身份，保证交易方确实存在，而并非 有人假冒。
同时，电子商务安全又有它自身的特殊性，即以电子交易安全和电 子支付安全为核心，有更复杂的机密性概念，更严格的身份认证功能，对 不可拒绝性有新的要求，需要有法律依据性和货币直接流通性特点，还要 网络设有的其他服务(如数字时间戳服务)等。
1.1 电子商务安全概况
电子商务安全四大特性
1．电子商务安全是一个系统概念
4．电子商务安全是发展的、动态的
今天安全，明天就不一定安全，没有一劳永逸的安全，也没有一蹴而就的 安全。
1.1 电子商务安全概况
1.1.2电子商务面临的安全威胁
对客户机的安全威胁 1、动态内容 2、相关技术或机制 (1)cookie (2)邮件通讯簿 (3)信息隐蔽对通信信道的安全威胁 对通信信道的安全威胁 1、搭线窃听 2、 IP欺骗 3、 IP源端路由选择 4、目标扫描 对服务器的安全威胁 1 、WWW服务器 2 、数据库服务器 3 、 CGI 4 、 ASP 5 、邮件炸弹 6 、溢出攻击 7 、口令破译
加密技术层 网络服务层
包括：对称加密，非对称加密等； 包括：网络隐患扫描，网络安全监控，内容识别，病 毒防治，防火墙等。
表1－1 电子商务安全体系结构
1.4 电子商务安全相关标准
1990年欧洲信息技术 评估准则（ITSEC）
1985年美国 可信计算机系统 评价准则（TCSEC） 1990年加拿大可信 计算机产品评估准则 （CTCPEC）