电子商务信息安全技术(1)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防止信息在传输过程中丢失和重复以及 非法用户对信息的恶意篡改。 确保交易信息的真实性和交易双方身份 的合法性 保证系统、数据和服务只能由合法人员 访问 有效防止通信或交易双方对已进行的业 务的否认 授权用户正常访问信息和资源时不被拒 绝,保证提供稳定的服务
[电子商务安全层次]
信息安全 互联网安全 计算机安全
密码安全
• 密码安全---由技术上提供强韧的密码系统及其正确应用来实 现,是通信安全的最核心部分。 • 计算机安全---计算机数据和程序文件不至被非授权人员,计
算机和程序访问,获取和修改,可以通过限制使用的物理范围, 利用特殊软件和安全功能构造来实现。
• 网络安全---通过物理设施的保护,软件及职员的安全防止非 授权的访问,偶发或蓄意的干扰或破坏。 • 信息安全---保护信息免遭非授权泄密或处理能力的丧失。
攻击的迹象。
“云安全(Cloud Security):通过 网状的大量客户端对网络中软件行为的 异常监测,获取互联网中木马、恶意程 序的最新信息,传送到Server端进行 自动分析和处理,再把病毒和木马的解 决方案分发到每一个客户端。 云安全技术应用后,识别和查杀病毒 不再仅仅依靠本地硬盘中的病毒库,而 是依靠庞大的网络服务,实时进行采集、 分析以及处理。整个互联网就是一个巨 大的“杀毒软件”,参与者越多,每个 参与者就越安全,整个互联网就会更安 全。
[电子商务的安全问题]
1.信息的截获和窃取 攻击者通过互联网、公共电话网在电磁波辐射范围内安装截获装置或 在数据包通过网关和路由器上截获数据,获取机密信息或通过对信息 流量、流向、通信频度和长度分析,推测出有用信息。 2.信息的篡改 当攻击者熟悉网络信息格式后,通过技术手段对网络传输信息中途修 改并发往目的地,破坏信息完整性。 3.信息假冒 当攻击者掌握网络信息数据规律或解密商务信息后,假冒合法用户或 发送假冒信息欺骗其他用户。 4.交易抵赖 交易抵赖包括多方面,如发信者事后否认曾发送信息、收信者事后否 认曾收到消息、购买者做了定货单不承认等。
Web Crawlers,Web Spider, Web Robot 一个自动提取网页的程序,它为搜索引擎从万维网上下载网页,是 搜索引擎的重要组成。传统爬虫从一个或若干初始网页的URL开始, 获得初始网页上的URL,在抓取网页的过程中,不断从当前页面上抽 取新的URL放入队列,直到满足系统的一定停止条件。
保 密 性
完 整 性
匿 名 性
赖不 性可 抵
有 效 性
性可 认 证
商务应用层
支付型、非支付型业务系统
安全协议层
SET、SSL、Netbill、S-HTTP协议等
安全认证层
CA认证、数字证书、数字签名、数字信封
加密技术层
对称、非对称加密、哈希函数等
网络服务层
防火墙、加密、漏洞扫描、入侵检测、安全审计
数字证书:也叫数字凭证、数字标识,用电子手段证实用户 身份及对网络资源的访问权限,可控制被查看的数据库, 提高总体保密性。交易支付过程中,参与各方必须利用认 证中心签发的数字证书证明身份。 安全认证机构:无论是数字时间戳服务还是数字证书发放, 都需要有权威性和公正性的第三方认证机构完成。CA是承 担网上安全交易认证服务、签发数字证书并确认用户身份 的企业性服务机构,受理数字证书的申请、签发及对数字 证书管理。
程序并恢复原文件的软件。另外要认真执行病毒定期清理制度,
可以清除处于潜伏期的病毒,防止病毒突然爆发,使计算机始 终处于良好工作状态。
【网络安全技术】
防火墙
安全策略,防止非法用户入侵 虚拟专用网(Virtual Private Network,VPN) 在公用网上创建隧道传输数据包 入侵检测系统(Intrusion Detection System,IDS) 对计算机网络或系统中的若干关键点收集信息并对其 进行分析,从中发现是否有违反安全策略的行为和被
云安全的概念提出后,曾引起了广泛的争议,许多人认为它 是伪命题。但事实胜于雄辩,云安全的发展像一阵风,瑞星、 趋势、卡巴斯基、MCAFEE、SYMANTEC、江民科技、 PANDA、金山、360安全卫士、等都推出了云安全解决方案。 瑞星基于云安全策略开发的2009新品,每天拦截数百万次木马 攻击。趋势科技云安全已经在全球建立了5大数据中心,几万 部在线服务器。
(1)电子商务安全是一个系统概念
技术+管理+社会道德+行为模式 (2)电子商务安全是相对的 不可能永远不受攻击、不出安全问题 (3)电子商务安全是有代价的 安全需要付出代价(成本、管理、维护、速度…), (4)电子商务安全是发展的、动态的 安全技术的敏感性、竞争性、对抗性很强,需要不断检查、 评估、调整。
1.1 电子商务安全概述 1.2 电子商务安全技术 1.3 电子商务安全体系结构 1.4 电子商务安全与其他领域的交融 1.5 安全标准与组织
[电子商务安全概念]
综合运用各种安全技术和设施保护电子商务中 交易各方的安全,包括保护其资源不受未经授
权的访问、使用、篡改或破坏,保证商务活动
顺利进行。
[电子商务安全特点]
逐步实现水、电、气三表出户统一管理,微机自动检测、 计量收费,银行自动划账。
第一章 绪论
1.1 电子商务安全概述 1.2 电子商务安全技术 1.3 电子商务安全体系结构 1.4 电子商务安全与其他领域的交融 1.5 安全标准与组织
【制定安全标准的组织】
【企业信息化】
SCM(Supply Chain Management) 供应链管理指的是从原料开始到成品最终消费的过程中, 供应商、中间商与用户之间连接的程序。 一个完全的自动化流程,以及如何将效率和效率提升到最 高,都是SCM追求的方向。 电子化采购(e-Procurement)即是SCM的一个例子。
第一章 绪论
1.1 电子商务安全概述
1.2电子商务安全技术 电子商务安全技术 1.2
1.3 电子商务安全体系结构 1.4 电子商务安全与其他领域的交融 1.5 安全标准与组织
【密码技术】
公钥和私钥 数字摘要
数字签名
数字时间戳
【认证技术】
认证是确认信息发送者的身份,验证信息完整性,确认信息在 传送或存储过程中未被篡改。
[电子商务安全需求]
术语 保密性(security) 完整性(integrity) 认证性(authenticity) 可控性(access control) 不可否认性(non-repudiation) 不可拒绝性(non-denial) 定义
保护机密信息不被非法存取以及信息在 传输过程中不被非法窃取。
政府办公业务 综合信息资源中心
各级政府办公业务 信息管理模块
政府部门办公业务 信息管理模块
面向社会公众 综合信息服务模块
【社会信息化】
世界政治 世界军事 世界经济 科学文化
国际组织信息、各国领导人和政府信息、各种法律 条文、各类政情动态和背景资料,能够直接被普通 网络化远程教育,给所有人都提供了不同于传统模 民众所访问、浏览查询和任意下载复制传播扩散; 式的学习方式;互联网本身提供了将科学文化瞬间 来自于社会各阶层、各行各业的普通大众的所需所 传遍世界各地的途径,只要拥有一台连接在互联网 “信息化战争”概念的提出与相关战略及战术理论 求所思所想,同样能够通过互联网被国际组织、国 上的个人计算机,就可以足不出户远程接触到人类 的形成;信息化军队的诞生与相关建制及指挥理论 家领导人及其各级政府、立法机构方便查询了解和 文明最优秀文化的代表著作;分布式运算(也称网 的形成;信息化作战武器的研发与相关应用及技术 用作决策参考。 格运算)利用全世界自愿参与的成千上万台个人电 保障理论的形成等。在我们已走过的当代世界史进 电子商务、银行互联、网上交易……最具代表性的 脑的闲置资源,通过互联网组合成模拟超级计算机, 程中,美国率先实践了信息化战争。 要数手机短信,在产生巨大经济效益的同时也在把 以承担庞大复杂的计算工作。 整个社会融入信息化的汪洋大海之中。
【社区信息化】
电子社区系统将为社区住户的日常生活提供各种便利,包 括订餐、租赁房屋、订票、家政服务等,涉及到人们衣食住 行等方方面面。
提供远程医疗的服务,住户在家就可实现保健咨询和疾病 的诊断,提高社区居民的身体素质。 物业管理系统可对写字楼、小区内的用户实施全新的物业 管理和服务。
住户可通过网络查询各项费用,提出维修申请及意见建议。
旅 游 资 源
…..
CA、支付网关、物流配送基础平台 电子商务基础平台 有线网络基础平台
无线网络基础平台 网络基础平台 PC PDA 移动电话 其他手持设备
技 术 标 准 与 安 全 协 议
电子商务总体框架图
业务应用系统 (应用层)
支付型电子商务业务
SET协议
非SET协议
非支付型电子 商务业务
电子商务支付网关
ERP( Enterprise Resource Planning ) 企业资源计划系统是一组将企业的制造、库存、财务、销售、 配销及其他相关功能达成平衡的应用软件程序,是目前设计最 成熟的数据库程序,不但可以整个企业资源做最有效的全面性 整合规划,并且可以通过的及时反应特性,有效缩减企业自身 内部的作业时间。 ERP系统整合规划了企业的所有资源,达到了资源分配最佳化 的目标。所谓的资源包括:生产计划、人力资源、财务、会计 等。
安全协议:SSL、SET等 电子商务基础平台 (中间层) 数字认证:数字证书、数字签名等 加密算法:对称、非对称加密、Hash函数
网络基础平台 (网络层)
电子商务综合接入平台:Internet、 GSM/CDMA、WLAN(Wireless Local Area Network)等
电子商务系统框架图
第一章 绪论
1.1 电子商务安全概述 1.2 电子商务安全技术 1.3 1.3电子商务安全体系结构 电子商务安全体系结构 1.4 电子商务安全与其他领域的交融 1.5 安全标准与组织
相 关 政 策 法 律 法 规
远 程 教 育
股 市 交 易
便 社 政 企 网 民 区 务 业 上 电子商务应用系统 服 事 公 平 银 务 务 开 台 行
【防病毒技术】
预防病毒技术:通过自身常驻系统内存,优先获取系统控制权, 监视系统中是否有病毒,阻止计算机病毒进入计算机系统和对 系统破坏。 检测病毒技术:通过对计算机病毒特征进行判断的侦测技术, 如自身校验、关键字、文件长度变化。 消除病毒技术:通过对计算机病毒分析,开发出具有杀除病毒
电子商务安全体系结构图
第Hale Waihona Puke Baidu章 绪论
1.1 电子商务安全概述 1.2 电子商务安全技术 1.3 电子商务安全体系结构 1.4 电子商务安全与其他领域的交融 1.5 安全标准与组织
【政务信息化】
电子政务信息系统是一个基于网络的,符合Internet 技术标准的面向政府机关内部、其它政府机构、企业 以及社会公众的信息服务和信息处理系统。
“蜜网项目组”(The Honeynet Project)的创始人
Lance Spitzner给出了对蜜罐的权威定义:蜜罐是一种安全 资源,其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐
并无其他实际作用,因此所有流入/流出蜜罐的网络流量都可
能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这 些攻击活动进行监视、检测和分析。
CRM(Customer Relation Management)
客户关系管理指用计算机自动化分析销售、市场营销、客户 服务以及应用支持等流程的软件系统。
主要作用表现在协助业主更有效率地掌握住顾客特征,通过 了解既有的顾客,进而开发新产品或开辟新市场以吸引可能 最大获利的潜在顾客;传递最合乎顾客需求的产品及服务给 顾客,以确保顾客对品牌或产品的忠诚度。
趋势科技综合应用各种技术和数据收集方式——包括“蜜 罐”、网络蜘蛛、客户和合作伙伴内容提交、反馈回路以及 TrendLabs威胁研究。服务和支持中心对威胁数据进行分析。
“蜜罐”这一概念最初出现在1990 年出版的一本小说
《The Cuckoo’s Egg》 中,在这本小说中描述了作者作为
一个公司的网络管理员,如何追踪并发现一起商业间谍案的 故事。
[电子商务安全层次]
信息安全 互联网安全 计算机安全
密码安全
• 密码安全---由技术上提供强韧的密码系统及其正确应用来实 现,是通信安全的最核心部分。 • 计算机安全---计算机数据和程序文件不至被非授权人员,计
算机和程序访问,获取和修改,可以通过限制使用的物理范围, 利用特殊软件和安全功能构造来实现。
• 网络安全---通过物理设施的保护,软件及职员的安全防止非 授权的访问,偶发或蓄意的干扰或破坏。 • 信息安全---保护信息免遭非授权泄密或处理能力的丧失。
攻击的迹象。
“云安全(Cloud Security):通过 网状的大量客户端对网络中软件行为的 异常监测,获取互联网中木马、恶意程 序的最新信息,传送到Server端进行 自动分析和处理,再把病毒和木马的解 决方案分发到每一个客户端。 云安全技术应用后,识别和查杀病毒 不再仅仅依靠本地硬盘中的病毒库,而 是依靠庞大的网络服务,实时进行采集、 分析以及处理。整个互联网就是一个巨 大的“杀毒软件”,参与者越多,每个 参与者就越安全,整个互联网就会更安 全。
[电子商务的安全问题]
1.信息的截获和窃取 攻击者通过互联网、公共电话网在电磁波辐射范围内安装截获装置或 在数据包通过网关和路由器上截获数据,获取机密信息或通过对信息 流量、流向、通信频度和长度分析,推测出有用信息。 2.信息的篡改 当攻击者熟悉网络信息格式后,通过技术手段对网络传输信息中途修 改并发往目的地,破坏信息完整性。 3.信息假冒 当攻击者掌握网络信息数据规律或解密商务信息后,假冒合法用户或 发送假冒信息欺骗其他用户。 4.交易抵赖 交易抵赖包括多方面,如发信者事后否认曾发送信息、收信者事后否 认曾收到消息、购买者做了定货单不承认等。
Web Crawlers,Web Spider, Web Robot 一个自动提取网页的程序,它为搜索引擎从万维网上下载网页,是 搜索引擎的重要组成。传统爬虫从一个或若干初始网页的URL开始, 获得初始网页上的URL,在抓取网页的过程中,不断从当前页面上抽 取新的URL放入队列,直到满足系统的一定停止条件。
保 密 性
完 整 性
匿 名 性
赖不 性可 抵
有 效 性
性可 认 证
商务应用层
支付型、非支付型业务系统
安全协议层
SET、SSL、Netbill、S-HTTP协议等
安全认证层
CA认证、数字证书、数字签名、数字信封
加密技术层
对称、非对称加密、哈希函数等
网络服务层
防火墙、加密、漏洞扫描、入侵检测、安全审计
数字证书:也叫数字凭证、数字标识,用电子手段证实用户 身份及对网络资源的访问权限,可控制被查看的数据库, 提高总体保密性。交易支付过程中,参与各方必须利用认 证中心签发的数字证书证明身份。 安全认证机构:无论是数字时间戳服务还是数字证书发放, 都需要有权威性和公正性的第三方认证机构完成。CA是承 担网上安全交易认证服务、签发数字证书并确认用户身份 的企业性服务机构,受理数字证书的申请、签发及对数字 证书管理。
程序并恢复原文件的软件。另外要认真执行病毒定期清理制度,
可以清除处于潜伏期的病毒,防止病毒突然爆发,使计算机始 终处于良好工作状态。
【网络安全技术】
防火墙
安全策略,防止非法用户入侵 虚拟专用网(Virtual Private Network,VPN) 在公用网上创建隧道传输数据包 入侵检测系统(Intrusion Detection System,IDS) 对计算机网络或系统中的若干关键点收集信息并对其 进行分析,从中发现是否有违反安全策略的行为和被
云安全的概念提出后,曾引起了广泛的争议,许多人认为它 是伪命题。但事实胜于雄辩,云安全的发展像一阵风,瑞星、 趋势、卡巴斯基、MCAFEE、SYMANTEC、江民科技、 PANDA、金山、360安全卫士、等都推出了云安全解决方案。 瑞星基于云安全策略开发的2009新品,每天拦截数百万次木马 攻击。趋势科技云安全已经在全球建立了5大数据中心,几万 部在线服务器。
(1)电子商务安全是一个系统概念
技术+管理+社会道德+行为模式 (2)电子商务安全是相对的 不可能永远不受攻击、不出安全问题 (3)电子商务安全是有代价的 安全需要付出代价(成本、管理、维护、速度…), (4)电子商务安全是发展的、动态的 安全技术的敏感性、竞争性、对抗性很强,需要不断检查、 评估、调整。
1.1 电子商务安全概述 1.2 电子商务安全技术 1.3 电子商务安全体系结构 1.4 电子商务安全与其他领域的交融 1.5 安全标准与组织
[电子商务安全概念]
综合运用各种安全技术和设施保护电子商务中 交易各方的安全,包括保护其资源不受未经授
权的访问、使用、篡改或破坏,保证商务活动
顺利进行。
[电子商务安全特点]
逐步实现水、电、气三表出户统一管理,微机自动检测、 计量收费,银行自动划账。
第一章 绪论
1.1 电子商务安全概述 1.2 电子商务安全技术 1.3 电子商务安全体系结构 1.4 电子商务安全与其他领域的交融 1.5 安全标准与组织
【制定安全标准的组织】
【企业信息化】
SCM(Supply Chain Management) 供应链管理指的是从原料开始到成品最终消费的过程中, 供应商、中间商与用户之间连接的程序。 一个完全的自动化流程,以及如何将效率和效率提升到最 高,都是SCM追求的方向。 电子化采购(e-Procurement)即是SCM的一个例子。
第一章 绪论
1.1 电子商务安全概述
1.2电子商务安全技术 电子商务安全技术 1.2
1.3 电子商务安全体系结构 1.4 电子商务安全与其他领域的交融 1.5 安全标准与组织
【密码技术】
公钥和私钥 数字摘要
数字签名
数字时间戳
【认证技术】
认证是确认信息发送者的身份,验证信息完整性,确认信息在 传送或存储过程中未被篡改。
[电子商务安全需求]
术语 保密性(security) 完整性(integrity) 认证性(authenticity) 可控性(access control) 不可否认性(non-repudiation) 不可拒绝性(non-denial) 定义
保护机密信息不被非法存取以及信息在 传输过程中不被非法窃取。
政府办公业务 综合信息资源中心
各级政府办公业务 信息管理模块
政府部门办公业务 信息管理模块
面向社会公众 综合信息服务模块
【社会信息化】
世界政治 世界军事 世界经济 科学文化
国际组织信息、各国领导人和政府信息、各种法律 条文、各类政情动态和背景资料,能够直接被普通 网络化远程教育,给所有人都提供了不同于传统模 民众所访问、浏览查询和任意下载复制传播扩散; 式的学习方式;互联网本身提供了将科学文化瞬间 来自于社会各阶层、各行各业的普通大众的所需所 传遍世界各地的途径,只要拥有一台连接在互联网 “信息化战争”概念的提出与相关战略及战术理论 求所思所想,同样能够通过互联网被国际组织、国 上的个人计算机,就可以足不出户远程接触到人类 的形成;信息化军队的诞生与相关建制及指挥理论 家领导人及其各级政府、立法机构方便查询了解和 文明最优秀文化的代表著作;分布式运算(也称网 的形成;信息化作战武器的研发与相关应用及技术 用作决策参考。 格运算)利用全世界自愿参与的成千上万台个人电 保障理论的形成等。在我们已走过的当代世界史进 电子商务、银行互联、网上交易……最具代表性的 脑的闲置资源,通过互联网组合成模拟超级计算机, 程中,美国率先实践了信息化战争。 要数手机短信,在产生巨大经济效益的同时也在把 以承担庞大复杂的计算工作。 整个社会融入信息化的汪洋大海之中。
【社区信息化】
电子社区系统将为社区住户的日常生活提供各种便利,包 括订餐、租赁房屋、订票、家政服务等,涉及到人们衣食住 行等方方面面。
提供远程医疗的服务,住户在家就可实现保健咨询和疾病 的诊断,提高社区居民的身体素质。 物业管理系统可对写字楼、小区内的用户实施全新的物业 管理和服务。
住户可通过网络查询各项费用,提出维修申请及意见建议。
旅 游 资 源
…..
CA、支付网关、物流配送基础平台 电子商务基础平台 有线网络基础平台
无线网络基础平台 网络基础平台 PC PDA 移动电话 其他手持设备
技 术 标 准 与 安 全 协 议
电子商务总体框架图
业务应用系统 (应用层)
支付型电子商务业务
SET协议
非SET协议
非支付型电子 商务业务
电子商务支付网关
ERP( Enterprise Resource Planning ) 企业资源计划系统是一组将企业的制造、库存、财务、销售、 配销及其他相关功能达成平衡的应用软件程序,是目前设计最 成熟的数据库程序,不但可以整个企业资源做最有效的全面性 整合规划,并且可以通过的及时反应特性,有效缩减企业自身 内部的作业时间。 ERP系统整合规划了企业的所有资源,达到了资源分配最佳化 的目标。所谓的资源包括:生产计划、人力资源、财务、会计 等。
安全协议:SSL、SET等 电子商务基础平台 (中间层) 数字认证:数字证书、数字签名等 加密算法:对称、非对称加密、Hash函数
网络基础平台 (网络层)
电子商务综合接入平台:Internet、 GSM/CDMA、WLAN(Wireless Local Area Network)等
电子商务系统框架图
第一章 绪论
1.1 电子商务安全概述 1.2 电子商务安全技术 1.3 1.3电子商务安全体系结构 电子商务安全体系结构 1.4 电子商务安全与其他领域的交融 1.5 安全标准与组织
相 关 政 策 法 律 法 规
远 程 教 育
股 市 交 易
便 社 政 企 网 民 区 务 业 上 电子商务应用系统 服 事 公 平 银 务 务 开 台 行
【防病毒技术】
预防病毒技术:通过自身常驻系统内存,优先获取系统控制权, 监视系统中是否有病毒,阻止计算机病毒进入计算机系统和对 系统破坏。 检测病毒技术:通过对计算机病毒特征进行判断的侦测技术, 如自身校验、关键字、文件长度变化。 消除病毒技术:通过对计算机病毒分析,开发出具有杀除病毒
电子商务安全体系结构图
第Hale Waihona Puke Baidu章 绪论
1.1 电子商务安全概述 1.2 电子商务安全技术 1.3 电子商务安全体系结构 1.4 电子商务安全与其他领域的交融 1.5 安全标准与组织
【政务信息化】
电子政务信息系统是一个基于网络的,符合Internet 技术标准的面向政府机关内部、其它政府机构、企业 以及社会公众的信息服务和信息处理系统。
“蜜网项目组”(The Honeynet Project)的创始人
Lance Spitzner给出了对蜜罐的权威定义:蜜罐是一种安全 资源,其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐
并无其他实际作用,因此所有流入/流出蜜罐的网络流量都可
能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这 些攻击活动进行监视、检测和分析。
CRM(Customer Relation Management)
客户关系管理指用计算机自动化分析销售、市场营销、客户 服务以及应用支持等流程的软件系统。
主要作用表现在协助业主更有效率地掌握住顾客特征,通过 了解既有的顾客,进而开发新产品或开辟新市场以吸引可能 最大获利的潜在顾客;传递最合乎顾客需求的产品及服务给 顾客,以确保顾客对品牌或产品的忠诚度。
趋势科技综合应用各种技术和数据收集方式——包括“蜜 罐”、网络蜘蛛、客户和合作伙伴内容提交、反馈回路以及 TrendLabs威胁研究。服务和支持中心对威胁数据进行分析。
“蜜罐”这一概念最初出现在1990 年出版的一本小说
《The Cuckoo’s Egg》 中,在这本小说中描述了作者作为
一个公司的网络管理员,如何追踪并发现一起商业间谍案的 故事。