电子商务安全需求与应对措施.pptx
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
保证安全性和双方身份的合法性,只有确定身份后, 交易的纠纷,才得到有效的裁决。
电子商务安全对策是为了应对电子商务交易中, 面临的各种安全威胁而采取的管理和技术对策。
3.2.1电子交易的安全需求 3.2.2计算机网络系统的安全
电子商务安全问题的核心和关键是电子交易的 安全性,因此,下面首先讨论在Internet上进行商 务交易过程中的安全问题。由于Internet本身的开
物理实体的安全 自然灾害的威胁 黑客的恶意攻击 软件的漏洞和“后门” 网络协议的安全漏洞 计算机病毒的攻击
恶意攻击示意图
根据2007年美国网络安全企业赛门 铁克(Symantec)公司发布的研究报 告,美国是全球网络黑客的大本营, 其每年产生的恶意电脑攻击行为远 高于其他国家,占全球网络黑客攻 击行为总数的约31%。
例如,在电子贸易中,乙给甲发了如下一份报 文:“请给丁汇100元钱。乙”。报文在报发过程
中经过了丙之手,丙就把“丁”改为“丙”。这样 甲收到后就成了“请给丙汇100元钱。乙”,结果 是丙而不是丁得到了100元钱。当乙得知丁未收到
钱时就去问甲,甲出示有乙签名的报文,乙发现报 文被篡改了。
交易的不可抵赖性是指交易双方在网上交易过程的 每个环节都不可否认其所发送和收到的交易信息, 又称不可否认性。
合法人介入系统、重放截获的合法消息实现非法目的,否认消息 的接入和发送等。
近年来,国内电子商务得到了蓬勃发展,但由 于技术不完善和管理不到位,安全隐患还很突出。
以上问题可以归结为两大部分:计算机网络安全和 商务交易安全。
计算机网络安全与商务交易安全实际上是密不可分 的,两者相辅相成,缺一不可。
上面所讨论的信息保密性,是针对网络面临的被动 攻击一类威胁而提出的安全需求,但它不能避免针 对网络所采用的主动攻击一类的威胁。
所谓被动攻击,就是不修改任何交易信息,但通过 截获、窃取、观察、监听、分析数据流和数据流式 获得有价值的情报。
而主动攻击就是篡改交易信息,破坏信息的完整性 和有效性,以达到非法的目的。
放性以及目前网络技术发展的局限性,使网上交易 面临着种种安全性威胁,也由此提出源自文库相应的安全 控制要求。
身份的可认证性是指交易双方在进行交易前应能鉴别 和确认对方的身份。
在传统的交易中,交易双方往往是面对面进行活动的, 这样很容易确认对方的身份。即使开始不熟悉、不能 确信对方,也可以通过对方的签名、印章、证书等一 系列有形的身份凭证来鉴别他的身份。
2013年4月,金山网络公开发布了《2012年度
计算机病毒及钓鱼网站统计报告》。金山毒霸安全 中心统计2012年共捕获病毒样本总量超过4200万 个,比上一年增长41.4%。病毒感染超过2.3亿台次, 比2011年下降14%。
电子商务为了保证网络上传递信息的安全,通常
采用加密的方法。但这是不够的,如何确定交易双方 的身份,如何获得通讯对方的公钥并且相信此公钥是 由某个身份确定的人拥有的,解决方法就是找一个大 家共同信任的第三方,即认证中心(Certificate Authority,CA)颁发电子证书。用户之间利用证书来
中断(攻击系统的可用性):破坏系统中的硬件、硬盘、线路、
文件系统等,使系统不能正常工作;
窃听(攻击系统的机密性):通过搭线与电磁泄漏等手段造成
泄密,或对业务流量进行分析,获取有用情报;
篡改(攻击系统的完整性):篡改系统中数据内容,修正消息
次序、时间(延时和重放) ;
伪造(攻击系统的真实性):将伪造的假消息注入系统,假冒
没有计算机网络安全作为基础,商务交易安全就犹 如空中楼阁,无从谈起。
没有商务交易安全保障,即使计算机网络本身再安 全,仍然无法达到电子商务所特有的安全要求。
由于网络天生的不安全性,特别是其网上支付领 域有着各种各样的交易风险。但无论是何种风险,其 根本原因都是由于登录密码或支付密码泄露造成的。 密码管理问题 网络病毒、木马问题 钓鱼平台 硬件数字认证
由于商情千变万化,交易合同一旦达成就不能抵赖。
在传统的贸易中,贸易双方通过在交易合同、契约 或贸易单据等书面文件上手写签名或印章,确定合 同、契约、单据的可靠性并预防抵赖行为的发生, 这也就是人们常说的“白纸黑字”。
在商务活动中,交易的文件是不可被修改的。在
传统的贸易中,可以通过合同字迹的技术鉴定等 措施来防止交易过程中出现的伪造行为,但在电 子交易中,由于没有书面的合同,因而无法采用 字迹的技术鉴定等传统手段来裁决是否发生了伪 造行为。
另外,在传统的交易中如果是采用电话进行通信,也 可以通过声音信号来识别对方身份。
信息的保密性是指对交换的信息进行加密保护,使 其在传输过程或存储过程中不被他人所识别。
在传统的贸易中,一般都是通过面对面的信息交换, 或者通过邮寄封装的信件或可靠的通信渠道发送商 业报文,达到保守商业机密的目的。
电子商务安全概述 电子商务的安全需求 电子商务安全技术与措施 电子商务安全认证机制 案例
3.1.1电子商务的安全威胁 3.1.2国内电子商务安全现状 3.1.3电子商务安全对策
在传统交易过程中,买卖双方是面对面的,因此 很容易保证交易过程的安全性和建立起信任关系。但 在电子商务过程中,买卖双方是通过网络来联系的, 彼此远隔千山万水,由于因特网既不安全,也不可信, 因而建立交易双方的安全和信任关系相当困难。电子 商务交易双方都面临不同的安全威胁。
电子商务是建立在一个开放的网络环境下,当交易 双方通过Internet交换信息时,因为Internet是一个 开放的公用互联网络,如果不采取适当的保密措施, 那么其他人就有可能知道他们的通信内容;
另外,存储在网络 的文件信息如果不加密的话,也 有可能被黑客窃取。
信息的完整性指确保信息在传输过程中的一致性, 并且不被未经授权者所篡改,也称不可修改性。
所谓黑客,现在一般泛指计算机信 息系统的非法入侵者。
黑客攻击目前成为计算机网络所面 临的最大威胁。
电子商务安全对策是为了应对电子商务交易中, 面临的各种安全威胁而采取的管理和技术对策。
3.2.1电子交易的安全需求 3.2.2计算机网络系统的安全
电子商务安全问题的核心和关键是电子交易的 安全性,因此,下面首先讨论在Internet上进行商 务交易过程中的安全问题。由于Internet本身的开
物理实体的安全 自然灾害的威胁 黑客的恶意攻击 软件的漏洞和“后门” 网络协议的安全漏洞 计算机病毒的攻击
恶意攻击示意图
根据2007年美国网络安全企业赛门 铁克(Symantec)公司发布的研究报 告,美国是全球网络黑客的大本营, 其每年产生的恶意电脑攻击行为远 高于其他国家,占全球网络黑客攻 击行为总数的约31%。
例如,在电子贸易中,乙给甲发了如下一份报 文:“请给丁汇100元钱。乙”。报文在报发过程
中经过了丙之手,丙就把“丁”改为“丙”。这样 甲收到后就成了“请给丙汇100元钱。乙”,结果 是丙而不是丁得到了100元钱。当乙得知丁未收到
钱时就去问甲,甲出示有乙签名的报文,乙发现报 文被篡改了。
交易的不可抵赖性是指交易双方在网上交易过程的 每个环节都不可否认其所发送和收到的交易信息, 又称不可否认性。
合法人介入系统、重放截获的合法消息实现非法目的,否认消息 的接入和发送等。
近年来,国内电子商务得到了蓬勃发展,但由 于技术不完善和管理不到位,安全隐患还很突出。
以上问题可以归结为两大部分:计算机网络安全和 商务交易安全。
计算机网络安全与商务交易安全实际上是密不可分 的,两者相辅相成,缺一不可。
上面所讨论的信息保密性,是针对网络面临的被动 攻击一类威胁而提出的安全需求,但它不能避免针 对网络所采用的主动攻击一类的威胁。
所谓被动攻击,就是不修改任何交易信息,但通过 截获、窃取、观察、监听、分析数据流和数据流式 获得有价值的情报。
而主动攻击就是篡改交易信息,破坏信息的完整性 和有效性,以达到非法的目的。
放性以及目前网络技术发展的局限性,使网上交易 面临着种种安全性威胁,也由此提出源自文库相应的安全 控制要求。
身份的可认证性是指交易双方在进行交易前应能鉴别 和确认对方的身份。
在传统的交易中,交易双方往往是面对面进行活动的, 这样很容易确认对方的身份。即使开始不熟悉、不能 确信对方,也可以通过对方的签名、印章、证书等一 系列有形的身份凭证来鉴别他的身份。
2013年4月,金山网络公开发布了《2012年度
计算机病毒及钓鱼网站统计报告》。金山毒霸安全 中心统计2012年共捕获病毒样本总量超过4200万 个,比上一年增长41.4%。病毒感染超过2.3亿台次, 比2011年下降14%。
电子商务为了保证网络上传递信息的安全,通常
采用加密的方法。但这是不够的,如何确定交易双方 的身份,如何获得通讯对方的公钥并且相信此公钥是 由某个身份确定的人拥有的,解决方法就是找一个大 家共同信任的第三方,即认证中心(Certificate Authority,CA)颁发电子证书。用户之间利用证书来
中断(攻击系统的可用性):破坏系统中的硬件、硬盘、线路、
文件系统等,使系统不能正常工作;
窃听(攻击系统的机密性):通过搭线与电磁泄漏等手段造成
泄密,或对业务流量进行分析,获取有用情报;
篡改(攻击系统的完整性):篡改系统中数据内容,修正消息
次序、时间(延时和重放) ;
伪造(攻击系统的真实性):将伪造的假消息注入系统,假冒
没有计算机网络安全作为基础,商务交易安全就犹 如空中楼阁,无从谈起。
没有商务交易安全保障,即使计算机网络本身再安 全,仍然无法达到电子商务所特有的安全要求。
由于网络天生的不安全性,特别是其网上支付领 域有着各种各样的交易风险。但无论是何种风险,其 根本原因都是由于登录密码或支付密码泄露造成的。 密码管理问题 网络病毒、木马问题 钓鱼平台 硬件数字认证
由于商情千变万化,交易合同一旦达成就不能抵赖。
在传统的贸易中,贸易双方通过在交易合同、契约 或贸易单据等书面文件上手写签名或印章,确定合 同、契约、单据的可靠性并预防抵赖行为的发生, 这也就是人们常说的“白纸黑字”。
在商务活动中,交易的文件是不可被修改的。在
传统的贸易中,可以通过合同字迹的技术鉴定等 措施来防止交易过程中出现的伪造行为,但在电 子交易中,由于没有书面的合同,因而无法采用 字迹的技术鉴定等传统手段来裁决是否发生了伪 造行为。
另外,在传统的交易中如果是采用电话进行通信,也 可以通过声音信号来识别对方身份。
信息的保密性是指对交换的信息进行加密保护,使 其在传输过程或存储过程中不被他人所识别。
在传统的贸易中,一般都是通过面对面的信息交换, 或者通过邮寄封装的信件或可靠的通信渠道发送商 业报文,达到保守商业机密的目的。
电子商务安全概述 电子商务的安全需求 电子商务安全技术与措施 电子商务安全认证机制 案例
3.1.1电子商务的安全威胁 3.1.2国内电子商务安全现状 3.1.3电子商务安全对策
在传统交易过程中,买卖双方是面对面的,因此 很容易保证交易过程的安全性和建立起信任关系。但 在电子商务过程中,买卖双方是通过网络来联系的, 彼此远隔千山万水,由于因特网既不安全,也不可信, 因而建立交易双方的安全和信任关系相当困难。电子 商务交易双方都面临不同的安全威胁。
电子商务是建立在一个开放的网络环境下,当交易 双方通过Internet交换信息时,因为Internet是一个 开放的公用互联网络,如果不采取适当的保密措施, 那么其他人就有可能知道他们的通信内容;
另外,存储在网络 的文件信息如果不加密的话,也 有可能被黑客窃取。
信息的完整性指确保信息在传输过程中的一致性, 并且不被未经授权者所篡改,也称不可修改性。
所谓黑客,现在一般泛指计算机信 息系统的非法入侵者。
黑客攻击目前成为计算机网络所面 临的最大威胁。