第五章 电子商务安全技术
电子商务技术 第5章 电子商务安全技术
电子商务技术第5章电子商务安全技术在当今数字化的商业世界中,电子商务已经成为经济发展的重要引擎。
然而,随着电子商务的迅速发展,安全问题也日益凸显。
电子商务安全技术就如同守护宝库的门锁,至关重要。
首先,让我们来理解一下什么是电子商务安全。
简单来说,它指的是在电子商务交易过程中,保障交易各方的信息不被泄露、篡改、假冒,确保交易的完整性、保密性、可用性、不可否认性和可控性。
信息保密性是电子商务安全的重要方面。
这意味着只有授权的人员能够访问和读取相关的信息。
想象一下,如果客户的信用卡信息、个人地址等敏感信息被未经授权的人获取,那将带来多么严重的后果。
为了实现信息保密性,通常会采用加密技术。
就好像给重要的信息加上了一把只有特定钥匙才能打开的锁。
常见的加密算法有对称加密和非对称加密。
对称加密速度快,但密钥管理相对复杂;非对称加密安全性更高,但计算开销较大。
在实际应用中,常常会根据具体情况选择合适的加密方式,或者将两者结合使用。
交易完整性也是不容忽视的一点。
它确保交易数据在传输和存储过程中不被篡改。
比如,在购买商品时,订单的金额、商品数量等信息必须准确无误。
为了保证完整性,会使用数字签名、消息认证码等技术。
数字签名就像是信息的指纹,能够验证信息是否被篡改过。
不可否认性则保证了交易的各方不能否认自己参与了交易。
在现实生活中,就好比签了合同不能反悔一样。
通过数字证书、时间戳等技术,可以实现不可否认性。
数字证书就像是一个电子身份证,证明了交易方的身份和其在交易中的行为。
可用性确保电子商务系统能够正常运行,不会因为攻击或故障而中断服务。
这就需要有可靠的网络架构、备份和恢复机制。
比如,电商网站要能够承受大量用户同时访问,服务器不能轻易崩溃;万一出现数据丢失,要有备份数据能够及时恢复,以保证用户能够随时进行购物和交易。
接下来,我们看看常见的电子商务安全威胁。
病毒和恶意软件是其中之一,它们可能会窃取用户信息、破坏系统。
网络钓鱼则是通过伪装成合法的网站或邮件,骗取用户的敏感信息。
2024电子商务安全技术
编号:__________ 2024电子商务安全技术甲方:___________________乙方:___________________签订日期:_____年_____月_____日2024电子商务安全技术合同目录第一章:合同主体及定义1.1 甲方名称及地址1.2 乙方名称及地址1.3 合同术语定义第二章:电子商务安全技术服务内容2.1 安全评估与咨询2.1.1 网络安全评估2.1.2 应用系统安全评估2.1.3 数据安全与隐私保护2.1.4 安全合规性咨询2.2 安全防护体系建设2.2.1 安全防护策略制定2.2.2 安全设备部署与维护2.2.3 安全监控与预警2.2.4 安全事件应急响应2.3 安全培训与技术支持2.3.1 员工安全意识培训2.3.2 技术支持与维护服务2.3.3 安全技术更新与升级2.3.4 安全漏洞修复与防护2.4 安全审计与合规检查2.4.1 定期安全审计2.4.2 合规性检查与整改2.4.3 安全合规文档编写与归档第三章:合同期限与服务费用3.1 合同期限3.1.1 服务开始日期3.1.2 服务结束日期3.2 服务费用3.2.1 服务费用总额3.2.2 付款方式与周期3.2.3 费用调整机制第四章:技术支持与维护服务4.1 技术支持服务内容4.1.1 安全设备维护4.1.2 安全系统升级4.1.3 安全事件处理与应急响应4.2 维护服务时间4.2.1 常规维护服务时间4.2.2 应急响应服务时间第五章:安全事件应急响应5.1 安全事件报告与处置5.1.1 安全事件报告流程5.1.2 安全事件处置流程5.2 安全事件应急预案5.2.1 应急预案制定5.2.2 应急预案演练与评估第六章:保密与知识产权6.1 保密义务6.1.1 保密信息范围6.1.2 保密期限6.1.3 保密措施与责任6.2 知识产权保护6.2.1 技术成果归属6.2.2 专利与著作权保护6.2.3 侵权责任与维权第七章:违约责任与赔偿7.1 违约行为及责任7.1.1 甲方违约行为7.1.2 乙方违约行为7.2 赔偿金额与方式7.2.1 赔偿金额计算7.2.2 赔偿方式与期限第八章:争议解决8.1 争议解决方式8.1.1 协商解决8.1.2 调解解决8.1.3 仲裁解决8.1.4 诉讼解决8.2 争议解决地点与适用法律第九章:合同的生效、变更与终止9.1 合同生效条件9.2 合同变更9.2.1 变更条件9.2.2 变更程序9.3 合同终止9.3.1 终止条件9.3.2 终止程序9.4 合同解除9.4.1 解除条件9.4.2 解除程序第十章:双方的权利与义务10.1 甲方的权利与义务10.2 乙方的权利与义务第十一章:信息安全风险评估与控制11.1 风险评估方法与流程11.2 风险控制措施与实施第十二章:网络安全防护技术12.1 防火墙与入侵检测系统12.2 数据加密与安全传输12.3 病毒防护与恶意代码清理12.4 安全审计与日志分析第十三章:应用系统安全技术13.1 身份认证与权限控制13.2 应用层安全防护13.3 安全开发与代码审计13.4 安全运维与监控第十四章:附则14.1 合同签订地点14.2 合同签订日期14.3 合同附件14.4 合同的保管与份数14.5 合同的修改与补充合同编号_________第一章:合同主体及定义1.1 甲方名称:_________地址:_________1.2 乙方名称:_________地址:_________1.3 合同术语定义:(此处列出合同中使用的专业术语及其定义)第二章:电子商务安全技术服务内容2.1 安全评估与咨询2.1.1 网络安全评估:乙方应对甲方的网络安全进行评估,并提供评估报告。
第5章电子商务安全技术
• 网上交易的双方很可能素昧平生,相隔千里。要使 交易成功,首先要能确认对方的身份,对商家要考 虑客户端不能是骗子,而客户也会担心网上的商店 不是一个玩弄欺诈的黑店。因此能方便而可靠地确 认对方身份是交易的前提。
5.1 电子商务安全概述
• (3)不可否认性 • 由于商情的千变万化,交易一旦达成是不能被否认的。否则
5.2 信息安全技术
• (12)内部攻击 • 内部攻击是指被授权以某一目的的使用某一系统或资源的某个个人,却将此权
限用于其他非授权的目的。 • (13)特洛伊木马 • 特洛伊木马是指软件中含有一个察觉不出的或者无害的程序段,当其被执行时,
会破坏用户的安全。这种应用程序称为特洛伊木马(Trojan Horse)。 • (14)陷阱门 • 陷阱门是指在某个系统或某个部件中设置的“机关”,使得在特定的数据输入
资源被看作恶意访问,如有意避开系统访问控制机制,对网 络设备及资源进行非正常使用,或擅自扩大权限,越权访问 信息等。 • (3)自身失误 • 自身失误是指网络管理员或网络用户都拥有相应的权限,利 用这些权限破坏网络安全的可能性也是存在的。如操作口令 被泄露,磁盘上的机密文件被人利用及未将临时文件删除导 致重要信息被窃取,都有可能使网络安全机制失效,从内部 遭受严重破坏。 • (4)信息泄露 • 信息泄露是指信息被泄露或透露给某个非授权的实体。 • (5)破坏信息的完整性 • 破坏信息的完整性是指数据被非授权地进行增删、修改或破 坏而受到损失。
5.2 信息安全技术
• 2.信息安全的威胁
• 信息安全的威胁是指某个人、物、事件或概念对信息资源的 保密性、完整性、可用性或合法使用所造成的危险。攻击就 是对安全威胁的具体体现。目前还没有统一的方法来对各种 威胁进行分类,也没有统一的方法来对各种威胁加以区别。 信息安全所面临的威胁与环境密切相关,不同威胁的存在及 重要性是随环境的变化而变化的。下面给出一些常见的安全 威胁。
第五章 电子商务安全技术《电子商务基础与实务》PPT课件
,其输入为一可变长输入,返回一固定长度串,该串被称为输入的散列值(消息摘要)。 2.数字签名步骤 3.数字签名功能 4.数字签名的实施
5.3.3认证技术
1.CA的定义
第5章 电子商务安全技术
5.1电子商务安全概述
5.1.1电子商务中的风险
从整个电子商务系统着手分析,可以将电子商务的安全问题,归类为下面四类风险,即信息传输风险、 信用风险、管理风险以及法律方面风险。
1.信息传输风险 2.信用风险 3.管理方面的风险
5.1.2电子商务安全需求
电子商务面临的威胁的出现导致了对电子商务安全的需求,也是真正实现一个安全电子商务系统所要求 做到的各个方面,主要包括机密性、完整性、认证性、不可抵赖性和有效性。
3.混合加密技术
混合加密技术不是一种单一的加密技术,而是一个结合体,是上述两种数据加密技术相互结合的产物。 通信双方的通信过程分为两个部分,双方先利用非对称加密技术传送本次通信所用的对称密钥,然后再 用对称加密技术加密传送文件。
5.2.3密钥的管理 1.密钥的使用要注意时效和次数 2.多密钥的管理
1.SSL协议提供的安全服务 2.SSL协议的运行步骤 3.SSL协议的体系结构 4.SSL协议的安全措施
5.4.2 SET协议
安全电子交易规范(Secure Electronic Transaction,SET)是Visa和Master Card于1997年5月联合开发 的一个加密的安全规范,它具有很强的安全性。该规范由以前发表的若干协议形成,它们是STT(Visa /Microsoft)、SEPP(Master Card)和iKP协议族(IBM)。SET及其适合的诸协议是基于安全信用卡 协议的一个例子。
电子商务技术 第5章 电子商务安全技术共70页
2.防护措施
① 物理安全 ② 人员安全 ③ 管理安全 ④ 媒体安全 ⑤ 辐射安全 ⑥ 生命周期控制
人民邮电出版社
人民邮电出版社
3. 病毒 所谓病毒,是指一段可执行的程序代码,通过对其
他程序进行修改,可以“感染”这些程序,使它们成为 含有该病毒程序的一个拷贝。
人民邮电出版社
5.1.5 安全业务
在网络通信中,主要的安全防护措施被称作安全业务。有五 种通用的安全业务: ① 认证业务。提供某个实体(人或系统)身份的保证。 ② 访问控制业务。保护资源以防止对它的非法使用和操纵。 ③ 保密业务。保护信息不被泄露或暴露给非授权的实体。 ④ 数据完整性业务。保护数据以防止未经授权的增删、修改或 替代。 ⑤ 不可否认业务。防止参与某次通信交换的一方事后否认本次 交换曾经发生过。
人民邮电出版社
5.1.3 通信网络的安全策略 安全策略是一个很广的概念,安全策略有以下几个不同的
部分: ① 安全策略目标。它是某个机构对所要保护的特定资源要达 到的目的所进行的描述。 ② 机构安全策略。这是一套法律、规则及实际操作方法,用 于规范某个机构如何来管理、保护和分配资源以达到安全策略 的既定目标。 ③ 系统安全策略。它所描述的是如何支持此机构的安全策略 要求。
环境的演变密切相关的,其历程大体可以分为以下四个阶段。 ① 单机环境(Monolithic Mainframe Environment) ② 网络环境(Networked PC and Mainframe Environment)。 ③ 分布式环境(Distributed Computing Environment)。 ④ 协同计算环境(Cooperative Computing Environment)。
人民邮电出版社
第五章 电子商务安全技术
5.1.1电子商务中的安全隐患 5.1.1电子商务中的安全隐患
概率高
信息的截获和窃取:如消费者的银行 信息的截获和窃取: 控制 预防 账号、 账号、密码以及企业的商业机密等 I II 影响小 影响大 信息的篡改 III IV 不用理会 保险或 信息假冒:一种是伪造电子邮件, 信息假冒:一种是伪造电子邮件,一 备份计划 种为假冒他人身份 概率低 交易抵赖: 交易抵赖:事后否认曾经发送过某条 风险管理模型 信息或内容
8
3.计算机网络安全技术术 3.计算机网络安全技术术
病毒防范技术 身份识别技术 防火墙技术 虚拟专用网VPN技术 虚拟专用网 技术
9
5.2.2防火墙技术 5.2.2防火墙技术
1.概念 1.概念 防火墙是一种将内部网和公众网如Internet 防火墙是一种将内部网和公众网如Internet 分开的方法。 分开的方法。它能限制被保护的网络与互联网络 之间,或者与其他网络之间进行的信息存取、 之间,或者与其他网络之间进行的信息存取、传 递操作。 递操作。 防火墙可以作为不同网络或网络安全域之间 信息的出入口, 信息的出入口,能根据企业的安全策略控制出入 网络的信息流,且本身具有较强的抗攻击能力。 网络的信息流,且本身具有较强的抗攻击能力。 它是提供信息安全服务, 它是提供信息安全服务,实现网络和信息安 全的基础设施。 全的基础设施。
①防火墙不能组织来自内部的破坏 是根据所请求的应用对访问进行过滤的防火墙。 网关服务器是根据所请求的应用对访问进行过滤的防火墙。网关服
务器会限制诸如Telnet、FTP和HTTP等应用的访问。与包过滤技术不同 、 等应用的访问。 务器会限制诸如 和 等应用的访问 ,应用级的防火墙不是较低的IP层,而是在应用层来过滤请求和登陆。 应用级的防火墙不是较低的 层 而是在应用层来过滤请求和登陆。 代理服务器是代表某个专用网络同互联网进行通信的防火墙, 代理服务器是代表某个专用网络同互联网进行通信的防火墙,类似在股 ③防火墙无法完全防止新出现的网络威胁 东会上某人以你的名义代理你来投票。代理服务器也用于页面缓存。 东会上某人以你的名义代理你来投票。代理服务器也用于页面缓存。
2024年电子商务基础课件电子商务安全技术(含多场景)
电子商务基础课件电子商务安全技术(含多场景)电子商务基础课件:电子商务安全技术一、引言随着互联网的普及和信息技术的发展,电子商务作为一种新兴的商业模式,在我国得到了迅猛发展。
电子商务不仅改变了传统的商业模式,还为消费者、企业和政府带来了诸多便利。
然而,电子商务在带来便利的同时,也面临着诸多安全问题。
本文将重点介绍电子商务安全技术,为电子商务的健康发展提供保障。
二、电子商务安全概述1.电子商务安全的重要性电子商务安全是保障电子商务活动正常进行的基础,关系到消费者、企业和国家的利益。
电子商务安全主要包括数据安全、交易安全、身份认证、隐私保护等方面。
2.电子商务安全风险电子商务安全风险主要包括计算机病毒、网络攻击、数据泄露、交易诈骗等。
这些风险可能导致企业经济损失、消费者权益受损、国家信息安全受到威胁。
三、电子商务安全技术1.数据加密技术数据加密技术是保障电子商务数据安全的核心技术。
通过对数据进行加密处理,即使数据在传输过程中被窃取,也无法被非法分子解密获取真实信息。
常用的加密算法有对称加密算法(如AES、DES)和非对称加密算法(如RSA、ECC)。
2.数字签名技术数字签名技术用于验证信息的完整性和真实性,确保信息在传输过程中未被篡改。
数字签名技术基于公钥基础设施(PKI),主要包括数字证书、签名算法和验证算法等。
通过数字签名,接收方可以确认发送方的身份,并验证信息的完整性。
3.身份认证技术身份认证技术用于确认电子商务参与者的身份,防止非法分子冒充合法用户进行交易。
常用的身份认证技术有密码认证、生物识别认证、数字证书认证等。
其中,数字证书认证具有较高的安全性和可靠性,广泛应用于电子商务领域。
4.安全协议技术安全协议技术用于保障电子商务交易过程的安全。
常用的安全协议有SSL(安全套接字层)协议、SET(安全电子交易)协议、S/MIME(安全多用途网际邮件扩充协议)等。
这些协议通过加密、数字签名等手段,确保交易数据在传输过程中的安全。
第五章电子商务安全技术-精品
加密与解密变换是平等的,使用相同的密钥,而且 很容易从一个推导出另一个。
EK(M)=C,DK(C)=M
注意:由于加密、解密的密钥相同,因此必须妥善 保管,防止发送者与接收者之外的其他人获得,又称秘 密密钥。
2.2 加密机制
1. 对称加密机制
DES(数据加密标准)是一种分组加密算法。它对 64bit数据块进行加密。如果待加密数据更长的话,则 必须将其划分成64bit的数据块。最后一个数据块很可 能比64bit要短。在这种情况下,通常用0将最后一个数 据块填满(填充)。DES加密的结果仍然是64bit的数据 块。密钥长度为64bit(其中包含8个校验比特)。
1.3 电子商务基本安全技术
1、加密技术
对称密码体制 加密密钥与解密密钥是相同的。密钥必须通 过安全可靠的途径传递。由于密钥管理成为 影响系统安全的关键性因素,使它难以满足 系统的开放性要求。
非对称密码体制 把加密过程和解密过程设计成不同的途径, 当算法公开时,在计算上不可能由加密密钥 求得解密密钥,因而加密密钥可以公开,而 只需秘密保存解密密钥即可。
2)已知x1,计算y1=Hash(x1),构造x2使Hash(x2)=y1是困难的; 3)y=Hash(x),y的每一比特都与x的每一比特相关,并有高度敏 感性。即每改变x的一比特,都将对y产生明显影响。
2.1 数据完整性机制
数字摘要技术
消息摘要
2.1 数据完整性机制
数字摘要技术
消息验证
2.2 加密机制
1.3 电子商务基本安全技术
5. 虚拟专用网技术
VPN具体实现是采用隧道技术,将企业内的数据封 装在隧道中进行传输。
1.3 电子商务基本安全技术
6. 反病毒技术
《电子商务安全技术 》课件
SSL/TLS协议
建立加密通信连接的安全协议。
电子商务安全技术应用
防火墙
保护网络免受未授权访问和恶意攻击。
VPN
建立安全的远程连接,保护数据传输。
ID S/IPS
检测和阻止入侵行为,保护系统安全。
数据备份与恢复
确保数据丢失时能够快速恢复。
电子商务安全体系构建
1
安全策略规划
《电子商务安全技术 》 PPT课件
电子商务安全技术的PPT课件,全面介绍了电子商务安全背景、基础知识、应 用、体系构建、案例分析和未来发展趋势。
背景介绍
电子商务概述,安全威胁,以及安全技术的必要性。
电子商务安全基础知识
加密与解密
保护数据传输和存储的基本技术。
数字证书
验证通信方身份的加密凭证。
数字签名
总结成功实施安全措施的企业经验,为其他企业提供参考。
总结与展望
1 安全风险与挑战
探讨当前面临的安全风险 和挑战。
2 未来发展趋势
展望电子商务安全技术的 未来发展方向。
3 安全技术创新与应用
介绍当前前沿的安全技术 创新和应用案例。
2
制定适应业务需求的安全策略。
3
安全意识培训
4
提高员工的安全意识和应对能力。
5
建立安全管理机制
确保安全策略得到有效执行。
风险评估与漏洞扫描
识别和修复系统中的安全漏洞。
安全事件处置
快速响应和应对安全事件。
电子商务安全案例分析
遭受攻击的企业案例分析
分析曾遭受严重安全攻击的企业,探讨背后的原因和教训。
安全建设经验总结
电子商务安全技术PPT课件
以外的另外途径传递统一的密钥。
(2)当通信对象增多时,需要相应数量的
密钥。
(3)对称加密是建立在共同保守秘密的基
础之上的,在管理和分发密钥过程中,任
何一方的泄密都会造成密钥的失效,存在
着潜在的危险和复杂的管理难度。
.
15
明 加密 密 文 密钥A 文
密 解密 明 文 密钥A 文
发送方
接收方
图 对称密钥加解密的过程
.
24
1、认证机构的功能:核发证书、管理证书、 搜索证书、验证证书
(五)数字信封
用来保证只有规定的收信人才能阅读到 信的内容。
.
23
二、认证机构
认证机构担负着身份认证的重要职责, 主要包括三部分:注册服务器、注册管理机 构、证书管理机构。
我国的CA认证建设还处于起步阶段, 没有完整的统筹和协调,存在交叉认证的互 不兼容情况,急需一个全国性的、完整的和 层次性合理的CA基础设施为电子商务的发 展保驾护航。
第五章 电子商务安全技术
.
1
第一节 电子商务安全的概述
一、电子商务安全的概念
电子商务安全是一个系统的概念,不仅 与计算机信息网络系统有关,还与电子商务 应用的环境、人员素质和社会因素有关。它 是物理安全、网络安全、数据安全、信息内 容安全、信息基础设施安全与公共及国家信 息安全的总和。可从以下几方面来理解:
1、安全是一个系统的概念;
2、安全是相对的;
3、安全是有成本的和代价的;
4、安全是发展. 的、动态的。
2
二、电子商务的安全问题
1、电子商务中存在的安全问题
由于非法入侵者的侵入,造成商务信 息被篡改、盗窃或丢失;商业机密在传输 过程中被第三方获悉,甚至被恶意窃取、 篡改和破坏;虚假身份的交易对象及虚假 订单、合同;贸易对象的抵赖;由于计算 机系统故障对交易过程和商业信息安全所 造成的破坏。
电子商务安全技术课件PPT(33张)
2、电子商务的安全要素 (1)完整性 (2)机密性 (3)不可否认性 (4)真实性 (5)可靠性 (6)可用性
三、我国电子商务安全的现状 1、基础技术相对薄弱 2、体系结构不完整 3、支持产品不过硬 4、多种“威胁”纷杂交织、频频发
生
第二节 网络安全技术
一、操作系统安全
操作系统是计算机的核心软件,操作 操作系统是计算机的核心软件,操作系统的安全对计算机的安全起着至关重要的作用,操作系统的安全性主要是对外部攻击的防范,
(二)VPN的优势 安全通道 低成本 可扩展性 灵活性 便于管理服务质量保证
四、病毒防范技术
(一)计算机病毒定义
计算机病毒是一种人为编制的程序或 指令集合,这种程序能潜伏在计算机系统 中,并通过自我复制传播和扩散,在一定 条件下被激活,给计算机带来故障和破坏。
(二)计算机病毒的分类
引导区病毒、文件型病毒、复合型病毒、 宏病毒、特洛伊木马、蠕虫及其他病毒
(三)计算机病毒的特点 隐蔽性、传染性、潜伏性、 可激发性、 破坏性
(四)计算机病毒的防治方法 邮件; 4、使用外来磁盘前先查杀病毒; 5、备份重要数据。
第三节 信息安全技术
一、密码学概述 将明文数据进行某种变换,使其成为
不可理解的形式,这个过程就是加密,这种 不可理解的形式称为密文。解密是加密的逆 过程,即将密文还原成明文。
攻击的防范,保证数据的保密性、完整性 密钥是加密和加密所需的一串数字。
2、系统安全性攻击。 (1)从证书的使用者分类:
和可用性。 灵活性 便于管理 服务质量保证
5、备份重要数据。 一、电子商务安全的概念 (5)可靠性
(一)操作系统安全分类 (4)真实性
颁发数字证书单位的数字签名;
第五章-电子商务-安全技术PPT课件
对称加密技术 1)在首次通信前,双方必须通过除网络以外的另 外安全途径传递统一的密钥。 2)当通信对象增多时,需要相应数量的密钥。 3)对称加密是建立在共同保守秘密的基础之上的, 在管理和分发密钥过程中,任何一方的泄密都会造 成密钥的失效,存在着潜在的危险和复杂的管理难 度。
28
对称密匙(保密密匙)加密
7
网上流传的工商银行等金融机构数据泄漏事件 经有关部门对工商银行、民生银行、交通银行 的调查,证实银行系统并未被入侵,网上公布 的所谓数据与银行相关数据不符。网民IT客的 王某某从事网络推广工作,为了提高自己所在 网站的知名度和自我炒作,于2011年12月28 日在其个人的IT客网站和微博上凭空捏造,发 布所谓工商银行等网站用户数据泄漏的信息。 王某某已被公安机关予以训诫。
第六章 电子商务安全技术
网络世界是否是安全的? 引例: 网银的安全威胁:钓鱼网站幕后
1
本章主要内容: 电子商务安全要求与安全内容 防火墙等网络安全技术 加密技术和认证技术 SSL与SET
2
6.1 电子商务安全要求
6.1.1 电子商务所面临的安全问题 电子商务中的安全隐患可分为如下几类:
1.信息泄漏:如信息被截获和窃取 2.信息的篡改 3.身份识别问题:如信息假冒 4.交易抵赖 5.病毒问题和黑客问题
38
一种组合的加密协议
39
40
数字签名技术试图为我们解决电子交易中的一 个难题:身份识别问题,但如果只利用这一技 术,显然不能彻底解决问题。
例如:A收到带有B数字签名的文件, A 只能 判断出网络世界中声称是B的人 (或者是拥有B 的公有密钥和私有密钥的人)给他发出了这个文 件,并且文件在传输过程中没有遭到更改。
例:明文(记做m)为“important”, Key=3,则密文(记做C)则为 “LPSRUWDQW”。
05第五章电子商务安全技术精品PPT课件
➢1) 信息泄露
在电子商务中,表现为商业机密的泄漏。
➢2) 数据被非法窜改
在电子商务中表现为商业信息的真实性和完整性 的问题
别有用心者可能修改截获的数据,如把资金的数量、 货物的数量、交货方式等进行修改,这会严重地影响 电子商务的正常进行。
Slide 6
➢3) 身份识别问题
在电子商务中,由于交易非面对面进行,如果 安全措施不完善,无法对信息发送者或者接收 者的身份进行验证,那么别有用心者就有可能 冒充合法用户发送或者是接收信息,从而给合 法用户造成商务损失。
第五章 电子商务安全
Slide 1
主要内容
第一节 电子商务安全概述 第二节 电子商务安全机制 第三节 基于公开密钥体系的数字证书认
证技术 第四节 电子商务安全协议
Slide 2
作业
➢发一封加密邮件给我。
中国数字认证网的网址: 我的序列号: 7C25B2
7FF2C0 F39E 名称:liufxSlide 152 电子商务的基本安全要素
➢1) 有效性 ➢2) 机密性 ➢3) 完整性 ➢4) 可靠性/不可抵赖性/可鉴别性 ➢5) 审查能力
Slide 16
3 防火墙技术
➢防火墙是在内部网与外部网之间实施安全防 范的系统,可以被认为是一种访问控制机制, 用于确定哪些内部服务允许外部访问,以及 允许哪些外部服务允许内部访问。实现防火 墙技术的主要途径有:
Slide 11
➢从2003年1月25日中午开始,一种蠕虫病 毒在Internet上快速蔓延。美国一家网络 监测公司报告说,北美、欧洲和亚洲的因特 网交通均发生了大面积堵塞,估计至少有 2.2万个网络服务器遭到了病毒攻击,其中 受影响最严重的地区是欧洲北部、美国东部 和亚洲的一些地区。美国美洲银行称1.3万 台自动取款机瘫痪,大量银行客户无法使用 取款机取款。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5.1
电子商务安全概述
• (3)我国公安部计算机管理监察司的定义是“计 算机安全是指计算机资产安全,即计算机信息系统 资源和信息资源不受自然和人为有害因素的威胁和 危害。” • 计算机安全可分成三类,即保密、完整和即需。 • 保密是指防止未授权的数据暴露并确保数据源的可 靠性; • 完整是防止未经授权的数据修改; • 即需是防止延迟或拒绝服务。
5.1
电子商务安全概述
• 3.建立电子商务安全保障体系,提升用户信任度 的途径 • 提升用户信任度可从以下几个途径展开。 • (1)技术途径 • ① 明确电子商务安全体系结构。 • ② 充分发挥电子商务安全协议作用。 • ③ 增强人们对电子商务的信任度,必须加强计算 机的安全技术。 • (2)管理途径 • ① 建立网络品牌的信任度。 • ② 完善电子商务安全管理制度。 • ③ 鼓励研究开发先进的电子商务安全技术产品。
5.1
电子商务安全概述
• (4)假造 • 假造是指未经授权将假造数据放入系统中,这是 对数据的真实性的攻击。例如,在网络上假造身 份证明文件以假冒他人。 • 3.计算机信息系统面临的威胁 • (1)自然灾害 • (2)黑客的威胁和攻击 • (3)计算机病毒 • (4)垃圾邮件和间谍软件 • (5)信息战的严重威胁 • (6)计算机犯罪
5.1
电子商务安全概述
• (3)不可否认性 • 由于商情的千变万化,交易一旦达成是不能被否认的。否则 必然会损害一方的利益。例如订购黄金,订货时金价较低, 但收到订单后,金价上涨了,如收单方能滞认收到订单的实 际时间,甚至否认收到订单的事实,则订货方就会蒙受损失。 因此电子交易通信过程的各个环节都必须是不可否认的。 • (4)不可修改性 • 交易的文件是不可被修改的,例如,上例所举的订购黄金。 供货单位在收到订单后,发现金价大幅上涨了,如其能改动 文件内容,将订购数1吨改为1克,则可大幅受益,那么订货 单位可能就会因此而蒙受损失。因此电子交易文件也要能做 到不可修改,以保障交易的严肃和公正。
5.1
电子商务安全概述
• 2.用户信任度分析 • 用户的信任度对于一般的公司而言,无庸置疑,是十分重要 的,同样对于目前大多数商业化程度较高的网站而言,网民 的信任是不可忽视的。 • 但是要注意的是,网络的虚幻也在一定程度上增加了虚假的 可能性,从而在某种程度会使用户产生不信任感,在中国, 人们对于传统媒体的信任程度要高于对网络媒体的信任程度。 • 无论是在网上还是在网下进行商业运作,信任总是一个不可 缺少的重要组成部分。 • 消费者必须要对商家产生信任感才会进行消费。网络业务的 拓展速度几乎和消费者对网络公司失去信任的速度相当。根 据有关调查报告显示,只有10%的消费者认为网络购物是不 存在风险的;23%的用户认为他们受到过骇客的攻击,16%的 用户认为他们的私人信息未经授权就会被用作商业用途。
5.2 信息安全技术
• 5.2.1 信息安全技术概述 • 1.信息安全的概念 • “安全”一词的基本含义为:“远离危险的状态或特性”, 或“主观上不存在威胁,主观上不存在恐惧”。在各个领域 都存在着安全问题,安全问题是普遍存在的。随着计算机网 络的迅速发展,人们对信息的存储、处理和传递过程中涉及 的安全问题越来越关注,信息领域的安全问题变得非常突出。 • 信息安全是一个广泛而抽象的概念,不同领域不同方面对其 概念的阐述都会有所不同。建立在网络基础之上的现代信息 系统,其安全定义较为明确,那就是:保护信息系统的硬件、 软件及相关数据,使之不因为偶然或者恶意侵犯而遭受破坏、 更改及泄露,保证信息系统能够连续、可靠、正常地运行。 在商业和经济领域,信息安全主要强调的是消减并控制风险, 保持业务操作的连续性,并将风险造成的损失和影响降低到 最低程度。
5.2 信息安全技术
• • • • • • (6)拒绝服务 拒绝服务是指对信息或其他资源的合法访问被无缘无故拒绝。 (7)非法使用 非法使用是指某一资源被某个非授权的人,或以非授权的方式使用。 (8)窃听 窃听是指用各种可能的合法或非法的手段窃取系统中的信息资源和敏感 信息。 (9)业务流分析 业务流分析是指通过对系统进行长期监听,利用统计分析方法对诸如通 信频度、通信问题的变化等参数进行研究,从中发现有价值的信息和规 律。 (10)假冒 假冒是指通过欺骗通信系统达到非法用户冒充成为合法用户,或者特权 小的用户冒充成特权大的用户的目的。 (11)旁路控制 旁路控制是指攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非 授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应该保密, 但是却又暴露出来的一些系统“特性”,利用这些“特性”,攻击者可 以绕过防线守卫者侵入到系统的内部。
5.1
• • • • • • •
电子商务安全概述
5.1.3 交易环境的安全性 1.交易中存在的主要安全问题 (1)信息在网络的传输过程中被截获 (2)传输的文件可能被篡改 (3)假冒他人身份 (4)伪造电子邮件 (5)抵赖行为。①发信者事后否认曾经发送过某 条内容;②收信者事后否认曾经收到过某行消息或 内容;③购买者发出订货单后不承认;④商家卖出 的商品因价格差而不承认原有的交易。
5.1
电子商务安全概述
• ① 数字签名技术。在电子商务的安全保密系统中, 数字签名技术有着特别重要的地位,安全服务中的 源鉴别、完整性服务、不可否认服务,都要用到它。 • ② 身份识别技术。通过电子网络开展电子商务, 身份识别是一个不得不解决的问题。只有采取一定 的措施使商家可以确认对方的身份,商家才能放心 地开展电子商务。 • ③ 信息完整性校验。信息的完整性要靠信息认证 来实现,信息认证是信息的合法接受者对信息的真 伪进行判定的技术。
第五章 电子商务安全技术
学习目标 1.掌握电子商务安全的概念; 2.掌握古典加密学理论和方法; 3.掌握数字证书概念; 4.掌握身份认证概念; 5.掌握生理特征识别概念; 6.掌握防火墙概念。
5.1
电子商务安全概述
• 5.1.1 电子商务面临的安全问题 • 1.计算机安全问题 • (1)国际标准化委员会的定义是“为数据处理系 统和采取的技术的和管理的安全保护,保护计算机 硬件、软件、数据不因偶然的或恶意的原因而遭到 破坏、更改、显露。” • (2)美国国防部国家计算机安全中心的定义是 “要讨论计算机安全首先必须讨论对安全需求的陈 述,......。一般说来,安全的系统会利用一些专 门的安全特性来控制对信息的访问,只有经过适当 授权的人,或者以这些人的名义进行的进程可以读、 写、创建和删除这些信息。”
5.1
电子商务安全概述
• (3)构造良好的法制环境 • ① 全球电子商务的持续发展将取决于合同法律框架 的制订。 • ② 从交易安全方面看,要制定一些相关的电子商务 法律。 • ③ 从电子支付方面看,也需要制定相应的法律。 • ④ 有关电子商务消费者权益保护的法律。 • ⑤ 有关保护个人隐私、秘密的法律。 •
5.1
• • • •
电子商务安全概述
5.1.2 电子商务对安全的基本要求 1.电子商务的安全控制要求 (1)信息保密性 交易中的商务信息均有保密的要求。例如,信用卡 的账号和用户名被人知悉,就可能被盗用,订货和 付款的信息被竞争对手获悉,就可能丧失商机。因 此在电子商务的信息传播中一般均有加密的要求。 • (2)交易者身份的确定性 • 网上交易的双方很可能素昧平生,相隔千里。要使 交易成功,首先要能确认对方的身份,对商家要考 虑客户端不能是骗子,而客户也会担心网上的商店 不是一个玩弄欺诈的黑店。因此能方便而可靠地确 认对方身份是交易的前提。
5.1
电子商务安全概述
• (6)安全管理队伍的建设 • 在计算机网络系统中,绝对的安全是不存在的,制 定健全的安全管理体制是计算机网络安全的重要保 证,只有通过网络管理人员与使用人员的共同努力, 运用一切可以使用的工具和技术,尽一切可能去控 制、减小一切非法的行为,尽可能地把不安全的因 素降到最低。
5 (1)中断 • 中断是指系统的部分组件遭受到破坏或使其不能发挥作用, 例如,切断系统主机对外的网络连接,使其无法使用,这是 对系统的可用性做攻击。 • (2)篡改 • 篡改是指系统资源被未经授权的人所取得,乃至篡改内容, 例如,在网络上传送的订单遭到任意改变,是对数据的正确 性的攻击。 • (3)介入 • 介入是指未经授权者授权取得系统的资源,其中的未经授权 者可以是一台计算机、一个人,或是一组程序,例如,利用 窃取网络上传送的机密数据,就是对数据机密生的攻击。
5.1
电子商务安全概述
• 2.计算机网络安全防范策略 • (1)防火墙技术 • 防火墙是网络安全的屏障,配置防火墙是实现网络安全最基 本、最经济、最有效的安全措施之一。 • (2)数据加密与用户授权访问控制技术 • 与防火墙相比,数据加密与用户授权访问控制技术比较灵活, 更加适用于开放的网络。用户授权访问控制主要用于对静态 信息的保护,需要系统级别的支持,一般在操作系统中实现。 • (3)入侵检测技术 • 入侵检测技术是一种主动保护自己免受攻击的一种网络安全 技术。作为防火墙的合理补充,入侵检测技术能够帮助系统 对付网络攻击,扩展了系统管理员的安全管理能力(包括安 全审计、监视、攻击识别和响应),提高了信息安全基础结 构的完整性。
5.1
电子商务安全概述
• (4)防病毒技术 • 电脑病毒是令人头痛的问题,Internet的快速发展 使得病毒造成毁灭性的灾难成为可能。因此,防止 网络病毒问题是保障电子商务交易安全最重要的研 究课题之一。 • (5)认证技术 • 认证技术是保证电子商务安全的又一重要技术手段, 是防止信息被篡改、删除、重放和伪造的一种有效 方法,它使发送的消息具有被验证的能力,使接收 者能够识别和确认消息的真伪。
5.2 信息安全技术
• 2.信息安全的威胁 • 信息安全的威胁是指某个人、物、事件或概念对信息资源的 保密性、完整性、可用性或合法使用所造成的危险。攻击就 是对安全威胁的具体体现。目前还没有统一的方法来对各种 威胁进行分类,也没有统一的方法来对各种威胁加以区别。 信息安全所面临的威胁与环境密切相关,不同威胁的存在及 重要性是随环境的变化而变化的。下面给出一些常见的安全 威胁。 • (1)服务干扰 • 服务干扰是指以非法手段窃得对信息的使用权,恶意添加、 修改、插入、删除或重复某些无关信息,不断对网络信息服 务系统进行干扰,使系统响应减慢甚至瘫痪,影响用户的正 常使用,如一些不法分子在国外干扰我国正常卫星通信等。