2020年电子商务的安全威胁及其措施参照模板
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
现在已有多种实现各种数字签名的方法,以下讨论采用公开 密钥加密技术实现的数字签名。它是公开密钥技术和报文分解 函数(MDF)的结合,主要方式是:报文的发送方从报文文本 中生成一个128位的散列值(或报文摘要),称为报文分解函数的 值。发送方用公开密钥加密系统中的秘密密钥对这个报文散列 值进行加密,形成数字签名。该过程如图。
第四章 电子商务的安全威胁和安全措施
电子商务概论
然后,这个数字签名将作为报文的附件和报文一起发送给报 文的接收方。报文的接收方首先从接收到的原始报文中计算出 128位的散列值(或报文摘要),接着再用发送方的公开密钥来对 报文附加的数字签名进行解密。比较其结果,如果两个散列值 相同,那么接收方就能确认该数字签名是发送方的。通过数字 签名能够实现对原始报文的鉴别和不可抵赖性。保障了文件内 容的完整性、正确性和签名的真实性。其过程如图。
第四章 电子商务的安全威胁和安全措施
电子商务概论
二、保护电子商务的通道
1. 交易的保密 无法防止对互联网的窃听(明信片)。
1) 加密:用基于数学算法的程序和保密的密钥对信息进行编码, 生成难以理解的字符串。
加密程序的逻辑称为加密算法。
加密消息的保密性取决于加密所有密钥的长度(40~128),即使 有人知道加密程序的细节,没有消息加密所用的密钥是无法解 开加密的消息。
第四章 电子商务的安全威胁和安全措施
电子商务概论
放置在互联网上的公司服务器随时都会受到有意或无意的攻 击和损坏。如何获得安全的保障,不仅是个人或单个企业的要 求,也是整个互联网经济发展的最重要的基础。
病毒破坏 黑客攻击
第一节 概述
一、安全的含义
安全分物理安全和逻辑安全。所谓物理安全指可触及的保护 设备。通常所说的计算机领域的安全指企业的信息不受他人未 经授权的访问、使用、篡改或破坏。用非物理手段进行的保护 称为逻辑安全,这种安全分为三类:
• 网关服务器:根据所请求的应用对访问进行过滤的防火墙。在应用 层过滤请求和登陆。(telnet, ftp, http)如允许内向ftp, 不允许外向ftp。 • 代理服务器:代表某个专用网络与互联网进行通讯的防火墙。
第四章 电子商务的安全威胁和安全措施
电子商务概论
第三节 对通讯信道的安全威胁及防护措施 一、通讯信道的安全威胁
目录:列表、创建、删除 2. 操作系统控制 用户名/口令 win2000 winxp
第四章 电子商务的安全威胁和安全措施
电子商务概论
3. 防火墙 指在需要保护的网络与可能带来安全威胁的互联网或其他网
络之间建立的保护。
防火墙是具有以下特征的计算机: (天网系统) 1)由内到外和由外到内的所有访问都必须通过它; 2)只有本地安全策略所定义的合法访问才被允许通过; 3)防火墙本身无法被穿越。
电子商务概论
第四章 电子商务的安全威胁和安全措施
电子商务概论
第五节 对版权和知识产权的保护 一、对版权和知识产权的安全威胁
非法拷贝、传递、使用等 二、保护版权和知识产权
数字水印:隐蔽的嵌入在数字图像或声音文件里的数字码或 数字流。
第一类 保密:防止未授权的数据暴露并确保数据源的可靠性;
• 密码、帐户的安全,不被他人知晓
第四章 电子商务的安全威胁和安全措施
电子商务概论
第二类 完整:防止未经授权的数据修改; • 内容的改变 第三类 即需:防止延迟或拒绝服务。 • 服务器停止响应
人们习惯于“眼见为实”,对安全总是谨小慎微。
二、安全措施 对识别、降低或消除安全威胁的物理或逻辑步骤的总称。 对不同类型的风险需要采取不同的安全措施,实施的成本应
2. 密钥的发布容易;
3. 公开密钥系统可实现数字签名。
公开密钥技术和传统加密方法各有优缺点,公开密钥技术虽 然安全性较好,但运算量较大,与传统的加密算法比较在速度 上有很大的差距。技术资料表明RSA的软件实现比DES的软件 实现慢100倍,RSA的硬件实现比DES的硬件实现慢1000~10000 倍。所以许多加密系统都采用公开密钥技术与传统加密算法结 合的方式。
该小于所受到的损失。
第四章 电子商务的安全威胁和安全措施
风险管理模型
概率高
电子商务概论
影响小
控制 不理会
预防 备份
影响大
概率低
第四章 电子商务的安全威胁和安全措施
电子商务概论
安全策略是对所需保护的资产、保护的原因、谁负责进行保 护、哪些行为可接受、哪些行为不可接受等的书面描述。
安全策略一般要陈述物理安全、网络安全、访问授权、病毒 防护、灾难恢复等内容,并随时间变化,需定期完善。
第四章 电子商务的安全威胁和安全措施
电子商务概论
3. 对称加密:
在对称加密方法中,加密和解密都使用同一把密钥。而且通 信双方都必须获得这把钥匙,并保持钥匙的秘密。
数据加密标准(DES)由美国国家标准局提出,在1981年又被进 一步采纳为ANII标准,是目前广泛采用的对称加密方式之一, 主要应用于银行业中的电子资金转帐(EFT)领域。DES的密钥长 度为56位。
第四章 电子商务的安全威胁和安全措施
电子商务概论
2)加密算法和标准
表4-1
3)安全套接层协议(SSL)
SSL协议是由Netscape公司研究制定的安全协议,该协议向基 于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、 数据完整性及信息机密性等安全措施。该协议通过在应用程序 进行数据交换前交换SSL初始握手信息来实现有关安全特性的 审查。处于传输层。
第四章 电子商务的安全威胁和安全措施
电子商务概论
3. 保证交易传输
保密和数字签名都无法保护信息包不被盗取或速度降低。但 TCP/IP中的传输控制协议负责对信息包的端到端的控制。
第四章 电子商务的安全威胁和安全措施
电子商务概论
第四章 电子商务的安全威胁和安全措施
电子商务概论
二、保护客户机
1. 数字证书 数字证书是电子邮件附件或嵌在网页上的程序,可用来验证
国际数据加密算法(IDEA)是一种使用一个密钥对64位数据 块进行加密的常规保密密钥加密算法。同样的密钥仍然用于将 64位的密文数据块恢复成64位明文数据块。IDEA使用128位(16 字节)密钥进行加密操作。
第四章 电子商务的安全威胁和安全措施
电子商务概论
公开密钥的优点:
1. 在多人之间进行保密信息传输所需的密钥组合数量很小;
用户或网站的身份。还可向网页或电子邮件附件原发送者发送 加密信息的功能。
证书不保证所下载软件的功能或质量,只证明所提供的软件 不是伪造的。通常由认证中心发放证书。
第四章 电子商务的安全威胁和安全措施
2. IE 安全级别的设置表4-2 3. Navigator 4. 处理Cookie
IE中的设置 5. 使用防毒软件 6. 防黑客软件
实现SSL的协议是HTTP的安全版,HTTPS
第四章 电子商务的安全威胁和安全措施
电子商务概论
2. 保证交易的完整性
防止信息(订单)被非法修改。可以采用多种技术的组合来创 建能防止修改同时能认证的信息。
为消除因信息被更改而导致的欺诈和滥用行为,可将两个算 法同时应用到信息上。首先用散列算法生成信息摘要,散列算 法是单向函数,无法还原信息。接受方同样计算信息摘要,进 行对比是否相同。但由于散列算法是公开的,所以还需要采用 加密算法。
防火墙内的网络叫可信网络,防火墙外的网络叫不可信网络。 防火墙相当于过滤设备,允许特定的信息流入或流出被保护的 网络。
理想状态下,防火墙应阻止未经授权的用户访问防火墙内的 网络,又不妨碍合法用户。
用作防火墙的计算机应尽量简化。(软件)
第四章 电子商务的安全威胁和安全措施
Fra Baidu bibliotek
电子商务概论
防火墙技术
• 包过滤:检查在可信网络和互联网之间传输的所有数据,包括信息 包的源地址、目标地址及进入可信网络的信息包的端口,并根据预 先设定的规则拒绝或允许这些包进入。
电子商务概论
第四章 电子商务的安全威胁和安全措施
电子商务概论
第四章 电子商务的安全威胁和安全措施
电子商务概论
第四章 电子商务的安全威胁和安全措施
电子商务概论
第四章 电子商务的安全威胁和安全措施
电子商务概论
密码保证 密码忘记服务 密码保存:明文存用户名,加密存口令(管理员也无法知道) 权限的设定:文件:读取、写入、追加、执行、删除
信息传送过程中无法保证传送线路及所通过的每台计算机都 是可靠的。 1. 对保密性的安全威胁 • 保密与保护隐私
保密:防止未经授权的信息泄漏; 保护隐私:保护个人不被曝光的权利。 Email谁看 • 在线“探测软件”
第四章 电子商务的安全威胁和安全措施
电子商务概论
2. 对完整性的安全威胁 又称主动搭线窃听,未经授权方同意改变信息。 • 完整性和保密性的差别: 对保密性的安全威胁指某人看到了不应该看到的信息; 对完整性的安全威胁指某人改动了传输的关键信息。 如银行的存款信息。 • 破坏网站、电子伪装等 3. 对即需性的安全威胁 又称延迟安全威胁或拒绝安全威胁。其目的是破坏正常的计算 机处理或完全拒绝处理。
制定安全策略的步骤:
确定保 护对象
确定访 问权限
确定所 需资源
制定安 全策略
开发或 购买
不断 完善
• 绝对的安全是不存在的 • 损人不利己
第四章 电子商务的安全威胁和安全措施
安全策略的内容: • 认证:访问者 • 访问控制:访问许可 • 保密:用户的级别 • 数据完整性:权限的设定 • 审计:记录、日志
第四章 电子商务的安全威胁和安全措施
电子商务概论
按密钥和相关加密程序类型可把加密分为3类:
1. 散列编码:用散列算法求出某个信息的散列值的过程。散列 值对于每条信息都是唯一的。
2. 非对称加密:公开密钥加密
用两个数学相关的密钥对信息进行编码。极大的促进了网络 交易的发展。在此系统中,其中一个密钥叫公开密钥,可随意 发给期望同密钥持有者进行安全通讯的人。第二个密钥是私有 密钥,属于密钥持有人。
加密后的信息摘要称为数字签名。带数字签名的采购订单就 可让商家确认发送者的身份并确定此信息是否被更改过。
第四章 电子商务的安全威胁和安全措施
电子商务概论
数字签名系统的目的是保证信息的完整性和真实性。其目的 是为了保证:接收者能够核实发送者对报文的签名;发送者事 后不能抵赖对报文的签名;接收者不能伪造对报文的签名。
公开密钥:用于对信息加密(锁与钥匙的关系)
私有密钥:对信息解密
RSA算法是非对称加密领域内最为著名的算法,但是它存在 的主要问题是算法的运算速度较慢。其次,它存在着公开密钥 的分发问题。因此,在实际的应用中通常不采用这一算法对信 息量大的信息(如大的EDI交易)进行加密。当加密量大时,公开 密钥加密算法通常用于对对称加密方法密钥的加密。
第四章 电子商务的安全威胁和安全措施
电子商务概论
然后,这个数字签名将作为报文的附件和报文一起发送给报 文的接收方。报文的接收方首先从接收到的原始报文中计算出 128位的散列值(或报文摘要),接着再用发送方的公开密钥来对 报文附加的数字签名进行解密。比较其结果,如果两个散列值 相同,那么接收方就能确认该数字签名是发送方的。通过数字 签名能够实现对原始报文的鉴别和不可抵赖性。保障了文件内 容的完整性、正确性和签名的真实性。其过程如图。
第四章 电子商务的安全威胁和安全措施
电子商务概论
二、保护电子商务的通道
1. 交易的保密 无法防止对互联网的窃听(明信片)。
1) 加密:用基于数学算法的程序和保密的密钥对信息进行编码, 生成难以理解的字符串。
加密程序的逻辑称为加密算法。
加密消息的保密性取决于加密所有密钥的长度(40~128),即使 有人知道加密程序的细节,没有消息加密所用的密钥是无法解 开加密的消息。
第四章 电子商务的安全威胁和安全措施
电子商务概论
放置在互联网上的公司服务器随时都会受到有意或无意的攻 击和损坏。如何获得安全的保障,不仅是个人或单个企业的要 求,也是整个互联网经济发展的最重要的基础。
病毒破坏 黑客攻击
第一节 概述
一、安全的含义
安全分物理安全和逻辑安全。所谓物理安全指可触及的保护 设备。通常所说的计算机领域的安全指企业的信息不受他人未 经授权的访问、使用、篡改或破坏。用非物理手段进行的保护 称为逻辑安全,这种安全分为三类:
• 网关服务器:根据所请求的应用对访问进行过滤的防火墙。在应用 层过滤请求和登陆。(telnet, ftp, http)如允许内向ftp, 不允许外向ftp。 • 代理服务器:代表某个专用网络与互联网进行通讯的防火墙。
第四章 电子商务的安全威胁和安全措施
电子商务概论
第三节 对通讯信道的安全威胁及防护措施 一、通讯信道的安全威胁
目录:列表、创建、删除 2. 操作系统控制 用户名/口令 win2000 winxp
第四章 电子商务的安全威胁和安全措施
电子商务概论
3. 防火墙 指在需要保护的网络与可能带来安全威胁的互联网或其他网
络之间建立的保护。
防火墙是具有以下特征的计算机: (天网系统) 1)由内到外和由外到内的所有访问都必须通过它; 2)只有本地安全策略所定义的合法访问才被允许通过; 3)防火墙本身无法被穿越。
电子商务概论
第四章 电子商务的安全威胁和安全措施
电子商务概论
第五节 对版权和知识产权的保护 一、对版权和知识产权的安全威胁
非法拷贝、传递、使用等 二、保护版权和知识产权
数字水印:隐蔽的嵌入在数字图像或声音文件里的数字码或 数字流。
第一类 保密:防止未授权的数据暴露并确保数据源的可靠性;
• 密码、帐户的安全,不被他人知晓
第四章 电子商务的安全威胁和安全措施
电子商务概论
第二类 完整:防止未经授权的数据修改; • 内容的改变 第三类 即需:防止延迟或拒绝服务。 • 服务器停止响应
人们习惯于“眼见为实”,对安全总是谨小慎微。
二、安全措施 对识别、降低或消除安全威胁的物理或逻辑步骤的总称。 对不同类型的风险需要采取不同的安全措施,实施的成本应
2. 密钥的发布容易;
3. 公开密钥系统可实现数字签名。
公开密钥技术和传统加密方法各有优缺点,公开密钥技术虽 然安全性较好,但运算量较大,与传统的加密算法比较在速度 上有很大的差距。技术资料表明RSA的软件实现比DES的软件 实现慢100倍,RSA的硬件实现比DES的硬件实现慢1000~10000 倍。所以许多加密系统都采用公开密钥技术与传统加密算法结 合的方式。
该小于所受到的损失。
第四章 电子商务的安全威胁和安全措施
风险管理模型
概率高
电子商务概论
影响小
控制 不理会
预防 备份
影响大
概率低
第四章 电子商务的安全威胁和安全措施
电子商务概论
安全策略是对所需保护的资产、保护的原因、谁负责进行保 护、哪些行为可接受、哪些行为不可接受等的书面描述。
安全策略一般要陈述物理安全、网络安全、访问授权、病毒 防护、灾难恢复等内容,并随时间变化,需定期完善。
第四章 电子商务的安全威胁和安全措施
电子商务概论
3. 对称加密:
在对称加密方法中,加密和解密都使用同一把密钥。而且通 信双方都必须获得这把钥匙,并保持钥匙的秘密。
数据加密标准(DES)由美国国家标准局提出,在1981年又被进 一步采纳为ANII标准,是目前广泛采用的对称加密方式之一, 主要应用于银行业中的电子资金转帐(EFT)领域。DES的密钥长 度为56位。
第四章 电子商务的安全威胁和安全措施
电子商务概论
2)加密算法和标准
表4-1
3)安全套接层协议(SSL)
SSL协议是由Netscape公司研究制定的安全协议,该协议向基 于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、 数据完整性及信息机密性等安全措施。该协议通过在应用程序 进行数据交换前交换SSL初始握手信息来实现有关安全特性的 审查。处于传输层。
第四章 电子商务的安全威胁和安全措施
电子商务概论
3. 保证交易传输
保密和数字签名都无法保护信息包不被盗取或速度降低。但 TCP/IP中的传输控制协议负责对信息包的端到端的控制。
第四章 电子商务的安全威胁和安全措施
电子商务概论
第四章 电子商务的安全威胁和安全措施
电子商务概论
二、保护客户机
1. 数字证书 数字证书是电子邮件附件或嵌在网页上的程序,可用来验证
国际数据加密算法(IDEA)是一种使用一个密钥对64位数据 块进行加密的常规保密密钥加密算法。同样的密钥仍然用于将 64位的密文数据块恢复成64位明文数据块。IDEA使用128位(16 字节)密钥进行加密操作。
第四章 电子商务的安全威胁和安全措施
电子商务概论
公开密钥的优点:
1. 在多人之间进行保密信息传输所需的密钥组合数量很小;
用户或网站的身份。还可向网页或电子邮件附件原发送者发送 加密信息的功能。
证书不保证所下载软件的功能或质量,只证明所提供的软件 不是伪造的。通常由认证中心发放证书。
第四章 电子商务的安全威胁和安全措施
2. IE 安全级别的设置表4-2 3. Navigator 4. 处理Cookie
IE中的设置 5. 使用防毒软件 6. 防黑客软件
实现SSL的协议是HTTP的安全版,HTTPS
第四章 电子商务的安全威胁和安全措施
电子商务概论
2. 保证交易的完整性
防止信息(订单)被非法修改。可以采用多种技术的组合来创 建能防止修改同时能认证的信息。
为消除因信息被更改而导致的欺诈和滥用行为,可将两个算 法同时应用到信息上。首先用散列算法生成信息摘要,散列算 法是单向函数,无法还原信息。接受方同样计算信息摘要,进 行对比是否相同。但由于散列算法是公开的,所以还需要采用 加密算法。
防火墙内的网络叫可信网络,防火墙外的网络叫不可信网络。 防火墙相当于过滤设备,允许特定的信息流入或流出被保护的 网络。
理想状态下,防火墙应阻止未经授权的用户访问防火墙内的 网络,又不妨碍合法用户。
用作防火墙的计算机应尽量简化。(软件)
第四章 电子商务的安全威胁和安全措施
Fra Baidu bibliotek
电子商务概论
防火墙技术
• 包过滤:检查在可信网络和互联网之间传输的所有数据,包括信息 包的源地址、目标地址及进入可信网络的信息包的端口,并根据预 先设定的规则拒绝或允许这些包进入。
电子商务概论
第四章 电子商务的安全威胁和安全措施
电子商务概论
第四章 电子商务的安全威胁和安全措施
电子商务概论
第四章 电子商务的安全威胁和安全措施
电子商务概论
第四章 电子商务的安全威胁和安全措施
电子商务概论
密码保证 密码忘记服务 密码保存:明文存用户名,加密存口令(管理员也无法知道) 权限的设定:文件:读取、写入、追加、执行、删除
信息传送过程中无法保证传送线路及所通过的每台计算机都 是可靠的。 1. 对保密性的安全威胁 • 保密与保护隐私
保密:防止未经授权的信息泄漏; 保护隐私:保护个人不被曝光的权利。 Email谁看 • 在线“探测软件”
第四章 电子商务的安全威胁和安全措施
电子商务概论
2. 对完整性的安全威胁 又称主动搭线窃听,未经授权方同意改变信息。 • 完整性和保密性的差别: 对保密性的安全威胁指某人看到了不应该看到的信息; 对完整性的安全威胁指某人改动了传输的关键信息。 如银行的存款信息。 • 破坏网站、电子伪装等 3. 对即需性的安全威胁 又称延迟安全威胁或拒绝安全威胁。其目的是破坏正常的计算 机处理或完全拒绝处理。
制定安全策略的步骤:
确定保 护对象
确定访 问权限
确定所 需资源
制定安 全策略
开发或 购买
不断 完善
• 绝对的安全是不存在的 • 损人不利己
第四章 电子商务的安全威胁和安全措施
安全策略的内容: • 认证:访问者 • 访问控制:访问许可 • 保密:用户的级别 • 数据完整性:权限的设定 • 审计:记录、日志
第四章 电子商务的安全威胁和安全措施
电子商务概论
按密钥和相关加密程序类型可把加密分为3类:
1. 散列编码:用散列算法求出某个信息的散列值的过程。散列 值对于每条信息都是唯一的。
2. 非对称加密:公开密钥加密
用两个数学相关的密钥对信息进行编码。极大的促进了网络 交易的发展。在此系统中,其中一个密钥叫公开密钥,可随意 发给期望同密钥持有者进行安全通讯的人。第二个密钥是私有 密钥,属于密钥持有人。
加密后的信息摘要称为数字签名。带数字签名的采购订单就 可让商家确认发送者的身份并确定此信息是否被更改过。
第四章 电子商务的安全威胁和安全措施
电子商务概论
数字签名系统的目的是保证信息的完整性和真实性。其目的 是为了保证:接收者能够核实发送者对报文的签名;发送者事 后不能抵赖对报文的签名;接收者不能伪造对报文的签名。
公开密钥:用于对信息加密(锁与钥匙的关系)
私有密钥:对信息解密
RSA算法是非对称加密领域内最为著名的算法,但是它存在 的主要问题是算法的运算速度较慢。其次,它存在着公开密钥 的分发问题。因此,在实际的应用中通常不采用这一算法对信 息量大的信息(如大的EDI交易)进行加密。当加密量大时,公开 密钥加密算法通常用于对对称加密方法密钥的加密。