1、电子商务安全制作:王 鑫对外经贸大学出版社第第1章章 电子商务安全概述电子商务安全概述任务驱动任务驱动资源共享、快速、便捷是电子商务迅速发展的原因,而这种基于Internet网络的开放性使电子商务在安全方面先天不足。现在,电子商务的安全问题越来越突出,已经成为制约电子商务快速发展的障碍。如何保障电子商务活动的安全,一直是电子商务研究的核心问题。过本章学习,学生应该能理解电子商务安全的基本概念,了解电子商务面临的安全问题,掌握电子商务的基本安全需求,熟悉电子商务安全的基础知识,并能够说明电子商务安全管理的基本思路和方法。第第1章章 电子商务安全概述电子商务安全概述本章内容1.1电子商务安全概念及
2、特点1.2 电子商务面临的安全问题1.3电子商务的安全需求1.4电子商务安全基础 1.5电子商务安全管理1.1 电子商务安全概念及特点电子商务安全概念及特点电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此,电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全为目标。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,保障以电子交易和电子支付为核心的电
3、子商务过程的顺利进行。即实现电子商务保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。1.1 电子商务安全概念及特点电子商务安全概念及特点电子商务安全具有如下四大特性:1电子商务安全是一个系统概念2电子商务安全是相对的3电子商务安全是有代价的4电子商务安全是发展的、动态的1.2 电子商务面临的安全问题电子商务面临的安全问题1.2.1电子商务网络系统自身的安全问题电子商务网络系统自身的安全问题1物理实体的安全问题物理实体的安全问题设备的机能失常设备的机能失常电源故障电源故障由于电磁泄漏引起的信息失密由于电磁泄漏引起的信息失密搭线窃听搭线窃听自然灾害自然灾害2计算机软件系统潜在的安全问题计算机软件
4、系统潜在的安全问题3网络协议的安全漏洞网络协议的安全漏洞4黑客的恶意攻击黑客的恶意攻击5计算机病毒攻击计算机病毒攻击6安全产品使用不当安全产品使用不当1.2 电子商务面临的安全问题电子商务面临的安全问题1.2.2电子商务交易信息传输过程中的安全问题电子商务交易信息传输过程中的安全问题信息机密性面临的威胁信息在传输过程中被窃取信息完整性面临的威胁信息在传输过程中被篡改、删除或插入 交易信息的可认证性面临的威胁抵赖做过的交易或传输的信息 交易双方身份真实性面临的威胁假冒他人身份1.2 电子商务面临的安全问题电子商务面临的安全问题1.2.3电子商务企业内部安全管理问题电子商务企业内部安全管理问题网络
5、安全管理制度问题网络安全管理制度问题硬件资源的安全管理问题硬件资源的安全管理问题软件和数据的维护与备份安全管理问题软件和数据的维护与备份安全管理问题1.2.4电子商务安全法律保障问题电子商务安全法律保障问题主要涉及的法律主要有国际加密问题、网络链接问题、主要涉及的法律主要有国际加密问题、网络链接问题、网络隐私问题、域名侵权纠纷问题、电子商务的税收问网络隐私问题、域名侵权纠纷问题、电子商务的税收问题,还有电子商务交易中提供参与方合法身份认证的题,还有电子商务交易中提供参与方合法身份认证的CA中心涉及的法律问题,电子合同签订涉及的法律问题,中心涉及的法律问题,电子合同签订涉及的法律问题,交易后电子
6、记录的证据力问题及网络知识产权涉及的法交易后电子记录的证据力问题及网络知识产权涉及的法律问题等。律问题等。1.2 电子商务面临的安全问题电子商务面临的安全问题1.2.5电子商务的信用安全问题电子商务的信用安全问题1.2.6电子商务安全支付问题电子商务安全支付问题在通信线路上进行窃听,并滥用收集的数据在通信线路上进行窃听,并滥用收集的数据(如信用卡号等如信用卡号等)。向经过授权的支付系统参与方发送伪造的消息,向经过授权的支付系统参与方发送伪造的消息,以破坏系统的正常运作来盗用交换的财产以破坏系统的正常运作来盗用交换的财产(如商如商品、现金等品、现金等)。不诚实的支付系统参与方,试图获取并滥用自不
7、诚实的支付系统参与方,试图获取并滥用自己无权读取或使用的支付交易数据。己无权读取或使用的支付交易数据。1.3 电子商务的安全需求电子商务的安全需求电子商务面临的威胁导致了对电子商务安全的需求。真正实现一个安全电子商务系统所要求做到的各个方面主要包括:机密性、完整性、认证性、不可抵赖性、不可拒绝性、访问控制性等安全需求,如图1-2所示。1.3 电子商务的安全需求电子商务的安全需求1机密性机密性(Confidentiality)又叫保密性,是指信息在传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织,或者经过加密伪装后,使未经授权者无法了解其内容。机密性一般通过密码技术对保密的信息
8、进行加密处理来实现。电子商务的信息几乎都有加密的要求,如信用卡号、用户名和密码、订货信息、付款这些信息被人窃取后,会造成直接经济损失,或者贻误商机。2完整性完整性(Integrity)又叫真确性,是保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被更改。完整性一般可通过提取信息消息摘要的方式来获得。1.3 电子商务的安全需求电子商务的安全需求3认证性认证性(Authentication)是指网络两端的使用者在沟通之前相互确认对方的身份。在电子商务中,认证性一般都通过证书机构CA和证书来实现。4不可抵赖性不可抵赖性又叫不可否认性(Non-repudiation),是指
9、信息的发送方不能否认已发送的信息,接收方不能否认已收到的信息,这是一种法律有效性要求。不可抵赖性可通过对发送的消息进行数字签名来获得。1.3 电子商务的安全需求电子商务的安全需求5不可拒绝性商务服务的不可拒绝性(Denial of Service)又叫有效性,或可用性,是保证授权用户在正常访问信息和资源时不被拒绝,即保证为用户提供稳定的服务。6访问控制性访问控制性(Access Control)是指在网络上限制和控制通信链路对主机系统和应用的访问;用于保护计算机系统的资源(信息、计算和通信资源)不被未经授权人或未授权方式接入、使用、修改、破坏、发出指令或植入程序等。1.4电子商务安全基础电子商
10、务安全基础1.4.1电子商务安全基础技术电子商务安全基础技术1密码技术密码技术现代社会对信息安全的需求大部分可以通过密码技术来实现。密码技术现代社会对信息安全的需求大部分可以通过密码技术来实现。密码技术是信息安全的核心技术。它主要包括加密、签名认证和密钥管理三大技是信息安全的核心技术。它主要包括加密、签名认证和密钥管理三大技术。术。2网络安全技术网络安全技术网络安全是电子商务安全的基础,一个完整的电子商务系统应建立在安网络安全是电子商务安全的基础,一个完整的电子商务系统应建立在安全的网络基础设施之上。网络安全技术所涉及的方面比较广,如操作系全的网络基础设施之上。网络安全技术所涉及的方面比较广,
11、如操作系统安全、防火墙技术、虚拟专用网统安全、防火墙技术、虚拟专用网VPN技术、各种反黑客技术和漏洞检技术、各种反黑客技术和漏洞检测技术等各种网络安全防范技术。当前在电子商务领域应用最广泛的是测技术等各种网络安全防范技术。当前在电子商务领域应用最广泛的是防火墙技术、虚拟专用网技术和入侵检测技术。防火墙技术、虚拟专用网技术和入侵检测技术。3PKI技术技术PKI是公钥基础设施是公钥基础设施Public Key Infrastructure的英文缩写,的英文缩写,PKI技术是技术是普适性的安全基础设施,是利用公钥算法原理和技术为网上通信提供通普适性的安全基础设施,是利用公钥算法原理和技术为网上通信提
12、供通用安全服务的基础设施。它为电子商务、电子政务、网上银行证券等提用安全服务的基础设施。它为电子商务、电子政务、网上银行证券等提供一整套安全基础平台。供一整套安全基础平台。1.4电子商务安全基础电子商务安全基础1.4.2电子商务安全体系结构电子商务安全体系结构电子商务安全技术体系结构是保证电子商务中数据安全的一个完整的逻辑结构,由网络服务层、加密技术层、安全认证层、安全协议层、应用系统层组成。从图1-3中的层次结构可以看出,下层是上层的基础,为上层提供技术支持;上层是下层的扩展与递进。各层次之间相互依赖、相互关联构成统一整体。各层通过控制技术的递进,实现电子商务系统的安全。电子商务系统是依赖网
13、络实现的商务系统,需要利用Internet基础设施和标准,所以构成电子商务安全框架的底层是网络服务层,它提供信息传送的载体和用户接入的手段,是各种电子商务应用系统的基础,为电子商务系统提供了基本、灵活的网络服务。1.4电子商务安全基础电子商务安全基础1.4.3电子商务安全服务规范电子商务安全服务规范1网络层安全服务标准2传输层的安全服务安全套接层协议(Security Socket Layer,SSL)。安全套接层协议(Security Socket Layer,SSL)。3应用层安全服务安全超文本传输协议 安全电子交易协议 Kerberos协议 SMIME和PGP 其他实用电子支付协议 1.
14、5电子商务安全管理电子商务安全管理1.5.1电子商务安全管理的思路电子商务安全管理的思路所谓电子商务的安全管理,就是通过一个完整的综合保障体系,规所谓电子商务的安全管理,就是通过一个完整的综合保障体系,规避电子商务交易过程的风险避电子商务交易过程的风险(包括信息传输风险、信用风险、管理风包括信息传输风险、信用风险、管理风险、法律风险、网上支付风险等险、法律风险、网上支付风险等),以保证网上交易的顺利进行。,以保证网上交易的顺利进行。电子商务安全性问题是虚拟的电子商务市场环境中的首要问题。其电子商务安全性问题是虚拟的电子商务市场环境中的首要问题。其一,电子商务交易与传统商务交易一样都需要遵循市场
15、竞争规则一,电子商务交易与传统商务交易一样都需要遵循市场竞争规则它保证电子商务交易的公平、公正和公开。如果无法保证电子商它保证电子商务交易的公平、公正和公开。如果无法保证电子商务市场交易的安全,可能导致非法的交易或者损害合法交易的利益,务市场交易的安全,可能导致非法的交易或者损害合法交易的利益,使虚拟的市场规则无法贯彻执行,所以电子商务安全问题是保证市使虚拟的市场规则无法贯彻执行,所以电子商务安全问题是保证市场游戏规则顺利实施的前提;其二,实施电子商务交易的目的是降场游戏规则顺利实施的前提;其二,实施电子商务交易的目的是降低交易成本。如果电子商务交易安全性无法得到保证,造成合法交低交易成本。如
16、果电子商务交易安全性无法得到保证,造成合法交易双方利益的损失,即意味着交易成本更高或者可能导致交易双方易双方利益的损失,即意味着交易成本更高或者可能导致交易双方为规避风险选择传统的更安全的交易方式,这样势必制约电子商务为规避风险选择传统的更安全的交易方式,这样势必制约电子商务市场的发展。所以电子商务安全问题是保证电子商务交易市场顺利市场的发展。所以电子商务安全问题是保证电子商务交易市场顺利发展的前提。因此,确保电子商务交易安全是电子商务市场要解决发展的前提。因此,确保电子商务交易安全是电子商务市场要解决的首要问题和基本问题,这需要各方配合加强对网上交易安全性的的首要问题和基本问题,这需要各方配
17、合加强对网上交易安全性的监管。监管。1.5电子商务安全管理电子商务安全管理1.5.2电子商务安全管理方法电子商务安全管理方法1电子商务安全技术电子商务安全技术电子商务交易方自身网络安全保障技术电子商务交易方自身网络安全保障技术为了维护电子商务交易者内部网络的安全性可以采取为了维护电子商务交易者内部网络的安全性可以采取以下以下4种不同的技术:种不同的技术:用户账号管理和网络杀毒技术;用户账号管理和网络杀毒技术;防火墙技术;防火墙技术;虚拟专网技术;虚拟专网技术;入侵检测技术。入侵检测技术。1.5电子商务安全管理电子商务安全管理电子商务信息传输安全保障技术要保证电子商务信息传输过程中的机密性和完整
18、性,一般采用加密技术和数字摘要技术来实现。身份和信息认证技术安全认证技术是保证电子商务交易安全的一项重要技术。安全认证主要包括身份认证和交易信息认证。前者用于鉴别用户身份,保证交易双方身份的真实性,后者用于保证通信双方的不可抵赖性和交易信息的完整性。电子商务安全支付技术在电子商务中如何才能进行安全的网上支付,是用户、商家及金融机构(银行与发卡机构)最为关注的问题之一。1.5电子商务安全管理电子商务安全管理2电子商务安全管理制度人员管理制度保密制度跟踪、审计、稽核制度网络系统的日常维护制度硬件的日常管理和维护。软件的日常管理和维护。数据备份制度。1.5电子商务安全管理电子商务安全管理病毒防范制度
19、 给自己的计算机安装防病毒软件。不打开陌生地址的电子邮件。认真执行病毒定期清理制度。控制权限。高度警惕网络陷阱。应急措施瞬时复制技术。远程磁盘镜像技术。数据库恢复技术。1.5电子商务安全管理电子商务安全管理3电子商务安全法律制度市场经济是法治经济,电子商务的发展需要建设和完善相关的法律体系。虽然技术专家已从技术角度开发了许多保证电子商务交易安全顺利进行的技术保障措施,但仍难以完全保障网上交易的安全性,因此使许多企业和消费者对网络上交易的安全心存疑虑。他们担心合同的执行、赔偿、个人隐私、资金安全、知识产权保护、税收等诸问题难以解决,从而妨碍他们积极参与网上交易。因此,研究与制定网上法律,采取相应的法律保障措施势在必行。目前,各国政府正在加大法律调整的研究力度,纷纷出台各种法律法规,规范网上交易行为。