1、电子商务安全电子商务知识目标 1.了解电子商务安全的主要内容;2.掌握电子商务的安全威胁;3.了解电子商务的隐私保护;4.熟悉电子商务的安全技术。技能目标 1.根据电子商务面临的安全隐患和安全需求,提出保护措施;2.能够运用电子商务安全技术解决实际中的网络安全问题。电子商务安全电子商务安全 安全成为电子商务发展瓶颈(阅读课本P175-176)结合实际,阐述电子商务安全的重要性。电子商务安全电子商务安全 模块一电子商务安全认知模块一电子商务安全认知 计算机网络安全2.网络的结构安全分析 1.网络的物理安全分析 3.网络的操作系统安全分析 5.网络的管理安全风险分析 4.网络的应用系统安全分析(一
2、)计算机网络安全(二)电子商务的交易安全(一)常见的电子商务安全隐患1.信息的截获和窃取2.信息的篡改(1)篡改。篡改即改变信息流的次序,更改信息的内容,如更改购买商品的出货地址。(2)删除。删除即删除某个消息或消息的某些部分。(3)插入。插入即在消息中插入一些信息,让接收方读不懂或接收错误的信息。3.信息假冒(1)伪造电子邮件。(2)假冒他人身份。模块一电子商务安全认知模块一电子商务安全认知 4.交易抵赖5.信息的中断(二)消费者面临的安全隐患在电子商务活动中,消费者面临的安全隐患主要有以下几类:(1)虚假订单。(2)在要求客户付款后,销售商中的内部人员不将订单和钱转发给执行部门,因而使客户
3、不能收到商品。(3)机密性丧失。(4)拒绝服务。(5)电子货币丢失。模块一电子商务安全认知模块一电子商务安全认知(三)电子商务企业面临的安全隐患电子商务企业主要面临以下安全隐患:(1)系统中心安全性被破坏。(2)竞争者的威胁,如恶意竞争者以他人的名义来订购商品,从而了解企业有关商品的递送状况和货物的库存情况。(3)商业机密的泄露,如企业的客户资料被竞争者获悉。(4)假冒的威胁,如不诚实的人建立与企业服务器名字相同另一个服务器来假冒。(5)信用的威胁,如买方提交订单后不付款。模块一电子商务安全认知模块一电子商务安全认知 电子商务面临的威胁,导致了对电子商务安全的需求。真正实现一个安全的电子商务系
4、统,保证交易的安全可靠性,根本在于保护网络中的系统安全和数据完整性,使交易信息免受各种攻击。信息是敏感的,关联着商业业务,涉及产权信息,或者与企业之间的竞争密切相关,或者是政府的机密信息。这就要求电子商务必须具备有效性、机密性、完整性、可靠性和交易者身份的真实性的特点。模块一电子商务安全认知模块一电子商务安全认知 电子商务的安全需求 1.有效性 2.机密性 3.完整性 4.可靠性 5.真实性 模块一电子商务安全认知模块一电子商务安全认知 模块二电子商务安全的体系结构模块二电子商务安全的体系结构 电子商务安全的保证主要体现在3个方面:技术保障、安全管理保障和法律环境保障。图图7-17-1电子商务
5、安全的体系结构电子商务安全的体系结构 技术保障是指实现电子商务所需要的设备、技术等能够稳定、安全地提供所需的功能。其中主要包括实体的安全和网络技术的安全。1.实体的安全(1)环境安全。(2)设备安全。模块二电子商务安全的体系结构模块二电子商务安全的体系结构 2.网络技术的安全(1)网络安全检测设备。(2)证书。(3)防火墙。(4)防入侵措施。(5)数据加密。(6)访问控制。(7)鉴别机制。模块二电子商务安全的体系结构模块二电子商务安全的体系结构 安全管理保障是在安全技术的基础之上,对系统的实时维护和设备的日常管理。从某种意义上来说,安全管理比安全技术更为重要。安全管理保障包括人员和制度的保障。
6、1.人员的保障电子商务不是电子设备之间独立进行的交易行为,其交易的主体仍然是人。既然人作为一种实体在电子商务交易过程中存在,则其必然对电子商务的安全产生重要的影响。由于人所产生的安全问题多为主观性的,如员工无意中泄露系统的密码,对企业心怀不满的员工对系统的恶意攻击等。因此,加强人员管理,对于保障电子商务安全十分重要。模块二电子商务安全的体系结构模块二电子商务安全的体系结构 2.保密制度网络营销涉及企业的市场、生产、财务、供应等多方面的机密,需要很好地划分信息的安全防范重点,采取相应的保密措施。信息的安全级别一般可分为以下三级:(1)绝密级信息,如公司经营状况报告、订出货价格、公司的发展规划等。
7、此部分信息的网址、密码不能在网络上公开,只限于公司高层人员掌握。(2)机密级信息,如公司的日常管理情况、会议通知等。此部分信息的网址、密码也不能在网络上公开,只限于公司中层以上人员使用。(3)敏感级信息,如公司简介、新产品介绍及订货方式等。模块二电子商务安全的体系结构模块二电子商务安全的体系结构 3.跟踪、审计、稽核制度4.数据容灾制度5.病毒防范制度6.应急措施 模块二电子商务安全的体系结构模块二电子商务安全的体系结构 电子商务的安全发展必须依靠法律的保障,通过法律条文的形式来保护电子商务信息的安全,惩罚网络犯罪,建立一个良好的电子商务法制环境来约束人们的行为。身份认证一般涉及两方面的内容:
8、(1)身份标识。(2)身份验证。模块二电子商务安全的体系结构模块二电子商务安全的体系结构 在电子商务中,为了解决诸如信息的篡改、假冒、交易抵赖等问题,大量使用了数据加密技术,因此可以把加密技术看成是电子商务安全的一项基本技术,它是认证技术的基础。(一)加密技术的基本概念1.加密和解密2.算法和密钥(二)加密方法的分类1.对称密钥加密体制2.非对称密钥加密体制 模块三电子商务的安全技术模块三电子商务的安全技术 1.对称密钥加密体制 对称加密体制采用了对称密码编码技术,它的特点是文件加密和解密使用相同的密钥,即加密密钥也可以用作解密密钥,这种方法在密码学中叫作对称加密算法。模块三电子商务的安全技术
9、模块三电子商务的安全技术 图图7-27-2对称式加密、解密过程对称式加密、解密过程 2.非对称密钥加密体制 为解决信息公开传送和密钥管理问题,提出一种新的密钥交换协议,允许在不安全的媒体上的通信双方交换信息,安全地达成一致的密钥,这就是公开密钥系统。相对于对称加密算法,这种方法也叫做非对称加密算法。模块三电子商务的安全技术模块三电子商务的安全技术 图图7-37-3非对称式加密、解密过程非对称式加密、解密过程 为了防止信息被篡改、删除、重放和伪造,其有效方法是让发送的信息有被验证的可能,使接收信息者或第三方能识别和确认信息的真伪。实现这类功能的保密系统称为认证系统。(一)身份认证1.身份认证的目
10、的 身份认证是判明和确认贸易双方的真实身份。模块三电子商务的安全技术模块三电子商务的安全技术 认证机构或信息服务商应提供如下认证功能:(1)可信性。(2)完整性。(3)不可抵赖性。(4)访问控制。(二)信息认证1.基于公钥体制的信息认证2.加入数字签名的验证(三)通过认证机构认证1.数字证书2.认证机构 模块三电子商务的安全技术模块三电子商务的安全技术 数字签名是从传统的手写签名衍生而来的,它可以提供一些基本的密码服务,如保证数据的完整性、真实性以及不可否认性。RSA数字签名是目前最流行的一种数字签名。(1)签名的实现。(2)签名的验证。模块三电子商务的安全技术模块三电子商务的安全技术 图7-
11、4RSA数字签名的原理图 基于PKI的电子签名被称为数字签名。目前国内外普遍使用的、技术成熟的、可实际使用的还是基于PKI的数字签名技术。作为公钥基础设施PKI,可提供多种网上安全服务,如认证、数据保密性、数据完整性和不可否认性,其中都用到了数字签名技术。PKI的核心执行机构是电子认证服务提供者,即通称为认证机构(CA)。PKI签名的核心元素是由CA签发的数字证书。模块三电子商务的安全技术模块三电子商务的安全技术 防火墙是一种行之有效的网络安全机制,被用来在内部网络的边界上建立安全检查点。通过在互联网和内部网络之间提供路由功能,防火墙检查所有在这两个网络间的通信,根据这些通信是否匹配,以编好的
12、安全策略规则来决定通过或断开通信。模块三电子商务的安全技术模块三电子商务的安全技术 图7-5防火墙在网络中的位置防火墙的基本功能如下:1.网络安全的屏障2.强化网络安全策略3.对网络存取和访问进行监控审计4.防止内部信息的外泄 模块三电子商务的安全技术模块三电子商务的安全技术 SSL(secure socket layer,安全套接层)协议是网景(Netscape)公司提出的基于Web应用的安全协议,主要用于提高应用程序之间的数据安全系数,它包括服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。SSL提供如下三种基本的安全服务:1.加密处理2.保证信息的完整性3
13、.提供较完善的认证服务 模块四电子商务的安全协议模块四电子商务的安全协议 1.SET协议介绍 SET协议主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密性、支付过程的完整性、商家及客户(持卡人)的合法身份以及可操作性。SET的核心技术主要有公开密钥加密、数字签名、电子信封、电子安全证书等。SET交易分三个阶段进行:第一阶段,在购买请求阶段,用户与商家确定所用支付方式的细节。第二阶段,在支付认定阶段,商家会与银行核实,随着交易的进展,他们将得到付款。第三阶段,在受款阶段,商家向银行出示所有交易的细节,然后银行以适当方式转移货款。模块四电子商务的安全协议模块四电
14、子商务的安全协议 2.SET实现的主要目标(1)信息在互联网上安全传输,保证网上传输的数据不被黑客窃取。(2)订单信息和个人账号信息的隔离,当包含持卡人账号信息的订单送到商家时,商家只能看到订货信息,而看不到持卡人的账户信息。(3)持卡人和商家相互认证,以确定通信双方的身份,一般由第三方机构负责为在线通信双方提供信用担保。(4)要求软件遵循相同协议和报文格式,使不同厂家开发的软件具有兼容和相互操作功能,并且可以运行在不同的硬件和操作系统平台上。模块四电子商务的安全协议模块四电子商务的安全协议 3.SET运作方式 电子商务的工作流程与实际的购物流程非常接近,使得电子商务与传统商务可以很容易融合,
15、用户使用起来也没有障碍。从顾客通过浏览器进入在线商店开始,一直到所订购的物品送货上门或所订的服务完成,以及账户上的资金转移,所有这些都是通过互联网完成的。如何保证网上传输数据的安全以及交易双方的身份确认是电子商务能否得到推广的关键,这也正是SET所要解决的最主要问题 模块四电子商务的安全协议模块四电子商务的安全协议 模块四电子商务的安全协议模块四电子商务的安全协议 图图7-67-6一个完整的一个完整的SETSET处理流程中的各个参与者处理流程中的各个参与者 模块四电子商务的安全协议模块四电子商务的安全协议 图7-7展示的是一个完整的基于SET的支付流程 4.SET与SSL的比较 事实上,SET和SSL除了都采用RSA公钥算法以外,在其他技术方面没有任何相似之处,而RSA在二者中也被用来实现不同的安全目标。SET是一个多方的消息报文协议,它定义了银行、商家、持卡人之间必需的报文规范,而SSL只是简单地在两方之间建立了一条安全连接。SSL是面向连接的,而SET允许各方之间的报文交换不是实时的。SET报文能够在银行内部网络或者其他网络上传输,而基于SSL协议之上的支付卡系统只能与Web浏览器捆绑在一起。模块四电子商务的安全协议模块四电子商务的安全协议 电子商务安全电子商务安全 谢谢观看!电子商务
