1、Company LOGO第四章电子商务中的安全技术经济管理学院经济管理学院 杭俊杭俊 第二篇 技术篇Electronic CommerceLOGOContents第一第一节节 电子商务中的安全问题电子商务中的安全问题第二节第二节 电子商务安全实用技术电子商务安全实用技术第三节第三节 电子商务中的安全协议电子商务中的安全协议Electronic CommerceElectronic Commerce第四第四节节 电子商务中的安全策略电子商务中的安全策略LOGO本章学习目标1了解电子商务中的安全问题。2掌握电子商务实施中主要采用的安全技术。3熟知电子商务安全中使用的安全协议与策略。Electron
2、ic CommerceElectronic CommerceLOGO本节主题本节主题主题一:电子商务安全的需求、影响因素和目标第一节电子商务中的安全问题主题二:安全的关键要素与安全意识的要求Electronic CommerceElectronic Commerce主题三:电子商务安全结构LOGO主题一:电子商务安全的需求、影响因素和目标v 安全的目的在于避免非法侵害。这一要求意味着要建立坚固的“墙”阻止坏人,并建立小巧而防守严密的“门”为好人提供安全访问。v 1电子商务安全的需求电子商务安全的需求v 随着网络的迅猛发展,交易内容的多样化,尤其是银行在网络上开展业务,一方面使得电子商务深入展开
3、,另一方面也使得寻找网络在隔离和开放之间的平衡点并同时做好好人和坏人的区分变得十分关键。v 2电子商务安全的影响因素电子商务安全的影响因素v 任何快速发展的产业都期待着安全产业的变革。v(1)法律问题和相关隐私v(2)无线访问v(3)速度要求v(4)人力短缺Electronic CommerceLOGO主题一:电子商务安全的需求、影响因素和目标v 1 1电子商务安全的目标电子商务安全的目标v 各类企业对网络的依赖不断增加,伴随着越来越多的语音与数据方面的集成,增加了对高可用性程序的需求。v 电子商务安全有三个目标电子商务安全有三个目标v(1)机密性v 机密性是指保护数据,避免其未经授权泄露给第
4、三方。v(2)完整性v 完整性是指确保数据不被未授权的行为修改或破坏。v(3)可用性v 可用性被定义为计算机系统的持续操作。Electronic CommerceLOGO主题二:安全的关键要素与安全意识的要求v 1安全的关键要素安全的关键要素v 互联网技术的成功使用需要保护有价值的数据和网络资源免受篡改和入侵。对于安全问题往往使用成体系的安全解决方案来解决。v(1)身份v 身份是对于网络用户、主机、应用程序、服务以及资源的准确而肯定的身份验证。v(2)周边安全v 周边安全提供了一些方法控制对重要的网络应用程序、数据与服务的访问,只有合法的用户和信息可以通过网络。v(3)数据隐私v 在确保信息不
5、被偷听的同时,能够按要求提供身份验证和保密通信的能力是至关重要的。v(4)安全管理v 为确保电子商务安全,定期地测试和监控设备的安全状态是很重要的。v(5)策略管理v 随着网络规模变得庞大和企业应用趋于复杂,对集中策略管理的需求也随之增加。Electronic CommerceLOGO主题三:电子商务安全结构v 1安全车轮安全车轮v 安全车轮是一组持续的进程,是一种有效的途径,用来验证防御攻击的对策是否恰当有效。v(1)安全:停止并阻止非法的访问和行为。v(2)监控:包括主动与被动两种方法。v(3)测试:安全性测试。v(4)改进:收集、分析监视阶段和测试阶段所收集的数据,并开发与实现改进机制。
6、v 2安全环安全环v 安全车轮的概念说明了安全是一个演进和不断完善的过程,强调了对安全体系构建的要求和做法。Electronic CommerceLOGO第二节 电子商务安全实用技术v 电子商务中的安全技术主要有信息加密技术、电子签名技术、数字时电子商务中的安全技术主要有信息加密技术、电子签名技术、数字时间戳服务、身份认证技术、病毒防治技术和防火墙技术。间戳服务、身份认证技术、病毒防治技术和防火墙技术。v 一、信息加密技术一、信息加密技术v 1信息加密技术概述v 信息加密技术与密码学紧密相连,密码学是研究编制密码和破译密码的技术科学。v 2单钥密码体制与双钥密码体制v 密钥体系如果以密钥为标准
7、,可将密码系统分为单钥密码体制和双钥密码体制。v(1)单钥密码体制v 在单钥密码体制下,加密密钥和解密密钥是一样的,或实质上是等同的。v(2)双钥密码体制v 在双钥密码体制下,有一对密钥:公钥与私钥,其中公钥可以公开,私钥只能是所有者私有。Electronic CommerceLOGO第二节 电子商务安全实用技术已加密的对称密钥开放式环境(如Internet)明文(M)密文(C)密文(C)明文(M)加密(K)对称密钥发送方A接收方B解密(K2)B的私钥加密(K2)B的公钥加密(K)对称密钥已加密的对称密钥开放式环境(如Internet)明文(M)密文(C)密文(C)明文(M)加密(K)对称密钥
8、发送方A接收方B解密(K2)B的私钥加密(K2)B的公钥加密(K)对称密钥3数字信封技术Electronic CommerceLOGO第二节 电子商务安全实用技术v二二、电子签名技术电子签名技术v 电子签名技术是电子商务安全的一个重要内容。v 1 1电子签名的要求电子签名的要求v(1)签名接收方能够验证签名方的签名,但不能伪造。v(2)签名方发送出的信息只要是经过其电子签名的,都不能否认。v(3)签名接收方可以通过对签名方签名的验证,检查已签名文件的完整性。v 2 2电子签名与手写签名的区别电子签名与手写签名的区别v 电子签名和手写签名的区别在于:手写签名是依据书写习惯的,因人而异;电子签名是
9、0和1的数字串,因所签消息而异。Electronic CommerceLOGO第二节 电子商务安全实用技术哈希算法(运算)步骤签名方私 钥步骤签名方公 钥步骤比对哈希算法文件持有/发送方(签名方)文件接收方(签名验证方)文件1哈希值1(数字摘要)数字签名哈希值2(数字摘要)文件2哈希值3(数字摘要)数字信封技术步骤步骤(运算)哈希算法(运算)步骤签名方私 钥步骤签名方公 钥步骤比对哈希算法文件持有/发送方(签名方)文件接收方(签名验证方)文件1哈希值1(数字摘要)数字签名哈希值2(数字摘要)文件2哈希值3(数字摘要)数字信封技术步骤步骤(运算)3.3.电子签名的使用电子签名的使用Electro
10、nic CommerceLOGO第二节 电子商务安全实用技术DTS(加时间)步骤文件的提交方原信息哈希算法(加密)步骤哈希值(数字摘要)DTS(加电子签名)步骤数字时间戳经过DTSS机构电子签名的数字时间戳(DTSS机构(DTS(加时间)步骤文件的提交方原信息哈希算法(加密)步骤哈希值(数字摘要)DTS(加电子签名)步骤数字时间戳经过DTSS机构电子签名的数字时间戳(DTSS机构(三、三、数字时间戳服务数字时间戳服务Electronic CommerceLOGO第二节 电子商务安全实用技术v 四、四、身份认证技术身份认证技术v 身份认证技术意在揭示敏感信息或在进行事务处理之前确定对方身份。v
11、1身份识别方法的概述v 第一类根据用户知道什么来判断,如用户能说出正确的口令。v 第二类根据用户拥有什么来判断,如用户能提供正确的物理钥匙。v 2身份认证技术中的PKIv(1)PKI的概念v(2)PKI的组成v(3)数字证书的相关概念Electronic CommerceLOGO第二节 电子商务安全实用技术v 五五、病毒防治技术病毒防治技术v 1 1计算机病毒的特征计算机病毒的特征v(1)传染性v(2)潜伏性v(3)破坏性v 2 2计算机病毒的分类计算机病毒的分类v(1)依据病毒的存在媒体,病毒可以划分为网络病毒、文件病毒和引导型病毒。v(2)依据病毒的传播方式,病毒可以划分为驻留型病毒和非驻
12、留型病毒。v(3)依据病毒的破坏能力,病毒可以将其按危害程度划分为非破坏型病毒、危险型病毒、非常危险型病毒。v 3 3计算机感染病毒的常见症状计算机感染病毒的常见症状v(1)计算机系统运行速度减慢。v(2)计算机系统经常无故发生死机。v(3)计算机系统中的文件长度发生等。Electronic CommerceLOGO第二节 电子商务安全实用技术v 4 4关于计算机病毒的分析关于计算机病毒的分析v(1)病毒命名及其传染方式v(2)计算机病毒传播的主要途径v 1)通过各类盘介质v 2)通过网络v 5常见计算机病毒的防治常见计算机病毒的防治v(1)计算机病毒防治的常见措施v 1)备份与恢复v 2)预
13、防与检测v 3)隔离与查杀Electronic CommerceLOGO第二节 电子商务安全实用技术v(2)计算机病毒防治的具体做法v 1)保持杀毒软件的更新,以保证能快速检测到可能入侵计算机的新病毒或者变种。v 2)使用安全监视软件,主要防止浏览器被异常修改,或被安装不安全的恶意插件。v 3)使用防火墙,一般有两种选择:一种是微软操作系统自带的防火墙,另一种是杀毒软件自带的防火墙。v 4)查看并调整计算机现有的不安全设置,如关闭计算机自动播放的功能,对计算机和移动储存工具进行常见病毒免疫,取消微软操作系统自带的网络共享功能,设置用户密码等。v 5)定期进行全盘病毒扫描。v 6)及时更新所使用
14、的系统软件和应用软件。Electronic CommerceLOGO第二节 电子商务安全实用技术防火墙用户服务器交换机路由器InternetDMZ区服务器服务器内部网防火墙用户服务器交换机路由器InternetDMZ区服务器服务器内部网六、六、防火墙技术防火墙技术Electronic CommerceLOGO第二节 电子商务安全实用技术v 1 1)防火墙的作用)防火墙的作用v (1)防火墙是网络安全的屏障v (2)防火墙可以强化网络安全策略v (3)对网络存取和访问进行监控审计v (4)防止内部信息的外泄v 2 2)防火墙的分类)防火墙的分类v(1)按防火墙的软、硬件形式分类v 软件防火墙v
15、硬件防火墙v 芯片级防火墙v(2)从技术角度分类v 包过滤型防火墙v 应用代理型防火墙Electronic CommerceLOGO第二节 电子商务安全实用技术v 3 3)防火墙不能应对的威胁防火墙不能应对的威胁v(1)来自内部的攻击v(2)直接的Internet数据流v(3)病毒防护Electronic CommerceLOGO第三节 电子商务中的安全协议v 网络安全是实现电子商务的基础,而一个通用性强、安全可靠的网络网络安全是实现电子商务的基础,而一个通用性强、安全可靠的网络协议则是实现电子商务安全交易的关键技术之一,它也会对电子商务协议则是实现电子商务安全交易的关键技术之一,它也会对电子
16、商务的整体性能产生很大的影响。的整体性能产生很大的影响。v 1安全套接层协议安全套接层协议v(1)SSL协议概述v 安全套接层协议最初是由Netscape公司研究制定的安全通信协议,是在互联网基础上提供的一种保证机密性的安全协议。v(2)SSL协议的功能v 1)SSL服务器认证允许客户机确认服务器身份v 2)确认用户身份使用同样的技术v 3)保证数据传输的机密性和完整性Electronic CommerceLOGO第三节 电子商务中的安全协议v(3)SSL协议的体系结构设计v SSL协议是为了利用TCP提供可靠的端到端的安全传输。v 1)客户机认证服务器。v 2)允许客户机与服务器选择他们都支
17、持的加密算法或密码。v 3)服务器可有选择地认证客户机。v 4)使用公钥加密技术生成共享密码。v 5)建立加密SSL协议连接。v 2安全电子交易协议安全电子交易协议v(1)SET协议概述v SET协议是一种应用于互联网环境下,以信用卡为基础的安全电子支付协议,它给出了一套电子交易的过程规范。Electronic CommerceLOGO第四节 电子商务中的安全策略v 一、一、制定安全策略原则制定安全策略原则v(1)均衡性v(2)整体性v(3)一致性v(4)易操作性v(5)可靠性v(6)层次性v(7)可评价性Electronic CommerceLOGO第四节 电子商务中的安全策略v二、制定安全
18、策略的目的和内容二、制定安全策略的目的和内容v(1)进行安全需求分析,一是要明确本网络的开放性要求,二是明确安全性要求,然后寻求两者的平衡点,对两者间有矛盾的根据实际情况决定取舍。v(2)对网络系统资源进行评估,如环境、硬件、软件、数据、人员等,对硬件、软件、数据等应尽可能划分出安全等级,明确安全防范重点。网络系统资源进行评估v(3)对可能存在的风险进行分析,包括自然的、人为的、管理的、技术的、硬件的、软件的等,明确需要保护的重点目标和普通目标。v(4)确定内部信息对外开放的种类及发布方式和访问方式,根据本单位或本部门的业务情况,确定网络系统各用户的权限及责任,如用户使用方式、资源访问权限、保
19、密义务等。v(5)明确网络系统管理人员的责任和义务,如环境安全、系统配置、账户设置与管理、口令管理、网络监控、审计及保密等。v(6)确定针对潜在风险采取的安全保护措施的主要构成方面,以及制定安全存取、访问的规则,包括建立各种管理制度等。Electronic CommerceLOGO第四节 电子商务中的安全策略v 三三、制订实施方案、制订实施方案v 根据已确定的安全策略,还要制定安全体系实施方案,以具体实现安全策略。v(1 1)实施方案的主要内容)实施方案的主要内容v(2 2)选择安全技术)选择安全技术v 1)内部网与外部网的连接关系,是单个主机相连还是整个内部网系统与之相连,希望以什么方式接入
20、外部网络(如拨号、专线接入等)。v 2)内部网的类型,网络种类的不同将影响到安全方案接口的选择。v 3)内部网是否为所有用户提供访问外部网的服务以及提供哪些服务,或者只是建立一个“虚拟专用网”并限制对特定的网址进行存取,内部网中使用外部网的用户是固定的还是移动的。v 4)内部网信息是否有加密要求以及被加密信息的性质(国家机密、企业或个人敏感数据)和类型(文字、图片、电子邮件等),加密信息的传输范围是国内的不是国际的都需说明,以便使被咨询机构或人员能够做出正确的反应。Electronic CommerceLOGOv 四四、安全策略的层次安全策略的层次v(1)网络层)网络层v(2)应用层)应用层v
21、 1)要建立全网统一、有效的身份认证机制。v 2)以身份认证和资源管理为基础,实现对全网用户和资源的集中授权管理。v 3)单一注册。v 4)信息传输加密,v 5)确定是否采用代理服务及选择配置方式v 6)建立审计和统计分析机制。Electronic CommerceLOGO图文解说数字证书防火墙Electronic CommerceLOGO【本章习题】v 一、选择题v 1密码学研究的内容包括:将普通信息数据转化成难以理解的信息数据的过程及其相反过程。这里普通信息数据指的是()。v A明文 B密文 C短文 D正文v 2以下不属于电子商务安全目标的是()v A信息的机密性 B信息的完整性v C信息
22、的有效性 D信息的可用性v 3以下缩写表示数字时间戳服务的是()v ADTSS BDESv CPKI DHASHv 4计算机病毒的主要特征不包括()v A传染性 B复制性v C潜伏性 D破坏性v 5在加密类型中,RSA是()v A随机编码 B散列编码v C对称加密 D非对称加密Electronic CommerceLOGO课外修炼硅谷动力(网络安全频道)http:/ CommerceElectronic CommerceLOGO微语录安全是相对的,安全风险永远不可能等于0。数据安全不单单为一个部门,而是为企业运营解决问题。Electronic CommerceElectronic CommerceLOGO课后思考 无线通信终将取代有线通信吗?Electronic CommerceElectronic CommerceCompany LOGOElectronic Commerce经济管理学院经济管理学院 杭俊杭俊
