PPT
【文档说明】第3讲电子商务系统的安全.pptx,共(130)页,1.239 MB,由精品优选上传
转载请保留链接:https://www.ichengzhen.cn/view-332900.html
以下为本文档部分文字说明:
《电子商务概论》第3章电子商务系统的安全广东广播电视大学工程技术系何丰如2005.2第3章电子商务系统的安全第3章电子商务系统的安全3.1电子商务系统安全问题概述3.2电子商务系统网络安全管理基本对策3.3电子商务安全手段3.4计算机病毒及网络黑客的防范第3章电子商务系统的安全第3章电子商务系
统的安全随着电子商务的迅速发展,电子商务系统的安全已受到来自计算机病毒、电脑黑客、计算机网络系统自身脆弱性等各方面的严峻挑战。因此如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,是商家和用户十分关心的重大问题。本章将着重介绍电子商务系统安全的概念、安
全控制要求、网络安全管理对策、常用安全手段和防范措施等内容。第3章电子商务系统的安全3.1电子商务系统安全问题概述3.1.1电子商务系统安全性的基本概念3.1.2电子商务系统的安全控制要求3.1.3危害电子商务系统安全的主要因素跳到下一节返回本章首页第3章电子商务系统的安全3.1.1电
子商务系统安全性的基本概念1、问题的提出由于电子商务是在公开的网上进行的,支付、订货、谈判等信息和机密的商务往来文件等大量商务信息在计算机系统中存放、传输和处理,所以,交易的安全性是电子商务发展的核心和关键问题。保证商务信息的安全是进行电子商务应用的前提。第3章电子商务系统的安全3.1.1电
子商务系统安全性的基本概念2、电子商务系统安全涉及的因素虽然电子商务系统的形式多种多样,涉及的安全问题也是方方面面,但主要有以下因素应加以考虑:(1)物理安全是指保护计算机主机硬件和物理线路的安全,保证其自
身的可靠性和为系统提供基本安全机制。影响物理安全的重要因素:火灾、自然灾害、辐射、硬件故障、搭线窃听、盗窃、偷窃、和超负荷。第3章电子商务系统的安全3.1.1电子商务系统安全性的基本概念2、电子商务系统安全涉及的因素(2)网络安全
是指网络层面的安全。相对于单机,计算机网络不安全的因素更多。原因:因为理论上网络上的计算机有可能被网上任何一台主机攻击或插入物理网络攻击;大部分的Internet协议没有进行安全性设计;网络服务器程序经常需要用超级用户特权来执行。第3章电子商务系统的安全3.1.1电子商务系
统安全性的基本概念2、电子商务系统安全涉及的因素(3)系统软件安全是指保护软件和资料不会被窜改、泄露、破坏、非法复制(包括有意或无意)。系统软件安全的目标是使计算机系统逻辑上安全,使系统中的信息存取、处理和传输满足系统安全策略的要求。系统软件安全可分为:操作系统安全、数据库安全、网络软件安全、应用
软件安全。第3章电子商务系统的安全3.1.1电子商务系统安全性的基本概念2、电子商务系统安全涉及的因素(4)人员管理安全主要是要防止内部人员的攻击。包括:雇员的素质、敏感岗位的身份识别、安全培训、安全检查等人员管理安全问题。(5)电子商务安全立法通过健全法律制度和完善法
律体系,来保证合法网上交易的权益,同时对破坏合法网上交易权益的行为进行依法严惩。电子商务立法是对电子商务犯罪的约束。利用国家机器进行安全立法,体现与犯罪行为斗争的国家意志。返回本节第3章电子商务系统的安全3.
1.2电子商务系统的安全控制要求电子商务发展的核心和关键问题是交易的安全性,由于Internet的开放性,使网上交易面临种种危险,因此提出了相应的安全控制要求,主要有:1、有效性电子商务用电子形式代替了纸张,如何保证这种无纸贸易的有效性是开展电子商务的前提。即应采取各种措
施,确保贸易资料在确定的时刻、确定的地点是有效的。第3章电子商务系统的安全3.1.2电子商务系统的安全控制要求2、保密性电子商务作为贸易的一种手段,其中一些信息直接代表着个人、企业或国家的商业机密。因此在电子商务信息的传播中一般都有保密的要求。维护商业机
密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传播过程中被非法窃取。3、合法性网上交易各方的工作要符合可适用的法律和法规。第3章电子商务系统的安全3.1.2电子商务系统的安全控制要求4、完整
性电子商务虽然简化了贸易过程、减少了人为干预,同时也带来维护贸易各方商业信息的完整、统一的问题。贸易各方信息的完整性将影响到贸易各方的交易和经营策略。因此确保贸易各方信息的完整性是电子商务应用的基础。要预防对信
息的随意生成、修改和删除,同时要防止资料传输过程中信息的丢失和重复,以保证信息传送次序的统一。第3章电子商务系统的安全3.1.2电子商务系统的安全控制要求5、交易者身份的确定性要使网上交易能够成功,首先要能确认对
方的身份,即交易的双方必须确实存在。既要考虑商家不要受客户欺骗,也要考虑客户不要被商家欺骗。因此,能方便和可靠地确认对方的身份是交易的前提。6、不可修改性指在电子商务活动中,交易的文件是不可修改的,否则就会使另一方蒙
受损失。因此,电子交易文件应能做到不可修改,以保证交易的严肃性和公正性。第3章电子商务系统的安全3.1.2电子商务系统的安全控制要求7、不可否认(或不可抵赖)性在传统纸面贸易中,贸易双方通过在合同、单据、契约等书面文件上签字、盖印等手段来鉴别贸易伙伴,确定这些单据的可靠性并预防抵赖行为
的发生。在无纸化电子商务环境中,交易一旦达成应该具有不可否认和不可抵赖性,否则会损害另一方的利益。因此,在电子商务的交易通信过程的各个环节中,都必须是不可否认的。这就要求在交易信息的传输过程中,为参与交易的个人、企业或国家提供可靠的标识
。返回本节第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素1、问题的提出由于电子商务主要是依托计算机网络来进行的,计算机网络技术的发展促进了电子商务的发展,同时也使电子商务系统的安全问题日益复杂和突出。由
于计算机网络资源的共享性和开放性,增加了网络安全的脆弱和复杂性,也增加了网络受威胁和攻击的可能性。因此,对电子商务的不安全性因素分析,主要依据是对网络交易整个运作过程可能出现的各种安全隐患和安全漏洞,使其安全管理有的放矢。第3章电子商务系
统的安全3.1.3危害电子商务系统安全的主要因素2、电子商务的安全威胁在传统交易过程中,买卖双方是面对面的,因此很容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系的,甚至彼此远隔千山万水,因而建立交易双方的安全和信任关系相当困
难。电子商务交易双方(销售者和购买者)都面临不同的安全威胁。第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素3、销售者面临的安全威胁(1)中央系统安全性被破坏:入侵者假冒成合法用户来改变用户数据(如商品送达地址)、解除用户订单或生成虚假订单。(2)竞争者检索商品递送状况:恶意竞
争者以他人的名义来订购商品,从而了解有关商品的递送状况和货物的库存情况。(3)客户资料被竞争者获悉第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素3、销售者面临的安全威胁(4)被他人假冒而损害公司的信誉:不诚实的
人建立与销售者服务器名字相同的另一个服务器来假冒销售者。(5)消费者提交订单后不付款(6)提供虚假订单(7)获取他人的机密数据第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素4、购买者
面临的安全威胁(1)虚假订单一个假冒者可能会以某客户的名字来订购商品,而且有可能收到商品,而此时这一客户却被要求付款或返还商品。(2)付款后不能收到商品在要求客户付款后,销售商中的内部人员不将定单和钱转发给执行部门,因而使客户不能收到商品。第3章电子商务系统的
安全3.1.3危害电子商务系统安全的主要因素4、购买者面临的安全威胁(3)机密性丧失客户有可能将秘密的个人数据或自己的身份数据(如账号、口令等)发送给冒充销售商的机构,这些信息也可能会在传递过程中被窃取。(4)拒绝服务攻击者可能向销售商的服务器发送大量的虚假定单来穷竭它的资源,从而
使合法用户不能得到正常的服务。第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素5、网络硬件的不安全因素计算机进行网络通信时,主要涉及到的网络硬件设施有:通信线路、调制解调器、网络接口、终端、转换
器、处理机等。这些部件的不安全因素主要有:(1)通信监视(2)非法终端(3)注入非法信息(4)线路干扰(5)运行中断(6)服务干扰(7)病毒入侵第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素6、网络软件的不安全因素网
络软件的不安全因素主要涉及以下几方面:(1)操作系统:几乎所有的操作系统都有安全上的漏洞。利用这些安全漏洞,网络黑客可以对其进行攻击。(2)网络协议:TCP/IP等网络协议并非专为安全通信而设计,故会带来安全隐患。(3)网络软件:网络软件的安全隐患以及软件操作上的失误都有可能导致交易信
息传递的丢失和错误。第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素7、工作人员的不安全因素人员管理常常是网络安全管理中最薄弱的环节,这需要从管理制度上来弥补技术上的不足,以保证网络的安全性。工作人员的不安全因素具体表现在以下几方面
:(1)规章制度不健全造成认为泄密事故。(2)业务不熟悉、误操作或不遵守操作规程而造成泄密。(3)保密观念不强,不懂保密规则,随便泄漏机密。(4)熟悉系统的人员故意改动软件,非法获取或窜改信息。(5)恶意破坏
网络系统和设备(6)利用硬件的故障部位和软件的错误非法访问系统,或对各部分进行破坏。第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素8、电子商务的风险类型从整个电子商务系统着手分析,可以将电子商务的安全问题归类为下面四类风险:即信息传输风险、信用风险、管理风
险和法律方面的风险。第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素9、信息传输风险(1)信息丢失交易信息的丢失,可能有三种情况:一是因为线路问题造成信息丢失;二是因为安全措施不当而丢失信息;三是在不同的操作平台上转换操作不当而丢失信息。(2)篡改数据攻击者未经
授权进人网络交易系统,使用非法手段,删除、修改、重发某些重要信息,破坏数据的完整性,损害他人的经济利益,或干扰对方的正确决策,造成网上交易的信息传输风险。第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素9、信息传输风险(3)信息传递过程中的破坏信息在网上传递时
,要经过多个环节和渠道。由于计算机技术发展迅速,原有的病毒防范技术、加密技术、防火墙技术等始终存在着被新技术攻击的可能性。计算机病毒的侵袭、黑客非法侵入、线路窃听等很容易使重要数据在传递过程中泄露,威胁电子商务交易的安全。此外,各种外界的物理性干扰,如通信线路质
量较差、地理位置复杂、自然灾害等,都可能影响到数据的真实性和完整性。第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素9、信息传输风险(4)冒名偷窥“黑客”为了获取重要的商业秘密、资源和信息,常常采用IP地址盗用的
手段进行欺骗攻性击。(5)虚假信息从买卖双方自身的角度观察,网上交易中的信息传输风险还可能来源于用户以合法身份进人系统后,买卖双方都可能在网上发布虚假的供求信息,或以过期的信息冒充现在的信息,以骗取对方的钱款或货物。现在还没有
很好的解决信息鉴别的办法。第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素9、信息传输风险(3)信息丢失交易信息的丢失,可能有三种情况:一是因为线路问题造成信息丢失;二是因为安全措施不当而丢失信息;三是在
不同的操作平台上转换操作不当而丢失信息。第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素10、交易信用风险交易的不可抵赖性是电子商务中的一个至关重要的问题。在网络交易过程中,客户进入交易中心,买卖双方签订合同,
交易中心不但要监督买方按时付款,还要监督卖方按时按要求供货。这些环节都存在大量的交易信用风险。此外,由于交易双方采用电子方式进行谈判、结帐,使一些犯罪分子的欺诈行为更容易得逞,对网络交易的安全构成巨大的威胁。交易信用风险主要来
自三方面:(1)来自卖方的信用风险对于个人消费者来说,可能在网络上使用信用卡进行支付时恶意透支,或使用伪造的信用卡骗取卖方的货物;对于集团购买者来说,存在拖延货款的可能,卖方需要为此承担风险。第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素10、交易信用风险
(2)来自买方的信用风险卖方不能按质、按量、按时寄送消费者购买的货物,或者不能完全履行与集团购买者签订的合同,造成买方的风险。(3)买卖双方都存在抵赖的情况传统交易时,交易双方可以直接面对面地进行交易,信用风险比较容易控制。网上交
易时,物流与资金流在空间上和时间上是分离的,再加上网上交易一般是跨越时空的,交易双方很难面对面地交流,信用的风险就很难控制。这就要求网上交易双方必须有良好的信用,而且有一套有效的信用机制降低信用风险。第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因
素11、管理风险传统交易经过多年发展,在交易时有比较完善的控制机制,而且管理比较规范。而网上交易还只经历了很短时间,还存在许多漏洞,应加强对其进行管理和规范交易。管理风险主要有:(1)交易流程管理风险在网络商品中介交易的过程中,买卖双方签订合同,交易中心不仅要监督
买方按时付款,还要监督卖方按时提供符合合同要求的货物。在这些环节上,都存在着大量的管理问题,如果管理不善,势必造成巨大的潜在风险。因此需要有完善的制度设计,形成一套相互关联、相互制约的制度群。第3章电子商务系统的安
全3.1.3危害电子商务系统安全的主要因素11、管理风险(2)人员管理风险人员管理常常是网上交易安全管理最薄弱的环节。近年来我国计算机犯罪大都呈现内部犯罪的趋势,其原因主要是工作人员职业道德修养不高,安全教育和管理松懈。一些竞争对手还利用企业招募新人的方式潜入该企
业,或利用不正当方式收买企业网络交易管理人员,窃取企业的用户识别码、密码、传递方式以及相关的机密文件资料。(3)交易技术管理风险网络交易技术管理的漏洞也带来较大的交易风险。有些操作系统的某些用户是无口令的,如匿名访问,利用远程登陆命令登陆这些无口令用户,允许被信任用户不
需要口令就可以进人系统,然后把自己升级为超级用户。第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素12、法律风险网上交易系统的技术是先进且具有强大的生命力的。但也必须看到,在目前的法律上还找不到现成的条文保护网络交易中的交易方式,因此还存在法律滞后所带
来的风险。一方面,在网上交易可能会承担由于法律滞后而无法保证合法交易的权益所造成的风险,如通过网络达成交易合同,可能因为法律条文还没有承认数字化合同的法律效力而面临失去法律保护的危险。另一方面,在网上交易可能承担由于法律
的事后完善所带来的风险。即在原来法律条文没有明确规定下而进行了网上交易,在后来颁布新的法律条文下却属于违法经营,从而造成巨大损失。第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素13、计算机病毒和黑客攻击的风险计算机病毒和黑客的攻击是困扰计算机网络正常运转的两大棘手难
题,是威胁计算机安全的不可忽视的因素。14、环境的不安全因素(自然灾害/事故)环境因素(包括:地震、火灾、水灾、风灾等自然灾害;调电、停电事故;以及其它不可预测的不安全因素)也是威胁网络安全的因素之一。第3章电子商务系统的安全3.1.3危害电子商务系统安全的主要因素15、电子商务安全管理的思路网
上交易安全管理,应当跳出单纯从技术角度寻求解决办法的思路,采用综合防范的思路,从技术、管理、法律等方面综合思考。建立一个完整的网络交易安全体系,至少从三个方面考虑,并且三者缺一不可。返回本节第3章电子商务系统的安全3.2电子商务系统网络安全管理基本对策3.2.1技
术对策3.2.2管理对策3.2.3构造电子商务交易安全的保障体系跳到下一节返回本章首页第3章电子商务系统的安全3.2.1技术对策技术对策主要有:设置虚拟专用网、使用安全访问设备、防火墙技术、网络防毒、信息加密存储通信、身份认证
、访问控制、授权等。下面分别进行简要讨论(但只有技术措施并不能完全保证网上交易的安全)。1、设置虚拟专用网VPNVPN(VirtualPrivateNetworks)是构建在公用网络(如Internet)基础设施之上的专用网络,也是在Internet上用于电子交易
的一种专用网络,它可以在两个系统之间建立安全信道。在VPN中交易双方相互比较熟悉,彼此之间数据通信量很大。在VPN中使用比较复杂的专用加密和认证技术,极大地提高了电子商务的安全,是进行电子商务比较理想的一种形式。
第3章电子商务系统的安全3.2.1技术对策设置VPN的关键技术:对数据包进行加密,并在互联网上创建一个专用加密隧道,其它系统或用户就不能访问在这个通道上传输的数据。VPN的组成结构如下图所示:第3章电子商务系统的安全3.2.1技术对策2、保护传输线路安全露天线路要有保护措施。远离
各种辐射源。集线器和调制解调器应放在受监视的地方。定期检查线路。3、采用端口保护设备在利用电话拨号交换网的计算机网络中,远程终端和通信线路是安全的薄弱环节,故端口保护成为网络安全的一个重要问题。最简单的
方法是不用时拔下插头或断掉电源,此外是利用各种端口保护设备。第3章电子商务系统的安全3.2.1技术对策4、使用安全访问设备使用智能卡、安全磁盘、安全认证卡等安全访问设备,它们相当于给Web安全又加了一
道保险。5、路由选择机制➢由信息发送者选择特殊路由➢由网络安全控制机构通过调整路由表,限制某些不安全的通路。6、隐蔽信道公开信道是为合法信息流提供传输的通道,而隐蔽信道则采用特殊编码,使秘密信息流可以逃避常规安全控制机构的检测,在
普通系统中形成一个秘密的传输通道,传给未授权者。第3章电子商务系统的安全3.2.1技术对策7、防火墙:防火墙是一种将内部网与公众网如Internet分开的隔离技术。8、信息加密机制:信息加密是网络中采用的最基本的安全技术。它是采用数学方法对原始信息(称为“明文
”)进行再组织而形成“密文”在网络上传输。涉及信息、密匙、算法。9、访问控制:是按照事先确定的规则决定主体对客体的访问是否合法。它包括:权限控制;日志记录;文件和数据库设置安全属性(如只读、读/写、可修改、可执
行、共享程度等)。第3章电子商务系统的安全3.2.1技术对策10、鉴别机制:鉴别是为每一个通信方查明另一个实体身份和特权的过程。其方式有:报文鉴别;数字签名;终端识别技术等。11、数据完整性机制:传输数据完整性控制包括:正确的发送方/接收方;数据无丢失/误送;时序正确等。12、审
计追踪机制:审计记录追踪,记录每个用户的网络地址和时间,记录管理员活动。13、入侵检测机制:主要是利用审计记录,检测和识别系统中未授权或异常现象。以上技术方面的措施将在3.3节作详细介绍。返回本节第3章电子商务系统的安全3.2.2管理对策电子商务系统
安全管理制度是用文字形式对各项安全要求所做的规定,建立各种有关的合理制度,并加强严格监督,是网络营销人员安全工作的规范和准则。这些制度主要有:1、人员管理制度①严格网络营销人员的选拔;②落实工作责任制;③坚持贯彻电子商务安全运作基本原则:双人负责;任期有限;
最小权限原则。2、保密制度①信息的安全级别分三级:绝密/机密/秘密;②对密匙的管理,注意定时更换第3章电子商务系统的安全3.2.2管理对策3、跟踪、审计、稽核制度①跟踪制度要求企业建立网络交易系统日志机制,记录系统运行的全过程。②审计制度包括经常对系统日志的检查和审
核,及时发现对系统故意的入侵行为和安全违规记录。③稽核制度是指工商、税务、银行人员利用网络借助于稽核业务应用软件调阅、查询、审核、判断辖区内各电子商务参与单位业务经营活动的合理性、安全性等,保证电子商务交易安全。第3章电子商务系统的安全3.2.2管理对策4、网络系统的日常维护制度①
硬件的日常管理维护制度:包括:Intranet、网络设备、服务器和客户机、通信线路等。②软件的日常管理维护制度:包括:支撑软件(如操作系统,数据库,开发工具等)和应用软件(可以设置一台安装服务器,为客户机提供远
程安装。选择网络负载较低时进行)。5、数据备份、恢复和应急措施6、抗病毒返回本节第3章电子商务系统的安全3.2.3构造电子商务交易安全的保障体系应该从以下几方面入手来构造电子商务交易安全的保障体系:1、组织力量研究目
前使用的网络安全产品基本上都是国外的产品。应尽快开发我国自己的网络安全产品。2、尽快建立与安全电子交易相对应的国家电子商务认证中心,对交易各方进行有效的认证3.强化电子商务交易市场管理,规范买卖双方和中介方的交易行
为,制定规范的电子商务交易标准第3章电子商务系统的安全3.2.3构造电子商务交易安全的保障体系4、尽快完善电子商务交易的法律法规➢目前我国在这方面的研究还处于起步阶段。➢已出台的法规有:《因特网域名管理条
例》等➢需要制定的有关法规有:市场准入制度、合同有效认证办法、电子支付系统安全措施、信息保密防范办法、知识产权侵权处理规定、隐私权保护办法、税收征收办法、广告管制、网络内容的过滤要求等返回本节作业1.进入一个电子商务购物网站,申请一个新的
帐号。2.模拟购买图书,写出基本步骤。(切记:到达付款及送货信息那一步后,若不是确定购买,不要进入下一步)3.结合上述操作,总结一下建立B2C网站需要提供的主要功能。要求:✓可以互相讨论,但要独立完成。✓必须写在作业本上第3章电子商务系统
的安全3.3.1电子商务系统防火墙3.3.2电子商务信息加密3.3.3电子商务数字签名3.3.4电子商务身份认证3.3.5电子商务数字时间戳3.3.6电子商务数字证书3.3电子商务的安全手段跳到下一节返回本章首页第3章电子商务系统的安全3.3.1
电子商务系统防火墙在第二节中我们讨论了电子商务网络安全管理基本对策,里面涉及到不少具体的处理手段。本节主要介绍一些比较流行的安全手段。1、防火墙的基本概念企业内部网Intranet是企业电子商务系统的一个重要组
成部分。Intranet与Internet连接后,方便了企业内部与外部的信息交流,工作效率得到提高。但同时,也产生了不安全因素。为了达到既要与外界沟通,又要保护信息和网络平台安全的目的,就要在被保护的内部网与外部网之间设置一道屏障,以
防止发生不可预测的、潜在破坏性的侵入。所有内部网和外部网之间的链接都要经过这一保护层。这一保护屏障就称为防火墙。第3章电子商务系统的安全3.3.1电子商务系统防火墙(1)防火墙的定义防火墙是指一个由软件和硬件设备组合而成,在Intranet和Internet之间的界面上构筑的一道保护屏障(如下
图所示),用于加强内部网络和公共网络之间安全防范的系统。(2)防火墙的作用就是限制Internet用户对内部网络的访问以及管理内部用户访问外界的权限。第3章电子商务系统的安全InternetIntranetE-Mail服务器Web服务器内部客户机数据库外部WWW客户防火墙防火墙系统示
意图第3章电子商务系统的安全3.3.1电子商务系统防火墙(3)防火墙的安全控制策略防火墙是一种技术。是目前保证网络安全的必备的安全手段。它在网络之间执行访问控制策略。实现防火墙的实际方式各不相同,但是在原则
上,防火墙可以被认为是这样一对机制:一种机制是拦阻传输流通行,另一种机制是允许传输流通过。即:•凡是没有被列为允许访问的服务都是被禁止的。•凡是没有被列为禁止访问的服务都是被允许的。第3章电子商务系统的安全3.3.1电子商务系统防火墙4
、防火墙的功能(防火墙可以防范什么?)(1)过滤不安全服务防火墙只允许特定的服务通过,其余信息流一概不许通过。从而保护网络免受除特定服务攻击之外的任何攻击。确保电子商务系统平台不受到入侵。做法:封锁所有信息流,然后对希望提供的服务逐项开放。(如:HTTP、POP
3、FTP等服务。)对不安全的服务或可能有安全隐患的服务一律关闭。这是一种非常有效实用的方法,可以造成一种十分安全的环境,因为只有经过仔细挑选的服务才能允许用户使用。第3章电子商务系统的安全3.3.1电子商务系统防火墙4、
防火墙的功能(防火墙可以防范什么?)(2)过滤非法用户和访问特殊站点确保所有电子商务应用都是授权访问。保护关键部门不受到来自内部或外部的攻击。做法:防火墙应先允许所有的用户和站点对内部网络的访问,然后网络管理员按照IP地址对未授权的用户或不信任的站点进行逐项屏蔽。这种方法
构成了一种更为灵活的应用环境,网络管理员可以针对不同的服务面向不同的用户开放,也就是能自由地设置各个用户的不同访问权限。第3章电子商务系统的安全3.3.1电子商务系统防火墙4、防火墙的功能(防火墙可以防范什么?)(3)设置安全和审计检查
对所有商业事务处理进行审计,以便安全管理和责任追究。做法:防火墙可以发挥一种有效的“电话监听”(Phonetap)和跟踪工具的作用。防火墙提供一种重要的记录和审计功能;可以向管理员提供一些情况概要,如有关通过防火墙的传输流的类型和数量以及有多少次试图闯入防火墙的企图
等等信息。第3章电子商务系统的安全3.3.1电子商务系统防火墙4、防火墙的功能(防火墙可以防范什么?)(4)数据源控制使用过滤模块来检查数据包的来源和目的地址,根据管理员的规定来决定接收还是拒绝该数据包。(5)应用与数据包级控制扫描数据包的内容,查找与应用相关的数据。
在网络层对数据包进行模式检查。(6)对私有数据的加密支持保证通过Internet进行的VPN和商务活动不受损坏。第3章电子商务系统的安全3.3.1电子商务系统防火墙4、防火墙的功能(防火墙可以防范什么?)(7)使用授权控制客户端认证只允许指定的用户访问内部网或选择服务(8)
反欺骗欺骗是从外部获取网络访问权的常用手段,它使数据包好似来自网络内部,电子商务系统的防火墙应监视这样的数据包并能扔掉它们。第3章电子商务系统的安全3.3.1电子商务系统防火墙5、防火墙的组成防火墙是一个由软件和硬件设备组合而成的安全应用系统,主要由安全操作系统、过滤器、网关
、域名管理器和电子邮件处理5部分组成。防火墙本身必须建立在安全操作系统所提供的安全环境中。防火墙的代码只允许在特定主机系统上执行。具有防火墙的主机在Internet界面称为堡垒式计算机。它可以暴露在In
ternet中,抗击来自黑客的直接进攻。第3章电子商务系统的安全3.3.1电子商务系统防火墙6、防火墙的类型根据防火墙使用的技术和系统配置,可以分为以下几种类型:(1)包过滤型防火墙(网络层)位置:通
常安装在路由器上(一般的商用路由器都提供包过滤的功能)。原理:在网络层中对数据包实施有选择的通过。以IP包信息为基础,检查IP包中的信息(源地址、目标地址、应用或协议、端口号等),确定是否允许该数据包通过。即检查每一条规则,直到发现包中的信息与某条规则相符;或者没有一条规则能符合,
防火墙就使用默认规则(丢弃该IP包)。优点:简洁、速度快、费用低,对用户透明,也就是说不需要用户输入帐号和密码来登录,因此速度上要比代理服务器快,且不容易出现瓶颈现象。缺点:没有用户的使用记录,所以不能从访问记录中发现非法入侵的攻击记录。第3章电子商务系统的安全
3.3.1电子商务系统防火墙6、防火墙的类型(2)代理服务器型防火墙原理:内部网络与Internet不直接通讯,防火墙内外的计算机之间的通信通过代理服务器中转。内部网络计算机用户与代理服务器采用一种网络通讯协议,代理服务器与Int
ernet之间的通信则采用另一种网络通信协议,即代理服务器两端采用不同的协议标准,这样便成功地实现了防火墙内外计算机系统的隔离,能够有效地阻止外界直接非法入侵。优点:能够检查进出的数据包,复制传递数据,能够理解应用层上的协议,有较好的访问控制,并做精细的注册和稽核。是目前最安全的
防火墙技术。缺点:缺乏透明度(需要用户输入帐号和密码来登录);在内部网络终端机很多的情况下,代理服务器负担很重,效率必然会受到影响。第3章电子商务系统的安全3.3.1电子商务系统防火墙6、防火墙的类型(2)代
理服务器型防火墙代理服务器通常由性能好、处理速度快、容量大的计算机来充当,在功能上是作为内部网络与Internet的连接者,它对于内部网络来说是象一台真正的服务器一样,而对于因特网上的服务器来说,它又是一台客户机。当代理服务器接受到用户的请求以后,会检查用户
请求的站点是否符合设定要求,如果允许用户访问该站点的话,代理服务器就会和那个站点连接,以取回所需信息再转发给用户(见下图)。内部网Internet代理服务器第3章电子商务系统的安全3.3.1电子商务系统防火墙6、防火墙的类型(3)加密路由器型防火墙对通过路由器的信息流进
行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。(4)电路级防火墙(5)规则检查防火墙(6)复合型防火墙(7)屏蔽主机防火墙第3章电子商务系统的安全3.3.1电子商务系统防火墙7、防火墙的局限性(防火墙不能防范什么?)●不能防
范来自内部的攻击。●不能真正防止人为因素的攻击。如口令泄露、用户错误操作。●不能有效地防范受病毒感染的软件或文件的传输。在网络上传输二进制文件的编码方式太多了,并且有太多的不同的结构和病毒,因此不可能查找所有的病毒。●不能防止数据驱动式的攻击。即通过将某些表面看来无害的数据邮
寄或拷贝到内部主机中,然后它再在内部主机中运行而造成的攻击。返回本节第3章电子商务系统的安全3.3.2电子商务信息的加密1、有关加密技术的基本概念●加密:采用某种规则(算法和密钥)对原始信息(“明文”)进行编码或某种变换,使它成为不可理解的形式(“密文”)。这个过程就是加密(加密需要两个输
入项:明文和加密密钥)。●解密:将密文还原成原来可理解的原始信息(即:“明文”)。是加密的逆过程(解密也需要两个输入项:密文和解密密钥)。●规则(算法和密钥):加密和解密必须依赖两个要素,这两个要素就是算法和密钥。算
法是加密或解密的一步一步过程(或计算方法),在这一过程中需要一串数字,这串数字就是密钥。第3章电子商务系统的安全3.3电子商务安全手段3.3.2电子商务信息加密举例:明文加(解)密规则密文算法密钥revolution从第一
个字母开始从前往后每隔2个字母取1个字母,按顺序排列。每隔2个字母取1个,共排列10个字母获得密文如下:rotnvuoeli获得明文如下:revolution从第一个字母开始从后往前每隔2个字母取1个字母,按顺序排列。每隔2个字母取1个,共排列10个字
母rotnvuoeli第3章电子商务系统的安全3.3.2电子商务信息的加密1、有关加密技术的基本概念●加密技术的关键:设计算法很困难,算法一般固定不变,密钥却可以变化。所以,加密技术的关键是密钥。●密
钥的长度:指密钥的位数。一个16位的密钥有216=65536种不同的密钥。密文破译实际上是黑客利用计算机程序去不停地猜测。按现在的计算机技术水平,要破解16位密钥很容易,但要破解1024位RSA密钥,需要上千年的计算时间。所以,密钥的位数越长,加密系统越牢固。第3
章电子商务系统的安全3.3.2电子商务信息的加密1、有关加密技术的基本概念●加密的作用和意义加密最明显的作用就是提供机密性。这里“明文‘代表未经保护的敏感数据,而相应的”密文“可以在不被信任的环境中传输。加密后的信息,即使被他人
截取,由于得到的是加密后的不可理解的信息(密文),因此无法知道这些信息的原始涵义;同时加密后,他人也无法加入或删除信息,因为加密后信息被改变后就无法得到原始信息。因此可以起到保护重要信息安全的作用。第3章电子商务系统的安全3.3.2电子商务信息的加密
2、电子商务信息的加密技术(1)对称加密技术指对信息的加密和解密都使用相同的密钥的加密技术。特点:处理简单。当某一贸易方有N个贸易关系,他就要维护N个专用密钥。无法鉴别贸易发起方或贸易最终方。存在问题:1)在首次通信前,双方必须通过除网络以外
的另外一个安全途径传递统一的密钥。2)当通信对象增多时,需要相应数量的密钥。3)对称加密是建立在共同保守秘密的基础之上的,在管理和分发密钥过程中,任何一方的泄密都会造成密钥的失效,存在着潜在的危险和复杂的管理难度。第3章电子商务系统的安全3.3.2电
子商务信息的加密2、电子商务信息的加密技术(1)对称加密技术对称加密的密钥管理:对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥,要保证彼此密钥的交换是安全可靠的,同时还要设定防止密钥泄
密和更改密钥的程序。这样,对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。通过公开密钥加密技术实现对称密钥的管理,使相应的管理变得简单和更加安全,同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。第3章电子商务系统的安全3.3.2电子商务信息的加密
2、电子商务信息的加密技术(1)对称加密技术对称加密的过程:①发送方用自己的私有密钥对要发送的信息进行加密,得到密文;②发送方将加密后的信息通过网络(或Internet)传送给接收方;③接收方用发送方进行加密的那把私有密钥对接收到的
加密信息进行解密,得到信息的明文。第3章电子商务系统的安全3.3.2电子商务信息的加密2、电子商务信息的加密技术(1)对称加密技术对称加密算法:对称加密算法有很多,下面是常见的几种。①数据加密标准(DES):这是由美国国家标准局提出,是目前广泛采用的对称加密方式之一
,主要应用于银行业中的电子资金转帐(EFT)领域。②高级加密标准(AES):AES是一种密码块加密方法。可对28位的密码块进行处理,密钥的长度可以是128、192、256位。③三重DES:使用多重加密方法可以增
加DES的有效密钥长度,这种算法比单一的DES功能更强大。④Rivest密码:这是属于RSA数据安全公司的(包括:RC2~RC6)比较流行的算法,这些算法相对比较简单,实施起来较容易。第3章电子商务系统的安全3.3.2电子商务信息的加密2、电子商务信息的加密技术(2)非对称加密技术(公—私钥加密
技术)非对称加密又称为公开密钥加密,需要采用两个在数学上相关的密钥对:公开密钥和私有密钥进行加密。一个公钥和一个与公钥不同的私钥组成密钥对。用公钥加密的结果只能用私钥才能解密。同时,用公钥推导私钥的代价在实
际中是十分高昂的,甚至是不可行的。因此你可以将你的公钥散发给其他人,而你自己则安全地持有你的私钥。这样其他人向你发送邮件时就可以用你的公钥进行加密,而这封被加密的邮件只有你才能用你的私钥解密并阅读。即在此过程中使用两把密钥,第
3章电子商务系统的安全3.3.2电子商务信息的加密2、电子商务信息的加密技术(3)非对称加密技术的两种基本模式1)加密模式(多对一)在加密模式中,非对称加密的加密和解密的过程如下:①发送方用接收方的公开密钥对要发送的信息进行加密,得到信息的密文
;②发送方将加密后的信息通过网络(或Internet)传送给接收方;③接收方用自己的私有密钥(只有接收方才有)对接收到的信息进行解密,得到信息的明文。第3章电子商务系统的安全3.3.2电子商务信息的加密2、电子商务信息的加密技术(3)非对称加密技术的两种基本模式
2)验证模式(一对多)在验证模式中,非对称加密的加密和解密的过程如下:①发送方用自己的私有密钥(只有发送方才有)对要发送的信息进行加密,得到信息的密文;②发送方将加密后的信息通过网络(或Internet)传送给接收方;③接收方用发送方的
公开密钥对接收到的信息进行解密,得到信息的明文。第3章电子商务系统的安全3.3.2电子商务信息的加密2、电子商务信息的加密技术(4)最著名的非对称加密算法(RSA算法)原理:非对称加密技术采用RSA算法,加密和解密使用两把密钥,一把称为公钥,另一把称为私钥,两把密钥
实际上是两个很大的质数,用其中的一个质数(公钥)与明文相乘,可以加密得到密文;用另一个质数(私钥)与密文相乘可以解密得到明文,但不能用一个质数求得另一个质数,即知道公钥也无法求出私钥。存在问题:运算速度慢。第3章电子商务系统的安全3.3.2电子
商务信息的加密3、加密技术的不足之处•加密标准很多,但缺乏一个安全交易的通用标准。同时带来了兼容性的问题。•加密技术是国家控制的技术,加密技术只有牢牢掌握在自己国家手中,才能够比较主动地把握各类信息的安全性。返回本
节第3章电子商务系统的安全3.3.3电子商务数字签名1、书面文件签名的作用在书面文件上签名是确认文件的一种手段。其作用有两点:第一,因为自己的签名难以否认,从而确认了文件已签署这一事实;第二,因为签名不易仿冒,从而确
定了文件是真的这一事实。数字签名与书面文件签名有相同之处,采用数字签名,也能确认以下两点:第一,信息是由签名者发送的;第二,信息自签发后到收到为止未曾做过任何修改。这样数字签名就可用来防止电子信息因易被修改而有人做假,或假
冒他人名义发送信息。或发出(或收到)的信件又加以否认等情况发生。应用广泛的数字签名方法主要有三种,即:RSA签名、DSS签名和Hash签名。这三种算法可以单独使用。也可综合在一起使用。第3章电子商务系统的安全3.3.3电子商务数字签名2、数
字签名的原理(1)数字签名的产生过程:将原文按双方约定的HASH算法计算得到一个固定位数的数字串(称为报文摘要)。(该算法在数学上保证只要改动报文中任何一位,重新计算出的报文摘要值就与原先的值不相符。这样就保证了报文的不可更改性。同时通过摘要是无法获得原文的。)然后对所得的摘要用发送
者的私钥进行加密,并将加密结果作为数字签名附在原文后发送给对方(如下图)。(2)检验数字签名的过程:接收者收到数字签名和原文后,用同样的HASH算法对正文计算形成摘要,再对所附数字签名用发送者的公钥进行解密。如果两者的结果相同,数字签名得到验证,接收方就能确认该数字签名是
来自发送方的;否则就是假冒或被篡改的原文。因为相应的私钥只有该原文声明者拥有,而只有用该私钥加密才能获得可由相应公钥正确解密的结果。第3章电子商务系统的安全数字签名是公开密钥加密技术的另一类应用。发送方用自己的私有密钥进行加密后形成数字签名,而接收方则用发送方的公开密钥进行验
证操作。数字签名的过程Hash算法原文摘要摘要?原文摘要Internet发送方接收方Hash算法数字签名发送者私钥加密数字签名发送者公钥解密对比和验证是否正确?第3章电子商务系统的安全3.3.3电子商务数字签名3、数字签名的作用数字签名的作用是为了鉴别文书的真伪,传统的做法是相关人员在文
件或书信上亲笔签名或印章。签名起到认证、核准、生效的作用。保证信息的完整性和不可否认性。(1)数字签名解密后得到的摘要与用Hash函数处理原文后得到的摘要应该相同,否则,表示原文已被修改或有丢失。(2)能够用公钥解密的数字签名只可能由发送
者的私钥来产生,所以签名者无法否认自己的签名;接收方也无法伪造发送方的签名。因此数字签名可作为信息发/收双方对某些有争议信息的法律依据。4、数字签名与手书签名的区别手书签名是模拟的,因人而异;数字签名是数字的(0和1的数字串),因消息而异。第3章电子商
务系统的安全3.3.3电子商务数字签名4、数字签名和数字加密的区别数字签名和数字加密的过程虽然都使用公开密钥体系,但实现的过程正好相反,使用的密钥对也不同。数字签名使用的是发送方的密钥对,发送方用自己的私有密钥进行加密,接收方
用发送方的公开密钥进行解密,这是一个一对多的关系,任何拥有发送方公开密钥的人都可以验证数字签名的正确性。数字加密则使用的是接收方的密钥对,这是多对一的关系,任何知道接收方公开密钥的人都可以向接收方发送加密信息,只有唯一拥有接收方私有密钥的人才能对
信息解密。另外,数字签名只采用了非对称密钥加密算法,它能保证发送信息的完整性、身份认证和不可否认性,而数字加密采用了对称密钥加密算法和非对称密钥加密算法相结合的方法,它能保证发送信息保密性。返回本节第3章电子商务系统的安全3.3.4电子商务的身份认证1、电子商务身份认证
的必要性一方面,只有合法用户才能使用网络资源,故网络资源管理要求识别用户身份;另一方面,由于网络交易时双方并不见面,通过普通的电子传输信息很难确认对方的身份。因此应采取一定的措施使交易双方能互相确认对方的身份,才能放心的开展电子商务活动。2、电子商务身份认证的目标①保证信息来源的可
信(并非假冒);②传输过程的完整性(没有被修改、延迟、替换);③收发双方的不可抵赖性;④访问控制(拒绝非法用户访问系统资源,合法用户只能访问系统授权和指定的资源)。第3章电子商务系统的安全3.3.4电子商务的身份认证3、电子商务身份认证的基本方式①人体生物学特征方式:用户具有的某些生物
学特征,如指纹、声音、DNA图案、脸部等,相同的概率非常小,用它可以直接认证。但这种认证方案一般造价较高,多半适用于保密程度很高的场合。②口令方式:一般是长度为5-8位的字符串。由数字、字母、控制字符等组成。其原则是:易记,难猜,难分析。③标记方式:标记是用户
所持有的某个秘密信息(硬件),其中存储有用户的个人化参数,访问系统资源时,用户必须持有合法的随身携带的物理介质,例如智能卡。其作用类似于钥匙,用于启动电子设备。返回本节第3章电子商务系统的安全3.3.5电子商
务的数字时间戳1、电子商务身份认证的基本方式(1)数字时间戳的必要性:在书面合同中,文件签署的日期和签名一样都十分重要。是防止文件被伪造和篡改的关键性内容。电子交易中,同样要对交易文件的日期和事件信息采取安全措施。数字时间戳服务
能提供电子文件发表时间的安全保护。(2)数字时间戳服务的提供:由专门的机构提供。是一个加密后形成的凭证文档,包括:需要加时间戳的文件的摘要,服务机构收到文件的日期和时间,数字时间戳的数字签名。(3)数字时间戳产生的过程:用户将需要加时间戳的文件用Hash函数形成摘要;将摘要发送到服务机构;机构对摘
要加上时间后进行数字签名并发送给原用户;原用户可以把它发送给接收者。返回本节第3章电子商务系统的安全3.3.6电子商务的数字证书1、概述在电子商务中,所谓数字证书,是一个由使用数字证书的用户群所公认和信任的权威机构(即CA)
签署了其数字签名的信息集合。在电子商务中,不同的数字证书有着不同的用途。2、认证机构CA(CertificateAuthority认证中心)一个受法律承认的权威机构。采用PKI(PublicKeyInfrastructure)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,
且具有权威性和公正性的第三方信任机构,它的作用就像我们现实生活中颁发证件的公司(如护照办理机构),专门验证交易双方的身份,对密钥进行有效管理,颁发证书证明密钥的有效性,将公开密钥和某一个实体联系起来。其职能是:发放和管理用户的数字证书。第3章电子商务系统的安全3.3.6电子商务的数
字证书3、认证机构(CA)中心的职能接收注册请求,处理、批准或拒绝请求,核发和管理用户的数字证书;负责证书的检索、撤消、验证、数据库备份、保证证书和密钥服务器的安全。4、CA认证系统组成及功能目前CA认证系统主要由以下三部分组成:(1)在客户端面向证书
用户的数字证书申请、查询和下载系统;(2)在CA端由CA管理员对证书申请进行审批的证书授权系统;(3)在CA控制台,签发用户证书的证书签发系统。第3章电子商务系统的安全3.3.6电子商务的数字证书5、数字证书又称为数字标
识(DigitalCertificate,DigitalID)。是一个经证书授权机构数字签名的数字信息文件。它提供了一种在Internet上身份验证的方式,用来标志和证明网络通信双方的身份,与司机驾照或日常生活中的身份证相似。在网上进行电子商务活动时,交
易双方需要使用数字证书来表明自己的身份,并使用数字证书来进行有关的交易操作。通俗地讲,数字证书就是个人或单位在Internet的身份证。数字证书主要包括三方面的内容:证书所有者的信息、证书所有者的公开密钥和证书颁发机构的数字签名。第3章电子商务系统的安全3.3.6电子商务的数字证书6、数字证
书的用途数字证书采用公-私钥密码体制,每个用户拥有一把仅为本人所掌握的私钥,用它进行信息解密和数字签名;同时拥有一把公钥,并可以对外公开,用于信息加密和签名验证。数字证书可用于:发送安全电子邮件、访问安
全站点、网上证券交易、网上采购招标、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。最简单的数字证书包含一个公开密钥、名称以及证书授权中心的数字签名。第3章电子商务系统的安全3.3.6电子商务的数字证书7、数字证书包含的内容数字证书包含以下一些内容:①证书的
版本信息;②证书的序列号(每个证书都有唯一的证书序列号);③证书所使用的签名算法;④证书发行机构名称;⑤证书发行机构的数字签名(用私钥的签名);⑥证书的有效期;⑦证书拥有者的名称;⑧证书拥有者的公钥;第3章电子商务系统的安全3.3.6电子商务的数字证书8、数字证书包含
的类型(1)个人证书仅仅为某个用户提供凭证。安装在用户的浏览器上。用于网上安全交易操作,访问需要客户验证安全的站点,发送带签名的Email等。(2)企业(或服务器)数字证书企业可以用具有凭证的站点进行安全电子交易,开启
服务器SSL安全通道,使用户和服务器之间的数据加密传送,要求客户出示个人证书。(3)软件(或开发者)数字证书为软件提供凭证,以证明该软件的合法性,这样可以在Internet上安全地传送。第3章电子商务系统的安全3.3.6电子商务的数字证书9、
证书的树形验证结构●双方通信时,通过出示某个认证中心(CA)签发的证书来证明自己的身份。●如果对签发证书的CA不信任,则可以验证该CA的身份。●CA的数字证书由其上一级的CA签发。●可以逐级验证,直到公认的权威CA处。(根CA)●根证书是一份特殊的证书,它的签发者是它本
身,下载根证书就表明您对该根证书以下所签发的证书都表示信任,而技术上则是建立起一个验证证书信息的链条,证书的验证追溯至根证书即为结束。第3章电子商务系统的安全图3-30查看证书内容(1)第3章电子商务系统
的安全图3-31查看证书内容(2)第3章电子商务系统的安全图3-32查看证书内容(3)第3章电子商务系统的安全根CA南方电子商务中心(广东CA)SouthernElectronicBusinessCenterC
lassBCA(湖北)HBECA证书2证书3证书4(海南)HNCA证书1CA的树形结构第3章电子商务系统的安全3.3.6电子商务的数字证书第3章电子商务系统的安全11、数字证书的申请(1)下载并安装根证书(如图3-34~3-38所示)(2)申请证书(如图3-39~3-41所示)(
3)将个人身份信息连同证书序列号一并邮寄到中国数字认证网3.3.6电子商务的数字证书第3章电子商务系统的安全下载根CA图3-34下载根证书(1)第3章电子商务系统的安全图3-35下载根证书(2)第3章电子商务系统的安全图3-36安
装根证书(1)第3章电子商务系统的安全图3-37安装根证书(2)第3章电子商务系统的安全图3-38查看根证书第3章电子商务系统的安全图3-39申请个人免费证书第3章电子商务系统的安全图3-40下载个人证
书第3章电子商务系统的安全图3-41查看个人证书第3章电子商务系统的安全12、数字证书应用操作实例(个人证书在安全电子邮件中的应用)(1)在OutlookExpress5发送签名邮件(如图3-42~3-46所示)
:1)在OutlookExpress5中设置证书、2)发送签名邮件。(2)用OutlookExpress5发送加密电子邮件(如图3-47~3-50所示):1)获取收件人数字证书、2)发送加密邮件。3.3
.6电子商务的数字证书第3章电子商务系统的安全图3-42在OutlookExpress中设置证书(1)第3章电子商务系统的安全图3-43在OutlookExpress中设置证书(2)第3章电子商务系统的安全图3-44在OutlookExpress中设置证书(3)第3章电
子商务系统的安全签名标记图3-45发送签名邮件第3章电子商务系统的安全图3-46收到签名邮件的提示信息第3章电子商务系统的安全单击单击图3-47将收件人证书添加到通信簿第3章电子商务系统的安全选择查询证书下载图3-48查询和下载收件人数字证书第3章电子商务系统的安全加密
标志图3-49发送加密邮件第3章电子商务系统的安全图3-50收到加密邮件的提示信息第3章电子商务系统的安全3.3电子商务的安全手段3.3节小结:返回本节第3章电子商务系统的安全3.4计算机病毒及网络黑客的防范3.4.1计算机网络病毒的类型、危害与防范3.4
.2网络黑客及其防范3.4.3电子商务安全交易标准跳到下一节返回本章首页第3章电子商务系统的安全3.4.1计算机网络病毒的类型、危害与防范1、计算机病毒的定义人为编制的、寄生于计算机合法程序或操作系统中的、可自我执行和自行复制的、具有传染性和破坏性的、以破坏
计算机系统正常工作为目的非法程序。2、计算机网络病毒的类型(1)蠕虫(高速复制自己,占用系统资源);(2)逻辑炸弹(满足某种条件时受激发);(3)特洛伊木马(具有隐蔽性);(4)陷阱入口(程序开发者有意安排引入歧路);(5)核心大战(允许两个程序互相破坏的游戏程序)。第3
章电子商务系统的安全3.4.1计算机网络病毒的类型、危害与防范3、计算机网络病毒的危害(1)对网络的危害(2)对计算机的危害。4、计算机网络病毒的防范(1)在电脑上安装防病毒软件(单机版-事后消毒,联机版-网
络端口设置过滤器);(2)定期清毒(许多病毒有潜伏期);(3)控制权限(如只读);(4)警惕网络陷阱(没有免费午餐);(5)不打开陌生地址的Email,尤其是不要打开陌生地址的邮件附件(邮件附件是传播宏病
毒的来源)。返回本节第3章电子商务系统的安全3.4.2网络黑客及其防范1、黑客的基本概念黑客(Hacker)源于英语动词Hack,意为“劈、砍”,引申为“辟出、开辟”,进一步的意思是“干了一件非常漂亮的工作”。在20世纪早期的麻省理工学院校园口语中,黑客则有“恶作剧”之意,尤其是指
手法巧妙、技术高明的恶作剧。2、黑客的类型目前的黑客可分为两类:一类是骇客,他们只想引人注目,证明自己的能力,在进人网络系统后,不会去破坏系统,或者仅仅会做一些无伤大雅的恶作剧,他们追求的是从侵人行为本身获得巨大的成功满足感;另一类是窃客,带
有强烈的目的性,早期的这些黑客主要是窃取国家情报、科研情报,而现在的这些黑客的目标大部分瞄准了银行的资金和电子商务的整个交易过程。第3章电子商务系统的安全3.4.2网络黑客及其防范3、黑客的例证黑客作案只需要简单的硬件设备:一台
计算机、一条电话线、一个调制解调器。黑客作案频繁:平均每20秒发生一起入侵Internet计算机事件;每150次事件才被发现一次;入侵成功率高达65%。首例公开披露的作案:1988年11月2日,23岁的美国大学生罗伯特莫瑞斯的蠕虫程序通过个人计算机用远程命令送进Internet,造成美国
多所大学、科研机构和军事机构约6200台计算机瘫痪。经济损失达9600万美圆。我国的政府网络、商业网络和金融网络也频繁受到入侵和挑衅。(政治目的和商业犯罪)第3章电子商务系统的安全3.4.2网络黑客及其防范4、黑客的攻击手段利用网络协议的漏洞
,获取系统的口令文件,对口令进行破译;利用破译后的帐号进入系统,将普通用户帐号修改为超级用户,使安全机制对其失去效用,任意胡作非为。黑客行为正在走向系统化、组织化、高技术化。互联网上有许多公开、半公开或秘密的黑客组织、
俱乐部、论坛,互相了解黑客信息,学习交流黑客技术,炫耀攻击成果。第3章电子商务系统的安全3.4.2网络黑客及其防范5、防范黑客的措施(1)使用防火墙,建立网络安全屏障。(2)使用安全扫描工具发现黑客。(3)
使用有效的监控手段抓住入侵者。(4)坚持备份系统。(非常情况下能及时修复系统)(5)加强防范意识返回本节第3章电子商务系统的安全3.4.3电子商务安全交易标准1、安全套接层协议SSL(1)SSL(SecureSocketsLayer)协议的通信过程(2)电子商务网站的Web服务器安装SSL协议步
骤第3章电子商务系统的安全2.安全电子交易协议SET(1)SET(SecureElectronicTransaction)协议提供的安全保障(2)参与SET协议的交易对象(各参与对象的关系见图2-51)(3)SET协议的工作程序3.4.3电子商务安全交易标准第3章电
子商务系统的安全消费者网上商店支付网关认证中心CA发卡银行银行网络收单银行Internet图2-51SET协议的参与对象第3章电子商务系统的安全3.其他安全协议(1)安全超文本传输协议(S-HTTP)(2)安全多媒体Internet邮件扩展协议
(S/MIME)返回本节3.4.3电子商务安全交易标准本章小结主要知识点:1、电子商务系统安全的基本问题(概念、影响因素、控制要求)2、电子商务系统网络安全管理对策(技术对策、管理对策、安全体系)3、电子商务安全手段(防火墙、信息加密、数字签名、身份认证、时间戳、数字证书)4、计算机病毒及网
络黑客的防范。要求:重点掌握电子商务安全的基本问题,重点掌握电子商务安全的手段,掌握电子商务系统安全管理对策,了解计算机病毒及网络黑客的防范。重点名词:网络安全、防火墙、信息加密技术、数字签名、数字证书、对称加密。第3章电子商务系统
的安全THANKYOUVERYMUCH!本章到此结束,谢谢您的光临!返回本章首页结束放映
辽公网安备 21102102000191号
营业执照
