第6章 电子商务安全和法律.ppt

第6章 电子商务安全和法律 1 电子商务安全的现状 1．网络安全的现状 在电子商务的发展过程中，各产业对网络已经出现了高度的依赖性。这种高度的依赖性使社会经济变得十分“脆弱”，一旦计算机网络受到攻击而不能正常运作整个社会就会陷入危机的泥沼，。随着经济信息化进程的加快，计算机网络上黑客的破坏活动也随之猖獗起来。在中国，网络安全的现状同样令人担忧。 2．电子商务的安全隐患 （1）数据被非法截获、读取或者修改 （2）冒名顶替和否认行为 （3）一个网络的用户未经授权访问了另一个网络 （4）计算机病毒 2 电子商务安全的要素 1．可靠性 可靠性是指电子商务系统的可靠程度，是指为防止由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒和自然灾害等所产生的潜在威胁，采取一系列的控制和预防措施来防止数据信息资源受到破坏的可靠程度。 2．真实性 真实性是指商务活动中交易者身份的认证性。 3．必威体育官网网址性 必威体育官网网址性是指交易过程中必须保证信息不会泄露给非授权的人或实体。 2 电子商务安全的要素 4．完整性 完整性是指数据在输入、输出和传输过程中，要求能保证数据的一致性，防止数据被非授权建立、修改和破坏。 5．不可抵赖性 在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易交易所的书面文件上的手写签名或印章来鉴别贸易伙伴，确定合同、契约、交易的可靠性，并预防抵赖行为的发生。 3 计算机网络系统的安全 1．物理实体的安全 （1）设备的功能失常 （2）电源故障 （3）由于电磁泄漏引起的信息失密 （4）自然灾害等不可抗拒因素造成的破坏 2．软件的缺陷导致的安全问题 （1）软件的漏洞和“后门” （2）网络协议的安全漏洞 3 计算机网络系统的安全 3．黑客的恶意攻击 所谓黑客，现在一般泛指计算机信息系统的非法入侵者。黑客的出现可以说是当今信息社会、网络用户有目共睹、不容忽视的一个独特现象。 黑客的攻击手段和方法多种多样，一般可以粗略地分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。 4．计算机病毒的攻击 4 电子商务基本安全技术 1．加密技术 加密技术是电子商务采取的主要安全技术手段。 2．认证技术 认证技术是信息安全理论与技术的一个重要方面，也是电子商务安全的主要实现技术。 3．CA安全认证中心 电子商务安全认证体系是一套融合了各种先进的加密技术和认证技术的安全体系，它主要定义和建立自身认证和授权规则，然后分发、交换这些规则，并在网络之间解释和管理这些规则。 4 电子商务基本安全技术 4．黑客防范技术 5．反病毒技术 反病毒技术主要包括预防病毒、检测病毒和消除病毒三种技术，合理地使用计算机杀毒软件可以有效地防止病毒的传播和破坏。 6．安全电子交易协议 4.1 加密技术 1．密码学概述 密码学又分为两类，密码编码学和密码分析学。密码编码学研究设计出安全的密码体制，防止被破译，而密码分析学则研究如何破译密文。密码学就是在破译和反破译的过程中发展起来的。 加密包含两个元素：加密算法和密钥。加密算法就是用基于数学计算方法与一串数字（密钥）对普通的文本（信息）进行编码，产生不可理解的密文的一系列步骤。密钥是用来对文本进行编码和解码的数字。将这些文字（称为明文）转成密 4.1 加密技术 文的程序称作加密程序。发送方将消息在发送到公共网络或Internet之前进行加密，接收方收到消息后对其解码称为解密，所用的程序称为解密程序，这是加密的逆过程。 加密消息的必威体育官网网址性取决于加密所用密钥的长度，40位的密钥是最低要求，更长的（如128位）密钥能提供更高程度的加密保障。如果密钥足够长的话，信息是无法解密的。 4.2 数字签名技术 1．数字签名的概念 数字签名（Digital Signature）技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。 数字签名主要有3种广泛应用的方法：RSA签名、DSS签名和Hash签名。 2．数字签名的方法 Hash签名是最主要的数字签名方法，也称数字摘要法。它的主要方式是，报文的发送方从明文文件中生成一个128b的散列值（数字摘要）。 4.2 数字签名技术 发送方用自己的私钥对这个散列值进行加密来形成发送方的数字签名。然后该数字签名将作为附件和报文一起发送给接收方。报文的接收方首先从接收到的原始报文中计算出128b的散列值（数字摘要），接着用发送方的公钥来对报文附加的数字签名解密，使用数字签名的文件传输如图3-5所示。 4.3 数字时间戳 数字时间戳服务（Digital Time-Stamp Service，DTSS）也是用来证明消息的收发时间的。用户首先将需要加时间戳的文件经加