电子商务安全技术概述2.pptVIP

第五章 电子商务安全技术 学习目标 1．掌握电子商务安全的概念； 2．掌握古典加密学理论和方法； 3．掌握数字证书概念； 4．掌握身份认证概念； 5．掌握生理特征识别概念； 6．掌握防火墙概念。 5.1 电子商务安全概述 5.1.1 电子商务面临的安全问题 1．计算机安全问题 （1）国际标准化委员会的定义是“为数据处理系统和采取的技术的和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。” （2）美国国防部国家计算机安全中心的定义是“要讨论计算机安全首先必须讨论对安全需求的陈述，......。一般说来，安全的系统会利用一些专门的安全特性来控制对信息的访问，只有经过适当授权的人，或者以这些人的名义进行的进程可以读、写、创建和删除这些信息。” 5.1 电子商务安全概述 （3）我国公安部计算机管理监察司的定义是“计算机安全是指计算机资产安全，即计算机信息系统资源和信息资源不受自然和人为有害因素的威胁和危害。” 计算机安全可分成三类，即必威体育官网网址、完整和即需。 必威体育官网网址是指防止未授权的数据暴露并确保数据源的可靠性； 完整是防止未经授权的数据修改； 即需是防止延迟或拒绝服务。 5.1 电子商务安全概述 2．网络安全问题 （1）中断 中断是指系统的部分组件遭受到破坏或使其不能发挥作用，例如，切断系统主机对外的网络连接，使其无法使用，这是对系统的可用性做攻击。 （2）篡改 篡改是指系统资源被未经授权的人所取得，乃至篡改内容，例如，在网络上传送的订单遭到任意改变，是对数据的正确性的攻击。 （3）介入 介入是指未经授权者授权取得系统的资源，其中的未经授权者可以是一台计算机、一个人，或是一组程序，例如，利用窃取网络上传送的机密数据，就是对数据机密生的攻击。 5.1 电子商务安全概述 （4）假造 假造是指未经授权将假造数据放入系统中，这是对数据的真实性的攻击。例如，在网络上假造身份证明文件以假冒他人。 3．计算机信息系统面临的威胁 （1）自然灾害 （2）黑客的威胁和攻击 （3）计算机病毒 （4）垃圾邮件和间谍软件 （5）信息战的严重威胁 （6）计算机犯罪 5.1 电子商务安全概述 5.1.2 电子商务对安全的基本要求 1．电子商务的安全控制要求 （1）信息必威体育官网网址性 交易中的商务信息均有必威体育官网网址的要求。例如，信用卡的账号和用户名被人知悉，就可能被盗用，订货和付款的信息被竞争对手获悉，就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。 （2）交易者身份的确定性 网上交易的双方很可能素昧平生，相隔千里。要使交易成功，首先要能确认对方的身份，对商家要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。 5.1 电子商务安全概述 （3）不可否认性 由于商情的千变万化，交易一旦达成是不能被否认的。否则必然会损害一方的利益。例如订购黄金，订货时金价较低，但收到订单后，金价上涨了，如收单方能滞认收到订单的实际时间，甚至否认收到订单的事实，则订货方就会蒙受损失。因此电子交易通信过程的各个环节都必须是不可否认的。 （4）不可修改性 交易的文件是不可被修改的，例如，上例所举的订购黄金。供货单位在收到订单后，发现金价大幅上涨了，如其能改动文件内容，将订购数1吨改为1克，则可大幅受益，那么订货单位可能就会因此而蒙受损失。因此电子交易文件也要能做到不可修改，以保障交易的严肃和公正。 5.1 电子商务安全概述 2．计算机网络安全防范策略 （1）防火墙技术 防火墙是网络安全的屏障，配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。 （2）数据加密与用户授权访问控制技术 与防火墙相比，数据加密与用户授权访问控制技术比较灵活，更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护，需要系统级别的支持，一般在操作系统中实现。 （3）入侵检测技术 入侵检测技术是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。 5.1 电子商务安全概述 （4）防病毒技术 电脑病毒是令人头痛的问题，Internet的快速发展使得病毒造成毁灭性的灾难成为可能。因此，防止网络病毒问题是保障电子商务交易安全最重要的研究课题之一。 （5）认证技术 认证技术是保证电子商务安全的又一重要技术手段，是防止信息被篡改、删除、重放和伪造的一种有效方法，它使发送的消息具有被验证的能力，使接收者能够识别和确认消息的真伪。 5.1 电子商务安全概述 ① 数字签名技术。在电子商务的安全必威体育官网网址系统中，数字签名技术有着特别重要的地位，安全服务