电子商务的商务安全与技术安全

1、 工学院分院经济管理系教案首页授课章节第4章：电子商务安全 4.1电子商务安全需求 4.2电子商务的商务安全授课日期2008年5月19日授课班级06市场营销（1、2、3）班教学目的通过本章学习，了解电子商务系统目前存在的安全威胁，认清电子商务的安全性要求，掌握电子商务的安全体系的方法。教学重点（1） 电子商务系统的安全威胁。（2） 电子商务的安全性要求和安全体系。教学难点如何掌握各种安全防技术的方法。教学提纲点名：重点点经常不来上课的 （5分钟）4.1 电子商务系统的安全要求（教师讲课30分钟）4.1.1 电子商务系统的安全威胁4.1.2 电子商务的安全性要求4.1.3 电子商务的安全体系4.

2、2电子商务的商务安全 （教师讲课20分钟） （教师讲课20分钟）上网演示 （10分钟）时间分配课后小结推荐书目电子商务概论方真、明明，理工大学，2003.8。电子商务法律规梅绍祖，清华大学。网络营销曲学军主编，理工大学。网络安全薛伟主编，东北财经大学。电子商务与物流梅绍祖，人民邮电。电子商务概论月波，清华大学电子商务概论桂海进，中国商业实用电子商务概论林度，人民邮电4.1 电子商务安全要求 4.1.1 电子商务安全的表象n 随着经济信息化进程的加快，计算机网络上的破坏活动也随之猖獗起来，已对经济秩序、经济建设、国家信息安全构成严重威胁。n 在信息经济的发展过程中，我们越来越依赖于网络。 消费者

3、对网上交易的网络安全缺乏信心，使得越来越多消费者不愿在网上购物。用最新的电子商务安全方面的案例，见另外一个网络安全文件夹。4.1.2 电子商务安全需求1. 性 n 性，是指商业信息在传输过程或存储中不被泄漏。n 通过对相应的信息进行加密来保证用户信息不被盗取。n 通过在必要的结点设置防火墙可以防止非法用户对网络资源的不正当的存取。 2. 完整性 n 完整性，是指商业信息在传输和存储中保证数据一致性 。n 电子伪装是最常见的破坏信息完整性的技术。所谓电子伪装，就是在网络上某人伪装成他人或者是某个伪装成另一个 。3. 不可抵赖性 n 不可抵赖性，是指商业信息的发送方和接收方均不得否认已发或已收的信

4、息。n 这就需要利用数字签名和身份认证等技术确认对方身份。一经确认，双方就不得否认自己的交易行为。4. 即需性 n 即需性，是指保证合法用户对商业信息与时获取并保证服务不会遭到不正当的拒绝。n 系统的即需性遭到破坏，系统处理信息的速度会非常慢，从而影响电子商务的正常运行。 n 计算机失效、程序错误、硬件故障、系统软件故障、计算机病毒等都会对电子商务的即需性造成影响。 4.1.3 电子商务安全的畴与划分1. 卖方 (销售者)面临的安全威胁 n 中央系统安全性被破坏n 竞争者的威胁n 客户资料被竞争者获悉n 假冒的威胁n 信用的威胁n 获取他人的数据 2. 买方(消费者)面临的安全威胁 n 虚假订

5、单n 付款后不能收到商品n 性丧失n 拒绝服务 4.2 电子商务的商务安全 4.2.1 电子商务的商务安全与传统商务安全的区别 1. 信息方面 n 冒名偷窃n 篡改数据n 信息丢失n 虚假信息n 信息传递过程中的破坏2.信用方面n 来自买方的信用风险n 来自卖方的信用风险n 买卖双方都有存在抵赖的情况3. 管理方面n 交易流程管理风险n 人员管理风险n 交易技术管理风险4. 法律方面n 无法保证合法交易的风险n 法律的事后完善所带来的风险4.2.2 电子商务商务安全的应对策略 1.在技术上加强电子商务安全管理n 网络安全和信息安全是保障网上交易正常进行的关键。n 从防火墙技术、信息加密技术、身

6、份认证等技术方面来加强电子商务系统的安全性。2.在管理上加强电子商务安全管理n 调查发现，通常对数据的最严重的威胁都来自于我们认识的人。为此，很多网络安全专家都认为，大部分攻击都是由员工发起的。从这种意义上，我们最需要的是不是技术，而是一套完整的管理体制。n 必须加强监管，建立各种有关的合理制度，并加强严格监督。n 要充分发挥政府有关部门、企业的主要领导、信息服务商的作用。3.在法律上加强电子商务安全管理 n 通过健全法律制度和完善法律体系来保证合法网上交易的权益，对破坏合法网上交易权益的行为进行立法严惩。 关于这一点，我们将在第七章再作具体介绍。工学院分院经济管理系教案首页授课章节4.3电子

7、商务的技术安全4.4电子商务的社会安全因素4.5小结和习题与思考授课日期2008年5月26日授课班级06市场营销（1、2、3）班教学目的通过本章学习，了解电子商务系统目前存在的安全威胁，认清电子商务的安全性要求，掌握电子商务的安全体系的方法。教学重点4.3.3 常用电子商务安全技术和手段教学难点1. 加密技术教学提纲点名：重点点经常不来上课的 （5分钟）4.3电子商务的技术安全 （教师讲课30分钟）上网演示 （15分钟）4.4电子商务的社会安全因素 （教师讲课30分钟）4.5小结和习题与思考 （教师讲课20分钟）时间分配课后小结推荐书目电子商务概论方真、明明，理工大学，2003.8。电子商务法

8、律规梅绍祖，清华大学。网络营销曲学军主编，理工大学。网络安全薛伟主编，东北财经大学。电子商务与物流梅绍祖，人民邮电。4.3 电子商务的技术安全4.3.1 电子商务技术安全隐患 1. 系统闯入n 是指未授权的人利用操作系统或者安全管理的漏洞，通过一定的手段闯入到系统部，获取普通用户没有的权力，实现对用户信息的篡改、窃取和非法使用。n 早期的闯入者只是做些修改网页之类近似于恶作剧的破坏。 n 随着电子商务的发展，入侵者通过盗取服务器上存放有关产品、客户和交易等信息，获得巨大的经济利益已成为其主要目的。n 入侵者在闯入系统的同时还可能在系统中埋下木马、陷门等病毒来破坏其正常工作。 2. 服务拒绝攻击

9、 n 服务拒绝攻击（Denial of Service，DoS），简单来说，是通过电子手段，以或者网络瘫痪为目的的袭击。n 由于电子商务对的实时性要求越来越高，服务拒绝攻击对电子商务的威胁也就越来越大。n 虽然这种攻击不能使攻击者直接获得有用的信息，但是它可以大大削弱被攻击者在客户心中的可信度。n 我们常见的服务拒绝攻击有：死亡之ping（ping of death）、UDP洪水（UDP flood）、Land攻击、电子炸弹等。3. 身份仿冒 n 对用户身份进行仿冒，借此来破坏交易，损害被假冒方的信誉或者盗取其交易成果等。n 我们在利用网络进行交易时一定要进行身份认证。 4. 计算机病毒 n

10、它具有传染性、破坏性、隐蔽性、潜伏性、不可预见性等特点。n 计算机病毒正在从传统的感染单个文件，单个系统转向网络化发展。n 对于利用计算机与网络进行交易的电子商务参与者来说，计算机病毒势必会成为他们巨大的技术隐患。 4.3.2 电子商务系统安全体系 电子商务安全分为计算机网络安全和商务交易安全n 计算机网络安全：是指计算机网络设备安全、计算机网络系统安全、数据库安全，其特征是针对计算机网络本身可能存在的安全问题实施网络安全增强方案，保证计算机网络自身的安全。n 商务交易安全：是指在计算机网络安全的基础上，如何保证电子商务过程的顺利进行，即实现性、完整性、不可抵赖性等要求。主要技术有：加密技术、

11、认证技术、安全协议等。 （建立电子商务安全体系也应从这两个方面入手，其结构如图41所示 ）4.3.3 常用电子商务安全技术和手段 1. 加密技术 n 加密技术，就是采用合适的加密算法（实际上是一种数学方法）把原始信息（称为“明文”）转换成一些晦涩难懂的或者偏离信息原意的信息（称为“密文”），从而达到保障信息安全目的的过程。n 加密系统包括信息（明文和密文）、密钥（加密密钥和解密密钥）、算法（加密算法和解密算法）三个组成部分。例如：将英文字母a、b、c、d、e、fx、y、z分别对应变换为c、d、e、f、g、hz、a、b，即字母顺序保持不变，但使之分别与相差2个字母的字母相对应。若现在有明文“he

12、llo”，则按照该加密算法和密钥，对应密文为“jgnnq”2. 认证技术 身份认证n 身份认证是在交易过程中判明和确认贸易双方真实身份的。n 身份认证可以帮助商家确认对方身份，进而放心地开展电子商务。n 当交易双方发生纠纷时，身份认证还可以为仲裁提供有利的证据。 n 身份认证的常用方法主要有三种基本方式 ：用户口令用户持有物用户的某些生物学特征 信息认证n 它是用于验证信息的完整性，即确认信息在传递或存储过程中没有被篡改过，进而保证通信双方的不可抵赖性和信息的完整性。n 常采取数字签名技术进行信息的安全认证。数字签名主要是建立在公开密钥体制和报文分解函数(MDF)的基础上。其过程为： 报文的发

13、送方利用报文分解函数（目前常见的是单向Hash函数）生成一个128位的数字摘要；发送方用自己的私人密钥对这个摘要摘要进行加密来形成发送方的数字签名；然后，该数字签名将作为附件和报文一起发送给接收方；报文的接收方首先从接收到的原始报文中计算出128位的摘要；接着用发送方的公开密钥来对报文附加的数字签名解密； 最后判断两个数字摘要是否一样。如果一样，那么接收方就能确认该数字签名是发送方的，而且报文在传输过程中没有被修改或替换过。如果不同，则表明该信息可能在传输过程中被篡改。n 数字签名技术可以保证信息传送的完整性和不可抵赖性。当破坏者截获信息后，只要他对报文作一个字节的改动，接收方就会在最后验证数

14、字摘要时出错而发现这次篡改；就算破坏者改动报文后计算出新的摘要，但他不知道发送方的私钥，无法生成有效的数字签名，还是无法实现篡改。如果发送方否认这一次信息的传输，那么接收方就可以用收到报文和数字签名来反驳。3. 安全协议 安全套接层协议 n 安全套接层(SSL，Secure Sockets Layer)协议是对计算机之间会话加密的协议，主要用于Web浏览器与Web服务器之间的身份认证和加密数据传输，可以对信用卡和个人信息提供较强的安全保护。n SSL协议是工作在网络的传输层中，所以它可以用于加密任何基于TCPIP的应用，如 、Telnet、FTP等。n SSL协议包括了两个子协议：SSL握手协

15、议(SSL handshake protocol)和SSL记录协议(SSL record protocol)。 4. 反病毒技术 病毒的检测 n 检测计算机病毒，就是要到病毒寄生场所去检查，发现异常情况，并进而验明“正身”，确认计算机病毒的存在。n 对计算机病毒的检测分为对存的检测和对磁盘的检测。 （病毒静态时存储于磁盘中，激活时驻留在存中）n 检测的原理主要包括比较法、搜索法、计算机病毒特征字的识别法、分析法。 病毒的清除 n 手工清除的方法；n 先由人工分析病毒传染的方法，然后再加以程序化，让清毒程序去完成清病毒的工作；n 在每个可执行文件中追加一部分用于恢复的信息，当被病毒感染后，这些信

16、息可以帮助快速去除病毒，恢复文件的原状态；n 利用软件自动分析一个文件的原始备份和被病毒感染后的拷贝，通过简单的人工指导或根本不用人工干预，该软件会自动产生清除这种病毒的源程序，并可自动产生可执行程序。 病毒的防御 n 目前最常用的防御技术就是实时监控技术。n 对网络病毒实时监控技术应符合“最小占用”原则。 病毒的免疫 n 它是指通过给可执行程序增加保护性外壳的方法，在一定程度上能起保护作用。n 但是，在增加保护性外壳前，若该文件已感染病毒，作为免疫措施为该程序增加的保护性外壳就会将程序连同病毒一起保护在里面。待检测时，因为有保护程序外壳的“护驾”，而不能检查出该病毒。病毒防治基于工作站的防治

17、技术 n 软件防治；n 在工作站上插防病毒卡；n 在网络接口卡上安装防病毒芯片。基于服务器的防治技术 n 基于网络服务器的实时扫描的防护技术主要提供包括：实时在线扫描、服务器扫描、工作站扫描、自动报告与其病毒存档等功能。n 也可利用在服务器上的插防毒卡。基于网络操作系统的防治技术 n 网络操作系统本身至少应提供四级安全保护措施：注册安全、权限安全、属性安全和网络操作系统自身实体安全。5. 防火墙技术 n 防火墙(Firewall)是指一个由软件或和硬件设备组合而成，处于企业或网络群体计算机与外界通道之间，限制外界用户对部网络访问与管理部用户访问外界网络的权限。 n 防火墙包含着一对矛盾（或称机

18、制）：一方面它限制数据流通，另一方面它又允许数据流通。 n 主要包括两种防火墙：数据包过滤型(Packet Filter)防火墙：速度快、简单易行、价格便宜、易于维护、对网络性能的影响很小、安全性相对较差。代理服务型(proxy service)防火墙：安全性能相对较高，但是访问速度降低、而且网络建设的成本较高。 （事实上，还有一些防火墙是上述两种防火墙的变种、改进或者综合。）6系统恢复技术演示GHOST的基本操作。4.4 电子商务的社会安全因素1. 电子商务投资政策 n 投资主体应该由政府转向广大企业，尤其是中、小企业。n 政府的国家资金一般应作为引导、启动或配套资金进行注入，以表明政策支持那些经济、社会效益均好，或社会必需的行业、产业。n 政府投资的大小体现其重视程度或工程的难易程度。n 国家应做