电子商务安全4

第8章电子商务平安学习目标1．了解电子商务平安现状、面临的威胁及电子商务平安内容相关知识；2．掌握加密技术、认证技术、防火墙、数字证书及认证中心等电子商务平安技术相关知识；3．了解黑客与病毒防范相关知识；4．熟悉电子商务平安网络协议相关知识；5．掌握电子商务平安管理相关知识。导入案例年度网站平安报告：26%电商网站存高危漏洞8.1电子商务平安概述在电子商务得益于网络快速信息传输而兴起和开展的同时，病毒泛滥、黑客入侵、Web站点被攻击的现象亦日益严重，计算机犯罪日益猖獗，高水平技术人员的犯罪已经严重影响到电子商务等行业的平安;信息平安问题越来越受到专家、技术人员和管理层的高度重视；电子商务信息平安是指电子商务全过程信息化状态和信息技术体系不受外来的威胁与侵害;本章从技术角度和管理机制两方面讨论电子商务平安防护问题。国防部网站开通第一个月遭230多万次攻击

8.1.2电子商务面临的平安问题1．计算机网络平安问题〔1〕物理实体的平安〔2〕系统的漏洞和“后门〞〔3〕网络协议的平安漏洞〔4〕计算机病毒的攻击〔5〕黑客的恶意攻击2．电子交易平安问题〔1〕电子商务交易平台的平安问题〔2〕交易双方的信用问题〔3〕电子支付平安问题8.1.3电子商务平安问题带来的威胁1、信息泄露2、信息篡改3、身份识别4、信息破坏5、交易抵赖6、隐私泄露8.1.4电子商务平安要求信息的保密性；信息的完整性；交易各方身份的认证；信息的有效性；信息的不可抵赖性、不可否认性；隐私权的保护。8.1.5电子商务平安重要性1．平安是电子商务系统的根本要求2．平安是电子商务开展的关键中国互联网络信息中心〔CNNIC〕发布的“中国互联网络开展状况统计报告〞显示，在使用网络购物的用户中，52.26％的用户最关心的是交易的平安可靠性；非网络购物的用户不使用网络购物的三大主要原因是“不会使用〞、“不平安〞、“没有必要，不需要〞，所占比例分别为22.5%，21.2%，19.6%。8.1.6电子商务平安体系1．电子商务平安技术2．社会道标准3．法律体系4．平安管理体系8.2电子商务平安技术8.2.1加密技术加密技术是电子商务采取的主要平安保密措施，是信息平安技术的核心，用于保证电子商务中数据的保密性、完整性、真实性和非抵赖效劳。8.2.1加密技术1、信息加密概念加密系统由四个组成局部：〔1〕未加密的报文，也称明文；〔2〕加密后的报文，也称密文；〔3〕加密解密设备或算法；〔4〕加密解密的密钥。

8.2.1加密技术信息验证广泛采用的技术：秘密密钥(私钥)加密系统(PrivateKeyEncryption)公开密钥(公钥)加密系统(PublicKeyEncryption)两者相结合的方式1．对称加密技术密文发送端明文加密网络传输接收端密文明文密钥A解密密钥A2．非对称加密技术密文发送端明文加密网络传输接收端密文明文私钥B解密密钥A3．数字签名数字签名〔DigitalSignature〕是公开密钥加密技术的一种应用，是指用发送方的私有密钥加密报文，然后将其与原始的信息附加在一起，合称为数字签名。

8.2.2认证技术认证技术是指交易系统中交易参与者之间的平安身份认证，是实现电子商务交易系统身份可认证性和不可抵赖性的关键技术。认证技术是整个信息平安体系的根底认，证技术主要用于信息认证，确认信息发送者的身份，防止假冒；验证信息的完整性，即确认信息在传送或存储过程中未被篡改正。认证技术主要包括身份认证和消息认证。1．消息认证认证解密安全传输通道非授权者信道消息发送端认证加密加密密钥消息接收端2．身份认证〔1〕口令识别法口令机制又称作通行字机制，它是最广泛研究和使用的身份鉴别法。口令验证的识别过程：①用户将口令传送给计算机；②计算机完成口令单向函数值的计算；③计算机把单向函数值和机器存储的值比较。〔2〕签名识别法签名识别，也被称为签名力学辨识，源于每个人都有自己独特的书写风格。签名鉴定分为在线签名鉴定和离线签名鉴定两种。前者是通过手写板采集书写人的签名样本，除了采集书写点的坐标外，有的系统还采集压力、握笔的角度等数据;后者是通过扫描仪输入签名样本。显然，离线签名比较容易伪造，识别的难度也比较大。而在线签名由于有动态信息，不容易伪造.〔3〕指纹识别技术识别指纹主要从两个方面展开：总体特征和局部特征。总体特征是指那些用人眼直接就可以观察到的特征。包括纹形、模式区、核心点、三角点和纹数等。局部特征是指指纹上节点的特征，这些具有某种特征的节点称为细节特征或特征点。〔4〕语音识别技术语音识别技术，也被称为自动语音识别AutomaticSpeechRecognition〔ASR〕，就是让机器通过识别和理解过程把语音信号转变为相应的文本或命令的高技术。〔5〕生物识别技术①手掌几何学识别②视网膜识别③虹膜识别④面部识别⑤DNA识别⑥静脉识别⑦步态识别⑧人脸识别8.2.3防火墙1．访问控制信息及资源访问控制决策部件访问控制实施部件访问请求端提交访问请求请求决策提出访问请求2．防火墙〔1〕防火墙的分类从实现原理上分，防火墙的技术包括四大类：网络级防火墙〔也叫包过滤型防火墙〕、应用级网关、电路级网关和规那么检查防火墙。〔2〕防火墙的功能①网络平安的屏障②强化网络平安策略③监控审计④防止内部信息的外泄⑤数据包过滤⑥网络IP地址转换⑦虚拟专用网络⑧日志记录与事件通知8.2.4数字证书与认证中心1．数字证书“数字证书〞作为网上交易双方真实身份证明的依据，是一个经证书授权中心〔CA〕数字签名的、包含证书申请者〔公开密钥拥有者〕个人信息及其公开密钥的文件。基于公开密钥体制〔PKI〕的数字证书是电子商务平安体系的核心，用途是利用公共密钥加密系统来保护与验证公众的密钥，由可信任的、公正的权威机构CA颁发。2．认证中心CA〔CertificationAuthority〕认证中心是在电子交易中承担网上平安交易认证效劳、签发数字证书、确认用户身份等工作并具有权威性和公正性的第三方效劳机构，它是保证电子商务交易平安进行的一个不可缺少的重要环节。认证中心是进行网上平安电子交易认证效劳、签发数字证书、确认用户身份的效劳机构。商户认证中心（MerchantCA）持卡人认证中心（CardholderCA）支付网关认证中心（PaymentGatewayCA）根认证中心（RootCA）品牌认证中心（BrandCA）区域性认证中心（Geo-politicalCA）持卡人支付网关商户8.3电子商务平安技术协议这些协议主要有：公钥体系结构PKI、平安超文本传输协议〔S－HTTP〕、平安套接层协议〔SSL协议〕、平安电子交易协议〔SET协议〕、3-Dsecure协议、IPSec协议和虚拟专用网VPN等。8.4黑客与病毒防范技术“黑客〞的根本概念“黑客(Hacker)〞源于英语动词Hack。是指一些掌握计算机、网络核心技术和利用计算机系统里面的BUG，非法进入别人的计算机，网络系统的人。“黑客〞可分为两类。骇客：他们只想引人注目，证明自己的能力，在进入网络系统后，不会去破坏系统，或者仅仅会做一些无伤大雅的恶作剧。他们追求的是从侵入行为本身获得巨大的成功的满足；窃客：他们的行为带有强烈的目的性。早期的这些“黑客〞主要是窃取国家情报、科研情报，而现在的这些“黑客〞的目标大局部瞄准了银行的资金和电子商务的整个交易过程。

网络“黑客〞常用的攻击手段①获取口令②电子邮件③木马④诱入法⑤系统漏洞〔3〕黑客防范措施①屏蔽可以IP地址②过滤信息包④经常升级系统版本⑤及时备份重要数据⑥使用加密机制传输数据⑦使用防火墙技术⑧平安工具包或软件2．病毒与防治方法病毒是一种人为编制的程序或指令集合，这种程序能潜伏在计算机系统中，并通过自我复制传播和扩散，在一定条件下被激活，给计算机带来故障和破坏。病毒的防治方法：〔1〕树立病毒防范意识，从思想上重视计算机病毒要从思想上重视计算机病毒可能会给计算机平安运行带来的危害。〔2〕安装正版的杀毒软件和防火墙，并及时升级到最新版本〔3〕及时对系统和应用程序进行升级。〔4〕把好入口关。〔5〕不要随便登录不明网站、黑客网站或网站。〔6〕养成经常备份重要数据的习惯。

〔7〕养成使用计算机的良好习惯。〔8〕要学习和掌握一些必备的相关知识。8.5电子商务平安管理8.5.1电子商务平安管理原那么1．预防为主，重在控制2．全员参与，动态管理3．多人负责，任期有限4．职责清晰，分工明确8.5.2电子商务平安管理策略1．风险评估，代价平衡的原那么2．适应灵活，容易操作的原那么3．标准标准，整体高效的原那么4．均衡防护，应急恢复的原那么8.5.3电子商务平安的管理措施1．提高网络平安防范意识2．建立电子商务平安管理组织体系3．建立电子商务平安管理制度4．电子商务平安的法制建设策略8.5.4电子商务平安管理制度1．人员管理制度〔1〕严格平安管理人员的甄选〔2〕全方位的平安知识培训〔3〕落实工作责任制〔4〕贯彻电子商务平安运作根本原那么4．网络系统的日常维护制度〔1〕硬件的日常管理和维护1〕网络设备①运用管理软件进行管理②手动检查，人工管理2〕效劳器管理3〕通信线路〔2〕软件的日常管理和维护1〕支撑软件2〕应用软件〔3〕数据备份制度6．病毒防范制度〔1〕安装杀毒软件〔2〕认真执行病毒定期清理制度〔3〕控制权限〔4〕高度警惕网络陷阱7．应急措施指在计算机灾难事件〔即紧急事件或平安事故〕发生时，利用应急方案、辅助软件和应急设施，排除灾难和故障，保障计算机信息系统继续运行或紧急恢复。〔1〕瞬时复制技术〔2〕远程磁盘镜像技术〔3〕数据库恢复技术一、选择题1．在电子商务信息平安要求中，信息在传输过程中或存储中不被他人窃取指的是〔〕。A．信息的保密性 B．信息的完整性C．信息的不可否认性 D．交易者身份的真实性2．加密后的内容称为〔〕。A．密钥 B．算法 C．密文 D．明文3．用户识别方法不包括〔〕。A．根据用户知道什么来判断 B．根据用户拥有什么来判断C．根据用户地址来判断 D．根据用户是什么来判断4．以下身份认证技术中，属于生物特征识别技术的有〔〕。A．数字签名识别法 B．指纹识别法C．语音识别法 D．头盖骨的轮廓识别法A

C

C

BCD

5．触发电子商务平安问题的原因有〔〕。A．黑客的攻击B．管理的欠缺C．网络的缺陷D．软件的漏洞6．病毒防范制度包括的内容有〔〕。A．为自己的电脑安装防病毒软件 B．不翻开陌生地址的电子邮件C．认真执行病毒定期清理制度 D．高度警惕网络陷阱7．下面属于不平安口令的有〔〕。A．使用用户名作为口令B．使用自己或者亲友的生日作为口令C．使用学号或者身份证号码等作为口令D．使用常用的英文单词做作口令8．认证中心的主要作用有〔〕。A．