第七章 电子商务的安全.docx
- 文档编号:24100205
- 上传时间:2023-05-24
- 格式:DOCX
- 页数:13
- 大小:144.27KB
第七章 电子商务的安全.docx
《第七章 电子商务的安全.docx》由会员分享,可在线阅读,更多相关《第七章 电子商务的安全.docx(13页珍藏版)》请在冰豆网上搜索。
第七章电子商务的安全
第七章电子商务的安全
第七章
电子商务安全
教学内容
7.1电子商务安全需求
7.1.1电子商务面临的威胁
7.1.2电子商务的安全性要求
7.2电子商务安全技术
7.2.1加密技术
7.2.2认证技术
7.2.3安全协议
7.2.4防火墙技术
7.3电子商务安全管理
7.3.1机构制度管理
7.3.2风险制度管理
7.3.3法律制度管理
7.3.4安全提示
教学目的
1.了解电子商务面临的安全威胁和电子商务安全管理的政策与法规。
2.理解电子商务安全管理。
3.熟悉电子商务安全的目标。
4.掌握实现电子商务安全的相关技术。
教学重点
1.电子商务安全的目标
2.实现电子商务安全的相关技术
教学难点
1.实现电子商务安全的相关技术
教学方法
讲授法、探究法、案例法
课时数
4课时
引例1:
如何避免网络钓鱼攻击获取客户信息
根据英国的一互联网监测公司Netcraft声称,2006年3月12日,中国一家银行的服务器被网络骗子用做网络钓鱼(phishing)网站的主机,以复制美国一些银行和网络零售商的顾客资料。
这是银行网络首次被犯罪分子用来偷取另一银行顾客资料的攻击事件。
攻击中发出的电子邮件是伪装成摩根大通网上银行的调查,邮件中谎称用户只要填写账号和个人信息后,会收到20美元的辛苦费。
那么什么是网络钓鱼攻击?
如何识别垃圾邮件及假冒邮件?
在发送和接收邮件时应该注意什么?
引例2:
如何预防病毒的危害
2006年12月初,我国互联网上大规模爆发“熊猫烧香”病毒及其变种。
一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。
卡通化外表的病毒,隐藏着巨大的传染力,短短几个月,“熊猫烧香”病毒给成千上万个人用户、网吧及企业局域网用户,造成直接和间接损失超过1亿元。
如何预防计算机病毒和网络病毒呢?
第一节电子商务的安全目标
电子商务的安全问题主要体现在安全技术问题、法律问题、复杂的管理问题这三方面。
一、电子商务面临的威胁
(一)个人电脑面临的威胁
在个人上网时,通常会遇到的威胁有以下几种:
被他人盗取用户密码、信用卡账号等;计算机系统被木马攻击;用户在浏览网页时,被恶意程序进行攻击;个人计算机受计算机病毒感染;被黑客攻击等。
(二)网络安全威胁
1.黑客攻击
2.搭线窃听
3.伪装身份
4.信息泄密、篡改、销毁
5.间谍软件袭击
6.网络钓鱼
二、电子商务安全性要求
1.信息的保密性
2.信息的完整性
3.信息的不可否认性
4.交易者身份的真实性
5.系统的可靠性
第二节电子商务安全技术
一、加密技术
加密技术是利用技术手段把原始信息变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)信息。
原始信息通常称为“明文”,加密后的信息通常称为“密文”。
加密技术包括两个元素:
算法和密钥。
算法是将明文与一串字符(密钥)结合起来,进行加密运算后形成密文。
密钥是在明文转换为密文或将密文转换为明文的算法中输入的一串字符,它可以是数字、字母、词汇或语句。
由此可见,在加密和解密过程中,都涉及信息(明文、密文)、密钥(加密密钥、解密密钥)和算法(加密算法、解密算法)这3项内容。
常用的现代加密体制有两种:
对称加密体制和非对称加密体制。
(一)对称加密体制
1.对称加密体制的工作过程
图7.1对称加密体制的工作过程
2.对称加密体制的优点与缺点
对称加密体制具有算法简单,系统开销小;加密数据效率高,速度快的优点;适合加密大量数据。
但是在发送、接收数据之前,对称加密体制需要产生大量的密钥,所以管理密钥会有一定的难度;第二,在网络通信中,密钥难以共享;即密钥的分发是对称加密体制中最薄弱、风险最大的环节,而且无法实现数字签名和身份验证;
3.对称加密体制的算法
目前,比较常用的对称密钥算法有DES(dataencryptionstandard,数据加密标准)。
DES算法是一个对称的分组加密算法。
(二)非对称加密体制
1.非对称加密体制的工作过程
图7.2非对称加密体制的工作过程
2.非对称加密体制的优点与缺点
非对称加密体制在网络中容易实现密钥管理,只要管理好自己的私钥就可以;便于进行数字签名和身份认证,从而保证数据的不可抵赖性;不必记忆大量的密钥,发放方只要得到可靠的接收方的公开密钥就可以给接收方发送信息。
然而非对称加密算法实现过程较复杂,加密数据的速度和效率较低,对大报文加密困难。
3.非对称加密体制的算法
目前,非对称加密体制的算法使用最多的是RSA。
RSA是1978年由R.L.Rivest、A.Shamir和L.Adleman设计的非对称加密方法,算法以发明者名字的首字母来命名。
它是第一个既可用于加密,也可用于数字签名的算法。
一般来说,RSA只用于少量数据加密,在互联网中广泛使用的电子邮件和文件加密软件PGP(prettygoodprivacy)就是将RSA作为传送会话密钥和数字签名的标准算法。
(三)对称加密体系与非对称加密体系的对比
表7.1对称加密体系和非对称加密体系的对比
比较项目
对称加密体制
非对称加密体制
代表算法
DES
RSA
密钥数目
单一密钥
密钥是成对的
密钥种类
密钥是秘密的
一个私有,一个公开
密钥管理
简单,但不好管理
需要数字证书及可靠的第三者
相对速度
非常快
慢
主要用途
大量数据加密
数字签名或密钥分配的加密
(四)对称加密体系与非对称加密体系的结合
二、认证技术
(一)身份认证概述
实现身份认证的物理基础主要有以下3种。
∙用户所知道的(somethingtheuserknows)。
∙用户所拥有的(somethingtheuserpossesses)。
∙用户的特征(somethingtheuserisorhowhe/shebehaves)。
(二)消息认证概述
1.消息摘要
2.数字签名
图7.3数字签名原理示意图
3.数字时间戳
三、安全协议
(一)传输层安全协议—SSL
SSL将对称密码技术和公开密码技术相结合,可以实现如下3个通信目标:
秘密性、完整性、认证性。
图7.4支持SSL协议的锁形安全标志
(二)应用层安全协议—SET
图7.5SET协议的交易流程
(三)SSL协议与SET协议的比较
表7.2SSL协议和SET协议的对比
对比项
SSL协议
SEL协议
参与方
客户、商家和网上银行
客户、商家、支付网关、认证中心和网上银行
软件费用
已被大部分浏览器和服务器所内置,因此可直接投入使用,无需额外的附加软件费用
必须在银行网络、商家服务器、客户机上安装相应的软件,因此增加了许多附加软件费用
便捷性
SSL在使用过程中无需在客户端安装电子钱包,因此操作简单;每天交易有限额规定,因此不利于购买大宗商品;支付迅速,几秒钟便可完成支付
SET协议在使用中必须使用电子钱包等进行付款,因此在使用前,必须先下载电子钱包等软件,因此操作复杂,耗费时间;每天交易无限额,利于购买大宗商品;由于存在着验证过程,因此支付缓慢,有时还不能完成交易
图7.6中国数字认证网的数字证书
2.数字证书的分类
从数字证书的应用角度来看,数字证书可以分为以下几种:
服务器证书、电子邮件证书、客户端证书。
3.数字证书的应用
二、风险制度管理
电子商务风险管理就是跟踪、评估、监测和管理商务整个过程中所形成的电子商务风险,尽力避免电子商务风险给企业造成的经济损失、商业干扰以及商业信誉丧失等,以确保企业电子商务的顺利进行。
三、法律制度管理
2004年8月28日全国人大常委会第十一次会议通过了《中华人民共和国电子签名法》。
签名法是我国推进电子商务发展,扫除电子商务发展障碍的重要步骤。
该法被认为是中国首部真正电子商务法意义上的立法。
2005年1月28日中华人民共和国信息产业部第十二次部务会议审议通过《电子认证服务管理办法》,自2005年4月1日起施行。
2009年4月,央行、银监会、公安部和国家工商总局联合发布《关于加强银行卡安全管理预防和打击银行卡犯罪的通知》,国家监管部门开始真正着手加强第三方支付企业的监管。
2010年6月1日国家工商总局出台的《网络商品交易及有关服务行为管理暂行办法》明确规定,通过网络从事商品交易及有关服务行为的自然人,应提交其姓名和地址等真实身份信息。
2010年6月21日中国人民银行出台了《非金融机构支付服务管理办法》,要求第三方支付公司必须在2011年9月1日前申请取得《支付业务许可证》,且全国性公司注册资本最低为1亿元。
该《办法》的出台意在规范当前发展迅猛的第三方支付行业。
四、安全提示
针对个人用户常用的Windows操作系统,对用户日常操作予以提示。
(1)必须安装防火墙和杀毒软件。
(2)创造一个伪造的、无实际权利的管理员(Administrator)用户。
(3)禁止所有磁盘自动运行。
(4)不双击U盘。
(5)经常检查开机启动项。
(6)经常备份重要数据。
(7)隐私文件要加密。
(8)使用复杂的密码。
(9)不要随便接收文件。
归纳与提高
通过本章的学习,使我们明白在计算机互联网络上实现的电子商务交易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。
一个完善的电子商务系统在保证其计算机网络硬件平台和系统软件平台安全的基础上,还应具备:
强大的加密系统,使用者和数据的识别和鉴别,联网交易和支付的可靠,方便的密钥管理,数据的完整、防止抵赖,以及电子商务对计算机网络安全与商务安全的双重要求,使电子商务安全的复杂程度比大多数计算机网络更高。
因此,电子商务安全的技术水平的提高、管理制度的完善、法律制度的健全是一个长期不懈的重任。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第七章 电子商务的安全 第七 电子商务 安全