电子商务第11章.ppt

电子商务第11章.ppt

《电子商务第11章.ppt》由会员分享，可在线阅读，更多相关《电子商务第11章.ppt（23页珍藏版）》请在冰豆网上搜索。

第十一章第十一章电子商务安全及风险防范电子商务安全及风险防范第一节第一节电子商务的安全问题与需求电子商务的安全问题与需求v一、电子商务面临的安全问题一、电子商务面临的安全问题v众所周知，Internet是一个完全开放的网络，任何一台计算机、任何一个网络都可以与之连接，并借助Internet发布信息，获取与共享各种网站的信息资源，发送E-mail与开展网上办公，进行各种网上商务活动，即电子商务，方便了政府、企业与个人的现代事务处理，直接带动一个网络经济时代的到来。

v发展到现在，通过总结归类，电子商务面临的主要安全隐患有如下5个方面。

（1）系统的中断与瘫痪。

网络故障、操作错误、应用程序错误、硬件故障、系统软件错误以及计算机病毒都能导致系统不能正常工作，因而要对此所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。

（2）信息被窃取。

电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家部门的商业机密。

电子商务是建立在一个较为开放的网络环境上的，维护商业机密是电子商务全面推广应用的重要保障。

因此，要预防通过搭线和电磁泄漏等手段造成的信息泄露，或对业务流量进行分析从而获取有价值的商业情报等一切损害系统机密性的行为。

（3）信息被篡改。

电子商务简化了贸易过程，大多是自动化与网络化的，减少了人为的干预，同时也带来了维护贸易各方商业信息（如电子支票）的完整和统一问题。

由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。

此外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会影响贸易各方的交易和经营策略。

因此，保持贸易各方信息的完整性是电子商务应用的基础。

（4）信息被伪造。

电子商务可能直接关系到贸易双方的商业交易，如何确定网上远程交易方真正是所期望的贸易方，即有效身份认证是保证电子商务顺利进行的关键。

（5）对交易行为抵赖。

当贸易一方发现交易行为对自己不利时，当利益刺激到一定程度时，就有可能否认电子交易行为。

v二、电子商务的安全需求二、电子商务的安全需求v针对以上所述的在电子商务开展过程中可能出现的安全问题，为保证电子商务流程的安全、可靠，考虑到电子商务过程中涉及的客户、商家、银行、CA认证中心等商务各方各自的安全需要，电子商务的安全需求可总结分类如下：

（1）保证网络上相关数据流的保密性。

（2）保证网络上相关商务数据不被随意篡改，即保证相关电子商务信息的完整性。

（3）保证电子商务各方身份的认定。

（4）保证电子商务行为发生的事实及发生内容的不可抵赖性。

（5）保证电子商务系统运行的稳定、可靠、快捷，做好数据备份与灾难恢复等工作，并保证一定的商务处理速度。

在电子商务中，网上订单处理、网络支付结算等都需要快捷、安全的处理速度，否则客户就可能没有耐心等待而选择直接去传统商城购物。

一些特殊的电子商务领域，如网络证券，没有良好的数据备份或快捷的网上交割速度，就可能给股民带来很大的损失。

第二节第二节电子商务安全的技术措施电子商务安全的技术措施v一、电子商务交易方自身网络安全保障技术一、电子商务交易方自身网络安全保障技术v为了维护电子商务交易者内部网络的安全，可以采取以下四种技术。

v1.用户账号管理和网络杀毒技术用户账号管理和网络杀毒技术v获取合法的账号即密码是黑客攻击网络系统最常见的手法。

因此，用户账号的安全管理措施不仅包括技术层面上的安全支持，即针对用户账号完整性的技术，包括用户分组管理（对不同的成员赋予不同的权限）、单一登录密码制度（用户在企业计算机网络中任何地方都使用同一个用户名和密码）、用户认证（结合多种手段，如电话号码、IP地址、用户使用时间等精确确认用户），还需要在企业信息管理的政策方面有相应的措施，即划分不同的用户级别、制定密码政策（如密码的长度、难度、定期更换、组成规则）、对职员的流动进行管理以及对职员进行计算机及网络安全教育。

只有综合运用多种措施，才能最大限度地保护用户账号与密码。

v在网络环境下，计算机病毒更危险，破坏力也更大，它破坏的往往不是单独的计算机和系统，而是整个网络范围。

有效地防止网络病毒的破坏对网络系统安全及电子商务发展均有非常重要的意义。

v2.防火墙技术防火墙技术v防火墙是由软件和硬件设备（一般是计算机或路由器）组成的，处于企业内部网和外部网之间，用于加强内外之间安全的一个或一组系统。

在互联网上通过防火墙来完成进出企业内部网和外部网检查的功能。

防火墙迫使所有的连接都必须通过它来完成，通过对往来数据来源或目的、数据格式或内容进行审查来决定是否允许数据进出，也可以避免内外网之间的直接联系，即限制非法用户进入企业内部往来，过滤不符合规定的数据或限制提供/接受的服务类型，可以对网络威胁状况进行分析判断，达到保护内部网络安全的目的。

见图11-1。

图图11-1一般数据加密模型图一般数据加密模型图v3.虚拟专网技术虚拟专网技术v与专用线路相比，普通线路接入互联网是非常危险的，这是因为进行路由时不知道数据包会通往何处，而且若在该路由器上复制了数据包，就会看到数据包的内容。

尽管可以采用加密技术作为有效的防御手段，但也只能针对数据部分进行加密。

而保存在IP地址数据报头的信息还是可以被看到的。

这样，通过IP地址数据报头就可以知道IP地址以及地址之间执行了哪些命令等信息。

v所谓虚拟专网技术，就是利用技术在两个防火墙之间的直接隧道中，采用从外面看不到的方式进行数据传送，也称IP隧道。

具体地说，就是将IP数据包连同数据报头一起加密，在外侧附加上含有发送方防火墙和接受方防火墙信息的数据报头，再发送到互联网。

通过防火墙之间的相互验证，将相互间加密使用的密钥在有效期内进行周期性地交换，就可以完全隔离来自外部的窃听。

v4.入侵监测技术入侵监测技术v目前网络入侵的特点是没有地域和时间限制的，攻击者往往混杂在正常的网络访问者中，隐蔽性强，入侵手段也更复杂。

入侵是指任何试图破坏资源完整性、机密性和可用性的行为，也包括合法用户对系统资源的误操作。

入侵监测是指对于面向计算机资源和网络资源的恶意行为的识别和响应，包括安全审计、监视、识别、相应。

v它是防火墙之后的第二道安全闸门，能够在不影响网络性能的前提下对网络进行监测，从而提供对内部攻击、外部攻击以及误操作的实时保护。

具体来说，是通过执行监视、分析用户及系统活动，检查系统构造和弱点，识别反映已知进攻模式并报警，异常行为模式统计分析，评估系统和数据完整性，操作系统审计跟踪管理，识别用户违反安全纪律的行为来实现的。

v二、电子商务信息传输安全保障技术二、电子商务信息传输安全保障技术v1.加密技术加密技术v加密技术是最基本的安全技术，是实现信息保密的一种重要手段，目的是为了防止合法接受者之外的信息泄露。

数据加密技术是对信息进行重新编码，从而达到隐藏信息内容的目的，是非法用户无法获得真实信息内容的技术手段。

网络中的数据加密是通过对网络中传输的信息进行加密，从而满足网络安全中信息的保密性，防止信息泄露。

一般的数据加密模型如图11-2所示。

图图11-2一般的数据加密模型一般的数据加密模型v2.数字摘要技术数字摘要技术v数字摘要技术又称为Hash算法，是由RonRivest发明的一种单向加密算法，其加密结果是不能解密的。

所谓数字摘要是从原文中通过Hash算法得到一个固有长度（通常为128）的散列值，即信息鉴别码（MessageAuthenticationCode，MAC）。

不同的原文所产生的数字摘要一定不相同，相同的原文产生的数字摘要一定相同。

这样，信息在传输前对原文通过Hash算法得到的数字摘要，将与原文一起发送，接受者对比收到的原文应用Hash算法得到的摘要，该摘要与发送来的摘要一致，这样才能证明原文没有被改动。

加密技术给每份函电赋予了独有的类似人类指纹的鉴别码，所以也称为“数字指纹”技术。

数字摘要工作原理如图11-3所示。

图图11-3数字摘要原理示意图数字摘要原理示意图v三、身份和交易信息认证技术三、身份和交易信息认证技术v安全认证技术是保护电子商务交易安全的一项重要技术。

安全认证主要包括身份认证和交易信息认证。

v1.身份认证身份认证v身份认证就是在交易过程中判明和确认贸易双方的真实身份，这是目前网上交易过程中的关键环节。

一旦身份认证发生差错，将会引起巨大的混乱和损失。

一般采用如下几种方式或其组合来实现身份认证：

（1）CA认证。

CA认证机构是所有合法注册用户最值得信赖的、最具权威性的第三方认证机构，负责为电子商务环境中的各个实体颁发数字证书，以证明各实体的真实性，并负责在交易中检验和管理已签发的证书。

进行网上交易时，一方应向另一方提交一个由CA认证中心签发的数字证书，以证明自己的身份。

（2）用户所知道的某个秘密。

（3）用户所具有的某些生物特征。

（4）用户所持有的某些硬件或物理介质。

v2.交易信息认证交易信息认证v随着网络技术的发展，通过网络购物的商业活动日趋增多。

这些商业活动往往通过公开网络进行数据传输，这就对网络传输过程中的信息保密性提出了较高的要求。

通常采用对称密钥加密技术、公开密钥加密技术，或两者结合使用的方法，以保证信息的安全认证。

对于加密后的文件，即使他人截取，由于得到的是加密后的密文，因而无法知道原始含义；同时加密后，他人也无法改动或增减内容，因为加密后的信息被改变后就无法正常解密。

为保证信息来源的确定性，可以采用加密的数字签名的方式来实现，因为数字签名是唯一的，因而是十分安全的。

v四、电子商务安全支付技术四、电子商务安全支付技术v在电子商务中如何才能进行安全的网上支付，是用户、商家和金融机构最为关注的问题。

为了解决这一难题，众多的IT公司和金融机构联合开发了安全在线支付协议。

目前的电子商务交易中有两种支付协议被广泛使用：

一种是由NetscapeCommunication公司设计开发的安全技术规范安全套接层协议（SecuritySocketLayer，SSL）；另一种是VISA和MasterCard两大信用卡组织联合开发的电子商务安全协议安全电子交易协议（SecurityElectroricTransaction，SET）。

SET协议涉及多个角色对象协作参与，其参与对象的关系如图11-4所示。

图图11-4SET协议的参与对象之间的关系协议的参与对象之间的关系第三节第三节电子商务安全的管理制度电子商务安全的管理制度措施措施v无论是对参与网络交易的个人还是企业，都存在一个维护网络交易系统安全的问题，只不过对于在网上从事大量贸易活动的企业来说，这个问题更为重要。

对于企业而言，网上交易有效管理是保证企业安全的重要方面。

本节主要讨论企业的网络交易系统管理，其中的许多方法对于个人网络消费者也具有较高的实用价值。

v一、电子商务安全管理制度的含义一、电子商务安全管理制度的含义v电子商务交易安全管理制度是用文字形式对各项安全要求所做的规定，它是保证企业网络营销取得成功的重要基础，是企业网络营销人员安全工作的规范和准则。

企业在参与网络营销伊始，就应当形成一套完整的、适应于网络环境的安全管理制度。

这些制度应当包括人员管理制度，保密制度，跟踪、审计、稽查制度、网络系统的日常维护制度、数据备份制度、病毒定期清理制度等。

v二、人员管理制度二、人员管理制度v参与网上交易的经营管理人员在很大程度上决定着企业的命运，他们面临着网络犯罪的挑战。

网络犯罪具有智能性、隐蔽性、联系性、快递性等区别于普通犯罪的特性，所以加强对有关人员的管理和培训十分重要。

（1）对相关人员进行上岗培训。

（2）落实工作责任制度。

（3）贯彻网上交易安全基本原则。

v三、保密制度三、保密制度v由于网上交易涉及企业多方面的机密，例如市场、生产、财务和货源等，因此必须实行严格的保密制度。

保密制度需要很好地划分信息的安全级别，确定安全防范重点，并出台相应的保密措施。

信息的安全一般分三级：

（1）绝密级。

（2）秘密级。

（3）普通级。

四、跟踪、审计、稽查制度四、跟踪、审计、稽查制度v跟踪制度要求企业建立网络交易系统日志制度，用来记录系统运行的过程。

v审计制度包括经常对系统日志的检查、审核、及时发现对系统故意