电子商务第4章电子商务安全.docx

电子商务第4章电子商务安全.docx

《电子商务第4章电子商务安全.docx》由会员分享，可在线阅读，更多相关《电子商务第4章电子商务安全.docx（11页珍藏版）》请在冰豆网上搜索。

电子商务第4章电子商务安全

桂林工学院南宁分院

经济管理系教案首页

授课

章节

第4章：

电子商务安全

4.1电子商务安全需求

4.2电子商务的商务安全

授课

日期

2008年5月19日

授课班级

06市场营销（1、2、3）班

教

学

目

的

通过本章学习，了解电子商务系统目前存在的安全威胁，认清电子商务的安全性要求，掌握电子商务的安全体系的方法。

教学

重点

（1）电子商务系统的安全威胁。

（2）电子商务的安全性要求和安全体系。

教学

难点

如何掌握各种安全防范技术的方法。

教

学

提

纲

点名：

重点点经常不来上课的（5分钟）

4.1电子商务系统的安全要求（教师讲课30分钟）

4.1.1电子商务系统的安全威胁

4.1.2电子商务的安全性要求

4.1.3电子商务的安全体系

4.2电子商务的商务安全（教师讲课20分钟）

（教师讲课20分钟）

上网演示（10分钟）

时间分配

课

后

小

结

推荐书目

《电子商务概论》方真、张明明，大连理工大学出版社，2003.8。

《电子商务法律规范》梅绍祖，清华大学出版社。

《网络营销》曲学军主编，大连理工大学出版社。

《网络安全》薛伟主编，东北财经大学出版社。

《电子商务与物流》梅绍祖，人民邮电出版社。

《电子商务概论》陈月波，清华大学出版社

《电子商务概论》桂海进，中国商业出版社

《实用电子商务概论》赵林度，人民邮电出版社

4.1电子商务安全要求

4.1.1电子商务安全的表象

⏹随着经济信息化进程的加快，计算机网络上的破坏活动也随之猖獗起来，已对经济秩序、经济建设、国家信息安全构成严重威胁。

⏹在信息经济的发展过程中，我们越来越依赖于网络。

消费者对网上交易的网络安全缺乏信心，使得越来越多消费者不愿在网上购物。

用最新的电子商务安全方面的案例，见另外一个网络安全文件夹。

4.1.2电子商务安全需求

1.保密性

⏹保密性，是指商业信息在传输过程或存储中不被泄漏。

⏹通过对相应的信息进行加密来保证用户信息不被盗取。

⏹通过在必要的结点设置防火墙可以防止非法用户对网络资源的不正当的存取。

2.完整性

⏹完整性，是指商业信息在传输和存储中保证数据一致性。

⏹电子伪装是最常见的破坏信息完整性的技术。

所谓电子伪装，就是在网络上某人伪装成他人或者是某个网站伪装成另一个网站。

3.不可抵赖性

⏹不可抵赖性，是指商业信息的发送方和接收方均不得否认已发或已收的信息。

⏹这就需要利用数字签名和身份认证等技术确认对方身份。

一经确认，双方就不得否认自己的交易行为。

4.即需性

⏹即需性，是指保证合法用户对商业信息及时获取并保证服务不会遭到不正当的拒绝。

⏹系统的即需性遭到破坏，系统处理信息的速度会非常慢，从而影响电子商务的正常运行。

⏹计算机失效、程序错误、硬件故障、系统软件故障、计算机病毒等都会对电子商务的即需性造成影响。

4.1.3电子商务安全的范畴与划分

1.卖方（销售者）面临的安全威胁

⏹中央系统安全性被破坏

⏹竞争者的威胁

⏹客户资料被竞争者获悉

⏹假冒的威胁

⏹信用的威胁

⏹获取他人的机密数据

2.买方（消费者）面临的安全威胁

⏹虚假订单

⏹付款后不能收到商品

⏹机密性丧失

⏹拒绝服务

4.2电子商务的商务安全

4.2.1电子商务的商务安全与传统商务安全的区别

1.信息方面

⏹冒名偷窃

⏹篡改数据

⏹信息丢失

⏹虚假信息

⏹信息传递过程中的破坏

2.信用方面

⏹来自买方的信用风险

⏹来自卖方的信用风险

⏹买卖双方都有存在抵赖的情况

3.管理方面

⏹交易流程管理风险

⏹人员管理风险

⏹交易技术管理风险

4.法律方面

⏹无法保证合法交易的风险

⏹法律的事后完善所带来的风险

4.2.2电子商务商务安全的应对策略

1.在技术上加强电子商务安全管理

⏹网络安全和信息安全是保障网上交易正常进行的关键。

⏹从防火墙技术、信息加密技术、身份认证等技术方面来加强电子商务系统的安全性。

2.在管理上加强电子商务安全管理

⏹调查发现，通常对数据的最严重的威胁都来自于我们认识的人。

为此，很多网络安全专家都认为，大部分攻击都是由员工发起的。

从这种意义上，我们最需要的是不是技术，而是一套完整的管理体制。

⏹必须加强监管，建立各种有关的合理制度，并加强严格监督。

⏹要充分发挥政府有关部门、企业的主要领导、信息服务商的作用。

3.在法律上加强电子商务安全管理

⏹通过健全法律制度和完善法律体系来保证合法网上交易的权益，对破坏合法网上交易权益的行为进行立法严惩。

关于这一点，我们将在第七章再作具体介绍。

桂林工学院南宁分院

经济管理系教案首页

授课

章节

4.3电子商务的技术安全

4.4电子商务的社会安全因素

4.5小结和习题与思考

授课

日期

2008年5月26日

授课班级

06市场营销（1、2、3）班

教

学

目

的

通过本章学习，了解电子商务系统目前存在的安全威胁，认清电子商务的安全性要求，掌握电子商务的安全体系的方法。

教学

重点

4.3.3常用电子商务安全技术和手段

教学

难点

1.加密技术

教

学

提

纲

点名：

重点点经常不来上课的（5分钟）

4.3电子商务的技术安全（教师讲课30分钟）

上网演示（15分钟）

4.4电子商务的社会安全因素（教师讲课30分钟）

4.5小结和习题与思考（教师讲课20分钟）

时间分配

课

后

小

结

推荐书目

《电子商务概论》方真、张明明，大连理工大学出版社，2003.8。

《电子商务法律规范》梅绍祖，清华大学出版社。

《网络营销》曲学军主编，大连理工大学出版社。

《网络安全》薛伟主编，东北财经大学出版社。

《电子商务与物流》梅绍祖，人民邮电出版社。

4.3电子商务的技术安全

4.3.1电子商务技术安全隐患

1.系统闯入

⏹是指未授权的人利用操作系统或者安全管理的漏洞，通过一定的手段闯入到系统内部，获取普通用户没有的权力，实现对用户信息的篡改、窃取和非法使用。

⏹早期的闯入者只是做些修改网页之类近似于恶作剧的破坏。

⏹随着电子商务的发展，入侵者通过盗取服务器上存放有关产品、客户和交易等信息，获得巨大的经济利益已成为其主要目的。

⏹入侵者在闯入系统的同时还可能在系统中埋下木马、陷门等病毒来破坏其正常工作。

2.服务拒绝攻击

⏹服务拒绝攻击（DenialofService，DoS），简单来说，是通过电子手段，以网站或者网络瘫痪为目的的袭击。

⏹由于电子商务对网站的实时性要求越来越高，服务拒绝攻击对电子商务的威胁也就越来越大。

⏹虽然这种攻击不能使攻击者直接获得有用的信息，但是它可以大大削弱被攻击者在客户心中的可信度。

⏹我们常见的服务拒绝攻击有：

死亡之ping（pingofdeath）、UDP洪水（UDPflood）、Land攻击、电子邮件炸弹等。

3.身份仿冒

⏹对用户身份进行仿冒，借此来破坏交易，损害被假冒方的信誉或者盗取其交易成果等。

⏹我们在利用网络进行交易时一定要进行身份认证。

4.计算机病毒

⏹它具有传染性、破坏性、隐蔽性、潜伏性、不可预见性等特点。

⏹计算机病毒正在从传统的感染单个文件，单个系统转向网络化发展。

⏹对于利用计算机及网络进行交易的电子商务参与者来说，计算机病毒势必会成为他们巨大的技术隐患。

4.3.2电子商务系统安全体系

电子商务安全分为计算机网络安全和商务交易安全

⏹计算机网络安全：

是指计算机网络设备安全、计算机网络系统安全、数据库安全，其特征是针对计算机网络本身可能存在的安全问题实施网络安全增强方案，保证计算机网络自身的安全。

⏹商务交易安全：

是指在计算机网络安全的基础上，如何保证电子商务过程的顺利进行，即实现保密性、完整性、不可抵赖性等要求。

主要技术有：

加密技术、认证技术、安全协议等。

（建立电子商务安全体系也应从这两个方面入手，其结构如图4－1所示）

4.3.3常用电子商务安全技术和手段

1.加密技术

⏹加密技术，就是采用合适的加密算法（实际上是一种数学方法）把原始信息（称为“明文”）转换成一些晦涩难懂的或者偏离信息原意的信息（称为“密文”），从而达到保障信息安全目的的过程。

⏹加密系统包括信息（明文和密文）、密钥（加密密钥和解密密钥）、算法（加密算法和解密算法）三个组成部分。

例如：

将英文字母a、b、c、d、e、f…x、y、z分别对应变换为c、d、e、f、g、h…z、a、b，即字母顺序保持不变，但使之分别与相差2个字母的字母相对应。

若现在有明文“hello”，则按照该加密算法和密钥，对应密文为“jgnnq”

2.认证技术

⑴身份认证

⏹身份认证是在交易过程中判明和确认贸易双方真实身份的。

⏹身份认证可以帮助商家确认对方身份，进而放心地开展电子商务。

⏹当交易双方发生纠纷时，身份认证还可以为仲裁提供有利的证据。

⏹身份认证的常用方法主要有三种基本方式：

①用户口令

②用户持有物

③用户的某些生物学特征

⑵信息认证

⏹它是用于验证信息的完整性，即确认信息在传递或存储过程中没有被篡改过，进而保证通信双方的不可抵赖性和信息的完整性。

⏹常采取数字签名技术进行信息的安全认证。

数字签名主要是建立在公开密钥体制和报文分解函数（MDF）的基础上。

其过程为：

①报文的发送方利用报文分解函数（目前常见的是单向Hash函数）生成一个128位的数字摘要；

②发送方用自己的私人密钥对这个摘要摘要进行加密来形成发送方的数字签名；

③然后，该数字签名将作为附件和报文一起发送给接收方；

④报文的接收方首先从接收到的原始报文中计算出128位的摘要；

⑤接着用发送方的公开密钥来对报文附加的数字签名解密；

⑥最后判断两个数字摘要是否相同。

如果相同，那么接收方就能确认该数字签名是发送方的，而且报文在传输过程中没有被修改或替换过。

如果不同，则表明该信息可能在传输过程中被篡改。

⏹数字签名技术可以保证信息传送的完整性和不可抵赖性。

①当破坏者截获信息后，只要他对报文作一个字节的改动，接收方就会在最后验证数字摘要时出错而发现这次篡改；就算破坏者改动报文后计算出新的摘要，但他不知道发送方的私钥，无法生成有效的数字签名，还是无法实现篡改。

②如果发送方否认这一次信息的传输，那么接收方就可以用收到报文和数字签名来反驳。

3.安全协议

⑴安全套接层协议

⏹安全套接层（SSL，SecureSocketsLayer）协议是对计算机之间会话加密的协议，主要用于Web浏览器与Web服务器之间的身份认证和加密数据传输，可以对信用卡和个人信息提供较强的安全保护。

⏹SSL协议是工作在网络的传输层中，所以它可以用于加密任何基于TCP／IP的应用，如HTTP、Telnet、FTP等。

⏹SSL协议包括了两个子协议：

SSL握手协议（SSLhandshakeprotocol）和SSL记录协议（SSLrecordprotocol）。

4.反病毒技术

⑴病毒的检测

⏹检测计算机病毒，就是要到病毒寄生场所去检查，发现异常情况，并进而验明“正身”，确认计算机病毒的存在。

⏹对计算机病毒的检测分为对内存的检测和对磁盘的检