第8章电子商务的安全 电子商务的核心问题是交易的安全性,这是 网上交易的基础,也是电子商务技术的难点。近 年来,已采用和制定 系列的方法来解决网上 交易的安全性问题。本章主要讲述如下内容 电子商务的安全问题 电子商务的安全管理 电子商务的安全管理方法 防止非法入侵的技术措施 常用的安全电子交易手段 相关案例分析 2021年2月23日星期二 邢台职业技术学院计算机网络教研室
2021年2月23日星期二 邢台职业技术学院计算机网络教研室 第8章 电子商务的安全 电子商务的核心问题是交易的安全性,这是 网上交易的基础,也是电子商务技术的难点。近 年来,已采用和制定了一系列的方法来解决网上 交易的安全性问题。本章主要讲述如下内容: ➢电子商务的安全问题 ➢电子商务的安全管理 ➢电子商务的安全管理方法 ➢防止非法入侵的技术措施 ➢常用的安全电子交易手段 ➢相关案例分析
81电子商务的安全问题 811电子商务交易带来的安全威胁 在传统交易过程中,买卖双方是面对面的,因此很容 易保证交易过程的安全性和建立起信任关系。但在电子商 务过程中,买卖双方是通过网络来联系的,而且彼此远隔 千山万水。由于因特网既不安全,也不可信,因而建立交 易双方的安全和信任关系相当困难。电子商务交易双方(销 售者和购买者)都面临不同的安全威胁。 销售者面临威胁 购买者面临威胁 2021年2月23日星期二 邢台职业技术学院计算机网络教研室
2021年2月23日星期二 邢台职业技术学院计算机网络教研室 8.1电子商务的安全问题 8.1.1电子商务交易带来的安全威胁 在传统交易过程中,买卖双方是面对面的,因此很容 易保证交易过程的安全性和建立起信任关系。但在电子商 务过程中,买卖双方是通过网络来联系的,而且彼此远隔 千山万水。由于因特网既不安全,也不可信,因而建立交 易双方的安全和信任关系相当困难。电子商务交易双方(销 售者和购买者)都面临不同的安全威胁。 1.销售者面临威胁 2.购买者面临威胁
81电子商务的安全问题 812网络“黑客”攻击电子商务系统常用的手段 1.“黑客”的概念 黑客( Hacker)”源于英语动词Hack,意为“劈, 砍”,引申为“辟出,开辟”,进一步的意思是“干了 件非常漂亮的工作”。今天的“黑客”可分为两类:一类 是骇客,他们只想引人注目,证明自己的能力,在进入网 络系统后,不会去破坏系统,或者仅仅会做一些无伤大雅 的恶作剧,他们追求的是从侵入行为本身获得巨大的成功 的满足。另一类是窃客,他们的行为带有强烈的目的性。 早期的“黑客”主要是窃取国家情报、科研情报,而现在 的“黑客”的目标大部分瞄准了银行的资金和电子商务的 驚交易过程。 邢台职业技术学院计算机网络教研室
2021年2月23日星期二 邢台职业技术学院计算机网络教研室 8.1电子商务的安全问题 8.1.2 网络“黑客”攻击电子商务系统常用的手段 1.“黑客”的概念 “黑客(Hacker)”源于英语动词Hack,意为“劈, 砍”,引申为“辟出,开辟”,进一步的意思是“干了一 件非常漂亮的工作”。今天的“黑客”可分为两类:一类 是骇客,他们只想引人注目,证明自己的能力,在进入网 络系统后,不会去破坏系统,或者仅仅会做一些无伤大雅 的恶作剧,他们追求的是从侵入行为本身获得巨大的成功 的满足。另一类是窃客,他们的行为带有强烈的目的性。 早期的“黑客”主要是窃取国家情报、科研情报,而现在 的“黑客”的目标大部分瞄准了银行的资金和电子商务的 整个交易过程
81电子商务的安全问题 2.“黑客”的攻击手段 “黑客”们攻击电子商务系统的手段可以大致归纳为 1)中断(攻击系统的可用性):破坏系统中的硬件、硬盘、线路 文件系统等,使系统不能正常工作 2)窃听(攻击系统的机密性):通过搭线和电磁泄漏等手段造成泄 密,或对业务流量进行分析,获取有用情报; (3)篡改(攻击系统的完整性):篡改系统中数据内容,修正消息次 序、时间(延时和重放) 4)伪造(攻击系统的真实性):将伪造的假消息注入系统、假冒合 法人接入系统、重放截获的合法消息实现非法目的,否认消息的接 收或发送等; 5)轰炸(攻击系统的健壮性):用数百条消息填塞某人的E-mai信 箱也是一种在线袭扰的方法。 2021年2月23日星期二 邢台职业技术学院计算机网络教研室
2021年2月23日星期二 邢台职业技术学院计算机网络教研室 8.1电子商务的安全问题 2. “黑客”的攻击手段 “黑客”们攻击电子商务系统的手段可以大致归纳为: (1) 中断(攻击系统的可用性):破坏系统中的硬件、硬盘、线路、 文件系统等,使系统不能正常工作; (2) 窃听(攻击系统的机密性):通过搭线和电磁泄漏等手段造成泄 密,或对业务流量进行分析,获取有用情报; (3) 篡改(攻击系统的完整性):篡改系统中数据内容,修正消息次 序、时间(延时和重放); (4) 伪造(攻击系统的真实性):将伪造的假消息注入系统、假冒合 法人接入系统、重放截获的合法消息实现非法目的,否认消息的接 收或发送等; (5) 轰炸(攻击系统的健壮性):用数百条消息填塞某人的E-mail信 箱也是一种在线袭扰的方法
81电子商务的安全问题 813电子商务的安全风险来源 从整个电子商务系统着手分析,可以将电子商务的安全问 题,归类为下面四类风险,即信息传输风险、信用风险、管理 风险以及法律方面风险。 1.信息传输风险 信息传输风险是指进行网上交易时,因传输的信息失真或 者信息被非法窃取、篡改和丢失,而导致网上交易的不必要损 失。从技术上看,网上交易的信息传输风险主要来自冒名偷窃、 篡改数据、信息丢失、信息传递过程中的破坏、虚假信息等五 个方面 2.信用风险 信用风险主要包括来自买方的信用风险、来自卖方的信用 风险以及买卖双方都存在抵赖的情况等三个方面。 2021年2月23日星期二 邢台职业技术学院计算机网络教研室
2021年2月23日星期二 邢台职业技术学院计算机网络教研室 8.1电子商务的安全问题 8.1.3电子商务的安全风险来源 从整个电子商务系统着手分析,可以将电子商务的安全问 题,归类为下面四类风险,即信息传输风险、信用风险、管理 风险以及法律方面风险。 1.信息传输风险 信息传输风险是指进行网上交易时,因传输的信息失真或 者信息被非法窃取、篡改和丢失,而导致网上交易的不必要损 失。从技术上看,网上交易的信息传输风险主要来自冒名偷窃、 篡改数据、信息丢失、信息传递过程中的破坏、 虚假信息等五 个方面。 2.信用风险 信用风险主要包括来自买方的信用风险、来自卖方的信用 风险以及买卖双方都存在抵赖的情况等三个方面
81电子商务的安全问题 3.管理方面的风险 网上交易管理风险是指由于交易流程管理、人员管理、交易技术管 理的不完善所带来的风险。 4.法律方面的风险 在目前的法律上还是找不到现成的条文保护网络交易中的交易方式 因此还存在法律方面的风险。一方面,在网上交易可能会承担由于法律 滞后而无法保证合法交易的权益所造成的风险,如通过网络达成交易合 同,可能因为法律条文还没有承认数字化合同的法律效力而面临失去法 律保护的危险。另一方面,在网上交易可能承担由于法律的事后完善所 带来的风险,即在原来法律条文没有明确规定下而进行的网上交易,在 后来颁布新的法律条文下属于违法经营所造成的损失,如一些电子商务 公司在开通网上证券交易服务一段时间后,国家颁布新的法律条文规定 只有证券公司才可以从事证券交易服务,从而剥夺了电子商务服务公司 提供网上证券交易服务的资格,给这些电子中间商经营造成巨大损失。 2021年2月23日星期二 邢台职业技术学院计算机网络教研室
2021年2月23日星期二 邢台职业技术学院计算机网络教研室 8.1电子商务的安全问题 3.管理方面的风险 网上交易管理风险是指由于交易流程管理、人员管理、交易技术管 理的不完善所带来的风险。 4.法律方面的风险 在目前的法律上还是找不到现成的条文保护网络交易中的交易方式, 因此还存在法律方面的风险。一方面,在网上交易可能会承担由于法律 滞后而无法保证合法交易的权益所造成的风险,如通过网络达成交易合 同,可能因为法律条文还没有承认数字化合同的法律效力而面临失去法 律保护的危险。另一方面,在网上交易可能承担由于法律的事后完善所 带来的风险,即在原来法律条文没有明确规定下而进行的网上交易,在 后来颁布新的法律条文下属于违法经营所造成的损失,如一些电子商务 公司在开通网上证券交易服务一段时间后,国家颁布新的法律条文规定 只有证券公司才可以从事证券交易服务,从而剥夺了电子商务服务公司 提供网上证券交易服务的资格,给这些电子中间商经营造成巨大损失
82电子商务的安全管理 821电子商务的安全控制要求 信息保密性、交易者身份的确定性、不可否认性、不 可修改性 822电子商务安全交易的有关标准 安全超文本传输协议SHTP)、安全套接层协议(SSL: Secure Sockets Layer)、安全电子交易协议(SET: Secure Electronic Transaction)、安全交易技术协议(STT: Secure Transaction Technology) 823国际上通行的两种电子支付安全协议 1.SSL安全协议 2.SET安全协议 2021年2月23日星期二 邢台职业技术学院计算机网络教研室
2021年2月23日星期二 邢台职业技术学院计算机网络教研室 8.2电子商务的安全管理 8.2.1 电子商务的安全控制要求 信息保密性、 交易者身份的确定性 、 不可否认性 、 不 可修改性。 8.2.2电子商务安全交易的有关标准 安全超文本传输协议(S-HTTP)、安全套接层协议(SSL: Secure Sockets Layer) 、安全电子交易协议(SET:Secure Electronic Transaction) 、安全交易技术协议(STT:Secure Transaction Technology) 。 8.2.3国际上通行的两种电子支付安全协议 1. SSL安全协议 2. SET安全协议
83电子商务的安全管理方法 831客户认证技术 客户认证( Client authentication,CA)是基于用户的客 户端主机T地址的一种认证机制,它允许系统管理员为具 有某一特定地址的授权用户定制访问权限。CA与地址 相关,对访问的协议不做直接的限制。服务器和客户端无 需增加、修改任何软件。系统管理员可以决定对每个用 的授权、允许访问的服务器资源、应用程序、访问时间以 及允许建立的会话次数等等。 2021年2月23日星期二 邢台职业技术学院计算机网络教研室
2021年2月23日星期二 邢台职业技术学院计算机网络教研室 8.3电子商务的安全管理方法 8.3.1客户认证技术 客户认证(Client Authentication,CA)是基于用户的客 户端主机IP地址的一种认证机制,它允许系统管理员为具 有某一特定IP地址的授权用户定制访问权限。CA与IP地址 相关,对访问的协议不做直接的限制。服务器和客户端无 需增加、修改任何软件。系统管理员可以决定对每个用户 的授权、允许访问的服务器资源、应用程序、访问时间以 及允许建立的会话次数等等
83电子商务的安全管理方法 1.身份认证 身份认证就是在交易过程中判明和确认贸易双方的真 实身份,这是目前网上交易过程中最薄弱的环节。认证机 构或信息服务商应当提供可信性、完整性、不可抵赖性 访问控制等认证功能 般来说,用户身份认证可通过三种基本方式或其组 合方式来实现:①用户所知道的某个秘密信息,例如用户 知道自己的口令。②用户所持有的某个秘密信息(硬件) 即用户必须持有合法的随身携带的物理介质,例如智能卡 中存储用户的个人化参数,以及访问系统资源时必须要有 的智能卡。③用户所具有的某些生物学特征,如指纹、声 音、DNA图案、视网膜扫描等等 2021年2月23日星期二 邢台职业技术学院计算机网络教研室
2021年2月23日星期二 邢台职业技术学院计算机网络教研室 8.3电子商务的安全管理方法 1.身份认证 身份认证就是在交易过程中判明和确认贸易双方的真 实身份,这是目前网上交易过程中最薄弱的环节。认证机 构或信息服务商应当提供可信性、完整性、不可抵赖性、 访问控制等认证功能。 一般来说,用户身份认证可通过三种基本方式或其组 合方式来实现:①用户所知道的某个秘密信息,例如用户 知道自己的口令。②用户所持有的某个秘密信息(硬件), 即用户必须持有合法的随身携带的物理介质,例如智能卡 中存储用户的个人化参数,以及访问系统资源时必须要有 的智能卡。③用户所具有的某些生物学特征,如指纹、声 音、DNA图案、视网膜扫描等等
83电子商务的安全管理方法 信息认证 信息认证是对网络传输过程中信息的保密性提出保证, 能够做到如下几点:①对敏感的文件进行加密,这样即使 别人截获文件也无法得到其内容。②保证数据的完整性, 防止截获人在文件中加入其他信息。③对数据和信息的来 源进行验证,以确保发信人的身份。 通常采用秘密密钥加密系统( Secret Key Encryption)、 公开密钥加密系统( Public Key Encryption)或者两者相结 的方式,以保证信息的安全认证。 2021年2月23日星期二 邢台职业技术学院计算机网络教研室
2021年2月23日星期二 邢台职业技术学院计算机网络教研室 8.3电子商务的安全管理方法 2.信息认证 信息认证是对网络传输过程中信息的保密性提出保证, 能够做到如下几点:①对敏感的文件进行加密,这样即使 别人截获文件也无法得到其内容。②保证数据的完整性, 防止截获人在文件中加入其他信息。③对数据和信息的来 源进行验证,以确保发信人的身份。 通常采用秘密密钥加密系统(Secret Key Encryption)、 公开密钥加密系统(Public Key Encryption)或者两者相结合 的方式,以保证信息的安全认证