1、电子商务安全,主编:肖德琴,2009/1/18,主 要 内 容,第1章 电子商务安全概述 第2章 电子商务加密技术 第3章 电子商务签名技术 第4章 电子商务认证技术 第5章 电子商务安全协议 第6章 电子商务网络安全 第7章 电子商务管理安全 第8章 电子商务基础设施 第9章 移动商务安全 第10章 行业商务安全 第11章 电子商务安全标准与法规,第1章 电子商务安全概述,1.1电子商务面临的安全威胁 1.2电子商务面临的主要攻击 1.3电子商务安全内涵 1.4电子商务安全体系,1.1电子商务面临的安全威胁,电子商务(Electronic Commerce)是指政府、企业和个人利用现代电子计
2、算机与网络技术实现商业交换和行政管理的全过程,是一种基于互联网,以交易双方为主体,以银行电子支付和结算为手段,以客户数据为依托的全新商务模式。 安全威胁可分为如下几类:信息截获和窃取、信息篡改、信息假冒、交易抵赖,1.1.1电子商务消费者面临的安全威胁,在电子商务活动中,消费者面临的威胁有: (1)虚假订单。一个假冒者可能会以客户的名字来订购商品,而且有可能收到商品,而此时客户却被要求付款或返还商品。 (2)付款后不能收到商品。在要求客户付款后,销售商中的内部人员不将订单和钱转发给执行部门,因而使客户不能收到商品 (3)机密性丧失。客户有可能将秘密的个人数据或自己的身份数据(如PIN,口令等)
3、发送给冒充销售商的机构,这些信息也可能会在传递过程中被窃听。 (4)拒绝服务。攻击者可能向销售商的服务器发送大量的虚假定单来挤占它的资源,从而使合法用户不能得到正常的服务。 (5)电子货币丢失。可能是物理破坏,或者被偷窃,这通常会给用户带来不可挽回的损失。,1.1.2电子商务商家面临的安全威胁,除普通的安全威胁外,电子商务服务器通常还面临如下一些特殊的安全威胁: (1)系统中心安全性被破坏。入侵者假冒成合法用户来改变用户数据(如商品送达地址)、解除用户订单或生成虚假订单等。 (2)竞争者威胁。恶意竞争者以他人的名义来订购商品,从而了解有关商品的递送状况和货物的库存情况。 (3)商业机密安全。客
4、户资料被竞争者获悉。 (4)假冒威胁。不诚实的人建立与销售者服务器名字相同的另一个www服务器来假冒销售者;虚假订单;获取他人的机密数据,比如,某人想要了解另一人在销售商处的信誉时,他以另一人的名字向销售商订购昂贵的商品,然后观察销售商的行动,假如销售商认可该定单,则说明彼观察者的信誉高,否则,则说明被观察者的信誉不高。 (5)信用威胁。买方提交订单后不付款。,1.2电子商务面临的主要攻击,威胁电子商务安全的主要人员有黑客、攻击者、非法使用者与过失者。电子商务交易双方面临的威胁看来,攻击方法主要有四种: 检查单IP包(包括TCP、UDP)首部即可发觉的攻击,如winnuke、ping of d
5、eath、land.c、部分OS detection、source routing等; 检查单IP包,但同时要检查数据段信息才能发觉的攻击,如利用CGI漏洞,缓存溢出攻击等; 通过检测发生频率才能发觉的攻击,如端口扫描、SYN Flood、smurf攻击等; 利用分片进行的攻击,如teadrop,nestea,jolt等。,1.2电子商务面临的主要攻击,攻击电子商务系统的手段可以大致也有四种: (1)中断。攻击系统的可用性,破坏系统中的硬件、硬盘、线路、文件系统等,使系统不能正常工作。 (2)窃听。攻击系统的机密性,通过搭线和电磁泄漏等手段造成信息泄密,或对业务流量进行分析,获取有用情报。 (
6、3)篡改。攻击系统的完整性,篡改系统中数据内容,修正消息次序、时间。 (4)伪造。攻击系统的认证性,将伪造的假消息注入系统、假冒合法人接入系统、重放截获合法消息实现非法目的,否认消息的接收或发送等。,1.3电子商务安全内涵,电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。 计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。 商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障以电子交易和电子支付为核心的电子商务过程的顺利进行。 计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可
7、。,1.3电子商务安全内涵,从安全等级来说,从下至上有计算机密码安全、局域网安全、互联网安全和信息安全之分,而电子商务安全属于信息安全的范畴,涉及到信息的机密性、完整性、认证性等方面。同时,电子商务安全又有它自身的特殊性,即以电子交易安全和电子支付安全为核心,有更复杂的机密性概念,更严格的身份认证功能,对不可拒绝性有新的要求,需要有法律依据性和货币直接流通性特点,还有网络没有的其它服务(如数字时间戳服务)等。这几个安全概念之间的关系如图1-1所示。,图1-1 安全概念基本关系示意图,信息安全,互联网安全,局域网安全,密码安全,1.3.1电子商务安全特性,电子商务安全具有如下四大特性: (1)系
8、统性。 (2)相对性。 (3)有代价性。 (4)动态性。,1.3.2电子商务安全内涵,电子商务面临的威胁导致了对电子商务安全的需求,也是真正实现一个安全电子商务系统所要求做到的各个方面,主要包括机密性、完整性、认证性、不可抵赖性、不可拒绝性、访问控制性等,如图1-2所示。,一、机密性,机密性(Confidentiality)又叫保密性,是指信息在传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织,或者经过加密伪装后,使未经授权者无法了解其内容。 机密性一般通过密码技术来对保密的信息进行加密处理来实现。,二、完整性,完整性(Integrity)又叫真确性,是保护数据不被未授权者修
9、改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被更改。 完整性一般可通过提取信息消息摘要的方式来获得。,三、认证性,认证性(Authentication)是指网络两端的使用者在沟通之前相互确认对方的身份。在电子商务中,认证性一般都通过证书机构CA和证书来实现。,四、不可抵赖性,不可抵赖性又叫不可否认性(Non-repudiation),是指信息的发送方不能否认已发送的信息,接收方不能否认已收到的信息,这是一种法律有效性要求。 不可抵赖性可通过对发送的消息进行数字签名来获得。,五、不可拒绝性,商务服务的不可拒绝性(Denial of service)又叫有效性,或可用性。是保证授权用户在
10、正常访问信息和资源时不被拒绝,即保证为用户提供稳定的服务。,六、访问控制性,访问控制性(Access control)是指在网络上限制和控制通信链路对主机系统和应用的访问;用于保护计算机系统的资源(信息、计算和通信资源)不被未经授权人或未授权方式接入、使用、修改、破坏、发出指令或值入程序等。,1.4电子商务安全体系结构,电子商务安全基础包括基础知识和基础理论、基础设施和基础技术。安全问题不仅仅是技术方面的问题,它还涉及到心理、社会环境和法律等方面。,1.4.1电子商务安全基础技术,密码技术 网络安全技术 PKI技术,1.4.2电子商务安全体系结构,电子商务安全体系组成: 网络服务层 加密技术层 安全认证层 安全协议层 应用系统层,1.4.3 电子商务安全基础服务,电子商务安全涉及的基础环境包括公共政策、法规和安全技术标准等。 1电子商务公共政策 2电子商务法规 3电子商务安全技术标准,问题与讨论,1电子商务安全要求有些什么特殊性? 2以在网上购书为例,请你说说在网上购书过程中会面临哪些安全威胁。 3电子商务站点面临的安全威胁可能有黑客入侵、服务器感染病毒、数据丢失,请你结合一个电子商务站点的例子,看看他们采取了哪些安全措施? 4电子商务安全包含哪些基础技术? 5电子商务安全服务规范有哪些?各个网络层次分别有什么样的解决方案?,
