大工13秋《電子商務(wù)》輔導(dǎo)資料七

1、電子商務(wù)輔導(dǎo)資料七主 題： 第五章 電子商務(wù)中的安全技術(shù)（第13節(jié)） 學(xué)習(xí)時(shí)間：2013年11月110-11月170內(nèi) 容：第五章電子商務(wù)中的安全技術(shù)這周我們將學(xué)習(xí)第五章屮的第13節(jié)，這部分重點(diǎn)介紹電子商務(wù)系統(tǒng)的安 全問(wèn)題和安全措施、電子商務(wù)系統(tǒng)安全交易的標(biāo)準(zhǔn)等；下面整理出的理念框架供 同學(xué)們學(xué)習(xí)。第一節(jié)電子商務(wù)系統(tǒng)的安全問(wèn)題一、電子商務(wù)系統(tǒng)面臨的主要威脅：系統(tǒng)穿透：未授權(quán)人通過(guò)一定手段對(duì)認(rèn)證性進(jìn)行攻擊，假冒合法者接入系統(tǒng) 或篡改文件，或竊取機(jī)密信息，或非法使用資源等。系統(tǒng)穿透一般采取偽裝或利 用系統(tǒng)薄弱環(huán)節(jié)等方式實(shí)現(xiàn)。違反授權(quán)規(guī)則：一個(gè)授權(quán)進(jìn)入系統(tǒng)“做某事件”的用戶，在系統(tǒng)中進(jìn)行未經(jīng) 授權(quán)的

2、其他事情，表而上看起來(lái)是系統(tǒng)內(nèi)部的誤用或?yàn)E用問(wèn)題，但這種威脅與外 部穿透有關(guān)聯(lián)。植入：一般在系統(tǒng)穿透或違反授權(quán)攻擊成功后，入侵者要再系統(tǒng)中植入-種 能力，為以后攻擊提供方便條件，如向系統(tǒng)中注入病毒、陷阱等來(lái)破壞系統(tǒng)正常 工作。通信監(jiān)視：這是一種在通信過(guò)程屮從信道進(jìn)行搭線竊聽(tīng)的方式，通過(guò)搭線和 電磁泄漏對(duì)機(jī)密性進(jìn)行攻擊，造成泄漏，或?qū)I(yè)務(wù)流量進(jìn)行分析，獲取冇用情報(bào)。 偵察衛(wèi)星、監(jiān)視衛(wèi)星、隱身飛機(jī)等均可用于截獲和跟蹤信息。通信干擾：攻擊者對(duì)通信數(shù)據(jù)或通信過(guò)程進(jìn)行干擾，對(duì)完整性進(jìn)行攻擊，篡 改系統(tǒng)中的數(shù)據(jù)，修改消息次序、吋間，注入偽造信息。中斷：對(duì)可用性進(jìn)行攻擊，迫害系統(tǒng)中得硬件，使系統(tǒng)不能止常工作

3、，破壞 信息和網(wǎng)絡(luò)資源。拒絕服務(wù)：指合法接入信息、業(yè)務(wù)或其他資源受阻。否認(rèn)：一個(gè)實(shí)體進(jìn)行某種通信或交易活動(dòng)，稍候否認(rèn)進(jìn)行過(guò)這一活動(dòng)，不管 這種行為是否有意的亥時(shí)無(wú)意的，一旦出現(xiàn)再要解決雙方的爭(zhēng)執(zhí)就不容易了。二、電子商務(wù)系統(tǒng)的安全需求:u 呆密性要求2完整性要求3不可否認(rèn)要求4交易者身份的真實(shí)性5有效性要求6系統(tǒng)的可靠性第二節(jié)電子商務(wù)系統(tǒng)的安全措施一、電子商務(wù)提供的安全服務(wù)：主要包括：鑒別服務(wù)、訪問(wèn)控制服務(wù)、機(jī)密性服務(wù)、不可否認(rèn)服務(wù)等。二、數(shù)據(jù)安全1、數(shù)據(jù)加密是確保電子商務(wù)系統(tǒng)中數(shù)據(jù)的安全性、真實(shí)性和完整性的重要 手段。明文一源信息，密文一為保護(hù)明文，將其通過(guò)某種方式交換成局 外人難以識(shí)別的另一

4、種形式。z密鑰是有數(shù)字、字符胡特殊符號(hào)組成的字符串，它可以控制加密解密過(guò) 程。密鑰的長(zhǎng)度是指密鑰的位數(shù)。a加密算法是指把加密解密變換處理過(guò)程抽象成數(shù)學(xué)函數(shù)。正向?yàn)榧用芎?數(shù)，反向?yàn)榻饷芎瘮?shù)。久對(duì)稱密鑰系統(tǒng)：密鑰系統(tǒng)又稱對(duì)稱密鑰系統(tǒng)，它使用相同的密鑰加密和 解密，發(fā)送者和接收者有相同的密鑰。三、網(wǎng)絡(luò)安全在網(wǎng)絡(luò)安全方面，當(dāng)麗的主流思路是從企業(yè)內(nèi)聯(lián)網(wǎng)出發(fā)來(lái)考慮以因特網(wǎng)為 基礎(chǔ)的電子商務(wù)安全問(wèn)題。內(nèi)聯(lián)網(wǎng)是一種半封閉的集屮式可控網(wǎng)。1、網(wǎng)路安全規(guī)劃&威脅評(píng)估：與網(wǎng)絡(luò)連通性有關(guān)的安全威脅主要有：非授權(quán)訪問(wèn)、信息泄漏、 拒絕訪問(wèn)。®分布式控制：實(shí)現(xiàn)網(wǎng)絡(luò)安全的一種方法是將一個(gè)大型網(wǎng)絡(luò)中各段的

5、責(zé)任和 控制權(quán)分配給單位內(nèi)部的一些小組。&編制網(wǎng)絡(luò)安全策略：一個(gè)網(wǎng)絡(luò)安全策略文件應(yīng)該包括：網(wǎng)絡(luò)用戶的安全責(zé)任；系統(tǒng)管理員的安全責(zé)任；正確使用網(wǎng)絡(luò)資源；檢測(cè)到安全問(wèn)題吋的策略。z防火墻技術(shù)0防火墻：是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)z間的一道屏障，以防止發(fā)生不 可預(yù)測(cè)的、潛在的破壞性的侵入。&防火墻的實(shí)質(zhì)：包含一對(duì)矛盾或稱機(jī)制，一方面限制數(shù)據(jù)流通，另一方面它又允許數(shù)據(jù)流通。&防火墻的分類：根據(jù)防范的方式和側(cè)重點(diǎn)不同，防火墻分2類：數(shù)據(jù)包過(guò)濾型（通常安 裝在路由器上）和應(yīng)用網(wǎng)關(guān)型（通常安裝在工作站上）。$應(yīng)用系統(tǒng)安全0計(jì)算機(jī)系統(tǒng)安全0安全性管理（用戶賬號(hào)管理、用戶組管理、口令維護(hù)

6、、超級(jí)用戶管理）4數(shù)字簽名0概念：傳統(tǒng)上采用的是手書簽字或印章，是模擬的，因人而已；數(shù)字簽名 是0和1的數(shù)字串，因消息而已。0組成部分：簽字算法和驗(yàn)證算法。常用的數(shù)字簽名體制： 應(yīng)簽名體制、elgaral簽名體制等5認(rèn)證與身份證明0身份認(rèn)證系統(tǒng)組成：示證者、驗(yàn)證者、攻擊者。0認(rèn)證的主要方法：雙重認(rèn)證、數(shù)字證書、智能卡、安全電子交易協(xié)議。第三節(jié)安全電子交易標(biāo)準(zhǔn)一、安全電子交易標(biāo)準(zhǔn)：安全超文木傳輸協(xié)議（&+titb：用密鑰來(lái)加密，以保障web站點(diǎn) 上的信息的安全。即 網(wǎng)"支持超文本傳輸協(xié)議（htip,為web文檔 提供安全和鑒別，保證數(shù)據(jù)的安全。0安全套接層協(xié)議（ssd：是保證w

7、eb站點(diǎn)z間通信信道的安全，而 向網(wǎng)絡(luò)協(xié)議棧的底層通道進(jìn)行安全監(jiān)控。安全多媒體協(xié)議internet郵件擴(kuò)展協(xié)議（snw：依賴密鑰對(duì)保 證電子郵件安全傳輸。0安全電了交易協(xié)議（sed：是為了解決用戶、商家和銀行z間通過(guò)信 用卡支付的交易而設(shè)計(jì)的。set交易分為三個(gè)階段：購(gòu)買請(qǐng)求階段、支付認(rèn) 定階段、受款階段。本周要求掌握的內(nèi)容如下：基本概念：系統(tǒng)穿透、違反授權(quán)規(guī)則、植入、數(shù)字簽名、防火墻等?；纠砟睿弘娮由虅?wù)面臨的主要威脅、電子商務(wù)提供的安全服務(wù)、安全電子交易的標(biāo)準(zhǔn)。練習(xí)：1、電子商務(wù)面臨的主要威脅有哪些？a電子商務(wù)中安全電子交易都遵循哪些標(biāo)準(zhǔn)？1、下而屈于電子商務(wù)的安全服務(wù)的是（）。a訪問(wèn)控制r不可否認(rèn)c鑒別u機(jī)密性z身份認(rèn)證系統(tǒng)的組成（）。a驗(yàn)證者b示證者c攻