第8章-電子商務(wù)安全技術(shù)課件

謝謝觀賞第8章電子商務(wù)安全技術(shù)案例引入1電子商務(wù)安全概述2電子商務(wù)安全體系3電子商務(wù)安全技術(shù)4電子商務(wù)安全應(yīng)用51謝謝觀賞2019-9-14案例導(dǎo)入淘寶網(wǎng)1元“錯價門”事件電子商務(wù)安全不容忽視

中國IDC評述網(wǎng)2009年09月14日報道：互聯(lián)網(wǎng)上從來不乏標(biāo)價1元的商品。近日，淘寶網(wǎng)上大量商品標(biāo)價1元，引發(fā)網(wǎng)民爭先恐后哄搶，但是之后許多訂單被淘寶網(wǎng)取消。隨后，淘寶網(wǎng)發(fā)布公告稱，此次事件為第三方軟件“團(tuán)購寶”交易異常所致。部分網(wǎng)民和商戶詢問“團(tuán)購寶”客服得到自動回復(fù)稱：“服務(wù)器可能被攻擊，已聯(lián)系技術(shù)緊急處理。”這起“錯價門”事件發(fā)生至今已有兩周，導(dǎo)致“錯價門”的真實原因依然是個謎，但與此同時，這一事件暴露出來的電子商務(wù)安全問題不容小覷。資料來源:作者略有刪減28.1電子商務(wù)安全概況

8.1.1電子商務(wù)安全概念與特點1.電子商務(wù)安全的定義電子商務(wù)安全從整體上可分為兩大部分：計算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全。2019-9-14計算機(jī)網(wǎng)路安全電子商務(wù)安全商務(wù)交易安全包括計算機(jī)的網(wǎng)絡(luò)設(shè)備安全、計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全主要保證電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性3謝謝觀賞謝謝觀賞2019-9-14案例導(dǎo)入

2.電子商務(wù)安全特點電子商務(wù)安全是一個系統(tǒng)概念電子商務(wù)安全是相對的電子商務(wù)安全是有代價的電子商務(wù)安全是發(fā)展的、動態(tài)的4謝謝觀賞2019-9-14案例導(dǎo)入1．對客戶機(jī)的安全威脅1動態(tài)網(wǎng)頁內(nèi)容2相關(guān)技術(shù)或機(jī)制

動態(tài)網(wǎng)頁有多種形式，最著名的動態(tài)網(wǎng)頁形式包括JavaScript和VBScript、JavaApplet和ActiveX控件等1）cookies2）郵件通訊簿3)信息隱蔽52．對通信信道的安全威脅

(1）搭線竊聽（2）IP欺騙（3）IP源端路由選擇（4）目標(biāo)掃描謝謝觀賞2019-9-1463．對服務(wù)器的安全威脅謝謝觀賞2019-9-14（1）WWW服務(wù)器（2）數(shù)據(jù)庫服務(wù)器（3）CGI（4）ASP（5）郵件炸彈（6）溢出攻擊（7）口令破譯78.1.3電子商務(wù)安全要素謝謝觀賞2019-9-14保密性完整性認(rèn)證性不可抵賴性不可拒絕性訪問控制性電子商務(wù)安全核心8謝謝觀賞2019-9-141．保密性商務(wù)數(shù)據(jù)的保密性（Confidentiality）是指信息在網(wǎng)絡(luò)上傳輸或存儲的過程中不被他人竊取、不被泄露給未經(jīng)授權(quán)的人或組織，或者經(jīng)過加密偽裝后，使未經(jīng)授權(quán)者無法了解其內(nèi)容。2．完整性

商務(wù)數(shù)據(jù)的完整性（Integrity）是指保護(hù)數(shù)據(jù)的一致性，防止數(shù)據(jù)被未授權(quán)者修改、建立、嵌入、刪除、重復(fù)發(fā)送或由于其他原因使原始數(shù)據(jù)被更改。9謝謝觀賞2019-9-143．認(rèn)證性

商務(wù)對象的認(rèn)證性(Authentication)或稱真實性是指網(wǎng)絡(luò)兩端的使用者在通信之前相互確認(rèn)對方的身份，保證交易方確實存在，而并非有人假冒。4．不可否認(rèn)性商務(wù)服務(wù)的不可否認(rèn)性(Non-repudiation)或稱不可抵賴性是指信息的發(fā)送方不能否認(rèn)已發(fā)送的信息，接收方不能否認(rèn)已收到的信息，這是一種法律有效性要求。105．不可拒絕性商務(wù)服務(wù)的不可拒絕性(Denialofservice)或稱可靠性是指保證授權(quán)用戶在正常訪問信息和資源時不被拒絕，即為用戶提供穩(wěn)定可靠的服務(wù)。

6．訪問控制性

訪問控制性(Accesscontrol)或稱可控性規(guī)定了主體訪問客體的操作權(quán)力限制，以及限制進(jìn)入物理區(qū)域(出入控制)和限制使用計算機(jī)系統(tǒng)和計算機(jī)存儲數(shù)據(jù)的過程(存取控制)。包括人員限制、數(shù)據(jù)標(biāo)識、權(quán)限控制、控制類型和風(fēng)險分析等。謝謝觀賞2019-9-14118.2.1電子商務(wù)安全框架

一個安全的電子商務(wù)系統(tǒng)應(yīng)構(gòu)建以策略為指導(dǎo)、技術(shù)為基礎(chǔ)、管理為核心的安全框架。在安全策略指導(dǎo)下，建立統(tǒng)一的安全管理平臺，提供全面的安全服務(wù)，形成一個互為協(xié)作的統(tǒng)一體，使整個系統(tǒng)覆蓋從物理通信到網(wǎng)絡(luò)、系統(tǒng)平臺直至數(shù)據(jù)和應(yīng)用平臺的各個層面的安全需求，從而形成完整的電子商務(wù)安全框架。謝謝觀賞2019-9-14121.安全策略可采用的安全策略一般有:(1)物理結(jié)構(gòu):同因特網(wǎng)物理隔離，同內(nèi)部局域網(wǎng)邏輯隔離。(2)敏感信息:鏈路加密、文件加密傳輸、重要數(shù)據(jù)加密存儲。(3)安全認(rèn)證:建立PKI/CA系統(tǒng)和授權(quán)管理。(4)適度安全防護(hù):從技術(shù)安全中選擇適當(dāng)防護(hù)措施。(5)安全管理與審計:加強(qiáng)安全審計，建立統(tǒng)一的安全管理平臺。謝謝觀賞2019-9-14132.安全框架(1）物理與線路傳輸安全框架(2)網(wǎng)絡(luò)安全防御框架(3)主機(jī)與系統(tǒng)安全框架(4)數(shù)據(jù)與應(yīng)用安全框架(5)統(tǒng)一安全管理框架謝謝觀賞2019-9-1414謝謝觀賞2019-9-148.2.2電子商務(wù)安全體系結(jié)構(gòu)電子商務(wù)安全框架是保證電子商務(wù)中數(shù)據(jù)安全的,一個完整的邏輯結(jié)構(gòu)，由五個部分組成158.2.3電子商務(wù)安全基礎(chǔ)環(huán)境

電子商務(wù)安全基礎(chǔ)環(huán)境是指從整體電子商務(wù)系統(tǒng)或網(wǎng)絡(luò)支付系統(tǒng)的角度進(jìn)行安全防護(hù)，它與網(wǎng)絡(luò)系統(tǒng)硬件平臺、操作系統(tǒng)、各種應(yīng)用軟件等互相關(guān)聯(lián)，包括的內(nèi)容有：1.行政管理(1)核心設(shè)備的密碼由雙人管理。核心設(shè)備如服務(wù)器、存儲器、交換機(jī)、路由器等。(2)對用戶的注冊、退網(wǎng)、用網(wǎng)等有嚴(yán)格的管理規(guī)章制度。(3)對數(shù)據(jù)交換中心核心信息的增加、刪除和備份要嚴(yán)格實行登記制度。(4)對系統(tǒng)的運行要有監(jiān)控和應(yīng)急處理措施，特別是門戶網(wǎng)站的24小時監(jiān)控、預(yù)警和快速恢復(fù)。(5)網(wǎng)絡(luò)中心機(jī)房的屏蔽技術(shù)，要經(jīng)當(dāng)?shù)乇Ｃ懿块T測試和認(rèn)可。(6)網(wǎng)絡(luò)中心機(jī)房的雙路供電和不間斷電源條件應(yīng)滿足實際需要。謝謝觀賞2019-9-14162.基于網(wǎng)絡(luò)設(shè)施的基本安全防御系統(tǒng)網(wǎng)絡(luò)設(shè)施的基本安全防御包括防火墻、入侵檢測、防病毒、脆弱性掃描、防WEB篡改、鏈路加密、安全審計和入網(wǎng)認(rèn)證等。(1)防火墻(2)入侵檢測系統(tǒng)(IDS)(3)病毒防護(hù)(4)漏洞掃描(5)物理隔離(6)鏈路加密和VPN(7)入網(wǎng)認(rèn)證與審計謝謝觀賞2019-9-14173.基于PKI的CA安全認(rèn)證包括電子身份認(rèn)證、授權(quán)、密碼管理、密鑰管理、可信任時間戳管理等。建立認(rèn)證授權(quán)中心，對公眾網(wǎng)絡(luò)用戶實行安全證書發(fā)放、入網(wǎng)認(rèn)證、授權(quán)服務(wù)和管理。4.數(shù)據(jù)加密數(shù)字加密是利用數(shù)學(xué)算法將明文轉(zhuǎn)變?yōu)椴豢赡芾斫獾拿芪暮头催^來將密文轉(zhuǎn)變?yōu)榭衫斫庑问降拿魑牡姆椒?、手段和理論的一門科學(xué)。對基礎(chǔ)數(shù)據(jù)和核心數(shù)據(jù)實行加密處理，當(dāng)用戶欲訪問數(shù)據(jù)庫時除了入網(wǎng)認(rèn)證、服務(wù)器權(quán)限管理、磁盤目錄屬性管理和文件讀/寫權(quán)限管理之外，對數(shù)據(jù)庫的記錄、記錄字段增加讀、改、寫權(quán)限并進(jìn)行加密處理，無權(quán)讀(或?qū)?的用戶不能看到數(shù)據(jù)庫中任何數(shù)據(jù)，即使數(shù)據(jù)被竊也無泄密之險。謝謝觀賞2019-9-14185.容災(zāi)備份容災(zāi)備份中心的主要功能：定期備份數(shù)據(jù)交換中心的數(shù)據(jù)；在災(zāi)難性故障發(fā)生的時候臨時提供服務(wù)。

容災(zāi)備份中心的主要設(shè)備包括:服務(wù)器、交換機(jī)、路由器和大容量光盤存儲器。6.統(tǒng)一安全管理多數(shù)的電子商務(wù)系統(tǒng)涉及大量的網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、安全設(shè)備以及其他設(shè)施和人員，對安全的要求較高，造成管理的復(fù)雜度很高。某些分散的管理降低了管理的效率和效果。所以需要建立一個統(tǒng)一的安全管理平臺，對整個網(wǎng)絡(luò)進(jìn)行統(tǒng)一的安全管理。謝謝觀賞2019-9-14198.3電子商務(wù)安全技術(shù)8.3.1密碼技術(shù)

加密技術(shù)是保證電子商務(wù)安全的重要手段，是信息安全的核心技術(shù)。它主要包括加密、簽名認(rèn)證和密鑰管理三大技術(shù)。

1.加密技術(shù)加密技術(shù)是保證電子商務(wù)安全的重要手段。所謂加密就是使用數(shù)學(xué)方法來重新組織數(shù)據(jù)，使得除了合法的接收者外，任何其他人要想恢復(fù)原先的“報文”或讀懂變化后的“報文”是非常困難的。

許多密碼算法現(xiàn)已成為網(wǎng)絡(luò)安全和商務(wù)信息安全的基礎(chǔ)。謝謝觀賞2019-9-14208.3電子商務(wù)安全技術(shù)8.3.1密碼技術(shù)

加密技術(shù)是保證電子商務(wù)安全的重要手段，是信息安全的核心技術(shù)。它主要包括加密、簽名認(rèn)證和密鑰管理三大技術(shù)。

1.加密技術(shù)加密技術(shù)是保證電子商務(wù)安全的重要手段。所謂加密就是使用數(shù)學(xué)方法來重新組織數(shù)據(jù)，使得除了合法的接收者外，任何其他人要想恢復(fù)原先的“報文”或讀懂變化后的“報文”是非常困難的。

許多密碼算法現(xiàn)已成為網(wǎng)絡(luò)安全和商務(wù)信息安全的基礎(chǔ)。謝謝觀賞2019-9-14218.3電子商務(wù)安全技術(shù)8.3.1密碼技術(shù)

加密技術(shù)是保證電子商務(wù)安全的重要手段，是信息安全的核心技術(shù)。它主要包括加密、簽名認(rèn)證和密鑰管理三大技術(shù)。

1.加密技術(shù)加密技術(shù)是保證電子商務(wù)安全的重要手段。所謂加密就是使用數(shù)學(xué)方法來重新組織數(shù)據(jù)，使得除了合法的接收者外，任何其他人要想恢復(fù)原先的“報文”或讀懂變化后的“報文”是非常困難的。

許多密碼算法現(xiàn)已成為網(wǎng)絡(luò)安全和商務(wù)信息安全的基礎(chǔ)。謝謝觀賞2019-9-14228.3電子商務(wù)安全技術(shù)8.3.1密碼技術(shù)

加密技術(shù)是保證電子商務(wù)安全的重要手段，是信息安全的核心技術(shù)。它主要包括加密、簽名認(rèn)證和密鑰管理三大技術(shù)。

1.加密技術(shù)加密技術(shù)是保證電子商務(wù)安全的重要手段。所謂加密就是使用數(shù)學(xué)方法來重新組織數(shù)據(jù)，使得除了合法的接收者外，任何其他人要想恢復(fù)原先的“報文”或讀懂變化后的“報文”是非常困難的。

許多密碼算法現(xiàn)已成為網(wǎng)絡(luò)安全和商務(wù)信息安全的基礎(chǔ)。謝謝觀賞2019-9-14238.3電子商務(wù)安全技術(shù)8.3.1密碼技術(shù)

加密技術(shù)是保證電子商務(wù)安全的重要手段，是信息安全的核心技術(shù)。它主要包括加密、簽名認(rèn)證和密鑰管理三大技術(shù)。

1.加密技術(shù)加密技術(shù)是保證電子商務(wù)安全的重要手段。所謂加密就是使用數(shù)學(xué)方法來重新組織數(shù)據(jù)，使得除了合法的接收者外，任何其他人要想恢復(fù)原先的“報文”或讀懂變化后的“報文”是非常困難的。

許多密碼算法現(xiàn)已成為網(wǎng)絡(luò)安全和商務(wù)信息安全的基礎(chǔ)。謝謝觀賞2019-9-14248.3電子商務(wù)安全技術(shù)8.3.1密碼技術(shù)

加密技術(shù)是保證電子商務(wù)安全的重要手段，是信息安全的核心技術(shù)。它主要包括加密、簽名認(rèn)證和密鑰管理三大技術(shù)。

1.加密技術(shù)加密技術(shù)是保證電子商務(wù)安全的重要手段。所謂加密就是使用數(shù)學(xué)方法來重新組織數(shù)據(jù)，使得除了合法的接收者外，任何其他人要想恢復(fù)原先的“報文”或讀懂變化后的“報文”是非常困難的。

許多密碼算法現(xiàn)已成為網(wǎng)絡(luò)安全和商務(wù)信息安全的基礎(chǔ)。謝謝觀賞2019-9-14258.3.2網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全是電子商務(wù)安全的基礎(chǔ)，一個完整的電子商務(wù)系統(tǒng)應(yīng)建立在安全的網(wǎng)絡(luò)基礎(chǔ)設(shè)施之上。網(wǎng)絡(luò)安全所涉及到操作系統(tǒng)安全、防火墻技術(shù)、VPN(VirtualPagerNetWork；虛擬專用網(wǎng))技術(shù)和各種反黑客技術(shù)和漏洞檢測技術(shù)等。防火墻是建立在通信技術(shù)和信息安全技術(shù)之上，它用于在網(wǎng)絡(luò)之間建立一個安全屏障，根據(jù)指定的策略對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過濾、分析和審計，并對各種攻擊提供有效的防范。主要用于Internet接入和專用網(wǎng)與公用網(wǎng)之間的安全連接。謝謝觀賞2019-9-1426謝謝觀賞2019-9-141.防火墻體系結(jié)構(gòu)防火墻結(jié)構(gòu)主要包括安全操作系統(tǒng)、過濾器、網(wǎng)關(guān)、域名服務(wù)和E-MAIL處理五個部分。27謝謝觀賞2019-9-14（１）屏蔽路由器防火墻28謝謝觀賞2019-9-14（２）屏蔽主機(jī)網(wǎng)關(guān)防火墻29謝謝觀賞2019-9-14（３）雙宿主機(jī)網(wǎng)關(guān)防火墻30謝謝觀賞2019-9-14（4）屏蔽子網(wǎng)防火墻31謝謝觀賞2019-9-14（5）安全服務(wù)器網(wǎng)絡(luò)防火墻32VPN也是一項保證網(wǎng)絡(luò)安全的技術(shù)之一，它是指在公共網(wǎng)絡(luò)中建立一個專用網(wǎng)絡(luò)，數(shù)據(jù)通過建立好的虛擬安全通道在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，就可以和其各地的分支機(jī)構(gòu)就可以在互相之間安全傳遞信息。

使用VPN有節(jié)省成本、提供遠(yuǎn)程訪問、擴(kuò)展性強(qiáng)、便于管理和實現(xiàn)全面控制等好處，是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢。謝謝觀賞2019-9-14338.3.3安全協(xié)議安全協(xié)議是許多分布式系統(tǒng)安全的基礎(chǔ)，是電子商務(wù)系統(tǒng)運行的安全通信標(biāo)準(zhǔn)。1.電子支付協(xié)議電子支付協(xié)議是指在電子交易過程中實現(xiàn)交易各方支付信息正確、安全、保密地進(jìn)行網(wǎng)絡(luò)通信的規(guī)范和約定。目前在電子支付中常用的安全協(xié)議有：安全套接層協(xié)議（SecureSocketsLayer，SSL）和安全電子交易協(xié)議（SecureElectronicTransaction，SET）。SET協(xié)議是以銀行卡為基礎(chǔ)進(jìn)行的在線交易安全標(biāo)準(zhǔn)，為交易涉及的各方之間提供安全的通信信道服務(wù)；通過采用公鑰密碼體制和X.509數(shù)字證書標(biāo)準(zhǔn)信任服務(wù)；提供交易各方信息的機(jī)密性服務(wù)。謝謝觀賞2019-9-14342.安全HTTP(S-HTTP)超文本傳輸協(xié)議超文本傳輸協(xié)議(HTTP-Hypertexttransferprotocol)是一種詳細(xì)規(guī)定了瀏覽器和萬維網(wǎng)服務(wù)器之間互相通信的規(guī)則，按照特定的方式，瀏覽器與服務(wù)器傳送相關(guān)數(shù)據(jù)。3.安全電子郵件協(xié)議安全電子郵件協(xié)議(如PEM、S/MIME等)是指通過網(wǎng)絡(luò)發(fā)送信件通信的規(guī)范和約定。S/MIME安全多媒體Internet郵件擴(kuò)展協(xié)議，主要用于保障電子郵件的安全傳輸。例如：微軟的outlookexpress中使用該協(xié)議，采用數(shù)字標(biāo)識、數(shù)字憑證、數(shù)字簽名以及非對稱密鑰系統(tǒng)等技術(shù)，構(gòu)成一種簽名加密的郵件收發(fā)方式。謝謝觀賞2019-9-14358.3.4PKI技術(shù)PKI(PublicKeyInfrastructure)是利用公鑰算法原理和技術(shù)為網(wǎng)上通信提供通用安全服務(wù)的基礎(chǔ)設(shè)施。它為電子商務(wù)、電子政務(wù)、網(wǎng)上銀行證券等提供一整套安全基礎(chǔ)平臺。PKI采用證書管理公鑰，通過第三方的可信機(jī)構(gòu)CA，把用戶的公鑰和用戶的其他標(biāo)識信息捆綁在一起，在Internet網(wǎng)上驗證用戶的身份，PKI把公鑰密碼和對稱密碼結(jié)合起來，在Internet網(wǎng)上實現(xiàn)密鑰的自動管理，保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性。PKI的核心元素是數(shù)字證書，核心執(zhí)行者是認(rèn)證機(jī)構(gòu)。數(shù)字證書服務(wù)的應(yīng)用和實施是廣泛開展電子商務(wù)的前提，電子商務(wù)的深入開展離不開數(shù)字證書技術(shù)和認(rèn)證機(jī)構(gòu)的正確督導(dǎo)。謝謝觀賞2019-9-14368.4電子商務(wù)安全應(yīng)用8.4.1網(wǎng)絡(luò)層安全服務(wù)網(wǎng)絡(luò)層的安全服務(wù)主要保障安全的通訊服務(wù)。一般使用IPSec(SecurityArchitectureforIPnetwork)方案，IPSec可以使一個系統(tǒng)選擇需要的安全協(xié)議，確定服務(wù)使用的算法，并在適當(dāng)?shù)奈恢梅胖盟埱蠓?wù)所需要的任意加密密鑰，從而在IP層提供安全服務(wù)，防止竊聽、篡改、偽造、拒絕服務(wù)攻擊等。謝謝觀賞2019-9-14378.4.2傳輸層的安全服務(wù)傳輸層的安全服務(wù)主要保障客戶端和服務(wù)器之間的安全通訊，提供保密性和數(shù)據(jù)完整性。一般使用SSL/TLS(TransportLayerSecurity)方案。SSL是在客戶和商家通信之前，在Internet上建立的一個秘密傳輸信息的信道，提供加密、認(rèn)證服務(wù)和報文的完整性驗證。

安全傳輸層協(xié)議（TLS）用于在兩個通信應(yīng)用程序之間提供保密性和數(shù)據(jù)完整性。用于在兩個通信應(yīng)用程序之間提供保密性和數(shù)據(jù)完整性SSL：（SecureSocketLayer