




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
第4章電子商務(wù)安全隨著電子商務(wù)的迅速發(fā)展,電子商務(wù)系統(tǒng)的安全已受到來自計算機(jī)病毒、電腦黑客、計算機(jī)網(wǎng)絡(luò)自身的脆弱性等各方面的嚴(yán)峻挑戰(zhàn)。因此如何建立一個安全、便捷的電子商務(wù)應(yīng)用環(huán)境,對信息提供足夠的保護(hù),是商家和用戶十分關(guān)心的重大問題。任務(wù)1電子商務(wù)安全概述階段1.電子商務(wù)安全威脅1.賣方面臨的安全威脅(1)中央系統(tǒng)安全性破壞(2)競爭對手檢索商品遞送狀況和貨物的庫存情況(3)被他人假冒而損害公司信譽(yù)(4)買反提交訂單后不付款(5)獲取他人的機(jī)密數(shù)據(jù)2.買方面臨的安全問題(1)付款后不能收到商品(2)機(jī)密性喪失(3)拒絕服務(wù)3.信息傳輸問題(1)冒名偷竊(2)任務(wù)1電子商務(wù)安全概述1.電子商務(wù)安全威脅的類別(1)信息的截獲和竊取:由于沒采用加密措施,數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文的形式傳送,入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過多次竊取和分析,找到信息的規(guī)律和格式,進(jìn)而得到傳輸信息的內(nèi)容。(2)信息的篡改:入侵者掌握了信息的格式和規(guī)律后,通過各種技術(shù)手段和方法,將網(wǎng)絡(luò)中傳送的信息數(shù)據(jù)在中途修改,然后再發(fā)向目的地。信息的篡改有如下三種方式:篡改:改變信息流的次序,更改信息的內(nèi)容。刪除:除去某個消息或消息的某些部分。插入:在信息中插入一些信息,讓接收方讀不懂或接收到錯誤的信息。(3)假冒信息:掌握了數(shù)據(jù)的格式后,可以篡改通過的信息,攻擊者可以冒充合法用戶發(fā)送假冒的信息或者獲取信息,遠(yuǎn)端用戶通常很難分辨。(4)交易抵賴:由于電子商務(wù)在無紙化條件下進(jìn)行,信息的發(fā)送方在發(fā)送信息后或接收方在接收信息后否認(rèn)已有的操作。電子商務(wù)安全的基本要求主要體現(xiàn)在以下幾個方面(1)保密性:保證個人的、專用的高度敏感信息的機(jī)密。(2)認(rèn)證性:確認(rèn)通信雙方的身份合法。(3)完整性:保證所有存儲和管理的信息不被篡改。(4)可訪問性:保證系統(tǒng)數(shù)據(jù)和服務(wù)能由合法人員訪問。(5)防御性:能阻擋不希望的信息或黑客的訪問。(6)不可否認(rèn)性:防止通信或交易雙方對已進(jìn)行業(yè)務(wù)的否認(rèn)。電子商務(wù)安全結(jié)構(gòu)的層次電子商務(wù)安全技術(shù)是電子商務(wù)技術(shù)體系的重要組成部分。一個安全的電子商務(wù)體系結(jié)構(gòu)如圖6-1所示。任務(wù)2網(wǎng)絡(luò)安全保障技術(shù)一個密碼體制由明文、密文、密鑰與加密運(yùn)算四個基本要素構(gòu)成。如圖6-2所示為明文加密解密過程。DES算法的一般過程,如圖6-3所示RSA算法具有如下特點(diǎn):●密鑰管理簡單(網(wǎng)上每個用戶僅保有一個密鑰,且不需密鑰配送)?!癖阌跀?shù)字簽名。●可靠性較高(取決于分解大素數(shù)的難易程度)?!袼惴◤?fù)雜,加密/解密速度慢,難于實現(xiàn)。數(shù)字簽名的功能如下:(1)接收方能夠確認(rèn)發(fā)送方的簽名,但不能偽造。(2)發(fā)送方發(fā)出簽過名的信息后,不能再否認(rèn)。(3)接收方對接收到的簽名信息也不能否認(rèn)。(4)一旦接收方出現(xiàn)爭執(zhí),仲裁者可有充足的證據(jù)進(jìn)行評判。任務(wù)3網(wǎng)絡(luò)認(rèn)證系統(tǒng)1.網(wǎng)絡(luò)認(rèn)證的目的和基本功能(1)網(wǎng)絡(luò)認(rèn)證的目的:驗證信息發(fā)送者的真實性,此為實體認(rèn)證,包括信源、信宿等的認(rèn)證和識別;驗證信息的完整性,此為消息的認(rèn)識、驗證數(shù)據(jù)在傳送或存儲的過程中是否被篡改、重做或延遲等。(2)網(wǎng)絡(luò)認(rèn)證的基本功能①可信性:信息的來源是可信的,即信息接收者能夠確認(rèn)所獲得的信息不是由冒充者發(fā)出的。②完整性:要求信息在傳輸過程中保證其完整性,即信息接收者能夠確認(rèn)所獲得信息在傳輸過程中沒被修改、延遲和替換等。③不可抵賴性:要求信息發(fā)送方不能否認(rèn)自己所發(fā)出的信息,同樣,信息的接收方也不能否認(rèn)收到的信息。④訪問控制:拒絕非法用戶訪問系統(tǒng)資源,合法用戶只能訪問系統(tǒng)授權(quán)和指定的資源。認(rèn)證中心主要有以下幾種功能。(1)證書的頒發(fā)認(rèn)證中心接收、驗證用戶(包括下級認(rèn)證中心和最終用戶)的數(shù)字證書的申請,將申請的內(nèi)容進(jìn)行備案,并根據(jù)申請的內(nèi)容確定是否受理該數(shù)字證書的申請。(2)證書的更新認(rèn)證中心定期更新所有用戶的證書,或者根據(jù)用戶的請求來更新用戶的證書。(3)證書的查詢證書的查詢可以分為兩類:其一是證書申請的查詢,認(rèn)證中心根據(jù)用戶的查詢請求返回當(dāng)前用戶證書申請的處理過程;其二是用戶證書的查詢,這類查詢由目錄服務(wù)器來完成,目錄服務(wù)器根據(jù)用戶的請求返回適當(dāng)?shù)淖C書。(4)證書的作廢當(dāng)用戶的私鑰由于泄密等原因造成用戶的證書需要申請作廢時,用戶需要向認(rèn)證中心提出證書作廢的請求,認(rèn)證中心根據(jù)用戶的請求確定是否將該證書作廢。另一種證書作廢的情況就是證書已經(jīng)過了有效期,認(rèn)證中心自動將該證書作廢。認(rèn)證中心通過維護(hù)證書作廢列表(CertificateRevocationList,簡稱CRL)來完成上述功能。(5)證書的歸檔證書具有有效期,證書過了有效期之后將作廢,但是我們不能將作廢的證書簡單地丟棄,因為有時我們可能需要驗證以前的某個交易任務(wù)4防火墻防火墻的基本類型:1.數(shù)據(jù)包過濾數(shù)據(jù)包過濾(PacketFiltering)技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行選擇,選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯,被稱為訪問控制表(AccessControlTable)。2.應(yīng)用級網(wǎng)關(guān)應(yīng)用級網(wǎng)關(guān)(ApplicationLevelGateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。3.代理服務(wù)代理服務(wù)(ProxyService)也稱鏈路級網(wǎng)關(guān)(CircuitLevelGateways)或TCP通道(TCPTunnels),也有人將它歸為應(yīng)用級網(wǎng)關(guān)。計算機(jī)中的防火墻可以用來防范來自互聯(lián)網(wǎng)的損壞,如黑客攻擊、病毒破壞、資源被盜用或文件被篡改等。因此系統(tǒng)采用防火墻可以防止非法入侵,其防范功能主要體現(xiàn)在以下
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 【正版授權(quán)】 IEC 63522-9:2025 EN-FR Electrical relays - Tests and measurements - Part 9: Climatic tests
- 2025年現(xiàn)場施工管理考試試題及答案
- 2025年水利工程管理測試試卷及答案
- 2025年寶石學(xué)與鑒定技術(shù)考試卷及答案
- 2025年公共政策分析基礎(chǔ)考試試卷及答案
- 2025年公共健康科學(xué)考試試題及答案
- 2025年公共衛(wèi)生與預(yù)防醫(yī)學(xué)考題及答案
- 2025年科技與管理結(jié)合的職業(yè)考試試題及答案
- 2025年戶外教育與青少年發(fā)展課程考試題目及答案
- 七級語文測試題及答案
- 醫(yī)療器械網(wǎng)絡(luò)銷售質(zhì)量管理規(guī)范宣貫培訓(xùn)課件2025年
- SL631水利水電工程單元工程施工質(zhì)量驗收標(biāo)準(zhǔn)第1部分:土石方工程
- DL∕T 5370-2017 水電水利工程施工通 用安全技術(shù)規(guī)程
- 廣東省2024年中考數(shù)學(xué)試卷【附真題答案】
- (高清版)TDT 1075-2023 光伏發(fā)電站工程項目用地控制指標(biāo)
- 監(jiān)控立桿基礎(chǔ)國家標(biāo)準(zhǔn)
- 億賽通數(shù)據(jù)泄露防護(hù)(DLP)_CDG_V3.1用戶使用手冊
- 方格子漢字獨(dú)體字表
- 德魯克的績效觀
- 那洛巴尊者傳
- 包材產(chǎn)品HACCP計劃
評論
0/150
提交評論