世纪高职高专规划教材电子商务第3章.ppt

第3章 电子商务的安全技术,3.1 电子商务安全概述 3.2 计算机网络安全技术 3.3 电子交易安全技术 3.4 数字证书应用实例 3.5 本章小结 习题,引例: 血汗钱网上神秘被盗 800万张信用卡泄密 随着电子商务这一新的商务模式逐步为社会各界所接受并应用，如何建立一个安全、便捷的电子商务应用环境，对信息提供足够的保护，已成为人们热切关注的焦点电子商务安全的关键是要保证商务活动过程中系统的安全性，即应保证在基于互联网的电子交易转变的过程中与传统交易的方式一样安全可靠在以虚拟的网络为平台的电子商务过程中，由于无法直接亲眼证实对方的身份；担心计算机系统会出现不可预料的意外；或担心自己的账号等隐私支付信息被他人窃取， 等等，建立交易双方的安全和信任关系相对难度较大，而且这种安全性的担忧是相互的，即交易的双方都面临安全威胁电子商务安全是一个复杂的系统问题，它不仅与它的支撑平台——计算机网络系统有关，还与电子商务的应用环境、交易模式及人员素质和社会因素等诸多因素有关电子商务的安全要素主要体现在以下几个方面3.1 电子商务安全概述 3.1.1 电子商务的安全要素,(1) 保密性 电子商务依托的是一个开放的网络环境，因此商业信息的保密是电子商务应用全面推广的重要保障。

所谓保密性，是指信息在传输过程或存储过程中不被他人窃取交易中的商务信息均有保密的要求，因此在电子商务的信息传播中一般均有加密的要求，以防止信息的泄露 (2) 完整性 完整性是指数据在存储和传输过程中，要求能保证数据的一致性，防止数据被非授权建立、修改和破坏因此保持贸易各方信息的完整性是电子商务应用的基础3) 不可否认性 电子交易通信过程的各个环节都必须是不可否认的在电子商务中，通过手写签名和印章进行交易双方的鉴别已行不通，取而代之的是利用数字签名技术做到信息的发送方在发送信息后不能抵赖，接收方在接收信息后也不能抵赖 (4) 可靠性 可靠性是指电子商务系统的可靠程度任何一个电子商务系统在运作过程中都会受到计算机失效、程序错误、传输错误、硬件故障、系统软件故障、计算机病毒和自然灾害等潜在威胁如何采取一系列的控制和预防措施来防止数据信息资源不受到破坏，决定了电子商务系统的可靠程度1. 计算机网络的安全 从本质上来讲，网络安全就是指计算机网络系统中的硬件、软件、数据受到保护，使之不因偶然的或恶意的原因而遭到破坏、更改、泄露，系统能连续正常工作其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。

3.1.2 电子商务安全的主要内容,网络安全一般可分为物理安全和信息安全物理安全是指保证计算机系统的各种设备的安全，主要包括环境安全、设备安全、介质安全等，是整个信息系统安全的前提网络信息安全则是指必须保障网络信息不会被非法窃取、泄露、删改和破坏一般情况下，计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击三个方面而信息安全的威胁则主要体现在非授权访问、信息泄露及拒绝服务三大方面2. 电子交易的安全 在互联网上的电子商务交易过程中，最核心和最关键的问题就是交易的安全性电子交易安全必须解决传统商务在互联网络上应用时产生的各种安全问题在计算机网络安全的基础上，如何保障电子商务过程的顺利进行，即实现电子商务的保密性、完整性、不可否认性及可靠性 一般而言，电子交易过程中客户最担心的便是信息的泄露、篡改和破坏1) 信息泄露 如果不采用任何加密措施将数据信息直接在网络上传输，任何人都可在数据包经过的网关或路由器上截获传送的信息即使是对加密数据，客户仍然担心这些经过加密的商业信息或个人信息被窃取后有可能经过专业分析后导致信息的泄露 (2) 篡改、破坏、假冒信息 当入侵者掌握了信息的格式和规律后，便可通过相关技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。

甚至可以冒充合法用户发送假冒的信息计算机网络安全与电子交易安全实际上是密不可分的，两者相辅相成，缺一不可 一个完善的电子商务系统在保证其计算机网络硬件平台和系统软件平台安全的基础上，还应该拥有安全的加密体制和强大的加密技术、可靠的认证技术及其他相关技术以确保电子商务活动的安全运作1. 网络安全的特征 ① 保密性: 指保护信息不被未授权者访问，往往采用数据加密及授权控制等方法实现 ② 数据完整性: 指数据未经授权不能被改变，即通过网上传输的数据应防止被修改、删除等，以保证合法用户接收和使用真实的数据 ③ 可用性: 指可被授权用户访问并按需求使用的特性，即当需要时应能存取所需的信息 ④ 可控性: 指对信息的传播及内容具有控制能力3.2 计算机网络安全技术 3.2.1 网络安全的特征与技术,2. 网络安全的主要技术 ① 鉴别技术，有时也称认证技术，指在进行事务处理前先确认对方的身份 ② 访问控制技术，确定用户能够访问的数据范围以及允许进行的操作等 ③ 加密技术，保证数据在传输过程中的完整性，以及发送方的身份鉴定等 ④ 防火墙技术，用于保护网络不受来自另一个不可信赖网络的非法侵入 ⑤ 虚拟专用网(VPN)技术，是指利用不可靠的互联网络作为信息传输媒介，通过比较复杂的专用加密和认证技术实现与专用网络相类似的安全性能，从而实现对重要信息的安全传输。

除上述技术之外，还有病毒防范技术、监控审计技术、安全评估技术等，另外，安全管理、法律约束等也是必不可少的计算机病毒是当今计算机领域的一大顽症，借助于计算机网络它可以传播到计算机世界的每一个角落，并大肆破坏计算机数据、更改操作程序、摧毁计算机硬件，具有强大的传染性和破坏性在《中华人民共和国计算机信息系统安全保护条例》中将计算机病毒明确定义为: “指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码3.2.2 病毒防治,1. 计算机病毒的分类 (1) 病毒的破坏性 ① 尽管不具备破坏性，但会大量占用CPU时间、增加系统开销、降低系统工作效率 ② 恶性病毒是指那些一旦发作后，就会破坏系统或数据,造成计算机系统瘫痪的一类病毒2) 病毒的寄生或传染方式 ① 引导区病毒 隐藏在存储介质的引导区，当计算机从被感染了引导区病毒的启动盘启动，或当计算机从受感染的存储介质中读取数据时，引导区病毒就开始发作一旦病毒被拷贝到机器的内存中，马上就会感染其他磁盘的引导区，或通过网络传播到其他计算机上 ② 文件型病毒 文件型病毒寄生在其他文件中，常常通过对编码加密或使用其他技术来隐藏。

一旦运行被感染了病毒的程序文件，病毒便被激活，执行大量的操作，并进行自我复制，同时将病毒自身经过伪装后依附在用户系统的其他可执行文件中，使用户不易察觉③ 宏病毒 由于宏的功能十分强大，一些软件开发商在其研发的产品中引入宏语言，这便给宏病毒留下可乘之机宏病毒主要感染Word文档和文档模板文件 ④ 脚本病毒 脚本病毒依赖一种特殊的脚本语言(如VBScript、JavaScript等)起作用，以互联网作为传输媒介，传播速度极快若同时结合其他几种病毒，将对网络有更大的破坏作用⑤ 网络蠕虫程序 网络蠕虫程序是通过间接方式复制自身的一种非感染型病毒这种病毒的公共特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性 ⑥ “特洛伊木马”程序 特洛伊木马程序通常是指伪装成合法软件的非感染型病毒，但它不进行自我复制有些木马可以模仿运行环境，收集所需的信息最常见的木马病毒便是试图窃取用户名和密码的登录窗口，或者试图从众多的互联网服务器提供商(ISP)盗窃用户的注册信息和账号信息3) 病毒环境 据病毒感染所需环境分，可分为单机病毒和网络病毒其中，网络病毒是在计算机网络上传播扩散，专门攻击网络薄弱环节、破坏网络资源的一种杀伤力极强的计算机病毒。

网络病毒便利用软件缺陷或者是系统研制开发时因疏忽而留下的“后门”进行攻击2. 根据名称识别病毒 (1) 病毒前缀是指一个病毒的种类 (2) 病毒名是指一个病毒的家族特征，是用于区别和标识病毒家族的标志 (3) 病毒后缀是指一个病毒的变种特征，用于区别具体某个家族病毒的某个变种 表3-1为常见病毒及其病毒前缀3. 计算机病毒的防治 计算机病毒的防治要从防毒、查毒、解毒三方面进行 防毒是指根据系统特性，采取相应的预防措施，防止计算机病毒通过硬盘或其他移动存储介质、局域网、因特网等多种途径侵入计算机常用的防毒技术包括安装防病毒软件、加密可执行程序、引导区保护、系统监控与读写控制等查毒是指通过一定的技术手段发现计算机系统是否感染病毒，并准确查找出病毒的来源常用的查毒技术主要有识别判断病毒特征的检测技术和文件自身检测技术两种方法对病毒特征的检测包括病毒关键字、特征程序内容、传染方式、文件长度的变化等，一般可利用杀毒软件并下载最新的病毒特征库自动完成这种检测而文件自身检测主要指对文件自身特征的检测，如发现差异，则表明该文件或数据已遭破坏，可判定已感染了病毒 解毒是指从感染对象中清除病毒，恢复被病毒感染前的原始信息。

一般可使用杀毒软件来完成病毒的清除但是，杀毒软件一般是在病毒出现后才能开发研制，有较大的被动性和滞后性在网络环境下，病毒传播速度非常快，仅用单机防病毒软件已难以清除网络病毒为了实现网络环境下计算机病毒的防治，必须将管理与防范相结合具体的实现方法包括在内部网络服务器上安装网络版防病毒软件，在单机上安装单机版防病毒软件，对网络服务器中的文件进行频繁的扫描和监测，对网络目录和文件设置访问权限和属性，严格管理网络管理员的用户名和入网口令，开启系统中尽量少的服务等 根据所掌握的病毒特点和病毒未来的发展趋势，国家计算机病毒紧急处理中心与计算机病毒防治产品检验中心还特别制定了以下的病毒防治策略提供用户参考① 建立病毒防治的规章制度，严格管理； ② 建立病毒防治和应急体系，建立病毒事故分析制度； ③ 进行计算机安全教育，提高安全防范意识； ④ 对系统进行风险评估； ⑤ 选择经过公安部认证的病毒防治产品； ⑥ 正确配置，使用病毒防治产品； ⑦ 正确配置系统，减少病毒侵害事件； ⑧ 定期检查敏感文件； ⑨ 适时进行安全评估，调整各种病毒防治策略； ⑩ 确保恢复，减少损失1. 防火墙的概念 简单地说，防火墙是位于两个信任程度不同的网络之间(如企业内部网和互联网之间)的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。

由此可见，防火墙在一个被认为是安全和可信的内部网络和一个被认为是不安全和可信的外部网络(通常是互联网)之间提供了一道保护屏障，它决定了外界的哪些人可以访问内部的哪些可以访问的服务，以及哪些外部服务可以被内部人员访问3.2.3 防火墙技术,2. 防火墙的功能 防火墙的功能应包括: ① 过滤掉不安全的服务和非法用户； ② 控制对特殊站点的访问； ③ 提供监视因特网安全和预警的方便端点； ④ 可接受各种攻击 然而，防火墙是一种被动的技术，只能对已知的网络威胁起作用即使是现有的已知网络，防火墙也表现出如下的主要缺陷: 不能防范不经由防火墙的攻击；不能完全防止感染了病毒的软件或文件的传输；无法控制来自内部的非法访问3. 防火墙的分类 (1) IP级防火墙 IP级防火墙是在IP层实现的，也称为包过滤型防火墙，主要通过路由器及过滤器来完成对外界计算机访问内部网络的限制，也可以指定或限制内部网络访问因特网路由器只对过滤器上的特定端口上的数据通信加以路由过滤器的主要功能就是在网络层中对数据包实施有选择的通过，依照IP 包信息为基础，根据IP 源地址、IP 目标地址、封装协议端口号，确定它是否允许该数据包通过。

这种防火墙措施最大的优点就是它对于用户来说是透明的，也就是说不。