搜索
电子商务目录页CONTENTSPAGE—2—第三章电子商务安全第一节电子商务安全面临的问题、要素及内容第二节计算机网络安全技术第三节电子商务交易安全技术第四节电子商务安全交易协议过渡页TRANSITIONPAGE单击此处添加文字内容1电子商务安全面临的问题、要素及内容单击此处添加文字内容2计算机网络安全技术3电子商务交易安全技术4电子商务安全交易协议—4—第一节电子商务安全面临的问题、要素及内容一、电子商务面临的安全问题信息泄漏1在电子商务中表现为商业机密的泄漏,指交易双方进行交易的内容被第三方窃取,或者交易一方提供给另一方使用的文件被第三方非法使用。信息假冒3当攻击者掌握了网络信息数据规律或解密了商务信息以后,可以假冒合法用户或发送信息来欺骗其他用户。信息的篡改2在电子商务中表现为商业信息的真实性和完整性的问题。交易抵赖4发信者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条消息或内容;购买者做了订货单不承认;商家卖出的商品因价格差而不承认原有的交易。病毒问题5随着互联网技术的发展,各种新病毒及其变种迅速增加。黑客问题6黑客攻击所使用的方法不同,产生的危害程度也不同。—5—第一节电子商务安全面临的问题、要素及内容二、电子商务的基本安全要素电子商务的基本安全要素有效性认证性机密性完整性不可抵赖性如何保证电子形式的贸易信息的有效性则是开展电子商务的前提。要预防非法的信息存取和信息在传输过程中被非法窃取。完整性一般可通过提取信息的数据摘要方式来获得。不可抵赖性可通过对发送的消息进行数字签名来获取。一般都通过证书机构CA和数字证书来实现。—6—第一节电子商务安全面临的问题、要素及内容三、电子商务安全的内容电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。交易安全技术安全管理体系网络安全技术安全应用协议SET、SSL安全认证手段数字签名、CA体系基本加密算法对称和非对称秘钥算法病毒防范身份识别技术防火墙技术分组过滤和代理服务等法律法规、政策电子商务安全框架—7—第一节电子商务安全面临的问题、要素及内容计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务交易安全则紧紧围绕传统商务在互联网上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行,即实现电子商务的保密性、完整性、可鉴别性、可不伪造性和不可抵赖性。过渡页TRANSITIONPAGE单击此处添加文字内容1电子商务安全面临的问题、要素及内容单击此处添加文字内容2计算机网络安全技术3电子商务交易安全技术4电子商务安全交易协议—9—第二节计算机网络安全技术一、计算机网络的潜在安全隐患企业内部的典型风险有:没有好的备份系统导致数据丢失;有外来磁盘携带的病毒攻击计算机系统;业务人员的误操作;删除了不该删除的数据,且无法恢复;系统硬件、通信网络或软件本身出故障。如果企业的内部网连接上Internet,则Internet本身的不安全性对企业内部信息系统带来的潜在风险主要有:外部非法用户潜入系统胡作非为,甚至破坏系统;数据丢失,机密信息泄漏;互联网本身固有的风险的影响;网络病毒的攻击。—10—第二节计算机网络安全技术二、计算机网络安全体系要加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞;要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,及时修补;对敏感的设备和数据要建立必要的物理或逻辑隔离措施;安装防病毒软件,加强内部网的整体防病毒措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。—11—第二节计算机网络安全技术三、常用的计算机网络安全技术(一)病毒及黑客防范技术计算机病毒是带有一段恶意指令的程序,一旦用户运行了被病毒感染的程序,它就会隐藏在系统中不断感染内存或硬盘上的程序。黑客程序实际上是人们编写的程序,它能够控制和操纵远程计算机,一般由本地和远程两部分程序组成。考虑到黑客程序的危害性,把黑客程序也归于计算机病毒。—12—第二节计算机网络安全技术1.单机病毒1)单机病毒的种类单机病毒就是以前的DOS病毒、Windows病毒和能在多操作系统下运行的宏病毒。DOS病毒是在MS-DOS及其兼容操作系统上编写的病毒程序,例如以前著名的“黑色星期五”“DIR”等病毒。Windows病毒是在Win3.x/Win9.x上编写的纯32位病毒,例如4月26日危害全球的CIH病毒等。宏病毒是利用Office特有的“宏”编写的病毒,它专门攻击微软Office系列Word和Excel文件。—13—第二节计算机网络安全技术2)单机病毒的防范考虑到每种杀毒产品都有其局限性,所以最好准备几套杀毒软件,用它们来交叉杀毒,杀毒软件还要及时升级;定期用杀毒软件检查硬盘,如果用的是Win9.x(CIH病毒对WINNT和WIN2000不起作用),每月的26号前一定要检查是否有CIH病毒,或者将系统日期跳过26号。—14—第二节计算机网络安全技术2.网络病毒及其防范特洛伊木马是一种黑客程序,与病毒有些区别,特洛伊木马本身一般并不破坏受害者硬盘上的数据,它只悄悄地潜伏在被感染的计算机里,一旦这台计算机上网,就可能大祸临头。特洛伊木马病毒的防范方法是:不要轻易泄漏IP地址,下载来历不明的软件时要警惕其中是否隐藏了特洛伊木马,使用下载软件前一定要用特洛伊木马检测工具进行检查。—15—第二节计算机网络安全技术2)邮件病毒邮件病毒和普通病毒是一样的,只不过由于它们主要通过电子邮件传播,所以才称为“邮件病毒”,一般通过邮件中“附件”夹带的方法进行扩散,一旦你收到这类E-mail,运行了附件中的病毒程序,就能使你的计算机染毒。邮件病毒的防范方法是:不要打开陌生人来信中的附件,特别是“.exe”等可执行文件;养成用最新杀毒软件及时查毒的好习惯,不要急于打开附件中的文件,先将其保存在特定目录中,然后用杀毒软件进行检查;收到自认为有趣的邮件时,不要盲目转发,因为这样会帮助病毒的传播;对于通过脚本“工作”的病毒,可采用在浏览器中禁止Java或ActiveX运行的方法来阻止病毒的发作。—16—第二节计算机网络安全技术3)脚本病毒脚本病毒的前缀是:Script。脚本病毒的共有特性是使用脚本语言编写,通过网页进行传播的病毒,如红色代码(Script.Redlof)。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。—17—第二节计算机网络安全技术4)蠕虫病毒蠕虫病毒的前缀是:Worm。这种病毒的共有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。—18—第二节计算机网络安全技术3.网上炸弹及其防范1)IP炸弹IP炸弹一般是指用专用的攻击软件(如WinNuke、IGMPNuke等)发送大量的特殊数据,对远程计算机中的Windows系统的漏洞进行攻击,造成对方的Windows蓝屏死机。当用户在聊天室聊天时,其IP地址很容易被别人查到,如果对方要发起攻击,只要用专用软件攻击用户的IP就可以了。对付IP炸弹最好的办法是安装个人防火墙。—19—第二节计算机网络安全技术2)邮件炸弹邮件炸弹的原理是向有限容量的信箱投入足够多或者足够大的邮件,使邮箱崩溃。防范邮件炸弹的方法有以下几种:①在邮件软件中设置好防范项目;②在邮件服务器上设置过滤器,防范邮件炸弹;③使用删除E-mail炸弹的工具;④谨慎使用自动回信。—20—第二节计算机网络安全技术(二)身份识别技术1.口令传统的认证技术主要采用基于口令的认证方法。但是,传统的认证技术也有一些不足之处。用户每次访问系统时都要以明文方式输入口令,很容易泄漏;口令在传输过程中可能被截获;系统中所有用户的口令以文件形式存储在认证方,攻击者可以利用系统中存在的漏洞获取系统的口令文件;用户在访问多个不同安全级别的系统时,都要求用户提供口令,用户为了记忆的方便,往往采用相同的口令;只能进行单向认证,即系统可以认证用户,而用户无法对系统进行认证。—21—第二节计算机网络安全技术2.标记方法标记是个人持有物,作用类似于钥匙,标记上记录着用于机器识别的个人信息。常用的标记有磁介质、智能卡。3.生物特征法每个人都有唯一且稳定的特征,如指纹、眼睛以及说话和书写等做事的标准方法。生物特征法是基于物理特征或行为特征自动识别人员的一种方法,其优点是严格依据人的物理特征并且不依赖任何迸被拷贝的文件或可被破解的口令,所以它是数字证书或智能卡的选择。—22—第二节计算机网络安全技术(三)防火墙技术1.防火墙概述1)防火墙的概念防火墙是指一个由软件和硬件设备组合而成,处于企业或网络群体计算机与外界通道(Internet)之间,在内部网与外部网之间实施安全防范的系统,可被认为是一种访问控制机制,用于限制外界用户对内部网络访问及管理内部用户访问外界网络的权限,即确定哪些内部服务允许外部访问,以及允许哪些外部访问访问内部服务。—23—第二节计算机网络安全技术防火墙公司内部网络数据库服务器电子邮件服务器电子邮件服务器客户机外部网Intranet防火墙的示意图—24—第二节计算机网络安全技术2)防火墙的设计原则第一,一切未被允许的就是禁止的。基于该准则,防火墙应封锁所有信息流,然后对希望提供的服务逐项开放,只有经过精挑细选的服务才被允许使用。第二,一切未被禁止的就是允许的。基于该准则,防火墙应转发所有信息流,然后逐项屏蔽可能有害的服务,从而可为用户提供更多的服务。—25—第二节计算机网络安全技术3)防火墙的实现技术按照建立防火墙的主要途径,防火墙的实现技术可分为分组过滤、代理服务和应用网关。分组过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。代理服务是运行于内部网络与外部网络之间的主机之上的一种应用。应用网关技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议,即数据包分析并形成相关的报告。—26—第二节计算机网络安全技术2.防火墙的原理1)防火墙设计的基本原则①由内到外,或由外到内的业务流均经过防火墙;②只允许本地安全策略认可的业务流程通过防火墙;③尽可能控制外部用户访问专用网,应当严格限制外部人员进入专用网中;④具有足够的透明性,保证正常业务流通;⑤具有抗穿透攻击能力,强化记录、审计和报警功能。—27—第二节计算机网络安全技术2)防火墙的组成防火墙主要由5部分组成:即安全操作系统、过滤器、网关、域名服务和E-mail处理。安全操作系统可以保护防火墙的代码和文件免遭入侵者攻击;过滤器则执行由防火墙管理机构制定的一组规则,检验各数据组决定是否允许运行;应用网关可以在TCP/IP应用级上控制信息流和认证用户;域名访问使专用网的域名与Internet相隔离,专用网中主机的内部IP地址不至于暴露给Internet中的用户;函件处理能力保证专用网中用户和Internet用户之间的任何函件交换都必须经过防火墙处理。—28—第二节计算机网络安全技术IP级数据高级协议访问域名访问E-mail内部网(Intranet)因特网(Internet)安全操作系统E-mail处理域名服务网关代理过滤器防火墙的组成—29—第二节计算机网络安全技术3)防火墙不能对付的安全威胁首先,防火墙不能防止专用网内部用户对资源的攻击,它只是设在专用网和Internet之间,对其间的信息流进行干预的安全设施。其次,如果专用网中有些资源绕过防火墙直接与Internet连通,则得不到防火墙的保护。另外,从病毒防护来看,一般防火墙不对专用网提供防护外部病毒的侵犯。—30—第二节计算机网络安全技术4)防火墙的分类(1)分组过滤网关,按源地址和目的地址或业务(即端口号)卸包(组),并