第1课 电子商务安全概述

2020/3/5课程简介课程名称电子商务安全英文名称ElectronicCommerceSecurity学时32主要内容从电子商务面临的安全问题出发，以电子商务需求的实用安全技术为主旨构建课程体系。课程系统地介绍了信息安全原理和安全技术，包括加密技术、数字签名技术、密钥管理技术、验证技术和数字证书技术，以及某些重要技术的具体实施。学习目的通过本课程的学习，要求学生对电子商务安全的概念有较全面地了解，掌握电子商务安全的基本理论和实用技术，并能在实践中起指导作用。2020/3/5第1课电子商务安全概述教学目的理解电子商务安全的重要性了解电子商务面临的安全威胁掌握电子商务需要的安全服务和对应的安全机制教学要求掌握电子商务需要的几种典型的安全服务了解安全服务对应的安全机制学习方法注意阅读其他电子商务安全的和网络安全的相关书籍切实理解电子商务安全的重要性从整体上掌握电子商务安全的及的内容以及提供的安全服务和机制学习内容电子商务面临的安全威胁电子商务需要的安全服务和安全机制第1课电子商务安全概述-02020/3/5第1课电子商务安全概述电子商务已成为业界的新热点，同时它也带来了商务活动的全新运作模式。商务运作的一系列过程都体现着产于商务行为各方的权利、责任、义务和利益。在传统的商务运作模式中，由于经历了漫长的社会实践，所以对上述种种方面，如在社会的意识、素质、道德、政策、法规、技术等各个层面，都已逐步完善，形成了大体适应的规范和支撑环境。然而，对于迅速发展的电子商务热潮，这一切却处于刚刚起步阶段，其发展和完善将是一个漫长的过程。而电子商务运作中的安全问题，已不可否认地成为阻碍电子商务发展的一个“瓶颈”。在Internet环境中开展电子商务，客户、商家、银行等诸多参与者都会担心自己的利益是否能够真正得到保障。因此，各国政府、国际组织以及IT业界人士都致力于安全问题的研究，期望逐步把网上的混沌世界变得有序、可信、安全。只有保证了电子商务的安全，才能够吸引更多的社会公众投身电子商务，应用电子商务，发展电子商务，才能使电子商务健康高速地发展。第1课电子商务安全概述-12020/3/5第1节电子商务面临的安全威胁安全威胁是指某人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险。安全威胁又是可以被分类成故意的（如黑客攻击）和偶然的（如信息被发往错误的地方）。故意的威胁又可以被进一步分类成被动的和主动的。被动的威胁包含只对信息进行监听，而不对其进行修改；主动威胁包括对信息进行故意的篡改（如改动某次支付活动的货币金额）。安全威胁可分为基本安全威胁、主要可实现的安全威胁以及潜在威胁。第1课电子商务安全概述-22020/3/5第1节电子商务面临的安全威胁基本安全威胁1.信息泄漏：指信息被泄漏或透漏给某个非授权的人或实体。2.完整性破坏：指数据的一致性通过非授权的增删、修改或破坏而受到损坏。3.业务拒绝：指对信息或其他资源的合法访问被无条件地阻止。4.非法使用：指某一资源被某个非授权的人或以某一非受权的方式使用。第1课电子商务安全概述-32020/3/5第1节电子商务面临的安全威胁主要的可实现威胁1.渗入威胁（1）假冒：指某个实体（人或者系统）假装成另外一个不同的实体。（2）旁路控制：为了获得非授权的权利或特权，某个供给者会发觉系统的缺陷或安全性上的脆弱。（3）授权侵犯：指被授权以某一目的使用某一系统或资源的某个人，却将此全县用于其他非授权的目的，也称作“内部攻击”。2.植入威胁（1）特洛伊木马：指软件中含有一个察觉不出的或者表面无害的程序段，当它被执行时，会破坏用户的安全性。（2）陷阱门：指在某个系统或其部件中设置“机关”，使得当提供特定的输入数据时，允许违反安全策略。第1课电子商务安全概述-42020/3/5第1节电子商务面临的安全威胁潜在威胁如果在某个给定环境中对任何一种基本威胁或者主要的可实现的威胁进行分析，就可发现某些特定的潜在威胁，而人以一种潜在威胁都可能导致一些更基本的威胁发生。例如，考虑信息泄漏这样一种基本威胁，可找出以下几种潜在威胁：（1）窃听（2）业务流分析（3）操作人员的不慎所导致的信息泄漏（4）媒体废弃物导致的信息泄漏第1课电子商务安全概述-52020/3/5第2节电子商务需要的安全服务和安全机制为防止上述安全威胁，系统采取的安全防范措施被称为安全服务。也可以说，按安全服务是指一个系统提供的安全功能。安全机制则是安全服务的技术实现措施。一般地，一种安全服务可有一种或多种安全机制实现，一种安全机制也可用于多种安全服务的实现中。电子商务中经常需提供的几种安全服务（1）认证：确认通信双方的合法身份。（2）访问控制：保证系统、数据和服务由合法的人员访问。（3）保密性：保持个人的、专用的和敏感的数据的机密。（4）数据完整性：保证所有存储和管理的信息不被篡改。（5）不可否认性：防止通信或交易的双方对已进行的业务否认。（6）服务可用性：系统工作正常，能够及时和有效地为合法的用户提供服务。（7）安全审计：系统中的每一项与安全有关的操作都留要有记载（操作的人、时间、操作对象、操作结果等），形成审计记录，以供审查。第1课电子商务安全概述-62020/3/5（1）认证服务认证服务提供了关于某个人或某个事务身份的保证。这意味着当某人或某事声称具有一个特别的身份（如某个特定的用户名称）时，认证业务将提供某种方法来证实这一声明是正确的。认证服务的实现手段主要有密码口令和证书机制。认证服务主要有两种情况：实体认证：身份是由参与某次通信连接或会话的远端的一方提交的。数据源认证：身份是由声称它是某个数据项的发送者的那个人或物所提交的，此身份连同数据项一起发送给接收者。第1课电子商务安全概述-72020/3/5（2）访问控制服务访问控制服务是指系统能够对资源的访问（包括对资源的各种操作、使用）进行控制，保证只有对资源拥有访问全县的主体才能访问资源。访问控制可以有效地维护系统的保密性、完整性和可用性。访问控制的实现手段主要有身份鉴别、证书认证、访问控制、防火墙技术等。（3）保密性服务保密性服务是指系统能够防止敏感信息的非授权泄漏，既防止敏感信息泄露给根据系统的安全策略不应该拥有该信息的主体（用户、进程等）。保密性主要通过身份鉴别、证书认证机制、访问控制、加密等机制实现。第1课电子商务安全概述-82020/3/5（4）数据完整性服务数据完整性服务是指保证系统中的软件和数据不被非法删改，它分为软件完整性和数据完整性两方面的内容。对数据完整性的破坏可能是有意造成的，如人为篡改交易报文中的金额数；也可能是无意造成的，如软件故障、存储介质损坏等引起的数据失真等。（5）不可否认性服务不可否认性服务是指保护通信用户免遭来自于系统其他合法用户的威胁，而不是来自于未知攻击者的威胁。不可否认主要通过数字签名和公证机制来实现。第1课电子商务安全概述-92020/3/5（6）服务可用性服务可用性是指系统工作正常，能够及时和有效地为合法的用户提供服务，它是电子商务系统的实效性、可靠性和安全性的综合体现。服务可用性是一种较高的安全需求，需要综合应用各种安全机制来保障。（7）安全审计服务安全审计服务是指系统中的每一项与安全有关的操作都留有记载，记录下操作的人、时间、操作对象、操作结果等属性，形成审计记录，保留必要的时限以供审查。安全审计主要依靠身份鉴别、安全审计等机制来实现。第1课电子商务安全概述-102020/3/5第2节电子商务需要的安全服务和安全机制安全服务与安全威胁的关系安全威胁安全服务假冒攻击认证服务授权侵犯访问控制服务窃听攻击保密服务完整性侵犯完整性服务业务否认不可否认服务业务拒绝认证服务，访问控制服务，完整性服务表1-1典型安全威胁与安全服务的对应关系第1课电子商务安全概述-112020/3/5第2节电子商务需要的安全服务和安全机制安全服务与安全机制的关系安全机制安全服务密钥管理加密身份鉴别数字签名访问控制设备保护路由控制证书机制防火墙数据完整性软件保护安全审计安全恢复票证鉴别数据完整性鉴别和标识访问控制服务可用性抗否认可审计性和责任性机密性表1-2安全服务与安全机制的对应关系第1课电子商务安全概述-122020/3/5本章小结电子商务顺利开展的关键问题是保证交易的安全性，安全是电子商务的核心和灵魂。本课着重介绍了电子商务安全的面临的威胁、需要的服务以及采用的安全机制。电子商务安全面临的威胁可分为基本安全威胁、主要可实现的安全威胁以及潜在威胁。电子商务安全需要提供的服务包括认证、访问控制、保密性、数据完整性、不可否认性、服务可用性以及安全审计与责任。加强电子商务安全的典型安全机制包括密钥管理、加密、身份鉴别、数字签名、访问控制、设备保护、路由控制、证书机制、防火墙、数据完整性、软件保护、安全审计、安全恢复和票证鉴别。安全威胁与安全服务有着对应关系。安全服务有安全机制来实现，而且一种安全服务可能对应于多种安全机制。同一种安全机制也可服务于多个安全服务中。第1课电子商务安全概述-132020/3/5关键术语安全威胁：某人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险。安全服务：系统提供的安全功能。安全机制：安全服务的技术实现措施。认证：确认通信双方的合法身份。访问控制：保证系统、数据和服务由合法的人员访问。保密性：保持个人的、专用的和敏感的数据的机密。数据完整性：保证所有存储和管理的信息不被篡改。不可否认性：防止通信或交易的双方对已进行的业务否认。服务可用性：系统工作正常，能够及时和有效地为合法的用户提供服务。安全审计：系统中的每一项与安全有关的操作都留要有记载（操作的人、时间、操作对象、操作结果等），形成审计记录，以供审查。第1课电子商务安全概述-142020/3/5自我测试什么是安全威胁？安全威胁分哪几类？简述电子商务面临的安全威胁。什么是安全服务？简述电子商务需要的几种典型的安全服务。什么是安全机制？结合实际谈谈加强电子商务安全的防范措施。第1课电子商务安全概述-15