01第一章 电子商务安全概述

LOGO电子商务安全第一章电子商务安全概述本章主要内容本章主要介绍电子商务安全概念的核心内涵，以及当前电子商务的安全环境，即面临的威胁、安全要素、安全技术、安全体系结构和安全相关标准等。电子商务的概念电子商务(ElectronicCommerce)是指政府、企业和个人利用现代电子计算机与网络技术实现商业交换和行政管理的全过程；它是一种基于互联网，以交易双方为主体，以银行电子支付结算为手段，以客户数据为依托的全新商务模式。电子商务的参与者包括企业、消费者和中介机构等1.1电子商务安全概况1.1.1电子商务安全概念与特点电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息，因此，电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。计算机网络安全计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全为目标。商务交易安全商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，保障以电子交易和电子支付为核心的电子商务的顺利进行。即实现电子商务保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等。电子商务安全与网络安全同时，电子商务安全又有它自身的特殊性，即以电子交易安全和电子支付安全为核心，有更复杂的机密性概念，更严格的身份认证功能，对不可拒绝性有新的要求，需要有法律依据性和货币直接流通性特点，还要网络设有的其他服务(如数字时间戳服务)等。1.1电子商务安全概况信息安全互联网安全网络安全密码安全1.1电子商务安全概况电子商务安全四大特性1．电子商务安全是一个系统概念电子商务安全问题不仅仅是个技术性的问题，更重要的是管理问题，而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起。2．电子商务安全是相对的安全是相对的，而不是绝对的，要想以后的网站永远不受攻击、不出安全问题是不可能的。3．电子商务安全是有代价的如果只注重速度，就必定要以牺牲安全来作为代价；如果要考虑到安全，速度就得慢一点,如果不直接牵涉到支付等敏感问题，对安全的要求就可以低一些；如果牵涉到支付问题，对安全的要求就要高一些，所以安全是有成本和代价的。4．电子商务安全是发展的、动态的今天安全，明天就不一定安全，没有一劳永逸的安全，也没有一蹴而就的安全。1.1电子商务安全概况1.1.2电子商务面临的安全威胁对客户机的安全威胁1、动态内容2、相关技术或机制(1)cookie(2)邮件通讯簿(3)信息隐蔽对通信信道的安全威胁对通信信道的安全威胁1、搭线窃听2、IP欺骗3、IP源端路由选择4、目标扫描对服务器的安全威胁1、、数据库服务器3、CGI4、ASP5、邮件炸弹6、溢出攻击7、口令破译1.1电子商务安全概况1.1.3电子商务安全要素保密性、完整性、认证性、不可否认性、不可拒绝性和访问控制性．保密性商务数据的保密性（Confidentiality）是指信息在网络上传输或存储的过程中不被他人窃取、不被泄露给未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容。完整性商务数据的完整性（Integrity）是指保护数据的一致性，防止数据被未授权者修改、建立、嵌入、删除、重复发送或由于其他原因使原始数据被更改。认证性商务对象的认证性(Authentication)或称真实性是指网络两端的使用者在通信之前相互确认对方的身份，保证交易方确实存在，而并非有人假冒。1.1电子商务安全概况不可否认性商务服务的不可否认性(Non-repudiation)或称不可抵赖性是指信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息，这是一种法律有效性要求．不可拒绝性商务服务的不可拒绝性(Denialofservice)或称可靠性是保证授权用户在正常访问信息和资源时不被拒绝，即为用户提供稳定可靠的服务。访问控制性访问控制性(Accesscontrol)或称可控性规定了主体访问客体的操作权力限制，以及限制进入物理区域(出入控制)和限制使用计算机系统和计算机存储数据的过程(存取控制)．包括人员限制、数据标识、权限控制、控制类型和风险分析等。注:电子商务除了以上六个主要的安全要素外，还有匿名性服务（隐匿参与者身份、保护个人或组织隐私）等要素，以及一些特殊环境的特殊要素。1.2电子商务的几种安全技术电子商务安全是信息安全的上层应用，主要分为网络安全技术、密码技术、安全协议、PKI(PublicKeyInfrastructure，公钥基础设施)技术四大类。1.2.1密码技术加密技术是保证电子商务安全的重要手段，是信息安全的核心技术。它主要包括加密、签名认证和密钥管理三大技术。加密技术加密技术是保证电子商务安全的重要手段。所谓加密就是使用数学方法来重新组织数据，使得除了合法的接收者外，任何其他人要想恢复原先的“报文”或读懂变化后的“报文”是非常困难的。密钥管理技术密钥管理包括密钥的产生、存储、装入、分配、保护、丢失、销毁以及保密等内容。其中分配和存储是最棘手的问题。密钥管理不仅影响系统的安全性，而且涉及到系统的可靠性、有效性和经济性．在用密码技术保护的现代信息系统的安全性主要取决于对密钥的保护，而不是对算法或硬件本身的保护，即密码算法的安全性完全寓于密钥之中。1.2电子商务的几种安全技术数字签名数字签名(DigitalSignature)是公开密钥加密技术的一种应用，是指用发送方的私有密钥加密报文摘要，然后将其与原始的信息附加在一起，合称为数字签名。1.2.2网络安全技术网络安全是电子商务安全的基础，一个完整的电子商务系统应建立在安全的网络基础设施之上。防火墙防火墙是建立在通信技术和信息安全技术之上．它用于在网络之间建立一个安全屏障，根据指定的策略对网络数据进行过滤、分析和审计，并对各种攻击提供有效的防范。主要用于Internet接入和专用网与公用网之间的安全连接。VPNVPN也是一项保证网络安全的技术之一，它是指在公共网络中建立一个专用网络，数据通过建立好的虚拟安全通道在公共网络中传播。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后企业网络发展的趋势。1.2电子商务的几种安全技术1.2.3安全协议安全协议是许多分布式系统安全的基础，是电子商务系统运行的安全通信标准。目前国际上流行的电子商务所采用的协议主要包括以下4个方面。电子支付协议电子支付作为电子商务中最重要的内容，目前已经出现了很多的电子支付协议．根据人们在现实生活中常见的有基于卡的支付协议、基于支票的支付协议和基于现金的支付协议。著名的有：FirstVirtual、SSI、SET、iKP、NetBill、E-Cash等。安全HTTP(S-HTTP)安全电子邮件协议(如PEM、S／MIME等)用于公对公交易的InternetEDI(UN／EDIFACT)此外，也可以在Internet上建设虚拟专网，利用VPN为企业、政府提供一些基本的安全服务如企业、政府间的公文、报表传送、电子报税业务等。这些协议分别在不同的协议层上进行，在Internet上提供安全的电子商务服务。1.2电子商务的几种安全技术1.2.4PKI技术PKI(公开密钥基础设施)是利用公钥算法原理和技术为网上通信提供通用安全服务的基础设施。它为电子商务、电子政务、网上银行证券等提供一整套安全基础平台。PKI采用证书管理公钥，即结合X．509标准中的鉴别框架(AuthenticationFramework)来实现密钥管理．通过CA把用户的公钥及其他标识信息捆绑在一起，在Internet上验证用户的身份，保证网上数据的保密性和完整性。PKI的核心元素是数字证书，其核心执行者是认证机构。有关数字证书服务的应用，实施是广泛开展电子商务的基本前提，电子商务的深入开展离不开数字证书技术和认证机构的正确督导。1.3电子商务安全体系结构电子商务安全体系结构是保证电子商务中数据安全的一个完整的逻辑结构，由五个部分组成：应用系统层包括：保密性，完整性，匿名性，抗否认性，有效性，可靠性等；安全协议层包括：Netbill协议，SET协议，SSL协议等；安全认证层包括：数字摘要，数字签名，数字凭证，CA认证等；加密技术层包括：对称加密，非对称加密等；网络服务层包括：网络隐患扫描，网络安全监控，内容识别，病毒防治，防火墙等。表1－1电子商务安全体系结构1.4电子商务安全相关标准1990年加拿大可信计算机产品评估准则（CTCPEC）1995年联合公共准则CC1985年美国可信计算机系统评价准则（TCSEC）1995年英国BS77991991年美国联邦准则FC1999年CC成为国际标准2000年ISO77991990年欧洲信息技术评估准则（ITSEC）思考题什么是电子商务安全？电子商务安全有何特点？电子商务面临哪些安全威胁？简述电子商务的安全要素。与电子商务相关的安全技术有哪些？试述电子商务安全体系结构。简介与电子商务安全相关的标准LOGO