搜索
2020/9/17第1章电子商务安全基础2020/9/171.1电子商务概述1•1.1.1什么是电子商务•名词解释:•电子商务:是建立在电子技术基础上的商业运作,是利用电子技术加强、加快、扩展、增强、改变了其有关过程的商务。•1.1.2电子商务的框架构成及模式1•1,涉案主客体关系•(1)电子商务最先出现在企业、机构之间,即B-B。(EDI应是B-B电子商务方式的代表。•(2)出现网上商店等后,就有了B-C模式,即企业与消费者之间的电子商务。•(3)个人用户之间的电子商务,也有人认为网上电子商务还应有C-C模式。•(4)电子商务,在相当长的时间里,不能少了政府在一定范围和一定程度上的介入,表示为B-G方式。1.1电子商务概述2•1.1.2电子商务的框架桅成及模式2•2,技术要素组成•首先要有网络,其次必须有各种各样的应用软件。当然,也少不了这些应用和网络软件赖以驻在的硬件。•(1)网络:近年来,网络协议基本都转向TCP/IP。因特网的推广应用,大大降低了网络费用。•(2)应用软件:电子商务应用软件是其技术组成的核心。•(3)硬件:实际是以各种服务器为核心组成的计算机系统。•3,几种常见的电子商务模式•(1)大字报/告示牌模式•(2)在线黄页簿模式•(3)电脑空间上的小册子模式•(4)虚拟百货店模式•(5)预订/订购模式•(6)广告推销模式2020/9/171.1电子商务概述3•1.1.3Internet、Intranet和Extranet•1,Internet(因特网)•因特网始于20世纪60年代美国国防部高级研究计划局(DARPA),为连接各个国家重点实验室而建设的数据网络。•网上交换数据的规则:TCP/IP。•因特网的最大优势,是它的广袤覆盖及开放结构。•2,Intranet(内联网)•一般译为企业内部网、企业内域网、企业内联网等。•定义:是基于TCP/IP协议的企业内部网络,它通过防火墙或其他安全机制与Internet建立联接。•防火墙是一个介乎内域网和因特网其他部分之间的安全服务器。•3,Extranet(外联网)•是基于TCP/IP协议的企业外域网,与Intranet对应,是一个合作性网络。2020/9/171.1电子商务概述4•1.1.4电子商务的发展过程•现代电子商务的发展分成如下几个阶段:•(1)1995年,网络基础设施大量兴建;•(2)1996年,应用软件及服务成为热点;•(3)1997年,网络及内容管理的建设发展,有关企业、业务的调整、重组及融合,所谓“人口门户”公司的出现;•(4)1998年,网上零售业及其他交易蓬勃发展。出现一批代做各种电子商务业务的所谓“主持”公司或“代疱”公司。•1.1.5发展电子商务的驱动力•哪些部门在推动电子商务上最努力?•(1)信息产品硬件制造商,例如IBM,HP,SUN,SISCO。•(2)信息产品软件厂商,例如微软公司,网景公司。•(3)大型网上服务厂商,如AOL(美利坚在线),YAHOO,NETCENTER(网心)等。•(4)银行及金融机构;•(5)大企业,例如通用电气GE公司•(6)政府,例如美国政府。2020/9/171.2电子商务安全基础1•1.2.1电子商务存在的安全隐患•1,计算机系统的安全隐患•(1)硬件系统•(2)软件系统•2,电子商务的安全隐患•(1)数据的安全。数据一旦泄露,将造成不可挽回的损失。•(2)交易的安全。这也是电子商务系统所独有的。需要一个网上认证机构对每一笔业务进行认证,以确保交易的安全,避免恶意破坏。•1.2.2电子商务系统可能遭受的攻击•一般说来,电子商务系统可能遭受的攻击有以下几种:•(1)系统穿透:未经授权人通过一定手段假冒合法用户接入系统,对文件进行篡改、窃取机密信息、非法使用资源等。一般采取伪装或利用系统的薄弱环节、收集情况(如口令)等方式实现。这也是大多数黑客使用的办法。•(2)违反授权原则:一个被授权进入系统做某件事的用户,在系统中做未经授权的其他事情。•(3)植入:在系统穿透或违反授权攻击成功后,入侵者常要在系统中植入一种能力,为其以后攻击系统提供方便条件。如向系统中注入病毒、蛀虫、特洛伊木马、陷阱、逻辑炸弹等来破坏系统正常工作。如“美丽杀”病毒,“B002K”远程控制程序。•(4)通信监视:这是一种在通信过程中从信道进行搭线窃听的方式。•(5)通信窜扰:攻击者对通信数据或通信过程进行干预,对完整性进行攻击,篡改系统中数据的内容,修正消息次序、时间,注入伪造的消息。•(6)中断:对可用性进行攻击,破坏系统中的硬件、硬盘、线路、文件系统等,使系统不能正确工作,破坏信息和网络资源。•(7)拒绝服务:指合法接入信息、业务或其他资源受阻。•(8)否认:一个实体进行某种通信或交易活动,稍后否认曾进行过这一活动,不管这种行为是有意的还是无意的,一旦出现再要解决双方的争执就不太容易了。•(9)病毒:由于Internet的开放性,病毒在网络上的传播比以前快了许多,而且Internet的出现又促进了病毒制造者间的交流,使新病毒层出不穷,杀伤力也大有提高。2020/9/171.2电子商务安全基础2•1.2.3电子商务安全的中心内容(6点)•1,商务数据的机密性:或称保密性是指信息在网络上传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织,或者经过加密伪装后,使未经授权者无法了解其内容。机密性可用加密和信息隐匿技术实现,使截获者不能解读加密信息的内容。•2,商务数据的完整性:或称正确性是保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被更改。•3,商务对象的认证性:是指网络两端的使用者在沟通之前相互确认对方的身份,保证身份的正确性,分辨参与者所声称身份的真伪,防止伪装攻击。•4,商务服务的不可否认性:是指信息的发送方不能否认已发送的信息,接受方不能否认已收到的信息,这是一种法律有效性要求。•5,商务服务的不可拒绝性:或称可用性是保证授权用户在正常访问信息和资源时不被拒绝,即保证为用户提供稳定的服务。•6,访问的控制性:是指在网络上限制和控制通信链路对主机系统和应用的访问:用于保护计算机系统的资源不被未经授权人或以未授权方式接入、使用、修改、破坏、发出指令或植入程序等。•7,其他内容,如匿名性业务等。2020/9/171.2电子商务安全基础3•1.2.4电子商务安全威胁现状•1.2.5产生电子商务安全威胁的原因•1,Internet在安全方面的缺陷•(1)Internet的安全漏洞:•*Internet系统由下面的构件组成:1)客户端软件(也就是Web浏览器);2)客户端的操作系统;3)客户端的局域网(LAN);4)Internet网络;5)服务器端的局域网(LAN);6)服务器上的Web服务器软件。•*外界攻击,Internet安全的类型•对Internet的攻击有四种类型:a,截断信息;b,伪造;c,篡改;d,介入。•*局域网服务和相互信任的主机的安全漏洞•*设备或软件的复杂性带来的安全隐患2020/9/171.2电子商务安全基础4•1.2.5产生电子商务安全威胁的原因2•1,Internet在安全方面的缺陷2•(2)TCP/IP协议及其不安全性•*TCP/IP协议简介•IP协议提供基本的通信协议,TCP协议在IP协议的基础上为各种应用提供可靠和有序的数据传送功能。•*IP协议的安全隐患•a.针对IP的“拒绝服务”攻击;b.IP地址的顺序号预测攻击;c.TCP协议劫持入侵;d.嗅探入侵•*HTTP和Web的不安全性•a.HTTP协议的特点;b.HTTP协议中的不安全性;c.Web站点的安全隐患•*E-mail,Telnet及网页的不安全性•a.E-mail的不安全性;b.入侵Telnet会话;c.网页做假;d.电子邮件炸弹和电子邮件列表链接•2.我国电子商务安全威胁的特殊原因•(1)我国的计算机主机、网络交换机、路由器和网络操作系统都来自国外。•(2)美国政府对计算机和网络安全技术的出口限制,使得进入我国的电子商务和网络安全产品均只能提供较短密钥长度的弱加密算法,但实际上根本不安全。2020/9/171.2电子商务安全基础5•1.2.6可以采取的相应对策•(1)保密业务:保护信息不被泄露或披露给未经授权的人或组织。保密性可用加密和信息隐匿技术实现。•(2)认证业务:保证身份的精确性,分辨参与者所声称身份的真伪,防止伪装攻击。认证性可用数字签字和身份认证技术实现。•(3)接入控制业务:保护系统资源(信息、计算和通信资源)不被未经授权人或以未授权方式接入、使用、披露、修改、毁坏和发出指令等。防火墙技术就是这一业务的实现。•(4)数据完整性业务:保护数据不会被未授权者建立、嵌入、删除、篡改、重放。•(5)不可否认业务:主要用于保护通信用户对付来自其他合法用户的威胁,如发送用户对他所发消息的否认、接收用户对他已收消息的否认等,而不是对付来自未知的攻击者。•(6)加快我国自主知识产权的计算机网络和电子商务安全产品的研制和开发,摆脱我国计算机网络和电子商务安全产品完全依赖进口的局面,将主动权掌握在自己手里。•(7)严格执行《计算机信息系统安全专用产品检测和销售许可证管理办法》,按照以上办法的规定规范企业电子商务设施的建设和管理。2020/9/171.3计算机安全等级•美国的橘黄皮书中为计算机安全的不同级别制定了4个标准:D,C,B,A级,由低到高。(1)D级是计算机安全的最低层,对整个计算机的安全是不可信任的。系统不要求用户登记或口令保护。例如:MS-DOS,MicrosoftWindows95/98(2)C1级,有时也叫做酌情安全保护级,它要求系统硬件有一定的安全保护,用户在合作前必须在系统中注册。设立访问许可权限。例如:UNIX系统,XENIX,Novell3.x,WindowsNT。(3)C2级,又称访问控制保护级,对C1级的不足增加了几个特性:a,增加用户权限级别;b,采用了系统审计。例如:UNIX,WMS系统,XENIX,Novell3.x,WindowsNT.(4)B1级,也称为带标签的安全性保护,它存在多级安全。例如:IBM大型机的MVS操作系统等。(5)B2级,又称为结构化防护。要求计算机系统所有的对象加标签。(6)B3级,又称安全域级,要求用户工作站或终端通过可信任途径链接网络系统,并使用硬件保护安全系统的存储区。(7)A级,最高安全级,也称为验证保护级或验证设计。2020/9/17第2章电子商务安全需求与密码技术2020/9/172.1电子商务的安全需求•1,可靠性:是指电子商务系统的可靠性。•2,真实性:是指商务活动中交易者身份的真实性。•3,机密性:是指交易过程中必须保证信息不会泄露给非授权的人或实体。•4,完整性:是指数据在输入和传输过程中,要求能保证数据的一致性,防止数据被非授权建立、修改和破坏。•5,有效性:是开展电子商务的前提。•6,不可抵赖性:是保证电子商务顺利进行的关键。•7,内部网的严密性:是开展电子商务的企业应着重考虑的一个安全问题。2020/9/172.2密码技术1•2.2.1加密概念•1,加密的基本概念•明文:原始的、未被伪装的消息称做明文,也称信源。通常用M表示。•密文:通过一个密钥和加密算法可将明文变换成一种伪装的信息,称为密文。通常用C表示。•加密:就是用基于数学算法的程序和加密的密钥对信息进行编码,生成别的难以理解的符号,即把明文变成密文的过程。通常用E表示。•解密:由密文恢复成明文的过程,称为解密。通常用D表示。•加密算法:对明文进行加密所采用的一组规则,即加密程序的逻辑称做加密算法。•解密算法:消息传送给接受者后,要对密文进行解密时所采用的一组规则称做解密算法。•密钥:加密和解密算法的操作通常都是在一组密钥的控制下进行的,分别称作加密密钥和解密密钥。通常用K表示。•2,加密、解密的表示方法•加密:C=Ek(M)•解密:M=Dk(C)2020/9/172.2密码技术2•2.2.2替换加密和转换加密•1,替换加密•(1)单字母加密方法:例:C