第8章 电子商务安全 （Electronic Commerce Security）演示课件.ppt

1．SSL安全协议 SSL（Secure Sockets Layer）安全协议最初由Netscape Communication公司设计开发，又称“安全套接层协议”，是指通信双方在通信前约定使用的一种协议方法，该方法能够在双方计算机之间建立一个秘密信道，凡是一些不希望被他人知道的机密数据都可以通过公开的通路传输，不用担心数据会被别人偷窃。SSL安全协议能够对TCP/IP以上的网络应用协议数据流加密。SSL协议只负责端到端的安全连接，只保证信息传输过程中不被窃取、篡改，但不提供其他安全保证，因而SSL实质上仅仅提供对浏览器和服务器的鉴别，不能细化到对商家和客户的身份认证，这个缺陷会导致交易的假冒欺诈行为出现，又由于SSL协议早已嵌入Web浏览器和服务器，使用方便，因此对进行电子商务交易的广大用户而言，SSL使用非常方便，这是其优点。 8.2 电子商务安全技术 SET（Secure Electronic Transaction）协议也称为“安全电子交易”，由MasterCard、Visa、IBM以及微软等公司开发，是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。SET协议提供了强大的验证功能，凡与交易有关的各方必须持有合法证书机构发放的有效证书，SET不仅具有加密机制，更重要的是通过数字签名、数字信封等实现身份鉴别和不可否认性，最大限度地降低了电子商务交易可能遭受的欺诈风险。但是由于SET是基于信用卡进行电子交易的，因此中间环节增加了CA与银行、用户与银行之间的认证，从而提高了软硬件的环境要求，也增加了交易成本。 8.2 电子商务安全技术 2．SET安全协议 8.2 电子商务安全技术 1．安全评估技术 2. 防火墙 3. 入侵检测技术 黑客防范技术 电子商务安全 Electronic Commerce Security Electronic Commerce Security Electronic Commerce Security 电子商务安全 Electronic Commerce Security 第8章 电子商务安全  (Electronic Commerce Security) 【学习目的】通过本章学学习，了解电子商务安全知识，知晓电子商务安全技术。 【关键词】电子商务安全 加密技术 认证技术 安全电子交易 黑客防范技术 8.1 电子商务安全概述 电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息，如何建立一个安全、便捷的电子商务应用环境，对信息提供足够的保护，已经成为商家和用户都十分关心的话题。电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。 计算机网络安全 商务交易安全 8.1.1 计算机网络安全 一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术，在攻击者和受保护的资源间建立多道严密的安全防线，极大地增加了恶意攻击的难度，并增加了审核信息的数量，利用这些审核信息可以跟踪入侵者。 计算机网络安全 计算机网络设备安全 计算机网络系统安全 数据库安全 特征：是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。 8.1.2 商务交易安全 商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。主要有以下几种情况： 窃取信息 1 篡改信息 2 身份仿冒 3 抵赖 4 病毒网络化 5 其他安全威胁 6 1.窃取信息 数据信息在未采用加密措施情况下，以明文形式在网络上传送，攻击者在传输信道上对数据进行非法截获、监听，获取通信中的敏感信息，造成网上传输信息泄露。即使数据经过加密，但若加密强度不够，攻击者也可通过密码破译得到信息内容，造成信息泄露。 8.1.2 商务交易安全 8.1.2 商务交易安全 2.篡改信息 攻击者在掌握了信息格式和规律后，采用各种手段对截取的信息进行篡改，破坏商业信息的真实性和完整性。 8.1.2 商务交易安全 3．身份仿冒 攻击者运用非法手段盗用合法用户身份信息，利用仿冒的身份与他人交易，获取非法利益，从而破坏交易的可靠性。 8.1.2 商务交易安全 4．抵赖 某些用户对发出或收到的信息进行恶意否认，以逃避应承担的责任。 4．