电子商务的安全管理.ppt
电子商务沈阳理工大学经济管理学院,第一篇 电子商务原理(介绍电子商务的基本概念以及重要性)第一章 电子商务概述第二章 电子商务系统概述第三章 电子商务与企业竞争优势第四章 电子商务环境第二篇 电子商务系统(介绍电子商务系统如何实现网上交易)第五章 电子商务系统的技术基础第六章 电子商务网站的建设第七章 电子支付系统第八章 电子商务物流第九章 电子商务的安全管理第三篇 电子商务应用(介绍电子商务应用的基础)第十章 网络商务信息处理第十一章 网络市场营销策略第四篇 电子商务实现(介绍目前流行的各种电子商务模式的经营与管理)第十二章 B2C电子商务应用第十三章 C2C电子商务应用第十四章 B2B电子商务应用第十五章 其他电子商务应用,第一篇 电子商务原理(介绍电子商务的基本概念以及重要性)第一章 电子商务概述第二章 电子商务系统概述第二篇 电子商务系统(介绍电子商务系统如何实现网上交易)第五章 电子商务系统的技术基础第六章 电子商务网站的建设第七章 电子支付系统第八章 电子商务物流第九章 电子商务的安全管理第三篇 电子商务应用(介绍电子商务应用的基础)第四篇 电子商务实现(介绍目前流行的各种电子商务模式的经营与管理),第九章 电子商务的安全管理,第一节 电子商务的安全问题及要求 第二节 电子商务安全技术 第三节 电子商务安全制度 第四节 防止非法入侵,企业利用电子商务面临的最重要问题就是安全问题,保证安全是进行网上交易的基础和保障。电子商务的安全问题是一个系统性问题,需要从技术上,管理上和法律上来综合建设和完善安全保障体系。,第一节 电子商务的安全问题及要求,电子商务的安全问题(一)电子商务交易带来的安全威胁(二)电子商务的安全风险来源 电子商务的安全要求(一)有效性(二)机密性(三)完整性(四)真实性和不可抵赖性的鉴别 电子商务安全管理思路,第二节 电子商务安全技术,交易方自身网络安全保障技术(一)用户账号管理和网络杀毒技术(二)防火墙技术(三)虚拟专用技术(四)入侵检测技术电子商务信息传输安全保障技术(一)加密技术(二)数字摘要技术身份和信息认证技术(一)身份认证(二)信息认证(三)通过认证机构认证 电子商务安全支付技术(一)SSL安全协议(二)SET安全协议,第三节 电子商务安全制度,安全管理制度(一)人员管理制度(二)保密制度(三)跟踪、审计、稽核制度(四)系统维护制度(五)病毒防范制度法律制度(一)美国保证电子商务安全的相关法律(二)我国保证电子商务安全的相关法律,第四节 防止非法入侵,网络“黑客”常用的攻击手段(一)“黑客”的概念(二)“黑客”的攻击手段防范非法入侵的技术措施(一)网络安全检查设备(二)访问设备(三)防火墙(四)安全工具包/软件,第一节 电子商务的安全问题及要求,电子商务的安全问题(一)电子商务交易带来的安全威胁(二)电子商务的安全风险来源 电子商务的安全要求(一)有效性(二)机密性(三)完整性(四)真实性和不可抵赖性的鉴别 电子商务安全管理思路,第一节 电子商务的安全问题及要求,电子商务的安全问题(一)电子商务交易带来的安全威胁(二)电子商务的安全风险来源 电子商务的安全要求(一)有效性(二)机密性(三)完整性(四)真实性和不可抵赖性的鉴别 电子商务安全管理思路,第一节 电子商务的安全问题及要求,电子商务的安全问题(一)电子商务交易带来的安全威胁 1.销售者面临的威胁 2.购买者面临的威胁(二)电子商务的安全风险来源 1.网络系统自身的安全风险 2.信息传输风险 3.信用风险 4.管理风险 5.法律风险,第一节 电子商务的安全问题及要求,电子商务的安全问题(一)电子商务交易带来的安全威胁(二)电子商务的安全风险来源,第一节 电子商务的安全问题及要求,电子商务的安全问题(一)电子商务交易带来的安全威胁 在传统交易过程中,买卖双方是面对面的,很容易保证交易过程的安全性和建立起信任关系。但是在电子商务过程中,买卖双方通过网络来联系,建立交易双方的安全和信任关系相当困难。因此,在电子商务交易双方都面临着安全威胁。1.销售者面临的威胁 2.购买者面临的威胁,第一节 电子商务的安全问题及要求,电子商务的安全问题(一)电子商务交易带来的安全威胁 1.销售者面临的威胁(1)中央系统安全性被破坏(2)竞争者检索商品递送状况(3)系统中存储的客户资料被竞争者窃取。(4)被他人假冒而损害企业的信誉。(5)消费者提交订单后不付款。(6)竞争对手提交虚假订单。(7)被他人试探,丢失商业机密。,入侵者假冒成合法用户来改变用户数据(如商品的送达地址)、解除用户订单或生产虚假订单。有时恶意入侵者在一个很短的时间内以大量的电子邮件配合,针对银行或电子商务网站进行攻击,声称这个网站“正在维护中,请从这里访问您的账户”。,恶意竞争者以他人的名义来订购商品,从而了解有关商品的递送状况和货物的库存情况。,不诚实的人建立于销售者服务器名字相同的另一个服务器来假冒销售者。,第一节 电子商务的安全问题及要求,电子商务的安全问题(一)电子商务交易带来的安全威胁 2.购买者面临的威胁(1)虚假订单(2)付款后不能收到商品(3)丢失机密(4)拒绝服务,假冒者可能会以客户的名义来订购商品,而客户却被要求付款或返还商品。,在要求客户付款后,销售商中的内部人员不将订单和钱转发给执行部门,因而使客户不能收到商品。,用户在佯装的网页上将密码的个人数据发送给冒充销售商的机构,这些信息业可能会在传递过程中被窃取。,恶意攻击者可能向销售商的服务器发送大量的虚假订单来穷竭它的资源,从而使合法用户不能得到正常的服务,第一节 电子商务的安全问题及要求,电子商务的安全问题(一)电子商务交易带来的安全威胁(二)电子商务的安全风险来源,第一节 电子商务的安全问题及要求,电子商务的安全问题(一)电子商务交易带来的安全威胁(二)电子商务的安全风险来源,第一节 电子商务的安全问题及要求,电子商务的安全问题(二)电子商务的安全风险来源 1.网络系统自身的安全风险 2.信息传输风险 3.信用风险 4.管理风险 5.法律风险,第一节 电子商务的安全问题及要求,电子商务的安全问题(二)电子商务的安全风险来源 1.网络系统自身 的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,第一节 电子商务的安全问题及要求,电子商务的安全问题(二)电子商务的安全风险来源 1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,1)设备故障2)电源故障:丢失数据、损坏硬件3)电磁泄漏导致信息失密4)搭线窃听5)自然灾害,第一节 电子商务的安全问题及要求,电子商务的安全问题(二)电子商务的安全风险来源 1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,网络软件的漏洞和“后门”是进行网络攻击的首选目标。应该及时安装补丁程序。,第一节 电子商务的安全问题及要求,电子商务的安全问题(二)电子商务的安全风险来源 1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,网络服务是通过各种各样的协议完成的,协议的安全性是网络安全的一个重要方面。如果网络通信协议存在安全上的缺陷,攻击者不必攻破密码体制即可获得所要的信息和服务。,第一节 电子商务的安全问题及要求,电子商务的安全问题(二)电子商务的安全风险来源 1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,黑客攻击无孔不无,目前已成为个人、企业和政府机构在互联网所面临的重大威胁。黑客会造成大量网站不能正常运营。,第一节 电子商务的安全问题及要求,电子商务的安全问题(二)电子商务的安全风险来源 1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,计算机病毒是编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并且能自我复制的一组计算机指令或程度代码。“浏览器配置被修改”、“密码被盗”。,第一节 电子商务的安全问题及要求,电子商务的安全问题(二)电子商务的安全风险来源 1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,如“黑客”为了获取重要的商业机密、资源和信息,常采用源IP地址欺骗攻击。,信息传输风险是指进行网上交易时,因传输的信息失真或者信息被非法地窃取、篡改和丢失,而导致网上交易的不必要损失。,第一节 电子商务的安全问题及要求,电子商务的安全问题(二)电子商务的安全风险来源 1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,攻击者未经授权进入网络交易系统,使用非法手段,删除、修改、重发某些重要信息,破坏数据的完整性,损害他人的经济利益,或干扰对方的正确决策,造成网上交易的信息传输风险。,第一节 电子商务的安全问题及要求,电子商务的安全问题(二)电子商务的安全风险来源 1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,交易信息的丢失,可能有三种情况:一是因为线路问题造成信息丢失;二是因为安全措施不当而丢失信息;三是在不同的操作平台上转换操作不当而丢失数据。,第一节 电子商务的安全问题及要求,电子商务的安全问题(二)电子商务的安全风险来源 1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,信息在网上传递时,要经过多个环节和渠道,许多因素可能会影响到数据的真实性和完整性。,第一节 电子商务的安全问题及要求,电子商务的安全问题(二)电子商务的安全风险来源 1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,用户以合法身份进入系统后,可能发布虚假的供求信息,或以过期的信息冒充现在的信息,以骗取对方的钱款或货物。,第一节 电子商务的安全问题及要求,电子商务的安全问题(二)电子商务的安全风险来源 1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,第一节 电子商务的安全问题及要求,电子商务的安全问题(二)电子商务的安全风险来源 1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,电子商务与传统交易的比较:1)信息传递和保存的介质:网上&纸上2)信息接触面:多&少3)篡改痕迹方面:不留&留有痕迹,第一节 电子商务的安全问题及要求,电子商务的安全问题(二)电子商务的安全风险来源 1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,使用信用卡进行恶意透支,或使用伪造信用卡骗取货物;拖延货款。,第一节 电子商务的安全问题及要求,电子商务的安全问题(二)电子商务的安全风险来源 1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,卖方不能按质、按量、按时寄送消费者购买的货物。,第一节 电子商务的安全问题及要求,电子商务的安全问题(二)电子商务的安全风险来源 1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,网上交易双方必须有良好的信用,而且有一套有效的信用机制降低信用风险。,第一节 电子商务的安全问题及要求,电子商务的安全问题(二)电子商务的安全风险来源 1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,在网络商品中介交易的过程中,客户进入交易中介中心,买卖双方签订合同,交易中心不仅要监督买方按时付款,还要监督卖方按时提供符合合同要求的货物。在这些环节上,存在大量管理问题,管理不善会造成巨大的潜在风险。为防止此类风险,需要有完善的制度设计,形成一套相互关联、相互制约的制度。,第一节 电子商务的安全问题及要求,电子商务的安全问题(二)电子商务的安全风险来源 1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,人员管理常常是网上交易安全管理上的最薄弱的环节;内部犯罪现象明显,工作人员职业道德修养不高,安全教育和管理松懈。一些竞争对手还利用企业招募新人的方式潜入该企业,或利用不正当的方式收买企业网络交易管理人员,窃取企业的用户识别码、密码、传递方式以及相关的机密文件资料。,第一节 电子商务的安全问题及要求,电子商务的安全问题(二)电子商务的安全风险来源 1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,有些操作系统中的某些用户是无口令的,如匿名FTP,利用远程登录(Telnet)命令登录的这些无口令用户,有可能恶意地把自己升级为超级用户。,第一节 电子商务的安全问题及要求,电子商务的安全问题(二)电子商务的安全风险来源 1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,在网上交易可能会承担由于法律滞后,即目前尚没有相关法律进行规范,因而无法保证合法交易的权益所造成的风险。,第一节 电子商务的安全问题及要求,电子商务的安全问题(二)电子商务的安全风险来源 1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,在网上交易可能承担由于法律的事后完善所带来的风险,即在原来法律条文没有明确规定下而进行的网上交易,在后来颁布新的法律条文下属于违法经营所造成的损失。如,证券交易的主体的规定。,第一节 电子商务的安全问题及要求,电子商务的安全问题(二)电子商务的安全风险来源 1.网络系统自身的安全风险 2.信息传输风险 3.信用风险 4.管理风险 5.法律风险,第一节 电子商务的安全问题及要求,电子商务的安全问题(一)电子商务交易带来的安全威胁(二)电子商务的安全风险来源 电子商务的安全要求(一)有效性(二)机密性(三)完整性(四)真实性和不可抵赖性的鉴别 电子商务安全管理思路,第一节 电子商务的安全问题及要求,电子商务的安全要求(一)有效性(二)机密性(三)完整性(四)真实性和不可抵赖性的鉴别,第一节 电子商务的安全问题及要求,电子商务的安全要求 电子商务发展的核心和关键问题是交易的安全性。由于Internet本身的开放性,使网上交易面临了种种危险,由此提出了相应的安全控制要求。(一)有效性(二)机密性(三)完整性(四)真实性和不可抵赖性的鉴别,第一节 电子商务的安全问题及要求,电子商务的安全要求,电子商务以电子形式取代了纸张,要对网络故障、操作失误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时间、确定的地点是有效的。,第一节 电子商务的安全问题及要求,电子商务的安全要求,数据篡改,第一节 电子商务的安全问题及要求,电子商务的安全要求,作为贸易的一种手段,电子商务的信息直接代表着个人、企业或国家的商业机密。电子商务是建立在一个较为开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。,第一节 电子商务的安全问题及要求,电子商务的安全要求,第一节 电子商务的安全问题及要求,电子商务的安全要求,电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生产、修改和删除,同时要防止数据传送过程中信息的丢失和重复。,第一节 电子商务的安全问题及要求,电子商务的安全要求,要在交易信息的传输过程中为参与交易的个人、企业或国家甚至是交易信息本身提供可靠的标识,如电子签名、时间戳等。,第一节 电子商务的安全问题及要求,电子商务的安全要求,第一节 电子商务的安全问题及要求,电子商务的安全问题(一)电子商务交易带来的安全威胁(二)电子商务的安全风险来源 电子商务的安全要求(一)有效性(二)机密性(三)完整性(四)真实性和不可抵赖性的鉴别 电子商务安全管理思路,第一节 电子商务的安全问题及要求,电子商务安全管理思路 网上交易安全管理,应采用综合防范的思路,从技术、管理、法律等方面建立一个完整的网络交易安全体系。(1)技术方面:防火墙技术、网络防毒等。(2)加强监管:建立各种有关的合理制度,并严格监督。(3)社会的法律政策与法律保障:尽快出台和完善相关的法律制度,严惩破坏合法网上交易权益的行为。,电子商务的安全管理,就是通过一个完整的综合保障体系,规避各种风险,以保证网上交易的顺利进行。无论从保护合法市场交易利益,还是市场本身的发展来看,确保网上交易安全是电子虚拟市场要解决的首先问题和基本问题,需要各方配合加强对网上交易安全性的监管。,第一节 电子商务的安全问题及要求,电子商务的安全问题(一)电子商务交易带来的安全威胁(二)电子商务的安全风险来源 电子商务的安全要求(一)有效性(二)机密性(三)完整性(四)真实性和不可抵赖性的鉴别 电子商务安全管理思路,第二节 电子商务安全技术,交易方自身网络安全保障技术(一)用户账号管理和网络杀毒技术(二)防火墙技术(三)虚拟专用技术(四)入侵检测技术电子商务信息传输安全保障技术(一)加密技术(二)数字摘要技术身份和信息认证技术(一)身份认证(二)信息认证(三)通过认证机构认证 电子商务安全支付技术(一)SSL安全协议(二)SET安全协议,第二节 电子商务安全技术,交易方自身网络安全保障技术(一)用户账号管理和网络杀毒技术(二)防火墙技术(三)虚拟专用技术(四)入侵检测技术,第二节 电子商务安全技术,交易方自身网络安全保障技术,获取合法的账号和密码是黑客攻击网络系统最常使用的方法。因此,用户账号的安全管理措施包括:(1)技术层面的安全支持,即针对用户账号完整性的技术,包括用户分组管理(对不同的成员赋予不同的权限)、单一登录密码制(用户在企业计算机网络任何地方都使用同一个用户名和密码)、用户认证(结合多种手段如电话号码、IP地址、用户使用的时间等精确地确认用户)。(2)在企业信息管理的政策方面有相应的措施,即划分不同的用户级别,制定密码政策(如密码的长度、密码定期更换、密码的组成等),对职员的流动采取必要的措施,以及对职员进行计算机安全的教育。两者相互作用才能在一定程度上真正有效地保证用户账号的保密性。采取多方面的防治措施预防病毒、检查病毒、消除病毒。,第二节 电子商务安全技术,交易方自身网络安全保障技术,防火墙是由软件和硬件设备组合而成的,是处于企业内部网和外部网之间,用户加强内外之间安全防范的一个或一组系统。在Internet上利用防火墙来完成进出企业内部网和外部网检查的功能,迫使所有的连接都必须通过它来完成,通过对数据来源或目的地、数据的格式或内容进行审查来决定是否允许该数据进出,也可以以代理人的形式避免内外网之间直接的联系,即限制非法用户进入企业内部网络,过滤掉不符合规定的数据或限制服务类型,对网络威胁状况进行分析,从而达到保护内部网络安全的目的。,第二节 电子商务安全技术,交易方自身网络安全保障技术,第二节 电子商务安全技术,交易方自身网络安全保障技术,虚拟专用网(VPN),这是指利用隧道技术把两个或多个专用网络通过公共网(通常指Internet)安全地连接到一起,组成虚拟的统一的专用网的技术。虚拟专用网系统使分布在不同地方的专用网络在不可信任的公共网络上安全地通信。总体来看,虚拟专用网主要提供如下功能:1)数据保密:传输的信息利用加密算法处理过,窃听者无法解密;2)信息验证:保证信息在传输中的完整性与发送方的真实性;3)身份认证:只有容许的用户才能够加入虚拟专用网;4)访问控制:不同的用户有不同的访问权限。,第二节 电子商务安全技术,交易方自身网络安全保障技术,入侵是指任何试图破坏资源完整性、机密性和可用性的行为,也包括合法用户对于系统资源的误用。入侵检测是指对面向计算资源和网络资源的恶意行为的识别和响应。它是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护。,实时监控非法入侵的过程示意图,报警日志记录,攻击检测,记录入侵过程,重新配置防火墙路由器,内部入侵,入侵检测,记录,终止入侵,第二节 电子商务安全技术,交易方自身网络安全保障技术(一)用户账号管理和网络杀毒技术(二)防火墙技术(三)虚拟专用技术(四)入侵检测技术电子商务信息传输安全保障技术(一)加密技术(二)数字摘要技术身份和信息认证技术(一)身份认证(二)信息认证(三)通过认证机构认证 电子商务安全支付技术(一)SSL安全协议(二)SET安全协议,第二节 电子商务安全技术,电子商务信息传输安全保障技术(一)加密技术(二)数字摘要技术,第二节 电子商务安全技术,电子商务信息传输安全保障技术,加密技术可以防止合法接收者之外的人获取信息系统中的机密信息后知悉其中的内容。数据加密技术是对信息进行重新编码,从而达到隐藏信息内容,使非法用户无法获得信息真实内容的一种技术手段。网络中的数据加密通过对网络中传输的信息进行加密,实现网络中信息传输的保密性,防止信息泄露。即使非法接收者获得了被加密的内容,也由于不能对其进行解密而无法知悉其中的内容。,第二节 电子商务安全技术,电子商务信息传输安全保障技术,FDHVDU FLSKHU,FDHVDU FLSKHU,明文密文,CIPHER145326attackbeginsatfour,置换密码(transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。,密钥顺序明文,根据英文字母在 26 个字母中的先后顺序,我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B,因此 C 为第 1。同理,E 为第 2,H 为第 3,,R 为第 6。于是得出密钥字母的相对先后顺序为 145326。,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,置换密码(transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。,密钥顺序明文,根据英文字母在 26 个字母中的先后顺序,我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B,因此 C 为第 1。同理,E 为第 2,H 为第 3,,R 为第 6。于是得出密钥字母的相对先后顺序为 145326。,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,置换密码(transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。,密钥顺序明文,根据英文字母在 26 个字母中的先后顺序,我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B,因此 C 为第 1。同理,E 为第 2,H 为第 3,,R 为第 6。于是得出密钥字母的相对先后顺序为 145326。,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,置换密码(transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。,密钥顺序明文,根据英文字母在 26 个字母中的先后顺序,我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B,因此 C 为第 1。同理,E 为第 2,H 为第 3,,R 为第 6。于是得出密钥字母的相对先后顺序为 145326。,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,置换密码(transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。,密钥顺序明文,根据英文字母在 26 个字母中的先后顺序,我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B,因此 C 为第 1。同理,E 为第 2,H 为第 3,,R 为第 6。于是得出密钥字母的相对先后顺序为 145326。,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,置换密码(transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。,密钥顺序明文,根据英文字母在 26 个字母中的先后顺序,我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B,因此 C 为第 1。同理,E 为第 2,H 为第 3,,R 为第 6。于是得出密钥字母的相对先后顺序为 145326。,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,先读顺序为 1 的明文列,即 aba,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,再读顺序为 2 的明文列,即 cnu,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,再读顺序为 3 的明文列,即 aio,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,再读顺序为 4 的明文列,即 tet,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,再读顺序为 5 的明文列,即 tgf,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,最后读顺序为 6 的明文列,即 ksr,因此密文就是:abacnuaiotettgfksr,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,先写下第 1 列密文 aba,收到的密文:abacnuaiotettgfksr,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,再写下第 2 列密文 cnu,收到的密文:abacnuaiotettgfksr,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,再写下第 3 列密文 aio,收到的密文:abacnuaiotettgfksr,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,再写下第 4 列密文 tet,收到的密文:abacnuaiotettgfksr,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,再写下第 5 列密文 tgf,收到的密文:abacnuaiotettgfksr,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,最后写下第 6 列密文 ksr,收到的密文:abacnuaiotettgfksr,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,最后按行读出明文,收到的密文:abacnuaiotettgfksr,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,最后按行读出明文,收到的密文:abacnuaiotettgfksr,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,最后按行读出明文,收到的密文:abacnuaiotettgfksr,得出明文:attackbeginsatfour,第二节 电子商务安全技术,电子商务信息传输安全保障技术,加密技术可以防止合法接收者之外的人获取信息系统中的机密信息后知悉其中的内容。数据加密技术是对信息进行重新编码,从而达到隐藏信息内容,使非法用户无法获得信息真实内容的一种技术手段。网络中的数据加密通过对网络中传输的信息进行加密,实现网络中信息传输的保密性,防止信息泄露。即使非法接收者获得了被加密的内容,也由于不能对其进行解密而无法知悉其中的内容。,第二节 电子商务安全技术,电子商务信息传输安全保障技术,加密技术只能解决信息的保密性问题,防止信息在传输过程中被泄露,但不能防止加密信息在传输过程被增、删、改等操作后再发给信息的接收方,因此对于信息的完整性无法保障。数字摘要技术可以解决这个问题。所谓数字摘要,是指从原文中通过Hash算法而得到的一个有固定长度(通常为128位)的散列值,即信息鉴别码(MAC)。不同的原文所产生的数字摘要一定不同,相同的原文产生的数字摘要一定相同。信息在传输前得到数字摘要,两者一起发送给接收者;接收者对原文得出摘要,将两个摘要进行对比,若相同,则表明原文在传输中没有被修改。,第二节 电子商务安全技术,交易方自身网络安全保障技术(一)用户账号管理和网络杀毒技术(二)防火墙技术(三)虚拟专用技术(四)入侵检测技术电子商务信息传输安全保障技术(一)加密技术(二)数字摘要技术身份和信息认证技术(一)身份认证(二)信息认证(三)通过认证机构认证 电子商务安全支付技术(一)SSL安全协议(二)SET安全协议,第二节 电子商务安全技术,身份和信息认证技术(一)身份认证(二)信息认证(三)通过认证机构认证,客户认证技术是保证网上交易安全的一项重要技术。从认证途径来看,客户认证主要包括:身份认证,信息认证和认证机构认证。身份认证和认证机构认证常常用于鉴别用户身份,而信息认证常用于保证通信双方的不可抵赖性和信息的完整性。,第二节 电子商务安全技术,身份和信息认证技术,身份认证就是在交易过程中判明和确认贸易双方的真实身份。某些非法用户常采用窃取口令、修改或伪造、阻断服务等等方式对网上交易系统进行攻击,阻止系统资源的合法管理和使用。因此,要求认证机构或信息服务商应当提供如下认证的功能:,第二节 电子商务安全技术,身份和信息认证技术,因此,要求认证机构或信息服务商应当提供如下认证的功能:1)可信性:信息来源可信,接收者能确认发送者;2)完整性:信息在传输过程中没有被修改、替换等;3)不可抵赖性:发送者和接受者不能否认各自行为;4)访问控制:拒绝非法用户访问系统资源,合法用户 只能访问系统授权和指定的资源。,第二节 电子商务安全技术,身份和信息认证技术,一般来说,用户身份认证可通过三种基本方式或其组合方式来实现:1)用户所知道的某个秘密信息,如口令;2)用户所持有的某个秘密信息(硬件),即用户必须持有合法的随身携带的物理介质,例如智能卡中存储用户的个人化参数,以及访问系统资源时必须有的智能卡。3)用户所具有的某些生物学特征,如指纹。成本高,多用于保密程度很高的场合。,第二节 电子商务安全技术,身份和信息认证技术,一般来说,用户身份认证可通过三种基本方式或其组合方式来实现:1)用户所知道的某个秘密信息,如口令;2)用户所持有的某个秘密信息(硬件),即用户必须持有合法的随身携带的物理介质,例如智能卡中存储用户的个人化参数,以及访问系统资源时必须有的智能卡。3)用户所具有的某些生物学特征,如指纹。成本高,多用于保密程度很高的场合。,第二节 电子商务安全技术,身份和信息认证技术,一般来说,用户身份认证可通过三种基本方式或其组合方式来实现:1)用户所知道的某个秘密信息,如口令;2)用户所持有的某个秘密信息(硬件),即用户必须持有合法的随身携带的物理介质,例如智能卡中存储用户的个人化参数,以及访问系统资源时必须有的智能卡。3)用户所具有的某些生物学特征,如指纹。成本高,多用于保密程度很高的场合。,第二节 电子商务安全技术,身份和信息认证技术,商务活动通过公开网络进行数据传输,对传输过程中信息的保密性、完整性和不可抵赖性提出了更高的要求。1)对敏感的文件进行加密 2)保证数据的完整性 3)对数据和信息的来源进行验证 措施:通过加密技术实现。加密后,即使信息被截获也无法得到原始信息;如果非法加入或删除信息,则信息无法还原。还可以采用数字签名技术来确认信息来源。,第二节 电子商务安全技术,身份和信息认证技术,通过认证机构提供认证服务的基本原理和流程是:在做交易时,应向对方提交一个由CA签发的包含个人身份的证书,以使对方相信自己的身份。顾客向CA申请证书时,可提交自己的驾驶执照、身份证或护照,经验证后,颁发证书。证书包含了顾客的名字和他的公钥,以此作为网上证明自己的身份的依据。,第二节 电子商务安全技术,交易方自身网络安全保障技术(一)用户账号管理和网络杀毒技术(二)防火墙技术(三)虚拟专用技术(四)入侵检测技术电子商务信息传输安全保障技术(一)加密技术(二)数字摘要技术身份和信息认证技术(一)身份认证(二)信息认证(三)通过认证机构认证 电子商务安全支付技术(一)SSL安全协议(二)SET安全协议,第二节 电子商务安全技术,电子商务安全支付技术(一)SSL安全协议(二)SET安全协议,如何通过电子支付安全地完成整个交易过程?目前虽然还没有形成公认成熟的解决办法,但人们还是不断通过各种途径进行大量的探索,SSL安全协议和SET安全协议已广泛应用于电子支付。,第二节 电子商务安全技术,电子商务安全支付技术,SSL安全协议(安全套接层)是一种安全通信协议,它能够对信用卡信息和个人信息提供较强的保护。此协议假定商家是可信的,协议运行的基点是商家对客户信息保密的承诺。SSL安全协议有利于商家而不利于客户。整个过程缺少客户对商家的认证。SSL安全协议逐渐被SET协议所取代。,第二节 电子商务安全技术,电子商务安全支付技术,SET安全协议(安全电子交易)是由信息卡公司推出的规范。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。SET安全协议能够保证信息在网上安全传输;保证电子商务参与者信息的相互隔离(商家看不到信用卡信息);解决多方认证问题;保证交易的实时性;可以运行在不同的硬件和操作系统平台上。,第二节 电子商务安全技术,交易方自身网络安全保障技术(一)用户账号管理和网络杀毒技术(二)防火墙技术(三)虚拟专用技术(四)入侵检测技术电子商务信息传输安全保障技术(一)加密技术(二)数字摘要技术身份和信息认证技术(一)身份认证(二)信息认证(三)通过认证机构认证 电子商务安全支付技术(一)SSL安全协议(二)SET安全协议,第三节 电子商务安全制度,安全管理制度(一)人员管理制度(二)保密制度(三)跟踪、审计、稽核制度(四)系统维护制度(五)病毒防范制度法律制度(一)美国保证电子商务安全的相关法律(二)我国保证电子商务安全的相关法律,第三节 电子商务安全制度,安全管理制度(一)人员管理制度(二)保密制度(三)跟踪、审计、稽核制度(四)系统维护制度(五)病毒防范制度法律制度(一)美国保证电子商务安全的相关法律(二)我国保证电子商务安全的相关法律,第三节 电子商务安全制度,安全管理制度(一)人员管理制度(二)保密制度(三)跟踪、审计、稽核制度(四)系统维护制度(五)病毒防范制度,网上交易系统安全管理制度是用文字形式对各项安全要求的规定,它是保证企业在网上经营管理取得成功的基础。是否健全及实施安全管理制度,关系到网上交易是否安全地、顺利地进行。安全制度包括:,第三节 电子商务安全制度,安全管理制度,首先,对有关人员进行上岗培训。其次,落实工作责任制,对违反网上交易安全规定的行为应坚决进行打击,对有关人员要进行及时的处理。第三,贯彻网上交易安全运作基本原则:1)双人负责原则:重要业务不安排一个人单独管理,实行两人或多人相互制约的机制。2)任期有限原则:任何人不得长期担任与交易安全