大工13秋《電子商務》輔導資料七

1、電子商務輔導資料七主 題： 第五章 電子商務中的安全技術（第13節(jié)） 學習時間：2013年11月110-11月170內 容：第五章電子商務中的安全技術這周我們將學習第五章屮的第13節(jié)，這部分重點介紹電子商務系統(tǒng)的安 全問題和安全措施、電子商務系統(tǒng)安全交易的標準等；下面整理出的理念框架供 同學們學習。第一節(jié)電子商務系統(tǒng)的安全問題一、電子商務系統(tǒng)面臨的主要威脅：系統(tǒng)穿透：未授權人通過一定手段對認證性進行攻擊，假冒合法者接入系統(tǒng) 或篡改文件，或竊取機密信息，或非法使用資源等。系統(tǒng)穿透一般采取偽裝或利 用系統(tǒng)薄弱環(huán)節(jié)等方式實現(xiàn)。違反授權規(guī)則：一個授權進入系統(tǒng)“做某事件”的用戶，在系統(tǒng)中進行未經 授權的

2、其他事情，表而上看起來是系統(tǒng)內部的誤用或濫用問題，但這種威脅與外 部穿透有關聯(lián)。植入：一般在系統(tǒng)穿透或違反授權攻擊成功后，入侵者要再系統(tǒng)中植入-種 能力，為以后攻擊提供方便條件，如向系統(tǒng)中注入病毒、陷阱等來破壞系統(tǒng)正常 工作。通信監(jiān)視：這是一種在通信過程屮從信道進行搭線竊聽的方式，通過搭線和 電磁泄漏對機密性進行攻擊，造成泄漏，或對業(yè)務流量進行分析，獲取冇用情報。 偵察衛(wèi)星、監(jiān)視衛(wèi)星、隱身飛機等均可用于截獲和跟蹤信息。通信干擾：攻擊者對通信數據或通信過程進行干擾，對完整性進行攻擊，篡 改系統(tǒng)中的數據，修改消息次序、吋間，注入偽造信息。中斷：對可用性進行攻擊，迫害系統(tǒng)中得硬件，使系統(tǒng)不能止常工作

3、，破壞 信息和網絡資源。拒絕服務：指合法接入信息、業(yè)務或其他資源受阻。否認：一個實體進行某種通信或交易活動，稍候否認進行過這一活動，不管 這種行為是否有意的亥時無意的，一旦出現(xiàn)再要解決雙方的爭執(zhí)就不容易了。二、電子商務系統(tǒng)的安全需求:u 呆密性要求2完整性要求3不可否認要求4交易者身份的真實性5有效性要求6系統(tǒng)的可靠性第二節(jié)電子商務系統(tǒng)的安全措施一、電子商務提供的安全服務：主要包括：鑒別服務、訪問控制服務、機密性服務、不可否認服務等。二、數據安全1、數據加密是確保電子商務系統(tǒng)中數據的安全性、真實性和完整性的重要 手段。明文一源信息，密文一為保護明文，將其通過某種方式交換成局 外人難以識別的另一

4、種形式。z密鑰是有數字、字符胡特殊符號組成的字符串，它可以控制加密解密過 程。密鑰的長度是指密鑰的位數。a加密算法是指把加密解密變換處理過程抽象成數學函數。正向為加密函 數，反向為解密函數。久對稱密鑰系統(tǒng)：密鑰系統(tǒng)又稱對稱密鑰系統(tǒng)，它使用相同的密鑰加密和 解密，發(fā)送者和接收者有相同的密鑰。三、網絡安全在網絡安全方面，當麗的主流思路是從企業(yè)內聯(lián)網出發(fā)來考慮以因特網為 基礎的電子商務安全問題。內聯(lián)網是一種半封閉的集屮式可控網。1、網路安全規(guī)劃&威脅評估：與網絡連通性有關的安全威脅主要有：非授權訪問、信息泄漏、 拒絕訪問。®分布式控制：實現(xiàn)網絡安全的一種方法是將一個大型網絡中各段的

5、責任和 控制權分配給單位內部的一些小組。&編制網絡安全策略：一個網絡安全策略文件應該包括：網絡用戶的安全責任；系統(tǒng)管理員的安全責任；正確使用網絡資源；檢測到安全問題吋的策略。z防火墻技術0防火墻：是設置在被保護網絡和外部網絡z間的一道屏障，以防止發(fā)生不 可預測的、潛在的破壞性的侵入。&防火墻的實質：包含一對矛盾或稱機制，一方面限制數據流通，另一方面它又允許數據流通。&防火墻的分類：根據防范的方式和側重點不同，防火墻分2類：數據包過濾型（通常安 裝在路由器上）和應用網關型（通常安裝在工作站上）。$應用系統(tǒng)安全0計算機系統(tǒng)安全0安全性管理（用戶賬號管理、用戶組管理、口令維護

6、、超級用戶管理）4數字簽名0概念：傳統(tǒng)上采用的是手書簽字或印章，是模擬的，因人而已；數字簽名 是0和1的數字串，因消息而已。0組成部分：簽字算法和驗證算法。常用的數字簽名體制： 應簽名體制、elgaral簽名體制等5認證與身份證明0身份認證系統(tǒng)組成：示證者、驗證者、攻擊者。0認證的主要方法：雙重認證、數字證書、智能卡、安全電子交易協(xié)議。第三節(jié)安全電子交易標準一、安全電子交易標準：安全超文木傳輸協(xié)議（&+titb：用密鑰來加密，以保障web站點 上的信息的安全。即 網"支持超文本傳輸協(xié)議（htip,為web文檔 提供安全和鑒別，保證數據的安全。0安全套接層協(xié)議（ssd：是保證w

7、eb站點z間通信信道的安全，而 向網絡協(xié)議棧的底層通道進行安全監(jiān)控。安全多媒體協(xié)議internet郵件擴展協(xié)議（snw：依賴密鑰對保 證電子郵件安全傳輸。0安全電了交易協(xié)議（sed：是為了解決用戶、商家和銀行z間通過信 用卡支付的交易而設計的。set交易分為三個階段：購買請求階段、支付認 定階段、受款階段。本周要求掌握的內容如下：基本概念：系統(tǒng)穿透、違反授權規(guī)則、植入、數字簽名、防火墻等?；纠砟睿弘娮由虅彰媾R的主要威脅、電子商務提供的安全服務、安全電子交易的標準。練習：1、電子商務面臨的主要威脅有哪些？a電子商務中安全電子交易都遵循哪些標準？1、下而屈于電子商務的安全服務的是（）。a訪問控制r不可否認c鑒別u機密性z身份認證系統(tǒng)的組成（）。a驗證者b示證者c攻