06电子商务安全交易课件.ppt

第六章 电子商务安全技术 电子商务系统安全包括： 硬件安全、软件安全、网络安全、人员管理安全 电子商务安全控制要求： 有效性、保密性、完整性、交易者身份的确定性、不可否认性、不可修改性 美国每年因电子商务安全问题所造成的经济损失达75亿美元，企业的电脑安全受到侵犯的比例从1997年的49%升到1999年的54%。1997年美国出现了两次大的企业网站瘫痪事件，美国中情局的服务器在1999年也受到过黑客的攻击。著名的美国联机公司因人为操作和技术上的失误，使其计算机系统的600万用户陷入瘫痪10小时。另一家大公司网络联机通信服务公司的主干网出现重大故障，40万用户被迫中断联络40小时。 在中国，从 1993年中科院高能物理所与互联网联网，首开国内使用互联网先河之日起，黑客在中国的活动就没有停止过。仅就中科院网络中心而言，在1993年至1998年期间，多次遭到中外“黑客”的入侵，造成不同程度的影响。1997年以前，我国已发现的许多计算机犯罪案件主要集中在金融领域，损失金额小的有数千元，大的已超过数百万元。在1997年以后，黑客入侵活动日益猖獗，逐步转向电子商务领域，国内各大网络几乎都不同程度地遭到黑客的攻击。 1997年7月，上海某证券系统被黑客人侵。同期西安某银行系统被黑客入侵后，提走80.6万元现金。1997年9月，扬州某银行被黑客攻击，利用虚存帐号提走26万元现金。1999年4月26日的CIH病毒的爆发，使我国4万多台电脑不能正常运行，大多数电脑的硬盘数据被毁，国内很多企业的数据都或多或少地被破坏。中国民航的20多台电脑曾被感染，其中在1999年下半年的航班时刻表的数据被毁，使工作人员4个多月的辛苦付之东流。可见网络黑客穷凶极恶、利欲熏心，为了达到他们的丑恶目的，真是不择手段。 6.1 电子商务的安全问题 6.1.1 电子商务系统安全的概念 1、硬件安全：主机硬件和物理线路的安全 2、软件安全：操作系统的安全、数据库安全、网络软件安全和应用软件安全 3、网络安全：网上任何一台主机或插入的物理网络的攻击 4、人员管理安全：内部人员的攻击 6.1.2 电子商务安全控制要求 在电子商务所需的几种安全性要求中，以保密性、完整性、身份的确认性和不可否认性最为关键。电子商务安全性要求的实现涉及到多种安全技术的应用。 6.1.3 危害电子商务系统安全的主要因素 1、网络硬件的不安全因素 通信监视 非法终端 注入非法信息 线路干扰 运行中断 服务干扰 病毒入侵 2、网络软件的不安全因素 操作系统 网络协议 网络软件 3、工作人员的不安全因素 保密观念不强/业务不熟练/规章制度不健全/非法访问/越权访问/利用硬件故障或软件错误非法访问/窃取系统或用户信息 4、交易信用的风险因素 来自买方的信用风险 来自卖方的信用 买卖双方都存在抵赖的情况 5、计算机病毒和黑客攻击 6、法律方面的风险因素 7、环境的不安全因素 6.2 电子商务的安全保障体系 一个完整的网络交易安全体系应包括: 一是技术方面的措施,如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等； 二是管理方面的措施，包括交易的安全制度、交易安全的实时监控、实时改变安全策略的能力、对现有安全系统漏洞的检查及安全教育； 三是社会的法律政策与法律保障。 6.3 电子商务安全的技术 6.3.1 数据加密技术 将明文数据进行某种变换，使其成为不可理解的形式，这个过程就是加密，这种不可理解的形式称为密文。 解密是加密的逆过程，即将密文还原成明文。 加密和解密必须依赖两个要素：算法和密钥。算法是加密和解密的计算方法；密钥是加密所需的一串数字。 一般的数据加密模型: 如果一个密码体制的密码不能被现有的计算资源所破译，那么这种密码体制在计算上可以说是安全的。 在无价格限制的条件下，目前几乎所有使用的密码体制都是可破的。 在加密算法公开的情况下，非法解密者就要设法破获密钥，为了使黑客难以破获密钥，就要增加密钥的长度，使黑客无法用穷举法测试破解密钥。 传统的代换密码 早在几千年前人类就已有了通信保密的思想和方法。如最古老的恺撒密码(Caesar cipher)。 在这种方法中，a变成D，b变成E ，c变成F，……z变成C。例如，english变成IRKPMWL。其中明文用小写字母，密文用大写字母。 若允许密文字母表移动k个字母而不是总是3个，那么k就成为循环移动字母表通用方法的密钥。 传统的映射代换密码 将明文中的符号，比如26个字母，简单地映射到其他字母上。例如: 明文：abcdefghijklmnopqrstuvwxyz 密文：QWERTYUIOPASDFGHJKLZXCVBMN 这个通用系统叫做“单一字母表代换”，密钥是26个字母与整个字母表的对应关系。应用上面的密钥，e