第九章电子商务安全-至顶网.doc

电子商务的安全技术 学习目标： 1.电子商务面临的主要安全威胁. 2.电子商务对安全的基本要求. 3.电子商务常用的数据加密技术. 4.电子商务的认证体系. 5.SSL和SET的流程和工作原理. 目前，，，，，20世纪70年代中后期，，，电子商务的安全不仅仅是狭义上的网络安全，比如防病毒、防黑客、入侵检测等等，从广义上讲还包括，从这种意义上来说，电子商务的安全涵盖面比一般的网络安全要广泛得多。首先电子商务的安全是一个复杂的管理问题。管理公司内部的网络环境很复杂，当把企业网与Internet相连时，性能、安全、可管理性等方面就面临挑战。 其次，电子商务安全是一个技术安全问题。电子商务应由合法的系统进行确认和支持。文件上的数字签字在法庭上与书面签字具有同等效力。电子商务是通过信息网络传输商务信息和进行贸易的，与传统的有纸贸易相比减少了直接的票据传递和确认等商业活动，因此要求电子商务比有纸贸易更安全更可靠。这首先需要技术上的保证，如电子签名等技术手段的。再次，电子商务安全是一个法律问题，电子商务安全问题的真正解决需要通过法律的完善来加以保证。 电子商务安全要体现在以下几个方面：1、有效性、真实性有效性、真实性能对信息实体进行鉴别。电子商务以电子形式取代了纸张，如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式，其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点真实有效。 2、机密性机密性要求即是能保证信息不被泄露给非授权的人或实体。在利用网络进行的交易中，必须保证发送者和接收者之间交换的信息的机密性。电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密目的的。电子商务是建立在一个开放的网络环境上的，商业泄密是电子商务全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取确保只有合法用户才能看到数据，防止泄密事件。 3数据的完整性完整性要求即是能保证数据的一致性，防止数据被非授权修改和坏。电子商务简化了贸易过程，减少了人为的干预，同时也带来维护商业信息的完整统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是电子商务应用的基础。因此，要预防对信息的随意修改和删除，同时要防止数据传送过程中信息的丢失和重复，并保证信息传送序的统一。 4、可靠性、不可抵赖性和可控性可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝；不可抵赖性要求即是能建立有效的责任机制，防止实体否认其行为；可控性要求即是能控制使用资源的人或实体的使用方式。电子商务直接关系到贸易双方的商业交易，如何确定要进行交易的贸易方这一问题则是保证电子商务顺利进行的关键。在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴，确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的“白纸黑字”，一旦交易开展后便不可撤销。交易中的任何一方都不得否认其在该交易中的作用。在无纸化的电子商务方式下，通过手写签名和印章进行贸易方的鉴别已是不可能的。因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识数据发方在发送数据后不能抵赖；数据接收方在接收数据后也不能抵赖。为了进行业务交易，各方必须能够对另一方的身份进行鉴别一旦方签订后，这项交易就应受到保护以防止被篡改或伪造。Finger探测。Finger命令会列出当前使用者名单，上次登录的时间，以及是否读过邮件等等。但finger同时会不经意地告诉攻击者该系统的使用频率，是否有用户正在使用，以及是否可能发动攻击而不被发现。防火墙也能封锁域名服务信息，从而使外部主机无法获取站点名和IP地址。通过封锁这些信息，可以防止攻击者从中获得另一些有用信息。 5、有关网络使用、滥用的记录和统计 如果对Internet的往返访问都通过防火墙，那么防火墙可以记录各次访问，并提供有关网络使用率的有价值的统计数字。如果一个防火墙能在可疑活动发生时发出音响报警，则同时还可以提供防火墙和网络是否受到试探或攻击的细节。采集网络使用率统计数字和试探的证据是很重要的， 最主要的原因就是可以知道防火墙能否抵御试探和攻击，并确定防火墙上的控制措施是否得当。网络使用率统计数字也很重要