第三章 电子商务安全
电子商务的安全问题及安全防范措施
电子商务的安全问题及安全防范措施第一章电子商务的安全问题随着互联网技术的飞速发展,电子商务已经成为了现代商业中不可或缺的一部分。
然而,随着电子商务的普及,越来越多的人们开始担忧电子商务的安全问题。
电子商务中存在哪些安全问题呢?1.1 数据安全问题由于电商平台涉及大量用户信息,如个人资料、银行卡信息、交易信息等,因此数据的安全性是电商平台必须保障的重要因素。
但是,在实际操作中,数据安全问题依然存在。
一方面,黑客入侵可能会导致数据的泄露;另一方面,电商平台员工泄露用户隐私信息也是一个重大问题。
1.2 交易安全问题购物过程中出现的欺诈行为是电子商务交易中的另一个安全问题。
例如,网上购物时,一些不法分子可能会伪造商品信息、假装卖家诈骗消费者的钱财,导致不必要的交易纠纷。
此外,一些不规范的电商公司会将消费者的敏感信息出售给第三方,从而引发隐私泄露的问题。
第二章安全防范措施既然存在安全问题,那么如何才能有效保障电子商务的安全呢?本章主要从防范黑客攻击、保护数据隐私等方面探讨电子商务的安全防范措施。
2.1 防范黑客攻击防范黑客攻击是网站安全的重中之重。
为了保障网站的安全,可以采取以下措施:(1)针对攻击首先应该做好备份。
如果遇到了恶意攻击,网站可以尽快将备份数据恢复到正式网站中。
(2)采用高强度密码,以及加密技术防范登录信息的泄露,同时,还需要定期更改密码。
(3)及时更新软件和升级版本,保证远程桌面软件和操作系统在零时刻得到更新。
2.2 保护数据隐私保护用户数据隐私是电商公司必须履行的职责。
以下是几个保护数据隐私的建议:(1)建立严格的访问控制,对于不同权限的员工应该控制不同的访问权限。
(2)建立信息保密机制,对于需要保密的信息应该采取加密技术。
(3)做好防病毒工作,采用实时更新的防病毒软件,同时要定期对计算机进行杀毒。
2.3 其他防范措施此外,还可以通过以下方法增强电子商务的安全性:(1)通过推出优惠券和赠品等方式吸引消费者购买,从而增加用户忠诚度。
第三章电子商务的关键技术
3. 2 电子商务的安全技术
1. 电子商务安全概述 2. 加密技术 3. 认证技术 4. 签名技术 5. 公钥基础设施
5
安安全全是是保保证证电电子子商商务务健健康康有有序序发发展展的的关关键键因因素素,,也也是是目目前前大大家家十十分分关关注注的的话话题题。。 由于非法入侵者的侵入,造成商务信息被篡改、盗窃或丢失; 商业机密在传输过程中被第三方获悉,甚至被恶意窃取、篡改和破坏; 虚假身份的交易对象及虚假订单、合同;
22
公开密钥加解密算法的特点如下:
■ 用加密算法E和加密密钥PK对明文X加密后,再用 解密算法D和解密密钥SK解密,即可恢复出明文; 或写成:DSK[EPK(X)]=X;
■ 加密算法和加密密钥不能用来解密,即EPK[EPK(X)] ≠ X;
■ 在计算机上可以容易地产生成对的PK和SK; ■ 从已知的PK实际上不可能(或者说很难)推导出SK。
控制明文与密文之间变换的关键,可以是数字、词汇或语 句等。密钥可以分为加密密钥和解密密钥,分别使用于加 密过程和解密过程。
15
举例
将字母A、B、C、……X、Y、Z的自然顺序保持不变, 但使之与E、F、G、 … … B、C、D相对应,即相差4个 字母顺序。这条规则就是加密算法,其中4即为密钥。
明文字母 an bo cp dq er fs gt hu iv jw xk ly mz 密文字母 RE FS GT HU IV JW KX LY MZ NA OB CP QD
6
电子商务的安全要求分为:EC交易方自身网络安全、电子交易数据的传输安全、电子商务的支付安全
二、电子商务的安全要求
在网络基础设施上开展电子交易
EC交易方
EC交易方
Interne t 或其他 网络设
电子商务安全》教案
电子商务安全》教案第一章:电子商务安全概述1.1 电子商务安全的基本概念1.2 电子商务安全的重要性1.3 电子商务安全的发展历程1.4 电子商务安全的研究内容第二章:电子商务安全技术2.1 密码技术2.2 数字签名技术2.3 安全套接层(SSL)技术2.4 防火墙技术第三章:电子商务安全协议3.1 安全电子交易(SET)协议3.2 安全超文本传输(S)协议3.3 安全邮件(SMTP)协议3.4 虚拟专用网络(VPN)协议第四章:电子商务安全威胁与防护4.1 电子商务安全威胁分类4.2 常见电子商务安全威胁及其防护措施4.3 电子商务安全防护策略4.4 电子商务安全防护技术第五章:电子商务安全管理与法律规范5.1 电子商务安全管理的重要性5.2 电子商务安全管理体制与机构5.3 电子商务安全法律法规5.4 电子商务安全道德规范与教育第六章:电子商务安全评估与认证6.1 电子商务安全评估体系6.2 电子商务安全认证机构6.3 电子商务安全认证流程6.4 电子商务安全认证标准第七章:电子商务支付系统安全7.1 电子支付系统概述7.2 电子支付系统安全威胁7.3 电子支付系统安全技术7.4 电子支付系统安全协议第八章:电子商务数据安全与隐私保护8.1 电子商务数据安全概述8.2 电子商务数据加密技术8.3 电子商务隐私保护技术8.4 电子商务数据安全与隐私保护策略第九章:电子商务安全审计与监控9.1 电子商务安全审计的重要性9.2 电子商务安全审计方法与技术9.3 电子商务安全监控系统9.4 电子商务安全事件应急处理第十章:电子商务安全发展趋势与挑战10.1 电子商务安全发展趋势10.2 电子商务安全技术发展前景10.3 电子商务安全面临的挑战10.4 我国电子商务安全发展战略与政策第十一章:移动电子商务安全11.1 移动电子商务安全背景11.2 移动设备安全威胁与防护11.3 移动支付安全技术11.4 移动应用程序安全第十二章:云计算与大数据环境下的电子商务安全12.1 云计算与大数据简介12.2 云计算与大数据环境下的安全挑战12.3 云计算与大数据安全技术12.4 云计算与大数据环境下电子商务安全策略第十三章:物联网与电子商务安全13.1 物联网基本概念13.2 物联网在电子商务中的应用13.3 物联网安全威胁与防护13.4 物联网电子商务安全发展趋势第十四章:电子商务安全国际标准与政策法规14.1 国际电子商务安全标准14.2 国际电子商务安全政策法规14.3 我国电子商务安全政策法规14.4 电子商务安全国际合作与挑战第十五章:电子商务安全案例分析与实践15.1 电子商务安全案例概述15.2 电子商务安全事件原因与影响15.3 电子商务安全防护措施与经验教训15.4 电子商务安全实践项目与实训重点和难点解析1. 电子商务安全的基本概念、重要性、发展历程和研究内容是理解电子商务安全领域的基石,需要重点掌握。
2024年电子商务的安全协议分析
2024年电子商务的安全协议分析合同目录第一章:引言1.1 研究背景1.2 研究目的与意义1.3 研究范围与方法论第二章:电子商务概述2.1 电子商务定义2.2 电子商务的发展历程2.3 当前电子商务的全球趋势第三章:电子商务安全协议基础3.1 安全协议的定义与重要性3.2 常见的电子商务安全协议3.3 安全协议的工作原理第四章:SSL/TLS协议分析4.1 SSL/TLS协议概述4.2 SSL/TLS握手过程4.3 SSL/TLS在电子商务中的应用第五章:安全套接层协议(IPSec)5.1 IPSec协议的功能与架构5.2 IPSec在数据传输中的应用5.3 IPSec与电子商务数据保护第六章:电子商务中的第三方支付安全6.1 第三方支付平台的安全挑战6.2 第三方支付的安全机制6.3 用户在使用第三方支付时的安全措施第七章:电子商务个人信息保护7.1 个人信息保护的重要性7.2 相关法律法规与标准7.3 实施个人信息保护的策略第八章:电子商务安全的风险评估与管理8.1 安全风险的识别与评估8.2 安全风险管理策略8.3 风险缓解措施与应急响应第九章:电子商务安全协议的法律与伦理问题9.1 法律框架下的电子商务安全9.2 伦理问题在电子商务安全中的角色9.3 法律与伦理的综合考量第十章:电子商务安全协议的未来发展10.1 技术发展趋势10.2 安全协议的创新方向10.3 面临的挑战与机遇第十一章:案例研究11.1 国内外电子商务安全协议案例11.2 案例分析与经验总结11.3 对电子商务安全协议发展的启示第十二章:结论与建议12.1 研究结论12.2 对电子商务平台的建议12.3 对政策制定者的建议第十三章:签字栏13.1 研究者签字13.2 审核者签字13.3 签字日期13.4 签订地点请注意,这个目录是针对“2024年电子商务的安全协议分析”这一标题设计的,它是一个研究性文件的目录,而不是一个合同的目录。
电子商务安全技术实用教程第3章
防火墙应用的局限性
(1)不能防范不经过防火墙的攻击 (2)不能解决来自内部网络的攻击和安全问题
(3)不能防止受病毒感染的文件的传输
(4)不能防止数据驱动式的攻击 (5)不能防止系统安全体系不完善的攻击
3.防火墙的安全策略
(1)一切未被允许的都是禁止的(限制政策)
防火墙只允许用户访问开放的服务, 其它未开放的服务都是 禁止的。这种策略比较安全,因为允许访问的服务都是经过 筛选的, 但限制了用户使用的便利性。 防火墙允许用户访问一切未被禁止的服务, 除非某项服务被 明确地禁止。这种策略比较灵活, 可为用户提供更多的服务, 但安全性要差一些。
2. 网络安全的特征
(1)保密性:也称机密性,是强调有用信息只被授权对象使用的 安全特征。
(2)完整性:是指信息在传输、交换、存储和处理过程中,保持 信息不被破坏或修改、不丢失和信息未经授权不能改变的特性。 (3)可用性:也称有效性,指信息资源可被授权实体按要求访问、 正常使用或在非正常情况下能恢复使用的特性。 (4)可控性:是指信息系统对信息内容和传输具有控制能力的特 性,指网络系统中的信息在一定传输范围和存放空间内可控程度。 (5)可审查性:又称拒绝否认性、抗抵赖性或不可否认性,指网 络通信双方在信息交互过程中,确信参与者本身和所提供的信息 真实同一性。
(2)一切未被禁止的都是允许的(宽松政策)
3.2.2 防火墙的分类与技术
1.防火墙的分类
(1)软件防火墙与硬件防火墙
(2)主机防火墙与网络防火墙
(1)包过滤技术 (2)代理服务技术 (3)状态检测技术
2.防火墙的技术
(4)NAT技术
第三章 电子商务 安全技术
包(分组)过滤防火墙
应用级网关
代理服务型防火墙
• 包过滤防火墙是在网络层对数据包实施有选择的放行。 事先在防火墙内设定好一个过滤逻辑,指定允许哪些类 型的数据包可以流入或流出内部网络。对于通过防火墙 的数据流中的每一个数据包,根据其源地址、目的地址、 所用的TCP端口与TCP链路状况等方面进行检查,再确定 该数据包是否可以通过。例如:只接收来自某些指定的 IP地址的数据包,或者内部网络的数据包只可以流向某 些指定的端口,以及哪些类型数据包的传输应该被拦截。 • 数据包过滤的防火墙安装在网络的路由器上,网络之间 的各个路由器总是备有一份称之为“黑名单”的访问表, 根据这张访问表对通过路由器的各种数据进行检查和过 滤,凡是符合条件的就放行。
加密的目的是为了防止合法接收者之外的人获
取信息系统中的机密信息。
在加密和解密过程中,都要涉及三个要素:信 息(明文 / 密文)、算法(加密算法 / 解密算
法)、密钥(加密密钥 / 解密密钥)。
算法是将明文(或者可以理解的信息)与一窜
参数(密钥)的结合,产生不可理解的密文的
过程(步骤)。密钥是一组信息编码,一般是
应用级网关也是通过设置过滤逻辑条件来限制数
据和服务的进出。它在网络的应用层上工作,可
以针对不同的服务协议设置不同的过滤条件。同
时具备登记和审核功能,可以对通过它的信息和
服务进行记录,形成分析报告。 应用级网关的缺陷是:由于针对不同的协议和应 用要设置不同的代理软件,因而实现起来较复杂, 且效率低。一般安装在专用工作站系统上。
务能做到以下要求:
1. 交易方自身网络安全需求:
计算机网络设备安全;计算机网络系统安全、数
据库安全等。特征:针对计算机网络本身可能 存在的安全问题,实施网络安全增强方案,以 保证计算机网络自身的安全。
电子商务单元自测题——电子商务安全单元测试
自测题第三章电子商务安全单元测试09十道单项选择自测题:每题10分(1)当发件人发送安全电子邮件时,应该使用什么密钥对电子邮件进行数字签名?收件人数字证书的公钥;收件人数字证书的私钥;发件人数字证书的公钥;发件人数字证书的私钥不知道;(2)通常用来验证信息完整性的技术措施是:数字证书;防火墙;数字摘要; RSA加密法;不知道;(3)如果电子商务面临着下面两个方面的威胁:一是交易双方进行交易的内容被第三方窃取;第二,交易一方提供给另一方使用的文件被第三方非法使用。
这是下列哪个方面的问题:信息泄露;信息篡改;信息破坏;抵赖行为;不知道;(4)当发件人发送加密的安全电子邮件时,应该使用什么密钥对电子邮件进行加密?发件人数字证书的公钥;发件人数字证书的私钥;收件人数字证书的公钥;收件人数字证书的私钥不知道;(5)在下列技术中,通常用来进行交易者网上身份确认的技术措施是:数字签名;数字时间戳;数字摘要; RSA加密法;不知道;(6)在电子商务中,用来保证交易时间不可否认性的技术措施是:数字签名;数字时间戳;数字摘要;公钥加密;不知道;(7)数字签名建立在公钥加密体制基础上,是公钥加密技术的另一类应用。
它把下列的哪项技术结合起来,形成了实用的数字签名技术。
身份认证技术;数字证书技术;安全电子交易协议;数字摘要技术;不知道;(8)在电子商务中,用来保证信息保密性的技术措施是:数字签名;数字时间戳;数字摘要;加密技术;不知道;(9)当客户机与服务器在SSL协议下对话时,在网页上以什么标志显示?在浏览器状况栏上显示蓝色的锁形标志;在浏览器状况栏上显示金黄色的锁形标志;在浏览器状况栏上显示红色的锁形标志;在浏览器状况栏上显示红色的证书牌标志;不知道;(10)SSL协议通信使用的端口号为:__________80 ; 443; 21; 8080;不知道;第三章电子商务安全单元测试10十道单项选择/判断自测题:每题10分(1)电子商务认证中心的核心职能是:__________提供电子货币;提供安全检测服务;签发与管理用户的数字证书;不知道;(2)我国银行系统的安全认证活动主要由下列哪一家机构负责:“网证通”(NETCA)电子商务认证系统;天威诚信CA认证中心;中国金融认证中心(CFCA);中国数字认证网;不知道;(3)PKI是指:__________公共密钥基础设施;对称加密技术;认证中心;不知道;(4)我们常用的个人数字证书的内部格式遵循:__________X.12标准; UN/EDIFACT; X.509标准;不知道;(5)目前使用最为普及的HASH函数有MD5和__________SHA-0; SHA-1; SHA-512; MD4;不知道;(6)数字证书并不保证所下载软件的功能或质量。
电子商务信息安全管理规定
电子商务信息安全管理规定随着互联网和电子商务的快速发展,信息安全问题日益突出。
为了维护电子商务的健康有序发展,保护个人信息安全,加强网络安全防护,特制定本《电子商务信息安全管理规定》。
第一章总则第一条:为保障电子商务信息的安全,促进电子商务行业的发展,本规定应用于电子商务活动中的信息安全管理。
第二条:本规定所称电子商务信息安全,包括但不限于用户个人信息的保护、网络攻击防护、商业秘密的保护等。
第三条:电子商务活动主体应制定信息安全管理制度,明确信息安全的责任与义务。
第二章电子商务信息安全管理的原则第四条:信息安全管理应遵循法律法规的规定,坚持依法合规的原则。
第五条:信息安全管理应实施全员参与的原则,加强信息安全意识教育和培训。
第六条:信息安全管理应注重风险评估与控制,及时采取措施防止信息安全事件的发生。
第三章电子商务信息安全管理的措施第七条:电子商务活动主体应当采取技术措施,确保信息的可靠性、完整性和可用性。
第八条:电子商务活动主体应明确信息安全的责任部门,建立完善的信息安全管理机构和制度。
第九条:电子商务活动主体应制定网络安全应急预案,做好信息安全事件的应对工作。
第四章电子商务信息安全管理的监督与处罚第十条:国家有权对电子商务活动主体进行信息安全管理的监督检查,发现问题应及时处理,妥善解决。
第十一条:电子商务活动主体违反本规定的规定,将受到相应的处罚,包括但不限于警告、罚款、吊销许可证等。
第五章附则第十二条:本规定自发布之日起生效。
第十三条:对于不遵守本规定的电子商务活动主体,相关执法机关有权采取相应措施进行处罚。
第十四条:本规定解释权归国家相关主管部门所有。
结语《电子商务信息安全管理规定》的出台,标志着电子商务信息安全管理正式进入规范化轨道。
只有保障用户个人信息的安全,加强网络防护,才能为电子商务行业的发展提供更加有力的保障。
同时,对于不遵守规定的电子商务活动主体,必须加强监督和处罚,以维护整个行业秩序的稳定。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第三章电子商务安全【学习目标】1.掌握电子商务安全的要素;2.了解防火墙的应用,熟悉防火墙的原理;3.掌握对称加密和非对称加密的基本原理,以及两种加密的结合使用;4.了解数字证书技术及身份认证技术;5.理解电子商务安全协议。
【技能要求】1.能够使用相关安全软件,熟悉防火墙的配置;2.能够申请数字证书,安装、使用数字证书。
【核心概念】防火墙对称加密非对称加密 CA认证数字签名 SSL SET【开篇案例】“棱镜门”敲响了网络安全的警钟2013年6月,前中情局(CIA)职员爱德华·斯诺登将两份绝密资料交给英国《卫报》和美国《华盛顿邮报》,并告之媒体何时发表。
按照设定的计划,2013年6月5日,英国《卫报》先扔出了第一颗舆论炸弹:美国国家安全局有一项代号为“棱镜”的秘密项目,要求电信巨头威瑞森公司必须每天上交数百万用户的通话记录。
6月6日,美国《华盛顿邮报》披露称,过去6年间,美国国家安全局和联邦调查局通过进入微软、谷歌、苹果、雅虎等九大网络巨头的服务器,监控美国公民的电子邮件、聊天记录、视频及照片等秘密资料。
美国舆论随之哗然。
2013年9月28日,美国“棱镜”项目揭秘者斯诺登提供的文件让美国国安局活动再度曝光。
美国国家安全局2010年起即用收集到的资料,分析部分美国公民的“社交连结,辨识他们来往对象、某个特定时间的所在地点、与谁出游等私人信息”。
该文件显示,“国安局官员解禁之后,2010年11月起开始准许以海外情报意图来分析电话以及电邮记录,监视美国公民交友网络”。
根据美国国安局2011年1月的备忘录,政策转向目的是在帮助该局“发现并追踪”海外情报目标和美国人民之间的关联。
该文件指出,美国国安局获得授权,可在不检查每个电邮地址、电话号码或任何指针的“外来性”情况下,“大规模以图表分析通讯原数据”。
美国决策者意识到,互联网在越来越多的国际事件上可以成为达到美国政治目的、塑造美国全球领导力的有效工具。
2011年,以“脸谱网”(facebook)和“推特”(twitter)为代表的新媒体,贯穿埃及危机从酝酿、爆发、升级到转折的全过程,成为事件发展的“催化剂”及反对派力量的“放大器”。
同样,类似的事件也在突尼斯和伊朗等国都上演过。
这项代号为“棱镜”(PRISM)的高度机密的行动此前从未对外公开。
《华盛顿邮报》获得的文件显示,美国总统的日常简报内容部分来源于此项目,该工具被称作是获得此类信息的最全面方式。
一份文件指出,“国家安全局的报告越来越依赖‘棱镜’项目。
该项目是其原始材料的主要来源。
报道刊出后外界哗然。
保护公民隐私组织予以强烈谴责,表示不管奥巴马政府如何以反恐之名进行申辩,不管多少国会议员或政府部门支持监视民众,这些项目都侵犯了公民基本权利。
这是一起美国有史以来最大的监控事件,其侵犯的人群之广、程度之深让人咋舌。
第一节电子商务安全概述随着互联网的飞速发展与广泛应用,电子商务的应用前景越来越广阔,然而它的安全问题也变得日益严重,在互联网环境下开展电子商务,客户、商家、银行等参与者都对自身安全能否得到保障存在担心。
如何创造安全的电子商务应用环境,已经成为社会、企业和消费者共同关注的问题。
电子商务安全是一个多层次、多方位的系统的概念:广义上讲,它不仅与计算机系统结构有关,还与电子商务应用的环境、操作人员素质和社会因素有关,包括电子商务系统的硬件安全、软件安全、运行安全及电子商务立法;狭义上讲,它是指电子商务信息的安全,主要包括信息的存储安全和信息的传输安全。
一、电子商务安全要素电子商务安全是一个复杂的系统问题,在开展电子商务的过程中会涉及以下几个安全性方面的要素:可靠性、真实性、机密性、完整性、不可否认性。
(一)可靠性电子商务系统的可靠性是指为防止计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒与自然灾害等所产生的潜在威胁,通过控制与预防等来确保系统安全可靠。
电子商务系统的安全是保证数据传输与存储以及电子商务完整性检查的基础。
系统的可靠性可以通过网络安全技术来实现。
(二)真实性交易的真实性是指商务活动中交易者身份是真实有效的,也就是要确定交易双方是真实存在的。
网上交易的双方可能素昧平生、相隔千里,要进行成功交易的前提条件是要能确认对方的身份是否真实可信。
身份认证通常采用电子签名技术、数字证书来实现。
(三)机密性信息的机密性是指交易过程中必须保证信息不会泄露给非授权的人或实体。
电子商务的交易信息直接代表着个人、企业的商业机密。
个人的信用卡号和密码在网上传送时如被他人截获,就可能被盗用;企业的订货和付款信息如被竞争对手获悉,该企业就可能贻误商机。
电子商务则建立在一个较为开放的网络环境上,商业保密就成为电子商务全面推广应用的重要障碍。
因此要预防非法的信息存取和信息在传输过程中被非法窃取,确保只有合法用户才能看到数据,防止泄密事件。
信息的机密性的保护一般通过数据加密技术来实现。
(四)完整性信息的完整性是指数据在传输或存储过程中不会受到非法修改、删除或重放,以确保信息的顺序完整性和内容完整性。
电子商务简化了传统的贸易过程,减少了人为的干预,但却需要维护商业信息的完整与一致。
由于数据输入时的意外差错或欺诈行为以及数据传输过程中信息丢失、重复或传送的次序差异,都有可能导致贸易各方收到的信息不一致。
信息的完整性将影响到贸易各方的交易与经营策略,保持这种完整性是电子商务应用的基础。
数据完整性的保护通过安全散列函数(如数字摘要)与电子签名技术来实现。
(五)不可否认性交易的不可否认性是指保证发送方不能否认自己发送了信息,同时接收方也不能否认自己接收的信息。
在传统的纸面贸易方式中,贸易双方通过在交易合同、契约等书面文件上签名,或是通过盖上印章来鉴别贸易伙伴,以确定合同、契约、交易的可靠性,并能预防可能的否认行为的发生。
在电子商务的应用环境中,通过手写签名与印章鉴别已不可能,就需要其他方法实现交易的不可否认。
因此,电子商务交易的各方在进行数据信息传输时,必须带有自身特有的,无法被别人复制的信息,以防发送方否认曾经发生过的信息,或接收方否认曾经接收到的信息,确保在交易发生纠纷时可以拿出证据。
交易的不可否认性是通过电子签名技术来实现的。
二、电子商务安全体系电子商务的核心是通过网络技术来传递商业信息并开展交易,所以解决电子商务系统的硬件安全、软件安全和系统运行安全等实体安全问题成为电子商务安全的基础。
电子商务系统硬件(物理)安全是指保护计算机系统硬件的安全,包括计算机的电器特性、防电防磁以及计算机网络设备的安全、受到物理保护而免于破坏、丢失等,保证其自身的可靠性和为系统提供基本安全机制。
电子商务系统软件安全是指保护软件和数据不被篡改、破坏和非法复制。
系统软件安全的目标是使计算机系统逻辑上安全,主要是使系统中信息的存取、处理和传输满足系统安全策略的要求。
根据计算机软件系统的组成,软件安全可分为操作系统安全、数据库安全、网络软件安全、通信软件安全和应用软件安全。
电子商务系统运行安全是指保护系统能连续正常地运行。
对企事业单位来说,为了保证电子商务中计算机与网络实体自身的安全,实际应用中一般选择并综合各类实体安全技术形成一个综合安全体系。
这些技术包括数据备份、系统(或者数据库、服务)用户权限管理、服务器配置、VPN、防火墙、入侵检测系统(IDS)、病毒防范等。
一般的电子商务客户端使用防火墙、杀毒软件、用户管理等技术来保证安全,而服务器端则会采用代理服务型防火墙、入侵检测技术、双机热备份、数据库与服务的用户权限管理等技术来防止黑客攻击,实现服务器安全。
实现了实体安全,电子商务系统的可靠性就得到了较好的保证,但交易的真实性、机密性、完整性和不可否认性并未能实现,这就需要使用加密技术、电子签名技术和数字认证技术等来构建一个科学、合理的电子商务安全体系。
第二节电子商务安全技术一、防火墙技术防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境中,尤其是在连接到互联网的内部网络中,防火墙技术使用最普遍。
网络防火墙是指在两个网络之间加强访问控制的一整套装置,即防火墙是构造在内部网和外部网之间的保护层,强制所有的连接都必须经过此保护层,并在此进行安全检查和连接(如图3-1所示)。
只有被授权的通信才能通过此保护层,从而保护内部网资源免遭非法入侵。
图3-1 防火墙的应用示意图(一)防火墙的安全策略为网络建立防火墙,首先需决定此防火墙将采取何种安全策略。
通常防火墙采用的安全策略有如下两个基本准则:1.一切未被允许的访问就是禁止的基于该准则,防火墙要封锁所有的信息流,然后对希望开放的服务逐步开放。
这是一种非常实用的方法,可以形成一个安全的环境,但其安全是以牺牲用户使用的方便为代价的,用户所能使用的服务范围受到较大的限制。
2.一切未被禁止的访问就是允许的基于该准则,防火墙开放所有的信息流,然后逐项屏蔽有害的服务。
这种方法构成了一种灵活的应用环境,但很难提供可靠的安全保护,特别是当保护的网络范围增大时。
总之,从安全性角度考虑,第一种策略更可取一些。
因为我们一般很难找出网络的所有漏洞,从而也就很难排除所有的非法服务。
而从灵活性和使用方便性的角度考虑,则第二种策略更合适。
(二)防火墙的主要类型防火墙有多种类型,但大体上可以划分为三类:一类是基于包过滤(packet filter)的防火墙,通常直接转发报文,对用户完全透明,速度较快;第二类是基于代理服务(proxy service)的防火墙,通过代理服务器建立连接,可以有更强的身份验证和日志功能;第三类则是上述两种的结合,即复合型防火墙。
1.包过滤防火墙包过滤防火墙是最简单的防火墙,通常只包括对源和目的IP 地址及端口的检查(如图3-2所示)。
对用户来说,这些检查是透明的。
包过滤防火墙比其他模式的防火墙有着更高的网络性能和更好的应用程序透明性。
但是,这种简单性带来了一个严重的问题:过滤器不能在用户层次上进行安全过滤,即在同一台机器上,过滤器分辨不出是哪个用户的报文。
包过滤器通常是放在路由器上,大多数路由器都缺省地提供了包过滤功能。
现在已出现了智能包过滤器,它与简单包过滤器相比,具有解释数据流的能力。
然而,智能包过滤器同样不能对用户进行区分。
2.代理服务型防火墙代理服务型防火墙使用一个客户程序与特定的中间结点(防火墙)连接,然后中间结点与服务器进行实际连接(如图3-3所示)。
使用代理服务型防火墙,内部网络与外部网络之间不存在直接连接,因此即使防火墙出了问题,外部网络也无法与内部网络连接,通常称内、外网之间的中间结点为双端主机。
代理服务器提供了详细的日志和审计功能,大大提高了网络的安全性,也为改进现有软件的安全性能提供了可能。