電子商務(wù)概論電子商務(wù)安全

21世紀(jì)電子商務(wù)與現(xiàn)代物流管理系列教材電子商務(wù)概論佟勇臣

編著中國水利水電出版社第5章

電子商務(wù)安全返回第5章

電子商務(wù)安全?

知識點電子商務(wù)安全的基本概念電子商務(wù)交易中的安全技術(shù)?難點電子商務(wù)安全及其重要性電子商務(wù)安全解決方案要求熟練掌握以下內(nèi)容：電子商務(wù)安全的主要問題和主要威脅電子商務(wù)安全及其重要性電子商務(wù)交易中的安全技術(shù)數(shù)字證書與認(rèn)證中心電子商務(wù)的安全協(xié)議與安全解決方案了解以下內(nèi)容：電子商務(wù)安全的主要問題5.1

電子商務(wù)安全概述5.1.1電子商務(wù)安全的主要問題電子商務(wù)各環(huán)節(jié)的安全電子商務(wù)安全措施（1）物理安全措施

（2）邏輯安全措施3.電子商務(wù)安全核心（1）保密性（2）完整性（3）即需性（4）有效性（7）不可抵賴性（5）真實性（6）可靠性4.電子商務(wù)安全策略5.1.2電子商務(wù)安全及其重要性電子商務(wù)安全現(xiàn)狀電子商務(wù)安全的重要性電子商務(wù)安全隱患5.1.3電子商務(wù)安全的主要威脅1.侵入系統(tǒng)4.身份仿冒2.監(jiān)聽掃描5.信息重發(fā)3.拒絕服務(wù)6.病毒攻擊5.2

電子商務(wù)交易中的安全技術(shù)防火墻技術(shù)防火墻的作用防火墻的類型（1）包過濾型

（2）應(yīng)用網(wǎng)關(guān)型防火墻的安全策略凡是沒有被列為允許訪問的服務(wù)都被禁止凡是沒有被列為禁止訪問的服務(wù)都是允許的5.2.2信息加密技術(shù)信息加密技術(shù)概述明文、密文、加密與解密算法加密技術(shù)對稱密鑰算法與非對稱密鑰算法2.對稱加密技術(shù)對稱密鑰加密法對稱加密技術(shù)的缺陷①密鑰傳輸?shù)陌踩?/p>

②密鑰的保管復(fù)雜③無身份鑒別3.非對稱加密技術(shù)非對稱密鑰加密法非對稱加密技術(shù)的優(yōu)缺點①減低密鑰傳遞風(fēng)險②識別私有密鑰使用者的身份對稱密鑰加密法與非對稱密鑰加密法的比較5.2.3信息加密技術(shù)的應(yīng)用信息摘要數(shù)字簽名（1

）偽造。防止接收方偽造文件，聲稱這是發(fā)送方發(fā)送的。（2

）抵賴。防止發(fā)送者或接收者事后不承認(rèn)自己曾經(jīng)發(fā)送或接收過文件。（3

）冒充。防止網(wǎng)上的用戶冒充另一個用戶來發(fā)送接收文件。（4

）篡改。防止接收者對收到的文件進行局部的篡改。數(shù)字時間戳數(shù)字信封5.2.4數(shù)字證書數(shù)字證書概述數(shù)字證書的內(nèi)容圖5.3證書查看窗口圖5.1

Internet屬性窗口 圖5.2

證書窗口3.數(shù)字證書的作用4.數(shù)字證書的類型個人數(shù)字證書（

Personal

Digital

ID）①個人安全電子郵件證書

②個人身份證書企業(yè)（服務(wù)器）證書（

Server

ID

）①客戶端數(shù)字證書

②服務(wù)器數(shù)字證書軟件數(shù)字證書（

Software

Digital

ID）5.數(shù)字證書的申請（1）個人數(shù)字證書的申請（2）服務(wù)器數(shù)字證書的申請（3）數(shù)字證書的申請步驟①下載并安裝CA的根證書③CA認(rèn)證中心進行身份審核②填交證書申請表④下載或領(lǐng)取證書5.2.5認(rèn)證中心認(rèn)證中心的概念認(rèn)證中心的主要功能（2）證書更新（1）證書核發(fā)證書查詢證書作廢（5）證書歸檔認(rèn)證中心的樹形驗證結(jié)構(gòu)認(rèn)證中心是身份認(rèn)證的機構(gòu)認(rèn)證中心是對公鑰進行公證的機構(gòu)6.國內(nèi)外認(rèn)證中心簡介（1

）國內(nèi)常見的CA中心①中國金融認(rèn)證中心（

），支持網(wǎng)上銀行、.網(wǎng)上證券交易、網(wǎng)上購物以及安全電子文件傳遞等應(yīng)用。②中國電子郵政安全證書管理中心（

cn

），發(fā)放并管理參與網(wǎng)上交易各方所需的安全數(shù)字證書。③中國數(shù)字認(rèn)證網(wǎng)（

），為交易雙方提供數(shù)字認(rèn)證，數(shù)字簽名，

CA

認(rèn)證，CA

證書，數(shù)字證書等服務(wù)。④北京數(shù)字證書認(rèn)證中心（

），為網(wǎng)上電子政務(wù)和電子商務(wù)活動提供數(shù)字證書服務(wù)。上海CA

認(rèn)證中心（

），是發(fā)放數(shù)字證書的機構(gòu)，保證電子商務(wù)和網(wǎng)上交易的安全。⑥天津CA

認(rèn)證中心（

/ca

），提供網(wǎng)上身份認(rèn)證、數(shù)字簽名、電子公證、安全電子郵件等服務(wù)。⑦廣東省電子商務(wù)認(rèn)證中心（

），提供電子商務(wù)認(rèn)證、安全產(chǎn)品和解決方案，制作、頒發(fā)、管理數(shù)字證書。⑧湖北省電子商務(wù)認(rèn)證中心(),

提供電子商務(wù)安全認(rèn)證。⑨海南省電子商務(wù)認(rèn)證中心（

），電子商務(wù)數(shù)字證書制做、頒發(fā)和管理。（2

）國外常見的CA中心5.3

電子商務(wù)的安全協(xié)議安全套接層協(xié)議安全套接層協(xié)議提供的服務(wù)①認(rèn)證用戶和服務(wù)器

②加密和隱藏傳輸?shù)臄?shù)據(jù)③維護數(shù)據(jù)的完整性安全套接層協(xié)議的運行步驟安全電子交易協(xié)議安全電子交易協(xié)議運行的目標(biāo)安全電子交易協(xié)議涉及的對象①消費者③收單銀行②在線商店④認(rèn)證中心（CA

）⑤電子貨幣發(fā)行公司，以及兼有電子貨幣發(fā)行功能的銀行3.安全電子交易協(xié)議涉及的范圍安全電子交易協(xié)議的交易流程安全電子交易協(xié)議的缺陷5.3.3其他安全協(xié)議安全超文本傳輸協(xié)議安全交易技術(shù)協(xié)議5.3.4使用SET協(xié)議的過程發(fā)送者使用SET

協(xié)議接收者使用SET協(xié)議5.4

電子商務(wù)安全解決方案電子商務(wù)服務(wù)器的保護對電子商務(wù)服務(wù)器的安全威脅（1

）WWW①WWW服務(wù)程序的安全威脅服務(wù)程序的安全漏洞②權(quán)限設(shè)置帶來的安全威脅③目錄顯示帶來的安全威脅④對用戶名和口令的安全威脅⑤FTP程序帶來的安全威脅⑥Cookies的安全威脅（2

）數(shù)據(jù)庫安全的威脅（3

）公用網(wǎng)關(guān)接口的安全2.電子商務(wù)服務(wù)器安全的解決方案訪問控制和認(rèn)證防火墻其他防護措施5.4.電2

子商務(wù)客戶機的保護1.對電子商務(wù)客戶機的安全威脅（1

）動態(tài)內(nèi)容對客戶機的安全威脅（2

）ActiveX控件對客戶機的安全威脅（3

）特洛伊木馬（4

）

Java應(yīng)用程序和Javascript對客戶機的安全威脅（5

）瀏覽器插件和電子郵件的附件對客戶機的安全威脅2.客戶機安全的保護措施（1

）設(shè)置Java運行程序安全區(qū)（2

）充分利用瀏覽器軟件自身具有的安全措施2

）Navigator1

）Internet

Explorer（3

）妥善處埋Cookie1

）Internet

Explorer對Cookie的控制2

）Navigator對Cookie的控制（4

）使用防病毒軟件和防火墻軟件5.4.3電子商務(wù)通信信道的安全保護1.對通信信道的安全威脅利用“探測程序”竊取信息對他人網(wǎng)站的破壞 （3

）電子偽裝破壞即需性訪問者使用不當(dāng)給黑客可乘之機2.通信信道安全的保護措施加密安全協(xié)議①安全套接層協(xié)議

②安全HTTP

協(xié)議使用可靠的傳輸控制協(xié)議小

結(jié)電子商務(wù)安全要素包括信息的保密性、完整性、不可修改性，收發(fā)信息者的身份確定、不可否認(rèn)，以及系統(tǒng)的可靠性與審查能力。本章介紹的都是電子商務(wù)安全的基本內(nèi)容，主要紹了電子商務(wù)安全現(xiàn)狀