風(fēng)險(xiǎn)控制-電子商務(wù)安全

《風(fēng)險(xiǎn)控制-電子商務(wù)安全》由會(huì)員分享，可在線閱讀，更多相關(guān)《風(fēng)險(xiǎn)控制-電子商務(wù)安全（42頁珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級(jí),第三級(jí),第四級(jí),第五級(jí),*,第,5,章 電子商務(wù)安全,電子商務(wù)安全概述,電子商務(wù)的安全問題,1,賣方面臨的問題,(1),系統(tǒng)數(shù)據(jù)被篡改。,(2),服務(wù)器被克隆。,(3),買方不誠信。,2,買方面臨的問題,(1),賣方不誠信。,(2),惡意攻擊。,第,5,章 電子商務(wù)安全,電子商務(wù)安全概述,電子商務(wù)的安全問題,3,信息傳輸問題,(1),冒名偷竊,(2),篡改數(shù)據(jù),(3),信息丟失,(4),信息傳遞過程中的破壞,(5),虛假信息,4,信用問題,(1),來自買方的信用問題,(2),來自賣方的信用風(fēng)險(xiǎn),(3),買賣雙方都存在抵賴的情況,第,5

2、,章 電子商務(wù)安全,電子商務(wù)安全概述,電子商務(wù)的安全體系,1,電子商務(wù)系統(tǒng)硬件安全,2,電子商務(wù)系統(tǒng)軟件安全,3,電子商務(wù)系統(tǒng)運(yùn)行安全,4,電子商務(wù)安全立法,第,5,章 電子商務(wù)安全,電子商務(wù)安全概述,電子商務(wù)的安全控制要求,信息傳輸,的保密性,信息的保密性是指信息在傳輸,過程或存儲(chǔ)中不被他人竊取,交易文件,的完整性,防止非法竄改和破壞網(wǎng)站上的信息,收到的信息與發(fā)送的信息完全一樣,信息的不,可否認(rèn)性,發(fā)送方不能否認(rèn)已發(fā)送的信息,接收方不能否認(rèn)已收到的信息,交易者身份,的真實(shí)性,交易者身份的真實(shí)性是指交易,雙方確實(shí)是存在的不是假冒的,SSL協(xié)議,安全套接層協(xié)議:適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸。保證信

3、息的真實(shí)性、完整性和保密性。但無法保證不可否認(rèn)性。,SET協(xié)議,安全電子交易（,SET,）：采用公鑰密碼體制和,X.509,數(shù)字證書標(biāo)準(zhǔn)。,分三個(gè)階段進(jìn)行：,第一階段是在購買請(qǐng)求階段,第二階段是在支付的認(rèn)定階段,第三階段是在受款階段,指導(dǎo)思想：在網(wǎng)絡(luò)邊界安全被攻破時(shí)，即使傳輸?shù)臄?shù)據(jù)被劫取，也無法識(shí)別和篡改。,第,5,章 電子商務(wù)安全,電子商務(wù)安全概述,電子商務(wù)的安全管理,1,保密制度,絕密級(jí)：網(wǎng)址、密碼不在因特網(wǎng)上公開，只限高層管理人員掌握,機(jī)密級(jí)：只限公司中層管理人員以上使用,秘密級(jí)：在因特網(wǎng)上公開，供消費(fèi)者瀏覽，但必須防止黑客侵入,2,網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度,（,1,）硬件的日常管理和維護(hù)

4、,（,2,）軟件的日常維護(hù)和管理,（,3,）數(shù)據(jù)備份制度。,（,4,）用戶管理,第,5,章 電子商務(wù)安全,電子商務(wù)安全概述,電子商務(wù)的安全管理,3,病毒防范制度,（,1,）給電腦安裝防病毒軟件,（,2,）不打開陌生電子郵件,（,3,）認(rèn)真執(zhí)行病毒定期清理制度,（,4,）控制權(quán)限,（,5,）高度警惕網(wǎng)絡(luò)陷阱,4,應(yīng)急措施,（1）,瞬時(shí)復(fù)制技術(shù),（2）,遠(yuǎn)程磁盤鏡像技術(shù),（3）,數(shù)據(jù)庫恢復(fù)技術(shù),第,5,章 電子商務(wù)安全,電子商務(wù)安全概述,電子商務(wù)的安全管理,5瀏覽器安全設(shè)置,（實(shí)驗(yàn)課練習(xí)）,（1）管理Cookie的技巧,（2）禁用或限制使用Java、Java小程序腳本,ActiveX控件和插件,（

5、3）調(diào)整自動(dòng)完成功能的設(shè)置,EC體驗(yàn)5-1:選擇網(wǎng)絡(luò)支持方式,操作流程,安全性評(píng)價(jià),金額限制,使用平臺(tái),支持網(wǎng)站范圍,其他,第三方支付,銀行卡網(wǎng)絡(luò)支付,收集支付,第,5,章 電子商務(wù)安全,電子商務(wù)安全技術(shù),數(shù)據(jù)加密技術(shù),加密技術(shù)，就是采用數(shù)學(xué)方法對(duì)原始信息,(,通常稱為“明文”,),進(jìn)行再組織，使得加密后在網(wǎng)絡(luò)上公開傳輸?shù)膬?nèi)容對(duì)于非法,接收者來說成為無意義的文字,(,加密后的信息通常稱為“密文”,),加密和解密,密碼系統(tǒng)的構(gòu)成,第,5,章 電子商務(wù)安全,電子商務(wù)安全技術(shù),數(shù)據(jù)加密技術(shù),在加密和解密的過程中，都要涉及信息,(,明文、密文,),、密鑰,(,加密密鑰、解密密鑰,),和算法,(,加密算

6、法、解密算法,),這三項(xiàng)內(nèi)容。,密鑰是用于加解密的一些特殊信息，它是控制明文與密文之間變換的關(guān)鍵，它可以是數(shù)字、詞匯或語句。密鑰分為加密密鑰和解密密鑰，完成加密和解密的算法稱為密碼體制，傳統(tǒng)的密碼體制所用的加密密鑰和解密密鑰相同，形成了,對(duì)稱式密鑰加密技術(shù)即通用密鑰密碼體制,。在一些新體制中，加密密鑰和解密密鑰不同，形成,非對(duì)稱式密碼加密技術(shù),，即,公開密鑰加密技術(shù),。,加密和解密,第,5,章 電子商務(wù)安全,電子商務(wù)安全技術(shù),數(shù)據(jù)加密技術(shù),通用密鑰密碼體制,通用密鑰密碼體制就是加密密鑰,Ke,和解密密,鑰,Kd,是通用的，即發(fā)送方和接收方使用同樣,密鑰的密碼體制，也稱之為“傳統(tǒng)密碼體制”,愷撒

7、密碼,第,5,章 電子商務(wù)安全,電子商務(wù)安全技術(shù),數(shù)據(jù)加密技術(shù),通用密鑰密碼體制,多表式密碼，正是為了克服上述缺點(diǎn)而開發(fā)的密碼技術(shù)。本例中，密鑰使用字符串,ENGLANDEN,，明文置換為密文的間隔是依次變化的。而且，密鑰宇串越長，明文中字符的頻率分布特性在密文中越不明顯，根據(jù)頻率分布破解密碼的可能性越小。,多表密碼,第,5,章 電子商務(wù)安全,電子商務(wù)安全技術(shù),數(shù)據(jù)加密技術(shù),通用密鑰密碼體制,目前得到廣泛應(yīng)用的，通用密鑰密碼體制的典型代表是,DES,算法。,DES,是由“轉(zhuǎn)置”方式和“換字”方式合成的通用密鑰算法，先將明文,(,或密文,),按,64,位分組，再逐組將,64,位的明文,(,或密文

8、,),，用,56,位,(,另有,8,位奇偶校驗(yàn)位，共,64,位,),的密鑰，經(jīng)過各種復(fù)雜的計(jì)算和變換，生成,64,位的密文,(,或明文,),，該算法屬于分組密碼算法。,DES,算法可以由一塊集成電路實(shí)現(xiàn)加密和解密功能。該算法是對(duì),二進(jìn)制,數(shù)字化信息加密及解密的算法，是通常數(shù)據(jù)通信中，用計(jì)算機(jī)對(duì)通信數(shù)據(jù)加密保護(hù)時(shí)使用的算法。,DES,算法在,1977,年作為數(shù)字化信息的加密標(biāo)準(zhǔn)，由美國商業(yè)部國家標(biāo)準(zhǔn)局制定標(biāo)準(zhǔn)，稱為“數(shù)據(jù)加密標(biāo)準(zhǔn)”。并以“聯(lián)邦信息處理標(biāo)準(zhǔn)公告”的名稱，于,1977,年,1,月,15,日正式公布。使用該標(biāo)準(zhǔn)，可以簡(jiǎn)單地生成,DES,密碼。,第,5,章 電子商務(wù)安全,電子商務(wù)安全技術(shù)

9、,數(shù)據(jù)加密技術(shù),公開密鑰密碼體制,公開密鑰密碼體制,的加密密鑰,Ke,與解,密密鑰,Kd,不同，只,有解密密鑰是保密,的，稱為私人密鑰,而加密密鑰完全公,開，稱為公共密鑰,第,5,章 電子商務(wù)安全,電子商務(wù)安全技術(shù),數(shù)據(jù)加密技術(shù),公開密鑰密碼體制,數(shù)字簽名,:,接收方,Y,想在通信文上署名時(shí)，可以用自己的私人密鑰,Kdy,生成署名文,V=D(KdY,，,M),，然后，將,V,和自己的姓名,Ny,一起傳輸給對(duì)方。接送方從姓名,NY,檢索出,Y,的公共密鑰,Key,，計(jì)算,M=E(Key,，,V),，如果復(fù)原的,M,文是有意義的信息，則可確認(rèn),Y,是合法的授信者，并確認(rèn)通信途中未發(fā)生篡改信息的事件

10、。,第,5,章 電子商務(wù)安全,電子商務(wù)安全技術(shù),數(shù)字摘要,安全,Hash,編碼法,(SHA),數(shù)字指紋,SHA,編碼法采用單向,Hash,函數(shù)將需,加密的明文“摘要”成一串,128bit,的密文,數(shù)字簽名,數(shù)字簽名技術(shù),第,5,章 電子商務(wù)安全,電子商務(wù)安全技術(shù),數(shù)字簽名技術(shù),數(shù)字時(shí)間戳,(Digital Time Stamp Service,DTS),是一個(gè)經(jīng)加密后形成,的憑證文檔，它包括三個(gè)部分：,一是需加時(shí)間戳的文件的摘要；,二是,DTS,收到文件的日期和時(shí)間,三是,DTS,的數(shù)字簽名。,數(shù)字時(shí)間戳,第,5,章 電子商務(wù)安全,電子商務(wù)安全技術(shù),數(shù)字證書,數(shù)字證書又稱為數(shù)字憑證，數(shù)字標(biāo)識(shí)是

11、,一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含公,開密鑰擁有者信息以及公開密鑰的文件,證書的版本信息；,證書的序列號(hào)；,證書所使用的簽名算法；,證書的發(fā)行機(jī)構(gòu)名稱；,證書的有效期；,證書所有人的名稱；,證書所有人的公開密鑰；,證書發(fā)行者對(duì)證書的簽名。,X.509,數(shù)字證書包含,第,5,章 電子商務(wù)安全,電子商務(wù)安全技術(shù),數(shù)字證書,（,1,）個(gè)人身份證書,（,2,）個(gè)人,Email,證書,（,3,）單位證書,（,4,）單位,Email,證書,（,5,）應(yīng)用服務(wù)器證書,（,6,）代碼簽名證書,數(shù)字證書的類型,（,1,）證書的頒發(fā),（,2,）證書的更新,（,3,）證書的查詢,（,4,）證書的作廢,（,5,）證書

12、的歸檔,認(rèn)證中心的作用,第,5,章 電子商務(wù)安全,電子商務(wù)安全技術(shù),信息加密與數(shù)字認(rèn)證的綜合應(yīng)用,(1),處理的前提條件,由,A,用戶往,B,用戶發(fā)送信息；,認(rèn)證中心,CA,的公共密鑰，,A,用戶和,B,用戶均已掌握。,(2)A,用戶獲取,B,用戶的公共密鑰,A,用戶從認(rèn)證中心接收到,B,用戶的數(shù)字證書，其中包括：,B,用戶的公共密鑰和認(rèn)證中心的數(shù)字簽名；,A,用戶使用,Hash,函數(shù)對(duì)數(shù)字證書做出摘要，數(shù)字證書中使用的數(shù)字簽名同樣使用的是,Hash,函數(shù)；,A,用戶用認(rèn)證中心的公共密鑰，對(duì)數(shù)字證書解密得到摘要，對(duì)這個(gè)摘要與中計(jì)算出的摘要是否,致進(jìn)行比較；,A,用戶如果認(rèn)為上述比較的結(jié)果是一致

13、的，則可確認(rèn)數(shù)字證書上的,B,用戶的公共密鑰是合法的；,（,3,）,A,用戶做出數(shù)字簽名,A,用戶用,SHA,加密方法做出信息文的摘要，此時(shí)使用被指定的,Hash,函數(shù)；,A,用戶使用自己的私人密鑰對(duì)摘要加密，得到的就是,A,用戶的數(shù)字簽名；,（,4,）,A,用戶信息的加密,A,用戶使用某個(gè)任意的通用密鑰以,DES,方式對(duì)信息的明文加密，得到密文；,（,5,）,A,用戶通用密鑰的加密,A,用戶將使用的通用密鑰，用,B,用戶的公共密鑰以,RSA,方式加密；,A,用戶把數(shù)字簽名、密文，以及在加密的通用密鑰發(fā)送給,B,用戶。,（,6,）,B,用戶獲取,A,用戶的公共密鑰,B,用戶從認(rèn)證中心接收到,A

14、,用戶的數(shù)字證書，其中包括：,A,用戶的公共密鑰和認(rèn)證中心的數(shù)字簽名；,B,用戶使用,Hash,函數(shù)由數(shù)字證書做出摘要，數(shù)字證書中的數(shù)字簽名同樣使用的是,Hash,函數(shù)；,B,用戶用認(rèn)證中心的公共密鑰，對(duì)數(shù)字證書解密得到摘要，對(duì)這個(gè)摘要與中計(jì)算出的摘要是否一致進(jìn)行比較；,B,用戶如果認(rèn)為上述比較的結(jié)果是一致的，則可確認(rèn)數(shù)字憑證上的,A,用戶的公共密鑰是合法的；,（,7,）,B,用戶通用密鑰的解密,B,用戶用自己的私人密鑰以,RSA,方式對(duì)加密的通用密鑰解密；,（,8,）,B,用戶信息的解密,B,用戶用在解密的通用密鑰，以,DES(,通用密鑰,),方式對(duì)信息的密文解密，得到明文；,（,9,）確認(rèn)

15、數(shù)字簽名,B,用戶做出信息的明文的摘要，此處使用指定的,Hash,函數(shù)；,B,用戶用,A,用戶的公共密鑰將數(shù)字簽名解密，得到摘要；,比較在和計(jì)算出的摘要是不是同樣的字符串，如果二者一致，則,A,用戶發(fā)送過來的信息是正確的；若不一致，則有兩種可能：一是,A,用戶的私人密鑰不正確,(,與公共密鑰不配對(duì),),，二是可能在什么地方信息文被篡改過。,經(jīng)過公共密鑰加密的通用密鑰稱為“,電子信封,”。,EC體驗(yàn)5-2:網(wǎng)上支付的安全性,首次使用需安裝的軟件,安全技術(shù),網(wǎng)上支付的確認(rèn)方式,用戶信息變更的操作,安全性評(píng)估,其他,第三方支付,銀行卡網(wǎng)絡(luò)支付,手機(jī)支付,SSL,協(xié)議,SSL,安全套接層協(xié)議適用于,點(diǎn)

16、對(duì)點(diǎn),之間的信息傳輸,通過在瀏覽器軟件和,WWW,服務(wù)器建立一條安全通道,SSL,協(xié)議,基本結(jié)構(gòu),SSL,記錄協(xié)議用來封裝高層的協(xié)議。,SSL,握手協(xié)議能夠通過特定的加密算法相互鑒別,第,5,章 電子商務(wù)安全,電子商務(wù)安全技術(shù),安全交易協(xié)議,SSL,協(xié)議,SSL 協(xié)議,是建立兩臺(tái)計(jì)算機(jī)之間的安全連接通道的屬會(huì)話層的協(xié)議。,在該通道上可透明加載任何高層應(yīng)用協(xié)議（如,FTP,、,TELNET,等）以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩浴?認(rèn)證用戶和服務(wù)器，它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機(jī)和服務(wù)器上。,加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)。,維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。,要求服務(wù)器端安裝數(shù)字證書，客戶端可選。,在涉及多方的電子交易中，,SSL,協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系；,SSL,協(xié)議有利于商家而不利于客戶，適合,B2B,；,SSL(Secure socket Layer),安全套接層協(xié)議主要是使用公開密鑰體制和,X.509,數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性，,它不能保證信息的不可抵賴性,，主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸，常用,Web Server,方式。,SSL