1、1复习提问:1、电子商务是否等同与电子商务?2、请你列举出现实生活中的电子支付实例?导入新课:用户认为目前网上交易存在的最大问题是什么?1、安全性得不到保障:23.4%;2、付款不方便:10.8%3、产品质量、售后服务及厂商信用得不到保障:39.3%4、送货不及时:8.6%5、价格不够诱人:10.8%6、网上提供的信息不可靠:6.4%7、其它:0.7%讲授新课: 第三章 网络贸易(三)一、电子商务安全问题的提出电子商务是通过电子方式处理和传递数据,包括文本、声音和图像,它涉及许多方面的活动。电子商务的发展势头非常惊人,但它的产值在全球生产总值中却只占极小的一部分,原因就在于电子商务的安全问题。
2、当许多传统的商务方式应用在 Internet 上时,便会带来许多源于安全方面的问题,如传统的贷款和借款卡支付的保证方案及数据保护方法、电子数据交换系统、对日常信息安全的管理等。如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为影响到电子商务健康发展的关键性课题。电子商务顺利开展的核心和关键问题是保证交易的安全性,这是网上交易的基础,也是电子商务技术的难点所在。 安全性的术语(1)密码安全通信安全的最核心部分。(2)计算机安全一种确定的状态,使计算机化数据和程序文件不致被非授权人员、计算机或其程序访问、获取或修改。(3)网络安全包括所有保护网络的措施。(4)信息安全保护信息
3、财富,使之免遭偶发的或有意的非授权泄露、修改、破坏或处理能力的丧失。 密码安全、计算机安全、网络安全和信息安全之间的关系:2触发安全问题的原因(1)黑客的攻击目前,世界上有 20 多万个黑客网站,攻击方法成千上万。 (2)管理的欠缺网站或系统的严格管理是企业、机构及用户免受攻击的重要措施。(3)网络的缺陷因特网的共享性和开放性使网上信息安全存在先天不足。(4) 软件的漏洞或“后门”操作系统和应用软件往往存在漏洞或“后门” 。(5)人为的触发基于信息战和对他国监控的考虑,个别国家或组织有意识触发网络信息安全问题。 二、电子商务安全的基本需求电子商务的安全需求包括两方面:电子交易的安全需求和计算机
4、网络系统的安全1电子交易的安全需求(1)身份的可认证性-确认通信双方的合法身份在双方进行交易前,首先要能确认对方的身份,要求交易双方的身份不能被假冒或伪装。(2)信息的保密性-保持个人的、专用的和高度敏感数据的机密要对敏感重要的商业信息进行加密,即使别人截获或窃取了数据,也无法识别信息的真实内容,这样就可以使商业机密信息难以被泄露。 (3)信息的完整性-保证所有存储和管理的信息不被篡改交易各方能够验证收到的信息是否完整,即信息是否被人篡改过,或者在数据传输过程中是否出现信息丢失、信息重复等差错。 (4)不可抵赖性-防止通信或交易双方对已进行业务的否认在电子交易通信过程的各个环节中都必须是不可否
5、认的,即交易一旦达成,发送方不能否认他发送的信息,接收方则不能否认他所收到的信息。 (5)可访问性:保证系统、数据和服务能由合法的人员访问;(6)防御性:能够阻挡不希望的信息或黑客;(7)合法性:保证各方的业务符合可适用的法律和法规;2. 计算机网络系统的安全一般计算机网络系统普遍面临的安全问题:(1)物理实体的安全设备的功能失常;电源故障;由于电磁泄漏引起的信息失密;搭线窃听。(2)自然灾害的威胁各种自然灾害、风暴、泥石流、建筑物破坏、火灾、水灾、空气污染等对计算机网络系统都构成强大的威胁。(3)黑客的恶意攻击所谓黑客,现在一般泛指计算机信息系统的非法入侵者。黑客的攻击手段和方法多种多样,一
6、般可以粗略的分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。 (4)软件的漏洞和“后门” (5)网络协议的安全漏洞(6)计算机病毒的攻击计算机病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响3计算机使用并且能够自我复制的一组计算机指令或者程序代码。 ” 中华人民共和国计算机信息系统安全保护条例计算机病毒的破坏目标:扰乱屏幕显示;干扰键盘操作;使计算机的喇叭发出响声;攻击 CMOS;计算机速度下降;干扰打印机。计算机病毒的攻击部位:攻击系统数据区;攻击文件;
7、攻击内存;干扰系统运行;攻击磁盘。三、电子商务安全隐患安全隐患网络的安全因素是多方面的。从网络组成结构上分有计算机信息系统的,有通信设备设施的;从内容上分有技术上的和管理上的;从管理上分又有内部的和外部的等。具体来说主要有五个方面的问题: 1网络系统软件自身的安全问题网络系统软件的自身安全与否,网络系统软件的安全功能较少或不全,以及系统设计时的疏忽或考虑不周等,都直接关系网络安全。(1)操作系统的体系结构造成其本身的不安全性;(2)操作系统的一些功能带来的不安全因素;(3)操作系统支持在网络的节点上进行远程进程的创建;(4)操作系统运行时一些系统进程一旦满足条件即可运行;(5)操作系统安排的无
8、口令入口;(6)TCP/IP 等协议包含许多不安全的因素。2网络系统中数据库的安全设计问题对数据的保护安全性、完整性和并发控制。(1)数据的安全性:防止数据库被故意的破坏和非法的存取。(2)数据的完整性:防止数据库中存在不符合语义的数据,防止由于错误信息的输入、输出而造成无效操作和错误结果。(3)并发控制:数据库是一个共享资源,在多个用户程序并行地存取数据库时,就可能会产生多个用户程序通过网络并发地存取同一数据的情况,若不进行并发控制就会产生使取出和存入的数据不正确,破坏了数据库的一致性。 3传输线路安全与质量问题从安全的角度来说,没有绝对安全的通信线路。当线路的通信质量不好时,将直接影响联网
9、效果,严重的时候甚至导致网络中断。为保证好的通信质量和网络效果,就必须要有合格的传输线路,如尽量挑选最好的线4作为计算机联网专线,以得到最佳的效果。 4网络安全管理问题从加强安全管理的角度出发,网络安全首先是个管理问题,然后才是技术问题。 现有的信息系统绝大多数缺少安全管理员。网络由各种服务器、工作站、终端等集群而成,所以整个网络天然地继承了他们各自的安全隐患。 5其他威胁网络安全的典型因素有:计算机黑客;计算机病毒;窃听;部分对整体的安全威胁;内部人员作案;程序共享造成的冲突;互联网的潜在威胁,等等。四、电子商务安全的保障措施(一)技术措施1加密技术加密技术是认证技术及其他许多安全技术的基础
10、。“加密” ,简单地说,就是使用数学的方法将原始信息(明文)重新组织与变换成只有授权用户才能解读的密码形式(密文) 。而“解密”就是将密文重新恢复成明文。(1)对称密码体制加密密钥与解密密钥是相同的。密钥必须通过安全可靠的途径传递。由于密钥管理成为影响系统安全的关键性因素,使它难以满足系统的开放性要求。 (2)非对称密码体制把加密过程和解密过程设计成不同的途径,当算法公开时,在计算上不可能由加密密钥求得解密密钥,因而加密密钥可以公开,而只需秘密保存解密密钥即可。 2认证技术(1)认证的功能采用认证技术可以直接满足身份认证、信息完整性、不可否认和不可修改等多项网上交易的安全需求,较好地避免了网上
11、交易面临的假冒、篡改、抵赖、伪造等种种威胁。 (2)身份认证:用于鉴别用户身份 实现方式用户所知道的某种秘密信息;用户持有的某种秘密信息(硬件) ;用户所具有的某些生物学特征 (3)报文认证:用于保证通信双方的不可抵赖性和信息完整性 验证内容证实报文是由指定的发送方产生的;证实报文的内容没有被修改过;确认报文的序号和时间是正确的;(4)广泛使用的认证技术数字签名;数字摘要;数字证书;CA 安全认证体系。3安全电子交易协议目前有两种安全在线支付协议被广泛采用(1)SSL(Secure Sockets Layer,安全套接层)协议(2)SET(Secure Elecronic Transactio
12、n,安全电子交易)协议4黑客防范技术(1)安全评估技术通过扫描器发现远程或本地主机所存在的安全问题。5扫描器的一般功能:发现一个主机或网络的能力;发现什么服务正运行在这台主机上的能力;通过测试这些服务,发现漏洞的能力。扫描器的种类基于服务器的扫描器;基于网络的扫描器。(2)防火墙防火墙是一种用来加强网络之间访问控制的特殊网络设备,它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略进行检查,从而决定网络之间的通信是否被允许。防火墙能有效地控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。(3)入侵检测技术入侵检测系统(
13、IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括来自系统外部的入侵行为和来自内部用户的非授权行为。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。5、虚拟专网技术虚拟专用网(VPN)技术是一种在公用互联网络上构造专用网络的技术。将物理上分布在不同地点的专用网络,通过公共网络构造成逻辑上的虚拟子网,进行安全的通信。 6反病毒技术反病毒技术主要包括预防病毒、检测病毒和消毒等 3 种技术:预防病毒技术,它通过自身常驻系统内存优先获得系统的控
14、制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡)等; 检测病毒技术,它是通过对计算机病毒的特征来进行判断的技术,如自身校验、关键字、文件长度的变化等; 消毒技术,它通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文件的软件。 (二)管理措施企业在参与电子商务的一开始,就应当形成一套完整的、适应于网络环境的安全管理制度。1人员管理制度必须具有传统市场营销的知识和经验;必须具有相应的计算机网络知识和操作技能;多人负责原则、任期有限原则、最小权限原则。62保密制度安全级别一般分为三级:
15、绝密级;机密级;敏感级。3跟踪、审计、稽核制度跟踪制度日志机制;审计制度日志的检查审核;稽核制度稽核业务应用软件。4网络系统的日常维护制度硬件的日常管理和维护;软件的日常管理和维护;数据备份制度。5病毒防范制度给电脑安装防病毒软件;认真执行病毒定期清理制度;控制权限;高度警惕网络陷阱、木马、骗取信用卡帐号密码。6应急措施硬件的恢复;数据的恢复;瞬时复制技术、远程磁盘镜像技术、数据库恢复技术。(3)法律保障课堂练习:1、什么是防火墙?简述它的基本原理。2、简述防火墙的种类。课堂小结:了解网络的安全性,掌握防火墙的类型一特点,本章将为你解读中国电子商务的安全现状,主要以电子商务安全要求为主线,分开展开论述。作业布置:P19:2、3、4