【正文】 。 ? 要保證電子商務安全可靠，首先要明確電子商務的安全隱患、安全等級和采用安全措施的代價，再選擇相應的安全措施。 ? 隨著電子商務的發(fā)展，安全問題更加重要和突出，要想解決好這個問題，必須由安全技術和標準作保障。在認證操作和支付操作中間一般會有一個時間間隔，例如在每天的下班前請求銀行結一天的賬。商家可以立即請求銀行將錢從購物者的賬號轉移到商家賬號，也可以等到某一時間，請求成批劃賬處理。 ? ⑧商家給顧客裝運貨物．或完成訂購的服務。 ? ⑦商家發(fā)送訂單確認信息給顧客。通過支付網(wǎng)關到銀行，再到發(fā)卡機構確認，批準交易。在 SET中，訂單和付款指令由持卡人進行數(shù)字簽名，同時利用雙重簽名技術保證商家看不到持卡賬號信息。 ? ④持卡人選擇付款方式，此時 SET開始介入。訂單可通過電子化方式從商家傳過來，或由持卡人的電子購物軟件建立。 ? ②持卡人選擇要購買的商品。當包含持卡人帳號信息的訂單送到商家時，商家只能看到訂貨信息，而看不到持卡人的帳戶信息； ? ⑶持卡人與商家相互認證，以確任通信雙方的身份，一般由第三方機構負責為在線通信雙方提供信用擔保； ? ⑷要求軟件遵循相同的協(xié)議和報文格式，使不同廠商開發(fā)的軟件具有兼容和互操作功能，并且可以運行在不同的硬件和操作系統(tǒng)平臺上。由于它得到了 IBM、 HP、 Microsoft、 Netscape、 VeriFone、 GTE、 Terisa和 VeriSign等很多大公司的支持，已成為事實上的工業(yè)標準，目前已獲得 IETF標準的認可。 Microsoft在 Inter Explorer中采用這一技術。 SSL被用于 Netscape Communicator和 Microsoft IE瀏覽器，以完成需要的安全交易操作。 ? 安全超文本傳輸協(xié)議 (SHTTP) ? 依靠密鑰對的加密，保障 Web站點間的交易信息傳輸?shù)陌踩浴? 2022/2/9 遼寧石油化工大學計算機與通信工程學院 劉旸 50 安全電子交易 ? 部分告知 (Partial Order) ? 在網(wǎng)上交易中將最關鍵的數(shù)據(jù)如信用卡號碼及成交數(shù)額等略去，然后再用電話告之，以防泄密。持卡人將發(fā)給商家的信息 (報文 1)和發(fā)給第三方的信息 (報文 2)分別生成報文摘要 1和報文摘要 2，合在一起生成報文摘要 3，并簽名；然后，將報文 報文摘要2和報文摘要 3發(fā)送給商家，將報文 報文摘要 1和報文摘要 3發(fā)送給第三方；接收者根據(jù)收到的報文生成報文摘要，再與收到的報文摘要合在一起，比較結合后的報文摘要和收到的報文摘要 3，確定持卡人的身份和信息是否被修改過。 ? 在實際商務活動中經(jīng)常出現(xiàn)這種情形，即持卡人給商家發(fā)送訂購信息和自己的付款賬戶信息，但不愿讓商家看到自己的付款賬戶信息，也不愿讓處理商家倒款信息的第三方看到訂貨信息。發(fā)送者使用隨機產(chǎn)生的對稱密鑰加密數(shù)據(jù)，然后將生成的密文和密鑰本身一起用接收者的公開密鑰加密 (稱為電子信封 )并發(fā)送；接收者先用自己的專用密鑰解密電子信封，得到對稱密鑰，然后使用對稱密鑰解密數(shù)據(jù)。目前國外已有相應的產(chǎn)品提供了電子證書的功能作為身份鑒別的手段。電子證書能夠起到標識貿易方的作用，是目前電子商務廣泛采用的技術之一。CA核實某個用戶的真實身份以后，簽發(fā)一份報文給該用戶，以此作為網(wǎng)上證明身份的依據(jù)。 ? 數(shù)字簽名是基于非對稱加密技術的，存在兩個明顯的問題：第一，如何保證公開密鑰的持有者是真實的；第二，大規(guī)模網(wǎng)絡環(huán)境下公開密鑰的產(chǎn)生、分發(fā)和管理等問題。如果兩個散列值相同，那么接收方就能確認該數(shù)字簽名是發(fā)送方的。 ? 數(shù)字簽名是非對稱加密技術的一類應用。 2022/2/9 遼寧石油化工大學計算機與通信工程學院 劉旸 48 安全的電子商務服務 ? 加密技術是電子商務采取的基本安全措施，貿易方可根據(jù)需要在信息交換的階段使用。因此應將后臺管理納入統(tǒng)一安全體系內。 ? 后臺管理的安全漏洞主要是口令的泄漏。 ? 從安全風險的程度來講，來自管理員的安全風險更強，他們具有得天獨厚的便利條件，如果有惡意的話，他們所造成的危害更太。 CA認證中心為用戶和網(wǎng)上重要資源發(fā)放數(shù)字證書，通過數(shù)字證書實現(xiàn)用戶和資源的雙向認證，防止各種欺騙；同時通過在服務器和客戶端建立的安全通道，保證網(wǎng)上信息的安全性，防止竊聽、截獲、篡改，通過數(shù)字簽名技術防止否認和抵賴，建立安全的電子政務和電子仲裁。 ? (2)建立 CA認證體系 為了實現(xiàn)應用層的安全需求，需要在電子商務系統(tǒng)建立 CA認證體系，建立電子商務網(wǎng)的 CA認證中心，為所有用戶發(fā)放 CA數(shù)字證書。當各地的用戶需要訪問某共享資源時，都要從安全服務器的訪問控制表 (ACL)中檢查該資源是否共享并且該用戶的權限是否充分，只有合法用戶才能通過安全通道對信息服務器進行訪問。 2022/2/9 遼寧石油化工大學計算機與通信工程學院 劉旸 46 ? (1)資源的集中管理和控制 在服務子網(wǎng)上安裝安全服務器，對所有信息服務器的共享資源進行集中管理。 ? (4)防殺病毒技術與產(chǎn)品 防病毒產(chǎn)品包括網(wǎng)絡防病毒產(chǎn)品和主機防病毒產(chǎn)品?；诰W(wǎng)絡的人侵檢測系統(tǒng)則主要用于實時監(jiān)控網(wǎng)絡關鍵路徑的信息。入侵檢測系統(tǒng)可分為兩類：基于主機和基于網(wǎng)絡。因為防火墻只是被動的防止攻擊，不能預警攻擊。通過合理地配置防火墻過濾規(guī)則，滿足下列需求：遠程客戶只能訪問非軍事化區(qū)的安全代理服務器，不能直接對內部網(wǎng)絡的電子商務應用服務器和數(shù)據(jù)庫進行訪同；內部網(wǎng)絡的客戶端只能訪問本網(wǎng)段的應用服務器，不能直接訪問防火墻以外的任何其他網(wǎng)絡；服務子網(wǎng)中的安全代理服務器可以通過防火墻訪問內部網(wǎng)絡的應用服務器和數(shù)據(jù)庫服務器指定的 HTTP服務端口以及 TCP服務端口；防火墻的功能就是提供網(wǎng)絡層訪問控制，只要配置正確，關閉不需要的服務端口，就可以保障基本的網(wǎng)絡層安全。 ? 在安全結構中改變了防火墻的位置，通過配置防火端，將網(wǎng)絡分為 3個區(qū)域。當貿易一方發(fā)現(xiàn)交易對自己不利時，立即否認電子商務行為。這一過程為授權和審計所必需，也是實現(xiàn)授權、審計的訪問控制過程運行的前提，是計算機網(wǎng)絡安全系統(tǒng)不可缺少的組成部分。 ? ⑥身份認證： 指交易雙方可以相互確認彼此的真實身份，確認對方就是本次交易中所稱的真正交易方。 ? ⑤即需性： 即需性是防止延遲或拒絕服務。 ? ④可靠性 /不可抵賴性 /鑒別： 在無紙化的電子商務方式下，通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此，要預防非法的信息存取和信息在傳輸過程中被非法竊取。 ? ②機密性： 電子商務作為貿易的一種手段，其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。 ? ④惡意破壞： 由于攻擊者可以接入網(wǎng)絡，則可能掌握網(wǎng)上的機要信息，甚至可以潛入網(wǎng)絡內部，將網(wǎng)絡中的信息進行肆意篡改，其后果是非常嚴重的。這種方法并不新鮮，在路由器或網(wǎng)關上都可以做到此類事情。通過多次竊取和分析，可以找到信息的規(guī)律和格式，進而得到傳輸信息的內容，造成網(wǎng)上傳輸信息的泄密。建立和實施嚴密的計算機網(wǎng)絡安全制度與策略是真正實現(xiàn)網(wǎng)絡安全的基礎。很多安全廠商的產(chǎn)品對配置人員的技術背景要求很高，超出對普通網(wǎng)管人員的技術要求，就算是廠家在最初給用戶做了正確的安裝和配置，但一旦系統(tǒng)改動，需要改動相關安全產(chǎn)品的設置時，很容易產(chǎn)生許多安全問題。以網(wǎng)絡癱瘓為目標的襲擊效果比任何傳統(tǒng)的恐怖主義和戰(zhàn)爭方式都來得更強烈，破壞性更大，造成危害的速度更快，范圍也更廣，而襲擊者本身的風險卻非常小，甚至可以在襲擊開始前就已經(jīng)消失得無影無蹤了，使對方?jīng)]有實行報復打擊的可能。 ? ②沒有進行 CGI程序代碼審計： 如果是通用的 CGI問題，防范起來還稍微容易一些，但是對于網(wǎng)站或軟件供應商專門開發(fā)的一些 CGI程序，很多存在嚴重的 CGI問題，對于電子商務站點來說，會出現(xiàn)惡意攻擊者冒用他人賬號進行網(wǎng)上購物等嚴重后果。千萬不要以為操作系統(tǒng)缺省安裝后，再配上很強的密碼系統(tǒng)就算作安全了。 電子商務所面臨的安全威脅 2022/2/9 遼寧石油化工大學計算機與通信工程學院 劉旸 39 計算機網(wǎng)絡安全的內容 ? 計算機網(wǎng)絡設備安全 ? 計算機網(wǎng)絡系統(tǒng)安全 ? 數(shù)據(jù)庫安全等 ? 其特征是針對計算機網(wǎng)絡本身可能存在的安全問題，通過實施網(wǎng)絡安全增強方案，以達到保證計算機網(wǎng)絡自身的安全性的目的。其中主要的障礙就是如何保證傳輸數(shù)據(jù)的安全和交易對方的身份確認等。 2022/2/9 遼寧石油化工大學計算機與通信工程學院 劉旸 37 電子商務中信息安全的應用 ? 電子商務是互聯(lián)網(wǎng)應用的重要趨勢之一，也是國際金融貿易中越來越重要的經(jīng)營模式之一，以后會逐漸地成為人們經(jīng)濟生活中一個重要的組成部分。 ? 防火墻也可以成為向客戶發(fā)布信息的地點。 URL過濾往往是代理模塊的一部分，很多廠家把這個功能單獨提取出來，作為一個賣點，但是要知道，它實現(xiàn)起來其實是和代理結合在一起的。 ? 8. VPN 在以往的網(wǎng)絡安全產(chǎn)品中 VPN是作為一個單獨產(chǎn)品出現(xiàn)，現(xiàn)在更多的是將其整臺在防火墻內。 ? 、流量計費 流量控制可以分為基于 IP地址的控制和基于用戶的控制。 DNAT主要實現(xiàn)用與外網(wǎng)主機和 DMZ去主機的訪問。目前防火墻一般采用雙向 NAT； SNAT和 DNAT。管理界面的設計直接關系到防火墻的易用性和安全性。 ? 在防火墻結合網(wǎng)絡配置和安全策略對相關數(shù)據(jù)分析完成以后，就要做出接受、拒絕、丟棄或加密等決定。這種配置的危險帶僅包括堡壘主機、子網(wǎng)主機及所有連接內網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。在很多實踐中，兩個分組過濾路由器放在子同的兩端，在子網(wǎng)內構成一個“非軍事區(qū)”。例如，一個分組過濾路由器連接外部網(wǎng)絡，同時一個堡壘主機安裝在內部網(wǎng)絡上，通常在路由器上設立過濾規(guī)則，并使這個堡壘主機成為從外部網(wǎng)絡唯一可直接到達的主機，這確保了內部網(wǎng)絡不受末被授權的外部用戶的攻擊。堡壘主機上運行著防火墻軟件，可以轉發(fā)應用程序，提供服務等。這種配置是用一臺裝有兩塊網(wǎng)卡的堡壘主機做防火墻。許多路由器本身帶有報文過濾配置選項，但一般比較簡單。屏蔽路由器作為內外連接的唯一通道，要求所有的報文都必須在此通過檢查。這是防火墻最基本的構件。然后個人防火墻便記住響應方式，并應用于以后遇到的相同那種網(wǎng)絡通信。 ? ? 個人防火墻是一種能夠保護個人計算機系統(tǒng)安全的軟件，它可以直接在用戶的計算機上運行，使用與狀態(tài) /動態(tài)檢測防火墻相同的方式，保護一臺計算機免受攻擊。相反，它是接受來自內部網(wǎng)絡特定用戶應用程序的通信，然后建立與公共網(wǎng)絡服務器單獨的連接。它是在使用了基本包過濾防火墻的通信上應用一些技術來做到這點的。 ? /動態(tài)檢測防火墻 ? 狀態(tài) /動態(tài)檢測防火墻，跟蹤通過防火墻的網(wǎng)絡連接和包。例如，作為防火墻的設備可能有兩塊網(wǎng)卡 (NIC)，一塊連到內部網(wǎng)絡，另一塊連到公共的 Inter。這稱為包過濾防火墻。 ? 在邏輯上，防火墻是一個分離器，是一個