【正文】 ? 在計算機網(wǎng)絡(luò)系統(tǒng)中，絕對的安全是不存在的，制定健全的安全管理體制是計算機網(wǎng)絡(luò)安全的重要保證，只有通過網(wǎng)絡(luò)管理人員與使用人員的共同努力，運用一切可以使用的工具和技術(shù)，盡一切可能去控制、減小一切非法的行為，盡可能地把不安全的因素降到最低。 ? ③ 信息完整性校驗。通過電子網(wǎng)絡(luò)開展電子商務(wù)，身份識別是一個不得不解決的問題。在電子商務(wù)的安全保密系統(tǒng)中，數(shù)字簽名技術(shù)有著特別重要的地位，安全服務(wù)中的源鑒別、完整性服務(wù)、不可否認(rèn)服務(wù)，都要用到它。 ? （ 5）認(rèn)證技術(shù) ? 認(rèn)證技術(shù)是保證電子商務(wù)安全的又一重要技術(shù)手段，是防止信息被篡改、刪除、重放和偽造的一種有效方法，它使發(fā)送的消息具有被驗證的能力，使接收者能夠識別和確認(rèn)消息的真?zhèn)巍? 電子商務(wù)安全概述 ? （ 4）防病毒技術(shù) ? 電腦病毒是令人頭痛的問題， Inter的快速發(fā)展使得病毒造成毀滅性的災(zāi)難成為可能。 ? （ 3）入侵檢測技術(shù) ? 入侵檢測技術(shù)是一種主動保護自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。 ? （ 2）數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù) ? 與防火墻相比，數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)比較靈活，更加適用于開放的網(wǎng)絡(luò)。因此電子交易文件也要能做到不可修改，以保障交易的嚴(yán)肅和公正。 ? （ 4）不可修改性 ? 交易的文件是不可被修改的，例如，上例所舉的訂購黃金。例如訂購黃金，訂貨時金價較低，但收到訂單后，金價上漲了，如收單方能滯認(rèn)收到訂單的實際時間，甚至否認(rèn)收到訂單的事實，則訂貨方就會蒙受損失。 電子商務(wù)安全概述 ? （ 3）不可否認(rèn)性 ? 由于商情的千變?nèi)f化，交易一旦達成是不能被否認(rèn)的。要使交易成功，首先要能確認(rèn)對方的身份，對商家要考慮客戶端不能是騙子，而客戶也會擔(dān)心網(wǎng)上的商店不是一個玩弄欺詐的黑店。因此在電子商務(wù)的信息傳播中一般均有加密的要求。 ? 3．計算機信息系統(tǒng)面臨的威脅 ? （ 1）自然災(zāi)害 ? （ 2）黑客的威脅和攻擊 ? （ 3）計算機病毒 ? （ 4）垃圾郵件和間諜軟件 ? （ 5）信息戰(zhàn)的嚴(yán)重威脅 ? （ 6）計算機犯罪 電子商務(wù)安全概述 ? 電子商務(wù)對安全的基本要求 ? 1．電子商務(wù)的安全控制要求 ? （ 1）信息保密性 ? 交易中的商務(wù)信息均有保密的要求。 電子商務(wù)安全概述 ? （ 4）假造 ? 假造是指未經(jīng)授權(quán)將假造數(shù)據(jù)放入系統(tǒng)中，這是對數(shù)據(jù)的真實性的攻擊。 ? （ 2）篡改 ? 篡改是指系統(tǒng)資源被未經(jīng)授權(quán)的人所取得，乃至篡改內(nèi)容，例如，在網(wǎng)絡(luò)上傳送的訂單遭到任意改變，是對數(shù)據(jù)的正確性的攻擊。 ? 保密是指防止未授權(quán)的數(shù)據(jù)暴露并確保數(shù)據(jù)源的可靠性； ? 完整是防止未經(jīng)授權(quán)的數(shù)據(jù)修改； ? 即需是防止延遲或拒絕服務(wù)?！? 電子商務(wù)安全概述 ? （ 3）我國公安部計算機管理監(jiān)察司的定義是“計算機安全是指計算機資產(chǎn)安全，即計算機信息系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害。” ? （ 2）美國國防部國家計算機安全中心的定義是“要討論計算機安全首先必須討論對安全需求的陳述， ......。第五章 電子商務(wù)安全技術(shù) 學(xué)習(xí)目標(biāo) 1．掌握電子商務(wù)安全的概念； 2．掌握古典加密學(xué)理論和方法； 3．掌握數(shù)字證書概念； 4．掌握身份認(rèn)證概念； 5．掌握生理特征識別概念； 6．掌握防火墻概念。 電子商務(wù)安全概述 ? 電子商務(wù)面臨的安全問題 ? 1．計算機安全問題 ? （ 1）國際標(biāo)準(zhǔn)化委員會的定義是“為數(shù)據(jù)處理系統(tǒng)和采取的技術(shù)的和管理的安全保護，保護計算機硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露。一般說來，安全的系統(tǒng)會利用一些專門的安全特性來控制對信息的訪問，只有經(jīng)過適當(dāng)授權(quán)的人，或者以這些人的名義進行的進程可以讀、寫、創(chuàng)建和刪除這些信息。” ? 計算機安全可分成三類，即保密、完整和即需。 電子商務(wù)安全概述 ? 2．網(wǎng)絡(luò)安全問題 ? （ 1）中斷 ? 中斷是指系統(tǒng)的部分組件遭受到破壞或使其不能發(fā)揮作用，例如，切斷系統(tǒng)主機對外的網(wǎng)絡(luò)連接，使其無法使用，這是對系統(tǒng)的可用性做攻擊。 ? （ 3）介入 ? 介入是指未經(jīng)授權(quán)者授權(quán)取得系統(tǒng)的資源，其中的未經(jīng)授權(quán)者可以是一臺計算機、一個人，或是一組程序，例如，利用竊取網(wǎng)絡(luò)上傳送的機密數(shù)據(jù)，就是對數(shù)據(jù)機密生的攻擊。例如，在網(wǎng)絡(luò)上假造身份證明文件以假冒他人。例如，信用卡的賬號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機。 ? （ 2）交易者身份的確定性 ? 網(wǎng)上交易的雙方很可能素昧平生，相隔千里。因此能方便而可靠地確認(rèn)對方身份是交易的前提。否則必然會損害一方的利益。因此電子交易通信過程的各個環(huán)節(jié)都必須是不可否認(rèn)的。供貨單位在收到訂單后，發(fā)現(xiàn)金價大幅上漲了，如其能改動文件內(nèi)容，將訂購數(shù) 1噸改為 1克，則可大幅受益，那么訂貨單位可能就會因此而蒙受損失。 電子商務(wù)安全概述 ? 2．計算機網(wǎng)絡(luò)安全防范策略 ? （ 1）防火墻技術(shù) ? 防火墻是網(wǎng)絡(luò)安全的屏障，配置防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟、最有效的安全措施之一。用戶授權(quán)訪問控制主要用于對靜態(tài)信息的保護，需要系統(tǒng)級別的支持，一般在操作系統(tǒng)中實現(xiàn)。作為防火墻的合理補充，入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、攻擊識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。因此，防止網(wǎng)絡(luò)病毒問題是保障電子商務(wù)交易安全最重要的研究課題之一。 電子商務(wù)安全概述 ? ① 數(shù)字簽名技術(shù)。 ? ② 身份識別技術(shù)。只有采取一定的措施使商家可以確認(rèn)對方的身份，商家才能放心地開展電子商務(wù)。信息的完整性要靠信息認(rèn)證來實現(xiàn)，信息認(rèn)證是信息的合法接受者對信息的真?zhèn)芜M行判定的技術(shù)。 電子商務(wù)安全概述 ? 交易環(huán)境的安全性 ? 1．交易中存在的主要安全問題 ? （ 1）信息在網(wǎng)絡(luò)的傳輸過程中被截獲 ? （ 2）傳輸?shù)奈募赡鼙淮鄹? ? （ 3）假冒他人身份 ? （ 4）偽造電子郵件 ? （ 5）抵賴行為。 電子商務(wù)安全概述 ? 2．用戶信任度分析 ? 用戶的信任度對于一般的公司而言，無庸置疑，是十分重要的，同樣對于目前大多數(shù)商業(yè)化程度較高的網(wǎng)站而言，網(wǎng)民的信任是不可忽視的。 ? 無論是在網(wǎng)上還是在網(wǎng)下進行商業(yè)運作，信任總是一個不可缺少的重要組成部分。網(wǎng)絡(luò)業(yè)務(wù)的拓展速度幾乎和消費者對網(wǎng)絡(luò)公司失去信任的速度相當(dāng)。 電子商務(wù)安全概述 ? 3．建立電子商務(wù)安全保障體系，提升用戶信任度的途徑 ? 提升用戶信任度可從以下幾個途