风险控制体系-电子商务实务课件

第五章电子商务安全一、基本安全问题一、基本安全问题电子商务安全有六个重要方面：1.完整性：完整性：指数据受到保护而不会在未经授权或偶然的情况下被更改或破坏的能力。加密是保证数据在传输过程中的完整性的一种手段2.不可否认性：不可否认性：指的是确保电子商务参与者无法抵赖（或否认）其网上行为的能力。3.真实性：真实性：指的是确认通过Internet交易的双方真实身份的能力。可通过认证、授权和审查来确认交易双方的真实性。第五章电子商务安全一、基本安全问题14.机密性或隐私性：机密性或隐私性：隐私或敏感的信息不应该提供给未经授权的个人、机构或计算机软件程序。5.可用性：可用性：指确保电子商务网站继续按照预期功能运行的能力。机密性或隐私性：隐私或敏感的信息不应该提供给未经授权的个人、2二、电子商务安全涉及的内容二、电子商务安全涉及的内容1.环境体系安全2.技术安全3.应用安全4.管理安全二、电子商务安全涉及的内容31、环境体系安全、环境体系安全法律体系法律体系信用体系信用体系隐私体系隐私体系应急响应体系：应急响应体系：指组织为了应对突发重大信息安全事件的发生所做的准备以及在事件发生后所采取的措施。风险控制体系：风险控制体系：风险识别、风险分析、风险应对、风险监控1、环境体系安全4电子商务信用模式l担保人模式：交易双方必须经过网站审核成为会员后才可进行交易。网站仅凭借本身的信誉为双方提供担保。l网站经营模式l中介人模式：网站作为交易中介人，达成交易协议后，购货方的货款、销售方的货物要分别交给网站设在各地的办事机构，当网站办事机构核对无误后再将货款及货物交给对方。l委托授权模式：网站与银行进行合作。交易时，网站通过建立交易规则，要求参与交易的当事人按预设条件在协议银行建立交易公共账户。购货方将货款汇入银行指定账户，款到后，网站通知卖方发货，买房在收到商品验收无异议后，再通知网站将钱款付给卖方。电子商务信用模式5隐私隐私是一种与公共利益、群体利益无关的，当事人不愿他人知道或他人不便知道的个人信息，当事人不愿他人干涉或他人不便干涉的个人私事和当事人不愿他人侵入或他人不便侵入的个人领域。网上隐私权网上隐私权是指公民在网上享有的私人生活安宁与私人信息依法受到保护，不被他人非法骚扰、知悉、搜集、复制、利用和公开的一种人格权。电子商务中的隐私问题：电子商务中的隐私问题：l通信内容的侵犯l以不合理的用途或目的保存或收集个人数据l经营者的不正当泄露l个人隐私的恶意传播l擅自篡改个人信息或披露错误信息l为商业目的而使用隐私是一种与公共利益、群体利益无关的，当事人不愿他人知道或他62、电子商务安全技术密码学密码技术是保障信息安全的核心技术，密码技术不仅能够保证机密性信息的加密，而且具有完成数字签名、身份验证、系统安全等功能。1）密码学的形成）密码学的形成公元前400年，斯巴达人就发明了“塞塔式密码”，即把长条纸螺旋形地斜绕在一个多棱棒上，将文字沿棒的水平方向从左到右书写，写一个字旋转一下，写完一行再另起一行书写，直到写完，解下来后，纸条上的文字就是密文。这是最早的密码技术。公元前60年，古罗马统帅凯撒第一个用当时发明的“凯撒密码”书写军事文书，凯撒密码作为一种最为古老的对称加密体制，在古罗马的时候都已经很流行，他的基本思想是：通过把字母移动一定的位数来实现加密和解密。明文中的所有字母都在字母表上向后（或向前）按照一个固定数目进行偏移后被替换成密文。例如，当偏移量是3的时候，所有的字母A将被替换成D，B变成E，以此类推X将变成A，Y变成B，Z变成C。由此可见，位数就是凯撒密码加密和解密的密钥。2、电子商务安全技术密码学72）经典密码方法与技术）经典密码方法与技术替代密码技术：替代密码技术：指先建立一个替代表，发送者根据替代表将明文中的每个字替换成密文中的另外一个字符。接收者根据替代表将密文进行逆替换恢复出明文。替代密码的秘钥就是其替代表。置换密码：置换密码：又称换位密码。通过执行对明文字母的某种置换，取得一种类型完全不同的映射，密文与明文的字母保持相同，但顺序被打乱了。转轮机：20世纪20年代，人们发明各种机械加密设备用来自动处理加密，大多数是基于转轮机的概念。简单异或：直接将密钥和明文进行异或操作一次一密乱码本：每个密钥仅对一个消息使用一次，发送方对所发的信息加密，然后销毁乱码本中用过的一页或用过的磁带部分。收方有一个同样的乱码本，并依次使用乱码本上的每个密钥去解密密文中的每个字符。2）经典密码方法与技术8机械密码机械密码机械密码91920年代，发明各种机械加密设备用来自动处理加密，这些设备多数是基于转轮的概念，即将机械转轮用线连起来完成通常的密码替代转轮机有键盘和一系列转轮，它是Vigenre密码的一种实现。每个转轮是字母的任意组合，有26个位置，并且完成一种简单替代。例如：一个转轮可能被用线连起来以完成用“F”替代“A”，用“U”替代“B”，用“L”替代“C”等等，而且转轮的输出栓连接到相邻的输入栓最著名的转轮装置是恩尼格马（Enigma），在第二次世界大战期间由德国人使用并改进。1920年代，发明各种机械加密设备用来自动处理加密，这些设备10ENIGMA的组成三个部分组成三个部分组成l键盘键盘l转子转子l显示器显示器ENIGMA的组成三个部分组成11异或算符的值为真仅当两个运算元中恰有一个的值为真，而另外一个的值为非真异或运算的真值表：AB FFFFTTTFTTTF异或算符的值为真仅当两个运算元中恰有一个的值为真，而另外一个12非对称密码学（公钥密码学）非对称密码学（公钥密码学）1976年美国学者Diffie和Hellman根据单向函数的概念提出了非对称加密体制，引起了密码学的一场革命。公钥密码学中的两个基本的概念就是公钥和私钥。公钥是要对外发布的，而私钥需要进行绝对的保密，就像对称密码学中的密钥一样。而公钥和私钥都能用来加密和解密，但这种加解密都建立在以下的事实上：首先，加解密操作是在一个公私钥对之间进行的，即用一对公私钥对中的任何一个加密的密文，其它的公私钥对都不能对其进行解密；其次，在一对公私钥对之间，用一个密钥加密的东西不能用另一个密钥解密；再次，一个密钥（无论是公钥还是私钥）都无法加密用它自己加密的东西。最后，在未知陷门的情况下想由公钥推出私钥在计算上是不可行的。非对称密码学（公钥密码学）133）电子商务技术安全认证技术所谓认证，就是对某个实体提供确保声明，表明其身份或所拥有的权限。a.网络系统中常用的身份认证方式网络系统中常用的身份认证方式：口令识别、生物特征识别b.认证机构认证机构CACA机构，又称为证书授证中心，作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。A中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。在交易中，CA不仅对持卡人、商户发放证书，还要对获款的银行、网关发放证书。3）电子商务技术安全认证技术14c.口令识别法口令识别法口令识别是最简单应用最广泛的认证机制。静态口令识别l用户在注册阶段生成用户名和初始口令，因此，每个合法用户都持有一个身份标识（用户名）和相应的通行口令，被访问的系统将所有合法用户名和口令保存在口令文件或数据库中。l静态口令认证机制安全性分析网络窃听截取重放字典攻击穷举攻击伪造服务器攻击口令泄露c.口令识别法15动态口令识别l动态口令也叫一次性口令，它的基本原理是：在用户登录过程中，基于用户口令加入不确定因子，对用户口令和不确定因子进行变换，所得的结果作为认证数据提交给认证服务器。认证服务器接收到用户的认证数据后，把用户的认证数据和自己用同样的算法计算出的数值进行对比，从而实现对用户身份的认证。动态口令识别16d.指纹识别技术指纹识别技术指纹识别技术把一个人同他的指纹对应起来，通过比较他的指纹和预先保存的指纹进行比较，就可以验证他的真实身份。每个人（包括指纹在内）皮肤纹路在图案、断点和交叉点上各不相同，也就是说，是唯一的，并且终生不变。依靠这种唯一性和稳定性，才能创造指纹识别技术。指纹识别系统在电子商务中的应用l指纹门禁系统和指纹考勤系统lWindows登录和计算机信息安全l密码银行d.指纹识别技术17e.人脸识别技术人脸识别技术人脸识别技术是基于人的脸部特征，对输入的人脸图象或者视频流.首先判断其是否存在人脸,如果存在人脸，则进一步的给出每个脸的位置、大小和各个主要面部器官的位置信息。并依据这些信息，进一步提取每个人脸中所蕴涵的身份特征，并将其与已知的人脸进行对比，从而识别每个人脸的身份。人脸识别关键问题l光照问题l姿态问题l人眼定位问题l提取特征l特征对比e.人脸识别技术183、电子商务应用安全、电子商务应用安全（一）网络银行安全：防火墙、安全和证书服务器、系统备份和数备份、身份认证技术（二）网络支付安全：密码技术、身份认证技术、防火墙、入侵检测（三）网络营销安全：窃取信息、信用风险、管理风险（四）网络购物安全：质量安全、交易安全、隐私安全、支付安全、售后服务安全3、电子商务应用安全19黑客鬼才-凯文米特尼克黑客鬼才-凯文米特尼克2015岁闯入“北美空中防务指挥系统”1980年，米特尼克闯入了“北美空中防务指挥系统”的计算机主机内，他和另外一些朋友翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料，然后又悄无声息地溜了出来。15岁闯入“北美空中防务指挥系统”1980年，米特尼克闯入了21破译“太平洋电话公司”的“改户密码”开始随意更改这家公司的电脑用户，特别是知名人士的电话号码和通讯地址。太平洋公司也不得不连连道歉。最后意识到是有人破译了密码，故意捣乱。当时他们惟一的措施是修改密码，可这在米特尼克面前实在是雕虫小技。破译“太平洋电话公司”的“改户密码”开始随意更改这家公司的电22破译了联邦调查局的“中央电脑系统”的密码发现特工们正调查一名“电脑黑客”竟然是他自己！破译了联邦调查局的“中央电脑系统”的密码，开始每天认真地查阅“案情进展情况的报告”。嘲笑，并恶作剧式地将几个负责调查的特工的档案调出，将他们全都涂改成了十足的罪犯。破译了联邦调查局的“中央电脑系统”的密码发现特工们正调查一名231988年，DEC指控盗取100万美元的软件从公司网络上盗取了价值100万美元的软件，并造成了400万美元损失。米特尼克被判处一年徒刑。出狱后，他试图找一份安定的工作。1988年，DEC指控盗取100万美元的软件从公司网络上盗取241993联邦调查局的内部网联邦调查局收买黑客同伙，诱使米特尼克进监狱。米特尼克轻易就上了钩，非法侵入了一家电话网。他打入了联邦调查局的内部网，发现了他们设下的圈套，然后在逮捕令发出之前就跑了。1993联邦调查局的内部网联邦调查局收买黑客同伙，诱使米特尼251994年圣诞节，向圣迭戈超级计算机中心发动了一次攻击美国最出色的电脑安全专家之一”下村勉1995年情人节，米特尼克被逮捕l偷窃了2万个信用卡号和复制软件1994年圣诞节，向圣迭戈超级计算机中心发动了一次攻击261997年12月8日，被囚禁的米特尼克在网络上的支持者，要求美国政府释放米特尼克，否则，他们将启动已经通过网络置入环球许多电脑中的病毒！1997年12月8日，被囚禁的米特尼克在网络上的支持者，要求27风险控制体系-电子商务实务课件28