《电子商务与系统开发》课程PPT教学课件：第九章 电子商务系统安全设计

第九章电子商务糸统安全设计 第九章电子商务系统安全设计 91电子商务系统安全概述 92电子商务系统安全体系框架 93常用电子商务系统安全技术和手段 94电子商务系统安全设计的原则 9.5电子商务系统安全体系的设计

第九章 电子商务系统安全设计 第九章 电子商务系统安全设计 9.1 电子商务系统安全概述 9.2 电子商务系统安全体系框架 9.3 常用电子商务系统安全技术和手段 9.4 电子商务系统安全设计的原则 9.5 电子商务系统安全体系的设计

第九章电子商务系统安全设计 9.1电子商务系统安全概述 9.1.1电子商务系统中存在的安全隐患和威胁 因特网( Interne是开展电子商务的网络基 础,它源于对计算机资源共享的需求,采用 TCP/P使不同网络、不同计算机之间实现通信, 但正是由于这些特点使它给电子商务带来了许 多安全问题。 Internet的安全隐患主要表现在以 下四个方面

第九章 电子商务系统安全设计 9.1 电子商务系统安全概述 ▪ 9.1.1 电子商务系统中存在的安全隐患和威胁 因特网(Internet)是开展电子商务的网络基 础，它源于对计算机资源共享的需求，采用 TCP/IP使不同网络、不同计算机之间实现通信， 但正是由于这些特点使它给电子商务带来了许 多安全问题。Internet的安全隐患主要表现在以 下四个方面

第九章电子商务系统安全设计 开放性 开放性和资源共享是 Internet的最大优点,但它带来的 问题却不容忽视。因为,当你轻易而方便地访问别人的计 算机时,如果不采取任何安全措施,别人也会同样轻而易 举地访问你的计算机。 2.传输协议 terne采用的是 TCP/IP,这个协议本身并没有采取任 何措施来保护传输内容不被窃取。TCPP是一种包交换网 络,各个数据包在网络上都是透明传输的,并且可能绎过 不同的网络,由那些网络上的路由器转发,才能到达目的 计算机。数据在传输过程中可能会遭到P窥探、同步信号 淹没、TCP会话劫持、复位与结束信号攻击等威胁

第九章 电子商务系统安全设计 ▪ 1．开放性 开放性和资源共享是Internet的最大优点，但它带来的 问题却不容忽视。因为，当你轻易而方便地访问别人的计 算机时，如果不采取任何安全措施，别人也会同样轻而易 举地访问你的计算机。 ▪ 2．传输协议 Internet采用的是TCP/IP，这个协议本身并没有采取任 何措施来保护传输内容不被窃取。TCP/IP是一种包交换网 络，各个数据包在网络上都是透明传输的，并且可能经过 不同的网络，由那些网络上的路由器转发，才能到达目的 计算机。数据在传输过程中可能会遭到IP窥探、同步信号 淹没、TCP会话劫持、复位与结束信号攻击等威胁

第九章电子商务系统安全设计 ■3.操作系统 terne底层的操作系统是UNX,而UNX的源代码是 公开的,很容易被发现漏洞,给 .Internet用户带来安全问 题。例如,广泛使用的FTP中发现的“特洛伊木马” 种声称是某物但实际不是某物的程序。它可能含有恶意的 代码,一旦被安装在系统上就会做出人们意料不到(或不 受欢迎)的事情来。“特洛伊木马”最典型的例子是一个 叫作PKZ300ZP的程序,它被放在许多 terne网点上供 人任意下载。它自称是一种流行工具的升级,任何将其下 载到自己计算机里的人都会很快意识到该程序并没有像它 声称的那样做事情,当用户试图安装该文件时,它会删除 硬盘上的每一个文件

第九章 电子商务系统安全设计 ▪ 3．操作系统 Internet底层的操作系统是UNIX，而UNIX的源代码是 公开的，很容易被发现漏洞，给Internet用户带来安全问 题。例如，广泛使用的FTP中发现的“特洛伊木马”——一 种声称是某物但实际不是某物的程序。它可能含有恶意的 代码，一旦被安装在系统上就会做出人们意料不到(或不 受欢迎)的事情来。 “特洛伊木马”最典型的例子是一个 叫作PKZ300.ZIP的程序，它被放在许多Internet网点上供 人任意下载。它自称是一种流行工具的升级，任何将其下 载到自己计算机里的人都会很快意识到该程序并没有像它 声称的那样做事情，当用户试图安装该文件时，它会删除 硬盘上的每一个文件

第九章电子商务系统安全设计 4.信息电子化 与传统的书面信函相比,电子化信息的固有弱点 就是缺乏可信度,因为电子信息是否正确、完整很难 由电子信息本身来鉴别,而且在 Internet上传递电子 信息时,难以确认信息的发送者以及信息是否被正确 无误地传递给对方。 由于 -Internet存在上述安全隐患,它给电子商务带 来了如下的安全威胁:

第九章 电子商务系统安全设计 ▪ 4．信息电子化 与传统的书面信函相比，电子化信息的固有弱点 就是缺乏可信度，因为电子信息是否正确、完整很难 由电子信息本身来鉴别，而且在Internet上传递电子 信息时，难以确认信息的发送者以及信息是否被正确 无误地传递给对方。 由于Internet存在上述安全隐患，它给电子商务带 来了如下的安全威胁：

第九章电子商务系统安全设计 ●由于非法入侵者的侵入,造成商务信息被篡改、盗三 窃或丢失; ●商业机密在传输过程中被第三方获悉,甚至被恶意 窃取、篡改和破坏; ●虚假身份的交易对象及虚假订单、合同; ●贸易对象的抵赖(如拒绝承认双方已商定的价格、数 、订单、合同,拒绝承认收到的货款或商品等) 由于计算机系统故障对交易过程和商业信息安全所 造成的破坏。 综上可知,电子商务面临着来自多方的安全威胁,存 在着许多安全隐患

第九章 电子商务系统安全设计 ● 由于非法入侵者的侵入，造成商务信息被篡改、盗 窃或丢失； ● 商业机密在传输过程中被第三方获悉，甚至被恶意 窃取、篡改和破坏； ● 虚假身份的交易对象及虚假订单、合同； ● 贸易对象的抵赖(如拒绝承认双方已商定的价格、数 量、订单、合同，拒绝承认收到的货款或商品等)； ● 由于计算机系统故障对交易过程和商业信息安全所 造成的破坏。 综上可知，电子商务面临着来自多方的安全威胁，存 在着许多安全隐患

第九章电子商务糸统安全设计 信息安全 网络计算机(密码安全 安全 安全 4种安全之间的逻辑关系

第九章 电子商务系统安全设计 4种安全之间的逻辑关系

第九章电子商务系统安全设计 912电子商务系统的安全性需求 要使电子商务健康、顺利发展,必须解决好以下几 种关键的安全性需求 1.保密性 保密性是指交易过程中必须保证信息不会被非授权 的人或实体窃取(无论是无意的还是恶意的)。要保证信息 的保密性,需要防止入侵者侵入系统:对商务机密(如信 用卡信息等)要先经过加密处理,再送到网络传输

第九章 电子商务系统安全设计 ▪ 9.1.2 电子商务系统的安全性需求 要使电子商务健康、顺利发展，必须解决好以下几 种关键的安全性需求。 1．保密性 保密性是指交易过程中必须保证信息不会被非授权 的人或实体窃取(无论是无意的还是恶意的)。要保证信息 的保密性，需要防止入侵者侵入系统；对商务机密(如信 用卡信息等)要先经过加密处理，再送到网络传输

第九章电子商务系统安全设计 2.完整性 完整性是指数据在输入和传输过程中,要求能保 证数据的一致性,防止数据被非授权建立、修改和破 坏。信息的完整性将影响到贸易各方的交易和经营策 略,保持这种完整性是电子商务应用的基础。因此, 要预防对信息的随意生成、修改和删除,同时要防止 数据传送过程中丢失和重复,以保证信息传送次序的 统一

第九章 电子商务系统安全设计 2．完整性 完整性是指数据在输入和传输过程中，要求能保 证数据的一致性，防止数据被非授权建立、修改和破 坏。信息的完整性将影响到贸易各方的交易和经营策 略，保持这种完整性是电子商务应用的基础。因此， 要预防对信息的随意生成、修改和删除，同时要防止 数据传送过程中丢失和重复，以保证信息传送次序的 统一

第九章电子商务系统安全设计 3.不可抵赖性 信息的不可抵赖性是指信息的发送方不可否认已经 发送的信息,接收方也不可否认已经收到的信息。例如 因市场价格的上涨,卖方否认收到订单的日期或完全否 认收到订单;再如网上购物者订货后,不能谎称不是自 己订的货等。因此,要求在交易信息的传输过程中为参 与交易的个人、企业或国家提供可靠的标识,使原发送 方在发送数据后不能抵赖,接收方在接收数据后也不能 抵赖

第九章 电子商务系统安全设计 3．不可抵赖性 信息的不可抵赖性是指信息的发送方不可否认已经 发送的信息，接收方也不可否认已经收到的信息。例如 因市场价格的上涨，卖方否认收到订单的日期或完全否 认收到订单；再如网上购物者订货后，不能谎称不是自 己订的货等。因此，要求在交易信息的传输过程中为参 与交易的个人、企业或国家提供可靠的标识，使原发送 方在发送数据后不能抵赖，接收方在接收数据后也不能 抵赖