大型企业及电子商务安全xcb.ppt

1、12022/10/29大型企业及电子商务系统安全解决方案22022/10/29Inspurgroup大型企业及电子商务系统大型企业及电子商务系统安全解决方案安全解决方案为什么需要安全？案例电子商务面临的安全威胁电子商务的安全性要求电子商务安全标准安全套接层协议（SSL）安全电子交易协议（SET）安全交易技术协议（STT）安全超文本传输协议（S-HTTP）电子商务安全解决措施3一、为什么需要安全？一、为什么需要安全？4案例案例电子商务作为网络经济的一种形式，通过计算机网络来实现；在为客户提供丰富信息、简便交易过程、低廉交易成本的同时，也带来了一系列的安全问题，例如：病毒、网页篡改、网站伪造、垃圾

2、邮件、网络仿冒、木马、黑客攻击等。案例：Bibliofind公司成立于1996年，是第一家专门销售绝版书的网站，网站上有非常专业的绝版书检索引擎，这个检索引擎的数据库是公司对全球供应商网络日调查结果。注册客户可按照书名、价格和版次进行检索。访问者也可以登记书单，到货后会发电子邮件通知。该公司有庞大的客户群、良好的口碑以及绝版书供应网，这些优势是其他网上书店难以比拟的。2001年，公司的网站被黑了。骇客侵入了公司的服务器，更换了主页。公司不得不把网站关闭了几天，全面检查网站的安全性。在技术人员审查服务器日志时，发现破坏主页只是冰山一角：记录显示黑客已侵入计算机系统四个多月；更糟糕的是，有些黑客能

3、通过WWW服务器进入存储客户信息（包括客户姓名、地址和信用卡号）的计算机，这些客户信息是以文本格式存储在公司的交易服务器上。5该公司立即报告州和联邦执法机构调查这次黑客事件，并且向9.8万名客户发出了电子邮件，提醒客户信息可能已被黑客获取了。官方的调查既没有逮捕责任人，也没有发现嫌犯。许多客户知道后都非常愤怒。在攻击事件一个月后，Bibliofind被关闭了。一家成功的企业因不能保存客户信息而毁于一旦6电子商务面临的威胁电子商务面临的威胁 信息泄露：信息泄露：由于未采用任何加密措施，数据信息在网络上以明文形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的倍息。信息篡改：信息篡改：当入侵

4、者掌握了信息的格式和规律后，通过各种技术手段和方法将网络上传送的信息数据在中途篡改，然后再发向目的地。信息破坏：信息破坏：由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨。抵赖行为：抵赖行为：也就是不承认已经作过的交易或行为。72022/10/29Inspurgroup电子商务安全性要求电子商务安全性要求8二、电子商务安全性标准二、电子商务安全性标准9安全套接层协议（安全套接层协议（SSL）SSL(secure sockets layer)SSL(secure sockets layer)是由是由Netscape Nets

5、cape CommunicationCommunication公司设计开发的，其目的是通过在收发双公司设计开发的，其目的是通过在收发双方建立安全通道来提高应用程序间交换数据的安全性，方建立安全通道来提高应用程序间交换数据的安全性，从而实现浏览器和服务器（通常是从而实现浏览器和服务器（通常是WebWeb服务器）之间的安服务器）之间的安全通信。全通信。10SSL提供的基本服务功能11SSL协议的电子交易过程客户购买的信息首先发往商家；客户购买的信息首先发往商家；商家再将信息转发银行；商家再将信息转发银行；银行验证客户信息的合法性后，再通知客户和商家付款成功；银行验证客户信息的合法性后，再通知客户和

6、商家付款成功；商家再通知客户购买成功。商家再通知客户购买成功。12流程的缺点：首先，客户的银行资料信息先送到商家，流程的缺点：首先，客户的银行资料信息先送到商家，让商家阅读，这样，客户银行资料的安全性就得不到保让商家阅读，这样，客户银行资料的安全性就得不到保证。由于默认了商家是可以信赖的，商家可以对客户做证。由于默认了商家是可以信赖的，商家可以对客户做出信息保密的承诺。因此没有提供客户对商家的认证，出信息保密的承诺。因此没有提供客户对商家的认证，这对客户来说是不公平的。这是这对客户来说是不公平的。这是SSLSSL协议的缺点之一。其协议的缺点之一。其次，次，SSLSSL协议虽然提供了资料传递过程

7、的安全通道，但协议虽然提供了资料传递过程的安全通道，但SSLSSL协议安全方面有缺少数字签名功能、没有授权和存取协议安全方面有缺少数字签名功能、没有授权和存取控制、多方互相认证困难、不能抗抵赖、用户身份可能控制、多方互相认证困难、不能抗抵赖、用户身份可能被冒充等弱点。这些弱点限制了它的安全功能，在实践被冒充等弱点。这些弱点限制了它的安全功能，在实践中也曾有过中也曾有过SSLSSL协议构筑的安全防线被黑客攻破的实例。协议构筑的安全防线被黑客攻破的实例。为了解决这一问题，可以采用为了解决这一问题，可以采用SETSET协议。协议。13安全电子交易协议（安全电子交易协议（SET）(Secure Ele

8、ctronic Transaction(Secure Electronic Transaction，SET)SET)网上消费者发出的支付指令在由商户送到支付网关之前，网上消费者发出的支付指令在由商户送到支付网关之前，是在公用网上传送的，这一点与持卡是在公用网上传送的，这一点与持卡POSPOS消费者有着本质消费者有着本质的不同，后者从商家的不同，后者从商家POSPOS到银行之间使用的是专线。因此，到银行之间使用的是专线。因此，在开放的网络上处理交易，如何保证传输数据的安全成在开放的网络上处理交易，如何保证传输数据的安全成为电子商务能否普及的最重要的因素之一，为电子商务能否普及的最重要的因素之一，

9、SETSET正是在这正是在这种需求的推动下应运而生的，它是由种需求的推动下应运而生的，它是由VISAVISA和和MasterCardMasterCard两大信用卡公司发起，会同两大信用卡公司发起，会同IBMIBM、MicrosoftMicrosoft等信息产业等信息产业巨头于巨头于19971997年年6 6月正式制定发布的用于因特网事务处理的月正式制定发布的用于因特网事务处理的一种标准。一种标准。14SETSET协议是信用卡在因特网上进行支付的一种开放式标准，协议是信用卡在因特网上进行支付的一种开放式标准，也是银行卡安全支付的具体规范。该标准采用也是银行卡安全支付的具体规范。该标准采用RSAR

10、SA公开密公开密钥体制对通信双方进行认证，采用钥体制对通信双方进行认证，采用DESDES、RC4RC4等对称加密等对称加密体制加密要传输的信息，并用数字摘要和数字签名技术体制加密要传输的信息，并用数字摘要和数字签名技术来鉴别信息的真伪及其完整性，包括了信用卡在电子商来鉴别信息的真伪及其完整性，包括了信用卡在电子商务中的交易协定和信息保密、信息完整、身份认证、数务中的交易协定和信息保密、信息完整、身份认证、数字签名等技术，目前已经被广为认可而成了事实上的国字签名等技术，目前已经被广为认可而成了事实上的国际通用的网上支付标准，其交易形态将成为未来电子商际通用的网上支付标准，其交易形态将成为未来电子

11、商务的规范。务的规范。SETSET的制定与推广既为业务相互渗透的各家信的制定与推广既为业务相互渗透的各家信用卡公司提供了统一的安全通信标准，也促进了信用卡用卡公司提供了统一的安全通信标准，也促进了信用卡在因特网上作为支付工具的应用。在因特网上作为支付工具的应用。15使用使用SETSET的网上购物流程：的网上购物流程：客户通过网络浏览器浏览在线商家的商品目录。客户通过网络浏览器浏览在线商家的商品目录。选择要购买的商品；选择要购买的商品；填填写写订订单单，包包括括欲欲购购商商品品名名称称、规规格格、数数量量、交交货货时时间间及及地地点点等等信信息息。订订单单通通过过因因特特网网发发送送给给商商家家

12、，商商家家进进行行应答，并告知以上订单货物单价、应付款数额和交货方式；应答，并告知以上订单货物单价、应付款数额和交货方式；消费者选择付款方式，此时消费者选择付款方式，此时SETSET开始介入；开始介入；消消费费者者发发送送给给商商家家一一个个完完整整的的订订单单及及其其要要求求付付款款的的指指令令。在在SETSET中中，订订单单和和付付款款指指令令由由消消费费者者进进行行数数字字签签名名；同同时时利利用双重身份签名技术，保证商家看不到消费者的账号信息。用双重身份签名技术，保证商家看不到消费者的账号信息。16在在线线商商家家接接受受订订单单后后，向向客客户户开开户户银银行行请请求求支支付付，此此

13、信信息息通通过过支支付付网网关关送送达达收收单单银银行行，并并进进一一步步提提交交发发卡卡银银行行确确认认。确确认认批批准准后后，发发卡卡银银行行返返回回确确认认信信息息，经经收收单单银银行行通通过支付网关发给在线商家；过支付网关发给在线商家；在在线线商商家家发发送送订订单单确确认认信信息息给给客客户户，客客户户端端记记录录交交易易日日志，以备日后查考；志，以备日后查考；在在线线商商家家发发送送商商品品或或提提供供服服务务，并并通通知知收收单单银银行行将将货货款款从客户账号转移到商家账号，或通知发卡银行请求支付。从客户账号转移到商家账号，或通知发卡银行请求支付。17其他安全性标准其他安全性标准

14、安全交易技术协议（安全交易技术协议（secure transaction technology secure transaction technology，STTSTT）STTSTT由由美美国国微微软软公公司司提提出出，并并在在其其自自身身的的IEIE浏浏览览器器中中采采用用了了这这一一技技术。该技术将认证和解密在浏览器中分开，以提高安全控制能力。术。该技术将认证和解密在浏览器中分开，以提高安全控制能力。安安全全超超文文本本传传输输协协议议（S-HTTPS-HTTP）是是对对HTTPHTTP的的扩扩充充，它它是是基基于于SSLSSL的的，依依靠靠密密钥钥对对的的加加密密，保保障障WebWeb站

15、站点点间间的的交交易易信信息息传传输输的的安安全全性性。为为WebWeb文文档档提提供供了了完完整整性性、鉴鉴别别、不不可可抵抵赖赖性性和和机机密密性性等等安安全全措措施施。与与SSLSSL相似，支持相似，支持S-HTTPS-HTTP协议网站的网址以协议网站的网址以https:/https:/开始开始 STTSTT由由美美国国微微软软公公司司提提出出，并并在在其其自自身身的的IEIE浏浏览览器器中中采采用用了了这这一一技技术。该技术将认证和解密在浏览器中分开，以提高安全控制能力。术。该技术将认证和解密在浏览器中分开，以提高安全控制能力。18三、电子商务安全解决措施三、电子商务安全解决措施19为

16、了提高电子商务活动的安全性，除了采用先进的网络安为了提高电子商务活动的安全性，除了采用先进的网络安全技术外，还必须有一套有效的信息安全机制作为保证，全技术外，还必须有一套有效的信息安全机制作为保证，来实现电子商务交易数据的保密性、完整性和不可否认来实现电子商务交易数据的保密性、完整性和不可否认性等安全功能，这就是电子商务安全交易体系。概括起性等安全功能，这就是电子商务安全交易体系。概括起来，该体系包括信息加密算法、安全认证技术和安全交来，该体系包括信息加密算法、安全认证技术和安全交易协议等几个层次。易协议等几个层次。2021数据加密技术数据加密技术 加密技术是保证网络、信息安全的核心技术。加密技术与密码学紧密加密技术是保证网络、信息安全的核心技术。加密技术与密码学紧密相连。密码学这门古老而又年龄的科学包含着丰富的内容，它包括相连。密码学这门古老而又年龄的科学包含着丰富的内容，它包括密码编码学和密码分析学。密码体制的设计是密码编码学的主要内密码编码学和密码分析学。密码体制的设计是密码编码学的主要内容密码体制的破译是密码分析学的主要内容。容密码体制的破译是密码分析学的主要内容。将明文数据进