l 电子安全概述:电子商务中的安全问题: **欺诈会造成直接经济损失, 盗窃属于公司或客户的机密、所有权、技术或市场信息, 服务中断, 客户信心的丧失.
l 电子安全分类:
- **1. 计算机信息系统安全:计算机系统安全、信息安全、网络安全、操作安全、人员安全
a) 计算机系统安全: 包括物理安全和逻辑安全
b) 信息安全: 如何保护信息的保密性、完整性和可用性,主要涉及数据传输安全、数据存储安全及信息内容审计安全三个方面。
i. 保密性是保障信息仅仅为那些授权使用的人获取。
ii. 完整性是保护信息及其处理方法的准确性和完整性。
iii. 可用性是保障授权使用人在需要时可以获取信息和使用相关的资源。
c) 操作安全:包括如何对硬件和介质进行控制以及如何确定操作人员对这些资源的访问权限.
d) 人员安全:员因素往往是产生安全漏洞的直接原因,主要产生于人们的错误操作与有意破坏
e) 网络安全:主要包括信息的保密性、可鉴别性、不可抵赖性及完整性几方面。
i. 保密性是指保护信息不被非授权者访问。
ii. 可鉴别性是指在揭示敏感信息或进行事务处理之前先确认对方的身份。
iii. 不可抵赖性要求信息的发送方不能否认自己所发出的信息,信息的接收方不能否认已收到了信息。
iv. 完整性要求信息接收者能够确认所获得信息在传输过程中没有被修改、延迟或替换。
- 商务交易安全: 实现电子商务的机密性、完整性、可鉴别性、有效性和不可抵赖性
a) 面临的威胁:信息的截获与窃取、信息的篡改与丢失、信息的假冒、交易的抵赖、系统的中断
b) 电子商务安全五要素
i. 保证信息传输的机密性
ii. 保证数据交换的完整性
iii. 保证发送信息的不可抵赖性
iv. 保证交易的有效性
v. 保证对参与交易的各方的可鉴别性
l 电子安全体系
- 安全体系设计原则
i. 木桶原则:根据系统中最薄弱的地方最易受攻击的原则,有效防止最常见的攻击手段。
ii. 整体性原则:对系统建立安全防护机制、安全监测机制、安全恢复机制三种控制机制,以提高系统的整体防御能力。
iii. 一致性与易操作性原则:制定的安全体系结构必须与网络的安全需求相一致且易于操作。
iv. 动态化原则:安全措施应具有良好的可扩展性,能随着网络性能及安全需求的变化而变化。
v. 安全性评价原则:对网络安全系统是否安全的评价决定于系统的用户需求和具体的应用环境。
vi. 等级性原则:应针对不同的安全对象进行分级,包括对信息保密程度、用户操作权限、网络安全程度、系统实现结构的分级。
l 电子安全技术
- 加密技术:以某种特殊的算法改变原有的信息数据,使得未授权的用户即使获得了已加密的信息,但因不知解密的方法,仍然无法了解信息的内容。相关概念:明文、密文、算法、密钥、加密、解密
a) 对称加密技术: 对称加密也称为私钥加密,在对称密钥加密中,信息的发送者和接收者使用同样的密钥,是使用最广泛的加密类型.eg: DES(Data Encryption Standard)数据加密标准; 国际数据加密算法(IDEA).特点是:使用起来简单快捷,密钥较短,且破译困难。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段密钥未曾泄露,那么机密性和报文完整性就可以得以保证。
b) 非对称加密技术:公开密钥加密,在非对称密钥加密中,信息的发送者和接收者使用不同的密钥。一对密钥公开密钥(Public Key,简称公钥)和私有密钥(Private Key,简称私钥),每个用户可以得到唯一的一对密钥,一个是公开的,另一个是保密的。公开密钥保存在公共区域,可在用户中传递。而私钥必须存放在安全保密的地方。Eg:RSA(其安全性基于大整数因子分解的困难性)。特点: 保密性比较好,它消除了最终用户交换密钥的需要,但加密和解密花费时间长、速度慢,它不适合于对文件加密而只适用于对少量数据进行加密。 防止对信息的否认与抵赖、保护数据信息的完整性。加密:A要给B发密文,只要A取到B的公钥,用公钥加密,那么就只有B能用自己的私钥解密。签名:当A需要发送证明自己身份的信息的时候,就可以在发送之前用自己的私钥对信息做加密,接收方发现是A发的信息,那么用A的公钥来解密确认,如果成功则说明该信息确实是A发送的。
- 消息摘要:消息摘要(Message Digest)又称为数字摘要(Digital Digest)。它是一个唯一对应一个消息或文本的固定长度的值,它由一个单向Hash加密函数对消息进行作用而产生。消息摘要保证了消息的完整性。HASH函数的抗冲突性使得如果一段明文稍有变化,哪怕只更改该段落的一个字母,通过哈希算法作用后都将产生不同的值,生成的值叫密文亦称为数字指纹(Finger Print),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的。哈希算法又可称为不可逆加密算法,它在生成消息摘要时不需要使用密钥。Eg:MD5生成128位,SHA-1 生成 160 位的摘要。
未完……