《电子商务安全体系分析》由会员分享,可在线阅读,更多相关《电子商务安全体系分析(58页珍藏版)》请在金锄头文库上搜索。
1、学习情境1电子商务安全体系分析1.1电子商务及其系统构成 1.2电子商务安全概况 1.3电子商务安全的保障 1.4 电子商务安全体系1.1电子商务及其系统构成 1.1.1电子商务的内涵 1.1.2电子商务系统构成 1.1.1电子商务的内涵1.世界电子商务会议关于电子商务的定义电子商务(ELECTRONIC COMMERCE),是指对 整个贸易活动实现电子化。2.政府部门对电子商务的定义 电子商务是通过电子方式进行的商务活动。包括货物电 子贸易和服务、在线数据传递、电子资金划拨、电子证券交 易、电子货运单证、商业拍卖、合作设计和工程、在线资料 、公共产品获得。包括了产品(如消费品、专门设备)和服
2、 务(如信息服务、金融和法律服务)、传统活动(如健身、 体育)和新型活动(如虚拟购物、虚拟训练)。 1.1.1电子商务的内涵3.权威学者对电子商务的定义广义地讲,电子商务是一种现代商业方法。这种方 法通过改善产品和服务质量、提高服务传递速度,满足 政府组织、厂商和消费者的降低成本的需求。这一概念 也用于通过计算机网络寻找信息以支持决策。一般地讲 ,今天的电子商务通过计算机网络将买方和卖方的信息 、产品和服务器联系起来,而未来的电子商务者通过构 成信息高速公路的无数计算机网络将买方和卖方联系起 来。 1.1.1电子商务的内涵4. IT(信息技术)行业对电子商务的定义IBM公司关于电子商务的描述,
3、可以用一个公式来 概括,即电子商务WebIT。它强调的是在网络计算 环境下的商业化应用,是把买方、卖方、厂商及其合作 伙伴在互联网(Internet)、企业内部网(Intranet) 和企业外部网(Extranet)结合起来的应用。1.1.1电子商务的内涵狭义电子商务概念:1.1.1电子商务的内涵广义电子商务概念: 企业利用现代化信息技术开展的一切商务活动,如 市场分析、客户联系、物资调配等。它既包括网上交易 ,还包括企业内部业务活动(如计划、生产、财务管理 等)以及企业之间的协作与协调。1.1.1电子商务的内涵广义电子商务和狭义电子商务1.1.1电子商务的内涵电子商务内涵:1.电子商务的本质
4、是“商务”,是在“电子”基础上的商务 2.电子商务的前提是商务信息化 3.电子商务的核心是人 4.电子商务是对传统商务的改良而不是革命 5.电子工具必定是现代化的 6.对象的变化也是至关重要的 1.1.1电子商务的内涵电子商务的技术特征: 1.信息化 2.虚拟性3.集成性 4.可扩展性 5.安全性 6.系统性 1.1.1电子商务的内涵电子商务的应用特征: 1.商务性 2.服务性3.协调性 4.社会性 5.全球性 1.1.2 电子商务系统构成 1.电子商务系统的分类1)按照商业活动的运作方式分类: 我们可以将电子商务分为纯 电子商务和部分电子商务。当我们从商务涉及的产品( product)、过程
5、(process)、交付代理(delivery agent)三个维度上分析电子商务,会发现传统商务在所有维 度上都是物理的(physical),而纯电子商务在所有维度上都是 数字的(digital),除此之外,都属于部分电子商务,它们是以 数字和物理维度的结合来完成整个商务活动。1.1.2 电子商务系统构成 2)按照使用网络的类型来分类: 基于EDI网络的电子 商务,就是利用EDI网络进行电子交易。 3)按照交易对象分类: B2B,B2C,B2G,C2G,C2C1.1.2 电子商务系统构成 2.电子商务的一般框架1.1.2 电子商务系统构成 3.电子商务系统的基本组成1.1.2 电子商务系统构
6、成 4.电子商务系统的结构 (1)客户机/服务器(C/S)结构:C/S结构通过将任 务合理分配到Client端和Server端,降低了系统的 通讯开销,可以充分利用两端硬件环境的优势。(2)B/W/S三层结构 :B/W/S(browser/web server/database server)三层结构 (3)电子商务系统结构 1.2 电子商务安全概况 1.2.1电子商务安全概念与特点1.2.2电子商务的风险与安全问题1.2.3电子商务系统安全的构成1.2.1电子商务安全概念与特点 电子商务安全保护在电子商务系统里的保护在电子商务系统里的 企业或个人资产(物理化企业或个人资产(物理化 的和电子化
7、的)不受未经的和电子化的)不受未经 授权的访问、使用、窜改授权的访问、使用、窜改 或破坏。或破坏。继续1.2.1电子商务安全概念与特点 对电子商务安全的认识应注意以下几个特点:1.安全不仅仅是安全管理部门的事情2.电子商务安全具有全面性、普遍性3.安全是一个系统概念 4.安全是相对的、发展变化的5.安全是有代价的 继续1.2.1电子商务安全概念与特点 电子商务安全的特征 1.保密性(Confidentiality)2.完整性(Integrity)3.可用性(Availability) 继续1.2.2电子商务的风险与安全问题 1.电子商务的风险 要想有效管理电子商务风险,一个企业开展电子商务 需
8、要考虑风险的三个主要领域:危害性不确定性机遇 1.2.2电子商务的风险与安全问题 (1)危害性 传统的风险管理趋于将注意力集中于危害性,也就是潜在的消极事件 。在电子商务领域中,需要考虑的主要危险包括:1) 安全性。2) 法律和规则问题。3) 税收。4) 电子商务的弹性。返回返回1.2.2电子商务的风险与安全问题 (2)不确定性 不确定性管理,涉及规划、决策制定、实施和监控,以保证日常 操作能够提供有效果的和有效率的预计结果。在电子商务领域,需要管理的主要不确定性包括:1)消费者的信心。2)与广告商的关系。 3)改变流程。 返回返回1.2.2电子商务的风险与安全问题 (3)机遇 通过确定市场中
9、的商机来利用风险可以获得有效的竞争优势并增加 收益。在电子商务领域,需要考虑的商机包括:返回返回1) 建立客户忠诚度。 2) 优化业务流程。3) 创造新的产品和服务。 1.2.2电子商务的风险与安全问题 从电子商务的交易实施过程的角度来看,存在着诸如产品识别、质量控制、网 上支付、物流配送和信息传递,对以下的风险因素进行更详细的分析:(1)产品识别风险(2)质量控制风险(3)网上支付风险 (4)物权转移中的风险 (5)信息传递风险 继续1.2.2电子商务的风险与安全问题 2.电子商务安全问题 电子商务的安全问题主要涉及信息的安全问题、信用的安 全问题、安全的管理问题以及电子商务安全的法律保障问
10、 题。 继续1.2.2电子商务的风险与安全问题 (1)信息安全问题 1)信息泄密2)信息篡改 3)信息丢失 4)信息破坏 继续1.2.2电子商务的风险与安全问题 (2)信用安全问题 1)来自买方的信用安全问题 2)来自卖方的信用安全问题 3)买卖双方的抵赖行为 继续1.2.2电子商务的风险与安全问题 (3)安全的管理问题 严格管理是降低电子商务风险的重要保证。安全管理的目的,就是提供从事商务活动的可信的运行环境,需要有完善的管 理制度和相关的技术支持。人员管理常常是电子商务安全管理上的最薄弱环节。此外,目前现有的信息系统绝大多数都缺少安全管理员,缺少信息系统安全管 理的技术规范,缺少定期的安全
11、测试与检查,更缺少安全监控。 继续1.2.2电子商务的风险与安全问题 (4)安全的法律保障问题 电子商务的技术设计是先进的、超前的、具有强大的 生命力,但同时也必须清楚地认识到,在目前的法律上是 没有现成的条文来保护电子商务交易中的交易方式的,在 网上交易可能会承担由于法律滞后而带来的安全风险。 继续1.2.2电子商务的风险与安全问题 此外,电子商务给传统税收也造成了冲击,各国之 间的税收平衡问题也突显出来,会引发新的税收风险。 继续1.2.3电子商务系统安全的构成电子商务系统,从某种意义上说,就是一种建立在网络环境里的计算机信息系统 。1.系统实体安全2.系统运行安全3.系统信息安全任务:试
12、分析电子商务系统安全的构成。1.2.3电子商务系统安全的构成 1.系统实体安全 实体安全,是指保护计算机设备、设施以及其他媒体免 受自然灾害和其他环境事故(如电磁污染等)破坏的措施 、过程。继续1.2.3电子商务系统安全的构成 系统实体安全的组成:(1)环境安全就是要对电子商务系统所在的环境加以安全保护,主要 包括灾害保护和区域保护。 (2)设备安全是指对电子商务系统的设备(包括网络)进行安全保护 ,主要是设备防盗、设备防毁、防电磁信息泄漏、防线路截获、抗电磁 干扰以及电源保护。 (3)媒体安全指对媒体数据和媒体本身实施安全保护。继续1.2.3电子商务系统安全的构成 2.系统运行安全 是指为保
13、障系统功能的安全实现,提供一套安全措施来 保护信息处理过程的安全。继续1.2.3电子商务系统安全的构成 (1)风险分析,就是要对电子商务系统进行人工或自动的风险分析。 (2)审计跟踪,就是要对电子商务系统进行人工或自动的审计跟踪,保存审 计记录和维护详尽的审计日志。(3)备份与恢复,运行安全中的备份与恢复,就是要提供对系统设备和系统数据的备份与恢复。 (4)应急,运行安全中的应急措施,是为了在紧急事件或安全事故发生时,提供保障电子商务系统继续运行或紧急恢复所需要的策略。 继续1.2.3电子商务系统安全的构成 3.信息安全 是指防止信息财产被故意的或偶然的非授权泄漏、更改、破坏或使 信息被非法的
14、系统辨识、控制,信息安全要确保信息的完整性、保密 性、可用性和可控性。信息安全由七个部分组成:(1)操作系统安全(2)数据库安全(3)网络安全(4)计算机病毒防护(5)访问控制 (6)加密(7)鉴别继续(1)操作系统安全是指对计算机信息系统的硬件和软件资源的有效控制,能够为所管理的 资源提供相应的安全保护。操作系统的安全由两个部分组成:1)安全操作系统:指从系统设计、实现和使用等各个阶段都遵循了一套完 整的安全策略的操作系统。2) 操作系统安全部件:操作系统安全部件的目的是增强现有操作系统的安 全性。 继续(2)数据库安全是对数据库系统所管理的数据和资源提供安全保护。 1)安全数据库系统,是指
15、从系统设计、实现、使用和管理等各个阶段都遵 循一套完整的系统安全策略的数据库系统。2)数据库系统安全部件,是以现有数据库系统所提供的功能为基础构建安 全模块,旨在增强现有数据库系统的安全性。 继续(3)网络安全是指提供访问网络安全资源或使用网络服务的安全保护。1)网络安全管理,是指为网络的使用提供安全管理。 2)安全网络系统,对网络资源的访问和网络服务的使用提供一套完整的 安全保护,即从网络系统的设计、实现、使用和管理各个阶段,遵循 一套完整的安全策略的网络系统。3)网络系统安全部件。 继续(4)计算机病毒防护1)单机系统病毒防护2)网络系统病毒防护 3)网络系统安全部件 (5)访问控制 1)
16、出入控制,是为了阻止非授权用户进入机构或组织。2)存取控制,是针对主体访问客体时的存取控制,如通过对授权用户存取系统敏 感信息时进行安全性检查,以实现对授权用户的存取权限的控制。 继续(6)加密 加密,是将明文数据进行某种变换,使其成为不可理解的形式的过程。加密必须依赖两个要素:算法和密钥。(7)鉴别 鉴别是指提供身份鉴别和信息鉴别。身份鉴别,是提供对信息收发方(包括用户,设备和进程)真实身份的鉴别;信息鉴别,是提供对信息的正确性,完整性和不可否认性的鉴别。 继续1.3电子商务安全的保障 1.3.1 电子商务安全技术 1.3.2 电子商务安全国际规范1.3.3 电子商务安全法律要素 继续1.3.1电子商务安全技术继续1.3.1电子商务安全技术1.加密解密技术加密技术是信息安全技术中的一个重要的组成部分。加密就是用基于数学方法的程序和保密的密钥对信息进行 编码,把计算机数据变成一堆杂乱无章难以理解的字符串, 也就是把明文变成密文。 2.数字签名技术 通过数字签名技术可以确认当事人
