《电子商务(第四版)教学课件08电子商务安全管理》由会员分享,可在线阅读,更多相关《电子商务(第四版)教学课件08电子商务安全管理(28页珍藏版)》请在金锄头文库上搜索。
1、第八讲 电子商务的安全管理,电子商务的安全问题及要求 电子商务安全技术 电子商务安全制度 防止非法入侵,案例: 2012-2013年中国电子商务行业安全监测报告 视频: 互联网时代的忧虑,第一节 电子商务的安全问题及要求,电子商务安全问题 电子商务的安全要求 电子商务安全管理思路,一、电子商务的安全问题,电子商务交易带来的安全威胁 销售者面临的威胁 中央系统安全性被破坏:入侵者假冒成合法用户来改变用户数据(如商品送达地址)、解除用户订单或生成虚假订单。 竞争者检索商品递送状况:恶意竞争者以他人的名义来订购商品,可了解有关商品的递送和货物的库存情况。 客户资料被竞争者获悉。侵犯隐私、客户被抢 被
2、他人假冒而损害公司的信誉:不诚实的人建立与销售者服务器名字相同的另一个服务器来假冒销售者。 消费者提交订单后不付款。尝试性购买,不方便 虚假订单。尝试性 获取他人的机密数据。,购买者面临威胁 虚假订单:假冒者可能会以客户的名字来订购商品,而且有可能收到商品,而此时客户却被要求付款或返还商品。 付款后不能收到商品:在要求客户付款后,销售商中的内部人员不将定单和钱转发给执行部门,使客户不能收到商品。 机密性丧失:客户有可能将秘密的个人数据或自己的身份数据(如帐号、口令等)发送给冒充销售商的机构,这些信息也可能会在传递过程中被窃取。 拒绝服务:攻击者可能向销售商的服务器发送大量的虚假定单来穷竭它的资
3、源,从而使合法用户不能得到正常的服务。,电子商务的安全风险来源,网络系统自身的风险 网络系统自身的安全风险 物理实体的安全风险 计算机软件系统风险 网络协议的安全漏洞 黑客的恶意攻击 计算机病毒攻击,信息传输风险类型 冒名偷窃。如“黑客”为了获取重要的商业秘密、资源和信息,常常采用源IP地址欺骗攻击。 篡改数据。攻击者未经授权进入网络交易系统,使用非法手段,删除、修改、重发某些重要信息,造成网上交易的信息传输风险。 信息丢失。可能有三种情况:一是因为线路问题造成信息丢失;二是因为安全措施不当而丢失信息;三是在不同的操作平台上转换操作不当而丢失信息。信用卡交易 信息传递过程中的破坏。计算机技术发
4、展迅速,原有的病毒防范技术、加密技术、防火墙技术等存在着被新技术攻击的可能性。 虚假信息。网上交易中的信息传输风险还可能来源于用户以合法身份进入系统后,买卖双方都可能在网上发布虚假的供求信息,或以过期的信息冒充现在的信息,以骗取对方的钱款或货物。,信用风险 来自买方的信用风险。对于个人消费者来说,可能在网络上使用信用卡进行支付时恶意透支,或使用伪造的信用卡骗取卖方的货物行为;对于集团购买者来说,存在拖延货款的可能,卖方需要为此承担风险。 来自卖方的信用风险。卖方不能按质、按量、按时寄送消费者购买的货物,或者不能完全履行与集团购买者签定的合同,造成买方的风险。 买卖双方都存在抵赖的情况。,管理风
5、险 网上交易管理风险是指由于交易流程管理、人员管理、交易技术管理的不完善所带来的风险。 交易流程管理风险。在网络商品中介交易的过程中,买卖双方签定合同后,交易中心不仅要监督买方按时付款,还要监督卖方按时提供符合合同要求的货物 人员管理风险。内部犯罪,竞争对手还利用企业招募新人的方式潜入该企业,窃取企业的识别码、密码机密资料 交易技术管理风险。无口令用户、升级超级用户(微软),法律风险,是指法律上还是找不到现成的条文保护网络交易中的交易方式造成风险 法律滞后风险。在网上交易可能会承担由于法律滞后而无法保证合法交易的权益所造成的风险,如通过网络达成交易合同,可能因为法律条文还没有承认数字化合同的法
6、律效力而面临失去法律保护的危险 法律调整风险。在原来法律条文没有明确规定下而进行的网上交易,在后来颁布新的法律条文下属于违法经营所造成的损失。如网上证券交易、网上药店,二、电子商务的安全要求,有效性。电子商务以电子形式取代了纸张,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时间、确定的地点是有效的。 机密性。作为贸易的一种手段,电子商务的信息直接代表着个人、企业或国家的商业机密。要预防非法的信息存取和信息在传输过程中被非法窃取。 完整性。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完
7、整、统一的问题。要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复。 真实性和不可抵赖性的鉴别。交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识,三、电子商务安全管理思路,重要性。市场游戏规则的保证,市场逆向选择(回归传统交易来规避网上交易风险,虽然网上交易费用很低) 防范体系思路 技术方面的考虑,如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等 制度方面的考虑,建立各种有关的合理制度,并加强严格监督,如建立交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。 法律政策与法律保障,如尽快出台
8、电子证据法、电子商务法、网上消费者权益法等。这方面,主要发挥立法部门和执法部门的作用,第二节 电子商务安全技术,交易方自身网络安全保障技术 电子商务信息传输安全保障技术 身份和信息认证技术 电子商务安全支付技术,一、交易方自身网络安全保障技术,为了维护电子商务交易者内部网络的安全性,可以采用以下四种不同技术 用户账号管理和网络杀毒技术,用户账号是计算机网络的安全弱点之一,在网络环境下,计算机病毒具有更大的威胁和破坏力。 防火墙技术,由软件和硬件设备组合而成,是处于企业内部网和外部网之间,用于加强内外间安全防范的一个或一组系统。 虚拟专用技术,虚拟专用网,也称VPN 入侵检测技术,入侵检测系统作
9、为重要的网络安全工具,可以对系统或网络资源进行实时检测,及时发现系统和网络的入侵者。,电子商务信息传输安全保障技术 加密技术 基于最基本的安全技术,是实现信息保密的一种重要技术,目的是防止合法接受者之外的人获取信息系统中的机密信息后知悉其中的内容。 数字摘要技术 数字摘要又称Hash算法,是Ron Rivest发明的一种单向加密算法,其加密结构是不能解密的。,二、电子商务信息传输安全保障技术,客户认证(Client Authentication,CA)是基于用户的客户端主机IP地址的一种认证机制,它允许系统管理员为具有某一特定IP地址的授权用户定制访问权限。 客户认证内容: 身份认证,用于鉴别
10、用户身份 信息认证,用于保证通信双方的不可抵赖性和信息的完整性。 通过认证机构认证(CA),CA作为提供身份验证的第三方机构,是由一个或多个用户信任的组织实体组成的。,三、身份和信息认证技术,SSL安全协议 由网景(Netscape)公司推出的一种安全通信协议,能够对信用可和个人信息提供较强的保护。 该协议主要提供三方面服务: 认证用户和服务器 加密数据以隐藏被传送的数据 维护数据的完整性 该协议的运行步骤为:接通、密码交换、会谈密码、校验、客户认证、结束。 SSL安全协议是最早应用于电子商务的一中网络安全协议,其基点是商家对客户信息保密的承诺。,四、电子商务安全支付技术,SET安全协议 由V
11、ISA和MasterCard两大信用卡公司联合推出的规范,用于解决用户、商家、和银行之间通过信用卡进行交易的安全问题。 该协议的运行目标 保证信息在互联网上的传输安全 保证电子商务参与者信息相互隔离 解决多方认证 保证网上交易的实时性 规范消息和协议格式 涉及范围,:消费者、商家、银行、电子货币及认证中心 工作原理和缺陷,第三节 安全管理制度,安全管理制度 是指用文字形式对各项安全要求的规定,它是保证企业在网上经营管理取得成功的基础。 人员管理制度 特点:参与网上交易的经营管理人员责任重大,面临着防范严重的网络犯罪的任务。而计算机网络犯罪具有智能型、隐蔽性、连续性、高效性的特点。 对有关人员进
12、行上岗培训;落实工作责任制,违反网上交易安全规定的行为应坚决进行打击并及时的处理 安全运作基本原则:双人负责原则、任期有限原则、最小权限原则,保密制度 绝密级。如公司战略计划、公司内部财务报表等。此部分网址、密码不在Internet上公开,只限于高层掌握 机密级。如公司的日常管理情况、会议通知等。此部分网址、密码不在Internet上公开,只限中层以上使用。 秘密级。如公司简介、新产品介绍及订货方式等。此部分网址、密码在Internet上公开,供消费者浏览,但必须有保护程序,防止“黑客”入侵。 密钥的管理。大量的交易必然使用大量的密钥,密钥管理贯穿于密钥的产生、传递和销毁的全过程。密钥需要定期
13、更换,否则可能使“黑客”通过积累密文增加破译机会。,跟踪、审计、稽核制度 跟踪制度是要求企业建立网络交易系统日志机制,自动记录系统运行的全过程。内容包括操作日期、操作方式、登录次数、运行时间、交易内容等。它对系统的运行进行监督、维护分析、故障恢复,这对于防止案件的发生或在案件发生后,为侦破工作提供监督数据 审计制度包括经常对系统日志的检查、审核,及时发现对系统故意入侵行为的记录和对系统安全功能违反的记录,监控和捕捉各种安全事件,保存、维护和管理系统日志。 稽核制度是指工商管理、银行、税务人员利用计算机及网络系统,借助于稽核业务应用软件调阅、查询、审核、判断辖区内各电子商务参与单位业务经营活动的
14、合理性、安全性,堵塞漏洞,保证网上交易安全,发出相应的警示或作出处理处罚的有关决定的一系列步骤及措施。,系统维护制度 对于可管设备,通过安装网管软件进行系统故障诊断、显示及通告,网络流量与状态的监控、统计与分析,以及网络性能调优、负载平衡等 对于不可管设备,通过手工操作来检查状态,做到定期检查与随机抽查相结合,以便及时准确地掌握网络的运行状况,一旦有故障发生能及时处理 定期进行数据备份,数据备份与恢复主要是利用多种介质,如磁介质、纸介质、光碟、微缩载体等,对信息系统数据进行存储、备份和恢复。这种保护措施还包括对系统设备的备份,病毒防范,病毒防范制度 工作原理可以自我复制的小程序引导模块、传染模
15、块、激发模块和破坏模块 类型寄生方式:系统型、外壳型和程序型后果:良性、恶性 状态:静态、动态 途径:拷贝、网络(E-mail、下载)等 病毒特征(发现) 运行速度变慢、文件程度变长、出现破坏现象 防治方法监控和检测病毒 、消除病毒(杀毒软件,及时更新),二、法律制度,美国保证电子商务安全的相关法律 统一商业法规(UCC) 电子支付的法律制度 信息安全的法律制度 消费者权益保护的法律制度:个人隐私信息可能被商家掌握和非法利用;消费者退货问题;跨越国界物。禁止商家利用消费者的个人隐私信息进行商业活动;起诉商家时可以用消费者本国相关法律起诉 我国保证电子商务安全的相关法律 1991年,计算机软件保
16、护条例 1994年,中华人民共和国计算机信息系统安全保护条例 2004年,中华人民共和国电子签名法,第四节 防止非法入侵,网络“黑客”常用攻击手段 防范非法入侵的技术措施,一、网络“黑客”常用的攻击手段,“黑客(Hacker)”源于英语动词Hack,意为“劈,砍”,引申为“辟出,开辟”,进一步的意思是“干了一件非常漂亮的工作”。在本世纪早期的麻省理工学院校园侵语中,“黑客”则有“恶作剧”之意,尤指手法巧妙、技术高明的恶作剧。 其攻击手段 中断(攻击系统的可用性) 窃听(攻击系统的机密性) 窜改(攻击系统的完整性) 伪造(攻击系统的真实性) 轰炸(攻击系统的健壮性),防范非法入侵的技术措施 网络安全检测设备:对访问者进行监督控制,一旦发现有异常情况,马上采取应对措施,防止非法入侵者进一步攻击 访问设备。通过给访问者提供智能卡,通过智能卡的信息来控制用户使用 安全工具包。安全工具包主要是提供一些信息加密和保证系统安全的软件开发系统。用户可以在这些安全工具包的基础上进行二次开发,开发自己的安全系统。 防火墙(firewall):它通过对访问者进行过滤,可以使系统限定什么人在什么条件下可以进入自己网络系统。非法入侵者入侵时,就必须采用IP地址欺骗技术才能进入系统,但增加了入侵的难度。,
