《电子商务——第四章电子商务安全管理》由会员分享,可在线阅读,更多相关《电子商务——第四章电子商务安全管理(48页珍藏版)》请在金锄头文库上搜索。
1、第四章 电子商务安全管理,,2019/1/18,第4章 电子商务的安全管理,2,内容提要,4.1 电子商务的安全要求 4.2 客户认证 4.3 安全管理制度 4.4 法律制度 4.5 其他安全措施 4.6 容灾备份 课前故事网络上的肉鸡,2019/1/18,第4章 电子商务的安全管理,3,4.1 电子商务的安全要求,一、电子商务存在的安全隐患 二、电子商务安全风险的来源 三、实施电子商务的安全要求,2019/1/18,第4章 电子商务的安全管理,4,一、电子商务存在的安全隐患,1.电子商务系统的安全隐患 数据的安全 2.电子商务交易过程中的安全隐患 (1)购买者 (2)销售者,2019/1/1
2、8,第4章 电子商务的安全管理,5,购买者存在的安全隐患,虚假产品 付款后不能收到商品 机密性丧失 拒绝服务,2019/1/18,第4章 电子商务的安全管理,6,销售者存在的安全隐患,中央系统安全性被破坏 客户资料被竞争者获悉 被他人假冒而损害公司的信誉 消费者提交订单后不付款 虚假订单,2019/1/18,第4章 电子商务的安全管理,7,二、电子商务安全风险的来源,1.信息传输风险 2.信用风险 3.管理方面的风险 4.法律方面的风险,2019/1/18,第4章 电子商务的安全管理,8,信息传输风险,信息传输风险含义 信息传输风险来源 冒名偷窃 篡改数据 信息丢失 信息传递过程中的破坏 虚假
3、信息,2019/1/18,第4章 电子商务的安全管理,9,信用风险,信用风险来源 来自买方的信用风险 来自卖方的信用风险 买卖双方都存在抵赖的情况 信用风险特点 传统可以控制风险;网上交易更加依赖信用体系,同时信用体系也更加脆弱,2019/1/18,第4章 电子商务的安全管理,10,管理方面的风险,网上交易管理风险 交易流程管理风险 人员管理风险 交易技术管理风险,2019/1/18,第4章 电子商务的安全管理,11,法律方面的风险,法律滞后风险 法律调整风险,2019/1/18,第4章 电子商务的安全管理,12,三、实施电子商务的安全要求,1.有效性 2.机密性 3.完整性 4.真实性和不可
4、抵赖性的鉴别 防范思路 技术方面的考虑 制度方面的考虑 法规政策与法律保障,2019/1/18,第4章 电子商务的安全管理,13,4.2 客户认证,一、信息认证 二、身份认证 三、网络中的身份认证PKI 四、CA中心 五、网络中身份认证的实现 六、综合应用举例,2019/1/18,第4章 电子商务的安全管理,14,一、信息认证,1.什么是信息认证? 2.信息认证的要求 保证信息内容的保密性 保证数据的完整性 对数据和信息的来源进行验证,以确保发信人的身份 3.信息认证的实现方式 采用私密(对称)密钥加密系统(Secret Key Encryption) 公开(非对称)密钥加密系统(Public
5、 Key Encryption) 两者相结合的方式,2019/1/18,第4章 电子商务的安全管理,15,加密和解密过程,明 文,密 文,明 文,密 文,加密算法 加 密,解密算法 解 密,网络发送,发送者,网络,接收者,2019/1/18,第4章 电子商务的安全管理,16,对称密钥密码体制与DES算法,1.对称密钥密码体制 2.DES (Data Encryption Standard) 3.DES的加密与解密过程 4.DES 的优势和劣势,2019/1/18,第4章 电子商务的安全管理,17,非对称密钥密码体制与RSA算法,1.非对称密钥密码体制 2.RSA(Rivest, Shamir,
6、 Adleman) 3.RSA的加密与解密过程 4.RSA的优势和劣势 5.DES与RSA的互补应用,2019/1/18,第4章 电子商务的安全管理,18,二、身份认证,1.什么是身份认证? 2.身份认证的功能 可信性 完整性 不可抵赖性 访问控制 3.传统身份认证的方式 所知、所有、个人特征或者混合,2019/1/18,第4章 电子商务的安全管理,19,三、网络中的身份认证PKI,1.什么是PKI 公钥基础设施PKI(Public Key Infrastructure),是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,
7、PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。,2019/1/18,第4章 电子商务的安全管理,20,三、网络中的身份认证PKI,2.PKI的组成 (1)认证机构(CA) (2)数字证书库 (3)密钥备份及恢复系统 (4)证书作废系统 (5)应用接口(API),2019/1/18,第4章 电子商务的安全管理,21,三、网络中的身份认证PKI,3.PKI要解决的问题 (1)数据的机密性(Confidentiality) (2)数据的完整性(Integrity) (3)身份验证性(Authentication) (4)不可抵赖性(Non-Repudiation) 4.PKI的基础技术
8、加密、数字签名、数据完整性机制、数字信封、双重数字签名等,2019/1/18,第4章 电子商务的安全管理,22,四、CA中心,1.什么是CA(Certified Authentication)认证机构(中心)? 2.认证中心的基本原理 顾客向CA申请证书,证书包含了顾客的名字和他的公钥,以此作为网上证明自己身份的依据 做交易时,应向对方提交一个由CA中心签发的包含个人身份的证书,以使对方相信自己的身份 CA中心负责证书的发放、验收,并作为中介承担信用连带责任,2019/1/18,第4章 电子商务的安全管理,23,四、CA中心(2),3.认证中心的工作职能 (1)接收验证最终用户数字证书的申请
9、(2)证书审批 (3)证书发放 (4)证书的更新 (5)接收最终用户数字证书的查询、撤销 (6)产生和发布证书废止列表(CRL) (7)数字证书的归档 (8)密钥归档 (9)历史数据归档,2019/1/18,第4章 电子商务的安全管理,24,五、网络中身份认证的实现,1.数字证书 数字证书又称为数字标识,是网络通讯中标志通讯各方身份信息的一系列数据,它是一个经证书授权中心CA(Certificate Authority)数字签名的包含公开密钥拥有者信息以及公开密钥的文件 举例:数字证书申请表、责任书,2019/1/18,第4章 电子商务的安全管理,25,五、网络中身份认证的实现(2),2.数字
10、证书的作用 数据的机密性 数据的完整性 身份鉴别性 不可否认性 3.数字证书的主要应用 4.数字证书的分类,2019/1/18,第4章 电子商务的安全管理,26,五、网络中身份认证的实现(3),5.数字签名 (1)数字签名的概念与作用 (2)数字签名的过程 6.双重签名 (1)双重签名的概念与作用 (2)双重签名的过程 7.数字证书使用举例(申请、使用、查询),2019/1/18,第4章 电子商务的安全管理,27,六、综合应用举例,公司A、B需要通过认证中心的数字证书来实现数据交换和客户认证(举例) 思考: 1.他们之间的数据交换过程是如何进行的? 2.他们之间的客户认证过程是如何进行的? 3
11、.这个过程用到了哪些手段或者工具?,2019/1/18,第4章 电子商务的安全管理,28,4.3 安全管理制度,一、人员管理制度 二、保密制度 三、跟踪、审计、稽核制度 四、网络系统的日常维护制度 五、病毒防范制度,2019/1/18,第4章 电子商务的安全管理,29,一、人员管理制度,1.管理方法 对有关人员进行上岗培训 落实工作责任制,违反网上交易安全规定的行为应坚决进行打击并及时的处理 2.安全运作基本原则 双人负责原则 任期有限原则 最小权限原则,2019/1/18,第4章 电子商务的安全管理,30,二、保密制度,1.划分信息的安全级别,确定安全防范重点 绝密级 机密级 秘密级 2.对
12、密钥进行管理,2019/1/18,第4章 电子商务的安全管理,31,三、跟踪、审计、稽核制度,1.跟踪制度 2.审计制度 3.稽核制度,2019/1/18,第4章 电子商务的安全管理,32,四、网络系统的日常维护制度,1.对于可管设备 2.对于不可管设备 3.定期进行数据备份,2019/1/18,第4章 电子商务的安全管理,33,五、病毒防范制度,1.病毒 2.主要通过采用防病毒软件进行防毒 3.应用于网络的防病毒软件有两种 一种是单机版防病毒产品 一种是联机版防病毒产品 4.防毒软件的发展趋势,2019/1/18,第4章 电子商务的安全管理,34,4.4 法律制度,1.涉及法律问题:合同的执
13、行、赔偿、个人隐私、资金安全、知识产权保护、税收等问题 2.美国保证电子商务安全的相关法律 统一商业法规(UCC) 电子支付的法律制度 信息安全的法律制度 消费者权益保护的法律制度,2019/1/18,第4章 电子商务的安全管理,35,4.5 其他安全措施,一、网络黑客及其常用手段 二、防止非法入侵的措施 三、防火墙及其应用,2019/1/18,第4章 电子商务的安全管理,36,一、网络黑客及其常用手段,1.“黑客”的概念 2.“黑客”类型灰鸽子的爆发 骇客 窃客 3.网络黑客的常用攻击手段 中断 窃听 窜改 伪造 轰炸,2019/1/18,第4章 电子商务的安全管理,37,二、防止非法入侵的
14、措施,1.网络安全检测设备 2.访问设备 3.安全工具包 4.防火墙(firewall),2019/1/18,第4章 电子商务的安全管理,38,三、防火墙及其应用,1.防火墙的概念 2.防火墙的功能 (1)过滤掉不安全服务和非法用户 (2)控制对特殊站点的访问 (3)提供监视Internet安全和预警的方便 3.防火墙的特点,2019/1/18,第4章 电子商务的安全管理,39,三、防火墙及其应用(2),4.防火墙的位置 5.防火墙的分类 6.代理服务型防火墙的位置 7.代理服务型防火墙的种类 8.使用防火墙要注意的问题,2019/1/18,第4章 电子商务的安全管理,40,4.6 容灾备份,
15、一、灾难与容灾 二、容灾备份,2019/1/18,第4章 电子商务的安全管理,41,一、灾难与容灾,1.什么是灾难 指自然的和人为的灾难,包括系统硬件、网络故障、机房断电甚至火灾地震 2.2004年灾难造成的损失 3.数据丢失的原因和后果,2019/1/18,第4章 电子商务的安全管理,42,一、灾难与容灾(2),3.什么是容灾 (1)广义,所有与业务连续性相关的内容都纳入容灾 (2)狭义,除了生产站点以外,用户另外建立的冗余站点,当灾难发生生产站点受到破坏时,冗余站点可以接管用户正常的业务,达到业务不间断的目的,2019/1/18,第4章 电子商务的安全管理,43,一、灾难与容灾(3),4.
16、容灾的衡量指标 (1)RPO(Recovery Point Object),代表了当灾难发生时允许丢失的数据 (2)RTO(Recovery Time Object),代表了系统恢复的时间,2019/1/18,第4章 电子商务的安全管理,44,二、容灾备份,1. 容灾、备份与容灾备份 2.容灾的等级 (1)数据级别 (2)应用级别 (3)业务级别 3.实现技术 互连技术、远程镜像与快照、存储虚拟化,2019/1/18,第4章 电子商务的安全管理,45,课后阅读,查看我国的所有银行,统计看看有多少银行有自己的网站?占的比例是多少? 查看有网站的银行,看看他们的网站各有什么功能?按照银行一般的功能,分别做统计分析,看看各占多少比例? 查看网上银行的使用说明和使用方法,2019/1/18,第4章 电子商务的安全管理,46,课后问题,1.复习思考题和讨论题 2.案例分析题 3.课后实践题,下一讲,第五章 支付与网上银行,2019/1/18,第4章 电子商务的安全管理,48,中国部分电子商务认证中心,1.上海电子商
