《电子商务安全管理 教学课件 ppt 作者 秦成德 第6章 电子商务信息安全》由会员分享,可在线阅读,更多相关《电子商务安全管理 教学课件 ppt 作者 秦成德 第6章 电子商务信息安全(48页珍藏版)》请在金锄头文库上搜索。
1、第6章 电子商务中的信息安全,6.1电子商务的信息安全概述 6.2电子商务的政府信息安全 6.3电子商务的企业信息安全 6.4电子商务的个人信息安全,6.1电子商务的信息安全概述,6.1.1电子商务信息安全的主要问题 6.1.2电子商务信息安全面临的威胁 6.1.3电子商务对信息安全的需求 6.1.4电子商务信息安全管理 6.1.5电子商务信息服务流程及处理架构,6.1电子商务的信息安全概述,随着互联网技术的蓬勃发展,基于网络和多媒体技术的电子商务应运而生并迅速发展。电子商务过程包括商品和服务交易的各个环节,如广告、商品购买、产品推销、信息咨询、商务洽谈、金融服务、商品的支付等商业交易活动。但
2、是出于各种目的的网络入侵和攻击也越来越频繁,脆弱的网络和不成熟的电子商务增强了人们的防范心理。由此得出,信息安全问题是保障电子商务的生命线。,6.1.1电子商务信息安全的主要问题,信息安全性的含义主要是信息的完整性、可用性、保密性和可靠性,电子商务活动中的信息安全问题主要体现在: (1)计算机网络的安全 安全协议问题。目前安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。 信息的安全问题。非法用户在网络的传输上,通过不正当手段,非法拦截会话数据获得合法用户的有效信息,最终导致合法用户的一些核心业务数据泄密;或者是非法用户对
3、截获的网络数据进行一些恶意篡改,如增加、减少和删除等操作,从而使信息失去真实性和完整性,导致合法用户无法正常交易;还有一些非法用户利用截获的网络数据包再次发送,恶意攻击对方的网络硬件和软件。,6.1.1电子商务信息安全的主要问题, 防病毒问题。电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。 服务器的安全问题。电子商务服务器是电子商务的核心,安装了大量的与电子商务有关的软件和商家信息,并且服务器上的数据库里有企业的一些敏感数据,如价格、成本等。
4、所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果也是非常严重的。目前为止服务器的安全问题尚无有效措施予以阻止。主要表现在:非法用户向网络或主机发送大量非法或无效的请求,使其消耗可用资源却无法继续提供正常的网络服务,利用操作系统、软件、网络协议、网络服务等的安全漏洞,通过网站发送特制的数据请求,使网络应用服务器崩溃而停止服务。,6.1.1电子商务信息安全的主要问题,(2)商务交易的安全 身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的
5、身份与他人进行交易,从而获得非法收入。 交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。 交易的修改问题。交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公正。,6.1.1电子商务信息安全的主要问题,(3)其他方面的安全 电子商务安全威胁种类繁多、来自各种可能的潜在方面,有蓄意而为的,也有无意造成的,例如电子交易衍生了一系列法律问题:网络交易纠纷的仲裁、网络交易契约等问题,急需为电子商务提供法律保障。还有诸如非法使用、操作人员不慎泄露信息、媒体
6、废弃物导致泄露信息等均可构成不同程度后果的威胁。,6.1.2电子商务信息安全面临的威胁,(1)电子商务信息存储安全隐患 信息存储安全是指电子商务信息在静态存放中的安全。其信息安全隐患主要包括非授权调用信息和篡改信息内容。企业的与联接后,电子商务的信息存储安全面临着内部和外部两方面的隐患: 内部隐患。主要是企业的用户故意或无意的非授权调用电子商务信息或未经许可随意增加、删除、修改电子商务信息。 外部隐患。主要是外部人员私自闯入企业,对电子商务信息故意或无意的非授权调用或增加、删除、修改。隐患的主要来源有竞争对手的恶意闯入、信息间谍的非法闯入以及黑客的骚扰闯入。,6.1.2电子商务信息安全面临的威
7、胁,(2)电子商务信息传输安全隐患 信息传输安全是指电子商务运行过程中,物流、资金流汇成信息流后动态传输过程中的安全。其安全隐患主要包括:窃取商业秘密、攻击网站、网上诈骗、否认发出信息等。 (3)电子商务交易双方的信息安全隐患 传统商务活动是面对面进行的,交易双方能较容易地建立信任感并产生安全感。而电子商务是买卖双方通过的信息流动来实现商品交换的,信息技术手段使不法之徒有机可乘,这就使得电子商务的交易双方在安全感和信任程度等方面都存在疑虑。电子商务的交易双方都面临着信息安全的威胁。,6.1.3电子商务对信息安全的需求,(1)信息的保密性。 (2)信息的完整性。 (3)信息的真实性。 (4)信息
8、的不可抵赖性。 (5)信息的有效性。,6.1.4电子商务信息安全管理,电子商务的信息安全管理,就是通过一个完整的综合保障体系,来规避信息传输风险、信用风险、管理风险和法律风险,以保证网上交易的顺利进行。网上交易安全管理,应采用综合防范的思路,一是技术方面的考虑,如防火墙技术、加密技术、身份认证、授权等,但只有技术措施并不能完全保证网上交易的安全;二是必须加强监管,建立各种有关的合理制度,并加强严格监督。关于电子商务信息安全管理制度的具体内容,请参见本书第7章。,6.1.5电子商务信息服务流程及处理架构,(1)信息安全的服务流程 建构安全的电子商务环境并非是购买一些类似防火墙、防毒、入侵/侦测防
9、御系统、目录管理、密码管理、资料加解密等信息安全产品就能解决的,而应将信息安全视为一服务流程来处理并加以建置方可。信息安全的服务流程包含风险评估、制定政策、安全建置、认知训练及实施稽核等。如图6-1所示。原则上,电子商务信息安全的服务流程执行步骤是逐步的且可重复的,并可适时正确地更新或调整信息安全,以提供稳建、安全的电子商务环境。,6.1.5电子商务信息服务流程及处理架构,图6-1 信息安全的服务流程,6.2 电子商务的政府信息安全,6.2.1电子政府的网络与数据的构建模式 6.2.2电子政府应用系统的构建模式 6.2.3电子政务对政府信息安全的要求 6.2.4当前政府信息安全存在的问题 6.
10、2.5政府信息安全策略,6.2 电子商务的政府信息安全,现阶段,政府机构在其管理和服务职能中运用现代信息技术,实现政府组织结构和工作流程的重组优化,超越时间、空间和部门分隔的制约,建成一个精简、高效、廉洁、公平的政府运作模式。也就是政府的网上业务运作模式,称为电子政务。电子政务是全面应用现代信息技术、网络技术及办公自动化技术为社会提供公共服务的一种全新的管理方式。这种新的管理方式,将会增加政府管理工作的透明度,促进政府治理与社会、民众的互动,提高政府系统的反应、决策和沟通能力,实现政府管理从传统的管制管理到服务管理的转变。为了适应国际形势和经济建设的需要,我国一直致力于电子政务的发展。目前绝大
11、部分地区实现了办公自动化,部分地区实现了网上单向公布信息,少数地区已经实现了网上办公的双向互动。通过多年电子政务经验,可迅速快捷地搭建起高效的电子政务平台。,6.2.1电子政府的网络与数据的构建模式,网络的构建是电子政府构建的前提条件。政府的信息网络是一个覆盖广大地域的基于最新网络技术的宽带多媒体综合信息网络。近年来,我国电信公用数据及多媒体信息网的建设取得了长足的进步。公用信息网络已覆盖了全国2000多个城市及发达地区的乡镇,电话网通达的地区用户基本可拨号上网,覆盖全国的公用ATM宽带网络即将建成开通,为我国电子政府的构建奠定了良好的网络基础。信息网络的最终目的是建立将四大通信网络(邮电通信
12、网、有线电视网、数据网、卫星网)结合于一体的公共通信网络平台。政府的数据信息可分为两种:一种是内部信息,这类信息主要为内部管理提供信息基础。,6.2.2电子政府应用系统的构建模式,构建电子政府的最终目的是政府职能上网。通过这个窗口为民众提供服务,建立电子政府的应用系统,此系统主要包括: (1)电子商务。在以电子签章(CA)及公开密钥等技术构建的信息安全环境下,推动政府机关之间、政府与企业间以电子资料交换技术ED 进行通信及交易处理。 (2)电子采购及招标。在电子商务的安全环境下,推动政府部门以电子化方式与供应商连线进行采购、交易及支付处理作业。 (3)电子福利支付。运用电子资料交换、磁卡、智能
13、卡等技术,处理政府各种社会福利作业,直接将政府的各种社会福利支付交付受益人。 是否有误?请确认。,6.2.2电子政府应用系统的构建模式,(4)电子邮递。建立政府整体性的电子邮递系统,并提供电子目录服务,以增进政府之间及政府与社会各部门之间的沟通效率。 (5)电子资料库。建立各种资料库并提供给人们以方便的方法通过网络等方式取得。 (6)电子化公文。公文制作及管理电脑化作业并通过网络进行公文交换,随时随地取得政府资料。 (7)电子税务。在网络上或其它渠道上提供电子化表格,使人们足不出户从网络上报税。 (8)电子身份认证。以一张智能卡集合个人的医疗资料、个人身份证、工作状况、个人信用、个人经历、收入
14、及缴税情况、公积金、养老保险、房产资料、指纹等身份识别等信息,通过网络实现政府部门的各项便民服务程序。,6.2.3电子政务对政府信息安全的要求,信息安全是指一个国家的社会信息化状态或信息技术体系不受外来威胁与侵害,它是一个复杂的体系。根据中华人民共和国计算机信息系统安全保护条例对信息安全的界定:“保障计算机及其相关的配套设备、设施(网络)的安全,运行环境的安全,保证信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”,电子政务对政府信息安全的要求可以理解为:保证政府信息安全、设备可靠、网络畅通和管理的有效。,6.2.4当前政府信息安全存在的问题,政府信息安全问题是一个长期存在的问题
15、,从广度上看它是一个包括技术、法律和管理等多个层面的综合体。当前我国政府信息安全同样在这些层面存在以下问题。 (1) 技术问题 计算机系统本身的安全缺陷。计算机系统本身的脆弱性构成了政府信息安全系统的潜在威胁。一方面,计算机硬件资源易受自然灾害和人为的破坏,如:洪水、火灾、地震的破坏,系统所处环境的影响(温湿度、磁场、污染等),硬件设备故障,突然断电或电压不稳定及各种人为误操作等,都会损害系统设备,造成数据丢失或破坏,甚至使整个系统瘫痪。另一方面,软件资源和数据信息易受计算机病毒的侵扰,非授权用户的复制、篡改和毁坏。,6.2.4当前政府信息安全存在的问题, 网络技术的不成熟和不完善。网络的开放
16、性和快捷性为政府之间、政府与社会之间搭建了一个良好的交流、合作平台。但网络系统的不成熟性也使处于网络中的信息资源面临着巨大的安全威胁。 技术和产品严重依赖其他国家。首先,我国缺少独立开发的信息设备、技术和产品,如计算机芯片、骨干路由器和微机主板等,这些产品基本上都依靠从国外进口,即使是我国自己开发的产品,有的也需要到国外进行加工,而在加工的任何一个环节上都有可能留下隐患。另外,为了加快电子政务的发展,缩小与世界先进技术水平的差距,我国引进了不少国外先进设备,但这些先进设备的关键技术并没有被我们掌握,对引进的软件和安全产品缺乏有效的检测和排除技术,这就有可能造成花钱买来隐患。,6.2.4当前政府信息安全存在的问题,(2)法律问题 法律和法规是推动电子政务建设顺利发展的重要“武器”,政务信息管理活动在法律的保护下才会更有效。我国在宪法和其他的法律法规中有涉及信息安全的规定,但整体立法层次不高,还存在很多问题。 我国尚没有专门针对政府信息安全管理的法律。 目前我国已有的电子政务法规和政策,基本上属于行政法规,有的甚至是部门法规,法律
