《第1章 电子商务安全概述》由会员分享,可在线阅读,更多相关《第1章 电子商务安全概述(34页珍藏版)》请在金锄头文库上搜索。
1、电子商务安全保密技术及应用电子商务安全保密技术及应用2012.9课程内容课程内容n第1章 电子商务安全概述第2章 现代加密技术第3章 数字签名技术第4章 身份认证技术第5章 密钥管理技术第6章 计算机病毒及其防治第7章 互联网安全技术第8章 电子商务安全协议与安全标准第9章 认证技术第10章 电子商务的法律规范第11章 电子商务安全应用案例第12章 电子商务安全产品简介课程内容课程内容第一部分 电子商务安全概述第二部分 现代加密技术第三部分 认证技术第四部分 支付协议第五部分 网络安全技术第六部分 法律规范课程内容课程内容电子商务安全技术电子商务安全需求电子商务安全风险第一章电子商务安全概述第
2、一章电子商务安全概述本章重点本章重点第一节:电子商务安全与网络安全第一节:电子商务安全与网络安全第二节:电子商务安全分析第二节:电子商务安全分析第三节:电子商务安全技术第三节:电子商务安全技术第四节:网络安全第四节:网络安全电子商务安全与网络安全电子商务安全与网络安全一、电子商务的定义一、电子商务的定义二、电子商务的应用框架二、电子商务的应用框架 (概括为三个层次、四个支柱)(概括为三个层次、四个支柱)电子商务安全与网络安全电子商务安全与网络安全 图图1-1 1-1 电子商务的一般框架结构电子商务的一般框架结构电子商务安全与网络安全电子商务安全与网络安全 网络层次网络层次是电子商务得以正常运行
3、的物质基础,是信息传输是电子商务得以正常运行的物质基础,是信息传输的载体和用户接入的载体和用户接入InternetInternet的手段。它包括各种各样的物理通信的手段。它包括各种各样的物理通信平台和信息传送方式,包括平台和信息传送方式,包括硬件、软件、和通信网络硬件、软件、和通信网络等,也是实等,也是实现电子商务的最底层的基本设施。现电子商务的最底层的基本设施。 信息发布信息发布层次层次主要提供传输信息的工具和方式,它解决了不主要提供传输信息的工具和方式,它解决了不同媒体形式的信息如何实现在网络上按要求传输的问题。在计算同媒体形式的信息如何实现在网络上按要求传输的问题。在计算机网络上,来往传
4、输信息的性质很重要,信息和多媒体内容的种机网络上,来往传输信息的性质很重要,信息和多媒体内容的种类决定了何种载运工具最适宜。类决定了何种载运工具最适宜。 电子商务安全与网络安全电子商务安全与网络安全 业务层业务层又称电子商务基础设施(电子商务平台)。该层次又称电子商务基础设施(电子商务平台)。该层次主要为方便交易而提供的通用业务服务,是所有的企业、个人主要为方便交易而提供的通用业务服务,是所有的企业、个人在参与贸易时都会用到的服务,主要包括:信息安全传送服务、在参与贸易时都会用到的服务,主要包括:信息安全传送服务、认证(认证(CACA)服务,电子支付服务和商品、公司目录服务等。)服务,电子支付
5、服务和商品、公司目录服务等。 应用层应用层主要是各种各样的电子商务应用系统,电子商务应主要是各种各样的电子商务应用系统,电子商务应用的表现形式各不相同,其应用的领域也将不断扩大,它是集用的表现形式各不相同,其应用的领域也将不断扩大,它是集信息、技术、服务和商品交易为一体的综合性的虚拟市场。例信息、技术、服务和商品交易为一体的综合性的虚拟市场。例如,网上采购、在线销售、网上中介交易如,网上采购、在线销售、网上中介交易电子商务安全与网络安全电子商务安全与网络安全网络安全:网络安全: 指网络系统的硬件、软件及其系统中的数据受到保护,指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的
6、原因而遭到破坏、更改、泄露,系统不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统可以连续可靠正常地运行,网络服务不被中断。可以连续可靠正常地运行,网络服务不被中断。 信息安全:信息安全: 信息安全是指防止信息财产被故意的或偶然的泄漏、破信息安全是指防止信息财产被故意的或偶然的泄漏、破坏、更改,保证信息使用的完整、有效、合法。坏、更改,保证信息使用的完整、有效、合法。 电子商务安全电子商务安全 交易安全交易安全+ +支付安全支付安全电子商务安全与网络安全、信息安全的关系电子商务安全与网络安全、信息安全的关系电子商务安全与网络安全电子商务安全与网络安全一、电子商务安全现状一、电子商务安全现状
7、CNNICCNNIC发布的发布的第第2828次中国互联网络发展状况次中国互联网络发展状况统计报告统计报告 中显示:中显示:20112011年上半年,遇到过病毒年上半年,遇到过病毒或木马攻击的网民达到或木马攻击的网民达到2.172.17亿,比例为亿,比例为44.7%44.7%;有;有过账号或密码被盗经历的网民达到过账号或密码被盗经历的网民达到1.211.21亿人,占亿人,占24.9%24.9%,较,较20102010年增加年增加3.13.1个百分点;有个百分点;有8%8%的网民的网民在网上遇到过消费欺诈,该群体网民规模达到在网上遇到过消费欺诈,该群体网民规模达到38803880万。万。 电子商务
8、安全分析电子商务安全分析一、电子商务安全风险分析一、电子商务安全风险分析 1 1、信息安全、信息安全(被窃取、篡改、丢失及传递中的风险)(被窃取、篡改、丢失及传递中的风险) 2 2、信用安全、信用安全 3 3、管理风险、管理风险 4 4、法律风险、法律风险电子商务安全分析电子商务安全分析二、电子商务安全的基本要求二、电子商务安全的基本要求 1、可靠性要求、可靠性要求 2、保密性要求、保密性要求 3、完整性要求、完整性要求 4、真实性要求、真实性要求 5、不可抵赖性要求、不可抵赖性要求 6、有效性要求、有效性要求电子商务安全分析电子商务安全分析信息安全要求:信息安全要求:1 1、国家信息安全重点
9、实验室:、国家信息安全重点实验室:“信息安全涉及到信息的信息安全涉及到信息的机密性、完整性、可用性、可控性机密性、完整性、可用性、可控性。综合起来说,就是要。综合起来说,就是要保障电子信息的有效性。保障电子信息的有效性。” ” 2 2、英国、英国BS7799BS7799信息安全管理标准:信息安全涉及的是信息安全管理标准:信息安全涉及的是机机密性、完整性、可用性密性、完整性、可用性。” ” 3 3、美国国家安全局:、美国国家安全局:“包括包括机密性、完整性、可用性、机密性、完整性、可用性、真实性和不可抵赖性真实性和不可抵赖性。” 电子商务安全分析电子商务安全分析电子商务系统安全的类型电子商务系统
10、安全的类型电子商务安全技术电子商务安全技术电子商务系统安全环境安全设备安全媒体安全风险分析备份恢复应急操作系统安全数据库安全访问控制实体安全运行安全信息安全电子商务安全体系:电子商务安全体系:电子商务安全技术电子商务安全技术网络服务层加密技术层认证技术层安全协议层应用层数字签名数字信封对称加密非对称加密CA安全策略SSL协议SET协议现代加密技术现代加密技术 对称加密,非对称加密认证技术认证技术 数字摘要、数字签名、数字信封、数字时间戳、CA支付协议支付协议 SSL协议;SET协议网络安全技术网络安全技术 网络协议;病毒防治电子商务安全技术电子商务安全技术一、网络安全涉及的领域二、网络安全的主
11、要问题三、网络安全标准四、网络安全策略网络安全标准与策略网络安全标准与策略网络安全概述网络安全概述 什么是网络安全(五要素)什么是网络安全(五要素)什么是网络安全(五要素)什么是网络安全(五要素) 可用性可用性可用性可用性: 授权实体有权访问数据授权实体有权访问数据授权实体有权访问数据授权实体有权访问数据 机密性机密性机密性机密性: 信息不暴露给未授权实体或进程信息不暴露给未授权实体或进程信息不暴露给未授权实体或进程信息不暴露给未授权实体或进程 完整性完整性完整性完整性: 保证数据不被未授权修改保证数据不被未授权修改保证数据不被未授权修改保证数据不被未授权修改 可控性可控性可控性可控性: 控制
12、授权范围内的信息流向及操作方式控制授权范围内的信息流向及操作方式控制授权范围内的信息流向及操作方式控制授权范围内的信息流向及操作方式 可审查性:对出现的安全问题提供依据与手段可审查性:对出现的安全问题提供依据与手段可审查性:对出现的安全问题提供依据与手段可审查性:对出现的安全问题提供依据与手段网络安全概述网络安全概述 一、网络安全涉及的领域一、网络安全涉及的领域 1、社会经济领域、社会经济领域 2、技术领域、技术领域 3、电子商务领域、电子商务领域网络安全概述网络安全概述二、网络安全的主要问题二、网络安全的主要问题 1、物理安全 2、网络结构的安全 3、系统的安全 4、管理的安全 网络安全概述
13、网络安全概述二、网络安全的主要问题二、网络安全的主要问题攻击方法分为:服务攻击与非服务攻击。攻击方法分为:服务攻击与非服务攻击。1、服务攻击是针对某种特定网络服务的攻击,如针对Email服务、Telnet、FTP、HTTP等服务的专门攻击。2、非服务攻击不针对某项具体应用服务,而是基于网络层等低层协议而进行的,TCP/IP协议(尤其是IPV4) 自身的安全机制不足为攻击者提供了方便之门,如源路由攻击和地址欺骗都属于这一类。 网络安全概述网络安全概述三、网络安全标准三、网络安全标准 为实现对网络安全的定性评价,美国国防部所属的国家计算机安全中心(NCSC)在20世纪90年代提出了网络安全性标准(
14、DoD5200.28-STD),即可信任计算机标准评估准则(Trusted Computer Standards Evaluation Criteria),也叫橘皮书(Orange Book)。网络安全概述网络安全概述三、网络安全标准三、网络安全标准D类:最小的保护。这是最低的一类,属于非安全保护类。C类:无条件的保护。C类提供的无条件的保护也就是“需要则知道”(need-to-know)的保护,又分两个子类。 C1:无条件的安全保护。用户与数据分离。早期的UNIX系统属于这一类。 C2:有控制的存取保护。这是C类中较高的一个子类,除了提供C1中的策略与责任外,还有访问保护和审计跟踪功能,wi
15、ndows2000的某些执行方法符合C2级别。网络安全概述网络安全概述三、网络安全标准三、网络安全标准B类:属强制保护B1:标记安全保护,是B类中的最低子类,除满足C类要求外,要求提供数据标记。B2:结构安全保护, 除满足B1要求外,要实行强制性的控制并进行严格的保护,这个级别支持硬件保护。B3:安全域保护,是B类中的最高子类,提供可信设备的管理和恢复,即使计算机崩溃,也不会泄露系统信息。A类:经过验证的保护,是安全系统等级的最高类,这类系统可建立在具有结构、规范和信息流密闭的形式模型基础之上。A1:经过验证保护。这个级别要求严格的数学证明。 网络安全概述网络安全概述网络安全概述网络安全概述D
16、C1 自主访问控制C2 定义访问控制B1标记安全B2结构安全B3安全域A自主保护 强制保护无保护验证保护D:无保护:无保护C1 :用户与数据分离:用户与数据分离C2:C1+访问控制访问控制B1:C2+管理员控制管理员控制B2:B1+外围系统的管理员控制外围系统的管理员控制B3:B2+硬件保护硬件保护A1:数学证明:数学证明网络安全概述网络安全概述 由公安部主持制定、国家技术标准局发布的中华人民共和国国家标准GB17895-1999计算机信息系统安全保护等级划分准则已经正式颁布。该准则将信息系统安全分为5个等级,分别是:自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。 网络安全概述网络安全概述 四、网络安全策略四、网络安全策略 物理安全策略 访问控制策略 信息加密策略 网络安全管理策略 网络安全概述网络安全概述四、网络安全策略四、网络安全策略网络遭破坏时的行动方案: 保护方式和跟踪方式 网络安全概述网络安全概述1 1、电子商务应用框架、电子商务应用框架2 2、电子商务安全体系、电子商务安全体系3 3、电商安全、网络安全、信息安全区别、电商安全、网络安全、信息安全区别4 4、电子商务安全风险、电子商务安全风险5 5、电子商务安全需求、电子商务安全需求6 6、网络安全问题、需求、策略、网络安全问题、需求、策略7 7、网络安全标准、网络安全标准总结总结
