《电子商务概论课程电子商务安全技术》由会员分享,可在线阅读,更多相关《电子商务概论课程电子商务安全技术(27页珍藏版)》请在金锄头文库上搜索。
1、电子商务概论电子商务安全技术电子商务安全技术目目 录录8.1 8.1 电子商务中安全要素及面临的安全问题电子商务中安全要素及面临的安全问题8.2 8.2 病毒及黑客防范技术病毒及黑客防范技术8.3 8.3 防火墙技术防火墙技术8.4 8.4 加密算法加密算法 8.5 8.5 基于公开密钥体系的数字证书认证技术基于公开密钥体系的数字证书认证技术8.6 8.6 安全套接层(安全套接层(SSLSSL)协议协议8.7 8.7 安全电子交易(安全电子交易(SETSET)分析)分析8.8 Windows 8.8 Windows 系统中证书的应用系统中证书的应用8.9 8.9 信息安全管理信息安全管理8.1
2、 8.1 电子商务中安全要素及面临的安全问题电子商务中安全要素及面临的安全问题8.1.1电子商务的基本安全要素电子商务的基本安全要素 有效性机密性完整性可靠性/不可抵赖性/可鉴别性审查能力8.1.2电子商务中的安全问题电子商务中的安全问题 信息泄漏窜改身份识别问题电脑病毒问题黑客问题8.1 8.1 电子商务中安全要素及面临的安全问题电子商务中安全要素及面临的安全问题8.2 8.2 病毒及黑客防范技术病毒及黑客防范技术8.2.1.单机病毒DOS病毒、Windows病毒和宏病毒8.2.2网络病毒及其防范特洛伊木马和邮件病毒8.2.3网上炸弹及其防范IP炸弹、邮件炸弹、ICQ/QICQ炸弹8.3 8
3、.3 防火墙技术防火墙技术8.3.1防火墙定义防火墙定义防火墙是:防火墙是:内部网与外部网之间安全防范访问控制机制8.3.2防火墙技术防火墙技术数据包过滤应用网关代理服务8.3.3防火墙技术的发展防火墙技术的发展8.4 8.4 加密算法加密算法8.4.1对称密钥加密算法DES(DataEnercryptionStandard)8.4.2非对称密钥加密算法RSA(RivestShamirAd1eman)8.4.3散列函数MD-5、SHA8.4 8.4 加密算法加密算法8.4.4 8.4.4 一种组合的加密协议加密过程:一种组合的加密协议加密过程:8.4.5 8.4.5 一种组合的加密协议解密过程
4、:一种组合的加密协议解密过程:8.5 8.5 基于公开密钥体系体系的数字证书认证技术基于公开密钥体系体系的数字证书认证技术8.5.1公开密钥体系的定义公开密钥体系的定义 公开密钥体系公开密钥体系(Public Key Infrastructure:PKI),),是一种遵循既定标准的密钥管理平台,是为网络应用提供加密和数字签名等密码服务及所需密钥和证书的管理体系。8.5.2CA认证中心及数字证书认证中心及数字证书CA是一个负责发放和管理数字证书的权威机构8.5.3数字证书类型数字证书类型个人身份证书企业身份证书服务器身份证书企业代码签名证书安全电子邮件证书8.5 8.5 基于公开密钥体系体系的数
5、字证书认证技术基于公开密钥体系体系的数字证书认证技术8.6 8.6 安全套接层(安全套接层(SSLSSL)协议协议8.6.1概述概述SSL(SecureSocketsLayer)安全套接层协议:提供了两台计算机之间的安全连接,对整个会话进行了加密,从而保证了安全传输SSL协议分为两层:SSL握手协议和SSL记录协议8.6.2SSL协议安全连接特点协议安全连接特点:(1)连接是保密的(2)连接是可靠的(3)对端实体的鉴别采用非对称密码体制进行认证。8.6 8.6 安全套接层(安全套接层(SSLSSL)协议协议SSLSSL握手协议握手协议SSLSSL记录协议记录协议内容类型协议版本号长度数据有效载
6、荷信息验证码8.7 8.7 安全电子交易安全电子交易SETSET分析分析8.7.1安全电子商务模型安全电子商务模型InternetInternet支付网络证书权威机构支付网关支付者发卡者持卡人商家8.7.2SET的购物流程的购物流程8.7.3SET的认证的认证8.7 8.7 安全电子交易安全电子交易SETSET分析分析8.8 Windows 8.8 Windows 系统中证书的应用系统中证书的应用8.8.1在在Windows系统中使用个人数字证书系统中使用个人数字证书8.8.2服务器证书申请及安装服务器证书申请及安装8.8.3Windows2000系统中证书服务的安装系统中证书服务的安装8.9
7、 8.9 信息安全管理信息安全管理8.9.1建立信息安全管理体系的作用与意义建立信息安全管理体系的作用与意义信息安全管理体系ISMS(InformationSecuritryManagementSystems)是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。建立信息安全管理体系产生的作用:1强化员工的信息安全意识,规范组织信息安全行为;2对组织的关键信息资产进行全面系统的保护,维持竞争优势;3在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;4使组织的生意伙伴和客户对组织充满信心;5如果通过体系认证,表明体系符合标准,证明组织有能力保障重要信息,提高组
8、织的知名度与信任度;6促使管理层坚持贯彻信息安全保障体系。8.9 8.9 信息安全管理信息安全管理8.9.2我国信息安全管理现状我国信息安全管理现状1缺乏权威、统一立法管理机构,致使一些信息安全管理方面的法律法规不成体系和执行难度较大。2在IT系统建设过程中没有充分考虑,导致后期安全建设和管理工作比较被动,同时业务的发展及IT的建设与信息安全管理建设不对称;3目前现状多局限于局部性地使用安全产品,或使用有洞补洞的方式被动地解决问题,缺乏科学的、全面的安全管理规划;8.9 8.9 信息安全管理信息安全管理4目前的技术人员多偏重于网路、主机及应用系统开发,安全管理的力量薄弱;5缺少法律法规的约定方
9、法去进行管理。6信息安全管理应该是全员参与领导支持,但是多数企业的领导还是没有时间和精力顾及这方面的工作。8.9 8.9 信息安全管理信息安全管理8.9.3 信息安全管理标准信息安全管理标准1国际信息安全管理标准ISO/IEC13335、ISO/IEC27000系列2、我国信息安全管理相关标准GB17895-1999计算机信息系统安全保护等级划分准则GB/T18336:2001信息技术安全性评估准则GB/T20269-2006信息安全技术信息系统安全管理要求8.9 8.9 信息安全管理信息安全管理8.9.4 8.9.4 信息安全管理体系模型信息安全管理体系模型 PDCA模型 8.9.5 信息安全管理体系建设思路信息安全管理体系建设思路建立信息安全管理体系的主要步骤:1信息安全管理体系策划与准备2确定信息安全管理体系适用的范围3现状调查与风险评估4建立信息安全管理框架5信息安全管理体系文件编写6信息安全管理体系的运行与改进7信息安全管理体系审核8.9 8.9 信息安全管理信息安全管理本章小结(作业与讨论): 1 1、从商务的角度分析电子商务系统的安全要素?、从商务的角度分析电子商务系统的安全要素? 2 2、RSARSA、DESDES加密算法各有什么特点?加密算法各有什么特点? 3 3、如何安装数字证书?、如何安装数字证书?
