第8章電子商務安全管理及技術(shù)

1、整理ppt第8章 電子商務安全管理及技術(shù)整理ppto一個全方位的電子商務安全管理體系應該從組織上、技術(shù)上、管理上以及法律法規(guī)等多方面入手，全面采取電子商務安全方法措施，這樣才能極大地實現(xiàn)電子商務的安全，保證電子商務交易的順利進行。整理ppt整理ppt1.1.電子商務安全電子商務安全 （1 1）電子商務安全的內(nèi)涵）電子商務安全的內(nèi)涵o電子商務的安全是一個廣泛而系統(tǒng)的概念，不僅包含著計算機系統(tǒng)結(jié)構(gòu)、網(wǎng)絡(luò)通信技術(shù)、電子商務應用環(huán)境、人員素質(zhì)等方面的安全，而且還與電子商務立法息息相關(guān) 。整理ppto電子商務安全從整體上可以分為兩大部分：計算機網(wǎng)絡(luò)安全和商務交易安全。o計算機網(wǎng)絡(luò)安全與電子商務交易安全實

2、際上是密不可分的，兩者相輔相成，缺一不可。整理ppt（2 2）電子商務的安全要素）電子商務的安全要素在電子商務交易過程中，交易各方面臨的威脅可能有o信息的截獲和竊取。o信息的篡改。o信息的假冒。o信息的抵賴。 整理ppt針對電子商務面臨的以上種種威脅，必須采取相應的應對策略，從多方面的電子商務安全要素入手，保證電子商務運行的安全實現(xiàn)。 可靠性。 真實性。 機密性。 完整性。 有效性。 不可抵賴性。 內(nèi)部網(wǎng)的嚴密性。整理ppt2 2電子商務安全管理電子商務安全管理（1 1）電子商務安全管理的概念）電子商務安全管理的概念o電子商務的安全管理，指通過一個完整的綜合保障系統(tǒng)，規(guī)避電子商務交易過程的風險

3、（信息傳輸風險、信用風險、管理風險、法律風險、網(wǎng)上支付風險等），以保證網(wǎng)上交易的順利進行。 整理ppt 電子商務的安全管理要求規(guī)避的風險主要電子商務的安全管理要求規(guī)避的風險主要有：有：o 電子商務網(wǎng)絡(luò)系統(tǒng)自身的安全風險。 o 電子商務交易信息傳輸過程中的風險 o 電子商務企業(yè)內(nèi)部安全管理風險 o 電子商務安全法律風險。o 電子商務的信用風險 o 電子商務安全支付風險整理ppt（2 2）電子商務安全與管理）電子商務安全與管理在如何正確看待電子商務的安全與管理時，需要注意幾點：o安全是一個系統(tǒng)的概念。安全是一個系統(tǒng)的概念。 不僅有技術(shù)，還有管理o安全是相對的。安全是相對的。 不要追求一個永遠也攻不

4、破的安全技術(shù)。整理ppto安全是有成本和代價的。安全是有成本和代價的。 如果不直接牽涉到支付等敏感問題，對安全的要求就低一些；反之，就高一些。o安全是發(fā)展的、動態(tài)的。安全是發(fā)展的、動態(tài)的。 需要不斷地檢查、評估和調(diào)整相應的安全管理策略整理ppto一個全方位的電子商務安全管理體系應該從組織上、技術(shù)上、管理上以及法律法規(guī)等多方面入手，全面采取電子商務安全方法措施 o（1）建立第三方認證機構(gòu)，組織行業(yè)協(xié)會制定安全管理標準。 整理ppto（2）全面應用電子商務安全技術(shù)，構(gòu)造多重防范措施。 o（3）加強電子商務安全管理，制定安全管理標準。 o（4）電子商務的安全影響國家和社會的穩(wěn)定，應盡快建立健全電子商

5、務法律法規(guī)。 整理ppt電子商務信用的管理1電子商務信用管理的必要性2電子商務信用管理體系3我國電子商務信用管理現(xiàn)狀及相關(guān)政策整理ppt1 1電子商務信用管理的必要性電子商務信用管理的必要性o面對電子商務的蓬勃發(fā)展趨勢，電子商務交易的信用危機卻悄然襲來。如，虛假交易、假冒行為、合同詐騙、網(wǎng)上拍賣哄抬價等行為屢屢發(fā)生，客觀上要求規(guī)范電子商務交易市場秩序。 o電子商務的經(jīng)銷商們由于不受地域限制，他們往往一開始就在較大范圍內(nèi)進行經(jīng)營。而其物流和配送系統(tǒng)并未跟上，這樣銷售商們常常不能按時交付商品或不能交付質(zhì)價相符的商品。 整理ppto這些現(xiàn)象在很大程度上制約了我國電子商務的快速、健康發(fā)展，隨著電子商務

6、在全球范圍內(nèi)的興起，如果不盡快改變這種傳統(tǒng)的交易方式，將會失去更多的市場份額和競爭優(yōu)勢。整理ppto因此，必須建立電子商務信用管理體系，對企業(yè)和相關(guān)商業(yè)網(wǎng)站的信用進行評級，驗證客戶真實身份，同時還應不斷收集客戶資料，評估和授予信用額度，保障債權(quán)，保障應收賬款安全和及時回收，為電子商務的發(fā)展營造一個較為寬松的信用環(huán)境，推動電子商務市場的健康發(fā)展，它是企業(yè)信用管理體系的重心。整理ppt2 2電子商務信用管理體系電子商務信用管理體系o電子商務中的信用問題電子商務中的信用問題是指電子商務交易過程中因缺乏一定的信任關(guān)系而導致電子商務的交易成本上升，使交易復雜化、混亂化，甚至無法正常進行。o完整的信用管理

7、體系應該包含信用信息采集系統(tǒng)、信用信用信息采集系統(tǒng)、信用評價及查詢系統(tǒng)、信用動態(tài)跟蹤及反饋系統(tǒng)、信用保障評價及查詢系統(tǒng)、信用動態(tài)跟蹤及反饋系統(tǒng)、信用保障系統(tǒng)等系統(tǒng)等子系統(tǒng)。整理ppto目前已有的信用管理模式目前已有的信用管理模式： a 以政府為主體的有“網(wǎng)絡(luò)公證計劃”模式 b 以企業(yè)為主體的有中介人模式 c 擔保人模式 d 網(wǎng)站經(jīng)營模式和委托授權(quán)模式o電子商務信用保障機制是有效實現(xiàn)其信用管理所必需的，保障機制的存在意義在于加快建設(shè)良好的電子商務信用環(huán)境，同時推進整個社會信用體系的完善。 整理ppt3 3我國電子商務信用管理現(xiàn)狀及相關(guān)政策我國電子商務信用管理現(xiàn)狀及相關(guān)政策o目前我國政府也開始重視

8、社會信用體系的建立，陸續(xù)出臺了相關(guān)的法律法規(guī)、文件，并鼓勵行業(yè)協(xié)會出臺有關(guān)的信用標準，推動整個社會經(jīng)濟的良好發(fā)展。整理ppto2006-2020年國家信息化發(fā)展戰(zhàn)略、關(guān)于加快電子商務發(fā)展的若干意見、強化服務促進中小企業(yè)信息化意見o電子商務行業(yè)協(xié)會、企業(yè)網(wǎng)站等也為電子商務行業(yè)信用體系的建設(shè)不斷地努力。 整理ppt整理ppto首先，制定和實施電子商務安全管理標準是電子商務安全交易的需要。o其次，制定和實施電子商務安全管理標準是電子商務支付的需要。o最后，制定和實施電子商務安全管理標準是社會穩(wěn)定，經(jīng)濟繁榮發(fā)展的需要。整理ppto電子商務安全管理標準的內(nèi)容主要有技術(shù)標準、安全管理制度及其標準、安全管理

9、法律法規(guī) 1 1技術(shù)方面的標準規(guī)范技術(shù)方面的標準規(guī)范早期措施：部分告知、 另行確認 、在線服務 現(xiàn)在推行： 加密標準。 電子商務安全協(xié)議。 數(shù)字簽名標準。 數(shù)字證書標準。 信息技術(shù)及網(wǎng)絡(luò)安全標準 美國國家安全局 官方標準橘皮書 我國相關(guān)技術(shù)標準 對稱密鑰加密標準：DES非對稱加密標準：主要有RSA、DSA、 Diffie-Hellman、PGP等 主要用于保證電子商務中數(shù)據(jù)的保密性、完整性、真實性和不可抵賴性 可以采用的協(xié)議有：安全超文本傳輸協(xié)議（STTP）安全套接層（Secure Sockets Layer，SSL） 安全交易技術(shù)協(xié)議（Secure Transaction Technolog

10、y，STT） 安全電子交易協(xié)議（SET） 是一個經(jīng)過授權(quán)中心（CA）數(shù)字簽名的、包含證書申請者（公開密鑰擁有者）個人信息及其公開密鑰的文件。 整理ppt2 2電子商務安全管理制度及其標準電子商務安全管理制度及其標準（1 1）電子商務安全管理制度）電子商務安全管理制度是使用文字和圖表的形式對各項安全要求所做的規(guī)定 ，主要包括： 人員管理制度。 保密制度。 跟蹤、審計、稽核制度。 設(shè)備管理。 整理ppt 用戶管理。 病毒防范。 應急措施（即災難恢復） （2 2）電子商務信用管理標準）電子商務信用管理標準o行業(yè)標準o信用標準整理ppt3 3電子商務安全管理法律、法規(guī)、國家政策電子商務安全管理法律、法

11、規(guī)、國家政策o目前，已有50多個包括國際組織、國家和地區(qū)制定了電子商務法或相應的標準。o我國也出臺了許多有關(guān)互聯(lián)網(wǎng)絡(luò)安全、電子商務交易管理以及電子信息效力的法律法規(guī)和指導意見，如： 中華人們共和國電子簽名法 商務部關(guān)于促進電子商務規(guī)范發(fā)展的意見 中國國際經(jīng)濟貿(mào)易仲裁委員網(wǎng)上仲裁規(guī)則 整理ppto安全協(xié)議安全協(xié)議是指由兩個或兩個以上的參與者，為完成某項特定的安全任務而采取的一系列步驟。 o電子商務中常用的安全協(xié)議電子商務中常用的安全協(xié)議有SSL協(xié)議、SET協(xié)議S-HTTP協(xié)議、First Virtual協(xié)議、支票支付協(xié)議、現(xiàn)金支付協(xié)議、安全電子郵件協(xié)議、Internet EDI協(xié)議、以及STT協(xié)

12、議等。整理ppt1 1SSLSSL（Secure Socket Layer Secure Socket Layer ）協(xié)議）協(xié)議SSL（安全套接層）協(xié)議是一個用來保證安全傳輸文件的協(xié)議o它主要是使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護信息傳輸?shù)臋C密性和完整性 ，但它不保證信息的不可抵賴性 o主要適用于點對點之間的信息傳輸。 整理ppt應用層協(xié)議（H TTP、Telnet、FTP、SM TP等）SSL握手協(xié)議SSL更改密碼說明協(xié)議SSL警告協(xié)議應用數(shù)據(jù)協(xié)議SSL R ecord Protocol SSL記錄協(xié)議TCPIP（1）SSL協(xié)議體系結(jié)構(gòu)協(xié)議體系結(jié)構(gòu)重要概念：SSL連接（Connect

13、ion） SSL會話（Session） 整理ppt服務類型作用服務器認證通過服務器具有的特定密鑰實現(xiàn)客戶機對服務器的認證客戶認證確信客戶具有合法的信用卡號，客戶認證為可選項通信的完整性防止黑客修改通信的保密性支持加密和解密 （2 2）SSLSSL協(xié)議提供的安全服務協(xié)議提供的安全服務整理pptoSSLSSL協(xié)議的運行過程協(xié)議的運行過程o第一步，客戶端向服務器端發(fā)送它的SSL版本號、加密算法設(shè)置、隨機產(chǎn)生的數(shù)據(jù)和其它服務器需要用于同客戶端通信的數(shù)據(jù)。o第二步，服務器向客戶端發(fā)送它的SSL版本號、加密算法設(shè)置、隨機產(chǎn)生的數(shù)據(jù)和其它客戶端需要用于同服務器通信的數(shù)據(jù)。另外，服務器還要發(fā)送自己的證書，如果

14、客戶端正在請求需要認證的信息，那么服務器同時也要請求獲得客戶端的證書。整理ppto第三步，客戶端用服務器發(fā)送的信息驗證服務器身份。如果認證不成功，用戶就將得到一個警告，加密數(shù)據(jù)連接將無法建立。如果成功，則繼續(xù)下一步。o第四步，用戶用握手過程至今產(chǎn)生的所有數(shù)據(jù)，創(chuàng)建連接所用的Premaster Secret（預加密主密鑰），用服務器的公鑰加密（從第二步中傳送的服務器證書中得到），傳送給服務器。整理ppto第五步，如果服務器也請求客戶端驗證，那么客戶端將對另外一份和上次用于建立加密連接使用的不同的數(shù)據(jù)進行簽名。在這種情況下，客戶端會把這次產(chǎn)生的加密數(shù)據(jù)和自己的證書同時傳送給服務器用來產(chǎn)生Prema

15、ster Secret。整理ppto第六步，如果服務器也請求客戶端驗證，服務器將試圖驗證客戶端身份。如果客戶端不能獲得認證，連接將被中止。如果認證成功，服務器用自己的私鑰加密Premaster Secret，然后執(zhí)行一系列步驟產(chǎn)生Master Secret（主密鑰）。o第七步，服務器和客戶端同時產(chǎn)生Session Key，之后的所有數(shù)據(jù)傳輸都用對稱密鑰算法來交流數(shù)據(jù)。整理ppto第八步，客戶端向服務器發(fā)送信息說明以后的所有信息都將用Session Key加密。至此，它會傳送一個單獨的信息標示客戶端的握手部分也已經(jīng)宣告結(jié)束o第九步，服務器也向客戶端發(fā)送信息說明以后的所有信息都將用Session

16、Key加密。至此，它會傳送一個單獨的信息標示服務器端的握手部分也已經(jīng)宣告結(jié)束。o第十步，SSL握手過程成功結(jié)束，一個SSL數(shù)據(jù)傳送過程建立?？蛻舳撕头掌鏖_始用Session Key加密、解密雙方交互的所有數(shù)據(jù)。整理ppt（4 4）SSLSSL存在的問題存在的問題o存在被攻擊修改的可能o使用復雜的數(shù)學公式 ，高強度的計算會 使 服務器提頓o在電子商務系統(tǒng)的應用中存在很多弊端整理ppt2 2SETSET（Secure Electronic Transaction Secure Electronic Transaction ） 協(xié)議協(xié)議o是一種基于銀行卡而進行的為電子交易提供安全措施的規(guī)則，能廣泛

17、應用于因特網(wǎng)的安全電子支付協(xié)議 o采用公鑰密碼體制和X.509數(shù)字證書標準 整理ppt（1 1）SETSET協(xié)議的主要目標協(xié)議的主要目標o 保證電子商務參與者信息的相互隔離。o 保證信息在因特網(wǎng)上安全傳輸，防止數(shù)據(jù)被黑客或被內(nèi)部人員竊取。o 解決多方認證問題。整理ppto 保證網(wǎng)上交易的實時性，使所有的支付過程都是在線的。o 提供一個開放式的標準，規(guī)范協(xié)議和消息格式，促使不同廠家開發(fā)的軟件具有兼容性和互操作功能，并且可運行在不同的硬件和操作系統(tǒng)平臺上。整理ppt（2 2）SETSET系統(tǒng)的構(gòu)成系統(tǒng)的構(gòu)成o 持卡人（Cardholder） o 商家（Merchant）。 o 發(fā)卡機構(gòu)（Issue

18、r） o 收單銀行（Acquirer） o 支付網(wǎng)關(guān)（Payment Gateway） o 認證中心（Certification Authority） 整理ppt整理ppt綜合來看，SET協(xié)議規(guī)定運行過程分為以下3個階段o 購買請求階段 o 支付確認階段 o 收款階段 整理ppt 同SSL相比，SET有這樣一些區(qū)別：o首先，SET對商家提供了保護自己的手段，使商務免受欺詐的困擾，并且SET向消費者保證了商家的合法性，保證用戶的信用卡號不會被竊取。而SSL相對不安全。整理ppto其次，SET是一個多方的報文協(xié)議，而SSL只是簡單地在兩方之間建立一條安全連接。SSL是面向連接的，而SET允許各方之

19、間報文的交換不是實時的。o使用SET比SSL昂貴得多。o最后，SET提供了比SSL更完整的用于電子商務的卡支付系統(tǒng)，它定義了各方的互操作接口，從而有效地降低了金融風險。 整理ppt整理ppt現(xiàn)階段常用的幾種電子商務安全管理技術(shù)：1. 1. 加密技術(shù)加密技術(shù)明文 密文 加密 解密 密鑰2. 2. 認證技術(shù)認證技術(shù)（1）身份認證（2）數(shù)字簽名（3）數(shù)字時間戳與數(shù)字信封身份認證就是在電子商務交易過程中，判明和確認貿(mào)易參與者的真實身份。 主要有：基于密碼的認證方式 、基于生物特征的認證方式 、基于一次性口令的認證方式 、基于USB Key的認證方式 數(shù)字時間戳是用來證明消息的收發(fā)時間。數(shù)字信封是用加密

20、技術(shù)來保證只有特定的收信人才能閱讀通信的內(nèi)容。 整理ppto數(shù)字證書是一個擔保個人、計算機系統(tǒng)或者組織的身份和密鑰所有權(quán)的電子文檔，它是由一個權(quán)威機構(gòu)發(fā)行的，人們可以在交往中用它來識別對方的身份 。o數(shù)字證書采用公鑰體制 o數(shù)字證書的內(nèi)容數(shù)字證書的內(nèi)容：（4）數(shù)字證書整理ppt申請者信息 頒發(fā)者信息 證書序列號（類似于身份證號碼）頒發(fā)者名稱 證書主題（即證書所有人的名稱） 頒發(fā)者的數(shù)字簽名（類似于身份證上公安機關(guān)的公章） 證書的有效期限 簽名所使用的算法 證書所有人的公開密鑰 整理ppt（5 5）認證中心）認證中心o認證中心的功能主要是對數(shù)字證書進行管理，即負責證書的申請、審批、發(fā)放、歸檔、撤

21、銷、更新和廢止等管理。o電子商務CA認證體系包括兩大部分 SET CA認證體系 PKI CA認證體系 整理ppt3 3防火墻技術(shù)防火墻技術(shù)o防火墻是加強Internet和Intranet之間安全防范的、由硬件設(shè)備和軟件系統(tǒng)組成的、在外部網(wǎng)和內(nèi)部網(wǎng)之間的界面上構(gòu)成的保護層。 o防火墻作為網(wǎng)絡(luò)間實施網(wǎng)間訪問控制的一組組件的集合，應滿足以下基本條件： 整理ppt第一，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有數(shù)據(jù)流必須 經(jīng)過防火墻；第二，只有符合安全策略的數(shù)據(jù)流才能通過防火墻 第三，防火墻自身具有高可靠性，應對滲透（Penetration）免疫整理ppto防火墻基本的安全保護規(guī)則 o防火墻的功能 o防火墻的分類o

22、防火墻的體系結(jié)構(gòu)o防火墻的實現(xiàn)第一，一切未被允許的就是禁止的 第二，一切未被禁止的就是允許的 一般來說，防火墻的基本類型有三種：網(wǎng)絡(luò)級防火墻、應用級防火墻和復合型防火墻。目前防火墻主要有三種常見的體系結(jié)構(gòu)：雙宿/多宿主機（Dual-homed/Multi-homed）模式、被屏蔽主機（Screened Host）模式被屏蔽子網(wǎng)（Screened Subnet）模式 整理ppt4 4入侵檢測安全技術(shù)入侵檢測安全技術(shù)（1 1）入侵檢測技術(shù)的作用）入侵檢測技術(shù)的作用（2 2）入侵檢測系統(tǒng)的主要類型）入侵檢測系統(tǒng)的主要類型o基于主機的入侵檢測系統(tǒng) o基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（3 3）入侵檢測技術(shù)發(fā)展趨勢

23、）入侵檢測技術(shù)發(fā)展趨勢o 分布式入侵檢測o智能化入侵檢測o網(wǎng)絡(luò)安全技術(shù)相結(jié)合 整理ppt5 5病毒防范技術(shù)病毒防范技術(shù)o病毒防范的具體措施應該包括如下內(nèi)容： 預防 備份 檢測 隔離 慎重整理ppto電子商務中的安全機制主要是指三個方面：數(shù)字證書完成交易方的身份鑒別問題。數(shù)字簽名確定交易的不可否認性，數(shù)字信封解決交易數(shù)據(jù)的保密問題o電子商務安全體系結(jié)構(gòu)由網(wǎng)絡(luò)服務層、加密技術(shù)層、安全認證層、安全協(xié)議層、應用系統(tǒng)層5個層次組成 整理ppt整理ppto網(wǎng)絡(luò)服務層網(wǎng)絡(luò)服務層o構(gòu)成電子商務安全系統(tǒng)結(jié)構(gòu)的底層是網(wǎng)絡(luò)服務層。 o網(wǎng)絡(luò)服務層是各種電子商務應用系統(tǒng)的基礎(chǔ)，提供信息傳送的載體和用戶接入手段及安全通信

24、服務，保證網(wǎng)絡(luò)最基本的運行安全。 o采用防火墻、加密、漏洞掃描、入侵檢測、反病毒和安全審計技術(shù)等，用以保證計算機網(wǎng)絡(luò)自身的安全。 整理ppt2. 2. 技術(shù)加密層技術(shù)加密層o電子商務安全性所依賴的基礎(chǔ)是密碼學。o技術(shù)加密層主要采用對稱加密體制（可采用數(shù)據(jù)加密標準DES、高級加密標準AES等）和公鑰密碼體制（可采用RSA算法、混合密碼系統(tǒng)）。整理ppt3.3.安全認證層安全認證層o在開放的網(wǎng)絡(luò)環(huán)境中開展電子商務活動，除了要認證買賣雙方的實體身份和驗證電子交易過程中的數(shù)據(jù)是否真實完整，還要保證交易雙方的不可抵賴性。安全認證的關(guān)鍵技術(shù)包括報文摘要和數(shù)字簽名。 整理ppt4.4.安全協(xié)議層安全協(xié)議層o電子商務的運行需要一套完整的安全協(xié)議。目前，比較成熟的協(xié)議有安全套接層協(xié)議SSL、安全電子交易協(xié)議SET、Netbill和匿名原子交易協(xié)議等。整理ppt5.5.應用系統(tǒng)層應用系統(tǒng)層o電子商務業(yè)務系統(tǒng)包括支付型系統(tǒng)支付型系統(tǒng)和非支付非支付型系統(tǒng)型系統(tǒng)。電子商務業(yè)務系統(tǒng)中主要是支付型業(yè)務系統(tǒng)