電子商務(wù)面臨的安全問題

1、電子商務(wù)面臨的安全問題第一頁，共五十二頁。電子商務(wù)安全簡介一、 電子商務(wù)安全的含義電子商務(wù)安全從整體上可以分為計算機網(wǎng)絡(luò)安全和商務(wù)交易安全兩大部分。計算機網(wǎng)絡(luò)安全商務(wù)交易安全第二頁，共五十二頁。計算機網(wǎng)絡(luò)安全主要包括計算機網(wǎng)絡(luò)設(shè)備安全、計算機網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等，主要解決的是計算機網(wǎng)絡(luò)本身存在的安全問題，要采用一系列網(wǎng)絡(luò)安全增強方案來保證計算機網(wǎng)絡(luò)自身的安全。電子商務(wù)安全簡介第三頁，共五十二頁。商務(wù)交易安全則主要是針對傳統(tǒng)商務(wù)在網(wǎng)絡(luò)應(yīng)用時產(chǎn)生的各種安全問題。計算機網(wǎng)絡(luò)安全和商務(wù)交易安全相輔相成、缺一不可，它們是電子商務(wù)活動得以實現(xiàn)的重要支撐。電子商務(wù)安全簡介第四頁，共五十二頁。（一） 計

2、算機病毒根據(jù)1994年2月18日我國正式頒布實施的中華人民共和國計算機信息系統(tǒng)安全保護條例可知：計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。電子商務(wù)安全簡介第五頁，共五十二頁。近幾年來，計算機病毒主要呈現(xiàn)的特征可以歸納為以下幾個。病毒更加“人性化”，更具有欺騙性經(jīng)濟利益驅(qū)使計算機病毒技術(shù)不斷突破網(wǎng)銀病毒迅猛增長病毒變種快、更新快、存活能力強病毒更加“智能化”智能手機成為病毒的下一個攻擊目標(biāo)電子商務(wù)安全簡介第六頁，共五十二頁。（二） 黑客攻擊黑客攻擊指的是黑客非授權(quán)入侵其他程序、系統(tǒng)或網(wǎng)絡(luò)，破壞該系統(tǒng)、程序或網(wǎng)

3、絡(luò)的行為。電子商務(wù)安全簡介第七頁，共五十二頁。常見的黑客攻擊方法主要有木馬攻擊端口掃描口令破解拒絕服務(wù)攻擊緩沖區(qū)溢出攻擊網(wǎng)絡(luò)監(jiān)聽電子商務(wù)安全簡介第八頁，共五十二頁。（三） 系統(tǒng)安全漏洞系統(tǒng)安全漏洞也叫系統(tǒng)脆弱性，簡稱漏洞，是計算機系統(tǒng)在硬件、軟件、協(xié)議的設(shè)計與實現(xiàn)過程中或系統(tǒng)安全策略上存在的缺陷和不足。電子商務(wù)安全簡介第九頁，共五十二頁。用戶使用最多的indows系統(tǒng)有以下幾種常見漏洞匿名登錄Windows網(wǎng)絡(luò)共享Windows密碼注冊表訪問IIS服務(wù)器12345電子商務(wù)安全簡介第十頁，共五十二頁。電子商務(wù)安全簡介第十一頁，共五十二頁。二、 電子商務(wù)安全的要求電子商務(wù)安全的具體要求如下及時性可

4、用性機密性完整性可認(rèn)證性抗抵賴性電子商務(wù)安全簡介第十二頁，共五十二頁。三、 電子商務(wù)安全的體系結(jié)構(gòu)電子商務(wù)安全的保證主要體現(xiàn)在3個方面：技術(shù)保障、安全管理保障和法律環(huán)境保障電子商務(wù)安全簡介第十三頁，共五十二頁。（一） 技術(shù)保障技術(shù)保障是指實現(xiàn)電子商務(wù)所需要的設(shè)備、技術(shù)等能夠穩(wěn)定、安全地提供所需的功能。其中主要包括實體的安全和網(wǎng)絡(luò)技術(shù)的安全。電子商務(wù)安全簡介第十四頁，共五十二頁。1. 實體的安全環(huán)境安全設(shè)備安全電子商務(wù)安全簡介第十五頁，共五十二頁。2. 網(wǎng)絡(luò)技術(shù)的安全鑒別機制數(shù)據(jù)加密防入侵措施防火墻證書網(wǎng)絡(luò)安全檢測設(shè)備訪問控制1234567電子商務(wù)安全簡介第十六頁，共五十二頁。（二） 安全管理保

5、障安全管理保障是在安全技術(shù)的基礎(chǔ)之上，對系統(tǒng)的實時維護和設(shè)備的日常管理。從某種意義上來說，安全管理比安全技術(shù)更為重要。安全管理保障包括人員和制度的保障。電子商務(wù)安全簡介第十七頁，共五十二頁。1. 人員的保障電子商務(wù)不是電子設(shè)備之間獨立進(jìn)行的交易行為，其交易的主體仍然是人。既然人作為一種實體在電子商務(wù)交易過程中存在，則其必然對電子商務(wù)的安全產(chǎn)生重要的影響。由于人所產(chǎn)生的安全問題多為主觀性的，如員工無意中泄露系統(tǒng)的密碼，對企業(yè)心懷不滿的員工對系統(tǒng)的惡意攻擊等。因此，加強人員管理，對于保障電子商務(wù)安全十分重要。電子商務(wù)安全簡介第十八頁，共五十二頁。2. 保密制度信息的安全級別一般可分為以下三級：12

6、3絕密級信息敏感級信息機密級信息電子商務(wù)安全簡介第十九頁，共五十二頁。3. 跟蹤、審計、稽核制度跟蹤制度是以系統(tǒng)自動生成日志文件的形式來記錄系統(tǒng)運行的全過程。審計制度規(guī)定網(wǎng)絡(luò)審計員應(yīng)經(jīng)常對系統(tǒng)的日志文件檢查、審核，以及時發(fā)現(xiàn)異常狀況，監(jiān)控和捕捉各種安全事件，并對系統(tǒng)日志進(jìn)行保存、維護和管理。電子商務(wù)安全簡介第二十頁，共五十二頁。3. 跟蹤、審計、稽核制度稽核制度是指工商管理、銀行、稅務(wù)人員利用計算機及網(wǎng)絡(luò)系統(tǒng)，借助稽核業(yè)務(wù)，應(yīng)用軟件調(diào)閱、查詢、審核、判斷轄區(qū)內(nèi)電子商務(wù)參與單位業(yè)務(wù)經(jīng)營活動的合理性、安全性，堵塞漏洞，保證電子商務(wù)交易安全，發(fā)出相應(yīng)的警示或作出處理處罰的有關(guān)決定的一系列步驟及措施。

7、電子商務(wù)安全簡介第二十一頁，共五十二頁。4. 數(shù)據(jù)容災(zāi)制度按容災(zāi)能力的高低，容災(zāi)系統(tǒng)可以分為多個層次。企業(yè)應(yīng)該根據(jù)自身情況，對不同安全級別的數(shù)據(jù)制定不同的數(shù)據(jù)容災(zāi)制度。電子商務(wù)安全簡介第二十二頁，共五十二頁。5. 病毒防范制度123給自己的計算機安裝防病毒軟件認(rèn)真執(zhí)行病毒定期清理制度設(shè)置控制權(quán)限可以將網(wǎng)絡(luò)系統(tǒng)中易感染病毒的文件的屬性、權(quán)限加以限制電子商務(wù)安全簡介第二十三頁，共五十二頁。6. 應(yīng)急措施應(yīng)急措施是指在計算機災(zāi)難事件發(fā)生時，利用應(yīng)急計劃、輔助軟件和應(yīng)急設(shè)施，排除災(zāi)難和故障，保障計算機信息系統(tǒng)繼續(xù)運行或緊急恢復(fù)正常運行。電子商務(wù)安全簡介第二十四頁，共五十二頁。（三） 法律環(huán)境保障目前世

8、界上的電子商務(wù)相關(guān)法律主要涉及計算機犯罪立法、計算機安全法規(guī)、隱私保護、網(wǎng)絡(luò)知識產(chǎn)權(quán)保護、電子合同相關(guān)法規(guī)等方面，初步滿足了電子商務(wù)保密性、完整性、可認(rèn)證性、可控性和抗抵賴性的安全需求。但是，電子商務(wù)安全不可能一勞永逸，必須以發(fā)展的眼光來看待它，所以進(jìn)一步的法制建設(shè)還應(yīng)繼續(xù)進(jìn)行。電子商務(wù)安全簡介第二十五頁，共五十二頁。電子商務(wù)安全面臨的問題一、 電子商務(wù)網(wǎng)絡(luò)系統(tǒng)的安全問題（一） 網(wǎng)絡(luò)系統(tǒng)軟件自身的安全問題（1） 操作系統(tǒng)的體系結(jié)構(gòu)會造成其本身的不安全性，這也是計算機系統(tǒng)不安全的根本原因之一。（2） 操作系統(tǒng)的一些功能，如支持在網(wǎng)絡(luò)上傳輸文件的功能，包括可以執(zhí)行文件映像，即在網(wǎng)絡(luò)上加載程序等，必

9、然會帶來一些不安全因素。第二十六頁，共五十二頁。（3） 操作系統(tǒng)不安全的另一個原因在于它可以創(chuàng)建進(jìn)程，甚至支持在網(wǎng)絡(luò)的結(jié)點上進(jìn)行遠(yuǎn)程進(jìn)程的創(chuàng)建與激活，更重要的是被創(chuàng)建的進(jìn)程可以繼承創(chuàng)建進(jìn)程的權(quán)力。（4） 操作系統(tǒng)在運行時，一些系統(tǒng)進(jìn)程總在等待一些條件的出現(xiàn)，一旦有滿足要求的條件出現(xiàn)，程序便繼續(xù)運行下去，這也是黑客可以利用的。電子商務(wù)安全面臨的問題第二十七頁，共五十二頁。（5） 操作系統(tǒng)要安排無口令入口，這原本是為系統(tǒng)開發(fā)人員提供的便捷入口，但它也是黑客的通道。另外，操作系統(tǒng)還有隱蔽信道。（6） internet和intranet使用的TCP/IP及FTP（文件傳輸協(xié)議）、E-mail（電子郵件

10、）、RPC（遠(yuǎn)程進(jìn)程調(diào)用）、NFS（網(wǎng)絡(luò)文件系統(tǒng)）等都包含許多不安全的因素，存在著許多漏洞。電子商務(wù)安全面臨的問題第二十八頁，共五十二頁。（二） 網(wǎng)絡(luò)系統(tǒng)中數(shù)據(jù)庫的安全設(shè)計問題因為在數(shù)據(jù)庫系統(tǒng)中存放著大量重要的信息資源，在用戶共享資源時可能會出現(xiàn)以下現(xiàn)象：授權(quán)用戶超出了他們的訪問權(quán)限進(jìn)行更改活動；非法用戶繞過安全內(nèi)核，竊取信息資源等。因此提出了數(shù)據(jù)庫安全問題，也就是要保證數(shù)據(jù)的安全可靠和正確有效。對數(shù)據(jù)庫數(shù)據(jù)的保護主要針對數(shù)據(jù)的安全性、完整性和并發(fā)控制3個方面。電子商務(wù)安全面臨的問題第二十九頁，共五十二頁。數(shù)據(jù)的安全性就是保證數(shù)據(jù)庫數(shù)據(jù)不被故意破壞和非法存取。數(shù)據(jù)的完整性是防止數(shù)據(jù)庫中存在不符

11、合語義的數(shù)據(jù)，以及防止由于錯誤信息的輸入或輸出而造成無效操作和錯誤結(jié)果。并發(fā)控制是指數(shù)據(jù)庫是一個共享資源，在多個用戶程序并行地存取數(shù)據(jù)時，就可能會產(chǎn)生多個用戶程序并發(fā)地存取同一數(shù)據(jù)的情況，若不進(jìn)行并發(fā)控制就會使取出和存入的數(shù)據(jù)不正確，破壞數(shù)據(jù)庫的一致性。電子商務(wù)安全面臨的問題第三十頁，共五十二頁。（三） 網(wǎng)絡(luò)系統(tǒng)的運行安全運行安全是指為保障系統(tǒng)功能的安全實現(xiàn)，提供一套安全措施來保護信息處理過程的安全。電子商務(wù)網(wǎng)絡(luò)系統(tǒng)的運行安全具體由四個部分組成：風(fēng)險分析、審計跟蹤、備份與恢復(fù)和應(yīng)急措施。電子商務(wù)安全面臨的問題第三十一頁，共五十二頁。風(fēng)險分析風(fēng)險分析主要涉及四個方面的安全功能：系統(tǒng)試運行前的風(fēng)險

12、分析系統(tǒng)運行期的風(fēng)險分析系統(tǒng)設(shè)計前的風(fēng)險分析系統(tǒng)運行后的風(fēng)險分析電子商務(wù)安全面臨的問題第三十二頁，共五十二頁。2. 審計跟蹤123記錄和跟蹤各種系統(tǒng)狀態(tài)的變化保存、維護和管理審計日志實現(xiàn)對各種安全事故的定位電子商務(wù)安全面臨的問題第三十三頁，共五十二頁。3. 備份與恢復(fù)（1） 提供場點內(nèi)高速度、大容量、自動的數(shù)據(jù)存儲、備份和恢復(fù)。（2） 提供場點外的數(shù)據(jù)存儲、備份和恢復(fù)，如通過專用安全記錄存儲設(shè)施對系統(tǒng)內(nèi)的主要數(shù)據(jù)進(jìn)行備份。（3） 提供對系統(tǒng)設(shè)備的備份。電子商務(wù)安全面臨的問題第三十四頁，共五十二頁。4. 應(yīng)急措施應(yīng)急計劃輔助軟件應(yīng)急設(shè)施電子商務(wù)安全面臨的問題第三十五頁，共五十二頁。二、 電子商務(wù)

13、信息傳輸?shù)陌踩珕栴}電子商務(wù)安全面臨的問題第三十六頁，共五十二頁。三、 電子商務(wù)安全管理問題通常安全管理領(lǐng)域涉及兩類要求：一類是安全管理，防止未授權(quán)者訪問網(wǎng)絡(luò)；另一類是管理安全，防止未授權(quán)者訪問網(wǎng)絡(luò)管理系統(tǒng)。安全管理必須解決下列基本問題：需要保護的對象、需要保護的原因、保護的方法、采取保護措施的方法、實施保護的地點。電子商務(wù)安全面臨的問題第三十七頁，共五十二頁。國際標(biāo)準(zhǔn)化組織把網(wǎng)絡(luò)管理劃分為五個領(lǐng)域，分別是故障、性能、配置、記賬和安全。配置性能記賬安全故障12345電子商務(wù)安全面臨的問題第三十八頁，共五十二頁。四、 電子商務(wù)法律保障問題我國互聯(lián)網(wǎng)安全的法律保障從目前的互聯(lián)網(wǎng)法律保障現(xiàn)狀來看，主要

14、存在以下幾個問題：123層級方面效力方面內(nèi)容方面電子商務(wù)安全面臨的問題第三十九頁，共五十二頁。2. 我國電子商務(wù)安全的法律保障有代表委員指出，我國電子商務(wù)的相關(guān)法律法規(guī)內(nèi)容應(yīng)包括立法宗旨、電子商務(wù)概念、基本原則、交易主體、電子合同、電子簽名及認(rèn)證、電子支付、信用保障、交易安全、個人信息保護、消費者權(quán)益保護、知識產(chǎn)權(quán)保護、電子商務(wù)稅收、行業(yè)自律、爭端解決機制、法律責(zé)任等內(nèi)容。電子商務(wù)安全面臨的問題第四十頁，共五十二頁。五、 電子商務(wù)客戶、商家和銀行可能面臨的安全問題（一） 總體安全問題對于客戶、商家和銀行來說，一旦電子商務(wù)安全得不到保證，就可能遇到以下問題。信息的篡改信息的截獲和竊取信息的偽造交

15、易抵賴系統(tǒng)的中斷12345電子商務(wù)安全面臨的問題第四十一頁，共五十二頁。（二） 具體安全問題1. 客戶可能面臨的安全問題機密性喪失付款后收不到商品拒絕服務(wù)虛假訂單電子商務(wù)安全面臨的問題第四十二頁，共五十二頁。2. 商家可能面臨的安全問題被他人冒名而損害企業(yè)的名譽競爭者檢索商品的銷售情況客戶資料被競爭者獲悉商家的個人或集體信息遭到泄露，或者商業(yè)機密遭到泄露消費者提交訂單后不付款中央系統(tǒng)安全性被破壞電子商務(wù)安全面臨的問題第四十三頁，共五十二頁。3. 銀行可能面臨的安全問題中斷（攻擊系統(tǒng)的可用性）篡改（攻擊系統(tǒng)的完整性）竊聽（攻擊系統(tǒng)的機密性）偽造（攻擊系統(tǒng)的真實性）電子商務(wù)安全面臨的問題第四十四頁

16、，共五十二頁。本章小結(jié)本章主要是對電子商務(wù)安全進(jìn)行簡單的敘述，介紹了電子商務(wù)安全的概念，其主要內(nèi)容有電子商務(wù)安全的含義、要求、體系結(jié)構(gòu)等；同時還介紹了電子商務(wù)安全所面臨的各種問題，包括網(wǎng)絡(luò)系統(tǒng)的安全問題、信息傳輸?shù)陌踩珕栴}、安全管理問題、法律保障問題。最后分別分析了電子商務(wù)客戶、商家和銀行可能面臨的安全問題。第四十五頁，共五十二頁。綜合訓(xùn)練1. 簡述電子商務(wù)安全的含義。2. 簡述電子商務(wù)安全的要求及其體系結(jié)構(gòu)。3. 電子商務(wù)安全都面臨著哪些問題？4. 電子商務(wù)網(wǎng)絡(luò)系統(tǒng)存在哪些安全問題？5. 簡述電子商務(wù)客戶、商家和銀行可能面臨的安全問題。綜合訓(xùn)練第四十六頁，共五十二頁。實訓(xùn)設(shè)計了解電子商務(wù)安全

17、的基本常識及其相關(guān)知識，正確理解電子商務(wù)安全的重要性以及電子商務(wù)安全所面臨的問題。實訓(xùn)目標(biāo)第四十七頁，共五十二頁。實訓(xùn)設(shè)計一個連接互聯(lián)網(wǎng)的機房，機器設(shè)備數(shù)量保證上課班級的學(xué)生每人一臺。實訓(xùn)環(huán)境第四十八頁，共五十二頁。實訓(xùn)設(shè)計（1） 查找5個以上的專業(yè)電子商務(wù)網(wǎng)站，并搜索有關(guān)電子商務(wù)安全的基本概念。（2） 查找當(dāng)前國際和國內(nèi)電子商務(wù)安全技術(shù)的發(fā)展?fàn)顩r的文章，閱讀并總結(jié)。（3） 結(jié)合你的電子商務(wù)經(jīng)驗，找到電子商務(wù)發(fā)展中存在的安全問題。（4） 描述你進(jìn)行電子商務(wù)過程中遇到安全問題時的解決方法。實訓(xùn)內(nèi)容第四十九頁，共五十二頁。實訓(xùn)設(shè)計（5） 查找電子商務(wù)安全對策。（6） 查找中華人民共和國電子簽名法的內(nèi)容，并分析該法所涉及的技術(shù)問題，體會它被稱為我國第一部“真正意義上的信息化法律”的含義。（7） 查找現(xiàn)有的電子商務(wù)安全方法及其效果說明。（8） 課堂討論，發(fā)表自己的意見，就電子商務(wù)安全提出自己的創(chuàng)新觀點。實訓(xùn)內(nèi)容第五十頁，共五十二頁。第五十一頁，共五十二頁。內(nèi)容總結(jié)電子商務(wù)面臨的安全問題。電子商務(wù)安全從整體上可以分為計算機