電子商務(wù)安全管理及技術(shù)課件

湯兵勇教授湯兵勇教授1電子商務(wù)安全管理及技術(shù)課件2湯兵勇，1950年3月出生。東華大學(xué)旭日工商管理學(xué)院信息管理學(xué)科教授、博士生導(dǎo)師。全國經(jīng)濟(jì)數(shù)學(xué)與管理數(shù)學(xué)學(xué)會(huì)第二常務(wù)副理事長。主要研究成果有“社會(huì)經(jīng)濟(jì)大系統(tǒng)協(xié)調(diào)發(fā)展模型”、“上海市電子商務(wù)管理辦法”等40余項(xiàng)。發(fā)表“市場(chǎng)經(jīng)濟(jì)控制論”、“模糊模型的辨識(shí)及應(yīng)用”等論文200余篇，出版著作10余部

研究方向:經(jīng)濟(jì)控制與電子商務(wù)國際交流與合作：曾赴加拿大多倫多大學(xué)管理學(xué)院做訪問學(xué)者聯(lián)系電話/p>

EMAIL：tangby@湯兵勇，1950年3月出生。東華大學(xué)旭日工商管理學(xué)院信息管理3第8章電子商務(wù)安全管理及技術(shù)第8章電子商務(wù)安全管理及技術(shù)4一個(gè)全方位的電子商務(wù)安全管理體系應(yīng)該從組織上、技術(shù)上、管理上以及法律法規(guī)等多方面入手，全面采取電子商務(wù)安全方法措施，這樣才能極大地實(shí)現(xiàn)電子商務(wù)的安全，保證電子商務(wù)交易的順利進(jìn)行。引言：一個(gè)全方位的電子商務(wù)安全管理體系應(yīng)該從組織上、技術(shù)上、管理上58.1電子商務(wù)安全管理的內(nèi)容8.1電子商務(wù)安全管理的內(nèi)容61.電子商務(wù)安全

（1）電子商務(wù)安全的內(nèi)涵電子商務(wù)的安全是一個(gè)廣泛而系統(tǒng)的概念，不僅包含著計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)、網(wǎng)絡(luò)通信技術(shù)、電子商務(wù)應(yīng)用環(huán)境、人員素質(zhì)等方面的安全，而且還與電子商務(wù)立法息息相關(guān)。8.1.1安全管理的原理1.電子商務(wù)安全8.1.1安全管理的原理7電子商務(wù)安全從整體上可以分為兩大部分：計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全。計(jì)算機(jī)網(wǎng)絡(luò)安全與電子商務(wù)交易安全實(shí)際上是密不可分的，兩者相輔相成，缺一不可。電子商務(wù)安全從整體上可以分為兩大部分：計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交8（2）電子商務(wù)的安全要素在電子商務(wù)交易過程中，交易各方面臨的威脅可能有信息的截獲和竊取。信息的篡改。信息的假冒。信息的抵賴。（2）電子商務(wù)的安全要素9針對(duì)電子商務(wù)面臨的以上種種威脅，必須采取相應(yīng)的應(yīng)對(duì)策略，從多方面的電子商務(wù)安全要素入手，保證電子商務(wù)運(yùn)行的安全實(shí)現(xiàn)。①可靠性。②真實(shí)性。③機(jī)密性。④完整性。⑤有效性。⑥不可抵賴性。⑦內(nèi)部網(wǎng)的嚴(yán)密性。針對(duì)電子商務(wù)面臨的以上種種威脅，必須采取相應(yīng)的應(yīng)對(duì)策略，從多102．電子商務(wù)安全管理（1）電子商務(wù)安全管理的概念電子商務(wù)的安全管理，指通過一個(gè)完整的綜合保障系統(tǒng)，規(guī)避電子商務(wù)交易過程的風(fēng)險(xiǎn)（信息傳輸風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)、網(wǎng)上支付風(fēng)險(xiǎn)等），以保證網(wǎng)上交易的順利進(jìn)行。

2．電子商務(wù)安全管理

11

電子商務(wù)的安全管理要求規(guī)避的風(fēng)險(xiǎn)主要有：①電子商務(wù)網(wǎng)絡(luò)系統(tǒng)自身的安全風(fēng)險(xiǎn)。②電子商務(wù)交易信息傳輸過程中的風(fēng)險(xiǎn)③電子商務(wù)企業(yè)內(nèi)部安全管理風(fēng)險(xiǎn)④電子商務(wù)安全法律風(fēng)險(xiǎn)。⑤電子商務(wù)的信用風(fēng)險(xiǎn)⑥電子商務(wù)安全支付風(fēng)險(xiǎn)電子商務(wù)的安全管理要求規(guī)避的風(fēng)險(xiǎn)主要有：12（2）電子商務(wù)安全與管理在如何正確看待電子商務(wù)的安全與管理時(shí)，需要注意幾點(diǎn)：安全是一個(gè)系統(tǒng)的概念。不僅有技術(shù)，還有管理安全是相對(duì)的。不要追求一個(gè)永遠(yuǎn)也攻不破的安全技術(shù)。（2）電子商務(wù)安全與管理13安全是有成本和代價(jià)的。如果不直接牽涉到支付等敏感問題，對(duì)安全的要求就低一些；反之，就高一些。安全是發(fā)展的、動(dòng)態(tài)的。需要不斷地檢查、評(píng)估和調(diào)整相應(yīng)的安全管理策略安全是有成本和代價(jià)的。14一個(gè)全方位的電子商務(wù)安全管理體系應(yīng)該從組織上、技術(shù)上、管理上以及法律法規(guī)等多方面入手，全面采取電子商務(wù)安全方法措施（1）建立第三方認(rèn)證機(jī)構(gòu)，組織行業(yè)協(xié)會(huì)制定安全管理標(biāo)準(zhǔn)。

8.1.2安全管理體系一個(gè)全方位的電子商務(wù)安全管理體系應(yīng)該從組織上、技術(shù)上、管理上15（2）全面應(yīng)用電子商務(wù)安全技術(shù)，構(gòu)造多重防范措施。（3）加強(qiáng)電子商務(wù)安全管理，制定安全管理標(biāo)準(zhǔn)。（4）電子商務(wù)的安全影響國家和社會(huì)的穩(wěn)定，應(yīng)盡快建立健全電子商務(wù)法律法規(guī)。

（2）全面應(yīng)用電子商務(wù)安全技術(shù)，構(gòu)造多重防范措施。16電子商務(wù)信用的管理1．電子商務(wù)信用管理的必要性2．電子商務(wù)信用管理體系3．我國電子商務(wù)信用管理現(xiàn)狀及相關(guān)政策8.1.3電子商務(wù)信用的管理電子商務(wù)1．電子商務(wù)2．電子商務(wù)3．我國電子8.1.3電171．電子商務(wù)信用管理的必要性面對(duì)電子商務(wù)的蓬勃發(fā)展趨勢(shì)，電子商務(wù)交易的信用危機(jī)卻悄然襲來。如，虛假交易、假冒行為、合同詐騙、網(wǎng)上拍賣哄抬價(jià)等行為屢屢發(fā)生，客觀上要求規(guī)范電子商務(wù)交易市場(chǎng)秩序。電子商務(wù)的經(jīng)銷商們由于不受地域限制，他們往往一開始就在較大范圍內(nèi)進(jìn)行經(jīng)營。而其物流和配送系統(tǒng)并未跟上，這樣銷售商們常常不能按時(shí)交付商品或不能交付質(zhì)價(jià)相符的商品。1．電子商務(wù)信用管理的必要性18這些現(xiàn)象在很大程度上制約了我國電子商務(wù)的快速、健康發(fā)展，隨著電子商務(wù)在全球范圍內(nèi)的興起，如果不盡快改變這種傳統(tǒng)的交易方式，將會(huì)失去更多的市場(chǎng)份額和競(jìng)爭(zhēng)優(yōu)勢(shì)。這些現(xiàn)象在很大程度上制約了我國電子商務(wù)的快速、健康發(fā)展，隨著19因此，必須建立電子商務(wù)信用管理體系，對(duì)企業(yè)和相關(guān)商業(yè)網(wǎng)站的信用進(jìn)行評(píng)級(jí)，驗(yàn)證客戶真實(shí)身份，同時(shí)還應(yīng)不斷收集客戶資料，評(píng)估和授予信用額度，保障債權(quán)，保障應(yīng)收賬款安全和及時(shí)回收，為電子商務(wù)的發(fā)展?fàn)I造一個(gè)較為寬松的信用環(huán)境，推動(dòng)電子商務(wù)市場(chǎng)的健康發(fā)展，它是企業(yè)信用管理體系的重心。因此，必須建立電子商務(wù)信用管理體系，對(duì)企業(yè)和相關(guān)商業(yè)網(wǎng)站的信202．電子商務(wù)信用管理體系電子商務(wù)中的信用問題是指電子商務(wù)交易過程中因缺乏一定的信任關(guān)系而導(dǎo)致電子商務(wù)的交易成本上升，使交易復(fù)雜化、混亂化，甚至無法正常進(jìn)行。完整的信用管理體系應(yīng)該包含信用信息采集系統(tǒng)、信用評(píng)價(jià)及查詢系統(tǒng)、信用動(dòng)態(tài)跟蹤及反饋系統(tǒng)、信用保障系統(tǒng)等子系統(tǒng)。2．電子商務(wù)信用管理體系21目前已有的信用管理模式：

a以政府為主體的有“網(wǎng)絡(luò)公證計(jì)劃”模式

b以企業(yè)為主體的有中介人模式

c擔(dān)保人模式

d網(wǎng)站經(jīng)營模式和委托授權(quán)模式電子商務(wù)信用保障機(jī)制是有效實(shí)現(xiàn)其信用管理所必需的，保障機(jī)制的存在意義在于加快建設(shè)良好的電子商務(wù)信用環(huán)境，同時(shí)推進(jìn)整個(gè)社會(huì)信用體系的完善。

電子商務(wù)安全管理及技術(shù)課件223．我國電子商務(wù)信用管理現(xiàn)狀及相關(guān)政策目前我國政府也開始重視社會(huì)信用體系的建立，陸續(xù)出臺(tái)了相關(guān)的法律法規(guī)、文件，并鼓勵(lì)行業(yè)協(xié)會(huì)出臺(tái)有關(guān)的信用標(biāo)準(zhǔn)，推動(dòng)整個(gè)社會(huì)經(jīng)濟(jì)的良好發(fā)展。3．我國電子商務(wù)信用管理現(xiàn)狀及相關(guān)政策23《2006-2020年國家信息化發(fā)展戰(zhàn)略》、《關(guān)于加快電子商務(wù)發(fā)展的若干意見》、《強(qiáng)化服務(wù)促進(jìn)中小企業(yè)信息化意見》電子商務(wù)行業(yè)協(xié)會(huì)、企業(yè)網(wǎng)站等也為電子商務(wù)行業(yè)信用體系的建設(shè)不斷地努力。

《2006-2020年國家信息化發(fā)展戰(zhàn)略》、《關(guān)于加快電子商248.2電子商務(wù)安全管理標(biāo)準(zhǔn)8.2電子商務(wù)安全管理標(biāo)準(zhǔn)25首先，制定和實(shí)施電子商務(wù)安全管理標(biāo)準(zhǔn)是電子商務(wù)安全交易的需要。其次，制定和實(shí)施電子商務(wù)安全管理標(biāo)準(zhǔn)是電子商務(wù)支付的需要。最后，制定和實(shí)施電子商務(wù)安全管理標(biāo)準(zhǔn)是社會(huì)穩(wěn)定，經(jīng)濟(jì)繁榮發(fā)展的需要。8.2.1安全管理標(biāo)準(zhǔn)制定的必要性首先，制定和實(shí)施電子商務(wù)安全管理標(biāo)準(zhǔn)是電子商務(wù)安全交易的需要26電子商務(wù)安全管理標(biāo)準(zhǔn)的內(nèi)容主要有技術(shù)標(biāo)準(zhǔn)、安全管理制度及其標(biāo)準(zhǔn)、安全管理法律法規(guī)

1．技術(shù)方面的標(biāo)準(zhǔn)規(guī)范早期措施：部分告知、另行確認(rèn)、在線服務(wù)現(xiàn)在推行：①加密標(biāo)準(zhǔn)。②電子商務(wù)安全協(xié)議。③數(shù)字簽名標(biāo)準(zhǔn)。④數(shù)字證書標(biāo)準(zhǔn)。信息技術(shù)及網(wǎng)絡(luò)安全標(biāo)準(zhǔn)美國國家安全局官方標(biāo)準(zhǔn)橘皮書我國相關(guān)技術(shù)標(biāo)準(zhǔn)

8.2.2安全管理標(biāo)準(zhǔn)的內(nèi)容對(duì)稱密鑰加密標(biāo)準(zhǔn)：DES非對(duì)稱加密標(biāo)準(zhǔn)：主要有RSA、DSA、Diffie-Hellman、PGP等主要用于保證電子商務(wù)中數(shù)據(jù)的保密性、完整性、真實(shí)性和不可抵賴性可以采用的協(xié)議有：安全超文本傳輸協(xié)議（STTP）安全套接層（SecureSocketsLayer，SSL）安全交易技術(shù)協(xié)議（SecureTransactionTechnology，STT）安全電子交易協(xié)議（SET）是一個(gè)經(jīng)過授權(quán)中心（CA）數(shù)字簽名的、包含證書申請(qǐng)者（公開密鑰擁有者）個(gè)人信息及其公開密鑰的文件。電子商務(wù)安全管理標(biāo)準(zhǔn)的內(nèi)容主要有技術(shù)標(biāo)準(zhǔn)、安全管理制度及其標(biāo)272．電子商務(wù)安全管理制度及其標(biāo)準(zhǔn)（1）電子商務(wù)安全管理制度是使用文字和圖表的形式對(duì)各項(xiàng)安全要求所做的規(guī)定，主要包括：①人員管理制度。②保密制度。③跟蹤、審計(jì)、稽核制度。④設(shè)備管理。

2．電子商務(wù)安全管理制度及其標(biāo)準(zhǔn)28⑤用戶管理。⑥病毒防范。⑦應(yīng)急措施（即災(zāi)難恢復(fù)）

（2）電子商務(wù)信用管理標(biāo)準(zhǔn)行業(yè)標(biāo)準(zhǔn)信用標(biāo)準(zhǔn)⑤用戶管理。293．電子商務(wù)安全管理法律、法規(guī)、國家政策目前，已有50多個(gè)包括國際組織、國家和地區(qū)制定了電子商務(wù)法或相應(yīng)的標(biāo)準(zhǔn)。我國也出臺(tái)了許多有關(guān)互聯(lián)網(wǎng)絡(luò)安全、電子商務(wù)交易管理以及電子信息效力的法律法規(guī)和指導(dǎo)意見，如：

《中華人們共和國電子簽名法》

《商務(wù)部關(guān)于促進(jìn)電子商務(wù)規(guī)范發(fā)展的意見》

《中國國際經(jīng)濟(jì)貿(mào)易仲裁委員網(wǎng)上仲裁規(guī)則》

3．電子商務(wù)安全管理法律、法規(guī)、國家政策30安全協(xié)議是指由兩個(gè)或兩個(gè)以上的參與者，為完成某項(xiàng)特定的安全任務(wù)而采取的一系列步驟。電子商務(wù)中常用的安全協(xié)議有SSL協(xié)議、SET協(xié)議S-HTTP協(xié)議、FirstVirtual協(xié)議、支票支付協(xié)議、現(xiàn)金支付協(xié)議、安全電子郵件協(xié)議、InternetEDI協(xié)議、以及STT協(xié)議等。8.2.3電子商務(wù)安全協(xié)議安全協(xié)議是指由兩個(gè)或兩個(gè)以上的參與者，為完成某項(xiàng)特定的安全任311．SSL（SecureSocketLayer）協(xié)議SSL（安全套接層）協(xié)議是一個(gè)用來保證安全傳輸文件的協(xié)議它主要是使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性，但它不保證信息的不可抵賴性主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸。

1．SSL（SecureSocketLayer）協(xié)議32（1）SSL協(xié)議體系結(jié)構(gòu)重要概念：SSL連接（Connection）

SSL會(huì)話（Session）（1）SSL協(xié)議體系結(jié)構(gòu)重要概念：33服務(wù)類型作用服務(wù)器認(rèn)證通過服務(wù)器具有的特定密鑰實(shí)現(xiàn)客戶機(jī)對(duì)服務(wù)器的認(rèn)證客戶認(rèn)證確信客戶具有合法的信用卡號(hào)，客戶認(rèn)證為可選項(xiàng)通信的完整性防止黑客修改通信的保密性支持加密和解密（2）SSL協(xié)議提供的安全服務(wù)服務(wù)類型作用服務(wù)器認(rèn)證通過服務(wù)器具有的特定密鑰實(shí)現(xiàn)客戶機(jī)對(duì)服34（4）SSL存在的問題存在被攻擊修改的可能使用復(fù)雜的數(shù)學(xué)公式，高強(qiáng)度的計(jì)算會(huì)使服務(wù)器停頓在電子商務(wù)系統(tǒng)的應(yīng)用中存在很多弊端（4）SSL存在的問題352．SET（SecureElectronicTransaction）協(xié)議是一種基于銀行卡而進(jìn)行的為電子交易提供安全措施的規(guī)則，能廣泛應(yīng)用于因特網(wǎng)的安全電子支付協(xié)議采用公鑰密碼體制和X.509數(shù)字證書標(biāo)準(zhǔn)

2．SET（SecureElectronicTransa36（1）SET協(xié)議的主要目標(biāo)①保證電子商務(wù)參與者信息的相互隔離。②保證信息在因特網(wǎng)上安全傳輸，防止數(shù)據(jù)被黑客或被內(nèi)部人員竊取。③解決多方認(rèn)證問題。電子商務(wù)安全管理及技術(shù)課件37④保證網(wǎng)上交易的實(shí)時(shí)性，使所有的支付過程都是在線的。⑤提供一個(gè)開放式的標(biāo)準(zhǔn)，規(guī)范協(xié)議和消息格式，促使不同廠家開發(fā)的軟件具有兼容性和互操作功能，并且可運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上。④保證網(wǎng)上交易的實(shí)時(shí)性，使所有的支付過程都是在線的。38（2）SET系統(tǒng)的構(gòu)成①持卡人（Cardholder）②商家（Merchant）。③發(fā)卡機(jī)構(gòu)（Issuer）④收單銀行（Acquirer）⑤支付網(wǎng)關(guān)（PaymentGateway）⑥認(rèn)證中心（CertificationAuthority）

（2）SET系統(tǒng)的構(gòu)成39（3）SET協(xié)議的運(yùn)行過程（3）SET協(xié)議的運(yùn)行過程40綜合來看，SET協(xié)議規(guī)定運(yùn)行過程分為以下3個(gè)階段①購買請(qǐng)求階段②支付確認(rèn)階段③收款階段綜合來看，SET協(xié)議規(guī)定運(yùn)行過程分為以下3個(gè)階段41

（4）SET與SSL協(xié)議的比較同SSL相比，SET有這樣一些區(qū)別：首先，SET對(duì)商家提供了保護(hù)自己的手段，使商務(wù)免受欺詐的困擾，并且SET向消費(fèi)者保證了商家的合法性，保證用戶的信用卡號(hào)不會(huì)被竊取。而SSL相對(duì)不安全。（4）SET與SSL協(xié)議的比較42其次，SET是一個(gè)多方的報(bào)文協(xié)議，而SSL只是簡(jiǎn)單地在兩方之間建立一條安全連接。SSL是面向連接的，而SET允許各方之間報(bào)文的交換不是實(shí)時(shí)的。使用SET比SSL昂貴得多。最后，SET提供了比SSL更完整的用于電子商務(wù)的卡支付系統(tǒng)，它定義了各方的互操作接口，從而有效地降低了金融風(fēng)險(xiǎn)。

其次，SET是一個(gè)多方的報(bào)文協(xié)議，而SSL只是簡(jiǎn)單地在兩方之438.3電子商務(wù)安全管理技術(shù)8.3電子商務(wù)安全管理技術(shù)44現(xiàn)階段常用的幾種電子商務(wù)安全管理技術(shù)：1.加密技術(shù)明文密文加密解密密鑰2.認(rèn)證技術(shù)（1）身份認(rèn)證（2）數(shù)字簽名（3）數(shù)字時(shí)間戳與數(shù)字信封8.3.1安全管理技術(shù)概述身份認(rèn)證就是在電子商務(wù)交易過程中，判明和確認(rèn)貿(mào)易參與者的真實(shí)身份。主要有：基于密碼的認(rèn)證方式、基于生物特征的認(rèn)證方式、基于一次性口令的認(rèn)證方式、基于USBKey的認(rèn)證方式數(shù)字時(shí)間戳是用來證明消息的收發(fā)時(shí)間。數(shù)字信封是用加密技術(shù)來保證只有特定的收信人才能閱讀通信的內(nèi)容?，F(xiàn)階段常用的幾種電子商務(wù)安全管理技術(shù)：8.3.1安全管理45數(shù)字證書是一個(gè)擔(dān)保個(gè)人、計(jì)算機(jī)系統(tǒng)或者組織的身份和密鑰所有權(quán)的電子文檔，它是由一個(gè)權(quán)威機(jī)構(gòu)發(fā)行的，人們可以在交往中用它來識(shí)別對(duì)方的身份。數(shù)字證書采用公鑰體制數(shù)字證書的內(nèi)容：（4）數(shù)字證書數(shù)字證書是一個(gè)擔(dān)保個(gè)人、計(jì)算機(jī)系統(tǒng)或者組織的身份和密鑰所有權(quán)46申請(qǐng)者信息頒發(fā)者信息證書序列號(hào)（類似于身份證號(hào)碼）頒發(fā)者名稱證書主題（即證書所有人的名稱）頒發(fā)者的數(shù)字簽名（類似于身份證上公安機(jī)關(guān)的公章）證書的有效期限簽名所使用的算法證書所有人的公開密鑰申請(qǐng)者信息頒發(fā)者信息證書序列號(hào)（類似于身份證號(hào)碼）頒發(fā)者47（5）認(rèn)證中心認(rèn)證中心的功能主要是對(duì)數(shù)字證書進(jìn)行管理，即負(fù)責(zé)證書的申請(qǐng)、審批、發(fā)放、歸檔、撤銷、更新和廢止等管理。電子商務(wù)CA認(rèn)證體系包括兩大部分①SETCA認(rèn)證體系②PKICA認(rèn)證體系

（5）認(rèn)證中心483．防火墻技術(shù)防火墻是加強(qiáng)Internet和Intranet之間安全防范的、由硬件設(shè)備和軟件系統(tǒng)組成的、在外部網(wǎng)和內(nèi)部網(wǎng)之間的界面上構(gòu)成的保護(hù)層。防火墻作為網(wǎng)絡(luò)間實(shí)施網(wǎng)間訪問控制的一組組件的集合，應(yīng)滿足以下基本條件：

3．防火墻技術(shù)49第一，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有數(shù)據(jù)流必須經(jīng)過防火墻；第二，只有符合安全策略的數(shù)據(jù)流才能通過防火墻第三，防火墻自身具有高可靠性，應(yīng)對(duì)滲透（Penetration）免疫第一，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有數(shù)據(jù)流必須經(jīng)過防火墻；50防火墻基本的安全保護(hù)規(guī)則防火墻的功能防火墻的分類防火墻的體系結(jié)構(gòu)防火墻的實(shí)現(xiàn)

第一，一切未被允許的就是禁止的第二，一切未被禁止的就是允許的一般來說，防火墻的基本類型有三種：網(wǎng)絡(luò)級(jí)防火墻、應(yīng)用級(jí)防火墻和復(fù)合型防火墻。目前防火墻主要有三種常見的體系結(jié)構(gòu)：雙宿/多宿主機(jī)（Dual-homed/Multi-homed）模式、被屏蔽主機(jī)（ScreenedHost）模式被屏蔽子網(wǎng)（ScreenedSubnet）模式防火墻基本的安全保護(hù)規(guī)則

第一，一切未被允許的就是禁止的514．入侵檢測(cè)安全技術(shù)（1）入侵檢測(cè)技術(shù)的作用（2）入侵檢測(cè)系統(tǒng)的主要類型基于主機(jī)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（3）入侵檢測(cè)技術(shù)發(fā)展趨勢(shì)分布式入侵檢測(cè)智能化入侵檢測(cè)網(wǎng)絡(luò)安全技術(shù)相結(jié)合

電子商務(wù)安全管理及技術(shù)課件525．病毒防范技術(shù)病毒防范的具體措施應(yīng)該包括如下內(nèi)容：預(yù)防備份檢測(cè)隔離慎重5．病毒防范技術(shù)53電子商務(wù)中的安全機(jī)制主要是指三個(gè)方面：數(shù)字證書完成交易方的身份鑒別問題。數(shù)字簽名確定交易的不可否認(rèn)性，數(shù)字信封解決交易數(shù)據(jù)的保密問題電子商務(wù)安全體系結(jié)構(gòu)由網(wǎng)絡(luò)服務(wù)層、加密技術(shù)層、安全認(rèn)證層、安全協(xié)議層、應(yīng)用系統(tǒng)層5個(gè)層次組成8.3.2電子商務(wù)安全機(jī)制電子商務(wù)中的安全機(jī)制主要是指三個(gè)方面：數(shù)字證書完成交易方的身54電子商務(wù)安全管理及技術(shù)課件55網(wǎng)絡(luò)服務(wù)層構(gòu)成電子商務(wù)安全系統(tǒng)結(jié)構(gòu)的底層是網(wǎng)絡(luò)服務(wù)層。網(wǎng)絡(luò)服務(wù)層是各種電子商務(wù)應(yīng)用系統(tǒng)的基礎(chǔ)，提供信息傳送的載體和用戶接入手段及安全通信服務(wù)，保證網(wǎng)絡(luò)最基本的運(yùn)行安全。采用防火墻、加密、漏洞掃描、入侵檢測(cè)、反病毒和安全審計(jì)技術(shù)等，用以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全。

網(wǎng)絡(luò)服務(wù)層562.技術(shù)加密層電子商務(wù)安全性所依賴的基礎(chǔ)是密碼學(xué)。技術(shù)加密層主要采用對(duì)稱加密體制（可采用數(shù)據(jù)加密標(biāo)準(zhǔn)DES、高級(jí)加密標(biāo)準(zhǔn)AES等）和公鑰密碼體制（可采用RSA算法、混合密碼系統(tǒng)）。2.技術(shù)加密層573.安全認(rèn)證層在開放的網(wǎng)絡(luò)環(huán)境中開展電子商務(wù)活動(dòng)，除了要認(rèn)證買賣雙方的實(shí)體身份和驗(yàn)證電子交易過程中的數(shù)據(jù)是否真實(shí)完整，還要保證交易雙方的不可抵賴性。安全認(rèn)證的關(guān)鍵技術(shù)包括報(bào)文摘要和數(shù)字簽名。3.安全認(rèn)證層584.安全協(xié)議層電子商務(wù)的運(yùn)行需要一套完整的安全協(xié)議。目前，比較成熟的協(xié)議有安全套接層協(xié)議SSL、安全電子交易協(xié)議SET、Netbill和匿名原子交易協(xié)議等。4.安全協(xié)議層595.應(yīng)用系統(tǒng)層電子商務(wù)業(yè)務(wù)系統(tǒng)包括支付型系統(tǒng)和非支付型系統(tǒng)。電子商務(wù)業(yè)務(wù)系統(tǒng)中主要是支付型業(yè)務(wù)系統(tǒng)，而支付型業(yè)務(wù)系統(tǒng)可分為SET和非SET兩類。5.應(yīng)用系統(tǒng)層60支付系統(tǒng)通常涉及資金的轉(zhuǎn)移，通過支付網(wǎng)關(guān)構(gòu)架在電子商務(wù)基礎(chǔ)平臺(tái)之上，以其提供的各種安全服務(wù)為前提，為支付型電子商務(wù)業(yè)務(wù)系統(tǒng)提供各種安全的支付手段。非支付型業(yè)務(wù)系統(tǒng)直接架構(gòu)在電子商務(wù)基礎(chǔ)平臺(tái)之上，使用這一層提供的各種認(rèn)證手段和安全技術(shù)為最終用戶提供安全的電子商務(wù)服務(wù)。支付系統(tǒng)通常涉及資金的轉(zhuǎn)移，通過支付網(wǎng)關(guān)構(gòu)架在電子商務(wù)基礎(chǔ)平611.數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密的一般模型8.3.3數(shù)據(jù)加密與數(shù)字簽名1.數(shù)據(jù)加密技術(shù)8.3.3數(shù)據(jù)加密與數(shù)字簽名62（1）對(duì)稱密鑰密碼體系

對(duì)稱加密示意圖（1）對(duì)稱密鑰密碼體系63①對(duì)稱密鑰密碼體系的安全性②對(duì)稱加密方式的速度③對(duì)稱加密得到的密文是緊湊的④進(jìn)行安全通信前需要以安全方式進(jìn)行密鑰交換這種加密方式的特點(diǎn)：①對(duì)稱密鑰密碼體系的安全性這種加密方式的特點(diǎn)：64⑤對(duì)稱加密方式中密鑰的分發(fā)與管理⑥對(duì)稱密鑰密碼技術(shù)不適合于數(shù)字簽名和不可抵賴性。⑦常見的對(duì)稱加密算法有DES、AES和IDEA⑤對(duì)稱加密方式中密鑰的分發(fā)與管理65（2）非對(duì)稱密鑰密碼體系

非對(duì)稱加密示意圖（2）非對(duì)稱密鑰密碼體系66①非對(duì)稱密鑰密碼體系的安全性。②不必發(fā)送密鑰給接受者，所以不必?fù)?dān)心密鑰被中途攔截的問題。③非對(duì)稱加密方式的速度。④非對(duì)稱加密方式中密鑰的分發(fā)與管理。這種加密方式的特點(diǎn)有：①非對(duì)稱密鑰密碼體系的安全性。這種加密方式的特點(diǎn)有：67⑤非對(duì)稱加密會(huì)導(dǎo)致得到的密文變長。⑥非對(duì)稱加密技術(shù)不需要事先在各參與各方之間建立關(guān)系以交換密鑰，且支持?jǐn)?shù)字簽名。⑦常見的非對(duì)稱加密算法是RSA算法。⑤非對(duì)稱加密會(huì)導(dǎo)致得到的密文變長。682.數(shù)字簽名（1）數(shù)字簽名的含義“指在數(shù)據(jù)電文中以電子形式所含、所附或在邏輯上與數(shù)據(jù)電文有聯(lián)系的數(shù)據(jù)，它可用于鑒別與數(shù)據(jù)電文相關(guān)的簽名人和表明簽名人認(rèn)可數(shù)據(jù)電文所含信息”

我國在2004年8月28日正式通過了《中華人民共和國電子簽名法》數(shù)字簽名的過程2.數(shù)字簽名69電子商務(wù)安全管理及技術(shù)課件70Thankyou!Thankyou!71湯兵勇教授湯兵勇教授72電子商務(wù)安全管理及技術(shù)課件73湯兵勇，1950年3月出生。東華大學(xué)旭日工商管理學(xué)院信息管理學(xué)科教授、博士生導(dǎo)師。全國經(jīng)濟(jì)數(shù)學(xué)與管理數(shù)學(xué)學(xué)會(huì)第二常務(wù)副理事長。主要研究成果有“社會(huì)經(jīng)濟(jì)大系統(tǒng)協(xié)調(diào)發(fā)展模型”、“上海市電子商務(wù)管理辦法”等40余項(xiàng)。發(fā)表“市場(chǎng)經(jīng)濟(jì)控制論”、“模糊模型的辨識(shí)及應(yīng)用”等論文200余篇，出版著作10余部

研究方向:經(jīng)濟(jì)控制與電子商務(wù)國際交流與合作：曾赴加拿大多倫多大學(xué)管理學(xué)院做訪問學(xué)者聯(lián)系電話/p>

EMAIL：tangby@湯兵勇，1950年3月出生。東華大學(xué)旭日工商管理學(xué)院信息管理74第8章電子商務(wù)安全管理及技術(shù)第8章電子商務(wù)安全管理及技術(shù)75一個(gè)全方位的電子商務(wù)安全管理體系應(yīng)該從組織上、技術(shù)上、管理上以及法律法規(guī)等多方面入手，全面采取電子商務(wù)安全方法措施，這樣才能極大地實(shí)現(xiàn)電子商務(wù)的安全，保證電子商務(wù)交易的順利進(jìn)行。引言：一個(gè)全方位的電子商務(wù)安全管理體系應(yīng)該從組織上、技術(shù)上、管理上768.1電子商務(wù)安全管理的內(nèi)容8.1電子商務(wù)安全管理的內(nèi)容771.電子商務(wù)安全

（1）電子商務(wù)安全的內(nèi)涵電子商務(wù)的安全是一個(gè)廣泛而系統(tǒng)的概念，不僅包含著計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)、網(wǎng)絡(luò)通信技術(shù)、電子商務(wù)應(yīng)用環(huán)境、人員素質(zhì)等方面的安全，而且還與電子商務(wù)立法息息相關(guān)。8.1.1安全管理的原理1.電子商務(wù)安全8.1.1安全管理的原理78電子商務(wù)安全從整體上可以分為兩大部分：計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全。計(jì)算機(jī)網(wǎng)絡(luò)安全與電子商務(wù)交易安全實(shí)際上是密不可分的，兩者相輔相成，缺一不可。電子商務(wù)安全從整體上可以分為兩大部分：計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交79（2）電子商務(wù)的安全要素在電子商務(wù)交易過程中，交易各方面臨的威脅可能有信息的截獲和竊取。信息的篡改。信息的假冒。信息的抵賴。（2）電子商務(wù)的安全要素80針對(duì)電子商務(wù)面臨的以上種種威脅，必須采取相應(yīng)的應(yīng)對(duì)策略，從多方面的電子商務(wù)安全要素入手，保證電子商務(wù)運(yùn)行的安全實(shí)現(xiàn)。①可靠性。②真實(shí)性。③機(jī)密性。④完整性。⑤有效性。⑥不可抵賴性。⑦內(nèi)部網(wǎng)的嚴(yán)密性。針對(duì)電子商務(wù)面臨的以上種種威脅，必須采取相應(yīng)的應(yīng)對(duì)策略，從多812．電子商務(wù)安全管理（1）電子商務(wù)安全管理的概念電子商務(wù)的安全管理，指通過一個(gè)完整的綜合保障系統(tǒng)，規(guī)避電子商務(wù)交易過程的風(fēng)險(xiǎn)（信息傳輸風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)、網(wǎng)上支付風(fēng)險(xiǎn)等），以保證網(wǎng)上交易的順利進(jìn)行。

2．電子商務(wù)安全管理

82

電子商務(wù)的安全管理要求規(guī)避的風(fēng)險(xiǎn)主要有：①電子商務(wù)網(wǎng)絡(luò)系統(tǒng)自身的安全風(fēng)險(xiǎn)。②電子商務(wù)交易信息傳輸過程中的風(fēng)險(xiǎn)③電子商務(wù)企業(yè)內(nèi)部安全管理風(fēng)險(xiǎn)④電子商務(wù)安全法律風(fēng)險(xiǎn)。⑤電子商務(wù)的信用風(fēng)險(xiǎn)⑥電子商務(wù)安全支付風(fēng)險(xiǎn)電子商務(wù)的安全管理要求規(guī)避的風(fēng)險(xiǎn)主要有：83（2）電子商務(wù)安全與管理在如何正確看待電子商務(wù)的安全與管理時(shí)，需要注意幾點(diǎn)：安全是一個(gè)系統(tǒng)的概念。不僅有技術(shù)，還有管理安全是相對(duì)的。不要追求一個(gè)永遠(yuǎn)也攻不破的安全技術(shù)。（2）電子商務(wù)安全與管理84安全是有成本和代價(jià)的。如果不直接牽涉到支付等敏感問題，對(duì)安全的要求就低一些；反之，就高一些。安全是發(fā)展的、動(dòng)態(tài)的。需要不斷地檢查、評(píng)估和調(diào)整相應(yīng)的安全管理策略安全是有成本和代價(jià)的。85一個(gè)全方位的電子商務(wù)安全管理體系應(yīng)該從組織上、技術(shù)上、管理上以及法律法規(guī)等多方面入手，全面采取電子商務(wù)安全方法措施（1）建立第三方認(rèn)證機(jī)構(gòu)，組織行業(yè)協(xié)會(huì)制定安全管理標(biāo)準(zhǔn)。

8.1.2安全管理體系一個(gè)全方位的電子商務(wù)安全管理體系應(yīng)該從組織上、技術(shù)上、管理上86（2）全面應(yīng)用電子商務(wù)安全技術(shù)，構(gòu)造多重防范措施。（3）加強(qiáng)電子商務(wù)安全管理，制定安全管理標(biāo)準(zhǔn)。（4）電子商務(wù)的安全影響國家和社會(huì)的穩(wěn)定，應(yīng)盡快建立健全電子商務(wù)法律法規(guī)。

（2）全面應(yīng)用電子商務(wù)安全技術(shù)，構(gòu)造多重防范措施。87電子商務(wù)信用的管理1．電子商務(wù)信用管理的必要性2．電子商務(wù)信用管理體系3．我國電子商務(wù)信用管理現(xiàn)狀及相關(guān)政策8.1.3電子商務(wù)信用的管理電子商務(wù)1．電子商務(wù)2．電子商務(wù)3．我國電子8.1.3電881．電子商務(wù)信用管理的必要性面對(duì)電子商務(wù)的蓬勃發(fā)展趨勢(shì)，電子商務(wù)交易的信用危機(jī)卻悄然襲來。如，虛假交易、假冒行為、合同詐騙、網(wǎng)上拍賣哄抬價(jià)等行為屢屢發(fā)生，客觀上要求規(guī)范電子商務(wù)交易市場(chǎng)秩序。電子商務(wù)的經(jīng)銷商們由于不受地域限制，他們往往一開始就在較大范圍內(nèi)進(jìn)行經(jīng)營。而其物流和配送系統(tǒng)并未跟上，這樣銷售商們常常不能按時(shí)交付商品或不能交付質(zhì)價(jià)相符的商品。1．電子商務(wù)信用管理的必要性89這些現(xiàn)象在很大程度上制約了我國電子商務(wù)的快速、健康發(fā)展，隨著電子商務(wù)在全球范圍內(nèi)的興起，如果不盡快改變這種傳統(tǒng)的交易方式，將會(huì)失去更多的市場(chǎng)份額和競(jìng)爭(zhēng)優(yōu)勢(shì)。這些現(xiàn)象在很大程度上制約了我國電子商務(wù)的快速、健康發(fā)展，隨著90因此，必須建立電子商務(wù)信用管理體系，對(duì)企業(yè)和相關(guān)商業(yè)網(wǎng)站的信用進(jìn)行評(píng)級(jí)，驗(yàn)證客戶真實(shí)身份，同時(shí)還應(yīng)不斷收集客戶資料，評(píng)估和授予信用額度，保障債權(quán)，保障應(yīng)收賬款安全和及時(shí)回收，為電子商務(wù)的發(fā)展?fàn)I造一個(gè)較為寬松的信用環(huán)境，推動(dòng)電子商務(wù)市場(chǎng)的健康發(fā)展，它是企業(yè)信用管理體系的重心。因此，必須建立電子商務(wù)信用管理體系，對(duì)企業(yè)和相關(guān)商業(yè)網(wǎng)站的信912．電子商務(wù)信用管理體系電子商務(wù)中的信用問題是指電子商務(wù)交易過程中因缺乏一定的信任關(guān)系而導(dǎo)致電子商務(wù)的交易成本上升，使交易復(fù)雜化、混亂化，甚至無法正常進(jìn)行。完整的信用管理體系應(yīng)該包含信用信息采集系統(tǒng)、信用評(píng)價(jià)及查詢系統(tǒng)、信用動(dòng)態(tài)跟蹤及反饋系統(tǒng)、信用保障系統(tǒng)等子系統(tǒng)。2．電子商務(wù)信用管理體系92目前已有的信用管理模式：

a以政府為主體的有“網(wǎng)絡(luò)公證計(jì)劃”模式

b以企業(yè)為主體的有中介人模式

c擔(dān)保人模式

d網(wǎng)站經(jīng)營模式和委托授權(quán)模式電子商務(wù)信用保障機(jī)制是有效實(shí)現(xiàn)其信用管理所必需的，保障機(jī)制的存在意義在于加快建設(shè)良好的電子商務(wù)信用環(huán)境，同時(shí)推進(jìn)整個(gè)社會(huì)信用體系的完善。

電子商務(wù)安全管理及技術(shù)課件933．我國電子商務(wù)信用管理現(xiàn)狀及相關(guān)政策目前我國政府也開始重視社會(huì)信用體系的建立，陸續(xù)出臺(tái)了相關(guān)的法律法規(guī)、文件，并鼓勵(lì)行業(yè)協(xié)會(huì)出臺(tái)有關(guān)的信用標(biāo)準(zhǔn)，推動(dòng)整個(gè)社會(huì)經(jīng)濟(jì)的良好發(fā)展。3．我國電子商務(wù)信用管理現(xiàn)狀及相關(guān)政策94《2006-2020年國家信息化發(fā)展戰(zhàn)略》、《關(guān)于加快電子商務(wù)發(fā)展的若干意見》、《強(qiáng)化服務(wù)促進(jìn)中小企業(yè)信息化意見》電子商務(wù)行業(yè)協(xié)會(huì)、企業(yè)網(wǎng)站等也為電子商務(wù)行業(yè)信用體系的建設(shè)不斷地努力。

《2006-2020年國家信息化發(fā)展戰(zhàn)略》、《關(guān)于加快電子商958.2電子商務(wù)安全管理標(biāo)準(zhǔn)8.2電子商務(wù)安全管理標(biāo)準(zhǔn)96首先，制定和實(shí)施電子商務(wù)安全管理標(biāo)準(zhǔn)是電子商務(wù)安全交易的需要。其次，制定和實(shí)施電子商務(wù)安全管理標(biāo)準(zhǔn)是電子商務(wù)支付的需要。最后，制定和實(shí)施電子商務(wù)安全管理標(biāo)準(zhǔn)是社會(huì)穩(wěn)定，經(jīng)濟(jì)繁榮發(fā)展的需要。8.2.1安全管理標(biāo)準(zhǔn)制定的必要性首先，制定和實(shí)施電子商務(wù)安全管理標(biāo)準(zhǔn)是電子商務(wù)安全交易的需要97電子商務(wù)安全管理標(biāo)準(zhǔn)的內(nèi)容主要有技術(shù)標(biāo)準(zhǔn)、安全管理制度及其標(biāo)準(zhǔn)、安全管理法律法規(guī)

1．技術(shù)方面的標(biāo)準(zhǔn)規(guī)范早期措施：部分告知、另行確認(rèn)、在線服務(wù)現(xiàn)在推行：①加密標(biāo)準(zhǔn)。②電子商務(wù)安全協(xié)議。③數(shù)字簽名標(biāo)準(zhǔn)。④數(shù)字證書標(biāo)準(zhǔn)。信息技術(shù)及網(wǎng)絡(luò)安全標(biāo)準(zhǔn)美國國家安全局官方標(biāo)準(zhǔn)橘皮書我國相關(guān)技術(shù)標(biāo)準(zhǔn)

8.2.2安全管理標(biāo)準(zhǔn)的內(nèi)容對(duì)稱密鑰加密標(biāo)準(zhǔn)：DES非對(duì)稱加密標(biāo)準(zhǔn)：主要有RSA、DSA、Diffie-Hellman、PGP等主要用于保證電子商務(wù)中數(shù)據(jù)的保密性、完整性、真實(shí)性和不可抵賴性可以采用的協(xié)議有：安全超文本傳輸協(xié)議（STTP）安全套接層（SecureSocketsLayer，SSL）安全交易技術(shù)協(xié)議（SecureTransactionTechnology，STT）安全電子交易協(xié)議（SET）是一個(gè)經(jīng)過授權(quán)中心（CA）數(shù)字簽名的、包含證書申請(qǐng)者（公開密鑰擁有者）個(gè)人信息及其公開密鑰的文件。電子商務(wù)安全管理標(biāo)準(zhǔn)的內(nèi)容主要有技術(shù)標(biāo)準(zhǔn)、安全管理制度及其標(biāo)982．電子商務(wù)安全管理制度及其標(biāo)準(zhǔn)（1）電子商務(wù)安全管理制度是使用文字和圖表的形式對(duì)各項(xiàng)安全要求所做的規(guī)定，主要包括：①人員管理制度。②保密制度。③跟蹤、審計(jì)、稽核制度。④設(shè)備管理。

2．電子商務(wù)安全管理制度及其標(biāo)準(zhǔn)99⑤用戶管理。⑥病毒防范。⑦應(yīng)急措施（即災(zāi)難恢復(fù)）

（2）電子商務(wù)信用管理標(biāo)準(zhǔn)行業(yè)標(biāo)準(zhǔn)信用標(biāo)準(zhǔn)⑤用戶管理。1003．電子商務(wù)安全管理法律、法規(guī)、國家政策目前，已有50多個(gè)包括國際組織、國家和地區(qū)制定了電子商務(wù)法或相應(yīng)的標(biāo)準(zhǔn)。我國也出臺(tái)了許多有關(guān)互聯(lián)網(wǎng)絡(luò)安全、電子商務(wù)交易管理以及電子信息效力的法律法規(guī)和指導(dǎo)意見，如：

《中華人們共和國電子簽名法》

《商務(wù)部關(guān)于促進(jìn)電子商務(wù)規(guī)范發(fā)展的意見》

《中國國際經(jīng)濟(jì)貿(mào)易仲裁委員網(wǎng)上仲裁規(guī)則》

3．電子商務(wù)安全管理法律、法規(guī)、國家政策101安全協(xié)議是指由兩個(gè)或兩個(gè)以上的參與者，為完成某項(xiàng)特定的安全任務(wù)而采取的一系列步驟。電子商務(wù)中常用的安全協(xié)議有SSL協(xié)議、SET協(xié)議S-HTTP協(xié)議、FirstVirtual協(xié)議、支票支付協(xié)議、現(xiàn)金支付協(xié)議、安全電子郵件協(xié)議、InternetEDI協(xié)議、以及STT協(xié)議等。8.2.3電子商務(wù)安全協(xié)議安全協(xié)議是指由兩個(gè)或兩個(gè)以上的參與者，為完成某項(xiàng)特定的安全任1021．SSL（SecureSocketLayer）協(xié)議SSL（安全套接層）協(xié)議是一個(gè)用來保證安全傳輸文件的協(xié)議它主要是使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性，但它不保證信息的不可抵賴性主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸。

1．SSL（SecureSocketLayer）協(xié)議103（1）SSL協(xié)議體系結(jié)構(gòu)重要概念：SSL連接（Connection）

SSL會(huì)話（Session）（1）SSL協(xié)議體系結(jié)構(gòu)重要概念：104服務(wù)類型作用服務(wù)器認(rèn)證通過服務(wù)器具有的特定密鑰實(shí)現(xiàn)客戶機(jī)對(duì)服務(wù)器的認(rèn)證客戶認(rèn)證確信客戶具有合法的信用卡號(hào)，客戶認(rèn)證為可選項(xiàng)通信的完整性防止黑客修改通信的保密性支持加密和解密（2）SSL協(xié)議提供的安全服務(wù)服務(wù)類型作用服務(wù)器認(rèn)證通過服務(wù)器具有的特定密鑰實(shí)現(xiàn)客戶機(jī)對(duì)服105（4）SSL存在的問題存在被攻擊修改的可能使用復(fù)雜的數(shù)學(xué)公式，高強(qiáng)度的計(jì)算會(huì)使服務(wù)器停頓在電子商務(wù)系統(tǒng)的應(yīng)用中存在很多弊端（4）SSL存在的問題1062．SET（SecureElectronicTransaction）協(xié)議是一種基于銀行卡而進(jìn)行的為電子交易提供安全措施的規(guī)則，能廣泛應(yīng)用于因特網(wǎng)的安全電子支付協(xié)議采用公鑰密碼體制和X.509數(shù)字證書標(biāo)準(zhǔn)

2．SET（SecureElectronicTransa107（1）SET協(xié)議的主要目標(biāo)①保證電子商務(wù)參與者信息的相互隔離。②保證信息在因特網(wǎng)上安全傳輸，防止數(shù)據(jù)被黑客或被內(nèi)部人員竊取。③解決多方認(rèn)證問題。電子商務(wù)安全管理及技術(shù)課件108④保證網(wǎng)上交易的實(shí)時(shí)性，使所有的支付過程都是在線的。⑤提供一個(gè)開放式的標(biāo)準(zhǔn)，規(guī)范協(xié)議和消息格式，促使不同廠家開發(fā)的軟件具有兼容性和互操作功能，并且可運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上。④保證網(wǎng)上交易的實(shí)時(shí)性，使所有的支付過程都是在線的。109（2）SET系統(tǒng)的構(gòu)成①持卡人（Cardholder）②商家（Merchant）。③發(fā)卡機(jī)構(gòu)（Issuer）④收單銀行（Acquirer）⑤支付網(wǎng)關(guān)（PaymentGateway）⑥認(rèn)證中心（CertificationAuthority）

（2）SET系統(tǒng)的構(gòu)成110（3）SET協(xié)議的運(yùn)行過程（3）SET協(xié)議的運(yùn)行過程111綜合來看，SET協(xié)議規(guī)定運(yùn)行過程分為以下3個(gè)階段①購買請(qǐng)求階段②支付確認(rèn)階段③收款階段綜合來看，SET協(xié)議規(guī)定運(yùn)行過程分為以下3個(gè)階段112

（4）SET與SSL協(xié)議的比較同SSL相比，SET有這樣一些區(qū)別：首先，SET對(duì)商家提供了保護(hù)自己的手段，使商務(wù)免受欺詐的困擾，并且SET向消費(fèi)者保證了商家的合法性，保證用戶的信用卡號(hào)不會(huì)被竊取。而SSL相對(duì)不安全。（4）SET與SSL協(xié)議的比較113其次，SET是一個(gè)多方的報(bào)文協(xié)議，而SSL只是簡(jiǎn)單地在兩方之間建立一條安全連接。SSL是面向連接的，而SET允許各方之間報(bào)文的交換不是實(shí)時(shí)的。使用SET比SSL昂貴得多。最后，SET提供了比SSL更完整的用于電子商務(wù)的卡支付系統(tǒng)，它定義了各方的互操作接口，從而有效地降低了金融風(fēng)險(xiǎn)。

其次，SET是一個(gè)多方的報(bào)文協(xié)議，而SSL只是簡(jiǎn)單地在兩方之1148.3電子商務(wù)安全管理技術(shù)8.3電子商務(wù)安全管理技術(shù)115現(xiàn)階段常用的幾種電子商務(wù)安全管理技術(shù)：1.加密技術(shù)明文密文加密解密密鑰2.認(rèn)證技術(shù)（1）身份認(rèn)證（2）數(shù)字簽名（3）數(shù)字時(shí)間戳與數(shù)字信封8.3.1安全管理技術(shù)概述身份認(rèn)證就是在電子商務(wù)交易過程中，判明和確認(rèn)貿(mào)易參與者的真實(shí)身份。主要有：基于密碼的認(rèn)證方式、基于生物特征的認(rèn)證方式、基于一次性口令的認(rèn)證方式、基于USBKey的認(rèn)證方式數(shù)字時(shí)間戳是用來證明消息的收發(fā)時(shí)間。數(shù)字信封是用加密技術(shù)來保證只有特定的收信人才能閱讀通信的內(nèi)容?，F(xiàn)階段常用的幾種電子商務(wù)安全管理技術(shù)：8.3.1安全管理116數(shù)字證書是一個(gè)擔(dān)保個(gè)人、計(jì)算機(jī)系統(tǒng)或者組織的身份和密鑰所有權(quán)的電子文檔，它是由一個(gè)權(quán)威機(jī)構(gòu)發(fā)行的，人們可以在交往中用它來識(shí)別對(duì)方的身份。數(shù)字證書采用公鑰體制數(shù)字證書的內(nèi)容：（4）數(shù)字證書數(shù)字證書是一個(gè)擔(dān)保個(gè)人、計(jì)算機(jī)系統(tǒng)或者組織的身份和密鑰所有權(quán)117申請(qǐng)者信息頒發(fā)者信息證書序列號(hào)（類似于身份證號(hào)碼）頒發(fā)者名稱證書主題（即證書所有人的名稱）頒發(fā)者的數(shù)字簽名（類似于身份證上公安機(jī)關(guān)的公章）證書的有效期限簽名所使用的算法證書所有人的公開密鑰申請(qǐng)者信息頒發(fā)者信息證書序列號(hào)（類似于身份證號(hào)碼）頒發(fā)者118（5）認(rèn)證中心認(rèn)證中心的功能主要是對(duì)數(shù)字證書進(jìn)行管理，即負(fù)責(zé)證書的申請(qǐng)、審批、發(fā)放、歸檔、撤銷、更新和廢止等管理。電子商務(wù)CA認(rèn)證體系包括兩大部分①SETCA認(rèn)證體系②PKICA認(rèn)證體系

（5）認(rèn)證中心1193．防火墻技術(shù)防火墻是加強(qiáng)Internet和Intranet之間安全防范的、由硬件設(shè)備和軟件系統(tǒng)組成的、在外部網(wǎng)和內(nèi)部網(wǎng)之間的界面上構(gòu)成的保護(hù)層。防火墻作為網(wǎng)絡(luò)間實(shí)施網(wǎng)間訪問控制的一組組件的集合，應(yīng)滿足以下基本條件：

3．防火墻技術(shù)120第一，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有數(shù)據(jù)流必須經(jīng)過防火墻；第二，只有符合安全策略的數(shù)據(jù)流才能通過防火墻第三，防火墻自身具有高可靠性，應(yīng)對(duì)滲透（Penetration）免疫第一，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有數(shù)據(jù)流必須經(jīng)過防火墻；121防火墻基本的安全保護(hù)規(guī)則防火墻的功能防火墻的分類防火墻的體系結(jié)構(gòu)防火墻的實(shí)現(xiàn)

第一，一切未被允許的就是禁止的第二，一切未被禁止的就是允許的一般來說，防火墻的基本類型有三種：網(wǎng)絡(luò)級(jí)防火墻、應(yīng)用級(jí)防火墻和復(fù)合型防火墻。目前防火墻主要有三種常見的體系結(jié)構(gòu)：雙宿/多宿主機(jī)（Dual-homed/Multi-homed）模式、被屏蔽主機(jī)（ScreenedHost）模式被屏蔽子網(wǎng)（ScreenedSubnet）模式防火墻基本的安全保護(hù)規(guī)則

第一，一切未被允許的就是禁止的1224．入侵檢測(cè)安全技術(shù)（1）入侵檢測(cè)技術(shù)的作用（2）入侵檢測(cè)系統(tǒng)的主要類型基于主機(jī)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（3）入侵檢測(cè)技術(shù)發(fā)展趨勢(shì)分布式入侵檢測(cè)智能化入侵檢測(cè)網(wǎng)絡(luò)安全技術(shù)相結(jié)合

電子商務(wù)安全管理及技術(shù)課件