電子商務(wù)安全與管理課件

關(guān)于本課程的說明開課目的：了解和認(rèn)識(shí)電子商務(wù)存在的各類安全問題，明確電子商務(wù)的安全需求，掌握解決相關(guān)問題的思路主要內(nèi)容：信息安全、網(wǎng)絡(luò)安全、數(shù)字證書、電子商務(wù)安全管理、電子商務(wù)安全風(fēng)險(xiǎn)管理等內(nèi)容。主要教學(xué)方式：課堂講述、課堂討論、專題寫作、作業(yè)和思考題?？己嗽u(píng)價(jià)方式：閉卷考試第一章電子商務(wù)安全導(dǎo)論本章學(xué)習(xí)目的：了解電子商務(wù)面臨的安全問題掌握電子商務(wù)系統(tǒng)安全的構(gòu)成要素了解電子商務(wù)安全的主要需求理解電子商務(wù)安全的保障手段第一節(jié)電子商務(wù)面臨的安全問題1、安全問題的提出伴隨著互聯(lián)網(wǎng)經(jīng)濟(jì)的不斷發(fā)展，電子商務(wù)活動(dòng)越來越普遍，與此相對(duì)應(yīng)的各類安全問題也越來越引起人們的重視，有必要采取一系列針對(duì)性的措施解決這類問題。

2、電子商務(wù)涉及的安全問題主要有以下幾個(gè)方面：1）信息安全問題2）信用的安全問題3）安全的管理問題4）安全的法律法規(guī)保障問題（一）實(shí)體安全保障設(shè)備、設(shè)施的正常運(yùn)行和數(shù)據(jù)的安全。1、環(huán)境安全：系統(tǒng)運(yùn)行周邊環(huán)境的保障。2、設(shè)備安全：系統(tǒng)中各運(yùn)行設(shè)備自身的安全運(yùn)行。3、媒體安全：主要是指存放數(shù)據(jù)的介質(zhì)的安全保障。（二）系統(tǒng)運(yùn)行安全提供安全措施保障系統(tǒng)功能的安全實(shí)現(xiàn)。1、風(fēng)險(xiǎn)分析：對(duì)系統(tǒng)運(yùn)行中可能出現(xiàn)的各類安全風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè)和分析2、審計(jì)跟蹤：完善系統(tǒng)運(yùn)行的各類記錄，了解系統(tǒng)運(yùn)行狀況。3、備份與恢復(fù)4、應(yīng)急措施（三）信息安全

防止信息被非法泄露、更改、破壞等。1、操作系統(tǒng)安全2、數(shù)據(jù)庫安全3、網(wǎng)絡(luò)安全4、病毒防護(hù)安全5、訪問控制安全6、加密7、鑒別上次課內(nèi)容回顧1、電子商務(wù)面臨的主要安全問題信息安全、信用安全、安全管理、安全的法律法規(guī)保障2、電子商務(wù)系統(tǒng)的安全構(gòu)成實(shí)體安全、運(yùn)行安全、信息安全3、電子商務(wù)安全的需求保密性、完整性、認(rèn)證性、可控性、不可否認(rèn)性4、電子商務(wù)的安全保障技術(shù)措施、管理措施、法律環(huán)境第二章信息安全技術(shù)2.1信息安全概述電子商務(wù)中信息安全主要涉及以下五個(gè)方面1、信息的機(jī)密性2、信息的完整性3、對(duì)信息的驗(yàn)證4、信息的不可否認(rèn)性5、對(duì)信息的訪問控制一、信息的機(jī)密性要求：信息的保密，如項(xiàng)目的投標(biāo)、產(chǎn)品的報(bào)價(jià)、銀行的賬號(hào)和密碼等重要的商業(yè)信息。技術(shù)對(duì)策：信息加密（對(duì)稱加密與非對(duì)稱加密）二、信息的完整性要求：能夠?qū)π畔⑦M(jìn)行檢測(cè)，并識(shí)別信息是否被更改。技術(shù)對(duì)策：利用數(shù)字摘要技術(shù)（Hash函數(shù)、SSL協(xié)議）五、訪問控制要求：只允許授權(quán)用戶訪問相關(guān)信息。技術(shù)策略：設(shè)定用戶及權(quán)限、訪問賬號(hào)、口令等。2.2信息傳輸中的加密方式信息加密主要分為傳輸加密和存儲(chǔ)加密。信息傳輸加密：是指?jìng)鬏斶^程中對(duì)信息進(jìn)行加密的過程。一、幾種常用的加密方式1、鏈路-鏈路加密在通信節(jié)點(diǎn)對(duì)信息進(jìn)行加密處理，以保證在鏈路上傳遞的信息是加密過的。2、節(jié)點(diǎn)加密在各節(jié)點(diǎn)設(shè)專用的加密裝置對(duì)信息加密和解密，實(shí)現(xiàn)信息在鏈路上的加密傳輸。3、端-端加密在發(fā)送端和接收端分別對(duì)信息進(jìn)行加密和解密操作。2.3對(duì)稱加密與非對(duì)稱加密加密：利用一定的加密算法和密鑰對(duì)數(shù)據(jù)對(duì)象進(jìn)行處理，得到與原文截然不同的數(shù)據(jù)對(duì)象方法。加密形式：對(duì)稱加密、非對(duì)稱加密對(duì)稱加密：存在一個(gè)密鑰，加密密鑰與解密密鑰相同。非對(duì)稱加密：存在一個(gè)密鑰對(duì)（公開密鑰、私有密鑰），均可對(duì)數(shù)據(jù)進(jìn)行加密和解密操作。可運(yùn)用在加密模式和驗(yàn)證模式上。2.3.1對(duì)稱加密系統(tǒng)1、對(duì)稱密碼體制，也叫做單鑰密碼體制或秘密密鑰密碼體制，即加密密鑰與解密密鑰相同的密碼體制，這種體制中只要知道加（解）密算法，就可以反推解（加）密算法。2、對(duì)稱加密的優(yōu)缺點(diǎn)a、優(yōu)點(diǎn)：使用方便，效率高B、缺點(diǎn)：密鑰管理和使用比較困難3、信息驗(yàn)證碼見圖2-4作用：實(shí)現(xiàn)信息完整性的驗(yàn)證，保證信息在傳輸過程中不被篡改和破壞。自從1976年，Diffie和Hellman在《密碼學(xué)的新方向》一文中提出公開密鑰密碼的思想以來，經(jīng)過20多年發(fā)展，公開密鑰密碼獲得了巨大的發(fā)展。在實(shí)踐應(yīng)用當(dāng)中，公開密鑰密碼成功地解決了計(jì)算機(jī)網(wǎng)絡(luò)安全的身份認(rèn)證、數(shù)字簽名等問題，推動(dòng)了包括電子商務(wù)在內(nèi)的一大批網(wǎng)絡(luò)應(yīng)用的不斷深入和發(fā)展。公鑰密碼體制也稱非對(duì)稱密碼體制，在這種體制中，存在一個(gè)密鑰對(duì)－公共密鑰和私有密鑰，它們是不一樣的。公開的密鑰簡(jiǎn)稱公鑰（publickey），私有密鑰簡(jiǎn)稱私鑰（privatekey），私鑰和公鑰都既可做加密密鑰，也可做解密密鑰。這種密碼體制中每一個(gè)用戶都分別擁有兩個(gè)密鑰：公鑰與私鑰，并且攻擊者想由公鑰得到私鑰在計(jì)算上是不可行的。與對(duì)稱密鑰密碼體制相比，非對(duì)稱密鑰密碼體制具有以下幾個(gè)特點(diǎn)：(1)密鑰分發(fā)和管理簡(jiǎn)單。加密密鑰可以做成密鑰本公開，解密密鑰由各用戶自行掌握。(2)每個(gè)用戶秘密保存的密鑰量減少。網(wǎng)絡(luò)中每個(gè)用戶只需要秘密保存自己的解密密鑰，與其他用戶通信所使用的加密密鑰可以由密鑰本得到。(3)適應(yīng)于計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，能夠滿足互不相識(shí)的用戶之間進(jìn)行保密通信的要求。(4)能夠很容易的完成數(shù)字簽名和認(rèn)證。(5)加密和解密的效率比對(duì)稱密碼體制要差，因此，大多數(shù)用公鑰密碼體制來保護(hù)和分發(fā)會(huì)話密鑰，并將其用于對(duì)稱密碼算法中實(shí)現(xiàn)快速通信數(shù)字簽名從傳統(tǒng)的手寫簽名衍生而來，它可以提供一些基本的密碼服務(wù)，如數(shù)據(jù)的完整性、真實(shí)性以及不可否認(rèn)性。數(shù)字簽名是實(shí)現(xiàn)電子交易安全的核心技術(shù)之一，它在身份認(rèn)證、數(shù)據(jù)完整性、不可否認(rèn)性以及匿名性等方面有著重要的應(yīng)用。簡(jiǎn)單地說，數(shù)字簽名就是通過一個(gè)單向函數(shù)對(duì)要傳送的報(bào)文進(jìn)行處理，得到用于認(rèn)證報(bào)文來源并核實(shí)報(bào)文是否發(fā)生變化的一個(gè)字母數(shù)字串，用這個(gè)字符串來代替書寫簽名或印章，起到與書寫簽名或印章同樣的法律效用。數(shù)字簽名的基本原理見圖2-9數(shù)字簽名的使用見圖2-10二、RSA密鑰的傳輸對(duì)稱密鑰的分發(fā)應(yīng)考慮其機(jī)密性，可利用RSA加密算法進(jìn)行分發(fā)和傳輸。三、公開密鑰的分發(fā)公開密鑰的分發(fā)可不考慮機(jī)密性，但要注意其完整性，應(yīng)采用數(shù)字證書形式進(jìn)行分發(fā)。2.6驗(yàn)證技術(shù)驗(yàn)證：是對(duì)通過網(wǎng)絡(luò)進(jìn)行資源訪問的對(duì)象，進(jìn)行的資格（身份、權(quán)限）的審查。常用的驗(yàn)證方法：1、基于口令的驗(yàn)證2、基于協(xié)議的驗(yàn)證3、基于個(gè)人令牌的驗(yàn)證4、基于生物特征的驗(yàn)證5、基于地址的驗(yàn)證6、數(shù)字時(shí)間戳驗(yàn)證第三章Internet安全一、Internet安全概述1、網(wǎng)絡(luò)層安全不同網(wǎng)絡(luò)終端間的信息傳輸安全問題。存在的問題:數(shù)據(jù)篡改、非正確來源、數(shù)據(jù)不能傳送到指定地址、數(shù)據(jù)泄漏解決的策略：認(rèn)證和完整性、保密性、訪問控制、協(xié)議保護(hù)二、應(yīng)用層安全特定程序可能存在的安全問題，主要是運(yùn)行在相互通信的終端進(jìn)程中可能存在的安全問題。如間諜軟件、木馬程序等。三、系統(tǒng)安全設(shè)備平臺(tái)實(shí)體及工作環(huán)境的安全問題。3.2防火墻技術(shù)1、防火墻的概念利用硬件或軟件技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)間的可控制訪問的系統(tǒng)。2、基本分類及原理包過濾防火墻：對(duì)傳輸?shù)臄?shù)據(jù)包進(jìn)行檢測(cè)的防范方式。應(yīng)用網(wǎng)關(guān)防火墻：在應(yīng)用層對(duì)數(shù)據(jù)進(jìn)行過濾檢測(cè)。3.3、VPN技術(shù)通過公用網(wǎng)絡(luò)實(shí)現(xiàn)內(nèi)部專用網(wǎng)絡(luò)間的數(shù)據(jù)傳輸技術(shù)。（虛擬專用網(wǎng)絡(luò)技術(shù)）3.4網(wǎng)絡(luò)入侵檢測(cè)1、檢測(cè)策略和方式2、主要方法3.5IP協(xié)議安全（IPsec）

針對(duì)ip協(xié)議存在的安全問題采取的相應(yīng)措施。一、IP安全體系結(jié)構(gòu)概念：基于加密技術(shù)的安全機(jī)制和標(biāo)準(zhǔn)，包括認(rèn)證、完整性、訪問控制、機(jī)密性等。功能：在IP層提供安全服務(wù)選擇需要的安全協(xié)議決定使用的算法保存加密使用的密鑰服務(wù)：通過提供安全協(xié)議選擇、決定算法、提供密鑰等方式實(shí)現(xiàn)以下服務(wù)：訪問控制無連接完整性數(shù)據(jù)源的鑒別拒絕重放的分組1、認(rèn)證頭協(xié)議提供數(shù)據(jù)源認(rèn)證的服務(wù)2、分組加密協(xié)議提供數(shù)據(jù)源加密服務(wù)3、安全關(guān)聯(lián)實(shí)現(xiàn)發(fā)、收雙方的安全連接和數(shù)據(jù)傳輸。3.6電子商務(wù)應(yīng)用安全協(xié)議一、涉及電子郵件的安全問題發(fā)送者身份的認(rèn)證不可否認(rèn)性郵件的完整性郵件的保密性二、解決方案1、增強(qiáng)的私密電子郵件PEM通過對(duì)郵件加密及建立基于非對(duì)稱密鑰機(jī)制的系統(tǒng)設(shè)施，實(shí)現(xiàn)電子郵件加密傳輸?shù)囊环N方式。2、MIME、S/MIME標(biāo)準(zhǔn)信息格式信息加密標(biāo)準(zhǔn)數(shù)字簽名標(biāo)準(zhǔn)數(shù)字證書格式3、安全超文本傳輸協(xié)議（S_HTTP）利用密鑰對(duì)加密的方式，針對(duì)商務(wù)網(wǎng)站的信息安全進(jìn)行加密保障處理。4、安全套接層協(xié)議（SSL）ssl服務(wù)器認(rèn)證用戶身份確認(rèn)數(shù)據(jù)傳輸?shù)?/p>