電子商務(wù)安全技術(shù)課件

《電子商務(wù)概論》國(guó)家精品課程第8章電子商務(wù)安全技術(shù)1感謝你的觀看2019年9月14目錄

8.1電子商務(wù)中安全要素及面臨的安全問題8.2病毒及黑客防范技術(shù)8.3防火墻技術(shù)8.4加密算法8.5基于公開密鑰體系的數(shù)字證書認(rèn)證技術(shù)8.6安全套接層（SSL）協(xié)議8.7安全電子交易（SET）分析8.8Windows系統(tǒng)中證書的應(yīng)用8.9信息安全管理2感謝你的觀看2019年9月148.1電子商務(wù)中安全要素及面臨的安全問題

8.1.1電子商務(wù)的基本安全要素

有效性機(jī)密性完整性可靠性/不可抵賴性/可鑒別性審查能力

3感謝你的觀看2019年9月148.1.2電子商務(wù)中的安全問題

信息泄漏竄改身份識(shí)別問題電腦病毒問題黑客問題8.1電子商務(wù)中安全要素及面臨的安全問題

4感謝你的觀看2019年9月148.2病毒及黑客防范技術(shù)

8.2.1.單機(jī)病毒

DOS病毒、Windows病毒和宏病毒

8.2.2網(wǎng)絡(luò)病毒及其防范特洛伊木馬和郵件病毒

8.2.3網(wǎng)上炸彈及其防范

IP炸彈、郵件炸彈、ICQ/QICQ炸彈

5感謝你的觀看2019年9月148.3防火墻技術(shù)

8.3.1防火墻定義

防火墻是：內(nèi)部網(wǎng)與外部網(wǎng)之間安全防范訪問控制機(jī)制

8.3.2防火墻技術(shù)數(shù)據(jù)包過濾應(yīng)用網(wǎng)關(guān)代理服務(wù)

8.3.3防火墻技術(shù)的發(fā)展6感謝你的觀看2019年9月148.4加密算法

7感謝你的觀看2019年9月148.4.1對(duì)稱密鑰加密算法

DES（DataEnercryptionStandard）8.4.2非對(duì)稱密鑰加密算法

RSA（RivestShamirAd1eman）8.4.3散列函數(shù)

MD-5、SHA8.4加密算法

8感謝你的觀看2019年9月148.4.4一種組合的加密協(xié)議加密過程：9感謝你的觀看2019年9月148.4.5一種組合的加密協(xié)議解密過程：10感謝你的觀看2019年9月148.5基于公開密鑰體系體系的數(shù)字證書認(rèn)證技術(shù)

8.5.1公開密鑰體系的定義

公開密鑰體系（PublicKeyInfrastructure：PKI），是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái)，是為網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所需密鑰和證書的管理體系。8.5.2CA認(rèn)證中心及數(shù)字證書

CA是一個(gè)負(fù)責(zé)發(fā)放和管理數(shù)字證書的權(quán)威機(jī)構(gòu)

11感謝你的觀看2019年9月148.5.3數(shù)字證書類型個(gè)人身份證書企業(yè)身份證書服務(wù)器身份證書企業(yè)代碼簽名證書安全電子郵件證書8.5基于公開密鑰體系體系的數(shù)字證書認(rèn)證技術(shù)

12感謝你的觀看2019年9月148.6安全套接層（SSL）協(xié)議

8.6.1概述

SSL(SecureSocketsLayer)安全套接層協(xié)議：提供了兩臺(tái)計(jì)算機(jī)之間的安全連接，對(duì)整個(gè)會(huì)話進(jìn)行了加密，從而保證了安全傳輸

SSL協(xié)議分為兩層：SSL握手協(xié)議和SSL記錄協(xié)議

13感謝你的觀看2019年9月148.6.2SSL協(xié)議安全連接特點(diǎn)：(1)連接是保密的(2)連接是可靠的

(3)對(duì)端實(shí)體的鑒別采用非對(duì)稱密碼體制進(jìn)行認(rèn)證。8.6安全套接層（SSL）協(xié)議

14感謝你的觀看2019年9月14SSL握手協(xié)議15感謝你的觀看2019年9月14SSL記錄協(xié)議

內(nèi)容類型協(xié)議版本號(hào)長(zhǎng)度數(shù)據(jù)有效載荷信息驗(yàn)證碼16感謝你的觀看2019年9月148.7安全電子交易SET分析

8.7.1安全電子商務(wù)模型InternetInternet支付網(wǎng)絡(luò)證書權(quán)威機(jī)構(gòu)支付網(wǎng)關(guān)支付者發(fā)卡者持卡人商家17感謝你的觀看2019年9月148.7.2SET的購(gòu)物流程

8.7.3SET的認(rèn)證8.7安全電子交易SET分析

18感謝你的觀看2019年9月148.8Windows系統(tǒng)中證書的應(yīng)用

8.8.1在Windows系統(tǒng)中使用個(gè)人數(shù)字證書

8.8.2服務(wù)器證書申請(qǐng)及安裝

8.8.3Windows2000系統(tǒng)中證書服務(wù)的安裝

19感謝你的觀看2019年9月148.9信息安全管理8.9.1建立信息安全管理體系的作用與意義

信息安全管理體系ISMS（InformationSecuritryManagementSystems）是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。20感謝你的觀看2019年9月14建立信息安全管理體系產(chǎn)生的作用：

1．強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為；

2．對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競(jìng)爭(zhēng)優(yōu)勢(shì)；

3．在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；

4．使組織的生意伙伴和客戶對(duì)組織充滿信心；

5．如果通過體系認(rèn)證，表明體系符合標(biāo)準(zhǔn)，證明組織有能力保障重要信息，提高組織的知名度與信任度；

6．促使管理層堅(jiān)持貫徹信息安全保障體系。8.9信息安全管理21感謝你的觀看2019年9月14

8.9.2我國(guó)信息安全管理現(xiàn)狀

1．缺乏權(quán)威、統(tǒng)一立法管理機(jī)構(gòu)，致使一些信息安全管理方面的法律法規(guī)不成體系和執(zhí)行難度較大。2．在IT系統(tǒng)建設(shè)過程中沒有充分考慮，導(dǎo)致后期安全建設(shè)和管理工作比較被動(dòng)，同時(shí)業(yè)務(wù)的發(fā)展及IT的建設(shè)與信息安全管理建設(shè)不對(duì)稱；3．目前現(xiàn)狀多局限于局部性地使用安全產(chǎn)品，或使用有洞補(bǔ)洞的方式被動(dòng)地解決問題，缺乏科學(xué)的、全面的安全管理規(guī)劃；8.9信息安全管理22感謝你的觀看2019年9月144．目前的技術(shù)人員多偏重于網(wǎng)路、主機(jī)及應(yīng)用系統(tǒng)開發(fā)，安全管理的力量薄弱；5．缺少法律法規(guī)的約定方法去進(jìn)行管理。6．信息安全管理應(yīng)該是全員參與領(lǐng)導(dǎo)支持，但是多數(shù)企業(yè)的領(lǐng)導(dǎo)還是沒有時(shí)間和精力顧及這方面的工作。8.9信息安全管理23感謝你的觀看2019年9月148.9.3信息安全管理標(biāo)準(zhǔn)1．國(guó)際信息安全管理標(biāo)準(zhǔn)ISO/IEC13335、ISO/IEC27000系列

2、我國(guó)信息安全管理相關(guān)標(biāo)準(zhǔn)

GB17895-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》GB/T18336:2001信息技術(shù)安全性評(píng)估準(zhǔn)則

GB/T20269-2006《信息安全技術(shù)信息系統(tǒng)安全管理要求》

8.9信息安全管理24感謝你的觀看2019年9月148.9.4信息安全管理體系模型PDCA模型25感謝你的觀看2019年9月148.9.5信息安全管理體系建設(shè)思路建立信息安全管理體系的主要步驟：1．信息安全管理體系策劃與準(zhǔn)備2．確定信息安全管理體系適用的范圍3．現(xiàn)狀調(diào)查與風(fēng)險(xiǎn)評(píng)估4．建立信息安全管理框架5．信息安全管理體系文件編寫6．信息安全管理體系的運(yùn)行與改進(jìn)7．