第一章-電子商務安全導論

第1章電子商務安全導論電子商務安全與管理21.電子商務面臨的安全問題電子商務系統(tǒng)自身的安全問題電子商務交易信息傳輸過程中的安全問題2.電子商務的安全保障目錄2024/3/17引例——eBay在中國潰敗之因2024/3/17電子商務安全與管理32024/3/17電子商務安全與管理4引例——eBay在中國潰敗之因2024/3/17電子商務安全與管理5引例——eBay在中國潰敗之因2024/3/17電子商務安全與管理6引例——eBay在中國潰敗之因2024/3/17電子商務安全與管理7引例——eBay在中國潰敗之因2024/3/17電子商務安全與管理8引例——eBay在中國潰敗之因eBay的PayPal與淘寶的支付寶支付寶支持“擔保交易”支付功能，即“買家收貨確認后再付款”；而PayPal的付款都是即時到帳的，即通過PayPal付款的交易是“賣家先收到貨款后再發(fā)貨”支付寶賬戶可以通過銀行卡向支付寶賬戶內充值，再通過支付寶余額付款；PayPal通常需要用戶將自己的信用卡和自己的PayPal賬戶綁定，在支付過程中PayPal代用戶從信用卡中扣除相應的貨款付給對方2024/3/17電子商務安全與管理9引例——eBay在中國潰敗之因電子商務安全與管理10eBay與淘寶之戰(zhàn)，淘寶完勝，那么是否淘寶就不再面臨任何的安全問題了呢？如果不是，到底還有哪些安全問題需要電子商務來面對呢？2024/3/17引例——eBay在中國潰敗之因電子商務安全與管理111.電子商務面臨的安全問題電子商務系統(tǒng)自身的安全問題電子商務交易信息傳輸過程中的安全問題2.電子商務的安全保障目錄2024/3/17電子商務安全與管理121.電子商務面臨的安全問題電子商務系統(tǒng)自身的安全問題電子商務交易信息傳輸過程中的安全問題從交易活動對象劃分從安全問題類型劃分電子商務的基本安全需求2024/3/17電子商務系統(tǒng)→計算機信息系統(tǒng)電子商務安全問題→網絡安全問題電子商務安全與管理13電子商務系統(tǒng)遭攻擊實例據(jù)統(tǒng)計，目前全球平均每20秒就會發(fā)生一起Internet主機被入侵的事件，美國75%~85%的網站抵擋不住黑客攻擊，約有75%的企業(yè)網上信息失竊，其中25%的企業(yè)損失在25萬美元以上。而通過網絡傳播的病毒無論在其傳播速度、傳播范圍和破壞性方面都比單機病毒更令人色變。2005年，美國超過300萬的信用卡用戶資料外泄，導致用戶財產損失嚴重。2024/3/17電子商務系統(tǒng)自身的安全問題電子商務安全與管理14電子商務系統(tǒng)安全的構成電子商務系統(tǒng)自身的安全問題電子商務系統(tǒng)安全實體安全運行安全信息安全環(huán)境安全設備安全操作系統(tǒng)安全數(shù)據(jù)庫安全網絡安全病毒防護訪問控制加密鑒別風險分析審計跟蹤媒體安全應急備份與恢復2024/3/17電子商務安全與管理15系統(tǒng)實體安全

所謂實體安全，是指保護計算機設備、設施（含網絡）以及其他媒體免遭地震、水災、火災、有害氣體和其他環(huán)境事故（如電磁污染等）破壞的措施、過程。電子商務系統(tǒng)自身的安全問題2024/3/17電子商務安全與管理16電子商務系統(tǒng)自身的安全問題1.環(huán)境安全(1)受災防護(2)區(qū)域防護2.設備安全(1)設備防盜(2)設備防毀(3)防止電磁信息泄漏(4)防止線路截獲(5)抗電磁干擾(6)電源保護系統(tǒng)實體安全的組成3.媒體安全(1)媒體的安全媒體的防盜媒體的防毀(2)媒體數(shù)據(jù)的安全媒體數(shù)據(jù)的防盜媒體數(shù)據(jù)的銷毀媒體數(shù)據(jù)的防毀2024/3/17電子商務安全與管理17系統(tǒng)運行安全

運行安全是指為保障系統(tǒng)功能的安全實現(xiàn)，提供一套安全措施來保護信息處理過程的安全。

電子商務系統(tǒng)自身的安全問題2024/3/17電子商務安全與管理18系統(tǒng)運行安全的組成1.風險分析系統(tǒng)設計前的風險分析——潛在的安全隱患系統(tǒng)試運行前的風險分析——設計的安全漏洞系統(tǒng)運行期的風險分析——運行的安全漏洞系統(tǒng)運行后的風險分析——系統(tǒng)的安全隱患2.審計跟蹤記錄和跟蹤各種系統(tǒng)狀態(tài)的變化實現(xiàn)對各種安全事故的定位保存、維護和管理審計日志電子商務系統(tǒng)自身的安全問題2024/3/17靜態(tài)分析動態(tài)分析電子商務安全與管理19系統(tǒng)運行安全的組成3.備份與恢復

提供場點內高速度、大容量自動的數(shù)據(jù)存儲、備份和恢復提供場點外的數(shù)據(jù)存儲、備份和恢復提供對系統(tǒng)設備的備份4.應急

（1）應急計劃輔助軟件緊急事件或安全事故發(fā)生時的影響分析應急計劃的概要設計或詳細制定應急計劃的測試與完善（2）應急設施提供實時應急設施提供非實時應急設施電子商務系統(tǒng)自身的安全問題2024/3/17電子商務安全與管理20信息安全

所謂信息安全，是指防止信息財產被故意地或偶然地非授權泄漏、更改、破壞或使信息被非法的系統(tǒng)辨識、控制，即信息安全要確保信息的完整性、保密性、可用性和可控性。電子商務系統(tǒng)自身的安全問題2024/3/17電子商務安全與管理21信息安全的組成1.操作系統(tǒng)安全2.數(shù)據(jù)庫安全3.網絡安全4.病毒防護安全5.訪問控制安全6.加密7.鑒別電子商務系統(tǒng)自身的安全問題2024/3/17電子商務安全與管理22信息安全的組成操作系統(tǒng)安全操作系統(tǒng)安全是指要對電子商務系統(tǒng)的硬件和軟件資源實行有效的控制，為所管理的資源提供相應的安全保護。操作系統(tǒng)的安全由兩個方面組成：安全操作系統(tǒng)（基礎）操作系統(tǒng)安全部件（增強）電子商務系統(tǒng)自身的安全問題2024/3/17電子商務安全與管理23信息安全的組成數(shù)據(jù)庫安全安全數(shù)據(jù)庫系統(tǒng)（基礎）數(shù)據(jù)庫系統(tǒng)安全部件（增強）網絡安全網絡安全問題網絡漏洞網頁篡改網絡仿冒（Phishing）電子商務系統(tǒng)自身的安全問題2024/3/17網絡漏洞2024/3/17電子商務安全與管理24電子商務系統(tǒng)自身的安全問題網頁篡改2024/3/17電子商務安全與管理25電子商務系統(tǒng)自身的安全問題網頁篡改2024/3/17電子商務安全與管理26電子商務系統(tǒng)自身的安全問題網絡仿冒（Phishing）2024/3/17電子商務安全與管理27電子商務系統(tǒng)自身的安全問題網絡仿冒（Phishing）2024/3/17電子商務安全與管理28電子商務系統(tǒng)自身的安全問題電子商務安全與管理29信息安全的組成數(shù)據(jù)庫安全安全數(shù)據(jù)庫系統(tǒng)（基礎）數(shù)據(jù)庫系統(tǒng)安全部件（增強）網絡安全網絡安全問題網絡漏洞網頁篡改網絡仿冒（Phishing）網絡安全管理安全網絡系統(tǒng)（基礎）網絡系統(tǒng)安全部件（增強）電子商務系統(tǒng)自身的安全問題2024/3/17電子商務安全與管理30信息安全的組成病毒防護安全計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能、毀壞數(shù)據(jù)、影響計算機使用、并能自我復制的一組計算機指令或程序代碼。單機系統(tǒng)病毒防護網絡系統(tǒng)病毒防護電子商務系統(tǒng)自身的安全問題2024/3/17預防檢測定位防止清除電子商務安全與管理31信息安全的組成訪問控制安全出入控制主要用于阻止非授權用戶進入機構或組織存取控制主要是提供主體訪問客體時的存取控制提供對口令字的管理和控制防止入侵者對口令字的探測監(jiān)測用戶對某一“分區(qū)”或“域”的管理電子商務系統(tǒng)自身的安全問題2024/3/17電子商務安全與管理32信息安全的組成加密加密設備實現(xiàn)對數(shù)據(jù)的加密密鑰管理提供對密鑰的管理來加強信息安全電子商務系統(tǒng)自身的安全問題2024/3/17電子商務安全與管理33信息安全的組成鑒別

身份鑒別提供對信息收發(fā)方真實身份的鑒別主要用于阻止非授權用戶對系統(tǒng)資源的訪問鑒別方法用戶的生物特性用戶所持物品用戶所知特定場所證據(jù)第三方鑒定信息鑒別正確性鑒別完整性鑒別主要用于證實信息內容未被非法修改或遺漏不可否認性鑒別證實發(fā)送方所發(fā)送的信息確實被接收方接收了證實接收方接收到的信息確實是發(fā)送方發(fā)送的電子商務系統(tǒng)自身的安全問題2024/3/17電子商務安全與管理34從交易活動對象劃分商家可能面臨的安全問題客戶拒絕付款、競爭者的破壞、名譽損害、虛假訂單……客戶可能面臨的安全問題付款后未收到商品、泄露個人信息、拒絕服務……銀行可能面臨的安全問題攻擊者對銀行專用網絡的破壞：中斷、竊聽、篡改、偽造……2024/3/17電子商務交易信息傳輸過程中的安全問題電子商務安全與管理35從安全問題類型劃分信息的安全問題冒名偷竊篡改數(shù)據(jù)信息丟失信息傳遞出問題信用的安全問題來自買方的安全問題來自賣方的安全問題買賣雙方都存在抵賴的情況安全的管理問題安全的法律保障問題2024/3/17電子商務交易信息傳輸過程中的安全問題2024/3/17電子商務安全與管理36電子商務交易信息傳輸過程中的安全問題2024/3/17電子商務安全與管理37電子商務交易信息傳輸過程中的安全問題電子商務安全與管理38術語定義保密性保護機密信息不被非法存取以及信息在傳輸過程中不被非法竊取完整性防止信息在傳輸過程中丟失、重復及非法用戶對信息的惡意篡改認證性確保交易信息的真實性和交易雙方身份的合法性可控性（訪問控制）保證系統(tǒng)、數(shù)據(jù)和服務能由合法人員訪問，保證數(shù)據(jù)的合法使用不可否認性有效防止通信或交易雙方對已進行的業(yè)務的否認2024/3/17電子商務交易信息傳輸過程中的安全問題電子商務的安全需求從消費者和商家角度來看電子商務安全的不同方面不同方面消費者角度商家角度保密性除了我指定的接收方外還有其他人能讀取我的信息嗎？信息或機密數(shù)據(jù)是否會被那些未經授權者看到？完整性我發(fā)出或接收的信息是否被篡改了？網站上的數(shù)據(jù)是否未經授權就被改變了？認證性誰在和我做交易？我如何確認此人或者此商家就是他所聲稱的那個？消費者的真實身份是什么？可控性我能訪問該網站嗎？我能控制電子商務商家對我提交的個人信息的使用嗎？網站在正常運營嗎？如果可能的話，作為電子商務交易的一部分所采集到的個人數(shù)據(jù)該如何使用？消費者個人信息可以在沒得到其授權的情況下使用嗎？不可否認性和我進行交易的商家以后是否會否認曾進行過交易？消費者會否認曾訂購過的產品嗎？2024/3/17電子商務安全與管理39電子商務交易信息傳輸過程中的安全問題安全需求與安全技術（表2-1）2024/3/17電子商務安全與管理40安全問題安全目標安全技術保密性信息的保密加密完整性探測信息是否被篡改數(shù)字摘要、數(shù)字簽名認證性驗證身份數(shù)字簽名，提問－應答，口令，生物測定法可控性只有授權用戶才能訪問防火墻，口令，生物測定法不可否認性不能否認信息的發(fā)送、接收及信息內容數(shù)字簽名，數(shù)字證書，時間戳電子商務交易信息傳輸過程中的安全問題電子商務安全與管理411.電子商務面臨的安全問題電子商務系統(tǒng)自身的安全問題電子商務交易信息傳輸過程中的安全問題2.電子商務的安全保障目錄2024/3/17電子商務安全與管理42電子商務安全的保障技術措施管理措施法律環(huán)境2024/3/17綜合保障體系電子商務安全與管理43技術措施信息加密技術數(shù)據(jù)傳輸加密密碼技術（對稱加密/不對稱加密）非密碼技術（信息隱藏/生物特征/量子密碼…）數(shù)字簽名/驗證技術密鑰管理技術電子商務安全的保障2024/3/17（第2章內容）電子商務安全與管理44技術措施數(shù)字證書公鑰基礎設施PKI利用公鑰理論和技術建立的提供信息安全服務的基礎設施電子商務安全的保障2024/3/17（第4章內容）（第5、6章內容）電子商務安全與管理45技術措施TCP/IP服務電子商務應用安全協(xié)議SSL（安全套接層）協(xié)議SET（安全電子交易）協(xié)議防火墻技術保護企業(yè)保密數(shù)據(jù)、保護網絡設施入侵檢測技術繼防火墻之后的又一道防線虛擬專用網VPN技術企業(yè)內部網在因特網上的延伸，通過一個專用的通道來創(chuàng)建一個安全的專用連接電子商務安全的保障2024/3/17（第3章內容）電子商務安全與管理46管理措施人員管理制度保密制度跟蹤、審計、稽核制度系統(tǒng)維護制度數(shù)據(jù)容災制度病毒防范制度應