移動商務(wù)基礎(chǔ)（第三版） 課件 06模塊六移動商務(wù)安全

移動商務(wù)安全主講人：時間：20XX《移動商務(wù)基礎(chǔ)

第三版》教學(xué)課件CONTENTS移動商務(wù)安全概述移動商務(wù)的安全技術(shù)移動終端安全移動商務(wù)從業(yè)人員的職業(yè)道德與倫理1.2.4.5.目錄移動商務(wù)信任機制及行業(yè)自律法治護航3.6.PART01移動商務(wù)安全概述移動通信技術(shù)從1G發(fā)展到5G，安全機制不斷完善。1G時代幾乎沒有采取安全措施，2G時代采用了基于私鑰密碼體制，但存在安全隱患。3G/4G時代在2G的基礎(chǔ)上進行了改進，定義了更完善的安全特征與認證服務(wù)。5G時代，通過增加和完善安全特性，安全能力遠高于之前的網(wǎng)絡(luò)。移動通信技術(shù)的發(fā)展與安全機制完善竊聽：無線信道開放，通信內(nèi)容容易被竊聽，導(dǎo)致信息泄露和用戶被追蹤。漫游安全：用戶漫游到攻擊者所在區(qū)域，信息可能被竊取和篡改，服務(wù)也可能被拒絕。假冒攻擊：攻擊者掌握網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密商務(wù)信息后，假冒合法用戶發(fā)送錯誤信息或欺騙用戶。完整性侵害：攻擊者截取信息并私自修改、刪除、插入、重傳合法用戶的信息或信息數(shù)據(jù)。業(yè)務(wù)抵賴：交易發(fā)生后，交易雙方中的買方或賣方否認交易，以逃避付費或逃避責任。竊取和丟失：移動設(shè)備容易被偷或丟失，導(dǎo)致秘密信息失竊。惡意代碼：未經(jīng)授權(quán)認證破壞計算機系統(tǒng)完整性的代碼或程序，包括計算機病毒、蠕蟲、特洛伊木馬等。移動終端安全威脅：包括移動終端設(shè)備的物理安全、SIM卡被復(fù)制、電子標簽(RFID)被解密和感染病毒、拒絕服務(wù)等。0102030408070605移動商務(wù)的安全威脅保密性和身份認證需求：移動終端的SIM卡需要具有加密和身份認證的能力，以識別用戶身份和存儲有效憑證。匿名性：隱藏用戶身份、位置和不可跟蹤性。數(shù)據(jù)信息完整性：保證數(shù)據(jù)信息在傳輸、交換、存儲和處理過程中保持非修改、非破壞和非丟失的特性。容錯能力：保證在故障產(chǎn)生時系統(tǒng)不會長時間處于停滯狀態(tài)，并有備用解決方案。不可否認性：保證接收方對于自己已接受的信息內(nèi)容不能否認，發(fā)送方對于已經(jīng)發(fā)出的信息不能抵賴和否認。經(jīng)濟性：在增強系統(tǒng)安全性的同時，盡量降低所花費用。010203060504移動商務(wù)的安全需求核心技術(shù)缺乏：移動通信網(wǎng)絡(luò)的制式、技術(shù)體制和標準，以及終端的核心芯片、操作系統(tǒng)及其生態(tài)環(huán)境等核心技術(shù)均未能實現(xiàn)自主可控。互聯(lián)網(wǎng)以美國為中心的架構(gòu)在短期內(nèi)無法改變：根域名服務(wù)器受美國商務(wù)部監(jiān)管，移動互聯(lián)網(wǎng)幾大巨頭如蘋果、谷歌、微軟等在《美國愛國者法案》的管制范圍內(nèi)。企業(yè)信息安全在移動互聯(lián)網(wǎng)環(huán)境下受到極大挑戰(zhàn)：智能終端的興起為移動辦公應(yīng)用打下基礎(chǔ)，但傳統(tǒng)企業(yè)信息安全體系已無法適應(yīng)移動互聯(lián)網(wǎng)環(huán)境下的移動辦公需求。010203移動商務(wù)安全存在的主要問題PART02移動商務(wù)的安全技術(shù)完整性保護技術(shù)用于提供消息認證的安全機制。通過計算消息認證碼來實現(xiàn)，利用帶密鑰的Hash函數(shù)對消息進行計算，產(chǎn)生消息認證碼，并將其和消息捆綁在一起傳給接收方。完整性保護技術(shù)真實性保護技術(shù)用來確認某一實體所聲稱的身份，以防假冒攻擊。在移動商務(wù)中，交易信息通過無線網(wǎng)絡(luò)轉(zhuǎn)發(fā)，需要通過鑒別數(shù)據(jù)源來確認交易信息的真正來源。真實性保護技術(shù)機密性保護技術(shù)是為了防止敏感數(shù)據(jù)泄露給那些未經(jīng)授權(quán)的實體。通常，最簡單的方案是收發(fā)雙方共享一個對稱密鑰，發(fā)送方用密鑰加密明文消息，接收方使用密鑰解密接收到的密文消息。01機密性保護技術(shù)抗抵賴技術(shù)是為了防止惡意主體事后否認所發(fā)生的事實或行為。必須在每一事件發(fā)生時，留下關(guān)于該事件的不可否認的證據(jù)。抗抵賴技術(shù)01安全協(xié)議：以密碼學(xué)為基礎(chǔ)的消息交換協(xié)議，目的是在網(wǎng)絡(luò)環(huán)境中提供各種安全服務(wù)，如認證協(xié)議、密鑰交換協(xié)議、認證密鑰交換協(xié)議和電子商務(wù)協(xié)議等。其他安全技術(shù)PART03移動商務(wù)信任機制及行業(yè)自律移動商務(wù)交易中的信任是指網(wǎng)上消費者對在線交易的總體信任，分為廣義和狹義兩種。狹義的信任機制局限于網(wǎng)絡(luò)平臺的技術(shù)手段的研究，廣義的信任機制是指電子商務(wù)交易系統(tǒng)中構(gòu)成、影響相互信任關(guān)系的各部分及它們之間的作用方式，以及為促進和維持信任關(guān)系所發(fā)生的相關(guān)作用方式和所有手段、方法等。“移動商務(wù)信任機制概述從政府的角度：加強法律的威懾力度，提升移動商務(wù)經(jīng)營者的自律水平。01從交易伙伴的角度：完善第三方認證形式，降低不確定性和部分利益誘惑，保證認證結(jié)果的公正性、客觀性和真實性。03從企業(yè)的角度：不斷創(chuàng)新，提供安全誠信服務(wù)，滿足廣大顧客的需求。02移動商務(wù)信任機制的建立移動商務(wù)行業(yè)自律是指行業(yè)內(nèi)企業(yè)自愿遵守的一系列規(guī)范和準則，旨在保護用戶權(quán)益、維護市場秩序、促進公平競爭和推動行業(yè)健康發(fā)展。01移動商務(wù)行業(yè)自律概述保護用戶權(quán)益：要求企業(yè)遵守相關(guān)法律法規(guī)，尊重用戶隱私，提供安全可靠的產(chǎn)品和服務(wù)。01維護市場秩序：通過制定和執(zhí)行行業(yè)規(guī)范，可以有效遏制不正當競爭、價格欺詐和市場壟斷等行為。02促進行業(yè)健康發(fā)展：有助于建立良好的企業(yè)形象和市場信譽，提高行業(yè)的整體競爭力。03移動商務(wù)行業(yè)自律的重要性誠信經(jīng)營與公平競爭：企業(yè)應(yīng)遵循誠實信用原則，不進行虛假宣傳、價格欺詐和不正當競爭行為。02產(chǎn)品與服務(wù)質(zhì)量：企業(yè)應(yīng)提供安全可靠、符合標準的產(chǎn)品和服務(wù)，保障用戶的合法權(quán)益。社會責任與可持續(xù)發(fā)展：企業(yè)應(yīng)積極履行社會責任，關(guān)注環(huán)境保護、公益事業(yè)和社會和諧。數(shù)據(jù)安全與隱私保護：企業(yè)應(yīng)采取嚴格的數(shù)據(jù)安全措施，確保用戶信息的安全存儲和傳輸。010304移動商務(wù)行業(yè)自律的主要內(nèi)容PART04移動終端安全02蠕蟲：通過紅外線、藍牙或彩信等自動傳播，并消耗移動終端的帶寬和存儲等資源。04拒絕服務(wù)攻擊：移動終端與服務(wù)器等一樣，也存在拒絕服務(wù)攻擊(DOS)，一旦被攻擊，終端資源將被大量占用，無法正常工作。01病毒：寄生于主機文件中，通過系統(tǒng)漏洞、程序下載、藍牙等進行傳播，可能導(dǎo)致終端運行失常、信息破壞，甚至硬件損毀。03木馬：潛伏在目標移動終端上，以竊取用戶的有效信息。移動終端操作系統(tǒng)的安全威脅定時更新操作系統(tǒng)，安裝升級補丁，備份系統(tǒng)。設(shè)置程序行為監(jiān)控機制，記錄分析程序的操作是否安全合法等。安裝殺毒軟件和防火墻，不接收未知的信息，不隨便開啟藍牙等通信功能。根據(jù)移動終端操作系統(tǒng)的組成部分（文件系統(tǒng)、指令系統(tǒng)、系統(tǒng)管理及安全服務(wù)）可以將移動終端操作系統(tǒng)的安全技術(shù)進行劃分。01020304移動終端操作系統(tǒng)的安全技術(shù)移動終端安全中間件：包含證書的生命周期管理、傳輸加密和身份認證等功能，可集成到應(yīng)用APP中提供全面的認證用戶管理功能。01存儲介質(zhì)：支持多形態(tài)的key，包括藍牙key、音頻key、雙接口key等，以及SD/TF卡、文件方式存儲數(shù)字證書，以保證證書的安全性。02移動終端系統(tǒng)：在移動終端系統(tǒng)上可以對數(shù)字證書進行管理，通過數(shù)字證書實現(xiàn)身份認證和數(shù)據(jù)加密等安全功能。03移動終端安全認證流程信息備份：指當移動終端存儲的信息由于某種原因遭到破壞時，將保存的數(shù)據(jù)副本進行恢復(fù)，并重新加以利用的過程。信息恢復(fù)：指對由于操作失誤或移動終端系統(tǒng)故障造成數(shù)據(jù)丟失的那些信息進行恢復(fù)。實現(xiàn)信息恢復(fù)主要靠軟件技術(shù)和硬件技術(shù)及二者的結(jié)合。移動終端的信息備份與恢復(fù)PART05移動商務(wù)從業(yè)人員的職業(yè)道德與倫理遵守國家法律法規(guī)，維護網(wǎng)絡(luò)安全。01提供安全可靠的產(chǎn)品和服務(wù)，保障用戶合法權(quán)益。03尊重用戶隱私，保護用戶信息安全。02積極履行社會責任，關(guān)注環(huán)境保護、公益事業(yè)和社會和諧。04移動商務(wù)從業(yè)人員的職業(yè)道德誠信經(jīng)營，公平競爭。尊重知識產(chǎn)權(quán)，保護原創(chuàng)內(nèi)容。遵守行業(yè)規(guī)范，維護市場秩序。不斷學(xué)習(xí)和提升自身素質(zhì)，為移動商務(wù)行業(yè)發(fā)展貢獻力量。移動商務(wù)從業(yè)人員的倫理規(guī)范PART06法治護航電子簽名法：標志著我國電子商務(wù)法律建設(shè)的開始。第三方電子商務(wù)交易平臺服務(wù)規(guī)范：在電子商務(wù)服務(wù)業(yè)發(fā)展中具有舉足輕重的作用。0102移動商務(wù)相關(guān)法律法規(guī)完善相關(guān)法律法規(guī)，建立信息安全的法律和政策框架。加強對信息產(chǎn)業(yè)的投入，逐步建立自主的技術(shù)路線