電子商務(wù)安全概述.ppt

1、1.2電子商務(wù)安全概況,1.2.1電子商務(wù)安全概念與特點(diǎn) 1.2.2電子商務(wù)的風(fēng)險(xiǎn)與安全問題 1.2.3電子商務(wù)系統(tǒng)安全的構(gòu)成,來源：點(diǎn)點(diǎn)網(wǎng),1.2.1電子商務(wù)安全概念與特點(diǎn),對(duì)電子商務(wù)安全的認(rèn)識(shí)應(yīng)注意以下幾個(gè)特點(diǎn)： 1.安全不僅僅是安全管理部門的事情 2.電子商務(wù)安全具有全面性、普遍性 3.安全是一個(gè)系統(tǒng)概念 4.安全是相對(duì)的、發(fā)展變化的 5.安全是有代價(jià)的,1.2.1電子商務(wù)安全概念與特點(diǎn),電子商務(wù)安全必須具有如下三個(gè)特征： 1.保密性（Confidentiality） 2.完整性（Integrity） 3.認(rèn)證性（authenticity） 4.可控性（access control） 5

2、.不可否認(rèn)性（non-repudiation）,1.2.2電子商務(wù)的風(fēng)險(xiǎn)與安全問題,1.電子商務(wù)的風(fēng)險(xiǎn) 要想有效管理電子商務(wù)風(fēng)險(xiǎn)，一個(gè)企業(yè)開展電子商務(wù)需要考慮風(fēng)險(xiǎn)的三個(gè)主要領(lǐng)域：危害性、不確定性和機(jī)遇。,1.2.2電子商務(wù)的風(fēng)險(xiǎn)與安全問題,1.電子商務(wù)的風(fēng)險(xiǎn) （1）危害性 傳統(tǒng)的風(fēng)險(xiǎn)管理趨于將注意力集中于危害性，也就是潛在的消極事件。在電子商務(wù)領(lǐng)域中，需要考慮的主要危險(xiǎn)包括： 1) 安全性 。 2) 法律和規(guī)則問題 。 3) 稅收。 4) 電子商務(wù)的彈性。,1.2.2電子商務(wù)的風(fēng)險(xiǎn)與安全問題,1.電子商務(wù)的風(fēng)險(xiǎn) （2）不確定性 不確定性管理涉及規(guī)劃、決策制定、實(shí)施和監(jiān)控，以保證日常操作能夠提供

3、有效果的和有效率的預(yù)計(jì)結(jié)果。在電子商務(wù)領(lǐng)域，需要管理的主要不確定性包括： 1）消費(fèi)者的信心。 2）與廣告商的關(guān)系。 3）改變流程。,1.2.2電子商務(wù)的風(fēng)險(xiǎn)與安全問題,1.電子商務(wù)的風(fēng)險(xiǎn) （3）機(jī)遇 通過確定市場(chǎng)中的商機(jī)來利用風(fēng)險(xiǎn)可以獲得有效的競(jìng)爭(zhēng)優(yōu)勢(shì)并增加收益。在電子商務(wù)領(lǐng)域，需要考慮的商機(jī)包括： 1) 建立客戶忠誠(chéng)度。 2) 優(yōu)化業(yè)務(wù)流程。 3) 創(chuàng)造新的產(chǎn)品和服務(wù)。,1.2.2電子商務(wù)的風(fēng)險(xiǎn)與安全問題,1.電子商務(wù)的風(fēng)險(xiǎn) 從電子商務(wù)的交易實(shí)施過程的角度來看，存在著諸如產(chǎn)品識(shí)別、質(zhì)量控制、網(wǎng)上支付、物流配送和信息傳遞，對(duì)以下的風(fēng)險(xiǎn)因素進(jìn)行更詳細(xì)的分析： （1）產(chǎn)品識(shí)別風(fēng)險(xiǎn) （2）質(zhì)量控制風(fēng)

4、險(xiǎn) （3）網(wǎng)上支付風(fēng)險(xiǎn) （4）物權(quán)轉(zhuǎn)移中的風(fēng)險(xiǎn) （5）信息傳遞風(fēng)險(xiǎn),1.2.2電子商務(wù)的風(fēng)險(xiǎn)與安全問題,2.電子商務(wù)安全問題 電子商務(wù)的安全問題主要涉及信息的安全問題、信用的安全問題、安全的管理問題以及電子商務(wù)安全的法律保障問題。,1.2.2電子商務(wù)的風(fēng)險(xiǎn)與安全問題,2.電子商務(wù)安全問題 （1）信息安全問題 1）信息泄密 2）信息篡改 3）信息丟失 4）信息破壞,1.2.2電子商務(wù)的風(fēng)險(xiǎn)與安全問題,2.電子商務(wù)安全問題 （2）信用安全問題 1）來自買方的信用安全問題 2）來自賣方的信用安全問題 3）買賣雙方的抵賴行為,1.2.2電子商務(wù)的風(fēng)險(xiǎn)與安全問題,2.電子商務(wù)安全問題 （3）安全的管理問

5、題 嚴(yán)格管理是降低電子商務(wù)風(fēng)險(xiǎn)的重要保證，安全管理的目的其實(shí)就是提供從事商務(wù)活動(dòng)的可信的運(yùn)行環(huán)境，需要有完善的管理制度和相關(guān)的技術(shù)支持。,1.2.2電子商務(wù)的風(fēng)險(xiǎn)與安全問題,2.電子商務(wù)安全問題 （4）安全的法律保障問題 電子商務(wù)的技術(shù)設(shè)計(jì)是先進(jìn)的、超前的、具有強(qiáng)大的生命力，但同時(shí)也必須清楚地認(rèn)識(shí)到，在目前的法律上是沒有現(xiàn)成的條文來保護(hù)電子商務(wù)交易中的交易方式的，在網(wǎng)上交易可能會(huì)承擔(dān)由于法律滯后而帶來的安全風(fēng)險(xiǎn)。,1.2.2電子商務(wù)的風(fēng)險(xiǎn)與安全問題,2.電子商務(wù)安全問題 電子商務(wù)給傳統(tǒng)稅收也造成了沖擊，各國(guó)之間的稅收平衡問題也突顯出來，會(huì)引發(fā)新的稅收風(fēng)險(xiǎn)。,1.2.3電子商務(wù)系統(tǒng)安全的構(gòu)成,1

6、.系統(tǒng)實(shí)體安全 實(shí)體安全，是指保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施以及其他媒體免受自然災(zāi)害和其他環(huán)境事故（如電磁污染等）破壞的措施、過程。電子商務(wù)系統(tǒng)的實(shí)體安全由三個(gè)部分組成：環(huán)境安全、設(shè)備安全和媒體安全。,1.2.3電子商務(wù)系統(tǒng)安全的構(gòu)成,1.系統(tǒng)實(shí)體安全 （1）環(huán)境安全 環(huán)境安全就是要對(duì)電子商務(wù)系統(tǒng)所在的環(huán)境加以安全保護(hù)，主要包括災(zāi)害保護(hù)和區(qū)域保護(hù)。 （2）設(shè)備安全 設(shè)備安全是指對(duì)電子商務(wù)系統(tǒng)的設(shè)備（包括網(wǎng)絡(luò)）進(jìn)行安全保護(hù)，主要是設(shè)備防盜、設(shè)備防毀、防電磁信息泄漏、防線路截獲、抗電磁干擾以及電源保護(hù)。 （3）媒體安全 實(shí)體安全中的媒體安全指對(duì)媒體數(shù)據(jù)和媒體本身實(shí)施安全保護(hù)。,1.2.3電子商務(wù)系統(tǒng)安全的構(gòu)

7、成,2.系統(tǒng)運(yùn)行安全 電子商務(wù)系統(tǒng)安全的第二個(gè)部分是運(yùn)行安全，運(yùn)行安全是指為保障系統(tǒng)功能的安全實(shí)現(xiàn)，提供一套安全措施來保護(hù)信息處理過程的安全。電子商務(wù)系統(tǒng)的運(yùn)行安全涉及到四個(gè)方面：風(fēng)險(xiǎn)分析、審計(jì)跟蹤、備份與恢復(fù)和應(yīng)急措施。,1.2.3電子商務(wù)系統(tǒng)安全的構(gòu)成,2.系統(tǒng)運(yùn)行安全 （1）風(fēng)險(xiǎn)分析 風(fēng)險(xiǎn)分析就是要對(duì)電子商務(wù)系統(tǒng)進(jìn)行人工或自動(dòng)的風(fēng)險(xiǎn)分析。 （2）審計(jì)跟蹤 審計(jì)跟蹤就是要對(duì)電子商務(wù)系統(tǒng)進(jìn)行人工或自動(dòng)的審計(jì)跟蹤，保存審計(jì)記錄和維護(hù)詳盡的審計(jì)日志。 （3）備份與恢復(fù) 運(yùn)行安全中的備份與恢復(fù)，就是要提供對(duì)系統(tǒng)設(shè)備和系統(tǒng)數(shù)據(jù)的備份與恢復(fù)。 （4）應(yīng)急 運(yùn)行安全中的應(yīng)急措施，是為了在緊急事件或安全事

8、故發(fā)生時(shí)，提供保障電子商務(wù)系統(tǒng)繼續(xù)運(yùn)行或緊急恢復(fù)所需要的策略。,1.2.3電子商務(wù)系統(tǒng)安全的構(gòu)成,3.信息安全 信息安全是指防止信息財(cái)產(chǎn)被故意的或偶然的非授權(quán)泄漏、更改、破壞或使信息被非法的系統(tǒng)辨識(shí)、控制，信息安全要確保信息的完整性、保密性、可用性和可控性。信息安全由七個(gè)部分組成：,1.2.3電子商務(wù)系統(tǒng)安全的構(gòu)成,3.信息安全 （1）操作系統(tǒng)安全 1) 安全操作系統(tǒng)：指從系統(tǒng)設(shè)計(jì)、實(shí)現(xiàn)和使用等各個(gè)階段都遵循了一套完整的安全策略的操作系統(tǒng)。 2) 操作系統(tǒng)安全部件：操作系統(tǒng)安全部件的目的是增強(qiáng)現(xiàn)有操作系統(tǒng)的安全性。,1.2.3電子商務(wù)系統(tǒng)安全的構(gòu)成,3.信息安全 （2）數(shù)據(jù)庫(kù)安全 1)安全數(shù)據(jù)

9、庫(kù)系統(tǒng)，是指從系統(tǒng)設(shè)計(jì)、實(shí)現(xiàn)、使用和管理等各個(gè)階段都遵循一套完整的系統(tǒng)安全策略的數(shù)據(jù)庫(kù)系統(tǒng)。 2)數(shù)據(jù)庫(kù)系統(tǒng)安全部件，是以現(xiàn)有數(shù)據(jù)庫(kù)系統(tǒng)所提供的功能為基礎(chǔ)構(gòu)建安全模塊，旨在增強(qiáng)現(xiàn)有數(shù)據(jù)庫(kù)系統(tǒng)的安全性。,1.2.3電子商務(wù)系統(tǒng)安全的構(gòu)成,3.信息安全 （3）網(wǎng)絡(luò)安全 1)網(wǎng)絡(luò)安全管理指為網(wǎng)絡(luò)的使用提供安全管理。 2)安全網(wǎng)絡(luò)系統(tǒng)對(duì)網(wǎng)絡(luò)資源的訪問和網(wǎng)絡(luò)服務(wù)的使用提供一套完整的安全保護(hù)，即從網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)、實(shí)現(xiàn)、使用和管理各個(gè)階段，遵循一套完整的安全策略的網(wǎng)絡(luò)系統(tǒng)。 3) 網(wǎng)絡(luò)系統(tǒng)安全部件,1.2.3電子商務(wù)系統(tǒng)安全的構(gòu)成,3.信息安全 （4）計(jì)算機(jī)病毒防護(hù) 1) 單機(jī)系統(tǒng)病毒防護(hù) 2) 網(wǎng)絡(luò)系統(tǒng)病

10、毒防護(hù) 3) 網(wǎng)絡(luò)系統(tǒng)安全部件 （5）訪問控制 1）出入控制是為了阻止非授權(quán)用戶進(jìn)入機(jī)構(gòu)或組織。 2）存取控制是針對(duì)主體訪問客體時(shí)的存取控制，如通過對(duì)授權(quán)用戶存取系統(tǒng)敏感信息時(shí)進(jìn)行安全性檢查，以實(shí)現(xiàn)對(duì)授權(quán)用戶的存取權(quán)限的控制,1.2.3電子商務(wù)系統(tǒng)安全的構(gòu)成,3.信息安全 （6）加密 加密是將明文數(shù)據(jù)進(jìn)行某種變換，使其成為不可理解的形式的過程。加密必須依賴兩個(gè)要素：算法和密鑰。 （7）鑒別 鑒別是指提供身份鑒別和信息鑒別。身份鑒別是提供對(duì)信息收發(fā)方（包括用戶，設(shè)備和進(jìn)程）真實(shí)身份的鑒別；信息鑒別是提供對(duì)信息的正確性，完整性和不可否認(rèn)性的鑒別。,1.3電子商務(wù)安全的保障,1.3.1電子商務(wù)安全技

11、術(shù) 1.3.2電子商務(wù)安全國(guó)際規(guī)范 1.3.3電子商務(wù)安全法律要素,1.3.1電子商務(wù)安全技術(shù),1.3.1電子商務(wù)安全技術(shù),1.加密解密技術(shù) 加密技術(shù)是信息安全技術(shù)中的一個(gè)重要的組成部分加密就是用基于數(shù)學(xué)方法的程序和保密的密鑰對(duì)信 息進(jìn)行編碼，把計(jì)算機(jī)數(shù)據(jù)變成一堆雜亂無章難以 理解的字符串，也就是把明文變成密文。 2.數(shù)字簽名技術(shù) 通過數(shù)字簽名技術(shù)可以確認(rèn)當(dāng)事人的身份，起到了簽名或蓋章的作用，簽字方不能夠抵賴。以后我們還會(huì)學(xué)習(xí)到，通過數(shù)字簽名技術(shù)也能夠幫助我們鑒別信息自簽發(fā)后到收到為止是否被篡改過。,1.3.1電子商務(wù)安全技術(shù),3.數(shù)字時(shí)間戳 4.驗(yàn)證技術(shù) 驗(yàn)證是在遠(yuǎn)程通信中獲得信任的手段，是

12、安全服務(wù)中最為基本的內(nèi)容，因?yàn)楸仨毻ㄟ^可靠的驗(yàn)證來進(jìn)行訪問控制，決定誰(shuí)有權(quán)接受或修改信息，增強(qiáng)責(zé)任性以及實(shí)現(xiàn)不可否認(rèn)服務(wù)。驗(yàn)證常用的三種基本方式是口令方式、標(biāo)記方式、人體生物學(xué)特征方式。,1.3.1電子商務(wù)安全技術(shù),5.數(shù)字證書技術(shù) 數(shù)字證書就是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，用于證明某一主體（如個(gè)人用戶、服務(wù)器等）的身份以及其公鑰的合法性的一種權(quán)威性的電子文檔。它由權(quán)威公正的第三方機(jī)構(gòu)，即CA中心簽發(fā)，類似于現(xiàn)實(shí)生活中的身份證。,1.3.2電子商務(wù)安全國(guó)際規(guī)范,1.SSL SSL是通過在收發(fā)雙方建立安全通道來提高應(yīng)用程序間交換數(shù)據(jù)的安全性，從而實(shí)現(xiàn)瀏覽器和服務(wù)器（通常是Web服務(wù)器）之間的

13、安全通信。SSL是一種利用公共密鑰技術(shù)的工業(yè)標(biāo)準(zhǔn)，廣泛用于Internet。目前大多數(shù)瀏覽器都支持SSL，很多Web服務(wù)器也支持SSL。,1.3.2電子商務(wù)安全國(guó)際規(guī)范,2.SET SET協(xié)議是信用卡在互聯(lián)網(wǎng)上進(jìn)行支付的一種開放式標(biāo)準(zhǔn)，也是銀行卡安全支付的具體規(guī)范。目前已經(jīng)被廣為認(rèn)可而成了事實(shí)上的國(guó)際通用的網(wǎng)上支付標(biāo)準(zhǔn)，其交易形態(tài)將成為未來電子商務(wù)的規(guī)范。SET的制定與推廣既為業(yè)務(wù)相互滲透的各家信用卡公司提供了統(tǒng)一的安全通信標(biāo)準(zhǔn)，也促進(jìn)了信用卡在互聯(lián)網(wǎng)上作為支付工具的應(yīng)用。,1.3.3電子商務(wù)安全法律要素,1.保障交易各方身份認(rèn)證的法律 電子交易的各方都需要擁有和證明自己的合法身份，通過設(shè)立在交易參與方之外的，第三方的公正機(jī)構(gòu)（CA中心）可以達(dá)成這樣的目標(biāo)，即取得由數(shù)字證書認(rèn)證中心簽發(fā)的數(shù)字化的證書，在交易的各個(gè)環(huán)節(jié)，交易的各方都可以檢驗(yàn)對(duì)方數(shù)字證書的有效性。,1.3.3電子商務(wù)安全法律要素,2.電子合同的法律地位 電子商務(wù)活動(dòng)中，電子合同的有效性、電子簽章和數(shù)字簽名的有效性是各國(guó)共同關(guān)注的法律問題。需要制定有關(guān)法律對(duì)電子合同的法律效力、數(shù)字簽名、電子商務(wù)憑證的合法性予以確認(rèn)；需要對(duì)電子商務(wù)憑證、電子支付數(shù)據(jù)的偽造、變更、涂銷做出相應(yīng)的法律規(guī)定。,1.3.3電子商務(wù)安全