电子商务管理完整版课件.ppt

《电子商务管理完整版课件.ppt》由会员分享，可在线阅读，更多相关《电子商务管理完整版课件.ppt（265页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 2 3 4 5 6环境安全环境安全设备安全设备安全操作系统安全操作系统安全数据库安全数据库安全网络安全网络安全病毒防护病毒防护访问控制访问控制加密加密鉴别鉴别风险分析风险分析审计跟踪审计跟踪媒体安全媒体安全应急应急备份与恢复备份与恢复 7 8 9 10 11 12 13 14 15 16 17 18 19术语术语定义定义保密性保密性保护机密信息不被非法存取以及信息在传输过程中保护机密信息不被非法存取以及信息在传输过程中不被非法窃取不被非法窃取完整性完整性防止信息在传输过程中丢失、重复及非法用户对信防止信息在传输过程中丢失、重复及非法用户对信息的恶意篡改息的恶意篡改认证性认证性确保交易信息的真

2、实性和交易双方身份的合法性确保交易信息的真实性和交易双方身份的合法性可控性可控性保证系统、数据和服务能由合法人员访问，保证数保证系统、数据和服务能由合法人员访问，保证数据的合法使用据的合法使用不可否认性不可否认性有效防止通信或交易双方对已进行的业务的否认有效防止通信或交易双方对已进行的业务的否认 20 21 22Thanks!上海财经大学 劳帼龄25上海财经大学 劳帼龄26上海财经大学 劳帼龄27安全问题安全问题安全目标安全目标安全技术安全技术机密性机密性信息的保密信息的保密加密加密完整性完整性探测信息是否被篡改探测信息是否被篡改数字摘要数字摘要验证验证验证身份验证身份数字签名，提问应答，数字

3、签名，提问应答，口令，生物测定法口令，生物测定法不可否认性不可否认性不能否认信息的发送、不能否认信息的发送、接收及信息内容接收及信息内容数字签名，数字证书，时数字签名，数字证书，时间戳间戳访问控制访问控制只有授权用户才能访问只有授权用户才能访问防火墙，口令，生物测定防火墙，口令，生物测定法法上海财经大学 劳帼龄28上海财经大学 劳帼龄29上海财经大学 劳帼龄30上海财经大学 劳帼龄31上海财经大学 劳帼龄32密密文文明明文文发发送送方方Internet密密文文密密钥钥发发送送方方 (= 密密钥钥接接收收方方)加加密密明明文文接接收收方方密密钥钥接接收收方方解解密密上海财经大学 劳帼龄33上海财

4、经大学 劳帼龄34上海财经大学 劳帼龄35发发送送方方明明文文密密文文密密文文公公开开密密钥钥接接收收方方明明文文接接收收方方私私有有密密钥钥接接收收方方Internet上海财经大学 劳帼龄36上海财经大学 劳帼龄37上海财经大学 劳帼龄38上海财经大学 劳帼龄39上海财经大学 劳帼龄40发发送送方方的的私私钥钥发发送送方方的的公公钥钥上海财经大学 劳帼龄41上海财经大学 劳帼龄42上海财经大学 劳帼龄43上海财经大学 劳帼龄44上海财经大学 劳帼龄45上海财经大学 劳帼龄46上海财经大学 劳帼龄47上海财经大学 劳帼龄48上海财经大学 劳帼龄49明文的明文的内容内容上海财经大学 劳帼龄50上

5、海财经大学 劳帼龄51上海财经大学 劳帼龄52上海财经大学 劳帼龄53上海财经大学 劳帼龄54上海财经大学 劳帼龄55上海财经大学 劳帼龄56Thanks!3.1 Internet安全概述安全概述3.2 防火墙技术防火墙技术3.3 VPN技术技术3.4 网络入侵检测网络入侵检测3.5 IP协议安全协议安全3.6 电子商务应用安全协议电子商务应用安全协议上海财经大学 劳帼龄59万事达系统遇袭事件不是网络时代的个案，万事达系统遇袭事件不是网络时代的个案，网站遇袭时间早已不是新闻，难道网站遇袭时间早已不是新闻，难道InternetInternet毫无安全可言吗？毫无安全可言吗？上海财经大学 劳帼龄6

6、03.1.1 网络层安全3.1.2 应用层安全3.1.3 系统安全上海财经大学 劳帼龄613.1.1 网络层安全网络层安全 网络层安全网络层安全指的是对从一个网络的终端系统传指的是对从一个网络的终端系统传送到另一个网络的终端系统的通信数据的保护。送到另一个网络的终端系统的通信数据的保护。典型的网络层安全服务包括： 认证和完整性 保密性 访问控制上海财经大学 劳帼龄623.1.2 应用层安全层安全 应用层安全应用层安全指的是建立在某个特定的应用程序指的是建立在某个特定的应用程序内部，不依赖于任何网络层安全措施而独立运行的内部，不依赖于任何网络层安全措施而独立运行的安全措施。安全措施。应用层安全措

7、施包括： 认证 访问控制 保密性 数据完整性 不可否认性 与Web、与信息传送有关的安全措施上海财经大学 劳帼龄633.1.3 系统安全安全 系统安全系统安全是指对特定终端系统及其局部环境的是指对特定终端系统及其局部环境的保护，而不考虑对网络层安全或应用层安全措施所保护，而不考虑对网络层安全或应用层安全措施所承担的通信保护。承担的通信保护。系统安全措施包括： 确保在安装的软件中没有已知的安全缺陷 确保系统的配置能使入侵风险降至最低 确保所下载的软件其来源是可信任的和可靠的 确保系统能得到适当管理以使侵入风险最小 确保采用合适的审计机制，以便能防止对系统的成功入侵和采取新的合适的防御性措施上海财

8、经大学 劳帼龄643.2.1 防火墙的基本概念3.2.2 防火墙的基本原理3.2.3 防火墙的实现方式上海财经大学 劳帼龄653.2.1 防火墙的基本概念 防火墙（防火墙（firewallfirewall）是在两个网络之间强制实施访是在两个网络之间强制实施访问控制策略的一个系统或一组系统。问控制策略的一个系统或一组系统。 狭义狭义指安装了防火墙软件的主机或路由器系统。指安装了防火墙软件的主机或路由器系统。上海财经大学 劳帼龄663.2.1 防火墙的基本概念防火墙的功能： 过滤不安全的服务和非法用户 控制对特殊站点的访问 作为网络安全的集中监视点防火墙的不足之处： 不能防范不经由防火墙的攻击e.

9、g.拨号 不能防止受到病毒感染的软件或文件的传输 不能防止数据驱动式攻击上海财经大学 劳帼龄673.2.2 防火墙的基本原理1.包过滤型防火墙上海财经大学 劳帼龄68应用层表示层会话层传输层网络层链路层物理层内部网络外部网络过滤规则处理3.2.2 防火墙的基本原理2.应用网关型防火墙上海财经大学 劳帼龄69应用层表示层会话层传输层网络层链路层物理层内部网络外部网络应用代理服务3.2.2 防火墙的基本原理3.代理服务型防火墙上海财经大学 劳帼龄70代理服务器代理客户机请求转发应答客户机应答转发请求服务器代理获得客户机和服务器之间通信的全部控制权防火墙代理3.2.3 防火墙的实现方式包过滤路由器双

10、穴防范网关过滤主机网关过滤子网防火墙上海财经大学 劳帼龄71 虚拟专用网络(virtual private network, VPN)技术为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。上海财经大学 劳帼龄723.3.1 VPN的基本功能一个成功的VPN方案应能满足： 用户身份验证 地址管理 数据加密 密钥管理 多协议支持3.3.2 VPN的安全策略 隧道技术 加解密技术 密钥管理技术 使用者与设备身份认证技术上海财经大学 劳帼龄733.4.1 网络入侵检测的原理 检测策略 基于主机的检测 基于应用程序的检测 基于目标的检测 基于网络的检测3.4.2 网络入侵检测的

11、主要方法 异常检测 误用检测上海财经大学 劳帼龄743.5.1 IP安全体系结构IPsec文档IPsec的服务IPsec安全结构3.5.2 认证头协议(AH)3.5.3 分组加密协议(ESP)3.5.4 安全关联3.5.5 密钥交换3.5.6 Ipsec的应用上海财经大学 劳帼龄753.5.1 IP安全体系结构IPsec的基本功能包括： 在IP层提供安全服务 选择需要的安全协议 决定使用的算法 保存加密使用的密钥IPsec文档上海财经大学 劳帼龄76体系结构ESP 协议AH 协议加密算法认证算法DOI密钥管理3.5.1 IP安全体系结构IPsec的服务 访问控制 无连接完整性 数据源的鉴别 拒

12、绝重放的分组 机密性 有限的通信量机密性IPsec安全结构 安全协议AH和ESP 安全关联（SA） 密钥交换手工和自动（IKE） 认证和加密算法上海财经大学 劳帼龄773.5.2 认证头协议AHAH的功能AH的格式AH的两种模式认证算法上海财经大学 劳帼龄783.5.3 分组加密协议ESPESP的功能 主要支持IP数据项的机密性 也可提供认证服务ESP的格式ESP的两种模式 传输模式 隧道模式ESP的处理 输出包处理 输入包处理上海财经大学 劳帼龄793.5.4 安全关联（SA）安全关联的概念 一个SA是在发送者和接收者这两个IPsec系统之间的一个简单的单向逻辑连接 SA三元组：Securi

13、ty Parameter Index, IP Destination Address, Security Protocol安全关联的类型 传输模式 隧道模式SPD和SAD上海财经大学 劳帼龄803.5.5 密钥交换IPsec的密钥交换包括密钥的确定和分配两种类型 手工方式 自动方式上海财经大学 劳帼龄813.5.6 Ipsec的应用Ipsec的优点Ipsec的应用上海财经大学 劳帼龄823.6.1 增强的私密电子邮件(PEM)3.6.2 安全多用途网际邮件扩充协议(S/MIME)3.6.3 安全超文本传输协议(S-HTTP)3.6.4 安全套接层协议(SSL)3.6.5 安全电子交易协议(SE

14、T)上海财经大学 劳帼龄833.6.1 增强的私密电子邮件(PEM)PEM规范缺点： 与同期的多用途网际邮件扩充协议MIME不兼容上海财经大学 劳帼龄843.6.2 安全多用途网际邮件扩充协议S/MIME电子邮件内容的安全问题 发送者身份认证 不可否认 邮件的完整性 邮件的保密性S/MIME标准（Secure/Multipurpose Internet Mail Extension） 设计目标：使自己能较易加入到已有的Email产品之中 安全标准： 信息格式：继承了MIME规格 信息加密标准：包括DES、三重DES、RC4 数字签名标准：PKCS 数字证书格式：X.509MIME和S/MIME

15、上海财经大学 劳帼龄853.6.3 安全超文本传输协议（S-HTTP） S-HTTP S-HTTP 是致力于促进以因特网为基础的电子商务是致力于促进以因特网为基础的电子商务技术发展的国际财团技术发展的国际财团 CommerceNet协会提出的安全传协会提出的安全传输协议，主要利用密钥对加密的方法来保障输协议，主要利用密钥对加密的方法来保障 Web 站站点上的信息安全。点上的信息安全。上海财经大学 劳帼龄863.6.4 安全套接层协议(Secure Sockets Layer，SSL)SSL协议概述 SSL建立在TCP协议之上，它的优势在于与应用层协议独立无关，应用层协议能透明地建立于SSL协议

16、之上。 e.g.HTTP over SSL(HTTPS)上海财经大学 劳帼龄873.6.4 安全套接层协议(Secure Sockets Layer，SSL)SSL协议的功能 SSL服务器认证 确认用户身份 保证数据传输的机密性和完整性SSL的体系结构基于SSL的银行卡支付过程上海财经大学 劳帼龄88Internet应用层应用层数据链路物理层应用层应用层数据链路物理层ClientServer3.6.5 安全电子交易协议 Secure Electronic Transaction，SETSET协议概述 SETSET是一种应用于因特网环境下，以信用是一种应用于因特网环境下，以信用卡为基础的安全电子

17、支付协议。卡为基础的安全电子支付协议。 通过通过SETSET可以实现电子商务交易中的加密、可以实现电子商务交易中的加密、认证、密钥管理等机制，保证在开放网络上使认证、密钥管理等机制，保证在开放网络上使用信用卡进行在线购物的安全。用信用卡进行在线购物的安全。上海财经大学 劳帼龄893.6.5 安全电子交易协议Secure Electronic Transaction，SETSET交易参与方上海财经大学 劳帼龄90认证中心Internet金融网络持卡人商户收单银行发卡银行支付网关3.6.5 安全电子交易协议Secure Electronic Transaction，SETSET购物流程上海财经大学

18、 劳帼龄91支付支付网关网关持持卡卡人人商商户户收收单单银银行行认证中心认证中心发卡银行发卡银行协商协商订单订单确认确认审核审核确认确认审核审核批准批准认证认证认证认证认证认证3.6.5 安全电子交易协议Secure Electronic Transaction，SETSET支付信息 支付发起请求/支付发起应答(PinitReq/PinitRes) 购买请求/购买应答(Preq/Pres) 授权请求/授权应答(AuthReq/AuthRes) 支付请求/支付应答(CapReq/CapRes)SET交易流程与传统银行卡交易流程的比较SET与SSL的比较上海财经大学 劳帼龄92Thanks!4.1

19、 数字证书简介数字证书简介4.2 数字证书的格式数字证书的格式4.3 公私密钥对的管理公私密钥对的管理4.4 数字证书的申请与发放数字证书的申请与发放4.5 数字证书的分发数字证书的分发4.6 数字证书的撤销数字证书的撤销上海财经大学 劳帼龄95上海财经大学 劳帼龄96上海财经大学 劳帼龄974.2.1 基本数字证书格式4.2.2 X.509版本3 数字证书格式4.2.3 数字证书扩展标准上海财经大学 劳帼龄984.2.1 基本数字证书格式X.509数字证书格式有三个不同版本内容：上海财经大学 劳帼龄994.2.2 X.509版本3数字证书格式上海财经大学 劳帼龄1004.2.3 数字证书扩展

20、标准密钥信息扩展政策信息扩展主体及发放者属性扩展认证路径约束扩展与数字证书撤消表（CRLs）相关的扩展上海财经大学 劳帼龄1014.3.1 密钥对的生成4.3.2 私钥的保护4.3.3 密钥对的更新上海财经大学 劳帼龄1024.3.1 密钥对的生成两种方法： 由密钥对持有者系统生成 由密钥管理中心系统生成4.3.2 私钥的保护保护方法： 将私钥存储在不可写的硬件模块或标记中，如智能卡中 将私钥存储在计算机硬盘或其他数据存储媒介上的加密数据文件中 将私钥存储在数字证书服务器上，当用户通过了服务器的鉴定，并在服务器上使用了一段时间后，该服务器会将私钥传送给用户上海财经大学 劳帼龄1034.3.3

21、密钥对的更新与加密有关的密钥对数字签名密钥对认证机构数字签名密钥对上海财经大学 劳帼龄1044.4.1 数字证书管理机构作用4.4.2 数字证书的申请注册4.4.3 数字证书的生成4.4.4 数字证书的更新上海财经大学 劳帼龄1054.4.1 数字证书管理机构的作用注册机构注册机构RA，本身并不发放数字证书，但RA可以确认、批准或拒绝数字证书申请人的申请，随后由CA给经过批准的申请人发放数字证书。RA功能： 注册、注销、批准或拒绝对数字证书属性的变更要求 确认数字证书申请人的合法性 批准生成密钥对和数字证书的请求及恢复备份密钥的请求 批准撤销或暂停数字证书的请求（需相应CA支持） 向有权拥有身

22、份标记的人当面分发标记或恢复旧标记上海财经大学 劳帼龄1064.4.2 数字证书的申请注册身份确认方法： 了解私有文件 亲自到场 身份证明文件4.4.3 数字证书的生成数字证书的生成步骤 数字证书申请人将数字证书内容信息提供给认证机构 认证机构确认信息的正确性 由CA给数字证书加上数字签名 将数字证书的一个副本传送给用户 将数字证书的一个副本传送到数字证书数据库，以便公布 数字证书的一个副本可以由CA或其他实体存档 CA将数字证书生成及发放过程中的细节记录在审计日志中上海财经大学 劳帼龄1074.4.4 数字证书的更新每份数字证书的生命周期都是有限的。在数字证每份数字证书的生命周期都是有限的。

23、在数字证书期满后需要更换数字证书。另外，密钥对也需要定书期满后需要更换数字证书。另外，密钥对也需要定期更换，而一旦更换了密钥对，那就需要用新的数字期更换，而一旦更换了密钥对，那就需要用新的数字证书。证书。上海财经大学 劳帼龄1084.5.1 利用数字签名分发数字证书4.5.2 利用目录服务分发数字证书上海财经大学 劳帼龄1094.6.1 请求撤销数字证书4.6.2 数字证书撤销表的格式4.6.3 撤销数字证书的方法4.6.4 X.509标准的数字证书撤销表上海财经大学 劳帼龄1104.6.1 请求撤消数字证书4.6.2 数字证书撤消表的格式上海财经大学 劳帼龄1114.6.3 撤消数字证书的方

24、法定期公布数字证书撤消表广播数字证书撤消表进行在线状态检查发行短期数字证书其他撤消方法 从数字证书数据库中删除数字证书 可信的数字证书服务器或目录 间隔时间更短的周期性数字证书撤销表 建立数字证书撤销树上海财经大学 劳帼龄1124.6.4 X.509标准的数字证书撤消表X.509 数字证书撤消表格式上海财经大学 劳帼龄1134.6.4 X.509标准的数字证书撤消表数字证书撤消表扩展标准 一般扩展 数字证书撤销表分发点 Delta 数字证书撤销表 间接数字证书撤销表 数字证书暂停 状态提名上海财经大学 劳帼龄114Thanks!5.1 PKI概述概述5.2 CA的结构的结构5.3 CA的证书策

25、略的证书策略5.4 CP和和CPS的主题内容的主题内容5.5 PKI中的不可否认机制中的不可否认机制5.6 几类不同的几类不同的PKI上海财经大学 劳帼龄117 上海财经大学 劳帼龄1185.1.1 PKI简介5.1.2 PKI核心CA上海财经大学 劳帼龄1195.1.1 PKI简介 公钥基础设施公钥基础设施 PKI (public key infrastructure)又叫又叫公钥体系，公钥体系，是一种利用公钥加密技术为电子商务的是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范，用户可开展提供一套安全基础平台的技术和规范，用户可利用利用PKIPKI平台提供的服务进行安全

26、通信。平台提供的服务进行安全通信。PKI应用系统的功能： 公钥数字证书的管理 证书撤销表的发布和管理 密钥的备份和恢复 自动更新密钥 自动管理历史密钥 支持交叉认证上海财经大学 劳帼龄1205.1.2 PKI的核心CA 认证机构认证机构 CA (certificate authority)又叫认证中心，又叫认证中心，是一个网上各方都信任的机构，专门负责数字证书是一个网上各方都信任的机构，专门负责数字证书的发放和管理。的发放和管理。CA的功能： 接收验证用户数字证书的申请 确定是否接收用户数字证书的申请 向申请者颁发数字证书 接收、处理用户的数字证书更新请求 接收用户数字证书的查询、撤销 产生和

27、发布数字证书撤销表（CRL） 数字证书的归档 密钥归档 历史数据归档上海财经大学 劳帼龄1215.2.1 认证路径5.2.2 树型层次结构5.2.3 森林型层次结构5.2.4 通用结构上海财经大学 劳帼龄1225.2.1 认证路径交叉认证数字证书： 是由一个认证机构对另一个认证机构签发的包含了该CA的签名密钥的数字证书。认证路径：上海财经大学 劳帼龄123 主体主体= =用户用户a a用户用户a a5.2.2 树型层次结构上海财经大学 劳帼龄1245.2.3 森林型层次结构上海财经大学 劳帼龄1255.2.4 通用结构寻找认证路径确认认证路径上海财经大学 劳帼龄1265.3.1 证书策略CP与

28、证书实施说明CPS5.3.2 保证等级与证书等级5.3.3 证书策略的内容上海财经大学 劳帼龄1275.3.1 证书策略CP与证书实施说明CPS 证书策略证书策略 CP ，是一套制定的规则，用于是一套制定的规则，用于说明满足一般安全性要求的数字证书在某个特说明满足一般安全性要求的数字证书在某个特定的团体里和（或）某一类应用中的应用能力。定的团体里和（或）某一类应用中的应用能力。 证书实施说明证书实施说明 CPS ，规定了在认证过程规定了在认证过程中要遵循的操作程序。中要遵循的操作程序。上海财经大学 劳帼龄1285.3.2 保证等级与证书等级保证等级： 初级 基本级 中级 高级证书等级： 验证要

29、求 私钥保护要求 操作、管理和物理控制方面的要求上海财经大学 劳帼龄1295.3.3 证书策略的内容介绍一般规定识别与数字证书策略操作要求物理、过程、与人员的安全控制技术安全控制数字证书及数字证书撤销表文件管理规范上海财经大学 劳帼龄1305.4.1 第一部分：介绍5.4.2 第二部分：一般规定5.4.3 第三部分：身份识别和身份验证5.4.4 第四部分：操作要求5.4.5 第五部分：物理、过程和人员的安全控制5.4.6 第六部分：技术安全控制5.4.7 第七部分：证书和证书撤销表5.4.8 第八部分：规范管理上海财经大学 劳帼龄1315.4.1 第一部分：介绍社团成员和互操作性证书使用数字签

30、名验证过程记录和签名标识符上海财经大学 劳帼龄1325.4.2 第二部分：一般规定义务责任支付能力解释和实施证书发行和证书库符合性审计机密性调查损害的权利犯罪活动上海财经大学 劳帼龄1335.4.3 第三部分：身份识别和身份验证初始注册：命名初始注册：身份验证个人到场带外验证个人数据的第三方验证上海财经大学 劳帼龄1345.4.4 第四部分：操作要求证书申请证书发行证书接收证书中止和撤销记录归档灾难及灾难恢复认证机构终止服务上海财经大学 劳帼龄1355.4.5 第五部分： 物理、过程和人员的安全控制物理控制过程控制人员控制上海财经大学 劳帼龄1365.4.6 第六部分：技术安全控制密钥对的产生

31、和安装私钥保护其他技术安全控制上海财经大学 劳帼龄1375.4.7 第七部分：证书和证书撤消表 主要描述了与认证机构签发的数字证书及数字证书撤销表内容有关的需求。上海财经大学 劳帼龄1385.4.8 第八部分：规范管理规范改变程序发行和通知程序CPS批准程序上海财经大学 劳帼龄1395.5.1 基本概念5.5.2 三种不可否认机制5.5.3 不可否认机制所涉及的活动5.5.4 可信任的第三方作用5.5.5 不可否认机制的实施上海财经大学 劳帼龄1405.5.1 基本概念 在电子商务中，在电子商务中，不可否认机制不可否认机制被定义被定义为一种通信属性，它保护通信的一方不受为一种通信属性，它保护通

32、信的一方不受另一方谎称通信没有发生而导致的损害。另一方谎称通信没有发生而导致的损害。上海财经大学 劳帼龄1415.5.2 三种不可否认机制来源的不可否认机制 主要解决是否某一方生成了特定消息、生成的时间如何等问题。送递的不可否认机制 主要解决是否某一方受到了特定的数据消息、收到的时间如何等问题。提交的不可否认机制 主要解决是否某一方传送或提交了特定数据消息，提交的时间如何等问题。上海财经大学 劳帼龄1425.5.3 不可否认机制所涉及的活动不可否认的请求记录的生成记录的分发记录的核实记录的保存上海财经大学 劳帼龄1435.5.4 可信任的第三方的作用 可信任第三方，就是指一个能够帮助实现基于计

33、算机的信息传送的安全性和可信性的独立和中立的第三方。作用： 公钥认证 身份确认 时间戳影响因素：防伪性、耐久性、可审核性、独立性、精确性、间隔 记录的保存 送递中介 争议解决上海财经大学 劳帼龄1445.5.5 不可否认机制的实施一、来源不可否认机制的实施 由发送方进行数字签名 由可信任的第三方进行数字签名 由可信任的第三方对摘要进行数字签名 内嵌可信任的第三方二、送递不可否认机制的实施 由接收方发送数字签名回执 利用可信任的送递代理 生成分段送递报告三、提交不可否认机制的实施上海财经大学 劳帼龄1455.6.1 基于PEM的PKI5.6.2 基于SET的PKI5.6.3 VeriSign信任

34、网络上海财经大学 劳帼龄1465.6.1 基于PEM的PKI上海财经大学 劳帼龄1475.6.2 基于SET的PKI上海财经大学 劳帼龄1485.6.3 VeriSign信任网络 VeriSignVeriSign信任网络信任网络，是世界上最大的商业认证机构网络，由VeriSign在美国和世界范围内逐渐扩展的附属网络构成的，包括了英国电信、KPN电信、Telia和CIBC这些主要的服务提供商。上海财经大学 劳帼龄149Thanks!上海财经大学 劳帼龄152上海财经大学 劳帼龄153上海财经大学 劳帼龄1546.2.1国内外认证中心现状概要分析欧美的CA美国政府CA体系与加拿大政府CA体系对比上

35、海财经大学 劳帼龄155美国政府美国政府CACA体系体系加拿大政府加拿大政府CACA体系体系运营时间运营时间2001年6月7日2000年组成成员组成成员除了各级政府和不同的政府结构以外，还包括与政府或政府机构有商业往来的合作伙伴。都是联邦的各级政府或者政府机构。体系结构体系结构它包含树型结构、网状结构和信任列表等，是复杂的结构体系。它只是一个树型结构，体系结构简单。认证实现认证实现通过FBCA建立认证关系，FBCA 仅是一个桥梁，将这些结构连接起来，不颁发数字证书。由联邦政策管理机构（FPMA）来管理。通过CCF来实现相互认证，CCF是不同树型CA的汇结点，可为下级CA签发数字证书。由政策管理

36、机构（PMA）来管理。采用的技术采用的技术整个体系的成员采用的产品和技术来自不同的公司，如VeriSign ,Baltimore和Entrust等。强调使用Entrust公司的产品和技术。上海财经大学 劳帼龄156美国美国CACA体系结构体系结构PMA：政策管理机构，提供政策指导，监督执行。 CCF：中央认证中心，加拿大政府CA体系中唯一的级别为“0”级的认证中心，位于渥太华。CA：由政府运营。LRA：当地注册机构。 加拿大加拿大CACA体系体系亚太地区的CA日本与韩国日本与韩国CACA体系对比体系对比上海财经大学 劳帼龄157日本日本韩国韩国主要应用市主要应用市场场电子化政府领域，金融领域很

37、少使用。而在政府领域，电子采购应用又比电子归档用得多。金融领域第一，政府领域第二互通模式互通模式BCA模式，将商业登记CA、公民CA、政府部门CA、以及非政府部门CA连成一体，如图3-3。简单的树型结构，通过根CA进行相互之间的认证，如图3-4。体系架构体系架构分公众和私人两大领域，公众领域包括政府CA体系，以及政府BCA建设。两个领域采用不同的法律规则。目前只有7家CA，以KCAC（Korea Certification & Authentication Central）为根CA，以KOSCOM、KICA、KETC、NCA、CrossCert和KTNET为下层CA。近期任务近期任务整合国家身

38、份证智慧卡和其他电子化政府凭证卡（如驾照卡、护照等）加强电子签名在国际贸易上的应用，解决国际金融CA互通问题。上海财经大学 劳帼龄158日本认证服务公司DATABANK公司总务省CA民众公司法人公司法人BCA经济产业省CA国土省CA法务省CA地方政府CA商业注册CA民众民众图图6-3 6-3 日本日本CACA体系结构体系结构KCACKOSCOMKICAKETCNCACrossCertKTNet韩国韩国CACA体系结构体系结构上海财经大学 劳帼龄1596.2.2 国内认证中心建设分析行业性行业性CACA建设分析建设分析区域性区域性CACA建设分析建设分析商业性商业性CACA建设分析建设分析行业、

39、区域、商业三类行业、区域、商业三类CACA的对比的对比 上海财经大学 劳帼龄160上海财经大学 劳帼龄161SET系统Non-SET系统RA系统上海财经大学 劳帼龄162上海财经大学 劳帼龄163上海财经大学 劳帼龄164上海财经大学 劳帼龄165上海财经大学 劳帼龄166上海财经大学 劳帼龄167 IC卡 加密卡加密机上海财经大学 劳帼龄168上海财经大学 劳帼龄1696.4.3 SHECA数字证书的申请与使用安装并查看个人数字证书上海财经大学 劳帼龄1706.4.3 SHECA数字证书的申请与使用个人数字证书的使用上海财经大学 劳帼龄1716.4.3 SHECA数字证书的申请与使用下载对方

40、的数字证书上海财经大学 劳帼龄1726.4.3 SHECA数字证书的申请与使用个人数字证书的废除上海财经大学 劳帼龄1736.4.3 SHECA数字证书的申请与使用证书的导出和导入上海财经大学 劳帼龄174上海财经大学 劳帼龄175上海财经大学 劳帼龄176上海财经大学 劳帼龄177上海财经大学 劳帼龄178上海财经大学 劳帼龄179上海财经大学 劳帼龄1806.5.3 VeriSign数字证书的申请与使用下载对方的数字证书上海财经大学 劳帼龄1816.5.3 VeriSign数字证书的申请与使用个人数字证书的废除上海财经大学 劳帼龄1826.5.3 VeriSign数字证书的申请与使用证书的

41、导出和导入上海财经大学 劳帼龄183Thanks!上海财经大学 劳帼龄186上海财经大学 劳帼龄187上海财经大学 劳帼龄188上海财经大学 劳帼龄189上海财经大学 劳帼龄190ISO的主页上海财经大学 劳帼龄191ITUT的主页上海财经大学 劳帼龄192IFIP的主页上海财经大学 劳帼龄193IEEE的主页上海财经大学 劳帼龄194NIST的主页上海财经大学 劳帼龄195ANSI的主页上海财经大学 劳帼龄196上海财经大学 劳帼龄197ISOC的主页上海财经大学 劳帼龄198IAB的主页上海财经大学 劳帼龄199IETF的主页上海财经大学 劳帼龄200IRTF的主页上海财经大学 劳帼龄20

42、1RFC的主页上海财经大学 劳帼龄202上海财经大学 劳帼龄203上海财经大学 劳帼龄204上海财经大学 劳帼龄205CERT/CC的主页上海财经大学 劳帼龄206上海财经大学 劳帼龄207上海财经大学 劳帼龄2087.3.1 信息系统安全保护上海财经大学 劳帼龄2097.3.2 国际联网管理上海财经大学 劳帼龄2107.3.3 商用密码管理7.3.4 计算机病毒防治7.3.5 安全产品检测与销售上海财经大学 劳帼龄211上海财经大学 劳帼龄212上海财经大学 劳帼龄213上海财经大学 劳帼龄214上海财经大学 劳帼龄215上海财经大学 劳帼龄216上海财经大学 劳帼龄217上海财经大学 劳帼

43、龄218上海财经大学 劳帼龄219上海财经大学 劳帼龄220上海财经大学 劳帼龄221上海财经大学 劳帼龄222上海财经大学 劳帼龄223上海财经大学 劳帼龄224上海财经大学 劳帼龄225Thanks!上海财经大学 劳帼龄228上海财经大学 劳帼龄229上海财经大学 劳帼龄230企业已对安全风险管理达成共识企业已对安全风险管理达成共识安全风险管理的国际标准和各国规范逐渐形成并趋于完善安全风险管理的国际标准和各国规范逐渐形成并趋于完善利用外部专业化机构进行安全性评估已成为大部分国家的选择：利用外部专业化机构进行安全性评估已成为大部分国家的选择：上海财经大学 劳帼龄231上海财经大学 劳帼龄23

44、2 安全风险管理中各因素之间的联系：安全风险管理中各因素之间的联系：上海财经大学 劳帼龄233上海财经大学 劳帼龄234上海财经大学 劳帼龄235资产风险分析调查表资产风险分析调查表1.网络设备网络设备a.网络设备有无专人管理？网络设备有无专人管理？b.有无专门的网络设备维护制度？有无专门的网络设备维护制度？c.网络设备有无备份？网络设备有无备份？d.2.服务器服务器a.服务器有无专门的管理制度？服务器有无专门的管理制度？b.服务器是否有备份？服务器是否有备份？c.服务器内容的访问规则有否？服务器内容的访问规则有否？d.3.数据库数据库a.数据库的更新频率是否符合标准数据库的更新频率是否符合标

45、准b.数据库内容是否备份？数据库内容是否备份？c.企业是否将全部重要信息都集中保存？企业是否将全部重要信息都集中保存？d.4.是否上海财经大学 劳帼龄236上海财经大学 劳帼龄237病毒攻击病毒攻击服务中断服务中断设备毁坏设备毁坏管理缺陷管理缺陷泄密泄密制度漏洞制度漏洞火灾火灾损失事故损失事故声誉破坏声誉破坏上海财经大学 劳帼龄238上海财经大学 劳帼龄239风险评估过程 安全控制措施选择 实施安全控制降低风险 接受残余风险 上海财经大学 劳帼龄240上海财经大学 劳帼龄241在安全风险管理策略系统中技术和管理手段的无缝集成：在安全风险管理策略系统中技术和管理手段的无缝集成：上海财经大学 劳帼

46、龄242 包括电子商务安全风险控制的企业整体风险控制：包括电子商务安全风险控制的企业整体风险控制：上海财经大学 劳帼龄243 245 246 247 248您认为阻碍企业电子商务发展的主要障碍您认为阻碍企业电子商务发展的主要障碍问卷数问卷数占问卷总数占问卷总数%难于盈利难于盈利2314.5企业运作流程不适应企业运作流程不适应5937.1技术条件不成熟技术条件不成熟9623.3信用体系不完善信用体系不完善9660.4缺乏政府鼓励政策缺乏政府鼓励政策4427.7法律体系不健全法律体系不健全8956.0缺乏专业的电子商务人才缺乏专业的电子商务人才3924.5虚拟市场中的权益得不到保障虚拟市场中的权益

47、得不到保障5132.1领导意识落后领导意识落后116.9资金不足资金不足1610.1 问卷总数问卷总数 159阻碍在线交易发展的主要障碍是阻碍在线交易发展的主要障碍是问卷数问卷数占问卷总数占问卷总数% 难于赢利难于赢利312.5企业运作流程不适应企业运作流程不适应625.0技术条件不成熟技术条件不成熟416.7信用体系不完善信用体系不完善1875.0缺乏政府鼓励政策缺乏政府鼓励政策1041.7法律体系不健全法律体系不健全1354.2缺乏专业的电子商务人才缺乏专业的电子商务人才28.3虚拟市场中的权益得不到保障虚拟市场中的权益得不到保障520.8领导意识落后领导意识落后312.5资金不足资金不足416.7问卷总数问卷总数24 249 250 251 252 253Thanks! 256 257 258 259 260 261 262 263 264Thanks!