(精品)电子商务——第四章电子商务安全管理.ppt

《(精品)电子商务——第四章电子商务安全管理.ppt》由会员分享，可在线阅读，更多相关《(精品)电子商务——第四章电子商务安全管理.ppt（48页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第四章第四章 电子商务安全管理电子商务安全管理内容提要内容提要4.1 电子商务的安全要求电子商务的安全要求4.2 客户认证客户认证4.3 安全管理制度安全管理制度4.4 法律制度法律制度4.5 其他安全措施其他安全措施4.6 容灾备份容灾备份课前故事课前故事网络上网络上的肉鸡的肉鸡4/6/20232第4章 电子商务的安全管理4.1 电子商务的安全要求电子商务的安全要求一、电子商务存在的安全隐患一、电子商务存在的安全隐患二、电子商务安全风险的来源二、电子商务安全风险的来源三、实施电子商务的安全要求三、实施电子商务的安全要求4/6/20233第4章 电子商务的安全管理一、一、电子商务存在的安全隐患

2、电子商务存在的安全隐患1.1.电子商务系统的安全隐患电子商务系统的安全隐患数据的安全数据的安全2.2.电子商务交易电子商务交易过程过程中中的的安全隐患安全隐患（1 1）购买者）购买者（2 2）销售者）销售者4/6/20234第4章 电子商务的安全管理购买者存在的安全隐患购买者存在的安全隐患虚假虚假产品产品付款后不能收到商品付款后不能收到商品机密性丧失机密性丧失拒绝服务拒绝服务4/6/20235第4章 电子商务的安全管理销售者存在的安全隐患销售者存在的安全隐患中央系统安全性被破坏中央系统安全性被破坏客户资料被竞争者获悉客户资料被竞争者获悉被他人假冒而损害公司的信誉被他人假冒而损害公司的信誉消费者

3、提交订单后不付款消费者提交订单后不付款虚假订单虚假订单4/6/20236第4章 电子商务的安全管理二、电子商务安全风险的来源二、电子商务安全风险的来源1.信息传输风险信息传输风险2.信用风险信用风险3.管理方面的风险管理方面的风险4.法律方面的风险法律方面的风险4/6/20237第4章 电子商务的安全管理信息传输风险信息传输风险信息传输风险含义信息传输风险含义信息传输风险来源信息传输风险来源冒名偷窃冒名偷窃篡改数据篡改数据信息丢失信息丢失信息传递过程中的破坏信息传递过程中的破坏虚假信息虚假信息4/6/20238第4章 电子商务的安全管理信用风险信用风险信用风险来源信用风险来源来自买方的信用风险

4、来自买方的信用风险来自卖方的信用风险来自卖方的信用风险买卖双方都存在抵赖的情况买卖双方都存在抵赖的情况信用风险特点信用风险特点传统可以控制风险；网上交易更加依赖信用传统可以控制风险；网上交易更加依赖信用体系，同时信用体系也更加脆弱体系，同时信用体系也更加脆弱4/6/20239第4章 电子商务的安全管理管理方面的风险管理方面的风险网上交易管理风险网上交易管理风险交易流程管理风险交易流程管理风险人员管理风险人员管理风险交易技术管理风险交易技术管理风险4/6/202310第4章 电子商务的安全管理法律方面的风险法律方面的风险法律滞后风险法律滞后风险法律调整风险法律调整风险4/6/202311第4章

5、电子商务的安全管理三、实施电子商务的安全要求三、实施电子商务的安全要求1.有效性有效性2.机密性机密性3.完整性完整性4.真实性和不可抵赖性的鉴别真实性和不可抵赖性的鉴别 防范思路防范思路技术方面的考虑技术方面的考虑制度方面的考虑制度方面的考虑法规政策与法律保障法规政策与法律保障4/6/202312第4章 电子商务的安全管理4.2 客户认证客户认证一、信息认证一、信息认证二、身份认证二、身份认证 三、网络中的身份认证三、网络中的身份认证PKI四、四、CA中心中心五、网络中身份认证的五、网络中身份认证的实现实现六、综合应用举例六、综合应用举例4/6/202313第4章 电子商务的安全管理一、信息

6、认证一、信息认证1.什么是信息认证？什么是信息认证？2.信息认证的要求信息认证的要求保证信息内容的保密性保证信息内容的保密性保证数据的完整性保证数据的完整性对数据和信息的来源进行验证，以确保发信人的身份对数据和信息的来源进行验证，以确保发信人的身份3.信息认证的实现方式信息认证的实现方式采用私密（对称）密钥加密系统采用私密（对称）密钥加密系统(Secret Key Encryption)公开（非对称）密钥加密系统公开（非对称）密钥加密系统(Public Key Encryption)两者相结合的方式两者相结合的方式4/6/202314第4章 电子商务的安全管理加密和解密过程加密和解密过程明文密

7、文明文密文加密算法加 密解密算法解 密网络发送发送者发送者网络网络接收者接收者4/6/202315第4章 电子商务的安全管理对称密钥密码体制与对称密钥密码体制与DES算法算法1.对称密钥密码体制对称密钥密码体制2.DES(Data Encryption Standard)3.DES的的加密与解密过程加密与解密过程4.DES 的优势和劣势的优势和劣势 4/6/202316第4章 电子商务的安全管理非对称密钥密码体制与非对称密钥密码体制与RSA算法算法1.非对称密钥密码体制非对称密钥密码体制2.RSA（Rivest,Shamir,Adleman）3.RSA的的加密与解密过程加密与解密过程4.RSA

8、的优势和劣势的优势和劣势5.DES与与RSA的互补应用的互补应用4/6/202317第4章 电子商务的安全管理二、身份认证二、身份认证1.什么是身份认证？什么是身份认证？2.身份认证的功能身份认证的功能可信性可信性完整性完整性不可抵赖性不可抵赖性访问控制访问控制3.传统身份认证的方式传统身份认证的方式所知、所有、个人特征或者混合所知、所有、个人特征或者混合4/6/202318第4章 电子商务的安全管理三、网络中的身份认证三、网络中的身份认证PKIPKI1.什么是什么是PKI 公公 钥钥 基基 础础 设设 施施 PKI（Public Key Infrastructure），是是一一种种遵遵循循既

9、既定定标标准准的的密密钥钥管管理理平平台台,它它能能够够为为所所有有网网络络应应用用提提供供加加密密和和数数字字签签名名等等密密码码服服务务及及所所必必需需的的密密钥钥和和证证书书管管理理体体系系，简简单单来来说说，PKI就就是是利利用用公公钥钥理理论论和和技技术术建建立立的的提提供供安全服务的基础设施。安全服务的基础设施。4/6/202319第4章 电子商务的安全管理三、网络中的身份认证三、网络中的身份认证PKIPKI2.PKI的组成的组成（1）认证机构）认证机构(CA)（2）数字证书库）数字证书库（3）密钥备份及恢复系统）密钥备份及恢复系统（4）证书作废系统）证书作废系统（5）应用接口（）

10、应用接口（API）4/6/202320第4章 电子商务的安全管理三、网络中的身份认证三、网络中的身份认证PKIPKI3.PKI要解决的问题要解决的问题（1）数据的机密性（数据的机密性（ConfidentialityConfidentiality）（2）数据的完整性（数据的完整性（IntegrityIntegrity）（3）身份验证性（身份验证性（AuthenticationAuthentication）（4）不可抵赖性（不可抵赖性（Non-RepudiationNon-Repudiation）4.PKI4.PKI的基础技术的基础技术 加加密密、数数字字签签名名、数数据据完完整整性性机机制制、数

11、数字字信信封封、双重数字签名等双重数字签名等 4/6/202321第4章 电子商务的安全管理四、四、CACA中心中心1.什什么么是是CA（Certified Authentication）认认证证机机构构（中心）？（中心）？2.认证中心的基本原理认证中心的基本原理顾顾客客向向CA申申请请证证书书，证证书书包包含含了了顾顾客客的的名名字字和和他他的公钥，以此作为网上证明自己身份的依据的公钥，以此作为网上证明自己身份的依据做做交交易易时时，应应向向对对方方提提交交一一个个由由CA中中心心签签发发的的包包含个人身份的证书，以使对方相信自己的身份含个人身份的证书，以使对方相信自己的身份CA中中心心负负

12、责责证证书书的的发发放放、验验收收，并并作作为为中中介介承承担担信用连带责任信用连带责任4/6/202322第4章 电子商务的安全管理四、四、CACA中心（中心（2 2）3.认证中心的工作职能认证中心的工作职能（1 1）接收验证最终用户数字证书的申请）接收验证最终用户数字证书的申请（2 2）证书审批）证书审批（3 3）证书发放）证书发放（4 4）证书的更新）证书的更新（5 5）接收最终用户数字证书的查询、撤销）接收最终用户数字证书的查询、撤销（6 6）产生和发布证书废止列表（）产生和发布证书废止列表（CRLCRL）（7 7）数字证书的归档）数字证书的归档（8 8）密钥归档）密钥归档（9 9）历

13、史数据归档）历史数据归档4/6/202323第4章 电子商务的安全管理五、网络中身份认证的五、网络中身份认证的实现实现1.数字证书数字证书 数字证书数字证书又称为数字标识，是网络通讯又称为数字标识，是网络通讯中标志通讯各方身份信息的一系列数据，中标志通讯各方身份信息的一系列数据，它是一个经证书授权中心它是一个经证书授权中心CA（Certificate Authority）数字签名的包含公开密钥拥有）数字签名的包含公开密钥拥有者信息以及公开密钥的文件者信息以及公开密钥的文件 举例：数字证书举例：数字证书申请表申请表、责任书责任书4/6/202324第4章 电子商务的安全管理五、网络中身份认证的五

14、、网络中身份认证的实现实现（2 2）2.数字证书的作用数字证书的作用数据的机密性数据的机密性数据的完整性数据的完整性身份鉴别性身份鉴别性不可否认性不可否认性 3.数字证书的主要应用数字证书的主要应用4.数字证书的分类数字证书的分类4/6/202325第4章 电子商务的安全管理五、网络中身份认证的五、网络中身份认证的实现实现（3 3）5.数字签名数字签名（1）数字签名的概念与作用数字签名的概念与作用（2）数字签名的过程数字签名的过程6.双重签名双重签名（1）双重签名的概念与作用）双重签名的概念与作用（2）双重签名的过程双重签名的过程7.数字证书使用举例（数字证书使用举例（申请申请、使用使用、查询

15、查询）4/6/202326第4章 电子商务的安全管理六、综合应用举例六、综合应用举例公司公司A、B需要通过认证中心的数字证书来需要通过认证中心的数字证书来实现数据交换和客户认证（实现数据交换和客户认证（举例举例）思考：思考：1.他们之间的数据交换过程是如何进行的？他们之间的数据交换过程是如何进行的？2.他们之间的客户认证过程是如何进行的？他们之间的客户认证过程是如何进行的？3.这个过程用到了哪些手段或者工具？这个过程用到了哪些手段或者工具？4/6/202327第4章 电子商务的安全管理4.3 安全管理制度安全管理制度一、人员管理制度一、人员管理制度二、保密制度二、保密制度三、跟踪、审计、稽核制

16、度三、跟踪、审计、稽核制度四、网络系统的日常维护制度四、网络系统的日常维护制度五、病毒防范制度五、病毒防范制度 4/6/202328第4章 电子商务的安全管理一、人员管理制度一、人员管理制度1.管理方法管理方法对有关人员进行上岗培训对有关人员进行上岗培训落实工作责任制，违反网上交易安全规定的行为应坚落实工作责任制，违反网上交易安全规定的行为应坚决进行打击并及时的处理决进行打击并及时的处理2.安全运作基本原则安全运作基本原则双人负责原则双人负责原则任期有限原则任期有限原则最小权限原则最小权限原则4/6/202329第4章 电子商务的安全管理二、保密制度二、保密制度1.划分信息的安全级别，确定安全

17、防范重点划分信息的安全级别，确定安全防范重点绝密级绝密级机密级机密级秘密级秘密级2.对密钥进行管理对密钥进行管理4/6/202330第4章 电子商务的安全管理三、跟踪、审计、稽核制度三、跟踪、审计、稽核制度 1.跟踪制度跟踪制度 2.审计制度审计制度 3.稽核制度稽核制度4/6/202331第4章 电子商务的安全管理四、网络系统的日常维护制度四、网络系统的日常维护制度 1.对于可管设备对于可管设备 2.对于不可管设备对于不可管设备 3.定期进行数据备份定期进行数据备份 4/6/202332第4章 电子商务的安全管理五、病毒防范制度五、病毒防范制度1.病毒病毒2.主要通过采用主要通过采用防病毒防

18、病毒软件进行防毒软件进行防毒3.应用于网络的防病毒软件有两种应用于网络的防病毒软件有两种 一种是单机版防病毒产品一种是单机版防病毒产品一种是联机版防病毒产品一种是联机版防病毒产品4.防毒软件的发展趋势防毒软件的发展趋势4/6/202333第4章 电子商务的安全管理4.4 法律制度法律制度1.涉及法律问题：合同的执行、赔偿、个人隐涉及法律问题：合同的执行、赔偿、个人隐私、资金安全、知识产权保护、税收等问题私、资金安全、知识产权保护、税收等问题2.美国保证电子商务安全的相关法律美国保证电子商务安全的相关法律统一商业法规（统一商业法规（UCC）电子支付的法律制度电子支付的法律制度信息安全的法律制度信

19、息安全的法律制度消费者权益保护的法律制度消费者权益保护的法律制度4/6/202334第4章 电子商务的安全管理4.5 其他安全措施其他安全措施一、网络黑客及其常用手段一、网络黑客及其常用手段二、防止非法入侵的措施二、防止非法入侵的措施三、防火墙及其应用三、防火墙及其应用4/6/202335第4章 电子商务的安全管理一、网络黑客及其常用手段一、网络黑客及其常用手段1.“1.“黑客黑客”的概念的概念2.“2.“黑客黑客”类型类型灰鸽子的爆发灰鸽子的爆发骇客骇客窃客窃客3.3.网络黑客的常用网络黑客的常用攻击手段攻击手段中断中断窃听窃听窜改窜改伪造伪造轰炸轰炸4/6/202336第4章 电子商务的安

20、全管理二、防止非法入侵的措施二、防止非法入侵的措施1.1.网络安全检测设备网络安全检测设备2.2.访问设备访问设备3.3.安全工具包安全工具包4.4.防火墙（防火墙（firewallfirewall）4/6/202337第4章 电子商务的安全管理三、防火墙及其应用三、防火墙及其应用 1.防火墙的概念防火墙的概念2.防火墙的功能防火墙的功能（1）过滤掉不安全服务和非法用户）过滤掉不安全服务和非法用户（2）控制对特殊站点的访问）控制对特殊站点的访问（3）提供监视）提供监视Internet安全和预警的方便安全和预警的方便3.防火墙的特点防火墙的特点4/6/202338第4章 电子商务的安全管理三、防

21、火墙及其应用（三、防火墙及其应用（2）4.防火墙的位置防火墙的位置5.防火墙的分类防火墙的分类6.代理服务型防火墙的位置代理服务型防火墙的位置7.代理服务型防火墙的种类代理服务型防火墙的种类8.使用防火墙要注意的问题使用防火墙要注意的问题4/6/202339第4章 电子商务的安全管理4.6 容灾备份容灾备份一、灾难与容灾一、灾难与容灾二、容灾备份二、容灾备份4/6/202340第4章 电子商务的安全管理一、灾难与容灾一、灾难与容灾1.什么是灾难什么是灾难 指自然的和人为的灾难，包括系统硬件、指自然的和人为的灾难，包括系统硬件、网络故障、机房断电甚至火灾地震网络故障、机房断电甚至火灾地震 2.2

22、004年灾难造成的损失年灾难造成的损失3.数据丢失的原因和后果数据丢失的原因和后果4/6/202341第4章 电子商务的安全管理一、灾难与容灾（一、灾难与容灾（2）3.什么是容灾什么是容灾（1）广义，所有与业务连续性相关的内容）广义，所有与业务连续性相关的内容都纳入容灾都纳入容灾（2）狭义，除了生产站点以外，用户另外）狭义，除了生产站点以外，用户另外建立的冗余站点，当灾难发生生产站点建立的冗余站点，当灾难发生生产站点受到破坏时，冗余站点可以接管用户正受到破坏时，冗余站点可以接管用户正常的业务，达到业务不间断的目的常的业务，达到业务不间断的目的4/6/202342第4章 电子商务的安全管理一、灾

23、难与容灾（一、灾难与容灾（3）4.4.容灾的衡量指标容灾的衡量指标（1 1）RPORPO（Recovery Point ObjectRecovery Point Object），代），代表了当灾难发生时允许丢失的数据表了当灾难发生时允许丢失的数据（2 2）RTORTO（Recovery Time ObjectRecovery Time Object），代），代表了系统恢复的时间表了系统恢复的时间4/6/202343第4章 电子商务的安全管理二、容灾备份二、容灾备份1.容灾、备份与容灾备份容灾、备份与容灾备份2.容灾的等级容灾的等级（1）数据级别）数据级别（2）应用级别）应用级别（3）业务级别）

24、业务级别3.实现技术实现技术互连技术、远程镜像与快照、存储虚拟化互连技术、远程镜像与快照、存储虚拟化4/6/202344第4章 电子商务的安全管理课后阅读课后阅读查看我国的所有银行，统计看看有多少查看我国的所有银行，统计看看有多少银行有自己的网站？占的比例是多少？银行有自己的网站？占的比例是多少？查看有网站的银行，看看他们的网站各查看有网站的银行，看看他们的网站各有什么功能？按照银行一般的功能，分有什么功能？按照银行一般的功能，分别做统计分析，看看各占多少比例？别做统计分析，看看各占多少比例？查看网上银行的使用说明和使用方法查看网上银行的使用说明和使用方法4/6/202345第4章 电子商务的

25、安全管理课后问题课后问题1.复习思考题和讨论题复习思考题和讨论题2.案例分析题案例分析题3.课后实践题课后实践题4/6/202346第4章 电子商务的安全管理下一讲下一讲第五章 支付与网上银行中国部分电子商务认证中心中国部分电子商务认证中心 1.上海电子商务（协卡）认证中心上海电子商务（协卡）认证中心l2.广东电子商务认证中心广东电子商务认证中心l3.北京数字证书认证中心北京数字证书认证中心l4.湖北省湖北省CA认证中心认证中心 5.武汉数字证书认证中心武汉数字证书认证中心l6.中国金融认证中心中国金融认证中心l7.华北华北CA认证中心认证中心 8.陕西数字证书认证中心陕西数字证书认证中心4/6/202348第4章 电子商务的安全管理