电子商务安全与风险管理教材osu.ppt

《电子商务安全与风险管理教材osu.ppt》由会员分享，可在线阅读，更多相关《电子商务安全与风险管理教材osu.ppt（62页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、电子商务概论第6章 电子商务安全与风险管理主编：郑丽、付丽丽本章内容6.1 电子商务安全的概念6.2 电子商务的安全体系 架构及风险管理6.3 电子商务安全技术6.4 电子商务安全实践1236.1 电子商务安全的概念6.1.1电子商务安全的含义6.1.2面临的主要问题及产生原因6.1.3基本要素导入案例 淘宝“错价门”事件（137页）2011年9月1日早晨，丁先生在淘宝网购物，发现部分网店和淘宝商城许多商品以1元秒杀包邮价出售，也有很多原价数百元的商品标价几元或几十元。丁先生知道，互联网上这样的一元秒杀活动或者超低价商品甩卖促销是司空见惯的。所以，丁先生没有多想，花了几个小时按照正常程序买了许

2、多商品，均付款成功并生成订单。丁先生在淘宝网上下了10多份订单，分别用1元、几元、几十元的价格，购买了两三千元的商品，包括服装、数码产品等。但是后来让丁先生没有想到的是，之后许多订单被淘宝网取消。这到底是怎么回事呢？6.1.1电子商务安全的含义 电子商务安全的含义包含两个层次的内容，即：基础设施的安全和商务交易安全，另外还包括了管理、法律和标准等方面的隐性问题。基础设施安全：计算机网络设备安全、计算机网络系统安全、数据安全、应用安全等。其特征是以保证计算机网络自身的安全性为目标。商务交易安全：围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障以电子交易和电子支

3、付为核心的电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。主要包括交易信息安全、支付安全和诚信安全。6.1.2面临的主要问题及产生原因主要问题:1.网络的安全性问题1)信息的篡改2)信息的截获和窃取3)恶意攻击和破坏2.商务交易中电子合同的法律效力问题以及完整性保密问题3.商务交易中的安全性问题1)网上诈骗2)信息假冒3)交易抵赖4)病毒的感染案例6-1：不翼而飞的网银案例6-2：电子签名法案例6-3：误入“钓鱼网站”6.1.2面临的主要问题及产生原因产生原因:1.硬件故障2.软件缺陷3.管理漏洞4.法律缺失案例6-4：“熊猫烧香”事件如何量刑 6.1

4、.3 电子商务安全的基本要素 网络传输要素 交易安全要素 保密性、有效性、可靠性、完整性、抗抵赖性 法律法规要素1236.2 电子商务的安全体系 架构及风险管理6.2.1主要环节及影响因素6.2.2电子商务安全体系结构6.2.3电子商务安全风险管理6.2.1电子商务安全的主要环节及影响因素 四个环节：1保护 采用一些网络安全产品、工具和技术保护网络系统、数据和用户。2检测 实时监控系统的安全状态，是实时保护的一种策略，满足一种动态安全的需求。3反应 当攻击正在发生时，能够及时做出响应，防止攻击进一步发生，将安全事件的影响降低到最小的范围。4恢复 当系统因为攻击或入侵造成一定的破坏时，必须有一套

5、机制来及时恢复系统正常工作。6.2.1主要环节及影响因素三个因素：1人员因素 人作为一种实体在电子商务交易过程中存在，对电子商务的安全产生重要的影响。可通过人员培训、教育等措施来降低人为因素带来的安全隐患。2过程因素 电子商务交易中，有不同的操作过程，例如系统登录，下订单，数据更新等，需要有严格的制度来规范各种操作行为，杜绝系统的安全隐患。3技术因素 技术因素对电子商务安全的影响最为直接，在电子商务交易中，首先要从技术上保障系统的安全可靠。6.2.2 电子商务安全体系结构*网络安全管理层系统应用层安全协议层安全认证层加密技术层网络安全层（防火墙技术、入侵检测技术、病毒防范技术）6.2.2电子商

6、务安全体系结构各层含义：1网络安全层 采用的主要安全技术有防火墙技术、入侵检测技术、病毒防范技术和安全评估技术等，用以保证计算机网络自身的安全。2加密技术层 加密技术是电子商务最基本的安全措施。在目前技术条件下，加密技术通常分为对称加密和非对称加密两类。3安全认证层 保证电子商务交易安全的身份认证技术，包括数字摘要技术、数字签名技术、数字时间戳技术、数字证书技术、认证技术、生物特征识别认证技术等。6.2.2电子商务安全体系结构各层含义：4安全协议层 电子商务的运行需要一套完整的安全协议。目前，比较成熟的协议有安全套接层协议、安全电子交易协议等。5电子商务系统应用层 包括支付型业务系统和非支付型

7、业务系统。6电子商务安全管理层 包括电子商务中对人员管理、安全制度管理、法律法规等策略及方案。简述题：1.简述电子商务安全风险（即安全问题）和安全体系结构。6.2.3 电子商务安全风险管理6.2.3.1 风险管理与控制1加快基础设施建设2实施技术防范3完善管理制度4加强审计与监督5健全法制与诚信6培养专业人才6.2.3 电子商务安全风险管理6.2.3.2 安全管理策略1.安全策略2.内部管理制度策略3.人员培训策略4.安全制度管理策略412356.3 电子商务安全技术6.3.1 数据加密技术6.3.2 认证技术6.3.3 安全协议技术6.3.4 黑客防范技术6.3.5 病毒防范技术66.3.6

8、 虚拟专网技术6.3.1 数据加密技术 数据加密技术是电子商务的最基本安全措施，是保证电子商务安全的重要手段。加密技术是指通过使用代码或密码将某些重要信息和数据从一个可以理解的明文形式变换成一种复杂错乱的、不可理解的密文形式（即加密），在线路上传送或在数据库中存储，其他用户再将密文还原成明文（即解密），从而保障信息数据的安全性。类型：对称加密 非对称加密加密技术的基本要素 基本要素 密钥：是用来对文本进行编码和解码的数字。加密程序/算法：将明文转成密文的程序/算法。密文：加密后在网络上公开传输的内容对于非法接收者成为无法理解的符号。明文：所有接收者都可理解的形式。解密：加密程序的逆过程，即将密

9、文还原成明文。例：一个简单的密码表字母 A B C Z 空格,./：？明文 01 02 03 26 27 28 29 30 31 32密文 18 19 20 43 44 45 46 47 48 49信息T h i s i s a s e c r e t.明文20 08 09 19 27 09 19 27 01 27 19 05 03 18 05 20 29密文37 25 26 36 44 26 36 44 18 44 36 22 20 35 22 37 46这个密码表的明文、密文、密钥、加密算法、解密算法分别是什么?6.3.1 数据加密技术 对称加密 对称加密也称之为“秘密密钥”加密。发送方用

10、密钥加密明文，传送给接收方，接收方用同一密钥解密。其特点是加密和解密使用的是同一个密钥。非对称加密 非对称加密的密钥被分解为：公开密钥和私有密钥。密钥对生成后，公开密钥以非保密方式对外公开，只对应于生成该密钥的发布者，私有密钥则保存在密钥发布方手里。任何得到公开密钥的用户都可以使用该密钥加密信息发送给该公开密钥的发布者，而发布者得到加密信息后，使用与公开密钥相应对的私有密钥进行解密。6.3.1 数据加密技术 非对称加密具体加密传输过程如下：发送方甲用接收方乙的公钥加密自己的私钥。发送方甲用自己的私钥加密文件，然后将加密后的私钥和文件传输给接收方。接收方乙用自己的私钥解密，得到甲的私钥。接收方乙

11、用甲的公钥解密，得到明文。加密过程一:对称加密对称加密流程示意图加密过程二：非对称加密 非对称加密技术示意图1 私钥是在（）加密技术中所使用的。A 所有 B 对称 C 非对称 D 高级6.3.2 认证技术采用认证技术可以直接满足身份认证、信息完整性、不可否认和不可修改等多项网上交易的安全需求，较好地避免了网上交易面临的假冒、篡改、抵赖、伪造等种种威胁。认证技术主要用于身份认证与报文认证。身份认证用于鉴别用户身份；报文认证用于保证通信双方的不可抵赖性和信息完整性。案例6-6：企业与个人的“信用标签”6.3.2 认证技术1.数字摘要技术基本原理被发送文件用SHA编码加密产生128bit的数字摘要。

12、发送方用自己的私用密钥对摘要再加密，形成数字签名。将原文和加密的摘要同时传给对方。对方用发送方的公共密钥对摘要解密，同时对收到的文件用SHA编码加密产生又一摘要。将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致，则说明传送过程中信息没有被破坏或篡改过。否则不然。6.3.2 认证技术2.数字签名技术基本原理报文发送方从报文文本中生成一个128位的散列值(或报文摘要),并用自己的专用密钥对这个散列值进行加密，形成发送方的数字签名；该数字签名将作为报文附件和报文一起发送给报文接收方；报文接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要)再用发送方的公开密钥来对

13、报文附加的数字签名进行解密，若两个散列值相同，则接收方就能确认该数字签名是发送方的,通过数字签名能够实现对原始报文的鉴别和不可否认性。6.3.2 认证技术3.数字时间戳技术基本原理 用户首先将需要加时间戳的文件用Hash算法运算行程摘要；将该摘要发送到DTS；DTS在加入了收到文件摘要的日期和事件信息后再对该文件加密（数字签名）；送达用户。6.3.2 认证技术4.数字证书和认证技术 由权威机构CA证书授权（Certificate Authority）中心发行的，能提供在Internet上进行身份验证的一种权威性电子文档，人们可以在互联网交往中用它来证明自己的身份和识别对方的身份。图 6-2中国

14、数字认证网 6.3.2 认证技术5.生物特征识别认证 生物特征识别技术是通过计算机与光学、声学传感器和生物统计学原理等高科技手段结合，利用人体固有的生理特征（如指纹、掌纹、虹膜等）来进行个人身份的鉴定。填空：1 认证技术主要用于身份认证与（）认证。2 报文认证主要用于保证通信双方信息的（）性和完整性。3 认证技术包括数字摘要技术、数字（）技术、数字（）和认证技术、生物（）认证技术。6.3.3 安全协议技术1.安全套接层协议技术 安全套接层协议SSL(Secure Socket Layer)是Netscape公司率先采用的网络安全通信协议。现在被广泛用于 Internet 上的身份认证与 Web

15、 服务器和用户端浏览器之间的数据安全通信。SSL采用对称密码和公开密码相结合技术，采用密码和证书实现通信数据完整性、认证性等安全服务。6.3.3 安全协议技术 SSL协议的功能：1）客户对服务器的身份确认2）服务器对客户的身份确认3）建立起服务器和客户之间安全的数据通道6.3.3 安全协议技术SSL 协议的组成SSL 协议的组成是握手协议层和记录协议层。SSL 协议的服务1）认证服务2）数据加密服务3）数据完整性服务SSL协议的运行步骤6.3.3 安全协议技术2.安全电子交易协议技术SET协议的定义：安全电子交易协议SET(Secure Electronic Transaction)是基于信用

16、卡在线支付的电于商务安全协议。它是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET协议的功能：SET协议是一个基于可信的第三方认证中心的方案，涉及的当事人包括持卡人、发卡机构、商家、银行以及支付网关。6.3.3 安全协议技术2.安全电子交易协议技术SET协议的组成：SET为基于信用卡进行电子交易的应用提供了实现安全措施的规则。SET支付系统主要由持卡人、商家、发卡行、收单行、支付网关、认证中心等六个部分组成。SET协议的技术：SET协议是一种电子支付系统的安全协议，涉及加密、认证等多种技术。6.3.3 安全协议技术2.安全电子交易协议技术SET协议的运行步骤

17、：6.3.3 安全协议技术3.SSL与SET的比较分析认证要求安全性网络层协议位置应用领域SSL、SET协议的全称分别是（）、（），二者安全级别较高的是（）。6.3.4 黑客防范技术案例6-8：电商成黑客敛财新目标 大多企业遭过攻击 表6-1 被黑客攻击的电商企业及其损失情况 电商企业 被攻击时间 造成损失京东商城 2010年大规模攻击 数据外泄，损失金额未知当当网 2011年11月大规模攻击 200万会员个人数据（电话、姓名、地址、邮箱等）泄露凡客诚品 2011年大规模攻击 数据外泄，损失金额未知淘宝网 2010年10月份大规模攻击 支付宝用邮箱2400多万个人账号泄露走秀网 2009年、2

18、010年、2011年陆续被攻击600万会员注册邮箱账号泄露佳品网 未知 100多万会员注册邮箱账号泄露1号店 2009年、2010年、2011年陆续被攻击90万用户数据泄露，7月份整月购物数据泄露6.3.4 黑客防范技术1.防火墙技术定义：防火墙，是一个分析器、限制器、分离器，能有效地控制内部网络与外部网络之间的访问及数据传输，从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。功能：1）网络安全的屏障2）强化网络安全策略3）对网络存取和访问进行监控审计4）防止内部信息的外泄6.3.4 黑客防范技术1.防火墙技术分类：1）包过滤型（Packet Filtering）防火墙2

19、）应用代理服务型防火墙创建防火墙的步骤：1）定制安全策略2）搭建安全体系结构3）制定规则次序4）制定规则集5）注意更换控制6）做好审计工作6.3.4 黑客防范技术2.入侵检测技术定义：入侵检测是指“通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。”功能：1）监视、分析用户及系统活动；2）检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞；3）识别反映已知进攻的活动模式，并向网关人员报警；4）异常行为模式的统计分析，发现入侵行为的规律；5）评估重要系统和数据文件的完整性；6）操作系统的审计跟踪管理，并识别用户违反安全策略的行为。6.3.4 黑客

20、防范技术2.入侵检测技术分类：1）基于主机的入侵检测系统2）基于网络的入侵检测系统入侵检测技术：1）特征检测2）异常检测6.3.4 黑客防范技术2.入侵检测技术入侵检测步骤：1）信息收集2）信号分析：模式匹配统计分析完整性分析6.3.4 黑客防范技术3.网络安全评估技术网络安全评估技术的内容 网络安全评估技术可分为基于应用和基于网络两种评估技术。网络安全评估技术工作原理 通过漏洞扫描来监测计算机的安全脆弱性技术；根据各种监测的信息，完成对计算机安全的评估，找出存在的各种安全隐患。网络安全评估技术的方法 主要方法是：基于规则的评估；基于模型的评估。在实践中，应该实行两种方法的有效结合。网络安全评

21、估技术的实施6.3.5 病毒防范技术案例6-9：警惕网购木马“抢钱”1.病毒预防技术 病毒预防技术就是通过自身常驻系统内存优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。病毒预防技术包括：磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。6.3.5 病毒防范技术2.病毒检测技术病毒检测技术是指通过一定的技术手段判定出特定计算机病毒的一种技术。两种类型：一种是根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化，在特征分类的基础上建立的病毒检测技术。另一种是不针对具体病毒程序的自身校验技术。6.3.5 病毒

22、防范技术3.病毒清除技术 病毒清除技术是病毒检测技术发展的必然结果，是计算机病毒传染程序的一种逆过程。6.3.6 虚拟专网技术虚拟专用网（Virtual Private Network，简称VPN）技术:将物理上分布在不同地点的网络通过互联网连接而形成逻辑上的虚拟“私”网，依靠ISP（Internet Server Provider，互联网服务提供商）或NSP（Network Server Provider，网络服务提供商）在安全隧道、用户认证和访问控制等相关技术的控制下达到与专用网络相类同的安全性能，从而实现基于Internet安全传输重要信息的效应。案例6-10：Boss VPN:为跨国电

23、子商务工作者提供安全加密专线服务 6.3.6 虚拟专网技术VPN的功能:1）加密数据。2）信息认证和身份认证。3）提供访问控制。4）钥匙管理。5）多协议支持。6.3.6 虚拟专网技术VPN的分类:按接入方式划分，可分为专线接入方式和拨号接入方式VPN对于电子商务企业的优势:1）建网成本低。2）网络之间可扩充性好且灵活性高。3）完全控制主动权。4）良好的安全性。41236.4 电子商务安全实践（略）6.4.1 网络安全技术实践6.4.2 Windows操作系统的安全设置实践6.4.3 CA认证实践6.4.4 电子签章实践6.4.1 网络安全技术实践1、扫描及其防范2、木马检测与删除3、病毒的防范

24、和清除4、防火墙的使用6.4.2 Windows操作系统的安全设置实践1、管理内置的用户帐号2、系统启动密码的设置3、禁止显示登陆用户名4、设定帐户安全选项5、打开审核策略6、禁止修改用户文件夹7、禁止建立空连接 8、关闭默认共享6.4.3 CA认证实践1、安装根证书2、申请、下载和安装数字证书3、查找和吊销数字证书4、Windows中对数字证书的管理5、数字证书的应用6.4.4 电子签章实践电子签章是电子签名的一种表现形式，包括数字证书和电子印章，存储于USB-Key中。1、电子签章2、手写签名3、签章验证4、参数设置思考与讨论题1、电子商务的安全的含义包括哪些方面?2、保障电子商务安全，主要有哪些安全技术？3、黑客入侵的手段主要有哪些？4、何谓认证机构CA？CA的主要作用是什么？5、试比较SSL协议和SET协议的优劣。提问时间演讲完毕，谢谢观看！