电子商务的安全管理.ppt

电子商务沈阳理工大学经济管理学院,第一篇电子商务原理（介绍电子商务的基本概念以及重要性）第一章电子商务概述第二章电子商务系统概述第三章电子商务与企业竞争优势第四章电子商务环境第二篇电子商务系统（介绍电子商务系统如何实现网上交易）第五章电子商务系统的技术基础第六章电子商务网站的建设第七章电子支付系统第八章电子商务物流第九章电子商务的安全管理第三篇电子商务应用（介绍电子商务应用的基础）第十章网络商务信息处理第十一章网络市场营销策略第四篇电子商务实现（介绍目前流行的各种电子商务模式的经营与管理）第十二章B2C电子商务应用第十三章C2C电子商务应用第十四章B2B电子商务应用第十五章其他电子商务应用,第一篇电子商务原理（介绍电子商务的基本概念以及重要性）第一章电子商务概述第二章电子商务系统概述第二篇电子商务系统（介绍电子商务系统如何实现网上交易）第五章电子商务系统的技术基础第六章电子商务网站的建设第七章电子支付系统第八章电子商务物流第九章电子商务的安全管理第三篇电子商务应用（介绍电子商务应用的基础）第四篇电子商务实现（介绍目前流行的各种电子商务模式的经营与管理）,第九章电子商务的安全管理,第一节电子商务的安全问题及要求第二节电子商务安全技术第三节电子商务安全制度第四节防止非法入侵,企业利用电子商务面临的最重要问题就是安全问题，保证安全是进行网上交易的基础和保障。电子商务的安全问题是一个系统性问题，需要从技术上，管理上和法律上来综合建设和完善安全保障体系。,第一节电子商务的安全问题及要求,电子商务的安全问题（一）电子商务交易带来的安全威胁（二）电子商务的安全风险来源电子商务的安全要求（一）有效性（二）机密性（三）完整性（四）真实性和不可抵赖性的鉴别电子商务安全管理思路,第二节电子商务安全技术,交易方自身网络安全保障技术（一）用户账号管理和网络杀毒技术（二）防火墙技术（三）虚拟专用技术（四）入侵检测技术电子商务信息传输安全保障技术（一）加密技术（二）数字摘要技术身份和信息认证技术（一）身份认证（二）信息认证（三）通过认证机构认证电子商务安全支付技术（一）SSL安全协议（二）SET安全协议,第三节电子商务安全制度,安全管理制度（一）人员管理制度（二）保密制度（三）跟踪、审计、稽核制度（四）系统维护制度（五）病毒防范制度法律制度（一）美国保证电子商务安全的相关法律（二）我国保证电子商务安全的相关法律,第四节防止非法入侵,网络“黑客”常用的攻击手段（一）“黑客”的概念（二）“黑客”的攻击手段防范非法入侵的技术措施（一）网络安全检查设备（二）访问设备（三）防火墙（四）安全工具包/软件,第一节电子商务的安全问题及要求,电子商务的安全问题（一）电子商务交易带来的安全威胁（二）电子商务的安全风险来源电子商务的安全要求（一）有效性（二）机密性（三）完整性（四）真实性和不可抵赖性的鉴别电子商务安全管理思路,第一节电子商务的安全问题及要求,电子商务的安全问题（一）电子商务交易带来的安全威胁（二）电子商务的安全风险来源电子商务的安全要求（一）有效性（二）机密性（三）完整性（四）真实性和不可抵赖性的鉴别电子商务安全管理思路,第一节电子商务的安全问题及要求,电子商务的安全问题（一）电子商务交易带来的安全威胁1.销售者面临的威胁2.购买者面临的威胁（二）电子商务的安全风险来源1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,第一节电子商务的安全问题及要求,电子商务的安全问题（一）电子商务交易带来的安全威胁（二）电子商务的安全风险来源,第一节电子商务的安全问题及要求,电子商务的安全问题（一）电子商务交易带来的安全威胁在传统交易过程中，买卖双方是面对面的，很容易保证交易过程的安全性和建立起信任关系。但是在电子商务过程中，买卖双方通过网络来联系，建立交易双方的安全和信任关系相当困难。因此，在电子商务交易双方都面临着安全威胁。1.销售者面临的威胁2.购买者面临的威胁,第一节电子商务的安全问题及要求,电子商务的安全问题（一）电子商务交易带来的安全威胁1.销售者面临的威胁（1）中央系统安全性被破坏（2）竞争者检索商品递送状况（3）系统中存储的客户资料被竞争者窃取。（4）被他人假冒而损害企业的信誉。（5）消费者提交订单后不付款。（6）竞争对手提交虚假订单。（7）被他人试探，丢失商业机密。,入侵者假冒成合法用户来改变用户数据（如商品的送达地址）、解除用户订单或生产虚假订单。有时恶意入侵者在一个很短的时间内以大量的电子邮件配合，针对银行或电子商务网站进行攻击，声称这个网站“正在维护中，请从这里访问您的账户”。,恶意竞争者以他人的名义来订购商品，从而了解有关商品的递送状况和货物的库存情况。,不诚实的人建立于销售者服务器名字相同的另一个服务器来假冒销售者。,第一节电子商务的安全问题及要求,电子商务的安全问题（一）电子商务交易带来的安全威胁2.购买者面临的威胁（1）虚假订单（2）付款后不能收到商品（3）丢失机密（4）拒绝服务,假冒者可能会以客户的名义来订购商品，而客户却被要求付款或返还商品。,在要求客户付款后，销售商中的内部人员不将订单和钱转发给执行部门，因而使客户不能收到商品。,用户在佯装的网页上将密码的个人数据发送给冒充销售商的机构，这些信息业可能会在传递过程中被窃取。,恶意攻击者可能向销售商的服务器发送大量的虚假订单来穷竭它的资源，从而使合法用户不能得到正常的服务,第一节电子商务的安全问题及要求,电子商务的安全问题（一）电子商务交易带来的安全威胁（二）电子商务的安全风险来源,第一节电子商务的安全问题及要求,电子商务的安全问题（一）电子商务交易带来的安全威胁（二）电子商务的安全风险来源,第一节电子商务的安全问题及要求,电子商务的安全问题（二）电子商务的安全风险来源1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,第一节电子商务的安全问题及要求,电子商务的安全问题（二）电子商务的安全风险来源1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,第一节电子商务的安全问题及要求,电子商务的安全问题（二）电子商务的安全风险来源1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,1）设备故障2）电源故障：丢失数据、损坏硬件3）电磁泄漏导致信息失密4）搭线窃听5）自然灾害,第一节电子商务的安全问题及要求,电子商务的安全问题（二）电子商务的安全风险来源1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,网络软件的漏洞和“后门”是进行网络攻击的首选目标。应该及时安装补丁程序。,第一节电子商务的安全问题及要求,电子商务的安全问题（二）电子商务的安全风险来源1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,网络服务是通过各种各样的协议完成的，协议的安全性是网络安全的一个重要方面。如果网络通信协议存在安全上的缺陷，攻击者不必攻破密码体制即可获得所要的信息和服务。,第一节电子商务的安全问题及要求,电子商务的安全问题（二）电子商务的安全风险来源1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,黑客攻击无孔不无，目前已成为个人、企业和政府机构在互联网所面临的重大威胁。黑客会造成大量网站不能正常运营。,第一节电子商务的安全问题及要求,电子商务的安全问题（二）电子商务的安全风险来源1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,计算机病毒是编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并且能自我复制的一组计算机指令或程度代码。“浏览器配置被修改”、“密码被盗”。,第一节电子商务的安全问题及要求,电子商务的安全问题（二）电子商务的安全风险来源1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,如“黑客”为了获取重要的商业机密、资源和信息，常采用源IP地址欺骗攻击。,信息传输风险是指进行网上交易时，因传输的信息失真或者信息被非法地窃取、篡改和丢失，而导致网上交易的不必要损失。,第一节电子商务的安全问题及要求,电子商务的安全问题（二）电子商务的安全风险来源1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,攻击者未经授权进入网络交易系统，使用非法手段，删除、修改、重发某些重要信息，破坏数据的完整性，损害他人的经济利益，或干扰对方的正确决策，造成网上交易的信息传输风险。,第一节电子商务的安全问题及要求,电子商务的安全问题（二）电子商务的安全风险来源1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,交易信息的丢失，可能有三种情况：一是因为线路问题造成信息丢失；二是因为安全措施不当而丢失信息；三是在不同的操作平台上转换操作不当而丢失数据。,第一节电子商务的安全问题及要求,电子商务的安全问题（二）电子商务的安全风险来源1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,信息在网上传递时，要经过多个环节和渠道，许多因素可能会影响到数据的真实性和完整性。,第一节电子商务的安全问题及要求,电子商务的安全问题（二）电子商务的安全风险来源1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,用户以合法身份进入系统后，可能发布虚假的供求信息，或以过期的信息冒充现在的信息，以骗取对方的钱款或货物。,第一节电子商务的安全问题及要求,电子商务的安全问题（二）电子商务的安全风险来源1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,第一节电子商务的安全问题及要求,电子商务的安全问题（二）电子商务的安全风险来源1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,电子商务与传统交易的比较：1）信息传递和保存的介质：网上&纸上2）信息接触面：多&少3）篡改痕迹方面：不留&留有痕迹,第一节电子商务的安全问题及要求,电子商务的安全问题（二）电子商务的安全风险来源1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,使用信用卡进行恶意透支，或使用伪造信用卡骗取货物；拖延货款。,第一节电子商务的安全问题及要求,电子商务的安全问题（二）电子商务的安全风险来源1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,卖方不能按质、按量、按时寄送消费者购买的货物。,第一节电子商务的安全问题及要求,电子商务的安全问题（二）电子商务的安全风险来源1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,网上交易双方必须有良好的信用，而且有一套有效的信用机制降低信用风险。,第一节电子商务的安全问题及要求,电子商务的安全问题（二）电子商务的安全风险来源1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,在网络商品中介交易的过程中，客户进入交易中介中心，买卖双方签订合同，交易中心不仅要监督买方按时付款，还要监督卖方按时提供符合合同要求的货物。在这些环节上，存在大量管理问题，管理不善会造成巨大的潜在风险。为防止此类风险，需要有完善的制度设计，形成一套相互关联、相互制约的制度。,第一节电子商务的安全问题及要求,电子商务的安全问题（二）电子商务的安全风险来源1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,人员管理常常是网上交易安全管理上的最薄弱的环节；内部犯罪现象明显，工作人员职业道德修养不高，安全教育和管理松懈。一些竞争对手还利用企业招募新人的方式潜入该企业，或利用不正当的方式收买企业网络交易管理人员，窃取企业的用户识别码、密码、传递方式以及相关的机密文件资料。,第一节电子商务的安全问题及要求,电子商务的安全问题（二）电子商务的安全风险来源1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,有些操作系统中的某些用户是无口令的，如匿名FTP，利用远程登录（Telnet）命令登录的这些无口令用户，有可能恶意地把自己升级为超级用户。,第一节电子商务的安全问题及要求,电子商务的安全问题（二）电子商务的安全风险来源1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,在网上交易可能会承担由于法律滞后，即目前尚没有相关法律进行规范，因而无法保证合法交易的权益所造成的风险。,第一节电子商务的安全问题及要求,电子商务的安全问题（二）电子商务的安全风险来源1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,在网上交易可能承担由于法律的事后完善所带来的风险，即在原来法律条文没有明确规定下而进行的网上交易，在后来颁布新的法律条文下属于违法经营所造成的损失。如，证券交易的主体的规定。,第一节电子商务的安全问题及要求,电子商务的安全问题（二）电子商务的安全风险来源1.网络系统自身的安全风险2.信息传输风险3.信用风险4.管理风险5.法律风险,第一节电子商务的安全问题及要求,电子商务的安全问题（一）电子商务交易带来的安全威胁（二）电子商务的安全风险来源电子商务的安全要求（一）有效性（二）机密性（三）完整性（四）真实性和不可抵赖性的鉴别电子商务安全管理思路,第一节电子商务的安全问题及要求,电子商务的安全要求（一）有效性（二）机密性（三）完整性（四）真实性和不可抵赖性的鉴别,第一节电子商务的安全问题及要求,电子商务的安全要求电子商务发展的核心和关键问题是交易的安全性。由于Internet本身的开放性，使网上交易面临了种种危险，由此提出了相应的安全控制要求。（一）有效性（二）机密性（三）完整性（四）真实性和不可抵赖性的鉴别,第一节电子商务的安全问题及要求,电子商务的安全要求,电子商务以电子形式取代了纸张，要对网络故障、操作失误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时间、确定的地点是有效的。,第一节电子商务的安全问题及要求,电子商务的安全要求,数据篡改,第一节电子商务的安全问题及要求,电子商务的安全要求,作为贸易的一种手段，电子商务的信息直接代表着个人、企业或国家的商业机密。电子商务是建立在一个较为开放的网络环境上的，维护商业机密是电子商务全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。,第一节电子商务的安全问题及要求,电子商务的安全要求,第一节电子商务的安全问题及要求,电子商务的安全要求,电子商务简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息的完整、统一的问题。贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是电子商务应用的基础。因此，要预防对信息的随意生产、修改和删除，同时要防止数据传送过程中信息的丢失和重复。,第一节电子商务的安全问题及要求,电子商务的安全要求,要在交易信息的传输过程中为参与交易的个人、企业或国家甚至是交易信息本身提供可靠的标识，如电子签名、时间戳等。,第一节电子商务的安全问题及要求,电子商务的安全要求,第一节电子商务的安全问题及要求,电子商务的安全问题（一）电子商务交易带来的安全威胁（二）电子商务的安全风险来源电子商务的安全要求（一）有效性（二）机密性（三）完整性（四）真实性和不可抵赖性的鉴别电子商务安全管理思路,第一节电子商务的安全问题及要求,电子商务安全管理思路网上交易安全管理，应采用综合防范的思路，从技术、管理、法律等方面建立一个完整的网络交易安全体系。（1）技术方面：防火墙技术、网络防毒等。（2）加强监管：建立各种有关的合理制度，并严格监督。（3）社会的法律政策与法律保障：尽快出台和完善相关的法律制度，严惩破坏合法网上交易权益的行为。,电子商务的安全管理，就是通过一个完整的综合保障体系，规避各种风险，以保证网上交易的顺利进行。无论从保护合法市场交易利益，还是市场本身的发展来看，确保网上交易安全是电子虚拟市场要解决的首先问题和基本问题，需要各方配合加强对网上交易安全性的监管。,第一节电子商务的安全问题及要求,电子商务的安全问题（一）电子商务交易带来的安全威胁（二）电子商务的安全风险来源电子商务的安全要求（一）有效性（二）机密性（三）完整性（四）真实性和不可抵赖性的鉴别电子商务安全管理思路,第二节电子商务安全技术,交易方自身网络安全保障技术（一）用户账号管理和网络杀毒技术（二）防火墙技术（三）虚拟专用技术（四）入侵检测技术电子商务信息传输安全保障技术（一）加密技术（二）数字摘要技术身份和信息认证技术（一）身份认证（二）信息认证（三）通过认证机构认证电子商务安全支付技术（一）SSL安全协议（二）SET安全协议,第二节电子商务安全技术,交易方自身网络安全保障技术（一）用户账号管理和网络杀毒技术（二）防火墙技术（三）虚拟专用技术（四）入侵检测技术,第二节电子商务安全技术,交易方自身网络安全保障技术,获取合法的账号和密码是黑客攻击网络系统最常使用的方法。因此，用户账号的安全管理措施包括：（1）技术层面的安全支持，即针对用户账号完整性的技术，包括用户分组管理（对不同的成员赋予不同的权限）、单一登录密码制（用户在企业计算机网络任何地方都使用同一个用户名和密码）、用户认证（结合多种手段如电话号码、IP地址、用户使用的时间等精确地确认用户）。（2）在企业信息管理的政策方面有相应的措施，即划分不同的用户级别，制定密码政策（如密码的长度、密码定期更换、密码的组成等），对职员的流动采取必要的措施，以及对职员进行计算机安全的教育。两者相互作用才能在一定程度上真正有效地保证用户账号的保密性。采取多方面的防治措施预防病毒、检查病毒、消除病毒。,第二节电子商务安全技术,交易方自身网络安全保障技术,防火墙是由软件和硬件设备组合而成的，是处于企业内部网和外部网之间，用户加强内外之间安全防范的一个或一组系统。在Internet上利用防火墙来完成进出企业内部网和外部网检查的功能，迫使所有的连接都必须通过它来完成，通过对数据来源或目的地、数据的格式或内容进行审查来决定是否允许该数据进出，也可以以代理人的形式避免内外网之间直接的联系，即限制非法用户进入企业内部网络，过滤掉不符合规定的数据或限制服务类型，对网络威胁状况进行分析，从而达到保护内部网络安全的目的。,第二节电子商务安全技术,交易方自身网络安全保障技术,第二节电子商务安全技术,交易方自身网络安全保障技术,虚拟专用网（VPN），这是指利用隧道技术把两个或多个专用网络通过公共网（通常指Internet）安全地连接到一起，组成虚拟的统一的专用网的技术。虚拟专用网系统使分布在不同地方的专用网络在不可信任的公共网络上安全地通信。总体来看，虚拟专用网主要提供如下功能：1）数据保密：传输的信息利用加密算法处理过，窃听者无法解密；2）信息验证：保证信息在传输中的完整性与发送方的真实性；3）身份认证：只有容许的用户才能够加入虚拟专用网；4）访问控制：不同的用户有不同的访问权限。,第二节电子商务安全技术,交易方自身网络安全保障技术,入侵是指任何试图破坏资源完整性、机密性和可用性的行为，也包括合法用户对于系统资源的误用。入侵检测是指对面向计算资源和网络资源的恶意行为的识别和响应。它是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行检测，从而提供对内部攻击、外部攻击和误操作的实时保护。,实时监控非法入侵的过程示意图,报警日志记录,攻击检测,记录入侵过程,重新配置防火墙路由器,内部入侵,入侵检测,记录,终止入侵,第二节电子商务安全技术,交易方自身网络安全保障技术（一）用户账号管理和网络杀毒技术（二）防火墙技术（三）虚拟专用技术（四）入侵检测技术电子商务信息传输安全保障技术（一）加密技术（二）数字摘要技术身份和信息认证技术（一）身份认证（二）信息认证（三）通过认证机构认证电子商务安全支付技术（一）SSL安全协议（二）SET安全协议,第二节电子商务安全技术,电子商务信息传输安全保障技术（一）加密技术（二）数字摘要技术,第二节电子商务安全技术,电子商务信息传输安全保障技术,加密技术可以防止合法接收者之外的人获取信息系统中的机密信息后知悉其中的内容。数据加密技术是对信息进行重新编码，从而达到隐藏信息内容，使非法用户无法获得信息真实内容的一种技术手段。网络中的数据加密通过对网络中传输的信息进行加密，实现网络中信息传输的保密性，防止信息泄露。即使非法接收者获得了被加密的内容，也由于不能对其进行解密而无法知悉其中的内容。,第二节电子商务安全技术,电子商务信息传输安全保障技术,FDHVDUFLSKHU,FDHVDUFLSKHU,明文密文,CIPHER145326attackbeginsatfour,置换密码(transpositioncipher)则是按照某一规则重新排列消息中的比特或字符顺序。,密钥顺序明文,根据英文字母在26个字母中的先后顺序，我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有A和B，因此C为第1。同理，E为第2，H为第3,，R为第6。于是得出密钥字母的相对先后顺序为145326。,第二节电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,置换密码(transpositioncipher)则是按照某一规则重新排列消息中的比特或字符顺序。,密钥顺序明文,根据英文字母在26个字母中的先后顺序，我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有A和B，因此C为第1。同理，E为第2，H为第3,，R为第6。于是得出密钥字母的相对先后顺序为145326。,第二节电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,置换密码(transpositioncipher)则是按照某一规则重新排列消息中的比特或字符顺序。,密钥顺序明文,根据英文字母在26个字母中的先后顺序，我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有A和B，因此C为第1。同理，E为第2，H为第3,，R为第6。于是得出密钥字母的相对先后顺序为145326。,第二节电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,置换密码(transpositioncipher)则是按照某一规则重新排列消息中的比特或字符顺序。,密钥顺序明文,根据英文字母在26个字母中的先后顺序，我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有A和B，因此C为第1。同理，E为第2，H为第3,，R为第6。于是得出密钥字母的相对先后顺序为145326。,第二节电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,置换密码(transpositioncipher)则是按照某一规则重新排列消息中的比特或字符顺序。,密钥顺序明文,根据英文字母在26个字母中的先后顺序，我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有A和B，因此C为第1。同理，E为第2，H为第3,，R为第6。于是得出密钥字母的相对先后顺序为145326。,第二节电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,置换密码(transpositioncipher)则是按照某一规则重新排列消息中的比特或字符顺序。,密钥顺序明文,根据英文字母在26个字母中的先后顺序，我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有A和B，因此C为第1。同理，E为第2，H为第3,，R为第6。于是得出密钥字母的相对先后顺序为145326。,第二节电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,先读顺序为1的明文列，即aba,第二节电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,再读顺序为2的明文列，即cnu,第二节电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,再读顺序为3的明文列，即aio,第二节电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,再读顺序为4的明文列，即tet,第二节电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,再读顺序为5的明文列，即tgf,第二节电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,最后读顺序为6的明文列，即ksr,因此密文就是：abacnuaiotettgfksr,第二节电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,先写下第1列密文aba,收到的密文：abacnuaiotettgfksr,第二节电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,再写下第2列密文cnu,收到的密文：abacnuaiotettgfksr,第二节电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,再写下第3列密文aio,收到的密文：abacnuaiotettgfksr,第二节电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,再写下第4列密文tet,收到的密文：abacnuaiotettgfksr,第二节电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,再写下第5列密文tgf,收到的密文：abacnuaiotettgfksr,第二节电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,最后写下第6列密文ksr,收到的密文：abacnuaiotettgfksr,第二节电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,最后按行读出明文,收到的密文：abacnuaiotettgfksr,第二节电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,最后按行读出明文,收到的密文：abacnuaiotettgfksr,第二节电子商务安全技术,电子商务信息传输安全保障技术,CIPHER145326attackbeginsatfour,密钥顺序明文,最后按行读出明文,收到的密文：abacnuaiotettgfksr,得出明文：attackbeginsatfour,第二节电子商务安全技术,电子商务信息传输安全保障技术,加密技术可以防止合法接收者之外的人获取信息系统中的机密信息后知悉其中的内容。数据加密技术是对信息进行重新编码，从而达到隐藏信息内容，使非法用户无法获得信息真实内容的一种技术手段。网络中的数据加密通过对网络中传输的信息进行加密，实现网络中信息传输的保密性，防止信息泄露。即使非法接收者获得了被加密的内容，也由于不能对其进行解密而无法知悉其中的内容。,第二节电子商务安全技术,电子商务信息传输安全保障技术,加密技术只能解决信息的保密性问题，防止信息在传输过程中被泄露，但不能防止加密信息在传输过程被增、删、改等操作后再发给信息的接收方，因此对于信息的完整性无法保障。数字摘要技术可以解决这个问题。所谓数字摘要，是指从原文中通过Hash算法而得到的一个有固定长度（通常为128位）的散列值，即信息鉴别码（MAC）。不同的原文所产生的数字摘要一定不同，相同的原文产生的数字摘要一定相同。信息在传输前得到数字摘要，两者一起发送给接收者；接收者对原文得出摘要，将两个摘要进行对比，若相同，则表明原文在传输中没有被修改。,第二节电子商务安全技术,交易方自身网络安全保障技术（一）用户账号管理和网络杀毒技术（二）防火墙技术（三）虚拟专用技术（四）入侵检测技术电子商务信息传输安全保障技术（一）加密技术（二）数字摘要技术身份和信息认证技术（一）身份认证（二）信息认证（三）通过认证机构认证电子商务安全支付技术（一）SSL安全协议（二）SET安全协议,第二节电子商务安全技术,身份和信息认证技术（一）身份认证（二）信息认证（三）通过认证机构认证,客户认证技术是保证网上交易安全的一项重要技术。从认证途径来看，客户认证主要包括：身份认证，信息认证和认证机构认证。身份认证和认证机构认证常常用于鉴别用户身份，而信息认证常用于保证通信双方的不可抵赖性和信息的完整性。,第二节电子商务安全技术,身份和信息认证技术,身份认证就是在交易过程中判明和确认贸易双方的真实身份。某些非法用户常采用窃取口令、修改或伪造、阻断服务等等方式对网上交易系统进行攻击，阻止系统资源的合法管理和使用。因此，要求认证机构或信息服务商应当提供如下认证的功能：,第二节电子商务安全技术,身份和信息认证技术,因此，要求认证机构或信息服务商应当提供如下认证的功能：1）可信性：信息来源可信，接收者能确认发送者；2）完整性：信息在传输过程中没有被修改、替换等；3）不可抵赖性：发送者和接受者不能否认各自行为；4）访问控制：拒绝非法用户访问系统资源，合法用户只能访问系统授权和指定的资源。,第二节电子商务安全技术,身份和信息认证技术,一般来说，用户身份认证可通过三种基本方式或其组合方式来实现：1）用户所知道的某个秘密信息，如口令；2）用户所持有的某个秘密信息（硬件），即用户必须持有合法的随身携带的物理介质，例如智能卡中存储用户的个人化参数，以及访问系统资源时必须有的智能卡。3）用户所具有的某些生物学特征，如指纹。成本高，多用于保密程度很高的场合。,第二节电子商务安全技术,身份和信息认证技术,一般来说，用户身份认证可通过三种基本方式或其组合方式来实现：1）用户所知道的某个秘密信息，如口令；2）用户所持有的某个秘密信息（硬件），即用户必须持有合法的随身携带的物理介质，例如智能卡中存储用户的个人化参数，以及访问系统资源时必须有的智能卡。3）用户所具有的某些生物学特征，如指纹。成本高，多用于保密程度很高的场合。,第二节电子商务安全技术,身份和信息认证技术,一般来说，用户身份认证可通过三种基本方式或其组合方式来实现：1）用户所知道的某个秘密信息，如口令；2）用户所持有的某个秘密信息（硬件），即用户必须持有合法的随身携带的物理介质，例如智能卡中存储用户的个人化参数，以及访问系统资源时必须有的智能卡。3）用户所具有的某些生物学特征，如指纹。成本高，多用于保密程度很高的场合。,第二节电子商务安全技术,身份和信息认证技术,商务活动通过公开网络进行数据传输，对传输过程中信息的保密性、完整性和不可抵赖性提出了更高的要求。1）对敏感的文件进行加密2）保证数据的完整性3）对数据和信息的来源进行验证措施：通过加密技术实现。加密后，即使信息被截获也无法得到原始信息；如果非法加入或删除信息，则信息无法还原。还可以采用数字签名技术来确认信息来源。,第二节电子商务安全技术,身份和信息认证技术,通过认证机构提供认证服务的基本原理和流程是：在做交易时，应向对方提交一个由CA签发的包含个人身份的证书，以使对方相信自己的身份。顾客向CA申请证书时，可提交自己的驾驶执照、身份证或护照，经验证后，颁发证书。证书包含了顾客的名字和他的公钥，以此作为网上证明自己的身份的依据。,第二节电子商务安全技术,交易方自身网络安全保障技术（一）用户账号管理和网络杀毒技术（二）防火墙技术（三）虚拟专用技术（四）入侵检测技术电子商务信息传输安全保障技术（一）加密技术（二）数字摘要技术身份和信息认证技术（一）身份认证（二）信息认证（三）通过认证机构认证电子商务安全支付技术（一）SSL安全协议（二）SET安全协议,第二节电子商务安全技术,电子商务安全支付技术（一）SSL安全协议（二）SET安全协议,如何通过电子支付安全地完成整个交易过程？目前虽然还没有形成公认成熟的解决办法，但人们还是不断通过各种途径进行大量的探索，SSL安全协议和SET安全协议已广泛应用于电子支付。,第二节电子商务安全技术,电子商务安全支付技术,SSL安全协议（安全套接层）是一种安全通信协议，它能够对信用卡信息和个人信息提供较强的保护。此协议假定商家是可信的，协议运行的基点是商家对客户信息保密的承诺。SSL安全协议有利于商家而不利于客户。整个过程缺少客户对商家的认证。SSL安全协议逐渐被SET协议所取代。,第二节电子商务安全技术,电子商务安全支付技术,SET安全协议（安全电子交易）是由信息卡公司推出的规范。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证。SET安全协议能够保证信息在网上安全传输；保证电子商务参与者信息的相互隔离（商家看不到信用卡信息）；解决多方认证问题；保证交易的实时性；可以运行在不同的硬件和操作系统平台上。,第二节电子商务安全技术,交易方自身网络安全保障技术（一）用户账号管理和网络杀毒技术（二）防火墙技术（三）虚拟专用技术（四）入侵检测技术电子商务信息传输安全保障技术（一）加密技术（二）数字摘要技术身份和信息认证技术（一）身份认证（二）信息认证（三）通过认证机构认证电子商务安全支付技术（一）SSL安全协议（二）SET安全协议,第三节电子商务安全制度,安全管理制度（一）人员管理制度（二）保密制度（三）跟踪、审计、稽核制度（四）系统维护制度（五）病毒防范制度法律制度（一）美国保证电子商务安全的相关法律（二）我国保证电子商务安全的相关法律,第三节电子商务安全制度,安全管理制度（一）人员管理制度（二）保密制度（三）跟踪、审计、稽核制度（四）系统维护制度（五）病毒防范制度法律制度（一）美国保证电子商务安全的相关法律（二）我国保证电子商务安全的相关法律,第三节电子商务安全制度,安全管理制度（一）人员管理制度（二）保密制度（三）跟踪、审计、稽核制度（四）系统维护制度（五）病毒防范制度,网上交易系统安全管理制度是用文字形式对各项安全要求的规定，它是保证企业在网上经营管理取得成功的基础。是否健全及实施安全管理制度，关系到网上交易是否安全地、顺利地进行。安全制度包括：,第三节电子商务安全制度,安全管理制度,首先，对有关人员进行上岗培训。其次，落实工作责任制，对违反网上交易安全规定的行为应坚决进行打击，对有关人员要进行及时的处理。第三，贯彻网上交易安全运作基本原则：1）双人负责原则：重要业务不安排一个人单独管理，实行两人或多人相互制约的机制。2）任期有限原则：任何人不得长期担任与交易安全有关的职务。3）最小权限原则：明确规定只有网络管理员才可以进行物流访问，只有网络管理员才可进行软件安装工作。,第三节电子商务安全制度,安全管理制度,保密制度需要很好地划分信息的安全级别，确定安全防范重点，并提出相应的保密措施。安全级别一般可分为三级：1）绝密级：如企业战略计划，此部分网址、密码不在Internet上公开，只限于公司高层人员掌握。2）机密级：如会议通知，此部分网址、密码不在Internet上公开，只限于公司中层以上人员使用。3）秘密级：如订货方式，此部分网址、密码在Internet上公开，供消费者浏览，但必须有保护程序，防止黑客入侵。,第三节电子商务安全制度,安全管理制度,跟踪制度要求企业建立网络交易系统的日志机制，用来记录系统运行的全过程。审计制度包括经常对系统日志的检查、审核，及时发现对系统故意入侵行为的记录和对系统安全功能违反的记录，监控和捕捉各种安全事件，保存、维护和管理系统日志。稽核制度是指工商管理、银行、税务人员利用计算机及网络系统，借助于稽核业务应用软件调阅、查询、审核、判断辖区内各电子商务参与单位业务经营活动的合理性、安全性，堵塞漏洞，保证网上交易安全，发出相应的警示或作出处理处罚的有关决定的一些列步骤和措施。,第三节电子商务安全制度,安全管理制度,对网络系统的日常维护可从几个方面进行：1）对于可管设备，通过安装网管软件进行系统故障诊断、显示及通告，网络流量与状态的监控、统计与分析，以及网络性能调优、负载平衡等。2）对于不可管设备应通过手工操作来检查状态，做到定期检查与随机抽查相结合，以便及时准确地掌握网络的运行状况，一旦有故障发生能及时处理。3）定期进行数据备份,第三节电子商务安全制度,安全管理制度,目前主要通过采用防毒软件进行防毒。应用于网络的防毒软件有两种：（1）单机版防病毒产品：是以事后消毒为原理的，当系统被病毒感染后才发挥作用，适合于个人用户。（2）联机版防病毒产品：属于事前的防范，其原理是在网络端口设置一个病毒过滤器。即事前在系统上安装一个防病毒的网络软件，它能够在病毒入侵到系统之前，将其挡在系统外边。许多病毒都有一个潜伏期，有必要实行病毒定期清理制度清除处于前预期的病毒，防止病毒突然爆发，使计算机始终处于良好的工作状态，保证网上交易的正常进行。,第三节电子商务安全制度,安全管理制度（一）人员管理制度（二）保密制度（三）跟踪、审计、稽核制度（四）系统维护制度（五）病毒防范制度法律制度（一）美国保证电子商务安全的相关法律（二）我国保证电子商务安全的相关法律,第三节电子商务安全制度,法律制度（一）美国保证电子商务安全的相关法律（二）我国保证电子商务安全的相关法律,第三节电子商务安全制度,法律制度（一）美国保证电子商务安全的相关法律1.与网上交易相关法律调整的基本原则2.电子支付的法律制度3.信息安全的法律制度4.消费者权益保护的法律制度,第三节电子商务安全制度,法律制度（一）美国保证电子商务安全的相关法律1.与网上交易相关法律调整的基本原则2.电子支付的法律制度3.信息安全的法律制度4.消费者权益保护的法律制度,在美国各州实行的统一商业法规（UCC），通过下面一些方式来克服传统法规的对网上交易推行带来的执行障碍：（1）确定和认可通过电子手段形成的合同的规则和范式，规定约束电子合同履行的标准，定义构成有效电子书写文件和原始文件的条件，鼓励政府各部门、厂商认可和接受正式的电子合同、公证文件等。（2）规定为法律和商业目的而做出的电子签名的可接受程度，鼓励国内和国际规则的协调统一，支持电子签名和其他身份认证手续的可接受性。（3）建立电子注册处。,在美国各州实行的统一商业法规（UCC），通过下面一些方式来克服传统法规的对网上交易推行带来的执行障碍：（4）推动建立其他形式的、适当的、高效率的、有效的国际商业交易的纠纷调解机制，支持在法庭上和仲裁过程中使用计算机证据。（5）建立于软件和电子数据的许可证交易、使用和权力转让有关的标准和任选的合同履行规则。（6）在国际上，美国政府支持所有国家采用联合国国际贸易法委员会提出的示范法作为电子商务使用的国际统一商业法规。,第三节电子商务安全制度,法律制度（一）美国保证电子商务安全的相关法律2.电子支付的法律制度3.信息安全的法律制度4.消费者权益保护的法律制度1.与网上交易相关法律调整的基本原则,1978年制定的1978年电子资金划拨法，其主要内容是保护银行客户的合法权益，使用于客户是自然人的小额电子资金划拨。1989年的统一商业法规，对大额电子支付系统进行了调整。该法第一次对电子支付下了定义：电子支付是支付命令发送方把存放于商业银行的资金，通过一条线路划入受益方开户银行，以支付给受益方的一系列转移过程。该法详细规定了电子支付命令的签发与接受，接受银行对发送发支付命令的执行，电子支付的当事人的权利、义务以及责任的承担等。,第三节电子商务安全制度,法律制度（一）美国保证电子商务安全的相关法律3.信息安全的法律制度4.消费者权益保护的法律制度1.与网上交易相关法律调整的基本原则2.电子支付的法律制度,信息系统安全性指南涵盖了九项安全性原则，这些原则系统地阐述了高层次的需求，诸如明确安全责任的需求、知晓安全措施和手续的需求以及尊重其他用户的权利和合法利益的需求等。美国联邦政府为了保证网上交易信息的安全，制定与实施了相关的法规。,第三节电子商务安全制度,法律制度（一）美国保证电子商务安全的相关法律4.消费者权益保护的法律制度1.与网上交易相关法律调整的基本原则2.电子支付的法律制度3.信息安全的法律制度,消费者在网上购物，个人隐私信息可能被商家掌握和非法使用；因无法亲自体验和挑选产品，存在退货问题。美国颁布法规禁止商家利用消费者的个人隐私信息进行商业活动，侵犯消费者的权益。欧盟规定消费者在欧盟内部跨国购买商品，起诉商家时可以用消费者本国相关法律起诉，而不用到商家所在国家进行起诉，以保护消费者的权益。,第三节电子商务安全制度,法律制度（一）美国保证电子商务安全的相关法律（二）我国保证电子商务安全的相关法律,第三节电子商务安全制度,法律制度（二）我国保证电子商务安全的相关法律我国电子商务的发展仍处于初级阶段，有关立法不够健全。我国计算机立法工作开始于20世纪80年代。1997年10月1日，我国的新刑法，增加计算机犯罪的罪名。1999年3月，我国颁布的合同法将传统的书面合同形式扩大到数据电文形式，即电子合同。2004年8月通过中华人民共和国电子签名法。,第三节电子商务安全制度,法律制度案例1：电子合同某实业有限公司已经注册了电子信箱；某木制品加工厂也注册了电子信箱。1999年3月5日上午，某实业有限公司给某木制品加工厂发出要求购买其厂生产的办公家具的电子邮件一份，电子邮件中明确了如下内容：(1)需要办公桌8张，椅子16张；(2)要求在3月12日之前将货送至某实业有限公司；(3)总价格不高于15000元。,第三节电子商务安全制度,法律制度案例1：电子合同电子邮件还对办公桌椅的尺寸、式样、颜色作了说明，并附了样图。当天下午3时35分18秒，某木制品加工厂也以电子邮件回复某实业有限公司，对某实业有限公司的要求全部认可。为对某实业有限公司负责起见，3月6日某木制品加工厂还专门派人到某实业有限公司作了确认，但双方都没有签署任何书面文件。,第三节电子商务安全制度,法律制度案例1：电子合同1999年3月11日，某木制品加工厂将上述桌椅送至某实业有限公司。由于某实业有限公司已于10日以11000元的价格购买了另一家工厂生产的办公桌椅，就以双方没有签署书面合同