电子商务安全管理及网络支付.ppt

电子商务安全管理及网络支付 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 电子商务安全管理及网络支付 一只狗一边敲打键盘一边对另一只狗说 在互联网上 没有人知道你是狗 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 电子商务的安全管理及网络支付 1 电子商务的安全控制要求与思路2 安全管理方法3 防止非法入侵4 网上支付 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 1 电子商务的安全控制要求与思路 安全管理思路 跳出单纯从技术角度寻求解决办法的圈子 从技术 管理 法律等方面综合考虑 技术方面的考虑 如防火墙技术 网络防毒 信息加密存储通信 身份认证 授权等制度方面的考虑 建立各种有关的合理制度 并加强严格监督 如建立交易的安全制度 交易安全的实时监控 提供实时改变安全策略的能力 对现有的安全系统漏洞的检查以及安全教育等 法律政策与法律保障 如尽快出台电子证据法 电子商务法 网上消费者权益法等 这方面 主要发挥立法部门和执法部门的作用 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 2 电子商务安全管理方法 技术方法安全管理制度法律制度 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 2 电子商务安全管理方法 技术方法 密码技术采用密码技术对信息加密 加密 对信息进行编码 使它成为不可理解的内容即 密文解密 加密的逆过程 将密文还原为原来的信息明文 原有信息 密文明文加密 对信息进行编码解密 对信息解码 HappyNewYear 每个字母用前一字母代替 例G代替H GzooxMdvXdzq 密文 明文 明文 HappyNewYear 每个字母用后一个字母代替 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 2 电子商务安全管理方法 技术方法 密码技术基于密钥的加密方法有两个元素 算法与密钥加密算法是将普通文本或信息与一串数字 密钥 相结合而产生密文的规则 是加密解密的一步一步过程密钥 这个规则需要一串数字 这个数字是密钥 例如 将字母a b c d w x y z的自然顺序保持不变 使之与E F G H Z A B C D分别对应 即相差4个字母 这条规则就是加密算法 其中的4为密钥 若原信息为Howareyou 按照这个加密算法和密钥 加密后的密文是LSAEVICSY TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 2 电子商务安全管理方法 技术方法 基于密钥加密方法的优点加密技术的关键是密钥 加密算法设计困难 而且算法一般公开 基于密钥的变化解决了这一难题 采用一种算法与许多人实现保密通信 发送方基于一个算法 使用不同的密钥向多个接收者发送密文 密文被破译 只需更换一个新的密钥 继续通信 密钥的位数决定加密系统的坚固性 密钥的位数越长 破译的时间越长 难度越大 例如 一个16位的密钥有2的16次方 65536 种不同的密钥 顺序猜测65536种密钥对于计算机是容易的 如果100位的密钥 计算机猜测密钥的时间需要好几个世纪 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 2 电子商务安全管理方法 技术方法 基于密钥加密方法的优点对称密钥加密非对称密钥加密 公钥 私钥 消息摘要 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 2 电子商务安全管理方法 技术方法 1 对称密钥加密接 收双方采用同一密钥加密和解密 缺点 密钥的保管复杂 通信方越多 冒用密钥的机率越高 可相互读取别人的信件 无保密性 无身份鉴别 无法验证消息的发送者和接收者的身份 明文 密文 明文 密钥加密 密钥解密 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 2 电子商务安全管理方法 客户认证技术 2 非对称密钥加密 加密的信息 密文 密文 Internet 收件者的公钥 收件者的私钥 加密 解密 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 2 电子商务安全管理方法 技术方法 对称密钥加密 保密 李明 刘立 刘立的私钥 密文 刘立的公钥 确保只有刘立能够解读该信息 李明的私钥 鉴别 刘立 李明 密文 李明的公钥 鉴别发件人 只有李明能够发送该信息 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 2 电子商务安全管理方法 技术方法 3 数字签名证明发件人的身份和文件的有效性 1 身份的验证 信息是由签名者发送2 信息的完整性 信息自签发后到收到为止未作任何修改实现方法 非对称加密 信息摘要数字签名数字签名是实现认证的重要工具 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 2 电子商务安全管理方法 技术方法 明文 Hash函数 私钥加密 传输 公钥解密 信息摘要 Hash函数 信息摘要 是 数字签名的过程 为避免明文发送 可用对称加密再加密明文 信息摘要 数字签名 完整信息 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 2 电子商务安全管理方法 技术方法 客户认证 ClientAuthentication CA 是基于用户的客户端主机IP地址的一种认证机制 它允许系统管理员为具有某一特定IP地址的授权用户定制访问权限 特点 CA与IP地址相关 对访问的协议不做直接的限制 服务器和客户端无需增加 修改任何软件 系统管理员可以决定对每个用户的授权 允许访问的服务器资源 应用程序 访问时间以及允许建立的会话次数等等 内容 身份认证信息认证通过认证机构认证 CA TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 2 电子商务安全管理方法 技术方法 身份认证就是在交易过程中判明和确认贸易双方的真实身份危险 某些非法用户采用窃取口令 修改或伪造等方式对网上交易系统进行攻击 阻止系统资源的合法管理和使用功能 可信性完整性不可抵赖性访问控制 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 2 电子商务安全管理方法 技术方法 身份认证方式 用户所知道的某个秘密信息用户所持有的某个秘密信息 硬件 即用户必须持有合法的随身携带的物理介质 例如智能卡中存储用户的个人化参数 以及访问系统资源时必须要有的智能卡 用户所具有的某些生物学特征 如指纹 声音 DNA图案 视网膜扫描等等 这种认证方案一般造价较高 多半适用于保密程度很高的场合 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 2 电子商务安全管理方法 技术方法 信息认证网络传输过程中信息的保密性问题要求 对敏感的文件进行加密 保证数据的完整性 防止截获人在文件中加入其他信息 对数据和信息的来源进行验证 以确保发信人的身份 实现 采用秘密密钥加密系统 SecretKeyEncryption 公开密钥加密系统 PublicKeyEncryption 或者两者相结合的方式 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 2 电子商务安全管理方法 技术方法 认证机构认证 CA 专门机构从事 类似于公证服务 买卖双方的身份确认 既可以保证网上交易的安全性 又可以保证高效性和专业性 一般可用大家信任一方负责 如银行基本原理顾客向CA申请证书时 可提交自己的驾驶执照 身份证或护照 经验证后 颁发证书 证书包含了顾客的名字和他的公钥 以此作为网上证明自己身份的依据 做交易时 应向对方提交一个由CA CertifiedAuthentication 签发的包含个人身份的证书 以使对方相信自己的身份 CA中心负责证书的发放 验收 并作为中介承担信用连带责任 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 2 电子商务安全管理方法 技术方法 认证中心 CA 的树形结构 证书 CA B 根CA A CA D CA E 如果对签发证书的CA不信任 可验证其身份 逐级进行 一直到公认的权威CA机构 就可确信证书的有效性例 C的证书是由名称为B的CA签发 而B的证书是由名称为A的CA签发 A是权威机构 通常称为根CA 确信C的证书是合法 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 电子商务安全管理方法 技术方法 CA认证体系结构 根CA 品牌CA如 VisaCA 地方CA如 Visa欧洲CA 持卡人CA 商家CA 支付网关CA 持卡人证书 商家证书 支付网关证书 Visa亚洲CA Visa美洲CA 根CA TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 2 电子商务安全管理方法 技术方法 支持安全交易的协议电子商务系统中与电子交易相关的信息有两种 交易信息和认证信息 为了保证信息传输的安全和信息的完整准确 在Internet网络安全技术基础上专门提出了相关的协议 主要有 SSL安全套接字层协议SET安全电子交易协议 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 2 电子商务安全管理方法 技术方法 SSL安全套接字层协议用于保证服务器与客户机之间信息的保密传输 防止未授权人员窃取 篡改和伪造信息 SSL协议位于传输层与应用层之间 运行于TCP协议之上的一个全新的协议层 用于保护应用层的协议如 HTTP FTP TELNET的通信 SET安全电子交易协议服务器认证 客户机认证SSL协议是对服务器与客户机之间的整个会话进行加密的协议 它由两个子协议构成 握手协议和记录协议SET协议是针对信用卡支付而保护交易信息和支付信息的安全协议 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 2 电子商务安全管理方法 技术方法 顾客 商家 支付网关 银行 认证机构 因特网 专用网 2 申请支付卡和数字认证书 1 购买信息 3 商家的认证书和结算银行的认证书 4 支付信息 支付卡 顾客认证书 和定购信息 5 支付信息 6 支付信息 7 请求对顾客认证 8 认证完成 10同意支付 SET 安全电子交易 系统的支付过程 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 2 电子商务安全管理方法 安全管理制度 人员管理制度保密制度跟踪 审计 稽核制度网络系统的日常维护制度病毒防范制度 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 2 电子商务安全管理方法 安全管理制度 人员管理制度对有关人员进行上岗培训 落实工作责任制 违反网上交易安全规定的行为应坚决进行打击并及时的处理安全运作基本原则 双人负责原则任期有限原则最小权限原则 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 2 电子商务安全管理方法 安全管理制度 保密安全管理制度划分信息的安全级别 确定安全防范重点绝密级 如公司战略计划 公司内部财务报表等 此部分网址 密码不在Internet上公开 只限于高层掌握机密级 如公司的日常管理情况 会议通知等 此部分网址 密码不在Internet上公开 只限中层以上使用 秘密级 如公司简介 新产品介绍及订货方式等 此部分网址 密码在Internet上公开 供消费者浏览 但必须有保护程序 防止 黑客 入侵 对密钥进行管理 大量的交易必然使用大量的密钥 密钥管理贯穿于密钥的产生 传递和销毁的全过程 密钥需要定期更换 否则可能使 黑客 通过积累密文增加破译机会 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 2 电子商务安全管理方法 安全管理制度 跟踪 审计 稽核制度跟踪制度要求企业建立网络交易系统日志机制 自动记录系统运行的全过程内容包括 操作日期 操作方式 登录次数 运行时间 交易内容等审计制度包括经常对系统日志的检查 审核 及时发现对系统故意入侵行为的记录和对系统安全功能违反的记录 监控和捕捉各种安全事件 保存 维护和管理系统日志 稽核制度是指工商管理 银行 税务人员利用计算机及网络系统 借助于稽核业务应用软件调阅 查询 审核 判断辖区内各电子商务参与单位业务经营活动的合理性 安全性 堵塞漏洞 保证网上交易安全 发出相应的警示或作出处理处罚的有关决定的一系列步骤及措施 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 2 电子商务安全管理方法 安全管理制度 网络系统的日常维护制度对于可管设备 通过安装网管软件进行系统故障诊断 显示及通告 网络流量与状态的监控 统计与分析 以及网络性能调优 负载平衡等对于不可管设备 通过手工操作来检查状态 做到定期检查与随机抽查相结合 以便及时准确地掌握网络的运行状况 一旦有故障发生能及时处理定期进行数据备份 数据备份与恢复主要是利用多种介质 如磁介质 纸介质 光碟 微缩载体等 对信息系统数据进行存储 备份和恢复 这种保护措施还包括对系统设备的备份 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 2 电子商务安全管理方法 安全管理制度 病毒防范制度应用于网络的防病毒软件有两种 一种是单机版防病毒产品 以事后消毒为原理的 当系统被病毒感染之后才能发挥这种软件的作用 适合于个人用户另一种是联机版防病毒产品 属于事前的防范 其原理是在网络端口设置一个病毒过滤器 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 2 电子商务安全管理方法 法律制度 我国保证电子商务安全的相关法律现行法规 1991年5月24日 国务院第八十三次常委会议通过了 计算机软件保护条例 1994年2月18日 国务院令第147号发布了 中华人民共和国计算机信息系统安全保护条例 1997年10月1日起我国实行的新刑法 第一次增加了计算机犯罪的罪名2004年8月28日 十届人大常委会第十一次会议通过了 中华人民共和国电子签名法 存在问题 立法主要集中在涉及信息技术领域的计算机立法和网络安全方面立法 对于涉及交易本身的商法和民法还缺乏相应具体规定努力方向 一方面尽快完善现有市场的法律体系建设 另一方面 要针对新市场 新问题提出新法案 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 3 防止非法入侵 网络 黑客 常用的攻击手段防范非法入侵的技术措施 TheCenterforInternationalCooperationinE BusinessChinaUniversityofGeosciences Wuhan 3 防止非法入侵 攻击手段 黑客 类型 骇客和窃客中断 攻击系统的可用性 破坏系统中的硬件 硬盘 线路 文件系统等 使系统不能正常工作 窃听 攻击系统的机密性 通过搭线和电磁泄漏等手段造成泄密 或对业务流量进行分析 获取有用情报 窜改 攻击系统的完整性 窜改系统中数据内容 修正消息次序 时间 延时和重放 伪造 攻击系统的真实性 将伪造的假消息注入系统 假冒合法人接入系统 重放截获的合法消息实现非法目的 否认消息的接收或发送等 轰炸 攻击系