第8章电子商务安全管理及技术ppt课件.ppt

第8章电子商务安全管理及技术 一个全方位的电子商务安全管理体系应该从组织上 技术上 管理上以及法律法规等多方面入手 全面采取电子商务安全方法措施 这样才能极大地实现电子商务的安全 保证电子商务交易的顺利进行 引言 8 1电子商务安全管理的内容 1 电子商务安全 1 电子商务安全的内涵电子商务的安全是一个广泛而系统的概念 不仅包含着计算机系统结构 网络通信技术 电子商务应用环境 人员素质等方面的安全 而且还与电子商务立法息息相关 8 1 1安全管理的原理 电子商务安全从整体上可以分为两大部分 计算机网络安全和商务交易安全 计算机网络安全与电子商务交易安全实际上是密不可分的 两者相辅相成 缺一不可 2 电子商务的安全要素在电子商务交易过程中 交易各方面临的威胁可能有信息的截获和窃取 信息的篡改 信息的假冒 信息的抵赖 针对电子商务面临的以上种种威胁 必须采取相应的应对策略 从多方面的电子商务安全要素入手 保证电子商务运行的安全实现 可靠性 真实性 机密性 完整性 有效性 不可抵赖性 内部网的严密性 2 电子商务安全管理 1 电子商务安全管理的概念电子商务的安全管理 指通过一个完整的综合保障系统 规避电子商务交易过程的风险 信息传输风险 信用风险 管理风险 法律风险 网上支付风险等 以保证网上交易的顺利进行 电子商务的安全管理要求规避的风险主要有 电子商务网络系统自身的安全风险 电子商务交易信息传输过程中的风险 电子商务企业内部安全管理风险 电子商务安全法律风险 电子商务的信用风险 电子商务安全支付风险 2 电子商务安全与管理在如何正确看待电子商务的安全与管理时 需要注意几点 安全是一个系统的概念 不仅有技术 还有管理安全是相对的 不要追求一个永远也攻不破的安全技术 安全是有成本和代价的 如果不直接牵涉到支付等敏感问题 对安全的要求就低一些 反之 就高一些 安全是发展的 动态的 需要不断地检查 评估和调整相应的安全管理策略 一个全方位的电子商务安全管理体系应该从组织上 技术上 管理上以及法律法规等多方面入手 全面采取电子商务安全方法措施 1 建立第三方认证机构 组织行业协会制定安全管理标准 8 1 2安全管理体系 2 全面应用电子商务安全技术 构造多重防范措施 3 加强电子商务安全管理 制定安全管理标准 4 电子商务的安全影响国家和社会的稳定 应尽快建立健全电子商务法律法规 8 1 3电子商务信用的管理 1 电子商务信用管理的必要性面对电子商务的蓬勃发展趋势 电子商务交易的信用危机却悄然袭来 如 虚假交易 假冒行为 合同诈骗 网上拍卖哄抬价等行为屡屡发生 客观上要求规范电子商务交易市场秩序 电子商务的经销商们由于不受地域限制 他们往往一开始就在较大范围内进行经营 而其物流和配送系统并未跟上 这样销售商们常常不能按时交付商品或不能交付质价相符的商品 这些现象在很大程度上制约了我国电子商务的快速 健康发展 随着电子商务在全球范围内的兴起 如果不尽快改变这种传统的交易方式 将会失去更多的市场份额和竞争优势 因此 必须建立电子商务信用管理体系 对企业和相关商业网站的信用进行评级 验证客户真实身份 同时还应不断收集客户资料 评估和授予信用额度 保障债权 保障应收账款安全和及时回收 为电子商务的发展营造一个较为宽松的信用环境 推动电子商务市场的健康发展 它是企业信用管理体系的重心 2 电子商务信用管理体系电子商务中的信用问题是指电子商务交易过程中因缺乏一定的信任关系而导致电子商务的交易成本上升 使交易复杂化 混乱化 甚至无法正常进行 完整的信用管理体系应该包含信用信息采集系统 信用评价及查询系统 信用动态跟踪及反馈系统 信用保障系统等子系统 目前已有的信用管理模式 a以政府为主体的有 网络公证计划 模式b以企业为主体的有中介人模式c担保人模式d网站经营模式和委托授权模式电子商务信用保障机制是有效实现其信用管理所必需的 保障机制的存在意义在于加快建设良好的电子商务信用环境 同时推进整个社会信用体系的完善 3 我国电子商务信用管理现状及相关政策目前我国政府也开始重视社会信用体系的建立 陆续出台了相关的法律法规 文件 并鼓励行业协会出台有关的信用标准 推动整个社会经济的良好发展 2006 2020年国家信息化发展战略 关于加快电子商务发展的若干意见 强化服务促进中小企业信息化意见 电子商务行业协会 企业网站等也为电子商务行业信用体系的建设不断地努力 8 2电子商务安全管理标准 首先 制定和实施电子商务安全管理标准是电子商务安全交易的需要 其次 制定和实施电子商务安全管理标准是电子商务支付的需要 最后 制定和实施电子商务安全管理标准是社会稳定 经济繁荣发展的需要 8 2 1安全管理标准制定的必要性 电子商务安全管理标准的内容主要有技术标准 安全管理制度及其标准 安全管理法律法规1 技术方面的标准规范早期措施 部分告知 另行确认 在线服务现在推行 加密标准 电子商务安全协议 数字签名标准 数字证书标准 信息技术及网络安全标准美国国家安全局官方标准橘皮书我国相关技术标准 8 2 2安全管理标准的内容 对称密钥加密标准 DES非对称加密标准 主要有RSA DSA Diffie Hellman PGP等主要用于保证电子商务中数据的保密性 完整性 真实性和不可抵赖性 可以采用的协议有 安全超文本传输协议 STTP 安全套接层 SecureSocketsLayer SSL 安全交易技术协议 SecureTransactionTechnology STT 安全电子交易协议 SET 是一个经过授权中心 CA 数字签名的 包含证书申请者 公开密钥拥有者 个人信息及其公开密钥的文件 2 电子商务安全管理制度及其标准 1 电子商务安全管理制度是使用文字和图表的形式对各项安全要求所做的规定 主要包括 人员管理制度 保密制度 跟踪 审计 稽核制度 设备管理 用户管理 病毒防范 应急措施 即灾难恢复 2 电子商务信用管理标准行业标准信用标准 3 电子商务安全管理法律 法规 国家政策目前 已有50多个包括国际组织 国家和地区制定了电子商务法或相应的标准 我国也出台了许多有关互联网络安全 电子商务交易管理以及电子信息效力的法律法规和指导意见 如 中华人们共和国电子签名法 商务部关于促进电子商务规范发展的意见 中国国际经济贸易仲裁委员网上仲裁规则 安全协议是指由两个或两个以上的参与者 为完成某项特定的安全任务而采取的一系列步骤 电子商务中常用的安全协议有SSL协议 SET协议S HTTP协议 FirstVirtual协议 支票支付协议 现金支付协议 安全电子邮件协议 InternetEDI协议 以及STT协议等 8 2 3电子商务安全协议 1 SSL SecureSocketLayer 协议SSL 安全套接层 协议是一个用来保证安全传输文件的协议它主要是使用公开密钥体制和X 509数字证书技术保护信息传输的机密性和完整性 但它不保证信息的不可抵赖性主要适用于点对点之间的信息传输 1 SSL协议体系结构 重要概念 SSL连接 Connection SSL会话 Session 2 SSL协议提供的安全服务 SSL协议的运行过程第一步 客户端向服务器端发送它的SSL版本号 加密算法设置 随机产生的数据和其它服务器需要用于同客户端通信的数据 第二步 服务器向客户端发送它的SSL版本号 加密算法设置 随机产生的数据和其它客户端需要用于同服务器通信的数据 另外 服务器还要发送自己的证书 如果客户端正在请求需要认证的信息 那么服务器同时也要请求获得客户端的证书 第三步 客户端用服务器发送的信息验证服务器身份 如果认证不成功 用户就将得到一个警告 加密数据连接将无法建立 如果成功 则继续下一步 第四步 用户用握手过程至今产生的所有数据 创建连接所用的PremasterSecret 预加密主密钥 用服务器的公钥加密 从第二步中传送的服务器证书中得到 传送给服务器 第五步 如果服务器也请求客户端验证 那么客户端将对另外一份和上次用于建立加密连接使用的不同的数据进行签名 在这种情况下 客户端会把这次产生的加密数据和自己的证书同时传送给服务器用来产生PremasterSecret 第六步 如果服务器也请求客户端验证 服务器将试图验证客户端身份 如果客户端不能获得认证 连接将被中止 如果认证成功 服务器用自己的私钥加密PremasterSecret 然后执行一系列步骤产生MasterSecret 主密钥 第七步 服务器和客户端同时产生SessionKey 之后的所有数据传输都用对称密钥算法来交流数据 第八步 客户端向服务器发送信息说明以后的所有信息都将用SessionKey加密 至此 它会传送一个单独的信息标示客户端的握手部分也已经宣告结束第九步 服务器也向客户端发送信息说明以后的所有信息都将用SessionKey加密 至此 它会传送一个单独的信息标示服务器端的握手部分也已经宣告结束 第十步 SSL握手过程成功结束 一个SSL数据传送过程建立 客户端和服务器开始用SessionKey加密 解密双方交互的所有数据 4 SSL存在的问题存在被攻击修改的可能使用复杂的数学公式 高强度的计算会使服务器提顿在电子商务系统的应用中存在很多弊端 2 SET SecureElectronicTransaction 协议是一种基于银行卡而进行的为电子交易提供安全措施的规则 能广泛应用于因特网的安全电子支付协议采用公钥密码体制和X 509数字证书标准 1 SET协议的主要目标 保证电子商务参与者信息的相互隔离 保证信息在因特网上安全传输 防止数据被黑客或被内部人员窃取 解决多方认证问题 保证网上交易的实时性 使所有的支付过程都是在线的 提供一个开放式的标准 规范协议和消息格式 促使不同厂家开发的软件具有兼容性和互操作功能 并且可运行在不同的硬件和操作系统平台上 2 SET系统的构成 持卡人 Cardholder 商家 Merchant 发卡机构 Issuer 收单银行 Acquirer 支付网关 PaymentGateway 认证中心 CertificationAuthority 3 SET协议的运行过程 综合来看 SET协议规定运行过程分为以下3个阶段 购买请求阶段 支付确认阶段 收款阶段 4 SET与SSL协议的比较同SSL相比 SET有这样一些区别 首先 SET对商家提供了保护自己的手段 使商务免受欺诈的困扰 并且SET向消费者保证了商家的合法性 保证用户的信用卡号不会被窃取 而SSL相对不安全 其次 SET是一个多方的报文协议 而SSL只是简单地在两方之间建立一条安全连接 SSL是面向连接的 而SET允许各方之间报文的交换不是实时的 使用SET比SSL昂贵得多 最后 SET提供了比SSL更完整的用于电子商务的卡支付系统 它定义了各方的互操作接口 从而有效地降低了金融风险 8 3电子商务安全管理技术 现阶段常用的几种电子商务安全管理技术 1 加密技术明文密文加密解密密钥2 认证技术 1 身份认证 2 数字签名 3 数字时间戳与数字信封 8 3 1安全管理技术概述 身份认证就是在电子商务交易过程中 判明和确认贸易参与者的真实身份 主要有 基于密码的认证方式 基于生物特征的认证方式 基于一次性口令的认证方式 基于USBKey的认证方式 数字时间戳是用来证明消息的收发时间 数字信封是用加密技术来保证只有特定的收信人才能阅读通信的内容 数字证书是一个担保个人 计算机系统或者组织的身份和密钥所有权的电子文档 它是由一个权威机构发行的 人们可以在交往中用它来识别对方的身份 数字证书采用公钥体制数字证书的内容 4 数字证书 5 认证中心认证中心的功能主要是对数字证书进行管理 即负责证书的申请 审批 发放 归档 撤销 更新和废止等管理 电子商务CA认证体系包括两大部分 SETCA认证体系 PKICA认证体系 3 防火墙技术防火墙是加强Internet和Intranet之间安全防范的 由硬件设备和软件系统组成的 在外部网和内部网之间的界面上构成的保护层 防火墙作为网络间实施网间访问控制的一组组件的集合 应满足以下基本条件 第一 内部网络和外部网络之间的所有数据流必须经过防火墙 第二 只有符合安全策略的数据流才能通过防火墙第三 防火墙自身具有高可靠性 应对渗透 Penetration 免疫 防火墙基本的安全保护规则防火墙的功能防火墙的分类防火墙的体系结构防火墙的实现 第一 一切未被允许的就是禁止的第二 一切未被禁止的就是允许的 一般来说 防火墙的基本类型有三种 网络级防火墙 应用级防火墙和复合型防火墙 目前防火墙主要有三种常见的体系结构 双宿 多宿主机 Dual homed Multi homed 模式 被屏蔽主机 ScreenedHost 模式被屏蔽子网 ScreenedSubnet 模式 4 入侵检测安全技术 1 入侵检测技术的作用 2 入侵检测系统的主要类型基于主机的入侵检测系统基于网络的入侵检测系统 3 入侵检测技术发展趋势分布式入侵检测智能化入侵检测网络安全技术相结合 5 病毒防范技术病毒防范的具体措施应该包括如下内容 预防备份检测隔离慎重 电子商务中的安全机制主要是指三个方面 数字证书完成交易方的身份鉴别问题 数字签名确定交易的不可否认性 数字信封解决交易数据的保密问题电子商务安全体系结构由网络服务层 加密技术层 安全认证层 安全协议层 应用系统层5个层次组成 8 3 2电子商务安全机制 网络服务层构成电子商务安全系统结构的底层是网络服务层 网络服务层是各种电子商务应用系统的基础 提供信息传送的载体和用户接入手段及安全通信服务 保证网络最基本的运行安全 采用防火墙 加密 漏洞扫描 入侵检测 反病毒和安全审计技术等 用以保证计算机网络自身的安全 2 技术加密层电子商务安全性所依赖的基础是密码学 技术加密层主要采用对称加密体制 可采用数据加密标准DES 高级加密标准AES等 和公钥密码体制 可采用RSA算法 混合密码系统 3 安全认证层在开放的网络环境中开展电子商务活动 除了要认证买卖双方的实体身份和验证电子交易过程中的数据是否真实完整 还要保证交易双方的不可抵赖性 安全认证的关键技术包括报文摘要和数字签名 4 安全协议层电子商务的运行需要一套完整的安全协议 目前 比较成熟的协议有安全套接层协议SSL 安全电子交易协议SET Netbill和匿名原子交易协议等 5 应用系统层电子商务业务系统包括支付型系统和非支付型系统 电子商务业务系统中主要是支付型业务系统 而支付