第一章 电子商务安全概述.ppt

电子商务安全技术与实训 主讲 Email 电话 办公室 本课程的教学目的 本课程是高职电子商务专业的一门必修课程 其主要任务是要求学生对电子商务安全的概念有较全面的了解 掌握电子商务安全保密的基础理论和实用技术 并能在实践中起指导作用 课程知识目标 了解电子商务安全隐患 了解电子商务流程中的各方面的不安全性 了解一些黑客常用的攻击方法 学会使用一些防范工具 了解防火墙的使用 掌握数字签名及CA认证技术掌握加密与密钥体系 实现数据完整性 数字签名 数字认证 安全协议与标准 掌握对访问的认证和控制 S MIME SSL SET和数字认证的使用 课程能力目标 能对一个电子商务网站的防火墙进行设置 能申请并使用数字证书 能分析一个电子商务网站的商务流程安全隐患 培养一定的电子商务网站的安全管理能力 掌握一定的信息加密技术及其应用能力 课程考核方案 建议 考核方式 过程性测试 期末闭卷考试过程性测试占60 过程性测试含考勤 作业和实验期末闭卷考试40 期末试卷题型及比例 综合题 50 简答题 30 选择题 20 为什么要学这门课程 助理电子商务师必备技能 了解电子商务安全基本知识和隐患了解电子商务的不安全性掌握建立安全的电子商务流程掌握加解密 数字签名 认证掌握电子商务的安全协议SSL SET 助理电子商务师国家职业标准 第1章电子商务安全基础 主编 彭波 第1章电子商务安全基础 知识教学目标 了解电子商务安全的六项中心内容 了解常见的电子商务安全问题 熟悉电子商务安全的需求 熟悉常见的电子商务安全技术 了解电子商务安全体系技能培养目标 能够搜集电子商务安全方面的资料 能够跟踪电子商务技术的发展 第1章电子商务安全基础 1 1电子商务安全概述随着电子商务在全球范围内的迅猛发展 电子商务中的网络安全问题日渐突出 CNNIC发布的 第24次中国互联网络发展报告 指出 如何保证电子商务中的网络安全问题 交易安全问题是促进电子商务稳定快速发展的关键 知识窗 中国互联网络信息中心 CNNIC CNNIC是我国域名注册管理机构和域名根服务器运行机构 官方网址 CNNIC调查结果 用户认为目前网上交易存在的最大问题是 安全性得不到保障 23 4 付款不方便 10 8 产品质量 售后服务及厂商信用得不到保障 39 3 送货不及时 8 6 价格不够诱人 10 8 网上提供的信息不可靠 6 4 其它 0 7 消费者对网上交易的网络安全缺乏信心 使得越来越多消费者不愿在网上购物 电子商务安全包括六项中心内容 1 商务数据的机密性信息在传送和存储过程中不能泄露 可用加密和信息隐匿技术实现 2 商务数据的完整性保护数据不被未授权者修改 建立 嵌入等 3 商务服务的认证性网络两端的使用者在沟通之前相互确认对方的身份 4 商务服务的不可否认性信息发送和接收方都不可否认服务没有发生 5 商务服务的不可拒绝性保证受权用户在正常访问时不被拒绝 6 访问的控制性在网络上限制和控制通信链路对主机系统和应用的访问 从2000年2月7日至2月9日 短短三天时间内 美国几大主要网上站点遭受不明黑客攻击 其中包括著名的电子商务网站电子港湾 eBay 和亚马逊 Amazon 从2003年1月25日中午开始 一种蠕虫病毒在Internet上快速蔓延 信息安全案例 2004年2月 日本因特网雅虎BB公司外泄四百五十万笔个人资料 引起社会指责万事达信用卡集团于2005年6月17日称 大约4000万信用卡顾客账户被一名黑客利用电脑病毒侵入 黑客可能将用户账号信息用作欺诈行为 2008年 一个全球性的黑客组织 利用ATM欺诈程序在一夜之间从世界49个城市的银行中盗走了900万美元 2009年 7月7日 韩国总统府 国会 国情院和国防部等国家机关 以及金融界 媒体和防火墙企业网站遭到黑客的攻击 1 2电子商务安全问题 1 数据被非法截获 读取或者修改数据在传输过程中可能被别有用心者截获 读取 从而造成商业机密和个人隐私的泄密 2 冒名顶替和否认行为别有用心者就有可能冒充合法用户发送或者是接收信息 另外 会否认自己在网络上进行过的操作 也就是赖帐 1 2电子商务安全问题 3 一个网络的用户未经授权访问了另一个网络有的未经授权的非法用户会想办法窜入企业内部网 这就是所谓的 黑客 侵扰 4 计算机病毒电子商务是一种依赖于计算机和计算机网络的新的商务模式 危害计算机和计算机网络的计算机病毒自然对对电子商务造成了很大的危害 解决措施 1 3电子商务安全需求 电子商务安全需求从整体上可分为三大部分 电子商务信息服务安全需求电子交易的安全需求电子支付安全需求 1 3 1电子商务信息服务安全需求 1 系统实体安全实体安全 是指保护计算机设备 设施以及其他媒体免受自然灾害和其他环境事故 如电磁污染等 破坏的措施 过程 1 环境安全 2 设备安全 3 媒体安全 2 系统运行安全 运行安全是指为保障系统功能的安全实现 提供一套安全措施来保护信息处理过程的安全 1 风险分析 2 审计跟踪 3 备份与恢复 4 应急 3 信息安全 信息安全是指防止信息财产被故意的或偶然的非授权泄漏 更改 破坏或使信息被非法的系统辨识 控制 1 操作系统安全 2 数据库安全 3 网络安全 4 计算机病毒防护 5 访问控制 6 加密 7 鉴别 1 3 2电子交易的安全需求 1 信息的保密性一定要对敏感重要的商业信息进行加密 即使别人截获或窃取了数据 也无法识别信息的真实内容 这样就可以使商业机密信息难以被泄露 2 信息的完整性交易各方能够验证收到的信息是否完整 即信息是否被人篡改过 或者在数据传输过程中是否出现信息丢失 信息重复等差错 1 3 2电子交易的安全需求 3 身份的可认证性在双方进行交易前 首先要能确认对方的身份 要求交易双方的身份不能被假冒或伪装4 可靠性 不可抵赖性在电子交易通信过程的各个环节中都必须是不可否认的 即交易一旦达成 发送方不能否认他发送的信息 接收方则不能否认他所收到的信息 1 3 2电子交易的安全需求 5 审查能力 不可伪造性电子交易文件也要能做到不可修改 以保障交易的严肃和公正 6 内部网的严密性企业的内部网上一方面有着大量需要保密的信息 另一方面传递着企业内部的大量数据 控制着企业的业务流程 保证内部网不被侵入 也是开展电子商务的企业应着重考虑的一个安全问题 1 3 3电子支付安全需求 电子支付的手段是解决电子商务支付的唯一手段 所以如何保证电子支付过程中的安全问题也是电子商务中迫切要解决的问题 1 电子支付制度 2 电子支付系统 3 隐私外露 4 电子支付工具 1 4电子商务安全技术 电子商务主要涉及到的安全技术有加解密技术 数字认证技术 CA安全认证体系 安全电子交易协议 虚拟专用网技术 反病毒技术 黑客防范及其他相关的网络安全技术 安全技术归结为三类 客户端安全技术服务器端安全技术信息传输安全技术 1 4 1客户端安全技术 1 病毒与木马防范技术病毒与木马防范技术主要是就是针对目前流行的病毒与木马通过安装反病毒软件 反木马软件等技术手段防范病毒和木马对客户端造成的破坏 2 操作系统安全技术 操作系统安全技术主要是指利用安全技术保证进行电子商务活动中参与的主机系统的操作系统安全 美国可信计算机安全评估标准 TCSEC 是计算机系统安全评估的第一个正式标准 TCSEC将计算机系统的安全划分为4个等级 8个级别 美国可信计算机安全评估标准 TCSEC 1 D类安全等级 只为文件和用户提供安全保护 最普通的形式是本地操作系统 2 C类安全等级 能够提供审慎的保护 并为用户的行动和责任提供审计能力 3 B类安全等级 具有强制性保护功能 4 A类安全等级 从开发者那里接收到一个安全策略的正式模型 所有的安装操作都必须由系统管理员进行 系统管理员进行的每一步安装操作都必须有正式文档 3 应用软件安全技术 应用软件安全技术主要是指针对安装在主机系统中的应用软件存在的安全问题所采用的安全技术 例如 MSInternetExplore OutlookExpress Foxmail以及即时通信软件QQ等大量应用软件 1 4 2服务器端安全技术 1 网络操作系统安全技术网络操作系统安全技术主要是指为了保障提供电子商务服务的网络操作系统的安全而采用的安全技术 包括Windows2003Server安全设置和RedHatLinux安全设置 2 数据库安全技术指为了保证数据库中大量数据的安全问题 敏感数据的防窃取和防篡改问题等一系列安全问题而采用的安全技术 3 网站安全技术指对提供电子商务服务的网站所采用的安全技术 主要包括Web服务安全设置和网站代码安全 1 4 3信息传输安全技术 1 黑客的攻击与防范主要通过了解常见黑客的攻击方法 熟悉黑客攻击的步骤 掌握防范黑客入侵的措施和防范黑客入侵的步骤 常见的黑客的攻击方法有 端口扫描 口令破解 特洛伊木马 缓冲区溢出攻击 拒绝式服务攻击 网络监听等 2 信息加密技术保证信息在传输通道中信息安全的核心技术 通过对传输的信息进行加密 可以在一定程度上提高数据传输的安全性 保证传输数据的完整性 在电子商务安全中信息加密技术包括密码的分析与攻击和数据加密技术 3 防火墙技术与设置通过防火墙将本地网络和外界网络之间建立一道防御体系 用户可以在防火墙上配置安全策略控制信息的进出 通过安全策略的配置提供信息安全服务 实现网络和信息安全 1 5电子商务安全体系 电子商务安全体系是保证电子商务中信息安全的一个完整的逻辑结构 同时也为交易过程的安全提供了保障 网络安全是电子商务活动安全进行的基础 为人们安全地开展网上商务活动提供了有力的保障 没有网络的安全 电子商务就毫无安全可言 电子交易安全是保障电子商务网上交易活动顺利进行的业务逻辑层面的安全 通过使用加密技术 安全认证 安全协议和电子支付系统等技术手段可以保证电子交易过程中信息的保密性 完整性 有效性 认证性 不可抵赖性 不可拒绝性 实训了解电子商务安全问题和技术 实训内容 查找十个专业的电子商务安全的网站 查找当前国际和国内电子商务安全技术发展技术