第一章电子商务安全概述.ppt

电子商务安全与支付技术,第一章电子商务安全概述,1.1电子商务及其安全重要性1.2电子商务的安全需求1.3电子商务的安全概述1.4电子商务系统的安全性要求1.5电子商务的保障,学习目标,了解电子商务面临的安全问题掌握电子商务系统安全的构成要素了解电子商务安全的主要需求理解电子商务安全保障手段,引例eBay在中国溃败之因,据中国互联网络信息中心2010年中国网上购物调查报告截止2011年1月北京、上海和广州三大城市共有C2C网上购物消费者304万人，淘宝成为用户首选购物网站。根据购物金额计算的2010年度中国C2C三大城市的用户市场份额，淘宝为81.9%，eBay易趣为15.4%。eBay易趣PK淘宝，前者败在安全之上，是不是淘宝就不再面临安全问题？如果不是，到底还有哪些安全问题需要电子商务来面对？,1.1.1电子商务的含义,宏观视角,微观视角,电子商务的书面定义,所谓电子商务(ElectronicCommerce)是利用计算机技术、网络技术和远程通信技术所进行的商务活动。电子商务的具体含义是指进行电子商务交易的供需双方都是商家(或企业、公司)，他们借助Internet的技术或各种商务网络平台，完成商务交易的过程；这些过程包括：发布供求信息，订货及确认订货，支付过程及票据的签发、传送和接收，确定配送方案并监控配送过程等。,电子商务的产生基础,电子商务最早产生于20世纪60年代，发展于20世纪90年代。产生和发展的社会基础是：（1）政府的支持与推动。（2）计算机的广泛应用。（3）网络的普及和成熟。（4）完善的网络服务。,电子商务的发展过程,电子商务的发展分为两个阶段，即始于20世纪80年代中期EDI电子商务和始于90年代初期Internet电子商务。180年代90年代基于EDI的电子商务电子通信的方式增值网络VANEDI电子商务技术仅局限在先进国家和地区以及大型的企业范围内应用,290年代以来基于因特网的电子商务开放的网络通信方式Internet的网络环境开放的网络电子银行安全的在线支付技术也适合中小型的企业应用,1.1.2电子商务安全的现状,电子商务的安全问题日益受到重视黑客的威胁上升计算机网络病毒给电子商务造成的损失继续增加电子商务金融系统的安全缺乏保障电子商务安全保障措施尚待加强,1.1.3电子商务安全与支付的重要性,电子商务作为一种全新的商务形式，为全球客户提供了更简捷的交易方法和更低廉的交易成本。然而，安全问题仍然是阻碍其发展的最大障碍。1999年7月，当中国互联网络中心第一次对热点问题“用户认为目前网上购物最大的问题”进行问卷调查时，30%的网民认为安全性是网上购物的最大问题，七年后，即2006年7月的调查显示，网民不进行网上交易的原因中，担心交易安全性得不到保障的仍然高达61.5%。很明显，网上交易的安全问题是电子商务发展中不容忽视的问题。,交易安全保障是保证现代经济正常运作的重要基础和支点。现阶段电子商务之所以推广有困难，关键问题是电子支付安全问题没有得到很好地解决。电子支付风险的有效控制，将会从根本上扭转这种状况。,1.1.4解决电子商务安全问题的重要意义,保证电子商务的正常运作，必须高度重视安全问题安全问题是网络交易成功与否的关键所在，也是致命所在。因为网络交易的安全问题不仅关系到的个人的资金安全、商家的货物安全，还关系到国家的经济安全，国家经济秩序的稳定问题。我们无法想像一个安全得不到保障的网络交易世界会是一个什么样的情形。所以，对于网络交易的安全问题绝不可以等闲视之，必须把它提到重要的议事日程。只有这样，才能促进电子商务的更快发展。,1.2.1电子商务面临的安全威胁,安全问题的提出影响电子商务广泛应用的首要问题：安全问题电子商务安全与网络安全网络安全漏洞多网页篡改、网页仿冒总之:不是一堵防火墙或一个电子签名能解决,1.2.2电子商务涉及的安全问题,商家可能面临的安全问题系统破坏遭受攻击或自然破坏恶意订单竞争对手或客户资料泄露客户资料泄露,客户可能面临的安全问题,虚假订单收不到货机密性丧失个人信息可能被泄露拒绝服务合法用户得不到服务,银行可能面临的安全问题,中断攻击系统的可能性窃听攻击系统的机密性篡改攻击系统的完整性伪造攻击系统的真实性,电子商务涉及安全的概括,信息的安全问题冒名窃听篡改数据信息丢失信息传递出问题,信用的安全问题来自买方的安全问题来自卖方的安全问题买卖双方都存在抵赖的情况安全的法律保障问题技术先进超前、法律滞后,安全的管理问题,中介管理问题人员管理安全管理员安全管理规范,1.3.1电子商务系统安全概述,电子商务系统安全的构成,1.3.2系统实体安全,所谓实体安全：保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面：环境安全、设备安全和媒体安全。,环境安全,受灾防护区域防护,设备安全,设备防盗设备防毁防止电磁信息泄露防止线路截获抗电磁干扰电源保护,媒体安全,媒体的安全媒体的防盗媒体的防毁媒体的数据安全媒体数据的防盗媒体数据的销毁媒体数据的防毁,1.3.3系统运行安全,所谓运行安全：是指为保障系统功能的实现，提供一套安全措施来保护信息处理过程的安全系统运行安全的组成：风险分析审计跟踪备份与恢复应急,风险分析,系统设计前的风险分析潜在的安全隐患系统试运行前的风险分析设计的安全漏洞系统运行期的风险分析运行的安全漏洞系统运行后的风险分析系统的安全漏洞,审计跟踪,记录和跟踪各系统状态的变化实现对各种安全事故系统的定位保持、维护和管理审计日志,备份与恢复,提供场点内高速度、大容量自动的数据存储、备份和恢复提供场点外的数据存储、备份和恢复提供对系统设备的备份,应急,应急计划辅助软件紧急事件或安全事故发生时的影响分析应急计划的概要设计或详细制定应急计划的测试与完善应急措施提供实时应急设施提供非实时应急设施,1.3.4信息安全,所谓信息安全：是指防止信息财产被故意地或偶然地非授权泄露、更改、破坏或使信息被非法的系统辨识、控制，即信息安全要确保信息的完整性、保密性、可用性和可控性。,信息安全的组成,操作系统安全数据库安全网络安全病毒防护安全访问控制安全加密鉴别,操作系统安全,操作系统安全是指要对电子商务系统的硬件和软件资源实行有效的控制，为所管理的资源提供相应的安全保护。操作系统安全包括：安全操作系统操作系统安全部件,数据库安全安全数据库系统数据库系统安全部件网络安全网络安全管理安全网络系统网络系统安全部件,病毒防护安全计算机病毒是指编制或在计算机程序中插入的破坏计算机功能、毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或程序代码。包括：单机系统病毒防护和网络系统病毒防护,访问控制安全出入控制主要用于阻止非授权用户进入机构或组织存储控制主要是提供主体访问客体时的存储控制,加密加密设备实现对数据的加密密钥管理提供对密钥的管理来加强信息安全,鉴别身份鉴别主要用于阻止非授权用户对系统资源的访问完整性鉴别主要用于证实信息内容未被非法修改或遗漏不可否认性鉴别证实发送方所发送的信息确实被接收方接收了，证实接收方接收到的信息确实是发送方发送的,网络安全所涉及的各个方面,1.4.1系统安全性要求,1.5.1电子商务的安全保障,技术措施信息加密技术数字签名技术TCP/IP服务防火墙的构造选择,管理措施,人员管理制度保密制度跟