项目六 电子商务安全技术

电子商务概论,（第五版）,项目六电子商务安全技术,任务一初探电子商务安全需求任务二掌握电子商务安全的相关技术任务三了解电子商务安全管理,项目描述,电子商务的发展前景十分广阔，但其安全隐患亦不能忽视。如何建立一个安全、便捷的电子商务应用环境，为信息提供足够的保护，成了商家和用户都十分关心的问题。本项目针对电子商务的安全问题介绍相关的知识点和案例。,任务一初探电子商务安全需求,学习目标：【知识目标】了解电子商务安全的现状，掌握电子商务的安全需求，熟悉电子商务安全体系的建设，理解电子商务安全中的角色构成。【技能目标】提高对电子商务平台安全进行分析和判断的能力，能对自己所遇到的电子商务安全问题进行解决。,一、电子商务安全的现状,(一)计算机网络安全威胁,1.设备的安全问题,2.黑客攻击,3.计算机病毒的攻击,4.拒绝服务攻击,5.挂马网站,6.网络钓鱼网站的危害,7.假网站,8.手机病毒,一、电子商务安全的现状,(二)商务交易的安全威胁,1.开放性,2.缺乏安全机制的传输协议,3.软件系统的漏洞,4.信息电子化,5.企业安全漏洞大,一、电子商务安全的现状,(三)电子商务的安全问题,二、电子商务的安全需求,三、电子商务的安全体系结构,(1)网络服务层的网络安全技术。(2)通信服务层的信息安全技术。(3)安全认证层的安全认证技术。(4)商务交易层的安全电子交易技术。(5)电子商务应用系统层的管理安全技术。,四、电子商务安全体系的角色构成,任务二掌握电子商务安全的相关技术,学习目标：知识目标了解常见网络安全技术和信息安全技术，掌握账号加密和保护的信息安全技术，掌握防御钓鱼网站的技术，掌握防病毒软件的使用，熟悉电子商务认证技术和电子商务交易技术。【技能目标】提高对电子商务平台安全进行分析和判断的能力，具备对自己所遇到的安全问题进行解决的能力，以及利用电子商务安全技术进行自我防御的能力。,一、网络安全技术,(一)操作系统安全,1.保护内核,2.更安全的网页浏览,3.用户账户控制,4.强大的Windows防火墙,5.WindowsBitLocker磁盘加密功能,6.行动中心(ActionCenter),一、网络安全技术,(二)防火墙技术,一、网络安全技术,(二)防火墙技术,一、网络安全技术,(三)VPN技术,一、网络安全技术,(四)计算机病毒防范技术,一、网络安全技术,(五)入侵检测技术,1.入侵检测技术,2.安全检测评估技术,二、信息安全技术,(一)密码学概述,二、信息安全技术,(二)对称密钥密码体制,1.数据加密标准DES,2.对称加密技术的优缺点,二、信息安全技术,(三)非对称密钥密码体制,1.RSA算法,2.公开密钥技术的优缺点,二、信息安全技术,(四)PGP加密技术,1.PGP的功能,二、信息安全技术,(四)PGP加密技术,2.PGP的工作过程,PGP利用随机产生的对称密钥(IDEA算法)对明文加密，然后用RSA算法再对该对称密钥加密。收件人收到邮件后，先用RSA算法解密出这个随机对称密钥，再用IDEA算法解密邮件本身。这样的链式加密既有RSA体系的机密性，又有IDEA算法的快捷性。,三、电子商务认证技术,(一)认证技术,1.消息认证,2.实体认证,三、电子商务认证技术,(二)证书机构,四、安全电予文易技术,(一)SSL协议,四、安全电予文易技术,(二)SET协议,1.SET协议中利用的主要技术,2.SET协议中所涉及的主要对象,3.SET协议的支付模型,四、安全电予文易技术,(三)公钥基础设施,任务三了解电子商务安全管理,学习目标：【知识目标】了解电子商务安全管理的目的和意义以及电子商务安全管理的原则，了解电子商务安全管理体系，掌握如何建立电子商务安全管理体系。【技能目标】提高分析问题的能力、自学能力、解决实际问题的能力。,一、建立电予商务安全管理体系的作用和意义,(1)电子商务安全管理体系的建立将提高员工电子商务安全意识，提升企业电子商务安全管理的水平，增强组织抵御灾难性事件的能力，是企业电子商务化建设中的重要环节，必将大大提高电子商务管理工作的安全性和可靠性，使其更好地服务于企业的业务发展。(2)通过电子商务安全管理体系的建设，可有效提高对电子商务安全风险的管控能力，通过与等级保护、风险评估等工作接续起来，使得电子商务安全管理更加科学有效。(3)电子商务安全管理体系的建立将使企业的管理水平与国际先进水平接轨，从而成长为企业向国际化发展与合作的有力支撑。,一、建立电予商务安全管理体系的作用和意义,组织建立、实施与保持电子商务安全管理体系主要有以下几点:(1)强化员工的电子商务安全意识，规范组织电子商务安全行为。(2)对组织的关键信息资产进行全面系统的保护，维持竞争优势。(3)在电子商务系统受到侵袭时，确保业务持续开展并将损失降到最低程度。(4)使组织的生意伙伴和客户对组织充满信心。(5)如果通过体系认证，表明体系符合标准，证明组织有能力保障重要信息，提高组织的知名度与信任度。(6)促使管理层坚持贯彻电子商务安全保障体系。,二、电子商务安全管理体系,在电子商务安全管理体系中，管理是非常重要的，所谓“三分技术，七分管理”。但是管理是建立在技术上的，没有技术，无从谈管理。要确保电子商务的安全，还必须建立完善电子法律和法规，严格按照各种法律法规来运作电子商务。单靠一种安全措施，并不能保证电子商务安全，它需要实施多种安全措施，体系结构如图6-14所示。,三、电子商务安全管理原则,根据电子商务安全等级，确定电子商务安全管理的范围，分别进行安全管理。对安全等级要求较高的电子商务系统，要实行分区控制，限制工作人员出入与已无关的区域。制定电子商务安全限制和操作规程，如机房出人管理制度、设备管理制度、软件管理制度、系统维护制度、备份制度等;制定严格的操作规程，操作规程要遵循职责分离和多人负责的原则，各负其责，事事有人管，各人不越权。,四、电子商务安全管理实施方案,1.电子商务安全管理实施方案策划与准备,2.确定电子商务安全管理实施方案适用的范围,3.现状调查与风险评估,4.建立电子商务安全管理框架,5.电子商务安全管理实施方案编写,6.电子商务安全管理实施方案的运行与改进,五、电子商务系统安全审计与评恰,(一)电子商务系统安全审计,1.安全审计的目的利用审计机制可以有针对性地对电子商务运行的状况和过程进行记录、跟踪和审查，以从中发现安全问题。比如，通过跟踪审计，网络管理员不断地收集和积累有关的安全事件并加以分析，有选择地对其中的某些站点或用户进行进一步跟踪审计，以便为可能产生的破坏性行为提供有力的证据。此外审计还能制定网上信息过滤机制，拒绝接受一切来自过滤列表上IP地址的信息，将网上的某些站点产生的垃圾信息拒之门外。,五、电子商务系统安全审计与评恰,(一)电子商务系统安全审计,2.安全审计的主要功能,五、电子商务系统安全审计与评恰,(二)电子商务系统安全评估,(1)环境控制，分为实体的环境控制、操作系统的环境控制及管理的环境控制。(2)应用安全，主