电子商务安全体系分析PPT课件

1、电子商务安全体系分析学习情境1电子商务安全体系分析电子商务安全体系分析1.11.1电子商务及其系统构成电子商务及其系统构成 1.21.2电子商务安全概况电子商务安全概况 1.31.3电子商务安全的保障电子商务安全的保障 1.4 1.4 电子商务安全体系电子商务安全体系电子商务安全体系分析1.11.1电子商务及其系统构成电子商务及其系统构成 1.1.11.1.1电子商务的内涵电子商务的内涵 1.1.21.1.2电子商务系统构成电子商务系统构成 电子商务安全体系分析1.1.11.1.1电子商务的内涵电子商务的内涵 1.1.世界电子商务会议关于电子商务的定义世界电子商务会议关于电子商务的定义 电子商

2、务（电子商务（ELECTRONIC COMMERCEELECTRONIC COMMERCE），是指对整），是指对整个贸易活动实现电子化。个贸易活动实现电子化。 2.2.政府部门对电子商务的定义政府部门对电子商务的定义 电子商务是通过电子方式进行的商务活动。包括货物电子电子商务是通过电子方式进行的商务活动。包括货物电子贸易和服务、在线数据传递、电子资金划拨、电子证券交易、贸易和服务、在线数据传递、电子资金划拨、电子证券交易、电子货运单证、商业拍卖、合作设计和工程、在线资料、公共电子货运单证、商业拍卖、合作设计和工程、在线资料、公共产品获得。包括了产品（如消费品、专门设备）和服务（如信产品获得。包

3、括了产品（如消费品、专门设备）和服务（如信息服务、金融和法律服务）、传统活动（如健身、体育）和新息服务、金融和法律服务）、传统活动（如健身、体育）和新型活动（如虚拟购物、虚拟训练）。型活动（如虚拟购物、虚拟训练）。 电子商务安全体系分析1.1.11.1.1电子商务的内涵电子商务的内涵 3.3.权威学者对电子商务的定义权威学者对电子商务的定义 广义地讲，电子商务是一种现代商业方法。这种方法广义地讲，电子商务是一种现代商业方法。这种方法通过改善产品和服务质量、提高服务传递速度，满足政府通过改善产品和服务质量、提高服务传递速度，满足政府组织、厂商和消费者的降低成本的需求。这一概念也用于组织、厂商和消

4、费者的降低成本的需求。这一概念也用于通过计算机网络寻找信息以支持决策。一般地讲，今天的通过计算机网络寻找信息以支持决策。一般地讲，今天的电子商务通过计算机网络将买方和卖方的信息、产品和服电子商务通过计算机网络将买方和卖方的信息、产品和服务器联系起来，而未来的电子商务者通过构成信息高速公务器联系起来，而未来的电子商务者通过构成信息高速公路的无数计算机网络将买方和卖方联系起来。路的无数计算机网络将买方和卖方联系起来。 电子商务安全体系分析1.1.11.1.1电子商务的内涵电子商务的内涵 4. IT4. IT（信息技术）行业对电子商务的定义（信息技术）行业对电子商务的定义 IBMIBM公司关于电子商

5、务的描述，可以用一个公式来概公司关于电子商务的描述，可以用一个公式来概括，即电子商务括，即电子商务WebWebITIT。它强调的是在网络计算环境。它强调的是在网络计算环境下的商业化应用，是把买方、卖方、厂商及其合作伙伴在下的商业化应用，是把买方、卖方、厂商及其合作伙伴在互联网（互联网（InternetInternet）、企业内部网（）、企业内部网（IntranetIntranet）和企业）和企业外部网（外部网（ExtranetExtranet）结合起来的应用。）结合起来的应用。电子商务安全体系分析1.1.11.1.1电子商务的内涵电子商务的内涵 狭义电子商务概念：狭义电子商务概念：电子商务安全

6、体系分析1.1.11.1.1电子商务的内涵电子商务的内涵 广义电子商务概念：广义电子商务概念： 企业利用现代化信息技术开展的一切商务活动，如市企业利用现代化信息技术开展的一切商务活动，如市场分析、客户联系、物资调配等。它既包括网上交易，还场分析、客户联系、物资调配等。它既包括网上交易，还包括企业内部业务活动（如计划、生产、财务管理等）以包括企业内部业务活动（如计划、生产、财务管理等）以及企业之间的协作与协调。及企业之间的协作与协调。电子商务安全体系分析1.1.11.1.1电子商务的内涵电子商务的内涵 广义电子商务和狭义电子商务广义电子商务和狭义电子商务电子商务安全体系分析1.1.11.1.1电

7、子商务的内涵电子商务的内涵 电子商务内涵：电子商务内涵：1.1.电子商务的本质是电子商务的本质是“商务商务”，是在，是在“电子电子”基础上的商务基础上的商务 2.2.电子商务的前提是商务信息化电子商务的前提是商务信息化 3.3.电子商务的核心是人电子商务的核心是人 4.4.电子商务是对传统商务的改良而不是革命电子商务是对传统商务的改良而不是革命 5.5.电子工具必定是现代化的电子工具必定是现代化的 6.6.对象的变化也是至关重要的对象的变化也是至关重要的 电子商务安全体系分析1.1.11.1.1电子商务的内涵电子商务的内涵电子商务的技术特征：电子商务的技术特征：1.1.信息化信息化 2.2.虚

8、拟性虚拟性3.3.集成性集成性 4.4.可扩展性可扩展性 5.5.安全性安全性 6.6.系统性系统性 电子商务安全体系分析1.1.11.1.1电子商务的内涵电子商务的内涵电子商务的应用特征：电子商务的应用特征：1.1.商务性商务性 2.2.服务性服务性3.3.协调性协调性 4.4.社会性社会性 5.5.全球性全球性 电子商务安全体系分析1.1.2 1.1.2 电子商务系统构成电子商务系统构成 1.1.电子商务系统的分类电子商务系统的分类1 1）按照商业活动的运作方式分类：）按照商业活动的运作方式分类： 我们可以将电子商务分为纯电我们可以将电子商务分为纯电子商务和部分电子商务。当我们从商务涉及的

9、产品（子商务和部分电子商务。当我们从商务涉及的产品（productproduct）、）、过程（过程（processprocess）、交付代理（）、交付代理（delivery agentdelivery agent）三个维度上）三个维度上分析电子商务，会发现传统商务在所有维度上都是物理的分析电子商务，会发现传统商务在所有维度上都是物理的(physical)(physical)，而纯电子商务在所有维度上都是数字的，而纯电子商务在所有维度上都是数字的(digital)(digital)，除此之外，都属于部分电子商务，它们是以数字和物理维度的结除此之外，都属于部分电子商务，它们是以数字和物理维度的结合

10、来完成整个商务活动。合来完成整个商务活动。电子商务安全体系分析1.1.2 1.1.2 电子商务系统构成电子商务系统构成 2 2）按照使用网络的类型来分类：按照使用网络的类型来分类： 基于基于EDIEDI网络的电子商网络的电子商务，就是利用务，就是利用EDIEDI网络进行电子交易。网络进行电子交易。 3 3）按照交易对象分类：）按照交易对象分类： B2BB2B，B2CB2C，B2GB2G，C2GC2G，C2CC2C电子商务安全体系分析1.1.2 1.1.2 电子商务系统构成电子商务系统构成 2.2.电子商务的一般框架电子商务的一般框架电子商务安全体系分析1.1.2 1.1.2 电子商务系统构成电

11、子商务系统构成 3.3.电子商务系统的基本组成电子商务系统的基本组成电子商务安全体系分析1.1.2 1.1.2 电子商务系统构成电子商务系统构成 4.4.电子商务系统的结构电子商务系统的结构（1 1）客户机）客户机/ /服务器（服务器（C/SC/S）结构：）结构：C/SC/S结构通过将任务结构通过将任务合理分配到合理分配到ClientClient端和端和ServerServer端，降低了系统的通端，降低了系统的通讯开销，可以充分利用两端硬件环境的优势。讯开销，可以充分利用两端硬件环境的优势。 （2 2）B/W/SB/W/S三层结构三层结构 ：B/W/SB/W/S（browser/web bro

12、wser/web server/database serverserver/database server）三层结构）三层结构 （3 3）电子商务系统结构）电子商务系统结构 电子商务安全体系分析1.2 1.2 电子商务安全概况电子商务安全概况 1.2.11.2.1电子商务安全概念与特点电子商务安全概念与特点1.2.21.2.2电子商务的风险与安全问题电子商务的风险与安全问题1.2.31.2.3电子商务系统安全的构成电子商务系统安全的构成电子商务安全体系分析1.2.11.2.1电子商务安全概念与特点电子商务安全概念与特点 电子商务安全继续电子商务安全体系分析1.2.11.2.1电子商务安全概念与

13、特点电子商务安全概念与特点 对电子商务安全的认识应注意以下几个特点： 1.安全不仅仅是安全管理部门的事情 2.电子商务安全具有全面性、普遍性 3.安全是一个系统概念 4.安全是相对的、发展变化的5.安全是有代价的 继续电子商务安全体系分析1.2.11.2.1电子商务安全概念与特点电子商务安全概念与特点 电子商务安全的特征 1.保密性（Confidentiality）2.完整性（Integrity）3.可用性（Availability） 继续电子商务安全体系分析1.2.21.2.2电子商务的风险与安全问题电子商务的风险与安全问题 1.电子商务的风险 要想有效管理电子商务风险，一个企业开展电子商务

14、需要考虑风险的三个主要领域： 危害性 不确定性 机遇 电子商务安全体系分析1.2.21.2.2电子商务的风险与安全问题电子商务的风险与安全问题 （1）危害性 传统的风险管理趋于将注意力集中于危害性，也就是潜在的消极事件。 在电子商务领域中，需要考虑的主要危险包括： 1) 安全性。 2) 法律和规则问题。 3) 税收。 4) 电子商务的弹性。电子商务安全体系分析1.2.21.2.2电子商务的风险与安全问题电子商务的风险与安全问题 （2）不确定性 不确定性管理，涉及规划、决策制定、实施和监控，以保证日常操作能够提供有效果的和有效率的预计结果。 在电子商务领域，需要管理的主要不确定性包括： 1）消费

15、者的信心。 2）与广告商的关系。 3）改变流程。 电子商务安全体系分析1.2.21.2.2电子商务的风险与安全问题电子商务的风险与安全问题 （3）机遇 通过确定市场中的商机来利用风险可以获得有效的竞争优势并增加收益。 在电子商务领域，需要考虑的商机包括：1) 建立客户忠诚度。 2) 优化业务流程。3) 创造新的产品和服务。 电子商务安全体系分析1.2.21.2.2电子商务的风险与安全问题电子商务的风险与安全问题 从电子商务的交易实施过程的角度来看，存在着诸如产品识别、质量控制、网上支付、物流配送和信息传递，对以下的风险因素进行更详细的分析： （1）产品识别风险（2）质量控制风险（3）网上支付风

16、险 （4）物权转移中的风险 （5）信息传递风险 继续电子商务安全体系分析1.2.21.2.2电子商务的风险与安全问题电子商务的风险与安全问题 2.电子商务安全问题 电子商务的安全问题主要涉及信息的安全问题、信用的安全问题、安全的管理问题以及电子商务安全的法律保障问题。 继续电子商务安全体系分析1.2.21.2.2电子商务的风险与安全问题电子商务的风险与安全问题 （1）信息安全问题 1）信息泄密 2）信息篡改 3）信息丢失 4）信息破坏 继续电子商务安全体系分析1.2.21.2.2电子商务的风险与安全问题电子商务的风险与安全问题 （2）信用安全问题 1）来自买方的信用安全问题 2）来自卖方的信用

17、安全问题 3）买卖双方的抵赖行为 继续电子商务安全体系分析1.2.21.2.2电子商务的风险与安全问题电子商务的风险与安全问题 （3）安全的管理问题 严格管理是降低电子商务风险的重要保证。安全管理的目的，就是提供从事商务活动的可信的运行环境，需要有完善的管理制度和相关的技术支持。人员管理常常是电子商务安全管理上的最薄弱环节。此外，目前现有的信息系统绝大多数都缺少安全管理员，缺少信息系统安全管理的技术规范，缺少定期的安全测试与检查，更缺少安全监控。 继续电子商务安全体系分析1.2.21.2.2电子商务的风险与安全问题电子商务的风险与安全问题 （4）安全的法律保障问题 电子商务的技术设计是先进的、

18、超前的、具有强大的生命力，但同时也必须清楚地认识到，在目前的法律上是没有现成的条文来保护电子商务交易中的交易方式的，在网上交易可能会承担由于法律滞后而带来的安全风险。 继续电子商务安全体系分析1.2.21.2.2电子商务的风险与安全问题电子商务的风险与安全问题 此外，电子商务给传统税收也造成了冲击，各国之间的税收平衡问题也突显出来，会引发新的税收风险。 继续电子商务安全体系分析1.2.31.2.3电子商务系统安全的构成电子商务系统安全的构成电子商务系统，从某种意义上说，就是一种建立在网络环境里的计算机信息系统。1.系统实体安全2.系统运行安全3.系统信息安全任务：任务：试分析电子商务系统安全的

19、构成。试分析电子商务系统安全的构成。电子商务安全体系分析1.2.31.2.3电子商务系统安全的构成电子商务系统安全的构成 1.1.系统实体安全系统实体安全 实体安全，是指保护计算机设备、设施以及其他媒体免受自然灾害和其他环境事故（如电磁污染等）破坏的措施、过程。继续电子商务安全体系分析1.2.31.2.3电子商务系统安全的构成电子商务系统安全的构成 系统实体安全的组成：（1）环境安全就是要对电子商务系统所在的环境加以安全保护，主要包括灾害保护和区域保护。 （2）设备安全是指对电子商务系统的设备（包括网络）进行安全保护，主要是设备防盗、设备防毁、防电磁信息泄漏、防线路截获、抗电磁干扰以及电源保护

20、。 （3）媒体安全指对媒体数据和媒体本身实施安全保护。继续电子商务安全体系分析1.2.31.2.3电子商务系统安全的构成电子商务系统安全的构成 2.2.系统运行安全系统运行安全 是指为保障系统功能的安全实现，提供一套安全措施来保护信息处理过程的安全。继续电子商务安全体系分析1.2.31.2.3电子商务系统安全的构成电子商务系统安全的构成 （1）风险分析，就是要对电子商务系统进行人工或自动的风险分析。 （2）审计跟踪，就是要对电子商务系统进行人工或自动的审计跟踪，保存审计记录和维护详尽的审计日志。（3）备份与恢复，运行安全中的备份与恢复，就是要提供对系统设备和系统数据的备份与恢复。 （4）应急，

21、运行安全中的应急措施，是为了在紧急事件或安全事故发生时，提供保障电子商务系统继续运行或紧急恢复所需要的策略。 继续电子商务安全体系分析1.2.31.2.3电子商务系统安全的构成电子商务系统安全的构成 3.3.信息安全信息安全 是指防止信息财产被故意的或偶然的非授权泄漏、更改、破坏或使信息被非法的系统辨识、控制，信息安全要确保信息的完整性、保密性、可用性和可控性。信息安全由七个部分组成：（1）操作系统安全（2）数据库安全（3）网络安全（4）计算机病毒防护（5）访问控制 （6）加密（7）鉴别继续电子商务安全体系分析（1）操作系统安全是指对计算机信息系统的硬件和软件资源的有效控制，能够为所管理的资源

22、提供相应的安全保护。操作系统的安全由两个部分组成：1）安全操作系统：指从系统设计、实现和使用等各个阶段都遵循了一套完整的安全策略的操作系统。2) 操作系统安全部件：操作系统安全部件的目的是增强现有操作系统的安全性。 继续电子商务安全体系分析（2）数据库安全 是对数据库系统所管理的数据和资源提供安全保护。 1)安全数据库系统，是指从系统设计、实现、使用和管理等各个阶段都遵循一套完整的系统安全策略的数据库系统。2)数据库系统安全部件，是以现有数据库系统所提供的功能为基础构建安全模块，旨在增强现有数据库系统的安全性。 继续电子商务安全体系分析（3）网络安全 是指提供访问网络安全资源或使用网络服务的安

23、全保护。 1)网络安全管理，是指为网络的使用提供安全管理。 2)安全网络系统，对网络资源的访问和网络服务的使用提供一套完整的安全保护，即从网络系统的设计、实现、使用和管理各个阶段，遵循一套完整的安全策略的网络系统。 3)网络系统安全部件。 继续电子商务安全体系分析（4）计算机病毒防护 1)单机系统病毒防护 2)网络系统病毒防护 3)网络系统安全部件 （5）访问控制 1）出入控制，是为了阻止非授权用户进入机构或组织。 2）存取控制，是针对主体访问客体时的存取控制，如通过对授权用户存取系统敏感信息时进行安全性检查，以实现对授权用户的存取权限的控制。 继续电子商务安全体系分析（6）加密 加密，是将明

24、文数据进行某种变换，使其成为不可理解的形式的过程。 加密必须依赖两个要素：算法和密钥。（7）鉴别 鉴别是指提供身份鉴别和信息鉴别。身份鉴别，是提供对信息收发方（包括用户，设备和进程）真实身份的鉴别；信息鉴别，是提供对信息的正确性，完整性和不可否认性的鉴别。 继续电子商务安全体系分析1.31.3电子商务安全的保障电子商务安全的保障 1.3.1 1.3.1 电子商务安全技术电子商务安全技术 1.3.2 1.3.2 电子商务安全国际规范电子商务安全国际规范1.3.3 1.3.3 电子商务安全法律要素电子商务安全法律要素 继续电子商务安全体系分析1.3.11.3.1电子商务安全技术电子商务安全技术继续

25、电子商务安全体系分析1.3.11.3.1电子商务安全技术电子商务安全技术1.1.加密解密技术加密解密技术加密技术是信息安全技术中的一个重要的组成部分。加密技术是信息安全技术中的一个重要的组成部分。加密就是用基于数学方法的程序和保密的密钥对信息进行加密就是用基于数学方法的程序和保密的密钥对信息进行编码，把计算机数据变成一堆杂乱无章难以理解的字符串，编码，把计算机数据变成一堆杂乱无章难以理解的字符串，也就是把明文变成密文。也就是把明文变成密文。 2.2.数字签名技术数字签名技术 通过数字签名技术可以确认当事人的身份，起到了签名或通过数字签名技术可以确认当事人的身份，起到了签名或盖章的作用，签字方不

26、能够抵赖。盖章的作用，签字方不能够抵赖。通过数字签名技术也能够帮助我们鉴别信息自签发后到收通过数字签名技术也能够帮助我们鉴别信息自签发后到收到为止是否被篡改过。到为止是否被篡改过。 继续电子商务安全体系分析1.3.11.3.1电子商务安全技术电子商务安全技术继续电子商务安全体系分析1.3.11.3.1电子商务安全技术电子商务安全技术继续电子商务安全体系分析1.3.21.3.2电子商务安全国际规范电子商务安全国际规范 1.SSL SSL是通过在收发双方建立安全通道来提高应用程序间交换数据的安全性，从而实现浏览器和服务器（通常是Web服务器）之间的安全通信。 SSL是一种利用公共密钥技术的工业标准

27、，广泛用于Internet。目前大多数浏览器都支持SSL，很多Web服务器也支持SSL。 继续电子商务安全体系分析1.3.21.3.2电子商务安全国际规范电子商务安全国际规范 2.SETSET协议是信用卡在互联网上进行支付的一种开放式标准，也是银行卡安全支付的具体规范。目前已经被广为认可而成了事实上的国际通用的网上支付标准，其交易形态将成为未来电子商务的规范。SET的制定与推广既为业务相互渗透的各家信用卡公司提供了统一的安全通信标准，也促进了信用卡在互联网上作为支付工具的应用。继续电子商务安全体系分析1.3.31.3.3电子商务安全法律要素电子商务安全法律要素 1.保障交易各方身份认证的法律

28、电子交易的各方都需要拥有和证明自己的合法身份，通过设立在交易参与方之外的，第三方的公正机构（CA中心）可以达成这样的目标，即取得由数字证书认证中心签发的数字化的证书，在交易的各个环节，交易的各方都可以检验对方数字证书的有效性。 继续电子商务安全体系分析1.3.31.3.3电子商务安全法律要素电子商务安全法律要素 2.电子合同的法律地位电子商务活动中，电子合同的有效性、电子签章和数字签名的有效性是各国共同关注的法律问题。需要制定有关法律对电子合同的法律效力、数字签名、电子商务凭证的合法性予以确认；需要对电子商务凭证、电子支付数据的伪造、变更、涂销做出相应的法律规定。 继续电子商务安全体系分析1.3.31.3.3电子商务安全法律要素电子商务安全法律要素 3.电子商务的消费者权益保护的法律 网络环境下，消费者的保护问题更主要地表现为要赢得消费者的信任。消费者权益保护的另一个重要内容是保护个人隐私、秘密。 继续电子商务安全体系分析1.3.31.3.3电子商务安全法律要素电子商务安全法律要素 4.网络知识产权保护的法律 由于在互联网上知识产权的主要表现是信息，保护的难度相对比较大。 网络对知识产权的保护提出了新的挑战，在研究技术保护措施时，还必须建立适当的法律框架，以便侦测仿冒或欺诈行为，并在上述行为发生时提供有效的法律援助。电子商务安全体系分析1.4 1.4