第8章电子商务安全管理及技术

1、整理ppt第8章 电子商务安全管理及技术整理ppto一个全方位的电子商务安全管理体系应该从组织上、技术上、管理上以及法律法规等多方面入手，全面采取电子商务安全方法措施，这样才能极大地实现电子商务的安全，保证电子商务交易的顺利进行。整理ppt整理ppt1.1.电子商务安全电子商务安全 （1 1）电子商务安全的内涵）电子商务安全的内涵o电子商务的安全是一个广泛而系统的概念，不仅包含着计算机系统结构、网络通信技术、电子商务应用环境、人员素质等方面的安全，而且还与电子商务立法息息相关 。整理ppto电子商务安全从整体上可以分为两大部分：计算机网络安全和商务交易安全。o计算机网络安全与电子商务交易安全实

2、际上是密不可分的，两者相辅相成，缺一不可。整理ppt（2 2）电子商务的安全要素）电子商务的安全要素在电子商务交易过程中，交易各方面临的威胁可能有o信息的截获和窃取。o信息的篡改。o信息的假冒。o信息的抵赖。 整理ppt针对电子商务面临的以上种种威胁，必须采取相应的应对策略，从多方面的电子商务安全要素入手，保证电子商务运行的安全实现。 可靠性。 真实性。 机密性。 完整性。 有效性。 不可抵赖性。 内部网的严密性。整理ppt2 2电子商务安全管理电子商务安全管理（1 1）电子商务安全管理的概念）电子商务安全管理的概念o电子商务的安全管理，指通过一个完整的综合保障系统，规避电子商务交易过程的风险

3、（信息传输风险、信用风险、管理风险、法律风险、网上支付风险等），以保证网上交易的顺利进行。 整理ppt 电子商务的安全管理要求规避的风险主要电子商务的安全管理要求规避的风险主要有：有：o 电子商务网络系统自身的安全风险。 o 电子商务交易信息传输过程中的风险 o 电子商务企业内部安全管理风险 o 电子商务安全法律风险。o 电子商务的信用风险 o 电子商务安全支付风险整理ppt（2 2）电子商务安全与管理）电子商务安全与管理在如何正确看待电子商务的安全与管理时，需要注意几点：o安全是一个系统的概念。安全是一个系统的概念。 不仅有技术，还有管理o安全是相对的。安全是相对的。 不要追求一个永远也攻不

4、破的安全技术。整理ppto安全是有成本和代价的。安全是有成本和代价的。 如果不直接牵涉到支付等敏感问题，对安全的要求就低一些；反之，就高一些。o安全是发展的、动态的。安全是发展的、动态的。 需要不断地检查、评估和调整相应的安全管理策略整理ppto一个全方位的电子商务安全管理体系应该从组织上、技术上、管理上以及法律法规等多方面入手，全面采取电子商务安全方法措施 o（1）建立第三方认证机构，组织行业协会制定安全管理标准。 整理ppto（2）全面应用电子商务安全技术，构造多重防范措施。 o（3）加强电子商务安全管理，制定安全管理标准。 o（4）电子商务的安全影响国家和社会的稳定，应尽快建立健全电子商

5、务法律法规。 整理ppt电子商务信用的管理1电子商务信用管理的必要性2电子商务信用管理体系3我国电子商务信用管理现状及相关政策整理ppt1 1电子商务信用管理的必要性电子商务信用管理的必要性o面对电子商务的蓬勃发展趋势，电子商务交易的信用危机却悄然袭来。如，虚假交易、假冒行为、合同诈骗、网上拍卖哄抬价等行为屡屡发生，客观上要求规范电子商务交易市场秩序。 o电子商务的经销商们由于不受地域限制，他们往往一开始就在较大范围内进行经营。而其物流和配送系统并未跟上，这样销售商们常常不能按时交付商品或不能交付质价相符的商品。 整理ppto这些现象在很大程度上制约了我国电子商务的快速、健康发展，随着电子商务

6、在全球范围内的兴起，如果不尽快改变这种传统的交易方式，将会失去更多的市场份额和竞争优势。整理ppto因此，必须建立电子商务信用管理体系，对企业和相关商业网站的信用进行评级，验证客户真实身份，同时还应不断收集客户资料，评估和授予信用额度，保障债权，保障应收账款安全和及时回收，为电子商务的发展营造一个较为宽松的信用环境，推动电子商务市场的健康发展，它是企业信用管理体系的重心。整理ppt2 2电子商务信用管理体系电子商务信用管理体系o电子商务中的信用问题电子商务中的信用问题是指电子商务交易过程中因缺乏一定的信任关系而导致电子商务的交易成本上升，使交易复杂化、混乱化，甚至无法正常进行。o完整的信用管理

7、体系应该包含信用信息采集系统、信用信用信息采集系统、信用评价及查询系统、信用动态跟踪及反馈系统、信用保障评价及查询系统、信用动态跟踪及反馈系统、信用保障系统等系统等子系统。整理ppto目前已有的信用管理模式目前已有的信用管理模式： a 以政府为主体的有“网络公证计划”模式 b 以企业为主体的有中介人模式 c 担保人模式 d 网站经营模式和委托授权模式o电子商务信用保障机制是有效实现其信用管理所必需的，保障机制的存在意义在于加快建设良好的电子商务信用环境，同时推进整个社会信用体系的完善。 整理ppt3 3我国电子商务信用管理现状及相关政策我国电子商务信用管理现状及相关政策o目前我国政府也开始重视

8、社会信用体系的建立，陆续出台了相关的法律法规、文件，并鼓励行业协会出台有关的信用标准，推动整个社会经济的良好发展。整理ppto2006-2020年国家信息化发展战略、关于加快电子商务发展的若干意见、强化服务促进中小企业信息化意见o电子商务行业协会、企业网站等也为电子商务行业信用体系的建设不断地努力。 整理ppt整理ppto首先，制定和实施电子商务安全管理标准是电子商务安全交易的需要。o其次，制定和实施电子商务安全管理标准是电子商务支付的需要。o最后，制定和实施电子商务安全管理标准是社会稳定，经济繁荣发展的需要。整理ppto电子商务安全管理标准的内容主要有技术标准、安全管理制度及其标准、安全管理

9、法律法规 1 1技术方面的标准规范技术方面的标准规范早期措施：部分告知、 另行确认 、在线服务 现在推行： 加密标准。 电子商务安全协议。 数字签名标准。 数字证书标准。 信息技术及网络安全标准 美国国家安全局 官方标准橘皮书 我国相关技术标准 对称密钥加密标准：DES非对称加密标准：主要有RSA、DSA、 Diffie-Hellman、PGP等 主要用于保证电子商务中数据的保密性、完整性、真实性和不可抵赖性 可以采用的协议有：安全超文本传输协议（STTP）安全套接层（Secure Sockets Layer，SSL） 安全交易技术协议（Secure Transaction Technolog

10、y，STT） 安全电子交易协议（SET） 是一个经过授权中心（CA）数字签名的、包含证书申请者（公开密钥拥有者）个人信息及其公开密钥的文件。 整理ppt2 2电子商务安全管理制度及其标准电子商务安全管理制度及其标准（1 1）电子商务安全管理制度）电子商务安全管理制度是使用文字和图表的形式对各项安全要求所做的规定 ，主要包括： 人员管理制度。 保密制度。 跟踪、审计、稽核制度。 设备管理。 整理ppt 用户管理。 病毒防范。 应急措施（即灾难恢复） （2 2）电子商务信用管理标准）电子商务信用管理标准o行业标准o信用标准整理ppt3 3电子商务安全管理法律、法规、国家政策电子商务安全管理法律、法

11、规、国家政策o目前，已有50多个包括国际组织、国家和地区制定了电子商务法或相应的标准。o我国也出台了许多有关互联网络安全、电子商务交易管理以及电子信息效力的法律法规和指导意见，如： 中华人们共和国电子签名法 商务部关于促进电子商务规范发展的意见 中国国际经济贸易仲裁委员网上仲裁规则 整理ppto安全协议安全协议是指由两个或两个以上的参与者，为完成某项特定的安全任务而采取的一系列步骤。 o电子商务中常用的安全协议电子商务中常用的安全协议有SSL协议、SET协议S-HTTP协议、First Virtual协议、支票支付协议、现金支付协议、安全电子邮件协议、Internet EDI协议、以及STT协

12、议等。整理ppt1 1SSLSSL（Secure Socket Layer Secure Socket Layer ）协议）协议SSL（安全套接层）协议是一个用来保证安全传输文件的协议o它主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性 ，但它不保证信息的不可抵赖性 o主要适用于点对点之间的信息传输。 整理ppt应用层协议（H TTP、Telnet、FTP、SM TP等）SSL握手协议SSL更改密码说明协议SSL警告协议应用数据协议SSL R ecord Protocol SSL记录协议TCPIP（1）SSL协议体系结构协议体系结构重要概念：SSL连接（Connect

13、ion） SSL会话（Session） 整理ppt服务类型作用服务器认证通过服务器具有的特定密钥实现客户机对服务器的认证客户认证确信客户具有合法的信用卡号，客户认证为可选项通信的完整性防止黑客修改通信的保密性支持加密和解密 （2 2）SSLSSL协议提供的安全服务协议提供的安全服务整理pptoSSLSSL协议的运行过程协议的运行过程o第一步，客户端向服务器端发送它的SSL版本号、加密算法设置、随机产生的数据和其它服务器需要用于同客户端通信的数据。o第二步，服务器向客户端发送它的SSL版本号、加密算法设置、随机产生的数据和其它客户端需要用于同服务器通信的数据。另外，服务器还要发送自己的证书，如果

14、客户端正在请求需要认证的信息，那么服务器同时也要请求获得客户端的证书。整理ppto第三步，客户端用服务器发送的信息验证服务器身份。如果认证不成功，用户就将得到一个警告，加密数据连接将无法建立。如果成功，则继续下一步。o第四步，用户用握手过程至今产生的所有数据，创建连接所用的Premaster Secret（预加密主密钥），用服务器的公钥加密（从第二步中传送的服务器证书中得到），传送给服务器。整理ppto第五步，如果服务器也请求客户端验证，那么客户端将对另外一份和上次用于建立加密连接使用的不同的数据进行签名。在这种情况下，客户端会把这次产生的加密数据和自己的证书同时传送给服务器用来产生Prema

15、ster Secret。整理ppto第六步，如果服务器也请求客户端验证，服务器将试图验证客户端身份。如果客户端不能获得认证，连接将被中止。如果认证成功，服务器用自己的私钥加密Premaster Secret，然后执行一系列步骤产生Master Secret（主密钥）。o第七步，服务器和客户端同时产生Session Key，之后的所有数据传输都用对称密钥算法来交流数据。整理ppto第八步，客户端向服务器发送信息说明以后的所有信息都将用Session Key加密。至此，它会传送一个单独的信息标示客户端的握手部分也已经宣告结束o第九步，服务器也向客户端发送信息说明以后的所有信息都将用Session

16、Key加密。至此，它会传送一个单独的信息标示服务器端的握手部分也已经宣告结束。o第十步，SSL握手过程成功结束，一个SSL数据传送过程建立。客户端和服务器开始用Session Key加密、解密双方交互的所有数据。整理ppt（4 4）SSLSSL存在的问题存在的问题o存在被攻击修改的可能o使用复杂的数学公式 ，高强度的计算会 使 服务器提顿o在电子商务系统的应用中存在很多弊端整理ppt2 2SETSET（Secure Electronic Transaction Secure Electronic Transaction ） 协议协议o是一种基于银行卡而进行的为电子交易提供安全措施的规则，能广泛

17、应用于因特网的安全电子支付协议 o采用公钥密码体制和X.509数字证书标准 整理ppt（1 1）SETSET协议的主要目标协议的主要目标o 保证电子商务参与者信息的相互隔离。o 保证信息在因特网上安全传输，防止数据被黑客或被内部人员窃取。o 解决多方认证问题。整理ppto 保证网上交易的实时性，使所有的支付过程都是在线的。o 提供一个开放式的标准，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可运行在不同的硬件和操作系统平台上。整理ppt（2 2）SETSET系统的构成系统的构成o 持卡人（Cardholder） o 商家（Merchant）。 o 发卡机构（Issue

18、r） o 收单银行（Acquirer） o 支付网关（Payment Gateway） o 认证中心（Certification Authority） 整理ppt整理ppt综合来看，SET协议规定运行过程分为以下3个阶段o 购买请求阶段 o 支付确认阶段 o 收款阶段 整理ppt 同SSL相比，SET有这样一些区别：o首先，SET对商家提供了保护自己的手段，使商务免受欺诈的困扰，并且SET向消费者保证了商家的合法性，保证用户的信用卡号不会被窃取。而SSL相对不安全。整理ppto其次，SET是一个多方的报文协议，而SSL只是简单地在两方之间建立一条安全连接。SSL是面向连接的，而SET允许各方之

19、间报文的交换不是实时的。o使用SET比SSL昂贵得多。o最后，SET提供了比SSL更完整的用于电子商务的卡支付系统，它定义了各方的互操作接口，从而有效地降低了金融风险。 整理ppt整理ppt现阶段常用的几种电子商务安全管理技术：1. 1. 加密技术加密技术明文 密文 加密 解密 密钥2. 2. 认证技术认证技术（1）身份认证（2）数字签名（3）数字时间戳与数字信封身份认证就是在电子商务交易过程中，判明和确认贸易参与者的真实身份。 主要有：基于密码的认证方式 、基于生物特征的认证方式 、基于一次性口令的认证方式 、基于USB Key的认证方式 数字时间戳是用来证明消息的收发时间。数字信封是用加密

20、技术来保证只有特定的收信人才能阅读通信的内容。 整理ppto数字证书是一个担保个人、计算机系统或者组织的身份和密钥所有权的电子文档，它是由一个权威机构发行的，人们可以在交往中用它来识别对方的身份 。o数字证书采用公钥体制 o数字证书的内容数字证书的内容：（4）数字证书整理ppt申请者信息 颁发者信息 证书序列号（类似于身份证号码）颁发者名称 证书主题（即证书所有人的名称） 颁发者的数字签名（类似于身份证上公安机关的公章） 证书的有效期限 签名所使用的算法 证书所有人的公开密钥 整理ppt（5 5）认证中心）认证中心o认证中心的功能主要是对数字证书进行管理，即负责证书的申请、审批、发放、归档、撤

21、销、更新和废止等管理。o电子商务CA认证体系包括两大部分 SET CA认证体系 PKI CA认证体系 整理ppt3 3防火墙技术防火墙技术o防火墙是加强Internet和Intranet之间安全防范的、由硬件设备和软件系统组成的、在外部网和内部网之间的界面上构成的保护层。 o防火墙作为网络间实施网间访问控制的一组组件的集合，应满足以下基本条件： 整理ppt第一，内部网络和外部网络之间的所有数据流必须 经过防火墙；第二，只有符合安全策略的数据流才能通过防火墙 第三，防火墙自身具有高可靠性，应对渗透（Penetration）免疫整理ppto防火墙基本的安全保护规则 o防火墙的功能 o防火墙的分类o

22、防火墙的体系结构o防火墙的实现第一，一切未被允许的就是禁止的 第二，一切未被禁止的就是允许的 一般来说，防火墙的基本类型有三种：网络级防火墙、应用级防火墙和复合型防火墙。目前防火墙主要有三种常见的体系结构：双宿/多宿主机（Dual-homed/Multi-homed）模式、被屏蔽主机（Screened Host）模式被屏蔽子网（Screened Subnet）模式 整理ppt4 4入侵检测安全技术入侵检测安全技术（1 1）入侵检测技术的作用）入侵检测技术的作用（2 2）入侵检测系统的主要类型）入侵检测系统的主要类型o基于主机的入侵检测系统 o基于网络的入侵检测系统（3 3）入侵检测技术发展趋势

23、）入侵检测技术发展趋势o 分布式入侵检测o智能化入侵检测o网络安全技术相结合 整理ppt5 5病毒防范技术病毒防范技术o病毒防范的具体措施应该包括如下内容： 预防 备份 检测 隔离 慎重整理ppto电子商务中的安全机制主要是指三个方面：数字证书完成交易方的身份鉴别问题。数字签名确定交易的不可否认性，数字信封解决交易数据的保密问题o电子商务安全体系结构由网络服务层、加密技术层、安全认证层、安全协议层、应用系统层5个层次组成 整理ppt整理ppto网络服务层网络服务层o构成电子商务安全系统结构的底层是网络服务层。 o网络服务层是各种电子商务应用系统的基础，提供信息传送的载体和用户接入手段及安全通信

24、服务，保证网络最基本的运行安全。 o采用防火墙、加密、漏洞扫描、入侵检测、反病毒和安全审计技术等，用以保证计算机网络自身的安全。 整理ppt2. 2. 技术加密层技术加密层o电子商务安全性所依赖的基础是密码学。o技术加密层主要采用对称加密体制（可采用数据加密标准DES、高级加密标准AES等）和公钥密码体制（可采用RSA算法、混合密码系统）。整理ppt3.3.安全认证层安全认证层o在开放的网络环境中开展电子商务活动，除了要认证买卖双方的实体身份和验证电子交易过程中的数据是否真实完整，还要保证交易双方的不可抵赖性。安全认证的关键技术包括报文摘要和数字签名。 整理ppt4.4.安全协议层安全协议层o电子商务的运行需要一套完整的安全协议。目前，比较成熟的协议有安全套接层协议SSL、安全电子交易协议SET、Netbill和匿名原子交易协议等。整理ppt5.5.应用系统层应用系统层o电子商务业务系统包括支付型系统支付型系统和非支付非支付型系统型系统。电子商务业务系统中主要是支付型业务系统