电子商务安全第一章课件

第1章电子商务安全的现状和趋势11.1电子商务安全问题1.2触发电子商务安全问题的原因1.3电子商务安全的概念与基本要求1.4电子商务安全的现状1.5网络安全的十大不稳定因素1.6电子商务安全防治措施1.7电子商务安全举措21.1电子商务安全问题电子商务发展的核心和关键问题是交易的安全性1.1.1技术威胁信息的截获和窃取信息的篡改信息的假冒交易抵赖1.1.2黑客攻击1.1.3病毒1.1.4网络仿冒31.1.3病毒蠕虫病毒蠕虫主要是利用系统的漏洞进行自动传播复制，由于传播过程中产生巨大的扫描或其他攻击流量，从而使网络流量急剧上升，造成网络访问速度变慢甚至瘫痪。1.1电子商务安全问题51.1.4黑客攻击网页篡改耐克网站被黑客篡改1.1电子商务安全问题61.1.3黑客攻击网页篡改2004年中国大陆网页篡改情况（单位：件）1.1电子商务安全问题71.1.4网络仿冒2004年网络仿冒事件报告（单位：起）1.1电子商务安全问题91.1.2、对电子商务交易各方的威胁

对商家的威胁对消费者的威胁101.1.3、中国电子商务面临的安全威胁

国内几乎所有的计算机主机、网络交换机、路由器和网络操作系统都来自国外。进入我国的电子商务和网络安全产品均只能提供较短密钥长度的弱加密算法。111.2.1先天原因网络的全球性、开放性和共享性使得电子商务传输过程中的信息安全存在先天不足。1.2.2后天原因管理——美国90%的IT企业对黑客的攻击准备不足。人——黑客攻击技术——软件漏洞、后门1.2触发电子商务安全问题的原因131.3电子商务安全的概念与基本要求1.3.1电子商务系统安全的构成1.系统实体安全2.系统运行安全3.信息安全1.3.2电子商务安全的需求14电子商务交易示意图1.3电子商务安全的概念与基本要求151.3.1电子商务系统安全的构成1.3电子商务安全的概念与基本要求171.3.1电子商务系统安全的构成1.系统实体安全2.系统运行安全3.信息安全1.3电子商务安全的概念与基本要求181.3电子商务安全的概念与基本要求1.3.2电子商务安全的需求电子商务安全的中心内容机密性完整性认证性访问控制性不可拒绝性不可否认性19商务数据的完整性（Integrity）保护数据不被未授权者修改、删除、重复传送、建立、嵌入或由于其他原因使原始数据被更改。在传输过程中，如果接收端收到的信息与发送的信息完全一样，则说明在传输过程中信息具有完整性。注意：加密的信息在传输过程中，完整性也可能遭到破坏。21商务对象的认证性（Authentication）商务对象的认证性是指网络两端的使用者在沟通之前相互确认对方的身份。认证性用数字签名和身份认证技术实现商务服务的不可否认性（Non-repudiation）

商务服务的不可否认性（Non-repudiation）信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息。不可否认性主要用于对付来自其他合法用户的威胁。22商务服务的不可拒绝性（Denialofservice）商务服务的不可拒绝性，也称可用性，是保证授权用户在正常访问信息和资源时不被拒绝或延迟，即保证为用户提供稳定的服务。访问的控制性（Accesscontrol）访问控制性用于保护计算机系统的资源不被未经授权人或以未授权方式接入、使用、修改、破坏、发出指令或植入程序等。231.4电子商务安全的现状1.4.1涉密计算机网络的六大隐患1）网络建设中重应用轻安全保密；2）涉密网与互联网联接3）两网一机隐患多4）注重防范外部入侵，忽视内部控制5）涉密移动存储介质管理混乱6）笔记本电脑使用管理缺少监督251.4电子商务安全的现状1.4.2信息安全与十大关系1、信息安全的三个发展阶段（1）数据安全（2）网络安全（3）交易安全2、交易安全的三个主要方面（1）可信计算（2）可信连接（3）可信交易261.4.3国内外现状与发展趋势

美国

1998年5月22日总统令(PDD-63)：《保护美国关键基础设施》

围绕“信息保障”成立了多个组织，包括：全国信息保障委员会、全国信息保障同盟、关键基础设施保障办公室、首席信息官委员会、联邦计算机事件响应行动组等十多个全国性机构

1998年美国国家安全局（NSA）制定了《信息保障技术框架》（IATF）,提出了“深度防御策略”，确定了包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施的深度防御目标

2000年1月，发布《保卫美国计算机空间—保护信息系统的国家计划》。分析了美国关键基础设施所面临的威胁，确定了计划的目标和范围，制定出联邦政府关键基础设施保护计划（民用机构和国防部），以及私营部门、洲和地方政府的关键基础设施保障框架。29

俄罗斯

1995年颁布《联邦信息、信息化和信息保护法》，为提供高效益、高质量的信息保障创造条件，明确界定了信息资源开放和保密的范畴，提出了保护信息的法律责任。

1997年出台《俄罗斯国家安全构想》。明确提出“保障国家安全应把保障经济安全放在第一位”，而“信息安全又是经济安全的重中之重。

2000年普京总统批准了《国家信息安全学说》，明确了联邦信息安全建设的任务、原则和主要内容。第一次明确了俄罗斯在信息领域的利益是什么，受到的威胁是什么，以及为确保信息安全首先要采取的措施等。国内外现状与发展趋势30

日本：

出台《21世纪信息通信构想》和《信息通信产业技术战略》，强调“信息安全保障是日本综合安全保障体系的核心”。

加紧建立与信安全相关的政策和法律法规，发布了《信息通信网络安全可靠性基准》和《IT安全政策指南》。

成立了信息安全措施促进办公室，综合安全保障阁僚会议、IT安全专家委员会和内阁办公室下的IT安全分局。国内外现状与发展趋势31

中国：

制定了一系列基本管理办法

“中华人民共和国计算机安全保护条例”

“中华人民共和国商用密码管理条例”

“计算机信息网络国际联网管理暂行办法”

“计算机信息网络国际联网安全保护管理办法”

“计算机信息系统安全等级划分标准”等

《刑法》修订中，增加了有关计算机犯罪的条款

尚未形成完整的体系国内外现状与发展趋势321.5网络安全的十大不稳定因素1.Cookie2.CGI3.Java4.自由软件5.电子邮件6.微软7.认证和授权8.Linux9.ICP10.网络管理员331.6电子商务安全防治措施1.6.1技术措施1.6.2管理措施341.6电子商务安全防治措施1.6.1技术措施1.网络安全检测设备2.访问设备3.防火墙4.浏览器/服务器软件5.端口保护6.访问控制7.数据加密8.数字证书9.保护传输线路安全10.路由选择机制11.流量控制12.防入侵措施351.6电子商务安全防治措施1.6.2管理措施1.人员管理制度2.保密制度3.跟踪、审计、稽核制度4.系统维护制度硬件的日常管理与维护软件的日常管理与维护5.数据容灾制度6.病毒防范制度7.应急措施361.7电子商务安全举措1.7.1信息安全战略与对策1.7.2加强网络安全的十条建议371.7电子商务安全举措1.7.1信息安全战略与对策我国信息安全保障应具备信息安全防护能力、安全隐患的发现能力、信息安全的应急能力、信息安全的对抗能力。具备这四种能力是我国信息安全保障体系建设所要达到的目标，要达到这一目标，与支撑我国信息安全保障的六大要素密不分：一、组织管理二、标准规范和法律38三、技术保障四、产业支撑环境五、信息安全六类基础设施六、人才教育和培养39组织管理组织管理体系建设已成为信息化建设保障环境中的重点，形成了一套从领导者到管理者再到技术人员的信息安全保障队伍。40标准规范和法律

2002年，我国在国家标准化总局下设了全国信息安全标准化技术委员会，该委员会下设十个标准化工作组，已经或正在制定的信息安全标准多达100多项，参照ISO17799国际标准，我国已将保障信息系统及其服务所要具有的“新老三性”写入即将出台的国家信息安全管理标准，其中，老三性包括信息的保密性、完整性和可用性，而新三性则是指信息的真实性、可核查性和可靠性。法规则有《电子签名法》、《保密法》、《国家信息安全法》等。41技术保障信息安全的技术保障是信息安全保障体系的重要环节，所以要实现信息安全技术的保障就要做到以下几点：一是要通过技术创新在关键核心技术领域生产出拥有自主版权的产品；二是要做到信息安全关键技术可控；三是要强调建立基础性技术体系；四是要重视系统的物理安全技术的研究；五是要关注具有前瞻性的高新技术的发展。42产业支撑环境建立信息安全保障体系，一定要明确这样一个要求：我国的信息化及其他安全体系必须搭建在我国自主知识产权产品的基础之上，强大的产业支撑是安全的根本保障。经过多年发展，我国生产销售信息安全产品的公司已有上千家，但企业竞争力不强，整体实力较弱弱，产业链上下不配套，龙头产业还末形成。因此，如何发展壮大信息安全产业是非常重要的任务。43信息安全六类基础设施（1）数字证书的认证体系（2）信息安全产品和系统评测体系（3）信息安全的应急支援体系（4）信息系统的灾难恢复（5）病毒防治体系（6）网络监控和预警系统44人才教育和培养保障信息安全，人才是关键，当今世界信息安全对抗需要大批具备高技术的复合型人才，要培养这方面的人才，尽快在高校中信息安全学科列为国家的重点学科，进一步加强普及在岗培训和各种安全资质认证教育，使社会上掌握信息安全知识的人越来越多，形成保障网络信息安全的千军万马，另外，还要重视对相关人员的普法教育和自律教育，规范他们的行为。451.7电子商务安全举措1.7.2加强网络安全的十条建议1.安装操作系统和服务器所有的补丁程序。2.为网络设备升级。3.如果是通过网络服务商提供接入服务的，应当与网络服务商保持联系，不要让自己无意中卷入了拒绝服务攻击，时刻保证自己的设备安全无忧。4.通过使用防火墙等方式，制定严格的网络安全规则，对进出网络的信息进行严格限定。5.将网络的TCP超时限制缩短至15分钟（900秒），以减少黑客进攻的窗口机会。6.扩大连接表，增加黑客填充整个连接表的难度。7.时刻监测系统的日志文件和网络信息流向，以便及时发现任何异常之处。8.经常对整个网络进行扫描，以发现任何安全隐患，如软件漏洞等。9.尽量减少暴露在互联网上的系统和服务的数量。10.路由器要安装必要的过滤规则。46本章小结本章概述了电子商务安全的现状和趋势，提出了进行电子商务安全技术研究的现实意义。电子商务安全主要核心是交易安全其次网络安全信息安全。电子商务整个运作过程中，会面临各种安全问题。典型的安全问题包括：安全漏洞、病毒感染、黑客攻击、网络仿冒以及其他方面的各种不可预测的风险。从计算机信息系统的角度看，电子商务系统的安全是由系统实体安全、系统运行安全和系统信息安全3个部分来组成的。只有提供了保密性、完整性、认证性、可控性、不可否认性5方面安全性，才满足电子商务安全的基本需求。信息安全的发展及目前社会中十大关系。电子商务的安全发展必须依靠法律的保障。世界范围内已陆续有多个国家承认电子合同、电子签名、电子商务凭证等的法