第五章电子商务安全管理(电子商务师三四级)课件

第五章电子商务安全管理

5.1电子商务安全概述

5.2计算机网络安全

5.3商务交易安全

5.4电子商务系统安全管理制度

本章所占的分值:15分第五章电子商务安全管理5.1电子商务安全概述电子商务安全是有效开展电子商务的前提和保证。5.1.2电子商务安全的内容电子商务安全的内容概括为三个方面内容：1、计算网络安全；2、商务交易安全；3、电子商务系统安全管理制度。第五章电子商务安全管理计算机网络安全是指保护计算机网络系统中的硬件、软件和数据资源。计算机网络安全主要包括:防火墙、入侵检测、虚拟专用网和病毒防治。商务交易安全主要包括：基本加密方法、安全认证手段、安全交易协议。第五章电子商务安全管理5.2计算机网络安全5.2.1网络安全威胁的来源1）黑客攻击指非法入侵计算机系统的人。主要利用计算机系统的缺陷、操作系统的安全漏洞或通信协议的安全漏洞。第五章电子商务安全管理常采用的手段：A利用UNIX提供的缺省账户进行攻击。B截取口令；C录找系统漏洞；D偷取特权；E清理磁盘。第五章电子商务安全管理2）计算机病毒计算机病毒是隐藏在计算机系统中的程序，它不仅能够破坏计算机系统的正常运行，而且还具有很强的传染性。计算机病毒的特点：隐蔽性传染性破坏性潜伏性可触发性针对性第五章电子商务安全管理计算机病毒的种类：1）引导区病毒；2）可执行文件病毒；宏病毒；邮件病毒；网页病毒；3）综合型病毒。第五章电子商务安全管理4）计算机病毒的传播途径网络5）计算机病毒的工作原理引导模块传染模块破坏模块第五章电子商务安全管理6）计算机病毒、蠕虫与木马之间的区别（1）木马通过免费下载或邮件附件引诱用户打开执行，潜伏到用户的计算机内，与远程的黑客程序里应外合，毁坏用户文件、窃取用户信息甚至远程操控用户电脑。区别：不具传染性，不能复制自身，不“刻意”去感染其他文件，多为窃取信息第五章电子商务安全管理（2）蠕虫病毒（Worm）

是一种通过网络传播的恶性病毒，主要利用计算机设计上的漏洞，通过网络主动将自己扩散出去并进行破坏活动。途径：电子邮件、系统漏洞、聊天软件区别：不使用驻留文件即可在系统之间进行自我复制；传染目标是所有计算机；自行传播、复制，导致网络堵塞、计算机崩溃第五章电子商务安全管理7）病毒防范的基本原则从管理上防范，从技术上防范第五章电子商务安全管理(1)管理方面的防范措施*不随意拷贝和使用未经安全检测的软件*对于系统中的重要数据，最好不要存储在系统盘上，并且随时进行备份*不要随意打开不明来历的邮件，更不要访问不知底细的网站。*采取必要的病毒检测、监察措施，制定完善的管理准则。第五章电子商务安全管理(2)技术方面的防范措施*在系统开机设置中将病毒报警一栏设为“Enable”,以防止病毒感染硬盘引导区。*及时升级系统软件，以防止病毒利用软件的漏洞进行传播。*选用合适的防病毒软件进行实时监测。*及时更新防病毒软件及病毒特征库，防止新病毒的侵入。第五章电子商务安全管理8）常见的计算机病毒CIHILOVEYOUMelissaCodeRed2NimdaW32.Sircam第五章电子商务安全管理9）防病毒软件的选择1）技术支持程度2）技术的先进性和稳定性3）病毒的响应速度4）用户的使用条件及应用环境第五章电子商务安全管理10）常用的防病毒软件国内产品金山毒霸、瑞星、KV国外产品

卡巴斯基、Norton、Mcafee、PC-cillin第五章电子商务安全管理3）拒绝服务攻击一种破坏性的攻击，用户采用某种手段故意占用大量的网络资源，使系统没有剩余资源为其他用户提供服务的攻击。第五章电子商务安全管理4）网络内部的安全威胁来自网络内部的用户攻击或内部用户因误操作造成口令失密而遭受的攻击，是最难防御的攻击。2.网络安全威胁的承受对象1）对客户机的安全威胁2）对WWW服务器的安全威胁3）对数据库的安全威胁4）对通讯设备、线路的安全威胁第五章电子商务安全管理防火墙防火墙就是为了保护网络的安全而是用的技术，它是一种硬件和软件的结合，通过在内网和外网之间建立网关，执行指定的安全控制策略，达到保护内部网免受外部非法用户侵入的目的。FirewallLANInternet第五章电子商务安全管理防火墙的作用1、限制他人进入内部网络，过滤掉不安全服务和非法用户；2、允许内部网的一部分主机被外部网访问，另一部分被保护起来；3、限定内部网的用户对互联网上特殊站点的访问；4、为监视互联网安全提供方便。第五章电子商务安全管理防火墙的类型1）包过滤型基于网络层的防火墙2）代理服务型基于应用层的防火墙第五章电子商务安全管理防火墙的局限性1、限制了有用的网络服务；2、不能防范不经由防火墙的攻击；3、不能防范来自网络内部的攻击；4、不能防范新的网络安全问题。防火墙的管理本地管理、远程管理、集中管理第五章电子商务安全管理5.3商务交易安全5.3.1电子商务交易安全基础1、电子商务交易的安全要求1）信息的保密性。2）信息的完整性。3）通信的不变动性。4）交易各方身份的认证。5）信息的有效性。第五章电子商务安全管理信息的保密性：是指信息内容不能随便被他人获取。信息的完整性：是指信息不被篡改、不被遗漏。信息的不可抵赖、不可否认性：一条信息被发送或被接受后，应该通过一定的方式，保证信息的收发各方都有足够的证据证明接收或发送的操作已经发生。交易双方各身份的认证：要使网上交易成功，参与交易的人首先要能能够确认对方的身份，确定对方的身份与对方所声称的是否一致。信息的有效性：信息的有效性受法律、社团或行业等组织的保护。第五章电子商务安全管理1、密码知识1）密码的概念：密码是隐蔽了真实内容的符号序列。通过数学函数来实现2）密码安全的要素保证至少6个字符以上的密码长度。密码尽量使用英文字母及数字和标点、特殊符号等多种字符的组合。不要使用安全性过低的密码。定期更改密码避免使用重复的密码第五章电子商务安全管理3）密码泄漏的途径有两种窃取密码；别人猜出密码；攻击者获取密码的途径：网上骗取终端盗取网络截取第五章电子商务安全管理3.基本加密方法1）对称加密体制2）非对称加密体制（又称公钥加密体制）第五章电子商务安全管理特点：加密密钥和解密密钥相同注意：由于加密、解密的密钥相同，因此必须妥善保管，防止发送者与接收者之外的其他人获得，又称秘密密钥。对称加密技术(代表性DES)第五章电子商务安全管理对称加密体制的优缺点优点：简化加密的处理缺点：密钥安全交换和管理问题无法鉴别贸易双方的身份第五章电子商务安全管理非对称加密技术(公钥加密体制)(代表RSA)每个用户都有一对密钥：一个私钥由所有者秘密持有，一个公钥由所有者公开。加密明文密文明文解密第五章电子商务安全管理非对称加密体制的优缺点缺点：加密算法复杂，加密和解密的速度比较慢。优点：有效地解决了密钥的安全交换和管理问题;能方便地鉴别贸易双方的身份。第五章电子商务安全管理4文件加密Word文件加密工具—选项—安全性—打开/修改文件时的密码Excel文件加密工具—选项—安全性—打开/修改权限密码WinRar文件加密第五章电子商务安全管理5.3.2安全认证手段1、数字信封数字信封是结合对称加密方法和非对称加密方法实现信息保密传送的技术。第五章电子商务安全管理明文密文明文会话密钥会话密钥数字信封会话密钥乙方公开钥乙方私钥第五章电子商务安全管理2、数字摘要数字摘要是可用于验证通过网络传输收到的文件是否是原始的、未被篡改的文件原文。利用著名的HASH函数任意大小的信息经过HASH变成固定长度的“摘要”不同的信息生成的摘要不同不能通过数字摘要逆运算生成源数据广泛使用HASH函数有MD-5、SHA第五章电子商务安全管理3、数字签名概念：只有信息发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对发送者发送的信息的真实性的一个证明。作用:

①确认当事人的身份，起到了签名或盖章的作用。②能够鉴别信息自签发后到收到为止是否被篡改。初始文件数字摘要数字签名初始文件签名文件加密签名文件数字签名初始文件数字摘要数字摘要一致数字信封KeyKeyB公KeyKeyB私正确初始文件KeyA私keyKey公发送方A接收方B第五章电子商务安全管理4、数字证书数字证书又称数字凭证，就是用电子手段来证实一个用户的身份。数字证书的内部包括：

证书的版本号；

数字证书的序列号；

证书拥有者的姓名；

证书拥有者的公开密钥；

公开密钥的有效期；

签名算法；

办理数字证书的单位；

办理数字证书单位的数字签名。第五章电子商务安全管理数字证书的类型和等级（1）按应用对象分为个人用户证书、企业用户证书、安全邮件证书、服务器证书及代码签名证书（2）按业务类型分为A类证书、B类证书（3）数字证书按安全等级可分为一级证书二级证书三级证书四级证书第五章电子商务安全管理5、认证中心电子商务授权机构（CA）也称为电子商务认证中心（CertificateAuthority）。认证中心主要任务是受理数字证书的申请、签发及对数字证书的管理。认证机构的核心职能是发放和管理用户的数字证书。是一个倒置树形结构第五章电子商务安全管理RCABCAGCACCAMCAPCA第五章电子商务安全管理5.3.3安全交易协议1、安全套接层协议（SSL）1）安全套接层协议是由Netscape公司1994年设计开发的安全协议，主要用于提高应用程序之间的数据的安全系数。保证在所有安装了SSL的客户和服务器通信安全的协议。第五章电子商务安全管理2）提供的服务用户和服务器的身份认证保证数据的保密性维护数据的完整性第五章电子商务安全管理4）SSL协议的评价1）不符合国务院最新颁布的《商用密码管理条例》2）系统安全性差3）运行的基点是商家对客户信息保密的承诺，有利于商家不利于客户。第五章电子商务安全管理2.安全电子交易协议（SET）1）由VISA和MasterCard组织共同制定，1997年5月联合推出。SET是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。第五章电子商务安全管理2）SET协议的目标A.保证参与各方相互隔离；B.保证信息安全传输；C.解决了多方认证问题；D.保证了交易的实时性；E.规范协议和消息格式。“相互隔离”是指商家不能看到客户的帐户和密码信息。3）SET的工作原理消费者定单在线商店支付网关收单银行发卡银行认证中心协商确认审核确认请求确认审核批准认证认证认证第五章电子商务安全管理第五章电子商务安全管理4）SET协议中的角色①持卡人②网上商店③发卡银行④收单银行⑤支付网关⑥CA认证中心第五章电子商务安全管理SET不足之处：A.在交易各方安装相应软件、发放证书。B.协议没有说明收单银行给在线商店付款前，是否必须收到消费者的货物接收证书。C.协议没有担保“非拒绝行为”。D.没有提及在事务处理完成后如何安全地保存或销毁此类数据。第五章电子商务安全管理4.4.3其他安全协议用于网站的S-HTTP、HTTPS用于email的S/MIME、PGP、PEM用于EDI的X.402、X.435用于安全目录检索的X.509第五章电子商务安全管理5.3.5网上贸易安全防骗1.网上银行常用安全手段1）软键盘输入密码方式2）ACTIVEX控件输入密码方式3）动态密码方式口令卡手机短信动态密码锁4）数字证书方式根据数字证书存放位置不同，分为本地下载和USBkey两种方式。第五章电子商务安全管理2.网上银行进行安全交易的方法1）设置、保护好网银