电子商务安全技术课件

《电子商务概论》国家精品课程第8章电子商务安全技术1感谢你的观看2019年9月14目录

8.1电子商务中安全要素及面临的安全问题8.2病毒及黑客防范技术8.3防火墙技术8.4加密算法8.5基于公开密钥体系的数字证书认证技术8.6安全套接层（SSL）协议8.7安全电子交易（SET）分析8.8Windows系统中证书的应用8.9信息安全管理2感谢你的观看2019年9月148.1电子商务中安全要素及面临的安全问题

8.1.1电子商务的基本安全要素

有效性机密性完整性可靠性/不可抵赖性/可鉴别性审查能力

3感谢你的观看2019年9月148.1.2电子商务中的安全问题

信息泄漏窜改身份识别问题电脑病毒问题黑客问题8.1电子商务中安全要素及面临的安全问题

4感谢你的观看2019年9月148.2病毒及黑客防范技术

8.2.1.单机病毒

DOS病毒、Windows病毒和宏病毒

8.2.2网络病毒及其防范特洛伊木马和邮件病毒

8.2.3网上炸弹及其防范

IP炸弹、邮件炸弹、ICQ/QICQ炸弹

5感谢你的观看2019年9月148.3防火墙技术

8.3.1防火墙定义

防火墙是：内部网与外部网之间安全防范访问控制机制

8.3.2防火墙技术数据包过滤应用网关代理服务

8.3.3防火墙技术的发展6感谢你的观看2019年9月148.4加密算法

7感谢你的观看2019年9月148.4.1对称密钥加密算法

DES（DataEnercryptionStandard）8.4.2非对称密钥加密算法

RSA（RivestShamirAd1eman）8.4.3散列函数

MD-5、SHA8.4加密算法

8感谢你的观看2019年9月148.4.4一种组合的加密协议加密过程：9感谢你的观看2019年9月148.4.5一种组合的加密协议解密过程：10感谢你的观看2019年9月148.5基于公开密钥体系体系的数字证书认证技术

8.5.1公开密钥体系的定义

公开密钥体系（PublicKeyInfrastructure：PKI），是一种遵循既定标准的密钥管理平台，是为网络应用提供加密和数字签名等密码服务及所需密钥和证书的管理体系。8.5.2CA认证中心及数字证书

CA是一个负责发放和管理数字证书的权威机构

11感谢你的观看2019年9月148.5.3数字证书类型个人身份证书企业身份证书服务器身份证书企业代码签名证书安全电子邮件证书8.5基于公开密钥体系体系的数字证书认证技术

12感谢你的观看2019年9月148.6安全套接层（SSL）协议

8.6.1概述

SSL(SecureSocketsLayer)安全套接层协议：提供了两台计算机之间的安全连接，对整个会话进行了加密，从而保证了安全传输

SSL协议分为两层：SSL握手协议和SSL记录协议

13感谢你的观看2019年9月148.6.2SSL协议安全连接特点：(1)连接是保密的(2)连接是可靠的

(3)对端实体的鉴别采用非对称密码体制进行认证。8.6安全套接层（SSL）协议

14感谢你的观看2019年9月14SSL握手协议15感谢你的观看2019年9月14SSL记录协议

内容类型协议版本号长度数据有效载荷信息验证码16感谢你的观看2019年9月148.7安全电子交易SET分析

8.7.1安全电子商务模型InternetInternet支付网络证书权威机构支付网关支付者发卡者持卡人商家17感谢你的观看2019年9月148.7.2SET的购物流程

8.7.3SET的认证8.7安全电子交易SET分析

18感谢你的观看2019年9月148.8Windows系统中证书的应用

8.8.1在Windows系统中使用个人数字证书

8.8.2服务器证书申请及安装

8.8.3Windows2000系统中证书服务的安装

19感谢你的观看2019年9月148.9信息安全管理8.9.1建立信息安全管理体系的作用与意义

信息安全管理体系ISMS（InformationSecuritryManagementSystems）是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。20感谢你的观看2019年9月14建立信息安全管理体系产生的作用：

1．强化员工的信息安全意识，规范组织信息安全行为；

2．对组织的关键信息资产进行全面系统的保护，维持竞争优势；

3．在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；

4．使组织的生意伙伴和客户对组织充满信心；

5．如果通过体系认证，表明体系符合标准，证明组织有能力保障重要信息，提高组织的知名度与信任度；

6．促使管理层坚持贯彻信息安全保障体系。8.9信息安全管理21感谢你的观看2019年9月14

8.9.2我国信息安全管理现状

1．缺乏权威、统一立法管理机构，致使一些信息安全管理方面的法律法规不成体系和执行难度较大。2．在IT系统建设过程中没有充分考虑，导致后期安全建设和管理工作比较被动，同时业务的发展及IT的建设与信息安全管理建设不对称；3．目前现状多局限于局部性地使用安全产品，或使用有洞补洞的方式被动地解决问题，缺乏科学的、全面的安全管理规划；8.9信息安全管理22感谢你的观看2019年9月144．目前的技术人员多偏重于网路、主机及应用系统开发，安全管理的力量薄弱；5．缺少法律法规的约定方法去进行管理。6．信息安全管理应该是全员参与领导支持，但是多数企业的领导还是没有时间和精力顾及这方面的工作。8.9信息安全管理23感谢你的观看2019年9月148.9.3信息安全管理标准1．国际信息安全管理标准ISO/IEC13335、ISO/IEC27000系列

2、我国信息安全管理相关标准

GB17895-1999《计算机信息系统安全保护等级划分准则》GB/T18336:2001信息技术安全性评估准则

GB/T20269-2006《信息安全技术信息系统安全管理要求》

8.9信息安全管理24感谢你的观看2019年9月148.9.4信息安全管理体系模型PDCA模型25感谢你的观看2019年9月148.9.5信息安全管理体系建设思路建立信息安全管理体系的主要步骤：1．信息安全管理体系策划与准备2．确定信息安全管理体系适用的范围3．现状调查与风险评估4．建立信息安全管理框架5．信息安全管理体系文件编写6．信息安全管理体系的运行与改进7．