电子商务概论（第八版）课件 项目七 把握电子商务安全技术

电子商务概论（第八版）“十二五”职业教育国家规划教材经全国职业教育教材审定委员会审定项目七

把握电子商务安全技术任务一

初探电子商务安全需求任务二

掌握电子商务安全的相关技术任务三

理解电子商务安全管理项目描述电子商务安全是进行电子商务活动的前提,它涉及计算机网络安全和商务交易安全,二者相辅相成、缺一不可。把握电子商务安全技术要从网络安全技术、信息与交易安全技术入手,了解防火墙技术、虚拟专用网技术、防病毒技术、信息加密技术以及数字证书、数字认证、电子签名技术等内容。项目目标通过本项目学习,使学生对电子商务安全有一定的认识,对电子商务安全技术有系统了解;能够运用所学所练,解决一些网络系统安全、交易信息传输安全、信用安全、支付安全等一系列电子商务安全问题,有效规避网络风险,保障电子商务活动有序进行。通过本项目的学习,深刻体会网络安全的重要性,同时要注意在电子商务运营或者交易过程中遵守法律法规,避免违法情况发生。任务一初探电子商务安全需求任务一

初探电子商务安全需求【知识目标】

熟悉电子商务安全的概念和特点,了解电子商务安全需求。【技能目标】

了解近年来电子商务重大安全事件,对电子商务安全需求有清晰地认识。【素质目标】

体会网络并非法外之地。学习目标任务一

初探电子商务安全需求一、电子商务安全的概念计算机网络安全的内容包括计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全为目标。(一)计算机网络安全商务交易安全紧紧围绕传统商务在互联网上应用时产生的各种安全问题,在计算机网络安全的基础上,保障以电子交易和电子支付为核心的电子商务的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等。(二)商务交易安全任务一

初探电子商务安全需求二、电子商务安全需求(一)有效性(二)机密性(三)完整性(四)可靠性(五)不可否认性三、电子商务安全问题(一)网络系统安全问题1.物理实体的安全问题2.计算机软件系统的安全漏洞3.TCP/IP的安全缺陷4.黑客的恶意攻击5.计算机病毒的危害6.安全产品使用不当任务一

初探电子商务安全需求三、电子商务安全问题(二)交易信息传输的安全问题1.冒名窃取2.篡改数据3.信息丢失4.信息破坏5.信息伪造(三)电子商务的信用安全问题1.来自买方的信用问题2.为自卖方的信用问题3.买卖双方都存在的拘束问题任务一

初探电子商务安全需求三、电子商务安全问题(四)电子商务支付的安全问题(1)在通信线路上进行窃听,并滥用收集的数据。(2)向经过授权的支付系统参与方发送伪造的消息,以破坏系统的正常运作来截获交换的财产(如商品、现金等)。(3)不诚实的支付系统参与方,试图获取并滥用职权读取或使用的支付交易数据。请调查你所在学校网络中心现有的防火墙是硬件防火墙还是软件防火墙,记下该防火墙的相关信息。实践任务任务二掌握电子商务安全的相关技术任务二

掌握电子商务安全的相关技术【知识目标】

了解电子商务安全领域涉及的安全技术以及每种技术的特征及适用。【技能目标】

掌握防火墙技术、VPN技术、信息加密技术以及电子签名技术的相关知识并

能理解每种技术的运作场合。【素质目标】

通过学习电子商务安全的相关技术,体会网络犯罪的可追溯性,提高遵纪守法的意识。学习目标任务二

掌握电子商务安全的相关技术一、电子商务网络安全技术(一)防火墙技术1.防火墙的基本概念

防火墙是在一个被认为是安全和可信的内部网和一个被认为不那么安全和可信的外部网(如Internet)之间提供的一个由软件和硬件设备共同组成的安全防御工具。2.防火墙的主要功能(1)动态包过滤技术。(2)部署NAT。(3)控制不安全的服务。(4)集中的安全保护。(5)加强对网络系统的访问控制。(6)网络连接的日志记录及使用统计。(7)报警功能。任务二

掌握电子商务安全的相关技术一、电子商务网络安全技术(一)防火墙技术3.防火墙的基本类型(1)分组过滤型防火墙分组过滤或包过滤通常在路由器上实现,是一种通用、廉价、有效的安全手段,能很大程度地满足企业的安全要求。(2)应用代理型防火墙应用代理也叫应用网关,它作用在应用层,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层的通信流。(3)状态检测防火墙网关防火墙的一个挑战就是吞吐量,开发状态检测功能是为了让规则能够运用到会话发起过程,从而在大为提高安全防范能力的同时也改进了流量处理速度。任务二

掌握电子商务安全的相关技术一、电子商务网络安全技术(二)虚拟专用网技术1.隧道技术隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。2.加解密技术加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。3.密钥管理技术钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP两种。4.使用者与设备身份认证技术使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。任务二

掌握电子商务安全的相关技术一、电子商务网络安全技术(三)入侵检测技术1.基于主机入侵检测系统基于主机入侵检测通过全面监测主机的状态与用户操作进行检测分析,可以检测到主机、进程或用户的异常行为,在受保护主机上有专门的检测代理系统,通过对系统日志和审计记录不间断监视与分析来发现系统的攻击,及时发送警告信息和采取相应的措施来阻止攻击作用,其主要目的是在事件发生之后,能够提供足够分析来阻止进一步的攻击。2.基于网络入侵检测系统基于网络入侵检测系统置于网络中比较重要的位置,可以不间断地监测网段中各种数据包,并且可以对每一个数据包或者可疑数据包进行特征分析与研究。基于网络入侵检测系统可以使用原始网络数据包作为数据源,保护网络正常运行,如果这些数据包与产品内置某些规则相吻合,则入侵检测系统就会发出警报甚至直接切断网络连接来进行防御,目前入侵检测系统大部分产品是基于网络的。任务二

掌握电子商务安全的相关技术二、CA认证技术(一)CA认证(二)数字证书三、信息加密技术1.对称加密技术对称加密技术,是指加密密钥与解密密钥相同的加密技术,即加密一方与解密一方使用相同的密钥分别进行加密和解密。2.非对称加密技术非对称加密技术,是指加密密钥与解密密钥不相同的加密技术,即加密一方与解密一方使用并不相同的密钥进行加密和解密。任务二

掌握电子商务安全的相关技术四、电子签名技术(一)电子签名的定义

电子签名是指数据电文中以电子形式所含、所附,用于识别签名人身份并表明签名人认可其中内容的数据。(二)电子签名的性质1.无具象签名实体2.能识别签名人身份3.认可相关内容4.无法否认或者抵赖5.验证原始信息是否被篡改6.具有与手写签名同等法律效力任务二

掌握电子商务安全的相关技术四、电子签名技术(三)基于PKI的电子签名1.PKI相关术语2.电子签名的实现基于PKI的电子签名被称作“数字签名”。这种技术完全符合《电子签名法》中对电子签名的各项要求,是目前真正具有实际意义并能够实现的、安全的电子签名技术。电子签名就是发送人用自己的私钥对信息摘要进行加密后得到的结果。通过电子签名,可以防止用户对自己的行为进行抵赖。任务二

掌握电子商务安全的相关技术请同学们到附近银行的营业窗口进行调研:你会发现大多数银行营业窗口在办理业务时都要求用户在电子屏幕上进行手写签名,以确认相关信息内容。这些在电子屏幕上的签名与本任务中所提到的电子签名是否是一回事,为什么?实践任务任务三理解电子商务安全管理任务三

理解电子商务安全管理【知识目标】

理解移动电子商务模式的概念以及移动电子商务模式运行的机理。【技能目标】

学会分析移动电子商务模式。【素质目标】

网络中要保护好个人的隐私信息,防止被滥用。学习目标任务三

理解电子商务安全管理一、信息安全体系与安全模型(一)信息安全体系建设的必要性为保证电子商务安全,需要从整体上考虑信息安全体系的建设。设计安全体系的目的是指导信息安全建设工作,包括确定安全建设的目标、制定和实施安全解决方案、检验安全实施效果等,基于以上认识,我们可以得出这样的结论:一个真正适合信息安全现实发展状况的安全体系,绝不应该是将需求、过程和结果融为一体的大而全的东西,而只是一种能够清晰描述信息安全目标形态和构成要素的模型或者框架,在这个模型或框架中,信息安全的特点能够得以展现,技术和管理的关系也应该清晰明了。任务三

理解电子商务安全管理一、信息安全体系与安全模型(二)信息安全体系模型1.模型最核心的部分就是安全策略2.模型的中间层为三个基本要素3.模型的最外层是四个环节任务三

理解电子商务安全管理二、构建完善的电子交易系统管理制度(一)企业内部网络系统根据网络覆盖范围,一般可分为局域网和广域网。由于不同计算机硬件不一样,为方便联网和信息共享,需要将Internet的联网技术应用到LAN中组建企业内部网(Intranet),它的组网方式与Internet一样,但使用范围局限在企业内部。(二)企业管理信息系统企业管理信息系统是功能完整的电子商务系统的重要组成部分,它的基础是企业内部信息化,即企业建设有内部管理信息系统。企业管理信息系统是一些相关部分的有机整体,在组织中发挥收集、处理、存储和传送信息的作用,以及支持组织进行决策和控制。任务三

理解电子商务安全管理二、构建完善的电子交易系统管理制度(三)电子商务站点电子商务站点是指在企业Intranet上建设的具有销售功能的,能连接到Internet上的WWW站点。电子商务站点起着承上启下的作用,一方面,它可以直接连接到Internet,企业的顾客或者供应商可以直接通过网站了解企业信息,并直接通过网站与企业进行交易。另一方面,它将市场信息同企业内部管理信息系统连接在一起,将市场需求信息传送到企业管理信息系统,然后,企业根据市场的变化组织经营管理活动;它还可以将企业有关经营管理信息在网站上进行公布,使企业业务相关者和消费者可以通过网站直接了解企业经营管理情况。(四)实物配送进行网上交易时,如果用户与消费者通过Internet订货、付款后,不能及时送货上门,便不能实现满足消费者的需求。任务三

理解电子商务安全管理二、构建完善的电子交易系统