第九章-电子商务安全

1、第九章了解电子商务安全和风险管理、学习要点和目标1 .理解电子商务安全的基本要求2 .理解电子商务面临的主要安全威胁3 .熟悉电子商务常用的加密技术、访问控制和认证技术4 .防火墙、VPN 了解入侵检测系统的基本原理和SET和SSL协议，本章的主要内容是第一节电子商务安全的概念第二节威胁和攻击的种类第三节电子商务通信安全第四节电子商务网络安全、第一节电子商务安全的概念、第一、电子商务安全的概念第二、电子商务安全的主要问题第三、 电子商务安全问题产生的原因第4，对电子商务安全的基本需求第5，电子商务的安全管理战略，第1，电子商务安全的概念电子商务系统硬件安全电子商务系统软件安全安全电子商务系统运

2、行安全电子商务安全立法，二，电子商务安全的主要问题， 网络协议安全问题用户信息安全问题电子商务网站的安全问题，三，电子商务安全问题的产生原因，管理问题技术环境问题，四，基本需求信息对电子商务安全的机密性/机密性信息的完整性信息的有效性信息的不可否认性信息的认证性/交易者身份完整性系统的可靠性审查能力、五、电子商务安全管理战略、物理安全战略自然灾害安全战略人风险防范战略硬件保护战略管理战略灾害恢复战略灾害备份数据恢复第二节威胁和攻击种类入侵病毒二、扩展类威胁三、网络侵害四、黑客网络攻击的发展趋势、一、入侵病毒、系统病毒蠕虫木马病毒、黑客病毒脚本病毒破坏程序病毒笑话病毒增强的威胁间谍软件(Spyw

3、are )广告钓鱼(Phishing )放置特洛伊特洛伊木马程序，以监听信息或拒绝盗窃服务，三、侵犯互联网， 电子邮件攻击获得www欺骗技术密码网络监听利用帐户盗窃特权，四、黑客网络攻击的发展趋势盗窃个人信息“僵尸”入侵Adware，Spyware篡改垃圾邮件，第三节电子商务通信的安全性，一PKI，一、访问控制和身份认证(1)密码介绍(2)对称密码系统和DES算法(3)非对称密码系统和RSA算法(4)数字摘要和Hash算法(5)数字签名(6)数字信封(7)数字加密解密密钥加密算法、对称加密系统和DES算法数据加密标准DES对称加密机制加密过程、非对称加密系统和RSA算法、RSA算法非对称加密体

4、制的工作流、数字摘要和Hash算法、Hash算法数字签名、数字信封、数字时间戳、SET配置文件、安全电子交易(SET )协议、SET协议是由在开放网络上安全有效的银行卡交易签证(Visa )公司和主卡公司共同开发的SSL概述，安全套接字层(SSL )协议。 SSL协议是Netscape在网络传输层上提供的基于RSA和私钥的浏览器与Web服务器之间的安全连接技术。PKI、(一) PKI的定义(二) PKI的基本结构(三) PKI的优点、PKI的定义，PKI是公共密钥基础结构的简称“公钥基础结构”，用公钥的概念和技术来实施，支持公钥的管理、可靠性、机密性PKI的基本配置，认证机构(CA )数字证书

5、库密钥的备份和恢复系统证书撤销系统应用接口(API )，PKI优势，支持数字签名保护机密性的用户拥有自己的证书撤销机制的强大的互连能力，第四节电子商务网第一、防火墙技术、第二、VPN三、入侵检测系统、第一、防火墙技术(1)防火墙的基本概念(2)防火墙的配置(3)防火墙的功能(4)防火墙的优点(5)防火墙的类型防火墙的基本概念，计算机网络的防火墙是在结合了软件和硬件设备的内部网(可信安全网络)和外部网络(不可靠的网络环境)的接口上构建的危害证明。 未经授权的外部访问电子欺诈特洛伊木马泛滥，防火墙的优点，1 .保护容易受到攻击的服务2 .控制对特殊站点的访问3 .集中安全管理4 .网络访问记录和统

6、计，防火墙类型， 包过滤型防火墙应用网关型防火墙电路层的网关规则来检查防火墙，防火墙的安全策略和界限、防火墙的安全策略未被授权访问的服务是防火墙的极限防火墙无法阻止来自内部的破坏防火墙。 绕过的连接防火墙无法完全防止新出现的网络威胁防火墙。 防止不了病毒。 二、VPN、(一) VPN (二) VPN的特征(三) VPN安全技术(四) VPN解决方案，VPN是VPN的英语全名为Virtual Private Network，中文称为虚拟专用网，虚拟专用网VPN是通过公共网络(通常是因特网)建立暂时安全的连接，通过混乱的公共网络的安全稳定的隧道。 VPN是企业内部网的扩展，有助于远程用户、公司分公

7、司、业务合作伙伴和供应商与公司内部网建立可靠的安全连接，并确保数据的安全传输。VPN的特征、安全服务质量保证可扩展性和灵活性管理性、VPN安全技术、隧道技术和解密技术密钥管理技术用户和设备认证技术、VPN解决方案、accessVPN内部网VPNextranetVPN，三、入侵检测系统(1)入侵检测入侵检测系统的功能(3)入侵检测系统的CEDF模型(4)入侵检测系统的分类(5)入侵检测技术，入侵检测系统的概念，入侵检测，如名字所示对入侵行为的发现。 它通过收集和分析计算机网络或计算机系统的几个重要点的信息，来发现网络或系统是否有违反安全策略的行为或攻击的迹象。 入侵检测系统的功能，(1)监视和分析用户和系统的活动；(2)检查系统的结构和脆弱性；(3)评估系统的重要资源和数据文件的完整性；(4)识别已知的攻击行为；(5)统