电子商务的安全管理.pptx
《电子商务的安全管理.pptx》由会员分享,可在线阅读,更多相关《电子商务的安全管理.pptx(58页珍藏版)》请在冰豆网上搜索。
第第1111章电子商务的安全管理章电子商务的安全管理教育部高校管理与工程教学指导委员会、机械工业出版社网络安全管理及实用技术网络安全管理及实用技术主编贾铁军副主编嵩天常艳主编贾铁军副主编嵩天常艳编著王雄俞小怡刘雪飞苏庆刚宋少婷编著王雄俞小怡刘雪飞苏庆刚宋少婷全国高校管理与工程类全国高校管理与工程类学科系列规划教材学科系列规划教材目录目录11.211.2电子商务安全管理制度电子商务安全管理制度211.311.3电子商务安全协议和证书电子商务安全协议和证书311.411.4数字证书获取与管理实验数字证书获取与管理实验411.111.1电子商务安全管理概电子商务安全管理概述述111.511.5电子商务安全解决方案电子商务安全解决方案511.611.6本章小结本章小结6目录目录本章要点本章要点电子商务的安全管理制度电子商务的安全管理制度电子商务安全协议和证书电子商务安全协议和证书电子商务安全管理解决方案电子商务安全管理解决方案教学目标教学目标了解电子商务安全技术的概念了解电子商务安全技术的概念理解电子商务安全管理制度制定的原则理解电子商务安全管理制度制定的原则掌握基本安全协议掌握基本安全协议IPSec、SSL、SET和和3-DSECURE学会运用安全管理解决方案学会运用安全管理解决方案重点重点n11.1.111.1.1电子商务概述电子商务概述n1.1.电子商务的概念电子商务的概念在对电子商务认知识的发展和完善过程中,各国政府,学者和企业对在对电子商务认知识的发展和完善过程中,各国政府,学者和企业对其基本概念给出了不同的诠释。
其基本概念给出了不同的诠释。
全球信息基础设施委员会的定义是:
电子商务是以电子通信为手段的经全球信息基础设施委员会的定义是:
电子商务是以电子通信为手段的经济活动,通过这种方式对带有经济价值的产品和服务进行宣传,购买和济活动,通过这种方式对带有经济价值的产品和服务进行宣传,购买和结算。
结算。
IBM公司对电子商务的解释是,电子商务是在公司对电子商务的解释是,电子商务是在Internet的广泛联的广泛联系与传统信息技术系统丰富资源相结合的背景下产生的一种在互联网上系与传统信息技术系统丰富资源相结合的背景下产生的一种在互联网上展开的互相关联的动态商务活动。
展开的互相关联的动态商务活动。
“全球电子商务纲要”是美国政府电子商务发展政策的纲领性文件,其全球电子商务纲要”是美国政府电子商务发展政策的纲领性文件,其中把电子商务定义为“通过中把电子商务定义为“通过Internet进行的各项商务活动,包括广告、进行的各项商务活动,包括广告、交易、支付和服务等”。
交易、支付和服务等”。
11.1电子商务安全管理概述电子商务安全管理概述n电子商务概念的总结电子商务概念的总结政府、企业和个人利用现代计算机设备与网络政府、企业和个人利用现代计算机设备与网络技术实现商业活动的全过程。
是一种基于互联网,以技术实现商业活动的全过程。
是一种基于互联网,以交易双方为主体,以银行电子支付和结算为手段,以交易双方为主体,以银行电子支付和结算为手段,以客户数据为依托的商务模式。
电子商务是集企业管理客户数据为依托的商务模式。
电子商务是集企业管理信息化、金融电子化和商贸信息网络化为一体,旨在信息化、金融电子化和商贸信息网络化为一体,旨在实现信息流、现金流和物流的流动成本最小化,效率实现信息流、现金流和物流的流动成本最小化,效率和效益最大化的现代贸易方式。
和效益最大化的现代贸易方式。
11.1电子商务安全管理概述电子商务安全管理概述n11.1.111.1.1电子商务概述电子商务概述n2.2.电子商务的交易模式电子商务的交易模式
(1)
(1)按照参与交易的对象划分按照参与交易的对象划分2)企业对消费者企业对消费者(BusinesstoCustomer,B2C)模式,是指商模式,是指商业企业与个体消费者间进行的商业活动。
以网络零售业为主线,业企业与个体消费者间进行的商业活动。
以网络零售业为主线,目前有当当网,卓越网等成功案例。
目前有当当网,卓越网等成功案例。
3)消费者对消费者消费者对消费者(CustomertoCustomer,C2C)模式,也称模式,也称网上拍卖模式。
其中代表有淘宝网。
网上拍卖模式。
其中代表有淘宝网。
1)企业对企业企业对企业(BusinesstoBusiness,B2B)模式,是指商业企模式,是指商业企业之间产生的商业活动。
例如,国内著名电子商务网站“阿里巴业之间产生的商业活动。
例如,国内著名电子商务网站“阿里巴巴”。
巴”。
11.1电子商务安全管理概述电子商务安全管理概述n11.1.111.1.1电子商务概述电子商务概述n2.2.电子商务的交易模式电子商务的交易模式
(2)
(2)按照交易产品的类型划分按照交易产品的类型划分2)无形商品交易模式,是指以信息载体形式出现的商品,以网上无形商品交易模式,是指以信息载体形式出现的商品,以网上订阅、付费浏览、广告支持和网上赠与的方式来实现交易。
订阅、付费浏览、广告支持和网上赠与的方式来实现交易。
1)实物商品交易模式,是指传统的有形商品和劳务,通过互联网实物商品交易模式,是指传统的有形商品和劳务,通过互联网进行交易撮合,而交付时通过传统物流来实现交易进行交易撮合,而交付时通过传统物流来实现交易。
11.1电子商务安全管理概述电子商务安全管理概述n3.3.电子商务的交易流程电子商务的交易流程消费者消费者物流中心物流中心商家商家银行或银行或金融机构金融机构企业或政府企业或政府认证机构认证机构电子商务交易电子商务交易涉及相关部门涉及相关部门11.1电子商务安全管理概述电子商务安全管理概述n电子商务的交易流程分为五个环节电子商务的交易流程分为五个环节交易前期准备交易前期准备交易商谈和签订合同交易商谈和签订合同正式交易前的手续办理正式交易前的手续办理交易合同的履行交易合同的履行索赔和复议索赔和复议买卖双方和参加交易的各方在互联网的平台上随时随地进行签约前的准备活动。
买卖双方通过网络平台对相关交易细节进行谈判,在必要的确认和核实的基础上,将双方磋商的结果确定为电子贸易合同。
买卖双方签订合同后到合同开始履行前办理各种手续的过程。
卖方要备货,组货,包装,起运和发货。
双方通过物流跟踪系统掌握货物的流转,金融机构按照合同记录和保存应付款项,当买方确认后,完成放款。
受损方向违约方提出索赔和复议请求,并履行其商定方案。
11.1电子商务安全管理概述电子商务安全管理概述n11.1.211.1.2电子商务安全问题的特征电子商务安全问题的特征1.1.电子商务系统自身的安全问题电子商务系统自身的安全问题2.2.交易传输过程中的信息安全交易传输过程中的信息安全3.3.电子商务企业内部安全管理隐患电子商务企业内部安全管理隐患4.4.电子商务安全的法律保障电子商务安全的法律保障5.5.电子商务的信用安全问题电子商务的信用安全问题6.6.电子商务的支付安全问题电子商务的支付安全问题11.1电子商务安全管理概述电子商务安全管理概述n11.1.311.1.3电子商务安全的概念电子商务安全的概念1.1.物理层的安全管理物理层的安全管理电子商务应用系统实体设备的安全管理电子商务应用系统实体设备的安全管理2.2.软件层的安全管理软件层的安全管理电子商务应用系统和数据的安全管理电子商务应用系统和数据的安全管理3.3.人事层的安全管理人事层的安全管理在电子商务交易过程中涉及到人员的安全管理在电子商务交易过程中涉及到人员的安全管理4.4.信用安全的管理信用安全的管理在电子商务交易过程中建立安全可靠的信用管理体制在电子商务交易过程中建立安全可靠的信用管理体制5.5.电子商务安全立法电子商务安全立法逐步推进和制定相关电子商务的法律法规逐步推进和制定相关电子商务的法律法规11.1电子商务安全管理概述电子商务安全管理概述n11.1.411.1.4电子商务安全管理的要素电子商务安全管理的要素11.1电子商务安全管理概述电子商务安全管理概述数据有效性管理数据有效性管理数据完整性管理数据完整性管理不可否认性管理不可否认性管理系统可靠性管理系统可靠性管理信息保密性管理信息保密性管理n11.1.511.1.5电子商务安全管理的体系结构电子商务安全管理的体系结构11.1电子商务安全管理概述电子商务安全管理概述课堂讨论课堂讨论1.1.什么是电子商务?
你应用过哪些电子商务产品?
什么是电子商务?
你应用过哪些电子商务产品?
2.2.分析一下电子商务安全管理的几大要素。
分析一下电子商务安全管理的几大要素。
3.3.电子商务的交易流程一般分几个步骤?
电子商务的交易流程一般分几个步骤?
11.1电子商务安全管理概述电子商务安全管理概述n11.2.111.2.1电子商务安全管理的原则电子商务安全管理的原则1.1.安全责任到人的管理原则安全责任到人的管理原则2.2.专职安全管理原则专职安全管理原则3.3.减少人为因素原则减少人为因素原则4.4.多人或交叉负责原则多人或交叉负责原则5.5.人员轮岗原则人员轮岗原则6.6.最小权限原则最小权限原则11.2电子商务的安全管理制度电子商务的安全管理制度n11.2.211.2.2电子商务安全管理制度的内涵电子商务安全管理制度的内涵n应用系统集成安全管理制度应用系统集成安全管理制度n数据存储和管理制度数据存储和管理制度n网络传输系统安全管理制度网络传输系统安全管理制度n人员安全管理制度人员安全管理制度11.2电子商务的安全管理制度电子商务的安全管理制度一些新的一些新的IT技术在电子商务系统中的应用,如无线网技术在电子商务系统中的应用,如无线网络、移动存储、远程办公等,使电子商务网络面临的风险络、移动存储、远程办公等,使电子商务网络面临的风险更加复杂化。
威胁电子商务安全的因素涉及电子商务应用更加复杂化。
威胁电子商务安全的因素涉及电子商务应用系统集成、数据存储和管理、网络传输系统和人员安全管系统集成、数据存储和管理、网络传输系统和人员安全管理四方面的内容。
因此,电子商务安全管理制度的内涵也理四方面的内容。
因此,电子商务安全管理制度的内涵也主要针对这四方面做出具体的规范和制约。
主要针对这四方面做出具体的规范和制约。
n1.1.应用系统集成安全管理制度应用系统集成安全管理制度11.2电子商务的安全管理制度电子商务的安全管理制度应用系统集成安全管理制度是从软件开发过程就应用系统集成安全管理制度是从软件开发过程就已经渗透的,对安全问题考虑不周或缺乏整体的规划会给已经渗透的,对安全问题考虑不周或缺乏整体的规划会给应用系统的使用带来无法弥补的硬伤,所以必须在概要设应用系统的使用带来无法弥补的硬伤,所以必须在概要设计阶段就专题规划安全管理的策略;其次,承载着应用系计阶段就专题规划安全管理的策略;其次,承载着应用系统的操作系统的管理也是不可忽视的重要组成部分。
操作统的操作系统的管理也是不可忽视的重要组成部分。
操作系统的动态连接模式,文件交互功能,系统进程等待和为系统的动态连接模式,文件交互功能,系统进程等待和为系统开发人员预留的无口令登录,都需要得到有效的管理系统开发人员预留的无口令登录,都需要得到有效的管理和限制。
最后,应用系统本身的维护和操作管理更是重中和限制。
最后,应用系统本身的维护和操作管理更是重中之重,直接关系到电子商务系统的安全性和可靠性。
之重,直接关系到电子商务系统的安全性和可靠性。
n2.2.数据存储和管理制度数据存储和管理制度11.2电子商务的安全管理制度电子商务的安全管理制度电子商务系统中的数据库和其它计算机系统一样,电子商务系统中的数据库和其它计算机系统一样,是系统的灵魂和核心所在,数据存储和管理制度是保证是系统的灵魂和核心所在,数据存储和管理制度是保证数据库在极端情况下也能维持正常功能,而且不被非法数据库在极端情况下也能维持正常功能,而且不被非法入侵和蓄意破坏。
比如当数据库中存在不符合语义的数入侵和蓄意破坏。
比如当数据库中存在不符合语义的数据和由于错误信息的输入而造成无效操作和错误结果的据和由于错误信息的输入而造成无效操作和错误结果的情况。
或者在多个用户并行地存取共享数据资源时,就情况。
或者在多个用户并行地存取共享数据资源时,就可能造成取出时的数据和存入时的数据不一致的结果。
可能造成取出时的数据和存入时的数据不一致的结果。
这就需要采用具备良好的自身保护机制和并发处理机制这就需要采用具备良好的自身保护机制和并发处理机制的分布式数据库管理系统来完成,使得外部用户无法破的分布式数据库管理系统来完成,使得外部用户无法破解存储在单元表中的信息。
并利用系统自身的加密功能解存储在单元表中的信息。
并利用系统自身的加密功能防御外来程序的攻击。
防御外来程序的攻击。
n3.3.网络传输系统安全管理制度网络传输系统安全管理制度11.2电子商务的安全管理制度电子商务的安全管理制度电子商务系统的流转必须通过网络传输完成,在信电子商务系统的流转必须通过网络传输完成,在信息中心没有找到入侵缺口的攻击者就会将网络传输定为息中心没有找到入侵缺口的攻击者就会将网络传输定为攻击的下一个重要目标。
国际标准化(攻击的下一个重要目标。
国际标准化(ISO)把网络管)把网络管理制度划分为五个领域,分别是:
故障、性能,配置,理制度划分为五个领域,分别是:
故障、性能,配置,记账和安全。
“故障管理”负责检测或发现异常的网络记账和安全。
“故障管理”负责检测或发现异常的网络运转,隔离并控制网络问题。
“性能管理”负责分析网运转,隔离并控制网络问题。
“性能管理”负责分析网络出错率及网络吞吐率,以建立合理、优化的网络运行络出错率及网络吞吐率,以建立合理、优化的网络运行状态。
“记账管理”负责搜集资源、处理资源和利用数状态。
“记账管理”负责搜集资源、处理资源和利用数据。
“配置管理”负责检测网络的物理和逻辑配置据。
“配置管理”负责检测网络的物理和逻辑配置,把把握和控制网络状态。
握和控制网络状态。
“安全管理”负责控制各种对网络“安全管理”负责控制各种对网络的访问。
通过对这五个领域的网络管理制度的细化,可的访问。
通过对这五个领域的网络管理制度的细化,可以更有效地防范在网络传输环节上的系统风险。
以更有效地防范在网络传输环节上的系统风险。
n4.4.人员安全管理制度人员安全管理制度11.2电子商务的安全管理制度电子商务的安全管理制度计算机网络犯罪,往往具备智能型、隐蔽性和连续计算机网络犯罪,往往具备智能型、隐蔽性和连续性的特点。
一些所谓精英,抓住系统漏洞,自以为技高性的特点。
一些所谓精英,抓住系统漏洞,自以为技高一筹,可以做到不露蛛丝马迹,而铤而走险。
结果从企一筹,可以做到不露蛛丝马迹,而铤而走险。
结果从企业的骨干力量嬗变成可悲的犯罪分子。
所以需要有效的业的骨干力量嬗变成可悲的犯罪分子。
所以需要有效的安全管理制度才能约束和纠正人员的行为,做到预防为安全管理制度才能约束和纠正人员的行为,做到预防为主。
安全制度的制定实施,首先要增强人员的整体安全主。
安全制度的制定实施,首先要增强人员的整体安全意识,提高安全手段和策略实施的技巧,并区分不同对意识,提高安全手段和策略实施的技巧,并区分不同对象,制定针对不同类型对象的不同安全管理制度。
象,制定针对不同类型对象的不同安全管理制度。
n11.2.311.2.3电子商务系统的日常维护制度电子商务系统的日常维护制度1.1.执行严格的出入管理制度执行严格的出入管理制度2.2.网络系统的日常维护制度网络系统的日常维护制度33对支撑软件的日常维护制度对支撑软件的日常维护制度44严格执行密码管理规定和保密制度严格执行密码管理规定和保密制度55认真执行病毒防范制度认真执行病毒防范制度66运行中心和开发调试机房隔离制度运行中心和开发调试机房隔离制度77操作日志制度操作日志制度88检查考核制度检查考核制度11.2电子商务的安全管理制度电子商务的安全管理制度n11.2.511.2.5备份、审计和应急管理备份、审计和应急管理n软硬件的备份管理软硬件的备份管理n网络交易日志审计据存储和管理制度网络交易日志审计据存储和管理制度n应急预案与应急措施应急预案与应急措施11.2电子商务的安全管理制度电子商务的安全管理制度n11.2.411.2.4备份、审计和应急管理备份、审计和应急管理n软硬件的备份管理软硬件的备份管理n网络交易日志审计据存储和管理制度网络交易日志审计据存储和管理制度n应急预案与应急措施应急预案与应急措施课堂讨论课堂讨论1.如何减少人为因素对电子商务安全的干扰?
如何减少人为因素对电子商务安全的干扰?
2.结合具体单位,制定本单位的机房安全管理细结合具体单位,制定本单位的机房安全管理细则。
则。
3.电子商务中的灾难事件是指什么?
电子商务中的灾难事件是指什么?
11.3.111.3.1电子商务安全协议概述电子商务安全协议概述表表11-111-1常用安全协议概要常用安全协议概要协议名称协议名称层次层次协协议议概概要要S-HTTP应用层EIT公司开发的基于HTTP协议的安全协议,仅适用于HTTP连接,可提供通信保密、身份识别、可信赖的信息传输服务及数字签名等功能。
S/MIME应用层应用层邮件传输协议MIME上实现的邮件传输安全协议,可以实现邮件加密和数字署名。
常见的OutlookExpress和NetscapeMessenger等通信软件都实装此协议。
SET应用层Visa和Master信用卡组织共同开发的在网上利用信用卡进行安全支付的协议。
3-DSECURE应用层Visa信用卡组织为克服SET协议复杂难用的缺点推出的支付用新的安全协议。
比SET的安全性稍弱,但是大大提高了易用性。
SSL/TLS传输层SSL是Netscape公司开发的用于对互联网上数据进行加密传输的一个协议。
IETF在SSL3.0的基础上进行了标准化,被称为TLS协议。
IPsec网络层IETF制定的一组基于IP网络的安全通讯协议,包括数据格式协议、密钥交换和加密算法等。
PPTP链路层由微软公司开发的安全协议,除了是建立在数据链路层上之外,功能和IPsec基本相同,这使得它在一些不能使用IPsec的网络里也可以用该协议来建立VPN。
11.3电子商务安全协议和证书电子商务安全协议和证书n11.3.211.3.2基于网络层的安全协议基于网络层的安全协议-IPSec-IPSecIPsecIPsec是一系列协议的总称,下面介绍其中核心的三个协议:
是一系列协议的总称,下面介绍其中核心的三个协议:
nIKEIKE(InternetKeyExchangeInternetKeyExchange)协议)协议nESPESP(EncapsulatingSecurityPayloadEncapsulatingSecurityPayload)协议)协议nAHAH(AuthenticationHeaderAuthenticationHeader)协议)协议11.3电子商务安全协议和证书电子商务安全协议和证书IPsec协议是由国际标准化组织协议是由国际标准化组织IETF制定的加密通信制定的加密通信协议,协议,IPsec的特征是不仅仅针对某种应用程序提供加密的特征是不仅仅针对某种应用程序提供加密功能,而且是提供把主机间的所有通信都加密的一种通信功能,而且是提供把主机间的所有通信都加密的一种通信方式。
方式。
IPsec并没有指定特定的加密算法,因为随着计算并没有指定特定的加密算法,因为随着计算机计算能力的增强,原来安全的加密算法将变得不再安全机计算能力的增强,原来安全的加密算法将变得不再安全,可以灵活变更加密算法的设计使得,可以灵活变更加密算法的设计使得IPsec能够有更长久能够有更长久的生命力。
的生命力。
1.1.密码交换协议密码交换协议-IKE-IKEIKE加密通信由两个阶段构成,第一阶段在决定第二阶段的加密算法的同时,生成密钥。
这时利用Diffie-Hellman密钥交换方式,通信双方互送一个随机数,并根据这个随机数生成一个双方共用的密钥,而网络窃密者即使得到了同样的随机数,也不能在短时间内生成这个密钥。
在生成了这个密钥后,就进入第二阶段,变成IKE密码通信。
在这个阶段双方交涉完成加密算法确定,密钥交换工作,为以后的数据通信做好准备。
在这个阶段,SPI(SecurityPointerIndex)也被确定下来,SPI是一个32位的整数,包含有通信中使用的加密算法和密钥信息,在以后的数据通信中SPI被插入到每个通信的数据包中。
11.3电子商务安全协议和证书电子商务安全协议和证书2.2.数据传送协议数据传送协议-ESP-ESP图11-2数据传送协议ESP构造示意图图11-2数据传送协议ESP构造示意图11.3电子商务安全协议和证书电子商务安全协议和证书3.3.安全性和认证协议安全性和认证协议-AH-AHAH协议为IP通信提供数据源认证、数据完整性和反重播确保,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据,它可以在一些不允许使用加密通信的场合保证最低限度的安全性和认证能力。
AH的工作原理是在每一个数据包上添加一个身份验证报头。
此报头包含一个带密钥的MAC数据,和上一节讲述的一样,这个MAC数据根据整个数据包来计算,对数据的任何更改将导致MAC数据无效,这样就提供了完整性保护。
11.3电子商务安全协议和证书电子商务安全协议和证书n11.3.311.3.3基于传输层的安全协议基于传输层的安全协议-SSL-SSL1.1.SSLSSL安全协议的原理和构造安全协议的原理和构造2.2.SSL(SecureSocketLayer)SSL(SecureSocketLayer)协议是加密、认证以及完协议是加密、认证以及完整性保证的协议。
该协议位于整性保证的协议。
该协议位于OSIOSI模型的第五层会话层和第模型的第五层会话层和第四层传输层之间,从应用层来看是完全透明的,可以方便地四层传输层之间,从应用层来看是完全透明的,可以方便地应用于应用于HTTPHTTP、FTPFTP、TELNETTELNET等协议之下。
等协议之下。
11.3电子商务安全协议和证书电子商务安全协议和证书11.3电子商务安全协议和证书电子商务安全协议和证书11.3电子商务安全协议和证书电子商务安全协议和证书11.3.411.3.4基于应用层的安全协议基于应用层的安全协议-SET-SET和和3-D3-DSECURESECURE1.1.SETSET协议协议n.SETSET协议是用于网上信用卡支付的协议,由美国协议是用于网上信用卡支付的协议,由美国VisaVisa组组织和织和MasterMaster组织共同开发,微软、网景、组织共同开发,微软、网景、IBMIBM等公司联合进等公司联合进行了标准化的一个协议。
它的加密算法采用行了标准化的一个协议。
它的加密算法采用DESDES或或RSARSA,数,数字签名采用字签名采用RSARSA方式。
为了能够进行安全的交易,该协议规方式。
为了能够进行安全的交易,该协议规定会员(消费者),加盟店(网上商店),支付金融机关定会员(消费者),加盟店(网上商店),支付金融机关(信用卡公司、银行等)这三者都必须取得证书,并为他们(信用卡公司、银行等)这三者都必须取得证书,并为他们制定了严格的交易流程。
制定了严格的交易流程。
n.利用利用SET
升级会员 