第一部分电子商务安全概述教学课件

ISBN 9787113121358 2010年11月本书配套网站 http:/第一章 电子商务安全概述http:/教学建议 v教学目的：教学目的：v本课程教学的目的在于让学生了解保障电子商本课程教学的目的在于让学生了解保障电子商务安全的基本技术和管理方法，帮助学生在将务安全的基本技术和管理方法，帮助学生在将来从事电子商务实际工作时树立良好的安全意来从事电子商务实际工作时树立良好的安全意识；并能通过对电子商务安全的学习进一步理识；并能通过对电子商务安全的学习进一步理解电子商务的运行机制，底层实现和当前电子解电子商务的运行机制，底层实现和当前电子商务存在的安全问题商务存在的安全问题教学视频教学视频http:/目录v1.1 进一步认识电子商务进一步认识电子商务v1.2 电子商务安全的内涵电子商务安全的内涵v1.3 电子商务安全的基本需求电子商务安全的基本需求v1.4 电子商务安全技术电子商务安全技术v1.5 电子商务安全体系结构电子商务安全体系结构http:/回顾：电子商务的概念电子商务电子商务目的：实现商务活动的高目的：实现商务活动的高效、便捷、利润最大化效、便捷、利润最大化买方、卖方、提供交易平台买方、卖方、提供交易平台的第三方，通过的第三方，通过Internet进行进行交易信息交换交易信息交换的过程的过程以以Internet为基础的商务为基础的商务活动活动http:/电子商务的主要类型 企业对企业企业对企业B2B（阿里巴巴网站）（阿里巴巴网站）企业对消费者企业对消费者B2C（当当网、卓越网）（当当网、卓越网）1.按照参与交易的主体来划分按照参与交易的主体来划分消费者对消费者消费者对消费者C2C（淘宝、易趣、百度（淘宝、易趣、百度有啊和腾讯拍拍）有啊和腾讯拍拍）http:/电子商务的主要类型v有形产品的电子商务有形产品的电子商务w产品特点：体积小、便于运输；w价值不是特别大；w主要购买群体是年轻人或网民 v无形产品的电子商务无形产品的电子商务w产品特点：数字产品，无形产品或服务 w所交易的产品可通过Internet直接传送，w不需要考虑物流的问题 2.按照交易的产品类型划分按照交易的产品类型划分http:/电子商务系统的组成 v 电子商务系统的总体框架结构可分为三层电子商务系统的总体框架结构可分为三层应用应用系统系统基础平台基础平台网络平台网络平台http:/电子商务在我国的发展现状 我国电子商务目前已步入务实发展阶段我国电子商务目前已步入务实发展阶段，特点特点w 大型企业电子商务应用开始进入协同商务阶段大型企业电子商务应用开始进入协同商务阶段 w 中小企业电子商务应用意识普遍提高；中小企业电子商务应用意识普遍提高；w 网络购物规模迅速扩大网络购物规模迅速扩大 w 电子商务专业化服务体系正在形成电子商务专业化服务体系正在形成 w 电子商务在社会经济生活中应用日趋广泛电子商务在社会经济生活中应用日趋广泛 w 电子商务在应对金融危机、举办北京奥运、抗电子商务在应对金融危机、举办北京奥运、抗击自然灾害中的作用日益凸显击自然灾害中的作用日益凸显 w 电子商务渐成资本市场上的投资新宠电子商务渐成资本市场上的投资新宠 http:/我国推动电子商务发展的措施v第一，制定、完善相关政策，为电子商务的发第一，制定、完善相关政策，为电子商务的发展创造环境；展创造环境；v第二，用第二，用“示范示范”促应用，如农村电子商务示促应用，如农村电子商务示范工程范工程 v第三，加大电子商务应用的宣传力度，引导电第三，加大电子商务应用的宣传力度，引导电子商务向纵深发展子商务向纵深发展 http:/目录v1.1 进一步认识电子商务进一步认识电子商务v1.2 电子商务安全的内涵电子商务安全的内涵v1.3 电子商务安全的基本需求电子商务安全的基本需求v1.4 电子商务安全技术电子商务安全技术v1.5 电子商务安全体系结构电子商务安全体系结构http:/电子商务安全的层次v 电子商务安全可分为两个层次电子商务安全可分为两个层次:v 一是一是计算机网络的安全计算机网络的安全 系统实体安全系统实体安全 系统运行安全系统运行安全 系统软件安全系统软件安全v 二是二是电子交易安全电子交易安全 v 没有计算机网络安全作为基础，电子交易安全没有计算机网络安全作为基础，电子交易安全无从谈起；没有电子交易安全，即使计算机网无从谈起；没有电子交易安全，即使计算机网络本身很安全，也无法满足电子商务特有的安络本身很安全，也无法满足电子商务特有的安全需求全需求http:/电子商务安全的特点 v 系统性系统性安全不仅是一个技术问题，也是管理问题安全不仅是一个技术问题，也是管理问题 v 相对性相对性 没有绝对的安全没有绝对的安全 v 有代价性有代价性应考虑到安全的代价和成本问题应考虑到安全的代价和成本问题 v 动态性动态性 没有一劳永逸的安全没有一劳永逸的安全 http:/目录v1.1 进一步认识电子商务进一步认识电子商务v1.2 电子商务安全的内涵电子商务安全的内涵v1.3 电子商务安全的基本需求电子商务安全的基本需求v1.4 电子商务安全技术电子商务安全技术v1.5 电子商务安全体系结构电子商务安全体系结构http:/电子商务安全的要素要素要素含义含义机密性机密性信息不被泄露给非授权用户信息不被泄露给非授权用户完整性完整性信息是未被篡改的信息是未被篡改的不可抵赖性不可抵赖性信息的收、发双方不能否认曾经收发过信息信息的收、发双方不能否认曾经收发过信息即时性即时性在规定的时间内完成服务在规定的时间内完成服务真实性真实性确保对方的身份是真实的和信息的来源是真确保对方的身份是真实的和信息的来源是真实的实的访问控制访问控制对访问者访问资源时的权限控制对访问者访问资源时的权限控制可用性可用性访问者需要的时候，资源是可用的访问者需要的时候，资源是可用的本课程将介绍的所有技术手段、管理措施，其根本课程将介绍的所有技术手段、管理措施，其根本目的，都是为了实现一种或多种安全要素的本目的，都是为了实现一种或多种安全要素的http:/安全威胁的类型v电子商务面临的安全威胁电子商务面临的安全威胁信息源信息源信息信息目的目的a)正常流正常流b)中断中断(c)截获截获d)篡改篡改e)伪造伪造http:/电子商务面临的安全威胁篡篡 改改Modification针对完整性进行的攻击针对完整性进行的攻击伪伪 造造Fabrication针对真实性进行的攻击。针对真实性进行的攻击。中中 断断Interruption 针对可用性进行的攻击针对可用性进行的攻击 截截 获获Interception针对机密性进行的攻击针对机密性进行的攻击抵抵 赖赖repudiation针对不可否认性进行的攻击。针对不可否认性进行的攻击。http:/v1.1 进一步认识电子商务进一步认识电子商务v1.2 电子商务安全的内涵电子商务安全的内涵v1.3 电子商务安全的基本需求电子商务安全的基本需求v1.4 电子商务安全技术电子商务安全技术v1.5 电子商务安全体系结构电子商务安全体系结构目录http:/电子商务安全技术 v电子商务安全技术主要可分为密码学技术、网电子商务安全技术主要可分为密码学技术、网络安全技术和电子交易安全技术，包括：络安全技术和电子交易安全技术，包括：w 加密技术加密技术w 认证技术认证技术w 公钥基础设施公钥基础设施w 访问控制技术访问控制技术w 网络安全技术网络安全技术w 电子商务安全协议电子商务安全协议http:/v1.1 进一步认识电子商务进一步认识电子商务v1.2 电子商务安全的内涵电子商务安全的内涵v1.3 电子商务安全的基本需求电子商务安全的基本需求v1.4 电子商务安全技术电子商务安全技术v1.5 电子商务安全体系结构电子商务安全体系结构目录http:/电子商务安全体系结构的组成 v一个完整的电子商务安全体系应由安全基础设一个完整的电子商务安全体系应由安全基础设施层、加密技术层、安全认证层、安全协议层、施层、加密技术层、安全认证层、安全协议层、交易协议层和应用系统层及电子商务政策法规交易协议层和应用系统层及电子商务政策法规和安全管理等和安全管理等8个部分组成个部分组成 http:/电子商务安全的管理架构 v电子商务安全以安全策略为核心，涉及人、过电子商务安全以安全策略为核心，涉及人、过程和技术三种因素，包括保护、检测、反应及程和技术三种因素，包括保护、检测、反应及恢复四个环节恢复四个环节 保护保护恢复恢复检测检测响应响应安全策略安全策略人人过程过程技术技术http:/安全策略安全策略（安全策略（Security Policy）是实施电子商）是实施电子商务系统安全措施及安全管理的务系统安全措施及安全管理的指导思想指导思想。是。是指在系统内，用于所有与安全活动相关的指在系统内，用于所有与安全活动相关的一一套规则套规则http:/技术因素对电子商务安全的影响技术因素对电子商务安全的影响最为直接最为直接技术技术包括操作过程和交易过程，应有包括操作过程和交易过程，应有严格的制度来规范各种操作行为严格的制度来规范各种操作行为过程过程电子商务安全涉及的三要素电子商务交易的主体仍然是人，电子商务交易的主体仍然是人，因此人的因素是最重要的因此人的因素是最重要的人人电子商务安全涉及的三个要素电子商务安全涉及的三个要素http:/电子商务安全防护的模型v电子商务安全是在电子商务安全是在安全策略安全策略的指导下，由保护的指导下，由保护（Protect）、检测（）、检测（Detect）、响应（）、响应（React）和恢复（和恢复（Restore）四个环节组成，简称为）四个环节组成，简称为PDRR。w 保护保护 采用工具、技术保护电子商务系统采用工具、技术保护电子商务系统w 检测检测 能实时监控系统的安全状态能实时监控系统的安全状态 w 响应响应 当攻击正在发生时，能及时做出响应当攻击正在发生时，能及时做出响应w 恢复恢复当攻击发生后，必须有一套机制及时恢复当攻击发生后，必须有一套机制及时恢复系统的正常工作系统的正常工作http:/电子商务安全的基础环境 基础环境对基础环境对电子商务的电子商务的安全也起保安全也起保障作用障作用电子商务政策电子商务政策电子商务安全技术标准电子商务安全技术标准电子商务法规电子商务法规http:/习题v 网上交易中，如果定单在传输过程中订货数量发生了变网上交易中，如果定单在传输过程中订货数量发生了变化，则破坏了安全需求中的化，则破坏了安全需求中的()。v A.可用性可用性 B.机密性机密性 C.完整性完整性 D.不可抵赖性不可抵赖性v 3原则保证只有发送方和接收方才能访原则保证只有发送方和接收方才能访问消息内容。问消息内容。（）v A.机密性机密性 B.完整性完整性 C.身份认证身份认证 D.访问控制访问控制v 4.电子商务安全涉及的三种因素中，没有电子商务安全涉及的三种因素中，没有。（）v A.人人 B.过程过程C.设备设备 D.技术技术http:/习题v 7.攻击与保密性相关；攻击与保密性相关；攻击与认证相关；攻击与认证相关；攻击与完整性相攻击与完整性相关；关；攻击与可用性相关。（供选择攻击与可用性相关。（供选择的答案：篡改、截获、伪造、中断）的答案：篡改、截获、伪造、中断）v 8.如果电子商务系统无法访问了，则破坏了电子商务安如果电子商务系统无法访问了，则破坏了电子商务安全的全的需求。需求。v 9.电子商务安全的目标是：保证交易的真实性、机密性、电子商务安全的目标是：保证交易的真实性、机密性、完整性、完整性、和和。v 10.为什么说人是电子商务安全中最重要的因素？为什么说人是电子商务安全中最重要的因素？v 11.电子商务安全应从哪几个方面来综合考虑？电子商务安全应从哪几个方面来综合考虑？http:/