9.9 元
下载资源

电子商务安全与管理

上传人:san****019 文档编号:22763132 上传时间:2021-05-31 格式:PPT 页数:42 大小:294.37KB
返回 下载 相关 举报
电子商务安全与管理_第1页
第1页 / 共42页
电子商务安全与管理_第2页
第2页 / 共42页
电子商务安全与管理_第3页
第3页 / 共42页
点击查看更多>>
资源描述
关于本课程的说明开课目的:了解和认识电子商务存在的各类安全问题,明确 电子商务的安全需求,掌握解决相关问题的思路 和方法。主要内容:信息安全、网络安全、数字证书、电子商务安全 管理、电子商务安全风险管理等内容。主要教学方式:课堂讲述、课堂讨论、专题写作、作业和思 考题。考核评价方式:闭卷考试 第一章 电子商务安全导论本 章 学 习 目 的 : 了 解 电 子 商 务 面 临 的 安 全 问 题 掌 握 电 子 商 务 系 统 安 全 的 构 成 要 素 了 解 电 子 商 务 安 全 的 主 要 需 求 理 解 电 子 商 务 安 全 的 保 障 手 段第 一 节 电 子 商 务 面 临 的 安 全 问 题1、 安 全 问 题 的 提 出 伴 随 着 互 联 网 经 济 的 不 断 发 展 , 电 子 商 务 活 动 越 来 越普 遍 , 与 此 相 对 应 的 各 类 安 全 问 题 也 越 来 越 引 起 人 们 的 重视 , 有 必 要 采 取 一 系 列 针 对 性 的 措 施 解 决 这 类 问 题 。 2、 电 子 商 务 涉 及 的 安 全 问 题主 要 有 以 下 几 个 方 面 :1) 信 息 安 全 问 题2) 信 用 的 安 全 问 题3) 安 全 的 管 理 问 题4) 安 全 的 法 律 法 规 保 障 问 题 第二节 电子商务系统安全的构成1、 电 子 商 务 系 统 电 子 商 务 系 统 是 指 人 们 用 于 开 展 电 子 商 务 活动 所 依 赖 的 基 于 计 算 机 网 络 的 计 算 机 信 息 管 理系 统 , 主 要 由 硬 件 及 相 关 功 能 软 件 所 构 成 , 是开 展 电 子 商 务 活 动 的 运 作 平 台 。2、 电 子 商 务 系 统 的 安 全 组 成 实 体 安 全 、 运 行 安 全 、 信 息 安 全 ( 一 ) 实 体 安 全 保 障 设 备 、 设 施 的 正 常 运 行 和 数 据 的 安 全 。 1、 环 境 安 全 : 系 统 运 行 周 边 环 境 的 保 障 。 2、 设 备 安 全 : 系 统 中 各 运 行 设 备 自 身 的 安 全 运 行 。 3、 媒 体 安 全 : 主 要 是 指 存 放 数 据 的 介 质 的 安 全 保 障 。 ( 二 ) 系 统 运 行 安 全 提 供 安 全 措 施 保 障 系 统 功 能 的 安 全 实 现 。 1、 风 险 分 析 : 对 系 统 运 行 中 可 能 出 现 的 各 类 安 全 风 险 进 行 预 测 和 分 析 2、 审 计 跟 踪 : 完 善 系 统 运 行 的 各 类 记 录 , 了 解 系 统 运 行 状 况 。 3、 备 份 与 恢 复 4、 应 急 措 施 ( 三 ) 信 息 安 全 防 止 信 息 被 非 法 泄 露 、 更 改 、 破 坏 等 。1、 操 作 系 统 安 全2、 数 据 库 安 全3、 网 络 安 全4、 病 毒 防 护 安 全5、 访 问 控 制 安 全6、 加 密7、 鉴 别 第四节 电子商务安全的保障 电子商务的安全保障应从综合防范的角度出发,从技术、管理、法律等多个方面采取措施,才能够有效地保障电子商务的安全。1、技术措施 信息加密、数字签名技术、TCP/IP服务、防火墙的构造2、管理措施人员管理制度、保密制度、跟踪审计制度、系统维护制度、数据容灾技术、病毒防范技术、应急措施3、法律环境 上 次 课 内 容 回 顾1、 电 子 商 务 面 临 的 主 要 安 全 问 题 信 息 安 全 、 信 用 安 全 、 安 全 管 理 、 安 全 的 法 律 法规 保 障2、 电 子 商 务 系 统 的 安 全 构 成 实 体 安 全 、 运 行 安 全 、 信 息 安 全3、 电 子 商 务 安 全 的 需 求 保 密 性 、 完 整 性 、 认 证 性 、 可 控 性 、 不 可 否 认 性4、 电 子 商 务 的 安 全 保 障 技 术 措 施 、 管 理 措 施 、 法 律 环 境 第二章 信息安全技术2.1 信 息 安 全 概 述电 子 商 务 中 信 息 安 全 主 要 涉 及 以 下 五 个 方 面1、 信 息 的 机 密 性2、 信 息 的 完 整 性3、 对 信 息 的 验 证4、 信 息 的 不 可 否 认 性5、 对 信 息 的 访 问 控 制 一、信息的机密性要 求 : 信 息 的 保 密 , 如 项 目 的 投 标 、 产 品 的 报 价 、 银行 的 账 号 和 密 码 等 重 要 的 商 业 信 息 。技 术 对 策 : 信 息 加 密 ( 对 称 加 密 与 非 对 称 加 密 )二、信息的完整性要 求 : 能 够 对 信 息 进 行 检 测 , 并 识 别 信 息 是 否 被 更 改 。技 术 对 策 : 利 用 数 字 摘 要 技 术 ( Hash函 数 、 SSL协 议 ) 三 、 对 信 息 的 验 证要 求 : 能 够 对 电 子 商 务 活 动 参 与 者 或 主 体 身 份 的 真 实 性 进 行 验 证 及 确 认 。技 术 对 策 : 设 定 口 令 、 数 字 签 名 、 数 字 证 书 等 。四 、 不 可 否 认 性要 求 : 任 何 一 方 对 信 息 的 真 实 性 不 能 否 认 和 抵 赖 。技 术 对 策 : 数 字 签 名 、 数 字 证 书 等 五 、 访 问 控 制要 求 : 只 允 许 授 权 用 户 访 问 相 关 信 息 。技 术 策 略 : 设 定 用 户 及 权 限 、 访 问 账 号 、 口 令 等 。 2.2 信息传输中的加密方式信 息 加 密 主 要 分 为 传 输 加 密 和 存 储 加 密 。信 息 传 输 加 密 : 是 指 传 输 过 程 中 对 信 息 进 行 加 密 的 过 程 。一 、 几 种 常 用 的 加 密 方 式1、 链 路 -链 路 加 密 在 通 信 节 点 对 信 息 进 行 加 密 处 理 , 以 保 证在 链 路 上 传 递 的 信 息 是 加 密 过 的 。 2、 节 点 加 密 在 各 节 点 设 专 用 的 加 密 装 置 对 信 息 加 密 和解 密 , 实 现 信 息 在 链 路 上 的 加 密 传 输 。3、 端 -端 加 密 在 发 送 端 和 接 收 端 分 别 对 信 息 进 行 加 密 和解 密 操 作 。 二 、 加 密 方 式 的 选 择 策 略 见 表 2-2 2.3 对称加密与非对称加密加 密 : 利 用 一 定 的 加 密 算 法 和 密 钥 对 数 据 对 象 进 行 处 理 , 得 到 与 原 文 截 然 不 同 的 数 据 对 象 方 法 。加 密 形 式 : 对 称 加 密 、 非 对 称 加 密对 称 加 密 : 存 在 一 个 密 钥 , 加 密 密 钥 与 解 密 密 钥 相 同 。非 对 称 加 密 : 存 在 一 个 密 钥 对 ( 公 开 密 钥 、 私 有 密 钥 ) , 均 可 对 数 据 进 行 加 密 和 解 密 操 作 。 可 运 用 在 加 密 模 式 和 验 证 模 式 上 。 2.3.1 对称加密系统1、对称密码体制,也叫做单钥密码体制或秘密密钥密码体制,即加密密钥与解密密钥相同的密码体制,这种体制中只要知道加(解)密算法,就可以反推解(加)密算法。2、对称加密的优缺点a 、优点:使用方便,效率高B 、缺点:密钥管理和使用比较困难 3、信息验证码见图 2-4作用:实现信息完整性的验证,保证信息在传 输过程中不被篡改和破坏。 2.3.2 不对称加密系统o 前 面 讨 论 的 密 码 体 制 都 是 对 称 密 钥 密 码 体 制 。o 然 而 , 使 用 对 称 密 钥 密 码 体 制 进 行 秘 密 通 信 时 , 任 意 两 个 不 同用 户 之 间 一 般 都 应 该 使 用 互 不 相 同 的 密 钥 , 这 样 , 如 果 一 个 网络 中 有 n个 用 户 , 他 们 之 间 彼 此 可 能 需 要 进 行 秘 密 通 信 , 这 时 网络 中 将 共 需 要 n(n-1)/2个 密 钥 。 其 中 , 每 个 用 户 都 需 要 保 存 n-1个 密 钥 , 这 样 巨 大 的 密 钥 量 给 密 钥 分 配 、 管 理 和 使 用 带 来 了 极大 的 困 难 , 也 带 来 了 非 技 术 因 素 上 的 安 全 问 题 (若 某 个 用 户 泄 密 , 将 影 响 整 个 密 码 系 统 )。o 另 外 , 在 电 子 商 务 活 动 中 , 很 多 场 合 需 要 身 份 认 证 和 数 字 签 名 , 这 些 问 题 , 对 称 密 码 体 制 是 无 法 很 好 地 解 决 的 。 o自从1976年,Diffie和Hellman在密码学的新方向一文中提出公开密钥密码的思想以来,经过20多年发展,公开密钥密码获得了巨大的发展。o在实践应用当中,公开密钥密码成功地解决了计算机网络安全的身份认证、数字签名等问题,推动了包括电子商务在内的一大批网络应用的不断深入和发展。 o公钥密码体制也称非对称密码体制,在这种体制中,存在一个密钥对公共密钥和私有密钥,它们是不一样的。o公开的密钥简称公钥(public key),私有密钥简称私钥(private key),私钥和公钥都既可做加密密钥,也可做解密密钥。 o这种密码体制中每一个用户都分别拥有两个密钥:公钥与私钥,并且攻击者想由公钥得到私钥在计算上是不可行的。 o与对称密钥密码体制相比,非对称密钥密码体制具有以下几个特点:n (1)密钥分发和管理简单。加密密钥可以做成密钥本公开,解密密钥由各用户自行掌握。n (2)每个用户秘密保存的密钥量减少。网络中每个用户只需要秘密保存自己的解密密钥,与其他用户通信所使用的加密密钥可以由密钥本得到。n (3)适应于计算机网络的发展,能够满足互不相识的用户之间进行保密通信的要求。n (4)能够很容易的完成数字签名和认证。n (5)加密和解密的效率比对称密码体制要差,因此,大多数用公钥密码体制来保护和分发会话密钥,并将其用于对称密码算法中实现快速通信 2.4 数字签名o在电子商务系统中有时候认证技术可能比信息加密本身更加重要。 o比如在网上购物和支付系统中,用户往往对购物信息的保密性不是很看重,而对网上商店的身份的真实性则倍加关注(这就需要身份认证);o另外,用户的个人信息(如银行账号、身份证、密码等)和提交的购物信息未被第三方修改或伪造,并且网上商家不能抵赖(这就需要消息认证),同样,商家也面临着这些问题。 o数字签名从传统的手写签名衍生而来,它可以提供一些基本的密码服务,如数据的完整性、真实性以及不可否认性。o数字签名是实现电子交易安全的核心技术之一,它在身份认证、数据完整性、不可否认性以及匿名性等方面有着重要的应用。 o简单地说,数字签名就是通过一个单向函数对要传送的报文进行处理,得到用于认证报文来源并核实报文是否发生变化的一个字母数字串,用这个字符串来代替书写签名或印章,起到与书写签名或印章同样的法律效用。 o数字签名的基本原理见 图 2-9o数字签名的使用 见图 2-10 思考题1、 什 么 是 信 息 的 完 整 性 的 , 保 证 信 息 完 整 性 的技 术 手 段 和 原 理 是 什 么 ?2、 比 较 端 -端 加 密 与 链 路 -链 路 加 密 两 者 的 主 要区 别 是 什 么 , 从 实 施 角 度 哪 一 种 更 容 易 实 现 ,为 什 么 ?3、 数 字 签 名 技 术 是 如 何 实 现 不 可 否 认 性 的 安 全保 障 的 ?4、 简 要 说 明 一 下 , 为 什 么 说 对 称 加 密 技 术 不 适用 于 电 子 商 务 活 动 。 2.3 密钥管理技术一、密钥管理概述 密钥的使用是有生命周期的,一旦时间到了则应密钥的价值。密钥生命周期的构成:1、密钥的建立(生成、发布):强调密钥的随机性。2、密钥的备份、恢复:密钥管理者选择。3、密钥的替换、更新:密钥的重新建立4、密钥吊销:密钥的停止使用。5、密钥期满、终止:密钥归档和销毁。 二、RSA密钥的传输 对称密钥的分发应考虑其机密性,可利用RSA加密算法进行分发和传输。三、公开密钥的分发 公开密钥的分发可不考虑机密性,但要注意其完整性,应采用数字证书形式进行分发。 2.6 验证技术验证:是对通过网络进行资源访问的对象,进行的资格(身份、权限)的审查。常用的验证方法:1、基于口令的验证2、基于协议的验证3、基于个人令牌的验证4、基于生物特征的验证5、基于地址的验证6、数字时间戳验证 第三章 Internet 安全一、Internet 安全概述1、网络层安全 不同网络终端间的信息传输安全问题。存在的问题:数据篡改、非正确来源、数据不能传送到指定地址、数据泄漏解决的策略:认证和完整性、保密性、访问控制、协议保护 二、应用层安全 特定程序可能存在的安全问题,主要是运行在相互通信的终端进程中可能存在的安全问题。 如间谍软件、木马程序等。三、系统安全 设备平台实体及工作环境的安全问题。 3.2 防火墙技术1、防火墙的概念 利用硬件或软件技术实现网络间的可控制访问的系统。2、基本分类及原理包过滤防火墙:对传输的数据包进行检测的防范方式。应用网关防火墙:在应用层对数据进行过滤检测。 3.3、VPN 技术o通过公用网络实现内部专用网络间的数据传输技术。(虚拟专用网络技术) 3.4 网络入侵检测o 1、检测策略和方式o 2、主要方法 3.5 IP 协议安全(IPsec) 针对ip 协议存在的安全问题采取的相应措施。一、IP安全体系结构概念: 基于加密技术的安全机制和标准,包括认证、完整性、访问控制、机密性等。功能: 在IP层提供安全服务 选择需要的安全协议 决定使用的算法 保存加密使用的密钥 服务:通过提供安全协议选择、决定算法、提供密钥等方式实现以下服务: 访问控制 无连接完整性 数据源的鉴别 拒绝重放的分组 1、认证头协议 提供数据源认证的服务2、分组加密协议 提供数据源加密服务3、安全关联 实现发、收双方的安全连接和数据传输。 3.6 电子商务应用安全协议一、涉及电子邮件的安全问题 发送者身份的认证 不可否认性 邮件的完整性 邮件的保密性二、解决方案1、增强的私密电子邮件 PEM 通过对邮件加密及建立基于非对称密钥机制的系统设施,实现电子邮件加密传输的一种方式。2、MIME、S/MIME 标准 信息格式信息加密标准数字签名标准 数字证书格式 3、安全超文本传输协议(S_HTTP) 利用密钥对加密的方式,针对商务网站的信息安全进行加密保障处理。4、安全套接层协议(SSL) ssl 服务器认证 用户身份确认 数据传输的机密性和完整性5、安全电子交易协议 以信用卡为基础的安全电子支付协议, 保证商户和消费者的身份和行为的认证和不可否认性。 o 3.6.5 安全电子交易协议(set)一、概述 set 是以信用卡为基础的,应用于因特网环境的安全电子支付协议。1、SET协议使用数字证书和数字签名技术确保商户和 消费者的身份和行为的认证和不可抵赖。2、利用双重签名技术确保订购信息和支付信息的安全。
展开阅读全文
相关资源
相关搜索

最新文档


当前位置:首页 > 图纸专区 > 课件教案


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!