新版助理电子商务师第五章电子商务安全管理

新版助理电子商务师第五章电子商务安全管理第1页，共39页。第五章电子商务安全管理第五章电子商务安全管理电子商务安全概述电子商务安全是有效开展电子商务的前提和保证。电子商务安全的内容电子商务重要特征是利用计算和网络来处理和传输商业信息。电子商务安全的内容概括为三个方面内容：1、计算网络安全；2、商务交易安全；3、电子商务系统安全管理制度。第2页，共39页。第五章电子商务安全管理第五章电子商务安全管理电子商务安全概述计算机网络安全是指保护计算机网络系统中的硬件、软件和数据资源。开展电子商务所需的基础设施。商务交易安全是指确保在开放的互联网上交易信息的保密性、完整性和不可抵赖性。电子商务能够顺利开展的前提。人员素质是影响电子商务安全的重要因素，它是保证电子商务取得成功的重要基础工作。第3页，共39页。第五章电子商务安全管理第五章电子商务安全管理计算机网络安全网络安全威胁的来源1）黑客攻击指非法入侵计算机系统的人。主要利用计算机系统的缺陷、操作系统的安全漏洞或通信协议的安全漏洞。常采用的手段：A利用UNIX提供的缺省账户进行攻击。B截取口令；C录找系统漏洞；D偷取特权；E清磁盘。第4页，共39页。第五章电子商务安全管理第五章电子商务安全管理2）计算机病毒一种恶意破坏用户系统的应用程序。计算机病毒的特点：隐蔽性、传染性、破坏性、潜伏性、可触发性、针对性。计算机病毒的种类：1）引导区病毒；2）可执行文件病毒；3）宏病毒；4）邮件病毒；5）网页病毒；6）综合型病毒。第5页，共39页。第五章电子商务安全管理第五章电子商务安全管理3）拒绝服务攻击一种破坏性的攻击，用户采用某种手段故意占用大量的网络资源，使系统没有剩余资源为其他用户提供服务的攻击。主要利用TCP/IP协议的缺陷，手段包括：SYN FLOOD、ICMP FLOOD、UDP FLOOD。连接耗尽攻击使用真实IP地址进行攻击。第6页，共39页。第五章电子商务安全管理第五章电子商务安全管理4）网络内部的安全威胁来自网络内部的用户攻击或内部用户因误操作造成口令失密而遭受的攻击，是最难防御的攻击。2.网络安全威胁的承受对象1）对客户机的安全威胁2）对WWW服务器的安全威胁3）对数据库的安全威胁4）对通讯设备、线路的安全威胁第7页，共39页。第五章电子商务安全管理第五章电子商务安全管理防火墙防火墙技术是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全的一种手段。它所保护的对象是网络中有明确闭合边界的一个网块，而它所防范的对象是来自被保护网块外部的安全威胁。第8页，共39页。第五章电子商务安全管理第五章电子商务安全管理防火墙的作用1、限制他人进入内部网络，过滤掉不安全服务和非法用户；2、允许内部网的一部分主机被外部网访问，另一部分被保护起来；3、限定内部网的用户对互联网上特殊站点的访问；4、为监视互联网安全提供方便。第9页，共39页。第五章电子商务安全管理第五章电子商务安全管理防火墙的类型1.包过滤防火墙：通常安装在路由器上，根据网络管理员设定的访问控制清单对流经防火墙信息包的IP源地址，IP目标地址、封装协议（如TCP/IP 等）和端口号等进行筛选。基于网络层。2.代理服务器防火墙：包过滤技术可以通过对IP 地址的封锁来禁止未经授权者的访问。基于应用层。第10页，共39页。第五章电子商务安全管理第五章电子商务安全管理防火墙的局限性1、限制了有用的网络服务；2、不能防范不经由防火墙的攻击；3、不能防范来自网络内部的攻击；4、不能防范新的网络安全问题。防火墙的管理本地管理、远程管理、集中管理第11页，共39页。第五章电子商务安全管理第五章电子商务安全管理计算机病毒的工作原理三个功能模块：引导模块、传染模块、破坏模块；计算机病毒、蠕虫与木马之间的区别木马指网上的软件通过下载或邮件附件打开引诱用户打开执行，潜伏到计算机中，通过远程黑客程序里应外合窃取用户信息、毁坏文件、远程控制电脑等。第12页，共39页。第五章电子商务安全管理第五章电子商务安全管理蠕虫病毒一种通过网络传播的恶性病毒，主要利用计算机系统漏洞进行传播。它的目标是互联网内的所有计算机。计算机病毒防范的基本原则从管理上防范、从技术上防范；第13页，共39页。第五章电子商务安全管理第五章电子商务安全管理计算机网络安全网络安全管理的技术手段防病毒软件的选择1、技术支持度2、技术的先进性和稳定性3、病毒的响应速度4、用户的使用条件及应用环境常用的防病毒软件第14页，共39页。第五章电子商务安全管理第五章电子商务安全管理计算机网络安全防火墙软件的使用（实操平台讲解）防病毒软件的使用（实操平台讲解）第15页，共39页。第五章电子商务安全管理第五章电子商务安全管理商务交易安全电子商务交易安全基础1、电子商务交易的安全要求1）信息的保密性。2）信息的完整性。3）通信的不变动性。4）交易各方身份的认证。5）信息的有效性。第16页，共39页。第五章电子商务安全管理第五章电子商务安全管理1、密码知识1）密码的概念：密码是隐蔽了真实内容的符号序列。2）密码安全的要素位数不于六；使用英文数字特殊符号等的组合；不要使用安全性过低的密码；定期更改密码；避免使用重复的密码。第17页，共39页。第五章电子商务安全管理第五章电子商务安全管理3）密码泄漏的途径被窃取密码；被别人猜出密码；3.基本加密方法1）对称加密体制（采用DES算法，使用一个密钥）对称密钥加密，又称私钥加密，即信息的发送方和接收方用一个密钥去加密和解密数据。对称加密技术的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。第18页，共39页。第五章电子商务安全管理第五章电子商务安全管理2）非对称加密体制（RSA算法，二个密钥）非对称密钥加密系统，又称公钥密钥加密，它需要使用一对密钥来分别完成加密和解密操作，一个公开发布，称为公开密钥（Public-Key）；另一个由用户自己秘密保存，称为私有密钥（Private-Key）。信息发送者用公开密钥去加密，而信息接收者则用私有密钥去解密。公钥机制灵活，但加密和解密速度却比对称密钥加密慢得多。解决了密钥交换问题。第19页，共39页。第五章电子商务安全管理第五章电子商务安全管理文件加密1）WORD文件加密方法2）EXCEL文件加密方法安全认证手段1、数字信封数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。在数字信封中，信息发送方采用对称密钥来加密信息，然后将此对称密钥用接收方的公开密钥来加密（这部分称为数字信封）之后，将它和信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开信息。这种技术的安全性相当高。第20页，共39页。第五章电子商务安全管理第五章电子商务安全管理2、数字摘要（HASH函数算法）数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码（数字指纹Finger Print），并在传输信息时将之加入文件一同送给接收方，接收方收到文件后，用相同的方法进行变换运算，若得到的结果与发送来的摘要码相同，则可断定文件未被篡改，反之亦然。HASH该编码法采用单向Hash函数将需加密的明文“摘要”成一串l28bit的密文，这一串密文亦称为数字指纹（Finger Print）。第21页，共39页。第五章电子商务安全管理第五章电子商务安全管理3、数字签名把HASH函数和公钥算法结合起来，可以在提供数据完整性的同时，也可以保证数据的真实性。完整性保证传输的数据没有被修改，而真实性则保证是由确定的合法者产生的HASH，而不是由其他人假冒。而把这两种机制结合起来就可以产生所谓的数字签名（Digital Signature）。第22页，共39页。第五章电子商务安全管理第五章电子商务安全管理4、数字证书所谓数字证书，就是用电子手段来证实一个用户的身份及用户对网络资源的访问权限。在网上电子交易中，如果双方出示了各自的数字证书，并用它来进行交易操作，那么双方都可不必为对方身份的真伪担心。数字证书的内部格式是由国际标准所规定的，它必须包含以下几点：证书的版本号；数字证书的序列号；证书拥有者的姓名；证书拥有者的公开密钥；公开密钥的有效期；签名算法；办理数字证书的单位；办理数字证书单位的数字签名。数字证的类型、和等级。第23页，共39页。第五章电子商务安全管理第五章电子商务安全管理5、认证中心电子商务授权机构（CA）也称为电子商务认证中心（Certificate Authority）。认证中心（CA）就是承担网上安全电子交易认证服务，能签发数字证书，并能确认用户身份的服务机构。认证中心通常是企业性的服务机构，主要任务是受理数字证书的申请、签发及对数字证书的管理。在实际运作中，CA可由大家都信任的一方担当。认证机构的核心职能是发放和管理用户的数字证书。认证机构在整个电子商务环境中处于至关重要的位置，它是整个信任链的起点。认证机构是开展电子商务的基础，如果认证机构不安全或发放的证书不具权威性，那么网上电子交易就根本无从谈起。第24页，共39页。第五章电子商务安全管理第五章电子商务安全管理5、认证中心电子商务授权机构（CA）也称为电子商务认证中心（Certificate Authority）。认证中心（CA）就是承担网上安全电子交易认证服务，能签发数字证书，并能确认用户身份的服务机构。认证中心通常是企业性的服务机构，主要任务是受理数字证书的申请、签发及对数字证书的管理。在实际运作中，CA可由大家都信任的一方担当。认证机构的核心职能是发放和管理用户的数字证书。认证机构在整个电子商务环境中处于至关重要的位置，它是整个信任链的起点。认证机构是开展电子商务的基础，如果认证机构不安全或发放的证书不具权威性，那么网上电子交易就根本无从谈起。第25页，共39页。第五章电子商务安全管理第五章电子商务安全管理商务交易安全安全交易协议1、安全套接层协议1）安全套接层协议是由Netscape公司1994年设计开发的安全协议，主要用于提高应用程序之间的数据的安全系数。2）提供的服务用户和服务器的身份认证、保证数据的保密性、维护数据的完整性第26页，共39页。第五章电子商务安全管理第五章电子商务安全管理3）SSL协议的运行过程A.接通阶段B.密码交换阶段C.会谈密码阶段D.检验阶段E.客户认证阶段F.结束阶段第27页，共39页。第五章电子商务安全管理第五章电子商务安全管理4）SSL协议的评价1）不符合国务院最新颁布的商用密码管理条例2）系统安全性差3）运行的基点是商家对客户信息保密的承诺，有利于商家不利于客户。第28页，共39页。第五章电子商务安全管理第五章电子商务安全管理2.安全电子交易协议（SET）1）安全电子交易是一个通过开放网络（包括Internet）进行安全资金支付的技术标准，由VISA和MasterCard组织共同制定，1997年5月联合推出。2）SET协议的目标A.保证参与各方相互隔离；B.保证信息安全传输；第29页，共39页。第五章电子商务安全管理第五章电子商务安全管理C.解决了多方认证问题；D.保证了交易的实时性；E.规范协议和消息格式。3）SET的工作原理4）SET协议中的角色5）SET协议评价A.对商家降低了成本；B.对消费者保证了信用卡的秘密、商家的合性。第30页，共39页。第五章电子商务安全管理第五章电子商务安全管理C.信用卡网上支付具有更低的欺骗概率；E.参与交易的各方定义了互操作接口；SET不足之处：A.在交易各方安装相应软件、发放证书。B.协议没有说明收单银行给在线商店付款前，是否必须收到消费者的货物接收证书。C.协议没有担保“非拒绝行为”。D.没有提及在事务处理完成后如何安全地保存或销毁此类数据。第31页，共39页。第五章电子商务安全管理第五章电子商务安全管理数字证书的使用（实操平台讲解）1.申请数字证书2.下载数字证书3.查询/下载对方数字证书4.使用数字证书对电子合同进行加密和签名第32页，共39页。第五章电子商务安全管理第五章电子商务安全管理网上贸易安全防骗1.网上银行常用安全手段1）软键盘输入密码方式2）ACTIVE X控件输入密码方式3）动态密码方式4）数字证书方式2.网上银行进行安全交易的方法1）设置、保护好网银密码第33页，共39页。第五章电子商务安全管理第五章电子商务安全管理2）谨防网络钓鱼3）定期查询详细交易4）利用银行提供的各种增值服务5）配置安全软件3.第三方支付安全1）不要看到支持支付宝的产品就放松警惕2）货到付款注意事项3）小心实时到账功能第34页，共39页。第五章电子商务安全管理第五章电子商务安全管理4.网上贸防骗方法1）验明对方身份2）通过联系方式判断真伪3）完善必要的买卖手续4）汇款注意事项第35页，共39页。第五章电子商务安全管理第五章电子商务安全管理电子商务系统安全管理制度人员管理制度1.严格电子商务人员选拔2.落实工作责任制3.贯彻电子商务安全运作基本原则双人负责制、任期有限原则、最小权限原则保密制度机密、秘密、普通第36页，共39页。第五章电子商务安全管理第五章电子商务安全管理跟踪、审计制度审计制度包括经常对系统日志的检查、审核，及时发现故意入侵系统行为的记录和违反系统安全功能的记录。网络系统的日常维护制度1.建立系统设备档案2.软件的日常管理和维护3.数据备份制度第37页，共39页。Thank you！第五章电子商务安全管理第五章电子商务安全管理第38页，共39页。谢谢大家！结结 语语第39页，共39页。