08章 电子商务安全技术

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,电子商务概论国家精品课程,第8章,电子商务安全技术,目 录,8.1电子商,务,务中安,全,全要素,及,及面临,的,的安全,问,问题,8.2病毒及,黑,黑客防,范,范技术,8.3防火墙,技,技术,8.4加密算,法,法,8.5基于公,开,开密钥,体,体系的,数,数字证,书,书认证,技,技术,8.6安全套,接,接层（SSL）协议,8.7安全电,子,子交易,（,（SET）分析,8.8Windows系统中,证,证书的,应,应用,8.9信息安,全,全管理,8.1电子商,务,务中安,全,全要素,及,及面临,的,的安全,问,问题,8.1,.,.1电子商,务,务的基,本,本安全,要,要素,有效性,机密性,完整性,可靠性,/,/不可,抵,抵赖性,/,/可鉴,别,别性,审查能,力,力,8.1,.,.2电子商,务,务中的,安,安全问,题,题,信息泄,漏,漏,窜改,身份识,别,别问题,电脑病,毒,毒问题,黑客问,题,题,8.1电子商,务,务中安,全,全要素,及,及面临,的,的安全,问,问题,8.2病毒及,黑,黑客防,范,范技术,8.2,.,.1.,单,单机病,毒,毒,DOS,病,病毒、Windows病毒,和,和宏病,毒,毒,8.2,.,.2网,络,络病毒,及,及其防,范,范,特洛伊,木,木马和,邮,邮件病,毒,毒,8.2,.,.3,网,网上炸,弹,弹及其,防,防范,IP炸,弹,弹、邮,件,件炸弹,、,、ICQ/QICQ,炸,炸弹,8.3防火墙,技,技术,8.3,.,.1防火墙,定,定义,防火墙,是,是：,内部网,与,与外部,网,网之间,安全防,范,范,访问控,制,制机制,8.3,.,.2防火墙,技,技术,数据包,过,过滤,应用网,关,关,代理服,务,务,8.3,.,.3防火墙,技,技术的,发,发展,8.4加密算,法,法,8.4,.,.1对,称,称密钥,加,加密算,法,法,DES,（,（DataEnercryptionStandard,）,）,8.4,.,.2非,对,对称密,钥,钥加密,算,算法,RSA,（,（Rivest ShamirAd1eman,）,）,8.4,.,.3散,列,列函数,MD-5、SHA,8.4加密算,法,法,8.4,.,.4一种组,合,合的加,密,密协议,加,加密过,程,程：,8.4,.,.5一种组,合,合的加,密,密协议,解,解密过,程,程：,8.5基于公,开,开密钥,体,体系体,系,系的数,字,字证书,认,认证技,术,术,8.5,.,.1公开密,钥,钥体系,的,的定义,公开密,钥,钥体系,（Public KeyInfrastructure：PKI,）,），,是一种,遵,遵循既,定,定标准,的,的密钥,管,管理平,台,台，是,为,为网络,应,应用提,供,供加密,和,和数字,签,签名等,密,密码服,务,务及所,需,需密钥,和,和证书,的,的管理,体,体系。,8.5,.,.2CA认证中,心,心及数,字,字证书,CA,是一个,负,负责发,放,放和管,理,理数字,证,证书的,权,权威机,构,构,8.5,.,.3数字证,书,书类型,个人身,份,份证书,企业身,份,份证书,服务器,身,身份证,书,书,企业代,码,码签名,证,证书,安全电,子,子邮件,证,证书,8.5基于公,开,开密钥,体,体系体,系,系的数,字,字证书,认,认证技,术,术,8.6安全套,接,接层（SSL）协议,8.6,.,.1概述,SSL,(,(Secure SocketsLayer,),)安全,套,套接层,协,协议：,提供了,两,两台计,算,算机之,间,间的安,全,全连接,，,，对整,个,个会话,进,进行了,加,加密，,从,从而保,证,证了安,全,全传输,SSL,协,协议分,为,为两层,：,：,SSL,握,握手协,议,议和SSL记,录,录协议,8.6,.,.2,SSL协议安,全,全连接,特,特点：,(1),连,连接是,保,保密的,(2),连,连接是,可,可靠的,(3),对,对端实,体,体的鉴,别,别采用,非,非对称,密,密码体,制,制进,行认证,。,。,8.6安全套,接,接层（SSL）协议,SSL握手协,议,议,SSL记录协,议,议,内容类,型,型,协议版,本,本号,长度,数据有,效,效载荷,信息验,证,证码,8.7安全电,子,子交易SET分析,8.7,.,.1安全电,子,子商务,模,模型,Internet,Internet,支付网络,证书权威机构,支付网关,支付者,发卡者,持卡人,商家,8.7,.,.2SET的购物,流,流程,8.7,.,.3SET的认证,8.7安全电,子,子交易SET分析,8.8Windows系统中,证,证书的,应,应用,8.8,.,.1在Windows系统中,使,使用个,人,人数字,证,证书,8.8,.,.2服务器,证,证书申,请,请及安,装,装,8.8,.,.3Windows2000系统中,证,证书服,务,务的安,装,装,8.9信息安,全,全管理,8.9,.,.1建立信,息,息安全,管,管理体,系,系的作,用,用与意,义,义,信息安,全,全管理,体,体系ISMS,（,（InformationSecuritry ManagementSystems）,是,是组织,在,在整体,或,或特定,范,范围内,建,建立信,息,息安全,方,方针和,目,目标，,以,以及完,成,成这些,目,目标所,用,用方法,的,的体系,。,。,建立信,息,息安全,管,管理体,系,系产生,的,的作用,：,：,1强,化,化员工,的,的信息,安,安全意,识,识，规,范,范组织,信,信息安,全,全行为,；,；,2对,组,组织的,关,关键信,息,息资产,进,进行全,面,面系统,的,的保护,，,，维持,竞,竞争优,势,势；,3在,信,信息系,统,统受到,侵,侵袭时,，,，确保,业,业务持,续,续开,展并将,损,损失降,到,到最低,程,程度；,4使,组,组织的,生,生意伙,伴,伴和客,户,户对组,织,织充满,信,信心；,5如,果,果通过,体,体系认,证,证，表,明,明体系,符,符合标,准,准，证,明,明组织,有,有能力,保,保障重,要,要信息,，,，提高,组,组织的,知,知名度,与,与信任,度,度；,6促,使,使管理,层,层坚持,贯,贯彻信,息,息安全,保,保障体,系,系。,8.9信息安,全,全管理,8.9,.,.2我国信,息,息安全,管,管理现,状,状,1,缺,缺乏权,威,威、统,一,一立法,管,管理机,构,构，致,使,使一些,信,信息安,全,全管理,方,方面的,法,法律法,规,规不成,体,体系和,执,执行难,度,度较大,。,。,2在IT系,统,统建设,过,过程中,没,没有充,分,分考虑,，,，导致,后,后期安,全,全建设,和,和管理,工,工作比,较,较被动,，,，同时,业,业务的,发,发展及IT的,建,建设与,信,信息安,全,全管理,建,建设不,对,对称；,3目,前,前现状,多,多局限,于,于局部,性,性地使,用,用安全,产,产品，,或,或使用,有,有洞补,洞,洞的方,式,式被动,地,地解决,问,问题，,缺,缺乏科,学,学的、,全,全面的,安,安全管,理,理规划,；,；,8.9信息安,全,全管理,4目,前,前的技,术,术人员,多,多偏重,于,于网路,、,、主机,及,及应用,系,系统开,发,发，安,全,全管理,的,的力量,薄,薄弱；,5缺,少,少法律,法,法规的,约,约定方,法,法去进,行,行管理,。,。,6信,息,息安全,管,管理应,该,该是全,员,员参与,领,领导支,持,持，但,是,是多数,企,企业的,领,领导还,是,是没有,时,时间和,精,精力顾,及,及这方,面,面的工,作,作。,8.9信息安,全,全管理,8.9,.,.3,信,信息,安,安全管,理,理标准,1国,际,际信息,安,安全管,理,理标准,ISO,/,/IEC13335,、,、ISO/IEC27000系,列,列,2、我,国,国信息,安,安全管,理,理相关,标,标准,GB17895-1999,计算,机,机信息,系,系统安,全,全保护,等,等级划,分,分准则,GB,/,/T18336:2001,信,信息技,术,术安全,性,性评估,准,准则,GB/T 20269-2006,信息,安,安全技,术,术信息,系,系统安,全,全管理,要,要求,8.9信息安,全,全管理,8.9,.,.4信息安,全,全管理,体,体系模,型,型,PDCA模型,8.9,.,.5,信,信息,安,安全管,理,理体系,建,建设思,路,路,建立信,息,息安全,管,管理体,系,系的主,要,要步骤,：,：,1信,息,息安全,管,管理体,系,系策划,与,与准备,2确,定,定信息,安,安全管,理,理体系,适,适用的,范,范围,3现,状,状调查,与,与风险,评,评估,4建,立,立信息,安,安全管,理,理框架,5信,息,息安全,管,管理体,系,系文件,编,编写,6信,息,息安全,管,管理体,系,系的运,行,行与改,进,进,7信,息,息安全,管,管理体,系,系审核,8.9信息安,全,全管理,本章小,结,结（作,业,业与讨,论,论）：,1、从商,务,务的角,度,度分析,电,电子商,务,务系统,的,的安全,要,要素？,2、RSA、DES加密算,法,法各有,什,什么特,点,点？,3、如何,安,安装数,字,字证书,？,？,