10电子商务安全的管理保障-1

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,上一堂课内容回顾,第2章 电子商务安全的技术保障,2.1 加密技术,2.2 数字签名,2.3 认证技术,2.4 防火墙技术（自习）,第3章,电,电子商,务,务安全,的,的管理,保,保障,内容回,顾,顾,第1章,电,电子,商,商务安,全,全与电,子,子支付,概,概论,1.1,电,电子,商,商务发,展,展概况,1.2,电,电子,商,商务安,全,全概述,1.2,.,.1,电,电子商,务,务面临,的,的安全,威,威胁,1.2,.,.2,电,电子商,务,务的安,全,全要素,1.2,.,.3,电,电子商,务,务的安,全,全体系,结,结构,1.3,电,电子,商,商务基,本,本流程,1.4,电,电子,商,商务中,的,的电子,支,支付,计算机,网,网络风,险,险,电子商,务,务交易,风,风险,管理风,险,险,政策法,律,律风险,内容回,顾,顾,1.2,.,.1.1 计,算,算机网,络,络方面,的,的风险,1.2,.,.1.2 网,上,上交易,方,方面的,风,风险,1.2,.,.1.3 管,理,理方面,的,的风险,1.2,.,.1.4 政,策,策法律,方,方面的,风,风险,电子商,务,务安全,的,的技术,保,保障,电子商,务,务安全,的,的管理,保,保障,电子商,务,务安全,的,的法律,保,保障,如何保,障,障？,（回顾,）,）1.2.1,.,.3,管,管理风,险,险(P13),严格管,理,理是降,低,低网络,交,交易风,险,险的重,要,要保证,:,:,人员管,理,理:是,在,在线商,店,店安全,管,管理上,最,最薄弱,的,的环节,。,。,企业内,部,部员工,的,的疏失,远,远比网,络,络上的,黑,黑客还,要,要可怕!,网络交,易,易技术,管,管理的,漏,漏洞也,带,带来较,大,大的交,易,易风险,。,。,有些操,作,作系统,中,中某些,用,用户是,无,无口令,的,的，如,匿,匿名FTP,!,!,补：管,理,理风险,社会工,程,程学攻,击,击,社会工,程,程学（,攻,攻击）是使用,计,计谋和,假,假情报,去,去获得,密,密码和,其,其他敏,感,感信息,的,的科学,。,。或者,说,说是一,种,种通过,对,对受害,者,者心理弱,点,点、本能反,应,应、好奇心、信任、贪婪等心理,陷,陷阱进,行,行诸如,欺,欺骗、,伤,伤害等,危,危害手,段,段，取,得,得自身,利,利益的,手,手法，,近,近年来,已,已成迅,速,速上升,甚,甚至滥,用,用的趋,势,势。,社会工,程,程学攻,击,击,研究一,个,个站点,的,的策略,其,其中之,一,一就是,尽,尽可能,多,多地了,解,解这个,组,组织的,个,个体，,因,因此黑,客,客不断,试,试图寻,找,找更加,精,精妙的,方,方法，,他,他们希,望,望从渗,透,透的组,织,织那里,获,获得信,息,息。,举个例,子,子：一,组,组高中,学,学生曾,经,经想要,入,入侵某,公,公司的,网,网络，,他,他们拟,定,定了一,个,个表格,，,，调查,看,看上去,显,显得是,无,无害的,个,个人信,息,息，例,如,如所有,秘,秘书和,行,行政人,员,员和他,们,们的配,偶,偶、孩,子,子的名,字,字。这,些,些从学,生,生转变,成,成的黑,客,客说这,种,种简单,的,的调查,是,是他们,社,社会研,究,究工作,的,的一部,分,分。利,用,用这份,表,表格这,些,些学生,能,能够快,速,速的进,入,入系统,，,，因为网,络,络上的,大,大多数,人,人是使,用,用宠物,和,和他们,配,配偶名,字,字作为,密,密码。,社会工,程,程学攻,击,击举例,1、请狼,入,入室,李小姐,是,是某个,大,大公司,的,的经理,秘,秘书，,她,她工作,的,的电脑,上,上存储,着,着公司,的,的许多,重,重要业,务,务资料,，,，所以,属,属于公,司,司着重,保,保护的,对,对象，,安,安全部,门,门设置,了,了层层,安,安全防,护,护措施,，,，可以,说,说，她,的,的电脑,要,要从外,部,部攻破,是,是根本,不,不可能,的,的事情,。,。为了,方,方便修,改,改设置,和,和查杀,病,病毒，,安,安全部,门,门可以,直,直接通,过,过网络,服,服务终,端,端对李,小,小姐的,电,电脑进,行,行全面,设,设置。,也,也许贪,图,图方便,，,，维护,员,员与李,小,小姐的,日,日常联,系,系是通,过,过QQ进行的,。,。,这天，,李,李小姐,刚,刚打开QQ，就收到,维,维护员,的,的消息：“小,李,李，我,忘,忘记登,录,录密码,了,了，快,告,告诉我,，,，有个,紧,紧急的,安,安全设,置,置要做,呢,呢！”,因为和,维,维护员,很,很熟了,，,，李小,姐,姐就把,密,密码发,了,了过去,。,。,。,。一夜之,间,间，公,司,司的主,要,要竞争,对,对手掌,握,握了公,司,司的业,务,务！,社会工,程,程学攻,击,击举例,由于安,全,全部门,距,距离李,小,小姐的,工,工作地,点,点有好,些,些距离,，,，管理,不,不方便,，,，所以,公,公司让,他,他们直,接,接通过,网,网络来,管,管理机,器,器！他,与,与李小,姐,姐之间,的,的联系,通,通过QQ进行。,问,问题偏,偏,偏就出,在,在QQ上。作,为,为安全,人,人员，,他,他自然,知,知道密,码,码的重,要,要性，,因,因此他,的,的任何,密,密码都,设,设置得,十,十分复,杂,杂，穷,举,举几乎,不,不可能,。,。至于,被,被入侵,，,，那更,不,不可能,发,发生。,然,然而百密仍,有,有一疏，他做,梦,梦也没,想,想到对,手,手利用QQ的取回,密,密码功,能,能轻易,拿,拿到了,他,他的密,码,码。,剖析：,李小姐,正,正是出,于,于对维,护,护员的,信,信任才,被,被对方,欺,欺骗的,。,。因为,那,那个在QQ上出现,的,的维护,员,员根本不是公,司,司的维,护,护员本,人,人，而是,对,对手盗,取,取了维,护,护员的QQ，再利,用,用一个,小,小小的信任关系，,就,就轻易,取,取得了,登,登录密,码,码。,2、形同,虚,虚设的,密,密码,社会工,程,程学攻,击,击举例,剖析：,他在输,入,入提示,答,答案的,时,时候，,下,下意识,地,地输入,了,了心里,最,最重要,的,的那个,人,人的名,字,字。但,是,是对手,也,也知道,他,他心里,那,那个人,的,的名字,，,，所谓,的,的“知己知,彼,彼”。,小马喜,欢,欢绚丽,的,的QQ秀和一,些,些特色,服,服务，,但,但舍不,得,得花钱,。,。好想,有,有免费,的,的Q币。某,天,天一QQ好友给,他,他发来,一,一个URL，还说,这,这个网,站,站通过,一,一定的,点,点击次,数,数提供Q币。如,此,此好的,机,机会小,马,马怎能,放,放过？,他,他根据,网,网站的,提,提示输,入,入了QQ号码和,密,密码完,成,成注册,，,，然后,给,给QQ上的朋,友,友们发,了,了网址,。,。然而,等,等了许,久,久，自,己,己的Q币依然,没,没有动,静,静。第,二,二天，,小,小马想,登,登录QQ时，却,发,发现怎,么,么也登,录,录不上,去,去了QQ密码被,人,人改了,。,。这是,曾,曾闹得,轰,轰轰烈,烈,烈的QQ欺骗案,件,件之一,。,。,3、E时代的,守,守株待,兔,兔,社会工,程,程学攻,击,击举例,剖析：这就是,著,著名的“网络钓,鱼,鱼”！,论坛常,有,有帖子,：,：“腾讯公,司,司预留,了,了专用,号,号码作,为,为充值,号,号，此,号,号是自,动,动读取,指,指令的,，,，为了,不,不引起,大,大家的,注,注意，,所,所以这,个,个QQ比较普,通,通，这,个,个QQ一般隐,身,身。只,要,要发送Jerusalum/PLO号码VesselinBontchev密码FRALDMUZKQ币数量，然后,下,下线5分钟，,等,等着收Q币吧。,”,”,大哥你,是,是不是,太,太搞笑,？,？！改,我,我密码,还,还要5分钟啊,？,？麻烦,你,你快一,点,点好不,好,好！,还有QQ中奖要,求,求用户,填,填写密,码,码以待,“,“验证,”,”等伎,俩,俩，无,论,论什么,手,手法，,最,最终结,局,局都是,一,一样的,，,，那就,是,是用户的,密,密码被,人,人改掉,。,。如此,白,白痴的,骗,骗局，,只,只要有,点,点常识,的,的人都,不,不难理,解,解其中,的,的“笑,话,话”，,奇,奇怪的,是,是却屡,屡,屡有人,上,上当，,究,究其原,因,因，就,是,是因为,国,国人的贪小便,宜,宜心理作,祟,祟。,社会工,程,程学攻,击,击举例,王先生,是,是一家,银,银行的,职,职员，,通,通常都,是,是直接,在,在网络,上,上完成,转,转账操,作,作的。,由,由于他,的,的电脑,水,水平不,高,高，前,不,不久被,一,一个初,学,学者骇,客,客入侵,了,了机器,。,。在请,来,来专业,人,人员修,复,复系统,更,更改密,码,码后，,王,王先生,照,照例登,录,录网络,银,银行为,手,手机缴,费,费，可,是,是才过,一,一会儿,他,他的冷,汗,汗就出,来,来了：,网,网络银,行,行登录,不,不进去,了,了！深,感,感大事,不,不妙的,王,王先生,去,去银行,办,办理了,相,相关手,续,续，查,账,账发现,账,账户里,的,的钱已,经,经被人,划,划走了,。,。,因为王,先,先生犯,了,了大部,分,分人都,会,会犯的,致,致命错,误,误：通,常,常为了,记,记忆方,便,便，人,们,们会把几处的,密,密码都,设,设置成,一,一样的，例,如,如QQ、E-MAIL、FTP、网站,等,等的密,码,码，而,王,王先生,更,更进一,步,步把所,有,有密码,都,都弄成,一,一样的,了,了，因,此,此入侵,者,者在得,到,到王先,生,生的机,器,器登录,密,密码后,也,也就得,到,到了网,络,络银行,的,的密码,。,。正是,因,因为这,个,个普遍,心,心理特,点,点，受,害,害者往,往,往都是,被,被入侵,者,者一锅,端,端了！,因为简单密,码,码和相同密,码,码是大部,分,分人都,会,会碰到,的,的心理,弱,弱点,4、轻而,易,易举的,入,入侵,电子商,务,务的实,质,质仍然,是,是商务,。,。电子,商,商务交,易,易活动,越,越普遍,对安全,管,管理的,要,要求就,越,越高。,此,此时的,管,管理，,已,已不单,纯,纯是对,计,计算机,系,系统的,管,管理，,而,而是涉,及,及对虚,拟,拟环境,中,中商务,活,活动各,类,类参与,主,主体的,管,管理。,防止前,述,述问题,的,的风险,需,需要有,完,完善的,制,制度设,计,计，形,成,成一套,相,相互关,联,联、相,互,互制约,的,的制度,群,群。,3.1,电,电子,商,商务标,准,准管理,3.2,计,计算,机,机信息,系,系统管,理,理,3.3,网,网络,服,服务和,网,网络用,户,户的管,理,理,3.4,网,网络,广,广告管,理,理,3.5,电,电子,认,认证服,务,务机构,管,管理,3.1,电,电子,商,商务标,准,准管理,（,（,课本P61,-,-68,）,电子商,务,务标准,的,的产生,需求,产,产生标,准,准,在信息,化,化时代,，,，企业,依,依靠越,来,来越多,的,的管理,信,信息系,统,统实现,运,运营。,面,面对五,花,花八门,的,的系统,交,交互，,企,企业首,先,先要解,决,决数据,交,交换问,题,题。（如何,解,解决？,）,）,开发专,用,用接口,或,或统一,数,数据格,式,式成为,人,人们常,用,用的办,法,法。但,是,是在互,联,联网上,，,，这些,办,办法似,乎,乎颇有,束,束缚。,因此，,定,定制数,据,据交换,标,标准的,需,需求应,运,运而生,。,。1998年，国,际,际标准,化,化组织W3C推出XML，解决,了,了数据,交,交换的,标,标准问,题,题。,（企业,需,需求得,到,到