1、整理ppt第8章 電子商務安全管理及技術整理ppto一個全方位的電子商務安全管理體系應該從組織上、技術上、管理上以及法律法規等多方面入手，全面采取電子商務安全方法措施，這樣才能極大地實現電子商務的安全，保證電子商務交易的順利進行。整理ppt整理ppt1.1.電子商務安全電子商務安全 （1 1）電子商務安全的內涵）電子商務安全的內涵o電子商務的安全是一個廣泛而系統的概念，不僅包含著計算機系統結構、網絡通信技術、電子商務應用環境、人員素質等方面的安全，而且還與電子商務立法息息相關 。整理ppto電子商務安全從整體上可以分為兩大部分：計算機網絡安全和商務交易安全。o計算機網絡安全與電子商務交易安全實

2、際上是密不可分的，兩者相輔相成，缺一不可。整理ppt（2 2）電子商務的安全要素）電子商務的安全要素在電子商務交易過程中，交易各方面臨的威脅可能有o信息的截獲和竊取。o信息的篡改。o信息的假冒。o信息的抵賴。 整理ppt針對電子商務面臨的以上種種威脅，必須采取相應的應對策略，從多方面的電子商務安全要素入手，保證電子商務運行的安全實現。 可靠性。 真實性。 機密性。 完整性。 有效性。 不可抵賴性。 內部網的嚴密性。整理ppt2 2電子商務安全管理電子商務安全管理（1 1）電子商務安全管理的概念）電子商務安全管理的概念o電子商務的安全管理，指通過一個完整的綜合保障系統，規避電子商務交易過程的風險

3、（信息傳輸風險、信用風險、管理風險、法律風險、網上支付風險等），以保證網上交易的順利進行。 整理ppt 電子商務的安全管理要求規避的風險主要電子商務的安全管理要求規避的風險主要有：有：o 電子商務網絡系統自身的安全風險。 o 電子商務交易信息傳輸過程中的風險 o 電子商務企業內部安全管理風險 o 電子商務安全法律風險。o 電子商務的信用風險 o 電子商務安全支付風險整理ppt（2 2）電子商務安全與管理）電子商務安全與管理在如何正確看待電子商務的安全與管理時，需要注意幾點：o安全是一個系統的概念。安全是一個系統的概念。 不僅有技術，還有管理o安全是相對的。安全是相對的。 不要追求一個永遠也攻不

4、破的安全技術。整理ppto安全是有成本和代價的。安全是有成本和代價的。 如果不直接牽涉到支付等敏感問題，對安全的要求就低一些；反之，就高一些。o安全是發展的、動態的。安全是發展的、動態的。 需要不斷地檢查、評估和調整相應的安全管理策略整理ppto一個全方位的電子商務安全管理體系應該從組織上、技術上、管理上以及法律法規等多方面入手，全面采取電子商務安全方法措施 o（1）建立第三方認證機構，組織行業協會制定安全管理標準。 整理ppto（2）全面應用電子商務安全技術，構造多重防范措施。 o（3）加強電子商務安全管理，制定安全管理標準。 o（4）電子商務的安全影響國家和社會的穩定，應盡快建立健全電子商

5、務法律法規。 整理ppt電子商務信用的管理1電子商務信用管理的必要性2電子商務信用管理體系3我國電子商務信用管理現狀及相關政策整理ppt1 1電子商務信用管理的必要性電子商務信用管理的必要性o面對電子商務的蓬勃發展趨勢，電子商務交易的信用危機卻悄然襲來。如，虛假交易、假冒行為、合同詐騙、網上拍賣哄抬價等行為屢屢發生，客觀上要求規范電子商務交易市場秩序。 o電子商務的經銷商們由于不受地域限制，他們往往一開始就在較大范圍內進行經營。而其物流和配送系統并未跟上，這樣銷售商們常常不能按時交付商品或不能交付質價相符的商品。 整理ppto這些現象在很大程度上制約了我國電子商務的快速、健康發展，隨著電子商務

6、在全球范圍內的興起，如果不盡快改變這種傳統的交易方式，將會失去更多的市場份額和競爭優勢。整理ppto因此，必須建立電子商務信用管理體系，對企業和相關商業網站的信用進行評級，驗證客戶真實身份，同時還應不斷收集客戶資料，評估和授予信用額度，保障債權，保障應收賬款安全和及時回收，為電子商務的發展營造一個較為寬松的信用環境，推動電子商務市場的健康發展，它是企業信用管理體系的重心。整理ppt2 2電子商務信用管理體系電子商務信用管理體系o電子商務中的信用問題電子商務中的信用問題是指電子商務交易過程中因缺乏一定的信任關系而導致電子商務的交易成本上升，使交易復雜化、混亂化，甚至無法正常進行。o完整的信用管理

7、體系應該包含信用信息采集系統、信用信用信息采集系統、信用評價及查詢系統、信用動態跟蹤及反饋系統、信用保障評價及查詢系統、信用動態跟蹤及反饋系統、信用保障系統等系統等子系統。整理ppto目前已有的信用管理模式目前已有的信用管理模式： a 以政府為主體的有“網絡公證計劃”模式 b 以企業為主體的有中介人模式 c 擔保人模式 d 網站經營模式和委托授權模式o電子商務信用保障機制是有效實現其信用管理所必需的，保障機制的存在意義在于加快建設良好的電子商務信用環境，同時推進整個社會信用體系的完善。 整理ppt3 3我國電子商務信用管理現狀及相關政策我國電子商務信用管理現狀及相關政策o目前我國政府也開始重視

8、社會信用體系的建立，陸續出臺了相關的法律法規、文件，并鼓勵行業協會出臺有關的信用標準，推動整個社會經濟的良好發展。整理ppto2006-2020年國家信息化發展戰略、關于加快電子商務發展的若干意見、強化服務促進中小企業信息化意見o電子商務行業協會、企業網站等也為電子商務行業信用體系的建設不斷地努力。 整理ppt整理ppto首先，制定和實施電子商務安全管理標準是電子商務安全交易的需要。o其次，制定和實施電子商務安全管理標準是電子商務支付的需要。o最后，制定和實施電子商務安全管理標準是社會穩定，經濟繁榮發展的需要。整理ppto電子商務安全管理標準的內容主要有技術標準、安全管理制度及其標準、安全管理

9、法律法規 1 1技術方面的標準規范技術方面的標準規范早期措施：部分告知、 另行確認 、在線服務 現在推行： 加密標準。 電子商務安全協議。 數字簽名標準。 數字證書標準。 信息技術及網絡安全標準 美國國家安全局 官方標準橘皮書 我國相關技術標準 對稱密鑰加密標準：DES非對稱加密標準：主要有RSA、DSA、 Diffie-Hellman、PGP等 主要用于保證電子商務中數據的保密性、完整性、真實性和不可抵賴性 可以采用的協議有：安全超文本傳輸協議（STTP）安全套接層（Secure Sockets Layer，SSL） 安全交易技術協議（Secure Transaction Technolog

10、y，STT） 安全電子交易協議（SET） 是一個經過授權中心（CA）數字簽名的、包含證書申請者（公開密鑰擁有者）個人信息及其公開密鑰的文件。 整理ppt2 2電子商務安全管理制度及其標準電子商務安全管理制度及其標準（1 1）電子商務安全管理制度）電子商務安全管理制度是使用文字和圖表的形式對各項安全要求所做的規定 ，主要包括： 人員管理制度。 保密制度。 跟蹤、審計、稽核制度。 設備管理。 整理ppt 用戶管理。 病毒防范。 應急措施（即災難恢復） （2 2）電子商務信用管理標準）電子商務信用管理標準o行業標準o信用標準整理ppt3 3電子商務安全管理法律、法規、國家政策電子商務安全管理法律、法

11、規、國家政策o目前，已有50多個包括國際組織、國家和地區制定了電子商務法或相應的標準。o我國也出臺了許多有關互聯網絡安全、電子商務交易管理以及電子信息效力的法律法規和指導意見，如： 中華人們共和國電子簽名法 商務部關于促進電子商務規范發展的意見 中國國際經濟貿易仲裁委員網上仲裁規則 整理ppto安全協議安全協議是指由兩個或兩個以上的參與者，為完成某項特定的安全任務而采取的一系列步驟。 o電子商務中常用的安全協議電子商務中常用的安全協議有SSL協議、SET協議S-HTTP協議、First Virtual協議、支票支付協議、現金支付協議、安全電子郵件協議、Internet EDI協議、以及STT協

12、議等。整理ppt1 1SSLSSL（Secure Socket Layer Secure Socket Layer ）協議）協議SSL（安全套接層）協議是一個用來保證安全傳輸文件的協議o它主要是使用公開密鑰體制和X.509數字證書技術保護信息傳輸的機密性和完整性 ，但它不保證信息的不可抵賴性 o主要適用于點對點之間的信息傳輸。 整理ppt應用層協議（H TTP、Telnet、FTP、SM TP等）SSL握手協議SSL更改密碼說明協議SSL警告協議應用數據協議SSL R ecord Protocol SSL記錄協議TCPIP（1）SSL協議體系結構協議體系結構重要概念：SSL連接（Connect

13、ion） SSL會話（Session） 整理ppt服務類型作用服務器認證通過服務器具有的特定密鑰實現客戶機對服務器的認證客戶認證確信客戶具有合法的信用卡號，客戶認證為可選項通信的完整性防止黑客修改通信的保密性支持加密和解密 （2 2）SSLSSL協議提供的安全服務協議提供的安全服務整理pptoSSLSSL協議的運行過程協議的運行過程o第一步，客戶端向服務器端發送它的SSL版本號、加密算法設置、隨機產生的數據和其它服務器需要用于同客戶端通信的數據。o第二步，服務器向客戶端發送它的SSL版本號、加密算法設置、隨機產生的數據和其它客戶端需要用于同服務器通信的數據。另外，服務器還要發送自己的證書，如果

14、客戶端正在請求需要認證的信息，那么服務器同時也要請求獲得客戶端的證書。整理ppto第三步，客戶端用服務器發送的信息驗證服務器身份。如果認證不成功，用戶就將得到一個警告，加密數據連接將無法建立。如果成功，則繼續下一步。o第四步，用戶用握手過程至今產生的所有數據，創建連接所用的Premaster Secret（預加密主密鑰），用服務器的公鑰加密（從第二步中傳送的服務器證書中得到），傳送給服務器。整理ppto第五步，如果服務器也請求客戶端驗證，那么客戶端將對另外一份和上次用于建立加密連接使用的不同的數據進行簽名。在這種情況下，客戶端會把這次產生的加密數據和自己的證書同時傳送給服務器用來產生Prema

15、ster Secret。整理ppto第六步，如果服務器也請求客戶端驗證，服務器將試圖驗證客戶端身份。如果客戶端不能獲得認證，連接將被中止。如果認證成功，服務器用自己的私鑰加密Premaster Secret，然后執行一系列步驟產生Master Secret（主密鑰）。o第七步，服務器和客戶端同時產生Session Key，之后的所有數據傳輸都用對稱密鑰算法來交流數據。整理ppto第八步，客戶端向服務器發送信息說明以后的所有信息都將用Session Key加密。至此，它會傳送一個單獨的信息標示客戶端的握手部分也已經宣告結束o第九步，服務器也向客戶端發送信息說明以后的所有信息都將用Session

16、Key加密。至此，它會傳送一個單獨的信息標示服務器端的握手部分也已經宣告結束。o第十步，SSL握手過程成功結束，一個SSL數據傳送過程建立。客戶端和服務器開始用Session Key加密、解密雙方交互的所有數據。整理ppt（4 4）SSLSSL存在的問題存在的問題o存在被攻擊修改的可能o使用復雜的數學公式 ，高強度的計算會 使 服務器提頓o在電子商務系統的應用中存在很多弊端整理ppt2 2SETSET（Secure Electronic Transaction Secure Electronic Transaction ） 協議協議o是一種基于銀行卡而進行的為電子交易提供安全措施的規則，能廣泛

17、應用于因特網的安全電子支付協議 o采用公鑰密碼體制和X.509數字證書標準 整理ppt（1 1）SETSET協議的主要目標協議的主要目標o 保證電子商務參與者信息的相互隔離。o 保證信息在因特網上安全傳輸，防止數據被黑客或被內部人員竊取。o 解決多方認證問題。整理ppto 保證網上交易的實時性，使所有的支付過程都是在線的。o 提供一個開放式的標準，規范協議和消息格式，促使不同廠家開發的軟件具有兼容性和互操作功能，并且可運行在不同的硬件和操作系統平臺上。整理ppt（2 2）SETSET系統的構成系統的構成o 持卡人（Cardholder） o 商家（Merchant）。 o 發卡機構（Issue

18、r） o 收單銀行（Acquirer） o 支付網關（Payment Gateway） o 認證中心（Certification Authority） 整理ppt整理ppt綜合來看，SET協議規定運行過程分為以下3個階段o 購買請求階段 o 支付確認階段 o 收款階段 整理ppt 同SSL相比，SET有這樣一些區別：o首先，SET對商家提供了保護自己的手段，使商務免受欺詐的困擾，并且SET向消費者保證了商家的合法性，保證用戶的信用卡號不會被竊取。而SSL相對不安全。整理ppto其次，SET是一個多方的報文協議，而SSL只是簡單地在兩方之間建立一條安全連接。SSL是面向連接的，而SET允許各方之

19、間報文的交換不是實時的。o使用SET比SSL昂貴得多。o最后，SET提供了比SSL更完整的用于電子商務的卡支付系統，它定義了各方的互操作接口，從而有效地降低了金融風險。 整理ppt整理ppt現階段常用的幾種電子商務安全管理技術：1. 1. 加密技術加密技術明文 密文 加密 解密 密鑰2. 2. 認證技術認證技術（1）身份認證（2）數字簽名（3）數字時間戳與數字信封身份認證就是在電子商務交易過程中，判明和確認貿易參與者的真實身份。 主要有：基于密碼的認證方式 、基于生物特征的認證方式 、基于一次性口令的認證方式 、基于USB Key的認證方式 數字時間戳是用來證明消息的收發時間。數字信封是用加密

20、技術來保證只有特定的收信人才能閱讀通信的內容。 整理ppto數字證書是一個擔保個人、計算機系統或者組織的身份和密鑰所有權的電子文檔，它是由一個權威機構發行的，人們可以在交往中用它來識別對方的身份 。o數字證書采用公鑰體制 o數字證書的內容數字證書的內容：（4）數字證書整理ppt申請者信息 頒發者信息 證書序列號（類似于身份證號碼）頒發者名稱 證書主題（即證書所有人的名稱） 頒發者的數字簽名（類似于身份證上公安機關的公章） 證書的有效期限 簽名所使用的算法 證書所有人的公開密鑰 整理ppt（5 5）認證中心）認證中心o認證中心的功能主要是對數字證書進行管理，即負責證書的申請、審批、發放、歸檔、撤

21、銷、更新和廢止等管理。o電子商務CA認證體系包括兩大部分 SET CA認證體系 PKI CA認證體系 整理ppt3 3防火墻技術防火墻技術o防火墻是加強Internet和Intranet之間安全防范的、由硬件設備和軟件系統組成的、在外部網和內部網之間的界面上構成的保護層。 o防火墻作為網絡間實施網間訪問控制的一組組件的集合，應滿足以下基本條件： 整理ppt第一，內部網絡和外部網絡之間的所有數據流必須 經過防火墻；第二，只有符合安全策略的數據流才能通過防火墻 第三，防火墻自身具有高可靠性，應對滲透（Penetration）免疫整理ppto防火墻基本的安全保護規則 o防火墻的功能 o防火墻的分類o

22、防火墻的體系結構o防火墻的實現第一，一切未被允許的就是禁止的 第二，一切未被禁止的就是允許的 一般來說，防火墻的基本類型有三種：網絡級防火墻、應用級防火墻和復合型防火墻。目前防火墻主要有三種常見的體系結構：雙宿/多宿主機（Dual-homed/Multi-homed）模式、被屏蔽主機（Screened Host）模式被屏蔽子網（Screened Subnet）模式 整理ppt4 4入侵檢測安全技術入侵檢測安全技術（1 1）入侵檢測技術的作用）入侵檢測技術的作用（2 2）入侵檢測系統的主要類型）入侵檢測系統的主要類型o基于主機的入侵檢測系統 o基于網絡的入侵檢測系統（3 3）入侵檢測技術發展趨勢

23、）入侵檢測技術發展趨勢o 分布式入侵檢測o智能化入侵檢測o網絡安全技術相結合 整理ppt5 5病毒防范技術病毒防范技術o病毒防范的具體措施應該包括如下內容： 預防 備份 檢測 隔離 慎重整理ppto電子商務中的安全機制主要是指三個方面：數字證書完成交易方的身份鑒別問題。數字簽名確定交易的不可否認性，數字信封解決交易數據的保密問題o電子商務安全體系結構由網絡服務層、加密技術層、安全認證層、安全協議層、應用系統層5個層次組成 整理ppt整理ppto網絡服務層網絡服務層o構成電子商務安全系統結構的底層是網絡服務層。 o網絡服務層是各種電子商務應用系統的基礎，提供信息傳送的載體和用戶接入手段及安全通信

24、服務，保證網絡最基本的運行安全。 o采用防火墻、加密、漏洞掃描、入侵檢測、反病毒和安全審計技術等，用以保證計算機網絡自身的安全。 整理ppt2. 2. 技術加密層技術加密層o電子商務安全性所依賴的基礎是密碼學。o技術加密層主要采用對稱加密體制（可采用數據加密標準DES、高級加密標準AES等）和公鑰密碼體制（可采用RSA算法、混合密碼系統）。整理ppt3.3.安全認證層安全認證層o在開放的網絡環境中開展電子商務活動，除了要認證買賣雙方的實體身份和驗證電子交易過程中的數據是否真實完整，還要保證交易雙方的不可抵賴性。安全認證的關鍵技術包括報文摘要和數字簽名。 整理ppt4.4.安全協議層安全協議層o電子商務的運行需要一套完整的安全協議。目前，比較成熟的協議有安全套接層協議SSL、安全電子交易協議SET、Netbill和匿名原子交易協議等。整理ppt5.5.應用系統層應用系統層o電子商務業務系統包括支付型系統支付型系統和非支付非支付型系統型系統。電子商務業務系統中主要是支付型業務系統