電子商務(wù)安全課件

中國(guó)科學(xué)院規(guī)劃教材1第6章 電子商務(wù)安全本章目錄2電子商務(wù)安全內(nèi)涵與安全需求電子商務(wù)安全管理6.1

電子商務(wù)安全內(nèi)涵與安全需求信息安全概念及其演變信息安全的概念用戶需要的信息安全信息系統(tǒng)管理者認(rèn)為的信息安全受眾理解的信息安全信息安全是指信息不會(huì)被故意或偶然地非法泄露、不會(huì)被非法系統(tǒng)辨識(shí)、控制，人們能有益、有序地使用

信息。現(xiàn)代信息安全主要包含兩層含義，一是運(yùn)行系統(tǒng)的安全，二是系統(tǒng)信息的安全3信息安全涉及的內(nèi)容3個(gè)主要方面：信息存儲(chǔ)安全、信息傳輸安全、信息應(yīng)用安全7類主要技術(shù)：操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、網(wǎng)絡(luò)安全、訪問(wèn)控制、病毒防護(hù)、加密、鑒別五種特性：保密性、完整性、真實(shí)性、可用性、可控性信息安全的演變20世紀(jì)80年代以前20世紀(jì)80年代至90年代20世紀(jì)90年代以后46.1

電子商務(wù)安全內(nèi)涵與安全需求6.1

電子商務(wù)安全內(nèi)涵與安全需求5電子商務(wù)安全含義與特征電子商務(wù)安全含義計(jì)算機(jī)網(wǎng)絡(luò)安全：包括：計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫(kù)安全等商務(wù)交易安全

：實(shí)現(xiàn)電子商務(wù)信息的保密性、完整性、真實(shí)性、可用性與可控性。6.1

電子商務(wù)安全內(nèi)涵與安全需求6電子商務(wù)安全含義與特征電子商務(wù)安全特征安全是一個(gè)系統(tǒng)概念安全是相對(duì)的安全是有代價(jià)的安全是發(fā)展的、動(dòng)態(tài)的6.1

電子商務(wù)安全內(nèi)涵與安全需求電子商務(wù)的安全需求電子商務(wù)安全環(huán)境主要包括：電子商務(wù)系統(tǒng)的硬件安全、軟件安全、運(yùn)行

安全、使用安全、法律安全電子商務(wù)安全基本需求有效性、真實(shí)性機(jī)密性數(shù)據(jù)的完整性可靠性、不可否認(rèn)性和可控性76.2

電子商務(wù)安全管理8電子商務(wù)安全技術(shù)管理防火墻技術(shù)防火墻的基本安全策略一切未被允許的訪問(wèn)服務(wù)都是禁止的一切未被禁止的服務(wù)都是允許的6.2

電子商務(wù)安全管理9電子商務(wù)安全技術(shù)管理防火墻技術(shù)防火墻的主要功能控制不安全的服務(wù)控制訪問(wèn)站點(diǎn)集中式安全保護(hù)增強(qiáng)私有資源的保密性網(wǎng)絡(luò)記錄6.2

電子商務(wù)安全管理10電子商務(wù)安全技術(shù)管理防火墻技術(shù)防火墻的主要類型結(jié)構(gòu)：代理主機(jī)結(jié)構(gòu)和路由器加過(guò)濾器結(jié)構(gòu)技術(shù)角度：分為包過(guò)濾、應(yīng)用網(wǎng)關(guān)、代理服務(wù)、狀態(tài)檢測(cè)技術(shù)防火墻和混合型防火墻。產(chǎn)品形式：大致可以分為硬件防火墻和軟件防火墻用戶角度：分為企業(yè)防火墻和個(gè)人防火墻兩種6.2

電子商務(wù)安全管理電子商務(wù)安全技術(shù)管理防火墻技術(shù)防火墻的不足網(wǎng)絡(luò)上有些攻擊可以繞過(guò)防火墻，而防火墻卻不能對(duì)繞過(guò)它的攻擊提供阻檔防火墻管理控制的是內(nèi)部與外部網(wǎng)絡(luò)之間的數(shù)據(jù)流，它不能防范來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊防火墻不能對(duì)被病毒感染的程序和文件的傳輸提供保護(hù)防火墻不能防范全新的網(wǎng)絡(luò)威脅當(dāng)使用端到端的加密時(shí)，防火墻的作用會(huì)受到很大的限制防火墻對(duì)用戶不完全透明，可能帶來(lái)傳輸延遲、瓶頸以及單點(diǎn)失效等11問(wèn)題6.2

電子商務(wù)安全管理12電子商務(wù)安全技術(shù)管理病毒防范技術(shù)反病毒管理服務(wù)器病毒實(shí)時(shí)檢測(cè)和清除軟件防病毒網(wǎng)關(guān)6.2

電子商務(wù)安全管理13電子商務(wù)安全技術(shù)管理身份識(shí)別技術(shù)基于口令的識(shí)別技術(shù)基于智能卡的識(shí)別技術(shù)基于

DCE/Kerberos

的雙向身份識(shí)別技術(shù)基于質(zhì)詢/應(yīng)答的識(shí)別技術(shù)基于人的生理特征的識(shí)別技術(shù)基于公共密鑰的識(shí)別機(jī)制6.2

電子商務(wù)安全管理14電子商務(wù)安全技術(shù)管理虛擬專用網(wǎng)（VPN）技術(shù)虛擬專用網(wǎng)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的

技術(shù)，即通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的再封包和加密傳輸，在公用網(wǎng)絡(luò)上傳輸私有數(shù)據(jù)，形成一種邏輯上的專用網(wǎng)絡(luò)，它具有專用網(wǎng)絡(luò)的功能，但本身并不是一個(gè)獨(dú)立的物理網(wǎng)絡(luò)6.2

電子商務(wù)安全管理電子商務(wù)安全技術(shù)管理虛擬專用網(wǎng)（VPN）技術(shù)VPN的主要功能實(shí)現(xiàn)不同網(wǎng)絡(luò)的組件和資源之間的互連，綜合傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的性能優(yōu)點(diǎn)和共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(diǎn)，利用互聯(lián)網(wǎng)或其它公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建安全的數(shù)據(jù)隧道，提供遠(yuǎn)程訪問(wèn)和內(nèi)外部網(wǎng)連接。能在降低成本的同時(shí)，滿足對(duì)網(wǎng)絡(luò)帶寬、接入和服務(wù)不斷增加的需求，并提供與專用網(wǎng)絡(luò)一樣的安全保障。156.2

電子商務(wù)安全管理電子商務(wù)安全技術(shù)管理虛擬專用網(wǎng)（VPN）技術(shù)VPN的主要特點(diǎn)成本低容易擴(kuò)展控制主動(dòng)權(quán)166.2

電子商務(wù)安全管理電子商務(wù)安全技術(shù)管理虛擬專用網(wǎng)（VPN）技術(shù)VPN的分類按應(yīng)用范圍：遠(yuǎn)程接入VPN；IntranetVPN；ExtranetVPN按網(wǎng)絡(luò)結(jié)構(gòu)：基于VPN的遠(yuǎn)程訪問(wèn)；基于VPN的網(wǎng)絡(luò)互聯(lián)；基于VPN的點(diǎn)對(duì)點(diǎn)通信按接入方式：專線VPN；撥號(hào)接入VPN；…………176.2

電子商務(wù)安全管理電子商務(wù)安全技術(shù)管理數(shù)據(jù)加密技術(shù)為了防止數(shù)據(jù)在傳輸過(guò)程中被竊取，必須對(duì)數(shù)據(jù)

進(jìn)行加密。對(duì)稱加密算法、非對(duì)稱加密算法186.2

電子商務(wù)安全管理19電子商務(wù)安全技術(shù)管理PKI技術(shù)PKI（Public

Key

Instructure，公開密鑰體系）PKI的基礎(chǔ)技術(shù)：加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字簽名等PKI的基本組成

認(rèn)證機(jī)構(gòu)（CA）數(shù)字證書庫(kù)密鑰備份及恢復(fù)系統(tǒng)證書作廢系統(tǒng)應(yīng)用接口（API）6.2

電子商務(wù)安全管理20電子商務(wù)安全技術(shù)管理數(shù)字認(rèn)證技術(shù)數(shù)字證書的含義和內(nèi)客數(shù)字證書就是網(wǎng)絡(luò)通信中標(biāo)志通信各方身份信息的一系

列數(shù)據(jù)，它提供了一種在Internet上驗(yàn)證身份的方式標(biāo)準(zhǔn)X.509數(shù)字證書6.2

電子商務(wù)安全管理21電子商務(wù)安全技術(shù)管理數(shù)字認(rèn)證技術(shù)數(shù)字證書的基本原理數(shù)字證書采用公鑰體制．即利用一對(duì)互相匹配的密鑰進(jìn)

行加密與解密。每個(gè)用戶設(shè)定—把僅為本人所知的私有密鑰（私鑰），用它進(jìn)行解密和簽名

。同時(shí)設(shè)定一把公共密鑰（公鑰）并由本人公開，為一組用戶所共享，用于加密和驗(yàn)證簽名。6.2

電子商務(wù)安全管理226.2

電子商務(wù)安全管理23電子商務(wù)安全技術(shù)管理數(shù)字認(rèn)證技術(shù)證書與證書授權(quán)中心

：為每個(gè)使用公開密鑰的用戶發(fā)放一個(gè)數(shù)字證書，證明用戶合法擁有證書中列出的公開密鑰。數(shù)字證書的用途

：應(yīng)用于公共網(wǎng)絡(luò)上的各類商務(wù)活動(dòng)和行政作業(yè)活動(dòng)6.2

電子商務(wù)安全管理電子商務(wù)安全技術(shù)管理PMI技術(shù)PMI（Privilege

Management

Infrastructure，授權(quán)

管理基礎(chǔ)設(shè)施）。

PKI能確定“他是誰(shuí)”，

PMI進(jìn)一步確定“他能做什么”以資源管理為核心授權(quán)管理中心（又稱AA中心）和資源管理中心（又

稱RM中心）屬性證書（Attribute

Certificate）246.2

電子商務(wù)安全管理25電子商務(wù)安全技術(shù)管理安全技術(shù)協(xié)議SSL協(xié)議，（Secure

Socket

Layer，安全套接層協(xié)

議）SSL協(xié)議的服務(wù)內(nèi)容SSL協(xié)議的工作流程6.2

電子商務(wù)安全管理26電子商務(wù)安全技術(shù)管理安全技術(shù)協(xié)議SET協(xié)議，（Secure

Electronic

Transaction，安全電子交易協(xié)議）SET協(xié)議的工作流程6.2

電子商務(wù)安全管理電子商務(wù)安全技術(shù)管理安全技術(shù)協(xié)議SET與SSL的比較認(rèn)證要求方面安全性方面網(wǎng)絡(luò)層協(xié)議位置方面應(yīng)用領(lǐng)域方面在實(shí)踐中應(yīng)根據(jù)具體情況來(lái)選擇是獨(dú)立使用還是兩者混合使用276.2

電子商務(wù)安全管理28電子商務(wù)安全技術(shù)管理安全技術(shù)協(xié)議數(shù)字摘要

（Digital

Digest）采用安全Hash編碼法（Secure

Hash

Algorithm，SHA）6.2

電子商務(wù)安全管理29電子商務(wù)安全技術(shù)管理安全技術(shù)協(xié)議概述數(shù)字時(shí)間戳（Digital

Time-Stamp，DTS）在電子商務(wù)交易中對(duì)交易文件的日期和時(shí)間信息采取安全措施，在經(jīng)過(guò)數(shù)字簽名的交易上打上一個(gè)可信賴的時(shí)間戳。與寄信用的郵戳一樣。數(shù)字時(shí)間戳服務(wù)用來(lái)證明消息的收發(fā)時(shí)間的。6.2

電子商務(wù)安全管理30電子商務(wù)安全經(jīng)濟(jì)管理電子商務(wù)安全預(yù)算應(yīng)該關(guān)注以下幾個(gè)方面是否平衡了成本與風(fēng)險(xiǎn)的關(guān)系是否真正用于降低或者消除信息安全風(fēng)險(xiǎn)，而不是引入了新的不可接受風(fēng)險(xiǎn)被關(guān)注的風(fēng)險(xiǎn)是否具有較高的優(yōu)先等級(jí)6.2

電子商務(wù)安全管理31電子商務(wù)安全組織管理建立安全管理制度嚴(yán)格用戶權(quán)限管理制度嚴(yán)格控制網(wǎng)絡(luò)接入設(shè)備的管理制度嚴(yán)格加強(qiáng)口令保密制度的執(zhí)行加強(qiáng)對(duì)入網(wǎng)用戶身份的檢查加強(qiáng)網(wǎng)絡(luò)系統(tǒng)日常的巡查6.2

電子商務(wù)安全管理電子商務(wù)安全組織管理建立安全管理制度隨時(shí)監(jiān)視網(wǎng)絡(luò)資源使用情況及時(shí)做好網(wǎng)絡(luò)系統(tǒng)動(dòng)態(tài)數(shù)據(jù)的遠(yuǎn)程備份工作定期清理網(wǎng)絡(luò)存貯資源加強(qiáng)網(wǎng)絡(luò)用戶與網(wǎng)絡(luò)管理部門之間的聯(lián)系與溝通定期不定期地對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)管理及使用人員進(jìn)行跟蹤監(jiān)查326.2

電子商務(wù)安全管理電子商務(wù)安全組織管理加強(qiáng)對(duì)人員的管理人員安全教育

思想教育明確職責(zé)技術(shù)培訓(xùn)336.2

電子商務(wù)安全管理電子商務(wù)安全組織管理加強(qiáng)對(duì)人員的管理人員管理機(jī)制訪問(wèn)控制信息處理系統(tǒng)的使用保密信息的處理硬件和軟件的維護(hù)系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和修改重要程序和數(shù)據(jù)的刪除和銷毀等346.2

電子商務(wù)安全管理35電子商務(wù)安全組織管理加強(qiáng)對(duì)人員的管理人員管理原則多人負(fù)責(zé)原則任期有限原則職責(zé)分離原則6.2

電子商務(wù)安全管理36電子商務(wù)安全風(fēng)險(xiǎn)管理對(duì)電子商務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行識(shí)別、衡量、分析，并在此基礎(chǔ)上有效地處置風(fēng)險(xiǎn)，降低各種風(fēng)險(xiǎn)發(fā)生的概率，或當(dāng)某種風(fēng)險(xiǎn)突然降臨時(shí)，減少損失的管理過(guò)程，風(fēng)險(xiǎn)管理目標(biāo)是盡可能地以最低的成本或代價(jià)實(shí)現(xiàn)盡可能大的安全保障。6.2

電子商務(wù)安全管理37電子商務(wù)安全風(fēng)險(xiǎn)管理電子商務(wù)安全風(fēng)險(xiǎn)管理規(guī)則評(píng)估階段資產(chǎn)評(píng)估與估價(jià)安全風(fēng)險(xiǎn)識(shí)別安全風(fēng)險(xiǎn)分析安全風(fēng)險(xiǎn)的跟蹤、規(guī)劃和時(shí)間安排6.2

電子商務(wù)安全管理38電子商務(wù)安全風(fēng)險(xiǎn)管理電子商務(wù)安全風(fēng)險(xiǎn)管理規(guī)則開發(fā)和實(shí)施階段風(fēng)險(xiǎn)補(bǔ)救措施開發(fā)風(fēng)險(xiǎn)補(bǔ)救措施的測(cè)試風(fēng)險(xiǎn)知識(shí)學(xué)習(xí)6.2

電子商務(wù)安全管理39電子商務(wù)安全風(fēng)險(xiǎn)管理電子商務(wù)安全風(fēng)險(xiǎn)管理規(guī)則運(yùn)行階段根據(jù)需要對(duì)電子商務(wù)系統(tǒng)環(huán)境進(jìn)行修改和更新，以保持環(huán)境安全，在運(yùn)行過(guò)程中執(zhí)行滲透測(cè)試和事故響應(yīng)策略6.2

電子商務(wù)安全管理40電子商務(wù)安全風(fēng)險(xiǎn)管理電子商務(wù)安全風(fēng)險(xiǎn)管理步驟第一步：