电子商务安全技术模板课件.pptx

《电子商务安全技术模板课件.pptx》由会员分享，可在线阅读，更多相关《电子商务安全技术模板课件.pptx（43页珍藏版）》请在三一办公上搜索。

1、感谢您的观看,第8章 电子商务安全技术,1,2019年6月16,感谢您的观看,2019年6月16,案例导入,淘宝网1元“错价门”事件-电子商务安全不容忽视 中国IDC评述网2009年09月14日报道：互联网上从来不乏标价1元的商品。近日，淘宝网上大量商品标价1元，引发网民争先恐后哄抢，但是之后许多订单被淘宝网取消。随后，淘宝网发布公告称，此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称：“服务器可能被攻击，已联系技术紧急处理。”这起“错价门”事件发生至今已有两周，导致“错价门”的真实原因依然是个谜，但与此同时，这一事件暴露出来的电子商务安全问题不容小觑

2、。资料来源:http:/作者略有删减,2,8.1 电子商务安全概况,8.1.1 电子商务安全概念与特点1.电子商务安全的定义 电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。,2019年6月16,包括计算机的网络设备安全、计算机网络系统安全、数据库安全,主要保证电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性,3,感谢您的观看,感谢您的观看,2019年6月16,案例导入,2.电子商务安全特点,电子商务安全是一个系统概念电子商务安全是相对的电子商务安全是有代价的电子商务安全是发展的、动态的,4,感谢您的观看,2019年6月16,案例导入,1对客户机的安全威胁,动态网页

3、有多种形式，最著名的动态网页形式包括JavaScript和VBScript、Java Applet和ActiveX控件等,1）cookies2）邮件通讯簿3)信息隐蔽,5,2对通信信道的安全威胁(1）搭线窃听（2）IP欺骗（3）IP源端路由选择（4）目标扫描,感谢您的观看,2019年6月16,6,3对服务器的安全威胁,感谢您的观看,2019年6月16,（1）WWW服务器（2）数据库服务器（3）CGI（4）ASP（5）邮件炸弹（6）溢出攻击（7）口令破译,7,8.1.3 电子商务安全要素,感谢您的观看,2019年6月16,保密性,完整性,认证性,不可抵赖性,不可拒绝性,访问控制性,电子商务安全核

4、心,8,感谢您的观看,2019年6月16,1保密性 商务数据的保密性（Confidentiality）是指信息在网络上传输或存储的过程中不被他人窃取、不被泄露给未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容。2完整性 商务数据的完整性（Integrity）是指保护数据的一致性，防止数据被未授权者修改、建立、嵌入、删除、重复发送或由于其他原因使原始数据被更改。,9,感谢您的观看,2019年6月16,3认证性 商务对象的认证性(Authentication)或称真实性是指网络两端的使用者在通信之前相互确认对方的身份，保证交易方确实存在，而并非有人假冒。4不可否认性 商务服务的不

5、可否认性(Non-repudiation)或称不可抵赖性是指信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息，这是一种法律有效性要求。,10,5不可拒绝性 商务服务的不可拒绝性(Denial of service)或称可靠性是指保证授权用户在正常访问信息和资源时不被拒绝，即为用户提供稳定可靠的服务。6访问控制性 访问控制性(Access control)或称可控性规定了主体访问客体的操作权力限制，以及限制进入物理区域(出入控制)和限制使用计算机系统和计算机存储数据的过程(存取控制)。包括人员限制、数据标识、权限控制、控制类型和风险分析等。,感谢您的观看,2019年6月16,11,8

6、.2.1 电子商务安全框架 一个安全的电子商务系统应构建以策略为指导、技术为基础、管理为核心的安全框架。在安全策略指导下，建立统一的安全管理平台，提供全面的安全服务，形成一个互为协作的统一体，使整个系统覆盖从物理通信到网络、系统平台直至数据和应用平台的各个层面的安全需求，从而形成完整的电子商务安全框架。,感谢您的观看,2019年6月16,12,1.安全策略可采用的安全策略一般有:(1)物理结构:同因特网物理隔离，同内部局域网逻辑隔离。(2)敏感信息:链路加密、文件加密传输、重要数据加密存储。(3)安全认证:建立PKI/CA系统和授权管理。(4)适度安全防护:从技术安全中选择适当防护措施。(5)

7、安全管理与审计:加强安全审计，建立统一的安全管理平台。,感谢您的观看,2019年6月16,13,2.安全框架(1）物理与线路传输安全框架(2)网络安全防御框架(3)主机与系统安全框架(4)数据与应用安全框架(5)统一安全管理框架,感谢您的观看,2019年6月16,14,感谢您的观看,2019年6月16,8.2.2 电子商务安全体系结构,电子商务安全框架是保证电子商务中数据安全的,一个完整的逻辑结构，由五个部分组成,15,8.2.3 电子商务安全基础环境 电子商务安全基础环境是指从整体电子商务系统或网络支付系统的角度进行安全防护，它与网络系统硬件平台、操作系统、各种应用软件等互相关联，包括的内容

8、有：1.行政管理(1)核心设备的密码由双人管理。核心设备如服务器、存储器、交换机、路由器等。(2)对用户的注册、退网、用网等有严格的管理规章制度。(3)对数据交换中心核心信息的增加、删除和备份要严格实行登记制度。(4)对系统的运行要有监控和应急处理措施，特别是门户网站的24小时监控、预警和快速恢复。(5)网络中心机房的屏蔽技术，要经当地保密部门测试和认可。(6)网络中心机房的双路供电和不间断电源条件应满足实际需要。,感谢您的观看,2019年6月16,16,2.基于网络设施的基本安全防御系统 网络设施的基本安全防御包括防火墙、入侵检测、防病毒、脆弱 性扫描、防WEB篡改、链路加密、安全审计和入网

9、认证等。(1)防火墙(2)入侵检测系统(IDS)(3)病毒防护(4)漏洞扫描(5)物理隔离(6)链路加密和VPN(7)入网认证与审计,感谢您的观看,2019年6月16,17,3.基于PKI的CA安全认证 包括电子身份认证、授权、密码管理、密钥管理、可信任时间戳管理等。建立认证授权中心，对公众网络用户实行安全证书发放、入网认证、授权服务和管理。4.数据加密 数字加密是利用数学算法将明文转变为不可能理解的密文和反过来将密文转变为可理解形式的明文的方法、手段和理论的一门科学。对基础数据和核心数据实行加密处理，当用户欲访问数据库时除了入网认证、服务器权限管理、磁盘目录属性管理和文件读/写权限管理之外，

10、对数据库的记录、记录字段增加读、改、写权限并进行加密处理，无权读(或写)的用户不能看到数据库中任何数据，即使数据被窃也无泄密之险。,感谢您的观看,2019年6月16,18,5.容灾备份 容灾备份中心的主要功能：定期备份数据交换中心的数据；在灾难性故障发生的时候临时提供服务。容灾备份中心的主要设备包括:服务器、交换机、路由器和大容量光盘存储器。6.统一安全管理 多数的电子商务系统涉及大量的网络设备、主机设备、安全设备以及其他设施和人员，对安全的要求较高，造成管理的复杂度很高。某些分散的管理降低了管理的效率和效果。所以需要建立一个统一的安全管理平台，对整个网络进行统一的安全管理。,感谢您的观看,2

11、019年6月16,19,8.3 电子商务安全技术8.3.1密码技术 加密技术是保证电子商务安全的重要手段，是信息安全的核心技术。它主要包括加密、签名认证和密钥管理三大技术。1.加密技术 加密技术是保证电子商务安全的重要手段。所谓加密就是使用数学方法来重新组织数据，使得除了合法的接收者外，任何其他人要想恢复原先的“报文”或读懂变化后的“报文”是非常困难的。许多密码算法现已成为网络安全和商务信息安全的基础。,感谢您的观看,2019年6月16,20,8.3 电子商务安全技术8.3.1密码技术 加密技术是保证电子商务安全的重要手段，是信息安全的核心技术。它主要包括加密、签名认证和密钥管理三大技术。1.

12、加密技术 加密技术是保证电子商务安全的重要手段。所谓加密就是使用数学方法来重新组织数据，使得除了合法的接收者外，任何其他人要想恢复原先的“报文”或读懂变化后的“报文”是非常困难的。许多密码算法现已成为网络安全和商务信息安全的基础。,感谢您的观看,2019年6月16,21,8.3 电子商务安全技术8.3.1密码技术 加密技术是保证电子商务安全的重要手段，是信息安全的核心技术。它主要包括加密、签名认证和密钥管理三大技术。1.加密技术 加密技术是保证电子商务安全的重要手段。所谓加密就是使用数学方法来重新组织数据，使得除了合法的接收者外，任何其他人要想恢复原先的“报文”或读懂变化后的“报文”是非常困难

13、的。许多密码算法现已成为网络安全和商务信息安全的基础。,感谢您的观看,2019年6月16,22,8.3 电子商务安全技术8.3.1密码技术 加密技术是保证电子商务安全的重要手段，是信息安全的核心技术。它主要包括加密、签名认证和密钥管理三大技术。1.加密技术 加密技术是保证电子商务安全的重要手段。所谓加密就是使用数学方法来重新组织数据，使得除了合法的接收者外，任何其他人要想恢复原先的“报文”或读懂变化后的“报文”是非常困难的。许多密码算法现已成为网络安全和商务信息安全的基础。,感谢您的观看,2019年6月16,23,8.3 电子商务安全技术8.3.1密码技术 加密技术是保证电子商务安全的重要手段

14、，是信息安全的核心技术。它主要包括加密、签名认证和密钥管理三大技术。1.加密技术 加密技术是保证电子商务安全的重要手段。所谓加密就是使用数学方法来重新组织数据，使得除了合法的接收者外，任何其他人要想恢复原先的“报文”或读懂变化后的“报文”是非常困难的。许多密码算法现已成为网络安全和商务信息安全的基础。,感谢您的观看,2019年6月16,24,8.3 电子商务安全技术8.3.1密码技术 加密技术是保证电子商务安全的重要手段，是信息安全的核心技术。它主要包括加密、签名认证和密钥管理三大技术。1.加密技术 加密技术是保证电子商务安全的重要手段。所谓加密就是使用数学方法来重新组织数据，使得除了合法的接

15、收者外，任何其他人要想恢复原先的“报文”或读懂变化后的“报文”是非常困难的。许多密码算法现已成为网络安全和商务信息安全的基础。,感谢您的观看,2019年6月16,25,8.3.2网络安全技术 网络安全是电子商务安全的基础，一个完整的电子商务系统应建立在安全的网络基础设施之上。网络安全所涉及到操作系统安全、防火墙技术、VPN(Virtual Pager NetWork；虚拟专用网)技术和各种反黑客技术和漏洞检测技术等。防火墙是建立在通信技术和信息安全技术之上，它用于在网络之间建立一个安全屏障，根据指定的策略对网络数据进行过滤、分析和审计，并对各种攻击提供有效的防范。主要用于Internet接入和

16、专用网与公用网之间的安全连接。,感谢您的观看,2019年6月16,26,感谢您的观看,2019年6月16,1.防火墙体系结构 防火墙结构主要包括安全操作系统、过滤器、网关、域名服务和E-MAIL处理五个部分。,27,感谢您的观看,2019年6月16,（）屏蔽路由器防火墙,28,感谢您的观看,2019年6月16,（）屏蔽主机网关防火墙,29,感谢您的观看,2019年6月16,（）双宿主机网关防火墙,30,感谢您的观看,2019年6月16,（4）屏蔽子网防火墙,31,感谢您的观看,2019年6月16,（5）安全服务器网络防火墙,32,VPN也是一项保证网络安全的技术之一，它是指在公共网络中建立一个

17、专用网络，数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，就可以和其各地的分支机构就可以在互相之间安全传递信息。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后企业网络发展的趋势。,感谢您的观看,2019年6月16,33,8.3.3安全协议 安全协议是许多分布式系统安全的基础，是电子商务系统运行的安全通信标准。1.电子支付协议 电子支付协议是指在电子交易过程中实现交易各方支付信息正确、安全、保密地进行网络通信的规范和约定。目前在电子支付中常用的安全协议有：安全套接层协议（Secure Sockets L

18、ayer，SSL）和安全电子交易协议（Secure Electronic Transaction，SET）。SET协议是以银行卡为基础进行的在线交易安全标准，为交易涉及的各方之间提供安全的通信信道服务；通过采用公钥密码体制和X.509数字证书标准信任服务；提供交易各方信息的机密性服务。,感谢您的观看,2019年6月16,34,2.安全HTTP(S-HTTP)超文本传输协议 超文本传输协议(HTTP-Hypertext transfer protocol)是一种详细规定了浏览器和万维网服务器之间互相通信的规则，按照特定的方式，浏览器与服务器传送相关数据。3.安全电子邮件协议 安全电子邮件协议(如

19、PEM、S/MIME等)是指通过网络发送信件通信的规范和约定。S/MIME安全多媒体Internet邮件扩展协议，主要用于保障电子邮件的安全传输。例如：微软的outlook express中使用该协议，采用数字标识、数字凭证、数字签名以及非对称密钥系统等技术，构成一种签名加密的邮件收发方式。,感谢您的观看,2019年6月16,35,8.3.4 PKI技术 PKI(Public Key Infrastructure)是利用公钥算法原理和技术为网上通信提供通用安全服务的基础设施。它为电子商务、电子政务、网上银行证券等提供一整套安全基础平台。PKI采用证书管理公钥，通过第三方的可信机构CA，把用户的

20、公钥和用户的其他标识信息捆绑在一起，在Internet网上验证用户的身份，PKI把公钥密码和对称密码结合起来，在Internet网上实现密钥的自动管理，保证网上数据的机密性、完整性。PKI的核心元素是数字证书，核心执行者是认证机构。数字证书服务的应用和实施是广泛开展电子商务的前提，电子商务的深入开展离不开数字证书技术和认证机构的正确督导。,感谢您的观看,2019年6月16,36,8.4 电子商务安全应用8.4.1网络层安全服务 网络层的安全服务主要保障安全的通讯服务。一般使用IPSec(Security Architecture for IP network)方案，IPSec可以使一个系统选择

21、需要的安全协议，确定服务使用的算法，并在适当的位置放置所请求服务所需要的任意加密密钥，从而在IP层提供安全服务，防止窃听、篡改、伪造、拒绝服务攻击等。,感谢您的观看,2019年6月16,37,8.4.2传输层的安全服务 传输层的安全服务主要保障客户端和服务器之间的安全通讯，提供保密性和数据完整性。一般使用SSL/TLS(Transport Layer Security)方案。SSL是在客户和商家通信之前，在Internet上建立的一个秘密传输信息的信道，提供加密、认证服务和报文的完整性验证。安全传输层协议（TLS）用于在两个通信应用程序之间提供保密性和数据完整性。用于在两个通信应用程序之间提供

22、保密性和数据完整性SSL：（Secure Socket Layer，安全套接字层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层,感谢您的观看,2019年6月16,38,8.4.3应用层安全服务 应用层的安全服务，通常都是对每个应用(包括应用协议)分别进行修改和扩充，集成到应用协议上，常用的应用层安全协议有：安全超文本传输协议（S-HTTP）、安全电子交易协议（SET）、Kerberos协议、S/Mime和PGP安全电子邮件协议等。,感谢您的观看,2019年6月16,39,8.4.4提供计算机信息安全服务的组织 自从在1988年莫里斯蠕虫横扫互联网之后，出现了一些组织，彼此分享计

23、算机系统威胁的信息。这些组织认为共享攻击及防卫信息可以帮助大家提高计算机安全。这些组织有些由大学组建，有些由政府机构组建。第一个计算机安全应急响应组（Computer Emergency Response Team，简称CERT）是在美国联邦政府资助下，在卡内基梅隆大学成立的。目前一些国家的CERT组织有：卡内基梅隆大学CERT（Coordination Center）、美国国土安全部（US-CERT）、中国国家计算机网络应急技术处理协调中心（国家互联网应急中心，CNCERT/CC）等。,感谢您的观看,2019年6月16,40,感谢您的观看,2019年6月16,41,本章小结：电子商务会受到各种安全威胁。攻击电子商务系统会使信息泄密或滥用，对用户财产造成损失。电子商务企业需要保护的常规资产是客户机、电子商务通道和电子商务服务器。对电子商务链上各部分进行安全保护的关键是：机密性、完整性、认证性、不可抵赖性、不可拒绝性和访问控制性。所有的安全威胁都是针对这六项内容的某一部分，所有的安全框架体系、安全基础环境及安全技术设计都是为了保证这六项内容进行的。,感谢您的观看,2019年6月16,42,感谢您的观看,2019年6月16,43,