08电子商务安全管理4.0.电子教案教学课件

《08电子商务安全管理4.0.电子教案教学课件》由会员分享，可在线阅读，更多相关《08电子商务安全管理4.0.电子教案教学课件（28页珍藏版）》请在装配图网上搜索。

1、1电子商务电子商务第八讲 电子商务的安全管理 电子商务的安全问题及要求电子商务的安全问题及要求 电子商务安全技术电子商务安全技术 电子商务安全制度电子商务安全制度 防止非法入侵防止非法入侵2电子商务电子商务案例：2012-2013年中国电子商务行业安全监测报告视频：互联网时代的忧虑3电子商务电子商务第一节 电子商务的安全问题及要求 电子商务安全问题电子商务安全问题 电子商务的安全要求电子商务的安全要求 电子商务安全管理思路电子商务安全管理思路4电子商务电子商务一、电子商务的安全问题 电子商务交易带来的安全威胁电子商务交易带来的安全威胁 销售者面临的威胁销售者面临的威胁中央系统安全性被破坏：入侵

2、者假冒成合法用户来改变用户数据（如商品送达地址）、解除用户订单或生成虚假订单。竞争者检索商品递送状况：恶意竞争者以他人的名义来订购商品，可了解有关商品的递送和货物的库存情况。客户资料被竞争者获悉。侵犯隐私、客户被抢被他人假冒而损害公司的信誉：不诚实的人建立与销售者服务器名字相同的另一个服务器来假冒销售者。消费者提交订单后不付款。尝试性购买，不方便虚假订单。尝试性获取他人的机密数据。5电子商务电子商务 购买者面临威胁购买者面临威胁虚假订单：假冒者可能会以客户的名字来订购商品，而且有可能收到商品，而此时客户却被要求付款或返还商品。付款后不能收到商品：在要求客户付款后，销售商中的内部人员不将定单和钱

3、转发给执行部门，使客户不能收到商品。机密性丧失：客户有可能将秘密的个人数据或自己的身份数据（如帐号、口令等）发送给冒充销售商的机构，这些信息也可能会在传递过程中被窃取。拒绝服务：攻击者可能向销售商的服务器发送大量的虚假定单来穷竭它的资源，从而使合法用户不能得到正常的服务。6电子商务电子商务电子商务的安全风险来源 网络系统自身的风险网络系统自身的风险 网络系统自身的安全风险网络系统自身的安全风险物理实体的安全风险计算机软件系统风险网络协议的安全漏洞黑客的恶意攻击计算机病毒攻击7电子商务电子商务 信息传输风险类型信息传输风险类型冒名偷窃。如“黑客”为了获取重要的商业秘密、资源和信息，常常采用源IP

4、地址欺骗攻击。篡改数据。攻击者未经授权进入网络交易系统，使用非法手段，删除、修改、重发某些重要信息，造成网上交易的信息传输风险。信息丢失。可能有三种情况：一是因为线路问题造成信息丢失；二是因为安全措施不当而丢失信息；三是在不同的操作平台上转换操作不当而丢失信息。信用卡交易信息传递过程中的破坏。计算机技术发展迅速，原有的病毒防范技术、加密技术、防火墙技术等存在着被新技术攻击的可能性。虚假信息。网上交易中的信息传输风险还可能来源于用户以合法身份进入系统后，买卖双方都可能在网上发布虚假的供求信息，或以过期的信息冒充现在的信息，以骗取对方的钱款或货物。8电子商务电子商务 信用风险信用风险来自买方的信用

5、风险。对于个人消费者来说，可能在网络上使用信用卡进行支付时恶意透支，或使用伪造的信用卡骗取卖方的货物行为；对于集团购买者来说，存在拖延货款的可能，卖方需要为此承担风险。来自卖方的信用风险。卖方不能按质、按量、按时寄送消费者购买的货物，或者不能完全履行与集团购买者签定的合同，造成买方的风险。买卖双方都存在抵赖的情况。9电子商务电子商务 管理风险管理风险网上交易管理风险是指由于交易流程管理、人员管理、交易技术管理的不完善所带来的风险。交易流程管理风险。在网络商品中介交易的过程中，买卖双方签定合同后，交易中心不仅要监督买方按时付款，还要监督卖方按时提供符合合同要求的货物人员管理风险。内部犯罪，竞争对

6、手还利用企业招募新人的方式潜入该企业，窃取企业的识别码、密码机密资料交易技术管理风险。无口令用户、升级超级用户（微软）10电子商务电子商务 法律风险，是指法律上还是找不到现成的条文保护网络交易法律风险，是指法律上还是找不到现成的条文保护网络交易中的交易方式造成风险中的交易方式造成风险法律滞后风险。在网上交易可能会承担由于法律滞后而无法保证合法交易的权益所造成的风险，如通过网络达成交易合同，可能因为法律条文还没有承认数字化合同的法律效力而面临失去法律保护的危险法律调整风险。在原来法律条文没有明确规定下而进行的网上交易，在后来颁布新的法律条文下属于违法经营所造成的损失。如网上证券交易、网上药店11

7、电子商务电子商务二、电子商务的安全要求有效性。电子商务以电子形式取代了纸张，要对网络故障、操作错有效性。电子商务以电子形式取代了纸张，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时间、确定的潜在威胁加以控制和预防，以保证贸易数据在确定的时间、确定的地点是有效的。的地点是有效的。机密性。作为贸易的一种手段，电子商务的信息直接代表着个人、机密性。作为贸易的一种手段，电子商务的信息直接代表着个人、企业或国家的商业机密。要预防非法的信息存取和信息在传输过程企业或国

8、家的商业机密。要预防非法的信息存取和信息在传输过程中被非法窃取。中被非法窃取。完整性。电子商务简化了贸易过程，减少了人为的干预，同时也带完整性。电子商务简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息的完整、统一的问题。要预防对信息的随来维护贸易各方商业信息的完整、统一的问题。要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复。复。真实性和不可抵赖性的鉴别。交易信息的传输过程中为参与交易的真实性和不可抵赖性的鉴别。交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识个人、企业或国家提供

9、可靠的标识12电子商务电子商务三、电子商务安全管理思路 重要性。市场游戏规则的保证，市场逆向选择（回归传统交易来规重要性。市场游戏规则的保证，市场逆向选择（回归传统交易来规避网上交易风险，虽然网上交易费用很低）避网上交易风险，虽然网上交易费用很低）防范体系思路防范体系思路技术方面的考虑，如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等制度方面的考虑，建立各种有关的合理制度，并加强严格监督，如建立交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。法律政策与法律保障，如尽快出台电子证据法、电子商务法、网上消费者权益法等。这方面，主要

10、发挥立法部门和执法部门的作用13电子商务电子商务第二节 电子商务安全技术 交易方自身网络安全保障技术交易方自身网络安全保障技术 电子商务信息传输安全保障技术电子商务信息传输安全保障技术 身份和信息认证技术身份和信息认证技术 电子商务安全支付技术电子商务安全支付技术14电子商务电子商务一、交易方自身网络安全保障技术 为了维护电子商务交易者内部网络的安全性，可以采用以下为了维护电子商务交易者内部网络的安全性，可以采用以下四种不同技术四种不同技术用户账号管理和网络杀毒技术，用户账号是计算机网络的安全弱点之一，在网络环境下，计算机病毒具有更大的威胁和破坏力。防火墙技术，由软件和硬件设备组合而成，是处于

11、企业内部网和外部网之间，用于加强内外间安全防范的一个或一组系统。虚拟专用技术，虚拟专用网，也称VPN入侵检测技术，入侵检测系统作为重要的网络安全工具，可以对系统或网络资源进行实时检测，及时发现系统和网络的入侵者。15电子商务电子商务 电子商务信息传输安全保障技术电子商务信息传输安全保障技术加密技术 基于最基本的安全技术，是实现信息保密的一种重要技术，目的是防止合法接受者之外的人获取信息系统中的机密信息后知悉其中的内容。数字摘要技术 数字摘要又称Hash算法，是Ron Rivest发明的一种单向加密算法，其加密结构是不能解密的。二、电子商务信息传输安全保障技术16电子商务电子商务 客户认证客户认

12、证(Client Authentication(Client Authentication，CA)CA)是基于用户的客户是基于用户的客户端主机端主机IPIP地址的一种认证机制，它允许系统管理员为具有某地址的一种认证机制，它允许系统管理员为具有某一特定一特定IPIP地址的授权用户定制访问权限。地址的授权用户定制访问权限。客户认证内容：客户认证内容：身份认证，用于鉴别用户身份信息认证，用于保证通信双方的不可抵赖性和信息的完整性。通过认证机构认证（CA），CA作为提供身份验证的第三方机构，是由一个或多个用户信任的组织实体组成的。三、身份和信息认证技术17电子商务电子商务 SSLSSL安全协议安全协议

13、由网景（Netscape）公司推出的一种安全通信协议，能够对信用可和个人信息提供较强的保护。该协议主要提供三方面服务：认证用户和服务器 加密数据以隐藏被传送的数据 维护数据的完整性该协议的运行步骤为：接通、密码交换、会谈密码、校验、客户认证、结束。SSL安全协议是最早应用于电子商务的一中网络安全协议，其基点是商家对客户信息保密的承诺。四、电子商务安全支付技术18电子商务电子商务 SETSET安全协议安全协议由VISA和MasterCard两大信用卡公司联合推出的规范，用于解决用户、商家、和银行之间通过信用卡进行交易的安全问题。该协议的运行目标 保证信息在互联网上的传输安全 保证电子商务参与者信

14、息相互隔离 解决多方认证 保证网上交易的实时性 规范消息和协议格式涉及范围，：消费者、商家、银行、电子货币及认证中心工作原理和缺陷19电子商务电子商务第三节 安全管理制度 安全管理制度安全管理制度是指用文字形式对各项安全要求的规定，它是保证企业在网上经营管理取得成功的基础。人员管理制度 特点：参与网上交易的经营管理人员责任重大，面临着防范严重的网络犯罪的任务。而计算机网络犯罪具有智能型、隐蔽性、连续性、高效性的特点。对有关人员进行上岗培训；落实工作责任制，违反网上交易安全规定的行为应坚决进行打击并及时的处理 安全运作基本原则：双人负责原则、任期有限原则、最小权限原则20电子商务电子商务 保密制

15、度保密制度绝密级。如公司战略计划、公司内部财务报表等。此部分网址、密码不在Internet上公开，只限于高层掌握机密级。如公司的日常管理情况、会议通知等。此部分网址、密码不在Internet上公开，只限中层以上使用。秘密级。如公司简介、新产品介绍及订货方式等。此部分网址、密码在Internet上公开，供消费者浏览，但必须有保护程序，防止“黑客”入侵。密钥的管理。大量的交易必然使用大量的密钥，密钥管理贯穿于密钥的产生、传递和销毁的全过程。密钥需要定期更换，否则可能使“黑客”通过积累密文增加破译机会。21电子商务电子商务 跟踪、审计、稽核制度跟踪、审计、稽核制度跟踪制度是要求企业建立网络交易系统日

16、志机制，自动记录系统运行的全过程。内容包括操作日期、操作方式、登录次数、运行时间、交易内容等。它对系统的运行进行监督、维护分析、故障恢复，这对于防止案件的发生或在案件发生后，为侦破工作提供监督数据审计制度包括经常对系统日志的检查、审核，及时发现对系统故意入侵行为的记录和对系统安全功能违反的记录，监控和捕捉各种安全事件，保存、维护和管理系统日志。稽核制度是指工商管理、银行、税务人员利用计算机及网络系统，借助于稽核业务应用软件调阅、查询、审核、判断辖区内各电子商务参与单位业务经营活动的合理性、安全性，堵塞漏洞，保证网上交易安全，发出相应的警示或作出处理处罚的有关决定的一系列步骤及措施。22电子商务

17、电子商务 系统维护制度系统维护制度对于可管设备，通过安装网管软件进行系统故障诊断、显示及通告，网络流量与状态的监控、统计与分析，以及网络性能调优、负载平衡等对于不可管设备，通过手工操作来检查状态，做到定期检查与随机抽查相结合，以便及时准确地掌握网络的运行状况，一旦有故障发生能及时处理定期进行数据备份，数据备份与恢复主要是利用多种介质，如磁介质、纸介质、光碟、微缩载体等，对信息系统数据进行存储、备份和恢复。这种保护措施还包括对系统设备的备份23电子商务电子商务病毒防范 病毒防范制度病毒防范制度工作原理 可以自我复制的小程序 引导模块、传染模块、激发模块和破坏模块类型 寄生方式：系统型、外壳型和程

18、序型 后果：良性、恶性 状态：静态、动态途径：拷贝、网络（E-mail、下载）等病毒特征（发现）运行速度变慢、文件程度变长、出现破坏现象防治方法 监控和检测病毒、消除病毒（杀毒软件，及时更新）24电子商务电子商务二、法律制度 美国保证电子商务安全的相关法律美国保证电子商务安全的相关法律统一商业法规（UCC）电子支付的法律制度信息安全的法律制度消费者权益保护的法律制度：个人隐私信息可能被商家掌握和非法利用；消费者退货问题；跨越国界物。禁止商家利用消费者的个人隐私信息进行商业活动；起诉商家时可以用消费者本国相关法律起诉 我国保证电子商务安全的相关法律我国保证电子商务安全的相关法律1991年，计算机

19、软件保护条例1994年，中华人民共和国计算机信息系统安全保护条例2004年，中华人民共和国电子签名法25电子商务电子商务第四节 防止非法入侵 网络网络“黑客黑客”常用攻击手段常用攻击手段 防范非法入侵的技术措施防范非法入侵的技术措施26电子商务电子商务一、网络“黑客”常用的攻击手段“黑客黑客(Hacker)”(Hacker)”源于英语动词源于英语动词HackHack，意为，意为“劈，砍劈，砍”，引，引申为申为“辟出，开辟辟出，开辟”，进一步的意思是，进一步的意思是“干了一件非常漂亮干了一件非常漂亮的工作的工作”。在本世纪早期的麻省理工学院校园侵语中，。在本世纪早期的麻省理工学院校园侵语中，“黑

20、黑客客”则有则有“恶作剧恶作剧”之意，尤指手法巧妙、技术高明的恶作之意，尤指手法巧妙、技术高明的恶作剧。剧。其攻击手段其攻击手段中断（攻击系统的可用性）窃听（攻击系统的机密性）窜改（攻击系统的完整性）伪造（攻击系统的真实性）轰炸（攻击系统的健壮性）27电子商务电子商务 防范非法入侵的技术措施防范非法入侵的技术措施网络安全检测设备：对访问者进行监督控制，一旦发现有异常情况，马上采取应对措施，防止非法入侵者进一步攻击访问设备。通过给访问者提供智能卡，通过智能卡的信息来控制用户使用安全工具包。安全工具包主要是提供一些信息加密和保证系统安全的软件开发系统。用户可以在这些安全工具包的基础上进行二次开发，开发自己的安全系统。防火墙（firewall）：它通过对访问者进行过滤，可以使系统限定什么人在什么条件下可以进入自己网络系统。非法入侵者入侵时，就必须采用IP地址欺骗技术才能进入系统，但增加了入侵的难度。28电子商务电子商务习 题1请解决下面概念：电子商务安全、客户认证、个人隐私、黑客2为什么说电子商务的安全问题非常重要？3电子商务的安全威胁主要有哪些？4如何解决电子商务的安全问题？