电子商务安全第一章

《电子商务安全第一章》由会员分享，可在线阅读，更多相关《电子商务安全第一章（52页珍藏版）》请在装配图网上搜索。

1、电子商务发展的核心和关键问题是电子商务发展的核心和关键问题是交易的安全性交易的安全性1.1.1技术威胁信息的截获和窃取信息的篡改信息的假冒交易抵赖网络网络内部、外部泄密内部、外部泄密拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒信息丢失、信息丢失、篡改、销毁篡改、销毁后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫1.1.2、对电子商务交易各方的威胁 对商家的威胁 对消费者的威胁1.1.3、中国电子商务面临的安全威胁 国内几乎所有的计算机主机、网络交换机、路由器和网络操作系统都来自国外。 进入我国的电子商务和网络安全产品均只能提供较短密钥长度的弱加密算法。

2、环 境 安 全设 备 安 全媒 体 安 全实 体 安 全风 险 分 析审 计 跟 踪备 份 与 恢 复应 急运 行 安 全操 作 系 统 安 全数 据 库 安 全网 络 安 全病 毒 防 护访 问 控 制加 密鉴 别信 息 安 全电 子 商 务 系 统 安 全电子商务安全的中心内容电子商务安全的中心内容机密性完整性认证性访问控制性不可拒绝性不可否认性商务数据的机密性（Confidentiality） 信息在网络上传送或存储的过程中，不被他人窃取，不被泄露给未经授权的人或组织，或者经过加密加密后，使未经授权者无法了解其内容。 机密性的另一方面是保护通信流特性（通信源、目的地、频率、长度等），以防

3、止被分析。商务数据的完整性（Integrity） 保护数据不被未授权者修改、删除、重复传送、建立、嵌入或由于其他原因使原始数据被更改。 在传输过程中，如果接收端收到的信息与发送的信息完全一样，则说明在传输过程中信息具有完整性。注意：注意：加密的信息在传输过程中，完整性也可能遭到破坏。商务对象的认证性（Authentication） 商务对象的认证性是指网络两端的使用者在沟通之前相互确认对方的身份。 认证性用数字签名和身份认证技术实现商务服务的不可否认性（Non-repudiation） 商务服务的不可否认性（Non-repudiation） 信息的发送方不能否认已发送的信息，接收方不能否认已收

4、到的信息。 不可否认性主要用于对付来自其他合法用户的威胁。商务服务的不可拒绝性（Denial of service） 商务服务的不可拒绝性，也称可用性，是保证授权用户在正常访问信息和资源时不被拒绝或延迟，即保证为用户提供稳定的服务。访问的控制性（Access control） 访问控制性用于保护计算机系统的资源不被未经授权人或以未授权方式接入、使用、修改、破坏、发出指令或植入程序等。1.4.3 1.4.3 国内外现状与发展趋势国内外现状与发展趋势 美国 1998年5月22日总统令(PDD-63)：保护美国关键基础设施 围绕“信息保障”成立了多个组织，包括：全国信息保障委员会、全国信息保障同盟、

5、关键基础设施保障办公室、首席信息官委员会、联邦计算机事件响应行动组等十多个全国性机构 1998年美国国家安全局（NSA）制定了信息保障技术框架（IATF）,提出了“深度防御策略”，确定了包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施的深度防御目标 2000年1月，发布保卫美国计算机空间保护信息系统的国家计划。分析了美国关键基础设施所面临的威胁，确定了计划的目标和范围，制定出联邦政府关键基础设施保护计划（民用机构和国防部），以及私营部门、洲和地方政府的关键基础设施保障框架。 俄罗斯 1995年颁布联邦信息、信息化和信息保护法，为提供高效益、高质量的信息保障创造条件，明确界定了

6、信息资源开放和保密的范畴，提出了保护信息的法律责任。 1997年出台俄罗斯国家安全构想。明确提出“保障国家安全应把保障经济安全放在第一位”，而“信息安全又是经济安全的重中之重。 2000年普京总统批准了国家信息安全学说，明确了联邦信息安全建设的任务、原则和主要内容。第一次明确了俄罗斯在信息领域的利益是什么，受到的威胁是什么，以及为确保信息安全首先要采取的措施等。国内外现状与发展趋势 日本： 出台21世纪信息通信构想和信息通信产业技术战略，强调“信息安全保障是日本综合安全保障体系的核心”。 加紧建立与信安全相关的政策和法律法规，发布了信息通信网络安全可靠性基准和IT安全政策指南。 成立了信息安全

7、措施促进办公室，综合安全保障阁僚会议、IT安全专家委员会和内阁办公室下的IT安全分局。国内外现状与发展趋势 中国： 制定了一系列基本管理办法 “中华人民共和国计算机安全保护条例” “中华人民共和国商用密码管理条例” “计算机信息网络国际联网管理暂行办法” “计算机信息网络国际联网安全保护管理办法” “计算机信息系统安全等级划分标准”等 刑法修订中，增加了有关计算机犯罪的条款 尚未形成完整的体系国内外现状与发展趋势三、技术保障三、技术保障四、产业支撑环境四、产业支撑环境五、信息安全六类基础设施五、信息安全六类基础设施六、人才教育和培养六、人才教育和培养组织管理 组织管理体系建设已成为信息化建设保

8、障环境中的重点，形成了一套从领导者到管理者再到技术人员的信息安全保障队伍。标准规范和法律 2002年，我国在国家标准化总局下设了全国信息安全标准化技术委员会，该委员会下设十个标准化工作组，已经或正在制定的信息安全标准多达100多项，参照ISO17799国际标准，我国已将保障信息系统及其服务所要具有的“新老三性”写入即将出台的国家信息安全管理标准，其中，老三性包括信息的保密性、完整性和可用性，而新三性则是指信息的真实性、可核查性和可靠性。 法规则有电子签名法、保密法、国家信息安全法等。技术保障 信息安全的技术保障是信息安全保障体系的重要环节，所以要实现信息安全技术的保障就要做到以下几点： 一是要

9、通过技术创新在关键核心技术领域生产出拥有自主版权的产品； 二是要做到信息安全关键技术可控； 三是要强调建立基础性技术体系； 四是要重视系统的物理安全技术的研究； 五是要关注具有前瞻性的高新技术的发展。产业支撑环境 建立信息安全保障体系，一定要明确这样一个要求：我国的信息化及其他安全体系必须搭建在我国自主知识产权产品的基础之上，强大的产业支撑是安全的根本保障。经过多年发展，我国生产销售信息安全产品的公司已有上千家，但企业竞争力不强，整体实力较弱弱，产业链上下不配套，龙头产业还末形成。因此，如何发展壮大信息安全产业是非常重要的任务。信息安全六类基础设施 （1）数字证书的认证体系 （2）信息安全产品

10、和系统评测体系 （3）信息安全的应急支援体系 （4）信息系统的灾难恢复 （5）病毒防治体系 （6）网络监控和预警系统人才教育和培养 保障信息安全，人才是关键，当今世界信息安全对抗需要大批具备高技术的复合型人才，要培养这方面的人才，尽快在高校中信息安全学科列为国家的重点学科，进一步加强普及在岗培训和各种安全资质认证教育，使社会上掌握信息安全知识的人越来越多，形成保障网络信息安全的千军万马，另外，还要重视对相关人员的普法教育和自律教育，规范他们的行为。复习题 网络安全面临哪些威胁 电子商务安全体系结构涉及内容 电子商务安全需求是什么 何为蠕虫病毒思考题 建设一个网站时，应从哪几个方面加强安全系统的建设。 你对电子商务安全有哪些好的建议上网实验题 登录国家计算机网络应急技术处理中心网站：http:/。了解最新的业界状态。 登录信息安全国家重点实验室：http:/。了解取得的最新安全成果。讨论题 如何安全使用计算机Thanks!