第一章-电子商务安全概述.ppt

1.3电子商务安全体系结构 1.3电子商务安全体系结构 1.4电子商务安全交易标准 1.4.1安全套接层协议 1.4.2安全电子交易协议 1.4.3安全超文本传输协议 1.4.4安全交易技术协议 1.4.5安全电子邮件管理协议 1.4电子商务安全交易标准 1.4.1安全套接层协议 1.4电子商务安全交易标准 1.4.2安全电子交易协议 安全电子交易协议SET（Secure Electronic Transaction）是由Master Card和Visa以及其它一些业界的主流厂商设计发布的一种基于信息流的协议。 它主要用于保证在公共网络，特别是Internet上进行银行卡支付交易的安全性，能够有效地防止电子商务中的各种诈骗。 安全电子交易协议主要通过使用各种密码技术对交易数据及支付信息进行加密。 并且SET协议还通过证书机制以及数字签名、双重数字签名等技术手段，不但可以为不可否认性提供重要证据，而且还保证了商家无法看到持卡人的相关信息，而银行无法看到订单信息等功能，更好的保护了各方利益。 1.4电子商务安全交易标准 1.4.3安全超文本传输协议 安全超文本传输协议（S-HTTP，SHTTP）是利用密钥对文本进行加密，通常只用于Web业务，保障Web站点之间进行交换信息传输的安全性。 SHTTP是对HTTP扩充安全特性、增加了报文的安全性而产生的，它是基于SSL技术的。 该协议向Internet的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。 1.4电子商务安全交易标准 1.4.4安全交易技术协议 安全交易技术协议（STT，Secure Transaction Technology）是由Microsoft公司提出的， STT将认证和解密从浏览器中分离开来，用以提高安全控制能力。 Microsoft在Internet Explorer中采用了STT技术。 1.4电子商务安全交易标准 1.4.5安全电子邮件管理协议 安全电子邮件管理协议（S-MIME），也称为电子邮件扩充标准格式。 S-MIME是安全的多功能因特网电子邮件扩充协议，是一种在因特网安全电子邮件管理环境中采用的加密报文语法对电子邮件安全性进行处理的规则，主要用于电子邮件的收发业务或者电子邮件的使用业务，也可以用于Web业务。 S-MIME是在RFC1521所描述的多功能Internet电子邮件扩充报文基础上添加数字签名和加技术的一种协议。 S-MIME的目的是在安全电子邮件管理协议上定义安全服务措施的实施方式。 * * 1.1.4电子商务安全隐患与防治措施 工行营业部会计股长，利用玻璃板下的扑克牌，“红桃5，红桃Q，方块9，黑桃A，黑桃4”，猜出操作密码，将33600元划到自己账上 某银行分行电脑部职员，利用技术，在维修电脑时，对程序进行变动和加密等技术处理，盗用国库现金5700元 银行外汇经办员，利用掌握的电脑主管的密码更改储户信息，从中窃取39笔，69512元。 1.1.4电子商务安全隐患与防治措施 1．安全隐患 1)网络系统软件自身的安全问题 2)网络系统中数据库的安全设计问题 3)传输线路安全与质量问题 4)网络安全管理问题 5)其他威胁网络安全的典型因素 1.1.4电子商务安全隐患与防治措施 2．防治措施 1)技术措施 (1)网络安全检测设备 (2)访问设备 (3)浏览器／服务器软件 (4)证书(Certificate) (5)商业软件 (6)防火墙 (7)安全工具包／软件 (8)保护传输线路安全 1.1.4电子商务安全隐患与防治措施 2．防治措施 1)技术措施 (9)防入侵措施 (10)数据加密 (11)访问控制 (12)鉴别机制 (13)路由选择机制 (14)通信流控制 (15)数据完整性 (16)端口保护 1.1.4电子商务安全隐患与防治措施 2．防治措施 2)管理措施 (1)人员管理制度 (2)保密制度 (3) 跟踪、审计、稽核制度 (4)网络系统的日常维护制度 (5)病毒防范制度 (6)应急措施 1.1.4电子商务安全隐患与防治措施 2．防治措施 2)管理措施 (1)人员管理制度 人员选拔 落实工作责任制 贯彻电子商务安全运作基本原则 多人负责原则：重要业务不要安排一个人单独管理，实行两人或多人相互制约的机制。 任期有限原则；任何人不得长期担任与交易安全有关的职务。 最小权限原则：明确规定只有网络管理员才可实施物理访问，只有网络管理人员才可进行软件安装工作。 1.1.4电子商务安全隐患与防治措施 2．防治措施 2)管理措施 (2)保密制度 (1)绝密级。如公司经营状况报告、订/出货价格、公司的发展规划等。此部分网址、密码不在互联网络上公开，只限于公司高层人员掌握