第二章电子商务安全管理xx.pptVIP

2004年12月1日 Technology of Electronic Business Security 2004年12月1日 第二章 电子商务安全管理 本章学习内容： 电子商务安全相关标准与组织 我国电子商务安全管理机构及原则 电子商务安全管理制度 *我国电子商务安全的相关法律法规 2.1 安全标准与组织 信息安全是信息系统实现互联、互用、互操作过程中提出的安全需求，因此迫切需要技术标准来规范系统的设计和实现。 信息安全标准是一种多学科、综合性、规范性很强的标准。 一个完整、统一、科学、先进的国家信息安全标准体系是十分重要的。没有标准就没有规范，无规范就无法形成规模化信息安全产业，无法生产出满足信息社会广泛需求的产品；没有标准同时无法规范人们的安全防范行为，提高全体人员的信息安全意识和整体水平。 2.1 安全标准与组织 制定安全标准的组织 相关组织包括国际标准化组织、各国的标准化机构及一些相关企业（集团）。 国际标准化组织（International Standardization Organi-zation，ISO）。开放系统互连（OSI）基本参考模型ISO 7498, 制定了信息系统的安全体系结构。该模型提供了下述五种安全服务： 验证服务，包括对等实体验证和数据源验证 访问控制服务 数据保密服务 数据完整性服务 不可否认服务。 2.1安全标准与组织（Cont.） ISO 7498－2安全机制： 加密机制 数字签名机制 访问控制机制 数据完整性机制 验证机制 通信业务填充机制 路由控制机制 公证机制。 2.1安全标准与组织（Cont.） 加密机制 加密是提供数据保密的最常用方法。 用加密的方法与其他技术相结合，可以提供数据的保密性和完整性。 除了对话层不提供加密保护外，加密可在其他各层上进行。与加密机制伴随而来的是密钥管理机制。? 2.1安全标准与组织（Cont.） 数字签名机制 数字签名是解决网络通信中特有的安全问题的有效方法。特别是针对通信双方发生争执时可能产生的如下安全问题： 否认：发送者事后不承认自己发送过某份文件。 伪造：接收者伪造一份文件，声称它发自发送者。 冒充：网上的某个用户冒充另一个用户接收或发送信息。 篡改：接收者对收到的信息进行部分篡改。 2.1安全标准与组织（Cont.） 访问控制机制 访问控制是按事先确定的规则决定主体对客体的访问是否合法。 当一个主体试图非法使用一个未经授权使用的客体时，该机制将拒绝这一企图，并向审计跟踪系统报告这一事件。 审计跟踪系统将产生报警信号或形成部分追踪审计信息。 2.1安全标准与组织（Cont.） 数据完整性机制 数据完整性包括数据单元与数据单元序列的完整性。 数据单元完整性包括两个过程，一个过程发生在发送实体，另一个过程发生在接收实体。 数据单元序列的完整性是要求数据编号的连续性和时间标记的正确性，以防止假冒、丢失、重发、插入或修改数据。 2.1安全标准与组织（Cont.） 验证机制 验证是以交换信息的方式来确认实体身份的机制。用于验证的技术有： 口令：由发方实体提供，收方实体检测。 密码技术：将交换的数据加密，只有合法用户才能解密，得出有意义的明文。在许多情况下，这种技术与下列技术一起使用：时间标记和同步时钟、双方或三方“握手”、数字签名和公证机构 利用实体的特征或所有权。常采用的技术是指纹识别和身份卡等。 2.1安全标准与组织（Cont.） 通信业务填充机制 这种机制主要是对抗非法者在线路上监听数据，对数据进行流量和流向分析。 采用的方法一般由保密装置在无信息传输时，连续发出伪随机序列，使得非法者不知哪些是有用信息、哪些是无用信息。 2.1安全标准与组织（Cont.） 路由控制机制 在一个大型网络中，从源节点到目的节点可能有多条线路，有些线路可能是安全的，而另一些线路是不安全的。路由控制机制可使信息发送者选择特殊的路由，以保证数据安全。 2.1安全标准与组织（Cont.） 公证机制 在一个大型网络中，有许多节点或端节点。在使用这个网络时，并不是所有用户都是诚实的、可信的，同时也可能由于系统故障等原因使信息丢失、迟到等，这很可能引起责任问题，为了解决这个问题，就需要有一个各方都信任的实体——公证机构，如同一个国家设立的公证机构一样，提供公证服务，仲裁出现的问题。? 引入公证机制后，通信双方进行数据通信时必须经过这个机构来转换，以确保公证机构能得到必要的信息，供以后仲裁。 2.1安全标准与组织（Cont.） 可信功能 安全标记 事件检测 安全审计跟踪 安全恢复。 ISO／TC68的银行业信息安全标准 如报文鉴别、报文加密、密钥管理、个人识别号（PIN）安全、信用卡安全等 2.1安全标准与组织（Cont.） 国际电报和电话咨询委员会（CCITT）。其X.