电子商务安全管理讲解.pptVIP

浙江大学管理学院 李小东 电子商务安全 加强各项制度的管理 人员管理制度、保密制度、跟踪审计制度、系统维护制度、病毒防范制度、应急措施 ISO17799信息安全管理体系 技术对策 防火墙技术 数据加密技术 安全认证技术 安全协议 一、防火墙技术 内部网和外部网间的一个保护层，强制所有的连接须经过此保护层进行检查，只有被授权的通信才能通过此保护层，从而保护内部网和外部网的访问。 从狭义上来讲，防火墙是指安装了防火墙软件的主机或路由器系统；从广义上讲，防火墙还包括了整个网络的安全策略和安全行为。 防火墙的主要功能 防火墙必须支持网络所要求的网络安全策略,并具有较强的安全性. 必须具有较高的网络性能,不能以大幅度降低网络性能为代价. 必须具有灵活性,适应新的机构改变所带来的安全策略的改变. 必须支持虚拟专用网,增强的认证机制和加密特性. 应能为FTP、TELNET等提供代理服务。 支持对拨号接入的集中管理和过滤。 应支持对流量、可疑活动的日志记录和审计。 对称密钥加密技术 对称密钥加密技术利用一个密钥对数据进行加密，对方接收到数据后，需要用同一密钥来进行解密。 对称密钥加密技术中最具有代表性的算法是IBM公司提出的DES算法。 DES设计精巧，实现容易，使用方便，最主要优点在于加解密速度快，并且可以用硬件实现，其主要弱点在于密钥管理困难，密钥的传输过程必须绝对的安全，一旦密钥泄露则直接影响到信息的安全性。 非对称密钥加密技术 这种算法需要两个密钥：公开密钥（public key）和私有密钥（private key），因为加密和解密使用的是两个不同的密钥，所以这种算法也叫作非对称加密算法。 这对密钥中的任何一把都可作为公开密钥（加密密钥）通过非保密方式向他人公开，而另一把则作为私有密钥（解密密码）加以保存。公开密钥用于对机密性的加密，私有密钥则用于对加密信息的解密。私有密钥只能由生成密钥对的交易方掌握，公开密钥可广泛发布，但它只对应于该密钥的交易方有用。 非对称密钥加密技术（续） 交易双方利用该方案实现机密信息交换的基本过程如下： （1）交易方甲生成一对密钥，将其中的一把作为公开密钥向其他交易方公开。 （2）得到了该公开密钥的交易方乙使用该密钥对机密信息进行加密后再发送给交易方甲。 （3）交易方甲再用自己保存的另一把私有密钥对加密后的信息进行解密。 （4）交易方甲只能用其私有密钥解密由其公开密钥加密后的任何信息。 三、安全认证技术 认证的目的： （1）可信性。信息的来源是可信的，即信息接收者能够确认所获得的信息不是由冒充者所发出的。 （2）完整性。要求信息在传输过程中保证其完整性 ，即信息接收者能够确认所获得的信息在传输过程中没有被修改、延迟和替换。 （3）不可抵赖性。要求信息的发送者不能否认自己所发出的信息，同样，信息的接收者不能否认已收到的信息。 （4）访问控制。拒绝非法用户访问系统资源，合法用户只能访问系统授权和指定的资源。 数字签名 数字签名是公开密钥加密技术的一类应用。 数字签名使用发送方的密钥对，发送方用自己的私有密钥进行加密，接收方用发送方的公开密钥进行解密。这是一个一对多的关系：任何拥有发送方公开密钥的人都可以验证数字签名的正确性。 （E-mail证书演示） （verisign、试用） （天威诚信 、试用） （网证通、试用） 数字证书和CA认证中心 数字证书也称公开密钥证书，在网络通信中标志通信各方身份信息的一系列数据，其作用类似于现实生活中的身份证。 它主要包含用户身份信息、用户公钥信息以及身份验证机构数字签名等数据。 身份验证机构的数字签名可以确保证书信息的真实性，用户公钥信息可以保证数字信息传输的完整性，用户的数字签名可以保证数字信息的不可否认性。 数字证书是一个经证书认证中心CA（Certificate Authority ）发行的文件。CA认证中心作为权威的、可信赖的、公正的第三方机构，专门负责为各种认证需求提供数字证书服务。 数字证书和CA认证中心（续） 数字证书主要由以下两部分组成： （1）证书数据 版本信息，用来与X.509的将来版本兼容； 证书序列号，每一个由CA发行的证书必须有一个唯一的序列号； CA所使用的签名算法； 发行证书CA的名称； 证书的有效期限； 证书主题名称； 被证明的公钥信息，包括公钥算法、公钥的位字符串表示； 包含额外信息的特别扩展。 （2）发行证书的CA签名 安全电子邮件 A. 签名安全邮件能帮您解决： 当您收到签名邮件时，您可以确认发信者身份的真实性 当您收到签名邮件时，您可以确信这封邮件在传送过程中，没有被其他人篡改过 B. 加密安全邮件能帮您解决： 您发送的邮件将加密传输 您发送的邮件只能被合法的接收方看到 C. 签名加密安全邮件能帮您解决： 当您收到