九电子商务安全管理解读.pptVIP

电 子 商 务 第九章 电子商务的安全管理 第一节 电子商务的安全问题 第二节 电子商务的安全技术 第三节 电子商务的安全制度 第四节 防止非法入侵 第一节 电子商务的安全问题 一、电子商务的安全威胁和风险类型 （一）电子商务的安全威胁 （二）电子商务的安全风险类型 二、电子商务的安全管理要求与思路 （一）电子商务的安全要求 （二）电子商务的安全管理思路 （一）电子商务的安全威胁 1. 销售者面临的威胁 中央系统安全行被破坏 竞争者检索商品递送状况 客户资料被竞争者获悉 被他人假冒而损害公司信誉 消费者提交订单后不付款 虚假订单 获取他人的机密数据 （一）电子商务的安全威胁 2. 购买者面临的威胁 虚假订单 付款后不能收到商品 机密性丧失 拒绝服务 （二）电子商务的安全风险类型 1.信息传输风险 冒名偷窃 篡改数据 信息丢失：线路问题、安全措施不当、转换操作不当 信息传递过程中的破坏 虚假信息 （二）电子商务的安全风险类型 2.信用风险 来自买方的信用风险 来自卖方的信用风险 买卖双方都存在抵赖的情况 电子商务的信息流和物流必须分开，增加了买卖双方的信用风险 （二）电子商务的安全风险类型 3.管理风险 交易流程管理风险 人员管理风险 网络交易技术管理的漏洞也带来较大的交易风险 4.法律风险 二、电子商务的安全管理要求与思路 （一）电子商务的安全要求 有效性 机密性 完整性 真实性和不可抵赖性的鉴别 二、电子商务的安全管理要求与思路 （二）电子商务的安全管理思路 技术方面 管理方面 法律方面 第二节 电子商务安全技术 一、交易方自身安全保障技术 二、电子商务信息传输安全保障技术 三、身份和信息认证技术 四、电子商务安全支付技术 一、交易方自身安全保障技术 1 用户帐号管理和网络杀毒技术 2 防火墙技术 3 虚拟专用技术 4 入侵检测技术 二、电子商务信息传输安全保障技术 1 加密技术 是最基本的安全技术，是对信息进行重新编码，从而达到隐藏信息内容，使得非法用户无法获得信息真实内容的一种技术手段。 2 数字摘要技术（也称数字指纹） 数字摘要是指从原文中通过Hash算法而得到一个有固定长度的散列值，即信息鉴别码。 三、身份和信息认证技术 1 身份认证 2 信息认证 3 通过认证机构认证 客户认证技术 （一）身份认证——应当提供的功能 可信性：信息接收者能够确认所获得的信息不是冒充着所发。 完整性：信息在传输过程中没有被修改、延迟和替换。 不可抵赖性 访问控制 方法 用户所知道的某个秘密信息，例如用户口令； 用户所持有的某个秘密信息（硬件） 用户所持有的某些生理特征 客户认证技术 （二）信息认证 对敏感的文件进行加密 保证数据的完整性，防止截获人在文件中加入其它信息 对数据和信息的来源进行验证，以确保发信人的身份 （三）认证机构认证 四、电子商务安全支付技术 一、SSL安全协议 二、SET安全协议 一、SSL安全协议 (一)SSL安全协议的基本概念 (二)SSL安全协议的运行步骤 (三)SSL安全协议的应用 (一)SSL安全协议的基本概念 SSL协议是一种保护WEB通讯的工业标准，是基于强公钥加密技术以及RSA的专用密钥序列密码，能够对信用卡和个人信息、电子商务提供较强的加密保护，又叫“安全套接层协议”。 SSL的主要目的是提供因特网上的安全通信服务，提高应用程序之间的数据的安全系数。 SSL协议的整个概念可以被总结为：一个保证任何安装了安全套接层的客户和服务器间的事务安全的协议，它涉及所有TCP/IP应用程序。 SSL的缺陷：只能保证传输过程的安全，无法知道在传输过程中是否受到窃听，黑客可以此破译SSL的加密数据，破坏和盗窃WEB信息。 SSL安全协议主要提供三方面的服务： （1）认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器上。 （2）加密数据以隐藏被传送的数据。 （3）维护数据的完整性，确保数据在传输过程中不被改变。 (二)SSL安全协议的运行步骤 （1）接通阶段：客户通过网络向服务商打招呼，服务商回应。 （2）密码交换阶段：客户与服务商之间交换双方认可的密码。 （3）会谈密码阶段：客户与服务商间产生彼此交谈的会谈密码。 （4）检验阶段：检验服务商取得的密码。 （5）客户认证阶段：验证客户的可信度。 （6）结束阶段：客户与服务商之间相互交换结束的信息。 (三)SSL安全协议的应用 SSL安全协议是国际上最早应用于电子商务的一种网络安全协议。目前，我国开发的电子支付系统，均未采用SSL协议。 SSL协议运行的基点是商家对客户信息保密的承诺。SSL协议有利于商家而不利于客户。客户的信息首先传