08电子商务安全管理讲解.pptVIP

* 对于B用户 接收信息 获取A的公钥 用B的私钥解密A的数字信封，获得A的对称密钥 解密密文 用A的对称密钥解密文，获得A的数字签名 获取A的公钥 从A的数字证书中获取A的公钥 比较摘要 用Hash对解密的明文处理获得摘要M1 用A的公钥对数字签名解密获得摘要M2 比较M1与M2若相等则接收的明文得到确认 * 4、安全管理制度 是指用文字形式对各项安全要求的规定，它是保证企业在网上经营管理取得成功的基础。 人员管理制度 》特点：参与网上交易的经营管理人员责任重大，面临着防范严重的网络犯罪的任务。而计算机网络犯罪具有智能型、隐蔽性、连续性、高效性的特点。 》对有关人员进行上岗培训；落实工作责任制，违反网上交易安全规定的行为应坚决进行打击并及时的处理 》安全运作基本原则：双人负责原则、任期有限原则、最小权限原则 * 保密安全管理制度 划分信息的安全级别，确定安全防范重点 》绝密级。如公司战略计划、公司内部财务报表等。此部分网址、密码不在Internet上公开，只限于高层掌握 》机密级。如公司的日常管理情况、会议通知等。此部分网址、密码不在Internet上公开，只限中层以上使用。 》秘密级。如公司简介、新产品介绍及订货方式等。此部分网址、密码在Internet上公开，供消费者浏览，但必须有保护程序，防止“黑客”入侵。 》密钥的管理。大量的交易必然使用大量的密钥，密钥管理贯穿于密钥的产生、传递和销毁的全过程。密钥需要定期更换，否则可能使“黑客”通过积累密文增加破译机会。 * 跟踪、审计、稽核制度 跟踪制度是要求企业建立网络交易系统日志机制，自动记录系统运行的全过程。内容包括操作日期、操作方式、登录次数、运行时间、交易内容等。它对系统的运行进行监督、维护分析、故障恢复，这对于防止案件的发生或在案件发生后，为侦破工作提供监督数据 审计制度包括经常对系统日志的检查、审核，及时发现对系统故意入侵行为的记录和对系统安全功能违反的记录，监控和捕捉各种安全事件，保存、维护和管理系统日志。 稽核制度是指工商管理、银行、税务人员利用计算机及网络系统，借助于稽核业务应用软件调阅、查询、审核、判断辖区内各电子商务参与单位业务经营活动的合理性、安全性，堵塞漏洞，保证网上交易安全，发出相应的警示或作出处理处罚的有关决定的一系列步骤及措施。 * 网络系统的日常维护制度 对于可管设备，通过安装网管软件进行系统故障诊断、显示及通告，网络流量与状态的监控、统计与分析，以及网络性能调优、负载平衡等 对于不可管设备，通过手工操作来检查状态，做到定期检查与随机抽查相结合，以便及时准确地掌握网络的运行状况，一旦有故障发生能及时处理 定期进行数据备份，数据备份与恢复主要是利用多种介质，如磁介质、纸介质、光碟、微缩载体等，对信息系统数据进行存储、备份和恢复。这种保护措施还包括对系统设备的备份 * 病毒防范 工作原理 》可以自我复制的小程序 》引导模块、传染模块、激发模块和破坏模块 类型 》寄生方式：系统型、外壳型和程序型 》后果：良性、恶性 》状态：静态、动态 途径：拷贝、网络（E-mail、下载）等 病毒特征（发现） 》运行速度变慢、文件程度变长、出现破坏现象 防治方法 》监控和检测病毒 》消除病毒（杀毒软件，及时更新） * 法律制度 涉及法律问题：合同的执行、赔偿、个人隐私、资金安全、知识产权保护、税收等诸问题难以解决 美国保证电子商务安全的相关法律 》原则：采取非限制性、面向市场的做法，即颁布实施的法律是保护电子商务发展，而不是限制电子商务的发展 》统一商业法规（UCC） 》电子支付的法律制度 》信息安全的法律制度 》消费者权益保护的法律制度：个人隐私信息可能被商家掌握和非法利用；消费者退货问题；跨越国界物。禁止商家利用消费者的个人隐私信息进行商业活动；起诉商家时可以用消费者本国相关法律起诉 * 第三节 防止非法入侵 * 网络“黑客”常用的攻击手段 “黑客(Hacker)”源于英语动词Hack，意为“劈，砍”，引申为“辟出，开辟”，进一步的意思是“干了一件非常漂亮的工作”。在本世纪早期的麻省理工学院校园侵语中，“黑客”则有“恶作剧”之意，尤指手法巧妙、技术高明的恶作剧。 “黑客”类型 》骇客，他们只想引人注目，证明自己的能力，在进入网络系统后，不会去破坏系统，或者仅仅会做一些无伤大雅的恶作剧。他们追求的是从侵入行为本身获得巨大的成功的满足。 》窃客，他们的行为带有强烈的目的性。早期的“黑客”主要是窃取国家情报、科研情报，而现在的这些“黑客”的目标大部分瞄准了银行的资金和电子商务的整个交易过程。 * 黑客攻击手段 中断（攻击系统的可用性）：破坏系统中的硬件、硬盘、线路、文件系统等，使系统不能正常工作； 窃听（攻击系统的机密性）：通过搭线