06电子商务的安全管理概述.ppt

第6讲 电子商务的安全管理 本章介绍电子商务系统安全的问题、基本要求、常用的安全技术以及主要的安全标准。 注意：本讲为教材第八章 6.1 电子商务的安全问题 电子商务的安全隐患 电子商务的安全风险 正确看待电子商务的安全问题 电子商务的安全隐患 电子商务的安全危险 电脑犯罪: 50个国家有信息恐怖组织，计算机犯罪增长率152%，银行抢劫案件减少，英国网络解密专家小组，美国第三方密钥管理，……… 巨大损失: 66万美元/每次计算机犯罪，26美元/每次抢劫，国防，银行，证券 网络战争: 中美网络之战 电子商务的安全隐患 我国近期网上安全事故案例 我国近年来发生的网络欺诈活动明显增多 2003年12月至2004年2月初期间，湖南长沙发生国内首例利用木马病毒盗窃网络银行资金案； 2004年2月，广东省江门市公安局破获一宗盗取网上银行存款案。 2004年3月，哈尔滨市三名大学生网络银行犯罪案； 2004年夏天，木马病毒窃取了数家券商旗下股民的网络交易帐号案； 2004年9月，网上病毒窃取招商银行的用户帐号密码案； 2004年12月，假中国银行网站案； 2005年4月，假网上工行欺诈活动案； 2007年1月，：“熊猫烧香”考问网络安全 。 电子商务的安全隐患 电子商务中的安全隐患可分为如下几类： 系统闯入——未经授权的人利用操作系统或者安全管理的漏洞，通过一定的手段闯入到系统内部，获取普通用户没有的权力，实现对用户信息的篡改、窃取和非法利用 服务拒绝攻击——通过电子手段，以网站或者网络瘫痪为目的的袭击 身份仿冒——对用户身份进行假冒，以此来破坏交易，损害被假冒方的信誉或者盗取其交易成果等。 计算机病毒 电子商务的安全风险 信息传输风险 指进行网上交易时，因传输的信息失真或信息被非法窃取、篡改和丢失而导致的风险。 信用风险 网上交易时空分离、环节分离，更加依赖信用体系。 管理方面的风险 主要包括网上交易流程管理风险、网上交易技术管理风险和人员管理风险等。 法律方面的风险 主要包括法律滞后风险和法律调整风险。 正确看待电子商务的安全问题 安全不单是技术问题 机构与管理 法律与法规 安全性需要代价 安全性与方便性 安全性与性能 安全性与成本 6.2 电子商务的安全需求 计算机网络安全 商务交易安全 计算机网络安全 计算机网络安全：是指计算机网络设备安全、计算机网络系统安全、数据库安全，其特征是针对计算机网络本身可能存在的安全问题实施网络安全增强方案，保证计算机网络自身的安全。 计算机安全分类 实体安全 ? 机房、线路及主机等的物理安全 网络与信息安全 ? 包括网络的畅通、准确，网上系统、程序和数据安全，电子商务安全。 应用安全 ? 包括程序开发运行、输入输出、数据库等安全。 为什么网络安全如此重要 网络侵袭的主要种类 外部与内部入侵 ? 非授权访问、冒充合法用户等。 拒绝服务 ? 部分或彻底地阻止计算机或网络正常工作。 盗窃信息 ? 指无须利用你的计算机就可获取数据信息。 网络侵袭者的主要种类 间谍（商业间谍及其他间谍） 盗窃犯 破坏者 寻求刺激者 “记录”追求者 低级失误和偶然事件 网络安全防范手段 商务交易安全 商务交易安全：是指在计算机网络安全的基础上，如何保证电子商务过程的顺利进行，即实现保密性、完整性、不可抵赖性等要求。主要技术有：加密技术、认证技术、安全协议等 传统交易的安全保障问题 身份确认? 工商管理登记 身份证、见面 交易保证 合同的不可否认性（白纸黑字、字迹、公章） 有效性（第三方公证、鉴定） 合法权益保护（法律保护、属地原则) 单据传输有形 电子商务交易的安全需求 身份的可认证性——能否方便而可靠的确认交易双方身份的真实性，是顺利进行电子商务的前提 信息的保密性——商业信息在传输过程或存储中不被泄露 信息的完整性——商业信息在传输和存储中保证数据一致性 不可抵赖性——商业信息的发送方和接收方均不得否认已发或已收信息 不可伪造性——电子交易文件可以做到不能修改 电子商务安全构架 6.3 电子商务基本安全技术 防火墙技术 虚拟专用网技术 加密技术 认证技术 防火墙技术 防火墙的概念 Intranet的安全性 保护企业内部资源 控制、监督和管理企业内部对外部Internet的访问 防火墙:防火墙是由硬件和软件组合而成，处于企业或网络群体计算机与外界通道之间，用来加强Internet与Intranet之间安全防范的一个或一组系统。 防火墙的结构 防火墙的设计准则 禁止任何服务，除非被明确允许 基于该准则，防火墙应封锁所有信息流，然后对希望提供的服务逐项开放。 允许任何服务，除非被明确禁止 基于该准则，防火墙应转发所有信息流，然后逐项屏蔽可能有害的服务。