(精)第一章 电子商务安全导论.ppt

电子商务安全与管理 * 信息安全的组成 访问控制安全 出入控制 主要用于阻止非授权用户进入机构或组织 存取控制 主要是提供主体访问客体时的存取控制 提供对口令字的管理和控制 防止入侵者对口令字的探测 监测用户对某一“分区”或“域”的管理 电子商务系统自身的安全问题 * 电子商务安全与管理 * 信息安全的组成 加密 加密设备 实现对数据的加密 密钥管理 提供对密钥的管理来加强信息安全 电子商务系统自身的安全问题 * 电子商务安全与管理 * 信息安全的组成 鉴别 身份鉴别 提供对信息收发方真实身份的鉴别 主要用于阻止非授权用户对系统资源的访问 鉴别方法 用户的生物特性 用户所持物品 用户所知 特定场所证据 第三方鉴定 信息鉴别 正确性鉴别 完整性鉴别 主要用于证实信息内容未被非法修改或遗漏 不可否认性鉴别 证实发送方所发送的信息确实被接收方接收了 证实接收方接收到的信息确实是发送方发送的 电子商务系统自身的安全问题 * 电子商务安全与管理 * 从交易活动对象划分 商家可能面临的安全问题 客户拒绝付款、竞争者的破坏、名誉损害、虚假订单…… 客户可能面临的安全问题 付款后未收到商品、泄露个人信息、拒绝服务…… 银行可能面临的安全问题 攻击者对银行专用网络的破坏：中断、窃听、篡改、伪造…… * 电子商务交易信息传输过程中的安全问题 电子商务安全与管理 * 从安全问题类型划分 信息的安全问题 冒名偷窃 篡改数据 信息丢失 信息传递出问题 信用的安全问题 来自买方的安全问题 来自卖方的安全问题 买卖双方都存在抵赖的情况 安全的管理问题 安全的法律保障问题 * 电子商务交易信息传输过程中的安全问题 * 电子商务安全与管理 * 电子商务交易信息传输过程中的安全问题 * 电子商务安全与管理 * 电子商务交易信息传输过程中的安全问题 电子商务安全与管理 * 术语 定义 保密性 保护机密信息不被非法存取以及信息在传输过程中不被非法窃取 完整性 防止信息在传输过程中丢失、重复及非法用户对信息的恶意篡改 认证性 确保交易信息的真实性和交易双方身份的合法性 可控性 （访问控制） 保证系统、数据和服务能由合法人员访问，保证数据的合法使用 不可否认性 有效防止通信或交易双方对已进行的业务的否认 * Eg：在B2C模式中，消费者和商家具体有何安全需求？ 电子商务交易信息传输过程中的安全问题 电子商务的安全需求 从消费者和商家角度来看电子商务安全的不同方面 不同方面 消费者角度 商家角度 保密性 除了我指定的接收方外还有其他人能读取我的信息吗？ 信息或机密数据是否会被那些未经授权者看到？ 完整性 我发出或接收的信息是否被篡改了？ 网站上的数据是否未经授权就被改变了？ 认证性 谁在和我做交易？我如何确认此人或者此商家就是他所声称的那个？ 消费者的真实身份是什么？ 可控性 我能访问该网站吗？我能控制电子商务商家对我提交的个人信息的使用吗？ 网站在正常运营吗？如果可能的话，作为电子商务交易的一部分所采集到的个人数据该如何使用？消费者个人信息可以在没得到其授权的情况下使用吗？ 不可否认性 和我进行交易的商家以后是否会否认曾进行过交易？ 消费者会否认曾订购过的产品吗？ * 电子商务安全与管理 * 电子商务交易信息传输过程中的安全问题 安全需求与安全技术（表2-1） * 电子商务安全与管理 * 安全问题 安全目标 安全技术 保密性 信息的保密 加密 完整性 探测信息是否被篡改 数字摘要、数字签名 认证性 验证身份 数字签名，提问－应答，口令，生物测定法 可控性 只有授权用户才能访问 防火墙，口令，生物测定法 不可否认性 不能否认信息的发送、接收及信息内容 数字签名，数字证书，时间戳 电子商务交易信息传输过程中的安全问题 电子商务安全与管理 * 1. 电子商务面临的安全问题 电子商务系统自身的安全问题 电子商务交易信息传输过程中的安全问题 2.电子商务的安全保障 目录 * 电子商务安全与管理 * 电子商务安全的保障 技术措施 管理措施 法律环境 * 综合保障体系 电子商务安全与管理 * 技术措施 信息加密技术 数据传输加密 密码技术（对称加密/不对称加密） 非密码技术（信息隐藏/生物特征/量子密码…） 数字签名/验证技术 密钥管理技术 电子商务安全的保障 * （第2章内容） 电子商务安全与管理 * 技术措施 数字证书 公钥基础设施PKI 利用公钥理论和技术建立的提供信息安全服务的基础设施 电子商务安全的保障 * （第4章内容） （第5、6章内容） 电子商务安全与管理 * 技术措施 TCP/IP服务 电子商务应用安全协议 SSL（安全套接层）协议 SET（安全电子交易）协议 防火墙技术 保护企业保密数据、保护网络设施 入侵检测技术 继防火墙之后的又一道防线 虚拟专用网