[工学]电子商务概论第2版[张润彤][电子工业出版社] 第5章 电子商务的安全.pptVIP

第5章电子商务的安全 5.1电子商务安全概述 电子商务的安全威胁 电子商务网络系统安全威胁 交易安全威胁 电子商务的安全要求 1、电子商务交易方自身网络安全 硬件资源的安全 软件和数据库资源的安全 内部系统的门户安全 2、电子交易数据的传输安全 交易数据和信息的保密性要求 交易数据和信息的完整性要求 交易各方身份的可认证性要求 交易本身的不可抵赖性要求 3、电子商务的支付安全 电子支付是电子商务中的重要环节，涉及用户与银行等金融部门的交互接口，其安全形势整个电子商务安全中重要方面。 网上金融服务 电子商务安全保障体系 1、管理上的安全措施 2、法律上的安全措施 3、技术上的安全保障 5.2电子商务交易方自身网络安全保障技术 用户账号管理和网络杀毒技术 用户账号管理技术 网络杀毒技术 防火墙技术 1、防火墙基本概念 3、防火墙类型 包过滤型防火墙 应用级网关 代理服务器 选用和建立合适的防火墙系统 防火墙并不能对企业内部网络进行全面的保护 必须与企业整体安全防护措施、其他网络安全技术相结合才能更好地发挥作用 5.3电子商务数据传输安全保障技术 数据加密 加密 解密 密钥 对称加密体制或秘密密钥 对称加密体制的工作过程 使用最广泛的对称加密算法——DES算法 对称加密存在的问题 如何管理密钥 对称密钥管理 公开密钥管理/数字证书 解决数据传输完整性问题：数字签名 数字签名技术的原理 利用数字签名发送信息的流程 数据加密和认证技术在电子商务中的综合应用 ——虚拟私人网（VPN技术） 1、虚拟私人网 2、VPN应用平台 3、VPN的特点 5.4电子商务交易用户身份识别与认证技术 CA认证的过程 电子商务交易的各方向CA中心提交自己的公开密钥和其他代表自己身份的信息。 CA中心在验证了用户的有效身份后，向用户颁发一个附有自己签名的证书，该数字证书用CA的私有密钥进行加密。 参与电子商务交易的各方如果从同一个CA处获得证书或相互信任为对方签发证书的CA，他们就可以通过交换数字证书来获得对方的公钥。 利用CA的公开密钥验证其数字签名。 当用户的私有密钥泄露或由于证书的有效期已到，CA中心就需要将该用户的数字证书作废，并要向外界公布作废证书的信息。 数字证书的内容和验证 数字证书的内容 数字证书的种类 数字证书的管理和验证 5.5电子商务支付安全 SSL协议 SSL协议工作原理 SSL协议的安全交易过程 SSL协议的优点和缺点 SET协议 SET协议的主要目标 基于SET协议的交易流程 SET协议的优点和缺点 5.６电子商务安全评估与安全策略 电子商务安全评估 评估内容 评估标准及其发展 系统安全评估的一般步骤 电子商务安全策略 制定安全策略时需要考虑的问题 安全策略的制定 电子商务安全解决方案介绍 电子商务安全解决方案通常需要包含的内容 基于CA eTrust的电子商务安全解决方案 用来传输加密数据的网络 （1）纯软件平台VPN （2）专用硬件平台VPN （3）辅助硬件平台的VPN 认证中心CA （Certification Authority 认证中心的功能：核发证书、管理证书、搜索证书、验证证书 CA的树形验证结构(如图所示） 中国金融认证中心 中国数字认证网（），数字认证，数字签名，CA认证，CA证书，数字证书，安全电子商务。 北京数字证书认证中心 （），为网上电子政务和电子商务活动提供数字证书服务。 利用认证技术识别各自的身份 利用加密技术保证通道的保密性 利用数字签名技术保证信息传送的完整性 保障付款信息的安全 保障付款过程的安全 保证付款过程遵守相同的协议和格式标准 顾客在网上浏览商品 顾客购买商品，向商家发送购买请求及付款账户信息，SET协议介入 商家处理订购信息，发送货物，向为顾客提供信用卡的金融机构提出付款请求完成交易  SET协议和SSL协议的比较 SET协议给银行、商家、持卡客户带来了更多的安全，使他们在进行网上交易时更加放心，但实现复杂、成本高； 而SSL协议则简单快捷，但仍然存在安全漏洞； 随着Internet宽带接入的大规模应用，越来越多商家追求更加安全的电子商务，SET协议机制将逐步被更多的企业、商家与客户所接受，仍然具有良好的应用前景 １、内部网络的安全评估 ２、从企业外部进行评估 １、制定系统安全标准 ２、按照安全标准对系统进行监测，找出问题和漏洞 ３、对问题进行分析 * * 1、计算机软件系统的潜在安全问题 2、安全产品使用不当 3、缺少严格的网络安全管理制度 1、交易者可能在交易过程中被竞争对手盗取各种资料 2、交易伙伴有企图抵赖或欺诈的行为 3、交易的各