[管理学]第五章 电子商务安全技术.pptVIP

名词解释：宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。 近日证券网络安全事故频发。北京地区16家合法的证券公司网站就有11家被“山寨”过;四川达州仅一个山寨版光大证券网站就骗走股民200万……有关专家表示，证券假冒网站已不是个案，而是一种相当普遍、危害越来越严重的“害群之马”，已经对整个证券市场的和谐、健康发展造成“隐患”。因此，立法 、监管、券商、股民等各方面，都应引起足够重视，采取防范措施，共同扼住证券诈骗的咽喉。 ——摘自新华网（2009年09月10日 ） 6.网络窃听 网络窃听：是窃听程序的一种，可以监视通过网络传递的信息。 电子邮件窃听：指隐藏在电子邮件中的代码程序，可以让某人监视其后所附带的原信息发送的消息。 7.内部人行为 内部人行为（insider job）是对企业最大的安全威胁。 身份的真实性：是指确认与你在Internet交易的个人或者实体的身份的能力。 不可抵赖性：指的事确保电子商务参与者无法抵赖（或否认）其网上行为的能力。 可用性：指确保电子商务网站正常运行的能力。 部分告知（Partial Order）：即在网上交易中将最关键的数据如信用卡号码及成交数额等略去，然后再用电话告之，以防泄密。 另行确认（Order Confirmation）：即当在网上传输交易信息后，再用电子邮件对交易做确认，才认为有效。 使用数字签名的散列摘要的公钥加密 数字证和公开密钥基础设施（PKI） 步骤： 1、发送方创建一条数字消息； 2、发送方从公共目录得到了接收方的公钥，并用其加密消息； 3、应用接收方的公钥生成加密的密文消息 4、加密后的信息通过Internet传递； 5、接收方用他的私钥来解密消息。 非对称密钥技术的优点是：易于实现，使用灵活，密钥较少，难以破解。 弱点： 在于要取得较好的加密效果和强度，必须使用较长的密钥； 无法保证是否被篡改过； 无法认证信息是否来自发送方； 7、数字证书和公开密钥基础设施（PKI） 数字证书（digital certificate）：由认证中心发放的一个数字文件，其中包括主体或公司的名称、主体的公钥、数字证书的序列号、截止日期、发放日期、认证中心的数字签名及其他识别信息。 中国数字证书体验中心/ 天威诚信数字证书助手 免费申请使用数字证书，文件信息安全有保证 不用记忆复杂的用户名和密码，只需轻点一下，防止密码被盗造成文件泄密 利用加密证书实现文档远程加密传递，加密文件安全分享 7、公开密钥基础设施（PKI） 公开密钥基础设施：指的是各方都接受的认证中心和数字证书规程。 天威诚信数字认证服务中心 上海市数字证书认证中心 广东数字证书认证中心有限公司 北京数字证书认证中心有限公司 入侵检测系统的主要功能有： 　　a.监测并分析用户和系统的活动; 　　b.核查系统配置和漏洞; 　　c.评估系统关键资源和数据文件的完整性; 　　d.识别已知的攻击行为; 　　e.统计分析异常行为; 　　f.操作系统日志管理，并识别违反安全策略的用户活动。 案例分析：网上招投标中的信息安全应用 案例分析：网上招投标中的信息安全应用 案例分析：网上招投标中的信息安全应用 第5章 电子商务安全技术 /index.php 第5章 电子商务安全技术 网上招标是指在公网上利用电子商务基础平台提供的安全通道进行招标项目中各种信息的传递和处理，包括招标信息的公布、标书的发放、应标书的收集、投标结果的通知以及项目合同或协议的签订等完整的过程。 网上招标有公开招标和邀请招标两种招标方式，对招标方提供发布招标公告、发布招标邀请、发布中标信息、电子标书管理、标箱管理等功能；对投标方提供招标信息查询、在线投标、在线购买标书等功能 案例：数字证书在网上招标系统中的应用(1) 第5章 电子商务安全技术 数字证书在网上招标系统中的应用(2) 第5章 电子商务安全技术 数字证书在网上招标系统中的应用(3) 招投标双方在CA中心获得客户端事务型证书，并在Web服务器上绑定服务器端证书，同时在服务器端和客户端建立SSL通道。 在网上招标系统中设置Email服务器，并在Email服务器上设定专门的用户帐号接收投标机构的附有标书的安全电子邮件。 投标用户将投标书利用安全电子邮件（签名/加密，S/MIME协议）发送给招标方设定的邮箱中 第5章 电子商务安全技术 安全站点的数字证书 第5章 电子商务安全技术 第5章 电子商务安全技术 第5章 电子商务安全技术 第5章 电子商务安全技术