7-第七节电子商务安全体系.pptVIP

第七章 电子商务安全体系 第七章 电子商务安全体系 7.1 电子商务系统安全概述 7.1.1 电子商务中存在的安全隐患和威胁 Internet的安全隐患主要表现在以下四个方面： 1．开放性 2．传输协议 TCP/IP，协议本身没有采取任何措施来保护传输内容不被窃取。数据在传输过程中可能会遭到IP窥探、同步信号淹没、TCP会话劫持、复位与结束信号攻击等威胁。 3．操作系统漏洞 4．信息电子化的可信度 Internet安全隐患给电子商务带来如下安全威胁： ● 商务信息被篡改、盗窃或丢失； ● 商业机密在传输过程中被第三方获悉，甚至被恶意窃取、篡改和破坏； ● 冒充虚假身份的交易对象及虚假订单、合同； ● 贸易对象的抵赖 ● 由于计算机系统故障对交易过程和商业信息安全所造成的破坏。 7.1.2 电子商务的安全性需求 1．保密性：保证信息不会被非授权的人或实体窃取。防止入侵者侵入系统；对商务机密(如信用卡信息等)要先经过加密处理，再送到网络传输。 2．完整性：完整性是指数据在输入和传输过程中，要求能保证数据的一致性，防止数据被非授权建立、修改和破坏。同时要防止数据传送过程中丢失和重复，以保证信息传送次序的统一。 3．不可抵赖性：信息的不可抵赖性是指信息的发送方不可否认已经发送的信息，接收方也不可否认已经收到的信息。 4．真实性：指商务活动中交易者身份的真实性，亦即是交易双方确实是存在的，不是假冒的。前提。 5．可靠性：指电子商务系统的可靠性，指由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒和自然灾害等所产生的潜在威胁状态下，而仍能确保系统安全、可靠。 6．内部网的严密性： 7.1.3 安全管理 1．电子商务系统安全的管理对策 企业应当制定网络交易系统安全管理制度包括： (1) 人员管理制度。① 严格电子商务人员选拔；② 落实工作责任制；③ 落实考核制度。 (2) 保密制度。划分信息的安全防范重点，提出相应的保密措施，并加强对密钥的管理。密钥管理必须贯穿于密钥的产生、传递和销毁的全过程。 (3) 跟踪、审计、稽核制度。 (4) 系统的日常维护制度。 (5) 病毒防范制度。 (6) 应急措施。灾难恢复：硬件的恢复， 数据的恢复 2．网络安全的技术对策 (1) 网络安全检测设备，实施安全监控。 SAFE suite网络安全监控系统。 (2) 开发各种具有较高安全性的访问设备，用于支持身份认证、小批量购买授权及实际和虚拟访问控制，如安全磁盘、智能卡等。 (3) 建立安全的防火墙体系。 (4) 加强数据加密的工作。 (5) 数据完整性的控制，包括数据是否来自正确的发送方而非假冒者，接收的内容与发送时是否一致，数据有无重复接收等。 (6) 建立认证中心，并建立证书的认证与发放。 (7) 建立合理的鉴别机制。在对等实体间交换认证信息，以检验和确认对等实体的合法性。鉴别机制可以采用报文鉴别，也可以采用数字签名或终端识别等多种方式。 (8) 通信流的控制。传送伪随机数据、填充报文和改变传输路径。 此外，还有保护传输线路安全、访问控制、路由选择机制、端口保护、安全检测、审查和跟踪等措施。 3．电子商务安全的法律保护 电子商务安全主要涉及的法律要素有： (1) 有关认证(CA)中心的法律。必须由国家法律来规定CA中心的设立程序和设立资格以及必须承担的法律义务和责任，也必须由法律来规定由何部门来对CA中心进行监管。 (2) 有关保护个人隐私、个人秘密的法律。 (3) 有关电子合同的法律。对数字签名、电子商务凭证的合法性予以确认。 (4) 有关电子商务的消费者权益保护法。 (5) 有关网络知识产权保护的法律。 案例：IKEA公司域名被抢注 原告英特艾基系统有限公司上诉： 其在世界29个国家和地区拥有以“IKEA”命名的大型经营家具和家居用品的专卖店 1983年在中国获得“IKEA”、 IKEA及图形组合商标和中文“宜家”的注册商标 在90多个国家和地区注册了“IKEA”、 IKEA及图形组合商标 案例：IKEA公司域名被抢注 当该公司准备在中国互联网上注册宜自己拥有的注册商标“IKEA”未标志的域名时，发现被告北京国网信息有限责任公司已经先注册了域名“” 其抢注的三级域名ikea与原告的注册商标“IKEA”比较，二者读音、文字外形、字母组合、消费者呼叫方式等方面完全相同 所以被告抢注的域名是对原告已经使用多年具有独创性的注册商标公