移动商务的安全管理讲义..pptVIP

10.2 移动电子商务安全问题 2.管理上面临的主要问题 (4)工作人员的安全管理问题 人员管理常常是移动电子商务安全管理中比较薄弱的环节。未经有效的训练和不具备良好职业道德的员工本身，对系统的安全是一种威胁。工作人员素质和保密观念是一个不容忽视的问题，无论系统本身有多么完备的防护措施，也难以抵抗其带来的影响。 对于外来攻击者，他们可能通过各种方式及渠道，获取用户的个人信息和商业信息等，如果员工在各方面都加紧防范，应该可以杜绝不少漏洞。我国很多企业对职工安全教育做的不够，又缺乏有效的管理和监督机制，有些企业买通对手的管理人员，窃取对手的商业机密，甚至破坏对方的系统，这给企业带来极大的安全隐患。 10.2 移动电子商务安全问题 2.管理上面临的主要问题 （5）信息安全管理的标准化问题 目前移动电子商务产业刚刚起步，这个领域还没有国际标准，我国也没有自己的国家标准和统一管理机构。 设备厂商在无线局域网设备安全性能的实现方式上各行其道，使得移动用户既不能获得真正等效于有线互联网的安全保证，也难以在保证通讯安全的基础上实现互通互联和信息共享。由于没有安全标准的评测依据，又缺乏有关信息安全的管理法规，主管部门很难对信息安全标准做出规范要求，这也为移动电子商务信息安全的审查和管理工作带来了很大困难。 10.3 移动电子商务安全解决方案 1.基于WAP的安全解决方案 （1）方案的实现目标 具有身份认证功能，确保Web服务器能够确认消息的来源，使移动终端与Web服务器之间能够互相确认对方的真实身份，防止不法入侵者伪装成他人进行欺骗。 确保数据的保密性，用安全会话密钥进行数据的加解密操作，确保只有信息的发送者和预定的接收者能看到信息，保证用户的帐号、密码以及其他的个人机密信息不会被泄露。 能识别数据的完整性，保证接收方能够判断数据在传输过程中是否被修改，防止不法入侵者利用虚假信息替代合法信息或者肆意篡改信息。 (2) WAP的安全结构体系 10.3 移动电子商务安全解决方案 1.基于WAP的安全解决方案 基于WAP的安全架构模型 主要安全参与实体 网络安全协议平台 安全基础设施平台 （3） WAP应用模型的安全风险分析 10.3 移动电子商务安全解决方案 1.基于WAP的安全解决方案 WAP的安全会话模式 第一阶段：确保了保密性、完整性和服务器认证 第二阶段：WAP网关与移动用户之间的安全通信使用WTLS协议 (4) 现有的端到端安全模型 10.3 移动电子商务安全解决方案 1.基于WAP的安全解决方案 端到端安全模型——WAP服务器模型 该模型将WAP网关安置在Web服务器端，使WAP网关作为最终服务器的一部分，而不是整个过程中的一个环节，这样做使数据在移动终端到服务器端的传输过程中一直处于WTLS加密状态。当数据被安全传送至服务器端之后，WAP网关将数据解密出来直接提交给服务器操作，从而在数据通道上避免了协议转换的过程，实现了端到端的安全。 10.3 移动电子商务安全解决方案 1.基于WAP的安全解决方案 端到端安全模型——透明网关模型 (4) 现有的端到端安全模型 该模型中，WAP网关接收加密的WTLS数据流后，让其直接到达浏览器一方如图所示。 在这种情况下，当网关检测到WTLS数据流时，WAP网关只完成数据的格式转换，而不对数据进行解密处理，只有当数据到达应用提供商一方才进行解密、验证签名等工作。在整个处理过程中，攻击者所能得到的只是密文和数字签名，因而保证了移动电子商务的安全性。 10.3 移动电子商务安全解决方案 1.基于WAP的安全解决方案 (4) 现有的端到端安全模型 端到端安全模型——WTLS隧道（Tunneling）模型 在该模型中，移动终端对要发送的数据应用WTLS加密，网关收到加密消息后，不进行解密而用直接TLS对WTLS加密消息进行再次加密，然后发送给Web服务器。服务器收到消息后，先进行对应网关的TLS的解密，然后进行对应移动终端的WTLS解密。 反之，当数据从服务器端发送到移动终端时，也需要两次加密，先进行WTLS加密，再进行TLS加密。这样在网关出，进行TLS解密，然后传送给移动终端。移动终端接收到的数据是WTLS加密的，这样数据在WAP网关处不再以明文出现，实现了端到端的安全。 10.4 移动电子商务安全管理策略 1.加强移动通信服务市场的安全监管 加快开展手机实名制的落实工作 加强相应的政府责任 加强短信息服务的配套管理 我国绝大多数手机尚未进行实名登记，垃圾短信、诈骗短信层出不穷，利用手机进行的违法犯罪事件也是屡见不鲜。 在政府层面，主要是对用户的隐私权保护提出更高的要求。实施实行实名制管理以后，要求政府必须加强对用户个人信息的保密。 治理不良手机短信是一个系统的工作，只有运营商、短信