第一章电子商务安全.pptVIP

山西大学商务学院 《电子商务安全》  案例1：当当网礼品卡被盗难解决 2012年6月，当当网被爆用户信息泄露，其不少用户的礼品卡都被盗，而后续解决情况也引起各方关注，但当当网始终没有赔偿或者补偿政策出具。 案例2：密码外泄门敲响2012年电子商务安全警钟 　 2011年12月，是不平凡的一个月，也是牵动众多互联网用户的一个月。这个月内，国内最大的开发者社区CSDN的600万用户的账号和密码遭黑客泄露，而且在稍后，又有天涯社区、多玩网、新浪微博、人人网等等知名网站的用户称密码遭网上公开泄露， 紧接着又网传国内多家银行的 用户数据泄露。网络数据泄露 的影响已经从一般网站扩散到 了电商和银行领域。 《中国互联网络发展状况统计报告（2010/6）》 半年有59.2%的网民在使用互联网过程中遇到过病毒或木马攻击，遇到该类不安全事件的网民规模达到2.5亿人。 2010年上半年，有30.9%的网民账号或密码被盗过，网络安全的问题仍然制约着中国网民深层次的网络应用发展。 89.2%的电子商务网站访问者担心访问假冒网站；而他们如果无法获得该网站进一步的确认信息，86.9%的人会选择退出交易。互联网向商务交易型应用的发展，急需建立更加可信、可靠的网络环境。 案例：网络钓鱼 第1章　概论 1.1　网络信息安全 1.1.1　网络信息安全 1．网络信息安全的定义 　 网络信息安全是一个涉及计算机科学、网络技术、通信技术、 密码技术、信息安全技术、应用数学、数论、信息论等多种学科的 边缘学科。 1.1.2　网络信息安全的特征 1.1.3　网络信息安全技术 1．主动防御技术 （1）数据加密。 （2）CA认证 CA中心是具有权威性和公正性的第三方信任机构，采用PKI公共密钥基础架构，提供网络身份认证服务。 （3）访问控制。 通过身份认证来控制用户对资源的访问 （4）虚拟网络技术。 使用VPN或VLAN技术，通过网段的划分、控制数据流向等手段来实 现防范的目的 （5）入侵检测 监测和分析网络信息系统中发生的事件，当系统受到攻击时，它可以检测出来并做出积极的响应。 2、被动防御技术 （1）防火墙技术 可信网络与不可信网络之间的安全防御系统 （2）安全扫描 检测远程或本地主机安全弱点的程序 （3）密码检查器 通过口令验证检查薄弱的口令 （4）安全审计 分析日志文件，发现系统安全弱点及漏洞 （5）路由过滤 检查每个经过的数据包 （6）安全管理技术 制定规章制度和条例等安全策略 1.2　威胁网络信息安全的因素 　　　 保证信息与信息系统的可用性、完整性、真实性、机密性和不可抵赖性的保护与防御手段。它通过保护、检测、恢复、反应技术的采用使信息系统具有恢复能力。 1.4.3 动态自适应信息安全模型P2DR 20世纪90年代末，美国国际互联网安全系统公司（ISS）提出。 安全保护是网络安全的第一道防线，包括安全细则、安全配置和各种安全防御措施，能够阻止决大多数网络入侵和危害行为。 入侵检测是网络安全的第二道防线，通过安全监控中心掌握整个网络的运行状态，采用与安全防御措施联动方式尽可能降低威胁网络安全的风险。 网络安全策略是保障机构网络安全的指导文件，一般而言，网络安全策略包括总体安全策略和具体安全管理实施细则。 1.5 美国可信计算机系统评价标准 国外信息安全发展趋势 关注的焦点主要有：1） 密码理论与技术；2） 安全协议理论与技术；3） 安全体系结构理论与技术；4） 信息对抗理论与技术；5） 网络安全与安全产品。 涉及网络与商务安全的相关法规 　　1.??电子商务法律法规汇编 　　2.??中华人民共和国电子签名法 　　3.??中国互联网协会反垃圾邮件规范 　　4.??中国互联网络信息中心域名争议解决办法程序规则 　　5.??商用密码管理条例 　　6.??国务院办公厅《关于加快电子商务发展的若干意见》 　　7.? 国际电子商务认证法律 　　8.??我国电子商务认证法律 《电子商务信用认证规则》 2010年11月，商务部中国国际电子商务中心组织制定的我国首个 《电子商务信用认证规则》正式发布，该规则将主要针对团购网站、零 售类购物网站等进行信用认证，认证结果分为信用等级和信用额度两项。 ????信用等级设定为优秀、良好、合格、不良、损失五个等级，信用额度 则根据信用分值和资产状况确定。