《电子商务》教学课件9SecurityandFraudProtection.ppt

* * * * * * * * * * * * Access Control, Encryption, and PKI （5）在线商店接受订单后，向消费者所在银行请求支付认可。信息通过支付网关到收单银行，再到电子货币发行公司确认。批准交易后，返回确认信息给在线商店。 （6）在线商店发送订单确认信息给消费者。消费者端软件可记录交易日志，以备将来查询。 （7）在线商店发送货物或提供服务并通知收单银行将钱从消费者的帐号转移到商店帐号，或通知发卡银行请求支付。在认证操作和支付操作中间一般会有一个时间间隔，例如，在每天的下班前请求银行结算一天的帐。 Access Control, Encryption, and PKI 安全电子交易 (SET) 安全套接层 (SSL) 复杂 简单 SET—依赖于消费者和商家的公钥和私钥 SSL—为消费者浏览器和商家服务器之间的通信加密 SET 用来处理整个交易过程的加密协议，提供了认证、加密、信息完整性和链接等功能 SSL 可以使用认证，但是网上购物还需要检查信用卡号的有效性，由消费者的银行给信用卡授权，并且处理购买过程 Securing E-Commerce Networks firewall 由软件和硬件组成的隔离私有网络和公共网络的网络节点 防火墙相当于一个过滤设备，它允许特定的信息流入或流出被保护的网络。 防火墙内的网络通常叫可信网络，而防火墙外的网络叫不可信网络。 9-* 9-* The Defense II: Securing E-Commerce Networks 包过滤:基于收到的包的原地址、目标地址和其他确认信息来接受或拒绝该包的规则 一些包过滤的简单例子如下: 阻止来自特定互联网地址的全部的包 阻止拥有内部计算机地址的来自外网的任何包 包过滤技术也有缺点: 在建立规则时,管理员也许漏掉了某些重要规则或是不正确的规则配置 包的内容与过滤器无关,一旦包通过了防火墙,那么内部网络将面临数据驱动的威胁 9-* The Defense II: Securing E-Commerce Networks virtual private network (VPN) A network that uses the public Internet to carry information but remains private by using encryption to scramble the communications, authentication to ensure that information has not been tampered with, and access control to verify the identity of anyone using the network 虚拟专用网 (VPN): 利用公共的互联网传输信息，但却用加密组件保护通信过程确保私密性，用认证确保信息没有被篡改并确保消息来自合法的来源，用访问控制核实网络使用者的身份 9-* The Defense II: Securing E-Commerce Networks intrusion detection system (IDS) A special category of software that can monitor activity across a network or on a host computer, watch for suspicious activity, and take automated action based on what it sees 9-* Business Continuity, Disaster Recovery,Security Auditing, and Risk Management BUSINESS CONTINUITY AND DISASTER RECOVERY PLANNING disaster avoidance An approach oriented toward prevention, the idea is to minimize the chance of avoidable disasters (such as fire or other human-caused threats) 9-* 9-* Managerial Issues What is the best EC security strategy for my company? Is the budget for EC security adequate? What steps should businesses follow in es