电子商务安全与管理.ppt

关于本课程的说明 开课目的：了解和认识电子商务存在的各类安全问题，明确 电子商务的安全需求，掌握解决相关问题的思路 和方法。 主要内容：信息安全、网络安全、数字证书、电子商务安全 管理、电子商务安全风险管理等内容。 主要教学方式：课堂讲述、课堂讨论、专题写作、作业和思 考题。 考核评价方式：闭卷考试 第一章 电子商务安全导论 本章学习目的： 了解电子商务面临的安全问题 掌握电子商务系统安全的构成要素 了解电子商务安全的主要需求 理解电子商务安全的保障手段 第一节 电子商务面临的安全问题 1、安全问题的提出 伴随着互联网经济的不断发展，电子商务活动越来越 普遍，与此相对应的各类安全问题也越来越引起人们的重 视，有必要采取一系列针对性的措施解决这类问题。 2、电子商务涉及的安全问题 主要有以下几个方面： 1）信息安全问题 2）信用的安全问题 3）安全的管理问题 4）安全的法律法规保障问题 第二节 电子商务系统安全的构成 1、电子商务系统 电子商务系统是指人们用于开展电子商务活 动所依赖的基于计算机网络的计算机信息管理 系统，主要由硬件及相关功能软件所构成，是 开展电子商务活动的运作平台。 2、电子商务系统的安全组成 实体安全、运行安全、信息安全 （一）实体安全 保障设备、设施的正常运行和数据的安全。 1、环境安全：系统运行周边环境的保障。 2、设备安全：系统中各运行设备自身的安 全运行。 3、媒体安全：主要是指存放数据的介质的 安全保障。 （二）系统运行安全 提供安全措施保障系统功能的安全实现。 1、风险分析：对系统运行中可能出现的各类 安全风险进行预测和分析 2、审计跟踪：完善系统运行的各类记录，了 解系统运行状况。 3、备份与恢复 4、应急措施 （三）信息安全 防止信息被非法泄露、更改、破坏等。 1、操作系统安全 2、数据库安全 3、网络安全 4、病毒防护安全 5、访问控制安全 6、加密 7、鉴别 第四节 电子商务安全的保障 电子商务的安全保障应从综合防范的角度 出发，从技术、管理、法律等多个方面采取措 施，才能够有效地保障电子商务的安全。 1、技术措施 信息加密、数字签名技术、TCP/IP服务、防火墙的构造 2、管理措施 人员管理制度、保密制度、跟踪审计制度、系统维护制度、数据容灾技术、病毒防范技术、应急措施 3、法律环境 上次课内容回顾 1、电子商务面临的主要安全问题 信息安全、信用安全、安全管理、安全的法律法 规保障 2、电子商务系统的安全构成 实体安全、运行安全、信息安全 3、电子商务安全的需求 保密性、完整性、认证性、可控性、不可否认性 4、电子商务的安全保障 技术措施、管理措施、法律环境 第二章 信息安全技术 2.1 信息安全概述 电子商务中信息安全主要涉及以下五个方面 1、信息的机密性 2、信息的完整性 3、对信息的验证 4、信息的不可否认性 5、对信息的访问控制 一、信息的机密性 要求： 信息的保密，如项目的投标、产品的报价、银 行的账号和密码等重要的商业信息。 技术对策：信息加密（对称加密与非对称加密） 二、信息的完整性 要求： 能够对信息进行检测，并识别信息是否被更改。 技术对策：利用数字摘要技术（Hash函数、SSL协议） 三、对信息的验证 要求：能够对电子商务活动参与者或主体身份 的真实性进行验证及确认。 技术对策：设定口令、数字签名、数字证书等。 四、不可否认性 要求：任何一方对信息的真实性不能否认和抵 赖。 技术对策：数字签名、数字证书等 五、访问控制 要求：只允许授权用户访问相关信息。 技术策略：设定用户及权限、访问账号、口令 等。 2.2 信息传输中的加密方式 信息加密主要分为传输加密和存储加密。 信息传输加密：是指传输过程中对信息进行加 密的过程。 一、几种常用的加密方式 1、链路-链路加密 在通信节点对信息进行加密处理，以保证 在链路上传递的信息是加密过的。 2、节点加密 在各节点设专用的加密装置对信息加密和 解密，实现信息在链路上的加密传输。 3、端-端 加密 在发送端和接收端分别对信息进行加密和 解密操作。 二、加密方式的选择策略