您好,欢迎访问三七文档
当前位置:首页 > IT计算机/网络 > 电子商务 > 10电子商务安全的管理保障-1
上一堂课内容回顾第2章电子商务安全的技术保障2.1加密技术2.2数字签名2.3认证技术2.4防火墙技术(自习)第3章电子商务安全的管理保障内容回顾第1章电子商务安全与电子支付概论1.1电子商务发展概况1.2电子商务安全概述1.2.1电子商务面临的安全威胁1.2.2电子商务的安全要素1.2.3电子商务的安全体系结构1.3电子商务基本流程1.4电子商务中的电子支付计算机网络风险电子商务交易风险管理风险政策法律风险内容回顾1.2.1.1计算机网络方面的风险1.2.1.2网上交易方面的风险1.2.1.3管理方面的风险1.2.1.4政策法律方面的风险电子商务安全的技术保障电子商务安全的管理保障电子商务安全的法律保障如何保障?(回顾)1.2.1.3管理风险(P13)严格管理是降低网络交易风险的重要保证:人员管理:是在线商店安全管理上最薄弱的环节。企业内部员工的疏失远比网络上的黑客还要可怕!网络交易技术管理的漏洞也带来较大的交易风险。有些操作系统中某些用户是无口令的,如匿名FTP!补:管理风险—社会工程学攻击•社会工程学(攻击)是使用计谋和假情报去获得密码和其他敏感信息的科学。或者说是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。社会工程学攻击•研究一个站点的策略其中之一就是尽可能多地了解这个组织的个体,因此黑客不断试图寻找更加精妙的方法,他们希望从渗透的组织那里获得信息。举个例子:一组高中学生曾经想要入侵某公司的网络,他们拟定了一个表格,调查看上去显得是无害的个人信息,例如所有秘书和行政人员和他们的配偶、孩子的名字。这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统,因为网络上的大多数人是使用宠物和他们配偶名字作为密码。社会工程学攻击举例1、请狼入室李小姐是某个大公司的经理秘书,她工作的电脑上存储着公司的许多重要业务资料,所以属于公司着重保护的对象,安全部门设置了层层安全防护措施,可以说,她的电脑要从外部攻破是根本不可能的事情。为了方便修改设置和查杀病毒,安全部门可以直接通过网络服务终端对李小姐的电脑进行全面设置。也许贪图方便,维护员与李小姐的日常联系是通过QQ进行的。这天,李小姐刚打开QQ,就收到维护员的消息:“小李,我忘记登录密码了,快告诉我,有个紧急的安全设置要做呢!”因为和维护员很熟了,李小姐就把密码发了过去。。。。一夜之间,公司的主要竞争对手掌握了公司的业务!社会工程学攻击举例由于安全部门距离李小姐的工作地点有好些距离,管理不方便,所以公司让他们直接通过网络来管理机器!他与李小姐之间的联系通过QQ进行。问题偏偏就出在QQ上。作为安全人员,他自然知道密码的重要性,因此他的任何密码都设置得十分复杂,穷举几乎不可能。至于被入侵,那更不可能发生。然而百密仍有一疏,他做梦也没想到对手利用QQ的取回密码功能轻易拿到了他的密码。剖析:李小姐正是出于对维护员的信任才被对方欺骗的。因为那个在QQ上出现的维护员根本不是公司的维护员本人,而是对手盗取了维护员的QQ,再利用一个小小的信任关系,就轻易取得了登录密码。2、形同虚设的密码社会工程学攻击举例剖析:他在输入提示答案的时候,下意识地输入了心里最重要的那个人的名字。但是对手也知道他心里那个人的名字,所谓的“知己知彼”。小马喜欢绚丽的QQ秀和一些特色服务,但舍不得花钱。好想有免费的Q币。某天一QQ好友给他发来一个URL,还说这个网站通过一定的点击次数提供Q币。如此好的机会小马怎能放过?他根据网站的提示输入了QQ号码和密码完成注册,然后给QQ上的朋友们发了网址。然而等了许久,自己的Q币依然没有动静。第二天,小马想登录QQ时,却发现怎么也登录不上去了——QQ密码被人改了。这是曾闹得轰轰烈烈的QQ欺骗案件之一。3、E时代的守株待兔社会工程学攻击举例剖析:这就是著名的“网络钓鱼”!论坛常有帖子:“……腾讯公司预留了专用号码作为充值号,此号是自动读取指令的,为了不引起大家的注意,所以这个QQ比较普通,这个QQ一般隐身。只要发送{Jerusalum/PLO号码}{VesselinBontchev密码}{FRALDMUZKQ币数量},然后下线5分钟,等着收Q币吧。”大哥你是不是太搞笑?!改我密码还要5分钟啊?麻烦你快一点好不好!还有QQ中奖要求用户填写密码以待“验证”等伎俩,无论什么手法,最终结局都是一样的,那就是——用户的密码被人改掉。如此白痴的骗局,只要有点常识的人都不难理解其中的“笑话”,奇怪的是却屡屡有人上当,究其原因,就是因为国人的贪小便宜心理作祟。社会工程学攻击举例王先生是一家银行的职员,通常都是直接在网络上完成转账操作的。由于他的电脑水平不高,前不久被一个初学者骇客入侵了机器。在请来专业人员修复系统更改密码后,王先生照例登录网络银行为手机缴费,可是才过一会儿他的冷汗就出来了:网络银行登录不进去了!深感大事不妙的王先生去银行办理了相关手续,查账发现账户里的钱已经被人划走了。因为王先生犯了大部分人都会犯的致命错误:通常为了记忆方便,人们会把几处的密码都设置成一样的,例如QQ、E-MAIL、FTP、网站等的密码,而王先生更进一步把所有密码都弄成一样的了,因此入侵者在得到王先生的机器登录密码后也就得到了网络银行的密码。正是因为这个普遍心理特点,受害者往往都是被入侵者一锅端了!因为简单密码和相同密码是大部分人都会碰到的心理弱点4、轻而易举的入侵电子商务的实质仍然是商务。电子商务交易活动越普遍,对安全管理的要求就越高。此时的管理,已不单纯是对计算机系统的管理,而是涉及对虚拟环境中商务活动各类参与主体的管理。•防止前述问题的风险需要有完善的制度设计,形成一套相互关联、相互制约的制度群。–3.1电子商务标准管理–3.2计算机信息系统管理–3.3网络服务和网络用户的管理–3.4网络广告管理–3.5电子认证服务机构管理3.1电子商务标准管理(课本P61-68)•电子商务标准的产生—需求产生标准–在信息化时代,企业依靠越来越多的管理信息系统实现运营。面对五花八门的系统交互,企业首先要解决数据交换问题。(如何解决?)–开发专用接口或统一数据格式成为人们常用的办法。但是在互联网上,这些办法似乎颇有束缚。–因此,定制数据交换标准的需求应运而生。1998年,国际标准化组织W3C推出XML,解决了数据交换的标准问题。(企业需求得到满足了吗?)•然而,这还远远不能满足企业的需求。企业要进行商务,就要在不同商务平台之间进行对话,也就是进行B2B交易。实现真正的B2B商务,不仅涉及到企业间的数据交换,更要涉及到企业间业务流程的相互操作。–以一个简单的定单交易为例,其中包括了定单内容的传递和对定单的处理。前者属于数据交换,后者属于流程交易。定单处理:If定单被拒绝then…If定单被承诺then…定单处理:If…then拒绝If…then承诺定单基于XML格式买方企业卖方企业确定可行的标准接口流程•在互联网时代,企业所面对的客户和供应商已经不再仅仅局限于本地有限的几个,而是散布在世界各地的数目可观的一批。如果说原来企业间交易可以通过专门开发的接口,那么面对数量众多的异构商务平台,在实时性要求相当苛刻的现在,专用接口已经不能胜任,建立一个基于XML数据交换标准的、描述企业间商务流程交易的标准框架体系已经成为必需。–如RosettaNet、CommerceNet、CommerceOne等,都是在B2B的实践中,从需求中产生的、面向流程的标准。标准面面观•从当前的市场应用情况来看,标准基本上分为两层:底层的数据交换标准和高层的面向流程的标准。–XML是至今为止用来做数据交换比较有效的语言之一。–BizTalk是微软公司倡导的标准,是利用Internet标准协议和格式来促进企业内部和企业间的应用集成电子商务的XML框架,吸引了包括XMLSolutions在内的全球许多组织的支持。–目前,注重流程的标准大致分为两类,一类来源于由多家企业自发组成的非营利性行业标准化组织,如RosettaNet、CommerceNet等;另一类来源于电子商务及解决方案供应商,如CommerceOne、Ariba等。世界上第一个Internet电子商务标准•1999年12月14日,在美国加州旧金山的St.Francis饭店,公布了世界上第一个INTERNET商务标准(TheStandardforInternetCommerce,Version1.0–1999)。这一标准是由Ziff-Davis杂志牵头,组织了301位世界著名的INTERNET和IT业巨头、相关记者、民间团体、学者等经过半年时间,进行两轮投票后才最终确定下来的。虽然这也还只是1.0版,但它已经在相当程度上规范了利用INTERNET从事零售业的网上商店需要遵从的标准。•整个标准分七项、47款。每一款项都注明是“最低要求”,还是“最佳选择”。如果一个销售商宣称自己的网上商店符合这一标准,那它必须达到所有的最低标准。一、信息中心–必须建立一个信息中心,并且使消费者在网站上的任何地方都可以找到这个信息中心的链接。(最低要求)–销售商必须使用“Information”这个词作为该信息中心的标题。(最低要求)二、需公布的内容•销售商必须在信息中心公布如下内容:销售商的法定名称以及业主;主要办公地点;和销售商联系的渠道,如电话或EMAIL;特殊业务的专业许可证。(最低要求)•必须在信息中心提供在广告中没有明确的客户支付方式或其他使用第三方产品或服务的资料。(最低要求)•在消费者被要求最终确认订单之前,销售商必须为消费者提供所有费用的清单,包括商品/服务的费用、运费、处理费以及税。(最低要求)信息中心必须提供质量保证的说明,包括担保的有效期、适用的范围、不适用的范围、如何担保等。(最低要求)•对每个产品或服务都必须提供有关售后服务的信息,包括服务范围、期限、如何进行等。(最低要求)•在信息中心中必须向客户说明适用哪一国家或地区的法律。(最低要求)•必须向客户公布可以选择的各种支付方式。(最低要求)•必须提供有关处理取消订单、退货、退款的原则,包括可以取消订单的有效期、哪些产品可以退货、退货的条件、取消订单或者退货的费用、运费的支付方、消费者何时可以得到退款等。(最低要求)•必须公布销售商从消费者的信用卡上收款的规定。(最低要求)三、产品/服务•如果销售商在销售或发货上对不同消费者(如特定地区或年龄)有限制必须明确说明。(最低要求)•在消费者最终订货之前,销售商必须提供有关产品的供应情况,即货物发送或订单的处理估计所需要的时间。(最低要求)•销售商必须在两个工作日内通知期货订购者。(最低要求)•必须用明显的标记,如颜色,图标等标识那些在网站上列出,但不能从网络上直接定购的商品。(最低要求)对于订购了无现货的产品的消费者,应该在货物到达后通知他们。(最佳选择)四、保密和安全•必须公布销售商的保密原则,至少包括:销售商将收集消费者的哪些资料,在何处收集;使用这些资料的目的;销售商是否会向第三方提供这些资料,如果提供,是在何种情况下;消费者资料是否是整个商务计划的一部分,如进行目标市场分析、建立各种促销方案等;消费者是否有可能限制使用私人资料,如何进行。(最低要求)•销售商必须在主页和信息中心提供标记为“Privacy”的保密原则链接。(最低要求)•消费者必须有能力选择销售商是否可以利用收集到的消费者资料主动发送的各种信息,并且在这些资料被开始收集时就可以进行这种选择。(最低要求)•消费者必须有能力选择是否同意将自己的私人信息提供给第三方,并且在这些资料被开始收集时就可以进行这种选择。(最低要求)•如果有关交易的第三方(如购物车、支付网关)的保密原则和销售商的不同,销售商必须提供指向第三方保密原则的链接。(最低要求)•在整个交易过程中,销售商必须对所有消费者提供的信息进行加密传输。(最低要求)•销售商必须对销售商存储的消费者资料进行加密处理。(最低要求)
本文标题:10电子商务安全的管理保障-1
链接地址:https://www.777doc.com/doc-24921 .html