您好,欢迎访问三七文档
当前位置:首页 > IT计算机/网络 > 电子商务 > 第1章电子商务安全基础
电子商务安全技术与实训系别:财经系主讲教师:余林联系方式:18703869209Email:424077010@qq.com教材1.王丽芳.电子商务安全.电子工业出版社,2010年3月.2.唐四薪.电子商务安全.清华大学出版社,2013年5月.3.曾子明.电子商务安全与支付.科学出版社,2008年9月.期刊《电子商务世界》《中国电子商务》《商业研究》《计算机应用研究》《互联网世界》《电子与信息化》网络资源1.电子商务网.中国国际电子商务网总评成绩=平时成绩+期末考试成绩平时成绩占40%(考勤,课堂讨论,平时作业、实践技能)期末考试成绩占60%教学目的教学目的:本课程教学的目的在于让学生了解保障电子商务安全的基本技术和管理方法,帮助学生在将来从事电子商务实际工作时树立良好的安全意识;并能通过对电子商务安全的学习进一步理解电子商务的运行机制,底层实现和当前电子商务存在的安全问题,并解决出现的这些问题。目录基础部分客户部分管理部分(第1、2章)(第3、4章)(第5、6、7章)1.5电子商务安全体系1.4电子商务安全技术1.3电子商务安全需求1.2电子商务安全问题1.1电子商务安全概念实训第1章电子商务安全基础回顾:电子商务的概念电子商务目的:实现商务活动的高效、便捷、利润最大化买方、卖方、提供交易平台的第三方,通过Internet进行交易信息交换的过程以Internet为基础的商务活动电子商务的主要类型企业对企业B2B(阿里巴巴网站)企业对消费者B2C(当当网、卓越网)1.按照参与交易的主体来划分消费者对消费者C2C(淘宝、易趣、百度有啊和腾讯拍拍)电子商务的主要类型有形产品的电子商务产品特点:①体积小、便于运输;②价值不是特别大;③主要购买群体是年轻人或网民无形产品的电子商务产品特点:数字产品,无形产品或服务所交易的产品可通过Internet直接传送,不需要考虑物流的问题2.按照交易的产品类型划分电子商务系统的组成电子商务系统的总体框架结构可分为三层应用系统基础平台网络平台电子商务在我国的发展现状我国电子商务目前已步入务实发展阶段,特点大型企业电子商务应用开始进入协同商务阶段中小企业电子商务应用意识普遍提高;网络购物规模迅速扩大电子商务专业化服务体系正在形成电子商务在社会经济生活中应用日趋广泛电子商务在应对金融危机、举办北京奥运、抗击自然灾害中的作用日益凸显电子商务渐成资本市场上的投资新宠我国推动电子商务发展的措施第一,制定、完善相关政策,为电子商务的发展创造环境;第二,用“示范”促应用,如农村电子商务示范工程第三,加大电子商务应用的宣传力度,引导电子商务向纵深发展1.1电子商务安全概念电子商务系统由Internet网络、用户、配送中心、认证中心、银行和商家等组成,电子商务系统组成右图所示。电子商务通常翻译成eCommerce和eBusiness。eCommerce可以理解为电子商务,基于电子手段进行的商务活动。eBusiness可以理解为电子商业,电子商业包含得更广,不仅包括商务活动,还包括网络营销、物流配送等一系列与商业相关的活动。图1-2电子商务系统组成图电子商务安全就是保护在电子商务系统里的企业或个人资产不受未经授权的访问、使用、篡改或破坏。电子商务安全的六项中心内容商务数据的机密性和保密性商务数据的完整性或正确性商务对象的可认证性商务服务的不可否认性商务服务的不可拒绝性或可用性访问的控制性1.1电子商务安全概念1.1电子商务安全概念电子商务安全中心内容商务数据的机密性或保密性商务数据的完整性或正确性商务对象的可认证性商务服务的不可拒绝性或可用性商务服务的不可否认性访问的控制性图1-1电子商务安全的六项中心内容电子商务安全要处理好的三个关系:安全性与方便性安全性与性能安全性与成本1.2电子商务安全问题补充:电子商务面临的安全问题1.商家面临的安全问题(1)中央系统安全性被破坏(2)竞争者检索商品的销售情况(3)客户资料被竞争者获悉(4)被他人冒名而损害企业的名誉(5)消费者提交订单后不付款2.客户所面临的安全问题(1)虚假订单(2)付款后收不到商品(3)机密性丧失(4)拒绝服务3.银行专用网络所面临的安全问题(1)中断(2)窃听(搭线和电磁泄漏)(3)篡改(4)伪造电子商务安全的架构1.2电子商务安全问题电子商务安全的金字塔架构右图所示。政策、法律监管在金字塔的最底部,是电子商务安全实现的基石;安全技术在金字塔的中部,是电子商务安全实现的核心;审计、监控在金字塔的顶部,是电子商务安全实现的高级形式。政策、法律、守则、管理Internet防火墙授权、认证加密审计、监控电子商务安全金字塔架构图著名的电子商务安全事件1.2电子商务安全问题电子商务网站电子港湾(eBay)和亚马逊(Amazon)遭黑客攻击;蠕虫病毒攻击;日本因特网雅虎个人资料外泄;万事达信用卡集团用户资料外泄等;电子商务的安全隐患1.2电子商务安全问题数据被非法截获、读取或者修改;冒名顶替和否认行为;一个网络的用户未经授权访问了另一个网络;计算机病毒;黑客攻击网页篡改僵尸网络僵尸网络,也称为BotNet,Bot是robot的简写,通常是指可以自动执行预定义的功能,可以被预定义的命令控制,具有一定人工智能的程序。被集中控制、规模达到十万以上节点的计算机群僵尸网络危害:传播病毒木马发起DDoS攻击发送垃圾邮件窃取用户数据用户个人隐私如:身份信息,私人信件往来学术资料,实验数据等EMAIL账号、BBS论坛账号、网银账号、网游帐号等存储违法数据作为跳板从事其它违法行为黑客利用僵尸网络发动DDoS攻击补充:网络仿冒网络仿冒,在国际上通称为“Phishing”,在我国也称为网络欺诈、网页仿冒或者网络钓鱼,它通常是指通过仿冒正规的网站来欺瞒诱骗用户提供各种个人信息,如银行账户和口令等的行为。中国银行www.bank-of-china.com工商银行www.icbc.com电子商务信息服务安全需求★1.3电子商务安全需求电子商务信息服务安全需求实体安全运行安全信息安全环境安全设备安全操作系统安全数据库安全网络安全计算机病毒防护访问控制加密鉴别风险分析审计跟踪媒体安全应急备份与恢复系统实体安全所谓实体安全,是指保护计算机设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染等)破坏的措施、过程。系统实体安全(1)环境安全受灾防护、区域防护(2)设备安全设备防盗、设备防毁、防止电磁信息泄露、防止线路截获、抗电磁干扰、电源保护(3)媒体安全媒体安全、媒体数据安全系统运行安全运行安全是指为保障系统功能的安全实现,提供一套安全措施来保护信息处理过程的安全。系统运行安全(1)风险分析(2)审计跟踪(3)备份与恢复(4)应急系统信息安全所谓信息安全,是指防止信息财产被故意地或偶然地非授权泄漏、更改、破坏或使信息被非法的系统辨识、控制。系统信息安全(1)操作系统安全(2)数据库安全(3)网络安全(4)计算机病毒防护(5)访问控制(6)加密(7)鉴别电子交易的安全需求★1.3电子商务安全需求身份的可认证性信息的保密性信息的完整性可靠性/不可抵赖性审查能力/不可伪造性内部网的严密性术语定义保密性保护机密信息不被非法存取以及信息在传输过程中不被非法窃取完整性防止信息在传输过程中丢失、重复及非法用户对信息的恶意篡改认证性确保交易信息的真实性和交易双方身份的合法性可控性保证系统、数据和服务能由合法人员访问,保证数据的合法使用不可否认性有效防止通信或交易双方对已进行的业务的否认电子商务的安全需求(补充)电子支付安全需求1.3电子商务安全需求电子支付制度电子支付系统隐私外露电子支付工具客户端安全技术1.4电子商务安全技术计算机病毒与木马防范技术操作系统安全技术应用软件安全技术服务器端安全技术1.4电子商务安全技术网络操作系统安全;数据库安全技术;网站安全技术信息传输安全技术黑客的攻击与防范;信息加密技术;防火墙技术与设置电子商务安全问题产生的原因先天原因(全球性开放性和共享性)后天原因管理人技术(漏洞、后门)补充:电子商务安全问题分析1技术措施2管理措施3法律措施补充:电子商务安全的保障1技术措施网络安全检测设备访问设备防火墙浏览器/服务器软件端口保护虚拟专用网(VPN)访问控制补充:电子商务安全的保障数据加密数字认证电子商务认证中心(CA)保护传输线路安全路由选择机制流量控制防入侵措施2管理措施人员管理制度保密制度跟踪、审计、稽核制度系统维护制度数据容灾制度病毒防范制度应急措施补充:电子商务安全的保障3法律措施电脑犯罪立法有关计算机安全的法律、法规有关保护个人隐私的法律、法规有关网络知识产权保护的法律、法规有关电子合同的法律、法规2005年4月1日《中华人民共和国电子签名法》第一部电子商务领域的国家法补充:电子商务安全的保障电子商务安全体系结构的组成:一个完整的电子商务安全体系应由安全基础设施层、加密技术层、安全认证层、安全协议层、交易协议层和应用系统层及电子商务政策法规和安全管理等8个部分组成1.5电子商务安全体系结构电子商务安全的管理架构电子商务安全以安全策略为核心,涉及人、过程和技术三种因素,包括保护、检测、反应及恢复四个环节保护恢复检测响应安全策略人过程技术安全策略安全策略(SecurityPolicy)是实施电子商务系统安全措施及安全管理的指导思想。是指在系统内,用于所有与安全活动相关的一套规则技术因素对电子商务安全的影响最为直接技术包括操作过程和交易过程,应有严格的制度来规范各种操作行为过程电子商务安全涉及的三要素电子商务交易的主体仍然是人,因此人的因素是最重要的人电子商务安全涉及的三个要素电子商务安全防护的模型电子商务安全是在安全策略的指导下,由保护(Protect)、检测(Detect)、响应(React)和恢复(Restore)四个环节组成,简称为PDRR。保护——采用工具、技术保护电子商务系统检测——能实时监控系统的安全状态响应——当攻击正在发生时,能及时做出响应恢复——当攻击发生后,必须有一套机制及时恢复系统的正常工作电子商务安全的基础环境基础环境对电子商务的安全也起保障作用电子商务政策电子商务安全技术标准电子商务法规加强立法,参照先进国家已有的有效法律,不断创新,完善保护电子商务安全和打击网络犯罪的法律保障体系建立相关机构,采取实际措施打击网络犯罪加大对网络安全技术的投入,提高网络安全技术水平鼓励企业加强自我保护,防范网络犯罪侵害加强国际合作,增强全球范围内打击网络犯罪的力度加强对国民的网络安全教育,注重对优秀计算机人才的培养补充:电子商务安全的未来工作思考与练习P14实训了解电子商务安全问题和技术
本文标题:第1章电子商务安全基础
链接地址:https://www.777doc.com/doc-40587 .html