项目六 电子商务安全技术

大连理工大学出版社（第五版）大连理工大学出版社上一页下一页返回目录项目六电子商务安全技术任务一初探电子商务安全需求任务二掌握电子商务安全的相关技术任务三了解电子商务安全管理大连理工大学出版社上一页下一页返回目录项目描述电子商务的发展前景十分广阔，但其安全隐患亦不能忽视。如何建立一个安全、便捷的电子商务应用环境，为信息提供足够的保护，成了商家和用户都十分关心的问题。本项目针对电子商务的安全问题介绍相关的知识点和案例。大连理工大学出版社上一页下一页返回目录任务一初探电子商务安全需求学习目标：【知识目标】了解电子商务安全的现状，掌握电子商务的安全需求，熟悉电子商务安全体系的建设，理解电子商务安全中的角色构成。【技能目标】提高对电子商务平台安全进行分析和判断的能力，能对自己所遇到的电子商务安全问题进行解决。大连理工大学出版社上一页下一页返回目录一、电子商务安全的现状(一)计算机网络安全威胁1.设备的安全问题2.黑客攻击3.计算机病毒的攻击4.拒绝服务攻击5.挂马网站6.网络钓鱼网站的危害7.假网站8.手机病毒大连理工大学出版社上一页下一页返回目录一、电子商务安全的现状(二)商务交易的安全威胁1.开放性2.缺乏安全机制的传输协议3.软件系统的漏洞4.信息电子化5.企业安全漏洞大大连理工大学出版社上一页下一页返回目录一、电子商务安全的现状(三)电子商务的安全问题1.信息泄露2.篡改3.身份识别4.信息破坏5.破坏信息的有效性6.泄露个人隐私大连理工大学出版社上一页下一页返回目录二、电子商务的安全需求保密性鉴别性完整性有效性不可抵赖性个人隐私权的保护大连理工大学出版社上一页下一页返回目录三、电子商务的安全体系结构(1)网络服务层的网络安全技术。(2)通信服务层的信息安全技术。(3)安全认证层的安全认证技术。(4)商务交易层的安全电子交易技术。(5)电子商务应用系统层的管理安全技术。大连理工大学出版社上一页下一页返回目录四、电子商务安全体系的角色构成银行服务商客户认证机构大连理工大学出版社上一页下一页返回目录任务二掌握电子商务安全的相关技术学习目标：[知识目标]了解常见网络安全技术和信息安全技术，掌握账号加密和保护的信息安全技术，掌握防御钓鱼网站的技术，掌握防病毒软件的使用，熟悉电子商务认证技术和电子商务交易技术。【技能目标】提高对电子商务平台安全进行分析和判断的能力，具备对自己所遇到的安全问题进行解决的能力，以及利用电子商务安全技术进行自我防御的能力。大连理工大学出版社上一页下一页返回目录一、网络安全技术(一)操作系统安全1.保护内核2.更安全的网页浏览3.用户账户控制4.强大的Windows防火墙5.WindowsBitLocker磁盘加密功能6.行动中心(ActionCenter)大连理工大学出版社上一页下一页返回目录一、网络安全技术(二)防火墙技术1.实现防火墙的主要技术(1)包过滤防火墙(2)代理服务防火墙(3)应用网关防火墙大连理工大学出版社上一页下一页返回目录一、网络安全技术(二)防火墙技术2.防火墙的主要类型(1)基于IP包过滤器的体系结构(2)双重宿主主机体系结构(3)被屏蔽主机体系结构(4)屏蔽子网体系结构大连理工大学出版社上一页下一页返回目录一、网络安全技术(三)VPN技术1.VPN概述2.实现VPN的安全协议3.VPN的建立4.VPN的应用5.VPN产品选项大连理工大学出版社上一页下一页返回目录一、网络安全技术(四)计算机病毒防范技术1.计算机病毒的概念2.计算机病毒的类型3.计算机病毒的特性4.计算机病毒的预防大连理工大学出版社上一页下一页返回目录一、网络安全技术(五)入侵检测技术1.入侵检测技术2.安全检测评估技术大连理工大学出版社上一页下一页返回目录二、信息安全技术(一)密码学概述明文密文加密解密密钥密码体制大连理工大学出版社上一页下一页返回目录二、信息安全技术(二)对称密钥密码体制1.数据加密标准DES2.对称加密技术的优缺点大连理工大学出版社上一页下一页返回目录二、信息安全技术(三)非对称密钥密码体制1.RSA算法2.公开密钥技术的优缺点大连理工大学出版社上一页下一页返回目录二、信息安全技术(四)PGP加密技术1.PGP的功能加密文件密钥生成密钥管理收发电子函件数字签名认证密钥大连理工大学出版社上一页下一页返回目录二、信息安全技术(四)PGP加密技术2.PGP的工作过程PGP利用随机产生的对称密钥(IDEA算法)对明文加密，然后用RSA算法再对该对称密钥加密。收件人收到邮件后，先用RSA算法解密出这个随机对称密钥，再用IDEA算法解密邮件本身。这样的链式加密既有RSA体系的机密性，又有IDEA算法的快捷性。大连理工大学出版社上一页下一页返回目录三、电子商务认证技术(一)认证技术1.消息认证2.实体认证大连理工大学出版社上一页下一页返回目录三、电子商务认证技术(二)证书机构(1)证书的颁发(2)证书的更新(3)证书的查询(4)证书的作废(5)证书的归档大连理工大学出版社上一页下一页返回目录四、安全电予文易技术(一)SSL协议1.SSL协议提供的基本的安全服务2.SSL协议的实现模型3.SSL的应用大连理工大学出版社上一页下一页返回目录四、安全电予文易技术(二)SET协议1.SET协议中利用的主要技术2.SET协议中所涉及的主要对象3.SET协议的支付模型大连理工大学出版社上一页下一页返回目录四、安全电予文易技术(三)公钥基础设施1.PKI的组成2.国外PKI的应用现状3.国内PKI建设的现状4.PKI的应用前景大连理工大学出版社上一页下一页返回目录任务三了解电子商务安全管理学习目标：【知识目标】了解电子商务安全管理的目的和意义以及电子商务安全管理的原则，了解电子商务安全管理体系，掌握如何建立电子商务安全管理体系。【技能目标】提高分析问题的能力、自学能力、解决实际问题的能力。大连理工大学出版社上一页下一页返回目录一、建立电予商务安全管理体系的作用和意义(1)电子商务安全管理体系的建立将提高员工电子商务安全意识，提升企业电子商务安全管理的水平，增强组织抵御灾难性事件的能力，是企业电子商务化建设中的重要环节，必将大大提高电子商务管理工作的安全性和可靠性，使其更好地服务于企业的业务发展。(2)通过电子商务安全管理体系的建设，可有效提高对电子商务安全风险的管控能力，通过与等级保护、风险评估等工作接续起来，使得电子商务安全管理更加科学有效。(3)电子商务安全管理体系的建立将使企业的管理水平与国际先进水平接轨，从而成长为企业向国际化发展与合作的有力支撑。大连理工大学出版社上一页下一页返回目录一、建立电予商务安全管理体系的作用和意义组织建立、实施与保持电子商务安全管理体系主要有以下几点:(1)强化员工的电子商务安全意识，规范组织电子商务安全行为。(2)对组织的关键信息资产进行全面系统的保护，维持竞争优势。(3)在电子商务系统受到侵袭时，确保业务持续开展并将损失降到最低程度。(4)使组织的生意伙伴和客户对组织充满信心。(5)如果通过体系认证，表明体系符合标准，证明组织有能力保障重要信息，提高组织的知名度与信任度。(6)促使管理层坚持贯彻电子商务安全保障体系。大连理工大学出版社上一页下一页返回目录二、电子商务安全管理体系在电子商务安全管理体系中，管理是非常重要的，所谓“三分技术，七分管理”。但是管理是建立在技术上的，没有技术，无从谈管理。要确保电子商务的安全，还必须建立完善电子法律和法规，严格按照各种法律法规来运作电子商务。单靠一种安全措施，并不能保证电子商务安全，它需要实施多种安全措施，体系结构如图6-14所示。大连理工大学出版社上一页下一页返回目录三、电子商务安全管理原则根据电子商务安全等级，确定电子商务安全管理的范围，分别进行安全管理。对安全等级要求较高的电子商务系统，要实行分区控制，限制工作人员出入与已无关的区域。制定电子商务安全限制和操作规程，如机房出人管理制度、设备管理制度、软件管理制度、系统维护制度、备份制度等;制定严格的操作规程，操作规程要遵循职责分离和多人负责的原则，各负其责，事事有人管，各人不越权。大连理工大学出版社上一页下一页返回目录四、电子商务安全管理实施方案1.电子商务安全管理实施方案策划与准备2.确定电子商务安全管理实施方案适用的范围3.现状调查与风险评估4.建立电子商务安全管理框架5.电子商务安全管理实施方案编写6.电子商务安全管理实施方案的运行与改进大连理工大学出版社上一页下一页返回目录五、电子商务系统安全审计与评恰(一)电子商务系统安全审计1.安全审计的目的利用审计机制可以有针对性地对电子商务运行的状况和过程进行记录、跟踪和审查，以从中发现安全问题。比如，通过跟踪审计，网络管理员不断地收集和积累有关的安全事件并加以分析，有选择地对其中的某些站点或用户进行进一步跟踪审计，以便为可能产生的破坏性行为提供有力的证据。此外审计还能制定网上信息过滤机制，拒绝接受一切来自过滤列表上IP地址的信息，将网上的某些站点产生的垃圾信息拒之门外。大连理工大学出版社上一页下一页返回目录五、电子商务系统安全审计与评恰(一)电子商务系统安全审计2.安全审计的主要功能(1)记录、跟踪系统运行状况。(2)检测各种安全事故。(3)保存、维护和管理审计日志。大连理工大学出版社上一页下一页返回目录五、电子商务系统安全审计与评恰(二)电子商务系统安全评估(1)环境控制，分为实体的环境控制、操作系统的环境控制及管理的环境控制。(2)应用安全，主要内容有:输人输出控制、系统内容控制、责任划分、输出的用途、程序的敏感性和脆弱性、用户满意度等。(3)管理机制，如规章制度、紧急恢复措施、人事制度(如防止工作人员调入、调离对安全的影响)等。(4)远程通信安全，如加密、数据签名等。(5)审计机制，即系统审计跟踪的功能和成效。大连理工大学出版社