电子商务概论课件之系统安全

第三章电子商务系统的安全第一节电子商务系统安全问题概述一、电子商务系统安全性的基本概念凡是涉及到计算机网络的安全问题无疑对于电子商务都有着重要的意义。1、物理安全：是指保护计算机主机硬件和物理线路的安全，保证其身的可靠性和为系统提供基本安全机制。2、网络安全地：指网络层面的安全。3、系统软件安全：是指保护软件和资料免遭偶发的或有意的非授权泄露、修改、破坏和非法复制。4、人员管理安全：雇员的素质、敏感岗位的身份识别、安全培训和安全检查等人员管理安全问题就成为电子商务系统安全问题的一个重要环节。5、电子商务安全立法二、电子商务系统的安全控制要求电子商务发展的核心和关键问题是交易的安全性。1、有效性2、保密性3、完整性：贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是电子商务应用的基础。4、交易者身份的确定性：方便而可靠地确认对方身份是交易的前提。5、不可否认性6、不可修改性7、合法性三、危害电子商务系统安全性的主要因素1、网络硬件的不安全因素：（1）通讯监视（2）非法终端（3）注入非法信息（4）线路干扰（5）运行中断（6）服务干扰（7）病毒入侵网络硬件的安全令人担忧，通过通讯线路和交换系统互连的网络是窃密者、非法分子威胁的目标。2、网络软件的不安全因素：（1）操作系统（2）网络协议（3）网络软件（网络软件的隐患及软件操作上的失误都有可能导致交易信息传递的丢失与谬误）3、工作人员的不安全因素4、交易信用的风险因素：（1）来自买方的信用风险（2）来自卖方的信用风险。（3）买卖双方都存在抵赖的情况。5、计算机病毒和黑客攻击6、法律方面的风险因素7、环境的不安全因素第二节电子商务系统网络安全管理基本对策一、技术对策1、设置虚拟专用网2、保护传输线路安全3、采用端口保护设备4、使用安全访问设备5、路由选择机制6、隐蔽信道7、防火墙8、信息加密机制9、访问控制10、鉴别机制11、数据完整性机制12、审计追踪机制13、入侵检测机制二、管理对策1、人员管理制度：（1）严格网络营销人员选拔（2）落实工作责任制（3）贯彻电子商务安全动作基本原则2、保密制度：绝密级、机密级、秘密级（密钥需要定期更换，否则可能使“黑客”通过积累密文增加破译机会。3、跟踪、审计、稽核制度4、网络系统的日常维护制度：（1）硬件的日常管理和维护（2）软件5、数据备份和应急措施：（1）瞬时复制技术（2）远程磁盘镜像技术（3）数据库恢复技术6、抗病毒三、构造电子商务交易安全的综合保障体系1、组织力量研究2、尽快建立与安全电子交易相对应的国家电子商务认证中心3、强化电子商务交易市场管理，规范买卖双方和中介方的交易行为4、尽快完善电子商务交易的法律支规第三节电子商务安全手段一、电子商务系统防火墙1、防火墙的基本概念防火墙是指一个由软件系统和硬件设备组合而成的，在内部网和外部网之间的界面上构造的保护屏障。2、电子商务系统防火墙的功能3、防火墙的组成：包括安全操作系统、过滤器、网关、域名服务和E-mail处理5个部分。4、防火墙的类型：包过滤型、代理服务型、复合型、双端主机、屏蔽主机、加密路由器、电路级、规则检查、病毒防火墙5、防火墙的局限性二、电子商务信息加密1、有关信息加密技术的基本概念（1）加密和解密加密是指采用数学方法对原始信息(称为“明文”）进行再组织，使它成为一种不可理解的形式，这种不可理解的内容叫做密文。解密是加密的逆过程，即将密文还原成原来可理解的形式。（2）算法和密钥算法是加密或解密的一步一步的过程。在这个过程中需要一串数字，这个数字就是密钥。（3）密钥的长度：是指密钥的位数。位数越长，加密系统就越牢固。2、电子商务信息的加密技术（1）对称加密：对信息的加密和解密都使用相同的密钥。数据加密标准（DES）由美国国家标准局提出，是目前广泛采用的对称加密方式之一，主要应用于银行业中的电子资金转账（EFT）领域。（2）非对称加密：密钥被分解为一对，即一把公开密钥和一把专用密钥。3、加密技术的不足之处三、电子商务数字签名数字签字是实现认证的重要工具。它是通过用密码算法对数据进行加、解密交换实现的。四、电子商务身份认证1、电子商务身份认证的必要性是判明和确认贸易双方真实身份的重要环节。2、电子商务身份认证的目标：（1）可信性（2）完整性（3）不可抵赖性（4）访问控制3、电子商务身份认证的基本方式（1）人体生物学特征方式（2）口令方式（3）标记方式：标记是一种用户所持有的某个秘密信息（硬件），标记上记录着用于机器识别的个人信息。五、电子商务数字时间戳在电子交易中，同样需要对交易文件的日期和事件信息采取安全措施，而数字时间戳服务就能提供电子文件发表时间的安全保护。六、电子商务数字证书1、认证机构一个权威机构对密钥进行有效的管理，颁发证书证明密钥的有效性，将公开密钥同某一个实体联系在一起。这种机构就称为“认证机构”。认证机构发放的证书分为两类：SSL证书和SET证书。SSL（安全套接层）证书是服务于银行对企业或企业对企业的电子商务活动的。而SET（安全电子交易）证书则服务于持卡消费、网上购物。2、证书及数字证书(1)证书：持卡人证书、商家证书（2）数字证书3、证书的树形验证结构第四节计算机病毒及网络黑客的防范一、计算机网络病毒的类型、危害与防范1、计算机网络病毒的类型按广义分：蠕虫、逻辑炸弹、特洛伊木马、陷井入口、核心大战2、计算机网络病毒的危害分为对计算机网络的危害和对微型计算机的危害3、计算机病毒的防范（1）给自己的电脑安装防病毒软件（2）认真执行病毒定期清理制度（3）控制权限（4）高度警惕网络陷阱（5）不打开陌生地址的电子邮件二、网络黑客及其防范1、黑客的基本概念2、黑客例证