电子商务安全管理及技术.pptx

电子商务安全管理及技术.pptx

《电子商务安全管理及技术.pptx》由会员分享，可在线阅读，更多相关《电子商务安全管理及技术.pptx（71页珍藏版）》请在冰豆网上搜索。

汤兵勇教授汤兵勇教授o汤兵勇，1950年3月出生。

东华大学旭日工商管理学院信息管理学科教授、博士生导师。

全国经济数学与管理数学学会第二常务副理事长。

主要研究成果有“社会经济大系统协调发展模型”、“上海市电子商务管理办法”等40余项。

发表“市场经济控制论”、“模糊模型的辨识及应用”等论文200余篇，出版著作10余部o研究方向研究方向:

o经济控制与电子商务o国际交流与合作：

国际交流与合作：

o曾赴加拿大多伦多大学管理学院做访问学者o联系电话：

联系电话：

021-62373937oEMAIL：

第8章电子商务安全管理及技术o一个全方位的电子商务安全管理体系应该从组织上、技术上、管理上以及法律法规等多方面入手，全面采取电子商务安全方法措施，这样才能极大地实现电子商务的安全，保证电子商务交易的顺利进行。

引言：

8.1电子商务安全管理的内容1.1.电子商务安全电子商务安全（11）电子商务安全的内涵）电子商务安全的内涵o电子商务的安全是一个广泛而系统的概念，不仅包含着计算机系统结构、网络通信技术、电子商务应用环境、人员素质等方面的安全，而且还与电子商务立法息息相关。

8.1.1安全管理的原理o电子商务安全从整体上可以分为两大部分：

计算机网络安全和商务交易安全。

o计算机网络安全与电子商务交易安全实际上是密不可分的，两者相辅相成，缺一不可。

（22）电子商务的安全要素）电子商务的安全要素在电子商务交易过程中，交易各方面临的威胁可能有o信息的截获和窃取。

o信息的篡改。

o信息的假冒。

o信息的抵赖。

针对电子商务面临的以上种种威胁，必须采取相应的应对策略，从多方面的电子商务安全要素入手，保证电子商务运行的安全实现。

可靠性。

真实性。

机密性。

完整性。

有效性。

不可抵赖性。

内部网的严密性。

22电子商务安全管理电子商务安全管理（11）电子商务安全管理的概念）电子商务安全管理的概念o电子商务的安全管理，指通过一个完整的综合保障系统，规避电子商务交易过程的风险（信息传输风险、信用风险、管理风险、法律风险、网上支付风险等），以保证网上交易的顺利进行。

电子商务的安全管理要求规避的风险主要有：

电子商务的安全管理要求规避的风险主要有：

o电子商务网络系统自身的安全风险。

o电子商务交易信息传输过程中的风险o电子商务企业内部安全管理风险o电子商务安全法律风险。

o电子商务的信用风险o电子商务安全支付风险（22）电子商务安全与管理）电子商务安全与管理在如何正确看待电子商务的安全与管理时，需要注意几点：

o安全是一个系统的概念。

安全是一个系统的概念。

不仅有技术，还有管理o安全是相对的。

安全是相对的。

不要追求一个永远也攻不破的安全技术。

o安全是有成本和代价的。

安全是有成本和代价的。

如果不直接牵涉到支付等敏感问题，对安全的要求就低一些；反之，就高一些。

o安全是发展的、动态的。

安全是发展的、动态的。

需要不断地检查、评估和调整相应的安全管理策略o一个全方位的电子商务安全管理体系应该从组织上、技术上、管理上以及法律法规等多方面入手，全面采取电子商务安全方法措施o

（1）建立第三方认证机构，组织行业协会制定安全管理标准。

8.1.2安全管理体系o

（2）全面应用电子商务安全技术，构造多重防范措施。

o（3）加强电子商务安全管理，制定安全管理标准。

o（4）电子商务的安全影响国家和社会的稳定，应尽快建立健全电子商务法律法规。

电子商务信用的管理1电子商务信用管理的必要性2电子商务信用管理体系3我国电子商务信用管理现状及相关政策8.1.3电子商务信用的管理11电子商务信用管理的必要性电子商务信用管理的必要性o面对电子商务的蓬勃发展趋势，电子商务交易的信用危机却悄然袭来。

如，虚假交易、假冒行为、合同诈骗、网上拍卖哄抬价等行为屡屡发生，客观上要求规范电子商务交易市场秩序。

o电子商务的经销商们由于不受地域限制，他们往往一开始就在较大范围内进行经营。

而其物流和配送系统并未跟上，这样销售商们常常不能按时交付商品或不能交付质价相符的商品。

o这些现象在很大程度上制约了我国电子商务的快速、健康发展，随着电子商务在全球范围内的兴起，如果不尽快改变这种传统的交易方式，将会失去更多的市场份额和竞争优势。

o因此，必须建立电子商务信用管理体系，对企业和相关商业网站的信用进行评级，验证客户真实身份，同时还应不断收集客户资料，评估和授予信用额度，保障债权，保障应收账款安全和及时回收，为电子商务的发展营造一个较为宽松的信用环境，推动电子商务市场的健康发展，它是企业信用管理体系的重心。

22电子商务信用管理体系电子商务信用管理体系o电子商务中的信用问题电子商务中的信用问题是指电子商务交易过程中因缺乏一定的信任关系而导致电子商务的交易成本上升，使交易复杂化、混乱化，甚至无法正常进行。

o完整的信用管理体系应该包含信用信息采集系统、信用信用信息采集系统、信用评价及查询系统、信用动态跟踪及反馈系统、信用保障评价及查询系统、信用动态跟踪及反馈系统、信用保障系统等系统等子系统。

o目前已有的信用管理模式目前已有的信用管理模式：

a以政府为主体的有“网络公证计划”模式b以企业为主体的有中介人模式c担保人模式d网站经营模式和委托授权模式o电子商务信用保障机制是有效实现其信用管理所必需的，保障机制的存在意义在于加快建设良好的电子商务信用环境，同时推进整个社会信用体系的完善。

33我国电子商务信用管理现状及相关政策我国电子商务信用管理现状及相关政策o目前我国政府也开始重视社会信用体系的建立，陆续出台了相关的法律法规、文件，并鼓励行业协会出台有关的信用标准，推动整个社会经济的良好发展。

o2006-2020年国家信息化发展战略、关于加快电子商务发展的若干意见、强化服务促进中小企业信息化意见o电子商务行业协会、企业网站等也为电子商务行业信用体系的建设不断地努力。

8.2电子商务安全管理标准o首先，制定和实施电子商务安全管理标准是电子商务安全交易的需要。

o其次，制定和实施电子商务安全管理标准是电子商务支付的需要。

o最后，制定和实施电子商务安全管理标准是社会稳定，经济繁荣发展的需要。

8.2.1安全管理标准制定的必要性o电子商务安全管理标准的内容主要有技术标准、安全管理制度及其标准、安全管理法律法规11技术方面的标准规范技术方面的标准规范a.早期措施：

部分告知、另行确认、在线服务b.现在推行：

加密标准。

电子商务安全协议。

数字签名标准。

数字证书标准。

c.信息技术及网络安全标准美国国家安全局官方标准橘皮书我国相关技术标准8.2.2安全管理标准的内容对称密钥加密标准：

DES非对称加密标准：

主要有RSA、DSA、Diffie-Hellman、PGP等主要用于保证电子商务中数据的保密性、完整性、真实性和不可抵赖性可以采用的协议有：

安全超文本传输协议（STTP）安全套接层（SecureSocketsLayer，SSL）安全交易技术协议（SecureTransactionTechnology，STT）安全电子交易协议（SET）是一个经过授权中心（CA）数字签名的、包含证书申请者（公开密钥拥有者）个人信息及其公开密钥的文件。

22电子商务安全管理制度及其标准电子商务安全管理制度及其标准（11）电子商务安全管理制度）电子商务安全管理制度是使用文字和图表的形式对各项安全要求所做的规定，主要包括：

人员管理制度。

保密制度。

跟踪、审计、稽核制度。

设备管理。

用户管理。

病毒防范。

应急措施（即灾难恢复）（22）电子商务信用管理标准）电子商务信用管理标准o行业标准o信用标准33电子商务安全管理法律、法规、国家政策电子商务安全管理法律、法规、国家政策o目前，已有50多个包括国际组织、国家和地区制定了电子商务法或相应的标准。

o我国也出台了许多有关互联网络安全、电子商务交易管理以及电子信息效力的法律法规和指导意见，如：

中华人们共和国电子签名法商务部关于促进电子商务规范发展的意见中国国际经济贸易仲裁委员网上仲裁规则o安全协议安全协议是指由两个或两个以上的参与者，为完成某项特定的安全任务而采取的一系列步骤。

o电子商务中常用的安全协议电子商务中常用的安全协议有SSL协议、SET协议S-HTTP协议、FirstVirtual协议、支票支付协议、现金支付协议、安全电子邮件协议、InternetEDI协议、以及STT协议等。

8.2.3电子商务安全协议11SSLSSL（SecureSocketLayerSecureSocketLayer）协议）协议SSL（安全套接层）协议是一个用来保证安全传输文件的协议o它主要是使用公开密钥体制和X.509数字证书技术保护信保护信息传输的机密性和完整性息传输的机密性和完整性，但它不保证信息的不可抵赖性o主要适用于点对点之间的信息传输。

用应层协议（HTTP、Telnet、FTP、SMTP等）SSL握手协议SSL更改密码说明协议SSL警告协议用据应数协议SSLRecordProtocolSSL记录协议TCPIP

（1）SSL协议体系结构重要概念：

SSL连接（Connection）SSL会话（Session）服务类型作用服务器认证通过服务器具有的特定密钥实现客户机对服务器的认证客户认证确信客户具有合法的信用卡号，客户认证为可选项通信的完整性防止黑客修改通信的保密性支持加密和解密（22）SSLSSL协议提供的安全服务协议提供的安全服务（44）SSLSSL存在的问题存在的问题o存在被攻击修改的可能o使用复杂的数学公式，高强度的计算会使服务器停顿o在电子商务系统的应用中存在很多弊端22SETSET（SecureElectronicTransactionSecureElectronicTransaction）协议）协议o是一种基于银行卡而进行的为电子交易提供安全措施的规则，能广泛应用于因特网的安全电子支付协议o采用公钥密码体制和X.509数字证书标准（11）SETSET协议的主要目标协议的主要目标o保证电子商务参与者信息的相互隔离。

o保证信息在因特网上安全传输，防止数据被黑客或被内部人员窃取。

o解决多方认证问题。

o保证网上交易的实时性，使所有的支付过程都是在线的。

o提供一个开放式的标准，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可运行在不同的硬件和操作系统平台上。

（22）SETSET系统的构成系统的构成o持卡人（Cardholder）o商家（Merchant）。

o发卡机构（Issuer）o收单银行（Acquirer）o支付网关（PaymentGateway）o认证中心（CertificationAuthority）双方通过网络协商Internet支付网络Paymentnetwork持卡人Cardholder发卡机构Issuer收单银行Acquirer认证中心CertificateAuthority购买请求支付授权请求商家MerchantInternet支付网关Paymentgateway（33）SETSET协议的运行过程协议的运行过程综合来看，SET协议规定运行过程分为以下3个阶段o购买请求阶段o支付确认阶段o收款阶段（44）SETSET与与SSLSSL协议的比较协议的比较同SSL相比，SET有这样一些区别：

o首先，SET对商家提供了保护自己的手段，使商务免受欺诈的困扰，并且SET向消费者保证了商家的合法性，保证用户的信用卡号不会被窃取。

而SSL相对不安全。

o其次，SET是一个多方的报文协议，而SSL只是简单地在两方之间建立一条安全连接。

SSL是面向连接的，而SET允许各方之间报文的交换不是实时的。

o使用SET比SSL昂贵得多。

o最后，SET提供了比SSL更完整的用于电子商务的卡支付系统，它定义了各方的互操作接口，从而有效地降低了金融风险。

8.3电子商务安全管理技术现阶段常用的几种电子商务安全管理技术：

1.1.加密技术加密技术明文密文加密解密密钥2.2.认证技术认证技术

（1）身份认证

（2）数字签名（3）数字时间戳与数字信封8.3.1安全管理技术概述身份认证就是在电子商务交易过程中，判明和确认贸易参与者的真实身份。

主要有：

基于密码的认证方式、基于生物特征的认证方式、基于一次性口令的认证方式、基于USBKey的认证方式数字时间戳是用来证明消息的收发时间。

数字信封是用加密技术来保证只有特定的收信人才能阅读通信的内容。

o数字证书是一个担保个人、计算机系统或者组织的身份和密钥所有权的电子文档，它是由一个权威机构发行的，人们可以在交往中用它来识别对方的身份。

o数字证书采用公钥体制o数字证书的内容数字证书的内容：

（4）数字证书申请者信息颁发者信息证书序列号（类似于身份证号码）颁发者名称证书主题（即证书所有人的名称）颁发者的数字签名（类似于身份证上公安机关的公章）证书的有效期限签名所使用的算法证书所有人的公开密钥（55）认证中心）认证中心o认证中心的功能主要是对数字证书进行管理，即负责证书的申请、审批、发放、归档、撤销、更新和废止等管理。

o电子商务CA认证体系包括两大部分SETCA认证体系PKICA认证体系33防火墙技术防火墙技术o防火墙是加强Internet和Intranet之间安全防范的、由硬件设备和软件系统组成的、在外部网和内部网之间的界面上构成的保护层。

o防火墙作为网络间实施网间访问控制的一组组件的集合，应满足以下基本条件：

第一，内部网络和外部网络之间的所有数据流必须经过防火墙；第二，只有符合安全策略的数据流才能通过防火墙第三，防火墙自身具有高可靠性，应对渗透（Penetration）免疫o防火墙基本的安全保护规则o防火墙的功能o防火墙的分类o防火墙的体系结构o防火墙的实现第一，一切未被允许的就是禁止的第二，一切未被禁止的就是允许的一般来说，防火墙的基本类型有三种：

网络级防火墙、应用级防火墙和复合型防火墙。

目前防火墙主要有三种常见的体系结构：

双宿/多宿主机（Dual-homed/Multi-homed）模式、被屏蔽主机（ScreenedHost）模式被屏蔽子网（ScreenedSubnet）模式44入侵检测安全技术入侵检测安全技术（11）入侵检测技术的作用）入侵检测技术的作用（22）入侵检测系统的主要类型）入侵检测系统的主要类型o基于主机的入侵检测系统o基于网络的入侵检测系统（33）入侵检测技术发展趋势）入侵检测技术发展趋势o分布式入侵检测o智能化入侵检测o网络安全技术相结合55病毒防范技术病毒防范技术o病毒防范的具体措施应该包括如下内容：

预防备份检测隔离慎重o电子商务中的安全机制主要是指三个方面：

数字证书完成交易方的身份鉴别问题。

数字签名确定交易的不可否认性，数字信封解决交易数据的保密问题o电子商务安全体系结构由网络服务层、加密技术层、安全认证层、安全协议层、应用系统层5个层次组成8.3.2电子商务安全机制保密性完整性匿名性可靠性有效性原子性不可否认性应用系统层防火墙、漏洞扫描、入侵检测、反病毒、加密、网络服务层对称加密、非对称加密、hash函数、加密技术层CA证书、数字证书、数字签名、数字信封、安全认证层SET协议、SSL协议、安全协议层支付型业务系统、非支付型业务系统1.1.网络服务层网络服务层o.构成电子商务安全系统结构的底层是网络服务层。

o.网络服务层是各种电子商务应用系统的基础，提供信息传送的载体和用户接入手段及安全通信服务，保证网络最基本的运行安全。

o.采用防火墙、加密、漏洞扫描、入侵检测、反病毒和安全审计技术等，用以保证计算机网络自身的安全。

2.2.技术加密层技术加密层o电子商务安全性所依赖的基础是密码学。

o技术加密层主要采用对称加密体制（可采用数据加密标准DES、高级加密标准AES等）和公钥密码体制（可采用RSA算法、混合密码系统）。

3.3.安全认证层安全认证层o在开放的网络环境中开展电子商务活动，除了要认证买卖双方的实体身份和验证电子交易过程中的数据是否真实完整，还要保证交易双方的不可抵赖性。

安全认证的关键技术包括报文摘要和数字签名。

4.4.安全协议层安全协议层o电子商务的运行需要一套完整的安全协议。

目前，比较成熟的协议有安全套接层协议SSL、安全电子交易协议SET、Netbill和匿名原子交易协议等。

5.5.应用系统层应用系统层o电子商务业务系统包括支付型系统支付型系统和非支付非支付型系统型系统。

电子商务业务系统中主要是支付型业务系统，而支付型业务系统可分为SET和非SET两类。

o支付系统通常涉及资金的转移，通过支付网关构架在电子商务基础平台之上，以其提供的各种安全服务为前提，为支付型电子商务业务系统提供各种安全的支付手段。

o非支付型业务系统直接架构在电子商务基础平台之上，使用这一层提供的各种认证手段和安全技术为最终用户提供安全的电子商务服务。

o1.1.数据加密技术数据加密技术o数据加密的一般模型8.3.3数据加密与数字签名发送者A接收者B明文m明文m=D（c）密钥k密文c=E（m）密钥k加密解密（11）对称密钥密码体系）对称密钥密码体系对称加密示意图加密解密AB密钥明文密文明文o对称密钥密码体系的安全性o对称加密方式的速度o对称加密得到的密文是紧凑的o进行安全通信前需要以安全方式进行密钥交换这种加密方式的特点：

o对称加密方式中密钥的分发与管理o对称密钥密码技术不适合于数字签名和不可抵赖性。

o常见的对称加密算法有DES、AES和IDEA（22）非对称密钥密码体系）非对称密钥密码体系非对称加密示意图加密解密ABB的公钥明文密文明文B的私钥o非对称密钥密码体系的安全性。

o不必发送密钥给接受者，所以不必担心密钥被中途拦截的问题。

o非对称加密方式的速度。

o非对称加密方式中密钥的分发与管理。

这种加密方式的特点有：

o非对称加密会导致得到的密文变长。

o非对称加密技术不需要事先在各参与各方之间建立关系以交换密钥，且支持数字签名。

o常见的非对称加密算法是RSA算法。

2.2.数字签名数字签名（11）数字签名的含义）数字签名的含义o“指在数据电文中以电子形式所含、所附或在逻辑上与数据电文有联系的数据，它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息”o我国在2004年8月28日正式通过了中华人民共和国电子签名法o数字签名的过程初始文件文件正确一致信息摘要信息摘要初始文件数字签名加密文件加密文件签名文件初始文件数字签名信息摘要发送方私钥发送方公钥接收方的公钥接收方私钥散列算法散列算法密文传输Thankyou!