电子商务的安全管理.ppt

电子商务 沈阳理工大学经济管理学院,第一篇 电子商务原理（介绍电子商务的基本概念以及重要性） 第一章 电子商务概述 第二章 电子商务系统概述 第三章 电子商务与企业竞争优势 第四章 电子商务环境 第二篇 电子商务系统（介绍电子商务系统如何实现网上交易） 第五章 电子商务系统的技术基础 第六章 电子商务网站的建设 第七章 电子支付系统 第八章 电子商务物流 第九章 电子商务的安全管理 第三篇 电子商务应用 （介绍电子商务应用的基础） 第十章 网络商务信息处理 第十一章 网络市场营销策略 第四篇 电子商务实现（介绍目前流行的各种电子商务模式的经营与管理） 第十二章 B2C电子商务应用 第十三章 C2C电子商务应用 第十四章 B2B电子商务应用 第十五章 其他电子商务应用,第一篇 电子商务原理（介绍电子商务的基本概念以及重要性） 第一章 电子商务概述 第二章 电子商务系统概述 第二篇 电子商务系统（介绍电子商务系统如何实现网上交易） 第五章 电子商务系统的技术基础 第六章 电子商务网站的建设 第七章 电子支付系统 第八章 电子商务物流 第九章 电子商务的安全管理 第三篇 电子商务应用 （介绍电子商务应用的基础） 第四篇 电子商务实现（介绍目前流行的各种电子商务模式的经营与管理）,第九章 电子商务的安全管理,第一节 电子商务的安全问题及要求 第二节 电子商务安全技术 第三节 电子商务安全制度 第四节 防止非法入侵,企业利用电子商务面临的最重要问题就是安全问题， 保证安全是进行网上交易的基础和保障。 电子商务的安全问题是一个系统性问题，需要从技术 上，管理上和法律上来综合建设和完善安全保障体系。,第一节 电子商务的安全问题及要求,电子商务的安全问题 （一）电子商务交易带来的安全威胁 （二）电子商务的安全风险来源 电子商务的安全要求 （一）有效性 （二）机密性 （三）完整性 （四）真实性和不可抵赖性的鉴别 电子商务安全管理思路,第二节 电子商务安全技术,交易方自身网络安全保障技术 （一）用户账号管理和网络杀毒技术 （二）防火墙技术 （三）虚拟专用技术 （四）入侵检测技术 电子商务信息传输安全保障技术 （一）加密技术 （二）数字摘要技术 身份和信息认证技术 （一）身份认证 （二）信息认证 （三）通过认证机构认证 电子商务安全支付技术 （一）SSL安全协议 （二）SET安全协议,第三节 电子商务安全制度,安全管理制度 （一）人员管理制度 （二）保密制度 （三）跟踪、审计、稽核制度 （四）系统维护制度 （五）病毒防范制度 法律制度 （一）美国保证电子商务安全的相关法律 （二）我国保证电子商务安全的相关法律,第四节 防止非法入侵,网络“黑客”常用的攻击手段 （一）“黑客”的概念 （二）“黑客”的攻击手段 防范非法入侵的技术措施 （一）网络安全检查设备 （二）访问设备 （三）防火墙 （四）安全工具包/软件,第一节 电子商务的安全问题及要求,电子商务的安全问题 （一）电子商务交易带来的安全威胁 （二）电子商务的安全风险来源 电子商务的安全要求 （一）有效性 （二）机密性 （三）完整性 （四）真实性和不可抵赖性的鉴别 电子商务安全管理思路,第一节 电子商务的安全问题及要求,电子商务的安全问题 （一）电子商务交易带来的安全威胁 （二）电子商务的安全风险来源 电子商务的安全要求 （一）有效性 （二）机密性 （三）完整性 （四）真实性和不可抵赖性的鉴别 电子商务安全管理思路,第一节 电子商务的安全问题及要求,电子商务的安全问题 （一）电子商务交易带来的安全威胁 1. 销售者面临的威胁 2. 购买者面临的威胁 （二）电子商务的安全风险来源 1. 网络系统自身的安全风险 2. 信息传输风险 3. 信用风险 4. 管理风险 5. 法律风险,第一节 电子商务的安全问题及要求,电子商务的安全问题 （一）电子商务交易带来的安全威胁 （二）电子商务的安全风险来源,第一节 电子商务的安全问题及要求,电子商务的安全问题 （一）电子商务交易带来的安全威胁 在传统交易过程中，买卖双方是面对面的，很容易保证交易过程的安全性和建立起信任关系。 但是在电子商务过程中，买卖双方通过网络来联系，建立交易双方的安全和信任关系相当困难。 因此，在电子商务交易双方都面临着安全威胁。 1. 销售者面临的威胁 2. 购买者面临的威胁,第一节 电子商务的安全问题及要求,电子商务的安全问题 （一）电子商务交易带来的安全威胁 1. 销售者面临的威胁 （1）中央系统安全性被破坏 （2）竞争者检索商品递送状况 （3）系统中存储的客户资料被竞争者窃取。 （4）被他人假冒而损害企业的信誉。 （5）消费者提交订单后不付款。 （6）竞争对手提交虚假订单。 （7）被他人试探，丢失商业机密。,入侵者假冒成合法用户来改变用户数据（如商品的送达地址）、解除用户订单或生产虚假订单。 有时恶意入侵者在一个很短的时间内以大量的电子邮件配合，针对银行或电子商务网站进行攻击，声称这个网站“正在维护中，请从这里访问您的账户”。,恶意竞争者以他人的名义来订购商品，从而了解有关商品的递送状况和货物的库存情况。,不诚实的人建立于销售者服务器名字相同的另一个服务器来假冒销售者。,第一节 电子商务的安全问题及要求,电子商务的安全问题 （一）电子商务交易带来的安全威胁 2. 购买者面临的威胁 （1）虚假订单 （2）付款后不能收到商品 （3）丢失机密 （4）拒绝服务,假冒者可能会以客户的名义来订购商品，而客户却被要求付款或返还商品。,在要求客户付款后，销售商中的内部人员不将订单和钱转发给执行部门，因而使客户不能收到商品。,用户在佯装的网页上将密码的个人数据发送给冒充销售商的机构，这些信息业可能会在传递过程中被窃取。,恶意攻击者可能向销售商的服务器发送大量的虚假订单来穷竭它的资源，从而使合法用户不能得到正常的服务,第一节 电子商务的安全问题及要求,电子商务的安全问题 （一）电子商务交易带来的安全威胁 （二）电子商务的安全风险来源,第一节 电子商务的安全问题及要求,电子商务的安全问题 （一）电子商务交易带来的安全威胁 （二）电子商务的安全风险来源,第一节 电子商务的安全问题及要求,电子商务的安全问题 （二）电子商务的安全风险来源 1. 网络系统自身的安全风险 2. 信息传输风险 3. 信用风险 4. 管理风险 5. 法律风险,第一节 电子商务的安全问题及要求,电子商务的安全问题 （二）电子商务的安全风险来源 1. 网络系统自身 的安全风险 2. 信息传输风险 3. 信用风险 4. 管理风险 5. 法律风险,第一节 电子商务的安全问题及要求,电子商务的安全问题 （二）电子商务的安全风险来源 1. 网络系统自身的安全风险 2. 信息传输风险 3. 信用风险 4. 管理风险 5. 法律风险,1）设备故障 2）电源故障：丢失数据、损坏硬件 3）电磁泄漏导致信息失密 4）搭线窃听 5）自然灾害,第一节 电子商务的安全问题及要求,电子商务的安全问题 （二）电子商务的安全风险来源 1. 网络系统自身的安全风险 2. 信息传输风险 3. 信用风险 4. 管理风险 5. 法律风险,网络软件的漏洞和“后门”是进行网络 攻击的首选目标。 应该及时安装补丁程序。,第一节 电子商务的安全问题及要求,电子商务的安全问题 （二）电子商务的安全风险来源 1. 网络系统自身的安全风险 2. 信息传输风险 3. 信用风险 4. 管理风险 5. 法律风险,网络服务是通过各种各样的协议完成 的，协议的安全性是网络安全的一个重要 方面。如果网络通信协议存在安全上的缺 陷，攻击者不必攻破密码体制即可获得所 要的信息和服务。,第一节 电子商务的安全问题及要求,电子商务的安全问题 （二）电子商务的安全风险来源 1. 网络系统自身的安全风险 2. 信息传输风险 3. 信用风险 4. 管理风险 5. 法律风险,黑客攻击无孔不无，目前已成为个人、 企业和政府机构在互联网所面临的重大威 胁。 黑客会造成大量网站不能正常运营。,第一节 电子商务的安全问题及要求,电子商务的安全问题 （二）电子商务的安全风险来源 1. 网络系统自身的安全风险 2. 信息传输风险 3. 信用风险 4. 管理风险 5. 法律风险,计算机病毒是编制或者在计算机程序 中插入的破坏计算机功能或者毁坏数据， 影响计算机使用，并且能自我复制的一组 计算机指令或程度代码。 “浏览器配置被修改”、“密码被盗”。,第一节 电子商务的安全问题及要求,电子商务的安全问题 （二）电子商务的安全风险来源 1. 网络系统自身的安全风险 2. 信息传输风险 3. 信用风险 4. 管理风险 5. 法律风险,如“黑客”为了获取重要的商业机密、 资源和信息，常采用源IP地址欺骗攻击。,信息传输风险是指进行网上交易时，因传输的信息失 真或者信息被非法地窃取、篡改和丢失，而导致网上交易 的不必要损失。,第一节 电子商务的安全问题及要求,电子商务的安全问题 （二）电子商务的安全风险来源 1. 网络系统自身的安全风险 2. 信息传输风险 3. 信用风险 4. 管理风险 5. 法律风险,攻击者未经授权进入网络交易系统， 使用非法手段，删除、修改、重发某些重 要信息，破坏数据的完整性，损害他人的 经济利益，或干扰对方的正确决策，造成 网上交易的信息传输风险。,第一节 电子商务的安全问题及要求,电子商务的安全问题 （二）电子商务的安全风险来源 1. 网络系统自身的安全风险 2. 信息传输风险 3. 信用风险 4. 管理风险 5. 法律风险,交易信息的丢失，可能有三种情况： 一是因为线路问题造成信息丢失； 二是因为安全措施不当而丢失信息； 三是在不同的操作平台上转换操作不 当而丢失数据。,第一节 电子商务的安全问题及要求,电子商务的安全问题 （二）电子商务的安全风险来源 1. 网络系统自身的安全风险 2. 信息传输风险 3. 信用风险 4. 管理风险 5. 法律风险,信息在网上传递时，要经过多个环节 和渠道，许多因素可能会影响到数据的真 实性和完整性。,第一节 电子商务的安全问题及要求,电子商务的安全问题 （二）电子商务的安全风险来源 1. 网络系统自身的安全风险 2. 信息传输风险 3. 信用风险 4. 管理风险 5. 法律风险,用户以合法身份进入系统后，可能发 布虚假的供求信息，或以过期的信息冒充 现在的信息，以骗取对方的钱款或货物。,第一节 电子商务的安全问题及要求,电子商务的安全问题 （二）电子商务的安全风险来源 1. 网络系统自身的安全风险 2. 信息传输风险 3. 信用风险 4. 管理风险 5. 法律风险,第一节 电子商务的安全问题及要求,电子商务的安全问题 （二）电子商务的安全风险来源 1. 网络系统自身的安全风险 2. 信息传输风险 3. 信用风险 4. 管理风险 5. 法律风险,电子商务与传统交易的比较： 1）信息传递和保存的介质：网上&纸上 2）信息接触面：多&少 3）篡改痕迹方面：不留&留有痕迹,第一节 电子商务的安全问题及要求,电子商务的安全问题 （二）电子商务的安全风险来源 1. 网络系统自身的安全风险 2. 信息传输风险 3. 信用风险 4. 管理风险 5. 法律风险,使用信用卡进行恶意透支，或使用伪 造信用卡骗取货物；拖延货款。,第一节 电子商务的安全问题及要求,电子商务的安全问题 （二）电子商务的安全风险来源 1. 网络系统自身的安全风险 2. 信息传输风险 3. 信用风险 4. 管理风险 5. 法律风险,卖方不能按质、按量、按时寄送消费者 购买的货物。,第一节 电子商务的安全问题及要求,电子商务的安全问题 （二）电子商务的安全风险来源 1. 网络系统自身的安全风险 2. 信息传输风险 3. 信用风险 4. 管理风险 5. 法律风险,网上交易双方必须有良好的信用，而且 有一套有效的信用机制降低信用风险。,第一节 电子商务的安全问题及要求,电子商务的安全问题 （二）电子商务的安全风险来源 1. 网络系统自身的安全风险 2. 信息传输风险 3. 信用风险 4. 管理风险 5. 法律风险,在网络商品中介交易的过程中，客户进入交易 中介中心，买卖双方签订合同，交易中心不仅要监 督买方按时付款，还要监督卖方按时提供符合合同 要求的货物。 在这些环节上，存在大量管理问题，管理不善 会造成巨大的潜在风险。为防止此类风险，需要有 完善的制度设计，形成一套相互关联、相互制约的 制度。,第一节 电子商务的安全问题及要求,电子商务的安全问题 （二）电子商务的安全风险来源 1. 网络系统自身的安全风险 2. 信息传输风险 3. 信用风险 4. 管理风险 5. 法律风险,人员管理常常是网上交易安全管理上的最薄弱 的环节；内部犯罪现象明显， 工作人员职业道德修 养不高，安全教育和管理松懈。 一些竞争对手还利用企业招募新人的方式潜入 该企业，或利用不正当的方式收买企业网络交易管 理人员，窃取企业的用户识别码、密码、传递方式 以及相关的机密文件资料。,第一节 电子商务的安全问题及要求,电子商务的安全问题 （二）电子商务的安全风险来源 1. 网络系统自身的安全风险 2. 信息传输风险 3. 信用风险 4. 管理风险 5. 法律风险,有些操作系统中的某些用户是无口令的，如匿 名FTP，利用远程登录（Telnet）命令登录的这些无 口令用户，有可能恶意地把自己升级为超级用户。,第一节 电子商务的安全问题及要求,电子商务的安全问题 （二）电子商务的安全风险来源 1. 网络系统自身的安全风险 2. 信息传输风险 3. 信用风险 4. 管理风险 5. 法律风险,在网上交易可能会承担由于法律滞后， 即目前尚没有相关法律进行规范，因而无 法保证合法交易的权益所造成的风险。,第一节 电子商务的安全问题及要求,电子商务的安全问题 （二）电子商务的安全风险来源 1. 网络系统自身的安全风险 2. 信息传输风险 3. 信用风险 4. 管理风险 5. 法律风险,在网上交易可能承担由于法律的事后 完善所带来的风险，即在原来法律条文没 有明确规定下而进行的网上交易，在后来 颁布新的法律条文下属于违法经营所造成 的损失。如，证券交易的主体的规定。,第一节 电子商务的安全问题及要求,电子商务的安全问题 （二）电子商务的安全风险来源 1. 网络系统自身的安全风险 2. 信息传输风险 3. 信用风险 4. 管理风险 5. 法律风险,第一节 电子商务的安全问题及要求,电子商务的安全问题 （一）电子商务交易带来的安全威胁 （二）电子商务的安全风险来源 电子商务的安全要求 （一）有效性 （二）机密性 （三）完整性 （四）真实性和不可抵赖性的鉴别 电子商务安全管理思路,第一节 电子商务的安全问题及要求,电子商务的安全要求 （一）有效性 （二）机密性 （三）完整性 （四）真实性和不可抵赖性的鉴别,第一节 电子商务的安全问题及要求,电子商务的安全要求 电子商务发展的核心和关键问题是交易的安全性。由于Internet本身的开放性，使网上交易面临了种种危险，由此提出了相应的安全控制要求。 （一）有效性 （二）机密性 （三）完整性 （四）真实性和不可抵赖性的鉴别,第一节 电子商务的安全问题及要求,电子商务的安全要求,电子商务以电子形式取代了纸张，要对网络故障、操作 失误、应用程序错误、硬件故障、系统软件错误及计算机病 毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确 定的时间、确定的地点是有效的。,第一节 电子商务的安全问题及要求,电子商务的安全要求,数据篡改,第一节 电子商务的安全问题及要求,电子商务的安全要求,作为贸易的一种手段，电子商务的信息直接代表着个人、 企业或国家的商业机密。电子商务是建立在一个较为开放的 网络环境上的，维护商业机密是电子商务全面推广应用的重 要保障。因此，要预防非法的信息存取和信息在传输过程中 被非法窃取。,第一节 电子商务的安全问题及要求,电子商务的安全要求,第一节 电子商务的安全问题及要求,电子商务的安全要求,电子商务简化了贸易过程，减少了人为的干预，同时也 带来维护贸易各方商业信息的完整、统一的问题。贸易各方 信息的完整性将影响到贸易各方的交易和经营策略，保持贸 易各方信息的完整性是电子商务应用的基础。因此，要预防 对信息的随意生产、修改和删除，同时要防止数据传送过程 中信息的丢失和重复。,第一节 电子商务的安全问题及要求,电子商务的安全要求,要在交易信息的传输过程中为参与交易的个人、企业或 国家甚至是交易信息本身提供可靠的标识，如电子签名、时 间戳等。,第一节 电子商务的安全问题及要求,电子商务的安全要求,第一节 电子商务的安全问题及要求,电子商务的安全问题 （一）电子商务交易带来的安全威胁 （二）电子商务的安全风险来源 电子商务的安全要求 （一）有效性 （二）机密性 （三）完整性 （四）真实性和不可抵赖性的鉴别 电子商务安全管理思路,第一节 电子商务的安全问题及要求,电子商务安全管理思路 网上交易安全管理，应采用综合防范的思路，从技术、管理、法律等方面建立一个完整的网络交易安全体系。 （1）技术方面：防火墙技术、网络防毒等。 （2）加强监管：建立各种有关的合理制度，并严格监督。 （3）社会的法律政策与法律保障：尽快出台和完善相关的法律制度，严惩破坏合法网上交易权益的行为。,电子商务的安全管理，就是通过一个完整的综合 保障体系，规避各种风险，以保证网上交易的顺利进 行。 无论从保护合法市场交易利益，还是市场本身的 发展来看，确保网上交易安全是电子虚拟市场要解决 的首先问题和基本问题，需要各方配合加强对网上交 易安全性的监管。,第一节 电子商务的安全问题及要求,电子商务的安全问题 （一）电子商务交易带来的安全威胁 （二）电子商务的安全风险来源 电子商务的安全要求 （一）有效性 （二）机密性 （三）完整性 （四）真实性和不可抵赖性的鉴别 电子商务安全管理思路,第二节 电子商务安全技术,交易方自身网络安全保障技术 （一）用户账号管理和网络杀毒技术 （二）防火墙技术 （三）虚拟专用技术 （四）入侵检测技术 电子商务信息传输安全保障技术 （一）加密技术 （二）数字摘要技术 身份和信息认证技术 （一）身份认证 （二）信息认证 （三）通过认证机构认证 电子商务安全支付技术 （一）SSL安全协议 （二）SET安全协议,第二节 电子商务安全技术,交易方自身网络安全保障技术 （一）用户账号管理和网络杀毒技术 （二）防火墙技术 （三）虚拟专用技术 （四）入侵检测技术,第二节 电子商务安全技术,交易方自身网络安全保障技术,获取合法的账号和密码是黑客攻击网络系统最常使用的方法。因此， 用户账号的安全管理措施包括： （1）技术层面的安全支持，即针对用户账号完整性的技术，包括用户 分组管理（对不同的成员赋予不同的权限）、单一登录密码制（用户在企 业计算机网络任何地方都使用同一个用户名和密码）、用户认证（结合多 种手段如电话号码、IP地址、用户使用的时间等精确地确认用户）。 （2）在企业信息管理的政策方面有相应的措施，即划分不同的用户级 别，制定密码政策（如密码的长度、密码定期更换、密码的组成等），对 职员的流动采取必要的措施，以及对职员进行计算机安全的教育。 两者相互作用才能在一定程度上真正有效地保证用户账号的保密性。 采取多方面的防治措施预防病毒、检查病毒、消除病毒。,第二节 电子商务安全技术,交易方自身网络安全保障技术,防火墙是由软件和硬件设备组合而成的，是处于企业内部网和外部网 之间，用户加强内外之间安全防范的一个或一组系统。 在Internet上利用防火墙来完成进出企业内部网和外部网检查的功能， 迫使所有的连接都必须通过它来完成，通过对数据来源或目的地、数据的 格式或内容进行审查来决定是否允许该数据进出，也可以以代理人的形式 避免内外网之间直接的联系，即限制非法用户进入企业内部网络，过滤掉 不符合规定的数据或限制服务类型，对网络威胁状况进行分析，从而达到 保护内部网络安全的目的。,第二节 电子商务安全技术,交易方自身网络安全保障技术,第二节 电子商务安全技术,交易方自身网络安全保障技术,虚拟专用网（VPN），这是指利用隧道技术把两个或多个专用网络通 过公共网（通常指Internet）安全地连接到一起，组成虚拟的统一的专用网 的技术。 虚拟专用网系统使分布在不同地方的专用网络在不可信任的公共网络 上安全地通信。总体来看，虚拟专用网主要提供如下功能： 1）数据保密：传输的信息利用加密算法处理过，窃听者无法解密； 2）信息验证：保证信息在传输中的完整性与发送方的真实性； 3）身份认证：只有容许的用户才能够加入虚拟专用网； 4）访问控制：不同的用户有不同的访问权限。,第二节 电子商务安全技术,交易方自身网络安全保障技术,入侵是指任何试图破坏资源完整性、机密性和可用性的行为，也包括 合法用户对于系统资源的误用。 入侵检测是指对面向计算资源和网络资源的恶意行为的识别和响应。 它是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络 进行检测，从而提供对内部攻击、外部攻击和误操作的实时保护。,实时监控非法入侵的过程示意图,报警 日志记录,攻击检测,记录入侵 过程,重新配置 防火墙 路由器,内部入侵,入侵检测,记录,终止入侵,第二节 电子商务安全技术,交易方自身网络安全保障技术 （一）用户账号管理和网络杀毒技术 （二）防火墙技术 （三）虚拟专用技术 （四）入侵检测技术 电子商务信息传输安全保障技术 （一）加密技术 （二）数字摘要技术 身份和信息认证技术 （一）身份认证 （二）信息认证 （三）通过认证机构认证 电子商务安全支付技术 （一）SSL安全协议 （二）SET安全协议,第二节 电子商务安全技术,电子商务信息传输安全保障技术 （一）加密技术 （二）数字摘要技术,第二节 电子商务安全技术,电子商务信息传输安全保障技术,加密技术可以防止合法接收者之外的人获取信息系统 中的机密信息后知悉其中的内容。数据加密技术是对信息 进行重新编码，从而达到隐藏信息内容，使非法用户无法 获得信息真实内容的一种技术手段。 网络中的数据加密通过对网络中传输的信息进行加密， 实现网络中信息传输的保密性，防止信息泄露。即使非法 接收者获得了被加密的内容，也由于不能对其进行解密而 无法知悉其中的内容。,第二节 电子商务安全技术,电子商务信息传输安全保障技术,FDHVDU FLSKHU,FDHVDU FLSKHU,明文 密文,CIPHER 145326 attack begins atfour,置换密码(transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。,密钥 顺序 明文,根据英文字母在 26 个字母中的先后顺序，我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B，因此 C 为第 1。同理，E 为第 2，H 为第 3,，R 为第 6。于是得出密钥字母的相对先后顺序为 145326。,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER 145326 attack begins atfour,置换密码(transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。,密钥 顺序 明文,根据英文字母在 26 个字母中的先后顺序，我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B，因此 C 为第 1。同理，E 为第 2，H 为第 3,，R 为第 6。于是得出密钥字母的相对先后顺序为 145326。,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER 145326 attack begins atfour,置换密码(transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。,密钥 顺序 明文,根据英文字母在 26 个字母中的先后顺序，我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B，因此 C 为第 1。同理，E 为第 2，H 为第 3,，R 为第 6。于是得出密钥字母的相对先后顺序为 145326。,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER 145326 attack begins atfour,置换密码(transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。,密钥 顺序 明文,根据英文字母在 26 个字母中的先后顺序，我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B，因此 C 为第 1。同理，E 为第 2，H 为第 3,，R 为第 6。于是得出密钥字母的相对先后顺序为 145326。,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER 145326 attack begins atfour,置换密码(transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。,密钥 顺序 明文,根据英文字母在 26 个字母中的先后顺序，我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B，因此 C 为第 1。同理，E 为第 2，H 为第 3,，R 为第 6。于是得出密钥字母的相对先后顺序为 145326。,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER 145326 attack begins atfour,置换密码(transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。,密钥 顺序 明文,根据英文字母在 26 个字母中的先后顺序，我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B，因此 C 为第 1。同理，E 为第 2，H 为第 3,，R 为第 6。于是得出密钥字母的相对先后顺序为 145326。,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER 145326 attack begins atfour,密钥 顺序 明文,先读顺序为 1 的明文列，即 aba,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER 145326 attack begins atfour,密钥 顺序 明文,再读顺序为 2 的明文列，即 cnu,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER 145326 attack begins atfour,密钥 顺序 明文,再读顺序为 3 的明文列，即 aio,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER 145326 attack begins atfour,密钥 顺序 明文,再读顺序为 4 的明文列，即 tet,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER 145326 attack begins atfour,密钥 顺序 明文,再读顺序为 5 的明文列，即 tgf,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER 145326 attack begins atfour,密钥 顺序 明文,最后读顺序为 6 的明文列，即 ksr,因此密文就是：abacnuaiotettgfksr,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER 145326 attack begins atfour,密钥 顺序 明文,先写下第 1 列密文 aba,收到的密文：abacnuaiotettgfksr,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER 145326 attack begins atfour,密钥 顺序 明文,再写下第 2 列密文 cnu,收到的密文：abacnuaiotettgfksr,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER 145326 attack begins atfour,密钥 顺序 明文,再写下第 3 列密文 aio,收到的密文：abacnuaiotettgfksr,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER 145326 attack begins atfour,密钥 顺序 明文,再写下第 4 列密文 tet,收到的密文：abacnuaiotettgfksr,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER 145326 attack begins atfour,密钥 顺序 明文,再写下第 5 列密文 tgf,收到的密文：abacnuaiotettgfksr,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER 145326 attack begins atfour,密钥 顺序 明文,最后写下第 6 列密文 ksr,收到的密文：abacnuaiotettgfksr,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER 145326 attack begins atfour,密钥 顺序 明文,最后按行读出明文,收到的密文：abacnuaiotettgfksr,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER 145326 attack begins atfour,密钥 顺序 明文,最后按行读出明文,收到的密文：abacnuaiotettgfksr,第二节 电子商务安全技术,电子商务信息传输安全保障技术,CIPHER 145326 attack begins atfour,密钥 顺序 明文,最后按行读出明文,收到的密文：abacnuaiotettgfksr,得出明文：attackbeginsatfour,第二节 电子商务安全技术,电子商务信息传输安全保障技术,加密技术可以防止合法接收者之外的人获取信息系统 中的机密信息后知悉其中的内容。数据加密技术是对信息 进行重新编码，从而达到隐藏信息内容，使非法用户无法 获得信息真实内容的一种技术手段。 网络中的数据加密通过对网络中传输的信息进行加密， 实现网络中信息传输的保密性，防止信息泄露。即使非法 接收者获得了被加密的内容，也由于不能对其进行解密而 无法知悉其中的内容。,第二节 电子商务安全技术,电子商务信息传输安全保障技术,加密技术只能解决信息的保密性问题，防止信息在传 输过程中被泄露，但不能防止加密信息在传输过程被增、 删、改等操作后再发给信息的接收方，因此对于信息的完 整性无法保障。数字摘要技术可以解决这个问题。 所谓数字摘要，是指从原文中通过Hash算法而得到的 一个有固定长度（通常为128位）的散列值，即信息鉴别码 （MAC）。不同的原文所产生的数字摘要一定不同，相同 的原文产生的数字摘要一定相同。 信息在传输前得到数字摘要，两者一起发送给接收者； 接收者对原文得出摘要，将两个摘要进行对比，若相同，则 表明原文在传输中没有被修改。,第二节 电子商务安全技术,交易方自身网络安全保障技术 （一）用户账号管理和网络杀毒技术 （二）防火墙技术 （三）虚拟专用技术 （四）入侵检测技术 电子商务信息传输安全保障技术 （一）加密技术 （二）数字摘要技术 身份和信息认证技术 （一）身份认证 （二）信息认证 （三）通过认证机构认证 电子商务安全支付技术 （一）SSL安全协议 （二）SET安全协议,第二节 电子商务安全技术,身份和信息认证技术 （一）身份认证 （二）信息认证 （三）通过认证机构认证,客户认证技术是保证网上交易安全的一项重要技 术。从认证途径来看，客户认证主要包括：身份认证， 信息认证和认证机构认证。 身份认证和认证机构认证常常用于鉴别用户身份， 而信息认证常用于保证通信双方的不可抵赖性和信息 的完整性。,第二节 电子商务安全技术,身份和信息认证技术,身份认证就是在交易过程中判明和确认贸易双方的真 实身份。 某些非法用户常采用窃取口令、修改或伪造、阻断服 务等等方式对网上交易系统进行攻击，阻止系统资源的合 法管理和使用。 因此，要求认证机构或信息服务商应当提供如下认证 的功能：,第二节 电子商务安全技术,身份和信息认证技术,因此，要求认证机构或信息服务商应当提供如下认证 的功能： 1）可信性：信息来源可信，接收者能确认发送者； 2）完整性：信息在传输过程中没有被修改、替换等； 3）不可抵赖性：发送者和接受者不能否认各自行为； 4）访问控制：拒绝非法用户访问系统资源，合法用户 只能访问系统授权和指定的资源。,第二节 电子商务安全技术,身份和信息认证技术,一般来说，用户身份认证可通过三种基本方式或其组 合方式来实现： 1）用户所知道的某个秘密信息，如口令； 2）用户所持有的某个秘密信息（硬件），即用户必须 持有合法的随身携带的物理介质，例如智能卡中存储用户 的个人化参数，以及访问系统资源时必须有的智能卡。 3）用户所具有的某些生物学特征，如指纹。成本高， 多用于保密程度很高的场合。,第二节 电子商务安全技术,身份和信息认证技术,一般来说，用户身份认证可通过三种基本方式或其组 合方式来实现： 1）用户所知道的某个秘密信息，如口令； 2）用户所持有的某个秘密信息（硬件），即用户必须 持有合法的随身携带的物理介质，例如智能卡中存储用户 的个人化参数，以及访问系统资源时必须有的智能卡。 3）用户所具有的某些生物学特征，如指纹。成本高， 多用于保密程度很高的场合。,第二节 电子商务安全技术,身份和信息认证技术,一般来说，用户身份认证可通过三种基本方式或其组 合方式来实现： 1）用户所知道的某个秘密信息，如口令； 2）用户所持有的某个秘密信息（硬件），即用户必须 持有合法的随身携带的物理介质，例如智能卡中存储用户 的个人化参数，以及访问系统资源时必须有的智能卡。 3）用户所具有的某些生物学特征，如指纹。成本高， 多用于保密程度很高的场合。,第二节 电子商务安全技术,身份和信息认证技术,商务活动通过公开网络进行数据传输，对传输过程中 信息的保密性、完整性和不可抵赖性提出了更高的要求。 1）对敏感的文件进行加密 2）保证数据的完整性 3）对数据和信息的来源进行验证 措施：通过加密技术实现。加密后，即使信息被截获 也无法得到原始信息；如果非法加入或删除信息，则信息 无法还原。还可以采用数字签名技术来确认信息来源。,第二节 电子商务安全技术,身份和信息认证技术,通过认证机构提供认证服务的基本原理和流程是：在 做交易时，应向对方提交一个由CA签发的包含个人身份的 证书，以使对方相信自己的身份。 顾客向CA申请证书时，可提交自己的驾驶执照、身份 证或护照，经验证后，颁发证书。证书包含了顾客的名字 和他的公钥，以此作为网上证明自己的身份的依据。,第二节 电子商务安全技术,交易方自身网络安全保障技术 （一）用户账号管理和网络杀毒技术 （二）防火墙技术 （三）虚拟专用技术 （四）入侵检测技术 电子商务信息传输安全保障技术 （一）加密技术 （二）数字摘要技术 身份和信息认证技术 （一）身份认证 （二）信息认证 （三）通过认证机构认证 电子商务安全支付技术 （一）SSL安全协议 （二）SET安全协议,第二节 电子商务安全技术,电子商务安全支付技术 （一）SSL安全协议 （二）SET安全协议,如何通过电子支付安全地完成整个交易过程？目 前虽然还没有形成公认成熟的解决办法，但人们还是 不断通过各种途径进行大量的探索，SSL安全协议和 SET安全协议已广泛应用于电子支付。,第二节 电子商务安全技术,电子商务安全支付技术,SSL安全协议（安全套接层）是一种安全通信协议，它 能够对信用卡信息和个人信息提供较强的保护。 此协议假定商家是可信的，协议运行的基点是商家对 客户信息保密的承诺。SSL安全协议有利于商家而不利于客 户。整个过程缺少客户对商家的认证。 SSL安全协议逐渐被SET协议所取代。,第二节 电子商务安全技术,电子商务安全支付技术,SET安全协议（安全电子交易）是由信息卡公司推出的 规范。SET在保留对客户信用卡认证的前提下，又增加了对 商家身份的认证。 SET安全协议能够保证信息在网上安全传输；保证电子 商务参与者信息的相互隔离（商家看不到信用卡信息）； 解决多方认证问题；保证交易的实时性；可以运行在不同 的硬件和操作系统平台上。,第二节 电子商务安全技术,交易方自身网络安全保障技术 （一）用户账号管理和网络杀毒技术 （二）防火墙技术 （三）虚拟专用技术 （四）入侵检测技术 电子商务信息传输安全保障技术 （一）加密技术 （二）数字摘要技术 身份和信息认证技术 （一）身份认证 （二）信息认证 （三）通过认证机构认证 电子商务安全支付技术 （一）SSL安全协议 （二）SET安全协议,第三节 电子商务安全制度,安全管理制度 （一）人员管理制度 （二）保密制度 （三）跟踪、审计、稽核制度 （四）系统维护制度 （五）病毒防范制度 法律制度 （一）美国保证电子商务安全的相关法律 （二）我国保证电子商务安全的相关法律,第三节 电子商务安全制度,安全管理制度 （一）人员管理制度 （二）保密制度 （三）跟踪、审计、稽核制度 （四）系统维护制度 （五）病毒防范制度 法律制度 （一）美国保证电子商务安全的相关法律 （二）我国保证电子商务安全的相关法律,第三节 电子商务安全制度,安全管理制度 （一）人员管理制度 （二）保密制度 （三）跟踪、审计、稽核制度 （四）系统维护制度 （五）病毒防范制度,网上交易系统安全管理制度是用文字形式 对各项安全要求的规定，它是保证企业在网上 经营管理取得成功的基础。是否健全及实施安 全管理制度，关系到网上交易是否安全地、顺 利地进行。 安全制度包括：,第三节 电子商务安全制度,安全管理制度,首先，对有关人员进行上岗培训。 其次，落实工作责任制，对违反网上交易安全规定的 行为应坚决进行打击，对有关人员要进行及时的处理。 第三，贯彻网上交易安全运作基本原则： 1）双人负责原则：重要业务不安排一个人单独管理， 实行两人或多人相互制约的机制。 2）任期有限原则：任何人不得长期担任与交易安全有 关的职务。 3）最小权限原则：明确规定只有网络管理员才可以进 行物流访问，只有网络管理员才可进行软件安装工作。,第三节 电子商务安全制度,安全管理制度,保密制度需要很好地划分信息的安全级别，确定安全 防范重点，并提出相应的保密措施。安全级别一般可分为 三级： 1）绝密级：如企业战略计划，此部分网址、密码不在 Internet上公开，只限于公司高层人员掌握。 2）机密级：如会议通知，此部分网址、密码不在 Internet上公开，只限于公司中层以上人员使用。 3）秘密级：如订货方式，此部分网址、密码在 Internet上公开，供消费者浏览，但必须有保护程序，防止 黑客入侵。,第三节 电子商务安全制度,安全管理制度,跟踪制度要求企业建立网络交易系统的日志机制，用 来记录系统运行的全过程。 审计制度包括经常对系统日志的检查、审核，及时发 现对系统故意入侵行为的记录和对系统安全功能违反的记 录，监控和捕捉各种安全事件，保存、维护和管理系统日 志。 稽核制度是指工商管理、银行、税务人员利用计算机 及网络系统，借助于稽核业务应用软件调阅、查询、审核、 判断辖区内各电子商务参与单位业务经营活动的合理性、 安全性，堵塞漏洞，保证网上交易安全，发出相应的警示 或作出处理处罚的有关决定的一些列步骤和措施。,第三节 电子商务安全制度,安全管理制度,对网络系统的日常维护可从几个方面进行： 1）对于可管设备，通过安装网管软件进行系统故障诊 断、显示及通告，网络流量与状态的监控、统计与分析， 以及网络性能调优、负载平衡等。 2）对于不可管设备应通过手工操作来检查状态，做到 定期检查与随机抽查相结合，以便及时准确地掌握网络的 运行状况，一旦有故障发生能及时处理。 3）定期进行数据备份,第三节 电子商务安全制度,安全管理制度,目前主要通过采用防毒软件进行防毒。应用于网络的 防毒软件有两种： （1）单机版防病毒产品：是以事后消毒为原理的，当 系统被病毒感染后才发挥作用，适合于个人用户。 （2）联机版防病毒产品：属于事前的防范，其原理是 在网络端口设置一个病毒过滤器。即事前在系统上安装一 个防病毒的网络软件，它能够在病毒入侵到系统之前，将 其挡在系统外边。 许多病毒都有一个潜伏期，有必要实行病毒定期清理 制度清除处于前预期的病毒，防止病毒突然爆发，使计算 机始终处于良好的工作状态，保证网上交易的正常进行。,第三节 电子商务安全制度,安全管理制度 （一）人员管理制度 （二）保密制度 （三）跟踪、审计、稽核制度 （四）系统维护制度 （五）病毒防范制度 法律制度 （一）美国保证电子商务安全的相关法律 （二）我国保证电子商务安全的相关法律,第三节 电子商务安全制度,法律制度 （一）美国保证电子商务安全的相关法律 （二）我国保证电子商务安全的相关法律,第三节 电子商务安全制度,法律制度 （一）美国保证电子商务安全的相关法律 1. 与网上交易相关法律调整的基本原则 2. 电子支付的法律制度 3. 信息安全的法律制度 4. 消费者权益保护的法律制度,第三节 电子商务安全制度,法律制度 （一）美国保证电子商务安全的相关法律 1. 与网上交易相关法律调整的基本原则 2. 电子支付的法律制度 3. 信息安全的法律制度 4. 消费者权益保护的法律制度,在美国各州实行的统一商业法规（UCC），通过下面 一些方式来克服传统法规的对网上交易推行带来的执行障碍： （1）确定和认可通过电子手段形成的合同的规则和范式， 规定约束电子合同履行的标准，定义构成有效电子书写文件和 原始文件的条件，鼓励政府各部门、厂商认可和接受正式的电 子合同、公证文件等。 （2）规定为法律和商业目的而做出的电子签名的可接受程 度，鼓励国内和国际规则的协调统一，支持电子签名和其他身份 认证手续的可接受性。 （3）建立电子注册处。,在美国各州实行的统一商业法规（UCC），通过下面 一些方式来克服传统法规的对网上交易推行带来的执行障碍： （4）推动建立其他形式的、适当的、高效率的、有效的国 际商业交易的纠纷调解机制，支持在法庭上和仲裁过程中使用计 算机证据。 （5）建立于软件和电子数据的许可证交易、使用和权力转让 有关的标准和任选的合同履行规则。 （6）在国际上，美国政府支持所有国家采用联合国国际贸易 法委员会提出的示范法作为电子商务使用的国际统一商业法规。,第三节 电子商务安全制度,法律制度 （一）美国保证电子商务安全的相关法律 2. 电子支付的法律制度 3. 信息安全的法律制度 4. 消费者权益保护的法律制度 1. 与网上交易相关法律调整的基本原则,1978年制定的1978年电子资金划拨法，其主要内容是 保护银行客户的合法权益，使用于客户是自然人的小额电子资 金划拨。 1989年的统一商业法规，对大额电子支付系统进行了 调整。该法第一次对电子支付