电子商务安全概述.ppt

1.2电子商务安全概况,1.2.1电子商务安全概念与特点1.2.2电子商务的风险与安全问题1.2.3电子商务系统安全的构成,来源：点点网,1.2.1电子商务安全概念与特点,对电子商务安全的认识应注意以下几个特点：1.安全不仅仅是安全管理部门的事情2.电子商务安全具有全面性、普遍性3.安全是一个系统概念4.安全是相对的、发展变化的5.安全是有代价的,1.2.1电子商务安全概念与特点,电子商务安全必须具有如下三个特征：1.保密性（Confidentiality）2.完整性（Integrity）3.认证性（authenticity）4.可控性（accesscontrol）5.不可否认性（non-repudiation）,1.2.2电子商务的风险与安全问题,1.电子商务的风险要想有效管理电子商务风险，一个企业开展电子商务需要考虑风险的三个主要领域：危害性、不确定性和机遇。,1.2.2电子商务的风险与安全问题,1.电子商务的风险（1）危害性传统的风险管理趋于将注意力集中于危害性，也就是潜在的消极事件。在电子商务领域中，需要考虑的主要危险包括：1)安全性。2)法律和规则问题。3)税收。4)电子商务的弹性。,1.2.2电子商务的风险与安全问题,1.电子商务的风险（2）不确定性不确定性管理涉及规划、决策制定、实施和监控，以保证日常操作能够提供有效果的和有效率的预计结果。在电子商务领域，需要管理的主要不确定性包括：1）消费者的信心。2）与广告商的关系。3）改变流程。,1.2.2电子商务的风险与安全问题,1.电子商务的风险（3）机遇通过确定市场中的商机来利用风险可以获得有效的竞争优势并增加收益。在电子商务领域，需要考虑的商机包括：1)建立客户忠诚度。2)优化业务流程。3)创造新的产品和服务。,1.2.2电子商务的风险与安全问题,1.电子商务的风险从电子商务的交易实施过程的角度来看，存在着诸如产品识别、质量控制、网上支付、物流配送和信息传递，对以下的风险因素进行更详细的分析：（1）产品识别风险（2）质量控制风险（3）网上支付风险（4）物权转移中的风险（5）信息传递风险,1.2.2电子商务的风险与安全问题,2.电子商务安全问题电子商务的安全问题主要涉及信息的安全问题、信用的安全问题、安全的管理问题以及电子商务安全的法律保障问题。,1.2.2电子商务的风险与安全问题,2.电子商务安全问题（1）信息安全问题1）信息泄密2）信息篡改3）信息丢失4）信息破坏,1.2.2电子商务的风险与安全问题,2.电子商务安全问题（2）信用安全问题1）来自买方的信用安全问题2）来自卖方的信用安全问题3）买卖双方的抵赖行为,1.2.2电子商务的风险与安全问题,2.电子商务安全问题（3）安全的管理问题严格管理是降低电子商务风险的重要保证，安全管理的目的其实就是提供从事商务活动的可信的运行环境，需要有完善的管理制度和相关的技术支持。,1.2.2电子商务的风险与安全问题,2.电子商务安全问题（4）安全的法律保障问题电子商务的技术设计是先进的、超前的、具有强大的生命力，但同时也必须清楚地认识到，在目前的法律上是没有现成的条文来保护电子商务交易中的交易方式的，在网上交易可能会承担由于法律滞后而带来的安全风险。,1.2.2电子商务的风险与安全问题,2.电子商务安全问题电子商务给传统税收也造成了冲击，各国之间的税收平衡问题也突显出来，会引发新的税收风险。,1.2.3电子商务系统安全的构成,1.系统实体安全实体安全，是指保护计算机设备、设施以及其他媒体免受自然灾害和其他环境事故（如电磁污染等）破坏的措施、过程。电子商务系统的实体安全由三个部分组成：环境安全、设备安全和媒体安全。,1.2.3电子商务系统安全的构成,1.系统实体安全（1）环境安全环境安全就是要对电子商务系统所在的环境加以安全保护，主要包括灾害保护和区域保护。（2）设备安全设备安全是指对电子商务系统的设备（包括网络）进行安全保护，主要是设备防盗、设备防毁、防电磁信息泄漏、防线路截获、抗电磁干扰以及电源保护。（3）媒体安全实体安全中的媒体安全指对媒体数据和媒体本身实施安全保护。,1.2.3电子商务系统安全的构成,2.系统运行安全电子商务系统安全的第二个部分是运行安全，运行安全是指为保障系统功能的安全实现，提供一套安全措施来保护信息处理过程的安全。电子商务系统的运行安全涉及到四个方面：风险分析、审计跟踪、备份与恢复和应急措施。,1.2.3电子商务系统安全的构成,2.系统运行安全（1）风险分析风险分析就是要对电子商务系统进行人工或自动的风险分析。（2）审计跟踪审计跟踪就是要对电子商务系统进行人工或自动的审计跟踪，保存审计记录和维护详尽的审计日志。（3）备份与恢复运行安全中的备份与恢复，就是要提供对系统设备和系统数据的备份与恢复。（4）应急运行安全中的应急措施，是为了在紧急事件或安全事故发生时，提供保障电子商务系统继续运行或紧急恢复所需要的策略。,1.2.3电子商务系统安全的构成,3.信息安全信息安全是指防止信息财产被故意的或偶然的非授权泄漏、更改、破坏或使信息被非法的系统辨识、控制，信息安全要确保信息的完整性、保密性、可用性和可控性。信息安全由七个部分组成：,1.2.3电子商务系统安全的构成,3.信息安全（1）操作系统安全1)安全操作系统：指从系统设计、实现和使用等各个阶段都遵循了一套完整的安全策略的操作系统。2)操作系统安全部件：操作系统安全部件的目的是增强现有操作系统的安全性。,1.2.3电子商务系统安全的构成,3.信息安全（2）数据库安全1)安全数据库系统，是指从系统设计、实现、使用和管理等各个阶段都遵循一套完整的系统安全策略的数据库系统。2)数据库系统安全部件，是以现有数据库系统所提供的功能为基础构建安全模块，旨在增强现有数据库系统的安全性。,1.2.3电子商务系统安全的构成,3.信息安全（3）网络安全1)网络安全管理指为网络的使用提供安全管理。2)安全网络系统对网络资源的访问和网络服务的使用提供一套完整的安全保护，即从网络系统的设计、实现、使用和管理各个阶段，遵循一套完整的安全策略的网络系统。3)网络系统安全部件,1.2.3电子商务系统安全的构成,3.信息安全（4）计算机病毒防护1)单机系统病毒防护2)网络系统病毒防护3)网络系统安全部件（5）访问控制1）出入控制是为了阻止非授权用户进入机构或组织。2）存取控制是针对主体访问客体时的存取控制，如通过对授权用户存取系统敏感信息时进行安全性检查，以实现对授权用户的存取权限的控制,1.2.3电子商务系统安全的构成,3.信息安全（6）加密加密是将明文数据进行某种变换，使其成为不可理解的形式的过程。加密必须依赖两个要素：算法和密钥。（7）鉴别鉴别是指提供身份鉴别和信息鉴别。身份鉴别是提供对信息收发方（包括用户，设备和进程）真实身份的鉴别；信息鉴别是提供对信息的正确性，完整性和不可否认性的鉴别。,1.3电子商务安全的保障,1.3.1电子商务安全技术1.3.2电子商务安全国际规范1.3.3电子商务安全法律要素,1.3.1电子商务安全技术,1.3.1电子商务安全技术,1.加密解密技术加密技术是信息安全技术中的一个重要的组成部分加密就是用基于数学方法的程序和保密的密钥对信息进行编码，把计算机数据变成一堆杂乱无章难以理解的字符串，也就是把明文变成密文。2.数字签名技术通过数字签名技术可以确认当事人的身份，起到了签名或盖章的作用，签字方不能够抵赖。以后我们还会学习到，通过数字签名技术也能够帮助我们鉴别信息自签发后到收到为止是否被篡改过。,1.3.1电子商务安全技术,3.数字时间戳4.验证技术验证是在远程通信中获得信任的手段，是安全服务中最为基本的内容，因为必须通过可靠的验证来进行访问控制，决定谁有权接受或修改信息，增强责任性以及实现不可否认服务。验证常用的三种基本方式是口令方式、标记方式、人体生物学特征方式。,1.3.1电子商务安全技术,5.数字证书技术数字证书就是标志网络用户身份信息的一系列数据，用于证明某一主体（如个人用户、服务器等）的身份以及其公钥的合法性的一种权威性的电子文档。它由权威公正的第三方机构，即CA中心签发，类似于现实生活中的身份证。,1.3.2电子商务安全国际规范,1.SSLSSL是通过在收发双方建立安全通道来提高应用程序间交换数据的安全性，从而实现浏览器和服务器（通常是Web服务器）之间的安全通信。SSL是一种利用公共密钥技术的工业标准，广泛用于Internet。目前大多数浏览器都支持SSL，很多Web服务器也支持SSL。,1.3.2电子商务安全国际规范,2.SETSET协议是信用卡在互联网上进行支付的一种开放式标准，也是银行卡安全支付的具体规范。目前已经被广为认可而成了事实上的国际通用的网上支付标准，其交易形态将成为未来电子商务的规范。SET的制定与推广既为业务相互渗透的各家信用卡公司提供了统一的安全通信标准，也促进了信用卡在互联网上作为支付工具的应用。,1.3.3电子商务安全法律要素,1.保障交易各方身份认证的法律电子交易的各方都需要拥有和证明自己的合法身份，通过设立在交易参与方之外的，第三方的公正机构（CA中心）可以达成这样的目标，即取得由数字证书认证中心签发的数字化的证书，在交易的各个环节，交易的各方都可以检验对方数字证书的有效性。,1.3.3电子商务安全法律要素,2.电子合同的法律地位电子商务活动中，电子合同的有效性、电子签章和数字签名的有效性是各国共同关注的法律问题。需要制定有关法律对电子合同的法律效力、数字签名、电子商务凭证的合法性予以确认；需要对电子商务凭证、电子支付数据的伪造、变更、涂销做出相应的法律规定。,1.3.3电子商务安全法律要