电子商务安全管理及技术课件

汤兵勇教授汤兵勇教授1电子商务安全管理及技术课件2汤兵勇，1950年3月出生。东华大学旭日工商管理学院信息管理学科教授、博士生导师。全国经济数学与管理数学学会第二常务副理事长。主要研究成果有“社会经济大系统协调发展模型”、“上海市电子商务管理办法”等40余项。发表“市场经济控制论”、“模糊模型的辨识及应用”等论文200余篇，出版著作10余部

研究方向:经济控制与电子商务国际交流与合作：曾赴加拿大多伦多大学管理学院做访问学者联系电话/p>

EMAIL：tangby@汤兵勇，1950年3月出生。东华大学旭日工商管理学院信息管理3第8章电子商务安全管理及技术第8章电子商务安全管理及技术4一个全方位的电子商务安全管理体系应该从组织上、技术上、管理上以及法律法规等多方面入手，全面采取电子商务安全方法措施，这样才能极大地实现电子商务的安全，保证电子商务交易的顺利进行。引言：一个全方位的电子商务安全管理体系应该从组织上、技术上、管理上58.1电子商务安全管理的内容8.1电子商务安全管理的内容61.电子商务安全

（1）电子商务安全的内涵电子商务的安全是一个广泛而系统的概念，不仅包含着计算机系统结构、网络通信技术、电子商务应用环境、人员素质等方面的安全，而且还与电子商务立法息息相关。8.1.1安全管理的原理1.电子商务安全8.1.1安全管理的原理7电子商务安全从整体上可以分为两大部分：计算机网络安全和商务交易安全。计算机网络安全与电子商务交易安全实际上是密不可分的，两者相辅相成，缺一不可。电子商务安全从整体上可以分为两大部分：计算机网络安全和商务交8（2）电子商务的安全要素在电子商务交易过程中，交易各方面临的威胁可能有信息的截获和窃取。信息的篡改。信息的假冒。信息的抵赖。（2）电子商务的安全要素9针对电子商务面临的以上种种威胁，必须采取相应的应对策略，从多方面的电子商务安全要素入手，保证电子商务运行的安全实现。①可靠性。②真实性。③机密性。④完整性。⑤有效性。⑥不可抵赖性。⑦内部网的严密性。针对电子商务面临的以上种种威胁，必须采取相应的应对策略，从多102．电子商务安全管理（1）电子商务安全管理的概念电子商务的安全管理，指通过一个完整的综合保障系统，规避电子商务交易过程的风险（信息传输风险、信用风险、管理风险、法律风险、网上支付风险等），以保证网上交易的顺利进行。

2．电子商务安全管理

11

电子商务的安全管理要求规避的风险主要有：①电子商务网络系统自身的安全风险。②电子商务交易信息传输过程中的风险③电子商务企业内部安全管理风险④电子商务安全法律风险。⑤电子商务的信用风险⑥电子商务安全支付风险电子商务的安全管理要求规避的风险主要有：12（2）电子商务安全与管理在如何正确看待电子商务的安全与管理时，需要注意几点：安全是一个系统的概念。不仅有技术，还有管理安全是相对的。不要追求一个永远也攻不破的安全技术。（2）电子商务安全与管理13安全是有成本和代价的。如果不直接牵涉到支付等敏感问题，对安全的要求就低一些；反之，就高一些。安全是发展的、动态的。需要不断地检查、评估和调整相应的安全管理策略安全是有成本和代价的。14一个全方位的电子商务安全管理体系应该从组织上、技术上、管理上以及法律法规等多方面入手，全面采取电子商务安全方法措施（1）建立第三方认证机构，组织行业协会制定安全管理标准。

8.1.2安全管理体系一个全方位的电子商务安全管理体系应该从组织上、技术上、管理上15（2）全面应用电子商务安全技术，构造多重防范措施。（3）加强电子商务安全管理，制定安全管理标准。（4）电子商务的安全影响国家和社会的稳定，应尽快建立健全电子商务法律法规。

（2）全面应用电子商务安全技术，构造多重防范措施。16电子商务信用的管理1．电子商务信用管理的必要性2．电子商务信用管理体系3．我国电子商务信用管理现状及相关政策8.1.3电子商务信用的管理电子商务1．电子商务2．电子商务3．我国电子8.1.3电171．电子商务信用管理的必要性面对电子商务的蓬勃发展趋势，电子商务交易的信用危机却悄然袭来。如，虚假交易、假冒行为、合同诈骗、网上拍卖哄抬价等行为屡屡发生，客观上要求规范电子商务交易市场秩序。电子商务的经销商们由于不受地域限制，他们往往一开始就在较大范围内进行经营。而其物流和配送系统并未跟上，这样销售商们常常不能按时交付商品或不能交付质价相符的商品。1．电子商务信用管理的必要性18这些现象在很大程度上制约了我国电子商务的快速、健康发展，随着电子商务在全球范围内的兴起，如果不尽快改变这种传统的交易方式，将会失去更多的市场份额和竞争优势。这些现象在很大程度上制约了我国电子商务的快速、健康发展，随着19因此，必须建立电子商务信用管理体系，对企业和相关商业网站的信用进行评级，验证客户真实身份，同时还应不断收集客户资料，评估和授予信用额度，保障债权，保障应收账款安全和及时回收，为电子商务的发展营造一个较为宽松的信用环境，推动电子商务市场的健康发展，它是企业信用管理体系的重心。因此，必须建立电子商务信用管理体系，对企业和相关商业网站的信202．电子商务信用管理体系电子商务中的信用问题是指电子商务交易过程中因缺乏一定的信任关系而导致电子商务的交易成本上升，使交易复杂化、混乱化，甚至无法正常进行。完整的信用管理体系应该包含信用信息采集系统、信用评价及查询系统、信用动态跟踪及反馈系统、信用保障系统等子系统。2．电子商务信用管理体系21目前已有的信用管理模式：

a以政府为主体的有“网络公证计划”模式

b以企业为主体的有中介人模式

c担保人模式

d网站经营模式和委托授权模式电子商务信用保障机制是有效实现其信用管理所必需的，保障机制的存在意义在于加快建设良好的电子商务信用环境，同时推进整个社会信用体系的完善。

电子商务安全管理及技术课件223．我国电子商务信用管理现状及相关政策目前我国政府也开始重视社会信用体系的建立，陆续出台了相关的法律法规、文件，并鼓励行业协会出台有关的信用标准，推动整个社会经济的良好发展。3．我国电子商务信用管理现状及相关政策23《2006-2020年国家信息化发展战略》、《关于加快电子商务发展的若干意见》、《强化服务促进中小企业信息化意见》电子商务行业协会、企业网站等也为电子商务行业信用体系的建设不断地努力。

《2006-2020年国家信息化发展战略》、《关于加快电子商248.2电子商务安全管理标准8.2电子商务安全管理标准25首先，制定和实施电子商务安全管理标准是电子商务安全交易的需要。其次，制定和实施电子商务安全管理标准是电子商务支付的需要。最后，制定和实施电子商务安全管理标准是社会稳定，经济繁荣发展的需要。8.2.1安全管理标准制定的必要性首先，制定和实施电子商务安全管理标准是电子商务安全交易的需要26电子商务安全管理标准的内容主要有技术标准、安全管理制度及其标准、安全管理法律法规

1．技术方面的标准规范早期措施：部分告知、另行确认、在线服务现在推行：①加密标准。②电子商务安全协议。③数字签名标准。④数字证书标准。信息技术及网络安全标准美国国家安全局官方标准橘皮书我国相关技术标准

8.2.2安全管理标准的内容对称密钥加密标准：DES非对称加密标准：主要有RSA、DSA、Diffie-Hellman、PGP等主要用于保证电子商务中数据的保密性、完整性、真实性和不可抵赖性可以采用的协议有：安全超文本传输协议（STTP）安全套接层（SecureSocketsLayer，SSL）安全交易技术协议（SecureTransactionTechnology，STT）安全电子交易协议（SET）是一个经过授权中心（CA）数字签名的、包含证书申请者（公开密钥拥有者）个人信息及其公开密钥的文件。电子商务安全管理标准的内容主要有技术标准、安全管理制度及其标272．电子商务安全管理制度及其标准（1）电子商务安全管理制度是使用文字和图表的形式对各项安全要求所做的规定，主要包括：①人员管理制度。②保密制度。③跟踪、审计、稽核制度。④设备管理。

2．电子商务安全管理制度及其标准28⑤用户管理。⑥病毒防范。⑦应急措施（即灾难恢复）

（2）电子商务信用管理标准行业标准信用标准⑤用户管理。293．电子商务安全管理法律、法规、国家政策目前，已有50多个包括国际组织、国家和地区制定了电子商务法或相应的标准。我国也出台了许多有关互联网络安全、电子商务交易管理以及电子信息效力的法律法规和指导意见，如：

《中华人们共和国电子签名法》

《商务部关于促进电子商务规范发展的意见》

《中国国际经济贸易仲裁委员网上仲裁规则》

3．电子商务安全管理法律、法规、国家政策30安全协议是指由两个或两个以上的参与者，为完成某项特定的安全任务而采取的一系列步骤。电子商务中常用的安全协议有SSL协议、SET协议S-HTTP协议、FirstVirtual协议、支票支付协议、现金支付协议、安全电子邮件协议、InternetEDI协议、以及STT协议等。8.2.3电子商务安全协议安全协议是指由两个或两个以上的参与者，为完成某项特定的安全任311．SSL（SecureSocketLayer）协议SSL（安全套接层）协议是一个用来保证安全传输文件的协议它主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，但它不保证信息的不可抵赖性主要适用于点对点之间的信息传输。

1．SSL（SecureSocketLayer）协议32（1）SSL协议体系结构重要概念：SSL连接（Connection）

SSL会话（Session）（1）SSL协议体系结构重要概念：33服务类型作用服务器认证通过服务器具有的特定密钥实现客户机对服务器的认证客户认证确信客户具有合法的信用卡号，客户认证为可选项通信的完整性防止黑客修改通信的保密性支持加密和解密（2）SSL协议提供的安全服务服务类型作用服务器认证通过服务器具有的特定密钥实现客户机对服34（4）SSL存在的问题存在被攻击修改的可能使用复杂的数学公式，高强度的计算会使服务器停顿在电子商务系统的应用中存在很多弊端（4）SSL存在的问题352．SET（SecureElectronicTransaction）协议是一种基于银行卡而进行的为电子交易提供安全措施的规则，能广泛应用于因特网的安全电子支付协议采用公钥密码体制和X.509数字证书标准

2．SET（SecureElectronicTransa36（1）SET协议的主要目标①保证电子商务参与者信息的相互隔离。②保证信息在因特网上安全传输，防止数据被黑客或被内部人员窃取。③解决多方认证问题。电子商务安全管理及技术课件37④保证网上交易的实时性，使所有的支付过程都是在线的。⑤提供一个开放式的标准，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可运行在不同的硬件和操作系统平台上。④保证网上交易的实时性，使所有的支付过程都是在线的。38（2）SET系统的构成①持卡人（Cardholder）②商家（Merchant）。③发卡机构（Issuer）④收单银行（Acquirer）⑤支付网关（PaymentGateway）⑥认证中心（CertificationAuthority）

（2）SET系统的构成39（3）SET协议的运行过程（3）SET协议的运行过程40综合来看，SET协议规定运行过程分为以下3个阶段①购买请求阶段②支付确认阶段③收款阶段综合来看，SET协议规定运行过程分为以下3个阶段41

（4）SET与SSL协议的比较同SSL相比，SET有这样一些区别：首先，SET对商家提供了保护自己的手段，使商务免受欺诈的困扰，并且SET向消费者保证了商家的合法性，保证用户的信用卡号不会被窃取。而SSL相对不安全。（4）SET与SSL协议的比较42其次，SET是一个多方的报文协议，而SSL只是简单地在两方之间建立一条安全连接。SSL是面向连接的，而SET允许各方之间报文的交换不是实时的。使用SET比SSL昂贵得多。最后，SET提供了比SSL更完整的用于电子商务的卡支付系统，它定义了各方的互操作接口，从而有效地降低了金融风险。

其次，SET是一个多方的报文协议，而SSL只是简单地在两方之438.3电子商务安全管理技术8.3电子商务安全管理技术44现阶段常用的几种电子商务安全管理技术：1.加密技术明文密文加密解密密钥2.认证技术（1）身份认证（2）数字签名（3）数字时间戳与数字信封8.3.1安全管理技术概述身份认证就是在电子商务交易过程中，判明和确认贸易参与者的真实身份。主要有：基于密码的认证方式、基于生物特征的认证方式、基于一次性口令的认证方式、基于USBKey的认证方式数字时间戳是用来证明消息的收发时间。数字信封是用加密技术来保证只有特定的收信人才能阅读通信的内容。现阶段常用的几种电子商务安全管理技术：8.3.1安全管理45数字证书是一个担保个人、计算机系统或者组织的身份和密钥所有权的电子文档，它是由一个权威机构发行的，人们可以在交往中用它来识别对方的身份。数字证书采用公钥体制数字证书的内容：（4）数字证书数字证书是一个担保个人、计算机系统或者组织的身份和密钥所有权46申请者信息颁发者信息证书序列号（类似于身份证号码）颁发者名称证书主题（即证书所有人的名称）颁发者的数字签名（类似于身份证上公安机关的公章）证书的有效期限签名所使用的算法证书所有人的公开密钥申请者信息颁发者信息证书序列号（类似于身份证号码）颁发者47（5）认证中心认证中心的功能主要是对数字证书进行管理，即负责证书的申请、审批、发放、归档、撤销、更新和废止等管理。电子商务CA认证体系包括两大部分①SETCA认证体系②PKICA认证体系

（5）认证中心483．防火墙技术防火墙是加强Internet和Intranet之间安全防范的、由硬件设备和软件系统组成的、在外部网和内部网之间的界面上构成的保护层。防火墙作为网络间实施网间访问控制的一组组件的集合，应满足以下基本条件：

3．防火墙技术49第一，内部网络和外部网络之间的所有数据流必须经过防火墙；第二，只有符合安全策略的数据流才能通过防火墙第三，防火墙自身具有高可靠性，应对渗透（Penetration）免疫第一，内部网络和外部网络之间的所有数据流必须经过防火墙；50防火墙基本的安全保护规则防火墙的功能防火墙的分类防火墙的体系结构防火墙的实现

第一，一切未被允许的就是禁止的第二，一切未被禁止的就是允许的一般来说，防火墙的基本类型有三种：网络级防火墙、应用级防火墙和复合型防火墙。目前防火墙主要有三种常见的体系结构：双宿/多宿主机（Dual-homed/Multi-homed）模式、被屏蔽主机（ScreenedHost）模式被屏蔽子网（ScreenedSubnet）模式防火墙基本的安全保护规则

第一，一切未被允许的就是禁止的514．入侵检测安全技术（1）入侵检测技术的作用（2）入侵检测系统的主要类型基于主机的入侵检测系统基于网络的入侵检测系统（3）入侵检测技术发展趋势分布式入侵检测智能化入侵检测网络安全技术相结合

电子商务安全管理及技术课件525．病毒防范技术病毒防范的具体措施应该包括如下内容：预防备份检测隔离慎重5．病毒防范技术53电子商务中的安全机制主要是指三个方面：数字证书完成交易方的身份鉴别问题。数字签名确定交易的不可否认性，数字信封解决交易数据的保密问题电子商务安全体系结构由网络服务层、加密技术层、安全认证层、安全协议层、应用系统层5个层次组成8.3.2电子商务安全机制电子商务中的安全机制主要是指三个方面：数字证书完成交易方的身54电子商务安全管理及技术课件55网络服务层构成电子商务安全系统结构的底层是网络服务层。网络服务层是各种电子商务应用系统的基础，提供信息传送的载体和用户接入手段及安全通信服务，保证网络最基本的运行安全。采用防火墙、加密、漏洞扫描、入侵检测、反病毒和安全审计技术等，用以保证计算机网络自身的安全。

网络服务层562.技术加密层电子商务安全性所依赖的基础是密码学。技术加密层主要采用对称加密体制（可采用数据加密标准DES、高级加密标准AES等）和公钥密码体制（可采用RSA算法、混合密码系统）。2.技术加密层573.安全认证层在开放的网络环境中开展电子商务活动，除了要认证买卖双方的实体身份和验证电子交易过程中的数据是否真实完整，还要保证交易双方的不可抵赖性。安全认证的关键技术包括报文摘要和数字签名。3.安全认证层584.安全协议层电子商务的运行需要一套完整的安全协议。目前，比较成熟的协议有安全套接层协议SSL、安全电子交易协议SET、Netbill和匿名原子交易协议等。4.安全协议层595.应用系统层电子商务业务系统包括支付型系统和非支付型系统。电子商务业务系统中主要是支付型业务系统，而支付型业务系统可分为SET和非SET两类。5.应用系统层60支付系统通常涉及资金的转移，通过支付网关构架在电子商务基础平台之上，以其提供的各种安全服务为前提，为支付型电子商务业务系统提供各种安全的支付手段。非支付型业务系统直接架构在电子商务基础平台之上，使用这一层提供的各种认证手段和安全技术为最终用户提供安全的电子商务服务。支付系统通常涉及资金的转移，通过支付网关构架在电子商务基础平611.数据加密技术数据加密的一般模型8.3.3数据加密与数字签名1.数据加密技术8.3.3数据加密与数字签名62（1）对称密钥密码体系

对称加密示意图（1）对称密钥密码体系63①对称密钥密码体系的安全性②对称加密方式的速度③对称加密得到的密文是紧凑的④进行安全通信前需要以安全方式进行密钥交换这种加密方式的特点：①对称密钥密码体系的安全性这种加密方式的特点：64⑤对称加密方式中密钥的分发与管理⑥对称密钥密码技术不适合于数字签名和不可抵赖性。⑦常见的对称加密算法有DES、AES和IDEA⑤对称加密方式中密钥的分发与管理65（2）非对称密钥密码体系

非对称加密示意图（2）非对称密钥密码体系66①非对称密钥密码体系的安全性。②不必发送密钥给接受者，所以不必担心密钥被中途拦截的问题。③非对称加密方式的速度。④非对称加密方式中密钥的分发与管理。这种加密方式的特点有：①非对称密钥密码体系的安全性。这种加密方式的特点有：67⑤非对称加密会导致得到的密文变长。⑥非对称加密技术不需要事先在各参与各方之间建立关系以交换密钥，且支持数字签名。⑦常见的非对称加密算法是RSA算法。⑤非对称加密会导致得到的密文变长。682.数字签名（1）数字签名的含义“指在数据电文中以电子形式所含、所附或在逻辑上与数据电文有联系的数据，它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息”

我国在2004年8月28日正式通过了《中华人民共和国电子签名法》数字签名的过程2.数字签名69电子商务安全管理及技术课件70Thankyou!Thankyou!71汤兵勇教授汤兵勇教授72电子商务安全管理及技术课件73汤兵勇，1950年3月出生。东华大学旭日工商管理学院信息管理学科教授、博士生导师。全国经济数学与管理数学学会第二常务副理事长。主要研究成果有“社会经济大系统协调发展模型”、“上海市电子商务管理办法”等40余项。发表“市场经济控制论”、“模糊模型的辨识及应用”等论文200余篇，出版著作10余部

研究方向:经济控制与电子商务国际交流与合作：曾赴加拿大多伦多大学管理学院做访问学者联系电话/p>

EMAIL：tangby@汤兵勇，1950年3月出生。东华大学旭日工商管理学院信息管理74第8章电子商务安全管理及技术第8章电子商务安全管理及技术75一个全方位的电子商务安全管理体系应该从组织上、技术上、管理上以及法律法规等多方面入手，全面采取电子商务安全方法措施，这样才能极大地实现电子商务的安全，保证电子商务交易的顺利进行。引言：一个全方位的电子商务安全管理体系应该从组织上、技术上、管理上768.1电子商务安全管理的内容8.1电子商务安全管理的内容771.电子商务安全

（1）电子商务安全的内涵电子商务的安全是一个广泛而系统的概念，不仅包含着计算机系统结构、网络通信技术、电子商务应用环境、人员素质等方面的安全，而且还与电子商务立法息息相关。8.1.1安全管理的原理1.电子商务安全8.1.1安全管理的原理78电子商务安全从整体上可以分为两大部分：计算机网络安全和商务交易安全。计算机网络安全与电子商务交易安全实际上是密不可分的，两者相辅相成，缺一不可。电子商务安全从整体上可以分为两大部分：计算机网络安全和商务交79（2）电子商务的安全要素在电子商务交易过程中，交易各方面临的威胁可能有信息的截获和窃取。信息的篡改。信息的假冒。信息的抵赖。（2）电子商务的安全要素80针对电子商务面临的以上种种威胁，必须采取相应的应对策略，从多方面的电子商务安全要素入手，保证电子商务运行的安全实现。①可靠性。②真实性。③机密性。④完整性。⑤有效性。⑥不可抵赖性。⑦内部网的严密性。针对电子商务面临的以上种种威胁，必须采取相应的应对策略，从多812．电子商务安全管理（1）电子商务安全管理的概念电子商务的安全管理，指通过一个完整的综合保障系统，规避电子商务交易过程的风险（信息传输风险、信用风险、管理风险、法律风险、网上支付风险等），以保证网上交易的顺利进行。

2．电子商务安全管理

82

电子商务的安全管理要求规避的风险主要有：①电子商务网络系统自身的安全风险。②电子商务交易信息传输过程中的风险③电子商务企业内部安全管理风险④电子商务安全法律风险。⑤电子商务的信用风险⑥电子商务安全支付风险电子商务的安全管理要求规避的风险主要有：83（2）电子商务安全与管理在如何正确看待电子商务的安全与管理时，需要注意几点：安全是一个系统的概念。不仅有技术，还有管理安全是相对的。不要追求一个永远也攻不破的安全技术。（2）电子商务安全与管理84安全是有成本和代价的。如果不直接牵涉到支付等敏感问题，对安全的要求就低一些；反之，就高一些。安全是发展的、动态的。需要不断地检查、评估和调整相应的安全管理策略安全是有成本和代价的。85一个全方位的电子商务安全管理体系应该从组织上、技术上、管理上以及法律法规等多方面入手，全面采取电子商务安全方法措施（1）建立第三方认证机构，组织行业协会制定安全管理标准。

8.1.2安全管理体系一个全方位的电子商务安全管理体系应该从组织上、技术上、管理上86（2）全面应用电子商务安全技术，构造多重防范措施。（3）加强电子商务安全管理，制定安全管理标准。（4）电子商务的安全影响国家和社会的稳定，应尽快建立健全电子商务法律法规。

（2）全面应用电子商务安全技术，构造多重防范措施。87电子商务信用的管理1．电子商务信用管理的必要性2．电子商务信用管理体系3．我国电子商务信用管理现状及相关政策8.1.3电子商务信用的管理电子商务1．电子商务2．电子商务3．我国电子8.1.3电881．电子商务信用管理的必要性面对电子商务的蓬勃发展趋势，电子商务交易的信用危机却悄然袭来。如，虚假交易、假冒行为、合同诈骗、网上拍卖哄抬价等行为屡屡发生，客观上要求规范电子商务交易市场秩序。电子商务的经销商们由于不受地域限制，他们往往一开始就在较大范围内进行经营。而其物流和配送系统并未跟上，这样销售商们常常不能按时交付商品或不能交付质价相符的商品。1．电子商务信用管理的必要性89这些现象在很大程度上制约了我国电子商务的快速、健康发展，随着电子商务在全球范围内的兴起，如果不尽快改变这种传统的交易方式，将会失去更多的市场份额和竞争优势。这些现象在很大程度上制约了我国电子商务的快速、健康发展，随着90因此，必须建立电子商务信用管理体系，对企业和相关商业网站的信用进行评级，验证客户真实身份，同时还应不断收集客户资料，评估和授予信用额度，保障债权，保障应收账款安全和及时回收，为电子商务的发展营造一个较为宽松的信用环境，推动电子商务市场的健康发展，它是企业信用管理体系的重心。因此，必须建立电子商务信用管理体系，对企业和相关商业网站的信912．电子商务信用管理体系电子商务中的信用问题是指电子商务交易过程中因缺乏一定的信任关系而导致电子商务的交易成本上升，使交易复杂化、混乱化，甚至无法正常进行。完整的信用管理体系应该包含信用信息采集系统、信用评价及查询系统、信用动态跟踪及反馈系统、信用保障系统等子系统。2．电子商务信用管理体系92目前已有的信用管理模式：

a以政府为主体的有“网络公证计划”模式

b以企业为主体的有中介人模式

c担保人模式

d网站经营模式和委托授权模式电子商务信用保障机制是有效实现其信用管理所必需的，保障机制的存在意义在于加快建设良好的电子商务信用环境，同时推进整个社会信用体系的完善。

电子商务安全管理及技术课件933．我国电子商务信用管理现状及相关政策目前我国政府也开始重视社会信用体系的建立，陆续出台了相关的法律法规、文件，并鼓励行业协会出台有关的信用标准，推动整个社会经济的良好发展。3．我国电子商务信用管理现状及相关政策94《2006-2020年国家信息化发展战略》、《关于加快电子商务发展的若干意见》、《强化服务促进中小企业信息化意见》电子商务行业协会、企业网站等也为电子商务行业信用体系的建设不断地努力。

《2006-2020年国家信息化发展战略》、《关于加快电子商958.2电子商务安全管理标准8.2电子商务安全管理标准96首先，制定和实施电子商务安全管理标准是电子商务安全交易的需要。其次，制定和实施电子商务安全管理标准是电子商务支付的需要。最后，制定和实施电子商务安全管理标准是社会稳定，经济繁荣发展的需要。8.2.1安全管理标准制定的必要性首先，制定和实施电子商务安全管理标准是电子商务安全交易的需要97电子商务安全管理标准的内容主要有技术标准、安全管理制度及其标准、安全管理法律法规

1．技术方面的标准规范早期措施：部分告知、另行确认、在线服务现在推行：①加密标准。②电子商务安全协议。③数字签名标准。④数字证书标准。信息技术及网络安全标准美国国家安全局官方标准橘皮书我国相关技术标准

8.2.2安全管理标准的内容对称密钥加密标准：DES非对称加密标准：主要有RSA、DSA、Diffie-Hellman、PGP等主要用于保证电子商务中数据的保密性、完整性、真实性和不可抵赖性可以采用的协议有：安全超文本传输协议（STTP）安全套接层（SecureSocketsLayer，SSL）安全交易技术协议（SecureTransactionTechnology，STT）安全电子交易协议（SET）是一个经过授权中心（CA）数字签名的、包含证书申请者（公开密钥拥有者）个人信息及其公开密钥的文件。电子商务安全管理标准的内容主要有技术标准、安全管理制度及其标982．电子商务安全管理制度及其标准（1）电子商务安全管理制度是使用文字和图表的形式对各项安全要求所做的规定，主要包括：①人员管理制度。②保密制度。③跟踪、审计、稽核制度。④设备管理。

2．电子商务安全管理制度及其标准99⑤用户管理。⑥病毒防范。⑦应急措施（即灾难恢复）

（2）电子商务信用管理标准行业标准信用标准⑤用户管理。1003．电子商务安全管理法律、法规、国家政策目前，已有50多个包括国际组织、国家和地区制定了电子商务法或相应的标准。我国也出台了许多有关互联网络安全、电子商务交易管理以及电子信息效力的法律法规和指导意见，如：

《中华人们共和国电子签名法》

《商务部关于促进电子商务规范发展的意见》

《中国国际经济贸易仲裁委员网上仲裁规则》

3．电子商务安全管理法律、法规、国家政策101安全协议是指由两个或两个以上的参与者，为完成某项特定的安全任务而采取的一系列步骤。电子商务中常用的安全协议有SSL协议、SET协议S-HTTP协议、FirstVirtual协议、支票支付协议、现金支付协议、安全电子邮件协议、InternetEDI协议、以及STT协议等。8.2.3电子商务安全协议安全协议是指由两个或两个以上的参与者，为完成某项特定的安全任1021．SSL（SecureSocketLayer）协议SSL（安全套接层）协议是一个用来保证安全传输文件的协议它主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，但它不保证信息的不可抵赖性主要适用于点对点之间的信息传输。

1．SSL（SecureSocketLayer）协议103（1）SSL协议体系结构重要概念：SSL连接（Connection）

SSL会话（Session）（1）SSL协议体系结构重要概念：104服务类型作用服务器认证通过服务器具有的特定密钥实现客户机对服务器的认证客户认证确信客户具有合法的信用卡号，客户认证为可选项通信的完整性防止黑客修改通信的保密性支持加密和解密（2）SSL协议提供的安全服务服务类型作用服务器认证通过服务器具有的特定密钥实现客户机对服105（4）SSL存在的问题存在被攻击修改的可能使用复杂的数学公式，高强度的计算会使服务器停顿在电子商务系统的应用中存在很多弊端（4）SSL存在的问题1062．SET（SecureElectronicTransaction）协议是一种基于银行卡而进行的为电子交易提供安全措施的规则，能广泛应用于因特网的安全电子支付协议采用公钥密码体制和X.509数字证书标准

2．SET（SecureElectronicTransa107（1）SET协议的主要目标①保证电子商务参与者信息的相互隔离。②保证信息在因特网上安全传输，防止数据被黑客或被内部人员窃取。③解决多方认证问题。电子商务安全管理及技术课件108④保证网上交易的实时性，使所有的支付过程都是在线的。⑤提供一个开放式的标准，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可运行在不同的硬件和操作系统平台上。④保证网上交易的实时性，使所有的支付过程都是在线的。109（2）SET系统的构成①持卡人（Cardholder）②商家（Merchant）。③发卡机构（Issuer）④收单银行（Acquirer）⑤支付网关（PaymentGateway）⑥认证中心（CertificationAuthority）

（2）SET系统的构成110（3）SET协议的运行过程（3）SET协议的运行过程111综合来看，SET协议规定运行过程分为以下3个阶段①购买请求阶段②支付确认阶段③收款阶段综合来看，SET协议规定运行过程分为以下3个阶段112

（4）SET与SSL协议的比较同SSL相比，SET有这样一些区别：首先，SET对商家提供了保护自己的手段，使商务免受欺诈的困扰，并且SET向消费者保证了商家的合法性，保证用户的信用卡号不会被窃取。而SSL相对不安全。（4）SET与SSL协议的比较113其次，SET是一个多方的报文协议，而SSL只是简单地在两方之间建立一条安全连接。SSL是面向连接的，而SET允许各方之间报文的交换不是实时的。使用SET比SSL昂贵得多。最后，SET提供了比SSL更完整的用于电子商务的卡支付系统，它定义了各方的互操作接口，从而有效地降低了金融风险。

其次，SET是一个多方的报文协议，而SSL只是简单地在两方之1148.3电子商务安全管理技术8.3电子商务安全管理技术115现阶段常用的几种电子商务安全管理技术：1.加密技术明文密文加密解密密钥2.认证技术（1）身份认证（2）数字签名（3）数字时间戳与数字信封8.3.1安全管理技术概述身份认证就是在电子商务交易过程中，判明和确认贸易参与者的真实身份。主要有：基于密码的认证方式、基于生物特征的认证方式、基于一次性口令的认证方式、基于USBKey的认证方式数字时间戳是用来证明消息的收发时间。数字信封是用加密技术来保证只有特定的收信人才能阅读通信的内容。现阶段常用的几种电子商务安全管理技术：8.3.1安全管理116数字证书是一个担保个人、计算机系统或者组织的身份和密钥所有权的电子文档，它是由一个权威机构发行的，人们可以在交往中用它来识别对方的身份。数字证书采用公钥体制数字证书的内容：（4）数字证书数字证书是一个担保个人、计算机系统或者组织的身份和密钥所有权117申请者信息颁发者信息证书序列号（类似于身份证号码）颁发者名称证书主题（即证书所有人的名称）颁发者的数字签名（类似于身份证上公安机关的公章）证书的有效期限签名所使用的算法证书所有人的公开密钥申请者信息颁发者信息证书序列号（类似于身份证号码）颁发者118（5）认证中心认证中心的功能主要是对数字证书进行管理，即负责证书的申请、审批、发放、归档、撤销、更新和废止等管理。电子商务CA认证体系包括两大部分①SETCA认证体系②PKICA认证体系

（5）认证中心1193．防火墙技术防火墙是加强Internet和Intranet之间安全防范的、由硬件设备和软件系统组成的、在外部网和内部网之间的界面上构成的保护层。防火墙作为网络间实施网间访问控制的一组组件的集合，应满足以下基本条件：

3．防火墙技术120第一，内部网络和外部网络之间的所有数据流必须经过防火墙；第二，只有符合安全策略的数据流才能通过防火墙第三，防火墙自身具有高可靠性，应对渗透（Penetration）免疫第一，内部网络和外部网络之间的所有数据流必须经过防火墙；121防火墙基本的安全保护规则防火墙的功能防火墙的分类防火墙的体系结构防火墙的实现

第一，一切未被允许的就是禁止的第二，一切未被禁止的就是允许的一般来说，防火墙的基本类型有三种：网络级防火墙、应用级防火墙和复合型防火墙。目前防火墙主要有三种常见的体系结构：双宿/多宿主机（Dual-homed/Multi-homed）模式、被屏蔽主机（ScreenedHost）模式被屏蔽子网（ScreenedSubnet）模式防火墙基本的安全保护规则

第一，一切未被允许的就是禁止的1224．入侵检测安全技术（1）入侵检测技术的作用（2）入侵检测系统的主要类型基于主机的入侵检测系统基于网络的入侵检测系统（3）入侵检测技术发展趋势分布式入侵检测智能化入侵检测网络安全技术相结合

电子商务安全管理及技术课件