电子商务安全与风险管理教材_第1页
电子商务安全与风险管理教材_第2页
电子商务安全与风险管理教材_第3页
电子商务安全与风险管理教材_第4页
电子商务安全与风险管理教材_第5页
已阅读5页,还剩56页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

电子商务概论第6章电子商务平安与风险管理主编:郑丽、付丽丽本章内容6.1电子商务平安的概念6.2电子商务的平安体系架构及风险管理6.3电子商务平安技术6.4电子商务平安实践1236.1电子商务平安的概念6.1.1电子商务平安的含义6.1.2面临的主要问题及产生原因6.1.3根本要素导入案例淘宝“错价门〞事件〔137页〕2024年9月1日早晨,丁先生在淘宝网购物,发现局部网店和淘宝商城许多商品以1元秒杀包邮价出售,也有很多原价数百元的商品标价几元或几十元。丁先生知道,互联网上这样的一元秒杀活动或者超低价商品甩卖促销是司空见惯的。所以,丁先生没有多想,花了几个小时按照正常程序买了许多商品,均付款成功并生成订单。丁先生在淘宝网上下了10多份订单,分别用1元、几元、几十元的价格,购置了两三千元的商品,包括服装、数码产品等。但是后来让丁先生没有想到的是,之后许多订单被淘宝网取消。这到底是怎么回事呢?6.1.1电子商务平安的含义电子商务平安的含义包含两个层次的内容,即:根底设施的平安和商务交易平安,另外还包括了管理、法律和标准等方面的隐性问题。根底设施平安:计算机网络设备平安、计算机网络系统平安、数据平安、应用平安等。其特征是以保证计算机网络自身的平安性为目标。商务交易平安:围绕传统商务在互联网络上应用时产生的各种平安问题,在计算机网络平安的根底上,如何保障以电子交易和电子支付为核心的电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。主要包括交易信息平安、支付平安和诚信平安。6.1.2面临的主要问题及产生原因*主要问题:1.网络的平安性问题1)信息的篡改2)信息的截获和窃取3)恶意攻击和破坏2.商务交易中电子合同的法律效力问题以及完整性保密问题3.商务交易中的平安性问题1)网上诈骗2)信息假冒3)交易抵赖4)病毒的感染案例6-1:不翼而飞的网银案例6-2:电子签名法案例6-3:误入“钓鱼网站〞6.1.2面临的主要问题及产生原因产生原因:1.硬件故障2.软件缺陷3.管理漏洞4.法律缺失案例6-4:“熊猫烧香〞事件如何量刑6.1.3电子商务平安的根本要素网络传输要素交易平安要素保密性、有效性、可靠性、完整性、抗抵赖性法律法规要素1236.2电子商务的平安体系架构及风险管理6.2.1主要环节及影响因素6.2.2电子商务平安体系结构6.2.3电子商务平安风险管理6.2.1电子商务平安的主要环节及影响因素四个环节:1.保护采用一些网络平安产品、工具和技术保护网络系统、数据和用户。2.检测实时监控系统的平安状态,是实时保护的一种策略,满足一种动态平安的需求。3.反响当攻击正在发生时,能够及时做出响应,防止攻击进一步发生,将平安事件的影响降低到最小的范围。4.恢复当系统因为攻击或入侵造成一定的破坏时,必须有一套机制来及时恢复系统正常工作。6.2.1主要环节及影响因素三个因素: 1.人员因素人作为一种实体在电子商务交易过程中存在,对电子商务的平安产生重要的影响。可通过人员培训、教育等措施来降低人为因素带来的平安隐患。 2.过程因素电子商务交易中,有不同的操作过程,例如系统登录,下订单,数据更新等,需要有严格的制度来标准各种操作行为,杜绝系统的平安隐患。 3.技术因素技术因素对电子商务平安的影响最为直接,在电子商务交易中,首先要从技术上保障系统的平安可靠。6.2.2电子商务平安体系结构*网络平安管理层系统应用层平安协议层平安认证层加密技术层网络平安层〔防火墙技术、入侵检测技术、病毒防范技术〕6.2.2电子商务平安体系结构各层含义:1.网络平安层采用的主要平安技术有防火墙技术、入侵检测技术、病毒防范技术和平安评估技术等,用以保证计算机网络自身的平安。 2.加密技术层加密技术是电子商务最根本的平安措施。在目前技术条件下,加密技术通常分为对称加密和非对称加密两类。 3.平安认证层保证电子商务交易平安的身份认证技术,包括数字摘要技术、数字签名技术、数字时间戳技术、数字证书技术、认证技术、生物特征识别认证技术等。6.2.2电子商务平安体系结构各层含义: 4.平安协议层电子商务的运行需要一套完整的平安协议。目前,比较成熟的协议有平安套接层协议、平安电子交易协议等。 5.电子商务系统应用层包括支付型业务系统和非支付型业务系统。 6.电子商务平安管理层包括电子商务中对人员管理、平安制度管理、法律法规等策略及方案。简述题:1.简述电子商务平安风险〔即平安问题〕和平安体系结构。6.2.3电子商务平安风险管理6.2.3.1风险管理与控制1.加快根底设施建设2.实施技术防范3.完善管理制度4.加强审计与监督5.健全法制与诚信6.培养专业人才6.2.3电子商务平安风险管理6.2.3.2平安管理策略1.平安策略2.内部管理制度策略3.人员培训策略4.平安制度管理策略412356.3电子商务平安技术6.3.1

数据加密技术6.3.2

认证技术6.3.3平安协议技术6.3.4黑客防范技术6.3.5病毒防范技术66.3.6

虚拟专网技术6.3.1

数据加密技术数据加密技术是电子商务的最根本平安措施,是保证电子商务平安的重要手段。加密技术是指通过使用代码或密码将某些重要信息和数据从一个可以理解的明文形式变换成一种复杂错乱的、不可理解的密文形式〔即加密〕,在线路上传送或在数据库中存储,其他用户再将密文复原成明文〔即解密〕,从而保障信息数据的平安性。类型:对称加密非对称加密加密技术的根本要素根本要素密钥:是用来对文本进行编码和解码的数字。加密程序/算法:将明文转成密文的程序/算法。密文:加密后在网络上公开传输的内容对于非法接收者成为无法理解的符号。明文:所有接收者都可理解的形式。解密:加密程序的逆过程,即将密文复原成明文。例:一个简单的密码表字母ABC…Z空格,./:?明文010203…26272829303132密文181920…43444546474849信息Thisisasecret.明文2008091927091927012719050318052029密文3725263644263644184436222035223746这个密码表的明文、密文、密钥、加密算法、解密算法分别是什么?6.3.1

数据加密技术对称加密对称加密也称之为“秘密密钥〞加密。发送方用密钥加密明文,传送给接收方,接收方用同一密钥解密。其特点是加密和解密使用的是同一个密钥。非对称加密非对称加密的密钥被分解为:公开密钥和私有密钥。密钥对生成后,公开密钥以非保密方式对外公开,只对应于生成该密钥的发布者,私有密钥那么保存在密钥发布方手里。任何得到公开密钥的用户都可以使用该密钥加密信息发送给该公开密钥的发布者,而发布者得到加密信息后,使用与公开密钥相应对的私有密钥进行解密。6.3.1

数据加密技术非对称加密具体加密传输过程如下:发送方甲用接收方乙的公钥加密自己的私钥。发送方甲用自己的私钥加密文件,然后将加密后的私钥和文件传输给接收方。接收方乙用自己的私钥解密,得到甲的私钥。接收方乙用甲的公钥解密,得到明文。加密过程一:对称加密对称加密流程示意图加密过程二:非对称加密

非对称加密技术示意图1私钥是在〔〕加密技术中所使用的。A所有B对称C非对称D高级6.3.2

认证技术采用认证技术可以直接满足身份认证、信息完整性、不可否认和不可修改等多项网上交易的平安需求,较好地防止了网上交易面临的假冒、篡改、抵赖、伪造等种种威胁。认证技术主要用于身份认证与报文认证。身份认证用于鉴别用户身份;报文认证用于保证通信双方的不可抵赖性和信息完整性。案例6-6:企业与个人的“信用标签〞6.3.2

认证技术1.数字摘要技术根本原理被发送文件用SHA编码加密产生128bit的数字摘要。发送方用自己的私用密钥对摘要再加密,形成数字签名。将原文和加密的摘要同时传给对方。对方用发送方的公共密钥对摘要解密,同时对收到的文件用SHA编码加密产生又一摘要。将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互比照。如两者一致,那么说明传送过程中信息没有被破坏或篡改正。否那么不然。6.3.2

认证技术2.数字签名技术根本原理报文发送方从报文文本中生成一个128位的散列值(或报文摘要),并用自己的专用密钥对这个散列值进行加密,形成发送方的数字签名;该数字签名将作为报文附件和报文一起发送给报文接收方;报文接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要)再用发送方的公开密钥来对报文附加的数字签名进行解密,假设两个散列值相同,那么接收方就能确认该数字签名是发送方的,通过数字签名能够实现对原始报文的鉴别和不可否认性。6.3.2

认证技术3.数字时间戳技术根本原理用户首先将需要加时间戳的文件用Hash算法运算行程摘要;将该摘要发送到DTS;DTS在参加了收到文件摘要的日期和事件信息后再对该文件加密〔数字签名〕;送达用户。6.3.2认证技术4.数字证书和认证技术由权威机构——CA证书授权〔CertificateAuthority〕中心发行的,能提供在Internet上进行身份验证的一种权威性电子文档,人们可以在互联网交往中用它来证明自己的身份和识别对方的身份。图6-2中国数字认证网6.3.2认证技术5.生物特征识别认证生物特征识别技术是通过计算机与光学、声学传感器和生物统计学原理等高科技手段结合,利用人体固有的生理特征〔如指纹、掌纹、虹膜等〕来进行个人身份的鉴定。填空:1认证技术主要用于身份认证与〔〕认证。2报文认证主要用于保证通信双方信息的〔〕性和完整性。3认证技术包括数字摘要技术、数字〔〕技术、数字〔〕和认证技术、生物〔〕认证技术。6.3.3平安协议技术1.平安套接层协议技术平安套接层协议SSL(SecureSocketLayer)是Netscape公司率先采用的网络平安通信协议。现在被广泛用于Internet上的身份认证与Web效劳器和用户端浏览器之间的数据平安通信。SSL采用对称密码和公开密码相结合技术,采用密码和证书实现通信数据完整性、认证性等平安效劳。6.3.3平安协议技术SSL协议的功能:1〕客户对效劳器的身份确认2〕效劳器对客户的身份确认3〕建立起效劳器和客户之间平安的数据通道6.3.3平安协议技术SSL协议的组成SSL协议的组成是握手协议层和记录协议层。SSL协议的效劳1〕认证效劳2〕数据加密效劳3〕数据完整性效劳SSL协议的运行步骤6.3.3平安协议技术2.平安电子交易协议技术SET协议的定义:平安电子交易协议SET(SecureElectronicTransaction)是基于信用卡在线支付的电于商务平安协议。它是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的标准。SET协议的功能:SET协议是一个基于可信的第三方认证中心的方案,涉及的当事人包括持卡人、发卡机构、商家、银行以及支付网关。6.3.3平安协议技术2.平安电子交易协议技术SET协议的组成:SET为基于信用卡进行电子交易的应用提供了实现平安措施的规那么。SET支付系统主要由持卡人、商家、发卡行、收单行、支付网关、认证中心等六个局部组成。SET协议的技术:SET协议是一种电子支付系统的平安协议,涉及加密、认证等多种技术。6.3.3平安协议技术2.平安电子交易协议技术SET协议的运行步骤:6.3.3平安协议技术3.SSL与SET的比较分析认证要求平安性网络层协议位置应用领域SSL、SET协议的全称分别是〔〕、〔〕,二者平安级别较高的是〔〕。6.3.4黑客防范技术案例6-8:电商成黑客敛财新目标大多企业遭过攻击

表6-1被黑客攻击的电商企业及其损失情况

电商企业被攻击时间造成损失京东商城2010年大规模攻击数据外泄,损失金额未知当当网2011年11月大规模攻击200万会员个人数据(电话、姓名、地址、邮箱等)泄露凡客诚品2011年大规模攻击数据外泄,损失金额未知淘宝网2010年10月份大规模攻击支付宝用邮箱2400多万个人账号泄露走秀网2009年、2010年、2011年陆续被攻击600万会员注册邮箱账号泄露佳品网未知100多万会员注册邮箱账号泄露1号店2009年、2010年、2011年陆续被攻击90万用户数据泄露,7月份整月购物数据泄露6.3.4黑客防范技术1.防火墙技术定义:防火墙,是一个分析器、限制器、别离器,能有效地控制内部网络与外部网络之间的访问及数据传输,从而到达保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。功能:1〕网络平安的屏障2〕强化网络平安策略3〕对网络存取和访问进行监控审计4〕防止内部信息的外泄6.3.4黑客防范技术1.防火墙技术分类:1〕包过滤型〔PacketFiltering〕防火墙2〕应用代理效劳型防火墙创立防火墙的步骤:1〕定制平安策略2〕搭建平安体系结构3〕制定规那么次序4〕制定规那么集5〕注意更换控制6〕做好审计工作6.3.4黑客防范技术2.入侵检测技术定义:入侵检测是指“通过对行为、平安日志或审计数据或其他网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。〞功能:1〕监视、分析用户及系统活动;2〕检测系统配置的正确性和平安漏洞,并提示管理员修补漏洞;3〕识别反映进攻的活动模式,并向网关人员报警;4〕异常行为模式的统计分析,发现入侵行为的规律;5〕评估重要系统和数据文件的完整性;6〕操作系统的审计跟踪管理,并识别用户违反平安策略的行为。6.3.4黑客防范技术2.入侵检测技术分类:1〕基于主机的入侵检测系统2〕基于网络的入侵检测系统入侵检测技术:1〕特征检测2〕异常检测6.3.4黑客防范技术2.入侵检测技术入侵检测步骤:1〕信息收集2〕信号分析:模式匹配统计分析完整性分析6.3.4黑客防范技术3.网络平安评估技术网络平安评估技术的内容网络平安评估技术可分为基于应用和基于网络两种评估技术。网络平安评估技术工作原理通过漏洞扫描来监测计算机的平安脆弱性技术;根据各种监测的信息,完成对计算机平安的评估,找出存在的各种平安隐患。网络平安评估技术的方法主要方法是:基于规那么的评估;基于模型的评估。在实践中,应该实行两种方法的有效结合。网络平安评估技术的实施6.3.5病毒防范技术案例6-9:警惕网购木马“抢钱〞1.病毒预防技术病毒预防技术就是通过自身常驻系统内存优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。病毒预防技术包括:磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。6.3.5病毒防范技术2.病毒检测技术病毒检测技术是指通过一定的技术手段判定出特定计算机病毒的一种技术。两种类型:一种是根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化,在特征分类的根底上建立的病毒检测技术。另一种是不针对具体病毒程序的自身校验技术。6.3.5病毒防范技术3.病毒去除技术病毒去除技术是病毒检测技术开展的必然结果,是计算机病毒传染程序的一种逆过程。6.3.6虚拟专网技术虚拟专用网〔VirtualPrivateNetwork,简称VPN〕技术:将物理上分布在不同地点的网络通过互联网连接而形成逻辑上的虚拟“私〞网,依靠ISP〔InternetServerProvider,互联网效劳提供商〕或NSP〔NetworkServerProvider,网络效劳提供商〕在平安隧道、用户认证和访问控制等相关技术的控制下到达与专用网络相类同的平安性能,从而实现基于Internet

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论