电子商务安全技术实用教程 课件 第09、10章 移动电子商务安全、电子商务安全管理_第1页
电子商务安全技术实用教程 课件 第09、10章 移动电子商务安全、电子商务安全管理_第2页
电子商务安全技术实用教程 课件 第09、10章 移动电子商务安全、电子商务安全管理_第3页
电子商务安全技术实用教程 课件 第09、10章 移动电子商务安全、电子商务安全管理_第4页
电子商务安全技术实用教程 课件 第09、10章 移动电子商务安全、电子商务安全管理_第5页
已阅读5页,还剩44页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

第九章移动电子商务安全9.1移动电子商务安全概述9.2移动电子商务安全技术9.3移动支付与安全9.1移动电子商务安全概述9.1.1移动电子商务安全问题(1)无线网络自身的安全问题:所有通信都是通过无线接口来传输的、无线接口是开放的、各基站与移动服务交换中心之间的通信媒质就不尽相同(2)移动设备的不安全因素:移动设备很容易被破坏或者丢失,用户身份、账户信息和认证密钥丢失;移动设备被攻击和数据破坏;SIM卡被复制;RFID被解密等方面。(3)手机病毒造成的安全威胁:移动设备自身硬件性能不高,不能承载现今成熟的病毒扫描和入侵检测的程序。(4)移动商务平台运营管理漏洞造成的安全威胁:大量移动运营平台如何管理、如何进行安全等级划分、如何确保安全运营,还普遍缺少经验。(5)移动商务应用相关法律和制度不健全:现有的法律对新的电子商务模式不能有效适应移动商务的迅猛发展。9.1.2移动电子商务安全策略(1)端到端的安全(2)采用无线公共密钥技术(3)加强身份认证和移动设备识别管理(4)使用病毒的防护技术(5)规范移动电子商务行业管理(6)完善移动电子商务相关法律9.2移动电子商务安全技术9.2.15G移动通信系统安全体系1.移动网络通讯技术的发展第一代模拟蜂窝移动通信系统(1G)几乎没有采取安全措施第二代数字蜂窝移动通信系统(2G)主要有基于时分多址(TDMA)的GSM系统、DAMPS(DigitalAdancedMobilePhoneSystem数字高级移动电话系统)及基于码分多址(CDMA)的CDMAone系统。第三代移动通信系统(3G)在2G的基础上进行了改进,定义了更加完善的安全特征与安全服务。第四代移动电话行动通信标准(4G)是集3G与WLAN于一体,并能够快速传输数据、高质量、音频、视频和图像等,4G有着不可比拟的优越性。第五代移动通信系统(5G)相比4G,频谱效率提高5~15倍,能效和成本效率提高百倍以上2.5G的网络架构(1)接入平台(2)控制平台(3)转发平台3.5G网络的安全问题(1)新场景造成新的安全威胁:5G有新的应用场景,有增强移动宽带、低功耗大连接、低时延高可靠三大应用场景。(2)新网络架构的挑战:为了更好地支持5G应用场景,现在5G提出了以IT为中心的网络架构,会引入多功能无线接入、SDN、云计算、NFV等技术(3)总体安全需求:5G必须要提供比4G更高的安全隐私保护和保障。4.5G网络的安全架构与4G相比,5G具有更强的安全能力,主要体现在以下几个方面:(1)服务域安全:5G采用完善的服务注册、发现、授权安全机制及安全协议来保障服务域安全。(2)更强的用户隐私保护:5G网络使用加密方式传送用户身份标识,以防范攻击者利用空中接口明文传送用户身份标识来非法追踪用户的位置和信息。(3)更强的完整性保护:5G网络进一步支持用户面数据的完整性保护,以防范用户面数据被篡改。(4)更强的网间漫游安全:5G网络提供了网络运营商网间信令的端到端保护,以防范攻击者以中间人攻击的方式获取运营商网间的敏感数据。(5)统一认证框架:5G采用统一认证框架,能够融合不同制式的多种接入认证方式。9.2.2无线局域网安全技术1.MAC地址过滤技术:MAC地址过滤技术又称为MAC认证。由于每个无线客户端都有唯一的物理地址标识2.SSID匹配技术:被称为第一代无线安全,它会输入到AP和客户端中,只有客户端的SSID与AP一致时才能接入到AP中。3.WEP安全机制:有线对等保密WEP在链路层采用RC4对称加密技术,用户的密钥只有与AP的密钥相同时才能获准存取网络的资源。4.IEEE802.11i标准:2004年6月,IEEE正式通过了IEEE802.11i标准,规定了两种网络构架:过渡安全网络TSN和强健安全网络RSN。5.WPA安全机制:由WiFi联盟提出的一种新的安全机制。它使用两种验证方式:WPA-EAP、WPA-PSK。6.WAPI安全机制:WAPI是我国自主制定的无线安全标准,它采用椭圆曲线密码算法和对称密码体制,有很多优势。9.2.3蓝牙安全技术1.蓝牙通讯技术蓝牙(Bluetooth)是由东芝、爱立信、IBM、Intel和诺基亚于1998年5月共同提出的近距离无线数据通讯技术标准。它能够在10米的半径范围内实现单点对多点的无线数据和声音传输,其数据传输带宽可达1Mbps。通讯介质为频率在2.402GHz到2.480GHz之间的电磁波。2.蓝牙安全问题蓝牙装置应该设为只在进行通讯时才能够检测得到,并且授权给对方的权限也应该有限制。有些程序可以借助测试地址序号来检测装置的存在,但这样软件也就有机会暴露装置地址。使用者如果要加快文件传输速度而允许非经允许的联机权利,那么安全问题值得担心。3.蓝牙的安全模式无安全模式、服务层加强安全模式、链路层加强安全模式9.2.4无线应用通信协议(WAP)的安全1.WAP概念无线应用协议WAP(WirelessApplicationProtocol)。它由一系列协议组成,用来标准化无线通信设备它负责将Internet和移动通信网连接到一起,客观上已成为移动终端上网的标准1998年5月WAPl.0版正式推出,WAP.1版也在1999年5月正式发行,2001年8月WAP2.0正式发布。图9-3WAP安全架构图9-4WPKI的工作过程表9-1WPKI与PKI的技术对比WPKIPKI应用环境无线网络有线网络证书WTLS证书/X.509证书X.509证书密码算法ECC椭圆曲线密码算法RSA安全连接协议WTLSSSL/TLS证书撤销短时证书CRL、OCSP等协议本地证书保存证书URL证书CA交叉认证不支持支持弹性CA不支持支持表9-2WTLS和SSL的比较特征SSLWTLS支持数字证书类型X.509格式证书X.509格式证书、证书URL、WTLS格式证书、X.968(draft)格式证书是否必须进行身份认证是,至少单向身份认证否,支持匿名模式握手协议DH-DSS、DH-RSA、RSADHanon、RSAanon、ECDHanon、RSA、ECDH-ECDSA证书是否包含序列号要求包含不要求包含对称加密算法RC4、DES、3DES、IDEARC5、DES、3DES、IDEA报警信息校验和无有是否支持UDP服务不支持支持9.3移动支付与安全10.3.1移动支付的概述1.移动支付概念移动支付是在商务处理流程中,基于移动网络平台,随时随地利用现代的移动智能设备如手机、PDA、笔记本电脑等,为服务于商务交易而进行的有目的资金流流动。2.移动支付的交易流程3.移动支付业务模式(1)手机话费模式:主要适用于图铃下载、游戏等移动增值业务费用的缴纳。(2)虚拟卡模式:要求移动用户将银行卡与手机号码事先绑定,即手机号码成为虚拟银行卡。(3)手机银行模式:要求用户在银行网点开通手机银行业务或换STK卡,申请手机银行关联帐户的支付密码。(4)虚拟帐户模式:要求用户预先将资金转帐或充值到后台服务器的虚拟帐户内,或者将该虚拟帐户与银行卡账户关联,支付宝、贝宝等(5)物理卡的关联支付模式:将银行卡帐户、储值卡和电子钱包,经过特殊工艺加工或异型,贴在手机后盖上,或者改造手机后形成双卡手机或双模手机。表9-3移动安全解决方案解决方案原理说明缺点优点智能SD卡将智能卡嵌在SD内,重新定义SD卡的扩展脚用与外接天线现场解决方案有待成熟简单易行,业务扩展方式灵活SIMPASS利用SIM卡作为支付信息的安全载体,通过SIM的C4C8脚引出外接天线,放在电池后面机械接触点不稳定,天线容易断裂,C4C8脚的利用不是国际通用标准简单易行iSIM支付信息放在一张很薄的智能卡内,该卡贴在SIM卡上,作为桥接器,过滤分析SIM卡和手机的通讯并进行处理,外接天线连接在这张薄卡上SIMPASS的缺点都具备的同时,还可能存在法律方面的问题简单易行,业务扩展方式灵活RF-SIM利用SIM卡作为支付信息的载体,同时在SIM卡上添加无线调制解调器,实现现场支付,采用2.4GHZ频率,无需外接天线用户界面采用STK菜单方式,友好型不足,同时由于采用2.4GHZ的频率,无法和现有非接触式终端(13.56MHZ)兼容不用调换或改造手机就可实现现场及远程交易贴片将非接触式智能卡贴在手机的后盖上无法实现远程支付简单易行NFC按照手机支付的需求重新设计手机终端支持现场和远程支付目前支持的手机终端少符合国际标准,是手机支付的终极解决方案9.3.2移动支付安全问题与对策1.移动支付安全问题移动支付设备的安全移动支付用户信息保护移动支付方式的安全移动支付业务风险2.移动支付的安全对策服务对象层(用户、商户)服务运营层(受理机构、转接清算机构、账户管理机构、渠道运营商)技术支撑层(移动终端厂商、受理终端厂商、卡商、芯片商等)检测认证层(检测机构、认证机构)本章小结在无线环境里,由于空中接口的开放,人们对于进行商务活动的安全性的关注远远超过有线环境。技术保障:认证系统WPKI、MAC地址过滤、无线网安全标准、加密技术、防火墙技术等等。也还必须从管理、法律、信用、行业自律等方面加强安全体系的建设。我国手机使用者的不断增长、手机支付业务需求的不断攀升、移动手机商务市场的不断繁荣扩大。第十章电子商务安全管理10.1信息安全体系与安全模型10.2电子商务风险管理与安全评估10.3电子商务法律法规10.4电子商务信用体系10.1信息安全体系与安全模型9.1.1信息安全体系1.OSI安全体系结构国际标准化组织ISO于1989年在原有网络通信协议七层模型的基础上扩充了OSI参考模型,确立了信息安全体系结构,国际标准ISO7498-2-1989《信息处理系统·开放系统互连、基本模型第2部分安全体系结构》,为开放系统标准建立框架。OSI安全体系结构包括五类安全服务以及八类安全机制。表10-1ISO7498-2的安全服务与机制安全服务安全机制对等实体鉴别访问控制数据保密数据完整性抗抵赖加密√

√√

数字签名√√

√√访问控制

数据完整性

√√认证交换√

业务流填充

路由控制

公证机制

√10.1.2网络安全模型1.PPDR网络安全模型PPDR是美国国际互联网安全系统公司(ISS)提出的动态网络安全体系的代表模型,也是动态安全模型的雏形。PPDR的基本思想是:在整体安全策略的控制和指导下,在综合运用防护工具(如防火墙、身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整到“最安全”和“风险最低”的状态。9.1.2网络安全模型2.PDRR网络安全模型PDRR是美国国防部提出的安全模型,PDRR模型与前述的PPDR模型有很多相似之处。其中Protection(防护)和Detection(检测)两个环节的基本思想是相同的,PPDR模型中的Response(响应)环节包含了紧急响应和恢复处理两部分,而在PDRR模型中Response(响应)和Recovery(恢复)是分开的,内容也有所扩展。10.1.3信息安全管理体系1.信息安全管理体系的概念信息安全管理体系ISMS(InformationSecurityManagementSystem),是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。

BS7799-2是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系。图10-3PDCA模型与信息安全管理体系过程10.2电子商务风险管理与安全评估10.2.1电子商务风险管理1.风险相关概念漏洞:是攻击的可能的途径。威胁:是一个可能破坏信息系统环境安全的动作或事件。风险=威胁+漏洞2.风险评估风险评估有时候也称为风险分析,是组织使用适当的风险评估工具,对信息和信息处理设施的威胁、影响和薄弱点及其发生的可能性的评估,也就是确认安全风险及其大小的过程。风险计算:风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))其中,R表示风险计算函数;A,T,V分别表示资产、威胁和脆弱性;L表示安全事件发生的可能性;F表示安全事件发生后造成的损失;Ia表示资产重要程度;Va表示脆弱性的严重程度。3.风险管理的内容与过程风险管理:指以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。风险管理通过风险评估来识别风险大小,通过制定信息安全方针,选择适当的控制目标与控制方式使风险得到避免、转移或降至一个可被接受的水平。风险管理的过程:风险评估风险处理基于风险的决策10.2.2电子商务安全评估1.网络安全评估(1)了解网络的拓扑(2)获取公共访问机器的名字和IP地址(3)对全部可达主机做端口扫描的处理2.平台安全评估(1)认证基准配置、操作系统、网络服务没有变更(2)认证管理员的口令3.应用安全评估(1)编写质量低的应用程序(2)必须将黑客纳入平台安全评估中(3)黑客最通用的方法是安装口令探测器以获得口令进行攻击10.2.3信息安全等级标准1.美国可信计算系统评价准则TCSEC1983年由美国国防部制定的5200.28安全标准即网络安全橙皮书或桔皮书利用计算机安全级别评价计算机系统的安全性。目前比较流行的评估标准分为4个方面(类型)、7个安全等级表10-2TCSEC安全等级类别级别名称主要特征DD低级保护没有安全保护CC1自主安全保护自主存储控制C2受控存储控制单独的可查性,安全标识BB1标识的安全保护强制存取控制,安全标识B2结构化保护面向安全的体系结构,较好的抗渗透能力B3安全区域存取监控、高抗渗透能力AA验证设计形式化的最高级描述和验证表10-3我国计算机信息系统安全保护等级等级名

称描

述第一级用户自我保护级安全保护机制可以使用户具备安全保护的能力,保护用户信息免受非法的读写破坏。第二级系统审计保护级除具备第一级所有的安全保护功能外,要求创建和维护访问的审计跟踪记录,使所有用户对自身行为的合法性负责第三级安全标记保护级除具备前一级所有的安全保护功能外,还要求以访问对象标记的安全级别限制访问者的权限,实现对访问对象的强制访问第四级结构化保护级除具备前一级所有的安全保护功能外,还将安全保护机制划分为关键部分和非关键部分,对关键部分可直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力第五级访问验证保护级除具备前一级所有的安全保护功能外,还特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问10.3电子商务法律法规电子商务安全法律法规的主要内容电子商务涉及的法律法规问题非常广泛,如合同法、税法、知识产权法、银行法、票据法、海关法、广告法、消费者权益保护法、刑法及工商行政法规等等。10.3.1电子商务网络安全的法律法规1.计算机信息系统安全专用产品检测和销售许可2.国际互联网出入信道的管理制度3.市场准入制度4.计算机病毒防治管理办法5.网络经营者的责任10.3.2电子商务信息安全的法律法规目前我国出台的电子商务信息安全的相关法律规范有以下方面:(1)计算机信息系统安全保护;(2)计算机信息网络国际联网的安全保护;(3)计算机信息网络国际联网保密管理制度;(4)电子公告服务的信息安全;(5)新闻业务的信息管理。10.3.3电子商务交易安全的法律法规(1)电子商务信息服务的授权管理制度(2)电子商务安全交易的投诉处理机制(3)电子商务交易安全的法律规范10.3.4我国电子商务法《中华人民共和国电子商务法》是政府调整企业和个人以数据电文为交易手段,通过信息网络所产生的,因交易形式所引起的各种商事交易关系,以及与这种商事交易关系密切相关的社会关系、政府管理关系的法律规范的总称。2013年12月27日,全国人民代表大会常务委员会正式启动了《中华人民共和国电子商务法》的立法进程。2018年8月31日,第十三届全国人民代表大会常务委员会第五次会议表决通过《中华人民共和国电子商务法》,自2019年1月1日起施行。《中华人民共和国电子商务法》对电子商务经营者、电子商务合同的订立与履行、电子商务争议解决、电子商务促进和法律责任这5个方面做了规定。明确规定了电子商务各方主体的合法权益,规范了电子商务行为,为网购消费者撑起了法律的“保护伞”,是电子商务领域的一部基础性法律。电子商务法的10个特点:1.将微商、代购、网络直播纳入范畴2.电子商务平台不得删除消费者评价3.制约大数据杀熟4.禁止“默认勾选”,应显著提示搭售5.押金退还不得设置不合理条件6.规范电子商务合同的订立与履行中的难点问题7.平台不能强制商家“二选一”8.平台经营者自营应显著标记9.强化经营者举证责任10.平台经营者未尽义务应依法担责10.4电子商务信用管理10.4.1社会信用体系1.社会信用体系的概念社会信用体系也称国家信用管理体系或国家信用体系社会信用体系的建立和完善是社会市场经济不断走向成熟的重要标志之一社会信用体系是以相对完善的法律、法规体系为基础,以建立和完善信用信息共享机制为核心,以信用服务市场的培育和形成为动力,以信用服务行业主体竞争力的不断提高为支撑,以政府强有力的监管体系作保障的国家社会治理机制图10-4社会信用体系组成2.社会信用体系的结构从纵向延伸的角度①信用管理行业

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论