第五章 电子商务安全管理

1、第五章电子商务安全管理4.1在线商店开设概要4.2商品照片拍摄和处理4.3第三方平台在线商店开设和管理4.4web制作技术4.5 B2C在线商店管理，第五章电子商务安全管理，5.1电子商务安全概要电子商务安全是有效开展电子商务的前提和保证。 5.1.2电子商务安全内容电子商务的重要特征是利用计算和网络处理和传输商务信息。 电子商务安全的内容可以归纳为三个方面的内容： 1、计算网络安全；2 .商务交易的安全性；3 .电子商务系统的安全管理制度。 第五章电子商务安全管理，第五. 1电子商务安全概述计算机网络安全是指保护计算机网络系统的硬件、软件和数据资源。 开展电子商务所需的基础设施。 商业交易的

2、安全性是指在开放互联网上确保交易信息的机密性、完整性和不可否认性。 电子商务顺利进行的前提。 人员素质是影响电子商务安全的重要因素是保证电子商务成功的重要基础工作。 第五章电子商务安全管理，5.2计算机网络安全威胁的原因1 )黑客攻击，是指非法入侵计算机系统的人。 主要利用计算机系统的缺陷、操作系统的安全漏洞，或通信协议的安全漏洞。 常用手段： a利用UNIX提供的默认账号进行攻击。 清除监听b密码的c日志系统的脆弱性d权限被盗的e磁盘。 第5章电子商务的安全管理，2 )计算机病毒是恶意破坏用户系统的应用程序。 计算机病毒的特征：隐性、传染性、破坏性、潜伏性、触发性、目标性。 计算机病毒的种类

3、：1)引导领域病毒2 )可执行文件病毒3 )宏病毒4 )邮件病毒5 ) web病毒6 )综合型病毒。 第五章电子商务安全管理，3 )拒绝服务攻击的毁灭性攻击，用户以一种手段故意占用大量网络资源，系统没有多馀资源，因此为其他用户提供服务的攻击。 利用TCP/IP协议的缺点，该手段主要是同步流、icmp流、UDP流。 连接中断的攻击使用实际的IP地址进行攻击。 第5章电子商务的安全管理，4 )网络内部的安全威胁是网络内部的用户攻击或内部用户因错误操作丢失密码而受到的攻击，是最难防御的攻击。 2 .网络安全威胁的对象1 )对客户端的安全威胁2 )对www服务器的安全威胁3 )对数据库的安全威胁4 )

4、对通信设备、线路的安全威胁、第5章电子商务安全管理、防火墙技术是网络受保护的对象是网络中具有明确的封闭边界的网络块，也是受到保护的网络块外部的安全威胁的对象。 第五章电子商务的安全管理、防火墙的作用1、限制他人进入内部网络，过滤不安全的服务和非法用户2 .内部网的一部分主机访问外部网络，允许另一部分受到保护3 .内部第5章e-businesssecuritymanagement、防火墙的类型包过滤防火墙：通常安装在路由器上，根据网络管理员设定的访问控制列表，流过防火墙的包基于网络层。 代理服务器防火墙：包过滤通过阻止IP地址来防止未经授权的访问。 基于应用层。 第五章电子商务的安全管理，防火墙

5、的界限1，限制了有用的网络服务2 .不通过防火墙的攻击3 .无法防止来自网络内部的攻击4 .防止新的网络安全问题防火墙管理本地管理、远程管理、集中管理、第五章电子商务安全管理、计算机病毒工作原理三个功能模块：感应模块、感染模块、破坏模块计算机病毒、蠕虫和特洛伊木马不同特洛伊木马是？ 是指互联网上的软件通过打开下载和邮件附件来诱惑用户执行，潜伏在计算机中，通过远程黑客程序盗窃用户信息，破坏文件，远程控制电脑等。 第五章电子商务的安全管理，蠕虫是一种通过网络传播的恶性病毒，主要利用计算机系统的脆弱性进行传播。 以互联网内的所有计算机为目标。 计算机病毒防止的基本原则是从管理上防止和技术上防止，第五

6、章电子商务安全管理，第五章计算机网络安全5.2.2网络安全管理的技术手段防病毒软件的选择1，技术支持度2，技术的先进性和稳定性3，病毒的响应速度4， 用户的使用条件和应用环境中常用的杀毒软件，第五章电子商务安全管理5.2计算机网络安全5.2.3防火墙软件的使用(实际技术平台说明)5.2.4杀毒软件的使用(实际技术平台) 第五章电子商务安全管理，5.3商务安全5.3.1电子商务安全基础1，电子商务安全要求1 )信息的机密性。 2 )信息的完整性。 3 )通信的不变性。 4 )交易当事人的身份认证。 5 )信息的有效性。 第五章电子商务安全管理，1，密码知识1 )密码概念：密码是隐藏真相的符号序列

7、。 2 )请不要使用密码安全性的要素位数在6以下使用英语数字的特殊符号等组合安全性过低的密码。请不要定期变更密码，避免密码重复。 第五章电子商务安全管理，3 )密码泄漏的路径被被盗的他人推测密码的3 .基本加密方法1 )对称加密方式(采用DES算法，使用一个密钥)对称密钥加密，也称为秘密密钥加密。 即，信息的发信者和接收者用一个密钥加密和解密数据。 对称加密技术的最大优点在于加密/解密速度快，适于加密大量数据，但难以管理密钥。 第5章电子商务安全管理，2 )非对称加密方式(RSA算法，两个密钥)非对称密钥加密系统，也称为公开密钥加密，另外一种被称为公开密钥(Public-Key )的公开公开公

8、开密钥，需要使用一对密钥分别完成加密和解密信息始发者用公钥加密，信息接收者用私钥解密。 公钥的机制很灵活，但加密和解密的速度比对称密钥的加密慢得多。 解决了密钥交换的问题。 第五章电子商务安全管理，文件加密1)WORD文件加密方法2)EXCEL文件加密方法5.3.2安全认证手段1，数字信封数字信封保证只有密码技术规定的特定接收者才能读取信的内容。 在数字信封中，消息的发送侧使用对称密钥加密消息，用接收侧的公开密钥加密该对称密钥(将该部分称为数字信封)后，与消息一起发送到接收侧，接收侧首先用对应的秘密密钥打开数字信封，得到对称密钥，将对称密钥发送给接收侧。 这项技术安全性相当高。 第五章电子商务

9、安全管理，2，数字摘要(HASH函数算法)数字摘要，使用单向HASH函数对文档中的几个重要要素进行某些转换运算，得到固定长度的摘要代码(数字指纹Finger Print )，在传输信息时附加接收接收者接收文档后，以相同的方法进行转换运算，如果得到的结果与所发送的摘要代码相同，则判断文档未被篡改，反之亦然。 散列编码方法使用单向散列函数将经加密的明文“摘要”定义为l 28位密文，该密文也称为数字指纹(Finger Print )。第五章电子商务安全管理，3、数字签名结合HASH函数和公钥算法，在提供数据完整性的同时，还能保证数据的完整性。 完整性保证传输的数据未被修改，完整性保证确定的合法人生成

10、散列，而不是别人伪造的。 这两种机制可以组合来生成所谓的数字签名。的。 第五章电子商务安全管理，第四，数字证书是指用电子手段证明用户身份和用户对网络资源的访问权限。 在网上电子商务中，双方出示各自的数字证书，用它进行交易操作，双方就不必担心对方身份的真伪。 数字证书的内部格式根据CCITT X.509国际标准规定，具有证书的版本号和数字证书的序列号证书所有者的名字证书所有者的公钥公钥的有效期签名算法处理数字证书的机构数字证书单位的数字签名。 数字证书的类型，类。 第五章电子商务安全管理，5、认证中心电子商务授权机构(CA )也被称为电子商务认证中心(Certificate Authority

11、)。 认证中心(CA )是负责因特网上的安全电子交易认证服务，可以发行数字证书并确认用户身份的服务机构。 认证中心通常是企业性的服务机构，主要任务是接受数字证书的申请、发行和数字证书的管理。 在实际运用中，PS可以由大家信赖的一方负责。 认证机构的核心角色是发行和管理用户的数字证书。 认证机构在整个电子商务环境中处于重要位置，是整个信任链的起点。 认证机构是开展电子商务的基础，如果认证机构不安全或者发行的证书没有权威，就完全谈不到互联网电子商务。 第五章电子商务安全管理，5、认证中心电子商务授权机构(CA )又被称为电子商务认证中心(Certificate Authority )。 认证中心(

12、CA )是负责因特网上的安全电子交易认证服务，能发行数字证书并确认用户身份的服务机构。 认证中心通常是企业性的服务机构，主要任务是接受数字证书的申请、发行和数字证书的管理。 在实际运用中，PS可以由大家信赖的一方负责。 认证机构的核心作用是发行和管理用户数字证书。 认证机构在整个电子商务环境中处于重要位置，是整个信任链的起点。 认证机构是开展电子商务的基础，如果认证机构不安全或者发行的证书没有权威，就完全谈不到互联网电子商务。 第五章电子商务安全管理，5.3商务安全5.3.3安全交易协议1，安全插座协议1 )安全插座协议是Netscape公司于1994年设计开发的安全协议，主要用于提高应用程序

13、间的数据安全系数。 2 )提供的服务用户和服务器的身份认证，数据的机密性的保证，数据的完整性的维持，第五章电子商务安全管理，3)SSL协议的执行过程a .连接阶段b .密码交换阶段c .会谈密码阶段d .验证阶段e .顾客认证阶段f .结束阶段，第五章电子商务安全管理，4 国务院最新公布的商业密码管理条例2 )系统安全性差异3 )运营的基点是企业对顾客信息保密的承诺，有利于企业对顾客不利。 第五章电子商务安全管理，2 .安全电子商务协议(SET) 1)安全电子商务是通过开放网络(包括互联网)支付安全资金的技术标准，由VISA和MasterCard组织共同制定，1997年5月共同公布。 2)SE

14、T协议的目标a .保证参加者相互隔离b .保证信息的安全传输，第五章电子商务安全管理，c .指定解决了多方面认证问题的d .保证交易实时性的e .协议和消息形式。3)SET的结构4)SET协议中的作用5)SET协议评价a .向商家降低成本b .向消费者保证了信用卡的秘密、商家的相容性。 第五章电子商务安全管理、c .用信用卡网络支付具有较低欺诈概率的e .参加交易的各方定义了互操作接口的SET不足之处： a .向客户安装适当的软件并发行证书。 b .合同没有说明收据银行在支付网上商店之前是否需要领取消费者的货物接受证明书。 c .协议不保证“非拒绝行为”。 d .事务完成后，没有提到如何安全地

15、存储或销毁此类数据。 第五章电子商务安全管理，第五章电子商务安全管理，第五章电子商务安全管理5.3.5网上贸易安全欺诈1 .网上银行常用安全手段1 )软键盘输入密码方式2)ACTIVE X控制输入密码方式3 )动态密码方式4 ) 数字证明书方式2 .网络银行进行安全交易的方法1 )设置、保护网络银行密码，第5章电子商务安全管理2 )请注意钓鱼3 )定期查询详细交易4 )利用银行提供的各种增值服务5 )配置安全软件3 .安全软件请不要看支持对象的产品2 )货到付款注意事项3 )实时收费的功能，第5章电子商务安全管理4 .网络上的贸易防止欺诈方法1 )确认对方的身份2 )通过联系方式判断真伪3 )完善必要的买方手续4 )汇款注意事项， 第5章电子商务安全管理5.4电子商务系