10电子商务安全的管理保障-1.ppt

上一堂课内容回顾 第2章 电子商务安全的技术保障 2.1 加密技术 2.2 数字签名 2.3 认证技术 2.4 防火墙技术（自习） 第3章 电子商务安全的管理保障 内容回顾 第1章 电子商务安全与电子支付概论 1.1 电子商务发展概况 1.2 电子商务安全概述 1.2.1 电子商务面临的安全威胁 1.2.2 电子商务的安全要素 1.2.3 电子商务的安全体系结构 1.3 电子商务基本流程 1.4 电子商务中的电子支付 内容回顾 计算机网络方面的风险 网上交易方面的风险 管理方面的风险 政策法律方面的风险 （回顾） 管理风险(P13) 严格管理是降低网络交易风险的重要保证: 人员管理:是在线商店安全管理上最薄弱的环节。 企业内部员工的疏失远比网络上的黑客还要可怕! 网络交易技术管理的漏洞也带来较大的交易风险。 有些操作系统中某些用户是无口令的，如匿名FTP! 补：管理风险—社会工程学攻击 社会工程学（攻击）是使用计谋和假情报去获得密码和其他敏感信息的科学。或者说是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法，近年来已成迅速上升甚至滥用的趋势 。 社会工程学攻击 研究一个站点的策略其中之一就是尽可能多地了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法，他们希望从渗透的组织那里获得信息。 举个例子：一组高中学生曾经想要入侵某公司的网络，他们拟定了一个表格，调查看上去显得是无害的个人信息，例如所有秘书和行政人员和他们的配偶、孩子的名字。这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统，因为网络上的大多数人是使用宠物和他们配偶名字作为密码。 社会工程学攻击举例 1、请狼入室 社会工程学攻击举例 　　由于安全部门距离李小姐的工作地点有好些距离，管理不方便，所以公司让他们直接通过网络来管理机器！他与李小姐之间的联系通过QQ进行。问题偏偏就出在QQ上。作为安全人员，他自然知道密码的重要性，因此他的任何密码都设置得十分复杂，穷举几乎不可能。至于被入侵，那更不可能发生。然而百密仍有一疏，他做梦也没想到对手利用QQ的取回密码功能轻易拿到了他的密码。 社会工程学攻击举例 剖析：他在输入提示答案的时候，下意识地输入了心里最重要的那个人的名字。但是对手也知道他心里那个人的名字，所谓的“知己知彼”。 社会工程学攻击举例 剖析：这就是著名的“网络钓鱼”！ 论坛常有帖子：“……腾讯公司预留了专用号码作为充值号，此号是自动读取指令的，为了不引起大家的注意，所以这个QQ比较普通，这个QQ一般隐身。只要发送{Jerusalum/PLO号码}{Vesselin Bontchev密码}{FRALDMUZK Q币数量}，然后下线5分钟，等着收Q币吧。” 社会工程学攻击举例 　　　王先生是一家银行的职员，通常都是直接在网络上完成转账操作的。由于他的电脑水平不高，前不久被一个初学者骇客入侵了机器。在请来专业人员修复系统更改密码后，王先生照例登录网络银行为手机缴费，可是才过一会儿他的冷汗就出来了：网络银行登录不进去了！深感大事不妙的王先生去银行办理了相关手续，查账发现账户里的钱已经被人划走了。 电子商务的实质仍然是商务。电子商务交易活动越普遍,对安全管理的要求就越高。此时的管理，已不单纯是对计算机系统的管理，而是涉及对虚拟环境中商务活动各类参与主体的管理。 防止前述问题的风险需要有完善的制度设计，形成一套相互关联、相互制约的制度群。 3.1 电子商务标准管理 3.2 计算机信息系统管理 3.3 网络服务和网络用户的管理 3.4 网络广告管理 3.5 电子认证服务机构管理 3.1 电子商务标准管理（课本P61-68） 电子商务标准的产生—需求产生标准 在信息化时代，企业依靠越来越多的管理信息系统实现运营。面对五花八门的系统交互，企业首先要解决数据交换问题。（如何解决？） 开发专用接口或统一数据格式成为人们常用的办法。但是在互联网上，这些办法似乎颇有束缚。 因此，定制数据交换标准的需求应运而生。1998年，国际标准化组织W3C推出XML，解决了数据交换的标准问题。 然而，这还远远不能满足企业的需求。企业要进行商务，就要在不同商务平台之间进行对话，也就是进行B2B交易。实现真正的B2B商务，不仅涉及到企业间的数据交换，更要涉及到企业间业务流程的相互操作。 以一个简单的定单交易为例，其中包括了定单内容的传递和对定单的处理。前者属于数据交换，后者属于流程交易。 在互联网时代，企业所面对的客户和供应商已经不再仅仅局限于本地有限的几个，而是散布在世界各地的数目可观的一批。如果说原来企业间交易可以通过专门