电子商务第章--电子商务安全管理.ppt

4 电子商务安全管理 4.1 电子商务的安全问题 4.2 电子商务的安全体系及安全要求 4.3 电子商务的安全管理方法 4.4 电子商务安全基础—PKI技术 4.5 电子商务的安全核心—数字证书4.6 防火墙技术 4.1 电子商务的安全问题 4.1.1电子商务交易的安全威胁 1. 销售者面临的安全威胁 中央系统安全性被破坏 竞争者检索商品递送状况 客户资料被竞争者获悉 被他人假冒而损害公司的声誉 虚假订单或消费者提交订单后不付款 4.1.1电子商务交易的安全威胁 2. 购买者面临的安全威胁 虚假订单 付款后不能收到订单商品 机密性丧失 4.1.2 网络“黑客”常用的攻击手段 “黑客”的攻击手段大致可以归纳为以下几种： 中断—攻击系统的可用性 窃听—攻击系统的机密性 篡改—攻击系统的完整性 伪造—攻击系统的真实性 轰炸—攻击系统的强壮性 4.1.3电子商务的安全风险 从整个电子商务系统着手分析，可以将 电子商务的安全问题归纳为以下四类风险： 信息传输风险 信用风险 管理风险 法律漏洞 4.2 电子商务的安全体系及安全要求 4.2.1电子商务安全体系结构 1. 管理级安全 系统的安全管理基于以下三个原则： 多人负责原则：重要业务实行两人或多人相互制约的机制。 任期有限原则：任何人不得长期担任与交易安全有关的职务。 最小权限原则：明确规定只有网络管理人员才可进行物理访问和软件安装。 4.2.1电子商务安全体系结构 2. 网络级安全 物理安全：整个计算机信息系统安全的前提，主要防止物理通路的损坏、窃听、对线路的攻击（干扰）等。 局域网及子网安全：包括访问控制及网络安全检测。在内外网之间设置防火墙实现内外网隔离与访问控制是保护内部网安全的最主要、最有效、最经济的措施之一 。 4.2.1电子商务安全体系结构 3. 系统级安全 基于网络级安全之上，是提供安全应用 的基础，包括以下两个方面： 系统（主机、服务器）安全：操作系统安全、病毒预防、安全检测、审计与监控。 网络运行安全：网络安全检测、病毒预防、审计与监控 、备份与恢复 。 4.2.1电子商务安全体系结构 4. 应用级安全 信息传输安全（动态安全）：数据加密，数据完整性鉴别，抗否认技术。 信息存储安全（静态安全）：数据库安全，终端安全。 信息的防泄密：信息内容审计。 用户访问控制：鉴别，授权。 4.2.2 电子商务的安全要求 身份确认性 有效性 机密性 真实性、完整性 不可否认性 4.3 电子商务的安全管理方法 4.3.1 客户认证技术 客户认证(Client Authentication，CA)是基 于用户的客户端主机IP地址的一种认证机制， 它允许系统管理员为具有某一特定IP地址的授 权用户定制访问权限。CA与IP地址相关，对 访问的协议不做直接的限制。 4.3.1 客户认证技术 1. 身份认证 身份认证就是在交易过程中判明和确认贸易 双方的真实身份。认证机构应当提供如下认 证的功能： 可信性 完整性 不可抵赖性 访问控制 4.3.1 客户认证技术 一般来说，用户身份认证通过三种基本 方式或其组合方式来实现： 用户所知道的某个秘密信息 用户必须持有某个秘密信息（硬件） 用户所具有的某些生物学特征 4.3.1 客户认证技术 2. 信息认证 信息认证是对网络传输过程中信息的必威体育官网网址性提出保 证，认证机构或信息服务商应当提供如下认证的功能： 对敏感的文件进行加密。 保证数据的完整性，防止截获人在文件中加入其他信息。 对数据和信息的来源进行验证，以确保发信人的身份。 4.3.1 客户认证技术 3. 认证机构认证（CA） 认证中心（Certificate Authority，CA），作为权 威的、可信赖的、公正的第三方机构，专门负责发 放并管理所有参与网上交易的实体所需的数字证书。 电子交易的各方都必须拥有合法的身份，即由数 字证书认证中心（CA）签发的数字证书，在交易的 各个环节，交易的各方都需检验对方数字证书的有效 性，从而解决了用户信任问题。 4.3.1 客户认证技术 CA的核心功能就是发放和管理数字证书。 接收验证最终用户数字证书的申请 证书的审批—确定是否接受最终用户数字证书的申请 证书的发放—向申请者颁发、拒绝颁发数字证书 证书的更新—接收、处理最终用户的数字证书更新请求 接收最终用户数字证书的查询、撤销 产生和发布证书废止列表 数字证书的归档 密钥归档 历史数据归档 CA内部管理 4.3.1 客户认证技术 认证中心的运作主要由以下三个部分实现： 注册服务器：通过 Web Server