电子商务系统安全管理.pptVIP

电子商务系统的安全管理 电子商务系统的风险源 信息风险 1、冒名偷窃 为了获取重要的商业秘密、资源和信息，常常采用源IP地址进行攻击。在E-mail服务器使用报文传输代理中冒名他人、窃取商业信息。 2、篡改数据 未经授权进入网络交易系统，使用非法手段删除、修改、重发某些商业信息，破坏数据的完整性，损害他人的经济利益，造成网络营销中的信息风险。 3、信息丢失 交易信息的丢失有三种情况：一是线路问题；二是安全措施不当；三是在不同的操作平台上转换操作而丢失信息。 电子商务系统的安全管理 信息传递中的风险 计算机病毒的侵袭、黑客非法入侵、线路窃听等很容易使重要数据在传递过程中泄露，威胁电子商务交易的安全。 电子商务系统的安全管理 信用风险 1、来自买方的信用风险 对于消费者来说，存在着在网络上使用信用卡进行支付时的恶意透支。而对于集团购买者来说，存在拖欠贷款的问题，卖方需要承担这种风险。 2、来自卖方的信用风险 卖方不能按质、按量、按时送寄消费者购买的货物，或者不能完全履行与集团购买者的签定的合同，造成买方的风险。 3、买卖双方都存在抵赖的情况 在网络商品中介交易过程中，客户进入交易中心，买卖双方签定合同，交易中心不仅要都督买方按时付款，还要监督卖方按时提供符合合同要求的货物，这就存在大量的管理问题。 管理和法律方面的风险 管理方面的风险 有些系统中用户是无口令的，例如匿名FTP，利用远程登录命令登录的这些无口令用户。另外，一些竞争对手还利用不正当的方式收买企业网络交易管理人员，窃取企业的用户识别码、密码、传递方式以及相关的机密文件资料。 法律方面的风险 但网上交易可能会承担由于法律滞后而造成的风险。 电子交易中的安全问题 电子交易是电子商务中一种最常用的形式，以信用卡交易为例，Visa和MasterCard公司的调查报告表明，担心食用卡号被窃取已经成为影响人们通过网络进行交易中存在的最大问题。 除发送方和接收方外，不被其他人知悉（隐私性）； 传输过程中不被篡改（真实性）； 发送方能确信接收方不是假冒的（非伪装性）； 发送方不能否认自己的发送行为（非否认）。 虚拟专用网（VPN） 这是用于Internet交易的一种专用网络，它可以在两个系统之间建立安全信道，用于电子数据交换（EDI）。它与信用卡交易和客户发送订单交易不同，因为在VPN中，双方的数据通信量要大得多，而且通信的双方彼此都很熟悉。这意味着可能使用复杂的专用加密和认证技术，只要通信双方能够识别即可，没有必要为所有的VPN进行统一的加密和认证。 数字认证 数字认证可用电子方式证明信息发送者和接收者的身份、文件的完整性（如一个发票未被修改过），甚至数据媒体的有效性（如录音、照片等）。 对加密算法的控制 专用密钥加密（如Triple DES, IDEA,RC4和RC5）和公开密钥加密（如RSA,SEEK,PGP和EU）可用来保证电子商务的必威体育官网网址性、完整性、真实性和非否认服务。 网络安全 网络安全的一个重要内容是网络层协议的安全性，IP是Internet的协议标准，它规定了IP数据报的格式，而TCP是Internet中的传输控制协议标准。 应用安全 应用安全是指在特定应用中建立的安全防护措施，独立于任何网络的安全措施。 系统安全 电子商务系统的安全措施 确保软件不含病毒。 技术上确保系统具有最小穿透风险，采用接入控制机构，通过可靠认证才允许接入。 所有接入数据必须进行审计，对所有端系统用户进行严格安全管理。 对入侵进行检测、审计、追踪。 接入控制技术 接入控制是保证网络安全的重要手段，通过一组机制控制不同级别的主体对目标源的不同授权访问，在对主体认证之后实施网络资源安全管理使用。Internet的接入控制主要对付三类入侵者； 伪装者：非法用户渗透进入系统。 违法者：合法用户非法访问未授权数据、程序或资源。 地下用户：为掌握系统的管理控制，利用它来逃避审计和接入控制或抵制起审计作用的用户。 接入控制的三个功能 阻止非法用户进入系统。 允许合法用户进入系统。 使合法用户按其权限进行各种信息活动。 防火墙的作用 Internet（因特网）的迅速发展，提供了发布信息和检索信息的场所，但它也带来了信息污染和信息破坏的危险，人们为了保护其数据和资源的安全，创建了防火墙。那么防火墙是什么呢？防火墙从本质上说是一种保护装置。它保护的是数据、资源和用户的声誉。 需要保护的数据有三种特征： 必威体育官网网址性：是指用户信息不需要被别人知道。 完整性：是指用户信息不需要被另人修改。 可用性：是指用户希望自己能够使用信息。 防火墙体系结构 双重宿主主机体系结构。 双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器；