电子商务基础电子商务安全技术.ppt

电子商务安全技术 2011学年 电子商务安全技术 电子商务所面临的安全问题 系统的中断与瘫痪 信息被窃取——信用卡信息、身份信息等等 信息被篡改——QQ号等 信息被伪造——黑网站 电子商务的安全要求 保证网上相关数据流的必威体育官网网址性 保证网络上相关商务数据不被随意篡改（完整性） 保证电子商务各方身份的认定 保证电子商务行为发生的事实及发生内容的不可抵赖性 保证电子商务系统运行的稳定可靠、快捷，做好数据备份与灾难恢复功能，并保证一定的商务处理速度 电子商务的安全策略 所谓电子商务的安全策略，是一个实体或组织机构在从事电子商务实务中关于安全方面的纲要性条例，用书面形式明确描述所需保护的资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些行为不可接受、各种安全防护方法与工具的应用。 电子商务安全策略陈述的内容：物理安全、网络安全、访问授权、病毒防护、灾难恢复等， 电子商务的安全策略要随时间变化而变化，要根据实际情况进行修改 电子商务安全策略的目的 保障相关电子商务信息的机密性、完整性、认证性、不可否认性、不可拒绝性和访问控制性不被破坏； 能够有序的、方便的鉴别和测试电子商务系统的安全状态； 能够对电子商务可能的风险作出一个基本的评估； 制定措施和手段用于电子商务系统的安全被破坏后的恢复工作。 电子商务安全策略的主要内容 定义实现安全的电子商务所需要保护的资源 要确定保护的风险 涉及的有关电子商务安全的法律法规 规划电子商务的具体安全防护机制 某公司的电子商务安全策略 AAA公司是一个大型制造型企业，公司通过Extranet与100多家公司有供应链上的交易活动，这些活动包括订货、合同签订、供货、发货、网络支付等。对AAA公司而言，关键的资源就是服务器上的相关电子合同及支付信息文档等。这些文档不但密切关系到本公司的重大经济利益，而且涉及到其他许多公司的经济信息，如果这些信息泄露或被修改，有可能对AAA公司造成重大损失。因此，这些关键资源的风险极大，对电子商务安全的要求很高。 针对AAA的电子商务安全要求，这家公司的电子商务安全策略应包含哪些内容？ 电子商务安全方法与工具 电子商务业务流程中各参与方的身份认证 电子商务相关数据流内容的必威体育官网网址性 电子商务相关数据流内容的完整性 保证电子商务行为和内容的不可否认性 处理多方贸易业务中的多边安全认证问题 电子商务系统中应用软件、支撑的网络平台的正常运行 积极寻求相关管理既有的帮助，理解并有效使用相应的电子商务法律、信用体系保护自己。 AAA公司安全策略的基本规则 对每一次电子商务业务流程进行机密性、完整性和认证性防护 对电子商务涉及的软、硬件系统进行有效防护与备份，能灾难恢复 对不可否认性的要求严格，如支付确认、合同签收 对不可拒绝性的要求一般，如价格查询 对访问控制性的要求极严格，隔绝外部对有关支付信息文档的访问，严格控制内部人员对支付结算文档或者合同的访问 AAA公司的安全防护机制 应用密钥加密技术，数字指纹与数字签名，数字证书等安全技术（或工具）实现网上交易需要的机密性、完整 性和认证性，并制定严格的密钥管理制度 配置双机系统，磁盘阵列与防病毒软件系统 为了实现对不可否认性的严格要求，对不可否认性的认证文件，必须建立严格的备份、归档制度，如电子备份与纸质备份并用等 针对不可拒绝性的一般性要求，可以对客户的硬件设施等不提出特殊要求 AAA公司的安全防护机制 因为要求隔绝外部对电子商务必威体育官网网址性信息文档的访问，必须设置良好的防火墙等内部网络防护措施 因为要求严格控制内部人员对电子商务有关的重要文档的访问，因此一方面从技术上使用一切预防和监察手段，如网络监控与追踪软件；另一方面，制定内部人员对整体信息文档的访问权限守则和监督制度 电子商务网络平台的安全及防火墙技术 网络平台系统的构成及其主要安全威胁 Internet网络平台系统的安全措施 防火墙技术与应用 网络平台系统的构成及其主要安全威胁 公共通讯通道所面临Internet的安全威胁 截断阻塞 伪造 篡改 介入 Intranet网络所面临的安全威胁 作为节点的Intranet所面临的安全威胁与internet是不同的 Intranet是一个边界确定、结构严谨、控制严格的环境，并且可以在企业（商家等）中实现强制性的集中安全控制 Internet网络平台系统的安全措施 保护网络安全 保护应用安全 保护系统安全 Internet网络平台安全之保护网络安全 全面规划网络平台的安全策略 制定网络安全的管理措施 使用防火墙 尽可能记录网络上的一切活动，根据这些记录信息来定位和分析非法入侵活动 注意对网络设备的物理保护。电缆、路由器、用户联网机、网络服务器等硬件可能会受到物理攻击 检验网络平台系统的脆弱性 建立可靠的识别和鉴别机制 Internet网络平