《《电子商务安全与管理》第1章电子商务安全现状与趋势.ppt》由会员分享,可在线阅读,更多相关《《电子商务安全与管理》第1章电子商务安全现状与趋势.ppt(38页珍藏版)》请在三一办公上搜索。
1、电子商务安全与管理,第一章,电子商务安全现状与趋势,第一节 电子商务综述,随着电子技术和因特网的发展,信息技术作为工具被引入到商贸活动中,产生了电子商务。通俗的说,电子商务就是在计算机网络(主要指Internet网络)的平台上,按照一定的标准开展的商务活动。当企业将它的主要业务通过内联网(Intranet)、外联网(Extranet)以及Internet与企业的职员、客户、供销商以及合作伙伴直接相连时,其中发生的各种活动就是电子商务。电子商务是运用电子通信作为手段的经济活动,通过这种方式人们可以对带有经济价值的产品和服务进行宣传、购买和结算。这种交易的方式不受地理位置、资金多少或零售渠道的所有
2、权影响,公有私有企业、公司、政府组织、各种社会团体、一般公民、企业家都能自由地参加广泛的经济活动,其中包括农业、林业、渔业、工业、私营和政府的服务业。电子商务能使产品在世界范围内交易并向消费者提供多种多样的选择。,(一)电子商务的定义 电子商务从字面上解释就是通过电子手段进行商务活动。电子商务的英文表示有两种,EC(Electrical Commerce)和EB(Electrical Business)。目前还没有一个统一的、较为全面的、权威性的电子商务的定义。国际标准化组织在关于EB谅解备忘录中对EB的定义是:电子商务是企业之间、企业与消费者之间信息内容与需求交换的一种通用术语。全球信息基础
3、设施委员会对电子商务的定义:电子商务是运用电子通信手段的经济活动,通过这种方式人们可以对带有经济价值的产品和服务进行宣传、购买和结算。,一、电子商务的基本概念,(一)电子商务的定义 联合国国际贸易委员会对EC的定义是:电子商务是采用电子数据交换(EDI)和其他通讯方式增进国际贸易的职能。中国电子商务世界主编赵廷超认为:电子商务是运用现代通信技术、计算机和网络技术进行的一种社会经济形态,其目的是通过降低社会经营成本、提高社会生产效率、优化社会资源配置,从而实现社会财富的最大化利用。因此,电子商务是一种崭新的社会经济形态。另外还有一些IT公司根据自己的技术特点给出了对电子商务的定义,虽然各自差别很
4、大,但是都认同:电子商务是利用现有的计算机硬件设备、软件技术和网络基础设施,通过一定的协议连接起来的电子网络环境中进行的各种各样的商务活动。,一、电子商务的基本概念,(二)电子商务的特性(1)商务性:即提供买、卖交易的服务、手段和机会(2)方便性:人们不再受地域的限制(3)整体性:可使用户更加有效地利用他们已有的 资源和设备(4)可扩展性:必须确保系统具有可扩展性(5)安全性:系统网络能够提供一种端对端的安全 解决方案(6)协调性:客户与公司内部、生产商、批发商、零售商之间的相互协作,一、电子商务的基本概念,3国内外电子商务的发展现状及前景 早在1997年,美国政府就颁布了全球电子商务框架,提
5、出了发展电子商务的五项原则,即私人部门为主、避免不适当的限制、建立必要的法律环境、承认电子商务的特殊性和促进全球电子商务。相对于发达国家,我国开展电子商务存在着很多的制约条件,如网络基础设施的落后,标准商业环境的缺乏,法律制度的滞后,网络安全的隐患等等。目前,全球的Internet用户已近达数亿,企业的传统商务活动进入了新的电子商务时代。世界各大IT厂商积极推出的面向电子商务的软件产品和解决方案,使人们已越来越清楚地看到电子商务的优势和应用价值。Internet上的电子商务已被公认为现代商业的发展方向,这是一个发展潜力巨大的市场。,一、电子商务的基本概念,(一)电子商务的主要功能(1)广告宣传
6、(2)咨询洽谈(3)网上购物(4)网上支付(5)电子账户(6)服务传递(7)意见征询(8)交易管理,二、电子商务的主要功能及工作模式,(二)电子商务的工作模式(1)企业间的电子商务(Business to Business,一般简写为B to B或B2B)(2)企业与消费者之间的电子商务(B2C)(3)消费者之间的电子商务(C2C)(4)企业与政府之间的电子商务(B2G)(5)消费者与政府之间的电子商务(C2G)(6)政府与政府之间的电子商务(G2G),二、电子商务的主要功能及工作模式,(三)电子商务的基本工作流程 我们以网上购物为例,来看看电子商务的基本工作流程:(1)登陆网上购物中心(网上
7、商店)(2)浏览(3)选购(4)付款(5)配送,二、电子商务的主要功能及工作模式,三、电子商务的技术支撑与运行平台,(一)电子商务的支撑技术(1)分布式计算技术:分布式计算技术可以把大负荷运算分散 在多台机器上同时进行,并通过某种机制控制它们的协作。(2)网络技术:网络技术是电子商务的基础平台(3)数据存储技术:需要利用数据库技术来管理和存储数据(4)智能代理技术:帮助顾客更有效、更高效地搜集产品信息并 进行价格和产品特点的比较;向顾客提供更个性化的服务;帮助企业更有效、更高效地观察环境,以便与新的发展同 步;提高交易谈判的速度和效率等(5)电子数据交换技术:电子数据交换(Electronic
8、 Data Interchange,EDI)是一种在公司之间传输定单、发票等作 业文件的电子化手段,(二)门户网站平台(1)网站的策划与设计(2)网站接入方式的选择:接入方式目前主要有两种:一是通过专线接入,自己建立网站;二是外购整体网络服务,包括虚拟主机和服务器托管。以上两种形式各有其优缺点,适用于不同的用户需求。虚拟主机 服务器托管 网站域名申请 网站设计的要求和原则:明确目标和需求;网站主题鲜明;注重整体服务功能;注重网页设计制作;注重应用新技术。,三、电子商务的技术支撑与运行平台,四、电子商务的安全支撑环境,(一)信息传输的安全技术(1)加密与解密技术:加密技术是电子商务采取的主要安全
9、措施,贸易方可根据需要在信息交换的阶段使用。(2)防火墙(Firewall):在内部网和外部网之间构造的一个保护层,在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入。(3)数字签名:数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充和篡改等安全问题。数字签名采用一种数据交换协议,使得收发数据的双方能够满足两个条件:接受方能够鉴别发送方所宣称的身份;发送方以后不能否认他发送过数据这一事实。(4)支付网关:支付网关是银行金融系统和Internet之间的接口,位于Internet和传统的银行专网之间,是由银行操作的将Internet上的传输数据转换为金融机
10、构内部数据的设备,或由指派的第三方处理商家支付信息和顾客的支付指令。,(二)安全电子商务的体系结构与技术平台,四、电子商务的安全支撑环境,(二)安全电子商务的体系结构与技术平台(1)数字证书:数字证书是由权威公正的第三方机构即证书认证机构(Certification Authority,CA)签发的,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。(2)CA中心:数字证书认证中心-CA中心,就是一个负责发放和管理数字证书的权威机构,是电子商务中介与买卖
11、双方之外公正的、权威的第三方,是电子商务中的核心角色。当电子交易双方都信任同一个CA时,两者就可以得到对方的公钥,从而能进行秘密通信、签名和检验。(3)CA安全认证系统:承担证书的签发、审批、废止、查询、数字签名、证书/黑名单发布、密钥恢复与管理、证书认定和政策制定等任务。证书的签发 交易时的认证,四、电子商务的安全支撑环境,(三)电子商务的相关标准、法规和法律(1)电子商务的技术标准 EDI标准:1987年,联合国欧洲经济委员会综合了经过10多年实践的美国ANSI X.12系列标准和欧洲流行的“贸易数据交换(TDI)”标准,制定了用于行政、商业和运输的电子数据交换标准(EDI FACT)。识
12、别卡标准:国际标准化组织(ISO)从80年代开始制定识别卡及其相关设备的标准,至今已颁布了37项。我国于90年代从磁条卡开始进行识别卡的国家标准制定工作。现有6项磁条卡国家标准,三项触点式集成电路卡(IC)国家标准。通讯网络标准:目前国际上广泛应用的有MHS电子邮政系统和美国Internet电子邮政系统。我国制定通讯网络国家标准时,主要采用OSI标准。现在我国有146项网络环境国家标准。(2)涉及电子商务的法律法规:今年以来国家相继出台了互联网信息服务管理办法、互联网电子公告服务管理规定、互联网从事登载新闻业务管理暂行规定等相关法规。,四、电子商务的安全支撑环境,(三)电子商务的相关标准、法规
13、和法律(3)国内外电子商务立法方面的重点问题 电子合同与电子签名 电子认证 知识产权 电子货币与电子支付 物流配送 市场准入,四、电子商务的安全支撑环境,第二节 电子商务安全概述,电子商务业务运作模式的开放性和全球化使得安全的含义更为广泛,安全性方面的管理要求更高,所受到重视的程度更高。电子商务的安全不仅仅是狭义上的网络安全,比如防病毒、防黑客、入侵检测等等,从广义上讲还包括信息的完整性以及交易双方身份的不可抵赖性,从这种意义上来说,电子商务的安全涵盖面比一般的网络安全要广泛得多,从整体上可分为两大部分:计算机网络安全和商务交易安全。现实使得人们对电子商务的安全程度忧心忡忡连财大气粗的花旗银行
14、都不能确保自己网络系统的安全,更何况是普通的企业和个人?在电子商务安全程度还不能得到充分保障的情况下,我们怎么可以放心的把自己的银行账号放到网上?我们怎么知道网络那一端的交易对象不是一家骗子公司呢?企业比以往任何时候都更需要知道其合作伙伴的真实身份。客户需要保证其保密信息不会被暴露。恶意的袭击会侵入电子商务站点,进行各种可能的破坏,如制造和传播破坏性病毒或让网站拒绝服务。这些攻击可引起服务崩溃,保密信息暴露,从而最终导致公众信心的丧失,电子商务实施的瓦解。,一、电子商务面临的安全威胁,1安全面临的最大威胁网络攻击:网上人为的恶意攻击是有目的的破坏,可以分为主动攻击和被动攻击。主动攻击是指以各种
15、方式有选择地破坏信息。2黑客:一般特指利用电脑软件,通过网络非法进入他人系统,截获或篡改计算机数据,危及信息安全的电脑入侵者。3计算机病毒:是对计算机资源具有破坏作用的一组程序或指令的集合,它是一个程序,一段可执行码,当达到某种条件时即被激活。4信息爆炸与信息污染:信息爆炸导致大量垃圾信息,如何清理垃圾和网络色情是个很大的难题。5计算机犯罪:指行为人利用计算机操作所实施的危害计算机信息系统(包括内存数据和程序)安全和其他严重危害社会的犯罪行为。,二、电子商务安全管理,(一)电子商务系统安全的重要性(1)电子商务的安全要素:包括:有效性 机密性 完整性 可靠性/不可抵赖性/鉴别 审查能力(2)电
16、子商务系统安全的重要性:表现在于:已成为国家和某些部门的宝贵财富,同时也成为敌对国家和组织以及一些非法用户、别有用心者威胁和攻击的主要对象。电子商务系统本身的脆弱性已成为不安全的内在因素。计算机系统本身存在的隐患就成为不安全因素。而计算机网络的迅速发展,也增加了安全隐患和被攻击的区域及环节。恶劣的环境会导致计算机出错概率和故障的增加,其可靠性和安全性便受到影响。人为地某些因素也会威胁电子商务系统的安全。安全是针对某种威胁而言的,对计算机系统来说,许多威胁和攻击是隐蔽的、潜在的,防范对象是广泛的、难以明确的。电子商务系统安全涉及到许多学科。,(二)电子商务安全问题的界定 电子商务安全是电子商务系
17、统资源和信息资源不受自然和人为有害因素的威胁和危害。其具体含义有四层:系统设备及相关设施运行正常,系统服务适时;软件(包括操作系统软件、数据库管理软件、网络软件、应用软件及相关资料)完整;系统拥有的和产生的数据或信息完整、有效、使用合法、不被破坏或泄露;系统资源和信息资源使用合法。目前我国就计算机安全问题所采取的主要措施:在法律上制定了新的刑法。各部门都建立了相应的计算机安全管理组织和计算机安全管理员 在技术上,有关部门和单位也在有组织、有计划地加紧研究安全问题,逐步发展我国自己的安全产品和安全商品,建立我国自己的计算机安全保护体系。公安部已经制定了计算机安全产品的分类原则,将安全产品分为三大
18、类,十四小类。其三大类是:实体安全 运行安全 信息安全,二、电子商务安全管理,(三)电子商务的安全控制要求 电子商务发展的核心和关键问题是交易的安全性。由于Internet本身的开放性,使网上交易面临着种种危险,也由此提出了相应的安全控制要求。信息保密性 交易者身份的确定性 不可否认性 不可修改性,二、电子商务安全管理,(四)电子商务安全交易的有关标准和实施方法 近年来,IT业界与金融行业一起,推出不少更有效的安全交易标准。主要有:安全超文本传输协议(S-HTTP)。依靠密钥对的加密,保障Web站点间交易信息传输的安全性。安全套层协议(SSL:Secure Sockets Layer)由Net
19、scape公司提出的安全交易协议,提供加密、认证服务和报文完整性。SSL被用于Netscape Communicator和Microsoft IE浏览器,以完成需要的安全交易操作。安全交易技术协议(STT:Secure Transaction Technology)。由Microsoft公司提出,STT将认证和解密在浏览器中分离开,以提高安全控制能力。Microsoft在Internet Explorer中采用了这一技术。安全电子交易协议(SET:Secure Electronic Transaction)。1996年6月,由IBM、Master Card International、Visa
20、 International、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa共同制定的SET标准正式公告,涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网络的标准,其交易形态将成为未来“电子商务”的规范。,二、电子商务安全管理,(五)电子商务的安全防范(1)不要使用简单的密码(2)不要轻易打开邮件附件(3)禁用IE的自动完成功能(4)聊天设置为隐藏用户(5)不要轻易安装和运行下载的软件 和来历不明的软件(6)定期升级你的系统(7)使用防火墙(8)禁止文件共享(9)系统后门和安全补丁(10)身份认证,
21、二、电子商务安全管理,(一)实体安全与环境安全(1)实体安全 容错技术:容错是指用增加冗余资源的方法来掩盖故障造成的影响,使系统在元器件或线路有故障或软件有差错时,仍能正确地执行预定算法的功能。故障诊断技术:诊断技术是指通过检测和排除系统元器件或线路故障,或纠正程序的错误来保证和提高系统可靠性的方法。(2)环境安全 安全的环境是指机房及其设施,它包括机房环境条件、机房安全等级(分A、B、C三级)、机房场地环境选择、机房的建造、机房的装修和计算机的安全防护(防火、防水、防震、防盗和防物理、化学和生物灾害以及安全供电等)。通常机房环境的要求是:温度一般应控制在213;湿度应保持在40%60%为宜;
22、噪音应控制在64dB以下;电源一般使用220V、50HZ的交流电,最好提供不间断供电电源UPS,并装有可靠的地线;机房附近应避免强磁场干扰。,三、电子商务安全技术,(二)计算机病毒的防治措施与清查技术 计算机病毒的防治措施包括管理和技术两个方面。从管理方面采取的措施,一可控制病毒的产生,二可切断病毒传播的途径;从技术方面应采取的措施主要包括软件防治和硬件防治。计算机病毒的防治要从防毒、查毒、杀毒三方面来进行。预防计算机感染病毒应采取以下措施:机器专人管理负责;不要从A盘引导系统;对所有系统软盘、工具软盘、程序软盘要进行写保护;不使用盗版或来历不明的软件;对游戏程序要严格控制;备份硬盘引导区和主
23、引导扇区数据;对外来盘使用前先用杀毒软件杀毒;杀毒软件要定期升级;注意计算机的各种异常现象。网络上的计算机用户,要遵守网络的使用规定,不能随意在网络上使用外来软件。,三、电子商务安全技术,(三)常用的安全电子交易手段 1密码技术 采用密码技术对信息加密,是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种。(1)公共密钥和私用密钥(Public Key and Private Key)。这一加密方法亦称为RSA算法,是由Rivest,Shamir和Adlernan 三人研究发明的。(2)数字摘要(Digital Digest)。这一加密方法亦称安全Hash编码法(SHA:Sec
24、ure Hash Algorithm)或MDS(MD Standards for Message Digest),由Ron Rivest所设计。上述两种方法可结合起来使用,数字签名就是上述两法结合使用的实例。,三、电子商务安全技术,(三)常用的安全电子交易手段 2认证技术(1)数字签名(Digital Signature)。数字签名与书面文件签名有相同之处,采用数字签名,也能确认两点:信息是由签名者发送的;信息自签发后到收到为止未曾作过任何修改。数字签名并非用“手书签名”类型的图形标志,它采用双重加密的方法来实现防伪与防止否认。,三、电子商务安全技术,图1-1 数字签名过程示意图,三、电子商务
25、安全技术,图1-1即表示了数字签名的过程。其原理为:被发送文件用SHA编码加密产生128bit的数字摘要。发送方用自己的私用密钥对摘要再加密,这就形成了数字签名。将原文和加密的摘要同时传给对方。对方用发送方的公共密钥对摘要解密,同时对收到的文件用SHA编码加密产生又一摘要。将解密后的摘要和收到的文件与接收方重新加密产生的摘要相互对比。如两者一致,则说明传送过程中信息没有被破坏或篡改过。,三、电子商务安全技术,(三)常用的安全电子交易手段 2认证技术(2)数字时间戳(Digital Time-Stamp)。交易文件中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的防止
26、文件被伪造和篡改的关键性内容。在电子交易中,同样需要对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS:digital time-stamp service)就能提供电子文件发表时间的安全保护。数字时间戳服务(DTS)是网上安全服务项目,由专门的机构提供。时间戳(Time-Stamp)是一个经加密后形成的凭证文档,它包括三个部分:需要追加时间戳的文件摘要(Digest);DTS收到文件的日期和时间;DTS的数字签名。,三、电子商务安全技术,(三)常用的安全电子交易手段 2认证技术(3)数字凭证(Digital Certificate,Digital ID)。数字凭证又称为数字证书
27、,是用电子手段来证实一个用户的身份或对网络资源的访问权限。在网上的电子交易中,如双方出示了各自的数字凭证,并用它来进行交易操作,那么双方都可不必为对方身份的真伪而担心。数字凭证可用于电子邮件、电子商务、群件、电子基金转移等各种用途。数字凭证的内部格式由CCITT X.509国际标准所规定,它包含的内容有:凭证拥有者的姓名;凭证拥有者的公共密钥;公共密钥的有效期;颁发数字凭证的单位;数字凭证的序列号(Serial Number)。,三、电子商务安全技术,(三)常用的安全电子交易手段 2认证技术(4)认证中心(CA:Certification Authority)。在电子交易中,无论是数字时间戳服
28、务(DTS)还是数字凭证(Digital ID)的发放,都不是靠交易双方自己完成的,而需要有一个具有权威性和公正性的第三方(Third Party)来完成。认证中心(CA)就是承担网上安全电子交易认证服务的机构,它提供签发数字证书、确认用户身份等服务。认证中心依据认证操作规程(CPS:Certification Practice Statement)来实施服务操作。目前在全球处于领导地位的认证中心是美国的VeriSign公司,创建于1995年4月,总部在美国加州的Mountain View。该公司所提供的数字凭证服务已遍及全世界50个国家,接受该公司的服务器数字凭证的Web站点服务器已超过45
29、 000个,而使用该公司个人数字凭证的用户已超过200万。,三、电子商务安全技术,(四)电子商务安全技术与产品 1安全技术(1)防火墙(2)入侵检测系统(3)安全漏洞扫描技术(4)物理隔离器和逻辑隔离器(5)信息内容过滤产品(6)VPN技术(7)安全操作系统和安全数据库(8)网页恢复(9)安全审计(10)抗电磁泄漏和电磁干扰(11)计算机信息系统雷击灾害与防雷保护器,三、电子商务安全技术,(四)电子商务安全技术与产品 2公钥基础设施与认证中心(PKI/CA)公钥基础设施(PKI,Public Key Infrastructure)和认证中心(CA,Certificate Authority)从
30、技术上解决了网络通信安全的种种障碍。CA从运营、管理、规范、法律、人员等多个角度来解决了网络信任问题。由此,人们统称为“PKI/CA”。从总体构架来看,PKI/CA主要由最终用户、认证中心和注册机构来组成。,三、电子商务安全技术,(四)电子商务安全技术与产品 3安全产品 计算机信息系统安全专用产品销售许可管理是依据国务院中华人民共和国计算机信息系统安全保护条例和公安部计算机信息系统安全专用产品检测和销售许可证管理办法的规定而实行的一项行政管理。我国境内的计算机安全专用产品进入市场销售须申领公安部颁发的销售许可证,已取得销售许可证的产品应在固定位置标明“销售许可”标记。公安部已经制定了计算机安全
31、产品的分类原则,将安全产品分为三大类,十四小类。其三大类是:实体安全(环境安全,设备安全,媒体安全);运行安全(风险分析,审计跟踪,备份与恢复,应急);信息安全(操作系统安全,数据库安全,网络安全,防病毒,访问控制,加密,认证)。,介绍两套国产产品,见表1-2。表1-2 两套国产安全产品,三、电子商务安全技术,本章小结,电子商务安全既是计算机和网络安全技术问题,又是安全管理问题。要确保电子商务的安全,首先需要加强对有关人员的电子商务技术安全教育,建立和完善电子商务法律和法规,严格按照各种法律、法规和制度来管理和运作电子商务。计算机网络安全与电子商务交易安全实际上是密不可分的,两者相辅相成,缺一
32、不可。没有计算机网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。本章讨论了电子商务的安全问题,给出了安全电子商务系统的体系结构,比较详细地阐述了电子商务系统的安全技术,提出了一些需要今后进一步研究与开发的电子商务安全技术问题。期望读者通过本章的学习,对电子商务安全有一个总体的印象和认识;也希望读者通过本章的学习,激发出对电子商务安全的研究兴趣。,思考与练习,1简述计算机网络安全与电子商务交易安全的主要区别。2归纳总结电子商务应用中常见的安全问题。3分析安全电子商务体系结构中各层次安全技术的作用。4简述数字签名的产生和验证过程。5电子商务安全要求有什么特殊性?6电子商务安全包含哪些基础技术?7上网了解电子商务安全研究的新动向。8以网上购书为例,请你说说在网上购书过程中会面临 哪些安全威胁。9请你结合一个电子商务站点的具体例子,分析他们采 取了哪些安全措施。10试在你的计算机上构建Windows2000 PKI。,下课了,再见!,