版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
第1章電子商務(wù)安全導(dǎo)論1.1電子商務(wù)面臨的安全問題1.2電子商務(wù)系統(tǒng)安全的構(gòu)成1.3電子商務(wù)安全的需求1.4電子商務(wù)安全的保障2目錄引例——eBay在中國潰敗之因eBay與淘寶之戰(zhàn),eBay敗在了安全上,那么是否淘寶就不再面臨任何的安全問題了呢?如果不是,到底還有哪些安全問題需要電子商務(wù)來面對呢?31.1電子商務(wù)面臨的安全問題1.1.1安全問題的提出1.1.2電子商務(wù)涉及的安全問題信息的安全問題冒名偷竊篡改數(shù)據(jù)信息丟失信息傳遞出問題信用的安全問題來自買方的安全問題來自賣方的安全問題買賣雙方都存在抵賴的情況安全的管理問題安全的法律保障問題41.2電子商務(wù)系統(tǒng)安全的構(gòu)成1.2.1電子商務(wù)系統(tǒng)安全概述1.2.2系統(tǒng)實(shí)體安全1.2.3系統(tǒng)運(yùn)行安全1.2.4信息安全51.2.1電子商務(wù)系統(tǒng)安全概述電子商務(wù)系統(tǒng)安全的構(gòu)成:61.2電子商務(wù)系統(tǒng)安全的構(gòu)成1.2.2系統(tǒng)實(shí)體安全
所謂實(shí)體安全,是指保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施(含網(wǎng)絡(luò))以及其他媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故(如電磁污染等)破壞的措施、過程。71.2電子商務(wù)系統(tǒng)安全的構(gòu)成1.環(huán)境安全(1)受災(zāi)防護(hù)(2)區(qū)域防護(hù)2.設(shè)備安全(1)設(shè)備防盜(2)設(shè)備防毀(3)防止電磁信息泄漏(4)防止線路截獲(5)抗電磁干擾(6)電源保護(hù)81.2電子商務(wù)系統(tǒng)安全的構(gòu)成1.2.2系統(tǒng)實(shí)體安全的組成3.媒體安全(1)媒體的安全媒體的防盜媒體的防毀(2)媒體數(shù)據(jù)的安全媒體數(shù)據(jù)的防盜媒體數(shù)據(jù)的銷毀媒體數(shù)據(jù)的防毀1.2.3系統(tǒng)運(yùn)行安全
運(yùn)行安全是指為保障系統(tǒng)功能的安全實(shí)現(xiàn),提供一套安全措施來保護(hù)信息處理過程的安全。
91.2電子商務(wù)系統(tǒng)安全的構(gòu)成1.2.3系統(tǒng)運(yùn)行安全的組成1.風(fēng)險(xiǎn)分析系統(tǒng)設(shè)計(jì)前的風(fēng)險(xiǎn)分析——潛在的安全隱患系統(tǒng)試運(yùn)行前的風(fēng)險(xiǎn)分析——設(shè)計(jì)的安全漏洞系統(tǒng)運(yùn)行期的風(fēng)險(xiǎn)分析——運(yùn)行的安全漏洞系統(tǒng)運(yùn)行后的風(fēng)險(xiǎn)分析——系統(tǒng)的安全隱患2.審計(jì)跟蹤紀(jì)錄和跟蹤各種系統(tǒng)狀態(tài)的變化實(shí)現(xiàn)對各種安全事故的定位保存、維護(hù)和管理審計(jì)日志101.2電子商務(wù)系統(tǒng)安全的構(gòu)成1.2.3系統(tǒng)運(yùn)行安全的組成3.備份與恢復(fù)
提供場點(diǎn)內(nèi)高速度、大容量自動(dòng)的數(shù)據(jù)存儲(chǔ)、備份和恢復(fù)提供場點(diǎn)外的數(shù)據(jù)存儲(chǔ)、備份和恢復(fù)提供對系統(tǒng)設(shè)備的備份4.應(yīng)急
(1)應(yīng)急計(jì)劃輔助軟件緊急事件或安全事故發(fā)生時(shí)的影響分析應(yīng)急計(jì)劃的概要設(shè)計(jì)或詳細(xì)制定應(yīng)急計(jì)劃的測試與完善(2)應(yīng)急設(shè)施提供實(shí)時(shí)應(yīng)急設(shè)施提供非實(shí)時(shí)應(yīng)急設(shè)施111.2電子商務(wù)系統(tǒng)安全的構(gòu)成1.2.4信息安全
所謂信息安全,是指防止信息財(cái)產(chǎn)被故意地或偶然地非授權(quán)泄漏、更改、破壞或使信息被非法的系統(tǒng)辨識(shí)、控制,即信息安全要確保信息的完整性、保密性、可用性和可控性。121.2電子商務(wù)系統(tǒng)安全的構(gòu)成1.2.4信息安全的組成1.操作系統(tǒng)安全2.數(shù)據(jù)庫安全3.網(wǎng)絡(luò)安全4.病毒防護(hù)安全5.訪問控制安全6.加密7.鑒別131.2電子商務(wù)系統(tǒng)安全的構(gòu)成1.2.4信息安全的組成操作系統(tǒng)安全操作系統(tǒng)安全是指要對電子商務(wù)系統(tǒng)的硬件和軟件資源實(shí)行有效的控制,為所管理的資源提供相應(yīng)的安全保護(hù)。操作系統(tǒng)的安全由兩個(gè)方面組成:安全操作系統(tǒng)操作系統(tǒng)安全部件141.2電子商務(wù)系統(tǒng)安全的構(gòu)成1.2.4信息安全的組成數(shù)據(jù)庫安全安全數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)庫系統(tǒng)安全部件網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全管理安全網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)系統(tǒng)安全部件151.2電子商務(wù)系統(tǒng)安全的構(gòu)成1.2.4信息安全的組成病毒防護(hù)安全計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能、毀壞數(shù)據(jù)、影響計(jì)算機(jī)使用、并能自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。單機(jī)系統(tǒng)病毒防護(hù)網(wǎng)絡(luò)系統(tǒng)病毒防護(hù)161.2電子商務(wù)系統(tǒng)安全的構(gòu)成1.2.4信息安全的組成訪問控制安全出入控制主要用于阻止非授權(quán)用戶進(jìn)入機(jī)構(gòu)或組織存取控制主要是提供主體訪問客體時(shí)的存取控制加密加密設(shè)備實(shí)現(xiàn)對數(shù)據(jù)的加密密鑰管理提供對密鑰的管理來加強(qiáng)信息安全171.2電子商務(wù)系統(tǒng)安全的構(gòu)成1.2.4信息安全的組成鑒別
身份鑒別主要用于阻止非授權(quán)用戶對系統(tǒng)資源的訪問完整性鑒別主要用于證實(shí)信息內(nèi)容未被非法修改或遺漏不可否認(rèn)性鑒別證實(shí)發(fā)送方所發(fā)送的信息確實(shí)被接收方接收了證實(shí)接收方接收到的信息確實(shí)是發(fā)送方發(fā)送的181.2電子商務(wù)系統(tǒng)安全的構(gòu)成1.3電子商務(wù)安全的需求19術(shù)語定義保密性保護(hù)機(jī)密信息不被非法存取以及信息在傳輸過程中不被非法竊取完整性防止信息在傳輸過程中丟失、重復(fù)及非法用戶對信息的惡意篡改認(rèn)證性確保交易信息的真實(shí)性和交易雙方身份的合法性可控性保證系統(tǒng)、數(shù)據(jù)和服務(wù)能由合法人員訪問,保證數(shù)據(jù)的合法使用不可否認(rèn)性有效防止通信或交易雙方對已進(jìn)行的業(yè)務(wù)的否認(rèn)1.4電子商務(wù)安全的保障201.4.1技術(shù)措施1.4.2管理措施1.4.3法律環(huán)境1.4.1技術(shù)措施信息加密技術(shù)數(shù)字簽名技術(shù)TCP/IP服務(wù)防火墻的構(gòu)造選擇211.4電子商務(wù)安全的保障1.4.2管理措施人員管理制度保密制度跟蹤、審計(jì)、稽核制度系統(tǒng)維護(hù)制度數(shù)據(jù)容災(zāi)制度病毒防范制度應(yīng)急措施1.4.3法律環(huán)境221.4電子商務(wù)安全的保障Thanks!第2章信息安全技術(shù)2.1信息安全概述2.2信息傳輸中的加密方式2.3對稱加密與不對稱加密2.4數(shù)字簽名技術(shù)2.5密鑰管理技術(shù)2.6驗(yàn)證技術(shù)
25目錄引例——網(wǎng)銀的三種加密認(rèn)證方式為什么數(shù)字證書是最安全的方式?它所采用的技術(shù)是怎樣實(shí)現(xiàn)安全保障的?除了這些技術(shù),還需要哪些技術(shù)來保障信息安全?
262.1信息安全概述信息安全問題與信息安全技術(shù):
27安全問題安全目標(biāo)安全技術(shù)機(jī)密性信息的保密加密完整性探測信息是否被篡改數(shù)字摘要驗(yàn)證驗(yàn)證身份數(shù)字簽名,提問-應(yīng)答,口令,生物測定法不可否認(rèn)性不能否認(rèn)信息的發(fā)送、接收及信息內(nèi)容數(shù)字簽名,數(shù)字證書,時(shí)間戳訪問控制只有授權(quán)用戶才能訪問防火墻,口令,生物測定法2.2信息傳輸中的加密方式2.2.1幾種常用的加密方式鏈路-鏈路加密節(jié)點(diǎn)加密端-端加密ATM網(wǎng)絡(luò)加密衛(wèi)星通信加密2.2.2加密方式的選擇策略
282.2.1幾種常用的加密方式鏈路-鏈路加密節(jié)點(diǎn)加密端-端加密ATM網(wǎng)絡(luò)加密衛(wèi)星通信加密2.2.2加密方式的選擇策略多個(gè)網(wǎng)絡(luò)互聯(lián)環(huán)境下:端-端加密鏈路數(shù)不多、要求實(shí)時(shí)通信、不支持端-端加密遠(yuǎn)程調(diào)用通信場合:鏈路-鏈路加密鏈路較多,文件保護(hù)、郵件保護(hù)、支持端-端加密的遠(yuǎn)程調(diào)用、實(shí)時(shí)性要求不高:端-端加密需要防止流量分析的場合:鏈路-鏈路加密和端-端加密組合
292.2信息傳輸中的加密方式2.3對稱加密與不對稱加密2.3.1對稱加密系統(tǒng)對稱加密對稱加密算法信息驗(yàn)證碼2.3.2不對稱加密系統(tǒng)公開密鑰加密RSA算法加密與驗(yàn)證模式的結(jié)合2.3.3兩種加密方法的聯(lián)合使用
30
所謂加密,就是用基于數(shù)學(xué)方法的程序和保密的密鑰對信息進(jìn)行編碼,把計(jì)算機(jī)數(shù)據(jù)變成一堆雜亂無章難以理解的字符串,也就是把明文變成密文。
312.3對稱加密與不對稱加密2.3.1對稱加密系統(tǒng)——私有密鑰1.對稱加密特點(diǎn):數(shù)據(jù)的發(fā)送方和接受方使用的是同一把密鑰過程:發(fā)送方對信息加密發(fā)送方將加密后的信息傳送給接收方接收方對收到信息解密,得到信息明文
322.3對稱加密與不對稱加密2.3.1對稱加密系統(tǒng)2.對稱加密算法數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)高級加密標(biāo)準(zhǔn)(AES)三重DESRivest密碼3.信息驗(yàn)證碼(MAC)MAC也稱為完整性校驗(yàn)值或信息完整校驗(yàn)常用生成MAC的方法:基于散列函數(shù)的方法基于對稱加密的方法
332.3對稱加密與不對稱加密2.3.1對稱加密系統(tǒng)信息驗(yàn)證碼(MAC)的使用過程:
342.3對稱加密與不對稱加密2.3.2不對稱加密系統(tǒng)——公開密鑰1.公開密鑰加密加密模式過程發(fā)送方用接收方的公開密鑰對要發(fā)送的信息進(jìn)行加密發(fā)送方將加密后的信息通過網(wǎng)絡(luò)傳送給接收方接收方用自己的私有密鑰對接收到的加密信息進(jìn)行解密,得到信息明文
352.3對稱加密與不對稱加密2.3.2不對稱加密系統(tǒng)2.RSA算法1997,麻省理工,RonaldRivest、AdiShamir、LeonardAdleman可逆的公開密鑰加密系統(tǒng)通過一個(gè)稱為公共模數(shù)的數(shù)字來形成公開密鑰,公共模數(shù)是通過兩個(gè)形成私人密鑰的兩個(gè)質(zhì)數(shù)的乘數(shù)來獲得的。
362.3對稱加密與不對稱加密2.3.2不對稱加密系統(tǒng)3.加密與驗(yàn)證模式的結(jié)合保障信息機(jī)密性&驗(yàn)證發(fā)送方的身份使用過程:
372.3對稱加密與不對稱加密2.3.3兩種加密方法的聯(lián)合使用使用過程:
382.3對稱加密與不對稱加密2.4數(shù)字簽名技術(shù)2.4.1數(shù)字簽名的基本原理2.4.2RSA數(shù)字簽名2.4.3美國數(shù)字簽名標(biāo)準(zhǔn)算法2.4.4橢圓曲線數(shù)字簽名算法2.4.5特殊數(shù)字簽名算法
392.4.1數(shù)字簽名的基本原理
數(shù)字簽名,其實(shí)是伴隨著數(shù)字化編碼的信息一起發(fā)送并與發(fā)送的信息有一定邏輯關(guān)聯(lián)的數(shù)據(jù)項(xiàng)。數(shù)字簽名類似于MAC,但不同于MAC,數(shù)字簽名可以支持不可否認(rèn)服務(wù)。數(shù)字簽名的過程:
402.4數(shù)字簽名技術(shù)2.4.1數(shù)字簽名的基本原理數(shù)字簽名的要求數(shù)字簽名的分類基于簽字內(nèi)容的分類基于數(shù)學(xué)難題的分類基于簽名用戶的分類基于數(shù)字簽名所具有特性的分類基于數(shù)字簽名所涉及的通信角色分類
412.4數(shù)字簽名技術(shù)2.4.1數(shù)字簽名的基本原理數(shù)字簽名的使用數(shù)字簽名與手寫簽名的區(qū)別手寫簽名-模擬的,因人而異數(shù)字簽名-0和1的字符串,因消息而異
422.4數(shù)字簽名技術(shù)2.4.2RSA數(shù)字簽名簡化的RSA數(shù)字簽名:
432.4數(shù)字簽名技術(shù)2.4.2RSA數(shù)字簽名用散列函數(shù)進(jìn)行的RSA數(shù)字簽名:
442.4數(shù)字簽名技術(shù)2.4.3美國數(shù)字簽名標(biāo)準(zhǔn)算法基于離散對數(shù)問題單項(xiàng)不可逆的公開密鑰系統(tǒng)驗(yàn)證過程中對資源的處理要比RSA更徹底2.4.4橢圓數(shù)字簽名算法利用離散對數(shù)一種運(yùn)用RSA和DSA來實(shí)施數(shù)字簽名的方法在生成簽名和進(jìn)行驗(yàn)證時(shí)比RSA和DSA快
452.4數(shù)字簽名技術(shù)2.4.5特殊數(shù)字簽名算法盲簽名多重簽名代理簽名定向簽名雙聯(lián)簽名團(tuán)體簽名不可爭簽名
462.4數(shù)字簽名技術(shù)2.5密鑰管理技術(shù)2.5.1密鑰管理概述2.5.2RSA密鑰傳輸2.5.3Diffie-Hellman密鑰協(xié)議2.5.4公開密鑰的分發(fā)
472.5.1密鑰管理概述密鑰都有時(shí)間期限,因?yàn)椋汗粽呖梢允褂脭?shù)學(xué)分析方法來進(jìn)行密碼分析從而破解加密系統(tǒng),攻擊者獲得大量有效的密文可以幫助他們加快密碼的分析。密鑰使用的時(shí)間越長,攻擊者收集密文的機(jī)會(huì)就越多;密鑰有可能被泄漏,攻擊者可以對用某個(gè)特定密鑰進(jìn)行的加密處理進(jìn)行密碼分析,所以縮短密鑰的使用期可以減少危險(xiǎn)的發(fā)生。密鑰的生命周期密鑰建立(包括生成密鑰和發(fā)布密鑰)密鑰備份/恢復(fù)或密鑰的第三者保管密鑰替換/更新密鑰吊銷密鑰期滿/終止(其中可能包含密鑰的銷毀或歸檔)
482.5密鑰管理技術(shù)2.5.2RSA密鑰傳輸用RSA密鑰傳輸來加密電子郵件:
492.5密鑰管理技術(shù)2.5.3Diffie-Hellman
密鑰協(xié)議這一協(xié)議提出了公開密鑰加密技術(shù)兩個(gè)在線通信系統(tǒng)可以通過Diffie-Hellman密鑰協(xié)議來建立會(huì)話密鑰2.5.4公開密鑰的分發(fā)公開密鑰的分發(fā)并不要求保密,但必須保證公開密鑰的完整性
502.5密鑰管理技術(shù)2.6驗(yàn)證技術(shù)2.6.1基于口令的驗(yàn)證2.6.2驗(yàn)證協(xié)議2.6.3基于個(gè)人令牌的驗(yàn)證2.6.4基于生物統(tǒng)計(jì)特征的驗(yàn)證2.6.5基于地址的驗(yàn)證2.6.6數(shù)字時(shí)間戳驗(yàn)證
51
522.6驗(yàn)證技術(shù)
驗(yàn)證是在遠(yuǎn)程通信中獲得信任的手段,是安全服務(wù)中最為基本的內(nèi)容。當(dāng)事人/申請人通常基于以下因素:申請人表示所知道的某些事務(wù)申請人出示一些所有物申請人展示一些不可改變的特征申請人展示在某些特定場所或網(wǎng)絡(luò)地址上的證據(jù)需要證明申請人身份的一方接受已經(jīng)對申請人進(jìn)行了驗(yàn)證的其他可信任方2.6.1基于口令的驗(yàn)證面臨威脅:外部泄漏猜測通信竊取重放危及主機(jī)安全2.6.2驗(yàn)證協(xié)議用來對與系統(tǒng)有關(guān)的被驗(yàn)證方和系統(tǒng)本身之間的與驗(yàn)證有關(guān)的數(shù)據(jù)通信進(jìn)行管理,常要依靠驗(yàn)證決策
532.6驗(yàn)證技術(shù)2.6.3基于個(gè)人令牌的驗(yàn)證運(yùn)作方式:儲(chǔ)存式令牌同步一次性口令生成器提問-答復(fù)數(shù)字簽名令牌令牌存在的物理方式:人-機(jī)界面令牌智能卡PCMCIA卡USB令牌
542.6驗(yàn)證技術(shù)2.6.4基于生物統(tǒng)計(jì)特征的驗(yàn)證常用生物測定技術(shù):指紋識(shí)別聲音識(shí)別書寫識(shí)別面容識(shí)別視網(wǎng)膜識(shí)別手形識(shí)別
552.6驗(yàn)證技術(shù)2.6.5基于地址的驗(yàn)證依據(jù)某個(gè)呼叫的發(fā)送地址來對用戶進(jìn)行驗(yàn)證2.6.6數(shù)字時(shí)間戳驗(yàn)證內(nèi)容包括:需要加時(shí)間戳的信息的摘要數(shù)字時(shí)間戳服務(wù)機(jī)構(gòu)收到該信息的日期和時(shí)間數(shù)字時(shí)間戳服務(wù)機(jī)構(gòu)的數(shù)字簽名
562.6驗(yàn)證技術(shù)Thanks!第3章Internet安全3.1Internet安全概述3.2防火墻技術(shù)3.3VPN技術(shù)3.4網(wǎng)絡(luò)入侵檢測3.5IP協(xié)議安全3.6電子商務(wù)應(yīng)用安全協(xié)議
59目錄引例——萬事達(dá)系統(tǒng)遇襲事件萬事達(dá)系統(tǒng)遇襲事件不是網(wǎng)絡(luò)時(shí)代的個(gè)案,網(wǎng)站遇襲時(shí)間早已不是新聞,難道Internet毫無安全可言嗎?
603.1Internet安全概述3.1.1網(wǎng)絡(luò)層安全3.1.2應(yīng)用層安全3.1.3系統(tǒng)安全
613.1.1網(wǎng)絡(luò)層安全網(wǎng)絡(luò)層安全指的是對從一個(gè)網(wǎng)絡(luò)的終端系統(tǒng)傳送到另一個(gè)網(wǎng)絡(luò)的終端系統(tǒng)的通信數(shù)據(jù)的保護(hù)。典型的網(wǎng)絡(luò)層安全服務(wù)包括:認(rèn)證和完整性保密性訪問控制
623.1Internet概述3.1.2應(yīng)用層安全應(yīng)用層安全指的是建立在某個(gè)特定的應(yīng)用程序內(nèi)部,不依賴于任何網(wǎng)絡(luò)層安全措施而獨(dú)立運(yùn)行的安全措施。應(yīng)用層安全措施包括:認(rèn)證訪問控制保密性數(shù)據(jù)完整性不可否認(rèn)性與Web、與信息傳送有關(guān)的安全措施
633.1Internet概述3.1.3系統(tǒng)安全系統(tǒng)安全是指對特定終端系統(tǒng)及其局部環(huán)境的保護(hù),而不考慮對網(wǎng)絡(luò)層安全或應(yīng)用層安全措施所承擔(dān)的通信保護(hù)。系統(tǒng)安全措施包括:確保在安裝的軟件中沒有已知的安全缺陷確保系統(tǒng)的配置能使入侵風(fēng)險(xiǎn)降至最低確保所下載的軟件其來源是可信任的和可靠的確保系統(tǒng)能得到適當(dāng)管理以使侵入風(fēng)險(xiǎn)最小確保采用合適的審計(jì)機(jī)制,以便能防止對系統(tǒng)的成功入侵和采取新的合適的防御性措施
643.1Internet概述3.2防火墻技術(shù)3.2.1防火墻的基本概念3.2.2防火墻的基本原理3.2.3防火墻的實(shí)現(xiàn)方式
653.2.1防火墻的基本概念防火墻(firewall)是在兩個(gè)網(wǎng)絡(luò)之間強(qiáng)制實(shí)施訪問控制策略的一個(gè)系統(tǒng)或一組系統(tǒng)。狹義——指安裝了防火墻軟件的主機(jī)或路由器系統(tǒng)。
663.2防火墻技術(shù)3.2.1防火墻的基本概念防火墻的功能:過濾不安全的服務(wù)和非法用戶控制對特殊站點(diǎn)的訪問作為網(wǎng)絡(luò)安全的集中監(jiān)視點(diǎn)防火墻的不足之處:不能防范不經(jīng)由防火墻的攻擊——e.g.撥號(hào)不能防止受到病毒感染的軟件或文件的傳輸不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊
673.2防火墻技術(shù)3.2.2防火墻的基本原理1.包過濾型防火墻
683.2防火墻技術(shù)3.2.2防火墻的基本原理2.應(yīng)用網(wǎng)關(guān)型防火墻
693.2防火墻技術(shù)3.2.2防火墻的基本原理3.代理服務(wù)型防火墻
703.2防火墻技術(shù)3.2.3防火墻的實(shí)現(xiàn)方式包過濾路由器雙穴防范網(wǎng)關(guān)過濾主機(jī)網(wǎng)關(guān)過濾子網(wǎng)防火墻
713.2防火墻技術(shù)3.3VPN技術(shù)
虛擬專用網(wǎng)絡(luò)(virtualprivatenetwork,VPN)技術(shù)為我們提供了一種通過公用網(wǎng)絡(luò)安全地對企業(yè)內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的連接方式。
723.3.1VPN的基本功能一個(gè)成功的VPN方案應(yīng)能滿足:用戶身份驗(yàn)證地址管理數(shù)據(jù)加密密鑰管理多協(xié)議支持3.3.2VPN的安全策略隧道技術(shù)加解密技術(shù)密鑰管理技術(shù)使用者與設(shè)備身份認(rèn)證技術(shù)
733.3VPN技術(shù)3.4網(wǎng)絡(luò)入侵檢測3.4.1網(wǎng)絡(luò)入侵檢測的原理檢測策略基于主機(jī)的檢測基于應(yīng)用程序的檢測基于目標(biāo)的檢測基于網(wǎng)絡(luò)的檢測3.4.2網(wǎng)絡(luò)入侵檢測的主要方法異常檢測誤用檢測
743.5IP協(xié)議安全3.5.1IP安全體系結(jié)構(gòu)IPsec文檔IPsec的服務(wù)IPsec安全結(jié)構(gòu)3.5.2認(rèn)證頭協(xié)議(AH)3.5.3分組加密協(xié)議(ESP)3.5.4安全關(guān)聯(lián)3.5.5密鑰交換3.5.6Ipsec的應(yīng)用
753.5.1IP安全體系結(jié)構(gòu)IPsec的基本功能包括:在IP層提供安全服務(wù)選擇需要的安全協(xié)議決定使用的算法保存加密使用的密鑰IPsec文檔
763.5IP協(xié)議地址3.5.1IP安全體系結(jié)構(gòu)IPsec的服務(wù)訪問控制無連接完整性數(shù)據(jù)源的鑒別拒絕重放的分組機(jī)密性有限的通信量機(jī)密性IPsec安全結(jié)構(gòu)安全協(xié)議——AH和ESP安全關(guān)聯(lián)(SA)密鑰交換——手工和自動(dòng)(IKE)認(rèn)證和加密算法
773.5IP協(xié)議地址3.5.2認(rèn)證頭協(xié)議AHAH的功能AH的格式AH的兩種模式認(rèn)證算法
783.5IP協(xié)議地址3.5.3分組加密協(xié)議ESPESP的功能主要支持IP數(shù)據(jù)項(xiàng)的機(jī)密性也可提供認(rèn)證服務(wù)ESP的格式ESP的兩種模式傳輸模式隧道模式ESP的處理輸出包處理輸入包處理
793.5IP協(xié)議地址3.5.4安全關(guān)聯(lián)(SA)安全關(guān)聯(lián)的概念一個(gè)SA是在發(fā)送者和接收者這兩個(gè)IPsec系統(tǒng)之間的一個(gè)簡單的單向邏輯連接SA三元組:<SecurityParameterIndex,IPDestinationAddress,SecurityProtocol>安全關(guān)聯(lián)的類型傳輸模式隧道模式SPD和SAD
803.5IP協(xié)議地址3.5.5密鑰交換IPsec的密鑰交換包括密鑰的確定和分配兩種類型手工方式自動(dòng)方式
813.5IP協(xié)議地址3.5.6Ipsec的應(yīng)用Ipsec的優(yōu)點(diǎn)Ipsec的應(yīng)用
823.5IP協(xié)議地址3.6電子商務(wù)應(yīng)用安全協(xié)議3.6.1增強(qiáng)的私密電子郵件(PEM)3.6.2安全多用途網(wǎng)際郵件擴(kuò)充協(xié)議(S/MIME)3.6.3安全超文本傳輸協(xié)議(S-HTTP)3.6.4安全套接層協(xié)議(SSL)3.6.5安全電子交易協(xié)議(SET)
833.6.1
增強(qiáng)的私密電子郵件(PEM)PEM規(guī)范缺點(diǎn):與同期的多用途網(wǎng)際郵件擴(kuò)充協(xié)議MIME不兼容
843.6電子商務(wù)應(yīng)用安全協(xié)議3.6.2
安全多用途網(wǎng)際郵件擴(kuò)充協(xié)議S/MIME電子郵件內(nèi)容的安全問題發(fā)送者身份認(rèn)證不可否認(rèn)郵件的完整性郵件的保密性S/MIME標(biāo)準(zhǔn)(Secure/MultipurposeInternetMailExtension)設(shè)計(jì)目標(biāo):使自己能較易加入到已有的Email產(chǎn)品之中安全標(biāo)準(zhǔn):信息格式:繼承了MIME規(guī)格信息加密標(biāo)準(zhǔn):包括DES、三重DES、RC4數(shù)字簽名標(biāo)準(zhǔn):PKCS數(shù)字證書格式:X.509MIME和S/MIME
853.6電子商務(wù)應(yīng)用安全協(xié)議3.6.3安全超文本傳輸協(xié)議(S-HTTP)
S-HTTP是致力于促進(jìn)以因特網(wǎng)為基礎(chǔ)的電子商務(wù)技術(shù)發(fā)展的國際財(cái)團(tuán)CommerceNet協(xié)會(huì)提出的安全傳輸協(xié)議,主要利用密鑰對加密的方法來保障Web站點(diǎn)上的信息安全。
863.6電子商務(wù)應(yīng)用安全協(xié)議3.6.4安全套接層協(xié)議(SecureSocketsLayer,SSL)SSL協(xié)議概述
SSL建立在TCP協(xié)議之上,它的優(yōu)勢在于與應(yīng)用層協(xié)議獨(dú)立無關(guān),應(yīng)用層協(xié)議能透明地建立于SSL協(xié)議之上。
e.g.HTTPoverSSL(HTTPS)
873.6電子商務(wù)應(yīng)用安全協(xié)議3.6.4安全套接層協(xié)議(SecureSocketsLayer,SSL)SSL協(xié)議的功能SSL服務(wù)器認(rèn)證確認(rèn)用戶身份保證數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性SSL的體系結(jié)構(gòu)基于SSL的銀行卡支付過程
883.6電子商務(wù)應(yīng)用安全協(xié)議3.6.5安全電子交易協(xié)議——SecureElectronicTransaction,SETSET協(xié)議概述
SET是一種應(yīng)用于因特網(wǎng)環(huán)境下,以信用卡為基礎(chǔ)的安全電子支付協(xié)議。通過SET可以實(shí)現(xiàn)電子商務(wù)交易中的加密、認(rèn)證、密鑰管理等機(jī)制,保證在開放網(wǎng)絡(luò)上使用信用卡進(jìn)行在線購物的安全。
893.6電子商務(wù)應(yīng)用安全協(xié)議3.6.5安全電子交易協(xié)議——SecureElectronicTransaction,SETSET交易參與方
903.6電子商務(wù)應(yīng)用安全協(xié)議3.6.5安全電子交易協(xié)議——SecureElectronicTransaction,SETSET購物流程
913.6電子商務(wù)應(yīng)用安全協(xié)議3.6.5安全電子交易協(xié)議——SecureElectronicTransaction,SETSET支付信息支付發(fā)起請求/支付發(fā)起應(yīng)答(PinitReq/PinitRes)購買請求/購買應(yīng)答(Preq/Pres)授權(quán)請求/授權(quán)應(yīng)答(AuthReq/AuthRes)支付請求/支付應(yīng)答(CapReq/CapRes)SET交易流程與傳統(tǒng)銀行卡交易流程的比較SET與SSL的比較
923.6電子商務(wù)應(yīng)用安全協(xié)議Thanks!第4章數(shù)字證書4.1數(shù)字證書簡介4.2數(shù)字證書的格式4.3公私密鑰對的管理4.4數(shù)字證書的申請與發(fā)放4.5數(shù)字證書的分發(fā)4.6數(shù)字證書的撤銷
95目錄引例——CFCA承諾:
數(shù)字證書被破解損失最高賠80萬
96數(shù)字證書到底是什么,可以讓中國金融認(rèn)證中心在網(wǎng)絡(luò)安全狀態(tài)不容樂觀的情況下作出如此承諾?中國金融認(rèn)證中心又是什么機(jī)構(gòu)呢?4.1數(shù)字證書簡介
97
數(shù)字證書,是一個(gè)由使用數(shù)字證書的用戶群所公認(rèn)的和信任的權(quán)威機(jī)構(gòu)(即CA)簽署了其數(shù)字簽名的信息集合。4.2數(shù)字證書的格式4.2.1基本數(shù)字證書格式4.2.2X.509版本3數(shù)字證書格式4.2.3數(shù)字證書擴(kuò)展標(biāo)準(zhǔn)
984.2.1基本數(shù)字證書格式X.509數(shù)字證書格式有三個(gè)不同版本內(nèi)容:
994.2數(shù)字證書的格式4.2.2X.509版本3數(shù)字證書格式
1004.2數(shù)字證書的格式4.2.3數(shù)字證書擴(kuò)展標(biāo)準(zhǔn)密鑰信息擴(kuò)展政策信息擴(kuò)展主體及發(fā)放者屬性擴(kuò)展認(rèn)證路徑約束擴(kuò)展與數(shù)字證書撤消表(CRLs)相關(guān)的擴(kuò)展
1014.2數(shù)字證書的格式4.3數(shù)字證書中公私密鑰對的管理4.3.1密鑰對的生成4.3.2私鑰的保護(hù)4.3.3密鑰對的更新
1024.3.1密鑰對的生成兩種方法:由密鑰對持有者系統(tǒng)生成由密鑰管理中心系統(tǒng)生成4.3.2私鑰的保護(hù)保護(hù)方法:將私鑰存儲(chǔ)在不可寫的硬件模塊或標(biāo)記中,如智能卡中將私鑰存儲(chǔ)在計(jì)算機(jī)硬盤或其他數(shù)據(jù)存儲(chǔ)媒介上的加密數(shù)據(jù)文件中將私鑰存儲(chǔ)在數(shù)字證書服務(wù)器上,當(dāng)用戶通過了服務(wù)器的鑒定,并在服務(wù)器上使用了一段時(shí)間后,該服務(wù)器會(huì)將私鑰傳送給用戶
1034.3公私密鑰對的管理4.3.3密鑰對的更新與加密有關(guān)的密鑰對數(shù)字簽名密鑰對認(rèn)證機(jī)構(gòu)數(shù)字簽名密鑰對
1044.3公私密鑰對的管理4.4數(shù)字證書的申請與更新4.4.1數(shù)字證書管理機(jī)構(gòu)作用4.4.2數(shù)字證書的申請注冊4.4.3數(shù)字證書的生成4.4.4數(shù)字證書的更新
1054.4.1數(shù)字證書管理機(jī)構(gòu)的作用
注冊機(jī)構(gòu)RA,本身并不發(fā)放數(shù)字證書,但RA可以確認(rèn)、批準(zhǔn)或拒絕數(shù)字證書申請人的申請,隨后由CA給經(jīng)過批準(zhǔn)的申請人發(fā)放數(shù)字證書。RA功能:注冊、注銷、批準(zhǔn)或拒絕對數(shù)字證書屬性的變更要求確認(rèn)數(shù)字證書申請人的合法性批準(zhǔn)生成密鑰對和數(shù)字證書的請求及恢復(fù)備份密鑰的請求批準(zhǔn)撤銷或暫停數(shù)字證書的請求(需相應(yīng)CA支持)向有權(quán)擁有身份標(biāo)記的人當(dāng)面分發(fā)標(biāo)記或恢復(fù)舊標(biāo)記
1064.4數(shù)字證書的申請與更新4.4.2數(shù)字證書的申請注冊身份確認(rèn)方法:了解私有文件親自到場身份證明文件4.4.3數(shù)字證書的生成數(shù)字證書的生成步驟數(shù)字證書申請人將數(shù)字證書內(nèi)容信息提供給認(rèn)證機(jī)構(gòu)認(rèn)證機(jī)構(gòu)確認(rèn)信息的正確性由CA給數(shù)字證書加上數(shù)字簽名將數(shù)字證書的一個(gè)副本傳送給用戶將數(shù)字證書的一個(gè)副本傳送到數(shù)字證書數(shù)據(jù)庫,以便公布數(shù)字證書的一個(gè)副本可以由CA或其他實(shí)體存檔CA將數(shù)字證書生成及發(fā)放過程中的細(xì)節(jié)記錄在審計(jì)日志中
1074.4數(shù)字證書的申請與更新4.4.4數(shù)字證書的更新
每份數(shù)字證書的生命周期都是有限的。在數(shù)字證書期滿后需要更換數(shù)字證書。另外,密鑰對也需要定期更換,而一旦更換了密鑰對,那就需要用新的數(shù)字證書。
1084.4數(shù)字證書的申請與更新4.5數(shù)字證書的分發(fā)4.5.1利用數(shù)字簽名分發(fā)數(shù)字證書4.5.2利用目錄服務(wù)分發(fā)數(shù)字證書
1094.6數(shù)字證書的撤銷4.6.1請求撤銷數(shù)字證書4.6.2數(shù)字證書撤銷表的格式4.6.3撤銷數(shù)字證書的方法4.6.4X.509標(biāo)準(zhǔn)的數(shù)字證書撤銷表
1104.6.1請求撤消數(shù)字證書4.6.2數(shù)字證書撤消表的格式
1114.6數(shù)字證書的撤銷4.6.3撤消數(shù)字證書的方法定期公布數(shù)字證書撤消表廣播數(shù)字證書撤消表進(jìn)行在線狀態(tài)檢查發(fā)行短期數(shù)字證書其他撤消方法從數(shù)字證書數(shù)據(jù)庫中刪除數(shù)字證書可信的數(shù)字證書服務(wù)器或目錄間隔時(shí)間更短的周期性數(shù)字證書撤銷表建立數(shù)字證書撤銷樹
1124.6數(shù)字證書的撤銷4.6.4X.509標(biāo)準(zhǔn)的數(shù)字證書撤消表X.509數(shù)字證書撤消表格式
1134.6數(shù)字證書的撤銷4.6.4X.509標(biāo)準(zhǔn)的數(shù)字證書撤消表數(shù)字證書撤消表擴(kuò)展標(biāo)準(zhǔn)一般擴(kuò)展數(shù)字證書撤銷表分發(fā)點(diǎn)Delta–
數(shù)字證書撤銷表間接數(shù)字證書撤銷表數(shù)字證書暫停狀態(tài)提名
1144.6數(shù)字證書的撤銷Thanks!第5章公鑰基礎(chǔ)設(shè)施PKI5.1PKI概述5.2CA的結(jié)構(gòu)5.3CA的證書策略5.4CP和CPS的主題內(nèi)容5.5PKI中的不可否認(rèn)機(jī)制5.6幾類不同的PKI
117目錄引例——PKI的應(yīng)用模式
118PKI是什么呢?它怎么會(huì)有如此廣的應(yīng)用范圍?它是如何為電子商務(wù)安全提供保障?5.1PKI概述5.1.1PKI簡介5.1.2PKI核心——CA
1195.1.1PKI簡介
公鑰基礎(chǔ)設(shè)施PKI
(publickeyinfrastructure)又叫公鑰體系,是一種利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范,用戶可利用PKI平臺(tái)提供的服務(wù)進(jìn)行安全通信。PKI應(yīng)用系統(tǒng)的功能:公鑰數(shù)字證書的管理證書撤銷表的發(fā)布和管理密鑰的備份和恢復(fù)自動(dòng)更新密鑰自動(dòng)管理歷史密鑰支持交叉認(rèn)證
1205.1PKI概述5.1.2PKI的核心——CA
認(rèn)證機(jī)構(gòu)CA
(certificateauthority)又叫認(rèn)證中心,是一個(gè)網(wǎng)上各方都信任的機(jī)構(gòu),專門負(fù)責(zé)數(shù)字證書的發(fā)放和管理。CA的功能:接收驗(yàn)證用戶數(shù)字證書的申請確定是否接收用戶數(shù)字證書的申請向申請者頒發(fā)數(shù)字證書接收、處理用戶的數(shù)字證書更新請求接收用戶數(shù)字證書的查詢、撤銷產(chǎn)生和發(fā)布數(shù)字證書撤銷表(CRL)數(shù)字證書的歸檔密鑰歸檔歷史數(shù)據(jù)歸檔
1215.1PKI概述5.2CA的結(jié)構(gòu)5.2.1認(rèn)證路徑5.2.2樹型層次結(jié)構(gòu)5.2.3森林型層次結(jié)構(gòu)5.2.4通用結(jié)構(gòu)
1225.2.1認(rèn)證路徑交叉認(rèn)證數(shù)字證書:是由一個(gè)認(rèn)證機(jī)構(gòu)對另一個(gè)認(rèn)證機(jī)構(gòu)簽發(fā)的包含了該CA的簽名密鑰的數(shù)字證書。認(rèn)證路徑:
1235.2CA的結(jié)構(gòu)5.2.2樹型層次結(jié)構(gòu)
1245.2CA的結(jié)構(gòu)5.2.3森林型層次結(jié)構(gòu)
1255.2CA的結(jié)構(gòu)5.2.4通用結(jié)構(gòu)尋找認(rèn)證路徑確認(rèn)認(rèn)證路徑
1265.2CA的結(jié)構(gòu)5.3CA的證書策略5.3.1證書策略CP與證書實(shí)施說明CPS5.3.2保證等級與證書等級5.3.3證書策略的內(nèi)容
1275.3.1證書策略CP與證書實(shí)施說明CPS
證書策略CP
,是一套制定的規(guī)則,用于說明滿足一般安全性要求的數(shù)字證書在某個(gè)特定的團(tuán)體里和(或)某一類應(yīng)用中的應(yīng)用能力。
證書實(shí)施說明CPS
,規(guī)定了在認(rèn)證過程中要遵循的操作程序。
1285.3CA的證書策略5.3.2保證等級與證書等級保證等級:初級基本級中級高級證書等級:驗(yàn)證要求私鑰保護(hù)要求操作、管理和物理控制方面的要求
1295.3CA的證書策略5.3.3證書策略的內(nèi)容介紹一般規(guī)定識(shí)別與數(shù)字證書策略操作要求物理、過程、與人員的安全控制技術(shù)安全控制數(shù)字證書及數(shù)字證書撤銷表文件管理規(guī)范
1305.3CA的證書策略5.4CP和CPS的主題內(nèi)容5.4.1第一部分:介紹5.4.2第二部分:一般規(guī)定5.4.3第三部分:身份識(shí)別和身份驗(yàn)證5.4.4第四部分:操作要求5.4.5第五部分:物理、過程和人員的安全控制5.4.6第六部分:技術(shù)安全控制5.4.7第七部分:證書和證書撤銷表5.4.8第八部分:規(guī)范管理
1315.4.1第一部分:介紹社團(tuán)成員和互操作性證書使用數(shù)字簽名驗(yàn)證過程記錄和簽名標(biāo)識(shí)符
1325.4CP和CPS的主題內(nèi)容5.4.2第二部分:一般規(guī)定義務(wù)責(zé)任支付能力解釋和實(shí)施證書發(fā)行和證書庫符合性審計(jì)機(jī)密性調(diào)查損害的權(quán)利犯罪活動(dòng)
1335.4CP和CPS的主題內(nèi)容5.4.3第三部分:身份識(shí)別和身份驗(yàn)證初始注冊:命名初始注冊:身份驗(yàn)證個(gè)人到場帶外驗(yàn)證個(gè)人數(shù)據(jù)的第三方驗(yàn)證
1345.4CP和CPS的主題內(nèi)容5.4.4第四部分:操作要求證書申請證書發(fā)行證書接收證書中止和撤銷記錄歸檔災(zāi)難及災(zāi)難恢復(fù)認(rèn)證機(jī)構(gòu)終止服務(wù)
1355.4CP和CPS的主題內(nèi)容5.4.5第五部分:物理、過程和人員的安全控制物理控制過程控制人員控制
1365.4CP和CPS的主題內(nèi)容5.4.6第六部分:技術(shù)安全控制密鑰對的產(chǎn)生和安裝私鑰保護(hù)其他技術(shù)安全控制
1375.4CP和CPS的主題內(nèi)容5.4.7第七部分:證書和證書撤消表
主要描述了與認(rèn)證機(jī)構(gòu)簽發(fā)的數(shù)字證書及數(shù)字證書撤銷表內(nèi)容有關(guān)的需求。
1385.4CP和CPS的主題內(nèi)容5.4.8第八部分:規(guī)范管理規(guī)范改變程序發(fā)行和通知程序CPS批準(zhǔn)程序
1395.4CP和CPS的主題內(nèi)容5.5PKI中的不可否認(rèn)機(jī)制5.5.1基本概念5.5.2三種不可否認(rèn)機(jī)制5.5.3不可否認(rèn)機(jī)制所涉及的活動(dòng)5.5.4可信任的第三方作用5.5.5不可否認(rèn)機(jī)制的實(shí)施
1405.5.1基本概念
在電子商務(wù)中,不可否認(rèn)機(jī)制被定義為一種通信屬性,它保護(hù)通信的一方不受另一方謊稱通信沒有發(fā)生而導(dǎo)致的損害。
1415.5PKI中的不可否認(rèn)機(jī)制5.5.2三種不可否認(rèn)機(jī)制來源的不可否認(rèn)機(jī)制主要解決是否某一方生成了特定消息、生成的時(shí)間如何等問題。送遞的不可否認(rèn)機(jī)制主要解決是否某一方受到了特定的數(shù)據(jù)消息、收到的時(shí)間如何等問題。提交的不可否認(rèn)機(jī)制主要解決是否某一方傳送或提交了特定數(shù)據(jù)消息,提交的時(shí)間如何等問題。
1425.5PKI中的不可否認(rèn)機(jī)制5.5.3不可否認(rèn)機(jī)制所涉及的活動(dòng)不可否認(rèn)的請求記錄的生成記錄的分發(fā)記錄的核實(shí)記錄的保存
1435.5PKI中的不可否認(rèn)機(jī)制5.5.4可信任的第三方的作用
可信任第三方,就是指一個(gè)能夠幫助實(shí)現(xiàn)基于計(jì)算機(jī)的信息傳送的安全性和可信性的獨(dú)立和中立的第三方。作用:公鑰認(rèn)證身份確認(rèn)時(shí)間戳影響因素:防偽性、耐久性、可審核性、獨(dú)立性、精確性、間隔記錄的保存送遞中介爭議解決
1445.5PKI中的不可否認(rèn)機(jī)制5.5.5不可否認(rèn)機(jī)制的實(shí)施一、來源不可否認(rèn)機(jī)制的實(shí)施由發(fā)送方進(jìn)行數(shù)字簽名由可信任的第三方進(jìn)行數(shù)字簽名由可信任的第三方對摘要進(jìn)行數(shù)字簽名內(nèi)嵌可信任的第三方二、送遞不可否認(rèn)機(jī)制的實(shí)施由接收方發(fā)送數(shù)字簽名回執(zhí)利用可信任的送遞代理生成分段送遞報(bào)告三、提交不可否認(rèn)機(jī)制的實(shí)施
1455.5PKI中的不可否認(rèn)機(jī)制5.6幾種不同的PKI5.6.1基于PEM的PKI5.6.2基于SET的PKI5.6.3VeriSign信任網(wǎng)絡(luò)
1465.6.1基于PEM的PKI
1475.6幾類不同的PKI5.6.2基于SET的PKI
1485.6幾類不同的PKI5.6.3VeriSign信任網(wǎng)絡(luò)
VeriSign信任網(wǎng)絡(luò),是世界上最大的商業(yè)認(rèn)證機(jī)構(gòu)網(wǎng)絡(luò),由VeriSign在美國和世界范圍內(nèi)逐漸擴(kuò)展的附屬網(wǎng)絡(luò)構(gòu)成的,包括了英國電信、KPN電信、Telia和CIBC這些主要的服務(wù)提供商。
1495.6幾類不同的PKIThanks!第6章安全認(rèn)證實(shí)例6.1數(shù)字認(rèn)證服務(wù)概述6.2CA建設(shè)分析6.3典型CA證書管理策略分析——以CFCA為例6.4國內(nèi)典型CA數(shù)字證書申請與使用——以SHECA為例6.5國外典型CA數(shù)字證書申請與使用——以VeriSign為例
152目錄引例——
全國第一個(gè)數(shù)字認(rèn)證許可證放行
153我國的數(shù)字認(rèn)證中心在20世紀(jì)90年代末就已經(jīng)出現(xiàn),為何2005年山東數(shù)字認(rèn)證中心才成為首家國內(nèi)合法的數(shù)字簽名認(rèn)證機(jī)構(gòu)呢?這些認(rèn)證機(jī)構(gòu)如何提供認(rèn)證服務(wù)呢?6.1數(shù)字認(rèn)證服務(wù)概述CA作為具有權(quán)威的、可信賴的、公正的第三方服務(wù)機(jī)構(gòu),承擔(dān)著網(wǎng)上安全電子交易中重要的認(rèn)證服務(wù),需要完成數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理工作。
1546.2.1國內(nèi)外認(rèn)證中心現(xiàn)狀概要分析歐美的CA美國政府CA體系與加拿大政府CA體系對比
1556.2CA建設(shè)分析美國政府CA體系加拿大政府CA體系運(yùn)營時(shí)間2001年6月7日2000年組成成員除了各級政府和不同的政府結(jié)構(gòu)以外,還包括與政府或政府機(jī)構(gòu)有商業(yè)往來的合作伙伴。都是聯(lián)邦的各級政府或者政府機(jī)構(gòu)。體系結(jié)構(gòu)它包含樹型結(jié)構(gòu)、網(wǎng)狀結(jié)構(gòu)和信任列表等,是復(fù)雜的結(jié)構(gòu)體系。它只是一個(gè)樹型結(jié)構(gòu),體系結(jié)構(gòu)簡單。認(rèn)證實(shí)現(xiàn)通過FBCA建立認(rèn)證關(guān)系,F(xiàn)BCA僅是一個(gè)橋梁,將這些結(jié)構(gòu)連接起來,不頒發(fā)數(shù)字證書。由聯(lián)邦政策管理機(jī)構(gòu)(FPMA)來管理。通過CCF來實(shí)現(xiàn)相互認(rèn)證,CCF是不同樹型CA的匯結(jié)點(diǎn),可為下級CA簽發(fā)數(shù)字證書。由政策管理機(jī)構(gòu)(PMA)來管理。采用的技術(shù)整個(gè)體系的成員采用的產(chǎn)品和技術(shù)來自不同的公司,如VeriSign,Baltimore和Entrust等。強(qiáng)調(diào)使用Entrust公司的產(chǎn)品和技術(shù)。
156美國CA體系結(jié)構(gòu)圖片來源見[11]PMA:政策管理機(jī)構(gòu),提供政策指導(dǎo),監(jiān)督執(zhí)行。CCF:中央認(rèn)證中心,加拿大政府CA體系中唯一的級別為“0”級的認(rèn)證中心,位于渥太華。CA:由政府運(yùn)營。LRA:當(dāng)?shù)刈詸C(jī)構(gòu)。
加拿大CA體系6.2CA建設(shè)分析亞太地區(qū)的CA日本與韓國CA體系對比
157日本韓國主要應(yīng)用市場電子化政府領(lǐng)域,金融領(lǐng)域很少使用。而在政府領(lǐng)域,電子采購應(yīng)用又比電子歸檔用得多。金融領(lǐng)域第一,政府領(lǐng)域第二互通模式BCA模式,將商業(yè)登記CA、公民CA、政府部門CA、以及非政府部門CA連成一體,如圖3-3。簡單的樹型結(jié)構(gòu),通過根CA進(jìn)行相互之間的認(rèn)證,如圖3-4。體系架構(gòu)分公眾和私人兩大領(lǐng)域,公眾領(lǐng)域包括政府CA體系,以及政府BCA建設(shè)。兩個(gè)領(lǐng)域采用不同的法律規(guī)則。目前只有7家CA,以KCAC(KoreaCertification&AuthenticationCentral)為根CA,以KOSCOM、KICA、KETC、NCA、CrossCert和KTNET為下層CA。近期任務(wù)整合國家身份證智慧卡和其他電子化政府憑證卡(如駕照卡、護(hù)照等)加強(qiáng)電子簽名在國際貿(mào)易上的應(yīng)用,解決國際金融CA互通問題。6.2CA建設(shè)分析
158日本認(rèn)證服務(wù)公司DATABANK公司總務(wù)省CA民眾公司法人公司法人BCA經(jīng)濟(jì)產(chǎn)業(yè)省CA國土省CA法務(wù)省CA地方政府CA商業(yè)注冊CA民眾民眾……圖6-3日本CA體系結(jié)構(gòu)KCACKOSCOMKICAKETCNCACrossCertKTNet韓國CA體系結(jié)構(gòu)6.2CA建設(shè)分析
1596.2CA建設(shè)分析6.2.2國內(nèi)認(rèn)證中心建設(shè)分析
行業(yè)性CA建設(shè)分析區(qū)域性CA建設(shè)分析商業(yè)性CA建設(shè)分析行業(yè)、區(qū)域、商業(yè)三類CA的對比
6.3典型CA證書管理策略分析
——以CFCA為例6.3.1CFCA簡介6.3.2CFCA的結(jié)構(gòu)6.3.3CFCA的功能6.3.4CFCANon-SET系統(tǒng)的技術(shù)優(yōu)勢6.3.5CFCA的安全保障6.3.6CFCA的證書策略
1606.3.1CFCA簡介
中國金融認(rèn)證中心
(ChinaFinanceCertificationAuthority,CFCA),是由中國人民銀行牽頭,聯(lián)合中國工商銀行、中國銀行、中國農(nóng)業(yè)銀行、中國建設(shè)銀行、交通銀行、招商銀行、中信實(shí)業(yè)銀行、華夏銀行、廣東發(fā)展銀行、深圳發(fā)展銀行、光大銀行、民生銀行等12家商業(yè)銀行參加建設(shè),由銀行卡信息交換總中心承建的。
1616.3典型CA證書管理策略分析-以CFCA為例6.3.2CFCA的結(jié)構(gòu)SET系統(tǒng)Non-SET系統(tǒng)RA系統(tǒng)
1626.3典型CA證書管理策略分析-以CFCA為例6.3.3CFCA的功能證書的申請證書的審批證書的發(fā)放證書的歸檔證書的撤銷證書的更新證書撤銷表的管理CA的管理功能CA自身密鑰的管理功能
1636.3典型CA證書管理策略分析-以CFCA為例6.3.4CFCANon-SET系統(tǒng)的技術(shù)優(yōu)勢6.3.5CFCA的安全保障從自身安全保障角度看,主要目標(biāo)在于維護(hù)系統(tǒng)信息的保密性、有效性和完整性,具體內(nèi)容包括系統(tǒng)安全、通信安全和數(shù)據(jù)安全。安全保障還包括設(shè)備安全和環(huán)境安全。
1646.3典型CA證書管理策略分析-以CFCA為例6.3.6CFCA的證書策略CFCA證書管理策略概述證書簡介證書的種類證書的內(nèi)容金融認(rèn)證服務(wù)相關(guān)業(yè)務(wù)規(guī)則網(wǎng)關(guān)(銀行)業(yè)務(wù)規(guī)則商戶(企業(yè))業(yè)務(wù)規(guī)則持卡人(個(gè)人)業(yè)務(wù)規(guī)則中介機(jī)構(gòu)業(yè)務(wù)規(guī)則CFCA的CPS管理
1656.3典型CA證書管理策略分析-以CFCA為例6.4國內(nèi)典型CA數(shù)字證書申請與使用
——以SHECA為例6.4.1SHECA簡介6.4.2SHECA的數(shù)字證書6.4.3SHECA數(shù)字證書的申請與使用
1666.4.1SHECA簡介
上海市電子商務(wù)安全證書管理有限公司(簡稱上海市CA中心,SHECA),是由上海市信息投資股份有限公司、上海郵電、上海銀行卡網(wǎng)絡(luò)服務(wù)中心、上海聯(lián)合投資公司聯(lián)合出資組建,經(jīng)上海市政府批準(zhǔn),上海市唯一從事數(shù)字證書的簽發(fā)和管理業(yè)務(wù)的權(quán)威性認(rèn)證中心。作為可信賴的第三方從四方面保證了交易的安全:信息傳輸?shù)臋C(jī)密性信息的不可篡改性身份的認(rèn)證交易的不可抵賴
1676.4國內(nèi)典型CA數(shù)字證書申請與使用
——以SHECA為例6.4.2SHECA的數(shù)字證書SHECA數(shù)字證書的格式遵循ITU-TX.509標(biāo)準(zhǔn),包含:公鑰名稱SHECA的數(shù)字簽名密鑰的有效時(shí)間證書序列號(hào)SHECA數(shù)字證書存放的介質(zhì)可以是下列任意一種:硬盤軟盤IC卡加密卡加密機(jī)
1686.4SHECA數(shù)字證書的申請與使用6.4.3SHECA數(shù)字證書的申請與使用數(shù)字證書的申請下載根證書遞交個(gè)人數(shù)字證書申請
1696.4SHECA數(shù)字證書的申請與使用6.4.3
SHECA數(shù)字證書的申請與使用安裝并查看個(gè)人數(shù)字證書
1706.4SHECA數(shù)字證書的申請與使用6.4.3SHECA數(shù)字證書的申請與使用個(gè)人數(shù)字證書的使用
1716.5SHECA數(shù)字證書的申請與使用6.4.3SHECA數(shù)字證書的申請與使用下載對方的數(shù)字證書
1726.4SHECA數(shù)字證書的申請與使用6.4.3SHECA數(shù)字證書的申請與使用個(gè)人數(shù)字證書的廢除
1736.4SHECA數(shù)字證書的申請與使用6.4.3SHECA數(shù)字證書的申請與使用證書的導(dǎo)出和導(dǎo)入
1746.4SHECA數(shù)字證書的申請與使用6.5國外典型CA數(shù)字證書申請與使用
——以VeriSign為例6.5.1VeriSign公司簡介6.5.2VeriSign的數(shù)字證書6.5.3VeriSign數(shù)字證書的申請和使用
1756.5.1VeriSign公司簡介主要提供四種核心服務(wù):安全服務(wù)支付服務(wù)域名與目錄服務(wù)電子交流服務(wù)
1766.5國外典型CA數(shù)字證書申請與使用
——以VeriSign為例6.5.2VeriSign的數(shù)字證書三種類型的數(shù)字證書:服務(wù)器數(shù)字證書針對軟件開發(fā)商的開發(fā)者數(shù)字證書SSL數(shù)字證書個(gè)人安全電子郵件數(shù)字證書
1776.5VeriSign數(shù)字證書的申請與使用6.5.3VeriSign數(shù)字證書的申請與使用數(shù)字證書的申請和使用
1786.5VeriSign數(shù)字證書的申請與使用6.5.3VeriSign數(shù)字證書的申請與使用查看個(gè)人數(shù)字證書
1796.5
VeriSign數(shù)字證書的申請與使用6.5.3VeriSign數(shù)字證書的申請與使用個(gè)人數(shù)字證書的使用
1806.5VeriSign數(shù)字證書的申請與使用6.5.3VeriSign數(shù)字證書的申請與使用下載對方的數(shù)字證書
1816.5VeriSign數(shù)字證書的申請與使用6.5.3VeriSign數(shù)字證書的申請與使用個(gè)人數(shù)字證書的廢除
1826.5VeriSign數(shù)字證書的申請與使用6.5.3VeriSign數(shù)字證書的申請與使用證書的導(dǎo)出和導(dǎo)入
1836.5VeriSign數(shù)字證書的申請與使用Thanks!第7章電子商務(wù)安全管理7.1安全標(biāo)準(zhǔn)與組織7.2安全協(xié)調(diào)機(jī)構(gòu)與政策7.3信息系統(tǒng)安全保護(hù)的相關(guān)規(guī)定7.4電子商務(wù)安全管理制度7.5電子商務(wù)安全的法律保障
186目錄引例——警方破獲國內(nèi)首起
網(wǎng)上拍賣詐騙案
187電子商務(wù)時(shí)代的安全問題涉及方方面面,我國的法律領(lǐng)域在這些方面還幾乎是空白。沒有法律的約束,電子商務(wù)的安全管理難上加難。7.1安全標(biāo)準(zhǔn)與組織7.1.1制定安全標(biāo)準(zhǔn)的組織7.1.2因特網(wǎng)標(biāo)準(zhǔn)和組織7.1.3我國的信息安全標(biāo)準(zhǔn)化工作
1887.1.1制定安全標(biāo)準(zhǔn)的組織一、國際標(biāo)準(zhǔn)化組織(ISO)二、電信標(biāo)準(zhǔn)化部門(ITU—T)三、國際信息處理聯(lián)合會(huì)第十一技術(shù)委員會(huì)(IFIPTC11)四、電氣和電子工程師學(xué)會(huì)(IEEE)五、美國國家標(biāo)準(zhǔn)局與美國商業(yè)部國家技術(shù)標(biāo)準(zhǔn)研究所六、美國國家標(biāo)準(zhǔn)協(xié)會(huì)(ANSI)
1897.1安全標(biāo)準(zhǔn)與組織一、國際標(biāo)準(zhǔn)化組織(ISO)
OSI基本參考模型提供的五種安全服務(wù):驗(yàn)證服務(wù)訪問控制服務(wù)數(shù)據(jù)保密服務(wù)數(shù)據(jù)完整性服務(wù)不可否認(rèn)服務(wù)
1907.1安全標(biāo)準(zhǔn)與組織ISO的主頁
1917.1安全標(biāo)準(zhǔn)與組織ITU—T的主頁
1927.1安全標(biāo)準(zhǔn)與組織IFIP的主頁
1937.1安全標(biāo)準(zhǔn)與組織IEEE的主頁
1947.1安全標(biāo)準(zhǔn)與組織NIST的主頁
1957.1安全標(biāo)準(zhǔn)與組織ANSI的主頁
1967.1安全標(biāo)準(zhǔn)與組織7.1.2因特網(wǎng)標(biāo)準(zhǔn)與組織一、因特網(wǎng)體系
1977.1安全標(biāo)準(zhǔn)與組織ISOC的主頁
1987.1安全標(biāo)準(zhǔn)與組織IAB的主頁
1997.1安全標(biāo)準(zhǔn)與組織IETF的主頁
2007.1安全標(biāo)準(zhǔn)與組織IRTF的主頁
2017.1安全標(biāo)準(zhǔn)與組織RFC的主頁
2027.1安全標(biāo)準(zhǔn)與組織二、因特網(wǎng)安全運(yùn)作指導(dǎo)方針
2037.1安全標(biāo)準(zhǔn)與組織7.1.3我國的信息安全標(biāo)準(zhǔn)化工作
2047.1安全標(biāo)準(zhǔn)與組織7.2.1國際信息安全協(xié)調(diào)機(jī)構(gòu)1988“莫里斯病毒事件”作用:解決Internet上存在的安全問題,調(diào)查Internet的脆弱性和發(fā)布信息CERT/CC三類工作:提供問題解決方案建立脆弱問題數(shù)據(jù)庫進(jìn)行信息反饋
2057.2安全協(xié)調(diào)機(jī)構(gòu)與政策CERT/CC的主頁
2067.2安全協(xié)調(diào)機(jī)構(gòu)與政策7.2.2我國的信息安全管理機(jī)構(gòu)及原則一、安全管理格局基本方針:興利除弊、集中監(jiān)控、分級管理、保障國家安全密碼管理方針:統(tǒng)一領(lǐng)導(dǎo)、集中管理、定點(diǎn)研制、??亟?jīng)營、滿足使用二、法律政策原則(三層次)一層:從憲法的高度進(jìn)行規(guī)范二層:直接約束計(jì)算機(jī)安全、因特網(wǎng)安全的法規(guī)三層:對信息內(nèi)容、信息安全技術(shù)、信息安全產(chǎn)品的授權(quán)審批的規(guī)定三、機(jī)構(gòu)部門安全管理原則“四有”原則
2077.2安全協(xié)調(diào)機(jī)構(gòu)與政策7.3信息系統(tǒng)安全保護(hù)的相關(guān)規(guī)定
2087.3.1信息系統(tǒng)安全保護(hù)7.3.2國際聯(lián)網(wǎng)管理7.3.3商用密鑰管理7.3.4計(jì)算機(jī)病毒防治7.3.5安全產(chǎn)品檢測與銷售7.3.1信息系統(tǒng)安全保護(hù)計(jì)算機(jī)信息系統(tǒng)的建設(shè)和運(yùn)用,應(yīng)當(dāng)遵紀(jì)守法計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)制度計(jì)算機(jī)機(jī)房安全管理制度計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)備案制度計(jì)算機(jī)信息媒體進(jìn)出境申報(bào)制度計(jì)算機(jī)信息系統(tǒng)使用單位安全負(fù)責(zé)制度計(jì)算機(jī)案件強(qiáng)行報(bào)告制度計(jì)算機(jī)病毒及其有害數(shù)據(jù)的專管制度計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品消受許可證制度
2097.3信息系統(tǒng)安全保護(hù)的相關(guān)規(guī)定7.3.2國際聯(lián)網(wǎng)管理《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法》《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》《中國公用計(jì)算機(jī)互聯(lián)網(wǎng)國際聯(lián)網(wǎng)管理辦法》《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)出入口信道管理辦法》《計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》
2107.3信息系統(tǒng)安全保護(hù)的相關(guān)規(guī)定7.3.3商用密碼管理7.3.4計(jì)算機(jī)病毒防治7.3.5安全產(chǎn)品檢測與銷售
2117.3信息系統(tǒng)安全保護(hù)的相關(guān)規(guī)定7.4電子商務(wù)安全管理制度
2127.4.1信息安全管理制度的內(nèi)涵7.4.2網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度7.4.3病毒防范制度7.4.4人員管理制度7.4.5保密制度7.4.6跟蹤、審計(jì)、稽核制度7.4.7應(yīng)急措施制度小目錄7.4.1信息安全管理制度的內(nèi)涵一、計(jì)算機(jī)信息安全的定義為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù),保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露——ISO計(jì)算機(jī)系統(tǒng)有能力控制給定的主體對給定的客體的存取——美國防部《可信計(jì)算機(jī)系統(tǒng)評級準(zhǔn)則》從保密性、完整性、可用性來衡量——?dú)W《信息技術(shù)安全評級準(zhǔn)則》
2137.4電子商務(wù)安全管理制度7.4.1信息安全管理制度的內(nèi)涵二、計(jì)算機(jī)信息安全的基本要求(5條)認(rèn)同用戶和鑒別控制存取保障完整性審計(jì)容錯(cuò)三、信息安全管理制度指用文字形式對各項(xiàng)安全要求所作的規(guī)定,它是保證企業(yè)電子商務(wù)取得成功的重要基礎(chǔ)工作,是企業(yè)人員安全工作德規(guī)范和準(zhǔn)則。
2147.4電子商務(wù)安全管理制度7.4.2網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度硬件的日常管理和維護(hù)
網(wǎng)絡(luò)設(shè)備服務(wù)器和客戶機(jī)通信線路軟件的日常管理和維護(hù)
支撐軟件應(yīng)用軟件數(shù)據(jù)備份
2157.4電子商務(wù)安全管理制度7.4.3病毒防范制度給自己的計(jì)算機(jī)安裝防病毒軟件不打開陌生地址的電子郵件認(rèn)真執(zhí)行病毒定期清理制度控制權(quán)限高度警惕網(wǎng)絡(luò)陷阱
2167.4電子商務(wù)安全管理制度7.4.4人員管理制度嚴(yán)格選拔網(wǎng)上交易人員落實(shí)工作責(zé)任制貫徹電子商務(wù)安全運(yùn)作基本原則
2177.4電子商務(wù)安全管理制度7.4.5保密制度絕密級機(jī)密級秘密級
2187.4電子商務(wù)安全管理制度7.4.6跟蹤、審計(jì)、稽核制度跟蹤制度要求企業(yè)建立網(wǎng)絡(luò)交易系統(tǒng)日志機(jī)制,用來記錄系統(tǒng)運(yùn)行的全過程。審計(jì)制度包括:經(jīng)常對系統(tǒng)日志的檢查、審核,及時(shí)發(fā)現(xiàn)系統(tǒng)故意入侵行為的記錄和對系統(tǒng)安全功能違反的記錄,監(jiān)控和捕捉各種安全事件,保存、維護(hù)和管理系統(tǒng)日志?;酥贫仁侵腹ど坦芾?、銀行、稅務(wù)人員利用計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng),借助于稽核業(yè)務(wù)應(yīng)用軟件調(diào)閱、查詢、審核、判斷轄區(qū)內(nèi)各電子商務(wù)參與單位業(yè)務(wù)經(jīng)營活動(dòng)的合理性、安全性,堵塞漏洞,保證電子商務(wù)交易安全,發(fā)出相應(yīng)的警示或做出處理處罰的有關(guān)決定的一系列步驟和措施。
2197.4電子商務(wù)安全管理制度7.4.7應(yīng)急措施制度應(yīng)急措施指在計(jì)算機(jī)災(zāi)難事件(即緊急事件或安全事故)發(fā)生時(shí),利用應(yīng)急計(jì)劃、輔助軟件和應(yīng)急設(shè)施,排除災(zāi)難和故障,保障計(jì)算機(jī)信息系統(tǒng)繼續(xù)運(yùn)行或緊急恢復(fù)。
2207.4電子商務(wù)安全管理制度7.5電子商務(wù)安全的法律保障
2217.5.1國際電子商務(wù)立法現(xiàn)狀7.5.2我國電子商務(wù)立法現(xiàn)狀7.5.3國內(nèi)與電子商務(wù)相關(guān)的法律法規(guī)政策7.5.4電子簽名法律小目錄7.5.1國際電子商務(wù)立法現(xiàn)狀一、國際電子商務(wù)立法進(jìn)展二、國際電子商務(wù)立法原則電子商務(wù)基本上應(yīng)由私營企業(yè)來主導(dǎo)電子商務(wù)應(yīng)在開放、公平的競爭環(huán)境中發(fā)展政府干預(yù)應(yīng)在需要時(shí)起到促進(jìn)國際化法律環(huán)境建立、公平分配匱乏資源的作用,而且這種干預(yù)應(yīng)是透明的、少量的、重要的、有目標(biāo)的、非歧視性的、平等的,技術(shù)上是中性的使私營企業(yè)介入或涉入電子商務(wù)政策的制定電子商務(wù)交易應(yīng)使用非電子手段的稅收概念相結(jié)合電信設(shè)施建設(shè)應(yīng)是經(jīng)營者在開放、公平的市場中競爭并逐步實(shí)現(xiàn)全球化保護(hù)個(gè)人隱私,對個(gè)人數(shù)據(jù)進(jìn)行加密保護(hù);商家應(yīng)為消費(fèi)者提供安全保障設(shè)施,并保證用戶能方便實(shí)施、使用
2227.5電子商務(wù)安全的法律保障7.5.2我國電子商務(wù)立法現(xiàn)狀一、我國電子商務(wù)立法的相關(guān)背景二、涉及的主要法律問題三、立法應(yīng)遵循的指導(dǎo)原則國內(nèi)立法指導(dǎo)原則鼓勵(lì)和發(fā)展電子商務(wù)是中國電子商務(wù)立法的首要前提電子商務(wù)立法要與憲法和其他已存在的法律法規(guī)及我國認(rèn)同的國際法保持一致電子商務(wù)立法要適合中國國情《中國發(fā)展電子商務(wù)的指導(dǎo)意見初稿》內(nèi)容包括:電子薩胡的市場準(zhǔn)入和后勤問題、電子商務(wù)法律框架、金融框架等。
2237.5電子商務(wù)安全的法律保障7.5.3國內(nèi)與電子商務(wù)相關(guān)的法律法規(guī)政策
《中華人民共和國電子簽名法》是我國第一部真正意義上的電子商務(wù)法。
2247.5電子商務(wù)安全的法律保障7.5.4電子簽名法律電子簽名法的主要特點(diǎn)電子簽名國際立法狀況我國的電子簽名法
2257.5電子商務(wù)安全的法律保障Thanks!第8章電子商務(wù)安全風(fēng)險(xiǎn)管理8.1電子商務(wù)安全風(fēng)險(xiǎn)管理的演進(jìn)8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程8.3電子商務(wù)安全風(fēng)險(xiǎn)管理的整體策略
228目錄引例——匯豐銀行網(wǎng)絡(luò)一天內(nèi)遭萬次攻擊
顧客信心受損
229匯豐銀行網(wǎng)絡(luò)所遭受的攻擊引發(fā)了電子商務(wù)時(shí)代企業(yè)安全風(fēng)險(xiǎn)管理的重視,但是企業(yè)該如何加強(qiáng)安全風(fēng)險(xiǎn)管理呢?8.1電子商務(wù)安全風(fēng)險(xiǎn)管理的演進(jìn)8.1.1電子商務(wù)安全管理的發(fā)展歷程事件驅(qū)動(dòng)時(shí)期標(biāo)準(zhǔn)化時(shí)期安全風(fēng)險(xiǎn)管理時(shí)期
2308.1.2電子商務(wù)安全風(fēng)險(xiǎn)管理的現(xiàn)狀企業(yè)已對安全風(fēng)險(xiǎn)管理達(dá)成共識(shí)安全風(fēng)險(xiǎn)管理的國際標(biāo)準(zhǔn)和各國規(guī)范逐漸形成并趨于完善利用外部專業(yè)化機(jī)構(gòu)進(jìn)行安全性評估已成為大部分國家的選擇:中國公安部信息安全等級保護(hù)評估中心全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)中國信息安全產(chǎn)品測評認(rèn)證中心上海市信息安全產(chǎn)品測評認(rèn)證中心上海市信息安全測評認(rèn)證中心深圳市信息安全測評中心
2318.1電子商務(wù)安全風(fēng)險(xiǎn)管理的演進(jìn)8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程8.2.1安全風(fēng)險(xiǎn)管理中的因素關(guān)系8.2.2風(fēng)險(xiǎn)識(shí)別分析8.2.3風(fēng)險(xiǎn)評估8.2.4風(fēng)險(xiǎn)控制和風(fēng)險(xiǎn)接受8.2.5監(jiān)控和審計(jì)
2328.2.1安全風(fēng)險(xiǎn)管理中的因素關(guān)系安全風(fēng)險(xiǎn)管理中各因素之間的聯(lián)系:
2338.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程8.2.1安全風(fēng)險(xiǎn)管理中的因素關(guān)系風(fēng)險(xiǎn)識(shí)別分析階段風(fēng)險(xiǎn)評估階段風(fēng)險(xiǎn)控制階段
2348.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程8.2.2風(fēng)險(xiǎn)識(shí)別分析1.風(fēng)險(xiǎn)識(shí)別的一般步驟信息資產(chǎn)的識(shí)別與估價(jià)威脅的識(shí)別與評估薄弱點(diǎn)評價(jià)
2358.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程8.2.2風(fēng)險(xiǎn)識(shí)別分析2.風(fēng)險(xiǎn)識(shí)別階段的常用方法風(fēng)險(xiǎn)分析調(diào)查表資產(chǎn)風(fēng)險(xiǎn)分析調(diào)查表網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)設(shè)備有無專人管理?有無專門的網(wǎng)絡(luò)設(shè)備維護(hù)制度?網(wǎng)絡(luò)設(shè)備有無備份?……服務(wù)器服務(wù)器有無專門的管理制度?服務(wù)器是否有備份?服務(wù)器內(nèi)容的訪問規(guī)則有否?……數(shù)據(jù)庫數(shù)據(jù)庫的更新頻率是否符合標(biāo)準(zhǔn)數(shù)據(jù)庫內(nèi)容是否備份?企業(yè)是否將全部重要信息都集中保存?…………是否
2368.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程事故樹分析法
2378.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程病毒攻擊服務(wù)中斷設(shè)備毀壞管理缺陷泄密制度漏洞火災(zāi)損失事故聲譽(yù)破壞8.2.3風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)識(shí)別工作結(jié)束后,要利用適當(dāng)?shù)娘L(fēng)險(xiǎn)測量方法、工具確定風(fēng)險(xiǎn)的大小與風(fēng)險(xiǎn)等級,這就是風(fēng)險(xiǎn)評估過程。根據(jù)風(fēng)險(xiǎn)計(jì)算的結(jié)果,可以得到資產(chǎn)風(fēng)險(xiǎn)評估的相對優(yōu)先順序,將風(fēng)險(xiǎn)劃分為不同的等級,風(fēng)險(xiǎn)級別高的資產(chǎn)需要優(yōu)先分配資源保護(hù)。
2388.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程8.2.4風(fēng)險(xiǎn)控制和風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)評估-風(fēng)險(xiǎn)接受過程:
2398.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程風(fēng)險(xiǎn)評估過程
安全控制措施選擇
實(shí)施安全控制降低風(fēng)險(xiǎn)
接受殘余風(fēng)險(xiǎn)
8.2.5監(jiān)控和審計(jì)
專門的審計(jì)評估系統(tǒng)可以起到以下作用:對于已經(jīng)發(fā)生的系統(tǒng)破壞行為提供有力的證據(jù)提供有價(jià)值的系統(tǒng)使用日志提供系統(tǒng)運(yùn)行的統(tǒng)計(jì)日志
2408.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程8.3電子商務(wù)安全風(fēng)險(xiǎn)管理的整體策略8.3.1安全風(fēng)險(xiǎn)管理策略應(yīng)遵循的原則
1.控制論和系統(tǒng)論思想的運(yùn)用信息方法用信息的觀點(diǎn),把系統(tǒng)看作是借助于信息的獲取、傳遞、加工、處理而實(shí)現(xiàn)其有目的性運(yùn)動(dòng)的一種研究方法。反饋方法把一個(gè)系統(tǒng)的輸出信息,再引向輸入端,并對信息的再輸出發(fā)生影響的控制方式
2.借鑒其他領(lǐng)域的風(fēng)險(xiǎn)管理方法
3.融入企業(yè)整體風(fēng)險(xiǎn)管理
2418.3.2策略的總體框架在安全風(fēng)險(xiǎn)管理策略系統(tǒng)中技術(shù)和管理手段的無縫集成:
2428.3電子商務(wù)安全風(fēng)險(xiǎn)管理的整體策略8.3.2策略的總體框架
包括電子商務(wù)安全風(fēng)險(xiǎn)控制的企業(yè)整體風(fēng)險(xiǎn)控制:
2438.3電子商務(wù)安全風(fēng)險(xiǎn)管理的整體策略第9章電子商務(wù)安全與誠信9.1誠信缺失與電子商務(wù)安全問題9.2電子商務(wù)誠信體系的建設(shè)9.3我國電子商務(wù)誠信體系建設(shè)現(xiàn)狀——以上海為例245目錄引例——當(dāng)當(dāng)取消買家3.5折手機(jī)訂單遭遇
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 學(xué)校2024-2025學(xué)年度德育工作計(jì)劃
- 進(jìn)行性肢端黑變病的臨床護(hù)理
- 【培訓(xùn)課件】銷售技能培訓(xùn) 顧問式實(shí)戰(zhàn)銷售
- 產(chǎn)后胳膊疼的健康宣教
- 低磷血癥的臨床護(hù)理
- 《教學(xué)管理》課件
- 變形桿菌性角膜炎的臨床護(hù)理
- JJF(陜) 077-2021 水泥膠砂試體成型振實(shí)臺(tái)校準(zhǔn)規(guī)范
- 幼兒教師培訓(xùn)課件:《信息交流》
- 創(chuàng)新教學(xué)方法提升幼兒園教育質(zhì)量計(jì)劃
- 2024應(yīng)急管理部國家自然災(zāi)害防治研究院公開招聘34人(高頻重點(diǎn)提升專題訓(xùn)練)共500題附帶答案詳解
- 俄語入門智慧樹知到期末考試答案章節(jié)答案2024年吉林師范大學(xué)
- 人教版七年級數(shù)學(xué)上冊第一學(xué)期期末綜合測試卷(2024年秋)
- 2023-2024學(xué)年吉林省長春七年級(上)期末英語試卷
- 委托付款四方協(xié)議
- 2023年北京語言大學(xué)事業(yè)編制人員招聘考試真題
- 2024年03月國家林業(yè)和草原局機(jī)關(guān)服務(wù)局招考聘用筆試歷年典型考題及考點(diǎn)研判與答案解析
- 火龍罐療法課件
- 倉庫租賃服務(wù)投標(biāo)方案(技術(shù)方案)
- 項(xiàng)目投資決策分析與評價(jià)(天大微專業(yè))智慧樹知到期末考試答案章節(jié)答案2024年
- 語言、文化與交際智慧樹知到期末考試答案章節(jié)答案2024年湖南大學(xué)
評論
0/150
提交評論