電子商務(wù)安全與管理課件

關(guān)于本課程的說(shuō)明開(kāi)課目的：了解和認(rèn)識(shí)電子商務(wù)存在的各類(lèi)安全問(wèn)題，明確電子商務(wù)的安全需求，掌握解決相關(guān)問(wèn)題的思路和方法。主要內(nèi)容：信息安全、網(wǎng)絡(luò)安全、數(shù)字證書(shū)、電子商務(wù)安全管理、電子商務(wù)安全風(fēng)險(xiǎn)管理等內(nèi)容。主要教學(xué)方式：課堂講述、課堂討論、專(zhuān)題寫(xiě)作、作業(yè)和思考題?？己嗽u(píng)價(jià)方式：閉卷考試關(guān)于本課程的說(shuō)明開(kāi)課目的：了解和認(rèn)識(shí)電子商務(wù)存在的各類(lèi)安全問(wèn)1第一章電子商務(wù)安全導(dǎo)論本章學(xué)習(xí)目的：了解電子商務(wù)面臨的安全問(wèn)題掌握電子商務(wù)系統(tǒng)安全的構(gòu)成要素了解電子商務(wù)安全的主要需求理解電子商務(wù)安全的保障手段第一節(jié)電子商務(wù)面臨的安全問(wèn)題1、安全問(wèn)題的提出伴隨著互聯(lián)網(wǎng)經(jīng)濟(jì)的不斷發(fā)展，電子商務(wù)活動(dòng)越來(lái)越普遍，與此相對(duì)應(yīng)的各類(lèi)安全問(wèn)題也越來(lái)越引起人們的重視，有必要采取一系列針對(duì)性的措施解決這類(lèi)問(wèn)題。

第一章電子商務(wù)安全導(dǎo)論本章學(xué)習(xí)目的：22、電子商務(wù)涉及的安全問(wèn)題主要有以下幾個(gè)方面：1）信息安全問(wèn)題2）信用的安全問(wèn)題3）安全的管理問(wèn)題4）安全的法律法規(guī)保障問(wèn)題2、電子商務(wù)涉及的安全問(wèn)題3第二節(jié)電子商務(wù)系統(tǒng)安全的構(gòu)成1、電子商務(wù)系統(tǒng)電子商務(wù)系統(tǒng)是指人們用于開(kāi)展電子商務(wù)活動(dòng)所依賴的基于計(jì)算機(jī)網(wǎng)絡(luò)的計(jì)算機(jī)信息管理系統(tǒng)，主要由硬件及相關(guān)功能軟件所構(gòu)成，是開(kāi)展電子商務(wù)活動(dòng)的運(yùn)作平臺(tái)。2、電子商務(wù)系統(tǒng)的安全組成實(shí)體安全、運(yùn)行安全、信息安全

第二節(jié)電子商務(wù)系統(tǒng)安全的構(gòu)成1、電子商務(wù)系統(tǒng)4（一）實(shí)體安全保障設(shè)備、設(shè)施的正常運(yùn)行和數(shù)據(jù)的安全。1、環(huán)境安全：系統(tǒng)運(yùn)行周邊環(huán)境的保障。2、設(shè)備安全：系統(tǒng)中各運(yùn)行設(shè)備自身的安全運(yùn)行。3、媒體安全：主要是指存放數(shù)據(jù)的介質(zhì)的安全保障。（一）實(shí)體安全5（二）系統(tǒng)運(yùn)行安全提供安全措施保障系統(tǒng)功能的安全實(shí)現(xiàn)。1、風(fēng)險(xiǎn)分析：對(duì)系統(tǒng)運(yùn)行中可能出現(xiàn)的各類(lèi)安全風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè)和分析2、審計(jì)跟蹤：完善系統(tǒng)運(yùn)行的各類(lèi)記錄，了解系統(tǒng)運(yùn)行狀況。3、備份與恢復(fù)4、應(yīng)急措施（二）系統(tǒng)運(yùn)行安全6（三）信息安全

防止信息被非法泄露、更改、破壞等。1、操作系統(tǒng)安全2、數(shù)據(jù)庫(kù)安全3、網(wǎng)絡(luò)安全4、病毒防護(hù)安全5、訪問(wèn)控制安全6、加密7、鑒別（三）信息安全7第四節(jié)電子商務(wù)安全的保障電子商務(wù)的安全保障應(yīng)從綜合防范的角度出發(fā)，從技術(shù)、管理、法律等多個(gè)方面采取措施，才能夠有效地保障電子商務(wù)的安全。1、技術(shù)措施信息加密、數(shù)字簽名技術(shù)、TCP/IP服務(wù)、防火墻的構(gòu)造2、管理措施人員管理制度、保密制度、跟蹤審計(jì)制度、系統(tǒng)維護(hù)制度、數(shù)據(jù)容災(zāi)技術(shù)、病毒防范技術(shù)、應(yīng)急措施3、法律環(huán)境第四節(jié)電子商務(wù)安全的保障電子商務(wù)的安全保障應(yīng)從綜8上次課內(nèi)容回顧1、電子商務(wù)面臨的主要安全問(wèn)題信息安全、信用安全、安全管理、安全的法律法規(guī)保障2、電子商務(wù)系統(tǒng)的安全構(gòu)成實(shí)體安全、運(yùn)行安全、信息安全3、電子商務(wù)安全的需求保密性、完整性、認(rèn)證性、可控性、不可否認(rèn)性4、電子商務(wù)的安全保障技術(shù)措施、管理措施、法律環(huán)境上次課內(nèi)容回顧1、電子商務(wù)面臨的主要安全問(wèn)題9第二章信息安全技術(shù)2.1信息安全概述電子商務(wù)中信息安全主要涉及以下五個(gè)方面1、信息的機(jī)密性2、信息的完整性3、對(duì)信息的驗(yàn)證4、信息的不可否認(rèn)性5、對(duì)信息的訪問(wèn)控制第二章信息安全技術(shù)2.1信息安全概述10一、信息的機(jī)密性要求：信息的保密，如項(xiàng)目的投標(biāo)、產(chǎn)品的報(bào)價(jià)、銀行的賬號(hào)和密碼等重要的商業(yè)信息。技術(shù)對(duì)策：信息加密（對(duì)稱(chēng)加密與非對(duì)稱(chēng)加密）二、信息的完整性要求：能夠?qū)π畔⑦M(jìn)行檢測(cè)，并識(shí)別信息是否被更改。技術(shù)對(duì)策：利用數(shù)字摘要技術(shù)（Hash函數(shù)、SSL協(xié)議）一、信息的機(jī)密性11三、對(duì)信息的驗(yàn)證要求：能夠?qū)﹄娮由虅?wù)活動(dòng)參與者或主體身份的真實(shí)性進(jìn)行驗(yàn)證及確認(rèn)。技術(shù)對(duì)策：設(shè)定口令、數(shù)字簽名、數(shù)字證書(shū)等。四、不可否認(rèn)性要求：任何一方對(duì)信息的真實(shí)性不能否認(rèn)和抵賴。技術(shù)對(duì)策：數(shù)字簽名、數(shù)字證書(shū)等三、對(duì)信息的驗(yàn)證12五、訪問(wèn)控制要求：只允許授權(quán)用戶訪問(wèn)相關(guān)信息。技術(shù)策略：設(shè)定用戶及權(quán)限、訪問(wèn)賬號(hào)、口令等。五、訪問(wèn)控制132.2信息傳輸中的加密方式信息加密主要分為傳輸加密和存儲(chǔ)加密。信息傳輸加密：是指?jìng)鬏斶^(guò)程中對(duì)信息進(jìn)行加密的過(guò)程。一、幾種常用的加密方式1、鏈路-鏈路加密在通信節(jié)點(diǎn)對(duì)信息進(jìn)行加密處理，以保證在鏈路上傳遞的信息是加密過(guò)的。2.2信息傳輸中的加密方式信息加密主要分為傳輸加密和存儲(chǔ)加142、節(jié)點(diǎn)加密在各節(jié)點(diǎn)設(shè)專(zhuān)用的加密裝置對(duì)信息加密和解密，實(shí)現(xiàn)信息在鏈路上的加密傳輸。3、端-端加密在發(fā)送端和接收端分別對(duì)信息進(jìn)行加密和解密操作。2、節(jié)點(diǎn)加密15二、加密方式的選擇策略見(jiàn)表2-2二、加密方式的選擇策略162.3對(duì)稱(chēng)加密與非對(duì)稱(chēng)加密加密：利用一定的加密算法和密鑰對(duì)數(shù)據(jù)對(duì)象進(jìn)行處理，得到與原文截然不同的數(shù)據(jù)對(duì)象方法。加密形式：對(duì)稱(chēng)加密、非對(duì)稱(chēng)加密對(duì)稱(chēng)加密：存在一個(gè)密鑰，加密密鑰與解密密鑰相同。非對(duì)稱(chēng)加密：存在一個(gè)密鑰對(duì)（公開(kāi)密鑰、私有密鑰），均可對(duì)數(shù)據(jù)進(jìn)行加密和解密操作?？蛇\(yùn)用在加密模式和驗(yàn)證模式上。2.3對(duì)稱(chēng)加密與非對(duì)稱(chēng)加密加密：利用一定的加密算法和密鑰對(duì)172.3.1對(duì)稱(chēng)加密系統(tǒng)1、對(duì)稱(chēng)密碼體制，也叫做單鑰密碼體制或秘密密鑰密碼體制，即加密密鑰與解密密鑰相同的密碼體制，這種體制中只要知道加（解）密算法，就可以反推解（加）密算法。2、對(duì)稱(chēng)加密的優(yōu)缺點(diǎn)a、優(yōu)點(diǎn)：使用方便，效率高B、缺點(diǎn)：密鑰管理和使用比較困難2.3.1對(duì)稱(chēng)加密系統(tǒng)1、對(duì)稱(chēng)密碼體制，也叫做單鑰密碼體制183、信息驗(yàn)證碼見(jiàn)圖2-4作用：實(shí)現(xiàn)信息完整性的驗(yàn)證，保證信息在傳輸過(guò)程中不被篡改和破壞。3、信息驗(yàn)證碼192.3.2不對(duì)稱(chēng)加密系統(tǒng)前面討論的密碼體制都是對(duì)稱(chēng)密鑰密碼體制。然而,使用對(duì)稱(chēng)密鑰密碼體制進(jìn)行秘密通信時(shí),任意兩個(gè)不同用戶之間一般都應(yīng)該使用互不相同的密鑰,這樣,如果一個(gè)網(wǎng)絡(luò)中有n個(gè)用戶,他們之間彼此可能需要進(jìn)行秘密通信,這時(shí)網(wǎng)絡(luò)中將共需要n(n-1)/2個(gè)密鑰。其中,每個(gè)用戶都需要保存n-1個(gè)密鑰,這樣巨大的密鑰量給密鑰分配、管理和使用帶來(lái)了極大的困難,也帶來(lái)了非技術(shù)因素上的安全問(wèn)題(若某個(gè)用戶泄密,將影響整個(gè)密碼系統(tǒng))。另外,在電子商務(wù)活動(dòng)中,很多場(chǎng)合需要身份認(rèn)證和數(shù)字簽名,這些問(wèn)題,對(duì)稱(chēng)密碼體制是無(wú)法很好地解決的。2.3.2不對(duì)稱(chēng)加密系統(tǒng)前面討論的密碼體制都是對(duì)稱(chēng)密鑰密碼20自從1976年，Diffie和Hellman在《密碼學(xué)的新方向》一文中提出公開(kāi)密鑰密碼的思想以來(lái)，經(jīng)過(guò)20多年發(fā)展，公開(kāi)密鑰密碼獲得了巨大的發(fā)展。在實(shí)踐應(yīng)用當(dāng)中，公開(kāi)密鑰密碼成功地解決了計(jì)算機(jī)網(wǎng)絡(luò)安全的身份認(rèn)證、數(shù)字簽名等問(wèn)題，推動(dòng)了包括電子商務(wù)在內(nèi)的一大批網(wǎng)絡(luò)應(yīng)用的不斷深入和發(fā)展。自從1976年，Diffie和Hellman在《密碼學(xué)的新方21公鑰密碼體制也稱(chēng)非對(duì)稱(chēng)密碼體制，在這種體制中，存在一個(gè)密鑰對(duì)－公共密鑰和私有密鑰，它們是不一樣的。公開(kāi)的密鑰簡(jiǎn)稱(chēng)公鑰（publickey），私有密鑰簡(jiǎn)稱(chēng)私鑰（privatekey），私鑰和公鑰都既可做加密密鑰，也可做解密密鑰。這種密碼體制中每一個(gè)用戶都分別擁有兩個(gè)密鑰：公鑰與私鑰，并且攻擊者想由公鑰得到私鑰在計(jì)算上是不可行的。公鑰密碼體制也稱(chēng)非對(duì)稱(chēng)密碼體制，在這種體制中，存在一個(gè)密鑰對(duì)22與對(duì)稱(chēng)密鑰密碼體制相比，非對(duì)稱(chēng)密鑰密碼體制具有以下幾個(gè)特點(diǎn)：(1)密鑰分發(fā)和管理簡(jiǎn)單。加密密鑰可以做成密鑰本公開(kāi)，解密密鑰由各用戶自行掌握。(2)每個(gè)用戶秘密保存的密鑰量減少。網(wǎng)絡(luò)中每個(gè)用戶只需要秘密保存自己的解密密鑰，與其他用戶通信所使用的加密密鑰可以由密鑰本得到。(3)適應(yīng)于計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，能夠滿足互不相識(shí)的用戶之間進(jìn)行保密通信的要求。(4)能夠很容易的完成數(shù)字簽名和認(rèn)證。(5)加密和解密的效率比對(duì)稱(chēng)密碼體制要差，因此，大多數(shù)用公鑰密碼體制來(lái)保護(hù)和分發(fā)會(huì)話密鑰，并將其用于對(duì)稱(chēng)密碼算法中實(shí)現(xiàn)快速通信與對(duì)稱(chēng)密鑰密碼體制相比，非對(duì)稱(chēng)密鑰密碼體制具有以下幾個(gè)特點(diǎn)：232.4數(shù)字簽名在電子商務(wù)系統(tǒng)中有時(shí)候認(rèn)證技術(shù)可能比信息加密本身更加重要。比如在網(wǎng)上購(gòu)物和支付系統(tǒng)中，用戶往往對(duì)購(gòu)物信息的保密性不是很看重，而對(duì)網(wǎng)上商店的身份的真實(shí)性則倍加關(guān)注（這就需要身份認(rèn)證）；另外，用戶的個(gè)人信息（如銀行賬號(hào)、身份證、密碼等）和提交的購(gòu)物信息未被第三方修改或偽造，并且網(wǎng)上商家不能抵賴（這就需要消息認(rèn)證），同樣，商家也面臨著這些問(wèn)題。2.4數(shù)字簽名在電子商務(wù)系統(tǒng)中有時(shí)候認(rèn)證技術(shù)可能比信息加密24數(shù)字簽名從傳統(tǒng)的手寫(xiě)簽名衍生而來(lái)，它可以提供一些基本的密碼服務(wù)，如數(shù)據(jù)的完整性、真實(shí)性以及不可否認(rèn)性。數(shù)字簽名是實(shí)現(xiàn)電子交易安全的核心技術(shù)之一，它在身份認(rèn)證、數(shù)據(jù)完整性、不可否認(rèn)性以及匿名性等方面有著重要的應(yīng)用。數(shù)字簽名從傳統(tǒng)的手寫(xiě)簽名衍生而來(lái)，它可以提供一些基本的密碼服25簡(jiǎn)單地說(shuō)，數(shù)字簽名就是通過(guò)一個(gè)單向函數(shù)對(duì)要傳送的報(bào)文進(jìn)行處理，得到用于認(rèn)證報(bào)文來(lái)源并核實(shí)報(bào)文是否發(fā)生變化的一個(gè)字母數(shù)字串，用這個(gè)字符串來(lái)代替書(shū)寫(xiě)簽名或印章，起到與書(shū)寫(xiě)簽名或印章同樣的法律效用。數(shù)字簽名的基本原理見(jiàn)圖2-9數(shù)字簽名的使用見(jiàn)圖2-10簡(jiǎn)單地說(shuō)，數(shù)字簽名就是通過(guò)一個(gè)單向函數(shù)對(duì)要傳送的報(bào)文進(jìn)行處理26思考題1、什么是信息的完整性的，保證信息完整性的技術(shù)手段和原理是什么？2、比較端-端加密與鏈路-鏈路加密兩者的主要區(qū)別是什么，從實(shí)施角度哪一種更容易實(shí)現(xiàn)，為什么？3、數(shù)字簽名技術(shù)是如何實(shí)現(xiàn)不可否認(rèn)性的安全保障的？4、簡(jiǎn)要說(shuō)明一下，為什么說(shuō)對(duì)稱(chēng)加密技術(shù)不適用于電子商務(wù)活動(dòng)。思考題1、什么是信息的完整性的，保證信息完整性的技術(shù)手段和原272.3密鑰管理技術(shù)一、密鑰管理概述密鑰的使用是有生命周期的，一旦時(shí)間到了則應(yīng)密鑰的價(jià)值。密鑰生命周期的構(gòu)成：1、密鑰的建立（生成、發(fā)布）：強(qiáng)調(diào)密鑰的隨機(jī)性。2、密鑰的備份、恢復(fù)：密鑰管理者選擇。3、密鑰的替換、更新：密鑰的重新建立4、密鑰吊銷(xiāo)：密鑰的停止使用。5、密鑰期滿、終止：密鑰歸檔和銷(xiāo)毀。2.3密鑰管理技術(shù)一、密鑰管理概述28二、RSA密鑰的傳輸對(duì)稱(chēng)密鑰的分發(fā)應(yīng)考慮其機(jī)密性，可利用RSA加密算法進(jìn)行分發(fā)和傳輸。三、公開(kāi)密鑰的分發(fā)公開(kāi)密鑰的分發(fā)可不考慮機(jī)密性，但要注意其完整性，應(yīng)采用數(shù)字證書(shū)形式進(jìn)行分發(fā)。二、RSA密鑰的傳輸292.6驗(yàn)證技術(shù)驗(yàn)證：是對(duì)通過(guò)網(wǎng)絡(luò)進(jìn)行資源訪問(wèn)的對(duì)象，進(jìn)行的資格（身份、權(quán)限）的審查。常用的驗(yàn)證方法：1、基于口令的驗(yàn)證2、基于協(xié)議的驗(yàn)證3、基于個(gè)人令牌的驗(yàn)證4、基于生物特征的驗(yàn)證5、基于地址的驗(yàn)證6、數(shù)字時(shí)間戳驗(yàn)證2.6驗(yàn)證技術(shù)驗(yàn)證：是對(duì)通過(guò)網(wǎng)絡(luò)進(jìn)行資源訪問(wèn)的對(duì)象，進(jìn)行的30第三章Internet安全一、Internet安全概述1、網(wǎng)絡(luò)層安全不同網(wǎng)絡(luò)終端間的信息傳輸安全問(wèn)題。存在的問(wèn)題:數(shù)據(jù)篡改、非正確來(lái)源、數(shù)據(jù)不能傳送到指定地址、數(shù)據(jù)泄漏解決的策略：認(rèn)證和完整性、保密性、訪問(wèn)控制、協(xié)議保護(hù)第三章Internet安全一、Internet安全概述31二、應(yīng)用層安全特定程序可能存在的安全問(wèn)題，主要是運(yùn)行在相互通信的終端進(jìn)程中可能存在的安全問(wèn)題。如間諜軟件、木馬程序等。三、系統(tǒng)安全設(shè)備平臺(tái)實(shí)體及工作環(huán)境的安全問(wèn)題。二、應(yīng)用層安全323.2防火墻技術(shù)1、防火墻的概念利用硬件或軟件技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)間的可控制訪問(wèn)的系統(tǒng)。2、基本分類(lèi)及原理包過(guò)濾防火墻：對(duì)傳輸?shù)臄?shù)據(jù)包進(jìn)行檢測(cè)的防范方式。應(yīng)用網(wǎng)關(guān)防火墻：在應(yīng)用層對(duì)數(shù)據(jù)進(jìn)行過(guò)濾檢測(cè)。3.2防火墻技術(shù)1、防火墻的概念333.3、VPN技術(shù)通過(guò)公用網(wǎng)絡(luò)實(shí)現(xiàn)內(nèi)部專(zhuān)用網(wǎng)絡(luò)間的數(shù)據(jù)傳輸技術(shù)。（虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)）3.3、VPN技術(shù)通過(guò)公用網(wǎng)絡(luò)實(shí)現(xiàn)內(nèi)部專(zhuān)用網(wǎng)絡(luò)間的數(shù)據(jù)343.4網(wǎng)絡(luò)入侵檢測(cè)1、檢測(cè)策略和方式2、主要方法3.4網(wǎng)絡(luò)入侵檢測(cè)1、檢測(cè)策略和方式353.5IP協(xié)議安全（IPsec）

針對(duì)ip協(xié)議存在的安全問(wèn)題采取的相應(yīng)措施。一、IP安全體系結(jié)構(gòu)概念：基于加密技術(shù)的安全機(jī)制和標(biāo)準(zhǔn)，包括認(rèn)證、完整性、訪問(wèn)控制、機(jī)密性等。功能：在IP層提供安全服務(wù)選擇需要的安全協(xié)議決定使用的算法保存加密使用的密鑰3.5IP協(xié)議安全（IPsec）針對(duì)ip協(xié)議存36服務(wù)：通過(guò)提供安全協(xié)議選擇、決定算法、提供密鑰等方式實(shí)現(xiàn)以下服務(wù)：訪問(wèn)控制無(wú)連接完整性數(shù)據(jù)源的鑒別拒絕重放的分組服務(wù)：通過(guò)提供安全協(xié)議選擇、決定算法、提供密鑰等方式實(shí)現(xiàn)以下371、認(rèn)證頭協(xié)議提供數(shù)據(jù)源認(rèn)證的服務(wù)2、分組加密協(xié)議提供數(shù)據(jù)源加密服務(wù)3、安全關(guān)聯(lián)實(shí)現(xiàn)發(fā)、收雙方的安全連接和數(shù)據(jù)傳輸。1、認(rèn)證頭協(xié)議383.6電子商務(wù)應(yīng)用安全協(xié)議一、涉及電子郵件的安全問(wèn)題發(fā)送者身份的認(rèn)證不可否認(rèn)性郵件的完整性郵件的保密性二、解決方案1、增強(qiáng)的私密電子郵件PEM通過(guò)對(duì)郵件加密及建立基于非對(duì)稱(chēng)密鑰機(jī)制的系統(tǒng)設(shè)施，實(shí)現(xiàn)電子郵件加密傳輸?shù)囊环N方式。2、MIME、S/MIME標(biāo)準(zhǔn)信息格式信息加密標(biāo)準(zhǔn)數(shù)字簽名標(biāo)準(zhǔn)數(shù)字證書(shū)格式3.6電子商務(wù)應(yīng)用安全協(xié)議一、涉及電子郵件的安全問(wèn)題393、安全超文本傳輸協(xié)議（S_HTTP）利用密鑰對(duì)加密的方式，針對(duì)商務(wù)網(wǎng)站的信息安全進(jìn)行加密保障處理。4、安全套接層協(xié)議（SSL）ssl服務(wù)器認(rèn)證用戶身份確認(rèn)數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性5、安全電子交易協(xié)議以信用卡為基礎(chǔ)的安全電子支付協(xié)議，保證商戶和消費(fèi)者的身份和行為的認(rèn)證和不可否認(rèn)性。3、安全超文本傳輸協(xié)議（S_HTTP）403.6.5安全電子交易協(xié)議（set）一、概述set是以信用卡為基礎(chǔ)的，應(yīng)用于因特網(wǎng)環(huán)境的安全電子支付協(xié)議。1、SET協(xié)議使用數(shù)字證書(shū)和數(shù)字簽名技術(shù)確保商戶和消費(fèi)者的身份和行為的認(rèn)證和不可抵賴。2、利用雙重簽名技術(shù)確保訂購(gòu)信息和支付信息的安全。3.6.5安全電子交易協(xié)議（set）41電子商務(wù)安全與管理課件42關(guān)于本課程的說(shuō)明開(kāi)課目的：了解和認(rèn)識(shí)電子商務(wù)存在的各類(lèi)安全問(wèn)題，明確電子商務(wù)的安全需求，掌握解決相關(guān)問(wèn)題的思路和方法。主要內(nèi)容：信息安全、網(wǎng)絡(luò)安全、數(shù)字證書(shū)、電子商務(wù)安全管理、電子商務(wù)安全風(fēng)險(xiǎn)管理等內(nèi)容。主要教學(xué)方式：課堂講述、課堂討論、專(zhuān)題寫(xiě)作、作業(yè)和思考題?？己嗽u(píng)價(jià)方式：閉卷考試關(guān)于本課程的說(shuō)明開(kāi)課目的：了解和認(rèn)識(shí)電子商務(wù)存在的各類(lèi)安全問(wèn)43第一章電子商務(wù)安全導(dǎo)論本章學(xué)習(xí)目的：了解電子商務(wù)面臨的安全問(wèn)題掌握電子商務(wù)系統(tǒng)安全的構(gòu)成要素了解電子商務(wù)安全的主要需求理解電子商務(wù)安全的保障手段第一節(jié)電子商務(wù)面臨的安全問(wèn)題1、安全問(wèn)題的提出伴隨著互聯(lián)網(wǎng)經(jīng)濟(jì)的不斷發(fā)展，電子商務(wù)活動(dòng)越來(lái)越普遍，與此相對(duì)應(yīng)的各類(lèi)安全問(wèn)題也越來(lái)越引起人們的重視，有必要采取一系列針對(duì)性的措施解決這類(lèi)問(wèn)題。

第一章電子商務(wù)安全導(dǎo)論本章學(xué)習(xí)目的：442、電子商務(wù)涉及的安全問(wèn)題主要有以下幾個(gè)方面：1）信息安全問(wèn)題2）信用的安全問(wèn)題3）安全的管理問(wèn)題4）安全的法律法規(guī)保障問(wèn)題2、電子商務(wù)涉及的安全問(wèn)題45第二節(jié)電子商務(wù)系統(tǒng)安全的構(gòu)成1、電子商務(wù)系統(tǒng)電子商務(wù)系統(tǒng)是指人們用于開(kāi)展電子商務(wù)活動(dòng)所依賴的基于計(jì)算機(jī)網(wǎng)絡(luò)的計(jì)算機(jī)信息管理系統(tǒng)，主要由硬件及相關(guān)功能軟件所構(gòu)成，是開(kāi)展電子商務(wù)活動(dòng)的運(yùn)作平臺(tái)。2、電子商務(wù)系統(tǒng)的安全組成實(shí)體安全、運(yùn)行安全、信息安全

第二節(jié)電子商務(wù)系統(tǒng)安全的構(gòu)成1、電子商務(wù)系統(tǒng)46（一）實(shí)體安全保障設(shè)備、設(shè)施的正常運(yùn)行和數(shù)據(jù)的安全。1、環(huán)境安全：系統(tǒng)運(yùn)行周邊環(huán)境的保障。2、設(shè)備安全：系統(tǒng)中各運(yùn)行設(shè)備自身的安全運(yùn)行。3、媒體安全：主要是指存放數(shù)據(jù)的介質(zhì)的安全保障。（一）實(shí)體安全47（二）系統(tǒng)運(yùn)行安全提供安全措施保障系統(tǒng)功能的安全實(shí)現(xiàn)。1、風(fēng)險(xiǎn)分析：對(duì)系統(tǒng)運(yùn)行中可能出現(xiàn)的各類(lèi)安全風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè)和分析2、審計(jì)跟蹤：完善系統(tǒng)運(yùn)行的各類(lèi)記錄，了解系統(tǒng)運(yùn)行狀況。3、備份與恢復(fù)4、應(yīng)急措施（二）系統(tǒng)運(yùn)行安全48（三）信息安全

防止信息被非法泄露、更改、破壞等。1、操作系統(tǒng)安全2、數(shù)據(jù)庫(kù)安全3、網(wǎng)絡(luò)安全4、病毒防護(hù)安全5、訪問(wèn)控制安全6、加密7、鑒別（三）信息安全49第四節(jié)電子商務(wù)安全的保障電子商務(wù)的安全保障應(yīng)從綜合防范的角度出發(fā)，從技術(shù)、管理、法律等多個(gè)方面采取措施，才能夠有效地保障電子商務(wù)的安全。1、技術(shù)措施信息加密、數(shù)字簽名技術(shù)、TCP/IP服務(wù)、防火墻的構(gòu)造2、管理措施人員管理制度、保密制度、跟蹤審計(jì)制度、系統(tǒng)維護(hù)制度、數(shù)據(jù)容災(zāi)技術(shù)、病毒防范技術(shù)、應(yīng)急措施3、法律環(huán)境第四節(jié)電子商務(wù)安全的保障電子商務(wù)的安全保障應(yīng)從綜50上次課內(nèi)容回顧1、電子商務(wù)面臨的主要安全問(wèn)題信息安全、信用安全、安全管理、安全的法律法規(guī)保障2、電子商務(wù)系統(tǒng)的安全構(gòu)成實(shí)體安全、運(yùn)行安全、信息安全3、電子商務(wù)安全的需求保密性、完整性、認(rèn)證性、可控性、不可否認(rèn)性4、電子商務(wù)的安全保障技術(shù)措施、管理措施、法律環(huán)境上次課內(nèi)容回顧1、電子商務(wù)面臨的主要安全問(wèn)題51第二章信息安全技術(shù)2.1信息安全概述電子商務(wù)中信息安全主要涉及以下五個(gè)方面1、信息的機(jī)密性2、信息的完整性3、對(duì)信息的驗(yàn)證4、信息的不可否認(rèn)性5、對(duì)信息的訪問(wèn)控制第二章信息安全技術(shù)2.1信息安全概述52一、信息的機(jī)密性要求：信息的保密，如項(xiàng)目的投標(biāo)、產(chǎn)品的報(bào)價(jià)、銀行的賬號(hào)和密碼等重要的商業(yè)信息。技術(shù)對(duì)策：信息加密（對(duì)稱(chēng)加密與非對(duì)稱(chēng)加密）二、信息的完整性要求：能夠?qū)π畔⑦M(jìn)行檢測(cè)，并識(shí)別信息是否被更改。技術(shù)對(duì)策：利用數(shù)字摘要技術(shù)（Hash函數(shù)、SSL協(xié)議）一、信息的機(jī)密性53三、對(duì)信息的驗(yàn)證要求：能夠?qū)﹄娮由虅?wù)活動(dòng)參與者或主體身份的真實(shí)性進(jìn)行驗(yàn)證及確認(rèn)。技術(shù)對(duì)策：設(shè)定口令、數(shù)字簽名、數(shù)字證書(shū)等。四、不可否認(rèn)性要求：任何一方對(duì)信息的真實(shí)性不能否認(rèn)和抵賴。技術(shù)對(duì)策：數(shù)字簽名、數(shù)字證書(shū)等三、對(duì)信息的驗(yàn)證54五、訪問(wèn)控制要求：只允許授權(quán)用戶訪問(wèn)相關(guān)信息。技術(shù)策略：設(shè)定用戶及權(quán)限、訪問(wèn)賬號(hào)、口令等。五、訪問(wèn)控制552.2信息傳輸中的加密方式信息加密主要分為傳輸加密和存儲(chǔ)加密。信息傳輸加密：是指?jìng)鬏斶^(guò)程中對(duì)信息進(jìn)行加密的過(guò)程。一、幾種常用的加密方式1、鏈路-鏈路加密在通信節(jié)點(diǎn)對(duì)信息進(jìn)行加密處理，以保證在鏈路上傳遞的信息是加密過(guò)的。2.2信息傳輸中的加密方式信息加密主要分為傳輸加密和存儲(chǔ)加562、節(jié)點(diǎn)加密在各節(jié)點(diǎn)設(shè)專(zhuān)用的加密裝置對(duì)信息加密和解密，實(shí)現(xiàn)信息在鏈路上的加密傳輸。3、端-端加密在發(fā)送端和接收端分別對(duì)信息進(jìn)行加密和解密操作。2、節(jié)點(diǎn)加密57二、加密方式的選擇策略見(jiàn)表2-2二、加密方式的選擇策略582.3對(duì)稱(chēng)加密與非對(duì)稱(chēng)加密加密：利用一定的加密算法和密鑰對(duì)數(shù)據(jù)對(duì)象進(jìn)行處理，得到與原文截然不同的數(shù)據(jù)對(duì)象方法。加密形式：對(duì)稱(chēng)加密、非對(duì)稱(chēng)加密對(duì)稱(chēng)加密：存在一個(gè)密鑰，加密密鑰與解密密鑰相同。非對(duì)稱(chēng)加密：存在一個(gè)密鑰對(duì)（公開(kāi)密鑰、私有密鑰），均可對(duì)數(shù)據(jù)進(jìn)行加密和解密操作。可運(yùn)用在加密模式和驗(yàn)證模式上。2.3對(duì)稱(chēng)加密與非對(duì)稱(chēng)加密加密：利用一定的加密算法和密鑰對(duì)592.3.1對(duì)稱(chēng)加密系統(tǒng)1、對(duì)稱(chēng)密碼體制，也叫做單鑰密碼體制或秘密密鑰密碼體制，即加密密鑰與解密密鑰相同的密碼體制，這種體制中只要知道加（解）密算法，就可以反推解（加）密算法。2、對(duì)稱(chēng)加密的優(yōu)缺點(diǎn)a、優(yōu)點(diǎn)：使用方便，效率高B、缺點(diǎn)：密鑰管理和使用比較困難2.3.1對(duì)稱(chēng)加密系統(tǒng)1、對(duì)稱(chēng)密碼體制，也叫做單鑰密碼體制603、信息驗(yàn)證碼見(jiàn)圖2-4作用：實(shí)現(xiàn)信息完整性的驗(yàn)證，保證信息在傳輸過(guò)程中不被篡改和破壞。3、信息驗(yàn)證碼612.3.2不對(duì)稱(chēng)加密系統(tǒng)前面討論的密碼體制都是對(duì)稱(chēng)密鑰密碼體制。然而,使用對(duì)稱(chēng)密鑰密碼體制進(jìn)行秘密通信時(shí),任意兩個(gè)不同用戶之間一般都應(yīng)該使用互不相同的密鑰,這樣,如果一個(gè)網(wǎng)絡(luò)中有n個(gè)用戶,他們之間彼此可能需要進(jìn)行秘密通信,這時(shí)網(wǎng)絡(luò)中將共需要n(n-1)/2個(gè)密鑰。其中,每個(gè)用戶都需要保存n-1個(gè)密鑰,這樣巨大的密鑰量給密鑰分配、管理和使用帶來(lái)了極大的困難,也帶來(lái)了非技術(shù)因素上的安全問(wèn)題(若某個(gè)用戶泄密,將影響整個(gè)密碼系統(tǒng))。另外,在電子商務(wù)活動(dòng)中,很多場(chǎng)合需要身份認(rèn)證和數(shù)字簽名,這些問(wèn)題,對(duì)稱(chēng)密碼體制是無(wú)法很好地解決的。2.3.2不對(duì)稱(chēng)加密系統(tǒng)前面討論的密碼體制都是對(duì)稱(chēng)密鑰密碼62自從1976年，Diffie和Hellman在《密碼學(xué)的新方向》一文中提出公開(kāi)密鑰密碼的思想以來(lái)，經(jīng)過(guò)20多年發(fā)展，公開(kāi)密鑰密碼獲得了巨大的發(fā)展。在實(shí)踐應(yīng)用當(dāng)中，公開(kāi)密鑰密碼成功地解決了計(jì)算機(jī)網(wǎng)絡(luò)安全的身份認(rèn)證、數(shù)字簽名等問(wèn)題，推動(dòng)了包括電子商務(wù)在內(nèi)的一大批網(wǎng)絡(luò)應(yīng)用的不斷深入和發(fā)展。自從1976年，Diffie和Hellman在《密碼學(xué)的新方63公鑰密碼體制也稱(chēng)非對(duì)稱(chēng)密碼體制，在這種體制中，存在一個(gè)密鑰對(duì)－公共密鑰和私有密鑰，它們是不一樣的。公開(kāi)的密鑰簡(jiǎn)稱(chēng)公鑰（publickey），私有密鑰簡(jiǎn)稱(chēng)私鑰（privatekey），私鑰和公鑰都既可做加密密鑰，也可做解密密鑰。這種密碼體制中每一個(gè)用戶都分別擁有兩個(gè)密鑰：公鑰與私鑰，并且攻擊者想由公鑰得到私鑰在計(jì)算上是不可行的。公鑰密碼體制也稱(chēng)非對(duì)稱(chēng)密碼體制，在這種體制中，存在一個(gè)密鑰對(duì)64與對(duì)稱(chēng)密鑰密碼體制相比，非對(duì)稱(chēng)密鑰密碼體制具有以下幾個(gè)特點(diǎn)：(1)密鑰分發(fā)和管理簡(jiǎn)單。加密密鑰可以做成密鑰本公開(kāi)，解密密鑰由各用戶自行掌握。(2)每個(gè)用戶秘密保存的密鑰量減少。網(wǎng)絡(luò)中每個(gè)用戶只需要秘密保存自己的解密密鑰，與其他用戶通信所使用的加密密鑰可以由密鑰本得到。(3)適應(yīng)于計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，能夠滿足互不相識(shí)的用戶之間進(jìn)行保密通信的要求。(4)能夠很容易的完成數(shù)字簽名和認(rèn)證。(5)加密和解密的效率比對(duì)稱(chēng)密碼體制要差，因此，大多數(shù)用公鑰密碼體制來(lái)保護(hù)和分發(fā)會(huì)話密鑰，并將其用于對(duì)稱(chēng)密碼算法中實(shí)現(xiàn)快速通信與對(duì)稱(chēng)密鑰密碼體制相比，非對(duì)稱(chēng)密鑰密碼體制具有以下幾個(gè)特點(diǎn)：652.4數(shù)字簽名在電子商務(wù)系統(tǒng)中有時(shí)候認(rèn)證技術(shù)可能比信息加密本身更加重要。比如在網(wǎng)上購(gòu)物和支付系統(tǒng)中，用戶往往對(duì)購(gòu)物信息的保密性不是很看重，而對(duì)網(wǎng)上商店的身份的真實(shí)性則倍加關(guān)注（這就需要身份認(rèn)證）；另外，用戶的個(gè)人信息（如銀行賬號(hào)、身份證、密碼等）和提交的購(gòu)物信息未被第三方修改或偽造，并且網(wǎng)上商家不能抵賴（這就需要消息認(rèn)證），同樣，商家也面臨著這些問(wèn)題。2.4數(shù)字簽名在電子商務(wù)系統(tǒng)中有時(shí)候認(rèn)證技術(shù)可能比信息加密66數(shù)字簽名從傳統(tǒng)的手寫(xiě)簽名衍生而來(lái)，它可以提供一些基本的密碼服務(wù)，如數(shù)據(jù)的完整性、真實(shí)性以及不可否認(rèn)性。數(shù)字簽名是實(shí)現(xiàn)電子交易安全的核心技術(shù)之一，它在身份認(rèn)證、數(shù)據(jù)完整性、不可否認(rèn)性以及匿名性等方面有著重要的應(yīng)用。數(shù)字簽名從傳統(tǒng)的手寫(xiě)簽名衍生而來(lái)，它可以提供一些基本的密碼服67簡(jiǎn)單地說(shuō)，數(shù)字簽名就是通過(guò)一個(gè)單向函數(shù)對(duì)要傳送的報(bào)文進(jìn)行處理，得到用于認(rèn)證報(bào)文來(lái)源并核實(shí)報(bào)文是否發(fā)生變化的一個(gè)字母數(shù)字串，用這個(gè)字符串來(lái)代替書(shū)寫(xiě)簽名或印章，起到與書(shū)寫(xiě)簽名或印章同樣的法律效用。數(shù)字簽名的基本原理見(jiàn)圖2-9數(shù)字簽名的使用見(jiàn)圖2-10簡(jiǎn)單地說(shuō)，數(shù)字簽名就是通過(guò)一個(gè)單向函數(shù)對(duì)要傳送的報(bào)文進(jìn)行處理68思考題1、什么是信息的完整性的，保證信息完整性的技術(shù)手段和原理是什么？2、比較端-端加密與鏈路-鏈路加密兩者的主要區(qū)別是什么，從實(shí)施角度哪一種更容易實(shí)現(xiàn)，為什么？3、數(shù)字簽名技術(shù)是如何實(shí)現(xiàn)不可否認(rèn)性的安全保障的？4、簡(jiǎn)要說(shuō)明一下，為什么說(shuō)對(duì)稱(chēng)加密技術(shù)不適用于電子商務(wù)活動(dòng)。思考題1、什么是信息的完整性的，保證信息完整性的技術(shù)手段和原692.3密鑰管理技術(shù)一、密鑰管理概述密鑰的使用是有生命周期的，一旦時(shí)間到了則應(yīng)密鑰的價(jià)值。密鑰生命周期的構(gòu)成：1、密鑰的建立（生成、發(fā)布）：強(qiáng)調(diào)密鑰的隨機(jī)性。2、密鑰的備份、恢復(fù)：密鑰管理者選擇。3、密鑰的替換、更新：密鑰的重新建立4、密鑰吊銷(xiāo)：密鑰的停止使用。5、密鑰期滿、終止：密鑰歸檔和銷(xiāo)毀。2.3密鑰管理技術(shù)一、密鑰管理概述70二、RSA密鑰的傳輸對(duì)稱(chēng)密鑰的分發(fā)應(yīng)考慮其機(jī)密性，可利用RSA加密算法進(jìn)行分發(fā)和傳輸。三、公開(kāi)密鑰的分發(fā)公開(kāi)密鑰的分發(fā)可不考慮機(jī)密性，但要注意其完整性，應(yīng)采用數(shù)字證書(shū)形式進(jìn)行分發(fā)。二、RSA密鑰的傳輸712.6驗(yàn)證技術(shù)驗(yàn)證：是對(duì)通過(guò)網(wǎng)絡(luò)進(jìn)行資源訪問(wèn)的對(duì)象，進(jìn)行的資格（身份、權(quán)限）的審查。常用的驗(yàn)證方法：1、基于口令的驗(yàn)證2、基于協(xié)議的驗(yàn)證3、基于個(gè)人令牌的驗(yàn)證4、基于生物特征的驗(yàn)證5、基于地址的驗(yàn)證6、數(shù)字時(shí)間戳驗(yàn)證2.6驗(yàn)證技術(shù)驗(yàn)證：是對(duì)通過(guò)網(wǎng)絡(luò)進(jìn)行資源訪問(wèn)的對(duì)象，進(jìn)行的72第三章Internet安全一、Internet安全概述1、網(wǎng)絡(luò)層安全不同網(wǎng)絡(luò)終端間的信息傳輸安全問(wèn)題。存在的問(wèn)題:數(shù)據(jù)篡改、非正確來(lái)源、數(shù)據(jù)不能傳送到指定地址、數(shù)據(jù)泄漏解決的策略：認(rèn)證和完整性、保密性、訪問(wèn)控制、協(xié)議保護(hù)第三章Internet安全一、Internet安全概述73二、應(yīng)用層安全特定程序可能存在的安全問(wèn)題，主要是運(yùn)行在相互通信的終端進(jìn)程中可能存在的安全問(wèn)題。如間諜軟件、木馬程序等。三、系統(tǒng)安全設(shè)備平臺(tái)實(shí)體及工