電子商務安全技術課件

《電子商務概論》國家精品課程第8章電子商務安全技術1感謝你的觀看2019年9月14目錄

8.1電子商務中安全要素及面臨的安全問題8.2病毒及黑客防范技術8.3防火墻技術8.4加密算法8.5基于公開密鑰體系的數(shù)字證書認證技術8.6安全套接層（SSL）協(xié)議8.7安全電子交易（SET）分析8.8Windows系統(tǒng)中證書的應用8.9信息安全管理2感謝你的觀看2019年9月148.1電子商務中安全要素及面臨的安全問題

8.1.1電子商務的基本安全要素

有效性機密性完整性可靠性/不可抵賴性/可鑒別性審查能力

3感謝你的觀看2019年9月148.1.2電子商務中的安全問題

信息泄漏竄改身份識別問題電腦病毒問題黑客問題8.1電子商務中安全要素及面臨的安全問題

4感謝你的觀看2019年9月148.2病毒及黑客防范技術

8.2.1.單機病毒

DOS病毒、Windows病毒和宏病毒

8.2.2網(wǎng)絡病毒及其防范特洛伊木馬和郵件病毒

8.2.3網(wǎng)上炸彈及其防范

IP炸彈、郵件炸彈、ICQ/QICQ炸彈

5感謝你的觀看2019年9月148.3防火墻技術

8.3.1防火墻定義

防火墻是：內部網(wǎng)與外部網(wǎng)之間安全防范訪問控制機制

8.3.2防火墻技術數(shù)據(jù)包過濾應用網(wǎng)關代理服務

8.3.3防火墻技術的發(fā)展6感謝你的觀看2019年9月148.4加密算法

7感謝你的觀看2019年9月148.4.1對稱密鑰加密算法

DES（DataEnercryptionStandard）8.4.2非對稱密鑰加密算法

RSA（RivestShamirAd1eman）8.4.3散列函數(shù)

MD-5、SHA8.4加密算法

8感謝你的觀看2019年9月148.4.4一種組合的加密協(xié)議加密過程：9感謝你的觀看2019年9月148.4.5一種組合的加密協(xié)議解密過程：10感謝你的觀看2019年9月148.5基于公開密鑰體系體系的數(shù)字證書認證技術

8.5.1公開密鑰體系的定義

公開密鑰體系（PublicKeyInfrastructure：PKI），是一種遵循既定標準的密鑰管理平臺，是為網(wǎng)絡應用提供加密和數(shù)字簽名等密碼服務及所需密鑰和證書的管理體系。8.5.2CA認證中心及數(shù)字證書

CA是一個負責發(fā)放和管理數(shù)字證書的權威機構

11感謝你的觀看2019年9月148.5.3數(shù)字證書類型個人身份證書企業(yè)身份證書服務器身份證書企業(yè)代碼簽名證書安全電子郵件證書8.5基于公開密鑰體系體系的數(shù)字證書認證技術

12感謝你的觀看2019年9月148.6安全套接層（SSL）協(xié)議

8.6.1概述

SSL(SecureSocketsLayer)安全套接層協(xié)議：提供了兩臺計算機之間的安全連接，對整個會話進行了加密，從而保證了安全傳輸

SSL協(xié)議分為兩層：SSL握手協(xié)議和SSL記錄協(xié)議

13感謝你的觀看2019年9月148.6.2SSL協(xié)議安全連接特點：(1)連接是保密的(2)連接是可靠的

(3)對端實體的鑒別采用非對稱密碼體制進行認證。8.6安全套接層（SSL）協(xié)議

14感謝你的觀看2019年9月14SSL握手協(xié)議15感謝你的觀看2019年9月14SSL記錄協(xié)議

內容類型協(xié)議版本號長度數(shù)據(jù)有效載荷信息驗證碼16感謝你的觀看2019年9月148.7安全電子交易SET分析

8.7.1安全電子商務模型InternetInternet支付網(wǎng)絡證書權威機構支付網(wǎng)關支付者發(fā)卡者持卡人商家17感謝你的觀看2019年9月148.7.2SET的購物流程

8.7.3SET的認證8.7安全電子交易SET分析

18感謝你的觀看2019年9月148.8Windows系統(tǒng)中證書的應用

8.8.1在Windows系統(tǒng)中使用個人數(shù)字證書

8.8.2服務器證書申請及安裝

8.8.3Windows2000系統(tǒng)中證書服務的安裝

19感謝你的觀看2019年9月148.9信息安全管理8.9.1建立信息安全管理體系的作用與意義

信息安全管理體系ISMS（InformationSecuritryManagementSystems）是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系。20感謝你的觀看2019年9月14建立信息安全管理體系產生的作用：

1．強化員工的信息安全意識，規(guī)范組織信息安全行為；

2．對組織的關鍵信息資產進行全面系統(tǒng)的保護，維持競爭優(yōu)勢；

3．在信息系統(tǒng)受到侵襲時，確保業(yè)務持續(xù)開展并將損失降到最低程度；

4．使組織的生意伙伴和客戶對組織充滿信心；

5．如果通過體系認證，表明體系符合標準，證明組織有能力保障重要信息，提高組織的知名度與信任度；

6．促使管理層堅持貫徹信息安全保障體系。8.9信息安全管理21感謝你的觀看2019年9月14

8.9.2我國信息安全管理現(xiàn)狀

1．缺乏權威、統(tǒng)一立法管理機構，致使一些信息安全管理方面的法律法規(guī)不成體系和執(zhí)行難度較大。2．在IT系統(tǒng)建設過程中沒有充分考慮，導致后期安全建設和管理工作比較被動，同時業(yè)務的發(fā)展及IT的建設與信息安全管理建設不對稱；3．目前現(xiàn)狀多局限于局部性地使用安全產品，或使用有洞補洞的方式被動地解決問題，缺乏科學的、全面的安全管理規(guī)劃；8.9信息安全管理22感謝你的觀看2019年9月144．目前的技術人員多偏重于網(wǎng)路、主機及應用系統(tǒng)開發(fā)，安全管理的力量薄弱；5．缺少法律法規(guī)的約定方法去進行管理。6．信息安全管理應該是全員參與領導支持，但是多數(shù)企業(yè)的領導還是沒有時間和精力顧及這方面的工作。8.9信息安全管理23感謝你的觀看2019年9月148.9.3信息安全管理標準1．國際信息安全管理標準ISO/IEC13335、ISO/IEC27000系列

2、我國信息安全管理相關標準

GB17895-1999《計算機信息系統(tǒng)安全保護等級劃分準則》GB/T18336:2001信息技術安全性評估準則

GB/T20269-2006《信息安全技術信息系統(tǒng)安全管理要求》

8.9信息安全管理24感謝你的觀看2019年9月148.9.4信息安全管理體系模型PDCA模型25感謝你的觀看2019年9月148.9.5信息安全管理體系建設思路建立信息安全管理體系的主要步驟：1．信息安全管理體系策劃與準備2．確定信息安全管理體系適用的范圍3．現(xiàn)狀調查與風險評估4．建立信息安全管理框架5．信息安全管理體系文件編寫6．信息安全管理體系的運行與改進7．