第一章-電子商務(wù)安全導(dǎo)論

第1章電子商務(wù)安全導(dǎo)論電子商務(wù)安全與管理21.電子商務(wù)面臨的安全問題電子商務(wù)系統(tǒng)自身的安全問題電子商務(wù)交易信息傳輸過程中的安全問題2.電子商務(wù)的安全保障目錄2024/3/17引例——eBay在中國潰敗之因2024/3/17電子商務(wù)安全與管理32024/3/17電子商務(wù)安全與管理4引例——eBay在中國潰敗之因2024/3/17電子商務(wù)安全與管理5引例——eBay在中國潰敗之因2024/3/17電子商務(wù)安全與管理6引例——eBay在中國潰敗之因2024/3/17電子商務(wù)安全與管理7引例——eBay在中國潰敗之因2024/3/17電子商務(wù)安全與管理8引例——eBay在中國潰敗之因eBay的PayPal與淘寶的支付寶支付寶支持“擔(dān)保交易”支付功能，即“買家收貨確認(rèn)后再付款”；而PayPal的付款都是即時到帳的，即通過PayPal付款的交易是“賣家先收到貨款后再發(fā)貨”支付寶賬戶可以通過銀行卡向支付寶賬戶內(nèi)充值，再通過支付寶余額付款；PayPal通常需要用戶將自己的信用卡和自己的PayPal賬戶綁定，在支付過程中PayPal代用戶從信用卡中扣除相應(yīng)的貨款付給對方2024/3/17電子商務(wù)安全與管理9引例——eBay在中國潰敗之因電子商務(wù)安全與管理10eBay與淘寶之戰(zhàn)，淘寶完勝，那么是否淘寶就不再面臨任何的安全問題了呢？如果不是，到底還有哪些安全問題需要電子商務(wù)來面對呢？2024/3/17引例——eBay在中國潰敗之因電子商務(wù)安全與管理111.電子商務(wù)面臨的安全問題電子商務(wù)系統(tǒng)自身的安全問題電子商務(wù)交易信息傳輸過程中的安全問題2.電子商務(wù)的安全保障目錄2024/3/17電子商務(wù)安全與管理121.電子商務(wù)面臨的安全問題電子商務(wù)系統(tǒng)自身的安全問題電子商務(wù)交易信息傳輸過程中的安全問題從交易活動對象劃分從安全問題類型劃分電子商務(wù)的基本安全需求2024/3/17電子商務(wù)系統(tǒng)→計算機信息系統(tǒng)電子商務(wù)安全問題→網(wǎng)絡(luò)安全問題電子商務(wù)安全與管理13電子商務(wù)系統(tǒng)遭攻擊實例據(jù)統(tǒng)計，目前全球平均每20秒就會發(fā)生一起Internet主機被入侵的事件，美國75%~85%的網(wǎng)站抵擋不住黑客攻擊，約有75%的企業(yè)網(wǎng)上信息失竊，其中25%的企業(yè)損失在25萬美元以上。而通過網(wǎng)絡(luò)傳播的病毒無論在其傳播速度、傳播范圍和破壞性方面都比單機病毒更令人色變。2005年，美國超過300萬的信用卡用戶資料外泄，導(dǎo)致用戶財產(chǎn)損失嚴(yán)重。2024/3/17電子商務(wù)系統(tǒng)自身的安全問題電子商務(wù)安全與管理14電子商務(wù)系統(tǒng)安全的構(gòu)成電子商務(wù)系統(tǒng)自身的安全問題電子商務(wù)系統(tǒng)安全實體安全運行安全信息安全環(huán)境安全設(shè)備安全操作系統(tǒng)安全數(shù)據(jù)庫安全網(wǎng)絡(luò)安全病毒防護(hù)訪問控制加密鑒別風(fēng)險分析審計跟蹤媒體安全應(yīng)急備份與恢復(fù)2024/3/17電子商務(wù)安全與管理15系統(tǒng)實體安全

所謂實體安全，是指保護(hù)計算機設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其他媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故（如電磁污染等）破壞的措施、過程。電子商務(wù)系統(tǒng)自身的安全問題2024/3/17電子商務(wù)安全與管理16電子商務(wù)系統(tǒng)自身的安全問題1.環(huán)境安全(1)受災(zāi)防護(hù)(2)區(qū)域防護(hù)2.設(shè)備安全(1)設(shè)備防盜(2)設(shè)備防毀(3)防止電磁信息泄漏(4)防止線路截獲(5)抗電磁干擾(6)電源保護(hù)系統(tǒng)實體安全的組成3.媒體安全(1)媒體的安全媒體的防盜媒體的防毀(2)媒體數(shù)據(jù)的安全媒體數(shù)據(jù)的防盜媒體數(shù)據(jù)的銷毀媒體數(shù)據(jù)的防毀2024/3/17電子商務(wù)安全與管理17系統(tǒng)運行安全

運行安全是指為保障系統(tǒng)功能的安全實現(xiàn)，提供一套安全措施來保護(hù)信息處理過程的安全。

電子商務(wù)系統(tǒng)自身的安全問題2024/3/17電子商務(wù)安全與管理18系統(tǒng)運行安全的組成1.風(fēng)險分析系統(tǒng)設(shè)計前的風(fēng)險分析——潛在的安全隱患系統(tǒng)試運行前的風(fēng)險分析——設(shè)計的安全漏洞系統(tǒng)運行期的風(fēng)險分析——運行的安全漏洞系統(tǒng)運行后的風(fēng)險分析——系統(tǒng)的安全隱患2.審計跟蹤記錄和跟蹤各種系統(tǒng)狀態(tài)的變化實現(xiàn)對各種安全事故的定位保存、維護(hù)和管理審計日志電子商務(wù)系統(tǒng)自身的安全問題2024/3/17靜態(tài)分析動態(tài)分析電子商務(wù)安全與管理19系統(tǒng)運行安全的組成3.備份與恢復(fù)

提供場點內(nèi)高速度、大容量自動的數(shù)據(jù)存儲、備份和恢復(fù)提供場點外的數(shù)據(jù)存儲、備份和恢復(fù)提供對系統(tǒng)設(shè)備的備份4.應(yīng)急

（1）應(yīng)急計劃輔助軟件緊急事件或安全事故發(fā)生時的影響分析應(yīng)急計劃的概要設(shè)計或詳細(xì)制定應(yīng)急計劃的測試與完善（2）應(yīng)急設(shè)施提供實時應(yīng)急設(shè)施提供非實時應(yīng)急設(shè)施電子商務(wù)系統(tǒng)自身的安全問題2024/3/17電子商務(wù)安全與管理20信息安全

所謂信息安全，是指防止信息財產(chǎn)被故意地或偶然地非授權(quán)泄漏、更改、破壞或使信息被非法的系統(tǒng)辨識、控制，即信息安全要確保信息的完整性、保密性、可用性和可控性。電子商務(wù)系統(tǒng)自身的安全問題2024/3/17電子商務(wù)安全與管理21信息安全的組成1.操作系統(tǒng)安全2.數(shù)據(jù)庫安全3.網(wǎng)絡(luò)安全4.病毒防護(hù)安全5.訪問控制安全6.加密7.鑒別電子商務(wù)系統(tǒng)自身的安全問題2024/3/17電子商務(wù)安全與管理22信息安全的組成操作系統(tǒng)安全操作系統(tǒng)安全是指要對電子商務(wù)系統(tǒng)的硬件和軟件資源實行有效的控制，為所管理的資源提供相應(yīng)的安全保護(hù)。操作系統(tǒng)的安全由兩個方面組成：安全操作系統(tǒng)（基礎(chǔ)）操作系統(tǒng)安全部件（增強）電子商務(wù)系統(tǒng)自身的安全問題2024/3/17電子商務(wù)安全與管理23信息安全的組成數(shù)據(jù)庫安全安全數(shù)據(jù)庫系統(tǒng)（基礎(chǔ)）數(shù)據(jù)庫系統(tǒng)安全部件（增強）網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全問題網(wǎng)絡(luò)漏洞網(wǎng)頁篡改網(wǎng)絡(luò)仿冒（Phishing）電子商務(wù)系統(tǒng)自身的安全問題2024/3/17網(wǎng)絡(luò)漏洞2024/3/17電子商務(wù)安全與管理24電子商務(wù)系統(tǒng)自身的安全問題網(wǎng)頁篡改2024/3/17電子商務(wù)安全與管理25電子商務(wù)系統(tǒng)自身的安全問題網(wǎng)頁篡改2024/3/17電子商務(wù)安全與管理26電子商務(wù)系統(tǒng)自身的安全問題網(wǎng)絡(luò)仿冒（Phishing）2024/3/17電子商務(wù)安全與管理27電子商務(wù)系統(tǒng)自身的安全問題網(wǎng)絡(luò)仿冒（Phishing）2024/3/17電子商務(wù)安全與管理28電子商務(wù)系統(tǒng)自身的安全問題電子商務(wù)安全與管理29信息安全的組成數(shù)據(jù)庫安全安全數(shù)據(jù)庫系統(tǒng)（基礎(chǔ)）數(shù)據(jù)庫系統(tǒng)安全部件（增強）網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全問題網(wǎng)絡(luò)漏洞網(wǎng)頁篡改網(wǎng)絡(luò)仿冒（Phishing）網(wǎng)絡(luò)安全管理安全網(wǎng)絡(luò)系統(tǒng)（基礎(chǔ)）網(wǎng)絡(luò)系統(tǒng)安全部件（增強）電子商務(wù)系統(tǒng)自身的安全問題2024/3/17電子商務(wù)安全與管理30信息安全的組成病毒防護(hù)安全計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能、毀壞數(shù)據(jù)、影響計算機使用、并能自我復(fù)制的一組計算機指令或程序代碼。單機系統(tǒng)病毒防護(hù)網(wǎng)絡(luò)系統(tǒng)病毒防護(hù)電子商務(wù)系統(tǒng)自身的安全問題2024/3/17預(yù)防檢測定位防止清除電子商務(wù)安全與管理31信息安全的組成訪問控制安全出入控制主要用于阻止非授權(quán)用戶進(jìn)入機構(gòu)或組織存取控制主要是提供主體訪問客體時的存取控制提供對口令字的管理和控制防止入侵者對口令字的探測監(jiān)測用戶對某一“分區(qū)”或“域”的管理電子商務(wù)系統(tǒng)自身的安全問題2024/3/17電子商務(wù)安全與管理32信息安全的組成加密加密設(shè)備實現(xiàn)對數(shù)據(jù)的加密密鑰管理提供對密鑰的管理來加強信息安全電子商務(wù)系統(tǒng)自身的安全問題2024/3/17電子商務(wù)安全與管理33信息安全的組成鑒別

身份鑒別提供對信息收發(fā)方真實身份的鑒別主要用于阻止非授權(quán)用戶對系統(tǒng)資源的訪問鑒別方法用戶的生物特性用戶所持物品用戶所知特定場所證據(jù)第三方鑒定信息鑒別正確性鑒別完整性鑒別主要用于證實信息內(nèi)容未被非法修改或遺漏不可否認(rèn)性鑒別證實發(fā)送方所發(fā)送的信息確實被接收方接收了證實接收方接收到的信息確實是發(fā)送方發(fā)送的電子商務(wù)系統(tǒng)自身的安全問題2024/3/17電子商務(wù)安全與管理34從交易活動對象劃分商家可能面臨的安全問題客戶拒絕付款、競爭者的破壞、名譽損害、虛假訂單……客戶可能面臨的安全問題付款后未收到商品、泄露個人信息、拒絕服務(wù)……銀行可能面臨的安全問題攻擊者對銀行專用網(wǎng)絡(luò)的破壞：中斷、竊聽、篡改、偽造……2024/3/17電子商務(wù)交易信息傳輸過程中的安全問題電子商務(wù)安全與管理35從安全問題類型劃分信息的安全問題冒名偷竊篡改數(shù)據(jù)信息丟失信息傳遞出問題信用的安全問題來自買方的安全問題來自賣方的安全問題買賣雙方都存在抵賴的情況安全的管理問題安全的法律保障問題2024/3/17電子商務(wù)交易信息傳輸過程中的安全問題2024/3/17電子商務(wù)安全與管理36電子商務(wù)交易信息傳輸過程中的安全問題2024/3/17電子商務(wù)安全與管理37電子商務(wù)交易信息傳輸過程中的安全問題電子商務(wù)安全與管理38術(shù)語定義保密性保護(hù)機密信息不被非法存取以及信息在傳輸過程中不被非法竊取完整性防止信息在傳輸過程中丟失、重復(fù)及非法用戶對信息的惡意篡改認(rèn)證性確保交易信息的真實性和交易雙方身份的合法性可控性（訪問控制）保證系統(tǒng)、數(shù)據(jù)和服務(wù)能由合法人員訪問，保證數(shù)據(jù)的合法使用不可否認(rèn)性有效防止通信或交易雙方對已進(jìn)行的業(yè)務(wù)的否認(rèn)2024/3/17電子商務(wù)交易信息傳輸過程中的安全問題電子商務(wù)的安全需求從消費者和商家角度來看電子商務(wù)安全的不同方面不同方面消費者角度商家角度保密性除了我指定的接收方外還有其他人能讀取我的信息嗎？信息或機密數(shù)據(jù)是否會被那些未經(jīng)授權(quán)者看到？完整性我發(fā)出或接收的信息是否被篡改了？網(wǎng)站上的數(shù)據(jù)是否未經(jīng)授權(quán)就被改變了？認(rèn)證性誰在和我做交易？我如何確認(rèn)此人或者此商家就是他所聲稱的那個？消費者的真實身份是什么？可控性我能訪問該網(wǎng)站嗎？我能控制電子商務(wù)商家對我提交的個人信息的使用嗎？網(wǎng)站在正常運營嗎？如果可能的話，作為電子商務(wù)交易的一部分所采集到的個人數(shù)據(jù)該如何使用？消費者個人信息可以在沒得到其授權(quán)的情況下使用嗎？不可否認(rèn)性和我進(jìn)行交易的商家以后是否會否認(rèn)曾進(jìn)行過交易？消費者會否認(rèn)曾訂購過的產(chǎn)品嗎？2024/3/17電子商務(wù)安全與管理39電子商務(wù)交易信息傳輸過程中的安全問題安全需求與安全技術(shù)（表2-1）2024/3/17電子商務(wù)安全與管理40安全問題安全目標(biāo)安全技術(shù)保密性信息的保密加密完整性探測信息是否被篡改數(shù)字摘要、數(shù)字簽名認(rèn)證性驗證身份數(shù)字簽名，提問－應(yīng)答，口令，生物測定法可控性只有授權(quán)用戶才能訪問防火墻，口令，生物測定法不可否認(rèn)性不能否認(rèn)信息的發(fā)送、接收及信息內(nèi)容數(shù)字簽名，數(shù)字證書，時間戳電子商務(wù)交易信息傳輸過程中的安全問題電子商務(wù)安全與管理411.電子商務(wù)面臨的安全問題電子商務(wù)系統(tǒng)自身的安全問題電子商務(wù)交易信息傳輸過程中的安全問題2.電子商務(wù)的安全保障目錄2024/3/17電子商務(wù)安全與管理42電子商務(wù)安全的保障技術(shù)措施管理措施法律環(huán)境2024/3/17綜合保障體系電子商務(wù)安全與管理43技術(shù)措施信息加密技術(shù)數(shù)據(jù)傳輸加密密碼技術(shù)（對稱加密/不對稱加密）非密碼技術(shù)（信息隱藏/生物特征/量子密碼…）數(shù)字簽名/驗證技術(shù)密鑰管理技術(shù)電子商務(wù)安全的保障2024/3/17（第2章內(nèi)容）電子商務(wù)安全與管理44技術(shù)措施數(shù)字證書公鑰基礎(chǔ)設(shè)施PKI利用公鑰理論和技術(shù)建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施電子商務(wù)安全的保障2024/3/17（第4章內(nèi)容）（第5、6章內(nèi)容）電子商務(wù)安全與管理45技術(shù)措施TCP/IP服務(wù)電子商務(wù)應(yīng)用安全協(xié)議SSL（安全套接層）協(xié)議SET（安全電子交易）協(xié)議防火墻技術(shù)保護(hù)企業(yè)保密數(shù)據(jù)、保護(hù)網(wǎng)絡(luò)設(shè)施入侵檢測技術(shù)繼防火墻之后的又一道防線虛擬專用網(wǎng)VPN技術(shù)企業(yè)內(nèi)部網(wǎng)在因特網(wǎng)上的延伸，通過一個專用的通道來創(chuàng)建一個安全的專用連接電子商務(wù)安全的保障2024/3/17（第3章內(nèi)容）電子商務(wù)安全與管理46管理措施人員管理制度保密制度跟蹤、審計、稽核制度系統(tǒng)維護(hù)制度數(shù)據(jù)容災(zāi)制度病毒防范制度應(yīng)