移動(dòng)商務(wù)基礎(chǔ)（第三版） 課件 06模塊六移動(dòng)商務(wù)安全

移動(dòng)商務(wù)安全主講人：時(shí)間：20XX《移動(dòng)商務(wù)基礎(chǔ)

第三版》教學(xué)課件CONTENTS移動(dòng)商務(wù)安全概述移動(dòng)商務(wù)的安全技術(shù)移動(dòng)終端安全移動(dòng)商務(wù)從業(yè)人員的職業(yè)道德與倫理1.2.4.5.目錄移動(dòng)商務(wù)信任機(jī)制及行業(yè)自律法治護(hù)航3.6.PART01移動(dòng)商務(wù)安全概述移動(dòng)通信技術(shù)從1G發(fā)展到5G，安全機(jī)制不斷完善。1G時(shí)代幾乎沒(méi)有采取安全措施，2G時(shí)代采用了基于私鑰密碼體制，但存在安全隱患。3G/4G時(shí)代在2G的基礎(chǔ)上進(jìn)行了改進(jìn)，定義了更完善的安全特征與認(rèn)證服務(wù)。5G時(shí)代，通過(guò)增加和完善安全特性，安全能力遠(yuǎn)高于之前的網(wǎng)絡(luò)。移動(dòng)通信技術(shù)的發(fā)展與安全機(jī)制完善竊聽(tīng)：無(wú)線信道開(kāi)放，通信內(nèi)容容易被竊聽(tīng)，導(dǎo)致信息泄露和用戶被追蹤。漫游安全：用戶漫游到攻擊者所在區(qū)域，信息可能被竊取和篡改，服務(wù)也可能被拒絕。假冒攻擊：攻擊者掌握網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密商務(wù)信息后，假冒合法用戶發(fā)送錯(cuò)誤信息或欺騙用戶。完整性侵害：攻擊者截取信息并私自修改、刪除、插入、重傳合法用戶的信息或信息數(shù)據(jù)。業(yè)務(wù)抵賴：交易發(fā)生后，交易雙方中的買方或賣方否認(rèn)交易，以逃避付費(fèi)或逃避責(zé)任。竊取和丟失：移動(dòng)設(shè)備容易被偷或丟失，導(dǎo)致秘密信息失竊。惡意代碼：未經(jīng)授權(quán)認(rèn)證破壞計(jì)算機(jī)系統(tǒng)完整性的代碼或程序，包括計(jì)算機(jī)病毒、蠕蟲(chóng)、特洛伊木馬等。移動(dòng)終端安全威脅：包括移動(dòng)終端設(shè)備的物理安全、SIM卡被復(fù)制、電子標(biāo)簽(RFID)被解密和感染病毒、拒絕服務(wù)等。0102030408070605移動(dòng)商務(wù)的安全威脅保密性和身份認(rèn)證需求：移動(dòng)終端的SIM卡需要具有加密和身份認(rèn)證的能力，以識(shí)別用戶身份和存儲(chǔ)有效憑證。匿名性：隱藏用戶身份、位置和不可跟蹤性。數(shù)據(jù)信息完整性：保證數(shù)據(jù)信息在傳輸、交換、存儲(chǔ)和處理過(guò)程中保持非修改、非破壞和非丟失的特性。容錯(cuò)能力：保證在故障產(chǎn)生時(shí)系統(tǒng)不會(huì)長(zhǎng)時(shí)間處于停滯狀態(tài)，并有備用解決方案。不可否認(rèn)性：保證接收方對(duì)于自己已接受的信息內(nèi)容不能否認(rèn)，發(fā)送方對(duì)于已經(jīng)發(fā)出的信息不能抵賴和否認(rèn)。經(jīng)濟(jì)性：在增強(qiáng)系統(tǒng)安全性的同時(shí)，盡量降低所花費(fèi)用。010203060504移動(dòng)商務(wù)的安全需求核心技術(shù)缺乏：移動(dòng)通信網(wǎng)絡(luò)的制式、技術(shù)體制和標(biāo)準(zhǔn)，以及終端的核心芯片、操作系統(tǒng)及其生態(tài)環(huán)境等核心技術(shù)均未能實(shí)現(xiàn)自主可控?；ヂ?lián)網(wǎng)以美國(guó)為中心的架構(gòu)在短期內(nèi)無(wú)法改變：根域名服務(wù)器受美國(guó)商務(wù)部監(jiān)管，移動(dòng)互聯(lián)網(wǎng)幾大巨頭如蘋果、谷歌、微軟等在《美國(guó)愛(ài)國(guó)者法案》的管制范圍內(nèi)。企業(yè)信息安全在移動(dòng)互聯(lián)網(wǎng)環(huán)境下受到極大挑戰(zhàn)：智能終端的興起為移動(dòng)辦公應(yīng)用打下基礎(chǔ)，但傳統(tǒng)企業(yè)信息安全體系已無(wú)法適應(yīng)移動(dòng)互聯(lián)網(wǎng)環(huán)境下的移動(dòng)辦公需求。010203移動(dòng)商務(wù)安全存在的主要問(wèn)題PART02移動(dòng)商務(wù)的安全技術(shù)完整性保護(hù)技術(shù)用于提供消息認(rèn)證的安全機(jī)制。通過(guò)計(jì)算消息認(rèn)證碼來(lái)實(shí)現(xiàn)，利用帶密鑰的Hash函數(shù)對(duì)消息進(jìn)行計(jì)算，產(chǎn)生消息認(rèn)證碼，并將其和消息捆綁在一起傳給接收方。完整性保護(hù)技術(shù)真實(shí)性保護(hù)技術(shù)用來(lái)確認(rèn)某一實(shí)體所聲稱的身份，以防假冒攻擊。在移動(dòng)商務(wù)中，交易信息通過(guò)無(wú)線網(wǎng)絡(luò)轉(zhuǎn)發(fā)，需要通過(guò)鑒別數(shù)據(jù)源來(lái)確認(rèn)交易信息的真正來(lái)源。真實(shí)性保護(hù)技術(shù)機(jī)密性保護(hù)技術(shù)是為了防止敏感數(shù)據(jù)泄露給那些未經(jīng)授權(quán)的實(shí)體。通常，最簡(jiǎn)單的方案是收發(fā)雙方共享一個(gè)對(duì)稱密鑰，發(fā)送方用密鑰加密明文消息，接收方使用密鑰解密接收到的密文消息。01機(jī)密性保護(hù)技術(shù)抗抵賴技術(shù)是為了防止惡意主體事后否認(rèn)所發(fā)生的事實(shí)或行為。必須在每一事件發(fā)生時(shí)，留下關(guān)于該事件的不可否認(rèn)的證據(jù)?？沟仲嚰夹g(shù)01安全協(xié)議：以密碼學(xué)為基礎(chǔ)的消息交換協(xié)議，目的是在網(wǎng)絡(luò)環(huán)境中提供各種安全服務(wù)，如認(rèn)證協(xié)議、密鑰交換協(xié)議、認(rèn)證密鑰交換協(xié)議和電子商務(wù)協(xié)議等。其他安全技術(shù)PART03移動(dòng)商務(wù)信任機(jī)制及行業(yè)自律移動(dòng)商務(wù)交易中的信任是指網(wǎng)上消費(fèi)者對(duì)在線交易的總體信任，分為廣義和狹義兩種。狹義的信任機(jī)制局限于網(wǎng)絡(luò)平臺(tái)的技術(shù)手段的研究，廣義的信任機(jī)制是指電子商務(wù)交易系統(tǒng)中構(gòu)成、影響相互信任關(guān)系的各部分及它們之間的作用方式，以及為促進(jìn)和維持信任關(guān)系所發(fā)生的相關(guān)作用方式和所有手段、方法等?！耙苿?dòng)商務(wù)信任機(jī)制概述從政府的角度：加強(qiáng)法律的威懾力度，提升移動(dòng)商務(wù)經(jīng)營(yíng)者的自律水平。01從交易伙伴的角度：完善第三方認(rèn)證形式，降低不確定性和部分利益誘惑，保證認(rèn)證結(jié)果的公正性、客觀性和真實(shí)性。03從企業(yè)的角度：不斷創(chuàng)新，提供安全誠(chéng)信服務(wù)，滿足廣大顧客的需求。02移動(dòng)商務(wù)信任機(jī)制的建立移動(dòng)商務(wù)行業(yè)自律是指行業(yè)內(nèi)企業(yè)自愿遵守的一系列規(guī)范和準(zhǔn)則，旨在保護(hù)用戶權(quán)益、維護(hù)市場(chǎng)秩序、促進(jìn)公平競(jìng)爭(zhēng)和推動(dòng)行業(yè)健康發(fā)展。01移動(dòng)商務(wù)行業(yè)自律概述保護(hù)用戶權(quán)益：要求企業(yè)遵守相關(guān)法律法規(guī)，尊重用戶隱私，提供安全可靠的產(chǎn)品和服務(wù)。01維護(hù)市場(chǎng)秩序：通過(guò)制定和執(zhí)行行業(yè)規(guī)范，可以有效遏制不正當(dāng)競(jìng)爭(zhēng)、價(jià)格欺詐和市場(chǎng)壟斷等行為。02促進(jìn)行業(yè)健康發(fā)展：有助于建立良好的企業(yè)形象和市場(chǎng)信譽(yù)，提高行業(yè)的整體競(jìng)爭(zhēng)力。03移動(dòng)商務(wù)行業(yè)自律的重要性誠(chéng)信經(jīng)營(yíng)與公平競(jìng)爭(zhēng)：企業(yè)應(yīng)遵循誠(chéng)實(shí)信用原則，不進(jìn)行虛假宣傳、價(jià)格欺詐和不正當(dāng)競(jìng)爭(zhēng)行為。02產(chǎn)品與服務(wù)質(zhì)量：企業(yè)應(yīng)提供安全可靠、符合標(biāo)準(zhǔn)的產(chǎn)品和服務(wù)，保障用戶的合法權(quán)益。社會(huì)責(zé)任與可持續(xù)發(fā)展：企業(yè)應(yīng)積極履行社會(huì)責(zé)任，關(guān)注環(huán)境保護(hù)、公益事業(yè)和社會(huì)和諧。數(shù)據(jù)安全與隱私保護(hù)：企業(yè)應(yīng)采取嚴(yán)格的數(shù)據(jù)安全措施，確保用戶信息的安全存儲(chǔ)和傳輸。010304移動(dòng)商務(wù)行業(yè)自律的主要內(nèi)容PART04移動(dòng)終端安全02蠕蟲(chóng)：通過(guò)紅外線、藍(lán)牙或彩信等自動(dòng)傳播，并消耗移動(dòng)終端的帶寬和存儲(chǔ)等資源。04拒絕服務(wù)攻擊：移動(dòng)終端與服務(wù)器等一樣，也存在拒絕服務(wù)攻擊(DOS)，一旦被攻擊，終端資源將被大量占用，無(wú)法正常工作。01病毒：寄生于主機(jī)文件中，通過(guò)系統(tǒng)漏洞、程序下載、藍(lán)牙等進(jìn)行傳播，可能導(dǎo)致終端運(yùn)行失常、信息破壞，甚至硬件損毀。03木馬：潛伏在目標(biāo)移動(dòng)終端上，以竊取用戶的有效信息。移動(dòng)終端操作系統(tǒng)的安全威脅定時(shí)更新操作系統(tǒng)，安裝升級(jí)補(bǔ)丁，備份系統(tǒng)。設(shè)置程序行為監(jiān)控機(jī)制，記錄分析程序的操作是否安全合法等。安裝殺毒軟件和防火墻，不接收未知的信息，不隨便開(kāi)啟藍(lán)牙等通信功能。根據(jù)移動(dòng)終端操作系統(tǒng)的組成部分（文件系統(tǒng)、指令系統(tǒng)、系統(tǒng)管理及安全服務(wù)）可以將移動(dòng)終端操作系統(tǒng)的安全技術(shù)進(jìn)行劃分。01020304移動(dòng)終端操作系統(tǒng)的安全技術(shù)移動(dòng)終端安全中間件：包含證書(shū)的生命周期管理、傳輸加密和身份認(rèn)證等功能，可集成到應(yīng)用APP中提供全面的認(rèn)證用戶管理功能。01存儲(chǔ)介質(zhì)：支持多形態(tài)的key，包括藍(lán)牙key、音頻key、雙接口key等，以及SD/TF卡、文件方式存儲(chǔ)數(shù)字證書(shū)，以保證證書(shū)的安全性。02移動(dòng)終端系統(tǒng)：在移動(dòng)終端系統(tǒng)上可以對(duì)數(shù)字證書(shū)進(jìn)行管理，通過(guò)數(shù)字證書(shū)實(shí)現(xiàn)身份認(rèn)證和數(shù)據(jù)加密等安全功能。03移動(dòng)終端安全認(rèn)證流程信息備份：指當(dāng)移動(dòng)終端存儲(chǔ)的信息由于某種原因遭到破壞時(shí)，將保存的數(shù)據(jù)副本進(jìn)行恢復(fù)，并重新加以利用的過(guò)程。信息恢復(fù)：指對(duì)由于操作失誤或移動(dòng)終端系統(tǒng)故障造成數(shù)據(jù)丟失的那些信息進(jìn)行恢復(fù)。實(shí)現(xiàn)信息恢復(fù)主要靠軟件技術(shù)和硬件技術(shù)及二者的結(jié)合。移動(dòng)終端的信息備份與恢復(fù)PART05移動(dòng)商務(wù)從業(yè)人員的職業(yè)道德與倫理遵守國(guó)家法律法規(guī)，維護(hù)網(wǎng)絡(luò)安全。01提供安全可靠的產(chǎn)品和服務(wù)，保障用戶合法權(quán)益。03尊重用戶隱私，保護(hù)用戶信息安全。02積極履行社會(huì)責(zé)任，關(guān)注環(huán)境保護(hù)、公益事業(yè)和社會(huì)和諧。04移動(dòng)商務(wù)從業(yè)人員的職業(yè)道德誠(chéng)信經(jīng)營(yíng)，公平競(jìng)爭(zhēng)。尊重知識(shí)產(chǎn)權(quán)，保護(hù)原創(chuàng)內(nèi)容。遵守行業(yè)規(guī)范，維護(hù)市場(chǎng)秩序。不斷學(xué)習(xí)和提升自身素質(zhì)，為移動(dòng)商務(wù)行業(yè)發(fā)展貢獻(xiàn)力量。移動(dòng)商務(wù)從業(yè)人員的倫理規(guī)范PART06法治護(hù)航電子簽名法：標(biāo)志著我國(guó)電子商務(wù)法律建設(shè)的開(kāi)始。第三方電子商務(wù)交易平臺(tái)服務(wù)規(guī)范：在電子商務(wù)服務(wù)業(yè)發(fā)展中具有舉足輕重的作用。0102移動(dòng)商務(wù)相關(guān)法律法規(guī)完善相關(guān)法律法規(guī)，建立信息安全的法律和政策框架。加強(qiáng)對(duì)信息產(chǎn)業(yè)的投入，逐步建立自主的技術(shù)路線