第08章 電子商務(wù)安全技術(shù).ppt

1、電子商務(wù)概論國家精品課程,第8章 電子商務(wù)安全技術(shù),目 錄,8.1 電子商務(wù)中安全要素及面臨的安全問題 8.2 病毒及黑客防范技術(shù) 8.3 防火墻技術(shù) 8.4 加密算法 8.5 基于公開密鑰體系的數(shù)字證書認(rèn)證技術(shù) 8.6 安全套接層（SSL）協(xié)議 8.7 安全電子交易（SET）分析 8.8 Windows 系統(tǒng)中證書的應(yīng)用 8.9 信息安全管理,8.1 電子商務(wù)中安全要素及面臨的安全問題,8.1.1 電子商務(wù)的基本安全要素 有效性 機(jī)密性 完整性 可靠性/不可抵賴性/可鑒別性 審查能力,8.1.2 電子商務(wù)中的安全問題 信息泄漏 竄改 身份識(shí)別問題 電腦病毒問題 黑客問題,8.1 電子商務(wù)中安

2、全要素及面臨的安全問題,8.2 病毒及黑客防范技術(shù),8.2.1.單機(jī)病毒 DOS病毒、Windows病毒和宏病毒 8.2.2網(wǎng)絡(luò)病毒及其防范 特洛伊木馬和郵件病毒 8.2.3 網(wǎng)上炸彈及其防范 IP炸彈、郵件炸彈、ICQ/QICQ炸彈,8.3 防火墻技術(shù),8.3.1 防火墻定義 防火墻是： 內(nèi)部網(wǎng)與外部網(wǎng)之間 安全防范 訪問控制機(jī)制 8.3.2 防火墻技術(shù) 數(shù)據(jù)包過濾 應(yīng)用網(wǎng)關(guān) 代理服務(wù) 8.3.3 防火墻技術(shù)的發(fā)展,8.4 加密算法,8.4.1對(duì)稱密鑰加密算法 DES（Data Enercryption Standard） 8.4.2非對(duì)稱密鑰加密算法 RSA（Rivest ShamirAd

3、1eman） 8.4.3散列函數(shù) MD-5、SHA,8.4 加密算法,8.4.4 一種組合的加密協(xié)議加密過程：,8.4.5 一種組合的加密協(xié)議解密過程：,8.5 基于公開密鑰體系體系的數(shù)字證書認(rèn)證技術(shù),8.5.1 公開密鑰體系的定義 公開密鑰體系（Public Key Infrastructure：PKI），是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái)，是為網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所需密鑰和證書的管理體系。 8.5.2 CA認(rèn)證中心及數(shù)字證書 CA是一個(gè)負(fù)責(zé)發(fā)放和管理數(shù)字證書的權(quán)威機(jī)構(gòu),8.5.3 數(shù)字證書類型 個(gè)人身份證書 企業(yè)身份證書 服務(wù)器身份證書 企業(yè)代碼簽名證書 安全電子郵件證書,

4、8.5 基于公開密鑰體系體系的數(shù)字證書認(rèn)證技術(shù),8.6 安全套接層（SSL）協(xié)議,8.6.1 概述 SSL(Secure Sockets Layer)安全套接層協(xié)議： 提供了兩臺(tái)計(jì)算機(jī)之間的安全連接，對(duì)整個(gè)會(huì)話進(jìn)行了加密，從而保證了安全傳輸 SSL協(xié)議分為兩層：SSL握手協(xié)議和SSL記錄協(xié)議,8.6.2 SSL協(xié)議安全連接特點(diǎn)： (1)連接是保密的 (2)連接是可靠的 (3)對(duì)端實(shí)體的鑒別采用非對(duì)稱密碼體制進(jìn) 行認(rèn)證。,8.6 安全套接層（SSL）協(xié)議,SSL握手協(xié)議,SSL記錄協(xié)議,內(nèi)容類型 協(xié)議版本號(hào) 長度 數(shù)據(jù)有效載荷 信息驗(yàn)證碼,8.7 安全電子交易SET分析,8.7.1 安全電子商務(wù)

5、模型,8.7.2 SET的購物流程 8.7.3 SET的認(rèn)證,8.7 安全電子交易SET分析,8.8 Windows 系統(tǒng)中證書的應(yīng)用,8.8.1 在Windows系統(tǒng)中使用個(gè)人數(shù)字證書 8.8.2 服務(wù)器證書申請(qǐng)及安裝 8.8.3 Windows2000系統(tǒng)中證書服務(wù)的安裝,8.9 信息安全管理,8.9.1 建立信息安全管理體系的作用與意義 信息安全管理體系ISMS （Information Securitry Management Systems）是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。,建立信息安全管理體系產(chǎn)生的作用： 1強(qiáng)化員工的信息安全意識(shí)，規(guī)

6、范組織信息安全行為； 2對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競爭優(yōu)勢(shì)； 3在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開 展并將損失降到最低程度； 4使組織的生意伙伴和客戶對(duì)組織充滿信心； 5如果通過體系認(rèn)證，表明體系符合標(biāo)準(zhǔn)，證明組織有能力保障重要信息，提高組織的知名度與信任度； 6促使管理層堅(jiān)持貫徹信息安全保障體系。,8.9 信息安全管理,8.9.2 我國信息安全管理現(xiàn)狀 1 缺乏權(quán)威、統(tǒng)一立法管理機(jī)構(gòu)，致使一些信息安全管理方面的法律法規(guī)不成體系和執(zhí)行難度較大。 2在IT系統(tǒng)建設(shè)過程中沒有充分考慮，導(dǎo)致后期安全建設(shè)和管理工作比較被動(dòng)，同時(shí)業(yè)務(wù)的發(fā)展及IT的建設(shè)與信息安全管理建設(shè)不對(duì)稱； 3目

7、前現(xiàn)狀多局限于局部性地使用安全產(chǎn)品，或使用有洞補(bǔ)洞的方式被動(dòng)地解決問題，缺乏科學(xué)的、全面的安全管理規(guī)劃；,8.9 信息安全管理,4目前的技術(shù)人員多偏重于網(wǎng)路、主機(jī)及應(yīng)用系統(tǒng)開發(fā)，安全管理的力量薄弱； 5缺少法律法規(guī)的約定方法去進(jìn)行管理。 6信息安全管理應(yīng)該是全員參與領(lǐng)導(dǎo)支持，但是多數(shù)企業(yè)的領(lǐng)導(dǎo)還是沒有時(shí)間和精力顧及這方面的工作。,8.9 信息安全管理,8.9.3 信息安全管理標(biāo)準(zhǔn) 1國際信息安全管理標(biāo)準(zhǔn) ISO/IEC13335、ISO/IEC 27000系列 2、我國信息安全管理相關(guān)標(biāo)準(zhǔn) GB17895-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T 18336:2001 信息技術(shù)安全性評(píng)估準(zhǔn)則 GB/T 20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求,8.9 信息安全管理,8.9.4 信息安全管理體系模型,PDCA模型,8.9.5 信息安全管理體系建設(shè)思路 建立信息安全管理體系的主要步驟： 1信息安全管理體系策劃與準(zhǔn)備 2確定信息安全管理體系適用的范圍 3現(xiàn)狀調(diào)查與風(fēng)險(xiǎn)評(píng)估 4建立信息安全管理框架 5信息