第八章 电子商务系统安全与防范.ppt

第8章 电子商务系统安全与防范 ;第8章 电子商务系统安全与防范 8.1 电子商务系统安全概述 8.2 电子商务安全的设计原则 8.3 电子商务安全体系的设计 8.4 电子商务系统的安全交易协议 8.5 电子商务的安全策略与管理 8.6 移动电子商务及其安全管理 8.7 本章小结;8.1电子商务系统安全概述;3. 电子商务企业内部安全管理问题 4. 电子商务安全法律保障问题 5. 电子商务的信用安全问题 6. 电子商务安全支付问题 传统支付系统的安全问题是人所共知的，如可以伪造现金、可以伪造签名、可以拒付支票。在电子商务环境下的网上支付过程中，同样会出现诸多安全问题。 （1） 在通信线路上进行窃听，并滥用收集的数据(如信用卡号等)； （2） 向经过授权的支付系统参与方发送伪造的消息，以破坏系统的正常运作来盗用交换的财产(如商品、现金等)； （3） 不诚实的支付系统参与方，试图获取并滥用自己无权读取或使用的支付交易数据。 ;8.1.2 电子商务系统的安全事故案例 CDNow是美国一家从事音像制品电子零售的电子商务企业。2000年1月，俄罗斯的一个叫做Maxum的黑客从该公司的网站上偷取了30万条信用卡记录，并向该公司敲诈10万美元。当CDNow公司拒绝其要求时，黑客开始逐条公布信用卡记录的内容。在这种情况下，当时美国运通公司（American Express）不得不暂时停止给该公司用户发行新卡。 ;上述这些主要的问题和相关的措施可以用下图表示。 电子商务系统的一般安全问题及技术对策 ;8.2 电子商务安全的设计原则;3） 通信安全 通信安全中通常采用的防护措施有： ① 路由选择机制，阻止不合适的IP访问等； ② 通信流控制； ③ 端口保护； ④ 木马病毒防范措施。 网络安全检测设备有： ① 防火墙； ② 安全网关、网闸； ③ 入侵检测系统，分布式入侵检测系统等。 4） 交易安全 5） 管理安全 ;2. 安全威胁 交易安全是电子商务系统所特有的安全要求。在交易过程中，消费者和商家面临的安全威胁通常有： 虚假订单；付款后收不到商品；商家发货后，得不到付款 机密性丧失；电子货币丢失；非法存取；侵入；通信监听 欺诈；拒绝服务；否认;8.2.2 电子商务安全的设计原则 1. 高安全性 2. 高性能 3. 高可用性 4. 高扩展性 5. 高可靠性 6. 可维护性 7. 可管理性 8. 开放性 ;8.3 电子商务安全体系的设计;1. 网络级安全 2. 系统级安全 系统级安全基于网络级安全之上，是提供安全应用的基础，是指系统（主机、服务器）安全（操作系统安全、病毒预防、安全检测、审计与监控）和网络运行安全（备份与恢复）。 3. 应用级安全 ;8.3.2 电子商务的安全体系结构 电子商务的安全体系结构是保证电子商务数据安全的一个完整的逻辑结构，同时它也为交易过程的安全提供了基本保障。 电子商务安全系统结构由网络服务层、加密技术层、安全认证层、交易协议层、电子商务应用系统层5个层次组成。;电子商务安全体系结构图;1. 网络服务 1） 防火墙技术 2） 加密技术 3） 漏洞扫描技术 4） 入侵检测技术 5） 反病毒技术 6） 安全审计技术 ; 具体而言，网络的审计系统应该由三个层次组成，分别是： ① 网络层的安全审计。主要利用防火墙的审计功能、网络监控与入侵检测系统来实现。 ② 系统的安全审计。主要利用各种操作系统和应用软件系统的审计功能实现。包括用户访问时间、操作记录、系统运行信息、资源占用等。 ③ 对信息内容的安全审计，属高层次审计。 ;2. 交易安全 交易安全是针对传统商务在Internet上运用时产生的各种安全问题而设计的一套安全技术，目的是在计算机网络安全的基础上确保电子商务过程的顺利进行，即实现电子商务的必威体育官网网址性、完整性、可靠性、匿名性、原子性和不可否认性等。 加密技术层、安全认证层和交易协议层一起构成电子商务交易安全。;1） 加密技术层 加密技术是电子商务最基本的安全措施。在目前技术条件下，加密技术通常分为对称加密和非对称加密两类。 2） 安全认证层 (1) 报文摘要 (2) 数字签名 (3) 数字证书 (4) 认证中心（CA） 3） 交易协议层 ;8.3.3 电子商务安全体系的设计 1. 总体结构设计 电子商务体系结构与系统总体设计图 ;2. 电子商务安全体系内容 系统总体结构设计不强调系统的细节，但是需要阐述清楚系统的组成情况，其主要内容包括以下方面。 1） 外部环境 电子商务系统总体结构的外部环境分析图 ;2) 电子商务系统组成结构 电子商务系统的网络环境包括Internet、intranet和extranet三个