当前位置:文档之家 › 第七章电子商务安全体系-讲义

第七章电子商务安全体系-讲义

  • 格式:ppt
  • 大小:485.50 KB
  • 文档页数:40

下载文档原格式

  / 40

合集下载

电子商务的安全体系课件

电子商务的安全体系课件

1 关于个人信息保护
《个人信息保护法》等法规保护用户个人敏感信息的安全与隐私。
2 电子商务交易和消费者权益保护
《电子商务法》等法律保障用户在电子商务中的交易权益。
电子商务安全的意义
增加消费者信任
提供安全的交易环境,使消费者对电子商务产业更加 信任和依赖。
保护业利益
有效的安全体系可减少数据泄露和网络攻击对企业带 来的损失。
电子商务的安全体系
电子商务的安全体系是保护在线交易和数据安全的关键。通过强化网络防护、 加密数据传输和安全登录验证机制,有效应对电子商务的安全风险。
电子商务的安全风险
网络钓鱼
骗取用户个人信息、银行账号等敏感信息的网络欺诈手段。
假冒网站
冒充合法机构或商家网站,以获取用户信任并窃取信息。
数据泄露
敏感信息被盗取或意外曝光,可能导致用户隐私泄露和财产损失。
应对电子商务安全挑战的建议
1
定期安全评估和漏洞扫描
发现和修复潜在安全漏洞,保护系统免受黑
教育和培训
2
客攻击。
提高员工和用户的信息安全意识,防止社交
工程等攻击方式。
3
跟踪技术发展
保持对新型网络威胁的了解,及时采取相应 的安全对策。
电子商务的安全对策
强化网络防护
使用有效的防火墙和安 全软件,检测和阻止恶 意攻击。
加密数据传输
使用SSL证书等加密技 术,保护用户数据在传 输过程中的安全。
安全登录验证机制
采用双重认证、验证码 等方式,确保用户身份 的真实性。
定期备份数据
备份重要数据,以防止 数据意外丢失或被恶意 篡改。
相关法律法规
第7章 电子商务的安全技术-PPT精品文档

第7章 电子商务的安全技术-PPT精品文档

2
2. 计算机网络安全
(1) 计算机网络潜在的安全问题
① 操作系统的安全。 ② CGI程序代码的审计。关键是那些为某些网站专用开发的CGI代码。 ③ 拒绝服务(DoS,Denial of Service)。
④ 安全产品使用不当。
⑤ 缺少严格的网络安全管理制度
(2) 计算机网络安全体系
一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安 全、系统安全、用户安全、信息加密、安全传输和管理安全等。
2.安全策略应重视的几个方面
(1)机密性 (2)数据完整性
(3)授权与验证
(4)访问控制策略。包括基于身份的策略、基于任务的策略、 多等级策略三种 (5)责任
7
3.OSI安全结构的安全机制
OSI安全结构共有八种安全机制:加密机制、数字签名机制、访 问控制机制、数据完整性机制、认证交换机制、业务流量填充机制、路 由控制机制、确认机制。 相应的五种通用安全机制:可信任功能、安全标签、事件检测、安 全审计跟踪、安全恢复。
5
3. 主要的安全技术
(1) 虚拟专用网(VPN)。 (2) 数字认证。这种技术可用电子方式证明信息发送者和接收者的身份、 文件的完整性、数据媒体的有效性。这需要有一个可信的第三方,以便 对有关数据进行数字认证。 (3) 加密技术。根据所用加密和解密算法的异同,可分为对称加密和非对 称加密。 (4) 电子商务认证中心(CA)。
4.电子商务安全总结
电子商务安全主要有以下几个方面的内容: (1) 有效性。 (2) 机密性。 (3) 完整性。 (4) 可靠性/不可抵赖性/鉴别。 (5) 审查能力。 (6) 信道转换。
6
7.1.2
电子商务的安全策略
1.安全策略的等级
《电子商务安全管理》课件

《电子商务安全管理》课件

精品
7.1安全标准与组织
–一、国际标准化组织(ISO)
OSI基本参考模型提供的五种安全服务: • 验证服务 • 访问控制服务 • 数据保密服务 • 数据完整性服务 • 不可否认服务
精品
ISO的主页
7.1安全标准与组织
精品
ITU—T的主页
7.1安全标准与组织
精品
IFIP的主页
7.1安全标准与组织
精品
IRTF的主页
7.1安全标准与组织
精品
RFC的主页
7.1安全标准与组织精品ຫໍສະໝຸດ 精品IEEE的主页
7.1安全标准与组织
精品
NIST的主页
7.1安全标准与组织
精品
ANSI的主页
7.1安全标准与组织
精品
7.1安全标准与组织
•7.1.2 因特网标准与组织
– 一、因特网体系
精品
ISOC的主页
7.1安全标准与组织
精品
IAB的主页
7.1安全标准与组织
精品
IETF的主页
7.1安全标准与组织
精品
7.1 安全标准与组织
•7.1.1 制定安全标准的组织 •7.1.2 因特网标准和组织 •7.1.3 我国的信息安全标准化工作
精品
7.1安全标准与组织
•7.1.1 制定安全标准的组织
– 一、国际标准化组织(ISO) – 二、电信标准化部门(ITU—T) – 三、国际信息处理联合会第十一技术委员会(IFIP TC11) – 四、电气和电子工程师学会(IEEE) – 五、美国国家标准局与美国商业部国家技术标准研究所 – 六、美国国家标准协会(ANSI)
第7章 电子商务安全管理
精品
1
目录
电子商务概论八部分7章电子商务的安全技术-资料

电子商务概论八部分7章电子商务的安全技术-资料


2019/10/12
29
7.2.3 防火墙的局限性
1、防火墙不能防范不经过防火墙的攻击 2、防火墙不能解决来自内部网络的攻击和安全问题 3、防火墙不能防止最新的未设置策略或错误配置引起的安全威
胁 4、防火墙不能防止可接触的人为或自然的破坏 5、防火墙无法解决TCP/IP等协议的漏洞 6、防火墙对服务器合法开放的端口的攻击大多无法阻止 7、防火墙不能防止受病毒感染的文件的传输 8、防火墙不能防止数据驱动式的攻击 9、防火墙不能防止内部的泄密行为 10、防火墙不能防止本身安全漏洞的威胁
2019/10/12
8
7.1.2 电子商务对安全的基本要求
电子商务安全要求超过一般网络安全:
首先,电子商务的安全是一个复杂的管理问题。 其次,电子商务安全是一个技术安全问题。 再次,电子商务安全是一个法律问题。
2019/10/12
9
7.1.2 电子商务对安全的基本要求
电子商务安全的基本要求:
* 应提供基于时间的访问控制
管 * 应支持简单网络管理协议(SNMP)监视和

配置(SNMP事实上指一系列网络管理规范的

集合)
能 * 本地管理
* 远程管理
* 支持带宽管理
* 负载均衡特性失败恢复特性
2019/10/12
22
防火墙技术的功能
2019/10/12
*防火墙处理完整日志的方法
记 *提供自动日志扫描 录 *提供自动报表、日志报告书写器 报 *报警通知机制 表 *提供简要报表
2019/10/12
34
加密实例1—凯撒密码
循环移位
abcdefghijklmnopqrstuvwxyz
0 1 2 3 4 5 6 7 8 910111213141516171819202122232425
电子商务的安全技术系统概述课件

电子商务的安全技术系统概述课件

《网络安全法》
该法对网络基础设施、网络信息安全、个人信息保护等方面进行了规定,为电 子商务安全提供了法律保障。
电子商务安全标准与规范
ISO 27001
国际标准化组织制定的信息安全管理体系标准,为电子商务企业提供了一套完整的信息 安全管理方法。
支付卡行业数据安全标准(PCI DSS)
针对信用卡处理商的数据安全标准,要求企业在各个方面加强数据保护,确保信用卡交 易的安全。
电子商务安全涉及多个层面,包括网络安全、数据安全、交 易安全等,需要综合考虑技术、管理、法律等多个方面的因 素。
电子商务安全的重要性
保护用户个人信息和财产安全
01
电子商务交易涉及到用户的个人信息和资金,保障安全可以避
免用户信息被盗用和资金损失。
维护企业声誉和品牌价值
02
电子商务平台的安全问题会影响企业的声誉和品牌形象,保障
美国电子商务安全法规
美国政府制定了一系列电子商务安全法规,如《电子签名法》、《统一电子交易法》和《互联网免税 法案》等,以促进电子商务的健康发展。
我国电子商务安全法律法规
《电子商务法》
我国第一部全面规范电子商务行为的法律,对电子商务经营者的市场准入、交 易规则、交易安全、消费者权益保护等方面进行了明确的规定。
代理服务器
充当客户端和服务器之间的中介,对进出网络的数据进行过滤和 记录。
有状态检测防火墙
结合包过滤防火墙和代理服务器的功能,能够识别和跟踪经过防 火墙的网络连接状态。
安全套接层协议(SSL)
SSL协议提供数据加密和身份认证功 能,用于保护客户端和服务器之间的 通信。
SSL协议广泛应用于网页浏览、电子 邮件和即时通讯等应用中。
对系统的关键部分进行实时监控,及时发现异常行为 和攻击。
电子商务系统安全与安全技术(ppt 100页)

电子商务系统安全与安全技术(ppt 100页)

3
第七章 电子商务安全体系 Internet安全隐患给电子商务带来如下安全威胁: ● 商务信息被篡改、盗窃或丢失; ● 商业机密在传输过程中被第三方获悉,甚至被
恶意窃取、篡改和破坏; ● 冒充虚假身份的交易对象及虚假订单、合同; ● 贸易对象的抵赖 ● 由于计算机系统故障对交易过程和商业信息安
全所造成的破坏。
13
第七章 电子商务安全体系
案例:IKEA公司域名被抢注
原告诉至法院,请求法院判令被告立即停止使 用和注销“”域名
由被告承担案件的诉讼费用
14
第七章 电子商务安全体系
案例:IKEA公司域名被抢注
被告辨称 我公司域名系经过中国政府授权的中国互联网
络信息中心依法审查批准注册的应受法律保护 我公司注册的“ikea”主页准备在因特网开展语
3.不可抵赖性:信息的不可抵赖性是指信息的发送 方不可否认已经发送的信息,接收方也不可否认已经收到 的信息。
5
第七章 电子商务安全体系 4.真实性:指商务活动中交易者身份的真实性,
亦即是交易双方确实是存在的,不是假冒的。前提。 5.可靠性:指电子商务系统的可靠性,指由于计
算机失效、程序错误、传输错误、硬件故障、系统软 件错误、计算机病毒和自然灾害等所产生的潜在威胁 状态下,而仍能确保系统安全、可靠。
合商标
11
第七章 电子商务安全体系
案例:IKEA公司域名被抢注
当该公司准备在中国互联网上注册宜自己拥有的注册 商标“IKEA”未标志的域名时,发现被告北京国网信 息有限责任公司已经先注册了域名“”
其抢注的三级域名ikea与原告的注册商标“IKEA”比 较,二者读音、文字外形、字母组合、消费者呼叫方 式等方面完全相同
电子商务 Ch7 电子商务安全体系

电子商务 Ch7 电子商务安全体系


第七章 电子商务安全体系 7.1.3 安全管理 1.电子商务系统安全的管理对策 对电子商务人员安全工作的规范和准则 (1) 人员管理制度 – 人员选拔制度 – 工作责任制 – 考核制度 (2) 保密制度 – 划分信息的安全防范重点 – 提出相应的保密措施 – 加强密钥管理(产生、传递、销毁、更换)
第七章 电子商务安全体系 7.2.6 数字证书与CA认证 身份认证 验证数字证书 数字证书 由认证中心(CA)颁发和管理
1.数字证书(Digital Certificate或Digital ID) 1) 数字证书的基本概念 标志网络用户身份信息的一系列数据(身份证)。 数字证书是由权威公正的第三方机构,即CA中心签发 的。
第七章 电子商务安全体系 (3) 有关电子合同的法律 – 明确电子合同的法律效力 – 对数字签名、电子商务凭证的合法性予以确认 – 需要对电子商务凭证,电子支付数据的伪造、变 更、涂销作出相应的法律规定 (4) 有关电子商务的消费者权益保护法 – 通过第三方监控 – CA中心:核实商家的合法身份,管理其数字证书 – 收款银行:控制商家的信誉情况和交易理赔 (5) 有关网络知识产权保护的法律
第七章 电子商务安全体系
7.2 电子商务的安全技术
7.2.1 防火墙技术 1.防火墙的基本概念 – 建筑学概念:防止损害蔓延的阻挡机构 – 计算机网络概念: • 防止来自互联网的损坏,如黑客攻击、病毒破坏、资 源被盗用或文件被篡改 • 由软件和硬件组合而成的、在内部网(可信赖的安全网 路)和外部网(不可靠的网路环境)之间的界面上构造的 保护屏障 • 控制内部网与外部网之间的数据流量,防止企业内部 信息流入Internet;控制外部有害信息流入Intranet
第七章 电子商务安全体系
电子商务安全体系(2024版)

电子商务安全体系(2024版)

电子商务安全体系(2024版)合同目录第一章:引言1.1 编写目的1.2 范围与结构1.3 读者指南第二章:电子商务安全概述2.1 安全的重要性2.2 安全威胁类型2.3 安全体系框架第三章:法律法规与合规性3.1 相关法律法规3.2 合规性要求3.3 法律风险管理第四章:网络安全基础4.1 网络攻击与防御4.2 加密技术原理4.3 安全通信协议第五章:数据保护与管理5.1 数据保护原则5.2 数据生命周期安全5.3 数据泄露预防与应对第六章:身份认证与访问控制6.1 身份认证技术6.2 访问控制模型6.3 实施策略与最佳实践第七章:电子商务平台安全7.1 平台架构安全7.2 交易安全机制7.3 用户数据保护第八章:支付系统安全8.1 在线支付安全标准8.2 支付风险管理8.3 移动支付安全第九章:安全审计与监控9.1 安全审计流程9.2 监控技术与工具9.3 异常检测方法第十章:安全风险评估与缓解10.1 风险评估方法论10.2 风险缓解策略10.3 风险管理计划第十一章:应急响应与灾难恢复11.1 应急响应计划11.2 灾难恢复策略11.3 业务连续性管理第十二章:安全培训与意识提升12.1 安全培训的重要性12.2 培训内容与方法12.3 安全文化建设第十三章:合同条款13.1 知识产权13.2 保密协议13.3 违约责任第十四章:签字栏14.1 甲方签字14.2 乙方签字14.3 签订日期14.4 签订地点第十五章:附录15.1 术语定义15.2 参考文献15.3 附加文档列表合同编号_______第一章:引言1.1 编写目的本教程旨在为电子商务领域的从业者提供一套全面的安全体系知识。

1.2 范围与结构本教程覆盖了电子商务安全的各个方面,从基础理论到实践应用。

1.3 读者指南本教程适合所有希望提高电子商务安全意识和技能的专业人士。

第二章:电子商务安全概述2.1 安全的重要性电子商务安全对于保护消费者信息和企业资产至关重要。

电子商务安全理论(1)课件

电子商务安全理论(1)课件

(1)接收验证最终用户数字证书的申请 (2)确定是否接受最终用户数字证书的申请 (3)向申请者颁发、拒绝颁发数字证书 (4)接收、处理最终用户的数字证书更新请求 (5)接收最终用户的数字证书查询 (6)产生和发布黑名单 (7)数字证书归档 (8)密钥归档 (9)历史数据归档 (10)CA与RA之间的数据交换安全
电子商务安全理论(1)
34
数字信封
电子商务安全理论(1)
35
数字签名
– 什么是数字签名
• 数字签名是通过一个单向函数对要传送的报文进 行处理得到的用以认证报文来源并核实报文是否 发生变化的一个字母数字串。
– 数字签名的作用
• 数据完整性 • 不可否认性 • 身份真实性
电子商务安全理论(1)
36
生成数字签名流程
电子商务安全理论(1)
29
RSA 算法
明文 19 19 5 =
加密
= 20807 119 及余数
66
公开密钥 = {5, 119}
密文 66
解密
66 77 = 1.27... 10140= 1.0610138
119
及余数
19
明文 19
秘密密钥 = {77, 119}
ቤተ መጻሕፍቲ ባይዱ
电子商务安全理论(1)
30
RSA 算法
• 在该体制中:
– 加密密钥(又称公开密钥)PK对外公开; – 加密算法E和解密算法D对外公开的; – 解密密钥(又称秘密密钥)SK用户秘密持有。 – SK是由PK决定的,但却不能根据PK计算出SK。
电子商务安全理论(1)
21
公开密钥密码体系
公钥 加密 原文
加了密的原文
私钥 解密 原文
第七章 电子商务安全

第七章 电子商务安全

(三)可控性
可控性是指保证对系统和信 息的访问是可控的、经过授权的。
三、电子商务的安全性要求
(四)可靠性
可靠性是指确保电子商务活动 中,交易信息的真实性和交易双方 身份的可靠性和合法性。
(五)不可否认性
不可否认性又称不可抵赖性, 是指在电子商务活动中,信息的发 送方和接收方不能否认自己曾经发 出或接收过信息,即有效防止交易 双方对已进行的业务的否认。
实战演练
为Excel文档设置密码
请扫描二维码查看详细步骤
实战演练 点击此处播放微课
课堂小结
1.电子商务安全的概念 2.电子商务面临的安全威胁 3.电子商务的安全性要求
电子商务安全
第 2 节 P A R T 电子商务安全技术
思考
你知道电子商务安全技术有哪些吗?
一、数据加密技术
数据加密技术是电子商务活动中最基 本的安全技术,可以有效地保证信息的保 密性、完整性和可靠性。
二、认证技术
根认证中心 (root certification authority, RCA)
品牌认证中心 (brand certification authority, BCA)
区域性认证中心(可选项) (get-political certification authority, GCA)
持卡人认证中心 (cardholder certification
引导案例 点击此处播放微课
章节导航
电子商务安全概述 电子商务安全技术 电子商务安全管理
电子商务安全
第1节 PART 电子商务安全概述
思考
在网上购物的过程中,我们可能会面临哪些安全威胁呢?
一、电子商务安全的概念
一是安全技术,电子商务是通过开放性 的网络传输商务信息来进行贸易活动的,这 与电子商务所需要的保密性是矛盾的,这就 需要相应的电子商务安全技术手段来保障。
第七章 电子商务的安全管理

第七章 电子商务的安全管理

7.1 电子商务存在的安全风险•1、交易主体的准入•2、交易信用风险•3、隐私保护•4、电子合同确认•5、网上支付•6、在线消费者权益保护•7、产品交付问题威胁电子商务安全的风险•一、非技术型攻击又称为社会性攻击。

成功的关键不是取决于发送者的技术手段,而是取决于接受者是否会响应。

1)发送电子邮件,以虚假信息引诱用户中圈套。

2)建立假冒网上银行、网上证券网站,骗取用户帐号密码实施盗窃。

3)利用虚假的电子商务进行诈骗。

建立电子商务网站,或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息二、技术型攻击•是利用软件和系统知识来实施。

•1)分布式拒绝服务攻击。

(导入案例)•2)恶意代码攻击:木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序,当感染木马的用户进行网上交易时,木马程序即以键盘记录的方式获取用户账号和密码,并发送给指定邮箱,用户资金将受到严重威胁。

电子商务系统安全体系•一、技术方面的措施,如防火墙技术、网络防毒、信息加密、身份认证、授权等•二、交易安全管理方面•三、社会的法律政策与法律保障7.2 访问控制与用户身份认证•访问控制:访问控制是网络安全防范和保护的主要核心策略之一,它的主要作用是保证网络资源不被非法使用。

•用户身份认证的四种方式•1、简单口令式•2、双因素被动证书认证式•3、双因素主动证书认证式•4、双因素生物特征识别式7.3 信息认证技术•一、电子商务对信息安全的要求•1)信息传输的保密性:保证信息不被泄露给非授权的人或实体。

•2)信息的完整性:保证数据的一致性,防止数据被非授权建立、修改和破坏。

•3)信息的不可否认性:建立有效的责任机制,防止实体否认其行为。

•4)交易者身份的真实性:能对信息、实体的真实性进行鉴别。

数据加密技术•数据加密:指采用数学方法对原始信息(明文)进行再组织,使得加密后在网络上公开传输的信息对于非法接收者来说成为不能识别的无意义的信息(密文)。

【大学课件】电子商务的安全体系


➢ 各种安全协议工作原理 ppt课件
3
电子商务的安全策略
• 确保在因特网上用户和商 家的身份认证
• 保护因特网上的交易 • 保护站点及企业网抵抗黑
客的攻击ppt课件4电子商务安全问题的类型
• 物理安全问题 • 网络安全问题 • 数据的安全性 • 对交易不同方表现的不同安全问题
消费者在网上购物过程中的安全问题及对策
• 优点:加密速度快,适于大量数据的加密处理。
• 缺点:密钥需传递给接受方
原信息: 1101101100101001 加密信息 0110000010010010 还原:
密钥:1011
ppt课件
12
1011
非对称密钥加密体制
• 信息加密和解密使用的是不同的两个密钥 (称为“密钥对”,一个是公开密钥,一 个是私用密钥)。如果用公开密钥对数据 进行加密,则只有用对应的私有密钥才能 解密;反之,若用私有密钥对数据进行加 密,则须用相应的公开密钥才能解密。
• 加密,解密,算法,密钥,密钥长度
• 防火墙,对称密钥, 非对称密钥(公钥和私钥), 消息摘 要, 数字时间戳,数字签名,认证中心 ,数字证书
• S-HTTP, S/MIME, SSLp,pSt课E件T
2
– 理解和掌握以下原理
• 风险管理模型分析原理
• 加解密原理
• 各种加密技术工作原理及其实现的信息安全性,包括防火墙,对称 密钥, 非对称密钥(公钥和私钥), 消息摘要, 数字时间戳,数 字签名,认证中心 ,数字证书
• 各种安全协议工作原理,包括S-HTTP, S/MIME, SSL, SET
• 认证中心的数形结构
– 理解和掌握以下应用
• 能用风险管理模型分析系统风险程度并制定合理安全策略

(2024年)电子商务安全完整版讲课

制定漏洞扫描与修复的 标准流程和管理制度, 确保工作的规范化和高
效性。
入侵检测系统和事件响应机制
入侵检测系统部署
在网络关键节点部署入侵检测 系统,实时监控网络流量和异
常行为。
2024/类型的安全事件,制 定详细的事件响应计划,明确 响应流程和责任人。
事件响应演练
定期组织事件响应演练,提高 团队的应急响应能力和协作水 平。
22
06
数据备份恢复和灾难 恢复计划设计
2024/3/26
23
数据备份恢复策略制定
确定备份数据类型和频率
根据业务需求和数据重要性,确定需 要备份的数据类型以及备份频率,如 每日、每周或每月备份。
选择备份存储介质和位置
选择可靠的备份存储介质,如磁带、 硬盘等,并确保备份数据存储在安全 、可访问的位置。
保障用户资金安全
电子商务安全体系能够确保用户在进行网上交易时资金的 安全,防止因欺诈、盗窃等行为导致财产损失。
维护企业声誉
对于电子商务企业来说,安全问题是关系到企业声誉和生 死存亡的重要问题。一旦发生安全事故,可能导致用户信 任的丧失和市场份额的下降。
促进电子商务健康发展
完善的安全体系有助于建立用户信心,提高电子商务的普 及率和应用水平,推动电子商务行业的健康发展。
2024/3/26
03
学员C
老师讲解生动有趣,结合实例让我们更好地理解了电子商务安全的相关
知识和技术。
29
下一讲预告及预备工作
下一讲内容
将重点介绍电子商务中的隐私保护、知识产权保护以及争议解决机制等内容。
预备工作
请学员们提前预习相关知识点,准备好笔记本和笔,以便记录重要内容;同时, 建议学员们多思考、多提问,积极参与课堂讨论。

第七章 电子商务安全管理

第七章电子商务安全管理1、对本地文件进行加密和解密Word文档加密:打开需要加密的文件,点击“工具”菜单中“选项”,选择“安全性(保存)”。

Acess文件加密:必须首先关闭数据库。

Winrar加密:①如果“显示密码”选项被禁用,将被要求输入两次密码来确保正确性。

②如果设置了“加密文件名选项”,则不只加密数据,而且加密对象文件名、大小、属性、注释和其他数据块等所有的压缩包敏感区域。

Windows 2000/XP提供了对文件夹的加密功能,使用系统提供的加密功能前,要确认你要加密的文件夹所在的分区格式为NTFS。

Windows内建的文件加密功能只允许赋予其他用户访问加密文件的完全权限,而不允许将加密文件夹的权限赋予其他用户。

2、对邮件进行加密和解密目前,比较流行的电子邮件加密软件是PGP(Pretty Good Privacy)和S/MIME (Secure Multi-Part Intermail Mail Extension)。

PGP软件创始于美国,是一个基于RSA公钥加密体系的邮件加密软件。

加密“Encrypt Message”,签名“Sign Message”。

3、制定交易安全管理制度网络交易安全管理制度是用文字形式对各项安全要求所做的规定,是企业网络营销取得成功的保障。

网络交易安全管理制度包括:人员管理制度、保密制度、跟踪审计制度、系统维护制度、数据备份制度、病毒定期清理制度等。

4、人员管理制度:①工作人员严格选拔;②落实工作责任制;③贯彻电子商务安全运作基本原则。

电子商务安全运作基本原则:1)双人负责原则;2)任期有限原则;3)最小权限原则。

5、保密制度信息的安全级别:绝密级、机密级、秘密级。

绝密级:此部分网址、密码不在因特网上公开,只限高层管理人员掌握,(公司经营状况报告、订货/出货价格、公司发展规划)。

机密级:限公司中层管理人员以上使用,(公司日常情况、会议通知)。

秘密级:此部分在因特网上公开,供消费者浏览,但必须保护程序,防止黑客侵入(公司简介、新产品介绍、订货方式)。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
优点:实现容易,使用方便,加密、解密速度快,可以用硬件实 现。
存在的问题: 1)在首次通信前,双方必须通过除网络以外的另外途径传递统一
的密钥。 2)当通信对象增多时,需要相应数量的密钥。n(n-1)/2 3)对称加密是建立在共同保守秘密的基础之上的,在管理和分发
密钥过程中,任何一方的泄密都会造成密钥的失效,存在着潜在 的危险和复杂的管理难度。
发送方
信息摘要过程
摘要
对比? 原文 Hash算法
摘要
接收方
4 数字签名
数字签名(Digital Signature):即是只有信息发送者才能产生的、别人 无法伪造的一段数字串。这段数字串同时也是对发送者发送的信息的真实 性的一个证明。 (完整性,认证性)
Hash
发送者
算法 摘要
私钥加密
数字 签名
原文
2 加密技术
加密技术的基本概念
所谓加密技术,就是采用数学方法对原始信息(通 常称为“明文”)进行再组织,使得加密后在网络上公 开传输的内容对于非法接收者来说成为无意义的文字 (加密后的信息通常称为“密文”)。而对于合法的接收 者,因为其掌握正确的密钥,可以通过解密过程得到原 始数据(即“明文”)。
1 防火墙技术
2 信息的保密性
2 加密技术
3 信息的完整性
3 信息摘要
4 信息的不可抵赖性 4 数字签名
5 交易者身份的真实性 5 数字时间戳
6 系统的可靠性
6 数字证书与CA认证
7 电子商务安全交易标准
1 防火墙技术
防火墙的基本概念
❖ 防火墙是指一个由软件和硬件设备组合而成,在Intranet和Internet之 间构筑的一道屏障(如图所示),用于加强内部网络和公共网络之间安 全防范的系统。
A私钥
A公钥
密钥对的不同使用方法,用途不同
3 信息摘要
信息摘要指从原文中通过Hash算法(一种单向的加密算法)而得到 的一个固定长度(128位)的散列值,不同的原文所产生的信息摘 要必不相同,相同原文产生的信息摘要必定相同。用信息摘要技术 来保证信息的完整性。
Hash算法 摘要
原文
Internet
精品
第七章电子商务安全体系
2011年上半年网络安全状况
2.17亿
3880万
1.21亿
----CNNIC
电子商务系统安全概述
安全隐患
▪Internet的开放性-计算机可被轻松访问 ▪TCP/IP传输的透明性-数据/IP可被轻松窥视 ▪Unix OS源代码公开性-漏洞可被轻松发现 ▪信息电子化-正确完整性难以鉴定
E-Encrypt,加密 K-Key,密钥
D-Decrypt,解密 C-Cryptograph,密文
明文
不安全信道 加密算法E 密文C

加密密钥KE
窃听、入侵
数据加密的一般模型
解密算法D 解密密钥KD
明文
加密和解密必须依赖两个要素:就是算法和密钥。 ▪算法是加密和解密的计算方法; ▪密钥是加密和加密所需的一串数字。
两个很大的素数即为密钥,用其中的一个素数与明文 相乘,可以加密得到密文;用另一个质数与密文相乘可以 解密。用于加密的数为公钥,用于解密的数为私钥。
公-私钥对使用原则: 私钥绝对私有,公钥可以公开。 公-私钥对必须成对使用。
A (发送方)
B (接收方)

A私钥
B公钥
B私钥
B公钥
A公钥
A私钥
B公钥
B私钥
KEY 密钥 例如:采用移位加密算法,使移动3位后的英文字母表 示原来的英文字母,对应关系如下:
例:KRZ GR BRX GR —— HOW DO YOU DO
加密技术的种类
对称加密技术 非对称加密技术
按加密解密是否使用相同密钥划分
(1)对称加密技术
加密和解密使用相同的密钥。发送者和接收者拥有相同的密钥。
该技术最具有代表性的算法是IBM公司提出的DES算法(Data Encryption Standard数据加密标准) ,是目前广泛采用的对称加密方式之一。
它的基本思想是将二进制序列的明文分成每64位一组,用长为64 位的密钥对这些明文进行16轮代换和置换加密。最后形成密文。
目前主要使用128bits密钥。
安全威胁 1. 利用Internet的开放性非法入侵,造成商务信息被
篡改、盗窃或丢失;(入侵计算机系统)
2. 利用TCP/IP的透明性获悉商业机密,甚至恶意窃 取、篡改和破坏; (传输过程中获悉)
3. 利用操作系统漏洞植入病毒或黑客程序,破坏用 户计算机系统。
4. 利用电子化信息难以识别和鉴定使用虚假身份进 行交易。签定虚假订单、合同进行诈骗;交易后 抵赖等。
(2)非对称加密技术
非对称加密技术中,加密和解密使用不同的密钥,一 把称公钥,另一把称私钥。各贸易方每人都拥有一对这样 的密钥。两把密钥实际上是两个数字串。
非对称加密领域内最为著名的算法是RSA(Rivest, Shanir,Adleman)算法,建立在数论中大数分解和素数检 测的理论基础上。两个大素数相乘在计算上是容易实现的, 但将该乘数分解为两个大素数因子的计算量很大,大到甚 至计算机上也不可能实现。
防火墙的构成
防火墙主要包括安全操作系统、过滤器、网关、域名服务和E-Mail处理5部分
过滤器执行由防火墙管理机构制订的—组规则,检验各数据组决定是 否允许放行。这些规则按IP地址、端口号码和各类应用等参数确定。
防火墙的主要功能
(1)保护那些易受攻击的服务。(数据库服务、支付服务等) (2)控制对特殊站点的访问(军事/公安/政府/银行/游戏/黄色/反动) (3)集中化的安全管理。 (4)对网络访问进行记录和统计。
5. 由于计算机系统故障对交易过程和商业信息安全 所造成的破坏。(系统可靠性问题)
电子商务的安全性需求
1 信息的保密性 2 信息的完整性 3 信息的不可抵赖性 4 交易者身份的真实性 5 系统的可靠性 6 内部网的严密性
电子商务的安全性保障
安全管理 安全技术
电子商务的安全技术
1 内部网的严密性
Internet
发送方
发送者
数字 公钥解密
签名
摘要
对比?
原文 Hash算法 接收方
摘要
数字签名过程
5 数字时间戳
数字时间戳(Digital Time Stamp-DTS):文件签署日期与签名一样都是 防止合同文件等被伪造和篡改的关键性标记,在电子商务中,数字时间 戳是一个经加密后形成的凭证文档。包括需盖戳的文件摘要,DTS机构 收到文件的时间以及DTS机构的数字签名三项内容。