第五章电子商务安全管理.

Slides:



Advertisements
Similar presentations
维普考试服务平台使用指南. 维普考试服务平台 维普考试服务平台是一个从单纯 海量题库资源扩充到教学场景应 用的考试信息化产品。平台包含 职业资格考试、高校课程试题、 在线考试、 移动助手 4 个功能模 块。 产品概述.
Advertisements

四川财经职业学院会计一系会计综合实训 目录 情境 1.1 企业认知 情境 1.3 日常经济业务核算 情境 1.4 产品成本核算 情境 1.5 编制报表前准备工作 情境 1.6 期末会计报表的编制 情境 1.2 建账.
第 2 梯次鑑定提報特教通報網系統操作 學年度教育部國民及學前教育署 高級中等學校身心障礙學生鑑定.
主编:邓萌 【点按任意键进入】 【第六单元】 教育口语. 幼儿教师教育口 语概论 模块一 幼儿教师教育口语 分类训练 模块二 适应不同对象的教 育口语 模块三 《幼儿教师口语》编写组.
第一組 加減法 思澄、博軒、暐翔、寒菱. 大綱 1. 加減法本質 2. 迷思概念 3. 一 ~ 七冊分析 4. 教材特色.
海南医学院附 院妇产科教室 华少平 妊娠合并心脏病  概述  妊娠、分娩对心脏病的影响  心脏病对妊娠、分娩的影响  妊娠合病心脏病的种类  妊娠合并心脏病对胎儿的影响  诊断  防治.
植树节的由来 植树节的意义 各国的植树节 纪念中山先生 植树节的由来 历史发展到今天, “ 植树造林,绿化祖国 ” 的热潮漫卷 了中华大地。从沿海到内地,从城市到乡村,涌现了多少 造林模范,留下了多少感人的故事。婴儿出世,父母栽一 棵小白怕,盼望孩子和小树一样浴光吮露,茁壮成长;男 女成婚,新人双双植一株嫩柳,象征家庭美满,幸福久长;
客户协议书 填写样本和说明 河南省郑州市金水路 299 号浦发国际金融中 心 13 层 吉林钰鸿国创贵金属经营有 限公司.
浙江省县级公立医院改革与剖析 马 进 上海交通大学公共卫生学院
第二章 环境.
教师招聘考试 政策解读 讲师:卢建鹏
了解语文课程的基本理念,把握语文素养的构成要素。 把握语文教育的特点,特别是开放而有活力的语文课程的特点。
北台小学 构建和谐师生关系 做幸福教师 2012—2013上职工大会.
甘肃机电职业技术学院——现代制造工程系 —— 李海军
福榮街官立小學 我家孩子上小一.
第2期技職教育再造方案(草案) 教育部 101年12月12日 1 1.
企业员工心态管理培训 企业员工心态管理培训讲师:谭小琥.
历史人物的研究 ----曾国藩 组员: 乔立蓉 杜曜芳 杨慧 组长:马学思 杜志丹 史敦慧 王晶.
教育部高职高专英语类专业教学指导委员会 刘黛琳 山东 • 二○一一年八月
淡雅诗韵 七(12)班 第二组 蔡聿桐.
第七届全国英语专业院长/系主任高级论坛 汇报材料
小數怕長計, 高糖飲品要節制 瑪麗醫院營養師 張桂嫦.
制冷和空调设备运用与维修专业 全日制2+1中等职业技术专业.
会计信息分析与运用 —浙江古越龙山酒股份有限公司财务分析 组员:2006级工商企业管理专业 金国芳 叶乐慧 魏观红 徐挺挺 虞琴琴.
第六章 人体生命活动的调节 人体对外界环境的感知.
第四章 内容提要: 电子商务的安全技术 本章从电子商务的安全要求入手,介绍电子商务的几种安全技术,从而说明电子商务安全问题有哪些,其根源何在、带来哪些风险、如何应用安全技术等。
第5章 电子商务安全 学习目标: 1)了解电子商务对安全的基本需求。 2)理解防火墙的功能与技术。 3)掌握数据加密原理与技术。
電子商務安全防護 線上交易安全機制.
芹菜 英语051班 9号 黄秋迎 概论:芹菜是常用蔬菜之一,既可热炒,又能凉拌,深受人们喜爱。近年来诸多研究表明,这是一种具有很好药用价值的植物。 别名:旱芹、样芹菜、药芹、香芹、蒲芹 。 芹菜属于花,芽及茎类。
2012年 学生党支部书记工作交流 大连理工大学 建工学部 孟秀英
北京市职业技能鉴定管理中心试题管理科.
2014吉林市卫生局事业单位招聘153名工作人员公告解读
电子商务基础(第二版).
各類所得扣繳法令 與申報實務 財政部北區國稅局桃園分局 103年9月25日
区域教育信息中心工作的思考与探索 ----抓好应用建设 提升服务水平.
初級游泳教學.
爱国卫生工作的持续发展 区爱卫办 俞贞龙.
第八章 数学活动 方程组图象解法和实际应用
本课内容提要 一、汇率的含义 二、汇率变化与币值的关系 三、汇率变化的影响. 本课内容提要 一、汇率的含义 二、汇率变化与币值的关系 三、汇率变化的影响.
散文鉴赏方法谈.
比亚迪集成创新模式探究 深圳大学2010届本科毕业论文答辩 姓名:卓华毅 专业:工商管理 学号: 指导老师:刘莉
如何撰写青年基金申请书 报 告 人: 吴 金 随.
点击输 入标题 点击输入说明性文字.
第九章 電子金融 2017/3/6.
第十章 电子支付.
计算机应用基础 项目 3-5 制作个人简历.
代表机构年报操作指南 (代表机构端) 二〇一一年二月.
电子金融 第七章 网上金融安全 与网上支付机制 第七章 网上金融安全与网上支付机制 第七章 网上金融安全与网上支付机制.
玉溪工业财贸学校副校长 示范校建设办公室主任 柏家渭 2014年5月13日
計算機概論 蘇俊銘 (Jun Ming Su) 資料加密技術簡介 計算機概論 蘇俊銘 (Jun Ming Su)
第十五章 IP路由 主讲人:刘正华.
第十一章 網路安全 (Network Security)
迷失在艺术的国度里 —欧洲游 组员:李婷25% 郭茹 25% 吴旋旋25% 谢永君25%.
浙江省公务卡结算制度.
資訊安全-資料加解密 主講:陳建民.
電子商務 E-Commerce 梁榮亮 B
電子商務付費系統 講師:王忍忠.
9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系 范錚強
第四章 電子商務付費系統 電子商務與網路行銷 (第2版).
付款作業錯誤態樣【出納組】 錯誤1~核銷文件備具不齊 錯誤2 ~戶名與系統不同 錯誤3 ~未輸發票號碼日期 錯誤4 ~受款人帳號輸錯
為何電子商務的安全性令人擔憂? 電子商務資訊安全 實體商務也擔心安全-但數位化的偽造數量會更多更快
9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系 范錚強
第9章 信息安全.
電子商務 Electronic Commerce
為何電子商務的安全性令人擔憂? 第二節 電子商務資訊安全 實體商務也擔心安全-but數位化的偽造數量會很多 網際網路是互聯的(匿名與距離性)
醫療資訊安全 郭士民 作者:劉 立.
第8章 財務循環 第1節 財務循環之管理 第2節 相關文件及檔案 第3節 財務循環之流程 第4節 資訊科技新環境.
網路安全技術 淺談金鑰系統的應用 A 陳靖宇.
深圳信息职业技术学院《电子商务基础》课程组版权所有
Presentation transcript:

第五章电子商务安全管理

第五章电子商务安全管理 5.1电子商务安全概述 5.1.2电子商务安全的内容 电子商务安全是有效开展电子商务的前提和保证。 电子商务重要特征是利用计算和网络来处理和传输商业信息。 电子商务安全的内容概括为三个方面内容: 1、计算网络安全; 2、商务交易安全; 3、电子商务系统安全管理制度。

第五章电子商务安全管理 5.1电子商务安全概述 计算机网络安全是指保护计算机网络系统中的硬件、软件和数据资源。 开展电子商务所需的基础设施。 商务交易安全是指确保在开放的互联网上交易信息的保密性、完整性和不可抵赖性。 电子商务能够顺利开展的前提。 人员素质是影响电子商务安全的重要因素,它是保证电子商务取得成功的重要基础工作。

第五章电子商务安全管理 5.2计算机网络安全 5.2.1网络安全威胁的来源 1)黑客攻击 指非法入侵计算机系统的人。主要利用计算机系统的缺陷、操作系统的安全漏洞或通信协议的安全漏洞。 常采用的手段:A利用UNIX提供的缺省账户进行攻击。B截取口令;C录找系统漏洞;D偷取特权;E清磁盘。

第五章电子商务安全管理 2)计算机病毒 一种恶意破坏用户系统的应用程序。 计算机病毒的特点: 隐蔽性 、传染性 、破坏性 、潜伏性 、可触发性 、针对性。 计算机病毒的种类:1)引导区病毒;2)可执行文件病毒;3)宏病毒;4)邮件病毒;5)网页病毒;6)综合型病毒。

第五章电子商务安全管理 3)拒绝服务攻击 一种破坏性的攻击,用户采用某种手段故意占用大量的网络资源,使系统没有剩余资源为其他用户提供服务的攻击。 主要利用TCP/IP协议的缺陷,手段包括:SYN FLOOD、ICMP FLOOD、UDP FLOOD。 连接耗尽攻击使用真实IP地址进行攻击。

第五章电子商务安全管理 4)网络内部的安全威胁 2.网络安全威胁的承受对象 来自网络内部的用户攻击或内部用户因误操作造成口令失密而遭受的攻击,是最难防御的攻击。 2.网络安全威胁的承受对象 1)对客户机的安全威胁 2)对WWW服务器的安全威胁 3)对数据库的安全威胁 4)对通讯设备、线路的安全威胁

第五章电子商务安全管理 防火墙 防火墙技术是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全的一种手段。它所保护的对象是网络中有明确闭合边界的一个网块,而它所防范的对象是来自被保护网块外部的安全威胁。

第五章电子商务安全管理 防火墙的作用 1、限制他人进入内部网络,过滤掉不安全服务和非法用户; 2、允许内部网的一部分主机被外部网访问,另一部分被保护起来; 3、限定内部网的用户对互联网上特殊站点的访问; 4、为监视互联网安全提供方便。

第五章电子商务安全管理 防火墙的类型 包过滤防火墙:通常安装在路由器上,根据网络管理员设定的访问控制清单对流经防火墙信息包的IP源地址,IP目标地址、封装协议(如TCP/IP 等)和端口号等进行筛选。基于网络层。 代理服务器防火墙:包过滤技术可以通过对IP 地址的封锁来禁止未经授权者的访问。基于应用层。

第五章电子商务安全管理 防火墙的局限性 防火墙的管理 1、限制了有用的网络服务; 2、不能防范不经由防火墙的攻击; 3、不能防范来自网络内部的攻击; 4、不能防范新的网络安全问题。 防火墙的管理 本地管理、远程管理、集中管理

第五章电子商务安全管理 计算机病毒的工作原理 计算机病毒、蠕虫与木马之间的区别 三个功能模块:引导模块、传染模块、破坏模块; 木马指网上的软件通过下载或邮件附件打开引诱用户打开执行,潜伏到计算机中,通过远程黑客程序里应外合窃取用户信息、毁坏文件、远程控制电脑等。

第五章电子商务安全管理 蠕虫病毒 计算机病毒防范的基本原则 一种通过网络传播的恶性病毒,主要利用计算机系统漏洞进行传播。它的目标是互联网内的所有计算机。 计算机病毒防范的基本原则 从管理上防范、从技术上防范;

第五章电子商务安全管理 5.2计算机网络安全 5.2.2网络安全管理的技术手段 防病毒软件的选择 常用的防病毒软件 1、技术支持度 2、技术的先进性和稳定性 3、病毒的响应速度 4、用户的使用条件及应用环境 常用的防病毒软件

第五章电子商务安全管理 5.2计算机网络安全 5.2.3防火墙软件的使用(实操平台讲解) 5.2.4防病毒软件的使用(实操平台讲解)

第五章电子商务安全管理 5.3商务交易安全 5.3.1电子商务交易安全基础 1、电子商务交易的安全要求 1)信息的保密性。 2)信息的完整性。 3)通信的不变动性。 4)交易各方身份的认证。 5)信息的有效性。

第五章电子商务安全管理 1、密码知识 1)密码的概念:密码是隐蔽了真实内容的符号序列。 2)密码安全的要素 位数不于六; 使用英文数字特殊符号等的组合; 不要使用安全性过低的密码; 定期更改密码; 避免使用重复的密码。

第五章电子商务安全管理 3)密码泄漏的途径 3.基本加密方法* 1)对称加密体制(采用DES算法,使用一个密钥) 被窃取密码; 被别人猜出密码; 3.基本加密方法* 1)对称加密体制(采用DES算法,使用一个密钥) 对称密钥加密,又称私钥加密,即信息的发送方和接收方用一个密钥去加密和解密数据。对称加密技术的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。

第五章电子商务安全管理 2)非对称加密体制(RSA算法,二个密钥) 非对称密钥加密系统,又称公钥密钥加密,它需要使用一对密钥来分别完成加密和解密操作,一个公开发布,称为公开密钥(Public-Key);另一个由用户自己秘密保存,称为私有密钥(Private-Key)。信息发送者用公开密钥去加密,而信息接收者则用私有密钥去解密。公钥机制灵活,但加密和解密速度却比对称密钥加密慢得多。 解决了密钥交换问题。

第五章电子商务安全管理 文件加密 5.3.2安全认证手段* 1、数字信封 1)WORD文件加密方法 2)EXCEL文件加密方法 数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。在数字信封中,信息发送方采用对称密钥来加密信息,然后将此对称密钥用接收方的公开密钥来加密(这部分称为数字信封)之后,将它和信息一起发送给接收方,接收方先用相应的私有密钥打开数字信封,得到对称密钥,然后使用对称密钥解开信息。这种技术的安全性相当高。

第五章电子商务安全管理 2、数字摘要(HASH函数算法) 数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码(数字指纹Finger Print),并在传输信息时将之加入文件一同送给接收方,接收方收到文件后,用相同的方法进行变换运算,若得到的结果与发送来的摘要码相同,则可断定文件未被篡改,反之亦然。 HASH该编码法采用单向Hash函数将需加密的明文“摘要”成一串l28bit的密文,这一串密文亦称为数字指纹(Finger Print)。

第五章电子商务安全管理 3、数字签名 把HASH函数和公钥算法结合起来,可以在提供数据完整性的同时,也可以保证数据的真实性。完整性保证传输的数据没有被修改,而真实性则保证是由确定的合法者产生的HASH,而不是由其他人假冒。而把这两种机制结合起来就可以产生所谓的数字签名(Digital Signature)。

第五章电子商务安全管理 4、数字证书 所谓数字证书,就是用电子手段来证实一个用户的身份及用户对网络资源的访问权限。在网上电子交易中,如果双方出示了各自的数字证书,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。 数字证书的内部格式是由CCITT X.509国际标准所规定的,它必须包含以下几点:   证书的版本号;   数字证书的序列号;   证书拥有者的姓名;   证书拥有者的公开密钥;   公开密钥的有效期;   签名算法;   办理数字证书的单位;   办理数字证书单位的数字签名。 数字证的类型、和等级。

第五章电子商务安全管理 5、认证中心 电子商务授权机构(CA)也称为电子商务认证中心(Certificate Authority)。 认证中心(CA)就是承担网上安全电子交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。在实际运作中,CA可由大家都信任的一方担当。 认证机构的核心职能是发放和管理用户的数字证书。认证机构在整个电子商务环境中处于至关重要的位置,它是整个信任链的起点。认证机构是开展电子商务的基础,如果认证机构不安全或发放的证书不具权威性,那么网上电子交易就根本无从谈起。

第五章电子商务安全管理 5、认证中心 电子商务授权机构(CA)也称为电子商务认证中心(Certificate Authority)。 认证中心(CA)就是承担网上安全电子交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。在实际运作中,CA可由大家都信任的一方担当。 认证机构的核心职能是发放和管理用户的数字证书。认证机构在整个电子商务环境中处于至关重要的位置,它是整个信任链的起点。认证机构是开展电子商务的基础,如果认证机构不安全或发放的证书不具权威性,那么网上电子交易就根本无从谈起。

第五章电子商务安全管理 5.3商务交易安全 5.3.3安全交易协议* 1、安全套接层协议 1)安全套接层协议是由Netscape公司1994年设计开发的安全协议,主要用于提高应用程序之间的数据的安全系数。 2)提供的服务 用户和服务器的身份认证、保证数据的保密性、维护数据的完整性

第五章电子商务安全管理 3)SSL协议的运行过程 A.接通阶段 B.密码交换阶段 C.会谈密码阶段 D.检验阶段 E.客户认证阶段 F.结束阶段

第五章电子商务安全管理 4)SSL协议的评价 1)不符合国务院最新颁布的《商用密码管理条例》 2)系统安全性差 3)运行的基点是商家对客户信息保密的承诺,有利于商家不利于客户。

第五章电子商务安全管理 2.安全电子交易协议(SET) 1)安全电子交易是一个通过开放网络(包括Internet)进行安全资金支付的技术标准,由VISA和MasterCard组织共同制定,1997年5月联合推出。 2)SET协议的目标 A.保证参与各方相互隔离; B.保证信息安全传输;

第五章电子商务安全管理 3)SET的工作原理 4)SET协议中的角色 5)SET协议评价 C.解决了多方认证问题; D.保证了交易的实时性; A.对商家降低了成本; B.对消费者保证了信用卡的秘密、商家的合性。

第五章电子商务安全管理 SET不足之处: C.信用卡网上支付具有更低的欺骗概率; E.参与交易的各方定义了互操作接口; A.在交易各方安装相应软件、发放证书。 B.协议没有说明收单银行给在线商店付款前,是否必须收到消费者的货物接收证书。C.协议没有担保“非拒绝行为”。 D.没有提及在事务处理完成后如何安全地保存或销毁此类数据。

第五章电子商务安全管理 5.3.4数字证书的使用(实操平台讲解) 1.申请数字证书 2.下载数字证书 3.查询/下载对方数字证书 4.使用数字证书对电子合同进行加密和签名

第五章电子商务安全管理 5.3.5网上贸易安全防骗 1.网上银行常用安全手段 2.网上银行进行安全交易的方法 1)软键盘输入密码方式 2)ACTIVE X控件输入密码方式 3)动态密码方式 4)数字证书方式 2.网上银行进行安全交易的方法 1)设置、保护好网银密码

第五章电子商务安全管理 3.第三方支付安全 2)谨防网络钓鱼 3)定期查询详细交易 4)利用银行提供的各种增值服务 5)配置安全软件 1)不要看到支持支付宝的产品就放松警惕 2)货到付款注意事项 3)小心实时到账功能

第五章电子商务安全管理 4.网上贸防骗方法 1)验明对方身份 2)通过联系方式判断真伪 3)完善必要的买卖手续 4)汇款注意事项

第五章电子商务安全管理 5.4电子商务系统安全管理制度 5.4.1人员管理制度 5.4.2保密制度 1.严格电子商务人员选拔 2.落实工作责任制 3.贯彻电子商务安全运作基本原则 双人负责制、任期有限原则、最小权限原则 5.4.2保密制度 机密、秘密、普通

第五章电子商务安全管理 5.4.3跟踪、审计制度 5.4.4网络系统的日常维护制度 审计制度包括经常对系统日志的检查、审核,及时发现故意入侵系统行为的记录和违反系统安全功能的记录。 5.4.4网络系统的日常维护制度 1.建立系统设备档案 2.软件的日常管理和维护 3.数据备份制度

第五章电子商务安全管理 Thank you!