第五章电子商务安全管理

第五章电子商务安全管理 5.1电子商务安全概述 5.1.2电子商务安全的内容 电子商务安全是有效开展电子商务的前提和保证。 电子商务重要特征是利用计算和网络来处理和传输商业信息。 电子商务安全的内容概括为三个方面内容： 1、计算网络安全； 2、商务交易安全； 3、电子商务系统安全管理制度。

第五章电子商务安全管理 5.1电子商务安全概述 计算机网络安全是指保护计算机网络系统中的硬件、软件和数据资源。 开展电子商务所需的基础设施。 商务交易安全是指确保在开放的互联网上交易信息的保密性、完整性和不可抵赖性。 电子商务能够顺利开展的前提。 人员素质是影响电子商务安全的重要因素，它是保证电子商务取得成功的重要基础工作。

第五章电子商务安全管理 5.2计算机网络安全 5.2.1网络安全威胁的来源 1）黑客攻击 指非法入侵计算机系统的人。主要利用计算机系统的缺陷、操作系统的安全漏洞或通信协议的安全漏洞。 常采用的手段：A利用UNIX提供的缺省账户进行攻击。B截取口令；C录找系统漏洞；D偷取特权；E清磁盘。

第五章电子商务安全管理 2）计算机病毒 一种恶意破坏用户系统的应用程序。 计算机病毒的特点： 隐蔽性 、传染性 、破坏性 、潜伏性 、可触发性 、针对性。 计算机病毒的种类：1）引导区病毒；2）可执行文件病毒；3）宏病毒；4）邮件病毒；5）网页病毒；6）综合型病毒。

第五章电子商务安全管理 3）拒绝服务攻击 一种破坏性的攻击，用户采用某种手段故意占用大量的网络资源，使系统没有剩余资源为其他用户提供服务的攻击。 主要利用TCP/IP协议的缺陷，手段包括：SYN FLOOD、ICMP FLOOD、UDP FLOOD。 连接耗尽攻击使用真实IP地址进行攻击。

第五章电子商务安全管理 4）网络内部的安全威胁 2.网络安全威胁的承受对象 来自网络内部的用户攻击或内部用户因误操作造成口令失密而遭受的攻击，是最难防御的攻击。 2.网络安全威胁的承受对象 1）对客户机的安全威胁 2）对WWW服务器的安全威胁 3）对数据库的安全威胁 4）对通讯设备、线路的安全威胁

第五章电子商务安全管理 防火墙 防火墙技术是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全的一种手段。它所保护的对象是网络中有明确闭合边界的一个网块，而它所防范的对象是来自被保护网块外部的安全威胁。

第五章电子商务安全管理 防火墙的作用 1、限制他人进入内部网络，过滤掉不安全服务和非法用户； 2、允许内部网的一部分主机被外部网访问，另一部分被保护起来； 3、限定内部网的用户对互联网上特殊站点的访问； 4、为监视互联网安全提供方便。

第五章电子商务安全管理 防火墙的类型 包过滤防火墙：通常安装在路由器上，根据网络管理员设定的访问控制清单对流经防火墙信息包的IP源地址，IP目标地址、封装协议（如TCP/IP 等）和端口号等进行筛选。基于网络层。 代理服务器防火墙：包过滤技术可以通过对IP 地址的封锁来禁止未经授权者的访问。基于应用层。

第五章电子商务安全管理 防火墙的局限性 防火墙的管理 1、限制了有用的网络服务； 2、不能防范不经由防火墙的攻击； 3、不能防范来自网络内部的攻击； 4、不能防范新的网络安全问题。 防火墙的管理 本地管理、远程管理、集中管理

第五章电子商务安全管理 计算机病毒的工作原理 计算机病毒、蠕虫与木马之间的区别 三个功能模块：引导模块、传染模块、破坏模块； 木马指网上的软件通过下载或邮件附件打开引诱用户打开执行，潜伏到计算机中，通过远程黑客程序里应外合窃取用户信息、毁坏文件、远程控制电脑等。

第五章电子商务安全管理 蠕虫病毒 计算机病毒防范的基本原则 一种通过网络传播的恶性病毒，主要利用计算机系统漏洞进行传播。它的目标是互联网内的所有计算机。 计算机病毒防范的基本原则 从管理上防范、从技术上防范；

第五章电子商务安全管理 5.2计算机网络安全 5.2.2网络安全管理的技术手段 防病毒软件的选择 常用的防病毒软件 1、技术支持度 2、技术的先进性和稳定性 3、病毒的响应速度 4、用户的使用条件及应用环境 常用的防病毒软件

第五章电子商务安全管理 5.2计算机网络安全 5.2.3防火墙软件的使用（实操平台讲解） 5.2.4防病毒软件的使用（实操平台讲解）

第五章电子商务安全管理 5.3商务交易安全 5.3.1电子商务交易安全基础 1、电子商务交易的安全要求 1）信息的保密性。 2）信息的完整性。 3）通信的不变动性。 4）交易各方身份的认证。 5）信息的有效性。

第五章电子商务安全管理 1、密码知识 1）密码的概念：密码是隐蔽了真实内容的符号序列。 2）密码安全的要素 位数不于六； 使用英文数字特殊符号等的组合； 不要使用安全性过低的密码； 定期更改密码； 避免使用重复的密码。

第五章电子商务安全管理 3）密码泄漏的途径 3.基本加密方法* 1）对称加密体制（采用DES算法，使用一个密钥） 被窃取密码； 被别人猜出密码； 3.基本加密方法* 1）对称加密体制（采用DES算法，使用一个密钥） 对称密钥加密，又称私钥加密，即信息的发送方和接收方用一个密钥去加密和解密数据。对称加密技术的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。

第五章电子商务安全管理 2）非对称加密体制（RSA算法，二个密钥） 非对称密钥加密系统，又称公钥密钥加密，它需要使用一对密钥来分别完成加密和解密操作，一个公开发布，称为公开密钥（Public-Key）；另一个由用户自己秘密保存，称为私有密钥（Private-Key）。信息发送者用公开密钥去加密，而信息接收者则用私有密钥去解密。公钥机制灵活，但加密和解密速度却比对称密钥加密慢得多。 解决了密钥交换问题。

第五章电子商务安全管理 文件加密 5.3.2安全认证手段* 1、数字信封 1）WORD文件加密方法 2）EXCEL文件加密方法 数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。在数字信封中，信息发送方采用对称密钥来加密信息，然后将此对称密钥用接收方的公开密钥来加密（这部分称为数字信封）之后，将它和信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开信息。这种技术的安全性相当高。

第五章电子商务安全管理 2、数字摘要（HASH函数算法） 数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码（数字指纹Finger Print），并在传输信息时将之加入文件一同送给接收方，接收方收到文件后，用相同的方法进行变换运算，若得到的结果与发送来的摘要码相同，则可断定文件未被篡改，反之亦然。 HASH该编码法采用单向Hash函数将需加密的明文“摘要”成一串l28bit的密文，这一串密文亦称为数字指纹（Finger Print）。

第五章电子商务安全管理 3、数字签名 把HASH函数和公钥算法结合起来，可以在提供数据完整性的同时，也可以保证数据的真实性。完整性保证传输的数据没有被修改，而真实性则保证是由确定的合法者产生的HASH，而不是由其他人假冒。而把这两种机制结合起来就可以产生所谓的数字签名（Digital Signature）。

第五章电子商务安全管理 4、数字证书 所谓数字证书，就是用电子手段来证实一个用户的身份及用户对网络资源的访问权限。在网上电子交易中，如果双方出示了各自的数字证书，并用它来进行交易操作，那么双方都可不必为对方身份的真伪担心。 数字证书的内部格式是由CCITT X.509国际标准所规定的，它必须包含以下几点： 　　证书的版本号； 　　数字证书的序列号； 　　证书拥有者的姓名； 　　证书拥有者的公开密钥； 　　公开密钥的有效期； 　　签名算法； 　　办理数字证书的单位； 　　办理数字证书单位的数字签名。 数字证的类型、和等级。

第五章电子商务安全管理 5、认证中心 电子商务授权机构（CA）也称为电子商务认证中心（Certificate Authority）。 认证中心（CA）就是承担网上安全电子交易认证服务，能签发数字证书，并能确认用户身份的服务机构。认证中心通常是企业性的服务机构，主要任务是受理数字证书的申请、签发及对数字证书的管理。在实际运作中，CA可由大家都信任的一方担当。 认证机构的核心职能是发放和管理用户的数字证书。认证机构在整个电子商务环境中处于至关重要的位置，它是整个信任链的起点。认证机构是开展电子商务的基础，如果认证机构不安全或发放的证书不具权威性，那么网上电子交易就根本无从谈起。

第五章电子商务安全管理 5、认证中心 电子商务授权机构（CA）也称为电子商务认证中心（Certificate Authority）。 认证中心（CA）就是承担网上安全电子交易认证服务，能签发数字证书，并能确认用户身份的服务机构。认证中心通常是企业性的服务机构，主要任务是受理数字证书的申请、签发及对数字证书的管理。在实际运作中，CA可由大家都信任的一方担当。 认证机构的核心职能是发放和管理用户的数字证书。认证机构在整个电子商务环境中处于至关重要的位置，它是整个信任链的起点。认证机构是开展电子商务的基础，如果认证机构不安全或发放的证书不具权威性，那么网上电子交易就根本无从谈起。

第五章电子商务安全管理 5.3商务交易安全 5.3.3安全交易协议* 1、安全套接层协议 1）安全套接层协议是由Netscape公司1994年设计开发的安全协议，主要用于提高应用程序之间的数据的安全系数。 2）提供的服务 用户和服务器的身份认证、保证数据的保密性、维护数据的完整性

第五章电子商务安全管理 3）SSL协议的运行过程 A.接通阶段 B.密码交换阶段 C.会谈密码阶段 D.检验阶段 E.客户认证阶段 F.结束阶段

第五章电子商务安全管理 4）SSL协议的评价 1）不符合国务院最新颁布的《商用密码管理条例》 2）系统安全性差 3）运行的基点是商家对客户信息保密的承诺，有利于商家不利于客户。

第五章电子商务安全管理 2.安全电子交易协议（SET） 1）安全电子交易是一个通过开放网络（包括Internet）进行安全资金支付的技术标准，由VISA和MasterCard组织共同制定，1997年5月联合推出。 2）SET协议的目标 A.保证参与各方相互隔离； B.保证信息安全传输；

第五章电子商务安全管理 3）SET的工作原理 4）SET协议中的角色 5）SET协议评价 C.解决了多方认证问题； D.保证了交易的实时性； A.对商家降低了成本； B.对消费者保证了信用卡的秘密、商家的合性。

第五章电子商务安全管理 SET不足之处： C.信用卡网上支付具有更低的欺骗概率； E.参与交易的各方定义了互操作接口； A.在交易各方安装相应软件、发放证书。 B.协议没有说明收单银行给在线商店付款前，是否必须收到消费者的货物接收证书。C.协议没有担保“非拒绝行为”。 D.没有提及在事务处理完成后如何安全地保存或销毁此类数据。

第五章电子商务安全管理 5.3.4数字证书的使用（实操平台讲解） 1.申请数字证书 2.下载数字证书 3.查询/下载对方数字证书 4.使用数字证书对电子合同进行加密和签名

第五章电子商务安全管理 5.3.5网上贸易安全防骗 1.网上银行常用安全手段 2.网上银行进行安全交易的方法 1）软键盘输入密码方式 2）ACTIVE X控件输入密码方式 3）动态密码方式 4）数字证书方式 2.网上银行进行安全交易的方法 1）设置、保护好网银密码

第五章电子商务安全管理 3.第三方支付安全 2）谨防网络钓鱼 3）定期查询详细交易 4）利用银行提供的各种增值服务 5）配置安全软件 1）不要看到支持支付宝的产品就放松警惕 2）货到付款注意事项 3）小心实时到账功能

第五章电子商务安全管理 4.网上贸防骗方法 1）验明对方身份 2）通过联系方式判断真伪 3）完善必要的买卖手续 4）汇款注意事项

第五章电子商务安全管理 5.4电子商务系统安全管理制度 5.4.1人员管理制度 5.4.2保密制度 1.严格电子商务人员选拔 2.落实工作责任制 3.贯彻电子商务安全运作基本原则 双人负责制、任期有限原则、最小权限原则 5.4.2保密制度 机密、秘密、普通

第五章电子商务安全管理 5.4.3跟踪、审计制度 5.4.4网络系统的日常维护制度 审计制度包括经常对系统日志的检查、审核，及时发现故意入侵系统行为的记录和违反系统安全功能的记录。 5.4.4网络系统的日常维护制度 1.建立系统设备档案 2.软件的日常管理和维护 3.数据备份制度

第五章电子商务安全管理 Thank you！