电子商务安全第一章-课件
合集下载
电子商务安全导论ppt课件
• (4)通信监视:这是一种在通信过程中从信道进行搭线窃听的方式。
• (5)通信窜扰:攻击者对通信数据或通信过程进行干预,对完整性进行攻击,篡改系统中数据的内容,修正消 息次序、时间,注入伪造的消息。
• (6)中断:对可用性进行攻击,破坏系统中的硬件、硬盘、线路、文件系统等,使系统不能正确工作,破坏信 息和网络资源。
2021/4/27
最新版整理ppt
5
1.2 电子商务安全基础1
• 1.2.1 电子商务存在的安全隐患 • 1,计算机系统的安全隐患 • (1)硬件系统 • (2)软件系统 • 2,电子商务的安全隐患 • (1)数据的安全。数据一旦泄露,将造成不可挽回的损失。 • (2)交易的安全。这也是电子商务系统所独有的。需要一个网上认证机构对每一笔业务进行认证,以确保交易
2021/4/27
最新版整理ppt
6
1.2 电子商务安全基础2
• 1.2.3 电子商务安全的中心内容(6点) • 1,商务数据的机密性:或称保密性是指信息在网络上传送或存储的过程中不被他人
窃取、不被泄露或披露给未经授权的人或组织,或者经过加密伪装后,使未经授权者无法了解其内容。机密 性可用加密和信息隐匿技术实现,使截获者不能解读加密信息的内容。
2
1.1电子商务概述2
• 1.1.2 电子商务的框架桅成及模式2 • 2,技术要素组成
• 首先要有网络,其次必须有各种各样的应用软件。当然,也少不 了这些应用和网络软件赖以驻在的硬件。
• (1)网络:近年来,网络协议基本都转向TCP/IP。因特网的推广 应用,大大降低了网络费用。
• (2)应用软件:电子商务应用软件是其技术组成的核心。 • (3)硬件:实际是以各种服务器为核心组成的计算机系统。 • 3,几种常见的电子商务模式 • (1)大字报/告示牌模式 • (2)在线黄页簿模式 • (3)电脑空间上的小册子模式 • (4)虚拟百货店模式 • (5)预订/订购模式 • (6)广告推销模式
• (5)通信窜扰:攻击者对通信数据或通信过程进行干预,对完整性进行攻击,篡改系统中数据的内容,修正消 息次序、时间,注入伪造的消息。
• (6)中断:对可用性进行攻击,破坏系统中的硬件、硬盘、线路、文件系统等,使系统不能正确工作,破坏信 息和网络资源。
2021/4/27
最新版整理ppt
5
1.2 电子商务安全基础1
• 1.2.1 电子商务存在的安全隐患 • 1,计算机系统的安全隐患 • (1)硬件系统 • (2)软件系统 • 2,电子商务的安全隐患 • (1)数据的安全。数据一旦泄露,将造成不可挽回的损失。 • (2)交易的安全。这也是电子商务系统所独有的。需要一个网上认证机构对每一笔业务进行认证,以确保交易
2021/4/27
最新版整理ppt
6
1.2 电子商务安全基础2
• 1.2.3 电子商务安全的中心内容(6点) • 1,商务数据的机密性:或称保密性是指信息在网络上传送或存储的过程中不被他人
窃取、不被泄露或披露给未经授权的人或组织,或者经过加密伪装后,使未经授权者无法了解其内容。机密 性可用加密和信息隐匿技术实现,使截获者不能解读加密信息的内容。
2
1.1电子商务概述2
• 1.1.2 电子商务的框架桅成及模式2 • 2,技术要素组成
• 首先要有网络,其次必须有各种各样的应用软件。当然,也少不 了这些应用和网络软件赖以驻在的硬件。
• (1)网络:近年来,网络协议基本都转向TCP/IP。因特网的推广 应用,大大降低了网络费用。
• (2)应用软件:电子商务应用软件是其技术组成的核心。 • (3)硬件:实际是以各种服务器为核心组成的计算机系统。 • 3,几种常见的电子商务模式 • (1)大字报/告示牌模式 • (2)在线黄页簿模式 • (3)电脑空间上的小册子模式 • (4)虚拟百货店模式 • (5)预订/订购模式 • (6)广告推销模式
第1章电子商务安全概述ppt课件
程中的保密性。
安全传输协议
使用安全传输协议(如SSL/TLS) 建立安全的通信通道,保证数据传 输的安全性。
数据脱敏
对交易数据进行脱敏处理,即去除 或替换敏感信息,以降低数据泄露 的风险。
交易结果不可否认性保障
数字签名
利用数字签名技术,确保 交易信息的完整性和真实 性,防止信息被篡改或伪 造。
时间戳服务
05 法律法规与标准规范在电子商务安全中应用
CHAPTER
国内外相关法律法规介绍
中国相关法律法规
《中华人民共和国电子签名法》、《中华人民共和国网络安全法》等,为电子 商务安全提供了法律保障。
国际相关法律法规
国际组织如联合国、世界贸易组织等制定的电子商务相关法规,以及各国之间 的双边或多边协议,共同构建了国际电子商务的法律框架。
由权威机构制定的、在行业内广泛认可的规范性文件,用于指导电子商务安全的实 践和管理。
标准规范的作用
明确电子商务安全的基本要求和技术标准,提高电子商务系统的安全防护能力,降 低网络安全风险,增强消费者对电子商务的信任度。同时,标准规范还有助于推动 电子商务行业的技术创新和进步,提升行业的整体竞争力。
06 总结与展望
引入时间戳服务,为交易 结果提供时间证明,确保 交易结果的不可否认性。
第三方存证
借助第三方机构进行交易 结果的存证和备份,提供 额外的证据支持,增强交 易结果的不可否认性。
04 电子商务支付安全保障措施
CHAPTER
电子支付系统安全架构
客户端安全
采用安全控件、数字证书等技术 手段,确保用户终端的安全。
攻击者通过大量无效请 求占用系统资源,使合 法用户无法正常访问。
身份冒充
攻击者伪造身份信息进 行欺诈行为,损害交易
安全传输协议
使用安全传输协议(如SSL/TLS) 建立安全的通信通道,保证数据传 输的安全性。
数据脱敏
对交易数据进行脱敏处理,即去除 或替换敏感信息,以降低数据泄露 的风险。
交易结果不可否认性保障
数字签名
利用数字签名技术,确保 交易信息的完整性和真实 性,防止信息被篡改或伪 造。
时间戳服务
05 法律法规与标准规范在电子商务安全中应用
CHAPTER
国内外相关法律法规介绍
中国相关法律法规
《中华人民共和国电子签名法》、《中华人民共和国网络安全法》等,为电子 商务安全提供了法律保障。
国际相关法律法规
国际组织如联合国、世界贸易组织等制定的电子商务相关法规,以及各国之间 的双边或多边协议,共同构建了国际电子商务的法律框架。
由权威机构制定的、在行业内广泛认可的规范性文件,用于指导电子商务安全的实 践和管理。
标准规范的作用
明确电子商务安全的基本要求和技术标准,提高电子商务系统的安全防护能力,降 低网络安全风险,增强消费者对电子商务的信任度。同时,标准规范还有助于推动 电子商务行业的技术创新和进步,提升行业的整体竞争力。
06 总结与展望
引入时间戳服务,为交易 结果提供时间证明,确保 交易结果的不可否认性。
第三方存证
借助第三方机构进行交易 结果的存证和备份,提供 额外的证据支持,增强交 易结果的不可否认性。
04 电子商务支付安全保障措施
CHAPTER
电子支付系统安全架构
客户端安全
采用安全控件、数字证书等技术 手段,确保用户终端的安全。
攻击者通过大量无效请 求占用系统资源,使合 法用户无法正常访问。
身份冒充
攻击者伪造身份信息进 行欺诈行为,损害交易
第1章 电子商务安全概述ppt课件
(1)硬件安全威胁 (2)软件安全威胁 (3)黑客 (4)计算机病毒
2. 商务交易的安全隐患
在电子商务过程中,买卖双方是通过网络来联系的,交易双方互不相见, 交易信息通过网络进行交换,这时如果交易双方中的一方存在故意或无意的不 诚信行为,或者有人从中故意破坏,都会对电子商务的交易造成安全威胁。
(1)销售者面临的威胁 (2)购买者面临的威胁
课件 制作
3. 人员、管理、法律的安全隐患
(1)规章制度不健全造成人为泄密事故。 (2)业务不熟悉、误操作或不遵守操作规程而造成泄密。 (3)保密观念不强,不懂保密规则,随便泄露机密。 (4)熟悉系统的人员故意改动软件,非法获取或篡改信息。 (5)恶意破坏网络系统和设备。 (6)利用硬件的故障部位和软件的错误非法访问系统,或对各部分进行破 坏。
计算机网络安全和商务交易安全相辅相成、缺一不可,它们是电子商务活 动得以实现的重要支撑。
二、电子商务安全隐患的类型
电子商务安全隐患主 要包括计算机网络和商务 交易以及人员、管理、法 律的安全隐患。
1. 计算机网络的安全隐患
计算机网络安全是指网络系统的硬件、软件及其系统中的数据受到保护, 不受偶然的或者恶意的原因而遭到破坏、更改和泄露,系统连续可靠、正常地 运行,网络服务不中断。
三、电子商务的安全需求
真正实现安全的电子商务必须要求电子商务能做到机密性、完整性、可认证 性、有效性和不可抵赖性。
1. 机密性
信息的机密性指的是信息在传输过程中不被他人窃取。
2. 完整性
信息的完整性是指确保信息在传输过程中的一致性,并且不被未经授权者所 篡改,也称为不可修改性
3. 可认证性
身份的可认证性是指交易双方在进行交易前应能鉴别和确认对方的身份。
2. 商务交易的安全隐患
在电子商务过程中,买卖双方是通过网络来联系的,交易双方互不相见, 交易信息通过网络进行交换,这时如果交易双方中的一方存在故意或无意的不 诚信行为,或者有人从中故意破坏,都会对电子商务的交易造成安全威胁。
(1)销售者面临的威胁 (2)购买者面临的威胁
课件 制作
3. 人员、管理、法律的安全隐患
(1)规章制度不健全造成人为泄密事故。 (2)业务不熟悉、误操作或不遵守操作规程而造成泄密。 (3)保密观念不强,不懂保密规则,随便泄露机密。 (4)熟悉系统的人员故意改动软件,非法获取或篡改信息。 (5)恶意破坏网络系统和设备。 (6)利用硬件的故障部位和软件的错误非法访问系统,或对各部分进行破 坏。
计算机网络安全和商务交易安全相辅相成、缺一不可,它们是电子商务活 动得以实现的重要支撑。
二、电子商务安全隐患的类型
电子商务安全隐患主 要包括计算机网络和商务 交易以及人员、管理、法 律的安全隐患。
1. 计算机网络的安全隐患
计算机网络安全是指网络系统的硬件、软件及其系统中的数据受到保护, 不受偶然的或者恶意的原因而遭到破坏、更改和泄露,系统连续可靠、正常地 运行,网络服务不中断。
三、电子商务的安全需求
真正实现安全的电子商务必须要求电子商务能做到机密性、完整性、可认证 性、有效性和不可抵赖性。
1. 机密性
信息的机密性指的是信息在传输过程中不被他人窃取。
2. 完整性
信息的完整性是指确保信息在传输过程中的一致性,并且不被未经授权者所 篡改,也称为不可修改性
3. 可认证性
身份的可认证性是指交易双方在进行交易前应能鉴别和确认对方的身份。
电子商务安全(第2版)PPT第1章
子商务安全要素是电子商务系统的中心内容,电子商 务安全的要素有:机密性、完整性、认证性、不可抵 赖性、不可拒绝性、访问控制性,如图1-2所示。
机密性
完整性
认证性
不可抵赖性
电子商务安全 要素
不可拒绝性
访问控制性
图1-2 电子商务的安全要素
1.2 电子商务安全体系
• 1.2.1 电子商务安全框架 一个安全的电子商务系统应构建以策略为指导、技术为基础、
事实上,这已经是Gearbest近年来发生的第二起安全事故了。2017年12月, Gearbest也曾因为撞库攻击而导致账号信息泄露。
电子商务(Electronic Commerce)是指政府、企业和个人利用 现代电子计算机与网络技术实现商业交换和行政管理的全过程; 它是一种基于互联网,以交易双方为主体,以银行电子支付结算 为手段,以客户数据为依托的全新商务模式。电子商务的参与者 包括企业、消费者和中介机构等。它的本质是建立一种全社会的 “网络计算环境”或“数字化神经系统”,以实现资源在国民经 济和大众生活中的全方位应用。 本章主要介绍电子商务安全概念,以及电子商务面临的安全威胁、 安全特点、安全环境、安全技术、安全体系结构和安全服务及安 全协议等。
1.1 电子商务安全概况
近年来,网络技术和电子商务迅猛发展,人们在网络上进行从日常生活用品、 书籍、到计算机、房产交易以及股票炒作、资金运作、旅游等活动剧增。网络 安全问题成为人们一直关注的话题。电子商务安全的重要性已不言而喻。安全 问题是电子商务推进中的最大路障。营造信誉良好、安全可靠的交易环境才能 让众多的企业和消费者支持电子商务,否则消费者不信任网上交易,企业没有 把握在网上营销,电子商务便只能是“水中花、镜中月”。尽管政府以及一些 企业已意识到这一问题,但因为一直缺乏一个安全保护的完整概念,所以很多 人在安全认知上仅限于对防火墙的了解,而防火墙只是安全保护的一个方面, 绝不等于全部,这也正是实施了防火墙的网络仍有漏洞存在的原因所在。 电子商务安全是一个不容忽视、涉及范围极广的社会问题,这些问题将长期存 在,并时刻干扰电子商务的正常健康运行,希望有越来越多的企业和个人加入 到关心电子商务安全的行列中来,共同营造电子商务的安全环境,为开创电子 商务的未来献计献策。
机密性
完整性
认证性
不可抵赖性
电子商务安全 要素
不可拒绝性
访问控制性
图1-2 电子商务的安全要素
1.2 电子商务安全体系
• 1.2.1 电子商务安全框架 一个安全的电子商务系统应构建以策略为指导、技术为基础、
事实上,这已经是Gearbest近年来发生的第二起安全事故了。2017年12月, Gearbest也曾因为撞库攻击而导致账号信息泄露。
电子商务(Electronic Commerce)是指政府、企业和个人利用 现代电子计算机与网络技术实现商业交换和行政管理的全过程; 它是一种基于互联网,以交易双方为主体,以银行电子支付结算 为手段,以客户数据为依托的全新商务模式。电子商务的参与者 包括企业、消费者和中介机构等。它的本质是建立一种全社会的 “网络计算环境”或“数字化神经系统”,以实现资源在国民经 济和大众生活中的全方位应用。 本章主要介绍电子商务安全概念,以及电子商务面临的安全威胁、 安全特点、安全环境、安全技术、安全体系结构和安全服务及安 全协议等。
1.1 电子商务安全概况
近年来,网络技术和电子商务迅猛发展,人们在网络上进行从日常生活用品、 书籍、到计算机、房产交易以及股票炒作、资金运作、旅游等活动剧增。网络 安全问题成为人们一直关注的话题。电子商务安全的重要性已不言而喻。安全 问题是电子商务推进中的最大路障。营造信誉良好、安全可靠的交易环境才能 让众多的企业和消费者支持电子商务,否则消费者不信任网上交易,企业没有 把握在网上营销,电子商务便只能是“水中花、镜中月”。尽管政府以及一些 企业已意识到这一问题,但因为一直缺乏一个安全保护的完整概念,所以很多 人在安全认知上仅限于对防火墙的了解,而防火墙只是安全保护的一个方面, 绝不等于全部,这也正是实施了防火墙的网络仍有漏洞存在的原因所在。 电子商务安全是一个不容忽视、涉及范围极广的社会问题,这些问题将长期存 在,并时刻干扰电子商务的正常健康运行,希望有越来越多的企业和个人加入 到关心电子商务安全的行列中来,共同营造电子商务的安全环境,为开创电子 商务的未来献计献策。
第一章 电子商务安全导论 《电子商务安全与管理》PPT
800000 600000 400000 200000
0 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015
数据来源:CNCERT/CC2015年我国互联网网络安全态势综述
移动互联网恶意程序随着智能手机普及后数量每年 都在大幅度增长
主要针对安卓平台进行恶意扣费、流氓留存和远程 控制的恶意行为
买卖双方都存在抵赖
买卖双方都有可能会抵赖曾经发生过的交易。
电子商务系统安全的构成
Composition of Security System
PART
2
1.2.1 电子商务系统安全概述
电子商务系统安全
实体 安全
运行安全
信息安全
环境 安全
设备 安全
媒体 安全
风险 分析
审计 跟踪
备份 与恢
复
应急
操作 系统 安全
网络安全管理,是指对网络的使用提供安全管理,包 括四个方面的功能
安全网络系统,是指对网络资源的访问和网络服务的 使用提供一套完整的安全保护,是从网络系统的设 计、实现、使用和管理各个阶段都遵循一套完整的安 全策略的网络系统。
网络系统安全部件,是指对网络系统的某个过程、部 分或服务提供安全保护,以增强整个网络系统的安全 性
• 媒体数据的防毁,防止意外或故意的破坏而使媒体数据丢 失。
1.2.3 系统运行安全
风险分析
电子商务系统安全的第二部分: 运行安全
运行安全是指为保障系统功能的安全实现,提供
应 急
审 计
一套安全措施(如风险分析,审计跟踪 ,备份
措 施
跟 踪
与恢复,应急等)来保护信息处理过程的安全。
0 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015
数据来源:CNCERT/CC2015年我国互联网网络安全态势综述
移动互联网恶意程序随着智能手机普及后数量每年 都在大幅度增长
主要针对安卓平台进行恶意扣费、流氓留存和远程 控制的恶意行为
买卖双方都存在抵赖
买卖双方都有可能会抵赖曾经发生过的交易。
电子商务系统安全的构成
Composition of Security System
PART
2
1.2.1 电子商务系统安全概述
电子商务系统安全
实体 安全
运行安全
信息安全
环境 安全
设备 安全
媒体 安全
风险 分析
审计 跟踪
备份 与恢
复
应急
操作 系统 安全
网络安全管理,是指对网络的使用提供安全管理,包 括四个方面的功能
安全网络系统,是指对网络资源的访问和网络服务的 使用提供一套完整的安全保护,是从网络系统的设 计、实现、使用和管理各个阶段都遵循一套完整的安 全策略的网络系统。
网络系统安全部件,是指对网络系统的某个过程、部 分或服务提供安全保护,以增强整个网络系统的安全 性
• 媒体数据的防毁,防止意外或故意的破坏而使媒体数据丢 失。
1.2.3 系统运行安全
风险分析
电子商务系统安全的第二部分: 运行安全
运行安全是指为保障系统功能的安全实现,提供
应 急
审 计
一套安全措施(如风险分析,审计跟踪 ,备份
措 施
跟 踪
与恢复,应急等)来保护信息处理过程的安全。
电子商务安全概述 ppt课件
ppt课件
20
1.2.1电子商务安全概念与特点
电子商务安全必须具有如下三个特征: 1.保密性(Confidentiality) 2.完整性(Integrity) 3.可用性(Availability)
ppt课件
21
1.2.2电子商务的风险与安全问题
1.电子商务的风险 要想有效管理电子商务风险,一个企业开展电子 商务需要考虑风险的三个主要领域:危害性、不 确定性和机遇。
ppt课件 18
1.2电子商务安全概况
1.2.1电子商务安全概念与特点 1.2.2电子商务的风险与安全问题 1.2.3电子商务系统安全的构成
ppt课件
19
1.2.1电子商务安全概念与特点
对电子商务安全的认识应注意以下几个特点: 1.安全不仅仅是安全管理部门的事情 2.电子商务安全具有全面性、普遍性 3.安全是一个系统概念 4.安全是相对的、发展变化的 5.安全是有代价的
ppt课件 5
1.1.1电子商务的内涵
3.权威学者对电子商务的定义 广义地讲,电子商务是一种现代商业方法。这种方法 通过改善产品和服务质量、提高服务传递速度,满 足政府组织、厂商和消费者的降低成本的需求。这 一概念也用于通过计算机网络寻找信息以支持决策。 一般地讲,今天的电子商务通过计算机网络将买方 和卖方的信息、产品和服务器联系起来,而未来的 电子商务者通过构成信息高速公路的无数计算机网 络将买方和卖方联系起来。
ppt课件 11
1.1.1电子商务的内涵
电子商务的技术特征: 1.信息化 2.虚拟性 3.集成性 4.可扩展性 5.安全性 6.系统性
ppt课件 12
1.1.1电子商务的内涵
电子商务的应用特征: 1.商务性 2.服务性 3.协调性 4.社会性 5.全球性
电子商务安全ppt课件
常见的加密算法
如对称加密(AES、DES等)、非对 称加密(RSA、ECC等)以及混合加 密等。
数字签名与身份认证技术
数字签名的基本原理
常见的数字签名算法
利用加密算法对信息进行签名,以确保信息 的来源和完整性。
如RSA、DSA、ECDSA等。
身份认证技术的种类
数字签名与身份认证技术的应用
基于口令的身份认证、基于数字证书的身份 认证以及多因素身份认证等。
网络隔离,降低安全风险。
入侵检测与防御
部署IDS/IPS系统,实时监测网 络流量和异常行为,及时发现并
阻断潜在的网络攻击。
系统及应用软件安全防护措施
01
系统漏洞修补
定期更新操作系统、数据库等系统软件补丁,修复已知漏洞,防止攻击
者利用漏洞进行攻击。
02
应用软件安全加固
对电子商务平台应用软件进行安全加固,包括输入验证、权限控制、防
明确纠纷处理流程
03
制定详细的纠纷处理流程,确保纠纷能够得到及时、公正、合
理的解决。
04
CATALOGUE
电子商务平台安全防护体系建设
网络安全防护策略部署
部署防火墙
通过配置防火墙规则,限制非法 访问和恶意攻击,保护电子商务
平台网络安全。
网络隔离
采用VLAN、VPN等技术手段, 实现不同业务、不同安全级别的
强化包装保护措施
采用防震、防压、防水等 包装材料,确保货物在运 输途中不受损坏。
实时跟踪物流信息
提供实时物流信息查询服 务,方便买家随时了解货 物运输情况。
售后服务与纠纷处理机制
建立完善的售后服务体系
01
提供退换货、维修等售后服务,保障消费者权益。
电子商务安全(第2版)PPT第1章
多数的电子商务系统涉及大量的网络 设备、主机设备、安全设备以及其他 设施和人员,对安全的要求较高,造 成管理的复杂度很高。某些分散的管 理降低了管理的效率和效果。所以需 要建立一个统一的安全管理平台,对 整个网络进行统一的安全管理。
1、对客户机的安全威胁
(1)动态网页内容 (2)相关技术或机制
1)cookie 2)邮件通讯簿 3)信息隐蔽
2.对通信信道的安全威胁
一.搭线窃听 IP欺骗 IP源端路由选择 目标扫描
3.对服务器的安全威胁
一.WWW服务器 数据库服务器 CGI ASP 邮件炸弹 溢出攻击 口令破译
1.1.3 电子商务安全要素 面临的威胁导致了对电子商务安全的需求。电
子商务安全要素是电子商务系统的中心内容,电子商 务安全的要素有:机密性、完整性、认证性、不可抵 赖性、不可拒绝性、访问控制性,如图1-2所示。
机密性
完整性
认证性
不可抵赖性
电子商务安全 要素
不可拒绝性
访问控制性
图1-2 电子商务的安全要素
1.2 电子商务安全体系
• 1.2.1 电子商务安全框架 一个安全的电子商务系统应构建以策略为指导、技术为基础、
Rotem在报告中声称其在3月初发现这个不安全的数据库,泄露的记录约有 150万条。这些数据并没有什么加密措施,有些甚至完全没有加密。他表示, 这些泄露的信息不仅侵犯了客户隐私,还可能危及世界上言论和表达自由受限 地区的客户。例如,一些性玩具和其他私密购买的产品,可能会在那些禁止 LGBTQ+(性少数群体,也叫彩虹群体)关系或婚前性行为的国家里引起法 律问题。受影响的用户在阿拉伯联合酋长国和巴基斯坦这样出台了相关严格法 律的国家中,甚至可能会被判死刑。
从安全等级来说,从下至上有计算机密码安全、局 域网安全、互联网安全和信息安全之分,而电子商务安 全属于信息安全的范畴,涉及信息的机密性、完整性、 认证性等方面。这几个安全概念之间的关系如图1-1所 示。同时,电子商务安全又有它自身的特殊性,即以电 子交易安全和电子支付安全为核心,有更复杂的机密性 概念,更严格的身份认证功能,对不可拒绝性有新的要 求,需要有法律依据性和货币直接流通性特点,还要网 络设有的其他服务(如数字时间戳服务)等。
1、对客户机的安全威胁
(1)动态网页内容 (2)相关技术或机制
1)cookie 2)邮件通讯簿 3)信息隐蔽
2.对通信信道的安全威胁
一.搭线窃听 IP欺骗 IP源端路由选择 目标扫描
3.对服务器的安全威胁
一.WWW服务器 数据库服务器 CGI ASP 邮件炸弹 溢出攻击 口令破译
1.1.3 电子商务安全要素 面临的威胁导致了对电子商务安全的需求。电
子商务安全要素是电子商务系统的中心内容,电子商 务安全的要素有:机密性、完整性、认证性、不可抵 赖性、不可拒绝性、访问控制性,如图1-2所示。
机密性
完整性
认证性
不可抵赖性
电子商务安全 要素
不可拒绝性
访问控制性
图1-2 电子商务的安全要素
1.2 电子商务安全体系
• 1.2.1 电子商务安全框架 一个安全的电子商务系统应构建以策略为指导、技术为基础、
Rotem在报告中声称其在3月初发现这个不安全的数据库,泄露的记录约有 150万条。这些数据并没有什么加密措施,有些甚至完全没有加密。他表示, 这些泄露的信息不仅侵犯了客户隐私,还可能危及世界上言论和表达自由受限 地区的客户。例如,一些性玩具和其他私密购买的产品,可能会在那些禁止 LGBTQ+(性少数群体,也叫彩虹群体)关系或婚前性行为的国家里引起法 律问题。受影响的用户在阿拉伯联合酋长国和巴基斯坦这样出台了相关严格法 律的国家中,甚至可能会被判死刑。
从安全等级来说,从下至上有计算机密码安全、局 域网安全、互联网安全和信息安全之分,而电子商务安 全属于信息安全的范畴,涉及信息的机密性、完整性、 认证性等方面。这几个安全概念之间的关系如图1-1所 示。同时,电子商务安全又有它自身的特殊性,即以电 子交易安全和电子支付安全为核心,有更复杂的机密性 概念,更严格的身份认证功能,对不可拒绝性有新的要 求,需要有法律依据性和货币直接流通性特点,还要网 络设有的其他服务(如数字时间戳服务)等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
– 1.系统实体安全 – 2.系统运行安全 – 3.信息安全
18
1.3 电子商务安全的概念与基本要求
1.3.2 电子商务安全的需求
机密性
完整性
认证性
电子商务安全的中心内容
不可否认性
不可拒绝性
访问控制性
19
商务数据的机密性(Confidentiality)
信息在网络上传送或存储的过程中,不被 他人窃取,不被泄露给未经授权的人或组织, 或者经过加密后,使未经授权者无法了解其 内容。
100
67
50
0 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月
7
1.1 电子商务安全问题
• 1.1.3黑客攻击
– 僵尸网络
• 僵尸网络也称为BotNet。Bot是robot的简写,通常是 指可以自动地执行预定义的功能,可以被预定义的命令控 制,具有一定人工智能的程序。
收方不能否认已收到的信息。 不可否认性主要用于对付来自其他合法用户
的威胁。
22
商务服务的不可拒绝性(Denial of service) 商务服务的不可拒绝性,也称可用性,是
保证授权用户在正常访问信息和资源时不被 拒绝或延迟,即保证为用户提供稳定的服务。
访问的控制性(Access control) 访问控制性用于保护计算机系统的资源不
能提供较短密钥长度的弱加密算法。
11
1.2 触发电子商务安全问题的原因
•1.2.1 先天原因 •1.2.2 后天原因
– 1.管理 – 2.人 – 3.技术
12
1.2 触发电子商务安全问题的原因
• 1.2.1 先天原因
– 网络的全球性、开放性和共享性使得电子商务 传输过程中的信息安全存在先天不足。
16
1.3 电子商务安全的概念与基本要求
电子商务系统安全
• 1.3.1 电子商务 系统安全的构成
实体安全
环境安全 设备安全 媒体安全 运行安全
风险分析 审计跟踪 备份与恢复
应急 信息安全
操作系统安全
数据库安全
网络安全
病毒防护
访问控制
加密
鉴别
17
1.3 电子商务安全的概念与基本要求
• 1.3.1 电子商务系统安全的构成
• 1.2.2 后天原因
– 管理——美国90%的IT企业对黑客的攻击准 备不足。
– 人——黑客攻击 – 技术——软件漏洞、后门
13
1.3 电子商务安全的概念与基本要求
•1.3.1 电子商务系统安全的构成
– 1.系统实体安全 – 2.系统运行安全 – 3.信息安全
•1.3.2 电子商务安全的需求
14
精品
电子商务安全第一章
1.1 电子商务安全问题 1.2 触发电子商务安全问题的原因 1.3 电子商务安全的概念与基本要求 1.4 电子商务安全的现状 1.5 网络安全的十大不稳定因素 1.6 电子商务安全防治措施 1.7 电子商务安全举措
1.1 电子商务安全问题
电子商务发展的核心和关键问题是 交易的安全性 1.1.1技术威胁 •信息的截获和窃取 •信息的篡改 •信息的假冒 •交易抵赖 1.1.2 黑客攻击
5
1.1 电子商务安全问题
• 1.1.4 黑客攻击
– 网页篡改
• 耐克网站被黑客篡改
6
1.1 电子商务安全问题
• 1.1.3 黑客攻击
– 网页篡改
• 2004年中国大陆网页篡改情况(单位:件)
400
378
350
300
250 200
235
201
206 182
194
150
150 128 96
117
105
被未经授权人或以未授权方式接入、使用、 修改、破坏、发出指令或植入程序等。
23
1.4 电子商务安全的现状
•1.4.1 涉密计算机网络的六大隐患 •1.4.2信息安全与十大关系 •1.4.3国内外安全现状与趋势
24
1.4 电子商务安全的现状
1.4.1涉密计算机网络的六大隐患 1)网络建设中重应用轻安全保密; 2)涉密网与互联网联接 3)两网一机隐患多 4)注重防范外部入侵,忽视内部控制 5)涉密移动存储介质管理混乱 6)笔记本电脑使用管理缺少监督
加密的信息在传输过程中,完整性也可能遭到 破坏。
21
商务对象的认证性(Authentication) 商务对象的认证性是指网络两端的使用者在
沟通之前相互确认对方的身份。 认证性用数字签名和身份认证技术实现
商务服务的不可否认性(Non-repudiation)
商务服务的不可否认性(Non-repudiation) 信息的发送方不能否认已发送的信息,接
25
1.4 电子商务安全的现状
1.4.2信息安全与十大关系 1、信息安全的三个发展阶段 (1)数据安全 (2)网络安全 (3)交易安全 2、交易安全的三个主要方面 (1)可信计算 (2)可信连接 (3)可信交易
机密性的另一方面是保护通信流特性(通 信源、目的地、频率、长度等),以防止被 分析。
20
商务数据的完整性(Integrity)
保护数据不被未授权者修改、删除、重复传 送、建立、嵌入或由于其他原因使原始数据被 更改。
在传输过程中,如果接收端收到的信息与发 送的信息完全一样,则说明在传输过程中信息 具有完整性。 注意:
8
1.1 电子商务安全问题
• 1.1.4 网络仿冒
– 2004年网络仿冒事件报告(单位:起)
9
1.1.2、对电子商务交易各方的威胁 对商家的威胁 对消费者的威胁
10
1.1.3、中国电子商务面临的安全威胁 国内几乎所有的计算机主机、网络交换机、
路由器和网络操作系统都来自国外。 进入我国的电子商务和网络安全产品均只
1.1.3 病毒
1.1.4 网络仿冒
3
网络安全面临的威胁
特洛伊木马
黑客攻击 后门、隐蔽通道 计算机病毒
信息丢失、 篡改、销毁
网络
逻辑炸弹
蠕虫
拒绝服务攻击
内部、外部泄密
4
1.1 电子商务安全问题
• 1.1.3 病毒
– 蠕虫病毒
• 蠕虫主要是利用系统的漏洞进行自动传播复制,由于传播 过程中产生巨大的扫描或其他攻击流量,从而使网络流量 急剧上升,造成网络访问速度变慢甚至瘫痪。
1.3 电子商务安全的概念与基本要求
– 电子商务交易示意图
15
1.3 电子商务安全的概念与基本要求
• 1.3.1 电子商务系统安全的构成
– 计算机信息系统是指由计算机及其相关的和配 套的设备、设施(含网络)构成的,按照一定 的应用目标和规则对信息进行采集、加工、存 储、传输、检索等处理的人机系统。
18
1.3 电子商务安全的概念与基本要求
1.3.2 电子商务安全的需求
机密性
完整性
认证性
电子商务安全的中心内容
不可否认性
不可拒绝性
访问控制性
19
商务数据的机密性(Confidentiality)
信息在网络上传送或存储的过程中,不被 他人窃取,不被泄露给未经授权的人或组织, 或者经过加密后,使未经授权者无法了解其 内容。
100
67
50
0 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月
7
1.1 电子商务安全问题
• 1.1.3黑客攻击
– 僵尸网络
• 僵尸网络也称为BotNet。Bot是robot的简写,通常是 指可以自动地执行预定义的功能,可以被预定义的命令控 制,具有一定人工智能的程序。
收方不能否认已收到的信息。 不可否认性主要用于对付来自其他合法用户
的威胁。
22
商务服务的不可拒绝性(Denial of service) 商务服务的不可拒绝性,也称可用性,是
保证授权用户在正常访问信息和资源时不被 拒绝或延迟,即保证为用户提供稳定的服务。
访问的控制性(Access control) 访问控制性用于保护计算机系统的资源不
能提供较短密钥长度的弱加密算法。
11
1.2 触发电子商务安全问题的原因
•1.2.1 先天原因 •1.2.2 后天原因
– 1.管理 – 2.人 – 3.技术
12
1.2 触发电子商务安全问题的原因
• 1.2.1 先天原因
– 网络的全球性、开放性和共享性使得电子商务 传输过程中的信息安全存在先天不足。
16
1.3 电子商务安全的概念与基本要求
电子商务系统安全
• 1.3.1 电子商务 系统安全的构成
实体安全
环境安全 设备安全 媒体安全 运行安全
风险分析 审计跟踪 备份与恢复
应急 信息安全
操作系统安全
数据库安全
网络安全
病毒防护
访问控制
加密
鉴别
17
1.3 电子商务安全的概念与基本要求
• 1.3.1 电子商务系统安全的构成
• 1.2.2 后天原因
– 管理——美国90%的IT企业对黑客的攻击准 备不足。
– 人——黑客攻击 – 技术——软件漏洞、后门
13
1.3 电子商务安全的概念与基本要求
•1.3.1 电子商务系统安全的构成
– 1.系统实体安全 – 2.系统运行安全 – 3.信息安全
•1.3.2 电子商务安全的需求
14
精品
电子商务安全第一章
1.1 电子商务安全问题 1.2 触发电子商务安全问题的原因 1.3 电子商务安全的概念与基本要求 1.4 电子商务安全的现状 1.5 网络安全的十大不稳定因素 1.6 电子商务安全防治措施 1.7 电子商务安全举措
1.1 电子商务安全问题
电子商务发展的核心和关键问题是 交易的安全性 1.1.1技术威胁 •信息的截获和窃取 •信息的篡改 •信息的假冒 •交易抵赖 1.1.2 黑客攻击
5
1.1 电子商务安全问题
• 1.1.4 黑客攻击
– 网页篡改
• 耐克网站被黑客篡改
6
1.1 电子商务安全问题
• 1.1.3 黑客攻击
– 网页篡改
• 2004年中国大陆网页篡改情况(单位:件)
400
378
350
300
250 200
235
201
206 182
194
150
150 128 96
117
105
被未经授权人或以未授权方式接入、使用、 修改、破坏、发出指令或植入程序等。
23
1.4 电子商务安全的现状
•1.4.1 涉密计算机网络的六大隐患 •1.4.2信息安全与十大关系 •1.4.3国内外安全现状与趋势
24
1.4 电子商务安全的现状
1.4.1涉密计算机网络的六大隐患 1)网络建设中重应用轻安全保密; 2)涉密网与互联网联接 3)两网一机隐患多 4)注重防范外部入侵,忽视内部控制 5)涉密移动存储介质管理混乱 6)笔记本电脑使用管理缺少监督
加密的信息在传输过程中,完整性也可能遭到 破坏。
21
商务对象的认证性(Authentication) 商务对象的认证性是指网络两端的使用者在
沟通之前相互确认对方的身份。 认证性用数字签名和身份认证技术实现
商务服务的不可否认性(Non-repudiation)
商务服务的不可否认性(Non-repudiation) 信息的发送方不能否认已发送的信息,接
25
1.4 电子商务安全的现状
1.4.2信息安全与十大关系 1、信息安全的三个发展阶段 (1)数据安全 (2)网络安全 (3)交易安全 2、交易安全的三个主要方面 (1)可信计算 (2)可信连接 (3)可信交易
机密性的另一方面是保护通信流特性(通 信源、目的地、频率、长度等),以防止被 分析。
20
商务数据的完整性(Integrity)
保护数据不被未授权者修改、删除、重复传 送、建立、嵌入或由于其他原因使原始数据被 更改。
在传输过程中,如果接收端收到的信息与发 送的信息完全一样,则说明在传输过程中信息 具有完整性。 注意:
8
1.1 电子商务安全问题
• 1.1.4 网络仿冒
– 2004年网络仿冒事件报告(单位:起)
9
1.1.2、对电子商务交易各方的威胁 对商家的威胁 对消费者的威胁
10
1.1.3、中国电子商务面临的安全威胁 国内几乎所有的计算机主机、网络交换机、
路由器和网络操作系统都来自国外。 进入我国的电子商务和网络安全产品均只
1.1.3 病毒
1.1.4 网络仿冒
3
网络安全面临的威胁
特洛伊木马
黑客攻击 后门、隐蔽通道 计算机病毒
信息丢失、 篡改、销毁
网络
逻辑炸弹
蠕虫
拒绝服务攻击
内部、外部泄密
4
1.1 电子商务安全问题
• 1.1.3 病毒
– 蠕虫病毒
• 蠕虫主要是利用系统的漏洞进行自动传播复制,由于传播 过程中产生巨大的扫描或其他攻击流量,从而使网络流量 急剧上升,造成网络访问速度变慢甚至瘫痪。
1.3 电子商务安全的概念与基本要求
– 电子商务交易示意图
15
1.3 电子商务安全的概念与基本要求
• 1.3.1 电子商务系统安全的构成
– 计算机信息系统是指由计算机及其相关的和配 套的设备、设施(含网络)构成的,按照一定 的应用目标和规则对信息进行采集、加工、存 储、传输、检索等处理的人机系统。