第三讲电子商务交易安全.pptx
合集下载
电子交易安全概述(PPT 55张)
9
16.02.2019
7.1.3 安全管理 现在,各国政府、国际组织以及IT业界的人士都非常重视 电子商务的安全问题,从电子商务安全管理、安全技术和法律 等多方面开展工作,期望逐步把网上混沌的世界变得有序、可 信和安全,使电子商务健康地发展。 1.电子商务系统安全的管理对策 网络交易系统安全管理制度是用文字形式对各项安全要求 所做的规定,是企业电子商务人员安全工作的规范和准则。企 业在参与电子商务初期,就应当形成一套完整的、适应于网络 环境的安全管理制度。这些制度应当包括: (1) 人员管理制度。 ① 严格电子商务人员选拔;② 落实工作责任制;③ 落实考 核制度。
6
16.02.2019
2.完整性(不可修改性) 完整性是指数据在输入和传输过程中,要求能保证数据的一 致性,防止数据被非授权建立、修改和破坏。信息的完整性将影 响到贸易各方的交易和经营策略,保持这种完整性是电子商务应 用的基础。因此,要预防对信息的随意生成、修改和删除,同时 要防止数据传送过程中丢失和重复,以保证信息传送次序的统一。 3.不可抵赖性(不可否认性) 信息的不可抵赖性是指信息的发送方不可否认已经发送的信 息,接收方也不可否认已经收到的信息。例如因市场价格的上涨, 卖方否认收到订单的日期或完全否认收到订单;再如网上购物者 订货后,不能谎称不是自己订的货等。因此,要求在交易信息的 传输过程中为参与交易的个人、企业或国家提供可靠的标识,使 原发送方在发送数据后不能抵赖,接收方在接收数据后也不能抵 赖。
16
16.02.2019
E -m ail 姓名/地址 内 部 网 询问 高级协议访问 IP 级数据组
E -m ail 处理 域名服务 网关 代理 认证 S ocks 过滤器 安全操作系统 防火墙 Internet
电子商务安全共95页PPT资料
07.01.2020
12
5.2电子商务系统可靠性
保证系统可靠性的措施
技术措施P160 人的因素 重点培训,管理系统
07.01.2020
13
5.3 信息加密技术
数据加密又称密码学,它是一门历史悠 久的技术,指通过加密算法和加密密钥 将明文转变为密文,而解密则是通过解 密算法和解密密钥将密文恢复为明文。 数据加密目前仍是计算机系统对信息进 行保护的一种最可靠的办法。它利用密 码技术对信息进行加密,实现信息隐蔽, 从而起到保护信息的安全的作用。
07.01.2020
19
5.3 信息加密技术
加密的类型
不考虑解密问题 对称加密 非对称加密
07.01.2020
20
5.3 信息加密技术
密码体制的要求
从截获的密文或明文-密文对,要确定密钥或任 意明文在计算机上是不可行的。
系统的保密性只依赖于密钥而不依赖于对加密体 制的保密,换句话说加密体制可以对外公开而不 影响系统的保密性。
07.01.2020
14
明文mi
密钥ki 加密算法E
密钥ki
密文ci=Eki(mi)
明文mi=Dki(ci ) 解密算法D
07.01.2020
15
加密技术
根据加密和解密密钥间的关系,加密技术分为
对称密钥加密体制,又称为私钥加密体制,这种加密 体制信息的发送方和接收方用同一个密钥去加密和解 密数据。
解密是加密的逆过程。
07.01.2020
17
5.3 信息加密技术
算法和密钥
算法是将普通的文本(或者可以理解的信息)与 一窜数字(密钥)的结合,产生不可理解的密文 的步骤,密钥是用来控制对数据进行编码和解码 方法的参数。
电子商务系统安全PPT资料37页
事故结果
评估 事故结果的影响 评估 分数
没有任何影响和损 1 夫;在损失预算 之内:风险可以 转移
企业内部的正常 3 运行受到影响超 出了损失预算: 存在机会成本
企业外部的生意 5 受到影响;对企 业财政有致命的 影响
损失在生意运作中 1 可以接受:或对企 业无较大的影响,
3 对企业的运转有不可
接受的影响
9.4.1识别企业信息资产
通过识别用户的信息资产,建立信息资 产列表。
企业信息资产包括:数据与文档、硬件, 软件,人员四个方面。
企业的信息资产
资产类型
说明
硬件
包括服务器、工作站、路由器、交换机、防火墙、入侵检测系统、 终端、打印机等整件设备,也包括主版、CPU、硬盘、显示器 等散件设备。
软件
对企业的经营管理有 5 不可接受的影响
风险评估结果
风险评估结果=危险评估×可见性评估 十事故结果评估×事故影响评估,
然后把“风险评估结果”用下面的值评 估。
●2~10:低风险 ●11~29:中等风险 ●30~50:高风险
风险评估举例
假设我们用Wi表示资源的重要性程度, 而用Ri表示资源面临的危险大小,
WR1+WR2+WR3 =16
9.4.3电子商务系统的安全需求分析
通过分析以下因素,可以定义电子商务 系统的安全需求:
●需要保护的资源。 ●资源面临的威胁。 ●威胁发生的机率。
9.4.4定义电子商务系统的安全 规划的范围
级别4:秘密信息。未授权的外部或内部 用户对这类数据的访问对公司是非常致 命的。
列出信息资产清单
在你开发安全方案之前,务必要列出属 于上述每个项目的每个信息资产的清单, 并确定所有相应的信息资源的安全级别 及相应的系统安全性需求。
电子商务安全概述 ppt课件
9
1.1.1电子商务的内涵
广义电子商务和狭义电子商务
ppt课件
10
1.1.1电子商务的内涵
电子商务内涵: 1.电子商务的本质是“商务”,是在“电子” 基础上的商务 2.电子商务的前提是商务信息化 3.电子商务的核心是人 4.电子商务是对传统商务的改良而不是革命 5.电子工具必定是现代化的 6.对象的变化也是至关重要的
2.系统运行安全 (1)风险分析 风险分析就是要对电子商务系统进行 人工或自动的风险分析。 (2)审计跟踪 审计跟踪就是要对电子商务系统进行 人工或自动的审计跟踪,保存审计记录和维护详尽 的审计日志。 (3)备份与恢复 运行安全中的备份与恢复,就是要 提供对系统设备和系统数据的备份与恢复。 (4)应急 运行安全中的应急措施,是为了在紧急事 件或安全事故发生时,提供保障电子商务系统继续 运行或紧急恢复所需要的策略。
ppt课件 36
1.2.3电子商务系统安全的构成
3.信息安全 信息安全是指防止信息财产被故意的或偶然的 非授权泄漏、更改、破坏或使信息被非法的 系统辨识、控制,信息安全要确保信息的完 整性、保密性、可用性和可控性。信息安全 由七个部分组成:
ppt课件
37
1.2.3电子商务系统安全的构成
3.信息安全 (1)操作系统安全 1) 安全操作系统:指从系统设计、实现和使 用等各个阶段都遵循了一套完整的安全策略 的操作系统。 2) 操作系统安全部件:操作系统安全部件的 目的是增强现有操作系统的安全性。
ppt课件
30
1.2.2电子商务的风险与安全问题
2.电子商务安全问题 (4)安全的法律保障问题 电子商务的技术设计是先进的、超前的、具有 强大的生命力,但同时也必须清楚地认识到, 在目前的法律上是没有现成的条文来保护电 子商务交易中的交易方式的,在网上交易可 能会承担由于法律滞后而带来的安全风险。
06电子商务安全交易PPT课件
24
字母 A
B
C
D
E
F
G
H
I
明文 X
Y
Z
A
B
C ???
如果密钥=3
attack at five
CVVCEM CV HKXG
25传统的映射ຫໍສະໝຸດ 换密码将明文中的符号,比如26个字母,简 单地映射到其他字母上。例如:
明
文
:
abcdefghijklmnopqrstuvwxyz 密
文
:
QWERTYUIOPASDFGHJKLZXCVB
27
最迟在公元9世纪,阿拉伯的密 码破译专家就已经娴熟地掌握了 用统计字母出现频率的方法来击 破简单替换密码。
28
第一次世界大战时期的密码
直到第一次世界大战结束为止,所有密码 都是使用手工来编码的。 解密一方正值春风得意之时,几百年来被 认为坚不可破的维吉耐尔(Vigenere)密码 和它的变种也被破解。而无线电报的发明, 使得截获密文易如反掌。 无论是军事方面还是民用商业方面都需要 一种可靠而又有效的方法来保证通讯的安 全。
三个部分:键盘、 转子和显示器。一 共有26个键,键盘 排列接近我们现在 使用的计算机键盘。
31
ENIGMA加密的关键:这不是一种简单替 换密码。同一个字母在明文的不同位置时, 可以被不同的字母替换,而密文中不同位 置的同一个字母,可以代表明文中的不同 字母,频率分析法在这里就没有用武之地 了。这种加密方式被称为“复式替换密 码”。
5
1997年7月,上海某证券系统被黑客人侵。同期西安 某银行系统被黑客入侵后,提走80.6万元现金。 1997年9月,扬州某银行被黑客攻击,利用虚存帐号 提走26万元现金。1999年4月26日的CIH病毒的爆发, 使我国4万多台电脑不能正常运行,大多数电脑的硬 盘数据被毁,国内很多企业的数据都或多或少地被 破坏。中国民航的20多台电脑曾被感染,其中在 1999年下半年的航班时刻表的数据被毁,使工作人 员4个多月的辛苦付之东流。可见网络黑客穷凶极恶、 利欲熏心,为了达到他们的丑恶目的,真是不择手 段。
字母 A
B
C
D
E
F
G
H
I
明文 X
Y
Z
A
B
C ???
如果密钥=3
attack at five
CVVCEM CV HKXG
25传统的映射ຫໍສະໝຸດ 换密码将明文中的符号,比如26个字母,简 单地映射到其他字母上。例如:
明
文
:
abcdefghijklmnopqrstuvwxyz 密
文
:
QWERTYUIOPASDFGHJKLZXCVB
27
最迟在公元9世纪,阿拉伯的密 码破译专家就已经娴熟地掌握了 用统计字母出现频率的方法来击 破简单替换密码。
28
第一次世界大战时期的密码
直到第一次世界大战结束为止,所有密码 都是使用手工来编码的。 解密一方正值春风得意之时,几百年来被 认为坚不可破的维吉耐尔(Vigenere)密码 和它的变种也被破解。而无线电报的发明, 使得截获密文易如反掌。 无论是军事方面还是民用商业方面都需要 一种可靠而又有效的方法来保证通讯的安 全。
三个部分:键盘、 转子和显示器。一 共有26个键,键盘 排列接近我们现在 使用的计算机键盘。
31
ENIGMA加密的关键:这不是一种简单替 换密码。同一个字母在明文的不同位置时, 可以被不同的字母替换,而密文中不同位 置的同一个字母,可以代表明文中的不同 字母,频率分析法在这里就没有用武之地 了。这种加密方式被称为“复式替换密 码”。
5
1997年7月,上海某证券系统被黑客人侵。同期西安 某银行系统被黑客入侵后,提走80.6万元现金。 1997年9月,扬州某银行被黑客攻击,利用虚存帐号 提走26万元现金。1999年4月26日的CIH病毒的爆发, 使我国4万多台电脑不能正常运行,大多数电脑的硬 盘数据被毁,国内很多企业的数据都或多或少地被 破坏。中国民航的20多台电脑曾被感染,其中在 1999年下半年的航班时刻表的数据被毁,使工作人 员4个多月的辛苦付之东流。可见网络黑客穷凶极恶、 利欲熏心,为了达到他们的丑恶目的,真是不择手 段。
电子商务安全安全电子交易协议资料精品PPT课件
(3)SET协议参与交易时,商家和持卡人可以相互 确定双方的身份,而SSL协议只有商家和银行对客 户身份的认证,缺少客户对商家的认证;
(4)SET协议要求软件遵循相同的协议和报文格式, 是不同的软件与邮件融合得操作功能,并可以运 行在不同的软件和操作平台上。
单选题:
1. SET用户证书不包括( D )。
付指令一同传送给商家。 ▪ 商家接收到持卡人证书后,能够在最低程度上验证该帐号。
2)商家证书
▪ 商家证书表明商家同金融机构有一定的关系,能够 接受支付卡品牌支付。
▪ 商家证书由商家金融机构数字签名,商家证书不能 被任何第三方修改,并且只能由金融机构产生。
▪ 每个商家对每个它接受的支付卡品牌拥有一对证书。
A. DES B. SET C. SMTP D. Email
7.下列选项中不属于Internet攻击类型的是 (D )
A.截断信息 B.伪造
C.纂改
D.磁盘损坏
8.下列选项中不属于VPN(虚拟专用网)的 优点的是( A )
A.传输速度快 B.网络结构灵活
C.管理简单 D.成本较低
9.认证机构通过电子证书机制来保证网上通信的合
A.安全电子支付协议 B.安全电子交易协议 C.安全电子邮件协议 D.安全套接层协议
5. 关于SET协议,以下说法不正确的是( B )
A. SET是“安全电子交易”的英文缩写 B. 属于网络对话层标准协议 C. 与SSL协议一起同时在被应用
D.规定了交易各方进行交易结算时的具体流程和安全控制 策略
6.为网站和银行之间通过互联网传输结算卡结算信息提 供安全保证的协议是( B )
11.SSL协议可以插入到Internet的应用协议
中,它位于Internet TCP/IP协议的哪个协
(4)SET协议要求软件遵循相同的协议和报文格式, 是不同的软件与邮件融合得操作功能,并可以运 行在不同的软件和操作平台上。
单选题:
1. SET用户证书不包括( D )。
付指令一同传送给商家。 ▪ 商家接收到持卡人证书后,能够在最低程度上验证该帐号。
2)商家证书
▪ 商家证书表明商家同金融机构有一定的关系,能够 接受支付卡品牌支付。
▪ 商家证书由商家金融机构数字签名,商家证书不能 被任何第三方修改,并且只能由金融机构产生。
▪ 每个商家对每个它接受的支付卡品牌拥有一对证书。
A. DES B. SET C. SMTP D. Email
7.下列选项中不属于Internet攻击类型的是 (D )
A.截断信息 B.伪造
C.纂改
D.磁盘损坏
8.下列选项中不属于VPN(虚拟专用网)的 优点的是( A )
A.传输速度快 B.网络结构灵活
C.管理简单 D.成本较低
9.认证机构通过电子证书机制来保证网上通信的合
A.安全电子支付协议 B.安全电子交易协议 C.安全电子邮件协议 D.安全套接层协议
5. 关于SET协议,以下说法不正确的是( B )
A. SET是“安全电子交易”的英文缩写 B. 属于网络对话层标准协议 C. 与SSL协议一起同时在被应用
D.规定了交易各方进行交易结算时的具体流程和安全控制 策略
6.为网站和银行之间通过互联网传输结算卡结算信息提 供安全保证的协议是( B )
11.SSL协议可以插入到Internet的应用协议
中,它位于Internet TCP/IP协议的哪个协