電子商務(wù)概論課程_電子商務(wù)安全技術(shù)

1、電子商務(wù)概論電子商務(wù)安全技術(shù)電子商務(wù)安全技術(shù)目目 錄錄 8.1 8.1 電子商務(wù)中安全要素及面臨的安全問題電子商務(wù)中安全要素及面臨的安全問題8.2 8.2 病毒及黑客防范技術(shù)病毒及黑客防范技術(shù)8.3 8.3 防火墻技術(shù)防火墻技術(shù)8.4 8.4 加密算法加密算法 8.5 8.5 基于公開密鑰體系的數(shù)字證書認證技術(shù)基于公開密鑰體系的數(shù)字證書認證技術(shù)8.6 8.6 安全套接層（安全套接層（sslssl）協(xié)議）協(xié)議8.7 8.7 安全電子交易（安全電子交易（setset）分析）分析8.8 windows 8.8 windows 系統(tǒng)中證書的應(yīng)用系統(tǒng)中證書的應(yīng)用8.9 8.9 信息安全管理信息安全管理8

2、.1 8.1 電子商務(wù)中安全要素及面臨的安全問題電子商務(wù)中安全要素及面臨的安全問題 8.1.1 電子商務(wù)的基本安全要素電子商務(wù)的基本安全要素 有效性 機密性 完整性 可靠性/不可抵賴性/可鑒別性 審查能力 8.1.2 電子商務(wù)中的安全問題電子商務(wù)中的安全問題 信息泄漏 竄改 身份識別問題 電腦病毒問題 黑客問題 8.1 8.1 電子商務(wù)中安全要素及面臨的安全問題電子商務(wù)中安全要素及面臨的安全問題 8.2 8.2 病毒及黑客防范技術(shù)病毒及黑客防范技術(shù) 8.2.1.單機病毒 dos病毒、windows病毒和宏病毒 8.2.2網(wǎng)絡(luò)病毒及其防范 特洛伊木馬和郵件病毒 8.2.3 網(wǎng)上炸彈及其防范 ip

3、炸彈、郵件炸彈、icq/qicq炸彈 8.3 8.3 防火墻技術(shù)防火墻技術(shù) 8.3.1 防火墻定義防火墻定義 防火墻是：防火墻是： 內(nèi)部網(wǎng)與外部網(wǎng)之間 安全防范 訪問控制機制 8.3.2 防火墻技術(shù)防火墻技術(shù) 數(shù)據(jù)包過濾 應(yīng)用網(wǎng)關(guān) 代理服務(wù) 8.3.3 防火墻技術(shù)的發(fā)展防火墻技術(shù)的發(fā)展8.4 8.4 加密算法加密算法 8.4.1對稱密鑰加密算法 des（data enercryption standard） 8.4.2非對稱密鑰加密算法 rsa（rivest shamirad1eman） 8.4.3散列函數(shù) md-5、sha 8.4 8.4 加密算法加密算法 8.4.4 8.4.4 一種組合的

4、加密協(xié)議加密過程：一種組合的加密協(xié)議加密過程：8.4.5 8.4.5 一種組合的加密協(xié)議解密過程：一種組合的加密協(xié)議解密過程：8.5 8.5 基于公開密鑰體系體系的數(shù)字證書認證技術(shù)基于公開密鑰體系體系的數(shù)字證書認證技術(shù) 8.5.1 公開密鑰體系的定義公開密鑰體系的定義 公開密鑰體系公開密鑰體系（public key infrastructure：pki），），是一種遵循既定標準的密鑰管理平臺，是為網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所需密鑰和證書的管理體系。 8.5.2 ca認證中心及數(shù)字證書認證中心及數(shù)字證書 ca是一個負責(zé)發(fā)放和管理數(shù)字證書的權(quán)威機構(gòu) 8.5.3 數(shù)字證書類型數(shù)字證書類型

5、 個人身份證書 企業(yè)身份證書 服務(wù)器身份證書 企業(yè)代碼簽名證書 安全電子郵件證書 8.5 8.5 基于公開密鑰體系體系的數(shù)字證書認證技術(shù)基于公開密鑰體系體系的數(shù)字證書認證技術(shù) 8.6 8.6 安全套接層（安全套接層（sslssl）協(xié)議）協(xié)議 8.6.1 概述概述 ssl(secure sockets layer)安全套接層協(xié)議： 提供了兩臺計算機之間的安全連接，對整個會話進行了加密，從而保證了安全傳輸 ssl協(xié)議分為兩層：ssl握手協(xié)議和ssl記錄協(xié)議 8.6.2 ssl協(xié)議安全連接特點協(xié)議安全連接特點：(1)連接是保密的(2)連接是可靠的 (3)對端實體的鑒別采用非對稱密碼體制進行認證。 8

6、.6 8.6 安全套接層（安全套接層（sslssl）協(xié)議）協(xié)議 sslssl握手協(xié)議握手協(xié)議sslssl記錄協(xié)議記錄協(xié)議 內(nèi)容類型 協(xié)議版本號 長度 數(shù)據(jù)有效載荷 信息驗證碼 8.7 8.7 安全電子交易安全電子交易setset分析分析 8.7.1 安全電子商務(wù)模型安全電子商務(wù)模型internetinternet支付網(wǎng)絡(luò)證書權(quán)威機構(gòu)支付網(wǎng)關(guān)支付者發(fā)卡者持卡人商家 8.7.2 set的購物流程的購物流程 8.7.3 set的認證的認證8.7 8.7 安全電子交易安全電子交易setset分析分析 8.8 windows 8.8 windows 系統(tǒng)中證書的應(yīng)用系統(tǒng)中證書的應(yīng)用 8.8.1 在在wi

7、ndows系統(tǒng)中使用個人數(shù)字證書系統(tǒng)中使用個人數(shù)字證書 8.8.2 服務(wù)器證書申請及安裝服務(wù)器證書申請及安裝 8.8.3 windows2000系統(tǒng)中證書服務(wù)的安裝系統(tǒng)中證書服務(wù)的安裝 8.9 8.9 信息安全管理信息安全管理 8.9.1 建立信息安全管理體系的作用與意義建立信息安全管理體系的作用與意義 信息安全管理體系isms （information securitry management systems）是組織在整體或特定范圍內(nèi)建立信息安全方針和目標，以及完成這些目標所用方法的體系。 建立信息安全管理體系產(chǎn)生的作用： 1強化員工的信息安全意識，規(guī)范組織信息安全行為； 2對組織的關(guān)鍵信息

8、資產(chǎn)進行全面系統(tǒng)的保護，維持競爭優(yōu)勢； 3在信息系統(tǒng)受到侵襲時，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度； 4使組織的生意伙伴和客戶對組織充滿信心； 5如果通過體系認證，表明體系符合標準，證明組織有能力保障重要信息，提高組織的知名度與信任度； 6促使管理層堅持貫徹信息安全保障體系。8.9 8.9 信息安全管理信息安全管理 8.9.2 我國信息安全管理現(xiàn)狀我國信息安全管理現(xiàn)狀 1 缺乏權(quán)威、統(tǒng)一立法管理機構(gòu)，致使一些信息安全管理方面的法律法規(guī)不成體系和執(zhí)行難度較大。2在it系統(tǒng)建設(shè)過程中沒有充分考慮，導(dǎo)致后期安全建設(shè)和管理工作比較被動，同時業(yè)務(wù)的發(fā)展及it的建設(shè)與信息安全管理建設(shè)不對稱；3目前現(xiàn)狀多

9、局限于局部性地使用安全產(chǎn)品，或使用有洞補洞的方式被動地解決問題，缺乏科學(xué)的、全面的安全管理規(guī)劃；8.9 8.9 信息安全管理信息安全管理4目前的技術(shù)人員多偏重于網(wǎng)路、主機及應(yīng)用系統(tǒng)開發(fā)，安全管理的力量薄弱；5缺少法律法規(guī)的約定方法去進行管理。6信息安全管理應(yīng)該是全員參與領(lǐng)導(dǎo)支持，但是多數(shù)企業(yè)的領(lǐng)導(dǎo)還是沒有時間和精力顧及這方面的工作。8.9 8.9 信息安全管理信息安全管理 8.9.3 信息安全管理標準信息安全管理標準1國際信息安全管理標準 iso/iec13335、iso/iec 27000系列 2、我國信息安全管理相關(guān)標準 gb17895-1999計算機信息系統(tǒng)安全保護等級劃分準則gb/t 18336:2001 信息技術(shù)安全性評估準則 gb/t 20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求 8.9 8.9 信息安全管理信息安全管理8.9.4 8.9.4 信息安全管理體系模型信息安全管理體系模型 pdca模型 8.9.5 信息安全管理體系建設(shè)思路信息安全管理體系建設(shè)思路建立信息安全管理體系的主要步驟：1信息安全管理體系策劃與準備2確定信息安全管理體系適用的范圍 3現(xiàn)狀調(diào)查與風(fēng)險評估 4建立信息安全管理框架 5信息安全管理體系文件編寫 6信息安全管理體系的運行與改進