電子商務(wù)概論課程電子商務(wù)安全技術(shù)

1、電子商務(wù)概論電子商務(wù)安全技術(shù)電子商務(wù)安全技術(shù)目目 錄錄 8.1 8.1 電子商務(wù)中安全要素及面臨的安全問題電子商務(wù)中安全要素及面臨的安全問題8.2 8.2 病毒及黑客防范技術(shù)病毒及黑客防范技術(shù)8.3 8.3 防火墻技術(shù)防火墻技術(shù)8.4 8.4 加密算法加密算法 8.5 8.5 基于公開密鑰體系的數(shù)字證書認(rèn)證技術(shù)基于公開密鑰體系的數(shù)字證書認(rèn)證技術(shù)8.6 8.6 安全套接層（安全套接層（sslssl）協(xié)議）協(xié)議8.7 8.7 安全電子交易（安全電子交易（setset）分析）分析8.8 windows 8.8 windows 系統(tǒng)中證書的應(yīng)用系統(tǒng)中證書的應(yīng)用8.9 8.9 信息安全管理信息安全管理8

2、.1 8.1 電子商務(wù)中安全要素及面臨的安全問題電子商務(wù)中安全要素及面臨的安全問題 8.1.1 電子商務(wù)的基本安全要素電子商務(wù)的基本安全要素 有效性 機(jī)密性 完整性 可靠性/不可抵賴性/可鑒別性 審查能力 8.1.2 電子商務(wù)中的安全問題電子商務(wù)中的安全問題 信息泄漏 竄改 身份識(shí)別問題 電腦病毒問題 黑客問題 8.1 8.1 電子商務(wù)中安全要素及面臨的安全問題電子商務(wù)中安全要素及面臨的安全問題 8.2 8.2 病毒及黑客防范技術(shù)病毒及黑客防范技術(shù) 8.2.1.單機(jī)病毒 dos病毒、windows病毒和宏病毒 8.2.2網(wǎng)絡(luò)病毒及其防范 特洛伊木馬和郵件病毒 8.2.3 網(wǎng)上炸彈及其防范 ip

3、炸彈、郵件炸彈、icq/qicq炸彈 8.3 8.3 防火墻技術(shù)防火墻技術(shù) 8.3.1 防火墻定義防火墻定義 防火墻是：防火墻是： 內(nèi)部網(wǎng)與外部網(wǎng)之間 安全防范 訪問控制機(jī)制 8.3.2 防火墻技術(shù)防火墻技術(shù) 數(shù)據(jù)包過濾 應(yīng)用網(wǎng)關(guān) 代理服務(wù) 8.3.3 防火墻技術(shù)的發(fā)展防火墻技術(shù)的發(fā)展8.4 8.4 加密算法加密算法 8.4.1對(duì)稱密鑰加密算法 des（data enercryption standard） 8.4.2非對(duì)稱密鑰加密算法 rsa（rivest shamirad1eman） 8.4.3散列函數(shù) md-5、sha 8.4 8.4 加密算法加密算法 8.4.4 8.4.4 一種組合的

4、加密協(xié)議加密過程：一種組合的加密協(xié)議加密過程：8.4.5 8.4.5 一種組合的加密協(xié)議解密過程：一種組合的加密協(xié)議解密過程：8.5 8.5 基于公開密鑰體系體系的數(shù)字證書認(rèn)證技術(shù)基于公開密鑰體系體系的數(shù)字證書認(rèn)證技術(shù) 8.5.1 公開密鑰體系的定義公開密鑰體系的定義 公開密鑰體系公開密鑰體系（public key infrastructure：pki），），是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái)，是為網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所需密鑰和證書的管理體系。 8.5.2 ca認(rèn)證中心及數(shù)字證書認(rèn)證中心及數(shù)字證書 ca是一個(gè)負(fù)責(zé)發(fā)放和管理數(shù)字證書的權(quán)威機(jī)構(gòu) 8.5.3 數(shù)字證書類型數(shù)字證書類型

5、 個(gè)人身份證書 企業(yè)身份證書 服務(wù)器身份證書 企業(yè)代碼簽名證書 安全電子郵件證書 8.5 8.5 基于公開密鑰體系體系的數(shù)字證書認(rèn)證技術(shù)基于公開密鑰體系體系的數(shù)字證書認(rèn)證技術(shù) 8.6 8.6 安全套接層（安全套接層（sslssl）協(xié)議）協(xié)議 8.6.1 概述概述 ssl(secure sockets layer)安全套接層協(xié)議： 提供了兩臺(tái)計(jì)算機(jī)之間的安全連接，對(duì)整個(gè)會(huì)話進(jìn)行了加密，從而保證了安全傳輸 ssl協(xié)議分為兩層：ssl握手協(xié)議和ssl記錄協(xié)議 8.6.2 ssl協(xié)議安全連接特點(diǎn)協(xié)議安全連接特點(diǎn)：(1)連接是保密的(2)連接是可靠的 (3)對(duì)端實(shí)體的鑒別采用非對(duì)稱密碼體制進(jìn)行認(rèn)證。 8

6、.6 8.6 安全套接層（安全套接層（sslssl）協(xié)議）協(xié)議 sslssl握手協(xié)議握手協(xié)議sslssl記錄協(xié)議記錄協(xié)議 內(nèi)容類型 協(xié)議版本號(hào) 長(zhǎng)度 數(shù)據(jù)有效載荷 信息驗(yàn)證碼 8.7 8.7 安全電子交易安全電子交易setset分析分析 8.7.1 安全電子商務(wù)模型安全電子商務(wù)模型internetinternet支付網(wǎng)絡(luò)證書權(quán)威機(jī)構(gòu)支付網(wǎng)關(guān)支付者發(fā)卡者持卡人商家 8.7.2 set的購(gòu)物流程的購(gòu)物流程 8.7.3 set的認(rèn)證的認(rèn)證8.7 8.7 安全電子交易安全電子交易setset分析分析 8.8 windows 8.8 windows 系統(tǒng)中證書的應(yīng)用系統(tǒng)中證書的應(yīng)用 8.8.1 在在wi

7、ndows系統(tǒng)中使用個(gè)人數(shù)字證書系統(tǒng)中使用個(gè)人數(shù)字證書 8.8.2 服務(wù)器證書申請(qǐng)及安裝服務(wù)器證書申請(qǐng)及安裝 8.8.3 windows2000系統(tǒng)中證書服務(wù)的安裝系統(tǒng)中證書服務(wù)的安裝 8.9 8.9 信息安全管理信息安全管理 8.9.1 建立信息安全管理體系的作用與意義建立信息安全管理體系的作用與意義 信息安全管理體系isms （information securitry management systems）是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。 建立信息安全管理體系產(chǎn)生的作用： 1強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為； 2對(duì)組織的關(guān)鍵信息

8、資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競(jìng)爭(zhēng)優(yōu)勢(shì)； 3在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度； 4使組織的生意伙伴和客戶對(duì)組織充滿信心； 5如果通過體系認(rèn)證，表明體系符合標(biāo)準(zhǔn)，證明組織有能力保障重要信息，提高組織的知名度與信任度； 6促使管理層堅(jiān)持貫徹信息安全保障體系。8.9 8.9 信息安全管理信息安全管理 8.9.2 我國(guó)信息安全管理現(xiàn)狀我國(guó)信息安全管理現(xiàn)狀 1 缺乏權(quán)威、統(tǒng)一立法管理機(jī)構(gòu)，致使一些信息安全管理方面的法律法規(guī)不成體系和執(zhí)行難度較大。2在it系統(tǒng)建設(shè)過程中沒有充分考慮，導(dǎo)致后期安全建設(shè)和管理工作比較被動(dòng)，同時(shí)業(yè)務(wù)的發(fā)展及it的建設(shè)與信息安全管理建設(shè)不對(duì)稱；3目前現(xiàn)狀多

9、局限于局部性地使用安全產(chǎn)品，或使用有洞補(bǔ)洞的方式被動(dòng)地解決問題，缺乏科學(xué)的、全面的安全管理規(guī)劃；8.9 8.9 信息安全管理信息安全管理4目前的技術(shù)人員多偏重于網(wǎng)路、主機(jī)及應(yīng)用系統(tǒng)開發(fā)，安全管理的力量薄弱；5缺少法律法規(guī)的約定方法去進(jìn)行管理。6信息安全管理應(yīng)該是全員參與領(lǐng)導(dǎo)支持，但是多數(shù)企業(yè)的領(lǐng)導(dǎo)還是沒有時(shí)間和精力顧及這方面的工作。8.9 8.9 信息安全管理信息安全管理 8.9.3 信息安全管理標(biāo)準(zhǔn)信息安全管理標(biāo)準(zhǔn)1國(guó)際信息安全管理標(biāo)準(zhǔn) iso/iec13335、iso/iec 27000系列 2、我國(guó)信息安全管理相關(guān)標(biāo)準(zhǔn) gb17895-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則gb/t 18336:2001 信息技術(shù)安全性評(píng)估準(zhǔn)則 gb/t 20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求 8.9 8.9 信息安全管理信息安全管理8.9.4 8.9.4 信息安全管理體系模型信息安全管理體系模型 pdca模型 8.9.5 信息安全管理體系建設(shè)思路信息安全管理體系建設(shè)思路建立信息安全管理體系的主要步驟：1信息安全管理體系策劃與準(zhǔn)備2確定信息安全管理體系適用的范圍 3現(xiàn)狀調(diào)查與風(fēng)險(xiǎn)評(píng)估 4建立信息安全管理框架 5信息安全管理體系文件編寫 6信息安全管理體系的運(yùn)行與改進(jìn)