,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第4章 电子商务的安全管理,*,第四章 电子商务安全管理,11/15/2024,1,第4章 电子商务的安全管理,第四章 电子商务安全管理cct,内容提要,4.1,电子商务的安全要求,4.2,客户认证,4.3,安全管理制度,4.4,法律制度,4.5,其他安全措施,4.6,容灾备份,课前故事,网络上,的肉鸡,11/15/2024,2,第4章 电子商务的安全管理,内容提要4.1 电子商务的安全要求10/7/20232第4,4.1 电子商务的安全要求,一、电子商务存在的安全隐患,二、电子商务安全风险的来源,三、实施电子商务的安全要求,11/15/2024,3,第4章 电子商务的安全管理,4.1 电子商务的安全要求10/7/20233第4章,一、,电子商务存在的安全隐患,1.,电子商务系统的安全隐患,数据的安全,2.,电子商务交易,过程,中,的,安全隐患,（,1,）购买者,（,2,）销售者,11/15/2024,4,第4章 电子商务的安全管理,一、电子商务存在的安全隐患1.电子商务系统的安全隐患10/7,购买者存在的安全隐患,虚假,产品,付款后不能收到商品,机密性丧失,拒绝服务,11/15/2024,5,第4章 电子商务的安全管理,购买者存在的安全隐患10/7/20235第4章 电子商务的,销售者存在的安全隐患,中央系统安全性被破坏,客户资料被竞争者获悉,被他人假冒而损害公司的信誉,消费者提交订单后不付款,虚假订单,11/15/2024,6,第4章 电子商务的安全管理,销售者存在的安全隐患10/7/20236第4章 电子商务的,二、电子商务安全风险的来源,1.,信息传输风险,2.,信用风险,3.,管理方面的风险,4.,法律方面的风险,11/15/2024,7,第4章 电子商务的安全管理,二、电子商务安全风险的来源10/7/20237第4章 电子,信息传输风险,信息传输风险含义,信息传输风险来源,冒名偷窃,篡改数据,信息丢失,信息传递过程中的破坏,虚假信息,11/15/2024,8,第4章 电子商务的安全管理,信息传输风险信息传输风险含义10/7/20238第4章 电,信用风险,信用风险来源,来自买方的信用风险,来自卖方的信用风险,买卖双方都存在抵赖的情况,信用风险特点,传统可以控制风险；网上交易更加依赖信用体系，同时信用体系也更加脆弱,11/15/2024,9,第4章 电子商务的安全管理,信用风险信用风险来源10/7/20239第4章 电子商务的,管理方面的风险,网上交易管理风险,交易流程管理风险,人员管理风险,交易技术管理风险,11/15/2024,10,第4章 电子商务的安全管理,管理方面的风险网上交易管理风险10/7/202310第4章,法律方面的风险,法律滞后风险,法律调整风险,11/15/2024,11,第4章 电子商务的安全管理,法律方面的风险10/7/202311第4章 电子商务的安全,三、实施电子商务的安全要求,1.,有效性,2.,机密性,3.,完整性,4.,真实性和不可抵赖性的鉴别,防范思路,技术方面的考虑,制度方面的考虑,法规政策与法律保障,11/15/2024,12,第4章 电子商务的安全管理,三、实施电子商务的安全要求1.有效性10/7/202312第,4.2 客户认证,一、信息认证,二、身份认证,三、网络中的身份认证,PKI,四、,CA,中心,五、网络中身份认证的实现,六、综合应用举例,11/15/2024,13,第4章 电子商务的安全管理,4.2 客户认证一、信息认证10/7/202313第4,一、信息认证,1.,什么是信息认证？,2.,信息认证的要求,保证信息内容的保密性,保证数据的完整性,对数据和信息的来源进行验证，以确保发信人的身份,3.,信息认证的实现方式,采用私密（对称）密钥加密系统,(Secret Key Encryption),公开（非对称）密钥加密系统,(Public Key Encryption),两者相结合的方式,11/15/2024,14,第4章 电子商务的安全管理,一、信息认证1.什么是信息认证？10/7/202314第4章,加密和解密过程,明,文,密,文,明,文,密,文,加密算法,加 密,解密算法,解 密,网络发送,发送者,网络,接收者,11/15/2024,15,第4章 电子商务的安全管理,加密和解密过程明密明密加密算法解密算法网络发送发送者网络接收,对称密钥密码体制与,DES,算法,1.,对称密钥密码体制,2.DES(Data Encryption Standard),3.DES,的,加密与解密过程,4.,DES,的优势和劣势,11/15/2024,16,第4章 电子商务的安全管理,对称密钥密码体制与DES算法10/7/202316第4章,非对称密钥密码体制与,RSA,算法,1.,非对称密钥密码体制,2.,RSA,（,Rivest,Shamir,Adleman,）,3.RSA,的,加密与解密过程,4.RSA,的优势和劣势,5.DES,与,RSA,的互补应用,11/15/2024,17,第4章 电子商务的安全管理,非对称密钥密码体制与RSA算法10/7/202317第4章,二、身份认证,1.,什么是身份认证？,2.,身份认证的功能,可信性,完整性,不可抵赖性,访问控制,3.,传统身份认证的方式,所知、所有、个人特征或者混合,11/15/2024,18,第4章 电子商务的安全管理,二、身份认证1.什么是身份认证？10/7/202318第4章,三、网络中的身份认证,PKI,1.,什么是,PKI,公钥基础设施,PKI,（,Public Key Infrastructure,），是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，,PKI,就是利用公钥理论和技术建立的提供安全服务的基础设施。,11/15/2024,19,第4章 电子商务的安全管理,三、网络中的身份认证PKI1.什么是PKI10/7/20,三、网络中的身份认证,PKI,2.PKI,的组成,（,1,）认证机构,(CA),（,2,）数字证书库,（,3,）密钥备份及恢复系统,（,4,）证书作废系统,（,5,）应用接口（,API,）,11/15/2024,20,第4章 电子商务的安全管理,三、网络中的身份认证PKI2.PKI的组成10/7/20,三、网络中的身份认证,PKI,3.PKI,要解决的问题,（,1,）,数据的机密性（,Confidentiality,）,（,2,）,数据的完整性（,Integrity,）,（,3,）,身份验证性（,Authentication,）,（,4,）,不可抵赖性（,Non-Repudiation,）,4.PKI,的基础技术,加密、数字签名、数据完整性机制、数字信封、双重数字签名等,11/15/2024,21,第4章 电子商务的安全管理,三、网络中的身份认证PKI3.PKI要解决的问题10/7,四、,CA,中心,1.,什么是,CA,（,Certified Authentication,）,认证机构（中心）？,2.,认证中心的基本原理,顾客向,CA,申请证书，证书包含了顾客的名字和他的公钥，以此作为网上证明自己身份的依据,做交易时，应向对方提交一个由,CA,中心,签发的包含个人身份的证书，以使对方相信自己的身份,CA,中心负责证书的发放、验收，并作为中介承担信用连带责任,11/15/2024,22,第4章 电子商务的安全管理,四、CA中心1.什么是CA（Certified Authen,四、,CA,中心（,2,）,3.,认证中心的工作职能,（,1,）接收验证最终用户数字证书的申请,（,2,）证书审批,（,3,）证书发放,（,4,）证书的更新,（,5,）接收最终用户数字证书的查询、撤销,（,6,）产生和发布证书废止列表（,CRL,）,（,7,）数字证书的归档,（,8,）密钥归档,（,9,）历史数据归档,11/15/2024,23,第4章 电子商务的安全管理,四、CA中心（2）3.认证中心的工作职能10/7/20232,五、网络中身份认证的实现,1.,数字证书,数字证书,又称为数字标识，是网络通讯中标志通讯各方身份信息的一系列数据，它是一个经证书授权中心,CA,（,Certificate Authority,）数字签名的包含公开密钥拥有者信息以及公开密钥的文件,举例：数字证书,申请表,、,责任书,11/15/2024,24,第4章 电子商务的安全管理,五、网络中身份认证的实现1.数字证书10/7/202324第,五、网络中身份认证的实现（,2,）,2.,数字证书的作用,数据的机密性,数据的完整性,身份鉴别性,不可否认性,3.,数字证书的主要应用,4.,数字证书的分类,11/15/2024,25,第4章 电子商务的安全管理,五、网络中身份认证的实现（2）2.数字证书的作用10/7/2,五、网络中身份认证的实现（,3,）,5.,数字签名,（,1,）,数字签名的概念与作用,（,2,）,数字签名的过程,6.,双重签名,（,1,）双重签名的概念与作用,（,2,）,双重签名的过程,7.,数字证书使用举例（,申请,、,使用,、,查询,）,11/15/2024,26,第4章 电子商务的安全管理,五、网络中身份认证的实现（3）5.数字签名10/7/2023,六、综合应用举例,公司,A,、,B,需要通过认证中心的数字证书来实现数据交换和客户认证（,举例,）,思考：,1.,他们之间的数据交换过程是如何进行的？,2.,他们之间的客户认证过程是如何进行的？,3.,这个过程用到了哪些手段或者工具？,11/15/2024,27,第4章 电子商务的安全管理,六、综合应用举例公司A、B需要通过认证中心的数字证书来实现数,4.3,安全管理制度,一、人员管理制度,二、保密制度,三、跟踪、审计、稽核制度,四、网络系统的日常维护制度,五、病毒防范制度,11/15/2024,28,第4章 电子商务的安全管理,4.3 安全管理制度10/7/202328第4章 电子商,一、人员管理制度,1.,管理方法,对有关人员进行上岗培训,落实工作责任制，违反网上交易安全规定的行为应坚决进行打击并及时的处理,2.,安全运作基本原则,双人负责原则,任期有限原则,最小权限原则,11/15/2024,29,第4章 电子商务的安全管理,一、人员管理制度1.管理方法10/7/202329第4章,二、保密制度,1.,划分信息的安全级别，确定安全防范重点,绝密级,机密级,秘密级,2.,对密钥进行管理,11/15/2024,30,第4章 电子商务的安全管理,二、保密制度10/7/202330第4章 电子商务的安全管,三、跟踪、审计、稽核制度,1.,跟踪制度,2.,审计制度,3.,稽核制度,11/15/2024,31,第4章 电子商务的安全管理,三、跟踪、审计、稽核制度10/7/202331第4章 电子,四、网络系统的日常维护制度,1.,对于可管设备,2.,对于不可管设备,3.,定期进行数据备份,11/15/2024,32,第4章 电子商务的安全管理,四、网络系统的日常维护制度 10/7/202332,五、病毒防范制度,1.,病毒,2.,主要通过采用防病毒软件进行防毒,3,.,应用于网络的防病毒软件有两种,一种是单机版防病毒产品,一种是联机版防病毒产品,4,.,防毒软件的发展趋势,11/15/2024,33,第4章 电子商务的安全管理,五、病毒防范制度1.病毒10/7/202333第4章 电子,4.4,法律制度,1.,涉及法律问题：合同的执行、赔偿、个人隐私、资金安全、知识产权保护、税收等问题,2.,美国保证电子商务安全的相关法律,统一商业法规（,UCC,）,电子支付的法律制度,信息安全的法律制度,消费者权益保护的法律制度,11/15/2024,34,第4章 电子商务的安全管理,4.4 法律制度1.涉及法律问