《移动商务基础》PPT教学课件第6章移动商务安全应对.pptx

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2/24/2018,#,王忠元 主编,ISBN,：,978-7-300-25242-1,出版时间：,2018-01-31,第六章 移动商务安全应对,本章学习目标,能够分析移动商务的安全问题,能够说明移动商务的安全信任机制,能够描述移动终端的安全问题及预防技术,能够使用免费的移动安全软件解决移动设备的基本安全问题,形成移动电子商务安全意识,1,2,3,4,5,一、案例导入,中国银联发布了,2016,移动支付安全调查报告。连续第九年跟踪持卡人支付习惯及风险偏好，为您权威展现支付安全领域的最新动向。通过的调查，移动互联网安全领域有新的趋势：一是金融支付与科技创新深度融合，支付产品及场景更加丰富，支付更加简单、安全、方便；二是用户因此对移动支付的接受程度快速提高，移动支付已成为普惠金融的重要载体；三是服务体验不断优化，持卡人支付安全更有保障，自担风险获显著改善。,二、本章预演,预演任务：通过总结身边人和自身经历、新闻报道及查阅网络资料，总结目前存在的各种网络安全问题及隐患，通过讨论完成下面的表格,类型,原因,应对方法,移动商务存在的安全隐患,典型的移动商务安全事件,第一节,移动商务安全概述,移动通信技术从,1G,发展到,4G,的过程，也是移动网络的安全机制不断完善的过程。第一代移动通信系统几乎没有采取任何安全措施，移动台把其电子序列号,(ESN),和网络分配的移动台识别号,(MIN),以明文方式传送至网络，若二者相符，即可实现用户的接入，但用户面临的最大威胁是自己的手机有可能被克隆。第二代数字蜂窝移动通信系统,(2G),采用了基于私钥密码体制。这种机制在身份认证及加密算法等方面存在着许多安全隐患，同样面临着克隆、数据完整性、拒绝服务攻击等安全威胁。第三代和第四代移动通信系统,(3G/4G),在,2G,的基础上进行了改进，继承了,2G,系统安全的优点，同时针对,3G/4G,系统的新特性，定义了更加完善的安全特征与鉴权服务。,第一,节 移动商务安全概述,一、移动互联网安全概述,移动商务的迅速发展得益于移动通信之所以得到广泛应用，是因为移动通信网络的建设不像有线网络那样受地理环境限制，移动用户也不像有线通信电缆的限制，而是可以在移动中进行通信。移动通信网络的这些优势都是来自于它们所采用的无线通信信道，而无线信道是一个开放性信道，它在赋予移动用户通信自由的同时也带来一些不安全性因素，如通信内容容易被窃听，通信内容可以被更改、通信用户身份可能被假冒等。,1,、无线窃听,2,、漫游安全,3,、假冒攻击,4,、完整性侵害,5,、业务抵赖,6,、窃取和丢失,7,、恶意代码,移动互联网典型的安全威胁,第一节 移动商务安全概述,二、移动商务的安全需求,1,、保密性和身份认证需求,2,、数据信息完整性,3,、不可否认性,4,、匿名性,5,、容错能力,第一节 移动商务安全概述,三、移动电子商务安全现状,1.,移动电子商务安全存在的主要问题,（,1,）核心技术的缺乏,（,2,）互联网以美国为中心的架构在短期内无法改变,（,3,）企业信息安全在移动互联网环境下受到极大挑战,2.,移动电子商务的安全技术,（,1,）完整性保护技术,（,2,）真实性保护技术,（,3,）机密性保护技术,（,4,）抗抵赖技术,（,5,）其他安全技术,（,密钥交换协议,；,认证协议,；,认证密钥交换协议,；,电子商务协议,）,第一节 移动商务安全概述,四、我国移动电子商务安全发展策略,（,1,）在国家层面，通过不断完善相应法律法规，建立信息安全的法律和政策框架。通过加大对信息产业的投入，逐步建立自主的技术路线、标准和体制，事实掌握信息产业发展的话语权。突破以核心芯片为代表的关键技术，推动自主可控移动互联网生态系统的建设。,（,2,）在企业层面上，积极应对移动办公带来的信息安全挑战，研究移动办公安全体系及架构，以云计算、安全终端等关键技术为突破口，建立健全发展自主可控的，包括终端自身安全、接入安全和传输安全完整移动办公解决方案。,（,3,）在个人层面上，依托国家法律法规，在工业界提供移动互联网安全解决方案的基础上，加大信息安全知识宣传推广，提高个人信息安全保护意识，由点到面，自下而上的提高移动互联网信息安全整体水平。,第二节,移动商务信任机制及行业自律,在,3G/4G,技术的推动下，我国移动互联网和移动商务发展步入了高速增长期，移动终端用户和网民数量持续新高，手机网站也如雨后春笋，产业发展迎来了关键时刻。然而面对庞大的市场诱惑，不少手机网站和内容服务商为了短期利益而弃行业健康发展不顾，低俗不良之风也悄然蔓延，给移动互联网发展带来了恶劣的影响。日前，由信息名址服务管理中心发起的诚信经营、文明自律、绿色健康、和谐发展倡议得到了众多移动互联网内容服务商的积极响应，百家企业共同签署了行业自律公约，致力于推动整个产业积极、健康、和谐发展。,第二节 移动商务信任机制及行业自律,一,、移动商务交易信任机制,移动商务交易中的信任是指网上消费者对在线交易的总体信任，它分为广义和狭义两种。狭义的信任机制局限于网络平台的技术手段的研究，一般分为基于身份的信任模型、基于角色的信任模型、自动信任协商模型、基于名誉的信任模型。广义的信任机制是指电子商务交易系统中构成、影响相互信任关系的各部分及它们之间的作用方式，以及为促进和维持信任关系所发生的相关作用方式和所有手段、方法等。在这一机制中主要涉及交易主体（网上企业和消费者）及在交易过程中起保护和支持作用的第三方机构（如银行、政府等）。,1,、从政府的角度,2,、从企业的角度,3,、从交易伙伴的角度,第二节 移动商务信任机制及行业自律,二,、移动商务行业自律,2009,年,12,月，包括、百度、神州数码、新网互联等知名企业在内的,100,多家移动互联网内容服务商共同联合签署了诚信经营、文明自律、绿色健康、和谐发展倡议书，成为我国移动互联网行业的第一份自律宣言，得到了业界的大力支持和响应，不少手机用户也认为此举对净化手机上网将产生积极的影响。,第三节 移动终端安全,当前电子商务信息安全已越来越受到人们的关注，移动终端作为用户使用移动商务的工具，作为存储用户个人信息的载体，在信息安全方面要配合移动网络保证移动业务的安全，要实现移动网络与移动终端之间通信通道的安全可靠，同时还要保证用户个人私密信息的安全。随着移动终端的普及率和使用率越来越高，各种安全问题也日益突显,。,第三节 移动终端安全,一、移动终端操作系统安全技术,针对,移动终端操作系统,攻击的一般对策主要包括：,(l),定时更新操作系统，安装升级补丁，备份系统。,(2),安装杀毒软件和防火墙，不接收未知的信息，不随便开启蓝牙等通信功能。,(3),设置程序行为监控机制，记录分析程序的操作是否安全合法等。,(1),病毒。,(2),蠕虫。,(3),木马。,(4),拒绝服务攻击,(DOS),。,第三节 移动终端安全,二、移动终端安全认证,1,、移动终端安全中间件,包含证书的生命周期管理、传输加密、身份认证等功能，可集成到应用,APP,中提供全面的认证用户管理功能。提供认证计费功能，用于商业运营使用。可分为按次认证、包年认证等模式,2,、支持多种证书存储介质,支持多形态的,KEY,，包括蓝牙,KEY,，音频,KEY,，双接口,KEY,等和,SD/TF,卡、文件方式存储数字证书，保证证书的安全性。提供终端软件上传功能，支持病毒扫描、邮件通知、短信通知、认证审核、软件入库等功能,3,、移动终端系统,移动终端系统上可以对数字证书进行管理,，通过数字证书实现强身份认证、数据加密等安全功能，支持对本地文件进行加解密。提供终端软件签名功能，可支持多种平台。提供软件入库、查询等功能,第三节 移动终端安全,三、移动终端存储信息的备份与恢复,1,信息备份,(l),完全备份,(Full Backup),(2),增量备份,(Incremental Backup),(3),差分备份,(Differential Backup),2,信息恢复,信息恢复是指对由于操作失误或移动终端系统故障造成数据丢失的那些信息进行恢复。实现信息恢复主要靠软件技术、硬件技术及二者的结合。,第四节,手机病毒,手机病毒和电脑病毒一样，一般也是人为制造出来的，,“,手机黑客,”,炮制其作品后，让其在手机中间扩散，对手机产生破坏，有些病毒纯粹是恶作剧，例如，让手机不断出现某种怪异的铃声，但有些病毒则是抱着窃取商业资料的目的，例如，把用户的电话本资料远程窃取，相对而言，后者的危害更大。,第四节 手机病毒,一、手机病毒的定义,手机病毒（,cell phone virus/mobile virus/mobile worm,）是在手机上的一种可执行程序，和其他计算机病毒一样具有传染性、破坏性。手机病毒可利用发送短信、彩信，电子邮件，浏览网站，下载铃声等方式进行传播。手机病毒可能会导致用户手机死机、关机、资料被删除，向外发送垃圾邮件、拨打电话等，甚至还会损毁,SIM,卡、芯片等硬件。普遍接受的手机病毒的定义是：以手机为感染对象，以计算机网络和移动通信网络为传播平台，通过病毒短信、邮件等形式攻击手机，从而造成手机或移动通信网络异常的一种新型病毒。手机病毒的通常有大量转发信息、破坏手机内存、手机莫名死机、收发垃圾短信、窃取用户隐私、自动拨打电话等表现形式。,第四节 手机病毒,二、手机病毒的分类,1,、蠕虫型病毒,2,、木马型病毒,3,、感染型病毒,4,、恶意程序型病毒,第四节 手机病毒,三,、手机病毒的,特点,(1),传染性,(2),隐蔽性,(3),潜伏性,(4),可触发性,(5),针对性,(6),破坏性,(7),表现性,(8),寄生性,(9),不可预见性,第四节 手机病毒,四,、手机病毒的,危害,(l),消耗手机内存或修改手机系统设置，导致手机无法正常工作,(2),窃取手机上保存的机密数据，或修改、删除和插入移动终端中的数据，破坏数据的真实性和完整性,(3),控制手阅和消费，造成用户手机费用的损失或流失,(l),攻击和控制通信“网关”，向手机发送垃圾信息，或者是以其他方式，致使手机通信网络运行瘫痪。”,(,2),攻击,WAP,服务器。手机病毒将会利用手机的各种方式发起对移动网络的攻击。,第四节 手机病毒,五,、手机病毒的,防治,1,、,手机用户防御策略,2,、,移动通信运营商防御策略,3,、,手机制造商防御策略,4,、,安全软件生产商防御策略,移动电子商典型岗位介绍,移动,UI,设计师,【岗位职责】,1,、负责移动客户端产品的设计；与运营、设计、技术团队密切配合，推动各方改善，实现产品的持续优化；,2,、负责移动互联网客户端产品（,iPhone,、,iPad,、,Android,、,WP,）的视觉设计工作；,3,、负责移动运营推广相关的广告设计，掌握,APP,端口切图，熟练掌握切图工具；,4,、对现有产品的视觉表现进行评估，提出改进方案，持续优化视觉方向,5,、参与产品规划构思、产品概念传达和创意过程；,6,、学习和研究新的移动互联网设计理念以满足产品的需求。,【任职资格】,1,、移动客户端,UI,视觉设计等相关岗位,2,年以上工作经验；,2,、对用户体验为宗旨的设计有一定的了解、理解以客户为中心的设计思想，可以独立完成整个视觉设计工作（对,PS,、,AI,、,FLASH axure rp,等相关软件能熟练应用）；,3,、对交互设计及移动客户端分析工作方法有简单了解；,4,、可以在复杂的约束条件下找到平衡或创新的方法；,5,、熟悉,APP,产品,UI,设计规范和工作流程，熟悉图标制作，拥有一个或多个手机、平板电脑、智能,TV,或机顶盒平台（,iOS,、,Android,）软件设计经验者优先；精通,css+DIV,、前端设计、,HTML5,等,；,6,、艺术类、计算机等相关专业大专以上学历优先考虑；,7,、具有良好的职业道德（敬业、诚信、团结、奉献），上进、积极主动，有较强的学习能力和沟通能力，服从安排和管理。,实训项目六,360,手机卫士及安全管理,【,项目实训目标,】,1,）掌握,360,手机卫士的安装使用方法。,2,）能够使用手机卫士进行安全管理。,【,背景知识,】,360,手机卫士是一款免费的手机安全软件，集防垃圾短信，防骚扰电话，防隐私泄漏，对手机进行安全扫描，联网云查杀恶意软件，软件安装实时检测，流量使用全掌握，系统清理手机加速，归属地显示及查询等功能于一身，是一款功能全面的智能手机安全软件。,实训项目六,360,手机卫士及安全管理,实训流程,1.,安装手机卫士,2.,手机卫士防盗功能使用,3.,手机卫士隐私保护功能使用,4.,手机卫士其他功能,思考与练习,在无线网中，移动商务所面临的主要威胁有哪些？,试说明移动终端软件下载认证的必要性及其基本流程。,请说明信息备份与信息恢复的关系,。,简述手机病毒的发展现状及常见的手机病毒,。,除了手机病毒外，让用户最反感的移动安全及隐私问题有,哪些？,