第1章 电子商务安全概述.ppt

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,电子商务安全保密技术及应用,2012.9,课程内容,第,1,章 电子商务安全概述第,2,章 现代加密技术第,3,章 数字签名技术第,4,章 身份认证技术第,5,章 密钥管理技术第,6,章 计算机病毒及其防治第,7,章 互联网安全技术第,8,章 电子商务安全协议与安全标准第,9,章 认证技术第,10,章 电子商务的法律规范第,11,章 电子商务安全应用案例第,12,章 电子商务安全产品简介,课程内容,第一部分,电子商务安全概述,第二部分 现代加密技术,第三部分 认证技术,第四部分 支付协议,第五部分 网络安全技术,第六部分 法律规范,课程内容,电子商务安全技术,电子商务安全需求,电子商务安全风险,第一章电子商务安全概述,本章重点,第一节：电子商务安全与网络安全,第二节：电子商务安全分析,第三节：电子商务安全技术,第四节：网络安全,电子商务安全与网络安全,一、电子商务的定义,二、电子商务的应用框架,（概括为三个层次、四个支柱）,电子商务安全与网络安全,图,1-1,电子商务的一般框架结构,电子商务安全与网络安全,网络层次,是电子商务得以正常运行的物质基础，是信息传输的载体和用户接入,Internet,的手段。它包括各种各样的物理通信平台和信息传送方式，包括,硬件、软件、和通信网络,等，也是实现电子商务的最底层的基本设施。,信息发布,层次,主要提供传输信息的工具和方式，它解决了不同媒体形式的信息如何实现在网络上按要求传输的问题。在计算机网络上，来往传输信息的性质很重要，信息和多媒体内容的种类决定了何种载运工具最适宜。,电子商务安全与网络安全,业务层,又称电子商务基础设施（电子商务平台）。该层次主要为方便交易而提供的通用业务服务，是所有的企业、个人在参与贸易时都会用到的服务，主要包括：信息安全传送服务、认证（,CA,）服务，电子支付服务和商品、公司目录服务等。,应用层,主要是各种各样的电子商务应用系统，电子商务应用的表现形式各不相同，其应用的领域也将不断扩大，它是集信息、技术、服务和商品交易为一体的综合性的虚拟市场。例如，网上采购、在线销售、网上中介交易,电子商务安全与网络安全,网络安全：,指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统可以连续可靠正常地运行，网络服务不被中断。,信息安全：,信息安全是指防止信息财产被故意的或偶然的泄漏、破坏、更改，保证信息使用的完整、有效、合法。,电子商务安全,交易安全,+,支付安全,电子商务安全与网络安全、信息安全的关系,电子商务安全与网络安全,一、电子商务安全现状,CNNIC,发布的,第,28,次中国互联网络发展状况统计报告,中显示：,2011,年上半年，遇到过病毒或木马攻击的网民达到,2.17,亿，比例为,44.7%,；有过账号或密码被盗经历的网民达到,1.21,亿人，占,24.9%,，较,2010,年增加,3.1,个百分点；有,8%,的网民在网上遇到过消费欺诈，该群体网民规模达到,3880,万。,电子商务安全分析,一、电子商务安全风险分析,1,、信息安全,（被窃取、篡改、丢失及传递中的风险）,2,、信用安全,3,、管理风险,4,、法律风险,电子商务安全分析,二、电子商务安全的基本要求,1,、可靠性要求,2,、保密性要求,3,、完整性要求,4,、真实性要求,5,、不可抵赖性要求,6,、有效性要求,电子商务安全分析,信息安全要求：,1,、国家信息安全重点实验室：“信息安全涉及到信息的,机密性、完整性、可用性、可控性,。综合起来说，就是要保障电子信息的有效性。”,2,、英国,BS7799,信息安全管理标准：信息安全涉及的是,机密性、完整性、可用性,。”,3,、美国国家安全局：“包括,机密性、完整性、可用性、真实性和不可抵赖性,。”,电子商务安全分析,电子商务系统安全的类型,电子商务安全技术,电子商务,系统安全,环境安全,设备安全,媒体安全,风险分析,备份恢复,应急,操作系统安全,数据库安全,访问控制,实体安全,运行安全,信息安全,电子商务安全体系：,电子商务安全技术,网络服务层,加密技术层,认证技术层,安全协议层,应用层,数字签名,数字信封,对称加密,非对称加密,CA,安全策略,SSL,协议,SET,协议,现代加密技术,对称加密，非对称加密,认证技术,数字摘要、,数字签名,、,数字信封、数字时间戳、,CA,支付协议,SSL,协议；,SET,协议,网络安全技术,网络协议；病毒防治,电子商务安全技术,一、网络安全涉及的领域,二、网络安全的主要问题,三、网络安全标准,四、网络安全策略,网络安全标准与策略,网络安全概述,什么是网络安全（五要素）,可用性,：,授权实体有权访问数据,机密性,：,信息不暴露给未授权实体或进程,完整性,：,保证数据不被未授权修改,可控性,：,控制授权范围内的信息流向及操作方式,可审查性：对出现的安全问题提供依据与手段,网络安全概述,一、网络安全涉及的领域,1,、社会经济领域,2,、技术领域,3,、电子商务领域,网络安全概述,二、网络安全的主要问题,1,、物理安全,2,、网络结构的安全,3,、系统的安全,4,、管理的安全,网络安全概述,二、网络安全的主要问题,攻击方法分为：服务攻击与非服务攻击。,1,、服务攻击是针对某种特定网络服务的攻击，如针对,Email,服务、,Telnet,、,FTP,、,HTTP,等服务的专门攻击。,2,、非服务攻击不针对某项具体应用服务，而是基于网络层等低层协议而进行的，,TCP/IP,协议,(,尤其是,IPV4),自身的安全机制不足为攻击者提供了方便之门，如源路由攻击和地址欺骗都属于这一类。,网络安全概述,三、网络安全标准,为实现对网络安全的定性评价，美国国防部所属的国家计算机安全中心（,NCSC,）在,20,世纪,90,年代提出了网络安全性标准（,DoD5200.28-STD,），即可信任计算机标准评估准则（,Trusted Computer Standards Evaluation Criteria,），也叫,橘皮书,（,Orange Book,）。,网络安全概述,三、网络安全标准,D,类,:,最小的保护。这是最低的一类,属于非安全保护类,。,C,类,:,无条件的保护。,C,类提供的无条件的保护也就是“需要则知道”,(need-to-know),的保护,又分两个子类。,C1:,无条件的安全保护。用户与数据分离。早期的,UNIX,系统属于这一类。,C2:,有控制的存取保护。这是,C,类中较高的一个子类,除了提供,C1,中的策略与责任外,还有访问保护和审计跟踪功能,windows2000,的某些执行方法符合,C2,级别。,网络安全概述,三、网络安全标准,B,类,:,属强制保护,B1:,标记安全保护,是,B,类中的最低子类,除满足,C,类要求外,要求提供数据标记。,B2:,结构安全保护,除满足,B1,要求外,要实行强制性的控制并进行严格的保护，这个级别支持硬件保护。,B3:,安全域保护,是,B,类中的最高子类,提供可信设备的管理和恢复,即使计算机崩溃,也不会泄露系统信息。,A,类,:,经过验证的保护,是安全系统等级的最高类,这类系统可建立在具有结构、规范和信息流密闭的形式模型基础之上。,A1:,经过验证保护。这个级别要求严格的数学证明。,网络安全概述,网络安全概述,D,C1,自主访问控制,C2,定义访问控制,B1,标记安全,B2,结构安全,B3,安全域,A,自主保护,强制保护,无保护,验证保护,D,：无保护,C1,：用户与数据分离,C2,：,C1+,访问控制,B1,：,C2+,管理员控制,B2,：,B1+,外围系统的管理员控制,B3,：,B2+,硬件保护,A1,：数学证明,网络安全概述,由公安部主持制定、国家技术标准局发布的中华人民共和国国家标准,GB17895-1999,计算机信息系统安全保护等级划分准则,已经正式颁布。该准则将信息系统安全分为,5,个等级，分别是：,自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级,。,网络安全概述,四、网络安全策略,物理安全策略,访问控制策略,信息加密策略,网络安全管理策略,网络安全概述,四、网络安全策略,网络遭破坏时的行动方案：,保护方式和跟踪方式,网络安全概述,1,、电子商务应用框架,2,、电子商务安全体系,3,、电商安全、网络安全、信息安全区别,4,、电子商务安全风险,5,、电子商务安全需求,6,、网络安全问题、需求、策略,7,、网络安全标准,总结,