第1章-电子商务安全认知.ppt

1、,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第,1,章 电子商务安全认知,电子商务安全基础 人民大学出版社,1.1,电子商务内涵,1.2,电子商务安全内涵,1.3,电子商务安全保障,主要内容,1.4,实验项目,1.1,电子商务内涵,什么是,电子商务,？,电子商务通常是指在全球广泛的商业贸易活动中，在,互联网开放的网络环境下，基于浏览器,/,服务器应用方式，,买卖双方不谋面地进行各种商贸活动，实现消费者的网上,购物、商户之间的网上交易和在线电子支付以及各种商务,活动、交易活动、金融活动和相关的综合服务活动的一种,新型的商业运营模式。,1.1,电子商务

2、内涵,1.1.1,电子商务的发展现状,电子商务产业的优势,市场全球化、交易连续化、成本低廉化、资源集约化等,电子商务发展,1997,年：中国商品订货系统,CGOS,、中国商品交易中心,CCEC,、,虚拟广交会,等大型电子商务项目的推出,1998,年：,“,首都电子商务工程,”,开展；,1999,年：,8848,网上超市的出现,标志,着中国电子商务开始进入快速发展期,电子商务发展趋势,1,）移动端成为主流,2,）线上线下联动兴起,3,）广告成本高涨背景下，分销崛起，社交、社区、内容电商成为未来发展新趋势,1.1.2,电子商务系统的主要类型,按商业活动的运作方式分类,1,）,完全电子商务,2,）线

3、,部分电子商务,按使用网络的类型分类,1,）,基于,EDI,网络的电子商务,2,）,基于内联网的电子商务,3,）,基于互联网的电子商务,按交易对象分类,1,）企业对企业的电子商务,B2B,2,）企业对消费者的电子商务,B2C,3,）消费者对消费者的电子商务,C2C,4,）,企业对政府的电子商务,B2G,5,）,消费者对政府的电子商务,C2G,6,）,企业对经理人的电子商务,B2M,7,）,经理人对消费者的电子商务,M2C,1.1.2,电子商务系统的主要类型,企业对企业的电子商务,B2B,定义：,企业通过互联网在开放网络中对每笔交易寻找最佳合作企业,并与企业进行从订购到结算的全部交易活动。,典型

4、应用,：,中国供应商网、阿里巴巴、中国制造网、敦煌网、慧聪网等,企业,对,消费者,的电子商务,B2C,定义：,等同于零售电子化,是我国最早产生的电子商务模式,典型应用,模式,：,综合商城,、,专一整合型,、,百货商店,、,垂直商店,、,复合品牌店,、,轻型品牌店,、,服务型网店,、,导购引擎型,消费者对消费者的,电子商务,C2C,消费者在网上彼此进行一些多数为小额的交易,如通过互联网进行个人拍卖活动等,。,1.1.2,电子商务系统的主要类型,企业,对政府的,电子商务,B2G,覆盖,企业与政府之间的各项事务如政府采购、企业税收征收等,。,消费者对政府的,电子商务,C2G,涉及,电子福利支付、电子

5、资料库、电子身份认证等。,企业对经理人的电子商务,B2M,B2M,所针对的客户群是该企业或者该产品的销售者或者提供服务者,而不是最终消费者,企业,通过经理人的服务达到销售产品或者获得服务的目的。,B2M,本质上是一种代理模式。,经理人对消费者的电子商务,M2C,M2C,是针对,B2M,的电子商务模式而出现的延伸概念。,M2C,的盈利模式则丰富、灵活得多,既可以是差价,也可以是,佣金。,1.1.3,电子商务系统的基本组成,电子商务系统的基本组成有计算机网络、用户、认证中心、,配送,中心、银行、商家等,(,如图,1,1,所示,),。,图,1-1,电子商务系统组成,电子商务的一般框架是指实现电子商务

6、的技术保证和电子商务应用所涉及的领域,主要是由电子商务网络平台、电子商务服务平台以及电子商务应用平台三大部分和两个支柱组成,，,如图,1,2,所示。,1.1.4,电子商务的系统框架,图,1-2,电子商务的一般框架,电子商务网络平台,1,）,网络层,：,它是信息传输系统,包括远程通信网、有线电视网、无线通信网和互联网,2,）,消息,/,信息发布层,：,数据传送方法有非格式化,(,非结构化,),和格式化,(,结构化,),两种,1.1.4,电子商务的系统框架,电子商务服务平台,为了方便交易所提供的通用的业务服务,主要包括,:,安全和认证、电子支付、目录服务、咨询服务等。,电子商务应用平台,支柱一,:

7、,公共政策及法律,支柱二,:,各种技术标准及其网络协议,两个支柱,涉及企业商务活动的各个方面,包括供应商、客户、银行或金融机构、信息公司以及政府等,客户机,/,服务器模式,特点：,C/S,结构通过将任务合理分配到客户端和服务器端,降低了系统的通信开销,并可充分利用两端硬件环境的优势。,配有高性能的专用服务器,服务器端安装数据库软件,负责对数据的存储和管理,;,客户机安装客户端程序,负责信息系统的图形显示、数据录入、业务处理等,客户端主要提供与用户的交互功能,这样既提高了处理速度又减少了网络传输量,大幅提升了整个系统的性能,缺点：,开发的中心主要在客户端,造成系统维护和管理的困难,1.1.5,电

8、子商务的基本结构,B/W/S,三层结构,B/W/SBrowser/Web Server/Database Server,简称,B/S(Browser/Web Server),结构,B/W/S,结构的主要特点,1,）,“,瘦客户机,”,即客户端主要负责与用户的交互,而系统的绝大部分处理功能都在中间层,(Web Server),上完成。,2,）,B/W/S,结构实现了系统的分散应用和集中管理,极大地方便了应用管理,1.1.5,电子商务的基本结构,电子商务系统结构,电子商务系统充分利用计算机和网络领域的先进技术,在典型的情况下,基于,B/W/S,又和企业后端的信息管理系统如企业资源计划,(ERP),

9、连接起来,构成一个多层的结构。,1.1.5,电子商务的基本结构,(1),客户层,-,用于为用户提供企业电子商务系统的操作界面,(2)Web,服务层,-,接受来自客户层的用户输入,并将其发送到应用服务层以得到处理。,(3),应用服务层,-,接受,Web,服务层发来的请求,进行适当的业务处理,并访问企业信息系统层的资源。,(4),企业信息系统层,-,指电子商务系统所对应的企业的后端信息系统。,在一个简单的电子商务系统中,它对应的可能是一个关系型数据库,存储了必要的业务处理信息。,1.2,电子商务安全的内涵,1.2.1,安全概述,电子商务安全认知,1,）,安全不仅仅是安全管理部门的事情,2,）,电子

10、商务安全具有全面性、普遍性,3,）,安全是一个系统概念,4,）,安全是相对的、发展变化的,5,）,安全是有代价的,电子商务安全可以分为两个方面,即网络安全和商务交易安全,1),计算机网络安全的内容主要包括物理安全、系统安全、信息安全、内容安全等。,2),商务交易安全则实现电子商务的保密性、完整性和可用性。,1.2.2,计算机网络安全,计算机网络安全是通过各种计算机、网络、密码技术和信息安全技术,保护在公用通信网络中传输、交换和存储的信息的保密性、完整性和可用性,并对信息的传播及内容具有控制能力。,主要内容如图,1-3,所示,图,1,3,计算机网络安全,物理安全,重点保护网络与信息系统的保密性、

11、可生存性、可用性等属性,涉及动力安全、环境安全、电磁安全、介质安全、设备安全、人员安全等。采取的主要措施是可靠供电系统、防护体系、电磁屏蔽、容灾备份等。,1.2.2,计算机网络安全,物理安全,系统安全,对网络与信息系统的运行过程和状态的保护,又称为运行安全,主要涉及网络和信息系统的可控性、可用性等。,主要的保护方式,：,应急,响应、入侵检测、漏洞扫描等。,具体操作内容,:,1),风险分析。测试、跟踪,、,记录,找出系统安全漏洞,提供相应分析报告。,2),审计跟踪。对系统进行审计跟踪,保存和维护审计记录,和,日志。,3),备份与恢复。对系统设备和数据的备份与恢复。,4),应急措施。在紧急事件或安

12、全事故发生时,保证电子商务系统继续运行或紧急恢复所需要的策略。,1.2.2,计算机网络安全,信息安全,对信息在数据处理、存储、传输、显示等过程中的保护,在数据处理层面上保障信息能够按照授权进行使用,不被窃取、篡改、冒充、抵赖,又称为数据安全,主要涉及信息的保密性、完整性、真实性、不可否认性等可鉴别属性。主要的保护方式有加密技术、数字签名、完整性验证、认证技术等,如,图所,示。,1.2.2,计算机网络安全,信息,安全,网络安全,对信息真实内容的隐藏、发现、选择性阻断,又称为文化安全,主要涉及信息的保密性、可控性、特殊性等。主要的保护措施是信息识别与挖掘技术、过滤技术、隐藏技术,等,，,如图所,示

13、。,1.2.2,计算机网络安全,网络,安全,概念,电子商务交易安全是指通过一系列的措施保证交易过程的真实性、机密性和可用性,目的是在计算机网络安全基础上确保电子商务过程的顺利进行。它更侧重于交易过程的安全内容。,1.2.3,商务交易安全,主要内容,(1),买方面临的问题,如付款后不能收到商品、个人信息被泄露,。,(,2),卖方面临的问题,如竞争对手检索商品递送状况、被他人假冒而损害公司的信誉、买方提交订单后不付款、机密数据被他人获取等,。,(,3),交易信息问题,如被冒名偷窃、数据篡改、信息丢失、信息在传递过程中被破坏、虚假信息等,。,(,4),信用问题等。,1.3,电子商务安全保障,电子商务

14、安全需要一个完整的综合保障体系。,电子商务的安全,概括起来需要三个方面的支持,:,一,是信息技术方面的措施,如防火墙、网络防毒、信息加密、身份认证等,;,二,是信息安全管理制度的保障,如人员管理等,;,三,是社会的法律政策与法律保障。,三者缺一不可,只有共同作用,才能最终保障电子商务的安全,。,系统方面的风险,1,）,网络协议安全漏洞,2,）,防火墙安全漏洞,3),口令漏洞,4),操作系统的安全漏洞,5),陷门,1.3.1,电子商务安全面临的主要风险,1.3,电子商务安全保障,交易,方面的风险,1,）冒名偷窃,2,）,篡改数据,3,）信息丢失,1.3.1,电子商务安全面临的主要风险,人员,方面

15、的风险,主要,是工作人员职业道德修养不高,安全教育和管理松懈,管理,方面的风险,网络,内部可能存在的威胁有,:,1,),有意或无意地泄露网络用户或网络管理员的密码或口令,;,2,),绕过防火墙,私自和外部网络连接,造成系统安全漏洞,;,3,),越权查看、修改和删除系统文件、应用程序及数据,;,4,),越权修改网络系统配置,造成网络工作不正常,。,网络交易技术管理的漏洞也会带来较大的交易风险,法律,方面的风险,主要,是工作人员职业道德修养不高,安全教育和管理松懈,1.3.2,电子商务安全要素,1,）信息的机密性,-,指信息在传输过程或存储中不被他人窃取,，,在电子交易中,通常使用加密技术来保证信

16、息的机密性。,2,）交易文件的完整性,-,防止非法篡改和破坏网站上的信息,使收到的信息与发送的信息完全一样。在电子交易中,通常使用哈希函数来保证信息的完整性。,3,）信息的不可否认性,-,发送方不能否认已发送的信息,接收方亦不能否认已收到的信息。在电子交易中,则通过对发送信息进行数字签名,来实现交易的不可抵赖性。,4,）交易者身份的真实性,-,指交易双方确实是存在的而不是假冒的。在电子交易中,需要依靠可靠的认证机制来保障。,电子商务安全是一个复杂的系统问题,它不仅与其支持的平台有关,还与电子商务的环境、模式、人员、管理、法律和社会等诸多因素有关。,交易安全要素,1.3.2,电子商务安全要素,信

17、息安全传输就是指在网络上传递的信息没有被故意地或偶然地非法授权泄露、更改、破坏或是信息被非法系统辨识、控制。,信息传输要素,信息正常传输过程,信息传输过程,中面临的问题,1.3.2,电子商务安全要素,1,）,截取信息,攻击系统的可用性,，,信息从信息源节点传输出来,中途被攻击者非法截取,2,）,窃听信息,攻击系统的机密性,，,信息从信息源节点传输到信息目的地节点,但中途被攻击者非法窃听,3),篡改信息,攻击系统的完整性,，,信息从信息源节点传输到信息目的地节点的中途被攻击者非法截取,攻击者将截取的信息进行修改或插入欺骗性的信息,然后将篡改后的错误信息发送给信息目的地。,1.3.2,电子商务安全

18、要素,安全的电子商务除了依赖于技术手段外,还必须依靠法律手段、经济行政手段来保障参与电子商务的各方的利益。电子商务安全涉及的法律要素主要有,:,1),保障交易各方身份认证的法律,2),电子合同的法律地位,3),电子商务的消费者权益保护的法律,4),网络知识产权保护的法律,5),电子商务侵权法,法律法规要素,1.3.3,电子商务安全体系结构,一个完整的电子商务安全体系是由安全基础层、加密技术层、安全认证层、安全协议层和系统应用层以及电子商务安全法律法规和人员安全管理等组成,并且每一层都有相应的安全策略和方案,如图所示。,电子商务安全体系,1.3.4,电子商务安全技术,电子商务安全技术,1.3.4

19、,电子商务安全技术,1,）,加密技术,：信,息安全技术中的一个重要的组成部分。它可以保护传送的信息安全。加密本身能提供安全保障,还必须完善加密密钥和系统的整体控制。,2,）,数字签名技术,：,可以确认当事人的身份,起到了签名或盖章的作用,签字方不能够抵赖。,3,）,数字时间戳,：,用于证明信息的发送时间。,4,）,身份认证技术,：,决定谁有权接受或修改信息,以增强责任性,以及实现不可否认服务。,验证常用的三种基本方式,口令方式、标记方式、人体生物学特征方式。,5,）,数字证书技术,：,用标志网络用户身份信息的一系列数据来证明某一主体,(,如个人用户、服务器等,),的身份以及其公钥的合法性的一种

20、权威性的电子文档。类似于现实生活中的身份证。,1.3.4,电子商务安全技术,6,）,防火墙技术,：,防火墙是软件、硬件的结合,在需要保护的网络同可能带来安全威胁的互联网或其他网络之间建立一层保护。,7,）,智能卡技术,：,利用智能卡来降低攻击者猜出密码的风险。,8,）,防病毒技术,：,防病毒软件只能保护系统免受恶意程序攻击,却不能避免使用合法程序访问系统的攻击者的攻击,同时也不能保护一些用户对不应该访问的文件进行访问的越权攻击。,9,）,入侵检测技术,：,入侵检测是对防火墙的一个合理补充,帮助系统对付网络攻击,扩展管理员的安全管理能力和范围,提高信息安全基础结构的完整性。,10,）,生物统计系

21、统,：,生物统计是利用你所具备的生理特征来认证,如指纹认证、眼膜认证、语音认证等。每种认证都需要特定的设备,而且设备必须非常精确才可以检测出是否假冒。,1.4,实验项目,实验项目,1,安全环境下的电子商务操作,【,实验目的,】,全面掌握电子商务基础操作,完成安全的网络购物过程。,【,实验内容,】,在开放的互联网环境下,访问任意典型电子商务网站,观察比较各网站的网页和栏目设置情况,并利用搜索引擎、关键字等手段检索商品,注册、登录,在安全的环境下完成电子商务网络购物流程,并完成实验报告的撰写。,【,实验要求,】,(1),完成实验报告的所有设计内容,并附上关键步骤的截图。,(2),记录实验结果。,(3),分析网络购物的安全风险来源。,(4),总结安全网络购物经验。,1.4,实验项目,实验项目,2,电子商务安全,整体设计,【,实验目的,】,电子商务安全整体设计流程,【,实验内容,】,根据电子商务安全整体设计流程,完成所调研企业的电子商务安全设计分析,【,实验要求,】,(1),流程设计,完成实验报告。,(2),分析实验结果。,电子商务安全整体设计,Thank You!,