《电子商务安全基础》课件第1章 电子商务安全认知.ppt

1、电子商务内涵电子商务内涵电子商务安全内涵电子商务安全内涵电子商务安全保障电子商务安全保障实验项目v什么是电子商务？电子商务通常是指在全球广泛的商业贸易活动中，在互联网开放的网络环境下，基于浏览器/服务器应用方式，买卖双方不谋面地进行各种商贸活动，实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。1.1.1 1.1.1 电子商务的发展现状电子商务的发展现状v电子商务产业的优势 市场全球化、交易连续化、成本低廉化、资源集约化等 v电子商务发展 1997年：中国商品订货系统CGOS、中国商品交易中心CCEC、虚拟广

2、交会 等大型电子商务项目的推出1998年：“首都电子商务工程”开展；1999年：8848网上超市的出现标志着中国电子商务开始进入快速发展期v电子商务发展趋势 1）移动端成为主流 2）线上线下联动兴起 3）广告成本高涨背景下，分销崛起，社交、社区、内容电商成为未来发展新趋势1.1.2 1.1.2 电子商务系统的主要类型电子商务系统的主要类型v按商业活动的运作方式分类 1）完全电子商务 2）线部分电子商务v按使用网络的类型分类 1）基于EDI网络的电子商务 2）基于内联网的电子商务 3）基于互联网的电子商务v按交易对象分类 1）企业对企业的电子商务B2B 2）企业对消费者的电子商务B2C 3）消费

3、者对消费者的电子商务C2C 4）企业对政府的电子商务B2G 5）消费者对政府的电子商务C2G 6）企业对经理人的电子商务B2M 7）经理人对消费者的电子商务M2C 1.1.2 1.1.2 电子商务系统的主要类型电子商务系统的主要类型v企业对企业的电子商务B2B定义：企业通过互联网在开放网络中对每笔交易寻找最佳合作企业,并与企业进行从订购到结算的全部交易活动。典型应用：中国供应商网、阿里巴巴、中国制造网、敦煌网、慧聪网等v企业对消费者的电子商务B2C定义：等同于零售电子化,是我国最早产生的电子商务模式典型应用模式：综合商城、专一整合型、百货商店、垂直商店、复合品牌店、轻型品牌店、服务型网店、导购

4、引擎型v消费者对消费者的电子商务C2C消费者在网上彼此进行一些多数为小额的交易,如通过互联网进行个人拍卖活动等。1.1.2 1.1.2 电子商务系统的主要类型电子商务系统的主要类型v企业对政府的电子商务B2G 覆盖企业与政府之间的各项事务如政府采购、企业税收征收等。v消费者对政府的电子商务C2G 涉及电子福利支付、电子资料库、电子身份认证等。v企业对经理人的电子商务B2M B2M所针对的客户群是该企业或者该产品的销售者或者提供服务者,而不是最终消费者,企业通过经理人的服务达到销售产品或者获得服务的目的。B2M本质上是一种代理模式。v经理人对消费者的电子商务M2CM2C是针对B2M的电子商务模式

5、而出现的延伸概念。M2C的盈利模式则丰富、灵活得多,既可以是差价,也可以是佣金。1.1.3 1.1.3 电子商务系统的基本组成电子商务系统的基本组成电子商务系统的基本组成有计算机网络、用户、认电子商务系统的基本组成有计算机网络、用户、认证中心、证中心、配送配送中心、银行、商家等中心、银行、商家等(如图如图1111所示所示)。图1-1 电子商务系统组成电子商务的一般框架是指实现电子商务的技术保证和电电子商务的一般框架是指实现电子商务的技术保证和电子商务应用所涉及的领域子商务应用所涉及的领域,主要是由电子商务网络平台、主要是由电子商务网络平台、电子商务服务平台以及电子商务应用平台三大部分和两电子商

6、务服务平台以及电子商务应用平台三大部分和两个支柱组成个支柱组成，如图如图1212所示。所示。1.1.4 1.1.4 电子商务的系统框架电子商务的系统框架图1-2 电子商务的一般框架u电子商务网络平台 1）网络层：它是信息传输系统,包括远程通信网、有线电视网、无线通信网和互联网2）消息/信息发布层：数据传送方法有非格式化(非结构化)和格式化(结构化)两种1.1.4 1.1.4 电子商务的系统框架电子商务的系统框架u电子商务服务平台为了方便交易所提供的通用的业务服务,主要包括:安全和认证、电子支付、目录服务、咨询服务等。u电子商务应用平台 支柱一:公共政策及法律支柱二:各种技术标准及其网络协议u两

7、个支柱涉及企业商务活动的各个方面,包括供应商、客户、银行或金融机构、信息公司以及政府等 客户机/服务器模式特点：C/S结构通过将任务合理分配到客户端和服务器端,降低了系统的通信开销,并可充分利用两端硬件环境的优势。配有高性能的专用服务器,服务器端安装数据库软件,负责对数据的存储和管理;客户机安装客户端程序,负责信息系统的图形显示、数据录入、业务处理等客户端主要提供与用户的交互功能,这样既提高了处理速度又减少了网络传输量,大幅提升了整个系统的性能缺点：开发的中心主要在客户端,造成系统维护和管理的困难1.1.5 1.1.5 电子商务的基本结构电子商务的基本结构 B/W/S三层结构B/W/SBrow

8、ser/Web Server/Database Server 简称B/S(Browser/Web Server)结构 B/W/S结构的主要特点1）“瘦客户机”,即客户端主要负责与用户的交互,而系统的绝大部分处理功能都在中间层(Web Server)上完成。2）B/W/S结构实现了系统的分散应用和集中管理,极大地方便了应用管理1.1.5 1.1.5 电子商务的基本结构电子商务的基本结构 电子商务系统结构电子商务系统充分利用计算机和网络领域的先进技术,在典型的情况下,基于B/W/S,又和企业后端的信息管理系统如企业资源计划(ERP)连接起来,构成一个多层的结构。1.1.5 1.1.5 电子商务的基

9、本结构电子商务的基本结构(1)客户层-用于为用户提供企业电子商务系统的操作界面(2)Web服务层-接受来自客户层的用户输入,并将其发送到应用服务层以得到处理。(3)应用服务层-接受Web服务层发来的请求,进行适当的业务处理,并访问企业信息系统层的资源。(4)企业信息系统层-指电子商务系统所对应的企业的后端信息系统。在一个简单的电子商务系统中,它对应的可能是一个关系型数据库,存储了必要的业务处理信息。1.2.1 1.2.1 安全概述安全概述v电子商务安全认知1）安全不仅仅是安全管理部门的事情2）电子商务安全具有全面性、普遍性3）安全是一个系统概念4）安全是相对的、发展变化的5）安全是有代价的电子

10、商务安全可以分为两个方面 即网络安全和商务交易安全1)计算机网络安全的内容主要包括物理安全、系统安全、信息安全、内容安全等。2)商务交易安全则实现电子商务的保密性、完整性和可用性。1.2.2 1.2.2 计算机网络安全计算机网络安全计算机网络安全是通过各种计算机、网络、密码技术和信息安全技术,保护在公用通信网络中传输、交换和存储的信息的保密性、完整性和可用性,并对信息的传播及内容具有控制能力。主要内容如图1-3所示图13计算机网络安全v物理安全 重点保护网络与信息系统的保密性、可生存性、可用性等属性,涉及动力安全、环境安全、电磁安全、介质安全、设备安全、人员安全等。采取的主要措施是可靠供电系统

11、、防护体系、电磁屏蔽、容灾备份等。1.2.2 1.2.2 计算机网络安全计算机网络安全物理安全v系统安全对网络与信息系统的运行过程和状态的保护,又称为运行安全,主要涉及网络和信息系统的可控性、可用性等。主要的保护方式：应急响应、入侵检测、漏洞扫描等。具体操作内容:1)风险分析。测试、跟踪、记录,找出系统安全漏洞,提供相应分析报告。2)审计跟踪。对系统进行审计跟踪,保存和维护审计记录和日志。3)备份与恢复。对系统设备和数据的备份与恢复。4)应急措施。在紧急事件或安全事故发生时,保证电子商务系统继续运行或紧急恢复所需要的策略。1.2.2 1.2.2 计算机网络安全计算机网络安全v信息安全对信息在数

12、据处理、存储、传输、显示等过程中的保护,在数据处理层面上保障信息能够按照授权进行使用,不被窃取、篡改、冒充、抵赖,又称为数据安全,主要涉及信息的保密性、完整性、真实性、不可否认性等可鉴别属性。主要的保护方式有加密技术、数字签名、完整性验证、认证技术等,如图所示。1.2.2 1.2.2 计算机网络安全计算机网络安全信息安全v网络安全对信息真实内容的隐藏、发现、选择性阻断,又称为文化安全,主要涉及信息的保密性、可控性、特殊性等。主要的保护措施是信息识别与挖掘技术、过滤技术、隐藏技术等，如图所示。1.2.2 1.2.2 计算机网络安全计算机网络安全网络安全v概念电子商务交易安全是指通过一系列的措施保

13、证交易过程的真实性、机密性和可用性,目的是在计算机网络安全基础上确保电子商务过程的顺利进行。它更侧重于交易过程的安全内容。1.2.3 1.2.3 商务交易安全商务交易安全v主要内容(1)买方面临的问题,如付款后不能收到商品、个人信息被泄露。(2)卖方面临的问题,如竞争对手检索商品递送状况、被他人假冒而损害公司的信誉、买方提交订单后不付款、机密数据被他人获取等。(3)交易信息问题,如被冒名偷窃、数据篡改、信息丢失、信息在传递过程中被破坏、虚假信息等。(4)信用问题等。电子商务安全需要一个完整的综合保障体系。电子商务的安全,概括起来需要三个方面的支持:一是信息技术方面的措施,如防火墙、网络防毒、信

14、息加密、身份认证等;二是信息安全管理制度的保障,如人员管理等;三是社会的法律政策与法律保障。三者缺一不可,只有共同作用,才能最终保障电子商务的安全。系统方面的风险系统方面的风险 1）网络协议安全漏洞 2）防火墙安全漏洞 3)口令漏洞 4)操作系统的安全漏洞 5)陷门1.3.1 1.3.1 电子商务安全面临的主要风险电子商务安全面临的主要风险 交易交易方面的风险方面的风险 1）冒名偷窃 2）篡改数据 3）信息丢失1.3.1 1.3.1 电子商务安全面临的主要风险电子商务安全面临的主要风险 人员人员方面的风险方面的风险 主要是工作人员职业道德修养不高,安全教育和管理松懈 管理管理方面的风险方面的风

15、险 网络内部可能存在的威胁有:1)有意或无意地泄露网络用户或网络管理员的密码或口令;2)绕过防火墙,私自和外部网络连接,造成系统安全漏洞;3)越权查看、修改和删除系统文件、应用程序及数据;4)越权修改网络系统配置,造成网络工作不正常。网络交易技术管理的漏洞也会带来较大的交易风险 法律法律方面的风险方面的风险 主要是工作人员职业道德修养不高,安全教育和管理松懈 1.3.2 电子商务安全要素电子商务安全要素1）信息的机密性-指信息在传输过程或存储中不被他人窃取，在电子交易中,通常使用加密技术来保证信息的机密性。2）交易文件的完整性-防止非法篡改和破坏网站上的信息,使收到的信息与发送的信息完全一样。

16、在电子交易中,通常使用哈希函数来保证信息的完整性。3）信息的不可否认性-发送方不能否认已发送的信息,接收方亦不能否认已收到的信息。在电子交易中,则通过对发送信息进行数字签名,来实现交易的不可抵赖性。4）交易者身份的真实性-指交易双方确实是存在的而不是假冒的。在电子交易中,需要依靠可靠的认证机制来保障。电子商务安全是一个复杂的系统问题,它不仅与其支持的平台有关,还与电子商务的环境、模式、人员、管理、法律和社会等诸多因素有关。v交易安全要素 1.3.2 电子商务安全要素电子商务安全要素信息安全传输就是指在网络上传递的信息没有被故意地或偶然地非法授权泄露、更改、破坏或是信息被非法系统辨识、控制。v信

17、息传输要素信息正常传输过程信息传输过程中面临的问题 1.3.2 电子商务安全要素电子商务安全要素1）截取信息攻击系统的可用性，信息从信息源节点传输出来,中途被攻击者非法截取2）窃听信息攻击系统的机密性，信息从信息源节点传输到信息目的地节点,但中途被攻击者非法窃听3)篡改信息攻击系统的完整性，信息从信息源节点传输到信息目的地节点的中途被攻击者非法截取,攻击者将截取的信息进行修改或插入欺骗性的信息,然后将篡改后的错误信息发送给信息目的地。1.3.2 电子商务安全要素电子商务安全要素安全的电子商务除了依赖于技术手段外,还必须依靠法律手段、经济行政手段来保障参与电子商务的各方的利益。电子商务安全涉及的

18、法律要素主要有:1)保障交易各方身份认证的法律2)电子合同的法律地位3)电子商务的消费者权益保护的法律4)网络知识产权保护的法律5)电子商务侵权法v法律法规要素 1.3.3 电子商务安全体系结构电子商务安全体系结构一个完整的电子商务安全体系是由安全基础层、加密技术层、安全认证层、安全协议层和系统应用层以及电子商务安全法律法规和人员安全管理等组成,并且每一层都有相应的安全策略和方案,如图所示。电子商务安全体系 1.3.4 电子商务安全技术电子商务安全技术电子商务安全技术 1.3.4 电子商务安全技术电子商务安全技术1）加密技术：信息安全技术中的一个重要的组成部分。它可以保护传送的信息安全。加密本

19、身能提供安全保障,还必须完善加密密钥和系统的整体控制。2）数字签名技术：可以确认当事人的身份,起到了签名或盖章的作用,签字方不能够抵赖。3）数字时间戳：用于证明信息的发送时间。4）身份认证技术：决定谁有权接受或修改信息,以增强责任性,以及实现不可否认服务。验证常用的三种基本方式口令方式、标记方式、人体生物学特征方式。5）数字证书技术：用标志网络用户身份信息的一系列数据来证明某一主体(如个人用户、服务器等)的身份以及其公钥的合法性的一种权威性的电子文档。类似于现实生活中的身份证。1.3.4 电子商务安全技术电子商务安全技术6）防火墙技术：防火墙是软件、硬件的结合,在需要保护的网络同可能带来安全威

20、胁的互联网或其他网络之间建立一层保护。7）智能卡技术：利用智能卡来降低攻击者猜出密码的风险。8）防病毒技术：防病毒软件只能保护系统免受恶意程序攻击,却不能避免使用合法程序访问系统的攻击者的攻击,同时也不能保护一些用户对不应该访问的文件进行访问的越权攻击。9）入侵检测技术：入侵检测是对防火墙的一个合理补充,帮助系统对付网络攻击,扩展管理员的安全管理能力和范围,提高信息安全基础结构的完整性。10）生物统计系统：生物统计是利用你所具备的生理特征来认证,如指纹认证、眼膜认证、语音认证等。每种认证都需要特定的设备,而且设备必须非常精确才可以检测出是否假冒。v实验项目1安全环境下的电子商务操作【实验目的】

21、全面掌握电子商务基础操作,完成安全的网络购物过程。【实验内容】在开放的互联网环境下,访问任意典型电子商务网站,观察比较各网站的网页和栏目设置情况,并利用搜索引擎、关键字等手段检索商品,注册、登录,在安全的环境下完成电子商务网络购物流程,并完成实验报告的撰写。【实验要求】(1)完成实验报告的所有设计内容,并附上关键步骤的截图。(2)记录实验结果。(3)分析网络购物的安全风险来源。(4)总结安全网络购物经验。v实验项目2电子商务安全整体设计【实验目的】电子商务安全整体设计流程【实验内容】根据电子商务安全整体设计流程,完成所调研企业的电子商务安全设计分析【实验要求】(1)流程设计,完成实验报告。(2)分析实验结果。电子商务安全整体设计