第六章 电子商务安全策略.pptx

第六章 电子商务安全策略;重难点内容;电子商务安全策略是为了管理和保护敏感信息资源而制定的一组要求，法律和措施的总和，是企业内部人员必须遵守的规则。其目的是为了保障电子商务系统的机密性，完整性，认证性，不可否认性，和访问控制性不被破坏，能有序地，经常地鉴别和测试安全状态，能够对可能的风险有基本评估，安全被破坏后能及时恢复。; 任务二：安全防范策略所涉及的方面; 2、网络安全：网络是电子商务得以实现的基础，没有网络就没有电子商务，但电子商务发展至今，阻碍其发展的关键因素还是安全问题，所以要想保证电子商务安全性，首先必须保证网络安全得以实现，所以我们可以从以下几个方面来解决网络安全： ;1）提高自身安全意识，加强认证机制。 2）存储在本地或网上传输的信息要进行加密 3）不打开来历不明的邮件,防止病毒 4）避免从网上下载来历不明的软件特别是使用一些黑客软件 5）及时下载系统补丁堵上系统漏洞 6）安装防火墙，入侵检测系统等设备并合理设置访问控制 策略和过滤规则 7）安装杀毒软件并经常杀毒和即时升级 8）重要资料进行严格保护,并备份.; 3、访问授权：访问授权是网络安全中的一项重要手段，他的主要任务是保证网络资源不被非法使用和非法访问，他可以保证什么样的用户可以使用什么样的资源，其策略内容可分为以下内容： 1）入网访问控制：他控制哪些用户能够登陆到服务器并获取网络资源，主要对用户身份的识别与验证，查看是否有权进入网络系统，其基本上是依赖与密码技术。 2）网络权限控制：网络的权限控制是针对网络非法操作所提出的一种安全保护措施，在电子商务中，用户和用户组被赋予一定的权限，网络控制用户和用户组可以访问那些目录，文件和其他资源，并可以指定用户对这些文件，目录能执行那些操作。如特殊用户和一般用户组。;3、目录级安全控制：电子商务网络系统允许控制用户对目录，文件的访问，用户可以进一步指定对目录和文件的使用权限。共分为以下几种：1）完全控制权限 2）读权限 3）写权限 4）创建权限 5）删除权限 6）修改权限 7??查找权限 8）拷贝权限,(9)运行。其中可以组合选择。 4、网络监测：电子商务系统管理员应对网络实施监控，服务器应记录用户对网络资源的访问，若不法之徒试图进入网络，服务器将自动记录企图尝试进入网络的次数. 服务器应以图形或文字或声音形式报警，引起管理员注意.; 4、信息安全管理：电子商务的安全分为两大部分：网络安全和交易安全，而交易安全则主要是指网上信息传输安全。信息的安全保证了信息的机密性，完整性，认证性，和不可否认性，一般采用以下方法得以保证：; 4、数字证书技术：对于我们公钥加密技术来说，公钥的分配问题一直困绕着我们广大用户，即如何使对方相信这个公钥是是合法用户的，所以我们引出了数字证书技术，我们将公钥持有人的基本信息和公钥合并在一起，并且用我们交易双方所共同信任的第三方机构（CA）的私钥对此进行签名得到数字书，当我们收到数字证书后，用CA的私钥进行解密，若能解开，则说明此用户的公钥信息是正确的。;2、摘要算法技术：为了防止信息在网络上被第三方所破坏，我们采用了数字摘要技术，即通过摘要算法将原明文信息转换成一段比较短小的数字摘要，在对方收到信息之后可通过使用同样摘要算法产生新的数字摘要，并且将两个摘要相比较，若相同，则信息没有被破坏。 3、数字签名技术：在电子商务交易中，加密和摘要只解决了信息的机密性和完整性，但没有考虑到信息发送和接收的不可否认性问题，为了解决交易双方在交易过程中的抵赖行为，我们可以采用数字签名技术，他是建立在公钥加密体系和数字摘要基础之上的，即对发送的数字摘要用发送方的私钥加密，证明这个信息是发送方发送的，在接收方收到信息之后要用发送方的公钥解密，若成功解开，则证明这个信息是发送方发送的。; 5、风险管理：电子商务风险管理是对电子商务系统信息的安全风险进行识别，衡量和分析，并在此基础上有效的处理风险，以最低的成本和代价实现最大可能的信息安全保障。包含以下几个步骤： 1)风险识别：风险识别是指在收集有关各种威胁、漏洞等信息的基础上，识别并记录可能对某个项目造成潜在的安全风险，目前电子商务面临的主要技术风险有以下方面： ;a)网络环境风险：网络是电子商务系统的依托，由于计算机本身质量问题或软件漏洞，或者网络突然中断，黑客入侵等都是网络环境存在的风险。 b)数据存在风险：由于数据信息存储不当而导致的数据的静态风险，一是未授权的人进入系统对数据库完整性进行破坏，二是企业工作人员操作失误，收集错误的数据造成的风险。 c)网上支付带来的风险：指信息在网上传输时完整性或机密性被破坏的数据动态风险。 ;2、风险分析：是指通过分析，比较和评估等方式，