第8章电子商务安全管理及技术.pptx
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
研究方向:
经济控制与电子商务
国际交流与合作:
曾赴加拿大多伦多大学管理学院做访问学者
联系电话:021-62373937
EMAIL:tangby@
第8章 电子商务安全管理及技术
一个全方位的电子商务安全管理体系应该从 组织上、技术上、管理上以及法律法规等多 方面入手,全面采取电子商务安全方法措施, 这样才能极大地实现电子商务的安全,保证 电子商务交易的顺利进行。
支持加密和解密
(4)SSL存在的问题 存在被攻击修改的可能 使用复杂的数学公式 ,高强度的计算会使服务器停顿 在电子商务系统的应用中存在很多弊端
2.SET(Secure Electronic Transaction ) 协议
是一种基于银行卡而进行的为电子交易提供安全措施的 规则,能广泛应用于因特网的安全电子支付协议
(2)电子商务安全与管理
在如何正确看待电子商务的安全与管理时,需要注意几点: 安全是一个系统的概念。
不仅有技术,还有管理 安全是相对的。
不要追求一个永远也攻不破的安全技术。
安全是有成本和代价的。 如果不直接牵涉到支付等敏感问题,对安全的要求就
低一些;反之,就高一些。 安全是发展的、动态的。
(2)SET系统的构成 ① 持卡人(Cardholder) ② 商家(Merchant)。 ③ 发卡机构(Issuer) ④ 收单银行(Acquirer) ⑤ 支付网关(Payment Gateway)
⑥ 认证中心(Certification Authority)
持卡人 Cardholder
汤兵勇教授
汤兵勇,1950年3月出生。东华大学旭日工商管理学院信息管 理学科教授、博士生导师。全国经济数学与管理数学学会第二 常务副理事长。主要研究成果有“社会经济大系统协调发展模 型”、“上海市电子商务管理办法”等40余项。发表“市场经 济控制论”、“模糊模型的辨识及应用”等论文200余篇,出 版著作10余部
1.电子商务安全 (1)电子商务安全的内涵
电子商务的安全是一个广泛而系统的概念, 不仅包含着计算机系统结构、网络通信技术、 电子商务应用环境、人员素质等方面的安全, 而且还与电子商务立法息息相关 。
电子商务安全从整体上可以分为两大部分: 计算机网络安全和商务交易安全。
计算机网络安全与电子商务交易安全实际上 是密不可分的,两者相辅相成,缺一不可。
收信人才能阅读通信的内容。
数字证书是一个担保个人、计算机系统或者组织的身份 和密钥所有权的电子文档,它是由一个权威机构发行的, 人们可以在交往中用它来识别对方的身份 。
数字证书采用公钥体制
数字证书的内容:
申请者信息
证书序列号(类似于身份 证号码)
颁发者信息 颁发者名称
证书主题(即证书所有人 的名称)
健全电子商务法律法规。
电子商务 信用的管理
1.电子商务 信用管理 的必要性
2.电子商务 信用管理体系
3.我国电子
商务信用管 理现状及相关
政策
1.电子商务信用管理的必要性
面对电子商务的蓬勃发展趋势,电子商务交易的信用危机却悄然袭来。 如,虚假交易、假冒行为、合同诈骗、网上拍卖哄抬价等行为屡屡发 生,客观上要求规范电子商务交易市场秩序。
⑤ 用户管理。 ⑥ 病毒防范。 ⑦ 应急措施(即灾难恢复) (2)电子商务信用管理标准 行业标准 信用标准
3.电子商务安全管理法律、法规、国家政策
目前,已有50多个包括国际组织、国家和地区制定了电子 商务法或相应的标准。
我国也出台了许多有关互联网络安全、电子商务交易管理 以及电子信息效力的法律法规和指导意见,如: 《中华人们共和国电子签名法》 《商务部关于促进电子商务规范发展的意见》 《中国国际经济贸易仲裁委员网上仲裁规则》
1. 加密技术 明文 密文 2. 认证技术
判明和确认贸易参与者的真实身份。
主要有:基于密码的认证方式 、
加密 基于生解物密特征的认证密方钥式 、
基于一次性口令的认证方式 、
基于USB Key的认证方式
(1)身份认证
(2)数字签名 (3)数字时数 数间字字戳时信与间封戳是数是用字用加信来密证技封明术消来息保的证收只发有时特间定。的
其次,SET是一个多方的报文协议,而SSL只是简单地在 两方之间建立一条安全连接。SSL是面向连接的,而SET 允许各方之间报文的交换不是实时的。
使用SET比SSL昂贵得多。 最后,SET提供了比SSL更完整的用于电子商务的卡支付
系统,它定义了各方的互操作接口,从而有效地降低了 金融风险。
现阶段常用的几种身电份认子证商就务是在安电全子管商务理交技易术过程:中,
综合来看,SET协议规定运行过程分为以下3个阶段 ① 购买请求阶段 ② 支付确认阶段 ③ 收款阶段
(4)SET与SSL协议的比较 同SSL相比,SET有这样一些区别: 首先,SET对商家提供了保护自己的手段,使商务免受
欺诈的困扰,并且SET向消费者保证了商家的合法性,
保证用户的信用卡号不会被窃取。而SSL相对不安全。
需要不断地检查、评估和调整相应的安全管理策略
一个全方位的电子商务安全管理体系应该从组织上、技 术上、管理上以及法律法规等多方面入手,全面采取电 子商务安全方法措施
(1)建立第三方认证机构,组织行业协会制定安全管 理标准。
(2)全面应用电子商务安全技术,构造多重防范措施。 (3)加强电子商务安全管理,制定安全管理标准。 (4)电子商务的安全影响国家和社会的稳定,应尽快建立
采用公钥密码体制和X.509数字证书标准
(1)SET协议的主要目标 ① 保证电子商务参与者信息的相互隔离。 ② 保证信息在因特网上安全传输,防止数据被黑客或被
内部人员窃取。
③ 解决多方认证问题。
④ 保证网上交易的实时性,使所有的支付过程都是在 线的。
⑤ 提供一个开放式的标准,规范协议和消息格式,促 使不同厂家开发的软件具有兼容性和互操作功能,并且 可运行在不同的硬件和操作系统平台上。
证书的有效期限
颁发者的数字签名(类似 于身份证上公安机关的公 章)
签名所使用的算法
证书所有人的公开密钥
(5)认证中心 认证中心的功能主要是对数字证书进行管理,即负责证
书的申请、审批、发放、归档、撤销、更新和废止等管 理。 电子商务CA认证体系包括两大部分 ① SET CA认证体系
美国非国对家称安加全密局标准:官主要方有标R准S橘A、皮D书SA、
我国相主关要技用术于保标证准电子商Di务ffie中-H数e据llm的an保、密P性GP、等
完整性、真实性和不可抵赖性
2.电子商务安全管理制度及其标准
(1)电子商务安全管理制度 是使用文字和图表的形式对各项安全要求所做的规定 ,
主要包括: ① 人员管理制度。 ② 保密制度。 ③ 跟踪、审计、稽核制度。 ④ 设备管理。
电子商务中的信用问题是指电子商务交易过程中因缺乏 一定的信任关系而导致电子商务的交易成本上升,使交 易复杂化、混乱化,甚至无法正常进行。
完整的信用管理体系应该包含信用信息采集系统、信用 评价及查询系统、信用动态跟踪及反馈系统、信用保障 系统等子系统。
目前已有的信用管理模式: a 以政府为主体的有“网络公证计划”模式 b 以企业为主体的有中介人模式 c 担保人模式 d 网站经营模式和委托授权模式
《2006-2020年国家信息化发展战略》、《关 于加快电子商务发展的若干意见》、《强化 服务促进中小企业信息化意见》
电子商务行业协会、企业网站等也为电子商 务行业信用体系的建设不断地努力。
首先,制定和实施电子商务安全管理标准是电子商务安 全交易的需要。
其次,制定和实施电子商务安全管理标准是电子商务支 付的需要。
电子商务信用保障机制是有效实现其信用管理所必需的,保障机制的 存在意义在于加快建设良好的电子商务信用环境,同时推进整个社会
信用体系的完善。
3.我国电子商务信用管理现状及相关政策 目前我国政府也开始重视社会信用体系的建
立,陆续出台了相关的法律法规、文件,并 鼓励行业协会出台有关的信用标准,推动整 个社会经济的良好发展。
SSL警告协议
应用数据协议
重要概念: SSL R ecord SPSrSoLtSo连Lco会接l 话(SS(CL记oSne录nses协ciot议ino)n)
TCP
IP
服务类型 服务器认证
客户认证 通信的完整性 通信的保密性
作用 通过服务器具有的特定密钥 实现客户机对服务器的认证 确信客户具有合法的信用卡 号,客户认证为可选项 防止黑客修改
发卡机构 Issuer
购买请求
Internet 双方通过网络协商
认证中心 Certificate Authority
购买应答
商家 Merchant
支付授权请求
Internet
支付授权应答
支付网络 Payment network
银行专网
收单银行 Acquirer
支付网关 Payment gateway
(2)电子商务的安全要素
在电子商务交易过程中,交易各方面临的威胁可能有 信息的截获和窃取。 信息的篡改。 信息的假冒。
信息的抵赖。
针对电子商务面临的以上种种威胁,必须采取相应的应对 策略,从多方面的电子商务安全要素入手,保证电子商务 运行的安全实现。 ① 可靠性。② 真实性。 ③ 机密性。④ 完整性。 ⑤ 有效性。⑥ 不可抵赖性。 ⑦ 内部网的严密性。
SSL(安全套接层)协议是一个用来保证安全传输文件的协 议
它主要是使用公开密钥体制和X.509数字证书技术保护信 息传输的机密性和完整性 ,但它不保证信息的不可抵赖 性
主要适用于点对点之间的信息传输。
应用层协议(H TTP、Telnet、FTP、SM TP等)
SSL握手协议
SSL更改密码说 明协议
1.技术方是面一的个标经准过授规权范中心(CA)数字签名的、 a. 早期措施包:含部证分书告申知请、者(另公行开确密认钥拥、有在者线)服务 b. 现在推行:个①人信加息密及标其准公。开密钥的文件。
② 电子商务安全协议。
③ 数字签名标准。
④ 数字证书标准。
c. 信息技术及网络对安称全密标钥准加密标准:DES
2.电子商务安全管理
(1)电子商务安全管理的概念
电子商务的安全管理,指通过一个完整的综合保障系统, 规避电子商务交易过程的风险(信息传输风险、信用风 险、管理风险、法律风险、网上支付风险等),以保证 网上交易的顺利进行。
电子商务的安全管理要求规避的风险主要有: ① 电子商务网络系统自身的安全风险。 ② 电子商务交易信息传输过程中的风险 ③ 电子商务企业内部安全管理风险 ④ 电子商务安全法律风险。 ⑤ 电子商务的信用风险 ⑥ 电子商务安全支付风险
安全协议是指由两个或两个以上的参与者,为完成某项 特定的安全任务而采取的一系列步骤。
电子商务中常用的安全协议有SSL协议、SET协议S-HTTP 协议、First Virtual协议、支票支付协议、现金支付 协议、安全电子邮件协议、Internet EDI协议、以及
STT协议等。
1.SSL(Secure Socket Layer )协议
最后,制定和实施电子商务安全管理标准是社会稳定, 经济繁荣发展的需要。
可以采用的协议有:安全超文本传输协议(STTP) 安全套接层(Secure Sockets Layer,SSL)
安全交易技术协议(Secure Transaction Technology,STT)
电子商务安全安全管电理子标交准易的协内议容(主SE要T有)技术标准、安全管 理制度及其标准、安全管理法律法大范 围内进行经营。而其物流和配送系统并未跟上,这样销售商们常常不
能按时交付商品或不能交付质价相符的商品。
这些现象在很大程度上制约了我国电子商务的快速、健 康发展,随着电子商务在全球范围内的兴起,如果不尽 快改变这种传统的交易方式,将会失去更多的市场份额 和竞争优势。
因此,必须建立电子商务信用管理体系,对企业和相关 商业网站的信用进行评级,验证客户真实身份,同时还 应不断收集客户资料,评估和授予信用额度,保障债权, 保障应收账款安全和及时回收,为电子商务的发展营造 一个较为宽松的信用环境,推动电子商务市场的健康发 展,它是企业信用管理体系的重心。
2.电子商务信用管理体系
经济控制与电子商务
国际交流与合作:
曾赴加拿大多伦多大学管理学院做访问学者
联系电话:021-62373937
EMAIL:tangby@
第8章 电子商务安全管理及技术
一个全方位的电子商务安全管理体系应该从 组织上、技术上、管理上以及法律法规等多 方面入手,全面采取电子商务安全方法措施, 这样才能极大地实现电子商务的安全,保证 电子商务交易的顺利进行。
支持加密和解密
(4)SSL存在的问题 存在被攻击修改的可能 使用复杂的数学公式 ,高强度的计算会使服务器停顿 在电子商务系统的应用中存在很多弊端
2.SET(Secure Electronic Transaction ) 协议
是一种基于银行卡而进行的为电子交易提供安全措施的 规则,能广泛应用于因特网的安全电子支付协议
(2)电子商务安全与管理
在如何正确看待电子商务的安全与管理时,需要注意几点: 安全是一个系统的概念。
不仅有技术,还有管理 安全是相对的。
不要追求一个永远也攻不破的安全技术。
安全是有成本和代价的。 如果不直接牵涉到支付等敏感问题,对安全的要求就
低一些;反之,就高一些。 安全是发展的、动态的。
(2)SET系统的构成 ① 持卡人(Cardholder) ② 商家(Merchant)。 ③ 发卡机构(Issuer) ④ 收单银行(Acquirer) ⑤ 支付网关(Payment Gateway)
⑥ 认证中心(Certification Authority)
持卡人 Cardholder
汤兵勇教授
汤兵勇,1950年3月出生。东华大学旭日工商管理学院信息管 理学科教授、博士生导师。全国经济数学与管理数学学会第二 常务副理事长。主要研究成果有“社会经济大系统协调发展模 型”、“上海市电子商务管理办法”等40余项。发表“市场经 济控制论”、“模糊模型的辨识及应用”等论文200余篇,出 版著作10余部
1.电子商务安全 (1)电子商务安全的内涵
电子商务的安全是一个广泛而系统的概念, 不仅包含着计算机系统结构、网络通信技术、 电子商务应用环境、人员素质等方面的安全, 而且还与电子商务立法息息相关 。
电子商务安全从整体上可以分为两大部分: 计算机网络安全和商务交易安全。
计算机网络安全与电子商务交易安全实际上 是密不可分的,两者相辅相成,缺一不可。
收信人才能阅读通信的内容。
数字证书是一个担保个人、计算机系统或者组织的身份 和密钥所有权的电子文档,它是由一个权威机构发行的, 人们可以在交往中用它来识别对方的身份 。
数字证书采用公钥体制
数字证书的内容:
申请者信息
证书序列号(类似于身份 证号码)
颁发者信息 颁发者名称
证书主题(即证书所有人 的名称)
健全电子商务法律法规。
电子商务 信用的管理
1.电子商务 信用管理 的必要性
2.电子商务 信用管理体系
3.我国电子
商务信用管 理现状及相关
政策
1.电子商务信用管理的必要性
面对电子商务的蓬勃发展趋势,电子商务交易的信用危机却悄然袭来。 如,虚假交易、假冒行为、合同诈骗、网上拍卖哄抬价等行为屡屡发 生,客观上要求规范电子商务交易市场秩序。
⑤ 用户管理。 ⑥ 病毒防范。 ⑦ 应急措施(即灾难恢复) (2)电子商务信用管理标准 行业标准 信用标准
3.电子商务安全管理法律、法规、国家政策
目前,已有50多个包括国际组织、国家和地区制定了电子 商务法或相应的标准。
我国也出台了许多有关互联网络安全、电子商务交易管理 以及电子信息效力的法律法规和指导意见,如: 《中华人们共和国电子签名法》 《商务部关于促进电子商务规范发展的意见》 《中国国际经济贸易仲裁委员网上仲裁规则》
1. 加密技术 明文 密文 2. 认证技术
判明和确认贸易参与者的真实身份。
主要有:基于密码的认证方式 、
加密 基于生解物密特征的认证密方钥式 、
基于一次性口令的认证方式 、
基于USB Key的认证方式
(1)身份认证
(2)数字签名 (3)数字时数 数间字字戳时信与间封戳是数是用字用加信来密证技封明术消来息保的证收只发有时特间定。的
其次,SET是一个多方的报文协议,而SSL只是简单地在 两方之间建立一条安全连接。SSL是面向连接的,而SET 允许各方之间报文的交换不是实时的。
使用SET比SSL昂贵得多。 最后,SET提供了比SSL更完整的用于电子商务的卡支付
系统,它定义了各方的互操作接口,从而有效地降低了 金融风险。
现阶段常用的几种身电份认子证商就务是在安电全子管商务理交技易术过程:中,
综合来看,SET协议规定运行过程分为以下3个阶段 ① 购买请求阶段 ② 支付确认阶段 ③ 收款阶段
(4)SET与SSL协议的比较 同SSL相比,SET有这样一些区别: 首先,SET对商家提供了保护自己的手段,使商务免受
欺诈的困扰,并且SET向消费者保证了商家的合法性,
保证用户的信用卡号不会被窃取。而SSL相对不安全。
需要不断地检查、评估和调整相应的安全管理策略
一个全方位的电子商务安全管理体系应该从组织上、技 术上、管理上以及法律法规等多方面入手,全面采取电 子商务安全方法措施
(1)建立第三方认证机构,组织行业协会制定安全管 理标准。
(2)全面应用电子商务安全技术,构造多重防范措施。 (3)加强电子商务安全管理,制定安全管理标准。 (4)电子商务的安全影响国家和社会的稳定,应尽快建立
采用公钥密码体制和X.509数字证书标准
(1)SET协议的主要目标 ① 保证电子商务参与者信息的相互隔离。 ② 保证信息在因特网上安全传输,防止数据被黑客或被
内部人员窃取。
③ 解决多方认证问题。
④ 保证网上交易的实时性,使所有的支付过程都是在 线的。
⑤ 提供一个开放式的标准,规范协议和消息格式,促 使不同厂家开发的软件具有兼容性和互操作功能,并且 可运行在不同的硬件和操作系统平台上。
证书的有效期限
颁发者的数字签名(类似 于身份证上公安机关的公 章)
签名所使用的算法
证书所有人的公开密钥
(5)认证中心 认证中心的功能主要是对数字证书进行管理,即负责证
书的申请、审批、发放、归档、撤销、更新和废止等管 理。 电子商务CA认证体系包括两大部分 ① SET CA认证体系
美国非国对家称安加全密局标准:官主要方有标R准S橘A、皮D书SA、
我国相主关要技用术于保标证准电子商Di务ffie中-H数e据llm的an保、密P性GP、等
完整性、真实性和不可抵赖性
2.电子商务安全管理制度及其标准
(1)电子商务安全管理制度 是使用文字和图表的形式对各项安全要求所做的规定 ,
主要包括: ① 人员管理制度。 ② 保密制度。 ③ 跟踪、审计、稽核制度。 ④ 设备管理。
电子商务中的信用问题是指电子商务交易过程中因缺乏 一定的信任关系而导致电子商务的交易成本上升,使交 易复杂化、混乱化,甚至无法正常进行。
完整的信用管理体系应该包含信用信息采集系统、信用 评价及查询系统、信用动态跟踪及反馈系统、信用保障 系统等子系统。
目前已有的信用管理模式: a 以政府为主体的有“网络公证计划”模式 b 以企业为主体的有中介人模式 c 担保人模式 d 网站经营模式和委托授权模式
《2006-2020年国家信息化发展战略》、《关 于加快电子商务发展的若干意见》、《强化 服务促进中小企业信息化意见》
电子商务行业协会、企业网站等也为电子商 务行业信用体系的建设不断地努力。
首先,制定和实施电子商务安全管理标准是电子商务安 全交易的需要。
其次,制定和实施电子商务安全管理标准是电子商务支 付的需要。
电子商务信用保障机制是有效实现其信用管理所必需的,保障机制的 存在意义在于加快建设良好的电子商务信用环境,同时推进整个社会
信用体系的完善。
3.我国电子商务信用管理现状及相关政策 目前我国政府也开始重视社会信用体系的建
立,陆续出台了相关的法律法规、文件,并 鼓励行业协会出台有关的信用标准,推动整 个社会经济的良好发展。
SSL警告协议
应用数据协议
重要概念: SSL R ecord SPSrSoLtSo连Lco会接l 话(SS(CL记oSne录nses协ciot议ino)n)
TCP
IP
服务类型 服务器认证
客户认证 通信的完整性 通信的保密性
作用 通过服务器具有的特定密钥 实现客户机对服务器的认证 确信客户具有合法的信用卡 号,客户认证为可选项 防止黑客修改
发卡机构 Issuer
购买请求
Internet 双方通过网络协商
认证中心 Certificate Authority
购买应答
商家 Merchant
支付授权请求
Internet
支付授权应答
支付网络 Payment network
银行专网
收单银行 Acquirer
支付网关 Payment gateway
(2)电子商务的安全要素
在电子商务交易过程中,交易各方面临的威胁可能有 信息的截获和窃取。 信息的篡改。 信息的假冒。
信息的抵赖。
针对电子商务面临的以上种种威胁,必须采取相应的应对 策略,从多方面的电子商务安全要素入手,保证电子商务 运行的安全实现。 ① 可靠性。② 真实性。 ③ 机密性。④ 完整性。 ⑤ 有效性。⑥ 不可抵赖性。 ⑦ 内部网的严密性。
SSL(安全套接层)协议是一个用来保证安全传输文件的协 议
它主要是使用公开密钥体制和X.509数字证书技术保护信 息传输的机密性和完整性 ,但它不保证信息的不可抵赖 性
主要适用于点对点之间的信息传输。
应用层协议(H TTP、Telnet、FTP、SM TP等)
SSL握手协议
SSL更改密码说 明协议
1.技术方是面一的个标经准过授规权范中心(CA)数字签名的、 a. 早期措施包:含部证分书告申知请、者(另公行开确密认钥拥、有在者线)服务 b. 现在推行:个①人信加息密及标其准公。开密钥的文件。
② 电子商务安全协议。
③ 数字签名标准。
④ 数字证书标准。
c. 信息技术及网络对安称全密标钥准加密标准:DES
2.电子商务安全管理
(1)电子商务安全管理的概念
电子商务的安全管理,指通过一个完整的综合保障系统, 规避电子商务交易过程的风险(信息传输风险、信用风 险、管理风险、法律风险、网上支付风险等),以保证 网上交易的顺利进行。
电子商务的安全管理要求规避的风险主要有: ① 电子商务网络系统自身的安全风险。 ② 电子商务交易信息传输过程中的风险 ③ 电子商务企业内部安全管理风险 ④ 电子商务安全法律风险。 ⑤ 电子商务的信用风险 ⑥ 电子商务安全支付风险
安全协议是指由两个或两个以上的参与者,为完成某项 特定的安全任务而采取的一系列步骤。
电子商务中常用的安全协议有SSL协议、SET协议S-HTTP 协议、First Virtual协议、支票支付协议、现金支付 协议、安全电子邮件协议、Internet EDI协议、以及
STT协议等。
1.SSL(Secure Socket Layer )协议
最后,制定和实施电子商务安全管理标准是社会稳定, 经济繁荣发展的需要。
可以采用的协议有:安全超文本传输协议(STTP) 安全套接层(Secure Sockets Layer,SSL)
安全交易技术协议(Secure Transaction Technology,STT)
电子商务安全安全管电理子标交准易的协内议容(主SE要T有)技术标准、安全管 理制度及其标准、安全管理法律法大范 围内进行经营。而其物流和配送系统并未跟上,这样销售商们常常不
能按时交付商品或不能交付质价相符的商品。
这些现象在很大程度上制约了我国电子商务的快速、健 康发展,随着电子商务在全球范围内的兴起,如果不尽 快改变这种传统的交易方式,将会失去更多的市场份额 和竞争优势。
因此,必须建立电子商务信用管理体系,对企业和相关 商业网站的信用进行评级,验证客户真实身份,同时还 应不断收集客户资料,评估和授予信用额度,保障债权, 保障应收账款安全和及时回收,为电子商务的发展营造 一个较为宽松的信用环境,推动电子商务市场的健康发 展,它是企业信用管理体系的重心。
2.电子商务信用管理体系