第08章 电子商务安全技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
8.9 信息安全管理
4.目前的技术人员多偏重于网路、主机及应用 系统开发,安全管理的力量薄弱; 5.缺少法律法规的约定方法去进行管理。 6.信息安全管理应该是全员参与领导支持,但 是多数企业的领导还是没有时间和精力顾及这 方面的工作。
8.9 信息安全管理 • 8.9.3 信息安全管理标准 1.国际信息安全管理标准
DOS病毒、Windows病毒和宏病毒
• 8.2.2网络病毒及其防范
特洛伊木马和邮件病毒
• 8.2.3 网上炸弹及其防范
IP炸弹、邮件炸弹、ICQ/QICQ炸弹
8.3 防火墙技术
8.3.1 防火墙定义 防火墙是: 内部网与外部网之间 安全防范 访问控制机制 8.3.2 防火墙技术 数据ቤተ መጻሕፍቲ ባይዱ过滤 应用网关 代理服务 8.3.3 防火墙技术的发展
ISO/IEC13335、ISO/IEC 27000系列
2、我国信息安全管理相关标准
GB17895-1999《计算机信息系统安全保护等级划分准则》 GB/T 18336:2001 信息技术安全性评估准则 GB/T 20269-2006《信息安全技术信息系统安全管理要求》
8.9.4 信息安全管理体系模型
• 8.5.2 CA认证中心及数字证书 CA是一个负责发放和管理数字证书的权威机构
8.5 基于公开密钥体系体系的数字证书认证技术
• 8.5.3 数字证书类型 个人身份证书 企业身份证书 服务器身份证书 企业代码签名证书 安全电子邮件证书
8.6 安全套接层(SSL)协议
• 8.6.1 概述
SSL(Secure Sockets Layer)安全套接层协议:
8.9 信息安全管理 • 8.9.2 我国信息安全管理现状
1. 缺乏权威、统一立法管理机构,致使一些信息安全管 理方面的法律法规不成体系和执行难度较大。 2.在IT系统建设过程中没有充分考虑,导致后期安全建 设和管理工作比较被动,同时业务的发展及IT的建设 与信息安全管理建设不对称; 3.目前现状多局限于局部性地使用安全产品,或使用有 洞补洞的方式被动地解决问题,缺乏科学的、全面的 安全管理规划;
8.4.5 一种组合的加密协议解密过程:
8.5 基于公开密钥体系体系的数字证书认证技术
• 8.5.1 公开密钥体系的定义
公开密钥体系(Public Key Infrastructure:PKI), 是一种遵循既定标准的密钥管理平台,是为网 络应用提供加密和数字签名等密码服务及所需 密钥和证书的管理体系。
提供了两台计算机之间的安全连接,对整个会话进 行了加密,从而保证了安全传输
SSL协议分为两层:SSL握手协议和SSL记
录协议
8.6 安全套接层(SSL)协议
• 8.6.2 SSL协议安全连接特点:
(1)连接是保密的 (2)连接是可靠的 (3)对端实体的鉴别采用非对称密码体制进 行认证。
SSL握手协议
《电子商务概论》
第8章 电子商务安全技术
目 录
8.1 电子商务中安全要素及面临的安全问题 8.2 病毒及黑客防范技术 8.3 防火墙技术 8.4 加密算法 8.5 基于公开密钥体系的数字证书认证技术 8.6 安全套接层(SSL)协议 8.7 安全电子交易(SET)分析 8.8 Windows 系统中证书的应用 8.9 信息安全管理
8.4 加密算法
8.4 加密算法 • 8.4.1对称密钥加密算法 DES(Data Enercryption Standard) • 8.4.2非对称密钥加密算法 RSA(Rivest ShamirAd1eman) • 8.4.3散列函数 MD-5、SHA
8.4.4 一种组合的加密协议加密过程:
8.8 Windows 系统中证书的应用
• 8.8.1 在Windows系统中使用个人数字证书 • 8.8.2 服务器证书申请及安装 • 8.8.3 Windows2000系统中证书服务的安装
8.9 信息安全管理
• 8.9.1 建立信息安全管理体系的作用与意义
信息安全管理体系ISMS (Information Securitry Management Systems)是组织在整 体或特定范围内建立信息安全方针和目标,以 及完成这些目标所用方法的体系。
本章小结(作业与讨论):
1、从商务的角度分析电子商务系统的安全要素? 2、RSA、DES加密算法各有什么特点? 3、如何安装数字证书?
SSL记录协议
• • • • •
内容类型 协议版本号 长度 数据有效载荷 信息验证码
8.7 安全电子交易SET分析 • 8.7.1 安全电子商务模型
Internet
商家
持卡人
证书权威机构
Internet
发卡者
支付网络
支付者
支付网关
8.7 安全电子交易SET分析
• 8.7.2 SET的购物流程
• 8.7.3 SET的认证
8.1 电子商务中安全要素及面临的安全问题
• 8.1.1 电子商务的基本安全要素 有效性 机密性 完整性 可靠性/不可抵赖性/可鉴别性 审查能力
8.1 电子商务中安全要素及面临的安全问题 • 8.1.2 电子商务中的安全问题 信息泄漏 窜改 身份识别问题 电脑病毒问题 黑客问题
8.2 病毒及黑客防范技术 • 8.2.1.单机病毒
8.9 信息安全管理 建立信息安全管理体系产生的作用:
1.强化员工的信息安全意识,规范组织信息安全行为; 2.对组织的关键信息资产进行全面系统的保护,维持竞 争优势; 3.在信息系统受到侵袭时,确保业务持续开 展并将损失降到最低程度; 4.使组织的生意伙伴和客户对组织充满信心; 5.如果通过体系认证,表明体系符合标准,证明组织有 能力保障重要信息,提高组织的知名度与信任度; 6.促使管理层坚持贯彻信息安全保障体系。
PDCA模型
8.9 信息安全管理 • 8.9.5 信息安全管理体系建设思路
建立信息安全管理体系的主要步骤:
1.信息安全管理体系策划与准备 2.确定信息安全管理体系适用的范围 3.现状调查与风险评估 4.建立信息安全管理框架 5.信息安全管理体系文件编写 6.信息安全管理体系的运行与改进 7.信息安全管理体系审核