第1章电子商务安全及电子支付概述.pptx

第1章电子商务安全与电子支付概述作者：孟显勇清华大学出版社;1．电子商务安全的现状 随着信息技术和电子商务的发展，传统的交易方式逐步被电子化交易方式取代，例如网上商城、网上书店、网上影院、数字图书馆、网上银行等，交易的电子化已经成为信息经济发展的必然趋势，电子商务的高效率、低成本和国际化等特点使其迅速发展成为未来交易的主流模式。;2．电子商务安全的特性 · 电子商务安全是一个系统的概念。电子商务系统的安全水平由系统安全性最薄弱的环节决定，因此要以全局和整体的角度来研究电子商务系统安全。电子商务系统安全包括网络安全、信息安全和安全管理。同时，电子商务系统是一个商务系统，还要考虑电子签名法与经济法的相关问题。 · 电子商务安全是相对的。电子商务系统安全水平与电子商务系统的使用者对电子商务系统的安全需求密切相关，银行与企业、大型企业与中小型企业或不同行业类别的企业对电子商务系统的安全性需求都有所不同，电子商务系统安全性要求越高自然系统造价就越高，反之，系统造价就越低。;2．电子商务安全的特性 · 电子商务安全是发展的、动态的。电子商务系统是通过不断提高安全技术和管理水平来实现系统的持久安全，因为，网络攻击技术和手段是随着网络技术、信息安全技术和网络管理技术提高而不断改进。攻与防两者之间是一个辩证的发展过程，有着此消彼长、道高一尺魔高一丈的密切关联。;?;网络安全问题的表现形式 （1）网络系统设施的安全问题。网络设施的安全问题主要包括不可抗力的自然灾害引起的网络设备损坏和恶意的人为破坏引起的网络设备故障。 （2）防范各种网络攻击问题。Internet网络安全协议和TCP/IP协议的设计缺乏安全性，导致网络通信系统的安全性具有内在无法避免的缺陷和脆弱性，因此使利用各种网络协议漏洞进行网络攻击的花样层出不穷，使各国政府和相关机构花费大量的人力和物力来维护网络系统安全。 （3）安全维护人员管理问题。网络安全技术和网络安全管理是实现网络系统安全的基本保障，很多网络系统配置了新型网络设备，甚至花费巨资打造安全的信息系统。;2.计算机网络安全措施 （1）保护网络系统安全。 · 阻断直接攻击。采取物理隔离或逻辑隔离来保证重要的设备和数据的安全。 · 通过访问控制策略控制权限。建立网络设备间的资源访问权限，加强权限管理和认证。 · 加强数据保密和认证。通过加密技术和数字签名技术保证数据在公网上传输的安全性。 · 完善审计制度。对系统操作建立详细的安全审计日志，以便检测和跟踪入侵行为。 · 制定完善的系统安全策略。通过系统安全策略来强化系统自动防御各种常见网络攻击的能力。 · 安装桌面安全管理软件、防病毒软件或软件防火墙。;2.计算机网络安全措施 （2）保护网络应用和服务安全。 · 保证网络应用和服务的安全运行。 · 正确配置和管理网络应用和服务。 · 严格管理和检测网络应用和服务的安全审计日志。;操作系统安全 在电子商务安全体系架构中，操作系统安全是指计算机系统对电子商务应用系统的硬件和软件进行安全、有效地控制，并保证基本的网络通信、网络应用和网络服务能够可靠运行，主要包括网络服务器操作系统安全和PC机操作系统安全。 2. 数据库安全 数据库安全是利用数据库管理软件或通过相关应用程序对电子商务系统的数据库进行有效地控制和管理，保证数据的安全性、可用性、保密性和完整性。;网络安全 网络安全是通过网络安全通信协议、系统安全策略和安全通信技术来实现网络系统设备的安全运行和通信数据的安全传输。 4. 病毒防护 病毒防护就是通过病毒查杀系统或防火墙对系统病毒进行侦测、隔离和清除，并对电子商务系统进行有效地恢复。;访问控制 访问控制是指计算机系统通过控制系统资源的访问权限来实现系统安全的管理策略。合理配置电子商务系统资源的访问控制策略，可以有效地阻止网络攻击和入侵。 加密与鉴别 加密是保证电子商务系统数据保密性的基本措施，通过标准加密算法对电子商务系统传输的交易数据进行加密和解密处理，以保证交易数据在公共网络上传输的保密性。 鉴别是电子商务系统实体之间相互认证身份的安全技术基础，身份鉴别要通过数字签名和数字认证技术来实现，电子商务信息的接收者通过对发送者身份的数字认证才能做出身份鉴别。;电子交易风险管理是指电子交易流程的风险管理、技术风险管理以及人员风险管理等。 （1）电子交易的流程风险管理。交易流程风险是指电子商务系统的交易流程设计是否得当，将直接影响电子商务交易系统的公平性、易用性和安全性。 （2）电子交易的技术风险管理。电子商务系统的安全水平由系统中最薄弱环节的安全水平决定。电子商务系统在设计的过程中难免会存在安全漏洞和缺陷，系统越复杂安全缺陷就越多，攻击者通过扫描和分析就可以发现电子商务系统的安全漏洞，因此，减少电子商务系统的安全漏洞可