PPT
【文档说明】第八章:电子商务安全管理.pptx,共(71)页,1.421 MB,由精品优选上传
转载请保留链接:https://www.ichengzhen.cn/view-333100.html
以下为本文档部分文字说明:
电子商务教学大纲教学内容教学案例教学参考徐明祥第八章电子商务安全管理安全问题安全技术案例分析8电子商务教学大纲教学内容教学案例教学参考徐明祥9电子商务教学大纲教学内容教学案例教学参考徐明祥第一节电子商的安
全问题案例➢国外2000年2月7日-9日,Yahoo,ebay,Amazon等著名网站被黑客攻击,直接和间接损失10亿美元。➢国内2000年春天,有人利用普通的技术,从电子商务网站窃取到8万个信用卡号和密码,标价26万元出售。2006年,“熊猫烧香”病毒大规模爆发。这种
病毒比以往的病毒要厉害,不仅能破坏电脑文件,还能使局域网瘫痪,如果受感染的文件处理不当,将很难修复,杀伤力很强。目前查明的病毒变种有600多个,造成全国超过200万电脑用户受害。10电子商务教学大纲教学内容教学案例教学参考徐明祥0.00%5.00%10.00%15.0
0%20.00%25.00%30.00%35.00%40.00%45.00%安全性得不到保障产品质量、售后服务及厂商信用得不到保价格不够诱人其它系列2➢CNNIC调查结果(2003年1月)11电子商务教学大纲教学内容教学案例教学参考徐
明祥McAfee发布07十大安全威胁迈克菲(McAfee)旗下防病毒和漏洞紧急响应小组McAfeeAvert实验室近期发布了2007年的十大安全威胁预测。根据McAfeeAvert实验室的数据,超过21.7万个
不同类型的已知威胁和数千个威胁还没有被发现,很明显由专业和有组织的犯罪所发布的恶意软件正在不断上升。2007年十大安全威胁如下:假冒流行在线服务站点(比如eBay)、垃圾邮件、移动电话攻击、广告软件、漏洞、身份盗取和数据丢失、传播恶意代码(MPEG的文件)、自动执行任务的电脑程序、僵尸
网络、寄生恶意软件或能在磁盘上更改现有文件的病毒。08年十大安全威胁预测Web2.0攻击居首12电子商务教学大纲教学内容教学案例教学参考徐明祥电子商务安全交易的要求类型➢有效性确保贸易资料在确定的时刻、确定的地点是有效的➢保密性要预防非法的信息存取和信息在
传播过程中被非法窃取。➢合法性网上交易各方的工作要符合可适用的法律和法规。➢完整性要预防对信息的随意生成、修改和删除,同时要防止资料传输过程中信息的丢失和重复,以保证信息传送次序的统一。➢交易者身份的确定性➢不可修改性在电子商务活动中,交易的文件是不可修改的。➢不可否认(或不可
抵赖)性为参与交易的个人、企业或国家提供可靠的标识。13电子商务教学大纲教学内容教学案例教学参考徐明祥影响电子商务安全的因素物理安全保护计算机主机硬件和物理线路的安全,保证其自身的可靠性和为系统提供基本安全机制。影响物理安全的重要因素:火灾、自然灾害、辐射、硬件故障、搭
线窃听、盗窃、偷窃、和超负荷。网络安全网络层面的安全。相对于单机,计算机网络不安全的因素更多。原因:因为理论上网络上的计算机有可能被网上任何一台主机攻击或插入物理网络攻击;大部分的Internet协议没有进行安全性设计;网络服务器程序经常需要用超级用户特权来执行。14
电子商务教学大纲教学内容教学案例教学参考徐明祥影响电子商务安全的因素系统软件安全指保护软件和资料不会被窜改、泄露、破坏、非法复制(包括有意或无意)。系统软件安全的目标是使计算机系统逻辑上安全,使系统中的信息存取、处理
和传输满足系统安全策略的要求。系统软件安全可分为:操作系统、数据库、网络软件、应用软件等的安全。人员管理安全防止内部人员的攻击。包括:雇员的素质、敏感岗位的身份识别、安全培训、安全检查等人员管理安全问题。电子商务
安全立法通过健全法律制度和完善法律体系,来保证合法网上交易的权益,同时对破坏合法网上交易权益的行为进行依法严惩。15电子商务教学大纲教学内容教学案例教学参考徐明祥销售者面临的安全威胁中央
系统安全性被破坏入侵者假冒成合法用户来改变用户数据(如商品送达地址)、解除用户订单或生成虚假订单。竞争者检索商品递送状况恶意竞争者以他人的名义来订购商品,从而了解有关商品的递送状况和货物的库存情况。客户资料被竞争者获悉被他人假冒而损害公司的信誉不诚实的人建立与销售者服务器名字相同的另一
个服务器来假冒销售者。消费者提交订单后不付款提供虚假订单获取他人的机密数据16电子商务教学大纲教学内容教学案例教学参考徐明祥消费者面临的安全威胁虚假订单一个假冒者可能会以某客户的名字来订购商品,而且有可能收到商品,而此时这一客户却被要求付款或返还商品。付
款后不能收到商品在要求客户付款后,销售商中的内部人员不将定单和钱转发给执行部门,因而使客户不能收到商品。机密性丧失客户有可能将秘密的个人数据或自己的身份数据(如账号、口令等)发送给冒充销售商的机构,这些信息也可能会在传递过程中被窃
取。拒绝服务攻击者可能向销售商的服务器发送大量的虚假定单来穷竭它的资源,从而使合法用户不能得到正常的服务。17电子商务教学大纲教学内容教学案例教学参考徐明祥电子商务安全类型信息传输风险➢信息丢失因线路问题、安全措施不当
、不同的操作平台上转换操作不当等丢失信息。➢篡改数据、虚假信息攻击者未经授权进人网络交易系统,使用非法手段,删除、修改、重发某些重要信息,破坏数据的完整性,损害他人的经济利益,或干扰对方的正确决策,造成网上交易的信息传输风险。➢信息传递过程中的破坏、冒名偷窥病毒的侵袭、黑客非法侵入、
线路窃听等很容易使重要数据在传递过程中泄露,威胁电子商务交易的安全。此外,各种外界的物理性干扰,如通信线路质量较差、地理位置复杂、自然灾害等,都可能影响到数据的真实性和完整性。18电子商务教学大纲教学内容教学案例教学参考徐明祥电子商务
安全类型交易信用风险➢卖方的信用风险个人消费者信用卡恶意透支,或使用伪造的信用卡骗取卖方的货物;集团购买者,存在拖延货款的可能,卖方需要为此承担风险。➢买方的信用风险卖方不能按质、按量、按时寄送消费者购买的货物,或者不能完全履行与集团购买者签订的合同,造成买方的风险。➢买卖双方都存
在抵赖的情况网上交易时,物流与资金流在空间上和时间上是分离的,再加上网上交易一般是跨越时空的,交易双方很难面对面地交流,信用的风险就很难控制。这就要求网上交易双方必须有良好的信用,而且有一套有效的信用机制降低信用风险。19电子商务教学大纲教学内容教学案例教学参考徐明祥电
子商务安全类型管理风险交易流程管理风险在网络商品中介交易的过程中,买卖双方签订合同,交易中心不仅要监督买方按时付款,还要监督卖方按时提供符合合同要求的货物。人员管理风险近年来我国计算机犯罪大都呈现内部犯罪的趋势,如:招募新人潜入竞争对手
,或利用不正当方式收买企业网络交易管理人员,窃取企业的用户识别码、密码、传递方式以及相关的机密文件资料。交易技术管理风险网络交易技术管理的漏洞也带来较大的交易风险。有些操作系统的某些用户是无口令的,如匿名访问,利用远程登陆命令登陆这些无
口令用户,允许被信任用户不需要口令就可以进人系统,然后把自己升级为超级用户。20电子商务教学大纲教学内容教学案例教学参考徐明祥电子商务安全类型法律风险➢法律滞后而无法保证合法交易的权益所造成的风险,如通过网络达成交易合同,可能因为法律条文还没有承认数字化合同的法律效力而面临失
去法律保护的危险。➢法律的事后完善所带来的风险。即在原来法律条文没有明确规定下而进行了网上交易,在后来颁布新的法律条文下却属于违法经营,从而造成巨大损失。病毒和黑客攻击的风险环境的不安全因素(自然灾害/事故)环境因素(包括:地震、火灾
、水灾、风灾等自然灾害;调电、停电事故;以及其它不可预测的不安全因素)也是威胁网络安全的因素之一。21电子商务教学大纲教学内容教学案例教学参考徐明祥物理实体安全措施(自然灾害防范等)数据信息安全(数据的加密解密如加密解密算
法、密钥管理)软件系统安全措施(操作系统、应用软件安全,数据库安全,数据完整性)通讯网络安全措施(网络安全、病毒防范)硬件系统安全措施(防范计算机设备被盗等)法律制度道德政策电子商务安全管理模型22电子商务教学大纲
教学内容教学案例教学参考徐明祥第二节电子商的安全技术数字加密技术有关加密技术的基本概念➢加密:采用某种规则(算法和密钥)对原始信息(“明文”)进行编码或某种变换,使它成为不可理解的形式(“密文”)。这个过程就是加密(加密需要两个输入项:明文和加密密钥)。➢解密:将密文还原成
原来可理解的原始信息(即:“明文”)。是加密的逆过程(解密也需要两个输入项:密文和解密密钥)。➢规则(算法和密钥):加密和解密必须依赖两个要素,这两个要素就是算法和密钥。算法是加密或解密的一步一步过程(或计算方法),在这一过程中需要一串数字,这串数字
就是密钥。23电子商务教学大纲教学内容教学案例教学参考徐明祥数字加密技术案例例如:将字母a,b,c,d,e,…x,y,z的自然顺序保持不变,但使之与D,E,F,G,H,…,Y,Z,A,B分别对应(即相差3个字符)。若明文为and,则对应密文为DQG。(接收方知其密码为3,它
就能解开此密文)。24电子商务教学大纲教学内容教学案例教学参考徐明祥数字加密技术案例明文加(解)密规则密文算法密钥revolution从第一个字母开始从前往后每隔2个字母取1个字母,按顺序排列。每隔2个字母取1个,共排列10个字母获得密文如下:
rotnvuoeli获得明文如下:revolution从第一个字母开始从后往前每隔2个字母取1个字母,按顺序排列。每隔2个字母取1个,共排列10个字母rotnvuoeli25电子商务教学大纲教学内容教学案例教学参考徐
明祥数字加密技术对称密钥密码体系(SymmetricCryptography)对称密钥密码体系的优点是加密、解密速度很快(高效),但缺点也很明显:密钥难于共享,需太多密钥。算法如:数据加密标准(DES)
、高级加密标准(AES)、三重DES、Rivest密码等加密原文加了密原文原文密钥解密texttext+1-1ufyu26电子商务教学大纲教学内容教学案例教学参考徐明祥数字加密技术非对称密钥密码体系(AsymmetricCryp
tography)➢非对称密钥技术的优点是:易于实现,使用灵活,密钥较少。弱点在于要取得较好的加密效果和强度,必须使用较长的密钥。算法如:RSA算法。加密原文加了密的原文原文解密公钥私钥27电子商务教学大纲教学内容教学案例教学参考徐明祥数字加密技术数字信
封当发信方需要发送信息时首先生成一个对称密钥,用这个对称密钥加密所需发送的报文;然后用收信方的公开密钥加密这个对称密钥,连同加密了的报文一同传输到收信方。收信方首先使用自己的私有密钥解密被加密的对称密钥,再用该对
称密钥解密出真正的报文。经加密的密钥私人密钥B加密解密公开密钥B对称密钥对称密钥普通报文普通报文密文AB28电子商务教学大纲教学内容教学案例教学参考徐明祥数字加密技术数字签名与数字指纹Hash编码法采用单向Hash函数将需
加密的明文“摘要”成一串128位的密文,这128位的密文就是所谓的数字指纹,又称信息鉴别码(MAC,MessageAuthenticatorCode),它有固定的长度,且不同的明文摘要成不同的密文,而同样的明文其摘要必定一致。数字指纹保证信息的完
整性和不可否认性。29电子商务教学大纲教学内容教学案例教学参考徐明祥数字加密技术数字签名数字签名的过程Hash算法原文摘要摘要?原文摘要Internet发送方接收方Hash算法数字签名发送者私钥加密数字签名发送者公钥
解密对比和验证是否正确?30电子商务教学大纲教学内容教学案例教学参考徐明祥指一个由软件和硬件设备组合而成,是加强因特网与内部网之间安全防范的一个或一组系统。它具有限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。它可以确定哪些内部服务允许外部访问,哪些外部服务可由内部
人员访问,即它能控制网络内外的信息交流,提供接入控制和审查跟踪,是一种访问控制机制。➢防火墙的安全策略“凡是未被准许的就是禁止的”“凡是未被禁止的就是允许的”防火墙(firewall)31电子商务教学大纲教学内容教学案例教学参考徐
明祥InternetIntranetE-Mail服务器Web服务器内部客户机数据库外部WWW客户防火墙防火墙(firewall)32电子商务教学大纲教学内容教学案例教学参考徐明祥包过滤型防火墙➢包过滤型防火墙往往可以用一台过
滤路由器来实现,对所接收的每个数据包做允许或拒绝的决定。➢包过滤路由器型防火墙的优点:处理包的速度要比代理服务器快;➢包过滤路由器型防火墙的缺点:防火墙的维护比较困难等过滤路由器Internet内部网络防火墙(firewall)33电子商务教学大纲教学内容教学案例
教学参考徐明祥双宿网关防火墙NIC代理服务器NICInternet内部网络双宿网关是一种拥有两个连接到不同网络上的网络接口的防火墙。两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。要求:为了
保证内部网的安全,双重宿主主机应具有强大的身份认证系统,才可以阻挡来自外部不可信网络的非法登录。防火墙(firewall)34电子商务教学大纲教学内容教学案例教学参考徐明祥屏蔽主机防火墙过滤路由器堡
垒主机Internet内部网络屏蔽主机防火墙强迫所有的外部主机与一个堡垒主机相连接,而不让它们直接与内部主机相连。屏蔽主机防火墙包过滤路由器和堡垒主机组成。这个防火墙系统提供的安全等级比包过滤防火墙系统要高,因
为它实现了网络层安全(包过滤)和应用层安全(代理服务)。防火墙(firewall)35电子商务教学大纲教学内容教学案例教学参考徐明祥屏蔽子网防火墙外部过滤路由器堡垒主机Internet内部网络内部过滤路由器屏蔽子网防火墙系统用了两个包过滤路由器和一个堡垒主机。这个防火墙系统建
立的是最安全的防火墙系统,因为在定义了“非军事区”网络后,它支持网络层和应用层安全功能。网络管理员将堡垒主机,信息服务器,Modem组,以及其它公用服务器放在“非军事区”网络中。防火墙(firewall)36电子商务教学大纲
教学内容教学案例教学参考徐明祥虚拟专网(VPN)技术防火墙(firewall)➢VPN(VirtualPrivateNetworks)是构建在公用网络(如Internet)基础设施之上的专用网络,
也是在Internet上用于电子交易的一种专用网络,它可以在两个系统之间建立安全信道。➢VPN是使分布在不同地方的专用网络在不可信任的公共网络上实现安全通信的网络技术。➢设置VPN的关键技术:对数据包进行加密,并在互联网上创建一个专用加密隧道,其它系统或用户就不能访问在这个通道上
传输的数据。使用如加密、信息和身份认证、访问控制等技术。➢VPN产品种类:带VPN功能的路由器、软件VPN系统、专用硬件VPN设备等(如研祥”EIP”)37电子商务教学大纲教学内容教学案例教学参考徐明祥虚拟
专网(VPN)技术防火墙(firewall)38电子商务教学大纲教学内容教学案例教学参考徐明祥防火墙(firewall)39电子商务教学大纲教学内容教学案例教学参考徐明祥数字证书数字证书,是
一个由使用数字证书的用户群所公认和信任的权威机构(即CA)签署了其数字签名的信息集合。认证机构CA(CertificateAuthority)一个受法律承认的权威机构。采用PKI(PublicKeyInfrastructure)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理
数字证书,且具有权威性和公正性的第三方信任机构,它的作用就像我们现实生活中颁发证件的公司(如护照办理机构),专门验证交易双方的身份,对密钥进行有效管理,颁发证书证明密钥的有效性,将公开密钥和某一个实体联系起来。其职能是:发放和管理用户的数字证书。40电子商务教学大纲
教学内容教学案例教学参考徐明祥数字证书认证机构(CA)中心的职能接收注册请求,处理、批准或拒绝请求,核发和管理用户的数字证书;负责证书的检索、撤消、验证、数据库备份、保证证书和密钥服务器的安全。数字证书包含的内容➢证书的版本信息;➢证书的序列号(每个证书都有唯一的证书序
列号);➢证书所使用的签名算法;➢证书发行机构名称;➢证书发行机构的数字签名(用私钥的签名);➢证书的有效期;➢证书拥有者的名称;➢证书拥有者的公钥;41电子商务教学大纲教学内容教学案例教学参考徐明祥数字证书数字证书包含的类型➢个人证书仅仅
为某个用户提供凭证。安装在用户的浏览器上。用于网上安全交易操作,访问需要客户验证安全的站点,发送带签名的Email等。➢企业(或服务器)数字证书企业可以用具有凭证的站点进行安全电子交易,开启服务器SSL安全通道,使用户和服务器之间的数据加密传
送,要求客户出示个人证书。➢软件(或开发者)数字证书为软件提供凭证,以证明该软件的合法性,这样可以在Internet上安全地传送。42电子商务教学大纲教学内容教学案例教学参考徐明祥数字证书43电子商务
教学大纲教学内容教学案例教学参考徐明祥数据加密解密、身份认证流程图用户B数字证书用户A数字证书加密数字信封数字签名数字签名解密密文明文明文加密Hash加密密文A用户用户A的私有签名密钥数字签名对称密钥++密文加密
解密用户A数字证书数字签名明文信息摘要信息摘要比较Hash++用户A的公开签名密钥用户B的私有密钥B用户用户B的公开签名密钥对称密钥对称密钥+对称密钥信息摘要数字信封数字信封44电子商务教学大纲教学内容教学案例教学参考徐明祥数字证书
数字证书的申请➢下载并安装根证书(如图3-34~3-38所示)➢申请证书(如图3-39~3-41所示)➢将个人身份信息连同证书序列号一并邮寄到中国数字认证网下载根CA图3-34下载根证书(1)45电子商务教
学大纲教学内容教学案例教学参考徐明祥图3-35下载根证书(2)46电子商务教学大纲教学内容教学案例教学参考徐明祥图3-36安装根证书(1)47电子商务教学大纲教学内容教学案例
教学参考徐明祥图3-37安装根证书(2)48电子商务教学大纲教学内容教学案例教学参考徐明祥图3-38查看根证书49电子商务教学大纲教学内容教学案例教学参考徐明祥图3-39申请个人免费证书50电子商务教学大纲教学内容
教学案例教学参考徐明祥图3-40下载个人证书51电子商务教学大纲教学内容教学案例教学参考徐明祥图3-41查看个人证书52电子商务教学大纲教学内容教学案例教学参考徐明祥案例:数字证书在网上招标系统中的应用网上招标在公网上利用
电子商务基础平台提供的安全通道进行招标项目中各种信息的传递和处理,包括招标信息的公布、标书的发放、应标书的收集、投标结果的通知以及项目合同或协议的签订等完整的过程。网上招标公开招标和邀请招标两种招标方式,对招标方提供发布招标公告、发布招标邀请、发布中标信息、电子标书管理、标箱管
理等功能;对投标方提供招标信息查询、在线投标、在线购买标书等功能。53电子商务教学大纲教学内容教学案例教学参考徐明祥案例:数字证书在网上招标系统中的应用身份确定?传输安全?抵赖?54电子商务教学大纲教学内容教学案例教学参考徐明祥案例:数字证书在网上招标系统中的应
用➢招投标双方在CA中心获得客户端事务型证书,并在Web服务器上绑定服务器端证书,同时在服务器端和客户端建立SSL通道。➢在网上招标系统中设置Email服务器,并在Email服务器上设定专门的用户帐号接收投标机构的附有标书的安全电子邮件。➢投标用户
将投标书利用安全电子邮件(签名/加密,S/MIME协议)发送给招标方设定的邮箱中。55电子商务教学大纲教学内容教学案例教学参考徐明祥计算机病毒及网络黑客的防范计算机病毒及类型人为编制的、寄生于计算机合法程序或操作系统中的、可自我执行和自行复制
的、具有传染性和破坏性的、以破坏计算机系统正常工作为目的非法程序。➢引导区电脑病毒(DOS病毒):隐藏在磁盘内,可完全控制DOS中断功能,以便进行病毒传播和破坏活动。如Michelangelo会感染所有读取中及没有写入保护的磁盘,并3月6日当天
删除受感染电脑内的所有文件。➢寄生病毒(Windows病毒):通常感染执行文件(.EXE)。如CIH会感染Windows95/98的.EXE文件,并在每月的26号发作日进行严重破坏,试图破坏FlashBIOS内的资
料。56电子商务教学大纲教学内容教学案例教学参考徐明祥计算机病毒及网络黑客的防范计算机病毒及类型➢宏病毒:感染依附于某些应用软件内的宏指令。如JulyKiller破坏力严重。若7月时,则c:\format.➢特洛伊木马:窃取用户
的密码资料或破坏硬盘内的程序或数据。如BackOrifice是一个Windows远程管理工具,透过TCP/IP去远程遥控电脑。➢蠕虫:能自行复制和经由网络扩散的程序。如Worm.ExploreZip是一个可复制自己的蠕虫。➢邮件病毒:通过邮件进行传播的病毒。如
拉登被捕(Worm.Bobax.m),集木马、蠕虫一体的病毒。57电子商务教学大纲教学内容教学案例教学参考徐明祥计算机病毒及网络黑客的防范计算机网络病毒的防范➢在电脑上安装防病毒软件(单机版-事后消毒,联机版-网络
端口设置过滤器);➢定期清毒(许多病毒有潜伏期);➢控制权限(如只读);➢警惕网络陷阱(没有免费午餐);➢不打开陌生地址的Email,尤其是不要打开陌生地址的邮件附件(邮件附件是传播宏病毒的来源)。5
8电子商务教学大纲教学内容教学案例教学参考徐明祥计算机病毒及网络黑客的防范黑客(Hacker)及其防范(Hacker)在20世纪早期的麻省理工学院校园口语中,黑客则有“恶作剧”之意,尤其是指手法巧妙、技术高明的恶作剧。➢骇客:只想引人注目,证明自己的能力,在进人网
络系统后,不会去破坏系统,或者仅仅会做一些无伤大雅的恶作剧,他们追求的是从侵入行为本身获得巨大的成功满足感;➢窃客:带有强烈的目的性,早期的这些黑客主要是窃取国家情报、科研情报,而现在的这些黑客的目标大部分瞄准了银行的资金和电子商务的整个交易过
程。59电子商务教学大纲教学内容教学案例教学参考徐明祥计算机病毒及网络黑客的防范黑客(Hacker)及其防范黑客的例证黑客作案只需要简单的硬件设备:一台计算机、一条电话线、一个调制解调器。黑客作案频繁:平均每20秒发生一起入侵Internet计算机事件;每150次事件才
被发现一次;入侵成功率高达65%。首例公开披露的作案:1988年11月2日,23岁的美国大学生罗伯特莫瑞斯的蠕虫程序通过个人计算机用远程命令送进Internet,造成美国多所大学、科研机构和军事机构约62
00台计算机瘫痪。经济损失达9600万美圆。黑客攻击主要有以下几种手段:捕获(Phishing)、查卡(Carding)、即时消息轰炸(InstantMessageBombing)、邮包炸弹(E-mailBombing)、违反业务条款(To
ssing)等。60电子商务教学大纲教学内容教学案例教学参考徐明祥计算机病毒及网络黑客的防范黑客(Hacker)及其防范防范黑客的措施➢使用防火墙,建立网络安全屏障➢使用安全扫描工具发现黑客。➢使用有效的监控手段抓住入侵者。➢坚持备份系统。(非常情况下能及时修复系统)➢隐
藏IP地址➢杜绝Guest帐户的入侵➢删掉不必要的协议如NetBIOS➢及时给系统打补丁61电子商务教学大纲教学内容教学案例教学参考徐明祥电子商务安全交易标准安全套接层协议SSL(SecureSocketsLayer)由Netscape研制,后成为Inte
rnet上安全通讯与交易的标准。SSL协议使用通讯双方的客户证书以及CA根证书,允许客户/服务器应用以一种不能被偷听的方式通讯,在双方间建立起了一条安全的、可信任的通讯通道。➢提供的服务:(1)认证用户和服务器,使得它们能够确信数据将被发送到正确的客户机和服务
器上。(2)加密数据以隐藏被传送的数据。(3)维护数据的完整性,确保数据在传输过程中不被改变➢SSL协议运行的基点是商家对客户信息保密的承诺,如亚马逊。但随着参与的厂商迅速增加,无法认证厂商。62电子商务教学大纲教学内容教学案例教学参考徐明祥电子商务安全交易标准安全电
子交易协议SET(SecureElectronicTransaction)Visa和MasterCard联合开发,为在因特网上进行在线交易而设立的一个开放的以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。采用RSA公开密钥体系
对通信双方进行认证,利用DES、RC4或任何标准对称加密方法进行信息的加密传输,并用HASH算法来鉴别消息真伪,有无篡改。在SET体系中有一个关键的认证机构(CA),CA根据X.509标准发布和管理证书。由于设计合理,SET协议得
到了IBM、HP、Microsoft、Netscape、VeriFone、GTE、VeriSign等许多大公司的支持,已成为事实上的工业标准。目前,它已获得IETF标准的认可。63电子商务教学大纲教学内容教学
案例教学参考徐明祥64电子商务教学大纲教学内容教学案例教学参考徐明祥电子商务安全交易标准安全电子交易协议SET(SecureElectronicTransaction)美国安全第一网络银行(SFNB)
是世界上第一家网上银行,也是目前最成功的一家网上银行。它从1996年就开始了网上金融服务,尽管在发展的过程中井非一帆风顺,但是它确实代表着一种全新的业务模式和未来的发展方向。从美国安全第一网络银行的运作情况看,网上银行提供的
服务可以分为三大类,一类是提供即时资讯,如查询结存的余额,外币报价、黄金及金市买卖报价、定期存款利率的资料等;二是办理银行一般交易,如客户往来、储蓄、定期帐户问的转帐,新做定期存款及更改存款的到期指示、申领支票簿等;三是
为在线交易的买卖双方办理交割手续。65电子商务教学大纲教学内容教学案例教学参考徐明祥电子商务安全交易标准安全电子交易协议SET(SecureElectronicTransaction)深圳招商银行也是国内较早的上网银行,1997
年2月28日,深圳招商银行在因特网上推出自己的主页及网上银行业务。在国内引起极大反响,受到客户的广泛称赞。在此基础上,招商银行又推出“一网通”网上业务,它包括“企业银行”、“个人银行”和”网上支付”三个部分,通过
Internet网络或其他公用信息网,将用户的电脑终端连接至银行,实现将银行的服务直接送到用户办公室或家中,使客户“足不出户”就能即时查询其在银行的帐务变动情况,动态了解当天银行对公、对私储蓄利率,了解外汇汇率、股市行情等变动情况
,并可以享受各种金融信息服务。66电子商务教学大纲教学内容教学案例教学参考徐明祥案例:联想安全电子订单系统应用➢联想在全国建立了完善的渠道体系超过二千多家的渠道分销商分布全国各地➢传统的、纸质的订单处理模式的困难处理时
间慢,时效性差人力成本的大量投入处理存在很高的出错几率无法和整个生产系统进行对接➢希望通过电子化管理手段,实现无纸化订单处理通过建设电子订单系统将联想和各分销商有机联系在一起各分销商通过互联网,访问电子订单系统向联想下产品分销订单,并以收到联想的确认回执
为准联想根据电子订单组织生产并进行产品配货联想集团分销环节的电子化管理的需要67电子商务教学大纲教学内容教学案例教学参考徐明祥案例:联想安全电子订单系统应用数据库分销商联想电子订单应用系统Web服务器1234联想集团分销环节希望的处理流程➢
联想分销商使用浏览器登录联想电子订单系统,提交电子订单;➢联想电子订单系统进行订单处理;➢联想电子订单系统返回确认回执;➢并将订单及其确认回执保存到数据库中。68电子商务教学大纲教学内容教学案例教学参考徐明祥案例:联想安全电子订单系统应用联想集团分
销环节电子化处理遇到的困难网上应用系统服务器用户数据库窃听篡改抵赖?假冒的站点?假冒的用户69电子商务教学大纲教学内容教学案例教学参考徐明祥案例:联想安全电子订单系统应用联想集团分销环节电子化处理遇到的困难身份认证需求➢联想分销商如何确定访问的电子订单系统就
是联想集团的电子订单系统?➢联想电子订单系统如何确认访问者是否联想真正的分销商?访问控制需求电子订单系统如何根据分销商的身份,给予相应的访问授权?电子订单的机密性和完整性需求如何保证电子订单在网上传输时不被他人窃取和修改?电子订单的抗
抵赖性需求如何保证分销商不否认自己提交的电子订单?如何保证联想不对已经确认的订单进行否认?70电子商务教学大纲教学内容教学案例教学参考徐明祥案例:联想安全电子订单系统应用解决方案天威诚信作为权
威、可信、公正的第三方认证机构,为联想应用提供证书服务➢联想和联想分销商分别与天威诚信签订使用数字证书的协议➢联想和联想分销商之间签署在电子订单中使用数字证书的协议➢天威诚信为联想和联想分销商提供数字证书服务➢联想和联想分销商使用数字证书进行安全电子订单交易采用P
KI/CA技术可以有效的解决联想电子订单的信息安全问题(PKI:PublicKeyInfrastructure).71电子商务教学大纲教学内容教学案例教学参考徐明祥案例:联想安全电子订单系统应用解决方案分销商1.天威诚信为联想和联想分销商发放数字证
书2.使用数字证书进行安全电子订单交易72电子商务教学大纲教学内容教学案例教学参考徐明祥案例:联想安全电子订单系统应用解决方案73电子商务教学大纲教学内容教学案例教学参考徐明祥案例
:联想安全电子订单系统应用解决方案分销商前台Web服务器数据库电子订单数据…服务器证书数字签名联想各大区证书,安装在服务器上分销商证书,保存在USBkey中回执数据…数字签名后台应用服务器联想电子订单系统74
电子商务教学大纲教学内容教学案例教学参考徐明祥案例:联想安全电子订单系统应用解决方案分销商使用USBkey中的证书进行登录服务器验证分销商证书,完成身份认证和访问控制,建立SSL安全通道分销商提交电子订单,使用USB
Key上保存的证书(私钥)对电子订单进行签名,将电子订单表单及其签名一起提交给服务器服务器完成电子订单签名的验证,将订单及其签名保存到数据库中电子订单系统完成后续业务处理后,产生确认回执,使用联想相应大区的证书,对确认回执进行签名确认回执
及其签名返回给分销商,分销商可以完成验证,并下载75电子商务教学大纲教学内容教学案例教学参考徐明祥案例:联想安全电子订单系统应用基于PKI/CA的电子订单为联想带来的良好效益电子订单系统的真实、可靠和权威,增强了联想的形象
,消除了分销商的顾虑有效的防止了越权操作行为保证了电子订单数据是真实的、完整的、可用的防止分销商、内部操作人员联合作案,系统所有操作都必须记录入日志,以便日后稽查,从而降低运营风险防止内部人员伪造电子
数据并将之往外流通订单实现一次确认、无纸化办公,有效降低沟通成本简化商务流程,提高商务效率,充分展现电子商务的即时性、高效性和准确性76电子商务教学大纲教学内容教学案例教学参考徐明祥案例:联想安全电子订单系统应用基于PKI/CA的电子订单为联想带来的良好效益实施6个月,签署
了15万份合同,合同金额几十亿(04年4月6日一天接到9万台订单,商务人员称没有了过去加班加点处理合同的痛苦感觉)合同平均处理时间从过去的13个小时缩短到了半个小时,其中85%是在1分钟完成的减少的合同处理商务人员,降低了人力成本降低了合
同的存储成本减少了合同在生效过程中的成本(长途电话、传真、邮寄费用)加快了联想整个PC的交货过程,有效降低了成品库存和生产部件的库存77电子商务教学大纲教学内容教学案例教学参考徐明祥➢电子商务的优势与劣势是什么?什么样产品或服务适合电子商务?(请举例
说明)➢分析实体企业与虚拟企业的联系与区别➢分析知识经济下垄断的特点(请举例分析)➢如何经营好一个网店?(请结合自身体验及相关知识分析)➢设计题:如何建设一个没有酒店的酒店或没有旅行社的旅行社?(请从网站规划的角度设计,并结合案例分析)期中考试78
辽公网安备 21102102000191号
营业执照
