电子商务安全管理 缩版_电子商务安全管理
电子商务安全管理 缩版由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“电子商务安全管理”。
对称加密技术:对称加密技术,也称作密钥密码技术,其特点是计算量小、加密速度快。它有各种形式:从简单的替换密码到较复杂的构造方式,其中同一个密钥既用于加密也用于解密所涉及的文本。也就是说加密和解密数据使用同一个密钥,即加密和解密的密钥是对称的。原始数据(即明文)经过对称加密算法处理后,变成了不可读的密文(即乱码)。解密原文时, 必须使用同样的密码算法和密钥, 即信息的加密和解密使用同样的算法和密钥,这种密码系统也称为单密钥密码系统
非对称密码技术:在公钥密码体制出现以前的所有的密码算法都是基于代换和置换这两个基本工具。而公钥密码体制则为密码学的发展提供了新的理论和技术基础,一方面公钥密码算法的基本工具不再通过网络或其他公开途径得到接收方的公钥,然后使用该密钥对信息加密后发送给接收方;接收方用自己的私钥对收到的信息进行解密,得到信息明文。在这里,只有接收方(而不是其他第三方)才能成功地解密该信息,因为只有接收方拥有与之相对应的私有密钥,从而保证了信息的机密性。如果发送方在发送信息时附上自己的数字签名(数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据),则接收方通过验证数字签名可以保证信息的完整性和不可抵赖性
数字摘要:又叫消息摘要,也是一种加密方法,该方法又称为散列编码(Hash 编码)。散列编码利用单向的散列函数将需要加密的明文“摘要”成一串固定长度(如 128 位)的散列值,称为数字摘要,中的技术,即将某些标识数据嵌入到宿主数据中作为水印,使得水印在数据中不可感知和足够安全。用以证明原创作者对作品的所有权,并作为起诉非法侵权者的证据,从而保护了原作者的合法权益。数字版权管理技术:以一定的计算方法实现对数字内容的保护。
信息隐藏:将某一秘密信息秘密地隐藏于另一公开的信息内容中,其形式可以是任何一种数字媒体,如图像、声音、视频或一般的文本文档等,然后通过公开信息的传输来传递秘密信息。
信息系统安全标准:是构建国家信息安全保护体系必须具备的技术、管理规范
测评认证:现代质量认证制度的重要内容,其实质是由一个中立的权威机构,通过科学、规范、公正用于解密,称为秘密密钥,简称秘密钥。因此公钥(5)登记所作的修改,作为系统新的版本向用户及密码体制也称为双钥密码体制。算法有以下重要特操作人员的报告,特别要指明新增加的功能和修改性: 已知密码算法和加密密钥,求解密密钥在计算了的地方 上是不可行的 电商人员管理的工作流程图: 网络防火墙应用模式:屏蔽路由器、双穴主机网关、对数字水印的攻击:1.删除攻击2.解密攻击3,屏蔽主机网关、屏蔽子网网关 几何变形攻击4协议攻击 数字签名执行方式:直接方式和具有仲裁的方式 信息系统安全策略的目的与内容:安全策略的目的电子邮件加密:1捕获邮件正文2检索唯一标识收是提供建立、实施、运作、监控、评审、维护和改件人的信息3执行加密操作,产生加密邮件4用加进信息安全管理体系(ISMS)的规范,实现信息安密邮件替换原始邮件5发送邮件。解密:1接收邮全的机密性、完整性和可用性。件2检索加密邮件3检索唯一标识收件人的信息4内容:1物理安全2网络安全3数据安全4软件安用收件人的唯一信息执行解密操作,产生解密邮件5全5系统管理6灾难恢复 显示解密邮件正文。电子商务领域犯罪的特点:
1、犯罪主体多样化。
2、数字签名提供下列安全功能:1身份验证 2认可3低成本低风险。
3、高智能高技术。
4、共同犯罪居是代换和置换,而是数学函数;另一方面公钥密码又叫做数字指纹(Finger Print)算法是以非对称的形式使用两个密钥,两个密钥的CA(Certificate Authorities):又称认证权威、认证使用对保密性、密钥分配、认证等都有着深刻的意中心、证书授予机构,是承担网上认证服务,能签义。可以说公钥密码体制的出现是密码学史上的一发数字证书并能确认用户身份的受大家信任的第三个伟大的里程碑。方机构。
计算机病毒:《中华人民共和国计算机信息系统安全数字签名原理:数字签名是公钥加密技术与数字摘保护条例》中的定义是:“计算机病毒,是指编制或要两者的结合。它的主要方式是:发送方使用Hash者在计算机程序中插入的破坏计算机功能或者数据,编码算法(SHA)加密,从报文中生成一个散列值(数影响计算机使用,并且能够自我复制的一组计算机字摘要),用自己的私钥对此进行加密,形成发送方指令或者程序代码。” 计算机病毒之父弗雷德•科恩的数字签名,并作为报文的附件与报文一起发送给博士(Fred Cohen)于1983年提出的,将其定义为:接收方。可以看出,文档的信息不同,产生的发送“计算机病毒是一种计算机程序,它通过修改其它者的数字签名也不相同,即数字签名与原文信息唯程序把自身或其演化体插入它们中,从而感染它们。” 一对应,如果没有私有密钥,任何人都无法完成非国外对计算机病毒最流行的定义为:“计算机病毒,法复制。接受方首先从收到的原始报文中算出数字是一段附着在其他程序上的可以实现自我繁殖的程摘要,再用发送方的公钥对报文的数字签名解密;序代码。”
如果生成的两个数字摘要相同,接受方就可以确定黑客:原指热心于计算机技术,水平高超的电脑专该数字签名是发送方的。所以,通过数字签名能够家,尤其是程序设计人员。但到了今天,黑客一词实现对原始报文完整性和不可抵赖性的鉴别 已被用于泛指那些专门利用电脑网络搞破坏或恶作无线应用协议):是一个用于在无线通信设备(手机、剧的家伙。
寻呼机等)。之间进行信息传输的无须授权、也不依数字签名:数字签名是书面文档中具有法律意义的赖平台的协议,可用于Internet访问、WAP网页访传统签名的数字形式。
问、收发电子邮件,等等。
安全超文本传输协议:由Netscape开发并内置于其WAP的层次结构:应用层、无线会话层、传输协议浏览器中,用于对数据进行压缩和解压操作,并返层、安全协议层、数据报协议层。回网络上传送回的结果 WPKI:即“无线公开密钥体系”,它是将互联网电子PKI技术:一种遵循标准的利用公钥加密技术为电子商务中PKI安全机制引入到无线网络环境中的一套商务的开展提供一套安全基础平台的技术和规范。遵循既定标准的密钥及证书管理平台体系,它可以它是建立在公钥密码体制上的信息安全基础设施,用来管理在移动网络环境中使用的公开密钥和数字为应用提供身份认证、加密、数字签名、时间戳等证书,有效地建立安全和值得信赖的无线网络环境。安全服务。
个人信息:是指一切可以识别本人的信息的所有数X.509证书:的出现,为公钥体制的应用了有效的载据资料。这些数据资料包括一个人的生理的、心理体和基础,使用户更容易对公钥进行验证。目前被的、智力的、个体的、社会的、经济的、文化的、广泛采用的PKI 技术(Public Key Infrastructure-公钥家庭的等等方面。即指有关个人的一切数据、资料。基础设施),PKI(公钥基础设施)技术采用证书管理电子商务运行管理:一个电子商务系统投入使用后,公钥,通过第三方的可信任机构--认证中心其主要工作就是管理工作。这里所说的管理工作,CA(Certificate Authority),把用户的公钥和用户的其是指对电子商务系统本身的管理(即运行管理)。这他标识信息(如名称、e-mail、身份证号等)捆绑在里的管理主要是讲技术上的,而不是指一个信息中一起,在Internet 网上验证用户的身份。目前,通心或计算中心的行政管理。所谓运行管理工作或维用的办法是采用基于PKI 结构结合数字证书,通过护工作就是对系统的运行进行控制,记录其运行状把要传输的数字信息进行加密,保证信息传输的保态,进行必要的修改与扩充,以便使系统真正发挥密性、完整性,签名保证身份的真实性和抗抵赖。其作用。
数字证书:用电子手段来证实一个用户的身份和对网络管理:按照国际标准化组织(ISO)的定义,网网络资源的访问权限。
络管理是指规划、监督、控制网络资源的使用和网数字证书的原理:数字证书基于公钥技术。在公开络的各种活动,以使网络的性能达到最优。网络管密钥系统中,为每个用户生成一对相关的密钥:一理的目的在于提供对计算机网络进行规划、设计、个公开密钥和一个私有密钥。公开密钥用于对机密操作运行、管理、监视、分析、控制、评估和扩展信息的加密,通过非保密方式向他人公开;私有密的手段,从而合理地组织和利用系统资源,提供安钥用于对加密信息的解密,由用户自己安全存放。全、可靠、有效和友好的服务。
这样贸易双方进行信息交换的基本过程是:发送方数字水印:是一种将特制的标记隐藏在数字产品之的测试和评估向消费者、购买者(即需方)证实生产者或供方所提供的产品和服务,符合公开、客观和先进的标准。
信息安全策略:是组织对信息系统安全进行管理、保护的指导原则。在安全策略的指导下开展安全技术项目、订立安全管理制度、组织协调实施、监督、检查与改进,并形成为对系统安全的要求和目标进行详细描述的高层的管理文档
网络系统安全审计:是指在网络系统中模拟社会的监察机构对网络系统的活动进行监视和记录的一种机制
网络安全评估:是运用系统的方法,对各种网络安全保护措施、管理机制以及结合所产生的客观效果,对网络系统做出是否安全的结论。
电子商务领域犯罪:是电子商务时代产生的,具有若干共性的一类犯罪,电子商务领域犯罪是 指利用电子商务信息系统特性危害电子商务正常秩序, 具有严重社会危害性的行为。电子商务犯罪的社会预防机制:是要“调动社会上一切积极因素,运用各种手段和采取社会性和专门性的防治措施,限制、消除犯罪产生的原因与条件,以达到防止、遏制和减少犯罪的目的。”;
风险管理:降低各种风险的发生概率,或当某种风险突然降临时,减少损失的管理过程。
风险:危险发生的意外险和不确定性,包括损失发生与否及损失程度大小的不确定性。
风险评估:确定一个信息系统面临的风险级别的过程,是风险管理的基础。通过风险评估确定系统中的残余风险,并判断该风险级别是否可以接受或需要实施附加措施来进一步降低。
风险分析:是运用分析、比较、评估等各种定性、定量的方法,确定电子商务安全各风险要素的重要性,对风险排序并评估其对电子商务系统各方面的可能后果,从而使电子商务系统项目实施人员可以将主要精力放在对付为数不多的重要安全风险上,使电子商务系统的整体风险得到有效的控制。
信用(credit):是个人或组织被他人信任的程度,守承诺的程度。
电商安全内容:计算机网络安全(计算机网络设备安全,计算机网络系统安全,数据库安全等)、商务交易安全(商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保证电子商务交易的顺利进行。即实现电子商务的保密性,完整性,可鉴别性,不可伪造性和不可抵赖性)。
公钥密码体制的原理:公钥密码算法的最大特点是采用两个相关密钥将加密和解密能力分开,其中一个密钥是公开的,用于加密,称为公开密钥,简称公开钥;另一个密钥是用户专用,因而是保密的,数据完整性 PKI的体系结构:1认证机构CA 2证书和证书库3密钥备份及恢复4证书作废处理系统5客户端证书处理系统 数字证书使用流程:电子商务应用中主要有以下五个交易参与方:买家、服务商、供货商、银行和认证中心(CA)。交易流程主要有以下三个阶段: 第一阶段:认证中心(CA)证书的注册申请。交易各方通过认证中心(CA)获取各自的数字安全证书。第二阶段:银行的支付中心对买家的数字安全证书进行验证,通过验证后,将买家的所付款冻结在银行中。此时服务商和供应商也相互进行数字安全证书的验证,通过验证后,可以履行交易内容进行发货。第三阶段:银行验证服务商和供货商的数字安全证书后,将买家冻结在银行中的货款转到服务商和供货商的户头上,完成了此项电子交易。数字签名原理:发送方使用Hash编码算法(SHA)加密,从报文中生成一个散列值(数字摘要),用自己的私钥对此进行加密,形成发送方的数字签名,并作为报文的附件与报文一起发送给接收方。接受方首先从收到的原始报文中算出数字摘要,再用发送方的公钥对报文的数字签名解密;如果生成的两个数字摘要相同,接受方就可以确定该数字签名是发送方的 基于角色访问控制:手机病毒大致有以下四类:(1)EPOC病毒(2)Trojan horse病毒(3)Unavailable病毒(4)Hack-mobile.smsdos病毒 企业电子商务信息安全管理流程: 电子商务信息服务流程: 电子商务信息安全处理架构:第一层:网络层安全;二层:内容与应用流程安全;三层:认证;四层:授权。电子商务系统维护工作内容:1)提出修改的要求可由接触系统的全体人员提出来,只是不能直接向程序员提出,必须以书面的形式向主管人员提出,说明要求修改的内容及原因。(2)由系统主管人员根据系统购情况(功能、目标、效率等)和工作的情况(人员、时间、经费等)来考虑这种修改是否必要、是否可行、是否迫切,从而作出答复:是立即修改,还是以后修改。(3)系统主管人员把修改要求汇集成批,指明修改的内容要求、期限。由于修改要求是不断提出的,所以,系统不能随提随改,必须有计划地一批一批地修改。一般都用版本编号的办法来加以控制。4)在指定的期限内,由系统主管人员验收程序员所修改的部分,并在一个统一的时间,把若干个新模块加人系统,以取代旧的模块,新的功能开始生效。
多。
5、犯罪证据难获取。
6、犯罪具有隐蔽性。
7、犯罪危险影响区域广。
8、犯罪具有连续性。
9、高犯罪黑数。
10、犯罪危害大 社会防控体系的内容:1防控体系以抑制电子商务犯罪和网络犯罪为主要目标,以针对现有防控机制弱和不足的再防控为主要方向2防空体系在控制形成上具有对多重要求和多方选择的容纳能力,既有组织、环境、社区、群体、个体交叉配合,也有对罪前、罪中、罪后防范的介入,还有对社会心理、群体心理、个体心理的渗透3防控体系在决策控制中心化和职责分散化的对立统一中,建立多元化的管理机制,并通过资源的合理配置提高工作效率、监视运行成本4防控体系具备对违法者、被害者的自然监督能力和震慑能力5完善防控体系的功能,实现防控体系目标的首要任务是提高司法体系效能。信息安全风险管理的历史:(一)初级阶段时期(二)标准化时期(三)安全风险管理策略时期 风险管理的内容: 风险管理由三个部分组成:风险评估、风险处理以及基于风险的决策 风险分析的目标是:确定风险,对可能造成损坏的潜在风险进行定性化和定量化,以及最后在经济上寻求风险损失和对风险投入成本的平衡。风险计算原理: 风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))R表示安全风险计算函数,A表示资产,T表示威胁,V表示脆弱性,Ia表示安全事件所作用的资产重要程度,Va表示脆弱性严重程度,L表示威胁利用资产的脆弱性导致安全事件发生的可能性,F表示安全事件发生后产生的损失。风险处理的过程:1对优先级进行排序2评估所建议的安全措施3实施成本效益分析4选择安全措施5分配责任和任务6制定安全措施的实现计划7实现所选择的安全措施 电子商务信用体系的构成:信用体系第一层是政府,负责信用立法与执法;第二层是行业协会,负责准入、评定、制订游戏规则;第三层是中介机构,负责信用服务;第四层是企业与消费者
对称加密技术:对称加密技术,也称作密钥密码技术,其特点是计算量小、加密速度快。它有各种形式:从简单的替换密码到较复杂的构造方式,其中同一个密钥既用于加密也用于解密所涉及的......
1电子商务:当事人或参与人利用现代信息技术和计算机网络所进行的各类商业活动2电子商务发展中存在的问题:商业信用问题;电子支付安全保障;网络广告;垃圾邮件;个人信用盗用;3电子商......
文 章来源莲山 课件 w w w.5Yk J.Com 7 摘要:防火墙技术作为保证电子商务活动中信息安全的第一道有效屏障,受到越来越多的关注。本文从防火墙的概念和技术出发,详细分析了防火......
1、项目:一个特殊的将被完成的有限任务,它是在一定时间内,满足一系列特定目标的多项相关工作的总称。2、项目管理:以项目为对象的系统管理方法,通过一个临时性的、专门的柔性组织......
电子商务安全管理(学号:XXX 专业:安全科学与工程XX大学环境与安全工程学院)摘要:电子商务的发展是互联网上最大的应用趋势,是国际经贸全新的一种形式,是我国经济生活牛的新手段。文......
