版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領
文檔簡介
1、第4章 電子商務安全保障,學習目標了解電子商務安全問題所涉及的范圍概括電子商務安全的重要組成部分理解在保障安全和其他價值之間的矛盾關系認識電子商務環(huán)境中的主要威脅理解如何利用不同的加密技術來保護Internet上信息的安全了解用來在Internet上建立安全通信的技術了解用來保護網絡、服務器和客戶機的技術正確評價各種政策在創(chuàng)造安全環(huán)境中的重要性,,電子商務是在計算機網絡(主要是因特網)上進行的,支付信息、訂貨信息、談判信
2、息、機密的商務往來文件等大量商務信息在計算機系統(tǒng)中存放、傳輸和處理,所以,保證商務信息的安全是進行電子商務的前提。,4.1 電子商務安全環(huán)境,對于犯罪分子來說,Internet創(chuàng)造了一個全新的,同時也是對其有利的盜竊途徑。產品、服務、資金、信息都可以獲得網上犯罪風險較小匿名發(fā)出虛假訂單、攔截電郵、攻擊網站等使企業(yè)和消費者付出很大代價,1、問題涉及的領域,出于各種原因,很難對電子商務犯罪的實際數(shù)量進行準確統(tǒng)計企業(yè)害怕失去合法的消
3、費者很難確定實際遭受的損失,案例:美國10億美元被“釣”釣魚攻擊愈演愈烈,2005年6月26日消息,Gartner(高德納全球最具權威的IT研究與顧問咨詢公司 )公司的一項調查結果顯示,過去12個月估計有120萬美國人的帳戶被盜取,失款總數(shù)達10億美元。 嵌入郵件中的惡意信息。植入密鑰監(jiān)視器等,時刻監(jiān)視一些特殊的URL登錄行為,竊取用戶名和密碼等敏感信息 。需要的是雙向認證(目前互聯(lián)網只從單方面驗證身份的合法性)。,,,電子商
4、務的安全問題,1)信息泄露、篡改、身份識別問題,2)計算機病毒問題計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)、破壞計算機硬件從而影響計算機使用,并能自我復制的計算機指令或者程序代碼。特征:傳染性、非授權性、隱蔽性、破壞性、潛伏性、不可預見性。3)黑客問題Hacker 指利用計算機和計算機網絡,非法調閱、盜竊、截獲或篡改他人機密數(shù)據(jù)資料,或從事其他破壞活動的人。,犯罪的特點,與傳統(tǒng)的犯罪相比有許多不同的特
5、點:危害性:犯罪后果嚴重。成本低,傳播快,范圍廣。知識性:智慧型白領犯罪,年輕、專業(yè)化 。隱蔽性:偵破與取證困難。 廣域性:作案場所不受地理區(qū)域的限制。,國內信息安全重要網站,信息安全國家重點實驗室http://www.is.ac.cn/中國信息協(xié)會信息安全專業(yè)委員會http://www.infosec.org.cn/全國信息安全標準化技術委員會http://www.tc260.org.cn/,2、電子商務安全環(huán)境,
6、3、電子商務的安全需求,Integrity(完整性): ability to ensure that information being displayed on a Web site or transmitted/received over the Internet has not been altered in any way by an unauthorized partyNonrepudiation(不可否認性): abili
7、ty to ensure that e-commerce participants do not deny online actionsAuthenticity(真實性): ability to identify the identity of a person or entity with whom you are dealing on the Internet,Dimensions of E-commerce Security,電
8、子商務的安全需求,Confidentiality(機密性): ability to ensure that messages and data are available only to those authorized to view themPrivacy(隱私性): ability to control use of information a customer provides about himself or herself
9、 to merchant Availability(可用性): ability to ensure that an e-commerce site continues to function as intended(按照預期的功能運行),4.2 電子商務環(huán)境中的安全威脅,從技術角度看,在電子商務中有3個關鍵的薄弱點:客戶機、服務器、通信信道(線路)Most common threats:Malicious code(惡意代碼)
10、Hacking and cybervandalism(黑客網絡破壞行為)Credit card fraud/theft(信用卡詐騙與盜竊)Spoofing(電子欺騙)Denial of service attacks(服務拒絕攻擊)Sniffing(網絡竊聽)Insider jobs(內部人員行為),A Typical E-commerce Transaction,Vulnerable(受攻擊) Points in an E-
11、commerce Environment,1、 Malicious code(惡意代碼),病毒(Viruses):具有復制或者自我復制并傳播到其他文件中的能力的計算機程序。蠕蟲(Worms):一種可以在計算機間進行傳播的病毒。特洛伊木馬(Trojan horse):看起來似乎是良性的,但是往往產生預想不到的后果。通常是病毒或其他惡意代碼感染計算機系統(tǒng)的一種途徑。惡意插件(Bad applets ):malicious Java a
12、pplets or ActiveX controls that may be downloaded onto client and activated merely by surfing to a Web site,2、 Hacking and cybervandalism(黑客和網絡破壞行為),黑客(Hacker):指對電腦系統(tǒng)的非法侵入者,企圖在未經授權的情況下進入計算機系統(tǒng)的人。黑客(hacker):對技術的局限性有充分認識,具
13、有操作系統(tǒng)和編程語言方面的高級知識,熱衷編程,查找漏洞,表現(xiàn)自我。他們不斷追求更深的知識,并公開他們的發(fā)現(xiàn),與其他人分享;主觀上沒有破壞數(shù)據(jù)的企圖。駭客(cracker):以破壞系統(tǒng)為目標。網絡破壞行為(cybervandalism):故意破壞網站、損壞企業(yè)名譽甚至摧毀網站。,3、信用卡欺詐(Credit Card Fraud),deters online purchasesHackers target credit card f
14、iles and other customer information files on merchant servers; use stolen data to establish credit under false identityOne solution: New identity verification mechanisms(如電子簽名),4、Spoofing, DoS , Attacks, Sniffing, Insid
15、er Jobs,Spoofing(電子欺騙): Misrepresenting oneself by using fake e-mail addresses or masquerading(假扮) as someone elseDenial of service (DoS) attack(服務拒絕攻擊):向服務器發(fā)送大量無用的通信請求從而使之與網絡一并癱瘓Sniffing(網絡竊聽): type of eavesdropping(偷
16、聽) program that monitors information traveling over a network; enables hackers to steal proprietary information from anywhere on a networkInsider jobs(內部人員行為):single largest financial threat,4.3 技術解決方案概述,Protecting Inte
17、rnet communications :保護Internet的通信通過加密、簽名、數(shù)字證書和PKI等技術解決Securing channels of communication:通信信道的安全通過SSL,VPN等技術(網絡安全協(xié)議)解決Protecting networks:保護網絡通過防火墻 (firewalls)等技術解決Protecting servers and clients:保護服務器和客戶機通過操作系統(tǒng)控制
18、和防病毒軟件等方法解決,4.4 保護Internet的通信安全(Protecting Internet communications):加密與認證,Internet是開放的網絡(與專用網有很大區(qū)別),數(shù)據(jù)包在傳送中要經過許多路由器和服務器,最大的安全威脅發(fā)生在Internet的通信過程中?,F(xiàn)代電子商務交易要經過Internet進行,必須重視通信安全。最基本的技術是加密和認證。,1.加密算法,為了保證信息在網上傳輸過程中不被篡改,必須
19、對所發(fā)送的信息進行加密。(替換,轉置)?例如:將字母a,b,c,d,e,… x,y,z的自然順序保持不變,但使之與D,E,F(xiàn),G,H,…,Y,Z,A,5B分別對應(即相差3個字符且轉換大小寫)。若明文為and,則對應密文為DQG。(接收方知其密碼為3,它就能解開此密文)。,1) 對稱密鑰密碼體系,?對稱密鑰密碼體系(Symmetric Cryptography)又稱對稱密鑰技術。(DES,Data Enercription Stand
20、ard 美國數(shù)據(jù)加密標準)64位,著名的加密標準,DES:對稱加密的典型代表,使用最廣泛。由IBM研制,1975年公布,1977年正式作為美國聯(lián)邦信息處理標準。3DES:三重加密標準AES:高級加密標準,美國國家標準于技術協(xié)會(NIST)歷時4年,于2001年開發(fā)成功。,特點,優(yōu)點:密鑰簡短,算法較簡單,運行效率高 。缺點:對交換(分配)密鑰要求很高單獨使用很難適應Internet上的商務應用無法支持信息的不可抵賴性,DES
21、算法(根據(jù)2000年計算機的運算速度),2) 非對稱密鑰密碼體系,?非對稱密鑰密碼體系(Asymmetric Cryptography)也稱公開密鑰技術。(RSA算法)?特點:成對出現(xiàn),唯一性。原理:?非對稱密鑰技術的優(yōu)點是:易于實現(xiàn),使用靈活,密鑰較少。?弱點在于要取得較好的加密效果和強度,必須使用較長的密鑰。,RSA算法,RSA公鑰加密算法是1977年由Ron Rivest、Adi Shamirh和LenAdleman在(美國
22、麻省理工學院)開發(fā)的。RSA取名來自開發(fā)他們三者的名字。RSA是目前最有影響力的公鑰加密算法,它能夠抵抗到目前為止已知的所有密碼攻擊,已被ISO推薦為公鑰數(shù)據(jù)加密標準。RSA算法基于一個十分簡單的數(shù)論事實:將兩個大素數(shù)相乘十分容易,但那時想要對其乘積進行因式分解卻極其困難,因此可以將乘積公開作為加密密鑰。(13*15),3)對稱密鑰與非對稱密鑰比較,典型代表是RSA體制,1977年由MIT的3位科學家提出。優(yōu)點:解決密鑰分配(交換)
23、和數(shù)字簽名問題 。缺點:密鑰比較長,算法復雜,所以運行效率較低。商用時,建議使用1024比特或以上密鑰長度。,2、數(shù)字摘要和數(shù)字簽名,數(shù)字摘要:也稱為散列編碼(hash function)用于對所要傳輸?shù)臄?shù)據(jù)進行運算生成固定長度(如128位)的數(shù)字摘要生成信息的數(shù)字“指紋”,保證信息的完整性不被破壞散列函數(shù)的特點散列值:固定長度;散列值的唯一性:對于相同的數(shù)據(jù)進行Hash后,總是能得到同樣的摘要(散列值)散列函數(shù)是單向的
24、:無法通過生成的數(shù)字摘要恢復出源數(shù)據(jù)常用的數(shù)字摘要算法列表:見P133MAC(消息認證碼):解決:截獲消息和摘要后,修改消息,生成新的摘要,偽裝發(fā)送。見教材P133-134.,接收方生成,數(shù)字簽名,方法:結合數(shù)字摘要算法和公開密鑰算法,共同使用。原理:將摘要用發(fā)送者的私鑰加密,生成數(shù)字簽名,與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。解決的問題信息的完整性防抵賴,生成簽名,生成數(shù)字信封,5、數(shù)字信封
25、(Digital Envelopes),見教材P132:混合加密系統(tǒng)對稱密鑰體制:密鑰分發(fā)困難;高效;數(shù)據(jù)的加密公開密鑰體制:加解密時間長;靈活;密鑰的加密Uses symmetric key encryption to encrypt document but public key encryption to encrypt and send symmetric key(利用數(shù)據(jù)接收者的公鑰來封裝保護加密數(shù)據(jù)的對稱密鑰)創(chuàng)建數(shù)
26、字信封的目的是為了傳送對稱密鑰,數(shù)字信封,發(fā)方: A1:生成對稱密鑰,用該密鑰對報文加密; A2 :用收方的公鑰加密上述對稱密鑰; A3 :將A1、A2步驟的結果傳給收方;收方: B1: 用自己的私鑰解密對稱密鑰; B2 :用得到的對稱密鑰解密報文。,數(shù)字信封,6、數(shù)字證書和認證技術,為了在網上建立一種信任及信任驗證機制,需要使用認證技術。認證技術的核心:是數(shù)字證書(Digital Cert
27、ificate)和認證中心(Certificate Authority,CA)。公開密鑰基礎設施(Public Key Infrastructure,PKI):由各方所接受的認證中心及數(shù)字證書規(guī)程所組成。是一套集成了加密、數(shù)字證書、認證和相關安全策略的Internet安全解決方案。,PKI應用系統(tǒng)(見教材P141),認證機構X.500目錄服務器具有高性能加密算法的安全Web服務器Web安全通信平臺自行開發(fā)的安全應用系統(tǒng),數(shù)字證
28、書(Digital Certificate),數(shù)字證書是一份電子文檔,它記錄了用戶的公鑰和其它身份信息,它由CA簽發(fā),是網上的身份證明。接受方可驗證證書的真?zhèn)危皇褂米C書中的公鑰進行加密和驗證簽名。,數(shù)字證書,Digital certificate: Digital document that includes:Name of subject or companySubject’s public keyDigital certif
29、icate serial numberExpiration dateIssuance dateDigital signature of certification authority (trusted third party (institution) that issues certificateOther identifying information證書格式通常采用X.509標準,證書的類型,證書的類型很多,主要有2大類
30、:個人數(shù)字證書:安裝在瀏覽器上;服務器證書:安裝在服務器上;單位證書安全電子郵件證書如何從瀏覽器查看和管理數(shù)字證書?,證書的生成,首先為用戶生成一對公/私密鑰對CA為用戶生成用戶自己生成(通常由瀏覽器生成)向CA申請合法證書用戶把證書請求和用戶公鑰一起提交CACA審核請求,簽發(fā)證書CA為證書創(chuàng)建一個數(shù)字摘要,并用CA的私鑰簽名,數(shù)字證書的使用,先安裝CA的根證書一般所訪問的系統(tǒng)如果需要使用數(shù)字證書會自動彈出提示框
31、要求安裝根證書,用戶直接選擇確認即可;也可以直接登陸CA中心的網站,下載安裝根證書。安裝用戶證書用戶必須準備好裝有證書的存儲介質和證書文件。證書的檢查(由系統(tǒng)自動進行)證書路徑->信任的CA證書(取出公鑰)->被檢查證書,認證中心,是一個權威的、可信賴的、公正的第三方信任機構,它產生、發(fā)放并管理所有參與網上交易各方的數(shù)字證書。國內外著名的CA:http://www.verisign.com/世界著名的認證中心
32、http://www.sheca.com/上海市電子商務安全證書管理中心http://www.cfca.com.cn/中國金融認證中心http://www.cnca.net 廣東省電子商務認證中心,4.5 通信信道的安全(Securing channels of communication),Secure Sockets Layer (SSL): Most common form of securing channels of c
33、ommunication; used to establish a secure negotiated sessionVirtual Private Networks (VPNs): 使用點到點隧道協(xié)議(Point-to-Point Tunneling Protocol ,PPTP),使得遠程用戶可以通過Internet安全地訪問內部網絡,使用場合 (了解)在商業(yè)伙伴之間總公司與分支機構之間,SSL協(xié)議,SSL建立在TCP協(xié)議
34、之上,它的優(yōu)勢在于與應用層協(xié)議獨立無關SSL是目前在電子商務中應用最廣泛的安全協(xié)議之一SSL被大部分Web瀏覽器和Web服務器所內置,SSL基本功能,SSL服務器認證,確認用戶身份(可選擇) 保證數(shù)據(jù)傳輸?shù)臋C密性保證數(shù)據(jù)傳輸?shù)耐暾許SL兩種加密方式在建立連接過程中采用公開密鑰;在會話過程中采用了對稱密鑰。,SSL,Secure Negotiated Sessions(會話協(xié)商) Using SSL,會話密鑰,識別SSL
35、聯(lián)機,SSL協(xié)議為用戶提供了安全功能,而且不需要對細節(jié)的介入,但是,用戶應識別SSL聯(lián)機的狀態(tài)。瀏覽器地址欄(URL)http變?yōu)閔ttps窗口右下方的加密鎖狀態(tài),4.5 保護網絡(Protecting Networks):防火墻(Firewalls),定義廣義:強制實施訪問控制策略的一個系統(tǒng)或一組系統(tǒng)狹義:指安裝了防火墻軟件的主機或路由器系統(tǒng),1、防火墻的特性,防火墻被放在兩個網絡之間,并具有以下特性:所有從內部到外部或從外
36、部到內部的通信都必須經過它。只有有內部訪問策略授權的通信才被允許通過。,2、防火墻的主要功能,保障網絡安全:過濾不安全的服務和非法用戶。強化網絡安全策略:口令、加密、身份認證,控制對特殊站點的訪問。對網絡存取和訪問進行監(jiān)控審計:作為網絡安全的集中監(jiān)視點。防止內部信息外泄,3、防火墻的種類,包過濾型防火墻應用網關型防火墻代理服務型防火墻特點:包過濾防火墻通?;诼酚善?,簡單價格便宜。應用網關和代理服務方式的防火墻大多是基
37、于主機的,價格比較貴,但性能好,安裝和使用也比包過濾防火墻復雜,包過濾防火墻,包過濾防火墻應用數(shù)據(jù)包過濾(Packet Filtering)技術在網絡層對數(shù)據(jù)包進行選擇,截獲每個通過防火墻的IP包,并進行安全檢查。如果通過檢查,就將該IP包正常轉發(fā)出去否則,阻止該IP包通過,包過濾防火墻,選擇的依據(jù)是系統(tǒng)內設置的過濾邏輯,被稱為訪問控制表(Access Control Table)。規(guī)則一般基于下述5元組:<協(xié)議類型、源地址、目
38、的地址,源端口,目的端口>,判斷依據(jù)有(只考慮IP包),數(shù)據(jù)包協(xié)議類型:TCP、UDP、ICMP等 源、目的IP地址 源、目的端口:FTP、 HTTP、 DNS等 數(shù)據(jù)包流向:in或out 數(shù)據(jù)包流經網絡接口:eth0、eth1,,,IP封包,目的地址源地址,,,,目的端口號源端口號,,信息,TCP/UDP封包,,,,,,,,,,,,分組過濾原理,,,,,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,查找對應的控制策略,拆開數(shù)據(jù)包
39、,根據(jù)策略決定如何處理該數(shù)據(jù)包,控制策略,數(shù)據(jù)包,過濾依據(jù)主要是TCP/IP報頭里面的信息,不能對應用層數(shù)據(jù)進行處理,,分組過濾判斷信息,包過濾防火墻的優(yōu)缺點,優(yōu)點:邏輯簡單,價格便宜,易于安裝和使用,網絡性能和透明性好,通常安裝在路由器上。適合安全性要求低的小型系統(tǒng)。缺點:數(shù)據(jù)包的源地址、目的地址以及IP的端口號都在數(shù)據(jù)包的頭部,很有可能被竊聽或假冒包過濾的規(guī)則可能比較復雜,且不易驗證其正確性一般的包過濾路由器審計功能較弱,因
40、而安全性不足,應用網關型防火墻,應用級網關(Application Level Gateways)是在網絡應用層上建立協(xié)議過濾和轉發(fā)功能。如:超文本傳輸協(xié)議(HTTP)、遠程文件傳輸協(xié)議(FTP)等,使用指定的數(shù)據(jù)過濾規(guī)則。例如在一個HTTP連接中,包過濾只能記錄單個的數(shù)據(jù)包,無法記錄文件名、URL等信息。 。在過濾的同時,對數(shù)據(jù)包進行必要的分析、登記和統(tǒng)計,形成報告。,應用網關型防火墻,代理服務型防火墻,代理服務(Proxy S
41、ervice)的特點是將所有跨越防火墻的網絡通信鏈路分為兩段。當一個遠程用戶請求內部服務時,它首先與這個代理相連,經過認證后,再由代理連到目的主機,同時將服務器的響應傳送給所代理的客戶。代理服務也對過往的數(shù)據(jù)包進行分析、注冊登記,形成報告,同時當發(fā)現(xiàn)被攻擊跡象時會向網絡管理員發(fā)出警報,并保留攻擊痕跡。,代理服務,應用代理原理,,,,,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,查找對應的控制策略,拆開數(shù)據(jù)包,根據(jù)策略決定如何處理該數(shù)據(jù)包
42、,數(shù)據(jù)包,應用代理可以對數(shù)據(jù)包的數(shù)據(jù)區(qū)進行分析,并以此判斷數(shù)據(jù)是否允許通過,控制策略,,,,分組過濾判斷信息,應用代理判斷信息,代理服務型防火墻,易于配置;軟件實現(xiàn);界面友好便于與其它安全手段集成:認證、授權、加密,,,用戶級權限控制,,,,,,,Host C,Host D,,,Host B,Host A,受保護網絡,,Internet,,預先可在防火墻上設定用戶,Chenaf,123,Yes,Liwy,883,No,,,不管那臺電腦
43、都可以用相同的用戶名來登陸防火墻,,,,,,,,,,只需在防火墻設置該用戶的規(guī)則即可,應用控制可以對常用的高層應用做更細的控制 如HTTP的GET、POST、HEAD 如FTP的GET、PUT等,應用層,,,,,,應用層,內部網絡,外部網絡,,防火墻,內部接口,外部接口,,根據(jù)策略檢查應用層的數(shù)據(jù),,符合策略,,,,內容安全,,IP與MAC綁定,Internet,,,,,,,Host B,199.168.1.3,Host C,199
44、.168.1.4,Host D,199.168.1.5,,,00-50-04-BB-71-A6,00-50-04-BB-71-BC,BIND 199.168.1.2 To 00-50-04-BB-71-A6,BIND 199.168.1.2 To 00-50-04-BB-71-BC,,,IP與MAC地址綁定后,不允許Host B假冒Host A的IP地址上網,防火墻允許Host A上網,,安全遠程管理,,,Int
45、ernet,202.102.14.5,Superman,******,管理員,,,,黑客,,如何實現(xiàn)安全管理呢,采用一次性口令認證來實現(xiàn)安全管理,用戶名,口令,用戶名,口令,,,,,,,身份認證,,,,,Host C,Host D,,,Host B,Host A,受保護網絡,,Internet,,預先可在防火墻上設定用戶,Chenaf,123,,,,,驗證通過則允許訪問,Chenaf,123,Yes,Liwy,883,No,用戶身份認
46、證 根據(jù)用戶控制訪問,,,,信息審計 & 日志,,,,,,,Internet,,,,202.102.1.2,202.102.1.3,,寫入日志,,寫入日志,一旦出現(xiàn)安全事故可以查詢此日志,,天網防火墻,4、防火墻主要的不足,防火墻不能防范來自內部的攻擊防火墻不能防范不經由防火墻的攻擊防火墻不能防止受到病毒感染的軟件或文件的傳輸防火墻不能防止數(shù)據(jù)驅動式攻擊,4.6 保護服務器和客戶機(Protecting servers
47、 and clients),Operating system controls: Authentication and access control mechanismsAnti-virus software: Easiest and least expensive way to prevent threats to system integrity入侵檢測系統(tǒng),4.7 安全管理,多數(shù)電子商務企業(yè)的CEO和CIO認為:技術并不一定
48、是電子商務安全管理中的關鍵問題,技術只是為安全提供了一個基礎保障。如果缺乏明智的管理策略,即使最好的技術也會被輕易擊敗。還需要制定有關網絡犯罪的法律并積極加以實施,以此提高網絡犯罪行為所付出的代價,并制止企業(yè)濫用信息。,制定電子商務安全計劃,1、進行風險評估(Perform risk assessment),對風險及薄弱環(huán)節(jié)進行評估,詳細清點網站和企業(yè)的信息,確定哪些信息暴露在風險中?對每類信息都有估計如果此類信息受到侵害,企業(yè)可
49、能遭受的損失。做完之后,把結果排序。,2、制定安全政策 (Develop security policy),一系列說明,包括按優(yōu)先級排列的信息風險、識別可接受的風險目標,以及實現(xiàn)這些目標的機制。從優(yōu)先級最高的信息安全開始對每一種信息風險,你愿意接受的等級,及付出的代價全面徹底的安全可能需要驚人的資金支持,3、制定實施計劃(Develop implementation plan),為實現(xiàn)安全計劃目標所采取的行動步驟確定如何把可接
50、受的風險級別轉化為一套工具、技術、策略和程序。4、建立安全組織機構(Create security organization) 負責培訓用戶,使管理層了解安全威脅和破壞的存在,管理安全工作。,5、執(zhí)行安全審計(Perform security audit),review of security practices and procedures包括對訪問日志的常規(guī)檢查(確定外包人員如何使用網站以及內部人員如何訪問網站資源)大企業(yè)的
51、網站經常利用老虎隊來評估現(xiàn)有安全措施的強度,6、安全管理制度,信息安全管理制度的內涵網絡系統(tǒng)的日常維護制度病毒防范制度人員管理制度保密制度跟蹤、審計、稽核制度應急措施制度,練習與思考題,1、電子商務的安全需求?(分別從商家和消費者角度考慮)2、Why is it less risky to steal online? Explain some of the ways criminals deceive consumers
52、and merchants.3、Explain why an e-commerce site might not want to report being the target of cybercriminals. 4、Name the major points of vulnerability in a typical online transaction.,練習與思考題,5、電子商務的安全解決方案有哪幾類?舉例說明。6、說明S
53、SL協(xié)議的基本功能,圖示并說明SSL協(xié)議的會話協(xié)商過程。7、Identify and discuss the five steps in developing an e-commerce security plan.教材P150-151練習與思考,Projects,1、選擇一個適合的CA,申請個人安全電子郵件證書,對證書進行導入、導出操作。并在Outlook Express中使用安全電子郵件(加密和簽名郵件)。寫出操作步驟(拷屏)
54、。(作業(yè))自己選擇一個合適的CA,申請安全電子郵件證書(免費證書)。注意在申請時,電子安全電子郵件證書要與電郵地址對應,可以為2個電郵申請各自證書,進行測試,也可以2位同學合作. 申請免費電子郵件證書參考網站http://www.trustwork.com.cn/https://testca.netca.net/,Projects,1、選擇一個適合的CA,申請個人安全電子郵件證書,對證書進行導入、導出操作。并在Outlook
55、160;Express中使用安全電子郵件(加密和簽名郵件)。寫出操作步驟(拷屏)。(作業(yè)) 自己選擇一個合適的CA,申請安全電子郵件證書(免費證書)。注意在申請時,電子安全電子郵件證書要與電郵地址對應,可以為2個電郵申請各自證書,進行測試,也可以2位同學合作. 申請免費電子郵件證書參考網站https://testca.netca.net/,,2、 Find three certification auth
56、orities and compare the features of each company’s digital certificates. Provide a brief description of each company as well, including number of clients. Prepare a brief presentation of your findings. Students should
57、start by conducting an online search for the names of certification authorities. Certification authorities that students might locate include, but are not limited to: VeriSign, Entrust, beTrusted.com, RSA Security, GeoTr
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
- 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
評論
0/150
提交評論