第11章电子商务的安全管理目录目录11.1.1电子商务概述1.电子商务的概念在对电子商务认知识的发展和完善过程中，各国政府，学者和企业对其基本概念给出了不同的诠释。电子商务概念的总结11.1.1电子商务概述2.电子商务的交易模式(1)按照参与交易的对象划分11.1.1电子商务概述2.电子商务的交易模式(2)按照交易产品的类型划分3.电子商务的交易流程电子商务的交易流程分为五个环节11.1.2电子商务安全问题的特征1.电子商务系统自身的安全问题2.交易传输过程中的信息安全3.电子商务企业内部安全管理隐患4.电子商务安全的法律保障5.电子商务的信用安全问题6.电子商务的支付安全问题11.1.3电子商务安全的概念1.物理层的安全管理电子商务应用系统实体设备的安全管理2.软件层的安全管理电子商务应用系统和数据的安全管理3.人事层的安全管理在电子商务交易过程中涉及到人员的安全管理4.信用安全的管理在电子商务交易过程中建立安全可靠的信用管理体制5.电子商务安全立法逐步推进和制定相关电子商务的法律法规11.1.4电子商务安全管理的要素11.1.5电子商务安全管理的体系结构11.2.1电子商务安全管理的原则1.安全责任到人的管理原则2.专职安全管理原则3.减少人为因素原则4.多人或交叉负责原则5.人员轮岗原则6.最小权限原则11.2.2电子商务安全管理制度的内涵应用系统集成安全管理制度数据存储和管理制度网络传输系统安全管理制度人员安全管理制度1.应用系统集成安全管理制度2.数据存储和管理制度3.网络传输系统安全管理制度4.人员安全管理制度11.2.3电子商务系统的日常维护制度1.执行严格的出入管理制度2.网络系统的日常维护制度3．对支撑软件的日常维护制度4．严格执行密码管理规定和保密制度5．认真执行病毒防范制度6．运行中心和开发调试机房隔离制度7．操作日志制度8．检查考核制度11.2.5备份、审计和应急管理软硬件的备份管理网络交易日志审计据存储和管理制度应急预案与应急措施11.3.1电子商务安全协议概述表11-1常用安全协议概要11.3.2基于网络层的安全协议-IPSecIPsec是一系列协议的总称，下面介绍其中核心的三个协议：IKE（InternetKeyExchange）协议ESP（EncapsulatingSecurityPayload）协议AH（AuthenticationHeader）协议1.密码交换协议-IKE2.数据传送协议-ESP图11-2数据传送协议ESP构造示意图3.安全性和认证协议-AH11.3.3基于传输层的安全协议-SSLSSL安全协议的原理和构造SSL(SecureSocketLayer)协议是加密、认证以及完整性保证的协议。该协议位于OSI模型的第五层会话层和第四层传输层之间，从应用层来看是完全透明的，可以方便地应用于HTTP、FTP、TELNET等协议之下。11.3.4基于应用层的安全协议-SET和3-DSECURESET协议SET协议是用于网上信用卡支付的协议，由美国Visa组织和Master组织共同开发，微软、网景、IBM等公司联合进行了标准化的一个协议。它的加密算法采用DES或RSA，数字签名采用RSA方式。为了能够进行安全的交易，该协议规定会员（消费者），加盟店（网上商店），支付金融机关（信用卡公司、银行等）这三者都必须取得证书，并为他们制定了严格的交易流程。利用SET协议前，首先要在客户端安装的电子钱包软件，另外还要按照规定手续，取得数字证书。取得证书后就可以进行交易。11.3.4基于应用层的安全协议-SET和3-DSECURE2.3-DSECURE协议Visa组织于2001年5月推出了新一代的互联网的结算用协议3-DSECURE（3-DomainSecure）。国际上的另外两大信用卡组织Master和JCB也宣布支持这个协议。和SET相比，消费者不用事先安装证书或其他软件，加盟店也能够以较低廉的费用导入该系统，因此近年来得到了一定程度的普及。3-DSecure是把SSL交易分为发卡行域、收单行域以及它们之间的互操作域三个领域、每次进行信用卡交易都由发卡行域和收单行域独立进行消费者和加盟店的认证，认证通过后，再进行正常的信用卡授信过程。11.3.5数字证书的原理和概念数字证书就是由具有公信力的认证机构（CA）发行的用来证明其中包含的公开键的真实有效性的一组数据。这组数据中包含有公开键、加密算法信息、所有者的数据、证明机关的数字签名和证明书的有效期间等信息。国内首批获得信息产业部颁发的电子认证服务许可证书，成为取得国家电子认证服务资格的8家机构有山东省数字证书认证中心、银联金融认证中心、北京天威诚信电子商务服务和上海市数字证书认证中心等。X509证书是最为广泛使用的证书，是ISO组织制定的标准规格。内容