121.3网络交易安全管理的基本思路 电子商务是活动在 Internet平台上的一个涉及信息、资金 和物资交易的综合交易系统,其安全对象不是一般的系 统,而是一个开放的、人在其中频繁活动的、与社会系 统紧密耦合的复杂巨系统( complex giant systen)。它 是由商业组织本身(包括营销系统、支付系统、配送系 统等)与信息技术系统复合构成的。 在分析系统的安全风险,制定相应的安全保护措施时同 样需要基于其“复合型”性质,即需要同时考虑其组织 和技术体系以及管理过程的性质
12.1.3 网络交易安全管理的基本思路 ◼ 电子商务是活动在Internet 平台上的一个涉及信息、资金 和物资交易的综合交易系统,其安全对象不是一般的系 统,而是一个开放的、人在其中频繁活动的、与社会系 统紧密耦合的复杂巨系统(complex giant system)。它 是由商业组织本身(包括营销系统、支付系统、配送系 统等)与信息技术系统复合构成的。 ◼ 在分析系统的安全风险,制定相应的安全保护措施时同 样需要基于其“复合型”性质,即需要同时考虑其组织 和技术体系以及管理过程的性质
电子商务交易安全要通过人网结合、人机结合,充分发 挥各自优势的方法,才能经过综合集成,使系统表现出 新的安全性质——整体大于部分之和。 与电子商务交易系统相适应,电子商务交易安全是一个 系统工程。 个完整的网络交易安全体系,至少应包括三类措施, 是技术方面的措施,二是管理方面的措施,三是社会 的政策与法律保障
◼ 电子商务交易安全要通过人网结合、人机结合,充分发 挥各自优势的方法,才能经过综合集成,使系统表现出 新的安全性质——整体大于部分之和。 ◼ 与电子商务交易系统相适应,电子商务交易安全是一个 系统工程。 ◼ 一个完整的网络交易安全体系,至少应包括三类措施, 一是技术方面的措施,二是管理方面的措施,三是社会 的政策与法律保障
122客户认证技术 12.2.1身份认证 12.2.2信息认证技术 12.2.3通过认证机构认证 12.2.4我国电子商务认证机构的建设
12.2 客户认证技术 12.2.1 身份认证 12.2.2 信息认证技术 12.2.3 通过认证机构认证 12.2.4 我国电子商务认证机构的建设
12.2.1身份认证 客户认证主要包括客户身份认证和客户信息认证。前者 用于鉴别用户身份,保证通信双方的身份的真实性;后 者用于保证通信双方的不可抵赖性和信息的完整性。 1.身份认证的目标 身份认证包含识别和鉴别两个过程。身份标识是指定用 户向系统出示自己的身份证明过程。身份鉴别是系统查 核用户的身份证明的过程。身份认证的主要目标包括 (1)确保交易者是交易者本人,而不是其他人。 (2)避免与超过权限的交易者进行交易。 (3)访问控制
12.2.1 身份认证 ◼ 客户认证主要包括客户身份认证和客户信息认证。前者 用于鉴别用户身份,保证通信双方的身份的真实性;后 者用于保证通信双方的不可抵赖性和信息的完整性。 1.身份认证的目标 ◼ 身份认证包含识别和鉴别两个过程。身份标识是指定用 户向系统出示自己的身份证明过程。身份鉴别是系统查 核用户的身份证明的过程。身份认证的主要目标包括: (1)确保交易者是交易者本人,而不是其他人。 (2)避免与超过权限的交易者进行交易。 (3)访问控制
2.用户身份认证的基本方式 用户身份认证可通过三种基本方式或其组合方式实现: (1)用户通过某个秘密信息,例如通过口令访问系统资源。 (2)用户知道的某个秘密信息,并且利用包含这一秘密信息 的载体访问系统资源。 (3)用户利用自身所具有的某些生物学特征,如指纹、声音、 DNA图案、视网膜扫描等等 根据在认证中用因素的多少,可以分为单因素认证、 双因素认证,多因素认证等方法
2.用户身份认证的基本方式 ◼ 用户身份认证可通过三种基本方式或其组合方式实现: (1)用户通过某个秘密信息,例如通过口令访问系统资源。 (2)用户知道的某个秘密信息,并且利用包含这一秘密信息 的载体访问系统资源。 (3)用户利用自身所具有的某些生物学特征,如指纹、声音、 DNA图案、视网膜扫描等等。 根据在认证中采用因素的多少,可以分为单因素认证、 双因素认证,多因素认证等方法