电子商务安全案例分析作业
• 北京师范大学是教育部直属重点大学,自1902年创立,已有百年历史。学校共设
24个学院、2个系、20个研究院(所、中心)。全日制在校生19500余人,教职工3000余人。
随着校园网应用层次的逐步深入,将会有越来越多的学生、教职工和学校领导通过校园网进行重要数据的传输、资金的交割和各种教务活动的实现。北京师范大学现有的系统包括OA系统、邮件系统、网络计费系统、图书借阅系统、财务系统等,各个系统之间是相互独立,每个系统维护自己的用户帐户,用户管理混乱;同时系统归属于不同的业务部门管理,对于系统权限的制定,没有统一的规则;用户登录时需要分别登录各个系统,登录操作繁琐;“用户名+口令”的登录方式安全强度低,帐户密码丢失、信息被篡改等情况时有发生。并且基于网络的应用的所有内容都是以数字的形式流转于校园网之上,在这些应用中不可避免地存在着由网络的自由、共享和开放性所带来的信息安全隐患,这对校园网提出了很多安全需求。
•
• 基于以上的需求,天威诚信为北京师范大学建设了一整套完成的CA认证平台,设
计了如下的解决方案:
案例2
• 一、支付宝项目
项目背景:
阿里巴巴是全球最领先的网上贸易市场,在阿里巴巴这个虚拟的世界中,来自200个国家的七百万进口商与两百万家中国企业每天聚集在这里进行商业活动。旗下的支付宝(www.alipay.com)是国内领先的独立第三方支付平台。为中国电子商务提供“简单、安全、快速”的在线支付解决方案。支付宝不仅要从产品上确保用户在线支付的安全,同时让用户通过支付宝在网络间建立起相互信任。
1 随着支付宝业务的发展,其安全性变得越来越重要。一开始使用的单向SSL(SSL:Secure Socket Layer,安全套接字协议)认证方式解决了支付宝网站真实性和防止网络窃取等安全需求,没有真正解决对支付宝用户的身份认证,非法用户仍然可以通过各种途径,盗取或猜测用户的登录Email地址和登录密码,假冒合法用户身份,
登录
支付宝进行消费。为了解决支付宝平台面临的安全隐患,支付宝公司在综合考虑了动态口令双因素认证等安全认证方式后,决定采用成熟的基于PKI/CA技术的数字认证系统来保证平台安全,随即启动了“支付宝系统安全证书项目”,即在目前支付宝单向SSL认证的基础上,增加客户端数字证书认证方式,支付宝用户登录支付宝帐户时可通过数字证书来认证用户的身份。
2 解决方案:
由于数字证书平台可以完全实现支付宝现阶段对于安全的需求,并且有着很好的可扩展性。天威诚信作为一家第三方商业数字认证服务机构,拥有大量应用实践经验,,在综合考察支付宝系统现状后,天威为其设计了合理的技术方案,以满足其大批量签发证书的复杂应用,其解决方案如下:
• 采用天威诚信iTrusCA2.0系统,为支付宝应用建设了一套完整的CA系统,
面向支
付宝当前的业务应用,提供用于支付宝登录身份认证的用户证书服务;
• 考虑到系统的可扩充性原则,在今后增加数字签名功能时,保证现有的CA系统能
够很好的满足需求,方便灵活的进行扩充,同时满足《中华人民共和国电子签名法》的要求:使用法律认可的第三方CA认证中心发放的数字证书所做的电子签名才具有法律效力。
• 整个项目还支持银行的证书,支付宝将定期同步银行CA的CRL和LDAP;
• 为了方便支付宝用户完成证书的有关操作,天威诚信开发了“证书助手”工具,通过
证书助手能够很方便的完成证书生命周期管理、证书管理、客户端签名和签名验证、完成其它人证书管理和客户端签名日志保存等其它功能。
• 未来支付宝系统扩展电子签名的应用时,将直接采用天威诚信“证书助手”实现客户
端签名和签名验证的功能,同时通过“证书助手”用户可以将签名日志进行保存。 • 带来的价值:
• (1)安全登陆问题
• 支付宝通过建立数字认证平台解决了长期制约其进一步前行的安全支付问题,用户
名加密码的传统方式被数字证书的替换,增强了整个系统的可靠性。拥有数字证实的客户,可以提升相应的安全信用级别,完成更大数额的安全转帐交易,一个可信的安全服务平台逐步在支付宝上得以实现。客户安全观念也相应的得到了普及,数字证书正在悄悄的改变客户以往的操作方式,安全交易的信心正在用户中扎根。
• (2)电子签名证据保全服务功能
• 为了支付宝未来的发展,天威诚信为支付宝设计的系统不但可以实现其安全登陆的
功能,更为重要的是天威诚信设计的系统未来还可以为交易各方提供可供追述的交易签名证据保全系统。随着支付宝数字认证系统的升级,未来通过天威诚信CA认证中心,完成电子签名证据的保全服务。在发生法律纠纷时,天威诚信可作为公证第三方配合支付宝为司法机关提供法律认可的、有效的交易签名证据。该项服务对B-B间的大宗交易尤为重要,可大大降低支付宝运营的法律风险(如下图所示),帮助阿里巴巴构建有法可依的诚信体系。
作业:
1、信息的完整性
2、系统安全
3、不可否认鉴别
4、加密
5、数字证书
7、信息的完整性
8、系统安全
9、什么是媒体数据安全?媒体数据安全涉及哪些安全功能?
10、机构或部门在进行信息安全管理时要遵循哪些基本原则?
11、在利用数字证书实现信息安全时,发送方主要有哪些工作?接收方又有哪些工作?
12、画图说明说明SET的购物流程?
13、在提供不可否认机制服务方面,可信任的第三方起了什么作用?
14、网络安全管理包括哪几个方面的功能?
15、基于SSl的银行卡支付过程?
16、注册机构的主要功能?
17、什么是防火墙,防火墙具有哪些功能?
6、什么是机构部门信息安全管理的“四有”?