電子商務(wù)第七版5課件

1、Copyright 2011 Pearson Education, Ltd.電子商務(wù) 肯尼思.勞東卡羅爾.圭爾喬.特拉弗商務(wù). 技術(shù).社會第七版E-commerce: business. technology. society.Copyright 2011 Pearson Education, Ltd.Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.Copyright 2010 Pearson Education, Inc.Slide 5-2第四章網(wǎng)絡(luò)安全與支付系統(tǒng)Copyright 2011 Pearson

2、Education, ltd.Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.網(wǎng)絡(luò)戰(zhàn): 虛擬世界中的 2.0課堂討論黑客攻擊和網(wǎng)絡(luò)戰(zhàn)之間的區(qū)別是什么？在過去的十年中，為什么網(wǎng)絡(luò)戰(zhàn)越來越具有潛在的毀滅性？全球有多少比例的電腦會被隱形惡意軟件程序入侵?政治方案能夠有效解決MAD 2.0嗎？ Slide 5-3Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.電子商務(wù)安全環(huán)境網(wǎng)絡(luò)犯罪的涉及的領(lǐng)域和造成的損失還難以估計問題報告2009 計

3、算機安全協(xié)會的年度調(diào)查顯示: 49% 的被調(diào)查組織發(fā)生過計算機安全事件愿意公布的公司中, 平均每年損失$288,000地下經(jīng)濟市場:通過“地下經(jīng)濟服務(wù)者”將信息賣給他人Slide 5-4Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.網(wǎng)絡(luò)犯罪類型Slide 5-5Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.什么是良好的電子商務(wù)安全?盡可能實現(xiàn)最高級別的安全新技術(shù)的應(yīng)用組織程序和策略行業(yè)標(biāo)準(zhǔn)和政府法令其他因素貨幣的時間價值安全

4、成本vs. 潛在損失安全鏈斷裂的地方往往在最薄弱的環(huán)節(jié)Slide 5-6Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.電子商務(wù)安全環(huán)境Figure 4.2Slide 5-7Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.Table 4.2Slide 5-8Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.在安全及其他價值間的取向便于使用:安全措施

5、越多，就越難使用，而且速度也慢公共安全與犯罪分子對安全的利用犯罪分子利用技術(shù)犯罪或威脅公共安全Slide 5-9Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.電子商務(wù)環(huán)境中的安全威脅三個關(guān)鍵的薄弱點:互聯(lián)網(wǎng)通信信道服務(wù)器端客戶端Slide 5-10Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.典型的電子商務(wù)交易Figure 4.3Slide 5-11Copyright 2011 Pearson EducaCopyright

6、2011 Pearson Education, Ltd.電子商務(wù)環(huán)境中的薄弱環(huán)節(jié)Figure 4.4Slide 5-12Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.電子商務(wù)環(huán)境中的安全威脅惡意代碼(malicious code)病毒 virus 蠕蟲 worm特洛伊木馬 Trojan horse機器人程序 bot不必要程序瀏覽器寄生蟲 browser parasites廣告軟件 ad software間諜軟件 spywareSlide 5-13Copyright 2011 Pearson EducaCopy

7、right 2011 Pearson Education, Ltd.常見的安全威脅 (cont.)網(wǎng)絡(luò)釣魚第三方以任意欺騙性的網(wǎng)絡(luò)行為獲得用戶的保密信息社會工程技術(shù), 電子郵件詐騙, 偽裝成合法軟件點擊鏈接后，就會進入詐騙者控制的網(wǎng)站，誘使受騙人泄露賬號密碼等個人信息黑客行為與網(wǎng)絡(luò)破壞行為黑客vs. 駭客網(wǎng)絡(luò)破壞行為: 故意破壞網(wǎng)站, 使企業(yè)名譽受損, 甚至摧毀整個站點黑客類型: 白帽黑客, 黑帽黑客, 灰帽黑客lSlide 5-14Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.常見的安全威脅 (cont.)

8、信用卡詐騙黑客攻擊目標(biāo)商戶服務(wù)器，盜刷信用卡進行詐騙電子欺騙網(wǎng)址嫁接垃圾網(wǎng)站拒絕服務(wù)攻擊黑客向網(wǎng)站大量發(fā)送無用的通信來淹沒網(wǎng)絡(luò)并使網(wǎng)絡(luò)癱瘓分布式拒絕服務(wù)攻擊Slide 5-15Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.常見的安全威脅 (cont.)網(wǎng)絡(luò)竊聽一種可以監(jiān)視通過網(wǎng)絡(luò)傳遞的信息的竊聽程序內(nèi)部攻擊最大的財務(wù)威脅設(shè)計不當(dāng)?shù)姆?wù)器和客戶端軟件移動平臺的安全和任何互聯(lián)網(wǎng)所面臨的風(fēng)險一樣惡意軟件, 僵尸網(wǎng)絡(luò), 短信詐騙Slide 5-16Copyright 2011 Pearson EducaCopyrig

9、ht 2011 Pearson Education, Ltd.技術(shù)解決方案保護互聯(lián)網(wǎng)的通信(加密)保證信息傳送渠道(SSL, S-HTTP, VPNs)保護網(wǎng)絡(luò)工作 (防火墻)保護服務(wù)機和客戶機 Slide 5-17Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.實現(xiàn)網(wǎng)絡(luò)安全的可用工具Figure 4.7Slide 5-18Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.加密（Encryption）加密將明文轉(zhuǎn)化成除發(fā)送方和接收

10、方以外任何人都無法讀取的密文的過程保證存儲信息和傳送信息的安全加密可以為電子商務(wù)6個關(guān)鍵方面提供4個方面的保障: 信息完整性不可否認性真實性機密性Slide 5-19Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.對稱秘鑰加密（Symmetric key Encryption）發(fā)送方和接收方使用同一把密鑰來加密和解密信息每次信息傳輸都有不同的密鑰 加密系統(tǒng)的安全保護強度用二進制密鑰的長度來加密信息高級解密標(biāo)準(zhǔn) (AES)最廣泛的對稱加密算法提供128位, 192位, and 256位的加密密鑰其他對稱加密系統(tǒng)會

11、使用高達2048位的密鑰Slide 5-20Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.公鑰加密（Public Key Encryption）兩個算術(shù)上相關(guān)的數(shù)字密鑰公開密鑰(廣泛發(fā)布) 私有密鑰 (擁有者保存)兩種密鑰都可以用來加密和解密信息一旦某個密鑰被用來加密信息，就不能再用它解密信息發(fā)送方用接收方的公鑰來加密信息，接收方用他的私鑰來解密Slide 5-21Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.公鑰加密體系

12、一個簡單的例子Figure 4.8Slide 5-22Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.使用數(shù)字簽名和散列摘要的公鑰加密散列函數(shù)（Hash Function）:一種可以產(chǎn)生一個稱為散列或者信息摘要的固定長度數(shù)字的算法確保發(fā)送到接受者的信息在傳輸過程中沒有被篡改發(fā)送方用接收方的公鑰對散列結(jié)果和原始信息加密發(fā)送方用自己的私鑰將整個密文塊在加密一次 創(chuàng)建數(shù)字簽名 保證真實性和不可否認性Slide 5-23Copyright 2011 Pearson EducaCopyright 2011 Pearson

13、 Education, Ltd.具有數(shù)字簽名的公鑰加密體系Figure 4.9Slide 5-24Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.數(shù)字信封加密系統(tǒng)的缺點:公鑰加密計算速度很慢, 傳輸速度顯著減慢, 處理時間的顯著增加對稱密鑰加密傳輸線難以保證用對稱密鑰加密來加密大型文件 用公鑰加密方法來加密和傳送這把對稱密鑰Slide 5-25Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.公鑰加密體系：建立數(shù)字信封Figure

14、 4.10Slide 5-26Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.數(shù)字證書和公開密鑰基礎(chǔ)設(shè)施數(shù)字證書包括:主題或公司的名稱主題的公鑰數(shù)字證書的額序列號截止日期、發(fā)放日期認證中心得數(shù)字簽名公開密鑰基礎(chǔ)設(shè)施 (PKI): 認證中心和數(shù)字證書規(guī)程良好隱私（PGP）Slide 5-27Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.數(shù)字證書和認證中心Figure 4.11Slide 5-28Copyright 2011 Pe

15、arson EducaCopyright 2011 Pearson Education, Ltd.加密解決方案的局限性大部分電子商務(wù)網(wǎng)站并沒有用加密的形式來存儲消費者的隱私PKI 無法保護內(nèi)部人員及能訪問企業(yè)系統(tǒng)的人的信息個人私鑰保護也可能會丟失無法保證商家用來做驗證的電腦是安全的CA可能不是其認證的企業(yè)或者個人所認定的權(quán)威機構(gòu)Slide 5-29Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.社會透視“網(wǎng)絡(luò)狗”和匿名性課堂討論互聯(lián)網(wǎng)無期限的匿名性有哪些好處？身份認證系統(tǒng)的缺點是什么？身份認證系統(tǒng)除了安全還有其

16、他優(yōu)點嗎？身份認證系統(tǒng)應(yīng)該由誰進行管理?Slide 5-30Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.通信信道的安全安全套接層 (SSL): 一種客戶機/服務(wù)器之間的對話，其中所請求文檔的URL，以及所交換的內(nèi)容、表單的內(nèi)容和cookies都進行了加密安全超文本傳輸協(xié)議: 一種安全的以信息為導(dǎo)向的通信協(xié)議，與HTTP聯(lián)合使用虛擬專用網(wǎng) (VPN): 一種使得某個本地網(wǎng)絡(luò)可以利用互聯(lián)網(wǎng)作為管道來和另一個網(wǎng)絡(luò)連接的加密機制(PPTP)Slide 5-31Copyright 2011 Pearson Educa

17、Copyright 2011 Pearson Education, Ltd.利用SSL進行安全協(xié)商會話Figure 4.12Slide 5-32Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.網(wǎng)絡(luò)保護防火墻（Firewall）：硬件和軟件用安全政策來過濾通信數(shù)據(jù)包兩種主要方式:包過濾應(yīng)用網(wǎng)關(guān)代理服務(wù)器(proxies)一種對于來自互聯(lián)網(wǎng)或發(fā)送到互聯(lián)網(wǎng)上的通信信息進行處理的軟件服務(wù)器Slide 5-33Copyright 2011 Pearson EducaCopyright 2011 Pearson Educa

18、tion, Ltd.防火墻和代理服務(wù)器Figure 4.13Slide 5-34Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.保護服務(wù)器和客戶機提升操作系統(tǒng)安全升級, 修補防病毒軟件: 抵御系統(tǒng)完整性侵害最容易也最便宜的方法需要每日更新Slide 5-35Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.安全計劃：管理政策進行風(fēng)險評估制定安全策略制定實施計劃安全機構(gòu)訪問控制驗證機制, 生物特征識別授權(quán)策略, 授權(quán)管理系統(tǒng)進行安全

19、審計Slide 5-36Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.管理政策、企業(yè)流程和法律美國政府和企業(yè)花費12%的信息技術(shù)預(yù)算用于硬件、軟件和服務(wù)器安全，在2009年共計為1200億美元風(fēng)險管理包括科技有效管理策略法律和公共政策Slide 5-37Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.制定電子商務(wù)安全計劃Slide 5-38Figure 4.14Copyright 2011 Pearson EducaCopyr

20、ight 2011 Pearson Education, Ltd.技術(shù)透視你的智能手機安全嗎?課堂討論智能手機主要面臨哪種威脅?這種類型的設(shè)備有哪些特定的缺點嗎？Nicolas Seriots的Spyphone說明了什么?與傳統(tǒng)個人電腦軟件程序相比，app受到的威脅是更大還是更?。縎lide 5-39Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.法律及公共政策的作用新的法律為地方和國家權(quán)力機構(gòu)識別、跟蹤并起訴網(wǎng)絡(luò)犯罪分子提供了新的工具和機制:國際信息基礎(chǔ)設(shè)施保護法美國愛國者法案國土安全法私人機構(gòu)和公司合作做出

21、的努力美國計算機應(yīng)急反應(yīng)小組協(xié)調(diào)中心美國計算機應(yīng)急反應(yīng)小組（US-CERT）政府對于加密軟件的政策和控制OECD 條約Slide 5-40Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.支付系統(tǒng)類型現(xiàn)金從交易數(shù)量角度來說是最常見的支付形式不需要任何機構(gòu)作為中介就可以立即轉(zhuǎn)化為其他價值形式支票轉(zhuǎn)賬從交易數(shù)量角度來說是第二種常見的支付形式信用卡信用卡組織發(fā)卡銀行處理中心Slide 5-41Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Lt

22、d.支付系統(tǒng)類型儲值卡通過存入資金建立的賬戶，所需資金也從此賬戶中提取或支付，例如借記卡、禮券以及智能卡對等網(wǎng)絡(luò)支付系統(tǒng)余額累計可以累積支出費用讓消費者定期付款的賬戶e.g. 公共事業(yè)費、電話費以及美國運通卡賬戶Slide 5-42Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.Table 4.6Slide 5-43Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.電子商務(wù)支付系統(tǒng)信用卡占美國網(wǎng)絡(luò)交易的55 % 借記卡占美國網(wǎng)絡(luò)交

23、易的28 % 網(wǎng)上信用卡支付的局限性安全成本社會公平Slide 5-44Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.網(wǎng)上信用卡交易的工作原理Figure 4.16Slide 5-45Copyright 2011 Pearson EducaCopyright 2011 Pearson Education, Ltd.電子商務(wù)支付系統(tǒng)數(shù)字錢包模擬人們帶在身邊的錢包功能，存儲和轉(zhuǎn)移價值，并確保從消費者到商家支付過程的安全早期努力推廣失敗最新開發(fā)：Google Checkout 數(shù)字現(xiàn)金在銀行存入資金，并發(fā)行數(shù)字貨幣大多數(shù)早期的數(shù)字現(xiàn)金已經(jīng)消失，協(xié)議和時間太復(fù)