電子商務(wù)安全4

第8章電子商務(wù)平安學(xué)習(xí)目標(biāo)1．了解電子商務(wù)平安現(xiàn)狀、面臨的威脅及電子商務(wù)平安內(nèi)容相關(guān)知識(shí)；2．掌握加密技術(shù)、認(rèn)證技術(shù)、防火墻、數(shù)字證書(shū)及認(rèn)證中心等電子商務(wù)平安技術(shù)相關(guān)知識(shí)；3．了解黑客與病毒防范相關(guān)知識(shí)；4．熟悉電子商務(wù)平安網(wǎng)絡(luò)協(xié)議相關(guān)知識(shí)；5．掌握電子商務(wù)平安管理相關(guān)知識(shí)。導(dǎo)入案例年度網(wǎng)站平安報(bào)告：26%電商網(wǎng)站存高危漏洞8.1電子商務(wù)平安概述在電子商務(wù)得益于網(wǎng)絡(luò)快速信息傳輸而興起和開(kāi)展的同時(shí)，病毒泛濫、黑客入侵、Web站點(diǎn)被攻擊的現(xiàn)象亦日益嚴(yán)重，計(jì)算機(jī)犯罪日益猖獗，高水平技術(shù)人員的犯罪已經(jīng)嚴(yán)重影響到電子商務(wù)等行業(yè)的平安;信息平安問(wèn)題越來(lái)越受到專家、技術(shù)人員和管理層的高度重視；電子商務(wù)信息平安是指電子商務(wù)全過(guò)程信息化狀態(tài)和信息技術(shù)體系不受外來(lái)的威脅與侵害;本章從技術(shù)角度和管理機(jī)制兩方面討論電子商務(wù)平安防護(hù)問(wèn)題。國(guó)防部網(wǎng)站開(kāi)通第一個(gè)月遭230多萬(wàn)次攻擊

8.1.2電子商務(wù)面臨的平安問(wèn)題1．計(jì)算機(jī)網(wǎng)絡(luò)平安問(wèn)題〔1〕物理實(shí)體的平安〔2〕系統(tǒng)的漏洞和“后門(mén)〞〔3〕網(wǎng)絡(luò)協(xié)議的平安漏洞〔4〕計(jì)算機(jī)病毒的攻擊〔5〕黑客的惡意攻擊2．電子交易平安問(wèn)題〔1〕電子商務(wù)交易平臺(tái)的平安問(wèn)題〔2〕交易雙方的信用問(wèn)題〔3〕電子支付平安問(wèn)題8.1.3電子商務(wù)平安問(wèn)題帶來(lái)的威脅1、信息泄露2、信息篡改3、身份識(shí)別4、信息破壞5、交易抵賴6、隱私泄露8.1.4電子商務(wù)平安要求信息的保密性；信息的完整性；交易各方身份的認(rèn)證；信息的有效性；信息的不可抵賴性、不可否認(rèn)性；隱私權(quán)的保護(hù)。8.1.5電子商務(wù)平安重要性1．平安是電子商務(wù)系統(tǒng)的根本要求2．平安是電子商務(wù)開(kāi)展的關(guān)鍵中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心〔CNNIC〕發(fā)布的“中國(guó)互聯(lián)網(wǎng)絡(luò)開(kāi)展?fàn)顩r統(tǒng)計(jì)報(bào)告〞顯示，在使用網(wǎng)絡(luò)購(gòu)物的用戶中，52.26％的用戶最關(guān)心的是交易的平安可靠性；非網(wǎng)絡(luò)購(gòu)物的用戶不使用網(wǎng)絡(luò)購(gòu)物的三大主要原因是“不會(huì)使用〞、“不平安〞、“沒(méi)有必要，不需要〞，所占比例分別為22.5%，21.2%，19.6%。8.1.6電子商務(wù)平安體系1．電子商務(wù)平安技術(shù)2．社會(huì)道標(biāo)準(zhǔn)3．法律體系4．平安管理體系8.2電子商務(wù)平安技術(shù)8.2.1加密技術(shù)加密技術(shù)是電子商務(wù)采取的主要平安保密措施，是信息平安技術(shù)的核心，用于保證電子商務(wù)中數(shù)據(jù)的保密性、完整性、真實(shí)性和非抵賴效勞。8.2.1加密技術(shù)1、信息加密概念加密系統(tǒng)由四個(gè)組成局部：〔1〕未加密的報(bào)文，也稱明文；〔2〕加密后的報(bào)文，也稱密文；〔3〕加密解密設(shè)備或算法；〔4〕加密解密的密鑰。

8.2.1加密技術(shù)信息驗(yàn)證廣泛采用的技術(shù)：秘密密鑰(私鑰)加密系統(tǒng)(PrivateKeyEncryption)公開(kāi)密鑰(公鑰)加密系統(tǒng)(PublicKeyEncryption)兩者相結(jié)合的方式1．對(duì)稱加密技術(shù)密文發(fā)送端明文加密網(wǎng)絡(luò)傳輸接收端密文明文密鑰A解密密鑰A2．非對(duì)稱加密技術(shù)密文發(fā)送端明文加密網(wǎng)絡(luò)傳輸接收端密文明文私鑰B解密密鑰A3．?dāng)?shù)字簽名數(shù)字簽名〔DigitalSignature〕是公開(kāi)密鑰加密技術(shù)的一種應(yīng)用，是指用發(fā)送方的私有密鑰加密報(bào)文，然后將其與原始的信息附加在一起，合稱為數(shù)字簽名。

8.2.2認(rèn)證技術(shù)認(rèn)證技術(shù)是指交易系統(tǒng)中交易參與者之間的平安身份認(rèn)證，是實(shí)現(xiàn)電子商務(wù)交易系統(tǒng)身份可認(rèn)證性和不可抵賴性的關(guān)鍵技術(shù)。認(rèn)證技術(shù)是整個(gè)信息平安體系的根底認(rèn)，證技術(shù)主要用于信息認(rèn)證，確認(rèn)信息發(fā)送者的身份，防止假冒；驗(yàn)證信息的完整性，即確認(rèn)信息在傳送或存儲(chǔ)過(guò)程中未被篡改正。認(rèn)證技術(shù)主要包括身份認(rèn)證和消息認(rèn)證。1．消息認(rèn)證認(rèn)證解密安全傳輸通道非授權(quán)者信道消息發(fā)送端認(rèn)證加密加密密鑰消息接收端2．身份認(rèn)證〔1〕口令識(shí)別法口令機(jī)制又稱作通行字機(jī)制，它是最廣泛研究和使用的身份鑒別法。口令驗(yàn)證的識(shí)別過(guò)程：①用戶將口令傳送給計(jì)算機(jī)；②計(jì)算機(jī)完成口令單向函數(shù)值的計(jì)算；③計(jì)算機(jī)把單向函數(shù)值和機(jī)器存儲(chǔ)的值比較?！?〕簽名識(shí)別法簽名識(shí)別，也被稱為簽名力學(xué)辨識(shí)，源于每個(gè)人都有自己獨(dú)特的書(shū)寫(xiě)風(fēng)格。簽名鑒定分為在線簽名鑒定和離線簽名鑒定兩種。前者是通過(guò)手寫(xiě)板采集書(shū)寫(xiě)人的簽名樣本，除了采集書(shū)寫(xiě)點(diǎn)的坐標(biāo)外，有的系統(tǒng)還采集壓力、握筆的角度等數(shù)據(jù);后者是通過(guò)掃描儀輸入簽名樣本。顯然，離線簽名比較容易偽造，識(shí)別的難度也比較大。而在線簽名由于有動(dòng)態(tài)信息，不容易偽造.〔3〕指紋識(shí)別技術(shù)識(shí)別指紋主要從兩個(gè)方面展開(kāi)：總體特征和局部特征?？傮w特征是指那些用人眼直接就可以觀察到的特征。包括紋形、模式區(qū)、核心點(diǎn)、三角點(diǎn)和紋數(shù)等。局部特征是指指紋上節(jié)點(diǎn)的特征，這些具有某種特征的節(jié)點(diǎn)稱為細(xì)節(jié)特征或特征點(diǎn)。〔4〕語(yǔ)音識(shí)別技術(shù)語(yǔ)音識(shí)別技術(shù)，也被稱為自動(dòng)語(yǔ)音識(shí)別AutomaticSpeechRecognition〔ASR〕，就是讓機(jī)器通過(guò)識(shí)別和理解過(guò)程把語(yǔ)音信號(hào)轉(zhuǎn)變?yōu)橄鄳?yīng)的文本或命令的高技術(shù)?！?〕生物識(shí)別技術(shù)①手掌幾何學(xué)識(shí)別②視網(wǎng)膜識(shí)別③虹膜識(shí)別④面部識(shí)別⑤DNA識(shí)別⑥靜脈識(shí)別⑦步態(tài)識(shí)別⑧人臉識(shí)別8.2.3防火墻1．訪問(wèn)控制信息及資源訪問(wèn)控制決策部件訪問(wèn)控制實(shí)施部件訪問(wèn)請(qǐng)求端提交訪問(wèn)請(qǐng)求請(qǐng)求決策提出訪問(wèn)請(qǐng)求2．防火墻〔1〕防火墻的分類從實(shí)現(xiàn)原理上分，防火墻的技術(shù)包括四大類：網(wǎng)絡(luò)級(jí)防火墻〔也叫包過(guò)濾型防火墻〕、應(yīng)用級(jí)網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)和規(guī)那么檢查防火墻。〔2〕防火墻的功能①網(wǎng)絡(luò)平安的屏障②強(qiáng)化網(wǎng)絡(luò)平安策略③監(jiān)控審計(jì)④防止內(nèi)部信息的外泄⑤數(shù)據(jù)包過(guò)濾⑥網(wǎng)絡(luò)IP地址轉(zhuǎn)換⑦虛擬專用網(wǎng)絡(luò)⑧日志記錄與事件通知8.2.4數(shù)字證書(shū)與認(rèn)證中心1．?dāng)?shù)字證書(shū)“數(shù)字證書(shū)〞作為網(wǎng)上交易雙方真實(shí)身份證明的依據(jù)，是一個(gè)經(jīng)證書(shū)授權(quán)中心〔CA〕數(shù)字簽名的、包含證書(shū)申請(qǐng)者〔公開(kāi)密鑰擁有者〕個(gè)人信息及其公開(kāi)密鑰的文件?；诠_(kāi)密鑰體制〔PKI〕的數(shù)字證書(shū)是電子商務(wù)平安體系的核心，用途是利用公共密鑰加密系統(tǒng)來(lái)保護(hù)與驗(yàn)證公眾的密鑰，由可信任的、公正的權(quán)威機(jī)構(gòu)CA頒發(fā)。2．認(rèn)證中心CA〔CertificationAuthority〕認(rèn)證中心是在電子交易中承擔(dān)網(wǎng)上平安交易認(rèn)證效勞、簽發(fā)數(shù)字證書(shū)、確認(rèn)用戶身份等工作并具有權(quán)威性和公正性的第三方效勞機(jī)構(gòu)，它是保證電子商務(wù)交易平安進(jìn)行的一個(gè)不可缺少的重要環(huán)節(jié)。認(rèn)證中心是進(jìn)行網(wǎng)上平安電子交易認(rèn)證效勞、簽發(fā)數(shù)字證書(shū)、確認(rèn)用戶身份的效勞機(jī)構(gòu)。商戶認(rèn)證中心（MerchantCA）持卡人認(rèn)證中心（CardholderCA）支付網(wǎng)關(guān)認(rèn)證中心（PaymentGatewayCA）根認(rèn)證中心（RootCA）品牌認(rèn)證中心（BrandCA）區(qū)域性認(rèn)證中心（Geo-politicalCA）持卡人支付網(wǎng)關(guān)商戶8.3電子商務(wù)平安技術(shù)協(xié)議這些協(xié)議主要有：公鑰體系結(jié)構(gòu)PKI、平安超文本傳輸協(xié)議〔S－HTTP〕、平安套接層協(xié)議〔SSL協(xié)議〕、平安電子交易協(xié)議〔SET協(xié)議〕、3-Dsecure協(xié)議、IPSec協(xié)議和虛擬專用網(wǎng)VPN等。8.4黑客與病毒防范技術(shù)“黑客〞的根本概念“黑客(Hacker)〞源于英語(yǔ)動(dòng)詞Hack。是指一些掌握計(jì)算機(jī)、網(wǎng)絡(luò)核心技術(shù)和利用計(jì)算機(jī)系統(tǒng)里面的BUG，非法進(jìn)入別人的計(jì)算機(jī)，網(wǎng)絡(luò)系統(tǒng)的人?！昂诳通暱煞譃閮深?。駭客：他們只想引人注目，證明自己的能力，在進(jìn)入網(wǎng)絡(luò)系統(tǒng)后，不會(huì)去破壞系統(tǒng)，或者僅僅會(huì)做一些無(wú)傷大雅的惡作劇。他們追求的是從侵入行為本身獲得巨大的成功的滿足；竊客：他們的行為帶有強(qiáng)烈的目的性。早期的這些“黑客〞主要是竊取國(guó)家情報(bào)、科研情報(bào)，而現(xiàn)在的這些“黑客〞的目標(biāo)大局部瞄準(zhǔn)了銀行的資金和電子商務(wù)的整個(gè)交易過(guò)程。

網(wǎng)絡(luò)“黑客〞常用的攻擊手段①獲取口令②電子郵件③木馬④誘入法⑤系統(tǒng)漏洞〔3〕黑客防范措施①屏蔽可以IP地址②過(guò)濾信息包④經(jīng)常升級(jí)系統(tǒng)版本⑤及時(shí)備份重要數(shù)據(jù)⑥使用加密機(jī)制傳輸數(shù)據(jù)⑦使用防火墻技術(shù)⑧平安工具包或軟件2．病毒與防治方法病毒是一種人為編制的程序或指令集合，這種程序能潛伏在計(jì)算機(jī)系統(tǒng)中，并通過(guò)自我復(fù)制傳播和擴(kuò)散，在一定條件下被激活，給計(jì)算機(jī)帶來(lái)故障和破壞。病毒的防治方法：〔1〕樹(shù)立病毒防范意識(shí)，從思想上重視計(jì)算機(jī)病毒要從思想上重視計(jì)算機(jī)病毒可能會(huì)給計(jì)算機(jī)平安運(yùn)行帶來(lái)的危害?！?〕安裝正版的殺毒軟件和防火墻，并及時(shí)升級(jí)到最新版本〔3〕及時(shí)對(duì)系統(tǒng)和應(yīng)用程序進(jìn)行升級(jí)?！?〕把好入口關(guān)?！?〕不要隨便登錄不明網(wǎng)站、黑客網(wǎng)站或網(wǎng)站?！?〕養(yǎng)成經(jīng)常備份重要數(shù)據(jù)的習(xí)慣。

〔7〕養(yǎng)成使用計(jì)算機(jī)的良好習(xí)慣?！?〕要學(xué)習(xí)和掌握一些必備的相關(guān)知識(shí)。8.5電子商務(wù)平安管理8.5.1電子商務(wù)平安管理原那么1．預(yù)防為主，重在控制2．全員參與，動(dòng)態(tài)管理3．多人負(fù)責(zé)，任期有限4．職責(zé)清晰，分工明確8.5.2電子商務(wù)平安管理策略1．風(fēng)險(xiǎn)評(píng)估，代價(jià)平衡的原那么2．適應(yīng)靈活，容易操作的原那么3．標(biāo)準(zhǔn)標(biāo)準(zhǔn)，整體高效的原那么4．均衡防護(hù)，應(yīng)急恢復(fù)的原那么8.5.3電子商務(wù)平安的管理措施1．提高網(wǎng)絡(luò)平安防范意識(shí)2．建立電子商務(wù)平安管理組織體系3．建立電子商務(wù)平安管理制度4．電子商務(wù)平安的法制建設(shè)策略8.5.4電子商務(wù)平安管理制度1．人員管理制度〔1〕嚴(yán)格平安管理人員的甄選〔2〕全方位的平安知識(shí)培訓(xùn)〔3〕落實(shí)工作責(zé)任制〔4〕貫徹電子商務(wù)平安運(yùn)作根本原那么4．網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度〔1〕硬件的日常管理和維護(hù)1〕網(wǎng)絡(luò)設(shè)備①運(yùn)用管理軟件進(jìn)行管理②手動(dòng)檢查，人工管理2〕效勞器管理3〕通信線路〔2〕軟件的日常管理和維護(hù)1〕支撐軟件2〕應(yīng)用軟件〔3〕數(shù)據(jù)備份制度6．病毒防范制度〔1〕安裝殺毒軟件〔2〕認(rèn)真執(zhí)行病毒定期清理制度〔3〕控制權(quán)限〔4〕高度警惕網(wǎng)絡(luò)陷阱7．應(yīng)急措施指在計(jì)算機(jī)災(zāi)難事件〔即緊急事件或平安事故〕發(fā)生時(shí)，利用應(yīng)急方案、輔助軟件和應(yīng)急設(shè)施，排除災(zāi)難和故障，保障計(jì)算機(jī)信息系統(tǒng)繼續(xù)運(yùn)行或緊急恢復(fù)?！?〕瞬時(shí)復(fù)制技術(shù)〔2〕遠(yuǎn)程磁盤(pán)鏡像技術(shù)〔3〕數(shù)據(jù)庫(kù)恢復(fù)技術(shù)一、選擇題1．在電子商務(wù)信息平安要求中，信息在傳輸過(guò)程中或存儲(chǔ)中不被他人竊取指的是〔〕。A．信息的保密性 B．信息的完整性C．信息的不可否認(rèn)性 D．交易者身份的真實(shí)性2．加密后的內(nèi)容稱為〔〕。A．密鑰 B．算法 C．密文 D．明文3．用戶識(shí)別方法不包括〔〕。A．根據(jù)用戶知道什么來(lái)判斷 B．根據(jù)用戶擁有什么來(lái)判斷C．根據(jù)用戶地址來(lái)判斷 D．根據(jù)用戶是什么來(lái)判斷4．以下身份認(rèn)證技術(shù)中，屬于生物特征識(shí)別技術(shù)的有〔〕。A．?dāng)?shù)字簽名識(shí)別法 B．指紋識(shí)別法C．語(yǔ)音識(shí)別法 D．頭蓋骨的輪廓識(shí)別法A

C

C

BCD

5．觸發(fā)電子商務(wù)平安問(wèn)題的原因有〔〕。A．黑客的攻擊B．管理的欠缺C．網(wǎng)絡(luò)的缺陷D．軟件的漏洞6．病毒防范制度包括的內(nèi)容有〔〕。A．為自己的電腦安裝防病毒軟件 B．不翻開(kāi)陌生地址的電子郵件C．認(rèn)真執(zhí)行病毒定期清理制度 D．高度警惕網(wǎng)絡(luò)陷阱7．下面屬于不平安口令的有〔〕。A．使用用戶名作為口令B．使用自己或者親友的生日作為口令C．使用學(xué)號(hào)或者身份證號(hào)碼等作為口令D．使用常用的英文單詞做作口令8．認(rèn)證中心的主要作用有〔〕。A．