電子商務(wù)培訓(xùn)教材 2

電子商務(wù)

肯尼思.勞東卡羅爾.圭爾喬.特拉弗商務(wù).技術(shù).社會(huì)第七版E-commerce:business.technology.society.Copyright?2011PearsonEducation,Ltd.Copyright?2010PearsonEducation,Inc.Slide5-2第四章網(wǎng)絡(luò)安全與支付系統(tǒng)Copyright?2011PearsonEducation,ltd.網(wǎng)絡(luò)戰(zhàn):

虛擬世界中的2.0

課堂討論黑客攻擊和網(wǎng)絡(luò)戰(zhàn)之間的區(qū)別是什么？在過(guò)去的十年中，為什么網(wǎng)絡(luò)戰(zhàn)越來(lái)越具有潛在的毀滅性？全球有多少比例的電腦會(huì)被隱形惡意軟件程序入侵?政治方案能夠有效解決MAD2.0嗎？

Slide5-3電子商務(wù)安全環(huán)境網(wǎng)絡(luò)犯罪的涉及的領(lǐng)域和造成的損失還難以估計(jì)問(wèn)題報(bào)告2009計(jì)算機(jī)安全協(xié)會(huì)的年度調(diào)查顯示:49%的被調(diào)查組織發(fā)生過(guò)計(jì)算機(jī)安全事件愿意公布的公司中,平均每年損失$288,000地下經(jīng)濟(jì)市場(chǎng):通過(guò)“地下經(jīng)濟(jì)服務(wù)者”將信息賣給他人Slide5-4網(wǎng)絡(luò)犯罪類型Slide5-5什么是良好的電子商務(wù)安全?盡可能實(shí)現(xiàn)最高級(jí)別的安全新技術(shù)的應(yīng)用組織程序和策略行業(yè)標(biāo)準(zhǔn)和政府法令其他因素貨幣的時(shí)間價(jià)值安全成本vs.潛在損失安全鏈斷裂的地方往往在最薄弱的環(huán)節(jié)Slide5-6電子商務(wù)安全環(huán)境Figure4.2Slide5-7Table4.2Slide5-8在安全及其他價(jià)值間的取向便于使用:安全措施越多，就越難使用，而且速度也慢公共安全與犯罪分子對(duì)安全的利用犯罪分子利用技術(shù)犯罪或威脅公共安全Slide5-9電子商務(wù)環(huán)境中的安全威脅三個(gè)關(guān)鍵的薄弱點(diǎn):互聯(lián)網(wǎng)通信信道服務(wù)器端客戶端Slide5-10典型型的的電電子子商商務(wù)務(wù)交交易易Figure4.3Slide5-11電子子商商務(wù)務(wù)環(huán)環(huán)境境中中的的薄薄弱弱環(huán)環(huán)節(jié)節(jié)Figure4.4Slide5-12電子子商商務(wù)務(wù)環(huán)環(huán)境境中中的的安安全全威威脅脅惡意代代碼(maliciouscode)病毒virus蠕蟲worm特洛伊伊木馬馬Trojanhorse機(jī)器人人程序序bot不必要要程序序?yàn)g覽器器寄生生蟲browserparasites廣告軟軟件adsoftware間諜軟軟件spywareSlide5-13常見的的安全全威脅脅(cont.)網(wǎng)絡(luò)釣釣魚第三方方以任任意欺欺騙性性的網(wǎng)網(wǎng)絡(luò)行行為獲獲得用用戶的的保密密信息息社會(huì)工工程技技術(shù),電子郵郵件詐詐騙,偽裝成成合法法軟件件點(diǎn)擊鏈鏈接后后，就就會(huì)進(jìn)進(jìn)入詐詐騙者者控制制的網(wǎng)網(wǎng)站，，誘使使受騙騙人泄泄露賬賬號(hào)密密碼等等個(gè)人人信息息黑客行行為與與網(wǎng)絡(luò)絡(luò)破壞壞行為為黑客vs.駭客網(wǎng)絡(luò)破破壞行行為:故意破破壞網(wǎng)網(wǎng)站,使企業(yè)業(yè)名譽(yù)譽(yù)受損損,甚至摧摧毀整整個(gè)站站點(diǎn)黑客類類型:白帽黑黑客,黑帽黑黑客,灰帽黑黑客lSlide5-14常見的的安全全威脅脅(cont.)信用卡卡詐騙騙黑客攻攻擊目目標(biāo)商商戶服服務(wù)器器，盜盜刷信信用卡卡進(jìn)行行詐騙騙電子欺欺騙網(wǎng)址嫁嫁接垃圾網(wǎng)網(wǎng)站拒絕服服務(wù)攻攻擊黑客向向網(wǎng)站站大量量發(fā)送送無(wú)用用的通通信來(lái)來(lái)淹沒(méi)沒(méi)網(wǎng)絡(luò)絡(luò)并使使網(wǎng)絡(luò)絡(luò)癱瘓瘓分布式式拒絕絕服務(wù)務(wù)攻擊擊Slide5-15常見的的安全全威脅脅(cont.)網(wǎng)絡(luò)竊竊聽一種可可以監(jiān)監(jiān)視通通過(guò)網(wǎng)網(wǎng)絡(luò)傳傳遞的的信息息的竊竊聽程程序內(nèi)部攻攻擊最大的的財(cái)務(wù)務(wù)威脅脅設(shè)計(jì)不不當(dāng)?shù)牡姆?wù)務(wù)器和和客戶戶端軟軟件移動(dòng)平平臺(tái)的的安全全和任何何互聯(lián)聯(lián)網(wǎng)所所面臨臨的風(fēng)風(fēng)險(xiǎn)一一樣惡意軟軟件,僵尸網(wǎng)網(wǎng)絡(luò),短信詐詐騙Slide5-16技術(shù)解解決方方案保護(hù)互互聯(lián)網(wǎng)網(wǎng)的通通信(加密)保證信信息傳傳送渠渠道(SSL,S-HTTP,VPNs)保護(hù)網(wǎng)網(wǎng)絡(luò)工工作(防火墻墻)保護(hù)服服務(wù)機(jī)機(jī)和客客戶機(jī)機(jī)Slide5-17實(shí)現(xiàn)網(wǎng)網(wǎng)絡(luò)安安全的的可用用工具具Figure4.7Slide5-18加密（（Encryption）加密將明文文轉(zhuǎn)化化成除除發(fā)送送方和和接收收方以以外任任何人人都無(wú)無(wú)法讀讀取的的密文文的過(guò)過(guò)程保證存存儲(chǔ)信信息和和傳送送信息息的安安全加密可可以為為電子子商務(wù)務(wù)6個(gè)關(guān)鍵鍵方面面提供4個(gè)方面面的保保障:信息完完整性性不可否否認(rèn)性性真實(shí)性性機(jī)密性性Slide5-19對(duì)稱秘秘鑰加加密（（SymmetrickeyEncryption）發(fā)送方方和接接收方方使用用同一一把密密鑰來(lái)來(lái)加密密和解解密信信息每次信信息傳傳輸都都有不不同的的密鑰鑰加密系系統(tǒng)的的安全全保護(hù)護(hù)強(qiáng)度度用二進(jìn)進(jìn)制密密鑰的的長(zhǎng)度度來(lái)加加密信信息高級(jí)解解密標(biāo)標(biāo)準(zhǔn)(AES)最廣泛泛的對(duì)對(duì)稱加加密算算法提供128位,192位,and256位的加加密密密鑰其他對(duì)對(duì)稱加加密系系統(tǒng)會(huì)會(huì)使用用高達(dá)達(dá)2048位的密密鑰Slide5-20公鑰加加密（（PublicKeyEncryption）兩個(gè)算術(shù)術(shù)上相關(guān)關(guān)的數(shù)字字密鑰公開密鑰鑰(廣泛發(fā)布布)私有密鑰鑰(擁有者保保存)兩種密鑰鑰都可以以用來(lái)加加密和解解密信息息一旦某個(gè)個(gè)密鑰被被用來(lái)加加密信息息，就不不能再用用它解密密信息發(fā)送方用用接收方方的公鑰鑰來(lái)加密密信息，，接收方方用他的的私鑰來(lái)來(lái)解密Slide5-21公鑰加密密體系–一個(gè)簡(jiǎn)單單的例子子Figure4.8Slide5-22使用數(shù)字字簽名和和散列摘摘要的公公鑰加密密散列函數(shù)數(shù)（HashFunction）:一種可以以產(chǎn)生一一個(gè)稱為為散列或或者信息息摘要的的固定長(zhǎng)長(zhǎng)度數(shù)字字的算法法確保發(fā)送送到接受受者的信信息在傳傳輸過(guò)程程中沒(méi)有有被篡改改發(fā)送方用用接收方方的公鑰鑰對(duì)散列列結(jié)果和和原始信信息加密密發(fā)送方用用自己的的私鑰將將整個(gè)密密文塊在在加密一一次–創(chuàng)建數(shù)字字簽名–保證真實(shí)實(shí)性和不不可否認(rèn)認(rèn)性Slide5-23具有數(shù)字字簽名的的公鑰加加密體系系Figure4.9Slide5-24數(shù)字信封封加密系統(tǒng)統(tǒng)的缺點(diǎn)點(diǎn):公鑰加密密計(jì)算速度度很慢,傳輸速度度顯著減減慢,處理時(shí)間間的顯著著增加對(duì)稱密鑰鑰加密傳輸線難難以保證證用對(duì)稱密密鑰加密密來(lái)加密密大型文文件用公鑰加加密方法法來(lái)加密密和傳送送這把對(duì)對(duì)稱密鑰鑰Slide5-25公鑰加密密體系：：建立數(shù)數(shù)字信封封Figure4.10Slide5-26數(shù)字證書書和公開開密鑰基基礎(chǔ)設(shè)施施數(shù)字證書書包括:主題或公公司的名名稱主題的公公鑰數(shù)字證書書的額序序列號(hào)截止日期期、發(fā)放放日期認(rèn)證中心心得數(shù)字字簽名公開密鑰鑰基礎(chǔ)設(shè)設(shè)施(PKI):認(rèn)證中心心和數(shù)字字證書規(guī)規(guī)程良好隱私私（PGP）Slide5-27數(shù)字證書書和認(rèn)證證中心Figure4.11Slide5-28加密解決決方案的的局限性性大部分電電子商務(wù)務(wù)網(wǎng)站并并沒(méi)有用用加密的的形式來(lái)來(lái)存儲(chǔ)消消費(fèi)者的的隱私PKI無(wú)法保護(hù)護(hù)內(nèi)部人人員及能能訪問(wèn)企企業(yè)系統(tǒng)統(tǒng)的人的的信息個(gè)人私鑰鑰保護(hù)也也可能會(huì)會(huì)丟失無(wú)法保證證商家用用來(lái)做驗(yàn)驗(yàn)證的電電腦是安安全的CA可能不是是其認(rèn)證證的企業(yè)業(yè)或者個(gè)個(gè)人所認(rèn)認(rèn)定的權(quán)權(quán)威機(jī)構(gòu)構(gòu)Slide5-29社會(huì)透視視“網(wǎng)絡(luò)狗”和匿名性性課堂討論論互聯(lián)網(wǎng)無(wú)無(wú)期限的的匿名性性有哪些些好處？？身份認(rèn)證證系統(tǒng)的的缺點(diǎn)是是什么？？身份認(rèn)證證系統(tǒng)除除了安全全還有其其他優(yōu)點(diǎn)點(diǎn)嗎？身份認(rèn)證證系統(tǒng)應(yīng)應(yīng)該由誰(shuí)誰(shuí)進(jìn)行管管理?Slide通信信道道的安全全安全套接接層(SSL):一種客戶戶機(jī)/服務(wù)器之之間的對(duì)安全超文本傳輸協(xié)議:一種安全的以信息為導(dǎo)向的通信協(xié)議，與HTTP聯(lián)合使用虛擬專用網(wǎng)(VPN):一種使得某個(gè)本地網(wǎng)絡(luò)可以利用互聯(lián)網(wǎng)作為管道來(lái)和另一個(gè)網(wǎng)絡(luò)連接的加密機(jī)制(PPTP)Slide5-31利用SSL進(jìn)行安全全協(xié)商會(huì)會(huì)話Figure4.12Slide5-32網(wǎng)絡(luò)保護(hù)護(hù)防火墻（（Firewall）：硬件和軟軟件用安全政政策來(lái)過(guò)過(guò)濾通信信數(shù)據(jù)包包兩種主要要方式:包過(guò)濾應(yīng)用網(wǎng)關(guān)關(guān)代理服務(wù)務(wù)器(proxies)一種對(duì)于于來(lái)自互互聯(lián)網(wǎng)或或發(fā)送到到互聯(lián)網(wǎng)網(wǎng)上的通通信信息息進(jìn)行處處理的軟軟件服務(wù)務(wù)器Slide5-33防火墻和代理理服務(wù)器Figure4.13Slide保護(hù)服務(wù)器和和客戶機(jī)提升操作系統(tǒng)統(tǒng)安全升級(jí),修補(bǔ)防病毒軟件:抵御系統(tǒng)完整整性侵害最容容易也最便宜宜的方法需要每日更新新Slide5-35安全計(jì)劃：管管理政策進(jìn)行風(fēng)險(xiǎn)評(píng)估估制定安全策略略制定實(shí)施計(jì)劃劃安全機(jī)構(gòu)訪問(wèn)控制驗(yàn)證機(jī)制,生物特征征識(shí)別授權(quán)策略,授權(quán)管理系統(tǒng)統(tǒng)進(jìn)行安全審計(jì)計(jì)Slide5-36管理政策、企企業(yè)流程和法法律美國(guó)政府和企企業(yè)花費(fèi)12%的信息技術(shù)預(yù)預(yù)算用于硬件件、軟件和服服務(wù)器安全，，在2009年共計(jì)為1200億美元風(fēng)險(xiǎn)管理包括括科技有效管理策略略法律和公共政政策Slide5-37制定電子商務(wù)務(wù)安全計(jì)劃Slide5-38Figure4.14技術(shù)透視你的智能手機(jī)機(jī)安全嗎?課堂討論智能手機(jī)主要面臨哪種威脅?這種類型的設(shè)設(shè)備有哪些特特定的缺點(diǎn)嗎嗎？NicolasSeriot’s的Spyphone說(shuō)明了什么?與傳統(tǒng)個(gè)人電電腦軟件程序序相比，app受到的威脅是更大還是更更??？Slide5-39法律及公共政政策的作用新的法律為地地方和國(guó)家權(quán)權(quán)力機(jī)構(gòu)識(shí)別別、跟蹤并起起訴網(wǎng)絡(luò)犯罪罪分子提供了了新的工具和和機(jī)制:國(guó)際信息基礎(chǔ)礎(chǔ)設(shè)施保護(hù)法法美國(guó)愛國(guó)者法法案國(guó)土安全法私人機(jī)構(gòu)和公公司合作做出出的努力美國(guó)計(jì)算機(jī)應(yīng)應(yīng)急反應(yīng)小組組協(xié)調(diào)中心美國(guó)計(jì)算機(jī)應(yīng)應(yīng)急反應(yīng)小組組（US-CERT）政府對(duì)于加密密軟件的政策策和控制OECD條約Slide5-40支付系統(tǒng)類型型現(xiàn)金從交易數(shù)量角角度來(lái)說(shuō)是最最常見的支付付形式不需要任何機(jī)機(jī)構(gòu)作為中介介就可以立即即轉(zhuǎn)化為其他他價(jià)值形式支票轉(zhuǎn)賬從交易數(shù)量量角度來(lái)說(shuō)說(shuō)是第二種種常見的支支付形式信用卡信用卡組織織發(fā)卡銀行處理中心Slide5-41支付系統(tǒng)類類型儲(chǔ)值卡通過(guò)存入資資金建立的的賬戶，所所需資金也也從此賬戶戶中提取或或支付，例例如借記卡卡、禮券以以及智能卡卡對(duì)等網(wǎng)絡(luò)支支付系統(tǒng)余額累計(jì)可以累積支支出費(fèi)用讓讓消費(fèi)者定定期付款的的賬戶e.g.公共事業(yè)費(fèi)費(fèi)、電話費(fèi)費(fèi)以及美國(guó)國(guó)運(yùn)通卡賬賬戶Slide5-42Table4.6Slide5-43電子商務(wù)支支付系統(tǒng)信用卡占美國(guó)網(wǎng)絡(luò)絡(luò)交易的55%借記卡占美國(guó)網(wǎng)絡(luò)絡(luò)交易的28%網(wǎng)上信用卡支付付的局限性性安全成本社會(huì)公平Slide5-44網(wǎng)上信用卡卡交易的工工作原理Figure4.16Slide5-45電子商務(wù)支支付系統(tǒng)數(shù)字錢包模擬人們帶在身身邊的錢包功能，存儲(chǔ)和轉(zhuǎn)移價(jià)值，并確確保從消費(fèi)費(fèi)者到商家家支付過(guò)程的安全早期努力推推廣失敗最新開發(fā)：：GoogleCheckout數(shù)字現(xiàn)金在銀行存入入資金，并并發(fā)行數(shù)字字貨幣大多數(shù)早期期的數(shù)字現(xiàn)現(xiàn)金已經(jīng)消消失，協(xié)議議和時(shí)間太太復(fù)雜Slide5-46電子商務(wù)支支付系統(tǒng)在線儲(chǔ)值支支付系統(tǒng)消費(fèi)者可以以利用存在在網(wǎng)上賬戶戶的資金即即時(shí)的向商商家或其他他個(gè)人進(jìn)行行網(wǎng)上支付付PayPal,智能卡，Alipay（支付寶）），微信支支付。數(shù)字化余額額累計(jì)支付付系統(tǒng)累計(jì)借方余余額，給出出月末賬單單數(shù)字支票支支付系統(tǒng):擴(kuò)展現(xiàn)有支票帳戶的功能能Slide5-47移動(dòng)支付系系統(tǒng)歐洲、日本本和韓國(guó)已已經(jīng)將移動(dòng)動(dòng)設(shè)備當(dāng)做做支付設(shè)備備日本移動(dòng)支支付系統(tǒng)電子貨幣移動(dòng)借記卡卡移動(dòng)信用卡卡美國(guó)的手機(jī)機(jī)移動(dòng)支付付系統(tǒng)仍未