第1章-電子商務(wù)安全

信息安全技術(shù)

（電子商務(wù)安全）2023/2/11第1章電子商務(wù)安全概述課程目的與任務(wù)通過本課程的學(xué)習(xí)，對信息安全與加密，及電子商務(wù)安全的概念有較全面的了解，掌握在安全網(wǎng)絡(luò)環(huán)境下構(gòu)建電子商務(wù)安全實用技術(shù)，并能具體應(yīng)用于電子商務(wù)的實踐中。電子商務(wù)安全技術(shù)2023/2/12第1章電子商務(wù)安全概述課程的要求理解和掌握電子商務(wù)安全的基本概念、理論、技術(shù)與體系結(jié)構(gòu)，通過課堂學(xué)習(xí)、課后復(fù)習(xí)與習(xí)題作業(yè)相結(jié)合，加深對所學(xué)的電子商務(wù)安全知識的理解，并能掌握電子商務(wù)安全實用技術(shù)。電子商務(wù)安全技術(shù)2023/2/13第1章電子商務(wù)安全概述教材管有慶、王曉軍、董小燕，電子商務(wù)安全技術(shù)(第二版).

，北京郵電大學(xué)出版社，2009

2023/2/14第1章電子商務(wù)安全概述主要參考書[1]沈昌祥.信息安全導(dǎo)論.北京：電子工業(yè)出版社.2009.2023/2/15第1章電子商務(wù)安全概述[2]唐四薪．電子商務(wù)安全．北京：清華大學(xué)出版社，2013.2023/2/16第1章電子商務(wù)安全概述[3]WilliamStallingsr．密碼編碼學(xué)與網(wǎng)絡(luò)安全．唐明

等譯．北京：電子工業(yè)出版社，2015.2023/2/17第1章電子商務(wù)安全概述考核標(biāo)準(zhǔn)本課程采用閉卷考試總成績=平時成績×30%+考試成績×70%希望大家都能得到好成績2023/2/18第1章電子商務(wù)安全概述答疑安排周二上午第2大節(jié)在圓樓308房間等待大家的光臨電子郵件答疑

電子商務(wù)系辦公室2023/2/19第1章電子商務(wù)安全概述電子商務(wù)安全技術(shù)第1章

電子商務(wù)安全概述第2章

密碼學(xué)基礎(chǔ)第3章

電子商務(wù)安全技術(shù)第4章

電子商務(wù)中的認(rèn)證技術(shù)第5章

電子商務(wù)支付系統(tǒng)第6章

移動電子商務(wù)安全第7章安全電子交易協(xié)議第8章萬維網(wǎng)安全及萬維網(wǎng)服務(wù)安全2023/2/110第1章電子商務(wù)安全概述第1章電子商務(wù)安全概述

▅1.1電子商務(wù)的基本概念

▅1.2電子商務(wù)安全概念與需求

▅1.3電子商務(wù)安全體系結(jié)構(gòu)

電子商務(wù)安全技術(shù)2023/2/111第1章電子商務(wù)安全概述1.1電子商務(wù)的基本概念

因特網(wǎng)的發(fā)展過程：1969年：兩強對立，美國建立ARPANET1986年：學(xué)術(shù)界加入研究成立NSFNET(美國國家科學(xué)基金網(wǎng))1987年：網(wǎng)絡(luò)上主機已超過一萬臺走入商業(yè)化1990年：internet、WWW興起中國互聯(lián)網(wǎng)發(fā)展現(xiàn)狀中國互聯(lián)網(wǎng)發(fā)展信息中心（）2023/2/112第1章電子商務(wù)安全概述1.1電子商務(wù)的基本概念

2023/2/113第1章電子商務(wù)安全概述2023/2/114第1章電子商務(wù)安全概述截至2015年6月，我國網(wǎng)民規(guī)模達(dá)6.68億，半年共計新增網(wǎng)民1894萬人?；ヂ?lián)網(wǎng)普及率為48.8%，較2014年底提升了0.9個百分點，整體網(wǎng)民規(guī)模增速繼續(xù)放緩。2023/2/115第1章電子商務(wù)安全概述互聯(lián)網(wǎng)對個人生活方式的影響進(jìn)一步深化“互聯(lián)網(wǎng)+”行動計劃的出臺，互聯(lián)網(wǎng)將在云計算、物聯(lián)網(wǎng)及大數(shù)據(jù)等應(yīng)用，帶動傳統(tǒng)產(chǎn)業(yè)的變革和創(chuàng)新2023/2/116第1章電子商務(wù)安全概述2023/2/117第1章電子商務(wù)安全概述“互聯(lián)網(wǎng)+”相關(guān)政策的支持，促進(jìn)網(wǎng)絡(luò)購物快速發(fā)展“互聯(lián)網(wǎng)+”概念，旨在通過互聯(lián)網(wǎng)帶動傳統(tǒng)零售、物流快遞、交通、生產(chǎn)制造等其他行業(yè)升級轉(zhuǎn)型商務(wù)部發(fā)布的《“互聯(lián)網(wǎng)+流通”行動計劃》2023/2/118第1章電子商務(wù)安全概述網(wǎng)絡(luò)購物在實現(xiàn)消費拉動經(jīng)濟增長，移動網(wǎng)購、跨境網(wǎng)購和農(nóng)村網(wǎng)購等將成為新的增長點2023/2/119第1章電子商務(wù)安全概述多樣化的移動支付方式重塑用戶消費習(xí)慣3D打印、無人機送貨、虛擬試衣等技術(shù)的研發(fā)和完善,提升用戶體驗2023/2/120第1章電子商務(wù)安全概述1.1電子商務(wù)的基本概念

ElectronicCommerce/ElectronicBusiness/E-commerce/E-business/E-trade/EC

“電子”+“商務(wù)”；電子是手段，商務(wù)是結(jié)果電子商務(wù)是以因特網(wǎng)為媒介、以商品交易雙方為主體、以銀行電子支付與結(jié)算為手段的全新商務(wù)模式2023/2/121第1章電子商務(wù)安全概述1.1.1電子商務(wù)內(nèi)容

1.1.2電子商務(wù)分類

1.1.3電子商務(wù)架構(gòu)

1.1.4電子商務(wù)意義

2023/2/122第1章電子商務(wù)安全概述生活中的電子商務(wù)實例實例1—網(wǎng)上訂購CD實例2—網(wǎng)上訂花實例3—網(wǎng)上交易2023/2/123第1章電子商務(wù)安全概述中國音像信息中心網(wǎng)站主頁（）2023/2/124第1章電子商務(wù)安全概述上海正廣和網(wǎng)上購物中心主頁（）2023/2/125第1章電子商務(wù)安全概述阿里巴巴商務(wù)網(wǎng)站主頁（）2023/2/126第1章電子商務(wù)安全概述1.1.1電子商務(wù)內(nèi)容

網(wǎng)上商業(yè)信息服務(wù)如：網(wǎng)上商店的商品信息網(wǎng)絡(luò)銀行的金融服務(wù)信息電子購物和交易

如：在網(wǎng)上商店選購商品電子銀行與金融交易服務(wù)如：在網(wǎng)絡(luò)銀行進(jìn)行帳務(wù)處理2023/2/127第1章電子商務(wù)安全概述電子商務(wù)必須面對的四大層面信息流采用電子信息交換，解決好信息流的問題，將是電子商務(wù)成功的關(guān)鍵資金流一個真正的商務(wù)過程的完成，必須靠資金的轉(zhuǎn)移來實現(xiàn)物流商品轉(zhuǎn)移安全假冒、欺詐、抵賴、泄密……2023/2/128第1章電子商務(wù)安全概述1.信息流信息流主要是傳遞消費者的訂單資料,其中包含消費者的數(shù)據(jù)(收件人、收件地址、收件時間),以及訂購的產(chǎn)品信息(產(chǎn)品名稱、數(shù)量)。信息流發(fā)生在消費者、電子商務(wù)網(wǎng)站、以及產(chǎn)品的發(fā)貨中心。網(wǎng)絡(luò)消費者

電子商務(wù)網(wǎng)站

發(fā)貨中心

消費者上網(wǎng)訂購并提供付款資料

訂單資料

2023/2/129第1章電子商務(wù)安全概述2.資金流資金流主要處理電子商務(wù)中的付款機制，所傳遞的資料主要為消費者的付款資料，而此資料必須保證安全性及正確性，因此必須配合加密及認(rèn)證技術(shù)來完成。資金流主要發(fā)生在電子商務(wù)網(wǎng)站及金融機構(gòu)之間。電子商務(wù)網(wǎng)站

確認(rèn)消費者付款資料

請款

金融機構(gòu)

2023/2/130第1章電子商務(wù)安全概述3.物流物流處理實體的貨物運送,倘若所銷售的是數(shù)字化的產(chǎn)品,將沒有實際的物流；若是實體貨物,則物流是電子商務(wù)三流程之中,成本最高的部分。物流會發(fā)生在發(fā)貨中心及消費者之間。網(wǎng)絡(luò)消費者

發(fā)貨中心

貨品送達(dá)客戶

2023/2/131第1章電子商務(wù)安全概述電子商務(wù)的流程網(wǎng)絡(luò)消費者電子商務(wù)網(wǎng)站發(fā)貨中心

金融機構(gòu)

1.消費者上網(wǎng)訂購并提供付款資料

2.確認(rèn)付款5.請款3.訂單資料4.貨品送達(dá)客戶

信息流資金流物流2023/2/132第1章電子商務(wù)安全概述4.安全網(wǎng)絡(luò)雖有傳遞快速、方便、成本低廉的好處，但網(wǎng)絡(luò)資料的安全性卻也比較令人擔(dān)憂把在網(wǎng)絡(luò)上傳遞的資料加密,即可解決網(wǎng)絡(luò)資料安全性的問題。

身份認(rèn)證則是讓沒有面對面的交易雙方,具有交易對象身份的確認(rèn)以及交易的不可否認(rèn)性2023/2/133第1章電子商務(wù)安全概述1.1.2電子商務(wù)分類企業(yè)間的電子商務(wù)(B2B)企業(yè)通過計算機網(wǎng)絡(luò)向它的供應(yīng)商進(jìn)行采購與付款企業(yè)與消費者之間的電子商務(wù)(B2C)許多大型的網(wǎng)絡(luò)商店，所出售的商品一應(yīng)俱全政府與企業(yè)之間的電子商務(wù)(G2B)

政府將采購，通過網(wǎng)上競價方式進(jìn)行招標(biāo)，企業(yè)也要通過電子商務(wù)的方式進(jìn)行投標(biāo)政府與消費者之間的電子商務(wù)(G2C)

社會福利金的支付、個人所得稅的征收電子商務(wù)按照應(yīng)用群體的角度進(jìn)行分類

2023/2/134第1章電子商務(wù)安全概述1.1.3電子商務(wù)架構(gòu)遠(yuǎn)程教育股票交易網(wǎng)上訂票網(wǎng)上商店網(wǎng)上交稅遠(yuǎn)程醫(yī)療網(wǎng)上銀行……認(rèn)證中心CA、支付網(wǎng)關(guān)、社會配送體系等基礎(chǔ)平臺網(wǎng)絡(luò)基礎(chǔ)設(shè)施相關(guān)政策法律法規(guī)技術(shù)標(biāo)準(zhǔn)安全協(xié)議2023/2/135第1章電子商務(wù)安全概述1.1.3電子商務(wù)架構(gòu)底層是網(wǎng)絡(luò)基礎(chǔ)平臺是信息傳送的載體和用戶接入手段，它包括各種各樣的網(wǎng)絡(luò)傳輸平臺、網(wǎng)絡(luò)傳輸設(shè)備和網(wǎng)絡(luò)接入方式等中間層是電子商務(wù)基礎(chǔ)平臺(1)基本加密算法層(2)基本安全技術(shù)層(3)安全協(xié)議層第三層是各種各樣的電子商務(wù)業(yè)務(wù)(應(yīng)用)系統(tǒng)包括支付型業(yè)務(wù)系統(tǒng)和非支付型業(yè)務(wù)系統(tǒng)。電子商務(wù)業(yè)務(wù)系統(tǒng)中主要是支付型業(yè)務(wù)系統(tǒng)三層框架2023/2/136第1章電子商務(wù)安全概述1.1.4電子商務(wù)意義全球化電子商務(wù)能夠讓商家向全球范圍內(nèi)的客戶提供商品，也可以讓客戶在全球范圍內(nèi)選購商品電子商務(wù)實現(xiàn)在線銷售、在線購物、在線支付，使商家和企業(yè)能及時跟蹤顧客的購物趨勢成本降低省去了中間環(huán)節(jié)，通過高效的信息傳遞手段，使得網(wǎng)上業(yè)務(wù)的運行成本大大降低商家和企業(yè)可以利用電子商務(wù)，同合作伙伴保持密切的聯(lián)系，改善合作關(guān)系

2023/2/137第1章電子商務(wù)安全概述1.1.4電子商務(wù)意義商家和企業(yè)可以利用電子商務(wù)在網(wǎng)上廣泛傳播自己的獨特形象通過電子商務(wù)可以促使商家和企業(yè)內(nèi)部之間的信息交流，內(nèi)部與外部的信息交流，及時得到各種信息，保證決策的科學(xué)性和及時性2023/2/138第1章電子商務(wù)安全概述1.2電子商務(wù)安全概念與需求1.2.1安全層面1.2.2安全威脅1.2.3安全需求

電子商務(wù)的安全與其他計算機應(yīng)用系統(tǒng)的安全一樣，是一個完整的安全體系結(jié)構(gòu)，它包含了從物理硬件到人員管理的各個方面，任何一個方面的缺陷都將在一定程度上影響整個電子商務(wù)系統(tǒng)的安全性2023/2/139第1章電子商務(wù)安全概述1.2.2安全威脅在一個調(diào)查報告中，調(diào)研樣本中有3526位網(wǎng)民未使用過網(wǎng)上銀行，在分析其不使用網(wǎng)上銀行的原因時發(fā)現(xiàn)，排在最前的因素是網(wǎng)民擔(dān)心交易安全問題(56.1%)2023/2/140第1章電子商務(wù)安全概述2014年國內(nèi)和國際網(wǎng)絡(luò)信息安全大事件國內(nèi)事件攜程信息“安全門”事件敲響網(wǎng)絡(luò)消費安全警鐘

小米800萬用戶數(shù)據(jù)泄露

快遞公司官網(wǎng)遭入侵泄露1400萬用戶快遞數(shù)據(jù)

130萬考研用戶信息被泄露

12306網(wǎng)站超13萬用戶數(shù)據(jù)遭泄露

2023/2/141第1章電子商務(wù)安全概述國際事件1.微軟正式停止對XP系統(tǒng)技術(shù)支持

2.iCloud曝安全漏洞蘋果陷入“艷照門”事件

3.摩根大通銀行被黑

8300萬客戶信息泄露4.2000萬韓國人信用卡信息被盜

2023/2/142第1章電子商務(wù)安全概述1.2.2安全威脅目前電子商務(wù)發(fā)展面臨的主要問題之一是如何保障電子商務(wù)交易過程中的安全性。交易的安全是網(wǎng)上貿(mào)易的基礎(chǔ)和保障，同時也是電子商務(wù)技術(shù)的難點交易安全是電子商務(wù)系統(tǒng)所特有的安全要求。2023/2/143第1章電子商務(wù)安全概述在交易過程中，消費者和商家面臨的安全威脅通常有：

虛假定單：假冒者以客戶名義訂購商品，而要求客戶付款或返還商品付款后收不到商品商家發(fā)貨后，得不到付款2023/2/144第1章電子商務(wù)安全概述1.2.2安全威脅機密性喪失PIN或口令在傳輸過程中丟失；商家的定單確認(rèn)信息被竄改電子貨幣丟失可能是物理破壞，或者被偷竊。這個通常會給用戶帶來不可挽回的損失非法存取指未經(jīng)授權(quán)者進(jìn)入計算機系統(tǒng)中，存取數(shù)據(jù)的情形；或合法授權(quán)者另有其他目的地使用系統(tǒng)侵入攻擊者在入侵系統(tǒng)后離去，并為日后的攻擊行為預(yù)留管道。如：木馬病毒2023/2/145第1章電子商務(wù)安全概述1.2.2安全威脅通信監(jiān)聽攻擊者無須入侵系統(tǒng)即可竊取到機密信息；欺詐攻擊者偽造數(shù)據(jù)或通信程序以竊取機密信息。例如，安裝偽造的服務(wù)器系統(tǒng)以欺騙使用者主動泄漏機密；拒絕服務(wù)攻擊者造成合法使用者存取信息時被拒絕的情況；否認(rèn)交易雙方之一方在交易后，否認(rèn)該交易曾經(jīng)發(fā)生，或曾授權(quán)進(jìn)行此交易的事實2023/2/146第1章電子商務(wù)安全概述1.2.3安全需求

因特網(wǎng)本身的開放性及目前網(wǎng)絡(luò)技術(shù)發(fā)展的局限性導(dǎo)致網(wǎng)上交易面臨著種種安全性威脅。交易與支付安全問題可歸結(jié)為如下幾個核心問題：可靠性、保密性、完整性、抗否認(rèn)性、匿名性、原子性和有效性。

2023/2/147第1章電子商務(wù)安全概述1.2.3安全需求1.可靠性傳統(tǒng)交易:交易雙方主要是面對面進(jìn)交易行活動的，易于身份驗證電子商務(wù)模式：網(wǎng)上進(jìn)行交易的雙方大多素昧平生電子商務(wù)首要的安全需求:保證身份的可認(rèn)證性，確保交易雙方身份信息的可靠，防止攻擊者以假冒身份在網(wǎng)上進(jìn)行交易和詐騙。2023/2/148第1章電子商務(wù)安全概述1.2.3安全需求2.保密性傳統(tǒng)的交易面對面地進(jìn)行敏感信息的交換通過專用、封閉的安全通信信道進(jìn)行交換。利用保險柜保存機密文件。電子商務(wù)模式電子商務(wù)是建立在開放的網(wǎng)絡(luò)環(huán)境上電子商務(wù)系統(tǒng)的最根本的安全需求：維護敏感信息的機密性，保證敏感信息的安全傳輸和存儲。實現(xiàn)方法：加密2023/2/149第1章電子商務(wù)安全概述1.2.3安全需求3.完整性電子商務(wù)系統(tǒng)應(yīng)防止對交易信息的篡改，防止數(shù)據(jù)傳輸過程中交易信息的丟失和重復(fù)，并保證信息傳遞次序的統(tǒng)一。當(dāng)網(wǎng)絡(luò)面臨主動攻擊時，攻擊者通過篡改或部分刪除交易過程中發(fā)送的信息，破壞信息的完整性，使交易的雙方蒙受損失。例如，用戶A截取C的郵購地址A的郵購地址網(wǎng)上書店2023/2/150第1章電子商務(wù)安全概述1.2.3安全需求4.不可否認(rèn)性傳統(tǒng)交易交易雙方通過在書面文件上手寫簽名方式確定書面文件的可靠性，預(yù)防抵賴行為的發(fā)生。

電子商務(wù)模式無紙化的電子交易無法通過傳統(tǒng)的“白紙黑字”方式防止交易參與方的抵賴行為。不可否認(rèn)性需求保證電子交易過程中的各個環(huán)節(jié)都必須是不可否認(rèn)的2023/2/151第1章電子商務(wù)安全概述1.2.3安全需求5.匿名性

電子商務(wù)系統(tǒng)應(yīng)確保交易的匿名性，防止交易過程被跟蹤，保證交易過程中不把用戶的個人信息泄露給未知的或不可信的個體，確保合法用戶的隱私不被侵犯。2023/2/152第1章電子商務(wù)安全概述6.原子性原子性包括：錢原子性(moneyatomicity)、商品原子性(goodsatomicity)、確認(rèn)發(fā)送原子性(certifieddeliveryatomicity)。原子性是滿足商品交易的要求之一。2023/2/153第1章電子商務(wù)安全概述1.2.3安全需求7.有效性電子商務(wù)系統(tǒng)應(yīng)有效防止系統(tǒng)延遲或拒絕服務(wù)情況的發(fā)生保證交易數(shù)據(jù)在確定的時刻、確定的地點是有效的。

2023/2/154第1章電子商務(wù)安全概述1.3電子商務(wù)安全體系結(jié)構(gòu)

電子商務(wù)安全系統(tǒng)結(jié)構(gòu)組成：由網(wǎng)絡(luò)服務(wù)層加密技術(shù)層安全認(rèn)證層交易協(xié)議層商務(wù)應(yīng)用系統(tǒng)層等5個層次組成

電子商務(wù)的安全體系結(jié)構(gòu)是保證電子商務(wù)中數(shù)據(jù)安全的一個完整的邏輯結(jié)構(gòu)，同時它也為交易過程的安全提供了基本保障

2023/2/155第1章電子商務(wù)安全概述電子商務(wù)安全體系結(jié)構(gòu)圖網(wǎng)絡(luò)安全交易安全2023/2/156第1章電子商務(wù)安全概述1.3電子商務(wù)安全體系結(jié)構(gòu)

電子商務(wù)安全問題可歸結(jié)為網(wǎng)絡(luò)安全和商務(wù)交易安全這兩個方面。

計算機網(wǎng)絡(luò)安全和商務(wù)交易安全是密不可分的，兩者相輔相成、缺一不可。2023/2/157第1章電子商務(wù)安全概述1.3.1網(wǎng)絡(luò)安全：網(wǎng)絡(luò)服務(wù)層提供網(wǎng)絡(luò)安全1.3.1交易安全加密技術(shù)層、安全認(rèn)證層、交易協(xié)議層、商務(wù)系統(tǒng)層滿足電子商務(wù)所特有的安全要求——商務(wù)交易安全2023/2/158第1章電子商務(wù)安全概述1.3.1網(wǎng)絡(luò)安全網(wǎng)絡(luò)服務(wù)層也提供計算機網(wǎng)絡(luò)安全。計算機網(wǎng)絡(luò)安全主要包括：計算機網(wǎng)絡(luò)的物理安全、計算機網(wǎng)絡(luò)系統(tǒng)安全和數(shù)據(jù)庫安全等。計算機網(wǎng)絡(luò)安全采用的主要安全技術(shù)有：防火墻技術(shù)、加密技術(shù)、漏洞掃描技術(shù)、入侵檢測技術(shù)、反病毒技術(shù)和安全審計技術(shù)等，用以保證計算機網(wǎng)絡(luò)自身的安全。2023/2/159第1章電子商務(wù)安全概述1.3.1網(wǎng)絡(luò)安全1.防火墻技術(shù)2023/2/160第1章電子商務(wù)安全概述1.3.1網(wǎng)絡(luò)安全2.加密技術(shù)數(shù)據(jù)加密技術(shù)可以用來保護網(wǎng)絡(luò)系統(tǒng)中包括用戶數(shù)據(jù)在內(nèi)的所有數(shù)據(jù)流。3.漏洞掃描技術(shù)漏洞掃描是自動檢測遠(yuǎn)端或本地主機安全漏洞的技術(shù)。4.入侵檢測技術(shù)入侵檢測技術(shù)通過獲取網(wǎng)絡(luò)上的所有報文，并對報文進(jìn)行分析處理2023/2/161第1章電子商務(wù)安全概述1.3.1網(wǎng)絡(luò)安全5.反病毒技術(shù)反病毒技術(shù)大體分為：病毒檢測病毒清除病毒免疫病毒預(yù)防6.安全審計技術(shù)

2