第七章電子商務安全201505

第七章電子商務安全1引例一、如何避免網(wǎng)絡釣魚攻擊獲取客戶信息根據(jù)英國的一互聯(lián)網(wǎng)監(jiān)測公司Netcraft聲稱，2006年3月12日，中國一家銀行的服務器被網(wǎng)絡騙子用做網(wǎng)絡釣魚（phishing）網(wǎng)站的主機，以復制美國一些銀行和網(wǎng)絡零售商的顧客資料。這是銀行網(wǎng)絡首次被犯罪分子用來偷取另一銀行顧客資料的攻擊事件。攻擊中發(fā)出的電子郵件是偽裝成摩根大通網(wǎng)上銀行的調查，郵件中謊稱用戶只要填寫賬號和個人信息后，會收到20美元的辛苦費。那么什么是網(wǎng)絡釣魚攻擊？如何識別垃圾郵件及假冒郵件？在發(fā)送和接收郵件時應該注意什么？二、如何預防病毒的危害2006年12月初，我國互聯(lián)網(wǎng)上大規(guī)模爆發(fā)“熊貓燒香”病毒及其變種。一只憨態(tài)可掬、頷首敬香的“熊貓”在互聯(lián)網(wǎng)上瘋狂“作案”?？ㄍɑ獗淼牟《荆[藏著巨大的傳染力，短短幾個月，“熊貓燒香”病毒給成千上萬個人用戶、網(wǎng)吧及企業(yè)局域網(wǎng)用戶，造成直接和間接損失超過1億元。如何預防計算機病毒和網(wǎng)絡病毒呢？2電子商務的安全目標電子商務安全技術電子商務的安全管理本章主要內容3電子商務發(fā)展的核心和關鍵問題是交易的安全性，消費者害怕自己的信用卡號碼被盜，而企業(yè)害怕拿到的信用卡號碼是盜用而收款發(fā)生問題。對企業(yè)來說，保證商業(yè)機密的安全也是非常重要的問題，一旦商業(yè)機密失竊，企業(yè)的損失將不可估量

首先是一個復雜的管理問題

其次是一個技術安全問題42000年2月8日到10日，一伙神通廣大的神秘黑客在三天的時間里接連襲擊了互聯(lián)網(wǎng)上包括雅虎、美國有線新聞等在內的五個最熱門的網(wǎng)站，并且造成這些網(wǎng)站癱瘓長達數(shù)個小時。在雅虎網(wǎng)站上，黑客使用了一種名為“拒絕服務”的入侵方式，在不同的計算機上同時用連續(xù)不斷的服務器電子請求來轟炸雅虎網(wǎng)站。這種方式類似于某人通過不停撥打某個公司的電話來阻止其他電話打進，從而導致公司通信癱瘓。在襲擊進行最高峰的時候，網(wǎng)站平均每秒鐘要遭受一千兆字節(jié)數(shù)據(jù)的猛烈攻擊，這一數(shù)據(jù)量相當于普通網(wǎng)站一年的數(shù)據(jù)量!面對如此猛烈的攻擊，雅虎的技術人員卻束手無策，只能眼睜睜地看著泛濫成災的電子郵件垃圾死死地堵住了雅虎用戶們上網(wǎng)所需的路由器。案例一：“拒絕服務”5雅虎網(wǎng)站遭襲后第二天，盡管世界各著名網(wǎng)站已經(jīng)高度警惕，但還是再次遭到這些神秘黑客的襲擊。世界最著名的網(wǎng)絡拍賣行eBay因神秘黑客襲擊而癱瘓了整整兩個小時，以致任何的用戶都無法登錄該站點；赫赫有名的美國有線新聞網(wǎng)CNN隨后也因遭神秘黑客的襲擊而癱瘓近兩個小時；風頭最勁的購物網(wǎng)站A也被迫關閉一個多小時!62005年2月份發(fā)現(xiàn)的一種騙取美邦銀行（SmithBarney）用戶的帳號和密碼的“網(wǎng)絡釣魚”電子郵件，該郵件利用了IE的圖片映射地址欺騙漏洞，并精心設計腳本程序，用一個顯示假地址的彈出窗口遮擋住了IE瀏覽器的地址欄，使用戶無法看到此網(wǎng)站的真實地址。當用戶使用未打補丁的Outlook打開此郵件時，狀態(tài)欄顯示的鏈接是虛假的。當用戶點擊鏈接時，實際連接的是釣魚網(wǎng)站http://**.41.155.60:87/s。該網(wǎng)站頁面酷似SmithBarney銀行網(wǎng)站的登陸界面，而用戶一旦輸入了自己的帳號密碼，這些信息就會被黑客竊取。案例二：網(wǎng)絡釣魚攻擊7

2004年7月發(fā)現(xiàn)的某假公司網(wǎng)站（網(wǎng)址為），而真正網(wǎng)站為，詐騙者利用了小寫字母l和數(shù)字1很相近的障眼法。詐騙者通過QQ散布“XX集團和XX公司聯(lián)合贈送QQ幣”的虛假消息，引誘用戶訪問。一旦訪問該網(wǎng)站，首先生成一個彈出窗口，上面顯示“免費贈送QQ幣”的虛假消息。而就在該彈出窗口出現(xiàn)的同時，惡意網(wǎng)站主頁面在后臺即通過多種IE漏洞下載病毒程序lenovo.ex，并在2秒鐘后自動轉向到真正網(wǎng)站主頁，用戶在毫無覺察中就感染了病毒。病毒程序執(zhí)行后，將下載該網(wǎng)站上的另一個病毒程序bbs5.exe，用來竊取用戶的傳奇帳號、密碼和游戲裝備。當用戶通過QQ聊天時，還會自動發(fā)送包含惡意網(wǎng)址的消息。8第一節(jié)電子商務的安全目標一、電子商務面臨的威脅二、電子商務安全的目標9一、電子商務面臨的威脅（一）個人電腦面臨的威脅被他人盜取用戶密碼、信用卡賬號等；計算機系統(tǒng)被木馬攻擊；用戶在瀏覽網(wǎng)頁時，被惡意程序進行攻擊；個人計算機受計算機病毒感染；黑客利用系統(tǒng)本身存在的漏洞攻擊他人。10（二）網(wǎng)絡安全的威脅1.黑客攻擊2.搭線竊聽3.偽裝身份4.信息泄密、篡改、銷毀5.間諜軟件襲擊6.網(wǎng)絡釣魚11二、電子商務安全的目標完整性保密性可靠性不可否認性安全目標真實性12

安全問題解決方案采用技術

數(shù)據(jù)被泄漏或篡改加密數(shù)據(jù)以防非法對稱加密、非對稱（機密性、完整性）讀取或篡改加密、信息摘要

冒名發(fā)送數(shù)據(jù)或發(fā)對信息的發(fā)送者進數(shù)字簽名、數(shù)字送數(shù)據(jù)后抵賴行身份驗證時間戳、認證技術（真實性、有效性、不可抵賴性）

對訪問網(wǎng)絡或服務器防病毒未經(jīng)授權擅自的某些流量進行過濾和保護防火墻訪問網(wǎng)絡（可靠性，嚴密性）

網(wǎng)絡對特定對象開放專用網(wǎng)絡安全問題及其解決方案13第二節(jié)電子商務的安全技術有關概念：1、加密（E）2、解密（D）3、明文（P）4、密文（C）5、密鑰（K）：

KK1=K2（對稱加密、單密鑰、秘密加密K1=K2（非對稱加密、雙密鑰、公開加密）PC14（一）對稱加密體系1、對稱加密體制有時又叫傳統(tǒng)加密體制、通用密鑰密碼體制，發(fā)送方和接收方使用同樣密鑰的密碼體制，即文件加密和解密使用相同的密鑰。對稱加密體制由5個部分組成：明文、加密算法、密鑰、密文、解密算法。

一、加密技術對稱加密體制的工作過程15對稱加密體制的算法DES（DataEncryptionStandard）是一個對稱的分組加密算法。DES算法以64位為分組進行明文的輸入，在密鑰的控制下產(chǎn)生64位的密文；反之輸入64位的密文，輸出64位的明文。它的密鑰總長度是64位，因為密鑰表中每個第8位都用作奇偶校驗，所以實際有效密鑰長度為56位。DES算法可以通過軟件或硬件實現(xiàn)。16古典密碼實例希臘密碼（二維字母編碼查表）公元前2世紀123451ABCDE2FGHIJK3LMNOP4QRSTU5VWXYZ明文：HELLO

密文：231531313417古典密碼實例凱撒密碼：公元前50年公元前50年，古羅馬的凱撒大帝在高盧戰(zhàn)爭中采用的加密方法。凱撒密碼算法就是把每個英文字母向前推移K位。

ABCDEFG……XYZDEFGHIJ……ABC

明文:JiangxiNormalUniversity密文:mldqjalqrupdoxqlyhuvlwb（K=3）18古典密碼實例若將字母編號a-z對應為1-26凱撒變換c=(m+k)modnn=2619案例在用戶鑰為cat的vigenere密碼中，加密明文vigenerecipher的過程如下(n=26)：明文M=vigenerecipher工作鑰K=catcatcatcatca密文C=xizgnxtevkpagr每個3字母組中的1、2、3字母分別移動(mod26)2個、0個、和19個位置202.對稱加密體制的優(yōu)點與缺點1）算法簡單，系統(tǒng)開銷??；2）加密數(shù)據(jù)效率高，速度快；3）適合加密大量數(shù)據(jù)。1）密鑰難以共享；2）管理密鑰有困難；3）無法實現(xiàn)數(shù)字簽名和身份驗證；4）密鑰的分發(fā)是加密體系中最薄弱、風險最大的環(huán)節(jié)。優(yōu)點缺點21(二)非對稱加密算法

1、非對稱加密體制也叫公開密鑰密碼體制，即加密密鑰和解密密鑰不同。公鑰（publickey）和私鑰（secretkey）的組合，一般加密的密鑰為公鑰，解密的密鑰為私鑰。公鑰是公開的，私鑰是用戶自己保存，只有自己才能知道。非對稱加密體制由6部分組成：明文、加密算法、公鑰、私鑰、密文、解密算法。非對稱加密體制的工作過程。222.非對稱加密體制的優(yōu)點與缺點1）密鑰管理簡單；2）便于進行數(shù)字簽名和身份認證，從而保證數(shù)據(jù)的不可抵賴性；1）算法復雜；2）加密數(shù)據(jù)的速度和效率較低；3）存在對大報文加密困難。優(yōu)點缺點233.非對稱加密體制的算法

RSA是1978年由R.L.Rivest、A.Shamir和L.Adleman設計的非對稱的方法，算法以發(fā)明者的名字的首字母來命名的。它是第一個既可用于加密，也可用于數(shù)字簽名的算法。

RSA只用于少量數(shù)據(jù)加密，在Internet中廣泛使用的電子郵件和文件加密軟件PGP(PrettyGoodPrivacy)就是將RSA作為傳送會話密鑰和數(shù)字簽名的標準算法。24對稱加密體系與非對稱加密體系的對比數(shù)字簽名\密鑰分配加密大量數(shù)據(jù)加密主要用途慢非?？煜鄬λ俣刃枰獢?shù)字證書及可靠的第三者簡單不好管理密鑰管理一個私有,一個公開密鑰是秘密的密鑰種類密鑰是成對的單一密鑰密鑰數(shù)目RSADES代表非對稱對稱比較項目25(三)對稱加密體系（DES）與非對稱加密體系（RSA）的綜合保密系統(tǒng)的結合KRSAPDES合并C分解RSADESKP（P為明文，K為密鑰，C為密文）

注：先使用隨機產(chǎn)生的對稱密鑰對報文進行加密,然后再使用接收方的公用密鑰對加密報文所使用的對稱密鑰進行加密,最后,將已加密的對稱密鑰連同密文一起發(fā)送給接收方；接收方收到經(jīng)加密的密鑰和密文后先使用其私人密鑰對已加密的密鑰進行解密，然后使用解密后所得的密鑰對密文進行解密得到明文(也叫數(shù)字信封技術）。兩步加密：（1）用密鑰加密報文（對稱）；（2）加密密鑰兩步解密:（1）解密密鑰（2）解密密文

26用戶的特征

用戶所擁有的

用戶所知道的

二、認證技術指紋虹膜DNA聲音用戶的行為身份證護照密鑰盤

密碼口令

（一）身份認證概述27身份認證

身份認證是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程。計算機和計算機網(wǎng)絡組成了一個虛擬的數(shù)字世界。在數(shù)字世界中，一切信息（包括用戶的身份信息）都是由一組特定的數(shù)據(jù)表示的，計算機只能識別用戶的數(shù)字身份，給用戶的授權也是針對用戶數(shù)字身份進行的。而我們的生活從現(xiàn)實世界到一個真實的物理世界，每個人都擁有獨一無二的物理身份。281.密碼方式

密碼方式是最簡單也是最常用的身份認證方法，是基于“whatyouknow”的驗證手段。每個用戶的密碼是由用戶自己設定的，只有用戶自己才知道。只要能夠正確輸入密碼，計算機就認為操作者是合法用戶。由于密碼是靜態(tài)的數(shù)據(jù)，在驗證過程中需要在計算機內存中和網(wǎng)絡中傳輸，而每次驗證使用的驗證信息都是相同的，很容易被駐留在計算機內存中的木馬程序或網(wǎng)絡中的監(jiān)聽設備截獲。因此密碼方式是一種不安全的身份認證方式。292.生物學特征

生物學特征認證是指采用每個人獨一無二的生物學特征來驗證用戶身份的技術。常見的有指紋識別、虹膜識別等。從理論上說，生物學特征認證是最可靠的身份認證方式，因為它直接使用人的生理特征來表示每個人的數(shù)字身份，不同的人具有不同的生物學特征，因此幾乎不可能被仿冒。303.動態(tài)口令

動態(tài)口令技術是一種讓用戶密碼按照時間或使用次數(shù)不斷變化、每個密碼只能使用一次的技術。用戶使用時只需要將動態(tài)令牌上顯示的當前密碼輸入客戶端計算機，即可實現(xiàn)身份認證。由于每次使用的密碼必須由動態(tài)令牌來產(chǎn)生，只有合法用戶才持有該硬件，所以只要通過密碼驗證就可以認為該用戶的身份是可靠的。而用戶每次使用的密碼都不同，即使黑客截獲了一次密碼，也無法利用這個密碼來仿冒合法用戶的身份。314.USBKey認證

基于USBKey的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備，它內置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USBKey內置的密碼算法實現(xiàn)對用戶身份的認證。USBKey的硬件和PIN碼構成了可以使用證書的兩個必要因素。如果用戶PIN碼被泄漏，只要USBKey本身不被盜用即安全。黑客如果想要通過破解加密狗的方法破解USBKey，那么需要先偷到用戶USBKey的物理硬件，而這幾乎是不可能的。32.數(shù)字摘要數(shù)字摘要簡要地描述了一份較長的信息或文件，它可以被看作一份長文件的“數(shù)字指紋”。信息摘要用于創(chuàng)建數(shù)字簽名數(shù)字摘要就是采用單向散列函數(shù)將需要加密的明文“摘要”成一串固定長度（128位）的密文，這一串密文又稱為數(shù)字指紋，它有固定的長度，而且不同的明文摘要成密文，其結果總是不同的，而同樣的明文其摘要必定一致。33（二）數(shù)字簽名1.數(shù)字簽名的含義和作用

在書面文件上親筆簽名或蓋章是傳統(tǒng)商務中確認文件真實性和法律效力的一種最為常用的手段。作用:

①信息是由簽名者發(fā)送的確認當事人的身份，起到了簽名或蓋章的作用。②能夠鑒別信息自簽發(fā)后到收到為止是否被篡改。34數(shù)字簽名建立在公鑰加密體制基礎上。完善的數(shù)字簽名技術具備簽字方不能抵賴、他人不能偽造、在公證人面前能夠驗證真?zhèn)蔚哪芰υ陔娮由虅瞻踩罩械脑磋b別、完整性服務、不可否認性服務方面有著特別重要的意義。35數(shù)字簽名原理示意圖

36三、安全交易標準SSL(securesocketslayer)安全套接層協(xié)議。是由NetscapeCommunication公司是由設計開發(fā)的，其目的是通過在收發(fā)雙方建立安全通道來提高應用程序間交換數(shù)據(jù)的安全性，從而實現(xiàn)瀏覽器和服務器（通常是Web服務器）之間的安全通信。（一）SSL協(xié)議傳輸層安全協(xié)議37（1）秘密性：使用對稱密鑰實現(xiàn)數(shù)據(jù)加密，確保連接安全。（2）完整性：使用安全的哈希函數(shù)如MD5、SHA等計算校驗碼，確保了信息的完整性和可靠性連接。（3）認證性：通過非對稱加密技術實現(xiàn)身份驗證。1、SSL提供的基本服務功能38SSL協(xié)議39◆SSL安全套接層協(xié)議適用于點對點之間的信息傳輸：通過在瀏覽器軟件和WWW服務器建立一條安全通道◆SSL協(xié)議位于TCP層之上和應用層之下.◆SSL協(xié)議包括兩個子協(xié)議:SSL記錄協(xié)議和SSL握手協(xié)議.402、支持SSL協(xié)議的網(wǎng)頁凡是支持送SSL協(xié)議的網(wǎng)頁，都會以https://作為URL的開頭?？蛻粼谂c服務器進行SSL會話中，如果使用的是微軟的IE瀏覽器，可以在右下方狀態(tài)欄中看到一只金黃色的鎖形安全標志，用鼠標雙擊該標志，就會彈出服務器證書信息。4142（二）SET協(xié)議(SecureElectronicTransaction，SET)：安全電子交易協(xié)議：它是由VISA和MasterCard兩大信用卡公司發(fā)起，會同IBM、Microsoft等信息產(chǎn)業(yè)巨頭于1997年6月正式制定發(fā)布的用于因特網(wǎng)事務處理的一種標準。應用層安全協(xié)議43SET協(xié)議是信用卡在因特網(wǎng)上進行支付的一種開放式標準，也是銀行卡安全支付的具體規(guī)范。該協(xié)議包括了信用卡在電子商務中的交易協(xié)定和信息保密、信息完整、身份認證、數(shù)字簽名等技術，目前已經(jīng)被廣為認可而成了事實上的國際通用的網(wǎng)上支付標準.441、SET為電子商務提供的功能①信息保密性。②數(shù)據(jù)的完整性。③提供交易者的身份認證和擔保。452.

SET協(xié)議所涉及的角色①持卡人：持信用卡在網(wǎng)上購物的人。②網(wǎng)上商店。③發(fā)卡銀行。④收單銀行。⑤支付網(wǎng)關。⑥CA認證中心。46收單行

商家

用戶

購物信息

支付信息

轉移存款SET保證商家看不到卡號，數(shù)字簽名商家的信息用商家私鑰加密

銀行的信息用銀行的私鑰加密

用戶的信息用自己的私鑰加密

付款信息用銀行的公鑰加密

用SET協(xié)議的購物流程473.SET協(xié)議的目標SET協(xié)議保證了在電子交易過程中：

(1)機密性--保證信息的安全傳輸。(2)數(shù)據(jù)完整性--保證電子商務參與者信息的相互隔離。(3)身份的合法性--解決多方認證問題。(4)不可否認性--保證網(wǎng)上交易的實時性。(5)兼容性和互操作功能。48SSL協(xié)議和SET協(xié)議的對比

對比項

SSL協(xié)議SET協(xié)議參與方客戶、商家和網(wǎng)上銀行客戶、商家、支付網(wǎng)關、認證中心和網(wǎng)上銀行軟件費用可直接投入使用，無需額外的附加軟件費用須在銀行網(wǎng)絡、商家服務器、客戶機上安裝相應的軟件，因此增加了許多附加軟件費用便捷性SSL在使用過程中無需在客戶端安裝電子錢包，因此操作簡單；每天交易有限額規(guī)定，因此不利于購買大宗商品；支付迅速，幾秒鐘便可完成支付SET協(xié)議在使用中必須使用電子錢包進行付款，因此在使用前，必須先下載電子錢包軟件，因此操作復雜，耗費時間；每天交易無限額，利于購買大宗商品；由于存在著驗證過程，因此支付緩慢，有時還不能完成交易安全性只有商家的服務器需要認證，客戶端認證則是有選擇的；缺少對商家的認證，因此客戶的信用卡號等支付信息有可能被商家泄漏安全需求高，因此所有參與交易的成員：客戶、商家、支付網(wǎng)關、網(wǎng)上銀行都必須先申請數(shù)字證書來認識身份；保證了商家的合法性，并且客戶的信用卡號不會被竊取，替消費者保守了更多的秘密，使其在結購物和支付更加放心49

1、概念：又叫證書授證中心,是為每個使用公開密鑰的客戶發(fā)放數(shù)字證書,并且對密鑰進行有效的管理.這種機構稱為CA.CA是一個權威的機構.2、認證中心的功能：核發(fā)證書、管理證書、搜索證書、驗證證書四、認證機構(即CACertificateAuthority)50CA認證體系結構5152目前大多數(shù)商務網(wǎng)站使用用戶名和口令的方式來對用戶進行認證，這種方式需要站點收集所有注冊用戶的信息，維護龐大的用戶信息數(shù)據(jù)庫。同時這種傳統(tǒng)登錄機制的安全性也比較脆弱，容易遭到外界的攻擊破壞。53數(shù)字證書的安全與認證功能消除了傳統(tǒng)的口令機制中內在的安全脆弱性，為每個用戶提供唯一的標識，以便利的方式來訪問Web服務器，降低了網(wǎng)站的維護和支持成本。數(shù)字證書可用于發(fā)送安全電子郵件、訪問安全站點、網(wǎng)上證券交易、網(wǎng)上采購招標、網(wǎng)上辦公、網(wǎng)上保險、網(wǎng)上稅務、網(wǎng)上簽約和網(wǎng)絡銀行等安全電子事務處理和安全電子交易活動等領域。54五、數(shù)字證書數(shù)字證書的內部格式遵循X.509標準。X.509是由國際電信聯(lián)盟(ITU—T)制定的數(shù)字證書標準。根據(jù)這項標準，證書包括申請證書個人的信息和發(fā)行證書機構的信息。概念：又稱為公開密鑰證書。是一種數(shù)字標識，是INTERNET上的安全護照，提供網(wǎng)絡上的身份證明。55標準的X.509數(shù)字證書包含內容

證書擁有者的姓名；證書的版本信息。證書的序列號。證書所使用的簽名算法。頒發(fā)者。證書的有效期限。證書所有人的公開密鑰565758⑴證書沒有過期。⑵密鑰沒有修改。⑶用戶仍然有權使用這個密鑰。⑷證書不在無效證書清單中。3.數(shù)字證書的有效性59按使用對象劃分◆個人數(shù)字證書：為某一個用戶提供憑證，以幫助某個人在網(wǎng)上進行安全交易操作。個人身份的數(shù)字憑證通常安裝在客戶端的瀏覽器內。利用個人數(shù)字證書可以發(fā)送帶有個人簽名的電子郵件，也可以利用對方的數(shù)字證書向對方發(fā)送加密郵件。2、數(shù)字證書的類型60

◆企業(yè)（服務器憑證）：用于網(wǎng)上某個企業(yè)WEB服務器身份的識別，使得連接到服務器用戶確信服務器的真實身份。有憑證的WEB服務器會自動地將其與客戶端的WEB瀏覽器通信的信息加密。

61六)電子簽章62四、防火墻技術

防火墻是一種隔離技術，是指一種將內部網(wǎng)和公眾訪問網(wǎng)（如Internet）分開的方法。防火墻可以通過過濾不安全的服務而降低風險，可以強化網(wǎng)絡安全策略，對網(wǎng)絡存取和訪問進行監(jiān)控審計，防止內部信息的外泄；防火墻還支持具有Internet服務特性的企業(yè)內部網(wǎng)絡技術體系VPN（虛擬專用網(wǎng)）；在實際使用中，用戶在受信任的網(wǎng)絡上通過防火墻訪問Internet時，經(jīng)常會發(fā)現(xiàn)存在延遲并且必須進行多次登錄才能訪問互聯(lián)網(wǎng)或企業(yè)內部網(wǎng)。63電子商務的安全體系64一、安全管理概述二、機構制度管理三、風險制度管理四、法律制度管理

第三節(jié)電子商務的安全管理651．保密制度絕密級：網(wǎng)址、密碼不在因特網(wǎng)上公開，只限高層管理人員掌握機密級：只限公司中層管理人員以上使用秘密級：在因特網(wǎng)上公開，供消費者瀏覽，但必須防止黑客侵入2．網(wǎng)絡系統(tǒng)的日常維護制度（1）硬件的日常管理和維護（2）軟件的日常維護和管理（3）數(shù)據(jù)備份制度。（4）用戶管理一、電子商務的安全管理概述3．病毒防范制度（1）給電腦安裝防病毒軟件（2）不打開陌生電子郵件（3）認真執(zhí)行病毒定期清理制度（4）控制權限（5）高度警惕網(wǎng)絡陷阱664．瀏覽器安全設置（1）管理Cookie的技巧Internet-隱私（2）禁用或限制使用Java、Java小程序腳本在網(wǎng)頁中經(jīng)常使用Java、JavaApplet、ActiveX編寫的腳本，它們可能會獲取你的用戶標識、IP地址，乃至口令，甚至會在你的機器上安裝某些程序或進行其他操作，因此應對Java、Java小程序腳本、ActiveX控件和插件的使用進行限制。

ActiveX控件和插件Internet-安全-自定義級別（3）調整自動完成功能的設置Internet-內容-自動完成67

什么是Cookies？Cookies是一種能夠讓網(wǎng)站服務器把少量數(shù)據(jù)儲存到客戶端的硬盤或內存，或是從客戶端的硬盤讀取數(shù)據(jù)的一種技術。Cookies是當你瀏覽某網(wǎng)站時，由Web服務器置于你硬盤上的一個非常小的文本文件，它可以記錄你的用戶ID、密碼、瀏覽過的網(wǎng)頁、停留的時間等信息。當你再次來到該網(wǎng)站時，網(wǎng)站通過讀取Cookies，得知你的相關信息，就可以做出相應的動作，如在頁面顯示歡迎你的標語，或者讓你不用輸入ID、密碼就直接登錄等等。從本質上講，它可以看作是你的身份證。68二、機構制度管理（一）認證機構在電子交易中，無論是時間戳服務還是數(shù)字證書的發(fā)放，都不是靠交易雙方自己能完成的，而是需要一個具有權威性和公正性的第三方機構來完成。認證機構CA(CertificationAuthority)就是承擔網(wǎng)上安全電子交易認證服務、簽發(fā)數(shù)字證書并能確認用戶身份的服務機構。（二）數(shù)字證書數(shù)字證書又稱為數(shù)字憑證、數(shù)字標識。是由CA證書授權中心發(fā)行的，能提供在Internet上進行身份驗證的一種權威性電子文檔，人們可以用它來證明自己在互聯(lián)網(wǎng)中的身份或識別對方的身份。69三、風險制度管理

電子商務風險管理就是跟蹤、評估、監(jiān)測和管理商務整個