【電子商務(wù)教學(xué)課件】電子商務(wù)安全

電子商務(wù)教學(xué)課件-電子商務(wù)安全本章學(xué)習(xí)目標(biāo)電子商務(wù)安全概述電子商務(wù)的安全需求電子商務(wù)安全技術(shù)與措施電子商務(wù)安全認(rèn)證機(jī)制案例五 5.1 電子商務(wù)安全概述5.1.1 電子商務(wù)的安全威脅5.1.2 國內(nèi)電子商務(wù)安全現(xiàn)狀5.1.3 電子商務(wù)安全對策5.1.1電子商務(wù)的安全威脅 在傳統(tǒng)交易過程中，買賣雙方是面對面的，因此很容易保證交易過程的安全性和建立起信任關(guān)系。但在電子商務(wù)過程中，買賣雙方是通過網(wǎng)絡(luò)來聯(lián)系的，彼此遠(yuǎn)隔千山萬水，由于因特網(wǎng)既不安全，也不可信，因而建立交易雙方的安全和信任關(guān)系相當(dāng)困難。電子商務(wù)交易雙方都面臨不同的安全威脅。電子商務(wù)存在安全威脅的主要原因電子商務(wù)的運(yùn)作環(huán)境時(shí)空的阻隔帶來了一系列的安全問題管理不善帶來了一系列的安全問題法律和制度等不可控因素帶來安全問題賣方(銷售者)面臨的安全威脅系統(tǒng)中心安全性被破壞競爭者的威脅信用的威脅假冒的威脅買方(消費(fèi)者)面臨的安全威脅被人假冒付款后不能收到商品機(jī)密性喪失拒絕服務(wù)網(wǎng)絡(luò)詐騙黑客攻擊電子商務(wù)系統(tǒng)的手段中斷(攻擊系統(tǒng)的可用性)：破壞系統(tǒng)中的硬件、硬盤、線路、文件系統(tǒng)等，使系統(tǒng)不能正常工作；竊聽(攻擊系統(tǒng)的機(jī)密性)：通過搭線與電磁泄漏等手段造成泄密，或?qū)I(yè)務(wù)流量進(jìn)行分析，獲取有用情報(bào)；篡改(攻擊系統(tǒng)的完整性)：篡改系統(tǒng)中數(shù)據(jù)內(nèi)容，修正消息次序、時(shí)間(延時(shí)和重放)；偽造(攻擊系統(tǒng)的真實(shí)性)：將偽造的假消息注入系統(tǒng)，假冒合法人介入系統(tǒng)、重放截獲的合法消息實(shí)現(xiàn)非法目的,否認(rèn)消息的接入和發(fā)送等。5.1.2國內(nèi)電子商務(wù)安全現(xiàn)狀 近年來，國內(nèi)電子商務(wù)得到了蓬勃發(fā)展，但由于技術(shù)不完善和管理不到位，安全隱患還很突出。電子商務(wù)中存在的主要安全問題計(jì)算機(jī)網(wǎng)絡(luò)安全商品的品質(zhì)商家的誠信貨款的支付商品的遞送買賣糾紛處理網(wǎng)站售后服務(wù) 以上問題可以歸結(jié)為兩大部分：計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全。 計(jì)算機(jī)網(wǎng)絡(luò)安全與商務(wù)交易安全實(shí)際上是密不可分的，兩者相輔相成，缺一不可。電子商務(wù)的一個(gè)重要技術(shù)特征是利用IT技術(shù)來傳輸和處理商業(yè)信息。沒有計(jì)算機(jī)網(wǎng)絡(luò)安全作為基礎(chǔ)，商務(wù)交易安全就猶如空中樓閣，無從談起。沒有商務(wù)交易安全保障，即使計(jì)算機(jī)網(wǎng)絡(luò)本身再安全，仍然無法達(dá)到電子商務(wù)所特有的安全要求。只有解決好以上的矛盾，電子商務(wù)才能保證又快又好的發(fā)展。1.支付安全 由于網(wǎng)絡(luò)天生的不安全性，特別是其網(wǎng)上支付領(lǐng)域有著各種各樣的交易風(fēng)險(xiǎn)。但無論是何種風(fēng)險(xiǎn)，其根本原因都是由于登錄密碼或支付密碼泄露造成的。密碼管理問題網(wǎng)絡(luò)病毒、木馬問題釣魚平臺硬件數(shù)字認(rèn)證 根據(jù)國內(nèi)知名反病毒廠商金山(Kingsoft)發(fā)布的《2021中國電腦病毒疫情及互聯(lián)網(wǎng)安全報(bào)告》，盜號木馬、黑客/后門病毒、木馬下載器三類病毒構(gòu)成了當(dāng)前互聯(lián)網(wǎng)安全威脅的主導(dǎo)因素，如圖5-1所示。 根據(jù)國內(nèi)知名反病毒廠商金山(Kingsoft)發(fā)布的《2021中國電腦病毒疫情及互聯(lián)網(wǎng)安全報(bào)告》，2021年，金山毒霸共截獲新病毒/木馬283,084個(gè)，較06年相比增長了17.88%，病毒/木馬增長速度與2021年相比有所放緩，但仍處于大幅增長狀態(tài)，總數(shù)量還是非常龐大的，如圖5-2所示。2.認(rèn)證安全 電子商務(wù)為了保證網(wǎng)絡(luò)上傳遞信息的安全，通常采用加密的方法。但這是不夠的，如何確定交易雙方的身份，如何獲得通訊對方的公鑰并且相信此公鑰是由某個(gè)身份確定的人擁有的，解決方法就是找一個(gè)大家共同信任的第三方，即認(rèn)證中心(CertificateAuthority，CA)頒發(fā)電子證書。用戶之間利用證書來保證安全性和雙方身份的合法性，只有確定身份后，交易的糾紛，才得到有效的裁決。5.1.3電子商務(wù)安全對策 電子商務(wù)安全對策是為了應(yīng)對電子商務(wù)交易中，面臨的各種安全威脅而采取的管理和技術(shù)對策。1.完善各項(xiàng)管理制度人員管理制度保密制度跟蹤審計(jì)制度系統(tǒng)維護(hù)制度病毒防范制度應(yīng)急措施2.技術(shù)對策 技術(shù)對策指通過各種產(chǎn)品和技術(shù)來保證網(wǎng)絡(luò)的安全。5.2 電子商務(wù)的安全需求5.2.1 電子交易的安全需求5.2.2 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全5.2.1電子交易的安全需求 電子商務(wù)安全問題的核心和關(guān)鍵是電子交易的安全性，因此，下面首先討論在Internet上進(jìn)行商務(wù)交易過程中的安全問題。由于Internet本身的開放性以及目前網(wǎng)絡(luò)技術(shù)發(fā)展的局限性，使網(wǎng)上交易面臨著種種安全性威脅，也由此提出了相應(yīng)的安全控制要求。1.身份的可認(rèn)證性 身份的可認(rèn)證性是指交易雙方在進(jìn)行交易前應(yīng)能鑒別和確認(rèn)對方的身份。在傳統(tǒng)的交易中，交易雙方往往是面對面進(jìn)行活動的，這樣很容易確認(rèn)對方的身份。即使開始不熟悉、不能確信對方，也可以通過對方的簽名、印章、證書等一系列有形的身份憑證來鑒別他的身份。另外，在傳統(tǒng)的交易中如果是采用進(jìn)行通信，也可以通過聲音信號來識別對方身份。2.信息的保密性 信息的保密性是指對交換的信息進(jìn)行加密保護(hù)，使其在傳輸過程或存儲過程中不被他人所識別。在傳統(tǒng)的貿(mào)易中，一般都是通過面對面的信息交換，或者通過郵寄封裝的信件或可靠的通信渠道發(fā)送商業(yè)報(bào)文，達(dá)到保守商業(yè)機(jī)密的目的。而電子商務(wù)是建立在一個(gè)開放的網(wǎng)絡(luò)環(huán)境下，當(dāng)交易雙方通過Internet交換信息時(shí)，因?yàn)镮nternet是一個(gè)開放的公用互聯(lián)網(wǎng)絡(luò)，如果不采取適當(dāng)?shù)谋Ｃ艽胧?，那么其他人就有可能知道他們的通信?nèi)容；另外，存儲在網(wǎng)絡(luò)的文件信息如果不加密的話，也有可能被黑客竊取。3.信息的完整性 信息的完整性指確保信息在傳輸過程中的一致性，并且不被未經(jīng)授權(quán)者所篡改，也稱不可修改性。上面所討論的信息保密性，是針對網(wǎng)絡(luò)面臨的被動攻擊一類威脅而提出的安全需求，但它不能避免針對網(wǎng)絡(luò)所采用的主動攻擊一類的威脅。所謂被動攻擊，就是不修改任何交易信息，但通過截獲、竊取、觀察、監(jiān)聽、分析數(shù)據(jù)流和數(shù)據(jù)流式獲得有價(jià)值的情報(bào)。而主動攻擊就是篡改交易信息，破壞信息的完整性和有效性，以達(dá)到非法的目的。 例如，在電子貿(mào)易中，乙給甲發(fā)了如下一份報(bào)文：?°請給丁匯100元錢。乙?±。報(bào)文在報(bào)發(fā)過程中經(jīng)過了丙之手，丙就把?°丁?±改為?°丙?±。這樣甲收到后就成了?°請給丙匯100元錢。乙?±，結(jié)果是丙而不是丁得到了100元錢。當(dāng)乙得知丁未收到錢時(shí)就去問甲，甲出示有乙簽名的報(bào)文，乙發(fā)現(xiàn)報(bào)文被篡改了。4.不可抵賴性 交易的不可抵賴性是指交易雙方在網(wǎng)上交易過程的每個(gè)環(huán)節(jié)都不可否認(rèn)其所發(fā)送和收到的交易信息，又稱不可否認(rèn)性。由于商情千變?nèi)f化，交易合同一旦達(dá)成就不能抵賴。在傳統(tǒng)的貿(mào)易中，貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章，確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生，這也就是人們常說的?°白紙黑字?±。5.不可偽造性 在商務(wù)活動中，交易的文件是不可被修改的，如上例所舉的訂購計(jì)算機(jī)一案，如果供應(yīng)商在收到訂單后，發(fā)現(xiàn)計(jì)算機(jī)價(jià)格大幅上漲了，假如能改動文件內(nèi)容，將訂購數(shù)100臺改為10臺，則可大幅受益，那么采購商就會因此而蒙受巨大損失。在傳統(tǒng)的貿(mào)易中，可以通過合同字跡的技術(shù)鑒定等措施來防止交易過程中出現(xiàn)的偽造行為，但在電子交易中，由于沒有書面的合同，因而無法采用字跡的技術(shù)鑒定等傳統(tǒng)手段來裁決是否發(fā)生了偽造行為。5.2.2計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全物理實(shí)體的安全自然災(zāi)害的威脅黑客的惡意攻擊軟件的漏洞和?°后門?±網(wǎng)絡(luò)協(xié)議的安全漏洞計(jì)算機(jī)病毒的攻擊 根據(jù)2021年美國網(wǎng)絡(luò)安全企業(yè)賽門鐵克(Symantec)公司發(fā)布的研究報(bào)告，美國是全球網(wǎng)絡(luò)黑客的大本營，其每年產(chǎn)生的惡意電腦攻擊行為遠(yuǎn)高于其他國家，占全球網(wǎng)絡(luò)黑客攻擊行為總數(shù)的約31％。所謂黑客，現(xiàn)在一般泛指計(jì)算機(jī)信息系統(tǒng)的非法入侵者。黑客的出現(xiàn)可以說是當(dāng)今信息社會，網(wǎng)絡(luò)用戶有目共睹、不容忽視的一個(gè)獨(dú)特現(xiàn)象。黑客們在世界各地四處出擊，尋找機(jī)會襲擊網(wǎng)絡(luò)幾乎到了無孔不入的地步。黑客攻擊目前成為計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅。如今，無論是個(gè)人、企業(yè)、還是政府機(jī)構(gòu)，只要進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)，都會感受到黑客帶來的網(wǎng)絡(luò)安全威脅。大至國家機(jī)密，小到個(gè)人隱私，還有商業(yè)秘密，都隨時(shí)可能被黑客發(fā)現(xiàn)并公布。5.3 電子商務(wù)安全技術(shù)與措施 5.3.1加密技術(shù)5.3.2 虛擬專用網(wǎng)技術(shù)5.3.3 防火墻技術(shù)5.3.4 反病毒技術(shù)5.3.1加密技術(shù) 電子商務(wù)信息的保密性、真實(shí)性和完整性可以通過加密技術(shù)來實(shí)現(xiàn)。加密技術(shù)是一種主動的信息安全防范措施，其原理是將數(shù)據(jù)進(jìn)行編碼，使它成為一種難以識別的形式，從而阻止非法用戶獲取和理解原始數(shù)據(jù)。1.密碼學(xué)基礎(chǔ)知識 密碼學(xué)是保密學(xué)的一個(gè)分支，是對存儲和傳送的信息加以隱藏和保護(hù)的一門學(xué)問。 在密碼學(xué)中，原始消息稱為明文，加密結(jié)果稱為密文。數(shù)據(jù)加密和解密是逆過程，加密是用加密算法和加密密鑰，將明文變換成密文；解密是用解密算法和解密密鑰將密文還原成明文。加密技術(shù)包括兩個(gè)要素：算法和密鑰。 數(shù)據(jù)加密是保護(hù)數(shù)據(jù)傳輸安全唯一實(shí)用的方法和保護(hù)存儲數(shù)據(jù)安全的有效方法。早在公元前50年，古羅馬的凱撒在高盧戰(zhàn)爭中就采用過加密方法。這里用最簡單的凱撒密碼來說明一個(gè)加密系統(tǒng)的構(gòu)成。它的原理是把每個(gè)英文字母向前推x位，如x=3，即字母a,b,c,d,?-,x,y,z分別變?yōu)閐,e,f,g,?-,a,b,c。 例如要發(fā)送的明文為Caesarwasagreatsolider，則對應(yīng)的密文為Fdhvduzdvdjuhdwvroglhu。這個(gè)簡單的例子說明了加密技術(shù)的構(gòu)成：明文被character+3算法轉(zhuǎn)換成密文，解密的算法是反函數(shù)character-3，其中算法為character+x,x是起密鑰作用的變量，此處x是3。2.對稱密鑰加密技術(shù) 對稱密鑰也稱私鑰、單鑰或?qū)Ｓ忻荑€，在這種技術(shù)中，加密方和解密方使用同一種加密算法和同一個(gè)密鑰，圖5-5所示為對稱密鑰加密過程。對稱密鑰加密技術(shù)特點(diǎn)是數(shù)據(jù)加密標(biāo)準(zhǔn)，速度較快，適用于加密大量數(shù)據(jù)的場合。 對稱加密的算法是公開的，在前面的例子中，可以把算法character+x告訴所有要交換信息的對方，但要對每個(gè)消息使用不同的密鑰，某一天這個(gè)密鑰可能是3，而第二天則可能是9。交換信息的雙方采用相同的算法和同一個(gè)密鑰，將簡化加密解密的處理，加密解密速度快是對稱加密技術(shù)的最大優(yōu)勢，但雙方要交換密鑰，密鑰管理困難是一個(gè)很大的問題，因此密鑰必須與加密的消息分開保存，并秘密發(fā)送給接收者。如果能夠確保密鑰在交換階段未曾泄露，那么機(jī)密性和報(bào)文完整性就可以通過對稱加密方法來實(shí)現(xiàn)。 目前最具代表性的對稱密鑰加密算法是美國數(shù)據(jù)加密標(biāo)準(zhǔn)DES（DataEncryptionStandard）。DES算法是IBM公司研制的，被美國國家標(biāo)準(zhǔn)局和國家安全局選為數(shù)據(jù)加密標(biāo)準(zhǔn)并于1977年頒布使用，后被國際標(biāo)準(zhǔn)化組織ISO認(rèn)定為數(shù)據(jù)加密的國際標(biāo)準(zhǔn)。DES算法使用的密鑰長度為64位（實(shí)際為56位，有8位用于奇偶校驗(yàn)），加密時(shí)把一個(gè)64位二進(jìn)制數(shù)轉(zhuǎn)變成以56位變量為基礎(chǔ)的、唯一的64位二進(jìn)制值。解密的過程和加密時(shí)相似，但密鑰的順序正好相反。3.非對稱密鑰加密技術(shù) 非對稱密鑰加密技術(shù)也稱為公開密鑰加密技術(shù)，是由安全問題專家WitefieldDiffre和MartinHellman于1976年首次提出的。這種技術(shù)需要使用一對密鑰來分別完成加密和解密操作，每個(gè)用戶都有一對密鑰，一個(gè)私鑰（PrivateKey）和一個(gè)公鑰（PublicKey），它們在數(shù)學(xué)上相關(guān)、在功能上不同。私鑰由所有者秘密持有，而公鑰則由所有者給出或者張貼在可以自由獲取的公鑰服務(wù)器上，就像用戶的姓名、、E-mail地址一樣向他人公開。如果其他用戶希望與該用戶通信，就可以使用該用戶公開的密鑰進(jìn)行加密，而只有該用戶才能用自己的私鑰解開此密文。當(dāng)然，用戶的私鑰不能透露給自己不信任的任何人。非對稱密鑰加密基本過程用戶生成一對密鑰并將其中的一個(gè)作為公鑰向其他用戶公開；發(fā)送方使用該用戶的公鑰對信息進(jìn)行加密后發(fā)送給接收方；接收方利用自己保存的私鑰對加密信息進(jìn)行解密，接收方只能用自己的私鑰解密由其公鑰加密后的任何信息。 目前最著名的公鑰加密算法是RSA算法，它是由美國的三位科學(xué)家Rivest,Shemir和Adelman提出的，已被ISO/TC97的數(shù)據(jù)加密技術(shù)分委員會SC20推薦為公開密鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。RSA算法加密強(qiáng)度很高，它的安全性是基于分解大整數(shù)的難度，即將兩個(gè)大的質(zhì)數(shù)合成一個(gè)大數(shù)很容易，而相反的過程非常困難。 公開密鑰算法計(jì)算上的復(fù)雜性，使得它的加密或解密效率大大低于對稱密鑰算法，所以公鑰加密技術(shù)不用來加密大的文件，而是聯(lián)合使用對稱密鑰加密技術(shù)和公開密鑰加密技術(shù)進(jìn)行更有效更快捷的加密。例如，用戶A生成一個(gè)一次性的對稱密鑰并用它對文件加密，然后用用戶B的公鑰對一次性的對稱密鑰加密，將經(jīng)過加密的對稱密鑰和文件發(fā)送給用戶B。用戶B利用自己的私鑰解密對稱密鑰，然后用對稱密鑰解密文件，這種方式也稱為數(shù)字信封。5.3.2虛擬專用網(wǎng)技術(shù) 虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）技術(shù)是一種在公用互聯(lián)網(wǎng)絡(luò)上構(gòu)造企業(yè)專用網(wǎng)絡(luò)的技術(shù)。通過VPN技術(shù)，可以實(shí)現(xiàn)企業(yè)不同網(wǎng)絡(luò)的組件和資源之間的相互連接，它能夠利用Internet或其他公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道，并提供與專用網(wǎng)絡(luò)一樣的安全和功能保障。虛擬專用網(wǎng)絡(luò)允許遠(yuǎn)程通信方、銷售人員或企業(yè)分支機(jī)構(gòu)使用Internet等公共互聯(lián)網(wǎng)絡(luò)的路由基礎(chǔ)設(shè)計(jì)，以安全的方式與位于企業(yè)內(nèi)部網(wǎng)內(nèi)的服務(wù)器建立連接。VPN對用戶端透明，用戶好像使用一條專用路線在客戶計(jì)算機(jī)和企業(yè)服務(wù)器之間建立點(diǎn)對點(diǎn)連接，進(jìn)行數(shù)據(jù)的傳輸。5.3.3防火墻技術(shù) 防火墻是指設(shè)置在被保護(hù)網(wǎng)絡(luò)(內(nèi)聯(lián)子網(wǎng)和局域網(wǎng))與公共網(wǎng)絡(luò)(如因特網(wǎng))或其他網(wǎng)絡(luò)之間并位于被保護(hù)網(wǎng)絡(luò)邊界的、對進(jìn)出被保護(hù)網(wǎng)絡(luò)信息實(shí)施?°通過/阻斷/丟棄?±控制的硬件、軟件部件或系統(tǒng)。5.3.4反病毒技術(shù) 早在1949年，計(jì)算機(jī)的先驅(qū)者馮?¤諾伊曼在他的論文《復(fù)雜自動機(jī)組織論》中提出，計(jì)算機(jī)程序能夠在內(nèi)存中自我復(fù)制，即把病毒程序的特征勾勒出來，但在當(dāng)時(shí)，絕大部分的計(jì)算機(jī)專家都無法想象這種會自我繁殖的程序是可能的。 計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。計(jì)算機(jī)病毒一般特征傳染性隱蔽性觸發(fā)性破壞性5.4 電子商務(wù)安全認(rèn)證機(jī)制5.4.1 安全認(rèn)證技術(shù)概述5.4.2 數(shù)字證書與認(rèn)證中心5.4.1安全認(rèn)證技術(shù)概述 電子商務(wù)交易安全在技術(shù)上要解決兩大問題：安全傳輸和身份認(rèn)證。數(shù)據(jù)加密能夠解決網(wǎng)絡(luò)通信中的信息保密問題，但是不能夠驗(yàn)證網(wǎng)絡(luò)通信對方身份的真實(shí)性。因此，數(shù)據(jù)加密僅解決了網(wǎng)絡(luò)安全問題的一半，另一半需要身份認(rèn)證解決。 認(rèn)證指的是證實(shí)被認(rèn)證對象是否屬實(shí)與是否有效的一個(gè)過程，其基本思想是通過驗(yàn)證被認(rèn)證對象的屬性，達(dá)到確認(rèn)被認(rèn)證對象是否真實(shí)有效的目的。認(rèn)證技術(shù)是電子商務(wù)安全技術(shù)的一個(gè)重要組成部分，應(yīng)用在網(wǎng)絡(luò)通信時(shí)，通信雙方相互確認(rèn)身份的真實(shí)性。 身份認(rèn)證技術(shù)主要基于加密技術(shù)的公鑰加密體制，目前普遍使用的是RSA算法。用戶的一對密鑰在使用的時(shí)候，用私鑰加密的信息，只能用公鑰才能解開；而用公鑰加密的信息，只能用私鑰才能解開。這種加密和解密的唯一性就構(gòu)成了認(rèn)證的基礎(chǔ)。 具體的做法是：信息發(fā)送者使用信息接收者的公鑰進(jìn)行加密，此信息則只有信息接收者使用私鑰來解開閱讀；然后信息接收者使用私鑰將反饋信息加密，再傳送給信息發(fā)送者，發(fā)送者也就知道信息接收者已經(jīng)閱讀了所傳送的信息。在這一來一往中，由于私鑰的唯一性和私密性，身份認(rèn)證得以實(shí)現(xiàn)。 電子商務(wù)中采用的安全認(rèn)證技術(shù)主要包括數(shù)字摘要（DigitalDigest）、數(shù)字信封（DigitalEnvelop）、數(shù)字簽名（DigitalSignature）、數(shù)字時(shí)間戳（DigitalTime-Stamp）、數(shù)字證書（DigitalCertificate，DigitalID）等。5.4.2數(shù)字證書與認(rèn)證中心 為了切實(shí)保障網(wǎng)上交易和支付的安全，世界各國在經(jīng)過多年研究后，形成了一套完整的解決方案，其中最重要的內(nèi)容就是建立完整的電子商務(wù)安全認(rèn)證體系。電子商務(wù)安全認(rèn)證體系的核心就是數(shù)字證書和認(rèn)證中心。1.數(shù)字證書 數(shù)字證書（digitalID）又稱為數(shù)字憑證、數(shù)字標(biāo)識，是一個(gè)經(jīng)證書認(rèn)證機(jī)構(gòu)數(shù)字簽名的包含用戶身份信息以及公開密鑰信息的電子文件。在網(wǎng)上交易中，若雙方出示了各自的數(shù)字證書，并用它來進(jìn)行交易操作，那么雙方都可不必為對方的身份真?zhèn)螕?dān)心。數(shù)字證書可用于安全電子郵件、網(wǎng)上繳費(fèi)、網(wǎng)上炒股、網(wǎng)上招標(biāo)、網(wǎng)上購物、網(wǎng)上企業(yè)購銷、網(wǎng)上辦公、軟件產(chǎn)品、電子資金移動等安全電子商務(wù)活動。數(shù)字證書的類型個(gè)人證書企業(yè)（服務(wù)器）證書軟件（開發(fā)者）證書2.認(rèn)證中心 認(rèn)證中心(CertificationAuthority,CA)承擔(dān)網(wǎng)上安全電子交易的認(rèn)證服務(wù)，主要負(fù)責(zé)產(chǎn)生、分配并管理用戶的數(shù)字證書。創(chuàng)建證書的時(shí)候,CA系統(tǒng)首先獲取用戶的請求信息，其中包括用戶公鑰（公鑰一般由用戶端產(chǎn)生，如電子郵件程序或?yàn)g覽器等），CA將根據(jù)用戶的請求信息產(chǎn)生證書，并用自己的私鑰對證書進(jìn)行簽名。其他用戶、應(yīng)用程序或?qū)嶓w將使用CA的公鑰對證書進(jìn)行驗(yàn)證。對于一個(gè)大型的應(yīng)用環(huán)境，CA往往采用一種多層次的分級機(jī)構(gòu)，各級的CA類似于各級行政機(jī)關(guān)，上級CA負(fù)責(zé)簽發(fā)和管理下級CA的證書，最下一級的CA直接面向最終用戶案例五案例場景 2021年4月，金山反病毒中心對外公布了《電子商務(wù)與網(wǎng)絡(luò)安全分析報(bào)告》，根據(jù)該報(bào)告顯示，目前對網(wǎng)絡(luò)安全、電子商務(wù)除了計(jì)算機(jī)病毒造成的破壞之外，危害最大的是網(wǎng)絡(luò)釣魚式攻擊，網(wǎng)絡(luò)釣魚攻擊主要以騙取用戶各種在線交易的賬戶、密碼從而造成嚴(yán)重經(jīng)濟(jì)損失，這些釣魚式攻擊比較隱蔽，目前國內(nèi)上網(wǎng)用戶突破9000萬，寬帶用戶達(dá)4000萬以上，隨著寬帶網(wǎng)絡(luò)進(jìn)一步普及，用戶將面臨更多的線上交易安全風(fēng)險(xiǎn)。 網(wǎng)絡(luò)釣魚(Phishing)一詞，是?°Fishing?±和?°Phone?±的綜合體，由于黑客始祖起初是以作案，所以用?°Ph?±來取代?°F?±，創(chuàng)造了?°Phishing?±，Phishing發(fā)音與Fishing相同。?°網(wǎng)絡(luò)釣魚?±就其本身來說，稱不上是一種獨(dú)立的攻擊手段，更多的只是詐騙方法，就像現(xiàn)實(shí)社會中的一些詐騙一樣。 攻擊者利用欺騙性的電子郵件和偽造的Web站點(diǎn)來進(jìn)行詐騙活動，誘騙訪問者提供一些個(gè)人信息，如信用卡號、賬戶用和口令、社保編號等內(nèi)容（通常主要是那些和財(cái)務(wù)，賬號有關(guān)的信息，以獲取不正當(dāng)利益），受騙者往往會泄露自己的財(cái)務(wù)數(shù)據(jù)。 詐騙者通常會將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌，因此來說，網(wǎng)絡(luò)釣魚的受害者往往也都是那些和電子商務(wù)有關(guān)的服務(wù)商和使用者。圖5-15所示為網(wǎng)絡(luò)釣魚的工作原理。案例分析 根據(jù)2021年美國網(wǎng)絡(luò)安全企業(yè)賽門鐵克(Symantec)公司發(fā)布的研究報(bào)告，美國是全球網(wǎng)絡(luò)黑客的大本營，是?°網(wǎng)絡(luò)釣魚?±詐騙最猖獗的地方。采用這一方法的黑客常引誘用戶進(jìn)入一個(gè)看似合法的網(wǎng)站，然后盜取其提供的個(gè)人金融密碼或其他秘密信息。2021年下半年，?°網(wǎng)絡(luò)釣魚?±詐騙案比上半年增加了６％，而在目前所知曉的?°網(wǎng)絡(luò)釣魚?±網(wǎng)站中，約46％的網(wǎng)站位于美國。 實(shí)際上，不法分子在實(shí)施網(wǎng)絡(luò)詐騙的犯罪活動過程中，經(jīng)常采取以上幾種手法交織、配合進(jìn)行，還有的通過短信、QQ、MSN進(jìn)行各種各樣的?°網(wǎng)絡(luò)釣魚?±不法活動。

社會實(shí)踐報(bào)告系別：班級：學(xué)號：姓名：作為祖國未來的事業(yè)的繼承人，我們這些大學(xué)生應(yīng)該及早樹立自己的歷史責(zé)任感，提高自己的社會適應(yīng)能力。假期的社會實(shí)踐就是很好的鍛煉自己的機(jī)會。當(dāng)下，掙錢早已不是打工的唯一目的，更多的人將其視為參加社會實(shí)踐、提高自身能力的機(jī)會。許多學(xué)校也積極鼓勵(lì)大學(xué)生多接觸社會、了解社會，一方面可以把學(xué)到的理論知識應(yīng)用到實(shí)踐中去，提高各方面的能力；另一方面可以積累工作經(jīng)驗(yàn)對日后的就業(yè)大有裨益。進(jìn)行社會實(shí)踐，最理想的就是找到與本專業(yè)對口單位進(jìn)行實(shí)習(xí)，從而提高自己的實(shí)戰(zhàn)水平，同時(shí)可以將課本知識在實(shí)踐中得到運(yùn)用，從而更好的指導(dǎo)自己今后的學(xué)習(xí)。但是作為一名尚未畢業(yè)的大學(xué)生，由于本身具備的專業(yè)知識還十分的有限，所以我選擇了打散工作為第一次社會實(shí)踐的方式。目的在于熟悉社會。就職業(yè)本身而言，并無高低貴賤之分，存在即為合理。通過短短幾天的打工經(jīng)歷可以讓長期處于校園的我們對社會有一種更直觀的認(rèn)識。實(shí)踐過程：自從走進(jìn)了大學(xué)，就業(yè)問題就似乎總是圍繞在我們的身邊，成了說不完的話題。在現(xiàn)今社會，招聘會上的大字報(bào)都總寫著“有經(jīng)驗(yàn)者優(yōu)先”，可還在校園里面的我們這班學(xué)子社會經(jīng)驗(yàn)又會擁有多少呢？為了拓展自身的知識面，擴(kuò)大與社會的接觸面，增加個(gè)人在社會競爭中的經(jīng)驗(yàn)，鍛煉和提高自己的能力，以便在以后畢業(yè)后能真正真正走入社會，能夠適應(yīng)國內(nèi)外的經(jīng)濟(jì)形勢的變化，并且能夠在生活和工作中很好地處理各方面的問題，我開始了我這個(gè)假期的社會實(shí)踐-走進(jìn)天源休閑餐廳。實(shí)踐，就是把我們在學(xué)校所學(xué)的理論知識，運(yùn)用到客觀實(shí)際中去，使自己所學(xué)的理論知識有用武之地。只學(xué)不實(shí)踐，那么所學(xué)的就等于零。理論應(yīng)該與實(shí)踐相結(jié)合。另一方面，實(shí)踐可為以后找工作打基礎(chǔ)。通過這段時(shí)間的實(shí)習(xí)，學(xué)到一些在學(xué)校里學(xué)不到的東西。因?yàn)榄h(huán)境的不同，接觸的人與事不同，從中所學(xué)的東西自然就不一樣了。要學(xué)會從實(shí)踐中學(xué)習(xí)，從學(xué)習(xí)中實(shí)踐。而且在中國的經(jīng)濟(jì)飛速發(fā)展，又加入了世貿(mào)，國內(nèi)外經(jīng)濟(jì)日趨變化，每天都不斷有新的東西涌現(xiàn)，在擁有了越來越多的機(jī)會的同時(shí)，也有了更多的挑戰(zhàn)，前天才剛學(xué)到的知識可能在今天就已經(jīng)被淘汰掉了，中國的經(jīng)濟(jì)越和外面接軌，對于人才的要求就會越來越高，我們不只要學(xué)好學(xué)校里所學(xué)到的知識，還要不斷從生活中，實(shí)踐中學(xué)其他知識，不斷地從各方面武裝自已，才能在競爭中突出自已，表現(xiàn)自已。在餐廳里,別人一眼就能把我人出是一名正在讀書的學(xué)生,我問他們?yōu)槭裁?他們總說從我的臉上就能看出來,也許沒有經(jīng)歷過社會的人都有我這種不知名遭遇吧!我并沒有因?yàn)槲以谒麄兠媲皼]有經(jīng)驗(yàn)而退后,我相信我也能做的像他們一樣好.我的工作是在那做傳菜生,每天9點(diǎn)鐘-下午2點(diǎn)再從下午的4點(diǎn)-晚上8:30分上班,雖然時(shí)間長了點(diǎn)但,熱情而年輕的我并沒有絲毫的感到過累,我覺得這是一種激勵(lì),明白了人生,感悟了生活,接觸了社會,了解了未來.在餐廳里雖然我是以傳菜為主,但我不時(shí)還要做一些工作以外的事情，有時(shí)要做一些清潔的工作，在學(xué)校里也許有老師分配說今天做些什么，明天做些什么，但在這里，不一定有人會告訴你這些，你必須自覺地去做，而且要盡自已的努力做到最好，一件工作的效率就會得到別人不同的評價(jià)。在學(xué)校，只有學(xué)習(xí)的氛圍，畢竟學(xué)校是學(xué)習(xí)的場所，每一個(gè)學(xué)生都在為取得更高的成績而努力。而這里是工作的場所，每個(gè)人都會為了獲得更多的報(bào)酬而努力，無論是學(xué)習(xí)還是工作，都存在著競爭，在競爭中就要不斷學(xué)習(xí)別人先進(jìn)的地方，也要不斷學(xué)習(xí)別人怎樣做人，以提高自已的能力！記得老師曾經(jīng)說過大學(xué)是一個(gè)小社會，但我總覺得校園里總少不了那份純真，那份真誠，盡管是大學(xué)高校，學(xué)生還終歸保持著學(xué)生的身份。而走進(jìn)企業(yè)，接觸各種各樣的客戶、同事、上司等等，關(guān)系復(fù)雜，但我得去面對我從未面對過的一切。記得在我校舉行的招聘會上所反映出來的其中一個(gè)問題是，學(xué)生的實(shí)際操作能力與在校理論學(xué)習(xí)有一定的差距。在這次實(shí)踐中，這一點(diǎn)我感受很深。在學(xué)校，理論的學(xué)習(xí)很多，而且是多方面的，幾乎是面面俱到；而在實(shí)際工作中，可能會遇到書本上沒學(xué)到的，又可能是書本上的知識一點(diǎn)都用不上的情況?；蛟S工作中運(yùn)用到的只是很簡單的問題，只要套公式似的就能完成一項(xiàng)任務(wù)。有時(shí)候我會埋怨，實(shí)際操作這么簡單，但為什么書本上的知識讓人學(xué)得這么吃力呢？這是社會與學(xué)校脫軌了嗎？也許老師是正確的，雖然大學(xué)生生活不像踏入社會，但是總算是社會的一個(gè)部分，這是不可否認(rèn)的事實(shí)。但是有時(shí)也要感謝老師孜孜不倦地教導(dǎo)，有些問題有了有課堂上地認(rèn)真消化，有平時(shí)作業(yè)作補(bǔ)充，我比一部人具有更高的起點(diǎn)，有了更多的知識層面去應(yīng)付各種工作上的問題，作為一名大學(xué)生，應(yīng)該懂得與社會上各方面的人交往，處理社會上所發(fā)生的各方面的事情，這就意味著大學(xué)生要注意到社會實(shí)踐，社會實(shí)踐必不可少。畢竟，很快我就不再是一名大學(xué)生，而是社會中的一分子，要與社會交流，為社會做貢獻(xiàn)。只懂得紙上談兵是遠(yuǎn)遠(yuǎn)不及的，以后的人生旅途是漫長的，為了鍛煉自己成為一名合格的、對社會有用的人才.很多在學(xué)校讀書的人都說寧愿出去工作，不愿在校讀書；而已在社會的人都寧愿回校讀書。我們上學(xué)，學(xué)習(xí)先進(jìn)的科學(xué)知識，為的都是將來走進(jìn)社會，獻(xiàn)出自己的一份力量，我們應(yīng)該在今天努力掌握專業(yè)知識，明天才能更好地為社會服務(wù)。實(shí)踐心得：雖然這次的實(shí)踐只有短短的幾天，而且從事的是比較簡單的服務(wù)工作，但是通過與各種各樣的人接觸，還是讓我學(xué)會了很多道理。首先是明