第8章電子商務(wù)安全

第8章電子商務(wù)安全第一頁(yè)，共五十頁(yè)。學(xué)習(xí)目標(biāo)1．了解電子商務(wù)安全現(xiàn)狀、面臨的威脅及電子商務(wù)安全內(nèi)容相關(guān)知識(shí)；2．掌握加密技術(shù)、認(rèn)證技術(shù)、防火墻、數(shù)字證書(shū)及認(rèn)證中心等電子商務(wù)安全技術(shù)相關(guān)知識(shí)；3．了解黑客與病毒防范相關(guān)知識(shí)；4．熟悉電子商務(wù)安全網(wǎng)絡(luò)協(xié)議相關(guān)知識(shí)；5．掌握電子商務(wù)安全管理相關(guān)知識(shí)。第二頁(yè)，共五十頁(yè)。導(dǎo)入案例年度網(wǎng)站安全報(bào)告：26%電商網(wǎng)站存高危漏洞第三頁(yè)，共五十頁(yè)。8.1電子商務(wù)安全概述在電子商務(wù)得益于網(wǎng)絡(luò)快速信息傳輸而興起和發(fā)展的同時(shí)，病毒泛濫、黑客入侵、Web站點(diǎn)被攻擊的現(xiàn)象亦日益嚴(yán)重，計(jì)算機(jī)犯罪日益猖獗，高水平技術(shù)人員的犯罪已經(jīng)嚴(yán)重影響到電子商務(wù)等行業(yè)的安全;信息安全問(wèn)題越來(lái)越受到專(zhuān)家、技術(shù)人員和管理層的高度重視；電子商務(wù)信息安全是指電子商務(wù)全過(guò)程信息化狀態(tài)和信息技術(shù)體系不受外來(lái)的威脅與侵害;本章從技術(shù)角度和管理機(jī)制兩方面討論電子商務(wù)安全防護(hù)問(wèn)題。第四頁(yè)，共五十頁(yè)。國(guó)防部網(wǎng)站開(kāi)通第一個(gè)月遭230多萬(wàn)次攻擊

第五頁(yè)，共五十頁(yè)。8.1.2電子商務(wù)面臨的安全問(wèn)題1．計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題（1）物理實(shí)體的安全（2）系統(tǒng)的漏洞和“后門(mén)”（3）網(wǎng)絡(luò)協(xié)議的安全漏洞（4）計(jì)算機(jī)病毒的攻擊（5）黑客的惡意攻擊第六頁(yè)，共五十頁(yè)。2．電子交易安全問(wèn)題（1）電子商務(wù)交易平臺(tái)的安全問(wèn)題（2）交易雙方的信用問(wèn)題（3）電子支付安全問(wèn)題第七頁(yè)，共五十頁(yè)。8.1.3電子商務(wù)安全問(wèn)題帶來(lái)的威脅1、信息泄露2、信息篡改3、身份識(shí)別4、信息破壞5、交易抵賴(lài)6、隱私泄露第八頁(yè)，共五十頁(yè)。8.1.4電子商務(wù)安全要求信息的保密性；信息的完整性；交易各方身份的認(rèn)證；信息的有效性；信息的不可抵賴(lài)性、不可否認(rèn)性；隱私權(quán)的保護(hù)。第九頁(yè)，共五十頁(yè)。8.1.5電子商務(wù)安全重要性1．安全是電子商務(wù)系統(tǒng)的基本要求2．安全是電子商務(wù)發(fā)展的關(guān)鍵中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）發(fā)布的“中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告”顯示，在使用網(wǎng)絡(luò)購(gòu)物的用戶(hù)中，52.26％的用戶(hù)最關(guān)心的是交易的安全可靠性；非網(wǎng)絡(luò)購(gòu)物的用戶(hù)不使用網(wǎng)絡(luò)購(gòu)物的三大主要原因是“不會(huì)使用”、“不安全”、“沒(méi)有必要，不需要”，所占比例分別為22.5%，21.2%，19.6%。第十頁(yè)，共五十頁(yè)。8.1.6電子商務(wù)安全體系1．電子商務(wù)安全技術(shù)2．社會(huì)道規(guī)范3．法律體系4．安全管理體系第十一頁(yè)，共五十頁(yè)。8.2電子商務(wù)安全技術(shù)8.2.1加密技術(shù)加密技術(shù)是電子商務(wù)采取的主要安全保密措施，是信息安全技術(shù)的核心，用于保證電子商務(wù)中數(shù)據(jù)的保密性、完整性、真實(shí)性和非抵賴(lài)服務(wù)。第十二頁(yè)，共五十頁(yè)。8.2.1加密技術(shù)1、信息加密概念加密系統(tǒng)由四個(gè)組成部分：（1）未加密的報(bào)文，也稱(chēng)明文；（2）加密后的報(bào)文，也稱(chēng)密文；（3）加密解密設(shè)備或算法；（4）加密解密的密鑰。

第十三頁(yè)，共五十頁(yè)。8.2.1加密技術(shù)信息驗(yàn)證廣泛采用的技術(shù)：秘密密鑰(私鑰)加密系統(tǒng)(PrivateKeyEncryption)公開(kāi)密鑰(公鑰)加密系統(tǒng)(PublicKeyEncryption)兩者相結(jié)合的方式第十四頁(yè)，共五十頁(yè)。1．對(duì)稱(chēng)加密技術(shù)密文發(fā)送端明文加密網(wǎng)絡(luò)傳輸接收端密文明文密鑰A解密密鑰A第十五頁(yè)，共五十頁(yè)。2．非對(duì)稱(chēng)加密技術(shù)密文發(fā)送端明文加密網(wǎng)絡(luò)傳輸接收端密文明文私鑰B解密密鑰A第十六頁(yè)，共五十頁(yè)。3．?dāng)?shù)字簽名數(shù)字簽名（DigitalSignature）是公開(kāi)密鑰加密技術(shù)的一種應(yīng)用，是指用發(fā)送方的私有密鑰加密報(bào)文摘要，然后將其與原始的信息附加在一起，合稱(chēng)為數(shù)字簽名。

第十七頁(yè)，共五十頁(yè)。8.2.2認(rèn)證技術(shù)認(rèn)證技術(shù)是指交易系統(tǒng)中交易參與者之間的安全身份認(rèn)證，是實(shí)現(xiàn)電子商務(wù)交易系統(tǒng)身份可認(rèn)證性和不可抵賴(lài)性的關(guān)鍵技術(shù)。認(rèn)證技術(shù)是整個(gè)信息安全體系的基礎(chǔ)認(rèn)，證技術(shù)主要用于信息認(rèn)證，確認(rèn)信息發(fā)送者的身份，防止假冒；驗(yàn)證信息的完整性，即確認(rèn)信息在傳送或存儲(chǔ)過(guò)程中未被篡改過(guò)。認(rèn)證技術(shù)主要包括身份認(rèn)證和消息認(rèn)證。第十八頁(yè)，共五十頁(yè)。1．消息認(rèn)證認(rèn)證解密安全傳輸通道非授權(quán)者信道消息發(fā)送端認(rèn)證加密加密密鑰消息接收端第十九頁(yè)，共五十頁(yè)。2．身份認(rèn)證（1）口令識(shí)別法口令機(jī)制又稱(chēng)作通行字機(jī)制，它是最廣泛研究和使用的身份鑒別法?？诹铗?yàn)證的識(shí)別過(guò)程：①用戶(hù)將口令傳送給計(jì)算機(jī)；②計(jì)算機(jī)完成口令單向函數(shù)值的計(jì)算；③計(jì)算機(jī)把單向函數(shù)值和機(jī)器存儲(chǔ)的值比較。第二十頁(yè)，共五十頁(yè)。（2）簽名識(shí)別法簽名識(shí)別，也被稱(chēng)為簽名力學(xué)辨識(shí)，源于每個(gè)人都有自己獨(dú)特的書(shū)寫(xiě)風(fēng)格。簽名鑒定分為在線(xiàn)簽名鑒定和離線(xiàn)簽名鑒定兩種。前者是通過(guò)手寫(xiě)板采集書(shū)寫(xiě)人的簽名樣本，除了采集書(shū)寫(xiě)點(diǎn)的坐標(biāo)外，有的系統(tǒng)還采集壓力、握筆的角度等數(shù)據(jù);后者是通過(guò)掃描儀輸入簽名樣本。顯然，離線(xiàn)簽名比較容易偽造，識(shí)別的難度也比較大。而在線(xiàn)簽名由于有動(dòng)態(tài)信息，不容易偽造.第二十一頁(yè)，共五十頁(yè)。（3）指紋識(shí)別技術(shù)識(shí)別指紋主要從兩個(gè)方面展開(kāi)：總體特征和局部特征。總體特征是指那些用人眼直接就可以觀(guān)察到的特征。包括紋形、模式區(qū)、核心點(diǎn)、三角點(diǎn)和紋數(shù)等。局部特征是指指紋上節(jié)點(diǎn)的特征，這些具有某種特征的節(jié)點(diǎn)稱(chēng)為細(xì)節(jié)特征或特征點(diǎn)。第二十二頁(yè)，共五十頁(yè)。（4）語(yǔ)音識(shí)別技術(shù)語(yǔ)音識(shí)別技術(shù)，也被稱(chēng)為自動(dòng)語(yǔ)音識(shí)別AutomaticSpeechRecognition（ASR），就是讓機(jī)器通過(guò)識(shí)別和理解過(guò)程把語(yǔ)音信號(hào)轉(zhuǎn)變?yōu)橄鄳?yīng)的文本或命令的高技術(shù)。第二十三頁(yè)，共五十頁(yè)。（5）生物識(shí)別技術(shù)①手掌幾何學(xué)識(shí)別②視網(wǎng)膜識(shí)別③虹膜識(shí)別④面部識(shí)別⑤DNA識(shí)別⑥靜脈識(shí)別⑦步態(tài)識(shí)別⑧人臉識(shí)別第二十四頁(yè)，共五十頁(yè)。8.2.3防火墻1．訪(fǎng)問(wèn)控制信息及資源訪(fǎng)問(wèn)控制決策部件訪(fǎng)問(wèn)控制實(shí)施部件訪(fǎng)問(wèn)請(qǐng)求端提交訪(fǎng)問(wèn)請(qǐng)求請(qǐng)求決策提出訪(fǎng)問(wèn)請(qǐng)求第二十五頁(yè)，共五十頁(yè)。2．防火墻第二十六頁(yè)，共五十頁(yè)。（1）防火墻的分類(lèi)從實(shí)現(xiàn)原理上分，防火墻的技術(shù)包括四大類(lèi)：網(wǎng)絡(luò)級(jí)防火墻（也叫包過(guò)濾型防火墻）、應(yīng)用級(jí)網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)和規(guī)則檢查防火墻。第二十七頁(yè)，共五十頁(yè)。（2）防火墻的功能①網(wǎng)絡(luò)安全的屏障②強(qiáng)化網(wǎng)絡(luò)安全策略③監(jiān)控審計(jì)④防止內(nèi)部信息的外泄⑤數(shù)據(jù)包過(guò)濾⑥網(wǎng)絡(luò)IP地址轉(zhuǎn)換⑦虛擬專(zhuān)用網(wǎng)絡(luò)⑧日志記錄與事件通知第二十八頁(yè)，共五十頁(yè)。8.2.4數(shù)字證書(shū)與認(rèn)證中心1．?dāng)?shù)字證書(shū)“數(shù)字證書(shū)”作為網(wǎng)上交易雙方真實(shí)身份證明的依據(jù)，是一個(gè)經(jīng)證書(shū)授權(quán)中心（CA）數(shù)字簽名的、包含證書(shū)申請(qǐng)者（公開(kāi)密鑰擁有者）個(gè)人信息及其公開(kāi)密鑰的文件。基于公開(kāi)密鑰體制（PKI）的數(shù)字證書(shū)是電子商務(wù)安全體系的核心，用途是利用公共密鑰加密系統(tǒng)來(lái)保護(hù)與驗(yàn)證公眾的密鑰，由可信任的、公正的權(quán)威機(jī)構(gòu)CA頒發(fā)。第二十九頁(yè)，共五十頁(yè)。2．認(rèn)證中心CA（CertificationAuthority）認(rèn)證中心是在電子交易中承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書(shū)、確認(rèn)用戶(hù)身份等工作并具有權(quán)威性和公正性的第三方服務(wù)機(jī)構(gòu)，它是保證電子商務(wù)交易安全進(jìn)行的一個(gè)不可缺少的重要環(huán)節(jié)。認(rèn)證中心是進(jìn)行網(wǎng)上安全電子交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書(shū)、確認(rèn)用戶(hù)身份的服務(wù)機(jī)構(gòu)。第三十頁(yè)，共五十頁(yè)。商戶(hù)認(rèn)證中心（MerchantCA）持卡人認(rèn)證中心（CardholderCA）支付網(wǎng)關(guān)認(rèn)證中心（PaymentGatewayCA）根認(rèn)證中心（RootCA）品牌認(rèn)證中心（BrandCA）區(qū)域性認(rèn)證中心（Geo-politicalCA）持卡人支付網(wǎng)關(guān)商戶(hù)第三十一頁(yè)，共五十頁(yè)。8.3電子商務(wù)安全技術(shù)協(xié)議這些協(xié)議主要有：公鑰體系結(jié)構(gòu)PKI、安全超文本傳輸協(xié)議（S－HTTP）、安全套接層協(xié)議（SSL協(xié)議）、安全電子交易協(xié)議（SET協(xié)議）、3-Dsecure協(xié)議、IPSec協(xié)議和虛擬專(zhuān)用網(wǎng)VPN等。第三十二頁(yè)，共五十頁(yè)。8.4黑客與病毒防范技術(shù)“黑客”的基本概念“黑客(Hacker)”源于英語(yǔ)動(dòng)詞Hack。是指一些掌握計(jì)算機(jī)、網(wǎng)絡(luò)核心技術(shù)和利用計(jì)算機(jī)系統(tǒng)里面的BUG，非法進(jìn)入別人的計(jì)算機(jī)，網(wǎng)絡(luò)系統(tǒng)的人。第三十三頁(yè)，共五十頁(yè)?！昂诳汀笨煞譃閮深?lèi)。駭客：他們只想引人注目，證明自己的能力，在進(jìn)入網(wǎng)絡(luò)系統(tǒng)后，不會(huì)去破壞系統(tǒng)，或者僅僅會(huì)做一些無(wú)傷大雅的惡作劇。他們追求的是從侵入行為本身獲得巨大的成功的滿(mǎn)足；竊客：他們的行為帶有強(qiáng)烈的目的性。早期的這些“黑客”主要是竊取國(guó)家情報(bào)、科研情報(bào)，而現(xiàn)在的這些“黑客”的目標(biāo)大部分瞄準(zhǔn)了銀行的資金和電子商務(wù)的整個(gè)交易過(guò)程。

第三十四頁(yè)，共五十頁(yè)。網(wǎng)絡(luò)“黑客”常用的攻擊手段①獲取口令②電子郵件③木馬④誘入法⑤系統(tǒng)漏洞第三十五頁(yè)，共五十頁(yè)。（3）黑客防范措施①屏蔽可以IP地址②過(guò)濾信息包④經(jīng)常升級(jí)系統(tǒng)版本⑤及時(shí)備份重要數(shù)據(jù)⑥使用加密機(jī)制傳輸數(shù)據(jù)⑦使用防火墻技術(shù)⑧安全工具包或軟件第三十六頁(yè)，共五十頁(yè)。2．病毒與防治方法病毒是一種人為編制的程序或指令集合，這種程序能潛伏在計(jì)算機(jī)系統(tǒng)中，并通過(guò)自我復(fù)制傳播和擴(kuò)散，在一定條件下被激活，給計(jì)算機(jī)帶來(lái)故障和破壞。第三十七頁(yè)，共五十頁(yè)。病毒的防治方法：（1）樹(shù)立病毒防范意識(shí)，從思想上重視計(jì)算機(jī)病毒要從思想上重視計(jì)算機(jī)病毒可能會(huì)給計(jì)算機(jī)安全運(yùn)行帶來(lái)的危害。（2）安裝正版的殺毒軟件和防火墻，并及時(shí)升級(jí)到最新版本（3）及時(shí)對(duì)系統(tǒng)和應(yīng)用程序進(jìn)行升級(jí)。（4）把好入口關(guān)。（5）不要隨便登錄不明網(wǎng)站、黑客網(wǎng)站或色情網(wǎng)站。（6）養(yǎng)成經(jīng)常備份重要數(shù)據(jù)的習(xí)慣。

（7）養(yǎng)成使用計(jì)算機(jī)的良好習(xí)慣。（8）要學(xué)習(xí)和掌握一些必備的相關(guān)知識(shí)。第三十八頁(yè)，共五十頁(yè)。8.5電子商務(wù)安全管理8.5.1電子商務(wù)安全管理原則1．預(yù)防為主，重在控制2．全員參與，動(dòng)態(tài)管理3．多人負(fù)責(zé)，任期有限4．職責(zé)清晰，分工明確第三十九頁(yè)，共五十頁(yè)。8.5.2電子商務(wù)安全管理策略1．風(fēng)險(xiǎn)評(píng)估，代價(jià)平衡的原則2．適應(yīng)靈活，容易操作的原則3．標(biāo)準(zhǔn)規(guī)范，整體高效的原則4．均衡防護(hù)，應(yīng)急恢復(fù)的原則第四十頁(yè)，共五十頁(yè)。8.5.3電子商務(wù)安全的管理措施1．提高網(wǎng)絡(luò)安全防范意識(shí)2．建立電子商務(wù)安全管理組織體系3．建立電子商務(wù)安全管理制度4．電子商務(wù)安全的法制建設(shè)策略第四十一頁(yè)，共五十頁(yè)。8.5.4電子商務(wù)安全管理制度1．人員管理制度（1）嚴(yán)格安全管理人員的甄選（2）全方位的安全知識(shí)培訓(xùn)（3）落實(shí)工作責(zé)任制（4）貫徹電子商務(wù)安全運(yùn)作基本原則第四十二頁(yè)，共五十頁(yè)。4．網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度（1）硬件的日常管理和維護(hù)1）網(wǎng)絡(luò)設(shè)備①運(yùn)用管理軟件進(jìn)行管理②手動(dòng)檢查，人工管理2）服務(wù)器管理3）通信線(xiàn)路（2）軟件的日常管理和維護(hù)1）支撐軟件2）應(yīng)用軟件（3）數(shù)據(jù)備份制度第四十三頁(yè)，共五十頁(yè)。6．病毒防范制度（1）安裝殺毒軟件（2）認(rèn)真執(zhí)行病毒定期清理制度（3）控制權(quán)限（4）高度警惕網(wǎng)絡(luò)陷阱第四十四頁(yè)，共五十頁(yè)。7．應(yīng)急措施指在計(jì)算機(jī)災(zāi)難事件（即緊急事件或安全事故）發(fā)生時(shí)，利用應(yīng)急計(jì)劃、輔助軟件和應(yīng)急設(shè)施，排除災(zāi)難和故障，保障計(jì)算機(jī)信息系統(tǒng)繼續(xù)運(yùn)行或緊急恢復(fù)。（1）瞬時(shí)復(fù)制技術(shù)（2）遠(yuǎn)程磁盤(pán)鏡像技術(shù)（3）數(shù)據(jù)庫(kù)恢復(fù)技術(shù)第四十五頁(yè)，共五十頁(yè)。一、選擇題1．在電子商務(wù)信息安全要求中，信息在傳輸過(guò)程中或存儲(chǔ)中不被他人竊取指的是（）。A．信息的保密性 B．信息的完整性C．信息的不可否認(rèn)性 D．交易者身份的真實(shí)性2．加密后的內(nèi)容稱(chēng)為（）。A．密鑰 B．算法 C．密文 D．明文3．用戶(hù)識(shí)別方法不包括（）。A．根據(jù)用戶(hù)知道什么來(lái)判斷 B．根據(jù)用戶(hù)擁有什么來(lái)判斷C．根據(jù)用戶(hù)地址來(lái)判斷 D．根據(jù)用戶(hù)是什么來(lái)判斷4．以下身份認(rèn)證技術(shù)中，屬于生物特征識(shí)別技術(shù)的有（）。A．?dāng)?shù)字簽名識(shí)別法 B．指紋識(shí)別法C．語(yǔ)音識(shí)別法 D．頭蓋骨的輪廓識(shí)別法A

C

C

BCD

第四十六頁(yè)，共五十頁(yè)。5．觸發(fā)電子商務(wù)安全問(wèn)題的原因有（）。A．黑客的攻擊B．管理的欠缺C．網(wǎng)絡(luò)的缺陷D．軟件的漏洞6．病毒防范制度包括的內(nèi)容有（）。A．為自己的電腦安裝防病毒軟件 B．不打開(kāi)陌生地址的電子郵件C．認(rèn)真執(zhí)行病毒定期清理制度 D．高度警惕網(wǎng)絡(luò)陷阱7．下面屬于不安全口令的有（）。A．使用用戶(hù)名作為口令B．使用自己或者親友的生日作為口令C．使用學(xué)號(hào)或者身份證號(hào)碼等作為口令D．使用常用的英文單詞做作口令8．認(rèn)證中心的主要作用有（）。A．證書(shū)