第四章電子商務(wù)的安全及法律規(guī)范

第四章電子商務(wù)的安全及法律規(guī)范

4.1電子商務(wù)信息安全

一、電子商務(wù)中存在的安全威脅（一）電子商務(wù)信息物理安全隱患（二）電子商務(wù)信息傳輸安全隱患（三）電子商務(wù)交易雙方的安全隱患1、賣方面臨的信息安全威脅（1）中央系統(tǒng)安全性被破壞（2）競爭者檢索商品遞送狀況（3）客戶資料被競爭者獲悉（4）被他人假冒而損害公司的信譽(yù)（5）消費(fèi)者提交訂單后不付款（6）虛假訂單（7）獲取他人的機(jī)密數(shù)據(jù)2．買方面臨的信息安全威脅（1）虛假訂單（2）付款后不能收到商品（3）機(jī)密性喪失（4）拒絕服務(wù)二、電子商務(wù)的安全要求●真實(shí)性●保密性●完整性●可用性●不可抵賴性三、電子商務(wù)的安全技術(shù)

（一）數(shù)據(jù)加密技術(shù)

●對稱加密

對稱加密，它用且只用一個密鑰對信息進(jìn)行加密和解密。

●非對稱加密

1978年麻省理工學(xué)院的三位教授（Rivest、Shamir和Adleman）發(fā)明了RSA公開密鑰密碼系統(tǒng)。在此系統(tǒng)中有一對密碼，給別人用的叫公鑰，給自己用的叫私鑰。用公鑰加密后的密文，只有私鑰能解。（二）數(shù)字簽名數(shù)字簽名（DigitalSignature）技術(shù)是將摘要用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。數(shù)字簽名主要有3種應(yīng)用廣泛的方法：RSA簽名、DSS簽名和Hash簽名。數(shù)字簽名是將摘要信息用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者用發(fā)送者的公鑰解密，然后用HASH函數(shù)對收到的原文產(chǎn)生一個摘要信息，與解密的摘要信息對比。如果相同，則說明收到的信息是完整的，在傳輸過程中沒有被修改，否則說明信息被修改過，因此數(shù)字簽名能夠驗證信息的完整性。（三）數(shù)字證書CA認(rèn)證中心是電子商務(wù)認(rèn)證授權(quán)機(jī)構(gòu)，承擔(dān)網(wǎng)上安全電子交易的認(rèn)證服務(wù)。其任務(wù)是受理數(shù)字證書的申請，簽發(fā)及管理數(shù)字證書，確認(rèn)用戶身份。

數(shù)字證書是標(biāo)志網(wǎng)絡(luò)用戶身份信息和密鑰所有權(quán)的電子文檔，用來在網(wǎng)絡(luò)通訊中識別通訊各方的身份，就如同現(xiàn)實(shí)中我們每一個人都要擁有一張身份證一樣，以表明我們的身份或某種資格。

（四）數(shù)字時間戳數(shù)字時間戳是用來證明消息的收發(fā)時間的。需要一個第三方來提供可信賴的且不可抵賴的時間戳服務(wù)。作為可信賴的第三方，應(yīng)為服務(wù)器端和客戶端應(yīng)用頒發(fā)時間戳。打上時間戳就是將一個可信賴的日期和時間與數(shù)據(jù)綁定在一起的過程?！癜踩娮咏灰讌f(xié)議SETSET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設(shè)計的，以保證支付信息的機(jī)密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。（五）國際通用電子商務(wù)安全協(xié)議●

安全套接層協(xié)議SSL是由網(wǎng)景公司推出的一種安全通信協(xié)議，是對計算機(jī)之間整個會話進(jìn)行加密的協(xié)議。它能夠?qū)π庞每ê蛡€人信息提供較強(qiáng)的保護(hù)。在SSL中，采用了公開密鑰和私有密鑰兩種加密方法。SSL在客戶機(jī)和服務(wù)器開始交換信息時提供一個安全的握手信號,雙方確定將使用的安全級別并交換數(shù)字證書,以便正確識別對方。SSL使客戶機(jī)和服務(wù)器之間的所有通訊都實(shí)現(xiàn)了加密,竊聽者得到的是無法識別的信息。（六）防火墻技術(shù)

防火墻是在專用網(wǎng)和因特網(wǎng)之間設(shè)置的安全系統(tǒng),可提供接入控制,干預(yù)兩網(wǎng)間的任何消息傳送?！駭?shù)據(jù)包過濾防火墻●代理服務(wù)器防火墻●復(fù)合型防火墻外部WWW客戶客戶機(jī)Intranet數(shù)據(jù)庫電子郵件服務(wù)部Web服務(wù)器由軟件系統(tǒng)和硬件設(shè)備組合而成的，在內(nèi)外部之間的保護(hù)屏障請求結(jié)果請求結(jié)果內(nèi)部網(wǎng)客戶代理過濾器工作原理包過濾防火墻類別（根據(jù)方式分類）特點(diǎn)

對源IP和目的IP檢查，應(yīng)用及時性，不能區(qū)分用戶代理服務(wù)型防火墻

提供詳細(xì)的日志與審計功能報文包報文包內(nèi)部網(wǎng)報文包報文包外部網(wǎng)過濾器總結(jié)：電子商務(wù)系統(tǒng)的安全對策1.技術(shù)方面(1)設(shè)置虛擬專用網(wǎng).在兩系統(tǒng)間建立安全信道.(2)保護(hù)傳輸線路安全,定期檢查.(3)使用安全設(shè)備,采用端口設(shè)備.(4)使用防火墻.(5)使用加密系統(tǒng).(6)建立訪問控制機(jī)制,入侵檢測機(jī)制.

2.管理方面(1)建立嚴(yán)格的人員管理制度.(2)建立嚴(yán)格可行的保密制度.(3)建立網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度.(4)加強(qiáng)數(shù)據(jù)的備份工作,預(yù)先制定應(yīng)急措施.(5)做好防病毒工作.案例網(wǎng)上購物后，銀行卡和身份證都未曾離身，但帳戶里的錢卻神秘消失。到底誰在幕后轉(zhuǎn)移了這筆錢？湖北的蘇先生怎么也沒有想到，自己招商銀行卡里的一萬余元，竟然會為了買一本《教父》不翼而飛。07年3月30日，喜歡網(wǎng)上購物的蘇先生為買一本《教父》小說，在“淘寶網(wǎng)”上發(fā)布一條求購信息。不久，一個名叫“雪碧貿(mào)易”的人便通過“淘寶旺旺”跟他聯(lián)系，稱有《教父》一書出售，并表示可以先發(fā)貨，待蘇先生收到書后再行結(jié)帳。之后，“雪碧貿(mào)易”告訴蘇先生，由于是網(wǎng)上統(tǒng)一發(fā)貨，交易前蘇先生首先要到他的公司網(wǎng)站“新世紀(jì)購物網(wǎng)”下一份訂單，支付0.01元，生成一個訂單號后才能發(fā)貨。蘇先生于是按照賣家的指示，登陸了“新世紀(jì)購物網(wǎng)”，點(diǎn)擊網(wǎng)頁上的“在線支付”。隨后，電腦跳出一個顯示有“招商銀行”、“建設(shè)銀行”等多家銀行字樣的頁面，蘇先生選擇了“招行”，并在“招行支付頁面”上輸入了自己銀行卡號、密碼及金額0.01元?？墒牵驮谔K先生點(diǎn)擊“提交”按鈕后發(fā)現(xiàn)，系統(tǒng)顯示的并非預(yù)想的“交易成功”，而是“系統(tǒng)正在維護(hù)中，請稍后再試”，但系統(tǒng)同時又自動生成了一個訂單號。這讓蘇先生頗感納悶，當(dāng)他向“雪碧貿(mào)易”詢問原因時，被告知“系統(tǒng)可能交易繁忙，并不影響發(fā)貨”。蘇先生信以為真，然而就在當(dāng)天晚上，當(dāng)他查詢卡內(nèi)資金余額時，猛然發(fā)現(xiàn)卡內(nèi)少了1萬余元！此時，蘇先生方才想起問題很可能就出在“雪碧貿(mào)易”身上。他再次打開了“雪碧貿(mào)易”所提供的所謂“招行支付頁面”，細(xì)看之后才恍然發(fā)現(xiàn)，這個頁面根本就是偽造的。由于網(wǎng)絡(luò)購物越來越受人們喜愛，而這種享受高科技帶來的快速便捷的同時，也給不法分子留下了可乘之機(jī)。通過該案，警方發(fā)現(xiàn)嫌疑人是利用大部分人不懂得網(wǎng)上交易的基本常識以及自我防范