電子商務(wù)與信息安全-public

電子商務(wù)與信息安全2023/9/28報(bào)告人：劉政連Outline開(kāi)場(chǎng)故事一、電子商務(wù)概述二、電子商務(wù)安全問(wèn)題三、電子商務(wù)安全技術(shù)四、網(wǎng)上商城及案例分析五、電子商務(wù)付費(fèi)系統(tǒng)六、電子商務(wù)安全法律對(duì)策七、參考文獻(xiàn)八、Q&ANEXON游戲:電子商務(wù)走入線上社群倘若你熱衷于線上游戲，相信你對(duì)于楓之谷(MapleStory)肯定不陌生。楓之谷是一套線上角色扮演游戲，玩家們可以扮演戰(zhàn)士、魔法師或竊賊等角色，一同對(duì)抗敵對(duì)的怪物陣營(yíng)。玩家可以免費(fèi)玩這套游戲，但如果要讓你的線上英雄披上一套新的戰(zhàn)袍、換一頭前衛(wèi)的發(fā)型或是飼養(yǎng)一只寵物，才必須為這些額外的道具支付相關(guān)費(fèi)用。如果你還想為你的楓之谷角色精心舉辦一場(chǎng)在拉斯維加斯的世紀(jì)婚禮，并邀請(qǐng)其他玩家共襄盛舉的話(huà)，那將會(huì)花上你約20美元到29美元的籌辦費(fèi)用。楓之谷是NexonHoIdingsInc﹒最新推出的一套線上遊戲，這是一家在多人線上角色扮演遊戲產(chǎn)業(yè)中世界級(jí)的領(lǐng)導(dǎo)廠商。Nexon的總部位於南韓，在中國(guó)、日本與美國(guó)等地皆設(shè)有分公司。Nexon首創(chuàng)「道具」(item)(微交易)的經(jīng)營(yíng)模式，讓玩家可以免費(fèi)體驗(yàn)完整版的遊戲，之後可選擇足否要付費(fèi)購(gòu)買(mǎi)加強(qiáng)版的遊戲(也就是道具)。nexon販?zhǔn)鄹黜?xiàng)強(qiáng)化遊戲體驗(yàn)的虛擬「道具」，向玩家收取的費(fèi)用從30美分到30美元不等。楓之谷在世界各地?fù)碛?,500萬(wàn)名玩家，其中有590萬(wàn)人是註冊(cè)在美國(guó)。2007年時(shí)，全世界的玩家花在楓之谷角色上的金額，約有130萬(wàn)美元用在購(gòu)買(mǎi)服裝上，另外還有100萬(wàn)美元是花在角色的髮型上。

開(kāi)場(chǎng)故事Nexon如此受歡迎的原因之一，在于它能提供一個(gè)與其他使用者社交互動(dòng)的平臺(tái)。據(jù)Nexon美國(guó)分部行銷(xiāo)副總MinKim表示:「我們販?zhǔn)鄣氖巧缃惑w驗(yàn)，而不是套裝產(chǎn)品。」過(guò)去十年，大多數(shù)的游戲都是單機(jī)版游戲。隨著網(wǎng)際網(wǎng)路與個(gè)人電腦的發(fā)展愈來(lái)愈能處理大量體驗(yàn)多媒體的能力時(shí)，單機(jī)版游戲?qū)⑽枧_(tái)讓給了社群游戲。無(wú)論是透過(guò)與即時(shí)通訊、網(wǎng)路電話(huà)或是文字訊息的整合，玩家有許多方式可以和朋友們溝通互動(dòng)。影音游戲現(xiàn)在吸引了一個(gè)全新的消費(fèi)者社群--那些想要擁有社交體驗(yàn)的人們。其他Nexon熱門(mén)的游戲包括糖果大??戰(zhàn)(SugarRush)、瑪奇(Mabinogi)與跑跑卡丁車(chē)(KartRider)。跑跑卡丁車(chē)是一套動(dòng)作版的線上賽車(chē)游戲，玩家可以依喜好改造跑車(chē)并與朋友在線上聊天。糖果大戰(zhàn)可以讓玩家在互相廝殺的同時(shí)邊收集虛擬錢(qián)幣。受到凱爾特人(Celtic)神話(huà)的啟發(fā)，瑪奇則可讓玩家體驗(yàn)各種任務(wù)，如農(nóng)耕、音樂(lè)寫(xiě)作、結(jié)婚甚至是參與戰(zhàn)斗等，這套游戲透過(guò)更新檔(也可稱(chēng)為「世代」或「章節(jié)」)的發(fā)表持續(xù)擴(kuò)充，推出新的關(guān)卡讓玩家探索，冒險(xiǎn)故事得以不斷延續(xù)。所有的Nexon游戲都有推出官方論壇網(wǎng)站，邀請(qǐng)玩家來(lái)和朋友交流，分享各項(xiàng)密技，或只是在網(wǎng)站上「逛逛」。開(kāi)場(chǎng)故事開(kāi)場(chǎng)故事NEXON游戲:電子商務(wù)走入線上社群開(kāi)場(chǎng)故事討論Nexon的線上游戲給了電子商務(wù)新的風(fēng)貌范例。在網(wǎng)際網(wǎng)路上販?zhǔn)蹖?shí)體商品仍是相當(dāng)重要，但服務(wù)與社交體驗(yàn)似乎更令人興奮與有趣，目前正集中在服務(wù)與社交經(jīng)驗(yàn)--社交網(wǎng)絡(luò)、相片分享、分享音樂(lè)、分享創(chuàng)意以及多人線上游戲，讓使用者可以和他人溝通與互動(dòng)。與其他使用者和其他網(wǎng)站連結(jié)的能力，已在連結(jié)和分享方面帶來(lái)無(wú)限的新商機(jī)。(一).電子商務(wù)的定義

電子商務(wù)（E-Commerce）是指在互聯(lián)網(wǎng)（Internet）、企業(yè)內(nèi)部網(wǎng)（Intranet）和增值網(wǎng)（VAN，ValueAddedNetwork）上以電子交易方式進(jìn)行交易活動(dòng)和相關(guān)服務(wù)活動(dòng)，是傳統(tǒng)商業(yè)活動(dòng)各環(huán)節(jié)的電子化、網(wǎng)絡(luò)化。電子商務(wù)包括電子貨幣交換、供應(yīng)鏈管理、電子交易市場(chǎng)、網(wǎng)絡(luò)營(yíng)銷(xiāo)、在線事務(wù)處理、電子數(shù)據(jù)交換（EDI）、存貨管理和自動(dòng)數(shù)據(jù)收集系統(tǒng)。在此過(guò)程中，利用到的信息技術(shù)包括：互聯(lián)網(wǎng)、外聯(lián)網(wǎng)、電子郵件、數(shù)據(jù)庫(kù)、電子目錄和移動(dòng)電話(huà)。

狹義的電子商務(wù)—是指利用Internet從事商務(wù)或活動(dòng)。而廣義的電子商務(wù)是使用各種電子工具從事商務(wù)或活動(dòng)。這些工具包括從初級(jí)的電報(bào)、電話(huà)、廣播、電視、傳真到計(jì)算機(jī)、計(jì)算機(jī)網(wǎng)絡(luò)，到NII（國(guó)家信息基礎(chǔ)結(jié)構(gòu)－信息高速公路）、GII（全球信息基礎(chǔ)結(jié)構(gòu)）和Internet等現(xiàn)代系統(tǒng)。而商務(wù)活動(dòng)是從泛商品（實(shí)物與非實(shí)物，商品與非商品化的生產(chǎn)要素等等）的需求活動(dòng)到泛商品的合理、合法的消費(fèi)除去典型的生產(chǎn)過(guò)程后的所有活動(dòng)。一、電子商務(wù)概述一、電子商務(wù)概述(二).電子商務(wù)的分類(lèi)A.以商務(wù)類(lèi)型分類(lèi)

企業(yè)間的電子商務(wù)B2B企業(yè)與消費(fèi)者之間的電子商務(wù)B2C政府與消費(fèi)者之間的電子商務(wù)G2C信息溝通個(gè)人財(cái)務(wù)管理購(gòu)買(mǎi)商品發(fā)標(biāo)、投標(biāo)、評(píng)標(biāo)經(jīng)濟(jì)政策發(fā)布監(jiān)管、統(tǒng)計(jì)福利與稅收供應(yīng)商管理庫(kù)存管理渠道管理配送管理付款管理政府與企業(yè)之間的電子商務(wù)G2B電子商務(wù)的分類(lèi)一、電子商務(wù)概述B.以運(yùn)營(yíng)模式分類(lèi)

一、電子商務(wù)概述C.以企業(yè)環(huán)境分類(lèi)

一、電子商務(wù)概述(三)電子商務(wù)與互聯(lián)網(wǎng)為何電子商務(wù)與眾不同一、電子商務(wù)概述為何電子商務(wù)與眾不同(續(xù))一、電子商務(wù)概述(四)電子商務(wù)的交易層次-以物流的觀點(diǎn)來(lái)看：1.交易的「商流」2.配送的「物流」3.轉(zhuǎn)賬支付的「金流」4.資料加值及傳遞的「信息流」一、電子商務(wù)概述(五)電子商務(wù)結(jié)合資訊與通訊，以從事各項(xiàng)商業(yè)活動(dòng)，造成商業(yè)結(jié)構(gòu)產(chǎn)生下列的變化：1.行銷(xiāo)活動(dòng)的多元化

2.商業(yè)競(jìng)爭(zhēng)型態(tài)的轉(zhuǎn)變

3.商業(yè)經(jīng)營(yíng)全球化趨勢(shì)

4.個(gè)人化的行銷(xiāo)方式

5.低成本的商業(yè)經(jīng)營(yíng)方式一、電子商務(wù)概述(六)電子商務(wù)的影響一、電子商務(wù)概述(七)流通業(yè)者在電子商務(wù)環(huán)境的功能一、電子商務(wù)概述典型的配銷(xiāo)通路有好幾層的中介，每一層都會(huì)增加產(chǎn)品的最終成本，如同毛衣的例子一樣。除去這些層級(jí)將會(huì)減低對(duì)消費(fèi)者的最終成本。一、電子商務(wù)概述典一、電子商務(wù)概述(八)互聯(lián)網(wǎng)的經(jīng)營(yíng)模式一、電子商務(wù)概述(八)互聯(lián)網(wǎng)的經(jīng)營(yíng)模式（續(xù)）二、電子商務(wù)安全問(wèn)題(一).電子商務(wù)安全重要性電子商務(wù)信息（交易信息、支付信息、談判信息等的重要性;網(wǎng)絡(luò)技術(shù)發(fā)展的不完善性,易造成信息的丟失、誤操作、傳輸錯(cuò)誤等。(二).典型事例1999年4月19日鄭州交通銀行事件；1999年4月26日CIH病毒事件；1998年10月27日“中國(guó)人權(quán)研究會(huì)”網(wǎng)站遭黑時(shí)間；INTEL公司CPU序列號(hào)事件。二、電子商務(wù)安全問(wèn)題(三)電子商務(wù)安全的主要內(nèi)容硬件安全：主要指服務(wù)器、網(wǎng)絡(luò)設(shè)備、線路的運(yùn)行安全，防盜、設(shè)備性能等。軟件安全：保護(hù)所有數(shù)據(jù)不被盜竊、篡改、破壞等。運(yùn)行安全：保證系統(tǒng)能正常、連續(xù)運(yùn)行。防自然災(zāi)害、戰(zhàn)爭(zhēng)等。電子商務(wù)安全立法。增強(qiáng)對(duì)企業(yè)和人員的行約束。(四)電子商務(wù)系統(tǒng)安全控制要求：有效性：對(duì)安全產(chǎn)生的威脅加以控制，保證交易資料的有效性。保密性：通過(guò)一定措施保證交易資料的保密。完整性：確保信息傳輸?shù)耐暾?。交易身份的確定性。不可否認(rèn)性。不可修改性。合法性。二、電子商務(wù)安全問(wèn)題(五)危害電子商務(wù)安全的主要因素：網(wǎng)絡(luò)硬件：通信監(jiān)視；非法終端注入非法信息線路干擾運(yùn)行中斷服務(wù)干擾病毒入侵網(wǎng)絡(luò)軟件：操作系統(tǒng)漏洞網(wǎng)絡(luò)協(xié)議隱患網(wǎng)絡(luò)其他軟件WEB站數(shù)據(jù)庫(kù)等人員：保密意識(shí)業(yè)務(wù)不熟制度不健全素質(zhì)差非法操作交易風(fēng)險(xiǎn)：信用風(fēng)險(xiǎn)交易抵賴(lài)法律風(fēng)險(xiǎn)：法律滯后環(huán)境風(fēng)險(xiǎn)：天災(zāi)人禍二、電子商務(wù)安全問(wèn)題(六)安全術(shù)語(yǔ)漏洞:軟硬件設(shè)計(jì)缺陷威脅：身份欺騙：非法獲得用戶(hù)及密碼等篡改數(shù)據(jù)：惡意修改數(shù)據(jù)信息暴露：將信息暴露給無(wú)權(quán)訪問(wèn)人拒絕服務(wù)：阻止合法用戶(hù)使用威脅代理:通過(guò)漏洞攻擊系統(tǒng)的人或程序。病毒、蠕蟲(chóng)、木馬、郵件爆炸、攻擊者。攻擊:企圖利用漏洞達(dá)到惡意目的的威脅代理。對(duì)策:減少風(fēng)險(xiǎn)的軟件配置、硬件或程序。二、電子商務(wù)安全問(wèn)題（七）電子商務(wù)安全交易體系技術(shù)措施防火墻、網(wǎng)絡(luò)防毒、加密、身份認(rèn)證、授權(quán)等管理措施：交易安全制度等法律政策與法律保障：電子商務(wù)立法。（八）電子商務(wù)交易安全動(dòng)態(tài)控制動(dòng)態(tài)性：“保護(hù)-反饋-修正-再保護(hù)”三、電子商務(wù)安全技術(shù)（一）電子商務(wù)安全基本手段設(shè)置虛擬專(zhuān)用網(wǎng)：基于Internet電子交易的專(zhuān)用網(wǎng)絡(luò)。保護(hù)傳輸線路安全。屏蔽技術(shù)、防雷技術(shù)、監(jiān)控、定期檢查等。采用端口保護(hù)技術(shù)。使用安全訪問(wèn)設(shè)備，如智能卡等。路由選擇機(jī)制，控制傳輸路徑。設(shè)置防火墻。信息加密機(jī)制。訪問(wèn)控制。鑒別機(jī)制。數(shù)據(jù)完整性機(jī)制。審計(jì)追蹤機(jī)制。入侵檢測(cè)機(jī)制。三、電子商務(wù)安全技術(shù)（二）防火墻與訪問(wèn)控制1.防火墻概念：指在內(nèi)聯(lián)網(wǎng)與互聯(lián)網(wǎng)之間構(gòu)造的一個(gè)保護(hù)層，主要目的是強(qiáng)制信息必須經(jīng)過(guò)保護(hù)層，以實(shí)現(xiàn)信息的檢測(cè)、控制的目的。它由一個(gè)或一組網(wǎng)絡(luò)設(shè)備和部件匯集。三、電子商務(wù)安全技術(shù)（二）防火墻與訪問(wèn)控制(續(xù))2.防火墻的功能信息過(guò)濾管理行為封堵禁止業(yè)務(wù)記錄通過(guò)的信息和行為對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)與報(bào)警3.防火墻種類(lèi)(1)包過(guò)濾防火墻一般在路由器上實(shí)現(xiàn);通常只對(duì)源和目的IP地址及端口進(jìn)行檢查.(2)代理服務(wù)型防火墻(應(yīng)用層網(wǎng)關(guān))使用代理技術(shù);具有隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)作用。(3)復(fù)合型防火墻既有包過(guò)濾功能，又具有應(yīng)用層代理等功能。三、電子商務(wù)安全技術(shù)（三）物理隔離技術(shù)1.物理隔離卡(1)單硬盤(pán)物理隔離卡單硬盤(pán)分兩區(qū)、雙網(wǎng)卡、內(nèi)外雙系統(tǒng)。(2)雙硬盤(pán)物理隔離卡內(nèi)外系統(tǒng)各用一硬盤(pán)、一網(wǎng)卡；2.物理隔離網(wǎng)閘由物理隔離網(wǎng)絡(luò)電腦、物理隔離系統(tǒng)交換機(jī)組成三、電子商務(wù)安全技術(shù)（四）入侵檢測(cè)技術(shù)IDS1.主要作用：在不影響網(wǎng)絡(luò)性能的基礎(chǔ)上，對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)，從而在系統(tǒng)受到內(nèi)部攻擊、外部攻擊及誤操作時(shí)提供實(shí)時(shí)保護(hù)。2.主要任務(wù)監(jiān)視、分析系統(tǒng)用戶(hù)及系統(tǒng)活動(dòng)；對(duì)系統(tǒng)構(gòu)造及弱點(diǎn)進(jìn)行審計(jì)；識(shí)別攻擊活動(dòng)模式并告警；異常行為模式的統(tǒng)計(jì)分析；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶(hù)違反安全策略的行為。3.主要分類(lèi)（1）基于主機(jī)的入侵檢測(cè)。僅檢測(cè)分析1臺(tái)主機(jī)中的數(shù)據(jù)與行為。（2）基于網(wǎng)絡(luò)的入侵檢測(cè)。從網(wǎng)絡(luò)上采集數(shù)據(jù)進(jìn)行分析和檢測(cè)。三、電子商務(wù)安全技術(shù)（五）安全掃描技術(shù)1.概念：主要是實(shí)現(xiàn)對(duì)主機(jī)或者網(wǎng)絡(luò)的掃描，使網(wǎng)管員了解網(wǎng)絡(luò)安全配置和運(yùn)行的應(yīng)用服務(wù)，技及時(shí)發(fā)現(xiàn)安全漏洞，客觀評(píng)價(jià)網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)。2.分類(lèi)：主機(jī)安全掃描、網(wǎng)絡(luò)安全掃描。三、電子商務(wù)安全技術(shù)（六）加密與解密技術(shù)1.基本概念（1）加密：將數(shù)據(jù)進(jìn)行編碼，使它成為按常規(guī)不可理解的形式（密文）的方法。（2）解密：將密文還原為原來(lái)的可理解的形式（明文）的方式。（3）加密算法：既將明文加密成密文的具體實(shí)現(xiàn)方法，通常為一加密程序。注：（1）一明文經(jīng)過(guò)不同的算法或密鑰后形成了不同的密文。 （2）數(shù)據(jù)加密技術(shù)的關(guān)鍵是加密算法和密鑰。三、電子商務(wù)安全技術(shù)（六）加密與解密技術(shù)(續(xù))2.常用加密技術(shù)(1)替換加密：使用對(duì)照表將明文中的字符替換成對(duì)照表中的字符。(2)置換加密：調(diào)整字母排列順序?qū)崿F(xiàn)加密的方法.(3)對(duì)稱(chēng)加密:加密和解密使用同一密鑰.包括對(duì)稱(chēng)密碼算法、對(duì)稱(chēng)密鑰兩要素。優(yōu)點(diǎn)：加密速度快，得到密文緊湊，大小幾乎與明文相等。缺點(diǎn)：密鑰與密文同傳，易被截獲，安全性差，且只能使用一次。三、電子商務(wù)安全技術(shù)三、電子商務(wù)安全技術(shù)（六）加密與解密技術(shù)(續(xù))(4)非對(duì)稱(chēng)加密技術(shù)(公開(kāi)密碼體制):指加密和解密的密鑰不同，且不能由一個(gè)密鑰導(dǎo)出另一個(gè)密鑰。 非對(duì)稱(chēng)加密技術(shù)特點(diǎn)：公鑰公開(kāi)，可以適應(yīng)網(wǎng)絡(luò)開(kāi)放性要求；密鑰的分配和管理比較容易。可以實(shí)現(xiàn)數(shù)字簽名和數(shù)據(jù)鑒別。運(yùn)行效率比較低，因此用對(duì)稱(chēng)加密加密信息，用非對(duì)稱(chēng)加密傳遞會(huì)話(huà)密鑰。三、電子商務(wù)安全技術(shù)三、電子商務(wù)安全技術(shù)(七)數(shù)字簽名技術(shù)1.主要目的：防止篡改，確定發(fā)信人身份。2.基本原理：三、電子商務(wù)安全技術(shù)(七)數(shù)字簽名技術(shù)(續(xù))3.數(shù)字簽名原理：發(fā)送方首先用哈希函數(shù)將需要傳送的消息轉(zhuǎn)換成報(bào)文摘要。發(fā)送方采用自己的私有密鑰對(duì)報(bào)文摘要進(jìn)行加密，形成數(shù)字簽字。發(fā)送方把加密后的數(shù)字簽字附加在要發(fā)送的報(bào)文后面，傳遞給接收方。接收方使用發(fā)送方的公有密鑰對(duì)數(shù)字簽字進(jìn)行解密，得到發(fā)送方形成的報(bào)文摘要。接收方用哈希函數(shù)將接收到的報(bào)文轉(zhuǎn)換成報(bào)文摘要，與發(fā)送方形成的報(bào)文摘要相比較，若相同，說(shuō)明文件在傳輸過(guò)程中沒(méi)有被破壞。

三、電子商務(wù)安全技術(shù)(七)數(shù)字簽名技術(shù)(續(xù))4.數(shù)字簽名功能：接受人可確定發(fā)送人的真實(shí)身份；發(fā)送者事后不能否認(rèn)發(fā)送過(guò)該報(bào)文；保證報(bào)文準(zhǔn)確性和完整性。5.數(shù)字時(shí)間戳：數(shù)字時(shí)間戳服務(wù)（DTS)是網(wǎng)上電子商務(wù)安全服務(wù)項(xiàng)目之一，它能提供電子文件的日期和時(shí)間信息的安全保護(hù)。時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔，它包括需加時(shí)間戳的文件的摘要、DTS收到文件的日期和時(shí)間、DTS的數(shù)字簽字三個(gè)部分。

6.數(shù)字信封：對(duì)稱(chēng)加密信息，對(duì)稱(chēng)密鑰用非對(duì)稱(chēng)密鑰加密后形成信封，再傳給接收方。三、電子商務(wù)安全技術(shù)（八）認(rèn)證技術(shù)1.客戶(hù)端認(rèn)證：基于客戶(hù)端IP地址的認(rèn)證機(jī)制。主要包括身份認(rèn)證、通過(guò)認(rèn)證機(jī)構(gòu)進(jìn)行的信息認(rèn)證。前者鑒別用戶(hù)身份，后者保證雙