第一章 電子商務安全概述

1、主講：Email:電話：辦公室：本課程的教學目的 本課程是高職電子商務專業(yè)的一門必修課程。 其主要任務是要求學生對電子商務安全的概念有較全面的了解，掌握電子商務安全保密的基礎理論和實用技術，并能在實踐中起指導作用。課程知識目標了解電子商務安全隱患；了解電子商務流程中的各方面的不安全性；了解一些黑客常用的攻擊方法，學會使用一些防范工具；了解防火墻的使用；掌握數字簽名及CA認證技術掌握加密與密鑰體系.實現數據完整性.數字簽名.數字認證.安全協議與標準；掌握對訪問的認證和控制，S/MIME，SSL，SET和數字認證的使用；課程能力目標能對一個電子商務網站的防火墻進行設置；能申請并使用數字證書；能分析

2、一個電子商務網站的商務流程安全隱患；培養(yǎng)一定的電子商務網站的安全管理能力；掌握一定的信息加密技術及其應用能力；課程考核方案（建議）考核方式:過程性測試+期末閉卷考試過程性測試占60%過程性測試含考勤、作業(yè)和實驗期末閉卷考試40%期末試卷題型及比例：綜合題：50% 簡答題：30%選擇題: 20% 為什么要學這門課程？助理電子商務師必備技能： 了解電子商務安全基本知識和隱患 了解電子商務的不安全性 掌握建立安全的電子商務流程 掌握加解密、數字簽名、認證 掌握電子商務的安全協議SSL、SET助理電子商務師國家職業(yè)標準主編：彭波第1章 電子商務安全基礎知識教學目標：了解電子商務安全的六項中心內容；了解

3、常見的電子商務安全問題熟悉電子商務安全的需求熟悉常見的電子商務安全技術了解電子商務安全體系技能培養(yǎng)目標：能夠搜集電子商務安全方面的資料能夠跟蹤電子商務技術的發(fā)展第1章 電子商務安全基礎 1.1 電子商務安全概述 隨著電子商務在全球范圍內的迅猛發(fā)展，電子商務中的網絡安全問題日漸突出。 CNNIC發(fā)布的第24次中國互聯網絡發(fā)展報告指出：如何保證電子商務中的網絡安全問題、交易安全問題是促進電子商務穩(wěn)定快速發(fā)展的關鍵。知識窗：知識窗：中國互聯網絡信息中心（中國互聯網絡信息中心（CNNIC）：）：CNNIC是我國域名注冊管理機構和域名根服務是我國域名注冊管理機構和域名根服務器運行機構。官方網址器運行機構

4、。官方網址http:/ 用戶認為目前網上交易存在的最大問題是：安全性得不到保障： 23.4%付款不方便： 10.8% 產品質量、售后服務及廠商信用得不到保障： 39.3%送貨不及時： 8.6%價格不夠誘人： 10.8%網上提供的信息不可靠： 6.4%其它： 0.7%消費者對網上交易的網絡安全缺乏信心，使得消費者對網上交易的網絡安全缺乏信心，使得越來越多消費者不愿在網上購物。越來越多消費者不愿在網上購物。電子商務安全包括六項中心內容：1商務數據的機密性 信息在傳送和存儲過程中不能泄露，可用加密和信息隱匿技術實現。2商務數據的完整性 保護數據不被未授權者修改、建立、嵌入等。3商務服務的認證性 網絡

5、兩端的使用者在溝通之前相互確認對方的身份。4.商務服務的不可否認性 信息發(fā)送和接收方都不可否認服務沒有發(fā)生。 5.商務服務的不可拒絕性 保證受權用戶在正常訪問時不被拒絕。6.訪問的控制性 在網絡上限制和控制通信鏈路對主機系統和應用的訪問。 從2000年2月7日至2月9日，短短三天時間內，美國幾大主要網上站點遭受不明黑客攻擊，其中包括著名的電子商務網站電子港灣（eBay）和亞馬遜（Amazon）。 從2003年1月25日中午開始，一種蠕蟲病毒在Internet上快速蔓延。信息安全案例 2004年2月，日本因特網雅虎BB公司外泄四百五十萬筆個人資料，引起社會指責 萬事達信用卡集團于2005年6月1

6、7日稱，大約4000萬信用卡顧客賬戶被一名黑客利用電腦病毒侵入，黑客可能將用戶賬號信息用作欺詐行為 2008年，一個全球性的黑客組織，利用ATM 欺詐程序在一夜之間從世界49個城市的銀行中盜走了900萬美元。 2009年，7月7日，韓國總統府、國會、國情院和國防部等國家機關，以及金融界、媒體和防火墻企業(yè)網站遭到黑客的攻擊。1.2 電子商務安全問題 1. 數據被非法截獲、讀取或者修改 數據在傳輸過程中可能被別有用心者截獲、讀取，從而造成商業(yè)機密和個人隱私的泄密。 2. 冒名頂替和否認行為 別有用心者就有可能冒充合法用戶發(fā)送或者是接收信息。另外，會否認自己在網絡上進行過的操作，也就是賴帳。1.2

7、電子商務安全問題 3. 一個網絡的用戶未經授權訪問了另一個網絡 有的未經授權的非法用戶會想辦法竄入企業(yè)內部網，這就是所謂的“黑客”侵擾。 4. 計算機病毒 電子商務是一種依賴于計算機和計算機網絡的新的商務模式，危害計算機和計算機網絡的計算機病毒自然對對電子商務造成了很大的危害。解決措施序號序號安全問題安全問題解決措施解決措施1數據被非法截獲、讀取或者修改數據加密2冒名頂替和否認行為數字簽名、加密、認證等3一個網絡的用戶未經授權訪問了另一個網絡防火墻4計算機病毒計算機病毒防治措施1.3 電子商務安全需求電子商務安全需求從整體上可分為三大部分： 電子商務信息服務安全需求 電子交易的安全需求 電子支

8、付安全需求。1.3.1 電子商務信息服務安全需求 1. 系統實體安全 實體安全，是指保護計算機設備、設施以及其他媒體免受自然災害和其他環(huán)境事故（如電磁污染等）破壞的措施、過程 （1）環(huán)境安全 （2）設備安全 （3）媒體安全2. 系統運行安全 運行安全是指為保障系統功能的安全實現，提供一套安全措施來保護信息處理過程的安全。 （1）風險分析 （2）審計跟蹤 （3）備份與恢復 （4）應急3. 信息安全 信息安全是指防止信息財產被故意的或偶然的非授權泄漏、更改、破壞或使信息被非法的系統辨識、控制， （1）操作系統安全 （2）數據庫安全 （3）網絡安全 （4）計算機病毒防護 （5）訪問控制 （6）加密

9、（7）鑒別 1.3.2 電子交易的安全需求 1信息的保密性 一定要對敏感重要的商業(yè)信息進行加密，即使別人截獲或竊取了數據，也無法識別信息的真實內容，這樣就可以使商業(yè)機密信息難以被泄露。 2 信息的完整性 交易各方能夠驗證收到的信息是否完整，即信息是否被人篡改過，或者在數據傳輸過程中是否出現信息丟失、信息重復等差錯。1.3.2 電子交易的安全需求 3. 身份的可認證性 在雙方進行交易前，首先要能確認對方的身份，要求交易雙方的身份不能被假冒或偽裝 4. 可靠性/不可抵賴性 在電子交易通信過程的各個環(huán)節(jié)中都必須是不可否認的，即交易一旦達成，發(fā)送方不能否認他發(fā)送的信息，接收方則不能否認他所收到的信息。

10、1.3.2 電子交易的安全需求 5. 審查能力/不可偽造性 電子交易文件也要能做到不可修改，以保障交易的嚴肅和公正。 6. 內部網的嚴密性 企業(yè)的內部網上一方面有著大量需要保密的信息，另一方面?zhèn)鬟f著企業(yè)內部的大量數據，控制著企業(yè)的業(yè)務流程。保證內部網不被侵入，也是開展電子商務的企業(yè)應著重考慮的一個安全問題。1.3.3 電子支付安全需求 電子支付的手段是解決電子商務支付的唯一手段。所以如何保證電子支付過程中的安全問題也是電子商務中迫切要解決的問題。 （1）電子支付制度 （2）電子支付系統 （3）隱私外露 （4）電子支付工具1.4 電子商務安全技術 電子商務主要涉及到的安全技術有加解密技術、數字認

11、證技術、CA安全認證體系、安全電子交易協議、虛擬專用網技術、反病毒技術、黑客防范及其他相關的網絡安全技術。安全技術歸結為三類： 客戶端安全技術 服務器端安全技術 信息傳輸安全技術。1.4.1 客戶端安全技術 1. 病毒與木馬防范技術 病毒與木馬防范技術主要是就是針對目前流行的病毒與木馬通過安裝反病毒軟件、反木馬軟件等技術手段防范病毒和木馬對客戶端造成的破壞。2. 操作系統安全技術 操作系統安全技術主要是指利用安全技術保證進行電子商務活動中參與的主機系統的操作系統安全。 美國可信計算機安全評估標準（TCSEC），是計算機系統安全評估的第一個正式標準。 TCSEC將計算機系統的安全劃分為4個等級、

12、8個級別。 美國可信計算機安全評估標準（TCSEC）(1) D類安全等級：只為文件和用戶提供安全保護。最普通的形式是本地操作系統。(2) C類安全等級：能夠提供審慎的保護，并為用戶的行動和責任提供審計能力。(3) B類安全等級：具有強制性保護功能(4) A類安全等級：從開發(fā)者那里接收到一個安全策略的正式模型；所有的安裝操作都必須由系統管理員進行；系統管理員進行的每一步安裝操作都必須有正式文檔。3. 應用軟件安全技術 應用軟件安全技術主要是指針對安裝在主機系統中的應用軟件存在的安全問題所采用的安全技術。 例如，MS Internet Explore、Outlook Express、Foxmail

13、以及即時通信軟件QQ等大量應用軟件1.4.2 服務器端安全技術 1. 網絡操作系統安全技術網絡操作系統安全技術主要是指為了保障提供電子商務服務的網絡操作系統的安全而采用的安全技術，包括Windows 2003 Server安全設置和Red Hat Linux 安全設置。 2. 數據庫安全技術 指為了保證數據庫中大量數據的安全問題、敏感數據的防竊取和防篡改問題等一系列安全問題而采用的安全技術。 3. 網站安全技術 指對提供電子商務服務的網站所采用的安全技術。主要包括Web服務安全設置和網站代碼安全。1.4.3 信息傳輸安全技術 1. 黑客的攻擊與防范 主要通過了解常見黑客的攻擊方法，熟悉黑客攻擊

14、的步驟，掌握防范黑客入侵的措施和防范黑客入侵的步驟。 常見的黑客的攻擊方法有：端口掃描、口令破解、特洛伊木馬、緩沖區(qū)溢出攻擊、拒絕式服務攻擊、網絡監(jiān)聽等。 2. 信息加密技術 保證信息在傳輸通道中信息安全的核心技術。 通過對傳輸的信息進行加密，可以在一定程度上提高數據傳輸的安全性，保證傳輸數據的完整性。在電子商務安全中信息加密技術包括密碼的分析與攻擊和數據加密技術。 3. 防火墻技術與設置 通過防火墻將本地網絡和外界網絡之間建立一道防御體系，用戶可以在防火墻上配置安全策略控制信息的進出。通過安全策略的配置提供信息安全服務，實現網絡和信息安全。1.5 電子商務安全體系 電子商務安全體系是保證電子商務中信息安全的一個完整的邏輯結構，同時也為交易過程的安全提供了保障。 網絡安全是電子商務活動安全進行的基礎，為人們安全地開展網上商務活動提供了有力的保障。沒有網絡的安全，電子商務就毫無安全可言。 電子交易安全是保障電子商務網上交易活動順利進行的業(yè)務邏輯層面的安全。通過使用加密技術、安全認證、安全協議和電子支付系統等技術手段可以保證電子交易過程中信息的保密性、完整性、有效性、認證性、不可抵賴性、不可拒絕性實訓了解電子商務安全問題和技術實訓內容： 查找十個專業(yè)的電子商務安全的網站； 查找當前國際和國內電子商務安