電子商務(wù)-第4章：電子商務(wù)安全

1、授課章節(jié)授課日期教學(xué)目的教學(xué)重點(diǎn)教學(xué)難點(diǎn)教學(xué)提綱課后小結(jié)精品文檔你我共享桂林工學(xué)院南寧分院經(jīng)濟(jì)管理系教案首頁第 4 章：電子商務(wù)安全4.1 電子商務(wù)安全需求4.2 電子商務(wù)的商務(wù)安全2008 年 5 月 19 日授課班級06 市場營銷（ 1、2、3）班通過本章學(xué)習(xí)，了解電子商務(wù)系統(tǒng)目前存在的安全威脅，認(rèn)清電子商務(wù)的安全性要求，掌握電子商務(wù)的安全體系的方法。1） 電子商務(wù)系統(tǒng)的安全威脅。2） 電子商務(wù)的安全性要求和安全體系。如何掌握各種安全防范技術(shù)的方法。點(diǎn)名：重點(diǎn)點(diǎn)經(jīng)常不來上課的（5 分鐘）時(shí)間分配4.1 電子商務(wù)系統(tǒng)的安全要求 （教師講課 30分鐘）4.1.1電子商務(wù)系統(tǒng)的安全威脅4.1.2

2、電子商務(wù)的安全性要求4.1.3電子商務(wù)的安全體系4.2 電子商務(wù)的商務(wù)安全（教師講課 20 分鐘）（教師講課 20 分鐘）上網(wǎng)演示（ 10分鐘）腹有詩書氣自華精品文檔你我共享電子商務(wù)概論方真、張明明，大連理工大學(xué)出版社，2003.8 。電子商務(wù)法律規(guī)范梅紹祖，清華大學(xué)出版社。網(wǎng)絡(luò)營銷曲學(xué)軍主編，大連理工大學(xué)出版社。推薦網(wǎng)絡(luò)安全薛偉主編，東北財(cái)經(jīng)大學(xué)出版社。書目電子商務(wù)與物流梅紹祖，人民郵電出版社。電子商務(wù)概論陳月波，清華大學(xué)出版社電子商務(wù)概論桂海進(jìn)，中國商業(yè)出版社實(shí)用電子商務(wù)概論趙林度，人民郵電出版社4.1電子商務(wù)安全要求電子商務(wù)安全的表象隨著經(jīng)濟(jì)信息化進(jìn)程的加快，計(jì)算機(jī)網(wǎng)絡(luò)上的破壞活動(dòng)也隨之

3、猖獗起來，已對經(jīng)濟(jì)秩序、經(jīng)濟(jì)建設(shè)、國家信息安全構(gòu)成嚴(yán)重威脅。在信息經(jīng)濟(jì)的發(fā)展過程中， 我們越來越依賴于網(wǎng)絡(luò)。消費(fèi)者對網(wǎng)上交易的網(wǎng)絡(luò)安全缺乏信心，使得越來越多消費(fèi)者不愿在網(wǎng)上購物。用最新的電子商務(wù)安全方面的案例，見另外一個(gè)網(wǎng)絡(luò)安全文件夾。電子商務(wù)安全需求保密性保密性，是指商業(yè)信息在傳輸過程或存儲中不被泄漏。通過對相應(yīng)的信息進(jìn)行加密來保證用戶信息不被盜取。通過在必要的結(jié)點(diǎn)設(shè)置防火墻可以防止非法用戶對網(wǎng)絡(luò)資源的不正當(dāng)?shù)拇嫒　Ｍ暾酝暾?，是指商業(yè)信息在傳輸和存儲中保證數(shù)據(jù)一致性。電子偽裝是最常見的破壞信息完整性的技術(shù)。所謂電子偽裝，腹有詩書氣自華精品文檔你我共享就是在網(wǎng)絡(luò)上某人偽裝成他人或者是某個(gè)網(wǎng)

4、站偽裝成另一個(gè)網(wǎng)站。不可抵賴性不可抵賴性，是指商業(yè)信息的發(fā)送方和接收方均不得否認(rèn)已發(fā)或已收的信息。這就需要利用數(shù)字簽名和身份認(rèn)證等技術(shù)確認(rèn)對方身份。一經(jīng)確認(rèn)，雙方就不得否認(rèn)自己的交易行為。即需性即需性，是指保證合法用戶對商業(yè)信息及時(shí)獲取并保證服務(wù)不會(huì)遭到不正當(dāng)?shù)木芙^。系統(tǒng)的即需性遭到破壞，系統(tǒng)處理信息的速度會(huì)非常慢，從而影響電子商務(wù)的正常運(yùn)行。計(jì)算機(jī)失效、程序錯(cuò)誤、硬件故障、系統(tǒng)軟件故障、計(jì)算機(jī)病毒等都會(huì)對電子商務(wù)的即需性造成影響。電子商務(wù)安全的范疇與劃分賣方 (銷售者 )面臨的安全威脅中央系統(tǒng)安全性被破壞競爭者的威脅客戶資料被競爭者獲悉假冒的威脅腹有詩書氣自華精品文檔你我共享信用的威脅獲取他

5、人的機(jī)密數(shù)據(jù)買方 (消費(fèi)者 )面臨的安全威脅虛假訂單付款后不能收到商品機(jī)密性喪失拒絕服務(wù)4.2電子商務(wù)的商務(wù)安全電子商務(wù)的商務(wù)安全與傳統(tǒng)商務(wù)安全的區(qū)別信息方面冒名偷竊篡改數(shù)據(jù)信息丟失虛假信息信息傳遞過程中的破壞2.信用方面來自買方的信用風(fēng)險(xiǎn)來自賣方的信用風(fēng)險(xiǎn)買賣雙方都有存在抵賴的情況腹有詩書氣自華精品文檔你我共享管理方面交易流程管理風(fēng)險(xiǎn)人員管理風(fēng)險(xiǎn)交易技術(shù)管理風(fēng)險(xiǎn)法律方面無法保證合法交易的風(fēng)險(xiǎn)法律的事后完善所帶來的風(fēng)險(xiǎn)電子商務(wù)商務(wù)安全的應(yīng)對策略1.在技術(shù)上加強(qiáng)電子商務(wù)安全管理網(wǎng)絡(luò)安全和信息安全是保障網(wǎng)上交易正常進(jìn)行的關(guān)鍵。從防火墻技術(shù)、信息加密技術(shù)、身份認(rèn)證等技術(shù)方面來加強(qiáng)電子商務(wù)系統(tǒng)的安全性

6、。2.在管理上加強(qiáng)電子商務(wù)安全管理調(diào)查發(fā)現(xiàn)，通常對數(shù)據(jù)的最嚴(yán)重的威脅都來自于我們認(rèn)識的人。為此，很多網(wǎng)絡(luò)安全專家都認(rèn)為， 大部分攻擊都是由員工發(fā)起的。從這種意義上，我們最需要的是不是技術(shù)，而是一套完整的管理體制。必須加強(qiáng)監(jiān)管，建立各種有關(guān)的合理制度，并加強(qiáng)嚴(yán)格監(jiān)督。要充分發(fā)揮政府有關(guān)部門、企業(yè)的主要領(lǐng)導(dǎo)、信息服務(wù)商的作用。腹有詩書氣自華精品文檔你我共享3.在法律上加強(qiáng)電子商務(wù)安全管理通過健全法律制度和完善法律體系來保證合法網(wǎng)上交易的權(quán)益，對破壞合法網(wǎng)上交易權(quán)益的行為進(jìn)行立法嚴(yán)懲。關(guān)于這一點(diǎn)，我們將在第七章再作具體介紹。桂林工學(xué)院南寧分院經(jīng)濟(jì)管理系教案首頁授課章節(jié)授課日期教學(xué)目的教學(xué)重點(diǎn)教學(xué)難點(diǎn)

7、4.3 電子商務(wù)的技術(shù)安全4.4 電子商務(wù)的社會(huì)安全因素4.5 小結(jié)和習(xí)題與思考2008 年 5 月 26 日授課班級06 市場營銷（ 1、2、3）班通過本章學(xué)習(xí)，了解電子商務(wù)系統(tǒng)目前存在的安全威脅，認(rèn)清電子商務(wù)的安全性要求，掌握電子商務(wù)的安全體系的方法。常用電子商務(wù)安全技術(shù)和手段加密技術(shù)腹有詩書氣自華教學(xué)提綱課后小結(jié)推薦書目精品文檔你我共享點(diǎn)名：重點(diǎn)點(diǎn)經(jīng)常不來上課的（5 分鐘）時(shí)間分配4.3電子商務(wù)的技術(shù)安全（教師講課30 分鐘）上網(wǎng)演示（ 15 分鐘）4.4電子商務(wù)的社會(huì)安全因素（教師講課30 分鐘）4.5小結(jié)和習(xí)題與思考（教師講課20 分鐘）電子商務(wù)概論方真、張明明，大連理工大學(xué)出版社，

8、2003.8 。電子商務(wù)法律規(guī)范梅紹祖，清華大學(xué)出版社。網(wǎng)絡(luò)營銷曲學(xué)軍主編，大連理工大學(xué)出版社。網(wǎng)絡(luò)安全薛偉主編，東北財(cái)經(jīng)大學(xué)出版社。電子商務(wù)與物流梅紹祖，人民郵電出版社。4.3電子商務(wù)的技術(shù)安全電子商務(wù)技術(shù)安全隱患系統(tǒng)闖入是指未授權(quán)的人利用操作系統(tǒng)或者安全管理的漏洞，通過一定的手段闖入到系統(tǒng)內(nèi)部， 獲取普通用戶沒有的權(quán)力， 實(shí)現(xiàn)對用戶信息的篡改、竊取和非法使用。腹有詩書氣自華精品文檔你我共享早期的闖入者只是做些修改網(wǎng)頁之類近似于惡作劇的破壞。隨著電子商務(wù)的發(fā)展， 入侵者通過盜取服務(wù)器上存放有關(guān)產(chǎn)品、客戶和交易等信息，獲得巨大的經(jīng)濟(jì)利益已成為其主要目的。入侵者在闖入系統(tǒng)的同時(shí)還可能在系統(tǒng)中埋下

9、木馬、陷門等病毒來破壞其正常工作。服務(wù)拒絕攻擊服務(wù)拒絕攻擊（ Denial of Service，DoS），簡單來說，是通過電子手段，以網(wǎng)站或者網(wǎng)絡(luò)癱瘓為目的的襲擊。由于電子商務(wù)對網(wǎng)站的實(shí)時(shí)性要求越來越高，服務(wù)拒絕攻擊對電子商務(wù)的威脅也就越來越大。雖然這種攻擊不能使攻擊者直接獲得有用的信息，但是它可以大大削弱被攻擊者在客戶心中的可信度。我們常見的服務(wù)拒絕攻擊有： 死亡之 ping（ping of death）、UDP洪水（ UDP flood ）、Land 攻擊、電子郵件炸彈等。身份仿冒對用戶身份進(jìn)行仿冒，借此來破壞交易，損害被假冒方的信譽(yù)或者盜取其交易成果等。我們在利用網(wǎng)絡(luò)進(jìn)行交易時(shí)一定要進(jìn)

10、行身份認(rèn)證。計(jì)算機(jī)病毒腹有詩書氣自華精品文檔你我共享它具有傳染性、破壞性、隱蔽性、潛伏性、不可預(yù)見性等特點(diǎn)。計(jì)算機(jī)病毒正在從傳統(tǒng)的感染單個(gè)文件，單個(gè)系統(tǒng)轉(zhuǎn)向網(wǎng)絡(luò)化發(fā)展。對于利用計(jì)算機(jī)及網(wǎng)絡(luò)進(jìn)行交易的電子商務(wù)參與者來說，計(jì)算機(jī)病毒勢必會(huì)成為他們巨大的技術(shù)隱患。電子商務(wù)系統(tǒng)安全體系電子商務(wù)安全分為計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全計(jì)算機(jī)網(wǎng)絡(luò)安全：是指計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全，其特征是針對計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案，保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全。商務(wù)交易安全：是指在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保證電子商務(wù)過程的順利進(jìn)行，即實(shí)現(xiàn)保密性、完整性、不可抵賴性等要求

11、。主要技術(shù)有：加密技術(shù)、認(rèn)證技術(shù)、安全協(xié)議等。（建立電子商務(wù)安全體系也應(yīng)從這兩個(gè)方面入手，其結(jié)構(gòu)如圖41 所示 ）常用電子商務(wù)安全技術(shù)和手段加密技術(shù)加密技術(shù)，就是采用合適的加密算法 （實(shí)際上是一種數(shù)學(xué)方法）把原始信息（稱為 “明文 ”）轉(zhuǎn)換成一些晦澀難懂的或者偏離信息原意的信息（稱為 “密文 ”），從而達(dá)到保障信息安全目的的過程。腹有詩書氣自華精品文檔你我共享加密系統(tǒng)包括信息（明文和密文）、密鑰（加密密鑰和解密密鑰）、算法（加密算法和解密算法）三個(gè)組成部分。例如：將英文字母a、b、c、d、e、fx、y、z 分別對應(yīng)變換為c、d、e、f、g、hz、a、b，即字母順序保持不變，但使之分別與相差2

12、個(gè)字母的字母相對應(yīng)。若現(xiàn)在有明文“hello”，則按照該加密算法和密鑰，對應(yīng)密文為“jgnnq”認(rèn)證技術(shù) 身份認(rèn)證身份認(rèn)證是在交易過程中判明和確認(rèn)貿(mào)易雙方真實(shí)身份的。身份認(rèn)證可以幫助商家確認(rèn)對方身份，進(jìn)而放心地開展電子商務(wù)。當(dāng)交易雙方發(fā)生糾紛時(shí)，身份認(rèn)證還可以為仲裁提供有利的證據(jù)。身份認(rèn)證的常用方法主要有三種基本方式：用戶口令 用戶持有物用戶的某些生物學(xué)特征信息認(rèn)證它是用于驗(yàn)證信息的完整性，即確認(rèn)信息在傳遞或存儲過程中腹有詩書氣自華精品文檔你我共享沒有被篡改過，進(jìn)而保證通信雙方的不可抵賴性和信息的完整性。常采取數(shù)字簽名技術(shù)進(jìn)行信息的安全認(rèn)證。數(shù)字簽名主要是建立在公開密鑰體制和報(bào)文分解函數(shù) (M

13、DF) 的基礎(chǔ)上。其過程為： 報(bào)文的發(fā)送方利用報(bào)文分解函數(shù)（目前常見的是單向 Hash 函數(shù)）生成一個(gè) 128 位的數(shù)字摘要； 發(fā)送方用自己的私人密鑰對這個(gè)摘要摘要進(jìn)行加密來形成發(fā)送方的數(shù)字簽名； 然后，該數(shù)字簽名將作為附件和報(bào)文一起發(fā)送給接收方；報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出128 位的摘要；接著用發(fā)送方的公開密鑰來對報(bào)文附加的數(shù)字簽名解密； 最后判斷兩個(gè)數(shù)字摘要是否相同。如果相同，那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的，而且報(bào)文在傳輸過程中沒有被修改或替換過。如果不同，則表明該信息可能在傳輸過程中被篡改。數(shù)字簽名技術(shù)可以保證信息傳送的完整性和不可抵賴性。 當(dāng)破壞者截獲信息后，只

14、要他對報(bào)文作一個(gè)字節(jié)的改動(dòng)，接收方就會(huì)在最后驗(yàn)證數(shù)字摘要時(shí)出錯(cuò)而發(fā)現(xiàn)這次篡改；就算破壞者改動(dòng)報(bào)文后計(jì)算出新的摘要，但他不知道發(fā)送方的私鑰，無法生成有效的數(shù)字簽名，還是無法腹有詩書氣自華精品文檔你我共享實(shí)現(xiàn)篡改。 如果發(fā)送方否認(rèn)這一次信息的傳輸，那么接收方就可以用收到報(bào)文和數(shù)字簽名來反駁。安全協(xié)議 安全套接層協(xié)議安全套接層 (SSL，Secure Sockets Layer)協(xié)議是對計(jì)算機(jī)之間會(huì)話加密的協(xié)議，主要用于Web 瀏覽器與 Web 服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸，可以對信用卡和個(gè)人信息提供較強(qiáng)的安全保護(hù)。SSL 協(xié)議是工作在網(wǎng)絡(luò)的傳輸層中，所以它可以用于加密任何基于 TCPIP 的

15、應(yīng)用，如 HTTP、Telnet、FTP 等。SSL 協(xié)議包括了兩個(gè)子協(xié)議： SSL 握手協(xié)議 (SSL handshake protocol)和 SSL 記錄協(xié)議 (SSL record protocol)。反病毒技術(shù) 病毒的檢測檢測計(jì)算機(jī)病毒，就是要到病毒寄生場所去檢查，發(fā)現(xiàn)異常情況，并進(jìn)而驗(yàn)明 “正身 ”，確認(rèn)計(jì)算機(jī)病毒的存在。對計(jì)算機(jī)病毒的檢測分為對內(nèi)存的檢測和對磁盤的檢測。（病毒靜態(tài)時(shí)存儲于磁盤中，激活時(shí)駐留在內(nèi)存中）檢測的原理主要包括比較法、搜索法、計(jì)算機(jī)病毒特征字的識腹有詩書氣自華精品文檔你我共享別法、分析法。 病毒的清除手工清除的方法；先由人工分析病毒傳染的方法，然后再加以程序

16、化，讓清毒程序去完成清病毒的工作；在每個(gè)可執(zhí)行文件中追加一部分用于恢復(fù)的信息，當(dāng)被病毒感染后，這些信息可以幫助快速去除病毒，恢復(fù)文件的原狀態(tài)；利用軟件自動(dòng)分析一個(gè)文件的原始備份和被病毒感染后的拷貝，通過簡單的人工指導(dǎo)或根本不用人工干預(yù)， 該軟件會(huì)自動(dòng)產(chǎn)生清除這種病毒的源程序，并可自動(dòng)產(chǎn)生可執(zhí)行程序。 病毒的防御目前最常用的防御技術(shù)就是實(shí)時(shí)監(jiān)控技術(shù)。對網(wǎng)絡(luò)病毒實(shí)時(shí)監(jiān)控技術(shù)應(yīng)符合 “最小占用 ”原則。 病毒的免疫它是指通過給可執(zhí)行程序增加保護(hù)性外殼的方法，在一定程度上能起保護(hù)作用。但是，在增加保護(hù)性外殼前，若該文件已感染病毒，作為免疫措施為該程序增加的保護(hù)性外殼就會(huì)將程序連同病毒一起保護(hù)在里面。待

17、檢測時(shí)，因?yàn)橛斜Ｗo(hù)程序外殼的 “護(hù)駕 ”，而不能檢查出該病毒。腹有詩書氣自華精品文檔你我共享病毒防治 基于工作站的防治技術(shù)軟件防治；在工作站上插防病毒卡；在網(wǎng)絡(luò)接口卡上安裝防病毒芯片。 基于服務(wù)器的防治技術(shù)基于網(wǎng)絡(luò)服務(wù)器的實(shí)時(shí)掃描的防護(hù)技術(shù)主要提供包括：實(shí)時(shí)在線掃描、服務(wù)器掃描、工作站掃描、自動(dòng)報(bào)告及其病毒存檔等功能。也可利用在服務(wù)器上的插防毒卡。 基于網(wǎng)絡(luò)操作系統(tǒng)的防治技術(shù)網(wǎng)絡(luò)操作系統(tǒng)本身至少應(yīng)提供四級安全保護(hù)措施：注冊安全、權(quán)限安全、屬性安全和網(wǎng)絡(luò)操作系統(tǒng)自身實(shí)體安全。防火墻技術(shù)防火墻 (Firewall) 是指一個(gè)由軟件或和硬件設(shè)備組合而成，處于企業(yè)或網(wǎng)絡(luò)群體計(jì)算機(jī)與外界通道之間， 限制

18、外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。防火墻包含著一對矛盾（或稱機(jī)制） ：一方面它限制數(shù)據(jù)流通，另一方面它又允許數(shù)據(jù)流通。主要包括兩種防火墻：腹有詩書氣自華精品文檔你我共享數(shù)據(jù)包過濾型 (Packet Filter) 防火墻：速度快、簡單易行、價(jià)格便宜、易于維護(hù)、對網(wǎng)絡(luò)性能的影響很小、安全性相對較差。代理服務(wù)型 (proxy service)防火墻：安全性能相對較高，但是訪問速度降低、而且網(wǎng)絡(luò)建設(shè)的成本較高。（事實(shí)上，還有一些防火墻是上述兩種防火墻的變種、改進(jìn)或者綜合。）6系統(tǒng)恢復(fù)技術(shù)演示 GHOST 的基本操作。4.4電子商務(wù)的社會(huì)安全因素電子商務(wù)投資政策投資主體應(yīng)該由政府

19、轉(zhuǎn)向廣大企業(yè)，尤其是中、小企業(yè)。政府的國家資金一般應(yīng)作為引導(dǎo)、啟動(dòng)或配套資金進(jìn)行注入，以表明政策支持那些經(jīng)濟(jì)、社會(huì)效益均好，或社會(huì)必需的行業(yè)、產(chǎn)業(yè)。政府投資的大小體現(xiàn)其重視程度或工程的難易程度。國家應(yīng)做好宣傳、知識普及、制定投資政策等工作。電子商務(wù)稅收政策在電子商務(wù)系統(tǒng)建設(shè)和應(yīng)用過程中，它要產(chǎn)生經(jīng)濟(jì)效益，所以理應(yīng)向國家和地方納稅。制定合理的電子商務(wù)稅收政策。鑒于電子商務(wù)發(fā)展初期，此時(shí)其獲利甚微，國家應(yīng)從政策優(yōu)惠的角度對電子商務(wù)給予一定程度的稅收腹有詩書氣自華精品文檔你我共享優(yōu)惠。電子商務(wù)的稅務(wù)原則：中立、高效、明確、簡便、有效、公平和靈活。采取措施，防止企業(yè)偷稅漏稅。電子商務(wù)收費(fèi)政策通過電子商務(wù)產(chǎn)生經(jīng)濟(jì)效益，需要一定的客戶規(guī)模。制定合理的收費(fèi)政策促使更多的單位和個(gè)人使用電子商務(wù)。4.5 小結(jié)：理論夠用，重在實(shí)際操作。習(xí)題與思考：習(xí)題見課本。出師表兩漢：諸葛亮先帝創(chuàng)業(yè)未半而中道崩殂，今天下三分，益州疲弊，此誠危急存亡之秋也。然侍衛(wèi)之臣不懈于內(nèi)，忠志之士忘身于外者，蓋追先帝之殊遇，欲報(bào)之于陛下也。誠宜開張圣聽，以光先帝遺德，恢弘志士之氣，不宜妄自菲薄，引喻失義，以塞忠諫之路也。宮中府