電子商務-第4章：電子商務安全

1、桂林工學院南寧分院經(jīng)濟管理系教案首頁授課章節(jié)第4章：電子商商務安全 4.1電子子商務安全需需求 4.2電子子商務的商務務安全授課日期2008年5月月19日授課班級06市場營銷（11、2、3）班教學目的通過本章學習，了解電子商務系統(tǒng)目前存在的安全威脅，認清電子商務的安全性要求，掌握電子商務的安全體系的方法。教學重點電子商務系統(tǒng)的的安全威脅。電子商務的安全全性要求和安安全體系。教學難點如何掌握各種安安全防范技術術的方法。教學提綱點名：重點點經(jīng)經(jīng)常不來上課課的 （5分鐘鐘）4.1 電子商商務系統(tǒng)的安安全要求（教教師講課300分鐘）4.1.1 電電子商務系統(tǒng)統(tǒng)的安全威脅脅4.1.2 電電子商務的安安全

2、性要求4.1.3 電電子商務的安安全體系 4.2電子商商務的商務安安全 （教師師講課20分鐘） （教教師講課200分鐘）上網(wǎng)演示 （100分鐘）時間分配課后小結推薦書目電子商務概論論方真、張張明明，大連連理工大學出出版社，20003.8。電子商務法律律規(guī)范梅紹紹祖，清華大大學出版社。網(wǎng)絡營銷曲曲學軍主編，大大連理工大學學出版社。網(wǎng)絡安全薛薛偉主編，東東北財經(jīng)大學學出版社。電子商務與物物流梅紹祖祖，人民郵電電出版社。電子商務概論論陳月波，清華大學出出版社電子商務概論論桂海進，中國商業(yè)出出版社實用電子商務務概論趙林林度，人民郵電出出版社4.1 電子子商務安全要要求 4.1.1 電電子商務安全全的表

3、象隨著經(jīng)濟信息化化進程的加快快，計算機網(wǎng)網(wǎng)絡上的破壞壞活動也隨之之猖獗起來，已已對經(jīng)濟秩序序、經(jīng)濟建設設、國家信息息安全構成嚴嚴重威脅。在信息經(jīng)濟的發(fā)發(fā)展過程中，我我們越來越依依賴于網(wǎng)絡。 消費者對網(wǎng)網(wǎng)上交易的網(wǎng)網(wǎng)絡安全缺乏乏信心，使得得越來越多消消費者不愿在在網(wǎng)上購物。用最新的電子商商務安全方面面的案例，見見另外一個網(wǎng)網(wǎng)絡安全文件件夾。4.1.2 電電子商務安全全需求1. 保密性 保密性，是指商商業(yè)信息在傳傳輸過程或存存儲中不被泄泄漏。通過對相應的信信息進行加密密來保證用戶戶信息不被盜盜取。通過在必要的結結點設置防火火墻可以防止止非法用戶對對網(wǎng)絡資源的的不正當?shù)拇娲嫒　?2. 完整性 完整性

4、，是指商商業(yè)信息在傳傳輸和存儲中中保證數(shù)據(jù)一一致性 。電子偽裝是最常常見的破壞信信息完整性的的技術。所謂謂電子偽裝，就就是在網(wǎng)絡上上某人偽裝成成他人或者是是某個網(wǎng)站偽偽裝成另一個個網(wǎng)站 。3. 不可抵賴賴性 不可抵賴性，是是指商業(yè)信息息的發(fā)送方和和接收方均不不得否認已發(fā)發(fā)或已收的信信息。這就需要利用數(shù)數(shù)字簽名和身身份認證等技技術確認對方方身份。一經(jīng)經(jīng)確認，雙方方就不得否認認自己的交易易行為。4. 即需性 即需性，是指保保證合法用戶戶對商業(yè)信息息及時獲取并并保證服務不不會遭到不正正當?shù)木芙^。系統(tǒng)的即需性遭遭到破壞，系系統(tǒng)處理信息息的速度會非非常慢，從而而影響電子商商務的正常運運行。 計算機失效、

5、程程序錯誤、硬硬件故障、系系統(tǒng)軟件故障障、計算機病病毒等都會對對電子商務的的即需性造成成影響。 4.1.3 電電子商務安全全的范疇與劃劃分1. 賣方 (銷售者)面面臨的安全威威脅 中央系統(tǒng)安全性性被破壞競爭者的威脅客戶資料被競爭爭者獲悉假冒的威脅信用的威脅獲取他人的機密密數(shù)據(jù) 2. 買方(消消費者)面臨臨的安全威脅脅 虛假訂單付款后不能收到到商品機密性喪失拒絕服務 4.2 電子子商務的商務務安全 4.2.1 電電子商務的商商務安全與傳傳統(tǒng)商務安全全的區(qū)別 1. 信息方面面 冒名偷竊篡改數(shù)據(jù)信息丟失虛假信息信息傳遞過程中中的破壞2.信用方面來自買方的信用用風險來自賣方的信用用風險買賣雙方都有存存

6、在抵賴的情情況3. 管理方面面交易流程管理風風險人員管理風險交易技術管理風風險4. 法律方面面無法保證合法交交易的風險法律的事后完善善所帶來的風風險4.2.2 電電子商務商務務安全的應對對策略 1.在技術上加加強電子商務務安全管理網(wǎng)絡安全和信息息安全是保障障網(wǎng)上交易正正常進行的關關鍵。從防火墻技術、信信息加密技術術、身份認證證等技術方面面來加強電子子商務系統(tǒng)的的安全性。2.在管理上加加強電子商務務安全管理調查發(fā)現(xiàn)，通常常對數(shù)據(jù)的最最嚴重的威脅脅都來自于我我們認識的人人。為此，很很多網(wǎng)絡安全全專家都認為為，大部分攻攻擊都是由員員工發(fā)起的。從從這種意義上上，我們最需需要的是不是是技術，而是是一套完

7、整的的管理體制。必須加強監(jiān)管，建建立各種有關關的合理制度度，并加強嚴嚴格監(jiān)督。要充分發(fā)揮政府府有關部門、企企業(yè)的主要領領導、信息服服務商的作用用。3.在法律上加加強電子商務務安全管理 通過健全法律制制度和完善法法律體系來保保證合法網(wǎng)上上交易的權益益，對破壞合合法網(wǎng)上交易易權益的行為為進行立法嚴嚴懲。 關于這這一點，我們們將在第七章章再作具體介介紹。桂林工學院南寧寧分院經(jīng)濟管理系教案案首頁授課章節(jié)4.3電子商務務的技術安全全4.4電子商務務的社會安全全因素4.5小結和習習題與思考授課日期2008年5月月26日授課班級06市場營銷（1、2、3）班教學目的通過本章學習，了解電子商務系統(tǒng)目前存在的安全

8、威脅，認清電子商務的安全性要求，掌握電子商務的安全體系的方法。教學重點4.3.3 常常用電子商務務安全技術和和手段教學難點1. 加密技術術教學提綱點名：重點點經(jīng)經(jīng)常不來上課課的 （5分鐘）4.3電子商務務的技術安全全 （教教師講課300分鐘）上網(wǎng)演示 （115分鐘）4.4電子商務務的社會安全全因素 （教師講講課30分鐘鐘）4.5小結和習習題與思考 （教師講課課20分鐘）時間分配課后小結推薦書目電子商務概論論方真、張張明明，大連連理工大學出出版社，20003.8。電子商務法律律規(guī)范梅紹紹祖，清華大大學出版社。網(wǎng)絡營銷曲曲學軍主編，大大連理工大學學出版社。網(wǎng)絡安全薛薛偉主編，東東北財經(jīng)大學學出版社

9、。電子商務與物物流梅紹祖祖，人民郵電電出版社。 4.3 電子子商務的技術術安全4.3.1 電電子商務技術術安全隱患 1. 系統(tǒng)闖入入是指未授權的人人利用操作系系統(tǒng)或者安全全管理的漏洞洞，通過一定定的手段闖入入到系統(tǒng)內(nèi)部部，獲取普通通用戶沒有的的權力，實現(xiàn)現(xiàn)對用戶信息息的篡改、竊竊取和非法使使用。早期的闖入者只只是做些修改改網(wǎng)頁之類近近似于惡作劇劇的破壞。 隨著電子商務的的發(fā)展，入侵侵者通過盜取取服務器上存存放有關產(chǎn)品品、客戶和交交易等信息，獲獲得巨大的經(jīng)經(jīng)濟利益已成成為其主要目目的。入侵者在闖入系系統(tǒng)的同時還還可能在系統(tǒng)統(tǒng)中埋下木馬馬、陷門等病病毒來破壞其其正常工作。 2. 服務拒絕絕攻擊 服

10、務拒絕攻擊（Denial of Service，DoS），簡單來說，是通過電子手段，以網(wǎng)站或者網(wǎng)絡癱瘓為目的的襲擊。由于電子商務對對網(wǎng)站的實時時性要求越來來越高，服務務拒絕攻擊對對電子商務的的威脅也就越越來越大。雖然這種攻擊不不能使攻擊者者直接獲得有有用的信息，但但是它可以大大大削弱被攻攻擊者在客戶戶心中的可信信度。我們常見的服務務拒絕攻擊有有：死亡之pping（ping of deeath）、UDP洪水（UDPP floood）、Landd攻擊、電子子郵件炸彈等等。 3. 身份仿冒冒 對用戶身份進行行仿冒，借此此來破壞交易易，損害被假假冒方的信譽譽或者盜取其其交易成果等等。我們在利用網(wǎng)絡絡進

11、行交易時時一定要進行行身份認證。 4. 計算機病病毒 它具有傳染性、破破壞性、隱蔽蔽性、潛伏性性、不可預見見性等特點。計算機病毒正在在從傳統(tǒng)的感感染單個文件件，單個系統(tǒng)統(tǒng)轉向網(wǎng)絡化化發(fā)展。對于利用計算機機及網(wǎng)絡進行行交易的電子子商務參與者者來說，計算算機病毒勢必必會成為他們們巨大的技術術隱患。 4.3.2 電電子商務系統(tǒng)統(tǒng)安全體系 電子商務安全分分為計算機網(wǎng)網(wǎng)絡安全和商商務交易安全全計算機網(wǎng)絡安全全：是指計算算機網(wǎng)絡設備備安全、計算算機網(wǎng)絡系統(tǒng)統(tǒng)安全、數(shù)據(jù)據(jù)庫安全，其其特征是針對對計算機網(wǎng)絡絡本身可能存存在的安全問問題實施網(wǎng)絡絡安全增強方方案，保證計計算機網(wǎng)絡自自身的安全。商務交易安全：是指在

12、計算算機網(wǎng)絡安全全的基礎上，如如何保證電子子商務過程的的順利進行，即即實現(xiàn)保密性性、完整性、不不可抵賴性等等要求。主要要技術有：加加密技術、認認證技術、安安全協(xié)議等。 （建立電子商務務安全體系也也應從這兩個個方面入手，其其結構如圖441所示 ）4.3.3 常常用電子商務務安全技術和和手段 1. 加密技術術 加密技術，就是是采用合適的的加密算法（實實際上是一種種數(shù)學方法）把把原始信息（稱稱為“明文”）轉換成一一些晦澀難懂懂的或者偏離離信息原意的的信息（稱為為“密文”），從而達達到保障信息息安全目的的的過程。加密系統(tǒng)包括信信息（明文和和密文）、密密鑰（加密密密鑰和解密密密鑰）、算法法（加密算法法和

13、解密算法法）三個組成成部分。例如：將英文字字母a、b、cc、d、e、ffx、y、zz分別對應變變換為c、dd、e、f、gg、hz、a、bb，即字母順順序保持不變變，但使之分分別與相差22個字母的字字母相對應。若若現(xiàn)在有明文文“helloo”，則按照該該加密算法和和密鑰，對應應密文為“jgnnqq”2. 認證技術術 身份認證身份認證是在交交易過程中判判明和確認貿(mào)貿(mào)易雙方真實實身份的。身份認證可以幫幫助商家確認認對方身份，進進而放心地開開展電子商務務。當交易雙方發(fā)生生糾紛時，身身份認證還可可以為仲裁提提供有利的證證據(jù)。 身份認證的常用用方法主要有有三種基本方方式 ： 用戶戶口令 用戶戶持有物 用戶

14、的某些些生物學特征征 信息認證它是用于驗證信信息的完整性性，即確認信信息在傳遞或或存儲過程中中沒有被篡改改過，進而保保證通信雙方方的不可抵賴賴性和信息的的完整性。常采取數(shù)字簽名名技術進行信信息的安全認認證。 數(shù)字簽名主主要是建立在在公開密鑰體體制和報文分解函函數(shù)(MDFF) 的基礎上。其其過程為： 報報文的發(fā)送方方利用報文分分解函數(shù)（目目前常見的是是單向Hassh函數(shù)）生生成一個1228位的數(shù)字字摘要； 發(fā)發(fā)送方用自己己的私人密鑰鑰對這個摘要要摘要進行加加密來形成發(fā)發(fā)送方的數(shù)字字簽名； 然然后，該數(shù)字字簽名將作為為附件和報文文一起發(fā)送給給接收方； 報文的接接收方首先從從接收到的原原始報文中計計

15、算出1288位的摘要； 接著用發(fā)發(fā)送方的公開開密鑰來對報報文附加的數(shù)數(shù)字簽名解密密； 最后判斷兩兩個數(shù)字摘要要是否相同。 如果相同同，那么接收收方就能確認認該數(shù)字簽名名是發(fā)送方的的，而且報文文在傳輸過程程中沒有被修修改或替換過過。 如果不同同，則表明該該信息可能在在傳輸過程中中被篡改。數(shù)字簽名技術可可以保證信息息傳送的完整整性和不可抵抵賴性。 當破壞者截截獲信息后，只只要他對報文文作一個字節(jié)節(jié)的改動，接接收方就會在在最后驗證數(shù)數(shù)字摘要時出出錯而發(fā)現(xiàn)這這次篡改；就就算破壞者改改動報文后計計算出新的摘摘要，但他不不知道發(fā)送方方的私鑰，無無法生成有效效的數(shù)字簽名名，還是無法法實現(xiàn)篡改。 如果發(fā)送送方

16、否認這一一次信息的傳傳輸，那么接接收方就可以以用收到報文文和數(shù)字簽名名來反駁。3. 安全協(xié)議議 安全套接層層協(xié)議 安全套接層(SSSL，Seecure Sockeets Laayer)協(xié)協(xié)議是對計算算機之間會話話加密的協(xié)議議，主要用于于Web瀏覽覽器與Webb服務器之間間的身份認證證和加密數(shù)據(jù)據(jù)傳輸，可以以對信用卡和和個人信息提提供較強的安安全保護。SSL協(xié)議是工工作在網(wǎng)絡的的傳輸層中，所所以它可以用用于加密任何何基于TCPPIP的應應用，如HTTTP、Teelnet、FFTP等。SSL協(xié)議包括括了兩個子協(xié)協(xié)議：SSLL握手協(xié)議(SSL hhandshhake pprotoccol)和SSSL

17、記錄協(xié)協(xié)議(SSLL recoord prrotocool)。 4. 反病毒技技術 病毒的檢測測 檢測計算機病毒毒，就是要到到病毒寄生場場所去檢查，發(fā)發(fā)現(xiàn)異常情況況，并進而驗驗明“正身”，確認計算算機病毒的存存在。對計算機病毒的的檢測分為對對內(nèi)存的檢測測和對磁盤的的檢測。 （病毒毒靜態(tài)時存儲儲于磁盤中，激激活時駐留在在內(nèi)存中）檢測的原理主要要包括比較法法、搜索法、計計算機病毒特特征字的識別別法、分析法法。 病毒的清除除 手工清除的方法法；先由人工分析病病毒傳染的方方法，然后再再加以程序化化，讓清毒程程序去完成清清病毒的工作作；在每個可執(zhí)行文文件中追加一一部分用于恢恢復的信息，當當被病毒感染染后

18、，這些信信息可以幫助助快速去除病病毒，恢復文文件的原狀態(tài)態(tài)；利用軟件自動分分析一個文件件的原始備份份和被病毒感感染后的拷貝貝，通過簡單單的人工指導導或根本不用用人工干預，該該軟件會自動動產(chǎn)生清除這這種病毒的源源程序，并可可自動產(chǎn)生可可執(zhí)行程序。 病毒的防御御 目前最常用的防防御技術就是是實時監(jiān)控技技術。對網(wǎng)絡病毒實時時監(jiān)控技術應應符合“最小占用”原則。 病毒的免疫疫 它是指通過給可可執(zhí)行程序增增加保護性外外殼的方法，在在一定程度上上能起保護作作用。但是，在增加保保護性外殼前前，若該文件件已感染病毒毒，作為免疫疫措施為該程程序增加的保保護性外殼就就會將程序連連同病毒一起起保護在里面面。待檢測時時

19、，因為有保保護程序外殼殼的“護駕”，而不能檢檢查出該病毒毒。病毒防治基于工作站站的防治技術術 軟件防治；在工作站上插防防病毒卡；在網(wǎng)絡接口卡上上安裝防病毒毒芯片?；诜掌髌鞯姆乐渭夹g術 基于網(wǎng)絡服務器器的實時掃描描的防護技術術主要提供包包括：實時在在線掃描、服服務器掃描、工工作站掃描、自自動報告及其其病毒存檔等等功能。也可利用在服務務器上的插防防毒卡。基于網(wǎng)絡操操作系統(tǒng)的防防治技術 網(wǎng)絡操作系統(tǒng)本本身至少應提提供四級安全全保護措施：注冊安全、權權限安全、屬屬性安全和網(wǎng)網(wǎng)絡操作系統(tǒng)統(tǒng)自身實體安安全。5. 防火墻技技術 防火墻(Firrewalll)是指一個個由軟件或和和硬件設備組組合而成，處處于企業(yè)或網(wǎng)網(wǎng)絡群體計算算機與外界通通道之間，限限制外界用戶戶對內(nèi)部網(wǎng)絡絡訪問及管理理內(nèi)部用戶訪訪問外界網(wǎng)絡絡的權限。 防火墻包含著一一對矛盾（或或稱機制）：一方面它限限制數(shù)據(jù)流通通，另一方面面它又允許數(shù)數(shù)據(jù)流通。 主要包括兩種防防火墻： 數(shù)據(jù)包過濾濾型(Paccket FFilt