電子商務(wù)第七版5

Copyright?2011PearsonEducation,Ltd.電子商務(wù)

肯尼思.勞東卡羅爾.圭爾喬.特拉弗商務(wù).技術(shù).社會第七版E-commerce:business.technology.society.Copyright?2011PearsonEducation,Ltd.Copyright??2011PearsonEducation,Ltd..Copyright??2010PearsonEducation,Inc..Slide5-2第四章網(wǎng)絡(luò)安全全與支付付系統(tǒng)Copyright??2011PearsonEducation,ltd..Copyright??2011PearsonEducation,Ltd..網(wǎng)絡(luò)戰(zhàn):虛擬世界界中的2.0課堂討論論黑客攻擊擊和網(wǎng)絡(luò)絡(luò)戰(zhàn)之間的的區(qū)別是是什么？？在過去的的十年中中，為什么網(wǎng)網(wǎng)絡(luò)戰(zhàn)越來越越具有潛在的毀滅性？全球有多多少比例例的電腦會被隱形惡意意軟件程程序入侵?政治方案案能夠有有效解決MAD2.0嗎？Slide5-3Copyright??2011PearsonEducation,Ltd..電子商務(wù)務(wù)安全環(huán)環(huán)境網(wǎng)絡(luò)犯罪罪的涉及的領(lǐng)領(lǐng)域和造成的損失還難以估計計問題報告告2009計算機安安全協(xié)會會的年度度調(diào)查顯顯示:49%的被調(diào)查查組織發(fā)發(fā)生過計計算機安安全事件件愿意公布布的公司司中,平均每年年損失$288,000地下經(jīng)濟濟市場:通過“地下經(jīng)濟濟服務(wù)者者”將信息賣賣給他人人Slide5-4Copyright??2011PearsonEducation,Ltd..網(wǎng)絡(luò)犯罪罪類型Slide5-5Copyright??2011PearsonEducation,Ltd..什么是良良好的電電子商務(wù)務(wù)安全?盡可能實實現(xiàn)最高高級別的的安全新技術(shù)的的應(yīng)用組織程序序和策略略行業(yè)標準準和政府府法令其他因素素貨幣的時時間價值值安全成本本vs.潛在損失失安全鏈斷斷裂的地地方往往往在最薄薄弱的環(huán)環(huán)節(jié)Slide5-6Copyright??2011PearsonEducation,Ltd..電子商務(wù)務(wù)安全環(huán)環(huán)境Figure4.2Slide5-7Copyright??2011PearsonEducation,Ltd..Table4.2Slide5-8Copyright??2011PearsonEducation,Ltd..在安全及及其他價價值間的的取向便于使用用:安全措施施越多，，就越難難使用，，而且速速度也慢慢公共安全全與犯罪罪分子對對安全的的利用犯罪分子子利用技技術(shù)犯罪罪或威脅脅公共安安全Slide5-9Copyright??2011PearsonEducation,Ltd..電子商務(wù)務(wù)環(huán)境中中的安全全威脅三個關(guān)鍵鍵的薄弱弱點:互聯(lián)網(wǎng)通通信信道道服務(wù)器端端客戶端Slide5-10Copyright??2011PearsonEducation,Ltd..典型的電電子商務(wù)務(wù)交易Figure4.3Slide5-11Copyright??2011PearsonEducation,Ltd..電子商務(wù)務(wù)環(huán)境中中的薄弱弱環(huán)節(jié)Figure4.4Slide5-12Copyright??2011PearsonEducation,Ltd..電子商務(wù)務(wù)環(huán)境中中的安全全威脅惡意代碼碼(maliciouscode))病毒virus蠕蟲worm特洛伊木木馬Trojanhorse機器人程程序bot不必要程程序瀏覽器寄寄生蟲browserparasites廣告軟件件adsoftware間諜軟件件spywareSlide5-13Copyright??2011PearsonEducation,Ltd..常見的安安全威脅脅(cont.))網(wǎng)絡(luò)釣魚魚第三方以以任意欺欺騙性的的網(wǎng)絡(luò)行行為獲得得用戶的的保密信信息社會工程程技術(shù),電子郵件件詐騙,偽裝成合合法軟件件點擊鏈接接后，就就會進入入詐騙者者控制的的網(wǎng)站，，誘使受受騙人泄泄露賬號號密碼等等個人信信息黑客行為為與網(wǎng)絡(luò)絡(luò)破壞行行為黑客vs.駭客網(wǎng)絡(luò)破壞壞行為:故意破壞壞網(wǎng)站,使企業(yè)名名譽受損損,甚至摧毀毀整個站站點黑客類型型:白帽黑客客,黑帽黑客客,灰帽黑客客lSlide5-14Copyright??2011PearsonEducation,Ltd..常見的安安全威脅脅(cont.))信用卡詐詐騙黑客攻擊擊目標商商戶服務(wù)務(wù)器，盜盜刷信用用卡進行行詐騙電子欺騙騙網(wǎng)址嫁接接垃圾網(wǎng)站站拒絕服務(wù)務(wù)攻擊黑客向網(wǎng)網(wǎng)站大量量發(fā)送無無用的通通信來淹淹沒網(wǎng)絡(luò)絡(luò)并使網(wǎng)網(wǎng)絡(luò)癱瘓瘓分布式拒拒絕服務(wù)務(wù)攻擊Slide5-15Copyright??2011PearsonEducation,Ltd..常見的安安全威脅脅(cont.))網(wǎng)絡(luò)竊聽聽一種可以以監(jiān)視通通過網(wǎng)絡(luò)絡(luò)傳遞的的信息的的竊聽程程序內(nèi)部攻擊擊最大的財財務(wù)威脅脅設(shè)計不當(dāng)當(dāng)?shù)姆?wù)務(wù)器和客客戶端軟軟件移動平臺臺的安全全和任何互互聯(lián)網(wǎng)所所面臨的的風(fēng)險一一樣惡意軟件件,僵尸網(wǎng)絡(luò)絡(luò),短信詐騙騙Slide5-16Copyright??2011PearsonEducation,Ltd..技術(shù)解決決方案保護互聯(lián)聯(lián)網(wǎng)的通通信(加密)保證信息息傳送渠渠道(SSL,S-HTTP,,VPNs))保護網(wǎng)絡(luò)絡(luò)工作(防火墻)保護服務(wù)務(wù)機和客客戶機Slide5-17Copyright??2011PearsonEducation,Ltd..實現(xiàn)網(wǎng)絡(luò)絡(luò)安全的的可用工工具Figure4.7Slide5-18Copyright??2011PearsonEducation,Ltd..加密（Encryption）加密將明文轉(zhuǎn)轉(zhuǎn)化成除除發(fā)送方方和接收收方以外外任何人人都無法法讀取的的密文的的過程保證存儲儲信息和和傳送信信息的安安全加密可以以為電子子商務(wù)6個關(guān)鍵方方面提供4個方面的的保障:信息完整整性不可否認認性真實性機密性Slide5-19Copyright??2011PearsonEducation,Ltd..對稱秘鑰鑰加密（（SymmetrickeyEncryption）發(fā)送方和和接收方方使用同同一把密密鑰來加加密和解解密信息息每次信息息傳輸都都有不同同的密鑰鑰加密系統(tǒng)統(tǒng)的安全全保護強強度用二進制制密鑰的的長度來來加密信信息高級解密密標準(AES)最廣泛的的對稱加加密算法法提供128位,192位,and256位的加密密密鑰其他對稱稱加密系系統(tǒng)會使使用高達達2048位的密鑰鑰Slide5-20Copyright??2011PearsonEducation,Ltd..公鑰加密密（PublicKeyEncryption）兩個算術(shù)術(shù)上相關(guān)關(guān)的數(shù)字字密鑰公開密鑰鑰(廣泛發(fā)布布)私有密鑰鑰(擁有者保保存)兩種密鑰鑰都可以以用來加加密和解解密信息息一旦某個個密鑰被被用來加加密信息息，就不不能再用用它解密密信息發(fā)送方用用接收方方的公鑰鑰來加密密信息，，接收方方用他的的私鑰來來解密Slide5-21Copyright??2011PearsonEducation,Ltd..公鑰加密密體系–一個簡單單的例子子Figure4.8Slide5-22Copyright??2011PearsonEducation,Ltd..使用數(shù)字字簽名和和散列摘摘要的公公鑰加密密散列函數(shù)數(shù)（HashFunction）:一種可以以產(chǎn)生一一個稱為為散列或或者信息息摘要的的固定長長度數(shù)字字的算法法確保發(fā)送送到接受受者的信信息在傳傳輸過程程中沒有有被篡改改發(fā)送方用用接收方方的公鑰鑰對散列列結(jié)果和和原始信信息加密密發(fā)送方用用自己的的私鑰將將整個密密文塊在在加密一一次–創(chuàng)建數(shù)字字簽名–保證真實實性和不不可否認認性Slide5-23Copyright??2011PearsonEducation,Ltd..具有數(shù)字字簽名的的公鑰加加密體系系Figure4.9Slide5-24Copyright??2011PearsonEducation,Ltd..數(shù)字信封封加密系統(tǒng)統(tǒng)的缺點點:公鑰加密密計算速度度很慢,傳輸速度度顯著減減慢,處理時間間的顯著著增加對稱密鑰鑰加密傳輸線難難以保證證用對稱密密鑰加密密來加密密大型文文件用公鑰加加密方法法來加密密和傳送送這把對對稱密鑰鑰Slide5-25Copyright??2011PearsonEducation,Ltd..公鑰加密密體系：：建立數(shù)數(shù)字信封封Figure4.10Slide5-26Copyright??2011PearsonEducation,Ltd..數(shù)字證書書和公開開密鑰基基礎(chǔ)設(shè)施施數(shù)字證書書包括:主題或公公司的名名稱主題的公公鑰數(shù)字證書書的額序序列號截止日期期、發(fā)放放日期認證中心心得數(shù)字字簽名公開密鑰鑰基礎(chǔ)設(shè)設(shè)施(PKI):認證中心心和數(shù)字字證書規(guī)規(guī)程良好隱私私（PGP）Slide5-27Copyright??2011PearsonEducation,Ltd..數(shù)字證書書和認證證中心Figure4.11Slide5-28Copyright??2011PearsonEducation,Ltd..加密解決決方案的的局限性性大部分電電子商務(wù)務(wù)網(wǎng)站并并沒有用用加密的的形式來來存儲消消費者的的隱私PKI無法保護護內(nèi)部人人員及能能訪問企企業(yè)系統(tǒng)統(tǒng)的人的的信息個人私鑰鑰保護也也可能會會丟失無法保證證商家用用來做驗驗證的電電腦是安安全的CA可能不是是其認證證的企業(yè)業(yè)或者個個人所認認定的權(quán)權(quán)威機構(gòu)構(gòu)Slide5-29Copyright??2011PearsonEducation,Ltd..社會透視視“網(wǎng)絡(luò)狗”和匿名性性課堂討論論互聯(lián)網(wǎng)無無期限的的匿名性性有哪些些好處？？身份認證證系統(tǒng)的的缺點是是什么？？身份認證證系統(tǒng)除除了安全全還有其其他優(yōu)點點嗎？身份認證證系統(tǒng)應(yīng)應(yīng)該由誰誰進行管管理?Slide5-30Copyright??2011PearsonEducation,Ltd..通信信道道的安全全安全套接接層(SSL):一種客戶戶機/服務(wù)器之之間的對對話，其其中所請請求文檔檔的URL，以及所所交換的的內(nèi)容、、表單的的內(nèi)容和和cookies都進行了了加密安全超文文本傳輸輸協(xié)議:一種安全全的以信信息為導(dǎo)導(dǎo)向的通通信協(xié)議議，與HTTP聯(lián)合使用用虛擬專用用網(wǎng)(VPN):一種使得得某個本本地網(wǎng)絡(luò)絡(luò)可以利利用互聯(lián)聯(lián)網(wǎng)作為為管道來來和另一一個網(wǎng)絡(luò)絡(luò)連接的的加密機機制(PPTP)Slide5-31Copyright??2011PearsonEducation,Ltd..利用SSL進行安全全協(xié)商會會話Figure4.12Slide5-32Copyright??2011PearsonEducation,Ltd..網(wǎng)絡(luò)保護護防火墻（（Firewall）：硬件和軟軟件用安全政政策來過過濾通信信數(shù)據(jù)包包兩種主要要方式:包過濾應(yīng)用網(wǎng)關(guān)關(guān)代理服務(wù)務(wù)器(proxies)一種對于于來自互互聯(lián)網(wǎng)或或發(fā)送到到互聯(lián)網(wǎng)網(wǎng)上的通通信信息息進行處處理的軟軟件服務(wù)務(wù)器Slide5-33Copyright??2011PearsonEducation,Ltd..防火墻和和代理服服務(wù)器Figure4.13Slide5-34Copyright??2011PearsonEducation,Ltd..保護服務(wù)務(wù)器和客客戶機提升操作作系統(tǒng)安安全升級,修補防病毒軟軟件:抵御系統(tǒng)統(tǒng)完整性性侵害最最容易也也最便宜宜的方法法需要每日日更新Slide5-35Copyright??2011PearsonEducation,Ltd..安全計劃劃：管理理政策進行風(fēng)險險評估制定安全全策略制定實施施計劃安全機構(gòu)構(gòu)訪問控制制驗證機制制,生物物特征識識別授權(quán)策略略,授權(quán)管理理系統(tǒng)進行安全全審計Slide5-36Copyright??2011PearsonEducation,Ltd..管理政策策、企業(yè)業(yè)流程和和法律美國政府府和企業(yè)業(yè)花費12%的信息技技術(shù)預(yù)算算用于硬硬件、軟軟件和服服務(wù)器安安全，在在2009年共計為為1200億美元風(fēng)險管理理包括科技有效管理理策略法律和公公共政策策Slide5-37Copyright??2011PearsonEducation,Ltd..制定電子子商務(wù)安安全計劃劃Slide5-38Figure4.14Copyright??2011PearsonEducation,Ltd..技術(shù)透視視你的智能能手機安安全嗎?課堂討論論智能手機機主要面臨哪種威脅?這種類型型的設(shè)備備有哪些些特定的的缺點嗎嗎？NicolasSeriot’s的Spyphone說明了什什么?與傳統(tǒng)個個人電腦腦軟件程程序相比比，app受到到的威脅是更大還還是更小小？Slide5-39Copyright??2011PearsonEducation,Ltd..法律及公公共政策策的作用用新的法律律為地方方和國家家權(quán)力機機構(gòu)識別別、跟蹤蹤并起訴訴網(wǎng)絡(luò)犯犯罪分子子提供了了新的工工具和機機制:國際信息息基礎(chǔ)設(shè)設(shè)施保護護法美國愛國國者法案案國土安全全法私人機構(gòu)構(gòu)和公司司合作做做出的努努力美國計算算機應(yīng)急急反應(yīng)小小組協(xié)調(diào)調(diào)中心美國計算算機應(yīng)急急反應(yīng)小小組（US-CERT）政府對于于加密軟軟件的政政策和控控制OECD條約Slide5-40Copyright??2011PearsonEducation,Ltd..支付系統(tǒng)統(tǒng)類型現(xiàn)金從交易數(shù)數(shù)量角度度來說是是最常見見的支付付形式不需要任任何機構(gòu)構(gòu)作為中中介就可可以立即即轉(zhuǎn)化為為其他價價值形式式支票轉(zhuǎn)賬賬從交易數(shù)數(shù)量角度度來說是是第二種種常見的的支付形形式信用卡信用卡組組織發(fā)卡銀行行處理中心心Slide5-41Copyright??2011PearsonEducation,Ltd..支付系統(tǒng)統(tǒng)類型儲值卡通過存入入資金建建立的賬賬戶，所所需資金金也從此此賬戶中中提取或或支付，，例如借借記卡、、禮券以以及智能能卡對等網(wǎng)絡(luò)絡(luò)支付系系統(tǒng)余額累計計可以累積積支出費費用讓消消費者定定期付款款的賬戶戶e.g..公共事業(yè)業(yè)費、電電話費以以及美國國運通卡卡賬戶Slide5-42Copyright??2011PearsonEducation,Ltd..Table4.6Slide5-43Copyright??2011PearsonEducation,Ltd..電子商務(wù)務(wù)支付系系統(tǒng)信用卡占美國網(wǎng)網(wǎng)絡(luò)交易易的55%%借記卡占美國網(wǎng)網(wǎng)絡(luò)交易易的28%%網(wǎng)上信用卡支支付的局局限性安全成本社會公平平Slide5-44Copyright??2011PearsonEducation,Ltd..網(wǎng)上信用用卡交易易的工作作原理Figure4.16Slide5-45Copyright??2011PearsonEducation,Ltd..電子商務(wù)務(wù)支付系系統(tǒng)數(shù)字錢包包模擬人們帶在在身邊的的錢包功能，存儲和和轉(zhuǎn)移價值，并并確保從從消費者者到商家家支付過程程的安全早期努力力推廣失失敗最新開發(fā)發(fā)：GoogleCheckout數(shù)字現(xiàn)金金在銀行存存入資金金，并發(fā)發(fā)行數(shù)字字貨幣大多數(shù)早早期的數(shù)數(shù)字現(xiàn)金金已經(jīng)消消失，協(xié)協(xié)議和時時間太復(fù)復(fù)雜Slide5-46Copyright??2011PearsonEd