電子商務與信息安全public

電子商務與信息安全2023/2/4報告人：劉政連Outline開場故事一、電子商務概述二、電子商務安全問題三、電子商務安全技術四、網(wǎng)上商城及案例分析五、電子商務付費系統(tǒng)六、電子商務安全法律對策七、參考文獻八、Q&ANEXON游戲:電子商務走入線上社群倘若你熱衷于線上游戲，相信你對于楓之谷(MapleStory)肯定不陌生。楓之谷是一套線上角色扮演游戲，玩家們可以扮演戰(zhàn)士、魔法師或竊賊等角色，一同對抗敵對的怪物陣營。玩家可以免費玩這套游戲，但如果要讓你的線上英雄披上一套新的戰(zhàn)袍、換一頭前衛(wèi)的發(fā)型或是飼養(yǎng)一只寵物，才必須為這些額外的道具支付相關費用。如果你還想為你的楓之谷角色精心舉辦一場在拉斯維加斯的世紀婚禮，并邀請其他玩家共襄盛舉的話，那將會花上你約20美元到29美元的籌辦費用。楓之谷是Nexon

HoIdingsInc﹒最新推出的一套線上遊戲，這是一家在多人線上角色扮演遊戲產業(yè)中世界級的領導廠商。Nexon的總部位於南韓，在中國、日本與美國等地皆設有分公司。Nexon首創(chuàng)「道具」(item)(微交易)的經(jīng)營模式，讓玩家可以免費體驗完整版的遊戲，之後可選擇足否要付費購買加強版的遊戲(也就是道具)。

nexon販售各項強化遊戲體驗的虛擬「道具」，向玩家收取的費用從30美分到30美元不等。楓之谷在世界各地擁有8,500萬名玩家，其中有590萬人是註冊在美國。2007年時，全世界的玩家花在楓之谷角色上的金額，約有130萬美元用在購買服裝上，另外還有100萬美元是花在角色的髮型上。

開場故事Nexon如此受歡迎的原因之一，在于它能提供一個與其他使用者社交互動的平臺。據(jù)Nexon美國分部行銷副總MinKim表示:「我們販售的是社交體驗，而不是套裝產品?！惯^去十年，大多數(shù)的游戲都是單機版游戲。隨著網(wǎng)際網(wǎng)路與個人電腦的發(fā)展愈來愈能處理大量體驗多媒體的能力時，單機版游戲將舞臺讓給了社群游戲。無論是透過與即時通訊、網(wǎng)路電話或是文字訊息的整合，玩家有許多方式可以和朋友們溝通互動。影音游戲現(xiàn)在吸引了一個全新的消費者社群--那些想要擁有社交體驗的人們。其他Nexon熱門的游戲包括糖果大??戰(zhàn)(SugarRush)、瑪奇(Mabinogi)與跑跑卡丁車(KartRider)。跑跑卡丁車是一套動作版的線上賽車游戲，玩家可以依喜好改造跑車并與朋友在線上聊天。糖果大戰(zhàn)可以讓玩家在互相廝殺的同時邊收集虛擬錢幣。受到凱爾特人(Celtic)神話的啟發(fā)，瑪奇則可讓玩家體驗各種任務，如農耕、音樂寫作、結婚甚至是參與戰(zhàn)斗等，這套游戲透過更新檔(也可稱為「世代」或「章節(jié)」)的發(fā)表持續(xù)擴充，推出新的關卡讓玩家探索，冒險故事得以不斷延續(xù)。所有的Nexon游戲都有推出官方論壇網(wǎng)站，邀請玩家來和朋友交流，分享各項密技，或只是在網(wǎng)站上「逛逛」。開場故事開場故事NEXON游戲:電子商務走入線上社群開場故事討論Nexon的線上游戲給了電子商務新的風貌范例。在網(wǎng)際網(wǎng)路上販售實體商品仍是相當重要，但服務與社交體驗似乎更令人興奮與有趣，目前正集中在服務與社交經(jīng)驗--社交網(wǎng)絡、相片分享、分享音樂、分享創(chuàng)意以及多人線上游戲，讓使用者可以和他人溝通與互動。與其他使用者和其他網(wǎng)站連結的能力，已在連結和分享方面帶來無限的新商機。(一).電子商務的定義

電子商務（E-Commerce）是指在互聯(lián)網(wǎng)（Internet）、企業(yè)內部網(wǎng)（Intranet）和增值網(wǎng)（VAN，ValueAddedNetwork）上以電子交易方式進行交易活動和相關服務活動，是傳統(tǒng)商業(yè)活動各環(huán)節(jié)的電子化、網(wǎng)絡化。電子商務包括電子貨幣交換、供應鏈管理、電子交易市場、網(wǎng)絡營銷、在線事務處理、電子數(shù)據(jù)交換（EDI）、存貨管理和自動數(shù)據(jù)收集系統(tǒng)。在此過程中，利用到的信息技術包括：互聯(lián)網(wǎng)、外聯(lián)網(wǎng)、電子郵件、數(shù)據(jù)庫、電子目錄和移動電話。

狹義的電子商務—是指利用Internet從事商務或活動。而廣義的電子商務是使用各種電子工具從事商務或活動。這些工具包括從初級的電報、電話、廣播、電視、傳真到計算機、計算機網(wǎng)絡，到NII（國家信息基礎結構－信息高速公路）、GII（全球信息基礎結構）和Internet等現(xiàn)代系統(tǒng)。而商務活動是從泛商品（實物與非實物，商品與非商品化的生產要素等等）的需求活動到泛商品的合理、合法的消費除去典型的生產過程后的所有活動。一、電子商務概述一、電子商務概述(二).電子商務的分類A.以商務類型分類

企業(yè)間的電子商務B2B企業(yè)與消費者之間的電子商務B2C政府與消費者之間的電子商務G2C信息溝通個人財務管理購買商品發(fā)標、投標、評標經(jīng)濟政策發(fā)布監(jiān)管、統(tǒng)計福利與稅收供應商管理庫存管理渠道管理配送管理付款管理政府與企業(yè)之間的電子商務G2B電子商務的分類一、電子商務概述B.以運營模式分類

一、電子商務概述C.以企業(yè)環(huán)境分類

一、電子商務概述(三)電子商務與互聯(lián)網(wǎng)為何電子商務與眾不同一、電子商務概述為何電子商務與眾不同(續(xù))一、電子商務概述(四)電子商務的交易層次-以物流的觀點來看：1.交易的「商流」2.配送的「物流」3.轉賬支付的「金流」4.資料加值及傳遞的「信息流」一、電子商務概述(五)電子商務結合資訊與通訊，以從事各項商業(yè)活動，造成商業(yè)結構產生下列的變化：1.行銷活動的多元化

2.商業(yè)競爭型態(tài)的轉變

3.商業(yè)經(jīng)營全球化趨勢

4.個人化的行銷方式

5.低成本的商業(yè)經(jīng)營方式一、電子商務概述(六)電子商務的影響一、電子商務概述(七)流通業(yè)者在電子商務環(huán)境的功能一、電子商務概述典型的配銷通路有好幾層的中介，每一層都會增加產品的最終成本，如同毛衣的例子一樣。除去這些層級將會減低對消費者的最終成本。一、電子商務概述典一、電子商務概述(八)互聯(lián)網(wǎng)的經(jīng)營模式一、電子商務概述(八)互聯(lián)網(wǎng)的經(jīng)營模式（續(xù)）二、電子商務安全問題(一).電子商務安全重要性電子商務信息（交易信息、支付信息、談判信息等的重要性;網(wǎng)絡技術發(fā)展的不完善性,易造成信息的丟失、誤操作、傳輸錯誤等。(二).典型事例1999年4月19日鄭州交通銀行事件；1999年4月26日CIH病毒事件；1998年10月27日“中國人權研究會”網(wǎng)站遭黑時間；INTEL公司CPU序列號事件。二、電子商務安全問題(三)電子商務安全的主要內容硬件安全：主要指服務器、網(wǎng)絡設備、線路的運行安全，防盜、設備性能等。軟件安全：保護所有數(shù)據(jù)不被盜竊、篡改、破壞等。運行安全：保證系統(tǒng)能正常、連續(xù)運行。防自然災害、戰(zhàn)爭等。電子商務安全立法。增強對企業(yè)和人員的行約束。(四)電子商務系統(tǒng)安全控制要求：有效性：對安全產生的威脅加以控制，保證交易資料的有效性。保密性：通過一定措施保證交易資料的保密。完整性：確保信息傳輸?shù)耐暾?。交易身份的確定性。不可否認性。不可修改性。合法性。二、電子商務安全問題(五)危害電子商務安全的主要因素：網(wǎng)絡硬件：通信監(jiān)視；非法終端注入非法信息線路干擾運行中斷服務干擾病毒入侵網(wǎng)絡軟件：操作系統(tǒng)漏洞網(wǎng)絡協(xié)議隱患網(wǎng)絡其他軟件WEB站數(shù)據(jù)庫等人員：保密意識業(yè)務不熟制度不健全素質差非法操作交易風險：信用風險交易抵賴法律風險：法律滯后環(huán)境風險：天災人禍二、電子商務安全問題(六)安全術語漏洞:軟硬件設計缺陷威脅：身份欺騙：非法獲得用戶及密碼等篡改數(shù)據(jù)：惡意修改數(shù)據(jù)信息暴露：將信息暴露給無權訪問人拒絕服務：阻止合法用戶使用威脅代理:通過漏洞攻擊系統(tǒng)的人或程序。病毒、蠕蟲、木馬、郵件爆炸、攻擊者。攻擊:企圖利用漏洞達到惡意目的的威脅代理。對策:減少風險的軟件配置、硬件或程序。二、電子商務安全問題（七）電子商務安全交易體系技術措施防火墻、網(wǎng)絡防毒、加密、身份認證、授權等管理措施：交易安全制度等法律政策與法律保障：電子商務立法。（八）電子商務交易安全動態(tài)控制動態(tài)性：“保護-反饋-修正-再保護”三、電子商務安全技術（一）電子商務安全基本手段設置虛擬專用網(wǎng)：基于Internet電子交易的專用網(wǎng)絡。保護傳輸線路安全。屏蔽技術、防雷技術、監(jiān)控、定期檢查等。采用端口保護技術。使用安全訪問設備，如智能卡等。路由選擇機制，控制傳輸路徑。設置防火墻。信息加密機制。訪問控制。鑒別機制。數(shù)據(jù)完整性機制。審計追蹤機制。入侵檢測機制。三、電子商務安全技術（二）防火墻與訪問控制1.防火墻概念：指在內聯(lián)網(wǎng)與互聯(lián)網(wǎng)之間構造的一個保護層，主要目的是強制信息必須經(jīng)過保護層，以實現(xiàn)信息的檢測、控制的目的。它由一個或一組網(wǎng)絡設備和部件匯集。三、電子商務安全技術（二）防火墻與訪問控制(續(xù))2.防火墻的功能信息過濾管理行為封堵禁止業(yè)務記錄通過的信息和行為對網(wǎng)絡攻擊進行檢測與報警3.防火墻種類(1)包過濾防火墻一般在路由器上實現(xiàn);通常只對源和目的IP地址及端口進行檢查.(2)代理服務型防火墻(應用層網(wǎng)關)使用代理技術;具有隱藏內部網(wǎng)絡結構作用。(3)復合型防火墻既有包過濾功能，又具有應用層代理等功能。三、電子商務安全技術（三）物理隔離技術1.物理隔離卡(1)單硬盤物理隔離卡單硬盤分兩區(qū)、雙網(wǎng)卡、內外雙系統(tǒng)。(2)雙硬盤物理隔離卡內外系統(tǒng)各用一硬盤、一網(wǎng)卡；2.物理隔離網(wǎng)閘由物理隔離網(wǎng)絡電腦、物理隔離系統(tǒng)交換機組成三、電子商務安全技術（四）入侵檢測技術IDS1.主要作用：在不影響網(wǎng)絡性能的基礎上，對網(wǎng)絡進行檢測，從而在系統(tǒng)受到內部攻擊、外部攻擊及誤操作時提供實時保護。2.主要任務監(jiān)視、分析系統(tǒng)用戶及系統(tǒng)活動；對系統(tǒng)構造及弱點進行審計；識別攻擊活動模式并告警；異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。3.主要分類（1）基于主機的入侵檢測。僅檢測分析1臺主機中的數(shù)據(jù)與行為。（2）基于網(wǎng)絡的入侵檢測。從網(wǎng)絡上采集數(shù)據(jù)進行分析和檢測。三、電子商務安全技術（五）安全掃描技術1.概念：主要是實現(xiàn)對主機或者網(wǎng)絡的掃描，使網(wǎng)管員了解網(wǎng)絡安全配置和運行的應用服務，技及時發(fā)現(xiàn)安全漏洞，客觀評價網(wǎng)絡風險等級。2.分類：主機安全掃描、網(wǎng)絡安全掃描。三、電子商務安全技術（六）加密與解密技術1.基本概念（1）加密：將數(shù)據(jù)進行編碼，使它成為按常規(guī)不可理解的形式（密文）的方法。（2）解密：將密文還原為原來的可理解的形式（明文）的方式。（3）加密算法：既將明文加密成密文的具體實現(xiàn)方法，通常為一加密程序。注：（1）一明文經(jīng)過不同的算法或密鑰后形成了不同的密文。 （2）數(shù)據(jù)加密技術的關鍵是加密算法和密鑰。三、電子商務安全技術（六）加密與解密技術(續(xù))2.常用加密技術(1)替換加密：使用對照表將明文中的字符替換成對照表中的字符。(2)置換加密：調整字母排列順序實現(xiàn)加密的方法.(3)對稱加密:加密和解密使用同一密鑰.包括對稱密碼算法、對稱密鑰兩要素。優(yōu)點：加密速度快，得到密文緊湊，大小幾乎與明文相等。缺點：密鑰與密文同傳，易被截獲，安全性差，且只能使用一次。三、電子商務安全技術三、電子商務安全技術（六）加密與解密技術(續(xù))(4)非對稱加密技術(公開密碼體制):指加密和解密的密鑰不同，且不能由一個密鑰導出另一個密鑰。 非對稱加密技術特點：公鑰公開，可以適應網(wǎng)絡開放性要求；密鑰的分配和管理比較容易。可以實現(xiàn)數(shù)字簽名和數(shù)據(jù)鑒別。運行效率比較低，因此用對稱加密加密信息，用非對稱加密傳遞會話密鑰。三、電子商務安全技術三、電子商務安全技術(七)數(shù)字簽名技術1.主要目的：防止篡改，確定發(fā)信人身份。2.基本原理：三、電子商務安全技術(七)數(shù)字簽名技術(續(xù))3.數(shù)字簽名原理：發(fā)送方首先用哈希函數(shù)將需要傳送的消息轉換成報文摘要。發(fā)送方采用自己的私有密鑰對報文摘要進行加密，形成數(shù)字簽字。發(fā)送方把加密后的數(shù)字簽字附加在要發(fā)送的報文后面，傳遞給接收方。接收方使用發(fā)送方的公有密鑰對數(shù)字簽字進行解密，得到發(fā)送方形成的報文摘要。接收方用哈希函數(shù)將接收到的報文轉換成報文摘要，與發(fā)送方形成的報文摘要相比較，若相同，說明文件在傳輸過程中沒有被破壞。

三、電子商務安全技術(七)數(shù)字簽名技術(續(xù))4.數(shù)字簽名功能：接受人可確定發(fā)送人的真實身份；發(fā)送者事后不能否認發(fā)送過該報文；保證報文準確性和完整性。5.數(shù)字時間戳：數(shù)字時間戳服務（DTS)是網(wǎng)上電子商務安全服務項目之一，它能提供電子文件的日期和時間信息的安全保護。時間戳是一個經(jīng)加密后形成的憑證文檔，它包括需加時間戳的文件的摘要、DTS收到文件的日期和時間、DTS的數(shù)字簽字三個部分。

6.數(shù)字信封：對稱加密信息，對稱密鑰用非對稱密鑰加密后形成信封，再傳給接收方。三、電子商務安全技術（八）認證技術1.客戶端認證：基于客戶端IP地址的認證機制。主要包括身份認證、通過認證機構進行的信息認證。前者鑒別用戶身份，后者保證雙方不可抵賴性和信息完整性。2.身份認證：是判明和確認交易雙方真實身份的必要環(huán)節(jié)。主要方式包括：用戶所知的某個秘密信息（用戶口令）用戶持有的某個秘密信息（硬件、隨身攜帶）用戶具有的某些生物學特征（指紋等）三、電子商務安全技術（八）認證技術(續(xù))3.數(shù)字證書：由可信任、公正的權威機構CA頒發(fā)。是網(wǎng)上交易雙方真實身份證明的依據(jù)。(1)分類：個人數(shù)字證書單位數(shù)字證書單位員工數(shù)字證書服務器證書等(2)證書的作用：保證信息除發(fā)送方和接受方外不被其他人竊取；保證信息在傳輸過程中不被篡改；接收方能夠通過數(shù)字證書來確認發(fā)送方的身份；發(fā)送方對于自己發(fā)送的信息不能抵賴。三、電子商務安全技術（八）認證技術(續(xù))(3)數(shù)字證書的組成：一個標準的X.509數(shù)字證書包含以下一些內容：

證書的版本信息；

證書的序列號，每個證書都有一個唯一的證書序列號；

證書所使用的簽名算法；

證書的發(fā)行機構名稱（命名規(guī)則一般采用X.500格式）及其用私鑰的簽名；

證書的有效期；

證書使用者的名稱及其公鑰的信息。(4)證書的獲得：在網(wǎng)上填寫數(shù)字證書申請資料認證中心對申請人的身份進行審核后制作證書將證書發(fā)送給申請人或者是申請人在網(wǎng)上下載自己的證書。(5)數(shù)字證書用途：發(fā)送安全電子郵件、訪問安全站點、網(wǎng)上招標投標、網(wǎng)上簽約、網(wǎng)上訂購、安全網(wǎng)上公文傳送、網(wǎng)上繳費、網(wǎng)上繳稅、網(wǎng)上炒股、網(wǎng)上購物和網(wǎng)上報關等。

三、電子商務安全技術（八）認證技術(續(xù))4.認證機構（CA）認證：認證機構主要服務：制作、簽發(fā)、管理電子簽名認證證書。確認簽發(fā)的電子簽名認證證書的真實性。提供電子簽名認證證書目錄信息查詢服務。提供電子簽名認證證書狀態(tài)信息查詢服務。

（八）認證技術(續(xù))認證機構層次結構：一級為根CA，負責總政策二級為政策CA（品牌），負責制定具體認證策略三級為操作CA（區(qū)域），負責證書簽發(fā)、管理。三、電子商務安全技術（八）認證技術(續(xù))5.帶有數(shù)字簽名和數(shù)字證書的加密系統(tǒng)安全電子商務使用的文件傳輸系統(tǒng)大都帶有數(shù)字簽字和數(shù)字證書，其基本流程如圖所示。三、電子商務安全技術（一）網(wǎng)上商城實現(xiàn)內容與步驟網(wǎng)上商城建設步驟如下圖所示。四、網(wǎng)上商城及案例分析各項準備系統(tǒng)注冊網(wǎng)站建設支付系統(tǒng)信息服務交易管理系統(tǒng)物流配送系統(tǒng)維護與更新安全系統(tǒng)網(wǎng)上商城建設（一）網(wǎng)上商城實現(xiàn)內容與步驟(續(xù))典型的網(wǎng)上商城框架結構如下圖所示。四、網(wǎng)上商城及案例分析

防火墻防火墻防火墻防火墻防火墻商城遠程管理pc消費者客戶機其他客戶機INTERNETCA中心WEB服務器商務中心服務器應用服務器數(shù)據(jù)庫服務器商家中心支付網(wǎng)關LAN內部管理pc其他內部pc銀行業(yè)務處理內部網(wǎng)絡INTERNET銀行服務器前端（一）電子付費系統(tǒng)的型態(tài)五、電子商務付費系統(tǒng)（一）電子付費系統(tǒng)的型態(tài)(續(xù))五、電子商務付費系統(tǒng)電子錢包DigitalWallet。e-Wallet。

電子錢包，是安裝在消費者端的一個電腦軟件。消費者可以向信用卡的發(fā)卡銀行，申請使用這個電子錢包，銀行就會把這套軟件的光碟或磁片交給消費者拿回去，安裝在自己的電腦內。電子錢包里面儲存了使用者個人資料（如，電子認證資料，信用卡號，到期日等），方便消費者在網(wǎng)路上使用。其運作機制是持卡者的信用資料都會經(jīng)過加密再傳至商人的伺服器中，而商人收到加密的資料后，則將確認訊息也加密至此一信用卡資料中，接著再傳至相關的銀行網(wǎng)路上。這么一來，廠商的伺服器中只會保留訂單與信用卡類型。因此電子錢包的出現(xiàn)除了讓消費者在線上購物能更方便外，也提供了多一層的安全保障。五、電子商務付費系統(tǒng)

五、電子商務付費系統(tǒng)

五、電子商務付費系統(tǒng)圖.Seednet發(fā)行的「嘻幣」(現(xiàn)在稱為儲值點)五、電子商務付費系統(tǒng)圖.HiNet

點數(shù)卡(e金元)五、電子商務付費系統(tǒng)五、電子商務付費系統(tǒng)五、電子商務付費系統(tǒng)（一）.國際電子商務立法的主要內容市場準入稅收電子商務合同電子支付安全與保密知識產權隱私權保護（二）.我國電子簽名法2004年8月通過；可靠電子簽名與手寫簽名具有同等法律效率；可靠電子簽名的四個基本條件(同時滿足)：(1)電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有；(2)簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制；(3)簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)；(4)簽署后對數(shù)據(jù)電文內容和形式的任何改動能夠被發(fā)現(xiàn)。六、電子商務安全法律對策（三）.我國電子合同法合同，亦稱契約。是當事人之間設立、變更、終止民事關系的協(xié)議。依法成立的合同，受法律保護。我國新《合同法》將傳統(tǒng)的書面合同形式擴大到數(shù)據(jù)電文形式。電子合同的訂立：當事人所在地要約與邀請要約接受要約發(fā)出和收到時間自動交易形式要求六、電子商務安全法律對策（四）.我國電子商務交易安全的法律保護

我國現(xiàn)行的涉及交易安全的法律法規(guī)主要有四類：(1)綜合性法律，主要是民法通則和刑法中有關保護交易安全的條文。(2)規(guī)范交易主體的有關法律，如公司法、國有企業(yè)法、集體企業(yè)法、合伙企業(yè)法、私營企業(yè)法、外資企業(yè)法等。(3)規(guī)范交易行為的有關法律，包括經(jīng)濟合同法、產品質量法、財產保險法、價格法、消費者權益保護法、廣告法、反不正當競爭法等。(4)監(jiān)督交易行為的有關法律，如會計法、審計法、票據(jù)法、銀行法等

。六、電子商務安全法律對策（五）我國涉及計算機安全的法律法規(guī)1986年4月開始草擬《中華人民共和國計算機信息系統(tǒng)安全保護條例》。1988年9月通過的《中華人民共和國保守國家秘密法》1989年公安部發(fā)布了