第8章電子商務(wù)安全

第8章電子商務(wù)安全第一頁，共五十頁。學(xué)習(xí)目標(biāo)1．了解電子商務(wù)安全現(xiàn)狀、面臨的威脅及電子商務(wù)安全內(nèi)容相關(guān)知識；2．掌握加密技術(shù)、認(rèn)證技術(shù)、防火墻、數(shù)字證書及認(rèn)證中心等電子商務(wù)安全技術(shù)相關(guān)知識；3．了解黑客與病毒防范相關(guān)知識；4．熟悉電子商務(wù)安全網(wǎng)絡(luò)協(xié)議相關(guān)知識；5．掌握電子商務(wù)安全管理相關(guān)知識。第二頁，共五十頁。導(dǎo)入案例年度網(wǎng)站安全報告：26%電商網(wǎng)站存高危漏洞第三頁，共五十頁。8.1電子商務(wù)安全概述在電子商務(wù)得益于網(wǎng)絡(luò)快速信息傳輸而興起和發(fā)展的同時，病毒泛濫、黑客入侵、Web站點被攻擊的現(xiàn)象亦日益嚴(yán)重，計算機(jī)犯罪日益猖獗，高水平技術(shù)人員的犯罪已經(jīng)嚴(yán)重影響到電子商務(wù)等行業(yè)的安全;信息安全問題越來越受到專家、技術(shù)人員和管理層的高度重視；電子商務(wù)信息安全是指電子商務(wù)全過程信息化狀態(tài)和信息技術(shù)體系不受外來的威脅與侵害;本章從技術(shù)角度和管理機(jī)制兩方面討論電子商務(wù)安全防護(hù)問題。第四頁，共五十頁。國防部網(wǎng)站開通第一個月遭230多萬次攻擊

第五頁，共五十頁。8.1.2電子商務(wù)面臨的安全問題1．計算機(jī)網(wǎng)絡(luò)安全問題（1）物理實體的安全（2）系統(tǒng)的漏洞和“后門”（3）網(wǎng)絡(luò)協(xié)議的安全漏洞（4）計算機(jī)病毒的攻擊（5）黑客的惡意攻擊第六頁，共五十頁。2．電子交易安全問題（1）電子商務(wù)交易平臺的安全問題（2）交易雙方的信用問題（3）電子支付安全問題第七頁，共五十頁。8.1.3電子商務(wù)安全問題帶來的威脅1、信息泄露2、信息篡改3、身份識別4、信息破壞5、交易抵賴6、隱私泄露第八頁，共五十頁。8.1.4電子商務(wù)安全要求信息的保密性；信息的完整性；交易各方身份的認(rèn)證；信息的有效性；信息的不可抵賴性、不可否認(rèn)性；隱私權(quán)的保護(hù)。第九頁，共五十頁。8.1.5電子商務(wù)安全重要性1．安全是電子商務(wù)系統(tǒng)的基本要求2．安全是電子商務(wù)發(fā)展的關(guān)鍵中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）發(fā)布的“中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告”顯示，在使用網(wǎng)絡(luò)購物的用戶中，52.26％的用戶最關(guān)心的是交易的安全可靠性；非網(wǎng)絡(luò)購物的用戶不使用網(wǎng)絡(luò)購物的三大主要原因是“不會使用”、“不安全”、“沒有必要，不需要”，所占比例分別為22.5%，21.2%，19.6%。第十頁，共五十頁。8.1.6電子商務(wù)安全體系1．電子商務(wù)安全技術(shù)2．社會道規(guī)范3．法律體系4．安全管理體系第十一頁，共五十頁。8.2電子商務(wù)安全技術(shù)8.2.1加密技術(shù)加密技術(shù)是電子商務(wù)采取的主要安全保密措施，是信息安全技術(shù)的核心，用于保證電子商務(wù)中數(shù)據(jù)的保密性、完整性、真實性和非抵賴服務(wù)。第十二頁，共五十頁。8.2.1加密技術(shù)1、信息加密概念加密系統(tǒng)由四個組成部分：（1）未加密的報文，也稱明文；（2）加密后的報文，也稱密文；（3）加密解密設(shè)備或算法；（4）加密解密的密鑰。

第十三頁，共五十頁。8.2.1加密技術(shù)信息驗證廣泛采用的技術(shù)：秘密密鑰(私鑰)加密系統(tǒng)(PrivateKeyEncryption)公開密鑰(公鑰)加密系統(tǒng)(PublicKeyEncryption)兩者相結(jié)合的方式第十四頁，共五十頁。1．對稱加密技術(shù)密文發(fā)送端明文加密網(wǎng)絡(luò)傳輸接收端密文明文密鑰A解密密鑰A第十五頁，共五十頁。2．非對稱加密技術(shù)密文發(fā)送端明文加密網(wǎng)絡(luò)傳輸接收端密文明文私鑰B解密密鑰A第十六頁，共五十頁。3．?dāng)?shù)字簽名數(shù)字簽名（DigitalSignature）是公開密鑰加密技術(shù)的一種應(yīng)用，是指用發(fā)送方的私有密鑰加密報文摘要，然后將其與原始的信息附加在一起，合稱為數(shù)字簽名。

第十七頁，共五十頁。8.2.2認(rèn)證技術(shù)認(rèn)證技術(shù)是指交易系統(tǒng)中交易參與者之間的安全身份認(rèn)證，是實現(xiàn)電子商務(wù)交易系統(tǒng)身份可認(rèn)證性和不可抵賴性的關(guān)鍵技術(shù)。認(rèn)證技術(shù)是整個信息安全體系的基礎(chǔ)認(rèn)，證技術(shù)主要用于信息認(rèn)證，確認(rèn)信息發(fā)送者的身份，防止假冒；驗證信息的完整性，即確認(rèn)信息在傳送或存儲過程中未被篡改過。認(rèn)證技術(shù)主要包括身份認(rèn)證和消息認(rèn)證。第十八頁，共五十頁。1．消息認(rèn)證認(rèn)證解密安全傳輸通道非授權(quán)者信道消息發(fā)送端認(rèn)證加密加密密鑰消息接收端第十九頁，共五十頁。2．身份認(rèn)證（1）口令識別法口令機(jī)制又稱作通行字機(jī)制，它是最廣泛研究和使用的身份鑒別法?？诹铗炞C的識別過程：①用戶將口令傳送給計算機(jī)；②計算機(jī)完成口令單向函數(shù)值的計算；③計算機(jī)把單向函數(shù)值和機(jī)器存儲的值比較。第二十頁，共五十頁。（2）簽名識別法簽名識別，也被稱為簽名力學(xué)辨識，源于每個人都有自己獨特的書寫風(fēng)格。簽名鑒定分為在線簽名鑒定和離線簽名鑒定兩種。前者是通過手寫板采集書寫人的簽名樣本，除了采集書寫點的坐標(biāo)外，有的系統(tǒng)還采集壓力、握筆的角度等數(shù)據(jù);后者是通過掃描儀輸入簽名樣本。顯然，離線簽名比較容易偽造，識別的難度也比較大。而在線簽名由于有動態(tài)信息，不容易偽造.第二十一頁，共五十頁。（3）指紋識別技術(shù)識別指紋主要從兩個方面展開：總體特征和局部特征?？傮w特征是指那些用人眼直接就可以觀察到的特征。包括紋形、模式區(qū)、核心點、三角點和紋數(shù)等。局部特征是指指紋上節(jié)點的特征，這些具有某種特征的節(jié)點稱為細(xì)節(jié)特征或特征點。第二十二頁，共五十頁。（4）語音識別技術(shù)語音識別技術(shù)，也被稱為自動語音識別AutomaticSpeechRecognition（ASR），就是讓機(jī)器通過識別和理解過程把語音信號轉(zhuǎn)變?yōu)橄鄳?yīng)的文本或命令的高技術(shù)。第二十三頁，共五十頁。（5）生物識別技術(shù)①手掌幾何學(xué)識別②視網(wǎng)膜識別③虹膜識別④面部識別⑤DNA識別⑥靜脈識別⑦步態(tài)識別⑧人臉識別第二十四頁，共五十頁。8.2.3防火墻1．訪問控制信息及資源訪問控制決策部件訪問控制實施部件訪問請求端提交訪問請求請求決策提出訪問請求第二十五頁，共五十頁。2．防火墻第二十六頁，共五十頁。（1）防火墻的分類從實現(xiàn)原理上分，防火墻的技術(shù)包括四大類：網(wǎng)絡(luò)級防火墻（也叫包過濾型防火墻）、應(yīng)用級網(wǎng)關(guān)、電路級網(wǎng)關(guān)和規(guī)則檢查防火墻。第二十七頁，共五十頁。（2）防火墻的功能①網(wǎng)絡(luò)安全的屏障②強化網(wǎng)絡(luò)安全策略③監(jiān)控審計④防止內(nèi)部信息的外泄⑤數(shù)據(jù)包過濾⑥網(wǎng)絡(luò)IP地址轉(zhuǎn)換⑦虛擬專用網(wǎng)絡(luò)⑧日志記錄與事件通知第二十八頁，共五十頁。8.2.4數(shù)字證書與認(rèn)證中心1．?dāng)?shù)字證書“數(shù)字證書”作為網(wǎng)上交易雙方真實身份證明的依據(jù)，是一個經(jīng)證書授權(quán)中心（CA）數(shù)字簽名的、包含證書申請者（公開密鑰擁有者）個人信息及其公開密鑰的文件?；诠_密鑰體制（PKI）的數(shù)字證書是電子商務(wù)安全體系的核心，用途是利用公共密鑰加密系統(tǒng)來保護(hù)與驗證公眾的密鑰，由可信任的、公正的權(quán)威機(jī)構(gòu)CA頒發(fā)。第二十九頁，共五十頁。2．認(rèn)證中心CA（CertificationAuthority）認(rèn)證中心是在電子交易中承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書、確認(rèn)用戶身份等工作并具有權(quán)威性和公正性的第三方服務(wù)機(jī)構(gòu)，它是保證電子商務(wù)交易安全進(jìn)行的一個不可缺少的重要環(huán)節(jié)。認(rèn)證中心是進(jìn)行網(wǎng)上安全電子交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書、確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。第三十頁，共五十頁。商戶認(rèn)證中心（MerchantCA）持卡人認(rèn)證中心（CardholderCA）支付網(wǎng)關(guān)認(rèn)證中心（PaymentGatewayCA）根認(rèn)證中心（RootCA）品牌認(rèn)證中心（BrandCA）區(qū)域性認(rèn)證中心（Geo-politicalCA）持卡人支付網(wǎng)關(guān)商戶第三十一頁，共五十頁。8.3電子商務(wù)安全技術(shù)協(xié)議這些協(xié)議主要有：公鑰體系結(jié)構(gòu)PKI、安全超文本傳輸協(xié)議（S－HTTP）、安全套接層協(xié)議（SSL協(xié)議）、安全電子交易協(xié)議（SET協(xié)議）、3-Dsecure協(xié)議、IPSec協(xié)議和虛擬專用網(wǎng)VPN等。第三十二頁，共五十頁。8.4黑客與病毒防范技術(shù)“黑客”的基本概念“黑客(Hacker)”源于英語動詞Hack。是指一些掌握計算機(jī)、網(wǎng)絡(luò)核心技術(shù)和利用計算機(jī)系統(tǒng)里面的BUG，非法進(jìn)入別人的計算機(jī)，網(wǎng)絡(luò)系統(tǒng)的人。第三十三頁，共五十頁。“黑客”可分為兩類。駭客：他們只想引人注目，證明自己的能力，在進(jìn)入網(wǎng)絡(luò)系統(tǒng)后，不會去破壞系統(tǒng)，或者僅僅會做一些無傷大雅的惡作劇。他們追求的是從侵入行為本身獲得巨大的成功的滿足；竊客：他們的行為帶有強烈的目的性。早期的這些“黑客”主要是竊取國家情報、科研情報，而現(xiàn)在的這些“黑客”的目標(biāo)大部分瞄準(zhǔn)了銀行的資金和電子商務(wù)的整個交易過程。

第三十四頁，共五十頁。網(wǎng)絡(luò)“黑客”常用的攻擊手段①獲取口令②電子郵件③木馬④誘入法⑤系統(tǒng)漏洞第三十五頁，共五十頁。（3）黑客防范措施①屏蔽可以IP地址②過濾信息包④經(jīng)常升級系統(tǒng)版本⑤及時備份重要數(shù)據(jù)⑥使用加密機(jī)制傳輸數(shù)據(jù)⑦使用防火墻技術(shù)⑧安全工具包或軟件第三十六頁，共五十頁。2．病毒與防治方法病毒是一種人為編制的程序或指令集合，這種程序能潛伏在計算機(jī)系統(tǒng)中，并通過自我復(fù)制傳播和擴(kuò)散，在一定條件下被激活，給計算機(jī)帶來故障和破壞。第三十七頁，共五十頁。病毒的防治方法：（1）樹立病毒防范意識，從思想上重視計算機(jī)病毒要從思想上重視計算機(jī)病毒可能會給計算機(jī)安全運行帶來的危害。（2）安裝正版的殺毒軟件和防火墻，并及時升級到最新版本（3）及時對系統(tǒng)和應(yīng)用程序進(jìn)行升級。（4）把好入口關(guān)。（5）不要隨便登錄不明網(wǎng)站、黑客網(wǎng)站或色情網(wǎng)站。（6）養(yǎng)成經(jīng)常備份重要數(shù)據(jù)的習(xí)慣。

（7）養(yǎng)成使用計算機(jī)的良好習(xí)慣。（8）要學(xué)習(xí)和掌握一些必備的相關(guān)知識。第三十八頁，共五十頁。8.5電子商務(wù)安全管理8.5.1電子商務(wù)安全管理原則1．預(yù)防為主，重在控制2．全員參與，動態(tài)管理3．多人負(fù)責(zé)，任期有限4．職責(zé)清晰，分工明確第三十九頁，共五十頁。8.5.2電子商務(wù)安全管理策略1．風(fēng)險評估，代價平衡的原則2．適應(yīng)靈活，容易操作的原則3．標(biāo)準(zhǔn)規(guī)范，整體高效的原則4．均衡防護(hù)，應(yīng)急恢復(fù)的原則第四十頁，共五十頁。8.5.3電子商務(wù)安全的管理措施1．提高網(wǎng)絡(luò)安全防范意識2．建立電子商務(wù)安全管理組織體系3．建立電子商務(wù)安全管理制度4．電子商務(wù)安全的法制建設(shè)策略第四十一頁，共五十頁。8.5.4電子商務(wù)安全管理制度1．人員管理制度（1）嚴(yán)格安全管理人員的甄選（2）全方位的安全知識培訓(xùn)（3）落實工作責(zé)任制（4）貫徹電子商務(wù)安全運作基本原則第四十二頁，共五十頁。4．網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度（1）硬件的日常管理和維護(hù)1）網(wǎng)絡(luò)設(shè)備①運用管理軟件進(jìn)行管理②手動檢查，人工管理2）服務(wù)器管理3）通信線路（2）軟件的日常管理和維護(hù)1）支撐軟件2）應(yīng)用軟件（3）數(shù)據(jù)備份制度第四十三頁，共五十頁。6．病毒防范制度（1）安裝殺毒軟件（2）認(rèn)真執(zhí)行病毒定期清理制度（3）控制權(quán)限（4）高度警惕網(wǎng)絡(luò)陷阱第四十四頁，共五十頁。7．應(yīng)急措施指在計算機(jī)災(zāi)難事件（即緊急事件或安全事故）發(fā)生時，利用應(yīng)急計劃、輔助軟件和應(yīng)急設(shè)施，排除災(zāi)難和故障，保障計算機(jī)信息系統(tǒng)繼續(xù)運行或緊急恢復(fù)。（1）瞬時復(fù)制技術(shù)（2）遠(yuǎn)程磁盤鏡像技術(shù)（3）數(shù)據(jù)庫恢復(fù)技術(shù)第四十五頁，共五十頁。一、選擇題1．在電子商務(wù)信息安全要求中，信息在傳輸過程中或存儲中不被他人竊取指的是（）。A．信息的保密性 B．信息的完整性C．信息的不可否認(rèn)性 D．交易者身份的真實性2．加密后的內(nèi)容稱為（）。A．密鑰 B．算法 C．密文 D．明文3．用戶識別方法不包括（）。A．根據(jù)用戶知道什么來判斷 B．根據(jù)用戶擁有什么來判斷C．根據(jù)用戶地址來判斷 D．根據(jù)用戶是什么來判斷4．以下身份認(rèn)證技術(shù)中，屬于生物特征識別技術(shù)的有（）。A．?dāng)?shù)字簽名識別法 B．指紋識別法C．語音識別法 D．頭蓋骨的輪廓識別法A

C

C

BCD

第四十六頁，共五十頁。5．觸發(fā)電子商務(wù)安全問題的原因有（）。A．黑客的攻擊B．管理的欠缺C．網(wǎng)絡(luò)的缺陷D．軟件的漏洞6．病毒防范制度包括的內(nèi)容有（）。A．為自己的電腦安裝防病毒軟件 B．不打開陌生地址的電子郵件C．認(rèn)真執(zhí)行病毒定期清理制度 D．高度警惕網(wǎng)絡(luò)陷阱7．下面屬于不安全口令的有（）。A．使用用戶名作為口令B．使用自己或者親友的生日作為口令C．使用學(xué)號或者身份證號碼等作為口令D．使用常用的英文單詞做作口令8．認(rèn)證中心的主要作用有（）。A．證書