《電子商務(wù)概論(第4版)》第8章電子商務(wù)安全課件

《電子商務(wù)概論（第4版）》白東蕊主編人民郵電出版社出版第八章電子商務(wù)安全【知識(shí)框架圖】目錄Contents第一節(jié)電子商務(wù)安全的內(nèi)涵第二節(jié)電子商務(wù)安全技術(shù)第三節(jié)電子商務(wù)安全管理本章學(xué)習(xí)要求【知識(shí)目標(biāo)】1．了解電子商務(wù)面臨的安全威脅，明確電子商務(wù)對(duì)安全性的要求。2．熟悉應(yīng)用保障電子商務(wù)安全的方法與技術(shù)，以保證電子商務(wù)活動(dòng)的順利進(jìn)行。3．熟知電子商務(wù)安全方面不斷完善的管理政策與法規(guī)制度。【技能目標(biāo)】1．能夠?qū)ffice文檔加密，實(shí)現(xiàn)文件保護(hù)。2．學(xué)會(huì)應(yīng)用計(jì)算機(jī)端和移動(dòng)端的日常安全防范措施。二維碼暗藏木馬病毒二維碼時(shí)代到來(lái)了，用微信掃一掃就可以交友、支付、領(lǐng)取禮品，不少人見(jiàn)二維碼就想掃。殊不知，掃二維碼的過(guò)程中存在很多安全隱患。2015年11月17日一大早，南京市公安局雙塘派出所接到了胡女士的報(bào)警電話。她稱，自己一大早收到了好多條銀行短信，銀行卡里的37萬(wàn)元沒(méi)了。引例令胡女士奇怪的是：為什么自己的銀行卡和手機(jī)都在家里，卻被人轉(zhuǎn)了賬？民警分析后告訴她，是一個(gè)第三方機(jī)構(gòu)通過(guò)植入手機(jī)木馬病毒，綁定了銀行卡進(jìn)行操作，將錢轉(zhuǎn)走的。胡女士這才想起來(lái)，前兩天街頭有人向她推廣手機(jī)軟件，說(shuō)是掃描二維碼下載后就送東西。她雖然下載了但是并沒(méi)有安裝使用，沒(méi)想到這竟然是個(gè)木馬病毒。警方通過(guò)胡女士銀行卡的發(fā)卡行了解到，胡女士卡里的37萬(wàn)元被全部轉(zhuǎn)到了一個(gè)第三方交易機(jī)構(gòu)，而這個(gè)第三方交易機(jī)構(gòu)實(shí)行的是當(dāng)天交易。也就是說(shuō)，如果不立即采取行動(dòng)，這筆錢在24小時(shí)之內(nèi)就可能被轉(zhuǎn)走。幸運(yùn)的是，因?yàn)樘幚砑皶r(shí)，胡女士的37萬(wàn)元被凍結(jié)后通過(guò)警方追了回來(lái)。引例01電子商務(wù)安全的內(nèi)涵電子商務(wù)面臨的安全威脅01電子商務(wù)的安全性要求02計(jì)算機(jī)病毒流氓軟件木馬程序網(wǎng)絡(luò)釣魚一、電子商務(wù)面臨的安全威脅（一）個(gè)人計(jì)算機(jī)受到的威脅手機(jī)病毒手機(jī)系統(tǒng)漏洞無(wú)線網(wǎng)釣魚（二）移動(dòng)端受到的威脅《電子商務(wù)概論》（第3版）人民郵電出版社白東蕊主編(1)中央系統(tǒng)安全性被破壞(2)被他人假冒而損害公司的信譽(yù)(3)買方提交訂單后不付款(4)拒絕服務(wù)1.賣方面臨的問(wèn)題3.信息傳輸問(wèn)題4.信用問(wèn)題2.買方面臨的問(wèn)題(1)冒名偷竊(2)篡改數(shù)據(jù)(3)信息丟失(4)信息傳遞過(guò)程中的破壞(5)虛假信息(1)付款后不能收到商品(2)個(gè)人資料喪失.(1)來(lái)自買方的信用問(wèn)題(2)來(lái)自賣方的信用風(fēng)險(xiǎn)(3)買賣雙方都存在抵賴的情況電子商務(wù)的安全問(wèn)題消費(fèi)預(yù)警：免費(fèi)Wi-Fi很危險(xiǎn)（視頻）視野拓展二、電子商務(wù)的安全性要求機(jī)密性完整性不可否認(rèn)性可鑒別性可靠性點(diǎn)擊視頻：支付寶快捷支付安全嗎？推薦讀者課外觀看《中國(guó)工商銀行防電信詐騙宣傳片2015》視頻，提高防范意識(shí)。視野拓展02電子商務(wù)安全技術(shù)加密技術(shù)認(rèn)證技術(shù)安全協(xié)議圖8.1電子商務(wù)系統(tǒng)安全示意圖有關(guān)概念：1、加密（E）2、解密（D）3、明文（P）4、密文（C）5、密鑰（K）

《電子商務(wù)概論》（第3版）人民郵電出版社白東蕊主編K1K1=K2（對(duì)稱加密、單密鑰、秘密加密K1=K2（非對(duì)稱加密、雙密鑰、公開加密）PCK2一、加密技術(shù)加密技術(shù)是利用技術(shù)手段把原始信息變?yōu)閬y碼（加密）傳送，到達(dá)目的地后再用相同或不同的手段還原（解密）信息。原始信息通常被稱為“明文”，加密后的信息通常被稱為“密文”。加密技術(shù)涉及兩個(gè)元素：算法和密鑰。算法是將明文與一串字符（密鑰）結(jié)合起來(lái)，進(jìn)行加密運(yùn)算后形成密文。密鑰是在將明文轉(zhuǎn)換為密文或?qū)⒚芪霓D(zhuǎn)換為明文的算法中輸入的一串字符，可以是數(shù)字、字母、詞匯或短語(yǔ)。（一）對(duì)稱加密體制

1．對(duì)稱加密體制的工作過(guò)程圖8.1對(duì)稱加密體制的工作過(guò)程2．對(duì)稱加密體制的算法經(jīng)典的對(duì)稱加密體制算法為數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionStandard，DES）。DES算法是一種對(duì)稱的分組加密算法。簡(jiǎn)單的DES算法是以64位為分組進(jìn)行明文輸入，在密鑰的控制下產(chǎn)生64位的密文；反之，輸入64位的密文，則輸出64位的明文。加密過(guò)程中，密鑰總長(zhǎng)度是64位，由于密鑰表中每個(gè)字節(jié)的第8位都用作奇偶校驗(yàn)，所以實(shí)際有效密鑰長(zhǎng)度為56位。DES算法可以通過(guò)軟件或硬件來(lái)實(shí)現(xiàn)。（二）非對(duì)稱加密體制

1．非對(duì)稱加密體制的工作過(guò)程圖8.3非對(duì)稱加密體制的工作過(guò)程2．非對(duì)稱加密體制的算法

目前，非對(duì)稱加密體制的算法中，使用最多的是RSA算法。RSA算法是1978年由R.L.Rivest、A.Shamir和L.Adleman設(shè)計(jì)的非對(duì)稱加密體制的算法，算法以發(fā)明者姓氏的首字母來(lái)命名。它是第一種既可用于加密，又可用于數(shù)字簽名的算法。在實(shí)際應(yīng)用中，通常將對(duì)稱加密算法和非對(duì)稱加密算法結(jié)合使用，利用DES算法進(jìn)行大容量數(shù)據(jù)的加密，而利用RSA算法來(lái)傳遞對(duì)稱加密算法所使用的密鑰。二者結(jié)合使用集成了兩類加密算法的優(yōu)點(diǎn)，既加快了加密速度，又可以安全、方便地管理密鑰。表8.1所示為對(duì)稱加密體制和非對(duì)稱加密體制的對(duì)比。表8.1對(duì)稱加密體制和非對(duì)稱加密體制的對(duì)比比較項(xiàng)目對(duì)稱加密體制非對(duì)稱加密體制代表算法DESRSA密鑰數(shù)目單一密鑰密鑰是成對(duì)的密鑰種類密鑰是秘密的一個(gè)私有，一個(gè)公開密鑰管理產(chǎn)生簡(jiǎn)單，管理困難需要數(shù)字證書及可靠的第三者相對(duì)速度快慢主要用途大量數(shù)據(jù)加密數(shù)字簽名或?qū)ΨQ密鑰的加密二、認(rèn)證技術(shù)

在信息安全領(lǐng)域，常見(jiàn)的信息保護(hù)手段除了加密技術(shù)以外，還有認(rèn)證技術(shù)。目前，認(rèn)證技術(shù)有身份認(rèn)證（也叫用戶認(rèn)證）和消息認(rèn)證兩種方式。身份認(rèn)證用于鑒別用戶的身份是否合法；消息認(rèn)證可用于驗(yàn)證所收到的消息確實(shí)來(lái)自真正的發(fā)送方且未被修改（即完整性），也可以用于驗(yàn)證消息的順序性和及時(shí)性。消息認(rèn)證主要包括數(shù)字簽名和數(shù)字時(shí)間戳等技術(shù)。用戶的特征

用戶所擁有的

用戶所知道的

指紋虹膜DNA聲音和臉部特征用戶的行為身份證護(hù)照密鑰盤

密碼口令

1．身份認(rèn)證實(shí)現(xiàn)身份認(rèn)證的物理基礎(chǔ)主要有以下三種：2.消息認(rèn)證

消息認(rèn)證是指驗(yàn)證消息的完整性，當(dāng)接收方收到發(fā)送方的報(bào)文時(shí)，接收方能夠驗(yàn)證收到的報(bào)文是真實(shí)的和未被篡改的。消息認(rèn)證常用的方法就是消息摘要，即發(fā)送方在發(fā)送的消息中附加一個(gè)鑒別碼，并經(jīng)加密后發(fā)送給接收方。接收方利用約定的算法對(duì)解密后的消息進(jìn)行鑒別運(yùn)算，將得到的鑒別碼與收到的鑒別碼進(jìn)行比較，若二者相等，則接收，否則拒絕接收。3．?dāng)?shù)字簽名數(shù)字簽名能夠確認(rèn)兩點(diǎn)：信息是由簽名者發(fā)送的；信息自簽發(fā)后到收到為止未曾做過(guò)任何修改。圖8.4數(shù)字簽名原理示意圖4．?dāng)?shù)字時(shí)間戳在電子商務(wù)交易中，需對(duì)交易文件的時(shí)間信息采取安全措施。數(shù)字時(shí)間戳服務(wù)（DigitalTime-stampService，DTS）是由專門的機(jī)構(gòu)提供的對(duì)電子文件發(fā)送時(shí)間進(jìn)行安全保護(hù)的服務(wù)。需加時(shí)間戳的電子文件數(shù)字時(shí)間戳發(fā)送和接收文件的時(shí)間數(shù)字時(shí)間戳服務(wù)的數(shù)字簽名數(shù)字時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔，包括以下三部分：三、安全協(xié)議（1）安全套接層（SecureSocketLayer，SSL）協(xié)議是指使用公鑰和私鑰技術(shù)相組合的安全網(wǎng)絡(luò)通信協(xié)議，是網(wǎng)景公司（Netscape）推出的基于互聯(lián)網(wǎng)應(yīng)用的安全協(xié)議。安全套接層協(xié)議指定了一種在應(yīng)用層協(xié)議（如HTTP、Telnet和FTP等）和TCP/IP之間提供數(shù)據(jù)安全性分層的機(jī)制。SSL協(xié)議

（2）安全電子交易（SecureElectronicTransaction，SET）協(xié)議是由萬(wàn)事達(dá)卡（MasterCard）和維薩（Visa）聯(lián)合網(wǎng)景、微軟等公司，于1997年6月1日推出的。該協(xié)議主要是為了實(shí)現(xiàn)更加完善的即時(shí)電子支付。安全電子交易協(xié)議是B2C基于信用卡支付模式而設(shè)計(jì)的，它在保留對(duì)客戶信用卡認(rèn)證的前提下，增加了對(duì)商家身份的認(rèn)證；凸顯客戶、商家、銀行之間通過(guò)信用卡交易的數(shù)據(jù)完整性和不可抵賴性等優(yōu)點(diǎn)，因此，它成為目前公認(rèn)的信用卡網(wǎng)上交易國(guó)際標(biāo)準(zhǔn)。四、防火墻技術(shù)

防火墻是一種將內(nèi)部網(wǎng)和外部網(wǎng)（如互聯(lián)網(wǎng)）相互隔離的技術(shù)。防火墻可以通過(guò)過(guò)濾不安全的服務(wù)，降低風(fēng)險(xiǎn)，強(qiáng)化網(wǎng)絡(luò)安全策略，對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控；防止內(nèi)部信息外泄，外部用戶非法訪問(wèn)或占用內(nèi)部資源。另外，防火墻還支持具有互聯(lián)網(wǎng)服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）。03電子商務(wù)安全管理數(shù)字證書認(rèn)證中心法律制度管理日常安全防范一、數(shù)字證書認(rèn)證中心

實(shí)現(xiàn)網(wǎng)上安全支付是順利開展電子商務(wù)的前提，建立安全的數(shù)字證書認(rèn)證中心（CertificateAuthority，CA）是電子商務(wù)的中心環(huán)節(jié)，其目的是加強(qiáng)數(shù)字證書和密鑰的管理，增強(qiáng)網(wǎng)上交易各方的相互信任，提高網(wǎng)上交易的安全性，控制網(wǎng)上交易的風(fēng)險(xiǎn)，從而推動(dòng)電子商務(wù)的發(fā)展。（一）認(rèn)證中心

在電子交易中，無(wú)論是數(shù)字時(shí)間戳服務(wù)還是數(shù)字證書的發(fā)放，都不是交易雙方自己能完成的，而是需要具有權(quán)威性和公正性的第三方機(jī)構(gòu)來(lái)完成。認(rèn)證中心就是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書并確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。

國(guó)內(nèi)的數(shù)字證書認(rèn)證中心主要有行業(yè)、地方政府部門或企業(yè)等聯(lián)手合作建立的數(shù)字證書認(rèn)證中心，如中國(guó)金融認(rèn)證中心（CFCA）、海關(guān)聯(lián)盟認(rèn)證中心（SCCA）、上海數(shù)字證書認(rèn)證中心、廣州市電子簽名中心和山西數(shù)字證書認(rèn)證中心等。認(rèn)證中心的主要功能如下：證書的頒發(fā)證書的更新證書的查詢證書的作廢證書的歸檔（二）數(shù)字證書

1．?dāng)?shù)字證書的定義

數(shù)字證書又稱為數(shù)字憑證或數(shù)字標(biāo)識(shí)，是由認(rèn)證中心發(fā)行的、能提供在互聯(lián)網(wǎng)上進(jìn)行身份驗(yàn)證服務(wù)的電子文檔。人們可以用它來(lái)表明自己在互聯(lián)網(wǎng)中的身份或識(shí)別對(duì)方的身份。數(shù)字證書的格式遵循ITU的X.509國(guó)際標(biāo)準(zhǔn)，X.509標(biāo)準(zhǔn)數(shù)字證書包含以下內(nèi)容。圖8.5數(shù)字證書示例（1）證書擁有者的姓名。（2）證書的版本信息。（3）證書的序列號(hào)，同一身份驗(yàn)證機(jī)構(gòu)簽發(fā)的證書序列號(hào)唯一。（4）證書所使用的簽名算法。（5）證書發(fā)行機(jī)構(gòu)的名稱。（6）證書的有效期限。（7）證書所有人的公開密鑰。（8）證書發(fā)行者對(duì)證書的簽名。2．?dāng)?shù)字證書的分類服務(wù)器證書電子郵件證書客戶端證書

密信MeSince是沃通子公司2018年推出的加密電子郵件客戶端軟件，該軟件支持Windows/安卓手機(jī)和蘋果手機(jī)，全自動(dòng)申請(qǐng)和配置電子郵件加密證書，全自動(dòng)加密每封郵件，全自動(dòng)為每封發(fā)出的郵件蓋上時(shí)間戳。學(xué)而思，思而學(xué)3．?dāng)?shù)字證書的應(yīng)用用戶在需要使用證書的網(wǎng)站上進(jìn)行操作時(shí)，必須準(zhǔn)備好裝有證書的存儲(chǔ)介質(zhì)如果用戶是在自己的計(jì)算機(jī)上進(jìn)行操作，則操作前必須先安裝認(rèn)證中心的根證書操作時(shí)，系統(tǒng)會(huì)自動(dòng)提示用戶出示數(shù)字證書或者插入證書存儲(chǔ)介質(zhì)使用完畢后，用戶應(yīng)記住取出拔除證書存儲(chǔ)介質(zhì)，并妥善保管

根證書是認(rèn)證中心給自己頒發(fā)的證書，是信任鏈的起始點(diǎn)。根證書是一種特殊的證書，它的簽發(fā)者是它本身，下載根證書就表明用戶對(duì)該根證書以下所簽發(fā)的證書都表示信任，在技術(shù)上則是建立起一個(gè)驗(yàn)證證書信息的鏈條，證書的驗(yàn)證追溯至根證書即結(jié)束。所以，用戶在使用自己的數(shù)字證書之前必須先下載根證書。視野拓展根證書

支付寶數(shù)字證書是使用支付寶賬戶資金時(shí)的身份憑證之一，可以加密用戶的信息并確保賬戶和資金安全。用戶申請(qǐng)后，在進(jìn)行付款和確認(rèn)收貨等涉及資金的操作時(shí)，就會(huì)驗(yàn)證計(jì)算機(jī)上是否安裝了數(shù)字證書。即使用戶的賬號(hào)被盜，對(duì)方?jīng)]有相應(yīng)的數(shù)字證書也動(dòng)用不了賬戶中的資金。視野拓展支付寶數(shù)字證書

在微信內(nèi)按“支付—錢包—安全保障—數(shù)字證書”順序進(jìn)入數(shù)字證書頁(yè)面，根據(jù)提示進(jìn)行設(shè)置即可啟用微信支付數(shù)字證書。啟用微信支付數(shù)字證書的作用是：提高支付安全性；提高每日零錢支付限額。數(shù)字證書就相當(dāng)于一個(gè)認(rèn)證的程序。它會(huì)使你的微信賬戶更安全。視野拓展微信支付數(shù)字證書二、法律制度管理我國(guó)主要的保障電子商務(wù)安全的相關(guān)法律與制度：（1）確立電子簽名的法律效力。2004年8月28日，全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第十一次會(huì)議通過(guò)了《中華人民共和國(guó)電子簽名法》，2005年4月1日起施行。這是我國(guó)推進(jìn)電子商務(wù)發(fā)展，掃除電子商務(wù)發(fā)展障礙的重要步驟。該法被認(rèn)為是中國(guó)首部真正意義上有關(guān)電子商務(wù)的立法。（2）規(guī)范電子認(rèn)證服務(wù)行為。2005年1月28日，中華人民共和國(guó)信息產(chǎn)業(yè)部第十二次部務(wù)會(huì)議審議通過(guò)了《電子認(rèn)證服務(wù)管理辦法》，自2005年4月1日起施行。（3）加強(qiáng)電子銀行業(yè)務(wù)的風(fēng)險(xiǎn)管理。2005年11月10日，中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)第四十次主席會(huì)議通過(guò)了《電子銀行業(yè)務(wù)管理辦法》，自2006年3月1日起施行。（4）規(guī)范網(wǎng)絡(luò)商品交易及有關(guān)服務(wù)行為。2010年6月1日，中華人民共和國(guó)國(guó)家工商行政管理總局出臺(tái)的《網(wǎng)絡(luò)商品交易及有關(guān)服務(wù)行為管理暫行辦法》中明確規(guī)定，通過(guò)網(wǎng)絡(luò)開展商品交易及有關(guān)服務(wù)行為的自然人，應(yīng)提交其姓名和地址等真實(shí)的信息。（5）規(guī)范非金融機(jī)構(gòu)支付服務(wù)行為，防范支付風(fēng)險(xiǎn)。2010年6月21日，中國(guó)人民銀行出臺(tái)了《非金融機(jī)構(gòu)支付服務(wù)管理辦法》，要求第三方支付公司必須在2011年9月1日前申請(qǐng)取得“支付業(yè)務(wù)許可證”，且全國(guó)性公司注冊(cè)資本最低應(yīng)為1億元。該辦法的出臺(tái)意在規(guī)范當(dāng)前發(fā)展迅猛的第三方支付行業(yè)。（6）保障網(wǎng)絡(luò)安全。2016年11月，第十二屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十四次會(huì)議通過(guò)了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，自2017年6月1日起施行。電子商務(wù)安全相關(guān)法律與制度發(fā)展歷程如圖8.6所示。（7）電子商務(wù)綜合性法律。2018年8月31日，十三屆全國(guó)人大常委會(huì)第五次會(huì)議表決通過(guò)《中華人民共和國(guó)電子商務(wù)法》，自2019年1月1日起施行。圖8.6保障電子商務(wù)安全的相關(guān)法律與制度發(fā)展歷程加強(qiáng)個(gè)人計(jì)算機(jī)安全防護(hù)欲擒故縱加強(qiáng)防范意識(shí)備份與加密禁止所有磁盤自動(dòng)運(yùn)行三、日常安全防范1．計(jì)算機(jī)用戶日常安全防范謹(jǐn)慎下載安裝手機(jī)軟件和App程序不要隨便打開短信中的鏈接和掃描二維碼不要對(duì)手機(jī)刷機(jī)，以獲取超級(jí)用戶（Root）權(quán)限，或“越獄”在公共場(chǎng)合，避免隨意連接免費(fèi)無(wú)密碼Wi-Fi，否則可能會(huì)被黑客截取個(gè)人信息，甚至被植入木馬病毒2．移動(dòng)端日常安全防范Root和“越獄”

Root是安卓系統(tǒng)中唯一的超級(jí)用戶，具有管理系統(tǒng)的所有權(quán)限?！霸姜z”其實(shí)等同于安卓平臺(tái)上的Root，是指開放用戶的操作權(quán)限，使得用戶可以隨意改寫任何區(qū)域的運(yùn)行狀態(tài)，即利用“越獄”軟件解除原有固件對(duì)手機(jī)系統(tǒng)的限制束縛，使用戶可以自定義安裝非官方或者來(lái)自第三方的應(yīng)用程序。視野拓展Office加密方式及文件保護(hù)Word、Excel和PowerPoint是我們學(xué)習(xí)和工