電子商務(wù)與信息安全-public

電子商務(wù)與信息安全2023/9/28報告人：劉政連Outline開場故事一、電子商務(wù)概述二、電子商務(wù)安全問題三、電子商務(wù)安全技術(shù)四、網(wǎng)上商城及案例分析五、電子商務(wù)付費系統(tǒng)六、電子商務(wù)安全法律對策七、參考文獻八、Q&ANEXON游戲:電子商務(wù)走入線上社群倘若你熱衷于線上游戲，相信你對于楓之谷(MapleStory)肯定不陌生。楓之谷是一套線上角色扮演游戲，玩家們可以扮演戰(zhàn)士、魔法師或竊賊等角色，一同對抗敵對的怪物陣營。玩家可以免費玩這套游戲，但如果要讓你的線上英雄披上一套新的戰(zhàn)袍、換一頭前衛(wèi)的發(fā)型或是飼養(yǎng)一只寵物，才必須為這些額外的道具支付相關(guān)費用。如果你還想為你的楓之谷角色精心舉辦一場在拉斯維加斯的世紀(jì)婚禮，并邀請其他玩家共襄盛舉的話，那將會花上你約20美元到29美元的籌辦費用。楓之谷是NexonHoIdingsInc﹒最新推出的一套線上遊戲，這是一家在多人線上角色扮演遊戲產(chǎn)業(yè)中世界級的領(lǐng)導(dǎo)廠商。Nexon的總部位於南韓，在中國、日本與美國等地皆設(shè)有分公司。Nexon首創(chuàng)「道具」(item)(微交易)的經(jīng)營模式，讓玩家可以免費體驗完整版的遊戲，之後可選擇足否要付費購買加強版的遊戲(也就是道具)。nexon販?zhǔn)鄹黜棌娀[戲體驗的虛擬「道具」，向玩家收取的費用從30美分到30美元不等。楓之谷在世界各地?fù)碛?,500萬名玩家，其中有590萬人是註冊在美國。2007年時，全世界的玩家花在楓之谷角色上的金額，約有130萬美元用在購買服裝上，另外還有100萬美元是花在角色的髮型上。

開場故事Nexon如此受歡迎的原因之一，在于它能提供一個與其他使用者社交互動的平臺。據(jù)Nexon美國分部行銷副總MinKim表示:「我們販?zhǔn)鄣氖巧缃惑w驗，而不是套裝產(chǎn)品?！惯^去十年，大多數(shù)的游戲都是單機版游戲。隨著網(wǎng)際網(wǎng)路與個人電腦的發(fā)展愈來愈能處理大量體驗多媒體的能力時，單機版游戲?qū)⑽枧_讓給了社群游戲。無論是透過與即時通訊、網(wǎng)路電話或是文字訊息的整合，玩家有許多方式可以和朋友們溝通互動。影音游戲現(xiàn)在吸引了一個全新的消費者社群--那些想要擁有社交體驗的人們。其他Nexon熱門的游戲包括糖果大??戰(zhàn)(SugarRush)、瑪奇(Mabinogi)與跑跑卡丁車(KartRider)。跑跑卡丁車是一套動作版的線上賽車游戲，玩家可以依喜好改造跑車并與朋友在線上聊天。糖果大戰(zhàn)可以讓玩家在互相廝殺的同時邊收集虛擬錢幣。受到凱爾特人(Celtic)神話的啟發(fā)，瑪奇則可讓玩家體驗各種任務(wù)，如農(nóng)耕、音樂寫作、結(jié)婚甚至是參與戰(zhàn)斗等，這套游戲透過更新檔(也可稱為「世代」或「章節(jié)」)的發(fā)表持續(xù)擴充，推出新的關(guān)卡讓玩家探索，冒險故事得以不斷延續(xù)。所有的Nexon游戲都有推出官方論壇網(wǎng)站，邀請玩家來和朋友交流，分享各項密技，或只是在網(wǎng)站上「逛逛」。開場故事開場故事NEXON游戲:電子商務(wù)走入線上社群開場故事討論Nexon的線上游戲給了電子商務(wù)新的風(fēng)貌范例。在網(wǎng)際網(wǎng)路上販?zhǔn)蹖嶓w商品仍是相當(dāng)重要，但服務(wù)與社交體驗似乎更令人興奮與有趣，目前正集中在服務(wù)與社交經(jīng)驗--社交網(wǎng)絡(luò)、相片分享、分享音樂、分享創(chuàng)意以及多人線上游戲，讓使用者可以和他人溝通與互動。與其他使用者和其他網(wǎng)站連結(jié)的能力，已在連結(jié)和分享方面帶來無限的新商機。(一).電子商務(wù)的定義

電子商務(wù)（E-Commerce）是指在互聯(lián)網(wǎng)（Internet）、企業(yè)內(nèi)部網(wǎng)（Intranet）和增值網(wǎng)（VAN，ValueAddedNetwork）上以電子交易方式進行交易活動和相關(guān)服務(wù)活動，是傳統(tǒng)商業(yè)活動各環(huán)節(jié)的電子化、網(wǎng)絡(luò)化。電子商務(wù)包括電子貨幣交換、供應(yīng)鏈管理、電子交易市場、網(wǎng)絡(luò)營銷、在線事務(wù)處理、電子數(shù)據(jù)交換（EDI）、存貨管理和自動數(shù)據(jù)收集系統(tǒng)。在此過程中，利用到的信息技術(shù)包括：互聯(lián)網(wǎng)、外聯(lián)網(wǎng)、電子郵件、數(shù)據(jù)庫、電子目錄和移動電話。

狹義的電子商務(wù)—是指利用Internet從事商務(wù)或活動。而廣義的電子商務(wù)是使用各種電子工具從事商務(wù)或活動。這些工具包括從初級的電報、電話、廣播、電視、傳真到計算機、計算機網(wǎng)絡(luò)，到NII（國家信息基礎(chǔ)結(jié)構(gòu)－信息高速公路）、GII（全球信息基礎(chǔ)結(jié)構(gòu)）和Internet等現(xiàn)代系統(tǒng)。而商務(wù)活動是從泛商品（實物與非實物，商品與非商品化的生產(chǎn)要素等等）的需求活動到泛商品的合理、合法的消費除去典型的生產(chǎn)過程后的所有活動。一、電子商務(wù)概述一、電子商務(wù)概述(二).電子商務(wù)的分類A.以商務(wù)類型分類

企業(yè)間的電子商務(wù)B2B企業(yè)與消費者之間的電子商務(wù)B2C政府與消費者之間的電子商務(wù)G2C信息溝通個人財務(wù)管理購買商品發(fā)標(biāo)、投標(biāo)、評標(biāo)經(jīng)濟政策發(fā)布監(jiān)管、統(tǒng)計福利與稅收供應(yīng)商管理庫存管理渠道管理配送管理付款管理政府與企業(yè)之間的電子商務(wù)G2B電子商務(wù)的分類一、電子商務(wù)概述B.以運營模式分類

一、電子商務(wù)概述C.以企業(yè)環(huán)境分類

一、電子商務(wù)概述(三)電子商務(wù)與互聯(lián)網(wǎng)為何電子商務(wù)與眾不同一、電子商務(wù)概述為何電子商務(wù)與眾不同(續(xù))一、電子商務(wù)概述(四)電子商務(wù)的交易層次-以物流的觀點來看：1.交易的「商流」2.配送的「物流」3.轉(zhuǎn)賬支付的「金流」4.資料加值及傳遞的「信息流」一、電子商務(wù)概述(五)電子商務(wù)結(jié)合資訊與通訊，以從事各項商業(yè)活動，造成商業(yè)結(jié)構(gòu)產(chǎn)生下列的變化：1.行銷活動的多元化

2.商業(yè)競爭型態(tài)的轉(zhuǎn)變

3.商業(yè)經(jīng)營全球化趨勢

4.個人化的行銷方式

5.低成本的商業(yè)經(jīng)營方式一、電子商務(wù)概述(六)電子商務(wù)的影響一、電子商務(wù)概述(七)流通業(yè)者在電子商務(wù)環(huán)境的功能一、電子商務(wù)概述典型的配銷通路有好幾層的中介，每一層都會增加產(chǎn)品的最終成本，如同毛衣的例子一樣。除去這些層級將會減低對消費者的最終成本。一、電子商務(wù)概述典一、電子商務(wù)概述(八)互聯(lián)網(wǎng)的經(jīng)營模式一、電子商務(wù)概述(八)互聯(lián)網(wǎng)的經(jīng)營模式（續(xù)）二、電子商務(wù)安全問題(一).電子商務(wù)安全重要性電子商務(wù)信息（交易信息、支付信息、談判信息等的重要性;網(wǎng)絡(luò)技術(shù)發(fā)展的不完善性,易造成信息的丟失、誤操作、傳輸錯誤等。(二).典型事例1999年4月19日鄭州交通銀行事件；1999年4月26日CIH病毒事件；1998年10月27日“中國人權(quán)研究會”網(wǎng)站遭黑時間；INTEL公司CPU序列號事件。二、電子商務(wù)安全問題(三)電子商務(wù)安全的主要內(nèi)容硬件安全：主要指服務(wù)器、網(wǎng)絡(luò)設(shè)備、線路的運行安全，防盜、設(shè)備性能等。軟件安全：保護所有數(shù)據(jù)不被盜竊、篡改、破壞等。運行安全：保證系統(tǒng)能正常、連續(xù)運行。防自然災(zāi)害、戰(zhàn)爭等。電子商務(wù)安全立法。增強對企業(yè)和人員的行約束。(四)電子商務(wù)系統(tǒng)安全控制要求：有效性：對安全產(chǎn)生的威脅加以控制，保證交易資料的有效性。保密性：通過一定措施保證交易資料的保密。完整性：確保信息傳輸?shù)耐暾?。交易身份的確定性。不可否認(rèn)性。不可修改性。合法性。二、電子商務(wù)安全問題(五)危害電子商務(wù)安全的主要因素：網(wǎng)絡(luò)硬件：通信監(jiān)視；非法終端注入非法信息線路干擾運行中斷服務(wù)干擾病毒入侵網(wǎng)絡(luò)軟件：操作系統(tǒng)漏洞網(wǎng)絡(luò)協(xié)議隱患網(wǎng)絡(luò)其他軟件WEB站數(shù)據(jù)庫等人員：保密意識業(yè)務(wù)不熟制度不健全素質(zhì)差非法操作交易風(fēng)險：信用風(fēng)險交易抵賴法律風(fēng)險：法律滯后環(huán)境風(fēng)險：天災(zāi)人禍二、電子商務(wù)安全問題(六)安全術(shù)語漏洞:軟硬件設(shè)計缺陷威脅：身份欺騙：非法獲得用戶及密碼等篡改數(shù)據(jù)：惡意修改數(shù)據(jù)信息暴露：將信息暴露給無權(quán)訪問人拒絕服務(wù)：阻止合法用戶使用威脅代理:通過漏洞攻擊系統(tǒng)的人或程序。病毒、蠕蟲、木馬、郵件爆炸、攻擊者。攻擊:企圖利用漏洞達到惡意目的的威脅代理。對策:減少風(fēng)險的軟件配置、硬件或程序。二、電子商務(wù)安全問題（七）電子商務(wù)安全交易體系技術(shù)措施防火墻、網(wǎng)絡(luò)防毒、加密、身份認(rèn)證、授權(quán)等管理措施：交易安全制度等法律政策與法律保障：電子商務(wù)立法。（八）電子商務(wù)交易安全動態(tài)控制動態(tài)性：“保護-反饋-修正-再保護”三、電子商務(wù)安全技術(shù)（一）電子商務(wù)安全基本手段設(shè)置虛擬專用網(wǎng)：基于Internet電子交易的專用網(wǎng)絡(luò)。保護傳輸線路安全。屏蔽技術(shù)、防雷技術(shù)、監(jiān)控、定期檢查等。采用端口保護技術(shù)。使用安全訪問設(shè)備，如智能卡等。路由選擇機制，控制傳輸路徑。設(shè)置防火墻。信息加密機制。訪問控制。鑒別機制。數(shù)據(jù)完整性機制。審計追蹤機制。入侵檢測機制。三、電子商務(wù)安全技術(shù)（二）防火墻與訪問控制1.防火墻概念：指在內(nèi)聯(lián)網(wǎng)與互聯(lián)網(wǎng)之間構(gòu)造的一個保護層，主要目的是強制信息必須經(jīng)過保護層，以實現(xiàn)信息的檢測、控制的目的。它由一個或一組網(wǎng)絡(luò)設(shè)備和部件匯集。三、電子商務(wù)安全技術(shù)（二）防火墻與訪問控制(續(xù))2.防火墻的功能信息過濾管理行為封堵禁止業(yè)務(wù)記錄通過的信息和行為對網(wǎng)絡(luò)攻擊進行檢測與報警3.防火墻種類(1)包過濾防火墻一般在路由器上實現(xiàn);通常只對源和目的IP地址及端口進行檢查.(2)代理服務(wù)型防火墻(應(yīng)用層網(wǎng)關(guān))使用代理技術(shù);具有隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)作用。(3)復(fù)合型防火墻既有包過濾功能，又具有應(yīng)用層代理等功能。三、電子商務(wù)安全技術(shù)（三）物理隔離技術(shù)1.物理隔離卡(1)單硬盤物理隔離卡單硬盤分兩區(qū)、雙網(wǎng)卡、內(nèi)外雙系統(tǒng)。(2)雙硬盤物理隔離卡內(nèi)外系統(tǒng)各用一硬盤、一網(wǎng)卡；2.物理隔離網(wǎng)閘由物理隔離網(wǎng)絡(luò)電腦、物理隔離系統(tǒng)交換機組成三、電子商務(wù)安全技術(shù)（四）入侵檢測技術(shù)IDS1.主要作用：在不影響網(wǎng)絡(luò)性能的基礎(chǔ)上，對網(wǎng)絡(luò)進行檢測，從而在系統(tǒng)受到內(nèi)部攻擊、外部攻擊及誤操作時提供實時保護。2.主要任務(wù)監(jiān)視、分析系統(tǒng)用戶及系統(tǒng)活動；對系統(tǒng)構(gòu)造及弱點進行審計；識別攻擊活動模式并告警；異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。3.主要分類（1）基于主機的入侵檢測。僅檢測分析1臺主機中的數(shù)據(jù)與行為。（2）基于網(wǎng)絡(luò)的入侵檢測。從網(wǎng)絡(luò)上采集數(shù)據(jù)進行分析和檢測。三、電子商務(wù)安全技術(shù)（五）安全掃描技術(shù)1.概念：主要是實現(xiàn)對主機或者網(wǎng)絡(luò)的掃描，使網(wǎng)管員了解網(wǎng)絡(luò)安全配置和運行的應(yīng)用服務(wù)，技及時發(fā)現(xiàn)安全漏洞，客觀評價網(wǎng)絡(luò)風(fēng)險等級。2.分類：主機安全掃描、網(wǎng)絡(luò)安全掃描。三、電子商務(wù)安全技術(shù)（六）加密與解密技術(shù)1.基本概念（1）加密：將數(shù)據(jù)進行編碼，使它成為按常規(guī)不可理解的形式（密文）的方法。（2）解密：將密文還原為原來的可理解的形式（明文）的方式。（3）加密算法：既將明文加密成密文的具體實現(xiàn)方法，通常為一加密程序。注：（1）一明文經(jīng)過不同的算法或密鑰后形成了不同的密文。 （2）數(shù)據(jù)加密技術(shù)的關(guān)鍵是加密算法和密鑰。三、電子商務(wù)安全技術(shù)（六）加密與解密技術(shù)(續(xù))2.常用加密技術(shù)(1)替換加密：使用對照表將明文中的字符替換成對照表中的字符。(2)置換加密：調(diào)整字母排列順序?qū)崿F(xiàn)加密的方法.(3)對稱加密:加密和解密使用同一密鑰.包括對稱密碼算法、對稱密鑰兩要素。優(yōu)點：加密速度快，得到密文緊湊，大小幾乎與明文相等。缺點：密鑰與密文同傳，易被截獲，安全性差，且只能使用一次。三、電子商務(wù)安全技術(shù)三、電子商務(wù)安全技術(shù)（六）加密與解密技術(shù)(續(xù))(4)非對稱加密技術(shù)(公開密碼體制):指加密和解密的密鑰不同，且不能由一個密鑰導(dǎo)出另一個密鑰。 非對稱加密技術(shù)特點：公鑰公開，可以適應(yīng)網(wǎng)絡(luò)開放性要求；密鑰的分配和管理比較容易?？梢詫崿F(xiàn)數(shù)字簽名和數(shù)據(jù)鑒別。運行效率比較低，因此用對稱加密加密信息，用非對稱加密傳遞會話密鑰。三、電子商務(wù)安全技術(shù)三、電子商務(wù)安全技術(shù)(七)數(shù)字簽名技術(shù)1.主要目的：防止篡改，確定發(fā)信人身份。2.基本原理：三、電子商務(wù)安全技術(shù)(七)數(shù)字簽名技術(shù)(續(xù))3.數(shù)字簽名原理：發(fā)送方首先用哈希函數(shù)將需要傳送的消息轉(zhuǎn)換成報文摘要。發(fā)送方采用自己的私有密鑰對報文摘要進行加密，形成數(shù)字簽字。發(fā)送方把加密后的數(shù)字簽字附加在要發(fā)送的報文后面，傳遞給接收方。接收方使用發(fā)送方的公有密鑰對數(shù)字簽字進行解密，得到發(fā)送方形成的報文摘要。接收方用哈希函數(shù)將接收到的報文轉(zhuǎn)換成報文摘要，與發(fā)送方形成的報文摘要相比較，若相同，說明文件在傳輸過程中沒有被破壞。

三、電子商務(wù)安全技術(shù)(七)數(shù)字簽名技術(shù)(續(xù))4.數(shù)字簽名功能：接受人可確定發(fā)送人的真實身份；發(fā)送者事后不能否認(rèn)發(fā)送過該報文；保證報文準(zhǔn)確性和完整性。5.數(shù)字時間戳：數(shù)字時間戳服務(wù)（DTS)是網(wǎng)上電子商務(wù)安全服務(wù)項目之一，它能提供電子文件的日期和時間信息的安全保護。時間戳是一個經(jīng)加密后形成的憑證文檔，它包括需加時間戳的文件的摘要、DTS收到文件的日期和時間、DTS的數(shù)字簽字三個部分。

6.數(shù)字信封：對稱加密信息，對稱密鑰用非對稱密鑰加密后形成信封，再傳給接收方。三、電子商務(wù)安全技術(shù)（八）認(rèn)證技術(shù)1.客戶端認(rèn)證：基于客戶端IP地址的認(rèn)證機制。主要包括身份認(rèn)證、通過認(rèn)證機構(gòu)進行的信息認(rèn)證。前者鑒別用戶身份，后者保證雙