電子商務重點劃分課件

電子商務概論

電子商務的安全問題電子商務概論電子商務的安全問題電子商務的安全問題案例學習目標學習內(nèi)容2023/10/101電子商務的安全問題案例2023/10/81案例國外2000年2月7日－9日，Yahoo,ebay,Amazon等著名網(wǎng)站被黑客攻擊，直接和間接損失10億美元。國內(nèi)2000年春天，有人利用普通的技術(shù)，從電子商務網(wǎng)站竊取到8萬個信用卡號和密碼，標價26萬元出售。2023/10/102案例國外2023/10/82CNNIC調(diào)查結(jié)果（2003年1月）

用戶認為目前網(wǎng)上交易存在的最大問題是：

安全性得不到保障：23.4%

付款不方便：10.8%

產(chǎn)品質(zhì)量、售后服務及廠商信用得不到保障：39.3%

送貨不及時：8.6%

價格不夠誘人： 10.8%

網(wǎng)上提供的信息不可靠：6.4%

其它：0.7%2023/10/103CNNIC調(diào)查結(jié)果（2003年1月）學習目標了解電子商務面臨的主要安全威脅了解電子商務對安全的基本要求熟悉電子商務常用的安全技術(shù)掌握防火墻的功能和工作原理了解電子商務常用的加密技術(shù)了解電子商務的認證體系掌握SSL和SET的流程和工作原理2023/10/104學習目標了解電子商務面臨的主要安全威脅2023/10/84學習內(nèi)容電子商務安全隱患電子商務安全體系電子商務安全技術(shù)數(shù)字證書及其應用電子商務安全法律與制度2023/10/105學習內(nèi)容電子商務安全隱患2023/10/851.電子商務安全隱患與類型安全隱患系統(tǒng)中斷破壞系統(tǒng)的有效性竊聽信息破壞系統(tǒng)的機密性篡改信息破壞系統(tǒng)的完整性偽造信息破壞系統(tǒng)的真實性對交易行為進行抵賴要求系統(tǒng)具備審查能力類型物理安全問題網(wǎng)絡(luò)安全問題數(shù)據(jù)的安全性對交易不同方表現(xiàn)的不同安全問題2023/10/1061.電子商務安全隱患與類型安全隱患2023/10/86

電子安全交易的基本要求信息的保密性信息的完整性交易者身份的真實性不可抵賴性系統(tǒng)的可靠性2023/10/107電子安全交易的基本要求2023/10/872.電子商務安全體系技術(shù)保障法律控制社會道德規(guī)范完善的管理政策、制度2023/10/1082.電子商務安全體系2023/10/88信息系統(tǒng)安全層次模型2023/10/109信息系統(tǒng)安全層次模型2023/10/89一、二、三層：信息、軟件、網(wǎng)絡(luò)安全2023/10/1010

這三層是計算機信息系統(tǒng)安全的關(guān)鍵。包括：

數(shù)據(jù)的加密解密（加密解密算法、密鑰管理）操作系統(tǒng)、應用軟件的安全（用戶注冊、用戶權(quán)限（如：查詢權(quán)限、錄入權(quán)限、分析權(quán)限、管理權(quán)限)管理）數(shù)據(jù)庫安全（訪問控制、數(shù)據(jù)備份與管理、數(shù)據(jù)恢復）數(shù)據(jù)的完整性（RAID冗余磁盤陣列技術(shù)、負載均衡、HA高可用技術(shù)）網(wǎng)絡(luò)安全（對網(wǎng)絡(luò)傳輸信息進行數(shù)據(jù)加密、認證、數(shù)字簽名、訪問控制、網(wǎng)絡(luò)地址翻譯、防毒殺毒方案等，如防火墻技術(shù)、虛擬網(wǎng)VPN、秘密電子郵件PEM）病毒防范（硬件防范、軟件防范、管理方面的防范）一、二、三層：信息、軟件、網(wǎng)絡(luò)安全2023/10/810對自然災害防范：防火、防水、防地震。如：建立備份中心防范計算機設(shè)備被盜：固定件、添加鎖、設(shè)置警鈴、購置柜機、系統(tǒng)外人員不得入內(nèi)等盡量減少對硬件的損害：不間斷電源、消除靜電、系統(tǒng)接地等2023/10/1011四、五層：硬件系統(tǒng)的保護和物理實體的安全2023/10/811四、五層：硬件系統(tǒng)的保護和物理實體的安

管理制度的建立與實施包括運行與維護的管理規(guī)范、系統(tǒng)保密管理的規(guī)章制度、安全管理人員的教育培訓、制度的落實、職責的檢查等方面內(nèi)容。法律制度與道德規(guī)范要求國家制定出嚴密的法律、政策，規(guī)范和制約人們的思想和行為，將信息系統(tǒng)納入規(guī)范化、法制化和科學化的軌道。有關(guān)的條例有：《中華人民共和國計算機信息系統(tǒng)安全保護條例》、

《計算機信息系統(tǒng)保密管理暫行規(guī)定》等。2023/10/1012六層、七層管理制度的建立與實施2023/10/812六層、七層3.電子商務安全技術(shù)信息加密數(shù)字簽名數(shù)字證書安全協(xié)議防火墻防病毒軟件2023/10/10133.電子商務安全技術(shù)信息加密2023/10/813

部分告之：在網(wǎng)上交易中將最關(guān)鍵的數(shù)據(jù)略去，再告之。另行確認：交易后，用電子郵件對交易進行確認。在線服務：用企業(yè)提供的內(nèi)部網(wǎng)來提供聯(lián)機服務。2023/10/1014早期曾采用過的方法部分告之：在網(wǎng)上交易中將最關(guān)鍵的數(shù)據(jù)略去，再告之。20數(shù)字加密技術(shù)

為了保證信息在網(wǎng)上傳輸過程中不被篡改，必須對所發(fā)送的信息進行加密。

例如：將字母a，b，c，d，e，…x，y，z的自然順序保持不變，但使之與D，E，F(xiàn)，G，H，…，Y，Z，A，B分別對應（即相差3個字符）。若明文為and，則對應密文為DQG。（接收方知其密碼為3，它就能解開此密文）。2023/10/1015數(shù)字加密技術(shù)為了保證信息在網(wǎng)上傳輸過程中不被篡改，必須對所對稱密鑰密碼體系

對稱密鑰密碼體系(SymmetricCryptography)又稱對稱密鑰技術(shù)。

對稱密鑰密碼體系的優(yōu)點是加密、解密速度很快(高效)，但缺點也很明顯：密鑰難于共享，需太多密鑰。2023/10/1016對稱密鑰密碼體系對稱密鑰密碼體系(SymmetricCr非對稱密鑰密碼體系

非對稱密鑰密碼體系(AsymmetricCryptography)也稱公開密鑰技術(shù)。

非對稱密鑰技術(shù)的優(yōu)點是：易于實現(xiàn)，使用靈活，密鑰較少。

弱點在于要取得較好的加密效果和強度，必須使用較長的密鑰。2023/10/1017非對稱密鑰密碼體系非對稱密鑰密碼體系(Asymmetric數(shù)字信封

“數(shù)字信封”(也稱電子信封)技術(shù)。

具體操作方法是：每當發(fā)信方需要發(fā)送信息時首先生成一個對稱密鑰，用這個對稱密鑰加密所需發(fā)送的報文；然后用收信方的公開密鑰加密這個對稱密鑰，連同加密了的報文一同傳輸?shù)绞招欧?。收信方首先使用自己的私有密鑰解密被加密的對稱密鑰，再用該對稱密鑰解密出真正的報文。2023/10/1018數(shù)字信封“數(shù)字信封”(也稱電子信封)技術(shù)。2023/10數(shù)字簽名和數(shù)字指紋

采用數(shù)字簽名，應該確定以下兩點：保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認或難以否認。保證信息自簽發(fā)后到收到止未作任何改動，簽發(fā)的文件是真實文件。2023/10/1019數(shù)字簽名和數(shù)字指紋采用數(shù)字簽名，應該確定以下兩點：202數(shù)字指紋

Hash編碼法采用單向Hash函數(shù)將需加密的明文“摘要”成一串128位的密文，這128位的密文就是所謂的數(shù)字指紋，又稱信息鑒別碼（MAC，MessageAuthenticatorCode），它有固定的長度，且不同的明文摘要成不同的密文，而同樣的明文其摘要必定一致。數(shù)字指紋的應用使交易文件的完整性（不可修改性）得以保證。2023/10/1020數(shù)字指紋2023/10/820防火墻防火墻（firewal1）的概念

是指一個由軟件或和硬件設(shè)備組合而成，是加強因特網(wǎng)與內(nèi)部網(wǎng)之間安全防范的一個或一組系統(tǒng)。它具有限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。它可以確定哪些內(nèi)部服務允許外部訪問，哪些外部服務可由內(nèi)部人員訪問，即它能控制網(wǎng)絡(luò)內(nèi)外的信息交流，提供接入控制和審查跟蹤，是一種訪問控制機制。防火墻的安全策略“凡是未被準許的就是禁止的”“凡是未被禁止的就是允許的”2023/10/1021防火墻防火墻（firewal1）的概念2023/10/821包過濾型防火墻包過濾型防火墻往往可以用一臺過濾路由器來實現(xiàn)，對所接收的每個數(shù)據(jù)包做允許或拒絕的決定。包過濾路由器型防火墻的優(yōu)點：處理包的速度要比代理服務器快；包過濾路由器型防火墻的缺點：防火墻的維護比較困難等2023/10/1022過濾路由器Internet內(nèi)部網(wǎng)絡(luò)包過濾型防火墻包過濾型防火墻往往可以用一臺過濾路由器來實現(xiàn)，雙宿網(wǎng)關(guān)防火墻

雙宿網(wǎng)關(guān)是一種擁有兩個連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻。兩個網(wǎng)絡(luò)之間的通信可通過應用層數(shù)據(jù)共享或應用層代理服務來完成。所以為了保證內(nèi)部網(wǎng)的安全，雙重宿主主機應具有強大的身份認證系統(tǒng)，才可以阻擋來自外部不可信網(wǎng)絡(luò)的非法登錄。2023/10/1023NIC代理服務器NICInternet內(nèi)部網(wǎng)絡(luò)雙宿網(wǎng)關(guān)防火墻雙宿網(wǎng)關(guān)是一種擁有兩個連接到不同屏蔽主機防火墻

屏蔽主機防火墻強迫所有的外部主機與一個堡壘主機相連接，而不讓它們直接與內(nèi)部主機相連。屏蔽主機防火墻包過濾路由器和堡壘主機組成。這個防火墻系統(tǒng)提供的安全等級比包過濾防火墻系統(tǒng)要高，因為它實現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應用層安全（代理服務）。2023/10/1024過濾路由器堡壘主機Internet內(nèi)部網(wǎng)絡(luò)屏蔽主機防火墻屏蔽主機防火墻強迫所有的外部主屏蔽子網(wǎng)防火墻2023/10/1025外部過濾路由器堡壘主機Internet內(nèi)部網(wǎng)絡(luò)內(nèi)部過濾路由器

屏蔽子網(wǎng)防火墻系統(tǒng)用了兩個包過濾路由器和一個堡壘主機。這個防火墻系統(tǒng)建立的是最安全的防火墻系統(tǒng)，因為在定義了“非軍事區(qū)”網(wǎng)絡(luò)后，它支持網(wǎng)絡(luò)層和應用層安全功能。網(wǎng)絡(luò)管理員將堡壘主機，信息服務器，Modem組，以及其它公用服務器放在“非軍事區(qū)”網(wǎng)絡(luò)中。屏蔽子網(wǎng)防火墻2023/10/825外部堡壘主機Intern虛擬專網(wǎng)（VPN）技術(shù)VPN是使分布在不同地方的專用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上實現(xiàn)安全通信的網(wǎng)絡(luò)技術(shù)。使用加密、信息和身份認證、訪問控制等技術(shù)。VPN產(chǎn)品種類：帶VPN功能的路由器、軟件VPN系統(tǒng)、專用硬件VPN設(shè)備等內(nèi)部網(wǎng)虛擬專用網(wǎng)、遠程訪問虛擬專用網(wǎng)、外部網(wǎng)虛擬專用網(wǎng)2023/10/1026虛擬專網(wǎng)（VPN）技術(shù)VPN是使分布在不同地方的專用網(wǎng)絡(luò)在不2023/10/1027VPN設(shè)備路由器VPN設(shè)備路由器VPN設(shè)備路由器VPN設(shè)備路由器專網(wǎng)3專網(wǎng)2專網(wǎng)1專網(wǎng)4隧道隧道隧道隧道VPN技術(shù)結(jié)構(gòu)2023/10/827VPN設(shè)備路由器VPN設(shè)備路由器VPN

2023/10/10282023/10/8284.電子商務安全協(xié)議

SSL:安全套層協(xié)議（會話層）在建立連接的過程中采用公開密鑰；在會話過程中采用專用密鑰；每一次會話都要求服務器使用專用密鑰的操作和一次使用客戶機公開密鑰的操作。

SET:安全電子交易協(xié)議（應用層）對消費者、商戶、收單行進行認證。2023/10/10294.電子商務安全協(xié)議SSL:安全套層協(xié)議（會話層）202在Internet上進行欺騙的模式：采用假的服務器來欺騙用戶的終端；采用假的用戶來欺騙服務器；在信息的傳輸過程中截取信息；在Web服務器及Web用戶之間進行雙方欺騙。2023/10/1030SSL安全技術(shù)在Internet上進行欺騙的模式：2023/10/830S

SSL記錄協(xié)議基本特點:連接是專用的；連接是可靠的。

SSL握手協(xié)議基本特點:能對通信雙方的身份的認證；進行協(xié)商的雙方的秘密是安全的；協(xié)商是可靠的。2023/10/1031SSL記錄協(xié)議基本特點:2023/10/831SET安全技術(shù)SET協(xié)議的作用

個人賬號信息與訂單信息的隔離。

商家只能看到定貨信息,而看不到持卡人的帳戶信息。

對交易者的身份進行確認和擔保。

持卡人、商家和銀行等交易者通過第三方權(quán)威機構(gòu)的身份認證服務。

統(tǒng)一協(xié)議和報文的格式。

使不同廠家開發(fā)的軟件能相互兼容。2023/10/1032SET安全技術(shù)SET協(xié)議的作用2023/10/832SET的優(yōu)點

SET保證了商家的合法性，并且用戶的信用卡號不會被竊取。

SET對于參與交易的各方定義了互操作接口，一個系統(tǒng)可以由不同廠商的產(chǎn)品構(gòu)筑。

SET可以用在系統(tǒng)的一部分或者全部。2023/10/1033SET的優(yōu)點2023/10/8335.數(shù)字證書與CA認證中心數(shù)字證書CA認證中心案例2023/10/10345.數(shù)字證書與CA認證中心2023/10/834數(shù)字證書

什么是數(shù)字證書數(shù)字證書就是網(wǎng)絡(luò)通訊中標志通訊各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet上驗證您身份的方式。數(shù)字證書是一個經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。證書的格式遵循ITUX.509國際標準。2023/10/1035數(shù)字證書什么是數(shù)字證書2023/10/835一個標準的X.509數(shù)字證書內(nèi)容

證書的版本信息；

證書的序列號，每個證書都有一個唯一的證書序列號；

證書所使用的簽名算法；

證書的發(fā)行機構(gòu)名稱，命名規(guī)則一般采用X.500格式；

證書的有效期，現(xiàn)在通用的證書一般采用UTC時間格式，它的計時范圍為1950-2049；

證書所有人的名稱，命名規(guī)則一般采用X.500格式；

證書所有人的公開密鑰；

證書發(fā)行者對證書的數(shù)字簽名。2023/10/1036一個標準的X.509數(shù)字證書內(nèi)容2023/10/836數(shù)字證書的三種類型

個人證書它僅僅為某一個用戶提供數(shù)字證書。

企業(yè)（服務器）數(shù)字證書它通常為網(wǎng)上的某個Web服務器提供數(shù)字證書。

軟件（開發(fā)者）數(shù)字證書它通常為因特網(wǎng)中被下載的軟件提供數(shù)字證書。2023/10/1037數(shù)字證書的三種類型個人證書2023/10/837

數(shù)字證書利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰，用它進行解密和簽名；同時設(shè)定一把公共密鑰（公鑰）并由本人公開，為一組用戶所共享，用于加密和驗證簽名。當發(fā)送一份保密文件時，發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密，而接收方則使用自己的私鑰解密。2023/10/1038數(shù)字證書原理簡介數(shù)字證書利用一對互相匹配的密鑰進行加認證中心

認證中心，又稱為證書授證(CertificateAuthority)中心，是一個負責發(fā)放和管理數(shù)字證書的權(quán)威機構(gòu)。

認證中心的作用證書的頒發(fā)；證書的更新；證書的查詢；證書的作廢；證書的歸檔。2023/10/1039認證中心認證中心，又稱為證書授證(Certificate數(shù)據(jù)加密解密、身份認證流程圖2023/10/1040數(shù)據(jù)加密解密、身份認證流程圖2023/10/840

A用戶先用Hash算法對發(fā)送發(fā)信息（即“明文”）進行運算，形成“信息摘要”，并用自己的私人密鑰對其加密，從而形成數(shù)字簽名。

A用戶再把數(shù)字簽名及自己的數(shù)字證書附在明文后面。

A用戶隨機產(chǎn)生的對稱密鑰（DES密鑰）對明文進行加密，形成密文。

為了安全把A用戶隨機產(chǎn)生的對稱密鑰送達B用戶，A用戶用B用戶的公開密鑰對其進行加密，形成了數(shù)字信封。這樣A用戶最后把密文和數(shù)字信封一起發(fā)送給B用戶。

B用戶收到A用戶的傳來的密文與數(shù)字信封后，先用自己的私有密鑰對數(shù)字信封進行解密，從而獲得A用戶的DES密鑰，再用該密鑰對密文進行解密，繼而得到明文、A用戶的數(shù)字簽名及用戶的數(shù)字證書。

為了確保“明文”的完整性，B用戶把明文用Hash算法對明文進行運算，形成“信息摘要”。

同時B用戶把A用戶的數(shù)字簽名用A用戶的公開密鑰進行解密，從而形成另一“信息摘要1”。

B用戶把“信息摘要”與“信息摘要1”進行比較，若一致，說明收到的“明文”沒有被修改過。2023/10/1041A用戶先用Hash算法對發(fā)送發(fā)信息（即“明文”）個人數(shù)字證書的申請個人數(shù)字證書介紹可以利用個人數(shù)字證書來發(fā)送簽名或加密的電子郵件。個人數(shù)字證書分為二個級別第一級數(shù)字證書，僅僅提供電子郵件的認證，不對個人的。真實姓名等信息認證；第二級個人數(shù)字證書提供對個人姓名、身份等信息的認證。個人數(shù)字證書的獲得當個人數(shù)字證書申請后，認證中心對申請者的電子郵件地址、個人身份及信用卡號等信息進行核實，通常在三~五天內(nèi)即可頒發(fā)數(shù)字證書。2023/10/1042

數(shù)字證書的申請、頒發(fā)個人數(shù)字證書的申請2023/10/842數(shù)字證書的申請、頒服務器數(shù)字證書的申請

Web服務器證書的作用：驗證Web服務器的真實性。服務器數(shù)字證書的情況分析服務器數(shù)字證書的可信度是建立在：對管理和操作該服務器的組織或單位的進行必要的信用調(diào)查；接受數(shù)字證書操作的嚴密規(guī)范；強有力的技術(shù)支持，例如，難以破解的加密技術(shù)；設(shè)備的高可靠性。202