《電子商務(wù)概論》-各組知識點

頁⑤定時：確定特定地點的精確的時間基于定位的移動商務(wù)的開展障礙①設(shè)備的精確性②本錢—收益評價③有限的網(wǎng)絡(luò)帶寬④隱私受到侵犯第十章電子商務(wù)平安1.電子商務(wù)犯罪：偽造信用卡購置、數(shù)據(jù)竊取、網(wǎng)絡(luò)釣魚、惡意軟件和身份竊取等。2.信息保障：是一個用來防止未經(jīng)認(rèn)證就使用或修改存儲的、處理中的或者通過網(wǎng)絡(luò)發(fā)送的信息的信息保護系統(tǒng)。三要素：機密性、完整性和可用性1〕機密性：是數(shù)據(jù)隱私的保障2〕完整性：是數(shù)據(jù)是準(zhǔn)確的或者信息沒有被修改的保障3〕可用性：是這樣一種保障，即數(shù)據(jù)、電子商務(wù)網(wǎng)站或者其它電子商務(wù)數(shù)據(jù)效勞的訪問是及時的、可使用的、可信賴的，僅被授權(quán)的用戶可以獲取4.認(rèn)證性：是證明一個實體的身份的過程5.授權(quán)性：是決定已確認(rèn)實體可以訪問哪些內(nèi)容、進行哪些操作的過程6.電子商務(wù)平安工程：包含所有的政策、過程、文件、標(biāo)準(zhǔn)、硬件、軟件、培訓(xùn)和一起工作以保護信息的人員，還有經(jīng)營業(yè)務(wù)的能力以及其它資產(chǎn)。阻止電子商務(wù)犯罪1、對網(wǎng)絡(luò)零售商來說阻止網(wǎng)絡(luò)犯罪和欺詐艱難的原因：〔1〕強大的電子商務(wù)平安措施會使在線購物變得不方便；〔2〕缺少信用卡發(fā)行商和國外ISP之間的協(xié)調(diào)；〔3〕網(wǎng)上購置者并沒有采取必要的防止成為受害者的預(yù)防措施；〔4〕IS的設(shè)計和平安系統(tǒng)都比擬容易受到攻擊；〔5〕軟件的漏洞也是一個巨大的平安問題；〔6〕管理者有時會忽略對標(biāo)準(zhǔn)的應(yīng)有的關(guān)注。電子商務(wù)平安戰(zhàn)略和生命周期法1、電子商務(wù)平安戰(zhàn)略把電子商務(wù)平安看成一個阻止非法使用阻止品牌、身份信息、網(wǎng)站、郵件、信息和其他資產(chǎn)以及詐騙組織、顧客和員工的企圖的有效手段。保證網(wǎng)民能增進消費者體驗和實現(xiàn)商家利潤最大化。信息保障1、電子商務(wù)的成功和平安依賴于信息和電子商務(wù)網(wǎng)站的機密性、完整性和可用性：〔1〕機密性是數(shù)據(jù)隱私的保障；〔2〕完整性是數(shù)據(jù)是準(zhǔn)確的或者信息沒有被修改的保障；〔3〕可用性是這樣一種保障，即數(shù)據(jù)、電子商務(wù)網(wǎng)站或者其他電子商務(wù)數(shù)據(jù)效勞的訪問是及時的、可使用的、可信賴的，僅被授權(quán)的用戶可以獲取。2、與使用者而不是數(shù)據(jù)相關(guān)的平安概念是認(rèn)證性、授權(quán)性和不可否認(rèn)性：〔1〕認(rèn)證性是證明一個實體的身份的過程；〔2〕授權(quán)性是決定已認(rèn)證實體可以訪問哪些內(nèi)容、進行哪些操作的過程；〔3〕不可否認(rèn)性是指網(wǎng)上的客戶或者交易伙伴不能錯誤地否認(rèn)他們的購置和交易等的保證。企業(yè)范圍的電子商務(wù)平安和隱私模型1、企業(yè)的電子商務(wù)平安和隱私模型：根本的電子商務(wù)平安問題和觀點電子商務(wù)交易中可能會出現(xiàn)的平安問題的種類：1、從使用者角度：〔1〕用戶如何才能知道這個效勞器是有一個合法公司擁有并運營的？〔2〕用戶如何才能知道該網(wǎng)站員工不會截取和濫用他的信息？2、從公司角度：〔1〕公司如何才能知道使用者不會企圖闖入網(wǎng)站效勞器或者修改網(wǎng)頁和內(nèi)容？3、從雙方的角度：〔1〕雙方如何知道網(wǎng)絡(luò)連接沒有被第三方監(jiān)視？〔2〕雙方如何知道來往的信息沒有被修改正？10.6威脅和攻擊1.攻擊的分類〔1〕非技術(shù)性攻擊：利用欺騙或其他手段促使人們主動泄露信息，或者采取降低網(wǎng)絡(luò)平安性的活動。社會工程攻擊：非技術(shù)攻擊的一類，操控人們公開關(guān)鍵的認(rèn)證信息。如網(wǎng)絡(luò)釣魚〔竊取目標(biāo)公司的身份來得到其客戶的身份的技術(shù)，例如仿冒一個網(wǎng)銀登陸界面誘騙用戶輸入賬號密碼〕〔2〕技術(shù)性攻擊。電腦蠕蟲、間諜軟件等。開發(fā)時間：是指從發(fā)現(xiàn)漏洞到病毒被開發(fā)出來所經(jīng)歷的時間。現(xiàn)在，開發(fā)時間越來越短。2.拒絕效勞、僵尸電腦和網(wǎng)絡(luò)釣魚拒絕效勞〔denialofservice，DoS〕：效勞器收到大量訪問請求以至于系統(tǒng)崩潰，不能回應(yīng)。攻擊者使用僵尸電腦和控制它們的間諜軟件來發(fā)動DoS攻擊。3.僵尸網(wǎng)絡(luò)由僵尸主控機控制大量被劫持的互聯(lián)網(wǎng)計算機，轉(zhuǎn)發(fā)垃圾廣告、病毒等內(nèi)容到其他電腦上。4.惡意代碼〔1〕惡意代碼〔惡意軟件〕：依據(jù)如何傳播分為幾個大類。病毒。包括用于傳播的繁殖機制和進行破壞的有效載荷。蠕蟲。可以在沒有人為介入的情況下自行傳播。特洛伊木馬。典型的一類是可以使其他人通過互聯(lián)網(wǎng)遠(yuǎn)程控制電腦的程序?！?〕案例 惡意軟件被用來進行新的電腦犯罪。如，竊取銀行客戶信息，獲得轉(zhuǎn)賬資金。〔3〕防范方法 對新軟件的安裝實行嚴(yán)格的政策。終端使用者禁止安裝未授權(quán)的程序。管理者需要核對程序和補丁在安裝時的完整性。新的程序和工具在投入使用前應(yīng)當(dāng)進行測試。10.7保障電子商務(wù)通信的平安1.訪問控制〔1〕訪問控制決定誰可以使用哪些網(wǎng)絡(luò)資源。訪問控制列表〔ACL〕定義了哪些用戶可以訪問哪些資源，以及其對這些資源擁有哪些權(quán)限。〔2〕身份認(rèn)證是確認(rèn)用戶身份的過程。①基于密碼的傳統(tǒng)認(rèn)證:往往不平安。②生物特征識別系統(tǒng)：指紋、面部、聲音識別系統(tǒng)等。2.公鑰根底設(shè)施〔PKI〕〔1〕私鑰和公鑰加密加密技術(shù)上是PKI的核心，是指將信息數(shù)據(jù)打亂〔加密〕，使得未經(jīng)授權(quán)的人難以解密。加密通常由五個局部組成:明文〔可直接讀懂〕、密文〔不可讀〕、加密算法〔用來加密或解密的公式或過程〕、密鑰〔算法用來改變信息形式的特別數(shù)字〕、密鑰空間〔大量的可能密鑰〕。具體解釋和實例在中給出。〔2〕對稱密鑰(私鑰)系統(tǒng)明文信息明文信息〔發(fā)送者〕者密文明文信息〔接收者〕者私鑰加密私鑰解密發(fā)送者和接收者使用同樣的密鑰加密解密。密鑰不可以對外公開?！?〕公共〔非對稱〕密鑰加密一對互相匹配的密鑰。公鑰向所有人公開，用于加密信息，私鑰由擁有者所有，用于解密信息，只有匹配的私鑰才能解密公鑰加密的信息。例如，一個人想要向一家公司發(fā)送訂單，他使用公司的公鑰加密，公司使用自己的私鑰解密。最常見的公鑰加密算法是RSA。公鑰加密的最大問題是速度較慢?！?〕數(shù)字簽名和數(shù)字證書數(shù)字簽名的工作原理如圖。最終在收件人處將合同信息生成的信息摘要與通過密鑰解密得到的原始信息摘要進行比照，如果一致，說明信息在傳輸過程中沒有被篡改。數(shù)字簽名已被成認(rèn)具有同白紙黑字簽名同等的法律地位。數(shù)字證書由第三方——認(rèn)證中心簽發(fā)。VeriSign是最著名的認(rèn)證中心?！?〕平安套接層〔SSL〕為全球不同的機構(gòu)制定的廣泛接受的一種傳輸協(xié)議，應(yīng)用標(biāo)準(zhǔn)認(rèn)證證書和數(shù)據(jù)加密技術(shù)來確保私密性或機密性。10.8：確保電子商務(wù)網(wǎng)絡(luò)的平安引言：確保組織網(wǎng)絡(luò)邊界平安的設(shè)計理念：1.全面防御2.訪問控制〔遵守最小特權(quán)原那么〕3.角色平安4.監(jiān)控5.給系統(tǒng)打補丁6.實踐應(yīng)變團隊10.8.1防火墻1.防火墻。根底概念:可信任的網(wǎng)絡(luò)或者計算機與不值得信任的互聯(lián)網(wǎng)間的屏障應(yīng)用機制：防火墻檢查所有通過他的數(shù)據(jù)包，決定是否允許通過2.包。根底概念：一臺計算機發(fā)給其他計算機的請求和數(shù)據(jù)分成的小段。3.封包過濾路由器。根底概念：基于IP地址，過濾數(shù)據(jù)和連接到某個私有網(wǎng)絡(luò)的請求4.包過濾。根底概念：根據(jù)來源地址、目的地址和其他身份接受或拒絕包的進入。應(yīng)用機制：例：阻止來自特定互聯(lián)網(wǎng)地址的全部的包，阻止擁有內(nèi)部計算機地址的來自外部的任何包缺點：一旦規(guī)那么有漏洞，包內(nèi)部網(wǎng)通過防火墻，絡(luò)將面臨數(shù)據(jù)驅(qū)動的攻擊5.應(yīng)用層代理。根底概念：根據(jù)被訪問的應(yīng)用類型來阻止數(shù)據(jù)或請求。應(yīng)用機制：應(yīng)用層代理含堡壘網(wǎng)關(guān)的專門效勞器，叫做代理的專門軟件程序在堡壘網(wǎng)關(guān)上運行，把重新包裝的包從一個網(wǎng)絡(luò)傳送到另一個網(wǎng)絡(luò)虛擬專用網(wǎng)概念： 用公共互聯(lián)網(wǎng)傳輸信息，但用加密組件保護通信過程，用認(rèn)證確保信息來源以及信息沒有被篡改，用訪問核實網(wǎng)絡(luò)使用者的身份。用途： 支持分支機構(gòu)和總部之間的點對點通信以及移動用戶和工作場所之間的通信。優(yōu)點： 降低通信費用 一條訪問線路可以用來支持多種目的。入侵檢測系統(tǒng)概念：監(jiān)視網(wǎng)絡(luò)或主機上的活動，關(guān)注可疑活動并采取行動的軟件。分類：基于主機：位于被監(jiān)視的效勞器或其他主機系統(tǒng)上，適合檢測重要數(shù)據(jù)是否被篡改戶是否企圖訪問無權(quán)訪問的文件基于網(wǎng)絡(luò)：位于網(wǎng)絡(luò)邊緣或關(guān)鍵位置，分析可疑活動，識別攻擊類型，通知安保人員蜜網(wǎng)和蜜罐概念：蜜網(wǎng)：設(shè)計用來像花蜜一樣吸引蜜蜂吸引黑客的蜜罐網(wǎng)絡(luò)蜜罐：諸如防火墻、Web效勞器、數(shù)據(jù)庫效勞器、文件之類的信息系統(tǒng)資源用途：分析黑客活動欺詐和買賣雙方的保護網(wǎng)絡(luò)欺詐主要形式：金融詐騙：1.股票詐騙2.偽造投資3.外匯交易欺詐非金融詐騙：1.釣魚2勒索3.虛假的第三方托管網(wǎng)站4.點擊詐騙消費者保護第三方保證效勞：TRUSTe旗下的Trustmark.商業(yè)改良局Which?在線隱私聯(lián)盟10.9.3賣方保護商家防范：1.否認(rèn)已下訂單2.下載有版權(quán)的軟件或知識賣給別人3.提供虛假致富信息4.冒充商家5.侵犯產(chǎn)權(quán)解決方案：智能軟件識別對于可能的詐騙性交易識別警示信號要求增加備選地址第十一章電子商務(wù)支付系統(tǒng)、訂單履行及其他支持性效勞一、主要概念在線支付效勞：該效勞是建立在商家、顧客和金融網(wǎng)絡(luò)之間的聯(lián)系，從而提供使授權(quán)和支付在線完成的效勞。支付卡：指存有某些信息的電子卡，這些信息是實現(xiàn)支付所必需的。主要包括信用卡，簽賬卡和借記卡。授權(quán)：確認(rèn)持卡人的卡是否已經(jīng)被激活而且有足夠的余額。結(jié)算：資金從購置人到商家的轉(zhuǎn)移過程。智能卡：大小如同信用卡大小，但是嵌入了微型芯片。主要有兩種：接觸卡和非接觸卡。儲值卡：具有信用卡和借記卡相似的功能，價值由預(yù)先存入卡中的金額決定，是反面有磁條的塑料卡片，資金就是存儲在磁條上。小額電子支付：每筆交易費用較小的電子支付方式。電子支票：紙質(zhì)支票的一種合法的電子版本和表現(xiàn)形式，它包含了支票的所有信息，與紙質(zhì)支票功能相同，并遵循同樣的法規(guī)。二、主要知識點1.支付卡的三種主要類型。信用卡。信用卡的持有者可以在發(fā)卡行規(guī)定的信用額度內(nèi)消費。簽賬卡。它與信用卡不同，既有無限信貸額度，是常常使用大筆金額的持卡人的最正確工具。借記卡。借記卡的消費的錢來源于持卡者先前存在卡中的資金。2.電子商務(wù)經(jīng)營者對網(wǎng)上支付系統(tǒng)的三種配置選擇。eq\o\ac(○,1)自己擁有一套支付系統(tǒng)軟件。商家可以購置一種支付程序組建并將它與自己的電子商務(wù)系統(tǒng)整合。eq\o\ac(○,2)利用收單銀行的POS系統(tǒng)。商家將持卡人帶到收單銀行的POS系統(tǒng)，POS系統(tǒng)處理整個支付過程，并一旦支付完成它就會把持卡人帶會商家網(wǎng)站。eq\o\ac(○,3)利用第三方支付效勞提供商的POS系統(tǒng)。商家可以依靠由支付效勞提供商提供的效勞器。3．信用卡支付過程涉及的主要參與方。收單銀行。它為商家提供一種名為網(wǎng)上客戶的特殊賬戶，從而是信用卡的授權(quán)認(rèn)可與支付處理成為可能。信用卡協(xié)會。它是向銀行提供卡片效勞的金融機構(gòu)。顧客。發(fā)卡行。商家。支付處理效勞。建立商家，顧客和金融網(wǎng)絡(luò)之間的聯(lián)系，從而使授權(quán)和支付成為可能的效勞。處理器。用來處理交易和轉(zhuǎn)賬的大型數(shù)據(jù)中心。4.智能卡的兩種主要類型。接觸卡：需要插入讀卡器才能工作。非接觸卡：僅需要與智能卡讀卡器在一定距離內(nèi)就可以處理交易。5.較為成功的五種小額支付模式。積累。單個消費者的支付款項在積累到一定數(shù)額或超過一定時間后才會被處理。直接支付。小額支付可以背添加到已有效勞的賬單上。存儲價值。用戶會對借記卡賬戶進行預(yù)先支付，而每筆交易的費用都是從借記卡上扣除的。訂閱。用戶付費后可獲得一段時間內(nèi)瀏覽權(quán)或使用權(quán)。非套餐支付。商家在交易發(fā)生時候就先進行處理，并會