電子商務基礎 第4版 教案 第5 章　電子商務安全

復習提問：導入新課：隨著互聯(lián)網(wǎng)技術和商業(yè)化應用的繁榮和成熟，企業(yè)和個人的網(wǎng)絡財產(chǎn)安全顯得日益的重要。但根據(jù)相關數(shù)據(jù)顯示，目前全球互聯(lián)網(wǎng)網(wǎng)絡安全投入已經(jīng)接近900億美元，其中互聯(lián)網(wǎng)安全產(chǎn)品的正常產(chǎn)值只有不到300億美元，互聯(lián)網(wǎng)安全領域的黑灰產(chǎn)業(yè)鏈產(chǎn)業(yè)已達千億美元。由于互聯(lián)網(wǎng)的開放性和其他因素，在進行電子商務活動特別是網(wǎng)絡支付環(huán)節(jié)時，需要傳遞消費者和商家的信息，如商家和用戶的基本信息、用戶的銀行賬號等隱私信息、訂購消費需求等，這些信息恰恰又是網(wǎng)絡非法入侵或黑客攻擊的首選目標。講授新課：【引導案例】中國互聯(lián)網(wǎng)安全發(fā)展趨勢5.1電子商務安全概述5.1.1電子商務安全從狹義的角度來看，具體到技術就是指計算機網(wǎng)絡安全，是指通過各種計算機、網(wǎng)絡信息軟件和硬件的技術支持，保護在公用通信網(wǎng)絡中傳輸、交換和存儲信息的機密性、完整性和可用性。從廣義的角度來看，互聯(lián)網(wǎng)的高速發(fā)展帶來了更多的除技術以外層面的問題和含義。安全不再只是對安全防護部門、網(wǎng)絡安全公司的技術層面的要求了。要保障電子商務安全既要提升管理部門對于網(wǎng)絡安全的管理水平，更要加強對網(wǎng)絡安全的立法，加大對網(wǎng)絡違法犯罪的打擊力度。5.1.2電子商務安全的威脅互聯(lián)網(wǎng)中的所有參與者都有可能遭受到網(wǎng)絡安全威脅，主要體現(xiàn)在以下幾個方面：1）從網(wǎng)絡經(jīng)營角度來看的賣方即銷售方，既包括企業(yè)也包括個體經(jīng)營者、網(wǎng)絡店鋪的賣家，在商業(yè)交易中可能受到威脅。①商業(yè)信息數(shù)據(jù)在網(wǎng)絡節(jié)點之間的傳輸過程中被截取、竊聽、篡改和偽造。②賣方的網(wǎng)站和服務器遭到模仿，導致網(wǎng)絡用戶被欺騙。③賣方在商業(yè)交易中遭受到買方的威脅。2）從網(wǎng)絡經(jīng)營角度來看買方即消費者，網(wǎng)民不管是否涉及網(wǎng)絡交易，只要是使用了互聯(lián)網(wǎng)的網(wǎng)民都有可能遭受到網(wǎng)絡安全威脅。①網(wǎng)民的個人隱私信息可能遭受到網(wǎng)絡侵權，造成信息泄露。②網(wǎng)民的知識產(chǎn)權可能受到侵犯，當今這個自媒體時代，大家都可以自由地發(fā)表觀點、言論甚至是作品。而這些信息的發(fā)表可能面臨著其他人的盜用侵權。③網(wǎng)民的網(wǎng)絡財富面臨著多方面的威脅?！痉煞ㄒ?guī)】網(wǎng)絡成知識產(chǎn)權侵權“重災區(qū)”復習提問：導入新課：電子商務安全防范是一個系統(tǒng)工程，因此不僅僅需要防火墻技術進行病毒的攔截和防御，也需要入侵檢測技術主動的進行內(nèi)部的巡查。無論是哪種技術都是建立在對計算機病毒的充分研究和了解的基礎之上的。因此對于計算機病毒的研究是防范技術的出發(fā)點。講授新課：5.2電子商務安全技術5.2.1防火墻1.防火墻概述防火墻就是介于內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的一系列部件的組合，它是不同網(wǎng)絡或網(wǎng)絡安全域之間的唯一出入口，是提供信息安全需求和實現(xiàn)網(wǎng)絡及信息安全的基礎設施。2.防火墻的功能1）自定義完善安全策略。2）集中控制網(wǎng)絡安全。3）打造網(wǎng)絡邊界的安全緩沖地帶。3.防火墻的關鍵技術1）分組過濾技術。2）代理服務器技術。3）狀態(tài)檢測技術。5.2.2病毒防范技術1.計算機病毒概述計算機病毒是指利用計算機軟硬件所固有的脆弱性，編制具有特殊功能的程序。它可能通過一些途徑潛伏在計算機存儲介質中，達到激活條件時，對計算機內(nèi)的信息產(chǎn)生破壞或者感染作用，它經(jīng)常具有自我復制和變種功能。2.計算機病毒的特征1）傳染性。2）破壞性。3）潛伏性。4）隱蔽性。3.計算機病毒的防范檢測方法1）特征代碼法。2）校驗和法。3）行為監(jiān)測法。4）軟件模擬法。5.2.3入侵檢測技術1.入侵檢測系統(tǒng)的概念入侵檢測系統(tǒng)是從計算機網(wǎng)絡系統(tǒng)中的節(jié)點進行信息收集，并且分析信息，運用模式匹配或異常檢測技術來檢查互聯(lián)網(wǎng)中是否有違反安全策略的行為和痕跡。入侵檢測系統(tǒng)類似于一個監(jiān)控視頻，能夠捕捉和記錄系統(tǒng)使用情況和數(shù)據(jù)信息，并對數(shù)據(jù)進行智能分析，還能進行自衛(wèi)反擊。2．入侵檢測系統(tǒng)的三大功能1）數(shù)據(jù)收集和提取。2）數(shù)據(jù)分析。3）結果處理?！痉煞ㄒ?guī)】企業(yè)網(wǎng)絡安全的法律責任復習提問：導入新課：隨著電子商務交易的發(fā)展，涉及領域越來越多，滲透面越來越廣，對居民的生活消費產(chǎn)生了巨大影響。電子商務交易安全成為影響網(wǎng)絡用戶財產(chǎn)安全的重要因素。我國于2017年6月1日正式施行《中華人民共和國網(wǎng)絡安全法》，電子商務交易的網(wǎng)絡環(huán)境得到維護與凈化。當前保護電子商務交易安全的技術主要包括數(shù)據(jù)加密技術、身份認證技術和安全交易協(xié)議三個方面。講授新課：5.3電子商務交易安全技術5.3.1數(shù)據(jù)加密技術密碼技術是互聯(lián)網(wǎng)信息安全技術的核心技術之一。它既是一門古老的學科，又是一門與時俱進走在計算機技術高端前沿的學科。密碼學是研究計算機信息加密、解密及其變換的學科，是同時運用計算機和數(shù)學的交叉學科，包括了編碼學和密碼分析學。1.加密定義加密指的是對明文進行偽裝以達到隱藏真實信息的轉換過程，比如將明文x偽裝成密文y。通信的信息和數(shù)據(jù)都被稱為明文，轉換成了外人難以辨識的形式被定義為密文，對明文進行偽裝的過程稱之為加密，加密所用的信息變換規(guī)則被稱為加密算法。2.對稱密鑰加密（1）對稱密鑰加密體制概述在對稱加密體制中，加密的密鑰和解密的密鑰是相同的，即便不同也能從中推導出另外一個。因此，對稱密鑰體制又被稱為“單鑰體制”。對稱加密密鑰體制的算法一般是公開的，信息傳遞雙方無須交換加解密算法，只需要交換密鑰即可。（2）對稱密鑰加密體制優(yōu)缺點對稱密鑰加密體制的最大優(yōu)點在于，加解密速度相對于非對稱體制更快。而缺點則是：第一，雙方在交換密鑰的時候需要一條安全的交換通道，而這樣的通道安全性是相對的；第二，對稱密鑰加密體制的最大問題還在于密鑰的分發(fā)和管理難度大，復雜且代價昂貴；第三，對稱密鑰加密體制無法實現(xiàn)數(shù)字簽名。3.非對稱密鑰加密（1）非對稱密鑰加密體制概述非對稱密鑰加密體制采用的是加解密不同的密鑰，加密和解密各需要一個不同的密鑰，且兩個密鑰之間無法互相推導出來。因此，非對稱密鑰加密體制需要兩個密鑰，公開密鑰和私有密鑰。非對稱密鑰加密體制用到的一對密鑰中，兩個密鑰的作用并不是固定不變的，其中一個用來加密則另外一個用來解密，二者的作用可以互換。非對稱密鑰加密體制又叫公開密鑰體制，它的一對密鑰中有一個用來公開，另外一個保密不對外公開，個人私有。（2）非對稱密鑰加密體制優(yōu)缺點非對稱密鑰加密體制的優(yōu)點在于，加解密雙方可以在開放的互聯(lián)網(wǎng)或者公網(wǎng)中交換信息，它不需要進行密鑰的傳遞和共享，解密用的私鑰只有接收方才有。所以即便公布出來的公鑰被黑客破譯，也沒法解密。同時它的出現(xiàn)簡化了密鑰的分發(fā)管理。非對稱密鑰加密體制的缺點在于，算法復雜導致加解密的速度相對較慢?！痉煞ㄒ?guī)】警惕釣魚Wi-Fi5.3.2身份認證技術1.數(shù)字摘要（1）數(shù)字摘要的概念數(shù)字摘要指的是將任意長度的明文信息換算成固定長度的數(shù)據(jù)文件，它類似于一個自變量是信息的函數(shù)，也就是哈希（Hash）函數(shù)。數(shù)字摘要就是采用單向Hash函數(shù)將需要加密的明文信息“摘要”成一串固定長度（128位）的密文，這一串密文又稱為數(shù)字指紋，密文就是其計算結果。（2）數(shù)字摘要的作用2.數(shù)字證書（1）數(shù)字證書的概念數(shù)字證書的實質簡單來理解就是一個經(jīng)證書授權中心（CA認證機構）進行了數(shù)字簽名加密的包含有公開密鑰所有者信息和公開密鑰本身的文件。一般數(shù)字證書至少要包含公開密鑰、CA認證機構的數(shù)字簽名、證書發(fā)行機構名稱、密鑰有效期和證書序列號等。（2）數(shù)字證書的作用數(shù)字證書是加密技術的代言人和執(zhí)行者。它能夠起到保證網(wǎng)絡安全的信息保密性、完整性、不可否認性和交易者身份的確定性的作用。3.CA認證（1）CA認證的概念CA機構，又被稱為認證中心，它一般作為電子商務交易中權威的、受信任的第三方，擔負起了公鑰體系中公鑰的合法性檢驗的責任。CA機構能為每個使用非對稱加密的用戶的公開密鑰發(fā)放數(shù)字證書，用來證明證書中的用戶合法擁有證書的公開密鑰。（2）CA認證的作用基于CA機構的數(shù)字簽名的