第8章 電子商務(wù)安全

第八章電子商務(wù)安全2016年12月10日晚，一個(gè)消息迅速傳播開來，一個(gè)12G數(shù)據(jù)包正在黑市流通，其中內(nèi)容涉及千萬用戶的用戶名、密碼、身份證號(hào)碼、電話號(hào)碼、郵箱、QQ號(hào)，該數(shù)據(jù)包來源于京東。11日凌晨，京東迅速對(duì)此事件作出回應(yīng)，發(fā)表聲明稱，其信息安全部門根據(jù)報(bào)道內(nèi)容初步判斷，數(shù)據(jù)源于2013年Struts2的安全漏洞問題。雖然當(dāng)時(shí)迅速完成系統(tǒng)修復(fù)，也進(jìn)行了安全升級(jí)的提示，但因部分用戶未能及時(shí)升級(jí)賬號(hào)安全，存在一定風(fēng)險(xiǎn)。這并不是京東第一次遭遇數(shù)據(jù)泄露事件。2015年，京東也曾被曝出大量用戶隱私信息泄露，多名用戶被騙走金額達(dá)數(shù)百萬元。直至一年后，京東才公布調(diào)查結(jié)果，稱是3名物流人員通過物流流程掌握了9313條用戶數(shù)據(jù)。僅是9313條用戶數(shù)據(jù)的泄露，其涉案金額就高達(dá)數(shù)百萬元。這次千萬用戶數(shù)據(jù)泄露，造成的結(jié)果讓人擔(dān)憂。實(shí)際上，用戶信息泄露事件屢見不鮮，多集中出現(xiàn)于電商及支付平臺(tái)。當(dāng)當(dāng)、支付寶、12306都曾出現(xiàn)過類似信息泄露事件。如今網(wǎng)絡(luò)購物發(fā)達(dá)，電商和支付平臺(tái)與消費(fèi)者生活息息相關(guān)，其平臺(tái)所需個(gè)人信息較多，自然也成為信息小偷重點(diǎn)“關(guān)照”對(duì)象。思考：京東電商平臺(tái)為什么會(huì)遭遇用戶數(shù)據(jù)泄露？如何保障電子商務(wù)交易安全？

案例目錄01電子商務(wù)安全認(rèn)知02電子商務(wù)安全技術(shù)03電子商務(wù)安全交易電子商務(wù)安全認(rèn)知8.11狹義電子商務(wù)安全是指在整個(gè)電子商務(wù)流程中的信息安全，即信息在采集、存儲(chǔ)、處理、傳播和運(yùn)用過程中得到良好保護(hù)的狀態(tài)，包括網(wǎng)絡(luò)信息的存儲(chǔ)安全和信息的傳輸安全兩個(gè)方面。2廣義電子商務(wù)安全包括電子商務(wù)系統(tǒng)的硬件安全、軟件安全、運(yùn)行安全以及電子商務(wù)立法、電子商務(wù)信用環(huán)境等，它不僅與計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)有關(guān)，還與電子商務(wù)應(yīng)用的環(huán)境、人員素質(zhì)和社會(huì)因素有關(guān)。一、電子商務(wù)安全含義二、電子商務(wù)安全要素信息的機(jī)密性可控性不可抵賴性信息認(rèn)證用戶身份認(rèn)證、數(shù)字簽名可靠性123654321654交易抵賴黑客攻擊信息的偽造信息的篡改系統(tǒng)的中斷信息的截獲和盜取三、電子商務(wù)安全威脅四、電子商務(wù)體系結(jié)構(gòu)電子商務(wù)安全體系結(jié)構(gòu)電子商務(wù)安全技術(shù)8.2（一）防火墻01020304防火墻的功能防火墻的安全策略防火墻應(yīng)用的局限性防火墻的技術(shù)一、電子商務(wù)安全技術(shù)（二）病毒防范技術(shù)計(jì)算機(jī)病毒的概念網(wǎng)絡(luò)反病毒技術(shù)計(jì)算機(jī)病毒的防護(hù)措施（三）入侵檢測(cè)技術(shù)什么是入侵檢測(cè)入侵檢測(cè)技術(shù)的工作原理入侵檢測(cè)技術(shù)的實(shí)現(xiàn)方法（四）數(shù)據(jù)加密技術(shù)1對(duì)稱加密對(duì)稱加密技術(shù)(SymmetricEncryption)又稱為常規(guī)密鑰加密、私鑰或單鑰密鑰加密，即信息的發(fā)送方和接收方使用同一個(gè)密鑰對(duì)信息數(shù)據(jù)進(jìn)行加密和解密的技術(shù)。2非對(duì)稱加密非對(duì)稱加密技術(shù)(UnsymmetricEncryption）又稱為公開密鑰加密，是指分別使用公開密鑰(加密密鑰)和私有密鑰(解密密鑰)完成信息的加密和解密的加密技術(shù)。（五）數(shù)字摘要技術(shù)

數(shù)字摘要技術(shù)的實(shí)現(xiàn)過程（六）數(shù)字簽名技術(shù)

數(shù)字簽名技術(shù)的實(shí)現(xiàn)過程（七）數(shù)字證書數(shù)字證書功能數(shù)字證書分類數(shù)字證書的安裝

電子商務(wù)安全協(xié)議8.3一、安全套接層（SSL)安全協(xié)議安全套接層（securesocketlayer，SSL)協(xié)議是由Netscape公司研究制定的安全協(xié)議，主要用于提高應(yīng)用程序之間數(shù)據(jù)的安全性。該協(xié)議向基于TCP/IP的客戶機(jī)/服務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。該協(xié)議通過在應(yīng)用程序進(jìn)行數(shù)據(jù)交換前交換SSL初始握手信息來實(shí)現(xiàn)有關(guān)安全特性的審查，在SSL握手信息中采用了DES(對(duì)稱加密算法）、MD5(信息摘要法）等加密技術(shù)來實(shí)現(xiàn)機(jī)密性和數(shù)據(jù)完整性，并采用X.509國際標(biāo)準(zhǔn)的數(shù)字證書實(shí)現(xiàn)鑒別。該協(xié)議已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)，并被廣泛應(yīng)用于Internet和Intranet的服務(wù)器產(chǎn)品和客戶端產(chǎn)品中?？蛻魧①徺I信息發(fā)往商家商家將信息轉(zhuǎn)發(fā)給銀行銀行驗(yàn)證客戶信息的合法性銀行通知商家付款成功商家通知客戶購買成功（1）（2）（3）（4）（5）交易步驟SSL協(xié)議下的交易模式（一）SSL協(xié)議本身問題SSL協(xié)議的缺陷是只能保證傳輸過程的安全，而無法知道在傳輸過程中是否受到竊聽，黑客可借此破譯經(jīng)SSL協(xié)議加密的數(shù)據(jù)商家信用問題SSL協(xié)議運(yùn)行的基礎(chǔ)是商家對(duì)客戶信息保密的承諾。客戶的信息首先傳到商家，商家審閱后再傳到銀行，這樣客戶資料的安全性便受到威脅?；赟SL協(xié)議的交易模式的問題（二）二、安全電子交易（SET）安全協(xié)議SET協(xié)議由SET業(yè)務(wù)描述、SET程序員指南和SET協(xié)議描述三個(gè)文件組成，為基于信用卡進(jìn)行電子化交易的應(yīng)用提供了實(shí)現(xiàn)安全措施的規(guī)則。在SET中采用了雙重簽名技術(shù)，支付信息和訂單信息是分別簽署的，這樣保證了商家看不到支付信息，而只能看到訂單信息。支付指令中包括了交易ID、交易金額、信用卡數(shù)據(jù)等信息，這些涉及與銀行業(yè)務(wù)相關(guān)的保密數(shù)據(jù)對(duì)支付網(wǎng)關(guān)是不保密的，因此支付網(wǎng)關(guān)必須由收單銀行或其委托的信用卡組織來擔(dān)當(dāng)。SET是一個(gè)多方參與的消息報(bào)文協(xié)議，它定義了銀行、商家、持卡人之間必需的報(bào)文規(guī)范，而SSL只是簡單地在兩方之間建立了一條安全鏈接。SSL是面向鏈接的，而SET允許各方之間非實(shí)時(shí)的報(bào)文交換。SET報(bào)文能夠在銀行內(nèi)部網(wǎng)絡(luò)或者其他網(wǎng)絡(luò)上傳輸，而基于SSL協(xié)議之上的支付卡系統(tǒng)只能與Web瀏覽器捆綁在一起。SET和SSL協(xié)議本身的比較SSL目前用于許多電子商務(wù)服務(wù)器，提供會(huì)話級(jí)別的安全，這意味著一旦建立一個(gè)安全會(huì)話，所有通過Internet的通信數(shù)據(jù)被加密。一個(gè)SSL會(huì)話相當(dāng)于在電話線上加一個(gè)干擾器，當(dāng)數(shù)據(jù)到達(dá)商家Web服務(wù)器時(shí)，解密所有數(shù)據(jù)。在SET中，只有交易中的敏感信息才加密，購物頁面沒有加密，因此可以在頁面中使用更復(fù)雜的界面。SSL和SET性能比較三、SSL協(xié)議和SET協(xié)議的比較本章小結(jié)安全是電子商務(wù)的基石，沒有技術(shù)的保障，電子商務(wù)的安全就無從談起。當(dāng)前電子商務(wù)面臨著信息的截獲和盜取、黑客攻擊、木馬病毒、信息的篡改、交易抵賴等威脅。需要應(yīng)用電子商務(wù)安全技術(shù)，比如防火墻技術(shù)、加密技術(shù)等保障系統(tǒng)的安全。電子商務(wù)的安全交易還必須遵守統(tǒng)一的安全標(biāo)準(zhǔn)協(xié)議，目前