電子商務(wù)第10講共12講課件

1、 主講 馬 敏廣東技術(shù)師范學(xué)院管理學(xué)院 maminfoxmail第 10 講電子商務(wù)概論上講學(xué)習(xí)內(nèi)容回顧物流的概念物流在電子商務(wù)中的重要性電子商務(wù)物流實(shí)現(xiàn)模式與選擇第三方物流公司視頻案例寶供集團(tuán)上講作業(yè)閱讀教科書第6章，了解目前網(wǎng)絡(luò)服務(wù)業(yè)的發(fā)展，包括網(wǎng)絡(luò)金融、網(wǎng)絡(luò)旅游、網(wǎng)絡(luò)招聘、網(wǎng)絡(luò)教育和網(wǎng)絡(luò)社區(qū)等行業(yè)或領(lǐng)域。閱讀教科書第10章的開(kāi)篇案例（P300），了解中國(guó)三大電子B2C電子商務(wù)公司的貨物配送流程。閱讀教科書第10章10.3節(jié)，典型電商物流解決方案（P314-322）舉例說(shuō)明什么是物流？簡(jiǎn)述電子商務(wù)物流的特點(diǎn)。電子商務(wù)物流的實(shí)現(xiàn)模式有哪些？各有哪些優(yōu)缺點(diǎn)？哪些因素影響電子商務(wù)企業(yè)對(duì)物流實(shí)現(xiàn)模

2、式的選擇？搜索京東、當(dāng)當(dāng)?shù)馁Y料，比較其商品配送方式。本講學(xué)習(xí)內(nèi)容電子商務(wù)安全和安全技術(shù)概述電子商務(wù)安全及技術(shù)概述電子商務(wù)的安全隱患（安全問(wèn)題）電子商務(wù)的安全需求電子商務(wù)安全技術(shù)簡(jiǎn)介相關(guān)的統(tǒng)計(jì)數(shù)據(jù)：據(jù)CNNIC統(tǒng)計(jì)，截至2019年12月底，中國(guó)網(wǎng)民規(guī)模已達(dá)5.13億，我國(guó)互聯(lián)網(wǎng)普及率達(dá)38.3%，已經(jīng)超過(guò)世界平均（20%）水平近一倍。而2006年12月，我國(guó)上網(wǎng)用戶總數(shù)則僅為1.37億人。 但是，CNNIC的統(tǒng)計(jì)同樣指出，我國(guó)超過(guò)40%的網(wǎng)站存在嚴(yán)重的安全漏洞。 美國(guó)金融時(shí)報(bào)也曾報(bào)道說(shuō)，世界上平均每20秒就發(fā)生一起黑客入侵事件。據(jù)外電報(bào)道，2000年1月，黑客從CD Universe網(wǎng)站竊取了3

3、5萬(wàn)個(gè)信用卡號(hào)碼，這是向公眾報(bào)道的最大規(guī)模的信用卡失竊案件。病毒預(yù)警更是此起彼伏。電子商務(wù)的安全隱患（安全問(wèn)題）信息泄漏（商業(yè)秘密或個(gè)人隱私）篡改（黑客攻擊）冒名頂替否認(rèn)或抵賴行為 計(jì)算機(jī)病毒 網(wǎng)絡(luò)系統(tǒng)故障和損毀電子商務(wù)的安全需求電子商務(wù)的安全需求包括兩方面：電子交易的安全需求計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全電子交易的安全需求身份的可認(rèn)證性: 在雙方進(jìn)行交易前，首先要能確認(rèn)對(duì)方的身份，要求交易雙方的身份不能被假冒或偽裝。不可抵賴性: 在電子交易通信過(guò)程的各個(gè)環(huán)節(jié)中都必須是不可否認(rèn)的，即交易一旦達(dá)成，發(fā)送方不能否認(rèn)他發(fā)送的信息，接收方則不能否認(rèn)他所收到的信息。信息的保密性: 要對(duì)敏感重要的交易信息進(jìn)行加密，

4、即使別人截獲或竊取了數(shù)據(jù)，也無(wú)法識(shí)別信息的真實(shí)內(nèi)容，這樣就可以使交易信息難以泄露。信息的完整性: 交易各方能夠驗(yàn)證收到的信息是否完整，即信息是否被人篡改或偽造過(guò)，或者在數(shù)據(jù)傳輸過(guò)程中是否出現(xiàn)信息丟失、信息重復(fù)等差錯(cuò)。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全一般計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)普遍面臨的安全問(wèn)題：（1）設(shè)備安全（設(shè)備功能失常/電源保障/信號(hào)干擾）（2）自然災(zāi)害的威脅 （水災(zāi)/火災(zāi)/地震/雷擊等）（3）黑客的惡意攻擊 （4）軟件的漏洞和“后門” （5）網(wǎng)絡(luò)協(xié)議的安全漏洞 （6）計(jì)算機(jī)病毒的攻擊電子商務(wù)安全技術(shù)簡(jiǎn)介防火墻技術(shù)加密技術(shù) 認(rèn)證技術(shù)安全電子交易協(xié)議黑客防范技術(shù)虛擬專網(wǎng)技術(shù)反病毒技術(shù)防火墻技術(shù)防火墻的含義： 在網(wǎng)

5、絡(luò)世界中，指配置在企業(yè)內(nèi)部網(wǎng)和外部網(wǎng)之間的一套防護(hù)系統(tǒng)，通過(guò)控制內(nèi)外網(wǎng)間信息的流動(dòng)來(lái)達(dá)到增強(qiáng)內(nèi)部網(wǎng)絡(luò)安全性的目的。它決定了內(nèi)部的哪些服務(wù)可以被外部訪問(wèn)，以及哪些外部服務(wù)可被內(nèi)部用戶訪問(wèn)。防火墻的根本職能：內(nèi)部和外部之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過(guò)防火墻檢查。只有符合安全策略的數(shù)據(jù)流才能通過(guò)防火墻防火墻隔離內(nèi)部網(wǎng)和Internet的有效安全機(jī)制 防火墻技術(shù)（續(xù)1）防火墻的基本類型：包過(guò)濾路由器型（Packet Filter）（工作在網(wǎng)絡(luò)層和鏈路層） 設(shè)備廉價(jià)（通用硬件）； 對(duì)網(wǎng)絡(luò)性能影響較??； 允許外部客戶和內(nèi)部主機(jī)的直接連接； 不能鑒別用戶身份； 規(guī)則設(shè)置需對(duì)網(wǎng)絡(luò)協(xié)議有深入了解。代理服務(wù)器型（Pr

6、oxy Service）（工作在應(yīng)用層）易于配置，使用方便，但會(huì)影響網(wǎng)絡(luò)性能；透明性“直接”訪問(wèn)Internet的假象；不允許內(nèi)外網(wǎng)主機(jī)的直接連接；可以實(shí)現(xiàn)基于用戶的認(rèn)證；可以提供比包過(guò)濾更詳細(xì)的日志記錄，實(shí)現(xiàn)其他控制功能；可以隱藏內(nèi)部IP地址。復(fù)合型防火墻（Hybrid）（以上雙層） 安全性最高，但花費(fèi)較多，管理更復(fù)雜。防火墻技術(shù)（續(xù)2）防火墻實(shí)施原則：確立網(wǎng)絡(luò)安全保護(hù)策略要保護(hù)的內(nèi)部網(wǎng)的規(guī)模內(nèi)部網(wǎng)的主要用途，用戶的結(jié)構(gòu)和需求 內(nèi)部網(wǎng)有無(wú)安全級(jí)別的要求對(duì)防火墻進(jìn)行評(píng)價(jià)、分析 對(duì)防火墻的各種類型的優(yōu)缺點(diǎn)要有所了解 防火墻的穩(wěn)定性和它所支持平臺(tái)種類 愿意為防火墻投資多少經(jīng)費(fèi) 本單位的技術(shù)力量能否

7、支持維護(hù)防火墻技術(shù)（續(xù)3）防火墻的局限性防火墻不能防止來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊；對(duì)于繞過(guò)防火墻的攻擊，它無(wú)能為力；防火墻不能防止被病毒感染的程序或者郵件等；作為一種被動(dòng)的防護(hù)手段，防火墻不能防范因特網(wǎng)上不斷出現(xiàn)的新的威脅和攻擊。防火墻技術(shù)（續(xù)4）應(yīng)用防火墻技術(shù)，對(duì)解決以下電子商務(wù)安全問(wèn)題有一定幫助：信息泄漏（商業(yè)秘密或個(gè)人隱私）篡改（黑客攻擊）某些計(jì)算機(jī)病毒 加密技術(shù) 加密技術(shù)： 是網(wǎng)絡(luò)世界中實(shí)現(xiàn)信息保密性的一種重要手段。所謂信息加密，是指使用數(shù)學(xué)的方法將原始信息重新組織與變換成只有授權(quán)用戶才能解讀的密碼形式的過(guò)程。幾個(gè)重要術(shù)語(yǔ)：明文（Plain text)：指需要傳輸?shù)脑夹畔?。加密算法（Enci

8、pher System）：實(shí)質(zhì)上是一個(gè)變換函數(shù)。密文（Cipher text): 指明文經(jīng)變換函數(shù)加工后的結(jié)果。密鑰（Key): 參與明文到密文變換的一個(gè)重要參數(shù)。解密（Encipher）：加密過(guò)程的逆過(guò)程。信息加密技術(shù)原理 加密模型加密技術(shù)（續(xù)）加密技術(shù)是為了保證信息的安全傳輸。密鑰管理和加密算法至關(guān)重要。按照秘鑰管理方式，加密技術(shù)分為兩種基本類型：對(duì)稱式密鑰加密技術(shù)非對(duì)稱式密鑰加密技術(shù)對(duì)稱式密鑰加密技術(shù)對(duì)稱密鑰加密（symmetric cipher)： 加密過(guò)程中，加密密鑰和解密密鑰相同，或?qū)嵸|(zhì)上等同，即從一個(gè)易于推出另一個(gè)。又稱單密鑰算法。主流的加密算法：DES：IBM/1977/64b

9、it分組/56位密鑰/16輪迭代IDEA: 來(lái)學(xué)嘉/1991/64bit分組/128位密鑰/8輪迭代優(yōu)點(diǎn)：加密、解密速度快。缺點(diǎn)：密鑰保密和分發(fā)困難；密鑰爆炸效應(yīng)。n(n-1)關(guān)于DES的評(píng)價(jià)DES的保密性除了用窮舉搜索法對(duì)DES算法進(jìn)行攻擊外，還沒(méi)有發(fā)現(xiàn)更有效的辦法。密鑰長(zhǎng)度的爭(zhēng)論關(guān)于DES算法的另一個(gè)最有爭(zhēng)議的問(wèn)題就是擔(dān)心實(shí)際56比特的密鑰長(zhǎng)度不足以抵御窮舉式攻擊，因?yàn)槊荑€量只有 個(gè)。關(guān)于DES的評(píng)價(jià)2019年1月28日，美國(guó)的RSA數(shù)據(jù)安全公司在RSA安全年會(huì)上公布了一項(xiàng)“秘密密鑰挑戰(zhàn)”競(jìng)賽，其中包括懸賞1萬(wàn)美元破譯密鑰長(zhǎng)度為56比特的DES。美國(guó)克羅拉多洲的程序員Verser從2019

10、年2月18日起，用了96天時(shí)間，在Internet上數(shù)萬(wàn)名志愿者的協(xié)同工作下，成功地找到了DES的密鑰。 2019年7月電子前沿基金會(huì)（EFF）使用一臺(tái)25萬(wàn)美圓的電腦在56小時(shí)內(nèi)破譯了56比特密鑰的DES。非對(duì)稱式密鑰加密技術(shù)非對(duì)稱密鑰加密（asymmetric cipher): 加密中，加密密鑰和解密密鑰有聯(lián)系但不相同，從一個(gè)很難推出另一個(gè)。加密密鑰可以公開(kāi)，解密密鑰則需要保密。故此法又稱公開(kāi)密鑰加密 。主流加密算法： RSA：美國(guó)MIT三位學(xué)者/1978優(yōu)點(diǎn)：密鑰少，便于管理。n密鑰傳遞無(wú)需特別安全考慮。缺點(diǎn)：加密、解密速度較慢。RSA的安全性1977年,科學(xué)美國(guó)人懸賞征求分解一個(gè)129

11、位十進(jìn)數(shù)(426比特),直至1994年4月,才由包括5大洲43個(gè)國(guó)家600多人參加，用1600臺(tái)機(jī)器同時(shí)產(chǎn)生820條指令數(shù)據(jù)，通過(guò)Internet網(wǎng)，耗時(shí)8個(gè)月，利用二次篩選法分解出64位和65位的兩個(gè)因子，原來(lái)估計(jì)要用4億億年。這是有史以來(lái)最大規(guī)模的數(shù)學(xué)運(yùn)算。 2019.8.22，荷蘭H.Riele領(lǐng)導(dǎo)的一群來(lái)自6個(gè)國(guó)家的數(shù)學(xué)家和計(jì)算機(jī)科學(xué)家耗時(shí)7個(gè)月并動(dòng)用292臺(tái)計(jì)算機(jī)，破解了RSA155（ 512-bit ）加密系統(tǒng)的數(shù)字密碼。 512-bit RSA在電子商務(wù)中所占的比例為95%個(gè)人需要用384或512比特位的N公司需要用1024比特位的N極其重要的場(chǎng)合應(yīng)該用2048比特位的N 認(rèn)證技

12、術(shù)廣泛使用的認(rèn)證技術(shù) 數(shù)字摘要數(shù)字簽名數(shù)字證書CA安全認(rèn)證體系 真實(shí)身份認(rèn)證完整和不可抵賴認(rèn)證技術(shù)數(shù)字摘要和數(shù)字簽名技術(shù)原信息摘要數(shù)字簽名原信息發(fā)送端接收端Hash變換發(fā)方私鑰加密發(fā)方公鑰解密數(shù)字簽名摘要摘要Hash變換對(duì)比Internet認(rèn)證技術(shù)數(shù)字摘要和數(shù)字簽名技術(shù)（續(xù)）一些重要說(shuō)明：數(shù)字摘要：原文經(jīng)過(guò)Hash變換的結(jié)果。Hash變換：一種不可逆的函數(shù)變換過(guò)程。數(shù)字簽名：在非對(duì)稱式密鑰加密技術(shù)中，用發(fā)送方私鑰對(duì)數(shù)字摘要加密后的結(jié)果。數(shù)字簽名技術(shù)實(shí)質(zhì)上是對(duì)非對(duì)稱式密鑰加密技術(shù)的擴(kuò)展使用。利用數(shù)字摘要和數(shù)字簽名技術(shù)的綜合使用可以保證信息傳輸?shù)耐暾院筒豢傻仲囆浴ＵJ(rèn)證技術(shù)數(shù)字證書技術(shù)數(shù)字證書技術(shù)

13、產(chǎn)生的背景和原理數(shù)字簽名技術(shù)只能保證發(fā)送信息的不可抵賴和確實(shí)存在一個(gè)發(fā)送方，但是并不能證明發(fā)送方的真實(shí)身份。在網(wǎng)絡(luò)世界中如同在現(xiàn)實(shí)世界中一樣，要證實(shí)一個(gè)人的真實(shí)身份，需要一個(gè)權(quán)威的第三方。這個(gè)權(quán)威的第三方就是認(rèn)證中心。認(rèn)證中心（Certificate Authority, CA）是網(wǎng)上各方都信任的機(jī)構(gòu)，主要負(fù)責(zé)產(chǎn)生、分配并管理所有參與網(wǎng)上交易的個(gè)體所需的身份認(rèn)證數(shù)字證書。認(rèn)證技術(shù)數(shù)字證書技術(shù)（續(xù)1）數(shù)字證書的結(jié)構(gòu)：證書擁有者的真實(shí)身份信息證書擁有者的公鑰公鑰的有效期頒發(fā)證書的單位（CA）CA的數(shù)字簽名（往往以整個(gè)證書為底做簽名）數(shù)字證書的序列號(hào)CA身份認(rèn)證過(guò) 程 模 型CA簽名真實(shí)嗎？認(rèn)證技術(shù)

14、數(shù)字證書技術(shù)（續(xù)2）各級(jí)CA認(rèn)證機(jī)構(gòu)的存在組成了對(duì)CA的信任鏈。 根CA各級(jí)CA認(rèn)證技術(shù)數(shù)字證書技術(shù)（續(xù)3）對(duì)加密技術(shù)、數(shù)字簽名技術(shù)和認(rèn)證技術(shù)的總結(jié)電子交易的安全需要 身份驗(yàn)證信息保密性（存儲(chǔ)與交易）信息完整性交易的不可否認(rèn)性 解決技術(shù)數(shù)字證書、數(shù)字摘要和簽名加密 數(shù)字摘要和簽名 數(shù)字摘要和簽名安全電子交易協(xié)議一種安全電子交易協(xié)議實(shí)際上是一套電子商務(wù)安全問(wèn)題的整體解決方案。其實(shí)質(zhì)是對(duì)加密技術(shù)、數(shù)字簽名技術(shù)和/或認(rèn)證技術(shù)的綜合應(yīng)用。目前流行的有兩種安全電子交易協(xié)議：SSL（Secure Sockets Layer，安全套接層協(xié)議）SET（Secure Electronic Transaction

15、，安全電子交易協(xié)議） SSL與SET的比較 黑客防范技術(shù)“黑客(Hacker)” 源于英語(yǔ)動(dòng)詞hack，意為“劈砍”，引申含義是：做了一件非常漂亮的工作。黑客的定義是：那些通過(guò)不合法或非常規(guī)途徑進(jìn)入別人的網(wǎng)絡(luò)或主機(jī)尋找意外滿足的人。黑客可能是些什么人？ 黑客大多是程序員。他們對(duì)技術(shù)的局限性有充分認(rèn)識(shí)，樂(lè)于探索信息網(wǎng)絡(luò)系統(tǒng)中的漏洞。他們還可能私下公開(kāi)他們的發(fā)現(xiàn)，與他人分享。黑客防范技術(shù)（續(xù)1）黑客的危害：侵害個(gè)人隱私侵害商業(yè)利益危害公共安全滋長(zhǎng)不良社會(huì)風(fēng)氣黑客的一點(diǎn)點(diǎn)優(yōu)點(diǎn)是： 扮演了“發(fā)現(xiàn)網(wǎng)絡(luò)系系統(tǒng)安全問(wèn)題”的角色。黑客防范技術(shù)（續(xù)2）黑客攻擊的一般過(guò)程：先尋找一臺(tái)疏于安全防范的被信任主機(jī)，分析

16、其系統(tǒng)的安全漏洞。再以被信任主機(jī)為跳板，隱藏自身位置，開(kāi)始攻擊目標(biāo)主機(jī)。通過(guò)被信任主機(jī)獲取目標(biāo)主機(jī)帳號(hào)和密碼。登陸目標(biāo)主機(jī)，竊取網(wǎng)絡(luò)資源，或?qū)嵤┢渌茐幕顒?dòng)。黑客防范技術(shù)（續(xù)3）黑客防范措施：使用防火墻技術(shù)。對(duì)防火墻進(jìn)行安全設(shè)置，拒絕一些外來(lái)網(wǎng)絡(luò)服務(wù)請(qǐng)求；經(jīng)常檢查日志文件，分析系統(tǒng)數(shù)據(jù)流量的異常。網(wǎng)絡(luò)上安裝入侵檢測(cè)系統(tǒng)。對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別和相應(yīng)處理，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。網(wǎng)絡(luò)及主機(jī)上安裝反病毒軟件和個(gè)人防火墻。系統(tǒng)軟件及時(shí)升級(jí)或打補(bǔ)丁。網(wǎng)絡(luò)通信加密傳輸和驗(yàn)證。虛擬專網(wǎng)技術(shù)虛擬專用網(wǎng)(Virtual Private Network, VPN)技術(shù)是一種在開(kāi)放上的Internet上構(gòu)造企業(yè)專用網(wǎng)絡(luò)的技術(shù)。它將物理上分布在不同地點(diǎn)的主機(jī)通過(guò)公網(wǎng)構(gòu)造成邏輯上的專有網(wǎng)絡(luò)，進(jìn)行安全的通信，使總公司、分公司、經(jīng)銷商、供應(yīng)商、客戶和外地出差人員之間能夠方便地共享網(wǎng)絡(luò)資源。 VPN具體實(shí)現(xiàn)是采用隧道技術(shù)，將企業(yè)內(nèi)的數(shù)據(jù)封裝在隧道中進(jìn)行傳輸。 反病毒技術(shù)病毒是一些惡意程序。破壞性和傳染性是計(jì)算機(jī)病毒的最主要特征。其類型多樣，包括引導(dǎo)區(qū)病毒、文件型病毒、宏病毒、腳本病毒等等。目前，反病毒技術(shù)主要有預(yù)防、檢測(cè)和殺毒等3種技術(shù)：預(yù)防病毒技術(shù)。它通過(guò)自身常駐系統(tǒng)內(nèi)存優(yōu)