電子商務(wù)安全與支付概述

1、第1章 電子商務(wù)安全與支付概述電子商務(wù)安全與電子支付主講：黃向電話-mail：中國的電子商務(wù)正處于蓬勃發(fā)展期，電子商務(wù)應(yīng)用已經(jīng)進(jìn)入企業(yè)生產(chǎn)與流通的各個(gè)領(lǐng)域。企業(yè)仍然是電子商務(wù)的主要推動者。企業(yè)的電子商務(wù)應(yīng)用主要集中在信息發(fā)布及獲得等方面，極少涉及到采購與結(jié)算等關(guān)鍵的商務(wù)環(huán)節(jié)，而且應(yīng)用范圍也是內(nèi)貿(mào)多于外貿(mào)。相對而言，大城市及東部沿海地區(qū)企業(yè)電子商務(wù)應(yīng)用及電子商務(wù)環(huán)境明顯高于內(nèi)陸地區(qū)。電子商務(wù)作為一種全新的商務(wù)形式，為全球客戶提供了更簡捷的交易方法和更低廉的交易成本。然而，安全問題仍然是阻礙其發(fā)展的最大障礙。1999年7月，當(dāng)中國互聯(lián)網(wǎng)絡(luò)中心第一次對熱點(diǎn)問題“用戶認(rèn)為目前

2、網(wǎng)上購物最大的問題”進(jìn)行問卷調(diào)查時(shí)，30%的網(wǎng)民認(rèn)為安全性是網(wǎng)上購物的最大問題，七年后，即2006年7月的調(diào)查顯示，網(wǎng)民不進(jìn)行網(wǎng)上交易的原因中，擔(dān)心交易安全性得不到保障的仍然高達(dá)61.5%。很明顯，網(wǎng)上交易的安全問題是電子商務(wù)發(fā)展中不容忽視的問題。交易安全保障是保證現(xiàn)代經(jīng)濟(jì)正常運(yùn)作的重要基礎(chǔ)和支點(diǎn)。現(xiàn)階段電子商務(wù)之所以推廣有困難，關(guān)鍵問題是電子支付安全問題沒有得到很好地解決。電子支付風(fēng)險(xiǎn)的有效控制，將會從根本上扭轉(zhuǎn)這種狀況。1.1 電子商務(wù)基礎(chǔ)1.2 電子商務(wù)的基本特征1.3 電子商務(wù)安全技術(shù)及應(yīng)用1.4 電子商務(wù)的電子支付1.5 電子商務(wù)安全體系架構(gòu)1.1 電子商務(wù)及其發(fā)展什么是電子商務(wù)?電

3、子商務(wù)：以電子及電子技術(shù)為手段，以商務(wù)為核心，把原來傳統(tǒng)的銷售，購物渠道移到互聯(lián)網(wǎng)上來，打破國家與地區(qū)有形無形的壁壘，使生產(chǎn)企業(yè)達(dá)到全球化，網(wǎng)絡(luò)化，無形化，個(gè)性化。通俗定義：電子商務(wù)是指利用簡單、快捷、低成本的電子通信方式，買賣雙方不謀面地進(jìn)行的各種商業(yè)和貿(mào)易活動。電子商務(wù)的核心與基礎(chǔ)1、核心內(nèi)容：商務(wù)活動2、基礎(chǔ)：信息網(wǎng)絡(luò)技術(shù)的使用廣義的電子商務(wù)定義為：電子工具在商務(wù)活動中的應(yīng)用。廣義電子工具指：電報(bào)、電話、廣播、電視、傳真、計(jì)算機(jī)、計(jì)算機(jī)網(wǎng)絡(luò)、Internet等商務(wù)活動是指從泛商品的需求活動到泛商品的合理、合法的供給的所有活動商品指實(shí)物與非實(shí)物、商品與商品化的生產(chǎn)要素（包括勞動力、資本、科

4、技、信息）。狹義電子商務(wù)定義為：電子商務(wù)是在技術(shù)、經(jīng)濟(jì)高度發(fā)達(dá)的現(xiàn)代社會里，由掌握信息技術(shù)和商務(wù)規(guī)則的人，系統(tǒng)化地運(yùn)用網(wǎng)絡(luò)手段和電子工具，高效率、低成本地從事以商品交換為中心的各種活動的總稱。狹義電子商務(wù)定義為，主要利用Internet從事商務(wù)或活動。 這個(gè)分析突出了電子商務(wù)的前提、中心、重點(diǎn)、目的和標(biāo)準(zhǔn)，指出它應(yīng)達(dá)到的水平和效果，它是對電子商務(wù)更嚴(yán)格和體現(xiàn)時(shí)代要求的定義。 從宏觀上講，電子商務(wù)是計(jì)算機(jī)網(wǎng)絡(luò)的又一次革命（不亞于蒸汽機(jī)），是通過電子手段建立一種新的經(jīng)濟(jì)秩序，它不僅涉及電子技術(shù)和商業(yè)交易本身，而且涉及到諸如金融、稅務(wù)、教育等社會其他層面。從微觀角度說，電子商務(wù)是指各種具有商業(yè)活動能

5、力的實(shí)體(生產(chǎn)企業(yè)、商貿(mào)企業(yè)、金融機(jī)構(gòu)、政府機(jī)構(gòu)、個(gè)人消費(fèi)者等)利用網(wǎng)絡(luò)和先進(jìn)的數(shù)字化傳媒技術(shù)進(jìn)行的各項(xiàng)商業(yè)貿(mào)易活動。 二、電子商務(wù)的特征普遍性： 電子商務(wù)作為一種新型的交易方式，將生產(chǎn)企業(yè)、流通企業(yè)以及消費(fèi)者和政府帶入了一個(gè)網(wǎng)絡(luò)經(jīng)濟(jì)、數(shù)字化生存的新天地；方便性： 在電子商務(wù)環(huán)境中，人們不再受地域的限制，客戶能以非常簡捷的方式完成過去較為繁雜的商務(wù)活動，如通過網(wǎng)絡(luò)銀行能夠全天侯地存取資金帳戶、查詢信息等，同時(shí)使得企業(yè)對客戶的服務(wù)質(zhì)量可以大大提高；整體性： 電子商務(wù)能夠規(guī)范事務(wù)處理的工作流程，將人工操作和電子信息處理集成為一個(gè)不可分割的整體，這樣不僅能提高人力和物力的利用，也可以提高系統(tǒng)運(yùn)行的嚴(yán)

6、密性；安全性： 在電子商務(wù)中，安全性是一個(gè)至關(guān)重要的核心問題，它要求網(wǎng)絡(luò)能提供一種端到端的安全解決方案，如加密機(jī)制、簽名機(jī)制、安全管理、存取控制、防火墻、防病毒保護(hù)等等，這與傳統(tǒng)的商務(wù)活動有著很大的不同；協(xié)調(diào)性： 商務(wù)活動本身是一種協(xié)調(diào)過程，它需要客戶與公司內(nèi)部、生產(chǎn)商、批發(fā)商、零售商間的協(xié)調(diào)，在電子商務(wù)環(huán)境中，它更要求銀行、配送中心、通訊部門、技術(shù)服務(wù)等多個(gè)部門的通力協(xié)作，往往電子商務(wù)的全過程是一氣呵成的。 電子商務(wù)的其他特征：國際性、科技性、復(fù)雜性 與傳統(tǒng)商務(wù)形式相比，電子商務(wù)有以下幾個(gè)特點(diǎn)：（1）市場全球化。凡是能夠上網(wǎng)的人，無論是在南非上網(wǎng)還是在北美上網(wǎng)，都將被包容在一個(gè)市場中，有可能

7、成為上網(wǎng)企業(yè)的客戶。（2）交易的快捷化。電子商務(wù)能在世界各地瞬間完成傳遞與計(jì)算機(jī)自動處理，而且無須人員干預(yù)，加快了交易速度。（3）交易虛擬化。通過以互聯(lián)網(wǎng)為代表的計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)進(jìn)行的貿(mào)易，雙方從開始洽談、簽約到訂貨、支付等，無須當(dāng)面進(jìn)行，均通過計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)完成，整個(gè)交易完全虛擬化。（4）成本低廉化。由于通過網(wǎng)絡(luò)進(jìn)行商務(wù)活動，信息成本低，足不出戶，可節(jié)省交通費(fèi)，且減少了中介費(fèi)用，因此整個(gè)活動成本大大降低。（5）交易透明化。電子商務(wù)中的雙方的洽談、簽約，以及貨款的支付、交貨的通知等整個(gè)交易過程都在電子屏幕上顯示，因此顯得比較透明。（6）交易標(biāo)準(zhǔn)化。電子商務(wù)的操作要求按統(tǒng)一的標(biāo)準(zhǔn)進(jìn)行。（7）交易連

8、續(xù)化。國際互聯(lián)網(wǎng)的網(wǎng)頁，可以實(shí)現(xiàn)24小時(shí)的服務(wù)。任何人都可以在任何時(shí)候向網(wǎng)上企業(yè)查詢信息，尋找問題的答案。企業(yè)的網(wǎng)址成為永久性的地址，為全球的用戶提供不間斷的信息源。三、電子商務(wù)的交易模式電子商務(wù)交易是指在網(wǎng)絡(luò)平臺上直接進(jìn)行的在線交易，利用數(shù)字化技術(shù)將企業(yè)與企業(yè)、企業(yè)與消費(fèi)者或消費(fèi)者之間有機(jī)連接起來，實(shí)現(xiàn)從瀏覽、洽談、簽約、付款到交貨等全部或部分業(yè)務(wù)的自動化處理。根據(jù)參與交易的對象將電子商務(wù)交易模式分為以下類型： 企業(yè)對企業(yè)、企業(yè)對消費(fèi)者、消費(fèi)者對消費(fèi)者、政府對企業(yè)等C2CB2CC2GB2GB2M消費(fèi)者政府企業(yè)銷售者B2BM2C 電子商務(wù)按照交易參與主體的標(biāo)準(zhǔn)可以分為下列模式：企業(yè)對企業(yè)(Bu

9、siness to Business，B2B)企業(yè)對消費(fèi)者(Business to Customer，B2C) 企業(yè)對政府(Business to Government，B2G) 消費(fèi)者對政府(Customer to Government，C2G) 消費(fèi)者對消費(fèi)者(Customer to Customer，C2C)企業(yè)對銷售者(Business to Manager ,B2M)銷售者對消費(fèi)者(Manager to Customer，M2C)(1) B2B(Business to Business) 有時(shí)寫作B to B，但為了簡便干脆用其諧音B2B(2即to)。即企業(yè)與企業(yè)之間通過互聯(lián)網(wǎng)進(jìn)行產(chǎn)

10、品、服務(wù)及信息的交換，發(fā)布供求信息，訂貨及確認(rèn)訂貨，貨款支付及票據(jù)的簽發(fā)、傳送和接收，確定配送方案并監(jiān)控配送商務(wù)交易的過程。國內(nèi)B2B類電子商務(wù)的典型：阿里巴巴（傳統(tǒng)型）、慧聰（傳統(tǒng)型）、金銀島（純電子商務(wù)模式）、買麥網(wǎng)（后起新秀，聲稱融合了阿里巴巴和慧聰?shù)哪Ｊ剑⒅袊圃炀W(wǎng)等。 (2) B2C(Business to Customer)B2C模式是我國最早產(chǎn)生的電子商務(wù)模式，以8848網(wǎng)上商城正式運(yùn)營為標(biāo)志。B2C即企業(yè)通過互聯(lián)網(wǎng)為消費(fèi)者提供一個(gè)新型的購物環(huán)境網(wǎng)上商店，消費(fèi)者通過網(wǎng)絡(luò)在網(wǎng)上購物、在網(wǎng)上支付。由于這種模式節(jié)省了客戶和企業(yè)的時(shí)間和空間，大大提高了交易效率，特別對于工作忙碌的上班族

11、，這種模式可以為其節(jié)省寶貴的時(shí)間。 (3) C2C(Consumer To Consumer)C2C同B2B、B2C一樣，都是電子商務(wù)的幾種模式之一。不同的是C2C是用戶對用戶的模式，C2C商務(wù)平臺就是通過為買賣雙方提供一個(gè)在線交易平臺，使賣方可以主動提供商品上網(wǎng)拍賣，而買方可以自行選擇商品進(jìn)行競價(jià)。 國內(nèi)C2C的典型代表：易趣、eBay、淘寶、一拍等。(4) B2M (Business to Manager)B2M是相對于B2B、B2C、C2C的電子商務(wù)模式而言，是一種全新的電子商務(wù)模式。而這種電子商務(wù)相對于以上三種有著本質(zhì)的不同，其根本的區(qū)別在于目標(biāo)客戶群的性質(zhì)不同，前三者的目標(biāo)客戶群都是

12、作為一種消費(fèi)者的身份出現(xiàn)，而B2M所針對的客戶群是該企業(yè)或者該產(chǎn)品的銷售者或者為其工作者，而不是最終消費(fèi)者。企業(yè)通過網(wǎng)絡(luò)平臺發(fā)布該企業(yè)的產(chǎn)品或者服務(wù)，職業(yè)經(jīng)理人通過網(wǎng)絡(luò)獲取該企業(yè)的產(chǎn)品或者服務(wù)信息，并且為該企業(yè)提供產(chǎn)品銷售或者提供企業(yè)服務(wù)，企業(yè)通過經(jīng)理人的服務(wù)達(dá)到銷售產(chǎn)品或者獲得服務(wù)的目的。職業(yè)經(jīng)理人通過為企業(yè)提供服務(wù)而獲取傭金。 (5) B2G (Business to Government)包括政府采購、稅收、商檢、管理規(guī)則發(fā)布等在內(nèi)的、政府與企業(yè)之間的各項(xiàng)事務(wù)都可以涵蓋在其中。例如，政府的采購清單可以通過互聯(lián)網(wǎng)發(fā)布，公司以電子的方式回應(yīng)。政府在這里有兩重角色：既是電子商務(wù)的使用者，進(jìn)行購

13、買活動，屬商業(yè)行為人。又是電子商務(wù)的宏觀管理者，對電子商務(wù)起著扶持和規(guī)范的作用。在發(fā)達(dá)國家，發(fā)展電子商務(wù)往往主要依靠私營企業(yè)的參與和投資，政府只起引導(dǎo)作用。與發(fā)達(dá)國家相比，發(fā)展中國家企業(yè)規(guī)模偏小，信息技術(shù)落后，債務(wù)償還能力低，政府的參與有助于引進(jìn)技術(shù)、擴(kuò)大企業(yè)規(guī)模和提高企業(yè)償還債務(wù)的能力。 B2B電子商務(wù)模式 B2B電子商務(wù)模式，是企業(yè)與企業(yè)之間的電子商務(wù)。目前應(yīng)用較為廣泛的模式主要有：電子交易市場、電子分銷商、B2B服務(wù)提供商以及信息中介等。電子交易市場分為綜合性（水平型）電子交易市場和垂直型電子交易市場。綜合性電子交易市場又稱水平市場，主要針對較大范圍的企業(yè)來進(jìn)行銷售產(chǎn)品和服務(wù)。如：慧聰網(wǎng)

14、、買賣網(wǎng)、阿里巴巴垂直型電子交易市場 主要針對待定的行業(yè)，如鋼鐵、汽車、化學(xué)或者物流配送等，這些行業(yè)多為生產(chǎn)資料性行業(yè)，成交量大、專業(yè)性強(qiáng)。如：中國紡織網(wǎng)、中國化工網(wǎng)B2B商業(yè)模式特點(diǎn)業(yè)務(wù)流程 交易過程1：買方（客戶方）向賣方（供貨方）提出商品報(bào)價(jià)請示，即發(fā)出購買的商品信息2：賣方向買方提供商品的報(bào)價(jià)，即發(fā)出該商品的報(bào)價(jià)信息3：買方向賣方提出商品訂購單，說明初步購買的商品信息4：賣方對買方提出的商品訂購應(yīng)答、說明商品有無及規(guī)格型號、品種、質(zhì)量等信息5：買方根據(jù)應(yīng)答提出是否對訂購單有變更請示，說明最后確定的購買的商品信息6：買方向賣方提出商品運(yùn)輸說明、發(fā)出運(yùn)輸工具、交貨地點(diǎn)等信息7：買方向賣方發(fā)

15、回收貨通知，報(bào)告收貨信息8：買賣雙方收發(fā)匯款通知，買方發(fā)出匯款通知，賣方報(bào)告收款信息。9：賣方收到貨款向買方出具電子發(fā)票，買方收到商品，完成全部交易B2C電子商務(wù)模式B2C電子商務(wù)模式，是企業(yè)通過網(wǎng)絡(luò)針對個(gè)體消費(fèi)者，實(shí)現(xiàn)價(jià)值創(chuàng)造的商業(yè)模式，是目前電子商務(wù)發(fā)展最為成熟的商業(yè)模式之一。 B2C商業(yè)模式特點(diǎn)業(yè)務(wù)流程 C2C電子商務(wù)模式 C2C商業(yè)模式特點(diǎn)：（1）較低的交易成本: C2C電子商務(wù)采用了基于開放式的標(biāo)準(zhǔn)上的互聯(lián)網(wǎng)通信通道,與傳統(tǒng)的商務(wù)活動的通信方式相比,大大降低了通信費(fèi)用.（2）經(jīng)營規(guī)模不受限制: C2C電子商務(wù)利用互聯(lián)網(wǎng)提供的虛擬經(jīng)營環(huán)境,可以輕易地通過增加網(wǎng)頁來擴(kuò)大其經(jīng)營規(guī)模.（3）

16、便捷的信息搜集: C2C電子商務(wù)應(yīng)用基于互聯(lián)網(wǎng)的電子信息技術(shù),使得買賣雙方很容易獲知對方信息.（4）加大的銷售范圍和銷售力度: C2C電子商務(wù)是基于互聯(lián)網(wǎng)的商業(yè)模式,所面對的客戶遍布全國,甚至整個(gè)世界,擴(kuò)大了銷售范圍.C2C模式即消費(fèi)者通過網(wǎng)絡(luò)與消費(fèi)者之間進(jìn)行相互的個(gè)人交易，如個(gè)人拍賣。它為買賣雙方提供了一個(gè)在線交易平臺。業(yè)務(wù)流程賣家流程買家流程四、電子商務(wù)交易流程交易前的準(zhǔn)備協(xié)商和簽訂合同結(jié)算付款和索賠總結(jié)電子商務(wù)的交易過程 第一個(gè)階段是信息交流階段： 對于商家來說，此階段為發(fā)布信息階段。主要是選擇自己的優(yōu)秀商品，精心組織自己的商品信息，建立自己的網(wǎng)頁，然后加入名氣較大、影響力較強(qiáng)、點(diǎn)擊率較

17、高的著名網(wǎng)站中，讓盡可能多的人們了解你認(rèn)識你。對于買方來說，此階段是去網(wǎng)上尋找商品以及商品信息的階段。主要是根據(jù)自己的需要，上網(wǎng)查找自己所需的信息和商品，并選擇信譽(yù)好服務(wù)好價(jià)格低廉的商家。第二階段是簽定商品合同階段： 作為B2B（商家對商家）來說，這一階段是簽定合同、完成必需的商貿(mào)票據(jù)的交換過程。要注意的是：數(shù)據(jù)的準(zhǔn)確性、可靠性、不可更改性等復(fù)雜的問題。作為B2C（商家對個(gè)人客戶）來說，這一階段是完成購物過程的定單簽定過程，顧客要將你選好的商品、自己的聯(lián)系信息、送貨的方式、付款的方法等在網(wǎng)上簽好后提交給商家，商家在收到定單后應(yīng)發(fā)來郵件或電話核實(shí)上述內(nèi)容。第三階段是按照合同進(jìn)行商品交接、資金結(jié)算

18、、索賠階段： 這一階段是整個(gè)商品交易很關(guān)鍵的階段，不僅要涉及到資金在網(wǎng)上的正確、安全到位，同時(shí)也要涉及到商品配送的準(zhǔn)確、按時(shí)到位。在這個(gè)階段有銀行業(yè)、配送系統(tǒng)的介入，在技術(shù)上、法律上、標(biāo)準(zhǔn)上等等方面有更高的要求。網(wǎng)上交易的成功與否就在這個(gè)階段。 為保證交易過程中的安全，需要有一個(gè)認(rèn)證機(jī)構(gòu)對參與網(wǎng)絡(luò)交易的各方進(jìn)行認(rèn)證，以確認(rèn)他們的真實(shí)身份。第二節(jié) 電子商務(wù)安全威脅和需求技術(shù)威脅信息的截獲和竊取 信息的篡改 信息假冒 信息的中斷網(wǎng)絡(luò)安全面臨的威脅病毒 木馬黑客一、電子商務(wù)存在的安全威脅信息的截獲和竊取 如果沒有采用加密措施或加密強(qiáng)度不夠，攻擊者可能通過互聯(lián)網(wǎng)、公共電話網(wǎng)、搭線、電磁波輻射范圍內(nèi)安裝

19、截收裝置或在數(shù)據(jù)包通過的網(wǎng)關(guān)和路由器時(shí)截獲數(shù)據(jù)等方式，獲取輸?shù)臋C(jī)密信息，或通過對信息流量和流向、通信頻度和長度等參數(shù)的分析，推出有用信息，如消費(fèi)者的銀行帳號、密碼以及企業(yè)的商業(yè)機(jī)密等。 信息的篡改 當(dāng)攻擊者熟悉了網(wǎng)絡(luò)信息格式以后，通過各種技術(shù)方法和手段對網(wǎng)絡(luò)傳輸?shù)男畔⑦M(jìn)行中途修改，并發(fā)往目的地，從而破壞信息的完整性。這種破壞手段主要有三個(gè)方面： (1)篡改-改變信息流的次序，更改信息的內(nèi)容，如購買商品的出貨地址；(2)刪除-刪除某個(gè)消息或消息的某些部分；(3)插入-在消息中插入一些信息，讓收方讀不懂或接收錯(cuò)誤的信息。 信息假冒 當(dāng)攻擊者掌握了網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密了商務(wù)信息以后，可以假冒合法用

20、戶或發(fā)送假冒信息來欺騙其他用戶，主要有兩種方式： （1）偽造電子郵件：虛開網(wǎng)站和商店，給用戶發(fā)電子郵件，收定貨單；偽造大量用戶，發(fā)電子郵件，窮盡商家資源，使合法用戶不能正常訪問網(wǎng)絡(luò)資源，使有嚴(yán)格時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)；偽造用戶，發(fā)大量的電子郵件，竊取商家的商品信息和用戶信用等信息。 （2）假冒他人身份：如冒充領(lǐng)導(dǎo)發(fā)布命令、調(diào)閱密件；冒充他人消費(fèi)、栽贓；冒充主機(jī)欺騙合法主機(jī)及合法用戶；冒充網(wǎng)絡(luò)控制程序，套取或修改使用權(quán)限、通行字、密鑰等信息；接管合法用戶，欺騙系統(tǒng)，占用合法用戶的資源。交易抵賴 交易抵賴包括多個(gè)方面： (1)發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過某條消息或內(nèi)容； (2)收信者事后否認(rèn)曾

21、經(jīng)收到過某條消息或內(nèi)容； (3)購買者做了訂貨單不承認(rèn)； (4)商家賣出的商品因價(jià)格差而不承認(rèn)原有的交易。 1物理實(shí)體引發(fā)的安全問題（1）設(shè)備的功能失常。（2）電源故障。（3）由于電磁泄漏引起的信息失密。（4）搭線竊聽。2自然災(zāi)害的威脅網(wǎng)絡(luò)安全面臨的威脅計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒信息丟失、篡改、銷毀軟件的后門、漏洞蠕蟲病毒蠕蟲病毒蠕蟲主要是利用系統(tǒng)的漏洞進(jìn)行自動傳播復(fù)制，由于傳播過程中產(chǎn)生巨大的掃描或其他攻擊流量，從而使網(wǎng)絡(luò)流量急劇上升，造成網(wǎng)絡(luò)訪問速度變慢甚至癱瘓。黑客攻擊網(wǎng)頁篡改耐克網(wǎng)站被黑客篡改黑客攻擊僵尸網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)也稱為BotNet。Bo

22、t是robot的簡寫，通常是指可以自動地執(zhí)行預(yù)定義的功能，可以被預(yù)定義的命令控制，具有一定人工智能的程序。網(wǎng)絡(luò)仿冒真招行： 域名： 1. Cookie 2. CGI（運(yùn)行在服務(wù)器上一段程序）3. Java4. 自由軟件5. 電子郵件6. 微軟7. 認(rèn)證和授權(quán)8. Linux9. ICP（網(wǎng)絡(luò)內(nèi)容服務(wù)商 ）10. 網(wǎng)絡(luò)管理員網(wǎng)絡(luò)安全的十大不穩(wěn)定因素互聯(lián)網(wǎng)存在的六大問題無主管的自由王國 （有害信息、非法聯(lián)絡(luò)、違規(guī)行為）不設(shè)防的網(wǎng)絡(luò)空間 （國家安全、企業(yè)利益、個(gè)人隱私）法律約束脆弱 （黑客犯罪、知識侵權(quán)、避稅）跨國協(xié)調(diào)困難 （過境信息控制、跨國黑客打擊、關(guān)稅）民族化和國際化的沖突 （文化傳統(tǒng)、價(jià)值觀

23、、語言文字）網(wǎng)絡(luò)資源緊缺（IP地址、域名、帶寬）中國電子商務(wù)面臨的安全威脅 國內(nèi)幾乎所有的計(jì)算機(jī)主機(jī)、網(wǎng)絡(luò)交換機(jī)、路由器和網(wǎng)絡(luò)操作系統(tǒng)都來自國外。 進(jìn)入我國的電子商務(wù)和網(wǎng)絡(luò)安全產(chǎn)品均只能提供較短密鑰長度的弱加密算法。先天原因網(wǎng)絡(luò)的全球性、開放性和共享性使得電子商務(wù)傳輸過程中的信息安全存在先天不足。后天原因管理美國90%的IT企業(yè)對黑客的攻擊準(zhǔn)備不足。人黑客攻擊技術(shù)軟件漏洞、后門觸發(fā)電子商務(wù)安全問題的原因a. 授權(quán)合法性:安全管理人員能夠控制用戶的權(quán)限、分配或終止用戶的訪問、操作、接入等權(quán)利，被授權(quán)用戶的訪問不能被拒絕。b不可抵賴性:信息的發(fā)送方不能抵賴曾經(jīng)發(fā)送的信息、不能否認(rèn)自己的行為。c保密

24、性:信息發(fā)送和接收是在安全的通道進(jìn)行，保證通信雙方的信息保密。交易的參與方在信息交換過程中沒有被竊聽的危險(xiǎn)。非參與方不能獲取交易的信息。d身份的真實(shí)性:交易方的身份不能被假冒或偽裝、可以有效鑒別確定交易方的身份。e信息的完整性:信息接收方可以驗(yàn)證收到的信息是否完整一致,是否被人篡改。f. 信息安全性:存儲在介質(zhì)上的信息的正確性應(yīng)當(dāng)?shù)玫奖ＷC 電子商務(wù)對安全的基本要求 電子商務(wù)系統(tǒng)既不是單純的商務(wù)系統(tǒng)，也不是簡簡單單的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，而是建立在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)之上的商務(wù)系統(tǒng)。 既然電子商務(wù)系統(tǒng)是建立在計(jì)算機(jī)系統(tǒng)之上的商務(wù)系統(tǒng)，從邏輯上看可以分成底層的物理系統(tǒng)和上層的業(yè)務(wù)邏輯系統(tǒng)，那么，電子商務(wù)系統(tǒng)的

25、安全措施也相應(yīng)地分成兩個(gè)層次，一個(gè)是保障底層的物理系統(tǒng)，也就是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全；另一個(gè)是保障上層業(yè)務(wù)邏輯系統(tǒng)的安全，也就是保證商務(wù)活動在網(wǎng)上的順利開展。二、電子商務(wù)安全體系結(jié)構(gòu)電子交易安全計(jì)算機(jī)網(wǎng)絡(luò)安全 電子商務(wù)是通過網(wǎng)絡(luò)實(shí)現(xiàn)的，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的實(shí)體也就是各種各樣的計(jì)算機(jī)和連接它們的通信設(shè)備。 (1)Internet應(yīng)用服務(wù)的服務(wù)器(2)客戶機(jī)(3)通信連接設(shè)備 除了實(shí)體安全之外，數(shù)據(jù)安全也至關(guān)重要。 在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，數(shù)據(jù)的安全一方面是存儲安全，另一方面也包括數(shù)據(jù)在傳輸過程中的安全，即通信安全。三、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性信息的保密性：這是指信息在存儲、傳輸和處理過程中，不被他人竊取。

26、這需要對交換的信息實(shí)施加密保護(hù)，使得第三者無法讀懂電文。信息的完整性：這是指確保收到的信息就是對方發(fā)送的信息，信息在存儲中不被篡改和破壞，在交換過程中無亂序或篡改，保持與原發(fā)送信息的一致性。四、電子交易的安全性信息的不可否認(rèn)性：這是指信息的發(fā)送方不可否認(rèn)已經(jīng)發(fā)送的信息，接收方也不可否認(rèn)已經(jīng)收到的信息。交易者身份的真實(shí)性：這是指交易雙方的身份是真實(shí)的，不是假冒的。防止冒名發(fā)送數(shù)據(jù)。系統(tǒng)的可靠性：這是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的硬件和軟件工作的可靠性。 在電子商務(wù)所需的幾種安全性要求中，以保密性、完整性和不可否認(rèn)性最為關(guān)鍵。電子商務(wù)安全性要求的實(shí)現(xiàn)涉及到多種安全技術(shù)的應(yīng)用。第三節(jié) 電子商務(wù)安全技術(shù)及應(yīng)用一

27、、基本安全技術(shù)概述1、網(wǎng)絡(luò)安全技術(shù)虛擬專用網(wǎng)（VPN）通過總部網(wǎng)絡(luò)防火墻和遠(yuǎn)程用戶的計(jì)算機(jī)或分公司的網(wǎng)絡(luò)防火墻兩邊進(jìn)行了設(shè)置，兩者之間以隧道協(xié)議加密的方式通過Internet來傳遞數(shù)據(jù)，好象是在Internet上建立了一個(gè)安全的隧道，我們稱之為虛擬專用網(wǎng)（VPN）。 VPN示意圖 遠(yuǎn)程工作者遠(yuǎn)程辦公室Internet防火墻公司總部加密的基本概念加密與解密所謂加密就是通過密碼算術(shù)對數(shù)據(jù)（明文）進(jìn)行轉(zhuǎn)化，使之成為沒有正確密鑰任何人都無法讀懂的報(bào)文。而這些以無法讀懂的形式出現(xiàn)的數(shù)據(jù)一般被稱為密文。解密是加密的逆過程。2、加密技術(shù)算法和密鑰 算法是將普通的文本（或者可以理解的信息）與一竄數(shù)字（密鑰）的

28、結(jié)合，產(chǎn)生不可理解的密文的步驟，密鑰是用來控制對數(shù)據(jù)進(jìn)行編碼和解碼方法的參數(shù)。 加密的類型對稱加密非對稱加密對稱密鑰加密對稱鑰匙加密系統(tǒng)是加密和解密均采用同一把秘密鑰匙，而且通信雙方都必須獲得這把鑰匙，并保持鑰匙的秘密。 非對稱加密體制非對稱加密體制又稱為雙鑰密鑰體制或公開密鑰體制。在該體制中，加密密鑰（又稱公開密鑰）PK是對外公開的，加密算法E和解密算法D也是公開的，但解密密鑰（又稱秘密密鑰）SK是保密的。雖然SK是由PK決定的，但卻不能根據(jù)PK計(jì)算出SK。公開密鑰算法具有以下特點(diǎn)用加密密鑰PK對明文X加密后，再用解密密鑰SK解密即得明文；加密密鑰不能用來解密；在計(jì)算機(jī)上可以容易地產(chǎn)生成對的

29、PK和SK，但從已知的PK不可能推導(dǎo)出SK。3、公鑰基礎(chǔ)設(shè)施PKI 公鑰基礎(chǔ)設(shè)施PKI是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺，它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系，以實(shí)現(xiàn)電子交易安全的技術(shù)和規(guī)范。 PKI是由加拿大的Entrust公司開發(fā)的，支持SET協(xié)議、SSL協(xié)議、電子證書和數(shù)字簽名等。PKI協(xié)議的組成（1）認(rèn)證機(jī)構(gòu) CA證書的簽發(fā)機(jī)構(gòu)，是PKI的核心。（2）證書庫 證書的集中存放地，是網(wǎng)上的一種公共信息庫。（3）密鑰生成和管理系統(tǒng)（4）證書管理系統(tǒng) 負(fù)責(zé)證書的獲取、證書的鑒別、證書的有效性檢查、證書的撤銷作廢等。（5）PKI應(yīng)用接口系統(tǒng) PKI應(yīng)用接口應(yīng)

30、該是跨平臺的。PKI協(xié)議的功能和運(yùn)用 公鑰的兩種用途：驗(yàn)證數(shù)字簽名（簽名密鑰對）、加密信息（加密密鑰對）。（1）簽名密鑰對（私鑰加密、公鑰解密） 簽名密鑰對在使用時(shí)，接收者接收到數(shù)據(jù)后，使用私鑰對其簽名并通過網(wǎng)絡(luò)傳輸給發(fā)送者，發(fā)送者使用公鑰解開簽名，由于私鑰具有唯一性，可以證實(shí)此簽名信息確實(shí)是由接收者發(fā)出的。（2）加密密鑰對（公鑰加密、私鑰解密） 加密密鑰對在使用時(shí)，發(fā)送者欲將加密數(shù)據(jù)發(fā)送給接收者，首先要獲得接收者的公開密鑰，并用此密鑰加密要發(fā)送的數(shù)據(jù)，即可發(fā)送，接收者在收到數(shù)據(jù)后，只需用自己的私鑰就可將數(shù)據(jù)解密。二、電子商務(wù)的相關(guān)安全標(biāo)準(zhǔn)安全超文本傳輸協(xié)議（S-HTTP）安全套接層協(xié)議（SS

31、L）安全電子交易協(xié)議（SET）1）S-HTTP安全協(xié)議 HTTPS是以安全為目標(biāo)的HTTP通道，是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。 它是一個(gè)URI scheme（抽象標(biāo)識符體系），句法類同http體系。用于安全的HTTP數(shù)據(jù)傳輸。 2）安全套接層協(xié)議SSL 安全套接層協(xié)議（Secure Sockets Layer），是由網(wǎng)景公司設(shè)計(jì)開發(fā)的，主要用于提高應(yīng)用程序之間的數(shù)據(jù)安全系數(shù)，實(shí)現(xiàn)兼容瀏覽器和服務(wù)器（通常是WWW服務(wù)器）之間安全通信的協(xié)議。功能：采用公開密鑰技術(shù)，為兩臺計(jì)算機(jī)提供安全通信信道，對整個(gè)會話進(jìn)行加密。 （1

32、）鑒別客戶端和服務(wù)器； （2）鑒別數(shù)據(jù)完整性和保密性； （3）通信記錄私密性確認(rèn)性可靠性 實(shí)現(xiàn)SSL協(xié)議的是HTTP的安全版，名為HTTPS。建立SSL安全連接的過程 在eCoin上在登陸（Login）用戶名時(shí)即進(jìn)入SSL安全連接。這時(shí)瀏覽器發(fā)出安全警報(bào)，開始建立安全連接。同時(shí)驗(yàn)證安全證書，用戶單擊“確定”鍵即進(jìn)入安全連接。 瀏覽器開始建立安全連接 瀏覽器驗(yàn)證服務(wù)器安全證書在eCoin上的安全連接已經(jīng)建立，瀏覽器右下角狀態(tài)欄的鎖型圖案表示用戶通過網(wǎng)頁傳輸?shù)挠脩裘兔艽a都將通過加密方式傳送。 當(dāng)加密方式傳送結(jié)束后，瀏覽器會離開交換敏感信息的頁面，自動斷開安全連接。離開交換敏感信息的頁面，瀏覽器自

33、動斷開安全連接SSL協(xié)議的缺點(diǎn)：客戶的信息先到商家，讓商家閱讀，這樣，客戶資料的安全性就得不到保證SSL只能保證資料信息傳遞的安全，而傳遞過程是否有人截取就無法保證了。所以，SSL并沒有實(shí)現(xiàn)電子支付所要求的保密性、完整性，而且多方互相認(rèn)證也是很困難的。 3）安全電子交易協(xié)議SET 為了克服SSL安全協(xié)議的缺點(diǎn)，更為了達(dá)到交易安全及合乎成本效益之市場要求，VISA和MasterCard聯(lián)合其他國際組織，共同制定了安全電子交易協(xié)議。雙重簽名支付網(wǎng)關(guān)數(shù)字證書主要用來支持BtoC雙重簽名在網(wǎng)上購物過程中，客戶需要發(fā)送訂購信息給商戶，發(fā)送支付信息給銀行，這兩條信息是相關(guān)聯(lián)的，說明該項(xiàng)支付僅為該訂單付款。

34、出于保密的需要，商戶不需要知道客戶的銀行卡號碼，銀行不需要知道客戶的訂單細(xì)節(jié)。則客戶用銀行的公開密鑰加密銀行卡號碼，用商戶的公開密鑰加密訂購信息。支付網(wǎng)關(guān)支付網(wǎng)關(guān)是互聯(lián)網(wǎng)和金融專用網(wǎng)（銀行卡支付網(wǎng)絡(luò)）之間的接口，也是金融專用網(wǎng)的安全屏障。支付網(wǎng)關(guān)的基本功能：交易管理；證書管理；密鑰管理；加密服務(wù)；翻譯服務(wù)；應(yīng)用管理。第四節(jié) 電子商務(wù)中的電子支付在電子商務(wù)活動中，電子支付是必不可少的組成部分。所謂電子支付，是指電子交易的當(dāng)事人，包括消費(fèi)者、商家和金融機(jī)構(gòu)以商業(yè)電子化設(shè)備和各類交易卡為媒介，以計(jì)算機(jī)和通信技術(shù)為手段，以二進(jìn)制0、1為存儲形式，通過計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行的貨幣支付或資金流轉(zhuǎn)。與傳統(tǒng)的支付

35、方式相比，電子支付具有以下特征： 電子支付是采用先進(jìn)的技術(shù)通過數(shù)字流轉(zhuǎn)來完成信息傳輸?shù)?，其各種支付方式都是采用數(shù)字化的方式進(jìn)行款項(xiàng)支付的；而傳統(tǒng)的支付方式則是通過現(xiàn)金的流轉(zhuǎn)、票據(jù)的轉(zhuǎn)讓及銀行的匯兌等物理實(shí)體是流轉(zhuǎn)來完成款項(xiàng)支付的。 電子支付的工作環(huán)境是基于一個(gè)開放的系統(tǒng)平臺（即因特網(wǎng)）之中；而傳統(tǒng)支付則是在較為封閉的系統(tǒng)中運(yùn)作。 電子支付使用的是最先進(jìn)的通信手段，如因特網(wǎng)、Extranet；而傳統(tǒng)支付使用的則是傳統(tǒng)的通信媒介。電子支付對軟、硬件設(shè)施的要求很高，一般要求有聯(lián)網(wǎng)的微機(jī)、相關(guān)的軟件及其它一些配套設(shè)施；而傳統(tǒng)支付則沒有這么高的要求。 電子支付具有方便、快捷、高效、經(jīng)濟(jì)的優(yōu)勢。用戶只要擁

36、有一臺上網(wǎng)的PC機(jī)，便可足不出戶，在很短的時(shí)間內(nèi)完成整個(gè)支付過程。支付費(fèi)用僅相當(dāng)于傳統(tǒng)支付的幾十分之一，甚至幾百分之一。 電子支付的業(yè)務(wù)類型按電子支付指令發(fā)起方式分為網(wǎng)上支付、電話支付、移動支付、銷售點(diǎn)終端交易、自動柜員機(jī)交易和其他電子支付。1、網(wǎng)上支付網(wǎng)上支付是電子支付的一種形式。廣義地講，網(wǎng)上支付是以互聯(lián)網(wǎng)為基礎(chǔ)，利用銀行所支持的某種數(shù)字金融工具，發(fā)生在購買者和銷售者之間的金融交換，而實(shí)現(xiàn)從買者到金融機(jī)構(gòu)、商家之間的在線貨幣支付、現(xiàn)金流轉(zhuǎn)、資金清算、查詢統(tǒng)計(jì)等過程，由此電子商務(wù)服務(wù)和其它服務(wù)提供金融支持。電子支付類型2、電話支付電話支付是電子支付的一種線下實(shí)現(xiàn)形式，是指消費(fèi)者使用電話（固定

37、電話、手機(jī)、小靈通）或其他類似電話的終端設(shè)備，通過銀行系統(tǒng)就能從個(gè)人銀行賬戶里直接完成付款的方式。 3、移動支付移動支付是使用移動設(shè)備通過無線方式完成支付行為的一種新型的支付方式。移動支付所使用的移動終端可以是手機(jī)、PDA、移動PC等。 第五節(jié) 電子商務(wù)安全體系架構(gòu)三種因素人過程技術(shù)四個(gè)環(huán)節(jié)保護(hù)監(jiān)控響應(yīng)恢復(fù)電子商務(wù)安全涉及的三種因素：人問題：員工泄漏系統(tǒng)密碼、員工人為對系統(tǒng)的惡意攻擊。過程問題：不規(guī)范行為的發(fā)生技術(shù)問題：安全漏洞、“后門”電子商務(wù)安全架構(gòu)可以概括為一句話“一個(gè)中心，四個(gè)基本點(diǎn)”。一個(gè)中心就是以安全管理為中心，四個(gè)基本點(diǎn)是保護(hù)、監(jiān)控、響應(yīng)和恢復(fù)。 1. 安全管理 安全管理就是通過一些管理手段來達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。它所包含的內(nèi)容有安全管理制度的制定、實(shí)施和監(jiān)督，安全策略的制定、實(shí)施、評估和修改，以及對人員的安全意識的培訓(xùn)、教育等。 2. 保護(hù) 保護(hù)就是采用一些網(wǎng)絡(luò)安全產(chǎn)品、工具和技術(shù)保護(hù)網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)和用戶。 這種保護(hù)可以稱作靜態(tài)保護(hù)，它通常是指一些基本防護(hù)，不具有實(shí)時(shí)性。 如在制定的安全策略中有一條，不允許外部網(wǎng)用戶訪問內(nèi)部網(wǎng)的Web服務(wù)器，因此我們就可以在防火墻的規(guī)則中加入一條，禁止所有從外部網(wǎng)用戶到內(nèi)部網(wǎng)Web服務(wù)器的連接請求，這樣一旦這