電子商務(wù)第七

電子商務(wù)

肯尼思.勞東卡羅爾.圭爾喬.特拉弗商務(wù).技術(shù).社會第七版E-commerce:business.technology.society.Copyright?2011PearsonEducation,Ltd.Copyright?2010PearsonEducation,Inc.Slide5-2第四章網(wǎng)絡(luò)安全與支付系統(tǒng)Copyright?2011PearsonEducation,ltd.網(wǎng)絡(luò)戰(zhàn):

虛擬世界中的2.0

課堂討論黑客攻擊和網(wǎng)絡(luò)戰(zhàn)之間的區(qū)別是什么？在過去的十年中，為什么網(wǎng)絡(luò)戰(zhàn)越來越具有潛在的毀滅性？全球有多少比例的電腦會被隱形惡意軟件程序入侵?政治方案能夠有效解決MAD2.0嗎？

Slide5-3電子商務(wù)安全環(huán)境網(wǎng)絡(luò)犯罪的涉及的領(lǐng)域和造成的損失還難以估計問題報告2009計算機(jī)安全協(xié)會的年度調(diào)查顯示:49%的被調(diào)查組織發(fā)生過計算機(jī)安全事件愿意公布的公司中,平均每年損失$288,000地下經(jīng)濟(jì)市場:通過“地下經(jīng)濟(jì)服務(wù)者”將信息賣給他人Slide5-4網(wǎng)絡(luò)犯罪類型Slide5-5什么是良好的電子商務(wù)安全?盡可能實(shí)現(xiàn)最高級別的安全新技術(shù)的應(yīng)用組織程序和策略行業(yè)標(biāo)準(zhǔn)和政府法令其他因素貨幣的時間價值安全成本vs.潛在損失安全鏈斷裂的地方往往在最薄弱的環(huán)節(jié)Slide5-6電子商務(wù)安全環(huán)境Figure4.2Slide5-7Table4.2Slide5-8在安全及其他價值間的取向便于使用:安全措施越多，就越難使用，而且速度也慢公共安全與犯罪分子對安全的利用犯罪分子利用技術(shù)犯罪或威脅公共安全Slide5-9電子商務(wù)環(huán)境中的安全威脅三個關(guān)鍵的薄弱點(diǎn):互聯(lián)網(wǎng)通信信道服務(wù)器端客戶端Slide5-10典型的電子子商務(wù)交易易Figure4.3Slide5-11電子商務(wù)環(huán)環(huán)境中的薄薄弱環(huán)節(jié)Figure4.4Slide5-12電子商務(wù)環(huán)環(huán)境中的安安全威脅惡意代碼(maliciouscode)病毒virus蠕蟲worm特洛伊木馬馬Trojanhorse機(jī)器人程序序bot不必要程序序?yàn)g覽器寄生生蟲browserparasites廣告軟件adsoftware間諜諜軟軟件件spywareSlide5-13常見的安安全威脅脅(cont.)網(wǎng)絡(luò)釣魚魚第三方以以任意欺欺騙性的的網(wǎng)絡(luò)行行為獲得得用戶的的保密信信息社會工程程技術(shù),電子郵件件詐騙,偽裝成合合法軟件件點(diǎn)擊鏈接接后，就就會進(jìn)入入詐騙者者控制的的網(wǎng)站，，誘使受受騙人泄泄露賬號號密碼等等個人信信息黑客行為為與網(wǎng)絡(luò)絡(luò)破壞行行為黑客vs.駭客網(wǎng)絡(luò)破壞壞行為:故意破壞壞網(wǎng)站,使企業(yè)名名譽(yù)受損損,甚至摧毀毀整個站站點(diǎn)黑客類型型:白帽黑客客,黑帽黑客客,灰帽黑客客lSlide5-14常見的安安全威脅脅(cont.)信用卡詐詐騙黑客攻擊擊目標(biāo)商商戶服務(wù)務(wù)器，盜盜刷信用用卡進(jìn)行行詐騙電子欺騙騙網(wǎng)址嫁接接垃圾網(wǎng)站站拒絕服務(wù)務(wù)攻擊黑客向網(wǎng)網(wǎng)站大量量發(fā)送無無用的通通信來淹淹沒網(wǎng)絡(luò)絡(luò)并使網(wǎng)網(wǎng)絡(luò)癱瘓瘓分布式拒拒絕服務(wù)務(wù)攻擊Slide5-15常見的安安全威脅脅(cont.)網(wǎng)絡(luò)竊聽聽一種可以以監(jiān)視通通過網(wǎng)絡(luò)絡(luò)傳遞的的信息的的竊聽程程序內(nèi)部攻擊擊最大的財財務(wù)威脅脅設(shè)計不當(dāng)當(dāng)?shù)姆?wù)務(wù)器和客客戶端軟軟件移動平臺臺的安全全和任何互互聯(lián)網(wǎng)所所面臨的的風(fēng)險一一樣惡意軟件件,僵尸網(wǎng)絡(luò)絡(luò),短信詐騙騙Slide5-16技術(shù)解決決方案保護(hù)互聯(lián)聯(lián)網(wǎng)的通通信(加密)保證信息息傳送渠渠道(SSL,S-HTTP,VPNs)保護(hù)網(wǎng)絡(luò)絡(luò)工作(防火墻)保護(hù)服務(wù)務(wù)機(jī)和客客戶機(jī)Slide5-17實(shí)現(xiàn)網(wǎng)絡(luò)絡(luò)安全的的可用工工具Figure4.7Slide5-18加密（Encryption）加密將明文轉(zhuǎn)轉(zhuǎn)化成除除發(fā)送方方和接收收方以外外任何人人都無法法讀取的的密文的的過程保證存儲儲信息和和傳送信信息的安安全加密可以以為電子子商務(wù)6個關(guān)鍵方方面提供4個方面的的保障:信息完整整性不可否認(rèn)認(rèn)性真實(shí)性性機(jī)密性性Slide5-19對稱秘秘鑰加加密（（SymmetrickeyEncryption）發(fā)送方方和接接收方方使用用同一一把密密鑰來來加密密和解解密信信息每次信信息傳傳輸都都有不不同的的密鑰鑰加密系系統(tǒng)的的安全全保護(hù)護(hù)強(qiáng)度度用二進(jìn)進(jìn)制密密鑰的的長度度來加加密信信息高級解密標(biāo)標(biāo)準(zhǔn)(AES)最廣泛的對對稱加密算算法提供128位,192位,and256位的加密密密鑰其他對稱加加密系統(tǒng)會會使用高達(dá)達(dá)2048位的密鑰Slide5-20公鑰加密（（PublicKeyEncryption）兩個算術(shù)上上相關(guān)的數(shù)數(shù)字密鑰公開密鑰(廣泛發(fā)布)私有密鑰(擁有者保存存)兩種密鑰都都可以用來來加密和解解密信息一旦某個密密鑰被用來來加密信息息，就不能能再用它解解密信息發(fā)送方用接接收方的公公鑰來加密密信息，接接收方用他他的私鑰來來解密Slide5-21公鑰加密體體系–一個簡單的的例子Figure4.8Slide5-22使用數(shù)字簽簽名和散列列摘要的公公鑰加密散列函數(shù)（（HashFunction）:一種可以產(chǎn)產(chǎn)生一個稱稱為散列或或者信息摘摘要的固定定長度數(shù)字字的算法確保發(fā)送到到接受者的的信息在傳傳輸過程中中沒有被篡篡改發(fā)送方用接接收方的公公鑰對散列列結(jié)果和原原始信息加加密發(fā)送方用自自己的私鑰鑰將整個密密文塊在加加密一次–創(chuàng)建數(shù)字簽簽名–保證真實(shí)性性和不可否否認(rèn)性Slide5-23具有數(shù)字簽簽名的公鑰鑰加密體系系Figure4.9Slide5-24數(shù)字信封加密系統(tǒng)的的缺點(diǎn):公鑰加密計算速度很很慢,傳輸速度顯顯著減慢,處理時間的的顯著增加加對稱密鑰加加密傳輸線難以以保證用對稱密鑰鑰加密來加加密大型文文件用公鑰加密密方法來加加密和傳送送這把對稱稱密鑰Slide5-25公鑰加密體體系：建立立數(shù)字信封封Figure4.10Slide5-26數(shù)字證書和和公開密鑰鑰基礎(chǔ)設(shè)施施數(shù)字證書包包括:主題或公司司的名稱主題的公鑰鑰數(shù)字證書的的額序列號號截止日期、、發(fā)放日期期認(rèn)證中心得得數(shù)字簽名名公開密鑰基基礎(chǔ)設(shè)施(PKI):認(rèn)證中心和和數(shù)字證書書規(guī)程良好隱私（（PGP）Slide5-27數(shù)字證書和和認(rèn)證中心心Figure4.11Slide5-28加密解決方方案的局限限性大部分電子子商務(wù)網(wǎng)站站并沒有用用加密的形形式來存儲儲消費(fèi)者的的隱私PKI無法保護(hù)內(nèi)內(nèi)部人員及及能訪問企企業(yè)系統(tǒng)的的人的信息息個人私鑰保保護(hù)也可能能會丟失無法保證商商家用來做做驗(yàn)證的電電腦是安全全的CA可能不是其其認(rèn)證的企企業(yè)或者個個人所認(rèn)定定的權(quán)威機(jī)機(jī)構(gòu)Slide5-29社會透視“網(wǎng)絡(luò)狗”和匿名性課堂討論互聯(lián)網(wǎng)無期期限的匿名名性有哪些些好處？身份認(rèn)證系系統(tǒng)的缺點(diǎn)點(diǎn)是什么？？身份認(rèn)證系系統(tǒng)除了安安全還有其其他優(yōu)點(diǎn)嗎嗎？身份認(rèn)證系系統(tǒng)應(yīng)該由由誰進(jìn)行管管理?Slide5-30通信信道的的安全安全套接層層(SSL):一種客戶機(jī)機(jī)/服務(wù)器之間間的對話，，其中所請請求文檔的的URL，以及所交交換的內(nèi)容容、表單的的內(nèi)容和cookies都進(jìn)行了加加密安全超文本本傳輸協(xié)議議:一種安全的的以信息為為導(dǎo)向的通通信協(xié)議，，與HTTP聯(lián)合使用虛擬專用網(wǎng)網(wǎng)(VPN):一種使得某某個本地網(wǎng)網(wǎng)絡(luò)可以利利用互聯(lián)網(wǎng)網(wǎng)作為管道道來和另一一個網(wǎng)絡(luò)連連接的加密密機(jī)制(PPTP)Slide5-31利用SSL進(jìn)行安全協(xié)協(xié)商會話Figure4.12Slide5-32網(wǎng)絡(luò)保護(hù)防火墻（Firewall）：硬件和軟件用安全政策來來過濾通信數(shù)數(shù)據(jù)包兩種主要方式式:包過濾應(yīng)用網(wǎng)關(guān)代理服務(wù)器(proxies)一種對于來自自互聯(lián)網(wǎng)或發(fā)發(fā)送到互聯(lián)網(wǎng)網(wǎng)上的通信信信息進(jìn)行處理理的軟件服務(wù)務(wù)器Slide5-33防火墻和代理理服務(wù)器Figure4.13Slide5-34保護(hù)服務(wù)器和和客戶機(jī)提升操作系統(tǒng)統(tǒng)安全升級,修補(bǔ)防病毒軟件:抵御系統(tǒng)完整整性侵害最容容易也最便宜宜的方法需要每日更新新Slide5-35安全計劃：管管理政策進(jìn)行風(fēng)險評估估制定安全策略略制定實(shí)施計劃劃安全機(jī)構(gòu)訪問控制驗(yàn)證機(jī)制,生物特征征識別授權(quán)策略,授權(quán)管理系統(tǒng)統(tǒng)進(jìn)行安全審計計Slide5-36管理政策、企企業(yè)流程和法法律美國政府和企企業(yè)花費(fèi)12%的信息技術(shù)預(yù)預(yù)算用于硬件件、軟件和服服務(wù)器安全，，在2009年共計為1200億美元風(fēng)險管理包括括科技有效管理策略略法律和公共政政策Slide5-37制定電子商務(wù)務(wù)安全計劃Slide5-38Figure4.14技術(shù)透視你的智能手機(jī)機(jī)安全嗎?課堂討論智能手機(jī)主要面臨哪種威脅?這種類型的設(shè)設(shè)備有哪些特特定的缺點(diǎn)嗎嗎？NicolasSeriot’s的Spyphone說明了什么?與傳統(tǒng)個人電電腦軟件程序序相比，app受到的威脅是更大還是更更??？Slide5-39法律及公共政政策的作用新的法律為地地方和國家權(quán)權(quán)力機(jī)構(gòu)識別別、跟蹤并起起訴網(wǎng)絡(luò)犯罪罪分子提供了了新的工具和和機(jī)制:國際信息基礎(chǔ)礎(chǔ)設(shè)施保護(hù)法法美國愛國者法法案國土安全法私人機(jī)構(gòu)和公公司合作做出出的努力美國計算機(jī)應(yīng)應(yīng)急反應(yīng)小組組協(xié)調(diào)中心美國計算機(jī)應(yīng)應(yīng)急反應(yīng)小組組（US-CERT）政府對于加密密軟件的政策策和控制OECD條約Slide5-40支付付系系統(tǒng)統(tǒng)類類型型現(xiàn)金金從交交易易數(shù)數(shù)量量角角度度來來說說是是最最常常見見的的支支付付形形式式不需需要要任任何何機(jī)機(jī)構(gòu)構(gòu)作作為為中中介介就就可可以以立立即即轉(zhuǎn)轉(zhuǎn)化化為為其其他他價價值值形形式式支票票轉(zhuǎn)轉(zhuǎn)賬賬從交交易易數(shù)數(shù)量量角角度度來來說說是是第第二二種種常常見見的的支支付付形形式式信用用卡卡信用用卡卡組組織織發(fā)卡卡銀銀行行處理理中中心心Slide5-41支付付系系統(tǒng)統(tǒng)類類型型儲值值卡卡通過過存存入入資資金金建建立立的的賬賬戶戶，，所所需需資資金金也也從從此此賬賬戶戶中中提提取取或或支支付付，，例例如如借借記記卡卡、、禮禮券券以以及及智智能能卡卡對等等網(wǎng)網(wǎng)絡(luò)絡(luò)支支付付系系統(tǒng)統(tǒng)余額額累累計計可以以累累積積支支出出費(fèi)費(fèi)用用讓讓消消費(fèi)費(fèi)者者定定期期付付款款的的賬賬戶戶e.g.公共共事事業(yè)業(yè)費(fèi)費(fèi)、、電電話話費(fèi)費(fèi)以以及及美美國國運(yùn)運(yùn)通通卡卡賬賬戶戶Slide5-42Table4.6Slide5-43電子子商商務(wù)務(wù)支支付付系系統(tǒng)統(tǒng)信用用卡卡占美美國國網(wǎng)網(wǎng)絡(luò)絡(luò)交交易易的的55%借記記卡卡占美美國國網(wǎng)網(wǎng)絡(luò)絡(luò)交交易易的的28%網(wǎng)上上信用用卡卡支支付付的的局局限限性性安全全成本本社會會公公平平Slide5-44網(wǎng)上上信信用用卡卡交交易易的的工工作作原原理理Figure4.16Slide5-45電子子商商務(wù)務(wù)支支付付系系統(tǒng)統(tǒng)數(shù)字字錢錢包包模擬擬人們們帶帶在在身身邊邊的的錢包包功能能，存存儲儲和和轉(zhuǎn)移移價值值，，并并確確保保從從消消費(fèi)費(fèi)者者到到商商家家支付過過程的安全全早期努努力推推廣失失敗最新開開發(fā)：：GoogleCheckout數(shù)字現(xiàn)現(xiàn)金在銀行行存入入資金金，并并發(fā)行行數(shù)字字貨幣幣大多數(shù)數(shù)早期期的數(shù)數(shù)字現(xiàn)現(xiàn)金已已經(jīng)消消失，，協(xié)議議和時時間太太復(fù)雜雜Slide5-46電子商商務(wù)支支付系系統(tǒng)在線儲儲值支支付系系統(tǒng)消費(fèi)者者可以以利用用存在在網(wǎng)上上賬戶戶的資資金即即時的的向商商家或或