第1章-電子商務安全

信息安全技術

（電子商務安全）2023/2/11第1章電子商務安全概述課程目的與任務通過本課程的學習，對信息安全與加密，及電子商務安全的概念有較全面的了解，掌握在安全網(wǎng)絡環(huán)境下構建電子商務安全實用技術，并能具體應用于電子商務的實踐中。電子商務安全技術2023/2/12第1章電子商務安全概述課程的要求理解和掌握電子商務安全的基本概念、理論、技術與體系結構，通過課堂學習、課后復習與習題作業(yè)相結合，加深對所學的電子商務安全知識的理解，并能掌握電子商務安全實用技術。電子商務安全技術2023/2/13第1章電子商務安全概述教材管有慶、王曉軍、董小燕，電子商務安全技術(第二版).

，北京郵電大學出版社，2009

2023/2/14第1章電子商務安全概述主要參考書[1]沈昌祥.信息安全導論.北京：電子工業(yè)出版社.2009.2023/2/15第1章電子商務安全概述[2]唐四薪．電子商務安全．北京：清華大學出版社，2013.2023/2/16第1章電子商務安全概述[3]WilliamStallingsr．密碼編碼學與網(wǎng)絡安全．唐明

等譯．北京：電子工業(yè)出版社，2015.2023/2/17第1章電子商務安全概述考核標準本課程采用閉卷考試總成績=平時成績×30%+考試成績×70%希望大家都能得到好成績2023/2/18第1章電子商務安全概述答疑安排周二上午第2大節(jié)在圓樓308房間等待大家的光臨電子郵件答疑

電子商務系辦公室2023/2/19第1章電子商務安全概述電子商務安全技術第1章

電子商務安全概述第2章

密碼學基礎第3章

電子商務安全技術第4章

電子商務中的認證技術第5章

電子商務支付系統(tǒng)第6章

移動電子商務安全第7章安全電子交易協(xié)議第8章萬維網(wǎng)安全及萬維網(wǎng)服務安全2023/2/110第1章電子商務安全概述第1章電子商務安全概述

▅1.1電子商務的基本概念

▅1.2電子商務安全概念與需求

▅1.3電子商務安全體系結構

電子商務安全技術2023/2/111第1章電子商務安全概述1.1電子商務的基本概念

因特網(wǎng)的發(fā)展過程：1969年：兩強對立，美國建立ARPANET1986年：學術界加入研究成立NSFNET(美國國家科學基金網(wǎng))1987年：網(wǎng)絡上主機已超過一萬臺走入商業(yè)化1990年：internet、WWW興起中國互聯(lián)網(wǎng)發(fā)展現(xiàn)狀中國互聯(lián)網(wǎng)發(fā)展信息中心（）2023/2/112第1章電子商務安全概述1.1電子商務的基本概念

2023/2/113第1章電子商務安全概述2023/2/114第1章電子商務安全概述截至2015年6月，我國網(wǎng)民規(guī)模達6.68億，半年共計新增網(wǎng)民1894萬人?；ヂ?lián)網(wǎng)普及率為48.8%，較2014年底提升了0.9個百分點，整體網(wǎng)民規(guī)模增速繼續(xù)放緩。2023/2/115第1章電子商務安全概述互聯(lián)網(wǎng)對個人生活方式的影響進一步深化“互聯(lián)網(wǎng)+”行動計劃的出臺，互聯(lián)網(wǎng)將在云計算、物聯(lián)網(wǎng)及大數(shù)據(jù)等應用，帶動傳統(tǒng)產(chǎn)業(yè)的變革和創(chuàng)新2023/2/116第1章電子商務安全概述2023/2/117第1章電子商務安全概述“互聯(lián)網(wǎng)+”相關政策的支持，促進網(wǎng)絡購物快速發(fā)展“互聯(lián)網(wǎng)+”概念，旨在通過互聯(lián)網(wǎng)帶動傳統(tǒng)零售、物流快遞、交通、生產(chǎn)制造等其他行業(yè)升級轉(zhuǎn)型商務部發(fā)布的《“互聯(lián)網(wǎng)+流通”行動計劃》2023/2/118第1章電子商務安全概述網(wǎng)絡購物在實現(xiàn)消費拉動經(jīng)濟增長，移動網(wǎng)購、跨境網(wǎng)購和農(nóng)村網(wǎng)購等將成為新的增長點2023/2/119第1章電子商務安全概述多樣化的移動支付方式重塑用戶消費習慣3D打印、無人機送貨、虛擬試衣等技術的研發(fā)和完善,提升用戶體驗2023/2/120第1章電子商務安全概述1.1電子商務的基本概念

ElectronicCommerce/ElectronicBusiness/E-commerce/E-business/E-trade/EC

“電子”+“商務”；電子是手段，商務是結果電子商務是以因特網(wǎng)為媒介、以商品交易雙方為主體、以銀行電子支付與結算為手段的全新商務模式2023/2/121第1章電子商務安全概述1.1.1電子商務內(nèi)容

1.1.2電子商務分類

1.1.3電子商務架構

1.1.4電子商務意義

2023/2/122第1章電子商務安全概述生活中的電子商務實例實例1—網(wǎng)上訂購CD實例2—網(wǎng)上訂花實例3—網(wǎng)上交易2023/2/123第1章電子商務安全概述中國音像信息中心網(wǎng)站主頁（）2023/2/124第1章電子商務安全概述上海正廣和網(wǎng)上購物中心主頁（）2023/2/125第1章電子商務安全概述阿里巴巴商務網(wǎng)站主頁（）2023/2/126第1章電子商務安全概述1.1.1電子商務內(nèi)容

網(wǎng)上商業(yè)信息服務如：網(wǎng)上商店的商品信息網(wǎng)絡銀行的金融服務信息電子購物和交易

如：在網(wǎng)上商店選購商品電子銀行與金融交易服務如：在網(wǎng)絡銀行進行帳務處理2023/2/127第1章電子商務安全概述電子商務必須面對的四大層面信息流采用電子信息交換，解決好信息流的問題，將是電子商務成功的關鍵資金流一個真正的商務過程的完成，必須靠資金的轉(zhuǎn)移來實現(xiàn)物流商品轉(zhuǎn)移安全假冒、欺詐、抵賴、泄密……2023/2/128第1章電子商務安全概述1.信息流信息流主要是傳遞消費者的訂單資料,其中包含消費者的數(shù)據(jù)(收件人、收件地址、收件時間),以及訂購的產(chǎn)品信息(產(chǎn)品名稱、數(shù)量)。信息流發(fā)生在消費者、電子商務網(wǎng)站、以及產(chǎn)品的發(fā)貨中心。網(wǎng)絡消費者

電子商務網(wǎng)站

發(fā)貨中心

消費者上網(wǎng)訂購并提供付款資料

訂單資料

2023/2/129第1章電子商務安全概述2.資金流資金流主要處理電子商務中的付款機制，所傳遞的資料主要為消費者的付款資料，而此資料必須保證安全性及正確性，因此必須配合加密及認證技術來完成。資金流主要發(fā)生在電子商務網(wǎng)站及金融機構之間。電子商務網(wǎng)站

確認消費者付款資料

請款

金融機構

2023/2/130第1章電子商務安全概述3.物流物流處理實體的貨物運送,倘若所銷售的是數(shù)字化的產(chǎn)品,將沒有實際的物流；若是實體貨物,則物流是電子商務三流程之中,成本最高的部分。物流會發(fā)生在發(fā)貨中心及消費者之間。網(wǎng)絡消費者

發(fā)貨中心

貨品送達客戶

2023/2/131第1章電子商務安全概述電子商務的流程網(wǎng)絡消費者電子商務網(wǎng)站發(fā)貨中心

金融機構

1.消費者上網(wǎng)訂購并提供付款資料

2.確認付款5.請款3.訂單資料4.貨品送達客戶

信息流資金流物流2023/2/132第1章電子商務安全概述4.安全網(wǎng)絡雖有傳遞快速、方便、成本低廉的好處，但網(wǎng)絡資料的安全性卻也比較令人擔憂把在網(wǎng)絡上傳遞的資料加密,即可解決網(wǎng)絡資料安全性的問題。

身份認證則是讓沒有面對面的交易雙方,具有交易對象身份的確認以及交易的不可否認性2023/2/133第1章電子商務安全概述1.1.2電子商務分類企業(yè)間的電子商務(B2B)企業(yè)通過計算機網(wǎng)絡向它的供應商進行采購與付款企業(yè)與消費者之間的電子商務(B2C)許多大型的網(wǎng)絡商店，所出售的商品一應俱全政府與企業(yè)之間的電子商務(G2B)

政府將采購，通過網(wǎng)上競價方式進行招標，企業(yè)也要通過電子商務的方式進行投標政府與消費者之間的電子商務(G2C)

社會福利金的支付、個人所得稅的征收電子商務按照應用群體的角度進行分類

2023/2/134第1章電子商務安全概述1.1.3電子商務架構遠程教育股票交易網(wǎng)上訂票網(wǎng)上商店網(wǎng)上交稅遠程醫(yī)療網(wǎng)上銀行……認證中心CA、支付網(wǎng)關、社會配送體系等基礎平臺網(wǎng)絡基礎設施相關政策法律法規(guī)技術標準安全協(xié)議2023/2/135第1章電子商務安全概述1.1.3電子商務架構底層是網(wǎng)絡基礎平臺是信息傳送的載體和用戶接入手段，它包括各種各樣的網(wǎng)絡傳輸平臺、網(wǎng)絡傳輸設備和網(wǎng)絡接入方式等中間層是電子商務基礎平臺(1)基本加密算法層(2)基本安全技術層(3)安全協(xié)議層第三層是各種各樣的電子商務業(yè)務(應用)系統(tǒng)包括支付型業(yè)務系統(tǒng)和非支付型業(yè)務系統(tǒng)。電子商務業(yè)務系統(tǒng)中主要是支付型業(yè)務系統(tǒng)三層框架2023/2/136第1章電子商務安全概述1.1.4電子商務意義全球化電子商務能夠讓商家向全球范圍內(nèi)的客戶提供商品，也可以讓客戶在全球范圍內(nèi)選購商品電子商務實現(xiàn)在線銷售、在線購物、在線支付，使商家和企業(yè)能及時跟蹤顧客的購物趨勢成本降低省去了中間環(huán)節(jié)，通過高效的信息傳遞手段，使得網(wǎng)上業(yè)務的運行成本大大降低商家和企業(yè)可以利用電子商務，同合作伙伴保持密切的聯(lián)系，改善合作關系

2023/2/137第1章電子商務安全概述1.1.4電子商務意義商家和企業(yè)可以利用電子商務在網(wǎng)上廣泛傳播自己的獨特形象通過電子商務可以促使商家和企業(yè)內(nèi)部之間的信息交流，內(nèi)部與外部的信息交流，及時得到各種信息，保證決策的科學性和及時性2023/2/138第1章電子商務安全概述1.2電子商務安全概念與需求1.2.1安全層面1.2.2安全威脅1.2.3安全需求

電子商務的安全與其他計算機應用系統(tǒng)的安全一樣，是一個完整的安全體系結構，它包含了從物理硬件到人員管理的各個方面，任何一個方面的缺陷都將在一定程度上影響整個電子商務系統(tǒng)的安全性2023/2/139第1章電子商務安全概述1.2.2安全威脅在一個調(diào)查報告中，調(diào)研樣本中有3526位網(wǎng)民未使用過網(wǎng)上銀行，在分析其不使用網(wǎng)上銀行的原因時發(fā)現(xiàn)，排在最前的因素是網(wǎng)民擔心交易安全問題(56.1%)2023/2/140第1章電子商務安全概述2014年國內(nèi)和國際網(wǎng)絡信息安全大事件國內(nèi)事件攜程信息“安全門”事件敲響網(wǎng)絡消費安全警鐘

小米800萬用戶數(shù)據(jù)泄露

快遞公司官網(wǎng)遭入侵泄露1400萬用戶快遞數(shù)據(jù)

130萬考研用戶信息被泄露

12306網(wǎng)站超13萬用戶數(shù)據(jù)遭泄露

2023/2/141第1章電子商務安全概述國際事件1.微軟正式停止對XP系統(tǒng)技術支持

2.iCloud曝安全漏洞蘋果陷入“艷照門”事件

3.摩根大通銀行被黑

8300萬客戶信息泄露4.2000萬韓國人信用卡信息被盜

2023/2/142第1章電子商務安全概述1.2.2安全威脅目前電子商務發(fā)展面臨的主要問題之一是如何保障電子商務交易過程中的安全性。交易的安全是網(wǎng)上貿(mào)易的基礎和保障，同時也是電子商務技術的難點交易安全是電子商務系統(tǒng)所特有的安全要求。2023/2/143第1章電子商務安全概述在交易過程中，消費者和商家面臨的安全威脅通常有：

虛假定單：假冒者以客戶名義訂購商品，而要求客戶付款或返還商品付款后收不到商品商家發(fā)貨后，得不到付款2023/2/144第1章電子商務安全概述1.2.2安全威脅機密性喪失PIN或口令在傳輸過程中丟失；商家的定單確認信息被竄改電子貨幣丟失可能是物理破壞，或者被偷竊。這個通常會給用戶帶來不可挽回的損失非法存取指未經(jīng)授權者進入計算機系統(tǒng)中，存取數(shù)據(jù)的情形；或合法授權者另有其他目的地使用系統(tǒng)侵入攻擊者在入侵系統(tǒng)后離去，并為日后的攻擊行為預留管道。如：木馬病毒2023/2/145第1章電子商務安全概述1.2.2安全威脅通信監(jiān)聽攻擊者無須入侵系統(tǒng)即可竊取到機密信息；欺詐攻擊者偽造數(shù)據(jù)或通信程序以竊取機密信息。例如，安裝偽造的服務器系統(tǒng)以欺騙使用者主動泄漏機密；拒絕服務攻擊者造成合法使用者存取信息時被拒絕的情況；否認交易雙方之一方在交易后，否認該交易曾經(jīng)發(fā)生，或曾授權進行此交易的事實2023/2/146第1章電子商務安全概述1.2.3安全需求

因特網(wǎng)本身的開放性及目前網(wǎng)絡技術發(fā)展的局限性導致網(wǎng)上交易面臨著種種安全性威脅。交易與支付安全問題可歸結為如下幾個核心問題：可靠性、保密性、完整性、抗否認性、匿名性、原子性和有效性。

2023/2/147第1章電子商務安全概述1.2.3安全需求1.可靠性傳統(tǒng)交易:交易雙方主要是面對面進交易行活動的，易于身份驗證電子商務模式：網(wǎng)上進行交易的雙方大多素昧平生電子商務首要的安全需求:保證身份的可認證性，確保交易雙方身份信息的可靠，防止攻擊者以假冒身份在網(wǎng)上進行交易和詐騙。2023/2/148第1章電子商務安全概述1.2.3安全需求2.保密性傳統(tǒng)的交易面對面地進行敏感信息的交換通過專用、封閉的安全通信信道進行交換。利用保險柜保存機密文件。電子商務模式電子商務是建立在開放的網(wǎng)絡環(huán)境上電子商務系統(tǒng)的最根本的安全需求：維護敏感信息的機密性，保證敏感信息的安全傳輸和存儲。實現(xiàn)方法：加密2023/2/149第1章電子商務安全概述1.2.3安全需求3.完整性電子商務系統(tǒng)應防止對交易信息的篡改，防止數(shù)據(jù)傳輸過程中交易信息的丟失和重復，并保證信息傳遞次序的統(tǒng)一。當網(wǎng)絡面臨主動攻擊時，攻擊者通過篡改或部分刪除交易過程中發(fā)送的信息，破壞信息的完整性，使交易的雙方蒙受損失。例如，用戶A截取C的郵購地址A的郵購地址網(wǎng)上書店2023/2/150第1章電子商務安全概述1.2.3安全需求4.不可否認性傳統(tǒng)交易交易雙方通過在書面文件上手寫簽名方式確定書面文件的可靠性，預防抵賴行為的發(fā)生。

電子商務模式無紙化的電子交易無法通過傳統(tǒng)的“白紙黑字”方式防止交易參與方的抵賴行為。不可否認性需求保證電子交易過程中的各個環(huán)節(jié)都必須是不可否認的2023/2/151第1章電子商務安全概述1.2.3安全需求5.匿名性

電子商務系統(tǒng)應確保交易的匿名性，防止交易過程被跟蹤，保證交易過程中不把用戶的個人信息泄露給未知的或不可信的個體，確保合法用戶的隱私不被侵犯。2023/2/152第1章電子商務安全概述6.原子性原子性包括：錢原子性(moneyatomicity)、商品原子性(goodsatomicity)、確認發(fā)送原子性(certifieddeliveryatomicity)。原子性是滿足商品交易的要求之一。2023/2/153第1章電子商務安全概述1.2.3安全需求7.有效性電子商務系統(tǒng)應有效防止系統(tǒng)延遲或拒絕服務情況的發(fā)生保證交易數(shù)據(jù)在確定的時刻、確定的地點是有效的。

2023/2/154第1章電子商務安全概述1.3電子商務安全體系結構

電子商務安全系統(tǒng)結構組成：由網(wǎng)絡服務層加密技術層安全認證層交易協(xié)議層商務應用系統(tǒng)層等5個層次組成

電子商務的安全體系結構是保證電子商務中數(shù)據(jù)安全的一個完整的邏輯結構，同時它也為交易過程的安全提供了基本保障

2023/2/155第1章電子商務安全概述電子商務安全體系結構圖網(wǎng)絡安全交易安全2023/2/156第1章電子商務安全概述1.3電子商務安全體系結構

電子商務安全問題可歸結為網(wǎng)絡安全和商務交易安全這兩個方面。

計算機網(wǎng)絡安全和商務交易安全是密不可分的，兩者相輔相成、缺一不可。2023/2/157第1章電子商務安全概述1.3.1網(wǎng)絡安全：網(wǎng)絡服務層提供網(wǎng)絡安全1.3.1交易安全加密技術層、安全認證層、交易協(xié)議層、商務系統(tǒng)層滿足電子商務所特有的安全要求——商務交易安全2023/2/158第1章電子商務安全概述1.3.1網(wǎng)絡安全網(wǎng)絡服務層也提供計算機網(wǎng)絡安全。計算機網(wǎng)絡安全主要包括：計算機網(wǎng)絡的物理安全、計算機網(wǎng)絡系統(tǒng)安全和數(shù)據(jù)庫安全等。計算機網(wǎng)絡安全采用的主要安全技術有：防火墻技術、加密技術、漏洞掃描技術、入侵檢測技術、反病毒技術和安全審計技術等，用以保證計算機網(wǎng)絡自身的安全。2023/2/159第1章電子商務安全概述1.3.1網(wǎng)絡安全1.防火墻技術2023/2/160第1章電子商務安全概述1.3.1網(wǎng)絡安全2.加密技術數(shù)據(jù)加密技術可以用來保護網(wǎng)絡系統(tǒng)中包括用戶數(shù)據(jù)在內(nèi)的所有數(shù)據(jù)流。3.漏洞掃描技術漏洞掃描是自動檢測遠端或本地主機安全漏洞的技術。4.入侵檢測技術入侵檢測技術通過獲取網(wǎng)絡上的所有報文，并對報文進行分析處理2023/2/161第1章電子商務安全概述1.3.1網(wǎng)絡安全5.反病毒技術反病毒技術大體分為：病毒檢測病毒清除病毒免疫病毒預防6.安全審計技術

2