第5章-電子商務安全

第5章_電子商務安全第一頁，共46頁。計算機安全問題1、實體的安全性：實體安全包括環(huán)境安全、設備安全和媒體安全，它用來保證硬件和軟件本身的安全。2、運行環(huán)境的安全性：運行安全包括風險分析、審計跟蹤、備份與恢復和應急，它用來保證計算機能在良好的環(huán)境里持續(xù)工作。第二頁，共46頁。3、信息的安全性：信息安全包括操作系統(tǒng)安全、數據庫安全、網絡安全、防病毒、訪問控制、加密、認證，它用來保障信息不會被非法閱讀、修改和泄露。采用先進可靠的安全技術，可以減少計算機信息系統(tǒng)的脆弱性。安全技術是計算機信息系統(tǒng)安全的基礎，必須大力發(fā)展。第三頁，共46頁。計算機病毒的概念計算機病毒的概念計算機病毒（ComputerVirus）的概念是由FredCoben在1983年11月３日的一次計算機安全學術討論會上首次提出的，當時，他對計算機病毒的定義是：能夠通過修改程序，把自身復制進去進而“傳染”其它程序的程序。第四頁，共46頁。計算機病毒：首先，與醫(yī)學上的“病毒”不同，它不是天然存在的，是某些人利用電腦軟、硬件所固有的脆弱性，編制具有特殊功能的程序。其能通過某種途徑潛伏在計算機存儲介質(或程序)里，當達到某種條件時即被激活，它用修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中，從而感染它們，對電腦資源進行破壞的這樣一組程序或指令集合。第五頁，共46頁。計算機病毒的兩大特征這一定義強調了病毒的兩大特征：首先“病毒”是人為編制的程序，其次“病毒”具有“傳染性”。第六頁，共46頁。計算機病毒的消毒方法1、手工消毒方法使用DEBUG、PCTOOLS等簡單工具，借助于對某種病毒的具體認識，從感染病毒的文件中，摘除病毒代碼，使之康復。手工操作復雜、速度慢，風險大，需要熟練的技能和豐富的知識。第七頁，共46頁。2、自動消毒方法使用自動消毒軟件自動清除患病文件中的病毒代碼，使之康復。自動消毒方法，操作簡單，效率高，風險小。當遇到被病毒感染的文件急需恢復而又找不到解毒軟件或解毒軟件無效時，才要用到手工修復的方法。從與病毒對抗的全局看，人們總是從手工消毒開始，獲取消毒成功后，再研制相應的軟件產品，使計算機自動地完成全部消毒操作。第八頁，共46頁。目前常用的查、殺病毒軟件主要有瑞星、VRV、江民等。如果自動方法和手工方法仍不奏效，消毒的最后一種辦法就是對軟盤進行格式化，或對硬盤進行低級格式化。就算再厲害的病毒也跑不掉，但也要以軟盤或硬盤上所有文件的丟失作為代價。初學者使用這種方法一定要三思而后行。第九頁，共46頁。計算機病毒的防范1、備份：對所有的軟件（甚至操作系統(tǒng)）進行備份，并制定應付突發(fā)情況的應急方案；2、預防：提高用戶的警惕性，實行安全衛(wèi)生制度，例如使用正版軟件等；3、檢測：使用殺病毒軟件來檢測，報告并殺死病毒；4、隔離：確認并隔離攜帶病毒的部件；5、恢復：殺毒或清除被病毒感染的文件。第十頁，共46頁。計算機病毒的分類第十一頁，共46頁。按表現性質1、良性病毒：良性的危害性小，不破壞系統(tǒng)和數據，但大量占用系統(tǒng)開銷，將使機器無法正常工作陷于癱瘓。如國內出現的圓點病毒就是良性的。第十二頁，共46頁。2、惡性病毒：惡性病毒可能會毀壞數據文件，也可能使計算機停止工作。若按激活的時間可分為定時的和隨機的。定時病毒僅在某一特定時間才發(fā)作，而隨機病毒一般不是由時鐘來激活的。第十三頁，共46頁。按入侵方式分1、操作系統(tǒng)型病毒，大麻病毒就是典型的操作系統(tǒng)病毒，這種病毒具有很強的破壞力（用它自己的程序意圖加入或取代部分操作系統(tǒng)進行工作），可以導致整個系統(tǒng)的癱瘓；第十四頁，共46頁。2、源碼病毒，在程序被編譯之前插入到FORTRAN、C、或PASCAL等語言編制的源程序，完成這一工作的病毒程序一般是在語言處理程序或連接程序中；第十五頁，共46頁。3、外殼病毒，常附在主程序的首尾，對源程序不作修改，這種病毒較常見，易于編寫，也易于發(fā)現，一般測試可執(zhí)行文件的大小即可知；第十六頁，共46頁。4、入侵病毒，侵入到主程序之中，并替代主程序中部分不常用到的功能模塊或堆棧區(qū)，這種病毒一般是針對某些特定程序而編寫的。第十七頁，共46頁。計算機病毒的特點（１）破壞性：凡是由軟件手段能觸及到計算機資源的地方均可能受到計算機病毒破壞。其表現：占用CPU時間和內存開銷，從而造成進程堵塞；對數據或文件進行破壞；打亂屏幕的顯示等。（２）隱蔽性：病毒程序大多夾在正常程序之中，很難被發(fā)現。第十八頁，共46頁。（３）潛伏性：病毒侵入后，一般不立即活動，需要等一段時間，條件成熟后才作用。（４）傳染性：對于絕大多數計算機病毒來講，傳染是它的一個重要特性。它通過修改別的程序，并把自身的拷貝包括進去，從而達到擴散的目的。從已經發(fā)現的計算機病毒來看，不管哪種病毒它們都具有一些共同的特性。第十九頁，共46頁。

如何判斷計算機感染了病毒

一般來說，當計算機出現以下不正?，F象時，才應當懷疑是否感染了病毒：（1）文件的大小和日期是否變化;（2）系統(tǒng)啟動速度是否比平時慢;（3）沒做寫操作時出現"磁盤有寫保護"信息;（4）對貼有寫保護的軟盤操作時音響很大;（5）系統(tǒng)運行速度異常慢;（6）鍵盤、打印、顯示有異?，F象;第二十頁，共46頁。

（7）有特殊文件自動生成;（8）磁盤空間自動產生壞簇或磁盤空間減少（9）文件莫名其妙有丟失;（10）系統(tǒng)異常死機的次數增加。（11）COMMAND.COM文件被修改。（12）AUTOEXEC.BAT、CONFIG.SYS被修改。

第二十一頁，共46頁。（13）程序裝入時間比平常長，訪問磁盤時間比平常長。（14）用戶并沒有訪問的設備出現"忙"信號。（15）出現莫名其妙的隱藏文件。第二十二頁，共46頁。網絡安全第二十三頁，共46頁。電子商務的安全因素（1）信息的保密性：保證信息不泄露給未經授權的人；（2）信息的完整性：防止信息被未經授權者篡改，保證信息從真實的信源到真實的信宿；（3）信息的有效性：一旦簽訂交易后，就應得到保護以防止被篡改或偽造；第二十四頁，共46頁。（4）信息的不可抵賴性：保證信息行為人不能否認自己的行為；（5）交易身分的真實性：交易雙方確實是存在的，不是假冒的；（6）系統(tǒng)的可靠性：防止由于計算機失效、程序錯誤、傳輸錯誤等造成的潛在威脅，并加以控制和預防。第二十五頁，共46頁。電子商務的安全技術

第二十六頁，共46頁。（一）密鑰加密技術

1、對稱密鑰加密技術對信息的加密和解密使用相同的密鑰2、非對稱密鑰加密技術對信息的加密和解密過程使用不同的密鑰。每個用戶保留兩個不同的密鑰：一個是公鑰，一個是私鑰第二十七頁，共46頁。3、數字信封：發(fā)送方首先用對稱密鑰加密所需發(fā)送的原文，然后用收信方的公鑰加密這個對稱密鑰，最后將密文和加密了的對稱密鑰一同發(fā)給收信方。第二十八頁，共46頁。（二）數字證書數字證書就是網絡通訊中標志通訊各方身份信息的一系列數據，提供了一種在Internet上驗證身份的方式，其作用類似于司機的駕駛執(zhí)照或日常生活中的身份證。它是由一個由權威機構-----CA機構，又稱為證書授權(CertificateAuthority)中心發(fā)行的，人們可以在交往中用它來識別對方的身份。第二十九頁，共46頁。（三）認證中心作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。CA中心為每個使用公開密鑰的用戶發(fā)放一個數字證書，數字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機構的數字簽名使得攻擊者不能偽造和篡改證書。在SET交易中，CA不僅對持卡人、商戶發(fā)放證書，還要對獲款的銀行、網關發(fā)放證書。它負責產生、分配并管理所有參與網上交易的個體所需的數字證書，因此是安全電子交易的核心環(huán)節(jié)。第三十頁，共46頁。（四）SSL協議和SET協議第三十一頁，共46頁。1、SSL協議SSL協議能確保兩個應用程序之間通訊內容的保密性和數據的完整性。SSL協議層包括兩個協議子層：SSL記錄協議與SSL握手協議。（1）SSL記錄協議基本特點連接是專用的連接是可靠的第三十二頁，共46頁。

（2）SSL握手協議基本特點

能對通信雙方的身份的認證進行協商的雙方的秘密是安全的協商是可靠的SSL安全技術在互聯網服務器和客戶機間提供了安全的TCP/IP通道。SSL可用于加密任何基于TCP/IP的應用，如HTTP、Telnet、FTP等。第三十三頁，共46頁。2、SET協議SET是SecureElectronicTransaction，即安全電子交易的英文縮寫。它是一個在互聯網上實現安全電子交易的協議標準。SET協議主要使用的技術包括：對稱密鑰加密、公共密鑰加密、哈希（HASH）算法、數字簽名技術以及公共密鑰授權機制等。SET通過使用公共密鑰和對稱密鑰方式加密保證了數據的保密性，通過使用數字簽名來確定數據是否被篡改、保證數據的一致性和完整性，并可以完成交易防抵賴。第三十四頁，共46頁。SET協議涉及的對象1、消費者包括個人消費者和團體消費者，按照在線商店的要求填寫訂貨單，通過發(fā)卡銀行并選擇銀行卡進行付款。

2、在線商店提供商品或服務，具備相應電子貨幣使用的條件。第三十五頁，共46頁。3、收單銀行通過支付網關處理消費者和在線商店之間的交易付款問題。4、電子貨幣發(fā)行機構負責發(fā)行電子貨幣（如智能卡、電子貨幣、電子錢包）銀行或非銀行金融機構，以及某些兼有電子貨幣發(fā)行的企業(yè)。他們負責處理智能卡的審核和支付工作。

第三十六頁，共46頁。5、認證中心（CA）

負責對交易對方的身份確認，對廠商信譽度和消費者的支付手段進行認證。第三十七頁，共46頁。（五）防火墻防火墻是用來對兩個或多個網絡之間的互相訪問實行強制性管理的安全系統(tǒng)，通過屏蔽未授權的網絡訪問等手段把內部網絡隔離為可信任網絡，同時也可以用來把內部可信任網絡對外部網絡或其他非可信任網的訪問限制在規(guī)定范圍之內。防火墻的安全性能是根據系統(tǒng)安全的要求而設置的，因系統(tǒng)的安全級別不同而有所不同。第三十八頁，共46頁。防火墻具有五大基本功能①過濾進出網絡的數據包；②管理進出網絡的訪問行為；③封堵某些禁止的訪問行為；④記錄通過防火墻的信息內容和活動；⑤對網絡攻擊進行檢測和告警。第三十九頁，共46頁。電子商務帶來的法律新問題

電子商務帶來的法律新問題第四十頁，共46頁。1、電子商務運作平臺建設及其法律地位問題2、在線交易主體及市場準入問題3、電子合同問題4、電子商務中產品交付的特殊問題5、特殊形態(tài)的電子商務規(guī)范問題6、網上電子支付問題第四十一頁，共46頁。7、在線不正當競爭與網上無形財產保護問題8、在線消費者保護問題9、網上個人隱私保護問題10、網上稅收問題11、在線交易法律適用和管轄沖突問題第四十二頁，共46頁。電子商務法的調整對象

調整對象是立法的核心問題，它揭示了立法調整的因特定主體所產生的特定社會關系，也是一法區(qū)別于另一法的基本標準。根據電子商務的內在本質和特點，電子商務法的調整對象應當是電子商務交易活動中發(fā)生的各種社會關系，而這類社會關系是在廣泛采用新型信息技術并將這些技術應用到商業(yè)領域后才形成的特殊的社會關系，它交叉存在于虛擬社會和實體社會之間，有別于實體社會中的各種社會關系，且完全獨立于現行法律的調整范圍。第四十三頁，共46頁。電子商務概念所包括的通信手段有以下各種以使用電子技術為基礎的傳遞方式：通過電子手段例如通過因特網進行的自由格式的文本的傳遞，以電子數據交換方式進行的通訊，計算機之間以標準格式進行的數據傳遞；利用公開標準或專有標準進行的電文傳遞。在某些情況下"電子商務"概念還可包括電報和傳真復印等技術的使用。如