電子商務(wù)的安全性教材

電子商務(wù)第五章電子商務(wù)的安全性第一節(jié)電子商務(wù)的安全概述

第二節(jié)電子商務(wù)的安全性技術(shù)第三節(jié)電子商務(wù)的安全管理

第四節(jié)電子商務(wù)安全的法律法規(guī)

第一節(jié)電子商務(wù)的安全概述電子商務(wù)的發(fā)展前景十分誘人，但其安全問題也變得日趨突出。電子商務(wù)是基于計(jì)算機(jī)互聯(lián)網(wǎng)的交易行為，商家和顧客的許多交易信息如訂貨信息、支付信息、機(jī)密的商務(wù)往來文件等大量信息在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)、傳輸和處理，而互聯(lián)網(wǎng)又是一個(gè)高度開放性的網(wǎng)絡(luò)，通過互聯(lián)網(wǎng)非法獲取信息的次數(shù)和數(shù)量在快速增長，它面臨著越來越嚴(yán)重的威脅和攻擊。電子商務(wù)活動(dòng)借助于通信網(wǎng)絡(luò)或者計(jì)算機(jī)網(wǎng)絡(luò)傳遞商務(wù)信息，網(wǎng)絡(luò)還成為部分交易標(biāo)的（如數(shù)字化產(chǎn)品或服務(wù)等）的傳遞渠道。能否確保信息安全和網(wǎng)絡(luò)系統(tǒng)正常運(yùn)轉(zhuǎn)成為電子商務(wù)成敗的關(guān)鍵。電子商務(wù)的安全問題一、電子商務(wù)的安全問題從技術(shù)上看，電子商務(wù)面臨的安全問題主要來自以下幾個(gè)方面：安全漏洞、計(jì)算機(jī)病毒、黑客攻擊、網(wǎng)絡(luò)仿冒、信用風(fēng)險(xiǎn)。

網(wǎng)站或系統(tǒng)的嚴(yán)格管理是降低電子商務(wù)風(fēng)險(xiǎn)的重要保證，很多企業(yè)、機(jī)構(gòu)及用戶的網(wǎng)站或系統(tǒng)都疏于這方面的管理；人員管理是電子商務(wù)安全管理上薄弱的環(huán)節(jié)。

（一）電子商務(wù)安全的技術(shù)問題（二）電子商務(wù)安全的管理問題電子商務(wù)交易安全的法律保護(hù)問題，涉及到兩個(gè)基本方面：第一，電子商務(wù)交易首先是一種商品交易，其安全問題應(yīng)當(dāng)通過民商法加以保護(hù)；第二，電子商務(wù)交易是通過計(jì)算機(jī)及其網(wǎng)絡(luò)而實(shí)現(xiàn)的，其安全與否依賴于計(jì)算機(jī)及其網(wǎng)絡(luò)自身的安全程度。我國目前上述兩個(gè)方面的法律制度尚不完善。（三）電子商務(wù)安全的法律保障問題

一、電子商務(wù)的安全問題二、觸發(fā)電子商務(wù)安全問題的原因

人的因素網(wǎng)絡(luò)的因素管理的因素技術(shù)的因素其他因素

三、電子商務(wù)的安全要求安全要求安全目標(biāo)內(nèi)容安全技術(shù)機(jī)密性信息的保密保護(hù)機(jī)密信息不被非法存取以及信息在傳輸過程中不被非法竊取加密完整性探測信息是否被篡改防止信息在傳輸過程中丟失和重復(fù)以及非法用戶對信息的惡意篡改數(shù)字摘要、數(shù)字簽名不可否認(rèn)性不能否認(rèn)信息的發(fā)送、接收及信息內(nèi)容有效防止通信或交易雙方對已進(jìn)行的業(yè)務(wù)的否認(rèn)數(shù)字簽名，數(shù)字證書，時(shí)間戳訪問控制性只有授權(quán)用戶才能訪問保證系統(tǒng)、數(shù)據(jù)和服務(wù)能由合法人員訪問防火墻，口令，生物測定法認(rèn)證性驗(yàn)證身份確保交易信息的真實(shí)性和交易雙方身份的合法性數(shù)字證書，數(shù)字簽名，口令，生物測定法第二節(jié)電子商務(wù)的安全性技術(shù)一、加密技術(shù)（一）加密技術(shù)的概念

加密技術(shù)的原理是利用加密算法，將明文轉(zhuǎn)換成為無意義的密文，從而阻止非法用戶獲取和理解原始數(shù)據(jù)。明文變?yōu)槊芪牡倪^程稱為加密，由密文還原為明文的過程稱為解密，加密和解密的規(guī)則稱為密碼算法。在加密和解密的過程中，由加密者和解密者使用的加解密可變參數(shù)叫做密鑰。

加密E解密D明文M發(fā)送方明文M接收方密文C加密密鑰

Ke解密密鑰

Ke加密作為保障數(shù)據(jù)安全的一種方式，起源于公元前2000年，也就是4000年前。近代加密技術(shù)主要應(yīng)用在近200年來的戰(zhàn)爭中。第二次世界大戰(zhàn)中密碼電報(bào)機(jī)Enigma。英國數(shù)學(xué)家、被稱為計(jì)算機(jī)之父之一的艾倫?圖靈終于破解了德國人的密碼，從而為盟軍二戰(zhàn)的勝利奠定了基礎(chǔ)。一、加密技術(shù)加密技術(shù)的由來一、加密技術(shù)（二）劃分加密技術(shù)的類型1．私鑰加密體制

2．公鑰加密體制公鑰加密體制，又稱非對稱密鑰加密，其加密密鑰與解密密鑰不同。其基本思想是：每個(gè)用戶擁有兩個(gè)密鑰，一個(gè)可通過密鑰分布中心公開發(fā)布，即公開密鑰，一個(gè)由用戶自己秘密保存，即私有密鑰。若用公鑰加密信息，只有與其對應(yīng)的私鑰才能解密；反之，若用私鑰加密信息，也只有用相應(yīng)的公鑰才能解密。私鑰加密體制，又稱對稱密鑰加密，即加密與解密時(shí)使用相同的密碼。其主要思想是：用一個(gè)約定的加密函數(shù)和秘密密鑰加密明文，用逆函數(shù)和同一把密鑰來解密密文，還原為原來的明文。1.對稱加密算法所謂對稱加密，指的是加密和解密的密鑰是相同的，又稱為單一密鑰加密法。明文密文明文加密解密密鑰相同發(fā)送者接收者A=B密鑰B密鑰A一、加密技術(shù)2.非對稱加密算法非對稱加密算法在加密的過程中使用一對密鑰，而不像對稱加密只使用一個(gè)單獨(dú)的密鑰。一對密鑰中一個(gè)用于加密，另一個(gè)用來解密。如用A加密，則用B解密；反之如果用B加密，則要用A解密。為了避免密鑰傳遞導(dǎo)致的泄密，非對稱加密算法采用另外一種密碼管理機(jī)制，那就是公鑰－私鑰機(jī)制。一、加密技術(shù)非對稱加密示意圖明文密文明文加密解密密鑰不同A≠B發(fā)送者接收者密鑰A密鑰B一、加密技術(shù)非對稱加密實(shí)現(xiàn)加密傳送功能明文密文明文加密解密發(fā)送者X接收者YY的公鑰Y的私鑰一、加密技術(shù)非對稱加密實(shí)現(xiàn)發(fā)送者身份認(rèn)證明文密文明文加密解密接收者X發(fā)送者YY的公鑰Y的私鑰一、加密技術(shù)既實(shí)現(xiàn)加密又確認(rèn)發(fā)送者身份認(rèn)證明文密文1明文加密接收者X發(fā)送者YY的公鑰Y的私鑰加密解密

解密密文1密文2X的公鑰X的私鑰一、加密技術(shù)由于接收者用Y的公鑰解密時(shí)可以得知郵件一定是用Y的私鑰加密的，而Y的私鑰只有他自己擁有，因此我們可以利用這一過程來確認(rèn)發(fā)送者的身份。實(shí)際上驗(yàn)證身份時(shí)很少對發(fā)送的全文進(jìn)行加密，而通常只對正文的哈希值（數(shù)字摘要）進(jìn)行加密，這樣加解密速度快，效率高，且可以驗(yàn)證傳遞信息的完整性，這就是我們后面要介紹的數(shù)字簽名。一、加密技術(shù)一、加密技術(shù)（三）加密算法1．私鑰加密算法——數(shù)據(jù)加密標(biāo)準(zhǔn)2．公鑰加密算法——RSA算法DES算法將輸入的明文分成64位數(shù)據(jù)組塊進(jìn)行加密，密鑰長度為64位，有效長度為56位（其他8位用于奇偶校驗(yàn)）。其加密過程大致分三步：初始置換、16輪迭代變換和逆置換。RSA是1977年由美國麻省理工學(xué)院的三位教授RonaldRivest、AdiShamir、LeonardAdleman聯(lián)合發(fā)明的，所以把三位教授姓氏的首位字母結(jié)合起來，稱其為RSA加密算法。

二、數(shù)字簽名技術(shù)數(shù)字簽名是目前電子商務(wù)中應(yīng)用最普遍、可操作性很強(qiáng)的一種電子簽名方法，它是通過某種密碼運(yùn)算生成一系列符號(hào)及代碼組成電子密碼進(jìn)行簽名，來代替書寫簽名或印章。數(shù)字簽名技術(shù)以加密技術(shù)為基礎(chǔ)，其核心是采用加密技術(shù)來實(shí)現(xiàn)對報(bào)文的數(shù)字簽名。

（一）數(shù)字簽名概念哈希（HASH）函數(shù)哈希函數(shù)是一種單向函數(shù)，常用的算法有MD2、MD5、SHA-1等，它滿足以下條件：1.

已知x，可以導(dǎo)出y＝f（x），這里f（x）就是哈希函數(shù)，y是哈希函數(shù)的值，一般y<<x，且從y難以反向?qū)С鰔；2.

相同的x值，其y值一定相同；不相同的x值，哪怕只有一個(gè)bit的改變，其y值必不相同。

二、數(shù)字簽名技術(shù)數(shù)字摘要數(shù)字摘要（DigitalDigest），是特指以MD5或SHA-1算法生成的128位長的哈希值，被廣泛應(yīng)用于數(shù)字簽名（電子簽名）中。

二、數(shù)字簽名技術(shù)哈希函數(shù)的應(yīng)用要確認(rèn)文檔內(nèi)容是否被修改過，只要效驗(yàn)前后兩次的哈希值即可。

二、數(shù)字簽名技術(shù)二、數(shù)字簽名技術(shù)（二）數(shù)字簽名的工作過程數(shù)字簽名（電子簽名）數(shù)字簽名就是信息發(fā)送者先給自己將要發(fā)送的正文內(nèi)容做一個(gè)數(shù)字摘要，然后用自己的私鑰給這個(gè)數(shù)字摘要加密，這個(gè)加密以后的數(shù)字摘要就是數(shù)字簽名。

接收者收到傳遞的正文以后，再計(jì)算一次數(shù)字摘要，同時(shí)用發(fā)送者的公鑰打開傳來的加密數(shù)字摘要，兩者進(jìn)行對比，如果兩個(gè)數(shù)字摘要相同，則可以肯定收到的是發(fā)送者的原件，因?yàn)橛霉€打開的數(shù)字摘要只有用發(fā)送者自己私鑰才能生成，就好象發(fā)送者自己在文本上簽過字一樣，所以把它稱作數(shù)字簽名。二、數(shù)字簽名技術(shù)三、認(rèn)證技術(shù)（一）客戶認(rèn)證技術(shù)1．身份認(rèn)證2．信息認(rèn)證生物測定學(xué)技術(shù)指紋識(shí)別（FingerprintScanning）視網(wǎng)膜識(shí)別（RetinaRecognition）虹膜識(shí)別（IrisRecognition）

面部特征識(shí)別（FacelRecognition）

語音識(shí)別（VoiceRecognition）

三、認(rèn)證技術(shù)三、認(rèn)證技術(shù)（二）數(shù)字證書1．?dāng)?shù)字證書的概念和組成2．?dāng)?shù)字證書的類型（1）個(gè)人身份證書（2）企業(yè)身份證書（3）服務(wù)器身份證書（4）企業(yè)代碼簽名證書（5）個(gè)人代碼簽名證書數(shù)字證書是通過第三方權(quán)威認(rèn)證有效地進(jìn)行網(wǎng)上身份認(rèn)證，幫助各個(gè)實(shí)體識(shí)別對方身份和表明自身的身份，具有真實(shí)性和防抵賴功能。

三、認(rèn)證技術(shù)（三）安全認(rèn)證機(jī)構(gòu)

1．認(rèn)證中心2．認(rèn)證中心的層次結(jié)構(gòu)認(rèn)證中心的層次結(jié)構(gòu)由根CA、品牌CA、區(qū)域性CA以及持卡人CA、商家CA、支付網(wǎng)關(guān)CA四個(gè)層次構(gòu)成。認(rèn)證中心是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)，能簽發(fā)數(shù)字證書，并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。

３．認(rèn)證中心的功能

４．國內(nèi)外主要認(rèn)證機(jī)構(gòu)三、認(rèn)證技術(shù)四、防火墻技術(shù)（一）防火墻的基本類型1、包過濾型防火墻2、代理服務(wù)型防火墻3、狀態(tài)監(jiān)視器防火墻防火墻的“?；饏^(qū)”DMZ-1路由器互聯(lián)網(wǎng)內(nèi)部網(wǎng)防火墻?；饏^(qū)Web服務(wù)器Email服務(wù)器123四、防火墻技術(shù)四、防火墻技術(shù)（二）防火墻的體系結(jié)構(gòu)1、雙重宿主主機(jī)體系結(jié)構(gòu)

2、被屏蔽主機(jī)體系結(jié)構(gòu)

3、被屏蔽子網(wǎng)體系結(jié)構(gòu)

四、防火墻技術(shù)（三）防火墻的功能

1、防火墻是網(wǎng)絡(luò)安全的屏障2、防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略

3、對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)

４、防止內(nèi)部信息的外泄

五、虛擬專用網(wǎng)技術(shù)（一）虛擬專用網(wǎng)（VPN）的概念

1、VPDN2、IntranetVPN3、ExtranetVPN（二）VPN的分類通過總部網(wǎng)絡(luò)防火墻和遠(yuǎn)程用戶的計(jì)算機(jī)或分公司的網(wǎng)絡(luò)防火墻兩邊進(jìn)行了設(shè)置，兩者之間以隧道協(xié)議加密的方式通過Internet來傳遞數(shù)據(jù)，好象是在Internet上建立了一個(gè)安全的隧道，我們稱之為虛擬專用網(wǎng)（VPN，VirtualPrivateNetwork）。由于數(shù)據(jù)在Internet上是加密傳送的，所以即使數(shù)據(jù)包被人截取，他人也無從知道傳遞的真實(shí)信息。VPN示意圖遠(yuǎn)程工作者遠(yuǎn)程辦公室Internet防火墻公司總部五、虛擬專用網(wǎng)技術(shù)五、虛擬專用網(wǎng)技術(shù)（三）VPN的安全協(xié)議1、點(diǎn)對點(diǎn)隧道協(xié)議2、第二層隧道協(xié)議3、IP安全協(xié)議４、SOCKsV5五、虛擬專用網(wǎng)技術(shù)（四）VPN的安全性

1、用戶認(rèn)證2、進(jìn)行設(shè)備確認(rèn)，建立安全隧道3、使用安全策略第三節(jié)電子商務(wù)的安全管理電子商務(wù)的安全管理一、人員管理制度二、保密制度（二）落實(shí)工作責(zé)任制

（三）貫徹電子商務(wù)安全運(yùn)作基本原則（一）嚴(yán)格選拔網(wǎng)上交易和網(wǎng)絡(luò)管理人員信息的安全級(jí)別一般可分為三級(jí)：絕密級(jí)（如公司經(jīng)營狀況報(bào)告、訂／出貨價(jià)格、公司的發(fā)展規(guī)劃等）；機(jī)密級(jí)（如公司的日常管理情況、會(huì)議通知等）；秘密級(jí)（如公司簡介、新產(chǎn)品介紹及訂貨方式等）。

電子商務(wù)的安全管理三、跟蹤、審計(jì)、稽核制度運(yùn)行安全中的審計(jì)跟蹤，就是要對電子商務(wù)系統(tǒng)進(jìn)行人工或自動(dòng)的審計(jì)跟蹤，保存審計(jì)記錄和維護(hù)詳盡的審計(jì)日志。審計(jì)跟蹤涉及三個(gè)方面的安全功能：記錄和跟蹤各種系統(tǒng)狀態(tài)的變化；實(shí)現(xiàn)對各種安全事故的定位；保存、維護(hù)和管理審計(jì)日志。電子商務(wù)的安全管理四、系統(tǒng)維護(hù)制度（二）軟件的日常管理和維護(hù)（一）硬件的日常管理和維護(hù)五、數(shù)據(jù)備份制度運(yùn)行安全中的備份與恢復(fù)，就是要提供對系統(tǒng)設(shè)備和系統(tǒng)數(shù)據(jù)的備份與恢復(fù)。對系統(tǒng)數(shù)據(jù)進(jìn)行備份和恢復(fù)所使用的介質(zhì)可以是磁介質(zhì)、紙介質(zhì)、光碟、縮微載體等。

電子商務(wù)的安全管理六、病毒防范制度（二）不打開陌生地址的電子郵件

（三）定期清理病毒制度（一）安裝防病毒軟件

（四）控制權(quán)限（五）警惕網(wǎng)絡(luò)陷阱電子商務(wù)的安全管理七、應(yīng)急措施應(yīng)急措施是指在計(jì)算機(jī)災(zāi)難事件發(fā)生時(shí)，利用應(yīng)急計(jì)劃、輔助軟件和應(yīng)急設(shè)施，排除災(zāi)難和故障，保障計(jì)算機(jī)信息系統(tǒng)繼續(xù)運(yùn)行或緊急恢復(fù)正常運(yùn)行。在啟動(dòng)電子商務(wù)業(yè)務(wù)之初，就必須制定交易安全計(jì)劃和應(yīng)急方案。第四節(jié)電子商務(wù)安全的法律法規(guī)一、電子商務(wù)安全性方面的法規(guī)問題

（一）用戶隱私權(quán)

（二）加密和解密系統(tǒng)

（三）安全性認(rèn)證

（四）計(jì)算機(jī)犯罪

二、當(dāng)前我國電子商務(wù)安全的法律法規(guī)（一）我國涉及交易安全的法律法規(guī)（二）我國涉及計(jì)算機(jī)安全的法律法規(guī)

（三）我國保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的法律法規(guī)

三、加快電子商務(wù)安全的法律法規(guī)建設(shè)（一）電子商務(wù)安全的法律法規(guī)建設(shè)步驟

（二）健全電子商務(wù)安全的法律法規(guī)

（1）請解釋概念：加密技術(shù)、數(shù)字簽名、數(shù)字證書、防火墻、VPN（2）請問電子商務(wù)的安全要求有哪些？（3）