電子商務安全

電子商務安全電子商務>>知識目標

1.了解電子商務安全的主要內容；

2.掌握電子商務的安全威脅；

3.了解電子商務的隱私保護；

4.熟悉電子商務的安全技術。>>技能目標

1.根據(jù)電子商務面臨的安全隱患和安全需求，提出保護措施；

2.能夠運用電子商務安全技術解決實際中的網(wǎng)絡安全問題。學習目標電子商務安全

案例導入安全成為電子商務發(fā)展瓶頸（閱讀課本P175-176）結合實際，闡述電子商務安全的重要性。

電子商務安全

模塊一電子商務安全認知

一、電子商務安全的主要內容

計算機網(wǎng)絡安全2.網(wǎng)絡的結構安全分析

1.網(wǎng)絡的物理安全分析

3.網(wǎng)絡的操作系統(tǒng)安全分析

5.網(wǎng)絡的管理安全風險分析

4.網(wǎng)絡的應用系統(tǒng)安全分析（一）計算機網(wǎng)絡安全（二）電子商務的交易安全

（一）常見的電子商務安全隱患1.信息的截獲和竊取2.信息的篡改（1）篡改。篡改即改變信息流的次序，更改信息的內容，如更改購買商品的出貨地址。（2）刪除。刪除即刪除某個消息或消息的某些部分。（3）插入。插入即在消息中插入一些信息，讓接收方讀不懂或接收錯誤的信息。3.信息假冒（1）偽造電子郵件。（2）假冒他人身份。二、電子商務的安全隱患模塊一電子商務安全認知

4.交易抵賴5.信息的中斷（二）消費者面臨的安全隱患在電子商務活動中，消費者面臨的安全隱患主要有以下幾類：（1）虛假訂單。（2）在要求客戶付款后，銷售商中的內部人員不將訂單和錢轉發(fā)給執(zhí)行部門，因而使客戶不能收到商品。（3）機密性喪失。（4）拒絕服務。（5）電子貨幣丟失。二、電子商務的安全隱患

模塊一電子商務安全認知

（三）電子商務企業(yè)面臨的安全隱患電子商務企業(yè)主要面臨以下安全隱患：（1）系統(tǒng)中心安全性被破壞。（2）競爭者的威脅，如惡意競爭者以他人的名義來訂購商品，從而了解企業(yè)有關商品的遞送狀況和貨物的庫存情況。（3）商業(yè)機密的泄露，如企業(yè)的客戶資料被競爭者獲悉。（4）假冒的威脅，如不誠實的人建立與企業(yè)服務器名字相同另一個服務器來假冒。（5）信用的威脅，如買方提交訂單后不付款。

二、電子商務的安全隱患模塊一電子商務安全認知

電子商務面臨的威脅，導致了對電子商務安全的需求。真正實現(xiàn)一個安全的電子商務系統(tǒng)，保證交易的安全可靠性，根本在于保護網(wǎng)絡中的系統(tǒng)安全和數(shù)據(jù)完整性，使交易信息免受各種攻擊。信息是敏感的，關聯(lián)著商業(yè)業(yè)務，涉及產(chǎn)權信息，或者與企業(yè)之間的競爭密切相關，或者是政府的機密信息。這就要求電子商務必須具備有效性、機密性、完整性、可靠性和交易者身份的真實性的特點。三、電子商務的安全需求

模塊一電子商務安全認知

電子商務的安全需求

1.有效性

2.機密性

3.完整性

4.可靠性

5.真實性

模塊一電子商務安全認知

三、電子商務的安全需求

模塊二電子商務安全的體系結構

電子商務安全的保證主要體現(xiàn)在3個方面：技術保障、安全管理保障和法律環(huán)境保障。圖7-1電子商務安全的體系結構

技術保障是指實現(xiàn)電子商務所需要的設備、技術等能夠穩(wěn)定、安全地提供所需的功能。其中主要包括實體的安全和網(wǎng)絡技術的安全。1.實體的安全（1）環(huán)境安全。（2）設備安全。一、技術保障

模塊二電子商務安全的體系結構

2.網(wǎng)絡技術的安全（1）網(wǎng)絡安全檢測設備。（2）證書。（3）防火墻。（4）防入侵措施。（5）數(shù)據(jù)加密。（6）訪問控制。（7）鑒別機制。一、技術保障

模塊二電子商務安全的體系結構

安全管理保障是在安全技術的基礎之上，對系統(tǒng)的實時維護和設備的日常管理。從某種意義上來說，安全管理比安全技術更為重要。安全管理保障包括人員和制度的保障。1.人員的保障電子商務不是電子設備之間獨立進行的交易行為，其交易的主體仍然是人。既然人作為一種實體在電子商務交易過程中存在，則其必然對電子商務的安全產(chǎn)生重要的影響。由于人所產(chǎn)生的安全問題多為主觀性的，如員工無意中泄露系統(tǒng)的密碼，對企業(yè)心懷不滿的員工對系統(tǒng)的惡意攻擊等。因此，加強人員管理，對于保障電子商務安全十分重要。二、安全管理保障

模塊二電子商務安全的體系結構

2.保密制度網(wǎng)絡營銷涉及企業(yè)的市場、生產(chǎn)、財務、供應等多方面的機密，需要很好地劃分信息的安全防范重點，采取相應的保密措施。信息的安全級別一般可分為以下三級：（1）絕密級信息，如公司經(jīng)營狀況報告、訂／出貨價格、公司的發(fā)展規(guī)劃等。此部分信息的網(wǎng)址、密碼不能在網(wǎng)絡上公開，只限于公司高層人員掌握。（2）機密級信息，如公司的日常管理情況、會議通知等。此部分信息的網(wǎng)址、密碼也不能在網(wǎng)絡上公開，只限于公司中層以上人員使用。（3）敏感級信息，如公司簡介、新產(chǎn)品介紹及訂貨方式等。

二、安全管理保障

模塊二電子商務安全的體系結構

3.跟蹤、審計、稽核制度4.數(shù)據(jù)容災制度5.病毒防范制度6.應急措施二、安全管理保障

模塊二電子商務安全的體系結構

電子商務的安全發(fā)展必須依靠法律的保障，通過法律條文的形式來保護電子商務信息的安全，懲罰網(wǎng)絡犯罪，建立一個良好的電子商務法制環(huán)境來約束人們的行為。身份認證一般涉及兩方面的內容：（1）身份標識。（2）身份驗證。三、法律環(huán)境保障

模塊二電子商務安全的體系結構

在電子商務中，為了解決諸如信息的篡改、假冒、交易抵賴等問題，大量使用了數(shù)據(jù)加密技術，因此可以把加密技術看成是電子商務安全的一項基本技術，它是認證技術的基礎。（一）加密技術的基本概念1.加密和解密2.算法和密鑰（二）加密方法的分類1.對稱密鑰加密體制2.非對稱密鑰加密體制一、加密技術

模塊三電子商務的安全技術1.對稱密鑰加密體制對稱加密體制采用了對稱密碼編碼技術，它的特點是文件加密和解密使用相同的密鑰，即加密密鑰也可以用作解密密鑰，這種方法在密碼學中叫作對稱加密算法。模塊三電子商務的安全技術圖7-2對稱式加密、解密過程一、加密技術

2.非對稱密鑰加密體制為解決信息公開傳送和密鑰管理問題，提出一種新的密鑰交換協(xié)議，允許在不安全的媒體上的通信雙方交換信息，安全地達成一致的密鑰，這就是公開密鑰系統(tǒng)。相對于對稱加密算法，這種方法也叫做非對稱加密算法。

模塊三電子商務的安全技術圖7-3非對稱式加密、解密過程一、加密技術

為了防止信息被篡改、刪除、重放和偽造，其有效方法是讓發(fā)送的信息有被驗證的可能，使接收信息者或第三方能識別和確認信息的真?zhèn)?。實現(xiàn)這類功能的保密系統(tǒng)稱為認證系統(tǒng)。（一）身份認證1.身份認證的目的身份認證是判明和確認貿易雙方的真實身份。二、認證技術

模塊三電子商務的安全技術認證機構或信息服務商應提供如下認證功能：（1）可信性。（2）完整性。（3）不可抵賴性。（4）訪問控制。（二）信息認證1.基于公鑰體制的信息認證2.加入數(shù)字簽名的驗證（三）通過認證機構認證1.數(shù)字證書2.認證機構二、認證技術

模塊三電子商務的安全技術數(shù)字簽名是從傳統(tǒng)的手寫簽名衍生而來的，它可以提供一些基本的密碼服務，如保證數(shù)據(jù)的完整性、真實性以及不可否認性。RSA數(shù)字簽名是目前最流行的一種數(shù)字簽名。（1）簽名的實現(xiàn)。（2）簽名的驗證。三、簽名技術模塊三電子商務的安全技術圖7-4

RSA數(shù)字簽名的原理圖基于PKI的電子簽名被稱為數(shù)字簽名。目前國內外普遍使用的、技術成熟的、可實際使用的還是基于PKI的數(shù)字簽名技術。作為公鑰基礎設施PKI，可提供多種網(wǎng)上安全服務，如認證、數(shù)據(jù)保密性、數(shù)據(jù)完整性和不可否認性，其中都用到了數(shù)字簽名技術。

PKI的核心執(zhí)行機構是電子認證服務提供者，即通稱為認證機構（CA）。PKI簽名的核心元素是由CA簽發(fā)的數(shù)字證書。四、公鑰基礎設施

模塊三電子商務的安全技術防火墻是一種行之有效的網(wǎng)絡安全機制，被用來在內部網(wǎng)絡的邊界上建立安全檢查點。通過在互聯(lián)網(wǎng)和內部網(wǎng)絡之間提供路由功能，防火墻檢查所有在這兩個網(wǎng)絡間的通信，根據(jù)這些通信是否匹配，以編好的安全策略規(guī)則來決定通過或斷開通信。

五、防火墻技術

模塊三電子商務的安全技術圖7-5防火墻在網(wǎng)絡中的位置防火墻的基本功能如下：1.網(wǎng)絡安全的屏障2.強化網(wǎng)絡安全策略3.對網(wǎng)絡存取和訪問進行監(jiān)控審計4.防止內部信息的外泄五、防火墻技術

模塊三電子商務的安全技術

SSL（securesocketlayer，安全套接層）協(xié)議是網(wǎng)景（Netscape）公司提出的基于Web應用的安全協(xié)議，主要用于提高應用程序之間的數(shù)據(jù)安全系數(shù)，它包括服務器認證、客戶認證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。

SSL提供如下三種基本的安全服務：

1.加密處理

2.保證信息的完整性

3.提供較完善的認證服務一、SSL協(xié)議

模塊四電子商務的安全協(xié)議

1.SET協(xié)議介紹SET協(xié)議主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的，以保證支付信息的機密性、支付過程的完整性、商家及客戶（持卡人）的合法身份以及可操作性。SET的核心技術主要有公開密鑰加密、數(shù)字簽名、電子信封、電子安全證書等。SET交易分三個階段進行：第一階段，在購買請求階段，用戶與商家確定所用支付方式的細節(jié)。第二階段，在支付認定階段，商家會與銀行核實，隨著交易的進展，他們將得到付款。第三階段，在受款階段，商家向銀行出示所有交易的細節(jié)，然后銀行以適當方式轉移貨款。二、SET協(xié)議

模塊四電子商務的安全協(xié)議

2.SET實現(xiàn)的主要目標（1）信息在互聯(lián)網(wǎng)上安全傳輸，保證網(wǎng)上傳輸?shù)臄?shù)據(jù)不被黑客竊取。（2）訂單信息和個人賬號信息的隔離，當包含持卡人賬號信息的訂單送到商家時，商家只能看到訂貨信息，而看不到持卡人的賬戶信息。（3）持卡人和商家相互認證，以確定通信雙方的身份，一般由第三方機構負責為在線通信雙方提供信用擔保。（4）要求軟件遵循相同協(xié)議和報文格式，使不同廠家開發(fā)的軟件具有兼容和相互操作功能，并且可以運行在不同的硬件和操作系統(tǒng)平臺上。二、SET協(xié)議模塊四電子商務的安全協(xié)議

3.SET運作方式電子商務的工作流程與實際的購物流程非常接近，使得電子商務與傳統(tǒng)商務可以很容易融合，用戶使用起來也沒有障礙。從顧客通過瀏覽器進入在線商店開始，一直到所訂購的物品送貨上門或所訂的服務完成，以及賬戶上的資金轉移，所有這些都是通過互聯(lián)網(wǎng)完成的。如何保證網(wǎng)上傳輸數(shù)據(jù)的安全以及交易雙方的身份確認是電子商務能否得到推廣的關鍵，這也正是SET所要解決的最主要問題二、SET協(xié)議

模塊四電子商務的安全協(xié)議

二、SET協(xié)議

模塊四電子商務的安全協(xié)議

圖7-6一個完整的SET處理流程中的各個參與者二、SET協(xié)議

模塊四電子商務的安全協(xié)議

圖7-7展示的是一個完整的基于SET的支付流程4.SET與SSL的比較事實上，SET和SSL除了都采用RSA公鑰算法以外，在其他技術方