第8章 電子商務安全

第八章電子商務安全2016年12月10日晚，一個消息迅速傳播開來，一個12G數(shù)據(jù)包正在黑市流通，其中內容涉及千萬用戶的用戶名、密碼、身份證號碼、電話號碼、郵箱、QQ號，該數(shù)據(jù)包來源于京東。11日凌晨，京東迅速對此事件作出回應，發(fā)表聲明稱，其信息安全部門根據(jù)報道內容初步判斷，數(shù)據(jù)源于2013年Struts2的安全漏洞問題。雖然當時迅速完成系統(tǒng)修復，也進行了安全升級的提示，但因部分用戶未能及時升級賬號安全，存在一定風險。這并不是京東第一次遭遇數(shù)據(jù)泄露事件。2015年，京東也曾被曝出大量用戶隱私信息泄露，多名用戶被騙走金額達數(shù)百萬元。直至一年后，京東才公布調查結果，稱是3名物流人員通過物流流程掌握了9313條用戶數(shù)據(jù)。僅是9313條用戶數(shù)據(jù)的泄露，其涉案金額就高達數(shù)百萬元。這次千萬用戶數(shù)據(jù)泄露，造成的結果讓人擔憂。實際上，用戶信息泄露事件屢見不鮮，多集中出現(xiàn)于電商及支付平臺。當當、支付寶、12306都曾出現(xiàn)過類似信息泄露事件。如今網絡購物發(fā)達，電商和支付平臺與消費者生活息息相關，其平臺所需個人信息較多，自然也成為信息小偷重點“關照”對象。思考：京東電商平臺為什么會遭遇用戶數(shù)據(jù)泄露？如何保障電子商務交易安全？

案例目錄01電子商務安全認知02電子商務安全技術03電子商務安全交易電子商務安全認知8.11狹義電子商務安全是指在整個電子商務流程中的信息安全，即信息在采集、存儲、處理、傳播和運用過程中得到良好保護的狀態(tài)，包括網絡信息的存儲安全和信息的傳輸安全兩個方面。2廣義電子商務安全包括電子商務系統(tǒng)的硬件安全、軟件安全、運行安全以及電子商務立法、電子商務信用環(huán)境等，它不僅與計算機系統(tǒng)結構有關，還與電子商務應用的環(huán)境、人員素質和社會因素有關。一、電子商務安全含義二、電子商務安全要素信息的機密性可控性不可抵賴性信息認證用戶身份認證、數(shù)字簽名可靠性123654321654交易抵賴黑客攻擊信息的偽造信息的篡改系統(tǒng)的中斷信息的截獲和盜取三、電子商務安全威脅四、電子商務體系結構電子商務安全體系結構電子商務安全技術8.2（一）防火墻01020304防火墻的功能防火墻的安全策略防火墻應用的局限性防火墻的技術一、電子商務安全技術（二）病毒防范技術計算機病毒的概念網絡反病毒技術計算機病毒的防護措施（三）入侵檢測技術什么是入侵檢測入侵檢測技術的工作原理入侵檢測技術的實現(xiàn)方法（四）數(shù)據(jù)加密技術1對稱加密對稱加密技術(SymmetricEncryption)又稱為常規(guī)密鑰加密、私鑰或單鑰密鑰加密，即信息的發(fā)送方和接收方使用同一個密鑰對信息數(shù)據(jù)進行加密和解密的技術。2非對稱加密非對稱加密技術(UnsymmetricEncryption）又稱為公開密鑰加密，是指分別使用公開密鑰(加密密鑰)和私有密鑰(解密密鑰)完成信息的加密和解密的加密技術。（五）數(shù)字摘要技術

數(shù)字摘要技術的實現(xiàn)過程（六）數(shù)字簽名技術

數(shù)字簽名技術的實現(xiàn)過程（七）數(shù)字證書數(shù)字證書功能數(shù)字證書分類數(shù)字證書的安裝

電子商務安全協(xié)議8.3一、安全套接層（SSL)安全協(xié)議安全套接層（securesocketlayer，SSL)協(xié)議是由Netscape公司研究制定的安全協(xié)議，主要用于提高應用程序之間數(shù)據(jù)的安全性。該協(xié)議向基于TCP/IP的客戶機/服務器應用程序提供了客戶端和服務器的鑒別、數(shù)據(jù)完整性及信息機密性等安全措施。該協(xié)議通過在應用程序進行數(shù)據(jù)交換前交換SSL初始握手信息來實現(xiàn)有關安全特性的審查，在SSL握手信息中采用了DES(對稱加密算法）、MD5(信息摘要法）等加密技術來實現(xiàn)機密性和數(shù)據(jù)完整性，并采用X.509國際標準的數(shù)字證書實現(xiàn)鑒別。該協(xié)議已成為事實上的工業(yè)標準，并被廣泛應用于Internet和Intranet的服務器產品和客戶端產品中。客戶將購買信息發(fā)往商家商家將信息轉發(fā)給銀行銀行驗證客戶信息的合法性銀行通知商家付款成功商家通知客戶購買成功（1）（2）（3）（4）（5）交易步驟SSL協(xié)議下的交易模式（一）SSL協(xié)議本身問題SSL協(xié)議的缺陷是只能保證傳輸過程的安全，而無法知道在傳輸過程中是否受到竊聽，黑客可借此破譯經SSL協(xié)議加密的數(shù)據(jù)商家信用問題SSL協(xié)議運行的基礎是商家對客戶信息保密的承諾?？蛻舻男畔⑹紫葌鞯缴碳?，商家審閱后再傳到銀行，這樣客戶資料的安全性便受到威脅?；赟SL協(xié)議的交易模式的問題（二）二、安全電子交易（SET）安全協(xié)議SET協(xié)議由SET業(yè)務描述、SET程序員指南和SET協(xié)議描述三個文件組成，為基于信用卡進行電子化交易的應用提供了實現(xiàn)安全措施的規(guī)則。在SET中采用了雙重簽名技術，支付信息和訂單信息是分別簽署的，這樣保證了商家看不到支付信息，而只能看到訂單信息。支付指令中包括了交易ID、交易金額、信用卡數(shù)據(jù)等信息，這些涉及與銀行業(yè)務相關的保密數(shù)據(jù)對支付網關是不保密的，因此支付網關必須由收單銀行或其委托的信用卡組織來擔當。SET是一個多方參與的消息報文協(xié)議，它定義了銀行、商家、持卡人之間必需的報文規(guī)范，而SSL只是簡單地在兩方之間建立了一條安全鏈接。SSL是面向鏈接的，而SET允許各方之間非實時的報文交換。SET報文能夠在銀行內部網絡或者其他網絡上傳輸，而基于SSL協(xié)議之上的支付卡系統(tǒng)只能與Web瀏覽器捆綁在一起。SET和SSL協(xié)議本身的比較SSL目前用于許多電子商務服務器，提供會話級別的安全，這意味著一旦建立一個安全會話，所有通過Internet的通信數(shù)據(jù)被加密。一個SSL會話相當于在電話線上加一個干擾器，當數(shù)據(jù)到達商家Web服務器時，解密所有數(shù)據(jù)。在SET中，只有交易中的敏感信息才加密，購物頁面沒有加密，因此可以在頁面中使用更復雜的界面。SSL和SET性能比較三、SSL協(xié)議和SET協(xié)議的比較本章小結安全是電子商務的基石，沒有技術的保障，電子商務的安全就無從談起。當前電子商務面臨著信息的截獲和盜取、黑客攻擊、木馬病毒、信息的篡改、交易抵賴等威脅。需要應用電子商務安全技術，比如防火墻技術、加密技術等保障系統(tǒng)的安全。電子商務的安全交易還必須遵守統(tǒng)一的安全標準協(xié)議，目前