電子商務(wù)概論及案例分析課件

電子商務(wù)概論及案例分析人民郵電出版社第8章電子商務(wù)安全目錄Contents電子商務(wù)安全概述電子商務(wù)安全技術(shù)電子商務(wù)安全管理措施8.28.18.3案例分析——手機(jī)銀行安全管理8.4實(shí)踐訓(xùn)練8.58.1.1電子商務(wù)安全的概念3傳統(tǒng)商務(wù)由于面對面進(jìn)行商務(wù)活動(dòng)，很容易保證交易過程的安全性并建立起信任的關(guān)系。而電子商務(wù)是基于網(wǎng)絡(luò)的不謀面的商務(wù)活動(dòng)，整個(gè)過程容易因受網(wǎng)絡(luò)環(huán)境、人員素質(zhì)和數(shù)據(jù)傳輸?shù)纫蛩氐挠绊懚媾R各種各樣的安全問題。那么什么是電子商務(wù)安全呢？從狹義上講，電子商務(wù)安全是指電子商務(wù)信息的安全，即信息的存儲(chǔ)和傳輸安全。從廣義上講，它包含電子商務(wù)運(yùn)行環(huán)境中的各種安全問題，如電子商務(wù)系統(tǒng)的軟硬件安全、運(yùn)行和管理安全、支付安全和電子商務(wù)安全立法等內(nèi)容。不僅個(gè)人計(jì)算機(jī)容易受到病毒的侵害，手機(jī)端也容易感染病毒。一般手機(jī)病毒可以通過短信、電子郵件、網(wǎng)站、下載鈴聲和應(yīng)用藍(lán)牙等方式進(jìn)行傳播，可導(dǎo)致手機(jī)關(guān)機(jī)、死機(jī)、自動(dòng)撥打電話、自動(dòng)發(fā)送短信和資料被盜取等情況。知識(shí)鏈接8.1.2電子商務(wù)面臨的安全威脅4計(jì)算機(jī)病毒是編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)的代碼，是一種能夠影響計(jì)算機(jī)使用，并能進(jìn)行自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。計(jì)算機(jī)病毒具有傳播性、隱蔽性、感染性、潛伏性、可激發(fā)性、表現(xiàn)性或破壞性。一旦感染了病毒，計(jì)算機(jī)中的程序?qū)⑹艿綋p壞，病毒還能非法盜取用戶的信息，損害用戶權(quán)益。用戶可以通過殺毒軟件清除與查殺病毒，并應(yīng)養(yǎng)成定期檢查計(jì)算機(jī)病毒的習(xí)慣，以保證自己的切身利益。1．計(jì)算機(jī)病毒5流氓軟件是介于正規(guī)軟件與病毒之間的軟件，其目的一般是散布廣告。2．流氓軟件（1）上網(wǎng)時(shí)會(huì)不斷有窗口彈出（2）瀏覽器被莫名修改增加了許多工作條（3）在瀏覽器中打開網(wǎng)頁時(shí)，網(wǎng)頁會(huì)變成不相干的其他頁面8.1.2電子商務(wù)面臨的安全威脅6木馬程序通常被稱為木馬、惡意代碼等，是指潛伏在計(jì)算機(jī)中，可受外部用戶控制以竊取本機(jī)信息或者控制權(quán)的程序。3．木馬程序網(wǎng)絡(luò)釣魚是一種通過欺騙性的電子郵件和偽造的Web站點(diǎn)來進(jìn)行網(wǎng)絡(luò)詐騙的方式。4．網(wǎng)絡(luò)釣魚系統(tǒng)漏洞指應(yīng)用軟件或操作系統(tǒng)軟件在邏輯設(shè)計(jì)上的缺陷或錯(cuò)誤。5．系統(tǒng)漏洞8.1.2電子商務(wù)面臨的安全威脅8.1.3電子商務(wù)對安全的基本要求7電子商務(wù)安全是一個(gè)系統(tǒng)的概念，其中最主要的就是電子商務(wù)的信息安全。要保證交易安全可靠地進(jìn)行，需要實(shí)現(xiàn)以下5個(gè)方面的安全性。認(rèn)證性不可否認(rèn)性完整性可靠性15432機(jī)密性目錄Contents電子商務(wù)安全概述電子商務(wù)安全技術(shù)電子商務(wù)安全管理措施8.28.18.3案例分析——手機(jī)銀行安全管理8.4實(shí)踐訓(xùn)練8.58.2.1電子商務(wù)防火墻技術(shù)9防火墻技術(shù)是一種針對互聯(lián)網(wǎng)不安全因素所采取的一種保護(hù)措施，用于在內(nèi)部網(wǎng)與外部網(wǎng)、專用網(wǎng)與公共網(wǎng)等多個(gè)網(wǎng)絡(luò)系統(tǒng)之間構(gòu)造一道安全的保護(hù)屏障，阻擋外部不安全的因素，防止未授權(quán)用戶的非法侵入。隨著現(xiàn)代通信技術(shù)與信息安全技術(shù)的不斷發(fā)展，如今的防火墻越來越成熟，功能更加豐富，主要包括以下3個(gè)方面。功能多樣化性能的提高模式的變化8.2.2電子商務(wù)加密技術(shù)10加密技術(shù)是實(shí)現(xiàn)電子商務(wù)信息保密性、真實(shí)性和完整性的前提。它是一種主動(dòng)的安全防御策略，通過基于數(shù)學(xué)方法的程序和保密的密鑰對信息進(jìn)行編碼，將計(jì)算機(jī)數(shù)據(jù)變成一堆雜亂無章、難以理解的字符，即將明文變?yōu)槊芪?，從而阻止非法用戶對信息的竊取。加密技術(shù)與密碼學(xué)息息相關(guān)，涉及信息（明文、密文）、密鑰（加密密鑰、解密密鑰）和算法（加密算法、解密算法）3種基本術(shù)語。11對稱加密采用對稱密碼編輯技術(shù)，要求發(fā)送方和接收方使用相同的密鑰，即文件加密與解密要使用相同的密鑰。采用這種方法進(jìn)行信息加密，需要收發(fā)雙方都知道這個(gè)密鑰，并在安全通信前將密鑰發(fā)送給對方。1．對稱加密技術(shù)8.2.2電子商務(wù)加密技術(shù)12對稱加密算法較常用的有數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）、高級加密標(biāo)準(zhǔn)（AES）和三重DES。1．對稱加密技術(shù)01PRAT02PRAT03PRAT數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）高級加密標(biāo)準(zhǔn)（AES）三重DES8.2.2電子商務(wù)加密技術(shù)13對稱加密技術(shù)使用相同的密鑰進(jìn)行加密和解密不同，非對稱加密技術(shù)使用公開密鑰（以下簡稱“公鑰”）和私有密鑰（以下簡稱“私鑰”）來進(jìn)行加密和解密。公鑰是公開的，私鑰則由用戶自己保存。2．非對稱加密技術(shù)8.2.2電子商務(wù)加密技術(shù)8.2.3電子商務(wù)認(rèn)證技術(shù)14身份認(rèn)證技術(shù)是一種鑒別、確認(rèn)用戶身份的技術(shù)。通過對用戶的身份進(jìn)行認(rèn)證，判斷用戶是否具有對某種資源的訪問和使用權(quán)限，以保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行，防止非法用戶冒充并攻擊系統(tǒng)。1．身份認(rèn)證技術(shù)根據(jù)所擁有的信息認(rèn)證根據(jù)所具有的特征認(rèn)證根據(jù)所知道的信息認(rèn)證15數(shù)字摘要可以用于證實(shí)消息來源的有效性，以防止數(shù)據(jù)的偽造和篡改。它采用單向哈希（Hash）函數(shù)（單向散列函數(shù)）將需要加密的明文“摘要”生成一串固定長度（128位）的密文，這個(gè)密文就是所謂的數(shù)字指紋，并在傳輸信息時(shí)將密文加入文件一并傳送給接收方。接收方收到文件后，使用相同的方法進(jìn)行變換運(yùn)算，若得到相同的摘要碼，則判定文件未被篡改。2．?dāng)?shù)字摘要數(shù)字信封又稱數(shù)字封套，是一種結(jié)合了對稱加密技術(shù)與非對稱加密技術(shù)來進(jìn)行信息安全傳輸?shù)募夹g(shù)。3．?dāng)?shù)字信封8.2.3電子商務(wù)認(rèn)證技術(shù)16數(shù)字簽名是基于公開密鑰加密技術(shù)來實(shí)現(xiàn)的，因此又叫公鑰數(shù)字簽名。我們可以將數(shù)字簽名簡單地理解為附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或?qū)?shù)據(jù)單元所做的密碼變換。它可以幫助數(shù)據(jù)單元的接收者判斷數(shù)據(jù)的來源，保證數(shù)據(jù)的完整性并防止數(shù)據(jù)被篡改。字簽名采用雙重加密方法，即消息摘要和RSA加密來保證信息安全，其工作過程如下。（1）報(bào)文發(fā)送方采用哈希（Hash）編碼加密產(chǎn)生一個(gè)128位的數(shù)字摘要。（2）發(fā)送方用自己的私鑰對報(bào)文摘要進(jìn)行加密，形成發(fā)送方的數(shù)字簽名。（3）將數(shù)字簽名作為報(bào)文的附件和報(bào)文同時(shí)傳輸給接收方。（4）接收方使用發(fā)送方的公鑰對摘要進(jìn)行解密，同時(shí)在接收到的原始報(bào)文中使用同樣的哈希（Hash）算法加密得到一個(gè)報(bào)文摘要。（5）將解密后的摘要和接收方重新加密產(chǎn)生的摘要進(jìn)行對比，若兩者相同，則判斷消息在傳送過程中沒有被破壞、篡改。4．?dāng)?shù)字簽名8.2.3電子商務(wù)認(rèn)證技術(shù)17為了保證電子商務(wù)活動(dòng)的參與方與交易方不能否認(rèn)其行為，避免隨意修改交易時(shí)間，需要一個(gè)權(quán)威第三方來提供可信賴的且不可抵賴的時(shí)間戳服務(wù)——數(shù)字時(shí)間戳。數(shù)字時(shí)間戳（DigitalTime-Stamp，DTS）是一種對交易日期和時(shí)間采取的安全措施，由專門的機(jī)構(gòu)提供。數(shù)字時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔，它包括以下3個(gè)部分。（1）需加時(shí)間戳的文件的摘要。（2）數(shù)字時(shí)間戳發(fā)送和接收文件的日期和時(shí)間。（3）數(shù)字時(shí)間戳的數(shù)字簽名。5．?dāng)?shù)字時(shí)間戳8.2.3電子商務(wù)認(rèn)證技術(shù)8.2.4電子商務(wù)安全協(xié)議18電子商務(wù)安全協(xié)議是以密碼學(xué)為基礎(chǔ)的消息交換協(xié)議，用于保障計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)信息的安全傳遞與處理。常見的電子商務(wù)安全協(xié)議有安全套接層協(xié)議（SecureSocketsLayer，SSL）、安全電子交易協(xié)議（SecureElectronicTransaction，SET）和公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure，PKI）。01PRAT02PRAT03PRAT安全套接層協(xié)議（SSL）安全電子交易協(xié)議（SET）公鑰基礎(chǔ)設(shè)施（PKI）目錄Contents電子商務(wù)安全概述電子商務(wù)安全技術(shù)電子商務(wù)安全管理措施8.28.18.3案例分析——手機(jī)銀行安全管理8.4實(shí)踐訓(xùn)練8.58.3.1提高電子商務(wù)的安全防范意識(shí)20網(wǎng)絡(luò)威脅存在的方式多種多樣，可以通過各種偽裝來迷惑用戶，使用戶主動(dòng)激發(fā)安全威脅。并且，由于人們對互聯(lián)網(wǎng)的依賴性，大部分用戶缺乏網(wǎng)絡(luò)安全知識(shí)且網(wǎng)絡(luò)法律和道德意識(shí)淡薄，因而更容易受到非法用戶的攻擊。提高安全防范意識(shí)是基本的電子商務(wù)安全管理措施，用戶只有在進(jìn)行網(wǎng)絡(luò)活動(dòng)時(shí)時(shí)刻注意防范，才能最大限度地降低風(fēng)險(xiǎn)。以下是一些提高安全防范意識(shí)的措施。（1）了解必要的電子商務(wù)安全知識(shí)，做到有備無患。（2）養(yǎng)成良好的上網(wǎng)習(xí)慣，不要打開陌生的電子郵件、廣告網(wǎng)頁。（3）謹(jǐn)慎保管交易密碼并定期進(jìn)行修改。（4）不要瀏覽非法網(wǎng)站，也不要隨意泄露個(gè)人信息。（5）定期清理計(jì)算機(jī)垃圾，并查殺病毒。8.3.2建立電子商務(wù)安全管理組織體系21電子商務(wù)企業(yè)應(yīng)該建立并完善自身的電子商務(wù)安全管理組織體系，明確各職能部門的職責(zé)，并做好電子商務(wù)的風(fēng)險(xiǎn)控制。電子商務(wù)安全管理組織體系的日常工作主要包括以下４個(gè)方面。（1）組織相關(guān)人員學(xué)習(xí)并參加電子商務(wù)安全會(huì)議，討論信息安全問題。（2）對電子商務(wù)信息進(jìn)行審查與分配，保證信息來源的準(zhǔn)確性與真實(shí)性。（3）識(shí)別與評估電子商務(wù)信息系統(tǒng)的安全漏洞，保證電子商務(wù)系統(tǒng)的正常運(yùn)行。（4）提供電子商務(wù)安全的實(shí)施方案，并檢測信息安全措施的實(shí)施及安全事故的處理。8.3.3建立電子商務(wù)安全管理制度22建立科學(xué)合理的電子商務(wù)安全管理制度，可以幫助企業(yè)更好地進(jìn)行安全管理，提高企業(yè)的電子商務(wù)安全防范意識(shí)，如人員管理制度、保密制度、跟蹤審計(jì)制度、網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度、病毒防范制度和數(shù)據(jù)備份與恢復(fù)制度等。人員管理制度保密制度跟蹤審計(jì)制度網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度數(shù)據(jù)備份與恢復(fù)制度病毒防范制度8.3.4電子商務(wù)安全的日常防范23對于普通用戶來說，做好電子商務(wù)安全問題的日常防范很重要。它可以幫助用戶在一定程度上降低安全風(fēng)險(xiǎn)，保證用戶免受非法用戶的侵害。常用的電子商務(wù)安全問題的日常防范手段如下。（1）安裝合適的防火墻與殺毒軟件，阻擋來自外界的威脅。（2）禁止磁盤或文件自動(dòng)運(yùn)行。對在網(wǎng)絡(luò)中下載的文件、程序或手機(jī)應(yīng)用軟件，應(yīng)該經(jīng)過殺毒軟件查殺后再打開。（3）重要的文件要加密，并進(jìn)行備份。（4）密碼設(shè)置盡量復(fù)雜，不要使用生日、身份證號碼等容易被破解的密碼，養(yǎng)成定期修改密碼的習(xí)慣。（5）不要因好奇隨意接收和打開陌生文件，最好先進(jìn)行病毒查殺或拒收。（6）使用手機(jī)上網(wǎng)時(shí)，不要隨意連接公眾場所的免費(fèi)Wi-Fi，避免信息泄露。（7）及時(shí)更新運(yùn)行系統(tǒng)，防止因系統(tǒng)流動(dòng)而造成損失。目錄Contents電子商務(wù)安全概述電子商務(wù)安全技術(shù)電子商務(wù)安全管理措施8.28.18.3案例分析——手機(jī)銀行安全管理8.4實(shí)踐訓(xùn)練8.58.4.1手機(jī)銀行的安全措施25手機(jī)銀行用戶最擔(dān)心的問題一般是個(gè)人信息、銀行賬戶密碼等資料的泄露，而手機(jī)銀行基于網(wǎng)上銀行的功能，主要采取了以下安全措施。安全措施1．身份信息與手機(jī)號碼綁定2．采用國際先進(jìn)的加密手段3．多種業(yè)務(wù)安全手段8.4.2手機(jī)銀行安全常識(shí)26（1）必須使用自己的手機(jī)號碼開通手機(jī)銀行，以防資金損失。一些騙局以低息貸款驗(yàn)資等為借口，誘使用戶使用他人手機(jī)號碼開通手機(jī)銀行，對此用戶一定要警惕。（2）手機(jī)銀行的登錄密碼建議設(shè)置得復(fù)雜一些，不要使用生日、電話號碼等簡單數(shù)字組合，也不要與QQ、微博和郵箱等其他網(wǎng)站的登錄密碼相同，減少密碼被盜的風(fēng)險(xiǎn)。一般建議設(shè)置成“字母+數(shù)字”的組合。（3）手機(jī)銀行的登錄密碼和銀行賬戶密碼應(yīng)該妥善保存，且不要輕易告訴任何人。（4）若發(fā)生手機(jī)丟失、手機(jī)號碼更換或手機(jī)號碼異常等情況，應(yīng)及時(shí)到銀行辦理注銷業(yè)務(wù)。（5）在手機(jī)中應(yīng)安裝防病毒或安全檢測軟件，定期進(jìn)行手機(jī)查殺，檢測系統(tǒng)是否存在安全問題，并且及時(shí)更新手機(jī)系統(tǒng)，防止因系統(tǒng)漏洞造成不必要的損失。（6）手機(jī)銀行應(yīng)用軟件使用完成后應(yīng)及時(shí)退出，不要在后臺(tái)運(yùn)行，避免他人借用手機(jī)時(shí)造成資金損失。（7）各種手機(jī)應(yīng)用軟件一定要到正規(guī)的應(yīng)用商店或軟件官方網(wǎng)站中下載。（8）提高警惕，留心假冒應(yīng)用程序和假冒銀行信息，對于偽裝成來自銀行網(wǎng)站的電子郵件、手機(jī)短信等不要打開或回復(fù)。目錄Contents電子商務(wù)安全概述電子商務(wù)安全技術(shù)電子商務(wù)安全管理措施8.28.18.3案例分析——手機(jī)銀行安全管理8.4實(shí)踐訓(xùn)練8.58.5.1實(shí)訓(xùn)目標(biāo)28（1）了解電子商務(wù)安全事件的情況與所面臨的威脅。（2）了解防火墻的原理與設(shè)置方法。（3）了解數(shù)據(jù)加密的原理與方法。（4）掌握日常維護(hù)電子商務(wù)安全的方法。8.5.2實(shí)訓(xùn)內(nèi)容29（1）收集身邊或網(wǎng)絡(luò)上的電子商務(wù)安全實(shí)踐案例。（2）在計(jì)算機(jī)中安裝防火墻，并進(jìn)行防火墻設(shè)置。（3）收集相關(guān)網(wǎng)絡(luò)數(shù)據(jù)傳輸與加密的方法，分析其運(yùn)作機(jī)制。（4）執(zhí)行電子商務(wù)安全的日常維護(hù)操作，培養(yǎng)自己的良好習(xí)慣。8.5.3實(shí)訓(xùn)要求30（1）收集電子商務(wù)安全事件的案例，分析電子商務(wù)安全事件產(chǎn)生的原因與所面臨的威脅。（2）下載并安裝網(wǎng)絡(luò)防火墻，如360網(wǎng)絡(luò)防火墻、瑞星個(gè)人防火墻等，啟動(dòng)防火墻并設(shè)置允許連接的應(yīng)用程序。（3）對網(wǎng)絡(luò)數(shù)據(jù)傳輸與加密方法進(jìn)行分析，說明其具體內(nèi)容，并對比不同方法的優(yōu)缺點(diǎn)。（4）在