電子商務(wù)支付與安全概述.ppt

1、電子商務(wù)支付與安全,主講教師：諸忠孝 聯(lián)系方式E-mail : ,模塊1,電子商務(wù)支付與安全概述,第1單元,電子支付,情景案例,1998年3月18日，北京友誼賓館，世紀(jì)互聯(lián)通訊技術(shù)有限公司面對(duì)首都多個(gè)新聞單位的記者宣布：中國(guó)內(nèi)地第一筆因特網(wǎng)電子交易成功。為本次交易提供網(wǎng)上銀行服務(wù)的是中國(guó)銀行，扮演網(wǎng)上商家的是世紀(jì)互聯(lián)通訊有限公司。 中國(guó)內(nèi)地第一筆因特網(wǎng)電子交易的時(shí)間是1998年3月18日下午3點(diǎn)30分。第一位網(wǎng)上交易的支付者是浙江電視臺(tái)播送中心的王軻平先生；第一筆費(fèi)用支付手段是中國(guó)銀行長(zhǎng)城卡；第一筆支付費(fèi)用是100元；第一筆認(rèn)購(gòu)物品是世紀(jì)互聯(lián)通訊有限公司的100元上網(wǎng)

2、機(jī)時(shí)。 中國(guó)銀行開(kāi)展網(wǎng)上銀行服務(wù)的最早時(shí)間是1996年。1997年底，王軻平先生發(fā)現(xiàn)了這個(gè)站點(diǎn)，并填寫了申請(qǐng)書。在接到王軻平先生的申請(qǐng)后，世紀(jì)互聯(lián)通訊有限公司開(kāi)始著手進(jìn)行這次交易的內(nèi)容，實(shí)質(zhì)性的時(shí)間用了大約15天。王軻平先生成為第一個(gè)在中國(guó)因特網(wǎng)上進(jìn)行電子交易的人。,任務(wù)思考,1、如果王先生沒(méi)有長(zhǎng)城卡，該如何完成這次交易？ 2、如果現(xiàn)在要完成這樣的交易，你有哪些結(jié)算手段？ 3、怎樣確保世紀(jì)互聯(lián)通信技術(shù)有限公司安全收到他支付的100元？ 4、王先生的其他信息會(huì)泄露給第三者嗎？ 5、目前電子交易的支付安全嗎？ 6、當(dāng)前進(jìn)行這樣一筆電子商務(wù)交易還需要15天時(shí)間嗎？ 7、你進(jìn)行過(guò)電子商務(wù)和電子支付活動(dòng)

3、嗎？,相關(guān)知識(shí),相關(guān)知識(shí),相關(guān)知識(shí),2015年11月11日 中國(guó)網(wǎng)購(gòu)共消費(fèi)912.17億元 截止2015年6月底 中國(guó)網(wǎng)購(gòu)人數(shù)達(dá)到了4.6億人口 中國(guó)網(wǎng)民上網(wǎng)購(gòu)物時(shí)間,1.網(wǎng)絡(luò)電子支付的產(chǎn)生與發(fā)展,1） 電子交易 2） 電子支付 3） 電子支付發(fā)展歷程,2.電子支付面臨的問(wèn)題,（1） 安全性和支付信息私密性問(wèn)題 （2） 對(duì)軟硬件要求很高 （3） 電子支付工具需要相應(yīng)的系統(tǒng)支持,3.網(wǎng)絡(luò)電子支付的運(yùn)行環(huán)境,主要通過(guò)互聯(lián)網(wǎng)來(lái)完成,4.網(wǎng)絡(luò)電子支付流程,1）網(wǎng)絡(luò)支付結(jié)構(gòu) 2）電子支付流程,5.案例分析,傳統(tǒng)銀行的銀行卡、網(wǎng)上銀行等電子支付工具在電子交易過(guò)程中具有哪些優(yōu)勢(shì)和劣勢(shì)？需要做哪些改進(jìn)？,第2

4、單元 情景案例,1.視頻新聞 2.“驗(yàn)證碼”的作用,任務(wù)思考,電子商務(wù)安全面臨哪些威脅？ 具體包括哪些安全要素？ 技術(shù)方面應(yīng)該采取什么防范措施？ 管理方面應(yīng)該怎么加強(qiáng)監(jiān)管？ 如何才能實(shí)現(xiàn)安全的電子商務(wù)？,第2單元 電子商務(wù)安全,1.電子商務(wù)面臨的安全威脅 2.電子商務(wù)安全要素 3.電子商務(wù)安全技術(shù) 4.電子商務(wù)安全體系結(jié)構(gòu) 5.電子商務(wù)安全法律要素,相關(guān)知識(shí),電子商務(wù)在全球范圍內(nèi)迅猛發(fā)展，使得電子商務(wù)中的網(wǎng)絡(luò)安全問(wèn)題日漸突出。在傳統(tǒng)交易過(guò)程中，買賣雙方是面對(duì)面的，因此比較容易保證交易過(guò)程的安全性和建立起信任關(guān)系。但在電子商務(wù)過(guò)程中，消費(fèi)者、商戶、銀行是通過(guò)網(wǎng)絡(luò)來(lái)聯(lián)系的，雙方都具有虛擬性，如果不

5、夠安全，會(huì)使得消費(fèi)者受到損失。因此，電子商務(wù)系統(tǒng)各方都面臨著安全威脅。,相關(guān)知識(shí),1999年7月，當(dāng)中國(guó)互聯(lián)網(wǎng)絡(luò)中心第一次對(duì)熱點(diǎn)問(wèn)題“用戶認(rèn)為目前網(wǎng)上購(gòu)物最大的問(wèn)題”進(jìn)行問(wèn)卷調(diào)查時(shí)，30%的網(wǎng)民認(rèn)為安全性是網(wǎng)上購(gòu)物的最大問(wèn)題，十五年后，即2014年7月的調(diào)查顯示，網(wǎng)民不進(jìn)行網(wǎng)上交易的原因中，擔(dān)心交易安全性得不到保障的仍然高達(dá)51.5%。很明顯，網(wǎng)上交易的安全問(wèn)題是電子商務(wù)發(fā)展中不容忽視的問(wèn)題。,中國(guó)互聯(lián)網(wǎng)安全發(fā)生比例,中國(guó)網(wǎng)民互聯(lián)網(wǎng)安全感知,1.電子商務(wù)面臨的安全威脅,（1）信息的截獲和竊?。ü瞁IFI = 公眾安全隱患） （2）信息的篡改（篡改、刪除、插入） （3）信息假冒（釣魚網(wǎng)站、偽造

6、電子郵件、假冒他人身份） （4）惡意破壞 （5）交易抵賴要求系統(tǒng)具備審查能力 （6）各種外界物理性干擾（通信線路、地理位置等）,釣魚網(wǎng)站,偽造電子郵件,2.電子商務(wù)安全要素,1.有效性：貿(mào)易數(shù)據(jù)在確定的時(shí)刻、確定的地點(diǎn)是有效的。 2.真實(shí)性：在進(jìn)行電子商務(wù)交易時(shí)首先要明確對(duì)方的身份，交易雙方的身份不能被假冒或偽裝。 3.保密性：對(duì)敏感信息進(jìn)行加密 4.完整性:交易各方收到的信息沒(méi)有出現(xiàn)部分丟失或亂碼，即信息在數(shù)據(jù)發(fā)送、傳輸和接收過(guò)程中始終保持原有的狀態(tài)。 5.不可否認(rèn)性:在電子交易過(guò)程的各個(gè)環(huán)節(jié)中都必須保存完整的記錄并且不可更改。交易一旦達(dá)成，合同一旦簽署，發(fā)送方不能否認(rèn)他發(fā)送的信息，接收方也

7、不能否認(rèn)他所收到的信息。,3.電子商務(wù)安全技術(shù),1.密碼技術(shù)是保證電商安全的重要手段，是信息安全的核心技術(shù)。 （1）加密 （2）密鑰管理技術(shù) （3）數(shù)字簽名 （4）安全協(xié)議 （5）PKI技術(shù) 2.網(wǎng)絡(luò)安全技術(shù),（1）加密,加密的主要目的是防止信息的非授權(quán)泄露。加密可用于傳輸信息和存儲(chǔ)信息。從譜分析的角度看，加密把聲音變成噪聲，把圖像變成雪花，把計(jì)算機(jī)數(shù)據(jù)變成一堆無(wú)規(guī)律的、雜亂無(wú)章的字符。攻擊者即使得到經(jīng)過(guò)加密的信息即密文、也無(wú)法辨認(rèn)原文。因此，加密可以有效地對(duì)抗截收、非法訪問(wèn)數(shù)據(jù)庫(kù)竊取信息等威脅。 加密一般是利用信息變換規(guī)則把可懂的信息變成不可懂的信息，其中的變換規(guī)則稱為密碼算法?？啥男畔⒎Q

8、為明文，不可懂的信息稱為密文。密碼算法是一些數(shù)學(xué)公式、法則或程序，算法中的可變參數(shù)是密鑰。密鑰不同，明文與密文的對(duì)應(yīng)關(guān)系就不同。密碼算法總是設(shè)計(jì)成相對(duì)穩(wěn)定的，在這個(gè)意義上可以把密碼算法視為常量。而密鑰是變量。,（3）數(shù)字簽名,數(shù)字簽名是公開(kāi)密鑰加密技術(shù)的另一類應(yīng)用。它的主要方式是：報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)散列值(或報(bào)文摘要)，發(fā)送方用自己的私鑰對(duì)這個(gè)散列值進(jìn)行加密來(lái)形成發(fā)送方的數(shù)字簽名。然后,這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方。報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出散列值(或報(bào)文摘要),接著再用發(fā)送方的公鑰來(lái)對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密。如果兩個(gè)散列值相同,那

9、么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。通過(guò)數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文完整性的鑒別和不可抵賴性。,（4）安全協(xié)議,國(guó)際上，電子商務(wù)的安全機(jī)制正在走向成熟，并逐漸形成了一些國(guó)際規(guī)范，比較有代表性的有和。 （1）協(xié)議 協(xié)議運(yùn)行的基點(diǎn)是上家對(duì)客戶信息保密的承諾。客戶的信息首先傳道商家，商家閱讀后再傳到銀行。這樣，客戶資料的安全性便受到威脅。另外，整個(gè)過(guò)程只有商家對(duì)客戶的認(rèn)證，缺少了客戶對(duì)商家的認(rèn)證。在電子商務(wù)的初始階段，由于參加電子商務(wù)的公司大都是信譽(yù)較好的公司，這個(gè)問(wèn)題沒(méi)有引起人們的重視。隨著越來(lái)越多的公司參與電子商務(wù)，對(duì)商家認(rèn)證的問(wèn)題也就越來(lái)越突出，的缺點(diǎn)完全暴露出來(lái)，協(xié)議也逐漸被新的協(xié)議所取代。

10、 （2）協(xié)議 SET在保留對(duì)客戶信用卡認(rèn)證的前提下，又增加了對(duì)商家身份的認(rèn)證。由于設(shè)計(jì)較為合理，得到了諸如微軟公司、IBM公司、Netscape公司等大公司的支持，已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)。,4.電子商務(wù)安全體系結(jié)構(gòu),（1）支持服務(wù)層 （2）傳輸層 （3）交換層 （4）商務(wù)層,一談到網(wǎng)絡(luò)交易安全，人們首先想到的是技術(shù)保障措施，但從近年的網(wǎng)絡(luò)犯罪案例來(lái)看，單純通過(guò)技術(shù)來(lái)保障網(wǎng)絡(luò)交易的安全事實(shí)上是不可靠的，操作系統(tǒng)本身往往就是威脅交易安全的最大隱患。我們的安全技術(shù)在網(wǎng)絡(luò)攻擊面前顯得非常脆弱。有識(shí)之士指出，在保證網(wǎng)絡(luò)安全方面，最大的問(wèn)題不是技術(shù)而是我們的“安全思維”。著名的信息安全專家 Bruce S

11、chneier 認(rèn)為：“傳統(tǒng)安全范式對(duì)系統(tǒng)的復(fù)雜性認(rèn)識(shí)不足，而安全最麻煩的敵人是復(fù)雜性，安全問(wèn)題實(shí)際上是人的問(wèn)題?！?電子商務(wù)安全法律要素,（1）有關(guān)CA中心的法律 （2）有關(guān)保護(hù)個(gè)人隱私、個(gè)人秘密的法律 （3）有關(guān)電子合同的法律 （4）有關(guān)電子商務(wù)的消費(fèi)者權(quán)益保護(hù)法 （5）有關(guān)網(wǎng)絡(luò)知識(shí)產(chǎn)權(quán)保護(hù)的法律,課后拓展,以小組為單位上網(wǎng)收集資料，開(kāi)展“電子商務(wù)安全技術(shù)和法律哪個(gè)更重要？”的辯論。,【推薦幾個(gè)電子商務(wù)網(wǎng)站】,1、中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（ 2、中國(guó)電子商務(wù)研究中心（ 3、艾瑞網(wǎng)（ 4、阿里研究院（,1.你選擇第一個(gè)工作首先考慮的是什么（興趣、愛(ài)好、穩(wěn)定、薪酬） 2談?wù)勀銓?duì)信用的理解 3.你在

12、外地工作，你父母或親戚來(lái)看你 你請(qǐng)他們吃飯點(diǎn)餐的時(shí)候應(yīng)注意什么？,2016年中國(guó)人民銀行湖南省分行面試真題（下午），十分鐘三道題。,第3單元,安全電子支付,感受身邊的變化,電子商務(wù)發(fā)展現(xiàn)狀,中國(guó)電子商務(wù)已經(jīng)由表及里、從虛到實(shí)，從宣傳、啟蒙和推廣階段靜茹到了實(shí)務(wù)的發(fā)展實(shí)施階段。,2010-2014年中國(guó)電子商務(wù)規(guī)模及增長(zhǎng)率,2007-2015年中國(guó)網(wǎng)絡(luò)購(gòu)物規(guī)模及增長(zhǎng)率,電子商務(wù)與電子支付,近年來(lái)，電子商務(wù)的發(fā)展是不容忽視的，極大地影響了經(jīng)濟(jì)模式的改變，促進(jìn)了一批企業(yè)開(kāi)展網(wǎng)上支付業(yè)務(wù)。電子商務(wù)的發(fā)展，必將促進(jìn)電子支付環(huán)節(jié)的應(yīng)用，有助于電子支付的發(fā)展與完善。,電子支付發(fā)展現(xiàn)狀,1.持續(xù)上升的用戶數(shù)量

13、和交易額； 2.多模式融合與創(chuàng)新（技術(shù)手段）； 3.競(jìng)爭(zhēng)加劇導(dǎo)致市場(chǎng)快速走向成熟。,世界支付體系的歷史沿革,電子支付核心參與方,2014-2015年中國(guó)互聯(lián)網(wǎng)支付與移動(dòng)支付交易規(guī)模對(duì)比,情景案例,郴州市民用手機(jī)進(jìn)行支付服務(wù)活動(dòng),任務(wù)思考,1.電子支付面臨哪些安全威脅？ 2.其應(yīng)對(duì)措施是什么？ 3.安全的電子支付對(duì)電子商務(wù)的發(fā)展和我們的生活有什么意義？,1.電子支付的安全問(wèn)題,1）電子支付面臨的安全問(wèn)題 2）電子支付安全問(wèn)題產(chǎn)生的主要原因,1）電子支付面臨的安全問(wèn)題,（1）計(jì)算機(jī)病毒 （2）黑客攻擊 （3）系統(tǒng)安全漏洞,近年來(lái)，“網(wǎng)游大盜”、“熊貓燒香”、“德芙”、“QQ木馬”、“灰鴿子”等木馬病毒日益猖獗，以盜取用戶密碼賬號(hào)、個(gè)人隱私、商業(yè)秘密、網(wǎng)絡(luò)財(cái)產(chǎn)為目的。調(diào)查顯示，趨利性成為計(jì)算機(jī)病毒發(fā)展的新趨勢(shì)。網(wǎng)上制作、販賣病毒、木馬的活動(dòng)日益猖獗，利用病毒、木馬技術(shù)進(jìn)行網(wǎng)絡(luò)盜竊、詐騙的網(wǎng)絡(luò)犯罪活動(dòng)呈快速上升趨勢(shì)，網(wǎng)上治安形勢(shì)非常嚴(yán)峻。早期病毒危害：損人不利己從前，病毒作者編寫病毒的目的是“炫耀技術(shù)”，可以說(shuō)是“損人不利己”。像著名的CIH病毒，雖然把6000萬(wàn)臺(tái)計(jì)算機(jī)搞癱瘓了，但病毒作者陳盈豪不僅沒(méi)獲取到1分錢的利潤(rùn)，還被警方領(lǐng)到了臺(tái)北“刑事局”。當(dāng)前病毒新危害：獲取經(jīng)濟(jì)利益如今獲取經(jīng)濟(jì)利益成了病毒作者編寫的主要目的，就像熊貓燒