電子商務(wù)——第4章：電子商務(wù)安全

1、桂林工學(xué)院南寧分院經(jīng)濟管理系教案首頁授課章節(jié)第4章：電子商務(wù)安全 4.1電子商務(wù)安全需求 4.2電子商務(wù)的商務(wù)安全授課日期2008年5月19日授課班級06市場營銷（1、2、3）班教學(xué)目的通過本章學(xué)習(xí)，了解電子商務(wù)系統(tǒng)目前存在的安全威脅，認清電子商務(wù)的安全性要求，掌握電子商務(wù)的安全體系的方法。教學(xué)重點（1） 電子商務(wù)系統(tǒng)的安全威脅。（2） 電子商務(wù)的安全性要求和安全體系。教學(xué)難點如何掌握各種安全防范技術(shù)的方法。教學(xué)提綱點名：重點點經(jīng)常不來上課的 （5分鐘）4.1 電子商務(wù)系統(tǒng)的安全要求（教師講課30分鐘）4.1.1 電子商務(wù)系統(tǒng)的安全威脅4.1.2 電子商務(wù)的安全性要求4.1.3 電子商務(wù)的安全

2、體系 4.2電子商務(wù)的商務(wù)安全 （教師講課20分鐘） （教師講課20分鐘）上網(wǎng)演示 （10分鐘）時間分配課后小結(jié)推薦書目電子商務(wù)概論方真、張明明，大連理工大學(xué)出版社，2003.8。電子商務(wù)法律規(guī)范梅紹祖，清華大學(xué)出版社。網(wǎng)絡(luò)營銷曲學(xué)軍主編，大連理工大學(xué)出版社。網(wǎng)絡(luò)安全薛偉主編，東北財經(jīng)大學(xué)出版社。電子商務(wù)與物流梅紹祖，人民郵電出版社。電子商務(wù)概論陳月波，清華大學(xué)出版社電子商務(wù)概論桂海進，中國商業(yè)出版社實用電子商務(wù)概論趙林度，人民郵電出版社4.1 電子商務(wù)安全要求 4.1.1 電子商務(wù)安全的表象n 隨著經(jīng)濟信息化進程的加快，計算機網(wǎng)絡(luò)上的破壞活動也隨之猖獗起來，已對經(jīng)濟秩序、經(jīng)濟建設(shè)、國家信息安

3、全構(gòu)成嚴重威脅。n 在信息經(jīng)濟的發(fā)展過程中，我們越來越依賴于網(wǎng)絡(luò)。 消費者對網(wǎng)上交易的網(wǎng)絡(luò)安全缺乏信心，使得越來越多消費者不愿在網(wǎng)上購物。用最新的電子商務(wù)安全方面的案例，見另外一個網(wǎng)絡(luò)安全文件夾。4.1.2 電子商務(wù)安全需求1. 保密性 n 保密性，是指商業(yè)信息在傳輸過程或存儲中不被泄漏。n 通過對相應(yīng)的信息進行加密來保證用戶信息不被盜取。n 通過在必要的結(jié)點設(shè)置防火墻可以防止非法用戶對網(wǎng)絡(luò)資源的不正當?shù)拇嫒　?2. 完整性 n 完整性，是指商業(yè)信息在傳輸和存儲中保證數(shù)據(jù)一致性 。n 電子偽裝是最常見的破壞信息完整性的技術(shù)。所謂電子偽裝，就是在網(wǎng)絡(luò)上某人偽裝成他人或者是某個網(wǎng)站偽裝成另一個網(wǎng)站

4、 。3. 不可抵賴性 n 不可抵賴性，是指商業(yè)信息的發(fā)送方和接收方均不得否認已發(fā)或已收的信息。n 這就需要利用數(shù)字簽名和身份認證等技術(shù)確認對方身份。一經(jīng)確認，雙方就不得否認自己的交易行為。4. 即需性 n 即需性，是指保證合法用戶對商業(yè)信息及時獲取并保證服務(wù)不會遭到不正當?shù)木芙^。n 系統(tǒng)的即需性遭到破壞，系統(tǒng)處理信息的速度會非常慢，從而影響電子商務(wù)的正常運行。 n 計算機失效、程序錯誤、硬件故障、系統(tǒng)軟件故障、計算機病毒等都會對電子商務(wù)的即需性造成影響。 4.1.3 電子商務(wù)安全的范疇與劃分1. 賣方 (銷售者)面臨的安全威脅 n 中央系統(tǒng)安全性被破壞n 競爭者的威脅n 客戶資料被競爭者獲悉n

5、 假冒的威脅n 信用的威脅n 獲取他人的機密數(shù)據(jù) 2. 買方(消費者)面臨的安全威脅 n 虛假訂單n 付款后不能收到商品n 機密性喪失n 拒絕服務(wù) 4.2 電子商務(wù)的商務(wù)安全 4.2.1 電子商務(wù)的商務(wù)安全與傳統(tǒng)商務(wù)安全的區(qū)別 1. 信息方面 n 冒名偷竊n 篡改數(shù)據(jù)n 信息丟失n 虛假信息n 信息傳遞過程中的破壞2.信用方面n 來自買方的信用風險n 來自賣方的信用風險n 買賣雙方都有存在抵賴的情況3. 管理方面n 交易流程管理風險n 人員管理風險n 交易技術(shù)管理風險4. 法律方面n 無法保證合法交易的風險n 法律的事后完善所帶來的風險4.2.2 電子商務(wù)商務(wù)安全的應(yīng)對策略 1.在技術(shù)上加強電

6、子商務(wù)安全管理n 網(wǎng)絡(luò)安全和信息安全是保障網(wǎng)上交易正常進行的關(guān)鍵。n 從防火墻技術(shù)、信息加密技術(shù)、身份認證等技術(shù)方面來加強電子商務(wù)系統(tǒng)的安全性。2.在管理上加強電子商務(wù)安全管理n 調(diào)查發(fā)現(xiàn)，通常對數(shù)據(jù)的最嚴重的威脅都來自于我們認識的人。為此，很多網(wǎng)絡(luò)安全專家都認為，大部分攻擊都是由員工發(fā)起的。從這種意義上，我們最需要的是不是技術(shù)，而是一套完整的管理體制。n 必須加強監(jiān)管，建立各種有關(guān)的合理制度，并加強嚴格監(jiān)督。n 要充分發(fā)揮政府有關(guān)部門、企業(yè)的主要領(lǐng)導(dǎo)、信息服務(wù)商的作用。3.在法律上加強電子商務(wù)安全管理 n 通過健全法律制度和完善法律體系來保證合法網(wǎng)上交易的權(quán)益，對破壞合法網(wǎng)上交易權(quán)益的行為進

7、行立法嚴懲。 關(guān)于這一點，我們將在第七章再作具體介紹。桂林工學(xué)院南寧分院經(jīng)濟管理系教案首頁授課章節(jié)4.3電子商務(wù)的技術(shù)安全4.4電子商務(wù)的社會安全因素4.5小結(jié)和習(xí)題與思考授課日期2008年5月26日授課班級06市場營銷（1、2、3）班教學(xué)目的通過本章學(xué)習(xí)，了解電子商務(wù)系統(tǒng)目前存在的安全威脅，認清電子商務(wù)的安全性要求，掌握電子商務(wù)的安全體系的方法。教學(xué)重點4.3.3 常用電子商務(wù)安全技術(shù)和手段教學(xué)難點1. 加密技術(shù)教學(xué)提綱點名：重點點經(jīng)常不來上課的 （5分鐘）4.3電子商務(wù)的技術(shù)安全 （教師講課30分鐘）上網(wǎng)演示 （15分鐘）4.4電子商務(wù)的社會安全因素 （教師講課30分鐘）4.5小結(jié)和習(xí)題與

8、思考 （教師講課20分鐘）時間分配課后小結(jié)推薦書目電子商務(wù)概論方真、張明明，大連理工大學(xué)出版社，2003.8。電子商務(wù)法律規(guī)范梅紹祖，清華大學(xué)出版社。網(wǎng)絡(luò)營銷曲學(xué)軍主編，大連理工大學(xué)出版社。網(wǎng)絡(luò)安全薛偉主編，東北財經(jīng)大學(xué)出版社。電子商務(wù)與物流梅紹祖，人民郵電出版社。 4.3 電子商務(wù)的技術(shù)安全4.3.1 電子商務(wù)技術(shù)安全隱患 1. 系統(tǒng)闖入n 是指未授權(quán)的人利用操作系統(tǒng)或者安全管理的漏洞，通過一定的手段闖入到系統(tǒng)內(nèi)部，獲取普通用戶沒有的權(quán)力，實現(xiàn)對用戶信息的篡改、竊取和非法使用。n 早期的闖入者只是做些修改網(wǎng)頁之類近似于惡作劇的破壞。 n 隨著電子商務(wù)的發(fā)展，入侵者通過盜取服務(wù)器上存放有關(guān)產(chǎn)品

9、、客戶和交易等信息，獲得巨大的經(jīng)濟利益已成為其主要目的。n 入侵者在闖入系統(tǒng)的同時還可能在系統(tǒng)中埋下木馬、陷門等病毒來破壞其正常工作。 2. 服務(wù)拒絕攻擊 n 服務(wù)拒絕攻擊（Denial of Service，DoS），簡單來說，是通過電子手段，以網(wǎng)站或者網(wǎng)絡(luò)癱瘓為目的的襲擊。n 由于電子商務(wù)對網(wǎng)站的實時性要求越來越高，服務(wù)拒絕攻擊對電子商務(wù)的威脅也就越來越大。n 雖然這種攻擊不能使攻擊者直接獲得有用的信息，但是它可以大大削弱被攻擊者在客戶心中的可信度。n 我們常見的服務(wù)拒絕攻擊有：死亡之ping（ping of death）、UDP洪水（UDP flood）、Land攻擊、電子郵件炸彈等。

10、3. 身份仿冒 n 對用戶身份進行仿冒，借此來破壞交易，損害被假冒方的信譽或者盜取其交易成果等。n 我們在利用網(wǎng)絡(luò)進行交易時一定要進行身份認證。 4. 計算機病毒 n 它具有傳染性、破壞性、隱蔽性、潛伏性、不可預(yù)見性等特點。n 計算機病毒正在從傳統(tǒng)的感染單個文件，單個系統(tǒng)轉(zhuǎn)向網(wǎng)絡(luò)化發(fā)展。n 對于利用計算機及網(wǎng)絡(luò)進行交易的電子商務(wù)參與者來說，計算機病毒勢必會成為他們巨大的技術(shù)隱患。 4.3.2 電子商務(wù)系統(tǒng)安全體系 電子商務(wù)安全分為計算機網(wǎng)絡(luò)安全和商務(wù)交易安全n 計算機網(wǎng)絡(luò)安全：是指計算機網(wǎng)絡(luò)設(shè)備安全、計算機網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全，其特征是針對計算機網(wǎng)絡(luò)本身可能存在的安全問題實施網(wǎng)絡(luò)安全增強方

11、案，保證計算機網(wǎng)絡(luò)自身的安全。n 商務(wù)交易安全：是指在計算機網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保證電子商務(wù)過程的順利進行，即實現(xiàn)保密性、完整性、不可抵賴性等要求。主要技術(shù)有：加密技術(shù)、認證技術(shù)、安全協(xié)議等。 （建立電子商務(wù)安全體系也應(yīng)從這兩個方面入手，其結(jié)構(gòu)如圖41所示 ）4.3.3 常用電子商務(wù)安全技術(shù)和手段 1. 加密技術(shù) n 加密技術(shù)，就是采用合適的加密算法（實際上是一種數(shù)學(xué)方法）把原始信息（稱為“明文”）轉(zhuǎn)換成一些晦澀難懂的或者偏離信息原意的信息（稱為“密文”），從而達到保障信息安全目的的過程。n 加密系統(tǒng)包括信息（明文和密文）、密鑰（加密密鑰和解密密鑰）、算法（加密算法和解密算法）三個組成部分。

12、例如：將英文字母a、b、c、d、e、fx、y、z分別對應(yīng)變換為c、d、e、f、g、hz、a、b，即字母順序保持不變，但使之分別與相差2個字母的字母相對應(yīng)。若現(xiàn)在有明文“hello”，則按照該加密算法和密鑰，對應(yīng)密文為“jgnnq”2. 認證技術(shù) 身份認證n 身份認證是在交易過程中判明和確認貿(mào)易雙方真實身份的。n 身份認證可以幫助商家確認對方身份，進而放心地開展電子商務(wù)。n 當交易雙方發(fā)生糾紛時，身份認證還可以為仲裁提供有利的證據(jù)。 n 身份認證的常用方法主要有三種基本方式 ： 用戶口令 用戶持有物 用戶的某些生物學(xué)特征 信息認證n 它是用于驗證信息的完整性，即確認信息在傳遞或存儲過程中沒有被篡

13、改過，進而保證通信雙方的不可抵賴性和信息的完整性。n 常采取數(shù)字簽名技術(shù)進行信息的安全認證。 數(shù)字簽名主要是建立在公開密鑰體制和報文分解函數(shù)(MDF) 的基礎(chǔ)上。其過程為： 報文的發(fā)送方利用報文分解函數(shù)（目前常見的是單向Hash函數(shù)）生成一個128位的數(shù)字摘要； 發(fā)送方用自己的私人密鑰對這個摘要摘要進行加密來形成發(fā)送方的數(shù)字簽名； 然后，該數(shù)字簽名將作為附件和報文一起發(fā)送給接收方； 報文的接收方首先從接收到的原始報文中計算出128位的摘要； 接著用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名解密； 最后判斷兩個數(shù)字摘要是否相同。 如果相同，那么接收方就能確認該數(shù)字簽名是發(fā)送方的，而且報文在傳輸過程中

14、沒有被修改或替換過。 如果不同，則表明該信息可能在傳輸過程中被篡改。n 數(shù)字簽名技術(shù)可以保證信息傳送的完整性和不可抵賴性。 當破壞者截獲信息后，只要他對報文作一個字節(jié)的改動，接收方就會在最后驗證數(shù)字摘要時出錯而發(fā)現(xiàn)這次篡改；就算破壞者改動報文后計算出新的摘要，但他不知道發(fā)送方的私鑰，無法生成有效的數(shù)字簽名，還是無法實現(xiàn)篡改。 如果發(fā)送方否認這一次信息的傳輸，那么接收方就可以用收到報文和數(shù)字簽名來反駁。3. 安全協(xié)議 安全套接層協(xié)議 n 安全套接層(SSL，Secure Sockets Layer)協(xié)議是對計算機之間會話加密的協(xié)議，主要用于Web瀏覽器與Web服務(wù)器之間的身份認證和加密數(shù)據(jù)傳輸，

15、可以對信用卡和個人信息提供較強的安全保護。n SSL協(xié)議是工作在網(wǎng)絡(luò)的傳輸層中，所以它可以用于加密任何基于TCPIP的應(yīng)用，如HTTP、Telnet、FTP等。n SSL協(xié)議包括了兩個子協(xié)議：SSL握手協(xié)議(SSL handshake protocol)和SSL記錄協(xié)議(SSL record protocol)。 4. 反病毒技術(shù) 病毒的檢測 n 檢測計算機病毒，就是要到病毒寄生場所去檢查，發(fā)現(xiàn)異常情況，并進而驗明“正身”，確認計算機病毒的存在。n 對計算機病毒的檢測分為對內(nèi)存的檢測和對磁盤的檢測。 （病毒靜態(tài)時存儲于磁盤中，激活時駐留在內(nèi)存中）n 檢測的原理主要包括比較法、搜索法、計算機病毒

16、特征字的識別法、分析法。 病毒的清除 n 手工清除的方法；n 先由人工分析病毒傳染的方法，然后再加以程序化，讓清毒程序去完成清病毒的工作；n 在每個可執(zhí)行文件中追加一部分用于恢復(fù)的信息，當被病毒感染后，這些信息可以幫助快速去除病毒，恢復(fù)文件的原狀態(tài)；n 利用軟件自動分析一個文件的原始備份和被病毒感染后的拷貝，通過簡單的人工指導(dǎo)或根本不用人工干預(yù)，該軟件會自動產(chǎn)生清除這種病毒的源程序，并可自動產(chǎn)生可執(zhí)行程序。 病毒的防御 n 目前最常用的防御技術(shù)就是實時監(jiān)控技術(shù)。n 對網(wǎng)絡(luò)病毒實時監(jiān)控技術(shù)應(yīng)符合“最小占用”原則。 病毒的免疫 n 它是指通過給可執(zhí)行程序增加保護性外殼的方法，在一定程度上能起保護作

17、用。n 但是，在增加保護性外殼前，若該文件已感染病毒，作為免疫措施為該程序增加的保護性外殼就會將程序連同病毒一起保護在里面。待檢測時，因為有保護程序外殼的“護駕”，而不能檢查出該病毒。病毒防治基于工作站的防治技術(shù) n 軟件防治；n 在工作站上插防病毒卡；n 在網(wǎng)絡(luò)接口卡上安裝防病毒芯片?；诜?wù)器的防治技術(shù) n 基于網(wǎng)絡(luò)服務(wù)器的實時掃描的防護技術(shù)主要提供包括：實時在線掃描、服務(wù)器掃描、工作站掃描、自動報告及其病毒存檔等功能。n 也可利用在服務(wù)器上的插防毒卡。基于網(wǎng)絡(luò)操作系統(tǒng)的防治技術(shù) n 網(wǎng)絡(luò)操作系統(tǒng)本身至少應(yīng)提供四級安全保護措施：注冊安全、權(quán)限安全、屬性安全和網(wǎng)絡(luò)操作系統(tǒng)自身實體安全。5.

18、防火墻技術(shù) n 防火墻(Firewall)是指一個由軟件或和硬件設(shè)備組合而成，處于企業(yè)或網(wǎng)絡(luò)群體計算機與外界通道之間，限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。 n 防火墻包含著一對矛盾（或稱機制）：一方面它限制數(shù)據(jù)流通，另一方面它又允許數(shù)據(jù)流通。 n 主要包括兩種防火墻： 數(shù)據(jù)包過濾型(Packet Filter)防火墻：速度快、簡單易行、價格便宜、易于維護、對網(wǎng)絡(luò)性能的影響很小、安全性相對較差。 代理服務(wù)型(proxy service)防火墻：安全性能相對較高，但是訪問速度降低、而且網(wǎng)絡(luò)建設(shè)的成本較高。 （事實上，還有一些防火墻是上述兩種防火墻的變種、改進或者綜合。）6系統(tǒng)恢復(fù)技術(shù)演示GHOST的基本操作。4.4 電子商務(wù)的社會安全因素1. 電子商務(wù)投資政策 n 投資主體應(yīng)該由政府轉(zhuǎn)向廣大企業(yè)，尤其是中、小企業(yè)。n 政府的國家資金一般應(yīng)作為引導(dǎo)、啟動或配套資金進行注入，以表明政策支持那些經(jīng)濟、社會效益均好，或社會必需的行業(yè)、產(chǎn)業(yè)。n 政府投資的大小體現(xiàn)其重視程度或工程的