第一章 電子商務(wù)安全概述

1、主講：Email:電話：辦公室：本課程的教學(xué)目的 本課程是高職電子商務(wù)專(zhuān)業(yè)的一門(mén)必修課程。 其主要任務(wù)是要求學(xué)生對(duì)電子商務(wù)安全的概念有較全面的了解，掌握電子商務(wù)安全保密的基礎(chǔ)理論和實(shí)用技術(shù)，并能在實(shí)踐中起指導(dǎo)作用。課程知識(shí)目標(biāo)了解電子商務(wù)安全隱患；了解電子商務(wù)流程中的各方面的不安全性；了解一些黑客常用的攻擊方法，學(xué)會(huì)使用一些防范工具；了解防火墻的使用；掌握數(shù)字簽名及CA認(rèn)證技術(shù)掌握加密與密鑰體系.實(shí)現(xiàn)數(shù)據(jù)完整性.數(shù)字簽名.數(shù)字認(rèn)證.安全協(xié)議與標(biāo)準(zhǔn)；掌握對(duì)訪問(wèn)的認(rèn)證和控制，S/MIME，SSL，SET和數(shù)字認(rèn)證的使用；課程能力目標(biāo)能對(duì)一個(gè)電子商務(wù)網(wǎng)站的防火墻進(jìn)行設(shè)置；能申請(qǐng)并使用數(shù)字證書(shū)；能分析

2、一個(gè)電子商務(wù)網(wǎng)站的商務(wù)流程安全隱患；培養(yǎng)一定的電子商務(wù)網(wǎng)站的安全管理能力；掌握一定的信息加密技術(shù)及其應(yīng)用能力；課程考核方案（建議）考核方式:過(guò)程性測(cè)試+期末閉卷考試過(guò)程性測(cè)試占60%過(guò)程性測(cè)試含考勤、作業(yè)和實(shí)驗(yàn)期末閉卷考試40%期末試卷題型及比例：綜合題：50% 簡(jiǎn)答題：30%選擇題: 20% 為什么要學(xué)這門(mén)課程？助理電子商務(wù)師必備技能： 了解電子商務(wù)安全基本知識(shí)和隱患 了解電子商務(wù)的不安全性 掌握建立安全的電子商務(wù)流程 掌握加解密、數(shù)字簽名、認(rèn)證 掌握電子商務(wù)的安全協(xié)議SSL、SET助理電子商務(wù)師國(guó)家職業(yè)標(biāo)準(zhǔn)主編：彭波第1章 電子商務(wù)安全基礎(chǔ)知識(shí)教學(xué)目標(biāo)：了解電子商務(wù)安全的六項(xiàng)中心內(nèi)容；了解

3、常見(jiàn)的電子商務(wù)安全問(wèn)題熟悉電子商務(wù)安全的需求熟悉常見(jiàn)的電子商務(wù)安全技術(shù)了解電子商務(wù)安全體系技能培養(yǎng)目標(biāo)：能夠搜集電子商務(wù)安全方面的資料能夠跟蹤電子商務(wù)技術(shù)的發(fā)展第1章 電子商務(wù)安全基礎(chǔ) 1.1 電子商務(wù)安全概述 隨著電子商務(wù)在全球范圍內(nèi)的迅猛發(fā)展，電子商務(wù)中的網(wǎng)絡(luò)安全問(wèn)題日漸突出。 CNNIC發(fā)布的第24次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展報(bào)告指出：如何保證電子商務(wù)中的網(wǎng)絡(luò)安全問(wèn)題、交易安全問(wèn)題是促進(jìn)電子商務(wù)穩(wěn)定快速發(fā)展的關(guān)鍵。知識(shí)窗：知識(shí)窗：中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）：）：CNNIC是我國(guó)域名注冊(cè)管理機(jī)構(gòu)和域名根服務(wù)是我國(guó)域名注冊(cè)管理機(jī)構(gòu)和域名根服務(wù)器運(yùn)行機(jī)構(gòu)。官方網(wǎng)址器運(yùn)行機(jī)構(gòu)

4、。官方網(wǎng)址http:/ 用戶(hù)認(rèn)為目前網(wǎng)上交易存在的最大問(wèn)題是：安全性得不到保障： 23.4%付款不方便： 10.8% 產(chǎn)品質(zhì)量、售后服務(wù)及廠商信用得不到保障： 39.3%送貨不及時(shí)： 8.6%價(jià)格不夠誘人： 10.8%網(wǎng)上提供的信息不可靠： 6.4%其它： 0.7%消費(fèi)者對(duì)網(wǎng)上交易的網(wǎng)絡(luò)安全缺乏信心，使得消費(fèi)者對(duì)網(wǎng)上交易的網(wǎng)絡(luò)安全缺乏信心，使得越來(lái)越多消費(fèi)者不愿在網(wǎng)上購(gòu)物。越來(lái)越多消費(fèi)者不愿在網(wǎng)上購(gòu)物。電子商務(wù)安全包括六項(xiàng)中心內(nèi)容：1商務(wù)數(shù)據(jù)的機(jī)密性 信息在傳送和存儲(chǔ)過(guò)程中不能泄露，可用加密和信息隱匿技術(shù)實(shí)現(xiàn)。2商務(wù)數(shù)據(jù)的完整性 保護(hù)數(shù)據(jù)不被未授權(quán)者修改、建立、嵌入等。3商務(wù)服務(wù)的認(rèn)證性 網(wǎng)絡(luò)

5、兩端的使用者在溝通之前相互確認(rèn)對(duì)方的身份。4.商務(wù)服務(wù)的不可否認(rèn)性 信息發(fā)送和接收方都不可否認(rèn)服務(wù)沒(méi)有發(fā)生。 5.商務(wù)服務(wù)的不可拒絕性 保證受權(quán)用戶(hù)在正常訪問(wèn)時(shí)不被拒絕。6.訪問(wèn)的控制性 在網(wǎng)絡(luò)上限制和控制通信鏈路對(duì)主機(jī)系統(tǒng)和應(yīng)用的訪問(wèn)。 從2000年2月7日至2月9日，短短三天時(shí)間內(nèi)，美國(guó)幾大主要網(wǎng)上站點(diǎn)遭受不明黑客攻擊，其中包括著名的電子商務(wù)網(wǎng)站電子港灣（eBay）和亞馬遜（Amazon）。 從2003年1月25日中午開(kāi)始，一種蠕蟲(chóng)病毒在Internet上快速蔓延。信息安全案例 2004年2月，日本因特網(wǎng)雅虎BB公司外泄四百五十萬(wàn)筆個(gè)人資料，引起社會(huì)指責(zé) 萬(wàn)事達(dá)信用卡集團(tuán)于2005年6月1

6、7日稱(chēng)，大約4000萬(wàn)信用卡顧客賬戶(hù)被一名黑客利用電腦病毒侵入，黑客可能將用戶(hù)賬號(hào)信息用作欺詐行為 2008年，一個(gè)全球性的黑客組織，利用ATM 欺詐程序在一夜之間從世界49個(gè)城市的銀行中盜走了900萬(wàn)美元。 2009年，7月7日，韓國(guó)總統(tǒng)府、國(guó)會(huì)、國(guó)情院和國(guó)防部等國(guó)家機(jī)關(guān)，以及金融界、媒體和防火墻企業(yè)網(wǎng)站遭到黑客的攻擊。1.2 電子商務(wù)安全問(wèn)題 1. 數(shù)據(jù)被非法截獲、讀取或者修改 數(shù)據(jù)在傳輸過(guò)程中可能被別有用心者截獲、讀取，從而造成商業(yè)機(jī)密和個(gè)人隱私的泄密。 2. 冒名頂替和否認(rèn)行為 別有用心者就有可能冒充合法用戶(hù)發(fā)送或者是接收信息。另外，會(huì)否認(rèn)自己在網(wǎng)絡(luò)上進(jìn)行過(guò)的操作，也就是賴(lài)帳。1.2

7、電子商務(wù)安全問(wèn)題 3. 一個(gè)網(wǎng)絡(luò)的用戶(hù)未經(jīng)授權(quán)訪問(wèn)了另一個(gè)網(wǎng)絡(luò) 有的未經(jīng)授權(quán)的非法用戶(hù)會(huì)想辦法竄入企業(yè)內(nèi)部網(wǎng)，這就是所謂的“黑客”侵?jǐn)_。 4. 計(jì)算機(jī)病毒 電子商務(wù)是一種依賴(lài)于計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)的新的商務(wù)模式，危害計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)的計(jì)算機(jī)病毒自然對(duì)對(duì)電子商務(wù)造成了很大的危害。解決措施序號(hào)序號(hào)安全問(wèn)題安全問(wèn)題解決措施解決措施1數(shù)據(jù)被非法截獲、讀取或者修改數(shù)據(jù)加密2冒名頂替和否認(rèn)行為數(shù)字簽名、加密、認(rèn)證等3一個(gè)網(wǎng)絡(luò)的用戶(hù)未經(jīng)授權(quán)訪問(wèn)了另一個(gè)網(wǎng)絡(luò)防火墻4計(jì)算機(jī)病毒計(jì)算機(jī)病毒防治措施1.3 電子商務(wù)安全需求電子商務(wù)安全需求從整體上可分為三大部分： 電子商務(wù)信息服務(wù)安全需求 電子交易的安全需求 電子支

8、付安全需求。1.3.1 電子商務(wù)信息服務(wù)安全需求 1. 系統(tǒng)實(shí)體安全 實(shí)體安全，是指保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施以及其他媒體免受自然災(zāi)害和其他環(huán)境事故（如電磁污染等）破壞的措施、過(guò)程 （1）環(huán)境安全 （2）設(shè)備安全 （3）媒體安全2. 系統(tǒng)運(yùn)行安全 運(yùn)行安全是指為保障系統(tǒng)功能的安全實(shí)現(xiàn)，提供一套安全措施來(lái)保護(hù)信息處理過(guò)程的安全。 （1）風(fēng)險(xiǎn)分析 （2）審計(jì)跟蹤 （3）備份與恢復(fù) （4）應(yīng)急3. 信息安全 信息安全是指防止信息財(cái)產(chǎn)被故意的或偶然的非授權(quán)泄漏、更改、破壞或使信息被非法的系統(tǒng)辨識(shí)、控制， （1）操作系統(tǒng)安全 （2）數(shù)據(jù)庫(kù)安全 （3）網(wǎng)絡(luò)安全 （4）計(jì)算機(jī)病毒防護(hù) （5）訪問(wèn)控制 （6）加密

9、（7）鑒別 1.3.2 電子交易的安全需求 1信息的保密性 一定要對(duì)敏感重要的商業(yè)信息進(jìn)行加密，即使別人截獲或竊取了數(shù)據(jù)，也無(wú)法識(shí)別信息的真實(shí)內(nèi)容，這樣就可以使商業(yè)機(jī)密信息難以被泄露。 2 信息的完整性 交易各方能夠驗(yàn)證收到的信息是否完整，即信息是否被人篡改過(guò)，或者在數(shù)據(jù)傳輸過(guò)程中是否出現(xiàn)信息丟失、信息重復(fù)等差錯(cuò)。1.3.2 電子交易的安全需求 3. 身份的可認(rèn)證性 在雙方進(jìn)行交易前，首先要能確認(rèn)對(duì)方的身份，要求交易雙方的身份不能被假冒或偽裝 4. 可靠性/不可抵賴(lài)性 在電子交易通信過(guò)程的各個(gè)環(huán)節(jié)中都必須是不可否認(rèn)的，即交易一旦達(dá)成，發(fā)送方不能否認(rèn)他發(fā)送的信息，接收方則不能否認(rèn)他所收到的信息。

10、1.3.2 電子交易的安全需求 5. 審查能力/不可偽造性 電子交易文件也要能做到不可修改，以保障交易的嚴(yán)肅和公正。 6. 內(nèi)部網(wǎng)的嚴(yán)密性 企業(yè)的內(nèi)部網(wǎng)上一方面有著大量需要保密的信息，另一方面?zhèn)鬟f著企業(yè)內(nèi)部的大量數(shù)據(jù)，控制著企業(yè)的業(yè)務(wù)流程。保證內(nèi)部網(wǎng)不被侵入，也是開(kāi)展電子商務(wù)的企業(yè)應(yīng)著重考慮的一個(gè)安全問(wèn)題。1.3.3 電子支付安全需求 電子支付的手段是解決電子商務(wù)支付的唯一手段。所以如何保證電子支付過(guò)程中的安全問(wèn)題也是電子商務(wù)中迫切要解決的問(wèn)題。 （1）電子支付制度 （2）電子支付系統(tǒng) （3）隱私外露 （4）電子支付工具1.4 電子商務(wù)安全技術(shù) 電子商務(wù)主要涉及到的安全技術(shù)有加解密技術(shù)、數(shù)字認(rèn)

11、證技術(shù)、CA安全認(rèn)證體系、安全電子交易協(xié)議、虛擬專(zhuān)用網(wǎng)技術(shù)、反病毒技術(shù)、黑客防范及其他相關(guān)的網(wǎng)絡(luò)安全技術(shù)。安全技術(shù)歸結(jié)為三類(lèi)： 客戶(hù)端安全技術(shù) 服務(wù)器端安全技術(shù) 信息傳輸安全技術(shù)。1.4.1 客戶(hù)端安全技術(shù) 1. 病毒與木馬防范技術(shù) 病毒與木馬防范技術(shù)主要是就是針對(duì)目前流行的病毒與木馬通過(guò)安裝反病毒軟件、反木馬軟件等技術(shù)手段防范病毒和木馬對(duì)客戶(hù)端造成的破壞。2. 操作系統(tǒng)安全技術(shù) 操作系統(tǒng)安全技術(shù)主要是指利用安全技術(shù)保證進(jìn)行電子商務(wù)活動(dòng)中參與的主機(jī)系統(tǒng)的操作系統(tǒng)安全。 美國(guó)可信計(jì)算機(jī)安全評(píng)估標(biāo)準(zhǔn)（TCSEC），是計(jì)算機(jī)系統(tǒng)安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn)。 TCSEC將計(jì)算機(jī)系統(tǒng)的安全劃分為4個(gè)等級(jí)、

12、8個(gè)級(jí)別。 美國(guó)可信計(jì)算機(jī)安全評(píng)估標(biāo)準(zhǔn)（TCSEC）(1) D類(lèi)安全等級(jí)：只為文件和用戶(hù)提供安全保護(hù)。最普通的形式是本地操作系統(tǒng)。(2) C類(lèi)安全等級(jí)：能夠提供審慎的保護(hù)，并為用戶(hù)的行動(dòng)和責(zé)任提供審計(jì)能力。(3) B類(lèi)安全等級(jí)：具有強(qiáng)制性保護(hù)功能(4) A類(lèi)安全等級(jí)：從開(kāi)發(fā)者那里接收到一個(gè)安全策略的正式模型；所有的安裝操作都必須由系統(tǒng)管理員進(jìn)行；系統(tǒng)管理員進(jìn)行的每一步安裝操作都必須有正式文檔。3. 應(yīng)用軟件安全技術(shù) 應(yīng)用軟件安全技術(shù)主要是指針對(duì)安裝在主機(jī)系統(tǒng)中的應(yīng)用軟件存在的安全問(wèn)題所采用的安全技術(shù)。 例如，MS Internet Explore、Outlook Express、Foxmail

13、以及即時(shí)通信軟件QQ等大量應(yīng)用軟件1.4.2 服務(wù)器端安全技術(shù) 1. 網(wǎng)絡(luò)操作系統(tǒng)安全技術(shù)網(wǎng)絡(luò)操作系統(tǒng)安全技術(shù)主要是指為了保障提供電子商務(wù)服務(wù)的網(wǎng)絡(luò)操作系統(tǒng)的安全而采用的安全技術(shù)，包括Windows 2003 Server安全設(shè)置和Red Hat Linux 安全設(shè)置。 2. 數(shù)據(jù)庫(kù)安全技術(shù) 指為了保證數(shù)據(jù)庫(kù)中大量數(shù)據(jù)的安全問(wèn)題、敏感數(shù)據(jù)的防竊取和防篡改問(wèn)題等一系列安全問(wèn)題而采用的安全技術(shù)。 3. 網(wǎng)站安全技術(shù) 指對(duì)提供電子商務(wù)服務(wù)的網(wǎng)站所采用的安全技術(shù)。主要包括Web服務(wù)安全設(shè)置和網(wǎng)站代碼安全。1.4.3 信息傳輸安全技術(shù) 1. 黑客的攻擊與防范 主要通過(guò)了解常見(jiàn)黑客的攻擊方法，熟悉黑客攻擊

14、的步驟，掌握防范黑客入侵的措施和防范黑客入侵的步驟。 常見(jiàn)的黑客的攻擊方法有：端口掃描、口令破解、特洛伊木馬、緩沖區(qū)溢出攻擊、拒絕式服務(wù)攻擊、網(wǎng)絡(luò)監(jiān)聽(tīng)等。 2. 信息加密技術(shù) 保證信息在傳輸通道中信息安全的核心技術(shù)。 通過(guò)對(duì)傳輸?shù)男畔⑦M(jìn)行加密，可以在一定程度上提高數(shù)據(jù)傳輸?shù)陌踩?，保證傳輸數(shù)據(jù)的完整性。在電子商務(wù)安全中信息加密技術(shù)包括密碼的分析與攻擊和數(shù)據(jù)加密技術(shù)。 3. 防火墻技術(shù)與設(shè)置 通過(guò)防火墻將本地網(wǎng)絡(luò)和外界網(wǎng)絡(luò)之間建立一道防御體系，用戶(hù)可以在防火墻上配置安全策略控制信息的進(jìn)出。通過(guò)安全策略的配置提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全。1.5 電子商務(wù)安全體系 電子商務(wù)安全體系是保證電子商務(wù)中信息安全的一個(gè)完整的邏輯結(jié)構(gòu)，同時(shí)也為交易過(guò)程的安全提供了保障。 網(wǎng)絡(luò)安全是電子商務(wù)活動(dòng)安全進(jìn)行的基礎(chǔ)，為人們安全地開(kāi)展網(wǎng)上商務(wù)活動(dòng)提供了有力的保障。沒(méi)有網(wǎng)絡(luò)的安全，電子商務(wù)就毫無(wú)安全可言。 電子交易安全是保障電子商務(wù)網(wǎng)上交易活動(dòng)順利進(jìn)行的業(yè)務(wù)邏輯層面的安全。通過(guò)使用加密技術(shù)、安全認(rèn)證、安全協(xié)議和電子支付系統(tǒng)等技術(shù)手段可以保證電子交易過(guò)程中信息的保密性、完整性、有效性、認(rèn)證性、不可抵賴(lài)性、不可拒絕性實(shí)訓(xùn)了解電子商務(wù)安全問(wèn)題和技術(shù)實(shí)訓(xùn)內(nèi)容： 查找十個(gè)專(zhuān)業(yè)的電子商務(wù)安全的網(wǎng)站； 查找當(dāng)前國(guó)際和國(guó)內(nèi)電子商務(wù)安