第一章 電子商務(wù)安全概述

1、主講：Email:電話：辦公室：本課程的教學(xué)目的 本課程是高職電子商務(wù)專業(yè)的一門必修課程。 其主要任務(wù)是要求學(xué)生對電子商務(wù)安全的概念有較全面的了解，掌握電子商務(wù)安全保密的基礎(chǔ)理論和實用技術(shù)，并能在實踐中起指導(dǎo)作用。課程知識目標了解電子商務(wù)安全隱患；了解電子商務(wù)流程中的各方面的不安全性；了解一些黑客常用的攻擊方法，學(xué)會使用一些防范工具；了解防火墻的使用；掌握數(shù)字簽名及CA認證技術(shù)掌握加密與密鑰體系.實現(xiàn)數(shù)據(jù)完整性.數(shù)字簽名.數(shù)字認證.安全協(xié)議與標準；掌握對訪問的認證和控制，S/MIME，SSL，SET和數(shù)字認證的使用；課程能力目標能對一個電子商務(wù)網(wǎng)站的防火墻進行設(shè)置；能申請并使用數(shù)字證書；能分析

2、一個電子商務(wù)網(wǎng)站的商務(wù)流程安全隱患；培養(yǎng)一定的電子商務(wù)網(wǎng)站的安全管理能力；掌握一定的信息加密技術(shù)及其應(yīng)用能力；課程考核方案（建議）考核方式:過程性測試+期末閉卷考試過程性測試占60%過程性測試含考勤、作業(yè)和實驗期末閉卷考試40%期末試卷題型及比例：綜合題：50% 簡答題：30%選擇題: 20% 為什么要學(xué)這門課程？助理電子商務(wù)師必備技能： 了解電子商務(wù)安全基本知識和隱患 了解電子商務(wù)的不安全性 掌握建立安全的電子商務(wù)流程 掌握加解密、數(shù)字簽名、認證 掌握電子商務(wù)的安全協(xié)議SSL、SET助理電子商務(wù)師國家職業(yè)標準主編：彭波第1章 電子商務(wù)安全基礎(chǔ)知識教學(xué)目標：了解電子商務(wù)安全的六項中心內(nèi)容；了解

3、常見的電子商務(wù)安全問題熟悉電子商務(wù)安全的需求熟悉常見的電子商務(wù)安全技術(shù)了解電子商務(wù)安全體系技能培養(yǎng)目標：能夠搜集電子商務(wù)安全方面的資料能夠跟蹤電子商務(wù)技術(shù)的發(fā)展第1章 電子商務(wù)安全基礎(chǔ) 1.1 電子商務(wù)安全概述 隨著電子商務(wù)在全球范圍內(nèi)的迅猛發(fā)展，電子商務(wù)中的網(wǎng)絡(luò)安全問題日漸突出。 CNNIC發(fā)布的第24次中國互聯(lián)網(wǎng)絡(luò)發(fā)展報告指出：如何保證電子商務(wù)中的網(wǎng)絡(luò)安全問題、交易安全問題是促進電子商務(wù)穩(wěn)定快速發(fā)展的關(guān)鍵。知識窗：知識窗：中國互聯(lián)網(wǎng)絡(luò)信息中心（中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）：）：CNNIC是我國域名注冊管理機構(gòu)和域名根服務(wù)是我國域名注冊管理機構(gòu)和域名根服務(wù)器運行機構(gòu)。官方網(wǎng)址器運行機構(gòu)

4、。官方網(wǎng)址http:/ 用戶認為目前網(wǎng)上交易存在的最大問題是：安全性得不到保障： 23.4%付款不方便： 10.8% 產(chǎn)品質(zhì)量、售后服務(wù)及廠商信用得不到保障： 39.3%送貨不及時： 8.6%價格不夠誘人： 10.8%網(wǎng)上提供的信息不可靠： 6.4%其它： 0.7%消費者對網(wǎng)上交易的網(wǎng)絡(luò)安全缺乏信心，使得消費者對網(wǎng)上交易的網(wǎng)絡(luò)安全缺乏信心，使得越來越多消費者不愿在網(wǎng)上購物。越來越多消費者不愿在網(wǎng)上購物。電子商務(wù)安全包括六項中心內(nèi)容：1商務(wù)數(shù)據(jù)的機密性 信息在傳送和存儲過程中不能泄露，可用加密和信息隱匿技術(shù)實現(xiàn)。2商務(wù)數(shù)據(jù)的完整性 保護數(shù)據(jù)不被未授權(quán)者修改、建立、嵌入等。3商務(wù)服務(wù)的認證性 網(wǎng)絡(luò)

5、兩端的使用者在溝通之前相互確認對方的身份。4.商務(wù)服務(wù)的不可否認性 信息發(fā)送和接收方都不可否認服務(wù)沒有發(fā)生。 5.商務(wù)服務(wù)的不可拒絕性 保證受權(quán)用戶在正常訪問時不被拒絕。6.訪問的控制性 在網(wǎng)絡(luò)上限制和控制通信鏈路對主機系統(tǒng)和應(yīng)用的訪問。 從2000年2月7日至2月9日，短短三天時間內(nèi)，美國幾大主要網(wǎng)上站點遭受不明黑客攻擊，其中包括著名的電子商務(wù)網(wǎng)站電子港灣（eBay）和亞馬遜（Amazon）。 從2003年1月25日中午開始，一種蠕蟲病毒在Internet上快速蔓延。信息安全案例 2004年2月，日本因特網(wǎng)雅虎BB公司外泄四百五十萬筆個人資料，引起社會指責(zé) 萬事達信用卡集團于2005年6月1

6、7日稱，大約4000萬信用卡顧客賬戶被一名黑客利用電腦病毒侵入，黑客可能將用戶賬號信息用作欺詐行為 2008年，一個全球性的黑客組織，利用ATM 欺詐程序在一夜之間從世界49個城市的銀行中盜走了900萬美元。 2009年，7月7日，韓國總統(tǒng)府、國會、國情院和國防部等國家機關(guān)，以及金融界、媒體和防火墻企業(yè)網(wǎng)站遭到黑客的攻擊。1.2 電子商務(wù)安全問題 1. 數(shù)據(jù)被非法截獲、讀取或者修改 數(shù)據(jù)在傳輸過程中可能被別有用心者截獲、讀取，從而造成商業(yè)機密和個人隱私的泄密。 2. 冒名頂替和否認行為 別有用心者就有可能冒充合法用戶發(fā)送或者是接收信息。另外，會否認自己在網(wǎng)絡(luò)上進行過的操作，也就是賴帳。1.2

7、電子商務(wù)安全問題 3. 一個網(wǎng)絡(luò)的用戶未經(jīng)授權(quán)訪問了另一個網(wǎng)絡(luò) 有的未經(jīng)授權(quán)的非法用戶會想辦法竄入企業(yè)內(nèi)部網(wǎng)，這就是所謂的“黑客”侵擾。 4. 計算機病毒 電子商務(wù)是一種依賴于計算機和計算機網(wǎng)絡(luò)的新的商務(wù)模式，危害計算機和計算機網(wǎng)絡(luò)的計算機病毒自然對對電子商務(wù)造成了很大的危害。解決措施序號序號安全問題安全問題解決措施解決措施1數(shù)據(jù)被非法截獲、讀取或者修改數(shù)據(jù)加密2冒名頂替和否認行為數(shù)字簽名、加密、認證等3一個網(wǎng)絡(luò)的用戶未經(jīng)授權(quán)訪問了另一個網(wǎng)絡(luò)防火墻4計算機病毒計算機病毒防治措施1.3 電子商務(wù)安全需求電子商務(wù)安全需求從整體上可分為三大部分： 電子商務(wù)信息服務(wù)安全需求 電子交易的安全需求 電子支

8、付安全需求。1.3.1 電子商務(wù)信息服務(wù)安全需求 1. 系統(tǒng)實體安全 實體安全，是指保護計算機設(shè)備、設(shè)施以及其他媒體免受自然災(zāi)害和其他環(huán)境事故（如電磁污染等）破壞的措施、過程 （1）環(huán)境安全 （2）設(shè)備安全 （3）媒體安全2. 系統(tǒng)運行安全 運行安全是指為保障系統(tǒng)功能的安全實現(xiàn)，提供一套安全措施來保護信息處理過程的安全。 （1）風(fēng)險分析 （2）審計跟蹤 （3）備份與恢復(fù) （4）應(yīng)急3. 信息安全 信息安全是指防止信息財產(chǎn)被故意的或偶然的非授權(quán)泄漏、更改、破壞或使信息被非法的系統(tǒng)辨識、控制， （1）操作系統(tǒng)安全 （2）數(shù)據(jù)庫安全 （3）網(wǎng)絡(luò)安全 （4）計算機病毒防護 （5）訪問控制 （6）加密

9、（7）鑒別 1.3.2 電子交易的安全需求 1信息的保密性 一定要對敏感重要的商業(yè)信息進行加密，即使別人截獲或竊取了數(shù)據(jù)，也無法識別信息的真實內(nèi)容，這樣就可以使商業(yè)機密信息難以被泄露。 2 信息的完整性 交易各方能夠驗證收到的信息是否完整，即信息是否被人篡改過，或者在數(shù)據(jù)傳輸過程中是否出現(xiàn)信息丟失、信息重復(fù)等差錯。1.3.2 電子交易的安全需求 3. 身份的可認證性 在雙方進行交易前，首先要能確認對方的身份，要求交易雙方的身份不能被假冒或偽裝 4. 可靠性/不可抵賴性 在電子交易通信過程的各個環(huán)節(jié)中都必須是不可否認的，即交易一旦達成，發(fā)送方不能否認他發(fā)送的信息，接收方則不能否認他所收到的信息。

10、1.3.2 電子交易的安全需求 5. 審查能力/不可偽造性 電子交易文件也要能做到不可修改，以保障交易的嚴肅和公正。 6. 內(nèi)部網(wǎng)的嚴密性 企業(yè)的內(nèi)部網(wǎng)上一方面有著大量需要保密的信息，另一方面?zhèn)鬟f著企業(yè)內(nèi)部的大量數(shù)據(jù)，控制著企業(yè)的業(yè)務(wù)流程。保證內(nèi)部網(wǎng)不被侵入，也是開展電子商務(wù)的企業(yè)應(yīng)著重考慮的一個安全問題。1.3.3 電子支付安全需求 電子支付的手段是解決電子商務(wù)支付的唯一手段。所以如何保證電子支付過程中的安全問題也是電子商務(wù)中迫切要解決的問題。 （1）電子支付制度 （2）電子支付系統(tǒng) （3）隱私外露 （4）電子支付工具1.4 電子商務(wù)安全技術(shù) 電子商務(wù)主要涉及到的安全技術(shù)有加解密技術(shù)、數(shù)字認

11、證技術(shù)、CA安全認證體系、安全電子交易協(xié)議、虛擬專用網(wǎng)技術(shù)、反病毒技術(shù)、黑客防范及其他相關(guān)的網(wǎng)絡(luò)安全技術(shù)。安全技術(shù)歸結(jié)為三類： 客戶端安全技術(shù) 服務(wù)器端安全技術(shù) 信息傳輸安全技術(shù)。1.4.1 客戶端安全技術(shù) 1. 病毒與木馬防范技術(shù) 病毒與木馬防范技術(shù)主要是就是針對目前流行的病毒與木馬通過安裝反病毒軟件、反木馬軟件等技術(shù)手段防范病毒和木馬對客戶端造成的破壞。2. 操作系統(tǒng)安全技術(shù) 操作系統(tǒng)安全技術(shù)主要是指利用安全技術(shù)保證進行電子商務(wù)活動中參與的主機系統(tǒng)的操作系統(tǒng)安全。 美國可信計算機安全評估標準（TCSEC），是計算機系統(tǒng)安全評估的第一個正式標準。 TCSEC將計算機系統(tǒng)的安全劃分為4個等級、

12、8個級別。 美國可信計算機安全評估標準（TCSEC）(1) D類安全等級：只為文件和用戶提供安全保護。最普通的形式是本地操作系統(tǒng)。(2) C類安全等級：能夠提供審慎的保護，并為用戶的行動和責(zé)任提供審計能力。(3) B類安全等級：具有強制性保護功能(4) A類安全等級：從開發(fā)者那里接收到一個安全策略的正式模型；所有的安裝操作都必須由系統(tǒng)管理員進行；系統(tǒng)管理員進行的每一步安裝操作都必須有正式文檔。3. 應(yīng)用軟件安全技術(shù) 應(yīng)用軟件安全技術(shù)主要是指針對安裝在主機系統(tǒng)中的應(yīng)用軟件存在的安全問題所采用的安全技術(shù)。 例如，MS Internet Explore、Outlook Express、Foxmail

13、以及即時通信軟件QQ等大量應(yīng)用軟件1.4.2 服務(wù)器端安全技術(shù) 1. 網(wǎng)絡(luò)操作系統(tǒng)安全技術(shù)網(wǎng)絡(luò)操作系統(tǒng)安全技術(shù)主要是指為了保障提供電子商務(wù)服務(wù)的網(wǎng)絡(luò)操作系統(tǒng)的安全而采用的安全技術(shù)，包括Windows 2003 Server安全設(shè)置和Red Hat Linux 安全設(shè)置。 2. 數(shù)據(jù)庫安全技術(shù) 指為了保證數(shù)據(jù)庫中大量數(shù)據(jù)的安全問題、敏感數(shù)據(jù)的防竊取和防篡改問題等一系列安全問題而采用的安全技術(shù)。 3. 網(wǎng)站安全技術(shù) 指對提供電子商務(wù)服務(wù)的網(wǎng)站所采用的安全技術(shù)。主要包括Web服務(wù)安全設(shè)置和網(wǎng)站代碼安全。1.4.3 信息傳輸安全技術(shù) 1. 黑客的攻擊與防范 主要通過了解常見黑客的攻擊方法，熟悉黑客攻擊

14、的步驟，掌握防范黑客入侵的措施和防范黑客入侵的步驟。 常見的黑客的攻擊方法有：端口掃描、口令破解、特洛伊木馬、緩沖區(qū)溢出攻擊、拒絕式服務(wù)攻擊、網(wǎng)絡(luò)監(jiān)聽等。 2. 信息加密技術(shù) 保證信息在傳輸通道中信息安全的核心技術(shù)。 通過對傳輸?shù)男畔⑦M行加密，可以在一定程度上提高數(shù)據(jù)傳輸?shù)陌踩?，保證傳輸數(shù)據(jù)的完整性。在電子商務(wù)安全中信息加密技術(shù)包括密碼的分析與攻擊和數(shù)據(jù)加密技術(shù)。 3. 防火墻技術(shù)與設(shè)置 通過防火墻將本地網(wǎng)絡(luò)和外界網(wǎng)絡(luò)之間建立一道防御體系，用戶可以在防火墻上配置安全策略控制信息的進出。通過安全策略的配置提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全。1.5 電子商務(wù)安全體系 電子商務(wù)安全體系是保證電子商務(wù)中信息安全的一個完整的邏輯結(jié)構(gòu)，同時也為交易過程的安全提供了保障。 網(wǎng)絡(luò)安全是電子商務(wù)活動安全進行的基礎(chǔ)，為人們安全地開展網(wǎng)上商務(wù)活動提供了有力的保障。沒有網(wǎng)絡(luò)的安全，電子商務(wù)就毫無安全可言。 電子交易安全是保障電子商務(wù)網(wǎng)上交易活動順利進行的業(yè)務(wù)邏輯層面的安全。通過使用加密技術(shù)、安全認證、安全協(xié)議和電子支付系統(tǒng)等技術(shù)手段可以保證電子交易過程中信息的保密性、完整性、有效性、認證性、不可抵賴性、不可拒絕性實訓(xùn)了解電子商務(wù)安全問題和技術(shù)實訓(xùn)內(nèi)容： 查找十個專業(yè)的電子商務(wù)安全的網(wǎng)站； 查找當(dāng)前國際和國內(nèi)電子商務(wù)安