電子商務(wù)培訓(xùn)教材(PPT 50頁(yè))

1、copyright 2011 pearson education, ltd.肯尼思肯尼思.勞東勞東卡羅爾卡羅爾.圭爾喬圭爾喬.特拉弗特拉弗商務(wù)商務(wù). 技術(shù)技術(shù).社會(huì)社會(huì)第七版第七版e-commerce: business. technology. society.copyright 2011 pearson education, ltd.copyright 2011 pearson education, ltd.copyright 2010 pearson education, inc.slide 5-2第四章第四章網(wǎng)絡(luò)安全與支付系統(tǒng)網(wǎng)絡(luò)安全與支付系統(tǒng)copyright 2011 pearso

2、n education, ltd.copyright 2011 pearson education, ltd.網(wǎng)絡(luò)戰(zhàn)網(wǎng)絡(luò)戰(zhàn): 虛擬世界中的虛擬世界中的 2.0課堂討論課堂討論n黑客攻擊和網(wǎng)絡(luò)戰(zhàn)之間的區(qū)別是什么？n在過去的十年中，為什么網(wǎng)絡(luò)戰(zhàn)越來(lái)越具有潛在的毀滅性？n全球有多少比例的電腦會(huì)被隱形惡意軟件程序入侵?n政治方案能夠有效解決mad 2.0嗎？ slide 5-3copyright 2011 pearson education, ltd.電子商務(wù)安全環(huán)境電子商務(wù)安全環(huán)境n網(wǎng)絡(luò)犯罪的涉及的領(lǐng)域和造成的損失還難以估計(jì)v問題報(bào)告n2009 計(jì)算機(jī)安全協(xié)會(huì)的年度調(diào)查顯示: 49% 的被調(diào)查組織發(fā)

3、生過計(jì)算機(jī)安全事件v愿意公布的公司中, 平均每年損失$288,000n地下經(jīng)濟(jì)市場(chǎng):v通過“地下經(jīng)濟(jì)服務(wù)者”將信息賣給他人slide 5-4copyright 2011 pearson education, ltd.網(wǎng)絡(luò)犯罪類型網(wǎng)絡(luò)犯罪類型slide 5-5copyright 2011 pearson education, ltd.什么是良好的電子商務(wù)安全什么是良好的電子商務(wù)安全?n盡可能實(shí)現(xiàn)最高級(jí)別的安全v新技術(shù)的應(yīng)用v組織程序和策略v行業(yè)標(biāo)準(zhǔn)和政府法令n其他因素v貨幣的時(shí)間價(jià)值v安全成本vs. 潛在損失v安全鏈斷裂的地方往往在最薄弱的環(huán)節(jié)slide 5-6copyright 2011 pe

4、arson education, ltd.電子商務(wù)安全環(huán)境電子商務(wù)安全環(huán)境figure 4.2slide 5-7copyright 2011 pearson education, ltd.table 4.2slide 5-8copyright 2011 pearson education, ltd.在安全及其他價(jià)值間的取向在安全及其他價(jià)值間的取向n便于使用:v安全措施越多，就越難使用，而且速度也慢n公共安全與犯罪分子對(duì)安全的利用v犯罪分子利用技術(shù)犯罪或威脅公共安全slide 5-9copyright 2011 pearson education, ltd.電子商務(wù)環(huán)境中的安全威脅電子商務(wù)環(huán)境中

5、的安全威脅n三個(gè)關(guān)鍵的薄弱點(diǎn):1.互聯(lián)網(wǎng)通信信道2.服務(wù)器端3.客戶端slide 5-10copyright 2011 pearson education, ltd.典型的電子商務(wù)交易典型的電子商務(wù)交易figure 4.3slide 5-11copyright 2011 pearson education, ltd.電子商務(wù)環(huán)境中的薄弱環(huán)節(jié)電子商務(wù)環(huán)境中的薄弱環(huán)節(jié)figure 4.4slide 5-12copyright 2011 pearson education, ltd.電子商務(wù)環(huán)境中的安全威脅電子商務(wù)環(huán)境中的安全威脅n惡意代碼(malicious code)v病毒 virus v蠕蟲

6、wormv特洛伊木馬 trojan horsev機(jī)器人程序 botn不必要程序v瀏覽器寄生蟲 browser parasitesv廣告軟件 ad softwarev間諜軟件 spywareslide 5-13copyright 2011 pearson education, ltd.常見的安全威脅常見的安全威脅 (cont.)n網(wǎng)絡(luò)釣魚v第三方以任意欺騙性的網(wǎng)絡(luò)行為獲得用戶的保密信息v社會(huì)工程技術(shù), 電子郵件詐騙, 偽裝成合法軟件v點(diǎn)擊鏈接后，就會(huì)進(jìn)入詐騙者控制的網(wǎng)站，誘使受騙人泄露賬號(hào)密碼等個(gè)人信息n黑客行為與網(wǎng)絡(luò)破壞行為v黑客vs. 駭客v網(wǎng)絡(luò)破壞行為: 故意破壞網(wǎng)站, 使企業(yè)名譽(yù)受損,

7、甚至摧毀整個(gè)站點(diǎn)v黑客類型: 白帽黑客, 黑帽黑客, 灰帽黑客lslide 5-14copyright 2011 pearson education, ltd.常見的安全威脅常見的安全威脅 (cont.)n信用卡詐騙v黑客攻擊目標(biāo)商戶服務(wù)器，盜刷信用卡進(jìn)行詐騙n電子欺騙n網(wǎng)址嫁接n垃圾網(wǎng)站n拒絕服務(wù)攻擊v黑客向網(wǎng)站大量發(fā)送無(wú)用的通信來(lái)淹沒網(wǎng)絡(luò)并使網(wǎng)絡(luò)癱瘓v分布式拒絕服務(wù)攻擊slide 5-15copyright 2011 pearson education, ltd.常見的安全威脅常見的安全威脅 (cont.)n網(wǎng)絡(luò)竊聽v一種可以監(jiān)視通過網(wǎng)絡(luò)傳遞的信息的竊聽程序n內(nèi)部攻擊v最大的財(cái)務(wù)威脅n設(shè)計(jì)

8、不當(dāng)?shù)姆?wù)器和客戶端軟件n移動(dòng)平臺(tái)的安全v和任何互聯(lián)網(wǎng)所面臨的風(fēng)險(xiǎn)一樣v惡意軟件, 僵尸網(wǎng)絡(luò), 短信詐騙slide 5-16copyright 2011 pearson education, ltd.技術(shù)解決方案技術(shù)解決方案n保護(hù)互聯(lián)網(wǎng)的通信(加密)n保證信息傳送渠道(ssl, s-http, vpns)n保護(hù)網(wǎng)絡(luò)工作 (防火墻)n保護(hù)服務(wù)機(jī)和客戶機(jī) slide 5-17copyright 2011 pearson education, ltd.實(shí)現(xiàn)網(wǎng)絡(luò)安全的可用工具實(shí)現(xiàn)網(wǎng)絡(luò)安全的可用工具figure 4.7slide 5-18copyright 2011 pearson education,

9、 ltd.加密（加密（encryption）n加密v將明文轉(zhuǎn)化成除發(fā)送方和接收方以外任何人都無(wú)法讀取的密文的過程v保證存儲(chǔ)信息和傳送信息的安全v加密可以為電子商務(wù)6個(gè)關(guān)鍵方面提供4個(gè)方面的保障: 1.信息完整性2.不可否認(rèn)性3.真實(shí)性4.機(jī)密性slide 5-19copyright 2011 pearson education, ltd.對(duì)稱秘鑰加密（對(duì)稱秘鑰加密（symmetric key encryption）n發(fā)送方和接收方使用同一把密鑰來(lái)加密和解密信息n每次信息傳輸都有不同的密鑰n 加密系統(tǒng)的安全保護(hù)強(qiáng)度v用二進(jìn)制密鑰的長(zhǎng)度來(lái)加密信息n高級(jí)解密標(biāo)準(zhǔn) (aes)v最廣泛的對(duì)稱加密算法v提

10、供128位, 192位, and 256位的加密密鑰n其他對(duì)稱加密系統(tǒng)會(huì)使用高達(dá)2048位的密鑰slide 5-20copyright 2011 pearson education, ltd.公鑰加密（公鑰加密（public key encryption）n兩個(gè)算術(shù)上相關(guān)的數(shù)字密鑰v公開密鑰(廣泛發(fā)布) v私有密鑰 (擁有者保存)n兩種密鑰都可以用來(lái)加密和解密信息n一旦某個(gè)密鑰被用來(lái)加密信息，就不能再用它解密信息n發(fā)送方用接收方的公鑰來(lái)加密信息，接收方用他的私鑰來(lái)解密slide 5-21copyright 2011 pearson education, ltd.公鑰加密體系公鑰加密體系 一個(gè)簡(jiǎn)

11、單的例子一個(gè)簡(jiǎn)單的例子figure 4.8slide 5-22copyright 2011 pearson education, ltd.使用數(shù)字簽名和散列摘要的公鑰加密使用數(shù)字簽名和散列摘要的公鑰加密n散列函數(shù)（hash function）:v一種可以產(chǎn)生一個(gè)稱為散列或者信息摘要的固定長(zhǎng)度數(shù)字的算法n確保發(fā)送到接受者的信息在傳輸過程中沒有被篡改n發(fā)送方用接收方的公鑰對(duì)散列結(jié)果和原始信息加密n發(fā)送方用自己的私鑰將整個(gè)密文塊在加密一次 創(chuàng)建數(shù)字簽名 保證真實(shí)性和不可否認(rèn)性slide 5-23copyright 2011 pearson education, ltd.具有數(shù)字簽名的公鑰加密體系具有

12、數(shù)字簽名的公鑰加密體系figure 4.9slide 5-24copyright 2011 pearson education, ltd.數(shù)字信封數(shù)字信封n加密系統(tǒng)的缺點(diǎn):v公鑰加密n計(jì)算速度很慢, 傳輸速度顯著減慢, 處理時(shí)間的顯著增加v對(duì)稱密鑰加密n傳輸線難以保證n用對(duì)稱密鑰加密來(lái)加密大型文件 n用公鑰加密方法來(lái)加密和傳送這把對(duì)稱密鑰slide 5-25copyright 2011 pearson education, ltd.公鑰加密體系：建立數(shù)字信封公鑰加密體系：建立數(shù)字信封figure 4.10slide 5-26copyright 2011 pearson education, l

13、td.數(shù)字證書和公開密鑰基礎(chǔ)設(shè)施數(shù)字證書和公開密鑰基礎(chǔ)設(shè)施n數(shù)字證書包括:v主題或公司的名稱v主題的公鑰v數(shù)字證書的額序列號(hào)v截止日期、發(fā)放日期v認(rèn)證中心得數(shù)字簽名n公開密鑰基礎(chǔ)設(shè)施 (pki): v認(rèn)證中心和數(shù)字證書規(guī)程v良好隱私（pgp）slide 5-27copyright 2011 pearson education, ltd.數(shù)字證書和認(rèn)證中心數(shù)字證書和認(rèn)證中心figure 4.11slide 5-28copyright 2011 pearson education, ltd.加密解決方案的局限性加密解決方案的局限性n大部分電子商務(wù)網(wǎng)站并沒有用加密的形式來(lái)存儲(chǔ)消費(fèi)者的隱私vpki 無(wú)

14、法保護(hù)內(nèi)部人員及能訪問企業(yè)系統(tǒng)的人的信息n個(gè)人私鑰保護(hù)也可能會(huì)丟失n無(wú)法保證商家用來(lái)做驗(yàn)證的電腦是安全的nca可能不是其認(rèn)證的企業(yè)或者個(gè)人所認(rèn)定的權(quán)威機(jī)構(gòu)slide 5-29copyright 2011 pearson education, ltd.社會(huì)透視社會(huì)透視“網(wǎng)絡(luò)狗網(wǎng)絡(luò)狗”和匿名性和匿名性課堂討論課堂討論n互聯(lián)網(wǎng)無(wú)期限的匿名性有哪些好處？n身份認(rèn)證系統(tǒng)的缺點(diǎn)是什么？n身份認(rèn)證系統(tǒng)除了安全還有其他優(yōu)點(diǎn)嗎？n身份認(rèn)證系統(tǒng)應(yīng)該由誰(shuí)進(jìn)行管理?slide 5-30copyright 2011 pearson education, ltd.通信信道的安全通信信道的安全n安全套接層 (ssl): v

15、一種客戶機(jī)/服務(wù)器之間的對(duì)話，其中所請(qǐng)求文檔的url，以及所交換的內(nèi)容、表單的內(nèi)容和cookies都進(jìn)行了加密n安全超文本傳輸協(xié)議: v一種安全的以信息為導(dǎo)向的通信協(xié)議，與http聯(lián)合使用n虛擬專用網(wǎng) (vpn): v一種使得某個(gè)本地網(wǎng)絡(luò)可以利用互聯(lián)網(wǎng)作為管道來(lái)和另一個(gè)網(wǎng)絡(luò)連接的加密機(jī)制(pptp)slide 5-31copyright 2011 pearson education, ltd.利用利用ssl進(jìn)行安全協(xié)商會(huì)話進(jìn)行安全協(xié)商會(huì)話figure 4.12slide 5-32copyright 2011 pearson education, ltd.網(wǎng)絡(luò)保護(hù)網(wǎng)絡(luò)保護(hù)n防火墻（firewal

16、l）：v硬件和軟件v用安全政策來(lái)過濾通信數(shù)據(jù)包v兩種主要方式:1.包過濾2.應(yīng)用網(wǎng)關(guān)n代理服務(wù)器(proxies)v一種對(duì)于來(lái)自互聯(lián)網(wǎng)或發(fā)送到互聯(lián)網(wǎng)上的通信信息進(jìn)行處理的軟件服務(wù)器slide 5-33copyright 2011 pearson education, ltd.防火墻和代理服務(wù)器防火墻和代理服務(wù)器figure 4.13slide 5-34copyright 2011 pearson education, ltd.保護(hù)服務(wù)器和客戶機(jī)保護(hù)服務(wù)器和客戶機(jī)n提升操作系統(tǒng)安全v升級(jí), 修補(bǔ)n防病毒軟件: v抵御系統(tǒng)完整性侵害最容易也最便宜的方法v需要每日更新slide 5-35copyri

17、ght 2011 pearson education, ltd.安全計(jì)劃：管理政策安全計(jì)劃：管理政策n進(jìn)行風(fēng)險(xiǎn)評(píng)估n制定安全策略n制定實(shí)施計(jì)劃v安全機(jī)構(gòu)v訪問控制v驗(yàn)證機(jī)制, 生物特征識(shí)別v授權(quán)策略, 授權(quán)管理系統(tǒng)n進(jìn)行安全審計(jì)slide 5-36copyright 2011 pearson education, ltd.管理政策、企業(yè)流程和法律管理政策、企業(yè)流程和法律n美國(guó)政府和企業(yè)花費(fèi)12%的信息技術(shù)預(yù)算用于硬件、軟件和服務(wù)器安全，在2009年共計(jì)為1200億美元n風(fēng)險(xiǎn)管理包括v科技v有效管理策略v法律和公共政策slide 5-37copyright 2011 pearson educat

18、ion, ltd.制定電子商務(wù)安全計(jì)劃制定電子商務(wù)安全計(jì)劃slide 5-38figure 4.14copyright 2011 pearson education, ltd.技術(shù)透視技術(shù)透視你的智能手機(jī)安全嗎你的智能手機(jī)安全嗎?課堂討論課堂討論n智能手機(jī)主要面臨哪種威脅?n這種類型的設(shè)備有哪些特定的缺點(diǎn)嗎？nnicolas seriots的spyphone說明了什么?n與傳統(tǒng)個(gè)人電腦軟件程序相比，app受到的威脅是更大還是更??？slide 5-39copyright 2011 pearson education, ltd.法律及公共政策的作用法律及公共政策的作用n新的法律為地方和國(guó)家權(quán)力機(jī)構(gòu)

19、識(shí)別、跟蹤并起訴網(wǎng)絡(luò)犯罪分子提供了新的工具和機(jī)制:v國(guó)際信息基礎(chǔ)設(shè)施保護(hù)法v美國(guó)愛國(guó)者法案v國(guó)土安全法n私人機(jī)構(gòu)和公司合作做出的努力v美國(guó)計(jì)算機(jī)應(yīng)急反應(yīng)小組協(xié)調(diào)中心v美國(guó)計(jì)算機(jī)應(yīng)急反應(yīng)小組（us-cert）n政府對(duì)于加密軟件的政策和控制noecd 條約slide 5-40copyright 2011 pearson education, ltd.支付系統(tǒng)類型支付系統(tǒng)類型n現(xiàn)金v從交易數(shù)量角度來(lái)說是最常見的支付形式v不需要任何機(jī)構(gòu)作為中介就可以立即轉(zhuǎn)化為其他價(jià)值形式n支票轉(zhuǎn)賬v從交易數(shù)量角度來(lái)說是第二種常見的支付形式n信用卡v信用卡組織v發(fā)卡銀行v處理中心slide 5-41copyright

20、2011 pearson education, ltd.支付系統(tǒng)類型支付系統(tǒng)類型n儲(chǔ)值卡v通過存入資金建立的賬戶，所需資金也從此賬戶中提取或支付，例如借記卡、禮券以及智能卡v對(duì)等網(wǎng)絡(luò)支付系統(tǒng)n余額累計(jì)v可以累積支出費(fèi)用讓消費(fèi)者定期付款的賬戶ve.g. 公共事業(yè)費(fèi)、電話費(fèi)以及美國(guó)運(yùn)通卡賬戶slide 5-42copyright 2011 pearson education, ltd.table 4.6slide 5-43copyright 2011 pearson education, ltd.電子商務(wù)支付系統(tǒng)電子商務(wù)支付系統(tǒng)n信用卡v占美國(guó)網(wǎng)絡(luò)交易的55 % n借記卡v占美國(guó)網(wǎng)絡(luò)交易的28 % n網(wǎng)上信用卡支付的局限性v安全v成本v社會(huì)公平slide 5-44copyright 2011 pearson education, ltd.網(wǎng)上信用卡交易的工作原理網(wǎng)上信用卡交易的工作原理figure 4.16slide 5-45copyright 2011 pearson education, ltd.電子商務(wù)支付系統(tǒng)電子商務(wù)支付系統(tǒng)n數(shù)字錢包v模擬人們帶在身邊的錢包功能，存儲(chǔ)和轉(zhuǎn)移價(jià)值，并確保從消費(fèi)者到商家支付過程的安全v早期努力推廣失敗v最新開發(fā)：google checkout v數(shù)字現(xiàn)金v在銀行存入資金，并發(fā)行數(shù)字貨幣v大多數(shù)早期的數(shù)字現(xiàn)金已經(jīng)消失，協(xié)議和時(shí)間太復(fù)雜sl