電子商務的安全問題及要求

電子商務的安全管理

（p255）

企業(yè)利用電子商務面臨的最重要問題就是安全問題，保證安全是進行網上交易的基礎和保障。電子商務的安全問題是一個系統(tǒng)性問題，需要從技術上，管理上和法律上來綜合建設和完善安全保障體系。

電子商務的安全管理4.1電子商務的安全問題及要求

4.2電子商務安全技術

4.3電子商務安全制度

4.4防止非法入侵

4.1電子商務的安全問題及要求

一、電子商務的安全問題

（一）電子商務交易帶來的安全威脅

（二）電子商務的安全風險來源

二、電子商務的安全要求

（一）有效性

（二）機密性（三）完整性（四）真實性和不可抵賴性的鑒別

三、電子商務安全管理思路

一、電子商務的安全問題

（一）電子商務交易帶來的安全威脅在傳統(tǒng)交易過程中，買賣雙方是面對面的，很容易保證交易過程的安全性和建立起信任關系。但是在電子商務過程中，買賣雙方通過網絡來聯(lián)系，建立交易雙方的安全和信任關系相當困難。因此，在電子商務交易雙方都面臨著安全威脅。1.銷售者面臨的威脅2.購買者面臨的威脅

1.銷售者面臨的威脅（1）中央系統(tǒng)安全性被破壞（2）競爭者檢索商品遞送狀況（3）系統(tǒng)中存儲的客戶資料被競爭者竊取。（4）被他人假冒而損害企業(yè)的信譽。（5）消費者提交訂單后不付款。（6）競爭對手提交虛假訂單。（7）被他人試探，丟失商業(yè)機密。入侵者假冒成合法用戶來改變用戶數(shù)據（如商品的送達地址）、解除用戶訂單或生產虛假訂單。有時惡意入侵者在一個很短的時間內以大量的電子郵件配合，針對銀行或電子商務網站進行攻擊，聲稱這個網站“正在維護中，請從這里訪問您的賬戶”。惡意競爭者以他人的名義來訂購商品，從而了解有關商品的遞送狀況和貨物的庫存情況。不誠實的人建立于銷售者服務器名字相同的另一個服務器來假冒銷售者。據中安在線2010年11月20日報道，不法分子利用“taoba0”冒充“taobao”網站來竊取用戶賬號密碼，從而給淘寶客戶造成了巨大的經濟損失。

案例：（二）電子商務的安全風險來源

1.網絡系統(tǒng)自身的安全風險2.信息傳輸風險3.信用風險4.管理風險5.法律風險1.網絡系統(tǒng)自身的安全風險①物理實體的安全風險

②計算機軟件系統(tǒng)風險③網絡協(xié)議的安全漏洞④黑客的惡意攻擊⑤計算機病毒攻擊1）設備故障2）電源故障：丟失數(shù)據、損壞硬件3）電磁泄漏導致信息失密4）搭線竊聽5）自然災害1.網絡系統(tǒng)自身的安全風險①物理實體的安全風險

②計算機軟件系統(tǒng)風險③網絡協(xié)議的安全漏洞④黑客的惡意攻擊⑤計算機病毒攻擊

網絡軟件的漏洞和“后門”是進行網絡攻擊的首選目標。應該及時安裝補丁程序1.網絡系統(tǒng)自身的安全風險①物理實體的安全風險

②計算機軟件系統(tǒng)風險③網絡協(xié)議的安全漏洞

④黑客的惡意攻擊⑤計算機病毒攻擊網絡服務是通過各種各樣的協(xié)議完成的，協(xié)議的安全性是網絡安全的一個重要方面。如果網絡通信協(xié)議存在安全上的缺陷，攻擊者會利用協(xié)議的安全漏洞得逞的。1.網絡系統(tǒng)自身的安全風險①物理實體的安全風險

②計算機軟件系統(tǒng)風險③網絡協(xié)議的安全漏洞④黑客的惡意攻擊

⑤計算機病毒攻擊黑客（hacking）是指非法入侵計算機系統(tǒng)的人。黑客在網絡上經常采用的手段有：利用操作系統(tǒng)提供的缺省賬戶進行攻擊；截取口令方法：通過網絡監(jiān)聽或記錄用戶的擊鍵得到用戶的口令。尋找系統(tǒng)漏洞偷取特權清理磁盤等案例：

96年初CHINANET受到某高校的一個研究生的攻擊；96年秋，北京某ISP和它的用戶發(fā)生了一些矛盾，此用戶便攻擊該ISP的服務器，致使服務中斷了數(shù)小時。

97年初，北京某ISP被黑客成功侵入，并在清華大學“水木清華”BBS站的“黑客與解密”討論區(qū)張貼有關如何免費通過該ISP進入Internet的文章。

1.網絡系統(tǒng)自身的安全風險①物理實體的安全風險

②計算機軟件系統(tǒng)風險③網絡協(xié)議的安全漏洞④黑客的惡意攻擊⑤計算機病毒攻擊

計算機病毒是編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據，影響計算機使用，并且能自我復制的一組計算機指令或程序代碼。怎么感染病毒呢？從互聯(lián)網上下載軟件運行電子郵件中的附件通過交換磁盤來交換文件將文件在局域網中進行復制案例：

網絡病毒與網絡犯罪2006年12月初，我國互聯(lián)網上大規(guī)模爆發(fā)“熊貓燒香”病毒及其變種。一只憨態(tài)可掬、頷首敬香的“熊貓”在互聯(lián)網上瘋狂“作案”。在病毒卡通化的外表下，隱藏著巨大的傳染潛力，短短三四個月，“燒香”潮波及上千萬個人用戶、網吧及企業(yè)局域網用戶，造成直接和間接損失超過1億元。2007年2月3日，“熊貓燒香”病毒的制造者李俊落網。李俊向警方交代，他曾將“熊貓燒香”病毒出售給120余人，而被抓獲的主要嫌疑人僅有6人，所以不斷會有“熊貓燒香”病毒的新變種出現(xiàn)。

有關法律專家稱，“熊貓燒香”病毒的制造者是典型的故意制作、傳播計算機病毒等破壞性程序，影響計算機系統(tǒng)正常運行的行為。根據刑法規(guī)定，犯此罪后果嚴重的，處5年以下有期徒刑或者拘役；后果特別嚴重的，處5年以上有期徒刑。通過上述案例可以看出隨著互聯(lián)網和電子商務的快速發(fā)展，利用網絡犯罪的行為會大量出現(xiàn)，為了保證電子商務的順利發(fā)展，法律保障是必不可少的。

2.信息傳輸風險冒名偷竊

篡改數(shù)據

信息丟失

信息傳遞過程中的破壞

虛假信息

如“黑客”為了獲取重要的商業(yè)機密、資源和信息，常采用源IP地址欺騙攻擊。信息傳輸風險是指進行網上交易時，因傳輸?shù)男畔⑹д婊蛘咝畔⒈环欠ǖ馗`取、篡改和丟失，而導致網上交易的不必要損失。

2.信息傳輸風險冒名偷竊

篡改數(shù)據

信息丟失

信息傳遞過程中的破壞

虛假信息

攻擊者未經授權進入網絡交易系統(tǒng)，使用非法手段，刪除、修改、重發(fā)某些重要信息，破壞數(shù)據的完整性，損害他人的經濟利益，或干擾對方的正確決策，造成網上交易的信息傳輸風險。請給丁匯100元乙甲請給丁匯100元請給丙匯100元丙請給丙匯100元2.信息傳輸風險冒名偷竊

篡改數(shù)據

信息丟失

信息傳遞過程中的破壞

虛假信息

交易信息的丟失，可能有三種情況：一是因為線路問題造成信息丟失；二是因為安全措施不當而丟失信息；三是在不同的操作平臺上轉換操作不當而丟失數(shù)據。2.信息傳輸風險冒名偷竊

篡改數(shù)據

信息丟失

信息傳遞過程中的破壞

虛假信息

信息在網上傳遞時，要經過多個環(huán)節(jié)和渠道，許多因素可能會影響到數(shù)據的真實性和完整性。2.信息傳輸風險冒名偷竊

篡改數(shù)據

信息丟失

信息傳遞過程中的破壞

虛假信息

用戶以合法身份進入系統(tǒng)后，可能發(fā)布虛假的供求信息，或以過期的信息冒充現(xiàn)在的信息，以騙取對方的錢款或貨物。3.信用風險來自買方的信用風險

來自賣方的信用風險買賣雙方都存在抵賴的情況

使用信用卡進行惡意透支，或使用偽造的信用卡騙取賣方的貨物；拖延貨款。3.信用風險來自買方的信用風險

來自賣方的信用風險買賣雙方都存在抵賴的情況

賣方不能按質、按量、按時寄送消費者購買的貨物。

3.信用風險來自買方的信用風險

來自賣方的信用風險買賣雙方都存在抵賴的情況

網上交易雙方必須有良好的信用，而且有一套有效的信用機制降低信用風險。4.網上交易管理風險交易流程管理風險

人員管理風險網絡交易技術管理的漏洞的交易風險

在網絡商品中介交易的過程中，客戶進入交易中介中心，買賣雙方簽訂合同，交易中心不僅要監(jiān)督買方按時付款，還要監(jiān)督賣方按時提供符合合同要求的貨物。在這些環(huán)節(jié)上，存在大量管理問題，管理不善會造成巨大的潛在風險。為防止此類風險，需要有完善的制度設計，形成一套相互關聯(lián)、相互制約的制度。4.管理風險交易流程管理風險人員管理風險

網絡交易技術管理的漏洞的交易風險人員管理常常是網上交易安全管理上的最薄弱的環(huán)節(jié)，內部犯罪現(xiàn)象明顯，工作人員職業(yè)道德修養(yǎng)不高，安全教育和管理松懈。一些競爭對手還利用企業(yè)招募新人的方式潛入該企業(yè)，或利用不正當?shù)姆绞绞召I企業(yè)網絡交易管理人員，竊取企業(yè)的用戶識別碼、密碼、傳遞方式以及相關的機密文件資料。4.管理風險交易流程管理風險人員管理風險網絡交易技術管理的漏洞的交易風險

有些操作系統(tǒng)中的某些用戶是無口令的，如匿名FTP，利用遠程登錄（Telnet）命令登錄的這些無口令用戶，有可能惡意地把自己升級為超級用戶。5.法律風險法律滯后的風險法律的事后完善的風險

在網上交易可能會承擔由于法律滯后，即目前尚沒有相關法律進行規(guī)范，因而無法保證合法交易的權益所造成的風險。5.法律風險法律滯后的風險法律的事后完善的風險

在網上交易可能承擔由于法律的事后完善所帶來的風險，即在原來法律條文沒有明確規(guī)定下而進行的網上交易，在后來頒布新的法律條文下屬于違法經營所造成的損失。如，證券交易的主體的規(guī)定。二、電子商務的安全要求

電子商務發(fā)展的核心和關鍵問題是交易的安全性。由于Internet本身的開放性，使網上交易面臨了種種危險，由此提出了相應的安全控制要求。（一）有效性

（二）機密性（三）完整性（四）真實性和不可抵賴性的鑒別

電子商務以電子形式取代了紙張，要對網絡故障、操作失誤、應用程序錯誤、硬件故障、系統(tǒng)軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防，以保證貿易數(shù)據在確定的時間、確定的地點是有效的。有效性

機密性

完整性

真實性和不可抵賴性的鑒別

存1000美元到Bob的賬號客戶銀行存900美元到Mallet的賬號存100美元到Bob賬號數(shù)據篡改

作為貿易的一種手段，電子商務的信息直接代表著個人、企業(yè)或國家的商業(yè)機密。電子商務是建立在一個較為開放的網絡環(huán)境上的，維護商業(yè)機密是電子商務全面推廣應用的重要保障。因此，要預防非法的信息存取和信息在傳輸過程中被非法竊取。有效性

機密性

完整性

真實性和不可抵賴性的鑒別

登錄：用戶名：dan密碼：M-y-p-a-s-s-w-o-r-dd-a-n

電子商務簡化了貿易過程，減少了人為的干預，同時也帶來維護貿易各方商業(yè)信息的完整、統(tǒng)一的問題。貿易各方信息的完整性將影響到貿易各方的交易和經營策略，保持貿易各方信息的完整性是電子商務應用的基礎。因此，要預防對信息的隨意生產、修改和刪除，同時要防止數(shù)據傳送過程中信息的丟失和重復。有效性

機密性

完整性

真實性和不可抵賴性的鑒別

要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家甚至是交易信息本身提供可靠的標識，如電子簽名、時間戳等。有效性

機密性

完整性

真實性和不可抵賴性的鑒別

有效性

機密性

完整性

真實性和不可抵賴性的鑒別

我是Bob，將公司與思科公司的所有通信記錄發(fā)送給我BobMalletDataBase三、電子商務安全管理思路

電子商務的安全管理，就是通過一個完整的綜合保障體系，規(guī)避各種風險，以保證網上交易的順利進行。

無論從保護合法市場交易利益，還是市場本身的發(fā)展來看，確保網上交易安全是電子虛擬市場要解決的首先問題和基本問題，需要各方配合加強對網上交易安全性的監(jiān)管。

網上交易安全管理，應采用綜合防范的思路，從技術、管理、法律等方面建立一個完整的網絡交易安全體系。（1）技術方面：防火墻技術、網絡防毒等。（2）加強監(jiān)管：建立各種有關的合理制度，并嚴格監(jiān)督。（3）社會的法律政策與法律保障：盡快出臺和完善相關的法律制度，嚴懲破壞合法網上交易權益的行為。

4.2電子商務安全技術

交易方自身網絡安全保障技術（一）用戶賬號管理和網絡殺毒技術（二）防火墻技術（三）虛擬專用技術（四）入侵檢測技術電子商務信息傳輸安全保障技術

（一）加密技術

（二）數(shù)字摘要技術身份和信息認證技術

（一）身份認證

（二）信息認證

（三）通過認證機構認證

電子商務安全支付技術

（一）SSL安全協(xié)議

（二）SET安全協(xié)議

一、交易方自身網絡安全保障技術（一）用戶賬號管理和網絡殺毒技術（二）防火墻技術（三）虛擬專用技術（四）入侵檢測技術獲取合法的賬號和密碼是黑客攻擊網絡系統(tǒng)最常使用的方法。因此，用戶賬號的安全管理措施包括：（1）技術層面的安全支持，即針對用戶賬號完整性的技術，包括用戶分組管理（對不同的成員賦予不同的權限）、單一登錄密碼制（用戶在企業(yè)計算機網絡任何地方都使用同一個用戶名和密碼）、用戶認證（結合多種手段如電話號碼、IP地址、用戶使用的時間等精確地確認用戶）。（2）在企業(yè)信息管理的政策方面有相應的措施，即劃分不同的用戶級別，制定密碼政策（如密碼的長度、密碼定期更換、密碼的組成等），對職員的流動采取必要的措施，以及對職員進行計算機安全的教育。兩者相互作用才能在一定程度上真正有效地保證用戶賬號的保密性。采取多方面的防治措施預防病毒、檢查病毒、消除病毒。用戶賬號管理和網絡殺毒技術防火墻技術虛擬專用技術

入侵檢測技術

防火墻是由軟件和硬件設備組合而成的，是處于企業(yè)內部網和外部網之間，用戶加強內外之間安全防范的一個或一組系統(tǒng)。一個好的防火墻系統(tǒng)應具有以下幾方面的作用：

1、限制他人進入內部網絡，過濾掉不安全服務和非法用戶2、允許內部網的一部分被外部網訪問，另一部分被保護起來。3、限定內部網對特殊的站點訪問4、為監(jiān)視互聯(lián)網的安全提供方便用戶賬號管理和網絡殺毒技術防火墻技術虛擬專用技術

入侵檢測技術防火墻有沒有缺陷呢？防火墻限制了有用的網絡服務防火墻不能防范不經由防火墻的攻擊防火墻不能防范來自網絡內部的攻擊

虛擬專用網（VPN），這是指利用隧道技術把兩個或多個專用網絡通過公共網（通常指Internet）安全地連接到一起，組成虛擬的統(tǒng)一的專用網的技術。其之所以稱為虛擬網，主要是因為整個VPN網絡的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專用網絡所需的端到端物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺，如Internet、ATM(異步傳輸模式)、幀中繼等之上的邏輯網絡，用戶數(shù)據在邏輯鏈路中傳輸。

用戶賬號管理和網絡殺毒技術防火墻技術虛擬專用技術

入侵檢測技術內部網內部網互聯(lián)網通過VPN組建的企業(yè)內部網

入侵檢測（“IDS”）是一種對網絡傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網絡安全設備。入侵檢測通過執(zhí)行以下任務來實現(xiàn)：監(jiān)視、分析用戶及系統(tǒng)活動；系統(tǒng)構造和弱點的審計；識別反映已知進攻的活動模式并向相關人士報警；異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據文件的完整性；操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。

用戶賬號管理和網絡殺毒技術防火墻技術虛擬專用技術

入侵檢測技術實時監(jiān)控非法入侵的過程示意圖報警日志記錄攻擊檢測記錄入侵過程重新配置防火墻路由器內部入侵入侵檢測記錄終止入侵

二、電子商務信息傳輸安全保障技術

（一）加密技術

（二）數(shù)字摘要技術（一）、加密技術加密技術是認證技術及其他許多安全技術的基礎。

“加密”，簡單地說，就是使用數(shù)學的方法將原始信息（明文）重新組織與變換成只有授權用戶才能解讀的密碼形式（密文）。而“解密”就是將密文重新恢復成明文。加密技術包括兩個元素：算法是在加密和解密時所使用的信息變換規(guī)則。(如公式、法則或程序)。密鑰是控制加密和解密過程的一組隨機數(shù)碼(控制只是指與密鑰有關，而與算法無關)?，F(xiàn)代密碼學的一個基本原則是：一切秘密寓于密鑰之中。密碼算法可以公開，真正需要保密的是密鑰。因此，稱密鑰是加密或解密過程中的關鍵要素。古典加密技術－

替代算法愷撒密碼(單字母替換)明文：abcdefghijklmnopq密文：defghijklmnopqrst此時密鑰為3，即每個字母順序推后3個。解密使用相同的方法，密鑰為-3。

例如：將字母的自然順序保持不變，但使之分別與相差4個字母的字母相對應。

HowareyouLsaevicsy對稱密鑰密碼體制加密技術的類型非對稱密鑰密碼體制加密密鑰與解密密鑰是相同的。密鑰必須通過安全可靠的途徑傳遞。由于密鑰管理成為影響系統(tǒng)安全的關鍵性因素，使它難以滿足系統(tǒng)的開放性要求。

把加密過程和解密過程設計成不同的途徑，當算法公開時，在計算上不可能由加密密鑰求得解密密鑰，因而加密密鑰可以公開，而只需秘密保存解密密鑰即可。

公開密鑰密碼體制產生于1976年，又稱雙鑰或非對稱密鑰密碼體制。1977年麻省理工學院的三位科學家Rivest、Shamir和Adleman提出最著名和使用最廣泛的公鑰加密方法RSA公開密鑰密碼系統(tǒng)。非對稱密鑰算法的加密解密流程

加密原文密文原文解密公鑰私鑰非對稱密鑰密碼體制非對稱加密方式中密鑰的分發(fā)與管理非對稱密鑰密碼體制老張小李的公開密匙小李老張密文小李小李的私有密匙老張的私有密匙老張的公開密匙密文鑒別保密用RSA鑒別,只有老張能發(fā)出該信息用RSA保密,只有小李能解開該信息非對稱密鑰密碼體制非對稱密鑰密碼技術的優(yōu)缺點：優(yōu)點：第一，在多人之間進行保密信息傳輸所需的密鑰組合數(shù)量很?。坏诙?，密鑰的發(fā)布不成問題；第三，公開密鑰系統(tǒng)可實現(xiàn)數(shù)字簽名。缺點：加密／解密比私有密鑰加密系統(tǒng)的速度慢得多。

對稱密鑰技術，加密和解密雙方使用相同的密鑰。對稱密鑰密碼體系最著名的算法有DES（美國數(shù)據加密標準）、AES(高級加密標準)和IDEA（歐洲數(shù)據加密標準）。對稱密鑰加密技術明文加密算法解密算法密文明文密鑰K密鑰KAB舉例HappyNewYear每個字母用前一字母代替,例G代替HGzooxMdvXdzq密文明文明文HappyNewYear每個字母用后一個字母代替一個簡單的加密算法——ROT13最簡單的加密算法之一是ROT13。在這種算法中，每個字母都被分配給一個數(shù)字。A變成了1，B變成了2，等等以此類推。如果你現(xiàn)在寫下“HELLO”，把每個字母轉換成數(shù)字，并加上13，然后在把這個數(shù)字轉換成字母。如果數(shù)字大于26，就相應把它減少26，以便讓這個數(shù)字處于字母表的范圍內。這樣HELLO變成了8，5，12，12，15。給每個數(shù)字加上13，變成21，18，25，25，28。由于28大于26，將其減去26，這樣你最后得到的數(shù)字序列是21，18，25，25，2。再轉換成字母后，就是URYYB。ABCDEFGHIJKLM12345678910111213NOPQRSTUVWXYZ14151617181920212223242526圖為有6個用戶的網絡其對稱密鑰的分發(fā)情況。

對稱式密鑰加密技術的優(yōu)缺點：

優(yōu)點：對稱密鑰密碼體系的優(yōu)點是加密、解密速度很快(高效)。

缺點：對稱加密系統(tǒng)存在的最大問題是密鑰的分發(fā)和管理問題。比如對于具有n個用戶的網絡，需要n(n－1)/2個密鑰，在用戶群不是很大的情況下，對稱加密系統(tǒng)是有效的，但是對于大型網絡，用戶群很大而且分布很廣時，密鑰的分配和保存就成了大問題，同時也就增加了系統(tǒng)的開銷。對稱密鑰加密與非對稱密鑰加密體制對比特性對稱密鑰加密非對稱密鑰加密密鑰的數(shù)目單一密鑰密鑰是成對的密鑰種類密鑰是秘密的一個私有、一個公開密鑰管理簡單不好管理需要數(shù)字證書及可靠第三者相對速度非?？炻猛居脕碜龃罅抠Y料的加密用來做加密小文件或對信息簽字等不太嚴格保密的應用（1）數(shù)字摘要（DigitalDigest）

數(shù)字摘要：是確保信息完整性的技術，它采用單向散列函數(shù)（Hash函數(shù)）對文件中若干重要元素進行某種變換運算得到固定長度的摘要碼（也稱數(shù)字指紋FingerPrint）,并在傳輸信息時將之加入原文件（明文）一同傳給接收方。

不同的明文，其數(shù)字摘要不同；相同的明文，其數(shù)字摘要一定相同??！數(shù)字摘要過程（1）數(shù)字摘要（DigitalDigest）

數(shù)字摘要的一般過程為：

(1)對原文使用Hash算法得到信息摘要；(2)發(fā)送端將消息（明文）和摘要一同發(fā)送；(3)接收方收到后，用同樣的Hash函數(shù)對所收到的消息產生一個摘要； (4)用接收方產生的摘要與發(fā)送方發(fā)來的摘要進行對比，若兩者相同則表明所收到的消息是完整的，原文在傳輸過程中沒有被修改，否則就說明原文被修改過，不是原消息。

數(shù)字摘要解決了信息傳輸?shù)耐暾允欠癖黄茐牡陌踩珕栴}，但是沒有解決信息的保密問題。

三、身份和信息認證技術

客戶認證技術是保證網上交易安全的一項重要技術。從認證途徑來看，客戶認證主要包括：

（一）身份認證（二）信息認證（三）通過認證機構認證身份認證和認證機構認證常常用于鑒別用戶身份，而信息認證常用于保證通信雙方的不可抵賴性和信息的完整性。身份認證就是在交易過程中判明和確認貿易雙方的真實身份。

某些非法用戶常采用竊取口令、修改或偽造、阻斷服務等等方式對網上交易系統(tǒng)進行攻擊，阻止系統(tǒng)資源的合法管理和使用。身份認證信息認證通過認證機構認證因此，要求認證機構或信息服務商應當提供如下認證的功能：

1）可信性：信息來源可信，接收者能確認發(fā)送者；2）完整性：信息在傳輸過程中沒有被修改、替換等；

3）不可抵賴性：發(fā)送者和接受者不能否認各自行為；

4）訪問控制：拒絕非法用戶訪問系統(tǒng)資源，合法用戶只能訪問系統(tǒng)授權和指定的資源。身份認證信息認證通過認證機構認證一般來說，用戶身份認證可通過三種基本方式或其組合方式來實現(xiàn)：

1）用戶所知道的某個秘密信息，如口令；

2）用戶所持有的某個秘密信息（硬件），即用戶必須持有合法的隨身攜帶的物理介質，例如智能卡中存儲用戶的個人化參數(shù)，以及訪問系統(tǒng)資源時必須有的智能卡。3）用戶所具有的某些生物學特征，如指紋。成本高，多用于保密程度很高的場合。身份認證信息認證通過認證機構認證商務活動通過公開網絡進行數(shù)據傳輸，對傳輸過程中信息的保密性、完整性和不可抵賴性提出了更高的要求。

1）對敏感的文件進行加密（加密技術）

2）保證數(shù)據的完整性（數(shù)據摘要技術）

3）對數(shù)據和信息的來源進行驗證（數(shù)字簽名技術）身份認證信息認證通過認證機構認證

第二節(jié)電子商務安全技術

身份和信息認證技術

通過認證機構提供認證服務的基本原理和流程是：在做交易時，應向對方提交一個由CA簽發(fā)的包含個人身份的證書，以使對方相信自己的身份。

顧客向CA申請證書時，可提交自己的駕駛執(zhí)照、身份證或護照，經驗證后，頒發(fā)證書。證書包含了顧客的名字和他的公鑰，以此作為網上證明自己的身份的依據。身份認證信息認證通過認證機構認證

第二節(jié)電子商務安全技術

交易方自身網絡安全保障技術（一）用戶賬號管理和網絡殺毒技術（二）防火墻技術（三）虛擬專用技術（四）入侵檢測技術電子商務信息傳輸安全保障技術

（一）加密技術

（二）數(shù)字摘要技術身份和信息認證技術

（一）身份認證

（二）信息認證

（三）通過認證機構認證

電子商務安全支付技術

（一）SSL安全協(xié)議

（二）SET安全協(xié)議

第二節(jié)電子商務安全技術

電子商務安全支付技術

（一）SSL安全協(xié)議

（二）SET安全協(xié)議

如何通過電子支付安全地完成整個交易過程？目前雖然還沒有形成公認成熟的解決辦法，但人們還是不斷通過各種途徑進行大量的探索，SSL安全協(xié)議和SET安全協(xié)議已廣泛應用于電子支付。

第二節(jié)電子商務安全技術

電子商務安全支付技術

SSL安全協(xié)議（安全套接層）是一種安全通信協(xié)議，它能夠對信用卡信息和個人信息提供較強的保護。此協(xié)議假定商家是可信的，協(xié)議運行的基點是商家對客戶信息保密的承諾。SSL安全協(xié)議有利于商家而不利于客戶。整個過程缺少客戶對商家的認證。

SSL安全協(xié)議逐漸被SET協(xié)議所取代。SSL安全協(xié)議SET安全協(xié)議

第二節(jié)電子商務安全技術

電子商務安全支付技術

SET安全協(xié)議（安全電子交易）是由信息卡公司推出的規(guī)范。SET在保留對客戶信用卡認證的前提下，又增加了對商家身份的認證。

SET安全協(xié)議能夠保證信息在網上安全傳輸；保證電子商務參與者信息的相互隔離（商家看不到信用卡信息）；解決多方認證問題；保證交易的實時性；可以運行在不同的硬件和操作系統(tǒng)平臺上。SSL安全協(xié)議SET安全協(xié)議

第二節(jié)電子商務安全技術

交易方自身網絡安全保障技術（一）用戶賬號管理和網絡殺毒技術（二）防火墻技術（三）虛擬專用技術（四）入侵檢測技術電子商務信息傳輸安全保障技術

（一）加密技術

（二）數(shù)字摘要技術身份和信息認證技術

（一）身份認證

（二）信息認證

（三）通過認證機構認證

電子商務安全支付技術

（一）SSL安全協(xié)議

（二）SET安全協(xié)議

第三節(jié)電子商務安全制度

安全管理制度（一）人員管理制度

（二）保密制度

（三）跟蹤、審計、稽核制度

（四）系統(tǒng)維護制度

（五）病毒防范制度法律制度

（一）美國保證電子商務安全的相關法律

（二）我國保證電子商務安全的相關法律

第三節(jié)電子商務安全制度

安全管理制度

（一）人員管理制度

（二）保密制度

（三）跟蹤、審計、稽核制度

（四）系統(tǒng)維護制度

（五）病毒防范制度法律制度

（一）美國保證電子商務安全的相關法律

（二）我國保證電子商務安全的相關法律

第三節(jié)電子商務安全制度

安全管理制度（一）人員管理制度

（二）保密制度

（三）跟蹤、審計、稽核制度

（四）系統(tǒng)維護制度

（五）病毒防范制度網上交易系統(tǒng)安全管理制度是用文字形式對各項安全要求的規(guī)定，它是保證企業(yè)在網上經營管理取得成功的基礎。是否健全及實施安全管理制度，關系到網上交易是否安全地、順利地進行。安全制度包括：

第三節(jié)電子商務安全制度

安全管理制度首先，對有關人員進行上崗培訓。其次，落實工作責任制，對違反網上交易安全規(guī)定的行為應堅決進行打擊，對有關人員要進行及時的處理。第三，貫徹網上交易安全運作基本原則：1）雙人負責原則：重要業(yè)務不安排一個人單獨管理，實行兩人或多人相互制約的機制。2）任期有限原則：任何人不得長期擔任與交易安全有關的職務。3）最小權限原則：明確規(guī)定只有網絡管理員才可以進行物流訪問，只有網絡管理員才可進行軟件安裝工作。人員管理保密跟蹤、審計、稽核系統(tǒng)維護病毒防范

第三節(jié)電子商務安全制度

安全管理制度保密制度需要很好地劃分信息的安全級別，確定安全防范重點，并提出相應的保密措施。安全級別一般可分為三級：1）絕密級：如企業(yè)戰(zhàn)略計劃，此部分網址、密碼不在Internet上公開，只限于公司高層人員掌握。2）機密級：如會議通知，此部分網址、密碼不在Internet上公開，只限于公司中層以上人員使用。3）秘密級：如訂貨方式，此部分網址、密碼在Internet上公開，供消費者瀏覽，但必須有保護程序，防止黑客入侵。人員管理保密跟蹤、審計、稽核系統(tǒng)維護病毒防范

第三節(jié)電子商務安全制度

安全管理制度

跟蹤制度要求企業(yè)建立網絡交易系統(tǒng)的日志機制，用來記錄系統(tǒng)運行的全過程。

審計制度包括經常對系統(tǒng)日志的檢查、審核，及時發(fā)現(xiàn)對系統(tǒng)故意入侵行為的記錄和對系統(tǒng)安全功能違反的記錄，監(jiān)控和捕捉各種安全事件，保存、維護和管理系統(tǒng)日志。

稽核制度是指工商管理、銀行、稅務人員利用計算機及網絡系統(tǒng)，借助于稽核業(yè)務應用軟件調閱、查詢、審核、判斷轄區(qū)內各電子商務參與單位業(yè)務經營活動的合理性、安全性，堵塞漏洞，保證網上交易安全，發(fā)出相應的警示或作出處理處罰的有關決定的一些列步驟和措施。人員管理保密跟蹤、審計、稽核系統(tǒng)維護病毒防范

第三節(jié)電子商務安全制度

安全管理制度對網絡系統(tǒng)的日常維護可從幾個方面進行：1）對于可管設備，通過安裝網管軟件進行系統(tǒng)故障診斷、顯示及通告，網絡流量與狀態(tài)的監(jiān)控、統(tǒng)計與分析，以及網絡性能調優(yōu)、負載平衡等。2）對于不可管設備應通過手工操作來檢查狀態(tài)，做到定期檢查與隨機抽查相結合，以便及時準確地掌握網絡的運行狀況，一旦有故障發(fā)生能及時處理。3）定期進行數(shù)據備份人員管理保密跟蹤、審計、稽核系統(tǒng)維護病毒防范

第三節(jié)電子商務安全制度

安全管理制度目前主要通過采用防毒軟件進行防毒。應用于網絡的防毒軟件有兩種：（1）單機版防病毒產品：是以事后消毒為原理的，當系統(tǒng)被病毒感染后才發(fā)揮作用，適合于個人用戶。（2）聯(lián)機版防病毒產品：屬于事前的防范，其原理是在網絡端口設置一個病毒過濾器。即事前在系統(tǒng)上安裝一個防病毒的網絡軟件，它能夠在病毒入侵到系統(tǒng)之前，將其擋在系統(tǒng)外邊。許多病毒都有一個潛伏期，有必要實行病毒定期清理制度清除處于前預期的病毒，防止病毒突然爆發(fā)，使計算機始終處于良好的工作狀態(tài)，保證網上交易的正常進行。人員管理保密跟蹤、審計、稽核系統(tǒng)維護病毒防范

第三節(jié)電子商務安全制度

安全管理制度（一）人員管理制度

（二）保密制度

（三）跟蹤、審計、稽核制度

（四）系統(tǒng)維護制度

（五）病毒防范制度法律制度

（一）美國保證電子商務安全的相關法律

（二）我國保證電子商務安全的相關法律

第三節(jié)電子商務安全制度

法律制度

（一）美國保證電子商務安全的相關法律

（二）我國保證電子商務安全的相關法律

第三節(jié)電子商務安全制度

法律制度

（一）美國保證電子商務安全的相關法律

1.與網上交易相關法律調整的基本原則2.電子支付的法律制度3.信息安全的法律制度4.消費者權益保護的法律制度

第三節(jié)電子商務安全制度

法律制度

（一）美國保證電子商務安全的相關法律

1.與網上交易相關法律調整的基本原則2.電子支付的法律制度3.信息安全的法律制度4.消費者權益保護的法律制度在美國各州實行的《統(tǒng)一商業(yè)法規(guī)》（UCC），通過下面一些方式來克服傳統(tǒng)法規(guī)的對網上交易推行帶來的執(zhí)行障礙：（1）確定和認可通過電子手段形成的合同的規(guī)則和范式，規(guī)定約束電子合同履行的標準，定義構成有效電子書寫文件和原始文件的條件，鼓勵政府各部門、廠商認可和接受正式的電子合同、公證文件等。（2）規(guī)定為法律和商業(yè)目的而做出的電子簽名的可接受程度，鼓勵國內和國際規(guī)則的協(xié)調統(tǒng)一，支持電子簽名和其他身份認證手續(xù)的可接受性。（3）建立電子注冊處。在美國各州實行的《統(tǒng)一商業(yè)法規(guī)》（UCC），通過下面一些方式來克服傳統(tǒng)法規(guī)的對網上交易推行帶來的執(zhí)行障礙：（4）推動建立其他形式的、適當?shù)?、高效率的、有效的國際商業(yè)交易的糾紛調解機制，支持在法庭上和仲裁過程中使用計算機證據。（5）建立于軟件和電子數(shù)據的許可證交易、使用和權力轉讓有關的標準和任選的合同履行規(guī)則。（6）在國際上，美國政府支持所有國家采用聯(lián)合國國際貿易法委員會提出的示范法作為電子商務使用的國際統(tǒng)一商業(yè)法規(guī)。

第三節(jié)電子商務安全制度

法律制度

（一）美國保證電子商務安全的相關法律

2.電子支付的法律制度3.信息安全的法律制度4.消費者權益保護的法律制度

1.與網上交易相關法律調整的基本原則

1978年制定的《1978年電子資金劃撥法》，其主要內容是保護銀行客戶的合法權益，使用于客戶是自然人的小額電子資金劃撥。1989年的《統(tǒng)一商業(yè)法規(guī)》，對大額電子支付系統(tǒng)進行了調整。該法第一次對電子支付下了定義：電子支付是支付命令發(fā)送方把存放于商業(yè)銀行的資金，通過一條線路劃入受益方開戶銀行，以支付給受益方的一系列轉移過程。該法詳細規(guī)定了電子支付命令的簽發(fā)與接受，接受銀行對發(fā)送發(fā)支付命令的執(zhí)行，電子支付的當事人的權利、義務以及責任的承擔等。

第三節(jié)電子商務安全制度

法律制度

（一）美國保證電子商務安全的相關法律

3.信息安全的法律制度4.消費者權益保護的法律制度1.與網上交易相關法律調整的基本原則2.電子支付的法律制度

《信息系統(tǒng)安全性指南》涵蓋了九項安全性原則，這些原則系統(tǒng)地闡述了高層次的需求，諸如明確安全責任的需求、知曉安全措施和手續(xù)的需求以及尊重其他用戶的權利和合法利益的需求等。美國聯(lián)邦政府為了保證網上交易信息的安全，制定與實施了相關的法規(guī)。

第三節(jié)電子商務安全制度

法律制度

（一）美國保證電子商務安全的相關法律

4.消費者權益保護的法律制度1.與網上交易相關法律調整的基本原則2.電子支付的法律制度3.信息安全的法律制度消費者在網上購物，個人隱私信息可能被商家掌握和非法使用；因無法親自體驗和挑選產品，存在退貨問題。美國頒布法規(guī)禁止商家利用消費者的個人隱私信息進行商業(yè)活動，侵犯消費者的權益。歐盟規(guī)定消費者在歐盟內部跨國購買商品，起訴商家時可以用消費者本國相關法律起訴，而不用到商家所在國家進行起訴，以保護消費者的權益。

第三節(jié)電子商務安全制度

法律制度

（一）美國保證電子商務安全的相關法律

（二）我國保證電子商務安全的相關法律

第三節(jié)電子商務安全制度

法律制度

（二）我國保證電子商務安全的相關法律

我國電子商務的發(fā)展仍處于初級階段，有關立法不夠健全。我國計算機立法工作開始于20世紀80年代。1997年10月1日，我國的新刑法，增加計算機犯罪的罪名。

1999年3月，我國頒布的《合同法》將傳統(tǒng)的書面合同形式擴大到數(shù)據電文形式，即電子合同。2004年8月通過《中華人民共和國電子簽名法》。

第三節(jié)電子商務安全制度

法律制度

案例1：電子合同某實業(yè)有限公司已經注冊了電子信箱；某木制品加工廠也注冊了電子信箱。1999年3月5日上午，某實業(yè)有限公司給某木制品加工廠發(fā)出要求購買其廠生產的辦公家具的電子郵件一份，電子郵件中明確了如下內容：(1)需要辦公桌8張，椅子16張；(2)要求在3月12日之前將貨送至某實業(yè)有限公司；(3)總價格不高于15000元。

第三節(jié)電子商務安全制度

法律制度

案例1：電子合同電子郵件還對辦公桌椅的尺寸、式樣、顏色作了說明，并附了樣圖。當天下午3時35分18秒，某木制品加工廠也以電子郵件回復某實業(yè)有限公司，對某實業(yè)有限公司的要求全部認可。為對某實業(yè)有限公司負責起見，3月6日某木制品加工廠還專門派人到某實業(yè)有限公司作了確認，但雙方都沒有簽署任何書面文件。

第三節(jié)電子商務安全制度

法律制度

案例1：電子合同1999年3月11日，某木制品加工廠將上述桌椅送至某實業(yè)有限公司。由于某實業(yè)有限公司已于10日以11000元的價格購買了另一家工廠生產的辦公桌椅，就以雙方沒有簽署書面合同為由拒收，雙方協(xié)商不成，3月16日某木制品加工廠起訴至法院。庭審中，雙方對用電子郵件方式買賣辦公桌椅及某木制品加工廠去人確認、3月11日送貨上門等均無異議，4月15日法院判決某木制品加工廠勝訴。

第三節(jié)電子商務安全制度

法律制度

案例2：網上復制權與傳播權侵權案1998年4月，世紀互聯(lián)公司在未取得作家王蒙、張潔、張抗抗、畢淑敏、劉震云、張承志同意的情況下，將他們的作品《堅硬的稀粥》、《漫長的路》、《白罄粟》、《預約死亡》、《一地雞毛》、《黑駿馬》和《北方的河》上傳到被告的網站上供人瀏覽或者下載。為此6位作家認為被告作為提供互聯(lián)網絡內容的服務商，未經許可以營利目的使用原告的作品，侵害了原告的著作權，請求法院判決被告停止侵權、公開致歉、賠償經濟損失和精神損失，承擔訴訟費、調查費等合理費用。

第三節(jié)電子商務安全制度

法律制度

案例2：網上復制權與傳播權侵權案

北京市海淀區(qū)人民法院經審理認為，被告未經許可將原告的作品在網上傳播，侵害了原告對其作品享有的使用權和獲得報酬權。依據著作權法第10條第5項、第45條第5項和第8項的規(guī)定，作出判決：①判決被告停止使用原告的作品；②判決被告在其網站分別向原告公開致歉，致歉內容須經法院審核；③判決被告向原告賠償經濟損失；④駁回原告要求被告賠償精神損失的訴訟請求。

第三節(jié)電子商務安全制度

法律制度

案例3：非法入侵網站案

2001年8月2日

14時，王群非法侵入“楚天人才熱線”，將該網站主頁改為一面五星紅旗，并附上“加入我們，成為中國黑客聯(lián)盟的一分子”等內容，致使網站癱瘓。當天18時，王群非法侵入湖北大冶市政府網站后，對載有當?shù)仡I導人照片和“領導致詞”等內容的首頁進行了惡意篡改。次日又將網站主頁變?yōu)橐粡埪泱w女人照片，致使網站關閉。王群還以同樣的手段，侵入“科技之光”、“黃石熱線”等網站，更改主頁，造成惡劣社會影響。

第三節(jié)電子商務安全制度

法律制度

案例3：網上復制權與傳播權侵權案法院認定，被告人王群利用從網上獲取的方法，搜索掃描各網站服務器系統(tǒng)的漏洞，并利用漏洞對計算機信息系統(tǒng)中的數(shù)據進行刪除、修改、增加，后果嚴重，行為已構成破壞計算機系統(tǒng)罪。湖北省武漢市江岸區(qū)人民法院判處王群有期徒刑1年。

第三節(jié)電子商務安全制度

安全管理制度（一）人員管理制度

（二）保密制度

（三）跟蹤、審計、稽核制度

（四）系統(tǒng)維護制度

（五）病毒防范制度法律制度

（一）美國保證電子商務安全的相關法律

（二）我國保證電子商務安全的相關法律

第四節(jié)防止非法入侵

網絡“黑客”常用的攻擊手段

（一）“黑客”的概念（二）“黑客”的攻擊手段防范非法入侵的技術措施（一）網絡安全檢查設備（二）訪問設備（三）防火墻（四）安全工具包/軟件

第四節(jié)防止非法入侵

網絡“黑客”常用的攻擊手段

（一）“黑客”的概念（二）“黑客”的攻擊手段防范非法入侵的技術措施（一）網絡安全檢查設備（二）訪問設備（三）防火墻（四）安全工具包/軟件

第四節(jié)防止非法入侵

網絡“黑客”常用的攻擊手段

（一）“黑客”的概念（二）“黑客”的攻擊手段

第四節(jié)防止非法入侵

網絡“黑客”常用的攻擊手段

（一）“黑客”的概念黑客可以分為兩類：一類是駭客，他們只想引人注目，證明自己的能力，在進入網絡系統(tǒng)后，不會破壞系統(tǒng)，僅僅做一些無傷大雅的惡作劇。他們追求的是從侵入行為本身獲得巨大的成功的滿足。另一類是竊客，其行為帶有強烈的目的性。早期竊取國家情報、科研情報，現(xiàn)在瞄準了銀行的資金和電子商務的整個交易過程。

第四節(jié)防止非法入侵

網絡“黑客”常用的攻擊手段

（二）“黑客”的攻擊手段黑客攻擊電子商務系統(tǒng)的手段：1.中斷（攻擊系統(tǒng)的可用性）2.竊聽（攻擊系統(tǒng)的機密性）3.篡改（攻擊系統(tǒng)的完整性）4.偽造（攻擊系統(tǒng)的真實性）5.轟炸（攻擊系統(tǒng)的健壯性）

第四節(jié)防止非法入侵

網絡“黑客”常用的攻擊手段

（二）“黑客”的攻擊手段黑客攻擊電子商務系統(tǒng)的手段：1.中斷（攻擊系統(tǒng)的可用性）破壞系統(tǒng)中的硬件、硬盤、線路、文件系統(tǒng)等，使系統(tǒng)不能正常工作。2.竊聽（攻擊系統(tǒng)的機密性）3.篡改（攻擊系統(tǒng)的完整性）4.偽造（攻擊系統(tǒng)的真實性）5.轟炸（攻擊系統(tǒng)的健壯性）

第四節(jié)防止非法入侵

網絡“黑客”常用的攻擊手段

（二）“黑客”的攻擊手段黑客攻擊電子商務系統(tǒng)的手段：1.中斷（攻擊系統(tǒng)的可用性）2.竊聽（攻擊系統(tǒng)的機密性）通過搭線和電磁泄漏等手段造成泄密，或對業(yè)務流量進行分析，獲取有用的情報。3.篡改（攻擊系統(tǒng)的完整性）4.偽造（攻擊系統(tǒng)的真實性）5.轟炸（攻擊系統(tǒng)的健壯性）

第四節(jié)防止非法入侵

網絡“黑客”常用的攻擊手段

（二）“黑客”的攻擊手段黑客攻擊電子商務系統(tǒng)的手段：1.