電子商務(wù)安全技術(shù)實(shí)用教程 課件 第01、2章 電子商務(wù)安全概述、網(wǎng)絡(luò)攻擊與網(wǎng)購欺詐

電子商務(wù)安全技術(shù)實(shí)用教程

（微課版第三版）目錄第1章電子商務(wù)安全概述第2章網(wǎng)絡(luò)攻擊與網(wǎng)購欺詐第3章網(wǎng)絡(luò)安全技術(shù)第4章加密與認(rèn)證技術(shù)第5章公鑰基礎(chǔ)設(shè)施與數(shù)字證書第6章電子商務(wù)安全協(xié)議第7章電子商務(wù)軟件系統(tǒng)安全第8章電子支付與網(wǎng)上銀行第9章

移動(dòng)電子商務(wù)安全第10章電子商務(wù)安全管理第11章電子商務(wù)安全實(shí)驗(yàn)項(xiàng)目第1章電子商務(wù)安全概述1.1電子商務(wù)概述1.2電子商務(wù)安全概念與問題1.3電子商務(wù)安全對(duì)策1.4跨境電子商務(wù)安全1.1電子商務(wù)概述1.1.1電子商務(wù)的概念電子商務(wù)（ElectronicCommerce）是指政府、企業(yè)和個(gè)人利用現(xiàn)代電子計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)商業(yè)交換和行政管理的全過程。它是一種基于互聯(lián)網(wǎng)、以交易雙方為主體、以銀行電子支付結(jié)算為手段、以客戶數(shù)據(jù)為依托的全新商務(wù)模式。電子商務(wù)的參與者包括企業(yè)、消費(fèi)者和中介機(jī)構(gòu)等。1.1.2電子商務(wù)系統(tǒng)結(jié)構(gòu)三個(gè)層次分別是：網(wǎng)絡(luò)層信息發(fā)布與傳輸層電子商務(wù)服務(wù)與應(yīng)用層兩大支柱是指：社會(huì)人文性的公共政策和法律規(guī)范自然科技性的技術(shù)標(biāo)準(zhǔn)和網(wǎng)絡(luò)協(xié)議。1.1.2電子商務(wù)系統(tǒng)結(jié)構(gòu)（1）網(wǎng)絡(luò)層：網(wǎng)絡(luò)層指網(wǎng)絡(luò)基礎(chǔ)設(shè)施，是實(shí)現(xiàn)電子商務(wù)的最底層的基礎(chǔ)設(shè)施，它是信息的傳輸系統(tǒng)，也是實(shí)現(xiàn)電子商務(wù)的基本保證。（2）信息發(fā)布與傳輸層：網(wǎng)絡(luò)層決定了電子商務(wù)信息傳輸使用的線路，而信息發(fā)布與傳輸層則解決如何在網(wǎng)絡(luò)上傳輸信息和傳輸何種信息的問題。（3）電子商務(wù)服務(wù)和應(yīng)用層：電子商務(wù)服務(wù)層實(shí)現(xiàn)標(biāo)準(zhǔn)的網(wǎng)上商務(wù)活動(dòng)服務(wù)，如網(wǎng)上廣告、網(wǎng)上零售、商品目錄服務(wù)、電子支付、客戶服務(wù)、電子認(rèn)證（CA認(rèn)證）、商業(yè)信息安全傳送等。其真正的核心是CA認(rèn)證。（4）公共政策和法律規(guī)范：隨著電子商務(wù)的產(chǎn)生，由此引發(fā)的問題和糾紛不斷增加，原有的法律法規(guī)已經(jīng)不能適應(yīng)新的發(fā)展環(huán)境，制定新的法律法規(guī)并形成一個(gè)成熟、統(tǒng)一的法律體系，成為世界各國(guó)發(fā)展電子商務(wù)的必然趨勢(shì)。（5）技術(shù)標(biāo)準(zhǔn)和網(wǎng)絡(luò)協(xié)議：技術(shù)標(biāo)準(zhǔn)定義了用戶接口、傳輸協(xié)議、信息發(fā)布標(biāo)準(zhǔn)等技術(shù)細(xì)節(jié)。1.1.3我國(guó)電子商務(wù)的發(fā)展（1）工具階段（1995~2003年）這個(gè)階段，是互聯(lián)網(wǎng)進(jìn)入中國(guó)的探索期、啟蒙期。中國(guó)電子商務(wù)以企業(yè)間電子商務(wù)模式探索和發(fā)展為主。早期，應(yīng)用電子商務(wù)的企業(yè)和個(gè)人主要把電子商務(wù)作為優(yōu)化業(yè)務(wù)活動(dòng)或商業(yè)流程的工具，如信息發(fā)布、信息搜尋和郵件溝通等，其應(yīng)用僅局限于某個(gè)業(yè)務(wù)“點(diǎn)”。（2）渠道階段（2003~2008年）這個(gè)階段，電子商務(wù)應(yīng)用由企業(yè)向個(gè)人延伸。2003年，非典的肆虐令許多行業(yè)在春天里感受到寒冬的冷意，但卻讓電子商務(wù)時(shí)來運(yùn)轉(zhuǎn)。電子商務(wù)界經(jīng)歷了一系列的重大事件，如2003年5月，阿里巴巴集團(tuán)成立淘寶網(wǎng)，進(jìn)軍C2C市場(chǎng)。2003年12月，慧聰網(wǎng)香港創(chuàng)業(yè)板上市，成為國(guó)內(nèi)B2B電子商務(wù)首家上市公司。2004年1月京東涉足電子商務(wù)領(lǐng)域。2007年11月，阿里巴巴網(wǎng)絡(luò)有限公司成功在香港主板上市。1.1.3我國(guó)電子商務(wù)的發(fā)展（3）基礎(chǔ)設(shè)施階段（2008~2013年）電子商務(wù)引發(fā)的經(jīng)濟(jì)變革使信息這一核心生產(chǎn)要素日益廣泛運(yùn)用于經(jīng)濟(jì)活動(dòng)，加快了信息在商業(yè)、工業(yè)和農(nóng)業(yè)中的滲透速度，極大地改變了消費(fèi)行為、企業(yè)形態(tài)和社會(huì)創(chuàng)造價(jià)值的方式，有效地降低了社會(huì)交易成本，促進(jìn)了社會(huì)分工協(xié)作，引爆了社會(huì)創(chuàng)新，提高了社會(huì)資源的配置效率，深刻地影響著零售業(yè)、制造業(yè)和物流業(yè)等傳統(tǒng)行業(yè)，成為信息經(jīng)濟(jì)重要的基礎(chǔ)設(shè)施或新的商業(yè)基礎(chǔ)設(shè)施。越來越多的企業(yè)和個(gè)人基于和通過以電子商務(wù)平臺(tái)為核心的新商業(yè)基礎(chǔ)設(shè)施降低交易成本、共享商業(yè)資源、創(chuàng)新商業(yè)服務(wù)，也極大地促進(jìn)了電子商務(wù)的迅猛發(fā)展。（4）經(jīng)濟(jì)體階段（2013年以后）2013年中國(guó)超越美國(guó)，成為全球第一大網(wǎng)絡(luò)零售市場(chǎng)。2013年，我國(guó)電子商務(wù)交易規(guī)模突破10萬億元大關(guān)，網(wǎng)絡(luò)零售交易規(guī)模1.85萬億元，相當(dāng)于社會(huì)消費(fèi)品零售總額的7.8%。2014年2月，中國(guó)就業(yè)促進(jìn)會(huì)發(fā)布《網(wǎng)絡(luò)創(chuàng)業(yè)就業(yè)統(tǒng)計(jì)和社保研究項(xiàng)目報(bào)告》顯示，全國(guó)網(wǎng)店直接就業(yè)總計(jì)962萬人，間接就業(yè)超120萬，成為創(chuàng)業(yè)就業(yè)新的增長(zhǎng)點(diǎn)。2017年電子商務(wù)交易規(guī)模達(dá)到了9

750億美元，世界排名第一。中國(guó)電子商務(wù)市場(chǎng)存在的巨大經(jīng)濟(jì)潛力，使許多企業(yè)和就業(yè)者都躍躍欲試，目前中國(guó)電子商務(wù)市場(chǎng)已經(jīng)進(jìn)入平穩(wěn)發(fā)展階段，前景良好。1.1.3我國(guó)電子商務(wù)的發(fā)展圖1-32012—2018年中國(guó)電子商務(wù)市場(chǎng)交易規(guī)模1.2電子商務(wù)安全的概念與問題

1.2.1電子商務(wù)安全的概念

1.電子商務(wù)安全的定義電子商務(wù)的一個(gè)重要技術(shù)特征是利用IT技術(shù)來傳輸和處理商業(yè)信息，因此，電子商務(wù)安全從整體上可分為兩大部分：計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全。（1）計(jì)算機(jī)網(wǎng)絡(luò)安全：計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等。其特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題，實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案，以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全為目標(biāo)。（2）商務(wù)交易安全：則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時(shí)產(chǎn)生的各種安全問題，在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，保障以電子交易和電子支付為核心的電子商務(wù)的順利進(jìn)行。即實(shí)現(xiàn)電子商務(wù)保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等。2．電子商務(wù)安全需求（1）有效性EC以電子信息取代紙張，如何保證電子形式貿(mào)易信息的有效性則是開展EC的前提。（2）機(jī)密性EC作為貿(mào)易的一種手段，其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。（3）完整性由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。保持貿(mào)易各方信息的完整性是EC應(yīng)用的基礎(chǔ)。（4）可靠性可靠性是指防止計(jì)算機(jī)失效、程序錯(cuò)誤、傳輸錯(cuò)誤、自然災(zāi)害等引起的計(jì)算機(jī)信息失效或失誤。保證存儲(chǔ)在介質(zhì)上的信息的正確性。（5）不可否認(rèn)性在無紙化的電子商務(wù)模式下，通過手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此，要在交易信息的傳輸過程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。2.1.2電子商務(wù)安全問題1．網(wǎng)絡(luò)系統(tǒng)安全問題（1）物理實(shí)體的安全問題主要包括計(jì)算機(jī)、網(wǎng)絡(luò)、通訊設(shè)備等的機(jī)能失常、電源故障、由于電磁泄漏引起的信息失密、搭線竊聽、自然災(zāi)害等帶來的安全威脅（2）計(jì)算機(jī)軟件系統(tǒng)的安全漏洞不論采用什么操作系統(tǒng)，在默認(rèn)安裝的條件下都會(huì)存在一些安全問題，網(wǎng)絡(luò)軟件的漏洞和“后門”是進(jìn)行網(wǎng)絡(luò)攻擊的首選目標(biāo)。（3）TCP/IP協(xié)議的安全缺陷網(wǎng)絡(luò)服務(wù)一般都是通過各種各樣的協(xié)議完成的，因此網(wǎng)絡(luò)協(xié)議的安全性是網(wǎng)絡(luò)安全的一個(gè)重要方面。TCP/IP協(xié)議在安全方面可以說是“先天不足”。（4）黑客的惡意攻擊以網(wǎng)絡(luò)癱瘓為目標(biāo)的襲擊效果比任何傳統(tǒng)的恐怖主義和戰(zhàn)爭(zhēng)方式都來得更強(qiáng)烈，破壞性更大，造成危害的速度更快，范圍也更廣；而襲擊者本身的風(fēng)險(xiǎn)卻非常小。（5）計(jì)算機(jī)病毒的危害計(jì)算機(jī)病毒是網(wǎng)絡(luò)安全威脅的主要因素之一，目前全球出現(xiàn)的數(shù)萬種病毒按照基本類型劃分，可歸為引導(dǎo)型病毒、可執(zhí)行文件病毒、宏病毒、混合病毒、特洛伊木馬型病毒和Internet語言病毒6種類型。（6）安全產(chǎn)品使用不當(dāng)雖然不少網(wǎng)站采用了一些網(wǎng)絡(luò)安全設(shè)備，但由于安全產(chǎn)品本身的問題或使用問題，這些產(chǎn)品并沒有起到應(yīng)有的作用。2.1.2電子商務(wù)安全問題2．交易信息傳輸?shù)陌踩珕栴}（1）冒名偷竊：為了獲取重要的商業(yè)秘密、資源和信息，競(jìng)爭(zhēng)對(duì)手或者“黑客”常常采用源IP地址來進(jìn)行欺騙攻擊。（2）篡改數(shù)據(jù)：攻擊者利用非法手段掌握了信息的格式和規(guī)律后，通過各種手段方法，將網(wǎng)絡(luò)上傳輸?shù)男畔?shù)據(jù)進(jìn)行刪除、修改、重發(fā)等，破壞數(shù)據(jù)的完整性和真實(shí)性。（3）信息丟失：在交易中存在的信息丟失，是因?yàn)榫€路問題、安全措施不當(dāng)或因?yàn)樵诓煌牟僮髌脚_(tái)上轉(zhuǎn)換操作不當(dāng)導(dǎo)致的。（4）信息破壞：由于計(jì)算機(jī)技術(shù)發(fā)展迅速，原有的病毒防范技術(shù)、加密技術(shù)、防火墻技術(shù)等始終存在被新技術(shù)攻擊的可能性。（5）信息偽造：在網(wǎng)上交易過程中，信息傳輸問題可能來源于用戶以合法身份進(jìn)入系統(tǒng)后，買賣雙方都可能在網(wǎng)上發(fā)布虛假的供求信息。表1-1典型的信息傳輸安全威脅威脅描述竊聽網(wǎng)絡(luò)中傳輸?shù)拿舾行畔⒈桓`聽重傳攻擊者事先獲得部分或全部信息，以后將此信息發(fā)動(dòng)給接收者偽造攻擊者將偽造的信息發(fā)送給接收者篡改攻擊者對(duì)合法用戶之間的通訊信息進(jìn)行修改、刪除、插入，再發(fā)送非授權(quán)訪問非法獲取系統(tǒng)訪問權(quán)，進(jìn)入網(wǎng)絡(luò)系統(tǒng)讀取、刪除、修改、插入信息等拒絕服務(wù)攻擊攻擊者使系統(tǒng)響應(yīng)減慢或癱瘓，阻止合法用戶獲得服務(wù)行為否認(rèn)通訊實(shí)體否認(rèn)已經(jīng)發(fā)生的行為旁路控制攻擊者發(fā)掘系統(tǒng)的缺陷或安全脆弱性電磁射頻截獲攻擊者從發(fā)出的無線射頻或其他電磁輻射中提取信息人員疏忽授權(quán)的人為了利益或由于粗心將信息泄露給未授權(quán)的人2.1.2電子商務(wù)安全問題3．電子商務(wù)安全管理問題（1）交易流程管理問題：在網(wǎng)絡(luò)交易中介介入交易的過程中,客戶進(jìn)入交易中心，交易中心不但要監(jiān)督買方按時(shí)付款，也要監(jiān)督賣方按時(shí)提供合同所要求的貨物。（2）人員管理問題：在網(wǎng)上交易中，最薄弱的環(huán)節(jié)是人員管理。（3）交易技術(shù)管理問題：網(wǎng)上交易只經(jīng)歷了很短的時(shí)間，沒有比較完善的控制機(jī)制，使得網(wǎng)上交易技術(shù)管理的漏洞眾多，也因此帶來很大的交易問題。（4）安全法律法規(guī)問題開展電子商務(wù)需要在企業(yè)和企業(yè)之間、政府和企業(yè)之間、企業(yè)和消費(fèi)者之間、政府和政府之間明確各自需要遵守的法律義務(wù)和責(zé)任。2.1.2電子商務(wù)安全問題4.電子商務(wù)的信用安全問題（1）來自買方的信用問題：對(duì)于消費(fèi)者來說，可能在網(wǎng)絡(luò)上利用信用卡進(jìn)行支付時(shí)的惡意透支，或者使用偽造的信用卡來騙取買方的貨物。（2）來自賣方的信用問題：賣方不能按質(zhì)、按量、按時(shí)寄送消費(fèi)者購買的貨物，或者不能完全根據(jù)合同來履行合同內(nèi)容，造成對(duì)買方權(quán)益的損害。（3）買賣雙方都存在的抵賴問題：電子商務(wù)交易是直接通過網(wǎng)絡(luò)進(jìn)行的，導(dǎo)致信用得不到保證，買方存在不付款，賣方存在不發(fā)貨的抵賴行為。2.1.2電子商務(wù)安全問題5.電子商務(wù)安全支付問題（1）在通信線路上進(jìn)行竊聽，并濫用收集的數(shù)據(jù)（如信用卡號(hào)等）。（2）向經(jīng)過授權(quán)的支付系統(tǒng)參與方發(fā)送偽造的消息，以破壞系統(tǒng)的正常運(yùn)作來盜用交換的財(cái)產(chǎn)（如商品、現(xiàn)金等）。（3）不誠(chéng)實(shí)的支付系統(tǒng)參與方試圖獲取并濫用無權(quán)讀取或使用的支付交易數(shù)據(jù)。1.3電子商務(wù)安全對(duì)策

1.3.1電子商務(wù)安全技術(shù)1．網(wǎng)絡(luò)安全技術(shù)（1）防火墻技術(shù)防火墻是保護(hù)企業(yè)保密數(shù)據(jù)和保護(hù)網(wǎng)絡(luò)設(shè)施免遭破壞的主要手段之一，可用于防止未授權(quán)的用戶訪問企業(yè)內(nèi)部網(wǎng)，也可用于防止企業(yè)內(nèi)部的保密數(shù)據(jù)未經(jīng)授權(quán)而發(fā)出。（2）虛擬專用網(wǎng)VPN虛擬專用網(wǎng)VPN（VirtualPrivateNetworks）是企業(yè)內(nèi)部網(wǎng)在Internet上的延伸，通過一個(gè)專用的通道來創(chuàng)建一個(gè)安全的專用連接，從而可將遠(yuǎn)程用戶、企業(yè)分支機(jī)構(gòu)、公司的業(yè)務(wù)合作伙伴等與公司的內(nèi)部網(wǎng)連接起來，構(gòu)成一個(gè)擴(kuò)展的企業(yè)內(nèi)部網(wǎng)。（3）入侵檢測(cè)技術(shù)防火墻只能對(duì)黑客的攻擊實(shí)施被動(dòng)防御，一旦黑客攻入系統(tǒng)內(nèi)部，則沒有切實(shí)的防護(hù)策略，而入侵檢測(cè)系統(tǒng)則是針對(duì)這種情況而提出的又一道防線。（4）認(rèn)證技術(shù)通過檢驗(yàn)消息傳送過程中的某些參數(shù)的防止偽造、篡改、冒名頂替等攻擊的（5）防病毒技術(shù)計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。1.3.1電子商務(wù)安全技術(shù)2．信息與交易安全技術(shù)（1）信息加密技術(shù)信息加密技術(shù)作為主動(dòng)的信息安全防范措施，確保數(shù)據(jù)的保密性。（2）數(shù)字證書和認(rèn)證技術(shù)數(shù)字證書和認(rèn)證技術(shù)是網(wǎng)絡(luò)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)。（3）安全通信技術(shù)SSL（安全套接層協(xié)議）提供了兩臺(tái)計(jì)算機(jī)之間的安全連接。（4）安全電子交易技術(shù)SET（安全電子交易）是通過開放網(wǎng)絡(luò)進(jìn)行安全資金支付的技術(shù)標(biāo)準(zhǔn)。1.3.1電子商務(wù)安全技術(shù)3、安全管理技術(shù)“三分技術(shù)、七分管理”電子商務(wù)的迅猛發(fā)展，沖擊了國(guó)際貿(mào)易和市場(chǎng)營(yíng)銷的傳統(tǒng)觀念、管理體制和運(yùn)行模式，也對(duì)信息、貿(mào)易、管理等教育提出了新的課題。

先前頒布的電子商務(wù)法律規(guī)范包括：《合同法》、《電子簽名法》、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中國(guó)互聯(lián)網(wǎng)絡(luò)域名注冊(cè)實(shí)施細(xì)則》、《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》、《中國(guó)互聯(lián)網(wǎng)絡(luò)域名管理辦法》、《非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)備案管理辦法》、《互聯(lián)網(wǎng)IP地址畝案管理辦法》、《電子認(rèn)證服務(wù)管理辦法》、《公用電信間接通及質(zhì)量監(jiān)督管理辦法》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》、《中國(guó)公眾多媒體通信管理辦法》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《地震信息網(wǎng)絡(luò)運(yùn)行管理辦法》等。1.3.2電子商務(wù)安全體系1.3.2電子商務(wù)安全體系1．網(wǎng)絡(luò)基礎(chǔ)設(shè)施層互聯(lián)網(wǎng)是電子商務(wù)系統(tǒng)的基礎(chǔ)，網(wǎng)絡(luò)本身的安全是電子商務(wù)安全的基本保證。電子商務(wù)系統(tǒng)是依賴網(wǎng)絡(luò)實(shí)現(xiàn)的商務(wù)系統(tǒng)，需要利用Internet基礎(chǔ)設(shè)施和標(biāo)準(zhǔn)。2．加密技術(shù)層加密技術(shù)是電子商務(wù)采取的主要安全措施，其目的在于提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析。加密技術(shù)通常分為對(duì)稱加密和非對(duì)稱加密兩類。3．安全認(rèn)證層安全認(rèn)證層中的認(rèn)證技術(shù)是保證電子商務(wù)安全的必要手段，它對(duì)加密技術(shù)層中提供的多種加密算法進(jìn)行綜合運(yùn)用，進(jìn)一步滿足電子商務(wù)對(duì)完整性、抗否認(rèn)性、可靠性的要求。4．交易協(xié)議層除了各種安全控制技術(shù)之外，電子商務(wù)的運(yùn)行還需要一套完善的安全交易協(xié)議。不同交易協(xié)議的復(fù)雜性、開銷、安全性各不相同。同時(shí)，不同的應(yīng)用環(huán)境對(duì)協(xié)議目標(biāo)的要求也不盡相同。5．電子商務(wù)安全管理安全管理除了電商企業(yè)內(nèi)部管理外，還涉及政府和社會(huì)監(jiān)管。目前，國(guó)際上信息安全方面的協(xié)調(diào)機(jī)構(gòu)主要有計(jì)算機(jī)應(yīng)急響應(yīng)小組，信息安全問題小組論壇。6．電子商務(wù)法律法規(guī)我國(guó)互聯(lián)網(wǎng)起步較晚，而電商發(fā)展較快，相應(yīng)的法律法規(guī)還跟不上電商發(fā)展的步伐，支撐環(huán)境和保障體系相對(duì)缺乏。1.4跨境電子商務(wù)安全1.4.1跨境電子商務(wù)的發(fā)展跨境電子商務(wù)是指分屬不同關(guān)境的交易主體，通過電子商務(wù)平臺(tái)實(shí)現(xiàn)交易，進(jìn)行支付結(jié)算，并通過跨境物流送達(dá)商品、完成交易的一種國(guó)際活動(dòng)。在20世紀(jì)90年代末，國(guó)內(nèi)的電子商務(wù)有了一些比較大的發(fā)展，像阿里巴巴、卓越網(wǎng)等一些B2B平臺(tái)先后建立起來。2006年以后，許多擁有專業(yè)知識(shí)和技術(shù)的公司和知識(shí)分子，開始探索B2C模式和C2C模式，他們其中的一部分人利用國(guó)內(nèi)外風(fēng)險(xiǎn)投資商融資，利用這些資金和獨(dú)特的經(jīng)營(yíng)理念迅速把自己的跨境電子商務(wù)平臺(tái)順利做大做強(qiáng)。此后，跨境電子商務(wù)交易額也迅猛增長(zhǎng)。據(jù)不完全統(tǒng)計(jì)，2012年，我國(guó)跨境電子商務(wù)交易總額為2.08萬億元，2013年是跨境電子商務(wù)發(fā)展的真正元年，2014年跨境電子商務(wù)則迎來了規(guī)?；拯c(diǎn)。我國(guó)現(xiàn)在已經(jīng)有超過5000家的電子商務(wù)平臺(tái)企業(yè)。跨境電子商務(wù)已經(jīng)得到了政府相關(guān)部門的高度重視。物流企業(yè)的標(biāo)準(zhǔn)化信息流通，隨著行業(yè)的發(fā)展和監(jiān)管體系、法律法規(guī)的不斷完善，將會(huì)建立一套適應(yīng)跨境電子商務(wù)的新型海關(guān)監(jiān)管模式以及跨境電子商務(wù)的信用體系。1.4.2跨境電商的安全問題及對(duì)策1．交易信用與安全問題：我國(guó)跨境電子商務(wù)發(fā)展時(shí)間較短，加上電子商務(wù)本身的虛擬特性，使一些不良商家在交易過程中鉆空子，以謀取高額收益。對(duì)此，我國(guó)應(yīng)借鑒國(guó)外成功案例，出臺(tái)綜合性電子商務(wù)法律與政策，制定出符合我國(guó)國(guó)情的信用監(jiān)管評(píng)價(jià)體系，把跨境違規(guī)行為提高到法律層面。２.跨境交易運(yùn)輸問題物流是電子商務(wù)“四流”中唯一的線下環(huán)節(jié)，其安全性、迅捷性與時(shí)效性一直是影響電子商務(wù)快速發(fā)展的關(guān)鍵因素。隨著跨境物流倉儲(chǔ)體系的建立，運(yùn)輸成本將大大降低，商品配送將更加快捷。３.跨境電子支付安全問題電子支付安全是新商業(yè)模式發(fā)展的根本，跨境電子商務(wù)亦是如此，這主要體現(xiàn)在跨境電子商務(wù)網(wǎng)站安全、第三方支付平臺(tái)安全和銀行支付系統(tǒng)安全三個(gè)方面。我國(guó)政府應(yīng)該在保障第三方支付平臺(tái)、銀行支付系統(tǒng)安全的前提下，鼓勵(lì)銀行機(jī)構(gòu)和支付機(jī)構(gòu)為跨境電子商務(wù)提供支付服務(wù)。４.通關(guān)與退稅問題我國(guó)跨境電子商務(wù)的貨物具有體積小、來源廣、頻率高、速度快等特點(diǎn)，一旦通關(guān)不暢，必然會(huì)造成物品的積壓。提高跨境電子商務(wù)通關(guān)的時(shí)效性，同時(shí)實(shí)施跨境電子商務(wù)進(jìn)出口的稅收新政策，可以解決跨境電子商務(wù)無法辦理出口退稅的問題。本章小結(jié)近年來，網(wǎng)絡(luò)技術(shù)和電子商務(wù)迅猛發(fā)展，人們?cè)诰W(wǎng)絡(luò)上進(jìn)行從日常生活用品、書籍、到計(jì)算機(jī)、房產(chǎn)交易以及股票炒作、資金運(yùn)作、旅游等活動(dòng)劇增。網(wǎng)絡(luò)安全問題成為人們一直關(guān)注的話題。電子商務(wù)安全不僅僅是一個(gè)技術(shù)問題，更是一個(gè)不容忽視、涉及范圍極廣的社會(huì)問題，這些問題將長(zhǎng)期存在，并時(shí)刻干擾電子商務(wù)的正常健康運(yùn)行，保障電子商務(wù)安全必須從技術(shù)、管理、法律法規(guī)、社會(huì)信用等多個(gè)角度努力，需要消費(fèi)者、商家、政府及全社會(huì)的參與，共同營(yíng)造電子商務(wù)的安全環(huán)境，為開創(chuàng)電子商務(wù)的未來獻(xiàn)計(jì)獻(xiàn)策。第二章網(wǎng)絡(luò)攻擊與交易欺詐2.1網(wǎng)絡(luò)攻擊的概念2.2網(wǎng)絡(luò)攻擊技術(shù)2.3網(wǎng)購欺詐與防范2.1網(wǎng)絡(luò)攻擊概述2.1.1網(wǎng)絡(luò)攻擊的概念網(wǎng)絡(luò)攻擊（CyberAttacks，也稱賽博攻擊）是指針對(duì)計(jì)算機(jī)信息系統(tǒng)、基礎(chǔ)設(shè)施、計(jì)算機(jī)網(wǎng)絡(luò)或個(gè)人計(jì)算機(jī)設(shè)備的，任何類型的進(jìn)攻動(dòng)作。“黑客”一詞是由英文單詞“Hacker”音譯過來的。最初起源于20世紀(jì)50年代，是指那些精力充沛、熱衷于解決計(jì)算機(jī)難題的程序員。通常所說的“黑客”指的是駭客（Cracker，破壞者），是那些懷有不良企圖，強(qiáng)行闖入他人系統(tǒng)或以某種惡意目的干擾他人的網(wǎng)絡(luò)，運(yùn)用自己的知識(shí)去做出有損他人權(quán)益的事情的人，也稱入侵者。最早的計(jì)算機(jī)于1946年在賓夕法尼亞大學(xué)誕生，而最早的黑客出現(xiàn)于麻省理工學(xué)院，貝爾實(shí)驗(yàn)室也有。他們一般都是一些高級(jí)的技術(shù)人員，熱衷于挑戰(zhàn)、崇尚自由并主張信息的共享?；ヂ?lián)網(wǎng)中的木馬黑色產(chǎn)業(yè)鏈案例2.1.2網(wǎng)絡(luò)攻擊的類型1.按照攻擊目的分類（1）主動(dòng)攻擊

主動(dòng)攻擊會(huì)導(dǎo)致某些數(shù)據(jù)流的篡改和虛假數(shù)據(jù)流的產(chǎn)生。這類攻擊可分為篡改、偽造消息數(shù)據(jù)和拒絕服務(wù)。（2）被動(dòng)攻擊

被動(dòng)攻擊中攻擊者不對(duì)數(shù)據(jù)信息做任何修改，通過截取和竊聽，在未經(jīng)用戶同意和認(rèn)可的情況下攻擊者獲得了信息或相關(guān)數(shù)據(jù)。通常包括竊聽、流量分析、破解弱加密的數(shù)據(jù)流等攻擊方式。2.1.2網(wǎng)絡(luò)攻擊的類型2.按照入侵者的攻擊手段分類（1）拒絕服務(wù)攻擊：是最容易實(shí)施的攻擊行為，它企圖通過使目標(biāo)計(jì)算機(jī)崩潰或把它壓跨來阻止其提供服務(wù)。（2）利用型攻擊：是一類試圖直接對(duì)主機(jī)進(jìn)行控制的攻擊。主要包括：口令猜測(cè)，特洛伊木馬，緩沖區(qū)溢出等。（3）信息收集型攻擊：這類攻擊并不對(duì)目標(biāo)本身造成危害，而是被用來為進(jìn)一步入侵提供有用的信息。（4）假消息攻擊：用于攻擊目標(biāo)配置不正確的消息，主要包括：DNS高速緩存污染、偽造電子郵件等。（5）病毒攻擊：是指使目標(biāo)主機(jī)感染病毒從而造成系統(tǒng)損壞、數(shù)據(jù)丟失、拒絕服務(wù)、信息泄密、性能下降等現(xiàn)象的攻擊。（6）社會(huì)工程學(xué)攻擊：社會(huì)工程學(xué)攻擊是指利用人性的弱點(diǎn)、社會(huì)心理學(xué)等知識(shí)來獲得目標(biāo)系統(tǒng)敏感信息的行為。圖2-1常見的網(wǎng)絡(luò)攻擊方法2.1.3網(wǎng)絡(luò)攻擊的步驟（1）攻擊的準(zhǔn)備階段（2）攻擊的實(shí)施階段（3）攻擊的善后階段圖2-3網(wǎng)絡(luò)攻擊基本流程2.2網(wǎng)絡(luò)攻擊技術(shù)2.2.1．網(wǎng)絡(luò)掃描安全漏洞是指計(jì)算機(jī)系統(tǒng)具有的某種可能被入侵者惡意利用的屬性，在計(jì)算機(jī)安全領(lǐng)域，安全漏洞通常又稱作脆弱性。簡(jiǎn)單地說，計(jì)算機(jī)漏洞是系統(tǒng)的一組特性，惡意的主體能夠利用這組特性，通過已授權(quán)的手段和方式獲取對(duì)資源的未授權(quán)訪問，或者對(duì)系統(tǒng)造成損害。現(xiàn)在Internet上仍然在使用的TCP/IP在最初設(shè)計(jì)時(shí)并沒有考慮安全方面的需求。從技術(shù)角度來看，漏洞的來源主要有：軟件或協(xié)議設(shè)計(jì)時(shí)的瑕疵、軟件或協(xié)議實(shí)現(xiàn)中的弱點(diǎn)、軟件本身的瑕疵、系統(tǒng)和網(wǎng)絡(luò)的錯(cuò)誤配置等。2.2.1網(wǎng)絡(luò)掃描2.網(wǎng)絡(luò)掃描的概念網(wǎng)絡(luò)掃描就是對(duì)計(jì)算機(jī)系統(tǒng)或者其他網(wǎng)絡(luò)設(shè)備進(jìn)行與安全相關(guān)的檢測(cè)，以找出目標(biāo)系統(tǒng)所放開放的端口信息、服務(wù)類型以及安全隱患和可能被黑客利用的漏洞。網(wǎng)絡(luò)掃描的基本原理是通過網(wǎng)絡(luò)向目標(biāo)系統(tǒng)發(fā)送一些特征信息，然后根據(jù)反饋情況，獲得有關(guān)信息。網(wǎng)絡(luò)掃描通常采用兩種策略：第一種是被動(dòng)式策略第二種是主動(dòng)式策略防范掃描可行的方法是：（1）關(guān)閉掉所有閑置的和有潛在威脅的端口。（2）通過防火墻或其它安全系統(tǒng)檢查各端口。（3）利用“陷阱”技術(shù)在一些端口引誘黑客掃描。2.2.1網(wǎng)絡(luò)掃描3.常用的網(wǎng)絡(luò)掃描工具（1）Nmap：掃描器之王Nmap（NetworkMapper，網(wǎng)絡(luò)映射器）是一款開放源代碼的網(wǎng)絡(luò)探測(cè)和安全審核的工具。它可以在大多數(shù)版本的Unix系統(tǒng)中運(yùn)行，并且已經(jīng)被移植到了Windows系統(tǒng)中。它主要在命令行方式下使用，可以快速地掃描大型網(wǎng)絡(luò)，也可以掃描單個(gè)主機(jī)。（2）Nessus：分布式的掃描器Nessus是一種用來自動(dòng)檢測(cè)和發(fā)現(xiàn)已知安全問題的強(qiáng)大掃描工具，運(yùn)行于Solaris、Linux等系統(tǒng)，源代碼開放并且可自由地修改后再發(fā)布，可擴(kuò)展性強(qiáng)，當(dāng)一個(gè)新的漏洞被公布后很快就可以獲取其新的插件對(duì)網(wǎng)絡(luò)進(jìn)行安全性檢查。（3）X-Scan：國(guó)內(nèi)最好的掃描器X-Scan是國(guó)內(nèi)最著名的綜合掃描器之一，完全免費(fèi)，是不需要安裝的綠色軟件，其界面支持中文和英文兩種語言，使用方式有圖形界面和命令行方式兩種，支持windows操作系統(tǒng)。2.2.2網(wǎng)絡(luò)監(jiān)聽1．網(wǎng)絡(luò)監(jiān)聽的概念

網(wǎng)絡(luò)監(jiān)聽也被稱作網(wǎng)絡(luò)嗅探（Sniffer）。它工作在網(wǎng)絡(luò)的底層，能夠把網(wǎng)絡(luò)傳輸?shù)娜繑?shù)據(jù)記錄下來，黑客一般都是利用該技術(shù)來截取用戶口令的。網(wǎng)絡(luò)監(jiān)聽具有以下特點(diǎn)：（1）隱蔽性強(qiáng)：進(jìn)行網(wǎng)絡(luò)監(jiān)聽的主機(jī)只是被動(dòng)地接收在網(wǎng)絡(luò)中傳輸?shù)男畔?，沒有任何主動(dòng)的行為。（2）手段靈活：網(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)絡(luò)中的任何位置實(shí)施，可以是網(wǎng)絡(luò)中的一臺(tái)主機(jī)、路由器，也可以是調(diào)制解調(diào)器。2.2.2網(wǎng)絡(luò)監(jiān)聽2．監(jiān)聽的原理正常情況下，網(wǎng)卡只接收發(fā)給自己的信息，但是如果將網(wǎng)卡模式設(shè)置為混雜模式，讓所有經(jīng)過的數(shù)據(jù)包都傳遞給系統(tǒng)核心；然后被Sniffer等程序利用。所謂混雜接收模式是指網(wǎng)卡可以接收網(wǎng)絡(luò)中傳輸?shù)乃袌?bào)文，無論其目的MAC地址是否為該網(wǎng)卡的MAC地址。要使機(jī)器成為一個(gè)Sniffer，需要一個(gè)特殊的軟件（以太網(wǎng)卡的廣播驅(qū)動(dòng)程序）或者需要一種能使網(wǎng)絡(luò)處于混雜模式的網(wǎng)絡(luò)軟件。2.2.2網(wǎng)絡(luò)監(jiān)聽3．監(jiān)聽的防范可以通過檢測(cè)混雜模式網(wǎng)卡的工具來發(fā)現(xiàn)網(wǎng)絡(luò)嗅探。還可以通過網(wǎng)絡(luò)帶寬出現(xiàn)反常來檢測(cè)嗅探。最好的辦法就是使網(wǎng)絡(luò)嗅探不能達(dá)到預(yù)期的效果，使嗅探價(jià)值降低。4．常見的網(wǎng)絡(luò)監(jiān)聽工具SnifferPro、Ethereal、Sniffit、Dsniff、Libpcap/Winpcap、Tcpdump/Windump。2.2.3

Web欺騙1．Web欺騙的概念Web欺騙是指攻擊者建立一個(gè)使人信以為真的假冒Web站點(diǎn)，這個(gè)Web站點(diǎn)“拷貝”就像真的一樣，它具有原頁面幾乎所有頁面元素。然而攻擊者控制了這個(gè)Web站點(diǎn)的“拷貝”，被攻擊對(duì)象和真的Web站點(diǎn)之間的所有信息流動(dòng)都被攻擊者所控制了。2.Web攻擊的原理Web欺騙攻擊的原理是打斷從被攻擊者主機(jī)到目標(biāo)服務(wù)器之間的正常連接，并建立一條從被攻擊主機(jī)到攻擊主機(jī)再到目標(biāo)服務(wù)器的連接。圖2-4假冒銀行服務(wù)器的Web攻擊示意圖2.2.3

Web欺騙3.Web欺騙的防范（1）IP地址、子網(wǎng)、域的限制：它可以保護(hù)單個(gè)的文檔，也可以保護(hù)整個(gè)的目錄。（2）用戶名和密碼：為獲取對(duì)文檔或目錄的訪問，需輸入用戶名和密碼。（3）加密：這是通過加密技術(shù)實(shí)現(xiàn)的，所有傳送的內(nèi)容都是加密的，除了接收者之外無人可以讀懂。（4）上網(wǎng)瀏覽時(shí)，最好關(guān)掉瀏覽器的JavaScript，只有當(dāng)訪問熟悉的網(wǎng)站時(shí)才打開它。（5）不從自己不熟悉的網(wǎng)站上鏈接到其他網(wǎng)站，特別是鏈接那些需要輸入個(gè)人賬戶名和密碼的有關(guān)電子商務(wù)的網(wǎng)站。（6）要養(yǎng)成從地址欄中直接輸入網(wǎng)址來實(shí)現(xiàn)瀏覽網(wǎng)站的好習(xí)慣。2.2.4

IP地址欺騙1．IP地址盜用所謂IP地址欺騙，就是偽造某臺(tái)主機(jī)的IP地址的技術(shù)。其實(shí)質(zhì)就是讓一臺(tái)機(jī)器來扮演另一臺(tái)機(jī)器，以達(dá)到蒙混過關(guān)的目的。被偽造的主機(jī)往往具有某種特權(quán)或者被另外的主機(jī)所信任。

2.IP欺騙的原理IP欺騙是利用主機(jī)之間的正常的信任關(guān)系來發(fā)動(dòng)的，這種信任是有別于用戶間的信任和應(yīng)用層的信任的。黑客可以通過命令方式或掃描技術(shù)、監(jiān)聽技術(shù)來確定主機(jī)之間的信任關(guān)系。3.IP欺騙的防范（1）放棄基于地址的信任策略（2）對(duì)數(shù)據(jù)包進(jìn)行限制（3）應(yīng)用加密技術(shù)2.2.5緩沖區(qū)溢出1．緩沖區(qū)溢出的概念緩沖區(qū)溢出攻擊是一種系統(tǒng)攻擊的手段，通過往緩沖區(qū)寫超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。2.緩沖區(qū)溢出的原理如下C語言代碼段：

voidfunction（char*str）{

charbuffer[16]；

strcpy（buffer，str）；

}該程序的功能是通過strcpy函數(shù)把str中的字符串拷貝到數(shù)組buffer[16]中去，如果str的長(zhǎng)度超過16就會(huì)造成數(shù)組buffer的溢出，使程序出錯(cuò)。2.2.5緩沖區(qū)溢出3．緩沖區(qū)溢出的防范（1）編寫正確的代碼在程序開發(fā)時(shí)就要考慮可能的安全問題，杜絕緩沖區(qū)溢出的可能性。（2）非執(zhí)行的緩沖區(qū)是指通過使被攻擊程序的數(shù)據(jù)段地址空間不可執(zhí)行，從而使得攻擊者不可能執(zhí)行被攻擊程序輸入緩沖區(qū)的代碼。（3）指針完整性檢查堆棧保護(hù)是一種提供程序指針完整性檢查的編譯器技術(shù)，通過檢查函數(shù)活動(dòng)記錄中的返回地址來實(shí)現(xiàn)。（4）用好安全補(bǔ)丁實(shí)際上，讓普通用戶解決所有的安全問題是不現(xiàn)實(shí)的，用補(bǔ)丁修補(bǔ)缺陷則是一個(gè)不錯(cuò)的，也是可行的解決方法。2.2.6拒絕服務(wù)攻擊拒絕服務(wù)攻擊（Dos）是一種簡(jiǎn)單有效的攻擊方式，其目的是使服務(wù)器拒絕正常的訪問，破壞系統(tǒng)的正常運(yùn)行，最終使部分網(wǎng)絡(luò)連接失敗，甚至網(wǎng)絡(luò)系統(tǒng)失效。圖2-5正常情況下的連接交互

圖2-6拒絕服務(wù)攻擊(DoS)(控制)2.2.6拒絕服務(wù)攻擊形形色色的DOS攻擊：（1）死亡之ping：將一個(gè)包分成的多個(gè)片段的疊加卻能做到發(fā)送超長(zhǎng)包。當(dāng)一個(gè)主機(jī)收到了長(zhǎng)度大于65536字節(jié)的包時(shí)，就是受到了PingofDeath攻擊，該攻擊會(huì)造成主機(jī)的死機(jī)。（2）SYNFlood：以多個(gè)隨機(jī)的源主機(jī)地址向目的主機(jī)發(fā)送SYN包，而在收到目的主機(jī)的SYNACK后并不回應(yīng)，導(dǎo)致目標(biāo)主機(jī)復(fù)旦過重而死機(jī)。（3）Land攻擊：攻擊者將一個(gè)包的源地址和目的地址都設(shè)置為目標(biāo)主機(jī)的地址，然后將該包通過IP欺騙的方式發(fā)送給被攻擊主機(jī)。（4）淚珠（Teardrop）攻擊：IP數(shù)據(jù)包在網(wǎng)絡(luò)傳遞時(shí)，數(shù)據(jù)包可以分成更小的片段，為了合并這些數(shù)據(jù)段，TCP/IP堆棧會(huì)分配超乎尋常的巨大資源。3.分布式拒絕服務(wù)攻擊

2.2.6拒絕服務(wù)攻擊4.拒絕服務(wù)攻擊的防范（1）與ISP合作：與ISP配合對(duì)路由訪問進(jìn)行控制、對(duì)網(wǎng)絡(luò)流量的監(jiān)視，以實(shí)現(xiàn)對(duì)帶寬總量的限制以及不同的訪問地址在同一時(shí)間對(duì)帶寬的占有率。（2）漏洞檢查：定期使用漏洞掃描軟件對(duì)內(nèi)部網(wǎng)絡(luò)現(xiàn)有的、潛在的漏洞進(jìn)行檢查，以提高系統(tǒng)安全的性能。（3）服務(wù)器優(yōu)化：確保服務(wù)器的安全，使攻擊者無法獲得更多內(nèi)部主機(jī)的信息，從而無法發(fā)動(dòng)有效的攻擊。（4）應(yīng)急響應(yīng)：建立應(yīng)急機(jī)構(gòu)和制度，制定緊急應(yīng)對(duì)策略，以便拒絕服務(wù)攻擊發(fā)生時(shí)能夠迅速恢復(fù)系統(tǒng)和服務(wù)。同時(shí)還要注意對(duì)員工進(jìn)行相關(guān)的培訓(xùn)，使其掌握必要的應(yīng)對(duì)措施和方法。2.2.7特洛伊木馬特洛伊木馬（Trojanhorse）其名稱取自希臘神話的特洛伊木馬，它是一種基于遠(yuǎn)程控制的黑客工具。特洛伊木馬不經(jīng)電腦用戶準(zhǔn)許就可獲得電腦的使用權(quán)。程序容量十分輕小，運(yùn)行時(shí)不會(huì)浪費(fèi)太多資源，因此沒有使用殺毒軟件是難以發(fā)覺的。木馬的特征：隱蔽性、潛伏性、危害性、非授權(quán)性。圖2-8灰鴿子木馬產(chǎn)業(yè)鏈?zhǔn)疽鈭D圖2-9木馬的工作原理一般木馬的偽裝方式（1）修改圖標(biāo)：當(dāng)你在E-MAIL的附件中看到如HTML、TXT、ZIP等文件的圖標(biāo)時(shí)，不要輕信這是一般的文本文件，有可能就是修改后的木馬文件。（2）捆綁文件：這種偽裝手段是將木馬捆綁到一個(gè)安裝程序上，當(dāng)安裝程序運(yùn)行時(shí)，木馬在用戶毫無察覺的情況下，偷偷的進(jìn)入了系統(tǒng)。（3）出錯(cuò)顯示：有一定木馬知識(shí)的人都知道，如果打開一個(gè)文件，沒有任何反應(yīng)，這很可能就是個(gè)木馬程序。（4）定制端口：很多新式的木馬都加入了定制端口的功能，這樣就給判斷所感染木馬類型帶來了麻煩。（5）自我銷毀：是指安裝完木馬后，原木馬文件將自動(dòng)銷毀，這樣服務(wù)端用戶就很難找到木馬的來源。（6）木馬更名：很多木馬都允許控制端用戶自由定制安裝后的木馬文件名，這樣很難判斷所感染的木馬類型了。3.木馬的分類（1）網(wǎng)絡(luò)游戲木馬網(wǎng)絡(luò)游戲木馬通常采用記錄用戶鍵盤輸入、Hook游戲進(jìn)程API函數(shù)等方法獲取用戶的密碼和帳號(hào)。（2）網(wǎng)銀木馬網(wǎng)銀木馬是針對(duì)