電子商務(wù)安全

第3篇支持服務(wù)篇第7章電子商務(wù)安全管理第8章電子商務(wù)支付系統(tǒng)第9章電子商務(wù)物流管理第10章網(wǎng)絡(luò)營銷工欲善其事，必先利其器?！墩撜Z》2024/4/6第7章電子商務(wù)安全電子商務(wù)安全威脅與安全要求

電子商務(wù)安全技術(shù)體系

電子商務(wù)安全管理體系2024/4/6引例：2017年中國網(wǎng)絡(luò)安全十大事件1.電子商務(wù)安全威脅表現(xiàn)在哪些方面？分享你曾經(jīng)遭遇過或聽說過的電子商務(wù)安全事件？2.電子商務(wù)安全威脅會給我們帶來什么后果？3.我們應(yīng)該如何防范和控制電子商務(wù)安全事件？2024/4/6案例啟示隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)威脅呈現(xiàn)多元化，除了傳統(tǒng)的網(wǎng)絡(luò)釣魚、病毒木馬和系統(tǒng)漏洞外，針對移動互聯(lián)網(wǎng)和物聯(lián)網(wǎng)的服務(wù)器及智能設(shè)備等的惡意程序攻擊、分布式拒絕服務(wù)攻擊、智能硬件蠕蟲等也頻繁出現(xiàn)。習(xí)主席曾說過，“沒有網(wǎng)絡(luò)安全，就沒有國家安全”，在頻發(fā)的安全事件催化下，網(wǎng)絡(luò)安全已經(jīng)上升至國家戰(zhàn)略高度。移動互聯(lián)網(wǎng)和物聯(lián)網(wǎng)的普及，云計算、大數(shù)據(jù)的快速發(fā)展，都給網(wǎng)絡(luò)安全提出了更多新的挑戰(zhàn)。隨著企業(yè)和個人信息安全意識加強(qiáng)，加上政策逐步落地，我國的網(wǎng)絡(luò)安全環(huán)境將日趨完善。

2024/4/67.1電子商務(wù)安全威脅與安全要求電子商務(wù)的安全性要求電子商務(wù)安全威脅2024/4/6電子商務(wù)安全威脅惡意程序安全漏洞拒絕服務(wù)攻擊網(wǎng)站安全工業(yè)互聯(lián)網(wǎng)安全互聯(lián)網(wǎng)金融安全假冒偽劣虛假廣告取消訂單虛假交易侵犯隱私退換貨難2024/4/6電子商務(wù)安全威脅計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全威脅硬件安全威脅軟件漏洞威脅計算機(jī)病毒威脅網(wǎng)絡(luò)黑客攻擊威脅安全管理不完善威脅商務(wù)交易安全威脅信用威脅法律保障威脅信息安全威脅2024/4/6電子商務(wù)的安全性要求電子商務(wù)安全性要求信息保密性信息完整性身份驗證性不可抵賴性系統(tǒng)有效性訪問控制性2024/4/67.2電子商務(wù)安全技術(shù)體系加密控制技術(shù)身份認(rèn)證技術(shù)網(wǎng)絡(luò)服務(wù)安全技術(shù)電子商務(wù)安全協(xié)議2024/4/6網(wǎng)絡(luò)服務(wù)安全技術(shù)—防火墻

防火墻是一個由軟件和硬件設(shè)備組合而成的，在可信網(wǎng)絡(luò)和非可信網(wǎng)絡(luò)之間（如內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)和公共網(wǎng)之間）的界面上建立的保護(hù)屏障。數(shù)據(jù)包過濾型防火墻應(yīng)用級網(wǎng)關(guān)型防火墻代理服務(wù)型防火墻2024/4/6網(wǎng)絡(luò)服務(wù)安全技術(shù)—數(shù)據(jù)包過濾型防火墻數(shù)據(jù)包過濾型防火墻是在網(wǎng)絡(luò)層對IP數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，被稱為訪問控制表ACL。端口號目的地址D源地址SIP地址端口號23telnet21ftp-data80http53dns443httpsD1D2S1S2D3

防火墻設(shè)置規(guī)則服務(wù)類型包頭部信息外網(wǎng)2024/4/6網(wǎng)絡(luò)服務(wù)安全技術(shù)—應(yīng)用級網(wǎng)關(guān)型防火墻應(yīng)用級網(wǎng)關(guān)型防火墻是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能，針對網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時，對數(shù)據(jù)包進(jìn)行必要分析、登記和統(tǒng)計，形成報告。2024/4/6網(wǎng)絡(luò)服務(wù)安全技術(shù)—代理服務(wù)型防火墻代理服務(wù)型防火墻是用來提供應(yīng)用層服務(wù)的控制，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段，將防火墻內(nèi)外計算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個中止于代理服務(wù)器上的“鏈接”來實(shí)現(xiàn)。代理服務(wù)器代理客戶應(yīng)用協(xié)議分析請求轉(zhuǎn)發(fā)響應(yīng)轉(zhuǎn)發(fā)請求響應(yīng)真實(shí)服務(wù)器真實(shí)客戶端防火墻2024/4/6網(wǎng)絡(luò)服務(wù)安全技術(shù)—防火墻的功能與不足內(nèi)外部網(wǎng)絡(luò)之間的安全屏障強(qiáng)化網(wǎng)絡(luò)安全策略對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計防止內(nèi)部信息外泄可以阻斷攻擊，但不能消滅攻擊源不能抵抗最新的未設(shè)置策略的攻擊漏洞并發(fā)連接數(shù)限制容易導(dǎo)致?lián)砣蛘咭绯鰧Ψ?wù)器合法開放的端口供給大多無法阻止對內(nèi)部主動發(fā)起連接的攻擊無法阻止不能防止病毒功能不足2024/4/6網(wǎng)絡(luò)服務(wù)安全技術(shù)—入侵檢測技術(shù)入侵檢測技術(shù)是通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象，從而提升系統(tǒng)管理員的安全管理能力。實(shí)時入侵檢測事后入侵檢測內(nèi)部攻擊誤操作外部攻擊2024/4/6網(wǎng)絡(luò)服務(wù)安全技術(shù)—計算機(jī)病毒計算機(jī)病毒是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用，并能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼。寄生性潛伏性觸發(fā)性破壞性傳染性2024/4/6網(wǎng)絡(luò)服務(wù)安全技術(shù)—病毒防治技術(shù)通過移動存儲設(shè)備傳播通過光盤傳播通過網(wǎng)絡(luò)傳播傳播途徑防治措施在系統(tǒng)開機(jī)設(shè)置中將“VirusWarning”設(shè)為“Enable”，

以防病毒感染硬盤引導(dǎo)區(qū)；

及時升級系統(tǒng)軟件，以防病毒利用軟件漏洞進(jìn)行傳播；

安裝流行正版防毒軟件對病毒實(shí)施檢測；

及時更新防病毒軟件及病毒特征庫，以防新病毒侵入；

將易被感染病毒的文件樹型設(shè)置為只讀屬性，斷絕病毒入侵渠道；

學(xué)會計算機(jī)中毒的判斷及中毒后的緊急處理。1234562024/4/6加密控制技術(shù)加密算法E解密算法D發(fā)送端接收端明文M密文C明文M密文C因特網(wǎng)信息截取者加密密鑰Ke解密密鑰Kd密鑰傳遞相同？對稱加密體制非對稱加密體制是否信息加密技術(shù)是用基于數(shù)學(xué)方法的程序和保密的密鑰對原始信息進(jìn)行重新編碼，把原始數(shù)據(jù)變成一堆雜亂無章難以理解的字符串從而隱藏信息的內(nèi)容，也就是把明文變?yōu)槊芪牡倪^程。2024/4/6加密控制技術(shù)—對稱加密技術(shù)對稱加密技術(shù)又稱私有密鑰加密，是使用同一把密鑰對信息進(jìn)行加密或解密的技術(shù)，一般將這把密鑰稱為會話密鑰。典型代表有DES。算法簡單、加解密速度快、效率高

適用于專用網(wǎng)絡(luò)通信優(yōu)會話密鑰安全分發(fā)過程比較復(fù)雜和困難

密鑰管理難度較大用戶身份難以認(rèn)定劣2024/4/6加密控制技術(shù)—非對稱加密技術(shù)非對稱加密技術(shù)也稱公開密鑰加密，是分別使用公開密鑰（加密密鑰）和私有密鑰（解密密鑰）完成信息加密和解密的加密技術(shù)。典型代表有RSA。加強(qiáng)數(shù)據(jù)安全性

密鑰少便于管理

公開密鑰分發(fā)簡單

可實(shí)現(xiàn)數(shù)字簽名優(yōu)算法復(fù)雜、加解密耗時、速度慢劣2024/4/6加密控制技術(shù)—兩種加密技術(shù)相結(jié)合明文明文數(shù)字信封密文會話密鑰會話密鑰會話密鑰對稱加密乙方公鑰乙方私鑰非對稱加密非對稱解密甲方乙方對稱解密充分利用非對稱加密算法對密鑰管理的方便性和安全性充分發(fā)揮對稱加密算法的高速簡便性2024/4/6身份認(rèn)證技術(shù)身份認(rèn)證技術(shù)是防止信息被篡改、刪除和偽造的一種有效方法，它能夠使發(fā)送的信息具有被驗證的能力，使接受者能夠識別和確認(rèn)信息的真?zhèn)巍?shù)字簽名數(shù)字時間戳數(shù)字證書數(shù)字摘要2024/4/6身份認(rèn)證技術(shù)—數(shù)字摘要數(shù)字摘要是指發(fā)送方通過使用單向散列函數(shù)對某個被傳輸信息報文進(jìn)行加密處理，形成具有密文性質(zhì)的摘要值，也稱為“數(shù)字指紋”。

具有固定長度

不同明文的摘要必定不同

同樣的明文摘要必定一致1232024/4/6身份認(rèn)證技術(shù)—數(shù)字簽名數(shù)字簽名也稱電子簽名，是指利用加密技術(shù)在要發(fā)送信息中附加一個特殊的唯一代表發(fā)送方身份的標(biāo)記，用來證明信息是由發(fā)送方發(fā)出的。數(shù)字簽名與簽名者的私有密鑰與報文內(nèi)容有關(guān)2024/4/6身份認(rèn)證技術(shù)—數(shù)字時間戳數(shù)字時間戳需要加蓋時間戳的文件摘要DTS收到文件摘要的日期和時間DTS的數(shù)字簽名數(shù)字時間戳是專用于提供電子文件發(fā)送時間的安全保護(hù)，由認(rèn)證單位DTS以收到文件摘要的時間為依據(jù)進(jìn)行加注。2024/4/6身份認(rèn)證技術(shù)—數(shù)字證書數(shù)字證書是一個經(jīng)證書認(rèn)證機(jī)構(gòu)加注數(shù)字簽名的包含用戶身份和公開密鑰信息的電子文件。證書的版本信息證書序列號證書所使用的簽名算法證書的發(fā)行機(jī)構(gòu)名稱證書的有效期限證書主題名稱證書所有人的公鑰信息證書發(fā)行者對證書的簽名X.509標(biāo)準(zhǔn)數(shù)字證書2024/4/6身份認(rèn)證技術(shù)—數(shù)字證書個人證書企業(yè)（服務(wù)器）證書開發(fā)者（軟件）證書數(shù)字證書類型數(shù)字證書未過期密鑰沒有修改用戶有權(quán)使用該密鑰證書不在無效證書清單中有效數(shù)字證書2024/4/6身份認(rèn)證技術(shù)—認(rèn)證中心認(rèn)證中心是承擔(dān)網(wǎng)上安全電子交易服務(wù)、簽發(fā)并管理數(shù)字證書、為交易各方提供身份認(rèn)證服務(wù)的專門機(jī)構(gòu)，屬于企業(yè)性的服務(wù)機(jī)構(gòu)。職能證書頒發(fā)證書更新證書查詢證書作廢證書歸檔2024/4/6電子商務(wù)安全協(xié)議—SSL協(xié)議安全套接層協(xié)議（SSL）是由Netscape公司推出的一種安全通信協(xié)議，它基于TCP/IP的客戶端/服務(wù)器（C/S）應(yīng)用程序提供了服務(wù)器和客戶端的鑒別、數(shù)據(jù)完整性及信息保密性等安全措施，旨在保證客戶與所聯(lián)系的服務(wù)器之間的安全會話。IP協(xié)議TCP傳輸控制協(xié)議SSL記錄協(xié)議SSL握手協(xié)議HTTPS、FTPS、TELNETS、IMAPS等規(guī)定了數(shù)據(jù)組成的格式，傳輸?shù)臄?shù)據(jù)都封裝在記錄中。規(guī)定了雙方進(jìn)行通信時產(chǎn)生加密算法和密鑰的協(xié)商過程。2024/4/6電子商務(wù)安全協(xié)議—SSL握手協(xié)議SSL握手協(xié)議用于完成通信前的一系列參數(shù)協(xié)商，為C/S雙方通信建立安全連接。當(dāng)支持SSL的瀏覽器首次連接至安全Web服務(wù)器時，瀏覽器和服務(wù)器使用握手協(xié)議互通安全信息，從而在通信雙方之間建立安全傳輸通道。2024/4/6電子商務(wù)安全協(xié)議—SSL記錄協(xié)議

對來自高層的數(shù)據(jù)進(jìn)行分組，對每一分組進(jìn)行壓縮，并計算其MAC數(shù)據(jù)，然后將它們一起加密，經(jīng)由傳輸層發(fā)送出去。發(fā)送端

對來自傳輸層的數(shù)據(jù)進(jìn)行解密，取出壓縮分組，計算其MAC數(shù)據(jù)，并與解密后的接收數(shù)據(jù)攜帶的MAC數(shù)據(jù)進(jìn)行比較，以驗證數(shù)據(jù)的完整性，最后將壓縮分組解壓縮并重新組合成原來的數(shù)據(jù)傳輸給高層。接收端傳輸數(shù)據(jù)被封裝在記錄中2024/4/6電子商務(wù)安全協(xié)議—SSL協(xié)議服務(wù)與評價

不能使客戶確信商家接受信用卡支

付是得到授權(quán)的

不對應(yīng)用層的消息進(jìn)行數(shù)字簽名，

所以不能提供交易的不可否認(rèn)性

客戶認(rèn)證是可選的，無法保證購買

者就是該信用卡的合法擁有者123認(rèn)證用戶和服務(wù)器加密數(shù)據(jù)維護(hù)數(shù)據(jù)的完整性SSL協(xié)議服務(wù)2024/4/6電子商務(wù)安全協(xié)議—SET協(xié)議安全電子交易協(xié)議（SET）是由VISA和MasterCard兩大國際信用卡組織會同一些計算機(jī)軟硬件供應(yīng)商聯(lián)合開發(fā)，是一種專門應(yīng)用于開放網(wǎng)絡(luò)環(huán)境中解決用戶、商家、銀行之間通過銀行卡支付交易而設(shè)計的安全電子支付規(guī)范。

SET協(xié)議工作在應(yīng)用層

提供消費(fèi)者、商家和銀行

間的多方認(rèn)證12確保交易信息的保密性、完

整可靠性和不可否認(rèn)性

使用雙重簽名技術(shù)實(shí)現(xiàn)訂單

信息和支付信息的隔離342024/4/6持卡人的開戶銀行，對經(jīng)過授權(quán)的交易進(jìn)行付款向持卡人、商戶、支付網(wǎng)關(guān)頒發(fā)數(shù)字證書商家的開戶銀行，為商家處理支付授權(quán)和支付業(yè)務(wù)由收單銀行或由其授權(quán)的第三方機(jī)構(gòu)提供是支付信息的協(xié)議轉(zhuǎn)換工具獲得SETCA頒發(fā)的數(shù)字證書獲得收單銀行的許可進(jìn)行銀行卡支付集成SET商家軟件獲得SETCA辦法的數(shù)字證書向發(fā)卡銀行申請取得專用軟件，并獲取數(shù)字證書電子商務(wù)安全協(xié)議—SET支付系統(tǒng)參與者SET支付系統(tǒng)持卡人商家支付網(wǎng)關(guān)收單銀行發(fā)卡銀行認(rèn)證中心2024/4/6電子商務(wù)安全協(xié)議—基于SET的購物流程2024/4/6電子商務(wù)安全協(xié)議—SET協(xié)議評價

SET協(xié)議過于復(fù)雜，使用起來比較麻煩，導(dǎo)致成

本高、處理效率低、商家服務(wù)器負(fù)荷重。

只適用于銀行卡支付業(yè)務(wù)，對其他支付方式有

所限制。

要求客戶、商家、銀行都要安裝相應(yīng)軟件。1232024/4/6SET客戶端和商家端需要安裝專門軟件，部署成本較高SSL被瀏覽器和Web服務(wù)器內(nèi)置，部署成本低SET協(xié)議復(fù)雜、龐大且運(yùn)行速度較慢SSL協(xié)議運(yùn)行效率較高SET為銀行卡交易提供保障SSL協(xié)議和Web應(yīng)用一起工作SET協(xié)議全程交易過程受到保護(hù)SSL協(xié)議的安全范圍只限于持卡人到商家的信息交流SET協(xié)議要求所有參與成員申請數(shù)字證書識別身份SSL協(xié)議要求商家端必須認(rèn)證，客戶認(rèn)證可選電子商務(wù)安