電子商務(wù)支付與安全概述.ppt

1、電子商務(wù)支付與安全,主講教師：諸忠孝 聯(lián)系方式E-mail : ,模塊1,電子商務(wù)支付與安全概述,第1單元,電子支付,情景案例,1998年3月18日，北京友誼賓館，世紀(jì)互聯(lián)通訊技術(shù)有限公司面對首都多個新聞單位的記者宣布：中國內(nèi)地第一筆因特網(wǎng)電子交易成功。為本次交易提供網(wǎng)上銀行服務(wù)的是中國銀行，扮演網(wǎng)上商家的是世紀(jì)互聯(lián)通訊有限公司。 中國內(nèi)地第一筆因特網(wǎng)電子交易的時間是1998年3月18日下午3點30分。第一位網(wǎng)上交易的支付者是浙江電視臺播送中心的王軻平先生；第一筆費用支付手段是中國銀行長城卡；第一筆支付費用是100元；第一筆認(rèn)購物品是世紀(jì)互聯(lián)通訊有限公司的100元上網(wǎng)

2、機(jī)時。 中國銀行開展網(wǎng)上銀行服務(wù)的最早時間是1996年。1997年底，王軻平先生發(fā)現(xiàn)了這個站點，并填寫了申請書。在接到王軻平先生的申請后，世紀(jì)互聯(lián)通訊有限公司開始著手進(jìn)行這次交易的內(nèi)容，實質(zhì)性的時間用了大約15天。王軻平先生成為第一個在中國因特網(wǎng)上進(jìn)行電子交易的人。,任務(wù)思考,1、如果王先生沒有長城卡，該如何完成這次交易？ 2、如果現(xiàn)在要完成這樣的交易，你有哪些結(jié)算手段？ 3、怎樣確保世紀(jì)互聯(lián)通信技術(shù)有限公司安全收到他支付的100元？ 4、王先生的其他信息會泄露給第三者嗎？ 5、目前電子交易的支付安全嗎？ 6、當(dāng)前進(jìn)行這樣一筆電子商務(wù)交易還需要15天時間嗎？ 7、你進(jìn)行過電子商務(wù)和電子支付活動

3、嗎？,相關(guān)知識,相關(guān)知識,相關(guān)知識,2015年11月11日 中國網(wǎng)購共消費912.17億元 截止2015年6月底 中國網(wǎng)購人數(shù)達(dá)到了4.6億人口 中國網(wǎng)民上網(wǎng)購物時間,1.網(wǎng)絡(luò)電子支付的產(chǎn)生與發(fā)展,1） 電子交易 2） 電子支付 3） 電子支付發(fā)展歷程,2.電子支付面臨的問題,（1） 安全性和支付信息私密性問題 （2） 對軟硬件要求很高 （3） 電子支付工具需要相應(yīng)的系統(tǒng)支持,3.網(wǎng)絡(luò)電子支付的運行環(huán)境,主要通過互聯(lián)網(wǎng)來完成,4.網(wǎng)絡(luò)電子支付流程,1）網(wǎng)絡(luò)支付結(jié)構(gòu) 2）電子支付流程,5.案例分析,傳統(tǒng)銀行的銀行卡、網(wǎng)上銀行等電子支付工具在電子交易過程中具有哪些優(yōu)勢和劣勢？需要做哪些改進(jìn)？,第2

4、單元 情景案例,1.視頻新聞 2.“驗證碼”的作用,任務(wù)思考,電子商務(wù)安全面臨哪些威脅？ 具體包括哪些安全要素？ 技術(shù)方面應(yīng)該采取什么防范措施？ 管理方面應(yīng)該怎么加強(qiáng)監(jiān)管？ 如何才能實現(xiàn)安全的電子商務(wù)？,第2單元 電子商務(wù)安全,1.電子商務(wù)面臨的安全威脅 2.電子商務(wù)安全要素 3.電子商務(wù)安全技術(shù) 4.電子商務(wù)安全體系結(jié)構(gòu) 5.電子商務(wù)安全法律要素,相關(guān)知識,電子商務(wù)在全球范圍內(nèi)迅猛發(fā)展，使得電子商務(wù)中的網(wǎng)絡(luò)安全問題日漸突出。在傳統(tǒng)交易過程中，買賣雙方是面對面的，因此比較容易保證交易過程的安全性和建立起信任關(guān)系。但在電子商務(wù)過程中，消費者、商戶、銀行是通過網(wǎng)絡(luò)來聯(lián)系的，雙方都具有虛擬性，如果不

5、夠安全，會使得消費者受到損失。因此，電子商務(wù)系統(tǒng)各方都面臨著安全威脅。,相關(guān)知識,1999年7月，當(dāng)中國互聯(lián)網(wǎng)絡(luò)中心第一次對熱點問題“用戶認(rèn)為目前網(wǎng)上購物最大的問題”進(jìn)行問卷調(diào)查時，30%的網(wǎng)民認(rèn)為安全性是網(wǎng)上購物的最大問題，十五年后，即2014年7月的調(diào)查顯示，網(wǎng)民不進(jìn)行網(wǎng)上交易的原因中，擔(dān)心交易安全性得不到保障的仍然高達(dá)51.5%。很明顯，網(wǎng)上交易的安全問題是電子商務(wù)發(fā)展中不容忽視的問題。,中國互聯(lián)網(wǎng)安全發(fā)生比例,中國網(wǎng)民互聯(lián)網(wǎng)安全感知,1.電子商務(wù)面臨的安全威脅,（1）信息的截獲和竊?。ü瞁IFI = 公眾安全隱患） （2）信息的篡改（篡改、刪除、插入） （3）信息假冒（釣魚網(wǎng)站、偽造

6、電子郵件、假冒他人身份） （4）惡意破壞 （5）交易抵賴要求系統(tǒng)具備審查能力 （6）各種外界物理性干擾（通信線路、地理位置等）,釣魚網(wǎng)站,偽造電子郵件,2.電子商務(wù)安全要素,1.有效性：貿(mào)易數(shù)據(jù)在確定的時刻、確定的地點是有效的。 2.真實性：在進(jìn)行電子商務(wù)交易時首先要明確對方的身份，交易雙方的身份不能被假冒或偽裝。 3.保密性：對敏感信息進(jìn)行加密 4.完整性:交易各方收到的信息沒有出現(xiàn)部分丟失或亂碼，即信息在數(shù)據(jù)發(fā)送、傳輸和接收過程中始終保持原有的狀態(tài)。 5.不可否認(rèn)性:在電子交易過程的各個環(huán)節(jié)中都必須保存完整的記錄并且不可更改。交易一旦達(dá)成，合同一旦簽署，發(fā)送方不能否認(rèn)他發(fā)送的信息，接收方也

7、不能否認(rèn)他所收到的信息。,3.電子商務(wù)安全技術(shù),1.密碼技術(shù)是保證電商安全的重要手段，是信息安全的核心技術(shù)。 （1）加密 （2）密鑰管理技術(shù) （3）數(shù)字簽名 （4）安全協(xié)議 （5）PKI技術(shù) 2.網(wǎng)絡(luò)安全技術(shù),（1）加密,加密的主要目的是防止信息的非授權(quán)泄露。加密可用于傳輸信息和存儲信息。從譜分析的角度看，加密把聲音變成噪聲，把圖像變成雪花，把計算機(jī)數(shù)據(jù)變成一堆無規(guī)律的、雜亂無章的字符。攻擊者即使得到經(jīng)過加密的信息即密文、也無法辨認(rèn)原文。因此，加密可以有效地對抗截收、非法訪問數(shù)據(jù)庫竊取信息等威脅。 加密一般是利用信息變換規(guī)則把可懂的信息變成不可懂的信息，其中的變換規(guī)則稱為密碼算法。可懂的信息稱

8、為明文，不可懂的信息稱為密文。密碼算法是一些數(shù)學(xué)公式、法則或程序，算法中的可變參數(shù)是密鑰。密鑰不同，明文與密文的對應(yīng)關(guān)系就不同。密碼算法總是設(shè)計成相對穩(wěn)定的，在這個意義上可以把密碼算法視為常量。而密鑰是變量。,（3）數(shù)字簽名,數(shù)字簽名是公開密鑰加密技術(shù)的另一類應(yīng)用。它的主要方式是：報文的發(fā)送方從報文文本中生成一個散列值(或報文摘要)，發(fā)送方用自己的私鑰對這個散列值進(jìn)行加密來形成發(fā)送方的數(shù)字簽名。然后,這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出散列值(或報文摘要),接著再用發(fā)送方的公鑰來對報文附加的數(shù)字簽名進(jìn)行解密。如果兩個散列值相同,那

9、么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文完整性的鑒別和不可抵賴性。,（4）安全協(xié)議,國際上，電子商務(wù)的安全機(jī)制正在走向成熟，并逐漸形成了一些國際規(guī)范，比較有代表性的有和。 （1）協(xié)議 協(xié)議運行的基點是上家對客戶信息保密的承諾?？蛻舻男畔⑹紫葌鞯郎碳?，商家閱讀后再傳到銀行。這樣，客戶資料的安全性便受到威脅。另外，整個過程只有商家對客戶的認(rèn)證，缺少了客戶對商家的認(rèn)證。在電子商務(wù)的初始階段，由于參加電子商務(wù)的公司大都是信譽(yù)較好的公司，這個問題沒有引起人們的重視。隨著越來越多的公司參與電子商務(wù)，對商家認(rèn)證的問題也就越來越突出，的缺點完全暴露出來，協(xié)議也逐漸被新的協(xié)議所取代。

10、 （2）協(xié)議 SET在保留對客戶信用卡認(rèn)證的前提下，又增加了對商家身份的認(rèn)證。由于設(shè)計較為合理，得到了諸如微軟公司、IBM公司、Netscape公司等大公司的支持，已成為事實上的工業(yè)標(biāo)準(zhǔn)。,4.電子商務(wù)安全體系結(jié)構(gòu),（1）支持服務(wù)層 （2）傳輸層 （3）交換層 （4）商務(wù)層,一談到網(wǎng)絡(luò)交易安全，人們首先想到的是技術(shù)保障措施，但從近年的網(wǎng)絡(luò)犯罪案例來看，單純通過技術(shù)來保障網(wǎng)絡(luò)交易的安全事實上是不可靠的，操作系統(tǒng)本身往往就是威脅交易安全的最大隱患。我們的安全技術(shù)在網(wǎng)絡(luò)攻擊面前顯得非常脆弱。有識之士指出，在保證網(wǎng)絡(luò)安全方面，最大的問題不是技術(shù)而是我們的“安全思維”。著名的信息安全專家 Bruce S

11、chneier 認(rèn)為：“傳統(tǒng)安全范式對系統(tǒng)的復(fù)雜性認(rèn)識不足，而安全最麻煩的敵人是復(fù)雜性，安全問題實際上是人的問題?！?電子商務(wù)安全法律要素,（1）有關(guān)CA中心的法律 （2）有關(guān)保護(hù)個人隱私、個人秘密的法律 （3）有關(guān)電子合同的法律 （4）有關(guān)電子商務(wù)的消費者權(quán)益保護(hù)法 （5）有關(guān)網(wǎng)絡(luò)知識產(chǎn)權(quán)保護(hù)的法律,課后拓展,以小組為單位上網(wǎng)收集資料，開展“電子商務(wù)安全技術(shù)和法律哪個更重要？”的辯論。,【推薦幾個電子商務(wù)網(wǎng)站】,1、中國互聯(lián)網(wǎng)絡(luò)信息中心（ 2、中國電子商務(wù)研究中心（ 3、艾瑞網(wǎng)（ 4、阿里研究院（,1.你選擇第一個工作首先考慮的是什么（興趣、愛好、穩(wěn)定、薪酬） 2談?wù)勀銓π庞玫睦斫?3.你在

12、外地工作，你父母或親戚來看你 你請他們吃飯點餐的時候應(yīng)注意什么？,2016年中國人民銀行湖南省分行面試真題（下午），十分鐘三道題。,第3單元,安全電子支付,感受身邊的變化,電子商務(wù)發(fā)展現(xiàn)狀,中國電子商務(wù)已經(jīng)由表及里、從虛到實，從宣傳、啟蒙和推廣階段靜茹到了實務(wù)的發(fā)展實施階段。,2010-2014年中國電子商務(wù)規(guī)模及增長率,2007-2015年中國網(wǎng)絡(luò)購物規(guī)模及增長率,電子商務(wù)與電子支付,近年來，電子商務(wù)的發(fā)展是不容忽視的，極大地影響了經(jīng)濟(jì)模式的改變，促進(jìn)了一批企業(yè)開展網(wǎng)上支付業(yè)務(wù)。電子商務(wù)的發(fā)展，必將促進(jìn)電子支付環(huán)節(jié)的應(yīng)用，有助于電子支付的發(fā)展與完善。,電子支付發(fā)展現(xiàn)狀,1.持續(xù)上升的用戶數(shù)量

13、和交易額； 2.多模式融合與創(chuàng)新（技術(shù)手段）； 3.競爭加劇導(dǎo)致市場快速走向成熟。,世界支付體系的歷史沿革,電子支付核心參與方,2014-2015年中國互聯(lián)網(wǎng)支付與移動支付交易規(guī)模對比,情景案例,郴州市民用手機(jī)進(jìn)行支付服務(wù)活動,任務(wù)思考,1.電子支付面臨哪些安全威脅？ 2.其應(yīng)對措施是什么？ 3.安全的電子支付對電子商務(wù)的發(fā)展和我們的生活有什么意義？,1.電子支付的安全問題,1）電子支付面臨的安全問題 2）電子支付安全問題產(chǎn)生的主要原因,1）電子支付面臨的安全問題,（1）計算機(jī)病毒 （2）黑客攻擊 （3）系統(tǒng)安全漏洞,近年來，“網(wǎng)游大盜”、“熊貓燒香”、“德芙”、“QQ木馬”、“灰鴿子”等木馬病毒日益猖獗，以盜取用戶密碼賬號、個人隱私、商業(yè)秘密、網(wǎng)絡(luò)財產(chǎn)為目的。調(diào)查顯示，趨利性成為計算機(jī)病毒發(fā)展的新趨勢。網(wǎng)上制作、販賣病毒、木馬的活動日益猖獗，利用病毒、木馬技術(shù)進(jìn)行網(wǎng)絡(luò)盜竊、詐騙的網(wǎng)絡(luò)犯罪活動呈快速上升趨勢，網(wǎng)上治安形勢非常嚴(yán)峻。早期病毒危害：損人不利己從前，病毒作者編寫病毒的目的是“炫耀技術(shù)”，可以說是“損人不利己”。像著名的CIH病毒，雖然把6000萬臺計算機(jī)搞癱瘓了，但病毒作者陳盈豪不僅沒獲取到1分錢的利潤，還被警方領(lǐng)到了臺北“刑事局”。當(dāng)前病毒新危害：獲取經(jīng)濟(jì)利益如今獲取經(jīng)濟(jì)利益成了病毒作者編寫的主要目的，就像熊貓燒