电子商务——第4章：电子商务安全

1、桂林工学院南宁分院经济管理系教案首页授课早节第4 4章：电子商务安全4.14.1电子商务安全需求4.24.2电子商务的商务安全授课日期20082008年5 5月1919日授课班级06市场营销（1、2、3）班教 学 目 的通过本章学习，了解电子商务系统目前存在的安全威胁，认 清电子商务的安全性要求，掌握电子商务的安全体系的方法。教学 重点（1 1）电子商务系统的安全威胁。（2 2）电子商务的安全性要求和安全体系。教学难点如何掌握各种安全防范技术的方法。教 学 提 纲点名：重点点经常不来上课的（5 5分钟）4.14.1电子商务系统的安全要求（教师讲课3030分钟）.1电子商务系统的

2、安全威胁.2电子商务的安全性要求.3电子商务的安全体系4.24.2电子商务的商务安全（教师讲课2020分钟）（教师讲课2020分钟）上网演示（1010分钟）时间分配课 后 小 结推荐 书目电子商务概论方真、张明明，大连理工大学出版社，2003.82003.8。电子商务法律规范梅绍祖，清华大学出版社。网络营销曲学军主编，大连理工大学出版社。网络安全薛伟主编，东北财经大学出版社。电子商务与物流梅绍祖，人民邮电出版社。电子商务概论陈月波，清华大学出版社电子商务概论桂海进，中国商业出版社实用电子商务概论赵林度，人民邮电出版社4.14.1电子商务安全要求.

3、1电子商务安全的表象随着经济信息化进程的加快，计算机网络上的破坏活动也随之猖獗起来，已对经济秩序、经济建设、国家信息安全构成严重威胁。在信息经济的发展过程中，我们越来越依赖于网络。消费者对网上交易的网络安全缺乏信心，使得越来越多消费者不愿在网上购物。用最新的电子商务安全方面的案例，见另外一个网络安全文件夹。.2电子商务安全需求1.1. 保密性保密性，是指商业信息在传输过程或存储中不被泄漏。通过对相应的信息进行加密来保证用户信息不被盗取。通过在必要的结点设置防火墙可以防止非法用户对网络资源的不正当的存取。2.2. 完整性完整性，是指商业信息在传输和存储中保证数据一致性。电子伪装是

4、最常见的破坏信息完整性的技术。所谓电子伪装，腹有诗书气自华就是在网络上某人伪装成他人或者是某个网站伪装成另一个网站3.3. 不可抵赖性不可抵赖性，是指商业信息的发送方和接收方均不得否认已发 或已收的信息。这就需要利用数字签名和身份认证等技术确认对方身份。一经 确认，双方就不得否认自己的交易行为。4.4. 即需性即需性，是指保证合法用户对商业信息及时获取并保证服务不 会遭到不正当的拒绝。系统的即需性遭到破坏，系统处理信息的速度会非常慢，从而 影响电子商务的正常运行。计算机失效、程序错误、硬件故障、系统软件故障、计算机病 毒等都会对电子商务的即需性造成影响。.3电子商务安全的范畴与

5、划分1.1. 卖方（销售者）面临的安全威胁中央系统安全性被破坏竞争者的威胁客户资料被竞争者获悉 假冒的威胁 信用的威胁获取他人的机密数据2.2. 买方（消费者）面临的安全威胁虚假订单付款后不能收到商品机密性丧失拒绝服务4.24.2电子商务的商务安全421421电子商务的商务安全与传统商务安全的区别 11信息方面冒名偷窃篡改数据信息丢失虚假信息信息传递过程中的破坏22信用方面来自买方的信用风险来自卖方的信用风险买卖双方都有存在抵赖的情况3.3. 管理方面交易流程管理风险人员管理风险交易技术管理风险4.4. 法律方面无法保证合法交易的风险法律的事后完善所带来的风险422422电子商务商务安全的应对

6、策略1.1. 在技术上加强电子商务安全管理网络安全和信息安全是保障网上交易正常进行的关键。从防火墙技术、信息加密技术、身份认证等技术方面来加强电子商务系统的安全性。22在管理上加强电子商务安全管理调查发现，通常对数据的最严重的威胁都来自于我们认识的人。为此，很多网络安全专家都认为，大部分攻击都是由员工发起的。从这 种意义上，我们最需要的是不是技术，而是一套完整的管理体制。必须加强监管，建立各种有关的合理制度，并加强严格监督。要充分发挥政府有关部门、企业的主要领导、信息服务商的作33在法律上加强电子商务安全管理通过健全法律制度和完善法律体系来保证合法网上交易的权 益，对破坏合法网上交易权益的行为

7、进行立法严惩。关于这一点，我们将在第七章再作具体介绍。桂林工学院南宁分院经济管理系教案首页授课早节4.34.3电子商务的技术安全4.44.4电子商务的社会安全因素4.54.5小结和习题与思考授课 日期20082008年5 5月2626日授课班级06市场营销（1、2、3）班教 学 目 的通过本章学习，了解电子商务系统目前存在的安全威胁，认 清电子商务的安全性要求，掌握电子商务的安全体系的方法。教学 重点.3常用电子商务安全技术和手段教学 难点1.1.加密技术时间分配教 学 提 纲点名：重点点经常不来上课的（5分钟）4.34.3电子商务的技术安全（教师讲课30分钟）上网演示（15分

8、钟）4.44.4电子商务的社会安全因素（教师讲课30分钟）4.54.5小结和习题与思考（教师讲课20分钟）课 后 小 结推荐 书目电子商务概论方真、张明明，大连理工大学出版社，2003.82003.8。电子商务法律规范梅绍祖，清华大学出版社。网络营销曲学军主编，大连理工大学出版社。网络安全薛伟主编，东北财经大学出版社。电子商务与物流梅绍祖，人民邮电出版社。4.34.3电子商务的技术安全431431电子商务技术安全隐患1.1. 系统闯入是指未授权的人利用操作系统或者安全管理的漏洞，通过一定 的手段闯入到系统内部，获取普通用户没有的权力，实现对用户信息的 篡改、窃取和非法使用。早期的闯入者只是做些

9、修改网页之类近似于恶作剧的破坏。随着电子商务的发展，入侵者通过盗取服务器上存放有关产品、 客户和交易等信息，获得巨大的经济利益已成为其主要目的。入侵者在闯入系统的同时还可能在系统中埋下木马、陷门等病毒来破坏其正常工作。2.2. 服务拒绝攻击服务拒绝攻击(DenialDenial ofof ServiceService，DoSDoS)，简单来说，是通过电 子手段，以网站或者网络瘫痪为目的的袭击。由于电子商务对网站的实时性要求越来越高，服务拒绝攻击对 电子商务的威胁也就越来越大。虽然这种攻击不能使攻击者直接获得有用的信息，但是它可以 大大削弱被攻击者在客户心中的可信度。我们常见的服务拒绝攻击有：死

10、亡之pingping( pipi ngng ofof deathdeath)、UDPUDP 洪水(UDPUDP floodflood )、LaLa ndnd攻击、电子邮件炸弹等。3.3. 身份仿冒对用户身份进行仿冒，借此来破坏交易，损害被假冒方的信誉 或者盗取其交易成果等。我们在利用网络进行交易时一定要进行身份认证。4.4.计算机病毒 它具有传染性、破坏性、隐蔽性、潜伏性、不可预见性等特点。计算机病毒正在从传统的感染单个文件，单个系统转向网络化 发展。对于利用计算机及网络进行交易的电子商务参与者来说，计算 机病毒势必会成为他们巨大的技术隐患。432432电子商务系统安全体系电子商务安全分为计算

11、机网络安全和商务交易安全计算机网络安全：是指计算机网络设备安全、计算机网络系统 安全、数据库安全，其特征是针对计算机网络本身可能存在的安全问题 实施网络安全增强方案，保证计算机网络自身的安全。商务交易安全：是指在计算机网络安全的基础上，如何保证电 子商务过程的顺利进行，即实现保密性、完整性、不可抵赖性等要求。 主要技术有：加密技术、认证技术、安全协议等。（建立电子商务安全体系也应从这两个方面入手，其结构如图4 4-1 1所示）433433常用电子商务安全技术和手段1.1.加密技术加密技术，就是采用合适的加密算法（实际上是一种数学方法） 把原始信息（称为明文”转换成一些晦涩难懂的或者偏离信息原意

12、的 信息（称为 密文”，从而达到保障信息安全目的的过程。加密系统包括信息（明文和密文）、密钥（加密密钥和解密密钥）、 算法（加密算法和解密算法）三个组成部分。例如：将英文字母a a、b b、c c、d d、e e、f fx x、y y、z z分别对应变换为c c、d d、e e、f f、g g、h hz z、a a、b b,即字母顺序保持不变，但使之分别与相差2 2个字母的字母相对应。若现在有明文hellohello”，则按照该加密算法和密钥，对应密文为jgnnqjgnnq2.2.认证技术身份认证身份认证是在交易过程中判明和确认贸易双方真实身份的。身份认证可以帮助商家确认对方身份，进而放心地开

13、展电子商务。当交易双方发生纠纷时，身份认证还可以为仲裁提供有利的证据。身份认证的常用方法主要有三种基本方式：用户口令用户持有物用户的某些生物学特征信息认证它是用于验证信息的完整性，即确认信息在传递或存储过程中没有被篡改过，进而保证通信双方的不可抵赖性和信息的完整性。常采取数字签名技术进行信息的安全认证。数字签名主要是建立在公开密钥体制和报文分解函数（MDFMDF）的基础上。其过程为： 报文的发送方利用报文分解函数（目前常见的是单向HashHash函数）生成一个128128位的数字摘要； 发送方用自己的私人密钥对这个摘要摘要进行加密来形成发送方 的数字签名； 然后，该数字签名将作为附件和报文一起

14、发送给接收方；报文的接收方首先从接收到的原始报文中计算出128128位的摘要；接着用发送方的公开密钥来对报文附加的数字签名解密； 最后判断两个数字摘要是否相同。如果相同，那么接收方就能确认该数字签名是发送方的，而且报文在 传输过程中没有被修改或替换过。如果不同，则表明该信息可能在传输过程中被篡改。 数字签名技术可以保证信息传送的完整性和不可抵赖性。当破坏者截获信息后，只要他对报文作一个字节的改动，接收方就会 在最后验证数字摘要时出错而发现这次篡改；就算破坏者改动报文后计算出 新的摘要，但他不知道发送方的私钥，无法生成有效的数字签名，还是无法实现篡改。如果发送方否认这一次信息的传输，那么接收方就

15、可以用收到报文和 数字签名来反驳。3.3. 安全协议安全套接层协议安全套接层(SSL(SSL，SecureSecure SocketsSockets LayerLayer协议是对计算机之间会话加密的协议，主要用于 WebWeb浏览器与WebWeb服务器之间的身份认证和 加密数据传输，可以对信用卡和个人信息提供较强的安全保护。SSLSSL协议是工作在网络的传输层中，所以它可以用于加密任何基于 TCPTCP/ IPIP 的应用，女口 HTTPHTTP、TelTel netnet、FTPFTP 等。SSLSSL协议包括了两个子协议：SSLSSL握手协议(SSL(SSL handshakehandsh

16、akeprotocol)protocol)和 SSLSSL 记录协议(SSL(SSL recordrecord protocol)protocol)。4.4. 反病毒技术(1)(1)病毒的检测检测计算机病毒，就是要到病毒寄生场所去检查，发现异常情况，并进而验明 正身”确认计算机病毒的存在。对计算机病毒的检测分为对内存的检测和对磁盘的检测。(病毒静态时存储于磁盘中，激活时驻留在内存中)检测的原理主要包括比较法、搜索法、计算机病毒特征字的识别法、分析法病毒的清除手工清除的方法；先由人工分析病毒传染的方法，然后再加以程序化，让清毒程序去完成清病毒的工作；在每个可执行文件中追加一部分用于恢复的信息，当

17、被病毒感染后，这些信息可以帮助快速去除病毒，恢复文件的原状态；利用软件自动分析一个文件的原始备份和被病毒感染后的拷贝，通过简单的人工指导或根本不用人工干预， 该软件会自动产生清除 这种病毒的源程序，并可自动产生可执行程序。病毒的防御目前最常用的防御技术就是实时监控技术。对网络病毒实时监控技术应符合 最小占用”原则。病毒的免疫它是指通过给可执行程序增加保护性外壳的方法，在一定程度上能起保护作用。但是，在增加保护性外壳前，若该文件已感染病毒，作为免疫措施为该程序增加的保护性外壳就会将程序连同病毒一起保护在里面。待检测时，因为有保护程序外壳的护驾”而不能检查出该病毒。病毒防治基于工作站的防治技术软件

18、防治；在工作站上插防病毒卡；在网络接口卡上安装防病毒芯片。 基于服务器的防治技术基于网络服务器的实时扫描的防护技术主要提供包括：实时在 线扫描、服务器扫描、工作站扫描、自动报告及其病毒存档等功能。也可利用在服务器上的插防毒卡。基于网络操作系统的防治技术网络操作系统本身至少应提供四级安全保护措施：注册安全、 权限安全、属性安全和网络操作系统自身实体安全。5.5.防火墙技术防火墙(Firewall)(Firewall)是指一个由软件或和硬件设备组合而成，处于企业或网络群体计算机与外界通道之间，限制外界用户对内部网络访问 及管理内部用户访问外界网络的权限。防火墙包含着一对矛盾(或称机制)：一方面它限

19、制数据流通, 另一方面它又允许数据流通。主要包括两种防火墙：数据包过滤型(Packet(Packet Filter)Filter)防火墙：速度快、简单易行、价格便宜、易于维护、对网络性能的影响很小、安全性相对较差。代理服务型(proxy(proxy service)service)防火墙：安全性能相对较高，但是访问 速度降低、而且网络建设的成本较高。(事实上，还有一些防火墙是上述两种防火墙的变种、改进或者综合。)6.6.系统恢复技术演示GHOSTGHOST的基本操作。4.44.4电子商务的社会安全因素1.1. 电子商务投资政策投资主体应该由政府转向广大企业，尤其是中、小企业。政府的国家资金一般

20、应作为引导、启动或配套资金进行注入， 以表明政策支持那些经济、社会效益均好，或社会必需的行业、产业。政府投资的大小体现其重视程度或工程的难易程度。国家应做好宣传、知识普及、制定投资政策等工作。2.2. 电子商务税收政策在电子商务系统建设和应用过程中，它要产生经济效益，所以理应向国家和地方纳税。制定合理的电子商务税收政策。鉴于电子商务发展初期，此时其获利甚微，国家应从政策优惠的角度对电子商务给予一定程度的税收优惠。电子商务的税务原则：中立、高效、明确、简便、有效、公平和灵活。米取措施，防止企业偷税漏税。3.3.电子商务收费政策通过电子商务产生经济效益，需要一定的客户规模。制定合理的收费政策促使更多的单位和个人使用电子商务。4.54.5小结：理论够用，重在实际操作。习题与思考：习题见课本。出师表两汉：诸葛亮先帝创业未半而中道崩殂，今天下三分，益州疲弊，此诚危急存亡之秋也。然侍卫之臣不懈于内， 忠志之士忘身于外者，盖追先帝之殊遇，欲报之于陛下也。诚宜开张圣