第十四章 电子商务安全 2016

电子商务·安全第一节电子商务安全概述

第二节计算机病毒及其防范

第三节电子商务交易风险的识别与防范电子商务安全思考：

1、在日常生活中是否也经常遇到各种各样的网络交易安全问题？请举例说明。

2、在遭遇各种安全问题时，你采用了哪些方法来应对？淘宝网1元“错价门”引发的争议虚假宣传网络售假物流纠纷盘点：电商行业八大信息泄露典型案例事件一：5173中国网络服务网数次被“盗钱”。事件二：当当网账户遭盗刷。事件三：“1号店”员工内外勾结泄露客户信息。事件四：支付宝漏洞致信息泄露，官方回应都是买家的错。事件五：如家、七天开房信息泄密。事件六：腾讯7000多万QQ群遭泄露，全隐患危及微信支付。事件七：携程技术漏洞导致用户个人信息、银行卡信息等泄露。事件八、快递单贩卖称灰色产业链。信息泄露学会这5招，避免网投简历信息被泄露1、去正规网站求职2、信息分清必填和可不填学历、实习经历、工作经历以及个人业绩尽量不要填写身份证号、家庭住址和家庭电话等个人信息，避免隐私外泄。3、找工作不宜海投4、重视简历的日常管理5、适当警醒网银被盗用，6万剩500块

U盾、银行卡均在手，账户还绑定了手机短信，密码也没丢失……银行卡上的钱却不翼而飞了。近日市民小明(化名)就遭遇了这么一件蹊跷事。69笔“隐形”交易记录，让他账户上的6万多元，在两天内仅剩500块。 由于平时做生意需要，小明的手机上装有某银行的手机终端软件，也开通了相关的短信提示服务。1月27日当天，小明去银行取钱，一查余额却大吃一惊：自己卡上原本有6万多元，此时却只剩下了500多块。 小明当即报了警。警方调取的银行资料显示，从25日到26日下午，小明的这笔钱分69笔被人盗刷。 经调查，小明的钱是通过3个第三方交易平台“溜走”的，其中最大的一笔消费记录为4000多元。银行的工作人员发现，小明的手机还被骗子做了手脚，收短信的功能被屏蔽，因此这两天里的所有交易记录，他压根都没有收到短信提示。 在与第三方交易平台客服联系后，警方得知，小明的钱大多被用来充话费、购买游戏点卡等虚拟消费。 目前警方已对此立案调查，初步怀疑可能与小明使用公共场所的免费WiFi有关。支付安全etc.国外2000年2月7日－9日，Yahoo,ebay,Amazon等著名网站被黑客攻击，直接和间接损失10亿美元。2003年，易趣用户收到“网络钓鱼”邮件……国内2000年春天，有人利用普通的技术，从电子商务网站窃取到8万个信用卡号和密码，标价26万元出售。2009年QQ交谈中以网上购物打折为诱饵……其他一

电子商务安全概述1.电子商务的安全，从整体上可分为两部分：

(1)计算机网络安全：

包括计算机网络设备、网络系统、数据库等的安全。

(2)商务交易安全：

即实现电子商务的保密性、信息的完整性、可鉴别性、不可伪造性和不可抵赖性，保证电子商务过程的顺利进行。

CNNIC调查结果

用户认为目前网上交易存在的最大问题是：

1、安全性得不到保障23.4%2、产品质量和服务欠缺15.2%3、商家信用得不到保障14.1%4、付款不方便10.8%5、价格不够诱人10.8%6、送货不及时8.6%7、网上提供的信息不可靠6.4%8、其它0.7%一、电子商务安全概述（1）1998年一名黑客（仅16岁）侵入美国空军的专用电脑网络，将一个有关空军战机统计图表的数字和战机图像删去，换成了一幅鲜血直滴的一对红眼球画面，上面写着“欢迎进入真相”。引言是“你可以在这里了解美国政府的一切腐败丑闻，知道他们不希望你知道的秘密……”被更改过的网页中有一张淫秽图像，文字说明是“这就是美国政府每天都在做的事……”1999年岁末，一位神秘的黑客向位于旧金山的CD宇宙公司办事处发出一份传真，声称他已盗用了该公司客户的绝密信用卡档案，如果满足他索取10万美元的要求，他愿意立即销毁这些保密资料。CD宇宙公司没有把威吓信当作一回事。圣诞节那天，电脑黑客把所盗的30万个该公司的客户帐号张贴了出来，只要网民轻轻点一下鼠标，就能获得免费的客户信用卡号码、姓名及地址，谁使用了这些资料，便能享受免费购物了。至此，宇宙公司才意识到问题的严重性，立即向联邦调查局报案。此时黑客竟向联邦调查和新闻媒体发出一份电子邮件，吹嘘自己多年来屡屡擅闯他人电脑的“辉煌历史”，声称：“如果不付我10万美元，我就要出售你们的全部信用卡。”买方面临的安全威胁

虚假订单：假冒者以客户的名字订购商品，客户收到商品被要求付款或返还商品。付款后不能收到商品：在要求客户付款后，销售商中的内部人员不将订单和钱转发给执行部门，因而使客户不能收到商品。机密性丧失：客户有可能将秘密的个人数据或自己的身份数据（如PIN，口令等）发送给冒充销售商的机构，这些信息也可能会在传递过程中被窃听。拒绝服务：攻击者可能向销售商的服务器发送大量的虚假定单来挤占它的资源，从而使合法用户不能得到正常的服务。卖方面临的安全威胁

系统中心安全性被破坏：入侵者假冒成合法用户来改变用户数据（如商品送达地址）、解除用户订单或生成虚假订单。竞争者的威胁：恶意竞争者以他人的名义来订购商品，从而了解有关商品的递送状况和货物的库存情况。商业机密的安全：客户资料被竞争者获悉。假冒的威胁：不诚实的人建立与销售者服务器名字相同的另一个www服务器来假冒销售者、虚假订单，获取他人的机密数据。信用的威胁：买方提交订单后不付款电子商务安全构架网络安全技术病毒防范身份识别技术分组过滤和代理技术防火墙技术交易安全技术电子商务业务系统电子商务支付系统安全应用协议SET、SSL、S/HTTP、S/MIME基本加密算法非对称密钥加密、对称密钥加密DES、RSA安全认证手段消息摘要、数字签名、数字信封、CA体系安全管理体系法律、法规和政策案例导引

近10万用户资料可能被黑客曝光

位于美国马萨诸塞州的沃尔瑟姆美的B是一家电子商务网站，该网站向用户提供稀有的或者已经绝版的书籍。上周他发现一个黑客自去年10月就攻破了公司的一个服务器，自此以后，该黑客曾多次光顾他的服务器。该公司发言人称，黑客从公司网站上下载了用户的资料，包括用户姓名、地址及信用卡号码。该公司为了查找黑客，短时间关闭整个网站，并把用户的信用卡信息和地址从那个服务器上移走。但公司发言人未透露是否查到了黑客。只是说已经通知了美国联邦调查局，请求他来协助调查此事。黑客（Hacker）源于英语动词Hack，意为“劈、砍”，引申的意思是“干了一件非常漂亮的事”。黑客则有“恶作剧”之意，尤其是指手法巧妙、技术高明的恶作剧。黑客与木马的防范黑客不黑：真正的黑客有自己的行规，不会随意攻击普通网友的电脑。我们可能遇到的攻击，绝大多数是来自那些只会使用几个攻击软件的低级黑客，只要我们做好防范，完全可以有效的避免。今天的黑客可分为两类：骇客:他们想引人注目，千方百计入侵计算机网络系统，轻则做一些无伤大雅的恶作剧，重则删除、修改网页及摧毁网站；窃客:他们的行为带有强烈的目的性，这些窃客的目标往往瞄准了银行的漏洞和电子交易的账号，试图盗窃他人的资金和虚拟财产。黑客行为已对经济秩序、经济建设、国家信息安全构成严重威胁。第一节电子商务安全概述

第二节计算机病毒及其防范

第三节电子商务交易风险的识别与防范电子商务安全

1983年美国科学家佛雷德·科恩最先证实电脑病毒的存在。计算机病毒是一种人为制造的寄生于计算机应用程序或操作系统中的可执行、可自行复制、具有传染性和破坏性的恶性程序。

从1987年发现第一类流行电脑病毒起，病毒数每年正以40％的比率增加。一个小巧的病毒程序可令一台微型计算机、一个大型计算机系统或一个网络系统处于瘫痪。计算机病毒及其防范网络入侵典型案例

〖案例分析〗

电子邮件炸弹袭击网站

2001年2月7日到9日，黑客们采用名为DDOS（分布式拒绝服务）的入侵方式，袭击了美国YAHOO（雅虎公司）、eBay（电子海湾公司）、CNN（美国有线新闻网）等互联网上的著名网站。在铺天盖地的邮包炸弹攻势下，被袭击者不得不关闭网站入口，致其瘫痪数小时，造成重大损失。网络入侵典型案例〖案例分析〗

网络病毒传播

2001年，计算机病毒在我国感染情况严重，特别是“红色代码”二型、“尼姆达（Nimda）等恶性病毒在我国大面积传播，造成一些政府机构、教育科研单位等行业的网络通讯阻塞，甚至出现服务器瘫痪。2002年，以电子邮件、特洛伊木马、文件共享等为传播途径的混合性病毒肆虐，影响最大的“求职信”病毒持续六个月高居感染率第一。网络入侵典型案例〖案例分析〗

网络病毒传播2003年8月11日，一种名为“冲击波”（WORMMSBLAST.A）的新型蠕虫病毒在国内互联网和部分专用信息网络上传播。全国有上万台电脑遭感染。其变种病毒WORM-MSBLAST.D在全球感染数百家企业。1）常见的计算机网络病毒可分为以下几种：（1）蠕虫它是一种短小的程序，通过在网络中连续高速地复制自己，长时间的占用系统资源，使系统因负担过重而瘫痪。如震荡波、冲击波、尼姆达、恶邮差等。（2）逻辑炸弹这是一个由满足某些条件（如时间、地点、特定名字的出现等）时，受激发而引起破坏的程序。逻辑炸弹是由编写程序的人有意设置的，它有一个定时器，由编写程序的人安装，不到时间不爆炸，一旦爆炸，将造成致命性的破坏。如欢乐时光，时间逻辑炸弹。

（3）特洛伊木马当使用者通过网络引入自己的计算机后，它能将系统的私有信息泄露给程序的制造者，以便他能够控制该系统。如Ortyc.Trojan木马病毒，木马Backdoor.Palukka，酷狼，IE枭雄，腾讯QQ木马病毒。（4）陷阱入口陷阱入口是由程序开发者有意安排的。当应用程序开发完毕时，放入计算机中，实际运行后只有他自己掌握操作的秘密，使程序能正常完成某种事情，而别人则往往会进入死循环或其他歧路。（5）核心大战这是允许两个程序互相破坏的游戏程序，它能造成对计算机系统安全的威胁。

2）计算机病毒的防范

A、正确安装和使用杀毒软件；B、安装防火墙，防范病毒，阻止黑客攻击；C、修改系统配置，增强系统自身安全性来提高抵抗能力（卸载和删除系统不必要的系统功能和服务）；D、及时修补系统漏洞；E、高度警惕网络陷阱F、不打开陌生地址的电子邮件G、加强数据备份和恢复措施H、对敏感设备和数据要建立物理或逻辑隔离措施等黑客与木马的防范木马防范的工具：病毒防火墙：病毒防火墙能发现和控制部分木马程序；网络安全防火墙：有效的网络安全防火墙能够在程序进行有威胁的操作时进行提醒，能相对比较有效控制木马类程序的运行；系统升级：一些木马针对系统漏洞进行攻击，及时升级我们的操作系统可增强对此类情况的免疫Internet与IntranetInterneta)全球性的网络，唯一；

b)资源共享，开放；

c)安全机制松散，没有统一的管理。Intraneta)企业内部网络；

b)大量单位内容敏感信息，安全保密至关重要；

c)集中管理。

如何解决Internet与Intranet之间的连通，为用户提供应有的服务，同时又能保证内部资源和信息的安全性，这是网络中一个非常关键的技术，也是一个难点。防火墙的基本概念:

防火墙(Firewall)是在Internet与Intranet之间构筑的一道屏障,用以保护Intranet中的信息、资源等不受来自Internet中非法用户的侵犯。

黑客与木马的防范养成良好的网络使用习惯：定期升级操作系统和病毒防火墙；最好学会使用至少一种网络安全防火墙；不从陌生网站下载软件；不在聊天工具或邮件中接收和运行来历不明的文件；不妨问有安全隐患的网站；有意识的学习常用的网络安全知识；第一节电子商务安全概述

第二节计算机病毒及其防范

第三节电子商务交易风险的识别与防范电子商务安全与不安全通信网络相关的风险商家所面临的风险客户假冒拒绝服务袭击故意性的破坏网站数据的失窃产品或者服务出现问题的赔偿侵犯版权、商标、专利引起的诉讼……电子商务中存在的安全风险与企业内部网相关的风险离职员工的破坏活动在职员工的威胁不适当地使用电子邮件和互联网……电子商务中存在的安全风险贸易伙伴间商业交易数据传输中的风险企业内部网、企业外部网及互联网之间的关系数据截取受保密措施维护的档案文件、主文件与参考数据所面临的风险2023/12/13电子商务安全与管理41电子商务中存在的安全风险知识链接：

几种常见的电子交易风险1．键盘记录

键盘记录，即通过木马监视用户正在操作的窗口，如果发现用户正在访问某网上银行系统的登录页面，就开始记录所有从键盘输入的内容。这种方法很通用也很简单，黑客用于获取用户银行信息或者在线游戏的账号和密码时，效果一直很好。2．钓鱼网站

所谓“钓鱼”就是黑客首先建立一个酷似支付官方网站的假网页，用于诱骗用户输入账号和密码等信息，或者包含用于种植木马的恶意脚本，然后给假网页申请一个酷似官方网址的域名，等待用户由于拼写错误而连接进来；有时黑客也会通过海量的电子邮件数据库，向这些邮箱发送“钓鱼”邮件。邮件内容通常包含煞有介事的文字，引诱用户访问假网页。网络钓鱼特点：针对性多样性可识别性结合性欺骗性一、EC安全问题3．嵌入浏览器执行

这种技术主要通过嵌入浏览器中的恶意代码来获取用户当前的访问页面地址和页面内容。此外，还能在用户数据（包括账号密码）以SSL安全加密的方式发送出去之前获取它们。“网银大盗”木马就是利用了这种技术，它检测到用户正在访问某个引用了安全登录空间的地址时，就会让浏览器自动跳转到另外一个“钓鱼”页面。

4．屏幕录像

有些黑客木马的确会进行屏幕录像，它们不会生成庞大的视频文件，而只是在键盘记录的基础上，额外地记录了用户点击鼠标时的鼠标坐标和屏幕截图。

5．伪装窗口

这类木马首先向IE浏览器注入一个DLL，用于监视当前网页的网址，同时记录键盘。当发现用户输入了银行卡号、密码并进行提交以后，迅速隐藏浏览器，弹出自己的窗口，这个窗口会与银行页面非常相似，并包含一些“钓鱼”文字，如宣称“由于本行进行系统维护的需要，请重新输入密码”。用户再次输入的信息，将会发给黑客作者。

交易环节风险防范网上交易常见诈骗类型网上中奖诈骗网上购物诈骗“网上钓鱼”诈骗其他利用网络游戏装备及游戏币交易进行诈骗在网络交易中，买卖双方的心理侧重：三、交易环节风险防范网络交易中，买卖双方心理侧重买方：以最小的投入获取最大的利润买方：质优价廉，服务好，风险小三、交易环节风险防范低价陷阱诈骗的基本特点：

1）产品价格标价超低2）不愿使用支付宝等第三方交易工具3）不愿当面交易三、交易环节风险防范

买家怎样进行风险防范？1、查电话：2、看账户：3、异地交易4、索证据：5、快报案：6、查IP7、查手机号码8、察看该用户所有信息功能9、及时查看网友投诉曝光、建议咨询栏10、多多阅读二手交易指导11、对联系方式书写不规范的信息提高警惕12、坚持同城当面测试交易；外地使用支付宝交易的原则13、切记一分钱一分货，便宜无好货这句至理名言三、交易环节风险防范选择信誉好的网上商店多看多问多查通过搜索引擎查找商品到实体店进行实体体检买家风险防范技巧：三、交易环节风险防范卖家应怎样进行风险防范？商品数量不对：多人检查等方式确定，确保数量商品质量问题让买方发图片收货不付款与买方协商，实在不行，进行投诉，以后或改变买方的可支付方式实例分析三、交易环节风险防范讨论：通过学习，你觉得如果你是买家或卖家，你该如何对风险进行防范呢？分组讨论，每组推选一位代表汇报讨论的结果。账户安全防骗应骗锦囊中奖信息钓鱼网站会员交易安全会员帐户安全交易安全实例分析账户安全——账户被盗类型会员帐户安全

保护会员账号不被盗用，避免造成相关损失为什么要来盗取我的帐号呢？账户安全——账户被盗类型盗用账号目的其他恶意捣乱发布欺诈商品双方交易纠纷修改对自己的评价盗取对应的支付宝帐户账户安全——账户被盗类型帐户被盗原因密码过于简单保管不当木马安全暴力破解钓鱼网站账户安全——账户被盗类型案例一：

一些会员们用的登录账户的密码都是纯数字或者纯字母，一般还都是6位密码。这样很容易被盗用者猜配，导致账号丢失。会员设置的密码过于简单，被盗用者猜配攻击举例请狼入室李小姐是某个大公司的经理秘书，她工作的电脑上存储着公司的许多重要业务资料，所以属于公司着重保护的对象，安全部门设置了层层安全防护措施，可以说，她的电脑要从外部攻破是根本不可能的事情。为了方便修改设置和查杀病毒，安全部门可以直接通过网络服务终端对李小姐的电脑进行全面设置。也许贪图方便，维护员与李小姐的日常联系是通过QQ进行的。这天，李小姐刚打开QQ，就收到维护员的消息：“小李，我忘记登录密码了，快告诉我，有个紧急的安全设置要做呢！”因为和维护员很熟了，李小姐就把密码发了过去。。。。一夜之间，公司的主要竞争对手掌握了公司的业务！账户安全——账户被盗类型案例二：会员出差在外,不小心把自己的钱包丢了。因为里面有很多银行帐号密码的记录。等到回家后，发现都登陆不上了，后悔莫及。会员密码保管不当账户安全——账户被盗类型密码设置小诀窍：数字+英文/拼音+其他1、名字加数字：比如大毛2006年入职，damao20062、生日加名字：比如大毛19820303出生，19820303dm3、使用一些标点符号和英文：比如，我最喜欢说welldone，密码我就设置为welldone！账户安全——账户被盗类型案例三：会员在旺旺上接到别人发过来的一个文件，说是一个大订单，接受后便发现1分钟后，电脑黑屏，重启后已登录不上淘宝。会员的计算机中了木马病毒账户安全——账户被盗类型案例四：会员客服报告账户无法登录，怀疑被盗，可是自己的账户很安全，客服帮忙查看后台后才发现这个会员的账户曾经被尝试登录300多次。盗用者的暴力破解账户安全——账户被盗类型案例五：

某日，会员e的站内信箱中收到这样一封邮件会员接受钓鱼信息后，登录钓鱼网站账户安全——防范账户被盗中奖信息钓鱼网站

通过旺旺信息，说你已经中奖，进而骗取会员相应的钱财。

要求登录一个模仿银行的网站，盗取银行卡的账号和密码只有才是淘宝认可的官方网站中奖信息网站账户安全——防范账户被盗中奖信息网站账户安全——防范账户被盗中奖信息网站账户安全——防范账户被盗中奖信息网站账户安全——防范账户被盗中奖信息网站账户安全——防范账户被盗中奖信息网站账户安全——防范账户被盗

钓鱼网站1：ttp:///pay.asp账户安全——防范账户被盗钓鱼网站2：账户安全——防范账户被盗钓鱼网站3：账户安全——防范账户被盗

网上零售交易安全

交易安全会员交易安全双方进行合法交易，互相的合法利益不受到损害和侵犯交易安全安全交易三步走网络进货注意事项以及网银诈骗防范卖家交易安全(案例分享)物流安全、识别同行骗子商家交易安全——安全交易三步走安全交易一步走通过网络进货应该注意的问题网上银行诈骗防范注意批发商提供的地址

在网上搜索一下，查看一下是否和供应上提供的公司名称相符交易安全——进货注意事项注意批发商的实体公司名通过网络黄页的查询，我们可以查一下公司主营产品是否和你进货商品的类型相一致。交易安全——进货注意事项注意批发商的电话号码

直接拨打所在城市114，查一下该号码的归属，是个很好的办法哦也可以通过网络查询，搜索一下该电话是否和注册的商家电话一致交易安全——进货注意事项注意批发商提供的网址

根据供应商提供的网址，我们可以研究一下它里面的商品，通过询问，发现是否有问题。交易安全——进货注意事项核对网址、妥善保管个人信息

1、不要从来历不明的网页链接访问银行网站2、任何时候都不要透露账号、密码等敏感信息3、将网上银行的登录密码、银行卡密码以及支付密码分设，提高安全度交易安全——网银诈骗安装正版杀毒软件，避免在公用计算机上使用网上银行

1、要安装正版的防病毒软件并及时更新版本和病毒识别码2、不要在公共场合，如网吧等使用网上银行。使用网上银行后，及时清理上网历史记录。交易安全——网银诈骗使用并管好数字证书

不仅要到银行网点办理数字证书，还可以下载支付宝的数字证书，提高网上交易的安全性。交易安全——网银诈骗交易明细定期查

通过登录网上银行周，定期查看“历史交易明细”，做好交易记录，定期打印网上银行业务对帐单。做到早发现，早解决。交易安全——网银诈骗及时确认异常状况

如果您在陌生的网址上不小心输入了银行卡号和密码，并遇到类似“系统维护”之类的提示，应当立即拨打相关银行的客户服务热线进行确认。万一资料被盗，应立即进行银行卡挂失和修改相关交易密码。交易安全——网银诈骗交易安全——网银诈骗各大银行的官方网址：工商银行:

招商银行:

建设银行:

农业银行:

深圳发展银行:/

浦东发展银行:

广东发展银行:/兴业银行：/民生银行:/交通银行:/

本节主要教学内容：1.加密技术2.安全认证技术3.认证中心CA4.安全交易协议

1.加密技术

加密技术是保护信息安全的主要手段之一，它是结合数学、计算机科学、电子与通信等诸多学科于一身的交叉学科。采用密码的方法可以隐蔽和保护需要保密的信息，使未授权者不能提取信息。

1.加密技术（1）几个基本概念：

被传递的消息称为明文。经过以密钥（key）为参数的函数加以转换，将明文换成另一种隐蔽的形式输出，称为密文。由明文到密文的变换过程称为加密；而其逆过程就称为解密。1.加密技术（1）几个基本概念：

加密时用一个算法，即通过一个加密密钥K，将明文转换成不可辨识的密文，使收发双方之外的人无法懂得其含义；当密文到达目的地后，收信人用一个解密算法通过一个解密过程密钥H，将密文再来转变为明文。

加密和解密的示范

以一个简单实例来看看加密和解密的过程。一个简单的加密方法是把英文字母按字母表的顺序编号作为明文，将密钥定为17，加密算法为将明文加上密钥17，就得到一个密码表。表1一个简单的密码表

字母

ABC…Z空格，./:?明文

010203…26272829303132密文

181920…43444546474849字母ABCDEFGHIJKLM明文12345678910111213密文18192021222324252627282930字母NOPQRSTUVWXYZ明文14151617181920212223242526密文31323334353637383940414243请同学们自己尝试做下面的加密和解密：信息：Welldone密钥为5明文：密文：字母ABCDEFGHIJKLM明文12345678910111213密文字母NOPQRSTUVWXYZ明文14151617181920212223242526密文1、淘宝网的电子商务模式为（）。A、B2B B、C2C C、B2C D、O2O2、下列不属于综合型B2C平台的有（）。A、聚美优品B、天猫C、京东D、卓越3、不属于电子商务发展的基本条件的是()。

A、协同的现代物流配送体系B、相当的计算机网络应用水平

C、安全的网上支付和结算体系D、至少有一家外国公司或个人参与4、在商务活动的四种基本流中，（）不能在网上完成。。A.物流B.商流C.资金流 D.信息流5、不适合在网络上进行营销的产品是（）。A、推土机产品B、消费性产品C、电脑产品D、书籍报刊6、我们经常使用QQ软件，QQ属于互联网提供的（）服务功能。A.搜索引擎 B.新闻组 C.即时通讯 D.BBS7、我国著名的阿里巴巴是（）型电子商务服务公司。A.B2 B.C2B C.B2B D.B2G8、认证中心简称为（）。A.AC B.CA C.EC D.EB9、表示非营利组织的一级域名是（）。A.com

B.cn C.net D.Org10、政府对消费者的电子商务简称为()A.B2B

B.B2G C.G2C D.B2C古典加密技术－替代算法恺撒密码(单字母替换)明文：abcdefghijklmnopq密文：defghijklmnopqrst此时密钥为3，即每个字母顺序推后3个。解密使用相同的方法，密钥为-3。

例如：将字母的自然顺序保持不变，但使之分别与相差4个字母的字母相对应。

Howareyou

Lsa

evi

csy

对称加密又称私有密钥加密，它用且只用一个密钥对信息进行加密和解密，加密密钥和解密密钥相同，即K=H。对称加密技术可参见下图：对称加密技术示意图（2）私有密钥（对称加密、单钥密码体制）

这种体制中，系统的保密性主要取决于系统的安全性。必须通过安全可靠的途径（如信使递送）将密钥送至接收端。如果不能有效地传递密钥，其应用将大大地受到限制。单钥体制目前常用算法是DES、IDEA等。

DES是美国数据加密标准，是一种分组加密（即将明文消息分组逐组进行加密）算法。DES采用矩阵运算，其密钥长度是56位。

IDEA是欧洲数据加密标准，采用128位加密，即密钥长度是128bit。

（2）私有密钥（对称加密、单钥密码体制）（2）私有密钥（对称加密、单钥密码体制）优点是：数学运算量小，加密速度快。缺点是：密钥管理困难，而且一旦泄露则直接影响到信息的安全性。（3）公开密钥加密技术（非对称加密）

在数学的指数运算中，顺着运算容易，而反过来计算难，这种特性叫做非对称性。

1977年麻省理工学院的三位教授（Rivest、Shamir和Adleman）发明了RSA公开密钥密码系统，其原理就是利用指数运算难度的非对称性。在此系统中有一对密码，给别人用（可以公开）的就叫公钥，给自己用（秘密）的，就叫私钥，由收信人保管理。

收信人先公开一把自己的密钥，发信人用收信人的公钥加密；而收件人用自己的私钥解密。

用公钥加密后的密文，只有私钥能解。

公钥体制解决了密钥的发布与管理问题。商家可以公开公钥，而保留私钥。购物者用公钥对发送者的信息加密，安全地传递给商家，然后由商家用自己的私钥解密。公钥体制克服了私钥体制的缺点，特别适合多用户的网络环境。因特网上使用最广泛的公钥体制是RSA。

（3）公开密钥加密技术（非对称加密）优点：在多人之间进行保密信息传输所需的密钥组合数量很小；公钥没有特殊的发布要求，可以在网上公开；可实现数字签名。

（3）公开密钥加密技术（非对称加密）（3）公开密钥加密技术（非对称加密）公钥私钥非对称加密技术一个人两把钥匙,一个锁来一个开。私钥公钥2.安全认证技术

安全认证技术是为了满足电子商务系统的安全性要求而进行的信息认证。常见安全认证技术有：数字签名、数字信封、数字时间戳、数字证书等。（1）数字签名（DigitalSignature）

1）为什么电子交易中要使用数字签名？2）数字签名的概念3）数字签名工作原理4）数字签名应满足的三个条件5）数字签名常用算法6）数字签名的特点（1）数字签名（DigitalSignature）

数字签名的概念

数字签名：是由签名算法和验证算法组成的双重加密的防伪、防赖算法，可以证明电子文件是由签名者发送，并且自签名后到收到为至没有做任何的修改。它是发送者用自己的私钥对欲发送报文的数字摘要进行加密而得到的，并与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。由于私有密钥仅为发送者本人所有，因此，只要接收者用该私钥对应的公钥解密成功，就能证明发送者的身份，发送者不能否认自己发送了该信息。

（1）数字签名（DigitalSignature）

数字签名应满足的三个条件：

a)接收方能够验证发送方所宣称的身份（其它人不能伪造签名）；

b)发送方以后不能否认报文是他发送的（即签名者事后不能否认自己的签名）；

c)接收方自己不以伪造该报文（当双方关于签名的真伪性发生争执时，法官或第三方能解决双方之间的争执）。（1）数字签名（DigitalSignature）

3）数字签名常用算法：

主要有3种应用广泛的方法：RSA签名、DSS签名和Hash签名。RSA数字签名源于RSA公开密钥系统，是目前网络上最为流行的一种数字签名方法，签名时使用私钥，验证时使用公钥。DSS（DigitalSignatureStandard）是在1991年8月由美国NIST公布，1994年12月1日正式采用的美国联邦信息处理标准，由Kravitz设计,这类签字标准具有较大的兼容性和适用性，已成为网络安全体系的基本构件之一。（1）数字签名（DigitalSignature）

4）数字签名的特点：它代表了文件的特征，文件如果发生了改变，数字签名的值也会发生变化。即：不同的文件将得到不同的数字签名。数字签名能够实现对原始报文的鉴别、不可抵赖性和匿名性，具有易更换、难伪造、可进行远程线路传递等优点。数字签名与手工签名的区别在于：手书签名是模拟的，且因人而异；数字签名是0和1的数字串，因消息而异。知识链接：生物识别技术1、什么是生物特征识别技术？

生物特征识别技术是基于某人的生理特征或行为特征用自动化的方法予以辨识或认证的技术。目前已利用的生理特征和行为特征包括：（1）生理特征：手指、手掌、眼睛（包括虹膜、视网膜）、面孔等。（2）行为特征：签字、语音等。知识链接：生物识别技术指纹识别技术

指纹识别主要根据人体指纹的纹路、细节特征等信息对操作或被操作者进行身份鉴定，是目前生物检测学中研究最深入，应用最广泛，发展最成熟的技术。知识链接：生物识别技术

——指纹识别技术

指纹的特征

指纹识别主要从两方面展开：总体特征和局部特征。

总体特征

（1）纹形：可分为斗形、弓形、螺旋形三大类。（2）模式区：是指指纹上包括了总体特征的区域，从此区域就能分辨出指纹是属于那一种类型的。有的指纹识别算法只使用模式区的数据，而有的则使用所取得的完整指纹。

知识链接：生物识别技术

——指纹识别技术指纹识别的验证和辨识就应用方法而言，指纹识别技术可分为验证和辨识。

验证就是通过把一个现场采集到的指纹与一个已经登记的指纹进行一对一的比对来确认身份的过程。

辨识则是把现场采集到的指纹同指纹数据库中的指纹逐一对比，从中找出与现场指纹相匹配的指纹。

指纹识别技术特点（1）指纹识别的优点

a.指纹是人体独一无二的特征。

b.可采集的指纹多，最多可达10个，而且每个指纹都是独一无二的。

c.扫描指纹的速度快，使用非常方便。

d.指纹与采集头直接接触，读取特征方法可靠。

e.指纹采集头体积小，价格低廉。

（2）指纹识别的缺点

a.某些人或某些群体的指纹特征很少，故而很难成像。

b.有些人害怕将指纹记录在案。

c.每一次使用指纹时，都会在指纹采集头上留下用户的指纹印痕，而这些指纹痕迹存在被用来复制指纹的可能性。一指行天下——指纹识别技术(2)数字证书（digitalcertificate）

1）什么是数字证书？

数字证书是一种由权威机构——证书授证(CA，即CertificateAuthority）中心发行的，在Internet上识别、验证通讯各方身份的方式，其实质是一个经证书授权中心数字签名的包含公开密钥拥有者身份信息以及公开密钥的数据文件。

数字证书用电子的手段来证实一个用户的身份和对网络资源访问的权限。2）数字证书的作用：-证明在电子商务或信息交换中参与者的身份；-授权进入保密的信息资源库；-提供网上发送信息的不可否性的依据；-验证网上交换信息的完整性；-使用包含公开密钥的数字证书来交换公开密钥。

数字证书可用于：发送安全电子邮件、访问安全站点、网上证券交易、网上采购招标、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。3）数字证书的原理：

数字证书采用公开密钥密码体制，即利用一对密钥进行解密和数字签名。每个用户自己设定一把私钥用于解密和数字签名，同时将对应的公钥向交互对方发布，用于加密和验证签名。

当发送一份保密文件时，发送方使用接收方的公钥对数据进行加密，而接收方则使用自己的私钥进行解密，这样，信息就可以安全无误地到达目的地，即使被第三方截获，由于没有相应的私钥，也无法进行解密。

4）数字证书的类型：

a)个人数字证书（Email证书、身份证书）

b)单位证书（企业身份证书、企业安全电子邮件证书、单位[服务器]数字证书）

c)信用卡身份证书：用于安全网上信用卡支付。代表信用卡交易中单位或个人信用卡持有者的身份，符合SET标准。

d)

CA证书：用于证实CA身份和CA的签名密钥(签名密钥被用来签署它所发行的证书)

3．认证中心CA(CertificateAuthority) 1)CA概述

CA是一个负责发放和管理数字证书的权威机构。

在电子商务交易中，商家、客户、银行的身份都要由CA认证。例如，持卡人要与商家通信，就要从公共媒体上获得商家的公开密钥，但持卡人无法确定商家不是冒充的(有信誉)，于是持卡人请求CA对商家认证。CA对商家进行调查、验证和鉴别后，将包含商家公钥的证书传给持卡人。同样，商家也可对持卡人进行验证。这个过程如下图所示。

CA通常是企业性的服务机构，主要任务是受理数字凭证的申请、签发及对数字凭证的管理。在实际运作中，CA可由大家都信任的一方担当。

例如在客户、商家、银行三角关系中，客户使用的是由某个银行发的卡，而商家又与此银行有业务关系或有账号。在这种情况下，客户和商家都信任该银行，可由该银行担当CA角色，接收、处理他的卡客户证书和商家证书的验证请求。又例如，对商家自己发行的购物卡，则由商家自己担当CA角色。

2)CA的树形验证结构

认证中心通常采用多层次的分级结构，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。

在进行交易时，通过出示由某个CA签发的证书来证明自己的身份，如果对签发证书的CA本身不信任，可逐级验证CA的身份，一直到公认的权威CA处，就可确信证书的有效性。证书的树形验证结构3)国内外CA中心简介

世界上较早的数字认证中心是美国Verisign公司(http://)，该公司成立于1995年。它为全世界50个国家提供数字认证服务，有超过45000个Internet的服务器接受该公司的服务器数字证书，使用它提供的个人数字证书的人数已经超过200万。国内常见的CA有：中国金融认证中心(www.cfca.)：支持网上银行、网上证券交易、网上购物以及安全电子文件传递等应用。中国商务在线()：是中国电信CA的安全认证中心CTCA。中国数字认证网()：有数字认证、数字签名、CA认证、CA证书、数字证书和安全电子商务。北京数字证书认证中心()：为网上电子政务和电子商务活动提供数字证书服务。中国协卡认证体系()：由上海CA认证中心发起，京津沪等国内CA权威机构联合共建的中国协卡认证体系。

4)数字证书的申请

不同CA类型数字证书的申请步骤略有不同，一般有下列步骤： (1)下载并安装CA的根证书：为了建立数字证书的申请人与CA的信任关系，保证申请证书时信息传输的安全性，在申请数字证书前，客户端计算机要下载并安装CA的根证书。 (2)填交证书申请表：不需身份验证的申请表可在线填写后提交；需要个人或单位身份验证的，下载申请表填写后连同身份证明材料一起送达CA。

(3)CA进行身份审核。

(4)下载或领取证书：普通证书，可以用身份审核后得到的序列号和密码，从网上下载证书；使用特殊介质(如IC卡)存储的证书，需要到CA领取证书。（1）SSL协议1）安全套接层协议的概念

安全套接层协议（SecureSocketsLayer），是由网景公司设计开发的，向基于TCP/IP协议的客户/服务器应用程序提供客户端和服务器之间的安全连接技术，实现兼容浏览器和服务器（通常是WWW服务器）之间安全通信的协议，主要用于提高应用程序之间的数据安全系数。4.安全交易协议2）SSL的工作原理

SSL安全加密机制主要是使用数字证书来实现的。当采用了SSL加密机制后，客户机首先要与IIS服务器建立通信连接，IIS服务器会把数字证书和公开密钥发送给客户机，与客户机交换密码，一般选用的是RSA密码算法（也有选用Diffie-Hellman和Fortezza-KEA密码算法），当身份验证确认后，这个公开密钥对用户端的会话密钥进行加密并将其传送到IIS服务器，IIS服务器接到这个会话密钥后会对会话密钥进行解密，这时用户就和IIS服务器建立了一条加密通信通道。

SSL协议既用到了公钥加密技术又用到了对称加密技术，对称加密技术虽然比公钥加密技术的速度快，可是公钥加密技术提供了更好的身份认证技术。

SSL协议对基于TCP／IP网络的客户机/服务器提供下列安全服务:●认证用户和服务器：用服务器端证书认证Web服务器的资格(在电子商务中就是认证网上商店的资格)，用客户端证书认证客户身份，以能确信数据被发送到正确的客户机和服务器上。

●对通信数据进行加密：SSL协议采用了对称加密技术(DES)和公、私钥加密技术(RSA)。 ●维护数据的完整性：使用消息摘要技术确保数据在传输过程中不被改变。

3）SSL协议提供的安全服务

首先，客户的信息先到商家，让商家阅读，这样，客户资料的安全性就得不到保证；第二，SSL只能保证资料传递过程的安全性，而传递过程是否有人截取就无法保证了；第三，系统安全性差，SSL协议的数据安全性其实就是建立在RSA等算法的安全性之上，因此，从本质上来讲，攻破RSA等算法就等同于攻破此协议。4)SSL协议的缺点（2）安全电子交易协议SET

为了克服SSL安全协议的缺点，更为了达到交易安全及合乎成本效益之市场要求，VISA和MasterCard联合其他国际组织，共同制定了安全电子交易（SecureElectronicTransaction，SET）协议。

在SET中采用了双重签名技术，支付信息和订单信息是分别签署的，这样保证了商家看不到支付信息，而只能看到订单信息。支付指令中包括了交易ID、交易金额、信用卡数据等信息，这些涉及到与银行业务相关的保密数据对支付网关是不保密的，因此支付网关必须由收单银行或其委托的信用卡组织来担当。

1)SET协议提供如下安全保障：

●所有信息在Internet上加密安全传输，保证数据不被他人窃取。 ●数字签名保证信息的完整性和不可否认性。 ●订单信息和个人信用卡信息的隔离，商家看不到客户的信用卡信息。 ●参与交易各方的身份认证，保证各方身份不可假冒。2)采用SET协议的交易有如下对象： ●消费者(持卡人)：持信用卡在网上购物的人。 ●网上商店：网上构建的符合SET协议要求的商店。 ●发卡银行：发行信用卡给持卡人的银行，网上交易时负责查验持卡人的有关卡的信息。 ●收单银行：网上商店的开户银行，交易时接收商店传送来的付款数据，向发卡银行查验信用卡，请求转账清算。 ●支付网关：银行内部网与Internet的连接设备，负责将商店传送的付款信息转送到内部网络进行处理。 ●认证中心CA：第三方权威机构，提供持卡人、商店、银行、支付网关的身份认证服务。SET协议的参与对象

3)SET协议的不足之处： ①协议没有说明收单银行给商家付款前，是否必须收到客户的货物接受证书。如果在客户没收到货款前，收单银行已把货款付给了商家，一旦客户对货物的质量标准提出疑义，责任由谁承担。 ②协议没有担保“非拒绝行为”，这意味着在线商店没有办法证明订购是不是由签署证书的客户发出的。

③SET技术规范没有提及在事务处理完成后如何安全地保存或销毁此类数据，是否应当将数据保存在客户、商家或收单银行的计算机里。 ④协议复杂，使用成本高，且只适用于客户安装了“电子钱包”的场合。根据统计，在一个典型的SET交易过程中，需验证数字证书9次，验证数字签名6次，传递证书7次，进行5次签名、4次对称加密和4次非对称加密，整个交易过程可能需要花费1.5～2分钟。电子商务安全技术策略防火墙技术身份识别技术虚拟专用网VPN技术病毒防范技术

电子商务的主要安全隐患系统中断（Interruption）破坏系统的有效性

窃取信息（Interception)破坏系统的机密性

篡改信息（Modification）破坏系统的完整性

伪造信息（Fabrication）

破坏系统的真实性

交易抵赖（Thetransactiondenies）

无法达成交易一、电子商务安全概述（2）物理安全问题网络安全问题信息安全问题

电子商务的主要安全问题类型一、电子商务安全概述（3）

电子商务安全交易的基本要求信息的机密性信息的完整性交易者身份的真实性不可抵赖性系统的可靠性一、电子商务安全概述（4）

电子商务安全的内容两者密不可分，相辅相成，缺一不可。一、电子商务安全概述（5）计算机网络安全商务交易安全电子商务安全计算机网络设备安全计算机网络系统安全数据库安全二、计算机网络安全技术（1）计算机系统面临的典型风险Internet本身的不安全性所带来的风险计算机网络潜在安全隐患一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。安全核心系统以密码核心系统为基础，支持不同类型的安全硬件产品，屏蔽安全硬件的变化对上层应用的影响，实现多种网络安全协议，并在此之上提供各种安全计算机网络应用。

计算机网络安全体系二、计算机网络安全技术（2）二、计算机网络安全技术（3）病毒防范技术身份识别技术防火墙技术虚拟专用网技术常用的计算机网络安全技术

病毒防范技术

病毒是一种恶意的计算机程序，它可分为引导区病毒、可执行病毒、宏病毒和邮件病毒等。采用以下措施：

1.安装防病毒软件2.控制权限可以将网络系统中易感染病毒的文件的属性、权限加以限制，对各终端用户，只许他们具有只读权限，断绝病毒入侵的渠道，达到预防的目的。二、计算机网络安全技术（4）3.认真执行病毒定期清理制度

病毒定期清理制度可以清除处于潜伏期的病毒，防止病毒的突然爆发，使计算机始终处于良好的工作状态。

4.加强数据备份和恢复措施5.对敏感的设备和数据要建立必要的物理或逻辑隔离措施

病毒防范技术网络病毒技术的种类