电子商务安全与电子支付概述

第1章电子商务安全与电子支付概述,电子商务安全管理与支付,1电子商务安全的现状随着信息技术和电子商务的发展，传统的交易方式逐步被电子化交易方式取代，例如网上商城、网上书店、网上影院、数字图书馆、网上银行等，交易的电子化已经成为信息经济发展的必然趋势，电子商务的高效率、低成本和国际化等特点使其迅速发展成为未来交易的主流模式。,1.1电子商务的安全问题,2电子商务安全的特性电子商务安全是一个系统的概念。电子商务系统的安全水平由系统安全性最薄弱的环节决定，因此要以全局和整体的角度来研究电子商务系统安全。电子商务系统安全包括网络安全、信息安全和安全管理。同时，电子商务系统是一个商务系统，还要考虑电子签名法与经济法的相关问题。电子商务安全是相对的。电子商务系统安全水平与电子商务系统的使用者对电子商务系统的安全需求密切相关，银行与企业、大型企业与中小型企业或不同行业类别的企业对电子商务系统的安全性需求都有所不同，电子商务系统安全性要求越高自然系统造价就越高，反之，系统造价就越低。,1.1电子商务的安全问题,2电子商务安全的特性电子商务安全是发展的、动态的。电子商务系统是通过不断提高安全技术和管理水平来实现系统的持久安全，因为，网络攻击技术和手段是随着网络技术、信息安全技术和网络管理技术提高而不断改进。攻与防两者之间是一个辩证的发展过程，有着此消彼长、道高一尺魔高一丈的密切关联。,1.1电子商务的安全问题,1.1电子商务的安全问题1.1.1电子商务的网络安全问题,表1-1网络安全基础设施的基本组成,网络安全问题的表现形式（1）网络系统设施的安全问题。网络设施的安全问题主要包括不可抗力的自然灾害引起的网络设备损坏和恶意的人为破坏引起的网络设备故障。（2）防范各种网络攻击问题。Internet网络安全协议和TCP/IP协议的设计缺乏安全性，导致网络通信系统的安全性具有内在无法避免的缺陷和脆弱性，因此使利用各种网络协议漏洞进行网络攻击的花样层出不穷，使各国政府和相关机构花费大量的人力和物力来维护网络系统安全。（3）安全维护人员管理问题。网络安全技术和网络安全管理是实现网络系统安全的基本保障，很多网络系统配置了新型网络设备，甚至花费巨资打造安全的信息系统。,1.1电子商务的安全问题1.1.1电子商务的网络安全问题,2.计算机网络安全措施（1）保护网络系统安全。阻断直接攻击。采取物理隔离或逻辑隔离来保证重要的设备和数据的安全。通过访问控制策略控制权限。建立网络设备间的资源访问权限，加强权限管理和认证。加强数据保密和认证。通过加密技术和数字签名技术保证数据在公网上传输的安全性。完善审计制度。对系统操作建立详细的安全审计日志，以便检测和跟踪入侵行为。制定完善的系统安全策略。通过系统安全策略来强化系统自动防御各种常见网络攻击的能力。安装桌面安全管理软件、防病毒软件或软件防火墙。,1.1电子商务的安全问题1.1.1电子商务的网络安全问题,2.计算机网络安全措施（2）保护网络应用和服务安全。保证网络应用和服务的安全运行。正确配置和管理网络应用和服务。严格管理和检测网络应用和服务的安全审计日志。,1.1电子商务的安全问题1.1.1电子商务的网络安全问题,操作系统安全在电子商务安全体系架构中，操作系统安全是指计算机系统对电子商务应用系统的硬件和软件进行安全、有效地控制，并保证基本的网络通信、网络应用和网络服务能够可靠运行，主要包括网络服务器操作系统安全和PC机操作系统安全。2.数据库安全数据库安全是利用数据库管理软件或通过相关应用程序对电子商务系统的数据库进行有效地控制和管理，保证数据的安全性、可用性、保密性和完整性。,1.1电子商务的安全问题1.1.2电子商务的信息安全问题,网络安全网络安全是通过网络安全通信协议、系统安全策略和安全通信技术来实现网络系统设备的安全运行和通信数据的安全传输。4.病毒防护病毒防护就是通过病毒查杀系统或防火墙对系统病毒进行侦测、隔离和清除，并对电子商务系统进行有效地恢复。,1.1电子商务的安全问题1.1.2电子商务的信息安全问题,访问控制访问控制是指计算机系统通过控制系统资源的访问权限来实现系统安全的管理策略。合理配置电子商务系统资源的访问控制策略，可以有效地阻止网络攻击和入侵。加密与鉴别加密是保证电子商务系统数据保密性的基本措施，通过标准加密算法对电子商务系统传输的交易数据进行加密和解密处理，以保证交易数据在公共网络上传输的保密性。鉴别是电子商务系统实体之间相互认证身份的安全技术基础，身份鉴别要通过数字签名和数字认证技术来实现，电子商务信息的接收者通过对发送者身份的数字认证才能做出身份鉴别。,1.1电子商务的安全问题1.1.2电子商务的信息安全问题,电子交易风险管理是指电子交易流程的风险管理、技术风险管理以及人员风险管理等。（1）电子交易的流程风险管理。交易流程风险是指电子商务系统的交易流程设计是否得当，将直接影响电子商务交易系统的公平性、易用性和安全性。（2）电子交易的技术风险管理。电子商务系统的安全水平由系统中最薄弱环节的安全水平决定。电子商务系统在设计的过程中难免会存在安全漏洞和缺陷，系统越复杂安全缺陷就越多，攻击者通过扫描和分析就可以发现电子商务系统的安全漏洞，因此，减少电子商务系统的安全漏洞可以降低系统的安全威胁。（3）电子交易的人员风险管理。电子商务系统的管理人员是系统管理的主体，电子商务系统的安全策略、日常的安全维护与管理和资源访问控制策略均由不同层次的系统管理人员来完成。,1.1电子商务的安全问题1.1.3电子商务的安全管理问题,安全管理技术主要有网络安全技术、数据备份恢复技术、病毒防护技术和审计跟踪技术等。（1）电子商务交易系统的网络安全技术。电子商务交易系统的网络安全技术主要包括网络安全通信技术、网络应用与服务安全技术、数据保密通信技术、身份可认证技术和数据完整性技术等。（2）电子商务审计跟踪技术。审计跟踪技术主要是对系统运行中出现的某些特征行为进行记录，并通过记录对系统运行状态进行统计分析，以及通过记录对异常行为进行分析和跟踪，可以有效地防止恶意攻击。（3）电子商务交易数据备份技术。电子商务系统要有严格的备份管理制度，定期对电子商务交易数据进行备份是防止恶意攻击的一种有效手段。（4）电子商务系统病毒防护技术。电子商务系统病毒防护技术是一种主动防御措施，电子商务系统通过规范系统病毒防护管理制度来提高系统安全性，主要措施包括安装杀毒系统、防火墙系统和网络安全管理系统。,1.1电子商务的安全问题1.1.3电子商务的安全管理问题,第一阶段的电子化支付电子化支付阶段主要是支付业务的电子化，此阶段电子商务系统主要是提供商品浏览还不能通过购物车进入电子支付阶段。2.第二阶段的信用卡支付信用卡支付只是持卡人通过公开网络传递信用卡信息的一种支付方式。,1.2电子商务的安全支付问题,3.第三阶段的网上银行网上银行是指利用Internet为银行用户提供银行业务管理和操作，可以实现网上查询、挂失、转账、定期存款、定期转账、购买证券和投资理财等银行服务项目，网上银行的优势是可以提供便捷的跨时空的银行业务，网络银行又称电子银行。4.第四阶段的支付方式多元化尤其在我国电子商务已经进入成熟和稳定发展阶段，电子支付形式开始多元化发展，出现大量的针对中小型企业或个人用户的第三方支付机构推动了电子支付的快速发展。,1.2电子商务的安全支付问题,信用体系是实现电子商务的基础，电子商务信用安全问题是影响我国电子商务发展的一个重要因素。信用主要有三方面含义：在社会伦理道德方面，信用就是社会个体在日常社会交往中应当诚实守信，遵守承诺；在社会经济活动方面，信用是指交易双方严格遵守交易前达成的共识或者承诺，交易执行流程和交易进度都按照事先约定好的规则进行；在法律方面，信用是按照法律约定可以实现的利益期待，当事人违反诚信义务时，应当承担相应的法律责任。而电子商务的信用，是电子交易各参与实体遵守交易前事先约定好的交易规则，按照电子商务交易规则进行网络商品交易。,1.2电子商务的安全支付问题1.2.1电子商务的信用安全问题,电子商务安全支付协议主要有SSL（SecureSocketLayer，安全套接层）协议和SET（SecureElectronicTransaction，安全电子交易）协议。电子支付安全协议与网络协议相结合可以实现电子支付安全，电子支付协议可以实现电子商务交易数据的保密性、完整性、身份可认证性和抗抵赖性，可以在公共网络上建立安全通道用于传输电子交易数据。,1.2电子商务的安全支付问题1.2.2电子商务的支付协议安全问题,电子商务支付系统是保证安全、公平地进行电子商务交易的基础，可以实现交易数据的保密性、完整性、身份可认证性和不可否认机制。,1.2电子商务的安全支付问题1.2.3电子商务的支付系统安全问题,电子商务安全管理的目的是为保证电子商务系统安全、高效和可靠地运行，根据系统安全管理策略对电子商务系统的组成要素进行有效地组织和安排。电子商务系统通过安全管理策略和方法对计算机系统、网络系统、认证系统、信用体系以及网络安全协议进行管理和控制。电子商务安全管理的主要内容包括网络管理系统、计算机管理系统、安全通信协议以及安全管理策略。,1.3电子商务的安全管理,安全管理平台的管理原则（1）多人负责原则。多人负责原则是降低电子商务系统安全风险的有效手段，通过多人协作管理可以稳定整个管理团队的状态，包括人员心理、专业技能和管理水平等。（2）系统管理岗位任期有限原则。管理员任期有限的原则保证了管理员权限和影响的有限性，能够及时取消离岗工作人员的原有权限，从制度上消除了离职或离岗人员对系统的安全威胁。（3）职责有限、分工明确。明确的系统安全管理工作分工与合作机制，可以保证系统管理人员能够高效地管理系统和清晰地分配职责，同时分工的明确性可以限制工作人员的安全管理权限，保证整个系统安全的稳定性。,1.3电子商务的安全管理1.3.1电子商务的安全管理原则,2安全管理平台的设计原则（1）设计标准化原则。设计的标准化是安全管理平台设计科学化的体现。只有实现安全管理平台的各项功能模块的标准化设计才能保证系统模块的可替换性和可更新性，同时标准化可以加强行业的内部交流和相互兼容，有利于提高安全管理平台的设计水平。（2）设计可扩展原则。可扩展性主要包括规模扩展性和功能扩展性，规模扩展性是由小到大，功能扩展性是由简单到复杂。（3）集中与分布原则。安全管理平台的管理对象是网络，网络分布的广泛性和分散性决定了安全管理平台的分布特征。同时，安全管理平台的设计要实现通过集中管理方式来控制系统的核心管理功能。,1.3电子商务的安全管理1.3.1电子商务的安全管理原则,企业在制定具体电子商务安全策略时，应遵循以下原则：（1）风险评估原则。风险评估的结果是制定电子商务安全管理策略的依据。在制定系统策略时要全面检测系统风险，包括网络设备风险、管理风险和数据风险等。（2）预防为主原则。预防为主的电子商务安全管理策略是电子商务系统安全运行的基本策略，只有消除系统安全隐患才能保证在新攻击方式和病毒出现时使系统具有“免疫力”和抗攻击能力。因此，在电子商务安全系统的规划、设计和实施过程中就要有预防为主的思想。（3）安全适度原则。制定电子商务安全管理策略时要权衡电子商务安全系统性能与成本之间的关系，在能够预防系统风险的同时还要考虑安全系统成本。（4）标准规范原则。标准的电子商务安全管理策略是电子商务系统安全运行的基本保证，规范的电子商务安全管理制度可以有效地消除管理漏洞和避免人为因素的干扰。同时电子商务安全策略的标准化更容易实现安全管理的统一化。（5）均衡防护原则。电子商务系统安全策略的制定要有全局均衡的观念，安全策略要全面考虑整个系统的安全，尤其是系统的薄弱环节，系统的安全水平由系统最薄弱环节的安全水平决定。（6）应急恢复原则。,1.3电子商务的安全管理1.3.2电子商务的安全管理策略,电子商务安全管理方法是实现电子商务安全管理的具体措施，方法是否有效和全面是电子商务交易系统是否安全的直接体现，电子商务安全管理方法主要可以从技术角度、管理角度和法律角度三个方面考虑。首先，从技术方面考虑，电子商务安全管理方法主要有计算机安全管理、网络安全管理、安全策略管理和认证体系管理等。例如，入侵检测系统、网络防火墙、病毒防御系统、信息安全通信系统和公钥基础设施等。然后，从制度方面考虑，电子商务安全管理方法主要是使用规范的管理制度和标准对具体的管理方法做出明确的规定。最后，从法律方面考虑，电子商务相关法律是保证电子商务交易安全的法律保障。,1.3电子商务的安全管理1.3.3电子商务的安全管理方法,电子商务安全系统的保密技术主要是指密码学的加密、解密技术，用来实现电子商务交易数据的保密通信，使电子商务交易数据不被未授权的用户知悉。信息安全通信常用的加密、解密算法主要有3DES算法、AES算法和RSA算法等，通常利用这些基本的加密算法来构造安全通信协议，实现交易数据的保密通信，因此，算法的执行效率和安全强度都会直接影响安全通信协议的执行效率和安全强度。,1.4电子商务的安全控制技术1.4.1数据保密通信技术,电子商务系统交易数据的数据完整性是指电子商务交易数据在网络通信过程中未发生丢失、篡改或错误，即电子商务交易数据的接收方获得的数据是发送方发送的完整数据，因此电子商务系统交易数据的数据完整性校验技术是保证交易数据有效性的基础，是保证正常安全通信的主要技术手段。电子商务系统交易数据的数据完整性校验技术可以利用密码学的数据完整性校验算法来实现，例如MD5算法、SHA-1算法和SHA-2算法等。电子商务系统的数据完整性校验技术是保证交易数据正确性的基础，即交易信息的接收方接收到数据后对通信数据进行完整性校验，如果数据校验错误则请求交易数据的发送方重新发送数据。,1.4电子商务的安全控制技术1.4.2数据完整性校验技术,电子商务系统数字签名和验证技术是实现电子商务交易各参与实体身份认证的基础，电子交易双方通过相互验证对方的电子商务交易数据的数字签名来实现交易实体身份的认证。电子商务交易数据的签名和验证是保证电子商务交易的身份可认证性、公平性和不可否认性的基本密码学算法。,1.4电子商务的安全控制技术1.4.3数字签名与验证技术,1.4电子商务的安全控制技术1.4.3数字签名与验证技术,数字时间戳是对通信数据的时间标定，用于解决通信数据实效性和法律问题。电子商务交易过程中为保证数据的实效性，利用信息安全通信技术的数字时间戳来实现信息的时间标记，电子商务系统交易数据的接收方获得交易数据后首先对数字时间戳的有效性进行验证，如果数据传输的时间超过正常传输数据所耗费的时间，系统断定数据无效重新发送。同时，数字时间戳也是电子商务交易数据的一个时间标定，可以有效地跟踪各类交易数据的产生时间和日期，可以作为电子商务纠纷的电子证据。,1.4电子商务的安全控制技术1.4.4数字时间戳,电子商务安全交易协议可以实现电子商务交易数据的保密通信、数据完整性校验和身份的可认证性，是电子商务安全交易的标准和规范。1.SSL协议SSL(SecuritySocketLayer，安全套接层)协议，是由网景公司设计的网络安全通信协议，主要是为网络通信双方提供信息安全通信。2.SET协议SET（SecureElectronicTransaction安全电子交易）协议，是由MasterCard和Visa两大国际信用卡组织联合Netscape、Microsoft等公司开发的基于信用卡的电子交易系统。,1.4电子商务的安全控制技术1.4.5电子商务安全交易协议,1电子商务系统的组成要素电子商务系统结构是指电子商务系统各组成要素间的相互关系。电子商务系统组成要素主要包括网络系统、商务管理系统、物流配送系统和支付系统等。2.电子商务系统层次电子商务的系统框架结构是指电子商务系统各构成要素之间的结构关系。电子商务系统各要素之间相互协作，构成一个高效的电子商务交易平台，实现电子交易、物流配送和安全管理。3电子商务体系结构电子商务体系结构是指电子商务系统运营过程中各系统组成要素之间的层次结构关系。,1.5电子商务的安全体系结构1.5.1电子商务系统的组成,电子商务安全体系结构是电子商务交易系统安全的根本保证。电子商务交易系统所采用的安全技术主要包括网络安全技术和信息安全技术。网络安全技术是电子商务安全体系结构的基础，主要包括入侵检测技术、防火墙技术、安全路由技术、病毒防御技术、操作系统安全技术、网络安全服务与应用以及安全审计技术等。信息安全技术是电子商务安全体系的安全服务与保障，主要包括公钥基础设施、认证中心、数字证书、安全保密通信技术、报文鉴别技术、数字签名、数字认证以及各种安全协议和应用协议等。,1.5电子商务的安全体系结构1.5.2电子商务安全体系结构,1电子商务安全标准的作用电子商务安全标准主要作用是建立电子商务系统统一的安全技术规范和管理规范，使电子商务系统的安全设计标准化。在标准化的电子商务安全体系中，电子商务系统的安全管理模块之间可以通过标准化的软、硬件数据接口相互通信，可以在不同的电子商务系统中安全传输电子商务交易数据。2电子商务标准的现状及发展趋势电子商务标准是电子商务系统设计的经验总结，是经过长期检验的规范和依据。电子商务系统的安全标准是电子商务系统安全应用和管理的规范和准则，信息安全标准是制定电子商务安全标准的基础。,1.5电子商务的安全体系结构1.5.3电子商务的安全标准管理,互联网是电子商务系统运行的网络基础平台，网络安全技术是实现电子商务系统网络安全通信的基本技术保障，主要包括入侵检测技术、防火墙技术、访问控制技术、漏洞扫描技术、病毒防御技术和安全审计技术等。,1.6电子商务的安全技术1.6.1网络安全技术,根据加密和解密的密钥是否相同将加密算法分为对称加密算法和非对称加密算法。对称加密算法的加密密钥与解密密钥相同，而非对称加密算法的加密密钥和解密密钥不同。,1.6电子商务的安全技术1.6.2加密技术,认证技术是指信息系统中通信实体之间的安全身份认证，是实现电子商务交易系统的身份可认证性和抗抵赖性的关键技术。电子商务交易可能会发生在网络上的任意两个用户之间，因此，电子商务交易双方的实体身份认证是保证交易安全性的前提。电子商务相关认证技术主要有身份认证、数字证书、认证中心（CA）、公钥基础设施(PKI)等。,1.6电子商务的安全技术1.6.3认证技术,电子商务安全交易系统是指能够提供电子商务安全通信、安全认证和安全支付的电子商务交易平台。电子商务安全交易系统是在Internet上为电子商务安全交易而设计的电子交易管理系统，可以实现交易数据的保密性、完整性和身份可认证性。电子商务安全交易系统的设计是否能够满足电子交易的安全需求完全取决于系统设计的需求分析是否完善以及安全管理策略是否恰当。,1.6电子商务的安全技术1.6.4电子商务安全交易系统,1世界电子商务立法的发展电子商务的快速发展，促使各国政府出台了一系列电子商务法律、法规和相关政策，以满足电子商务交易发展过程中对法律、法规的基本需求。世界各国对电子商务法律、法规的建设都是在不断探索中进行的，通过不断的改进和完善，目前电子商务法律体系架构基本形成，法律、法规基本完善。2国际电子商务立法的主要内容为促进电子商务快速发展，欧美等发达国家颁布了一系列电子商务法律、法规和政策，目前已经形成了相对完善的法律基础和系统框架，电子商务立法所涉及的范围主要有市场准入、税收、电子合同、电子支付、安全保密以及电子签章等。,1.7电子商务安全的法律保障1.7.1世界各国电子商务法的发展与基本概况,电子签名，又叫数字签名，是利用电子方式签署各种电子文件，签名后的电子文件内容能被签名人认可，并且能够验证电子文件签署人身份的技术。电子签名是电子商务交易系统实体身份认证的基础，在电子商务交易过程中，交易双方可能远隔千里且互不相识，但在交易前要彼此验证对方的真实身份，因此，电子签名成为电子商务交易实体身份认证的有效安全处理机制。电子签名可以对任意格式的电子文件进行签名处理，包括文字、图片、音频、视频和动画等多媒体格式的文件，电子签名不会影响文件的原有信息内容、使用和功能。电子商务安全交易过程中产生的电子签名主体可以是自然人也可以是计算机设备或程序源代码等，电子商务交易实体可以通过数字签名证明该电子文件由本人签署，网络服务器可以通过数字签名证明该电子文件由本服务器签署，因此电子商务交易过程中的电子签名会发生在任何需要证明实体身份的情况下。,1.7电子商务安全的法律保障1.7.2电子签名法概况,1电子签名法的立法原则（1）功能等效原则。（2）技术中立原则。（3）应用自愿原则。,1.7电子商务安全的法律保障1.7.2电子签名法概况,2国际电子签名法的主要内容和特点（1）欧盟的电子签名法。（2）美国的电子签名法。（3）日本的电子签名法。（4）我国的电子签名法。,1.7电子商务安全的法律保障1.7.2电子签名法概况,1、电子合同的概念电子合同，又称电子商务合同，是指电子商务交易双方或多方当事人为保证电子商务交易的权益，以电子的形式达成的设立、变更、终止财产性民事权利义务关系的交易协议。2、电子合同的特征（1）电子合同的民事法律行为。（2）电子合同订立的电子化。（3）电子合同的技术化和标准化。（4）电子合同订立主体的网络化。,1.7电子商务安全的法律保障1.7.3电子合同法概况,中国商务部2010-2011年度的中国电子商务发展报告中数据显示，2011年中国电子商务交易总额5.88万亿元人民币，同比增长29.2%，相当于当年国内生产总值的12.5%，其中工业企业电子交易额2012年预计达到1.69万亿元，同比增长19.1%；中小企业电子商务交易额达到3.21万亿元，同比增长26.9%。同时，中国电子商务刺激消费作用明显，截止2011年年底，中国网络购物用户达到1.19亿人，网络应用使用率达到37.8%，实现了网络零售总额7825.6亿元，同比增长53.7%，网络零售总额占社会消费零售总额比重达到4.32%。预计2013年，中国有望成为全球第一大网络零售市场。,1.7电子商务安全的法律保障1.