第一章电子商务安全概述

1、电子商务安全与支付技术电子商务安全与支付技术第一章电子商务安全概述电子商务安全概述1.1 电子商务及其安全重要性电子商务及其安全重要性1.2 电子商务的安全需求电子商务的安全需求1.3 电子商务的安全概述电子商务的安全概述1.4 电子商务系统的安全性要求电子商务系统的安全性要求1.5 电子商务的保障电子商务的保障学习目标n了解电子商务面临的安全问题了解电子商务面临的安全问题n掌握电子商务系统安全的构成要掌握电子商务系统安全的构成要素素n了解电子商务安全的主要需求了解电子商务安全的主要需求n理解电子商务安全保障手段理解电子商务安全保障手段引例ebay在中国溃败之因n据中国互联网络信息中心据中国互

2、联网络信息中心2010年中国网上年中国网上购物调查报告购物调查报告截止截止2011年年1月北京、上海和月北京、上海和广州三大城市共有广州三大城市共有c2c网上购物消费者网上购物消费者304万万人，淘宝成为用户首选购物网站。根据购物金人，淘宝成为用户首选购物网站。根据购物金额计算的额计算的2010年度中国年度中国c2c三大城市的用户三大城市的用户市场份额，淘宝为市场份额，淘宝为81.9%，ebay易趣为易趣为15.4%。nebay易趣易趣pk淘宝淘宝 ，前者败在安全之上，是不，前者败在安全之上，是不是淘宝就不再面临安全问题？如果不是，到底是淘宝就不再面临安全问题？如果不是，到底还有哪些安全问题需

3、要电子商务来面对？还有哪些安全问题需要电子商务来面对？1.1.1 电子商务的含义宏观视角宏观视角微观视角电子商务的书面定义n所谓电子商务所谓电子商务(electronic commerce)是利用计算机是利用计算机技术、网络技术和远程通信技术所进行的商务活动。技术、网络技术和远程通信技术所进行的商务活动。n电子商务的具体含义是指进行电子商务交易的供需双电子商务的具体含义是指进行电子商务交易的供需双方都是商家方都是商家(或企业、公司或企业、公司)，他们借助，他们借助internet的技的技术或各种商务网络平台，完成商务交易的过程；这些术或各种商务网络平台，完成商务交易的过程；这些过程包括：发布供

4、求信息，订货及确认订货，支付过过程包括：发布供求信息，订货及确认订货，支付过程及票据的签发、传送和接收，确定配送方案并监控程及票据的签发、传送和接收，确定配送方案并监控配送过程等。配送过程等。电子商务的产生基础n电子商务最早产生于电子商务最早产生于20世纪世纪60年代，发年代，发展于展于20世纪世纪90年代。年代。n产生和发展的社会基础是：产生和发展的社会基础是：（1） 政府的支持与推动。政府的支持与推动。（2） 计算机的广泛应用。计算机的广泛应用。（3） 网络的普及和成熟。网络的普及和成熟。（4） 完善的网络服务。完善的网络服务。电子商务的发展过程n电子商务的发展分为两个阶段，即始于电子商务

5、的发展分为两个阶段，即始于20世纪世纪80年代中期年代中期edi电子商务和始于电子商务和始于90年代初期年代初期internet电子商务。电子商务。 n180年代年代90年代基于年代基于edi的电子商的电子商务务电子通信的方式电子通信的方式增值网络增值网络vanedi电子商务技术电子商务技术仅局限在先进国家和地区以及大型的企业范围内仅局限在先进国家和地区以及大型的企业范围内应用应用n290年代以来基于因特网的电子年代以来基于因特网的电子商务商务 开放的网络通信方式开放的网络通信方式 internet的网络环境的网络环境开放的网络电子银行开放的网络电子银行安全的在线支付技术安全的在线支付技术也适

6、合中小型的企业应用也适合中小型的企业应用1.1.2电子商务安全的现状电子商务安全的现状n电子商务的安全问题日益受到重视电子商务的安全问题日益受到重视n黑客的威胁上升黑客的威胁上升n计算机网络病毒给电子商务造成的损失计算机网络病毒给电子商务造成的损失继续增加继续增加n电子商务金融系统的安全缺乏保障电子商务金融系统的安全缺乏保障n电子商务安全保障措施尚待加强电子商务安全保障措施尚待加强1.1.3电子商务安全与支付的重要性电子商务安全与支付的重要性n电子商务作为一种全新的商务形式，为全球客电子商务作为一种全新的商务形式，为全球客户提供了更简捷的交易方法和更低廉的交易成户提供了更简捷的交易方法和更低廉

7、的交易成本。然而，安全问题仍然是阻碍其发展的最大本。然而，安全问题仍然是阻碍其发展的最大障碍。障碍。1999年年7月，当中国互联网络中心第一月，当中国互联网络中心第一次对热点问题次对热点问题“用户认为目前网上购物最大的用户认为目前网上购物最大的问题问题”进行问卷调查时，进行问卷调查时，30%的网民认为安的网民认为安全性是网上购物的最大问题，七年后，即全性是网上购物的最大问题，七年后，即2006年年7月的调查显示，网民不进行网上交易月的调查显示，网民不进行网上交易的原因中，担心交易安全性得不到保障的仍然的原因中，担心交易安全性得不到保障的仍然高达高达61.5%。很明显，网上交易的安全问题。很明显

8、，网上交易的安全问题是电子商务发展中不容忽视的问题。是电子商务发展中不容忽视的问题。n交易安全保障是保证现代经济正常交易安全保障是保证现代经济正常运作的重要基础和支点。现阶段电运作的重要基础和支点。现阶段电子商务之所以推广有困难，关键问子商务之所以推广有困难，关键问题是电子支付安全问题没有得到很题是电子支付安全问题没有得到很好地解决。电子支付风险的有效控好地解决。电子支付风险的有效控制，将会从根本上扭转这种状况。制，将会从根本上扭转这种状况。1.1.4解决电子商务安全问题的重要意义解决电子商务安全问题的重要意义n保证电子商务的正常运作，必须高度重视安全保证电子商务的正常运作，必须高度重视安全问

9、题安全问题是网络交易成功与否的关键所在，问题安全问题是网络交易成功与否的关键所在，也是致命所在。因为网络交易的安全问题不仅也是致命所在。因为网络交易的安全问题不仅关系到的个人的资金安全、商家的货物安全，关系到的个人的资金安全、商家的货物安全，还关系到国家的经济安全，国家经济秩序的稳还关系到国家的经济安全，国家经济秩序的稳定问题。我们无法想像一个安全得不到保障的定问题。我们无法想像一个安全得不到保障的网络交易世界会是一个什么样的情形。所以，网络交易世界会是一个什么样的情形。所以，对于网络交易的安全问题绝不可以等闲视之，对于网络交易的安全问题绝不可以等闲视之，必须把它提到重要的议事日程。只有这样，

10、才必须把它提到重要的议事日程。只有这样，才能促进电子商务的更快发展。能促进电子商务的更快发展。1.2.1电子商务面临的安全威胁电子商务面临的安全威胁安全问题的提出安全问题的提出影响电子商务广泛应用的首要问题：安全问题影响电子商务广泛应用的首要问题：安全问题电子商务安全与网络安全电子商务安全与网络安全网络安全漏洞多网络安全漏洞多网页篡改网页篡改、网页仿冒、网页仿冒总之总之:不是一堵防火墙或一个电子签名能解决不是一堵防火墙或一个电子签名能解决1.2.2电子商务涉及的安全问题电子商务涉及的安全问题n商家可能面临的安全问题商家可能面临的安全问题系统破坏系统破坏遭受攻击或自然破遭受攻击或自然破 坏坏恶意

11、订单恶意订单竞争对手或客户竞争对手或客户资料泄露资料泄露客户资料泄露客户资料泄露客户可能面临的安全问题客户可能面临的安全问题n虚假订单虚假订单n收不到货收不到货n机密性丧失机密性丧失个人信息可能被个人信息可能被泄露泄露n拒绝服务拒绝服务合法用户得不到服合法用户得不到服务务银行可能面临的安全问题银行可能面临的安全问题n中断中断攻击系统的可能性攻击系统的可能性n窃听窃听攻击系统的机密性攻击系统的机密性n篡改篡改攻击系统的完整性攻击系统的完整性n伪造伪造攻击系统的真实性攻击系统的真实性电子商务涉及安全的概括n信息的安全问题冒名窃听篡改数据信息丢失信息传递出问题 n信用的安全问题来自买方的安全问题来自

12、卖方的安全问题买卖双方都存在抵赖的情况n安全的法律保障问题技术先进超前、法律滞后安全的管理问题n中介管理问题n人员管理n安全管理员n安全管理规范1.3.1 电子商务系统安全概述n电子商务系统安全的构成1.3.2系统实体安全系统实体安全n所谓实体安全：保护计算机网络设备、所谓实体安全：保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。及各种计算机犯罪行为导致的破坏过程。n它主要包括三个方面：它主要包括三个方面： 环境安全、设备安全和媒体安全。环境安全、设备

13、安全和媒体安全。环境安全n受灾防护受灾防护n区域防护区域防护设备安全设备安全n设备防盗设备防盗n设备防毁设备防毁n防止电磁信息泄露防止电磁信息泄露n防止线路截获防止线路截获n抗电磁干扰抗电磁干扰n电源保护电源保护媒体安全媒体安全n媒体的安全媒体的安全 媒体的防盗媒体的防盗 媒体的防毁媒体的防毁n媒体的数据安全媒体的数据安全 媒体数据的防盗媒体数据的防盗 媒体数据的销毁媒体数据的销毁 媒体数据的防毁媒体数据的防毁1.3.3系统运行安全系统运行安全所谓运行安全：是指为保障系统功能的实现，提供一套安全措施来保护信息处理过程的安全系统运行安全的组成：风险分析风险分析审计跟踪审计跟踪备份与恢复备份与恢复

14、应急应急风险分析风险分析n系统设计前的风险分析潜在的安全隐患n系统试运行前的风险分析设计的安全漏洞n系统运行期的风险分析运行的安全漏洞n系统运行后的风险分析系统的安全漏洞审计跟踪审计跟踪n记录和跟踪各系统状态的变化记录和跟踪各系统状态的变化n实现对各种安全事故系统的定位实现对各种安全事故系统的定位n保持、维护和管理审计日志保持、维护和管理审计日志备份与恢复n提供场点内高速度、大容量自动的数据提供场点内高速度、大容量自动的数据存储、备份和恢复存储、备份和恢复n提供场点外的数据存储、备份和恢复提供场点外的数据存储、备份和恢复n提供对系统设备的备份提供对系统设备的备份应急n应急计划辅助软件紧急事件或

15、安全事故发生时的影响分析应急计划的概要设计或详细制定应急计划的测试与完善n应急措施提供实时应急设施提供非实时应急设施1.3.4信息安全信息安全n所谓信息安全：是指防止信息财产被故意地或偶然地非授权泄露、更改、破坏或使信息被非法的系统辨识、控制，即信息安全要确保信息的完整性、保密性、可用性和可控性。信息安全的组成信息安全的组成n操作系统安全操作系统安全n数据库安全数据库安全n网络安全网络安全n病毒防护安全病毒防护安全n访问控制安全访问控制安全n加密加密n鉴别鉴别操作系统安全n操作系统安全是指要对电子商务系统的操作系统安全是指要对电子商务系统的硬件和软件资源实行有效的控制，为所硬件和软件资源实行有

16、效的控制，为所管理的资源提供相应的安全保护。管理的资源提供相应的安全保护。n操作系统安全包括：操作系统安全包括：安全操作系统安全操作系统操作系统安全部件操作系统安全部件n数据库安全数据库安全安全数据库系统安全数据库系统数据库系统安全部件数据库系统安全部件n网络安全网络安全网络安全管理网络安全管理安全网络系统安全网络系统网络系统安全部件网络系统安全部件n病毒防护安全病毒防护安全计算机病毒是指编制或在计算机程序中插计算机病毒是指编制或在计算机程序中插入的破坏计算机功能、毁坏数据、影响入的破坏计算机功能、毁坏数据、影响计算机使用、并能自我复制的一组计算计算机使用、并能自我复制的一组计算机指令或程序代

17、码。机指令或程序代码。包括：单机系统病毒防护和网络系统病毒包括：单机系统病毒防护和网络系统病毒防护防护n访问控制安全访问控制安全出入控制出入控制主要用于阻止非授权用户进主要用于阻止非授权用户进入机构或组织入机构或组织存储控制存储控制主要是提供主体访问客体时主要是提供主体访问客体时的存储控制的存储控制n加密加密加密设备加密设备实现对数据的加密实现对数据的加密密钥管理密钥管理提供对密钥的管理来加强信提供对密钥的管理来加强信息安全息安全n鉴别鉴别身份鉴别身份鉴别主要用于阻止非授权用户对主要用于阻止非授权用户对系统资源的访问系统资源的访问完整性鉴别完整性鉴别主要用于证实信息内容未主要用于证实信息内容未

18、被非法修改或遗漏被非法修改或遗漏不可否认性鉴别不可否认性鉴别证实发送方所发送的证实发送方所发送的信息确实被接收方接收了，证实接收方信息确实被接收方接收了，证实接收方接收到的信息确实是发送方发送的接收到的信息确实是发送方发送的网络安全所涉及的各个方面网络安全所涉及的各个方面硬件安全硬件安全软件安全软件安全安全手安全手段段安全设安全设计计系统（主机、服务系统（主机、服务器）安全器）安全反病毒反病毒系统安系统安全检全检测测审计分审计分析析网络运行安全网络运行安全备份与恢复备份与恢复应急应急局域网、子网安全局域网、子网安全访问控制访问控制（防火墙）（防火墙）网络安网络安全检全检测测1.4.1系统安全性要求系统安全性要求1.5.