电子商务安全

1、第4章 电子商务安全 熊猫烧香是一种经过多次变种的蠕虫病毒变种，2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写，2007年1月初肆虐网络，它主要通过下载的档案传染。对计算机程序、系统破坏严重。 计算机病毒n 病毒不是来源于突发或偶然的原因。病毒来自于一次偶然的事件，那时的研究人员为了计算出当时互联网的在线人数，然而它却自己“繁殖”了起来导致了整个服务器的崩溃和堵塞，有时一次突发的停电和偶然的错误，会在计算机的磁盘和内存中产生一些乱码和随机指令，但这些代码是无序和混乱的，病毒则是一种比较完美的，精巧严谨的代码，按照严格的秩序组织起来，与所在的系统网络环境相适应和配合起来，病毒不会通

2、过偶然形成，并且需要有一定的长度，这个基本的长度从概率上来讲是不可能通过随机代码产生的。n 现在流行的病毒是由人为故意编写的，多数病毒可以找到作者和产地信息，从大量的统计分析来看，病毒作者主要情况和目的是：一些天才的程序员为了表现自己和证明自己的能力，出于对上司的不满，为了好奇，为了报复，为了祝贺和求爱，为了得到控制口令，为了软件拿不到报酬预留的陷阱等当然也有因政治，军事，宗教，民族专利等方面的需求而专门编写的，其中也包括一些病毒研究机构和黑客的测试病毒 阶段1 电子商务安全威胁n卖方面临的安全威胁n买方面临的安全问题n信息传输问题n信用问题卖方面临的安全威胁n中央系统安全性被破坏n竞争对手检

3、索商品递送状况和库存情况n被他人假冒而损害公司的信誉n买方提交订单后不付款n获取他人的机密数据买方面临的安全问题n付款后不能收到商品n机密性丧失n拒绝服务信息传输问题n冒名偷窃n篡改数据n信息丢失n信息传递过程中的破坏n虚假信息信用问题n来自买方的信用问题n来自卖方的信用风险n买卖双方都存在抵赖情况n 互联网上从来不乏标价1元的商品。2011年9月，淘宝网上大量商品标价1元，引发网民争先恐后哄抢，但是之后许多订单被淘宝网取消。随后，淘宝网发布公告称，此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称：“服务器可能被攻击，已联系技术紧急处理。”这起“错价门

4、”事件发生至今已有两周，导致“错价门”的真实原因依然是个谜，但与此同时，这一事件暴露出来的我国电子商务安全问题不容小觑。n一位不愿透露姓名的消费者丁先生向记者抱怨，他在淘宝网上分别用1元、几元、几十元的价格，购买了两三千元的商品，但是所有订单被淘宝网取消。n9月1日早晨，丁先生去淘宝网购物，发现部分网店和淘宝商城许多商品以1元秒杀包邮价出售，也有很多原价数百元的商品标价几元或几十元。丁先生说，众所周知，互联网上这样的一元秒杀活动或者超低价商品甩卖促销是司空见惯的，可为网店带来大量信誉、流量和人气。所以，丁先生没有多想，花了几个小时按照正常程序买了许多商品，均付款成功并生成订单。n根据丁先生提供

5、的材料，丁先生下了10多份订单，购买的商品包括服装、数码产品等，这些商品的价格超低，比如：原价419元的MP4标价41元，原价428元的羽绒服标价6元，原价369元的毛绒皮外套标价1元。n出售这些商品的商户来自很多省市，包括上海、广东、浙江、湖北、江西等。记者联系到其中四五个商户，这些商户也向记者大吐苦水：超低价商品并非商家搞促销活动，而是商品价格被莫名其妙地更改，这给商户经营带来很大麻烦。记者注意到，多数商户与网民之间的交易已经被强制关闭，少数商户虽然没有关闭交易，但是商户也拒绝发货。n江西省萍乡市某数码科技有限公司一位工作人员告诉记者，在电子商务领域，这种价格被恶搞的事情尚属首次。这次是被

6、恶意标注低价，吸引消费者哄抢，下次也有可能被恶意标注高价，把所有消费者都吓跑。这些恶搞行为都会使商户遭受严重的经济和信誉损失。其他一些商户也向记者普遍表示忧虑：电子商务网站的安全缺乏保障，势必影响到商户们的日常经营。n 数据显示，2011年中国网民在线购物交易额达到7849.3亿元，同比增长近66%。越来越多的用户参与网购，2011年我国网络购物用户增长了20.8%，用户总规模达到1.94亿人。n 中国互联网协会信用评价中心法律顾问赵占领表示，目前网购资金安全主要面临两大问题：一是不法分子利用传统木马病毒，植入用户电脑，盗取用户网银或第三方支付账号、密码等信息。二是通过钓鱼网站设下陷阱，收集、

7、记录用户账号、密码，盗取用户的账户资金。不过，这两种犯罪方式普遍只能针对个体用户。近一年来，黑客们开始不断考验着各大网商的安全能力，群体性网络安全事件更是频发。 CSDN泄密事件n CSDN是国内最大的开发者社区。2011年12月21日，有黑客在网上公开了CSDN网站用户数据库，包括600余万个明文的注册邮箱账号和密码。这些密码并未经过后台的再次加密处理，普通人只要下载就都能看懂，并可直接通过他人的账号进行登录。此事引起整个业界及数亿网民的关注。n由于大部分用户在多个网站注册时采用了相同账号，百合网、人人网、开心网、珍爱网、世纪佳缘、多玩网、美空网等多家知名网站先后被卷入泄密风波，中国互联网史

8、上最大的信息泄露事件由此爆发。阶段2 电子商务安全需求【案例】n 最近的两笔交易让张女士百思不得其解，明明付了钱，却还是显示“等待买家付款”。联系卖家，说钱还没有收到，查看网上银行消费记录，钱已汇出。在民警和工作人员的调查下，终于为张女士解开了谜底。n 原来问题出在几天前的一笔交易。当时张女士在与卖家沟通时，卖家通过QQ发给了她一个名为“宝贝详情”的文件，这是一个病毒文件。张女士电脑中了病毒，在她使用浏览器到网银付款的时候病毒发作，更改了浏览器信息，将收款的账户改为另一个支付平台。 【提醒】n 上网时，建议用户可以对照以下几点进行安全确认。n 首先，电脑环境安全，包括使用正版操作系统、正版杀毒

9、软件并及时更新病毒库、稳定浏览器；并使用正规的第三方支付平台进行支付。n 其次，不接受陌生文件，不同网站用户名与密码做区分，网络密码不放在电脑内，最好使用同一台电脑进行网络支付。n 第三，在资金账户使用数字+英文+符号的高强度密码，分别设置登录与支付密码。 【案例】n半个月前，小陈想充话费，便在搜索引擎输入话费充值，搜索到一家折扣力度很大的卖家，卖家在QQ上说因为要改价格，就要小陈接收链接。小陈打开链接，紧接着输入支付宝账户名、登录密码、支付密码，但在最后一步弹出了“系统升级，无法支付”的对话框。n就在这时手机来了短信，是支付宝的确认信息，“您申请取消数字证书，校验码：123456”。正疑惑着

10、电话就响了，对方自称是“客服小二”，说账户存在安全问题，需要小陈报出刚刚接收到的手机校验码，小陈以前拨打过支付宝客服热线，一看来电显示，确实是客服电话没错。竟然都没有一点怀疑，就把校验码报给了对方。挂掉了电话，小陈突然觉得今天发生的事有点儿不对劲。于是赶快进入账户查看，结果账户里的余额全没了！n在工作人员的帮助下小陈才知道，原来自己连中两招。第一招是钓鱼链接，卖家给小陈发的链接其实就是事先准备好的钓鱼网站，小陈输入的信息都会被骗子获取，小陈的账户就已经被盗了。n 由于小陈申请了数字证书，骗子暂时无法盗走账户里的资金，所以第二招是扮演假客服，套取校验码。骗子利用某种软件，把来电显示更改为支付宝客

11、服热线的号码，又自称是“客服小二”，骗取了小陈的信任。而校验码正是安全产品数字证书在保护账户时发送到用户手机上的6位数字，它如同密码一样用于保护账户的安全。泄露了校验码，就等于卸载了数字证书，所以小陈才遭受了损失。 【提醒】n一定不要随便点击卖家提供的链接，特别是链接中的支付系统。正规的第三方支付平台工作人员在联系您时，是不会索要您的账户密码信息的。当对方试图询问密码、手机校验码等信息时，您要提高警惕，千万不要透露。 网上实践n请同学们访问电子商务网站，了解一下各大网站是如何保障电子商务的安全的。任务2 电子商务安全技术措施v 电子商务安全从整体上可分为两大部电子商务安全从整体上可分为两大部分

12、：计算机网络安全和商务交易安全分：计算机网络安全和商务交易安全, ,两者两者相辅相成，缺一不可。相辅相成，缺一不可。v 计算机网络安全的内容包括：计算机计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。以保证计算机网络自身的安全性为目标。 商务交易安全紧紧围绕传统商务在商务交易安全紧紧围绕传统商务在互联网络上应用时产生的各种安全问互联网络上应用时产

13、生的各种安全问题，在计算机网络安全的基础上，如题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。即何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。鉴别性、不可伪造性和不可抵赖性。电子商务安全构架电子商务安全构架交易安全技术交易安全技术安全应用协议安全应用协议SET、SSL安全认证手段安全认证手段数字签名、数字签名、CA体系体系基本加密算法基本加密算法对称和非对称密算法对称和非对称密算法安全管理体系安全管理体系网络安全技术网络安全技术病毒防范病毒防范身份识别技术身份识别技术防火墙技术防火墙技术分组过滤和代

14、理服分组过滤和代理服务等务等法律、法规、政策法律、法规、政策计算机网络安全体系在实施网络安全防范措施时要考虑以下几点：在实施网络安全防范措施时要考虑以下几点： n加强主机本身的安全，做好安全配置，及时安装加强主机本身的安全，做好安全配置，及时安装安全补丁程序，减少漏洞；安全补丁程序，减少漏洞； n用各种系统漏洞检测软件定期对网络系统进行扫用各种系统漏洞检测软件定期对网络系统进行扫描分析，找出可能存在的安全隐患，并及时加以描分析，找出可能存在的安全隐患，并及时加以修补；修补； n从路由器到用户各级建立完善的访问控制措施，从路由器到用户各级建立完善的访问控制措施，安装防火墙，加强授权管理和认证；安

15、装防火墙，加强授权管理和认证；q 利用利用RAID5等数据存储技术加强数据备份和等数据存储技术加强数据备份和恢复措施；恢复措施； q 对敏感的设备和数据要建立必要的物理或逻辑对敏感的设备和数据要建立必要的物理或逻辑隔离措施；隔离措施；q 对在公共网络上传输的敏感信息要进行数据加对在公共网络上传输的敏感信息要进行数据加密；密； q 安装防病毒软件，加强内部网的整体防病毒措安装防病毒软件，加强内部网的整体防病毒措施；施； q 建立详细的安全审计日志，以便检测并跟踪入建立详细的安全审计日志，以便检测并跟踪入侵攻击等侵攻击等任务2 电子商务安全技术措施n身份识别技术n信息加密技术n防火墙技术n数字认证

16、技术5-45http:/perso.orange.fr/fingerchip/biometrics/types/fingerprint.htm5-46http:/ n 北京市民杨某状告韩某借钱不还，并将自己的手机交给法庭，以手机短信作为韩某借钱的证据。但手机短信能否成为法庭认定事实的依据？2005年6月3日，海淀法院3名法官合议审理了这起电子签名法出台后的第一案。 n 2004年1月，杨先生结识了女孩韩某。同年8月27日，韩某发短信给杨先生，向他借钱应急，短信中说：“我需要5000，刚回北京做了眼睛手术，不能出门，你汇到我卡里”。杨先生随即将钱汇给了韩某。一个多星期后，杨先生再次收到韩某的短信

17、，又借给韩某6000元。因都是短信来往，两次汇款杨先生都没有索要借据。此后，因韩某一直没提过借款的事，而且又再次向杨先生借款，杨先生产生了警惕，于是向韩某催要。但一直索要未果，于是起诉至海淀法院，要求韩某归还其11000元钱，并提交了银行汇款单存单两张。但韩某却称这是杨先生归还以前欠她的欠款。 n 为此，在庭审中，杨先生在向法院提交的证据中，除了提供银行汇款单存单两张外，还提交了自己使用的号码为“1391166XXXX”的飞利浦移动电话一部，其中记载了部分短信息内容。n 如：2004年8月27日15：05，“那就借点资金援助吧”。2004年8月27日15：13，“你怎么这么实在！我需要五千，这

18、个数不大也不小，另外我昨天刚回北京做了个眼睛手术，现在根本出不了门口，见人都没法见，你要是资助就得汇到我卡里！”等韩某发来的18条短信内容。 n 韩某的代理人在听完短信内容后，否认发送短信的手机号码属于韩某，并质疑短信的真实。法官提醒他，在前次开庭时，法官曾当着双方拨打了该手机号码，接听者正是韩某本人。韩某也承认，自己从去年七八月份开始使用这个手机号码。n 法院经审理认为，依据最高人民法院关于民事诉讼证据的若干规定中的关于承认的相关规定，1391173XXXX”的移动电话号码是否由韩女士使用，韩女士在第一次庭审中明确表示承认，故法院确认该号码系韩女士使用。 n 依据2005年4月1日起施行的中

19、华人民共和国电子签名法中的规定，“电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。数据电文是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。”移动电话短信息即符合电子签名、数据电文的形式。同时移动电话短信息能够有效的表现所载内容并可供随时调取查用；能够识别数据电文的发件人、收件人以及发送、接收的时间。n n经本院对杨先生提供的移动电话短信息生成、储存、传递数据电文方法的可靠性；保持内容完整性方法的可靠性；用以鉴别发件人方法的可靠性进行审查，可以认定该移动电话短信息内容作为证据的真实性。根据证据规则的相关规定，录音录像及数据电文可以作为证

20、据使用，但数据电文可以直接作为认定事实的证据，还应有其它书面证据相佐证。 n通过韩女士向杨先生发送的移动电话短信息内容中可以看出：2004年8月27日韩女士提出借款5000元的请求并要求杨先生将款项汇入其卡中，2004年8月29日韩女士向杨先生询问款项是否存入，2004年8月29日中国工商银行个人业务凭证中显示杨先生给韩女士汇款5000元；2004年9月7日韩女士提出借款6000元的请求，2004年8月29日韩女士向杨先生询问款项是否汇入。2004年9月8日中国工商银行个人业务凭证中显示杨先生给韩女士汇款6000元。2004年9月15日至2005年1月韩女士屡次向杨先生承诺还款。 n 杨先生提

21、供的通过韩女士使用的号码发送的移动电话短信息内容中载明的款项往来金额、时间与中国工商银行个人业务凭证中体现的杨先生给韩女士汇款的金额、时间相符，且移动电话短信息内容中亦载明了韩女士偿还借款的意思表示，两份证据之间相互印证，可以认定韩女士向杨先生借款的事实。据此，杨先生所提供的手机短信息可以认定为真实有效的证据，证明事实真相，本院对此予以采纳，对杨先生要求韩女士偿还借款的诉讼请求予以支持。 n 在本案中，针对主要证据手机短信息，法官根据电子签名法第八条的规定及相关规定审查了该证据的真实性，在确定能够确认信息来源、发送时间以及传输系统基本可靠的情况、文件内容基本完整的情况下，同时又没有相反的证据足以否定这些证据的证明力的情况下，认可了这些手机短信息的证据力。n 在电子签名法出台之前，可以说有很多类似的案例，主要是针对电子邮件能否作为证据的，由于缺乏直接的法律规定，为此上海高院还专门出台了相关的解释，这种情况随着电子签名法的出台得到了根本的改变。 n 本案是我国电子签名法实施后，法院依据电子签名法裁判的第一起案例，意义重大，意味着我国的电子签名法真正开始走入司法程序，数据电文、电子签名、电子认证的法律效力得到了根本的保障，通过电子签名法的实施，基本上所有与信息化有关的活动在法律的层面都有了自己