高等教育电子商务基础第三章课件

第三章电子商务的安全防范第三章电子商务的安全防范教学重点：电子商务的安全标准；电子商务的安全技术。教学难点：电子商务的安全标准。教学要求：通过本章的学习使学生掌握电子商务涉及到的计算机和网络安全问题，以及电子商务安全的标准和安全技术。教学重点：电子商务的安全标准；2§3-1

计算机与网络的安全一、计算机安全1、计算机安全面临的严峻形势：计算机泄密、窃密事件不断发生；黑客攻击行为日益增多，计算机违法犯罪活动呈上升趋势；一些部门对计算机信息系统运行中存在的安全问题和潜在的风险认识不足，自我保护和防范意识不强，漏洞较多；计算机系统安全保护技术开发和应用滞后，防范能力较差。

§3-1计算机与网络的安全一、计算机安全34案例1：网络风险凸现1988/11/2日，23岁的USA康耐尔大学学生罗伯特·英瑞斯在自己计算机上将用远程命令编写的蠕虫程序送进网络，一夜之间，网上约6200台VAX系列小型机及Sun工作站、USA300多所大学、议院、研究中心、国家航空航天局及几个军事基地死机（10%），损失9600万美圆。

4案例1：网络风险凸现451994年4月-10月间，俄国彼得堡OA土星公司24岁的电脑专家弗拉基米尔·列·列文通过互联网多次侵入USA花旗银行在华尔街的中央电脑系统的现金管理系统，窃走1000万美元（40笔款），大银行的电脑系统首次被外人侵入。1999年，有人利用从新闻讨论组中查到的普通的技术手段，轻易而举地从USA多个商业网站中窃取了80000多个信用卡帐号和密码，并标价26万美元出售。2004年10月17日国内著名的杀毒软件厂商江民公司的网站被一名为河马史诗的黑客攻破，页面内容被篡改。2006年9月12日晚，国内知名搜索网站百度，遭到其有史以来最大规模黑客袭击，导致百度搜索服务在全国各地出现近30分钟的故障。2007年爆发的“熊猫烧香”病毒，会使所有程序图标变成熊猫烧香，并使它们不能应用。51994年4月-10月间，俄国彼得堡OA土星公司24岁的电562008年“扫荡波”。利用系统漏洞从网络入侵的程序，这个病毒可以导致被攻击者的机器被完全控制。2009年“木马下载器”。2009年度的新病毒,中毒后会产生1000~2000不等的木马病毒,导致系统崩溃,短短3天变成360安全卫士首杀榜前3名。2010年“震网病毒”。世界上首个以直接破坏现实世界中的工业基础设施为目标的蠕虫病毒，被称为“网络超级武器”。。。。。。。讨论：网络，还会有安全吗？62008年“扫荡波”。利用系统漏洞从网络入侵的程序，这个病62、计算机安全问题主要涉及的领域党政机关计算机信息系统的安全问题（首要）政治稳定和国计民生国家经济领域内计算机信息系统的安全问题

经济命脉国防和军队计算机信息系统的安全问题维护国家独立和主权完整2、计算机安全问题主要涉及的领域73、计算机安全控制制度（1）计算机安全表现（2）计算机安全控制的相关制度计算机信息系统安全等级保护制度计算机机房安全管理制度计算机信息系统国际联网备案制度计算机信息媒体进出境申报制度计算机信息系统使用单位安全负责制度计算机案件强行报告制度计算机病毒及其有害数据的专管制度计算机信息系统安全专用产品销售许可证制度对计算机系统的安全保护对计算机罪犯的防范与打击3、计算机安全控制制度对计算机系统的安全保护对计算机罪犯的防8

4．用于防范计算机犯罪的法律手段

1997年10月1日的我国新《刑法》确定了计算机犯罪的5种主要形式：（1）违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统；（2）对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行；（3）对计算机信息系统中存储、处理或传输的数据和应用程序进行删除、修改、增加的操作；（4）故意制作、传播计算机病毒等破坏性程序，影响计算机系统的正常运行；（5）利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家机密或其他犯罪行为等。4．用于防范计算机犯罪的法律手段9二、常见的网络安全问题1、网络安全主要的领域党政机关技术领域电子商务领域社会经济领域国家经济实体安全国防和军队运行安全信息安全支付安全身份认证法律责任二、常见的网络安全问题党政机关技术领域电子商务领域社会经济领102、网络上存在的安全问题病毒：最直接的安全威胁内部威胁和无意破坏系统的漏洞和“后门”网上的蓄意破坏侵犯隐私或机密资料拒绝服务2、网络上存在的安全问题11[高等教育]电子商务基础第三章课件12[高等教育]电子商务基础第三章课件13§3-2

电子商务的安全保障一、电子商务的安全现状§3-2电子商务的安全保障一、电子商务的安全现状14[高等教育]电子商务基础第三章课件15二、电子商务的安全威胁1、卖方面临的安全威胁：系统中心安全性被破坏竞争者的威胁商业机密的安全假冒的威胁信用的威胁二、电子商务的安全威胁162、买方面临的安全威胁：虚假订单付款后不能收到商品机密性丧失拒绝服务3、黑客攻击电子商务系统的手段系统中断，破坏系统的有效性窃听信息，破坏系统的机密性篡改信息，破坏系统的完整性伪造信息，破坏系统的真实性2、买方面临的安全威胁：17三、电子商务的安全要素和体系1、电子商务的安全要素：数据的完整性传输的保密性信息的不可否认性交易者身份的确定性访问控制2、电子商务安全的基本要求：完整、可靠、可控、不可抵赖三、电子商务的安全要素和体系18§3-3

电子商务安全的标准一、SSL协议：安全套接层协议1、开发：NetscapeCommunication公司设计开发2、功能：用于Web浏览器与服务器之间的身份认证和加密数据传输。3、构成：4、缺点：只能验证客户身份，不能验证商家身份SSL记录协议：

为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议：通讯双方进行身份认证、协商加密算法、交换加密密钥。§3-3电子商务安全的标准一、SSL协议：安全套接层协议19二、SET协议：安全电子交易协议1、开发：美国Visa和MasterCard两大信用卡组织等联合于1997年6月推出2、功能：采用公钥密码体制和X.509数字证书标准，主要应用于保障网上购物信息的安全性，是目前公认的信用卡网上交易的国际标准。3、优点：保证客户交易信息的保密性和完整性确保商家和客户交易行为的不可否认性确保商家和客户的合法性4、缺点：只解决双方认证和支付二、SET协议：安全电子交易协议20三、OTP协议：开放式贸易协议功能：解决多边支付问题。四、CHAP协议：询问握手认证协议功能：通过三次握手周期性的校验来验证用户的帐号及密码。

五、ECHAP协议：身份认证安全协议功能：实现了安全的身份认证和用户敏感验证信息（秘密信息）在服务器和客户端的安全存储，防止了因超级用户泄露或复制用户的秘密值的安全隐患。三、OTP协议：开放式贸易协议21网络安全技术安全管理体系电子商务信息安全技术数据备份与恢复安全应用协议：SET和SSL防火墙技术加密技术病毒防范数字签名入侵检测技术数字证书VPN身份识别技术…………法律法规、政策1、电子商务安全架构§3-4电子商务的安全技术一、安全防范措施网络安全技术安电子商务信息安全技术数据备份与恢复安全应用协议22人员管理制度人员选拔、工作责任制等保密制度信息的安全级别（绝密级、机密级、秘密级）跟踪、审计、稽核制度跟踪制度：企业应建立网络交易系统日志机制审计制度：对系统日志的检查、审核，以发现问题稽核制度：工商、税务等对企业的稽核2、网络安全管理制度人员管理制度2、网络安全管理制度23系统维护制度硬件的日常管理和维护、软件的日常管理和维护建立数据备份制度病毒防范制度安装杀毒软件、病毒定期清理制度、控制权限等应急措施瞬时复制技术远程磁盘镜像技术数据库恢复技术等2、网络安全管理制度系统维护制度2、网络安全管理制度24二、计算机安全技术1、实体安全：保证硬件和软件本身的安全电源防护技术：防干扰、防电压波动、防断电防盗技术：安装报警器、监视系统等环境保护：防火、防水、防尘、防震、防静电电磁兼容性：电磁屏蔽、接地等2、运行环境的安全：保证系统的正常运行预防措施：风险分析、备份与恢复、审计跟踪、应急二、计算机安全技术253、信息的安全：保证信息不被非法阅读、修改和泄露预防措施：装防火墙和杀毒软件、设置权限进行访问控制、加密、身份认证4、存取控制：对用户的身份进行识别和鉴别身份认证：密码、代表用户身份的物品、反映用户生理特征的标识存取权限控制：设置权限等级数据库存取控制：允许、禁止3、信息的安全：保证信息不被非法阅读、修改和泄露26三、路由器技术1、路由器：连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。2、功能：连通不同的网络。选择信息传送的线路。

三、路由器技术27四、防火墙技术1、防火墙(firewall)：一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。

2、基本特性：内部网络和外部网络之间的所有网络数据流都必须经过防火墙只有符合安全策略的数据流才能通过防火墙

防火墙自身应具有非常强的抗攻击免疫力四、防火墙技术283、功能：过滤进出网络的数据包；管理进出网络的访问行为；封堵某些禁止的访问行为；记录通过防火墙的信息内容和活动；对网络进行检测和告警。4、缺点：主要防范外部网络的攻击而忽略了内部网络攻击抑制一些正常的通信，削弱Internet的功能用外网访问内网会被防火墙拒绝服务防火墙跟不上信息技术的发展，存在漏洞增加黑客攻击机会3、功能：29常用的防火墙常用的防火墙30六、加密技术1、加密技术

：利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。

例如：2、构成要求算法：将普通的文本（或者可以理解的信息）与一串数字（密钥）的结合，产生不可理解的密文的步骤。密钥：用来对数据进行编码和解码的一种算法。“1101..ÀΩΩφ100”表示100元六、加密技术“1101..ÀΩΩφ100”表示100元313、分类：对称加密：用一个密钥进行加密。加、解密均用公钥进行。典型代表：DES算法、RC4非对称加密：用一对密钥进行加密。其中公钥进行加密，私钥进行解密。典型代表：RSA算法4、应用：在电子商务中的应用：信息的保密、信息的完整、信息源的鉴别、不可否认性在军事领域的应用：信息的保密、一致性和时效性明文明文密文加密解密B公钥B私钥A方B方3、分类：明文明文密文加密解密B公钥B私钥A方B方32七、认证技术1、认证技术：保证电子商务交易安全的一项重要技术。主要包括身份认证和信息认证。

2、常用的身份认证技术：静态密码：由用户设定的一组字符，用于保护用户信息和识别身份。短信密码：以手机短信形式请求包含6位随机数的动态密码。七、认证技术33动态口令牌：客户手持用来生成动态密码的终端，主流的是基于时间同步方式的，每60秒变换一次动态口令，口令一次有效，它产生6位动态数字进行一次一密的方式认证。

USBKEY：一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USBKey内置的密码算法实现对用户身份的认证。

动态口令牌：客户手持用来生34智能卡（IC卡）：一种内置集成电路的芯片，芯片中存有与用户身份相关的数据，通过智能卡硬件不可复制来保证用户身份不会被仿冒。数字签名：以电子形式存在于数据信息之中的，用于辨别数据签署人的身份，并表明签署人对数据信息中包含的信息的认可。

生物识别技术：通过可测量的身体或行为等生物特征进行身份认证的一种技术。

智能卡（IC卡）：一种内置集成电路的芯片，芯片中存有与用户35计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用，并能自我复制的一组计算机指令或者程序代码，就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒的组成：引导模块、传染模块和表现模块【知识窗】计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或36电脑病毒的概念是由电脑的先驱者冯·诺伊曼（JohnVonNeumann）提出的。到了1987年，第一个电脑病毒C-BRAIN终于诞生了。一般而言，业界都公认这是真正具备完整特征的电脑病毒始祖。这个病毒程序是由一对巴基斯坦兄弟：巴斯特（Basit）和阿姆捷特（Amjad）所写的，所以又称巴基斯坦大脑（PakistaniBrain）病毒。从此之后逐渐进入病毒的高发期！【知识窗】电脑病毒的概念是由电脑的先驱者冯·诺伊曼（JohnVon37巴基斯坦大脑（PakistaniBrain）DOS系统下耶路撒冷（Jerusalem）windows时期的宏病毒32位病毒-CIHInternet上盛行的各种病毒：蠕虫特洛伊木马等【知识窗】巴基斯坦大脑（PakistaniBrain）【知识窗】38引导型病毒：其传染对象是软盘的引导扇区和硬盘的主引导扇区和引导扇区。在系统启动时，先于正常系统启动。典型代表：“大麻”、Bloody、Brain等。文件型病毒：广义的文件型病毒包括可执行文件病毒、源码病毒和宏病毒。文件型病毒主要感染可执行文件，又可分为：寄生病毒、覆盖病毒和伴随病毒。混合型病毒：集引导型和文件型病毒为一体的病毒，感染力强。宏病毒：使用宏语言编写的程序，依赖于微软office办公软件传播。【知识窗】引导型病毒：其传染对象是软盘的引导扇区和硬盘的主引导扇区和引39计算机病毒的特点：传染性。传染性是病毒的基本特征，是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。潜伏性。有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。隐蔽性。计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来。破坏性。计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏。通常表现为：增、删、改、移。【知识窗】计算机病毒的特点：【知识窗】40八、防病毒技术1、防病毒技术：通过一定的技术手段防止计算机病毒对系统的传染和破坏。

2、主要技术：磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等3、防范病毒的主要措施：备份：对软件和系统备份，方便恢复预防和检测：安装杀毒软件，检测、报告并杀死病毒隔离：确认并隔离携带病毒的部位。恢复：修复或清除被病毒感染的文件。八、防病毒技术414、常用的杀毒软件：瑞星：是国产杀软的龙头老大，其监控能力是十分强大的，但同时占用系统资源较大。金山毒霸：金山毒霸是金山公司推出的电脑安全产品，监控、杀毒全面、可靠，占用系统资源较少。集杀毒、监控、防木马、防漏洞为一体，是一款具有市场竞争力的杀毒软件。

4、常用的杀毒软件：42卡巴斯基：是俄罗斯民用最多的杀毒软件。公司为个人用户、企业网络提供反病毒、防黒客和反垃圾邮件产品，被众多计算机专业媒体及反病毒专业评测机构誉为病毒防护的最佳产品。

360安全卫士：是一款由奇虎公司推出的完全免费的安全类上网辅助工具软件，拥有木马查杀、恶意软件清理、漏洞补丁修复、电脑全面体检、垃圾和痕迹清理、系统优化等多种功能。是一款值得普通用户使用的较好的安全防护软件。卡巴斯基：是俄罗斯民用最多的杀毒软43九、安全电子商务的法律要素：安全认证需要解决的法律问题：信用立法、电子签名、电子交易、认证管理1、有关认证中心的法律：2003年8月20日通过《中华人民共和国认证认可条例》，2003年11月1日起施行

2004年3月24日通过《中华人民共和国电子签名法》，2005年4月1日起施行2009年2月4日通过《电子认证服务管理办法》，2009年3月31日起施行《电子认证服务密码管理办法》2009年12月1日起实施，有2005年3月31日发布的管理办法同时废止

九、安全电子商务的法律要素：442、有关保护个人隐私、秘密的法律：《全国人大常委会关于维护互联网安全的决定》第四条：为了保护个人、法人和其他组织的人身、财产等合法权利，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：（1）利用互联网侮辱他人或者捏造事实诽谤他人；

(2)非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密；

(3)利用互联网进行盗窃、诈骗、敲诈勒索《互联网电子公告服务管理规定》第十二条：电子公告服务提供者应当对上网用户的个人信息保密，未经上网用户同意不得向他人泄露，但法律另有规定的除外。

2、有关保护个人隐私、秘密的法律：45第十九条：违反本规定第十二条的规定，未经上网用户同意，向他人非法泄露上网用户个人信息的，由省、自治区、直辖市电信管理机构责令改正；给上网用户造成损害或者损失的，依法承担法律责任。《计算机信息网络国际联网安全保护管理办法》第七条规定：用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用国际联网侵犯用户的通信自由和通信秘密。其它相关法律：《宪法》、《行政复议法》、《行政处罚法》、《妇女权益保护法》、《未成年人保护法》等法律都涉及了对隐私权的保护

第十九条：违反本规定第十二条的规定，未经上网用户同意，向他人463、有关电子合同的法律：1991年12月16日，联合国国际贸易法委员会通过《电子商务示范法》2007年6月29日通过《中华人民共和国劳动合同法》，自2008年1月1日起施行。

4、有关电子商务的消费者权益保护的法律：《消费者权益保护法》

主要解决问题：交易安全、信息真实完整性（知情权）、广告误导、责任界定及责任承担、消费者退换货、实质公平、全面适当发行、管辖权等问题3、有关电子合同的法律：475、有关网络知识产权保护的法律：网络知识产权的侵权方式：网上侵犯著作权、商标权、专利权2001年10月27日修订实施《中华人民共和国著作权法》2001年12月1日修订实施《中华人民共和国商标法》2008年12月27日修订《中华人民共和国专利法》，2009年10月1日起实施2009年12月册通过《中华人民共和国侵权责任法》，自2010年7月1日起实施2006年5月10日通过《信息网络传播权保护条例》，自2006年7月1日起实施2002年1月1日通过并实施《计算机软件保护条例》2006年l2月7日修订《关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》，2006年12月8日实施

5、有关网络知识产权保护的法律：48十、安全问题的未来研究方向及对策：1、构造中国电子商务体系2、加快电子商务法律法规建设3、加快网络基础设施建设,推动企业信息化进程4、营造电子商务的信息安全环境：增强国民的信息素质提高电子商务信息的安全确保信息系统的安全十、安全问题的未来研究方向及对策：49第三章电子商务的安全防范第三章电子商务的安全防范教学重点：电子商务的安全标准；电子商务的安全技术。教学难点：电子商务的安全标准。教学要求：通过本章的学习使学生掌握电子商务涉及到的计算机和网络安全问题，以及电子商务安全的标准和安全技术。教学重点：电子商务的安全标准；51§3-1

计算机与网络的安全一、计算机安全1、计算机安全面临的严峻形势：计算机泄密、窃密事件不断发生；黑客攻击行为日益增多，计算机违法犯罪活动呈上升趋势；一些部门对计算机信息系统运行中存在的安全问题和潜在的风险认识不足，自我保护和防范意识不强，漏洞较多；计算机系统安全保护技术开发和应用滞后，防范能力较差。

§3-1计算机与网络的安全一、计算机安全5253案例1：网络风险凸现1988/11/2日，23岁的USA康耐尔大学学生罗伯特·英瑞斯在自己计算机上将用远程命令编写的蠕虫程序送进网络，一夜之间，网上约6200台VAX系列小型机及Sun工作站、USA300多所大学、议院、研究中心、国家航空航天局及几个军事基地死机（10%），损失9600万美圆。

4案例1：网络风险凸现53541994年4月-10月间，俄国彼得堡OA土星公司24岁的电脑专家弗拉基米尔·列·列文通过互联网多次侵入USA花旗银行在华尔街的中央电脑系统的现金管理系统，窃走1000万美元（40笔款），大银行的电脑系统首次被外人侵入。1999年，有人利用从新闻讨论组中查到的普通的技术手段，轻易而举地从USA多个商业网站中窃取了80000多个信用卡帐号和密码，并标价26万美元出售。2004年10月17日国内著名的杀毒软件厂商江民公司的网站被一名为河马史诗的黑客攻破，页面内容被篡改。2006年9月12日晚，国内知名搜索网站百度，遭到其有史以来最大规模黑客袭击，导致百度搜索服务在全国各地出现近30分钟的故障。2007年爆发的“熊猫烧香”病毒，会使所有程序图标变成熊猫烧香，并使它们不能应用。51994年4月-10月间，俄国彼得堡OA土星公司24岁的电54552008年“扫荡波”。利用系统漏洞从网络入侵的程序，这个病毒可以导致被攻击者的机器被完全控制。2009年“木马下载器”。2009年度的新病毒,中毒后会产生1000~2000不等的木马病毒,导致系统崩溃,短短3天变成360安全卫士首杀榜前3名。2010年“震网病毒”。世界上首个以直接破坏现实世界中的工业基础设施为目标的蠕虫病毒，被称为“网络超级武器”。。。。。。。讨论：网络，还会有安全吗？62008年“扫荡波”。利用系统漏洞从网络入侵的程序，这个病552、计算机安全问题主要涉及的领域党政机关计算机信息系统的安全问题（首要）政治稳定和国计民生国家经济领域内计算机信息系统的安全问题

经济命脉国防和军队计算机信息系统的安全问题维护国家独立和主权完整2、计算机安全问题主要涉及的领域563、计算机安全控制制度（1）计算机安全表现（2）计算机安全控制的相关制度计算机信息系统安全等级保护制度计算机机房安全管理制度计算机信息系统国际联网备案制度计算机信息媒体进出境申报制度计算机信息系统使用单位安全负责制度计算机案件强行报告制度计算机病毒及其有害数据的专管制度计算机信息系统安全专用产品销售许可证制度对计算机系统的安全保护对计算机罪犯的防范与打击3、计算机安全控制制度对计算机系统的安全保护对计算机罪犯的防57

4．用于防范计算机犯罪的法律手段

1997年10月1日的我国新《刑法》确定了计算机犯罪的5种主要形式：（1）违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统；（2）对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行；（3）对计算机信息系统中存储、处理或传输的数据和应用程序进行删除、修改、增加的操作；（4）故意制作、传播计算机病毒等破坏性程序，影响计算机系统的正常运行；（5）利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家机密或其他犯罪行为等。4．用于防范计算机犯罪的法律手段58二、常见的网络安全问题1、网络安全主要的领域党政机关技术领域电子商务领域社会经济领域国家经济实体安全国防和军队运行安全信息安全支付安全身份认证法律责任二、常见的网络安全问题党政机关技术领域电子商务领域社会经济领592、网络上存在的安全问题病毒：最直接的安全威胁内部威胁和无意破坏系统的漏洞和“后门”网上的蓄意破坏侵犯隐私或机密资料拒绝服务2、网络上存在的安全问题60[高等教育]电子商务基础第三章课件61[高等教育]电子商务基础第三章课件62§3-2

电子商务的安全保障一、电子商务的安全现状§3-2电子商务的安全保障一、电子商务的安全现状63[高等教育]电子商务基础第三章课件64二、电子商务的安全威胁1、卖方面临的安全威胁：系统中心安全性被破坏竞争者的威胁商业机密的安全假冒的威胁信用的威胁二、电子商务的安全威胁652、买方面临的安全威胁：虚假订单付款后不能收到商品机密性丧失拒绝服务3、黑客攻击电子商务系统的手段系统中断，破坏系统的有效性窃听信息，破坏系统的机密性篡改信息，破坏系统的完整性伪造信息，破坏系统的真实性2、买方面临的安全威胁：66三、电子商务的安全要素和体系1、电子商务的安全要素：数据的完整性传输的保密性信息的不可否认性交易者身份的确定性访问控制2、电子商务安全的基本要求：完整、可靠、可控、不可抵赖三、电子商务的安全要素和体系67§3-3

电子商务安全的标准一、SSL协议：安全套接层协议1、开发：NetscapeCommunication公司设计开发2、功能：用于Web浏览器与服务器之间的身份认证和加密数据传输。3、构成：4、缺点：只能验证客户身份，不能验证商家身份SSL记录协议：

为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议：通讯双方进行身份认证、协商加密算法、交换加密密钥。§3-3电子商务安全的标准一、SSL协议：安全套接层协议68二、SET协议：安全电子交易协议1、开发：美国Visa和MasterCard两大信用卡组织等联合于1997年6月推出2、功能：采用公钥密码体制和X.509数字证书标准，主要应用于保障网上购物信息的安全性，是目前公认的信用卡网上交易的国际标准。3、优点：保证客户交易信息的保密性和完整性确保商家和客户交易行为的不可否认性确保商家和客户的合法性4、缺点：只解决双方认证和支付二、SET协议：安全电子交易协议69三、OTP协议：开放式贸易协议功能：解决多边支付问题。四、CHAP协议：询问握手认证协议功能：通过三次握手周期性的校验来验证用户的帐号及密码。

五、ECHAP协议：身份认证安全协议功能：实现了安全的身份认证和用户敏感验证信息（秘密信息）在服务器和客户端的安全存储，防止了因超级用户泄露或复制用户的秘密值的安全隐患。三、OTP协议：开放式贸易协议70网络安全技术安全管理体系电子商务信息安全技术数据备份与恢复安全应用协议：SET和SSL防火墙技术加密技术病毒防范数字签名入侵检测技术数字证书VPN身份识别技术…………法律法规、政策1、电子商务安全架构§3-4电子商务的安全技术一、安全防范措施网络安全技术安电子商务信息安全技术数据备份与恢复安全应用协议71人员管理制度人员选拔、工作责任制等保密制度信息的安全级别（绝密级、机密级、秘密级）跟踪、审计、稽核制度跟踪制度：企业应建立网络交易系统日志机制审计制度：对系统日志的检查、审核，以发现问题稽核制度：工商、税务等对企业的稽核2、网络安全管理制度人员管理制度2、网络安全管理制度72系统维护制度硬件的日常管理和维护、软件的日常管理和维护建立数据备份制度病毒防范制度安装杀毒软件、病毒定期清理制度、控制权限等应急措施瞬时复制技术远程磁盘镜像技术数据库恢复技术等2、网络安全管理制度系统维护制度2、网络安全管理制度73二、计算机安全技术1、实体安全：保证硬件和软件本身的安全电源防护技术：防干扰、防电压波动、防断电防盗技术：安装报警器、监视系统等环境保护：防火、防水、防尘、防震、防静电电磁兼容性：电磁屏蔽、接地等2、运行环境的安全：保证系统的正常运行预防措施：风险分析、备份与恢复、审计跟踪、应急二、计算机安全技术743、信息的安全：保证信息不被非法阅读、修改和泄露预防措施：装防火墙和杀毒软件、设置权限进行访问控制、加密、身份认证4、存取控制：对用户的身份进行识别和鉴别身份认证：密码、代表用户身份的物品、反映用户生理特征的标识存取权限控制：设置权限等级数据库存取控制：允许、禁止3、信息的安全：保证信息不被非法阅读、修改和泄露75三、路由器技术1、路由器：连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。2、功能：连通不同的网络。选择信息传送的线路。

三、路由器技术76四、防火墙技术1、防火墙(firewall)：一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。

2、基本特性：内部网络和外部网络之间的所有网络数据流都必须经过防火墙只有符合安全策略的数据流才能通过防火墙

防火墙自身应具有非常强的抗攻击免疫力四、防火墙技术773、功能：过滤进出网络的数据包；管理进出网络的访问行为；封堵某些禁止的访问行为；记录通过防火墙的信息内容和活动；对网络进行检测和告警。4、缺点：主要防范外部网络的攻击而忽略了内部网络攻击抑制一些正常的通信，削弱Internet的功能用外网访问内网会被防火墙拒绝服务防火墙跟不上信息技术的发展，存在漏洞增加黑客攻击机会3、功能：78常用的防火墙常用的防火墙79六、加密技术1、加密技术

：利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。

例如：2、构成要求算法：将普通的文本（或者可以理解的信息）与一串数字（密钥）的结合，产生不可理解的密文的步骤。密钥：用来对数据进行编码和解码的一种算法。“1101..ÀΩΩφ100”表示100元六、加密技术“1101..ÀΩΩφ100”表示100元803、分类：对称加密：用一个密钥进行加密。加、解密均用公钥进行。典型代表：DES算法、RC4非对称加密：用一对密钥进行加密。其中公钥进行加密，私钥进行解密。典型代表：RSA算法4、应用：在电子商务中的应用：信息的保密、信息的完整、信息源的鉴别、不可否认性在军事领域的应用：信息的保密、一致性和时效性明文明文密文加密解密B公钥B私钥A方B方3、分类：明文明文密文加密解密B公钥B私钥A方B方81七、认证技术1、认证技术：保证电子商务交易安全的一项重要技术。主要包括身份认证和信息认证。

2、常用的身份认证技术：静态密码：由用户设定的一组字符，用于保护用户信息和识别身份。短信密码：以手机短信形式请求包含6位随机数的动态密码。七、认证技术82动态口令牌：客户手持用来生成动态密码的终端，主流的是基于时间同步方式的，每60秒变换一次动态口令，口令一次有效，它产生6位动态数字进行一次一密的方式认证。

USBKEY：一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USBKey内置的密码算法实现对用户身份的认证。

动态口令牌：客户手持用来生83智能卡（IC卡）：一种内置集成电路的芯片，芯片中存有与用户身份相关的数据，通过智能卡硬件不可复制来保证用户身份不会被仿冒。数字签名：以电子形式存在于数据信息之中的，用于辨别数据签署人的身份，并表明签署人对数据信息中包含的信息的认可。

生物识别技术：通过可测量的身体或行为等生物特征进行身份认证的一种技术。

智能卡（IC卡）：一种内置集成电路的芯片，芯片中存有与用户84计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用，并能自我复制的一组计算机指令或者程序代码，就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒的组成：引导模块、传染模块和表现模块【知识窗】计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或85电脑病毒的概念是由电脑的先驱者冯·诺伊曼（JohnVonNeumann）提出的。到了1987年，第一个电脑病毒C-BRAIN终于诞生了。一般而言，业界都公认这是真正具备完整特征的电脑病毒始祖。这个病毒程序是由一对巴基斯坦兄弟：巴斯特（Basit）和阿姆捷特（Amjad）所写的，所以又称巴基斯坦大脑（PakistaniBrain）病毒。从此之后逐渐进入病毒的高发期！【知识窗】电脑病毒的概念是由电脑的先驱者冯·诺伊曼（JohnVon86巴基斯坦大脑（PakistaniBrain）DOS系统下耶路撒冷（Jerusalem）windows时期的宏病毒32位病毒-CIHInternet上盛行的各种病毒：蠕虫特洛伊木马等【知识窗】巴基斯坦大脑（PakistaniBrain）【知识窗】87引导型病毒：其传染对象是软盘的引导扇区和硬盘的主引导扇区和引导扇区。在系统启动时，先于正常系统启动。典型代表：“大麻”、Bloody、Brain等。文件型病毒：广义的文件型病毒包括可执行文件病毒、源码病毒和宏病毒。文件型病毒主要感染可执行文件，又可分为：寄生病毒、覆盖病毒和伴随病毒。混合型病毒：集引导型和文件型病毒为一体的病毒，感染力强。宏病毒：使用宏语言编写的程序，依赖于微软office办公软件传播。【知识窗】引导型病毒：其传染对象是软盘的引导扇区和硬盘的主引导扇区和引88计算机病毒的特点：传染性。传染性是病毒的基本特征，是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。潜伏性。有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。隐蔽性。计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来。破坏性。计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏。通常表现为：增、删、改、移。【知识窗】计算机病毒的特点：【知识窗】89八、防病毒技术1、防病毒技术：通过一定的技术手段防止计算机病毒对系统的传染和破坏。

2、主要技术：磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等3、防范病毒的主要措施：备份：对软件和系统备份，方便恢复预防和检测：安装杀毒软件，检测、报告并杀死病毒隔离：确认并隔离携带病毒的部位。恢复：修复或清除被病毒感染的文件。八、防病毒技术904、常用的杀毒软件：瑞星：是国产杀软的龙头老大，其监控能力是十分强大的，但同时占用系统资源较大。金山毒霸：金山毒霸是金山公司推出的电脑安全产品，监控、杀毒全面、可靠，占用系统资源较少。集杀毒、监控、防木马、防漏洞为一体，是一款具有市场竞争力的杀毒软件。

4、常用的杀毒软件：91卡巴斯基：是俄罗斯民用最多的杀毒软件。公司为个人用户、企业网络提供反病毒、防黒客和反垃圾邮件产品，被众多计算机专业媒体及反病毒专业评测机构誉为病毒防护的最佳产品。

360安全卫士：是一款由奇虎公司推出的完全免费的安全类上网辅助工具软件，拥有木马查杀、恶意软件清理、漏洞补