电子商务安全与支付

电子商务安全与支付第1页/共138页完整性机密性真实性不可抵赖性电子商务安全的要素5.1电子商务安全可靠性第2页/共138页不可抵赖性完整性可靠性机密性真实性

电子商务系统的可靠性是指为防止计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒与自然灾害等所产生的潜在威胁，通过控制与预防等来确保系统安全可靠。

可靠性是保证数据传输与存储、进行电子商务完整性检查的基础。

系统的可靠性可以通过各种网络安全技术来实现。5.1电子商务安全电子商务安全的要素第3页/共138页不可抵赖性完整性真实性机密性可靠性

交易的真实性是指商务活动中交易者身份的真实性，也就是要确定交易双方是真实存在的。身份认证通常采用电子签名、数字证书等技术来实现。5.1电子商务安全电子商务安全的要素第4页/共138页不可抵赖性完整性机密性真实性可靠性

信息的机密性是指交易过程中必须保证信息不会泄露给非授权的人或实体。电子商务的交易信息直接代表着个人、企业的商业机密。个人的信用卡号和密码在网上传送时如被他人截获，就可能被盗用；企业的订货和付款信息如被竞争对手获悉，该企业就可能贻误商机。信息机密性的保护一般通过数据加密技术来实现。5.1电子商务安全电子商务安全的要素第5页/共138页不可抵赖性机密性真实性可靠性完整性

信息的完整性是指数据在传输或存储过程中不会受到非法修改、删除或重放，以确保信息的顺序完整性和内容完整性。数据完整性的保护通过安全散列函数（如数字摘要）与电子签名技术来实现。5.1电子商务安全电子商务安全的要素第6页/共138页完整性机密性真实性可靠性不可抵赖性

交易的不可抵赖性是指保证发送方不能否认自己发送了信息，同时接收方也不能否认自己接收到信息。交易的不可抵赖性通过电子签名技术来实现。5.1电子商务安全电子商务安全的要素第7页/共138页完整电子商务安全体系一般包括4个组成部分：客户端、服务器端、银行端与认证机构。5.1电子商务安全电子商务安全的体系第8页/共138页5.1电子商务安全客户端安全

计算机病毒及其防范电子商务安全的体系第9页/共138页5.2.1计算机病毒及其防范计算机病毒的类型：计算机病毒可以按照传染方式、连接方式、破坏程度、机理等进行分类。 按传染方式：引导区型病毒、文件型病毒、混合型病毒和宏病毒。按连接方式：源码型病毒、入侵型病毒、操作系统型病毒和外壳型病毒。按破坏程度：良性病毒、恶性病毒、极恶性病毒、灾难性病毒。 按病毒机理：伴随型病毒、寄生型病毒、蠕虫病毒和木马病毒。较为常见的四大类恶意病毒：宏病毒、CIH病毒、蠕虫病毒和木马病毒。客户端安全

电子商务安全的体系第10页/共138页5.2.1计算机病毒及其防范计算机病毒的防范： ①正确安装和使用杀毒软件。 ②安装防火墙。 ③修改系统配置。防范病毒还可以通过修改系统配置、增强系统自身安全性来提高系统的抵抗能力。卸载、删除系统不必要的系统功能和服务，修改系统安全配置，提高系统安全性。如：关闭自动播放功能，防止各类Autorun病毒。取消不必要的默认共享等。 ④修补系统漏洞。对于Windows系统，必须及时通过WindowsUpdate下载系统补丁来修补系统漏洞。客户端安全

电子商务安全的体系第11页/共138页5.2.2软件防火墙的安装与配置Windows防火墙：

Windows防火墙是一个基于主机的状态防火墙，它会断开非请求的传入通信，Windows防火墙针对依靠非请求传入通信攻击网络计算机的恶意用户和程序提供了一定程度的保护。 点击“开始”-“程序”-“附件”-“系统工具”-“安全中心”命令，即可打开Windows安全中心，点击右下的“Windows防火墙”，弹出如图5-1左所示的对话框，该对话框包括常规、例外、高级三个选项卡。客户端安全

电子商务安全的体系第12页/共138页5.2.2软件防火墙的安装与配置图5-1Windows防火墙图5-2Windows防火墙“例外”选项卡第13页/共138页5.2.2软件防火墙的安装与配置天网防火墙：

图5-3是天网防火墙软件启动后的界面，一般情况下使用默认设置就可以保证基本的安全需求，但有时需要对防火墙进行一些设置，以让某些特定病毒无法入侵。比如冲击波病毒是利用WINDOWS系统的RPC服务漏洞以及开放的69、135、139、445、4444端口入侵系统的，所以要防范该病毒，就是封住以上端口，需要先把“允许互联网上的机器使用我的共享资源”这项划掉（如图5-4），这样就已经禁止了135和139两个端口。然后依图5-5所示操作依次禁止4444、69、445端口。客户端安全

电子商务安全的体系第14页/共138页5.2.2软件防火墙的安装与配置图5-3天网防火墙启动后的界面第15页/共138页5.2.2软件防火墙的安装与配置图5-4天网防火墙规则设定第16页/共138页5.2.2软件防火墙的安装与配置图5-5天网防火墙的禁止端口第17页/共138页5.2.3系统任务的管理系统任务的管理：

杀毒软件不停地弹出病毒提醒，但却又无法有效清除病毒，这时候有经验的用户通常果断地按下“Ctrl+Alt+Del”组合键，打开Windows的任务管理器，寻找到可疑的病毒进程并关闭它。客户端安全

电子商务安全的体系第18页/共138页5.2.3系统任务的管理图5-6任务管理器第19页/共138页5.2.3系统任务的管理图5-6任务管理器第20页/共138页5.2.4浏览器安全设置：1）设置“Internet选项”的安全选项以IE浏览器为例，点击“工具”-“Internet选项”，在弹出的对话框中点“安全”选项卡（如图5-7左所示），点击右下的“自定义级别”可以打开如图5-7右所示的安全设置对话框，可以设置ActiveX控件、脚本程序的安全配置，进而保证WEB安全。客户端安全

电子商务安全的体系第21页/共138页5.2.4浏览器安全设置图5-7浏览器安全设置第22页/共138页浏览器安全设置：2）通过修改注册表还原IE设置

在Windows启动后，点击“开始”-“运行”菜单项，在“打开”栏中键入“regedit”，然后按“确定”键；在注册表编辑器的窗口中展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main下，在右半部分窗口中找到串值“StartPage”双击，将StartPage的键值改为“about:blank”；再展开注册表到HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main在右半部分窗口中找到串值“StartPage”，同样修改其键值，然后退出注册表编辑器，重新启动计算机。5.1电子商务安全客户端安全

电子商务安全的体系第23页/共138页浏览器安全设置：3）Cookie安全

Cookies是一种能够让网站服务器把少量数据储存到客户端的硬盘或内存，或是从客户端的硬盘读取数据的一种技术。当你浏览某网站时，Cookies是由Web服务器置于你硬盘上的一个非常小的文本文件，它可以记录你的用户ID、密码、浏览过的网页、停留的时间等信息。当你再次来到该网站时，网站通过读取Cookies，得知你的相关信息，就可以做出相应的动作，如在页面显示欢迎你的标语，或者让你不用输入ID、密码就直接登录等等。虽然Cookies不能作为代码执行，也不会传送病毒，且为你所专有，并只能由提供它的服务器来读取，但黑客通过简单的方法即可窃取这些文件，这给安全和隐私带来很大威胁。 面对可能带来的安全威胁的Cookie，只要在IE的“Internet选项”-“常规”选项卡下，点击“删除Cookie”按钮即可删除计算机中所有的Cookie。5.1电子商务安全客户端安全

电子商务安全的体系第24页/共138页系统备份与恢复：数据恢复系统还原系统备份5.1电子商务安全客户端安全

电子商务安全的体系第25页/共138页系统备份与恢复：数据恢复系统还原系统备份

系统还原是系统关键信息恢复工具，如果你误装了驱动程序、误删了系统文件或电脑出现各种奇怪故障，利用系统还原就可以令“时光倒流”，将操作系统“恢复”到以前健康的状态。5.1电子商务安全客户端安全

电子商务安全的体系第26页/共138页系统备份与恢复：数据恢复系统还原系统备份图5-8系统还原5.1电子商务安全客户端安全

电子商务安全的体系第27页/共138页系统备份与恢复：数据恢复系统还原系统备份图5-9选择还原点5.1电子商务安全客户端安全

电子商务安全的体系第28页/共138页系统备份与恢复：数据恢复系统还原系统备份

经常会碰到由于硬盘误格式化（Format）、误分区（如用Fdisk）而失去全部硬盘数据，或者由于病毒而使得某个分区完全消失使保存的大量数据化为灰烬，如果这些数据非常重要而又没有做相应备份的时候，如何来处理呢？有一些软件可以实现修复硬盘数据的功能，常见的有EasyRecovery和FinalData5.1电子商务安全客户端安全

电子商务安全的体系第29页/共138页系统备份与恢复：数据恢复系统还原系统备份图5-10数据恢复5.1电子商务安全客户端安全

电子商务安全的体系第30页/共138页系统备份与恢复：数据恢复系统还原系统备份

使用Ghost进行系统备份，有整个硬盘（Disk）和分区（Partition）两种方式。在菜单中点击Local（本地）项，在右面弹出的菜单中有3个子项，其中Disk表示备份整个硬盘（即克隆）、Partition表示备份硬盘的单个分区、Check表示检查硬盘或备份的文件，查看是否可能因分区、硬盘被破坏等造成备份或还原失败。5.1电子商务安全客户端安全

电子商务安全的体系第31页/共138页系统备份与恢复：数据恢复系统还原系统备份

分区备份作为个人用户来保存系统数据，特别是在恢复和复制系统分区时具有实用价值。要备份一个分区，选Local-Partition-ToImage菜单，一旦备份分区的数据受到损坏，用一般数据修复方法不能修复，或者系统被破坏后不能启动，就可以用备份的数据进行完全的复原而无须重新安装程序或系统。要恢复备份的分区，在界面中选择菜单Local-Partition-FromImage，在弹出窗口中选择还原的备份文件，再选择还原的硬盘和分区，点击Yes按钮即可。5.1电子商务安全客户端安全

电子商务安全的体系第32页/共138页5.1电子商务安全服务器安全

操作系统安全

操作系统安全主要集中于系统的及时更新、对于攻击的防范和访问控制权限的设置三个方面。电子商务安全的体系第33页/共138页5.1电子商务安全服务的访问控制与管理2）禁止建立空链接

1）关闭不必要的端口3）关闭不必要的服务服务器安全

电子商务安全的体系第34页/共138页5.1电子商务安全防火墙

网络防火墙是指在两个网络之间加强访问控制的一整套装置，即防火墙是构造在内部网和外部网之间的保护装置，强制所有的访问和连接都必须经过这个保护层，并在此进行连接和安全检查。只有合法的数据包才能通过此保护层，从而保护内部网资源免遭非法入侵。服务器安全

电子商务安全的体系第35页/共138页5.1电子商务安全防火墙

防火墙的安全策略:

通常，防火墙采用的安全策略有如下两个基本准则。 ①一切未被允许的访问就是禁止的。②一切未被禁止的访问就是允许的。服务器安全

电子商务安全的体系第36页/共138页5.1电子商务安全防火墙

防火墙的类型:防火墙有6种基本类型：①包过滤型；②代理服务器型；③电路层网关；④混合型；⑤应用层网关；⑥自适应代理技术。服务器安全

电子商务安全的体系第37页/共138页5.1电子商务安全防火墙

防火墙的功能:①保护易受攻击的服务。②控制对特殊站点的访问。③集中化的安全管理。④检测外来黑客攻击的行动。⑤对网络访问进行日志记录和统计。服务器安全

电子商务安全的体系第38页/共138页5.1电子商务安全防火墙

防火墙的功能:①保护易受攻击的服务。②控制对特殊站点的访问。③集中化的安全管理。④检测外来黑客攻击的行动。⑤对网络访问进行日志记录和统计。服务器安全

电子商务安全的体系第39页/共138页5.1电子商务安全服务器的物理安全

物理环境主要是指服务器托管机房的设施状况，包括通风系统、电源系统、防雷防火系统以及机房的温度、湿度条件等，这些因素会影响到服务器的寿命和所有数据的安全。

物理安全是指计算机所在的物理环境是否可靠，会不会受到自然灾害（如火灾、水灾、雷电、地震等引起设施能源供应中断、设施设备损坏引起业务中断）和人为的破坏（失窃、破坏）等。

物理安全并不完全是系统或者网络管理员的责任，还需要公司的其他部门如行政、保安等一起协作。服务器安全

电子商务安全的体系第40页/共138页5.1电子商务安全服务器的物理安全

首先，要特别保证所有的重要设备与服务器要集中在机房里，并制订机房相关制度，无关人员不得进入机房等。

其次，使用“物理隔离卡”。这些网络安全物理隔离卡可以实现对计算机的两个网络（内网和外网）进行物理上的完全隔离，其功能包括“网络隔离”和“数据隔离”两方面，“网络隔离”是指对内、外两个网络进行隔离，使两个网络之间不能存在物理连接。 最后，还得考虑服务器对环境的要求，比如机房需要安装空调，以防止高温对服务器的影响，需要安装不间断电源UPS，防止断电等。服务器安全

电子商务安全的体系第41页/共138页

信息加密就是采用数学方法与一串数字（密钥）对原始信息（明文）进行编码，产生密文的一系列步骤。

密钥是用来对文本进行编码和解码的数字。将这些明文转成密文的程序称作加密程序，使得加密后在网络上公开传输的内容对于非法接收者成为无法理解的符号（密文）。合法的接收方运用其掌握的密钥，对密文进行解密得到原始信息，所用的程序称为解密程序，这是加密的逆过程。通过数据加密技术可以在一定程度上提高数据传输的安全性，保证传输数据的完整性。电子商务安全技术加密技术

5.1电子商务安全第42页/共138页

一个数据加密系统包括加密算法、明文、密文以及密钥。加密算法和密钥对保护安全至关重要。加密的另一个特点是，即使有人知道加密的方法，不知道密钥也无法解开加密信息。加密信息的保密性取决于加密所用密钥的长度，40位的密钥是最低要求，更长的（如128位）密钥能提供更高程度的加密保障。

一个简单的加密方法是把英文字母按字母表的顺序编号作为明文，将密钥定为17，加密算法为将明文加上密钥17，就得到一个密码表。电子商务安全技术加密系统

5.1电子商务安全第43页/共138页

数据加密算法有很多种，密码算法标准化是信息化社会发展的必然趋势，是世界各国保密通信领域的一个重要课题。

按照发展进程来分，经历了古典密码、对称密钥密码和公开密钥密码阶段。

古典密码算法有替代加密、置换加密；

对称加密算法包括DES和AES；

非对称加密算法包括RSA、背包密码、McEliece密码、Rabin、椭圆曲线、EIGamalD_H等。目前在数据通信中使用最普遍的算法有DES算法和RSA算法等。加密算法

电子商务安全技术5.1电子商务安全第44页/共138页

对称加密又称为单钥加密或私钥加密，即收发信双方同用一个密钥去加密和解密数据，常见的对称加密算法为DES（dataencryptstandard）和IDEA等算法,目前广泛使用的是3DES。图5-11对称加密流程示意图对称加密电子商务安全技术5.1电子商务安全第45页/共138页对称加密电子商务安全技术5.1电子商务安全

对称加密方法对信息编码和解码的速度很快，效率也很高，但需要细心保存密钥。

如果发送者和接收者处在不同地点，就必须当面或在公共传送系统（电话系统、邮政服务）中无人偷听偷看的情况下交换密钥。所以对称加密的一个问题就出在密钥的分发上，包括密钥的生成、传输和存放。在公共网络上进行密钥发布非常麻烦，如果企业有几千个在线顾客，那么密钥的发布就很难满足要求。

对称加密的另一个问题是其规模无法适应互联网这类大环境的要求。每两个人通信就要求一个密钥，n个人彼此之间进行保密通讯就需要n（n-1）/2个密钥。想用互联网交换保密信息的每对用户都需要一个密钥，这时密钥组合就会是一个天文数字。第46页/共138页非对称加密电子商务安全技术5.1电子商务安全

非对称加密又称为公开密钥加密或双钥加密，1977年麻省理工学院的三位教授（Rivest、Shamir和Adleman）发明了RSA公开密钥密码系统，它是最常用的一种不对称加密算法。RSA公开密钥密码系统使用一对不同的密钥，给别人用的就叫公钥，给自己用的就叫私钥。这两个可以互相并且只有为对方加密或解密，用公钥加密后的密文，只有私钥能解。第47页/共138页非对称加密电子商务安全技术5.1电子商务安全图5-12非对称加密技术示意图第48页/共138页非对称加密电子商务安全技术5.1电子商务安全非对称加密的优点：

第一，在多人之间进行保密信息传输所需的密钥组合数量很小。发布者只需要一对密钥即可，把公钥告知大家，每个人用公钥加密后的密文相互无法解密，只有发布者能用私钥解密。

第二，公钥的发布不成问题，它没有特殊的发布要求，可以在网上公开。

第三，非对称加密可用于电子签名。

采用非对称加密技术，除签名者外他人无法冒充签名，而且签名者事后也无法否认自己以电子方式签过文档，因为只有签名者拥有私钥。第49页/共138页非对称加密电子商务安全技术5.1电子商务安全非对称加密的缺点：

加密解密的速度比对称加密的速度慢得多。

可用非对称加密在互联网上传输对称加密系统的密钥，而用对称加密方式加密报文，即DES用于明文加密，RSA用于DES密钥的加密。由于DES加密速度快，适合加密较长的报文；而RSA可解决DES密钥分配的问题。

第50页/共138页电子签名技术电子商务安全技术5.1电子商务安全

对信息进行加密只解决了电子商务安全的第一个问题，而要防止他人破坏传输的数据，还要确定发送信息人的身份，还需要采取另外一种手段——电子签名（也称数字签名）。 电子签名技术采用电子签名来模拟手写签名，解决了电子商务中不可否认的安全需求。电子签名可以保证接收者能够核实发送者对电子文件的签名，发送者事后不能抵赖对文件的签名，接收者不能伪造对电子文件的签名。它能够在电子文件中识别双方交易人的真实身份，保证交易的安全性和真实性以及不可抵赖性，起到与手写签名或者盖章同等作用。电子签名主要有3种应用广泛的方法：RSA签名、DSS签名和Hash签名。

第51页/共138页电子签名技术电子商务安全技术5.1电子商务安全

Hash签名是最主要的电子签名方法，也称之为数字摘要法（DigitalDigest）。它是将电子签名与要发送的信息捆在一起，所以比较适合电子商务。

电子签名操作具体过程如下：首先是生成被签名的电子文件，然后对电子文件用哈希算法生成一个128比特的散列值（数字摘要），再对数字摘要用发送方的私钥做非对称加密，即做电子签名，然后是将以上的签名和电子文件原文以及签名证书的公钥加在一起进行封装，形成签名结果发送给接收方，待接收方验证。

接收方收到签名结果后进行签名验证，验证过程是：接收方首先用发送方公钥解密电子签名，导出数字摘要，并对电子文件原文做同样哈希算法得到一个新的数字摘要，将两个摘要的哈希值进行结果比较，结果相同签名得到验证，否则签名无效。

第52页/共138页电子签名技术电子商务安全技术5.1电子商务安全图5-13电子签名与验证过程第53页/共138页CA认证电子商务安全技术5.1电子商务安全

CA(CertificationAuthority)是认证机构的国际通称，它是对数字证书的申请者发放、管理、取消数字证书的机构。认证机构相当于一个权威可信的中间人，它的职责是核实交易各方的身份，负责电子证书的发放和管理。

第54页/共138页数字证书电子商务安全技术5.1电子商务安全

数字证书又称为数字凭证或数字标识(DigitalCertificate，DigitalID)，也被称作CA证书，实际是一串很长的数学编码，包含有客户的基本信息及CA的签字，通常保存在计算机硬盘或IC卡中。

第55页/共138页数字证书电子商务安全技术5.1电子商务安全

数字证书的内容：

证书所有者的信息、证书所有者的公开密钥和证书颁发机构的签名及证书有效期等内容。

一个标准的X.509数字证书包含以下一些内容：证书的版本信息。证书的序列号，每个证书都有一个唯一的证书序列号。证书所使用的签名算法。证书的发行机构名称(命名规则一般采用X.500格式)及其用私钥的签名。证书的有效期。证书使用者的名称及其公钥的信息。

第56页/共138页数字证书电子商务安全技术5.1电子商务安全

数字证书的类型：

个人证书、企业(服务器)证书(ServerID)、软件(开发者)证书。上述三类凭证中前两类是常用的凭证，大部分认证中心提供前两类凭证。

从证书的用途来看可以将数字证书分为根证书、服务器证书和客户证书三种。

第57页/共138页交易风险的识别电子商务交易安全5.1电子商务安全从信息内容辨别真伪：

如果公司介绍太简单，求购意图不明显，地址也写得很模糊，预留的公司网站是虚假地址或者并非诚信通会员统一的格式，通常情况下，就有可能是虚假的信息。

图5-14是可疑信息的样本第58页/共138页交易风险的识别电子商务交易安全5.1电子商务安全查询企业信用记录：

通常情况下，阿里巴巴的会员可以将信息发布方的公司名称输到阿里巴巴企业信用数据库，查询信息发布方的信用记录。在阿里巴巴的企业信用数据库中，可以查询到很多信用不良的企业被投诉的记录。这些记录，可以帮助用户判定信息发布方的诚信程度。

图5-15企业被投诉的记录第59页/共138页交易风险的识别电子商务交易安全5.1电子商务安全从论坛搜索相关信息：

阿里巴巴论坛是网商们交流信息的园地，其中不少是揭露网络诈骗分子的信息，因此，用户对某企业诚信程度不能把握的情况下，可以到阿里巴巴论坛中去搜索相关信息。只要把某个企业的名称输入到阿里巴巴论坛中进行搜索，如果发现有网商发贴子揭露该企业的不诚信行为，那用户与该企业进行商业贸易的风险性就比较大了。

图5-16揭露网络诈骗分子的贴子第60页/共138页交易风险的识别电子商务交易安全5.1电子商务安全查询诚信指数及评价：

如果信息发布方是诚信通会员，准确了解该企业的诚信程度就比较方便了。这是因为阿里巴巴诚信通会员都是通过了第三方认证的，同时用户可以查看该企业作为诚信通会员的诚信通档案。诚信通档案记录了企业的诚信指数及其他客户的评价，可以借以综合判断与该企业进行贸易时的风险程度。

图5-17诚信通档案第61页/共138页交易风险的识别电子商务交易安全5.1电子商务安全通过搜索引擎搜索：

借助于Yahoo!、Google、百度等著名搜索引擎，用户可以比较方便的查找所需的资料。将某个企业的名称、地址、联系人、手机、电话、传真等信息输入到搜索引擎中，可能会搜索到和其相关的信息。

图5-18利用中国雅虎搜索第62页/共138页交易风险的识别电子商务交易安全5.1电子商务安全通过工商管理部门网站查询：

要了解交易对方诚信的资的讯，可以通过国家权威部门的网站上查询。一个非盈利性网站主页最下方必需有ICP备案号，一个盈利性网站主页最下方必需有红盾标记。点击红盾标记进入工商红盾网的网站，可查看交易对方的企业代码、法人代表、地址、以及联系方式等信息，帮助用户了解对方公司的真实注册情况。图5-19通过工商行政部门查询企业基本信息

如果发现对方提供的信息和工商红盾网上的信息不一致，就需要留心，必要时还可以通过114查询对方的电话号码，打电话去核实。第63页/共138页交易风险的识别电子商务交易安全5.1电子商务安全手机归属地判断：

在交易对方所提供联系方式中，通常有手机号码。对交易对方身份信息的真实性也可以通过手机归属地查询。例如，通过移动与联通的官方网站或者其他网站核实对方所提供信息的真实性。图5-20所示是通过IPl38．COM网站查询得到的手机真实地址的信息。图5-20通过IPl38.COM网站查询手机归属地

网站包括手机所属地查询、lP地址所属地查询、身份证号码所属地查询等功能，可以帮助访问者了解手机主人的注册地，以及身份证登记所在地。第64页/共138页交易风险的识别电子商务交易安全5.1电子商务安全专业性测试：

网络诈骗分子的目的是通过网络获取非法收入，因此通常情况下其专业知识是有限的。大多数网络诈骗分子是通过格式化的传真或是求购函，四处散发类似于传单的求购信息。由于网络诈骗分子们没有真实的采购意图，往往对产品本身并不了解或是了解不多。因此，用户在与其进行沟通的过程中，可以运用自己对产品的知识，设定一些问题，测试对方是否了解采购的产品，进而来判断对方是否有真实的采购意图。第65页/共138页交易风险的防范电子商务交易安全5.1电子商务安全

1）账户密码安全：

设置符合规则的密码是成功地进行网络交易的基本条件，也是防范网络贸易风险的第一道关。目前，各大网站密码被盗的现象时有发生，例如在阿里巴巴网站，会员密码被盗会有两种危害：一种情况是诚信通会员密码被盗，会导致网络骗子利用诚信通会员的账号，假借诚信通会员的名义行骗，使公司名誉受损。另一种是支付宝和网上银行密码被盗，导致的直接结果是钱款的损失。

第66页/共138页交易风险的防范电子商务交易安全5.1电子商务安全

密码管理：密码长度应该在8到20位；密码使用不同符号组合，如字母加数字；切不可将密码设置成与公开的信息一致．定期更改密码；企业内掌握密码的人数应尽量少；不同的账户设置不同的密码，以免多个账户同时被盗；不能将企业重要资料告诉他人，以免他人据此要求阿里巴巴系统管理员更改密码。

第67页/共138页交易风险的防范电子商务交易安全5.1电子商务安全

2、养成良好的网络使用习惯：

除了严格遵守密码管理规范之外，养成良好的网络使用习惯也是防范网络贸易风险的措施之一。

不要打开来历不明的邮件、邮件附件和网络链接；

尽量不要在网吧里登录阿里巴巴诚信通账户或者支付宝账户；

输入密码时尽量使用“复制+粘贴”的方式，以防止记键木马；

在使用贸易通和客户沟通时，一定要注意陌生人发过来的链接，如果对方发过来一个文件，可以使用各类杀毒软件先行检测，确定是否是病毒后再决定是否打开。

第68页/共138页交易风险的防范电子商务交易安全5.1电子商务安全

养成良好的网络使用习惯：

利用木马病毒盗取他人密码是网络黑客常用的手段。贸易通中曾经流行这样一个病毒，部分会员会收到有关产品的询盘信息，当会员怀着期望的心情接收求购定单并打开之后，木马程序便进入会员的计算机中。

安装正版杀毒软件与防火墙，经常查杀木马程序也是防止密码被盗的好方法。

不要轻易访问不正规的陌生网站，或者轻易下载免费软件，那样极容易将木马程序引入在自己的计算机中。

第69页/共138页交易风险的防范电子商务交易安全5.1电子商务安全

3、使用第三方支付平台来支付货款：

支付宝是阿里巴巴公司针对网上交易而特别推出的安全付款服务。

支付宝的实质是以其为信用中介，在买家确认收到商品前，由支付宝替买卖双方暂时保管货款的一种增值服务。正是由于这一因素，使得从事网络贸易都可以坦然地利用网络进行交易，解除了网络交易者最为担心的支付安全问题。

第70页/共138页交易风险的防范电子商务交易安全5.1电子商务安全

4、诚信论坛与防骗专家：

诚信的网商在网络贸易中需广交诚信的朋友，互帮互助，共享共赢。阿里巴巴的平台就为网商们提供了交到更多朋友的机会。

图5-21商人社区中的诚信社区--商业防骗专题论坛

这个社区三个功能是其它论坛所没有的。第一是企业信用记录查询功能，第二是投诉功能，第三是论坛提供的咨询功能。第71页/共138页交易风险的防范电子商务交易安全5.1电子商务安全

4、诚信论坛与防骗专家：

诚信的网商在网络贸易中需广交诚信的朋友，互帮互助，共享共赢。阿里巴巴的平台就为网商们提供了交到更多朋友的机会。

图5-22所示是诚信论坛专家第72页/共138页遇骗后的应对策略电子商务交易安全5.1电子商务安全

1、搜集、保留诈骗证据：

及时采取措施尽可能保留交易过程中的一切资料，诈骗证据包括合同、聊天记录、往来邮件、汇款凭证、账号信息、发货凭证、联系方式等。

第73页/共138页遇骗后的应对策略电子商务交易安全5.1电子商务安全

2、及时报警：

及时到当地公安局报警，并将公安机关的立案证明(受理案件回执)或者法院的立案通知书签字盖章的复印件提供给相关交易平台（如阿里巴巴）。

第74页/共138页遇骗后的应对策略电子商务交易安全5.1电子商务安全

3、进行投诉：

可到相关交易平台进行投诉，例如阿里巴巴网中国站上就设有诚信论坛，受骗客户发贴投诉，写明事情发生经过，网站相关服务人员将会联系对方要求其对此事作出合理解释。如果对方不能合理解释，则可能会被取消账号，在阿里巴巴上永远留下差评，并供其他会员搜索和浏览。

第75页/共138页电子支付概述5.2电子支付支付与电子支付电子支付（ElectronicPayment）支付（Payment）

是指货币债权从付款人向受付人的转移。而使货币债权发生转移的发起工具与流程被称为支付工具。

是以电子化方式发起、处理、接收的支付。电子支付过程中，货币债权以数字信息的方式被持有、处理、接收，由电子支付工具发起实现货币债权的转移。第76页/共138页电子支付概述5.2电子支付电子支付的特点（1）（2）（3）（4）电子支付是采用先进的信息技术来完成信息传输的，其各种支付方式都是采用数字化的方式进行款项支付的。电子支付的工作环境是基于一个开放的系统平台（如互联网）之上。电子支付使用的是最先进的通信手段，电子支付对软、硬件设施的要求很高，如联网的微机、相关的软件及其他一些配套设施。电子支付具有方便、快捷、高效的优势。第77页/共138页电子支付概述5.2电子支付电子支付系统1、客户：客户向商家购买商品或服务，使用支付工具来进行支付，这是电子支付系统运作的原因及起点。第78页/共138页电子支付概述5.2电子支付电子支付系统2、客户开户行：指客户使用的支付工具所对应的银行。第79页/共138页电子支付概述5.2电子支付电子支付系统3、商家：指拥有债权的与客户交易的另一方。第80页/共138页电子支付概述5.2电子支付电子支付系统4、商家开户行：指商家开设账户的银行，其资金账户是支付过程中资金流向的目的地。第81页/共138页电子支付概述5.2电子支付电子支付系统5、支付网关：它是互联网和银行专用网之间的接口，其主要作用是完成两者之间的通信、协议转换和进行数据加密、解密，以保护银行内部网络的安全。支付信息必须通过支付网关才能进入银行支付系统，进而完成支付的授权和获取。第82页/共138页电子支付概述5.2电子支付电子支付系统6、银行专用网：指银行内部及银行间进行通信的专用网络。第83页/共138页电子支付概述5.2电子支付电子支付系统7、CA认证中心第84页/共138页电子支付概述5.2电子支付电子支付系统第85页/共138页电子支付概述5.2电子支付电子支付分类

1、按电子支付指令发起方式分为：网上支付；电话支付；移动支付；销售点终端交易；自动柜员机交易及其他电子支付等。第86页/共138页电子支付概述5.2电子支付电子支付分类第87页/共138页电子支付概述5.2电子支付电子支付分类以互联网为基础，利用银行所支持的某种数字金融工具，发生在购买者和销售者之间的金融交换。（1）网上支付指消费者使用电话或其他类似电话的终端设备，通过银行系统就能从个人银行账户里直接完成付款的方式。（2）电话支付使用移动设备通过无线方式完成支付行为的一种新型的支付方式。移动支付所使用的移动终端可以是手机、PDA、移动PC。（3）移动支付第88页/共138页电子支付概述5.2电子支付电子支付分类

2、按电子支付运营主体分为：银行电子支付；第三方支付平台；以电信运营商为主体的电子支付。第89页/共138页电子支付概述5.2电子支付电子支付分类1.银行电子支付是在银行账户与银行卡的基础上，利用电子技术建立银行平台，完成在线银行支付，具体包括信用卡远程支付，网络银行等。2.第三方支付平台支付第三方支付平台通过自身与商户及银行之间的桥接完成支付中介的功能，为客户提供账号，进行交易资金代管，由其完成客户与商家的支付后，定期统一与银行结算。这主要包括各种服务运营商（SP）代收费以及购买彩票、保险、水、电等公共事业服务。3.以运营商为主体的电子支付第90页/共138页电子货币5.2电子支付电子货币的概念

电子货币是以金融电子化网络为基础，以商用电子化机具和各类交易卡为媒介，以电子计算机技术和通信技术为手段，以电子数据（二进制数据）形式存储在银行的计算机系统中，并通过计算机网络系统以电子信息传递形式实现流通和支付功能的货币。

电子货币英语称之为e-Currency，也就是指在网上用于电子商务相关领域的货币。

在电子货币通常在专用网络上传输，通过设在银行、商场等地的ATM机器进行处理，完成货币支付操作。第91页/共138页电子货币5.2电子支付电子货币的类型

1、储值卡型电子货币：

一般以磁卡或IC卡形式出现，其发行主体除了商业银行之外，还有电信部门（普通电话卡、IC电话卡）、IC企业（上网卡）、商业零售企业（各类消费卡）、政府机关（内部消费IC卡）和学校（校园IC卡）等；

2、信用卡应用型电子货币：

指商业银行、信用卡公司等发行主体发行的贷记卡或准贷记卡；

3、存款利用型电子货币：

主要有借记卡、电子支票等，用于对银行存款以电子化方式支取现金、转账结算、划拨资金；

4、现金模拟型电子货币：

主要有两种：一种是基于互联网络环境使用的且将代表货币价值的二进制数据保管在微机终端硬盘内的电子现金；一种是将货币价值保存在IC卡内并可脱离银行支付系统流通的电子钱包。第92页/共138页银行卡5.2电子支付银行卡的种类银行卡分借记卡和贷记卡二种，前者是储蓄卡，后者是信用卡第93页/共138页银行卡5.2电子支付银行卡的种类

可以在网络或POS消费或者通过ATM转账和提款，不能透支，卡内的金额按活期存款计付利息。消费或提款时资金直接从储蓄账户划出。借记卡在使用时一般需要密码（PIN）。借记卡按等级可以分为普通卡、金卡和白金卡；按使用范围可以分为国内卡和国际卡。

借记卡（debitcard）第94页/共138页银行卡5.2电子支付银行卡的种类

是指发卡银行给予持卡人一定的信用额度，持卡人可在信用额度内先消费，后还款的信用卡。其特点是：先消费后还款，享有免息缴款期（一般为一个月），并设有最低还款额，客户出现透支可自主分期还款。客户需要向申请的银行交付一定数量的年费，各银行不相同。信用卡按使用范围可以分为国内卡和国际卡。

贷记卡（Creditcard）第95页/共138页银行卡5.2电子支付银行卡的使用过程

现以招商银行“一卡通”为例，了解网上使用银行卡的过程第96页/共138页银行卡5.2电子支付银行卡的使用过程

消费者携带本人身份证到招商银行营业点申请“一卡通”，办理本项服务的开通手续，取得网上支付卡和专用密码。可登陆招商银行网站，点击“个人银行”进入“支付卡申请”，开通网上支付功能。1）网上支付申请第97页/共138页银行卡5.2电子支付银行卡的使用过程

在成功申请网上购物功能后，招商银行即为用户在活期人民币储蓄账户下设立了“网上支付”专户，用户在进行网上消费前需将资金通过招商银行的电话银行或网上“支付卡理财”自助转入此专户。用户随时可以通过“支付卡理财”查询账户余额及明细、挂失、修改密码及网上购物。2）专户转账第98页/共138页银行卡5.2电子支付银行卡的使用过程

用户可向任何提供招商银行“网上支付”服务的网上商户选购商品和服务，当选购完商品和服务并确认后，使用鼠标轻击“一卡通付款”栏，就会自动被引导到招商银行的网站并进入支付程序。3）选购商品第99页/共138页银行卡5.2电子支付银行卡的使用过程

依次输入用户的网上支付卡号及网上专用密码，客户终端显示操作结果，参见右图。4）网上支付招商银行“网上支付”页面第100页/共138页银行卡5.2电子支付银行卡的使用过程

为避免出现由于商户库存不足等原因以至无法供货等情况，所有购物交易均须经商户确认后方告成立。客户可随时通过招商银行网页“支付卡理财”查询历史交易的成交状况。5）交易确认第101页/共138页电子现金5.2电子支付概念

电子现金(E-cash)又称为数字现金(digitalcash)，是一种表示现金的加密序列数，它可以用来表示现实中各种金额的币值。第102页/共138页电子现金5.2电子支付属性1）货币价值3）可存储性4）重复性2）可交换性第103页/共138页电子现金5.2电子支付支付特点3）灵活性2）对软件的依赖性1）协议性4）可鉴别性第104页/共138页电子现金5.2电子支付优点3）减少实物现金的使用量2）不可跟踪性1）匿名性4）支付灵活方便第105页/共138页电子现金5.2电子支付存在问题1）目前的使用量小2）成本较高3）用电子现金购买商品或服务4）可丢失性

5）不排除出现电子伪钞的可能性第106页/共138页电子现金5.2电子支付应用过程买方1请求开设E-cash账户2账号3购买电子现金请求4银行电子签名的随机数5订单及加密的电子现金6加密的电子现金卖方9确认信息8确认7核对电子现金库银行第107页/共138页电子支票5.2电子支付概念

电子支票（ElectronicCheck）是一种借鉴纸张支票转移支付的优点，利用数字传递将钱款从一个账户转移到另一个账户的电子付款形式。

比起前几种电子支付工具，电子支票的出现和开发是较晚的。电子支票使得买方不必使用写在纸上的支票，而是用写在屏幕上的支票进行支付活动。电子支票几乎和纸质支票有着同样的功能。电子支票既适合个人付款，也适合企业之间的大额资金转账，是最有效率的电子支付手段。目前国际上常用的电子支票系统有NetBill（）、NetCheque（）及Echeck（）。第108页/共138页电子支票5.2电子支付概念①使用者姓名及地址；②支票号；③传送路由号；④账号第109页/共138页电子支票5.2电子支付支票支付的特点（1）（2）（3）（4）电子支票与传统支票工作方式相同，易于理解和接受。加密的电子支票使它们比数字现金更易于流通，买卖双方的银行只要用公开密钥认证确认支票即可，数字签名也可以被自动验证。电子支票适于各种市场，可以很容易地与电子数据交换系统应用结合，推动电子订货和支付。电子支票技术将公共网络连入金融支付和银行清算网络。第110页/共138页电子支票5.2电子支付支票支付的优点1、处理速度高：电子支票的支付是在与商户及银行相连的网络上高速传递的，它将支票的整个处理过程自动化了，这一支付过程在数秒内即可实现。它为客户提供了快捷的服务，减少了在途资金。在支票使用数量很大时，这一优势特别明显。第111页/共138页电子支票5.2电子支付支票支付的优点2、安全性能好：电子支票是以加密方式传递的，使用了数字签名或个人身份证号码（PIN）代替手写签名，还运用了数字证书，这三者成为安全可靠的防欺诈手段。第112页/共138页电子支票5.2电子支付支票支付的优点3、处理成本低：用电子支票进行支付，减轻了银行处理支票的工作压力，节省了人力，降低了事务处理费用。第113页/共138页电子支票5.2电子支付支票支付的优点4、给金融机构带来了效益：第三方金融服务者不仅可以从交易双方处收取固定的交易费用或按一定比例抽取费用，它还可以作为银行身份，提供存款账目，且电子支票存款账户很可能是无利率的，因此给第三方金融机构带来了收益。而且银行也能为参与电子商务的商户提供标准化的资金信息，故而可能是最有效率的支付手段。第114页/共138页电子支票5.2电子支付支票支票的使用过程1、申请电子支票：

用户首先必须在提供电子支票服务的银行注册，申请电子支票。注册时可能需要输入信用卡和银行账户信息以支持开具支票。电子支票应具有银行的数字签名。用户可能需要下载称作“电子支票簿”的软件用于生成电子支票。第115页/共138页电子支票5.2电子支付支票支票的使用过程2、电子支票付款：1）用户和商家达成购销协议选择用电子支票支付。2）用户在计算机上填写电子支票，电子支票上包含支付人姓名、支付人账户名、接收人姓名、支票金额等。用自己的私钥在电子支票上进行数字签名，用卖方的公钥加密电子支票，形成电子支票文档。3）用户通过网络向商家发出电子支票，同时向银行发出付款通知单。4）商家收到电子支票后进行解密，验证付款方的数字签名，背书电子支票，填写进账单，并对进账单进行数字签名；5）商家将经过背书的电子支票及签名过的进账单通过网络发给收款方开户银行；6）收款方开户银行验证付款方和收款方的数字签名后，通过金融网络发给付款方开户银行；7）付款方开户银行验证收款方开户银行和付款方的数字签名后，从付款方账户划出款项，收款方开户银行在收款方账户存入款项。第116页/共138页智能卡5.2电子支付概念智能卡（SmartCard）或称集成电路卡（IntegratedCircuitCard，即IC）是一种将具有微处理器及大容量存储器的集成电路芯片嵌装于塑料基片上而制成的卡片。

智能卡可以用来进行电子支付和存储信息。在芯片里可以存储了大量关于使用者的信息，如财务数据、私有加密密钥、账户信息、结算卡号码及健康保险信息等。第117页/共138页智能卡5.2电子支付IC卡的应用领域应用领域应用形态金融与商业购物积分卡、会员卡、VIP卡、优惠卡交通公交卡、高速公路收费卡、停车场收费卡通信电话卡旅游贵宾卡、娱乐卡医疗医保卡、病历卡、免疫卡、健康卡教育校园卡、借书卡其他身份证、门禁卡、考勤卡、仓储管理卡第118页/共138页智能卡5.2电子支付IC卡的优点1、智能卡使得电子商务中的交易变得简便易行

智能卡消除了某种应用系统可能对用户造成不利影响的各种情况，它能为用户“记忆”某些信息，并以用户的名义提供这种信息。使用智能卡就再也不用记住个人识别号码（密码），如打电话、取现金、支付等。无需记住个人识别号码是智能卡的一大优点。2、智能卡具有很好的安全性和保密性它降低了现金处理的支出以及被欺诈的可能性，提供了优良的保密性能。使用智能卡，用户不需要携带现金，就可以实现象信用卡一样的功能，而保密性能高于信用卡，因此智能卡在网上支付系统中作用重大。第119页/共138页网上银行5.2电子支付概念网上银行（InternetBanking）又称网络银行、在线银行，是银行业务在网络上的延伸，它利用数字通信技术，以互联网作为基础的交易平台和服务渠道，在线为客户办理结算、查询、对账、行内转账、跨行转账、信贷、投资理财等传统服务项目，使客户可以足不出户就能够安全便捷地管理活期和定期存款、支票、信用卡及个人投资等。

网上银行又被称为“3A银行”，在任何时间(Anytime)、任何地点(Anywhere)、以任何方式(Anyhow)享受银行提供的金融服务。

网上银行，包含两个层次的含义，一个是机构概念，指通过信息网络开办业务的银行；另一个是业务概念，指银行通过信息网络提供的金融服务，包括传统银行业务和因信息技术应用带来的新兴业务。在日常生活和工作中，我们提及网上银行，更多是第二层次的概念，即网上银行服务的概念。第120页/共138页网上银行5.2电子支付分类网上银行发展的模式有两种：

一种是完全依赖于互联网的“虚拟银行”。所谓虚拟银行就是指没有实际的物理柜台作为支撑的网上银行。如：美国安全第一网上银行（）是在美国成立的第一家无营业网点的虚拟网上银行，它的营业厅就是网页画面，当时银行的员工只有19人，主要的工作就是对网络的维护和管理。另一种是在现有的传统银行的基础上，利用互联网开展传统的银行业务交易服务。即传统银行利用互联网作为新的服务手段为客户提供在线服务，实际上是传统银行服务在互联网上的延伸，这是目前网上银行存在的主要形式。

我国还没有出现真正意义上“虚拟银行”，国内现在的网上银行基本都属于第二种模式。第121页/共138页网上银行5.2电子支付功能1、信息服务：

通过网站发布银行信息、储蓄利率、国际金融信息、外汇市场行情等，为客户提供必要的软件与数据下载，如网上个人银行专业版软件；第122页/共138页网上银行5.2电子支付功能2、银行业务项目：

网上银行提供的银行业务项目包括：储蓄业务、信用卡业务、在线查询账户余额、交易记录、转账业务和网上支付等；第123页/共138页网上银行5.2电子支付功能3、投资理财：

网上银行向客户提供国债、股票、基金、期货等金融理财产品。各大银行将传统银行业务中的理财助理转移到网上进行，通过网络为客户提供理财的各种解决方案，从而极大地扩大了商业银行的服务范围，并降低了相关的服务成本；第124页/共138页网上银行5.2电子支付功能4、外汇交易：

不少银行已开通国际业务、外汇储蓄业务，在此基础上为客户提供网上外汇交易业务。第125页/共138页网上银行5.2电子支付功能5、企业银行：企业银行服务是网上银行服务中最重要的部分之一。其服务品种比个人客户的服务品种更多，也更为复杂，对相关技术的要求也更高，所以能够为企业提供网上银行服务是商业银行实力的象征之一。企业银行服务包括对企业多个账户（总账户与分账户）的管理、提供账户余额查询、交易记录查询、转账、在线支付各种费用、透支保护、储蓄账户与支票账户资金自动划拨、商业信用卡