第一章电子商务安全概述

第一章电子商务安全概述

巢湖学院计算机与信息工程学院第一章电子商务安全概述

1.1

电子商务面临的安全威胁

11.2电子商务面临的主要攻击

21.3

电子商务安全内涵31.4

电子商务安全体系结构4“泄密门”事件

据了解，“泄密门”最先出现在国内最大的开发者技术社区CSDN，该社区被曝有600余万个用户邮箱账号和密码被泄露。之后天涯论坛、新浪微博、人人网、开心网等众多知名网站相继陷入“密码疑云”。而让网民尤其是网购一族更为纠结的是，年末又有消息曝光支付宝账号以及多家银行的用户数据疑遭泄露。国家互联网应急中心最新发布的数据显示，通过公开渠道获得疑似泄露的数据库有26个，涉及账号、密码2.78亿个。

不过，专业机构的调查结果同时表明，网上流传的数据库泄漏实际上有真有假。

国家互联网应急中心对所曝光的数据进行了抽查核实，发现部分数据是有效的，确认CSDN社区、天涯社区两家网站发生了用户数据泄露事件，但泄露原因还有待进一步分析；对于其他网站、论坛，虽然曝光数据中个别条目有效，但不能判定发生了网站、论坛用户数据泄露事件。

网银安全网络密码和支付安全何在？“银行卡盗刷”事件

目前，关于银行卡被盗刷的案例屡见不鲜，人们在使用银行卡刷卡消费时常常会提心吊胆，生怕自己的银行卡被盗刷。虽然银行多次做出了防范银行卡被盗刷的措施，但是不法分子还是通过各种“高科技”手段来盗取客户的银行卡，令人发指。近期，媒体再次报道了一则高科技犯罪手段利用——读卡器盗刷信用卡。

网上公然兜售“克隆银行卡”设备“金融IC卡”推广

金融IC卡比磁条卡具有更高的安全性。它的容量大（一般容量为64KB,而磁条卡容量只有300B左右），可以存储密钥、数字证书、指纹等信息，卡上有读写保护和数据加密保护，并且在使用保护上采取个人密码、卡与读写器双向认证，具有更高的安全性。IC卡复制难度极高，具备很强的抗攻击能力，可以有效防范伪卡犯罪案件的发生。马来西亚、我国台湾在推广金融IC卡后，其伪卡欺诈率均降到了历史最低水平。各种不安无处不在1.1电子商务面临的安全威胁

由于Internet的的全球性、开放性，无缝连通性、共享性和动态性，使得任何人都可以无缝接入。电子商务处在这样的环境中，时时处处受到安全威胁，这些安全威胁可以分为一下几类。

信息截获和窃取

1信息篡改2信息假冒

3交易抵赖41.1电子商务面临的安全威胁1.信息截获和窃取如果没有采用加密措施或加密强度不够攻击者可能通过Internet公共电话网、搭线、电磁波辐射范围内安装截收装置或在数据包通过的网关和路由器上截获数据等方式，获取传输的机密信息；或者通过对信息的流量、流向、通信频度和长度等参数的分析，推出有用的信息，如消费者的银行账号、密码以及企业的商业机密等。1.1电子商务面临的安全威胁

2.信息篡改

篡改。改变信息流的次序或更改信息的内容1删除。删除某些消息或消息的某个部分2插入。在消息中插入一些消息，让接收方读不懂或就收错误的信息3当攻击者获得了网络信息格式以后，通过各种方法和手段对网络中传输的信息进行中途修改，并发往目的地，从而破坏信息的完整性。通常破坏手段有三个方面；1.1电子商务面临的安全威胁3.信息假冒当攻击者掌握了网络信息数据规律或解密了解商务信息以后，可以假冒合法用户发送假冒信息来欺骗其他用户，主要有伪造电子邮件和假冒他人身份两种方式。1.1电子商务面临的安全威胁4.交易抵赖交易抵赖包括多个方面，如发信者事后否认曾经发过某条信息或内容；收信者否认曾经收到过某条信息或内容；购买者订货后不承认；商家因价格差而不承认原有的交易等。1.1电子商务面临的安全威胁4321虚假订单。一个假冒者可能会以客户的名字来订购商品，而且有可能收到商品，而此时客户却被要求付款或返还商品。付款后不能收到商品。在客户付款后，销售中的内部人员不将订单发给执行部门，因而使客户不能收到商品。拒绝服务。攻击者可能向销售的服务器发送大量的虚假订单来挤占他的资源，从而使合法用户不能得到正常服务。机密性丧失。客户有可能将秘密的个人数据或自己的身份数据发给冒充销售的机构，这些信息也可能在传递过程中被窃听。5电子货币丢失。可能是被物理破坏或者被偷窃导致，这通常会给用户带来不可挽回的损失。1.1.1电子商务消费者面临的安全威胁1.哭1电子也商务示面临牛的安奥全威迟胁4321系统彻中心祸安全耽性被叛破坏毅。入助侵者驱假冒匀合法渐用户潜来改写变用扶户数猫据、鼻解除拨用户仆订单轻或生洋成虚伪假订准单。竞争祖者威织胁。坊恶意氏竞争描者以胃他人咽名义狸来订待购商流品，手从而塌了解饭有关挎商品丹的递昆送情帆况和陕货物朗的库桃存情基况。商业雄机密山安全妄。客酬户资单料被匆竞争粱者获桶悉。假冒悼威胁蓝。不灰诚实京的人裕建立厅与销兔售者欠服务谅器名想字相别同的赴另一敌个WW豪W服务豆器来屿假冒炼销售陵者；水虚假轨订单逆。5信用假威胁辟。买雁方提妥交订衫单后特不付酒款。1.具1.五1电子梯商务据商家梁面临圾的安胖全威兔胁1.弦2电子失商务放面临轿的主袜要攻地击攻击甩电子没商务蜓系统若的手迹段法律乘地位号的确奏立（1）中墓断攻击瞒系统凡的可用蠢性。破伞坏系拒统中接的硬屈盘、阻线路融、文话件系加统等使系栋统不寻能正邪常工扑作

（3）篡改攻击系统的完整性，篡改系统中的数据内容，改变消息次序、时间。电子滋商务激系统（2）窃槽听攻击及系统焰的机密沃性，通现过非眠法搭半线和柄电磁蜓泄漏蚊等手填段造尝成信尚息泄虚密，蝇获取矛有用驱情报

（4）伪造攻击系统的认证性，将伪造的信息注入系统假冒合法人接入系统等。计算斑机网轨络安全计算研机网壳络安宰全是伞指利扫用网络四管理控狼制和昌技术昆措施悲，保蝴证在双一个陡网络处环境刚里，迹数据饶的保桑密性难、完火整性捏及可步使用携性受数到保分护。棉计算贸机网嘉络安柳全包老括两果个方凡面，活即物理播安全和逻番辑安起全。砍物理近安全孟指系姜统设蹲备及触相关裕设施滑受到侄物理递保护继，免挪于破分坏、父丢失引等。枪逻辑折安全凝包括肢信息河的完皂整性雾、保泻密性真和可腾用性霉。网络舟交易哥安全旬紧紧购围绕涉传统叉商务链在互施联网迈上应衣用时生产生蜓的各私种安差全问华题，区在计滔算机火网络劣安全币的基毅础上白，保君障以影电子袖交易失和电驻子支府付为薄核心垫的电婚子商屯务过斜程的拌顺利妄进行宽。商务罗交易安管全电子讽商务众安全柄分为闯两大挥部分嘉：计泼算机黎网络耻安全得和商烤务交炮易安报全1.繁3电子辈商务拾安全序内涵1.记3电子症商务列安全秧内涵计算摩机网帆络安花全和背商务炼交易厅安全馋关系计算喊机网拣络安莫全与耍商务素交易压安全理实际郑上是售密不浩可分币的，印两者修相辅耐相成密，缺哨一不口可。二者拳关系计算笔机网丹络安批全是口基础漆如果控没有阶，商津务交拉易安师全就刷犹如扛空中冤楼阁泼；商午务交唉易安海全是挣电子屋商务漫安全双的保眯障。1.兄3电子漏商务悔安全袖内涵电子迟商务塞安全疫等级密码岛安全局域担网安谎全互联锡网安剃全信息获安全安全疲概念喜基本套关系株示意税图１相对性不要追求一个永远也攻不破的安全系统，安全与管理始终是联系在一起的。安全是相对的，而不是绝对的，如果要想以后的网站永远不受攻击，不出安全问题是不可能的。有代价性无论是现在国外的BtoB还是BtoC，都要考虑到安全的代价和成本的问题。如果只注重速度，就必定要以牺牲安全来作为代价；如果要考虑到安全速度就得慢一点，把安全性保障得更好一些。

1.悲3电子失商务利安全奶内涵1.尘3.吼1电子绩商务隆安全母特性4今天遵安全额明天光就不壳一定叔安全蕉，因毅为网宅络的息攻防辛是此退消彼配长、马道高伙一尺绘、魔译高一满丈的披事情姨，尤蓬其是砌安全息技术扁，它籍的敏兴感性熔、竞贯争性生以及帝对抗丛性都尖是很遗强的绪，没刺有一草劳永控逸的夕安全龄，也参没有坝一蹴痕而就悔的安什全。系统暴性全问绪题不阴仅仅缎是个悉技术沙性的西问题姥，更惭重要砍的是丛管理果，而买且它浙还与钱社会秤道德询、行论业管罪理以资及人删们的程行为平模式丹都紧丧密地估联系覆在一勿起。动态伴性电子注商务狮安全押特性１1.悉3电子宵商务闯安全握内涵1.伙3.吗2电子奶商务械安全瓣内涵4电子撇商务食面临吼的威晃胁导昂致了耻对电眠子商倚务安敌全的煌需求会，也摄是真认正实榆现一神个安窗全电塘子商上务系梨统所紧要求地做到翼的各轮个方蚊面，助主要溪包括棒机密百性、仓完整累性、绣认证刑性、屑不可瓦抵赖鹅性、麻不可胀拒绝榴性，绸访问雾控制蕉性等该。如听下图迅所示经：电子肺商务何安全彼需求隔核心完整趁性认证豪性机密新性不可任拒绝笨性访问闷控制泉性不可宵抵赖芒性1.花3电子撕商务锯安全寻内涵不可纺抵赖此性认证滔性完整榨性机密白性机密叹性又令叫保撇密性渠包括匹交易赚信息敢的隐棋私问扛题和彼交易寻内容崖的机遗密性住。是顷指信严息在枣传送脂或存凯储的厕过程尊中不劣被他讨人窃饺取，询不被开泄漏扑或披米露给各未经素授权雅的人惧或组距织，那或者焦经过怀加密舌伪装索后，享使未拣经授之权者注无法坏了解衬其内塑容。完整柄性是闸保护栽数据夜不被险未授些权这矛修改冻、建惠立、光嵌入竖、删么除、尾重复朝传送纵或由仰于其胶他原露因使蓄原始搞数据驱被更养改。认证蛛性是帝指网疑络两逢端的身使用馋者在掌沟通少之前息相互姑确认如对方利的身属份。旋在电政子商候务中菠，认锯证性喇一般磨通过CA和证体书来刺实现巨。不可项抵赖锄性是价指在余电子汁商务狗交易唱过程碌中，暂信息惯双方务必须拖对他脚们发咸送的渴信息钥进行获认可收。交蹈易双判方必弟须对猎自己鞠的交坛易行撞为负吉责任黄，信五息发劫送者矮和接安收者陶都不暖能予斯以否重认。比进行腔身份勤识别柏信息躺进行诵“数盼字签来名”累，使的得他纪们难牲以抵旦赖。定义10不可址拒绝枯性不可臣拒绝锯性又戴叫有们效性俗，是指毅授权托用户多在正叶常访训问信塔息和膏资源段时不兔被拒粥绝，馒即保船证为魂用户症提供渴稳定酸的服许务。访问县控制匪是指勤在网织络上愁限制怪和控委制通御信链溉路对蚀主机呀系统类和应往用的摊访问桃。访问控制性1.昼3.最2电子士商务聚安全远内涵1.籍4电子洋商务读安全盐体系详结构1.4.茫1电子姜商务末安全吉基础夫技术

密码技术1网络安全技术2PKI技术3电子低商务岔安全跳是信套息安搅全的胀上层奶应用雕，他挂设计促的技死术范瞎围比解较广，迎主要坟分为址三大惭类；现代认社会电对信做息的扮需求庆大部哥分通景过密捐码技恋术来塌实现吴，密擦码技筛术是堵信息邀安全技枯术中够的核均心技半术。1.膊4电子崭商务猎安全躬体系堡结构1.密码论技术法律拳地位海的确生立（1）加痒密技政术加密塔技术似是电繁子商责务采堆取的稀主要移安全险保密倘措施抄，是拘最常细用的季安全领保密瓣手段碌，利边用技跑术手校段把放重要衬的数孔据变潜为乱码（加阵密）主传送猜，到泰达目扶的地刷后再惜用相姜同或龟不同单的手努段还剖原（逝解密侵）。疲加密胃技术后的应求用是阁多方主面的嫩，但剪最为握广泛造的还贺是在稀电子福商务别和VP侮N上的纪应用狭。（2）密世钥管仇理技陡术密钥被管理低包括冲密钥侄的产跑生、便存储伤、装贡入、荣分配扛、保寨护、格丢失故、销呢毁以眼及保葡密等止内容态，其而中分牵配和纺存储两是最琴棘手伸的问臣题。急密钥刺管理竭不仅伶影响而系统接的安焰全性篇，而坐且涉庄及系窃统的积可靠基性、趣有效赴性和嫌经济然性。冬密钥决管理兽过程需中也脏不可拖避免桶物理补上、棚人事你上、业规程券上的主一些织问题俩。密码挎技术对三大省部分（3）签链名认盖证技间术签名疮认证朴技术膛是保听证信忘息的肉真实扔性的挤一种磨重要雨手段临。辫其辨目的争有两钢个，咬一是利验证争信息够的发险送者外是否眠冒充课；二己是验字证信灶息的产完整鸣性1.酿4电子随商务躁安全筐体系喘结构2.网络冈安全求技术网络微安全耻技术竹指致言力于泄解决坝诸如碧如何旅有效畜进行卖介入湖控制恰，以采及何填如保勉证数卧据传医输的葵安全亮性的换技术耍手段厅，主串要包抵括物缺理安荐全分欧析技陈术，嘉网络露结构绝安全碧分析豆技术在，系荐统安彻全分近析技贱术，途管理左安全短分析家技术狐，及腹其它据的安诵全服削务和顿安全蓬机制票策略片。当前拒电子忘商务刷应用劳领域嘴应用阴最广峰泛的邀是防吉火墙向技术疮、虚授拟专与用网谊技术纠、入垄侵检奥测技驳术和旁防病馒毒技贴术1.忍4电子画商务猎安全抬体系逼结构3.PK姿I技术PK吨I技术疲（公味钥基链础设那施）只是由狠公开较密钥院密码处技术林、数版字证傲书、拔证书雪认证碑中心怒和关扎于公僚开密挥钥的动安全俊策略牢等基担本成唐分共释同组激成，落管理愈密钥驳和证裁书的鄙系统忘或平统台。仆它为陶电子资商务谷、电翻子政魂务、剑网上高银行具、网取上证师券交帆易提锯供一行整套轰安全往基础静平台腿。PK迹I的核灿心元词素是设数字裕证书指、其冤核心岔执行剃者是陈认证辆机构健。1.淹4电子绕商务么安全硬体系主结构1.4.路2电子盲商务哪安全羞体系抚结构电子页商务朴安全腊技术漆体系构是保塌证电消子商能务中坚数据艇安全家的一臂个完讯整的车逻辑错结构轿，由撇五部子分组推成，下具体船如下槐图所朝示：网络肚隐患顷扫描网络斑安全送监控内容提识别病毒魄防治防火融墙1.财4电子叶商务括安全博体系亭结构网络伍服务残层电子绍商务对系统辈是依突赖网沸络实四现的趟商务栋系统忆，需锄要利税用In待te味rn肆et基础地设施享和标它准，盐所以汇构成悟电子绪商务唐安全宴框架窑的底肆层是峰网络狮服务装层。袋网络屈服务族层是砌电子览商务鞋的最肝底层低，它拐是各拾种电兰子商观务应啄用系冈统的揉基础抬，并摊提供贡信息巴传送告的载宽体和往用户桑接入勇的手碑段及穗安全叮通信逢服务钥，保亡证网浙络最惜基本码的运删行安以全。例主要欢内容晌包括猪：1）网惯络隐砖患扫远描；3）内安容识董别；4）访吊问控劈燕制；5）防僚火墙侨技术黑，防仿火墙侦是一省种用耽于在们两个毅网络肠或多池个网修络之掀间进头行访胁问控榴制的驰设施惯。保宾护电追子商株务交巩易网晚免受颗非法蔽侵犯艳，必陵须采圈用防歌火墙避技术栽保证较网络捐的安锣全。冰它在跳基于In忆te哥rn稍et的电盐子商佳务安抚全交垦易起届着重播要作赵用。们网络稠服务马层是横电子添商务衣系统傍基本蔽、灵挨活的相网络孤服各栋平台烧。1.分4电子堆商务桌安全告体系瞧结构加密泡技术袍层为确蜻保电阴子商揪务系垫统全鄙面安睁全，授必须朽建立熟完善胜的加铁密技醉术和币认证鹿机制创加密避技术济是保怠证电博子商干务系没统安针全所巡寿采用晋的最阅基本册的安生全措喉施，米它用枕于满孟足电酒子商夕务对梦保密拴性的胃需求跪。加密购技术西是电膊子商花务的枝最基俱本安煮全措炭施。接在目奔前技啄术条醋件下槽，通旱常加等密技占术分秘为常足规密防钥密骂码体样系（铲对称筋密钥录加密芳算法狮）和薪公开墓密钥撒密码产体系奔（非劫对称妖密钥咐加密耽算法保）两先大类猪。1.百4电子馅商务椒安全申体系铁结构安全结认证典层安全先认证摸层中兔的认肾证技晨术是爸保证偶电子名商务肢安全剧的又福一必闭要手膜段，狂它对绒加密繁技术鸭层中想提供载的多脊种加军密算移法进利行综宣合运怠用，辽进一宇步满充足电犹子商录务对故完整战性、垦抗否搭认性呼、可偷靠性秋的要姿求。目前因，仅阿有加方密技预术不弊足以执保证旅电子欲商务位中的棒交易泛安全征，身袖份认病证技孙术是医保证皆电子宣商务竖安全芝不可便缺少君的又盐一重掀要技次术手贤段，安全秆认证促技术振主要弊有：辅1）俱数字回摘要垃（D俱ig共it说aldi包ge皂st役）技猜术，2）那数字烟签名喷（D瓦ig羞it烟alSi允gn味at底ur葛e）奇技术，3）扔数字倒时间笔戳（哈Di骄gi蝇ta艰l土Ti列meSt萄am老p）喝技术，4）数遍字凭睁证（Di颗gi呢ta随l晋ID）技剩术，5）认蓝证（Ce瞒rt画if筝ic院at咸eA惰ut盾ho京ri茅ty臣,C素A）中碎心，6）智础能卡但（Sm工ar畅dCa察rd）技亭术……1.泪4电子夫商务乌安全促体系励结构安全柳协议冤