《电子商务基础（第2版）》第八章

电子商务基础电子商务安全第八章近年来，电子商务领域的安全事件层出不穷，电子商务交易面临着多种安全威胁。为了保障电子商务活动的安全，网络交易的双方不仅要利用安全技术做好防护，同时还要做好安全管理，消除内部的安全隐患。本章首先介绍电子商务安全的基础知识，然后介绍电子商务安全技术和电子商务安全管理的相关知识。章前导读项目目标01知识目标了解电子商务安全的内涵了解电子商务面临的安全威胁了解电子商务的安全性要求了解常用的电子商务安全技术，如加密技术、防火墙技术、认证技术等了解电子商务安全管理的内容02能力目标能够维护自己的计算机和移动设备安全能够利用“国家反诈中心”App防范网络诈骗03素质目标以诚待人，传承诚实守信美德提高电子商务安全防范意识，主动维护良好的网络秩序你是否有过类似的经历：在社交软件上和朋友说想去吃火锅，打开手机App还没搜索，就能看到推送附近火锅店的信息。这难道真的只是巧合，还是说手机被窃听了？某知名大学做过一项关于手机窃听技术的研究，研究发现，手机真的存在被窃听的可能。如今，我们使用手机App大都需要进行信息授权，有的App甚至不同意信息授权就不允许用户登录使用。这些授权中往往有一些会被App运营方滥用，给用户带来安全隐患。除此之外，如果安装非正规渠道下载的App，手机还可能感染木马病毒，导致隐私信息被窃取，严重的还会造成经济损失。引导案例拥有“读心术”的广告，究竟是巧合还是手机被窃听？大家在网购时遇到过哪些安全问题？我们可以采取哪些行动来维护电子商务安全？引导案例请思考：？电子商务安全概述电子商务安全技术电子商务安全管理123项目导航Partone电子商务安全概述电子商务安全概述请大家讨论一下，在网上购物的过程中，我们可能会遇到哪些安全问题？请思考：？课堂讨论一、电子商务安全的内涵互联网的开放性对电子商务来说具有两面性：一方面是信息的传播非常便捷，但另一方面也带来了很多安全隐患。电子商务安全概述一名微盟程序员因个人原因恶意破坏公司服务器，致使微盟相关业务中断36个小时，其客户遭受巨大损失。当日，微盟集团市值缩水11.19亿港元。2020年2月2021年3月中央电视台“3•15”晚会曝光了3个涉及个人信息安全的案例：①商家安装摄像头捕捉并记录顾客人脸信息（见图8-2），然后多门店共享信息并进行综合报价；②智联招聘、猎聘等招聘平台的简历信息付费即可随意下载，大量个人简历流入黑市，如图8-3所示；③多款针对老年人开发的手机清理App违规获取用户信息并推送带有诱导内容的广告。一、电子商务安全的内涵电子商务安全概述一、电子商务安全的内涵全球最大的图片服务公司Shutterfly遭到勒索软件攻击。勒索团伙声称已经加密了4000多台设备和120台服务器，并要求数百万美元的赎金。电子商务安全概述2021年6月商丘市睢阳区人民法院公开的一份刑事判决书显示，被告人逯某通过其开发的软件盗取淘宝客户的数字ID、淘宝昵称、手机号码等信息共计11.81亿条，他将其中的淘宝客户手机号码通过微信文件的形式发送给被告人黎某用于商业营销，从中获利34万元。2021年12月

电子商务安全是互联网安全在电子商务领域的延伸，其主要体现在两个方面：1安全技术，电子商务是通过网络传输商务信息来进行贸易活动的，一个安全的网络环境是开展电子商务活动最基本的要求。例如：淘宝网应该通过防护技术阻止不法分子通过非法软件爬取网站上的用户信息。2安全管理，通过在企业内部建立安全管理制度，杜绝人为因素对电子商务安全的不良影响。例如：微盟应该加强内部的安全管理，使未获得授权的工作人员无法修改或删除重要的服务器数据。电子商务安全概述一、电子商务安全的内涵在网上交易过程中，买卖双方都可能面临的安全威胁：二、电子商务面临的安全威胁电子商务安全概述安全胁威信息泄露一是交易双方进行交易的内容（如被第三方窃取；二是交易一方提供给另一方使用的信息被第三方非法使用信息篡改信息篡改是指商务信息在网络传输的过程中被第三方获悉并篡改，或者黑客非法入侵电子商务系统篡改商务信息，从而使商务信息失去真实性和完整性。信息破坏非人为因素和人为因素抵赖性为网上交易的双方通过计算机的虚拟网络环境进行谈判、签约、结算，当一方发现交易对自己不利时，可能会更容易产生抵赖行为，从而给另一方造成损失。诚信不仅是我国古代道德体系的基础和根本价值取向，也是我国当代道德体系的基础和根本价值取向，更是社会主义核心价值观的道德基石。从字形分析，“信”从“人”从“言”，在儒家学说中，“信”是“仁、义、礼、智、信”五常伦理的重要内容。孔子曾言：“人而无信，不知其可也。”孔子认为一个不讲信用的人，丧失了做人最起码的资格，是不能在社会中立足的。孟子也认为：“父子有亲，君臣有义，夫妇有别，长幼有序，朋友有信。”儒家将“信”作为朋友交往的重要原则。“信”的含义一般分为两种：其一，“信”为真实；其二，“信”为不欺诈、不虚伪。在市场经济条件下，“信”的含义主要是指在市场行为中的信用、信誉和社会交往中的恪守承诺。诚信不仅是社会主义核心价值观的基本要求，也是电子商务活动蓬勃发展的重要基础。知识拓展电子商务安全概述二、电子商务面临的安全威胁保密性电子商务交易的过程中，必须保证交易双方的隐私信息在互联网上存储、传递时不会被泄露，或者即使他人截获或窃取了隐私信息，也无法识别信息的真实内容可靠性电子商务平台应该提供交易双方进行身份鉴别的机制，确保交易双方的身份信息可靠和合法不可否认性也叫不可抵赖性，是指在电子商务活动中，信息的发送方和接收方不能否认自己曾经发出或接收过信息完整性电子商务平台应采用技术手段，杜绝他人对已经生成的交易信息进行添加、修改和删除等操作，同时防止数据传输过程中交易信息的丢失和重复，并保证信息传递次序的统一可控性电子商务平台通过技术手段拒绝未授权的访问，并且设定访问级别，用户只能访问系统授权或指定的信息资源电子商务安全概述三、电子商务的安全性要求ParttwoClickheretoaddyourtext电子商务安全技术一、加密技术定义：将原来大家可以理解的信息（称为明文）与一个特殊的字符串（称为密钥）结合，并使用加密算法进行运算，使明文信息变成不可理解、无意义的信息（称为密文）。在电子商务活动中，为了不让第三方获取信息内容，信息发送方会利用密钥对信息进行加密，接收方收到信息后需要利用密钥对信息进行解密。电子商务安全技术优势：可以有效地保证信息的保密性、完整性和可靠性。此外，加密技术还可以用于数字签名、数字认证等方面，是认证技术及其他许多安全技术的基础，也是信息安全的核心技术之一。二、防火墙技术功能：进行存取访问控制，对敏感数据的访问实行身份验证，具备合法身份的用户允许访问，没有合法身份的用户禁止访问。电子商务安全技术“防火墙”是一种形象的说法，其实它是一种计算机硬件和软件的组合，可使互联网与内部网之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。防火墙其实就是把互联网与内部网隔开的屏障。三、认证技术采用认证技术，可以直接满足可靠性、不可否认性、完整性等多项电子商务的安全需求，较好地避免网上交易面临的信息篡改、抵赖行为等安全威胁。电子商务安全技术目前广泛使用的认证技术有数字摘要、数字签名、数字时间戳、数字证书等。三、认证技术数字证书是标志网络用户唯一身份信息的一系列数据，在网络通信中用于识别通信各方的身份，如同现实中的居民身份证。数字证书作为现实实体在虚拟网络中的唯一身份标识，必须由权威公正的第三方认证机构颁发，认证中心要负责在发行证书前证实个人身份和密钥所有权。电子商务安全技术可用于发送电子邮件、访问网站、网上证券、网上签约、网上办公、网上缴费、网上税务等活动。四、安全协议以密码学为基础的消息交换协议，可用于保障计算机网络信息系统中秘密信息的安全传递与处理，确保网络用户能够安全、方便、透明地使用系统中的密码资源。电子商务安全技术安全套接层协议定义：指使用公钥和私钥技术组合的安全网络通信协议，它是网景公司推出的基于互联网应用的安全协议。安全套接层协议制定了一种在应用层协议（如HTTP、FTP等）和TCP/IP之间提供数据安全性分层的机制安全电子交易协议目的：为了实现更加完善的即时电子支付。优点：安全电子交易协议是B2C基于信用卡支付模式而设计的，它在保留对客户信用卡认证的前提下，增加了对商家身份的认证，突显了客户、商家、银行之间通过信用卡交易的数据完整性和不可否认性，它还是目前国际上公认的信用卡网上交易标准。Partthree电子商务安全管理一、企业的电子商务安全管理建立科学合理的电子商务安全管理制度，可以帮助电子商务企业更好地进行安全管理，提高企业人员的电子商务安全防范意识。电子商务安全管理BUSINESSCONSULTINGDESIGNSOCIAL①持证上岗；②落实工作责任制；③贯彻网上交易安全运作基本原则，如双人负责制、任期有限制、最小权限制。人员管理制度①划分信息的安全级别，确定安全防范重点，提出相应的保密措施；②关键岗位签署保密协议。保密制度①数据维护，定期对企业数据资源进行维护，如数据双备份，建立和执行数据存取控制及泄密责任追究等措施；②设备维护，对系统运行的硬件进行日常管理和维护，如计算机、外部设备、网络设备等的故障排除、定期保养。网络系统的日常维护制度①建立网络交易系统日志机制，记录系统运行的全过程；②建立定期审计制度，监控和捕捉各种安全事件，保存、维护和管理系统日志；③建议稽核制度，利用计算机及网络系统或稽核业务应用软件调阅、查询、审核、判断电子商务活动的合理性、安全性。跟踪、审计、稽核制度电子商务安全管理制度电子商务安全管理二、个人的网络日常安全防范（一）计算机的日常安全防范加强个人计算机安全防护。个人计算机应该安装适当的防火墙与杀毒软件；平台或系统使用复杂的密码，不要使用简单的数字密码，如生日、身份证号等，最好定期更换密码；不要随便接收未知来源的文件创建没有权限的管理员账户。为Windows操作系统创建一个无实际权限的管理员账户禁止可移动磁盘或文件自动运行，插入U盘后，要先用杀毒软件扫描U盘备份与加密。一些重要的数据必须经常备份，如重要的图片和个人信息等。此外，隐私文件要加密电子商务安全管理二、个人的网络日常安全防范（二）移动终端的日常安全防范谨慎下载安装手机App。安装非官方下载渠道的手机App存在很高的安全风险，特别是办公用机，对于不明来源的App应避而远之。不要随便打开短信中的链接或扫描二维码。短信中的链接地址有可能是钓鱼网址甚至木马病毒。如果随意点击链接或扫描二维码，手机很容易中毒，个人隐私信息存在外泄的风险。在公共场合不要随意连接无密码的免费Wi-Fi，这些免费Wi-Fi极有可能暗含陷阱，甚至可能向手机植入木马病毒。不要随便在未知名的App中进行人脸信息验证，以免App运营商非法采集人脸信息。！！！！！谨慎为App授权，不要看也不看授权内容就同意App的授权申请。应用商店中搜索并安装“国家反诈中心”App打开“国家反诈中心”App按引导完成设置并登录账号首页点击“App自查”按钮检测手机中是否有可疑App实操

下载并使用“国家反诈中心”App电子商务安全管理App自查完成后，返回App首页，点击“诈骗预警”按钮，根据提示为本App提供授权，开启诈骗预警防护如遇到电话诈骗或网络诈骗，可点击“我要举报”按钮进行举报，使用相关功能需要实名认证。举报时需要留存相关证据，可在“我的”版块中点击“音频录制”按钮，进行录音或录屏下载并使用“国家反诈中心”App实训作业Clickheretoaddyourtext为Excel文档设置密码为Excel文档设置密码威瑞森发布的《2021年数据泄露调查报告》显示，网络钓鱼、勒索软件和Web应用攻击成为2021年数据泄露的主要原因，其中网络钓鱼的人为违规行为同比增长超过10%，报告还称如今人为疏忽已经发展为数据安全的最大威胁。数据显示：超过60%的数据泄露与凭证数据有关，超过80%的违规行为与人为因素有关。想要减少甚至是杜绝数据泄露，企业除了要强化安全意识培训之外，还要采取有效的技术性保护措施——部署文件加密工作。一、实训背景Word、Excel和PowerPoint是大家经常使用的办公软件，为了防止文档被他人随意查阅，我们可以利用加密功能对Office文档进行保护。通过本活动，可以让读者掌握为Office文档加密的方法，同时增强安全意识，加强对重要隐私文档的安全管理。二、实训目的为Excel文档设置密码为Excel文档设置密码（1）保护工作簿。打开本书配套素材“素材与实例”→“第八章”→“实训作业”→“职称统计表.xlsx”文件。单击“审阅”选项卡“保护”组中的“保护工作簿”按钮；三、实训步骤密码区分大小写，可以由字母、数字、符号和空格组成在打开的对话框中选中“结构”复选框，然后在“密码”编辑框中输入保护密码并单击“确定”按钮，再在打开的对话框中输入同样的密码并确认。此时，对工作簿执行保存操作，可使工作簿的结构保持不变。例如，删除、移动、复制、重命名、隐藏工作表或插入新的工作表等操作均无效（但允许对工作表内的数据进行操作）。为Excel文档设置密码（2）保护工作表。在工作簿中打开要进行保护的工作表“B组”，然后单击“审阅”选项卡“保护”组中的“保护工作表”按钮，或右击该工作表标签后选择“保护工作表”选项，打开“保护工作表”对话框；在“取消工作表保护时使用的密码”编辑框中输入密码；在“允许此工作表的所有用户进行”列表