第四章电子商务的安全及法律规范

第四章电子商务的安全及法律规范

4.1电子商务信息安全

一、电子商务中存在的安全威胁（一）电子商务信息物理安全隐患（二）电子商务信息传输安全隐患（三）电子商务交易双方的安全隐患1、卖方面临的信息安全威胁（1）中央系统安全性被破坏（2）竞争者检索商品递送状况（3）客户资料被竞争者获悉（4）被他人假冒而损害公司的信誉（5）消费者提交订单后不付款（6）虚假订单（7）获取他人的机密数据2．买方面临的信息安全威胁（1）虚假订单（2）付款后不能收到商品（3）机密性丧失（4）拒绝服务二、电子商务的安全要求●真实性●保密性●完整性●可用性●不可抵赖性三、电子商务的安全技术

（一）数据加密技术

●对称加密

对称加密，它用且只用一个密钥对信息进行加密和解密。

●非对称加密

1978年麻省理工学院的三位教授（Rivest、Shamir和Adleman）发明了RSA公开密钥密码系统。在此系统中有一对密码，给别人用的叫公钥，给自己用的叫私钥。用公钥加密后的密文，只有私钥能解。（二）数字签名数字签名（DigitalSignature）技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。数字签名主要有3种应用广泛的方法：RSA签名、DSS签名和Hash签名。数字签名是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者用发送者的公钥解密，然后用HASH函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。（三）数字证书CA认证中心是电子商务认证授权机构，承担网上安全电子交易的认证服务。其任务是受理数字证书的申请，签发及管理数字证书，确认用户身份。

数字证书是标志网络用户身份信息和密钥所有权的电子文档，用来在网络通讯中识别通讯各方的身份，就如同现实中我们每一个人都要拥有一张身份证一样，以表明我们的身份或某种资格。

（四）数字时间戳数字时间戳是用来证明消息的收发时间的。需要一个第三方来提供可信赖的且不可抵赖的时间戳服务。作为可信赖的第三方，应为服务器端和客户端应用颁发时间戳。打上时间戳就是将一个可信赖的日期和时间与数据绑定在一起的过程。●安全电子交易协议SETSET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。（五）国际通用电子商务安全协议●

安全套接层协议SSL是由网景公司推出的一种安全通信协议，是对计算机之间整个会话进行加密的协议。它能够对信用卡和个人信息提供较强的保护。在SSL中，采用了公开密钥和私有密钥两种加密方法。SSL在客户机和服务器开始交换信息时提供一个安全的握手信号,双方确定将使用的安全级别并交换数字证书,以便正确识别对方。SSL使客户机和服务器之间的所有通讯都实现了加密,窃听者得到的是无法识别的信息。（六）防火墙技术

防火墙是在专用网和因特网之间设置的安全系统,可提供接入控制,干预两网间的任何消息传送。●数据包过滤防火墙●代理服务器防火墙●复合型防火墙外部WWW客户客户机Intranet数据库电子邮件服务部Web服务器由软件系统和硬件设备组合而成的，在内外部之间的保护屏障请求结果请求结果内部网客户代理过滤器工作原理包过滤防火墙类别（根据方式分类）特点

对源IP和目的IP检查，应用及时性，不能区分用户代理服务型防火墙

提供详细的日志与审计功能报文包报文包内部网报文包报文包外部网过滤器总结：电子商务系统的安全对策1.技术方面(1)设置虚拟专用网.在两系统间建立安全信道.(2)保护传输线路安全,定期检查.(3)使用安全设备,采用端口设备.(4)使用防火墙.(5)使用加密系统.(6)建立访问控制机制,入侵检测机制.

2.管理方面(1)建立严格的人员管理制度.(2)建立严格可行的保密制度.(3)建立网络系统的日常维护制度.(4)加强数据的备份工作,预先制定应急措施.(5)做好防病毒工作.案例网上购物后，银行卡和身份证都未曾离身，但帐户里的钱却神秘消失。到底谁在幕后转移了这笔钱？湖北的苏先生怎么也没有想到，自己招商银行卡里的一万余元，竟然会为了买一本《教父》不翼而飞。07年3月30日，喜欢网上购物的苏先生为买一本《教父》小说，在“淘宝网”上发布一条求购信息。不久，一个名叫“雪碧贸易”的人便通过“淘宝旺旺”跟他联系，称有《教父》一书出售，并表示可以先发货，待苏先生收到书后再行结帐。之后，“雪碧贸易”告诉苏先生，由于是网上统一发货，交易前苏先生首先要到他的公司网站“新世纪购物网”下一份订单，支付0.01元，生成一个订单号后才能发货。苏先生于是按照卖家的指示，登陆了“新世纪购物网”，点击网页上的“在线支付”。随后，电脑跳出一个显示有“招商银行”、“建设银行”等多家银行字样的页面，苏先生选择了“招行”，并在“招行支付页面”上输入了自己银行卡号、密码及金额0.01元。可是，就在苏先生点击“提交”按钮后发现，系统显示的并非预想的“交易成功”，而是“系统正在维护中，请稍后再试”，但系统同时又自动生成了一个订单号。这让苏先生颇感纳闷，当他向“雪碧贸易”询问原因时，被告知“系统可能交易繁忙，并不影响发货”。苏先生信以为真，然而就在当天晚上，当他查询卡内资金余额时，猛然发现卡内少了1万余元！此时，苏先生方才想起问题很可能就出在“雪碧贸易”身上。他再次打开了“雪碧贸易”所提供的所谓“招行支付页面”，细看之后才恍然发现，这个页面根本就是伪造的。由于网络购物越来越受人们喜爱，而这种享受高科技带来的快速便捷的同时，也给不法分子留下了可乘之机。通过该案，警方发现嫌疑人是利用大部分人不懂得网上交易的基本常识以及自我防范