第1章 电子商务安全基础

电子商务安全技术与实训系别：财经系主讲教师：余林联系方式mail:424077010@教材1.王丽芳.电子商务安全.电子工业出版社,2010年3月.2.唐四薪.电子商务安全.清华大学出版社,2013年5月.3.曾子明.电子商务安全与支付.科学出版社,2008年9月.期刊《电子商务世界》《中国电子商务》《商业研究》《计算机应用研究》《互联网世界》《电子与信息化》

网络资源1．电子商务网2．中国国际电子商务网

参考资料考核方法总评成绩=平时成绩+期末考试成绩平时成绩占40%（考勤，课堂讨论，平时作业、实践技能）期末考试成绩占60%教学目的教学目的：本课程教学的目的在于让学生了解保障电子商务安全的基本技术和管理方法，帮助学生在将来从事电子商务实际工作时树立良好的安全意识；并能通过对电子商务安全的学习进一步理解电子商务的运行机制，底层实现和当前电子商务存在的安全问题，并解决出现的这些问题。目录基础部分客户部分管理部分（第1、2章）（第3、4章）（第5、6、7章）1.5电子商务安全体系1.4电子商务安全技术1.3电子商务安全需求1.2电子商务安全问题1.1电子商务安全概念实训第1章电子商务安全基础回顾：电子商务的概念电子商务目的：实现商务活动的高效、便捷、利润最大化买方、卖方、提供交易平台的第三方，通过Internet进行交易信息交换的过程以Internet为基础的商务活动电子商务的主要类型企业对企业B2B（阿里巴巴网站）企业对消费者B2C（当当网、卓越网）1.按照参与交易的主体来划分消费者对消费者C2C（淘宝、易趣、百度有啊和腾讯拍拍）电子商务的主要类型有形产品的电子商务产品特点：①体积小、便于运输；②价值不是特别大；③主要购买群体是年轻人或网民

无形产品的电子商务产品特点：数字产品，无形产品或服务所交易的产品可通过Internet直接传送，不需要考虑物流的问题

2.按照交易的产品类型划分电子商务系统的组成电子商务系统的总体框架结构可分为三层应用系统基础平台网络平台电子商务在我国的发展现状我国电子商务目前已步入务实发展阶段，特点大型企业电子商务应用开始进入协同商务阶段中小企业电子商务应用意识普遍提高；网络购物规模迅速扩大电子商务专业化服务体系正在形成电子商务在社会经济生活中应用日趋广泛电子商务在应对金融危机、举办北京奥运、抗击自然灾害中的作用日益凸显电子商务渐成资本市场上的投资新宠我国推动电子商务发展的措施第一，制定、完善相关政策，为电子商务的发展创造环境；第二，用“示范”促应用，如农村电子商务示范工程第三，加大电子商务应用的宣传力度，引导电子商务向纵深发展1.1电子商务安全概念电子商务系统由Internet网络、用户、配送中心、认证中心、银行和商家等组成，电子商务系统组成右图所示。电子商务通常翻译成eCommerce和eBusiness。eCommerce可以理解为电子商务，基于电子手段进行的商务活动。eBusiness可以理解为电子商业，电子商业包含得更广，不仅包括商务活动，还包括网络营销、物流配送等一系列与商业相关的活动。图1-2电子商务系统组成图

电子商务安全就是保护在电子商务系统里的企业或个人资产不受未经授权的访问、使用、篡改或破坏。电子商务安全的六项中心内容商务数据的机密性和保密性商务数据的完整性或正确性商务对象的可认证性商务服务的不可否认性商务服务的不可拒绝性或可用性访问的控制性1.1电子商务安全概念1.1电子商务安全概念图1-1电子商务安全的六项中心内容

电子商务安全要处理好的三个关系:安全性与方便性安全性与性能安全性与成本1.2电子商务安全问题补充：电子商务面临的安全问题1.商家面临的安全问题(1)中央系统安全性被破坏(2)竞争者检索商品的销售情况(3)客户资料被竞争者获悉(4)被他人冒名而损害企业的名誉(5)消费者提交订单后不付款2.客户所面临的安全问题(1)虚假订单(2)付款后收不到商品(3)机密性丧失(4)拒绝服务3.银行专用网络所面临的安全问题(1)中断(2)窃听(搭线和电磁泄漏)(3)篡改(4)伪造电子商务安全的架构

1.2电子商务安全问题电子商务安全的金字塔架构右图所示。政策、法律监管在金字塔的最底部，是电子商务安全实现的基石；安全技术在金字塔的中部，是电子商务安全实现的核心；审计、监控在金字塔的顶部，是电子商务安全实现的高级形式。电子商务安全金字塔架构图著名的电子商务安全事件

1.2电子商务安全问题电子商务网站电子港湾（eBay）和亚马逊（Amazon）遭黑客攻击;蠕虫病毒攻击;日本因特网雅虎个人资料外泄;万事达信用卡集团用户资料外泄等;电子商务的安全隐患

1.2电子商务安全问题数据被非法截获、读取或者修改;冒名顶替和否认行为;一个网络的用户未经授权访问了另一个网络;计算机病毒;黑客攻击网页篡改僵尸网络

僵尸网络，也称为BotNet，Bot是robot的简写，通常是指可以自动执行预定义的功能，可以被预定义的命令控制，具有一定人工智能的程序。被集中控制、规模达到十万以上节点的计算机群僵尸网络危害：传播病毒木马发起DDoS攻击发送垃圾邮件窃取用户数据用户个人隐私如:身份信息,私人信件往来学术资料,实验数据等EMAIL账号、BBS论坛账号、网银账号、网游帐号等存储违法数据作为跳板从事其它违法行为黑客利用僵尸网络发动DDoS攻击补充：网络仿冒 网络仿冒，在国际上通称为“Phishing”，在我国也称为网络欺诈、网页仿冒或者网络钓鱼，它通常是指通过仿冒正规的网站来欺瞒诱骗用户提供各种个人信息，如银行账户和口令等的行为。中国银行工商银行电子商务信息服务安全需求★

1.3电子商务安全需求电子商务信息服务安全需求实体安全运行安全信息安全环境安全设备安全操作系统安全数据库安全网络安全计算机病毒防护访问控制加密鉴别风险分析审计跟踪媒体安全应急备份与恢复系统实体安全

所谓实体安全，是指保护计算机设备、设施（含网络）以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故（如电磁污染等）破坏的措施、过程。系统实体安全(1)环境安全受灾防护、区域防护(2)设备安全设备防盗、设备防毁、防止电磁信息泄露、防止线路截获、抗电磁干扰、电源保护(3)媒体安全媒体安全、媒体数据安全系统运行安全

运行安全是指为保障系统功能的安全实现，提供一套安全措施来保护信息处理过程的安全。系统运行安全(1)风险分析(2