电子商务安全导论

1电子商务安全导论电子邮件订单是否具有法律效力？电子邮件下的订单原告：亚肯企业形象设计有限公司深圳分公司被告：沃尔玛(中国)投资有限公司情节：2004年，双方签约由亚肯为沃尔玛设计制作商场标牌。2005年1月，沃尔玛向亚肯提出做好标牌备货安排。2005年4、5月，沃尔玛以电子邮件形式向亚肯公司下达了标牌制作定单。2005年6月，沃尔玛突然中止合同，导致亚肯为沃尔玛制作的标牌和半成品全部成为废品。电子邮件订单是否具有法律效力？焦点——电子邮件有没有法律效力？审判沃尔玛认为，亚肯公司提供的电子邮件证据不具备法律效力。沃尔玛有严格的订货规范程序，都是先向客户发出正式订货单，不会通过电子邮件来订货。亚肯公司当场出示两份邮件后缀为“@”电子邮件打印件，称“这个是武汉店的鲜食和非鲜食的部门牌清单，请尽快制作。”发自沃尔玛网址的电子邮件订单是否具有证据效力？电子邮件订单是否具有法律效力？《合同法》第10条当事人订立合同，有书面、口头和其他形式。第11条书面形式是指合同书、信件和数据电文（包括电报、电传、传真、电子数据交换和电子邮件）等可以有形地表现所载内容的形式。所以可以载体形式表现的合同方式，都属于法定形式。从这个角度看，电子邮件订单是合法有效的。但是，如何确定电子邮件的法律地位，却存在大量技术难题，企业若有不慎，可能就会陷入举证不能的窘境。如何识别电子邮件发出者的身份和法律地位呢？电子邮件作为案件关键证据Email提出辞职请求案情简介2002年4月，北京某技术开发有限公司（甲）与陈某签订劳动合同，合同约定终止日期为2004年4月。2003年6月2日，甲公司收到署名为陈某的电子邮件，内容为因不满公司将大部分工资改为津贴提出辞职。公司对陈挽留遭拒，同意陈某辞职，结清了工资，办理了离职手续，额外给予3600元作为工作奖励。此后陈某要求甲公司支付其解除劳动关系的经济补偿金3600元。电子邮件作为案件关键证据Email是证据吗？关键问题：谁先提出解除劳动合同的？陈某表示电子邮件地址确系其名下，但他从未向公司发出有辞职内容的电子邮件。使用的是公共免费邮箱，并不拥有邮箱所在的服务器系统和传输系统，不能确认当时系统工作是否正常。法院认为陈某本身是软件工程师，具备较强的专业知识，以及与甲公司在发生离职电子邮件事件后办理了解除劳动关系手续的相关证据链，法院确定从陈某电子邮箱地址发出的离职申请系真实的。电子商务安全？不安全的电子商务谁敢参与？电子商务的安全问题是电子商务广泛应用首要的也是最大的问题。网络就是不安全的只要存在网络，就没有绝对的安全。就像我们的生活中没有绝对安全一样。安全性及其开销要与系统对安全性的需求相适应。电子商务安全不仅是技术问题更是管理问题。1电子商务面临的安全问题1安全问题的提出电子商务是利用计算机通过网络实现的水灾、火灾、雷击、地震、战争等停电、死机、系统崩溃、软硬件兼容等偷盗、遗弃、电磁干扰、蓄意破坏等信息的完整性、一致性、不可抵赖性等病毒、黑客等1电子商务面临的安全问题对电子商务的影响打击消费者的信心，是致命的。造成运营商的经济损失，是巨大的。安全方面的大量支出，是前所未有的。涉及范围之广，关注程度之高也是以前没有的。电子商务安全的影响个人及组织的资金安全、货物安全、信誉安全等。国家经济安全、经济秩序稳定等。国家安全1电子商务面临的安全问题2电子商务涉及的安全问题信息安全问题冒名偷窃、篡改数据、信息丢失、信息传递中的问题。信用安全问题买方的问题、卖方的问题、抵赖。安全的管理问题交易管理、人员管理、安全管理人员安全的法律保障问题法律滞后、执法困难1电子商务面临的安全问题3安全问题产生的原因——网络设计的缺陷网络设计的指导思想及问题计算机网络的开放性以及黑客的攻击是造成网络不安全的主要原因，而利用网络设计的缺陷是黑客突破网络防护进入网络的主要手段之一。科学家在设计Internet之初就缺乏对安全性的总体构想和设计，所用的TCP/IP协议是建立在可信的环境之下，主要考虑的是网络互联，它缺乏对安全方面的考虑。1电子商务面临的安全问题（1）物理结构的设计缺陷计算机网络按通信信道类型可以分为广播式网络和点对点网络，但这两种网络都存在不安全问题。局域网采用广播式网络结构，所有主机发送的信息，在同一个网络中的其他主机都可监听。广域网虽然采用点对点结构，但中继设备（如路由器）可以监听所有网络之间转发的信息。1电子商务面临的安全问题（2）网络协议的缺陷与后门①容易被窃听和欺骗Internet上的大多数流量是没有加密的，如电子邮件口令、文件传输等很容易被监听和劫持。②缺乏安全策略网络及防火墙配置上无意识地扩大了访问权限，忽视了这些权限可能会被内部人员滥用。③配置的复杂性访问控制的配置一般十分复杂，所以很容易被错误配置，从而给黑客以可乘之机。1电子商务面临的安全问题（3）传输的安全与质量问题没有绝对安全的通信线路。传输的安全绝不仅取决于通信线路，所有参与形成通信链路的设备都会对传输安全造成影响。网络设备（如路由器、集线器、交换机、服务器以及网络软件等）的安全隐患不容忽视。一些交换机和路由器具有远程诊断和服务功能，可以远程进入系统服务、维修故障，也有可能远程进入系统了解情报、越权控制。1电子商务面临的安全问题4网络安全管理问题网络安全首先是个管理问题，然后才是技术问题。安全管理，你的系统有吗？安全管理员信息系统安全管理的技术规范定期的安全测试和安全审计安全管理和管理安全即防止未授权者访问网络即防止未授权者访问网络管理系统三分技术，七分管理1电子商务面临的安全问题5其他威胁网络安全的典型因素黑客黑客和黑客攻击是网络安全的最大问题。黑客技术的普及是一把双刃剑，攻击增加，也大大提升了人们的网络安全意识，并促进了网络安全技术的快速发展。计算机病毒在网络环境下，病毒具有不可估量的威胁性和破坏力。删除文件，使数据丢失，甚至破坏系统硬件，可以造成巨大损失。1电子商务面临的安全问题窃听通过搭线、电磁泄漏、仿冒等形式窃取信息。部分对整体的安全威胁任何单一部件、组件的失密都可能造成整个网络安全系统的失效。内部人员作案内部人员对本单位局域网的熟悉加剧了其作案和被外部人勾结引诱的可能性。网络安全威胁的主要类型冒名顶替废物搜寻身份识别错误不安全服务配置初始化乘虚而入代码炸弹病毒更新或下载特洛伊木马间谍行为拨号进入算法考虑不周随意口令口令破解口令圈套窃听偷窃网络安全威胁线缆连接身份鉴别编程系统漏洞物理威胁1电子商务面临的安全问题新闻SSL安全认证存重大漏洞网银电子商务皆不可轻信杀毒软件公司新闻（毒霸、瑞星、江民、360…）调查显示互联网14%SSL认证不安全技术网站新闻（CSDN）"蹭网族"浮现沪上小区不花钱上网还"未必侵权"如何蹭网-教你无线免费蹭网的方法"蹭网族"现成都盗窃上网密码共享网络简明菜鸟蹭网指南……1电子商务面临的安全问题全面框架

区域网络

多个局域网

单个局域网

单个pc目标和破坏范围1980s1990sTodayFuture第一代BootvirusesWeeks第二代MacrovirusesDenialofserviceDays第三代DistributeddenialofserviceBlendedthreatsMinutes下一代FlashthreatsMassiveworm-drivenDDoSDamagingpayloadwormsSeconds快速变化的威胁1电子商务面临的安全问题网络安全威胁的来源1外部渗入（penetration）未被授权使用计算机的人；2内部渗入者被授权使用计算机，但不能访问某些数据、程序或资源，它包括：冒名顶替：使用别人的用户名和口令进行操作；隐蔽用户：逃避审计和访问控制的用户；3滥用职权者被授权使用计算机和访问系统资源，但滥用职权者。1电子商务面临的安全问题信息战有组织、大规模的网络攻击预谋行为国家级、集团级无硝烟的战争跨国界、隐蔽、低花费、跨领域高技术性、情报不确定性要害目标金融支付中心、证券交易中心空中交管中心、铁路调度中心电信网管中心、军事指挥中心1电子商务面临的安全问题高低19801985199019952000猜口令自我复制程序口令破解攻击已知漏洞破坏审计后门程序干扰通信手动探测窃听数据包欺骗图形化界面自动扫描拒绝服务www攻击工具攻击者攻击者的知识水平攻击的复杂度隐秘且高级的扫描工具偷窃信息网管探测分布式攻击工具新型的跨主机工具1电子商务面临的安全问题威胁的表现形式1假冒通过出示伪造的凭证来冒充别的对象，进入系统盗窃信息或进行破坏。表现形式主要有盗窃密钥、访问明码形式的口令或者记录授权序列并在以后重放。假冒常与某些别的主动攻击形式一起使用，特别是消息的重演与篡改（伪造），构成对用户的诈骗。如伪装成著名的售货商的进程要求购物进程提供信用卡号、银行帐号，这不仅损害购物者的利益，也损害了售货商的声誉。251电子商务面临的安全问题2未授权访问未经授权的实体获得了某个对象的服务或资源。通常是通过在不安全通道上截获正在传输的信息或者利用对象的固有弱点来实现的。Admin、Admin、登陆无线路由器主要有以下几种形式假冒、身份攻击；非法用户进入网络系统进行违法操作；合法用户以未授权方式进行操作等。261电子商务面临的安全问题3拒绝服务DoS，DenialofService它故意攻击网络协议的缺陷或直接通过某种手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法捉供正常的服务或资源访问，在此攻击中并不入侵目标服务器或目标网络设备。DDoS，DistributedDenialofService传统DoS攻击一般是一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。DDos即利用多台攻击傀儡机同时对目标发动攻击，消耗服务资源。271电子商务面临的安全问题4否认（抵赖）通信中涉及到的实体之一事后不承认参加了该通信的全部或一部分。可以采用数字签名等技术措施来防止抗抵赖行为。5窃听窃听是信息泄露的表现。可通过物理搭线、拦截广播数据包、后门、接收无线信号进行实施。可采用加密方法防范窃听的威胁。1电子商务面临的安全问题6篡改非授权者用各种手段对信息系统中的数据进行增加、删改、插入等非授权操作，破坏数据的完整性，以达到其恶意目的。7复制与重放（重演）当一个消息，或部分消息为了产生非授权效果而被重复时将出现重演。非授权者先记录系统中的合法信息、然后在适当时候进行重放，以搅乱系统的正常运行，或达到其恶意目的。记录的是合法信息，因而如果不采取有效措施，将难以辨认真伪。1电子商务面临的安全问题8业务流量、流向分析非授权者在信息网络中通过业务流量或业务流向分析来掌握信息网络或整体部署的敏感信息。这种攻击没有窃取到信息内容，但仍可获取许多有价值的情报。通过业务流量填充可抵御这种攻击。9隐蔽信道（阈下信道、隐通道）隐蔽信道是通过公开通道传送隐蔽信息的一种秘密方法，即信息隐藏。未经授权的用户可用隐蔽信道传送机密信息。隐蔽信道既可传送未经授权信息，又不违反访问控制和其它安全机制，难以探测，难以清除。印度再以“安全隐患”为由严查中国通信设备商1电子商务面临的安全问题10人为失误人为错误、意外事故、疏漏错误或权限错误预防非常困难，具有很大的危害。误格式化、误删除造成数据丢失；把一些表格、磁带、磁盘、信用卡信息作为垃圾丢弃造成机密泄露；使用过时或不准确的信息（过时的软件版本、过时的病毒库）导致弱点暴露等等。11自然灾害与人为破坏雷电、地震、火灾、水灾、恐怖活动、偷窃、战争等。1电子商务面临的安全问题12逻辑炸弹逻辑炸弹是指修改计算机程序，使它在某种特殊条件下按某种不同的方式运行。在正常条件下程序运行正常，但如果某持殊条件出现，程序就会按不同于预期的方式运行。13后门（陷门）后门是进入系统的一种方法，通常由系统的设计者利用系统的开发时机，故意设置机关，用以监视计算机系统，有时也因偶然考虑不周而存在（漏洞）。后门也是程序设计、调试、测试或维修期间编程员使用的常用检验手段。1电子商务面临的安全问题14恶意代码恶意代码包括病毒、蠕虫、特洛伊木马、逻辑炸弹、恶意Java程序、愚弄和下流玩笑程序、恶意ActiveX控件以及Web脚本等。15不良信息互联网给人们的工作、学习、生活带来了极大便利，但在信息的海洋中，还夹杂着一些不良内容，包括色情、暴力、毒品、邪教、赌博等。通常的做法就是拦截，采用信息过滤技术进行访问控制。绿坝-花季护航绿坝简史2008年1月，原信息产业部面向社会公开征集绿色上网过滤软件。2008年5月，工业和信息化部公布征集结果，郑州金惠的“金惠堵截黄色图像及不良信息专家系统”和北京大正的“花季护航上网管理软件”两款产品中标（后来被组合，更名绿坝·花季护航），工信部采购了4170万元人民币的“绿坝-花季护航”软件，免费下载。要求2009年7月1日之后个人计算机出厂时应预装。2009年6月30日晚间,工信部新闻发言人称由于“一些企业提出工作量大、时间仓促、准备不足,根据实际情况,可以推迟预装绿坝软件。1电子商务面临的安全问题6高速发展的信息化进程中国网民规模1997年底为62万人，1998年底为210万，1999年底达890万人。网民规模截至2008年12月31日，中国网民规模达到2.98亿人，普及率达22.6%，超过全球平均水平（21.9%）；截至2009年12月底，中国网民规模达到3.84亿人，较2008年增长28.9%，上网普及率达到28.9%。截至2009年12月底，手机网民规模2.33亿，占网民总体的60.8%。网民规模和普及率（CNNIC，26）CNNIC第26次中国互联网络发展状况报告互联网基础资源IP地址和域名截至2010年6月，我国IPv4地址数量达到2.5亿，落后于4.2亿网民的需求。目前，我国IPv6地址在全球排名第13位。预计全球IPv4地址最快将在2011年8月耗尽。域名总数下降为1121万，其中.CN域名725万。.CN在域名总数中的占比从80%降至64.7%。与此同时，.COM域名增加53.5万，比重从16.6%提升至29.6%。CNNIC第26次中国互联网络发展状况报告目前CN域名中，.CN结尾的二级域名比例仍然最高，占到CN域名总数的63.2%；其次是.COM.CN域名，为29%。CNNIC第26次中国互联网络发展状况报告截至2010年6月，中国的网站数，即域名注册者在中国境内的网站数（包括在境内接入和境外接入）减少到279万个，降幅13.7%。CNNIC第26次中国互联网络发展状况报告网络国际出口带宽中国国际出口带宽继续发展，2010年中达到998,217Mbps，半年增长率为15.2%。CNNIC第26次中国互联网络发展状况报告网络应用2010年上半年，大部分网络应用在网民中更加普及，各类网络应用的用户规模持续扩大。商务类应用表现尤其突出，网上支付、网络购物和网上银行半年用户增长率均在30%左右，远远超过其他类网络应用。截至2010年6月，网络购物用户规模达到1.42亿，使用率提升至33.8%，上浮了5.7个百分点，半年用户增幅达31.4%。网络支付的使用率为30.5%，用户规模达12810万，半年增长36.2%，是用户增速最快的网络应用。43淘宝官方数据淘宝2009年上半年交易额809亿元，逼近2008全年999.6亿。2009全年年交易额超过2000亿。国家统计局公布的报告显示国内网购市场呈现出三大趋势“网货”加速品牌化“主流品牌”网销化“主流消费”网购化2010年9月10日，在阿里巴巴集团举办的第七届全球网商大会上，淘宝网公布，其在线商品数量超过5亿件，日新增在线商品1000万件，日交易额达到9亿元。CNNIC第26次中国互联网络发展状况报告网络安全半年内有59.2%的网民在使用互联网过程中遇到过病毒或木马攻击。2010年上半年，有30.9%的网民账号或密码被盗过。调查发现：89.2%的电子商务网站访问者担心访问假冒网站；如无法获得该网站进一步的确认信息，86.9%的人会选择退出交易。互联网向商务交易型应用的发展，急需建立更加可信、可靠的网络环境。2电子商务系统安全的构成1电子商务系统安全概述电子商务系统由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。系统安全由系统实体安全、系统运行安全和系统信息安全三部分组成。2电子商务系统安全的构成电子商务系统安全实体安全运行安全信息安全环境安全设备安全操作系统安全数据库安全网络安全病毒防护访问控制加密鉴别风险分析审计跟踪媒体安全应急备份与恢复2电子商务系统安全的构成2系统的实体安全环境安全对环境实施安全保护。物理监控、防盗。受灾防护系统应具有受灾报警、受灾保护和受灾恢复等功能。目的是保护系统免受水、火、有害气体、地震、雷击和静电的危害。灾难发生前，对灾难的检测和报警灾难发生时，采取紧急措施，进行现场实时保护灾难发生后对遭受破坏的系统进行灾后恢复2电子商务系统安全的构成设备安全对电子商务设备实施安全保护。防盗、防毁、对抗自然力、人为的破坏防泄漏、防线路截获防止对通信线路的截获和外界对通信线路的干扰。预防、探测、定位、对抗抗电磁干扰对抗外界对系统、消除系统内部的电磁干扰电源保护对电源工作连续性的保护，UPS等对电源工作稳定性的保护，纹波抑制器等2电子商务系统安全的构成媒体安全媒体本身的安全防盗、防毁媒体数据的安全防盗如非法拷贝数据的销毁物理销毁（粉碎）、数据的彻底销毁（消磁）。防止删除或销毁后被他人恢复而泄露信息。防毁意外或故意的破坏使媒体数据丢失。2电子商务系统安全的构成3系统运行安全风险分析静态分析发现系统潜在的安全隐患；动态分析（系统运行中的测试、跟踪、记录）发现系统运行中的安全漏洞。系统设计前：分析系统固有的脆弱性，发现潜在隐患。系统试运行前：根据试运行的状态和结果，分析隐患，发现系统设计的安全漏洞。系统运行期：通过运行记录和对系统的跟踪发现安全漏洞并通告安全管理员。系统运行后：分析系统运行记录，为改进系统的安全性提供分析报告。2电子商务系统安全的构成审计跟踪进行人工或自动的审计跟踪，并保存审计和维护记录，形成详尽的审计日志。记录和跟踪系统状态的变化，如提供对系统故意入侵行为的记录和违反系统安全的记录。对各种安全事故定位，如监控和捕捉各种安全事件。保存、维护和管理审计日志。2电子商务系统安全的构成备份与恢复对系统设备和系统数据的备份与恢复。介质可以是磁介质、纸介质、光碟、缩微载体等。场点内高速度、大容量、自动的数据存储，进行备份和恢复。提供场点外的数据存储，进行备份和恢复。提供对系统设备的备份。2电子商务系统安全的构成应急在紧急事件或安全事故发生时，提供保障系统紧急运行或紧急恢复的策略。应急计划辅助软件在紧急状态下，使系统能够尽量完成原定任务。紧急事件或安全事故的影响分析应急计划的概要设计和详细制订应急计划的测试与完善应急设施实时应急设施非实时应急设施2电子商务系统安全的构成4信息安全指防止信息被故意的或偶然的非授权泄露、更改、破坏，或使信息被非法的系统辨识和控制，确保信息的完整性、保密性、可用性（Confidentiality、Integrity、Availability，CIA

）和可控性。操作系统安全数据库安全网络安全计算机病毒防护访问控制2电子商务系统安全的构成访问控制出入控制：对主体访问客体的权限或能力以及进入物理区域的限制。阻止非授权用户进入组织，以电子、生物技术或电子与生物技术相结合的方式进行。物理通道的控制、门的控制存取控制：对计算机存储数据过程的限制。提供口令字的管理和控制功能防止入侵者对口令字的探测监测用户对某一分区或域的存取提供系统中主体对客体访问权限的控制2电子商务系统安全的构成加密数据加密和密钥管理加密设备对文字加密对语音加密、对图形、图像加密密钥管理密钥的分发密钥更新、回收、归档密钥恢复和审计。2电子商务系统安全的构成鉴别身份鉴别：组织非授权用户对系统资源的访问所知所有生物特征完整性鉴别使用户、设备、进程可以证实接收信息的完整性，信息内容未被非法修改或遗漏。不可否认性鉴别：使信息发送、接收双方都不能抵赖。证实发送方送出的信息确实由接受方接受。证实接收方接收的信息确实由发送方发送。3电子商务的安全需求交易中，你会考虑这些因素吗？如何确定通信中的贸易伙