《新编电子商务教程》课件第4章

第4章电子商务安全4.1电子商务安全概述4.2电子商务安全管理4.3电子商务安全技术4.4电子商务安全交易协议

新浪科技讯9月25日上午消息，中国反钓鱼网站联盟连续发布7月、8月反钓鱼网站月报。数据显示，与上半年受理投诉的整体走势相比，下半年假冒钓鱼网站有明显抬头趋势，6月份共处理231个钓鱼网站，而7、8两个月月均处理近600起。☺任务：

看了上面的案例，你能回答下面的问题吗？

1.电子商务面临哪些安全问题？

2.什么样的电子商务才算是安全的电子商务？

3.可以采取哪些措施保证电子商务的安全？

4.1电子商务安全概述

4.1.1电子商务面临的安全问题

在电子商务过程中，由于交易双方未曾谋面，很难建立信任关系和交易安全保障体系。另外，由于电子商务中的各种交易信息和支付信息都是利用网络来传输的，这使得信息传输安全面临诸多挑战。1.计算机网络方面的安全问题

(1)安全漏洞。

(2)恶意代码。

(3)黑客攻击。

2.信息传输问题

(1)信息泄露。

(2)信息篡改。

(3)信息丢失。

(4)虚假信息。

3.信用问题

交易过程中的信用问题表现在三个方面：

(1)来自买方的信用问题。

(2)来自卖方的信息问题。

(3)买卖双方都可能存在的抵赖情况。4.1.2电子商务安全体系

1.电子商务系统硬件安全

2.电子商务系统软件安全

3.电子商务系统运行安全

4.电子商务安全立法4.1.3电子商务安全控制要求

1.信息的保密性

2.信息的完整性

3.交易的不可否认性

4.信息的有效性

5.交易者身份的真实性

4.2电子商务安全管理

4.2.1人员管理制度

(1)严格选拔，组织培训。

(2)落实工作责任制。

(3)贯彻网上交易安全运作的基本原则。4.2.2保密制度

信息的安全级别一般可分为三级：

(1)绝密级。

(2)机密级。

(3)秘密级。4.2.3跟踪、审计、稽核制度

跟踪制度是要求企业建立网络交易系统日志机制，用来记录系统运行的全过程。系统日志文件是自动生成的，其内容包括操作日期、操作方式、登录次数、运行时间、交易内容等。4.2.4网络系统的日常维护制度

1.系统硬件的日常管理和维护

(1)服务器和客户机。

(2)通信线路。

(3)网络设备。

2.软件的日常管理与维护

软件的维护主要是操作系统的维护和应用软件的维护。

3.数据备份

电子交易过程中的用户信息、产品信息、交易历史记录等重要信息都存储在数据库中，需要定期对数据库进行备份，将数据转存到不可更改的介质上，以便系统发生故障时能够快速恢复。数据备份的原则是异地备份，对备份的数据要专人、集中管理，应做到防火、防热、防潮、防磁、防尘、防盗。根据备份数据的重要程度和应用场合不同，数据的保存期也不同，但一般至少两年。4.2.5病毒防范制度

1.采用防病毒软件进行防毒

2.建立定期清理制度

3.权限控制

4.增强主动防范意识4.2.6浏览器安全设置

1.管理Cookies

IE浏览器“Internet选项”中的“隐私”选项卡可以管理Cookies，如图4-1所示。图4-1  “Internet选项”的“隐私”选项卡

2.禁用或限制使用Java、Java小程序脚本、ActiveX控件和插件

互联网上经常使用Java、JavaApplet、ActiveX编写的脚本，它们可能会获取用户的标识、IP地址和口令等信息，影响系统的安全。因此要对Java、Java小程序脚本、ActiveX控件和插件的使用进行限制。图4-2  “Internet选项”的“安全”选项卡自定义级别中可以对“ActiveX控件和插件”、“JavaVM”、“脚本”、“下载”等进行设置，在这里用户可以选择禁用、启用或提示等设置，如图4-3所示。图4-3自定义安全级别

3.调整自动完成功能

“Internet选项”的“内容”选项卡中，有一个“自动完成”区域，点击“设置”可以打开“自动完成设置”窗口，如图4-4所示，用户可以根据需求，自主完成设置。图4-4  “自动完成”设置

4.3电子商务安全技术

4.3.1构建安全的网络平台

Internet是电子商务的主要实现平台，而Internet的开放性使得针对计算机网络的各种攻击成为可能，因而建立安全稳固的网络环境，是实现安全电子商务的前提。防火墙技术、入侵检测技术是构建安全网络的常用技术。

1.防火墙技术

1)防火墙的基本原理

所谓防火墙(FireWall)就是一种隔离控制技术，在企业的内部网络和不安全的外部网络(如Internet)之间设置屏障，用来阻止不安全外部网络对内网信息资源的非法访问或攻击，也可以阻止内网信息被非法输出，同时又不影响内网的正常使用。

2)防火墙的基本功能

防火墙是网络安全策略的有机组成部分，它通过控制和检测网络之间的信息流来管理对网络的访问。防火墙具备五大基本功能：

(1)过滤进、出网络的数据。

(2)管理进、出网络的访问行为。

(3)封堵某些禁止的业务。

(4)记录通过防火墙的信息内容和活动。

(5)对网络攻击进行检测和报警。

3)防火墙的种类

作为近年来新兴的保护计算机网络安全的技术措施，防火墙技术逐渐成熟，也出现了不同种类的防火墙，这些防火墙针对不同的应用场合，分工明确。

从防火墙的软、硬件形式来分：软件防火墙、硬件防火墙和芯片级防火墙。

从防火墙的原理来分：包过滤型防火墙、代理服务型防火墙、混合型防火墙。

从防火墙的应用部署位置分：边界防火墙、个人防火墙和混合防火墙。

从防火墙结构上分：单一主机防火墙、路由器集成式防火墙和分布式防火墙。

4)防火墙的应用

防火墙是流行的企业安全问题解决方案，企业通常是将允许用户随意访问的公共数据和服务(如供用户浏览的商品信息)置于外部网络，而将企业内部的管理数据(如企业的销售系统和财务系统数据)划入内网，只能在公司内部访问，然后在外部网络和内部网络之间架设防火墙。

2.入侵检测技术

1)入侵检测的原理

入侵检测技术可以从计算机网络系统中的关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。

2)入侵检测策略

入侵检测系统的任务就是从收集到的庞大的数据中找到入侵的痕迹，这就需要有一个判别哪些是入侵行为的标准，即入侵检测策略。入侵检测策略是入侵分析的核心，系统的检测能力很大程度上取决于入侵检测策略。通常采用的入侵检测策略有两种：模式匹配和异常分析。4.3.2数据加密技术

1.加密系统的模型

加密系统的一般模型如图4-5所示。图4-5加密系统模型2.对称加密体制和非对称加密体制

1)对称加密体制

●对称加密体制的原理。

●对称加密体制的特点。

●对称加密体制的算法。

2)非对称加密体制

●非对称加密体制的原理。

非对称加密体制实现加密的基本过程如图4-6所示。

●非对称加密体制的特点。

●非对称加密体制的算法。图4-6非对称加密体制实现加密

3)两种加密体制的联合使用——数字信封

在一些重要的电子商务交易中，密钥必须经常更换，为了解决每次更换密钥时的分发问题，在实际应用中人们常常使用“数字信封”技术。数字信封结合了对称加密技术和非对称加密技术的优点，克服了对称加密技术中对称密钥分发困难和非对称加密技术中加密速度慢的问题，使用两个层次的加密来获得对称加密技术的灵活性和非对称加密技术的高效性。图4-7数字信封的工作原理4.3.3数字签名技术

1.数字摘要技术

数字摘要的应用可以保护交易文件的完整性，它的工作原理如下：

①发送方用单向散列函数对信息明文进行摘要，得到数字摘要。

②发送方将信息明文和摘要同时发送到接收方。

③接收方收到信息后用同样的散列函数对收到的明文进行摘要。

④接收方比较两个摘要，如果相同，则说明信息在传输过程中未被修改，反之则反。

2.数字签名

由于散列算法是公开的，所以电子商务交易中的采购订单等信息，很有可能会被第三者中途拦截，在更改了订单内容后再重新生成数字摘要，然后将新生成的数字摘要与更改后的订单信息发送给接收方，从而产生欺诈。这种欺诈产生的原因有两个：一是信息在传输过程中没有加密；二是接收方不知道收到的信息是第三者发送的。图4-8数字签名的工作原理

3.数字时间戳

数字时间戳服务是网上安全服务项目，由专门的机构提供。时间戳是一个经加密后形成的凭证文档，它包括三个部分：

(1)需加时间戳的文件的数字摘要；

(2) DTS收到文件的日期和时间；

(3) DTS的数字签名。4.3.4数字证书技术

1.数字证书的原理

数字证书又称为数字凭证，是一个由权威机构颁发的包含了证书持有人信息及持有人公开密钥的权威性电子文档，其作用类似于日常生活中的身份证或企业的营业执照。在网上交易中，交易双方出示各自的数字证书，并用它来进行交易操作，那么双方都可不必为对方的身份担心。目前数字证书广泛应用于安全电子邮件、网上支付、电子银行、网上购物、网上招标等电子商务活动。

2.数字证书的类型

根据数字证书的使用对象，将常用的数字证书分为个人数字证书、企业证书、服务器证书和代码签名证书几种类型。

1)个人数字证书

2)企业证书

3)服务器证书

4)代码签名证书

3.认证中心的作用

1)证书的颁发

2)证书的更新

3)证书的查询

4)证书的作废

5)证书的归档

4.带有数字签名和数字证书的加密系统

安全电子商务使用的文件传输系统大都带有数字签名和数字证书，如图4-9所示。图4-9带有数字签名和数字证书的加密系统

4.4电子商务安全交易协议

4.4.1安全套接层协议SSL

1. SSL协议概述

SSL(SecureSocketLayer)是安全套接层协议的英文缩写，是网景公司(Netscape)推出的基于Web应用的安全协议。SSL被大多数浏览器支持，它在客户浏览器和服务器端之间建立一条安全的传输通道，以实现在Internet上安全地传输数据的目的。

2. SSL的基本结构

SSL协议位于TCP/IP协议与各种应用层协议之间，与应用层协议无关，应用层协议能透明地建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信加密的协商以及服务器的认证工作。在此之后，应用层协议所传送的数据都会被加密，从而保证了在Internet上通信的机密性。

3. SSL协议的握手过程

SSL协议在传输通道建立之前，首先要通过SSL握手协议，在客户机和服务器之间磋商会话的具体事项。一旦通道建立成功，就进入会话阶段，直到会话结束，SSL协议都会对整个通信过程加密，并且检查其完整性。

4. SSL协议的应用

在电子商务交易过程中，由于有银行参与，按照SSL协议，客户的购买信息首先发往商家，商家再将信息转发给银行，银行验证客户信息的合法性后，通知商家付款成功，商家再通知客户购买成功，并将商品寄送客户。4.4.2安全电子交易协议SET

1. SET协议概述

在网上购物的环境中，持卡人希望在交易中保密自己的账户信息，商家则希望客户的订单不可抵赖，而且交易各方都希望验明其他方的身份。针对这种需求，由美国Visa和MasterCard两大信用卡组织联合Netscape、Microsoft等多家公司，共同制定了SET协议。SET(SecureElectronicTransaction，安全电子交易)协议是以银行卡为基础，用于在Internet上进行在线交易。

2. SET协议提供的服务

SET协议采用公开密钥密码体制和X.509数字证书标准，实现电子交易数据的保密性和完整性、交易行为的不可否认性和身份的合法性。

(1)保证客户交易信息的保密性。

(2)保证客户交易信息的完整性。

(3)确保商家和客户交易行为的不可否认性。

(4)确保交易各方身份的合法性。

3. SET协议的交易流程

SET交易过程中要对消费者、商家、银行等交易各方进行身份认证，因此它的交易过程相对复杂，大致经过以下步骤：

①消费者选购商品，填写订单信息。

②消费者选择付款方式，确认订单，签发付款指令。接下来SET开始介入。

③消费者客户端启动电子钱包软件，与商家进行协商，获取商家与支付网关的数字证书，这是SET协议的第一阶段，即协商阶段。④商家接受订单后，向消费者所在银行请求支付认可，处于SET协议的第二阶段，即支付确认阶段。信息通过支付网关到收单银行，再到电子货币发行公司确认。交易批准后，返回确认信息给商家。

⑤在线商店发送订单确认信息给消费者。消费者客户端软件记录交易日志，以备将来查询