电子商务概论-课件-第十一章电子商务安全与风险管理

学习要点及目标1.了解电子商务对安全的基本要求2.了解电子商务面临的主要安全威胁3.熟悉并掌握电子商务常用的加密技术、访问控制和身份认证技术4.理解防火墙、VPN、入侵检测系统的基本原理以及SET和SSL协议核心概念电子商务安全要素社会工程学PKI防火墙VPN入侵检测系统引导案例钓鱼网站骗走消费者23万余元2014年1月10日，宇龙计算机通信科技（深圳)有限公司在其“酷派商城”网站上，发布电商品牌“大神”系列手机产品，产品一上线便被抢购一空。但让该公司始料不及的是，此后，陆续接到近60名客户的电话投诉，称在其商城上付钱购买了手机却迟迟没收到货。差错究竟出在哪里？接到客户投诉后，该公司立刻调取后台数据进行核查，结果发现公司从未接到这些投诉客户的购买信息。进一步调查显示，这些客户均是通过一个仿冒其公司官网的额钓鱼网站上购买的。2014年1月底，该公司正式向南山公安分局高新派出所报案。案例导学在我国各式各样的钓鱼网站中，涉及淘宝网、工商银行、央视、腾讯公司四家单位的钓鱼网站总量占了绝大多数。通过仿造一个淘宝网店，然后骗取网民的银行账号和密码，或者在购物时将用户的贷款转移到自己的账户中，已经成为最为常见的网络钓鱼行为。交易安全是影响电子商务健康发展的关键因素之一。类似于窃取消费者支付信息等犯罪活动在全球范围内都正在急剧增长。这些安全威胁从技术攻击到冒名诈骗，涉及范围十分广泛。高效的安全措施是保证电子商务的顺利展开，解决交易安全问题的基础。11.1电子商务安全概述11.1.1电子商务安全的概念1.电子商务系统硬件安全2.电子商务系统软件安全3.电子商务系统运行安全4.电子商务安全立法11.1.2电子商务安全的主要问题11.1.3电子商务的安全需求1.信息的保密性/机密性2.信息的完整性3.信息的有效性4.信息的不可否认性5.信息的可认证性/交易者身份的真实性6.系统的可靠性7.审查能力11.1.4电子商务的安全管理策略1.物理安全策略（1）自然灾害安全防范策略（2）人为风险防范策略（3）硬件防护策略2.网络安全策略（1）技术策略（2）管理策略3.灾难恢复策略（1）灾难备份（2）数据恢复11.2电子商务的主要安全威胁11.2.1社会工程学攻击1.社会工程学原理和特点2.社会工程学防御策略11.2.2技术型攻击1.分布式拒绝服务攻击2.恶意代码

（1）计算机病毒（2）计算机蠕虫（3）特洛伊木马3.网络钓鱼11.3电子商务通信安全11.3.1访问控制与身份认证1.加密介绍2.对称加密体系与DES算法3.非对称加密体系与RSA算法4.数字摘要与Hash算法5.数字签名6.数字信封7.数字时间戳8.SET简介9.SSL简介

11.3.2PKI1.PKI的定义2.PKI的基本组成

（1）认证机构（CA）（2）数字证书库（3）密钥备份及恢复系统（4）证书作废系统（5）应用接口（API）3.PKI的优势

11.4电子商务网络安全11.4.1防火墙技术1.防火墙的基本概念2.防火墙的构成3.防火墙的功能4.防火墙的优点5.防火墙的类型6.防火墙的安全策略及局限性11.4.2VPN1.什么是VPN2.VPN的特点

（1）安全保障（2）服务质量保证（3）可扩充性和灵活性（4）可管理性3.VPN安全技术

（1）隧道技术（2）加解密技术（3）密钥管理技术（4）使用者与设备身份认证技术4.VPN解决方案

（1）AccessVPN（2）IntranetVPN（3）ExtranetVPN

11.4.3入侵检测系统1.入侵检测系统概念2.入侵检测系统的功能3.入侵检测系统的CIDF模型4.入侵检测系统的分类5.入侵检测技术本章小结

电子商务对安全的基本要求是信息的保密性、完整性、有效性、不可否认性、可简便性、可审查能力以及系统的可靠性等。电子商务所受到的威胁攻击类型主要有入侵性病毒、扩展类威胁以及网络侵害。对称加密在加密和解密时都使用同一把密钥，即加密密钥和解密密钥相同，常用的算法为DES算法。非对称加密通讯各方使用两个不同的密钥，一个是只有发送方知道的专用密钥，另一个则是对应的公用密钥，常用的算法是RSA算法。数字摘要，就是发送方对被传送的一个信息报文根据某种数学算法（通常是Hash算法）计算出一个此信息报文的摘要值，数字摘要与原始信息报文之间有一一对应的关系。数字签名是发送方将报文所产生的数字摘要用自己的私钥签名，从而形成自己的数字签名。数字信封技术结合了对称加密技术和非对称加密技术的优点，使用两层次的加密来获得公共密钥技术的方便性和对称密钥技术的高效性。

数字时间戳是用户首先将需要加时间戳的文件用Hash算法加密后形成摘要，然后将该摘要发送到DTS机构，DTS机构在加入了收到文件摘要的日期和时间信息后，再对该文件用DTC的密钥加密（数字签名）及数字时间戳，然后送回用户手中。SET协议及常用的安全电子交易协议，SSL协议及常用的安全套接层协议。PKI系统具有权威认证机构（CA）、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分。计算机网络的防火墙是一个由软件和硬件设备组合而成的、在内部网（可信赖的安全网路）和外部网（不可靠的网路环境）之间的界面上构造的保护屏障。防火墙的技术包括四大类：包过滤型防火墙、应用级网关、电路级网关和规则检查防火墙。虚拟专用网VPN通过一个公用网络建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。VPN采用的技术主要有：隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。VPN的主要解决方案有：远程访问虚拟网、企业内部虚拟网和企业扩展虚拟网。思考与联系一、判断题1．电子商务安全的研究范畴属于纯技术上的问题。（）2．在对称加密体制中，密钥被分解为一对，分别是公有密钥和私有密钥。（）3．VPN利用隧道协议在网络之间建立一个虚拟通道，以完成数据信息的安全传输。（）4．信息被篡改是指信息的完整性被破坏。（）5．电子商务安全仅仅是一个企业安全部门的事情。（）二、单项选择题1．对称加密方式主要存在（）问题。A．加密技术不成熟B．无法鉴别贸易双方的身份C．密钥安全交换和管理D．加密方法很复杂2．非对称加密方法的优点是（），而且能方便地鉴别贸易双方的身份。A．加密技术很成熟B．解决了对称加密技术中密钥的安全交换和管理问题C．可以用于加密各种文件和数据D．加密方法很复杂导致加密速度很慢

3．数字证书包含以下的内容（）。A．证书颁发者的姓名和公钥B．公钥的有效期C．颁发数字证书的单位及其数字签名D．数字证书的级别E．数字证书的序列号4．数字签名是解决（）问题的方法。A．未经授权擅自访问网络B．数据被泄或篡改C．冒名发送数据或发送数据后抵赖D．以上三种5．数据摘要可用于验证通过网络传输收到的文件是否是原始的，未被篡改的文件原文，产生数据摘要采用（）算法。A．Ha