第1章_电子商务安全概述

1、信息安全技术信息安全技术（电子商务安全）（电子商务安全）2022-2-51课程目的与任务课程目的与任务通过本课程的学习，对信息安全与加密，通过本课程的学习，对信息安全与加密，及电子商务安全的概念有较全面的了解，及电子商务安全的概念有较全面的了解，掌握在安全网络环境下构建电子商务安全掌握在安全网络环境下构建电子商务安全实用技术，并能具体应用于电子商务的实实用技术，并能具体应用于电子商务的实践中践中。电子商务安全技术2022-2-52课程的要求课程的要求理解和掌握电子商务安全的基本概念、理论、技理解和掌握电子商务安全的基本概念、理论、技术与体系结构，通过课堂学习、课后复习与习题术与体系结构，通过课

2、堂学习、课后复习与习题作业相结合，加深对所学的电子商务安全知识的作业相结合，加深对所学的电子商务安全知识的理解，并能掌握理解，并能掌握电子商务安全实用技术电子商务安全实用技术。电子商务安全技术2022-2-53教材教材管有庆、王晓军、董管有庆、王晓军、董小燕，电子商务安全小燕，电子商务安全技术技术(第二版第二版). ，北京，北京邮电大学出版社，邮电大学出版社，2009 2022-2-54主要参考书主要参考书1 沈昌祥沈昌祥. 信息安信息安全导论全导论. 北京：电北京：电子工业出版社子工业出版社. 2009.2022-2-552 唐四薪电子商务安唐四薪电子商务安全北京：清华大学全北京：清华大学出

3、版社，出版社，2013.2022-2-563 william stallingsr密码编码学与网络安密码编码学与网络安全唐明全唐明 等译北京等译北京：电子工业出版社，：电子工业出版社，2015.2022-2-57考核标准考核标准本课程采用闭卷考试本课程采用闭卷考试总成绩总成绩= =平时成绩平时成绩30%+30%+考试成绩考试成绩70%70%2022-2-58答疑安排答疑安排周二上午第周二上午第2 2大节在圆楼大节在圆楼308308房间等待大家房间等待大家的光临的光临电子邮件答疑电子邮件答疑 电子商务系办公室2022-2-59电子商务安全技术电子商务安全技术第第1章章电子商务安全概述电子商务安全

4、概述第第2章章密码学基础密码学基础第第3章章电子商务安全技术电子商务安全技术第第4章章电子商务电子商务中的认证技术中的认证技术第第5章章电子商务支付系统电子商务支付系统第第6章章移动电子商务安全移动电子商务安全第第7章章安全电子交易协议安全电子交易协议第第8章章万维网安全及万维网服务安全万维网安全及万维网服务安全2022-2-510 第第1章章 电子商务安全概述电子商务安全概述 1.1 电子商务的基本概念电子商务的基本概念 1.2 电子商务安全概念与需求电子商务安全概念与需求 1.3 电子商务安全体系结构电子商务安全体系结构 电子商务安全技术电子商务安全技术2022-2-5111.1电子商务的

5、基本概念电子商务的基本概念 2022-2-5121.1电子商务的基本概念电子商务的基本概念 2022-2-5132022-2-514截至截至 2015 年年 6 月，我国网民规模达月，我国网民规模达 6.68 亿亿，半年共计新增网民，半年共计新增网民 1894 万人。互联网普及万人。互联网普及率为率为 48.8%，较，较 2014 年底提升了年底提升了 0.9 个百分个百分点，整体网民规模增速继续放缓。点，整体网民规模增速继续放缓。2022-2-515互联网对个人生活方式的影响进一步深化互联网对个人生活方式的影响进一步深化“互联网互联网+”行动计划的出台，互联网将在云计算行动计划的出台，互联网

6、将在云计算、物联网及大数据等应用，带动传统产业的变革、物联网及大数据等应用，带动传统产业的变革和创新和创新2022-2-5162022-2-517“互联网互联网+”+”相关政策的支持，促进相关政策的支持，促进网络购网络购物快速发展物快速发展“互联网互联网+”+”概念，旨在通过互联网带动概念，旨在通过互联网带动传传统零售、物流快递、交通、生产制造等其统零售、物流快递、交通、生产制造等其他行业升级转型他行业升级转型商务部发布的商务部发布的“互联网互联网+ +流通流通”行动计划行动计划2022-2-518网络购物在实现消费拉动经济增长，网络购物在实现消费拉动经济增长，移动移动网购、跨境网购和农村网购

7、网购、跨境网购和农村网购等将成为新的等将成为新的增长点增长点2022-2-519多样化的移动支付方式重塑用户消费习惯多样化的移动支付方式重塑用户消费习惯3d3d打印、无人机送货、虚拟试衣打印、无人机送货、虚拟试衣等技术的等技术的研发和完善研发和完善, ,提升用户体验提升用户体验2022-2-5201.1电子商务的基本概念电子商务的基本概念 electronic commerce/electronic business/e-commerce/e-business/e-trade/ec “电子”+“商务”；电子是手段，商务是结果电子商务是以因特网为媒介、以商品交易双方为主体、以银行电子支付与结算为

8、手段的全新商务模式2022-2-5211.1.1 电子商务内容 1.1.2 电子商务分类 1.1.3 电子商务架构 1.1.4 电子商务意义 2022-2-522生活中的电子商务实例生活中的电子商务实例实例1网上订购cd实例2网上订花实例3网上交易2022-2-5232022-2-5242022-2-5252022-2-5261.1.1 1.1.1 电子商务内容电子商务内容 网上商业信息服务-如：网上商店的商品信息-网络银行的金融服务信息电子购物和交易 - 如：在网上商店选购商品电子银行与金融交易服务-如：在网络银行进行帐务处理2022-2-527电子商务必须面对的四大层面电子商务必须面对的四

9、大层面 信息流-采用电子信息交换，解决好信息流的问题，将是电子商务成功的关键资金流-一个真正的商务过程的完成，必须靠资金的转移来实现物流-商品转移安全-假冒、欺诈、抵赖、泄密2022-2-5281.1.信息流信息流信息流主要是传递消费者的订单资料,其中包含消费者的数据(收件人、收件地址、收件时间),以及订购的产品信息(产品名称、数量)。信息流发生在消费者、电子商务网站、以及产品的发货中心。网络消费者 电子商务网站 发货中心 消费者上网订购并提供付款资料 订单资料 2022-2-5292. 2. 资金流资金流资金流主要处理电子商务中的付款机制，所传递的资料主要为消费者的付款资料，而此资料必须保证

10、安全性及正确性，因此必须配合加密及认证技术来完成。资金流主要发生在电子商务网站及金融机构之间。 电子商务网站 确认消费者付款资料 请款 金融机构 2022-2-5303. 3. 物流物流物流处理实体的货物运送,倘若所销售的是数字化的产品,将没有实际的物流；若是实体货物,则物流是电子商务三流程之中,成本最高的部分。物流会发生在发货中心及消费者之间。网络消费者 发货中心 货品送达客户 2022-2-531电子商务的流程电子商务的流程网络消费者电子商务网站发货中心 金融机构 1.消费者上网订购并提供付款资料 2.确认付款5.请款3.订单资料4.货品送达客户 信息流资金流物流2022-2-5324.

11、安全安全网络虽有传递快速、方便、成本低廉的好处，但网络资料的安全性却也比较令人担忧把在网络上传递的资料加密,即可解决网络资料安全性的问题。 身份认证则是让没有面对面的交易双方,具有交易对象身份的确认以及交易的不可否认性2022-2-5331.1.2 1.1.2 电子商务分类电子商务分类 企业间的电子商务(b2b)- 企业通过计算机网络向它的供应商进行采购与付款企业与消费者之间的电子商务(b2c)- 许多大型的网络商店，所出售的商品一应俱全政府与企业之间的电子商务(g2b) - 政府将采购，通过网上竞价方式进行招标，企业也要通过电子商务的方式进行投标政府与消费者之间的电子商务(g2c) - 社会

12、福利金的支付、个人所得税的征收电子商务按照应用群体的角度进行分类 2022-2-5341.1.3 1.1.3 电子商务架构电子商务架构远远程程教教育育股股票票交交易易网网上上订订票票网网上上商商店店网网上上交交税税远远程程医医疗疗网网上上银银行行认证中心认证中心ca、支付网关、社会配送体系等基础、支付网关、社会配送体系等基础平台平台网络基础设施网络基础设施相相关关政政策策法法律律法法规规技技术术标标准准安安全全协协议议2022-2-5351.1.3 1.1.3 电子商务架构电子商务架构底层是网络基础平台- 是信息传送的载体和用户接入手段，它包括各种各样的网络传输平台、网络传输设备和网络接入方式

13、等中间层是电子商务基础平台- (1)基本加密算法层- (2)基本安全技术层- (3)安全协议层 第三层是各种各样的电子商务业务(应用)系统- 包括支付型业务系统和非支付型业务系统。电子商务业务系统中主要是支付型业务系统三层框架 2022-2-5361.1.4 1.1.4 电子商务意义电子商务意义 全球化- 电子商务能够让商家向全球范围内的客户提供商品，也可以让客户在全球范围内选购商品电子商务实现在线销售、在线购物、在线支付，使商家和企业能及时跟踪顾客的购物趋势 成本降低- 省去了中间环节，通过高效的信息传递手段，使得网上业务的运行成本大大降低商家和企业可以利用电子商务，同合作伙伴保持密切的联系

14、，改善合作关系 2022-2-5371.1.4 1.1.4 电子商务意义电子商务意义 商家和企业可以利用电子商务在网上广泛传播自己的独特形象通过电子商务可以促使商家和企业内部之间的信息交流，内部与外部的信息交流，及时得到各种信息，保证决策的科学性和及时性 2022-2-5381.2 1.2 电子商务安全概念与需求电子商务安全概念与需求1.2.1 安全层面1.2.2 安全威胁1.2.3 安全需求 电子商务的安全与其他计算机应用系统的安全一样，是一个完整的安全体系结构，它包含了从物理硬件到人员管理的各个方面，任何一个方面的缺陷都将在一定程度上影响整个电子商务系统的安全性 2022-2-5391.2

15、.2 1.2.2 安全威胁安全威胁 在一个调查报告中，调研样本中有3526位网民未使用过网上银行，在分析其不使用网上银行的原因时发现，排在最前的因素是网民担心交易安全问题(56.1%) 2022-2-5402014年国内和国际网络信息安全大事件年国内和国际网络信息安全大事件国内事件国内事件1.携程信息“安全门”事件敲响网络消费安全警钟 2.小米800万用户数据泄露 3.快递公司官网遭入侵 泄露1400万用户快递数据 4.130万考研用户信息被泄露 5.12306网站超13万用户数据遭泄露 2022-2-541国际事件国际事件1. 微软正式停止对xp系统技术支持 2. icloud曝安全漏洞 苹

16、果陷入“艳照门”事件 3. 摩根大通银行被黑 8300万客户信息泄露4. 2000万韩国人信用卡信息被盗 2022-2-5421.2.2 1.2.2 安全威胁安全威胁 目前电子商务发展面临的主要问题之一是如何保障电子商务交易过程中的安全性。 交易的安全是网上贸易的基础和保障，同时也是电子商务技术的难点 交易安全是电子商务系统所特有的安全要求。2022-2-543在交易过程中，消费者和商家面临的安全威胁通常有： 虚假定单：- 假冒者以客户名义订购商品，而要求客户付款或返还商品付款后收不到商品商家发货后，得不到付款 2022-2-5441.2.2 1.2.2 安全威胁安全威胁 机密性丧失- pin

17、或口令在传输过程中丢失；商家的定单确认信息被窜改电子货币丢失- 可能是物理破坏，或者被偷窃。这个通常会给用户带来不可挽回的损失 非法存取 - 指未经授权者进入计算机系统中，存取数据的情形；或合法授权者另有其他目的地使用系统 侵入 - 攻击者在入侵系统后离去，并为日后的攻击行为预留管道。如：木马病毒 2022-2-5451.2.2 1.2.2 安全威胁安全威胁 通信监听- 攻击者无须入侵系统即可窃取到机密信息；欺诈- 攻击者伪造数据或通信程序以窃取机密信息。例如，安装伪造的服务器系统以欺骗使用者主动泄漏机密；拒绝服务- 攻击者造成合法使用者存取信息时被拒绝的情况；否认- 交易双方之一方在交易后，

18、否认该交易曾经发生，或曾授权进行此交易的事实 2022-2-5461.2.3 1.2.3 安全需求安全需求 因特网本身的开放性及目前网络技术发展的局限性导致网上交易面临着种种安全性威胁。 交易与支付安全问题可归结为如下几个核心问题：可靠性、保密性、完整性、抗否认性、匿名性、原子性和有效性。 2022-2-5471.2.3 1.2.3 安全需求安全需求 1.可靠性 传统交易:- 交易双方主要是面对面进交易行活动的，易于身份验证电子商务模式：- 网上进行交易的双方大多素昧平生电子商务首要的安全需求:- 保证身份的可认证性，确保交易双方身份信息的可靠，防止攻击者以假冒身份在网上进行交易和诈骗。 20

19、22-2-5481.2.3 1.2.3 安全需求安全需求 2.保密性 传统的交易- 面对面地进行敏感信息的交换- 通过专用、封闭的安全通信信道进行交换。- 利用保险柜保存机密文件。电子商务模式- 电子商务是建立在开放的网络环境上电子商务系统的最根本的安全需求：- 维护敏感信息的机密性，保证敏感信息的安全传输和存储。实现方法：加密2022-2-5491.2.3 1.2.3 安全需求安全需求 3.完整性 - 电子商务系统应防止对交易信息的篡改，防止数据传输过程中交易信息的丢失和重复，并保证信息传递次序的统一。 - 当网络面临主动攻击时，攻击者通过篡改或部分删除交易过程中发送的信息，破坏信息的完整性

20、，使交易的双方蒙受损失。 - 例如，用户a截取c的邮购地址a的邮购地址网上书店2022-2-5501.2.3 1.2.3 安全需求安全需求 4.不可否认性 传统交易- 交易双方通过在书面文件上手写签名方式确定书面文件的可靠性，预防抵赖行为的发生。 电子商务模式- 无纸化的电子交易- 无法通过传统的“白纸黑字”方式防止交易参与方的抵赖行为。不可否认性需求- 保证电子交易过程中的各个环节都必须是不可否认的2022-2-5511.2.3 1.2.3 安全需求安全需求 5.匿名性 - 电子商务系统应确保交易的匿名性，防止交易过程被跟踪，保证交易过程中不把用户的个人信息泄露给未知的或不可信的个体，确保合

21、法用户的隐私不被侵犯。2022-2-5526. 原子性- 原子性包括：钱原子性(money atomicity)、商品原子性(goods atomicity)、确认发送原子性(certified delivery atomicity)。原子性是满足商品交易的要求之一。2022-2-5531.2.3 1.2.3 安全需求安全需求 7. 有效性- 电子商务系统应有效防止系统延迟或拒绝服务情况的发生- 保证交易数据在确定的时刻、确定的地点是有效的。 2022-2-5541.3 1.3 电子商务安全体系结构电子商务安全体系结构 电子商务安全系统结构组成：- 由网络服务层- 加密技术层- 安全认证层-

22、交易协议层- 商务应用系统层等5个层次组成 电子商务的安全体系结构是保证电子商务中数据安全的一个完整的逻辑结构，同时它也为交易过程的安全提供了基本保障 2022-2-555电子商务安全体系结构图电子商务安全体系结构图 防火墙、加密、漏洞扫描、入侵检测、反病毒、安全审计对称加密技术(des和ides等)、非对称加密技术(rsa和eigamal等)、哈希函数技术(sha-1和md5等)ca认证、数字证书、数字签名、数字信封set协议、ssl协议、shttp协议支付/非支付型业务系统保密性完整性匿名性抗否认性可靠性原子性有效性网络服务层加密技术层安全认证层安全协议层电子商务应用系统电子商务安全需求网

23、络安全交易安全2022-2-5561.3 1.3 电子商务安全体系结构电子商务安全体系结构 电子商务安全问题可归结为网络安全和商务交易安全这两个方面。 计算机网络安全和商务交易安全是密不可分的，两者相辅相成、缺一不可。2022-2-5571.3.1 网络安全：- 网络服务层提供网络安全1.3.1 交易安全- 加密技术层、安全认证层、交易协议层、商务系统层满足电子商务所特有的安全要求商务交易安全2022-2-5581.3.1 1.3.1 网络安全网络安全 网络服务层也提供计算机网络安全。计算机网络安全主要包括：计算机网络的物理安全、计算机网络系统安全和数据库安全等。计算机网络安全采用的主要安全技

24、术有：防火墙技术、加密技术、漏洞扫描技术、入侵检测技术、反病毒技术和安全审计技术等，用以保证计算机网络自身的安全。 2022-2-5591.3.1 1.3.1 网络安全网络安全 1.防火墙技术 internet intranet e-mail 服务器 w eb服务器 内部客户机 数据库 外 部 www客户 防火墙 2022-2-5601.3.1 1.3.1 网络安全网络安全 2.加密技术 - 数据加密技术可以用来保护网络系统中包括用户数据在内的所有数据流。3.漏洞扫描技术 - 漏洞扫描是自动检测远端或本地主机安全漏洞的技术。4.入侵检测技术 - 入侵检测技术通过获取网络上的所有报文，并对报文进行分析处理2022-2-5611.3.1 1.3.1