第一章 电子商务安全概述

1、主讲：Email:电话：办公室：本课程的教学目的 本课程是高职电子商务专业的一门必修课程。 其主要任务是要求学生对电子商务安全的概念有较全面的了解，掌握电子商务安全保密的基础理论和实用技术，并能在实践中起指导作用。课程知识目标了解电子商务安全隐患；了解电子商务流程中的各方面的不安全性；了解一些黑客常用的攻击方法，学会使用一些防范工具；了解防火墙的使用；掌握数字签名及CA认证技术掌握加密与密钥体系.实现数据完整性.数字签名.数字认证.安全协议与标准；掌握对访问的认证和控制，S/MIME，SSL，SET和数字认证的使用；课程能力目标能对一个电子商务网站的防火墙进行设置；能申请并使用数字证书；能分析

2、一个电子商务网站的商务流程安全隐患；培养一定的电子商务网站的安全管理能力；掌握一定的信息加密技术及其应用能力；课程考核方案（建议）考核方式:过程性测试+期末闭卷考试过程性测试占60%过程性测试含考勤、作业和实验期末闭卷考试40%期末试卷题型及比例：综合题：50% 简答题：30%选择题: 20% 为什么要学这门课程？助理电子商务师必备技能： 了解电子商务安全基本知识和隐患 了解电子商务的不安全性 掌握建立安全的电子商务流程 掌握加解密、数字签名、认证 掌握电子商务的安全协议SSL、SET助理电子商务师国家职业标准主编：彭波第1章 电子商务安全基础知识教学目标：了解电子商务安全的六项中心内容；了解

3、常见的电子商务安全问题熟悉电子商务安全的需求熟悉常见的电子商务安全技术了解电子商务安全体系技能培养目标：能够搜集电子商务安全方面的资料能够跟踪电子商务技术的发展第1章 电子商务安全基础 1.1 电子商务安全概述 随着电子商务在全球范围内的迅猛发展，电子商务中的网络安全问题日渐突出。 CNNIC发布的第24次中国互联网络发展报告指出：如何保证电子商务中的网络安全问题、交易安全问题是促进电子商务稳定快速发展的关键。知识窗：知识窗：中国互联网络信息中心（中国互联网络信息中心（CNNIC）：）：CNNIC是我国域名注册管理机构和域名根服务是我国域名注册管理机构和域名根服务器运行机构。官方网址器运行机构

4、。官方网址http:/ 用户认为目前网上交易存在的最大问题是：安全性得不到保障： 23.4%付款不方便： 10.8% 产品质量、售后服务及厂商信用得不到保障： 39.3%送货不及时： 8.6%价格不够诱人： 10.8%网上提供的信息不可靠： 6.4%其它： 0.7%消费者对网上交易的网络安全缺乏信心，使得消费者对网上交易的网络安全缺乏信心，使得越来越多消费者不愿在网上购物。越来越多消费者不愿在网上购物。电子商务安全包括六项中心内容：1商务数据的机密性 信息在传送和存储过程中不能泄露，可用加密和信息隐匿技术实现。2商务数据的完整性 保护数据不被未授权者修改、建立、嵌入等。3商务服务的认证性 网络

5、两端的使用者在沟通之前相互确认对方的身份。4.商务服务的不可否认性 信息发送和接收方都不可否认服务没有发生。 5.商务服务的不可拒绝性 保证受权用户在正常访问时不被拒绝。6.访问的控制性 在网络上限制和控制通信链路对主机系统和应用的访问。 从2000年2月7日至2月9日，短短三天时间内，美国几大主要网上站点遭受不明黑客攻击，其中包括著名的电子商务网站电子港湾（eBay）和亚马逊（Amazon）。 从2003年1月25日中午开始，一种蠕虫病毒在Internet上快速蔓延。信息安全案例 2004年2月，日本因特网雅虎BB公司外泄四百五十万笔个人资料，引起社会指责 万事达信用卡集团于2005年6月1

6、7日称，大约4000万信用卡顾客账户被一名黑客利用电脑病毒侵入，黑客可能将用户账号信息用作欺诈行为 2008年，一个全球性的黑客组织，利用ATM 欺诈程序在一夜之间从世界49个城市的银行中盗走了900万美元。 2009年，7月7日，韩国总统府、国会、国情院和国防部等国家机关，以及金融界、媒体和防火墙企业网站遭到黑客的攻击。1.2 电子商务安全问题 1. 数据被非法截获、读取或者修改 数据在传输过程中可能被别有用心者截获、读取，从而造成商业机密和个人隐私的泄密。 2. 冒名顶替和否认行为 别有用心者就有可能冒充合法用户发送或者是接收信息。另外，会否认自己在网络上进行过的操作，也就是赖帐。1.2

7、电子商务安全问题 3. 一个网络的用户未经授权访问了另一个网络 有的未经授权的非法用户会想办法窜入企业内部网，这就是所谓的“黑客”侵扰。 4. 计算机病毒 电子商务是一种依赖于计算机和计算机网络的新的商务模式，危害计算机和计算机网络的计算机病毒自然对对电子商务造成了很大的危害。解决措施序号序号安全问题安全问题解决措施解决措施1数据被非法截获、读取或者修改数据加密2冒名顶替和否认行为数字签名、加密、认证等3一个网络的用户未经授权访问了另一个网络防火墙4计算机病毒计算机病毒防治措施1.3 电子商务安全需求电子商务安全需求从整体上可分为三大部分： 电子商务信息服务安全需求 电子交易的安全需求 电子支

8、付安全需求。1.3.1 电子商务信息服务安全需求 1. 系统实体安全 实体安全，是指保护计算机设备、设施以及其他媒体免受自然灾害和其他环境事故（如电磁污染等）破坏的措施、过程 （1）环境安全 （2）设备安全 （3）媒体安全2. 系统运行安全 运行安全是指为保障系统功能的安全实现，提供一套安全措施来保护信息处理过程的安全。 （1）风险分析 （2）审计跟踪 （3）备份与恢复 （4）应急3. 信息安全 信息安全是指防止信息财产被故意的或偶然的非授权泄漏、更改、破坏或使信息被非法的系统辨识、控制， （1）操作系统安全 （2）数据库安全 （3）网络安全 （4）计算机病毒防护 （5）访问控制 （6）加密

9、（7）鉴别 1.3.2 电子交易的安全需求 1信息的保密性 一定要对敏感重要的商业信息进行加密，即使别人截获或窃取了数据，也无法识别信息的真实内容，这样就可以使商业机密信息难以被泄露。 2 信息的完整性 交易各方能够验证收到的信息是否完整，即信息是否被人篡改过，或者在数据传输过程中是否出现信息丢失、信息重复等差错。1.3.2 电子交易的安全需求 3. 身份的可认证性 在双方进行交易前，首先要能确认对方的身份，要求交易双方的身份不能被假冒或伪装 4. 可靠性/不可抵赖性 在电子交易通信过程的各个环节中都必须是不可否认的，即交易一旦达成，发送方不能否认他发送的信息，接收方则不能否认他所收到的信息。

10、1.3.2 电子交易的安全需求 5. 审查能力/不可伪造性 电子交易文件也要能做到不可修改，以保障交易的严肃和公正。 6. 内部网的严密性 企业的内部网上一方面有着大量需要保密的信息，另一方面传递着企业内部的大量数据，控制着企业的业务流程。保证内部网不被侵入，也是开展电子商务的企业应着重考虑的一个安全问题。1.3.3 电子支付安全需求 电子支付的手段是解决电子商务支付的唯一手段。所以如何保证电子支付过程中的安全问题也是电子商务中迫切要解决的问题。 （1）电子支付制度 （2）电子支付系统 （3）隐私外露 （4）电子支付工具1.4 电子商务安全技术 电子商务主要涉及到的安全技术有加解密技术、数字认

11、证技术、CA安全认证体系、安全电子交易协议、虚拟专用网技术、反病毒技术、黑客防范及其他相关的网络安全技术。安全技术归结为三类： 客户端安全技术 服务器端安全技术 信息传输安全技术。1.4.1 客户端安全技术 1. 病毒与木马防范技术 病毒与木马防范技术主要是就是针对目前流行的病毒与木马通过安装反病毒软件、反木马软件等技术手段防范病毒和木马对客户端造成的破坏。2. 操作系统安全技术 操作系统安全技术主要是指利用安全技术保证进行电子商务活动中参与的主机系统的操作系统安全。 美国可信计算机安全评估标准（TCSEC），是计算机系统安全评估的第一个正式标准。 TCSEC将计算机系统的安全划分为4个等级、

12、8个级别。 美国可信计算机安全评估标准（TCSEC）(1) D类安全等级：只为文件和用户提供安全保护。最普通的形式是本地操作系统。(2) C类安全等级：能够提供审慎的保护，并为用户的行动和责任提供审计能力。(3) B类安全等级：具有强制性保护功能(4) A类安全等级：从开发者那里接收到一个安全策略的正式模型；所有的安装操作都必须由系统管理员进行；系统管理员进行的每一步安装操作都必须有正式文档。3. 应用软件安全技术 应用软件安全技术主要是指针对安装在主机系统中的应用软件存在的安全问题所采用的安全技术。 例如，MS Internet Explore、Outlook Express、Foxmail

13、以及即时通信软件QQ等大量应用软件1.4.2 服务器端安全技术 1. 网络操作系统安全技术网络操作系统安全技术主要是指为了保障提供电子商务服务的网络操作系统的安全而采用的安全技术，包括Windows 2003 Server安全设置和Red Hat Linux 安全设置。 2. 数据库安全技术 指为了保证数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题等一系列安全问题而采用的安全技术。 3. 网站安全技术 指对提供电子商务服务的网站所采用的安全技术。主要包括Web服务安全设置和网站代码安全。1.4.3 信息传输安全技术 1. 黑客的攻击与防范 主要通过了解常见黑客的攻击方法，熟悉黑客攻击

14、的步骤，掌握防范黑客入侵的措施和防范黑客入侵的步骤。 常见的黑客的攻击方法有：端口扫描、口令破解、特洛伊木马、缓冲区溢出攻击、拒绝式服务攻击、网络监听等。 2. 信息加密技术 保证信息在传输通道中信息安全的核心技术。 通过对传输的信息进行加密，可以在一定程度上提高数据传输的安全性，保证传输数据的完整性。在电子商务安全中信息加密技术包括密码的分析与攻击和数据加密技术。 3. 防火墙技术与设置 通过防火墙将本地网络和外界网络之间建立一道防御体系，用户可以在防火墙上配置安全策略控制信息的进出。通过安全策略的配置提供信息安全服务，实现网络和信息安全。1.5 电子商务安全体系 电子商务安全体系是保证电子商务中信息安全的一个完整的逻辑结构，同时也为交易过程的安全提供了保障。 网络安全是电子商务活动安全进行的基础，为人们安全地开展网上商务活动提供了有力的保障。没有网络的安全，电子商务就毫无安全可言。 电子交易安全是保障电子商务网上交易活动顺利进行的业务逻辑层面的安全。通过使用加密技术、安全认证、安全协议和电子支付系统等技术手段可以保证电子交易过程中信息的保密性、完整性、有效性、认证性、不可抵赖性、不可拒绝性实训了解电子商务安全问题和技术实训内容： 查找十个专业的电子商务安全的网站； 查找当前国际和国内电子商务安