高等教育电子商务基础第三章课件

1、第三章 电子商务的安全防范教学重点：电子商务的安全标准； 电子商务的安全技术。教学难点：电子商务的安全标准。教学要求： 通过本章的学习使学生掌握电子商务涉及到的计算机和网络安全问题，以及电子商务安全的标准和安全技术。3-1 计算机与网络的安全一、计算机安全1、计算机安全面临的严峻形势：计算机泄密、窃密事件不断发生；黑客攻击行为日益增多，计算机违法犯罪活动呈上升趋势；一些部门 对计算机信息系统运行中存在的安全问题和潜在的风险认识不足，自我保护和防范意识不强，漏洞较多；计算机系统安全保护技术开发和应用滞后，防范能力较差。 4案例1：网络风险凸现1988/11/2日，23岁的USA康耐尔大学学生罗伯

2、特英瑞斯在自己计算机上将用远程命令编写的蠕虫程序送进网络，一夜之间，网上约6200台VAX系列小型机及Sun工作站、USA300多所大学、议院、研究中心、国家航空航天局及几个军事基地死机（10%），损失9600万美圆。 51994年4月-10月间，俄国彼得堡OA土星公司24岁的电脑专家弗拉基米尔列列文通过互联网多次侵入USA花旗银行在华尔街的中央电脑系统的现金管理系统，窃走1000万美元（40笔款），大银行的电脑系统首次被外人侵入。1999年，有人利用从新闻讨论组中查到的普通的技术手段，轻易而举地从USA多个商业网站中窃取了80000多个信用卡帐号和密码，并标价26万美元出售。2004年10月

3、17日国内著名的杀毒软件厂商江民公司的网站被一名为河马史诗的黑客攻破，页面内容被篡改。 2006年9月12日晚，国内知名搜索网站百度，遭到其有史以来最大规模黑客袭击，导致百度搜索服务在全国各地出现近30分钟的故障。2007年爆发的“熊猫烧香”病毒，会使所有程序图标变成熊猫烧香，并使它们不能应用。62008年“扫荡波”。利用系统漏洞从网络入侵的程序，这个病毒可以导致被攻击者的机器被完全控制。2009年“木马下载器”。2009年度的新病毒,中毒后会产生10002000不等的木马病毒,导致系统崩溃,短短3天变成360安全卫士首杀榜前3名。2010年“震网病毒”。世界上首个以直接破坏现实世界中的工业基

4、础设施为目标的蠕虫病毒，被称为“网络超级武器”。讨论：网络，还会有安全吗？2、计算机安全问题主要涉及的领域党政机关计算机信息系统的安全问题（首要） 政治稳定和国计民生国家经济领域内计算机信息系统的安全问题 经济命脉国防和军队计算机信息系统的安全问题 维护国家独立和主权完整3、计算机安全控制制度（1）计算机安全 表现（2）计算机安全控制的相关制度计算机信息系统安全等级保护制度计算机机房安全管理制度计算机信息系统国际联网备案制度计算机信息媒体进出境申报制度计算机信息系统使用单位安全负责制度计算机案件强行报告制度计算机病毒及其有害数据的专管制度计算机信息系统安全专用产品销售许可证制度对计算机系统的安

5、全保护对计算机罪犯的防范与打击 4用于防范计算机犯罪的法律手段 1997年10月1日的我国新刑法确定了计算机犯罪的5种主要形式： （1） 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统； （2） 对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行； （3） 对计算机信息系统中存储、处理或传输的数据和应用程序进行删除、修改、增加的操作； （4） 故意制作、传播计算机病毒等破坏性程序，影响计算机系统的正常运行； （5） 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家机密或其他犯罪行为等。二、常见的网络安全问题1、网络安全主要的领域党政机关

6、技术领域电子商务领域社会经济领域国家经济实体安全国防和军队运行安全信息安全支付安全身份认证法律责任2、网络上存在的安全问题病毒：最直接的安全威胁内部威胁和无意破坏系统的漏洞和“后门” 网上的蓄意破坏侵犯隐私或机密资料拒绝服务3-2 电子商务的安全保障一、电子商务的安全现状二、电子商务的安全威胁1、卖方面临的安全威胁：系统中心安全性被破坏竞争者的威胁商业机密的安全假冒的威胁信用的威胁2、买方面临的安全威胁：虚假订单付款后不能收到商品机密性丧失拒绝服务3、黑客攻击电子商务系统的手段系统中断，破坏系统的有效性窃听信息，破坏系统的机密性篡改信息，破坏系统的完整性伪造信息，破坏系统的真实性三、电子商务的

7、安全要素和体系1、电子商务的安全要素：数据的完整性传输的保密性信息的不可否认性交易者身份的确定性访问控制2、 电子商务安全的基本要求：完整、可靠、可控、不可抵赖3-3 电子商务安全的标准一、SSL协议：安全套接层协议1、开发： Netscape Communication公司设计开发2、功能：用于Web浏览器与服务器之间的身份认证和加密数据传输。 3、构成：4、缺点：只能验证客户身份，不能验证商家身份SSL记录协议： 为高层协议提供数据封装、压缩、加密等基本功能的支持 。SSL握手协议：通讯双方进行身份认证、协商加密算法、交换加密密钥。二、SET协议：安全电子交易协议1、开发：美国Visa和M

8、asterCard两大信用卡组织等联合于1997年6月推出2、功能：采用公钥密码体制和X.509数字证书标准，主要应用于保障网上购物信息的安全性，是目前公认的信用卡网上交易的国际标准。 3、优点：保证客户交易信息的保密性和完整性 确保商家和客户交易行为的不可否认性 确保商家和客户的合法性 4、缺点：只解决双方认证和支付三、OTP协议：开放式贸易协议 功能：解决多边支付问题。四、CHAP协议：询问握手认证协议 功能：通过三次握手周期性的校验来验证用户的帐号及密码。 五、 ECHAP协议：身份认证安全协议 功能：实现了安全的身份认证和用户敏感验证信息（秘密信息）在服务器和客户端的安全存储，防止了因

9、超级用户泄露或复制用户的秘密值的安全隐患。网络安全技术安全管理体系电子商务信息安全技术数据备份与恢复安全应用协议：SET和SSL防火墙技术加密技术病毒防范数字签名入侵检测技术数字证书VPN身份识别技术法律法规、政策1、电子商务安全架构3-4 电子商务的安全技术一、安全防范措施人员管理制度人员选拔、工作责任制等保密制度信息的安全级别（绝密级、机密级、秘密级）跟踪、审计、稽核制度跟踪制度：企业应建立网络交易系统日志机制审计制度：对系统日志的检查、审核，以发现问题稽核制度：工商、税务等对企业的稽核2、网络安全管理制度系统维护制度硬件的日常管理和维护、软件的日常管理和维护建立数据备份制度病毒防范制度安

10、装杀毒软件、病毒定期清理制度、控制权限等应急措施瞬时复制技术远程磁盘镜像技术数据库恢复技术等2、网络安全管理制度二、计算机安全技术1、实体安全：保证硬件和软件本身的安全电源防护技术：防干扰、防电压波动、防断电防盗技术：安装报警器、监视系统等环境保护：防火、防水、防尘、防震、防静电电磁兼容性：电磁屏蔽、接地等2、运行环境的安全：保证系统的正常运行预防措施：风险分析、备份与恢复、审计跟踪、应急3、信息的安全：保证信息不被非法阅读、修改和泄露预防措施：装防火墙和杀毒软件、设置权限 进行访问控制、加密、身份认证4、存取控制：对用户的身份进行识别和鉴别身份认证：密码、代表用户身份的物品、反 映用户生理特

11、征的标识存取权限控制：设置权限等级数据库存取控制：允许、禁止三、路由器技术1、路由器：连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。2、功能：连通不同的网络。 选择信息传送的线路。 四、防火墙技术1、防火墙(firewall) ：一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。 2、基本特性：内部网络和外部网络之间的所有网络数据流都必须经过防火墙 只有符合安全策略的数据流才能通过防火墙 防火墙自身应具有非常强的抗攻击免疫力 3、功能：过滤进出网络的数据包； 管理进出网络的访问行为；封堵某些禁止的访问行为

12、；记录通过防火墙的信息内容和活动；对网络进行检测和告警。4、缺点：主要防范外部网络的攻击而忽略了内部网络攻击抑制一些正常的通信，削弱Internet的功能用外网访问内网会被防火墙拒绝服务防火墙跟不上信息技术的发展，存在漏洞增加黑客攻击机会常用的防火墙六、加密技术1、加密技术 ：利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密） 。 例如：2、构成要求算法：将普通的文本（或者可以理解的信息）与一串数字（密钥）的结合，产生不可理解的密文 的步骤。密钥：用来对数据进行编码和解码的一种算法 。“1101.100”表示100元3、分类：对称加密：用一个密钥进行加密

13、。加、解密均用公钥进行。典型代表：DES算法、RC4非对称加密：用一对密钥进行加密。其中公钥进行加密，私钥进行解密。典型代表：RSA算法4、应用：在电子商务中的应用：信息的保密、信息的完整、信息源的鉴别、不可否认性在军事领域的应用：信息的保密、一致性和时效性明文明文密文加密解密B公钥B私钥A方B方七、认证技术1、认证技术：保证电子商务交易安全的一项重要技术。 主要包括身份认证和信息认证。 2、常用的身份认证技术：静态密码：由用户设定的一组字符，用于保护用户信息和识别身份。短信密码 ：以手机短信形式请求包含6位随机数的动态密码 。动态口令牌：客户手持用来生成动态密码的终端，主流的是基于时间同步方

14、式的，每60秒变换一次动态口令，口令一次有效，它产生6位动态数字进行一次一密的方式认证。 USB KEY：一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USBKey内置的密码算法实现对用户身份的认证。 智能卡（IC卡） ：一种内置集成电路的芯片，芯片中存有与用户身份相关的数据，通过智能卡硬件不可复制来保证用户身份不会被仿冒。数字签名 ：以电子形式存在于数据信息之中的，用于辨别数据签署人的身份，并表明签署人对数据信息中包含的信息的认可。 生物识别技术：通过可测量的身体或行为等生物特征进行身份认证的一种技术。 计算机病毒，是指编制或者在计算机程序中插入的破坏

15、计算机功能或者毁坏数据,影响计算机使用，并能自我复制的一组计算机指令或者程序代码，就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒的组成：引导模块、传染模块和表现模块【知识窗】电脑病毒的概念是由电脑的先驱者冯诺伊曼（John Von Neumann）提出的。到了1987年，第一个电脑病毒C-BRAIN终于诞生了。一般而言，业界都公认这是真正具备完整特征的电脑病毒始祖。这个病毒程序是由一对巴基斯坦兄弟：巴斯特（Basit）和阿姆捷特（Amjad）所写的，所以又称巴基斯坦大脑（Pakistani Brain）病毒。从此之后逐渐进入病毒的高发期！【知识窗】巴基斯坦大脑（Pakistani B

16、rain）DOS系统下耶路撒冷（Jerusalem）windows时期的宏病毒32位病毒-CIHInternet上盛行的各种病毒：蠕虫特洛伊木马等【知识窗】引导型病毒：其传染对象是软盘的引导扇区和硬盘的主引导扇区和引导扇区。在系统启动时，先于正常系统启动。典型代表：“大麻”、Bloody、Brain等。文件型病毒：广义的文件型病毒包括可执行文件病毒、源码病毒和宏病毒。文件型病毒主要感染可执行文件，又可分为：寄生病毒、覆盖病毒和伴随病毒。混合型病毒：集引导型和文件型病毒为一体的病毒，感染力强。宏病毒：使用宏语言编写的程序，依赖于微软office办公软件传播。【知识窗】计算机病毒的特点：传染性。传

17、染性是病毒的基本特征，是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。潜伏性。有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。隐蔽性。计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来。破坏性。计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏 。通常表现为：增、删、改、移。【知识窗】八、防病毒技术1、防病毒技术：通过一定的技术手段防止计算机病毒对系统的传染和破坏。 2、主要技术： 磁盘引导区保护、加密可执行程序、读写控制技术、系统监控

18、技术等 3、防范病毒的主要措施：备份：对软件和系统备份，方便恢复预防和检测：安装杀毒软件 ，检测、报告并杀死病毒隔离：确认并隔离携带病毒的部位。恢复：修复或清除被病毒感染的文件。4、常用的杀毒软件：瑞星：是国产杀软的龙头老大，其监控能力是十分强大的，但同时占用系统资源较大。金山毒霸：金山毒霸是金山公司推出的电脑安全产品，监控、杀毒全面、可靠，占用系统资源较少。集杀毒、监控、防木马、防漏洞为一体，是一款具有市场竞争力的杀毒软件。 卡巴斯基：是俄罗斯民用最多的杀毒软件。公司为个人用户、企业网络提供反病毒、防黒客和反垃圾邮件产品，被众多计算机专业媒体及反病毒专业评测机构誉为病毒防护的最佳产品。 36

19、0安全卫士：是一款由奇虎公司推出的完全免费的安全类上网辅助工具软件，拥有木马查杀、恶意软件清理、漏洞补丁修复、电脑全面体检、垃圾和痕迹清理、系统优化等多种功能。是一款值得普通用户使用的较好的安全防护软件。 九、安全电子商务的法律要素：安全认证需要解决的法律问题：信用立法、电子签名、电子交易、认证管理1、有关认证中心的法律：2003年8月20日通过中华人民共和国认证认可条例，2003年11月1日起施行 2004年3月24日通过 中华人民共和国电子签名法 ，2005年4月1日起施行2009年2月4日 通过电子认证服务管理办法，2009年3月31日 起施行电子认证服务密码管理办法2009年12月1日

20、起实施 ，有2005年3月31日发布的管理办法同时废止 2、有关保护个人隐私、秘密的法律：全国人大常委会关于维护互联网安全的决定第四条：为了保护个人、法人和其他组织的人身、财产等合法权利，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：（1）利用互联网侮辱他人或者捏造事实诽谤他人； (2)非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密； (3)利用互联网进行盗窃、诈骗、敲诈勒索 互联网电子公告服务管理规定第十二条：电子公告服务提供者应当对上网用户的个人信息保密，未经上网用户同意不得向他人泄露，但法律另有规定的除外。 第十九条：违反本规定第十二条的规定，未经上网用户同意，向他人非法泄露上网用户个人信息的，由省、自治区、直辖市电信管理机构责令改正；给上网用户造成损害或者损失的，依法承担法律责任。计算机信息网络国际联网安全保护管理办法第七条规定：用户的通信自由和通信秘密受法律