电子商务信息安全

1、项目五 电子商务信息安全学习目标了解电子商务安全的概念了解电子商务中存在的安全问题了解防火墙技术掌握防范计算机病毒的一般方法了解常用的信息安全技术了解数字证书的格式和类型掌握申请和管理数字证书的方法了解避免交易纠纷的一般方法目 录任务一 电子商务安全概述一、电子商务安全的概念二、电子商务中存在的安全问题任务二 计算机网络安全技术一、防火墙技术二、防范计算机病毒任务三 电子商务安全技术一、常用的信息安全技术二、数字证书的格式和类型三、确认CA认证机构的合法性四、申请数字证书五、管理数字证书任务四 避免交易纠纷一、识别安全购物网站二、确保收发货安全三、解决纠纷指保护计算机系统硬件（包括外部设备）的

2、安全，保证其自身的可靠性和为系统提供基本的安全机制。从广义上讲，电子商务安全不仅与计算机系统结构有关，还与电子商务应用的环境、人员素质以及社会因素有关，因为它包括电子商务系统的硬件安全、软件安全、运行安全和电子商务安全立法。任务一 电子商务安全概述一、电子商务安全的概念电子商务系统硬件安全指保护软件和数据不被篡改、破坏和非法复制。电子商务系统软件安全指保护系统能够连续和正常地运行。指对电子商务犯罪的约束，它是利用国家机器，通过安全立法，体现与犯罪斗争的国家意志。电子商务系统运行安全电子商务安全立法从狭义上讲，电子商务安全是指电子商务信息的安全，主要包括两方面：信息的存储安全和信息的传输安全。一

3、、电子商务安全的概念系统软件安全的目标：使计算机系统逻辑上安全，主要是使系统中信息的存取、处理和传输满足系统安全策略的要求。根据计算机软件系统的组成，系统软件安全主要包括操作系统安全、数据库安全、网络软件安全和应用软件安全。二、电子商务中存在的安全问题电子商务系统需要利用互联网的基础设施和标准来实现，所以构成电子商务安全框架的底层是网络服务层，它提供信息传送的载体和用户接入的手段，是电子商务应用系统的基础，为电子商务系统提供了基本、灵活的网络服务。电子商务网络安全系统包括网络部件的不安全因素、软件的不安全因素、工作人员的不安全因素和自然环境的不安全因素。1网络系统安全问题二、电子商务中存在的安

4、全问题基于互联网平台的电子商务支付系统涉及客户、商家、银行及认证部门等多方机构以及它们之间可能的资金划拨，所以客户和商家在进行网上交易时必须充分考虑其系统的安全性。目前网上支付中面临的安全问题主要包括：支付账号和密码等隐私支付信息在网络传送过程中被窃取或盗用，支付金额被更改，不能有效验证收款人身份等。2电子支付系统安全问题二、电子商务中存在的安全问题（1）信息泄露。主要指商业机密的泄露，包括两方面：交易双方进行交易的内容被第三方窃取；交易一方提供给另一方使用的文件被第三方非法使用。如银行卡账号和登录密码被人获悉，就有可能被盗用。（2）篡改数据。交易信息在网络传输的过程中，有可能被人截获后非法修

5、改或删除，从而使信息失去真实性和完整性。例如，两家公司签订了一份由甲公司向乙公司供应原料的合同，若赶上原料价格上涨，供货方篡改价格将使自己受益，而采购方将无故蒙受损失。（3）身份识别。网络交易中如果不进行身份识别，第三方就有可能假冒其中一方与他人进行交易，获取非法利益，或者破坏交易、毁坏被假冒一方的信誉等。进行身份识别后，就可避免这一情况。（4）对发出的信息予以否认。某些用户可能对自己发出的信息进行恶意否认，以推卸自己本应承担的责任。3认证安全问题任务二 计算机网络安全技术电子商务交易的安全是建立在计算机网络安全基础上的，没有计算机网络安全作为基础，电子商务交易的安全就无从谈起。一、防火墙技术

6、防火墙是设置在内部网和公众访问网（如Internet）之间的一道屏障，用于实现网络的安全保护，阻止不可预测的、潜在的破坏性侵入。防火墙能允许经过授权的数据进入网络，同时将没有经过授权的数据拒之门外。防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施。一、防火墙技术防火墙是为控制信息流通所设置的安全屏障。防火墙功能首先，网络外部和内部所有的通信，必须全部经过防火墙。其次，防火墙可以制定网络安全策略，可以实施安全策略所要求的功能。再次，对网络存取和访问进行监审，只有经过授权的数据才能进出。最后，防止内部信息外泄。一、防火墙技术不要在没有防火墙的情况下上网。如果让计算

7、机直接连到网络上，就好比出门时没锁大门，随时都有被攻击的可能。一、防火墙技术360安全卫士一般的杀毒软件都有匹配的防火墙，用户可到网站上下载并安装。很多常用程序和操作系统的内核都会出现漏洞，某些入侵者会利用漏洞进入系统。所以，在安装完防火墙之后，就要及时修复计算机安全漏洞。一般的防火墙都有漏洞扫描和修复漏洞的功能。电脑病毒是指编制者在计算机程序中插入的破坏计算机功能或毁坏数据以影响计算机使用，并能自我复制的一组计算机指令或程序代码。电脑病毒扩散性很强，又常常难以根除。它们能把自身附着在各种类型的文件上，如.exe、.rar等等。当文件被复制或从一个用户传递到另一个用户时，它们就随同文件一起蔓延

8、开来。二、防范计算机病毒电脑病毒计算机病毒防范，是指通过建立合理的计算机病毒防范体系，及时发现计算机病毒侵入，并采取有效的手段阻止计算机病毒传播和破坏，恢复受影响的计算机系统和数据。目前最有效的防范计算机病毒的方法，就是安装杀毒软件。一般杀毒软件的网站都提供杀毒软件下载，且大多数是免费的。二、防范计算机病毒计算机病毒防范当计算机系统或文件染有计算机病毒时，可能会导致正常的程序无法运行，或受到其他不同程度的损坏，此时就需要检测和消除病毒。新一代的计算机杀毒软件不仅能识别出已知的计算机病毒，在病毒运行之前发出警报，还能屏蔽掉计算机病毒程序的传染性和破坏性，使受感染的程序可以继续运行而病毒不运行（即

9、所谓的带毒运行）。同时，它还能利用计算机病毒的行为特征，防范未知计算机病毒的侵扰和破坏。此外，提前防范是对付计算机病毒的积极而有效的措施，比等计算机病毒出现之后再去扫描和清除，能更有效地保护计算机系统。二、防范计算机病毒360网站主页任务三 电子商务安全技术一、常用的信息安全技术数据加密，就是通过加密系统把原始的数字信息（明文），按照加密算法变换成与明文完全不同的数字信息（密文）。一个数据加密系统包括加密算法、明文、密文以及密钥。密钥控制加密和解密过程，一个加密系统的全部安全性是基于密钥的，而不是基于算法，所以加密系统的密钥管理非常重要。1数据加密技术一、常用的信息安全技术数字信封是公钥密码体

10、制在实际中的一个应用，是用加密技术来保证只有规定的特定收信人才能阅读通信的内容。在数字信封中，信息发送方采用对称密钥来加密信息内容，然后将此对称密钥用接收方的公开密钥来加密（这部分称数字信封）之后，将它和加密后的信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开加密信息。这种技术的安全性相当高。数字信封主要包括数字信封打包和数字信封拆解，数字信封打包是使用对方的公钥将加密密钥进行加密的过程，只有对方的私钥才能将加密后的数据（通信密钥）还原；数字信封拆解是使用私钥将加密过的数据解密的过程。2数字信封一、常用的信息安全技术数字指纹是用单向Hash加密函数

11、对要传输的信息进行处理而产生的一串128位密文，又叫信息摘要。用不同的信息生成的数字指纹总不相同，用相同的信息生成的数字指纹总相同。数字指纹技术防止了网上信息伪造的可能，保证了交易信息的完整性。3数字指纹数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要信息，然后用Hash函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。数字签名是个加密的过程，数字签名验证是个解密的过程。4数字签名SSL协议用于Web浏览器与服

12、务器之间的身份认证和加密数据传输。SSL不提供数字签名支持，所以不能实现交易信息的不可否认性。SSL协议使用成本低，在电子商务中得到了广泛应用。一、常用的信息安全技术5电子商务安全交易协议（1）SSL（Security Socket Layer）协议SET协议专门针对用银行卡进行在线交易的安全标准。SET协议设计严格、安全性高，能保证敏感信息的机密性、真实性、完整性和不可抵赖性。SET协议较复杂，使用成本高。（2）SET（Secure Electronic Transaction）协议一、常用的信息安全技术数字证书是互联网通信中标志通信各方身份信息的一系列数据。它提供了一种在互联网上验证双方身

13、份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由证书授权中心（Certificate Authority，CA）进行数字签名的包含用户身份信息的电子文件。在网上进行信息交流和商务活动时，需要通过数字证书来证明各实体（消费者、商户/企业、银行）的电子身份。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下，证书中还包括密钥的有效时间、发证机关（证书）的名称、证书的序列号等信息。6数字证书二、数字证书的格式和类型数字证书广泛用于电子商务和电子政务系统中的身份确认和信息的安全传输。其可用于：发送安全电子邮件、访问安全站点、网上证券交易、网上招标采购、网上办公、网

14、上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。数字证书总是和具体的应用相结合，不同的应用需要不同的数字证书。二、数字证书的格式和类型目前数字证书的格式普遍采用X.509 V3国际标准。1数字证书的格式标准的X.509数字证书包含以下内容：证书的版本信息；证书的序列号，每个证书都有一个唯一的证书序列号；证书所使用的签名算法；证书的发行机构名称，命名规则一般采用X.500格式；证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；证书所有人的名称，命名规则一般采用X.500格式；证书所有人的公开密钥；证书发行者对证书的签名。二、数字证书的

15、格式和类型依据电子认证服务管理办法和中华人民共和国电子签名法，目前国内有30家机构获得CA认证相关资质，具体信息可以查询工业和信息化部网站。二、数字证书的格式和类型2数字证书的类型服务器证书电子邮件证书客户端个人证书服务器证书被安装于服务器设备上，用来证明服务器的身份和进行通信加密。服务器证书保护的站点多被用来进行密码登录、订单处理、网上银行交易等。电子邮件证书可以用来证明电子邮件发件人的真实性。收到具有有效电子签名的电子邮件，我们除了能相信邮件确实由指定邮箱发出外，还可以确信该邮件从被发出后没有被篡改过。客户端证书主要用于进行身份验证和电子签名。安全的客户端证书被存储于专用的usbkey中。

16、 key的种类有多种，指纹识别、第三键确认、语音报读，以及带显示屏的专用usbkey和普通usbkey等。二、数字证书的格式和类型目前的数字证书在广义上可分为：个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、WAP证书、代码签名证书和表单签名证书。个人数字证书企业数字证书三、确认CA认证机构的合法性CA中心作为颁发数字证书的受信任的第三方权威机构，其服务质量直接影响数字证书的有效使用。验证CA中心经营的合法性。可参考以下条目：工商行政管理局颁发的营业执照。企业法人组织机构代码证。税务局国税登记证。税务局地税登记证。除按一般企业的要求进行合法验证外，还要查看CA中心是否获得

17、由中华人民共和国信息产业部颁发的电子认证服务许可证。四、申请数字证书一般来讲，用户要携带有关证件到各地的证书受理点，或直接到证书发放机构，即CA中心填写申请表并进行身份审核，审核通过后交纳一定费用就可以得到装有证书的相关介质（磁盘或Key）和一个写有密码口令的密码信封。在申请域名型证书时，无须递交书面审查资料，仅需进行域名有效性验证，网上申请。而企业型证书需要进行严格的网站所有权的真实身份验证，证书标示企业组织机构详情，强化信任度。增强型证书除了进行严格的网站所有权的真实身份验证之外，还加入第三方验证，证书标示增强组织机构详情，强化信任度。 实战演练 申请支付宝数字证书支付宝也提供了数字证书，

18、申请使用数字证书后，如果在其他没有安装数字证书的计算机上登录支付宝账户，只能查询账户，不能进行任何操作；另外，即使密码被盗，对方也不能使用您的账户资金，这样就增加了账户使用的安全度。下面来看看支付宝数字证书的申请方法。步骤1：登录支付宝账户，单击网页上方的“安全中心”链接，进入安全中心。安装数字证书的方法有三种：通过手机短信、接收邮件并回答安全保护问题、提交客服申请单。提示步骤2：单击网页左侧“安全产品”中的“数字证书”链接。步骤3：右侧显示数字证书的详细介绍，单击“申请数字证书”按钮，进入申请证书阶段。每个账户安装数字证书的方式不一样，接下来请根据页面提示进行后面的操作。要正常使用支付宝的所

19、有功能，必须下载安装数字证书。使用数字证书，即使发送的信息在网上被他人截获，甚至丢失个人账户、密码等信息，仍可以保证账户和资金的安全。四、申请数字证书五、管理数字证书为防止系统瘫痪等意外情况发生，有些数字证书需要及时备份。一般通过浏览器即可查看、导出、导入数字证书。 实战演练 查看数字证书步骤1：启动IE浏览器，选择“工具”菜单中的“Internet 选项”，打开“Internet 选项”对话框，切换到“内容”选项卡，单击“证书”按钮。步骤2：单击网页左侧“安全产品”中的“数字证书”链接打开“证书”对话框，在其中选择要查看的证书，单击“查看”按钮。步骤3：切换到“详细信息”选项卡，可看到所选证

20、书的详细信息。一般的数字证书需要导出来，才能在其他计算机上安装使用。 实战演练 导出数字证书步骤1：启动IE浏览器，打开“Internet 选项”对话框，切换到“内容”选项卡，单击“证书”按钮。步骤2：在打开的“证书”对话框中选择要导出的证书，单击“导出”按钮，出现“证书导出向导”对话框，单击“下一步”按钮。步骤3：打开“导出私钥”对话框，对于“要将私钥跟证书一起导出吗？”，选择“不，不用导出私钥”，然后单击“下一步”按钮。私钥受密码保护，如果要将私钥和证书一起导出，就必须在后面一页输入密码。提示步骤4：打开“导出文件格式”对话框，选择要使用的格式，然后单击“下一步”按钮。步骤5：打开“要导出

21、的文件”对话框，单击“浏览”按钮设置保存位置和文件名。步骤6：打开“另存为”对话框，在“保存在”下拉列表中选择证书保存位置，在“文件名”编辑框中输入文件名，然后单击“保存”按钮。步骤7：回到“要导出的文件”对话框，单击“下一步”按钮，打开“正在完成证书导出向导”对话框，单击“完成”按钮，完成数字证书的导出。导出数字证书后，使用U盘将其拷贝到其他计算机上，然后采用导入证书的方法将其安装到新的计算机上就可以正常使用了。 实战演练 导入数字证书步骤1：启动IE浏览器，打开“Internet 选项”对话框，切换到“内容”选项卡，单击“证书”按钮。步骤2：在“证书”对话框中单击“导入”按钮，打开“证书导

22、入向导”对话框，单击“下一步”按钮。步骤3：进入“要导入的文件”对话框，单击“浏览”按钮选择要导入的证书文件，然后单击“下一步”按钮。步骤4：打开“证书存储”对话框，单击“浏览”按钮，选择要导入的证书文件，然后单击“下一步”按钮。步骤5：在打开的对话框中单击“完成”按钮，完成证书的导入。任务四 避免交易纠纷根据国家互联网管理办法规定，经营性网站必须在工业和信息化部办理ICP（Internet Content Provider的简写，意为网络内容服务商）证，否则就属于非法经营。核实某网站是否已经作为经营性网站备案的具体方法是登录到该网站，查看是否有红盾标志（一般在页面底部）。一、识别安全购物网站

23、1看备案信息当当网备案信息一般大型的网络销售平台都会提供较为完备的公司联系信息和客户服务联系方式。很多“钓鱼”网站、骗子公司一般都不敢提供真实的联系方式，最经常的是仅提供QQ号，连固定电话号码都不提供，一旦发生纠纷或法律问题便人间蒸发。一、识别安全购物网站2看联系方式例如，当当网就提供了在线客服、微博、电话、信箱等多种联系方式。制作和维护一个商品丰富、产品信息齐备的网站需要付出相应成本，所以一般小规模的骗子网站不愿意去那样做。常见的骗子网站一般产品较少，产品资料简陋，但是标价极其便宜，往往以低价吸引消费者上当受骗。一般在产品介绍信息下方可以查看其他人对产品的评价。这些评价一方面能判断这家网站的

24、规模（产品评论多才能证明网站流量大），另一方面可以作为购物决策的参考。一、识别安全购物网站3看产品信息和消费者评价最好不要在可疑的网站购物。如果实在需要购物，最好采用货到付款的方式，先拿到货再付款。现在一般大型购物网站都提供货到付款的支付方式。另外，采用在线支付方式时，应该仔细看一下汇款账户名称，这个名称应该是公司名全称，而不应该是个人账号。如果这家公司不存在或已经注销，银行会退回汇款；如果是个人账号，则比较危险。在线支付时，最好使用大型购物平台推出的支付工具。如淘宝的支付宝、拍拍网的财付通等。一、识别安全购物网站4看支付方式京东商城的支付方式市面上销售的商品种类繁多，很多厂商保修点需要出示购

25、买时的发票才能进行保修。为避免将来维修时的麻烦，网购商品时最好索要发票。一、识别安全购物网站5看发票信息苏宁易购开具的发票售后服务条款主要包括保修条款和退货条款。保修和退货规则一般商家都会按照国家三包法来办理。网上购物时，一般要考虑以下几方面：（1）商品需要保修时，网站是否上门取件，是否需要费用，如果是采用邮寄方式，费用是由网站承担还是消费者承担；（2）如果网站提供备用品供消费者临时使用，是否需要费用，是否需要支付物流费用；（3）更换的话，是否是更换同品牌同型号的产品给消费者。一、识别安全购物网站6看售后服务条款无论跟收件员多么熟悉，在发件时都要按程序走。（1）二、确保收发货安全1卖家注意事项填写快递单据时，最好在运单上写上“必须收件人本人出示身份证签收，否则不投递”！（2）选择物流时，最好使用支付宝推荐的物流，并且在线下单，让物流上门取货，这样在快递单上有“淘宝”的印鉴，这种快递都可以