电子商务安全与管理（第三版） 劳帼龄第10章 综合案例分析

综合案例分析comprehensivecasestudyChapter10大数据与电商安全01移动支付与电商安全02诚信缺失与电商安全03国家安全与公民权利让渡04目录PART1大数据与电商安全BigDataandE-CommerceSecurity5V的：Volume（大量）、Velocity（高速）、Variety（多样）、Value（价值）、Veracity（真实性）美国安全局的棱镜计划又将大数据的安全隐患问题曝露在公众视野当中，大量个人聊天日志、存储的数据、语音通信、文件传输、个人社交网络数据都不再私密。大数据是一把双刃剑，既能帮助保障公民安全，也能对社会造成威胁一是来源于人，人在各种网络中所产生的文字、图像和音频视频等信息一是来源于机器，各种管理信息系统所产生的数据，其中可能有自动生成的日志，也有可能是文件和数据库等一是来自于物体，各类数字设备采集的数据123大数据的来源大数据概述41234社交网站上活动的实时数据常常被数据商采集，甚至出现了一些公司通过网民在注册网站时填写的信息以及智能手机提示的位置等多个数据进行组合分析加大隐私泄露的风险大数据环境下会出现伪造或刻意制造的数据的现象，而错误的数据往往会导致错误的结论数据在传播中可能逐步失真大数据的可信性大数据的应用范围广，牵涉的组织和部门非常多，需要接受数不胜数的不同身份的用户访问。在实际的场景当中，系统无法预知用户的具体权限访问控制难以实现2016年4月27日，脉脉人脉社交软件“脉脉”因非法抓取使用微博用户信息，非法获取并使用脉脉注册用户手机通讯录联系人与微博用户的对应关系，被微博诉至法院企业数据产权大数据的安全问题55大数据与国家安全美国国家安全局和联邦调查局利用“棱镜”程序，通过进入微软、谷歌等九大电子商务巨头的服务器，监控美国公民的电子邮件、视频、聊天记录、社交网络细节等六年之久重视大数据及信息安全体系建立加强对重点领域重要数据的监管法律制定用户应该有能力基于数据来源的真实性、数据传播途径、数据加工处理过程等，了解各项数据可信度，防止分析得出无意义或者错误的结果。加快大数据安全技术研发自律国家层面企业层面个人层面解决方案6美国Palantir是一家初创的科技公司，该公司擅长把混乱无序的大量信息变成直观的可视化地理分布图、柱状图和关联图。通过几天时间分析、标记和整合所有零碎的客户数据，Palantir公司就能够弄清诸如恐怖主义、灾难响应和人口贩卖等问题。Palantir公司已经变成了进行大规模数据挖掘一共美国情报及执法部门使用的关键公司。美国海军在阿富汗部署了Palantir公司的软件，以便对路边炸弹进行刑侦分析，并预测叛军的袭击。该公司的软件还协助找到了谋杀美国海关人员的墨西哥贩毒集团成员。在讲述奥萨马•本•拉登丧命经过的《终结》（TheFinish）一书中，作者马克·鲍登（MarkBowden）写到，Palantir公司的软件“是名副其实的杀手级应用”，它用大数据帮助美国政府找到了本拉登。Palantir公司昭示着大数据的威力，也预示着不法分子能够用它做更大的恶。也许有一双敏锐的“眼睛”正像Palantir公司盯着本拉登一样觊觎着我们的电子钱包和个人信息。2011年2月陈小姐通过网银登陆账户惊奇地发现存有4万多元的工商银行账户里只剩了85元钱，而作案人是怎么获知她的密码的呢？作案人首先精准定位了具有一定存款的人群特征，例如有车，接着他们在网上购买了某区域机动车车主信息，整理出带有身份证信息的车主名单，再买通各大银行员工以一份十元到几十元不等的价格查询车主个人征信报告、银行卡信息等。而个人征信报告中的信息更为详尽，包括银行客户的收入，详细住址、手机号，甚至配偶和子女的职业和生日等等。借助这些信息，作案人可以经过筛选编排出最有可能的密码，进而盗取卡上金额。泄露我们个人信息的渠道还有很多，例如一个区县一级的快递公司中转机构能够掌握本区域的所有物流流转信息，用户的大量个人信息因快递业务被保存在快递物流管理系统中，在高价的诱惑下个人信息就会被流转出去，这也就解释了为什么网民的身份信息包括姓名、学历、家庭住址及工作单位等大都被泄露过。而网上的活动信息包括通话记录、网购记录、网络浏览痕迹、IP地址、软件使用痕迹及地理信息等更是数据泄露的重灾区。只要有心人在邪路上通过大数据分析，就可以对一个人进行毁灭性的打击，例如人肉搜索和网络欺凌就曾引发多次自杀事件大数据安全典型案例71什么是大数据？通过例子或数据说明它对电子商务安全体系有哪些正面和负面的影响？大数据中的安全问题有哪些？大数据安全与隐私保护的关键技术有哪些？数字签名的技术能否用在大数据中？如何解决大数据的访问控制难题？大数据的发展趋势是什么？如何保障大数据发展过程中的安全性？查查资料了解“社工库”，想一想它和大数据有什么关系？235思考与讨论在大数据环境下国家的公共安全治理工作会有哪些变化？应该配套出台哪些相关的政策法规以及标准？468PART2移动支付与电商安全MobilePaymentandE-CommerceSecurity移动支付也称为手机支付，就是允许用户使用其移动终端（通常是手机）对所消费的商品或服务进行账务支付的一种服务方式2010年《非金融机构支付服务管理办法》颁布，要求非金融机构提供支付服务应当取得《支付业务许可证》，截至2016年4月已有近300家公司获得该许可证，可见移动支付正蓬勃发展当前的移动支付一般都涉及第三方支付，支付宝和财付通是我国两个主要的第三方支付平台第三方支付根据网络支付服务的业务流程不同划为支付网关模式、信用中介模式、便捷支付工具模式。方便快捷的近场支付在逐渐兴起，它是一种通过具有近距离无线通讯技术的移动终端实现本地化通讯进行货币资金转移的支付123移动支付概述10诚信法律政策技术支付平台也可能成为非法用户转移资金和套现的工具，由此会带来很多金融风险问题。我国相关法律法规还不健全，移动支付涉及的当事人繁多，法律关系复杂，再加上移动支付使用计算机及通信等现金技术，因此在移动支付过程中可能产生一些法律纠纷第三方支付平台若存在安全漏洞则极易被恶意用户利用，进而获取账户信息，包括用户名、登陆密码、银行卡账号和支付密码等。账户资金被盗和网络诈骗案件也时有发生中国现阶段的移动支付产业整体上还不稳定，探索前行中还存在不少问题，亟需强化管理和加快发展安全问题11移动支付之争122015年10月，一位网友称，自己支付宝的实名认证信息下多出5个未知账户。该网友质疑这5个未知账户是否会以其名义贷款，并让其偿还。随后支付宝回应称，如果发现支付宝实名认证账户下出现其他关联账户，是因为账户持有人存在身份证等个人隐私信息泄露的情况，导致被关联认证，且子账户不能用认证身份借款。这一漏洞虽然源于个人信息被盗，但也暴露了支付宝存在用户身份验证不完全即可绑定账号的潜在风险。同样存在身份验证漏洞的还有ApplePay。一般情况下，银行会对绑定ApplePay的卡片信息进行查核，但有些程序相对宽松，只需要查验证件号的后四位即可。不法分子可以利用银行对卡片激活认证的宽松管理，把窃取的银行信息在新的iPhone上激活注册，便可以用ApplePay购买高额物品。但苹果一再强调，ApplePay是非常安全的，只是银行的身份核实方面出了一些问题。大数据安全典型案例131移动支付平台应该如何做好身份验证问题？身份核验问题牵涉到的组织机构有哪些？移动支付中存在哪些安全问题？应对这些问题的策略是什么？对第三方支付平台有哪些分类方法？支付宝和财付通的数字证书服务是由哪个CA提供的？查阅不同CA(CFCA、天威诚信、山东CA、上海CA等)给移动支付安全制定的解决方案，说一说它们利用数字证书和PKI来解决了哪些问题?你更看好哪一个移动支付平台?为什么？235思考与讨论移动支付中涉及的安全技术有哪些？想一想第三方支付平台的网络结构是什么样的?4614PART3诚信缺失与电商安全HonestyDeficiencyandE-CommerceSecurity1虚假信息商品质量是消费者关心的首要问题，然而2016年质检总局对海淘的儿童用品进行质量抽查不合格率为33%，各电商网站频频喊出打假的口号，假货劣质商品依然没有减少的趋势。虽然引进了信用评价体系，试图通过商品评论来降低因网络购物虚拟性引起的信息不对称，商家却可以通过雇佣网络水军刷好评迷惑消费者，不少电子商务商家还使用好评返现的方式来诱导消费者提高好评率，使得在网购过程中购买好评率高收到的产品却存在明显质量问题的奇怪现象发生。交易诈骗很多P2P网贷平台打着“高息”、“保本”、“短期标”等旗号发布大量虚假标的，吸引普通投资者，资金到账后便携款“跑路”，出现平台突然无法登陆、创始人消失或办公地点虚假等情况。漳州汇霖投资管理有限公司甚至发布说，“这点小钱不可能退还给你们，再说也没差你们多少钱，我要东山再起，需要这个钱，不可能还你们，我现在先回老家，不用来找我，找我也不会给你们，特此公告”。2电子商务中诚信缺失的现象163信息泄露2012年是个人信息泄露开始泛滥的一年，招商银行、中国工商银行、中国农业银行员工以一份十元到几十元的价格大肆兜售个人征信报告、银行卡信息，导致部分用户包括收入、详细住址、手机号、甚至家人的职业和生日等信息泄露，卡内金额被盗。上海罗维邓白氏营销服务有限公司以“信息数据采购合同”或“商业资讯咨询顾问合同”的形式，购买了包括手机号码、电子邮箱、家庭住址、银行账户、消费记录、婴幼儿情况等各类涉及公民个人的相关信息，用于该公司为其他公司提供的营销推广等服务。监管漏洞2015年，携程的机票销售平台上被爆出销售各种假票、推迟票、团体票、兑换票等，携程将责任推脱到供应商，认为是供应商违规操作造成的。2016年5月4日前，滴滴出行平台上，运营车牌均只显示车牌后4位数字或字母，司机利用这一漏洞使得乘客用滴滴叫来的车与系统登记车牌号不符的情况，间接造成深圳女教师钟某搭乘滴滴顺风车回校过程中被嫌疑人潘某带至偏僻路段劫杀后抛尸等惨案的发生。2电子商务中诚信缺失的现象171234营造社会诚信大环境，为电子商务的发展提供良好的社会条件尽快完善电子商务立法，规范电子商务行为严加强政府诚信监管，建立诚信奖惩机制建立电子商务诚信联盟解决方案185加强公众监督目前电子商务的各细分领域盈利模式较为单一，往往以低价作为突击点，竞争力不太强。平台为了争夺优质资源不惜烧钱和进行大规模广告轰炸，导致成本急剧上升。电子商务交易需要依托网络设施、物流配送等的支持，然而每增加一个环节都会对电子商务的诚信管理体系建设衍生不少问题电子商务立法不完善，缺乏一套完整的法律制度来规范电子商务行为。对诚信相关案件的处理倾向于事后处理，缺乏事前的预防机制。恶性竞争法律政策体系不完善配套设施的管理混乱诚信缺失的原因分析19

诚信不诚信诚信(X，X)(X-a，X+b)不诚信(X+b，X-a)(Y，Y)在传统的二手车交易市场，诚信问题时有发生。随着二手车电商的崛起，诚信问题有过之而无不及。北京车主王先生在瓜子二手车网上买下一辆里程表显示为“3.2万千米”的车子。但当王先生到4S店对车辆进行保养时，却被工作人员告知“里程数是5.1万千米”。显然，王先生购买的是一辆“调表车”。王先生找出瓜子二手车平台出具的“勘车评估检测报告”，发现上面“里程数”一栏竟为空白。在与销售人员沟通时，对方表示要王先生自己与原车主联系处理。无独有偶，湖北车主詹女士今年通过瓜子二手车网站购买了一辆长安福特福克斯二手车，车价5.6万元。然而8天后，这辆车却无法启动了。修理厂检测发现，该车是事故车，车内一部分线束是断了之后重新接起来的，在行驶中可能会引发车辆突然熄火甚至自燃。詹女士表示，瓜子二手车承诺会对车源进行259项专业检测，如果经过检测，不可能不知道车辆存在隐患。因此詹女士怀疑，一方面是二手车检测形同虚设，另一方面是瓜子二手车故意隐瞒问题车辆情况。但是当詹女士向瓜子二手车提出退车或把相关配件和线缆都换新的要求时，瓜子二手车销售顾问却说这辆车不在保修范围内。王先生和詹女士在电子商务活动中遇到的诚信缺失问题可能还远远不止被网站的虚假信息欺诈，可能与此同时他们的购买记录和个人信息正在某一个黑色产业链上被明码标价地售卖，可能他们都找不到一条合理的法律发条和规章制度来指责状告不法商家，又或者他们根本不知道应该向哪一个部门倾诉自己的悲惨遭遇，政治电子商务中的诚信问题不是一个部门说了就算，最近只能让这些不愉快不了了之，不法商家依旧我行我素。大数据安全典型案例201说说你在进行网上购物或是其他电子商务活动的过程中遭遇诚信缺失的经历。天猫和京东是中国B2C购物网站中的两个寡头，想一想它们是否存在相似的诚信缺失的现象？它们中的一方是否可能主动率先杜绝这种诚信缺失的现象？手机卡实名制能否改善电子商务中诚信缺失的现象？如何建立诚信体系？235思考与讨论引入一些第三方可信机构来监管认证电子商务活动中买方和卖方的信誉的政策是否具有可行性？假设可行，这些第三方可信机构的建设可否参照CA建设的经验？421PART4国家安全与公民权利让渡NationalSecurityandalienationofCitizenRight近年恶性恐怖事件维护国家安全的背景23公权与私权的博弈24卢梭的社会契约论：“公权来自于私权利的部分让渡”社会学家阿尔温·托夫勒夫妇指出：“第三次浪潮不仅仅是个技术和经济学的问题，它涉及道德、文化、观念以及体制和政治结构，它意味着人类事务的一场真正的变革”“9·11”事件后，美国为了弥补通信情报收集的不足，在监听上矫枉过正，长时间、广范围、大投入地布置了类似“棱镜”的多个项目。“棱镜”项目相继与微软、雅虎、谷歌、脸谱、PalTalk、YouTube、Skype、AOL和苹果等9家互联网公司合作东德政府曾以10万秘密警察历时40年监控搜集公民的详尽私人信息，在德国史塔西博物馆中层列着原东德国家安全局搜集的多大600万人的信息。苹果公司做出了分庭抗争的典范。FBI要求苹果为其开发一套“政府系统”，在此系统下，他们可以对密码进行破解。苹果以保护用户的理由拒绝了FBI的要求，FBI就此起诉苹果。剑拔弩张之时FBI声称已经利用来自第三方的方法破解了iPhone5c，进而提出撤诉。《网民的狂欢》的作者安德鲁·