电子商务培训教材 2

电子商务

肯尼思.劳东卡罗尔.圭尔乔.特拉弗商务.技术.社会第七版E-commerce:business.technology.society.Copyright©2011PearsonEducation,Ltd.Copyright©2010PearsonEducation,Inc.Slide5-2第四章网络安全与支付系统Copyright©2011PearsonEducation,ltd.网络战:

虚拟世界中的2.0

课堂讨论黑客攻击和网络战之间的区别是什么？在过去的十年中，为什么网络战越来越具有潜在的毁灭性？全球有多少比例的电脑会被隐形恶意软件程序入侵?政治方案能够有效解决MAD2.0吗？

Slide5-3电子商务安全环境网络犯罪的涉及的领域和造成的损失还难以估计问题报告2009计算机安全协会的年度调查显示:49%的被调查组织发生过计算机安全事件愿意公布的公司中,平均每年损失$288,000地下经济市场:通过“地下经济服务者”将信息卖给他人Slide5-4网络犯罪类型Slide5-5什么是良好的电子商务安全?尽可能实现最高级别的安全新技术的应用组织程序和策略行业标准和政府法令其他因素货币的时间价值安全成本vs.潜在损失安全链断裂的地方往往在最薄弱的环节Slide5-6电子商务安全环境Figure4.2Slide5-7Table4.2Slide5-8在安全及其他价值间的取向便于使用:安全措施越多，就越难使用，而且速度也慢公共安全与犯罪分子对安全的利用犯罪分子利用技术犯罪或威胁公共安全Slide5-9电子商务环境中的安全威胁三个关键的薄弱点:互联网通信信道服务器端客户端Slide5-10典型型的的电电子子商商务务交交易易Figure4.3Slide5-11电子子商商务务环环境境中中的的薄薄弱弱环环节节Figure4.4Slide5-12电子子商商务务环环境境中中的的安安全全威威胁胁恶意代代码(maliciouscode)病毒virus蠕虫worm特洛伊伊木马马Trojanhorse机器人人程序序bot不必要要程序序浏览器器寄生生虫browserparasites广告软软件adsoftware间谍软软件spywareSlide5-13常见的的安全全威胁胁(cont.)网络钓钓鱼第三方方以任任意欺欺骗性性的网网络行行为获获得用用户的的保密密信息息社会工工程技技术,电子邮邮件诈诈骗,伪装成成合法法软件件点击链链接后后，就就会进进入诈诈骗者者控制制的网网站，，诱使使受骗骗人泄泄露账账号密密码等等个人人信息息黑客行行为与与网络络破坏坏行为为黑客vs.骇客网络破破坏行行为:故意破破坏网网站,使企业业名誉誉受损损,甚至摧摧毁整整个站站点黑客类类型:白帽黑黑客,黑帽黑黑客,灰帽黑黑客lSlide5-14常见的的安全全威胁胁(cont.)信用卡卡诈骗骗黑客攻攻击目目标商商户服服务器器，盗盗刷信信用卡卡进行行诈骗骗电子欺欺骗网址嫁嫁接垃圾网网站拒绝服服务攻攻击黑客向向网站站大量量发送送无用用的通通信来来淹没没网络络并使使网络络瘫痪痪分布式式拒绝绝服务务攻击击Slide5-15常见的的安全全威胁胁(cont.)网络窃窃听一种可可以监监视通通过网网络传传递的的信息息的窃窃听程程序内部攻攻击最大的的财务务威胁胁设计不不当的的服务务器和和客户户端软软件移动平平台的的安全全和任何何互联联网所所面临临的风风险一一样恶意软软件,僵尸网网络,短信诈诈骗Slide5-16技术解解决方方案保护互互联网网的通通信(加密)保证信信息传传送渠渠道(SSL,S-HTTP,VPNs)保护网网络工工作(防火墙墙)保护服服务机机和客客户机机Slide5-17实现网网络安安全的的可用用工具具Figure4.7Slide5-18加密（（Encryption）加密将明文文转化化成除除发送送方和和接收收方以以外任任何人人都无无法读读取的的密文文的过过程保证存存储信信息和和传送送信息息的安安全加密可可以为为电子子商务务6个关键键方面面提供4个方面面的保保障:信息完完整性性不可否否认性性真实性性机密性性Slide5-19对称秘秘钥加加密（（SymmetrickeyEncryption）发送方方和接接收方方使用用同一一把密密钥来来加密密和解解密信信息每次信信息传传输都都有不不同的的密钥钥加密系系统的的安全全保护护强度度用二进进制密密钥的的长度度来加加密信信息高级解解密标标准(AES)最广泛泛的对对称加加密算算法提供128位,192位,and256位的加加密密密钥其他对对称加加密系系统会会使用用高达达2048位的密密钥Slide5-20公钥加加密（（PublicKeyEncryption）两个算术术上相关关的数字字密钥公开密钥钥(广泛发布布)私有密钥钥(拥有者保保存)两种密钥钥都可以以用来加加密和解解密信息息一旦某个个密钥被被用来加加密信息息，就不不能再用用它解密密信息发送方用用接收方方的公钥钥来加密密信息，，接收方方用他的的私钥来来解密Slide5-21公钥加密密体系–一个简单单的例子子Figure4.8Slide5-22使用数字字签名和和散列摘摘要的公公钥加密密散列函数数（HashFunction）:一种可以以产生一一个称为为散列或或者信息息摘要的的固定长长度数字字的算法法确保发送送到接受受者的信信息在传传输过程程中没有有被篡改改发送方用用接收方方的公钥钥对散列列结果和和原始信信息加密密发送方用用自己的的私钥将将整个密密文块在在加密一一次–创建数字字签名–保证真实实性和不不可否认认性Slide5-23具有数字字签名的的公钥加加密体系系Figure4.9Slide5-24数字信封封加密系统统的缺点点:公钥加密密计算速度度很慢,传输速度度显著减减慢,处理时间间的显著著增加对称密钥钥加密传输线难难以保证证用对称密密钥加密密来加密密大型文文件用公钥加加密方法法来加密密和传送送这把对对称密钥钥Slide5-25公钥加密密体系：：建立数数字信封封Figure4.10Slide5-26数字证书书和公开开密钥基基础设施施数字证书书包括:主题或公公司的名名称主题的公公钥数字证书书的额序序列号截止日期期、发放放日期认证中心心得数字字签名公开密钥钥基础设设施(PKI):认证中心心和数字字证书规规程良好隐私私（PGP）Slide5-27数字证书书和认证证中心Figure4.11Slide5-28加密解决决方案的的局限性性大部分电电子商务务网站并并没有用用加密的的形式来来存储消消费者的的隐私PKI无法保护护内部人人员及能能访问企企业系统统的人的的信息个人私钥钥保护也也可能会会丢失无法保证证商家用用来做验验证的电电脑是安安全的CA可能不是是其认证证的企业业或者个个人所认认定的权权威机构构Slide5-29社会透视视“网络狗”和匿名性性课堂讨论论互联网无无期限的的匿名性性有哪些些好处？？身份认证证系统的的缺点是是什么？？身份认证证系统除除了安全全还有其其他优点点吗？身份认证证系统应应该由谁谁进行管管理?Slide通信信道道的安全全安全套接接层(SSL):一种客户户机/服务器之之间的对安全超文本传输协议:一种安全的以信息为导向的通信协议，与HTTP联合使用虚拟专用网(VPN):一种使得某个本地网络可以利用互联网作为管道来和另一个网络连接的加密机制(PPTP)Slide5-31利用SSL进行安全全协商会会话Figure4.12Slide5-32网络保护护防火墙（（Firewall）：硬件和软软件用安全政政策来过过滤通信信数据包包两种主要要方式:包过滤应用网关关代理服务务器(proxies)一种对于于来自互互联网或或发送到到互联网网上的通通信信息息进行处处理的软软件服务务器Slide5-33防火墙和代理理服务器Figure4.13Slide保护服务器和和客户机提升操作系统统安全升级,修补防病毒软件:抵御系统完整整性侵害最容容易也最便宜宜的方法需要每日更新新Slide5-35安全计划：管管理政策进行风险评估估制定安全策略略制定实施计划划安全机构访问控制验证机制,生物特征征识别授权策略,授权管理系统统进行安全审计计Slide5-36管理政策、企企业流程和法法律美国政府和企企业花费12%的信息技术预预算用于硬件件、软件和服服务器安全，，在2009年共计为1200亿美元风险管理包括括科技有效管理策略略法律和公共政政策Slide5-37制定电子商务务安全计划Slide5-38Figure4.14技术透视你的智能手机机安全吗?课堂讨论智能手机主要面临哪种威胁?这种类型的设设备有哪些特特定的缺点吗吗？NicolasSeriot’s的Spyphone说明了什么?与传统个人电电脑软件程序序相比，app受到的威胁是更大还是更更小？Slide5-39法律及公共政政策的作用新的法律为地地方和国家权权力机构识别别、跟踪并起起诉网络犯罪罪分子提供了了新的工具和和机制:国际信息基础础设施保护法法美国爱国者法法案国土安全法私人机构和公公司合作做出出的努力美国计算机应应急反应小组组协调中心美国计算机应应急反应小组组（US-CERT）政府对于加密密软件的政策策和控制OECD条约Slide5-40支付系统类型型现金从交易数量角角度来说是最最常见的支付付形式不需要任何机机构作为中介介就可以立即即转化为其他他价值形式支票转账从交易数量量角度来说说是第二种种常见的支支付形式信用卡信用卡组织织发卡银行处理中心Slide5-41支付系统类类型储值卡通过存入资资金建立的的账户，所所需资金也也从此账户户中提取或或支付，例例如借记卡卡、礼券以以及智能卡卡对等网络支支付系统余额累计可以累积支支出费用让让消费者定定期付款的的账户e.g.公共事业费费、电话费费以及美国国运通卡账账户Slide5-42Table4.6Slide5-43电子商务支支付系统信用卡占美国网络络交易的55%借记卡占美国网络络交易的28%网上信用卡支付付的局限性性安全成本社会公平Slide5-44网上信用卡卡交易的工工作原理Figure4.16Slide5-45电子商务支支付系统数字钱包模拟人们带在身身边的钱包功能，存储和转移价值，并确确保从消费费者到商家家支付过程的安全早期努力推推广失败最新开发：：GoogleCheckout数字现金在银行存入入资金，并并发行数字字货币大多数早期期的数字现现金已经消消失，协议议和时间太太复杂Slide5-46电子商务支支付系统在线储值支支付系统消费者可以以利用存在在网上账户户的资金即即时的向商商家或其他他个人进行行网上支付付PayPal,智能卡，Alipay（支付宝）），微信支支付。数字化余额额累计支付付系统累计借方余余额，给出出月末账单单数字支票支支付系统:扩展现有支票帐户的功能能Slide5-47移动支付系系统欧洲、日本本和韩国已已经将移动动设备当做做支付设备备日本移动支支付系统电子货币移动借记卡卡移动信用卡卡美国的手机机移动支付付系统仍未