电子商务与信息安全public

电子商务与信息安全2023/2/4报告人：刘政连Outline开场故事一、电子商务概述二、电子商务安全问题三、电子商务安全技术四、网上商城及案例分析五、电子商务付费系统六、电子商务安全法律对策七、参考文献八、Q&ANEXON游戏:电子商务走入线上社群倘若你热衷于线上游戏，相信你对于枫之谷(MapleStory)肯定不陌生。枫之谷是一套线上角色扮演游戏，玩家们可以扮演战士、魔法师或窃贼等角色，一同对抗敌对的怪物阵营。玩家可以免费玩这套游戏，但如果要让你的线上英雄披上一套新的战袍、换一头前卫的发型或是饲养一只宠物，才必须为这些额外的道具支付相关费用。如果你还想为你的枫之谷角色精心举办一场在拉斯维加斯的世纪婚礼，并邀请其他玩家共襄盛举的话，那将会花上你约20美元到29美元的筹办费用。楓之谷是Nexon

HoIdingsInc﹒最新推出的一套線上遊戲，這是一家在多人線上角色扮演遊戲產業中世界級的領導廠商。Nexon的總部位於南韓，在中國、日本與美國等地皆設有分公司。Nexon首創「道具」(item)(微交易)的經營模式，讓玩家可以免費體驗完整版的遊戲，之後可選擇足否要付費購買加強版的遊戲(也就是道具)。

nexon販售各項強化遊戲體驗的虛擬「道具」，向玩家收取的費用從30美分到30美元不等。楓之谷在世界各地擁有8,500萬名玩家，其中有590萬人是註冊在美國。2007年時，全世界的玩家花在楓之谷角色上的金額，約有130萬美元用在購買服裝上，另外還有100萬美元是花在角色的髮型上。

开场故事Nexon如此受欢迎的原因之一，在于它能提供一个与其他使用者社交互动的平台。据Nexon美国分部行销副总MinKim表示:「我们贩售的是社交体验，而不是套装产品。」过去十年，大多数的游戏都是单机版游戏。随着网际网路与个人电脑的发展愈来愈能处理大量体验多媒体的能力时，单机版游戏将舞台让给了社群游戏。无论是透过与即时通讯、网路电话或是文字讯息的整合，玩家有许多方式可以和朋友们沟通互动。影音游戏现在吸引了一个全新的消费者社群--那些想要拥有社交体验的人们。其他Nexon热门的游戏包括糖果大​​战(SugarRush)、玛奇(Mabinogi)与跑跑卡丁车(KartRider)。跑跑卡丁车是一套动作版的线上赛车游戏，玩家可以依喜好改造跑车并与朋友在线上聊天。糖果大战可以让玩家在互相厮杀的同时边收集虚拟钱币。受到凯尔特人(Celtic)神话的启发，玛奇则可让玩家体验各种任务，如农耕、音乐写作、结婚甚至是参与战斗等，这套游戏透过更新档(也可称为「世代」或「章节」)的发表持续扩充，推出新的关卡让玩家探索，冒险故事得以不断延续。所有的Nexon游戏都有推出官方论坛网站，邀请玩家来和朋友交流，分享各项密技，或只是在网站上「逛逛」。开场故事开场故事NEXON游戏:电子商务走入线上社群开场故事讨论Nexon的线上游戏给了电子商务新的风貌范例。在网际网路上贩售实体商品仍是相当重要，但服务与社交体验似乎更令人兴奋与有趣，目前正集中在服务与社交经验--社交网络、相片分享、分享音乐、分享创意以及多人线上游戏，让使用者可以和他人沟通与互动。与其他使用者和其他网站连结的能力，已在连结和分享方面带来无限的新商机。(一).电子商务的定义

电子商务（E-Commerce）是指在互联网（Internet）、企业内部网（Intranet）和增值网（VAN，ValueAddedNetwork）上以电子交易方式进行交易活动和相关服务活动，是传统商业活动各环节的电子化、网络化。电子商务包括电子货币交换、供应链管理、电子交易市场、网络营销、在线事务处理、电子数据交换（EDI）、存货管理和自动数据收集系统。在此过程中，利用到的信息技术包括：互联网、外联网、电子邮件、数据库、电子目录和移动电话。

狭义的电子商务—是指利用Internet从事商务或活动。而广义的电子商务是使用各种电子工具从事商务或活动。这些工具包括从初级的电报、电话、广播、电视、传真到计算机、计算机网络，到NII（国家信息基础结构－信息高速公路）、GII（全球信息基础结构）和Internet等现代系统。而商务活动是从泛商品（实物与非实物，商品与非商品化的生产要素等等）的需求活动到泛商品的合理、合法的消费除去典型的生产过程后的所有活动。一、电子商务概述一、电子商务概述(二).电子商务的分类A.以商务类型分类

企业间的电子商务B2B企业与消费者之间的电子商务B2C政府与消费者之间的电子商务G2C信息沟通个人财务管理购买商品发标、投标、评标经济政策发布监管、统计福利与税收供应商管理库存管理渠道管理配送管理付款管理政府与企业之间的电子商务G2B电子商务的分类一、电子商务概述B.以运营模式分类

一、电子商务概述C.以企业环境分类

一、电子商务概述(三)电子商务与互联网为何电子商务与众不同一、电子商务概述为何电子商务与众不同(续)一、电子商务概述(四)电子商务的交易层次-以物流的观点来看：1.交易的「商流」2.配送的「物流」3.转账支付的「金流」4.资料加值及传递的「信息流」一、电子商务概述(五)电子商务结合资讯与通讯，以从事各项商业活动，造成商业结构产生下列的变化：1.行销活动的多元化

2.商业竞争型态的转变

3.商业经营全球化趋势

4.个人化的行销方式

5.低成本的商业经营方式一、电子商务概述(六)电子商务的影响一、电子商务概述(七)流通业者在电子商务环境的功能一、电子商务概述典型的配销通路有好几层的中介，每一层都会增加产品的最终成本，如同毛衣的例子一样。除去这些层级将会减低对消费者的最终成本。一、电子商务概述典一、电子商务概述(八)互联网的经营模式一、电子商务概述(八)互联网的经营模式（续）二、电子商务安全问题(一).电子商务安全重要性电子商务信息（交易信息、支付信息、谈判信息等的重要性;网络技术发展的不完善性,易造成信息的丢失、误操作、传输错误等。(二).典型事例1999年4月19日郑州交通银行事件；1999年4月26日CIH病毒事件；1998年10月27日“中国人权研究会”网站遭黑时间；INTEL公司CPU序列号事件。二、电子商务安全问题(三)电子商务安全的主要内容硬件安全：主要指服务器、网络设备、线路的运行安全，防盗、设备性能等。软件安全：保护所有数据不被盗窃、篡改、破坏等。运行安全：保证系统能正常、连续运行。防自然灾害、战争等。电子商务安全立法。增强对企业和人员的行约束。(四)电子商务系统安全控制要求：有效性：对安全产生的威胁加以控制，保证交易资料的有效性。保密性：通过一定措施保证交易资料的保密。完整性：确保信息传输的完整性。交易身份的确定性。不可否认性。不可修改性。合法性。二、电子商务安全问题(五)危害电子商务安全的主要因素：网络硬件：通信监视；非法终端注入非法信息线路干扰运行中断服务干扰病毒入侵网络软件：操作系统漏洞网络协议隐患网络其他软件WEB站数据库等人员：保密意识业务不熟制度不健全素质差非法操作交易风险：信用风险交易抵赖法律风险：法律滞后环境风险：天灾人祸二、电子商务安全问题(六)安全术语漏洞:软硬件设计缺陷威胁：身份欺骗：非法获得用户及密码等篡改数据：恶意修改数据信息暴露：将信息暴露给无权访问人拒绝服务：阻止合法用户使用威胁代理:通过漏洞攻击系统的人或程序。病毒、蠕虫、木马、邮件爆炸、攻击者。攻击:企图利用漏洞达到恶意目的的威胁代理。对策:减少风险的软件配置、硬件或程序。二、电子商务安全问题（七）电子商务安全交易体系技术措施防火墙、网络防毒、加密、身份认证、授权等管理措施：交易安全制度等法律政策与法律保障：电子商务立法。（八）电子商务交易安全动态控制动态性：“保护-反馈-修正-再保护”三、电子商务安全技术（一）电子商务安全基本手段设置虚拟专用网：基于Internet电子交易的专用网络。保护传输线路安全。屏蔽技术、防雷技术、监控、定期检查等。采用端口保护技术。使用安全访问设备，如智能卡等。路由选择机制，控制传输路径。设置防火墙。信息加密机制。访问控制。鉴别机制。数据完整性机制。审计追踪机制。入侵检测机制。三、电子商务安全技术（二）防火墙与访问控制1.防火墙概念：指在内联网与互联网之间构造的一个保护层，主要目的是强制信息必须经过保护层，以实现信息的检测、控制的目的。它由一个或一组网络设备和部件汇集。三、电子商务安全技术（二）防火墙与访问控制(续)2.防火墙的功能信息过滤管理行为封堵禁止业务记录通过的信息和行为对网络攻击进行检测与报警3.防火墙种类(1)包过滤防火墙一般在路由器上实现;通常只对源和目的IP地址及端口进行检查.(2)代理服务型防火墙(应用层网关)使用代理技术;具有隐藏内部网络结构作用。(3)复合型防火墙既有包过滤功能，又具有应用层代理等功能。三、电子商务安全技术（三）物理隔离技术1.物理隔离卡(1)单硬盘物理隔离卡单硬盘分两区、双网卡、内外双系统。(2)双硬盘物理隔离卡内外系统各用一硬盘、一网卡；2.物理隔离网闸由物理隔离网络电脑、物理隔离系统交换机组成三、电子商务安全技术（四）入侵检测技术IDS1.主要作用：在不影响网络性能的基础上，对网络进行检测，从而在系统受到内部攻击、外部攻击及误操作时提供实时保护。2.主要任务监视、分析系统用户及系统活动；对系统构造及弱点进行审计；识别攻击活动模式并告警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。3.主要分类（1）基于主机的入侵检测。仅检测分析1台主机中的数据与行为。（2）基于网络的入侵检测。从网络上采集数据进行分析和检测。三、电子商务安全技术（五）安全扫描技术1.概念：主要是实现对主机或者网络的扫描，使网管员了解网络安全配置和运行的应用服务，技及时发现安全漏洞，客观评价网络风险等级。2.分类：主机安全扫描、网络安全扫描。三、电子商务安全技术（六）加密与解密技术1.基本概念（1）加密：将数据进行编码，使它成为按常规不可理解的形式（密文）的方法。（2）解密：将密文还原为原来的可理解的形式（明文）的方式。（3）加密算法：既将明文加密成密文的具体实现方法，通常为一加密程序。注：（1）一明文经过不同的算法或密钥后形成了不同的密文。 （2）数据加密技术的关键是加密算法和密钥。三、电子商务安全技术（六）加密与解密技术(续)2.常用加密技术(1)替换加密：使用对照表将明文中的字符替换成对照表中的字符。(2)置换加密：调整字母排列顺序实现加密的方法.(3)对称加密:加密和解密使用同一密钥.包括对称密码算法、对称密钥两要素。优点：加密速度快，得到密文紧凑，大小几乎与明文相等。缺点：密钥与密文同传，易被截获，安全性差，且只能使用一次。三、电子商务安全技术三、电子商务安全技术（六）加密与解密技术(续)(4)非对称加密技术(公开密码体制):指加密和解密的密钥不同，且不能由一个密钥导出另一个密钥。 非对称加密技术特点：公钥公开，可以适应网络开放性要求；密钥的分配和管理比较容易。可以实现数字签名和数据鉴别。运行效率比较低，因此用对称加密加密信息，用非对称加密传递会话密钥。三、电子商务安全技术三、电子商务安全技术(七)数字签名技术1.主要目的：防止篡改，确定发信人身份。2.基本原理：三、电子商务安全技术(七)数字签名技术(续)3.数字签名原理：发送方首先用哈希函数将需要传送的消息转换成报文摘要。发送方采用自己的私有密钥对报文摘要进行加密，形成数字签字。发送方把加密后的数字签字附加在要发送的报文后面，传递给接收方。接收方使用发送方的公有密钥对数字签字进行解密，得到发送方形成的报文摘要。接收方用哈希函数将接收到的报文转换成报文摘要，与发送方形成的报文摘要相比较，若相同，说明文件在传输过程中没有被破坏。

三、电子商务安全技术(七)数字签名技术(续)4.数字签名功能：接受人可确定发送人的真实身份；发送者事后不能否认发送过该报文；保证报文准确性和完整性。5.数字时间戳：数字时间戳服务（DTS)是网上电子商务安全服务项目之一，它能提供电子文件的日期和时间信息的安全保护。时间戳是一个经加密后形成的凭证文档，它包括需加时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签字三个部分。

6.数字信封：对称加密信息，对称密钥用非对称密钥加密后形成信封，再传给接收方。三、电子商务安全技术（八）认证技术1.客户端认证：基于客户端IP地址的认证机制。主要包括身份认证、通过认证机构进行的信息认证。前者鉴别用户身份，后者保证双方不可抵赖性和信息完整性。2.身份认证：是判明和确认交易双方真实身份的必要环节。主要方式包括：用户所知的某个秘密信息（用户口令）用户持有的某个秘密信息（硬件、随身携带）用户具有的某些生物学特征（指纹等）三、电子商务安全技术（八）认证技术(续)3.数字证书：由可信任、公正的权威机构CA颁发。是网上交易双方真实身份证明的依据。(1)分类：个人数字证书单位数字证书单位员工数字证书服务器证书等(2)证书的作用：保证信息除发送方和接受方外不被其他人窃取；保证信息在传输过程中不被篡改；接收方能够通过数字证书来确认发送方的身份；发送方对于自己发送的信息不能抵赖。三、电子商务安全技术（八）认证技术(续)(3)数字证书的组成：一个标准的X.509数字证书包含以下一些内容：

证书的版本信息；

证书的序列号，每个证书都有一个唯一的证书序列号；

证书所使用的签名算法；

证书的发行机构名称（命名规则一般采用X.500格式）及其用私钥的签名；

证书的有效期；

证书使用者的名称及其公钥的信息。(4)证书的获得：在网上填写数字证书申请资料认证中心对申请人的身份进行审核后制作证书将证书发送给申请人或者是申请人在网上下载自己的证书。(5)数字证书用途：发送安全电子邮件、访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等。

三、电子商务安全技术（八）认证技术(续)4.认证机构（CA）认证：认证机构主要服务：制作、签发、管理电子签名认证证书。确认签发的电子签名认证证书的真实性。提供电子签名认证证书目录信息查询服务。提供电子签名认证证书状态信息查询服务。

（八）认证技术(续)认证机构层次结构：一级为根CA，负责总政策二级为政策CA（品牌），负责制定具体认证策略三级为操作CA（区域），负责证书签发、管理。三、电子商务安全技术（八）认证技术(续)5.带有数字签名和数字证书的加密系统安全电子商务使用的文件传输系统大都带有数字签字和数字证书，其基本流程如图所示。三、电子商务安全技术（一）网上商城实现内容与步骤网上商城建设步骤如下图所示。四、网上商城及案例分析各项准备系统注册网站建设支付系统信息服务交易管理系统物流配送系统维护与更新安全系统网上商城建设（一）网上商城实现内容与步骤(续)典型的网上商城框架结构如下图所示。四、网上商城及案例分析

防火墙防火墙防火墙防火墙防火墙商城远程管理pc消费者客户机其他客户机INTERNETCA中心WEB服务器商务中心服务器应用服务器数据库服务器商家中心支付网关LAN内部管理pc其他内部pc银行业务处理内部网络INTERNET银行服务器前端（一）电子付费系统的型态五、电子商务付费系统（一）电子付费系统的型态(续)五、电子商务付费系统电子钱包DigitalWallet。e-Wallet。

电子钱包，是安装在消费者端的一个电脑软件。消费者可以向信用卡的发卡银行，申请使用这个电子钱包，银行就会把这套软件的光碟或磁片交给消费者拿回去，安装在自己的电脑内。电子钱包里面储存了使用者个人资料（如，电子认证资料，信用卡号，到期日等），方便消费者在网路上使用。其运作机制是持卡者的信用资料都会经过加密再传至商人的伺服器中，而商人收到加密的资料后，则将确认讯息也加密至此一信用卡资料中，接着再传至相关的银行网路上。这么一来，厂商的伺服器中只会保留订单与信用卡类型。因此电子钱包的出现除了让消费者在线上购物能更方便外，也提供了多一层的安全保障。五、电子商务付费系统

五、电子商务付费系统

五、电子商务付费系统图.Seednet发行的「嘻币」(现在称为储值点)五、电子商务付费系统图.HiNet

点数卡(e金元)五、电子商务付费系统五、电子商务付费系统五、电子商务付费系统（一）.国际电子商务立法的主要内容市场准入税收电子商务合同电子支付安全与保密知识产权隐私权保护（二）.我国电子签名法2004年8月通过；可靠电子签名与手写签名具有同等法律效率；可靠电子签名的四个基本条件(同时满足)：(1)电子签名制作数据用于电子签名时，属于电子签名人专有；(2)签署时电子签名制作数据仅由电子签名人控制；(3)签署后对电子签名的任何改动能够被发现；(4)签署后对数据电文内容和形式的任何改动能够被发现。六、电子商务安全法律对策（三）.我国电子合同法合同，亦称契约。是当事人之间设立、变更、终止民事关系的协议。依法成立的合同，受法律保护。我国新《合同法》将传统的书面合同形式扩大到数据电文形式。电子合同的订立：当事人所在地要约与邀请要约接受要约发出和收到时间自动交易形式要求六、电子商务安全法律对策（四）.我国电子商务交易安全的法律保护

我国现行的涉及交易安全的法律法规主要有四类：(1)综合性法律，主要是民法通则和刑法中有关保护交易安全的条文。(2)规范交易主体的有关法律，如公司法、国有企业法、集体企业法、合伙企业法、私营企业法、外资企业法等。(3)规范交易行为的有关法律，包括经济合同法、产品质量法、财产保险法、价格法、消费者权益保护法、广告法、反不正当竞争法等。(4)监督交易行为的有关法律，如会计法、审计法、票据法、银行法等

。六、电子商务安全法律对策（五）我国涉及计算机安全的法律法规1986年4月开始草拟《中华人民共和国计算机信息系统安全保护条例》。1988年9月通过的《中华人民共和国保守国家秘密法》1989年公安部发布了