第六章电子教案1

第6章电子商务安全基础知识

●电子商务的安全要求机械工业出版社《电子商务基础》●认证中心及其功能●数据加密与密码管理●认证技术与安全协议●安全工具使用电子商务面临的安全问题案例1996年，中科院高能物理所遭到入侵，黑客私自在高能所的主机上建立了几十个账户，经追踪发现是由国内某拨号上网用户所为1997年，中科院网络中心的主页面被黑客用魔鬼图像替换；1998年2月，广州视聆通被黑客多次入侵，造成4小时的系统失控；1998年4月，贵州信息港被黑客入侵，主页被一幅淫秽图片替换；1998年5月，大连ChinaNET节点被入侵，用户口令被盗；1998年6月，上海热线被入侵、多台服务器的管理员口令被盗、数百个用户和工作人员的账号、密码被窃取；1998年7月，江西169网被黑客攻击，造成该网3天内中断运行2次；1998年8月，西安某银行被黑客攻击，并被盗取80.6万元；1998年9月，扬州某银行被黑客攻击，利用虚存账号提走26万元现金；1998年10月，福建省图书馆主页被黑客替换；1999年8月，由于李登辉的“两国论”激怒了中国黑客，中国台湾省的数十个网站被攻击；

2000年2月28日，河北省邯郸电信局“邯郸信息港”主页被篡改，经公安机关调查，作案人系该市一高中生；2008年遵义一储户网银开通仅两天，30万元没了。那么，网银存款被盗，损失该谁承担？要保证网上银行的信息和资金安全，不仅需要用户具备辨识网络诈骗的能力，更需要用户养成良好的网上银行使用习惯。用户在使用网银时，首先，要登录正确的银行网址。其次，要保护好个人的账号和密码。第三，要采取必要的保护措施。不要在公共场所(如网吧、公共图书馆等)使用网上银行；在每次使用网上银行后，不要只关闭浏览器，还要点击“退出登录”；切勿向别人透露个人的用户名、密码或任何个人身份识别资料；如果个人资料有任何更改(例如，联系方式、地址等有变动)，要尽快通知银行。同时，还要确保计算机安全，经常更新杀毒软件。机械工业出版社《电子商务基础》电子商务面临的安全问题信息泄漏信息被篡改信息假冒信息破坏交易抵赖一电子商务的安全要求机械工业出版社《电子商务基础》电子商务面临的安全问题信息泄漏信息被篡改信息假冒信息破坏交易抵赖一电子商务的安全要求信息泄漏在电子商务中主要表现为商业机密的泄露。主要包括两个方面：一是交易双方进行交易的内容被第三方窃取；二是交易一方提供给另一方使用的文件被第三方非法使用｡

●机械工业出版社《电子商务基础》电子商务面临的安全问题信息泄漏信息被篡改信息假冒信息破坏交易抵赖一电子商务的安全要求电子商务的交易信息在互联网上传输时,可能被他人非法拦截、修改､删除或被多次使用,就使信息失去了真实性和完整性｡●机械工业出版社《电子商务基础》电子商务面临的安全问题信息泄漏信息被篡改信息假冒信息破坏交易抵赖一电子商务的安全要求指非法用户假冒合法用户或发送假冒信息来欺骗其他用户，以达到自己不可告人的目的。●机械工业出版社《电子商务基础》电子商务面临的安全问题信息泄漏信息被篡改信息假冒信息破坏交易抵赖一电子商务的安全要求涉及两个方面：一是网络传输的可靠性，网络的硬件或软件可能会出现问题而导致交易信息传递的丢失与谬误；二是恶意破坏，计算机网络本身遭到一些恶意程序的破坏，而使电子商务信息遭到破坏｡

●机械工业出版社《电子商务基础》电子商务面临的安全问题信息泄漏信息被篡改信息假冒信息破坏交易抵赖一电子商务的安全要求交易抵赖包括多个方面，如发信者事后否认曾经发送过某条信息或内容；收信者事后否认曾经收到过某条消息或内容等否认交易事项的情况●机械工业出版社《电子商务基础》电子商务的安全要求数据的机密性数据的完整性交易的不可抵赖性交易双方身份的真实性数据的有效性一电子商务的安全要求机械工业出版社《电子商务基础》机密性是要求在网络传输过程中能保证信息不被泄露给非授权的个人或实体。

电子商务的安全要求数据的机密性数据的完整性交易的不可抵赖性交易双方身份的真实性数据的有效性一电子商务的安全要求机械工业出版社《电子商务基础》完整性是要求数据在传输过程中保证其一致性，防止数据被非授权建立、修改和破坏，确保网络上的数据在传输过程中没有被篡改

。

电子商务的安全要求数据的机密性数据的完整性交易的不可抵赖性交易双方身份的真实性数据的有效性一电子商务的安全要求机械工业出版社《电子商务基础》是指用户不能抵赖自己做出的行为,也不能否认接到对方的信息｡

电子商务的安全要求数据的机密性数据的完整性交易的不可抵赖性交易双方身份的真实性数据的有效性一电子商务的安全要求机械工业出版社《电子商务基础》对人或实体的身份进行鉴别，为身份的真实性提供保证，使交易双方能够在相互不见面的情况下确认对方的身份，

电子商务的安全要求数据的机密性数据的完整性交易的不可抵赖性交易双方身份的真实性数据的有效性一电子商务的安全要求机械工业出版社《电子商务基础》有效性即对信息真伪进行鉴别，有时也称真实性。电子商务以电子形式取代了纸张，那么，如何保证这种电子形式的贸易信息的有效性，这是开展电子商务的前提。

电子商务的安全要求数据的机密性数据的完整性交易的不可抵赖性交易双方身份的真实性数据的有效性一电子商务的安全要求机械工业出版社《电子商务基础》电子商务安全内容一电子商务的安全要求机械工业出版社《电子商务基础》二认证中心及其功能CA认证中心CA（CertificateAuthority）认证中心又称为数字证书认证中心，是采用PKI（PublicKeyInfrastructure公开密钥基础架构）技术，专门提供网络身份认证服务，负责签发和管理数字证书，且具有权威性和公正性的第三方信任机构。

机械工业出版社《电子商务基础》二认证中心及其功能认证中心的功能证书发放证书更新证书撤销证书验证机械工业出版社《电子商务基础》典型的系统组成包括安全服务器、注册机构RA、CA服务器、LDAP目录服务器和数据库服务器等。如下图认证中心的系统构成二认证中心及其功能机械工业出版社《电子商务基础》典型的系统组成包括安全服务器、注册机构RA、CA服务器、LDAP目录服务器和数据库服务器等。如图6-2所示。认证中心的系统构成二认证中心及其功能安全服务器面向普通用户，用于提供证书申请、浏览、证书撤消以及证书下载等安全服务机械工业出版社《电子商务基础》典型的系统组成包括安全服务器、注册机构RA、CA服务器、LDAP目录服务器和数据库服务器等。如图6-2所示。认证中心的系统构成二认证中心及其功能CA服务器是整个证书机构的核心，负责证书的签发。CA首先产生自身的私钥和公钥，然后生成数字证书，并且将数字证书传输给安全服务器。机械工业出版社《电子商务基础》典型的系统组成包括安全服务器、注册机构RA、CA服务器、LDAP目录服务器和数据库服务器等。如图6-2所示。认证中心的系统构成二认证中心及其功能注册机构RA服务器面向登记中心操作员，在CA体系结构中起承上启下的作用，一方面向CA转发安全服务器传输过来的证书申请请求，另一方面向LDAP服务器和安全服务器转发CA颁发的数字证书和证书撤消列表。机械工业出版社《电子商务基础》典型的系统组成包括安全服务器、注册机构RA、CA服务器、LDAP目录服务器和数据库服务器等。如图6-2所示。认证中心的系统构成二认证中心及其功能LDAP(LightweightDirectoryAccessProtocol轻量目录访问协议)服务器提供目录浏览服务，负责将注册机构服务器传输过来的用户信息以及数字证书加入到服务器上。机械工业出版社《电子商务基础》典型的系统组成包括安全服务器、注册机构RA、CA服务器、LDAP目录服务器和数据库服务器等。如图6-2所示。认证中心的系统构成二认证中心及其功能数据库服务器是认证机构中的数据中心，用于对认证机构中数据（如密钥和用户信息等）、日志和统计信息的存储和管理。三数据加密技术与密码管理

数据加密的分类私钥加密算法

公钥加密算法

私钥加密算法也称对称加密算法，是指加密密钥和解密密钥为同一密钥的密码算法，也是一种传统密码算法。公钥加密算法也称非对称加密算法，是指加密密钥和解密密钥为两个不同密钥的密码算法。三数据加密技术与密码管理

私钥与公钥加密算法比较项目私钥加密算法公钥加密算法密钥的数目单一密钥 密钥是成对的密钥种类密钥是秘密的 一个私有、一个公开密钥管理简单，但不好管理 管理相对简单，但需要数字证书及可靠第三者加密速度非常快 慢用途主要用来对大量资料的加密 用来做加密小文件或对信息签字等不太严格保密的应用机械工业出版社《电子商务基础》四认证技术与安全协议安全认证技术数字证书数字签名数字摘要数字时间戳数字信封机械工业出版社《电子商务基础》四认证技术与安全协议安全认证技术数字证书数字签名数字摘要数字时间戳数字信封数字证书是各类实体(持卡人/个人、商户/企业、网关/银行等)在网上进行信息交流及商务活动的身份证明，是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。机械工业出版社《电子商务基础》四认证技术与安全协议安全认证技术数字证书数字签名数字摘要数字时间戳数字信封数字摘要是采用单向Hash（哈希）函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码（数字指纹）。机械工业出版社《电子商务基础》四认证技术与安全协议安全认证技术数字证书数字签名数字摘要数字时间戳数字信封数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。机械工业出版社《电子商务基础》四认证技术与安全协议安全认证技术数字证书数字签名数字摘要数字时间戳数字信封数字信封是一种综合利用了私钥加密技术和公钥加密技术两者的优点进行信息安全传输的一种技术。机械工业出版社《电子商务基础》四认证技术与安全协议安全认证技术数字证书数字签名数字摘要数字时间戳数字信封数字时间戳（DTS：digita1timestamp）是网上电子商务安全服务项目之一，能提供电子文件的日期和时间信息的安全保护。机械工业出版社《电子商务基础》四认证技术与安全协议安全协议SSL协议(Secure

socket

Layer）安全套接层协议SET协议(Secure

Electronic

Transaction)安全电子交易机械工业出版社《电子商务基础》四认证技术与安全协议安全协议SSL协议(Secure

socket

Layer）安全套接层协议SET协议(Secure

Electronic

Transaction)安全电子交易SSL(Secure

socket

Layer,安全套接层协议)协议是网景(Netscape)公司提出的基于Web应用的安全协议,它包括：服务器认证､客户认证(可选)､SSL链路上的数据完整性和SSL链路上的数据保密性｡机械工业出版社《电子商务基础》四认证技术与安全协议安全协议SSL协议(Secure

socket

Layer）安全套接层协议SET协议(Secure

Electronic

Transaction)安全电子交易SET协议是由美国Visa和MasterCard两大信用卡组织联合国际上多家科技机构,共同制定的应用于互联网上的以银行卡为基础进行在线交易的安全标准。机械工业出版社《电子商务基础》五安全工具使用常用计算机网络安全技术病毒防范技术身份认证技术防火墙技术虚拟专用网VPN技术机械工业出版社《电子商务基础》五安全工具使用常用计算机网络安全技术病毒防范技术身份认证技术防火墙技术虚拟专用网VPN技术病毒是一种恶意的计算机程序，为了防范病毒，可以采用以下的措施：⑴安装防病毒软件，加强内部网的整体防病毒措施；⑵加强数据备份和恢复措施；⑶对敏感的设备和数据要建立必要的物理或逻辑隔离措施等。机械工业出版社《电子商务基础》五安全工具使用常用计算机网络安全技术病毒防范技术身份认证技术防火墙技术虚拟专用网VPN技术

身份识别技术是计算机网络安全技术的重要组成部分之一，它的目的是证实被认证对象是否属实和是否有效。常用的身份认证技术有口令、标记法和生物特征法。机械工业出版社《电子商务基础》五安全工具使用常用计算机网络安全技术病毒防范技术身份认证技术防火墙技术虚拟专用网VPN技术防火墙是一种将内部网和公众网如互联网分开的方法。它能限制被保护的网络与互联网络之间，或者与其他网络之间进行的信息存取、传递操作机械工业出版社《电子商务基础》五安全工具使用常用计算机网络安全技术病毒防范技术身份认证技术防火墙技术虚拟专用网VPN技术虚拟专用网是用于互联网电子交易的一种专用网络，它可以在两个系统之间建立安全的通道，非常适合于电子数据交换（EDI）。机械工业出版社《电子商务基础》五安全工具使用（二）计算机病毒及常用杀毒工具病毒防范技术身份认证技术防火墙技术虚拟专用网VPN技术虚拟专用网是用于互联网电子交易的一种专用网络，它可以在两个系统之间建立安全的通道，非常适合于电子数据交换（EDI）。机械工业出版社《电子商务基础》五安全工具使用常用计算机网络安全技术病毒防范技术身份认证技术防火墙技术虚拟专用网VPN技术虚拟专用网是用于互联网电子交易的一种专用网络，它可以在两个系统之间建立安全的通道，非常适合于电子数据交换（EDI）。机械工业出版社《电子商务基础》计算机病毒定义

特征

结构

清除

症状

预防

分类

五安全工具使用机械工业出版社《电子商务基础》计算机病毒定义

特征

结构

清除

症状

预防

分类

五安全工具使用计算机病毒的特征：隐蔽性、传染性、潜伏性、激发性、破坏性、针对性、变种性、机械工业出版社《电子商务基础》计算机病毒定义

特征

结构

清除

症状

预防

分类

五安全工具使用计算机病毒包括三大功能模块：引导模块、传染模块和表现或破坏模块。机械工业出版社《电子商务基础》计算机病毒定义

特征

结构

清除

症状

预防

分类

五安全工具使用计算机病毒一般可分成四种主要类型：引导区型、文件型、混合型和宏病毒。机械工业出版社《电子商务基础》计算机病毒定义

特征

结构

清除

症状

预防

分类

五安全工具使用计算机病毒的症状：①磁盘坏簇莫名其妙地增多。②可执行程序长度增大。③可用磁盘空间变小。④异常的磁盘访问。⑤系统引导变慢,或系统不认识磁盘或硬盘不能引导系统等。⑥死机现象增多或系统出现异常动作机械工业出版社《电子商务基础》计算机病毒定义

特征

结构

清除

症状

预防

分类

五安全工具使用计算机病毒的预防：①用管理手段预防计算机病毒的传染。②用技术手段预防计算机病毒的传染③使用E-mail时要加以小心。机械工业出版社《电子商务基础》计算机病毒定义

特征

结构

清除

症状

预防

分类

五安全工具使用安装杀毒软件，定期对计算机进行全面的清查机械工业出版社《电子商务基础》计算机病毒定义

特征

结构

清除

症状

预防

分类

五安全工具使用机械工业出版社《电子商务基础》常用杀毒软件五安全工具使用杀毒软件名称简单介绍卡巴基斯Kaspersky软件来源于俄罗斯，最具特色的是该产品每天两次更新病毒代码。NormanVirusControl欧洲名牌杀毒软件，操作简单，功能强大，可以查杀50000多种病毒。NOD32国外很权威的防病毒软件评测给了NOD32很高的分数。瑞星杀毒软件首创网络游戏防盗抢功能的个人防火墙，针对冲击波等漏洞型网络病毒设计的漏洞扫描系统，全新智能化数据修复系统。NortonAntivirus是一套强而有力的防毒软件，它可帮您侦测上万种已知和未知的病毒。SymantecAntivirusCorporateEdition8.1.1可以在整个企业的工作站和网络服务器层提供最佳的多平台病毒防护。SophosAnti-Virus病毒库接近七万，杀毒机制比较严谨、细致，杀坏文件的可能性极小。金山毒霸金山公司首创的局域网同步升级，自定义的反垃圾邮件、漏洞扫描，这些创新都将毒霸又推向一个新的高峰。安铁诺防病毒软件安铁诺（Antiunknown）防病毒软件是全球唯一一款以防未知病毒为核心策略的反病毒安全产品。江民杀毒软件采用先进的“驱动级编程技术”，能够与操作系统底层技术更紧密结合，具有更好的兼容性，占用系统资源更小。熊猫卫士基于