第1章 电子商务安全与电子支付概述

第1章电子商务安全与电子支付概述

作者：孟显勇

清华大学出版社电子商务安全管理与支付1．电子商务安全的现状随着信息技术和电子商务的发展，传统的交易方式逐步被电子化交易方式取代，例如网上商城、网上书店、网上影院、数字图书馆、网上银行等，交易的电子化已经成为信息经济发展的必然趋势，电子商务的高效率、低成本和国际化等特点使其迅速发展成为未来交易的主流模式。1.1电子商务的安全问题

2．电子商务安全的特性·电子商务安全是一个系统的概念。电子商务系统的安全水平由系统安全性最薄弱的环节决定，因此要以全局和整体的角度来研究电子商务系统安全。电子商务系统安全包括网络安全、信息安全和安全管理。同时，电子商务系统是一个商务系统，还要考虑电子签名法与经济法的相关问题。·电子商务安全是相对的。电子商务系统安全水平与电子商务系统的使用者对电子商务系统的安全需求密切相关，银行与企业、大型企业与中小型企业或不同行业类别的企业对电子商务系统的安全性需求都有所不同，电子商务系统安全性要求越高自然系统造价就越高，反之，系统造价就越低。1.1电子商务的安全问题

2．电子商务安全的特性·电子商务安全是发展的、动态的。电子商务系统是通过不断提高安全技术和管理水平来实现系统的持久安全，因为，网络攻击技术和手段是随着网络技术、信息安全技术和网络管理技术提高而不断改进。攻与防两者之间是一个辩证的发展过程，有着此消彼长、道高一尺魔高一丈的密切关联。1.1电子商务的安全问题

硬件安全软件安全安全措施安全设计系统系统（主机、服务器）安全反病毒技术系统安全检测审计分析运行网络运行安全备份与恢复应急安全检测控制局域网、子网安全访问控制（防火墙）网络安全检测1.1电子商务的安全问题

1.1.1电子商务的网络安全问题表1-1网络安全基础设施的基本组成网络安全问题的表现形式（1）网络系统设施的安全问题。网络设施的安全问题主要包括不可抗力的自然灾害引起的网络设备损坏和恶意的人为破坏引起的网络设备故障。（2）防范各种网络攻击问题。Internet网络安全协议和TCP/IP协议的设计缺乏安全性，导致网络通信系统的安全性具有内在无法避免的缺陷和脆弱性，因此使利用各种网络协议漏洞进行网络攻击的花样层出不穷，使各国政府和相关机构花费大量的人力和物力来维护网络系统安全。（3）安全维护人员管理问题。网络安全技术和网络安全管理是实现网络系统安全的基本保障，很多网络系统配置了新型网络设备，甚至花费巨资打造安全的信息系统。1.1电子商务的安全问题

1.1.1电子商务的网络安全问题2.计算机网络安全措施（1）保护网络系统安全。·阻断直接攻击。采取物理隔离或逻辑隔离来保证重要的设备和数据的安全。·通过访问控制策略控制权限。建立网络设备间的资源访问权限，加强权限管理和认证。·加强数据保密和认证。通过加密技术和数字签名技术保证数据在公网上传输的安全性。·完善审计制度。对系统操作建立详细的安全审计日志，以便检测和跟踪入侵行为。·制定完善的系统安全策略。通过系统安全策略来强化系统自动防御各种常见网络攻击的能力。·安装桌面安全管理软件、防病毒软件或软件防火墙。1.1电子商务的安全问题

1.1.1电子商务的网络安全问题2.计算机网络安全措施（2）保护网络应用和服务安全。·保证网络应用和服务的安全运行。·正确配置和管理网络应用和服务。·严格管理和检测网络应用和服务的安全审计日志。1.1电子商务的安全问题

1.1.1电子商务的网络安全问题操作系统安全在电子商务安全体系架构中，操作系统安全是指计算机系统对电子商务应用系统的硬件和软件进行安全、有效地控制，并保证基本的网络通信、网络应用和网络服务能够可靠运行，主要包括网络服务器操作系统安全和PC机操作系统安全。2.数据库安全数据库安全是利用数据库管理软件或通过相关应用程序对电子商务系统的数据库进行有效地控制和管理，保证数据的安全性、可用性、保密性和完整性。1.1电子商务的安全问题

1.1.2电子商务的信息安全问题网络安全网络安全是通过网络安全通信协议、系统安全策略和安全通信技术来实现网络系统设备的安全运行和通信数据的安全传输。4.病毒防护病毒防护就是通过病毒查杀系统或防火墙对系统病毒进行侦测、隔离和清除，并对电子商务系统进行有效地恢复。1.1电子商务的安全问题

1.1.2电子商务的信息安全问题访问控制访问控制是指计算机系统通过控制系统资源的访问权限来实现系统安全的管理策略。合理配置电子商务系统资源的访问控制策略，可以有效地阻止网络攻击和入侵。加密与鉴别加密是保证电子商务系统数据保密性的基本措施，通过标准加密算法对电子商务系统传输的交易数据进行加密和解密处理，以保证交易数据在公共网络上传输的保密性。鉴别是电子商务系统实体之间相互认证身份的安全技术基础，身份鉴别要通过数字签名和数字认证技术来实现，电子商务信息的接收者通过对发送者身份的数字认证才能做出身份鉴别。1.1电子商务的安全问题

1.1.2电子商务的信息安全问题电子交易风险管理是指电子交易流程的风险管理、技术风险管理以及人员风险管理等。（1）电子交易的流程风险管理。交易流程风险是指电子商务系统的交易流程设计是否得当，将直接影响电子商务交易系统的公平性、易用性和安全性。（2）电子交易的技术风险管理。电子商务系统的安全水平由系统中最薄弱环节的安全水平决定。电子商务系统在设计的过程中难免会存在安全漏洞和缺陷，系统越复杂安全缺陷就越多，攻击者通过扫描和分析就可以发现电子商务系统的安全漏洞，因此，减少电子商务系统的安全漏洞可以降低系统的安全威胁。（3）电子交易的人员风险管理。电子商务系统的管理人员是系统管理的主体，电子商务系统的安全策略、日常的安全维护与管理和资源访问控制策略均由不同层次的系统管理人员来完成。1.1电子商务的安全问题

1.1.3电子商务的安全管理问题安全管理技术主要有网络安全技术、数据备份恢复技术、病毒防护技术和审计跟踪技术等。（1）电子商务交易系统的网络安全技术。电子商务交易系统的网络安全技术主要包括网络安全通信技术、网络应用与服务安全技术、数据保密通信技术、身份可认证技术和数据完整性技术等。（2）电子商务审计跟踪技术。审计跟踪技术主要是对系统运行中出现的某些特征行为进行记录，并通过记录对系统运行状态进行统计分析，以及通过记录对异常行为进行分析和跟踪，可以有效地防止恶意攻击。（3）电子商务交易数据备份技术。电子商务系统要有严格的备份管理制度，定期对电子商务交易数据进行备份是防止恶意攻击的一种有效手段。（4）电子商务系统病毒防护技术。电子商务系统病毒防护技术是一种主动防御措施，电子商务系统通过规范系统病毒防护管理制度来提高系统安全性，主要措施包括安装杀毒系统、防火墙系统和网络安全管理系统。1.1电子商务的安全问题

1.1.3电子商务的安全管理问题第一阶段的电子化支付电子化支付阶段主要是支付业务的电子化，此阶段电子商务系统主要是提供商品浏览还不能通过购物车进入电子支付阶段。（浏览和支付的分离）2.第二阶段的信用卡支付信用卡支付只是持卡人通过公开网络传递信用卡信息的一种支付方式。1.2电子商务的安全支付问题

3.第三阶段的网上银行网上银行是指利用Internet为银行用户提供银行业务管理和操作，可以实现网上查询、挂失、转账、定期存款、定期转账、购买证券和投资理财等银行服务项目，网上银行的优势是可以提供便捷的跨时空的银行业务，网络银行又称电子银行。4.第四阶段的支付方式多元化尤其在我国电子商务已经进入成熟和稳定发展阶段，电子支付形式开始多元化发展，出现大量的针对中小型企业或个人用户的第三方支付机构推动了电子支付的快速发展。1.2电子商务的安全支付问题

信用体系是实现电子商务的基础，电子商务信用安全问题是影响我国电子商务发展的一个重要因素。信用主要有三方面含义：在社会伦理道德方面，信用就是社会个体在日常社会交往中应当诚实守信，遵守承诺；在社会经济活动方面，信用是指交易双方严格遵守交易前达成的共识或者承诺，交易执行流程和交易进度都按照事先约定好的规则进行；在法律方面，信用是按照法律约定可以实现的利益期待，当事人违反诚信义务时，应当承担相应的法律责任。而电子商务的信用，是电子交易各参与实体遵守交易前事先约定好的交易规则，按照电子商务交易规则进行网络商品交易。1.2电子商务的安全支付问题

1.2.1电子商务的信用安全问题电子商务安全支付协议主要有SSL（SecureSocketLayer，安全套接层）协议和SET（SecureElectronicTransaction，安全电子交易）协议。电子支付安全协议与网络协议相结合可以实现电子支付安全，电子支付协议可以实现电子商务交易数据的保密性、完整性、身份可认证性和抗抵赖性，可以在公共网络上建立安全通道用于传输电子交易数据。1.2电子商务的安全支付问题

1.2.2电子商务的支付协议安全问题电子商务支付系统是保证安全、公平地进行电子商务交易的基础，可以实现交易数据的保密性、完整性、身份可认证性和不可否认机制。1.2电子商务的安全支付问题

1.2.3电子商务的支付系统安全问题电子商务安全管理的目的是为保证电子商务系统安全、高效和可靠地运行，根据系统安全管理策略对电子商务系统的组成要素进行有效地组织和安排。电子商务系统通过安全管理策略和方法对计算机系统、网络系统、认证系统、信用体系以及网络安全协议进行管理和控制。电子商务安全管理的主要内容包括网络管理系统、计算机管理系统、安全通信协议以及安全管理策略。1.3电子商务的安全管理安全管理平台的管理原则（1）多人负责原则。多人负责原则是降低电子商务系统安全风险的有效手段，通过多人协作管理可以稳定整个管理团队的状态，包括人员心理、专业技能和管理水平等。（2）系统管理岗位任期有限原则。管理员任期有限的原则保证了管理员权限和影响的有限性，能够及时取消离岗工作人员的原有权限，从制度上消除了离职或离岗人员对系统的安全威胁。（3）职责有限、分工明确。明确的系统安全管理工作分工与合作机制，可以保证系统管理人员能够高效地管理系统和清晰地分配职责，同时分工的明确性可以限制工作人员的安全管理权限，保证整个系统安全的稳定性。1.3电子商务的安全管理

1.3.1电子商务的安全管理原则2．安全管理平台的设计原则（1）设计标准化原则。设计的标准化是安全管理平台设计科学化的体现。只有实现安全管理平台的各项功能模块的标准化设计才能保证系统模块的可替换性和可更新性，同时标准化可以加强行业的内部交流和相互兼容，有利于提高安全管理平台的设计水平。（2）设计可扩展原则。可扩展性主要包括规模扩展性和功能扩展性，规模扩展性是由小到大，功能扩展性是由简单到复杂。（3）集中与分布原则。安全管理平台的管理对象是网络，网络分布的广泛性和分散性决定了安全管理平台的分布特征。同时，安全管理平台的设计要实现通过集中管理方式来控制系统的核心管理功能。1.3电子商务的安全管理

1.3.1电子商务的安全管理原则企业在制定具体电子商务安全策略时，应遵循以下原则：（1）风险评估原则。风险评估的结果是制定电子商务安全管理策略的依据。在制定系统策略时要全面检测系统风险，包括网络设备风险、管理风险和数据风险等。（2）预防为主原则。预防为主的电子商务安全管理策略是电子商务系统安全运行的基本策略，只有消除系统安全隐患才能保证在新攻击方式和病毒出现时使系统具有“免疫力”和抗攻击能力。因此，在电子商务安全系统的规划、设计和实施过程中就要有预防为主的思想。（3）安全适度原则。制定电子商务安全管理策略时要权衡电子商务安全系统性能与成本之间的关系，在能够预防系统风险的同时还要考虑安全系统成本。（4）标准规范原则。标准的电子商务安全管理策略是电子商务系统安全运行的基本保证，规范的电子商务安全管理制度可以有效地消除管理漏洞和避免人为因素的干扰。同时电子商务安全策略的标准化更容易实现安全管理的统一化。（5）均衡防护原则。电子商务系统安全策略的制定要有全局均衡的观念，安全策略要全面考虑整个系统的安全，尤其是系统的薄弱环节，系统的安全水平由系统最薄弱环节的安全水平决定。（6）应急恢复原则。1.3电子商务的安全管理

1.3.2电子商务的安全管理策略电子商务安全管理方法是实现电子商务安全管理的具体措施，方法是否有效和全面是电子商务交易系统是否安全的直接体现，电子商务安全管理方法主要可以从技术角度、管理角度和法律角度三个方面考虑。首先，从技术方面考虑，电子商务安全管理方法主要有计算机安全管理、网络安全管理、安全策略管理和认证体系管理等。例如，入侵检测系统、网络防火墙、病毒防御系统、信息安全通信系统和公钥基础设施等。然后，从制度方面考虑，电子商务安全管理方法主要是使用规范的管理制度和标准对具体的管理方法做出明确的规定。最后，从法律方面考虑，电子商务相关法律是保证电子商务交易安全的法律保障。1.3电子商务的安全管理

1.3.3电子商务的安全管理方法电子商务安全系统的保密技术主要是指密码学的加密、解密技术，用来实现电子商务交易数据的保密通信，使电子商务交易数据不被未授权的用户知悉。信息安全通信常用的加密、解密算法主要有3DES算法