电子商务基础 第4版 课件 第5章 电子商务安全

电子商务基础第4版第五章电子商务安全机械工业出版社电子商务基础第4版本章内容1、电子商务安全概述2、电子商务安全技术3、电子商务交易安全技术电子商务基础第4版课程目标知识目标素质目标能力目标1）了解当前网络环境下的安全形势。2）识记电子商务安全的定义和安全技术分类。3）熟记各种电子商务安全技术的工作原理。1）会熟练应用电子商务安全软件，学会操作流程，体验各种安全软件的不同。2）养成良好的上网操作习惯，培养较强的电子商务交易安全意识。3）能防范网络病毒、诈骗等各种威胁和攻击。1）具备强烈的爱国情怀，维护国家利益。2）培养电子商务交易安全的意识。3）树立良好的职业道德意识和素养。电子商务基础第4版思维导图电子商务基础第4版引导案例中国互联网安全发展趋势电子商务基础第4版案例内容0403点击文本框即可进行编辑输入相关内容点击文本框即可进行编辑输入相关内容编辑标题点击文本即可进行编辑输入相关内容点击文本框即可进行编辑输入相关内容

产业互联网安全十大趋势

自我国提出“国家大数据战略”以来，各级地方政府和企业都积极推进数字经济发展和数字化转型政策不断深化和落地，我国发布了《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》。加快建设数字经济、数字社会、数字政府，加快推动数字产业化，这些工作都离不开安全保障。电子商务基础第4版

伴随着《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络产品安全漏洞管理规定》《网络安全审查办法（修订草案）》等一系列法律法规和规章制度相继发布实施，我国网络安全法律法规体系基本建成，逐步覆盖到数字经济范畴内的全部主体。

《产业互联网安全十大趋势》指出，产业安全相关配套机制将会持续落地，进一步按照行业、领域、地域、场景等细分，制定相应细则和产业实践的指导。在一定程度上，政策的完善会在短期内为数字产业带来比较明显导向作用。安全法律从“立”向“行”，迈向治理新时代电子商务基础第4版数据安全成为重点，技术加码关键基础设施保护

随着数字经济发展的不断深入，数据成为核心生产要素。数据要素融合的趋势带来了跨领域、跨行业、跨地域之间的数据流通，在增进我国数字经济规模的同时，也放大了数据泄露的安全问题。在法律层面，《中华人民共和国数据安全法》迅速补齐了针对数据的立法保障短板，数据安全的重要性比以往得到了人们更深层次的认同，但数据安全仍然是一个复杂问题。

通过上文对中国互联网安全发展趋势的分析，请思考以下问题：1.想一想数字经济在你的日常生活、学习和工作中提供了哪些便利？2.随着数字经济的发展，数据安全成为互联网安全的重点领域，你认为我们可以从哪些方面保护自身的数据安全？电子商务基础第4版5.1.1电子商务安全电子商务安全的支撑因素有很多，不仅仅指某一方面，电子商务安全需要一个完整的体系来支撑。从狭义和广义角度来理解：从狭义的角度来看，具体到技术就是指计算机网络安全，是指通过各种计算机、网络信息软件和硬件的技术支持，保护在公用通信网络中传输、交换和存储信息的机密性、完整性和可用性；从广义的角度来看，互联网的高速发展带来了更多的除技术以外层面的问题和含义。安全不再只是对安全防护部门、网络安全公司的技术层面的要求了。5.1电子商务安全概述电子商务基础第4版5.1.2电子商务安全的威胁

1）从网络经营角度来看的卖方即销售方，既包括企业也包括个体经营者、网络店铺的卖家，在商业交易中可能受到威胁。①商业信息数据在网络节点之间的传输过程中被截取、窃听、篡改和伪造。②卖方的网站和服务器遭到模仿，导致网络用户被欺骗。③卖方在商业交易中遭受到买方的威胁。电子商务基础第4版2.从消费者和从网络参与者的角度，不管是否参与网络交易，只要是使用了互联网的网民都有可能遭受到的网络安全威胁：①网民的个人隐私信息可能遭受到网络侵权，造成泄露信息的结果。②网民的知识产权可能受到侵犯，当今互联网是一个自媒体的时代，大家都可以自由地发表观点、言论甚至是作品。③网民的网络财富面临着多方面的威胁，个人网络财富包括游戏账号、虚拟道具、网络支付工具等等一系列财富。电子商务基础第4版【法律法规】网络成知识产权侵权“重灾区”苏州某数字科技股份有限公司开发的手机游戏《太极熊猫》首先上线，而后由成都和北京某两家科技公司合作开发的手机游戏《花千骨》上线运营。苏州该数字科技股份有限公司向该市中级人民法院提起诉讼，认为《花千骨》手游“换皮”抄袭《太极熊猫》手游。所谓“换皮”抄袭，是指在玩法规则、数值策划、技能体系、操作界面等方面完全相同或者实质性相似的行为。法院审定认为，《花千骨》手游在游戏玩法规则的特定呈现方式及其选择、安排、组合上，整体利用《太极熊猫》手游的基本表达，侵害了苏州该数字科技股份有限公司享有的改编权，判决成都和北京两家科技公司赔偿该苏州科技公司经济损失3000万元。5.1电子商务安全概述电子商务基础第4版

该案在我国首次明确网络游戏的玩法规则，可以获得著作权保护，使用“换皮”抄袭手段被认定为著作权侵权，这对游戏行业的知识产权保护产生了深远影响。

讨论：电子商务企业如何提高网络知识产权法律意识？5.1电子商务安全概述电子商务基础第4版1.防火墙概述

防火墙就是介于内部网络和外部网络之间的一系列部件的组合，它是不同网络安全域和网络之间的唯一出入口，是提供信息安全需求和实现网络及信息安全的基础设施。5.2.1防火墙5.2电子商务安全技术电子商务基础第4版2）集中控制网络安全3）实现网络边界的安全缓冲地带1）自定义完善安全策略2.防火墙的功能电子商务基础第4版1）分组过滤技术2）代理服务器技术3）状态检测技术3.防火墙的关键技术电子商务基础第4版5.2.2病毒防范技术1.计算机病毒概述

计算机病毒是指利用计算机软硬件所固有的脆弱性，编制具有特殊功能的程序。它可能通过一些途径潜伏在计算机存储介质中，达到激活条件时，对计算机内的信息产生破坏或者感染作用，它经常具有自我复制和变种功能。电子商务基础第4版010304021）传染性

2）破坏性3）潜伏性4）隐蔽性2.计算机病毒的特征电子商务基础第4版3.计算机病毒的防范检测方法1）特征代码法2）校验和法3）行为监测法4）软件模拟法

校验和法行为监测法

软件模拟法

特征代码法电子商务基础第4版

校验和法行为监测法

软件模拟法

特征代码法5.2.3入侵检测技术

入侵检测系统和防火墙区别在于，防火墙类似于一个门卫，而入侵检测系统则像是一个在内部进行巡逻的巡警。二者就像是一对互补的关系，一个定点守卫另外一个移动防卫。1.入侵检测系统概念

入侵是指任何企图破坏计算机资源的完整性、保密性、有用性的行为。入侵检测系统是从计算机网络系统中的节点进行信息收集，并且分析信息，运用模式匹配或异常检测技术来检查互联网中是否有违反安全策略的行为和痕迹。电子商务基础第4版2．入侵检测系统的三大功能1）数据收集和提取2）数据分析3）结果处理电子商务基础第4版【法律法规】企业网络安全法律责任2019年3月，世界知名社交平台某公司（以下称为该公司）在未加密的情况下存储了多达6亿个用户账户的密码，并以明文形式存储，公司员工可以随时访问。该公司随后发表官方博客承认了这一做法。该公司匿名员工表示，从2012年至今，有将近2至6亿该公司用户的账户密码可能是以纯文本形式存储的，并且可被2万多名该公司员工搜索。这名员工还表示，该公司仍在试图确定有多少密码被泄露，以及持续了多长时间。到目前为止，调查已经发现了部分用户档案中包含2012年的纯文本用户密码。电子商务基础第4版

消息人士称，该公司访问日志显示大约2000名该公司工程师和开发人员，对包含纯文本用户密码的内容进行了大约900万次内部查询。讨论：互联网企业如何提高防范用户隐私安全风险的法律责任意识？电子商务基础第4版计算机安全软件的使用1.实操要求 学会使用360杀毒软件的电脑体检、木马查杀等主要的安全功能。技能实操一电子商务基础第4版2.实操步骤（1）电脑体检从桌面或者右下角的系统托盘中，双击打开360杀毒软件，首先默认的电脑体检界面。如图5-3所示。图5-3电脑体检电子商务基础第4版单击立即体检，如图5-4所示。图5-4立即体检电子商务基础第4版体检完成，如图5-5所示。图5-5体检完成电子商务基础第4版图5-6木马查杀（2）木马查杀

单击木马查杀，如图5-6所示电子商务基础第4版图5-7完成查杀完成查杀，如图5-7所示电子商务基础第4版

随着电子商务交易的发展，涉及领域越来越多，渗透面越来越广，对居民的生活消费产生了巨大影响。电子商务交易安全成为影响网络用户财产安全的重要因素。我国于2017年6月1日正式施行《中华人民共和国网络安全法》，电子商务交易的网络环境得到维护与净化。当前保护电子商务交易安全的技术主要包括数据加密技术、身份认证技术和安全交易协议三个方面。5.3电子商务交易安全技术电子商务基础第4版

密码技术是互联网信息安全技术的核心技术之一。它既是一门古老的学科，又是一门与时俱进走在计算机技术高端前沿的学科。密码学是研究计算机信息加密、解密及其变换的学科，运用计算机和数学的交叉学科，包括了编码学和密码分析学。5.3.1数据加密技术5.3电子商务交易安全技术电子商务基础第4版1.加密定义

加密指的是对明文进行伪装以达到隐藏真实信息的转换过程，比如将明文x伪装成密文y。通信的信息和数据都被称为明文，转换成了外人难以辨识的形式被定义为密文，对明文进行伪装的过程称之为加密，加密所用的信息变换规则被称为加密算法。5.3.1数据加密技术电子商务基础第4版2.对称密钥加密

1）对称密钥加密体制概述

在对称加密体制中，加密的密钥和解密的密钥是相同的，即便不同也能从中推导出另外一个。因此，对称密钥体制又被称为“单钥体制”。对称加密密钥体制的算法一般是公开的，信息传递双方无须交换加解密算法，只需要交换密钥即可。对称密钥加密体制电子商务基础第4版2）对称密钥加密体制优缺点对称密钥加密体制的最大优点在于，加解密速度相对于非对称体制更快。

而缺点则是：

第一，双方在交换密钥的时候需要一条安全的交换通道，而这样的通道安全性是相对的；

第二，对称密钥加密体制的最大问题还在于密钥的分发和管理难度大，复杂且代价昂贵，比如一个用户和n个用户进行加密通信，电子商务基础第4版3.非对称密钥加密

1）非对称密钥加密体制概述

非对称密钥加密体制采用的是加解密不同的密钥，加密和解密各需要一个不同的密钥，且两个密钥之间无法互相推导出来。因此，非对称密钥加密体制需要两个密钥，公开密钥和私有密钥。非对称密钥加密体制电子商务基础第4版

2）非对称密钥加密体制优缺点

非对称密钥加密体制的优点在于，加解密双方可以在开放的互联网或者公网中交换信息，它不需要进行密钥的传递和共享，解密用的私钥只有接收方才有。所以即便公布出来的公钥被黑客破译，也没法解密。同时它的出现简化了密钥的分发管理。

非对称密钥加密体制的缺点在于，算法复杂导致加解密的速度相对较慢。电子商务基础第4版【法律法规】警惕钓鱼Wi-Fi钓鱼Wi-Fi是不法分子部署的与免费Wi-Fi相似的假Wi-Fi。当受害人连接钓鱼Wi-Fi后，手机会自动下载木马病毒,不法分子可据此截取手机中的信息,包括银行卡、微信、支付宝、游戏等账号和密码都有可能被记录下来。王女士在一家商场内连接了一个没设密码的Wi-Fi，随后在某网购平台上对商场一件衣服进行比价，由于价格便宜近一半，她毫不犹豫地通过手机支付在该网购平台购买了这件衣服。不久，张女士的手机收到短信提示，其信用卡被盗刷4笔,总金额高达8000多元。电子商务基础第4版

《中华人民共和国网络安全法》第一章第十条规定：“建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。”讨论：互联网用户如何提高网络使用安全意识？电子商务基础第4版5.3.2身份认证技术

1.数字摘要（1）数字摘要的概念数字摘要指的是将任意长度的明文信息换算成固定长度的数据文件，它类似于一个自变量是信息的函数，也就是哈希（Hash）函数。数字摘要就是采用单向Hash函数将需要加密的明文信息“摘要”成一串固定长度（128位）的密文，这一串密文又称为数字指纹，密文就是其计算结果。电子商务基础第4版5.3.2身份认证技术（2）数字摘要的作用数字摘要的作用主要体现在，不管原文长度如何它的结果都是定长的，不同内容的明文信息通过摘要计算成密文，结果都是不同的，同一个明文信息计算的摘要则一致。因此根据这个定长、唯一性的特点，只要信息在被篡改，就能通过摘要计算结果比对判断出来。电子商务基础第4版2.数字证书（1）数字证书的概念数字证书指的是在网络通信中代表着通信各方身份信息的一系列数据，它可以提供在互联网中所需要的验证身份的信息，是信息发送接收方的网络身份证。通常由CA认证机构发行，并在CA认证机构中核对。5.3.2身份认证技术电子商务基础第4版

（2）数字证书的作用

在当今互联网时代中网民在购物越来越方便的同时，也承担着更大的敏感信息数据遭受威胁的风险，因此为了能够更好地保护买卖双方的权益和验证双方身份的真实性，就需要数字证书在交易中发挥最大的作用。数字证书是加密技术的代言人和执行者。它能够起到保证网络安全的信息保密性、完整性、不可否认性和交易者身份的确定性。电子商务基础第4版3.CA认证

（1）CA认证的概念

CA机构，又被称为认证中心，它一般作为电子商务交易中权威的、受信任的第三方，担负起了公钥体系中公钥的合法性检验的责任。CA机构能为每个使用非对称加密的用户的公开密钥发放数字证书，用来证明证书中的用户合法拥有证书的公开密钥。5.3.2身份认证技术电子商务基础第4版（2）CA认证的作用基于CA机构的数字签名的作用，攻击者无法进行证书的伪造和篡改。它的作用主要在于保护用户之间的网络信息传递中的完整性、可靠性、真实性、保密性和不可抵赖性，不但需要对用户身份的真实性进行验证，同时也要具有权威性、公正性的机构向电子商务的各个交易主体颁发符合安全电子交易协议标准的安全证书。电子商务基础第4版5.3.3安全交易协议【法律法规】警惕伪基站伪基站是不法分子利用计算机与通信技术伪装成运营商的假基站。通过冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。案例一：冒充运营商诈骗张先生收到号码“10000”发来的一条短信，称张先生有大量积分，可以兑换一笔金额不小的话费。张先生随后点击了短信中的链接,进入兑换话费的网页，并按提示输入了自己的银行卡卡号和支付密码。张先生等了几天，说好积分兑换的话费却迟迟没有到账,反而发现自己的银行卡被转走两万余元。经查张先生是中了伪基站的诈骗圈套。电子商务基础第4版5.3.3安全交易协议

案例二:冒充银行诈骗李女士正在玩手机，突然收到一条XX银行发来的银行卡消费积分兑换短信,没有多想就点开了链接，并按提示输入了自己的银行卡卡号和身份证号码，又输入了XX银行短信发来的验证码，没想到短短数十秒后，就收到多条共计转款99998元的短信，李女士这才意识到自己被骗了。《中华人民共和国网络安全法》第四章第四十四条规定：“任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。”讨论：互联网用户如何提高辨别信息真伪意识？电子商务基础第4版5.3.3安全交易协议

1.SSL协议

SSL协议是在可持有证书的浏览器软件上和万维网服务器之间打造的虚拟安全通道中传输数据的协议。SSL协议由两部分组成：

下层部分是建立在传输控制协议（TCP/IP）的基础上的记录协议，为上层协议提供基础的数据封装、压缩、加密等基础功能服务；

上层是出于应用层协议（HTTP）下的握手协议，用来在信息发送方和接受方之间传输数据前进行通信双方的身份认证、加密算法协商和密钥交换等。电子商务基础第4版

2.SET协议

随着互联网商业氛围的浓厚，网络支付环境中涉及的消费者的隐私信息的安全问题日益突出，持卡人一般希望自己的支付信息不被卖方看到，卖方也希望买方的订单不可抵赖，同时在交易过程中的各方都希望对方的身份能够被验证。因此来自美国的全球最大的两家信用卡机构和组织就此推出了安全电子交易协议（SET）。用来提供对互联网交易各方的认证、数据安全性、完整性和不可否认性的保护。

它的具体用法是：首先，买方将自己的购物信息和支付信息发送给卖方；然后，卖方处理买方的购物信息，同时将买方的支付信息转发给银行，再由银行来鉴定支付信息的真实性和合法性。银行验证信息无误之后进行款项转移，随后通知卖方，卖方再将支付成功信息发送给买方，交易结束。电子商务基础第4版SET协议和SSL协议的区别在于：

SET协议的特点是更加的复杂，安全性更高，费用更高，需要更多的硬件支持；SSL协议的特点是使用简单、成本低，能够内置在浏览器里，容易推广不需要额外的硬件支持。电子商务基础第4版公共计算机浏览器隐私保护1.实操要求 学习体验如何在公共计算机上使用浏览器后进行登录账号及密码等隐私信息的删除和清理，以便实现隐私保护，提高账号密码的使用安全。技能实操二电子商务基础第4版2.实操步骤我们本次实操以Windows10家庭中文版操作系统自带edge浏览器为例进行操作演示。（1）打开edge浏览器打开edge浏览器，进入浏览器默认首页，如右图所示。电子商务基础第4版（2）进入浏览器设置单击edge浏览器右上角三个小点处，选择“设置”选项。电子商务基础第4版（3）隐私信息清除操作选择“隐私、搜索和服务项”，单击击选择要清除的内容。电子商务基础第4版清除浏览数据。选择时间范围，勾选浏览历史记录、Cookie和其他站点数据、缓存的图像和文件、密码、自动填充表单数据(包括表单和卡)等选项，单击“立即清除”按钮。电子商务基础第