《电子商务》课件-电子商务文件安全与保护

电子商务文件安全与保护2024/12/27电子商务的技术基础2一、电子商务系统的安全问题1、安全隐患2、安全需求二、电子商务的安全技术1、病毒防范2、黑客防范3、认证技术4、安全协议2024/12/27电子商务的技术基础3一、电子商务系统的安全问题

互联网安全吗？故事一：2004年12月7日，互联网上出现了一个假的中国银行网站，行标、栏目、新闻、地址，样样齐全，内蒙古呼和浩特一市民，因登录了这个假网站，卡里的2.5万元莫名其妙地不见了。随后不久，假中国工商银行、假银联、假农业银行相继出现，一时间网上银行的安全话题成了网上热议的焦点。同时，黑客入侵、病毒的袭击也迅速增长。据统计，现在我国计算机病毒感染率仍然在70%以上。2024/12/27电子商务的技术基础4故事二：世纪末的“二月黑客潮”2000年2月7日到9日，一伙神通广大的神秘黑客在三天的时间里接连袭击了互联网上包括雅虎、美国有线新闻等在内的五个最热门的网站，造成这些网站瘫痪长达数个小时“拒绝服务”。不停发送垃圾信息来阻止正常访问。1999年6月，eBay网站因遭黑客袭击而瘫痪了整整22个小时，从而使公司的股值在五天的时间内损失了26%！去年11月，该网站在三天的时间内因遭黑客袭击再次瘫痪4个多小时。此后，公司被迫投资1800万美元用于改善网络的安全运作。我国：2000年春天，有人利用普通的技术，从电子商务网站窃取到8万个信用卡号和密码，标价26万元出售。2024/12/27电子商务的技术基础5我国历年计算机病毒感染率

2016年83.98%

2017年85.57%

2018年87.93%

2019年80

%

2020年74%2024/12/27电子商务的技术基础6故事三：熊猫烧香病毒

经历了几次大规模爆发后，“熊猫烧香”掀起了电脑病毒蔓延的狂潮，成为众多电脑用户谈之色变的词汇。《瑞星2006安全报告》将其列为十大病毒之首，它的蔓延拷问着网络的公共安全。犯罪嫌疑人李俊今年25岁，是武汉人，2004年毕业后，李俊曾多次到北京、广州等地寻找工作，尤其钟情于网络安全公司，但均未成功。为了泄愤，李俊开始编写病毒，2003年曾编写过“武汉男生”病毒，2005年编写了“武汉男生2005”病毒及“QQ尾巴”病毒。

李俊交代，他编写“熊猫烧香”还具有强烈的商业目的：可以暗中盗取用户游戏账号、QQ账号，以供出售牟利，还可以控制受感染电脑，暗中访问一些按访问流量付费的网站，从而获利。部分变种中还含有盗号木马。2024/12/27电子商务的技术基础71．电子商务中存在的安全隐患

数据被非法截获、读取或者修改

冒名顶替和否认行为未经授权访问其他网络计算机病毒2024/12/27电子商务的技术基础8数据的非法截获、读取或者修改信源信宿(a)正常信源信宿(b)中断信源信宿(c)截获第三者信源信宿(d)篡改第三者2024/12/27电子商务的技术基础9冒名顶替和否认行为信源信宿冒名顶替第三者不是我们买的！2024/12/27电子商务的技术基础102．电子商务的安全性需求（1）交易者身份的可认证性（2）信息的保密性（3）信息的完整性（4）信息的不可抵赖（不可否认）性（5）不可伪造性2024/12/27电子商务的技术基础11二、电子商务的安全技术1、病毒防范

2、黑客防范

3、认证技术

4、安全协议

2024/12/27电子商务的技术基础121、病毒防范（1）常见的计算机病毒宏病毒引导型病毒脚本病毒文件型病毒特洛伊木马2024/12/27电子商务的技术基础13（2）病毒防范措施利用杀毒软件定期监测计算机建立严格的计算机使用制度不随便打开网页、谨慎下载软件，不打开来历不明的电子邮件等2024/12/27电子商务的技术基础142、黑客（HACKER)防范定义：“非法入侵者”；骇客和窃客起源：60年代目的：基于兴趣非法入侵基于利益非法入侵报复2024/12/27电子商务的技术基础15有名的黑客

凯文·米特尼克KevinMitnick网络世界迷失的男孩第一个在FBI“MostWanted”榜上有名的黑客。米特尼克首次被宣判有罪是因为非法侵入DigitalEquipment公司的计算机网络，并窃取软件。之后的两年半时间里，米特尼克展开了疯狂的黑客行动。他开始侵入计算机，破坏电话网络，窃取公司商业秘密，并最终闯入了美国国防部预警系统。最终，他因为入侵计算机专家、黑客TsutomuShimomura的家用计算机而落网。在长达5年零8个月的单独监禁之后，米特尼克现在的身份是一位计算机安全作家、顾问和演讲者。2024/12/27电子商务的技术基础16TsutomuShimomura在SanDiego超级计算机中心从事计算物理和计算机安全的专家。二个月后，Tsutomu追踪到Mitnick的位置。1995年2月15日在NorthCarolina的Raleigh,Mitnick被FBI逮捕。2024/12/27电子商务的技术基础17RobertTappanMorris

莫里斯的父亲是前美国国家安全局的一名科学家。莫里斯是莫里斯蠕虫的制造者，这是首个通过互联网传播的蠕虫。正因为如此，他成为了首位依据1986年《计算机欺诈和滥用法》被起诉的人。1988年，莫里斯在康奈尔大学就读期间制作了蠕虫，当时的目的仅仅是探究互联网有多大。然而，莫里斯蠕虫以无法控制的方式自我复制，造成很多计算机死机。据专家称，约有6000台计算机遭到破坏。他最后被判处3年缓刑、400小时社区服务和1.05万美元罚款。

莫里斯目前是麻省理工大学计算机科学和人工智能实验室的一名终身教授，主攻方向是计算机网络架构。2024/12/27电子商务的技术基础18凯文·鲍尔森

KevinPoulsen鲍尔森经常被称为“黑暗但丁”，他因非法入侵洛杉矶KIIS-FM电话线路而全美闻名，同时也因此获得了一辆保时捷汽车。就连美国联邦调查局(FBI)也开始追查鲍尔森，因为他闯入了FBI数据库和联邦计算机，目的是获取敏感的窃听信息。鲍尔森的专长是入侵电话线路，他经常占据一个基站的全部电话线路。鲍尔森还经常重新激活黄页上的电话号码，并提供给自己的伙伴用于出售。他最终在一家超市被捕，并被处以五年监禁。在监狱服刑期间，鲍尔森担任了《连线》杂志的记者，并升任高级编辑。2024/12/27电子商务的技术基础19阿德里安·拉莫

AdrianLamo拉莫专门找大公司或组织下手，例如入侵微软和《纽约时报》的内部网络。他经常利用咖啡店、金考复印店或图书馆的网络来从事黑客行为，因此他获得了一个“不回家的黑客”的绰号。拉莫经常能发现安全漏洞，并对其加以利用。通常情况下，他会通知企业有关漏洞的信息。在拉姆的受害者名单上包括雅虎、花旗银行、美洲银行和Cingular等知名公司。由于侵入《纽约时报》内部网络，拉莫成为顶尖数码罪犯之一。也正是因为这一罪行，他被处以6.5万美元罚款，以及六个月家庭禁闭和两年缓刑。拉莫现在是一位著名公共发言人，同时还是一名获奖记者。2024/12/27电子商务的技术基础20乔纳森·詹姆斯

JonathanJames

在16岁时，詹姆斯成为了第一名因为黑客行为而被送入监狱的未成年人，并因此恶名远播。他此后承认自己当初只是为了好玩和寻求挑战。詹姆斯曾经入侵过很多著名组织，包括美国国防部下设的国防威胁降低局。通过此次黑客行动，他可以捕获用户名和密码，并浏览高度机密的电子邮件。詹姆斯还曾入侵过美国宇航局的计算机，并窃走价值170万美元的软件。据美国司法部长称，他所窃取的软件主要用于维护国际空间站的物理环境，包括对湿度和温度的控制。当詹姆斯的入侵行为被发现后，美国宇航局被迫关闭了整个计算机系统，并因此花费了纳税人的4.1万美元。目前，詹姆斯正计划成立一家计算机安全公司。2024/12/27电子商务的技术基础21VladimirLevin领导了第一次网络银行抢劫。Levin是St.Petersburg’sTekhnologicheskyUniversity的生物化学的研究生。Levin在英国伦敦使用笔记本电脑访问CITIBANK网络，得到了大量的客户代码和口令。在数周时间内通过18次登录，共计将$3.7m的资金转移到theUnitedStates,Finland,theNetherlands,Germany,andIsrael等由他控制的帐户中。CITIBANK发现了这一情况并马上报警，1995年3月Levin在伦敦希思罗机场被捕。CITIBANK只追回了$400,000。2024/12/27电子商务的技术基础22黑客防范（1）安全评估技术黑客ping入安全性检查：系统漏洞、网络设置、系统设置等等2024/12/27电子商务的技术基础23（2）防火墙技术

防火墙是指一个由软件和硬件设备组合而成，在Intranet和Internet之间构筑的一道屏障，用于加强内部网络和公共网络之间安全防范的系统。目前使用的防火墙主要可分为包过滤型和应用网关型两种类型。2024/12/27电子商务的技术基础24防火墙外部WWW客户客户机Intranet数据库电子邮件服务器Web服务器由软件系统和硬件设备组合而成的，在内外部之间的保护屏障2024/12/27电子商务的技术基础25包过滤型防火墙包过滤型防火墙往往可以用一台过滤路由器来实现，对所接收的每个数据包做允许或拒绝的决定。包过滤路由器型防火墙的优点：处理包的速度要比代理服务器快；包过滤路由器型防火墙的缺点：防火墙的维护比较困难等过滤路由器Internet内部网络2024/12/27电子商务的技术基础26双宿网关防火墙双宿网关是一种拥有两个连接到不同网络上的网络接口的防火墙。两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。所以为了保证内部网的安全，双重宿主主机应具有强大的身份认证系统，才可以阻挡来自外部不可信网络的非法登录。NIC代理服务器NICInternet内部网络2024/12/27电子商务的技术基础27防火墙的安全策略有两种：（1）凡是没有被列为允许访问的服务都是被禁止的。（2）凡是没有被列为禁止访问的服务都是被允许的。2024/12/27电子商务的技术基础28（3）入侵监测用单一防火墙产品作为阻止黑客攻击的一种手段，越来越局限性，主要体现在：防火墙无法附上内部人员所做的攻击，对信息流的控制缺乏灵活性，在攻击发生后，利用防火墙保存的信息难以调查和取证，为了解决这些问题，就产生了IDS入侵检测系统。入侵检测系统如同网络中的雷达，只要在一个网络中安入一台或多台入侵检测引擎，就可以监视整个网络的情况，在黑客攻击造成破坏之前，预先发出警报，由于本身自成体系，因此不会给原系统和网络增加负担。2024/12/27电子商务的技术基础29

部分告之：在网上交易中将最关键的数据略去，再告之。另行确认：交易后，用电子邮件对交易进行确认。在线服务：用企业提供的内部网来提供联机服务。电子商务中为保障信息安全早期曾采用过的方法3、认证技术 2024/12/27电子商务的技术基础30认证技术（1）信息加密技术（2）信息摘要技术（3）数字签名（4）CA认证2024/12/27电子商务的技术基础31（1）信息加密技术

1）密钥的概念将明文数据进行某种变换，使其成为不可理解的形式，这个过程就是加密，这种不可理解的形式称为密文。解密是加密的逆过程，即将密文还原成明文。加密和解密必须依赖两个要素，这两个要素就是算法和密钥。算法是加密和解密的计算方法；密钥是加密和加密所需的一串数字。2024/12/27电子商务的技术基础32例如：将字母a，b，c，d，e，…x，y，z的自然顺序保持不变，但使之与D，E，F，G，H，…，Y，Z，A，B分别对应（即相差3个字符）。若明文为and，则对应密文为DQG。（接收方知其密码为3，它就能解开此密文）。2024/12/27电子商务的技术基础332）对称加密技术a.在首次通信前，双方必须通过除网络以外的另外途径传递统一的密钥。b.当通信对象增多时，需要相应数量的密钥。

c.对称加密是建立在共同保守秘密的基础之上的，在管理和分发密钥过程中，任何一方的泄密都会造成密钥的失效，存在着潜在的危险和复杂的管理难度。2024/12/27电子商务的技术基础34对称密钥DES

dataencryptionstandard信息明文信息密文加密信息密文信息明文解密SR网络2024/12/27电子商务的技术基础353）非对称加密技术（公—私钥加密技术RSA)

非对称加密技术采用RSA算法，加密和解密使用两把密钥，一把称公钥，另一把称私钥，两把密钥实际上是两个很大的质数，用其中的一个质数与明文相乘，可以加密得到密文；用另一个质数与密文相乘可以解密，但不能用一个质数求得另一个质数。

2024/12/27电子商务的技术基础36信息明文信息密文公钥加密信息密文信息明文私钥解密SR网络2024/12/27电子商务的技术基础37信息明文信息密文私钥加密信息密文信息明文公钥解密SR网络2024/12/27电子商务的技术基础38（2）信息摘要技术信息摘要过程

Hash算法

原文

摘要

摘要

对比？

原文

摘要

Internet

Hash算法

发送方

接收方

2024/12/27电子商务的技术基础39(3)数字签名

数字签名过程

Hash

算法

原文

摘要

摘要

对比？

原文

摘要

Internet

发送方

接收方

Hash算法

数字

签名

发送者

私钥加密

数字

签名

发送者

公钥解密

2024/12/27电子商务的技术基础40(4)数字证书与CA认证

1．数字证书（DigitalCertificate或DigitalID）数字证书采用公－私钥密码体制，每个用户拥有一把仅为本人所掌握的私钥，用它进行信息解密和数字签名；同时拥有一把公钥，并可以对外公开，用于信息加密和签名验证。数字证书可用于：发送安全电子邮件、访问安全站点、网上证券交易、网上采购招标、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。

2024/12/27电子商务的技术基础412．数字证书的内容数字证书包括以下内容：l

证书拥有者的姓名；l

证书拥有者的公钥；l

公钥的有限期；l

颁发数字证书的单位；l

颁发数字证书单位的数字签名；l

数字证书的序列号等。2024/12/27电子商务的技术基础42查看证书内容（1）2024/12/27电子商务的技术基础43查看证书内容（2）2024/12/27电子商务的技术基础44查看证书内容（3）2024/12/27电子商务的技术基础453．认证中心CA（CertificateAuthority）（1）认证中心的功能：核发证书、管理证书、搜索证书、验证证书（2）CA的树形验证结构2024/12/27电子商务的技术基础46CA的树形结构2024/12/27电子商务的技术基础47（3）国内外CA中心简介国外常见的CA有VeriSign、GTECyberTrust、Thawte等。国内常见的CA有

中国商务在线l中国数字认证网（），数字认证，数字签名，CA认证，CA证书，数字证书，安全电子商务。l北京数字证书认证中心

（），为网上电子政务和电子商务活动提供数字证书服务。2024/12/27电子商务的技术基础484．数字证书的类型数字证书主要有以下类型：（1）个人数字证书（2）单位证书（3）软件数字证书2024/12/27电子商务的技术基础495．数字证书的申请（1）下载并安装根证书（2）申请证书（3）将个人身份信息连同证书序列号一并邮寄到中国数字认证网2024/12/27电子商务的技术基础50下载根证书（1）2024/12/27电子商务的技术基础51下载根证书（2）2024/12/27电子商务的技术基础52安装根证书（1）2024/12/27电子商务的技术基础53安装根证书（2）2024/12/27电子商务的技术基础54查看根证书2024/12/27电子商务的技术基础55申请个人免费证书2024/12/27电子商务的技术基础56下载个人证书2024/12/27电子商务的技术基础57查看个人证书2024/12/27电子商务的技术基础58案例2：数字证书在网上招标系统中的应用(1)网上招标是指在公网上利用电子商务基础平台提供的安全通道进行招标项目中各种信息的传递和处理，包括招标信息的公布、标书的发放、应标书的收集、投标结果的通知以及项目合同或协议的签订等完整的过程。网上招标有公开招标和邀请招标两种招标方式，对招标方提供发布招标公告、发布招标邀请、发布中标信息、电子标书管理、标箱管理等功能；对投标方提供招标信息查询、在线投标、在线购买标书等功能2024/12/27电子商务的技术基础59数字证书在网上招标系统中的应用(2)身份确定？传输安全？抵赖？2024/12/27电子商务的技术基础60数字证书在网上招标系统中的应用(3)招投标双方在CA中心获得客户端事务型证书，并在Web服务器上绑定服务器端证书，同时在服务器端和客户端建立SSL通道。在网上招标系统中设置Email服务器，并在Email服务器上设定专门的用户帐号接收投标机构的附有标书的安全电子邮件。投标用户将投标书利用安全电子邮件（签名/加密，S/MIME协议）发送给招标方设定的邮箱中2024/12/27电子商务的技术基础61电子商务安全协议1．安全套接层协议SSL（SecureSocketsLayer）

是由Netscape公司开发的为实现网上客户机和服务器之间文件的安全传输而推出的传输层安全协议。

SSL提供的安全服务：

(1)加密信息：对发送的数据进行加密处理

(2)保证信息的完整性：数据传输过程没有改变

(3)提供较完善的认证服务：认证客户和服务器，确信信息能发到正确的客户机和服务器。2024/12/27电子商务的技术基础62SSL的会话过程

（1）接通阶段：客户机通过网络向服务器打招呼，服务器回应；（2）密码交换阶段：客户机与服务器之间交换双方认可的公钥，一般选用RSA密码算法；

（3）会话密码阶段：客户机器与服务器间产生彼此会话专用秘钥；

（4）检验阶段：客户机检验服务器取得的密钥；服务器验证客户机的可信度；

（5）会话阶段：双方使用专用秘钥进行会话；

（6）结束阶段：客户机与服务器之间相互交换结束的信息。

2024/12/27电子商务的技术基础63在eCoin上在登陆（Login）用户名时即进入SSL安全连接。在eCoin上连接交换敏感信息的页面

2024/12/27电子商务的技术基础64

这时浏览器发出安全警报，开始建立安全连接，。同时验证安全证书，。用户单击“确定”键即进入安全连接。

浏览器开始建立安全连接浏览器验证服务器安全证书2024/12/27电子商务的技术基础65

该图显示在eCoin上的安全连接已经建立，浏览器右下角状态栏的锁型图案表示用户通过网页传输的用户名和密码都将通过加密方式传送。2024/12/27电子商务的技术基础66

当加密方式传送结束后，浏览器会离开交换敏感信息的页面，自动断开安全连接。2024/12/27电子商务的技术基础672．安全电子交易协议SET（SecureElectronicTransaction）安全电子交易(SecureElectronicTransaction)协议是由VISA、MasterCard两大信用卡公司以及IBM等公司共同推出的用于开放网络进行安全资金支付的技术标准初衷是将传统的信用卡交易模式移植到互联网上，同时又保证这种新的交易方式有足够的安全性SET协议要解决持卡人、商家和银行三角关系的单向或双向的安全数据传输和对方身份认证等一系列安全问题。2024/12/27电子商务的技术基础68SET协议中的角色消费者：通过计算机与商家交流，通过发卡机构颁发的付款卡（如信用卡和借记卡）进行结算发卡机构：为每个用户颁发付款卡，保证对每一笔交易的付款商家：提供商品和服务银行：在线交易的商家必须在银行开立帐号，并且处理支付寺上的认证与支付支付网关：将INTERNET的数据转化为金融机构内部的数据的设备，或指派第三方处理商家支付信息和顾客的支付指令2024/12/27电子商务的技术基础69SET协议的参与对象将INTERNET的数据转化为金融机构内部的数据的设备，或指派第三方处理商家支付信息和顾客的支付指令2024/12/27电子商务的技术基础70最主要的目标 信息在INTERNET上安全的传输，不为黑客所窃听订单信息和个人帐号信息隔离消费者和商家相互认证，以确定对方