电子商务基础 第4版 教案 第5 章　电子商务安全

复习提问：导入新课：随着互联网技术和商业化应用的繁荣和成熟，企业和个人的网络财产安全显得日益的重要。但根据相关数据显示，目前全球互联网网络安全投入已经接近900亿美元，其中互联网安全产品的正常产值只有不到300亿美元，互联网安全领域的黑灰产业链产业已达千亿美元。由于互联网的开放性和其他因素，在进行电子商务活动特别是网络支付环节时，需要传递消费者和商家的信息，如商家和用户的基本信息、用户的银行账号等隐私信息、订购消费需求等，这些信息恰恰又是网络非法入侵或黑客攻击的首选目标。讲授新课：【引导案例】中国互联网安全发展趋势5.1电子商务安全概述5.1.1电子商务安全从狭义的角度来看，具体到技术就是指计算机网络安全，是指通过各种计算机、网络信息软件和硬件的技术支持，保护在公用通信网络中传输、交换和存储信息的机密性、完整性和可用性。从广义的角度来看，互联网的高速发展带来了更多的除技术以外层面的问题和含义。安全不再只是对安全防护部门、网络安全公司的技术层面的要求了。要保障电子商务安全既要提升管理部门对于网络安全的管理水平，更要加强对网络安全的立法，加大对网络违法犯罪的打击力度。5.1.2电子商务安全的威胁互联网中的所有参与者都有可能遭受到网络安全威胁，主要体现在以下几个方面：1）从网络经营角度来看的卖方即销售方，既包括企业也包括个体经营者、网络店铺的卖家，在商业交易中可能受到威胁。①商业信息数据在网络节点之间的传输过程中被截取、窃听、篡改和伪造。②卖方的网站和服务器遭到模仿，导致网络用户被欺骗。③卖方在商业交易中遭受到买方的威胁。2）从网络经营角度来看买方即消费者，网民不管是否涉及网络交易，只要是使用了互联网的网民都有可能遭受到网络安全威胁。①网民的个人隐私信息可能遭受到网络侵权，造成信息泄露。②网民的知识产权可能受到侵犯，当今这个自媒体时代，大家都可以自由地发表观点、言论甚至是作品。而这些信息的发表可能面临着其他人的盗用侵权。③网民的网络财富面临着多方面的威胁。【法律法规】网络成知识产权侵权“重灾区”复习提问：导入新课：电子商务安全防范是一个系统工程，因此不仅仅需要防火墙技术进行病毒的拦截和防御，也需要入侵检测技术主动的进行内部的巡查。无论是哪种技术都是建立在对计算机病毒的充分研究和了解的基础之上的。因此对于计算机病毒的研究是防范技术的出发点。讲授新课：5.2电子商务安全技术5.2.1防火墙1.防火墙概述防火墙就是介于内部网络和外部网络之间的一系列部件的组合，它是不同网络或网络安全域之间的唯一出入口，是提供信息安全需求和实现网络及信息安全的基础设施。2.防火墙的功能1）自定义完善安全策略。2）集中控制网络安全。3）打造网络边界的安全缓冲地带。3.防火墙的关键技术1）分组过滤技术。2）代理服务器技术。3）状态检测技术。5.2.2病毒防范技术1.计算机病毒概述计算机病毒是指利用计算机软硬件所固有的脆弱性，编制具有特殊功能的程序。它可能通过一些途径潜伏在计算机存储介质中，达到激活条件时，对计算机内的信息产生破坏或者感染作用，它经常具有自我复制和变种功能。2.计算机病毒的特征1）传染性。2）破坏性。3）潜伏性。4）隐蔽性。3.计算机病毒的防范检测方法1）特征代码法。2）校验和法。3）行为监测法。4）软件模拟法。5.2.3入侵检测技术1.入侵检测系统的概念入侵检测系统是从计算机网络系统中的节点进行信息收集，并且分析信息，运用模式匹配或异常检测技术来检查互联网中是否有违反安全策略的行为和痕迹。入侵检测系统类似于一个监控视频，能够捕捉和记录系统使用情况和数据信息，并对数据进行智能分析，还能进行自卫反击。2．入侵检测系统的三大功能1）数据收集和提取。2）数据分析。3）结果处理。【法律法规】企业网络安全的法律责任复习提问：导入新课：随着电子商务交易的发展，涉及领域越来越多，渗透面越来越广，对居民的生活消费产生了巨大影响。电子商务交易安全成为影响网络用户财产安全的重要因素。我国于2017年6月1日正式施行《中华人民共和国网络安全法》，电子商务交易的网络环境得到维护与净化。当前保护电子商务交易安全的技术主要包括数据加密技术、身份认证技术和安全交易协议三个方面。讲授新课：5.3电子商务交易安全技术5.3.1数据加密技术密码技术是互联网信息安全技术的核心技术之一。它既是一门古老的学科，又是一门与时俱进走在计算机技术高端前沿的学科。密码学是研究计算机信息加密、解密及其变换的学科，是同时运用计算机和数学的交叉学科，包括了编码学和密码分析学。1.加密定义加密指的是对明文进行伪装以达到隐藏真实信息的转换过程，比如将明文x伪装成密文y。通信的信息和数据都被称为明文，转换成了外人难以辨识的形式被定义为密文，对明文进行伪装的过程称之为加密，加密所用的信息变换规则被称为加密算法。2.对称密钥加密（1）对称密钥加密体制概述在对称加密体制中，加密的密钥和解密的密钥是相同的，即便不同也能从中推导出另外一个。因此，对称密钥体制又被称为“单钥体制”。对称加密密钥体制的算法一般是公开的，信息传递双方无须交换加解密算法，只需要交换密钥即可。（2）对称密钥加密体制优缺点对称密钥加密体制的最大优点在于，加解密速度相对于非对称体制更快。而缺点则是：第一，双方在交换密钥的时候需要一条安全的交换通道，而这样的通道安全性是相对的；第二，对称密钥加密体制的最大问题还在于密钥的分发和管理难度大，复杂且代价昂贵；第三，对称密钥加密体制无法实现数字签名。3.非对称密钥加密（1）非对称密钥加密体制概述非对称密钥加密体制采用的是加解密不同的密钥，加密和解密各需要一个不同的密钥，且两个密钥之间无法互相推导出来。因此，非对称密钥加密体制需要两个密钥，公开密钥和私有密钥。非对称密钥加密体制用到的一对密钥中，两个密钥的作用并不是固定不变的，其中一个用来加密则另外一个用来解密，二者的作用可以互换。非对称密钥加密体制又叫公开密钥体制，它的一对密钥中有一个用来公开，另外一个保密不对外公开，个人私有。（2）非对称密钥加密体制优缺点非对称密钥加密体制的优点在于，加解密双方可以在开放的互联网或者公网中交换信息，它不需要进行密钥的传递和共享，解密用的私钥只有接收方才有。所以即便公布出来的公钥被黑客破译，也没法解密。同时它的出现简化了密钥的分发管理。非对称密钥加密体制的缺点在于，算法复杂导致加解密的速度相对较慢。【法律法规】警惕钓鱼Wi-Fi5.3.2身份认证技术1.数字摘要（1）数字摘要的概念数字摘要指的是将任意长度的明文信息换算成固定长度的数据文件，它类似于一个自变量是信息的函数，也就是哈希（Hash）函数。数字摘要就是采用单向Hash函数将需要加密的明文信息“摘要”成一串固定长度（128位）的密文，这一串密文又称为数字指纹，密文就是其计算结果。（2）数字摘要的作用2.数字证书（1）数字证书的概念数字证书的实质简单来理解就是一个经证书授权中心（CA认证机构）进行了数字签名加密的包含有公开密钥所有者信息和公开密钥本身的文件。一般数字证书至少要包含公开密钥、CA认证机构的数字签名、证书发行机构名称、密钥有效期和证书序列号等。（2）数字证书的作用数字证书是加密技术的代言人和执行者。它能够起到保证网络安全的信息保密性、完整性、不可否认性和交易者身份的确定性的作用。3.CA认证（1）CA认证的概念CA机构，又被称为认证中心，它一般作为电子商务交易中权威的、受信任的第三方，担负起了公钥体系中公钥的合法性检验的责任。CA机构能为每个使用非对称加密的用户的公开密钥发放数字证书，用来证明证书中的用户合法拥有证书的公开密钥。（2）CA认证的作用基于CA机构的数字签名的