电子商务概论及案例分析课件

电子商务概论及案例分析人民邮电出版社第8章电子商务安全目录Contents电子商务安全概述电子商务安全技术电子商务安全管理措施8.28.18.3案例分析——手机银行安全管理8.4实践训练8.58.1.1电子商务安全的概念3传统商务由于面对面进行商务活动，很容易保证交易过程的安全性并建立起信任的关系。而电子商务是基于网络的不谋面的商务活动，整个过程容易因受网络环境、人员素质和数据传输等因素的影响而面临各种各样的安全问题。那么什么是电子商务安全呢？从狭义上讲，电子商务安全是指电子商务信息的安全，即信息的存储和传输安全。从广义上讲，它包含电子商务运行环境中的各种安全问题，如电子商务系统的软硬件安全、运行和管理安全、支付安全和电子商务安全立法等内容。不仅个人计算机容易受到病毒的侵害，手机端也容易感染病毒。一般手机病毒可以通过短信、电子邮件、网站、下载铃声和应用蓝牙等方式进行传播，可导致手机关机、死机、自动拨打电话、自动发送短信和资料被盗取等情况。知识链接8.1.2电子商务面临的安全威胁4计算机病毒是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，是一种能够影响计算机使用，并能进行自我复制的一组计算机指令或者程序代码。计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。一旦感染了病毒，计算机中的程序将受到损坏，病毒还能非法盗取用户的信息，损害用户权益。用户可以通过杀毒软件清除与查杀病毒，并应养成定期检查计算机病毒的习惯，以保证自己的切身利益。1．计算机病毒5流氓软件是介于正规软件与病毒之间的软件，其目的一般是散布广告。2．流氓软件（1）上网时会不断有窗口弹出（2）浏览器被莫名修改增加了许多工作条（3）在浏览器中打开网页时，网页会变成不相干的其他页面8.1.2电子商务面临的安全威胁6木马程序通常被称为木马、恶意代码等，是指潜伏在计算机中，可受外部用户控制以窃取本机信息或者控制权的程序。3．木马程序网络钓鱼是一种通过欺骗性的电子邮件和伪造的Web站点来进行网络诈骗的方式。4．网络钓鱼系统漏洞指应用软件或操作系统软件在逻辑设计上的缺陷或错误。5．系统漏洞8.1.2电子商务面临的安全威胁8.1.3电子商务对安全的基本要求7电子商务安全是一个系统的概念，其中最主要的就是电子商务的信息安全。要保证交易安全可靠地进行，需要实现以下5个方面的安全性。认证性不可否认性完整性可靠性15432机密性目录Contents电子商务安全概述电子商务安全技术电子商务安全管理措施8.28.18.3案例分析——手机银行安全管理8.4实践训练8.58.2.1电子商务防火墙技术9防火墙技术是一种针对互联网不安全因素所采取的一种保护措施，用于在内部网与外部网、专用网与公共网等多个网络系统之间构造一道安全的保护屏障，阻挡外部不安全的因素，防止未授权用户的非法侵入。随着现代通信技术与信息安全技术的不断发展，如今的防火墙越来越成熟，功能更加丰富，主要包括以下3个方面。功能多样化性能的提高模式的变化8.2.2电子商务加密技术10加密技术是实现电子商务信息保密性、真实性和完整性的前提。它是一种主动的安全防御策略，通过基于数学方法的程序和保密的密钥对信息进行编码，将计算机数据变成一堆杂乱无章、难以理解的字符，即将明文变为密文，从而阻止非法用户对信息的窃取。加密技术与密码学息息相关，涉及信息（明文、密文）、密钥（加密密钥、解密密钥）和算法（加密算法、解密算法）3种基本术语。11对称加密采用对称密码编辑技术，要求发送方和接收方使用相同的密钥，即文件加密与解密要使用相同的密钥。采用这种方法进行信息加密，需要收发双方都知道这个密钥，并在安全通信前将密钥发送给对方。1．对称加密技术8.2.2电子商务加密技术12对称加密算法较常用的有数据加密标准（DES）、高级加密标准（AES）和三重DES。1．对称加密技术01PRAT02PRAT03PRAT数据加密标准（DES）高级加密标准（AES）三重DES8.2.2电子商务加密技术13对称加密技术使用相同的密钥进行加密和解密不同，非对称加密技术使用公开密钥（以下简称“公钥”）和私有密钥（以下简称“私钥”）来进行加密和解密。公钥是公开的，私钥则由用户自己保存。2．非对称加密技术8.2.2电子商务加密技术8.2.3电子商务认证技术14身份认证技术是一种鉴别、确认用户身份的技术。通过对用户的身份进行认证，判断用户是否具有对某种资源的访问和使用权限，以保证网络系统的正常运行，防止非法用户冒充并攻击系统。1．身份认证技术根据所拥有的信息认证根据所具有的特征认证根据所知道的信息认证15数字摘要可以用于证实消息来源的有效性，以防止数据的伪造和篡改。它采用单向哈希（Hash）函数（单向散列函数）将需要加密的明文“摘要”生成一串固定长度（128位）的密文，这个密文就是所谓的数字指纹，并在传输信息时将密文加入文件一并传送给接收方。接收方收到文件后，使用相同的方法进行变换运算，若得到相同的摘要码，则判定文件未被篡改。2．数字摘要数字信封又称数字封套，是一种结合了对称加密技术与非对称加密技术来进行信息安全传输的技术。3．数字信封8.2.3电子商务认证技术16数字签名是基于公开密钥加密技术来实现的，因此又叫公钥数字签名。我们可以将数字签名简单地理解为附加在数据单元上的一些数据，或对数据单元所做的密码变换。它可以帮助数据单元的接收者判断数据的来源，保证数据的完整性并防止数据被篡改。字签名采用双重加密方法，即消息摘要和RSA加密来保证信息安全，其工作过程如下。（1）报文发送方采用哈希（Hash）编码加密产生一个128位的数字摘要。（2）发送方用自己的私钥对报文摘要进行加密，形成发送方的数字签名。（3）将数字签名作为报文的附件和报文同时传输给接收方。（4）接收方使用发送方的公钥对摘要进行解密，同时在接收到的原始报文中使用同样的哈希（Hash）算法加密得到一个报文摘要。（5）将解密后的摘要和接收方重新加密产生的摘要进行对比，若两者相同，则判断消息在传送过程中没有被破坏、篡改。4．数字签名8.2.3电子商务认证技术17为了保证电子商务活动的参与方与交易方不能否认其行为，避免随意修改交易时间，需要一个权威第三方来提供可信赖的且不可抵赖的时间戳服务——数字时间戳。数字时间戳（DigitalTime-Stamp，DTS）是一种对交易日期和时间采取的安全措施，由专门的机构提供。数字时间戳是一个经加密后形成的凭证文档，它包括以下3个部分。（1）需加时间戳的文件的摘要。（2）数字时间戳发送和接收文件的日期和时间。（3）数字时间戳的数字签名。5．数字时间戳8.2.3电子商务认证技术8.2.4电子商务安全协议18电子商务安全协议是以密码学为基础的消息交换协议，用于保障计算机网络系统信息的安全传递与处理。常见的电子商务安全协议有安全套接层协议（SecureSocketsLayer，SSL）、安全电子交易协议（SecureElectronicTransaction，SET）和公钥基础设施（PublicKeyInfrastructure，PKI）。01PRAT02PRAT03PRAT安全套接层协议（SSL）安全电子交易协议（SET）公钥基础设施（PKI）目录Contents电子商务安全概述电子商务安全技术电子商务安全管理措施8.28.18.3案例分析——手机银行安全管理8.4实践训练8.58.3.1提高电子商务的安全防范意识20网络威胁存在的方式多种多样，可以通过各种伪装来迷惑用户，使用户主动激发安全威胁。并且，由于人们对互联网的依赖性，大部分用户缺乏网络安全知识且网络法律和道德意识淡薄，因而更容易受到非法用户的攻击。提高安全防范意识是基本的电子商务安全管理措施，用户只有在进行网络活动时时刻注意防范，才能最大限度地降低风险。以下是一些提高安全防范意识的措施。（1）了解必要的电子商务安全知识，做到有备无患。（2）养成良好的上网习惯，不要打开陌生的电子邮件、广告网页。（3）谨慎保管交易密码并定期进行修改。（4）不要浏览非法网站，也不要随意泄露个人信息。（5）定期清理计算机垃圾，并查杀病毒。8.3.2建立电子商务安全管理组织体系21电子商务企业应该建立并完善自身的电子商务安全管理组织体系，明确各职能部门的职责，并做好电子商务的风险控制。电子商务安全管理组织体系的日常工作主要包括以下４个方面。（1）组织相关人员学习并参加电子商务安全会议，讨论信息安全问题。（2）对电子商务信息进行审查与分配，保证信息来源的准确性与真实性。（3）识别与评估电子商务信息系统的安全漏洞，保证电子商务系统的正常运行。（4）提供电子商务安全的实施方案，并检测信息安全措施的实施及安全事故的处理。8.3.3建立电子商务安全管理制度22建立科学合理的电子商务安全管理制度，可以帮助企业更好地进行安全管理，提高企业的电子商务安全防范意识，如人员管理制度、保密制度、跟踪审计制度、网络系统的日常维护制度、病毒防范制度和数据备份与恢复制度等。人员管理制度保密制度跟踪审计制度网络系统的日常维护制度数据备份与恢复制度病毒防范制度8.3.4电子商务安全的日常防范23对于普通用户来说，做好电子商务安全问题的日常防范很重要。它可以帮助用户在一定程度上降低安全风险，保证用户免受非法用户的侵害。常用的电子商务安全问题的日常防范手段如下。（1）安装合适的防火墙与杀毒软件，阻挡来自外界的威胁。（2）禁止磁盘或文件自动运行。对在网络中下载的文件、程序或手机应用软件，应该经过杀毒软件查杀后再打开。（3）重要的文件要加密，并进行备份。（4）密码设置尽量复杂，不要使用生日、身份证号码等容易被破解的密码，养成定期修改密码的习惯。（5）不要因好奇随意接收和打开陌生文件，最好先进行病毒查杀或拒收。（6）使用手机上网时，不要随意连接公众场所的免费Wi-Fi，避免信息泄露。（7）及时更新运行系统，防止因系统流动而造成损失。目录Contents电子商务安全概述电子商务安全技术电子商务安全管理措施8.28.18.3案例分析——手机银行安全管理8.4实践训练8.58.4.1手机银行的安全措施25手机银行用户最担心的问题一般是个人信息、银行账户密码等资料的泄露，而手机银行基于网上银行的功能，主要采取了以下安全措施。安全措施1．身份信息与手机号码绑定2．采用国际先进的加密手段3．多种业务安全手段8.4.2手机银行安全常识26（1）必须使用自己的手机号码开通手机银行，以防资金损失。一些骗局以低息贷款验资等为借口，诱使用户使用他人手机号码开通手机银行，对此用户一定要警惕。（2）手机银行的登录密码建议设置得复杂一些，不要使用生日、电话号码等简单数字组合，也不要与QQ、微博和邮箱等其他网站的登录密码相同，减少密码被盗的风险。一般建议设置成“字母+数字”的组合。（3）手机银行的登录密码和银行账户密码应该妥善保存，且不要轻易告诉任何人。（4）若发生手机丢失、手机号码更换或手机号码异常等情况，应及时到银行办理注销业务。（5）在手机中应安装防病毒或安全检测软件，定期进行手机查杀，检测系统是否存在安全问题，并且及时更新手机系统，防止因系统漏洞造成不必要的损失。（6）手机银行应用软件使用完成后应及时退出，不要在后台运行，避免他人借用手机时造成资金损失。（7）各种手机应用软件一定要到正规的应用商店或软件官方网站中下载。（8）提高警惕，留心假冒应用程序和假冒银行信息，对于伪装成来自银行网站的电子邮件、手机短信等不要打开或回复。目录Contents电子商务安全概述电子商务安全技术电子商务安全管理措施8.28.18.3案例分析——手机银行安全管理8.4实践训练8.58.5.1实训目标28（1）了解电子商务安全事件的情况与所面临的威胁。（2）了解防火墙的原理与设置方法。（3）了解数据加密的原理与方法。（4）掌握日常维护电子商务安全的方法。8.5.2实训内容29（1）收集身边或网络上的电子商务安全实践案例。（2）在计算机中安装防火墙，并进行防火墙设置。（3）收集相关网络数据传输与加密的方法，分析其运作机制。（4）执行电子商务安全的日常维护操作，培养自己的良好习惯。8.5.3实训要求30（1）收集电子商务安全事件的案例，分析电子商务安全事件产生的原因与所面临的威胁。（2）下载并安装网络防火墙，如360网络防火墙、瑞星个人防火墙等，启动防火墙并设置允许连接的应用程序。（3）对网络数据传输与加密方法进行分析，说明其具体内容，并对比不同方法的优缺点。（4）在