《电子商务基础》课件 第六章 电子商务安全

第六章

电子商务安全CONTENTS目录O1电子商务安全概述O2电子商务安全技术O3电子商务安全管理措施PARTONE电子商务安全概述第一节电子商务安全的概念

从狭义上讲，电子商务安全是指电子商务信息安全，即信息的存储和传输安全。

从广义上讲，它包含电子商务运行中的各种安全问题，如电子商务系统的软硬件安全、运行和管理安全、支付安全和电子商务安全立法等内容。电子商务面临的安全威胁计算机病毒流氓软件木马程序网络钓鱼系统漏洞

网络内部威胁主要是指源自组织内部人员（如员工、前员工、承包商、业务合作伙伴等）的网络安全风险。这些威胁可能是有意的恶意行为，也可能是无意的疏忽行为，但都会对组织的网络安全和数据安全构成重大挑战。外部威胁内部威胁

电子商务用户隐私安全主要涉及用户个人信息的保护。为了保障电子商务用户隐私安全，需要从多个层面出发，构建全方位的安全防护体系。

首先，电子商务平台应加强自身的信息安全建设，采用先进的加密技术和安全协议，确保用户数据在传输和存储过程中的安全性。

其次，政府和相关监管机构应加大对电子商务行业的监管力度，制定更为严格的数据保护法律法规，明确企业和个人在数据收集、使用、共享等方面的权利和义务。

此外，用户自身也应提高隐私保护意识，谨慎处理自己的个人信息。电子商务用户隐私安全电子商务对安全的基本要求机密性完整性认证性不可否认性可靠性PARTTWO电子商务安全技术第二节电子商务系统的安全示意图

防火墙技术是一种针对互联网不安全因素所采取的保护措施，用于在内部网与外部网、专用网与公共网等多个网络系统之间构造安全的保护屏障，阻挡外部不安全的因素，防止未授权用户非法侵入防火墙主要由服务访问政策、验证工具、包过滤和应用网关关个部分组成。功能：模式的变化、功能多样化、性能的提升电子商务防火墙技术数据加密标准高级加密标准三重数据加密标准010203电子商务加密技术对称加密技术

对称加密算法也称私钥加密算法，是指加密密钥和解密密钥为同一密钥的密码算法。对称加密采用对称密码编辑技术，要求发送方和接收方使用相同的密钥，即文件加密与解密要使用相同的密钥。非对称加密的工作流程（1）乙方生成一对密钥（公钥和私钥）并向其他方公开公钥。（2）得到公钥的甲方使用该密钥对机密信息进行加密，然后再发送给乙方。（3）乙方用自己保存的专用密钥（私钥）对加密后的信息进行解密。电子商务加密技术非对称加密技术

非对称加密技术使用公开密钥和私有密钥来进行加密和解密。非对称加密技术比对称加密技术的安全性更好，使攻击者即便截获了传输的密文并得到公钥也无法解密。但非对称加密需要的时间更长、速度更慢。因此，非对称加密技术只适合对少量数据进行加密。电子商务认证技术是一种鉴别、确认用户身份的技术。身份认证技术采用单向哈希函数将需要加密的明文摘要生成一串固定长度的密文，这个密文就是所谓的数字指纹，并在传输信息时将密文加入文件一并传送给接收方。数字摘要是一种对交易日期和时间采取的安全措施，由专门的机构提供。是一个经加密后形成的凭证文档。数字时间戳是一种结合了对称加密技术与非对称加密技术来进行信息安全传输的技术。数字信封是指用户用自己的私钥对原始数据的数字摘要进行加密所得的数据。数字签名12安全套接层协议是基于Web应用的安全协议，主要用于解决Web上信息传输的安全问题。安全电子交易协议是电子商务中安全电子交易的一个国际标准。SET协议是以信用卡为基础的安全电子交易协议，用于实现电子商务交易过程中的加密、认证和密钥管理等，以保证在线支付的安全。电子商务安全协议PARTTHREE电子商务安全管理措施第三节安全防范意识的措施

网络威胁的表现形式多种多样，它们能够通过多种伪装手段来迷惑用户，诱导用户在无意识中主动触发安全漏洞或执行有害操作。并且，大部分用户缺乏网络安全知识，网络法律意识和道德意识淡薄，很容易受到非法用户的欺骗。提高电子商务的安全防范意识（1）了解必要的电子商务安全知识，做到有备无患。（2）养成良好的上网习惯，不要打开陌生的电子邮件、广告网页。（3）谨慎保管交易密码并定期进行修改。（4）不要浏览非法网站，也不要随意泄露个人信息。（5）定期清理计算机垃圾，并查杀病毒。电子商务安全管理组织体系日常工作

电子商务企业应该建立并完善自身的电子商务安全管理组织体系，明确各职能部门的职责，并做好电子商务的风险控制。建立电子商务安全管理组织体系（1）组织相关人员学习并参加电子商务安全会议，讨论信息安全问题。（2）对电子商务信息进行审查与分配，保证信息来源的准确性与真实性。（3）识别并修复电子商务系统的安全漏洞，保证电子商务系统的正常运行。（4）提供电子商务安全的实施方案，并实施信息安全措施及处理安全事故。建立电子商务安全管理制度网络系统的日常维护制度包括硬件和软件的日常维护。数据备份与恢复制度

包括对信息系统数据的存储，定期为重要信息备份、系统设备备份，同时要定期对这些备份进行更新。保密制度

包括电子商务系统涉及企业的市场、生产、财务和供应链等多方面的机密。跟踪审计制度

即网络交易日志机制，用来记录网络交易过程。病毒防范制度

包括建立完善的防病毒系统的整体安全规划和安全策略。人员管理制度

包括人员的选拔、工作责任的落实和安全运作所必须遵循的基本原则等相应的工作制度。做好电子商务安全问题的日常防范日常防范手段01安装合适的防火墙和杀毒软件，阻挡外部威胁07及时更新运行系统，防止系统流动造成的损失02禁止磁盘或文件自动运行06不要随意连接公众场所的免费WI-FI避免信息泄露03重要的文件要加密，并进行备份05不明文件直接拒收或先进行病毒查杀再打开04密码设置尽量复杂，不使用容易被破解的密码，定期修改密码课堂练习·常见的电子商务认