第6章 电子商务安全与风险管理

1、电子商务简介，第6章电子商务安全和风险管理，编辑：郑莉，莉莉，本章内容，6.1电子商务安全概念，6.2电子商务安全体系结构和风险管理，6.3电子商务安全技术，6.4电子商务安全实践， 淘宝“错误定价门”活动(第137页)2011年9月1日上午，丁老师在淘宝上购物，部分商场和淘宝购物中心以1元秒表价格出售了很多商品，另外价格数百元商品价格几元或几十元。 丁老师知道在网上这种一元秒表或超高价商品打折是很常见的事情。所以丁老师没有什么想法，在几个小时内按照正常程序购买了很多商品，全部支付成功，生成了订单。丁老师在淘宝上订购了10多份订单，分别以1元、几元、几十元的价格购买了服装、数码产品等23000

2、元的商品。但是后来丁老师想不到，很多订单被淘宝取消了。这到底是怎么回事？6 . 1 . 1 . 1电子商务安全的意义，电子商务安全的意义包括两个层次的内容：基础设施的安全和业务交易安全，以及管理、法律和标准等方面的隐藏问题。基础架构安全性：计算机网络设备安全性、计算机网络系统安全性、数据安全性、应用程序安全性等。其特点是确保计算机网络本身的安全。业务交易安全：围绕传统业务在互联网上应用时出现的各种安全问题，如何基于计算机网络安全确保电子交易和电子支付为核心的电子商务流程的顺利进行，即实现电子商务的机密性、完整性、可识别性、不可伪造和不可否认性。主要包括交易信息安全、支付安全和完整性安全。6.1

3、.2主要问题和原因，主要问题：1。网络安全问题1)信息调制2)信息阻止和盗窃3)恶意攻击和破坏2。商务交易中电子合同的法律效力问题及完整性保密问题3。商业交易的安全问题1)在线欺诈2)信息伪造3)交易拒绝4)病毒感染，案例6-1:无翼飞行的四银6-2:电子签名法6-3:前往“钓鱼网站”，6.1.2面临的主要问题和原因，原因33000硬件故障2。软件缺陷3。管理漏洞4。法律缺失案例6-4:“熊猫烧香”事件量刑方法、6.1.3电子商务安全的基本要素、网络传输要素交易安全要素机密性、有效性、可靠性、完整性、不可否认的法律和法规要素、1、2、3、6.2电子商务安全体系结构和风险2检测实时监控系统的安全

4、状态，满足一种动态安全需求的实时保护策略。3在反应攻击进行中，及时应对，防止攻击进一步发生，将安全事件的影响降至最低。4如果恢复系统因攻击或入侵而受到特定的损坏，则必须有一套及时恢复系统的机制。6.2.1主要环节和影响因素，三个因素：1人力因素作为一个实体存在于电子商务交易过程中，对电子商务安全有重要影响。通过人员培训、培训等措施降低人为因素带来的安全风险。2流程因素电子商务交易有多种操作流程，如系统登录、订单、数据更新等，需要严格的系统来规范各种操作行为，消除系统的安全风险。3如果技术要素技术要素对电子商务安全有最直接的影响，在电子商务交易中，首先要技术上保证系统的安全和稳定性。、6.2.2

5、电子商务安全体系结构*、网络安全管理、系统应用层、安全协议层、安全认证层、加密技术层、网络安全层(防火墙技术、入侵检测技术、病毒防护技术)、6.2.2电子商务安全体系结构、每一层的含义：1网络安全层中使用的主要2加密技术分层加密技术是电子商务最基本的安全措施。在当前技术条件下，加密技术一般分为对称加密和不对称加密两类。3安全认证层确保电子商务交易安全的认证技术，包括数字摘要技术、数字签名技术、数字时间戳技术、数字证书技术、认证技术、生物识别认证技术等。6.2.2电子商务安全体系结构，每一层的含义：4安全协议级别的电子商务操作需要一套完整的安全协议。现在更成熟的协议包括安全套接字层协议、安全电子

6、交易协议等。5电子商务系统应用层包括支付型和非支付型业务系统。6电子商务安全管理部门包括电子商务的人员管理、安全系统管理、法律规定等战略和计划。简短标题：1。简述电子商务安全风险(即安全问题)和安全体系结构。6.2.3电子商务安全风险管理，6.2.3.1风险管理和控制1加快基础设施建设2技术预防实施3完善管理体系4加强审计和监督5提高法律体系和诚信6专业人员培训，6 . 2 . 3 . 3电子商务安全风险管理，6.2.3.2安全管理战略1。安全战略2。内部管理系统战略3。人员培训战略4。安全系统管理战略，4，4，1，2，3，5，6.3电子商务安全技术，6.3.1数据加密技术，6.3.2身份验证

7、技术，6.3.3安全协议技术，6.3.4黑客预防技术，6.3加密技术是将某些敏感信息和数据转换为可以使用代码或密码理解的明文形式的复杂、不可理解的密文(即加密)，并在行中传输或存储在数据库中，然后由其他用户将密文还原为明文(即解密)，从而确保信息数据的安全性。类型：对称加密不对称加密、加密技术的基本要素、基本要素密钥：用于编码和解码文本的数字。加密程序/算法：将纯文本转换为密文的程序/算法。密文：加密后通过网络公开传输的内容成为非法收件人无法理解的符号。纯文本：所有接收人都能理解的格式。解密：将密文还原为明文的加密程序的反向过程。例如：简单的密码表，如明文、密码句、密钥、加密算法和解密算法吗？

8、对称加密6.3.1数据加密技术，对称加密也称为“秘密密钥”加密。发件人用密钥加密纯文本，然后传递给收件人，收件人用同一密钥解密。其特点是使用相同的密钥进行加密和解密。不对称加密不对称加密的密钥分解为公钥和私钥。生成密钥对后，公钥以非机密的方式向外部公开，仅对应于生成该密钥的发布者，私钥保留在密钥发布者手中。任何获得公钥的用户都可以使用相应的密钥加密信息发送给公钥的发布者，发布者获取加密信息后，可以使用与公钥相对应的私钥对其进行解密。6.3.1数据加密技术，非对称加密特定的加密传输过程如下：发送方a使用接收方b的公钥加密自己的私钥。发件人甲用自己的私钥加密文件，然后将加密的私钥和文件发送给收件人

9、。接收方b用自己的私钥解密，获得了甲的私钥。收件人b用a的公钥解密，以获得明文。、加密过程：对称加密、对称加密过程图、加密过程2:不对称加密、不对称加密技术图、1私钥在()加密技术中使用。a所有b对称c非对称d高级、6.3.2身份验证技术可以直接满足多个在线交易的安全要求，包括身份验证、信息完整性、欺诈和不可更正，从而更好地避免对在线交易的伪造、篡改、拒绝和伪造等威胁。认证技术主要用于认证和消息认证。认证用于验证用户身份。消息身份验证用于确保通信方的不可否认性和信息完整性。案例6-6:企业和个人的信用标签、6.3.2认证技术、1。数字摘要技术基本原则传输的文件使用SHA编码加密生成128位数字

10、摘要。发件人用自己的私钥重新加密摘要，形成数字签名。将原件和加密的摘要同时传给对方。另一方用发送方的公钥解密数字签名，同时用SHA编码加密生成另一个数字签名。解密后，收件人重新加密摘要和接收的文件，从而将生成的摘要相互比较。如果这两者匹配，则信息在传输过程中已损坏或未篡改。否则。6.3.2认证技术，2 .数字签名技术基本原理消息发送者在消息文本中生成128位散列值(或消息摘要)，用自己的私有密钥加密散列值，从而配置发送者的数字签名。数字签名作为邮件附件发送给邮件收件人。消息接收方可以首先从收到的原始消息计算128位散列值(或消息摘要)，然后使用发送方的公钥解密消息附件数字签名，如果两个散列值相

11、同，则确认数字签名是发送方，并通过数字签名确认和否定原始消息。6.3.2认证技术，3 .数字时间戳技术基本原理用户首先通过散列算法计算需要时间戳的文件的笔划摘要；摘要DTS发送到。DTS添加收到文件摘要的日期和事件信息，然后加密(数字签名)文件。发给用户。6.3.2认证技术，4 .数字证书和身份验证技术由权威机构CA certificate authority(CA certificate authority)中心颁发，为internet身份验证提供权威电子文档。此电子文档可用于在互联网通信中证明自己的身份和识别对方的身份。图6-2中国数字认证网络，6.3.2认证技术，5。生物识别认证生物识别

12、技术结合计算机和光学、声学传感器、生物统计学原理等先进技术，利用指纹、手掌、虹膜等人体固有的生理特征，实现个人识别。填空：1认证技术主要用于认证和()认证。2消息认证主要用于确保通信方信息的()性和完整性。3认证技术包括数字摘要技术、数字()技术、数字()和认证技术以及生物()认证技术。6.3.3安全协议技术，1 .安全套接字层协议技术安全套接字层协议SSL(SecureSocketLayer)是Netscape首次采用的网络安全通信协议。现在广泛用于internet上的身份验证以及web服务器和客户端浏览器之间的数据安全通信。SSL使用对称密码和开放密码组合技术(使用密码和证书进行通信数据完

13、整性和身份验证等安全服务)。6.3.3安全协议技术，SSL协议的功能：1)验证服务器的客户id 2)验证服务器的客户id 3)在服务器和客户之间建立安全数据通道，6.3.3安全协议技术，SSL协议的配置SSL协议的配置是握手协议层和记录协议层。SSL协议的服务1)认证服务2)数据加密服务3)数据完整性服务SSL协议执行阶段，6.3.3安全协议技术，2。安全电子交易协议技术set协议定义：安全电子交易协议安全交易(SET)是基于信用卡在线支付的电子商务安全协议。这是VISA和MasterCard两家信用卡公司于1997年5月共同推出的规格。SET协议的功能：SET协议是基于可靠的第三方认证中心(

14、包括持卡人、发卡机构、企业、银行和支付网关)的计划。6.3.3安全协议技术，2 .安全电子交易协议技术集协议的配置：SET提供了针对基于信用卡的电子交易应用程序实施安全措施的规则。SET支付系统主要包括持卡人、商家、发卡行、收据、支付网关、认证中心等六个部分。SET协议中的技术：SET协议是电子支付系统中涉及加密、身份验证等多种技术的安全协议。6.3.3安全协议技术，2 .安全电子事务协议技术SET协议执行阶段：6.3.3安全协议技术，3。要使用SSL和SET比较分析验证，安全网络层协议位置应用领域、SSL、SET协议的全限定名称为()、()。两个安全级别中较高的是()。6.3.4黑客预防技术

15、，案例6-8:黑客黑客集成新目标大部分企业攻击表6-1黑客攻击的电力公司及其损失，6.3.4黑客预防技术，1。防火墙技术定义：作为防火墙、分析器、限制器、限制器和分离器，有效地控制内部网络和外部网络之间的访问和数据传输，从而保护内部网络中的信息并对外部未授权用户的坏信息进行过滤。功能：1)网络安全障碍2)加强网络安全策略3)监控网络访问和访问4)防止内部信息泄露，6.3.4防止黑客技术，1 .防火墙技术分类：1)包过滤(PacketFiltering)防火墙2)应用代理服务防火墙创建防火墙：1)自定义安全策略2)构建安全体系结构3)制定规则集4)制定规则集5)更改控制6)审计任务，6.3.4防

16、黑客技术入侵检测技术定义：入侵检测意味着“操作、安全日志或审计数据，或其他网络中可用的信息，以检测入侵或入侵系统的尝试”功能：1)监控、分析用户和系统活动；2)检测系统配置的准确性和安全漏洞，并提示管理员修补漏洞。3)掌握反映已知攻击的活动模式，通知沟通员；4)通过异常行为模式的统计分析，发现入侵行为的规律；5)评估重要系统和数据文件的完整性。6)管理操作系统的审计线索，并识别用户违反安全策略的情况。6.3.4防止黑客技术，2 .入侵检测技术分类：1)基于主机的入侵检测系统2)基于网络的入侵检测系统入侵检测技术：1)特征检测2)异常检测，6.3.4黑客预防技术，2。入侵检测技术入侵检测阶段：1

17、)信息收集2)信号分析：模式匹配统计分析完整性分析，6.3.4防黑客技术，3 .网络安全评估技术网络安全评估技术的内容网络安全评估技术可以分为应用基础和基于网络的两种评估技术网络安全评估技术的工作方式是通过漏洞扫描监控计算机的安全漏洞技术。根据各种监控信息完成计算机安全评估，以确定存在的各种安全风险。网络安全评估技术的主要方法是基于规则的评估。基于模型的评估。实际上，必须实施两种方法的有效结合。实施网络安全评估技术，6.3.5病毒预防技术，案例6-9:警惕在线购买木马“钱”。1 .病毒预防技术病毒预防技术通过自身驻留系统内存优先获得系统控制权，监视和判断系统中是否存在病毒，防止病毒侵入计算机系统并破坏