电子商务与信息安全培训

1、,电子商务与信息安全,2020/7/22,開會注意事項,Outline,开场故事 一、电子商务概述 二、电子商务安全问题 三、电子商务安全技术 四、网上商城及案例分析 五、电子商务付费系统 六、电子商务安全法律对策 七、参考文献 八、Q 网络技术发展的不完善性,易造成信息的丢失、误操作、传输错误等。 (二).典型事例 1999年4月19日郑州交通银行事件； 1999年4月26日CIH病毒事件； 1998年10月27日“中国人权研究会”网站遭黑时间； INTEL公司CPU序列号事件。,二、电子商务安全问题,(三)电子商务安全的主要内容 硬件安全：主要指服务器、网络设备、线路的运行安全，防盗、设备

2、性能等。 软件安全：保护所有数据不被盗窃、篡改、破坏等。 运行安全：保证系统能正常、连续运行。防自然灾害、战争等。 电子商务安全立法。增强对企业和人员的行约束。 (四)电子商务系统安全控制要求： 有效性：对安全产生的威胁加以控制，保证交易资料的有效性。 保密性：通过一定措施保证交易资料的保密。 完整性：确保信息传输的完整性。 交易身份的确定性。 不可否认性。 不可修改性。 合法性。,二、电子商务安全问题,(五)危害电子商务安全的主要因素：,网络硬件： 通信监视； 非法终端 注入非法信息 线路干扰 运行中断 服务干扰 病毒入侵,网络软件： 操作系统漏洞 网络协议隐患 网络其他软件 WEB站 数据

3、库等,人员： 保密意识 业务不熟 制度不健全 素质差 非法操作,交易风险： 信用风险 交易抵赖,法律风险： 法律滞后,环境风险： 天灾 人祸,二、电子商务安全问题,(六)安全术语 漏洞:软硬件设计缺陷 威胁： 身份欺骗：非法获得用户及密码等 篡改数据：恶意修改数据 信息暴露：将信息暴露给无权访问人 拒绝服务：阻止合法用户使用 威胁代理:通过漏洞攻击系统的人或程序。 病毒、蠕虫、木马、邮件爆炸、攻击者。 攻击:企图利用漏洞达到恶意目的的威胁代理。 对策:减少风险的软件配置、硬件或程序。,二、电子商务安全问题,（七）电子商务安全交易体系 技术措施 防火墙、网络防毒、加密、身份认证、授权等 管理措施

4、：交易安全制度等 法律政策与法律保障：电子商务立法。 （八）电子商务交易安全动态控制 动态性：“保护-反馈-修正-再保护”,三、电子商务安全技术,（一）电子商务安全基本手段 设置虚拟专用网：基于Internet电子交易的专用网络。 保护传输线路安全。屏蔽技术、防雷技术、监控、定期检查等。 采用端口保护技术。 使用安全访问设备，如智能卡等。 路由选择机制，控制传输路径。 设置防火墙。 信息加密机制。 访问控制。 鉴别机制。 数据完整性机制。 审计追踪机制。 入侵检测机制。,三、电子商务安全技术,（二）防火墙与访问控制 1.防火墙概念 ：指在内联网与互联网之间构造的一个保护层，主要目的是强制信息必

5、须经过保护层，以实现信息的检测、控制的目的。它由一个或一组网络设备和部件汇集。,三、电子商务安全技术,（二）防火墙与访问控制(续) 2.防火墙的功能 信息过滤 管理行为 封堵禁止业务 记录通过的信息和行为 对网络攻击进行检测与报警 3.防火墙种类 (1)包过滤防火墙 一般在路由器上实现; 通常只对源和目的IP地址及端口进行检查. (2)代理服务型防火墙(应用层网关) 使用代理技术; 具有隐藏内部网络结构作用。 (3)复合型防火墙 既有包过滤功能，又具有应用层代理等功能。,三、电子商务安全技术,（三）物理隔离技术 1.物理隔离卡 (1)单硬盘物理隔离卡 单硬盘分两区、双网卡、内外双系统。 (2)

6、双硬盘物理隔离卡 内外系统各用一硬盘、一网卡； 2.物理隔离网闸 由物理隔离网络电脑、物理隔离系统交换机组成,三、电子商务安全技术,（四）入侵检测技术IDS 1.主要作用：在不影响网络性能的基础上，对网络进行检测，从而在系统受到内部攻击、外部攻击及误操作时提供实时保护。 2.主要任务 监视、分析系统用户及系统活动； 对系统构造及弱点进行审计； 识别攻击活动模式并告警； 异常行为模式的统计分析； 评估重要系统和数据文件的完整性； 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 3.主要分类 （1）基于主机的入侵检测。仅检测分析1台主机中的数据与行为。 （2）基于网络的入侵检测。从网络上采

7、集数据进行分析和检测。,三、电子商务安全技术,（五）安全扫描技术 1.概念：主要是实现对主机或者网络的扫描，使网管员了解网络安全配置和运行的应用服务，技及时发现安全漏洞，客观评价网络风险等级。 2. 分类：主机安全扫描、网络安全扫描。,三、电子商务安全技术,（六）加密与解密技术 1.基本概念 （1）加密：将数据进行编码，使它成为按常规不可理解的形式（密文）的方法。 （2）解密：将密文还原为原来的可理解的形式（明文）的方式。 （3）加密算法：既将明文加密成密文的具体实现方法，通常为一加密程序。 注：（1）一明文经过不同的算法或密钥后形成了不同的密文。 （2）数据加密技术的关键是加密算法和密钥。,

8、三、电子商务安全技术,（六）加密与解密技术(续) 2.常用加密技术 (1)替换加密：使用对照表将明文中的字符替换成对照表中的字符。 (2)置换加密：调整字母排列顺序实现加密的方法. (3)对称加密:加密和解密使用同一密钥. 包括对称密码算法、对称密钥两要素。 优点：加密速度快，得到密文紧凑，大小几乎与明文相等。 缺点：密钥与密文同传，易被截获，安全性差，且只能使用一次。,三、电子商务安全技术,三、电子商务安全技术,（六）加密与解密技术(续) (4)非对称加密技术(公开密码体制):指加密和解密的密钥不同，且不能由一个密钥导出另一个密钥。 非对称加密技术特点： 公钥公开，可以适应网络开放性要求；

9、密钥的分配和管理比较容易。 可以实现数字签名和数据鉴别。 运行效率比较低，因此用对称加密加密信息，用非对称加密传递会话密钥。,三、电子商务安全技术,三、电子商务安全技术,(七)数字签名技术 1.主要目的：防止篡改，确定发信人身份。 2.基本原理：,三、电子商务安全技术,(七)数字签名技术(续) 3.数字签名原理： 发送方首先用哈希函数将需要传送的消息转换成报文摘要。 发送方采用自己的私有密钥对报文摘要进行加密，形成数字签字。 发送方把加密后的数字签字附加在要发送的报文后面，传递给接收方。 接收方使用发送方的公有密钥对数字签字进行解密，得到发送方形成的报文摘要。 接收方用哈希函数将接收到的报文转

10、换成报文摘要，与发送方形成的报文摘要相比较，若相同，说明文件在传输过程中没有被破坏。,三、电子商务安全技术,(七)数字签名技术(续) 4.数字签名功能： 接受人可确定发送人的真实身份； 发送者事后不能否认发送过该报文； 保证报文准确性和完整性。 5.数字时间戳： 数字时间戳服务（DTS)是网上电子商务安全服务项目之一，它能提供电子文件的日期和时间信息的安全保护。时间戳是一个经加密后形成的凭证文档，它包括需加时间戳的文件的摘要、 DTS收到文件的日期和时间、DTS的数字签字三个部分。 6.数字信封： 对称加密信息，对称密钥用非对称密钥加密后形成信封，再传给接收方。,三、电子商务安全技术,（八）认

11、证技术 1.客户端认证：基于客户端IP地址的认证机制。主要包括身份认证、通过认证机构进行的信息认证。前者鉴别用户身份，后者保证双方不可抵赖性和信息完整性。 2.身份认证：是判明和确认交易双方真实身份的必要环节。主要方式包括： 用户所知的某个秘密信息（用户口令） 用户持有的某个秘密信息（硬件、随身携带） 用户具有的某些生物学特征（指纹等）,三、电子商务安全技术,（八）认证技术(续) 3.数字证书：由可信任、公正的权威机构CA颁发。是网上交易双方真实身份证明的依据。 (1)分类： 个人数字证书 单位数字证书 单位员工数字证书 服务器证书等 (2)证书的作用： 保证信息除发送方和接受方外不被其他人窃

12、取； 保证信息在传输过程中不被篡改； 接收方能够通过数字证书来确认发送方的身份； 发送方对于自己发送的信息不能抵赖。,三、电子商务安全技术,（八）认证技术(续) (3)数字证书的组成： 一个标准的X.509数字证书包含以下一些内容： 证书的版本信息；证书的序列号，每个证书都有一个唯一的证书序列号；证书所使用的签名算法；证书的发行机构名称（命名规则一般采用X.500格式）及其用私钥的签名；证书的有效期；证书使用者的名称及其公钥的信息。 (4)证书的获得： 在网上填写数字证书申请资料 认证中心对申请人的身份进行审核后制作证书 将证书发送给申请人或者是申请人在网上下载自己的证书。 (5)数字证书用途

13、： 发送安全电子邮件、访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等。,三、电子商务安全技术,（八）认证技术(续) 4.认证机构（CA）认证： 认证机构主要服务： 制作、签发、管理电子签名认证证书。 确认签发的电子签名认证证书的真实性。 提供电子签名认证证书目录信息查询服务。 提供电子签名认证证书状态信息查询服务。,（八）认证技术(续) 认证机构层次结构： 一级为根CA，负责总政策 二级为政策CA（品牌），负责制定具体认证策略 三级为操作CA（区域），负责证书签发、管理。,三、电子商务安全技术,（八）认证技术(续) 5.带有

14、数字签名和数字证书的加密系统 安全电子商务使用的文件传输系统大都带有数字签字和数字证书，其基本流程如图所示。,三、电子商务安全技术,（一）网上商城实现内容与步骤 网上商城建设步骤如下图所示。,四、网上商城及案例分析,（一）网上商城实现内容与步骤(续) 典型的网上商城框架结构如下图所示。,四、网上商城及案例分析,（一）电子付费系统的型态,五、电子商务付费系统,（一）电子付费系统的型态(续),五、电子商务付费系统,电子钱包Digital Wallet。 e-Wallet。 电子钱包，是安装在消费者端的一个电脑软件。消费者可以向信用卡的发卡银行，申请使用这个电子钱包，银行就会把这套软件的光碟或磁片交

15、给消费者拿回去，安装在自己的电脑内。电子钱包里面储存了使用者个人资料（如，电子认证资料，信用卡号，到期日等），方便消费者在网路上使用。其运作机制是持卡者的信用资料都会经过加密再传至商人的伺服器中，而商人收到加密的资料后，则将确认讯息也加密至此一信用卡资料中，接着再传至相关的银行网路上。这么一来，厂商的伺服器中只会保留订单与信用卡类型。因此电子钱包的出现除了让消费者在线上购物能更方便外，也提供了多一层的安全保障。,五、电子商务付费系统,五、电子商务付费系统,五、电子商务付费系统,图. Seednet发行的嘻币(现在称为储值点),五、电子商务付费系统,图. HiNet 点数卡(e金元),五、电子商

16、务付费系统,五、电子商务付费系统,五、电子商务付费系统,（一）.国际电子商务立法的主要内容 市场准入 税收 电子商务合同 电子支付 安全与保密 知识产权 隐私权保护 （二）.我国电子签名法 2004年8月通过； 可靠电子签名与手写签名具有同等法律效率； 可靠电子签名的四个基本条件(同时满足)： (1) 电子签名制作数据用于电子签名时，属于电子签名人专有； (2) 签署时电子签名制作数据仅由电子签名人控制； (3) 签署后对电子签名的任何改动能够被发现； (4) 签署后对数据电文内容和形式的任何改动能够被发现。,六、电子商务安全法律对策,（三）.我国电子合同法 合同，亦称契约。是当事人之间设立、

17、变更、终止民事关系的协议。依法成立的合同，受法律保护。 我国新合同法将传统的书面合同形式扩大到数据电文形式。 电子合同的订立： 当事人所在地 要约与邀请要约 接受要约 发出和收到时间 自动交易 形式要求,六、电子商务安全法律对策,（四）.我国电子商务交易安全的法律保护 我国现行的涉及交易安全的法律法规主要有四类： (1) 综合性法律，主要是民法通则和刑法中有关保护交易安全的条文。 (2) 规范交易主体的有关法律，如公司法、国有企业法、集体企业法、合伙企业法、私营企业法、外资企业法等。 (3) 规范交易行为的有关法律，包括经济合同法、产品质量法、财产保险法、价格法、消费者权益保护法、广告法、反不

18、正当竞争法等。 (4) 监督交易行为的有关法律，如会计法、审计法、票据法、银行法等 。,六、电子商务安全法律对策,（五）我国涉及计算机安全的法律法规 1986年4月开始草拟中华人民共和国计算机信息系统安全保护条例。 1988年9月通过的中华人民共和国保守国家秘密法 1989年公安部发布了计算机病毒控制规定(草案)，开始推行“计算机病毒研究和销售许可证”制度。 1991年5月计算机软件保护条例 1994年2月计算机信息系统安全保护条例 1996年2月计算机信息网络国际联网管理暂行规定 1997年5月计算机信息网络国际联网安全保护管理办法,六、电子商务安全法律对策,七、参考文献,黄明祥、林咏章着, 资讯与网路安全概论, 美商麦格罗希尔图书有限公司, 2011年9月, 四版一刷, ISBN: 978-986-157-8132. Bill T