[高等教育]电子商务基础第三章课件.ppt

1、教学重点教学重点：电子商务的安全标准；电子商务的安全技术。教学难点教学难点：电子商务的安全标准。教学要求：教学要求：通过本章的学习使学生掌握电子商务涉及到的计算机和网络安全问题，以及电子商务安全的标准和安全技术。一、计算机安全1、计算机安全面临的严峻形势：计算机泄密、窃密事件不断发生；黑客攻击行为日益增多，计算机违法犯罪活动呈上升趋势；一些部门 对计算机信息系统运行中存在的安全问题和潜在的风险认识不足，自我保护和防范意识不强，漏洞较多；计算机系统安全保护技术开发和应用滞后，防范能力较差。4 45 56 62、计算机安全问题主要涉及的领域、计算机安全问题主要涉及的领域u党政机关计算机信息系统的安

2、全问题（首要）党政机关计算机信息系统的安全问题（首要）政治稳定和国计民生政治稳定和国计民生u国家经济领域内计算机信息系统的安全问题国家经济领域内计算机信息系统的安全问题 经济命脉经济命脉u国防和军队计算机信息系统的安全问题国防和军队计算机信息系统的安全问题 维护国家独立和主权完整维护国家独立和主权完整3、计算机安全控制制度、计算机安全控制制度（1）计算机安全 表现（2）计算机安全控制的相关制度计算机安全控制的相关制度计算机信息系统安全等级保护制度计算机机房安全管理制度计算机信息系统国际联网备案制度计算机信息媒体进出境申报制度计算机信息系统使用单位安全负责制度计算机案件强行报告制度计算机病毒及其

3、有害数据的专管制度计算机信息系统安全专用产品销售许可证制度对计算机系统的安全保护对计算机罪犯的防范与打击 4用于防范计算机犯罪的法律手段用于防范计算机犯罪的法律手段 1997年10月1日的我国新刑法确定了计算机犯罪的5种主要形式：（1）违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统；（2）对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行；（3）对计算机信息系统中存储、处理或传输的数据和应用程序进行删除、修改、增加的操作；（4）故意制作、传播计算机病毒等破坏性程序，影响计算机系统的正常运行；（5）利用计算机实施金融诈骗、盗窃、贪污、挪用公款、

4、窃取国家机密或其他犯罪行为等。二、常见的网络安全问题1、网络安全主要的领域党政机关技术领域电子商务领域社会经济领域国家经济实体安全国防和军队运行安全信息安全支付安全身份认证法律责任2、网络上存在的安全问题、网络上存在的安全问题病毒：最直接的安全威胁内部威胁和无意破坏系统的漏洞和“后门”网上的蓄意破坏侵犯隐私或机密资料拒绝服务一、电子商务的安全现状二、电子商务的安全威胁二、电子商务的安全威胁1、卖方面临的安全威胁：系统中心安全性被破坏竞争者的威胁商业机密的安全假冒的威胁信用的威胁2、买、买方面临的安全威胁：虚假订单付款后不能收到商品机密性丧失拒绝服务3、黑客攻击电子商务系统的手段系统中断，破坏系

5、统的有效性窃听信息，破坏系统的机密性篡改信息，破坏系统的完整性伪造信息，破坏系统的真实性三、电子商务的安全要素和体系三、电子商务的安全要素和体系1、电子商务的安全要素：数据的完整性传输的保密性信息的不可否认性交易者身份的确定性访问控制2、电子商务安全的基本要求：完整、可靠、可控、不可抵赖完整、可靠、可控、不可抵赖一、SSL协议：安全套接层协议1、开发：Netscape CommunicationNetscape Communication公司设计开发公司设计开发2、功能：用于Web浏览器与服务器之间的身份认证和加密数据传输。3、构成：4、缺点：只能验证客户身份，不能验证商家身份SSL记录协议：

6、为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议：通讯双方进行身份认证、协商加密算法、交换加密密钥。二、二、SET协议：安全电子交易协议协议：安全电子交易协议1、开发：美国美国Visa和和MasterCard两大信用卡组两大信用卡组织等联合于织等联合于1997年年6月推出月推出2、功能：采用公钥密码体制和X.509数字证书标准，主要应用于保障网上购物信息的安全性，是目前公认的信用卡网上交易的国际标准。3、优点：保证客户交易信息的保密性和完整性 确保商家和客户交易行为的不可否认性 确保商家和客户的合法性 4、缺点：只解决双方认证和支付三、三、OTPOTP协议：开放式贸易协议协议

7、：开放式贸易协议 功能：解决多边支付问题。四、四、CHAPCHAP协议：询问握手认证协议协议：询问握手认证协议 功能：功能：通过三次握手周期性的校验来验证通过三次握手周期性的校验来验证用户的帐号及密码。用户的帐号及密码。五、五、ECHAPECHAP协议：身份认证安全协议协议：身份认证安全协议 功能：实现了安全的身份认证和用户敏感验证信息（秘密信息）在服务器和客户端的安全存储，防止了因超级用户泄露或复制用户的秘密值的安全隐患。3-4 电子商务的安全技术二、计算机安全技术二、计算机安全技术1、实体安全：保证硬件和软件本身的安全电源防护技术：防干扰、防电压波动、防断电防盗技术：安装报警器、监视系统等

8、环境保护：防火、防水、防尘、防震、防静电电磁兼容性：电磁屏蔽、接地等2、运行环境的安全：保证系统的正常运行预防措施：风险分析、备份与恢复、审计跟踪、应急3、信息的安全：保证信息不被非法阅读、修改和泄露预防措施：装防火墙和杀毒软件、设置权限 进行访问控制、加密、身份认证4、存取控制：对用户的身份进行识别和鉴别身份认证：密码、代表用户身份的物品、反 映用户生理特征的标识存取权限控制：设置权限等级数据库存取控制：允许、禁止三、路由器技术三、路由器技术1、路由器：连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。2、功能：连通不同的网络。选

9、择信息传送的线路。四、防火墙技术四、防火墙技术1、防火墙(firewall)：一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。2、基本特性：内部网络和外部网络之间的所有网络数据流都必须经过防火墙 只有符合安全策略的数据流才能通过防火墙 防火墙自身应具有非常强的抗攻击免疫力 3、功能：过滤进出网络的数据包；管理进出网络的访问行为；封堵某些禁止的访问行为；记录通过防火墙的信息内容和活动；对网络进行检测和告警。4、缺点：主要防范外部网络的攻击而忽略了内部网络攻击抑制一些正常的通信，削弱Internet的功能用外网访问内网会被防火墙拒绝服务防火墙跟不上信息技术的发展，存在漏洞

10、增加黑客攻击机会常用的防火墙常用的防火墙六、加密技术六、加密技术1、加密技术：利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。例如：2、构成要求算法：将普通的文本（或者可以理解的信息）与一串数字（密钥）的结合，产生不可理解的密文 的步骤。密钥：用来对数据进行编码和解码的一种算法。“1101.100”表示100元3、分类：对称加密：用一个密钥进行加密。加、解密均用公钥进行。典型代表：DES算法算法、RC4RC4非对称加密：用一对密钥进行加密。其中公钥进行加密，私钥进行解密。典型代表：RSA算法算法4、应用：u在电子商务中的应用：信息的保密、信息的完整、

11、信息源的鉴别、不可否认性u在军事领域的应用：信息的保密、一致性和时效性七、认证技术七、认证技术1、认证技术：保证电子商务交易安全的一项重要技术。主要包括身份认证和信息认证。2、常用的身份认证技术：u静态密码：静态密码：由用户设定的一组字符，用于保护用户信息和识别身份。u短信密码短信密码：以手机短信形式请求包含6位随机数的动态密码动态密码。u动态口令牌：动态口令牌：客户手持用来生成动态密码的终端，主流的是基于时间同步方式的，每60秒变换一次动态口令，口令一次有效，它产生6位动态数字进行一次一密的方式认证。u USB KEY：一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或

12、数字证书，利用USBKey内置的密码算法实现对用户身份的认证。u智能卡（智能卡（IC卡）卡）：一种内置集成电路的芯片，芯片中存有与用户身份相关的数据，通过智能卡硬件不可复制来保证用户身份不会被仿冒。u数字签名数字签名：以电子形式存在于数据信息之中的，用于辨别数据签署人的身份，并表明签署人对数据信息中包含的信息的认可。u生物识别技术：生物识别技术：通过可测量的身体或行为等生物特征进行身份认证的一种技术。电脑病毒的概念是由电脑的先驱者冯诺伊曼（John Von Neumann）提出的。到了1987年，第一个电脑病毒C-BRAIN终于诞生了。一般而言，业界都公认这是真正具备完整特征的电脑病毒始祖。这

13、个病毒程序是由一对巴基斯坦兄弟：巴斯特（Basit）和阿姆捷特（Amjad）所写的，所以又称巴基斯坦大脑（Pakistani Brain）病毒。从此之后逐渐进入病毒的高发期！巴基斯坦大脑（Pakistani Brain）DOS系统下耶路撒冷（Jerusalem）windows时期的宏病毒32位病毒-CIHInternet上盛行的各种病毒：蠕虫特洛伊木马等引导型病毒引导型病毒：其传染对象是软盘的引导扇区和硬盘的主引导扇区和引导扇区。在系统启动时，先于正常系统启动。典型代表：“大麻”、Bloody、Brain等。文件型病毒：文件型病毒：广义的文件型病毒包括可执行文件病毒、源码病毒和宏病毒。文件型病

14、毒主要感染可执行文件，又可分为：寄生病毒、覆盖病毒和伴随病毒。混合型病毒：混合型病毒：集引导型和文件型病毒为一体的病毒，感染力强。宏病毒：宏病毒：使用宏语言编写的程序，依赖于微软office办公软件传播。计算机病毒的特点：传染性。传染性是病毒的基本特征，是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。潜伏性。有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。隐蔽性。计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来。破坏性。计算机中毒后，可能会导致正常的程序无法运行，把计

15、算机内的文件删除或受到不同程度的损坏。通常表现为：增、删、改、移。八、防病毒技术八、防病毒技术1、防病毒技术防病毒技术：通过一定的技术手段防止计算机病毒对系统的传染和破坏。2、主要技术：磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等 3、防范病毒的主要措施：备份：对软件和系统备份，方便恢复预防和检测：安装杀毒软件，检测、报告并杀死病毒隔离：确认并隔离携带病毒的部位。恢复：修复或清除被病毒感染的文件。4、常用的杀毒软件：、常用的杀毒软件：u瑞星：瑞星：是国产杀软的龙头老大，其监控能力是十分强大的，但同时占用系统资源较大。u金山毒霸：金山毒霸：金山毒霸是金山公司推出的电脑安全产品，监

16、控、杀毒全面、可靠，占用系统资源较少。集杀毒、监控、防木马、防漏洞为一体，是一款具有市场竞争力的杀毒软件。u卡巴斯基：卡巴斯基：是俄罗斯民用最多的杀毒软件。公司为个人用户、企业网络提供反病毒、防黒客和反垃圾邮件产品，被众多计算机专业媒体及反病毒专业评测机构誉为病毒防护的最佳产品。u360安全卫士：是一款由奇虎公司推出的完全免费的安全类上网辅助工具软件，拥有木马查杀、恶意软件清理、漏洞补丁修复、电脑全面体检、垃圾和痕迹清理、系统优化等多种功能。是一款值得普通用户使用的较好的安全防护软件。九、安全电子商务的法律要素：九、安全电子商务的法律要素：安全认证需要解决的法律问题：安全认证需要解决的法律问题

17、：信用立法、电子签名、电子交易、认证管理信用立法、电子签名、电子交易、认证管理1、有关认证中心的法律：有关认证中心的法律：2003年8月20日通过中华人民共和国认证认可条例，2003年11月1日起施行 2004年3月24日通过 中华人民共和国电子签名法，2005年4月1日起施行2009年2月4日 通过电子认证服务管理办法，2009年3月31日 起施行电子认证服务密码管理办法2009年12月1日起实施，有2005年3月31日发布的管理办法同时废止 2、有关保护个人隐私、秘密的法律：、有关保护个人隐私、秘密的法律：全国人大常委会关于维护互联网安全的决定全国人大常委会关于维护互联网安全的决定第四条：

18、为了保护个人、法人和其他组织的人身、财产等合法权利，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：（1）利用互联网侮辱他人或者捏造事实诽谤他人；(2)非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密；(3)利用互联网进行盗窃、诈骗、敲诈勒索 互联网电子公告服务管理规定互联网电子公告服务管理规定第十二条：电子公告服务提供者应当对上网用户的个人信息保密，未经上网用户同意不得向他人泄露，但法律另有规定的除外。第十九条：违反本规定第十二条的规定，未经上网用户同意，向他人非法泄露上网用户个人信息的，由省、自治区、直辖市电信管理机构责令改正；给上网用户造成损害或者

19、损失的，依法承担法律责任。计算机信息网络国际联网安全保护管理办法计算机信息网络国际联网安全保护管理办法第七条规定：用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用国际联网侵犯用户的通信自由和通信秘密。其它相关法律：宪法、行政复议法、行政处罚法、妇女权益保护法、未成年人保护法等法律都涉及了对隐私权的保护 3、有关电子合同的法律：有关电子合同的法律：1991年12月16日，联合国国际贸易法委员会 通过电子商务示范法 2007年6月29日通过中华人民共和国劳动合同法，自2008年1月1日起施行。4、有关电子商务的消费者权益保护的法律：、有关电子商务的消费者权益保护的法律：消费

20、者权益保护法 主要解决问题：交易安全、信息真实完整性（知情权）、广告误导、责任界定及责任承担、消费者退换货、实质公平、全面适当发行、管辖权等问题5、有关网络知识产权保护的法律：有关网络知识产权保护的法律：网络知识产权的侵权方式：网上侵犯著作权、商标权、专利权 2001年10月27日修订实施中华人民共和国著作权法2001年12月1日修订实施中华人民共和国商标法2008年12月27日修订中华人民共和国专利法，2009年10月1日起实施2009年12月册通过中华人民共和国侵权责任法，自2010年7月1日起实施2006年5月10日 通过信息网络传播权保护条例，自2006年7月1日 起实施 2002年1月1日 通过并实施计算机软件保护条例2006年l2月7日修订关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释，2006年12月8日实施 十、安全问题的未来研究方向及对策：十、安全问题的未来研究方向及对策：1、构造中国电子商务体系 2、加快电子商务法律法规建设 3、加快网络基础设施建设,推动企业信息化进程 4、营造电子商务的信息安全环境：增强国民的信息素质 提高电子商务信息的安全 确保信息系统的安全