1、电子商务安全技术实用教程目录第1章 电子商务安全概述第2章 网络攻击与交易欺诈第3章 网络安全技术第4章 加密与认证技术第5章 公钥基础设施与数字证书第6章 电子商务安全协议第7章 电子商务软件系统安全第8章 电子支付与网上银行第9章 电子商务安全管理第10章 移动电子商务安全第11章 电子商务安全实验指导第1章 电子商务安全概述1.1 电子商务概述1.2 电子商务安全问题1.3 电子商务安全对策1.4 电子商务安全体系1.5 跨境电子商务安全1.1电子商务概述1.1.1 电子商务的概念电子商务(Electronic Commerce)是指政府、企业和个人利用现代电子计算机与网络技术实现商业交
2、换和行政管理的全过程。它是一种基于互联网、以交易双方为主体、以银行电子支付结算为手段、以客户数据为依托的全新商务模式。电子商务的参与者包括企业、消费者和中介机构等。1.1.2 电子商务系统结构三个层次分别是:网络层信息发布与传输层电子商务服务与应用层两大支柱是指:社会人文性的公共政策和法律规范自然科技性的技术标准和网络协议。1.1.2 电子商务系统结构(1)网络层:网络层指网络基础设施,是实现电子商务的最底层的基础设施,它是信息的传输系统,也是实现电子商务的基本保证。(2)信息发布与传输层:网络层决定了电子商务信息传输使用的线路,而信息发布与传输层则解决如何在网络上传输信息和传输何种信息的问题
3、。(3)电子商务服务和应用层:电子商务服务层实现标准的网上商务活动服务,如网上广告、网上零售、商品目录服务、电子支付、客户服务、电子认证(CA认证)、商业信息安全传送等。其真正的核心是CA认证。(4)公共政策和法律规范:随着电子商务的产生,由此引发的问题和纠纷不断增加,原有的法律法规已经不能适应新的发展环境,制定新的法律法规并形成一个成熟、统一的法律体系,成为世界各国发展电子商务的必然趋势。(5)技术标准和网络协议:技术标准定义了用户接口、传输协议、信息发布标准等技术细节。1.1.3 我国电子商务的发展(1)工具阶段(19952003年)这个阶段,是互联网进入中国的探索期、启蒙期。中国电子商务
4、以企业间电子商务模式探索和发展为主。早期,应用电子商务的企业和个人主要把电子商务作为优化业务活动或商业流程的工具,如信息发布、信息搜寻和邮件沟通等,其应用仅局限于某个业务“点”。(2)渠道阶段(20032008年)这个阶段,电子商务应用由企业向个人延伸。2003年,非典的肆虐令许多行业在春天里感受到寒冬的冷意,但却让电子商务时来运转。电子商务界经历了一系列的重大事件,如2003年5月,阿里巴巴集团成立淘宝网,进军C2C市场。2003年12月,慧聪网香港创业板上市,成为国内B2B电子商务首家上市公司。2004年1月京东涉足电子商务领域。2007年11月,阿里巴巴网络有限公司成功在香港主板上市。1
5、.1.3 我国电子商务的发展(3)基础设施阶段(20082013年)电子商务引发的经济变革使信息这一核心生产要素日益广泛运用于经济活动,加快了信息在商业、工业和农业中的渗透速度,极大地改变了消费行为、企业形态和社会创造价值的方式,有效地降低了社会交易成本,促进了社会分工协作,引爆了社会创新,提高了社会资源的配置效率,深刻地影响着零售业、制造业和物流业等传统行业,成为信息经济重要的基础设施或新的商业基础设施。越来越多的企业和个人基于和通过以电子商务平台为核心的新商业基础设施降低交易成本、共享商业资源、创新商业服务,也极大地促进了电子商务的迅猛发展。(4)经济体阶段(2013年以后)2013年中国
6、超越美国,成为全球第一大网络零售市场。2013年,我国电子商务交易规模突破10万亿元大关,网络零售交易规模1.85万亿元,相当于社会消费品零售总额的7.8%。2014年2月,中国就业促进会发布网络创业就业统计和社保研究项目报告显示,全国网店直接就业总计962万人,间接就业超120万,成为创业就业新的增长点。1.1.3 我国电子商务的发展1.2 电子商务安全问题1.2.1 电子商务安全的概念1. 电子商务安全的定义电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息,因此,电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。(1)计算机网络安全:计算机网络设备安全、计算机网
7、络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全为目标。(2)商务交易安全:则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,保障以电子交易和电子支付为核心的电子商务的顺利进行。即实现电子商务保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等。2电子商务安全需求(1)有效性EC以电子信息取代纸张,如何保证电子形式贸易信息的有效性则是开展EC的前提。(2)机密性EC作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。(3)完整性由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信
8、息的差异。保持贸易各方信息的完整性是EC应用的基础。(4)可靠性可靠性是指防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失效或失误。保证存储在介质上的信息的正确性。 (5)不可否认性在无纸化的电子商务模式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。2.1.2 电子商务安全问题1网络系统安全问题(1)物理实体的安全问题主要包括计算机、网络、通讯设备等的机能失常、电源故障、由于电磁泄漏引起的信息失密、搭线窃听、自然灾害等带来的安全威胁(2)计算机软件系统的安全漏洞不论采用什么操作系统,在默认安装的条件
9、下都会存在一些安全问题,网络软件的漏洞和“后门”是进行网络攻击的首选目标。(3)TCP/IP协议的安全缺陷网络服务一般都是通过各种各样的协议完成的,因此网络协议的安全性是网络安全的一个重要方面。TCP/IP协议在安全方面可以说是“先天不足”。(4)黑客的恶意攻击以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广;而袭击者本身的风险却非常小。(5)计算机病毒的危害计算机病毒是网络安全威胁的主要因素之一,目前全球出现的数万种病毒按照基本类型划分,可归为引导型病毒、可执行文件病毒、宏病毒、混合病毒、特洛伊木马型病毒和Internet语言病
10、毒6种类型。(6)安全产品使用不当虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。2.1.2 电子商务安全问题2交易信息传输的安全问题(1)冒名偷窃:为了获取重要的商业秘密、资源和信息,竞争对手或者“黑客”常常采用源IP地址来进行欺骗攻击。(2)篡改数据:攻击者利用非法手段掌握了信息的格式和规律后,通过各种手段方法,将网络上传输的信息数据进行删除、修改、重发等,破坏数据的完整性和真实性。(3)信息丢失:在交易中存在的信息丢失,是因为线路问题、安全措施不当或因为在不同的操作平台上转换操作不当导致的。(4)信息破坏:由于计算机技术发展迅速,原有
11、的病毒防范技术、加密技术、防火墙技术等始终存在被新技术攻击的可能性。(5)信息伪造:在网上交易过程中,信息传输问题可能来源于用户以合法身份进入系统后,买卖双方都可能在网上发布虚假的供求信息。表1-1 典型的信息传输安全威胁威胁威胁描述描述窃听窃听网络中传输的敏感信息被窃听重传重传攻击者事先获得部分或全部信息,以后将此信息发动给接收者伪造伪造攻击者将伪造的信息发送给接收者篡改篡改攻击者对合法用户之间的通讯信息进行修改、删除、插入,再发送非授权访问非授权访问非法获取系统访问权,进入网络系统读取、删除、修改、插入信息等拒绝服务攻击拒绝服务攻击攻击者使系统响应减慢或瘫痪,阻止合法用户获得服务行为否认行
12、为否认通讯实体否认已经发生的行为旁路控制旁路控制攻击者发掘系统的缺陷或安全脆弱性电磁射频截获电磁射频截获攻击者从发出的无线射频或其他电磁辐射中提取信息人员疏忽人员疏忽授权的人为了利益或由于粗心将信息泄露给未授权的人2.1.2 电子商务安全问题3电子商务安全管理问题(1)交易流程管理问题:在网络交易中介介入交易的过程中,客户进入交易中心,交易中心不但要监督买方按时付款,也要监督卖方按时提供合同所要求的货物。(2)人员管理问题:在网上交易中,最薄弱的环节是人员管理。(3)交易技术管理问题:网上交易只经历了很短的时间,没有比较完善的控制机制,使得网上交易技术管理的漏洞众多,也因此带来很大的交易问题。
13、(4)安全法律法规问题开展电子商务需要在企业和企业之间、政府和企业之间、企业和消费者之间、政府和政府之间明确各自需要遵守的法律义务和责任。2.1.2 电子商务安全问题4.电子商务的信用安全问题(1)来自买方的信用问题:对于消费者来说,可能在网络上利用信用卡进行支付时的恶意透支,或者使用伪造的信用卡来骗取买方的货物。(2)来自卖方的信用问题:卖方不能按质、按量、按时寄送消费者购买的货物,或者不能完全根据合同来履行合同内容,造成对买方权益的损害。(3)买卖双方都存在的抵赖问题:电子商务交易是直接通过网络进行的,导致信用得不到保证,买方存在不付款,卖方存在不发货的抵赖行为。2.1.2 电子商务安全问
14、题5.电子商务安全支付问题(1)在通信线路上进行窃听,并滥用收集的数据(如信用卡号等)。(2)向经过授权的支付系统参与方发送伪造的消息,以破坏系统的正常运作来盗用交换的财产(如商品、现金等)。(3)不诚实的支付系统参与方试图获取并滥用无权读取或使用的支付交易数据。1.3 电子商务安全对策1.3.1 电子商务安全技术1网络安全技术(1)防火墙技术防火墙是保护企业保密数据和保护网络设施免遭破坏的主要手段之一,可用于防止未授权的用户访问企业内部网,也可用于防止企业内部的保密数据未经授权而发出。(2)虚拟专用网VPN虚拟专用网VPN(Virtual Private Networks)是企业内部网在In
15、ternet上的延伸,通过一个专用的通道来创建一个安全的专用连接,从而可将远程用户、企业分支机构、公司的业务合作伙伴等与公司的内部网连接起来,构成一个扩展的企业内部网。(3)入侵检测技术防火墙只能对黑客的攻击实施被动防御,一旦黑客攻入系统内部,则没有切实的防护策略,而入侵检测系统则是针对这种情况而提出的又一道防线。(4)蜜罐技术蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。(5)防病毒技术计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。1.3.1 电子商务安全技术2信息与交易安全技术(1)信息加密技术信息加密技术
16、作为主动的信息安全防范措施,确保数据的保密性。(2)数字证书和认证技术数字证书和认证技术是网络通信中标志通信各方身份信息的一系列数据。(3)安全通信技术SSL(安全套接层协议)提供了两台计算机之间的安全连接。(4)安全电子交易技术SET(安全电子交易)是通过开放网络进行安全资金支付的技术标准。 1.3.1 电子商务安全技术3、安全管理技术 “三分技术、七分管理”电子商务的迅猛发展,冲击了国际贸易和市场营销的传统观念、管理体制和运行模式,也对信息、贸易、管理等教育提出了新的课题。 先前颁布的电子商务法律规范包括:合同法、电子签名法 、计算机信息系统安全保护条例、中国互联网络域名注册实施细则、互联
17、网电子公告服务管理规定、中国互联网络域名管理办法、非经营性互联网信息服务备案管理办法、互联网IP地址亩案管理办法、电子认证服务管理办法、公用电信间接通及质量监督管理办法、计算机信息网络国际联网管理暂行规定、中国公众多媒体通信管理办法、互联网信息服务管理办法、地震信息网络运行管理办法等。1.3.2 电子商务安全体系1.3.2 电子商务安全体系1网络基础设施层互联网是电子商务系统的基础,网络本身的安全是电子商务安全的基本保证。电子商务系统是依赖网络实现的商务系统,需要利用Internet 基础设施和标准。2加密技术层加密技术是电子商务采取的主要安全措施,其目的在于提高信息系统及数据的安全性和保密性
18、,防止秘密数据被外部破析。加密技术通常分为对称加密和非对称加密两类。3安全认证层安全认证层中的认证技术是保证电子商务安全的必要手段,它对加密技术层中提供的多种加密算法进行综合运用,进一步满足电子商务对完整性、抗否认性、可靠性的要求。4交易协议层除了各种安全控制技术之外,电子商务的运行还需要一套完善的安全交易协议。不同交易协议的复杂性、开销、安全性各不相同。同时,不同的应用环境对协议目标的要求也不尽相同。5电子商务安全管理安全管理除了电商企业内部管理外,还涉及政府和社会监管。目前,国际上信息安全方面的协调机构主要有计算机应急响应小组,信息安全问题小组论坛。6电子商务法律法规我国互联网起步较晚,而
19、电商发展较快,相应的法律法规还跟不上电商发展的步伐,支撑环境和保障体系相对缺乏。1.4 跨境电子商务安全1.4.1 跨境电子商务的发展跨境电子商务是指分属不同关境的交易主体,通过电子商务平台实现交易,进行支付结算,并通过跨境物流送达商品、完成交易的一种国际活动。在20世纪90年代末,国内的电子商务有了一些比较大的发展,像阿里巴巴、卓越网等一些B2B平台先后建立起来。2006年以后,许多拥有专业知识和技术的公司和知识分子,开始探索B2C模式和C2C模式,他们其中的一部分人利用国内外风险投资商融资,利用这些资金和独特的经营理念迅速把自己的跨境电子商务平台顺利做大做强。此后,跨境电子商务交易额也迅猛
20、增长。据不完全统计,2012年,我国跨境电子商务交易总额为2.08万亿元,2013年是跨境电子商务发展的真正元年,2014年跨境电子商务则迎来了规模化拐点。我国现在已经有超过5000家的电子商务平台企业。跨境电子商务已经得到了政府相关部门的高度重视。物流企业的标准化信息流通,随着行业的发展和监管体系、法律法规的不断完善,将会建立一套适应跨境电子商务的新型海关监管模式以及跨境电子商务的信用体系。1.4.2 跨境电商的安全问题1执法安全:跨境电子商务作为一种越来越热门的贸易方式,但在当前我国的监管体系中,海关对其监管显得被动、盲目及高风险。.交易安全跨境电子商务虽然带来了不少便利,但由于它是个正在
21、不断发展的新市场,制度上并不完全规范,会出现许多交易方面的问题。.税收安全跨境电子商务在邮递物品中往往会呈现个体小、总量大、种类分散的特点,对海关来说征税也成为一种难题。.舆论安全海关监管政策涉及民众切身利益,所以每次海关新的政策出台都会在社会上引起一定的舆论反响,同时缺失政策宣传对展开海关相关工作带来极大困难。.监管安全监管力量薄弱、配套措施缺乏是目前海关跨境电子商务的监管现状。本章小结近年来,网络技术和电子商务迅猛发展,人们在网络上进行从日常生活用品、书籍、到计算机、房产交易以及股票炒作、资金运作、旅游等活动剧增。网络安全问题成为人们一直关注的话题。电子商务安全不仅仅是一个技术问题,更是一个不容忽视、涉及范围极广的社会问题,这些问题将长期存在,并时刻干扰电子商务的正常健康运行,保障电子商务安全必须从技术、管理、法律法规、社会信用等多个角度努力,需要消费者、商家、政府及全社会的参与,共同营造电子商务的安全环境,为开创电子商务的未来献计献策。