电子商务概论-第五章-电子商务安全机制课件.pptx

1、 电子商务概论电子商务概论电子商务安全机制电子商务安全机制关系重大关系重大 近几年频频曝出用户信息泄露事件，这也使很多电商用户享受互联网时代近几年频频曝出用户信息泄露事件，这也使很多电商用户享受互联网时代的便利中心存隐忧。的便利中心存隐忧。2016年年4月月21日韩国金融监督院证实，多家商业银行及其关联信用卡公司日韩国金融监督院证实，多家商业银行及其关联信用卡公司19日被曝用户信息遭大规模泄露后，迄今已有超过日被曝用户信息遭大规模泄露后，迄今已有超过115万用户办理银行卡的停万用户办理银行卡的停用、注销业务。韩国国务总理郑烘原用、注销业务。韩国国务总理郑烘原21日召集政府相关部门召开紧急会议，

2、决日召集政府相关部门召开紧急会议，决定制定防止银行卡信息泄露的对策。定制定防止银行卡信息泄露的对策。根据金融监督院的调查，韩国国民银行和农协银行等多家大型商业银行的根据金融监督院的调查，韩国国民银行和农协银行等多家大型商业银行的大量用户信息遭泄露，内容涉及手机号码、个人地址、信用卡账号乃至部分银大量用户信息遭泄露，内容涉及手机号码、个人地址、信用卡账号乃至部分银行交易记录等。在人口约行交易记录等。在人口约5000万的韩国，遭泄露信息的用户数量大约万的韩国，遭泄露信息的用户数量大约2000万，万，不免引起有关金融欺诈等不法行为大量发生的担忧。不免引起有关金融欺诈等不法行为大量发生的担忧。4月月2

3、0日和日和21日两天，数日两天，数以万计民众涌向事发银行、信用卡公司或客服中心，要求注销信息可能遭泄露以万计民众涌向事发银行、信用卡公司或客服中心，要求注销信息可能遭泄露的银行卡。为应对大量人潮，事发银行和信用卡公司增派数以千计员工到各网的银行卡。为应对大量人潮，事发银行和信用卡公司增派数以千计员工到各网点和客服中心，处理用户投诉、办理销户手续。点和客服中心，处理用户投诉、办理销户手续。（资料来源：中国青年网）（资料来源：中国青年网）第五章第五章 电子商务安全机制电子商务安全机制第第5章章 电子商务安全机制电子商务安全机制知识目标知识目标 能力目标能力目标 了解：网络安全的概念、类型、目标和目

4、前存在的 问题理解：电子商务系统安全的构建 掌握：加密技术、认证技术、防火墙技术以及SSL协议和SET协议第一节第一节 网络安全网络安全 一、网络安全的概念一、网络安全的概念 二、网络攻击的类型二、网络攻击的类型 （一）计算机病毒和黑客的定义和特点 （二）网络攻击的具体形式 三、网络安全的目标三、网络安全的目标 （一）网络隐患的原因 （二）网络安全的主要目标 四、网络安全存在的问题四、网络安全存在的问题 第一节第一节 网络安全网络安全 一、网络安全的概念一、网络安全的概念随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。有很多是敏随着计算机技术的飞速发展，信息网络已经成为社会发展的

5、重要保证。有很多是敏感信息，甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击（例如信感信息，甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击（例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等）。同时，网络实体还要息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等）。同时，网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。经受诸如水灾、火灾、地震、电磁辐射等方面的考验。Internet是一种开放和标准的面向所有用户的技术，其资源通过网是一种开放和标准的面向所有用户的技术，其资源通过网络共享。资源共享和信息安全是一对矛盾，随着络共享。资源共享和信息安全是一对矛盾，

6、随着 Internet 的飞速的飞速发展，计算机网络的资源共享程度进一步加强，随之而来的信息安发展，计算机网络的资源共享程度进一步加强，随之而来的信息安全问题便日益突出，网上的犯罪活动、网上的侵权纠纷加速增长。全问题便日益突出，网上的犯罪活动、网上的侵权纠纷加速增长。第一节第一节 网络安全网络安全(1)据悉，据悉，2012年美联储服务系统就曾遭到英国黑客年美联储服务系统就曾遭到英国黑客Lauri Love的攻击，英国执法部门最终在的攻击，英国执法部门最终在2013年年10月逮捕了月逮捕了这名黑客。而在这名黑客。而在2015年年5月，美联储圣路易斯分行也曾被黑客入侵，月，美联储圣路易斯分行也曾被

7、黑客入侵，银行银行IT部门不得不要求所有客户重设密码。部门不得不要求所有客户重设密码。2016年年2月月5日，一伙黑客成功从孟加拉国央行日，一伙黑客成功从孟加拉国央行(2)据美国金融时报报道，目前全球平均每据美国金融时报报道，目前全球平均每20秒就发生一次秒就发生一次Internet计算机入侵事件。在计算机入侵事件。在Internet上的网络防上的网络防火墙，超过火墙，超过1/3被突破，一些银行、企业、机构都未能幸免。有调查报告指出，近被突破，一些银行、企业、机构都未能幸免。有调查报告指出，近78%的信息主管、信息安全官的信息主管、信息安全官员及其他高级技术管理人员报告他们的企业已经因泄密受损

8、失，其中超过员及其他高级技术管理人员报告他们的企业已经因泄密受损失，其中超过 25%的企业损失高于的企业损失高于 25 万美元。万美元。(3)有数据统计，在个人信息保护方面，网民被泄露的个人信息涵盖范围非常广泛，其中有数据统计，在个人信息保护方面，网民被泄露的个人信息涵盖范围非常广泛，其中78.2%的网民个人身份信的网民个人身份信息被泄露过，包括网民的姓名、学历、家庭住址、身份证号及工作单位等。在个人信息泄露带来的不良影响上，息被泄露过，包括网民的姓名、学历、家庭住址、身份证号及工作单位等。在个人信息泄露带来的不良影响上，82.3%的网民亲身感受到了个人信息泄露给日常生活造成的影响。据前瞻产业

9、研究院的网民亲身感受到了个人信息泄露给日常生活造成的影响。据前瞻产业研究院2016-2021年中国信息安年中国信息安全行业发展前景与投资战略规划分析报告显示，仅全行业发展前景与投资战略规划分析报告显示，仅2015年，网民因个人信息泄露、垃圾信息、诈骗信息等现象年，网民因个人信息泄露、垃圾信息、诈骗信息等现象导致总体损失约导致总体损失约805亿元，人均约亿元，人均约124元。元。Internet是跨时空的，安全问题也是跨时空的，尽管我国的网络不购发达，但我们遭到的安全威胁也是客观存在是跨时空的，安全问题也是跨时空的，尽管我国的网络不购发达，但我们遭到的安全威胁也是客观存在的。我国的网络也曾被人入

10、侵，多次发生过私设帐号和网络瘫痪的事故。攻击的。我国的网络也曾被人入侵，多次发生过私设帐号和网络瘫痪的事故。攻击Internet的手段是多种多样的，攻的手段是多种多样的，攻击方法已超过计算机病毒种类，总数达数千种，而且很多都是致命的。围绕着信息与信息技术，建立在深刻的科击方法已超过计算机病毒种类，总数达数千种，而且很多都是致命的。围绕着信息与信息技术，建立在深刻的科学理论和高新技术基础上，国家与国家之间、集团与集团之间、甚至个人与个人之间均展开着尖锐激烈的斗争。学理论和高新技术基础上，国家与国家之间、集团与集团之间、甚至个人与个人之间均展开着尖锐激烈的斗争。网络安全是指网络系统的硬件、软件及其

11、系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全的实质是网络系统的程序、数据的安全性，它改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全的实质是网络系统的程序、数据的安全性，它通过网络信息的存储、传输和使用过程体现。所谓的网络安全性就是保护网络程序、数据或者设备，使其免受非通过网络信息的存储、传输和使用过程体现。所谓的网络安全性就是保护网络程序、数据或者设备，使其免受非授权使用或访问，它的保护内容包括：保护信息和资源

12、、保护客户和用户及保证私有性。网络安全包括物理安全授权使用或访问，它的保护内容包括：保护信息和资源、保护客户和用户及保证私有性。网络安全包括物理安全和逻辑安全。对物理安全，需要加强计算机机房管理，对逻辑安全则需要用口令字、文件许可和查帐等方法来实和逻辑安全。对物理安全，需要加强计算机机房管理，对逻辑安全则需要用口令字、文件许可和查帐等方法来实现。现。第一节第一节 网络安全网络安全 二、网络攻击的类型二、网络攻击的类型计算机计算机病毒病毒黑客攻黑客攻击击网络攻网络攻击类型击类型第一节第一节 网络安全网络安全（1 1）定义）定义（2 2）特点）特点 计算机病毒是目前网络中对计算机数据及系统最大的威

13、胁之一。计算机病毒是计算机病毒是目前网络中对计算机数据及系统最大的威胁之一。计算机病毒是指寄居于文件中，能进行自我复制，并传染其他文件的的程序指令。这些病毒攻击电指寄居于文件中，能进行自我复制，并传染其他文件的的程序指令。这些病毒攻击电脑文档，毁坏计算机数据，占用计算机空间，传播违法信息，甚至干扰电脑的运行。脑文档，毁坏计算机数据，占用计算机空间，传播违法信息，甚至干扰电脑的运行。（1）寄生性与隐蔽性）寄生性与隐蔽性计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，除了能够计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程

14、序之前，除了能够进行传染之外，基本上不会有任何毁坏行为。计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，进行传染之外，基本上不会有任何毁坏行为。计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。（2）传染性）传染性计算机病毒有害性核心之一是其具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。传染性是计算机病毒有害性核心之一是其具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。传染性是病毒的基本特征。只要一台计算

15、机染毒，如不及时处理，那么病毒会在这台机子上迅速扩散，计算机病毒可通过病毒的基本特征。只要一台计算机染毒，如不及时处理，那么病毒会在这台机子上迅速扩散，计算机病毒可通过各种可能的渠道，如软盘、计算机网络去传染其他的计算机。网络的发展也为病毒的传染创造了极好的条件，很各种可能的渠道，如软盘、计算机网络去传染其他的计算机。网络的发展也为病毒的传染创造了极好的条件，很多病毒寄居在网页中，并通过更名来吸引他人进行复制、下载。多病毒寄居在网页中，并通过更名来吸引他人进行复制、下载。（3）潜伏性）潜伏性病毒本身是程序代码，很多病毒本身设置了一定的条件，当条件成熟时就开始进行破坏，条件不成熟时，病毒只病毒本

16、身是程序代码，很多病毒本身设置了一定的条件，当条件成熟时就开始进行破坏，条件不成熟时，病毒只是潜伏在文档或网页中。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就是潜伏在文档或网页中。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。爆炸开来，对系统进行破坏。第一节第一节 网络安全网络安全 2 2、黑客的定义及特点、黑客的定义及特点（1 1）定义）定义(2)(2)特点特点 黑客一词本来指拥有高水平的电脑编成专家，在今天，黑客一词已被用于泛指那些专门利用电脑网络不经授黑客一词本来指拥有高水平的电脑编成专家，在今天，黑

17、客一词已被用于泛指那些专门利用电脑网络不经授权获取数据、盗取信息、传播病毒、或者毁坏他人计算机的人员。有许多黑客工具权获取数据、盗取信息、传播病毒、或者毁坏他人计算机的人员。有许多黑客工具(如：如：BACK orifice，net bus)可以远程控制、检查、监控目标用户的所有信息。它们能够使用目标设备（可以远程控制、检查、监控目标用户的所有信息。它们能够使用目标设备（PC）像合法用户一样向网络发送信）像合法用户一样向网络发送信息，因而有很大的欺骗性，往往能够得逞而不被发现。有一些商业性的工具（如：息，因而有很大的欺骗性，往往能够得逞而不被发现。有一些商业性的工具（如：cucme，vncvie

18、wer）也具有）也具有这种功能。黑客可以从一些网站上免费下载这些木马程序，当然它也有好的一面，系统管理员使用这些工具远程这种功能。黑客可以从一些网站上免费下载这些木马程序，当然它也有好的一面，系统管理员使用这些工具远程控制众多的工作站，因而也成为系统管理员管理众多工作站的有力工具。它的不利的一方面是一些人把它用于邪控制众多的工作站，因而也成为系统管理员管理众多工作站的有力工具。它的不利的一方面是一些人把它用于邪恶的目的，如：欺骗，修改数据，窃听等。恶的目的，如：欺骗，修改数据，窃听等。（1）黑客行为需要高难度的编程技术）黑客行为需要高难度的编程技术 因此，黑客群体中有很多高学历、高智商的科技人

19、员。他们有的利用黑客身份从事正当的因此，黑客群体中有很多高学历、高智商的科技人员。他们有的利用黑客身份从事正当的工作，有的则进行数据窃取、系统破坏等违法行为，出现了正派黑客与非邪派黑客之分。正派工作，有的则进行数据窃取、系统破坏等违法行为，出现了正派黑客与非邪派黑客之分。正派黑客利用程序漏洞，进行网络修复，邪派黑客则利用程序漏洞开展破坏活动。黑客利用程序漏洞，进行网络修复，邪派黑客则利用程序漏洞开展破坏活动。（2）黑客信息一般伪装能力强）黑客信息一般伪装能力强 黑客人员的对网络的熟知程度为其伪装提供了经验。由于黑客的一举一动都会被服务器记黑客人员的对网络的熟知程度为其伪装提供了经验。由于黑客的

20、一举一动都会被服务器记录下来，所以黑客必须伪装自己使对方和网络监管者无法辨别其真实身份，这需要有熟练的技录下来，所以黑客必须伪装自己使对方和网络监管者无法辨别其真实身份，这需要有熟练的技巧，用来伪装自己的地址、使用跳板逃避跟踪、清理记录扰乱对方线索、巧妙躲开防火墙等。巧，用来伪装自己的地址、使用跳板逃避跟踪、清理记录扰乱对方线索、巧妙躲开防火墙等。第一节第一节 网络安全网络安全（二）网络攻击的具体形式（二）网络攻击的具体形式 电脑病毒电脑病毒(Virus)的散布的散布阻绝服务阻绝服务后门或特洛伊木马程序后门或特洛伊木马程序窃听窃听(Sniffer)伪装伪装(Masquerade)数据篡改数据篡

21、改网络攻击网络攻击具体形式具体形式网络攻击网络攻击具体形式具体形式否认否认(Repudiation)网络钓鱼网络钓鱼(Phishing)双面恶魔双面恶魔(Evil Twins)网址转嫁链接网址转嫁链接点击诈欺点击诈欺(Click Fraud)Rootkits第一节第一节 网络安全网络安全当当你坐在电脑前面，安装一个输入法，也许，你就打开了一道你坐在电脑前面，安装一个输入法，也许，你就打开了一道“恶魔之门恶魔之门”当你坐在电脑前面，安装一个输入当你坐在电脑前面，安装一个输入法，也许，你就打开了一道法，也许，你就打开了一道“恶魔之门恶魔之门”。网络威胁沿着你的电脑，潜入到企业的网络，资金被盗、。网

22、络威胁沿着你的电脑，潜入到企业的网络，资金被盗、DOWN机、机、泄密等等纷纷随之而来。这不是危言耸听，也不是科幻故事，互联网时代，这样的案例随时可能发生。随着信泄密等等纷纷随之而来。这不是危言耸听，也不是科幻故事，互联网时代，这样的案例随时可能发生。随着信息技术与日常生活深度融合，网络安全问题也变得日益严峻。这是网络信息安全问题变得异常严峻的事实，由息技术与日常生活深度融合，网络安全问题也变得日益严峻。这是网络信息安全问题变得异常严峻的事实，由于自身开放性大等原因，于自身开放性大等原因，PC端和移动端已成为攻防双方争夺的新焦点。网络威胁沿着你的电脑，潜入到企业端和移动端已成为攻防双方争夺的新焦

23、点。网络威胁沿着你的电脑，潜入到企业的网络，资金被盗、的网络，资金被盗、DOWN机、泄密等等纷纷随之而来。这不是危言耸听，也不是科幻故事，互联网时代，这机、泄密等等纷纷随之而来。这不是危言耸听，也不是科幻故事，互联网时代，这样的案例随时可能发生。随着信息技术与日常生活深度融合，网络安全问题也变得日益严峻。这是网络信息安样的案例随时可能发生。随着信息技术与日常生活深度融合，网络安全问题也变得日益严峻。这是网络信息安全问题变得异常严峻的事实，由于自身开放性大等原因，全问题变得异常严峻的事实，由于自身开放性大等原因，PC端和移动端已成为攻防双方争夺的新焦点。端和移动端已成为攻防双方争夺的新焦点。1、

24、Internet是一个开放的、无控制机构的网络，黑客是一个开放的、无控制机构的网络，黑客(Hacker)经常会侵入网络中的计算机系统，或窃取机密数经常会侵入网络中的计算机系统，或窃取机密数据和盗用特权，或破坏重要数据，或使系统功能得不到充分发挥直至瘫痪。据和盗用特权，或破坏重要数据，或使系统功能得不到充分发挥直至瘫痪。2、Internet的数据传输是基于的数据传输是基于TCP/IP通信协议进行的，这些协议缺乏使传输过程中的信息不被窃取的安全措施。通信协议进行的，这些协议缺乏使传输过程中的信息不被窃取的安全措施。3、Internet上的通信业务多数使用上的通信业务多数使用Unix操作系统来支持，

25、操作系统来支持，Unix操作系统中明显存在的安全脆弱性问题会直接影操作系统中明显存在的安全脆弱性问题会直接影响安全服务。响安全服务。4、在计算机上存储、传输和处理的电子信息，还没有像传统的邮件通信那样进行信封保护和签字盖章。信息的、在计算机上存储、传输和处理的电子信息，还没有像传统的邮件通信那样进行信封保护和签字盖章。信息的来源和去向是否真实，内容是否被改动，以及是否泄露等，在应用层支持的服务协议中是凭着君子协定来维系来源和去向是否真实，内容是否被改动，以及是否泄露等，在应用层支持的服务协议中是凭着君子协定来维系的。的。5、电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信

26、息会存在着很大的危险。、电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在着很大的危险。6、计算机病毒通过、计算机病毒通过Internet的传播给上网用户带来极大的危害，病毒可以使计算机和计算机网络系统瘫痪、数的传播给上网用户带来极大的危害，病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在网络上传播病毒可以通过公共匿名据和文件丢失。在网络上传播病毒可以通过公共匿名FTP文件传送、也可以通过邮件和邮件的附加文件传播。文件传送、也可以通过邮件和邮件的附加文件传播。第一节第一节 网络的安全网络的安全（二）网络安全的主要目标（二）网络安全的主要目标 信息的存储安全就

27、是指信息在静态存放状态下的安全，如是否会信息的存储安全就是指信息在静态存放状态下的安全，如是否会被非授权调信息的存储安全就是指信息在静态存放状态下的安全，被非授权调信息的存储安全就是指信息在静态存放状态下的安全，如是否会被非授权调用等，一般通过设置访问权限、身份识别、如是否会被非授权调用等，一般通过设置访问权限、身份识别、局部隔离等措施来保证。针对局部隔离等措施来保证。针对“外部外部”的访问、调用而言的访问的访问、调用而言的访问控制技术是解决信息存储安全的主要途径用等，一般通过设置访控制技术是解决信息存储安全的主要途径用等，一般通过设置访问权限、身份识别、局部隔离等措施来保证。针对问权限、身份

28、识别、局部隔离等措施来保证。针对“外部外部”的访的访问、调用而言的访问控制技术是解决信息存储安全的主要途径问、调用而言的访问控制技术是解决信息存储安全的主要途径信息的传输安全主要指信息在动态传输过程中的安全。在网络系信息的传输安全主要指信息在动态传输过程中的安全。在网络系统中，无论是任何调用命令的指令，还是任何信息反馈均是通过统中，无论是任何调用命令的指令，还是任何信息反馈均是通过网络传输实现的，所以网络信息传输上的安全就显得特别重要。网络传输实现的，所以网络信息传输上的安全就显得特别重要。为确保信息的传输安全，尤其需要防止如下问题：对网络上的信为确保信息的传输安全，尤其需要防止如下问题：对网

29、络上的信息的监听、对用户身份的仿冒、对网络上的信息的篡改、对发出息的监听、对用户身份的仿冒、对网络上的信息的篡改、对发出的信息予以否认、对信息进行重发。的信息予以否认、对信息进行重发。第一节第一节 网络的安全网络的安全 四、网络安全存在的问题四、网络安全存在的问题（一）法律法规的制定与网络技术（一）法律法规的制定与网络技术的迅猛发展步调不一致的迅猛发展步调不一致（二）我国的信息安全技术和产品（二）我国的信息安全技术和产品与世界不同步与世界不同步（三）安全建设考虑不全面（三）安全建设考虑不全面（四）安全管理外紧内松（四）安全管理外紧内松（五）高层的网络安全人才短缺（五）高层的网络安全人才短缺（六

30、）人们思想麻痹，网络安全意（六）人们思想麻痹，网络安全意识淡薄识淡薄 面对网络发展中出现的信息窃取和盗用、信息攻击和破坏、信息污染面对网络发展中出现的信息窃取和盗用、信息攻击和破坏、信息污染和滥用、软件盗版的猖獗、色情信息的泛滥和滥用、软件盗版的猖獗、色情信息的泛滥人们呼吁加强网络立人们呼吁加强网络立法，网络的发展需要法律的支持和保障。世界各国纷纷制定相关的法法，网络的发展需要法律的支持和保障。世界各国纷纷制定相关的法律法规。律法规。我国的信息安全技术和产品约有我国的信息安全技术和产品约有 66%是进口的，防火墙几乎都是国外是进口的，防火墙几乎都是国外的产品，且许多都是早己淘汰的过时货，这给我

31、国的网络安全留下了的产品，且许多都是早己淘汰的过时货，这给我国的网络安全留下了严重隐患。严重隐患。国内建网、联网的速度很快，但网络安全技术和产品的应用却很慢。目前，对国内建网、联网的速度很快，但网络安全技术和产品的应用却很慢。目前，对于我国大多数中小型企业来讲，防火墙是唯一的防止外部非法入侵的手段，但于我国大多数中小型企业来讲，防火墙是唯一的防止外部非法入侵的手段，但它只是一种整体安全防范策略的一部分。他们忽略了所在操作系统、网络系统、它只是一种整体安全防范策略的一部分。他们忽略了所在操作系统、网络系统、应用系统等软件的安全缺陷，忽略了合理地建立、设置、维护防火墙，忽略了应用系统等软件的安全缺

32、陷，忽略了合理地建立、设置、维护防火墙，忽略了周密地制订应强制执行的安全政策，忽略了全面地考虑、实施安全策略。周密地制订应强制执行的安全政策，忽略了全面地考虑、实施安全策略。在安全管理方面存在的问题主要有在安全管理方面存在的问题主要有:（1）轻视安全管理）轻视安全管理（2）缺乏安全审计）缺乏安全审计(3)内部人员引起的不安全内部人员引起的不安全我国专门从事计算机安全问题研究的部门、单位和高校很少，这造成了我国我国专门从事计算机安全问题研究的部门、单位和高校很少，这造成了我国信息安全方面的技术人才十分缺乏，计算机人员以及计算机管理人员缺少必信息安全方面的技术人才十分缺乏，计算机人员以及计算机管理

33、人员缺少必备的安全知识。在落实网络安全基本措施中有一条：一旦发现安全漏洞，就备的安全知识。在落实网络安全基本措施中有一条：一旦发现安全漏洞，就应在防火墙中安装最新的安全修补程序，这是极为关键的。但由于人才缺乏应在防火墙中安装最新的安全修补程序，这是极为关键的。但由于人才缺乏导致大多数管理人员甚至还不知道什么是安全修补程序导致大多数管理人员甚至还不知道什么是安全修补程序。黑客的攻击之所以能经常得逞，有一个主要原因就是人们思想麻痹，没有正视黑客的攻击之所以能经常得逞，有一个主要原因就是人们思想麻痹，没有正视黑客入侵所造成的严重后果，人们经常在有意无意之中就泄露了信息。当人们黑客入侵所造成的严重后果

34、，人们经常在有意无意之中就泄露了信息。当人们访问访问 Web 站点时，会无意留下访问的痕迹。当人们在网上购物时，不经意地站点时，会无意留下访问的痕迹。当人们在网上购物时，不经意地泄露了许多私人信息。这些不经意的行为和思想为黑客进行数据收集或数据挖泄露了许多私人信息。这些不经意的行为和思想为黑客进行数据收集或数据挖掘大开方便之门掘大开方便之门。第二节第二节 电子商务网络安全电子商务网络安全 一、电子商务安全要求的背景一、电子商务安全要求的背景 二、电子商务安全问题二、电子商务安全问题（一）电子商务面临的安全威胁（二）电子商务的安全要求 三、电子商务系统安全的构建三、电子商务系统安全的构建 四、国

35、内外电子商务安全研究现状四、国内外电子商务安全研究现状（一）国际电子商务安全研究现状（二）我国电子商务安全研究现状 第二节第二节 电子商务网络安全电子商务网络安全 一、电子商务安全要求的背景一、电子商务安全要求的背景根据中国互联网络信息中心截至根据中国互联网络信息中心截至2014年年6月的统计，我国通过网络进行购物的用户数量达到月的统计，我国通过网络进行购物的用户数量达到3.32亿，与亿，与2013年年12月相比，比例从月相比，比例从48.9%提升至提升至52.5%。同时，随着移动电子商务的发展，手机购物的规模达到了。同时，随着移动电子商务的发展，手机购物的规模达到了2.05 亿，大大超过亿，

36、大大超过了传统电子商务的增长速度。购物比例达到了了传统电子商务的增长速度。购物比例达到了38.9%。与此同时，网络支付用户遭遇支付不安全事件比例为。与此同时，网络支付用户遭遇支付不安全事件比例为3.2%，网，网络犯罪率也较往年有较大提升。络犯罪率也较往年有较大提升。作为电子商务的先驱，作为电子商务的先驱，eBay和和 A早在早在10年前就开展电子商务业务，将互联网变成了一个永久的商年前就开展电子商务业务，将互联网变成了一个永久的商务世界。但是，即使是更多的消费者加入到这当中来，还是有很多人担心泄漏个人隐私和个人资料，而成为受害者。务世界。但是，即使是更多的消费者加入到这当中来，还是有很多人担心

37、泄漏个人隐私和个人资料，而成为受害者。美国调查机构美国调查机构Pew Internet和和American Life Project 公布的一份调查显示，公布的一份调查显示，91%的人已经开始改变网上购物的方式，的人已经开始改变网上购物的方式，尽量避免这些问题。调查同时还发现，尽量避免这些问题。调查同时还发现，81%的人表示已经不再打开电子邮件，除非他们确定这些文件资料是安全的；的人表示已经不再打开电子邮件，除非他们确定这些文件资料是安全的；48%的人已经不再访问网站，因为他们害怕在电脑上留下有害的程序；的人已经不再访问网站，因为他们害怕在电脑上留下有害的程序；25%的人已经停止从对等网络下载

38、音乐和视频的人已经停止从对等网络下载音乐和视频文件，以避免间谍软件。文件，以避免间谍软件。由美国经济咨商局由美国经济咨商局(The Conference Board)公布的另外一份调查显示，网上一半以上的消费者表示他们在过去公布的另外一份调查显示，网上一半以上的消费者表示他们在过去的几年中，忧虑加剧，很多已经改变了上网方式，并减少了网上购物。该调查同时显示，近的几年中，忧虑加剧，很多已经改变了上网方式，并减少了网上购物。该调查同时显示，近 70%的用户已经在电脑上的用户已经在电脑上安装安全软件；安装安全软件；54%选择特价优惠；选择特价优惠；41%的人网上购物已经变少了。的人网上购物已经变少了

39、。Gartner 调查公司，在对调查公司，在对5000名美国成年人的调名美国成年人的调查显示，人们对查显示，人们对“网络钓鱼网络钓鱼”(Phishing，Fishing&Phone)更加担心，含虚假信息的电子邮件会伪装成银行或者信更加担心，含虚假信息的电子邮件会伪装成银行或者信用卡公司的合法请求，以盗取用户资料。用卡公司的合法请求，以盗取用户资料。随着计算机网络技术的发展，电子设备与人们生活和工作联系得越来越紧密，传统的商品交易也从线下交易形随着计算机网络技术的发展，电子设备与人们生活和工作联系得越来越紧密，传统的商品交易也从线下交易形成了如今广泛使用且规模越来越大的电子商务市场。通过政府的大

40、力支持成了如今广泛使用且规模越来越大的电子商务市场。通过政府的大力支持,电子商务也成为一项重要发展产业，如今，电子商务也成为一项重要发展产业，如今，电子商务通过信息技术手段经历了从简单的电子数据交换到现在电子商务安全交易准则，然而，电子商务并不是绝对电子商务通过信息技术手段经历了从简单的电子数据交换到现在电子商务安全交易准则，然而，电子商务并不是绝对安全，它正面临着严峻的信息安全挑战。在信息爆炸的今天，人们对数据的态度也发生了质的飞跃。数据几乎成为一安全，它正面临着严峻的信息安全挑战。在信息爆炸的今天，人们对数据的态度也发生了质的飞跃。数据几乎成为一种商业资本，成为重要经济投资的选择对象，这一

41、切都源于科技的进步、存储成本的降低、数据通讯方式的改变。电种商业资本，成为重要经济投资的选择对象，这一切都源于科技的进步、存储成本的降低、数据通讯方式的改变。电子存储设备最初作为辅助记忆的角色也发生了天翻地覆的变化，数据由记录事物状态发展变化的基本依据提升为可预子存储设备最初作为辅助记忆的角色也发生了天翻地覆的变化，数据由记录事物状态发展变化的基本依据提升为可预测事物未来发展趋势的重要支撑。数据中隐藏的价值正逐渐被揭露出来，人们迫切想通过挖掘数据中蕴藏的能量来增测事物未来发展趋势的重要支撑。数据中隐藏的价值正逐渐被揭露出来，人们迫切想通过挖掘数据中蕴藏的能量来增加对大自然以及人类社会的认识。数

42、据挖掘等技术的产生为认识数据，了解数据提供了有效的方法，了解数据就是了加对大自然以及人类社会的认识。数据挖掘等技术的产生为认识数据，了解数据提供了有效的方法，了解数据就是了解事物的属性，事物的性质及事物间联系。解事物的属性，事物的性质及事物间联系。第二节第二节 电子商务网络安全电子商务网络安全 二、电子商务安全问题二、电子商务安全问题电子商电子商务安全务安全计算机安全：计算机安全：商务交易安全商务交易安全计算机计算机网络安全和商计算机计算机网络安全和商务交易安全是一个整体，务交易安全是一个整体，缺缺一不可一不可。没有安全的计算机。没有安全的计算机网络环境网络环境作为基础作为基础，商务交，商务交

43、易安全只是一句空话；没有易安全只是一句空话；没有商务交易安全的保障，即便商务交易安全的保障，即便具备了绝对安全的网络环境，具备了绝对安全的网络环境，也不能达到电子商务自身安也不能达到电子商务自身安全要求。网络安全和商务交全要求。网络安全和商务交易安全是一个整体，缺一不易安全是一个整体，缺一不可。没有安全的计算机网络可。没有安全的计算机网络环境作为基础，商务交易安环境作为基础，商务交易安全只是一句空话；没有商务全只是一句空话；没有商务交易安全的保障，即便具备交易安全的保障，即便具备了绝对安全的网络环境，也了绝对安全的网络环境，也不能达到电子商务自身安全不能达到电子商务自身安全要求。要求。计算机网

44、络安全的内容包括：计算机计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、网络设备安全、计算机网络系统安全、数据库安全等。商务交易安全指的是数据库安全等。商务交易安全指的是在计算机网络安全的基在计算机网络安全的基础上，保障电础上，保障电子交易和电子支付等商务活动顺利进子交易和电子支付等商务活动顺利进行。行。第二节第二节 电子商务网络安全电子商务网络安全（一）电子商务面临的安全威胁（一）电子商务面临的安全威胁1 1、网络安全隐患、网络安全隐患（网络安全的实质是网络上信息的安全）网络安全的实质是网络上信息的安全）2 2、商务交易安全因素、商务交易安全因素(商务交易安全是在电子商务活

45、动中商品交易过程中的安全问题商务交易安全是在电子商务活动中商品交易过程中的安全问题)（1）网络硬件系统安全）网络硬件系统安全（2）网络软件系统安全）网络软件系统安全（3）网络协议的安全漏洞）网络协议的安全漏洞（4）网络管理的安全）网络管理的安全（5）病毒和黑客攻击）病毒和黑客攻击（1）信息泄露）信息泄露（2）信息篡改）信息篡改（3）身份识别）身份识别（4）交易抵赖）交易抵赖 1.假订单假订单 2.付款后不能收到商品付款后不能收到商品 3.以次充好以次充好 4.电子货币丢失。可能是物理破坏，或电子货币丢失。可能是物理破坏，或 者偷者偷窃。窃。第二节第二节 电子商务网络安全电子商务网络安全（二）电

46、子商务的安全要求（二）电子商务的安全要求电子商务所面临的安全威胁来自网络和商务交易两方面，为了实现真正安全的电电子商务所面临的安全威胁来自网络和商务交易两方面，为了实现真正安全的电子商务，保证交易安全可靠地进行，要求电子商务具有子商务，保证交易安全可靠地进行，要求电子商务具有认证性、机密性、完整性、认证性、机密性、完整性、有效性、不可抵赖性和审查能力。有效性、不可抵赖性和审查能力。1、认证性、认证性认证性是指的是在交易开始之前，交易双方能够认证对方的身份，即可以识别对方的身份是否是真实的。电子商务是在网认证性是指的是在交易开始之前，交易双方能够认证对方的身份，即可以识别对方的身份是否是真实的。

47、电子商务是在网络上进行的电子交易，交易双方是在虚拟的络上进行的电子交易，交易双方是在虚拟的“面对面面对面”交流。在现实社会中，尚且无法避免商务活动的欺诈行为，更何况交流。在现实社会中，尚且无法避免商务活动的欺诈行为，更何况在互联网上连接的用户没有地域的限制。在这种情况下，如何确定正在与自己交易的贸易方正是所期望的贸易方，其发布在互联网上连接的用户没有地域的限制。在这种情况下，如何确定正在与自己交易的贸易方正是所期望的贸易方，其发布的信息是真实的可靠的，就显得尤为重要了。为了解决认证性问题，在电子商务中，引入了的信息是真实的可靠的，就显得尤为重要了。为了解决认证性问题，在电子商务中，引入了“第三

48、方第三方”的概念。的概念。“第三方第三方”由交易各方都信任的、具有认证资质的机构来担任，一般是通过数字证书来进行身份验证。由交易各方都信任的、具有认证资质的机构来担任，一般是通过数字证书来进行身份验证。2、机密性、机密性机密性也被称为隐私性，是指交易双方的信息在网络传输和存储中不被他人窃取。电子商务是建立在开发的互联网机密性也被称为隐私性，是指交易双方的信息在网络传输和存储中不被他人窃取。电子商务是建立在开发的互联网基础上的，保证商业机密、个人信息不泄露是广泛开展电子商务的前提条件，以此，要防止非法的信息存取和信息基础上的，保证商业机密、个人信息不泄露是广泛开展电子商务的前提条件，以此，要防止

49、非法的信息存取和信息传输过程中的窃取。机密性一般通过密码技术对网络上传输的信息进行加密来保证的。传输过程中的窃取。机密性一般通过密码技术对网络上传输的信息进行加密来保证的。3、完整性、完整性完整性是指交易的数据在传输过程中不被恶意或意外的改变和损坏。商务交易的开展需要大量的信息，贸易各方信息完整性是指交易的数据在传输过程中不被恶意或意外的改变和损坏。商务交易的开展需要大量的信息，贸易各方信息的完整性将影响到贸易各方的交易和经营策略，信息完整性保证了交易各方得到的信息是一致的、正确的，避免了信的完整性将影响到贸易各方的交易和经营策略，信息完整性保证了交易各方得到的信息是一致的、正确的，避免了信息

50、不对称造成的交易无法完成的情况发生。因此，要预防对信息的随意生成、修改和删除，同时要防止数据传送过程息不对称造成的交易无法完成的情况发生。因此，要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复，并保证信息传送次序的统一。中信息的丢失和重复，并保证信息传送次序的统一。第二节第二节 电子商务网络安全电子商务网络安全。4、有效性、有效性4、有效性、有效性有效性就是要求电子商务系统可以对交易信息、交易各方身份的有效性进行鉴别。作为一种商务形式，电子商有效性就是要求电子商务系统可以对交易信息、交易各方身份的有效性进行鉴别。作为一种商务形式，电子商务的最终目标是商务交易顺利完成