1、第1章 電子商務安全認知電子商務安全基礎 人民大學出版社1.1電子商務內涵1.2電子商務安全內涵1.3電子商務安全保障主要內容1.4實驗項目1.1 電子商務內涵什么是電子商務？ 電子商務通常是指在全球廣泛的商業貿易活動中，在互聯網開放的網絡環境下，基于瀏覽器/服務器應用方式，買賣雙方不謀面地進行各種商貿活動，實現消費者的網上購物、商戶之間的網上交易和在線電子支付以及各種商務活動、交易活動、金融活動和相關的綜合服務活動的一種新型的商業運營模式。 1.1 電子商務內涵1.1.1 電子商務的發展現狀電子商務產業的優勢 市場全球化、交易連續化、成本低廉化、資源集約化等 電子商務發展 1997年：中國商

2、品訂貨系統CGOS、中國商品交易中心CCEC、 虛擬廣交會 等大型電子商務項目的推出1998年：“首都電子商務工程”開展；1999年：8848網上超市的出現標志著中國電子商務開始進入快速發展期電子商務發展趨勢 1）移動端成為主流 2）線上線下聯動興起 3）廣告成本高漲背景下，分銷崛起，社交、社區、內容電商成為未來發展新趨勢1.1.2 電子商務系統的主要類型按商業活動的運作方式分類 1）完全電子商務 2）線部分電子商務按使用網絡的類型分類 1）基于EDI網絡的電子商務 2）基于內聯網的電子商務 3）基于互聯網的電子商務按交易對象分類 1）企業對企業的電子商務B2B 2）企業對消費者的電子商務B2

3、C 3）消費者對消費者的電子商務C2C 4）企業對政府的電子商務B2G 5）消費者對政府的電子商務C2G 6）企業對經理人的電子商務B2M 7）經理人對消費者的電子商務M2C 1.1.2 電子商務系統的主要類型企業對企業的電子商務B2B定義：企業通過互聯網在開放網絡中對每筆交易尋找最佳合作企業,并與企業進行從訂購到結算的全部交易活動。 典型應用：中國供應商網、阿里巴巴、中國制造網、敦煌網、慧聰網等企業對消費者的電子商務B2C定義：等同于零售電子化,是我國最早產生的電子商務模式典型應用模式：綜合商城、專一整合型、百貨商店、垂直商店、復合品牌店、輕型品牌店、服務型網店、導購引擎型消費者對消費者的電

4、子商務C2C消費者在網上彼此進行一些多數為小額的交易,如通過互聯網進行個人拍賣活動等。1.1.2 電子商務系統的主要類型企業對政府的電子商務B2G 覆蓋企業與政府之間的各項事務如政府采購、企業稅收征收等。消費者對政府的電子商務C2G 涉及電子福利支付、電子資料庫、電子身份認證等。企業對經理人的電子商務B2M B2M所針對的客戶群是該企業或者該產品的銷售者或者提供服務者,而不是最終消費者, 企業通過經理人的服務達到銷售產品或者獲得服務的目的。B2M本質上是一種代理模式。經理人對消費者的電子商務M2CM2C是針對B2M的電子商務模式而出現的延伸概念。M2C的盈利模式則豐富、靈活得多,既可以是差價,

5、也可以是傭金。1.1.3 電子商務系統的基本組成電子商務系統的基本組成有計算機網絡、用戶、認證中心、配送中心、銀行、商家等(如圖11所示)。圖1-1 電子商務系統組成電子商務的一般框架是指實現電子商務的技術保證和電子商務應用所涉及的領域,主要是由電子商務網絡平臺、電子商務服務平臺以及電子商務應用平臺三大部分和兩個支柱組成，如圖12所示。1.1.4 電子商務的系統框架圖1-2 電子商務的一般框架電子商務網絡平臺 1）網絡層：它是信息傳輸系統,包括遠程通信網、有線電視網、無線通信網和互聯網2）消息/信息發布層：數據傳送方法有非格式化(非結構化)和格式化(結構化)兩種1.1.4 電子商務的系統框架電

6、子商務服務平臺為了方便交易所提供的通用的業務服務, 主要包括:安全和認證、電子支付、目錄服務、咨詢服務等。電子商務應用平臺 支柱一:公共政策及法律支柱二:各種技術標準及其網絡協議兩個支柱涉及企業商務活動的各個方面,包括供應商、客戶、銀行或金融機構、信息公司以及政府等 客戶機/服務器模式特點：C/S結構通過將任務合理分配到客戶端和服務器端,降低了系統的通信開銷,并可充分利用兩端硬件環境的優勢。配有高性能的專用服務器,服務器端安裝數據庫軟件,負責對數據的存儲和管理;客戶機安裝客戶端程序,負責信息系統的圖形顯示、數據錄入、業務處理等客戶端主要提供與用戶的交互功能,這樣既提高了處理速度又減少了網絡傳輸

7、量,大幅提升了整個系統的性能缺點：開發的中心主要在客戶端, 造成系統維護和管理的困難1.1.5 電子商務的基本結構 B/W/S三層結構B/W/SBrowser/Web Server/Database Server 簡稱B/S(Browser/Web Server)結構 B/W/S結構的主要特點1）“瘦客戶機”,即客戶端主要負責與用戶的交互,而系統的絕大部分處理功能都在中間層(Web Server)上完成。2）B/W/S結構實現了系統的分散應用和集中管理,極大地方便了應用管理1.1.5 電子商務的基本結構 電子商務系統結構電子商務系統充分利用計算機和網絡領域的先進技術,在典型的情況下,基于B/W

8、/S,又和企業后端的信息管理系統如企業資源計劃(ERP)連接起來,構成一個多層的結構。1.1.5 電子商務的基本結構(1)客戶層-用于為用戶提供企業電子商務系統的操作界面(2)Web服務層-接受來自客戶層的用戶輸入,并將其發送到應用服務層以得到處理。(3)應用服務層-接受Web服務層發來的請求,進行適當的業務處理,并訪問企業信息系統層的資源。(4)企業信息系統層-指電子商務系統所對應的企業的后端信息系統。在一個簡單的電子商務系統中,它對應的可能是一個關系型數據庫,存儲了必要的業務處理信息。1.2 電子商務安全的內涵1.2.1 安全概述電子商務安全認知1）安全不僅僅是安全管理部門的事情2）電子商

9、務安全具有全面性、普遍性3）安全是一個系統概念4）安全是相對的、發展變化的5）安全是有代價的電子商務安全可以分為兩個方面 即網絡安全和商務交易安全1)計算機網絡安全的內容主要包括物理安全、系統安全、信息安全、內容安全等。2)商務交易安全則實現電子商務的保密性、完整性和可用性。1.2.2 計算機網絡安全計算機網絡安全是通過各種計算機、網絡、密碼技術和信息安全技術,保護在公用通信網絡中傳輸、交換和存儲的信息的保密性、完整性和可用性,并對信息的傳播及內容具有控制能力。主要內容如圖1-3所示圖13計算機網絡安全物理安全 重點保護網絡與信息系統的保密性、可生存性、可用性等屬性,涉及動力安全、環境安全、電

10、磁安全、介質安全、設備安全、人員安全等。采取的主要措施是可靠供電系統、防護體系、電磁屏蔽、容災備份等。1.2.2 計算機網絡安全物理安全系統安全對網絡與信息系統的運行過程和狀態的保護,又稱為運行安全,主要涉及網絡和信息系統的可控性、可用性等。主要的保護方式：應急響應、入侵檢測、漏洞掃描等。具體操作內容:1)風險分析。測試、跟蹤、記錄,找出系統安全漏洞,提供相應分析報告。2)審計跟蹤。對系統進行審計跟蹤,保存和維護審計記錄和日志。3)備份與恢復。對系統設備和數據的備份與恢復。4)應急措施。在緊急事件或安全事故發生時,保證電子商務系統繼續運行或緊急恢復所需要的策略。1.2.2 計算機網絡安全信息安

11、全對信息在數據處理、存儲、傳輸、顯示等過程中的保護,在數據處理層面上保障信息能夠按照授權進行使用,不被竊取、篡改、冒充、抵賴,又稱為數據安全,主要涉及信息的保密性、完整性、真實性、不可否認性等可鑒別屬性。主要的保護方式有加密技術、數字簽名、完整性驗證、認證技術等,如圖所示。1.2.2 計算機網絡安全信息安全網絡安全對信息真實內容的隱藏、發現、選擇性阻斷,又稱為文化安全,主要涉及信息的保密性、可控性、特殊性等。主要的保護措施是信息識別與挖掘技術、過濾技術、隱藏技術等，如圖所示。1.2.2 計算機網絡安全網絡安全概念電子商務交易安全是指通過一系列的措施保證交易過程的真實性、機密性和可用性,目的是在

12、計算機網絡安全基礎上確保電子商務過程的順利進行。它更側重于交易過程的安全內容。1.2.3 商務交易安全主要內容(1)買方面臨的問題,如付款后不能收到商品、個人信息被泄露。(2)賣方面臨的問題,如競爭對手檢索商品遞送狀況、被他人假冒而損害公司的信譽、買方提交訂單后不付款、機密數據被他人獲取等。(3)交易信息問題,如被冒名偷竊、數據篡改、信息丟失、信息在傳遞過程中被破壞、虛假信息等。(4)信用問題等。1.3 電子商務安全保障電子商務安全需要一個完整的綜合保障體系。 電子商務的安全,概括起來需要三個方面的支持:一是信息技術方面的措施,如防火墻、網絡防毒、信息加密、身份認證等;二是信息安全管理制度的保

13、障,如人員管理等;三是社會的法律政策與法律保障。三者缺一不可,只有共同作用,才能最終保障電子商務的安全。 系統方面的風險 1）網絡協議安全漏洞 2）防火墻安全漏洞 3)口令漏洞 4)操作系統的安全漏洞 5)陷門1.3.1 電子商務安全面臨的主要風險 1.3 電子商務安全保障 交易方面的風險 1）冒名偷竊 2）篡改數據 3）信息丟失1.3.1 電子商務安全面臨的主要風險 人員方面的風險 主要是工作人員職業道德修養不高,安全教育和管理松懈 管理方面的風險 網絡內部可能存在的威脅有:1)有意或無意地泄露網絡用戶或網絡管理員的密碼或口令;2)繞過防火墻,私自和外部網絡連接,造成系統安全漏洞;3)越權查

14、看、修改和刪除系統文件、應用程序及數據;4)越權修改網絡系統配置,造成網絡工作不正常。網絡交易技術管理的漏洞也會帶來較大的交易風險 法律方面的風險 主要是工作人員職業道德修養不高,安全教育和管理松懈 1.3.2 電子商務安全要素1）信息的機密性-指信息在傳輸過程或存儲中不被他人竊取，在電子交易中,通常使用加密技術來保證信息的機密性。2）交易文件的完整性-防止非法篡改和破壞網站上的信息,使收到的信息與發送的信息完全一樣。在電子交易中,通常使用哈希函數來保證信息的完整性。3）信息的不可否認性-發送方不能否認已發送的信息,接收方亦不能否認已收到的信息。在電子交易中,則通過對發送信息進行數字簽名,來實

15、現交易的不可抵賴性。4）交易者身份的真實性-指交易雙方確實是存在的而不是假冒的。在電子交易中,需要依靠可靠的認證機制來保障。 電子商務安全是一個復雜的系統問題,它不僅與其支持的平臺有關,還與電子商務的環境、模式、人員、管理、法律和社會等諸多因素有關。交易安全要素 1.3.2 電子商務安全要素信息安全傳輸就是指在網絡上傳遞的信息沒有被故意地或偶然地非法授權泄露、更改、破壞或是信息被非法系統辨識、控制。信息傳輸要素信息正常傳輸過程信息傳輸過程中面臨的問題 1.3.2 電子商務安全要素1）截取信息攻擊系統的可用性，信息從信息源節點傳輸出來,中途被攻擊者非法截取2）竊聽信息攻擊系統的機密性，信息從信息

16、源節點傳輸到信息目的地節點,但中途被攻擊者非法竊聽3)篡改信息攻擊系統的完整性，信息從信息源節點傳輸到信息目的地節點的中途被攻擊者非法截取,攻擊者將截取的信息進行修改或插入欺騙性的信息,然后將篡改后的錯誤信息發送給信息目的地。 1.3.2 電子商務安全要素安全的電子商務除了依賴于技術手段外,還必須依靠法律手段、經濟行政手段來保障參與電子商務的各方的利益。電子商務安全涉及的法律要素主要有:1)保障交易各方身份認證的法律2)電子合同的法律地位3)電子商務的消費者權益保護的法律4)網絡知識產權保護的法律5)電子商務侵權法法律法規要素 1.3.3 電子商務安全體系結構一個完整的電子商務安全體系是由安全

17、基礎層、加密技術層、安全認證層、安全協議層和系統應用層以及電子商務安全法律法規和人員安全管理等組成,并且每一層都有相應的安全策略和方案,如圖所示。電子商務安全體系 1.3.4 電子商務安全技術電子商務安全技術 1.3.4 電子商務安全技術1）加密技術：信息安全技術中的一個重要的組成部分。它可以保護傳送的信息安全。加密本身能提供安全保障,還必須完善加密密鑰和系統的整體控制。2）數字簽名技術：可以確認當事人的身份,起到了簽名或蓋章的作用,簽字方不能夠抵賴。3）數字時間戳：用于證明信息的發送時間。4）身份認證技術：決定誰有權接受或修改信息,以增強責任性,以及實現不可否認服務。 驗證常用的三種基本方式

18、口令方式、標記方式、人體生物學特征方式。5）數字證書技術：用標志網絡用戶身份信息的一系列數據來證明某一主體(如個人用戶、服務器等)的身份以及其公鑰的合法性的一種權威性的電子文檔。類似于現實生活中的身份證。 1.3.4 電子商務安全技術6）防火墻技術：防火墻是軟件、硬件的結合,在需要保護的網絡同可能帶來安全威脅的互聯網或其他網絡之間建立一層保護。7）智能卡技術：利用智能卡來降低攻擊者猜出密碼的風險。8）防病毒技術：防病毒軟件只能保護系統免受惡意程序攻擊,卻不能避免使用合法程序訪問系統的攻擊者的攻擊,同時也不能保護一些用戶對不應該訪問的文件進行訪問的越權攻擊。9）入侵檢測技術：入侵檢測是對防火墻的一個合理補充,幫助系統對付網絡攻擊,擴展管理員的安全管理能力和范圍,提高信息安全基礎結構的完整性。 10）生物統計系統：生物統計是利用你所具備的生理特征來認證,如指紋認證、眼膜認證、語音認證等。每種認證都需要特定的設備,而且設備必須非常精確才可以檢測出是否假冒。1.4 實驗項目實驗項目1安全環境下的電子商務操作【實驗目的】全面掌握電子商務基礎操作,完成安全的網絡購物過程。【實驗內容】在開放的互聯網環境下,