1、第三章 電子商務的安全防范教學重點：電子商務的安全標準； 電子商務的安全技術。教學難點：電子商務的安全標準。教學要求： 通過本章的學習使學生掌握電子商務涉及到的計算機和網絡安全問題，以及電子商務安全的標準和安全技術。3-1 計算機與網絡的安全一、計算機安全1、計算機安全面臨的嚴峻形勢：計算機泄密、竊密事件不斷發生；黑客攻擊行為日益增多，計算機違法犯罪活動呈上升趨勢；一些部門 對計算機信息系統運行中存在的安全問題和潛在的風險認識不足，自我保護和防范意識不強，漏洞較多；計算機系統安全保護技術開發和應用滯后，防范能力較差。 4案例1：網絡風險凸現1988/11/2日，23歲的USA康耐爾大學學生羅伯

2、特英瑞斯在自己計算機上將用遠程命令編寫的蠕蟲程序送進網絡，一夜之間，網上約6200臺VAX系列小型機及Sun工作站、USA300多所大學、議院、研究中心、國家航空航天局及幾個軍事基地死機（10%），損失9600萬美圓。 51994年4月-10月間，俄國彼得堡OA土星公司24歲的電腦專家弗拉基米爾列列文通過互聯網多次侵入USA花旗銀行在華爾街的中央電腦系統的現金管理系統，竊走1000萬美元（40筆款），大銀行的電腦系統首次被外人侵入。1999年，有人利用從新聞討論組中查到的普通的技術手段，輕易而舉地從USA多個商業網站中竊取了80000多個信用卡帳號和密碼，并標價26萬美元出售。2004年10月

3、17日國內著名的殺毒軟件廠商江民公司的網站被一名為河馬史詩的黑客攻破，頁面內容被篡改。 2006年9月12日晚，國內知名搜索網站百度，遭到其有史以來最大規模黑客襲擊，導致百度搜索服務在全國各地出現近30分鐘的故障。2007年爆發的“熊貓燒香”病毒，會使所有程序圖標變成熊貓燒香，并使它們不能應用。62008年“掃蕩波”。利用系統漏洞從網絡入侵的程序，這個病毒可以導致被攻擊者的機器被完全控制。2009年“木馬下載器”。2009年度的新病毒,中毒后會產生10002000不等的木馬病毒,導致系統崩潰,短短3天變成360安全衛士首殺榜前3名。2010年“震網病毒”。世界上首個以直接破壞現實世界中的工業基

4、礎設施為目標的蠕蟲病毒，被稱為“網絡超級武器”。討論：網絡，還會有安全嗎？2、計算機安全問題主要涉及的領域黨政機關計算機信息系統的安全問題（首要） 政治穩定和國計民生國家經濟領域內計算機信息系統的安全問題 經濟命脈國防和軍隊計算機信息系統的安全問題 維護國家獨立和主權完整3、計算機安全控制制度（1）計算機安全 表現（2）計算機安全控制的相關制度計算機信息系統安全等級保護制度計算機機房安全管理制度計算機信息系統國際聯網備案制度計算機信息媒體進出境申報制度計算機信息系統使用單位安全負責制度計算機案件強行報告制度計算機病毒及其有害數據的專管制度計算機信息系統安全專用產品銷售許可證制度對計算機系統的安

5、全保護對計算機罪犯的防范與打擊 4用于防范計算機犯罪的法律手段 1997年10月1日的我國新刑法確定了計算機犯罪的5種主要形式： （1） 違反國家規定，侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統； （2） 對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行； （3） 對計算機信息系統中存儲、處理或傳輸的數據和應用程序進行刪除、修改、增加的操作； （4） 故意制作、傳播計算機病毒等破壞性程序，影響計算機系統的正常運行； （5） 利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家機密或其他犯罪行為等。二、常見的網絡安全問題1、網絡安全主要的領域黨政機關

6、技術領域電子商務領域社會經濟領域國家經濟實體安全國防和軍隊運行安全信息安全支付安全身份認證法律責任2、網絡上存在的安全問題病毒：最直接的安全威脅內部威脅和無意破壞系統的漏洞和“后門” 網上的蓄意破壞侵犯隱私或機密資料拒絕服務3-2 電子商務的安全保障一、電子商務的安全現狀二、電子商務的安全威脅1、賣方面臨的安全威脅：系統中心安全性被破壞競爭者的威脅商業機密的安全假冒的威脅信用的威脅2、買方面臨的安全威脅：虛假訂單付款后不能收到商品機密性喪失拒絕服務3、黑客攻擊電子商務系統的手段系統中斷，破壞系統的有效性竊聽信息，破壞系統的機密性篡改信息，破壞系統的完整性偽造信息，破壞系統的真實性三、電子商務的

7、安全要素和體系1、電子商務的安全要素：數據的完整性傳輸的保密性信息的不可否認性交易者身份的確定性訪問控制2、 電子商務安全的基本要求：完整、可靠、可控、不可抵賴3-3 電子商務安全的標準一、SSL協議：安全套接層協議1、開發： Netscape Communication公司設計開發2、功能：用于Web瀏覽器與服務器之間的身份認證和加密數據傳輸。 3、構成：4、缺點：只能驗證客戶身份，不能驗證商家身份SSL記錄協議： 為高層協議提供數據封裝、壓縮、加密等基本功能的支持 。SSL握手協議：通訊雙方進行身份認證、協商加密算法、交換加密密鑰。二、SET協議：安全電子交易協議1、開發：美國Visa和M

8、asterCard兩大信用卡組織等聯合于1997年6月推出2、功能：采用公鑰密碼體制和X.509數字證書標準，主要應用于保障網上購物信息的安全性，是目前公認的信用卡網上交易的國際標準。 3、優點：保證客戶交易信息的保密性和完整性 確保商家和客戶交易行為的不可否認性 確保商家和客戶的合法性 4、缺點：只解決雙方認證和支付三、OTP協議：開放式貿易協議 功能：解決多邊支付問題。四、CHAP協議：詢問握手認證協議 功能：通過三次握手周期性的校驗來驗證用戶的帳號及密碼。 五、 ECHAP協議：身份認證安全協議 功能：實現了安全的身份認證和用戶敏感驗證信息（秘密信息）在服務器和客戶端的安全存儲，防止了因

9、超級用戶泄露或復制用戶的秘密值的安全隱患。網絡安全技術安全管理體系電子商務信息安全技術數據備份與恢復安全應用協議：SET和SSL防火墻技術加密技術病毒防范數字簽名入侵檢測技術數字證書VPN身份識別技術法律法規、政策1、電子商務安全架構3-4 電子商務的安全技術一、安全防范措施人員管理制度人員選拔、工作責任制等保密制度信息的安全級別（絕密級、機密級、秘密級）跟蹤、審計、稽核制度跟蹤制度：企業應建立網絡交易系統日志機制審計制度：對系統日志的檢查、審核，以發現問題稽核制度：工商、稅務等對企業的稽核2、網絡安全管理制度系統維護制度硬件的日常管理和維護、軟件的日常管理和維護建立數據備份制度病毒防范制度安

10、裝殺毒軟件、病毒定期清理制度、控制權限等應急措施瞬時復制技術遠程磁盤鏡像技術數據庫恢復技術等2、網絡安全管理制度二、計算機安全技術1、實體安全：保證硬件和軟件本身的安全電源防護技術：防干擾、防電壓波動、防斷電防盜技術：安裝報警器、監視系統等環境保護：防火、防水、防塵、防震、防靜電電磁兼容性：電磁屏蔽、接地等2、運行環境的安全：保證系統的正常運行預防措施：風險分析、備份與恢復、審計跟蹤、應急3、信息的安全：保證信息不被非法閱讀、修改和泄露預防措施：裝防火墻和殺毒軟件、設置權限 進行訪問控制、加密、身份認證4、存取控制：對用戶的身份進行識別和鑒別身份認證：密碼、代表用戶身份的物品、反 映用戶生理特

11、征的標識存取權限控制：設置權限等級數據庫存取控制：允許、禁止三、路由器技術1、路由器：連接因特網中各局域網、廣域網的設備，它會根據信道的情況自動選擇和設定路由，以最佳路徑，按前后順序發送信號的設備。2、功能：連通不同的網絡。 選擇信息傳送的線路。 四、防火墻技術1、防火墻(firewall) ：一項協助確保信息安全的設備，會依照特定的規則，允許或是限制傳輸的數據通過。 2、基本特性：內部網絡和外部網絡之間的所有網絡數據流都必須經過防火墻 只有符合安全策略的數據流才能通過防火墻 防火墻自身應具有非常強的抗攻擊免疫力 3、功能：過濾進出網絡的數據包； 管理進出網絡的訪問行為；封堵某些禁止的訪問行為

12、；記錄通過防火墻的信息內容和活動；對網絡進行檢測和告警。4、缺點：主要防范外部網絡的攻擊而忽略了內部網絡攻擊抑制一些正常的通信，削弱Internet的功能用外網訪問內網會被防火墻拒絕服務防火墻跟不上信息技術的發展，存在漏洞增加黑客攻擊機會常用的防火墻六、加密技術1、加密技術 ：利用技術手段把重要的數據變為亂碼（加密）傳送，到達目的地后再用相同或不同的手段還原（解密） 。 例如：2、構成要求算法：將普通的文本（或者可以理解的信息）與一串數字（密鑰）的結合，產生不可理解的密文 的步驟。密鑰：用來對數據進行編碼和解碼的一種算法 。“1101.100”表示100元3、分類：對稱加密：用一個密鑰進行加密

13、。加、解密均用公鑰進行。典型代表：DES算法、RC4非對稱加密：用一對密鑰進行加密。其中公鑰進行加密，私鑰進行解密。典型代表：RSA算法4、應用：在電子商務中的應用：信息的保密、信息的完整、信息源的鑒別、不可否認性在軍事領域的應用：信息的保密、一致性和時效性明文明文密文加密解密B公鑰B私鑰A方B方七、認證技術1、認證技術：保證電子商務交易安全的一項重要技術。 主要包括身份認證和信息認證。 2、常用的身份認證技術：靜態密碼：由用戶設定的一組字符，用于保護用戶信息和識別身份。短信密碼 ：以手機短信形式請求包含6位隨機數的動態密碼 。動態口令牌：客戶手持用來生成動態密碼的終端，主流的是基于時間同步方

14、式的，每60秒變換一次動態口令，口令一次有效，它產生6位動態數字進行一次一密的方式認證。 USB KEY：一種USB接口的硬件設備，它內置單片機或智能卡芯片，可以存儲用戶的密鑰或數字證書，利用USBKey內置的密碼算法實現對用戶身份的認證。 智能卡（IC卡） ：一種內置集成電路的芯片，芯片中存有與用戶身份相關的數據，通過智能卡硬件不可復制來保證用戶身份不會被仿冒。數字簽名 ：以電子形式存在于數據信息之中的，用于辨別數據簽署人的身份，并表明簽署人對數據信息中包含的信息的認可。 生物識別技術：通過可測量的身體或行為等生物特征進行身份認證的一種技術。 計算機病毒，是指編制或者在計算機程序中插入的破壞

15、計算機功能或者毀壞數據,影響計算機使用，并能自我復制的一組計算機指令或者程序代碼，就像生物病毒一樣，計算機病毒有獨特的復制能力。計算機病毒的組成：引導模塊、傳染模塊和表現模塊【知識窗】電腦病毒的概念是由電腦的先驅者馮諾伊曼（John Von Neumann）提出的。到了1987年，第一個電腦病毒C-BRAIN終于誕生了。一般而言，業界都公認這是真正具備完整特征的電腦病毒始祖。這個病毒程序是由一對巴基斯坦兄弟：巴斯特（Basit）和阿姆捷特（Amjad）所寫的，所以又稱巴基斯坦大腦（Pakistani Brain）病毒。從此之后逐漸進入病毒的高發期！【知識窗】巴基斯坦大腦（Pakistani B

16、rain）DOS系統下耶路撒冷（Jerusalem）windows時期的宏病毒32位病毒-CIHInternet上盛行的各種病毒：蠕蟲特洛伊木馬等【知識窗】引導型病毒：其傳染對象是軟盤的引導扇區和硬盤的主引導扇區和引導扇區。在系統啟動時，先于正常系統啟動。典型代表：“大麻”、Bloody、Brain等。文件型病毒：廣義的文件型病毒包括可執行文件病毒、源碼病毒和宏病毒。文件型病毒主要感染可執行文件，又可分為：寄生病毒、覆蓋病毒和伴隨病毒。混合型病毒：集引導型和文件型病毒為一體的病毒，感染力強。宏病毒：使用宏語言編寫的程序，依賴于微軟office辦公軟件傳播。【知識窗】計算機病毒的特點：傳染性。傳

17、染性是病毒的基本特征，是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件。潛伏性。有些病毒像定時炸彈一樣，讓它什么時間發作是預先設計好的，不到預定時間一點都覺察不出來，等到條件具備的時候一下子就爆炸開來，對系統進行破壞。隱蔽性。計算機病毒具有很強的隱蔽性，有的可以通過病毒軟件檢查出來，有的根本就查不出來。破壞性。計算機中毒后，可能會導致正常的程序無法運行，把計算機內的文件刪除或受到不同程度的損壞 。通常表現為：增、刪、改、移。【知識窗】八、防病毒技術1、防病毒技術：通過一定的技術手段防止計算機病毒對系統的傳染和破壞。 2、主要技術： 磁盤引導區保護、加密可執行程序、讀寫控制技術、系統監控

18、技術等 3、防范病毒的主要措施：備份：對軟件和系統備份，方便恢復預防和檢測：安裝殺毒軟件 ，檢測、報告并殺死病毒隔離：確認并隔離攜帶病毒的部位。恢復：修復或清除被病毒感染的文件。4、常用的殺毒軟件：瑞星：是國產殺軟的龍頭老大，其監控能力是十分強大的，但同時占用系統資源較大。金山毒霸：金山毒霸是金山公司推出的電腦安全產品，監控、殺毒全面、可靠，占用系統資源較少。集殺毒、監控、防木馬、防漏洞為一體，是一款具有市場競爭力的殺毒軟件。 卡巴斯基：是俄羅斯民用最多的殺毒軟件。公司為個人用戶、企業網絡提供反病毒、防黒客和反垃圾郵件產品，被眾多計算機專業媒體及反病毒專業評測機構譽為病毒防護的最佳產品。 36

19、0安全衛士：是一款由奇虎公司推出的完全免費的安全類上網輔助工具軟件，擁有木馬查殺、惡意軟件清理、漏洞補丁修復、電腦全面體檢、垃圾和痕跡清理、系統優化等多種功能。是一款值得普通用戶使用的較好的安全防護軟件。 九、安全電子商務的法律要素：安全認證需要解決的法律問題：信用立法、電子簽名、電子交易、認證管理1、有關認證中心的法律：2003年8月20日通過中華人民共和國認證認可條例，2003年11月1日起施行 2004年3月24日通過 中華人民共和國電子簽名法 ，2005年4月1日起施行2009年2月4日 通過電子認證服務管理辦法，2009年3月31日 起施行電子認證服務密碼管理辦法2009年12月1日

20、起實施 ，有2005年3月31日發布的管理辦法同時廢止 2、有關保護個人隱私、秘密的法律：全國人大常委會關于維護互聯網安全的決定第四條：為了保護個人、法人和其他組織的人身、財產等合法權利，對有下列行為之一，構成犯罪的，依照刑法有關規定追究刑事責任：（1）利用互聯網侮辱他人或者捏造事實誹謗他人； (2)非法截獲、篡改、刪除他人電子郵件或者其他數據資料，侵犯公民通信自由和通信秘密； (3)利用互聯網進行盜竊、詐騙、敲詐勒索 互聯網電子公告服務管理規定第十二條：電子公告服務提供者應當對上網用戶的個人信息保密，未經上網用戶同意不得向他人泄露，但法律另有規定的除外。 第十九條：違反本規定第十二條的規定，未經上網用戶同意，向他人非法泄露上網用戶個人信息的，由省、自治區、直轄市電信管理機構責令改正；給上網用戶造成損害或者損失的，依法承擔法律責任。計算機信息網絡國際聯網安全保護管理辦法第七條規定：用戶的通信自由和通信秘密受法律