電子商務安全與支付技術第一章電子商務務安全概概述1.1電電子商務務及其安安全重要要性1.2電電子商務務的安全全需求1.3電電子商務務的安全全概述1.4電電子商務務系統的的安全性性要求1.5電電子商務務的保障障學習目標標了解電子子商務面面臨的安安全問題題掌握電子子商務系系統安全全的構成成要素了解電子子商務安安全的主主要需求求理解電子子商務安安全保障障手段引例———eBay在中中國潰敗敗之因據中國互互聯網絡絡信息中中心《2010年中國國網上購購物調查查報告》》截止2011年1月月北京、、上海和和廣州三三大城市市共有C2C網網上購物物消費者者304萬人，，淘寶成成為用戶戶首選購購物網站站。根據據購物金金額計算算的2010年年度中國國C2C三大城城市的用用戶市場場份額，，淘寶為為81..9%，，eBay易趣趣為15.4%%。eBay易趣PK淘寶寶，前前者敗在在安全之之上，是是不是淘淘寶就不不再面臨臨安全問問題？如如果不是是，到底底還有哪哪些安全全問題需需要電子子商務來來面對？？1.1..1電電子商商務的含含義宏觀視角角微觀視角角電子商務務的書面面定義所謂電子子商務((ElectronicCommerce)是是利用計計算機技技術、網網絡技術術和遠程程通信技技術所進進行的商商務活動動。電子商務務的具體體含義是是指進行行電子商商務交易易的供需需雙方都都是商家家(或企企業、公公司)，，他們借借助Internet的技術術或各種種商務網網絡平臺臺，完成成商務交交易的過過程；這這些過程程包括：：發布供供求信息息，訂貨貨及確認認訂貨，，支付過過程及票票據的簽簽發、傳傳送和接接收，確確定配送送方案并并監控配配送過程程等。電子商務務的產生生基礎電子商務務最早產產生于20世紀紀60年年代，發發展于20世紀紀90年年代。產生和發發展的社社會基礎礎是：（1）政政府的的支持與與推動。。（2）計計算機機的廣泛泛應用。。（3）網網絡的的普及和和成熟。。（4）完完善的的網絡服服務。電子商務務的發展展過程電子商務務的發展展分為兩兩個階段段，即始始于20世紀80年代代中期EDI電電子商務務和始于于90年年代初期期Internet電電子商務務。1．80年代～～90年年代基于于EDI的電子子商務電子通信信的方式式增增值網絡絡VANEDI電電子商務務技術僅僅局局限在先先進國家家和地區區以及大大型的企企業范圍圍內應用用2．90年代以以來基于于因特網網的電子子商務開放的網網絡通信信方式Internet的網網絡環境境開開放的網網絡電子子銀行安安全全的在線線支付技技術也也適合合中小型型的企業業應用1.1..2電子子商務安安全的現現狀電子商務務的安全全問題日日益受到到重視黑客的威威脅上升升計算機網網絡病毒毒給電子子商務造造成的損損失繼續續增加電子商務務金融系系統的安安全缺乏乏保障電子商務務安全保保障措施施尚待加加強1.1..3電子子商務安安全與支支付的重重要性電子商務務作為一一種全新新的商務務形式，，為全球球客戶提提供了更更簡捷的的交易方方法和更更低廉的的交易成成本。然然而，安安全問題題仍然是是阻礙其其發展的的最大障障礙。1999年7月月，當中中國互聯聯網絡中中心第一一次對熱熱點問題題“用戶戶認為目目前網上上購物最最大的問問題”進進行問卷卷調查時時，30%的網網民認為為安全性性是網上上購物的的最大問問題，七七年后，，即2006年年7月的的調查顯顯示，網網民不進進行網上上交易的的原因中中，擔心心交易安安全性得得不到保保障的仍仍然高達達61..5%。。很明顯顯，網上上交易的的安全問問題是電電子商務務發展中中不容忽忽視的問問題。交易安全全保障是是保證現現代經濟濟正常運運作的重重要基礎礎和支點點。現階階段電子子商務之之所以推推廣有困困難，關關鍵問題題是電子子支付安安全問題題沒有得得到很好好地解決決。電子子支付風風險的有有效控制制，將會會從根本本上扭轉轉這種狀狀況。1.1..4解決決電子商商務安全全問題的的重要意意義保證電子子商務的的正常運運作，必必須高度度重視安安全問題題安全問問題是網網絡交易易成功與與否的關關鍵所在在，也是是致命所所在。因因為網絡絡交易的的安全問問題不僅僅關系到到的個人人的資金金安全、、商家的的貨物安安全，還還關系到到國家的的經濟安安全，國國家經濟濟秩序的的穩定問問題。我我們無法法想像一一個安全全得不到到保障的的網絡交交易世界界會是一一個什么么樣的情情形。所所以，對對于網絡絡交易的的安全問問題絕不不可以等等閑視之之，必須須把它提提到重要要的議事事日程。。只有這這樣，才才能促進進電子商商務的更更快發展展。1.2..1電子商務務面臨的的安全威威脅安全問題題的提出出影響電子子商務廣廣泛應用用的首要要問題：：安全問問題電子商務務安全與與網絡安安全網絡安全全漏洞多多網頁篡改改、網頁仿仿冒總之:不不是一堵堵防火墻墻或一個個電子簽簽名能解解決1.2..2電子子商務涉涉及的安安全問題題商家可能能面臨的的安全問問題系統破壞壞——遭遭受攻擊擊或自然然破壞壞惡意訂單單——競競爭對手手或客戶戶資料泄露露——客客戶資料料泄露客戶可能能面臨的的安全問問題虛假訂單單收不到貨貨機密性喪喪失———個人信信息可能能被泄露露拒絕服務務——合合法用戶戶得不到到服務銀行可能能面臨的的安全問問題中斷———攻擊系系統的可可能性竊聽———攻擊系系統的機機密性篡改———攻擊系系統的完完整性偽造———攻擊系系統的真真實性電子商務務涉及安安全的概概括信息的安安全問題題冒名竊聽聽篡改數據據信息丟失失信息傳遞遞出問題題信用的安安全問題題來自買方方的安全全問題來自賣方方的安全全問題買賣雙方方都存在在抵賴的的情況安全的法法律保障障問題技術先進進超前、、法律滯滯后安全的管管理問題題中介管理理問題人員管理理安全管理理員安全管理理規范1.3..1電電子商商務系統統安全概概述電子商務務系統安安全的構構成1.3..2系統統實體安安全所謂實體體安全：：保護計計算機網網絡設備備、設施施以及其其他媒體體免遭地地震、水水災、火火災等環環境事故故以及人人為操作作失誤或或錯誤及及各種計計算機犯犯罪行為為導致的的破壞過過程。它主要包包括三個個方面：：環境安全全、設備備安全和和媒體安安全。環境安全全受災防護護區域防護護設備安全全設備防盜盜設備防毀毀防止電磁磁信息泄泄露防止線路路截獲抗電磁干干擾電源保護護媒體安全全媒體的安安全媒體的防防盜媒體的防防毀媒體的數數據安全全媒體數據據的防盜盜媒體數據據的銷毀毀媒體數據據的防毀毀1.3..3系統統運行安安全所謂運行行安全：：是指為為保障系系統功能能的實現現，提供供一套安安全措施施來保護護信息處處理過程程的安全全系統運行行安全的的組成：：風險分析析審計跟蹤蹤備份與恢恢復應急風險分析析系統設計計前的風風險分析析——潛潛在的安安全隱患患系統試運運行前的的風險分分析———設計的的安全漏漏洞系統運行行期的風風險分析析——運運行的安安全漏洞洞系統運行行后的風風險分析析——系系統的安安全漏洞洞審計跟蹤蹤記錄和跟跟蹤各系系統狀態態的變化化實現對各各種安全全事故系系統的定定位保持、維維護和管管理審計計日志備份與恢恢復提供場點點內高速速度、大大容量自自動的數數據存儲儲、備份份和恢復復提供場點點外的數數據存儲儲、備份份和恢復復提供對系系統設備備的備份份應急應急計劃劃輔助軟軟件緊急事件件或安全全事故發發生時的的影響分分析應急計劃劃的概要要設計或或詳細制制定應急計劃劃的測試試與完善善應急措施施提供實時時應急設設施提供非實實時應急急設施1.3..4信息息安全所謂信息息安全：：是指防防止信息息財產被被故意地地或偶然然地非授授權泄露露、更改改、破壞壞或使信信息被非非法的系系統辨識識、控制制，即信信息安全全要確保保信息的的完整性性、保密密性、可可用性和和可控性性。信息安全全的組成成操作系統統安全數據庫安安全網絡安全全病毒防護護安全訪問控制制安全加密鑒別操作系統統安全操作系統統安全是是指要對對電子商商務系統統的硬件件和軟件件資源實實行有效效的控制制，為所所管理的的資源提提供相應應的安全全保護。。操作系統統安全包包括：安全操作作系統操作系統統安全部部件數據庫安安全安全數據據庫系統統數據庫系系統安全全部件網絡安全全網絡安全全管理安全網絡絡系統網絡系統統安全部部件病毒防護護安全計算機病病毒是指指編制或或在計算算機程序序中插入入的破壞壞計算機機功能、、毀壞數數據、影影響計算算機使用用、并能能自我復復制的一一組計算算機指令令或程序序代碼。。包括：單單機系統統病毒防防護和網網絡系統統病毒防防護訪問控制制安全出入控制制——主主要用于于阻止非非授權用用戶進入入機構或或組織存儲控制制——主主要是提提供主體體訪問客客體時的的存儲控控制加密加密設備備——實實現對數數據的加加密密鑰管理理——提提供對密密鑰的管管理來加加強信息息安全鑒別身份鑒別別——主主要用于于阻止非非授權用用戶對系系統資源源的訪問問完整性鑒鑒別———主要用用于證實實信息內內容未被被非法修修改或遺遺漏不可否認認性鑒別別——證證實發送送方所