電子商務安全制作：王鑫對外經貿大學出版社電子商務安全制作：王鑫對外經貿大學出版社1第1章電子商務安全概述任務驅動資源共享、快速、便捷是電子商務迅速發展的原因，而這種基于Internet網絡的開放性使電子商務在安全方面先天不足。現在，電子商務的安全問題越來越突出，已經成為制約電子商務快速發展的障礙。如何保障電子商務活動的安全，一直是電子商務研究的核心問題。過本章學習，學生應該能理解電子商務安全的基本概念，了解電子商務面臨的安全問題，掌握電子商務的基本安全需求，熟悉電子商務安全的基礎知識，并能夠說明電子商務安全管理的基本思路和方法。第1章電子商務安全概述任務驅動2第1章電子商務安全概述本章內容1.1電子商務安全概念及特點1.2電子商務面臨的安全問題1.3電子商務的安全需求1.4電子商務安全基礎1.5電子商務安全管理第1章電子商務安全概述本章內容31.1電子商務安全概念及特點電子商務的一個重要技術特征是利用IT技術來傳輸和處理商業信息。因此，電子商務安全從整體上可分為兩大部分：計算機網絡安全和商務交易安全。計算機網絡安全的內容包括：計算機網絡設備安全、計算機網絡系統安全、數據庫安全等。其特征是針對計算機網絡本身可能存在的安全問題，實施網絡安全增強方案，以保證計算機網絡自身的安全為目標。商務交易安全則緊緊圍繞傳統商務在互聯網絡上應用時產生的各種安全問題，在計算機網絡安全的基礎上，保障以電子交易和電子支付為核心的電子商務過程的順利進行。即實現電子商務保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。1.1電子商務安全概念及特點電子商務的一個重要技術特征是41.1電子商務安全概念及特點電子商務安全具有如下四大特性：1．電子商務安全是一個系統概念2．電子商務安全是相對的3．電子商務安全是有代價的4．電子商務安全是發展的、動態的1.1電子商務安全概念及特點電子商務安全具有如下四大特性51.2電子商務面臨的安全問題1.2.1電子商務網絡系統自身的安全問題1．物理實體的安全問題⑴設備的機能失常⑵電源故障⑶由于電磁泄漏引起的信息失密⑷搭線竊聽⑸自然災害2．計算機軟件系統潛在的安全問題3．網絡協議的安全漏洞4．黑客的惡意攻擊5．計算機病毒攻擊6．安全產品使用不當1.2電子商務面臨的安全問題1.2.1電子商務網絡系統自61.2電子商務面臨的安全問題1.2.2電子商務交易信息傳輸過程中的安全問題⑴信息機密性面臨的威脅——信息在傳輸過程中被竊?、菩畔⑼暾悦媾R的威脅——信息在傳輸過程中被篡改、刪除或插入⑶交易信息的可認證性面臨的威脅——抵賴做過的交易或傳輸的信息⑷交易雙方身份真實性面臨的威脅——假冒他人身份1.2電子商務面臨的安全問題1.2.2電子商務交易信息傳71.2電子商務面臨的安全問題1.2.3電子商務企業內部安全管理問題⑴網絡安全管理制度問題⑵硬件資源的安全管理問題⑶軟件和數據的維護與備份安全管理問題1.2.4電子商務安全法律保障問題主要涉及的法律主要有國際加密問題、網絡鏈接問題、網絡隱私問題、域名侵權糾紛問題、電子商務的稅收問題，還有電子商務交易中提供參與方合法身份認證的CA中心涉及的法律問題，電子合同簽訂涉及的法律問題，交易后電子記錄的證據力問題及網絡知識產權涉及的法律問題等。

1.2電子商務面臨的安全問題1.2.3電子商務企業內部安81.2電子商務面臨的安全問題1.2.5電子商務的信用安全問題1.2.6電子商務安全支付問題⑴在通信線路上進行竊聽，并濫用收集的數據(如信用卡號等)。⑵向經過授權的支付系統參與方發送偽造的消息，以破壞系統的正常運作來盜用交換的財產(如商品、現金等)。⑶不誠實的支付系統參與方，試圖獲取并濫用自己無權讀取或使用的支付交易數據。

1.2電子商務面臨的安全問題1.2.5電子商務的信用安全91.3電子商務的安全需求電子商務面臨的威脅導致了對電子商務安全的需求。真正實現一個安全電子商務系統所要求做到的各個方面主要包括：機密性、完整性、認證性、不可抵賴性、不可拒絕性、訪問控制性等安全需求，如圖1-2所示。1.3電子商務的安全需求電子商務面臨的威脅導致了對電子商務101.3電子商務的安全需求1．機密性機密性(Confidentiality)又叫保密性，是指信息在傳送或存儲的過程中不被他人竊取、不被泄露或披露給未經授權的人或組織，或者經過加密偽裝后，使未經授權者無法了解其內容。機密性一般通過密碼技術對保密的信息進行加密處理來實現。電子商務的信息幾乎都有加密的要求，如信用卡號、用戶名和密碼、訂貨信息、付款……這些信息被人竊取后，會造成直接經濟損失，或者貽誤商機。2．完整性完整性(Integrity)又叫真確性，是保護數據不被未授權者修改、建立、嵌入、刪除、重復傳送或由于其他原因使原始數據被更改。完整性一般可通過提取信息消息摘要的方式來獲得。1.3電子商務的安全需求1．機密性111.3電子商務的安全需求3．認證性認證性(Authentication)是指網絡兩端的使用者在溝通之前相互確認對方的身份。在電子商務中，認證性一般都通過證書機構CA和證書來實現。4．不可抵賴性不可抵賴性又叫不可否認性(Non-repudiation)，是指信息的發送方不能否認已發送的信息，接收方不能否認已收到的信息，這是一種法律有效性要求。不可抵賴性可通過對發送的消息進行數字簽名來獲得。1.3電子商務的安全需求3．認證性121.3電子商務的安全需求5．不可拒絕性商務服務的不可拒絕性(DenialofService)又叫有效性，或可用性，是保證授權用戶在正常訪問信息和資源時不被拒絕，即保證為用戶提供穩定的服務。6．訪問控制性訪問控制性(AccessControl)是指在網絡上限制和控制通信鏈路對主機系統和應用的訪問；用于保護計算機系統的資源(信息、計算和通信資源)不被未經授權人或未授權方式接入、使用、修改、破壞、發出指令或植入程序等。1.3電子商務的安全需求5．不可拒絕性131.4電子商務安全基礎1.4.1電子商務安全基礎技術1．密碼技術現代社會對信息安全的需求大部分可以通過密碼技術來實現。密碼技術是信息安全的核心技術。它主要包括加密、簽名認證和密鑰管理三大技術。2．網絡安全技術網絡安全是電子商務安全的基礎，一個完整的電子商務系統應建立在安全的網絡基礎設施之上。網絡安全技術所涉及的方面比較廣，如操作系統安全、防火墻技術、虛擬專用網VPN技術、各種反黑客技術和漏洞檢測技術等各種網絡安全防范技術。當前在電子商務領域應用最廣泛的是防火墻技術、虛擬專用網技術和入侵檢測技術。3．PKI技術PKI是公鑰基礎設施PublicKeyInfrastructure的英文縮寫，PKI技術是普適性的安全基礎設施，是利用公鑰算法原理和技術為網上通信提供通用安全服務的基礎設施。它為電子商務、電子政務、網上銀行證券等提供一整套安全基礎平臺。1.4電子商務安全基礎1.4.1電子商務安全基礎技術141.4電子商務安全基礎1.4.2電子商務安全體系結構電子商務安全技術體系結構是保證電子商務中數據安全的一個完整的邏輯結構，由網絡服務層、加密技術層、安全認證層、安全協議層、應用系統層組成。從圖1-3中的層次結構可以看出，下層是上層的基礎，為上層提供技術支持；上層是下層的擴展與遞進。各層次之間相互依賴、相互關聯構成統一整體。各層通過控制技術的遞進，實現電子商務系統的安全。電子商務系統是依賴網絡實現的商務系統，需要利用Internet基礎設施和標準，所以構成電子商務安全框架的底層是網絡服務層，它提供信息傳送的載體和用戶接入的手段，是各種電子商務應用系統的基礎，為電子商務系統提供了基本、靈活的網絡服務。1.4電子商務安全基礎1.4.2電子商務安全體系結構151.4電子商務安全基礎1.4.3電子商務安全服務規范1．網絡層安全服務標準2．傳輸層的安全服務⑴安全套接層協議(SecuritySocketLayer，SSL)。⑴安全套接層協議(SecuritySocketLayer，SSL)。3．應用層安全服務⑴安全超文本傳輸協議⑵安全電子交易協議⑶Kerberos協議⑷S∕MIME和PGP⑸其他實用電子支付協議1.4電子商務安全基礎1.4.3電子商務安全服務規范161.5電子商務安全管理1.5.1電子商務安全管理的思路所謂電子商務的安全管理，就是通過一個完整的綜合保障體系，規避電子商務交易過程的風險(包括信息傳輸風險、信用風險、管理風險、法律風險、網上支付風險等)，以保證網上交易的順利進行。電子商務安全性問題是虛擬的電子商務市場環境中的首要問題。其一，電子商務交易與傳統商務交易一樣都需要遵循市場競爭規則——它保證電子商務交易的公平、公正和公開。如果無法保證電子商務市場交易的安全，可能導致非法的交易或者損害合法交易的利益，使虛擬的市場規則無法貫徹執行，所以電子商務安全問題是保證市場游戲規則順利實施的前提；其二，實施電子商務交易的目的是降低交易成本。如果電子商務交易安全性無法得到保證，造成合法交易雙方利益的損失，即意味著交易成本更高或者可能導致交易雙方為規避風險選擇傳統的更安全的交易方式，這樣勢必制約電子商務市場的發展。所以電子商務安全問題是保證電子商務交易市場順利發展的前提。因此，確保電子商務交易安全是電子商務市場要解決的首要問題和基本問題，這需要各方配合加強對網上交易安全性的監管。1.5電子商務安全管理1.5.1電子商務安全管理的思路171.5電子商務安全管理1.5.2電子商務安全管理方法1．電子商務安全技術⑴電子商務交易方自身網絡安全保障技術為了維護電子商務交易者內部網絡的安全性可以采取以下4種不同的技術：①用戶賬號管理和網絡殺毒技術；②防火墻技術；③虛擬專網技術；④入侵檢測技術。1.5電子商務安全管理1.5.2電子商務安全管理方法181.5電子商務安全管理⑵電子商務信息傳輸安全保障技術要保證電子商務信息傳輸過程中的機密性和完整性，一般采用加密技術和數字摘要技術來實現。⑶身份和信息認證技術安全認證技術是保證電子商務交易安全的一項重要技術。安全認證主要包括身份認證和交易信息認證。前者用于鑒別用戶身份，保證交易雙方身份的真實性，后者用于保證通信雙方的不可抵賴性和交易信息的完整性。⑷電子商務安全支付技術在電子商務中如何才能進行安全的網上支付，是用戶、商家及金融機構(銀行與發卡機構)最為關注的問題之一。1.5電子商務安全管理⑵電子商務信息傳輸安全保障技術191.5電子商務安全管理2．電子商務安全管理制度⑴人員管理制度⑵保密制度⑶跟蹤、審計、稽核制度⑷網絡系統的日常維護制度①硬件的日常管理和維護。②軟件的日常管理和維護。③數據備份制度。1.5電子商務安全管理2．電子商務安全管理制度201.5電子商務安全管理⑸病毒防范制度①給自己的計算機安裝防病毒軟件。②不打開陌生地址的電子郵件。③認真執行病毒定期清理制度。④控制權限。⑤高度警惕網絡陷阱。⑹應急措施①瞬時復制技術。②遠程磁盤鏡像技術。③數據庫恢復技術。1.5電子商務安全管理⑸病毒防范制度211.5電子商務安全管理3．電子商務安全法律制度市場經濟是法治經濟，電子商務的發展需要建設和完善相關的法律體系。雖然技術專家已從技術角度開發了許多保證電子商務交易安全順利進行的技術保障措施，但仍難以完全保障網上交易的安全性，因此使許多企業和消費者對網絡上交易的安全心存疑慮。他們擔心合同的執行、賠償、個人隱私、資金安全、知識產權保護、稅收等諸問題難以解決，從而妨礙他們積極參與網上交易。因此，研究與制定網上法律，采取相應的法律保障措施勢在必行。目前，各國政府正在加大法律調整的研究力度，紛紛出臺各種法律法規，規范網上交易行為。1.5電子商務安全管理3．電子商務安全法律制度22電子商務安全制作：王鑫對外經貿大學出版社電子商務安全制作：王鑫對外經貿大學出版社23第1章電子商務安全概述任務驅動資源共享、快速、便捷是電子商務迅速發展的原因，而這種基于Internet網絡的開放性使電子商務在安全方面先天不足。現在，電子商務的安全問題越來越突出，已經成為制約電子商務快速發展的障礙。如何保障電子商務活動的安全，一直是電子商務研究的核心問題。過本章學習，學生應該能理解電子商務安全的基本概念，了解電子商務面臨的安全問題，掌握電子商務的基本安全需求，熟悉電子商務安全的基礎知識，并能夠說明電子商務安全管理的基本思路和方法。第1章電子商務安全概述任務驅動24第1章電子商務安全概述本章內容1.1電子商務安全概念及特點1.2電子商務面臨的安全問題1.3電子商務的安全需求1.4電子商務安全基礎1.5電子商務安全管理第1章電子商務安全概述本章內容251.1電子商務安全概念及特點電子商務的一個重要技術特征是利用IT技術來傳輸和處理商業信息。因此，電子商務安全從整體上可分為兩大部分：計算機網絡安全和商務交易安全。計算機網絡安全的內容包括：計算機網絡設備安全、計算機網絡系統安全、數據庫安全等。其特征是針對計算機網絡本身可能存在的安全問題，實施網絡安全增強方案，以保證計算機網絡自身的安全為目標。商務交易安全則緊緊圍繞傳統商務在互聯網絡上應用時產生的各種安全問題，在計算機網絡安全的基礎上，保障以電子交易和電子支付為核心的電子商務過程的順利進行。即實現電子商務保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。1.1電子商務安全概念及特點電子商務的一個重要技術特征是261.1電子商務安全概念及特點電子商務安全具有如下四大特性：1．電子商務安全是一個系統概念2．電子商務安全是相對的3．電子商務安全是有代價的4．電子商務安全是發展的、動態的1.1電子商務安全概念及特點電子商務安全具有如下四大特性271.2電子商務面臨的安全問題1.2.1電子商務網絡系統自身的安全問題1．物理實體的安全問題⑴設備的機能失常⑵電源故障⑶由于電磁泄漏引起的信息失密⑷搭線竊聽⑸自然災害2．計算機軟件系統潛在的安全問題3．網絡協議的安全漏洞4．黑客的惡意攻擊5．計算機病毒攻擊6．安全產品使用不當1.2電子商務面臨的安全問題1.2.1電子商務網絡系統自281.2電子商務面臨的安全問題1.2.2電子商務交易信息傳輸過程中的安全問題⑴信息機密性面臨的威脅——信息在傳輸過程中被竊取⑵信息完整性面臨的威脅——信息在傳輸過程中被篡改、刪除或插入⑶交易信息的可認證性面臨的威脅——抵賴做過的交易或傳輸的信息⑷交易雙方身份真實性面臨的威脅——假冒他人身份1.2電子商務面臨的安全問題1.2.2電子商務交易信息傳291.2電子商務面臨的安全問題1.2.3電子商務企業內部安全管理問題⑴網絡安全管理制度問題⑵硬件資源的安全管理問題⑶軟件和數據的維護與備份安全管理問題1.2.4電子商務安全法律保障問題主要涉及的法律主要有國際加密問題、網絡鏈接問題、網絡隱私問題、域名侵權糾紛問題、電子商務的稅收問題，還有電子商務交易中提供參與方合法身份認證的CA中心涉及的法律問題，電子合同簽訂涉及的法律問題，交易后電子記錄的證據力問題及網絡知識產權涉及的法律問題等。

1.2電子商務面臨的安全問題1.2.3電子商務企業內部安301.2電子商務面臨的安全問題1.2.5電子商務的信用安全問題1.2.6電子商務安全支付問題⑴在通信線路上進行竊聽，并濫用收集的數據(如信用卡號等)。⑵向經過授權的支付系統參與方發送偽造的消息，以破壞系統的正常運作來盜用交換的財產(如商品、現金等)。⑶不誠實的支付系統參與方，試圖獲取并濫用自己無權讀取或使用的支付交易數據。

1.2電子商務面臨的安全問題1.2.5電子商務的信用安全311.3電子商務的安全需求電子商務面臨的威脅導致了對電子商務安全的需求。真正實現一個安全電子商務系統所要求做到的各個方面主要包括：機密性、完整性、認證性、不可抵賴性、不可拒絕性、訪問控制性等安全需求，如圖1-2所示。1.3電子商務的安全需求電子商務面臨的威脅導致了對電子商務321.3電子商務的安全需求1．機密性機密性(Confidentiality)又叫保密性，是指信息在傳送或存儲的過程中不被他人竊取、不被泄露或披露給未經授權的人或組織，或者經過加密偽裝后，使未經授權者無法了解其內容。機密性一般通過密碼技術對保密的信息進行加密處理來實現。電子商務的信息幾乎都有加密的要求，如信用卡號、用戶名和密碼、訂貨信息、付款……這些信息被人竊取后，會造成直接經濟損失，或者貽誤商機。2．完整性完整性(Integrity)又叫真確性，是保護數據不被未授權者修改、建立、嵌入、刪除、重復傳送或由于其他原因使原始數據被更改。完整性一般可通過提取信息消息摘要的方式來獲得。1.3電子商務的安全需求1．機密性331.3電子商務的安全需求3．認證性認證性(Authentication)是指網絡兩端的使用者在溝通之前相互確認對方的身份。在電子商務中，認證性一般都通過證書機構CA和證書來實現。4．不可抵賴性不可抵賴性又叫不可否認性(Non-repudiation)，是指信息的發送方不能否認已發送的信息，接收方不能否認已收到的信息，這是一種法律有效性要求。不可抵賴性可通過對發送的消息進行數字簽名來獲得。1.3電子商務的安全需求3．認證性341.3電子商務的安全需求5．不可拒絕性商務服務的不可拒絕性(DenialofService)又叫有效性，或可用性，是保證授權用戶在正常訪問信息和資源時不被拒絕，即保證為用戶提供穩定的服務。6．訪問控制性訪問控制性(AccessControl)是指在網絡上限制和控制通信鏈路對主機系統和應用的訪問；用于保護計算機系統的資源(信息、計算和通信資源)不被未經授權人或未授權方式接入、使用、修改、破壞、發出指令或植入程序等。1.3電子商務的安全需求5．不可拒絕性351.4電子商務安全基礎1.4.1電子商務安全基礎技術1．密碼技術現代社會對信息安全的需求大部分可以通過密碼技術來實現。密碼技術是信息安全的核心技術。它主要包括加密、簽名認證和密鑰管理三大技術。2．網絡安全技術網絡安全是電子商務安全的基礎，一個完整的電子商務系統應建立在安全的網絡基礎設施之上。網絡安全技術所涉及的方面比較廣，如操作系統安全、防火墻技術、虛擬專用網VPN技術、各種反黑客技術和漏洞檢測技術等各種網絡安全防范技術。當前在電子商務領域應用最廣泛的是防火墻技術、虛擬專用網技術和入侵檢測技術。3．PKI技術PKI是公鑰基礎設施PublicKeyInfrastructure的英文縮寫，PKI技術是普適性的安全基礎設施，是利用公鑰算法原理和技術為網上通信提供通用安全服務的基礎設施。它為電子商務、電子政務、網上銀行證券等提供一整套安全基礎平臺。1.4電子商務安全基礎1.4.1電子商務安全基礎技術361.4電子商務安全基礎1.4.2電子商務安全體系結構電子商務安全技術體系結構是保證電子商務中數據安全的一個完整的邏輯結構，由網絡服務層、加密技術層、安全認證層、安全協議層、應用系統層組成。從圖1-3中的層次結構可以看出，下層是上層的基礎，為上層提供技術支持；上層是下層的擴展與遞進。各層次之間相互依賴、相互關聯構成統一整體。各層通過控制技術的遞進，實現電子商務系統的安全。電子商務系統是依賴網絡實現的商務系統，需要利用Internet基礎設施和標準，所以構成電子商務安全框架的底層是網絡服務層，它提供信息傳送的載體和用戶接入的手段，是各種電子商務應用系統的基礎，為電子商務系統提供了基本、靈活的網絡服務。1.4電子商務安全基礎1.4.2電子商務安全體系結構371.4電子商務安全基礎1.4.3電子商務安全服務規范1．網絡層安全服務標準2．傳輸層的安全服務⑴安全套接層協議(SecuritySocketLayer，SSL)。⑴安全套接層協議(SecuritySocketLayer，SSL)。3．應用層安全服務⑴安全超文本傳輸協議⑵安全電子交易協議⑶Kerberos協議⑷S∕MIME和PGP⑸其他實用電子支付協議1.4電子商務安全基礎1.4.3電子商務安全服務規范381.5電子商務安全管理1.5.1電子商務安全管理的思路所謂電子商務的安全管理，就是通過一個完整的綜合保障體系，規避電子商務交易過程的風險(包括信息傳輸風險、信用風險、管理風險、法律風險、網上支付風險等)，以保證網上交易的順利進行。電子商務安全性問題是虛擬的電子商務市場環境中的首要問題。其一，電子商務交易與傳統商務交易一樣都需要遵循市場競爭規則——它保證電子商務交易的公平、公正和公開。如果無法保證電子商務市場交易的安全，可能導致非法的交易或者損害合法交易的利益，使虛擬的市場規則無法貫徹執行，所以電子商務安全問題是保證市場游戲規則順利實施的前提；其二，實施電子商務交易的目的是降低交易成本。如果電子商務交易安全性無法得到保證，造成合法交易雙方利益的損失，即意味著交易成本更高或者可能導致交易雙方為規避風險選擇傳統的更安全的交易方式，這樣勢必制約電子商務市場的發展。所以電子商務安全問題是保證電子商務交易市場順利發展的前提。因此，確保電子商務交易安全是電子商務市場要解決的首要問題和基本問題，這需要各方配合加強對網上交易安全性的監管。1.5電子商務安全管理1.5.1電子