信息安全技術

（電子商務安全）2023/2/11第1章電子商務安全概述課程目的與任務通過本課程的學習，對信息安全與加密，及電子商務安全的概念有較全面的了解，掌握在安全網絡環境下構建電子商務安全實用技術，并能具體應用于電子商務的實踐中。電子商務安全技術2023/2/12第1章電子商務安全概述課程的要求理解和掌握電子商務安全的基本概念、理論、技術與體系結構，通過課堂學習、課后復習與習題作業相結合，加深對所學的電子商務安全知識的理解，并能掌握電子商務安全實用技術。電子商務安全技術2023/2/13第1章電子商務安全概述教材管有慶、王曉軍、董小燕，電子商務安全技術(第二版).

，北京郵電大學出版社，2009

2023/2/14第1章電子商務安全概述主要參考書[1]沈昌祥.信息安全導論.北京：電子工業出版社.2009.2023/2/15第1章電子商務安全概述[2]唐四薪．電子商務安全．北京：清華大學出版社，2013.2023/2/16第1章電子商務安全概述[3]WilliamStallingsr．密碼編碼學與網絡安全．唐明

等譯．北京：電子工業出版社，2015.2023/2/17第1章電子商務安全概述考核標準本課程采用閉卷考試總成績=平時成績×30%+考試成績×70%希望大家都能得到好成績2023/2/18第1章電子商務安全概述答疑安排周二上午第2大節在圓樓308房間等待大家的光臨電子郵件答疑

電子商務系辦公室2023/2/19第1章電子商務安全概述電子商務安全技術第1章

電子商務安全概述第2章

密碼學基礎第3章

電子商務安全技術第4章

電子商務中的認證技術第5章

電子商務支付系統第6章

移動電子商務安全第7章安全電子交易協議第8章萬維網安全及萬維網服務安全2023/2/110第1章電子商務安全概述第1章電子商務安全概述

▅1.1電子商務的基本概念

▅1.2電子商務安全概念與需求

▅1.3電子商務安全體系結構

電子商務安全技術2023/2/111第1章電子商務安全概述1.1電子商務的基本概念

因特網的發展過程：1969年：兩強對立，美國建立ARPANET1986年：學術界加入研究成立NSFNET(美國國家科學基金網)1987年：網絡上主機已超過一萬臺走入商業化1990年：internet、WWW興起中國互聯網發展現狀中國互聯網發展信息中心（）2023/2/112第1章電子商務安全概述1.1電子商務的基本概念

2023/2/113第1章電子商務安全概述2023/2/114第1章電子商務安全概述截至2015年6月，我國網民規模達6.68億，半年共計新增網民1894萬人?；ヂ摼W普及率為48.8%，較2014年底提升了0.9個百分點，整體網民規模增速繼續放緩。2023/2/115第1章電子商務安全概述互聯網對個人生活方式的影響進一步深化“互聯網+”行動計劃的出臺，互聯網將在云計算、物聯網及大數據等應用，帶動傳統產業的變革和創新2023/2/116第1章電子商務安全概述2023/2/117第1章電子商務安全概述“互聯網+”相關政策的支持，促進網絡購物快速發展“互聯網+”概念，旨在通過互聯網帶動傳統零售、物流快遞、交通、生產制造等其他行業升級轉型商務部發布的《“互聯網+流通”行動計劃》2023/2/118第1章電子商務安全概述網絡購物在實現消費拉動經濟增長，移動網購、跨境網購和農村網購等將成為新的增長點2023/2/119第1章電子商務安全概述多樣化的移動支付方式重塑用戶消費習慣3D打印、無人機送貨、虛擬試衣等技術的研發和完善,提升用戶體驗2023/2/120第1章電子商務安全概述1.1電子商務的基本概念

ElectronicCommerce/ElectronicBusiness/E-commerce/E-business/E-trade/EC

“電子”+“商務”；電子是手段，商務是結果電子商務是以因特網為媒介、以商品交易雙方為主體、以銀行電子支付與結算為手段的全新商務模式2023/2/121第1章電子商務安全概述1.1.1電子商務內容

1.1.2電子商務分類

1.1.3電子商務架構

1.1.4電子商務意義

2023/2/122第1章電子商務安全概述生活中的電子商務實例實例1—網上訂購CD實例2—網上訂花實例3—網上交易2023/2/123第1章電子商務安全概述中國音像信息中心網站主頁（）2023/2/124第1章電子商務安全概述上海正廣和網上購物中心主頁（）2023/2/125第1章電子商務安全概述阿里巴巴商務網站主頁（）2023/2/126第1章電子商務安全概述1.1.1電子商務內容

網上商業信息服務如：網上商店的商品信息網絡銀行的金融服務信息電子購物和交易

如：在網上商店選購商品電子銀行與金融交易服務如：在網絡銀行進行帳務處理2023/2/127第1章電子商務安全概述電子商務必須面對的四大層面信息流采用電子信息交換，解決好信息流的問題，將是電子商務成功的關鍵資金流一個真正的商務過程的完成，必須靠資金的轉移來實現物流商品轉移安全假冒、欺詐、抵賴、泄密……2023/2/128第1章電子商務安全概述1.信息流信息流主要是傳遞消費者的訂單資料,其中包含消費者的數據(收件人、收件地址、收件時間),以及訂購的產品信息(產品名稱、數量)。信息流發生在消費者、電子商務網站、以及產品的發貨中心。網絡消費者

電子商務網站

發貨中心

消費者上網訂購并提供付款資料

訂單資料

2023/2/129第1章電子商務安全概述2.資金流資金流主要處理電子商務中的付款機制，所傳遞的資料主要為消費者的付款資料，而此資料必須保證安全性及正確性，因此必須配合加密及認證技術來完成。資金流主要發生在電子商務網站及金融機構之間。電子商務網站

確認消費者付款資料

請款

金融機構

2023/2/130第1章電子商務安全概述3.物流物流處理實體的貨物運送,倘若所銷售的是數字化的產品,將沒有實際的物流；若是實體貨物,則物流是電子商務三流程之中,成本最高的部分。物流會發生在發貨中心及消費者之間。網絡消費者

發貨中心

貨品送達客戶

2023/2/131第1章電子商務安全概述電子商務的流程網絡消費者電子商務網站發貨中心

金融機構

1.消費者上網訂購并提供付款資料

2.確認付款5.請款3.訂單資料4.貨品送達客戶

信息流資金流物流2023/2/132第1章電子商務安全概述4.安全網絡雖有傳遞快速、方便、成本低廉的好處，但網絡資料的安全性卻也比較令人擔憂把在網絡上傳遞的資料加密,即可解決網絡資料安全性的問題。

身份認證則是讓沒有面對面的交易雙方,具有交易對象身份的確認以及交易的不可否認性2023/2/133第1章電子商務安全概述1.1.2電子商務分類企業間的電子商務(B2B)企業通過計算機網絡向它的供應商進行采購與付款企業與消費者之間的電子商務(B2C)許多大型的網絡商店，所出售的商品一應俱全政府與企業之間的電子商務(G2B)

政府將采購，通過網上競價方式進行招標，企業也要通過電子商務的方式進行投標政府與消費者之間的電子商務(G2C)

社會福利金的支付、個人所得稅的征收電子商務按照應用群體的角度進行分類

2023/2/134第1章電子商務安全概述1.1.3電子商務架構遠程教育股票交易網上訂票網上商店網上交稅遠程醫療網上銀行……認證中心CA、支付網關、社會配送體系等基礎平臺網絡基礎設施相關政策法律法規技術標準安全協議2023/2/135第1章電子商務安全概述1.1.3電子商務架構底層是網絡基礎平臺是信息傳送的載體和用戶接入手段，它包括各種各樣的網絡傳輸平臺、網絡傳輸設備和網絡接入方式等中間層是電子商務基礎平臺(1)基本加密算法層(2)基本安全技術層(3)安全協議層第三層是各種各樣的電子商務業務(應用)系統包括支付型業務系統和非支付型業務系統。電子商務業務系統中主要是支付型業務系統三層框架2023/2/136第1章電子商務安全概述1.1.4電子商務意義全球化電子商務能夠讓商家向全球范圍內的客戶提供商品，也可以讓客戶在全球范圍內選購商品電子商務實現在線銷售、在線購物、在線支付，使商家和企業能及時跟蹤顧客的購物趨勢成本降低省去了中間環節，通過高效的信息傳遞手段，使得網上業務的運行成本大大降低商家和企業可以利用電子商務，同合作伙伴保持密切的聯系，改善合作關系

2023/2/137第1章電子商務安全概述1.1.4電子商務意義商家和企業可以利用電子商務在網上廣泛傳播自己的獨特形象通過電子商務可以促使商家和企業內部之間的信息交流，內部與外部的信息交流，及時得到各種信息，保證決策的科學性和及時性2023/2/138第1章電子商務安全概述1.2電子商務安全概念與需求1.2.1安全層面1.2.2安全威脅1.2.3安全需求

電子商務的安全與其他計算機應用系統的安全一樣，是一個完整的安全體系結構，它包含了從物理硬件到人員管理的各個方面，任何一個方面的缺陷都將在一定程度上影響整個電子商務系統的安全性2023/2/139第1章電子商務安全概述1.2.2安全威脅在一個調查報告中，調研樣本中有3526位網民未使用過網上銀行，在分析其不使用網上銀行的原因時發現，排在最前的因素是網民擔心交易安全問題(56.1%)2023/2/140第1章電子商務安全概述2014年國內和國際網絡信息安全大事件國內事件攜程信息“安全門”事件敲響網絡消費安全警鐘

小米800萬用戶數據泄露

快遞公司官網遭入侵泄露1400萬用戶快遞數據

130萬考研用戶信息被泄露

12306網站超13萬用戶數據遭泄露

2023/2/141第1章電子商務安全概述國際事件1.微軟正式停止對XP系統技術支持

2.iCloud曝安全漏洞蘋果陷入“艷照門”事件

3.摩根大通銀行被黑

8300萬客戶信息泄露4.2000萬韓國人信用卡信息被盜

2023/2/142第1章電子商務安全概述1.2.2安全威脅目前電子商務發展面臨的主要問題之一是如何保障電子商務交易過程中的安全性。交易的安全是網上貿易的基礎和保障，同時也是電子商務技術的難點交易安全是電子商務系統所特有的安全要求。2023/2/143第1章電子商務安全概述在交易過程中，消費者和商家面臨的安全威脅通常有：

虛假定單：假冒者以客戶名義訂購商品，而要求客戶付款或返還商品付款后收不到商品商家發貨后，得不到付款2023/2/144第1章電子商務安全概述1.2.2安全威脅機密性喪失PIN或口令在傳輸過程中丟失；商家的定單確認信息被竄改電子貨幣丟失可能是物理破壞，或者被偷竊。這個通常會給用戶帶來不可挽回的損失非法存取指未經授權者進入計算機系統中，存取數據的情形；或合法授權者另有其他目的地使用系統侵入攻擊者在入侵系統后離去，并為日后的攻擊行為預留管道。如：木馬病毒2023/2/145第1章電子商務安全概述1.2.2安全威脅通信監聽攻擊者無須入侵系統即可竊取到機密信息；欺詐攻擊者偽造數據或通信程序以竊取機密信息。例如，安裝偽造的服務器系統以欺騙使用者主動泄漏機密；拒絕服務攻擊者造成合法使用者存取信息時被拒絕的情況；否認交易雙方之一方在交易后，否認該交易曾經發生，或曾授權進行此交易的事實2023/2/146第1章電子商務安全概述1.2.3安全需求

因特網本身的開放性及目前網絡技術發展的局限性導致網上交易面臨著種種安全性威脅。交易與支付安全問題可歸結為如下幾個核心問題：可靠性、保密性、完整性、抗否認性、匿名性、原子性和有效性。

2023/2/147第1章電子商務安全概述1.2.3安全需求1.可靠性傳統交易:交易雙方主要是面對面進交易行活動的，易于身份驗證電子商務模式：網上進行交易的雙方大多素昧平生電子商務首要的安全需求:保證身份的可認證性，確保交易雙方身份信息的可靠，防止攻擊者以假冒身份在網上進行交易和詐騙。2023/2/148第1章電子商務安全概述1.2.3安全需求2.保密性傳統的交易面對面地進行敏感信息的交換通過專用、封閉的安全通信信道進行交換。利用保險柜保存機密文件。電子商務模式電子商務是建立在開放的網絡環境上電子商務系統的最根本的安全需求：維護敏感信息的機密性，保證敏感信息的安全傳輸和存儲。實現方法：加密2023/2/149第1章電子商務安全概述1.2.3安全需求3.完整性電子商務系統應防止對交易信息的篡改，防止數據傳輸過程中交易信息的丟失和重復，并保證信息傳遞次序的統一。當網絡面臨主動攻擊時，攻擊者通過篡改或部分刪除交易過程中發送的信息，破壞信息的完整性，使交易的雙方蒙受損失。例如，用戶A截取C的郵購地址A的郵購地址網上書店2023/2/150第1章電子商務安全概述1.2.3安全需求4.不可否認性傳統交易交易雙方通過在書面文件上手寫簽名方式確定書面文件的可靠性，預防抵賴行為的發生。

電子商務模式無紙化的電子交易無法通過傳統的“白紙黑字”方式防止交易參與方的抵賴行為。不可否認性需求保證電子交易過程中的各個環節都必須是不可否認的2023/2/151第1章電子商務安全概述1.2.3安全需求5.匿名性

電子商務系統應確保交易的匿名性，防止交易過程被跟蹤，保證交易過程中不把用戶的個人信息泄露給未知的或不可信的個體，確保合法用戶的隱私不被侵犯。2023/2/152第1章電子商務安全概述6.原子性原子性包括：錢原子性(moneyatomicity)、商品原子性(goodsatomicity)、確認發送原子性(certifieddeliveryatomicity)。原子性是滿足商品交易的要求之一。2023/2/153第1章電子商務安全概述1.2.3安全需求7.有效性電子商務系統應有效防止系統延遲或拒絕服務情況的發生保證交易數據在確定的時刻、確定的地點是有效的。

2023/2/154第1章電子商務安全概述1.3電子商務安全體系結構

電子商務安全系統結構組成：由網絡服務層加密技術層安全認證層交易協議層商務應用系統層等5個層次組成

電子商務的安全體系結構是保證電子商務中數據安全的一個完整的邏輯結構，同時它也為交易過程的安全提供了基本保障

2023/2/155第1章電子商務安全概述電子商務安全體系結構圖網絡安全交易安全2023/2/156第1章電子商務安全概述1.3電子商務安全體系結構

電子商務安全問題可歸結為網絡安全和商務交易安全這兩個方面。

計算機網絡安全和商務交易安全是密不可分的，兩者相輔相成、缺一不可。2023/2/157第1章電子商務安全概述1.3.1網絡安全：網絡服務層提供網絡安全1.3.1交易安全加密技術層、安全認證層、交易協議層、商務系統層滿足電子商務所特有的安全要求——商務交易安全2023/2/158第1章電子商務安全概述1.3.1網絡安全網絡服務層也提供計算機網絡安全。計算機網絡安全主要包括：計算機網絡的物理安全、計算機網絡系統安全和數據庫安全等。計算機網絡安全采用的主要安全技術有：防火墻技術、加密技術、漏洞掃描技術、入侵檢測技術、反病毒技術和安全審計技術等，用以保證計算機網絡自身的安全。2023/2/159第1章電子商務安全概述1.3.1網絡安全1.防火墻技術2023/2/160第1章電子商務安全概述1.3.1網絡安全2.加密技術數據加密技術可以用來保護網絡系統中包括用戶數據在內的所有數據流。3.漏洞掃描技術漏洞掃描是自動檢測遠端或本地主機安全漏洞的技術。4.入侵檢測技術入侵檢測技術通過獲取網絡上的所有報文，并對報文進行分析處理2023/2/161第1章電子商務安全概述1.3.1網絡安全5.反病毒技術反病毒技術大體分為：病毒檢測病毒清除病毒免疫病毒預防6.安全審計技術

2