第六章

電子商務(wù)安全CONTENTS目錄O1電子商務(wù)安全概述O2電子商務(wù)安全技術(shù)O3電子商務(wù)安全管理措施PARTONE電子商務(wù)安全概述第一節(jié)電子商務(wù)安全的概念

從狹義上講，電子商務(wù)安全是指電子商務(wù)信息安全，即信息的存儲和傳輸安全。

從廣義上講，它包含電子商務(wù)運行中的各種安全問題，如電子商務(wù)系統(tǒng)的軟硬件安全、運行和管理安全、支付安全和電子商務(wù)安全立法等內(nèi)容。電子商務(wù)面臨的安全威脅計算機病毒流氓軟件木馬程序網(wǎng)絡(luò)釣魚系統(tǒng)漏洞

網(wǎng)絡(luò)內(nèi)部威脅主要是指源自組織內(nèi)部人員（如員工、前員工、承包商、業(yè)務(wù)合作伙伴等）的網(wǎng)絡(luò)安全風(fēng)險。這些威脅可能是有意的惡意行為，也可能是無意的疏忽行為，但都會對組織的網(wǎng)絡(luò)安全和數(shù)據(jù)安全構(gòu)成重大挑戰(zhàn)。外部威脅內(nèi)部威脅

電子商務(wù)用戶隱私安全主要涉及用戶個人信息的保護。為了保障電子商務(wù)用戶隱私安全，需要從多個層面出發(fā)，構(gòu)建全方位的安全防護體系。

首先，電子商務(wù)平臺應(yīng)加強自身的信息安全建設(shè)，采用先進的加密技術(shù)和安全協(xié)議，確保用戶數(shù)據(jù)在傳輸和存儲過程中的安全性。

其次，政府和相關(guān)監(jiān)管機構(gòu)應(yīng)加大對電子商務(wù)行業(yè)的監(jiān)管力度，制定更為嚴(yán)格的數(shù)據(jù)保護法律法規(guī)，明確企業(yè)和個人在數(shù)據(jù)收集、使用、共享等方面的權(quán)利和義務(wù)。

此外，用戶自身也應(yīng)提高隱私保護意識，謹(jǐn)慎處理自己的個人信息。電子商務(wù)用戶隱私安全電子商務(wù)對安全的基本要求機密性完整性認證性不可否認性可靠性PARTTWO電子商務(wù)安全技術(shù)第二節(jié)電子商務(wù)系統(tǒng)的安全示意圖

防火墻技術(shù)是一種針對互聯(lián)網(wǎng)不安全因素所采取的保護措施，用于在內(nèi)部網(wǎng)與外部網(wǎng)、專用網(wǎng)與公共網(wǎng)等多個網(wǎng)絡(luò)系統(tǒng)之間構(gòu)造安全的保護屏障，阻擋外部不安全的因素，防止未授權(quán)用戶非法侵入防火墻主要由服務(wù)訪問政策、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)關(guān)個部分組成。功能：模式的變化、功能多樣化、性能的提升電子商務(wù)防火墻技術(shù)數(shù)據(jù)加密標(biāo)準(zhǔn)高級加密標(biāo)準(zhǔn)三重數(shù)據(jù)加密標(biāo)準(zhǔn)010203電子商務(wù)加密技術(shù)對稱加密技術(shù)

對稱加密算法也稱私鑰加密算法，是指加密密鑰和解密密鑰為同一密鑰的密碼算法。對稱加密采用對稱密碼編輯技術(shù)，要求發(fā)送方和接收方使用相同的密鑰，即文件加密與解密要使用相同的密鑰。非對稱加密的工作流程（1）乙方生成一對密鑰（公鑰和私鑰）并向其他方公開公鑰。（2）得到公鑰的甲方使用該密鑰對機密信息進行加密，然后再發(fā)送給乙方。（3）乙方用自己保存的專用密鑰（私鑰）對加密后的信息進行解密。電子商務(wù)加密技術(shù)非對稱加密技術(shù)

非對稱加密技術(shù)使用公開密鑰和私有密鑰來進行加密和解密。非對稱加密技術(shù)比對稱加密技術(shù)的安全性更好，使攻擊者即便截獲了傳輸?shù)拿芪牟⒌玫焦€也無法解密。但非對稱加密需要的時間更長、速度更慢。因此，非對稱加密技術(shù)只適合對少量數(shù)據(jù)進行加密。電子商務(wù)認證技術(shù)是一種鑒別、確認用戶身份的技術(shù)。身份認證技術(shù)采用單向哈希函數(shù)將需要加密的明文摘要生成一串固定長度的密文，這個密文就是所謂的數(shù)字指紋，并在傳輸信息時將密文加入文件一并傳送給接收方。數(shù)字摘要是一種對交易日期和時間采取的安全措施，由專門的機構(gòu)提供。是一個經(jīng)加密后形成的憑證文檔。數(shù)字時間戳是一種結(jié)合了對稱加密技術(shù)與非對稱加密技術(shù)來進行信息安全傳輸?shù)募夹g(shù)。數(shù)字信封是指用戶用自己的私鑰對原始數(shù)據(jù)的數(shù)字摘要進行加密所得的數(shù)據(jù)。數(shù)字簽名12安全套接層協(xié)議是基于Web應(yīng)用的安全協(xié)議，主要用于解決Web上信息傳輸?shù)陌踩珕栴}。安全電子交易協(xié)議是電子商務(wù)中安全電子交易的一個國際標(biāo)準(zhǔn)。SET協(xié)議是以信用卡為基礎(chǔ)的安全電子交易協(xié)議，用于實現(xiàn)電子商務(wù)交易過程中的加密、認證和密鑰管理等，以保證在線支付的安全。電子商務(wù)安全協(xié)議PARTTHREE電子商務(wù)安全管理措施第三節(jié)安全防范意識的措施

網(wǎng)絡(luò)威脅的表現(xiàn)形式多種多樣，它們能夠通過多種偽裝手段來迷惑用戶，誘導(dǎo)用戶在無意識中主動觸發(fā)安全漏洞或執(zhí)行有害操作。并且，大部分用戶缺乏網(wǎng)絡(luò)安全知識，網(wǎng)絡(luò)法律意識和道德意識淡薄，很容易受到非法用戶的欺騙。提高電子商務(wù)的安全防范意識（1）了解必要的電子商務(wù)安全知識，做到有備無患。（2）養(yǎng)成良好的上網(wǎng)習(xí)慣，不要打開陌生的電子郵件、廣告網(wǎng)頁。（3）謹(jǐn)慎保管交易密碼并定期進行修改。（4）不要瀏覽非法網(wǎng)站，也不要隨意泄露個人信息。（5）定期清理計算機垃圾，并查殺病毒。電子商務(wù)安全管理組織體系日常工作

電子商務(wù)企業(yè)應(yīng)該建立并完善自身的電子商務(wù)安全管理組織體系，明確各職能部門的職責(zé)，并做好電子商務(wù)的風(fēng)險控制。建立電子商務(wù)安全管理組織體系（1）組織相關(guān)人員學(xué)習(xí)并參加電子商務(wù)安全會議，討論信息安全問題。（2）對電子商務(wù)信息進行審查與分配，保證信息來源的準(zhǔn)確性與真實性。（3）識別并修復(fù)電子商務(wù)系統(tǒng)的安全漏洞，保證電子商務(wù)系統(tǒng)的正常運行。（4）提供電子商務(wù)安全的實施方案，并實施信息安全措施及處理安全事故。建立電子商務(wù)安全管理制度網(wǎng)絡(luò)系統(tǒng)的日常維護制度包括硬件和軟件的日常維護。數(shù)據(jù)備份與恢復(fù)制度

包括對信息系統(tǒng)數(shù)據(jù)的存儲，定期為重要信息備份、系統(tǒng)設(shè)備備份，同時要定期對這些備份進行更新。保密制度

包括電子商務(wù)系統(tǒng)涉及企業(yè)的市場、生產(chǎn)、財務(wù)和供應(yīng)鏈等多方面的機密。跟蹤審計制度

即網(wǎng)絡(luò)交易日志機制，用來記錄網(wǎng)絡(luò)交易過程。病毒防范制度

包括建立完善的防病毒系統(tǒng)的整體安全規(guī)劃和安全策略。人員管理制度

包括人員的選拔、工作責(zé)任的落實和安全運作所必須遵循的基本原則等相應(yīng)的工作制度。做好電子商務(wù)安全問題的日常防范日常防范手段01安裝合適的防火墻和殺毒軟件，阻擋外部威脅07及時更新運行系統(tǒng)，防止系統(tǒng)流動造成的損失02禁止磁盤或文件自動運行06不要隨意連接公眾場所的免費WI-FI避免信息泄露03重要的文件要加密，并進行備份05不明文件直接拒收或先進行病毒查殺再打開04密碼設(shè)置盡量復(fù)雜，不使用容易被破解的密碼，定期修改密碼課堂練習(xí)·常見的電子商務(wù)認