電子商務(wù)的安全技術(shù)第一節(jié)電子商務(wù)的安全概述傳統(tǒng)交易的安全保障身份確認(rèn)?1、工商管理登記

2、身份證、見(jiàn)面交易保證1、合同的不可否認(rèn)性（白紙黑字、字跡、公章）

2、有效性（第三方公證、鑒定）

3、合法權(quán)益保護(hù)（法律保護(hù)、屬地原則）

4、單據(jù)傳輸有形網(wǎng)上交易的潛在隱患交易雙方的虛擬性、遠(yuǎn)程性信息傳輸?shù)拈_放性交易參與方龐雜網(wǎng)上單證的數(shù)字化網(wǎng)上交易的風(fēng)險(xiǎn)信息傳輸風(fēng)險(xiǎn)指進(jìn)行網(wǎng)上交易時(shí)，因傳輸?shù)男畔⑹д婊蛐畔⒈环欠ǜ`取、篡改和丟失而導(dǎo)致的風(fēng)險(xiǎn)。信用風(fēng)險(xiǎn)網(wǎng)上交易時(shí)空分離、環(huán)節(jié)分離，更加依賴信用體系。管理方面的風(fēng)險(xiǎn)主要包括網(wǎng)上交易流程管理風(fēng)險(xiǎn)、網(wǎng)上交易技術(shù)管理風(fēng)險(xiǎn)和人員管理風(fēng)險(xiǎn)等。法律方面的風(fēng)險(xiǎn)主要包括法律滯后風(fēng)險(xiǎn)和法律調(diào)整風(fēng)險(xiǎn)。電子商務(wù)的安全威脅信息泄露信息完整性破壞業(yè)務(wù)拒絕非法使用系統(tǒng)穿透植入否認(rèn)電子商務(wù)的安全要求信息傳輸?shù)谋Ｃ苄允侵感畔⒃趥鬏斶^(guò)程中或存儲(chǔ)中不被他人竊取。因此，信息需要加密以及在必要的節(jié)點(diǎn)上設(shè)置防火墻。交易文件的完整性包括信息傳輸和存儲(chǔ)兩個(gè)方面。在存儲(chǔ)時(shí)，要防止非法篡改和破壞網(wǎng)站上的信息；在傳輸過(guò)程中保證接收端和發(fā)送端的信息完全一致。信息的不可否認(rèn)性是指信息的發(fā)送方不能否認(rèn)已發(fā)送的信息，接收方不能否認(rèn)已收到的信息。交易者身份的真實(shí)性電子商務(wù)的安全體系管理上的安全措施教材P200法律上的安全保障教材P200安全層次模型教材P202信息系統(tǒng)安全層次模型（1）數(shù)據(jù)信息安全軟件系統(tǒng)安全措施通訊網(wǎng)絡(luò)安全措施硬件系統(tǒng)安全措施物理實(shí)體安全環(huán)境管理細(xì)則保護(hù)措施法律規(guī)范道德紀(jì)律從圖中可以看出各層之間相互依賴，下層向上層提供支持，上層依賴于下層的完善，最終實(shí)現(xiàn)數(shù)據(jù)信息的安全。

信息系統(tǒng)安全層次模型（2）第一層是法律制度與道德規(guī)范第二層是管理制度的建立與實(shí)施。安全管理制度的建立與實(shí)施，是實(shí)現(xiàn)計(jì)算機(jī)信息系統(tǒng)安全的重要保證。主要包括：安全管理人員的教育培訓(xùn)、制度的落實(shí)、職責(zé)的檢查等方面的內(nèi)容。第三、四層是物理實(shí)體的安全與硬件系統(tǒng)保護(hù)4．第五至七層是網(wǎng)絡(luò)、軟件、信息安全通信網(wǎng)絡(luò)、系統(tǒng)軟件、信息安全保密技術(shù)，是計(jì)算機(jī)系統(tǒng)安全的關(guān)鍵，也是信息安全技術(shù)主要的研究?jī)?nèi)容，這三層是計(jì)算機(jī)信息系統(tǒng)安全的關(guān)鍵。包括：數(shù)據(jù)的加密解密、密鑰管理及加密解密算法；操作系統(tǒng)、應(yīng)用軟件的安全；數(shù)據(jù)庫(kù)安全數(shù)據(jù)的完整性網(wǎng)絡(luò)安全病毒防范信息系統(tǒng)安全層次模型（3）第二節(jié)電子商務(wù)的安全技術(shù)防火墻技術(shù)(1)概念（Firewall）防火墻技術(shù)是由軟件系統(tǒng)和硬件設(shè)備組成的在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造的保護(hù)層，是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的隔離控制技術(shù)。防火墻的作用就是隔離系統(tǒng)可能遭到傷害的危險(xiǎn)。防火墻作為網(wǎng)絡(luò)安全的一種防護(hù)手段，已經(jīng)得到了廣泛的應(yīng)用。安全策略一切未被允許的訪問(wèn)服務(wù)都是禁止的。基于該準(zhǔn)則，防火墻應(yīng)封鎖所有信息流，然后對(duì)希望提供的服務(wù)逐項(xiàng)開放。一切未被禁止的訪問(wèn)服務(wù)都是允許的。基于該準(zhǔn)則，防火墻應(yīng)轉(zhuǎn)發(fā)所有信息流，然后逐項(xiàng)屏蔽可能有害的服務(wù)。防火墻技術(shù)(2)防火墻結(jié)構(gòu)防火墻類型網(wǎng)絡(luò)級(jí)防火墻應(yīng)用級(jí)防火墻電路級(jí)防火墻和規(guī)則檢查防火墻

網(wǎng)絡(luò)級(jí)防火墻（包過(guò)濾防火墻）(1)一般是基于源地址和目的地址，應(yīng)用協(xié)議（TCP/IP）以及每個(gè)IP包的端口來(lái)作出通過(guò)與否的判斷。一個(gè)路由器便是一個(gè)“傳統(tǒng)”的網(wǎng)絡(luò)級(jí)防火墻，大多數(shù)的路由器都能通過(guò)檢查這些信息來(lái)決定是否將所收到的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)。優(yōu)點(diǎn)：簡(jiǎn)潔、速度快、費(fèi)用低、對(duì)用戶透明缺點(diǎn)：對(duì)網(wǎng)絡(luò)保護(hù)有限（只檢查地址和端口，對(duì)網(wǎng)絡(luò)更高協(xié)議層的信息無(wú)理解能力）網(wǎng)絡(luò)級(jí)防火墻（包過(guò)濾防火墻）(2)應(yīng)用級(jí)防火墻能夠檢查進(jìn)出的數(shù)據(jù)包，通過(guò)網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。在實(shí)際工作中，應(yīng)用級(jí)網(wǎng)關(guān)一般由專用工作站系統(tǒng)來(lái)完成。缺點(diǎn)：每一種協(xié)議需要相應(yīng)的代理軟件，使用時(shí)工作量大，效率不如網(wǎng)絡(luò)級(jí)防火墻。電路級(jí)防火墻用來(lái)監(jiān)控受信任的客戶機(jī)或服務(wù)器與不受信任的主機(jī)間的TCP握手信息。是在OSI模型會(huì)話層上過(guò)濾數(shù)據(jù)包，比網(wǎng)絡(luò)級(jí)防火墻要高兩層。

規(guī)則檢查防火墻(1)結(jié)合了前三者的特點(diǎn)，它同包過(guò)濾防火墻一樣能夠在OSI網(wǎng)絡(luò)層上通過(guò)IP地址和端口號(hào)，過(guò)濾進(jìn)出的數(shù)據(jù)包。目前在市場(chǎng)上流行的防火墻大多屬于此類。優(yōu)點(diǎn)：對(duì)用戶透明，在OSI最高層上加密數(shù)據(jù)，不需要用戶修改客戶端的程序，也不需要額外增加代理。結(jié)合上述幾種防火墻技術(shù)的優(yōu)點(diǎn)，可以產(chǎn)生通用、高效和安全的防火墻。例如將網(wǎng)絡(luò)級(jí)和應(yīng)用級(jí)防火墻結(jié)合起來(lái)，將保證應(yīng)用層安全性、統(tǒng)一支持處理所有協(xié)議、審計(jì)和預(yù)警等，其運(yùn)轉(zhuǎn)對(duì)于用戶和建立系統(tǒng)都是透明的，并且包括了面向所有的圖形用戶接口，便于配置和管理。規(guī)則檢查防火墻(2)加密技術(shù)相關(guān)概念：加密、解密；密文、明文；密鑰、算法；密碼系統(tǒng)數(shù)據(jù)加密的一般模型對(duì)稱密鑰加密法（私鑰加密）(1)概念：也“單密鑰體制”，即加密所使用的密鑰和解密所使用的密鑰相同或相對(duì)。對(duì)稱密鑰的算法是公開的，交換信息的雙方不必須交換加密算法，而是采用相同的加密算法，但需要交換加密密鑰。算法---DES算法（置換算法）DataEncryptionStandard過(guò)程：特點(diǎn)：①由于算法公開，其安全性完全依賴于對(duì)密鑰的保護(hù)；

②密鑰數(shù)量多，且保管困難；

③難以進(jìn)行身份認(rèn)證；

④加解密速度快。對(duì)稱密鑰加密法（私鑰加密）(2)非對(duì)稱密鑰加密法（公鑰加密）(1)概念：算法---RSA算法基于數(shù)論中大素?cái)?shù)因式分解困難的思想請(qǐng)學(xué)生對(duì)323和3589兩數(shù)進(jìn)行因式分解，并計(jì)算所用時(shí)間說(shuō)明：如果N是100位以上的十進(jìn)制數(shù)，目前的計(jì)算能力很難在有效時(shí)間空分解因式過(guò)程：特點(diǎn)：①密鑰分配簡(jiǎn)單；

②密鑰的保管量少；

③可以實(shí)現(xiàn)身份認(rèn)證；

④加解密速度慢。說(shuō)明：RSA與DES應(yīng)是互補(bǔ)關(guān)系---數(shù)字信封技術(shù)非對(duì)稱密鑰加密法（公鑰加密）(2)認(rèn)證技術(shù)數(shù)字簽名---信息的不可否認(rèn)性

1、數(shù)字簽名技術(shù)的含義

2、數(shù)字簽名的作用

3、數(shù)字簽名的方法數(shù)字摘要---交易文件的完整性數(shù)字時(shí)間戳---信息的不可否認(rèn)性電子商務(wù)的安全認(rèn)證包括：身份認(rèn)證和信息認(rèn)證。數(shù)字證書（DigitalID）數(shù)字證書（1）概念：又稱為數(shù)字憑證、數(shù)字標(biāo)識(shí)，是一個(gè)經(jīng)證書認(rèn)證機(jī)構(gòu)（CA）數(shù)字簽名的包含用戶身份信息以及公開密鑰信息的電子文件，是用電子手段來(lái)證實(shí)一個(gè)用戶的身份和對(duì)網(wǎng)絡(luò)資源訪問(wèn)的權(quán)限。是各實(shí)體在網(wǎng)上進(jìn)行信息交流及商務(wù)活動(dòng)的電子身份證。內(nèi)容：

①證書版本號(hào)

②證書序列號(hào)

③簽名算法標(biāo)識(shí)

④證書簽發(fā)者CA名稱

⑤證書有效期

⑥用戶名稱

⑦用戶公鑰信息數(shù)字證書（2）數(shù)字證書（3）類型：①個(gè)人憑證（PersonalDigitalID）僅為個(gè)人用戶提供，以幫助其在網(wǎng)上進(jìn)行安全交易操作。個(gè)人身份的數(shù)字證書通常是安裝在客戶端的瀏覽器內(nèi)的，并通過(guò)安全電子郵件來(lái)進(jìn)行交易操作。②企業(yè)（服務(wù)器）憑證（ServerID）為網(wǎng)上的某個(gè)Web服務(wù)器提供憑證，擁有Web服務(wù)器的企業(yè)就可以用具有憑證的萬(wàn)維網(wǎng)站點(diǎn)來(lái)進(jìn)行安全電子交易。③軟件（開發(fā)者）憑證（DeveloperID）為Internet中被下載的軟件提供憑證，以使用戶在下載軟件時(shí)能獲得所需的信息。認(rèn)證中心（CA，CertificateAuthority）(1)概念：是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書、并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。職能：

①證書發(fā)放

②證書更新

③證書查詢

④證書撤消

⑤證書歸檔認(rèn)證分級(jí)體系安全解決方案的內(nèi)容：①認(rèn)證中心的建立

②密碼體制的選擇

③安全協(xié)議的選擇基本構(gòu)架：①技術(shù)方案

②基礎(chǔ)設(shè)施

③運(yùn)作管理認(rèn)證中心（CA，CertificateAuthority）(2)病毒防治技術(shù)（1）概念計(jì)算機(jī)病毒（ComputerVirus）的概念是在1983年的一次計(jì)算機(jī)安全學(xué)術(shù)討論會(huì)上首次提出的，即能夠通過(guò)修改程序，把自身復(fù)制進(jìn)去進(jìn)而“傳染”其他程序的程序。這一定義強(qiáng)調(diào)了病毒的兩大特征：首先，病毒是人為編制的程序；其次，病毒具有傳染性。

1987年10月，世界第一例計(jì)算機(jī)病毒（Brian）在美國(guó)發(fā)現(xiàn)，它是一種系統(tǒng)引導(dǎo)型病毒。

1988年11月3日，美國(guó)23歲的大學(xué)生羅伯特.莫里斯將自己編制的病毒程序（蠕蟲）通過(guò)Internet感染了6000多臺(tái)計(jì)算機(jī)，這是一次非常典型的計(jì)算機(jī)病毒入侵計(jì)算機(jī)網(wǎng)絡(luò)事件。病毒防治技術(shù)（2）病毒特點(diǎn)：1.破壞性凡是由軟件手段能觸及到計(jì)算機(jī)資源的地方均可能受到計(jì)算機(jī)病毒的破壞。其表現(xiàn)：占用CPU時(shí)間和內(nèi)存開銷，從而造成進(jìn)程堵塞；對(duì)數(shù)據(jù)或文件進(jìn)行破壞；打亂屏幕的顯示等。2.隱蔽性病毒程序大多夾在正常程序之中，很難被發(fā)現(xiàn)。3.潛伏性病毒侵入后，一般不立即活動(dòng)，需要等條件成熟后才作用。4.傳染性病毒通過(guò)修改別的程序，并把自身的拷貝包括進(jìn)去，從而達(dá)到目的擴(kuò)散的目的。病毒防治技術(shù)（3）病毒類型按其入侵方式可分為：1.操作系統(tǒng)型病毒2.源碼病毒3.外殼病毒4.入侵病毒病毒防治技術(shù)（4）防范病毒的侵入必將對(duì)系統(tǒng)資源構(gòu)成威脅，即使是良性病毒，至少也會(huì)占用少量的系統(tǒng)空間影響系統(tǒng)的正常運(yùn)行。特別是通過(guò)網(wǎng)絡(luò)傳播的計(jì)算機(jī)病毒，能在很短的時(shí)間內(nèi)使整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)處于癱瘓狀態(tài)，從而造成巨大損失計(jì)算機(jī)病毒消毒可分為手工消毒和自動(dòng)消毒兩種方法。手工消毒方法使用DEBUG、PCTOOLS等簡(jiǎn)單工具，借助于對(duì)某種病毒的具體認(rèn)識(shí)，從感染病毒的文件中，清除病毒代碼，使之康復(fù)。手工消毒操作復(fù)雜，速度慢，風(fēng)險(xiǎn)大，需要熟練的技能和豐富的知識(shí)。自動(dòng)消毒方法使用自動(dòng)消毒軟件自動(dòng)清除患病文件中的病毒代碼，使之康復(fù)。自動(dòng)消毒方法操作簡(jiǎn)單、效率高、風(fēng)險(xiǎn)小。如果兩種方法仍不奏效，最后一種辦法就是對(duì)軟盤進(jìn)行格式化，或?qū)τ脖P進(jìn)行低級(jí)格式化。病毒防治技術(shù)（5）計(jì)算機(jī)病毒的防范可以從以下幾個(gè)方面進(jìn)行：1.備份：對(duì)所有的軟件（甚至操作系統(tǒng)）進(jìn)行備份，并制定應(yīng)付突發(fā)情況的應(yīng)急方案。2.預(yù)防：提高警惕性，實(shí)行安全制度，例使用正版軟件等。3.檢測(cè)：使用殺病毒軟件來(lái)檢測(cè)、報(bào)告并殺死病毒。4.隔離：確認(rèn)并隔離攜帶病毒的部件。5.恢復(fù)：殺毒或清除被病毒感染的文件。病毒防治技術(shù)（6）第三節(jié)EC安全管理制度及安全交易標(biāo)準(zhǔn)EC安全管理制度人員管理制度保密安全管理制度跟蹤、審計(jì)、稽核制度網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度法律制度EC安全交易標(biāo)準(zhǔn)電子商務(wù)活動(dòng)中常用的系統(tǒng)安全協(xié)議：SSLSETS－HTTPS/MIME等SSL協(xié)議—處于傳輸層（1）概念：又稱安全套接層協(xié)議（SecureSocketsLayer）:是采用非對(duì)稱密鑰技術(shù)，保證兩個(gè)應(yīng)用（客戶、服務(wù)器）之間通訊內(nèi)容的保密性和數(shù)據(jù)完整性的協(xié)議。它涉及所有TCP/IP應(yīng)用程序。

TCP/IP協(xié)議未考慮信息傳輸過(guò)程中可能丟失、被更改等安全因素，其傳輸層協(xié)議上沒(méi)有相關(guān)的安全措施，易遭到攻擊。由此，1994年，NetscapeComnccnicationwc公司研制開發(fā)了SSL安全協(xié)議，主要目的是提供Internet上的安全通信服務(wù)，提高應(yīng)用程序之間數(shù)據(jù)的安全。在網(wǎng)上被子廣泛應(yīng)用于處理財(cái)務(wù)上敏感的信息。SSL協(xié)議—處于傳輸層（2）提供的安全服務(wù)認(rèn)證用戶和服務(wù)器：確保數(shù)據(jù)被發(fā)送到指定的客戶機(jī)和服務(wù)器，其中客戶端認(rèn)證是可選的，服務(wù)器端始終被認(rèn)證。加密數(shù)據(jù)，以隱藏被傳遞的數(shù)據(jù)維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過(guò)程中不被改變運(yùn)行過(guò)程密碼交換階段會(huì)談密碼驗(yàn)證階段結(jié)束階段SSL協(xié)議—處于傳輸層（3）SSL協(xié)議的應(yīng)用(1)應(yīng)用于：在Internet網(wǎng)上被莊廣泛用于處理財(cái)務(wù)上敏感的信息；在食信用卡交易方面，商家可以通過(guò)SSL在Web上實(shí)現(xiàn)對(duì)信用卡定單的加密。電子商務(wù)交易過(guò)程中：客戶商家銀行訂貨請(qǐng)求認(rèn)證驗(yàn)證回復(fù)回復(fù)發(fā)貨背景：商家擔(dān)心客戶購(gòu)買后不付款，或使用過(guò)期作廢的信用卡，希望銀行認(rèn)證基點(diǎn)：商家對(duì)客戶信息保密的承諾缺陷：有利于商家而不利于客戶，缺少客戶對(duì)商家的認(rèn)證，無(wú)法保護(hù)客戶資金的安全性。SSL協(xié)議的應(yīng)用(2)SSL的缺陷只能保證傳輸過(guò)程中的安全，無(wú)法知道在傳輸過(guò)程中是否受到竊聽(tīng)在全球大規(guī)模使用有一定難度。網(wǎng)關(guān)因政府只允許加密密鑰為40位以下的算法出口，而美國(guó)商家一般均可以使用128位的SSL，即SSL產(chǎn)品出中受到限制SET協(xié)議－處于應(yīng)用層（1）概念（SET—SecureElectronicTrensaction）又稱安全電子交易協(xié)議，它是一種應(yīng)用在Internet網(wǎng)上，以信用卡為基礎(chǔ)的電子付款系統(tǒng)規(guī)范，目的是為了實(shí)