第5章電子商務交易安全第5章電子商務交易安全1第5章電子商務交易安全電子商務安全概述5.1電子商務安全技術5.2電子商務安全交易協議5.3CompanyLogo第5章電子商務交易安全電子商務安全概述電子商務安全22009年4月24日，瑞星公司市場總監馬剛在接受采訪時稱,木馬已經成為互聯網的最大威脅,雖然該公司的絞殺計劃初見成效,但木馬問題不可能在短時間內得以解決。CompanyLogo2009年4月24日，瑞星公司市場總監馬剛在接受采訪時稱,木3瑞星公司近日公布的一項安全報告從數量上闡釋了這個產業的龐大。該報告稱,2009年1月至3月,互聯網上出現的”掛馬”網頁累計達1.9億多個,平均每天有589萬余人次網民訪問這些網頁,累計有8億人次網民遭木馬攻擊。

CompanyLogo瑞星公司近日公布的一項安全報告從數量上闡釋了這個產業的龐大。4據金山毒霸“云安全”中心檢測數據數據顯示，2008年，中國新增計算機病毒、木馬數量呈爆炸式增長，總數量已突破千萬。CompanyLogoCompanyLogo5CompanyLogoCompanyLogo6CompanyLogoCompanyLogo7病毒制造者的“逐利性”依舊沒有改變，網頁掛馬、漏洞攻擊成為黑客獲利的主要渠道。CompanyLogo病毒制造者的“逐利性”依舊沒有改變，網頁掛馬、漏洞攻擊成為黑8近年重大病毒及損失代價年份病毒名稱損失金額（億美元）感染電腦數目（萬臺）2001CodeRed（紅色警戒）26.21002002Klez（求職信）906002003Blaster（沖擊波）20100CompanyLogo近年重大病毒及損失代價年份病毒名稱損失金額感染電腦數目2009據美聯社報道,為應對每日數以百萬計的網絡攻擊和欺詐,美國聯邦政府正在積極尋找黑客高手,這次不是為了抓捕他們而是向他們支付費用保護國家網絡。（2009.4.20）CompanyLogo據美聯社報道,為應對每日數以百萬計的網絡攻擊和欺詐,美國聯邦10網絡安全企業公司成立時間總部賽門鐵克(Symantec)1982美國趨勢科技（TrendMicro）1988美國卡巴斯基（KasperskyLab）1997俄羅斯比特梵德(BitDefender)2001羅馬尼亞金山1989深圳江民科技1996北京瑞星1997北京CompanyLogo網絡安全企業公司成立時間總部賽門鐵克(115.1電子商務安全概述一、電子商務安全問題網民中網絡安全問題發生的比率CompanyLogo5.1電子商務安全概述一、電子商務安全問題12

網民2007年下半年網絡安全問題發生的頻次CompanyLogo網民2007年下半年網絡安全問題發生的頻次C13

網民發生帳號或密碼被盜的場所CompanyLogo網民發生帳號或密碼被盜的場所Compan14電子商務安全隱患及防范措施

問題數據被非法截獲、讀取或者修改冒名頂替和否認行為一個網絡的用戶未經授權訪問了另一個網絡計算機病毒措施數據加密數字簽名、加密、認證等防火墻計算機病毒防治措施黑客惡意攻擊黑客攻擊防范措施CompanyLogo電子商務安全隱患及防范措施

問題數據被非法截獲、讀取或者修改15電子商務安全不單是技術問題1

機構與管理2

法律與法規3

技術與人才CompanyLogo電子商務安全不單是技術問題1機構2法律3技術C16例如：27歲的賴某利用“木馬”程序，一個月內從他人網上銀行賬戶中盜走6000余元，判處其有期徒刑一年零六個月，緩刑兩年，并處罰金12000元。

CompanyLogo例如：27歲的賴某利用“木馬”程序，一個月內從他人網上銀行賬17

安全性需要代價1安全性與便捷性2安全性與成本CompanyLogo安全性需要代價1安全性與便捷性2安全性與成本18二、電子商務的安全體系電子商務交易安全電子商務安全體系計算機網絡系統安全CompanyLogo二、電子商務的安全體系電子商務交易安全電子商務計算機網19（一）計算機網絡系統的安全問題

1、物理實體的安全(硬件安全)設備的功能失常電源故障由于電磁泄漏引起的信息失密搭線竊聽CompanyLogo（一）計算機網絡系統的安全問題1、物理實體的安全202、自然災害的威脅

各種自然災害、風暴、泥石流、建筑物破壞、火災、水災、空氣污染等對計算機網絡系統都構成強大的威脅。CompanyLogo2、自然災害的威脅CompanyLogo213、黑客的惡意攻擊

所謂黑客，現在一般泛指計算機信息系統的非法入侵者。

主動攻擊：它以各種方式有選擇地破壞信息的有效性和完整性；被動攻擊：它是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。

CompanyLogo3、黑客的惡意攻擊CompanyLogo224、軟件的漏洞和“后門”5、網絡協議的安全漏洞6、計算機病毒的攻擊

CompanyLogo4、軟件的漏洞和“后門”CompanyLogo23（二）計算機網絡系統的安全管理制度

1、保密制度絕密級：不在因特網上公開，只限高層管理人員掌握；機密級：只限公司中層管理人員以上使用；秘密級：在因特網上公開，供消費者瀏覽，但必須有保護程序防止黑客侵入；CompanyLogo（二）計算機網絡系統的安全管理制度CompanyLogo242、網絡系統的日常維護硬件的日常管理和維護軟件的日常管理和維護數據備份制度用戶管理CompanyLogo2、網絡系統的日常維護CompanyLogo253．病毒防范制度安裝防病毒軟件不打開陌生電子郵件認真執行病毒定期清理制度控制權限高度警惕網絡陷阱CompanyLogo3．病毒防范制度CompanyLogo26（三）電子商務交易安全問題

1．賣方面臨的問題(1)中央系統安全性被破壞(2)競爭對手檢索商品遞送狀況(3)被他人假冒而損害公司的信譽(4)買方提交訂單后不付款(5)有人惡意從賣方獲取他人的機密數據CompanyLogo（三）電子商務交易安全問題

1．賣方面臨的問題Company272．買方面臨的問題(1)付款后不能收到商品(2)機密性喪失(3)拒絕服務CompanyLogo2．買方面臨的問題CompanyLogo283．信息傳輸問題(1)冒名偷竊(2)篡改數據(3)信息丟失(4)信息傳遞過程中的破壞(5)虛假信息CompanyLogo3．信息傳輸問題CompanyLogo294．信用問題(1)來自買方的信用問題(2)來自賣方的信用風險(3)買賣雙方都存在抵賴的情況CompanyLogo4．信用問題CompanyLogo30（四）電子商務交易的安全控制要求1、交易者身份的可認證性（數字簽名和數字證書）

在雙方進行交易前，首先要能確認對方的身份，要求交易雙方的身份不能被假冒或偽裝。

CompanyLogo（四）電子商務交易的安全控制要求1、交易者身份的可認證性（數31

電子商務系統應該提供交易雙方進行身份鑒別的機制。一般可以通過數字簽名和數字證書相結合的方式實現用戶身份的驗證，證實交易雙方都是他們所聲稱的那個人。CompanyLogo電子商務系統應該提供交易雙方進行身份鑒別的機制。一般可以通322、信息的保密性（加密）

要對敏感重要的商業信息或個人信息進行加密，即使別人截獲或竊取了數據，也無法識別信息的真實內容，這樣就可以使商業機密或有價值的個人信息難以被泄露。

CompanyLogo2、信息的保密性（加密）CompanyLogo333、信息的完整性（數字簽名）請給丁匯100元乙甲請給丁匯100元請給丙匯100元丙請給丙匯100元傳輸：接收方收到的信息和發送方發送的信息完全一致。存儲：防止被非法篡改和破壞。

CompanyLogo3、信息的完整性（數字簽名）請給丁匯100元乙甲請給丁匯1344、信息不可否認性

（數字簽名）在電子交易通信過程的各個環節中都必須是不可否認的，即交易一旦達成，發送方不能否認他發送的信息，接收方則不能否認他所收到的信息。這在交易系統中十分重要。CompanyLogo4、信息不可否認性（數字簽名）CompanyLogo355.2電子商務安全技術數字信息的安全要求

身份驗證信息保密性（存儲與傳輸）信息完整性交易的不可否認性解決方案數字證書與數字簽名加密數字簽名數字簽名CompanyLogo5.2電子商務安全技術數字信息的安全要求身份驗證信息保密36一、數據加密技術（一）加密和解密加密：發送方使用數學的方法將原始信息（明文）重新組織與變換成只有授權用戶才能解讀的密碼形式（密文）。解密：接收方將密文重新恢復成明文。CompanyLogo一、數據加密技術（一）加密和解密CompanyLogo37加密解密信息密鑰算法明文和密文加密密鑰解密密鑰加密算法解密算法CompanyLogo加密信息密鑰算法明文和密文加密密鑰加密算法CompanyL38密碼系統的構成CompanyLogo密碼系統的構成CompanyLogo39（二）密碼體制的分類

1、通用密碼體制（對稱式密碼體制）定義：在對數據加密的過程中，使用同樣的密匙進行加密和解密的密碼體制，也稱“傳統密碼體制”。

CompanyLogo（二）密碼體制的分類

1、通用密碼體制（對稱式密碼體制）40

通用密碼體制加密過程明文消息密匙A加密加密消息明文消息密匙A解密CompanyLogo通用密碼體制加密過程明文消息密匙A加密加密消41通用密碼體制實例（一）愷撒密碼

CompanyLogo通用密碼體制實例（一）愷撒密碼CompanyLog42Key=4例：若明文（記做m）為“important”，Key=4，則密文（記做C）則為“LPSRUWDQW”。CompanyLogoKey=4例：若明文（記做m）為“important”，Ke43通用密碼體制舉例（二）簡單多表式密碼加密CompanyLogo通用密碼體制舉例（二）簡單多表式密碼加密CompanyL44要求：

1）在首次通信前，雙方必須通過除網絡以外的另外途徑傳遞統一的密鑰。2）當通信對象增多時，密碼使用者要保存所有通信對象的密鑰。

CompanyLogo要求：CompanyLogo453）對稱加密是建立在共同保守秘密的基礎之上的，在管理和分發密鑰過程中，任何一方的泄密都會造成密鑰的失效，存在著潛在的危險和復雜的管理難度。CompanyLogo3）對稱加密是建立在共同保守秘密的基礎之上的，在管理和分46

特點密鑰管理與傳遞困難優點缺點

加/解密速度快；適合大數據量進行加密；CompanyLogo特點優點缺點加/解密速度快；C472、公開密鑰體制（非對稱式密碼體制）

定義：它需要使用一對密鑰來分別完成加密和解密操作，一個公開發布，稱為公開密鑰（Public-Key），用于加密；另一個由用戶自己秘密保存，稱為私有密鑰（Private-Key），用于解密。

CompanyLogo2、公開密鑰體制（非對稱式密碼體制）CompanyLogo48

公用密碼體制加密過程明文消息公鑰加密加密消息明文消息私鑰解密CompanyLogo公用密碼體制加密過程明文消息公鑰加密49CompanyLogoCompanyLogo50公開密鑰體制的功能老張小李的公開密匙小李老張密文小李小李的私有密匙老張的私有密匙老張的公開密匙密文鑒別保密只有老張能發出該信息只有小李能解開此信息CompanyLogo公開密鑰體制的功能老張小李的公開密匙小李老張密文小李小李的私51

特點

加/解密速度比通用密鑰體制慢優點缺點

體制靈活；密鑰管理簡單CompanyLogo特點優點缺點體制靈活；Comp52

對稱與非對稱加密體制對比特

性對

稱非

對

稱密鑰的數目單一密鑰密鑰是成對的密鑰種類密鑰是秘密的一個私有、一個公開密鑰管理簡單，但不好管理需要數字證書及可靠第三者管理公開密鑰相對速度快慢用途大量資料的加密加密小文件或對信息保密性要求相對嚴格的情況CompanyLogo對稱與非對稱加密體制對比特性對稱非53二、數字簽名技術(一)數字摘要保證交易文件的完整性

信息摘要過程CompanyLogo二、數字簽名技術(一)數字摘要保證交易54（二）數字簽名（保證交易的不可否認性和完整性）

1、作用：確認信息是由簽名者發送的；信息自簽發后到收到為止未曾作過任何修改。CompanyLogo（二）數字簽名（保證交易的不可否認性和完整性）Company552、數字簽名原理

數字簽名原理示意圖InternetCompanyLogo2、數字簽名原理數字簽名原理示意圖Interne56（三）數字時間戳電子文件發表時間的安全保護

1、數字時間戳服務（DTS）是網上安全服務項目，由專門的機構提供。CompanyLogo（三）數字時間戳電子文件發表時間的CompanyLo572、數字時間戳是一個經加密后形成的憑證文檔，它包括三個部分：

一是需加時間戳的文件的摘要；二是DTS收到文件的日期和時間；三是DTS的數字簽名。

CompanyLogo2、數字時間戳是一個經加密后形成的憑證文檔，它包括三個部分58原文SHA加密摘要發送方摘要DTS加入日期和時間帶數字時間戳的摘要帶數字簽名和數字時間戳的摘要數字簽名Internet

數字時間戳產生過程CompanyLogo原文SHA加密摘要發送方摘要DTS加入日期帶數字時間帶數字簽59三、數字認證技術（一）數字證書的原理

1、數字證書又稱為數字憑證，數字標識。是用來證明網絡交易者真實身份的有效手段。CompanyLogo三、數字認證技術（一）數字證書的原理CompanyLogo602、數字證書是一種由證書授權中心負責發放和管理的包含證書持有人個人信息、公開密鑰、證書序號、有效期、發放單位的電子簽名等內容的電子文檔。CompanyLogo2、數字證書是一種由證書授權中心負責發放和管理的包含證書持613、數字證書采用公－私鑰密碼體制，每個用戶擁有一把僅為本人所掌握的私鑰，用它進行信息解密和數字簽名；同時擁有一把公鑰，并可以對外公開，用于信息加密和簽名驗證。CompanyLogo3、數字證書采用公－私鑰密碼體制，每個用戶擁有一把僅為本人所624、數字證書可用于：發送安全電子郵件、網上繳費、訪問安全站點、網上證券交易、網上采購招標、網上辦公、網上保險、網上稅務、網上簽約和網上銀行等安全電子事務處理和安全電子交易活動。CompanyLogo4、數字證書可用于：發送安全電子郵件、網上繳費、訪問安全站點63（二）數字證書的類型

1、個人身份證書2、個人E－mail證書3、單位證書4、單位E－mail證書5、應用服務器證書（安全鑒別的服務器）6、代碼簽名證書（軟件開發人員或企業）CompanyLogo（二）數字證書的類型CompanyLogo64（三）認證中心的作用

1、證書的頒發2、證書的更新3、證書的查詢（證書申請查詢和用戶證書查詢）4、證書的作廢（私鑰泄密或過了有效期）5、證書的歸檔（管理作廢證書和作廢私鑰）認證中心（CA）：承擔網上安全電子交易認證服務、簽發數字證書并確認用戶身份的服務機構，該機構必須是具有權威性和公正性的第三方機構。CompanyLogo（三）認證中心的作用認證中心（CA）：承擔網上安全電子交易認65（四）國內常見的CA

CompanyLogo（四）國內常見的CA

CompanyLogo66（五）數字證書的申請1、下載并安裝根證書2、申請證書3、將個人身份信息連同證書序列號一并郵寄到中國數字認證網CompanyLogo（五）數字證書的申請CompanyLogo67CompanyLogoCompanyLogo68CompanyLogoCompanyLogo69CompanyLogoCompanyLogo70CompanyLogoCompanyLogo715.3電子商務安全交易協議一、SSL（安全套接層）協議二、SET（安全電子交易）協議協議（protocol）是指兩個或兩個以上實體為了開展某項活動，經過協商后達成的一致意見。協議總是指某一層的協議。它是在同等層之間的實體通信時，有關通信規則和約定的集合就是該層協議。

CompanyLogo5.3電子商務安全交易協議一、SSL（安全套接層）協議協議72一、SSL協議（一）協議簡介1、SSL協議（SecuritySocketLayer，安全套接層協議）是Netscape公司提出的基于Web應用的安全協議，為互聯網上進行保密文檔傳送而開發的。該協議向基于TCP/IP的C/S應用程序提供了客戶端和服務器的鑒別、信息完整性及信息機密性等安全措施。CompanyLogo一、SSL協議（一）協議簡介1、SSL協議（Securit732、SSL采用對稱密碼技術和公開密碼技術相結合，提供了如下三種基本的安全服務：保密性。SSL客戶機和服務器之間通過密碼算法和密鑰的協商，建立起一個安全通道。以后在安全通道中傳輸的所有信息都經過了加密處理。CompanyLogo2、SSL采用對稱密碼技術和公開密碼技術相結合，提供了如74完整性。SSL利用密碼算法和hash函數，通過對傳輸信息特征值的提取來保證信息的完整性。真實性。利用證書技術和可信的第三方CA，可以讓客戶機和服務器相互識別對方的身份。CompanyLogo完整性。SSL利用密碼算法和hash函數，通過對傳輸信息特征75（二）SSL協議的作用SSL協議的關鍵是要解決以下幾個問題：客戶對服務器的身份確認：容許客戶瀏覽器，使用標準的公鑰加密技術和一些可靠的認證中心（CA）的證書，來確認服務器的合法性。服務器對客戶的身份確認：容許客戶服務器的軟件通過公鑰技術和可信賴的證書，來確認客戶的身份。CompanyLogo（二）SSL協議的作用SSL協議的關鍵是要解決以下幾個問題：76建立起服務器和客戶之間安全的數據通道：

要求客戶和服務器之間的所有的發送數據都被發送端加密，所有的接收數據都被接收端解密，同時SSL協議會在傳輸過程中解查數據是否被中途修改。CompanyLogo建立起服務器和客戶之間安全的數據通道：CompanyLog77（三）缺點

由于SSL不對應用層消息進行數字簽名，因此不能提供交易的不可否認性。CompanyLogo（三）缺點由于SSL不對應用層消息進行數字簽名，Compan78二、SET協議（一）協議介紹

1、SET協議（安全電子交易協議）是由VISA和MasterCard兩大信用卡公司于1997年5月聯合推出的規范。其實質是一種應用在Internet上、以信用卡為基礎的電子付款系統規范，目的就是為了保證網絡交易的安全。

CompanyLogo二、SET協議（一）協議介紹CompanyLo792、SET協議采用公鑰密碼體制和X.509數字證書標準，提供了消費者、商家和銀行之間的認證，確保了交易數據的機密性、真實性、完整性和交易的不可否認性，特別是保證不將消費者銀行卡號暴露給商家等優點，因此它成為了目前公認的信用卡/借記卡的網上交易的國際安全標準。

CompanyLogo2、SET協議采用公鑰密碼體制和X.509數字證書標準，提供803、SET要達到的最主要目標（1）信息在公共因特網上安全傳輸（2）訂單信息和個人賬號信息隔離（3）持卡人和商家相互認證CompanyLogo3、SET要達到的最主要目標CompanyLogo81（二）SET協議的安全性1、信息的機密性SET系統中，敏感信息（如持卡人的帳戶和支付信息）是加密傳送的，不會被未經許可的一方訪問。CompanyLogo（二）SET協議的安全性1、信息的機密性CompanyL822、數據的完整性通過Hash算法和數字簽名，保證在傳送者和接收者傳送消息期間，消息的內容不會被修改。CompanyLogo2、數據的完整性CompanyLogo833、身份的驗證

通過使用證書和數字簽名，可為交易各方提供認證對方身份的依據，即保證信息的真實性。4、交易的不可否認性通過使用數字簽名，可以防止交易中的一方抵賴已發生的交易。CompanyLogo3、身份的驗證CompanyLogo845、互操作性通過使用特定的通信協議和信息格式，SET系統可提供在不同的軟硬件平臺操作的同等能力。CompanyLogo5、互操作性CompanyLogo85（三）SET協議的優點1、為商家提供了保護的自己的手段；2、幫買家驗證商家合法性，同時替買家保守了更多的私有信息。

CompanyLogo（三）SET協議的優點CompanyLogo863、幫助銀行及信用卡機構將業務擴展到Internet空間，使其具有更大的競爭優勢。4、對參與交易的各方定了互操作接口，一個系統可以有不同廠商的產品構筑。CompanyLogo3、幫助銀行及信用卡機構將業務擴展到Internet空間87（四）SET協議的缺點

1、SET協議要求在銀行網絡、商家服務器、買家的PC上安裝相應的軟件，如電子錢包。2、SET協議要求參與交易的各方必須具有數字證書。CompanyLogo（四）SET協議的缺點CompanyLogo88三、SSL協議與SET協議的比較SSL協議SEL協議參與方客戶、商家和網上銀行客戶、商家、網上銀行、認證中心和發卡機構軟件費用無需額外的附加軟件費用必須在銀行網絡、商家服務器、客戶機上安裝相應的軟件，因此增加了許多附加軟件費用便捷性1、無須在客戶端安裝電子錢包軟件，操作簡單；2、每天交易有限額，不利于購買大宗商品；3、支付迅速1、需要安裝電子錢包軟件，操作復雜，耗費時間；2、每天交易無限額，利于購買大宗商品；3、由于存在著驗證過程，因此支付緩慢，有時還不能完成交易安全性缺少客戶對商家的認證，因此客戶的信用卡號等支付信息有可能被商家泄漏安全需求高，因此所有參與交易的成員：客戶、商家、網上銀行都必須先申請數字證書來認識身份；CompanyLogo三、SSL協議與SET協議的比較SSL協議SEL協議參與方客89ThankYou!ThankYou!90第5章電子商務交易安全第5章電子商務交易安全91第5章電子商務交易安全電子商務安全概述5.1電子商務安全技術5.2電子商務安全交易協議5.3CompanyLogo第5章電子商務交易安全電子商務安全概述電子商務安全922009年4月24日，瑞星公司市場總監馬剛在接受采訪時稱,木馬已經成為互聯網的最大威脅,雖然該公司的絞殺計劃初見成效,但木馬問題不可能在短時間內得以解決。CompanyLogo2009年4月24日，瑞星公司市場總監馬剛在接受采訪時稱,木93瑞星公司近日公布的一項安全報告從數量上闡釋了這個產業的龐大。該報告稱,2009年1月至3月,互聯網上出現的”掛馬”網頁累計達1.9億多個,平均每天有589萬余人次網民訪問這些網頁,累計有8億人次網民遭木馬攻擊。

CompanyLogo瑞星公司近日公布的一項安全報告從數量上闡釋了這個產業的龐大。94據金山毒霸“云安全”中心檢測數據數據顯示，2008年，中國新增計算機病毒、木馬數量呈爆炸式增長，總數量已突破千萬。CompanyLogoCompanyLogo95CompanyLogoCompanyLogo96CompanyLogoCompanyLogo97病毒制造者的“逐利性”依舊沒有改變，網頁掛馬、漏洞攻擊成為黑客獲利的主要渠道。CompanyLogo病毒制造者的“逐利性”依舊沒有改變，網頁掛馬、漏洞攻擊成為黑98近年重大病毒及損失代價年份病毒名稱損失金額（億美元）感染電腦數目（萬臺）2001CodeRed（紅色警戒）26.21002002Klez（求職信）906002003Blaster（沖擊波）20100CompanyLogo近年重大病毒及損失代價年份病毒名稱損失金額感染電腦數目20099據美聯社報道,為應對每日數以百萬計的網絡攻擊和欺詐,美國聯邦政府正在積極尋找黑客高手,這次不是為了抓捕他們而是向他們支付費用保護國家網絡。（2009.4.20）CompanyLogo據美聯社報道,為應對每日數以百萬計的網絡攻擊和欺詐,美國聯邦100網絡安全企業公司成立時間總部賽門鐵克(Symantec)1982美國趨勢科技（TrendMicro）1988美國卡巴斯基（KasperskyLab）1997俄羅斯比特梵德(BitDefender)2001羅馬尼亞金山1989深圳江民科技1996北京瑞星1997北京CompanyLogo網絡安全企業公司成立時間總部賽門鐵克(1015.1電子商務安全概述一、電子商務安全問題網民中網絡安全問題發生的比率CompanyLogo5.1電子商務安全概述一、電子商務安全問題102

網民2007年下半年網絡安全問題發生的頻次CompanyLogo網民2007年下半年網絡安全問題發生的頻次C103

網民發生帳號或密碼被盜的場所CompanyLogo網民發生帳號或密碼被盜的場所Compan104電子商務安全隱患及防范措施

問題數據被非法截獲、讀取或者修改冒名頂替和否認行為一個網絡的用戶未經授權訪問了另一個網絡計算機病毒措施數據加密數字簽名、加密、認證等防火墻計算機病毒防治措施黑客惡意攻擊黑客攻擊防范措施CompanyLogo電子商務安全隱患及防范措施

問題數據被非法截獲、讀取或者修改105電子商務安全不單是技術問題1

機構與管理2

法律與法規3

技術與人才CompanyLogo電子商務安全不單是技術問題1機構2法律3技術C106例如：27歲的賴某利用“木馬”程序，一個月內從他人網上銀行賬戶中盜走6000余元，判處其有期徒刑一年零六個月，緩刑兩年，并處罰金12000元。

CompanyLogo例如：27歲的賴某利用“木馬”程序，一個月內從他人網上銀行賬107

安全性需要代價1安全性與便捷性2安全性與成本CompanyLogo安全性需要代價1安全性與便捷性2安全性與成本108二、電子商務的安全體系電子商務交易安全電子商務安全體系計算機網絡系統安全CompanyLogo二、電子商務的安全體系電子商務交易安全電子商務計算機網109（一）計算機網絡系統的安全問題

1、物理實體的安全(硬件安全)設備的功能失常電源故障由于電磁泄漏引起的信息失密搭線竊聽CompanyLogo（一）計算機網絡系統的安全問題1、物理實體的安全1102、自然災害的威脅

各種自然災害、風暴、泥石流、建筑物破壞、火災、水災、空氣污染等對計算機網絡系統都構成強大的威脅。CompanyLogo2、自然災害的威脅CompanyLogo1113、黑客的惡意攻擊

所謂黑客，現在一般泛指計算機信息系統的非法入侵者。

主動攻擊：它以各種方式有選擇地破壞信息的有效性和完整性；被動攻擊：它是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。

CompanyLogo3、黑客的惡意攻擊CompanyLogo1124、軟件的漏洞和“后門”5、網絡協議的安全漏洞6、計算機病毒的攻擊

CompanyLogo4、軟件的漏洞和“后門”CompanyLogo113（二）計算機網絡系統的安全管理制度

1、保密制度絕密級：不在因特網上公開，只限高層管理人員掌握；機密級：只限公司中層管理人員以上使用；秘密級：在因特網上公開，供消費者瀏覽，但必須有保護程序防止黑客侵入；CompanyLogo（二）計算機網絡系統的安全管理制度CompanyLogo1142、網絡系統的日常維護硬件的日常管理和維護軟件的日常管理和維護數據備份制度用戶管理CompanyLogo2、網絡系統的日常維護CompanyLogo1153．病毒防范制度安裝防病毒軟件不打開陌生電子郵件認真執行病毒定期清理制度控制權限高度警惕網絡陷阱CompanyLogo3．病毒防范制度CompanyLogo116（三）電子商務交易安全問題

1．賣方面臨的問題(1)中央系統安全性被破壞(2)競爭對手檢索商品遞送狀況(3)被他人假冒而損害公司的信譽(4)買方提交訂單后不付款(5)有人惡意從賣方獲取他人的機密數據CompanyLogo（三）電子商務交易安全問題

1．賣方面臨的問題Company1172．買方面臨的問題(1)付款后不能收到商品(2)機密性喪失(3)拒絕服務CompanyLogo2．買方面臨的問題CompanyLogo1183．信息傳輸問題(1)冒名偷竊(2)篡改數據(3)信息丟失(4)信息傳遞過程中的破壞(5)虛假信息CompanyLogo3．信息傳輸問題CompanyLogo1194．信用問題(1)來自買方的信用問題(2)來自賣方的信用風險(3)買賣雙方都存在抵賴的情況CompanyLogo4．信用問題CompanyLogo120（四）電子商務交易的安全控制要求1、交易者身份的可認證性（數字簽名和數字證書）

在雙方進行交易前，首先要能確認對方的身份，要求交易雙方的身份不能被假冒或偽裝。

CompanyLogo（四）電子商務交易的安全控制要求1、交易者身份的可認證性（數121

電子商務系統應該提供交易雙方進行身份鑒別的機制。一般可以通過數字簽名和數字證書相結合的方式實現用戶身份的驗證，證實交易雙方都是他們所聲稱的那個人。CompanyLogo電子商務系統應該提供交易雙方進行身份鑒別的機制。一般可以通1222、信息的保密性（加密）

要對敏感重要的商業信息或個人信息進行加密，即使別人截獲或竊取了數據，也無法識別信息的真實內容，這樣就可以使商業機密或有價值的個人信息難以被泄露。

CompanyLogo2、信息的保密性（加密）CompanyLogo1233、信息的完整性（數字簽名）請給丁匯100元乙甲請給丁匯100元請給丙匯100元丙請給丙匯100元傳輸：接收方收到的信息和發送方發送的信息完全一致。存儲：防止被非法篡改和破壞。

CompanyLogo3、信息的完整性（數字簽名）請給丁匯100元乙甲請給丁匯11244、信息不可否認性

（數字簽名）在電子交易通信過程的各個環節中都必須是不可否認的，即交易一旦達成，發送方不能否認他發送的信息，接收方則不能否認他所收到的信息。這在交易系統中十分重要。CompanyLogo4、信息不可否認性（數字簽名）CompanyLogo1255.2電子商務安全技術數字信息的安全要求

身份驗證信息保密性（存儲與傳輸）信息完整性交易的不可否認性解決方案數字證書與數字簽名加密數字簽名數字簽名CompanyLogo5.2電子商務安全技術數字信息的安全要求身份驗證信息保密126一、數據加密技術（一）加密和解密加密：發送方使用數學的方法將原始信息（明文）重新組織與變換成只有授權用戶才能解讀的密碼形式（密文）。解密：接收方將密文重新恢復成明文。CompanyLogo一、數據加密技術（一）加密和解密CompanyLogo127加密解密信息密鑰算法明文和密文加密密鑰解密密鑰加密算法解密算法CompanyLogo加密信息密鑰算法明文和密文加密密鑰加密算法CompanyL128密碼系統的構成CompanyLogo密碼系統的構成CompanyLogo129（二）密碼體制的分類

1、通用密碼體制（對稱式密碼體制）定義：在對數據加密的過程中，使用同樣的密匙進行加密和解密的密碼體制，也稱“傳統密碼體制”。

CompanyLogo（二）密碼體制的分類

1、通用密碼體制（對稱式密碼體制）130

通用密碼體制加密過程明文消息密匙A加密加密消息明文消息密匙A解密CompanyLogo通用密碼體制加密過程明文消息密匙A加密加密消131通用密碼體制實例（一）愷撒密碼

CompanyLogo通用密碼體制實例（一）愷撒密碼CompanyLog132Key=4例：若明文（記做m）為“important”，Key=4，則密文（記做C）則為“LPSRUWDQW”。CompanyLogoKey=4例：若明文（記做m）為“important”，Ke133通用密碼體制舉例（二）簡單多表式密碼加密CompanyLogo通用密碼體制舉例（二）簡單多表式密碼加密CompanyL134要求：

1）在首次通信前，雙方必須通過除網絡以外的另外途徑傳遞統一的密鑰。2）當通信對象增多時，密碼使用者要保存所有通信對象的密鑰。

CompanyLogo要求：CompanyLogo1353）對稱加密是建立在共同保守秘密的基礎之上的，在管理和分發密鑰過程中，任何一方的泄密都會造成密鑰的失效，存在著潛在的危險和復雜的管理難度。CompanyLogo3）對稱加密是建立在共同保守秘密的基礎之上的，在管理和分136

特點密鑰管理與傳遞困難優點缺點

加/解密速度快；適合大數據量進行加密；CompanyLogo特點優點缺點加/解密速度快；C1372、公開密鑰體制（非對稱式密碼體制）

定義：它需要使用一對密鑰來分別完成加密和解密操作，一個公開發布，稱為公開密鑰（Public-Key），用于加密；另一個由用戶自己秘密保存，稱為私有密鑰（Private-Key），用于解密。

CompanyLogo2、公開密鑰體制（非對稱式密碼體制）CompanyLogo138

公用密碼體制加密過程明文消息公鑰加密加密消息明文消息私鑰解密CompanyLogo公用密碼體制加密過程明文消息公鑰加密139CompanyLogoCompanyLogo140公開密鑰體制的功能老張小李的公開密匙小李老張密文小李小李的私有密匙老張的私有密匙老張的公開密匙密文鑒別保密只有老張能發出該信息只有小李能解開此信息CompanyLogo公開密鑰體制的功能老張小李的公開密匙小李老張密文小李小李的私141

特點

加/解密速度比通用密鑰體制慢優點缺點

體制靈活；密鑰管理簡單CompanyLogo特點優點缺點體制靈活；Comp142

對稱與非對稱加密體制對比特

性對

稱非

對

稱密鑰的數目單一密鑰密鑰是成對的密鑰種類密鑰是秘密的一個私有、一個公開密鑰管理簡單，但不好管理需要數字證書及可靠第三者管理公開密鑰相對速度快慢用途大量資料的加密加密小文件或對信息保密性要求相對嚴格的情況CompanyLogo對稱與非對稱加密體制對比特性對稱非143二、數字簽名技術(一)數字摘要保證交易文件的完整性

信息摘要過程CompanyLogo二、數字簽名技術(一)數字摘要保證交易144（二）數字簽名（保證交易的不可否認性和完整性）

1、作用：確認信息是由簽名者發送的；信息自簽發后到收到為止未曾作過任何修改。CompanyLogo（二）數字簽名（保證交易的不可否認性和完整性）Company1452、數字簽名原理

數字簽名原理示意圖InternetCompanyLogo2、數字簽名原理數字簽名原理示意圖Interne146（三）數字時間戳電子文件發表時間的安全保護

1、數字時間戳服務（DTS）是網上安全服務項目，由專門的機構提供。CompanyLogo（三）數字時間戳電子文件發表時間的CompanyLo1472、數字時間戳是一個經加密后形成的憑證文檔，它包括三個部分：

一是需加時間戳的文件的摘要；二是DTS收到文件的日期和時間；三是DTS的數字簽名。

CompanyLogo2、數字時間戳是一個經加密后形成的憑證文檔，它包括三個部分148原文SHA加密摘要發送方摘要DTS加入日期和時間帶數字時間戳的摘要帶數字簽名和數字時間戳的摘要數字簽名Internet

數字時間戳產生過程CompanyLogo原文SHA加密摘要發送方摘要DTS加入日期帶數字時間帶數字簽149三、數字認證技術（一）數字證書的原理

1、數字證書又稱為數字憑證，數字標識。是用來證明網絡交易者真實身份的有效手段。CompanyLogo三、數字認證技術（一）數字證書的原理CompanyLogo1502、數字證書是一種由證書授權中心負責發放和管理的包含證書持有人個人信息、公開密鑰、證書序號、有效期、發放單位的電子簽名等內容的電子文檔。CompanyLogo2、數字證書是一種由證書授權中心負責發放和管理的包含證書持1513、數字證書采用公－私鑰密碼體制，每個用戶擁有一把僅為本人所掌握的私鑰，用它進行信息解密和數字簽名；同時擁有一把公鑰，并可以對外公開，用于信息加密和簽名驗證。CompanyLogo3、數字證書采用公－私鑰密碼體制，每個用戶擁有一把僅為本人所1524、數字證書可用于：發送安全電子郵件、網上繳費、訪問安全站點、網上證券交易、網上采購招標、網上辦公、網上保險、網上稅務、網上簽約和網上銀行等安全電子事務處理和安全電子交易活動。CompanyLogo4、數字證書可用于：發送安全電子郵件、網上繳費、訪問安全站點153（二）數字證書的類型

1、個人身份證書2、個人E－mail證書3、單位證書4、單位E－mail證書5、應用服務器證書（安全鑒別的服務器）6、代碼簽名證書（軟件開發人員或企業）CompanyLogo（二）數字證書的類型CompanyLogo154（三）認證中心的作用

1、證書的頒發2、證書的更新3、證書的查詢（證書申請查詢和用戶證書查詢）4、證書的作廢（私鑰泄密或過了有效期）5、證書的歸檔（管理作廢證書和作廢私鑰）認證中心（CA）：承擔網上安全電子交易認證服務、簽發數字證書并確認用戶身份的服務機構，該機構必須是具有權威性和公正性的第三方機構。CompanyLogo（三）認證中心的作用認證中心（CA）：承擔網上安全電子交易認155（四）國內常見的CA

CompanyLogo（四）國內常見的CA

CompanyLogo156（五）數字證書的申請1、下載并安裝根證書2、申請證書3、將個人身份信息連同證書序列號一并郵寄到中國數字認證網CompanyLogo（五）數字證書的申請CompanyLogo157CompanyLogoCompanyLogo158CompanyLogoCompanyLogo159CompanyLogoCompanyLogo160CompanyLogoCompanyLogo1615.3電子商務安全交易協議一、SSL（安全套接層）協議二、SET（安全電子交易）協議協議（protocol）是指兩個或兩個以上實體為了開展某項活動，經過協商后達成的一致意見。協議總是指某一層的協議。它是在同等層之間的實體通信時，有關通信規則和約定的集合就是該層協議。

CompanyLogo5.3電子商務安全交易協議一、SSL（安全套接層）協議協議162一、SSL協議（一）協議簡介1、SSL協議（SecuritySocketLayer，安全套接層協議）是Netscape公司提出的基于Web應用的安全協議，為互聯網上進行保密文檔傳送而開發的。該協議向基于TCP/IP的C/S應用程序提供了客戶端和服務器的鑒別、信息完整性及信息機密性等安全措施。CompanyLogo一、SSL協議（一）協議簡介1、SSL協議（Securit1632、SSL采用對稱密碼技術和公開密碼技術相結合，提供了如下三種基本的安全服務：保密性。SSL客戶機和服務器之間通過密碼算法和密鑰的協商，建立起一個安全通道。以后在安全通道中傳輸的所有信息都經過了加密處理。CompanyLogo2、SSL采用對稱密碼技術和公開密碼技術相結合，提供了如164完整性。SSL利用密碼算法和hash函數，通過對傳輸信息特征值的提取來保證信息的完整性。真實性。利用證書技術和可信的第三方CA，可以讓客戶機和服務器相互識別對方的身份。CompanyLogo完整性。SSL利用密碼算法和hash函數，通過對傳輸信息特征165（二）SSL協議的作用SSL協議的關鍵是要解決以下幾個問題：客戶對服務器的身份確認：容