電子商務理論主講：張宗祥E-mail：zzxqingdao@163.com9/6/20231知識回顧：8.1物流的概述8.2物流管理與物流系統8.3國內外物流業的發展狀況8.4電子商務與物流8.5現代物流技術9/6/20232第9章電子商務安全管理9.1電子商務的安全要求9.2電子商務的安全管理方法9.3防止非法入侵9/6/20233第一節電子商務的安全要求EB的安全問題EB的安全管理返回本章首頁9/6/20234

電子商務的安全問題電子商務交易帶來的安全威脅銷售者面臨威脅購買者面臨威脅電子商務的安全風險來源

信息傳輸風險信用風險管理方面的風險法律方面的風險9/6/20235銷售者面臨威脅中央系統安全性被破壞：入侵者假冒成合法用戶來改變用戶數據（如商品送達地址）、解除用戶訂單或生成虛假訂單。競爭者檢索商品遞送狀況：惡意競爭者以他人的名義來訂購商品，可了解有關商品的遞送和貨物的庫存情況。客戶資料被競爭者獲悉:侵犯隱私、客戶被搶被他人假冒而損害公司的信譽：不誠實的人建立與銷售者服務器名字相同的另一個服務器來假冒銷售者。消費者提交訂單后不付款:嘗試性購買，不方便虛假訂單:嘗試性獲取他人的機密數據9/6/20236購買者面臨威脅虛假訂單：假冒者可能會以客戶的名字來訂購商品，而且有可能收到商品，而此時客戶卻被要求付款或返還商品。付款后不能收到商品：在要求客戶付款后，銷售商中的內部人員不將定單和錢轉發給執行部門，使客戶不能收到商品。機密性喪失：客戶有可能將秘密的個人數據或自己的身份數據（如帳號、口令等）發送給冒充銷售商的機構，這些信息也可能會在傳遞過程中被竊取。拒絕服務：攻擊者可能向銷售商的服務器發送大量的虛假定單來窮竭它的資源，從而使合法用戶不能得到正常的服務。9/6/20237信息傳輸風險信息傳輸風險含義指進行網上交易時，因傳輸的信息失真或者信息被非法的竊取、篡改和丟失，而導致網上交易的不必要損失。信息傳輸風險來源冒名偷竊:如“黑客”為了獲取重要的商業秘密、資源和信息，常常采用源IP地址欺騙攻擊。篡改數據:攻擊者未經授權進入網絡交易系統，使用非法手段，刪除、修改、重發某些重要信息，破壞數據的完整性，損害他人的經濟利益，或干擾對方的正確決策，造成網上交易的信息傳輸風險。9/6/20238信息傳輸風險信息丟失:可能有三種情況：一是因為線路問題造成信息丟失；二是因為安全措施不當而丟失信息；三是在不同的操作平臺上轉換操作不當而丟失信息。信息傳遞過程中的破壞:信息在網絡上傳遞時，要經過多個環節。計算機技術發展迅速，原有的病毒防范技術、加密技術、防火墻技術等存在著被新技術攻擊的可能性。虛假信息:從買賣雙方自身的角度觀察，網上交易中的信息傳輸風險還可能來源于用戶以合法身份進入系統后，買賣雙方都可能在網上發布虛假的供求信息，或以過期的信息冒充現在的信息，以騙取對方的錢款或貨物。對比：傳統有形，可留下痕跡；網上容易修改、無痕跡9/6/20239信用風險信用風險來源來自買方的信用風險:對于個人消費者來說，可能在網絡上使用信用卡進行支付時惡意透支，或使用偽造的信用卡騙取賣方的貨物行為；對于集團購買者來說，存在拖延貨款的可能，賣方需要為此承擔風險。來自賣方的信用風險:賣方不能按質、按量、按時寄送消費者購買的貨物，或者不能完全履行與集團購買者簽定的合同，造成買方的風險。買賣雙方都存在抵賴的情況。信用風險特點傳統可以面對面，控制風險；網上交易時空分離，環節分離，更加依賴信用體系，同時信用體系也更加脆弱9/6/202310管理方面的風險網上交易管理風險:是指由于交易流程管理、人員管理、交易技術管理的不完善所帶來的風險。交易流程管理風險:在網絡商品中介交易的過程中，買賣雙方簽定合同后，交易中心不僅要監督買方按時付款，還要監督賣方按時提供符合合同要求的貨物。人員管理風險:內部犯罪，競爭對手還利用企業招募新人的方式潛入該企業，竊取企業的識別碼、密碼機密資料交易技術管理風險:無口令用戶、升級超級用戶（微軟）比較：傳統交易發展多年，機制較完善，管理規范；網上交易時間短，還不成熟。9/6/202311法律方面的風險法律上還是找不到現成的條文保護網絡交易中的交易方式造成風險。法律滯后風險:在網上交易可能會承擔由于法律滯后而無法保證合法交易的權益所造成的風險，如通過網絡達成交易合同，可能因為法律條文還沒有承認數字化合同的法律效力而面臨失去法律保護的危險。法律調整風險:在原來法律條文沒有明確規定下而進行的網上交易，在后來頒布新的法律條文下屬于違法經營所造成的損失。如網上證券交易、網上藥店。返回本節9/6/202312

電子商務的安全管理電子商務的安全要求電子商務安全管理思路9/6/202313電子商務的安全要求有效性:電子商務以電子形式取代了紙張，要對網絡故障、操作錯誤、應用程序錯誤、硬件故障、系統軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防，以保證貿易數據在確定的時間、確定的地點是有效的。機密性:作為貿易的一種手段，電子商務的信息直接代表著個人、企業或國家的商業機密。要預防非法的信息存取和信息在傳輸過程中被非法竊取。完整性:電子商務簡化了貿易過程，減少了人為的干預，同時也帶來維護貿易各方商業信息的完整、統一的問題。要預防對信息的隨意生成、修改和刪除，同時要防止數據傳送過程中信息的丟失和重復。真實性和不可抵賴性的鑒別:交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識9/6/202314電子商務安全管理思路重要性:市場游戲規則的保證，市場逆向選擇（回歸傳統交易來規避網上交易風險，雖然網上交易費用很低）防范體系:技術方面的考慮:如防火墻技術、網絡防毒、信息加密存儲通信、身份認證、授權等制度方面的考慮:建立各種有關的合理制度，并加強嚴格監督，如建立交易的安全制度、交易安全的實時監控、提供實時改變安全策略的能力、對現有的安全系統漏洞的檢查以及安全教育等。法律政策與法律保障:如盡快出臺電子證據法、電子商務法、網上消費者權益法等。這方面，主要發揮立法部門和執法部門的作用返回本節9/6/202315第二節電子商務的安全管理方法一、客戶認證技術二、安全管理制度三、法律制度返回本章首頁9/6/202316客戶認證技術客戶認證(ClientAuthentication，CA):---是基于用戶的客戶端主機IP地址的一種認證機制，它允許系統管理員為具有某一特定IP地址的授權用戶定制訪問權限。特點:---CA與IP地址相關，對訪問的協議不做直接的限制。服務器和客戶端無需增加、修改任何軟件。系統管理員可以決定對每個用戶的授權、允許訪問的服務器資源、應用程序、訪問時間以及允許建立的會話次數等等。內容:身份認證信息認證通過認證機構認證（CA）9/6/202317身份認證就是在交易過程中判明和確認貿易雙方的真實身份危險：某些非法用戶采用竊取口令、修改或偽造等方式對網上交易系統進行攻擊，阻止系統資源的合法管理和使用功能：可信性:信息的來源是可信的，信息接收者能夠確認所獲得的信息不是由冒充者所發出的。完整性:在傳輸過程中保證其完整性，即信息接收者能夠確認所獲信息在傳輸過程中沒有被修改、延遲和替換不可抵賴性:信息的發送方不能否認自己所發出的信息。信息的接收方不能否認已收到了信息。訪問控制:拒絕非法用戶訪問系統資源，合法用戶只能訪問系統授權和指定的資源9/6/202318身份認證方式:用戶所知道的某個秘密信息，如用戶知道自己的口令。用戶所持有的某個秘密信息(硬件)，即用戶必須持有合法的隨身攜帶的物理介質，例如智能卡中存儲用戶的個人化參數，以及訪問系統資源時必須要有的智能卡。用戶所具有的某些生物學特征，如指紋、聲音、DNA圖案、視網膜掃描等等，這種認證方案一般造價較高，多半適用于保密程度很高的場合。混合方式。9/6/202319信息認證網絡傳輸過程中信息的保密性問題要求：對敏感的文件進行加密，這樣即使別人截獲文件也無法得到其內容。保證數據的完整性，防止截獲人在文件中加入其他信息。對數據和信息的來源進行驗證，以確保發信人的身份。實現：采用秘密密鑰加密系統(SecretKeyEncryption)、公開密鑰加密系統(PublicKeyEncryption)或者兩者相結合的方式。為保證信息來源的確定性，可以采用加密的數字簽名方式來實現，因為數字簽名是唯一的而且是安全。加密后的文件，即使他人截取信息也無法知道信息原始涵義,也無法加入或刪除信息，因為無法得到原始信息。9/6/202320通過認證機構認證（CA）--專門機構從事（類似于公證服務）買賣雙方的身份確認，既可以保證網上交易的安全性，又可以保證高效性和專業性。一般可用大家信任的一方負責，如銀行。基本原理顧客向CA申請證書時，可提交自己的駕駛執照、身份證或護照，經驗證后，頒發證書，證書包含了顧客的名字和他的公鑰，以此作為網上證明自己身份的依據。做交易時，應向對方提交一個由CA（CertifiedAuthentication）簽發的包含個人身份的證書，以使對方相信自己的身份。CA中心負責證書的發放、驗收，并作為中介承擔信用連帶責任。返回本節9/6/202321

安全管理制度人員管理制度保密制度跟蹤、審計、稽核制度網絡系統的日常維護制度病毒防范制度9/6/202322人員管理制度管理方法:對有關人員進行上崗培訓；落實工作責任制，違反網上交易安全規定的行為應堅決進行打擊并及時的處理安全運作基本原則：雙人負責原則任期有限原則最小權限原則9/6/202323保密安全管理制度劃分信息的安全級別，確定安全防范重點絕密級:如公司戰略計劃、公司內部財務報表等。此部分網址、密碼不在Internet上公開，只限于高層掌握機密級:如公司的日常管理情況、會議通知等。此部分網址、密碼不在Internet上公開，只限中層以上使用。秘密級:如公司簡介、新產品介紹及訂貨方式等。此部分網址、密碼在Internet上公開，供消費者瀏覽，但必須有保護程序，防止“黑客”入侵。對密鑰進行管理:大量的交易必然使用大量的密鑰，密鑰管理貫穿于密鑰的產生、傳遞和銷毀的全過程。密鑰需要定期更換，否則可能使“黑客”通過積累密文增加破譯機會。9/6/202324跟蹤、審計、稽核制度跟蹤制度要求企業建立網絡交易系統日志機制，自動記錄系統運行的全過程內容包括:操作日期、操作方式、登錄次數、運行時間、交易內容等審計制度包括經常對系統日志的檢查、審核，及時發現對系統故意入侵行為的記錄和對系統安全功能違反的記錄，監控和捕捉各種安全事件，保存、維護和管理系統日志。稽核制度是指工商管理、銀行、稅務人員利用計算機及網絡系統，借助于稽核業務應用軟件調閱、查詢、審核、判斷轄區內各電子商務參與單位業務經營活動的合理性、安全性，堵塞漏洞，保證網上交易安全，發出相應的警示或作出處理處罰的有關決定的一系列步驟及措施。9/6/202325網絡系統的日常維護制度對于可管設備:通過安裝網管軟件進行系統故障診斷、顯示及通告，網絡流量與狀態的監控、統計與分析，以及網絡性能調優、負載平衡等對于不可管設備:通過手工操作來檢查狀態，做到定期檢查與隨機抽查相結合，以便及時準確地掌握網絡的運行狀況，一旦有故障發生能及時處理定期進行數據備份:數據備份與恢復主要是利用多種介質，如磁介質、紙介質、光碟、微縮載體等，對信息系統數據進行存儲、備份和恢復。這種保護措施還包括對系統設備的備份9/6/202326病毒防范制度目前主要通過采用防病毒軟件進行防毒

應用于網絡的防病毒軟件有兩種：

一種是單機版防病毒產品:以事后消毒為原理的，當系統被病毒感染之后才能發揮這種軟件的作用，適合于個人用戶。另一種是聯機版防病毒產品:屬于事前的防范，其原理是在網絡端口設置一個病毒過濾器。返回本節9/6/202327法律制度涉及法律問題：合同的執行、賠償、個人隱私、資金安全、知識產權保護、稅收等諸問題難以解決美國保證電子商務安全的相關法律原則：采取非限制性、面向市場的做法，即頒布實施的法律是保護電子商務發展，而不是限制電子商務的發展統一商業法規（UCC）電子支付的法律制度信息安全的法律制度消費者權益保護的法律制度：個人隱私信息可能被商家掌握和非法利用；消費者退貨問題；跨越國界物。禁止商家利用消費者的個人隱私信息進行商業活動；起訴商家時可以用消費者本國相關法律起訴9/6/202328我國保證電子商務安全的相關法律現行法規:

1991年5月24日，國務院第八十三次常委會議通過了《計算機軟件保護條例》

1994年2月18日，國務院令第147號發布了《中華人民共和國計算機信息系統安全保護條例》

1997年10月1日起我國實行的新刑法，第一次增加了計算機犯罪的罪名存在問題:立法主要集中在涉及信息技術領域的計算機立法和網絡安全方面立法，對于涉及交易本身的商法和民法還缺乏相應具體規定努力方向:一方面盡快完善現有市場的法律體系建設；另一方面，要針對新市場、新問題提出新法案返回本節9/6/202329

第三節防止非法入侵一、網絡“黑客”常用的攻擊手段二、防范非法入侵的技術措施返回本章首頁9/6/202330“黑客”的概念“黑客(Hacker)”源于英語動詞Hack，意為“劈，砍”，引申為“辟出，開辟”，進一步的意思是“干了一件非常漂亮的工作”。在本世紀早期的麻省理工學院校園侵語中，“黑客”則有“惡作劇”之意，尤指手法巧妙、技術高明的惡作劇。“黑客”類型駭客，他們只想引人注目，證明自己的能力，在進入網絡系統后，不會去破壞系統，或者僅僅會做一些無傷大雅的惡作劇。他們追求的是從侵入行為本身獲得巨大的成功的滿足。竊客，他們的行為帶有強烈的目的性。早期的“黑客”主要是竊取國家情報、科研情報，而現在的這些“黑客”的目標大部分瞄準了銀行的資金和電子商務的整個交易過程。9/6/202331網絡“黑客”常用的攻擊手段中斷（攻擊系統的可用性）：破壞系統中的硬件、硬盤、線路、文件系統等，使系統不能正常工作；竊聽（攻擊系統的機密性）：通過搭線和電磁泄漏等手段造成泄密，或對業務流量