國家職業技能鑒定電子商務師培訓

主講教師:楊守號E-Mail:wzjxysh@126.comTELQ:516590827電子商務安全基礎知識電子商務發展的核心和關鍵問題是交易的安全性，這是網上交易的基礎，也是電子商務技術的難點所在。目前，因特網上影響交易最大的阻力就是交易安全問題。第一節計算機安全制度一、計算機安全制度1994年2月18日，我國頒布了《中華人民共和國計算機信息系統安全保護條例》，這是我國的第一個計算機安全法規，是我國計算機安全工作的總體綱領。國家對計算機信息系統安全專用產品的銷售實行許可證制度。具體辦法由公安部匯同有關部門制定。對計算機病毒和危害社會公共安全的其他有害數據的防治研究工作，由公安部歸口管理二、我國的新刑法確定了計算機犯罪五種主要形式

違反國家規定，侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行對計算機信息系統中存儲、處理或傳輸的數據和應用程序進行刪除、修改、增加的操作故意制作、傳播計算機病毒等破壞性程序，影響計算機系統的正常運行利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或其他犯罪行為等

三、計算機實體安全技術電源防護技術防盜技術環境保護電磁兼容性四、計算機病毒計算機病毒是一種人為編制出來的具有自我自制能力以破壞計算機系統為目的的特殊的程序或指令。計算機病毒具有傳染性、隱蔽性、潛伏性、破壞性等特點計算機病毒的預防的措施有：應當樹立預防為主的思想；加強Internet的管理；經常進行自行檢測，并能養成定期替文件做備份的良好習慣；選用先進可靠的防殺網絡病毒的軟件；拒絕購買或使用盜版軟件和盜版光盤等第二節電子商務系統安全問題概述一、電子商務安全概念1999年4月19日至21日，由于溫保成、王飛等人非法在因特網電子公告牌上張貼帖子、散布謠言，導致了鄭州交通銀行的擠兌事件1999年4月26日，我國遭受CIH病毒的大規模侵襲，據有關部門估計，遭到破壞的計算機達到25萬臺。我省損失的計算機也有幾千臺1998年10月27日，“中國人權研究會”的網頁遭到黑客襲擊，同時被襲擊的還有中國西藏”網頁等電子商務系統是一個計算機系統,不僅與計算機系統結構有關,還有電子商務應用環境、人員素質和社會因素有關。二、電子商務系統的安全控制要求信息有效性:信息的有效性是開展電子商務的前提信息的保密性:信息沒有被指定以外的人獲悉交易內容的完整性:信息沒有被篡改，應用電子商務的前提交易者身份的確定性:確認身份是交易的前提交易的不可否認性:電子交易通信過程的各個環節都必須是不可否認的交易的不可修改性:合法性:三、危害電子商務系統安全控制的主要因素網絡硬件的不安全因素:通訊監視、線路中斷、病毒入侵等網絡軟件的不安全因素:操作系統、網絡軟件等工作人員的不安全因素:工作人員保密觀念差、業務不熟練等交易信用的風險因素:信用風險來自買方、賣方及買賣雙方都存在抵賴的風險。計算機病毒和黑客攻擊：是困擾當今計算機網絡正常運轉的兩大難題法律方面的風險因素：法律不健全、不完善環境的不安全因素：地震、火災等自然災害或掉電、停電等第三節電子商務安全手段一、電子商務系統防火墻

1、防火墻的概念

防火墻是一種計算機硬件和軟件的結合，使互聯網與內部網之間建立起一個安全網關，從而保護內部網免受非法用戶的侵入2、防火墻的設計有兩個基本準則一切未被允許的就是禁止的一切未被禁止的就是允許的3、防火墻基本功能過濾進出網絡的數據包管理進出網絡的訪問行為封堵某些禁止的訪問行為記錄通過防火墻的信息內容和活動對網絡攻擊進行檢測和告警二、電子商務信息加密

1、有關信息加密技術的基本概念

加密是指采用數學方法對原始信息(通常稱為“明文”)進行再組織，使它成為一種不可理解的形式，這種不可理解的內容叫做密文；解密是加密的逆過程，即將密文還原成原來可理解的形式；算法是加密或解密的一步一步的過程，在這個過程中需要一串數字，這個數字就是密鑰；密鑰的長度是指密鑰的位數，例如一個8位的密鑰有2的8次方(256)種不同的密鑰。順序猜測256種密鑰對計算機來說很容易。如果200位的密鑰，計算機猜測的時間需要好幾個世紀了。因此，密鑰的位數越長，加密系統就越牢固；２、電子商務信息的加密技術對稱加密是指信息的加密和解密都使用相同的密鑰；典型算法如DES非對稱加密指信息的加密和解密使用不同的密鑰即一把公開密鑰和一把專用密鑰；典型算法如RSA對稱式數據加密方式的工作原理非對稱式加密的工作原理三、電子商務身份認證

1、身份認證的必要性

身份認證是判明和確認貿易雙方真實身份的重要環節

2、身份認證的基本方式人體生物學特征方式:指紋、聲音、DNA圖案、視網膜掃描等口令方式:容易記憶、不易猜中、不易分析

標記方式：標記是一種用戶所持有的某個秘密信息（硬件），標記上記錄著用于機器識別的個人信息。

四、數字證書

1、數字證書又稱數字憑證，是用電子手段來證實一個用戶的身份和對網絡資源的訪問權限，數字證字采用公鑰體制。

2、數字證書有三種類型，即個人數字證書、企業(服務器)數字證書、軟件(開發者)數字證書

3、認證機構：簡稱CA。其職能是管理和發放用戶的數字證書。其發放的證書有SSL證書和SET證書,SSL由美景網景(Netscape)公司開發的,服務于銀行對企業或企業對企業的電子商務活動。SET由MasterCard和VISA兩大信用卡共同開發，服務于持卡消費和網上購物。五、數字簽名

1、所謂“數字簽名”就是通過某種密碼運算生成一系列符號及代碼組成電子密碼進行簽名，來代替書寫簽名或印章

數字簽名原理六、SET協議的工作原理SET協議的工作原理七、SET協議的目標保證電子商務參與者信息的相互隔離，客戶的資料加密或打包后經過商家到達銀行，但是商家不能看到客戶的賬戶和密碼信息保證信息在Internet上安全傳輸，防止數據被第三方竊取解決多方認證問題，不僅要對消費者的信用卡認證，而且要對在線商店的信譽程度認證，同時還有消費者、在線商店與銀行間的認證保證了網上交易的實時性，使所有的支付過程都是在線的規范協議和消息格式，促使不同廠家開發的軟件具有兼容性和互操作功能，并且可以運行在不同的硬件和操作系統平臺上思考題1、下列關于防火墻的說法正確的是

A、防火墻能抵御來自內部的攻擊B、防火墻不具殺毒作用C、防火墻能防范人為因素的攻擊D、防火墻能防止數據驅動式的攻擊[參考答案：B]2、“減少計算機環境中風險的軟件配置、硬件或程序”，指的是（）。A、對策B、策略C、代理D、服務[參考答案：A]3、“軟件、硬件或策略上的缺陷，這種缺陷導致非法用戶未經授權而獲得訪問系統的權限或提高權限”，是指（）A、威脅B、攻擊C、威脅代理D、漏洞[參考答案：D]4、防止IE泄密最有效的配置是對（）使用ActiveX控件和JavaScript腳本進行控制

A、intranetB、cookiesC、計算機軟件D、IE[參考答案：D]5、計算機病毒是指能夠通過修改程序，把自身復制進進去而“傳染”其它程序的()A、軟件B、硬件C、程序D、資源[參考答案：C]6、駐留型病毒感染計算機后，把自身駐留部分放在什么中（）A、RAMB、ROMC、軟盤D、硬盤[參考答案：A]7、以下哪一項不是保證網絡安全的要素（）