電子商務安全

網(wǎng)絡安全為人民，網(wǎng)絡安全靠人民，維護網(wǎng)絡安全是全社會共同責任，需要政府、企業(yè)、社會組織、廣大網(wǎng)民共同參與，共筑網(wǎng)絡安全防線。——習近平學習內(nèi)容認知電子商務安全電子商務安全問題電子商務安全防范學習目標知識目標認識電子商務安全環(huán)境；了解電子商務面臨的各種安全問題；掌握電子商務安全架構(gòu)及體系結(jié)構(gòu)，理解防火墻、加密技術(shù)、數(shù)字簽名、數(shù)字證書及SSL協(xié)議和SET協(xié)議的原理及應用，了解電子商務安全政策法規(guī)。技能目標能夠針對電子商務安全實際問題進行綜合分析，對于不同的安全問題能夠選用不同的措施進行防范；能夠熟練使用數(shù)字簽名、加密技術(shù)、數(shù)字證書、防火墻等技術(shù)。任務一、

認知電子商務安全淘寶“錯價門”敲響電子商務安全警鐘2011年9月1日，丁先生去淘寶網(wǎng)購物，發(fā)現(xiàn)部分網(wǎng)店和淘寶商城許多商品以1元秒殺包郵價出售，也有很多原價數(shù)百元的商品標價幾元或幾十元。丁先生認為，互聯(lián)網(wǎng)上這樣的一元秒殺活動或者超低價商品甩賣促銷是司空見慣的，可為網(wǎng)店帶來大量信譽、流量和人氣。所以，丁先生沒有多想，花了幾個小時按照正常程序買了許多商品，均付款成功并生成訂單，但是之后訂單被淘寶網(wǎng)取消。9月2日下午，淘寶發(fā)布公告稱，經(jīng)初步排查，確認為淘寶網(wǎng)第三方軟件服務商——北京智能淘網(wǎng)絡技術(shù)有限公司開發(fā)的軟件工具“團購寶”因程序異常所致。淘寶平臺本身并未遭受攻擊或者發(fā)現(xiàn)安全漏洞。在該處理結(jié)果中，淘寶排除了自身的責任，10元錢的賠償也是由涉及到的軟件開發(fā)者負責。此次“錯價門”事件涉及眾多商戶和消費者，擾亂了正常的網(wǎng)絡商品交易秩序，從某種程度上看，已經(jīng)形成一個被廣泛關(guān)注的公共網(wǎng)絡安全事件，同時，這一事件暴露出我國電子商務安全問題不容小覷。

引例思考:淘寶網(wǎng)“錯價門”事件凸顯出電子商務的哪些安全問題？電子商務安全問題對電子商務的發(fā)展有何影響？任務一、

認知電子商務安全一、電子商務安全環(huán)境

減少電子商務的安全風險是一個復雜的過程，既涉及安全技術(shù)應用，也涉及組織管理、法律法規(guī)和產(chǎn)業(yè)標準。圖9.1展示了電子商務安全環(huán)境的基本形態(tài)。營造良好的電子商務安全環(huán)境，不僅需要采用周全的安全技術(shù)解決方案，還需要完善的安全管理制度來保障安全技術(shù)的應用，以及配套的法律法規(guī)和行業(yè)標準來保障支付機制的實施。任務一、

認知電子商務安全二、電子商務安全需求電子商務安全需求信息的保密性

信息的完整性

交易的不可否認性

系統(tǒng)的可用性

交易者身份的確定性

任務二、

電子商務安全問題

ApacheLog4j2漏洞威脅全球網(wǎng)絡安全

2021年12月9日晚，Apachelog4j2被曝出遠程代碼執(zhí)行漏洞。由于ApacheLog4j2某些功能存在遞歸解析功能，攻擊者可直接構(gòu)造惡意請求，觸發(fā)遠程代碼執(zhí)行漏洞。攻擊者通過jndi（Java命名和目錄接口）注入攻擊的形式可以輕松遠程執(zhí)行任何代碼，從而遠程控制受害者服務器。Apache開源社區(qū)在確認這是一個安全漏洞后，緊急推出了2.15.0和2.15.0-rc1新版本修復，依然未能完全解決問題，目前已經(jīng)更新到2.16.0。該漏洞被命名為Log4Shell，編號CVE-2021-44228。

ApacheLog4j2遠程代碼執(zhí)行漏洞(CVE-2021-44228)可以說是引爆2021年安全行業(yè)的重大事件，引起各國高度重視，一時間全球近一半企業(yè)與之相關(guān)的業(yè)務均受到該漏洞的影響。保障關(guān)鍵信息基礎(chǔ)設施安全，強化應急響應能力，這是ApacheLog4j漏洞攻擊事件給我們帶來的啟示。引例思考網(wǎng)絡安全給電子商務的發(fā)展帶來哪些影響？電子商務中又存在哪些安全問題呢？

任務二、

電子商務安全問題一、計算機網(wǎng)絡安全問題（一）黑客的惡意攻擊現(xiàn)在，“黑客”的普遍含義是特指對計算機系統(tǒng)的非法侵入者。黑客攻擊是指未授權(quán)的人利用操作系統(tǒng)和網(wǎng)絡或安全管理的漏洞，通過一定的手段從網(wǎng)絡的外部非法侵入系統(tǒng)內(nèi)部，獲取普通用戶沒有的權(quán)利，實現(xiàn)對用戶信息的篡改、竊取和非法使用。

黑客攻擊手段中斷竊聽篡改偽造任務二、

電子商務安全問題

一、計算機網(wǎng)絡安全問題（二）軟件缺陷電子商務的應用基礎(chǔ)是開放式的互聯(lián)網(wǎng)，而互聯(lián)網(wǎng)依賴于各種硬件設施和軟件設備的支撐，因此，軟件缺陷是威脅電子商務安全的主要問題之一。由于技術(shù)和人為的原因，各種軟件不可避免的存在缺陷和漏洞。

漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。計算機系統(tǒng)中后門程序一般是指那些繞過安全性控制而獲取對程序或系統(tǒng)訪問權(quán)的程序方法。

漏洞的存在，很容易導致黑客的侵入及病毒的駐留，會導致數(shù)據(jù)丟失和篡改、隱私泄露乃至金錢上的損失。例如，網(wǎng)站因漏洞被入侵，網(wǎng)站上的用戶數(shù)據(jù)可能會泄露、網(wǎng)站功能可能遭到破壞而中止，乃至服務器本身被入侵者控制。

任務二、

電子商務安全問題一、計算機網(wǎng)絡安全問題（三）惡意代碼惡意代碼(maliciouscode)又稱為惡意軟件(malicioussoftware，Malware)，是能夠在計算機系統(tǒng)中進行非授權(quán)操作，以實施破壞或竊取信息的代碼。最常見的惡意代碼有計算機病毒、特洛伊木馬、蠕蟲、后門、邏輯炸彈等。

任務二、

認知電子商務安全一、計算機網(wǎng)絡安全問題（三）惡意代碼

1.計算機病毒感

染

癥狀具體現(xiàn)象顯示異常屏幕上出現(xiàn)不應有的特殊字符或圖像、字符無規(guī)則變化或脫落、靜止或滾動的雪花、跳動的小球或亮點、莫名其妙的信息提示等。揚聲器異常發(fā)出尖叫、蜂鳴音或非正常奏樂等。系統(tǒng)異常經(jīng)常無故死機、隨機地發(fā)生重新啟動或無法正常啟動、運行速度明顯下降、內(nèi)存空間變小、磁盤驅(qū)動器及其他設備無緣無故地變成無效設備等。存儲異常磁盤標號被自動改寫，出現(xiàn)異常文件，出現(xiàn)固定的壞扇區(qū)，可用磁盤空間變小，文件無故變大、失蹤或被改亂，可執(zhí)行文件變得無法運行等。打印異常打印速度明顯降低、不能打印、不能打印漢字與圖形或打印時出現(xiàn)亂字符等。與互聯(lián)網(wǎng)連接異常收到來歷不明的電子郵件、自動鏈接到陌生的網(wǎng)站、自動發(fā)送電子郵件等。任務二、

電子商務安全問題一、計算機網(wǎng)絡安全問題（三）惡意代碼2.特洛伊木馬特洛伊木馬（Trojanhorse）是指隱藏在正常程序中的一段具有特殊功能的惡意代碼，是具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤和攻擊DoS等特殊功能的后門程序。計算機系統(tǒng)中存在特洛伊木馬的癥狀一般表現(xiàn)為以下幾種：①文件或文件夾無故消失；②運行應用程序無反應；③電腦啟動項含有可疑的啟動項；④電腦運行極度緩慢；⑤殺毒軟件失效；⑥電腦無故藍屏、運行程序異常；⑦系統(tǒng)語言被更改為其他語言；⑧瀏覽器主頁被篡改；⑨應用程序圖標被篡改。

任務二、

電子商務安全問題一、計算機網(wǎng)絡安全問題（三）惡意代碼3.蠕蟲從病毒的廣義定義來說，蠕蟲（Worm）也是一種病毒，但它和狹義病毒主要的不同點在于：病毒的自我復制過程需要人為干預，它需要通過感染文件或者通過人為移動病毒文件進行傳播。而蠕蟲是一種可以自我復制的代碼，無需人為干預，它通過網(wǎng)絡進行傳播。任務二、

電子商務安全問題一、計算機網(wǎng)絡安全問題（三）惡意代碼

3.蠕蟲

蠕蟲主要傳播途徑利用漏洞依賴E-mail傳播依賴網(wǎng)絡共享弱密碼攻擊任務二、

電子商務安全問題一、計算機網(wǎng)絡安全問題（三）惡意代碼4.其他惡意代碼其他惡意代碼后門邏輯炸彈僵尸網(wǎng)絡任務二、

電子商務安全問題一、計算機網(wǎng)絡安全問題（四）拒絕服務攻擊在拒絕服務（denialofservice,DoS）攻擊中，黑客向網(wǎng)站發(fā)送大量無用的ping命令或頁面請求來淹沒網(wǎng)站或使網(wǎng)站的Web服務器癱瘓。越來越多的DoS攻擊利用僵尸網(wǎng)絡來遠程控制成千上萬臺計算機施展分布式拒絕服務（distributeddenialofservice，DDoS）攻擊。拒絕服務攻擊會導致網(wǎng)站關(guān)閉，使用戶無法訪問網(wǎng)站。2021年11月25日，暴雪娛樂公司并在Twitter上宣布其旗下戰(zhàn)網(wǎng)服務遭到DDoS攻擊，此次攻擊會導致玩家遇到高延遲或是斷線，并表示正在盡全力緩解問題。在宣布遭受攻擊后1小時，官方發(fā)推文稱正在試圖緩解的DDoS攻擊已經(jīng)結(jié)束，玩家可以再次正常登錄戰(zhàn)網(wǎng)。在服務器檢測網(wǎng)站DownDetector上，動視暴雪的許多服務和產(chǎn)品都出現(xiàn)了服務器斷線報告，有數(shù)千人報告戰(zhàn)網(wǎng)掉線，同時也有數(shù)百人表示部分暴雪游戲服務斷線。任務二、

電子商務安全問題一、計算機網(wǎng)絡安全問題（五）網(wǎng)絡釣魚網(wǎng)絡釣魚攻擊是電子商務犯罪的常見形式，主要是以計算機作為犯罪工具，利用偽造的電子郵件與網(wǎng)站作為“誘餌”，目的就是竊取消費者或公司的認證數(shù)據(jù)或資料。網(wǎng)絡釣魚最常見的伎倆有以下兩種：1.利用偽造的電子郵件與網(wǎng)站作為“誘餌”。詐騙者大多會冒充電商網(wǎng)站、第三方支付平臺或銀行的客服人員，對收件人進行賬戶驗證。只要點擊了電子郵件中的鏈接，收件人就會進入被詐騙者控制的虛假網(wǎng)站，并被提醒輸入銀行卡號、身份證號等重要個人信息。有時，收件人點擊的鏈接會導致計算機被植入病毒或惡意代碼，造成系統(tǒng)損毀或重要信息被竊。2.修改網(wǎng)頁程序，更改瀏覽器網(wǎng)址欄所顯示的網(wǎng)址。當用戶正在訪問真實網(wǎng)站時，即使在瀏覽器的網(wǎng)址欄輸入正確的網(wǎng)址，還是會被移花接木般地轉(zhuǎn)接到偽造網(wǎng)站上，并制造陷阱來竊取個人的機密資料，因此很難被用戶所察覺。任務二、

電子商務安全問題一、計算機網(wǎng)絡安全問題（五）云安全問題硬件安全問題。數(shù)據(jù)存儲風險。相關(guān)法律法規(guī)不完善。病毒和黑客的攻擊更加隱秘。持久服務的風險。一旦發(fā)生云計算服務供應商終止服務或被其他公司收購等情況，用戶需要考慮自己的業(yè)務和商業(yè)數(shù)據(jù)是否會受到影響，如何拿回自己的數(shù)據(jù)，現(xiàn)在的系統(tǒng)是否與原先的系統(tǒng)兼容等一系列問題。未知的風險。未知的安全漏洞、軟件版本、代碼更改等都可能對云計算帶來安全威脅。任務二、

電子商務安全問題二、電子商務交易安全問題（一）信息安全問題信息安全問題信息泄密信息篡改信息仿造（二）安全管理問題任務一、

電子商務面臨的安全問題安全管理問題交易流程管理的風險人員管理的風險任務二、

電子商務安全問題三、移動電子商務安全問題1.移動終端安全威脅在我們?nèi)粘Ｉ钪惺褂玫囊苿咏K端主要有筆記本電腦、手機、平板電腦三大類，移動終端自身的安全和遵循安全流程進行操作是保障移動電子商務安全的重要前提。移動終端的安全硬傷大致有5個方面：設備自身的物理安全；數(shù)據(jù)信息被破壞；電子標簽被解密；SIM

卡被復制；在線終端易受攻擊。任務二

電子商務安全問題三、移動電子商務安全威脅（一）移動終端的安全威脅移動終端的安全硬傷大致有5個方面：移動終端的安全硬傷設備自身的物理安全數(shù)據(jù)信息被破壞電子標簽被解密SIM

卡被復制在線終端易受攻擊任務二

電子商務安全問題（二）移動網(wǎng)絡服務系統(tǒng)安全威脅網(wǎng)絡服務系統(tǒng)的安全威脅

非授權(quán)數(shù)據(jù)訪問

完整性威脅

拒絕服務

抵賴否認任務二

電子商務安全問題（三）移動數(shù)據(jù)安全問題

移動電子商務交易大多是通過無線數(shù)據(jù)通信技術(shù)進行的，而無線通信網(wǎng)絡相對于有線網(wǎng)絡，具有開放性、發(fā)散性、移動性、不穩(wěn)定性、易受攻擊性等特征。從這個層面上講，無線用戶在享受其隨時隨地、靈活快速等優(yōu)質(zhì)服務的同時也必將面臨個人信息安全問題的威脅。

例如，現(xiàn)在很多商場酒店都有公共Wi-Fi，但是目前的公共Wi-Fi大多缺少安全防護措施，有的根本就沒有沒置密碼，即便設置了，到網(wǎng)上下載一個“萬能Wi-Fi鑰匙”APP就能輕松破解，準入門檻等同于零，極易被攻擊者截取網(wǎng)絡中傳輸?shù)臄?shù)據(jù)信息。在移動電子商務交易過程中傳輸?shù)闹Ц顿~號密碼、商品支付信息、個人位置信息等易于被攻擊者竊聽、假冒、重放，保密性備受質(zhì)疑。情境案例：蠕蟲病毒的危害

2021年1月13日晚，深信服、360等安全公司發(fā)布了緊急預警，稱監(jiān)測到一種名為incaseformat的計算機蠕蟲病毒在國內(nèi)大范圍爆發(fā)，同時已經(jīng)發(fā)現(xiàn)多個區(qū)域不同行業(yè)用戶遭到感染，病毒傳播范圍暫未見明顯的針對性。incaseformat蠕蟲病毒從被發(fā)現(xiàn)至今已有十多年歷史，一般通過U盤進行傳播。它與常見的蠕蟲病毒不同，除了具有偽裝文件夾圖標，隱藏原始文件夾的危害以外，它還設置了定時刪除文件的邏輯。一旦滿足設定的時間，病毒進程將會遍歷除系統(tǒng)盤外的所有磁盤文件，進行刪除，對用戶造成不可挽回的損失。

在incaseformat蠕蟲病毒大范圍爆發(fā)后，多家網(wǎng)絡安全機構(gòu)已緊急發(fā)布了病毒掃描版本，支持檢測計算機的病毒，并有專家給出防范該病毒的安全建議：1.不隨意下載，安裝未知軟件，不隨便打開共享文件，盡量在官方渠道下載軟件。2.盡量關(guān)閉不必要的共享，或設置共享目錄為只讀模式，打開電腦的防火墻，并且在自己的電腦上安裝電腦防護軟件。3.嚴格規(guī)范U盤等移動介質(zhì)的使用，使用前先進行查殺。4.保持系統(tǒng)以及軟件及時更新，定期排查內(nèi)部系統(tǒng)漏洞、弱口令等。5.如發(fā)現(xiàn)已感染主機，先斷開網(wǎng)絡，使用安全產(chǎn)品進行全盤掃描查殺再嘗試使用數(shù)據(jù)恢復類軟件。案例思考計算機病毒具有哪些特點？一旦感染將產(chǎn)生什么危害？如何發(fā)現(xiàn)和防范？任務二

電子商務安全問題二、電子商務安全體系

情境任務三

電子商務安全防范（一）電子商務安全架構(gòu)為了電子商務的健康持續(xù)發(fā)展，需要一套完整的電子商務安全架構(gòu)，以保障電子商務交易各環(huán)節(jié)的安全穩(wěn)定。該架構(gòu)應該是一個涵蓋技術(shù)環(huán)節(jié)、管理等因素在內(nèi)的綜合體系，可概括為一個中心、四個基本點。1.一個中心電子商務安全架構(gòu)的中心點是安全管理。通過一些管理手段來達到保護電子商務安全的目的。安全管理包含的內(nèi)容主要有：安全管理制度的制定，實施和監(jiān)督，安全策略的制定，實施、評估和修改，以及對人員的安全意識的培訓教育等。二、電子商務安全體系

情境任務三

電子商務安全防范（一）電子商務安全架構(gòu)

2.四個基本點

（1）保護。采用一些網(wǎng)絡安全產(chǎn)品，工具、技術(shù)保護網(wǎng)絡系統(tǒng)、數(shù)據(jù)和用戶。這是一種靜態(tài)保護，通常是指一些基本防護，不具有實時性。

（2）監(jiān)控與審計。實時監(jiān)控系統(tǒng)的安全狀態(tài)，并通過記錄通過網(wǎng)絡的所有數(shù)據(jù)包，然后分析這些數(shù)據(jù)包，來查找可疑的攻擊行為，從而達到保護網(wǎng)絡的目的。監(jiān)控與審計是實時保護的一種策略，主要滿足系統(tǒng)對動態(tài)安全的需求。

（3）響應。當攻擊正在發(fā)生時，能夠做出及時的響應。如向管理員報告或自動阻斷連接等，防止攻擊進一步發(fā)生，將安全事件的影響降低到最小范圍。響應是整個安全架構(gòu)中最重要組成部分。（4）恢復。恢復是最終措施。當系統(tǒng)因為攻擊或入侵造成一定的破壞時，必須有一套機制來及時恢復系統(tǒng)正常工作。二、電子商務安全體系

情境任務三

電子商務安全防范假設一個hacker要攻擊一個企業(yè)內(nèi)部網(wǎng)，該內(nèi)部網(wǎng)安全架構(gòu)如前所述，攻擊過程如圖所示。該架構(gòu)如何工作可以抵制hacker的攻擊？外層保護屏障（如防火墻）監(jiān)控審計機制

響應機制恢復機制內(nèi)部網(wǎng)hacker攻破攻破攻破hacker攻擊內(nèi)部網(wǎng)過程二、電子商務安全體系

情境任務三

電子商務安全防范安全架構(gòu)抵制網(wǎng)絡攻擊過程：（1）當hacker開始向內(nèi)部網(wǎng)發(fā)起攻擊時，在內(nèi)部網(wǎng)的最外面有一個保護屏障，如果保護屏障可以制止hacker進入內(nèi)部網(wǎng)，那么內(nèi)部網(wǎng)就不可能受到hacker破壞，別的機制就不起作用了，這時網(wǎng)絡安全就可以保證。（2）Hacker通過繼續(xù)努力，可能獲得進入內(nèi)部網(wǎng)的權(quán)力，即他可能欺騙了保護機制而進入內(nèi)部網(wǎng)，這時監(jiān)控審計機制開始起作了。監(jiān)控/審計機制能夠在線看到網(wǎng)絡上的任何事情，它們能夠識別這種攻擊，如發(fā)現(xiàn)可疑人員進入網(wǎng)絡，這樣它們就會影響機制一些信息，響應機制根據(jù)監(jiān)控/審計結(jié)果來采取一些措施，如立即斷開這條連接。取消服務，查找hacker通過何種手段進入網(wǎng)絡等。來達到保護網(wǎng)絡的目的。（3）Hacker通過種種努力，終于進入了內(nèi)部網(wǎng)，如果一旦hacker對系統(tǒng)進行破壞，這時及時恢復系統(tǒng)可用是最主要的事情，這樣恢復機制就是必須的，當系統(tǒng)恢復后，新一輪的安全保護開始了。二、電子商務安全體系

情境任務三

電子商務安全防范（二）電子商務安全體系結(jié)構(gòu)安全管理層（人員管理、安全制度管理、政策法規(guī)）系統(tǒng)應用層（支付型業(yè)務系統(tǒng)、非支付性業(yè)務系統(tǒng)）安全協(xié)議層（SSL協(xié)議、SET協(xié)議、S-HTTP協(xié)議等）安全認證層（CA認證、數(shù)字證書、數(shù)字簽名、數(shù)字信封等）加密技術(shù)層（對稱加密技術(shù)、非對稱加密技術(shù)等）網(wǎng)絡服務層（防火墻、入侵檢測、病毒防范等）二、電子商務安全技術(shù)情境任務三

電子商務安全防范電子商務安全技術(shù)網(wǎng)絡安全技術(shù)

信息安全技術(shù)

認證協(xié)議二、電子商務安全技術(shù)（一）計算機網(wǎng)絡安全技術(shù)1、防火墻技術(shù)

情境任務三

電子商務安全防范防火墻的定義防火墻是一個由軟件和硬件設備組合而成，在內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)之間、專用網(wǎng)和公共網(wǎng)之間的界面上構(gòu)造的保護屏障。它是一系列部件的組合，是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口。防火墻的結(jié)構(gòu)Intranet外部WWW客戶

防火墻是由軟件系統(tǒng)和硬件設備組合而成、在內(nèi)外部之間的保護系統(tǒng)。數(shù)據(jù)庫客戶機Email服務器Web服務器（一）計算機網(wǎng)絡安全技術(shù)1、防火墻技術(shù)防火墻的特性內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的所有網(wǎng)絡數(shù)據(jù)流都必須經(jīng)過防火墻。只有符合安全策略的數(shù)據(jù)流才能通過防火墻。防火墻自身應具有非常強的抗攻擊免疫力。防火墻的功能保護那些易受攻擊的服務防止內(nèi)部信息的外泄強化網(wǎng)絡安全策略。對網(wǎng)絡存取和訪問進行監(jiān)控審計情境任務三

電子商務安全防范（一）計算機網(wǎng)絡安全技術(shù)1、防火墻技術(shù)（4）防火墻的類型情境任務三

電子商務安全防范防火墻類型包過濾防火墻應用網(wǎng)關(guān)防火墻屏蔽主機防火墻屏蔽子網(wǎng)防火墻（一）計算機網(wǎng)絡安全技術(shù)2、入侵檢測技術(shù)入侵檢測是指“通過對行為、安全日志或?qū)徲嫈?shù)據(jù)、其他網(wǎng)絡上可以獲得的信息進行操作，檢測到對系統(tǒng)的闖入或闖入的企圖。”進行入侵檢測的軟件與碩件的組合稱為入侵檢測系統(tǒng)（intrusiondetectionsystem,IDS）。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行檢測。情境任務三

電子商務安全防范（一）計算機網(wǎng)絡安全技術(shù)3、防病毒技術(shù)（1）病毒的預防技術(shù)通過一定的技術(shù)手段防止病毒對系統(tǒng)進行傳染和破壞。

情境任務三

電子商務安全防范病毒的預防技術(shù)磁盤引導區(qū)保護加密可執(zhí)行程序讀寫控制技術(shù)系統(tǒng)監(jiān)控技術(shù)（一）計算機網(wǎng)絡安全技術(shù)3、防病毒技術(shù)（2）病毒的檢測技術(shù)及早發(fā)現(xiàn)病毒

情境任務三

電子商務安全防范檢測病毒的方法特征代碼法校驗和法行為監(jiān)測法（一）計算機網(wǎng)絡安全技術(shù)3、防病毒技術(shù)（3）病毒的清除技術(shù)在感染的程序中除去計算機病毒代碼并恢復文件的原有結(jié)構(gòu)信息。

情境任務三

電子商務安全防范（一）計算機網(wǎng)絡安全技術(shù)3、防病毒技術(shù)（4）病毒的免疫技術(shù)使計算機系統(tǒng)具有對計算機病毒的抵抗力而免遭其害

情境任務三

電子商務安全防范病毒的免疫方法物理免疫邏輯免疫

（二）數(shù)據(jù)加密技術(shù)

加密技術(shù)是一種主動的信息安全防范措施，其原理是利用一定的加密算法，將明文轉(zhuǎn)換成無意義的密文，阻止非法用戶理解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性。在加密和解密的過程中，由加密者和解密者使用的加解密可變參數(shù)叫作密鑰。

情境任務三

電子商務安全防范

（二）數(shù)據(jù)加密技術(shù)

1．基本概念①加密。用某種方法偽裝數(shù)據(jù)以隱藏其原貌的過程稱為加密。②解密。將密文轉(zhuǎn)換成明文的過程。③明文。未被加密的消息。也叫原文。④密文。根據(jù)一定算法對明文加密后形成的消息。⑤密鑰。密鑰是一種參數(shù)，是在明文轉(zhuǎn)換為密文或?qū)⒚芪霓D(zhuǎn)換為明文的算法中輸入的數(shù)據(jù)。密鑰一般有加密密鑰和解密密鑰兩種，分別用來完成加密和解密操作。情境任務三

電子商務安全防范

（二）數(shù)據(jù)加密技術(shù)

2、對稱加密對稱密鑰加密體制屬于傳統(tǒng)密鑰加密系統(tǒng)。是指在對信息的加密和解密過程中使用相同的密鑰。或者，加密和解密的密鑰雖然不同，但可以由其中一個推導出另一個。對稱密鑰加密算法的代表是數(shù)據(jù)加密標準DES（USFederalDataEncryptionstandard），DES是由IBM公司在1970年研制的，1977年1月15日美國國家標準局批準為作為非機密機構(gòu)的加密標準，現(xiàn)在已成為國際標準，由美國國家安全局和國家標準與技術(shù)局來管理。另一個系統(tǒng)是國際數(shù)據(jù)加密算法（IDEA），它比DES的加密性好，而且需要的計算機功能也不那么強。。情境任務三

電子商務安全防范

情境任務三

電子商務安全防范缺點：◆密鑰難于安全傳遞◆密鑰量太大，難以進行管理◆無法滿足互不相識的人進行私人談話時的保密性要求。◆難以解決數(shù)字簽名驗證的問題。（二）數(shù)據(jù)加密技術(shù)2、對稱加密優(yōu)點：◆算法比較簡便高效◆密鑰簡短，◆破譯極其困難，保密強度高

情境任務三

電子商務安全防范

非對稱加密算法需要兩個密鑰：公開密鑰（publickey）和私有密鑰（privatekey）。公開密鑰（公鑰）是對外公開的，任何符合條件的人都可以使用；私有密鑰（私鑰）是保密的，只有持有者才有。公鑰與私鑰是一對，如果用公鑰對數(shù)據(jù)進行加密，只有用對應的私鑰才能解密；如果用私鑰對數(shù)據(jù)進行加密，那么只有用對應的公鑰才能解密。（二）數(shù)據(jù)加密技術(shù)2、非對稱加密

非對稱加密也叫公開加密，用作加密的密鑰不同于用作解密的密鑰，而且解密密鑰不能根據(jù)加密密鑰計算出來（至少在合理假定的長時間內(nèi)）。之所以叫作公開密鑰算法，是因為加密密鑰能夠公開，即陌生人可以用加密密鑰加密信息，但只有用相應的解密密鑰才能解密信息。46接收方加密系統(tǒng)解密系統(tǒng)明文(M)乙方公鑰密文(C)發(fā)送方明文(M)乙方密鑰非對稱密鑰加密圖例

情境任務三

電子商務安全防范（二）數(shù)據(jù)加密技術(shù)3、非對稱加密特點

◆密鑰分配簡單。由于加密密鑰與解密密鑰不同，且不能由加密密鑰推導出解密密鑰，因此，加密密鑰表可以像電話號碼本一樣．分發(fā)給各用戶，而解密密鑰則由用戶自己掌握。◆密鑰的保存量少。網(wǎng)絡中的每一密碼通信成員只需秘密保存自己的解密密鑰，N個通信成員只需產(chǎn)生N對密鑰，便于密鑰管理。◆可以滿足互不相識的人之間進行私人談話時的保密性要求。

◆可以完成數(shù)字簽名和數(shù)字鑒別。發(fā)信人使用只有自己知道的密鑰進行簽名，收信人利用公開密鑰進行檢查，既方便又安全。不足：公鑰算法復雜，速度慢

兩種加密方式的比較比較項目代表標準密鑰關(guān)系密鑰傳遞數(shù)字簽名加密速度主要用途對稱密鑰加密DES加密密鑰與解密密鑰相同必要困難快數(shù)據(jù)加密公開密鑰加密RSA加密密鑰與解密密鑰不同不必要容易慢數(shù)字簽名、密鑰分配加密情境任務三

電子商務安全防范兩種方法的混合使用第一步：發(fā)送者先產(chǎn)生一個隨機數(shù)(即對稱密鑰，每次加密密鑰不同)，并用它對要發(fā)送的信息進行加密。第二步：發(fā)送者用接收者的公共密鑰用RSA算法對該隨機數(shù)（即對稱密鑰）加密。隨后將上兩步加密的信通過網(wǎng)絡發(fā)送。第三步：接收者接收到信息后，首先用自己的私人密鑰隨機數(shù)解密。第四步：接收者再用解密后的隨機數(shù)對信息進行解密。這種加解密方式，既有RSA體系的保密性，又有DES或IDEA算法的快捷性。

情境任務三

電子商務安全防范圖示混合應用發(fā)送者接收者RSA加密RSA解密DES解密DES加密明文明文密文DES解密鑰DES密鑰（通過RSA加密傳遞）密文DES解密密鑰接收者密鑰情境任務三

電子商務安全防范（二）數(shù)據(jù)加密技術(shù)

4.數(shù)字簽名（1）數(shù)字簽名的概念數(shù)字簽名（又稱電子簽名）是指一種類似寫在紙上的普通的物理簽名，但是采用公鑰加密技術(shù)實現(xiàn)，用于鑒別數(shù)字信息的方法。它一般采用Hash（散列）函數(shù)進行運算，只有信息的發(fā)送者才能產(chǎn)生別人無法偽造的一段數(shù)字串。這段數(shù)字串同時也是對信息的發(fā)送者發(fā)送信息真實性的一個有效證明。一套數(shù)字簽名通常定義兩種互補的運算：一個用于簽名，另一個用于驗證。

情境任務三

電子商務安全防范（二）數(shù)據(jù)加密技術(shù)

4.數(shù)字簽名

（2）數(shù)字簽名的過程情境任務三

電子商務安全防范（三）認證體系1．CA認證CA

是認證機構(gòu)的國際通稱，是對數(shù)字證書的申請者發(fā)放、管理、取消數(shù)字證書的機構(gòu)。CA

的作用是檢查證書持有者身份的合法性，并簽發(fā)證書，以防證書被偽造或篡改。認證機構(gòu)相當于一個權(quán)威可信的中間人，職責是核實交易各方的身份，負責電子證書的發(fā)放和管理。理想化的狀態(tài)是，上網(wǎng)的每一家企業(yè)或個人都要有一個自己的網(wǎng)絡身份證作為唯一的標志。這些網(wǎng)絡身份證的發(fā)放、管理和認證是一個復雜的過程，也就是所謂的CA認證。

情境任務三

電子商務安全防范（三）認證體系2.數(shù)字證書

(1)概念數(shù)字證書也叫數(shù)字標志（DigitalID），是一種應用廣泛的信息安全技術(shù)，一般由權(quán)威公正的第三方機構(gòu)，即CA簽發(fā)，主要用于網(wǎng)上安全交易的身份認證。通俗地講，數(shù)字證書就是個人或單位在網(wǎng)絡上的身份證。數(shù)字證書以密碼學為基礎(chǔ)，采用數(shù)字簽名、數(shù)字信封、時間戳等技術(shù)，在因特網(wǎng)上建立安全有效的信任機制。情境任務三

電子商務安全防范（三）認證體系

2.數(shù)字證書

數(shù)字證書包括的內(nèi)容

證書的版本信息；

證書的序列號，每個證書都有一個唯一的證書序列號；

證書所使用的簽名算法；

證書的發(fā)行機構(gòu)名稱，命名規(guī)則一般采用X.500格式；

證書的有效期，現(xiàn)在通用的證書一般采用UTC時間格式，它的計時范圍為1950-2049；

證書所有人的名稱，命名規(guī)則一般采用X.500格式；

證書所有人的公開密鑰；

證書發(fā)行者對證書的數(shù)字簽名。

情境任務三

電子商務安全防范（三）認證體系

2.數(shù)字證書

(2)數(shù)字證書的應用

個人身份證書

單位數(shù)字證書

E-mail證書

應用服務器證書

代碼簽名證書

情境任務三

電子商務安全防范（三）認證體系

3.身份認證技術(shù)

身份認證即鑒別認證，是指在揭示敏感信息或進行事務處理之前先確定對方身份。互聯(lián)網(wǎng)上身份認證的方法有很多，如口令認證、智能卡認證、短信密碼認證、動態(tài)口令牌認證、USB

Key認證及生物特性認證等。

情境任務三

電子商務安全防范（四）安全服務協(xié)議1、SSL協(xié)議SSL（SecureSocktesLayer）是Netscape公司率先采用的一種網(wǎng)絡安全協(xié)議，它能把在網(wǎng)頁和服務器之間傳輸?shù)臄?shù)據(jù)加密。這種加密措施能夠防止資料在傳輸過程中被竊取。因此采用SSL協(xié)議傳輸密碼和信用卡號等敏感信息以及身份認證信息是一種比較理想的選擇。SSL可以被理解成一條受密碼保護的通道。通道的安全性取決于協(xié)議中采用的加密算法。目前SSL協(xié)議標準已經(jīng)成為網(wǎng)絡上保密通信的一種工業(yè)標準,在C/S和B/S的構(gòu)架下都有廣泛的應用。情境任務三

電子商務安全防范（四）安全服務協(xié)議

情境任務三

電子商務安全防范SSL的工作流程

（四）安全服務協(xié)議

2、SET協(xié)議安全電子交易協(xié)議（應用層）消費者、商戶、收單行進行認證。該協(xié)議由美國的Visa和MasterCar公司（信用卡公司）聯(lián)合多家國際科技機構(gòu)共同制定。它是一個以銀行卡進行在線交易的安全標準協(xié)議。在BtoC模式中應用尤為廣泛。SET提供的服務●

保證交易信息的保密性和完整性●

確保交易的不可否認性●

確保商家和客戶的合法性

情境任務三

電子商務安全防范SET工作步驟根據(jù)SET協(xié)議的工作流程圖，可將整個工作程序分為下面幾個步驟：◆消費者利用自己的PC機通過Internet選定所要購買的物品，并在計算機上輸入定貨單，定貨單上需包括在線商店。購買物品名稱及數(shù)量、交貨時間及地點等相關(guān)信息。◆通過電子商務服務器與有關(guān)在線商店聯(lián)系，在線商店做出應答，告訴消費者所填定貨單的貨物單價、應付款數(shù)、交貨方式等信息是否準確，是否有變化。◆消費者選擇付款方式，確認定單，簽發(fā)付款指令。此時SET開始介入。◆在SET中，消費者必須對定單和付款指令進行數(shù)字簽名。同時利用雙重簽名技術(shù)保證商家看不到消費者的賬號信息。◆在線商店接受定單后，向消費者所在銀行請求支付認同。信息通過支付網(wǎng)關(guān)到收單銀行，再到電子貨幣發(fā)行公司確認。批準交易后，返回確認信息給在線商店。◆在線商店發(fā)送定單確認信息給消費者。消費者端軟件可記錄交易日志，以備將來查詢。

◆在線商店發(fā)送貨物，或提供服務；并通知收單銀行將錢從消費者的賬號轉(zhuǎn)移到商店賬號，或通知發(fā)卡銀行請求支付。

工作流程金融專網(wǎng)SETINTERNET

SETINTERNETSETINTERNETSETINTERNET發(fā)卡單位支付網(wǎng)關(guān)CA認證中心商店服務器消費者電子錢包SSL協(xié)議SEL協(xié)議參與方客戶、商家和網(wǎng)上銀行客戶、商家、支付網(wǎng)關(guān)、認證中心和網(wǎng)上銀行軟件費用已被大部分Web瀏覽器和Web服務器所內(nèi)置，因此可直接投入使用，無需額外的附加軟件費用必須在銀行網(wǎng)絡、商家服務器、客戶機上安裝相應的軟件，而不是象SSL協(xié)議可直接使用，因此增加了許多附加軟件費用便捷性SSL在使用過程中無需在客戶端安裝電子錢包，因此操作簡單；每天交易有限額規(guī)定，因此不利于購買大宗商品；支付迅速，幾秒鐘便可完成支付SET協(xié)議在使用中必須使用電子錢包進行付款，因此在使用前，必須先下載電子錢包軟件，因此操作復雜，耗費時間；每天交易無限額，利于購買大宗商品；由于存在著驗證過程，因此支付緩慢，有時還不能完成交易安全性只有商家的服務器需要認證，客戶端認證則是有選擇的；缺少對商家的認證，因此客戶的信用卡號等支付信息有可能被商家泄漏安全需求高，因此所有參與交易的成員：客戶、商家、支付網(wǎng)關(guān)、網(wǎng)上銀行都必須先申請數(shù)字證書來認識身份；保證了商家的合法性，并且客戶的信用卡號不會被竊取，替消費者保守了更多的秘密，使其在結(jié)購物和支付更加放心SSL和SET的比較（五）區(qū)塊鏈技術(shù)情境任務三

電子商務安全防范1．區(qū)塊鏈技術(shù)的概念

區(qū)塊鏈是一種分布式賬本。在這個分類賬上，所有發(fā)生在區(qū)塊鏈上的事務都被記錄并存儲在一個數(shù)據(jù)塊中。一旦一個事務被存儲在分類賬上，就永遠不會被刪除，因此每個事務的區(qū)塊鏈都會變得更長。

區(qū)塊鏈之所以如此安全，是因為它的分布式特性。網(wǎng)絡中的每個節(jié)點都有完全相同的分類，并且整個網(wǎng)絡都在不斷地檢查分類賬。當網(wǎng)絡中的一個節(jié)點與網(wǎng)絡的其余部分有不同的分類時，網(wǎng)絡將被通知，而發(fā)散的節(jié)點將被告知并從網(wǎng)絡中刪除。（五）區(qū)塊鏈技術(shù)情境任務三

電子商務安全防范2．區(qū)塊鏈技術(shù)在電子商務安全中的應用（1）區(qū)塊鏈技術(shù)能保證交易者身份認證可靠（