第六章

電子商務安全CONTENTS目錄O1電子商務安全概述O2電子商務安全技術O3電子商務安全管理措施PARTONE電子商務安全概述第一節電子商務安全的概念

從狹義上講，電子商務安全是指電子商務信息安全，即信息的存儲和傳輸安全。

從廣義上講，它包含電子商務運行中的各種安全問題，如電子商務系統的軟硬件安全、運行和管理安全、支付安全和電子商務安全立法等內容。電子商務面臨的安全威脅計算機病毒流氓軟件木馬程序網絡釣魚系統漏洞

網絡內部威脅主要是指源自組織內部人員（如員工、前員工、承包商、業務合作伙伴等）的網絡安全風險。這些威脅可能是有意的惡意行為，也可能是無意的疏忽行為，但都會對組織的網絡安全和數據安全構成重大挑戰。外部威脅內部威脅

電子商務用戶隱私安全主要涉及用戶個人信息的保護。為了保障電子商務用戶隱私安全，需要從多個層面出發，構建全方位的安全防護體系。

首先，電子商務平臺應加強自身的信息安全建設，采用先進的加密技術和安全協議，確保用戶數據在傳輸和存儲過程中的安全性。

其次，政府和相關監管機構應加大對電子商務行業的監管力度，制定更為嚴格的數據保護法律法規，明確企業和個人在數據收集、使用、共享等方面的權利和義務。

此外，用戶自身也應提高隱私保護意識，謹慎處理自己的個人信息。電子商務用戶隱私安全電子商務對安全的基本要求機密性完整性認證性不可否認性可靠性PARTTWO電子商務安全技術第二節電子商務系統的安全示意圖

防火墻技術是一種針對互聯網不安全因素所采取的保護措施，用于在內部網與外部網、專用網與公共網等多個網絡系統之間構造安全的保護屏障，阻擋外部不安全的因素，防止未授權用戶非法侵入防火墻主要由服務訪問政策、驗證工具、包過濾和應用網關關個部分組成。功能：模式的變化、功能多樣化、性能的提升電子商務防火墻技術數據加密標準高級加密標準三重數據加密標準010203電子商務加密技術對稱加密技術

對稱加密算法也稱私鑰加密算法，是指加密密鑰和解密密鑰為同一密鑰的密碼算法。對稱加密采用對稱密碼編輯技術，要求發送方和接收方使用相同的密鑰，即文件加密與解密要使用相同的密鑰。非對稱加密的工作流程（1）乙方生成一對密鑰（公鑰和私鑰）并向其他方公開公鑰。（2）得到公鑰的甲方使用該密鑰對機密信息進行加密，然后再發送給乙方。（3）乙方用自己保存的專用密鑰（私鑰）對加密后的信息進行解密。電子商務加密技術非對稱加密技術

非對稱加密技術使用公開密鑰和私有密鑰來進行加密和解密。非對稱加密技術比對稱加密技術的安全性更好，使攻擊者即便截獲了傳輸的密文并得到公鑰也無法解密。但非對稱加密需要的時間更長、速度更慢。因此，非對稱加密技術只適合對少量數據進行加密。電子商務認證技術是一種鑒別、確認用戶身份的技術。身份認證技術采用單向哈希函數將需要加密的明文摘要生成一串固定長度的密文，這個密文就是所謂的數字指紋，并在傳輸信息時將密文加入文件一并傳送給接收方。數字摘要是一種對交易日期和時間采取的安全措施，由專門的機構提供。是一個經加密后形成的憑證文檔。數字時間戳是一種結合了對稱加密技術與非對稱加密技術來進行信息安全傳輸的技術。數字信封是指用戶用自己的私鑰對原始數據的數字摘要進行加密所得的數據。數字簽名12安全套接層協議是基于Web應用的安全協議，主要用于解決Web上信息傳輸的安全問題。安全電子交易協議是電子商務中安全電子交易的一個國際標準。SET協議是以信用卡為基礎的安全電子交易協議，用于實現電子商務交易過程中的加密、認證和密鑰管理等，以保證在線支付的安全。電子商務安全協議PARTTHREE電子商務安全管理措施第三節安全防范意識的措施

網絡威脅的表現形式多種多樣，它們能夠通過多種偽裝手段來迷惑用戶，誘導用戶在無意識中主動觸發安全漏洞或執行有害操作。并且，大部分用戶缺乏網絡安全知識，網絡法律意識和道德意識淡薄，很容易受到非法用戶的欺騙。提高電子商務的安全防范意識（1）了解必要的電子商務安全知識，做到有備無患。（2）養成良好的上網習慣，不要打開陌生的電子郵件、廣告網頁。（3）謹慎保管交易密碼并定期進行修改。（4）不要瀏覽非法網站，也不要隨意泄露個人信息。（5）定期清理計算機垃圾，并查殺病毒。電子商務安全管理組織體系日常工作

電子商務企業應該建立并完善自身的電子商務安全管理組織體系，明確各職能部門的職責，并做好電子商務的風險控制。建立電子商務安全管理組織體系（1）組織相關人員學習并參加電子商務安全會議，討論信息安全問題。（2）對電子商務信息進行審查與分配，保證信息來源的準確性與真實性。（3）識別并修復電子商務系統的安全漏洞，保證電子商務系統的正常運行。（4）提供電子商務安全的實施方案，并實施信息安全措施及處理安全事故。建立電子商務安全管理制度網絡系統的日常維護制度包括硬件和軟件的日常維護。數據備份與恢復制度

包括對信息系統數據的存儲，定期為重要信息備份、系統設備備份，同時要定期對這些備份進行更新。保密制度

包括電子商務系統涉及企業的市場、生產、財務和供應鏈等多方面的機密。跟蹤審計制度

即網絡交易日志機制，用來記錄網絡交易過程。病毒防范制度

包括建立完善的防病毒系統的整體安全規劃和安全策略。人員管理制度

包括人員的選拔、工作責任的落實和安全運作所必須遵循的基本原則等相應的工作制度。做好電子商務安全問題的日常防范日常防范手段01安裝合適的防火墻和殺毒軟件，阻擋外部威脅07及時更新運行系統，防止系統流動造成的損失02禁止磁盤或文件自動運行06不要隨意連接公眾場所的免費WI-FI避免信息泄露03重要的文件要加密，并進行備份05不明文件直接拒收或先進行病毒查殺再打開04密碼設置盡量復雜，不使用容易被破解的密碼，定期修改密碼課堂練習·常見的電子商務認