电子商务安全与支付课件全套教学教程-电子讲义2.pptx

1、电子商务安全与支付（第三版）子学习情境1：电子商务及安全子学习情境2：电子商务的安全威胁子学习情境3：电子商务安全技术及安全规范实训项目学习情境小结思考题学习情境一 电子商务安全概述具有使用代表性电子商务网站进行网上交易的能力。能力目标1.掌握电子商务的含义;2.了解电子商务的安全需求和安全威胁;3.了解电子商务的安全技术和安全规范;4.了解电子商务安全与支付技术的概况。知识目标学习目标思维导读电子商务安全概述电子商务及安全电子商务的含义Internet的发展电子商务的发展电子商务的安全现状电子商务的安全威胁Internet的安全威胁Intranet范围内的安全问题网络攻击电子交易环境的安全性

2、问题电子交易过程中的安全性问题网上支付的安全性问题电子商务安全技术及安全规范电子商务的安全需求电子商务安全技术电子商务安全规范任务描述随着Internet的迅速发展和广泛应用，电子商务已成为业界新热点，同时它也带来了商务活动的全新运作模式。商务活动的一系列过程都体现着商务行为各方的权利、责任、义务和利益。传统的商务活动模式，由于经历了漫长的社会实践，在社会意识、人员素质、职业道德、政策法规以及技术等各个方面都已逐步完善，形成了大体适应的规范和支撑环境。然而，对于迅速发展的电子商务来说，这一切却处于刚刚起步阶段，其发展和完善将是一个漫长的过程。就目前来看，电子商务活动中的安全问题已不可否认地成为

3、电子商务发展的一个“瓶颈”。本学习情境通过介绍电子商务及其安全概况、电子商务的安全威胁、电子商务安全技术和安全规范以及访问代表性电子商务网站和模拟电子商务交易活动，使学生掌握电子商务的基本概念、电子商务面临的安全威胁、电子商务的安全需求以及电子商务安全技术和规范。子学习情境1 电子商务及其安全从宏观上讲，电子商务是计算机网络的又一次革命，是通过电子手段建立的一种新的经济秩序，它不仅涉及电子技术和商业交易本身，而且涉及诸如金融、税务、教育等其他社会层面。从微观上讲，电子商务是指各种具有商务活动能力的实体(生产企业、商贸企业、金融机构、政府机构、个人消费者等)利用网络和先进的数字化传媒技术进行的各

4、项商务贸易活动。通俗地说，电子商务就是在计算机网络(主要指Internet)的平台下，按照一定标准开展的商务活动。当企业将它的主要业务通过企业内部网(Intranet)、企业外部网(Extranet)以及Internet与它的职员、客户、供销商以及合作伙伴直接相连时，其中发生的各种活动就是电子商务。1.电子商务的含义子学习情境1 电子商务及其安全2.Internet的发展Internet起源于20世纪60年代末美国的阿帕网(ARPAnet)。ARPAnet是一个用于军事方面的计算机网络，1969年作为一个试验网络投入运行，之后逐年扩大，1975年结束试验交付使用。ARPAnet覆盖美国和欧洲大

5、部分地区，把数量很多、种类各异的计算机连接成一个国际性远程网。ARPAnet的研制过程为计算机网络的发展打下了理论和实践基础。1983年，TCP/IP成为ARPAnet上的标准通信协议，一个真正意义上的Internet出现了。“Internet”这个名称的使用是从MILnet(从ARPAnet中分离出来的网络)和NSFnet(美国国家科学基金会开发的地区性学术网络)的连接开始的。NSFnet连接了全美上百万台计算机，拥有几百万用户，是Internet最主要的成员网。后来随着各种计算机网络的不断开发，Internet蓬勃发展。到20世纪90年代早期，万维网(World Wide Web，WWW)

6、出现了，它成为人们上网浏览最流行的方式。中国互联网络信息中心的调查显示:截至2020年3月，我国网民人数达到9.04亿人，较2018年底增长7 508万人;互联网普及率达到64.5%，较2018年底提升4.9个百分点。随着信息技术的飞速发展，我国电子商务的发展环境日趋成熟。子学习情境1 电子商务及其安全3.电子商务的发展Internet使任何规模的企业都能负担得起电子商务活动的费用。银行间的电子资金转账(Electronic Funds Transfer，EFT)技术与企事业间的电子数据交换(Electronic Data Interchange，EDI)技术相结合，产生了早期的电子商务(或称

7、电子商贸)。信用卡(Credit Card)、自动柜员机(Automatic Teller Machine，ATM)、零售业销售终端(Point of Sale，POS)和EFT技术的发展，以及相应的网络通信技术和安全技术的发展，推动了个人用户网上购物(Business to Consumer，B2C)与企业之间网上交易(Business to Business，B2B)的飞速发展。1991年美国政府宣布Internet向公众开放，允许在网上开发商务应用系统。1993年Internet上出现万维网，这是一种具有处理数据、图、文、声、像、超文本对象能力的网络技术，使Internet具备了支持多媒

8、体应用的功能。1995年Internet上的商业业务信息量首次超过了科教业务信息量，这既是Internet开始爆炸性发展的标志，也是电子商务大规模发展起步的标志。单击此处添加备注1 电子商务及其安全3.电子商务的发展随后电子商务的安全性问题成为人们关注的焦点。为应对B2C模式的电子商务安全问题，1996年2月VISA与MasterCard两大信用卡国际组织共同发起制定了保障在互联网上进行安全电子交易的安全电子交易(Secure Electronic Transaction，SET)协议。该协议确定，客户、商家和交易各方相互之间身份的确认采用电子证书等技术，以保障交易安全。VISA与Master

9、Card两大组织还共同建立了安全电子交易有限公司，专门管理与促进SET协议在全球的应用推广。1994年美国网景公司(Netscape)成立，该公司开发并推广支持B2B模式电子商务的安全套接层(Secure Sockets Layer，SSL)协议，用以弥补Internet上的主要协议TCP/IP在安全性能上的缺陷(如TCP/IP协议难以确定用户的身份)。SSL协议通过电子证书识别通信双方的身份，但SSL协议缺少数字签名、授权、存取控制等功能，不能够防止抵赖，用户身份有被冒充的风险，这都是SSL协议在安全方面的弱点。在此之后加拿大Entrust公司开发出公钥基础设施(Public Key Inf

10、rastructure，PKI)技术，弥补了SSL协议的缺陷。它支持SET、SSL、IPSec及电子证书和数字签名，可应用于B2B模式的电子商务进行安全结算。2019年7月，国内知名电商智库电子商务研究中心发布2018年度中国电子商务市场数据监测报告。报告显示，2018年中国电子商务交易规模为32.55万亿元，同比增长13.5%。其中，B2B交易额22.5万亿元，占电商整体比例的69.1%;网络零售交易额8.56万亿元，占电商整体比例的26.3%;生活服务电商交易额1.49万亿元，占电商整体比例的4.58%。以上资料显示，我国的电子商务发展速度惊人，可以预见我国的电子商务具有良好的发展前景。子

11、学习情境1 电子商务及其安全3.电子商务的安全现状（1）电子商务安全问题日益受到重视（2）黑客的威胁上升（3）计算机网络病毒给电子商务造成的损失继续增加（4）电子商务金融系统的安全缺乏保障（5）电子商务安全保障措施尚待加强子学习情境2 电子商务的安全威胁1.Internet的安全威胁（1）系统穿透系统穿透是指未授权人通过一定手段对电子商务系统的认证性(真实性)进行攻击，假冒合法用户接入企业内部系统，篡改文件、窃取机密信息、非法使用资源等。一般采取伪装或利用系统的薄弱环节(如绕过检测控制)、窃取情报(如口令)等方式实现。（2）违反授权违反授权是指一个获授权进入系统做某件事的用户，在系统中从事未经

12、授权的其他活动。表面看来这是系统内部的误用或滥用问题，实际上这种威胁与外部穿透有关联。一个攻击者可以通过猜测口令方式接入一个非特许用户账号，进而利用系统的薄弱环节，取得特许接入系统权，从而严重危及系统的安全。（3）植入一般在系统穿透或违反授权攻击成功后，入侵者常要在系统中植入一种能力，如向系统中注入病毒、蛀虫、特洛伊木马程序、陷门、逻辑炸弹等，为以后的攻击提供方便。例如攻击者可在系统中植入一种表面上是文字处理软件的木马程序，该程序能将所有编辑文档复制存入一个隐蔽的文件夹中，供攻击者检索。子学习情境2 电子商务的安全威胁1.Internet的安全威胁（4）通信监视这是通过搭线或电磁泄漏等对系统的

13、机密性进行攻击，造成泄密，或获知业务流量，从获知的业务流量中分析出有用情报。侦察卫星、监视卫星、预警卫星、间谍飞机、预警飞机、装有大型综合孔径雷达的高空气球、无线微型传感器都可用于截获和跟踪信息。（5）通信窜扰攻击者对通信数据或通信过程进行干预，对系统的完整性进行攻击，篡改系统中的数据，修改消息次序、时间(延时或重放)，注入伪造消息。（6）中断对系统的可用性进行攻击，破坏系统中的硬盘、线路、文件系统等，使系统不能正常工作，毁坏信息和网络资源。高能量电磁脉冲发射设备可以摧毁附近建筑中的电子器件，有些电子生物可以吞噬电子器件。（7）拒绝服务拒绝服务是指合法接入数据接口、业务口或其他资源受阻，例如，

14、一个业务口被故意滥用而使其他用户不能正常接入、Internet的一个地址被大量垃圾信息阻塞等。（8）否认否认即一个实体进行某种通信或交易活动后却否认曾进行这一活动。不管这种行为是有意的还是无意的，双方一旦出现类似争执再要解决就不太容易了。子学习情境2 电子商务的安全威胁2.Intranet范围内的安全威胁（1）恶意代码恶意代码是指那些不请自来的软件，它们可能会在Intranet及与之相连的系统上做出任何事情，如攻击个人计算机及更复杂的系统，包括Intranet上的服务器。防范恶意代码的最好办法是将它们完全拒之于门外，不幸的是这一点并不容易做到。恶意代码通常以病毒的形式出现，它可以通过把自己附加

15、到计算机内存或磁盘上的程序里进行自我复制。一旦恶意代码被运行或所在环境达到某种特定条件，它就会干扰系统的正常运作，如在某个特定日子里闪现出一条消息，或篡改文件信息，甚至捣毁硬盘。（2）物理的和基础构造上的威胁Intranet有时会因物理的和基础构造上的威胁而遭到损害。这类威胁有能量损耗、自然灾难(如水灾、闪电及雷击等)、物理上的篡改及硬件上的破坏等。对于此类威胁，系统备份是一种简单的解决办法，它可以使Intranet上的数据不会因这种威胁而遭受不可逆转的损失。因此，在实施安全程序时一定要进行系统备份。（3）黑客的威胁黑客可能会为了各种原因闯入Intranet。有些黑客可能只想四处逛逛，也有一些

16、黑客可能想窃取信息或是破坏网络。在对付黑客时至关重要的一点是不要低估了他们对Intranet造成的损害，要事先做好安全防范工作。子学习情境2 电子商务的安全威胁2.Intranet范围内的安全威胁（4）电子间谍的窃取公司放在Intranet上的信息一般都是很有价值的，一旦公司的竞争对手和敌人通过电子间谍从Intranet上窃取了公司机密文件，公司就可能会损失惨重。（5）职员的报复职员在心怀不满时可能会在Intranet上搞恶作剧或从事破坏活动，以示报复。职员们是最熟悉公司计算机系统的，他们清楚地知道何种操作会造成最大的危害。如果一个职员要离职了，请及时使其口令失效，并删除其所有的系统账户。（6

17、）Intranet的安全性弱点在建立起一个Intranet并在其上使用安全程序时，请注意它可能会有许多安全性弱点。下面列举主要的两个:口令系统。口令系统是目前暴露最多的网络弱点。对口令的攻击主要是指危害一个系统的口令。据估计，网络安全问题中有80%是由不安全的口令造成的。目前市面上有一种破解口令的软件，它带有一个猜测字典，可自行匹配一个口令，如果用户的口令可以从字典里找到，那这种软件就很容易破解该口令。攻击者可以轻易地得到这种软件。对口令攻击的防范也比较简单，只要经常更换Intranet上的口令即可。TCP/IP协议。TCP/IP协议的创建思想是使大量军事网点、研究所网点和大学网点能相互连接，

18、目的不是限制访问，而是要扩展。在定义TCP/IP协议和其他相关协议时，安全性并未被考虑在内。此外，使用TCP/IP协议传输的应用程序也是易受攻击的。子学习情境2 电子商务的安全威胁3.网络攻击（1）脆弱脚本攻击随着Internet的重要性不断提高,越来越多的应用程序都被放在Web服务器上运行。如果编写的应用程序脚本本身存在缺陷,并且被攻击者利用,那么用户的计算机就会处于危险之中。因此,编写应用程序的时候,一定要假设编写的代码将会运行在最危险的环境中,根据这个条件来设计、编写并测试代码,以便编写安全的脚本文件。如果想检查Web服务器上是否运行着脆弱脚本,可以运行脆弱扫描器(免费版或商业版都可以)

19、。如果发现有这种脆弱脚本,应当对该版本进行升级(用非脆弱版本)或换用另一种脚本。（2）Web欺骗Web欺骗是一种在Internet上使用的针对Web的攻击技术,这种攻击会泄露某人的隐私或破坏数据的完整性,危及使用Web浏览器的用户,包括使用Netscape Navigator和Internet Explorer的用户。Web欺骗主要表现在以下两个方面:(1)Web页面的欺诈。(2)通用网关接口(Common Gateway Interface,CGI)欺骗。（3）网络协议攻击目前的网络协议尚不完善,这方面的漏洞不断地被发现。在网络中使用最普遍的协议就是TCP/IP协议。TCP/IP协议有不少安

20、全漏洞,易受到攻击。例如,攻击者故意错误地设定数据包中的一些重要的字段,然后使用Raw Socket编程,将这些错误的IP数据包发送出去。在数据接收端,由于TCP/IP协议存在漏洞,因而在将接收到的数据包组装成一个完整的数据包的过程中,就会使系统宕机、挂起或导致系统崩溃。子学习情境2 电子商务的安全威胁3.网络攻击（4）IP地址欺骗IP地址欺骗是指通过IP地址的伪装使得某台主机能够冒充具有某种特权或者被另外的主机所信任的主机。IP地址欺骗通常都要用编写的程序来实现,如通过使用Raw Soket编程,发送带有假冒的源IP地址的数据包,来达到自己的目的。另外,目前网上还提供大量的可以发送伪造IP地

21、址的工具包,使用它可以任意指定源IP地址而不留下自己的痕迹。（5）远程攻击远程攻击是指对远程计算机的专门攻击。“远程计算机”最确切的定义是:它不是你正在其上工作的平台,而是能利用某协议通过Internet或任何其他网络介质来使用的计算机。进行远程攻击并不需要和攻击目标进行密切的接触,攻击者只需识别出目标机及其所在网络的类型便可进行攻击,而对目标机及其网络类型的识别无须干扰目标的正常工作(假设目标没有安装防火墙)。（6）缓冲区溢出攻击在缓冲区溢出的情况下,服务器端的接收服务或者应用程序无法很好地处理过长的字符串。总的来说,缓冲区溢出可以发生在一些特殊的元素、字段或者消息上。如果接收系统没有准备好

22、处理未知长度的字段和消息,应用程序就会处在一个比较危险的境地。它有可能造成系统的崩溃,也有可能被黑客利用从而获得对Web服务器的控制。黑客会通过发送脆弱脚本,让服务器端运行一个由黑客控制的木马程序,来实现入侵的目的。子学习情境2 电子商务的安全威胁4.电子交易环境的安全威胁（1）客户机的安全威胁（2）服务器的安全威胁活动内容带来的安全威胁。Web服务器的安全漏洞。其他程序的安全漏洞。Java、Java小应用程序、JavaScript及其安全威胁。ActiveX控件的安全威胁。Cookie和会话管理的安全威胁。通用网关接口的安全漏洞。子学习情境2 电子商务的安全威胁5.电子交易过程中的安全威胁客

23、户或持卡人电子交易实体发卡机构商家受卡行支付网关客户浏览商品商品添加购物车持卡人下单商户验证持卡人信息发送购物指令持卡人选择付款方式商户与持卡人结算商户发货商户接收订单电子交易过程电子交易主体子学习情境2 电子商务的安全威胁1）虚假订单。一个假冒者可能会以消费者的名字来订购商品,而且有可能收到商品,而此时真正的消费者却被要求付款或返还商品。2）付款后没有收到商品。在付款后,商户方面由于种种原因不发货。3）信息机密性丧失。消费者有可能将个人的私密数据或自己的身份数据(PIN码、口令等)发送给冒充销售商的机构,这些信息也可能会在传递过程中被窃取。4）拒绝服务。攻击者可能向商户的服务器发送大量的虚假

24、订单来穷竭它的资源,从而使消费者不能享受到正常的服务。1）中央系统安全性被破坏:入侵者假冒合法用户来改变用户数据(如商品送达地址)、解除客户订单或生成虚假订单。2）客户资料被竞争者获悉。3）被他人假冒,进行不法交易,从而损害公司信誉。4）消费者收到货物后不付款。商户面临的安全威胁5.电子交易过程中的安全威胁消费者面临的安全威胁电子交易双方面临的安全威胁（1）中断(攻击系统的可用性):破坏系统中的硬件,包括硬盘、线路等,或破坏文件系统,使系统不能正常工作。（2）窃听(攻击系统的机密性):通过搭线或电磁泄漏等手段造成泄密,或对业务流量进行分析,获取有用情报。（3）篡改(攻击系统的完整性):篡改系统

25、中的数据内容,修改消息次序、时间(延时和重放)。（4）伪造(攻击系统的真实性):将伪造的假消息注入系统、假冒合法人接入系统、重发截获的合法消息以实现非法目的、否认消息的接收或发送等。黑客攻击电子交易过程的常用手段子学习情境2 电子商务的安全威胁5.电子交易过程中的安全威胁子学习情境2 电子商务的安全威胁（1）电子支付和传统的付款方式一样,都会因为被他人冒领、盗领款项而导致损失。电子支付制度若无法保障交易安全,可能会使消费者遭受更大的财务损失。（2）电子支付系统若发生断线、操作错误等问题,可能对消费者造成经济损失。消费者在使用电子支付方式时,会有虽然有钱,但是却因为断线、厂商拒收或是其他原因,而

26、无法在一定时间、地区完成特定金额交易的困扰。（3）使用电子支付方式时,所有的付款资讯可能未经消费者的同意即被收集或被披露给第三人,甚至被冒用或是被其他有可能损害消费者利益的不法人员使用。（4）电子支付工具的使用,亦可能产生新的犯罪问题。例如:电子支付工具可能会刺激洗钱这种违法活动产生,或是被用于网络赌博。此外,电子支付工具本身也可能成为犯罪的目标,如伪造、编造、诈欺等犯罪行为可能会以电子支付工具为目标。6.电子支付的安全威胁电子支付所面临的安全隐患子学习情境3电子商务安全技术及安全规范1.电子商务的安全需求可靠性是指计算机系统的可靠性,即为防止计算机失效、程序错误、传输错误、硬件故障、系统软件

27、错误、计算机病毒和自然灾害等造成的潜在威胁,而加以控制和预防,确保系统安全、可靠。可靠性真实性机密性完整性完整性是指数据在输入和传输过程中能保持一致,不被非授权者修改和破坏。有效性是指电子数据在交易活动中是有效且可靠的。不可抵赖性是指交易双方对各自承担的电子商务活动内容不能予以否认。有效性不可抵赖性严密性真实性是指电子商务活动中交易者的身份是真实的,不是假冒的。机密性是指交易过程中必须保证信息不会泄露给非授权的人或实体。严密性是指电子商务活动中涉及的企业内部网的严密性。子学习情境3电子商务安全技术及安全规范2.电子商务的安全技术（1）加密技术加密技术是电子商务采取的主要安全措施之一。目前,加密

28、技术分为两类,即对称加密和非对称加密,贸易方可根据需要在信息交换的阶段选择使用。对称加密。对称加密又称对称密钥加密、专用密钥加密。在对称加密方法中,对信息的加密和解密都使用相同的密钥。美国国家标准局提出的数据加密标准(Data Encryption Standard,DES),是目前广泛采用的对称加密方式之一。对称加密技术存在三个方面的问题:其一,在通信的贸易方之间如何确保密钥安全交换的问题;其二,当某一贸易方有多个贸易伙伴,那么他就要维护多个专用密钥(每把密钥对应一个贸易伙伴);其三,无法鉴别发送信息的是贸易发起方还是贸易最终方,因为贸易双方共享同一把专用密钥,贸易双方的任何信息都是通过这把

29、密钥加密后传送给对方的。(2)非对称加密。非对称加密又称公开密钥加密。在非对称加密体系中,密钥被分解为一对,即一把公开密钥(加密密钥)和一把专用密钥(解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对信息的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛发布。RSA算法是非对称加密领域内最为著名的算法。公开密钥加密技术存在的主要问题是运算速度较慢。子学习情境3电子商务安全技术及安全规范2.电子商务的安全技术（2）密钥管理技术对称密钥管理。采用对称加密技术的贸易

30、双方必须要保证采用的是相同的密钥,并保证彼此密钥的交换是安全可靠的,同时还要设定防止密钥泄密和更改密钥的程序。这样,对称密钥的管理和分发将变成一个存在潜在危险的、烦琐的过程。通过公开密钥加密技术实现对称密钥的管理,可以使相应的管理变得更加简单和安全,同时还解决了纯对称密钥模式中存在的可靠性程度不同和无法鉴别身份的问题。公开密钥管理/数字证书。贸易伙伴间可以使用数字证书来交换公开密钥。数字证书通常包含证书所有者(贸易方)的名称、证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。证书发布者一般称为证书认证中心,它是贸易各方都信赖的机构。数字证书能够起到标识

31、贸易方的作用,是目前电子商务广泛采用的技术之一。上海市数字证书认证中心有限公司是我国第一家数字证书认证机构,它联合北京、天津、山东、安徽等地的认证中心成立了全国性的认证联合体协卡认证体系(United Certification Authority),并在全国设有近400家证书受理点。子学习情境3电子商务安全技术及安全规范2.电子商务的安全技术（3）数字签名技术数字签名是公开密钥加密技术的另一项应用。它的主要方式是:信息的发送方从信息文本中生成一个128位的散列值(或信息摘要),由发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名,然后将这个数字签名作为信息的附件和信息一起发送给

32、信息的接收方。信息的接收方首先从接收到的原始信息中计算出一个128位的散列值(或信息摘要),接着再用发送方的公开密钥来对信息附加的数字签名进行解密,得出一个散列值,比较这两个散列值,如果相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够保证信息的真实性、不可篡改性和不可抵赖性。（4）防火墙技术防火墙是指隔离在本地网络与外界网络之间的一道防御系统。设立防火墙的目的是保护内部网络不受外部网络的攻击,防止内部网络用户向外泄密,限制他人进入内部网络,过滤掉不安全服务和非法用户,防止入侵者接近用户防御设施,限定用户访问特殊站点,也为监视Internet安全提供方便。目前,防火墙技术主要有包过

33、滤和代理服务两种。(1)包过滤。包过滤是一种基于路由器的防火墙技术。(2)代理服务。代理服务是一种基于代理服务器的防火墙技术。SSL协议。SSL协议是由美国网景公司研究制定的安全协议,该协议向基于TCP/IP协议的客户和服务器应用程序提供了客户端和服务器的鉴别、保持数据的完整性及机密性等安全措施。SSL协议是网景公司在网络传输层之上提供的一种基于RSA的用于浏览器和Web服务器之间的安全连接技术。它被视为 Internet 上浏览器和Web服务器的标准安全性措施。S-HTTP协议。S-HTTP协议(安全的超文本传输协议)扩充了HTTP协议的安全特性,提高了信息传输的安全性,它是基于SSL技术的

34、。该协议为电子商务的应用提供完整性、可鉴别性、不可抵赖性及机密性等方面的安全措施。SET协议。SET(Secure Electronic Transaction,安全电子交易)协议是以实现开放网络上的安全、有效的银行卡交易为目的,由美国VISA和MasterCard两大信用卡组织共同制定,能保证通过开放网络(包括Internet)进行安全资金支付的技术标准。参与该标准研究的还有微软公司、IBM公司、网景公司、RSA公司等。SET协议主要由3个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。子学习情境2 电子商务的安全威胁（1）Internet主要的安全协议3.电子商务安全规范

35、子学习情境3电子商务安全技术及安全规范3.电子商务安全规范（2）UN/EDIFACT的安全措施EDI(电子数据交换)是电子商务最重要的组成部分,是国际上广泛采用的自动交换和处理商业信息与管理信息的技术。UN/EDIFACT报文是唯一的国际通用的EDI标准。利用Internet进行EDI已成为人们日益关注的领域,保证EDI的安全也成为要解决的主要问题。联合国下属的专门从事UN/EDIFACT标准研制的组织UN/ECE/WP.4(国际贸易程序简化工作组)于1990年成立了安全联合工作组(UN-SJWG),负责研究UN/EDIFACT标准中的安全措施。该工作组的工作成果以ISO标准的形式公布。ISO

36、 9735(UN/EDIFACT语法规则)新版本中包括了描述UN/EDIFACT中实施安全措施的5部分新内容,它们分别是:第5部分批式EDI(可靠性、完整性和不可抵赖性)的安全规则;第6部分安全鉴别和确认报文(AUTACK);第7部分批式EDI(机密性)的安全规则;第9部分安全密钥和证书管理报文(KEYMAN);第10部分交互式EDI的安全规则。UN/EDIFACT的安全措施主要通过集成式和分离式两种途径来实现。集成式途径是通过在UN/EDIFACT报文结构中使用可选择的安全头段和安全尾段来保证报文内容的完整性、报文来源的可鉴别性和报文传输的不可抵赖性;而分离式途径则是通过发送3种特殊的UN/

37、EDIFACT报文(AUTACK、KEYMAN和CIPHER)来达到保障安全的目的。实训项目实训1.1访问有代表性的电子商务交易平台一、实训目的和要求(1)具有Internet连接的能力。(2)具有互联网操作的能力。(3)具有访问有代表性的电子商务交易平台的能力。二、实训条件1.硬件环境要求CPU:至少550 MHz,最多支持四个CPU。内存:至少256 MB。硬盘空间:150 MB以上,不含缓存使用的磁盘空间。2.软件环境要求操作系统:Windows操作系统。3.网络环境具备上网条件。三、实训内容1.企业-企业电子商务网站(B2B)。访问阿里巴巴网()、中国制造网(http:/cn.made

38、-in-)等。2.企业-消费者电子商务网站(B2C)。访问淘宝网(http:/)、当当网(http:/)。3.企业-政府电子商务网站(B2G)。访问中国政府采购网网(http:/)。实训项目实训1.2模拟电子商务交易一、实训目的和要求(1)具有安装和配置IIS信息服务器的能力。(2)具有电子商务交易的能力。二、实训条件1.硬件环境要求CPU:至少550 MHz,最多支持四个CPU。内存:至少256MB。硬盘空间:150 MB以上,不含缓存使用的磁盘空间。2.软件环境要求操作系统:Windows Server 2003 或 Windows 7操作系统。电子商务交易平台软件:以广州网软志成信息科技

39、有限公司的仿淘宝网多用户购物商城网站(免费版)为教学用例。3.网络环境要求网络适配器:具备上网条件。三、实训内容(1)安装并配置IIS信息服务器。(2)以广州网软志成信息科技有限公司的仿淘宝网多用户购物商城网站为例,模拟电子商务交易过程。学习情境小结在互联网上开展的电子商务交易与支付活动,面临着病毒侵扰、黑客攻击、信用缺失、网络诈骗等各种安全问题,采用合理的技术管理措施可以有效地防止或减少这类损害。本学习情境概要地介绍了电子商务安全技术的发展情况、电子商务活动面临的各种安全问题,以及相应的防范措施。思考题1.简述电子商务的安全现状。2.电子商务的安全需求有哪些?3.电子商务的安全威胁有哪些?4

40、.在电子商务中交易对象有哪些?电子交易过程是怎样的?5.电子商务安全技术和规范有哪些?谢谢观看0大学出版社电子商务安全与支付（第三版）0大学出版社文继权屈武江子学习情境1：WINDOWS端操作系统安全子学习情境2：WEB浏览器安全设置子学习情境3：病毒防范技术子学习情境4：黑客防范技术实训项目学习情境小结思考题学习情境二 客户端计算机系统的安全性1.具有Windows 7操作系统的安全配置能力;2.具有Web浏览器安全设置的能力;3.具有使用常见反病毒软件进行病毒防范和查杀的能力。能力目标1.了解Windows 7操作系统的安全特性;2.了解Web浏览器的安全问题;3.掌握常用的病毒防范技术;

41、4.掌握常见的黑客攻击方式。知识目标学习目标思维导读客户端计算机系统的安全性Windows 端操作系统安全Windows 操作系统概述Windows 7 操作系统的安全特性Windows 7 操作系统新增安全特性Web 浏览器安全设置Web 浏览器的安全问题Web 浏览器的常见攻击浏览器的安全设置病毒防范技术计算机病毒的基本知识常见的反病毒软件反病毒软件采用的技术计算机病毒的防范技术黑客防范技术黑客的含义常见的黑客攻击方式黑客的防范技术任务描述Internet是遍布全球的计算机互联形成的网络,作为节点的计算机系统是Internet的重要组成部分。构成网络节点的计算机系统包括基本的硬件、系统软件

42、和各种应用程序。硬件平台的安全性主要指防火、防水、防盗等物理危险的防护,读者可以参考其他相关书籍,本学习情境对此不予详述。系统软件的安全主要指各种操作系统怎样防范攻击、保障工作安全。除此之外,运行于操作系统上的各种各样的应用程序也需要一定的安全保护措施。本学习情境通过对Windows端操作系统安全、Web浏览器安全设置、病毒防范技术以及黑客防范技术等相关知识和技术的讲解,使学生掌握Windows客户端操作系统安全设置、Web浏览器安全设置以及计算机病毒的防范技术和黑客防范技术,从而保证客户端计算机系统的安全。子学习情境1Windows端操作系统安全Windows采用了图形用户界面(GUI),比

43、起从前的DOS需要键入指令使用的方式更为人性化。随着电脑硬件和软件的不断升级,微软的Windows也在不断升级,从架构的16位、16+32位混合版(Windows 9x)、32位再到64位,系统版本从最初的Windows 1.0到大家熟知的Windows 95、Windows 98、Windows ME、Windows 2000、Windows 2003、Windows XP、Windows Vista、Windows 7、Windows 8、Windows 10 和 Windows Server服务器企业级操作系统,不断更新并逐步占据了桌面操作系统90%以上的市场份额。随着Windows系列

44、操作系统的不断升级,其安全性能也在不断增强,并达到了美国可信计算机系统评测标准中的EAL4+级。1.Windows操作系统概述2.Windows 7操作系统的安全特性（1）加密文件系统。带有多用户支持的加密文件系统(Encrypting File System,EFS)是Windows 文件系统的内置文件加密工具,它以公共密钥加密为基础,使用CryptoAPI 架构,提供一种透明的文件加密服务。（2）账户策略。Windows 7操作系统有两种不同类型的账户策略:密码策略和账户锁定策略。密码策略:在 Windows 和其他许多操作系统中,验证用户身份最常用的方法是使用秘密通行短语或密码。账户锁定

45、策略:如果在指定的时间段内输入不正确的密码达到了指定的次数,账户锁定策略将禁用用户账户。（3）本地策略。在Windows 7操作系统中,可以利用本地安全策略中的本地策略实现系统的部分安全性能。本地策略包括:审核策略、用户权利指派和安全选项。审核策略:每当用户执行了指定的某些操作,审核日志就会记录一个审核项。用户权利指派:对于一些系统中重要的操作权限,我们可以通过“用户权利指派”的策略进行“许可”或“禁止”管理。安全选项:用于设置启用或禁用多种功能,如软盘驱动器访问、CD-ROM 驱动器访问和登录提示。子学习情境1Windows端操作系统安全2.Windows 7操作系统的安全特性（4）软件限制

46、策略软件限制策略是提供给管理员的策略驱动机制,通过它管理员可以识别域中运行的软件,并对软件的执行有控制能力。在Windows的软件限制策略中,可以通过下列条件来创建规则。证书规则:通过证书规则,我们可以借助软件可执行程序自带的数字证书来创建策略。散列规则:在使用散列规则的时候,我们可以指定一个软件的可执行文件,然后由操作系统计算该文件的散列值,并根据计算出来的散列值决定是否允许运行该软件。Internet区域规则:利用应用程序下载的Internet区域进行标识。区域主要包括:Internet、本地Intranet、本地计算机、受限制的站点、受信任的站点。该规则主要应用于Windows的程序安装

47、包。路径规则:通过该规则,我们可以利用程序的安装路径或者注册表路径来决定是否允许某个路径的程序运行。子学习情境1Windows端操作系统安全2.Windows 7操作系统的安全特性（5）Internet 安全协议。Internet安全协议(IPSec)是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet协议(IP)网络上进行保密而安全的通信。（6）Windows 防火墙。Windows防火墙是自XP系统开始内置的一个安全防御系统,用于帮助用户保护电脑,免遭黑客和恶意软件的攻击。在Windows 7中,Windows防火墙默认将你的网络划分为家庭或工作网络和公共网络。（7）

48、事件查看器。事件查看器能够帮助用户查看错误或警告信息,掌握系统的运行状态。事件查看器拥有查看信息、存放日志等功能,能够帮助用户很好地管理电脑。通常有以下几种事件日志:系统日志、应用程序日志、安全日志、目录服务日志、文件复制日志、DNS服务器日志、FTP日志和WWW日志等。日志文件默认的存储位置在系统安装目录下的system32config下。（8）服务。在安装 Windows 7 的同时会创建默认的系统服务,并将它们设置为在系统启动时运行。在某些环境中,有些系统服务并不需要运行,并且任何服务或应用程序都是潜在的攻击点。因此,应该禁用或删除任何不需要的服务或可执行文件。子学习情境1Windows

49、端操作系统安全3.Windows 7操作系统新增安全特性（1）BitLocker驱动器加密（2）自带Windows Defender功能（3）Windows 7系统备份和还原（4）用户账户控制（5）Microsoft Security Essentials(MSE)功能子学习情境1Windows端操作系统安全子学习情境2Web浏览器安全设置1.Web浏览器的安全问题（1）辅助程序辅助程序扩展了Web浏览器的应用,当下载的数据不是ASCII文本、HTML、GIF或JPEG时,辅助程序中的一些特殊程序就会通过Web浏览器自动运行。辅助程序是一个灵活的、可扩展的方法,通过使用它可以下载和显示几乎所有

50、类型的信息。同时它也引起安全问题,因为虽然辅助程序是运行在用户本身的计算机上的,但是使用的却是服务器提供的信息。如果辅助程序拥有足够强大的功能,那么不怀好意的网站就可以不顾用户的利益而让辅助程序运行在用户的计算机上。通用的编程语言和一些特殊的程序(如Microsoft Word、Microsoft Excel)因为内置有Visual Basic扩展语言可以在你的系统中执行很多命令,不能被设置成为辅助程序,否则是非常危险的事情。（2）Java、JavaScript和ActiveX 现在可以用许多程序语言编写套接在Web中的程序,这些程序下载到用户浏览器上并在计算机上运行,同样危险。例如使用Jav