高等教育电子商务基础.pptx

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2020/2/19,#,教学重点,：,电子商务的安全标准；,电子商务的安全技术。,教学难点,：,电子商务的安全标准。,教学要求：,通过本章的学习使学生掌握电子商务涉及到的计算机和网络安全问题，以及电子商务安全的标准和安全技术。,3-1,计算机与网络的安全,一、计算机安全,1,、计算机安全面临的严峻形势：,计算机泄密、窃密事件不断发生；,黑客攻击行为日益增多，计算机违法犯罪活动呈上升趋势；,一些部门 对计算机信息系统运行中存在的安全问题和潜在的风险认识不足，自我保护和防范意识不强，漏洞较多；,计算机系统安全保护技术开发和应用滞后，防范能力较差。,3,案例,1,：网络风险凸现,1988/11/2,日，,23,岁的,USA,康耐尔大学学生罗伯特,英瑞斯在自己计算机上将用远程命令编写的蠕虫程序送进网络，一夜之间，网上约,6200,台,VAX,系列小型机及,Sun,工作站、,USA300,多所大学、议院、研究中心、国家航空航天局及几个军事基地死机（,10%,），损失,9600,万美圆。,4,1994,年,4,月,-10,月间，俄国彼得堡,OA,土星公司,24,岁的电脑专家弗拉基米尔,列,列文通过互联网多次侵入,USA,花旗银行在华尔街的中央电脑系统的现金管理系统，窃走,1000,万美元（,40,笔款），大银行的电脑系统首次被外人侵入。,1999,年，有人利用从新闻讨论组中查到的普通的技术手段，轻易而举地从,USA,多个商业网站中窃取了,80000,多个信用卡帐号和密码，并标价,26,万美元出售。,2004,年,10,月,17,日国内著名的杀毒软件厂商江民公司的网站被一名为河马史诗的黑客攻破，页面内容被篡改。,2006,年,9,月,12,日晚，国内知名搜索网站百度，遭到其有史以来最大规模黑客袭击，导致百度搜索服务在全国各地出现近,30,分钟的故障。,2007,年爆发的,“,熊猫烧香,”,病毒，会使所有程序图标变成熊猫烧香，并使它们不能应用。,5,2008,年,“,扫荡波,”,。利用系统漏洞从网络入侵的程序，这个病毒可以导致被攻击者的机器被完全控制。,2009年,“,木,马下载器,”,。,2009,年度的新病毒,中毒后会产生,10002000,不等的木马病毒,导致系统崩溃,短短,3,天变成,360,安全卫士首杀榜前,3,名。,2010,年“震网病毒”。世界上首个以直接破坏现实世界中的工业基础设施为目标的蠕虫病毒，被称为“网络超级武器”。,。,讨论：网络，还会有安全吗？,2,、计算机安全问题主要涉及的领域,党政机关计算机信息系统的安全问题（首要）,政治稳定和国计民生,国家经济领域内计算机信息系统的安全问题,经济命脉,国防和军队计算机信息系统的安全问题,维护国家独立和主权完整,3,、计算机安全控制制度,（,1,）计算机安全,表现,（,2,）,计算机安全控制的相关制度,计算机信息系统安全等级保护制度,计算机机房安全管理制度,计算机信息系统国际联网备案制度,计算机信息媒体进出境申报制度,计算机信息系统使用单位安全负责制度,计算机案件强行报告制度,计算机病毒及其有害数据的专管制度,计算机信息系统安全专用产品销售许可证制度,对计算机系统的安全保护,对计算机罪犯的防范与打击,4,用于防范计算机犯罪的法律手段,1997,年,10,月,1,日的我国新,刑法,确定了计算机犯罪的,5,种主要形式：,（,1,）违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统；,（,2,）对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行；,（,3,）对计算机信息系统中存储、处理或传输的数据和应用程序进行删除、修改、增加的操作；,（,4,）故意制作、传播计算机病毒等破坏性程序，影响计算机系统的正常运行；,（,5,）利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家机密或其他犯罪行为等。,二、常见的网络安全问题,1,、网络安全,主要的领域,党政机关,技术领域,电子商务领域,社会经济领域,国家经济,实体安全,国防和军队,运行安全,信息安全,支付安全,身份认证,法律责任,2,、网络上存在的安全问题,病毒：,最直接的安全威胁,内部威胁和无意破坏,系统的漏洞和“后门”,网上的蓄意破坏,侵犯隐私或机密资料,拒绝服务,3-2,电子商务的安全保障,一、电子商务的安全现状,二、电子商务的安全威胁,1,、卖方面临的安全威胁：,系统中心安全性被破坏,竞争者的威胁,商业机密的安全,假冒的威胁,信用的威胁,2,、买,方面临的安全威胁：,虚假订单,付款后不能收到商品,机密性丧失,拒绝服务,3,、黑客攻击电子商务系统的手段,系统中断，破坏系统的有效性,窃听信息，破坏系统的机密性,篡改信息，破坏系统的完整性,伪造信息，破坏系统的真实性,三、电子商务的安全要素和体系,1,、电子商务的安全要素：,数据的完整性,传输的保密性,信息的不可否认性,交易者身份的确定性,访问控制,2,、电子商务安全的基本要求：,完整、可靠、可控、不可抵赖,3-3,电子商务安全的标准,一、,SSL,协议：安全套接层协议,1,、开发：,Netscape Communication,公司设计开发,2,、功能：用于,Web,浏览器与服务器之间的身份认证和加密数据传输。,3,、构成：,4,、缺点：只能验证客户身份，不能验证商家身份,SSL,记录协议：,为高层协议提供数据封装、压缩、加密等基本功能的支持。,SSL,握手协议：,通讯双方进行身份认证、协商加密算法、交换加密密钥。,二、,SET,协议：安全电子交易协议,1,、,开发：,美国,Visa,和,MasterCard,两大信用卡组织等联合于,1997,年,6,月推出,2,、功能：采用公钥密码体制和,X.,509,数字证书标准，主要应用于保障网上购物信息的安全性，是目前公认的信用卡网上交易的国际标准。,3,、优点：,保证客户交易信息的保密性和完整性,确保商家和客户交易行为的不可否认性,确保商家和客户的合法性,4,、缺点：只解决双方认证和支付,三、,OTP,协议：开放式贸易协议,功能：解决多边支付问题。,四、,CHAP,协议：询问握手认证协议,功能：,通过三次握手周期性的校验来验证用户的帐号及密码。,五、,ECHAP,协议：身份认证安全协议,功能：实现了安全的身份认证和用户敏感验证信息（秘密信息）在服务器和客户端的安全存储，防止了因超级用户泄露或复制用户的秘密值的安全隐患。,网络安全技术,安,全,管,理,体,系,电子商务信息安全技术,数据备份与恢复,安全应用协议：,SET,和,SSL,防火墙技术,加密技术,病毒防范,数字签名,入侵检测技术,数字证书,VPN,身份识别技术,法律法规、政策,1,、电子商务,安全架构,3-4,电子商务的安全技术,一、安全防范措施,人员管理制度,人员选拔、工作责任制等,保密制度,信息的安全级别（绝密级、机密级、秘密级）,跟踪、审计、稽核制度,跟踪制度：企业应建立网络交易系统日志机制,审计制度：对系统日志的检查、审核，以发现问题,稽核制度：工商、税务等对企业的稽核,2,、网络安全管理制度,系统维护制度,硬件的日常管理和维护、软件的日常管理和维护,建立数据备份制度,病毒防范制度,安装杀毒软件、病毒定期清理制度、控制权限等,应急措施,瞬时复制技术,远程磁盘镜像技术,数据库恢复技术等,2,、网络安全管理制度,二、计算机安全技术,1,、实体安全：保证硬件和软件本身的安全,电源防护技术：防干扰、防电压波动、防断电,防盗技术：安装报警器、监视系统等,环境保护：防火、防水、防尘、防震、防静电,电磁兼容性：电磁屏蔽、接地等,2,、运行环境的安全：保证系统的正常运行,预防措施：风险分析、备份与恢复、审计跟踪、应急,3,、信息的安全：保证信息不被非法阅读、修改和泄露,预防措施：装防火墙和杀毒软件、设置权限,进行访问控制、加密、身份认证,4,、存取控制：对用户的身份进行识别和鉴别,身份认证：密码、代表用户身份的物品、反,映用户生理特征的标识,存取权限控制：设置权限等级,数据库存取控制：允许、禁止,三、路由器技术,1,、路由器：连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。,2,、功能：,连通不同的网络。,选择信息传送的线路。,四、防火墙技术,1,、防火墙,(firewall),：一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。,2,、基本特性：,内部网络和外部网络之间的所有,网络数据流都必须经过防火墙,只有符合安全策略的数据流才能,通过防火墙,防火墙自身应具有非常强的抗攻,击免疫力,3,、功能：,过滤进出网络的数据包；,管理进出网络的访问行为；,封堵某些禁止的访问行为；,记录通过防火墙的信息内容和活动；,对网络进行检测和告警。,4,、缺点：,主要防范外部网络的攻击而忽略了内部网络攻击,抑制一些正常的通信，削弱,Internet,的功能,用外网访问内网会被防火墙拒绝服务,防火墙跟不上信息技术的发展，存在漏洞增加黑客攻击机会,常用的防火墙,六、加密技术,1,、加密技术,：利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。,例如：,2,、构成要求,算法：将普通的文本（或者可以理解的信息）与一串数字（密钥）的结合，产生不可理解的密文 的步骤。,密钥：用来对数据进行编码和解码的一种算法。,“,1101.100”,表示,100,元,3,、分类：,对称加密：用一个密钥进行加密。加、解密均用公钥进行。典型代表：,DES,算法,、,RC4,非对称加密：用一对密钥进行加密。其中公钥进行加密，私钥进行解密。典型代表：,RSA,算法,4,、应用：,在电子商务中的应用：信息的,保密、信息的完整、信息源的鉴别、不可否认性,在军事领域的应用：信息的保密、一致性和时效性,明文,明文,密文,加密,解密,B,公钥,B,私钥,A,方,B,方,七、认证技术,1,、认证技术：保证电子商务交易安全的一项重要技术。主要包括身份认证和信息认证。,2,、常用的身份认证技术：,静态密码：,由用户设定的一组,字符，用于保护用户信息和识别,身份。,短信密码,：,以手机短信形式请求,包含,6,位随机数的,动态密码,。,动态口令牌：,客户手持用来生,成动态密码的终端，主流的是,基于时间同步方式的，每,60,秒,变换一次动态口令，口令一次,有效，它产生,6,位动态数字进行,一次一密的方式认证。,USB KEY,：,一种,USB,接口的硬,件设备，它内置单片机或智能卡,芯片，可以存储用户的密钥或数,字证书，利用,USBKey,内置的密,码算法实现对用户身份的认证。,智能卡（,IC,卡）,：一种内置集成电路的芯片，芯片中存有与用户身份相关的数据，通过智能卡硬件不可复制来保证用户身份不会被仿冒。,数字签名,：,以电子形式存在于数据信息之中的，用于辨别数据签署人的身份，并表明签署人对数据信息中包含的信息的认可。,生物识别技术：,通过可测量的身体,或行为等生物特征进行身份认证的一,种技术。,计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用，并能自我复制的一组计算机指令或者程序代码，就像生物病毒一样，计算机病毒有独特的复制能力。,计算机病毒的组成：,引导模块、传染模块和表现模块,【,知识窗,】,电脑病毒的概念是由电脑的先驱者,冯,诺伊曼,（,John Von Neumann,）提出的。,到了,1987,年，第一个电脑病毒,C-BRAIN,终于诞生了。一般而言，业界都公认这是真正具备完整特征的电脑病毒始祖。这个病毒程序是由一对巴基斯坦兄弟：巴斯特（,Basit,）和阿姆捷特（,Amjad,）所写的，所以又称巴基斯坦大脑（,Pakistani Brain,）病毒。从此之后逐渐进入病毒的高发期！,【,知识窗,】,巴基斯坦大脑（,Pakistani Brain,）,DOS,系统下,耶路撒冷（,Jerusalem,）,windows,时期的,宏病毒,32,位病毒,-CIH,Internet,上盛行的各种病毒：,蠕虫,特洛伊木马等,【,知识窗,】,引导型病毒,：,其传染对象是软盘的引导扇区和硬盘的主引导扇区和引导扇区。在系统启动时，先于正常系统启动。典型代表：,“,大麻,”,、,Bloody,、,Brain,等。,文件型病毒：,广义的文件型病毒包括可执行文件病毒、源码病毒和宏病毒。文件型病毒主要感染可执行文件，又可分为：寄生病毒、覆盖病毒和伴随病毒。,混合型病毒：,集引导型和文件型病毒为一体的病毒，感染力强。,宏病毒：,使用宏语言编写的程序，依赖于微软,office,办公软件传播。,【,知识窗,】,计算机病毒的特点：,传染性。,传染性是病毒的基本特征，是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。,潜伏性。,有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。,隐蔽性。,计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来。,破坏性。,计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏。通常表现为：增、删、改、移,。,【,知识窗,】,八、防病毒技术,1,、,防病毒技术,：通过一定的技术手段防止计算机病毒对系统的传染和破坏。,2,、主要技术：,磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等,3,、防范病毒的主要措施：,备份：对软件和系统备份，方便恢复,预防和检测：安装杀毒软件，检测、报告并杀死病毒,隔离：确认并隔离携带病毒的部位。,恢复：修复或清除被病毒感染的文件。,4,、常用的杀毒软件：,瑞星：,是国产杀软的龙头老大，,其监控能力是十分强大的，但同,时占用系统资源较大。,金山毒霸：,金山毒霸是金山公司推出的电脑安,全产品，监控、杀毒全面、可靠，,占用系统资源较少。集杀毒、监控、,防木马、防漏洞为一体，是一款具,有市场竞争力的杀毒软件。,卡巴斯基：,是俄罗斯民用最多的杀毒软,件。公司为个人用户、企业网络提供反,病毒、防黒客和反垃圾邮件产品，被众,多计算机专业媒体及反病毒专业评测机,构誉为病毒防护的最佳产品。,360,安全卫士：是一款由奇虎公司推出,的完全免费的安全类上网辅助工具软件，,拥有木马查杀、恶意软件清理、漏洞补,丁修复、电脑全面体检、垃圾和痕迹清,理、系统优化等多种功能。是一款值得,普通用户使用的较好的安全防护软件。,九、安全电子商务的法律要素：,安全认证需要解决的法律问题：,信用立法、电子签名、电子交易、认证管理,1,、,有关认证中心的法律：,2003,年,8,月,20,日通过,中华人民共和国认证认可条例,，,2003,年,11,月,1,日起施行,2004,年,3,月,24,日通过,中华人民共和国电子签名法,，,2005,年,4,月,1,日起施行,2009,年,2,月,4,日 通过,电子认证服务管理办法,，,2009,年,3,月,31,日 起施行,电子认证服务密码管理办法,2009,年,12,月,1,日起实施，有,2005,年,3,月,31,日发布的管理办法同时废止,2,、有关保护个人隐私、秘密的法律：,全国人大常委会关于维护互联网安全的决定,第四条：为了保护个人、法人和其他组织的人身、财产等合法权利，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：,（,1,）利用互联网侮辱他人或者捏造事实诽谤他人；,(2),非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密；,(3),利用互联网进行盗窃、诈骗、敲诈勒索,互联网电子公告服务管理规定,第十二条：电子公告服务提供者应当对上网用户的个人信息保密，未经上网用户同意不得向他人泄露，但法律另有规定的除外。,第十九条：违反本规定第十二条的规定，未经上网用户同意，向他人非法泄露上网用户个人信息的，由省、自治区、直辖市电信管理机构责令改正；给上网用户造成损害或者损失的，依法承担法律责任。,计算机信息网络国际联网安全保护管理办法,第七条规定：用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用国际联网侵犯用户的通信自由和通信秘密。,其它相关法律：,宪法,、,行政复议法,、,行政处罚法,、,妇女权益保护法,、,未成年人保护法,等法律都涉及了对隐私权的保护,3,、,有关电子合同的法律：,1991,年,12,月,16,日，联合国国际贸易法委员会 通过,电子商务示范法,2007,年,6,月,29,日通过,中华人民共和国劳动合同法,，自,2008,年,1,月,1,日起施行。,4,、有关电子商务的消费者权益保护的法律：,消费者权益保护法,主要解决问题：,交易安全、信息真实完整性（知情权）、广告误导、责任界定及责任承担、消费者退换货、实质公平、全面适当发行、管辖权等问题,5,、,有关网络知识产权保护的法律：,网络知识产权的侵权方式：,网上侵犯著作权、商标权、专利权,2001,年,10,月,27,日修订实施,中华人民共和国著作权法,2001,年,12,月,1,日修订实施,中华人民共和国商标法,2008,年,12,月,27,日修订,中华人民共和国专利法,，,2009,年,10,月,1,日起实施,2009,年,12,月册通过,中华人民共和国侵权责任法,，,自,2010,年,7,月,1,日起实施,2006,年,5,月,10,日 通过,信息网络传播权保护条例,，,自,2006,年,7,月,1,日 起实施,2002,年,1,月,1,日 通过并实施,计算机软件保护条例,2006,年,l2,月,7,日修订,关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释,，,2006,年,12,月,8,日实施,十、安全问题的未来研究方向及对策：,1,、构造中国电子商务体系,2,、加快电子商务法律法规建设,3,、加快网络基础设施建设,推动企业信息化进程,4,、营造电子商务的信息安全环境：,增强国民的信息素质,提高电子商务信息的安全,确保信息系统的安全,