电子商务第七版5

Copyright©2011PearsonEducation,Ltd.电子商务肯尼思.劳东卡罗尔.圭尔乔.特拉弗商务.技术.社会第七版E-commerce:business.technology.society.Copyright©2011PearsonEducation,Ltd.Copyright©2011PearsonEducation,Ltd.Copyright©2010PearsonEducation,Inc.Slide5-2第四章网络安全与支付系统Copyright©2011PearsonEducation,ltd.Copyright©2011PearsonEducation,Ltd.网络战:虚拟世界中的2.0课堂讨论黑客攻击和网络战之间的区别是什么？在过去的十年中，为什么网络战越来越具有潜在的毁灭性？全球有多少比例的电脑会被隐形恶意软件程序入侵?政治方案能够有效解决MAD2.0吗？Slide5-3Copyright©2011PearsonEducation,Ltd.电子商务安全环境网络犯罪的涉及的领域和造成的损失还难以估计问题报告2009计算机安全协会的年度调查显示:49%的被调查组织发生过计算机安全事件愿意公布的公司中,平均每年损失$288,000地下经济市场:通过“地下经济服务者”将信息卖给他人Slide5-4Copyright©2011PearsonEducation,Ltd.网络犯罪类型Slide5-5Copyright©2011PearsonEducation,Ltd.什么是良好的电子商务安全?尽可能实现最高级别的安全新技术的应用组织程序和策略行业标准和政府法令其他因素货币的时间价值安全成本vs.潜在损失安全链断裂的地方往往在最薄弱的环节Slide5-6Copyright©2011PearsonEducation,Ltd.电子商务安全环境Figure4.2Slide5-7Copyright©2011PearsonEducation,Ltd.Table4.2Slide5-8Copyright©2011PearsonEducation,Ltd.在安全及其他价值间的取向便于使用:安全措施越多，就越难使用，而且速度也慢公共安全与犯罪分子对安全的利用犯罪分子利用技术犯罪或威胁公共安全Slide5-9Copyright©2011PearsonEducation,Ltd.电子商务环境中的安全威胁三个关键的薄弱点:1.互联网通信信道2.服务器端3.客户端Slide5-10Copyright©2011PearsonEducation,Ltd.典型的电子商务交易Figure4.3Slide5-11Copyright©2011PearsonEducation,Ltd.电子商务环境中的薄弱环节Figure4.4Slide5-12Copyright©2011PearsonEducation,Ltd.电子商务环境中的安全威胁恶意代码(maliciouscode)病毒virus蠕虫worm特洛伊木马Trojanhorse机器人程序bot不必要程序浏览器寄生虫browserparasites广告软件adsoftware间谍软件spywareSlide5-13Copyright©2011PearsonEducation,Ltd.常见的安全威胁(cont.)网络钓鱼第三方以任意欺骗性的网络行为获得用户的保密信息社会工程技术,电子邮件诈骗,伪装成合法软件点击链接后，就会进入诈骗者控制的网站，诱使受骗人泄露账号密码等个人信息黑客行为与网络破坏行为黑客vs.骇客网络破坏行为:故意破坏网站,使企业名誉受损,甚至摧毁整个站点黑客类型:白帽黑客,黑帽黑客,灰帽黑客lSlide5-14Copyright©2011PearsonEducation,Ltd.常见的安全威胁(cont.)信用卡诈骗黑客攻击目标商户服务器，盗刷信用卡进行诈骗电子欺骗网址嫁接垃圾网站拒绝服务攻击黑客向网站大量发送无用的通信来淹没网络并使网络瘫痪分布式拒绝服务攻击Slide5-15Copyright©2011PearsonEducation,Ltd.常见的安全威胁(cont.)网络窃听一种可以监视通过网络传递的信息的窃听程序内部攻击最大的财务威胁设计不当的服务器和客户端软件移动平台的安全和任何互联网所面临的风险一样恶意软件,僵尸网络,短信诈骗Slide5-16Copyright©2011PearsonEducation,Ltd.技术解决方案保护互联网的通信(加密)保证信息传送渠道(SSL,S-HTTP,VPNs)保护网络工作(防火墙)保护服务机和客户机Slide5-17Copyright©2011PearsonEducation,Ltd.实现网络安全的可用工具Figure4.7Slide5-18Copyright©2011PearsonEducation,Ltd.加密（Encryption）加密将明文转化成除发送方和接收方以外任何人都无法读取的密文的过程保证存储信息和传送信息的安全加密可以为电子商务6个关键方面提供4个方面的保障:1.信息完整性2.不可否认性3.真实性4.机密性Slide5-19Copyright©2011PearsonEducation,Ltd.对称秘钥加密（SymmetrickeyEncryption）发送方和接收方使用同一把密钥来加密和解密信息每次信息传输都有不同的密钥加密系统的安全保护强度用二进制密钥的长度来加密信息高级解密标准(AES)最广泛的对称加密算法提供128位,192位,and256位的加密密钥其他对称加密系统会使用高达2048位的密钥Slide5-20Copyright©2011PearsonEducation,Ltd.公钥加密（PublicKeyEncryption）两个算术上相关的数字密钥公开密钥(广泛发布)私有密钥(拥有者保存)两种密钥都可以用来加密和解密信息一旦某个密钥被用来加密信息，就不能再用它解密信息发送方用接收方的公钥来加密信息，接收方用他的私钥来解密Slide5-21Copyright©2011PearsonEducation,Ltd.公钥加密体系–一个简单的例子Figure4.8Slide5-22Copyright©2011PearsonEducation,Ltd.使用数字签名和散列摘要的公钥加密散列函数（HashFunction）:一种可以产生一个称为散列或者信息摘要的固定长度数字的算法确保发送到接受者的信息在传输过程中没有被篡改发送方用接收方的公钥对散列结果和原始信息加密发送方用自己的私钥将整个密文块在加密一次–创建数字签名–保证真实性和不可否认性Slide5-23Copyright©2011PearsonEducation,Ltd.具有数字签名的公钥加密体系Figure4.9Slide5-24Copyright©2011PearsonEducation,Ltd.数字信封加密系统的缺点:公钥加密计算速度很慢,传输速度显著减慢,处理时间的显著增加对称密钥加密传输线难以保证用对称密钥加密来加密大型文件用公钥加密方法来加密和传送这把对称密钥Slide5-25Copyright©2011PearsonEducation,Ltd.公钥加密体系：建立数字信封Figure4.10Slide5-26Copyright©2011PearsonEducation,Ltd.数字证书和公开密钥基础设施数字证书包括:主题或公司的名称主题的公钥数字证书的额序列号截止日期、发放日期认证中心得数字签名公开密钥基础设施(PKI):认证中心和数字证书规程良好隐私（PGP）Slide5-27Copyright©2011PearsonEducation,Ltd.数字证书和认证中心Figure4.11Slide5-28Copyright©2011PearsonEducation,Ltd.加密解决方案的局限性大部分电子商务网站并没有用加密的形式来存储消费者的隐私PKI无法保护内部人员及能访问企业系统的人的信息个人私钥保护也可能会丢失无法保证商家用来做验证的电脑是安全的CA可能不是其认证的企业或者个人所认定的权威机构Slide5-29Copyright©2011PearsonEducation,Ltd.社会透视“网络狗”和匿名性课堂讨论互联网无期限的匿名性有哪些好处？身份认证系统的缺点是什么？身份认证系统除了安全还有其他优点吗？身份认证系统应该由谁进行管理?Slide5-30Copyright©2011PearsonEducation,Ltd.通信信道的安全安全套接层(SSL):一种客户机/服务器之间的对话，其中所请求文档的URL，以及所交换的内容、表单的内容和cookies都进行了加密安全超文本传输协议:一种安全的以信息为导向的通信协议，与HTTP联合使用虚拟专用网(VPN):一种使得某个本地网络可以利用互联网作为管道来和另一个网络连接的加密机制(PPTP)Slide5-31Copyright©2011PearsonEducation,Ltd.利用SSL进行安全协商会话Figure4.12Slide5-32Copyright©2011PearsonEducation,Ltd.网络保护防火墙（Firewall）：硬件和软件用安全政策来过滤通信数据包两种主要方式:1.包过滤2.应用网关代理服务器(proxies)一种对于来自互联网或发送到互联网上的通信信息进行处理的软件服务器Slide5-33Copyright©2011PearsonEducation,Ltd.防火墙和代理服务器Figure4.13Slide5-34Copyright©2011PearsonEducation,Ltd.保护服务器和客户机提升操作系统安全升级,修补防病毒软件:抵御系统完整性侵害最容易也最便宜的方法需要每日更新Slide5-35Copyright©2011PearsonEducation,Ltd.安全计划：管理政策进行风险评估制定安全策略制定实施计划安全机构访问控制验证机制,生物特征识别授权策略,授权管理系统进行安全审计Slide5-36Copyright©2011PearsonEducation,Ltd.管理政策、企业流程和法律美国政府和企业花费12%的信息技术预算用于硬件、软件和服务器安全，在2009年共计为1200亿美元风险管理包括科技有效管理策略法律和公共政策Slide5-37Copyright©2011PearsonEducation,Ltd.制定电子商务安全计划Slide5-38Figure4.14Copyright©2011PearsonEducation,Ltd.技术透视你的智能手机安全吗?课堂讨论智能手机主要面临哪种威胁?这种类型的设备有哪些特定的缺点吗？NicolasSeriot’s的Spyphone说明了什么?与传统个人电脑软件程序相比，app受到的威胁是更大还是更小？Slide5-39Copyright©2011PearsonEducation,Ltd.法律及公共政策的作用新的法律为地方和国家权力机构识别、跟踪并起诉网络犯罪分子提供了新的工具和机制:国际信息基础设施保护法美国爱国者法案国土安全法私人机构和公司合作做出的努力美国计算机应急反应小组协调中心美国计算机应急反应小组（US-CERT）政府对于加密软件的政策和控制OECD条约Slide5-40Copyright©2011PearsonEducation,Ltd.支付系统类型现金从交易数量角度来说是最常见的支付形式不需要任何机构作为中介就可以立即转化为其他价值形式支票转账从交易数量角度来说是第二