电子商务基础项目六

电子商务基础2016主讲人姓名目录项目一电子商务项目五物流管理项目二网络营销项目六电子商务安全项目三电子交易项目七电子商务法律项目四网上支付与网上银行项目浏览1243课程专业能力课前项目直击课后专业测评课外知识拓展ONE课程专业能力TWO课程项目直击网上支付，电子现金被盗小魏在百度里搜索到某购物网站，按照提示注册登录该购物网站后，精心对比挑选了自己喜欢的价值1050元的外衣，放入购物车，准备用自己开通的网上工商银行进行结算支付。当要点击支付导航条时，突然弹出了一个新的网页窗口“欢迎使用中国工商银行个人网上银行”，小魏点击网址进入进行支付。几日后，小魏又想通过网上银行业务缴纳手机话费，结果银行卡中本应还有的5000元没了。【分析】小魏遇到的银行卡金额被盗这个问题，是电子交易中存在的常见的安全问题。网络黑客利用钓鱼网站链接到购物网站，购物者登录后木马程序盗取用户名和密码，将银行卡中的金额偷走。钓鱼网站一般是用假域名来诱导购物者，如工商银行的官网是http：//，假域名与官网只有“l”和“I”一字之差，小魏缺乏电子商务安全防范知识被骗。电子商务交易安全中，网络钓鱼是黑客窃取信息的一种行为，还有口令滥用、数据篡改、程序篡改、数据破坏等多种窃取途径。目前，大约仍有34%的黑客攻击所采取的方式是无法被检测出来的。因此，要掌握并利用电子商务安全技术和管理策略进行电子商务活动。任务一任务二任务三任务四电子商务信息安全电子商务通信安全电子商务安全的概念电子商务网络安全任务一电子商务安全的概念一、电子商务安全的含义安全问题是电子商务发展的首要问题，它是计算机安全性、计算机网络安全性发展而来的。安全和开放是一对矛盾，不能因为安全问题而拒绝接受网络，也不能因为开放而忘记安全。现代电子商务信息安全涉及个人权益、企业生存、金融风险、社会稳定和国家安全，它是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共及国家信息安全的综合，不仅与计算机系统结构有关，还与电子商务应用的环境、人员素质和社会因素有关，包括电子商务系统的硬件安全、软件安全、运行安全及电子商务安全立法。人们对电子商务的安全一般特指在整个电子商务流程中的信息安全，涉及信息的机密性、完整性和可获性等的保护，主要包括信息的存储安全和信息的传输安全。信息存储安全是指在信息采集、存储、处理、传播和运用的过程中，信息的自由性、秘密性、完整性、共享性等都能得到良好保护的一种状态。信息传输安全是指在网络上传递的信息没有被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统识别、控制，网络信息的保密性、完整性、可用性、可控性得到良好保护的状态。二、电子商务安全的主要问题（一）卖方角度面临的问题（二）买方角度面临的问题（三）信息传输问题（一）卖方角度面临的问题（1）系统中心安全性易被破坏。入侵者假冒成合法用户来改变用户数据（如商品送达地址）、解除用户订单或生成虚假订单。（2）竞争者的威胁。恶意竞争者以他人的名义来订购商品，从而了解有关商品的递送状况和货物的库存情况。（3）商业机密的安全。客户资料被竞争者获悉。（4）假冒的威胁。不诚实的人建立与销售者服务器名字相同的另一个服务器来假冒销售者；虚假订单；获取他人的机密数据，如某人想要了解另一人在销售商处的信誉时，他以另一人的名字向销售商订购昂贵的商品，然后观察销售商的行动，假如销售商认可该订单，则说明被观察者的信誉高，否则，则说明被观察者的信誉不高。（5）信用的威胁。买方提交订单后不付款。（二）买方角度面临的问题（1）虚假订单。一个冒名者可能会以客户的名字来订购商品，而且有可能收到商品，而此时客户却被要求付款或返还商品。（2）付款后不能收到商品。在要求客户付款后，销售商中的内部人员不将订单和钱转发给执行部门，因而使客户收不到商品。（3）货不对板。顾客在付款后，收到的货与所订的货在颜色、货号、质量等方面存在差异。（4）机密性丧失。客户有可能将秘密的个人数据或自己的身份数据（如P1N、口令等）发送给冒充销售商的机构，这些信息也可能会在传递过程中被窃听。（5）拒绝服务。攻击者可能向销售商的服务器发送大量的虚假订单来挤占它的资源，从而使合法用户不能得到正常的服务。（三）信息传输问题从买卖双方的情况分析，信息传输问题往往是黑客们攻击电子商务系统的手段，大致可以归纳为以下四种：（1）中断（攻击系统的可用性）。破坏系统中的硬件、硬盘、线路、文件系统等，使系统不能正常工作。（2）窃听（攻击系统的机密性）。通过搭线与电磁泄漏等手段造成泄密，或对业务流量进行分析，获取有用情报。（3）篡改（攻击系统的完整性）。篡改系统中数据的内容，修正消息次序、时间（延时和重放）。（4）伪造（攻击系统的真实性）。将伪造的假消息注入系统，假冒合法人介入系统，重放截获的合法消息实现非法目的，否认消息的接收和发送等。任务一电子商务安全的概念由此可见，电子商务的安全问题主要是由非法攻击、非诚信交易等造成的，涉及管理、技术、环境等方面的问题和解决策略。课堂案例展示网上购物作为目前最为流行的消费方式已经得到了年轻人的青睐。网络上的商品丰富，价格便宜，且物流非常方便，送货上门。这真正做到了价廉物美，方便客户。王妈妈年过半百，学会了在网上玩游戏和浏览网页。看到网络上那些便宜又种类繁多的商品，王妈妈也很想尝试网上购物。于是她向同事小明请教，网上购物安全吗？【分析】这实际上是初次接触电子商务，进行网上购物者普遍关注的问题。购物者担心自己的个人信息被泄露，给自己生活带来困扰；担心货款支付安全；担心商家是否发货等。这些涉及通信信息的保密性，不被第三方获取；涉及交易双方不得否认自己的购买和售出行为；尤其是交易支付的安全，支付手段的安全。目前，网上支付的方式有很多，如支付宝、财付通等第三方支付平台，银联和各银行的银行卡网络支付平台。近年，很多网上购物还提供了手机支付的方式。每种方式选择一家，收集相关资料进行分析，有条件可用多种不同的方法收集资料。三、电子商务对安全的基本需求由于电子商务是在开放的网上进行的，支付信息、订单信息、谈判信息、机密的商务往来文件等大量的商务信息将在计算机系统中存放、传输和处理，因此，其安全问题显得尤为重要。IP欺骗、计算机病毒等造成商业信息窃取、篡改、破坏和伪造，以及机器出错、程序出错、误操作、传输错误造成的失误和失效，都严重地危害到了电子商务系统的安全，因此，保证商务信息的安全是进行电子商务的前提。有关电子商务的安全要求主要体现在以下几个方面。1.信息的保密性2.数据的完整性（1）数据传输的完整性。（2）数据存储的完整性。（3）完整性检查。3.文件的有效性4.行为的不可否认性5.身份的真实性6.系统的可靠性7.审查能力任务一电子商务安全的概念四、电子商务的安全管理策略（一）物理安全策略物理安全策略是整个电子商务安全管理策略不可忽视的重要基础。在基于Internet的电子商务交易过程中，对电子商务系统包含的相关物理设备有相当高的安全要求。影响电子商务系统安全的物理安全风险主要有自然灾害风险、人为风险和硬件防护风险，相应的策略如下。1.自然灾害安全防范策略自然灾害安全防范策略主要包括防火、防水和防雷措施。设备所在场所应避免火灾、水灾的发生并采取相应的隔离措施以保证意外火灾、水灾下的设备防护。另外，电子商务系统的设备主要由电路组成，因此全方位、安全灵活的防雷措施显得非常有必要。2.人为风险防范策略人为风险包括人为的操作错误引起的安全问题、设备防盗以及计算机犯罪问题等。人为操作方面引起的风险可以通过建立和健全安全制度来加以防范，同时要加强和培养安全意识。对于设备防盗问题，如果资金允许，可以建立较为完善的防盗系统。对于内外部人员的计算机犯罪问题，一是通过法律途径解决，二是加强自身安全。3.硬件防护策略硬件防护包括电磁防护和硬件设备防护。电磁防护包括服务器及其他相关设备的电磁保护、有效的防静电措施以及要抑制和防范电磁泄漏与电磁干扰。硬件设备维护，若条件允许，可以增加设备信息保护装置。另外除了自身维护以外，还需要定期对设备进行检修。任务一电子商务安全的概念课堂案例展示网络货币的安全使用有些人有了大量盗窃来的游戏装备、账号，并不能马上兑换成人民币。只有通过网上交易，这些虚拟货币才得以兑现。盗来的游戏装备、账号、QQ账号甚至银行卡号资料被中间批发商全部放在网上游戏交易平台公开叫卖。一番讨价还价后，网友们通过网上银行将现金转账，就能获得那些盗来的网络货币。【分析】可见有些人趁机而入利用网路的虚拟性来谋取个人的利益，我们生活中常常会不知不觉上当受骗，甚至不会想到你自己也会成为目标的时候，威胁就已经出现了，一旦发生，常常措手不及，造成极大的损失。因此，应选择适当的技术和产品，制定灵活的网络安全策略，在保证网络安全的情况下，提供灵活的网络服务通道。（二）网络安全策略网络安全是电子商务系统安全的核心，需要从技术和管理两个方面入手，因此，网络安全策略分为技术策略和管理策略。1.技术策略（1）安装使用网络安全检测设备和相关软件。（2）加强网络访问控制。（3）采用防火墙技术。（4）数据加密。（5）引入鉴别机制。2.管理策略（1）加强电子商务网络系统的日常管理和维护。（2）建立严格的保密制度。（3）加强对管理人员的监督和培训，落实工作责任制。（4）建立跟踪、审计和稽核制度。（5）完善病毒防范制度。（6）建立健全相关法律法规制度。任务一电子商务安全的概念一、计算机安全（一）计算机安全控制技术手段（二）计算机安全管理制度任务二电子商务信息安全（一）计算机安全控制技术手段1.实体安全技术（1）电源防护技术。（2）防盗技术。（3）环境保护。（4）电磁兼容。2.存取控制（1）身份认证。（2）存取权限控制。（3）数据库存取控制。3.病毒防治技术4.防火墙技术5.数据加密（二）计算机安全管理制度1.系统日常维护制度2.病毒防范制度（1）给自己的计算机安装防病毒软件。（2）不打开陌生地址的电子邮件。（3）认真执行病毒定期清理制度。（4）控制权限。（5）高度警惕网络陷阱。3.人员管理制度4.保密制度5.跟踪、审计、稽核制度6.应急措施制度二、文件加密（一）加密和解密（二）密码系统的构成（三）本地文件加密（四）邮件加密和解密（一）加密和解密加密技术的目的是防止合法接收者之外的人获取信息系统中的机密信息，是实现信息保密性的一种重要的手段。信息加密技术是利用数学或物理手段，对电子信息在传输过程中和存储介质内进行保护，以防止泄露的技术。信息加密技术采用数学方法对原始信息（通常称为“明文”）进行再组织，使得加密后在网络上公开传输的内容对于非法接收者来说成为无意义的文字（加密后的信息通常称为“密文”），通过解密过程得到原始数据（即“明文”）。加密和解密过程依靠两个元素，缺一不可，这就是算法和密钥。算法是加密或解密的过程。在这个过程中需要一串数字，这个数字就是密钥。（二）密码系统的构成密码系统的一般构成如图6-1所示。（三）本地文件加密1.Office文件格式加密（1）Word和Excel文件加密。（2）Access文件加密。2.压缩软件加密（1）WinZip加密。打开一个压缩文件，单击“操作”→“加密”命令，在弹出的密码设置窗口中输入密码。（2）WinRAR加密。打开一个压缩文件，单击“文件”→“口令”菜单，在弹出的“输入默认密码”对话框中输入密码。3.Windows2000/XP加密4.文件加密工具软件加密文件加密工具很多，比如FileEnc、甲盾、WYWZ等。任务二电子商务信息安全（四）邮件加密和解密1.端到端的安全电子邮件技术端到端的安全电子邮件技术也称点对点的安全电子邮件技术，用来确保邮件从发送端到接收端的整个过程中，没有被窃取偷看，并且不可否认。即电子商务中的完整性、保密性和不可否认性。2.传输层的安全电子邮件技术电子邮件包括信头和信体。现存的端到端安全电子邮件技术一般只对信体进行加密和签名。而信头则由于邮件传输中寻址和路由的需要，必须保证原封