第七章电子商务安全目的要求:要求学生了解计算机病毒及计算机的安全,掌握网络安全技术。教学重点:电子商务的安全技术教学难点:SSL协议、SET协议的原理计算机安全问题1、实体的安全性:实体安全包括环境安全、设备安全和媒体安全,它用来保证硬件和软件本身的安全。2、运行环境的安全性:运行安全包括风险分析、审计跟踪、备份与恢复和应急,它用来保证计算机能在良好的环境里持续工作。3、信息的安全性:信息安全包括操作系统安全、数据库安全、网络安全、防病毒、访问控制、加密、认证,它用来保障信息不会被非法阅读、修改和泄露。采用先进可靠的安全技术,可以减少计算机信息系统的脆弱性。安全技术是计算机信息系统安全的基础,必须大力发展。计算机病毒的概念计算机病毒的概念计算机病毒(ComputerVirus)的概念是由FredCoben在1983年11月3日的一次计算机安全学术讨论会上首次提出的,当时,他对计算机病毒的定义是:能够通过修改程序,把自身复制进去进而“传染”其它程序的程序。计算机病毒:首先,与医学上的“病毒”不同,它不是天然存在的,是某些人利用电脑软、硬件所固有的脆弱性,编制具有特殊功能的程序。其能通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活,它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染它们,对电脑资源进行破坏的这样一组程序或指令集合。计算机病毒的两大特征这一定义强调了病毒的两大特征:首先“病毒”是人为编制的程序,其次“病毒”具有“传染性”。计算机病毒的消毒方法1、手工消毒方法使用DEBUG、PCTOOLS等简单工具,借助于对某种病毒的具体认识,从感染病毒的文件中,摘除病毒代码,使之康复。手工操作复杂、速度慢,风险大,需要熟练的技能和丰富的知识。2、自动消毒方法使用自动消毒软件自动清除患病文件中的病毒代码,使之康复。自动消毒方法,操作简单,效率高,风险小。当遇到被病毒感染的文件急需恢复而又找不到解毒软件或解毒软件无效时,才要用到手工修复的方法。从与病毒对抗的全局看,人们总是从手工消毒开始,获取消毒成功后,再研制相应的软件产品,使计算机自动地完成全部消毒操作。目前常用的查、杀病毒软件主要有瑞星、VRV、江民等。如果自动方法和手工方法仍不奏效,消毒的最后一种办法就是对软盘进行格式化,或对硬盘进行低级格式化。就算再厉害的病毒也跑不掉,但也要以软盘或硬盘上所有文件的丢失作为代价。初学者使用这种方法一定要三思而后行。计算机病毒的防范1、备份:对所有的软件(甚至操作系统)进行备份,并制定应付突发情况的应急方案;2、预防:提高用户的警惕性,实行安全卫生制度,例如使用正版软件等;3、检测:使用杀病毒软件来检测,报告并杀死病毒;4、隔离:确认并隔离携带病毒的部件;5、恢复:杀毒或清除被病毒感染的文件。计算机病毒的分类按表现性质1、良性病毒:良性的危害性小,不破坏系统和数据,但大量占用系统开销,将使机器无法正常工作陷于瘫痪。如国内出现的圆点病毒就是良性的。2、恶性病毒:恶性病毒可能会毁坏数据文件,也可能使计算机停止工作。若按激活的时间可分为定时的和随机的。定时病毒仅在某一特定时间才发作,而随机病毒一般不是由时钟来激活的。按入侵方式分1、操作系统型病毒,大麻病毒就是典型的操作系统病毒,这种病毒具有很强的破坏力(用它自己的程序意图加入或取代部分操作系统进行工作),可以导致整个系统的瘫痪;2、源码病毒,在程序被编译之前插入到FORTRAN、C、或PASCAL等语言编制的源程序,完成这一工作的病毒程序一般是在语言处理程序或连接程序中;3、外壳病毒,常附在主程序的首尾,对源程序不作修改,这种病毒较常见,易于编写,也易于发现,一般测试可执行文件的大小即可知;4、入侵病毒,侵入到主程序之中,并替代主程序中部分不常用到的功能模块或堆栈区,这种病毒一般是针对某些特定程序而编写的。计算机病毒的特点(1)破坏性:凡是由软件手段能触及到计算机资源的地方均可能受到计算机病毒破坏。其表现:占用CPU时间和内存开销,从而造成进程堵塞;对数据或文件进行破坏;打乱屏幕的显示等。(2)隐蔽性:病毒程序大多夹在正常程序之中,很难被发现。(3)潜伏性:病毒侵入后,一般不立即活动,需要等一段时间,条件成熟后才作用。(4)传染性:对于绝大多数计算机病毒来讲,传染是它的一个重要特性。它通过修改别的程序,并把自身的拷贝包括进去,从而达到扩散的目的。从已经发现的计算机病毒来看,不管哪种病毒它们都具有一些共同的特性。如何判断计算机感染了病毒一般来说,当计算机出现以下不正常现象时,才应当怀疑是否感染了病毒:(1)文件的大小和日期是否变化;(2)系统启动速度是否比平时慢;(3)没做写操作时出现磁盘有写保护信息;(4)对贴有写保护的软盘操作时音响很大;(5)系统运行速度异常慢;(6)键盘、打印、显示有异常现象;(7)有特殊文件自动生成;(8)磁盘空间自动产生坏簇或磁盘空间减少(9)文件莫名其妙有丢失;(10)系统异常死机的次数增加。(11)COMMAND.COM文件被修改。(12)AUTOEXEC.BAT、CONFIG.SYS被修改。(13)程序装入时间比平常长,访问磁盘时间比平常长。(14)用户并没有访问的设备出现忙信号。(15)出现莫名其妙的隐藏文件。网络安全电子商务的安全因素(1)信息的保密性:保证信息不泄露给未经授权的人;(2)信息的完整性:防止信息被未经授权者篡改,保证信息从真实的信源到真实的信宿;(3)信息的有效性:一旦签订交易后,就应得到保护以防止被篡改或伪造;(4)信息的不可抵赖性:保证信息行为人不能否认自己的行为;(5)交易身分的真实性:交易双方确实是存在的,不是假冒的;(6)系统的可靠性:防止由于计算机失效、程序错误、传输错误等造成的潜在威胁,并加以控制和预防。电子商务的安全技术(一)密钥加密技术1、对称密钥加密技术对信息的加密和解密使用相同的密钥2、非对称密钥加密技术对信息的加密和解密过程使用不同的密钥。每个用户保留两个不同的密钥:一个是公钥,一个是私钥3、数字信封:发送方首先用对称密钥加密所需发送的原文,然后用收信方的公钥加密这个对称密钥,最后将密文和加密了的对称密钥一同发给收信方。(二)数字证书数字证书就是网络通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-----CA机构,又称为证书授权(CertificateAuthority)中心发行的,人们可以在交往中用它来识别对方的身份。(三)认证中心作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。在SET交易中,CA不仅对持卡人、商户发放证书,还要对获款的银行、网关发放证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书,因此是安全电子交易的核心环节。(四)SSL协议和SET协议1、SSL协议SSL协议能确保两个应用程序之间通讯内容的保密性和数据的完整性。SSL协议层包括两个协议子层:SSL记录协议与SSL握手协议。(1)SSL记录协议基本特点连接是专用的连接是可靠的(2)SSL握手协议基本特点能对通信双方的身份的认证进行协商的双方的秘密是安全的协商是可靠的SSL安全技术在互联网服务器和客户机间提供了安全的TCP/IP通道。SSL可用于加密任何基于TCP/IP的应用,如HTTP、Telnet、FTP等。2、SET协议SET是SecureElectronicTransaction,即安全电子交易的英文缩写。它是一个在互联网上实现安全电子交易的协议标准。SET协议主要使用的技术包括:对称密钥加密、公共密钥加密、哈希(HASH)算法、数字签名技术以及公共密钥授权机制等。SET通过使用公共密钥和对称密钥方式加密保证了数据的保密性,通过使用数字签名来确定数据是否被篡改、保证数据的一致性和完整性,并可以完成交易防抵赖。SET协议涉及的对象1、消费者包括个人消费者和团体消费者,按照在线商店的要求填写订货单,通过发卡银行并选择银行卡进行付款。2、在线商店提供商品或服务,具备相应电子货币使用的条件。3、收单银行通过支付网关处理消费者和在线商店之间的交易付款问题。4、电子货币发行机构负责发行电子货币(如智能卡、电子货币、电子钱包)银行或非银行金融机构,以及某些兼有电子货币发行的企业。他们负责处理智能卡的审核和支付工作。5、认证中心(CA)负责对交易对方的身份确认,对厂商信誉度和消费者的支付手段进行认证。(五)防火墙防火墙是用来对两个或多个网络之间的互相访问实行强制性管理的安全系统,通过屏蔽未授权的网络访问等手段把内部网络隔离为可信任网络,同时也可以用来把内部可信任网络对外部网络或其他非可信任网的访问限制在规定范围之内。防火墙的安全性能是根据系统安全的要求而设置的,因系统的安全级别不同而有所不同。防火墙具有五大基本功能①过滤进出网络的数据包;②管理进出网络的访问行为;③封堵某些禁止的访问行为;④记录通过防火墙的信息内容和活动;⑤对网络攻击进行检测和告警。电子商务带来的法律新问题1、电子商务运作平台建设及其法律地位问题2、在线交易主体及市场准入问题3、电子合同问题4、电子商务中产品交付的特殊问题5、特殊形态的电子商务规范问题6、网上电子支付问题7、在线不正当竞争与网上无形财产保护问题8、在线消费者保护问题9、网上个人隐私保护问题10、网上税收问题11、在线交易法律适用和管辖冲突问题电子商务法的调整对象调整对象是立法的核心问题,它揭示了立法调整的因特定主体所产生的特定社会关系,也是一法区别于另一法的基本标准。根据电子商务的内在本质和特点,电子商务法的调整对象应当是电子商务交易活动中发生的各种社会关系,而这类社会关系是在广泛采用新型信息技术并将这些技术应用到商业领域后才形成的特殊的社会关系,它交叉存在于虚拟社会和实体社会之间,有别于实体社会中的各种社会关系,且完全独立于现行法律的调整范围。电子商务概念所包括的通信手段有以下各种以使用电子技术为基础的传递方式:通过电子手段例如通过因特网进行的自由格式的文本的传递,以电子数据交换方式进行的通讯,计算机之间以标准格式进行的数据传递;利用公开标准或专有标准进行的电文传递。在某些情况下电子商务概念还可包括电报和传真复印等技术的使用。如果说商务是一个子集,电子商务所包含的通讯手段为另一子集,电子商务立法所覆盖的范围应当是这两个子集所形成的交集,即电子商务标题之下可能广泛涉及的因特网、内部网和电子数据交换在贸易方面的各种用途。电子商务法所涉及的商务范围电子商务法需要涵盖电子商务环境下的合同、支付、商品配送的演变形式和操作规则;需要涵盖交易双方、居间商和政府的地位、作用和运行规范;也需要涵盖涉及交易安全的大量问题;同时,还需要涵盖某些现有民商法尚未涉及的特定领域的法律规范。