《电子商务概论》(第4版)白东蕊主编第八章+电子商务安全.pptx

,电子商务概论（第4版）白东蕊主编人民邮电出版社出版,电子商务安全,【知识框架图】,本章学习要求,【知识目标】1了解电子商务面临的安全威胁，明确电子商务对安全性的要求。2熟悉应用保障电子商务安全的方法与技术，以保证电子商务活动的顺利进行。3熟知电子商务安全方面不断完善的管理政策与法规制度。【技能目标】1能够对Office文档加密，实现文件保护。2学会应用计算机端和移动端的日常安全防范措施。,二维码暗藏木马病毒二维码时代到来了，用微信扫一扫就可以交友、支付、领取礼品，不少人见二维码就想扫。殊不知，扫二维码的过程中存在很多安全隐患。2015年11月17日一大早，南京市公安局双塘派出所接到了胡女士的报警电话。她称，自己一大早收到了好多条银行短信，银行卡里的37万元没了。,引例,令胡女士奇怪的是：为什么自己的银行卡和手机都在家里，却被人转了账？民警分析后告诉她，是一个第三方机构通过植入手机木马病毒，绑定了银行卡进行操作，将钱转走的。胡女士这才想起来，前两天街头有人向她推广手机软件，说是扫描二维码下载后就送东西。她虽然下载了但是并没有安装使用，没想到这竟然是个木马病毒。警方通过胡女士银行卡的发卡行了解到，胡女士卡里的37万元被全部转到了一个第三方交易机构，而这个第三方交易机构实行的是当天交易。也就是说，如果不立即采取行动，这笔钱在24小时之内就可能被转走。幸运的是，因为处理及时，胡女士的37万元被冻结后通过警方追了回来。,引例,电子商务安全的内涵,电子商务面临的安全威胁,01,电子商务的安全性要求,02,点击视频：马云对黑客说。,一、电子商务面临的安全威胁（一）个人计算机受到的威胁,学而思，思而学,流氓软件的最大商业用途就是散布广告。为了将广告插件神不知鬼不觉地装在用户计算机上，大多数情况下广告公司会联系热门免费共享软件的作者，以每次几分钱的价格把广告程序捆绑到免费共享软件上。用户在下载安装软件时广告程序也就趁虚而入。你遇到过这种情况吗？,案例,网上购机票被钓鱼网站欺诈准备去大连过年的黄先生打算购买飞机票。某一天，黄先生为了抢到廉价机票，在网上搜索了一家购票网站，按照网站的提示填写了身份信息。之后，一名自称客服的工作人员打来了电话，说希望和黄先生核对购票信息，并要求黄先生到ATM机上转账。黄先生按照对方的指示操作，在ATM机上汇出机票款后，客服突然又打来电话说黄先生的飞机因故不能起飞，要黄先生改签。黄先生回忆：“我当时还想，这网站实在太好了，这么快就通知机票改签，省得我跑飞机场。我询问客服如何改签，她说会有短信发到我手机上，然后点击链接就可以了。”,之后，黄先生果然收到了短信，上面有他准确的身份信息，他毫不犹豫地点击了链接。结果过了几分钟，他突然收到银行短信，提示卡里的30 000元被转走了。启发思考：本案例中，黄先生网上购买机票时是如何被骗的？应该如何防范？,案例,手机病毒,手机系统漏洞,无线网钓鱼,（二）移动端受到的威胁,消费预警：免费Wi-Fi很危险（视频）,视野拓展,二、电子商务的安全性要求,机密性,完整性,不可否认性,可鉴别性,可靠性,点击视频：支付宝快捷支付安全吗？,推荐读者课外观看中国工商银行防电信诈骗宣传片2015视频，提高防范意识。,视野拓展,案例,电子面单将破解信息安全的难题 2018年3月，多家快递网点收到了一则“纸质快递面单加价通知”，而电子面单价格保持不变。信息技术的高速发展和行业的倒逼使纸质面单逐步退出历史舞台。与电子面单相比，传统纸质面单价格高、信息录入效率低、信息安全隐患多等劣势已愈发突显。1实名制增加了个人信息泄露的风险2电子面单有望破解信息安全死穴,事实上，一些业内企业早已经开始布局电子面单了。2016年6月，京东商城就已经开始试行“微笑面单”，即在包裹生成时就部分隐藏用户的姓名和手机号码信息，以“笑脸”符号代替。2017年5月，菜鸟推出“隐私面单”，以避免将消费者个人信息全部暴露在快递面单上。顺丰自从推行电子面单以来，其电子面单覆盖率在有些地方甚至已达到90%以上。“四通一达”等主流快递也在加快淘汰五联纸质快递面单的步伐。启发思考：1.电子面单与纸质面单相比具有哪些优势？2.电子面单应如何保证寄件人信息的安全？,案例,电子商务安全技术,加密技术,认证技术,安全协议,图8.1 电子商务系统安全示意图,一、加密技术加密技术是利用技术手段把原始信息变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）信息。原始信息通常被称为“明文”，加密后的信息通常被称为“密文”。加密技术涉及两个元素：算法和密钥。算法是将明文与一串字符（密钥）结合起来，进行加密运算后形成密文。密钥是在将明文转换为密文或将密文转换为明文的算法中输入的一串字符，可以是数字、字母、词汇或短语。,（一）对称加密体制 1对称加密体制的工作过程,图8.1 对称加密体制的工作过程,2对称加密体制的算法 经典的对称加密体制算法为数据加密标准（Data Encryption Standard，DES）。DES算法是一种对称的分组加密算法。简单的DES算法是以64位为分组进行明文输入，在密钥的控制下产生64位的密文；反之，输入64位的密文，则输出64位的明文。加密过程中，密钥总长度是64位，由于密钥表中每个字节的第8位都用作奇偶校验，所以实际有效密钥长度为56位。DES算法可以通过软件或硬件来实现。,案例,个人账户信息等一些重要信息在网络中传递之前，通信双方（如银行与用户）事先约定密钥，通过加密工具利用对称加密技术进行加密处理，然后进行安全传递；到达接收方时，接收方利用已知的密钥解密获取信息。如果传递过程中该信息被非法第三方截获，则其得到的将是看不懂的密文。因而，个人账户信息的机密性得到了保障。加密过程示例：已知明文为“个人银行存款账户是自然人因投资、消费、结算等需要而开立的可办理支付结算业务的存款账户”，密钥为123456，则加密得到的密文如图8.2所示。启发思考：利用对称加密体制，个人账户信息在网络中传递时，如何保障个人账户信息的机密性？,图8.2 示例中明文加密结果,（二）非对称加密体制 1非对称加密体制的工作过程,图8.3 非对称加密体制的工作过程,2非对称加密体制的算法 目前，非对称加密体制的算法中，使用最多的是RSA算法。RSA算法是1978年由R.L.Rivest、A.Shamir和L.Adleman设计的非对称加密体制的算法，算法以发明者姓氏的首字母来命名。它是第一种既可用于加密，又可用于数字签名的算法。在实际应用中，通常将对称加密算法和非对称加密算法结合使用，利用DES算法进行大容量数据的加密，而利用RSA算法来传递对称加密算法所使用的密钥。二者结合使用集成了两类加密算法的优点，既加快了加密速度，又可以安全、方便地管理密钥。表8.1所示为对称加密体制和非对称加密体制的对比。,二、认证技术 在信息安全领域，常见的信息保护手段除了加密技术以外，还有认证技术。目前，认证技术有身份认证（也叫用户认证）和消息认证两种方式。身份认证用于鉴别用户的身份是否合法；消息认证可用于验证所收到的消息确实来自真正的发送方且未被修改（即完整性），也可以用于验证消息的顺序性和及时性。消息认证主要包括数字签名和数字时间戳等技术。,表8.1 对称加密体制和非对称加密体制的对比,1身份认证,用户所知道的,用户所具有的特征,用户所拥有的,实现身份认证的物理基础主要有以下三种：,2.消息认证 消息认证是指验证消息的完整性，当接收方收到发送方的报文时，接收方能够验证收到的报文是真实的和未被篡改的。消息认证常用的方法就是消息摘要，即发送方在发送的消息中附加一个鉴别码，并经加密后发送给接收方。接收方利用约定的算法对解密后的消息进行鉴别运算，将得到的鉴别码与收到的鉴别码进行比较，若二者相等，则接收，否则拒绝接收。,3数字签名 数字签名能够确认两点：信息是由签名者发送的；信息自签发后到收到为止未曾做过任何修改。,图8.4 数字签名原理示意图,4数字时间戳 在电子商务交易中，需对交易文件的时间信息采取安全措施。数字时间戳服务（Digital Time-stamp Service，DTS）是由专门的机构提供的对电子文件发送时间进行安全保护的服务。,需加时间戳的电子文件,数字时间戳发送和接收文件的时间,数字时间戳服务的数字签名,数字时间戳是一个经加密后形成的凭证文档，包括以下三部分：,三、安全协议（1）安全套接层（Secure Socket Layer，SSL）协议是指使用公钥和私钥技术相组合的安全网络通信协议，是网景公司（Netscape）推出的基于互联网应用的安全协议。安全套接层协议指定了一不可否认性应用程序协议（如HTTP、Telnet和FTP等）和TCP/IP之间提供数据安全性分层的机制。（2）安全电子交易（Secure Electronic Transaction，SET）协议是由万事达卡（Master Card）和维萨（Visa）联合网景、微软等公司，于1997年6月1日推出的。该协议主要是为了实现更加完善的即时电子支付。,四、防火墙技术 防火墙是一种将内部网和外部网（如互联网）相互隔离的技术。防火墙可以通过过滤不安全的服务，降低风险，强化网络安全策略，对网络存取和访问进行监控；防止内部信息外泄，外部用户非法访问或占用内部资源。另外，防火墙还支持具有互联网服务特性的企业内部网络技术体系虚拟专用网（Virtual Private Network，VPN）。,电子商务安全管理,数字证书认证中心,法律制度管理,日常安全防范,一、数字证书认证中心 实现网上安全支付是顺利开展电子商务的前提，建立安全的数字证书认证中心（Certificate Authority，CA）是电子商务的中心环节，其目的是加强数字证书和密钥的管理，增强网上交易各方的相互信任，提高网上交易的安全性，控制网上交易的风险，从而推动电子商务的发展。,（一）认证中心 在电子交易中，无论是数字时间戳服务还是数字证书的发放，都不是交易双方自己能完成的，而是需要具有权威性和公正性的第三方机构来完成。认证中心就是承担网上安全电子交易认证服务、签发数字证书并确认用户身份的服务机构。,认证中心的主要功能如下：,证书的颁发,证书的更新,证书的查询,证书的作废,证书的归档,（二）数字证书 1数字证书的定义 数字证书又称为数字凭证或数字标识，是由认证中心发行的、能提供在互联网上进行身份验证服务的电子文档。人们可以用它来表明自己在互联网中的身份或识别对方的身份。数字证书的格式遵循ITU的X.509国际标准，X.509标准数字证书包含以下内容。,图8.5 数字证书示例,2数字证书的分类,服务器证书,电子邮件证书,客户端证书,密信 MeSince 是沃通子公司2018年推出的加密电子邮件客户端软件，该软件支持Windows/安卓手机和苹果手机，全自动申请和配置电子邮件加密证书，全自动加密每封邮件，全自动为每封发出的邮件盖上时间戳。,学而思，思而学,3数字证书的应用,用户在需要使用证书的网站上进行操作时，必须准备好装有证书的存储介质,如果用户是在自己的计算机上进行操作，则操作前必须先安装认证中心的根证书,操作时，系统会自动提示用户出示数字证书或者插入证书存储介质,使用完毕后，用户应记住取出拔除证书存储介质，并妥善保管,根证书是认证中心给自己颁发的证书，是信任链的起始点。根证书是一种特殊的证书，它的签发者是它本身，下载根证书就表明用户对该根证书以下所签发的证书都表示信任，在技术上则是建立起一个验证证书信息的链条，证书的验证追溯至根证书即结束。所以，用户在使用自己的数字证书之前必须先下载根证书。,视野拓展,根证书,支付宝数字证书是使用支付宝账户资金时的身份凭证之一，可以加密用户的信息并确保账户和资金安全。用户申请后，在进行付款和确认收货等涉及资金的操作时，就会验证计算机上是否安装了数字证书。即使用户的账号被盗，对方没有相应的数字证书也动用不了账户中的资金。,视野拓展,支付宝数字证书,在微信内按“支付钱包安全保障数字证书”顺序进入数字证书页面，根据提示进行设置即可启用微信支付数字证书。启用微信支付数字证书的作用是：提高支付安全性；提高每日零钱支付限额。数字证书就相当于一个认证的程序。它会使你的微信账户更安全。,视野拓展,微信支付数字证书,二、法律制度管理我国主要的保障电子商务安全的相关法律与制度：（1）确立电子签名的法律效力。2004年8月28日，全国人民代表大会常务委员会第十一次会议通过了中华人民共和国电子签名法，2005年4月1日起施行。这是我国推进电子商务发展，扫除电子商务发展障碍的重要步骤。该法被认为是中国首部真正意义上有关电子商务的立法。,（2）规范电子认证服务行为。2005年1月28日，中华人民共和国信息产业部第十二次部务会议审议通过了电子认证服务管理办法，自2005年4月1日起施行。（3）加强电子银行业务的风险管理。2005年11月10日，中国银行业监督管理委员会第四十次主席会议通过了电子银行业务管理办法，自2006年3月1日起施行。,点击视频：中国工商银行防诈骗宣传片,（4）规范网络商品交易及有关服务行为。2010年6月1日，中华人民共和国国家工商行政管理总局出台的网络商品交易及有关服务行为管理暂行办法中明确规定，通过网络开展商品交易及有关服务行为的自然人，应提交其姓名和地址等真实的信息。（5）规范非金融机构支付服务行为，防范支付风险。2010年6月21日，中国人民银行出台了非金融机构支付服务管理办法，要求第三方支付公司必须在2011年9月1日前申请取得“支付业务许可证”，且全国性公司注册资本最低应为1亿元。该办法的出台意在规范当前发展迅猛的第三方支付行业。,（6）保障网络安全。2016年11月，第十二届全国人民代表大会常务委员会第二十四次会议通过了中华人民共和国网络安全法，自2017年6月1日起施行。电子商务安全相关法律与制度发展历程如图8.6所示。（7）电子商务综合性法律。2018年8月31日，十三届全国人大常委会第五次会议表决通过中华人民共和国电子商务法，自2019年1月1日起施行。,图8.6 保障电子商务安全的相关法律与制度发展历程,2019年1月2日，山西日报云媒体头条|电子商务法来啦！10大亮点解读网络消费新变化,视野拓展,加强个人计算机安全防护,欲擒故纵,加强防范意识,备份与加密,禁止所有磁盘自动运行,三、日常安全防范1计算机用户日常安全防范,谨慎下载安装手机软件和App程序,不要随便打开短信中的链接和扫描二维码,不要对手机刷机，以获取超级用户（Root）权限，或“越狱”,在公共场合，避免随意连接免费无密码Wi-Fi，否则可能会被黑客截取个人信息，甚至被植入木马病毒,2移动端日常安全防范,Root和“越狱”Root是安卓系统中唯一的超级用户，具有管理系统的所有权限。“越狱”其实等同于安卓平台上的Root，是指开放用户的操作权限，使得用户可以随意改写任何区域的运行状态，即利用“越狱”软件解除原有固件对手机系统的限制束缚，使用户可以自定义安装非官方或者来自第三方的应用程序。,视野拓展,Office加密方式及文件保护Word、Excel和PowerPoint是我们学习和工作中经常使用的三个Office软件。在使用它们提高工作效率的同时，也会让我们担心文档的安全性。因此，为了文档不被他人随意查看，可以利用加密技术为Office文档设置密码。下面以Word 2010为例进行介绍。1设置打开权限和修改权限密码2以只读方式打开文档,实训案例,Office的密码保护Office 2010的操作与其他版本的Office操作极为相似，为文档提供了四种级别的密码保护方式。（1）第一级别是通过设置密码来决定用户是否有打开文档的权限。（2）第二级别是通过设置密码来决定用户是否有编辑文档的权限。（3）第三级别是通过对打开的Word文档启动强制保护，这样文档将以只读的方式打开。Word、Excel 和 PowerPoint 都使用RC4的对称加密算法对受密码保护的文档进行加密。RC4是一种流密码算法，它对数据的每个字节进行操作，支持长度为40位、64位及128位的密钥，在为文档加密时我们可以指定密钥的位数。,视野拓展,通过本章的学习，我们了解到在互联网上实现的电子商务交易必须具有保密性、完整性、不可否认性、真实性和可靠性等安全性要求。一个完善的电子商务系统在保证其计算机网络硬件平台和软件平台安全的基础上，还应具备强大的加密和认证系统，以完成用户和信息的识别和鉴别，确保互联网交易和支付的可靠性、真实性、完整性，提供便捷的密钥管理，满足电子商务对计算机网络安全与商务安全的双重要求。电子商务安全技术的提高、管理制度的完善、法律制度的健全需要政府和用户长期不懈的努力。个人用户和企业用户在互联网上开展商务活动时要注意进行网络防范。,归纳与提高,谢谢观赏 下节课见,