【正文】 對(duì)每一臺(tái)服務(wù)器設(shè)置口令，并定期更換； 注意防治病毒； 客戶機(jī) 電子商務(wù)服務(wù)器 Inter通信通道 對(duì)電子商務(wù)的安全危脅 ? 對(duì)客戶機(jī)的安全威脅 ? 對(duì)通信通道的安全威脅 ? 對(duì)服務(wù)器的安全威脅 要了解電子商務(wù)的安全需求，需要考查從客戶機(jī)到電子商務(wù)服務(wù)器的整個(gè)過(guò)程。在 ASP活動(dòng)內(nèi)容廣泛應(yīng)用后，這種狀況就發(fā)生了變化。但今天 Java 最普遍的應(yīng)用是在 WWW頁(yè)面上，數(shù)以千計(jì)的 Java 小應(yīng)用程序可實(shí)現(xiàn)各種各樣的客戶機(jī)端應(yīng)用。嵌入的 Java代碼一旦下載就可在客戶機(jī)上運(yùn)行，這就意味著非?？赡軙?huì)發(fā)生破壞安全的問(wèn)題。 JavaScript是網(wǎng)景公司開(kāi)發(fā)的一種腳本語(yǔ)言，它支持頁(yè)面設(shè)計(jì)者創(chuàng)建活動(dòng)內(nèi)容。 從文件系統(tǒng)中下載的 Java小應(yīng)用程序是可信的，其運(yùn)行不受 Java 運(yùn)行程序安全區(qū)的限制。 ActiveX構(gòu)件可由許多程序設(shè)計(jì)語(yǔ)言進(jìn)行設(shè)計(jì)。 4. 圖形文件、插件和電子郵件的附件 前面曾提到圖形文件、瀏覽器插件和電子郵件的附件都能存儲(chǔ)可執(zhí)行的內(nèi)容。插件通常都非常有益，用于執(zhí)行一些特殊的任務(wù)，如播放音樂(lè)片斷、顯示電影片斷或動(dòng)畫(huà)圖形。換句話說(shuō)，在因特網(wǎng)上傳輸?shù)男畔⒍伎赡軙?huì)受到對(duì)安全、完整和即需的侵犯。在同一起始節(jié)點(diǎn)和目標(biāo)節(jié)點(diǎn)之間發(fā)送信息時(shí)，每次所用的路徑都有可能是并不相同。隱私現(xiàn)在也得到了大眾的關(guān)心，人們每天都會(huì)讀到侵犯隱私的報(bào)道。其中包括你的 IP地址和所用的瀏覽器，這也是破壞保密性的例子。未經(jīng)授權(quán)方改變信息流時(shí)就構(gòu)成了對(duì)完整性的安全威脅。 對(duì)完整性的安全威脅 。電子偽裝是指某人裝成他人或?qū)⒛硞€(gè)網(wǎng)站偽裝成另一個(gè)網(wǎng)站。 對(duì)即需性的安全威脅 例如，一臺(tái)自動(dòng)取款機(jī)的交易處理速度從兩秒慢到三十秒，這時(shí)用戶就會(huì)放棄自動(dòng)取款機(jī)交易；同樣，降低因特網(wǎng)服務(wù)的速度會(huì)把顧客轉(zhuǎn)移到競(jìng)爭(zhēng)者的網(wǎng)站，顧客就再也不會(huì)回到原網(wǎng)站（有人說(shuō)因特網(wǎng)的 1小時(shí)等于現(xiàn)實(shí)世界 10秒）。其中一個(gè)入口是 W W W 服務(wù)器及其軟件。 對(duì)服務(wù)器的安全威脅 電子商務(wù)的安全保護(hù)措施 使用電子商務(wù)系統(tǒng)的組織應(yīng)對(duì) EC系統(tǒng)的客戶端、通信信道和服務(wù)器安全威脅分門(mén)別類地進(jìn)行保護(hù)。但和往年不同的是，馬克的賀卡是在母親生日當(dāng)天及時(shí)送到的。圣誕節(jié)時(shí)，他又以同樣方式從 在本地商場(chǎng)內(nèi)找到，非常漂亮的中國(guó)制造的泥人娃娃。據(jù)估計(jì)，從一個(gè)客戶處收款的處理成本約為 1到 美元，而在因特網(wǎng)上進(jìn)行處理成本可降到 50美分。 華爾街日?qǐng)?bào)在線版的專欄作家約翰 狹義的支付是指資金價(jià)值的轉(zhuǎn)移。 現(xiàn)金雖然使用非常方便，又具有匿名性，但由于現(xiàn)金攜帶不方便，運(yùn)鈔成本高，所以風(fēng)險(xiǎn)大，主要被用于個(gè)人之間，以及個(gè)人和企業(yè)間金額較小的支付關(guān)系中。便于攜帶，且轉(zhuǎn)讓時(shí)需要背書(shū)，貼現(xiàn)時(shí)需要驗(yàn)證身份，必要時(shí)可以通過(guò)追索挽回經(jīng)濟(jì)損失。 當(dāng)顧客來(lái)到一家商店的電子收款臺(tái)時(shí)，商家期望能向顧客提供多種可供選擇的、既安全又方便的結(jié)算方式。有些方案已廣為接受，有些方案還處于萌芽狀態(tài)。對(duì)只采有信用卡結(jié)算方式的商家來(lái)說(shuō)，采購(gòu)額很小的話，他們就無(wú)法盈利。 首先是只能消費(fèi)一次。匿名性也防止了銷售者收集有關(guān)個(gè)人或組織的消費(fèi)習(xí)慣信息。 電子現(xiàn)金的便攜性意味著必須能在所有形式的公平交易中在買(mǎi)賣雙方之間 自由轉(zhuǎn)賬 。電子現(xiàn)金的不同支付單位和其真實(shí)價(jià)值都能獨(dú)立于真正的現(xiàn)金進(jìn)行定義。在線現(xiàn)金系統(tǒng)要求商家先同消費(fèi)者開(kāi)戶銀行聯(lián)系，然后接收消費(fèi)者的采購(gòu)結(jié)算。本章后面要討論的智能卡是存儲(chǔ)電子貨幣的硬件解決方案，加密的防篡改方法是防止重復(fù)消費(fèi)的軟件解決方案。 電子現(xiàn)金的優(yōu)缺點(diǎn) 但電子現(xiàn)金已有缺點(diǎn)。而且商品還會(huì)購(gòu)自另一個(gè)國(guó)家，使法律問(wèn)題更加復(fù)雜化了。以后，當(dāng)消費(fèi)者想用電子現(xiàn)金消費(fèi)時(shí)，他都可通過(guò)因特網(wǎng)訪問(wèn)銀行并提供身份證明。 消費(fèi)者將電子現(xiàn)金存在他的計(jì)算機(jī)硬盤(pán)上的錢(qián)包或智能卡上，或者放在在線銀行服務(wù)器中。 只有當(dāng)商品送達(dá)消費(fèi)者時(shí)，商家才能將電子現(xiàn)金交給發(fā)行銀行。康柏公司的電子現(xiàn)金支付技術(shù)可讓用戶用其 N e t C o i n 電子現(xiàn)金付 4 5 美分玩一小時(shí)游戲，或付 4 美分下載一個(gè)圖片。由 David Chaum 創(chuàng)建的 D i g i C a s h 公司是電子現(xiàn)金的先鋒，但它現(xiàn)已破產(chǎn)。 C y b e r C a s h 公司提供多種因特網(wǎng)結(jié)算方式，包括信用卡、小額支付和支票結(jié)算等服務(wù)。商家可用 C y b e r C o i n 來(lái)處理 2 5 美分到 1 0 美元之間的小額支付。 前面已經(jīng)提到， D i g i C a s h 是電子現(xiàn)金的先驅(qū)。圣路易斯的馬克 DigiCash e C o i n 是 e C o i n . n e t 發(fā)行的電子貨幣，提供在線小額支付。顧客在使用 e C o i n 時(shí)，需先下載一個(gè)錢(qián)包軟件，把它做為插件安裝在自己的瀏覽器上。 e C o i n 服務(wù)器相當(dāng)于經(jīng)紀(jì)人，它負(fù)責(zé)維護(hù)和更新用戶與商家的賬號(hào)，接受顧客的結(jié)算請(qǐng)求。 2. 電子錢(qián)包 電子錢(qián)包和實(shí)際錢(qián)包一樣，可存放信用卡、電子現(xiàn)金、所有者身份證、所有者住址等其他信息。 Forrester 調(diào)查公司發(fā)現(xiàn) 6 5 %挑選好商品的購(gòu)物者最終放棄了結(jié)賬手續(xù)。消費(fèi)者必須填滿所有信息才能完成結(jié)賬。消費(fèi)者只需點(diǎn)擊一次就可自動(dòng)填寫(xiě)送貨和信用卡信息而結(jié)束交易?，F(xiàn)在的電子錢(qián)包是一個(gè)可以由持卡人用來(lái)進(jìn)行安全電子交易和儲(chǔ)存電子交易記錄的軟件，是為消費(fèi)者、商務(wù)和金融機(jī)構(gòu)開(kāi)發(fā)的一整套綜合性電子商務(wù)解決方案中的一部分。正是這種冗余現(xiàn)狀，促使 W 3 C 制定電子錢(qián)包的統(tǒng)一標(biāo)準(zhǔn)。如果此協(xié)會(huì)能成功地讓大眾接受 E C M L 標(biāo)準(zhǔn)的話，這種錢(qián)包就會(huì)被所有的商務(wù)網(wǎng)站接受。這些個(gè)人信息會(huì)被安全地存儲(chǔ)在 Agile Wa l l e t 服務(wù)器上。這是 C y b e r C a s h 開(kāi)發(fā)的服務(wù)器，可處理消費(fèi)者結(jié)算，提供快速、安全的交易。這是一個(gè)新的突破，因?yàn)橛脩艨蓪⑵湫庞每ㄌ?hào)和地址信息一次性輸入支持 E C M L 的電子錢(qián)包中（現(xiàn)有的錢(qián)包都可修改以支持 E C M L 標(biāo)準(zhǔn)，目前還沒(méi)有這類錢(qián)包是因?yàn)?E C M L 尚處于建議階段）。 ? 支付工具管理； ? 安全電子支付； ? 交易記錄保存； ? 管理賬戶信息； ? 實(shí)現(xiàn)自動(dòng)支付流程； ? 錢(qián)包安全管理； 電子錢(qián)包的功能 期望最大程度地得到因特網(wǎng)消費(fèi)群的商家，必須能支持各種不同的結(jié)算系統(tǒng)。那么如何知道某個(gè)商家是否接受某種錢(qián)包，或者某種錢(qián)包是否被某個(gè)商家接受呢？許多錢(qián)包會(huì)羅列出接受其錢(qián)包服務(wù)的商家名單。 舉例： A m a z o n . c o m 最早意識(shí)到需要在消費(fèi)者購(gòu)物結(jié)束時(shí)簡(jiǎn)化財(cái)務(wù)、地址、送貨等信息的填寫(xiě)工作。 另外， 調(diào)查還發(fā)現(xiàn)消費(fèi)者對(duì)大金融機(jī)構(gòu)所發(fā)行的電子錢(qián)包感覺(jué)更為安全。消費(fèi)者選好要采購(gòu)的商品時(shí)，可 立即點(diǎn)擊自己的錢(qián)包 ，從而快速完成結(jié)算過(guò)程。其結(jié)構(gòu)可保證消費(fèi)者在商家前是匿名的，但對(duì) e C o i n 服務(wù)器不是匿名。兼容 e C o i n 的商務(wù)網(wǎng)站可在其 H T M L 頁(yè)面上生成一個(gè)特殊的發(fā)票標(biāo)志，以支持顧客的 e C o i n 管理程序。同其它小額支付系統(tǒng)一樣，你可用它花幾美分來(lái)下載一篇新聞報(bào)道，或花 7 5 美分下載一段音樂(lè)。盡管 D i g i C a s h 目前正在根據(jù)破產(chǎn)保護(hù)條例進(jìn)行重組，但還應(yīng)關(guān)注這個(gè)公司。昌姆（ David Chaum ）在荷蘭成立了這家公司，后來(lái)昌姆把 D i g i C a s h 搬到硅谷。 P a y N o w 是 C y b e r C a s h 提供的一種最新服務(wù)。 C y b e r C a s h 通過(guò)它的 C y b e r C o i n 來(lái)提供小額支付服務(wù)，消費(fèi)者可把自己的 C y b e r C o i n 放在 C y b e r C a s h 錢(qián)包里。 First Vi r t u a l 公司以前主要處理信息和結(jié)算的跟蹤和記錄。即使美國(guó)的網(wǎng)上消費(fèi)者還沒(méi)有接受電子現(xiàn)金，但電子現(xiàn)金在全世界還是有大量的支持者。 在整個(gè)過(guò)程中，必須保護(hù)電子現(xiàn)金不被盜竊或更改，商家和銀行要能驗(yàn)證電子現(xiàn)金是否屬于支付它的消費(fèi)者。簡(jiǎn)單地說(shuō)，消費(fèi)者將電子現(xiàn)金發(fā)給商家以支付商品 /服務(wù)的費(fèi)用。 在銀行確證了消費(fèi)者的身份后，發(fā)給消費(fèi)者一定量的數(shù)字現(xiàn)金，然后從消費(fèi)者賬戶上減去相同的金額。盡管困難越來(lái)越大，還是能夠偽造電子貨幣并消費(fèi)。這就帶來(lái)另一個(gè)問(wèn)題：洗錢(qián)。在因特網(wǎng)上電子現(xiàn)金轉(zhuǎn)賬的成本要比處理信用卡的成本低。 持有電子現(xiàn)金：在線和離線現(xiàn)金 離線現(xiàn)金存儲(chǔ)是在消費(fèi)者自己的錢(qián)包里保存數(shù)字貨幣，消費(fèi)者自己持有貨幣，不需要可信的第三方參與交易。 目前兩種廣為接受的現(xiàn)金持有辦法是在線存儲(chǔ)和離線存儲(chǔ)。 可分解性是電子現(xiàn)金同真正的通貨的一個(gè)區(qū)別。也就是說(shuō)，如果電子現(xiàn)金依賴于專用的存放電子貨幣的存儲(chǔ)機(jī)制時(shí)，電子現(xiàn)金就不是真正的自由流動(dòng)的通貨。 其次是匿名性。電子現(xiàn)金的固定成本非常低，可允許用戶花 5 0 美分買(mǎi)一份在線的周末版報(bào)紙或花 1 . 5 5美元買(mǎi)一個(gè)電子賀卡。 2. 電子現(xiàn)金 傳統(tǒng)商店要求信用卡最低交易額為 1 0 到 1 5 美元，強(qiáng)制此最低采購(gòu)額是因?yàn)樾☆~采購(gòu)導(dǎo)致的手續(xù)費(fèi)會(huì)大幅度消減商店利潤(rùn)。 電子結(jié)算技術(shù)目前主要有四種： 電子現(xiàn)金； 電子錢(qián)包； 智能卡； 信用卡 /借記卡。 傳統(tǒng)支付中，支付指令傳遞主要依靠面對(duì)面的手工處理和經(jīng)過(guò)郵政、電信部門(mén)的委托傳遞。票據(jù)支付實(shí)質(zhì)上是利用票據(jù)傳遞支付命令，主要通過(guò)付款人和收款人存款賬戶上金額的轉(zhuǎn)移來(lái)了結(jié)債權(quán)債務(wù)關(guān)系。 隨著技術(shù)的變革和進(jìn)步，支付系統(tǒng)大致經(jīng)歷了三個(gè)階段： A、傳統(tǒng)支付系統(tǒng) 在此階段，支付工具主要包括金屬貨幣和紙質(zhì)憑證。 ” 商家 消費(fèi)者 物流 (第一方 /第三方） 資金流 (傳統(tǒng) /電子方式） 信息流（各種信息） 毫無(wú)疑問(wèn)，商家與消費(fèi)者之間資金流動(dòng)的速度、安全性、方便性等所體現(xiàn)出的支付活動(dòng)效率和效果對(duì)商務(wù)交易完成具有關(guān)鍵性的影響。在 BEC能源公司的案例中，如果每個(gè)用戶節(jié)約 50美分，那么每個(gè)收款周期就能夠節(jié)約 32萬(wàn)美元。愛(ài)迪生分公司（它擁有 64多萬(wàn)顧客）的客服中心經(jīng)理戴維 這年馬克進(jìn)到 Greetingcard ，買(mǎi)了一張電子生日賀卡，然后用他的 Mondex智能卡付賬。 回顧 電子商務(wù)安全 安全概述 加解密技術(shù) 身份認(rèn)證及數(shù)字簽名 防火墻技術(shù) 其它安全措施 電子商務(wù)安全防范 東南大學(xué)遠(yuǎn)程教育 電 子 商 務(wù) 第 八 講 主講教師： 王 翔 電子支付技術(shù) 1. 支付概述 2. 電子現(xiàn)金 (E_cash) 3. 電子錢(qián)包 (E_wallet) 4. 信用卡 5. 智能卡 6. 網(wǎng)上支付 引例： 20xx 年秋季，美國(guó)加州的馬克 也許最危險(xiǎn)的入口是服務(wù)器上的公用網(wǎng)關(guān)接口（ mon gateway interface, CGI）程序或其他工具程序。 客戶機(jī)、因特網(wǎng)和服務(wù)器的電子商務(wù)鏈上第三個(gè)環(huán)節(jié)是服務(wù)器。 即需安全威脅也叫延遲安全威脅或拒絕安全威脅，其目的是破壞正常的計(jì)算機(jī)處理或完全拒絕處理。破壞他人網(wǎng)站行為相當(dāng)于破壞他人財(cái)產(chǎn)。當(dāng)然，破壞了完整性也就意味著破壞了保密性，因?yàn)槟芨淖冃畔⒌母`聽(tīng)者肯定能閱讀此信息。其中之一是Anonymizer 網(wǎng)站，它可提供保密措施，但要求你將它作為你的門(mén)戶網(wǎng)站，即訪問(wèn)其他網(wǎng)站時(shí)的出發(fā)網(wǎng)站。保密是防止未經(jīng)授權(quán)的信息泄露，而隱私是保護(hù)個(gè)人秘密不被曝光的權(quán)利；保密要求繁雜的物理和邏輯安全技術(shù)保護(hù)，隱私則需要法律的保護(hù)。 保密是在大眾媒體上最常提及的一種安全威脅。在因特網(wǎng)上傳輸?shù)男畔?，從起始?jié)點(diǎn)到目標(biāo)節(jié)點(diǎn)之間的路徑是隨機(jī)選擇的。但這就為某些企圖破壞計(jì)算機(jī)的人打開(kāi)了方便之門(mén)，他們可在看起來(lái)無(wú)害的視頻或音頻片斷里嵌入一些指令，這些隱藏在插件程序里的惡意指令可通過(guò)刪除若干或全部文件來(lái)進(jìn)行破壞。這就意味著附帶這種圖形的任何頁(yè)面都是潛在的安全威脅，因?yàn)榍度朐趫D形中的代碼（指令）可能會(huì)破壞計(jì)算機(jī)。一個(gè)有惡意的 ActiveX控件也可格式化硬盤(pán)、或關(guān)閉計(jì)算機(jī)。簽名的 Java小應(yīng)用程序帶有可信的第三方的數(shù)字簽名。當(dāng)你下載一個(gè)嵌有JavaScript 代碼的頁(yè)面，此代碼就在你的客戶機(jī)上運(yùn)行。 J ava運(yùn)行程序安全區(qū)（ Java Sandbox）是根據(jù)安全模式所定義的規(guī)則來(lái)限制 Java 小應(yīng)用程序的活動(dòng)。 Java增強(qiáng)了業(yè)務(wù)應(yīng)用功能。 Java 是 Sun微系統(tǒng)公司開(kāi)發(fā)的一種高級(jí)程序設(shè)計(jì)語(yǔ)言。 電子商務(wù)安全防范 在可動(dòng)態(tài)執(zhí)行的頁(yè)面（ ASP）內(nèi)容出現(xiàn)前，頁(yè)面是靜態(tài)的。所以一定要保護(hù)好硬件系統(tǒng)，盡可能 免各種故障。 網(wǎng)關(guān)服務(wù)器提供了一個(gè)中心點(diǎn)，在此處可對(duì)所有請(qǐng)求進(jìn)行分類、登錄并事后分析。 代理服務(wù)器